Riska vadības rokasgrāmata

Riska vadības rokasgrāmata

Cena (ieskaitot PVN): 45.88 €

«Ir tikai divu veidu uzņēmumi: tādi, kuri jau pārcietuši krīzi, un tādi, kurus vēl sagaida krīze.»
(Al Tortorella)

Risku vadība ir potenciālo briesmu un nevēlamo gadījumu identifikācijas process, minēto faktoru varbūtības un seku izpratne un, ja nepieciešams, riska kontrolpasākumu veikšana. Riska vadība ir nepārtraukts pilnveides process.

Rokasgrāmatā iekļautā informācija sniedz aktuālāko teorētisko informāciju par risku vadību, tai skaitā plaši lietotiem starptautiskajiem standartiem, kuru var izmantot, ieviešot un uzlabojot risku vadību jebkurā organizācijā. Šis izdevums arī skaidro labāko praksi, pieredzi un idejas, kuras organizācijas piemēro vai var izmantot risku vadībā.

Rokasgrāmata ir palīglīdzeklis organizācijām Latvijā, lai veidotu vienotu, uz starptautiski atzītās labākās prakses bāzētu izpratni par risku vadību un palīdzētu apzināt atbilstošāko pieeju un metodes risku vadības modeļa izvēlē, ieviešanā, uzturēšanā un attīstībā. Tā ir informācijas avots, kurā organizācijām ir iespēja ne tikai iegūt informāciju, bet arī dalīties savā pieredzē, iekļaujot dažādus piemērus, lai atbalstītu un iedrošinātu citas organizācijas ieviest un uzturēt risku pārvaldību, ņemot vērā to organizatorisko struktūru un funkcionalitāti.

«Riska vadības rokasgrāmata» sniegs atbildes uz šiem un citiem aktuāliem jautājumiem:

  • Kā izprast riska vadību, tās ieguvumus un pamatprincipus?
  • Kas ir veiksmes faktori saprātīgai risku vadībai organizācijai?
  • Kādi ir risku pārvaldības standarti?
  • Kā veikt risku novērtēšanu praksē?
  • Kā izmantot COSO integrētās iekšējās kontroles modeli?
  • Kādas pārmaiņas ir jāievieš esošajā risku kultūrā, lai rosinātu efektīvu risku vadību?
  • Kā iespējams uzlabot risku vadību, ņemot vērā esošo organizācijas kultūru?
  • Par kādiem galvenajiem apdraudējumiem IT jomā var runāt?
  • Kādi ir stratēģisko risku vadības pamatelementi un stratēģijas īstenošana?
  • Kā aizsargāt uzņēmumu pret reiderismu, un kādas ir tipiskākās reiderisma īstenošanas shēmas?
  • Kā jādomā un jāpieņem lēmumi krīzes situācijās?
  • Kādai jābūt krīzes komunikācijas stratēģijai?
  • Kā saglabāt un pilnveidot uzņēmuma reputāciju?
  • Kā nokļūt uz viļņa ar jaunu ideju?
Anita Hāznere
Anita
Hāznere
risku pārvaldības eksperte

Ir ilggadēja pieredze iekšējā auditā, risku un kvalitātes vadībā, strādājot finanšu jomā gan valsts, gan privātajā sektorā. Kā eksperte savas zināšanas un praktisko pieredzi ieguvusi ne tikai Latvijā, bet daudzviet starptautiskā vidē. Seko līdzi pasaules jaunākajām attīstības tendencēm, cenšoties labās prakses nodot Latvijas videi. Vadījusi seminārus par risku vadību Rīgas Ekonomikas augstskolā (REA – SSE Riga), kā arī par risku un kvalitātes vadību, iekšējo auditu un līdervadību Valsts administrācijas skolā un dažādās publiskā sektora iestādēs, savukārt kā konsultante ir veiksmīgi piedalījusies vairākos konsultatīvos projektos. Vieslektore dažādos semināros un konferencēs gan Latvijā, gan ārpus tās.

 

Anda Krauze
Anda
Krauze
risku pārvaldības eksperte

Ieguvusi bakalaura grādu grāmatvedībā, revīzijā, finanšu analīzē un auditā, kā arī maģistra grādu kvalitātes vadībā. Kopš 2017. gada 2.maija strādā Finanšu un kapitāla tirgus komisijā Stratēģiskās plānošanas un risku vadības daļā par risku vadības speciālisti. No 2010. gada līdz 2017. gadam strādājusi VAS Latvijas dzelzceļš par vadošo auditori. No 2006. gada līdz 2010. gadam  strādāja Finanšu ministrijas Stratēģiskās plānošanas un attīstības departamentā par direktora vietnieci. Papildus iepriekšminētajam, strādājot Finanšu ministrijā, ir piedalījusies starptautiskajos projektos – UNDP un TAIEX, piemēram, Libānā, prezentējot savu pieredzi par pašvērtējuma veikšanu atbilstoši CAF modelim. 2006. gadā Anda Krauze ir strādājusi par procesu un risku vadības konsultanti SIA Ernst&Young Latvijā un piedalījusies atsevišķos procesu vadības ieviešanas projektos.  No 2000. līdz 2006. gadam pirmā darba vieta ir bijusi Valsts kase, kur viņa ir strādājusi par Risku pārvaldības departamenta direktora vietnieci un vecāko eksperti Kvalitātes vadības departamentā.

 

Ilvija Grūba
Ilvija
Grūba
datu aizsardzības, iekšējā audita, risku pārvaldības un darbības atbilstības eksperte

Starptautiski iegūta praktiska pieredze plānojot un ieviešot Datu aizsardzības regulu Baltijas valstīs. Lektore Valsts administrācijas skolā, kā arī iekšējās klientu apmācībās. Sertificētā iekšējā auditore (CIA), un kvalificēta iekšējā audita ārējo novērtējumu veicēja.

Linda Sīle
Linda
Sīle
risku pārvaldības, iekšējā audita un iekšējo kontroļu eksperte

Ieguvusi maģistra grādu finanšu un investīciju pārvaldībā, kā arī maģistra grādu biznesa vadībā (MBA). Ir ilggadēja pieredze risku pārvaldības, iekšējā audita un iekšējo kontroļu pilnveidošanas jomā gan valsts, gan privātajā sektorā. Darba pieredze iegūta, strādājot VAS "Latvijas pasts", Centrālajā finanšu un līgumu aģentūrā, auditorkompānijā "Ernst&Young", šobrīd – SIA "Latvijas Mobilais Telefons". Vadījusi seminārus par risku vadību, iekšējo auditu un iekšējo kontroli Valsts administrācijas skolā un Iekšējo auditoru institūtā, kā arī uzstājusies vairākās vietēja un starptautiska mēroga konferencēs.

SIA BDO Latvia

SIA BDO Latvia

BDO Latvia pārstāv pasaulē piekto lielāko revīzijas un finanšu pakalpojumu uzņēmumu tīklu BDO, kas apvieno vairāk nekā tūkstoti biroju vairāk nekā simts pasaules valstīs, nodarbinot turpat 50 tūkstošus augsti kvalificētu darbinieku, sniedzot finanšu un grāmatvedības konsultatīvos pakalpojumus gan vietējiem, gan starptautiskiem klientiem.
BDO Latvia sniedz pakalpojumus nodokļu plānošanā uzņēmumiem un fiziskām personām, deklarāciju un VID auditu sagatavošanā, kā arī aktīvu izvietošanas plānošanā

Riska rokasgrāmatas pamatteksta izstrāde

Speciālisti, kas piedalījušies rokasgrāmatas pamatteksta izstrādē:

Jeļena
Šuškeviča

Viena no zinošākajiem Latvijas konsultantiem korporatīvo finanšu jomā. Jeļena ir piedalījusies vairāk nekā 300 uzņēmumu pirkšanas-pārdošanas, apvienošanas un restrukturizācijas darījumos, biznesa attīstības projektu, kā arī valsts finansēto zinātnisko pētījumu izstrādē.

Reinis
Šembelis

Sertificēts uzņēmējdarbības un nemateriālo aktīvu vērtētājs. Ir piedalījies vairāku Latvijas lielāko uzņēmumu novērtēšanas procesos, kā arī M&A darījumu sagatavošanā un konsultēšanā. Papildus Reinis ir piedalījies pēc Latvijas neatkarības atgūšanas lielāko investīciju projektu izmaksu-ieguvumu analīzes izstrādē un projektu finansiāli ekonomiskajā novērtēšanā.

Alek­sa­ndrs Vel­lers
Alek­sa­ndrs
Vel­lers
Bs.sc.oec., AS BDO Kor­po­ra­tī­vo fi­nan­šu no­da­ļas ve­cā­kais eks­perts
Liene Švirksta
Liene
Švirksta

Riska rokasgrāmatai sagatavotie materiāli

Rokasgrāmatas papildinājumu izstrādē iekļauti šādu autoru sagatavotie materiāli:

Vita Liberte
Vita
Liberte

Vadošā partnere, zvērināta advokāte, sertificēta nodokļu konsultante, kas teicami pārzina nodokļu plānošanu vietējā un starptautiskā līmenī. Vitas profesionālā pieredze ir saistīta ar darba strīdu risināšanu, konsultēšanu par līgumu un citu darba tiesības regulējošo dokumentu izstrādi, klienta interešu pārstāvību pirmās instances, apelācijas un kasācijas instances tiesās, kā arī valsts un pašvaldību iestādēs. Darba strīdā pārstāvējusi klienta intereses. Vita regulāri uzstājas dažādās vietējā un starptautiskā mēroga konferencēs, sniedzot referātus par aktuāliem likumdošanas jautājumiem. Vitas interešu lokā ietilpst privātā un publiskā partnerība – Vita ir Latvijas Publiskās un privātās partnerības asociācijas (PPPA) dibinātāja. Sadarbībā ar Latvijas Investīciju un attīstības aģentūru organizējusi un vadījusi konferences un seminārus, kā arī lasījusi lekcijas par tiesību normu piemērošanu un aktualitātēm likumdošanā. Pirms BDO Zelmenis & Liberte dibināšanas Vitas karjera bija saistīta ar divām starptautiska līmeņa auditorfirmām – Pricewaterhouse Coopers Ņujorkas biroju un Deloitte Latvia. Vita ieguvusi maģistra grādu starptautiskajās tiesībās prestižajā Ņujorkas Universitātē un ir aktīva Amerikas advokātu asociācijas biedre.

Dace Indāne
Dace
Indāne

TGS Baltic zvērināta advokāte, kā arī sertificēta datu aizsardzības speciāliste, kura praktizē apvienošanas un iegādes, strīdu atrisināšanas, sabiedrību tiesību, nodarbinātības, komerctiesību un kapitālsabiedrību dalībnieku strīdu jomā. Viņa ir konsultējusi klientus sarežģītos darba tiesību strīdos, ir vairāku publikāciju autore, kā arī viena no grāmatas Darba likums ar komentāriem autorēm.zvērināta advokāte, kā arī sertificēta datu aizsardzības speciāliste, kura praktizē apvienošanas un iegādes, strīdu atrisināšanas, sabiedrību tiesību, nodarbinātības, komerctiesību un kapitālsabiedrību dalībnieku strīdu jomā. Viņa ir konsultējusi klientus sarežģītos darba tiesību strīdos, ir vairāku publikāciju autore, kā arī viena no grāmatas Darba likums ar komentāriem autorēm.

Rihards
Niedra
Zvērinātu advokātu biroja VARUL zvērināta advokāta palīgs
26.11.2019

Korupcijas uztveres indekss

Uzņēmumiem un organizācijām, uzsākot sadarbību starptautiskā līmenī, var nākties saskarties ar atšķirīgu attieksmi pret korupcijas risku, jo tā kontekstu veido attiecīgās valsts ekonomiskā attīstība, vēsture, tradīcijas un daudzi citi korupcijas izplatību ietekmējošie faktori.

Šādās situācijās viens no biežāk izmantotajiem avotiem ir korupcijas uztveres indekss. Tāpat nozīmīgs ir OECD dokuments «Labās prakses vadlīnijas iekšējās kontroles, ētikas un atbilstības nodrošināšanai». 

Būtiski ņemt vērā:

  • korupcijas riska uztvere dažādās valstīs var būtiski atšķirties, un to ietekmē daudzi faktori;
  • starptautiskajā vidē izmantotais korupcijas uztveres indekss Latviju ierindo vidējā korupcijas riska līmeņa grupā un pēdējos gados šajā rādītājā nav būtisks progress;
  • starptautiskās organizācijas iesaka korupcijas riska pārvaldību skatīt vienotā ētikas un atbilstības programmas ietvarā.

"Neraugoties uz to, ka minētās vadlīnijas attiecināmas uz ārvalstu darījumiem, tās vienlīdz labi palīdz pārbaudīt jebkuras institūcijas vai uzņēmuma pārvaldības modeļa pilnīgumu attiecībā uz kukuļošanas riska pārvaldību," norāda risku pārvaldības, iekšējā audita un iekšējo kontroļu eksperte Linda Sīle. Jāpiebilst, ka sadarbībā ar autori Lindu Sīli rokasgrāmatā ir izveidota nodaļa par korpucijas risku, skaidrojot jēdzienu, riska veidus, galvenos cēloņus, iestāšanās sekas utt. Informācija par korupcijas uztveres indeksu papildina iepriekšpublicēto.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



08.07.2019

Reputācija – organizācijas vislielākā vērtība

Mūsdienās viens no organizācijas aizsargājamajiem aktīviem ir reputācija. Reputācija ir ieinteresēto pušu uztveres rādītājs, kā arī emocionāla saikne starp ieinteresētajām pusēm un organizāciju. Par reputāciju uzskata arī ieinteresēto pušu uzticības līmeni un pozitīvās sajūtas par konkrēto organizāciju.

Amerikas Savienoto Valstu biznesa magnāts un filantrops Varens Bafets (Warren Buffett) ir minējis, ka, lai izveidotu labu reputāciju ir nepieciešami vismaz 20 gadi, bet, lai to sagrautu, nepieciešamas vien 5 minūtes. Savukārt amerikāņu viedokļu līderis un politiķis Bendžamins Franklins (Benjamin Franklin) ir teicis, ka ir jāpaveic ļoti daudz labu darbu, lai izveidotu labu reputāciju, un jāizdara tikai viena slikta darbība, lai to pazaudētu.

Pēdējo 10 gadu laikā arvien biežāk īstenojas augsta līmeņa krīzes, tostarp kiberuzbrukumi, produktu atsaukšana no tirgus un sociālo mediju publikācijas, kas spēj sagraut organizācijas prestižu un reputāciju ļoti īsā laika posmā. Organizāciju publiski, tostarp plašsaziņas līdzekļos, novērtē, ņemot vērā dažādus aspektus, ne tikai to, kā tā spēj nodrošināt produktus un pakalpojumus, bet gan arī, kāda ir tās ietekme uz sabiedrību, kāds ir tās tēls, tai skaitā darba devēja tēls.

Ar sociālo mediju starpniecību jaunumi par organizācijām "ceļo" dažu minūšu laikā visā pasaulē, un tādā veidā tiek ietekmēta sabiedrības uztvere. Līdz ar to reputācijai un tās veidošanai būtiski pievērst uzmanību, sākot ar atbildēm, piemēram, uz šādiem jautājumiem:

  • Kādi ir reputāciju veidojošie iekšējie un ārējie faktori?
  • Kā tiek ietekmēta ieinteresēto pušu uztvere par organizāciju?
  • Kādi ir ieguvumi no organizācijas labas reputācijas?
  • Kā jārīkojas organizācijas augstākajai vadībai saistībā ar reputācijas veidošanu?
  • Ko uzskata par reputācijas risku?
  • Kādi notikumi var izraisīt reputācijas risku?
  • Kā pieņemt efektīvus reputācijas riska vadības lēmumus?
  • Kāda ir reputācijas riska mijiedarbība ar citiem riskiem?
  • Kādas var būt reputācijas riska sekas īstermiņā, vidējā termiņā un ilgtermiņā?
  • Kādi ir reputācijas riska vadības pīlāri un to nozīme?
  • Kāpēc reputācijas riska vadībā nepieciešams īstenot noteiktus procesus, piemēram, veidot vienotu izpratni par ieinteresēto pušu vēlmēm?
  • Kā reputācijas riska vadība atšķiras no krīzes vadības?
  • Kā reputācijas riska notikumi var ietekmēt katru no reputācijas dimensijām?
  • Cik liels – augsts, vidējs vai zems – ir riska notikumu ietekmes novērtējums uz ieinteresētajām pusēm?

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



29.03.2019

Korupcijas risks: veidi, cēloņi, sekas

Korupcijas risku nav vienkārši izskaidrot, jo korupcija izpaužas daudzās dažādās formās un tiek izdomāti aizvien jauni veidi, kā šos noziegumus pastrādāt un noslēpt pēdas. Vienkāršākajā variantā korupciju var skaidrot kā dienesta stāvokļa ļaunprātīgu izmantošanu sava labuma gūšanai. Tas sevī ietver trīs galvenos elementus:

  1. Darbojošās personas – tās var pārstāvēt valsts varu vai privāto sektoru, tās var būt fiziskas personas, uzņēmumi vai organizācijas kā, piemēram, politiskās partijas.
  2. Dienesta stāvokļa ļaunprātīgu izmantošanu – tas prasa, lai korupcijā iesaistītā persona ieņemtu amatu valsts vai privātā organizācijā.
  3. Labuma gūšanu – abas koruptīvā darbībā iesaistītās puses saņem labumu mantiskā izteiksmē vai nepamatotu priekšrocību veidā. 

Latvijas likumdošanā korupcija tiek definēta kā "kukuļošana vai jebkura cita valsts amatpersonas rīcība, kas vērsta uz to, lai, izmantojot dienesta stāvokli, savas pilnvaras vai pārsniedzot tās, iegūtu nepelnītu labumu sev vai citām personām[1]."

Korupcijas risku var definēt kā "varbūtību, ka kāds no nodarbinātajiem, kuram uzticēta vara vai atbildība noteiktu pilnvaru ietvaros, ar nodomu vai bez nodoma rīkosies savu vai citas personas materiālo interešu labā, gūstot sev vai nodrošinot citiem nepienākošos labumus un nodarot kaitējumu  institūcijai"[2]

Ņemot vērā šo korupcijas riska definīciju, ir skaidrs, ka labākais veids cīņai ar korupciju ir katrai organizācijai iekšēji prognozēt šo koruptīvo darbību varbūtību, liekot tām šķēršļus un  uzraugot savu darbību tā, lai pēc iespējas ātrāk koruptīvas darbības atklātu un novērstu to tālāku ietekmi.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



 
  1. ^ Korupcijas novēršanas un apkarošanas biroja likums
  2. ^ "Vadlīnijas par iekšējās kontroles sistēmas pamatprasībām korupcijas un interešu konflikta riska novēršanai publiskas personas institūcijā", KNAB (31.01.2018.) 
05.02.2019

Ar ko ir jāsāk uzņēmumam personas datu apstrādē personālvadības vajadzībām?

Atsaucoties uz Eiropas Komisijas Regulā pausto mudinājumu izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu Regulas atbilstīgu piemērošanu, un, ņemot vērā dažādo datu apstrādes nozaru specifiskās iezīmes, atzinīgi jānovērtē Latvijas Personāla vadīšanas asociācija, kas ir izstrādājusi vadlīnijas personāla datu apstrādes jomā[1] (turpmāk – Vadlīnijas).

Vadlīnijas izstrādātas, lai precizētu pārziņu – darba devēju – un to nolīgto apstrādātāju pienākumus saistībā ar personas datu apstrādi, nodrošinot personāla vadības funkciju un Regulas pareizu piemērošanu personāla vadības jomā.

Vadlīnijās noteiktais, ciktāl konkrētu rīcību kā obligātu nenosaka tiesību akti, ir uzskatāms par labās prakses ieteicamu rīcību.

Vadlīnijās cita starpā ir norādīti tiesiskie pamati datu apstrādes personāla jomā, kas varētu būt lietderīgi jebkuram uzņēmumam, definējot tiesisko pamatu personas datu apstrādē personālvadībā, jo bez līguma kā tiesiskā pamata starp darba devēju un darba ņēmēju ir norādītas citas (plašākas) darba devēja iespējamās leģitīmās intereses: personāla resursu nodrošināšana, plānošana ("institucionālā atmiņa"), attīstība un izaugsme, informācijas, infrastruktūras, personu drošības nodrošināšana, personas datu apstrāde uzņēmumu grupā/iestāžu sistēmā iekšējiem administratīvajiem nolūkiem (piemēram, iekšējā komunikācija), vienota elektroniskā pasta sistēma, finanšu, personāla pārvaldības nodrošināšana, korporatīvās kultūras nodrošināšana (piemēram, dokumenta dalībnieka pasākumi), apbalvojumi, sporta un citas saliedējošas aktivitātes u.c.

Tomēr, ar ko ir jāsāk uzņēmumam personas datu apstrādē personālvadības vajadzībām?

Darbinieku atlase ir viens no pirmajiem soļiem personas datu apstrādē uzņēmumā. Potenciālie darba pretendenti nereti savos CV norāda datus, kas netiek prasīti darba sludinājumā (un nebūtu jānorāda), piemēram, personas kods, dzimšanas datums.

Redzu, ka uzņēmumi piekopj divu veidu praksi: vienā gadījumā darba sludinājumā norāda datu apstrādes apjomu un pamatu, un otrā – ierodoties uz pirmo interviju, datu apstrādes apjoms tiek minēts piekrišanas formā, kuru potenciālais darba pretendents paraksta.

Ja plānojat pretendentu pieteikumus izmantot ne tikai viena amata atlasei, bet arī citu amatu atlases procesos, vai iekļaut attiecīgā datu bāzē, tas ir norāda darba sludinājumā, vai vēlāk, intervijas laikā, jāprasa piekrišana, norādot, kur un cik ilgi dati tiks uzglabāti.

Latvijas Personāla vadīšanas asociācija iesaka atlases dokumentiem piemērot 4 mēnešu uzglabāšanas termiņu (viena amata konkursa ietvaros). Ja ir plānots pieprasīt atsauksmes par potenciālo kandidātu no iepriekšējiem darba devējiem, tas ir jānorāda darba sludinājumā vai jāgūst piekrišana intervijas laikā.

Saskaņā ar Vadlīnijām, ja intervijas tiek protokolētas, pretendentu iepriekš par to informē. Lai veiktu intervijas video vai audio ierakstu, ir jābūt attiecīgam iemeslam, kas dod tam leģitīmu/juridisku pamatojumu, piemēram, tas izriet no normatīvā akta, drošības apsvērumiem vai intervijas attālinātu norisi. Dokumenti un citi materiāli, kas rodas intervijas rezultātā, jāglabā tādu pašu termiņu, kā visi atlases dokumenti. Personāla atlases procesa un darba intervijas laikā iesniegtie un radītie personas dati tiek glabāti tā, lai tie nebūtu pieejami citām personām. Ja pretendents nav ticis pieņemts darbā, tad darba devējam ir pienākums informāciju dzēst un iesniegtos dokumentus iznīcināt, kad personāla atlase uz attiecīgo amatu ir pabeigta un ir pagājis termiņš lēmuma pārsūdzēšanai, kā arī ir pagājis termiņš, kurā var kļūt zināms, ka pieņemtais darbinieks var neizturēt pārbaudes laiku vai valsts iestādēs – netiek piešķirta pielaide noteiktai informācijai, un darba devējam var rasties nepieciešamība izmantot atlasei iesniegtos dokumentus. Datus par pretendentu ilgāk var glabāt tikai ar pretendenta piekrišanu un tikai noteiktam mērķim – citas personālas atlases mērķim, norādot glabāšanas laiku.

Ja atlases ietvaros tiek piesaistīta cita kompānija, tad šai citai kompānijai ir jānodrošina datu apstrāde Regulas ietvaros. To ieteicams fiksēt savstarpējā sadarbības līgumā, sīkāk definējot būtiskākos riskus. Ierakstot tikai vienu vispārēju teikumu – atlases kompānija nodrošina datu apstrādi atbilstoši spēkā esošajiem tiesību aktiem –, līguma slēdzējs uzliek atbildību uz atlases kompāniju tikai daļēji, un personas datu pārkāpuma gadījumā potenciālais darba devējs būs līdzatbildīgs. Tāpēc labā prakse ir pārliecināties par atlases kompānijas personas datu aizsardzības pasākumiem praksē, iepazīstoties ar tās iekšējiem dokumentiem, un, iespējams, veikt pārbaudes klātienē. Paļaušanās, ka ikkatra trešā puse (šajā gadījumā – ikkatra atlases kompānija) pēc noklusējuma pildīs tiesību aktu, var būt maldinoša. Pilnīgai pārliecībai iesaku veikt pārbaudes ikkatram augsta riska piegādātājam. No prakses atceros audita un revīzijas pakalpojumu sniegšanas kompāniju, kuru pārbaudot atklāju elementārus IT drošības pārkāpumus.

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



 
  1. ^ Latvijas Personāla vadīšanas asociācijas vadlīnijas personāla datu apstrādes jomā, 2018. gads. Pieejams: http://www.dvi.gov.lv/lv/wp-content/uploads/Vadl%C4%ABnijas-person%C4%81la-datu-apstr%C4%81des-jom%C4%81.pdf
31.01.2019

Kāpēc uzņēmumiem ir svarīgi ar ESG saistītie riski?

Pēdējo gadu desmitu un jo īpaši pēdējo 10 gadu laikā ESG risku izplatība ir strauji pieaugusi. To veicina vides un sociālo problēmjautājumu pieaugums, ar kuriem uzņēmumiem jāsaskaras, vienlaikus pievēršot daudz lielāku uzmanību iekšējai uzraudzībai, pārvaldībai un kultūrai šo risku vadībā. 

Jebkura organizācija, tostarp privātie uzņēmumi, valsts iestādes un bezpeļņas organizācijas, saskaras ar apkārtējās vides (Environmental), sociālās vides (Social) un pārvaldības (Governace) radītajiem riskiem (turpmāk – ESG riski), kas var ietekmēt to panākumus un pat izdzīvošanu. Ņemot vērā ESG risku unikālo ietekmi un atkarību, COSO (Committee of Sponsoring Organizations of the Treadway Commission) ir centusies izstrādāt vadlīnijas, kuras palīdzētu uzņēmumiem labāk izprast šo risku pilnu spektru, tos atklāt un efektīvi pārvaldīt.

Arī Latvijā arvien vairāk parādās uzņēmumi, kuri aktīvi domā ESG filozofijas kontekstā un ESG principus integrē savā uzņēmējdarbības stratēģijā. Latvijā ir izveidota biedrība "Korporatīvās ilgtspējas un atbildības institūts" (InCSR), kura dibināta ar mērķi stiprināt valsts un vietējās kopienas ilgtspējīgu attīstību, izglītojot sabiedrību, paaugstinot izpratni par atbildīgu un tālredzīgu rīcību un sekmējot pilsoniskās sabiedrības attīstību. Ar ESG saistītie riski un to pārvaldība kļūst arvien aktuālāks jautājums ne tikai pasaulē, bet arī Latvijā.

Būtiskākie aspekti:

  1. Mainīga globālā riska aina. Katru gadu Pasaules ekonomikas foruma globālajā riska pārskatā tiek apkopoti uzņēmumi, valdības, pilsoniskā sabiedrība un vadītāji, lai saprastu visaugstākos riskus, to ietekmi un iespējamību. Pēdējo desmit gadu laikā šie riski ir ievērojami mainījušies. 2008. gadā no pieciem būtiskajiem riskiem tika ziņots tikai par vienu sabiedrības risku – pandēmiju. 2018. gadā četri no pieciem galvenajiem riskiem bija vides vai sabiedrības problēmjautājumi, tostarp ārkārtēji laika apstākļi, ūdens krīzes, dabas katastrofas un neveiksmes klimata pārmaiņu mazināšanā un pielāgošanā.
  2. Investoru interese par ESG riskiem. Pieaug investoru interese par to, kā organizācijas identificē ESG riskus un kā uz tiem reaģē. 2018. gadā piedāvājumos par vides un sociālajiem jautājumiem bija iekļauti tādi  aspekti kā politiskie izdevumi un lobēšana, siltumnīcefekta gāzu emisijas, ziņošana par ilgtspējību, daudzveidība, cilvēktiesības, ieroču kontrole un recepšu medikamenti. Lielākā daļa no investoru atbalstītajiem priekšlikumiem bija tieši saistībā ar ESG jautājumiem.
  3. ESG informācijas atklāšana un regulējums. Ilgtspējības ziņojumi ir kļuvuši par normu daudzām publiskām un privātām organizācijām. Arī bezpeļņas un valsts pārvaldes struktūras ir sākušas atklāt ESG informāciju ieinteresētajām personām. Vairums uzņēmumu saskaras ar ieguldītāju, klientu un/vai piegādātāju pieprasījumu pēc lielākas pārredzamības attiecībā uz ESG jautājumiem.
  1. ESG un risku informācijas atklāšanas salīdzinājums. Lai gan ESG informācija tiek izpausta arvien vairāk, pierādījumi liecina, ka problēmas, par kurām ziņots ilgtspējības ziņojumos vai ESG informācijā, ne vienmēr atbilst riskiem, par kuriem tiek ziņots, atklājot informāciju iestādē iekšienē. Uzņēmumi, kas ir WBCSD (World Business Council for Sustainable Development) dalībnieki, norāda daudzus iemeslus, tostarp:
    • izaicinājumu kvantitatīvi noteikt ar ESG saistītos riskus naudas izteiksmē. Ja tas netiek darīts, ir daudz grūtāk noteikt prioritātes un pienācīgi sadalīt resursus, jo īpaši tad, ja risks ir ilgstošs un nezināmā laika posmā rodas nenoteikta ietekme;
    • zināšanu trūkumu par ESG saistītajiem riskiem uzņēmumā un ierobežotu riska pārvaldības un ilgtspējas praktiķu sadarbību;
    • ESG saistītos riskus pārvalda un atklāj ilgtspējas speciālistu grupa, un tos uzskata par mazāk nozīmīgiem riskiem nekā tradicionālos stratēģiskos, darbības vai finanšu riskus, radot neobjektivitāti attiecībā uz ESG saistītajiem riskiem.

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 



19.12.2018

Minimālais apjoms, kas ir jāpārzina uzņēmuma vadītājam par GDPR

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Regula), kas stājās spēkā 2018. gada maijā, attiecas uz ikkatru uzņēmumu Latvijā.

ES Regulas, atšķirībā no Direktīvām, ir saistošas pilnā apmērā katrā no Eiropas Savienības dalībvalstīm.

Varētu pieņemt, ka visi uzņēmumi šo jomu ir sakārtojuši līdz minētajam datumam, tomēr realitāte ir cita, tāpēc šī tēma vēlreiz tiek aktualizēta, un, iespējams, sniegs nepieciešamo atbalstu, ieviešot Regulas prasības. Viens no Regulas pamatpostulātiem ir sniegt datu subjektiem (fiziskām personām) informāciju skaidrā un saprotamā valodā, kas ir pamats šajā rokasgrāmatā izmantotajam rakstības stilam.

Regula paģēr soda sankcijas līdz 4% no gada apgrozījuma par Regulas prasību pārkāpšanu.

2018. gada 27. novembrī Datu aizsardzības regulatori vienlaikus Lielbritānijā (433,000 EUR) un Holandē (600,000 EUR) sodīja taksometru pārvadājumu firmu Uber par faktu, ka 2016. gadā, hakeriem uzlaužot un piesavinoties 57,000 šoferu un pasažieru dzīvesvietu datus, telefonu numurus un e-pasta adreses, Uber samaksāja izpirkuma naudu 100,000 EUR, un par šo datu noplūdi neziņoja ne regulatoriem, ne personām, kuru dati tika nopludināti. 2017. gadā Uber ASV par šo pašu incidentu samaksāja 148 miljonus USD.

Personas dati Regulas izpratnē ir informācija, kas var konkrēti identificēt personu jeb datu subjektu. Piemēram, e-pasta adrese, kas satur vārdu un uzvārdu, ir personas dati. Cita starpā personas dati ir vārds, uzvārds, personas identifikācijas kods, personas apliecības numurs, mājas adrese, interneta protokola (IP) adrese, atrašanās vietas dati, papildu iepirkšanās paradumi, vecums, ģimenes stāvoklis u.c. Personas dati nav uzņēmuma reģistrācijas numurs, e-pasta adrese, kas nesatur darbinieku vārdus un uzvārdus, un anonimizēti dati.

Uzņēmuma pirmais solis – identificēt visus fiziskās personas datu veidus, kurus uzņēmums iegūst, uzkrāj un apstrādā.

Otrais solis – saprast, vai ir likumīgs pamats tos iegūt un apstrādāt. Personas dati (piemēram, klienta grāmatvedes telefons, vārds, uzvārds, e-pasts), kurus jūs iegūstat, lai izpildītu klientu un sadarbības partneru pasūtījumus, visticamāk, tiek apstrādāti likumīgi, jo tie ir iegūti, noslēdzot līgumu ar šo sadarbības partneri, un sadarbības partneris ir iekļāvis šo informāciju līgumā.

Savukārt, ja līgumā ir norādīts tikai paraksttiesīgās personas vārds, uzvārds un kontaktinformācija, ir vēlams pieprasīt grāmatvedes (un pārējo kontaktpersonu) piekrišanu datu apstrādei jūsu uzņēmuma vajadzībām.

Trešais solis – saprast, vai dati tiek uzglabāti droši, kontrolēti un aizsargāti. Regula norāda uz organizatoriskām un tehniskām prasībām, kuras ieviešot tās ir nodrošināmas ikkatrā uzņēmumā. Antivīrusu programmatūra, darbinieku identifikatoru un paroļu izmantošana, paroļu regulāra maiņa, penetrācijas testi pakalpojuma sniegšanas tīmekļvietnēm ir piemēri tehniskajām prasībām. Organizatoriskās prasības ietver pārdomātu un ierobežotu datu apstrādi, t.i., dati, kas iegūti par fizisku personu, ir jāizmanto tikai tādā apmērā, kas nepieciešams konkrētam apstrādes nolūkam.

Risks ir definēts kā iespēja, ka iestāsies notikums un ietekmēs stratēģijas un darbības mērķu sasniegšanu. Savukārt notikums (Event) tiek definēts kā starpgadījumu, kuri var notikt ikdienā, kopums.

Pamatnostādnēs uzsvērts, ka risks ir saistīts ar potenciālu notikumu, apsverot tā smaguma pakāpi. Dažos gadījumos risks var attiekties uz notikuma gaidām, kas nenotiek.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



15.06.2018

Uzņēmuma risku vadība: attīstība no kuba (2004.) līdz spirālei (2017.)

Pēc vairāku gadu ilgas izpētes, apspriedēm, debatēm un kritikas 2017. gada vasarā Committee of Sponsoring Organizations of the Treadway Commission (COSO) laida klajā jaunos norādījumus uzņēmuma risku pārvaldībā (ERM): «Uzņēmuma risku vadība – integrācija ar stratēģiju un sniegumu» (Enterprise Risk Management – Integrating with Strategy and Performance).

Kopš iepriekšējā ERM, kas tika izlaists 2004. gadā, daudz kas ir mainījies riska un riska vadības jomā. Piemēram, ir mainījusies uzņēmējdarbības sarežģītība, un jaunie riski turpina attīstīties straujāk nekā agrāk. Klientu uzvedības maiņa ievērojami ietekmē globālo ekonomiku, kas kļuvusi neprognozējama, bet tehnoloģiskais progress ir radījis ne tikai jaunas iespējas uzņēmējdarbībai un vadībai, bet arī radījis jaunu riska kategoriju – kibernoziedzības risku.

Tehnoloģiju attīstība un lielāks pārredzamības pieprasījums ir radījis spriedzi stratēģiskās plānošanas procesos un spējā īstenot operacionālo darbību. Minēto problēmu risināšana prasa, lai uzņēmums uzņemtos jaunu pieeju riska vadībai: tādu, kas palīdz radīt, saglabāt un realizēt vērtību tagad un nākotnē.

Mūsu izpratne par riska būtību, izvēles, tai skaitā lēmumu, māksla un zinātne ir modernās ekonomikas pamatā. Katrai izvēlei, ko mēs veicam mērķu sasniegšanā, ir savi riski. No ikdienas operacionālajiem lēmumiem līdz fundamentāliem darījumiem vadības kabinetos, un tam ir būtiska loma kā šajās izvēlēs – lēmumu pieņemšanā – tikt galā ar riskiem.

Tā kā mēs cenšamies optimizēt iespējamo rezultātu amplitūdu, lēmumi retos gadījumos ir viennozīmīgi, ar pareizu un nepareizu atbildi. Tāpēc uzņēmuma risku pārvaldību var saukt par mākslu un zinātni. Un, ja risks tiek ņemts vērā uzņēmuma stratēģijas un uzņēmējdarbības mērķu formulēšanā, uzņēmuma risku vadība palīdz rezultātus optimizēt.

Izpratnei par risku un uzņēmuma risku vadības praksi pēdējo desmitgažu laikā ir tendence uzlaboties, bet paliek mazāk vietas kļūdām. Pasaules ekonomikas forums arī pieminēja «pasaulē pieaugošo nestabilitāti, sarežģītību un neskaidrību». Tas ir fenomens, ar ko mēs visi sastopamies. Uzņēmums saskaras ar izaicinājumiem, kas ietekmē uzticamību un uzticēšanos. Šodien ieinteresētās personas ir vairāk iesaistītas, cenšoties panākt lielāku pārredzamību un atbildību par riska ietekmes pārvaldību, vienlaikus kritiski izvērtējot vadības spēju atrast iespējas.

Organizācijām ir vairāk jāpielāgojas izmaiņām. Organizāciju augstākajai vadībai/valdei (vadībai) ir stratēģiski jādomā par to, kā pārvaldīt apkārtējās vides pieaugošo svārstīgumu, sarežģītību un neskaidrību; jo īpaši par to jādomā augstākā līmeņa vadītājiem.

ERM 2017 pauž «uz nākotni vērstu» uzņēmuma risku vadības skatījumu, uzsverot, cik svarīgi ir apsvērt riskus stratēģijas noteikšanas procesos un darbības pārvaldībā visā uzņēmumā. Grafikas izmaiņas no labi pazīstamā 2004. gada «kuba» līdz 2017. gada «spirālei» atspoguļo attīstību: redzot ERM kā instrumentu kopumu vērtību saglabāšanai, izmantojot ERM kā vērtību radīšanas veicinātāju.

No kuba līdz spirālei

Atjauninātajā dokumentā ir uzsvērts, cik svarīgi ir apsvērt risku gan stratēģijas noteikšanas procesā, gan darba snieguma (performance) izpildē. Tas arī sniedz precīzākus norādījumus par to, kas ir uzņēmuma risku vadība un kas nav. Patiesā ERM vērtība ir tā, ka tā veicina vispārēju pieeju un izpratni par riskiem. Pārāk bieži aizņemtie uzņēmumu vadītāji izmanto ERM kā resoru vai pazemina to līdz kontrolsaraksta uzdevumu līmenim. Viņiem vajadzētu saprast, ka ERM ir daudz kas vairāk par to.

Dokumentā ir atjaunota un skaidrota riska un ERM jēdzienu definīcija, kas nosaka pakāpi, kādā riski un risku vadība ietekmē visas uzņēmuma jomas.

Vienmēr pastāv iespēja, ka mēs nezinām, kā uzņēmuma stratēģija un iespējamie notikumi var ietekmēt uzņēmējdarbības mērķus. Notikuma iestāšanās (vai neiestāšanās) risks rada nenoteiktību. Uzņēmējdarbībā nenoteiktība pastāv, kad vien uzņēmums uzsāk īstenot nākotnes stratēģiju un uzņēmējdarbības mērķus. Šajā kontekstā:

Risks ir definēts kā iespēja, ka iestāsies notikums un ietekmēs stratēģijas un darbības mērķu sasniegšanu. Savukārt notikums (Event) tiek definēts kā starpgadījumu, kuri var notikt ikdienā, kopums.

Pamatnostādnēs uzsvērts, ka risks ir saistīts ar potenciālu notikumu, apsverot tā smaguma pakāpi. Dažos gadījumos risks var attiekties uz notikuma gaidām, kas nenotiek.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



24.05.2018

Informācijas drošības draudu tendences: mūsdienu realitāte

Kopš 90. gadu sākuma informācijas tehnoloģiju (IT) izmantošana ir būtiski pārveidojusi uzņēmumu darbības pieejas, ņemot vērā arī uz kibernoziegumiem orientēto vidi. Klientu pasūtījumi tiek apstrādāti ar elektronisku datu apmaiņu internetā ar nelielu cilvēku iesaisti vai bez cilvēku līdzdalības. Biznesa procesi bieži tiek nodoti ārpakalpojumu sniedzējiem, jo ir iespējama sadarbība, izmantojot tīkla savienojumus. Arvien vairāk uzņēmumu darbinieku strādā attālināti vai no mājām, jo ne vienmēr nepieciešams darbs klātienē birojā. Produkcijas noliktavas parasti ir aprīkotas ar radiofrekvenču identifikācijas iekārtām. Gandrīz visas bankas piedāvā internetbanku un darbojas tiešsaistes (online) sistēmā. Līdz ar to pastāvīgi attīstās un paplašinās informācijas drošības draudi.

Uzņēmumi automatizē procesus, piesaistot tehnoloģijas, tādēļ pieaug biznesa digitalizācijas risks. Personiskās un privātā biznesa informācijas zādzības, resursu piesavināšanās, pakalpojumu aizliegumi – kibernoziegumi kļūst ikdienišķa parādība, kas skar gan lielos, gan mazos uzņēmumus.

Kopš 2010. gada un arī tuvākajā nākotnē var runāt par vairākiem galvenajiem apdraudējumiem.

1. Kibernoziegumi

Sākotnēji internets bija paredzēts galvenokārt informācijas apmaiņai, nevis kā līdzeklis tās aizsardzībai. Taču tagad internets ir arvien pievilcīgāks «medījums» noziedzniekiem – IT aktīvisti un hakeri kļūs motivētāki, lai pelnītu naudu, tiktu pamanīti, izraisītu traucējumus vai pat izputinātu uzņēmumus ar uzbrukumiem tiešsaistē.

Masu mediji aizvien biežāk informē par būtiskiem kibernoziegumiem. Lai arī kiberuzbrukumi dominē atsevišķās jomās, tomēr tiem ir pakļautas visas nozares. Kuri dati, kādas sistēmas un aktīvi kļūs par kibernoziedznieku vērtību kādā konkrētā brīdī, ir atkarīgs no uzbrucēja motīva.

Organizācijām ir jābūt gatavām neprognozējamajam, lai būtu iespējams mobilizēties neparedzētiem un lielas ietekmes notikumiem.

Nodalīta pieeja informācijas drošībai, darbības nepārtrauktībai un reaģēšanai uz incidentiem ir pagātne. Šodien nepieciešamība steidzami nodrošināt pastāvīgi pieejamus pakalpojumus klientiem un biznesa partneriem digitālajā ekonomikā nepieprasa uzņēmumiem kļūt elastīgākiem. Elastīgs uzņēmums spēj pasargāt sevi no uzbrukumiem, taču jāatzīst, ka ar aizsardzību vien var nepietikt. Elastīgam uzņēmumam ir jāizveido saikne starp aizsardzību, uzņēmuma misijas īstenošanu un mērķu sasniegšanu, īstenojot integrētas programmas, lai nodrošinātu uzņēmuma un tā darbību ilgtspējīgu pastāvēšanu.

Uzņēmuma vadībai ir jānovērtē pamatdarbības riski digitālajā uzņēmējdarbībā un tiešā pārvaldība, tādējādi nodrošinot, ka uzņēmums ir vairāk nekā tikai aizsargāts, bet tas ir dzīvotspējīgs.

Tā kā kiberincidenti un ar tiem saistītie zaudējumi palielinās katru gadu, tad arvien vairāk aug kibernoziegumu risku pārvaldības loma uzņēmumos. Uzņēmuma valdei un, piemēram, revīzijas un riska komitejām, ja tādas ir izveidotas, ir stingri jāpārrauga risku vadība, lai sagatavotie risku vadības pasākumu plāni ir pilnīgi un to īstenošana pienācīgi aizsargā organizāciju.

Riska loma uzņēmumā pieaug saistībā ar informācijas un sakaru sistēmas pastiprināto integrāciju operacionālajā darbībā un tirgū. Lai rastu kompromisu starp tehnisko risku un iespējamo ielaušanos informācijas sistēmās, uzņēmuma riska pārvaldībā būtu jāievieš jauna pieeja informācijas aizsardzībai un reaģēšanai. IT ir būtisks uzņēmējdarbības atbalsta komponents, un līdz ar to kiberaizsardzība vairs nav tikai tehniskas dabas jautājums, bet ir arī biznesa jautājums, kam jāpiesaista augstākās vadības uzmanība.

Nozīmīgākie trūkumi organizācijā, kuri izraisa būtiskas neveiksmes:

  • Augstākās vadības bezatbildība, vienaldzība un bezdarbība. Drošības kultūru veido uzņēmuma vadība. Ja uzņēmuma vadītāji bezatbildīgi izturas pret savu neaizsargāto e-pasta lietotājvārdu un paroli, tas signalizē par to, ka drošība ir izlikšanās, nevis prioritāte.
    Risinājums: vadības sanāksmēs, kurās tiek uzsāktas diskusijas par kibernoziegumiem, jautāt un rast atbildi uz svarīgiem jautājumiem par nepieciešamo budžetu, darbinieku atbildību un atgriezenisko saikni.
    Kibernoziegumi ātri var kļūt par krīzes situāciju, ja tie netiek agrīni atklāti un uzņēmums nespēj uz tiem efektīvi reaģēt. Lai noskaidrotu, cik lietderīgi un efektīvi ir īstenota kibernoziegumu atklāšana un reaģēšana, uzņēmumu vadītājiem var palīdzēt šādi jautājumi:
    • Vai incidenta atklāšana ir pietiekami integrēta ar reaģēšanu uz to un incidenta skarto procesu darbības atjaunošanu, lai uzņēmumus kļūtu elastīgāks?
    • Vai incidenta/krīzes pārvarēšanas pieredze ir pierādījusi, ka uzņēmums ir spējīgs ar to tikt galā? Vai šo incidentu pieredze ir izmantota, lai uzlabotu aizsardzības spējas?
    • Vai incidenta atklāšanas spēja ir pietiekama, lai identificētu pazīmes un notikumus, kas varētu liecināt par kibernoziegumu?
    • Vai ir atbilstoši izveidota vadības struktūra, lai nodrošinātu efektīvu reaģēšanas spēju?
    • Vai krīzes komunikācijas spēja ir ieviesta un integrēta reaģēšanas pasākumos?
    • Vai visas ieinteresētās puses un to vajadzības ir identificētas un ņemtas vērā, izstrādājot incidentu vadības plānu?
    • Vai incidentu vadības plāns ir nesen praktizēts un atziņas izmantotas, lai atjauninātu un precizētu incidentu reaģēšanas programmu?
  • Neveiksmīga darbinieku iesaiste. Uzņēmumi tērē lielus finanšu resursus, lai izglītotu darbiniekus par informācijas drošību. Tomēr pamatideja ir vienkārša: visa drošība ir cilvēks. Neviens, izņemot informācijas drošības vadītāju, nerūpēsies par datu drošību un aizsardzību, līdz darbiniekus neskars zaudējumi, ko izraisījuši incidenti.
    Risinājums: izglītot visus par to, ka drošība ir katra darbinieka «sirdī».
  • Būt mobiliem visur, bet bez drošības jostas. Lai arī šoferiem braukt bez drošības jostas ir naivi, tomēr uzņēmumu biroji līdzīgi tiek aprīkoti ar viedtālruņiem, planšetdatoriem un klēpjdatoriem, kam nav pat elementāras aizsardzības (paroles, šifrēšana, attālinātā izsekošana), nemaz nedomājot par sarežģītākiem aizsardzības pasākumiem (mobilo ierīču pārvaldība, virtuālie privātie tīkli, darba vietu pārvaldība).
    Risinājums: iestrādāt drošības kontroles tieši savā tīklā.
  • Skatīšanās pāri, neredzot to, kas ir tuvumā. Pamatcēlonis vairumam datu zudumu nav tehnoloģija – tā ir cilvēka rīcība: nezināšanas, baiļu, alkatības vai egoisma, apjukuma, steigas rezultāts. Bieži vien, lai izvilinātu informāciju no darbiniekiem, tiek izmantota cilvēku labestība.
    Risinājums: ieviest taktiku reaģēšanai uz krāpšanos, lai darbinieki ar iemaņām spētu atvairīt bīstamus pieprasījumus datu identificēšanai un informācijas noplūdei.
  • Tiek ignorēta drošības elastība. Statistiski ikviens nākamajos trīs gados var saskarties ar kaut kāda veida personas identitātes zādzību. Hipotētiski katrai organizācijai būs interneta pieslēgums ar datu zaudēšanas gadījumiem. Līdz ar to vienmēr būs svarīgi ātri reaģēt un atgūties no kiberuzbrukuma.
    Risinājums: aktīvi sagatavot kiberelastīgu pārkāpumu reaģēšanas plānu, pirms uzbrukums ir noticis. Sagatavotības līmenis var saglabāt uzņēmuma reputāciju.

2. Ar personisko datu identificēšanu un aizsardzību saistīts privātuma apdraudējums

Lielākajā daļā pasaules valstu jau tiek veidots prasību kopums, kas paredz nosacījumus par personisko datu aizsardzību un izmantošanu, tostarp par sodiem organizācijām, kas nespēj pietiekami aizsargāt personu datus un informāciju. Tādējādi organizācijām privātuma aizsardzībai jāpastiprina gan atbilstības, gan biznesa risku pārvaldība, lai samazinātu administratīvās sankcijas un uzņēmējdarbības izmaksas, piemēram, reputācijas saglabāšanai vai atjaunošanai un klientu zaudēšanai konfidencialitātes pārkāpumu dēļ.

3. Apdraudējums no trešās puses pakalpojumu sniedzējiem

Sadarbība ar ārpakalpojumu sniedzējiem ir būtiska sastāvdaļa katra uzņēmuma globālā biznesa darbībā un mūsdienu pasaules ekonomikas mugurkauls, tāpēc palielinās vadības interese un koncentrēšanās uz vairākiem riska faktoriem. Arvien biežāka ir dalīšanās ar vērtīgu un sensitīvu informāciju ar piegādātājiem, un, kad šī informācija tiek nodota kādam ārpus iestādes, tiek zaudēta tiešā kontrole. Iepriekšminētais izraisa paaugstinātas informācijas konfidencialitātes, integritātes vai pieejamības apdraudējumus.

Uz ārpakalpojumu sniedzējiem vienmēr tiks izdarīts spiediens informācijas aizsardzības dēļ, un maz ticams, ka ārpakalpojumu sniedzēji spēs nodrošināt atbilstošu datu konfidencialitāti, integritāti vai pieejamību. Līdz ar to dažādu lielumu uzņēmumiem ir jādomā par sekām, ko piegādātājs radīs nejauši, bet nereti kaitniecisku apsvērumu dēļ, piekļūstot to intelektuālajam īpašumam, klientu vai darbinieku informācijai, plāniem vai sarunām, un šī domāšana nav jāsaista tikai ar ražošanas vai izplatīšanas partneriem – tas attiecas uz ikvienu profesionālo pakalpojumu piegādātāju, tai skaitā, piemēram, personāla vadības darbiniekiem, juristiem, grāmatvežiem un citiem, kuri var dalīties ar piekļuves avotiem un no tiem iegūto informāciju.

4. Personīgo ierīču izmantošana darbā

Palielinās tendence darbavietās izmantot privātās mobilās ierīces, tostarp datu nesējus. Informācijas drošības risks ir augstāks nekā jebkad līdz šim. Riski rodas no iekšējiem un ārējiem draudiem, tostarp no nepietiekamas iepriekšminēto ierīču pārvaldības, programmatūras ievainojamības ārējo manipulāciju rezultātā un neuzticamām biznesa aplikācijām.

5. Sadarbība ar cilvēkiem

Uzņēmuma vērtība un visneaizsargātākais mērķis ir darbinieki. Pēdējo dekāžu laikā organizācijas ir tērējušas milzīgus finanšu līdzekļus informācijas drošībai. Šīs pieejas pamatojums bija aizstāt lielāko vērtību – cilvēkus – un mainīt viņu uzvedību, tādējādi samazinot personāla un darbības riskus.

Tomēr to var uzskatīt par samērā neveiksmīgu pieeju. Tā vietā iestādēm jāveido pozitīva drošas uzvedības kultūra un jāintegrē tā biznesa procesos.


Riska vadības rokasgrāmata

Riska vadības rokasgrāmata


 

19.04.2018

Darbības nepārtrauktība - nozīmīgi ikvienam uzņēmumam

Nesenie satricinājumi finanšu sektorā, pagājušā gada lielie plūdi vai pat pēkšņi elektrības pārrāvumi – tie ir tikai pāris piemēri, kas apliecina nepieciešamību izvērtēt riskus dažādās ikdienas un neprognozējamās situācijās. Neskatoties uz saviem centieniem, nevienai organizācijai nav pilnīgas kontroles pār savas darbības iekšējo un ārējo vidi, tostarp to ietekmes faktoriem. Tāpēc darbības nepārtrauktības vadība ir aktuāla mūsdienu kontekstā un ir nozīmīga ikvienas iestādes efektīvas darbības nodrošināšanai.

Darbības nepārtrauktības vadībai ir jāpievērš uzmanība, lai spētu saglabāt konkurētspēju un nodrošināt organizācijas funkcijas. Izpratne par darbības nepārtrauktību palīdzēs domāt analoģijās, jo situācijas un kolīzijas ir visdažādākās, un risinājumi tām arī var būt daudzveidīgi – katrai situācijai atšķirīgi un piemēroti.

Darbības nepārtrauktības vadības galvenie mērķi ir, piemēram, šādi:

  • saglabāt darbinieku pienākumus, atbildību un drošību;
  • rūpēties par klientu un organizācijas aktīvu aizsardzību;
  • nodrošināt incidentu finansiālās, regulējošās, reputācijas un stratēģiskās ietekmes samazināšanu;
  • saglabāt spēju apmierināt ieinteresēto pušu vajadzības;
  • samazināt atkarību no darbiniekiem, kuriem ir unikālas zināšanas vai kuri pārzina procesu īstenošanu labāk nekā pārējie darbinieki;
  • nodrošināt iespēju savlaicīgi atjaunot darbības pēc darbības pārtraukumiem.

Lai nodrošinātu darbības nepārtrauktības procesu, ir nepieciešama darbības ietekmes analīze, darbības nepārtrauktības stratēģijas noteikšana, plāna izstrāde un testēšana. Tas plašāk tiks aplūkots materiālā par darbības nepārtrauktības vadību, kurā atspoguļoti piemēri un ieteikumi, ņemot vērā teoriju un praksi.

Materiāla tiešākā mērķauditorija ir ne tikai riska vadības speciālisti, bet arī kvalitātes vadītāji, iekšējie auditori publiskajā un privātajā sektorā.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 


10.1. Darbības nepārtrauktības vadība

10.1.1. Darbības nepārtrauktības vadības jēdziens un būtība

10.1.2. Darbības nepārtrauktības vadības loma organizācijā

10.1.3. Darbības nepārtrauktības vadības process

10.1.3.1. Darbības ietekmes analīze

10.1.3.2. Darbības nepārtrauktības reaģēšanas stratēģijas noteikšana

10.1.3.3. Darbības nepārtrauktības reaģēšanas pasākumu noteikšana un plānošana

10.1.3.4. Darbības nepārtrauktības testēšana

10.1.3.5. Darbības nepārtrauktības uzraudzība un pilnveidošana


10.04.2018

Kā uzņēmumā veidot vienotu izpratni par riskiem?

Risku grupēšana nepieciešama, lai būtu iespējams iegūt apkopojošu un analītisku informāciju par riska lielumiem grupās, kas ir svarīgi risku īpašniekiem  un vadītājiem gan uzraugot, gan salīdzinot riskus.

Organizācijas darbību nosaka ārējās un iekšējās vides mijiedarbība. Organizācija funkcionē, lai sasniegtu savus izvirzītos mērķus, ievērojot tiesību aktos noteiktās prasības, kā arī vienlaikus darbojoties atbilstoši ieinteresēto pušu, arī klientu, vajadzībām. Jebkura organizācija neatkarīgi no juridiskās formas un izmēra saskaras ar iekšējiem un ārējiem faktoriem, kas izraisa nenoteiktību par izvirzīto mērķu sasniegšanu; nenoteiktība ir saistīta ar riskiem. Tādēļ sākotnēji riskus var iedalīt:

  • ārējās vides riskos – izraisa notikumi ārējā vidē;
  • iekšējās vides riskos – izraisa notikumi iekšējā vidē.

Ārējās vides risku (sk. attēlu) notikumus organizācija pilnībā un tieši ietekmēt nevar, jo riska iestāšanās iespējamības kontrole ir ārpus organizācijas ietekmes sfēras. Tajā pašā laikā organizācija var kontrolēt šādu notikumu radītās sekas, laikus konstatējot un operatīvi rīkojoties, kad risks iestājas, lai samazinātu ietekmi uz organizācijas mērķu sasniegšanu. Piemēram, par ārējiem riskiem var uzskatīt straujas politisko prioritāšu maiņas vai globālas ekonomiskās situācijas izmaiņas, demogrāfiskās situācijas pasliktināšanos, ugunsgrēkus, plūdus, terorismu, gripas epidēmiju, ko organizācija tieši nevar ietekmēt.

Ārējie riski

Ārējie riski.
Riska vadības rokasgrāmata

Riska vadības rokasgrāmata