Rizika v systému managementu
Tvůrce normy k tomu vedly dva dobré důvody:
- Do té doby bylo povinné provádět „preventivní opatření“. Počet preventivních opatření i úsilí jim věnované bylo možné dobře porovnat s opatřeními nápravnými. Vcelku logicky se říkalo (a stále to platí), že úsilí, věnované prevenci by mělo být přinejmenším podobné tomu, které věnujeme kontrole či detekci. Chceme přeci raději chybám předcházet nežli je napravovat. Zkušenost certifikačních auditorů ale ukazovala něco jiného – v drtivé většině společností se mnohem více úsilí i peněz věnovalo na kontrolu než na prevenci.
- Můžeme klidně diskutovat o tom, který požadavek normy nám dává smysl a o kterém si myslíme, že nás jenom zatěžuje další byrokracií. Nesmíme ale zapomenout, že norma je vlastně prostředkem ochrany zákazníka. A zákazník nestojí o to, být vystaven riziku. Raději tedy bude pracovat s dodavateli, kteří o rizicích přemýšlejí a kteří jim dokážou efektivně čelit.
Když jsme si v LRQA před lety četli návrh textu nového vydání normy, chtěli jsme požadavku na zvažování rizik dobře porozumět. Všimli jsme si, že se požadavek na zvažování rizik objevuje ve dvou souvislostech. Jedna je, řekněme, strategická a druhá je spíše provozní. To jsou ale dost abstraktní pojmy. Zkusme se na to podívat z pohledu zákazníka:
- Zákazníci nechtějí mít potíže s námi jako dodavateli.
- Zákazníci nechtějí mít potíže s naším produktem (ať už je to hmotný výrobek nebo služba).
(Pro znalce normy můžeme prozradit, že první pohled na zvažování rizik je obsažen v kapitole 4.1. a 4.2., – to je tam, kde se píše o aspektech a zainteresovaných stranách. Druhý pohled je obsažen v požadavcích na proces v kapitole 4.4.)
V „návodu k použití“ normy, obsaženém v příloze, se dočteme, že není předepsán žádný formát ani rozsah pro zvažování rizik a že není předepsáno použití žádných konkrétních nástrojů. To je od tvůrců normy hezké. V mnohém kvalitáři to ale vyvolá obavy: co ode mě vlastně chtějí? Jaké důkazy budu muset poskytnout při auditu? Kolik úsilí musím věnovat zvažování rizik, pokud vyrábím plastové květináče nebo poskytuji operativní leasing?
Naším kurzem „Analýza rizik v systému managementu“ chceme dát odpověď na základní otázky:
- Kolik se toho od nás vlastně chce s ohledem na velikost firmy a její zaměření?
- Možná už spoustu těch věcí v současnosti děláme. Kde najdu jejich výstupy?
- Musím o tom všem vést podrobné záznamy?
- Jaké nástroje řízení rizik jsou povinné a jaké jsou pro nás užitečné?
- Čím se liší klasický přístup k řízení rizik od Business Continuity Management?
Celý kurz je koncipován v souladu s normou ISO 31000:2018 Management rizik – Principy a směrnice a s materiálem TC 176 Zvažování rizik v ISO 9001:2015.