the Complex risk Assessment in the context of SYSTEMs management integration
Šárka Horehleďová1
1 Výzkumný ústav bezpečnosti práce, v.v.i., Jeruzalémská 9, 11652 Praha 1, Oddělení prevence rizik a ergonomie, horehledova@vubp-praha.cz
Abstrakt
Článek prezentuje způsob komplexního posouzení rizik jako základu integrace systémů managementu v organizaci. Jedná se o popis jednotlivých kroků sjednocujících posouzení rizik prováděné v různých systémech řízení, a to tak, aby bylo možné získat vzájemně srovnatelné výsledky a na základě toho stanovit priority při plánování opatření, přerozdělování zdrojů apod. Tento přístup je modelově zpracován pro rizika v oblasti BOZP, ochrany životního prostředí a kvality, protože v současné době tvoří integrovaný systém managementu převážně právě systém managementu BOZP (OHSMS), kvality (QMS) a environmentální systém managementu (EMS). Avšak předpokládá se, že je možné uvedený postup pro komplexní posouzení rizik použít univerzálně pro jakákoliv rizika, která jsou pro danou organizaci klíčová, tedy např. i rizika v oblasti finanční, bezpečnosti informací, projektového řízení apod.
Klíčová slova: systém managementu, bezpečnost a ochrana zdraví při práci (BOZP), environment, kvalita, integrace
Abstract
This article introduces the way of comprehensive risk assessment as the base of the management systems integration. It describes single steps leading to the integration of risk assessment, which is done in various management systems. The goal is to get reciprocally comparable results of risk assessment and establish the basis for prioritization at planning, sources redistributing etc. This approach is compiled for safety, environmental and quality risks, because presently safety management system, quality management system and environmental management system the most often form the integrated management system. But this approach is intended to be applicable generally for all types of risks, which can be crucial for the organization, e.g. financial risks, information security risks, project management risk etc.
Keywords: management system, occupational heath and safety, environment, quality, integration
Systémy managementu jsou dnes nedílnou a nezbytnou součástí podnikového řízení. Standardy pro systémy managementu pokrývají velmi rozdílné aspekty, úrovně a činnosti organizací, tudíž má jejich implementace dopad na způsob řízení zcela konkrétních činností a probíhajících procesů. Proto stále zvyšující se počet organizací aplikuje více než jeden systém managementu, aby naplnila veškeré své potřeby a rovněž potřeby externích zainteresovaných stran. Díky velkému množství systémů managementu a různým oblastem jejich zaměření je nyní v popředí snaha je v rámci organizace vzájemně provázat a celkové řízení tak zjednodušit. V tomto směru lze najít i další nesporná pozitiva podporující proces integrace systémů managementu, jako např. omezení duplicit, optimalizace zdrojů, společné cíle a společné procesy a metriky (kritéria, ukazatele, hodnoty) atd.
Pokud uvedené trendy ve vývoji systémů managementu zaváděných podle mezinárodních norem spojíme dohromady, je nasnadě otázka tzv. „kompatibility“ těchto standardů, resp. systémů podle nich implementovaných. Kompatibilita je obecně definována jako vzájemná slučitelnost za specifických podmínek k naplnění relevantních požadavků bez vzniku neakceptovatelných interakcí. Tato vzájemná slučitelnost je v případě mezinárodních standardů pro systémy managementu podporována třemi základními skutečnostmi:
– Demingův princip trvalého zlepšování jako základní koncepce systémového řízení,
– aktivní spolupráce a koordinace činností příslušných technických komisí, které normy zpracovávají (při aktualizaci jedné řady norem pro systémy managementu se připomínkového řízení účastní vždy zástupci technické komise, která se zabývá zpracováním nebo aktualizací jiné řady norem pro systémy managamentu),
– aplikace směrnice ISO/IEC Guide 72:2001 (Guidelines for the justification and development of management system standards) [1] - předpokládá se, že zpracovatelé norem pro systémy managementu budou vždy tuto směrnici ISO používat z hlediska zajištění shody a vzájemné kompatibility. Tato směrnice je založena na teorii, že samostatné normy pro systémy managementu jsou reakcí na specifické potřeby trhu, a proto v současnosti neexistuje podpora pro vývoj obecného standardu pro systémy managementu. To je rovněž důvod, proč zatím neexistuje norma pro integrovaný systém managementu, která by zajisté byla pouze obecným návodem pro výkon jakéhokoliv managementu. Guide 72 identifikuje prvky systému, které by měly být součástí jakéhokoliv standardu pro systémy managementu a stanoví strukturu a způsob, jak by měly normy tyto prvky zahrnout.
Z uvedeného vyplývá, že v obecné rovině jsou mezinárodní standardy (ISO, OHSAS) a systémy managementu podle nich aplikované kompatibilní, avšak s určitými specifiky. Některá specifika uvádí tabulka 1.
Předmět | QMS (ISO 9001) | EMS (ISO 14001) | HSMS (OHSAS 18001) |
Oblast řízení | Kvalita | Environment | Bezpečnost a ochrana zdraví |
Primární zaměření | Uspokojení potřeb zákazníka | Zlepsování environmentálního profilu | Zlepšování výkonnosti organizace v oblasti bezpečnosti a ochrany zdraví |
Primárně zainteresované strany | Zákazníci | Státní správa | Zaměstnanci |
Zainsteresované strany (stakeholders) | Státní správa | Zainteresované strany do problematiky OŽP (veřejnost, neziskové organizace...) | Státní správa |
Klíčové aspekty | Parametry kvality (produktů a procesů) | Environmentální aspekty (činností, produktů a služeb) | Nebezpečí (spojená s činnostmi a procesy v rámci organizace) |
Požadavky spojené s klíčovými aspekty |
Požadavky zákazníků Požadavky spojené se zamýšleným užitím Požadavky právních předpisů Požadavky stanovené organizací |
Požadavky právních předpisů (legislativně stanovené limity) Požadavky/potřeby zainteresovaných stran Požadavky odvozené z výsledků hodnocení environmentálních aspektů |
Požadavky/potřeby zaměstnanců Požadavky právních předpisů Požadavky odvozené z výsledků analýzy a hodnocení rizik |
Zaměření činností managementu | Procesy, které jsou klíčové pro naplnění parametrů kvality produktů a pro celkovou výkonnost organizace související s kvalitou | Činnosti a procesy spojené s významnými environmentálními aspekty | Činnosti a procesy spojené s nebezpečími v oblasti BOZP |
Výsledky neúspěchu managementu | Nízká výkonnost organizace včetně produktů, které způsobily nespokojenost zákazníků | Škodlivé dopady na životní prostředí | Škoda na zdraví a pracovní pohodě zaměstnanců |
Riziko pro organizaci | Organizace nemůže naplnit požadavky zákazníků a právních předpisů | Environmentální profil (nebo individuální interakce se ŽP) není ve shodě s požadavky právních předpisů nebo s požadavky/ potřebami zainteresovaných stran | Výkonnost v oblasti bezpečnosti a úroveň řízení BOZP není ve shodě s požadavky právních předpisů nebo zaměstnanců |
Následky: nespokojenost zákazníků, občanskoprávní odpovědnost, trestná činnost/správní delikty, snižování trhu a finanční ztráty | Následky: trestná činnost/správní delikty, občanskoprávní odpovědnost, špatná image, finanční ztráty | Následky: trestná činnost/správní delikty, občanskoprávní odpovědnost, ztráta pracovní síly a finanční ztráty |
Tabulka 1: Vybraná specifika QMS, EMS a HSMS
Aktuální situace na trhu ukazuje, že neustále roste tendence jednotlivě zavedené systémy v rámci organizace integrovat a další systémy managementu implementovat tak, aby byly co nejvíce využity prvky a procesy dříve zavedených a praxí prověřených systémů managamentu. Syntéza specifických prvků v rámci odlišných oblastí managementu zajistí celkový obraz chování podniku. Umožní omezit duplicity při řízení, rozvoji a udržování potřebných kroků, auditech atd. Vytvoří konzistentní přístup k řešení problémů napříč jednotlivými systémy. Jedná se tedy obecně o systém pro vzájemně se podporující a účinné realizování politiky, cílů a strategií v rámci řízení podniku s ohledem na spokojenost zákazníků, zaměstnanců, společnosti a v neposlední řadě i vlastníků. Avšak dosud chybí vhodná metodika, která by to dokázala účelně realizovat. V odborné literatuře a článcích se objevují koncepce, doporučené kroky a obecná pravidla procesu integrace, své vlastní postupy používají komerční poradenské firmy, pro něž je to know-how. Podpůrný nástroj, který by pomohl samotné organizaci účinně provázat zavedené systémy managamentu (resp. jejich zmíněné specifické prvky a procesy), však dostupný není.
Obrázek 1 uvádí schéma, které představuje obecnou podobu integrovaného systému managementu (IMS) založeného na Demingově přístupu a požadavku neustálého zlepšování. Vlastní složení integrovaného systému je pak dáno vyhlášenou politikou, která jasně ukáže, které složky (dílčí systémy managementu = SM) byly integrovány. Další kroky musí přímo navazovat na politiku, naplánovat cesty jejího plnění, zajistit zdroje pro naplnění plánů a pravidelně přezkoumávat účinnost celého systému [2].
Obrázek 1: Schéma neustálého zlepšování při postupné integraci systémů managementu (podle [2])
Uvedený postup vypadá jednoduše, avšak vzhledem k již dříve uvedeným specifikům jednotlivých systémů managementu, různému stupni jejich praktické implementace a právě různorodosti oblastí, které jsou jimi řízeny, se mnohdy jedná o nelehký úkol, který provází řada systémových i praktických obtíží, s nimiž si člověk z praxe většinou sám neporadí. Navíc se často ukazuje, že takový způsob integrace může v praxi skončit pouhým formálním zdokumentováním tří stále odděleně fungujících systémů managementu. Proto se tento článek snaží přiblížit pokud možno jednoduchý a prakticky využitelný nástroj, který vytvoří základnu pro integrované řízení v organizaci.
Je zřejmé, že každý doporučený postup musí být přizpůsoben naprosto konkrétním podmínkám a následně ověřen vlastní praxí. Cílem je vytvořit systém, který bude pro podnik praktický a komplexní a bude představovat jednak metodický základ a jednak prostor pro specifika odvětví a podniku. Takový systém lze založit na procesu komplexního posouzení rizik.
Proces komplexního posouzení rizik, který představuje tento článek, je modelově zpracován jako metodická pomůcka pro úvodní krok integrace separátně řízených oblastí: bezpečnosti a ochrany zdraví při práci, ochrany životního prostředí a kvality. Tyto jednotlivé oblasti celkového řízení organizace budou v dalším textu uváděny souhrnně jako „klíčové oblasti“. V každé z těchto klíčových oblastí je na základě požadavků norem určitým způsobem řešena problematika rizik:
– Norma ISO 14001 pro EMS požaduje identifikaci environmentálních aspektů a stanovení jejich významnosti, což vyžaduje rovněž identifikaci požadavků právních předpisů a určení, jak se tyto požadavky vztahují na jednotlivé environmentální aspekty. Následně se na základě takového hodnocení environmentálních aspektů stanovují cíle a programy za účelem zlepšování environmentálního profilu;
– V rámci OHSMS podle normy OHSAS 18001 musí organizace provést identifikaci nebezpečí, posouzení rizik možného vzniku úrazu s následkem poškození zdraví a stanovit způsob řízení těchto rizik. V návaznosti na posouzení rizik pak organizace stanoví cíle a programy za účelem zvýšení úrovně bezpečnosti;
– V QMS podle normy ISO 9001 se stanovují kritéria a metody, které jsou potřebné k zajištění efektivního provozu a řízení procesů. Požadavky na produkty musí být jasně stanoveny a s tím související parametry kvality musí být zajišťovány prostřednictvím procesního řízení. V tomto případě je riziko reprezentováno jako potenciální možnost vzniku neshody se stanovenými požadavky a nespokojenost zákazníků.
Z uvedeného je zřejmé, že prostřednictvím procesu posouzení rizik lze jednotlivé klíčové oblasti řízení integrovat, a to tak, že se samotný proces posouzení rizik sjednotí, aby byly z klíčových oblastí řízení získány vzájemně porovnatelné výsledky. Vycházíme přitom ze základního vzorce pro výpočet míry rizika, která je postaven na kombinaci pravděpodobnosti vzniku nežádoucí události a závažnosti jejích potenciálních následků:
R … míra rizika vzniku nežádoucí události
P … pravděpodobnost vzniku nežádoucí události
Z … závažnost následků nežádoucí události
Poznámka: za nežádoucí událost je pro účely tohoto článku považována každá událost, která je spojena s potenciální možností vzniku poškození (újmy), přičemž poškozením se zde rozumí tělesné zranění nebo škoda na zdraví, životním prostředí, majetku nebo kvalitě produktů.
Návrh postupu komplexního posouzení rizik schématicky znázorňuje obrázek 2.
Obrázek 2: Vývojový diagram postupu komplexního posouzení rizik
1. Stanovení politiky a strategických záměrů firmy
Úvodním krokem řízení musí být stanovení základní firemní strategie ve všech klíčových oblastech řízení. Ve své podstatě se jedná o deklarování základních strategických záměrů a cílů, kterých chce organizace dosáhnout, a které si tímto organizace jednoznačně stanoví.
2. Stanovení rámce posouzení rizik
Jakékoliv hodnocení musí začít jednoznačným stanovením jeho rozsahu, což v uvedeném postupu představuje vymezení posuzovaného systému a stanovení rozsahu identifikace nebezpečí a posouzení rizik. To znamená vyčlenit konkrétní část firmy, objekt, pracoviště, činnost, zařízení, látku, technologii apod., přičemž hranice musí být jednoznačně určeny. Takto vymezený posuzovaný systém je v dalším textu označen jako projekt. Určení rozsahu identifikace nebezpečí a posouzení rizik spočívá ve stanovení hloubky nebo detailnosti, do jaké posouzení půjde, zda bude možné využít již dříve zpracovaná hodnocení atd. Aby bylo možné vybraný projekt analyzovat, je třeba získat následující základní vstupní data:
3. Stanovení aspektů zkoumání projektu
Cílem tohoto kroku je určit aspekty (pohledy) zkoumání projektu a identifikovat prvky projektu vystavené nebezpečí. Jedná se tedy o zodpovězení primární otázky „Co je nebo může být ohroženo?“
Na většinu projektů je možné dívat se z různých úhlů pohledu, který, pokud je specificky vymezený, lze nazývat aspektem. Z pohledu integrace systémů managementu řešené v tomto článku se jedná o aspekt bezpečnostní, environmentální a kvalitativní. Zkoumání projektu z hlediska bezpečnostního zahrnuje zejména bezpečnost a ochranu zdraví při práci a technologickou bezpečnost. Environmentální aspekt se zaměřuje na vliv projektu na okolní prostředí a z hlediska kvalitativního je projekt analyzován vzhledem ke kvalitě vstupů, procesů, výstupů (produktů) atd.
Součástí tohoto kroku je také formulace kritérií závažnosti, k nimž se bude riziko vztahovat, jejich příklady pro dané aspekty ilustruje obrázek 3.
Obrázek 3: Příklad stanovení aspektů a kritérií závažnosti
4. Sestavení modelu fungování projektu
Sestavení modelu fungování projektu obnáší sumarizaci podstatných charakteristik jeho fungování vzhledem k jednotlivým aspektům. Smyslem je popis správné, resp. žádoucí činnosti projektu, stanoveného cíle a způsob jeho dosažení. To znamená, že je nutné mít přehled o potřebných hodnotách parametrů, veličinách a charakteristikách procesů a o hodnotách, které již nejsou akceptovatelné v rámci činnosti daného projektu, protože jej mohou ohrozit v kvalitativních, bezpečnostních nebo environmentálních aspektech. Tento krok je důležitý zejména vzhledem k rozlišení, kdy se např. v případě určitého výrobního zařízení jedná pouze o provozní odchylku, tedy stav, který je obsluha schopna sama zvládnout, aniž by došlo k jakýmkoliv negativním následkům, a kdy už se jedná o nebezpečnou událost, která může vést k negativním následkům jako je havárie, úraz, únik média do prostředí, snížení kvality výrobku apod.
5. Stanovení stupnic kritérií závažnosti a jejich harmonizace
Cílem této fáze je stanovení stupnic hodnot pro jednotlivá kritéria závažnosti, která byla stanovena v bodě 2 v rámci jednotlivých aspektů.
Aby bylo vždy možné jednoznačně určit, zda se již jedná o nežádoucí událost s kritickými následky pro projekt, je nezbytné pro daná kritéria vymezit stupně závažnosti, která celkově vytvoří stupnici. Jedná se tedy o určení významnosti nebo kritičnosti každé nežádoucí události vzhledem k požadované funkci projektu a jednotlivým aspektům, protože je zřejmé, že každý projekt může provázet celá řada nežádoucích událostí s více či méně závažnými potenciálními následky.
Doporučený počet stupňů ve stupnici je 4 – 6 vzhledem reálnému zařazení jednotlivých nežádoucích událostí. Příklady pro jednotlivé aspekty uvádí tabulky 2, 3 a 4.
Stupeň závažnosti | 1 | 2 | 3 | 4 | 5 |
zanedbatelný | málo významný | významný | kritický | katastrofický | |
Kritérium závažnosti | |||||
Počet smrtelných úrazů | - | - | - | 1 | > 1 |
Počet vážných úrazů s pracovní neschopností / hospitalizací | - | - | 1 | 2 - 4 | > 4 |
Počet lehkých zranění bez pracovní neschopnosti | 1 | 2 - 4 | 5 - 10 | 11 - 20 | > 20 |
Počet zaměstnanců v pracovní neschopnosti x počet dnů pr. neschopnosti | 1 - 7 | 8 - 56 | 57 - 140 | > 140 | - |
Počet onemocnění z povolání | - | 1 | 1 - 3 | 4 - 6 | > 6 |
Tabulka 2: Příklad stanovení stupnic závažnosti pro jednotlivá kritéria závažnosti z hlediska následků na zdraví a životech osob (bezpečnostní aspekt)
Stupeň závažnosti (průměr) | 1 | 2 | 3 | 4 | 5 | |
zanedbatelný | malý | střední | velký | kritický | ||
Kritérium závažnosti | ||||||
Emise CO a NOx do ovzduší | kontinuální zátěž (za rok) | < 200 mg/m3 | 201 - 500 mg/m3 | 501 - 700 mg/m3 | 701 - 800 mg/m3 | > 801 mg/m3 |
Spotřeba vody | kontinuální zátěž (za rok) | < 2000 m3 | 2001 - 4000 m3 | 4001 - 6000 m3 | 6001 - 8000 m3 | > 8001 m3 |
Spotřeba el. energie | kontinuální zátěž (za rok) | < 500 000 kWh | 500 001 - 800 000 kWh | 800 001 - 1 000 000 kWh | 1 000 001 - 1 100 000 kWh | > 1 100 001 kWh |
Vznik nebezpečných odpadů | kontinuální zátěž (za rok) | < 500 kg | 501 - 1500 kg | 1501 - 2500 kg | 2501 - 4000 kg | > 4000 kg |
Únik/vznik nebezpečných látek/odpadů |
náhodný/jednorázový únik/zátěž |
< 50 kg < 0,01 m3 |
50 - 100 kg 0,01 - 0,5 m3 |
100 - 500 kg 0,1 - 0,5 m3 |
500 - 1000 kg 0,5 - 1 m3 |
> 1000 kg >1 m3 |
Produkce odpadních vod | kontinuální zátěž (za rok) | < 8000 m3 | 3001 - 8000 m3 | 8001 - 11000 m3 | 11001 - 12000 m3 | > 12001 m3 |
náhodný/jednorázový únik/zátěž | < 200 m3 | 201 - 500 m3 | 501 - 1000 m3 | 1001 - 2000 m3 | > 2001 m3 |
Tabulka 3: Příklad stanovení stupnic závažnosti pro jednotlivá kritéria závažnosti z hlediska následků na životní prostředí (environmentální aspekt)
Stupeň závažnosti | 1 | 2 | 3 | 4 | 5 |
zanedbatelný | málo významný | významný | kritický | katastrofický | |
Kritérium závažnosti | |||||
Počet vadných zakázek za měsíc | < 3 | 3 - 30 | 30 - 50 | 50 - 100 | > 100 |
Počet reklamací za měsíc | 0 | < 2 | 2 - 5 | 5 - 10 | > 10 |
Tabulka 4: Příklad stanovení stupnic závažnosti pro jednotlivá kritéria závažnosti z hlediska následků na kvalitu (kvalitativní aspekt)
Smyslem komplexního posouzení rizik je pomoci navzájem porovnat potenciální rizika vzniku nežádoucích událostí s následky na různé klíčové oblasti řízení a říci, která pro organizaci přestavují největší problém a tudíž jaká opatření by měla mít při plánování a přerozdělování zdrojů přednost. Proto je třeba stanovit závažnost následků pro každou klíčovou oblast tak, aby si jednotlivé stupně závažnosti napříč všech klíčových oblastí navzájem odpovídaly. A to je podstatou tzv. harmonizace stupnic závažnosti. Jedná se o velmi nelehkou část celého procesu, neboť je třeba překonat určité myšlenkové bariéry a porovnat mezi sebou zdánlivě neporovnatelné charakteristiky – bezpečnost, kvalitu produktů (příp. procesů) a aspekty ochrany životního prostředí (popř. ještě další aspekty, které jsou pro organizaci klíčové) – a zároveň mít na zřeteli ekonomickou únosnost vzhledem k podmínkám organizace. Jednotlivé stupně závažnosti je tedy třeba stanovovat velmi uvážlivě, přičemž se ve své podstatě jedná o úkol vrcholového vedení firmy. Proč? Jedině vedení firmy má tu pravomoc říci, jak závažné jsou pro firmu jako celek uvedené následky – úraz nebo smrt člověka, poškození životního prostředí, poškození dobrého jména firmy či ztráta zákazníka a zda jsou vzájemně srovnatelné. Významnou pomocí při tom může být finanční vyjádření – vedení každé organizace je schopno říci, jaká ztráta nebo náklady jsou pro ni únosné, a jaká ztráta už může znamenat krach firmy. Z uvedeného je zřejmé, že jednotlivé stupně závažnosti budou pro každou organizaci jiné a v podstatě budou prezentovat postoje organizace, resp. jejího vrcholného vedení k jednotlivým hodnotám jako je zdraví zaměstnanců nebo životní prostředí. Příklad uvádí tabulka 5.
Stupeň závažnosti | 1 | 2 | 3 | 4 | 5 |
zanedbatelný | málo významný | významný | kritický | katastrofický | |
Kritérium závažnosti | |||||
Poškození zařízení podniku / finanční ztráty (v Kč) | do 0,1 mil | 0,1 - 0,5 mil | 0,5 - 5 mil | 5 - 50 mil. | více než 50 mil. |
Poškození objektu nebo majetku mimo areál podniku (v Kč) | 0,05 mil | 0,05 - 0,3mil | 0,3 - 1mil | 1 - 5 mil | více než 5 mil |
Tabulka 5: Příklad stanovení stupnic závažnosti pro jednotlivá kritéria závažnosti z hlediska následků na kvalitu (kvalitativní aspekt)
6. Stanovení stupnice pravděpodobnosti
Tento krok zahrnuje stanovení stupnice pravděpodobnosti nebo frekvence vzniku/výskytu potenciální nežádoucí události, což může být vyjádřeno prostřednictvím:
Praktickou pomoc pro výpočet pravděpodobnosti a frekvence poskytují následující vzorce.
A1 | počet nežádoucích událostí (počet jevů/operací/činností, při nichž dojde k nežádoucí události) |
An | celkový počet prováděných jevů/operací/činností za vybranou časovou jednotku |
P(A1) | pravděpodobnost vzniku nežádoucí události v průběhu vybrané časové jednotky |
F(A1) | frekvence vzniku nežádoucí události za danou časovou jednotku |
T | vybraná časová jednotka |
Při definování jednotlivých stupňů pravděpodobnosti/frekvence vzniku nežádoucí události je třeba pečlivě uvážit možnosti a charakter provozu a prováděných činností včetně praktičnosti a účelnosti výsledků hodnocení, aby bylo možné pro každou potenciální nežádoucí událost co možná nejblíže realitě určit pravděpodobnost/frekvenci jejího vzniku. Z uvedeného je zřejmé, že způsob definování jednotlivých stupňů pravděpodobnosti nebo frekvence může být velmi rozmanitý podle konkrétních podmínek organizace. Tyto podmínky mohou vést k širokému rozmezí jednotlivých hodnot stupnice od drobných odchylek, které se stávají velice často (může se jednat o téměř kontinuální výskyt) až po havárie, k nimž dochází naopak velice zřídka. Proto je vhodné použít takovou stupnici, kde bude nejnižší hodnotu reprezentovat minimálně násobek plánované doby životnosti projektu.
Příklady stanovení stupnice pravděpodobnosti a frekvence vzniku nežádoucí události uvádí tabulky 6 a 7.
Tabulka 6: Příklady stanovení stupnic pravděpodobnosti a frekvence vzniku nežádoucí události
Tabulka 7: Příklad stanovení stupnice frekvence vzniku nežádoucí události
7. Stanovení kategorií přijatelnosti rizika
Dalším krokem je definování kategorií přijatelnosti, a to na základě celkového chápání problematiky bezpečnosti, aspektů ochrany životního prostředí a kvality. Je tedy pouze na rozhodnutí vrcholového vedení organizace, kde budou hranice mezi přijatelným a nepřijatelným rizikem, kdy je třeba brát v úvahu skutečnost, že přijatelnost rizika je pro jednotlivce, pro společnost (veřejnost) i pro samotnou organizaci různá.
Kategorie přijatelnosti se zpravidla volí takto:
Při stanovování přijatelnosti jednotlivých rizik mají nejvyšší prioritu nežádoucí události s vysokou pravděpodobností/frekvencí vzniku a závažnými následky. Avšak současně je třeba respektovat, že riziko s nejvyšším stupněm následků a nízkou pravděpodobností/frekvencí je chápáno jako důležitější, než riziko spojené s nižším stupněm následků a vyšší pravděpodobností/frekvencí. Stanovení mezních přípustných hodnot je nesnadnou záležitostí. Hodnoty se zpravidla stanovují pro různé organizace odlišně, a to především v závislosti na limitech stanových právními předpisy. Je účelné využít jejich vyjádření prostřednictvím matic, které mohou definitivní stanovení jednotlivých hranic značně usnadnit.
Obrázek 4: Příklad stanovení kategorií přijatelnosti rizik prostřednictvím matice rizik
Přijatelné riziko představuje takovou míru rizika, kdy není potřeba přijímat žádní opatření. Podmínečně přijatelné riziko znamená, že projekt může dál vykonávat svou činnost, avšak je třeba v dlouhodobém horizontu naplánovat a realizovat ochranná opatření, která míru rizika sníží. Nepřijatelné riziko představuje takovou míru rizika, při níž nemůže projekt fungovat a musí být neprodleně učiněna patřičná opatření.
Na tomto místě je nezbytné upozornit, že stanovení kategorií přijatelnosti rizik je postaveno na kombinaci hodnot závažnosti a pravděpodobnosti/frekvence a nikoliv na jejich pouhém vynásobení. Hranice kategorií přijatelnost vůbec nemusí být stanoveny „symetricky“, tak jak ilustruje obrázek 4. Záleží skutečně jen na aktuálních podmínkách firmy, charakteru prováděných činností a zejména na úsudku samotného vrcholového vedení firmy, tudíž číselné rozmezí (velikost míry rizika) nemusí striktně odpovídat kategoriím přijatelnosti.
Poznámka: Například jsou identifikovány dvě potenciální nežádoucí události:
Ze stanovených kategorií přijatelnosti, které ilustruje obrázek 4, vyplývá, že událost, která má více závažné následky, přestože se může vyskytnout méně často, bude mít při stanovování opatření prioritu, přestože vykazuje podle číselných hodnot nižší míru rizika. Avšak z pohledu lidské logiky je to tak správně. Tudíž je jasné, že nelze stanovit kategorie přijatelnosti pouhým číselným rozmezím, které získáme jako výsledek vynásobení stupně závažnosti a pravděpodobnosti/frekvence. Například, že přijatelné riziko bude v rozmezí míry rizika 1-3, podmínečně přijatelné riziko v rozmezí 4 – 10 a nepřijatelné riziko v rozmezí 11 – 25. Takové rozdělení vůbec nemusí odpovídat skutečným hodnotám a přijatelnosti rizik, které mohou tyto hodnoty v rámci organizace ohrozit.
8. Identifikace nebezpečí, vyhodnocení rizik a jejich přijatelnosti
Cílem tohoto kroku je v rámci vybraného projektu identifikovat možná nebezpečí pro jednotlivé aspekty, a to např. na základě kontrolních seznamů. Např. kontrolní seznam nebezpečí pro bezpečnostní aspekt obsahuje norma ČSN EN ISO 14121-1 [3]. Zde je třeba se ptát, co vše může způsobit škodu na zdraví zaměstnanců nebo co může být příčinou jejich zranění. Stejně je třeba postupovat i z pohledu environmentálního nebo kvalitativního aspektu.
Následuje analýza rizik, která zahrnuje (pro každé identifikované nebezpečí) stanovení pravděpodobnosti, s jakou může reálně dojít ke vzniku nežádoucí události a závažnosti následků, které tato událost může mít, a to podle stupnic závažnosti následků a stupnice pravděpodobnosti, které byly stanoveny v předchozích krocích. Je vhodné poznamenat, že se při analýze rizik uvažuje vždy nejhorší možná varianta závažnosti následků. Zdrojem dat pro stanovení pravděpodobnosti mohou být historické záznamy, provozní data, zkoušky z provozu zařízení, spolehlivostní data zařízení, expertní odhad atd. Jakmile je pro každou potenciální nežádoucí událost stanovena míra rizika součinem pravděpodobnosti vzniku a závažnosti jejích následků, lze na základě kategorií přijatelnosti říci, jaké riziko je pro organizaci přijatelné, podmínečně přijatelné a jaké je nepřijatelné.
9. Řízení rizik
V závislosti na zhodnocení rizik vzniku jednotlivých nežádoucích událostí z hlediska jejich přijatelnosti pak lze stanovit priority, jež jsou základem procesu rozhodování managementu při stanovování vhodných opatření, sestavování plánu činností, přidělování potřebných zdrojů apod. Vzhledem k tomu, že je uvedené posouzení provedeno pro všechna nebezpečí spojená s činnostmi organizace, a to v rámci všech klíčových aspektů, lze toto posouzení nazvat jako komplexní. Na tomto přístupu k posouzení rizik pak může organizace založit celkový proces řízení rizik, kdy jsou všechna rizika srovnatelná a lze tedy jednoznačně říci, jaká opatření je nezbytné provést okamžitě, nezávisle na skutečnosti, zda se jedná o oblast bezpečnosti a ochrany zdraví, ochrany životního prostředí nebo kvality. Na základě takto stanovených priorit lze tedy naplánovat jednotlivé činnosti a opatření, která postupně povedou ke snižování míry rizika, a to buď snížením pravděpodobnosti/frekvence vzniku nežádoucí události nebo snížením závažnosti jejích následků.
Nedílnou součástí stanovení těchto opatření je mj. i zpětné zhodnocení vlivu těchto opatření na v rámci klíčových oblastí řízení, které se mohou promítnout pozitivně i negativně. Jedná se buď o stanovení zbytkových rizik, pokud je po zavedení opatření riziko přijatelné (tj. stanovení, o kolik se snížila míra rizika po realizace daného opatření) a nebo se jedná o stanovení dodatečných rizik. O taková rizika se jedná v případě, že realizace opatření vedla ke vzniku zcela nového rizika, které dosud nebylo hodnoceno. Pokud jsou rizika přijatelná, opětovné hodnocení rizik se provádí až v rámci pravidelného přezkoumání celého procesu posouzení rizik. Řízení rizik tedy představuje neustále opakující se proces identifikace nebezpečí, hodnocení rizik, vyhodnocení jejich přijatelnosti, stanovení priorit a realizace opatření.
Cílem každé organizace je prosperita, zisk, upevňování pozice na trhu atd. - tzv. „trvale udržitelné podnikání“. Zásadním způsobem k jeho zajištění je efektivní celkové řízení založené na racionálním rozhodování, účelném přerozdělování zdrojů a především úspěšném zvládání rizik. Zvládat rizika lze pouze na základě jejich analýzy a hodnocení, objektivní rozhodnutí a určení priorit při realizaci opatření lze učinit pouze v případě, že budou jednotlivé klíčové oblasti řízení vzájemně srovnatelné.
Identifikace nebezpečí, analýza a hodnocení rizik se provádí jak v bezpečnosti, tak v ochraně životního prostředí i v řízení kvality a dalších klíčových oblastech řízení organizace. Jedná se sice o různá rizika, ale společným atributem je podstata toho procesu, tj. proč se vůbec provádí, a to je zabránit vzniku škody. Je však zřejmé, že organizace není schopna odstranit nebo omezit všechna rizika. Proto je nezbytné, aby měla organizace podpůrný nástroj, který by poskytl objektivní fakta k rozhodnutí, které riziko je nejdůležitější, může firmu nejvíce ohrozit, může nejvíce ohrozit bezpečnost zaměstnanců nebo okolní prostředí. Spontánní a často velmi subjektivní rozhodování o rizicích, která mohou ohrozit normální chod nebo dokonce existenci podniku, je tedy nutné nahradit (nebo alespoň doplnit) sofistikovanějším způsobem rozhodování, které by bylo založeno na systematickém přístupu a snížilo tak míru subjektivity rozhodnutí.
Podpůrným nástrojem pro vzájemné porovnání rizik napříč jednotlivými klíčovými oblastmi řízení může být proces komplexního posouzení rizik, který poskytuje tento článek.
Prezentovaný postup pro komplexní hodnocení rizik byl vytvořen v rámci řešení doktorské disertační práce autorky. V případě hlubšího zájmu o uvedenou problematiku je možné se obrátit přímo na autorku práce.
[1] ISO/IEC Guide 72:2001. Guidelines for the justification and development of management system standards. Geneva : International organization for standardization, 2001.
[2] Hřebíček, Jiří; RÁČEK, Jaroslav. Systémy integrovaného managementu : učební text. Brno : Masarykova univerzita, Fakulta informatiky, 2007. 59 s.
[3] ČSN EN ISO 14121-1. Bezpečnost strojních zařízení – Posouzení rizika – Část 1: Zásady. Praha : Český normalizační institut, 2008.