Ako u organizaciji već imate popis zahtjeva, nekoliko otvorenih nalaza i mapu punu dokaza, a i dalje nije jasno tko što radi i do kada, problem nije u dokumentaciji. Problem je u tome što plan usklađenja još nije pretvoren u operativni alat. Pitanje kako izraditi plan usklađenja zato nije administrativno, nego upravljačko pitanje koje izravno utječe na regulatornu spremnost, raspodjelu odgovornosti i razinu stvarnog rizika.
Kod kibernetičke sigurnosti to je posebno vidljivo. Mnoge organizacije imaju politike, procedure i tehničke kontrole, ali nemaju jasan redoslijed aktivnosti za otklanjanje neusklađenosti. Rezultat je predvidljiv – previše ručnog rada, premalo pregleda nad statusom i stalni osjećaj da se reagira tek kada dođe zahtjev uprave, revizije ili nadzornog tijela.
Kako izraditi plan usklađenja bez praznih stavki
Dobar plan usklađenja ne počinje pisanjem tablice. Počinje razumijevanjem opsega. Prvo morate znati na koje se regulatorne obveze plan odnosi, koje organizacijske cjeline ulaze u obuhvat i koji su kriteriji uspješnosti. Ako je opseg nejasan, plan će izgledati uredno, ali neće biti provediv.
U praksi to znači da treba povezati tri razine. Prva je regulatorni zahtjev – što točno zakon, uredba, interni standard ili ugovorna obveza traži. Druga je stvarno stanje – koje kontrole, dokumenti i procesi već postoje. Treća je jaz između ta dva stanja – što nedostaje, što je djelomično provedeno i što postoji, ali nije dokazivo.
To je trenutak u kojem mnoge organizacije naprave pogrešku. Umjesto da plan temelje na dokazima i procjeni stvarnog stanja, kreiraju generičke aktivnosti poput “ažurirati procedure” ili “poboljšati sigurnosne kontrole”. Takve formulacije zvuče ozbiljno, ali ne pomažu operativi. Aktivnost mora biti dovoljno precizna da je odgovorna osoba može provesti bez dodatnog tumačenja.
Od procjene stanja do jasnih aktivnosti
Plan usklađenja vrijedi onoliko koliko je kvalitetna početna procjena. Ako ne znate koje su neusklađenosti stvarne, a koje su samo nedostatak dokaza, miješat ćete prioritete i trošiti resurse na pogrešne stvari.
Zato je korisno svaku utvrđenu neusklađenost opisati kroz četiri elementa: zahtjev koji nije ispunjen, dokaz koji nedostaje ili pokazuje odstupanje, poslovni i sigurnosni učinak te potrebnu korektivnu aktivnost. Kad to napravite, plan prestaje biti popis želja i postaje alat za upravljanje promjenom.
Primjerice, nije isto ako organizacija nema formalno imenovanu odgovornu osobu za kibernetičku sigurnost ili ako tu osobu ima, ali nema zapis o ovlastima i odgovornostima. U oba slučaja postoji problem usklađenosti, ali korektivne aktivnosti, rokovi i uključeni dionici nisu isti. Isto vrijedi i za upravljanje incidentima, klasifikaciju imovine, evidenciju pristupa ili testiranje planova oporavka.
Svaka aktivnost mora imati vlasnika
Jedan od najčešćih razloga zašto planovi usklađenja zapnu jest nejasno vlasništvo. Ako je za aktivnost zadužen “IT”, “sigurnost” ili “uprava”, tada realno nije zadužen nitko. Vlasnik aktivnosti mora biti imenovana funkcija ili osoba koja može pokrenuti provedbu, koordinirati ovisnosti i potvrditi završetak.
To ne znači da svaka aktivnost mora biti provedena unutar jednog tima. Često će pravna služba, IT, sigurnost, ljudski resursi i poslovne funkcije morati raditi zajedno. No odgovornost za ishod mora biti jasna. Bez toga plan ostaje informativan dokument, a ne upravljački instrument.
Rokovi moraju pratiti rizik, ne kalendar
Rokovi se često određuju prema dostupnosti ljudi, kvartalnim ciklusima ili dojmu o hitnosti. To je razumljivo, ali nije dovoljno. Rok mora odražavati razinu rizika i regulatornu izloženost. Aktivnosti koje smanjuju visoku vjerojatnost incidenta, uklanjaju ozbiljnu neusklađenost ili zatvaraju kritičan nedostatak u dokazivosti trebaju imati prioritet.
S druge strane, nije svaku otvorenu stavku razumno gurati u isti rok. Time se stvara privid kontrole, a zapravo raste vjerojatnost probijanja rokova i površne provedbe. Bolji pristup je podjela na kratkoročne, srednjoročne i strukturne aktivnosti. Kratkoročne zatvaraju kritične jazove, srednjoročne stabiliziraju procese, a strukturne ugrađuju trajne promjene u upravljanje i nadzor.
Kako izraditi plan usklađenja koji je mjerljiv
Ako ne možete objektivno potvrditi da je aktivnost dovršena, tada je niste dobro definirali. Zato svaka stavka u planu treba imati mjerilo završetka. To može biti odobrena politika, usvojena procedura, zapis o testiranju, evidencija obuke, tehnička konfiguracija, rezultat kontrole ili drugo revizijski prihvatljivo dokazno sredstvo.
Ovdje dolazi važna razlika između “provedeno” i “dokazivo provedeno”. U regulatornom kontekstu druga kategorija ima veću težinu. Organizacija može tvrditi da redovito provodi procjene rizika ili upravlja pristupima, ali bez uredno prikupljenih i povezanih dokaza to ostaje tvrdnja. Plan usklađenja zato mora biti vezan uz dokaznu logiku, a ne samo uz radne zadatke.
Dobro je i unaprijed definirati statusne oznake. Primjerice, otvoreno, u tijeku, na čekanju, dovršeno i verificirano. To izgleda kao detalj, ali upravo takvi detalji uklanjaju konfuziju u izvještavanju prema upravi, reviziji i regulatornim funkcijama.
Gdje planovi najčešće propadaju
Najčešći problem nije manjak truda, nego manjak strukture. Organizacije krenu ozbiljno, odrade procjenu, otvore velik broj aktivnosti, a zatim nakon nekoliko tjedana izgube pregled nad ovisnostima, dokazima i promjenama prioriteta.
Drugi čest problem je miješanje razina. U istom planu završe strateške odluke uprave, tehnički zadaci administratora i administrativna usklađenja bez jasne hijerarhije. Tada je teško pratiti napredak, a još teže izvještavati smisleno. Uprava treba vidjeti rizik, prioritet i status otklanjanja. Operativa treba vidjeti konkretan zadatak, rok, dokaz i blokere.
Treći problem je pretpostavka da je plan jednokratan dokument. Nije. Regulativa se mijenja, kontrole sazrijevaju, nalazi se zatvaraju i otvaraju novi. Plan usklađenja mora se održavati kao živi mehanizam upravljanja, posebno u područjima gdje se od organizacije očekuje kontinuirana spremnost za nadzor i dokaziva usklađenost.
Tehnologija može ubrzati proces, ali ne zamjenjuje logiku
Upravo zato sve više organizacija prelazi s proračunskih tablica i parcijalnih evidencija na specijalizirane sustave. To ima smisla kada želite povezati regulatorne zahtjeve, samoprocjenu, dokaze, neusklađenosti i akcijske planove u jednu cjelinu. Posebno kada se radi o zahtjevima iz područja kibernetičke sigurnosti, gdje broj kontrola, dionika i dokaznih elemenata brzo raste.
No tehnologija sama po sebi ne rješava loše postavljen plan. Ako su aktivnosti nejasne, vlasnici neodređeni, a kriteriji završetka nepostojeći, digitalizirat ćete kaos. Vrijednost nastaje kada alat pomaže standardizirati procjenu, strukturirati neusklađenosti, pratiti provedbu i automatizirati izvješćivanje bez gubitka regulatorne preciznosti.
U tom smislu, platforme poput ITrevizija.hr imaju operativnu prednost jer spajaju AI vođenu procjenu usklađenosti, upravljanje dokazima i plan daljnjeg postupanja u jedinstven proces. To je posebno korisno organizacijama koje ne žele višemjesečni projekt implementacije, nego brz i kontroliran put od nalaza do provedivih aktivnosti.
Što bi dobar plan usklađenja trebao sadržavati
Ne treba vam opsežan dokument da biste imali dobar plan. Treba vam dovoljno precizna struktura. U pravilu, svaka stavka treba sadržavati referencu na zahtjev, opis neusklađenosti, procjenu prioriteta, korektivnu aktivnost, vlasnika, rok, potrebne resurse, status i dokaz završetka.
Po potrebi dodajte i međuovisnosti. To je korisno kada jedna aktivnost ne može krenuti prije nego što se dovrši druga, primjerice kada izrada procedure ovisi o odluci uprave, a tehnička implementacija o usvajanju procedure. Bez tog sloja plan može izgledati linearno, iako provedba nije.
Za srednje i velike organizacije korisno je uvesti i razinu upravljačkog nadzora. To znači da se uz operativne zadatke prate eskalacije, kašnjenja i otvoreni rizici koji traže odluku uprave. Na taj način plan usklađenja postaje dio korporativnog upravljanja, a ne samo radni dokument kontrolnih funkcija.
Praktičan pristup za regulirane organizacije
Ako ste u sektoru s pojačanim regulatornim očekivanjima, najbolje je krenuti od samoprocjene koja je dovoljno detaljna da otkrije stvarne jazove, ali dovoljno strukturirana da odmah generira provedive aktivnosti. Nakon toga plan usklađenja treba prevesti u ritam rada – tjedno praćenje operativnih zadataka, periodično izvještavanje odgovornih osoba i redovitu provjeru jesu li priloženi dokazi stvarno dovoljni.
Nema univerzalnog predloška koji jednako dobro odgovara bolnici, banci, energetskom subjektu i telekom operatoru. Logika je ista, ali prioriteti, dokazni standard i razina formalizacije ovise o obvezama, arhitekturi sustava i profilu rizika. Zato je dobar plan uvijek dovoljno standardiziran da bude upravljiv i dovoljno prilagođen da bude primjenjiv.
Najkorisnije je gledati plan usklađenja kao alat za donošenje odluka. Kada je dobro postavljen, odmah pokazuje gdje je najveći regulatorni rizik, koje aktivnosti daju najbrži učinak i gdje organizacija treba dodatne resurse ili jaču upravljačku podršku. Tada usklađenost prestaje biti periodični administrativni napor i postaje kontroliran proces koji možete dokazati, pratiti i poboljšavati.