Aptien lidsky: Jak řídit rizika v malé a střední firmě

Proč se vůbec riziky v malé nebo střední firmě zabývat? 

Malé a střední firmy nemají tolik kapacit a tak přístup k analýze rizik musí být pragmatický. To, že se formálně nikdo riziky nezaobírá ještě neznamená, že ve skutečnosti firma rizika neřídí. Řízení rizik by se nemělo stát formálním "udržováním nějakých tabulek pro tabulky". Řízení rizik je přirozeným pudem sebezáchovy.

Co znamenají rizika a jejich řízení v lidštině:

• Rizika jsou problémy, které visí ve vzduchu
• Problémům chcete zabránit nebo byste měli být na ně připraveni, když nastanou

Zaměřte se na největší problémy

• Problémy mohou být malé nebo velké
• Velké problémy (rizika) mohou ohrozit fungování firmy nebo zdraví zaměstnanců
• Problémem může být také nedodržení zákonů nebo jiných předpisů a z nich vyplývající likvidační pokuta
• Velké problémy byste měli nějak ošetřit (zrušit jejich zdroj, přenést je na někoho jiného nebo je jinak snížit)
• Když nic neuděláte, většinou sami od sebe nezmizí
• Malé problémy můžete akceptovat (= risknout)

Co znamená řízení rizik v lidštině

Řízení rizik může být vysvětleno mnoha způsoby a může zamotat hlavu. Pokud z toho nechcete dělat velkou vědu a chcete se zaměřit na praktický postup, dá se celý proces řízení rizik shrnout do třech kroků

1. Co zjistíte při analýze rizik

1. Výsledkem analýzy rizik jsou pojmenovaná rizika - potenciální problémy, které jsou buď velké nebo malé

2. Jak budoucí problémy ošetříte

• Ke každému potenciálnímu problému si musíte říct, co s ním
• Můžete se k němu postavit zády, nic nedělat a doufat, že nenastane nebo že ho "ustojíte"
• Můžete se ho pokusit snížit, přenést na někoho jiného nebo jeho zdroj zrušit

3. Jaký je výsledek

• Výsledkem jsou buď malé, přijatelné problémy, které umíte řešit, nebo
• Vám zůstane velký problém a vy budete doufat, že nenastane

1. Analýza rizik a problémů

• Rizika jsou potenciální problémy, které mohou nebo nemusí nastat
• Začněte tedy možnými problémy, které mohou zásadně ohrozit vaše fungování
• Soustřeďte na problémy, které mohou ohrozit vaše fungování, způsobit velké finanční ztráty nebo přivodit pokuty
• Pomozte si větou "když se tohle stane, máme velký problém"
• Ohodnoťte problém od ostupnice „jsme schopni to zvládnout" nebo „nebudeme fungovat“
• Rizika dmusí dávat dohromady vedení nebo majitel firmy, to jsou lidé, kteří problémy znají 

2. Jak budoucí problémy ošetříte

Jakmile máte seznam problémů hotový, určíte si, co s nimi. Ke každému z nich se nějak se nějak musíte postavit, nějak je ošetřit. Jaké máte možnosti? Nejlepší je problémům předcházet.

1. Nic neuděláte = problém zůstává jak je
2. Zrušíte zdroj rizika = problém zmizí
3. Riziko přenesete na někoho jiného = problém bude mít někdo jiný 
4. Zkusíte riziko snížit na přijatelnou úroveň = problém dostanete na úroveň "jsme schopni to zvládnout"
5. U všech problémů byste měli mít plán, jak je vyřešit, jak zareagovat ve chvíli, kdy nastanou

3. Jaký je výsledek řízení rizik? Zvládnutelné problémy

Rizika jsou a budou existovat. Problémy budou nastávat. Problém není otázku jestli, ale kdy. Důležité je, abyste je byli schopni zvládnout. Výsledkem vašeho snažení v rámci jsou buď malé, přijatelné problémy, které jste schopni zvládnout a umíte je vyřešit. Může se také stát, že idetifikujete riziko, které prostě nemůžete (například finančně nebo kapacitně) ošetřit nebo prostě vznik problému je mimo vaši kontrolu. V takové situaci vám zůstane velký problém a vy budete doufat, že nenastane. Prostě to musíte risknout. Pokud to tak je, měli byste mít alespoň připravený nebo rozmyšlený záložní plán co dělat v případě, že problém nastane. 

Jak zvládat problémy?

Nejlepší je problémy řešit tím, že jim předcházíte, když už problém nastane, měli byste mít plán, jak je vyřešit, jak správně reagovat

Jak problémům předcházet

Ošetřením rizik se tedy můžete problémům zcela vyhnout  - buď zrušit jejich zdroj nebo je přenést na někoho jiného. To jsou ideální situace. Pokud chcete riziko snížit, je ideální problémům předcházet. To lze řešit buď nějakým technickým opatřením (například protiskluzová podlaha sníží riziko uklouznutí) nebo nějakým opatřením na straně lidí - vzděláváním, změnou procesu (například správný postup při práci s kyselinou zabrání úrazu)

• Technickými opatřeními 
• Vzděláváním pracovníků
• Zlepšením procesů

Jak reagovat na problémy, když nastanou

když už problém nastane, měli byste mít plán, jak je vyřešit, jak správně reagovat. To znamená mít plán, jak umět situaci vyřešit a jak se co nejrychleji, nejlépe a nejsnadněji vrátit do původního stavu. 

Sdílení informací o rizicích ve firmě

Sdílení těchto informací není jen byrokracie – zvyšuje odolnost firmy vůči problémům, krizím a zlepšuje její schopnost reagovat. Je tedy důležité i pro malé a střední firmy, nejen pro velké korporace. I v malé firmě může být špatná komunikace a nesdílení informací hlavní příčinou neúspěchu v prevenci nebo zvládnutí problému (např. kyberútoku, poruchy zařízení, poškození zdraví zaměstnance apod.). Je stále častější, že i malé a střední firmy začínají řízení rizik brát vážněji, a to kvůli tlaku zákazníků, pojišťoven, předpisů a také rostoucímu povědomí o zranitelnosti malých firem.

Proč je sdílení informací důležité

• Důkazní materiál pro audit a pojišťovny – Dobře vedená dokumentace a přehled o přijatých opatřeních zvyšují důvěryhodnost firmy
• Minimalizace opakování chyb – Sdílené informace o předchozích selháních pomáhají poučit se a neudělat stejnou chybu dvakrát
• Méně zbytečné práce a neustálého "dohledávání" – Pokud si lidé ve firmě předávají informace o vznikajících problémech chaoticky, vzniká spousta zbytečné práce
• Přirozenější zapojení lidí – Když lidé vidí, že se rizika sdílí a řeší, spíše se zapojí.

Jak řešit sdílení informací o rizicích ve střední firmě?

Vše můžete řešit jednoduše v hlavě, na papíře, v excelech a pomocí emailu. Pokud je firma větší, a celé prostředí je složitější tak e-mailový nebo excelový ping-pong způsobí více práce než užitku. Sdílení a komunikaci usnadní sdílení informací pomocí aplikace, kde vedete přehled rizik, jejich zdrojů, komunikaci kolem jejich snížení, opatření a mnoho dalšího. 

• Registr rizik vám pomůže seznam rizik sdílet a komunikovat napříč firmou
• Je proto důležité vědět, kde začít a jak s vytvořením pokračovat.

Přehled o rizicích, zdrojích rizik a problémů

• Seznam identifikovaných rizik: Pro zvýšení povědomí o tom, co firmě hrozí a kde jsou slabá místa.
• Je užitečné mít informace o zdrojích rizik, což jsou buď vaše aktiva nebo procesy. 

Koordinace opatření

• Opatření, která vám pomohou snižovat rizika
• Přijatá a plánovaná opatření (measures): Aby bylo jasné, kdo co řeší, a aby nedocházelo ke zdvojení nebo opomenutí.
• Úkoly v rámci řízení rizik: Pro přehled o zodpovědnostech, termínech a pokroku.
• Kontrolní zjištění z auditů nebo kontrol: Umožňují sledovat stav souladu a nápravná opatření.

Hlášení problémů a incidentů

• Různé incidenty, odchylky, nehody, skoronehody
• Jasný postup a odpovědnosti při řešení nehod 
• V řadě případů vyžadované legislativou, Obzvlášť důležité pro firmy ve vysoce regulovaných odvětvích.
• Pro poučení a prevenci dalších výskytů.

Školení a informovanost zaměstnanců

• Aby zaměstnanci věděli, co se od nich očekává a jak se chovat, musejí znát směrnice, předpisy a pracovní postupy

Doporučení pro střední firmu

• Mít jednoduchý, centrální nástroj (např. Aptien) pro evidenci rizik, opatření a úkolů.
• Oddělit citlivé informace podle rolí ve firmě – např. HR rizika nemusí vidět IT oddělení a naopak.
• Zavést rutinní sdílení a revizi informací (např. čtvrtletní bezpečnostní meetingy nebo incident review).
• Zapojit zaměstnance – umožnit jim hlásit rizika nebo incidenty jednoduchým způsobem (např. přes formulář nebo aplikaci).

Shrnutí pojmů:

• rizika (problémy, co nám hrozí),
• opatření (co děláme),
• incidenty (co se stalo nebo téměř stalo),
• úkoly (kdo má co řešit).