Obsah
Firma má zavedené ISO 9001. K tomu jej pribudli povinnosti podľa zákona o kybernetickej bezpečnosti, takže rieši aj informačnú bezpečnosť. Popri tom beží GDPR a niekde v pozadí téma, čo sa stane, ak vypadne prevádzka. A pre každú z týchto vecí má firma samostatnú zložku, samostatnú tabuľku rizík, často aj samostatného človeka alebo poradcu. Štyri systémy, štyri silá, štyri svety, ktoré spolu nehovoria.
Väčšina firiem to takto berie ako štyri oddelené povinnosti, ktoré treba odbaviť každú zvlášť. Lenže keď sa pod ne pozriete, zistíte, že pod všetkými je ten istý základ a ten istý pojem rizika. A to mení celú ekonomiku veci: nemusíte stavať štyrikrát, stačí raz a používať naprieč.
Praktický dôsledok oddeleného prístupu je drahý. Keď máte štyri samostatné systémy, tak robíte štyrikrát to isté riadenie rizík, štyrikrát platíte a viažete ľudí, a navyše vám vznikajú štyri tabuľky rizík, ktoré si neraz protirečia, lebo každú písal niekto iný v inom čase. Audity sa prekrývajú, dokumentácia bobtná a nikto nemá celkový obraz. Toto je presne ten typ skrytého plytvania, ktoré nevidno na jednej faktúre.
Čo hovorí norma
Dá sa to robiť jednoduchšie. Aktuálne ISO normy manažérstva zdieľajú spoločnú štruktúru, ktorá sa od roku 2021 volá harmonizovaná štruktúra (predtým sa jej hovorilo high level structure). Zjednodušene je to spoločná osnova: tých istých desať kapitol, rovnaká logika neustáleho zlepšovania a, čo je pre nás najdôležitejšie, rovnaká definícia rizika ako vplyvu neistoty na ciele.
To znamená, že ISO 9001 pre kvalitu, ISO 27001 pre informačnú bezpečnosť, ISO 22301 pre kontinuitu podnikania aj ďalšie systémové normy majú rovnakú štruktúru. Kontext organizácie, vedenie, plánovanie s ohľadom na riziká, podpora, prevádzka, hodnotenie a zlepšovanie, to všetko sa v nich opakuje. Keď poznáte jednu, v druhej sa zorientujete rýchlo.
Samostatne stojí ISO 31000, návod pre riadenie rizík, ktorému sme sa v tejto sérii venovali. Tá nie je systémovou normou, ale dáva práve tej rizikovej vrstve, ktorá je vo všetkých systémoch, spoločný jazyk a nástroje. Inak povedané, harmonizovaná štruktúra hovorí, že riziko má byť všade rovnako chápané, a ISO 31000 ukazuje, ako to riziko reálne riadiť.
V praxi to znamená
Keď tieto dve veci spojíte, dostanete to, čomu sa hovorí integrovaný systém manažérstva. Predstavte si namiesto štyroch oddelených domov jeden dom s viacerými miestnosťami. Spoločné základy a nosné steny sú zdieľané, len vybavenie každej miestnosti je iné.
V praxi to znamená jednu rizikovú kostru pre celú firmu. Jeden proces a jeden register rizík, ktorý pokrýva kvalitu, informačnú bezpečnosť, kontinuitu aj ochranu údajov, namiesto štyroch, čo o sebe nevedia. Riziko úniku dát sa tak posúdi raz a poslúži pre ISO 27001, pre zákon o kybernetickej bezpečnosti aj pre posúdenie vplyvu v GDPR, len z trochu iného uhla. Jeden rytmus preskúmania namiesto štyroch porád o tom istom. A spoločné interné audity, ktoré prejdú viac systémov naraz. Výsledkom je štíhly systém, ktorý drží pokope, a nie štyri kopy papierov.
Buďme féroví aj k výhrade. Integrácia nie je úplne zadarmo a nie je to mechanické zlepenie štyroch zložiek do jednej. Vyžaduje, aby niekto videl všetky domény naraz a vedel ich poprepájať, čo je práve dôvod, prečo sa to firmám s rôznymi poradcami na každú normu darí ťažšie. Ale aj s týmto nákladom vychádza integrovaný prístup u firiem, ktoré riešia viac ako jednu normu či reguláciu, lacnejšie a prehľadnejšie než budovanie v silách.
Ako k tomu pristúpiť
Ak už máte rozbehnutý jeden systém a pribúda druhý, nemusíte začínať novou samostatnou tabuľkou rizík. Pomôže opačný pohyb: zobrať riziká, ktoré dnes máte roztrúsené po jednotlivých systémoch, a zlúčiť ich do jednej štruktúry s jedným spôsobom hodnotenia. Hneď uvidíte dve veci, ktoré sa v silách stratia. Riziká, ktoré sa opakujú vo viacerých systémoch a stačí ich riešiť raz, a riziká, ktoré si v jednotlivých tabuľkách protirečia a treba ich zjednotiť.
Z práce naprieč ISO normami, kybernetickou bezpečnosťou aj ochranou údajov vidím, že práve tento jeden krok, spojenie rizík do jednej kostry, prináša najviac prehľadu za najmenej úsilia. Nie je to o ďalšom dokumente, je to o tom prestať písať to isté štyrikrát.
Týmto sa vraciame k myšlienke, ktorou sme začínali: riadenie rizík je to, čo spája kvalitu, bezpečnosť, kontinuitu aj ochranu údajov do jedného celku. Nie je to ďalšia téma popri ostatných, je to spoločný základ pod nimi. Ak chcete vedieť, ako z vašich systémov a povinností spraviť jeden integrovaný celok s jednou rizikovou kostrou, na úvodnej konzultácii sa na to môžeme pozrieť a navrhnúť ďalší krok bez záväzku.