Dalším díl seriálu Aby Audit nebolel se bude zabývat nálezy z auditování, tentokráte z oblasti řízení rizik. Uvítám nějaké veselé historky z natáčení, klidně do zpráv. Přiznejte se, máte nějaký talisman, nebo se riziky zabýváte a jste připraveni jim čelit?
S riziky pracujeme úplně všichni. Na denní bázi. Jako auditoři chápeme, že s nimi kalkulujete každý den i ve Vaší firmě. Protože jinak by to ani nešlo. A nemyslíme si, že s velkou revizí ISO 9001 v roce 2015 přišel ten moment, kdy byla objevena důležitost řízení rizik (i jejich pozitivní varianty a sice příležitostí). Ale spíše šlo o moment, který více zakomponoval řízení rizik do požadavků systémových norem a to průřezově celou normou i napříč obory systémů a sektory průmyslu. Pracuje s nimi kvalita, environment, BOZP i další. V oblasti automotive, medical devices, službách apod.
Jako vždy začnu příkladem ze života - "nebude-li pršet nezmoknem..."
Dneska bude asi pršet. Dívala jsem se na předpověď a hrozí déšť. Mohla bych mít zmáchané vlasy a oblečení a řasenka by mi mohla téct nevzhledně po obličeji. Jak zabráním této "katastrofě"? Asi neporučím větru dešti, ale vezmu si deštník a bude to dobré. Popsala bych to v tabulce asi takto: externí aspekt aspekt počasí - definice rizika déšť - popis bude intenzivně pršet - následek zmoknu - pravděpodobnost 50% - dopad znehodnocení dokumentace a PC s batohu - prioritizace rizika 3 - opatření co udělám vezmu deštník / pojedu autem - ... Obyčejná situace.
V případě řízení organizací je rizik i příležitostí mnoho. V duchu hesla "kdo je připraven - není překvapen", je dobré si je promyslet v předstihu. Proto je jedním z požadavků ISO systémových norem ŘÍZENÍ RIZIK. Věřte, že je to dobře. Vzpomínáte, jak jste ve stresu řešili poslední krizovou situaci? Je lepší, mít vše promyšlené s chladnou hlavou. Do stresových situací Vás bez toho přivedou nenadálé události, které jste si v rámci scénářů nedokázali ani představit.
Pojďme se dnes podívat na to, jak doložit auditorovi, že s riziky pracujete SYSTEMATICKY. Protože to je to, co po Vás ISO normy chtějí. Všeobecnou ISO 9001 počínaje a specifickými standardy pro oblast medical devices, automotive nebo letecký průmysl konče. Také záleží jestli se bavíme o informační bezpečnosti, BOZP, environmentu nebo o kvalitě. Požadavky norem na řízení rizik se liší mírou detailu - metodikou jejich zpracování. Náročnější budou pochopitelně sektorové normy, úzce zaměřené např. na automotive IATF 16949 nebo zdravotnické prostředky ISO 13485. Existuje také celá řada specifických návodů a směrnic na řízení rizik. Např. všeobecná ISO 31000 nebo ISO 14971 pro oblast medical devices.
A přistupme k nálezům z auditů.
S čím se v rámci auditů v různých sektorech průmyslu a různých systémů setkáváme?
10 vad na kráse analýz rizik v rámci systém managementu
- Chybí scénáře, popis rizika je vágní, relevantní rizika zcela chybí... Jeden z příkladů kolegyně zabývající se ISMS: "Při analýze rizik bezpečnosti informací mne…
