Obsah

Každá firma riadi riziká. Otázka je, či to robí vedome, alebo náhodou. Keď konateľ odmietne veľkú zákazku, lebo „na to nemáme kapacitu a pohoríme na termíne”, riadi riziko. Keď firma má dvoch dodávateľov tej istej súčiastky namiesto jedného lacnejšieho, riadi riziko. Robí sa to denne, len väčšinou intuitívne, v hlave jedného-dvoch ľudí a bez stopy. Problém nastane, keď tí ľudia nie sú prítomní, keď sa firma rozrastie alebo keď príde rozhodnutie, ktoré je príliš veľké na to, aby bolo založené na niekoho pocite.

Riadenie rizík ako disciplína je presne o tomto: spraviť z intuície opakovateľný, zdieľaný a obhájiteľný spôsob rozhodovania. Nie je to nič nové ani exotické. Je to len pomenovanie a sprehľadnenie toho, čo dobré firmy robia tak či tak.

Čo riziko vlastne je

Začnime tým, čo riziko nie je: nie je to len zoznam zlých vecí, ktoré sa môžu stať. Toto je najčastejšie nedorozumenie, s ktorým sa v praxi stretávame, a vedie k registrom plným požiarov, povodní a krachu IT, ktoré s reálnym fungovaním firmy nemajú nič spoločné.

ISO 31000, medzinárodný návod pre riadenie rizík, definuje riziko ako vplyv neistoty na ciele. Sú v tom tri dôležité slová. Vplyv môže byť negatívny aj pozitívny, riziko teda zahŕňa aj premeškanú príležitosť, nielen hrozbu. Neistota je jadro veci, ak je výsledok istý, nie je to riziko, je to fakt. A ciele sú to, na čom záleží, riziko bez väzby na konkrétny cieľ firmy je len abstraktná obava. Riziko, ktoré neohrozuje žiadny váš cieľ, nie je vaše riziko.

Toto vymedzenie má praktický dôsledok. Ak chcete vedieť, aké sú vaše skutočné riziká, najprv musíte vedieť, aké máte ciele. Firma, ktorá nevie pomenovať, kam ide, nedokáže zmysluplne pomenovať, čo ju od toho môže odkloniť.

Prečo to nie je papier pre audítora

Veľká časť firiem sa s riadením rizík prvýkrát stretne až ako s požiadavkou normy. ISO 9001 chce „rizikové myslenie”, ISO 27001 posúdenie rizík informačnej bezpečnosti, GDPR pri istých spracúvaniach posúdenie vplyvu. A tak vznikne register rizík deň pred auditom, vyplní sa, audítor odíde spokojný a dokument putuje do priečinka, kde ho do ďalšieho auditu nikto neotvorí.

Povedzme si rovno: takýto register je strata času. Splní formálnu požiadavku, ale firme nedá nič. Riadenie rizík má hodnotu len vtedy, keď ovplyvňuje skutočné rozhodnutia, keď sa naň niekto pozrie predtým, než podpíše zmluvu, spustí projekt alebo zmení dodávateľa. Mŕtvy register je drahší než žiadny, lebo dáva falošný pocit, že riziká máte pod kontrolou.

Rozdiel medzi živým a mŕtvym systémom rizík nie je v kvalite tabuľky. Je v tom, či výstup niekam vstupuje. To je téma, ku ktorej sa v tejto sérii ešte vrátime, lebo práve tu padá najviac dobre mienených snáh.

Riziko je súčasťou rozhodovania, nie príloha k nemu

Tu je posun, ktorý odlišuje firmy, čo riadenie rizík len „majú”, od tých, ktorým reálne pomáha. Riadenie rizík nie je samostatná aktivita vedľa biznisu. Je to vrstva každého dôležitého rozhodnutia.

Samotná norma ISO 31000 to hovorí jasne: riadenie rizík je súčasťou governance a vedenia a je základom toho, ako sa organizácia riadi na všetkých úrovniach. Inak povedané, nemá to byť odbor, ktorý raz za rok vyplní tabuľku, ale spôsob uvažovania, ktorý je prítomný vtedy, keď sa rozhoduje o stratégii, investícii, novom trhu či veľkom kontrakte.

V praxi to znamená jednoduchú otázku položenú v správnej chvíli: „Čo sa musí stať, aby toto rozhodnutie dopadlo zle, a vieme s tým niečo spraviť?” Firma, ktorá si ju kladie systematicky, sa nevyhne zlým výsledkom úplne. Vyhne sa ale tým, ktoré bolo vidno dopredu, a to je v praxi väčšina z nich.

Prečo sa riadenie rizík prekrýva so všetkým

Toto je dôvod, prečo riadenie rizík považujeme za jadro, nie za jednu z mnohých tém. Ak sa pozriete na moderné systémy riadenia, zistíte, že pod nimi všetkými beží tá istá logika rizika.

ISO 9001 stavia na rizikovom myslení: máte uvažovať, čo ohrozuje kvalitu a spokojnosť zákazníka, a konať skôr, než problém nastane. ISO 27001 je doslova postavená na posúdení rizík, celý systém informačnej bezpečnosti vychádza z toho, čo môže ohroziť dôvernosť, integritu a dostupnosť vašich informácií. Európska smernica NIS2, prenesená do slovenského zákona č. 69/2018 Z.z. v znení zákona č. 366/2024 Z.z., žiada riadenie rizík kybernetickej bezpečnosti ako základnú povinnosť. Kontinuita podnikania podľa ISO 22301 je riadenie rizika prerušenia prevádzky. A GDPR pri rizikových spracúvaniach žiada posúdenie vplyvu na ochranu údajov, čo je posúdenie rizika pre práva fyzických osôb.

Štyri rôzne svety, jedna spoločná kostra. To má zásadný praktický dôsledok: firma, ktorá vie riadiť riziká ako disciplínu, nemusí budovať štyri oddelené systémy od nuly. Stavia raz a používa naprieč. Firma, ktorá to nevie, rieši to isté štyrikrát, zakaždým inak, a diví sa, prečo má štyri tabuľky rizík, ktoré si navzájom protirečia.

Čo z toho má vaša firma

Ak odhliadneme od noriem a auditov, dobre nastavené riadenie rizík dáva firme tri veci. Lepšie rozhodnutia, lebo veľké kroky robíte s otvorenými očami, nie poslepu. Menej prekvapení, lebo to, čo bolo vidno dopredu, ste zachytili včas. A spoločnú reč, lebo namiesto „mám zlý pocit z tej zákazky” má tím spôsob, ako obavu pomenovať, porovnať s inými a rozhodnúť sa s ňou alebo proti nej.

Zároveň buďme čestní v tom, čo riadenie rizík nie je. Nie je to veštec. Nezaručí, že sa nič nepokazí, a nenahradí úsudok. Je to nástroj, ktorý úsudok zlepšuje a robí ho zdieľateľným, nie automat, ktorý rozhoduje za vás. Firma, ktorá od neho čaká istotu, bude sklamaná. Firma, ktorá od neho čaká lepšie šance, ich dostane.

Čo vás čaká v tejto sérii

Toto je úvodný článok série, v ktorej riadenie rizík rozoberieme do hĺbky a prakticky. Pozrieme sa na rámec a proces podľa ISO 31000, na techniky hodnotenia rizík, na to, ako určiť, koľko rizika firma vedome unesie, a ako postaviť register, ktorý sa naozaj používa. Budeme sa venovať aj tomu, prečo bežná matica rizík nestačí, akú rolu hrá riziková kultúra a ako riadenie rizík prepája kvalitu, informačnú bezpečnosť, kontinuitu aj ochranu údajov do jedného celku. Na záver zhrnieme najčastejšie chyby, ktoré pri zavádzaní vídame z praxe.

Ak medzitým riešite, ako riadenie rizík nastaviť konkrétne vo vašej firme alebo organizácii, na úvodnej konzultácii posúdime, kde stojíte, a navrhneme ďalší krok bez záväzku.