Riska vadības rokasgrāmata

Riska vadības rokasgrāmata

Cena (ieskaitot PVN): 45.88 €

«Ir tikai divu veidu uzņēmumi: tādi, kuri jau pārcietuši krīzi, un tādi, kurus vēl sagaida krīze.»
(Al Tortorella)

Risku vadība ir potenciālo briesmu un nevēlamo gadījumu identifikācijas process, minēto faktoru varbūtības un seku izpratne un, ja nepieciešams, riska kontrolpasākumu veikšana. Riska vadība ir nepārtraukts pilnveides process.

Rokasgrāmatā iekļautā informācija sniedz aktuālāko teorētisko informāciju par risku vadību, tai skaitā plaši lietotiem starptautiskajiem standartiem, kuru var izmantot, ieviešot un uzlabojot risku vadību jebkurā organizācijā. Šis izdevums arī skaidro labāko praksi, pieredzi un idejas, kuras organizācijas piemēro vai var izmantot risku vadībā.

Rokasgrāmata ir palīglīdzeklis organizācijām Latvijā, lai veidotu vienotu, uz starptautiski atzītās labākās prakses bāzētu izpratni par risku vadību un palīdzētu apzināt atbilstošāko pieeju un metodes risku vadības modeļa izvēlē, ieviešanā, uzturēšanā un attīstībā. Tā ir informācijas avots, kurā organizācijām ir iespēja ne tikai iegūt informāciju, bet arī dalīties savā pieredzē, iekļaujot dažādus piemērus, lai atbalstītu un iedrošinātu citas organizācijas ieviest un uzturēt risku pārvaldību, ņemot vērā to organizatorisko struktūru un funkcionalitāti.

«Riska vadības rokasgrāmata» sniegs atbildes uz šiem un citiem aktuāliem jautājumiem:

  • Kā izprast riska vadību, tās ieguvumus un pamatprincipus?
  • Kas ir veiksmes faktori saprātīgai risku vadībai organizācijai?
  • Kādi ir risku pārvaldības standarti?
  • Kā veikt risku novērtēšanu praksē?
  • Kā izmantot COSO integrētās iekšējās kontroles modeli?
  • Kādas pārmaiņas ir jāievieš esošajā risku kultūrā, lai rosinātu efektīvu risku vadību?
  • Kā iespējams uzlabot risku vadību, ņemot vērā esošo organizācijas kultūru?
  • Par kādiem galvenajiem apdraudējumiem IT jomā var runāt?
  • Kādi ir stratēģisko risku vadības pamatelementi un stratēģijas īstenošana?
  • Kā aizsargāt uzņēmumu pret reiderismu, un kādas ir tipiskākās reiderisma īstenošanas shēmas?
  • Kā jādomā un jāpieņem lēmumi krīzes situācijās?
  • Kādai jābūt krīzes komunikācijas stratēģijai?
  • Kā saglabāt un pilnveidot uzņēmuma reputāciju?
  • Kā nokļūt uz viļņa ar jaunu ideju?
Anita Hāznere
Anita
Hāznere
risku pārvaldības eksperte

Ir ilggadēja pieredze iekšējā auditā, risku un kvalitātes vadībā, strādājot finanšu jomā gan valsts, gan privātajā sektorā. Kā eksperte savas zināšanas un praktisko pieredzi ieguvusi ne tikai Latvijā, bet daudzviet starptautiskā vidē. Seko līdzi pasaules jaunākajām attīstības tendencēm, cenšoties labās prakses nodot Latvijas videi. Vadījusi seminārus par risku vadību Rīgas Ekonomikas augstskolā (REA – SSE Riga), kā arī par risku un kvalitātes vadību, iekšējo auditu un līdervadību Valsts administrācijas skolā un dažādās publiskā sektora iestādēs, savukārt kā konsultante ir veiksmīgi piedalījusies vairākos konsultatīvos projektos. Vieslektore dažādos semināros un konferencēs gan Latvijā, gan ārpus tās.

 

Anda Krauze
Anda
Krauze
risku pārvaldības eksperte

Ieguvusi bakalaura grādu grāmatvedībā, revīzijā, finanšu analīzē un auditā, kā arī maģistra grādu kvalitātes vadībā. Kopš 2017. gada 2.maija strādā Finanšu un kapitāla tirgus komisijā Stratēģiskās plānošanas un risku vadības daļā par risku vadības speciālisti. No 2010. gada līdz 2017. gadam strādājusi VAS Latvijas dzelzceļš par vadošo auditori. No 2006. gada līdz 2010. gadam  strādāja Finanšu ministrijas Stratēģiskās plānošanas un attīstības departamentā par direktora vietnieci. Papildus iepriekšminētajam, strādājot Finanšu ministrijā, ir piedalījusies starptautiskajos projektos – UNDP un TAIEX, piemēram, Libānā, prezentējot savu pieredzi par pašvērtējuma veikšanu atbilstoši CAF modelim. 2006. gadā Anda Krauze ir strādājusi par procesu un risku vadības konsultanti SIA Ernst&Young Latvijā un piedalījusies atsevišķos procesu vadības ieviešanas projektos.  No 2000. līdz 2006. gadam pirmā darba vieta ir bijusi Valsts kase, kur viņa ir strādājusi par Risku pārvaldības departamenta direktora vietnieci un vecāko eksperti Kvalitātes vadības departamentā.

 

Ilvija Grūba
Ilvija
Grūba
datu aizsardzības, iekšējā audita, risku pārvaldības un darbības atbilstības eksperte

Starptautiski iegūta praktiska pieredze plānojot un ieviešot Datu aizsardzības regulu Baltijas valstīs. Lektore Valsts administrācijas skolā, kā arī iekšējās klientu apmācībās. Sertificētā iekšējā auditore (CIA), un kvalificēta iekšējā audita ārējo novērtējumu veicēja.

Linda Sīle
Linda
Sīle
risku pārvaldības, iekšējā audita un iekšējo kontroļu eksperte

Ieguvusi maģistra grādu finanšu un investīciju pārvaldībā, kā arī maģistra grādu biznesa vadībā (MBA). Ir ilggadēja pieredze risku pārvaldības, iekšējā audita un iekšējo kontroļu pilnveidošanas jomā gan valsts, gan privātajā sektorā. Darba pieredze iegūta, strādājot VAS "Latvijas pasts", Centrālajā finanšu un līgumu aģentūrā, auditorkompānijā "Ernst&Young", šobrīd – SIA "Latvijas Mobilais Telefons". Vadījusi seminārus par risku vadību, iekšējo auditu un iekšējo kontroli Valsts administrācijas skolā un Iekšējo auditoru institūtā, kā arī uzstājusies vairākās vietēja un starptautiska mēroga konferencēs.

SIA BDO Latvia

SIA BDO Latvia

BDO Latvia pārstāv pasaulē piekto lielāko revīzijas un finanšu pakalpojumu uzņēmumu tīklu BDO, kas apvieno vairāk nekā tūkstoti biroju vairāk nekā simts pasaules valstīs, nodarbinot turpat 50 tūkstošus augsti kvalificētu darbinieku, sniedzot finanšu un grāmatvedības konsultatīvos pakalpojumus gan vietējiem, gan starptautiskiem klientiem.
BDO Latvia sniedz pakalpojumus nodokļu plānošanā uzņēmumiem un fiziskām personām, deklarāciju un VID auditu sagatavošanā, kā arī aktīvu izvietošanas plānošanā

Riska rokasgrāmatas pamatteksta izstrāde

Speciālisti, kas piedalījušies rokasgrāmatas pamatteksta izstrādē:

Jeļena
Šuškeviča

Viena no zinošākajiem Latvijas konsultantiem korporatīvo finanšu jomā. Jeļena ir piedalījusies vairāk nekā 300 uzņēmumu pirkšanas-pārdošanas, apvienošanas un restrukturizācijas darījumos, biznesa attīstības projektu, kā arī valsts finansēto zinātnisko pētījumu izstrādē.

Reinis
Šembelis

Sertificēts uzņēmējdarbības un nemateriālo aktīvu vērtētājs. Ir piedalījies vairāku Latvijas lielāko uzņēmumu novērtēšanas procesos, kā arī M&A darījumu sagatavošanā un konsultēšanā. Papildus Reinis ir piedalījies pēc Latvijas neatkarības atgūšanas lielāko investīciju projektu izmaksu-ieguvumu analīzes izstrādē un projektu finansiāli ekonomiskajā novērtēšanā.

Alek­sa­ndrs Vel­lers
Alek­sa­ndrs
Vel­lers
Bs.sc.oec., AS BDO Kor­po­ra­tī­vo fi­nan­šu no­da­ļas ve­cā­kais eks­perts
Liene Švirksta
Liene
Švirksta

Riska rokasgrāmatai sagatavotie materiāli

Rokasgrāmatas papildinājumu izstrādē iekļauti šādu autoru sagatavotie materiāli:

Vita Liberte
Vita
Liberte

Vadošā partnere, zvērināta advokāte, sertificēta nodokļu konsultante, kas teicami pārzina nodokļu plānošanu vietējā un starptautiskā līmenī. Vitas profesionālā pieredze ir saistīta ar darba strīdu risināšanu, konsultēšanu par līgumu un citu darba tiesības regulējošo dokumentu izstrādi, klienta interešu pārstāvību pirmās instances, apelācijas un kasācijas instances tiesās, kā arī valsts un pašvaldību iestādēs. Darba strīdā pārstāvējusi klienta intereses. Vita regulāri uzstājas dažādās vietējā un starptautiskā mēroga konferencēs, sniedzot referātus par aktuāliem likumdošanas jautājumiem. Vitas interešu lokā ietilpst privātā un publiskā partnerība – Vita ir Latvijas Publiskās un privātās partnerības asociācijas (PPPA) dibinātāja. Sadarbībā ar Latvijas Investīciju un attīstības aģentūru organizējusi un vadījusi konferences un seminārus, kā arī lasījusi lekcijas par tiesību normu piemērošanu un aktualitātēm likumdošanā. Pirms BDO Zelmenis & Liberte dibināšanas Vitas karjera bija saistīta ar divām starptautiska līmeņa auditorfirmām – Pricewaterhouse Coopers Ņujorkas biroju un Deloitte Latvia. Vita ieguvusi maģistra grādu starptautiskajās tiesībās prestižajā Ņujorkas Universitātē un ir aktīva Amerikas advokātu asociācijas biedre.

Dace Indāne
Dace
Indāne

TGS Baltic zvērināta advokāte, kā arī sertificēta datu aizsardzības speciāliste, kura praktizē apvienošanas un iegādes, strīdu atrisināšanas, sabiedrību tiesību, nodarbinātības, komerctiesību un kapitālsabiedrību dalībnieku strīdu jomā. Viņa ir konsultējusi klientus sarežģītos darba tiesību strīdos, ir vairāku publikāciju autore, kā arī viena no grāmatas Darba likums ar komentāriem autorēm.zvērināta advokāte, kā arī sertificēta datu aizsardzības speciāliste, kura praktizē apvienošanas un iegādes, strīdu atrisināšanas, sabiedrību tiesību, nodarbinātības, komerctiesību un kapitālsabiedrību dalībnieku strīdu jomā. Viņa ir konsultējusi klientus sarežģītos darba tiesību strīdos, ir vairāku publikāciju autore, kā arī viena no grāmatas Darba likums ar komentāriem autorēm.

Rihards
Niedra
Zvērinātu advokātu biroja VARUL zvērināta advokāta palīgs
25.03.2020

Organizācijas reputācijas efektīva aizsardzības pieeja

"Savlaicīga reputācijas riska agrīna identificēšana, novērtēšana un reaģēšana uz to ir kritiskie veiksmes faktori, kas palīdz plānot un veikt izmaiņas organizācijā, kā arī dinamiski attīstīties. Vadot reputācijas riskus, organizācijas preventīvi sagatavojas nenovēršamajām krīzes situācijām. Krīzes vadības ietvaros nepieciešams pieņemt virkni nestandarta, tostarp ieinteresētajām pusēm ekonomiski neizdevīgu lēmumu. Taču šo lēmumu komunicēšana un izskaidrošana, kā arī  sociāli atbildīga rīcība krīzes un pēckrīzes situācijā var glābt organizācijas reputāciju," tā tēmas aktualitāti atbilstoši šī brīža ārkārtas situācijai piesaka autore Anda Krauze, risku pārvaldības eksperte. 

Būtiski ņemt vērā, ka reputācija ir viens no visvērtīgākajiem organizācijas aktīviem, kuru vissarežģītāk aizsargāt un kas veido ieinteresēto pušu, tai skaitā sabiedrības, uztveri par organizāciju, tad organizācijai ir nepieciešams proaktīvi vadīt savu reputāciju. Ārējās vides izmaiņas (piemēram, globālo plašsaziņas līdzekļu un komunikācijas kanālu attīstība un klientu uzticamības līmeņa samazināšanās) izraisa organizācijās arvien vairāk riskus, kas apdraud reputāciju un kuriem ir tendence paaugstināties. Digitālās transformācijas ietekmē informācijas plūsma kļūst aizvien straujāka, kas bieži vien organizācijām izraisa vairāk risku, un organizācijām ir aizvien mazāk laika reaģēt uz tiem.

Viens no jautājumiem organizācijas struktūrvienību vadītājiem, kas palīdzētu vislabāk apzināt reputācijas risku, būtu – kādus virsrakstus organizācijas augstākā vadība nevēlētos redzēt publicētus plašsaziņas līdzekļos par jūsu vadītās struktūrvienības darbībām, un kāds konkrēts notikums to varētu izraisīt?

Plašāk par ieteikumiem un reputācijas iska vadības procesiem rokasgrāmatā:

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



18.03.2020

Kas ir krīze?

Krīze ir kaut kas nopietnāks par ikdienas problēmām, tā pārtrauc normālu uzņēmējdarbības norisi. Krīze ir nestabilitātes stāvoklis, kas pievērš uzmanību organizācijai un prasa tūlītēju rīcību.

Jebkurš uzņēmums vai organizācija var nonākt krīzes situācijā neatkarīgi no tā, cik liels ir uzņēmums vai organizācija, – situācijā, kad notikumu gaita uzņēmusi pilnīgi nevēlamu kursu, kas ietekmē reputāciju un nelabvēlīgi atsaucas uz finanšu rādītājiem. Krīzes situācija tiek izprasta kā ārkārtas situācija, kad uzņēmuma vērtības vai programmas tiek vai var tikt publiski izvērtētas un tiesātas: notiekošais uzņēmumā vai ap to attīstās iepriekš neparedzamā vai paredzamā veidā un var izraisīt nopietnas nevēlamas izmaiņas uzņēmuma darbā un publiskajā tēlā. Krīžu pētnieki Terijs Počants un Jans Mitrofs (Thierry C. Pauchant, Ian I. Mitroff) izdevumā Transforming the Crisis – Prone Organization norāda, ka krīze ir traucējums, kas ietekmē sistēmu kopumā un apdraud tās pamatnostādnes, tās subjektīvo uztveri, tās pastāvēšanas pamatu.

pediņasKrīzes laikā ir jārīkojas ātri, ja trūkst plāna un informācijas – var pat pietrūkt laika tās meklēšanai. Straujie notikumi prasa elastīgu domāšanas veidu un regulāru sekošanu jaunākajām pārmaiņām.

Šādos gadījumos uzņēmumam ir nepieciešama komunikācija, no kuras būs atkarīgs – krīze ies plašumā vai mazināsies. Krīzes uzņēmējdarbībā un politikā vienmēr ir arī komunikācijas krīzes.

Krīzes komunikācijas mērķis ir nezaudēt vai censties atgūt pirmskrīzes situācijas pozitīvo viedokli par uzņēmumu. Jāņem vērā arī aspekts, ka pārdomātas komunikācijas rezultātā krīzi var izmantot uzņēmuma publiskā tēla stiprināšanai un pilnveidošanai.

Mūsdienās krīzes komunikācijai ir īpaša nozīme, jo tehnoloģiju laikmetā uzņēmums vairs nevar palikt nepamanīts. Jūtama arvien aktīvāka mediju klātbūtne, vērojot uzņēmējdarbības procesus. Pastāv vienota informācijas telpa, kurā nav priekškaru. Ja uzņēmumam ir kādas nopietnas problēmas, tās tik un tā nāks atklātībā. Joprojām vēl ir tādi uzņēmumi, kas mēģina aizsargāt sevi un taupīgi dalās ar esošo informāciju. Taču, jo vairāk aizsargājies, jo vairāk sabiedrība šo informāciju pieprasa. Informācijas vakuumā rodas dezinformācija, un sabiedrība to aizvieto ar mītiem, baumām.

pediņasNekomunicēšanās jeb «strausa» paņēmieni ar galvas bāšanu smiltīs neder, jo publika parasti uztver par patiesību visu, ko vien sabiedrībā runā, taču sabiedrības viedoklis bieži nav balstīts uz faktiem. Jo skopāka informācija tiek sniegta krīzes sākumā, jo grūtāk tikt galā ar krīzes attīstības procesu.

Mūsdienu sabiedrība ir likusi mainīt uzņēmuma vērtības kritērijus – strauji pieaugot nemateriālo aktīvu īpatsvaram uzņēmuma vērtībā, kā, piemēram, zīmolam, reputācijai, vadības un darbinieku profesionalitātei, mainās arī pati biznesa vide un kultūra, sabiedrība pieprasa no uzņēmumiem lielāku atklātību un caurspīdīgumu. Tādējādi, pieaugot nemateriālo aktīvu īpatsvaram uzņēmuma vērtībā, pieaug risks šo vērtību zaudēt. Organizācijas arvien lielāku uzmanību pievērš risku vadībai, un viens no riska vadības instrumentiem ir krīzes menedžmenta izstrāde, lai pasargātu uzņēmumu no satricinājumiem, apzinoties potenciālos riskus un krīzes situācijas vēl pirms to iestāšanās.

Organizācijas krīze ir zemas varbūtības pakāpes notikums, kas atstāj smagas sekas, apdraudēdams organizācijas dzīvotspēju. Raksturīgākie krīzes situācijas parametri ir neskaidrība par tās iemeslu, izraisīto efektu un iespējamajiem atrisināšanas līdzekļiem, kā arī pārliecība, ka lēmumi jāpieņem bez kavēšanās, tā pauž krīzes menedžmenta eksperti C.M. Persons un J.A. Klairs (C.M. Pearson, J.A. Clair). Krīze ir notikums vai notikumu sērija, kas spēj būtiski negatīvi ietekmēt vai paralizēt uzņēmuma darbību – tā var sākties lokālā vidē, ietekmējot vienu departamentu, taču vēlāk pāraugot vispārējā krīzē.

Lai arī krīzes situācijas lielākoties rodas pēkšņi un diezgan negaidīti, no tām iespējams izvairīties, ja uzņēmuma vadība laikus darījusi visu, lai sevi aizsargātu. Tāpēc ir būtiski iepriekš izanalizēt situāciju un nevairīties no rūgtiem secinājumiem. Skatīšanās patiesībai acīs ļaus ātrāk nonākt pie loģiskiem un efektīviem risinājumiem. Liela daļa uzņēmumu tomēr attopas tikai tad, kad krīzes situācija jau ir realitāte un kad ir par vēlu krīzes rīcības plāna radīšanai.

Krīžu tipi

Krīžu klasifikāciju trīs tipos piedāvā Glens M. Brūms, Alens H.Senters, Skots M. Katlips (Glen M. Broom, Allen H. Center, Scott M. Cutlip), taču akadēmiskajā literatūrā ir sastopamas vairākas klasifikācijas, tajā skaitā arī klasifikācija: zināmās – nezināmās (krīzes, kuras ir zināmas – nav zināms tikai laiks, kad tās notiks) un nezināmās – nezināmās (nav prognozējamas ne laikā, ne vidē).

Katastrofu krīze, tiek dēvēta arī kā tūlītējā krīze

  • Raksturojums: visbīstamākais krīzes veids, jo iestājas pēkšņi un negaidīti, ka pētīšanai un plānošanai ir ārkārtīgi maz laika vai tā nav nemaz, tā sauktās «force majeure» situācijas, piemēram, pēkšņas un globālas problēmas, ugunsgrēki, katastrofas, zemestrīces, terorisma izraisīti notikumi, taču tikpat labi vadoša darbinieka nāve utt.
  • Cēloņi: savlaikus nenovērstas «Lohnesa» vai maratona krīzes.
  • Sekas: dara kaitējumu uzņēmuma vērtībai, reputācijai, zīmoliem un rada būtiskas izmaiņas uzņēmumā, arī zaudējumus, var novest pat pie uzņēmuma darbības pārtraukšanas.
  • Risinājums: savlaicīga sagatavošanās krīzes risināšanai. Šādām krīzēm vislabāk noder laikus izstrādāts un ar visiem vadošajiem darbiniekiem saskaņots vispārīgs rīcības plāns – krīzes komunikācijas plāns, nominēta krīzes vadības grupa, kas precīzi nosaka, kā katram vadītājam rīkoties, tādējādi novēršot iespējamās nekārtības, nesaskaņotu rīcību, diskomunikāciju ar dažādām iesaistītajām pusēm, to skaitā arī uzņēmuma darbiniekiem.

«Lohnesa» krīze, tiek dēvēta arī kā briestošā krīze

  • Raksturojums: paredzama, par krīzes esamību liecina dažādu atsevišķu, iespējams, nenozīmīgu faktu kopums. Bieži vien ne ārēji, ne iekšēji nav uzkrītošu pazīmju, kas liecinātu par krīzes esamību. Temats atkārtojas regulāri, un ar laiku interese par to mazinās. Pastāv iespēja laikus sagatavoties, izpētīt apstākļus un izplānot pasākumus, taču šādas krīzes pēc ilgstošas briešanas var izvērsties zibens ātrumā.
  • Cēloņi: vairumā gadījumu meklējami uzņēmuma iekšienē. Šādas krīzes cēloņu piemēri ir darba ņēmēju neapmierinātība un nelabvēlīgs noskaņojums, seksuālā uzmācība darbavietā, ļaunprātīga dienesta stāvokļa izmantošana, štatu samazināšana, liela klienta aiziešana, paredzama līguma laušana, apgrozījuma, peļņas kritums utt.
  • Sekas: savlaikus nenovērsta «Lohnesa» krīze noved pie katastrofu krīzes.
  • Risinājums: regulāri analizējot konstatēto – nepilnības vai atgadījumus –, iespējams diagnosticēt krīzi un neitralizēt tās cēloņus. Šādas krīzes pirmskrīzes situācijā visgrūtāk ir pārliecināt augstākā līmeņa vadību par nepieciešamību veikt koriģējošas darbības, pirms krīze nav sasniegusi kritisko stadiju.

Maratona krīze, tiek dēvēta arī kā ilgstošā krīze

  • Raksturojums: tā ilgst mēnešiem un pat gadiem, kaut arī vadība dara visu iespējamo, lai to likvidētu. Baumas vai pieņēmumi, pat mīti, tiek publicēti masu saziņas līdzekļos vai arī cirkulē sabiedrībā, un uzņēmums vai organizācija nespēj tos kontrolēt. Nekādi noliegumi vai pretpasākumi nespēj pārtraukt baumu izplatīšanos. Tā ir problēmsituācija, kas periodiski aktivizējas un atkal pierimst, kas var izraisīt ķēdes reakciju un pakalpojumu kvalitātes kritumu. Maratona krīze biežāk sastopama politikā. Pieaugošas intensitātes krīze – grūti vadāma un ļoti bīstama uzņēmumam, jo tā var būt mākslīgi radīta, uzturēta un «uzkurināta».
  • Cēloņi: parasti meklējami ārpus uzņēmuma. Krīzes situācijas attīstība notiek pēc iepriekš radīta un realizēta scenārija.
  • Sekas: savlaikus nenovēršot cēloņus, var iestāties katastrofu krīze.
  • Risinājums: noteikt «autoru», izskaust cēloņus.

Krīzes attīstības stadijas

Pirmskrīzes stadija (Pre – crisis stage). Novērojami brīdinājuma signāli par iespējamo krīzi. Pēc Institute for Crisis Management pētījumu datiem 35% no krīzēm ir negaidītas, pārējie 65% ir briestošās krīzes, par kurām uzņēmuma menedžments ir zinājis, pirms tās ir kļuvušas publiskas. Pētījumi parāda arī to, ka 81% no notikušajām krīzēm ir saistītas ar cilvēkresursiem un 51% gadījumu galvenais iemesls ir menedžmenta rīcība vai precīzāk – rīcības mazspēja. Atklāšana – atklāt vājos organizācijas punktus un signālus, kas norāda uz iespējamo krīzi. Daudzas problēmas var novērst, jau pirms krīze sākusies. Profesionāļi iesaka uzņēmumiem apgūt krīzes komunikāciju iepriekš, ne tikai brīžos, kad ūdens smeļas mutē. Tādējādi uzņēmumam ir reālākas iespējas nepazaudēt kontroli un laikus sākt ārstēt krīzi. Ir sistemātiski jāizvērtē problēmas, kas varētu radīt krīzi nākotnē. Krīzes komunikāciju riskam ir jāsagatavojas ar tādu pašu nopietnību kā biznesa riskam.

Krīzes akūtā stadija (Crisis). Krīzes iestāšanās ir nenovēršama. Iestājas situācija, kad tiek darīts kaitējums uzņēmuma vērtībai, reputācijai un zīmoliem. Krīzes akūtā stadija parasti ilgst no dažām stundām līdz dažām diennaktīm. Aizkavēšana (profilakse), novēršana – ja organizācijai ir regulāra divvirzienu komunikācija ar tās publikām, tad krīzi laikus var novērst vai samazināt tās triecienu un ilgumu. Būtiskākais līdzeklis krīzes novēršanā ir krīzes komunikācijas plāns, kas kā rokasgrāmata norāda katru galveno personu krīzes komandā, tās lomu, kam kāda informācija ir jāsniedz, kā sasniegt cilvēkus, ko viņiem teikt utt. Tas nepieciešams, jo šoka gadījumā ir grūti saprātīgi domāt. Apturēšana – šajā posmā ir nepieciešams pielikt visas pūles, lai krīze neieilgst un nepāriet uz vēl neskartām organizācijas sfērām. Piemēram, izņemt no apgrozības visu indīgo produkciju, lai tā neradītu jaunus upurus, tas arī jāpaziņo cilvēkiem, lai tie redz, ka organizācija ir atbildīga un operatīvi rīkojas. Rīcībai jābūt saskaņā ar krīzes komunikācijas plānu.

Pēckrīzes stadija (Post – crisis stage). Krīzes seku likvidēšana. Uzņēmuma vērtības, reputācijas un zīmolu vērtības atjaunošana. Krīzes situācijas noslēgšana un sagatavošanās nākamajai krīzei. Atveseļošanās – organizācija piepūlas, lai bizness ritētu, kā ierasts. Tāpēc ir jāatjauno galveno publiku uzticība, piemēram, sniedzot patieso informāciju, ja krīze ir baumas par organizāciju, kas strauji izplatās. Mācīšanās – šajā posmā organizācija konstatē, kas ir pazaudēts, kas ir iegūts un kāds bija organizācijas izpildījums krīzes laikā. Mācoties var radīt jaunas drošības procedūras un uzlabot organizācijas sniegumu.


Riska vadības rokasgrāmata

Riska vadības rokasgrāmata


 

26.11.2019

Korupcijas uztveres indekss

Uzņēmumiem un organizācijām, uzsākot sadarbību starptautiskā līmenī, var nākties saskarties ar atšķirīgu attieksmi pret korupcijas risku, jo tā kontekstu veido attiecīgās valsts ekonomiskā attīstība, vēsture, tradīcijas un daudzi citi korupcijas izplatību ietekmējošie faktori.

Šādās situācijās viens no biežāk izmantotajiem avotiem ir korupcijas uztveres indekss. Tāpat nozīmīgs ir OECD dokuments «Labās prakses vadlīnijas iekšējās kontroles, ētikas un atbilstības nodrošināšanai». 

Būtiski ņemt vērā:

  • korupcijas riska uztvere dažādās valstīs var būtiski atšķirties, un to ietekmē daudzi faktori;
  • starptautiskajā vidē izmantotais korupcijas uztveres indekss Latviju ierindo vidējā korupcijas riska līmeņa grupā un pēdējos gados šajā rādītājā nav būtisks progress;
  • starptautiskās organizācijas iesaka korupcijas riska pārvaldību skatīt vienotā ētikas un atbilstības programmas ietvarā.

"Neraugoties uz to, ka minētās vadlīnijas attiecināmas uz ārvalstu darījumiem, tās vienlīdz labi palīdz pārbaudīt jebkuras institūcijas vai uzņēmuma pārvaldības modeļa pilnīgumu attiecībā uz kukuļošanas riska pārvaldību," norāda risku pārvaldības, iekšējā audita un iekšējo kontroļu eksperte Linda Sīle. Jāpiebilst, ka sadarbībā ar autori Lindu Sīli rokasgrāmatā ir izveidota nodaļa par korpucijas risku, skaidrojot jēdzienu, riska veidus, galvenos cēloņus, iestāšanās sekas utt. Informācija par korupcijas uztveres indeksu papildina iepriekšpublicēto.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



08.07.2019

Reputācija – organizācijas vislielākā vērtība

Mūsdienās viens no organizācijas aizsargājamajiem aktīviem ir reputācija. Reputācija ir ieinteresēto pušu uztveres rādītājs, kā arī emocionāla saikne starp ieinteresētajām pusēm un organizāciju. Par reputāciju uzskata arī ieinteresēto pušu uzticības līmeni un pozitīvās sajūtas par konkrēto organizāciju.

Amerikas Savienoto Valstu biznesa magnāts un filantrops Varens Bafets (Warren Buffett) ir minējis, ka, lai izveidotu labu reputāciju ir nepieciešami vismaz 20 gadi, bet, lai to sagrautu, nepieciešamas vien 5 minūtes. Savukārt amerikāņu viedokļu līderis un politiķis Bendžamins Franklins (Benjamin Franklin) ir teicis, ka ir jāpaveic ļoti daudz labu darbu, lai izveidotu labu reputāciju, un jāizdara tikai viena slikta darbība, lai to pazaudētu.

Pēdējo 10 gadu laikā arvien biežāk īstenojas augsta līmeņa krīzes, tostarp kiberuzbrukumi, produktu atsaukšana no tirgus un sociālo mediju publikācijas, kas spēj sagraut organizācijas prestižu un reputāciju ļoti īsā laika posmā. Organizāciju publiski, tostarp plašsaziņas līdzekļos, novērtē, ņemot vērā dažādus aspektus, ne tikai to, kā tā spēj nodrošināt produktus un pakalpojumus, bet gan arī, kāda ir tās ietekme uz sabiedrību, kāds ir tās tēls, tai skaitā darba devēja tēls.

Ar sociālo mediju starpniecību jaunumi par organizācijām "ceļo" dažu minūšu laikā visā pasaulē, un tādā veidā tiek ietekmēta sabiedrības uztvere. Līdz ar to reputācijai un tās veidošanai būtiski pievērst uzmanību, sākot ar atbildēm, piemēram, uz šādiem jautājumiem:

  • Kādi ir reputāciju veidojošie iekšējie un ārējie faktori?
  • Kā tiek ietekmēta ieinteresēto pušu uztvere par organizāciju?
  • Kādi ir ieguvumi no organizācijas labas reputācijas?
  • Kā jārīkojas organizācijas augstākajai vadībai saistībā ar reputācijas veidošanu?
  • Ko uzskata par reputācijas risku?
  • Kādi notikumi var izraisīt reputācijas risku?
  • Kā pieņemt efektīvus reputācijas riska vadības lēmumus?
  • Kāda ir reputācijas riska mijiedarbība ar citiem riskiem?
  • Kādas var būt reputācijas riska sekas īstermiņā, vidējā termiņā un ilgtermiņā?
  • Kādi ir reputācijas riska vadības pīlāri un to nozīme?
  • Kāpēc reputācijas riska vadībā nepieciešams īstenot noteiktus procesus, piemēram, veidot vienotu izpratni par ieinteresēto pušu vēlmēm?
  • Kā reputācijas riska vadība atšķiras no krīzes vadības?
  • Kā reputācijas riska notikumi var ietekmēt katru no reputācijas dimensijām?
  • Cik liels – augsts, vidējs vai zems – ir riska notikumu ietekmes novērtējums uz ieinteresētajām pusēm?

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



29.03.2019

Korupcijas risks: veidi, cēloņi, sekas

Korupcijas risku nav vienkārši izskaidrot, jo korupcija izpaužas daudzās dažādās formās un tiek izdomāti aizvien jauni veidi, kā šos noziegumus pastrādāt un noslēpt pēdas. Vienkāršākajā variantā korupciju var skaidrot kā dienesta stāvokļa ļaunprātīgu izmantošanu sava labuma gūšanai. Tas sevī ietver trīs galvenos elementus:

  1. Darbojošās personas – tās var pārstāvēt valsts varu vai privāto sektoru, tās var būt fiziskas personas, uzņēmumi vai organizācijas kā, piemēram, politiskās partijas.
  2. Dienesta stāvokļa ļaunprātīgu izmantošanu – tas prasa, lai korupcijā iesaistītā persona ieņemtu amatu valsts vai privātā organizācijā.
  3. Labuma gūšanu – abas koruptīvā darbībā iesaistītās puses saņem labumu mantiskā izteiksmē vai nepamatotu priekšrocību veidā. 

Latvijas likumdošanā korupcija tiek definēta kā "kukuļošana vai jebkura cita valsts amatpersonas rīcība, kas vērsta uz to, lai, izmantojot dienesta stāvokli, savas pilnvaras vai pārsniedzot tās, iegūtu nepelnītu labumu sev vai citām personām[1]."

Korupcijas risku var definēt kā "varbūtību, ka kāds no nodarbinātajiem, kuram uzticēta vara vai atbildība noteiktu pilnvaru ietvaros, ar nodomu vai bez nodoma rīkosies savu vai citas personas materiālo interešu labā, gūstot sev vai nodrošinot citiem nepienākošos labumus un nodarot kaitējumu  institūcijai"[2]

Ņemot vērā šo korupcijas riska definīciju, ir skaidrs, ka labākais veids cīņai ar korupciju ir katrai organizācijai iekšēji prognozēt šo koruptīvo darbību varbūtību, liekot tām šķēršļus un  uzraugot savu darbību tā, lai pēc iespējas ātrāk koruptīvas darbības atklātu un novērstu to tālāku ietekmi.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



 
  1. ^ Korupcijas novēršanas un apkarošanas biroja likums
  2. ^ "Vadlīnijas par iekšējās kontroles sistēmas pamatprasībām korupcijas un interešu konflikta riska novēršanai publiskas personas institūcijā", KNAB (31.01.2018.) 
05.02.2019

Ar ko ir jāsāk uzņēmumam personas datu apstrādē personālvadības vajadzībām?

Atsaucoties uz Eiropas Komisijas Regulā pausto mudinājumu izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu Regulas atbilstīgu piemērošanu, un, ņemot vērā dažādo datu apstrādes nozaru specifiskās iezīmes, atzinīgi jānovērtē Latvijas Personāla vadīšanas asociācija, kas ir izstrādājusi vadlīnijas personāla datu apstrādes jomā[1] (turpmāk – Vadlīnijas).

Vadlīnijas izstrādātas, lai precizētu pārziņu – darba devēju – un to nolīgto apstrādātāju pienākumus saistībā ar personas datu apstrādi, nodrošinot personāla vadības funkciju un Regulas pareizu piemērošanu personāla vadības jomā.

Vadlīnijās noteiktais, ciktāl konkrētu rīcību kā obligātu nenosaka tiesību akti, ir uzskatāms par labās prakses ieteicamu rīcību.

Vadlīnijās cita starpā ir norādīti tiesiskie pamati datu apstrādes personāla jomā, kas varētu būt lietderīgi jebkuram uzņēmumam, definējot tiesisko pamatu personas datu apstrādē personālvadībā, jo bez līguma kā tiesiskā pamata starp darba devēju un darba ņēmēju ir norādītas citas (plašākas) darba devēja iespējamās leģitīmās intereses: personāla resursu nodrošināšana, plānošana ("institucionālā atmiņa"), attīstība un izaugsme, informācijas, infrastruktūras, personu drošības nodrošināšana, personas datu apstrāde uzņēmumu grupā/iestāžu sistēmā iekšējiem administratīvajiem nolūkiem (piemēram, iekšējā komunikācija), vienota elektroniskā pasta sistēma, finanšu, personāla pārvaldības nodrošināšana, korporatīvās kultūras nodrošināšana (piemēram, dokumenta dalībnieka pasākumi), apbalvojumi, sporta un citas saliedējošas aktivitātes u.c.

Tomēr, ar ko ir jāsāk uzņēmumam personas datu apstrādē personālvadības vajadzībām?

Darbinieku atlase ir viens no pirmajiem soļiem personas datu apstrādē uzņēmumā. Potenciālie darba pretendenti nereti savos CV norāda datus, kas netiek prasīti darba sludinājumā (un nebūtu jānorāda), piemēram, personas kods, dzimšanas datums.

Redzu, ka uzņēmumi piekopj divu veidu praksi: vienā gadījumā darba sludinājumā norāda datu apstrādes apjomu un pamatu, un otrā – ierodoties uz pirmo interviju, datu apstrādes apjoms tiek minēts piekrišanas formā, kuru potenciālais darba pretendents paraksta.

Ja plānojat pretendentu pieteikumus izmantot ne tikai viena amata atlasei, bet arī citu amatu atlases procesos, vai iekļaut attiecīgā datu bāzē, tas ir norāda darba sludinājumā, vai vēlāk, intervijas laikā, jāprasa piekrišana, norādot, kur un cik ilgi dati tiks uzglabāti.

Latvijas Personāla vadīšanas asociācija iesaka atlases dokumentiem piemērot 4 mēnešu uzglabāšanas termiņu (viena amata konkursa ietvaros). Ja ir plānots pieprasīt atsauksmes par potenciālo kandidātu no iepriekšējiem darba devējiem, tas ir jānorāda darba sludinājumā vai jāgūst piekrišana intervijas laikā.

Saskaņā ar Vadlīnijām, ja intervijas tiek protokolētas, pretendentu iepriekš par to informē. Lai veiktu intervijas video vai audio ierakstu, ir jābūt attiecīgam iemeslam, kas dod tam leģitīmu/juridisku pamatojumu, piemēram, tas izriet no normatīvā akta, drošības apsvērumiem vai intervijas attālinātu norisi. Dokumenti un citi materiāli, kas rodas intervijas rezultātā, jāglabā tādu pašu termiņu, kā visi atlases dokumenti. Personāla atlases procesa un darba intervijas laikā iesniegtie un radītie personas dati tiek glabāti tā, lai tie nebūtu pieejami citām personām. Ja pretendents nav ticis pieņemts darbā, tad darba devējam ir pienākums informāciju dzēst un iesniegtos dokumentus iznīcināt, kad personāla atlase uz attiecīgo amatu ir pabeigta un ir pagājis termiņš lēmuma pārsūdzēšanai, kā arī ir pagājis termiņš, kurā var kļūt zināms, ka pieņemtais darbinieks var neizturēt pārbaudes laiku vai valsts iestādēs – netiek piešķirta pielaide noteiktai informācijai, un darba devējam var rasties nepieciešamība izmantot atlasei iesniegtos dokumentus. Datus par pretendentu ilgāk var glabāt tikai ar pretendenta piekrišanu un tikai noteiktam mērķim – citas personālas atlases mērķim, norādot glabāšanas laiku.

Ja atlases ietvaros tiek piesaistīta cita kompānija, tad šai citai kompānijai ir jānodrošina datu apstrāde Regulas ietvaros. To ieteicams fiksēt savstarpējā sadarbības līgumā, sīkāk definējot būtiskākos riskus. Ierakstot tikai vienu vispārēju teikumu – atlases kompānija nodrošina datu apstrādi atbilstoši spēkā esošajiem tiesību aktiem –, līguma slēdzējs uzliek atbildību uz atlases kompāniju tikai daļēji, un personas datu pārkāpuma gadījumā potenciālais darba devējs būs līdzatbildīgs. Tāpēc labā prakse ir pārliecināties par atlases kompānijas personas datu aizsardzības pasākumiem praksē, iepazīstoties ar tās iekšējiem dokumentiem, un, iespējams, veikt pārbaudes klātienē. Paļaušanās, ka ikkatra trešā puse (šajā gadījumā – ikkatra atlases kompānija) pēc noklusējuma pildīs tiesību aktu, var būt maldinoša. Pilnīgai pārliecībai iesaku veikt pārbaudes ikkatram augsta riska piegādātājam. No prakses atceros audita un revīzijas pakalpojumu sniegšanas kompāniju, kuru pārbaudot atklāju elementārus IT drošības pārkāpumus.

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



 
  1. ^ Latvijas Personāla vadīšanas asociācijas vadlīnijas personāla datu apstrādes jomā, 2018. gads. Pieejams: http://www.dvi.gov.lv/lv/wp-content/uploads/Vadl%C4%ABnijas-person%C4%81la-datu-apstr%C4%81des-jom%C4%81.pdf
31.01.2019

Kāpēc uzņēmumiem ir svarīgi ar ESG saistītie riski?

Pēdējo gadu desmitu un jo īpaši pēdējo 10 gadu laikā ESG risku izplatība ir strauji pieaugusi. To veicina vides un sociālo problēmjautājumu pieaugums, ar kuriem uzņēmumiem jāsaskaras, vienlaikus pievēršot daudz lielāku uzmanību iekšējai uzraudzībai, pārvaldībai un kultūrai šo risku vadībā. 

Jebkura organizācija, tostarp privātie uzņēmumi, valsts iestādes un bezpeļņas organizācijas, saskaras ar apkārtējās vides (Environmental), sociālās vides (Social) un pārvaldības (Governace) radītajiem riskiem (turpmāk – ESG riski), kas var ietekmēt to panākumus un pat izdzīvošanu. Ņemot vērā ESG risku unikālo ietekmi un atkarību, COSO (Committee of Sponsoring Organizations of the Treadway Commission) ir centusies izstrādāt vadlīnijas, kuras palīdzētu uzņēmumiem labāk izprast šo risku pilnu spektru, tos atklāt un efektīvi pārvaldīt.

Arī Latvijā arvien vairāk parādās uzņēmumi, kuri aktīvi domā ESG filozofijas kontekstā un ESG principus integrē savā uzņēmējdarbības stratēģijā. Latvijā ir izveidota biedrība "Korporatīvās ilgtspējas un atbildības institūts" (InCSR), kura dibināta ar mērķi stiprināt valsts un vietējās kopienas ilgtspējīgu attīstību, izglītojot sabiedrību, paaugstinot izpratni par atbildīgu un tālredzīgu rīcību un sekmējot pilsoniskās sabiedrības attīstību. Ar ESG saistītie riski un to pārvaldība kļūst arvien aktuālāks jautājums ne tikai pasaulē, bet arī Latvijā.

Būtiskākie aspekti:

  1. Mainīga globālā riska aina. Katru gadu Pasaules ekonomikas foruma globālajā riska pārskatā tiek apkopoti uzņēmumi, valdības, pilsoniskā sabiedrība un vadītāji, lai saprastu visaugstākos riskus, to ietekmi un iespējamību. Pēdējo desmit gadu laikā šie riski ir ievērojami mainījušies. 2008. gadā no pieciem būtiskajiem riskiem tika ziņots tikai par vienu sabiedrības risku – pandēmiju. 2018. gadā četri no pieciem galvenajiem riskiem bija vides vai sabiedrības problēmjautājumi, tostarp ārkārtēji laika apstākļi, ūdens krīzes, dabas katastrofas un neveiksmes klimata pārmaiņu mazināšanā un pielāgošanā.
  2. Investoru interese par ESG riskiem. Pieaug investoru interese par to, kā organizācijas identificē ESG riskus un kā uz tiem reaģē. 2018. gadā piedāvājumos par vides un sociālajiem jautājumiem bija iekļauti tādi  aspekti kā politiskie izdevumi un lobēšana, siltumnīcefekta gāzu emisijas, ziņošana par ilgtspējību, daudzveidība, cilvēktiesības, ieroču kontrole un recepšu medikamenti. Lielākā daļa no investoru atbalstītajiem priekšlikumiem bija tieši saistībā ar ESG jautājumiem.
  3. ESG informācijas atklāšana un regulējums. Ilgtspējības ziņojumi ir kļuvuši par normu daudzām publiskām un privātām organizācijām. Arī bezpeļņas un valsts pārvaldes struktūras ir sākušas atklāt ESG informāciju ieinteresētajām personām. Vairums uzņēmumu saskaras ar ieguldītāju, klientu un/vai piegādātāju pieprasījumu pēc lielākas pārredzamības attiecībā uz ESG jautājumiem.
  1. ESG un risku informācijas atklāšanas salīdzinājums. Lai gan ESG informācija tiek izpausta arvien vairāk, pierādījumi liecina, ka problēmas, par kurām ziņots ilgtspējības ziņojumos vai ESG informācijā, ne vienmēr atbilst riskiem, par kuriem tiek ziņots, atklājot informāciju iestādē iekšienē. Uzņēmumi, kas ir WBCSD (World Business Council for Sustainable Development) dalībnieki, norāda daudzus iemeslus, tostarp:
    • izaicinājumu kvantitatīvi noteikt ar ESG saistītos riskus naudas izteiksmē. Ja tas netiek darīts, ir daudz grūtāk noteikt prioritātes un pienācīgi sadalīt resursus, jo īpaši tad, ja risks ir ilgstošs un nezināmā laika posmā rodas nenoteikta ietekme;
    • zināšanu trūkumu par ESG saistītajiem riskiem uzņēmumā un ierobežotu riska pārvaldības un ilgtspējas praktiķu sadarbību;
    • ESG saistītos riskus pārvalda un atklāj ilgtspējas speciālistu grupa, un tos uzskata par mazāk nozīmīgiem riskiem nekā tradicionālos stratēģiskos, darbības vai finanšu riskus, radot neobjektivitāti attiecībā uz ESG saistītajiem riskiem.

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 



19.12.2018

Minimālais apjoms, kas ir jāpārzina uzņēmuma vadītājam par GDPR

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Regula), kas stājās spēkā 2018. gada maijā, attiecas uz ikkatru uzņēmumu Latvijā.

ES Regulas, atšķirībā no Direktīvām, ir saistošas pilnā apmērā katrā no Eiropas Savienības dalībvalstīm.

Varētu pieņemt, ka visi uzņēmumi šo jomu ir sakārtojuši līdz minētajam datumam, tomēr realitāte ir cita, tāpēc šī tēma vēlreiz tiek aktualizēta, un, iespējams, sniegs nepieciešamo atbalstu, ieviešot Regulas prasības. Viens no Regulas pamatpostulātiem ir sniegt datu subjektiem (fiziskām personām) informāciju skaidrā un saprotamā valodā, kas ir pamats šajā rokasgrāmatā izmantotajam rakstības stilam.

Regula paģēr soda sankcijas līdz 4% no gada apgrozījuma par Regulas prasību pārkāpšanu.

2018. gada 27. novembrī Datu aizsardzības regulatori vienlaikus Lielbritānijā (433,000 EUR) un Holandē (600,000 EUR) sodīja taksometru pārvadājumu firmu Uber par faktu, ka 2016. gadā, hakeriem uzlaužot un piesavinoties 57,000 šoferu un pasažieru dzīvesvietu datus, telefonu numurus un e-pasta adreses, Uber samaksāja izpirkuma naudu 100,000 EUR, un par šo datu noplūdi neziņoja ne regulatoriem, ne personām, kuru dati tika nopludināti. 2017. gadā Uber ASV par šo pašu incidentu samaksāja 148 miljonus USD.

Personas dati Regulas izpratnē ir informācija, kas var konkrēti identificēt personu jeb datu subjektu. Piemēram, e-pasta adrese, kas satur vārdu un uzvārdu, ir personas dati. Cita starpā personas dati ir vārds, uzvārds, personas identifikācijas kods, personas apliecības numurs, mājas adrese, interneta protokola (IP) adrese, atrašanās vietas dati, papildu iepirkšanās paradumi, vecums, ģimenes stāvoklis u.c. Personas dati nav uzņēmuma reģistrācijas numurs, e-pasta adrese, kas nesatur darbinieku vārdus un uzvārdus, un anonimizēti dati.

Uzņēmuma pirmais solis – identificēt visus fiziskās personas datu veidus, kurus uzņēmums iegūst, uzkrāj un apstrādā.

Otrais solis – saprast, vai ir likumīgs pamats tos iegūt un apstrādāt. Personas dati (piemēram, klienta grāmatvedes telefons, vārds, uzvārds, e-pasts), kurus jūs iegūstat, lai izpildītu klientu un sadarbības partneru pasūtījumus, visticamāk, tiek apstrādāti likumīgi, jo tie ir iegūti, noslēdzot līgumu ar šo sadarbības partneri, un sadarbības partneris ir iekļāvis šo informāciju līgumā.

Savukārt, ja līgumā ir norādīts tikai paraksttiesīgās personas vārds, uzvārds un kontaktinformācija, ir vēlams pieprasīt grāmatvedes (un pārējo kontaktpersonu) piekrišanu datu apstrādei jūsu uzņēmuma vajadzībām.

Trešais solis – saprast, vai dati tiek uzglabāti droši, kontrolēti un aizsargāti. Regula norāda uz organizatoriskām un tehniskām prasībām, kuras ieviešot tās ir nodrošināmas ikkatrā uzņēmumā. Antivīrusu programmatūra, darbinieku identifikatoru un paroļu izmantošana, paroļu regulāra maiņa, penetrācijas testi pakalpojuma sniegšanas tīmekļvietnēm ir piemēri tehniskajām prasībām. Organizatoriskās prasības ietver pārdomātu un ierobežotu datu apstrādi, t.i., dati, kas iegūti par fizisku personu, ir jāizmanto tikai tādā apmērā, kas nepieciešams konkrētam apstrādes nolūkam.

Risks ir definēts kā iespēja, ka iestāsies notikums un ietekmēs stratēģijas un darbības mērķu sasniegšanu. Savukārt notikums (Event) tiek definēts kā starpgadījumu, kuri var notikt ikdienā, kopums.

Pamatnostādnēs uzsvērts, ka risks ir saistīts ar potenciālu notikumu, apsverot tā smaguma pakāpi. Dažos gadījumos risks var attiekties uz notikuma gaidām, kas nenotiek.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



15.06.2018

Uzņēmuma risku vadība: attīstība no kuba (2004.) līdz spirālei (2017.)

Pēc vairāku gadu ilgas izpētes, apspriedēm, debatēm un kritikas 2017. gada vasarā Committee of Sponsoring Organizations of the Treadway Commission (COSO) laida klajā jaunos norādījumus uzņēmuma risku pārvaldībā (ERM): «Uzņēmuma risku vadība – integrācija ar stratēģiju un sniegumu» (Enterprise Risk Management – Integrating with Strategy and Performance).

Kopš iepriekšējā ERM, kas tika izlaists 2004. gadā, daudz kas ir mainījies riska un riska vadības jomā. Piemēram, ir mainījusies uzņēmējdarbības sarežģītība, un jaunie riski turpina attīstīties straujāk nekā agrāk. Klientu uzvedības maiņa ievērojami ietekmē globālo ekonomiku, kas kļuvusi neprognozējama, bet tehnoloģiskais progress ir radījis ne tikai jaunas iespējas uzņēmējdarbībai un vadībai, bet arī radījis jaunu riska kategoriju – kibernoziedzības risku.

Tehnoloģiju attīstība un lielāks pārredzamības pieprasījums ir radījis spriedzi stratēģiskās plānošanas procesos un spējā īstenot operacionālo darbību. Minēto problēmu risināšana prasa, lai uzņēmums uzņemtos jaunu pieeju riska vadībai: tādu, kas palīdz radīt, saglabāt un realizēt vērtību tagad un nākotnē.

Mūsu izpratne par riska būtību, izvēles, tai skaitā lēmumu, māksla un zinātne ir modernās ekonomikas pamatā. Katrai izvēlei, ko mēs veicam mērķu sasniegšanā, ir savi riski. No ikdienas operacionālajiem lēmumiem līdz fundamentāliem darījumiem vadības kabinetos, un tam ir būtiska loma kā šajās izvēlēs – lēmumu pieņemšanā – tikt galā ar riskiem.

Tā kā mēs cenšamies optimizēt iespējamo rezultātu amplitūdu, lēmumi retos gadījumos ir viennozīmīgi, ar pareizu un nepareizu atbildi. Tāpēc uzņēmuma risku pārvaldību var saukt par mākslu un zinātni. Un, ja risks tiek ņemts vērā uzņēmuma stratēģijas un uzņēmējdarbības mērķu formulēšanā, uzņēmuma risku vadība palīdz rezultātus optimizēt.

Izpratnei par risku un uzņēmuma risku vadības praksi pēdējo desmitgažu laikā ir tendence uzlaboties, bet paliek mazāk vietas kļūdām. Pasaules ekonomikas forums arī pieminēja «pasaulē pieaugošo nestabilitāti, sarežģītību un neskaidrību». Tas ir fenomens, ar ko mēs visi sastopamies. Uzņēmums saskaras ar izaicinājumiem, kas ietekmē uzticamību un uzticēšanos. Šodien ieinteresētās personas ir vairāk iesaistītas, cenšoties panākt lielāku pārredzamību un atbildību par riska ietekmes pārvaldību, vienlaikus kritiski izvērtējot vadības spēju atrast iespējas.

Organizācijām ir vairāk jāpielāgojas izmaiņām. Organizāciju augstākajai vadībai/valdei (vadībai) ir stratēģiski jādomā par to, kā pārvaldīt apkārtējās vides pieaugošo svārstīgumu, sarežģītību un neskaidrību; jo īpaši par to jādomā augstākā līmeņa vadītājiem.

ERM 2017 pauž «uz nākotni vērstu» uzņēmuma risku vadības skatījumu, uzsverot, cik svarīgi ir apsvērt riskus stratēģijas noteikšanas procesos un darbības pārvaldībā visā uzņēmumā. Grafikas izmaiņas no labi pazīstamā 2004. gada «kuba» līdz 2017. gada «spirālei» atspoguļo attīstību: redzot ERM kā instrumentu kopumu vērtību saglabāšanai, izmantojot ERM kā vērtību radīšanas veicinātāju.

No kuba līdz spirālei

Atjauninātajā dokumentā ir uzsvērts, cik svarīgi ir apsvērt risku gan stratēģijas noteikšanas procesā, gan darba snieguma (performance) izpildē. Tas arī sniedz precīzākus norādījumus par to, kas ir uzņēmuma risku vadība un kas nav. Patiesā ERM vērtība ir tā, ka tā veicina vispārēju pieeju un izpratni par riskiem. Pārāk bieži aizņemtie uzņēmumu vadītāji izmanto ERM kā resoru vai pazemina to līdz kontrolsaraksta uzdevumu līmenim. Viņiem vajadzētu saprast, ka ERM ir daudz kas vairāk par to.

Dokumentā ir atjaunota un skaidrota riska un ERM jēdzienu definīcija, kas nosaka pakāpi, kādā riski un risku vadība ietekmē visas uzņēmuma jomas.

Vienmēr pastāv iespēja, ka mēs nezinām, kā uzņēmuma stratēģija un iespējamie notikumi var ietekmēt uzņēmējdarbības mērķus. Notikuma iestāšanās (vai neiestāšanās) risks rada nenoteiktību. Uzņēmējdarbībā nenoteiktība pastāv, kad vien uzņēmums uzsāk īstenot nākotnes stratēģiju un uzņēmējdarbības mērķus. Šajā kontekstā:

Risks ir definēts kā iespēja, ka iestāsies notikums un ietekmēs stratēģijas un darbības mērķu sasniegšanu. Savukārt notikums (Event) tiek definēts kā starpgadījumu, kuri var notikt ikdienā, kopums.

Pamatnostādnēs uzsvērts, ka risks ir saistīts ar potenciālu notikumu, apsverot tā smaguma pakāpi. Dažos gadījumos risks var attiekties uz notikuma gaidām, kas nenotiek.

 

Riska vadības rokasgrāmata

 

   

     Riska vadības rokasgrāmata

 

 

 



24.05.2018

Informācijas drošības draudu tendences: mūsdienu realitāte

Kopš 90. gadu sākuma informācijas tehnoloģiju (IT) izmantošana ir būtiski pārveidojusi uzņēmumu darbības pieejas, ņemot vērā arī uz kibernoziegumiem orientēto vidi. Klientu pasūtījumi tiek apstrādāti ar elektronisku datu apmaiņu internetā ar nelielu cilvēku iesaisti vai bez cilvēku līdzdalības. Biznesa procesi bieži tiek nodoti ārpakalpojumu sniedzējiem, jo ir iespējama sadarbība, izmantojot tīkla savienojumus. Arvien vairāk uzņēmumu darbinieku strādā attālināti vai no mājām, jo ne vienmēr nepieciešams darbs klātienē birojā. Produkcijas noliktavas parasti ir aprīkotas ar radiofrekvenču identifikācijas iekārtām. Gandrīz visas bankas piedāvā internetbanku un darbojas tiešsaistes (online) sistēmā. Līdz ar to pastāvīgi attīstās un paplašinās informācijas drošības draudi.

Uzņēmumi automatizē procesus, piesaistot tehnoloģijas, tādēļ pieaug biznesa digitalizācijas risks. Personiskās un privātā biznesa informācijas zādzības, resursu piesavināšanās, pakalpojumu aizliegumi – kibernoziegumi kļūst ikdienišķa parādība, kas skar gan lielos, gan mazos uzņēmumus.

Kopš 2010. gada un arī tuvākajā nākotnē var runāt par vairākiem galvenajiem apdraudējumiem.

1. Kibernoziegumi

Sākotnēji internets bija paredzēts galvenokārt informācijas apmaiņai, nevis kā līdzeklis tās aizsardzībai. Taču tagad internets ir arvien pievilcīgāks «medījums» noziedzniekiem – IT aktīvisti un hakeri kļūs motivētāki, lai pelnītu naudu, tiktu pamanīti, izraisītu traucējumus vai pat izputinātu uzņēmumus ar uzbrukumiem tiešsaistē.

Masu mediji aizvien biežāk informē par būtiskiem kibernoziegumiem. Lai arī kiberuzbrukumi dominē atsevišķās jomās, tomēr tiem ir pakļautas visas nozares. Kuri dati, kādas sistēmas un aktīvi kļūs par kibernoziedznieku vērtību kādā konkrētā brīdī, ir atkarīgs no uzbrucēja motīva.

Organizācijām ir jābūt gatavām neprognozējamajam, lai būtu iespējams mobilizēties neparedzētiem un lielas ietekmes notikumiem.

Nodalīta pieeja informācijas drošībai, darbības nepārtrauktībai un reaģēšanai uz incidentiem ir pagātne. Šodien nepieciešamība steidzami nodrošināt pastāvīgi pieejamus pakalpojumus klientiem un biznesa partneriem digitālajā ekonomikā nepieprasa uzņēmumiem kļūt elastīgākiem. Elastīgs uzņēmums spēj pasargāt sevi no uzbrukumiem, taču jāatzīst, ka ar aizsardzību vien var nepietikt. Elastīgam uzņēmumam ir jāizveido saikne starp aizsardzību, uzņēmuma misijas īstenošanu un mērķu sasniegšanu, īstenojot integrētas programmas, lai nodrošinātu uzņēmuma un tā darbību ilgtspējīgu pastāvēšanu.

Uzņēmuma vadībai ir jānovērtē pamatdarbības riski digitālajā uzņēmējdarbībā un tiešā pārvaldība, tādējādi nodrošinot, ka uzņēmums ir vairāk nekā tikai aizsargāts, bet tas ir dzīvotspējīgs.

Tā kā kiberincidenti un ar tiem saistītie zaudējumi palielinās katru gadu, tad arvien vairāk aug kibernoziegumu risku pārvaldības loma uzņēmumos. Uzņēmuma valdei un, piemēram, revīzijas un riska komitejām, ja tādas ir izveidotas, ir stingri jāpārrauga risku vadība, lai sagatavotie risku vadības pasākumu plāni ir pilnīgi un to īstenošana pienācīgi aizsargā organizāciju.

Riska loma uzņēmumā pieaug saistībā ar informācijas un sakaru sistēmas pastiprināto integrāciju operacionālajā darbībā un tirgū. Lai rastu kompromisu starp tehnisko risku un iespējamo ielaušanos informācijas sistēmās, uzņēmuma riska pārvaldībā būtu jāievieš jauna pieeja informācijas aizsardzībai un reaģēšanai. IT ir būtisks uzņēmējdarbības atbalsta komponents, un līdz ar to kiberaizsardzība vairs nav tikai tehniskas dabas jautājums, bet ir arī biznesa jautājums, kam jāpiesaista augstākās vadības uzmanība.

Nozīmīgākie trūkumi organizācijā, kuri izraisa būtiskas neveiksmes:

  • Augstākās vadības bezatbildība, vienaldzība un bezdarbība. Drošības kultūru veido uzņēmuma vadība. Ja uzņēmuma vadītāji bezatbildīgi izturas pret savu neaizsargāto e-pasta lietotājvārdu un paroli, tas signalizē par to, ka drošība ir izlikšanās, nevis prioritāte.
    Risinājums: vadības sanāksmēs, kurās tiek uzsāktas diskusijas par kibernoziegumiem, jautāt un rast atbildi uz svarīgiem jautājumiem par nepieciešamo budžetu, darbinieku atbildību un atgriezenisko saikni.
    Kibernoziegumi ātri var kļūt par krīzes situāciju, ja tie netiek agrīni atklāti un uzņēmums nespēj uz tiem efektīvi reaģēt. Lai noskaidrotu, cik lietderīgi un efektīvi ir īstenota kibernoziegumu atklāšana un reaģēšana, uzņēmumu vadītājiem var palīdzēt šādi jautājumi:
    • Vai incidenta atklāšana ir pietiekami integrēta ar reaģēšanu uz to un incidenta skarto procesu darbības atjaunošanu, lai uzņēmumus kļūtu elastīgāks?
    • Vai incidenta/krīzes pārvarēšanas pieredze ir pierādījusi, ka uzņēmums ir spējīgs ar to tikt galā? Vai šo incidentu pieredze ir izmantota, lai uzlabotu aizsardzības spējas?
    • Vai incidenta atklāšanas spēja ir pietiekama, lai identificētu pazīmes un notikumus, kas varētu liecināt par kibernoziegumu?
    • Vai ir atbilstoši izveidota vadības struktūra, lai nodrošinātu efektīvu reaģēšanas spēju?
    • Vai krīzes komunikācijas spēja ir ieviesta un integrēta reaģēšanas pasākumos?
    • Vai visas ieinteresētās puses un to vajadzības ir identificētas un ņemtas vērā, izstrādājot incidentu vadības plānu?
    • Vai incidentu vadības plāns ir nesen praktizēts un atziņas izmantotas, lai atjauninātu un precizētu incidentu reaģēšanas programmu?
  • Neveiksmīga darbinieku iesaiste. Uzņēmumi tērē lielus finanšu resursus, lai izglītotu darbiniekus par informācijas drošību. Tomēr pamatideja ir vienkārša: visa drošība ir cilvēks. Neviens, izņemot informācijas drošības vadītāju, nerūpēsies par datu drošību un aizsardzību, līdz darbiniekus neskars zaudējumi, ko izraisījuši incidenti.
    Risinājums: izglītot visus par to, ka drošība ir katra darbinieka «sirdī».
  • Būt mobiliem visur, bet bez drošības jostas. Lai arī šoferiem braukt bez drošības jostas ir naivi, tomēr uzņēmumu biroji līdzīgi tiek aprīkoti ar viedtālruņiem, planšetdatoriem un klēpjdatoriem, kam nav pat elementāras aizsardzības (paroles, šifrēšana, attālinātā izsekošana), nemaz nedomājot par sarežģītākiem aizsardzības pasākumiem (mobilo ierīču pārvaldība, virtuālie privātie tīkli, darba vietu pārvaldība).
    Risinājums: iestrādāt drošības kontroles tieši savā tīklā.
  • Skatīšanās pāri, neredzot to, kas ir tuvumā. Pamatcēlonis vairumam datu zudumu nav tehnoloģija – tā ir cilvēka rīcība: nezināšanas, baiļu, alkatības vai egoisma, apjukuma, steigas rezultāts. Bieži vien, lai izvilinātu informāciju no darbiniekiem, tiek izmantota cilvēku labestība.
    Risinājums: ieviest taktiku reaģēšanai uz krāpšanos, lai darbinieki ar iemaņām spētu atvairīt bīstamus pieprasījumus datu identificēšanai un informācijas noplūdei.
  • Tiek ignorēta drošības elastība. Statistiski ikviens nākamajos trīs gados var saskarties ar kaut kāda veida personas identitātes zādzību. Hipotētiski katrai organizācijai būs interneta pieslēgums ar datu zaudēšanas gadījumiem. Līdz ar to vienmēr būs svarīgi ātri reaģēt un atgūties no kiberuzbrukuma.
    Risinājums: aktīvi sagatavot kiberelastīgu pārkāpumu reaģēšanas plānu, pirms uzbrukums ir noticis. Sagatavotības līmenis var saglabāt uzņēmuma reputāciju.

2. Ar personisko datu identificēšanu un aizsardzību saistīts privātuma apdraudējums

Lielākajā daļā pasaules valstu jau tiek veidots prasību kopums, kas paredz nosacījumus par personisko datu aizsardzību un izmantošanu, tostarp par sodiem organizācijām, kas nespēj pietiekami aizsargāt personu datus un informāciju. Tādējādi organizācijām privātuma aizsardzībai jāpastiprina gan atbilstības, gan biznesa risku pārvaldība, lai samazinātu administratīvās sankcijas un uzņēmējdarbības izmaksas, piemēram, reputācijas saglabāšanai vai atjaunošanai un klientu zaudēšanai konfidencialitātes pārkāpumu dēļ.

3. Apdraudējums no trešās puses pakalpojumu sniedzējiem

Sadarbība ar ārpakalpojumu sniedzējiem ir būtiska sastāvdaļa katra uzņēmuma globālā biznesa darbībā un mūsdienu pasaules ekonomikas mugurkauls, tāpēc palielinās vadības interese un koncentrēšanās uz vairākiem riska faktoriem. Arvien biežāka ir dalīšanās ar vērtīgu un sensitīvu informāciju ar piegādātājiem, un, kad šī informācija tiek nodota kādam ārpus iestādes, tiek zaudēta tiešā kontrole. Iepriekšminētais izraisa paaugstinātas informācijas konfidencialitātes, integritātes vai pieejamības apdraudējumus.

Uz ārpakalpojumu sniedzējiem vienmēr tiks izdarīts spiediens informācijas aizsardzības dēļ, un maz ticams, ka ārpakalpojumu sniedzēji spēs nodrošināt atbilstošu datu konfidencialitāti, integritāti vai pieejamību. Līdz ar to dažādu lielumu uzņēmumiem ir jādomā par sekām, ko piegādātājs radīs nejauši, bet nereti kaitniecisku apsvērumu dēļ, piekļūstot to intelektuālajam īpašumam, klientu vai darbinieku informācijai, plāniem vai sarunām, un šī domāšana nav jāsaista tikai ar ražošanas vai izplatīšanas partneriem – tas attiecas uz ikvienu profesionālo pakalpojumu piegādātāju, tai skaitā, piemēram, personāla vadības darbiniekiem, juristiem, grāmatvežiem un citiem, kuri var dalīties ar piekļuves avotiem un no tiem iegūto informāciju.

4. Personīgo ierīču izmantošana darbā

Palielinās tendence darbavietās izmantot privātās mobilās ierīces, tostarp datu nesējus. Informācijas drošības risks ir augstāks nekā jebkad līdz šim. Riski rodas no iekšējiem un ārējiem draudiem, tostarp no nepietiekamas iepriekšminēto ierīču pārvaldības, programmatūras ievainojamības ārējo manipulāciju rezultātā un neuzticamām biznesa aplikācijām.

5. Sadarbība ar cilvēkiem

Uzņēmuma vērtība un visneaizsargātākais mērķis ir darbinieki. Pēdējo dekāžu laikā organizācijas ir tērējušas milzīgus finanšu līdzekļus informācijas drošībai. Šīs pieejas pamatojums bija aizstāt lielāko vērtību – cilvēkus – un mainīt viņu uzvedību, tādējādi samazinot personāla un darbības riskus.

Tomēr to var uzskatīt par samērā neveiksmīgu pieeju. Tā vietā iestādēm jāveido pozitīva drošas uzvedības kultūra un jāintegrē tā biznesa procesos.


Riska vadības rokasgrāmata

Riska vadības rokasgrāmata