Obsah
Keď firma prvýkrát siahne po norme ISO 31000, často čaká zoznam povinností: urob toto, zdokumentuj tamto, a budeš v súlade. Norma ale takto nefunguje a je dobré to vedieť skôr, než do nej investujete čas. ISO 31000 nie je kontrolný zoznam požiadaviek. Je to návod, ktorý opisuje, ako vyzerá dobré riadenie rizík, a necháva na vás, ako to vo svojej firme uchopíte.
To je jej sila aj úskalie. Sila, lebo sa prispôsobí firme každej veľkosti aj orgánu verejnej správy bez toho, aby vás tlačila do štandardnej šablóny. Úskalie, lebo bez vlastného úsudku z nej ľahko vznikne buď prázdna formalita, alebo naopak prebujnená byrokracia. Aby ste vedeli, čo si z nej zobrať, treba poznať jej tri piliere: princípy, rámec a proces.
Najprv to, čo treba povedať: ISO 31000 sa necertifikuje
Toto pomenujeme hneď, lebo na trhu okolo toho vzniká zmätok. Na rozdiel od ISO 9001 alebo ISO 27001, ktoré sú certifikovateľné, ISO 31000 certifikovať nemožno. Žiadny akreditovaný orgán vám nevydá certifikát „ISO 31000”. Norma poskytuje odporúčania (guidelines), nie požiadavky, a tým je z princípu mimo certifikačnej logiky.
Hovoríme to z jednoduchého dôvodu: ak vám niekto ponúka „certifikáciu podľa ISO 31000”, predáva niečo, čo neexistuje. Čo existuje a dáva zmysel, je zaviesť riadenie rizík podľa ISO 31000 a vedieť to preukázať, povedať o sebe, že ste „v súlade s ISO 31000”. Existujú aj osobné certifikáty pre risk manažérov od rôznych vzdelávacích inštitúcií, tie sa však týkajú človeka, nie firmy, a nezamieňajte si ich s certifikáciou systému.
Slovenská verzia normy vyšla ako STN ISO 31000:2019 a zodpovedá medzinárodnému vydaniu ISO 31000:2018. Dostupná je na portáli Úradu pre normalizáciu, metrológiu a skúšobníctvo SR. Že je to „len” návod, neznižuje jej váhu, regulátori, audítori aj vedenie firiem ju čoraz častejšie berú ako referenčný rámec, voči ktorému sa riadenie rizík porovnáva.
Tri piliere: princípy, rámec, proces
Celá norma je postavená na troch častiach, ktoré do seba zapadajú. Princípy hovoria, prečo a podľa akých kritérií riadiť riziká. Rámec hovorí, ako riadenie rizík ukotviť v štruktúre a vedení firmy, aby nebolo jednorazovou akciou. A proces hovorí, ako naložiť s konkrétnym rizikom, krok za krokom. Princípy sú teda hodnoty, rámec je organizačná kostra a proces je každodenná práca. Poďme sa na ne pozrieť.
Princípy: podľa čoho poznať, že to funguje
V strede všetkých princípov stojí jediný účel: vytvárať a chrániť hodnotu. Riadenie rizík nie je samoúčel, má firme pomôcť dosahovať ciele a nestratiť to, čo už má. Okolo tohto jadra norma opisuje osem princípov, ktoré sú v praxi kritériami, podľa ktorých posúdite, či vaše riadenie rizík vôbec za niečo stojí.
Mali by ste vedieť odpovedať na niekoľko otázok. Je riadenie rizík zabudované do bežných činností, alebo beží vedľa nich ako oddelený proces? Je štruktúrované a komplexné, teda dáva opakovateľné výsledky, nie náhodné? Je prispôsobené vašej firme, jej kontextu a cieľom, nie skopírované od iných? Zapája správnych ľudí vrátane tých, čo riziku reálne rozumejú? Je dynamické, mení sa, keď sa mení situácia? Stojí na najlepších dostupných informáciách aj s priznaním ich limitov? Berie do úvahy ľudské a kultúrne faktory, lebo riziká riadia ľudia, nie tabuľky? A vedie k neustálemu zlepšovaniu?
Ak na väčšinu odpoviete „nie”, máte síce možno register rizík, ale nemáte riadenie rizík. Toto je rozdiel, ktorý audítor aj realita odhalia rýchlo.
Rámec: aby to nebola jednorazová akcia
Rámec je tá časť, na ktorej najviac firiem stroskotá, lebo je menej viditeľná než pekná tabuľka rizík. Jeho zmyslom je ukotviť riadenie rizík tak, aby prežilo aj po odchode nadšeného jednotlivca a aby sa stalo súčasťou toho, ako firma funguje.
V centre rámca stojí vedenie a jeho záväzok. Bez toho, aby manažment riadenie rizík chcel a podporoval ho zdrojmi aj príkladom, ostane na papieri. Okolo tohto jadra norma opisuje cyklus: integráciu do riadenia firmy, návrh rámca, jeho zavedenie, vyhodnotenie a zlepšovanie. Je to vedome cyklus, nie jednorazový projekt, podobne ako pri iných systémoch manažérstva. Praktický odkaz znie: skôr než začnete vypĺňať register, rozhodnite, kto za riadenie rizík zodpovedá, ako sa napojí na rozhodovanie a kde sa o rizikách bude reálne hovoriť. Inak budete mať dokument bez majiteľa.
Proces: ako naložiť s konkrétnym rizikom
Proces je to, čo si väčšina ľudí pod riadením rizík predstaví. Je to opakovateľný postup pre jednotlivé riziko a v slovenskom znení normy má jasné fázy.
Začína sa vytváraním súvislostí: stanovíte rozsah, vonkajší aj vnútorný kontext a kritériá, podľa ktorých budete riziká hodnotiť. Nasleduje posudzovanie rizika, ktoré má tri kroky: identifikáciu (čo nám hrozí a aké máme príležitosti), analýzu (aká je pravdepodobnosť a aký dopad) a hodnotenie (je toto riziko prijateľné, alebo s ním treba niečo robiť). Potom prichádza zaobchádzanie s rizikom: rozhodnete sa riziko znížiť, preniesť, prijať alebo sa mu vyhnúť, a opatrenie zavediete.
Tri veci pritom bežia priebežne počas celého procesu, nie až na konci: komunikácia a poradenstvo so zainteresovanými, monitorovanie a preskúmanie (lebo riziká sa menia) a zaznamenávanie a podávanie správ, aby výstup niekam vstupoval. Práve to posledné je most späť k rozhodovaniu, bez neho je proces uzavretý kruh, ktorý nikam nevedie.
Čo si z toho zobrať, aj keď normu nezavádzate úplne
Nie každá firma potrebuje zaviesť ISO 31000 v plnom rozsahu. Ale tie tri piliere fungujú ako dobrý myšlienkový model pre akékoľvek riadenie rizík, aj keď normu nikdy neotvoríte. Najprv si ujasnite, prečo riziká riadite a podľa akých kritérií (princípy). Potom rozhodnite, kto za to zodpovedá a kam to vo firme patrí (rámec). A až potom riešte konkrétne riziká krok za krokom (proces).
V praxi vídame, že firmy preskočia prvé dva piliere a rovno vyplnia tabuľku. Výsledkom je register, ktorý nikto nevlastní a nikto nepoužíva. Poradie nie je formalita, je to rozdiel medzi živým systémom a mŕtvym dokumentom.
Ak zvažujete, či a v akom rozsahu má ISO 31000 zmysel práve pre vašu firmu alebo organizáciu, na úvodnej konzultácii to posúdime a navrhneme realistický ďalší krok bez záväzku.