Bez procesů neurčíte rizika správně
Analýza a zhodnocení rizik na základě procesů (Process-based Risk Assessment) je jedním z nejpoužívanějších způsobů identifikace a analýzy rizik. Je to v podstatě základ, bez znalosti procesů nebude váš seznam rizik správný a už vůbec ne úplný. Musíte znát své kritické procesy, jejichž zastavení nebo nefunkčnost může vaši organizaci ohrozit nebo zcela ochromit.
V tomto článku vám přiblížíme postup, jak můžete vytvořit přehled a analýzu svých rizik na základě vašich procesů. Dali jsme pro vás dohromady 5 základních kroků, které vás provedou procesem identifikace, zhodnocením a ošetřením rizik tak, abyste se v nich neutopili.
Proč analyzovat rizika na základě procesů?
- Procesy jsou jedním z klíčových zdrojů rizik
- Umožní vám snadno najít kritická místa
- Pro řadu organizačních rizik je tento přístup mnohem lepší, než přístup založený na aktivech, který naopak dokáže snadněji odhalit technická rizika
- Potenciální problémy a chyby v procesech nemůžete detekovat a odhalit pomocí aktiv. Špatně nastavený proces nebo osobu, která nedodržuje pracovní postupy nelze pomocí analýz aktiv odhalit
- Analýza rizik založená na procesech se s postupem na základě aktiv vzájemně doplňují. Každý z přístupů může odhalit různá rizika
- Je vhodné začít od procesů, protože vám dají lepší obrázek o kritičnosti vzhledem k chodu organizace
5 základních kroků analýzy rizik s pomocí procesů
- Pokud své procesy nemáte zmapované, existuje mnoho způsobů a technik jako to udělat
- Základní procesy a jejich popis máte ve svých směrnicích
- Můžete také vyjít z nějaké šablony procesů nebo referenčního procesního modelu pro vaše odvětví
Krok 1: Vytvořte si přehled všech procesů ve vaší organizaci
Jako výchozí bod je třeba mít přehled vašich procesů, od kterého se budou odvíjet všechny další kroky. Musíte své procesy dobře znát, abyste dobře zacílili své úsilí na největší problémy a rizika, která musí vycházet z vašich nejdůležitějších procesů.
- Vytvořte si přehled vašich procesů
- V přehledu vyberte procesy, které jsou pro vaši organizaci kritické
Základní principy pro vytvoření seznamu kritických procesů pro chod vaší organizace
- Ne všechny procesy jsou stejně důležité
- Vždy existují procesy a činnosti, které jsou pro chod vaší organizace zásadní, na ty se soustřeďte
- Začněte s vašimi hlavními procesy, které vytváří hodnotu pro vaše zákazníky
- Vyberete procesy, jejichž zastavení nebo nefunkčnost ochromí chod vaší organizace
- Určitě neuděláte chybu, pokud začnete od procesů, které vaši firmu živí - tedy od prodeje, výroby nebo poskytování služeb vašim zákazníkům. Tím dostanete jasnou představu o prioritách a budete se soustředit na podstatná rizika, které mohou ohrozit každodenní fungování vaší firmy.
Krok 2: Najděte a pojmenujte rizika, která vaše procesy ohrožují
Procesní a organizační rizika jsou typicky problémy vzniklé v důsledku špatných nebo nedodržených pracovních postupů.
- Každý proces může skrývat nějaké riziko v důsledku lidské chyby, špatného úmyslu, technického selhání nebo celé řady jiných příčin.
- Příkladem procesních rizik jsou špatně zaúčtovaná faktura nebo špatný postup dělníka při spuštění stroje
- Každý proces může podlehnout také nějakým hrozbám a má své zranitelnosti, sepište je
- Pečlivě analyzujte každý proces a identifikujte a přiřaďte k němu potenciální rizika
- Na konci tohoto kroku získáte seznam všech možných rizik, na která jste přišli díky analýze procesů
Krok 3: Proveďte zhodnocení a prioritizaci rizik
V seznamu rizik musíte vytvořit priority. Nelze řešit vše najednou. U každého rizika zhodnoťte jeho dopad a pravděpodobnost.
- Musíte se přednostně věnovat rizikům, která vás mohou ohrozit nejvíce
- To určíte pomocí odhadu nebo výpočtu dopadu a pravděpodobnosti každého jednotlivého rizika
- Největší prioritu mají pochopitelně rizika s vysokou mírou dopadu a pravděpodobnosti.
- K přehlednému zobrazení prioritních a méně důležitých rizik vám pomůže matice rizik.
- Pro popis jednotlivých rizik využijte registr rizik.
Krok 4: Rozhodněte, jak s riziky naložíte
Na základě priorit se pustíte do posledního kroku, kterým je vytvoření sady opatření, která rizika ošetří. Z předchozího kroku vyberte nejvíce kritická rizika a rozhodněte, jak s nimi naložíte, jak jednotlivá rizika ošetříte. Soustřeďte se na 10 nejkritičtějších rizik. Mějte na vědomí, že většinu rizik nelze nikdy zcela odstranit, pouze snížit jejich pravděpodobnost nebo zmírnit dopad na vaše procesy
- Soustřeďte se na prioritní rizika
- Rozhodněte, jakou strategii pro každé riziko zvolíte
- Vytvořte opatření a preventivní akce k vybraným rizikům
Krok 5: Proveďte přehodnocení
Situace se mění a vy na změny musíte reagovat. Některá rizika zanikají, mění se jejich pravděpodobnost a některá nová rizika vznikají. Je třeba v tomto smyslu udržovat také aktuální vaše aktivity, abyste neřešili opatření k rizikům která již zanikla a naopak vám neunikla nově vzniklá rizika.
- Objevují se nová rizika a stará mohou mizet nebo jejich význam může klesat
- Je důležité dělat pravidelně přehodnocení
- Roční cyklus je nejvhodnější