Zavedení systém řízení rizik zní pro většinu lidí samo o sobě odpudivě. Zvlášť když jsou přinuceni se něčemu takovému věnovat pod hrozbou vysoké pokuty jako například nyní kvůli povinnostem kybernetického zákona a NIS2. Pojďme se na to společně podívat z lidsky praktické stránky.
Řízení rizik je vlastně o selském rozumu
- Rizika jsou možné problémy, které mohou nebo nemusí nastat.
- Řízení rizik není nic jiného, než že tyto možné problémy zkoušíte odhadnout, předvídat a máte plán co nimi budete dělat, jak na ně budete reagovat. Budete na ně připraveni. Je to stejné, jako když plánujete pojistku. Prostě si zhodnotíte co vám hrozí.
- Systém řízení rizik znamená, že to celé děláte systematicky, řízeně. Je to tedy systematický přístup k předcházení možných problémů.
Co je třeba si kolem rizik uvědomit?
- Nikdy nemůžete odhadnout všechna rizika, i když se budete snažit sebevíc
- Některá rizika zejména ty uvnitř vaší organizace můžete ovlivnit
- Některá rizika se mohou objevit nebo mohou nastat, aniž byste to ovlivnili. To jsou především rizika zvenku.
- Když už máte seznam rizik, měli byste vědět co s každým jednotlivým rizik chcete dělat
Co můžete v principu s riziky dělat?
- Pokusíte se jim předejít
- Pokusíte se je zmírnit
- Přenesete je na někoho jiného (například pomocí pojištění)
- Budete je ignorovat
Co musíte dělat, abyste mohli říct, že máte zavedený systém řízení rizik
Zavedený systém řízení rizik fakticky znamená, že:
- Máte vytvořený seznam rizik – tedy katalog rizik odpovídající rozsahu, kde všude chcete chce svá rizika řešit
- Jednotlivá rizika hodnotíte. Víte, která jsou pro vás nejnebezpečnější a soustředíte se na nejvíce problémová
- Máte plán, jak se k jednotlivým rizikům postavit - tedy máte opatření a plán k odstranění nebo zmírnění rizik
- Jednou za čas vše znovu zhodnotíte - zdali jste plán stanovili dobře a zdali se nevyskytla nová rizika
Řešíte všechna rizika nebo jen v nějaké oblasti?
Ještě než začnete, musíte mít jasno v tom, jestli chcete řešit všechna rizika, která ohrožují vaši firmu nebo z nějakého důvodu se soustředíte pouze na jednu oblast (například vás k tomu tlačí legislativní povinnost, třeba soulad s NIS2). Rozsah, tedy šíři záběru je nutné stanovit předtím, než začnete s analýzou rizik. Rizika tedy můžete hledat a řídit buď kompletně za celou firmu nebo pouze za jednu oblast, nejčastěji:
- Rizika v celé firmě
- Rizika bezpečnosti práce pracoviště
- Finanční rizika
- Rizika informační bezpečnosti
- Rizika kybernetické bezpečnosti
- A další
Vytvořte a udržujete seznam rizik
Na základě rozsahu si vytvoříte seznam rizik. Pokud tedy například budete řešit pouze NIS2 a kybernetická rizika, váš seznam bude obsahovat pouze rizika, která ohrožují vaše informace a systémy. Nebudete řešit rizika rizika například úrazů na pracovišti.
Seznam rizik si můžete vytvořit jen na papíře, v excelu nebo v nějakém nástroji. Čím více lidí se na rizicích podílí, tím spíše budete potřebovat nějaký nástroj, jako je třeba Aptien. Co důležité, aby všichni lidé, kteří se na tom podílí mohli informace sdílet a řešit zadání týmově. Pouze v takovém případě to celé dává smysl. Pokud to jen založíte do šanonu, zůstanou papíry v šuplíku a řízení rizik nedává smysl. Díky seznamu (katalogu) rizik můžete
- každé jednotlivé riziko popsat tak, abyste jej uměli zhodnotit
- abyste informace o rizicích mohli sdílet napříč celým týmem, všemi lidmi kteří se na tom podílí
TIP Aptien: Použijte excel nebo si katalog rizik si vytvoříte pomocí evidence rizik. Pro každé riziko vytváříte samostatnou kartu rizika, na které uchováváte detailní informace, jako jsou dopad, pravděpodobnost a zároveň i opatření k jejich odstranění, zmírnění či jejich dopadu. Rizika držíte v souvislostech, víte tedy jaké riziko se váže k jakému aktivu - k projektu, majetku, procesu a dalším aktivům a také informace, kdo je za jaké riziko zodpovědný.
Registr rizik není jen seznam, je to živé prostředí
- Registr rizik je důležitým místem, které slouží k evidenci a sledování potenciálních rizik
- Cokoliv se vyskytne, šup s tím do registru. Kdykoli existuje možnost, že by něco mohlo ovlivnit vaši firmu, měli byste to vyhodnotit a zaznamenat do registru rizik.
- Registr rizik obsahuje klíčové informace o každém riziku, včetně dopadu rizika, pravděpodobnosti, že k němu dojde, jeho hodnocení nebo úrovně priority, kdo na riziko dohlíží a jaká opatření budou použita k řízení a zmírnění rizika.
- Sdílený registr rizik je nedílnou součástí procesu řízení rizik a může pomoci k úspěchu vašeho projektu.
- Jak se firma rozrůstá, bývá do procesu zapojeno větší množství lidí, je stále obtížnější sledovat, co je důležité. Právě zde může mít registr rizik velkou hodnotu. Dokumentuje potenciální rizika na jednom místě a umožňuje vám na něj snadno odkazovat pro řízení a sledování rizik.
Rizika hodnotíte abyste věděli, co vám může způsobit největší problémy
Analyzujte a vyhodnoťte rizika. Hodnocení rizik neslouží ničemu jinému než tomu, abyste věděli, co vám může způsobit největší problémy. Nikdy se nemůžete věnovat všemu a proto si musíte udělat jasnou čáru, kterým rizikům se můžete věnovat přednostně a kterým se zkrátka věnovat nebudete. K tomu slouží jejich prioritizace. Prioritizace rizik je důležitá pro to, jakým rizikům se věnovat.
Stanovení důležitosti a priorit se dá dělat mnoha různými způsoby. Nejjednodušší a nesrozumitelnější způsob je stanovení dopadu rizika a pravděpodobnosti.
- dopad rizika znamená, jak velký problém může riziko způsobit, jaké důsledky bude mít
- pravděpodobnost stanovuje, s jakou pravděpodobností může riziko nastat
Jakmile si toto pro každé riziko stanovíte, pak snadno určíte velikost rizika = pravděpodobnost x dopad.
Máte plán, jak se k jednotlivým rizikům postavit
"Cílem není kreslit jen čerty na zeď, ale snažit se, aby čerti neobživli."
Jakmile budete mít seznam těch nejnebezpečnějších rizik, pro každé z nich si stanovíte co s rizikem chcete udělat. Pro vybraná rizika vytváříte plán co s nimi - nápravná opatření v samostatné evidenci (organizéru) nápravných nebo preventivních opatření.
Jak na ně budete reagovat. Pro každé riziko si stanovíte co ním, přičemž se soustředíte na ta největší rizika.
- Pokusíte se jim předejít
- Pokusíte se je zmírnit
- Přenesete je na někoho jiného (například pomocí pojištění)
- Budete je ignorovat
Uvedete plány v život
Pro každé riziko začnete dělat to, co jste si stanovili.
- U rizik, kterým se budete snažit předejít nebo se mu vyhnout nebudete zkrátka danou věc dělat. Například, pokud je použití konkrétního zařízení nebezpečné, přestanete ho používat.
- U rizik která se budete snažit zmírnit, uděláte opatření, která sníží pravděpodobnost jejich výskytu. Například riziko uklouznutí snížíte tím, že uděláte podlahu protiskluzovou.
- U rizik, která chcete přenést na někoho jiného, můžete například sjednat pojištění (případné finanční ztráty přenesete na pojišťovnu) . Dalším příkladem je přenesení rizika na dodavatele, tedy například začnete danou službu nakupovat od dodavatele nebo daný proces outsourcujete.
- U rizik, kde jste stanovili, že je budete ignorovat je budete ignorovat. Nebudete dělat nic.
Nic není statické, věnujte se tomu průběžně
Svět a okolnosti se neustále mění a je třeba se tomu přizpůsobit. Postupem času vznikají nová rizika, stávající rizika se zvyšují nebo snižují, rizika již neexistují, priorita rizika se může změnit nebo strategie "léčby" rizik již nemusí být účinné.
Už zítra mohou nastat úplně jiné okolnosti - některá rizika nemusí platit, jiná rizika se mohou objevit. To neznamená, že každé ráno budete vyhodnocovat svůj seznam rizik. Mějte ale nastavené takové procesy a myšlení, které vám umožní reagovat na změnu situace a váš seznam rizik aktualizovat tak, aby odpovídal aktuální situaci ve vaší firmě i ve vašem okolí.
Jednou za čas vše znovu zhodnotíte
I když to budete dělat přirozeně průběžně, vždy je dobré alespoň jednou za rok udělat velkou revizi - tedy projít kompletní seznam rizik i souvisejících opatření a zhodnotit, jestli je vše nadále platné a není třeba něco přehodnotit. Opět platí stejné principy jako při průběžném přehodnocování - můžete zjistit, že konkrétní riziko už neplatí, nebo že pravděpodobnost toho, že nastane radikálně snížila či zvýšila.
Abyste tedy mohli prohlásit svůj systém řízení rizik za fungující, musíte jednou za čas - alespoň jedenkrát ročně, rizika projít a přehodnotit. A to konkrétně:
- Jestli se nezměnila nebezpečnost vámi identifikovaných rizik
- Jak funguje váš plán, jestli není lepší to vyřešit jinak
- Nepřibylo nějaké nové riziko nebo
- Nějaké riziko nezmizelo samo o sobě
Můžete to dělat formou auditů nebo sezení týmu vedení firmy oddělení a podobně. Mělo by to být zhodnoceno, sepsáno a zaneseno v katalogu rizik.
Cokoliv se vyskytne, šup s tím do registru.
Všechno se točí pořád dokola
Stejně jako řízení je i řízení rizik je kontinuální proces. Pro většinu lidí (pouze pro bezpečáky) to není denní rutina a může se to smrsknout na to jednoroční hodnocení. Pozor, není to formální sezení „jen aby se něco nepsalo“.
Shrnutí toho, co znamená mít zavedený systém řízení rizik
Abyste tedy mohli prohlásit svůj systém řízení rizik za fungující, musíte:
- Vést seznam rizik
- Každé riziko mít zhodnocené
- Mít vyjmenovaná rizika, která vás mohou nejvíce ohrozit
- Mít plán, jak s nimi naložit a co dělat, když nastanou
- Pravidelně rizika i plány přehodnocovat