Obsah

Riziká máte identifikované. Na stole máte zoznam toho, čo môže ohroziť vaše ciele. A teraz to dôležité: ako ich posúdiť? Ktoré je vážne a ktoré len vyzerá strašidelne? Tu sa rozhoduje, či bude vaše riadenie rizík triezve, alebo či sa stane súťažou, kto má bujnejšiu fantáziu.

Väčšina firiem siahne po jedinej pomôcke, po matici rizík, a tou premeria všetko od kybernetického útoku po odchod kľúčového zamestnanca. Funguje to zhruba tak dobre, ako keby ste v dielni mali len kladivo. Na niečo sedí, na veľa vecí vôbec. IEC 31010 je norma, ktorá ponúka zvyšok náradia.

Čo je IEC 31010 a ako súvisí s ISO 31000

Ak je norma ISO 31000 návod, ako riadiť riziká (rámec a proces), norma IEC 31010 je jej praktická nadstavba pre jeden konkrétny krok: posudzovanie rizika. Inak povedané, ISO 31000 vám povie, že riziká treba identifikovať, analyzovať a hodnotiť, a IEC 31010 vám ukáže, akými technikami to spraviť a ktorú kedy zvoliť.

Norma vznikla v komisii IEC pre spoľahlivosť v spolupráci s technickou komisiou ISO/TC 262 pre manažérstvo rizika, aktuálne je to vydanie IEC 31010:2019. Rovnako ako ISO 31000 ide o návod, nie o certifikovateľnú normu, nikto vám teda nevydá certifikát „IEC 31010”. Slovenská verzia existuje ako STN EN IEC 31010 „Manažérstvo rizika. Techniky posudzovania rizík” a jej slovenský preklad pripravila ACCIA. K obsahu tejto normy teda máme blízko z prvej ruky.

Vyše 30 techník, ale nepoužívate všetky

Príloha B normy opisuje viac než tridsať techník posudzovania rizika. To číslo niekoho vystraší, niekoho zláka „urobiť ich čo najviac”. Oboje je vedľa. Podstata IEC 31010 nie je v počte techník, ale v ich výbere. Norma sama zdôrazňuje, že techniku treba voliť podľa kontextu a účelu, teda podľa toho, na akú otázku hľadáte odpoveď, koľko máte dát a aké riziko vlastne riešite.

Žiadna firma nepoužíva všetkých tridsať. Dobrý praktik si osvojí niekoľko techník, ktoré pokryjú väčšinu situácií, a po zvyšných siahne, len keď ich konkrétny prípad vyžaduje. Cieľom nie je encyklopédia, ale správny nástroj v správnej chvíli.

Techniky podľa toho, na čo slúžia

Aby v tom bol poriadok, pomáha triediť techniky podľa účelu, nie podľa abecedy. Tu je prehľad tých, ktoré v praxi vídame najčastejšie, vysvetlené normálnou rečou.

Keď potrebujete získať názory ľudí. Brainstorming, štruktúrované rozhovory, dotazníky alebo Delfská metóda (kde experti odpovedajú anonymne v kolách, aby na seba netlačili). Hodia sa na začiatok, keď riziká ešte len hľadáte a opierate sa o skúsenosť ľudí, nie o dáta.

Keď identifikujete, čo sa môže pokaziť. Kontrolné zoznamy pre opakované situácie. FMEA (analýza spôsobov a dôsledkov porúch), ktorá systematicky prechádza, čo všetko môže zlyhať a s akým následkom. Najčastejšie sa využíva najmä vo výrobe a vývoji produktu. HAZOP pri procesoch a prevádzkach. SWIFT, štruktúrované „čo ak”, ktoré rýchlo prejde scenáre na úrovni systému.

Keď hľadáte príčiny. Ishikawov diagram (rybia kosť), ktorý rozloží problém na vetvy príčin, aby ste neriešili následok namiesto koreňa.

Keď skúmate, ako fungujú vaše ochrany. Bow-tie analýza, veľmi názorná: naľavo príčiny, v strede neželaná udalosť, napravo následky, a medzi nimi bariéry, ktoré tomu majú zabrániť. Skvelá na komunikáciu s vedením, lebo na jednom obrázku vidno, kde ochrana chýba. Sem patrí aj HACCP (známy z potravinárstva) a LOPA (vrstvy ochrany).

Keď chcete čísla, nie odhady. Analýza stromu porúch a stromu udalostí, ktoré modelujú reťazce zlyhaní. Monte Carlo simulácia pre rozsahy možných výsledkov tam, kde máte dáta. Bayesovské metódy. Tieto sú náročnejšie na dáta aj odbornosť a nasadzujú sa cielene, nie plošne.

A napokon matica rizík, ten najznámejší nástroj na zobrazenie pravdepodobnosti oproti dopadu. Má svoje miesto, ale aj vážne limity, ktorým sa budeme venovať samostatne, lebo práve jej slepé používanie je najčastejšia chyba, akú v praxi vídame.

Ako vybrať správnu techniku

Výber nie je vec vkusu, riadi sa pár jasnými otázkami. Aký zložitý je problém? Pri jednoduchom riziku je Monte Carlo zbytočné delo na vrabce, pri komplexnom systéme zase brainstorming nestačí. Aké máte dáta? Kvantitatívne techniky bez kvalitných dát produkujú presne vyzerajúce nezmysly. Akú odbornosť máte k dispozícii? HAZOP či LOPA vyžadujú skúseného facilitátora, inak je výstup formálny. A na akú otázku odpovedáte? Iná technika sedí na „čo sa môže pokaziť”, iná na „aké veľké budú následky”.

Z praxe vídame jeden vzor stále dokola: firma použije maticu rizík na všetko, lebo je rýchla a každý jej rozumie. Pri prevádzkových a bezpečnostných rizikách tým ale prichádza o presne tie nástroje (FMEA, bow-tie, HAZOP), ktoré by jej ukázali, kde reálne chýba ochrana. Pár dobre zvolených techník porazí jednu univerzálnu zakaždým.

Kvalitatívne verzus kvantitatívne: nie je to súťaž

Posledná vec, ktorá robí v praxi zmätok. Kvantitatívne techniky (čísla, pravdepodobnosti, modely) pôsobia serióznejšie, no sú dobré len natoľko, nakoľko dobré sú vstupné dáta. Kvalitatívne techniky (úsudok, kategórie nízke/stredné/vysoké) sú rýchle a v mnohých firmách úplne postačujúce.

Nejde o to, ktoré sú „lepšie”. Ide o to, aby technika zodpovedala situácii. Pri rozhodnutí za státisíce eur s dostatkom dát sa kvantitatívny prístup oplatí. Pri prevádzkovom riziku malej firmy je často poctivejšie priznať, že presné číslo nemáme, a pracovať s triezvym kvalitatívnym odhadom, než predstierať presnosť, ktorú dáta neunesú.

Ak riešite, ktoré techniky dávajú zmysel práve pre vašu firmu alebo organizáciu a ako ich zaviesť bez zbytočnej ťažkopádnosti, na úvodnej konzultácii to prejdeme a navrhneme ďalší krok bez záväzku.