S riziky pracujeme úplně všichni. Na denní bázi. Jako auditoři chápeme, že s nimi kalkulujete každý den i ve Vaší firmě. Protože jinak by to ani nešlo. A nemyslíme si, že s velkou revizí ISO 9001 v roce 2015 přišel ten moment, kdy byla objevena důležitost řízení rizik (i jejich pozitivní varianty - příležitostí). Ale spíše šlo o moment, který více zakomponoval řízení rizik do požadavků systémových norem a to průřezově celou normou i napříč obory systémů a sektory průmyslu. Pracuje s nimi kvalita, environment, BOZP i další. V oblasti automotive, medical devices, službách apod.
Jako vždy začnu příkladem ze života - "nebude-li pršet nezmoknem..."
Dneska bude asi pršet. Dívala jsem se na předpověď a hrozí déšť. Mohla bych mít zmáchané vlasy a oblečení a řasenka by mi mohla téct nevzhledně po obličeji. Jak zabráním této "katastrofě"? Asi neporučím větru dešti, ale vezmu si deštník a bude to dobré. Popsala bych to v tabulce asi takto: externí aspekt aspekt počasí - definice rizika déšť - popis bude intenzivně pršet - následek zmoknu - pravděpodobnost 50% - dopad znehodnocení dokumentace a PC s batohu - prioritizace rizika 3 - opatření co udělám vezmu deštník / pojedu autem - ...
Obyčejná situace.
Ve firemním životě je rizik mnoho. V duchu hesla "kdo je připraven - není překvapen", je dobré si je promyslet v předstihu. Proto je jedním z požadavků ISO norem ŘÍZENÍ RIZIK. A je to dobře. Je lepší, mít maximum možných rizik promyšlených s chladnou hlavou. Do stresových situací Vás přivedou nenadálé události, které jste si v rámci scénářů nedokázali ani představit. Jak jsme toho bohužel svědky v posledních dnech.
Pojďme se dnes podívat na to, jak doložit auditorovi, že s riziky pracujete SYSTEMATICKY. Protože to je to, co po Vás ISO normy chtějí. Všeobecnou ISO 9001 počínaje a specifickými standardy pro oblast medical devices, automotive nebo letecký průmysl konče. Také záleží jestli se bavíme o informační bezpečnosti, BOZP, environmentu nebo o kvalitě. Požadavky norem na řízení rizik se liší mírou detailu - metodikou jejich zpracování. Náročnější budou pochopitelně sektorové normy, úzce zaměřené např. na automotive IATF 16949 nebo zdravotnické prostředky ISO 13485. Existuje také celá řada specifických návodů a směrnic na řízení rizik. Např. všeobecná ISO 31000 nebo ISO 14971 pro oblast medical devices.
S čím se v rámci auditů setkáváme?
10 vad na kráse analýz rizik v rámci systém managementu
Chybí scénáře, popis rizika je vágní, relevantní rizika zcela chybí... Jeden z příkladů kolegyně zabývající se ISMS: "Při analýze rizik bezpečnosti informací mne vždycky překvapí, jak málo si uvědomujeme hodnotu informací, které máme jen ve svých hlavách. Zatím u každého klienta, kterého jsme připravovali na certifikaci ISO 27001 nebo TISAX, jsme objevili alespoň jednoho člověka, který byl/je pro svou firmu nějakým způsobem jedinečný a jeho znalosti a schopnosti nenahraditelné, aniž si to majitelé či management firmy uvědomovali. Společně pak hledáme řešení, jak riziko ztráty takového „informačního aktiva“ eliminovat."
Z rizik nejsou vyvozena opatření, cíle je nezohledňují… Ano, jen pojmenování rizik nestačí. Je nutné popsat jak jim budete předcházet. Co budete dělat, když budou aktuální. Vaše cíle musí rizika reflektovat.
Chybí stanovení významnosti - prioritizace (v souladu s tím, do jaké míry je pravděpodobný jeho výskyt a jaká je míra závažnosti dopadu, které může riziko způsobit)
Analýza se udělá a leží v šuplíku. Je zřejmé, že se s riziky nepracuje.
Pozor na nastavení kritérií přijatelnosti. Kolega auditor z oblasti zdravotnických prostředků uvádí: "riziko způsobující poranění uživatele jehož pravděpodobnost výskytu byla třeba 10% bylo stále riziko přijatelné, pro které nebylo nutné stanovit žádnou akci. Řešení rizik probíhalo nikoli akcí, nýbrž úpravou pravděpodobnosti výskytu či závažnosti…"
Analýza rizik byla prováděna nikoli na začátku návrhu a vývoje, ale až na jeho konci.
Nebyly reflektovány požadavky. Firma neznala ISO 14971 (u firmy vyrábějící zdravotnické prostředky).
Neřešení rizik vznikajících u dodavatelů (ani nekomunikování o nich, ani zapracování kontrolních mechanismů do dodavatelských specifikací)
Před X lety si organizace nechala od externí poradenské firmy zpracovat analýzu rizik bezpečnosti informací, ale vůbec netuší, co v ní je a jak s ní pracovat. Výstupům analýzy nerozumí, jsou čistě formální bez pochopení celé věci.
Analýza rizik nezohledňuje zřejmé změny v kontextu organizace.
Závěr
Uvědomte si prosím, že nedostatečná analýza rizik se Vám může vrátit jako bumerang při formulaci cílů a jinde. (Zájemce o téma Cíle v systémech řízení odkazuji na 3. díl Newsletteru.)
Je potřeba pochopit, že analýza a práce s riziky není nutné zlo, ale užitečný nástroj. Nespoléhejte na talisman, řiďte svá rizika.
Veronika Soukupová, v.soukupova@s-cope.cz