2-3/ HLAVNÍ TÉMATA: Managament rizik Vnímání kvality

Transkript

1 2-3/ 2012 Odborný časopis vydává Česká společnost pro jakost, spolupracuje Slovenská spoločnosť pre kvalitu. HLAVNÍ TÉMATA: Managament rizik Vnímání kvality Management rizik a Model excelence EFQM Rizika v automobilovém průmyslu Environmentální aspekty v praxi Vnímání CSR

2 ČESKÁ SPOLEČNOST PRO JAKOST Loga produktů ČSJ Automobilový průmysl ČESKÁ SPOLEČNOST PRO JAKOST Environmentální management ČESKÁ SPOLEČNOST PRO JAKOST Bezpečnost a ochrana zdraví při práci (BOZP) ČESKÁ SPOLEČNOST PRO JAKOST Lesnictví Zemědělství Potravinářství ČESKÁ SPOLEČNOST PRO JAKOST Nástroje pro efektivní řízení ČESKÁ SPOLEČNOST PRO JAKOST Management kvality ČESKÁ SPOLEČNOST PRO JAKOST ICT sektor ČESKÁ SPOLEČNOST PRO JAKOST Veřejná správa ČESKÁ SPOLEČNOST PRO JAKOST Zdravotnictví a sociální služby ČESKÁ SPOLEČNOST PRO JAKOST

3 Editorial Tento editorial, který je pro mne i jinak výjimečný ale o tom až později, měl původně mít úplně jiný začátek i většinu obsahu. Už v době, kdy všechny ostatní články byly dávno odevzdány grafikům, skončilo ale vše, co bylo připraveno a napsáno, v koši. Možná tušíte proč: vypukla metylalkoholová aféra. (Nemám to slovo aféra vůbec rád, ale jaké jiné vhodné najít?) A pominout ji v čísle Perspektiv kvality, které má jako jedno z hlavních témat management rizik, by myslím bylo neomluvitelné. Management rizik jsem za celé ty dny, kdy se média věnují vlně otrav a úmrtí téměř nepřetržitě, explicitně zmínit neslyšel a nečetl. Přesto se vlastně nejedná o nic jiného od roviny osobní každého z konzumentů (jak vůbec pochopit, že po tolika dnech od prvních otrav, po tolika varováních a úmrtích je někdo stále ochoten hrát ruskou ruletu se sklenkou či lahví alkoholu mírně řečeno podezřelého?!) až po rovinu státních orgánů a jejich šéfů. I když podstata a příčiny problému jsou zcela jiné, v něčem je zde podobnost s povodní, která byla právě před deseti lety: co dělat hned, co pak, co ještě později? Jaké je riziko v aktuální situaci, ale jaké i v jednotlivých možných opatřeních? A samozřejmě i: Dalo se tomu zabránit? Kdo za to může? Ale hlavně, co dělat preventivně do budoucna? Články o managementu rizik v tomto čísle budeme tragickou shodou okolností zcela určitě číst jinýma očima a s větším zájmem. V poslední době se navíc hodně diskutovalo o kvalitě potravin a často se přitom zaměňovala kvalita a bezpečnost; ta byla ve skutečnosti ohrožena jen málokdy. Teď je tomu jinak. Počet obětí metanolu už teď přesahuje počet obětí velké vody 2002, a podle mínění odborníků bohužel téměř s jistotou ještě poroste Význam managementu rizik jsem v posledních dnech zažil také sám na vlastní kůži (doslova...). Právě v kritické fázi přípravy časopisu mě postihlo náhlé onemocnění. Nic vážného, i když dost nepříjemné. Trochu mě to ale přece jen přibrzdilo, a hned tu byla otázka, zda se vše stihne. Dost často jsem už v minulosti přemýšlel, jak se s podobnými riziky vypořádat. Řečeno slovy managementu rizik, i když jistě ne zcela přesně: jaká je pravděpodobnost nežádoucí události, jaká je nebezpečnost jejích možných následků a jak náročná by byla preventivní opatření? Nikdo nejsme nenahraditelný, ale plná okamžitá zastupitelnost je v podobných případech v našich podmínkách nemyslitelná. Ale to už bude napříště muset řešit... A tím se dostávám k poslední části tohoto editorialu, kterou na rozdíl od těch předchozích jsem měl naplánovanou a promyšlenou dlouho dopředu. A úmyslně jsem si na ni nechal jen omezený prostor, abych se nemohl nechat unést sentimentem, rekapitulacemi a podobnými nešvary. (Možná se k tomu vrátím s odstupem času později jinde.) Takže jen jedna informace, jedno poděkování, jedna omluva a jedno přání: Toto (dvoj)číslo je poslední, které jako odborný redaktor připravuji. Čas nezastavíš, a já s radostí předávám pomyslné žezlo, či někdy spíše opravdu náročné bájné převoznické bidlo, kolegyni Veronice Soukupové. Spolupracovat s ní budu ovšem i nadále. Děkuji všem, kteří se mnou za celá ta léta jakýmkoli způsobem spolupracovali a na podobě Perspektiv a také Zpravodaje se podíleli, i všem svým předchůdcům, kteří časopisu/časopisům ČSJ položili pevný kvalitní základ a nasadili laťku. Někteří už bohužel nejsou mezi námi. Díky ale především všem čtenářům je to triviální a často opakované, ale bez nich by ty časopisy neexistovaly. Omlouvám se všem, autorům i ostatním, s nimiž se mi spolupráce a/nebo komunikace někdy (především z časových důvodů a v obdobích turbulentních změn, rozhodně ne z nezdvořilosti) úplně nepodařila a jejichž příspěvky se mi například nepovedlo dovést k uveřejnění. Budu se snažit, pokud to bude možné, se alespoň k některým podobným restům nyní vrátit a napravit to. Přání? To je jasné a jednoduché: všem vše dobré. A konkrétně Veronice Soukupové, aby se jí nelehká práce dařila, Perspektivám kvality, od příštího čísla už opět normálně tištěným a distribuovaným, aby byly čím dál lepší a čtenější, a to, tedy ty zajímavé a užitečné Perspektivy, přeji i vám všem čtenářům. Jak už jsem napsal výše, budu se tomu snažit i nadále napomáhat. Váš Zdeněk Svatoš odborný redaktor PK svatos@csq.cz 3

4 LISTOPAD MĚSÍC KVALITY V ČR MEZINÁ RODNÍ KONFERENCE KVALITA KLÍČOVÝ FAKTOR Národnídům na Vinohradech v Praze 2, nám. Míru 9 Budova ČSVTS, Novotného lávka 5, Praha VEČER S ČESKOU KVALITOU Národnídům na Vinohradech v Praze 2, nám. Míru NÁ RODNÍ CENY KVALITY ČR A CSR Tisková konference Seminář Národnícena kvality ČR a Národnícena ČR za CSR SlavnostnípředáváníNárodníceny kvality ČR a Národníceny ČR za CSR na Pražském hradě organizátoři NÁRODNÍ POLITIKA KVALITY È ESKÁ SPOLEÈ NOST PRO JAKOST AKCE JE POŘÁDÁNA V RÁMCI NÁRODNÍHO PROGRAMU KVALITY 2012

5 OBSAH strana strana Management rizik jako součást Modelu excelence EFQM kongres EOQ ve Frankfurtu nad Mohanem: co nabídl a co mu scházelo 44 Management rizik v rámci managementu kontinuity podnikání: podpora ze strany norem při jeho aplikaci 8 Vyhlášení Manažera roku 2011 předcházely dvě zajímavé novinky 47 Pohled na řízení rizik v automobilovém průmyslu 15 Česká pobočka WBCSD byla založena jako 64. na světě: jaká bude její role a fungování? 49 Analýza rizik v systému řízení bezpečnosti informací sjezd ČSJ: noví čestní členové, budoucnost časopisu a další informace v diskusi 51 Environmentální aspekty cesta k účinnosti EMS 23 In memoriam Ing. Zdeňka Rosy 52 Hodnocení environmentálních aspektů v praxi 28 Setkání lektorů ČSJ bylo zaměřené na zpětnou vazbu a autorské právo 54 Reálná, nebo vnímaná kvalita aneb kdo má pravdu? 30 Podnikové struktury pro spolupráci 55 Víte, jak se nespálit? Program Česká kvalita odlišuje spolehlivé značky kvality od pseudoznaček 32 Jak na inovace v roce Jak a podle čeho vnímáme kvalitu realitních kanceláří 34 Metoda relačních matic a její využití 60 Je společenská odpovědnost vnímána pozitivně? 36 Rekapitulace výstupů projektu Strategie Age Managementu v ČR a možnost jejich uplatnění ve strategických dokumentech ČR 62 Projekt CSR Research 2011: Lidem v ČR jsou témata společenské odpovědnosti stále bližší 39 Překlad odborného textu: jak docílit kvality 64 Jubileum Business Leaders Fora a předávání Ceny Futurum 42 Odborný čtvrtletník pro získávání poznatků a šíření znalostí o managementu Ročník 1 Číslo 2-3/2012 Vydává Česká společnost pro jakost, o. s. Novotného lávka 5, Praha 1 IČ: Vedoucí redakce: Markéta Leitermannová, leitermannova@csq.cz Odborný redaktor: RNDr. Zdeněk Svatoš, svatoš@csq.cz Fotografie: Zdeněk Svatoš, KG ateliér ISSN: X Grafika: KG ateliér. 5

6 Hlavní téma Management rizik Management rizik jako součást Modelu excelence EFQM Danuše Svobodová, Centrum excelence ČSJ, Praha V tomto čísle časopisu Perspektivy kvality se zabýváme různými pohledy na management rizik a jeho využití v rozličných oblastech od výrobního sektoru po služby. Protože je Česká společnost pro jakost národní partnerskou organizací EFQM, správce Modelu excelence EFQM, který slouží jako nástroj trvalého zlepšování výkonnosti organizací, pokusme se zmapovat, zda či kde Model excelence EFQM požadavky na řízení rizik obsahuje. Vzala jsem si tedy do ruky publikaci Model excelence EFQM a začala slůvko rizika hledat. Nedostala jsem se však ani přes úvodní slovo a uvědomila jsem si, že Model je zásadami řízení rizik protkán, a je tedy sám o sobě nástrojem pro jejich komplexní řízení. Model excelence EFQM jako nástroj pro řízení rizik Model excelence EFQM (viz obr. 1) je dobrovolný manažerský rámec (nástroj), který umožňuje organizacím: 1. hodnotit, kde se nacházejí na cestě k excelenci. Je to nástroj, který jim pomáhá pochopit jejich klíčové silné stránky a potenciální mezery ve vztahu k jejich stanovené vizi a poslání; 2. připravit společný slovník a způsob uvažování o organizaci, který usnadňuje efektivní sdělování myšlenek (idejí) jak uvnitř organizace, tak mimo ni; 3. sjednotit existující a plánované iniciativy a přitom odstraňovat duplicity a identifikovat mezery; 4. připravit základní strukturu pro systém managementu organizace. ([1], str. 2) Vzhledem k tomu, že podstatou Modelu excelence EFQM je trvalé zlepšování založené na zdokonalování přístupů vedoucích k trvale udržitelným výsledkům, kde je vazba mezi nimi neustále zdůrazňována, používání Modelu pomáhá nacházet možná rizika; ta však vnímá především jako příležitosti a umožňuje předcházet jejich vzniku. V cyklu trvalého zlepšování, a tedy i řízení rizik hraje klíčovou roli logika RADAR (viz obr. 2). Je tomu tak hned na dvou úrovních. Při hodnocení předpokladů klade důraz na přístupy, které musí být solidní (tedy jasně zdůvodněné, s definovanými procesy a odrážející potřeby zainteresovaných stran) a integrované (musí být propojeny s dalšími přístupy a společně podporovat strategii organizace). Aplikace přístupů by měla probíhat systematicky ve všech relevantních oblastech. Hodnocení předpokladové části kritérií Modelu excelence EFQM pak uzavírá hodnocení přístupů prostřednictvím vhodně zvolených měřítek a zdokonalování přístupů díky procesu učení se a inovativním myšlenkám. Ve výsledkové části je hodnocena relevantnost a použitelnost výsledků, které odrážejí efektivnost přístupů, a v rámci hodnocení výkonnosti organizace je velký důraz na pochopení příčinných vztahů mezi předpoklady a výsledky. Rizika v Modelu Abychom přece jen učinili zadost původnímu záměru, projděme celý Model a hledejme přímé odkazy na řízení rizik. První výslovná zmínka o rizicích se objevuje v kritériu Vedení (subkritérium 1b: Lídři definují, monitorují a přezkoumávají systém managementu organizace a její výkonnost a podněcují jejich zlepšování), kde se hovoří o tom, že lídři excelentních organizací poskytují vysokou úroveň důvěry zainteresovaným stranám, a to zajišťováním identifikace rizik a jejich patřičným řízením ve všech procesech ([1], str. 10). Systém pro řízení rizik tedy musí vycházet z iniciativy vedení. Současně platí, že efektivní řízení rizik je důležitým signálem o udržitelnosti organizace, který se pozitivně odrazí ve vnímání organizace jejími akcionáři, zaměstnanci i celou společností. Druhý případ, kde je řízení rizik explicitně vyjádřeno, je v kritériu 2 Strategie (subkritérium 2c: Strategie a podpůrné politiky jsou rozvíjeny, přezkoumávány a aktualizovány). Zde se uvádí, že excelentní organizace v praxi zavádějí efektivní mechanismy pro pochopení budoucích scénářů a pro řízení strategických rizik ([1], str. 12), protože rizika ovlivňující naplňování strategie organizace by měla být v popředí její pozornosti. Poslední výslovná zmínka o rizicích je v kritériu 4 Partnerství (subkritérium 4b: Finanční zdroje jsou řízeny s cílem zabezpečit trvalý úspěch), které říká, že excelentní organizace poskytují vysokou úroveň důvěry zainteresovaným stranám zajišťováním toho, že finanční rizika jsou identifikována a odpovídajícím způsobem řízena ([1], str. 14); vliv řízení rizik tedy aplikuje na vztahy organizace s jejími partnery. Rámec EFQM pro management rizik Na pomoc organizacím, které jsou řízeny a zlepšovány pomocí Modelu excelence EFQM, vyvinulo EFQM se spolupracujícími organizacemi množství dílčích rámců zaměřených na specifické oblasti (společenská odpovědnost organizací, management znalostí, inovace aj.). Jedním takovým je i rámec pro řízení rizik. Stejně jako celý Model excelence EFQM je i tento konkrétní rámec nepreskriptivní a organizace ho mohou využít několika způsoby jako nástroj pro sebehodnocení, benchmarking a identifikaci oblastí pro zlepšování. 6

7 Management rizik Hlavní téma Závěr Dnešní dobu charakterizuje změna a změna je příležitost pro rizika. Co kdybychom však na rizika začali pohlížet jako na příležitosti, které můžeme využít k posílení své konkurenceschopnosti? Model excelence EFQM to tak dělá a výsledky organizací, které ho využívají, dokazují, že je to krok správným směrem. Model excelence EFQM umožňuje řídit rizika systematickým, přesto nepreskriptivním způsobem, a to tak, že vytváří jednotný rámec zastřešující všechny aktivity organizace. Informace z aktuální tiskové zprávy, ve které EFQM oznámilo říjnové představení Modelu excelence EFQM 2013, navíc zní: Aktualizovaný Model excelence EFQM bude odrážet rostoucí potřebu být agilní a pružný. Dalšími dvěma příklady prvků, kterým bude věnována větší pozornost, jsou udržitelnost a strategičtější přístup k řízení rizik. To dokládá, jak je toto téma v moderním řízení významné a aktuální a jaká pozornost mu je a bude v Modelu excelence EFQM věnována. Literatura: [1] Model excelence EFQM. EFQM/ČSJ, Praha ISBN Autorka: Mgr. Danuše Svobodová je pracovnice České společnosti pro jakost manažerka Centra excelence a manažerka mezinárodních vztahů. Kontakt: svobodova@csq.cz Obrázek 1 Model excelence EFQM Zdroj: [1], str. 9. PŘEDPOKLADY VÝSLEDKY Pracovníci Pracovníci výsledky Vedení Strategie Procesy, produkty a služby Zákazníci výsledky Klíèové výsledky Partnerství a zdroje Spoleènost výsledky UÈ ENÍ SE, KREATIVITA A INOVACE Obrázek 2 Logika RADAR. Zdroj: [1], str. 22. Plánovánía rozvíjení PŘÍSTUPU Požadované VÝSLEDKY APLIKACE přístupu HODNOCENÍ A ZDOKONALOVÁNÍ přístupu a jejich aplikace 7

8 Hlavní téma Management rizik Management rizik v rámci managementu kontinuity podnikání: podpora ze strany norem při jeho aplikaci Marie Šebestová, CQS Sdružení pro certifikaci systémů jakosti, Praha Management rizik se využívá v mnoha oblastech jako metoda a nástroj řízení pro implementaci bezpečnostních kritérií a zabezpečení realizace cílů organizací a systémů. Koncem roku 2010 vyšla u nás mezinárodní norma ČSN ISO Management rizik Principy a směrnice. Tato norma je dobrým vodítkem pro zakomponování systému managementu rizik do managementu organizací. Správné nastavení systému managementu rizik má být adekvátním způsobem zakomponováno do všech čtyř částí smyčky PDCA (plánuj-dělej-kontroluj-jednej), viz obr. 1. Systém managementu musí vyváženým způsobem obsahovat manažerskou účast podnikového managementu, který pro celý systém poskytne adekvátní zdroje. Jádrem systému je proces vlastní realizace managementu rizik. Důležité je však následné nastavení kontrolních mechanizmů, v rámci kterých se účinnost a smysluplnost přístupu procesu má kontinuálně přezkoumávat. Logickou smyčku řízení je pak třeba uzavřít vhodnými opatření pro zlepšování celého systému. Pro pochopení celého principu systému managementu rizik a zakomponování procesu managementu rizik do celkového managementu je dobré si vymezit a vysvětlit rozsah využití některých pojmů, které jsou v disciplíně managementu rizik používány, a vztahy mezi rámcem a procesem managementu rizik. Rámec Organizace a jejich systémy řízení obsahují řadu rizik. Pro jejich účinné řízení je třeba nejprve připravit sjednocující nástroje a metody pro jejich oceňování a řízení, tzv. rámec pro management rizik. Výsledkem ocenění rizik, pomocí optimálně vyspecifikovaných kritérií, která kvantifikují pravděpodobnost jejich výskytu a míru dopadu jejich následků, je portfolio rizik, které může být reprezentované různou formou. Příkladem může být např. matice rizik nebo mapa rizik. Znázornění portfolia rizik v mapě rizik poskytuje celkový obraz rizik organizace, systému, produktů (výrobků a služeb) nebo projektů. Obsahuje informace, které mají zásadní důležitosti pro další krok managementu, kterým je řešení rizik. Přehled rizik organizace nebo systému nedává pouze úplný pohled na portfolio rizik na nejvyšší úrovni pozorování. Rozdělením organizace na její části nebo systému na jeho složky je také možné implementovat posouzení rizik a díky tomu management rizik, a to ve větším detailu a způsobem nastaveným pro různé úrovně řízení. Pokud je nezbytné důkladné posouzení individuálních rizik, mohou být použity odpovídající Obrázek 1 Smyčka PDCA managementu rizik. Mandát a závazek Návrh rámce pro řízení rizik Pochopeníorganizace a jejího kontextu Stanovenípolitiky managementu rizik Odpovědnost Integrace do procesu organizace Zdroje Nastavenímechanizmu pro vnitřníkomunikaci a hlášení Nastavenímechanizmu pro vnějšíkomunikaci a hlášení Neustálé zlepšování systému Implementování managementu rizik Implementovánírámce pro management rizik Implementováníprocesu managementu rizik Monitorování a přezkoumávání systému 8

9 Management rizik Hlavní téma metody individuální analýzy rizik, vhodné pro dané oblasti, které jsou rovněž součástí rámce. Řešení rizik lze provádět formou programů, projektů, harmonogramů nebo jednoduše úkolů, což je součástí implementování managementu rizik. Důležité je, a to se velmi často opomíjí, nastavení metod a způsobů monitorování a přezkoumávání úspěšnosti plnění, úspěšnosti realizace veškerých aktivit v rámci snižování rizik. Jedině důsledným monitorováním a přezkoumáváním lze zachytit případné odchylky způsobené změnou vnějšího prostředí nebo vnitřních podmínek nebo jen nevhodným návrhem řešení a korigovat je v rámci neustálého zlepšování. Součástí rámce managementu rizik je zpracování nezbytného rozsahu dokumentace a záznamů, do kterého patří: dokumentovaná politika rizik s odkazem na obsah a organizační subjekt, kterého se týká; zodpovědnosti a kompetence vlastníků rizik a manažerů rizik; dokumentované popisy procesu, obzvlášť vazby obchodních procesů s procesem managementu rizik (pokud je to vhodné); detailní postupy pro analýzu rizik včetně stanovení kritérií rizik pro možnost její aktualizace. Vzhledem k různorodosti rizik v rámci systémů může analýza obsahovat i více metod (např. metody vhodné pro výrobky, metody vhodné pro bezpečnost informací, metody vhodné pro BOZP atd.). Ideální však je, když metody analýzy jsou na stejném principu, protože vyhodnocení rizik z jednotlivých oblastí pak lze s ohledem na nebezpečnost dopadů srovnávat; dokumenty a záznamy z hodnocení rizik; záznamy výsledků, jako je hodnocení rizik, plány řešení rizik (včetně plánování pro stav nouze) a dokumenty o managementu rizik (včetně indikátorů včasného varování); komunikace s ohledem na rizika mezi různými úrovněmi managementu; havarijní plány a plány kontinuity pro definovaná kritická rizika. Organizace má řídit dokumenty a záznamy v systému managementu rizik způsobem obvyklým v rámci jiných systémů managementu. Proces managementu rizik Aby systém managementu rizik byl funkční a efektivní a dal celkovému managementu určitou přidanou hodnotu, musí vlastní realizační proces managementu rizik procházet logickými kroky pod vedením zkušeného manažera rizik a podle jasně nastavených pravidel. Základní kroky procesu jsou v diagramu na obr. 2. Obrázek 2 Logické kroky procesu managementu rizik podle ISO Stanovení kontextu Posuzování rizik Identifikace rizik Komunikace a konzultace (5.2) Analýza rizik Monitorování a přezkoumávání (5.6) Hodnocení rizik Ošetření rizik 9

10 Hlavní téma Management rizik Vstupy do procesu managementu rizik jsou odvozeny z cílů organizace a očekávání a požadavků, vycházejících buď z externího prostředí organizace (např. celá společnost, legislativa, politické změny, ekonomika, vývoj technologií, bezpečnost, životní prostředí), nebo i z vnitřních podnětů (změna majitele, změna sídla, stav technologií, změna předmětu podnikání apod.). Tyto vstupy jsou důležité pro stanovení politiky managementu rizik. Účelem managementu rizik je rozpoznat rizika a zabránit negativnímu vývoji v jeho počáteční fázi a vyhnout se událostem, které mohou způsobit škodu, nebo alespoň omezit následky těchto událostí. Účelem však může být i rozpoznání příležitostí, kterých by se organizace měla chopit. Na obr. 4 (viz dále) je ukázána provázanost procesu managementu rizik jako podmnožiny systému managementu rizik zakomponovaného do řízení organizace. Monitorování systému managementu rizik Monitorování systému managementu rizik by mělo zahrnout hodnocení možností pro zlepšování a úpravy systému managementu rizik, včetně politiky managementu rizik a mezí akceptovatelnosti rizik nebo stanovených cílů. Výsledky monitorování systému managementu rizik jsou dokumentovány. Vstupy pro monitorování systému managementu rizik obsahují následující informace: výsledky interních auditů, zprávy o událostech nebo případech (týkajících se rizik), výkonnost procesů managementu rizik, výsledky opatření v oblasti rizik, stav preventivních a nápravných opatření v systému managementu rizik, výsledky následných opatření z předchozího monitorování, interní a externí změny, které mohou mít vliv na systém managementu rizik, doporučení pro zlepšování v systému managementu rizik. Výsledky monitorování systému managementu rizik obsahují rozhodnutí a opatření pro: zlepšování a efektivitu systému managementu rizik a v něm zahrnutých procesů, potřeby zdrojů. Zlepšování Neustálé zlepšování: Organizace má zlepšovat efektivitu systému managementu rizik neustálým vyhodnocováním smysluplnosti a efektivnosti jednotlivých opatření a přijímáním rozhodnutí v případě, že realizovaná opatření nepřinášejí očekávaný výsledek. Další vývoj a praktické aplikace managementu rizik Zavádění managementu rizik je v posledních letech podporováno i vznikem celé řady normativních dokumentů po celém světě, což svědčí o zájmu podnikatelské veřejnosti o tuto oblast. Nedílnou součástí managementu rizik je připravenost čelit mimořádným událostem, jako je požár, povodeň, teroristický nebo prostě jen zlodějský útok, které mohou chod organizace zničit nebo silně narušit. Jedná se o připravenost okamžitě reagovat na mimořádnou událost a minimalizovat ztráty. Časový průběh reakce na havárii (incident) znázorněný na obr. 3 ukazuje i potřeby různých přístupů k managementu rizik v jednotlivých fázích po havárii. V první fázi je třeba se soustředit na management havárií a krizový management, což je ta část managementu rizik, v rámci které se zajišťují krátkodobé reakce organizace v případě havárie nebo nepředvídaného incidentu, způsobeného z vnějšího nebo i vnitřního prostředí. Obrázek 3 Incident Vývoj reakce na významný incident. Zdroj: Sharp J. Jak postupovat při řízení kontinuity činností. Risk Analysis Consult., Praha ISBN Reakce na incident rozmezí min./hod. evakuace, ochrana zdraví a životů, zamezení/hodnocení škod, aktivace plánu kontinuity činností (BCP) Kontinuita činností rozmezí min./dnů obnova klíčových produktů/služeb, vyřešení nahromaděné práce, komunikace se zúčastněnými stranami Obnova/Pokračování rozmezí týdnů/měsíců náprava/náhrada škod, návrat k normálnímu provozu Časový přehled reakce na incident 10

11 Management rizik Hlavní téma Úkoly managementu rizik v tomto období spočívají v: spuštění krizové signalizace a mobilizování krizového manažera; zahájení postupů krizového řízení, tzn. vyklízení, evakuace, prevence nebo řízení ztrát, pokud jsou dostupné příslušné zdroje; sběru informací a vyhodnocení situace; kontaktování kompetentních autorit a vyhledání pomoci; zajištění interní a externí krizové komunikace koordinované krizovým týmem. Ve druhé fázi se přechází na navázání kontinuity činností alespoň prozatímním způsobem; úkolem je mimo jiné: mobilizování krizového týmu managementu; sběr a vyhodnocení informací pro vyhodnocení situace; zahájení realizace opatření v rámci celé organizace pro zabránění bezprostředně hrozícího zničení nebo alespoň minimalizaci jeho dopadů; zajištění krizové komunikace (interní i externí) pro celou organizaci; zajištění informovanosti zaměstnanců, zákazníků a celé veřejnosti; inicializace opatření pro udržení a pokračování chodu firmy; zajištění strategických rozhodnutí vrcholového vedení; příprava plánů pro obnovení normálního chodu organizace. Třetí fáze se už týká managementu zachování kontinuity podnikání, což je ta část krizového managementu, která slouží k udržení nebo velmi rychlému obnovení základních funkcí organizace. Zde je třeba vycházet z hluboké znalosti fungování organizace a nelze ji narychlo nastolit bez předcházející dlouhodobé přípravy ještě v období klidu. Management kontinuity podnikání (business continuity management, BCM) Management kontinuity podnikání (business continuity management, BCM) je řídicí proces podporovaný vedením společnosti, v rámci kterého se identifikují potenciální dopady ztrát a jehož cílem je vytvořit takové postupy a prostředí, které umožní zajistit kontinuitu a obnovu klíčových procesů a činností organizace na předem stanovené minimální úrovni, pokud došlo k jejich narušení nebo ztrátě. BCM ochraňuje zájmy klíčových podílníků, akcionářů a dalších zájmových skupin, dobrou pověst a značku společnosti. Kromě drastických havárií, které byly výše uvedeny, má být předmětem BCM i mediálně sice nenápadnější, ale stejně nebezpečná ztráta dostupnosti a integrity dat, ať už z důvodů zničení nebo jiného selhání techniky nebo jejich odcizení. Řízení kontinuity činností organizace se netýká pouze nápravy následků způsobených těmito incidenty či haváriemi. Má být zaměřeno především na prevenci, jak předejít krizovým a havarijním situacím, a na ustanovení takové kultury v rámci organizace, která se snaží vybudovat větší odolnost za účelem zajištění kontinuity dodávky produktů a služeb klientům a zákazníkům. V roce 2006 byla ve Velké Británii vydána Britským normalizačním institutem (British Standards Institute, BSI) ve spolupráci s Business Continuity Institute (BCI) vůbec první norma pro oblast BCM (Business Continuity Management) BS s cílem stanovit jednotný standard správné praxe a uspokojit přitom potřeby zákazníků, klientů, vlády, zákonodárců a všech ostatních zainteresovaných stran. Jedná se o komplementární normu skládající se ze dvou částí, z nichž v části BS jsou uvedeny principy implementace a druhá část BS je striktně kriteriální, a tudíž vhodná i jako podklad pro audity důvěryhodnosti zajištění BCM, případně certifikaci. Norma BS je návodem pro zavedení dílčích činností pro zachování kontinuity podnikání v rámci systematického zavádění managementu rizik. Ve svých 10 kapitolách obsahuje podrobné návody k: 1. využití jejího rozsahu; 2. jednotné interpretaci pomocí základních termínů a definic; 3. identifikování procesů, včetně jejich vzájemných vztahů a účelu pro zavádění v organizaci; 4. stanovení politiky managementu kontinuity podnikání; 5. přístupu k vytvoření programu managementu kontinuity podnikání; 6. porozumění organizaci jako základu pro stanovení rozsahu managementu kontinuity podnikání; 7. stanovování příslušných strategií; 8. vývoji a implementování managementu kontinuity s využitím osvědčených taktických prostředků, jakými jsou např. management incidentů nebo plánování kontinuity; 9. přezkoumávání, udržování, sebehodnocení a testování systému; 10. zakomponování managementu kontinuity do organizační kultury. BCM je speciální část rámce managementu rizik, který má svůj životní cyklus, jehož organizační zajištění by mělo být součástí celkového rámce managementu rizik. Podmnožinou celkového rámce pro BCM by měl být i rámec managementu kontinuity IT (BCM IT). Životní cyklus BCM se v normách pro management kontinuity nejčastěji znázorňuje způsobem dle obr

12 Hlavní téma Management rizik BCM může být implementován ve všech organizacích bez ohledu na jejich velikost nebo oblast podnikání. Základem životního cyklu BCM (viz obr. 4) je řízení programu BCM, které je bráno jako kontinuální proces. Uveďme si podrobněji některé povinné disciplíny tohoto přístupu: Porozumění činnosti organizace Cílem tohoto kroku je: identifikace kritických činností, procesů a zdrojů, které podporují klíčové produkty nebo služby organizace; provedení tzv. analýzy dopadů (Business Impact Analysis, BIA), pomocí které se hodnotí, jaké dopady v čase by na organizaci a další zainteresované strany mělo narušení dodávek klíčových produktů nebo služeb; provedení hodnocení rizik (Risk Assessment) ve vztahu ke zdrojům využívaným v identifikovaných kritických činnostech. Organizace by si měla zvolit vhodnou metodiku hodnocení rizik vyhovující jejím požadavkům, která jí umožní porozumět hrozbám působící na tyto zdroje, zranitelnostem těchto zdrojů a dopadu na organizaci, pokud hrozby využijí tyto zranitelnosti a způsobí incident s následkem narušení/přerušení činností; vybrání vhodných opatření pro zvládání rizik, která jsou navržena ke snížení pravděpodobnosti narušení, zkrácení doby narušení činností a k omezení dopadu narušení na klíčové produkty a služby organizace. Vytvoření strategií Při přípravě strategií se doporučuje zvážit uvedené základní scénáře: zamezení přístupu do prostor (např. v případě hrozby bombového útoku); nedostatek pracovníků (např. virové pandemie); ztráta dat; selhání technologií a podpůrných zařízení; selhání klíčového poskytovatele služeb. Pro realizaci jednotlivých strategií je vždy nezbytné identifikovat typ a množství zdrojů potřebných k jejich dosažení a určit, jak budou v době narušení zvládány vztahy se všemi zúčastněnými stranami. Zvláštní důraz by měl být kladen na komunikaci s vlastními pracovníky a médii. Vývoj a implementace BCM Tato část životního cyklu BCM souvisí s vytvořením a implementací vhodných a přiměřených plánů (postupů), jejichž cílem je umožnit organizaci, aby v případě narušení kritických činností udržela nebo v co nejkratším čase obnovila své procesy na požadovanou provozní úroveň (LBC Level Business Continuity). Menší organizace mohou využívat pouze jeden plán kontinuity, zatímco ve větších organizacích může existovat celá řada vzájemně propojených plánů, které pokrývají řízení incidentu, kontinuitu činností a řízení obnovy (viz již obr. 3 Vývoj reakce na významný incident, uvedený výše). Při sestavování plánů je důležité, aby byly do tohoto procesu zapojeny všechny dotčené složky organizace. Jednotlivé plány kontinuity by měly identifikovat činnosti a zdroje potřebné pro hladké zvládání nastalých krizových situací. Každý plán by měl jasně specifikovat podmínky své aktivace a stejně tak identifikovat osoby s odpovědností za vykonávání každého bodu plánu. Každý plán musí mít stanoveného vlastníka a měl by být přístupný všem pracovníkům, od nichž se vyžaduje, aby jej použili. Testování, udržování a přezkoumávání BCM Vytvořené plány musí organizace testovat a tím se ujistit, že jsou úplné, reálné a funkční. Testování odhaluje nesouvislosti a opomenutí v plánech dříve, než jsou použity v případě nastalé havárie. Testování a nacvičování jejich realizace zároveň slouží k proškolení těch pracovníků, kterým jsou v plánech kontinuity přiřazeny role. Obrázek 4 Životnícyklus BCM [BS :2006]. 12

13 Management rizik Hlavní téma Konečnou odpovědnost za fungování organizace, tedy i za řízení kontinuity činností organizace má vrcholové vedení organizace. Koordinací systému bývá pověřen odborník pro danou oblast, který perfektně ovládá metodiky a nástroje managementu rizik, především provádění analýz a na ně navazujících plánů zvládání rizik. Vlastní realizací však musí být pověřeni všichni vlastníci procesů, jichž se rizika týkají. Důležitým prvkem řízení kontinuity činností je i vytvoření a upevňování kultury BCM v rámci organizace a ustanovení a posilování povědomí o důležitosti a významu řízení kontinuity činností. Britská norma BS byla nahrazena mezinárodní normou ISO Societal security Business continuity management systems Requirements (Sociální bezpečnost Systémy managementu kontinuity podnikání Požadavky), která vyšla v květnu 2012 a nahrazuje ji v plném rozsahu i pro účely certifikační. (Překlad pro české vydání jako ČSN se připravuje.) Pro zajištění kontinuity organizace je v dnešní době především důležité bezpečné zajištění firemní IT. Důsledkem toho je progresivní stav standardizace v oblasti zajištění bezpečnosti informací. Norma ISO/IEC Security techniques Guidelines for information and communication technology readiness for business continuity, která je návodem pro zabezpečení BCM z hlediska ICT, byla vydána v minulém roce. Jak vyplývá ze schématu na obr. 5, management kontinuity IT je podmnožinou celkového managementu kontinuity. Přínosy informační připravenosti pro zajištění kontinuity jsou především v: pochopení rizik, ohrožujících kontinuitu firmy, identifikování potenciálních dopadů přerušení služeb ICT, povzbuzení lepší spolupráce mezi manažery podniku a jejich poskytovateli služeb ICT (interními i externími), vyvinutí a rozšíření kompetencí a důvěryhodnosti personálu z útvaru ICT, poskytnutí záruk vrcholovému vedení, že se může spolehnout na předem stanovené úrovně služeb ICT, poskytnutí záruk vrcholovému vedení, že informační bezpečnost je zajištěna, poskytnutí důvěryhodnosti, že investice do IT řešení byly správně uloženy, poskytnutí důvěryhodnosti v rámci strategie BCM, že investice do IT a jejich řešení byly v rámci podnikání přiměřené, prokázání nákladově efektivního řešení IT, získání konkurenční výhody, pochopení a splnění očekávání zákazníků. Závěr Systematický přístup k managementu rizik je třeba se učit a věřit mu, pak může být skutečným nástrojem pro udržitelnost podnikání. Proaktivní přístup k managementu rizik by se měl stát součástí kultury firemního podnikání. Vytvoření firemní atmosféry je velmi náročným procesem, jehož úspěšnost záleží především na vrcholovém vedení, které má všechny činnosti související s managementem rizik iniciovat, vyžadovat a jejich implementaci podporovat. Autorka: Ing. Marie Šebestová pracuje jako auditorka systémů managementu a jako manažerka produktu Výrobková certifikace v oblasti SW a informačních systémů v Elektrotechnickém zkušebním ústavu, s. p., v Praze (který je členem certifikačního sdružení CQS). V rámci CQS se v poslední době zaměřuje na školicí programy managementu rizik a kontinuity podnikání a spolupráci na implementaci souvisejících norem do ČSN. Kontakt: msebestova@ezu.cz Obrázek 5 Životnícyklus BCM, jehož součástíje i připravenost IT pro zajištěníkontinuity. 13

14 Hlavní téma Management rizik 14

15 Management rizik Hlavní téma Pohled na řízení rizik v automobilovém průmyslu Jan Hnátek, Česká společnost pro jakost, Praha Automobilový průmysl v současnosti představuje jednu ze špiček kvality a spolehlivosti dosahovaných v systémech managementu kvality. Zároveň ovšem někteří lidé kritizují množství norem, požadavků, certifikací a auditů na straně jedné a stále až příliš často se vyskytující problémy s kvalitou výrobků, dokonce stahování automobilů do servisu, na straně druhé. Výrobci si často stěžují na dodavatele a naopak. Podívejme se na některé aspekty blíže. Hlavní pozornost pak bude věnována metodě FMEA, která je základní metodou analýzy rizik, a jejímu využívání v automobilovém průmyslu. Úvod Automobilový průmysl byl téměř od svých počátků oborem, v němž se to, čemu dnes říkáme management kvality, rodilo, prosazovalo, masově uplatňovalo a rozvíjelo; byl a je jakousi laboratoří a zároveň výkladní skříní moderního managementu kvality a jeho metod. V současnosti představuje automobilový průmysl špičku kvality a spolehlivosti dosahovanou v systémech managementu kvality, a to nejen na úrovni požadavků technické specifikace ISO/TS 16949:2009, ale především dynamickým rozvojem progresivních metod a technik řízení kvality ve výrobě sériových a náhradních dílů pro montážní závody automobilů na základě specifických požadavků výrobců automobilů CSR OEMs (Customer Specific Requirements, Original Equipment Manufacturers). Český automobilový průmysl se svým dodavatelským řetězcem vytváří v současnosti přes 30 % HDP České republiky, což je pro naši ekonomiku velmi významné, ale současně i rizikové v případě vážnějšího propadu na světovém trhu prodeje automobilů. Někteří lidé kritizují množství norem, požadavků, certifikací a auditů atd. na straně jedné a stále až příliš často se vyskytující problémy s kvalitou, dokonce stahování automobilů do servisu, na straně druhé. Výrobci si často stěžují na dodavatele a naopak. Automobil je v každém případě velmi nebezpečný nástroj (zvláště v rukou některých řidičů...). Denní zpravodajství nás o tom stále přesvědčuje a vidí to každý z nás, kdo při svých každodenních cestách za prací používá osobní auto. To si uvědomují i výrobci automobilů, a tak nároky na dodavatele jsou velmi přísné. Přes některé problémy, které jsou ale spíše výjimečné, je kvalita a užitná hodnota vozů na stále stoupající křivce. Nárůst kvality a užitné hodnoty pro konečného spotřebitele byl za posledních 20 let enormní. Snižování rizik legislativní rámec Z pohledu uživatele vozidla přistoupila Evropská unie na řadu regulací, které snižují rizika jak pro samotného uživatele účastníka silničního provozu, tak i pro jeho okolí a životní prostředí. Základním předpisem pro regulaci automobilového průmyslu je Směrnice Evropského parlamentu a Rady č. 207/46/ES, kterou se stanoví rámec pro schvalování motorových vozidel a jejich přípojných vozidel, jakož i systémů, konstrukčních částí a samostatných technických celků určených pro tato vozidla (rámcová směrnice), ve znění pozdějších regulací. V českém právu byla zavedena zákonem č. 361/2000 Sb., o provozu na pozemních komunikacích (silniční zákon), zákonem č. 56/2001 Sb., o podmínkách provozu vozidel na pozemních komunikacích, a konečně zákonem č. 111/1994 Sb., o silniční dopravě, v platných zněních. Rizika obecné bezpečnosti byla v českém právu ošetřena zákonem č. 22/1997 Sb., o technických požadavcích na výrobky, jakožto základním (obecným) právním předpisem. K tomu přistupují zvláštní (speciální) právní předpisy, jako je např. nařízení vlády č. 18/2003 Sb., kterým se stanoví technické požadavky na výrobky z hlediska jejich elektromagnetické kompatibility (kategorie rizika), a dále pak předpisová základna ministerstva dopravy ČR, což jsou veškeré technické předpisy, a v případě provázání s nimi i veškeré technické normy při využití nevyvratitelné právní domněnky, které dopadají na automobily a jakékoli jejich části. Aby výrobky uváděné na trh nebo do oběhu byly z hlediska bezpečnosti a ochrany zdraví pro uživatele bezpečné, byl vydán zákon č. 102/2001 Sb., o obecné bezpečnosti výrobků, který v oblasti automobilového průmyslu byl rozpracován do zákona č. 56/2001 Sb., o podmínkách provozu vozidel na pozemních komunikacích. Do oblasti ošetřování rizik uživatelů automobilů je nutno uvést i oblast odpovědnosti za škodu způsobenou vadou vozidla podle zákona č. 59/1998 Sb., o odpovědnosti za škodu způsobenou vadou výrobku, který je v právním řádu ČR součástí ochrany spotřebitele. Zde platí ochrana bezpečnosti spotřebitele směrem ke zdraví a životu, ochrana jeho majetku (ne k podnikatelským účelům), neplatnost vyloučení nebo omezení odpovědnosti za výrobek předem smlouvou vůči uživateli a soukromoprávní charakter opatření. Výrobci automobilů na tyto právní regulace reagovali svými CSR (Customer Specific Requirements); např. skupina VW vydala ve svém Formel Q požadavek na jmenování zmocněnce pro bezpečnost výrobku (PSB = Produkt Sicherheits Beauftragter), který musí být uveden do databanky dodavatelů (LDB = LieferantenDatenBank) na portálu B2B koncernu VW, 15

16 Hlavní téma Management rizik a jasně definovala požadavek na proškolení všech pracovníků dodavatele. Základní metody pro analýzu a ošetřování rizik Tento rozsah právních úprav rizika uživatele a prostředí v automobilovém průmyslu vedl k vývoji a aplikaci řady metod pro analýzu a ošetřování rizik. Jde o jednoduché metody, jako např. Paretova analýza, histogram či Ishikawův diagram, ale i metody složitější, jako jsou např. FTA analýza, Metoda 5 krát Proč a další pro stanovení kořenové příčiny problému a následně stanovení efektivních opatření k vyloučení nebo omezení rizika opakovaného výskytu problému. Základní metodou analýzy rizik, v automobilovém průmyslu široce rozšířenou a výrobci automobilů požadovanou, je analýza možných způsobů a důsledků poruch (FMEA). FMEA je analytickou metodou zohlednění a řešení potenciálních problémů v průběhu vývoje produktu a procesu (APQP Advanced Product Quality Planning, moderní plánování kvality produktu). Základním cílem je podpora zlepšování procesu s důrazem na prevenci zajištění proti chybám. FMEA jako nástroj posuzování rizika se považuje za metodu pro identifikování závažnosti možných důsledků poruch a pro opatření ke snížení rizika. Požadavek na minimalizaci rizika přispívá ke zlepšování bezporuchovosti. Snížení pravděpodobnosti výskytu poruchy vede ke zvýšení bezporuchovosti produktu nebo procesu, v němž produkt vzniká. FMEA může být využívána i v nevýrobních oblastech, např. pro analyzování rizik v havarijních plánech. O metodě FMEA podrobněji Existují tři základní případy použití metody FMEA: Případ 1 (nové návrhy konstrukce dílu, nové technologie, nové procesy): předmětem FMEA je úplný návrh produktu, technologie, výrobního procesu. Případ 2 (modifikace stávajícího návrhu produktu nebo procesu): předmět FMEA je zaměřen na modifikaci návrhu produktu nebo procesu, na případné interakce v důsledku modifikace a na zkušenosti z fáze užití produktu. Případ 3 (použití stávajícího návrhu produktu/procesu v novém prostředí, na novém místě, pro novou aplikaci nebo charakter použití): předmět FMEA je zaměřen na dopad nového prostředí, místa, aplikace na stávající návrh produktu nebo procesu. Metoda FMEA podporuje neustálé zlepšování a je nedílnou součástí analýzy rizik. Vyžaduje aplikaci průřezového týmu; týmový přístup zajišťuje komplexní pohled na ošetřování potenciáních rizik a vede k robustní konstrukci a robustnímu výrobnímu procesu. Cíle analýzy pomocí metody FMEA: zvýšení bezpečnosti funkce a spolehlivosti produktu, snížení garančních nákladů a nákladů na kulance, zkrácení dob vývoje produktu a procesu, snížení poruch při náběhu sériové výroby, lepší dodržování termínů nových vývojových projektů, hospodárnější sériová výroba, lepší povýrobní služby, lepší interní komunikace. Systém konstrukční FMEA produktu uvažuje možné chyby funkce celého agregátu: Vady jednotlivých stavebních dílů agregátu (díl je uvažován jako součást systému; jako možné chyby jsou uvažovány výpadky dílu při jeho užití). Příčiny vzniku vady (nedostatečná údržba, opotřebený nástroj, konstrukční vada, znečištěná surovina, nevhodný postup, montážní vada, záměna materiálu atd.). Následky vady (jak se vada projeví zákazníkovi; ztížená montáž, ztráta funkce, špatný vzhled, ztížená oprava, přerušovaná funkce, znečištění, špatná obsluhovatelnost, vozidlo nepojízdné, zvýšená hlučnost atd.). Systém FMEA výrobního procesu uvažuje možné chyby procesu podle zúčastněných prvků systému 4 M (německy Mann, Maschine, Material, Mitwelt = člověk, zařízení, materiál, prostředí): Systémová struktura celkového procesu se analyzuje na jednotlivé procesy a podprocesy, kde pro každý podproces je analyzován každý prvek systému člověk zařízení materiál prostředí. Definice předmětu FMEA: FMEA systému je tvořena analýzou různých subsystémů. Záměrem je vyřešit všechna rozhraní a interakce mezi systémy, subsystémy, prostředím a zákazníkem a ošetřit všechna možná i potenciální rizika. FMEA konkrétního dílu je dílčím souborem FMEA subsystému: Pro každý subsystém je třeba identifikovat funkce, požadavky a specifikace týkající se definovaného předmětu. Identifikovat možné způsoby poruch/vad. Identifikovat možné důsledky. Identifikovat možné příčiny. Identifikovat nástroje řízení. Identifikovat a posoudit rizika z pohledu: závažnost posuzování úrovně dopadu poruchy na zákazníka; výskyt jak často se může porucha vyskytnout; detekce posuzování toho, jak dobře nástroje 16

17 Management rizik Hlavní téma řízení produktu nebo procesu zjistí příčinu poruchy nebo způsob poruchy. Doporučená opatření a výsledky. FMEA podporuje neustálé zlepšování a je nedílnou součástí analýzy rizik zásady: Týmový přístup pro FMEA návrhu produktu vstupy: Blokové schéma vztahů ( boundary diagramy ) vstupní informace. Úvahy o výrobě, montáži a provozní spolehlivosti. Funkční požadavky na návrh produktu zákazník. Další nástroje a zdroje informací pro návrh. Týmový přístup pro FMEA návrhu výrobního procesu vstupy: Vývojový diagram procesu od rámcového po podrobné. Další nástroje a zdroje informací [DFMEA (Design FMEA), výkresy a dokumentace projektu, matice vztahů (charakteristik), údaje o kvalitě a bezporuchovosti z minulosti, interní a externí neshody (známé způsoby poruch z minulosti)]. Definice zákazníka: Zákazník definovaný pro DFMEA návrhu není jen koncový uživatel, ale také technici/týmy odpovědní za návrh vozidla nebo sestav vyšší úrovně a/nebo technici odpovědní za výrobu/proces v činnostech jako výroba, montáž a servis. Vstupy pro vypracování konstrukční FMEA: požadavky zákazníka koncepce návrhu (schémata) zákonné požadavky a předpisy rozpisky materiálů QFD (quality function deployment) blokový diagram vztahů (boundary diagram) diagram parametrů (P) historie podobných produktů, zkoušky a testy. Shrnutí všech požadavků na návrh: Kdo je zákazník? Zákazníkem se při FMEA procesu obvykle míní konečný uživatel. Zákazníkem však také může být navazující nebo později následující operace výroby nebo montáže, servisní operace nebo operace nařízená správním předpisem. Kdy provádět procesní FMEA? Před etapou nebo v etapě posuzování proveditelnosti, před vybavením výroby nástroji, tak, aby byly brány v úvahu všechny výrobní operace počínaje komponentami (díly) a konče sestavami. Vstupy pro vypracování procesní FMEA: zákaznické požadavky DFMEA výkres a specifikace matice znaků specifické požadavky zákazníka (CSR) vývojový diagram procesu zákonné požadavky a předpisy QFD zkušenosti z předešlého vývoje podobného procesu. Obrázek Blokový diagram vztahů (boundary diagram) pro procesní FMEA. DFMEA, vývojový diagram procesu atd. PFMEA Plány kontrol a řízení 17

18 Hlavní téma Management rizik Hranice pro RPN (celkové rizikové číslo) Neexistuje žádná hranice pro snižování rizikového čísla RPN. To znamená, že neexistuje žádná hodnota, nad kterou zásadně musíme provést opatření, a neexistuje také žádná hodnota, pod kterou opatření neprovádíme. Je třeba, aby dodavatelé pochopili požadavky svých zákazníků na posuzování rizika a jeho ošetřování. Poznámka: Hodnocení 0 pro závažnost, výskyt a detekci odhalení není povoleno. Platí zásada zavedení opatření, které upřednostní prevenci ošetření rizika např. zavedení přípravku pro seřízení stroje. Opatření vztahující se na zvýšení detekce odhalení např. kontrola dílů každou hodinu. Poznámka: Jen revizí návrhu produktu můžeme snížit závažnost. Určit odpovědnosti a termíny za realizaci a přezkoumání. Po realizaci a přezkoumání opatření v praxi je potřeba aktualizovat FMEA (doplnit nová riziková čísla RPN a celkově vyhodnotit). Z každodenní praxe v dodavatelském řetězci automobilového průmyslu vyplývají poznatky výrobců automobilů pro následující časté chyby v provádění FMEA: ne všechny kroky procesu jsou zahrnuty ve FMEA; FMEA není aktualizována (např. reklamace je vstupem pro změnu); procesní FMEA je vypracovávána až po zahájení výrobního procesu; v procesní FMEA chybí uvedení zvláštních znaků; FMEA se nekoncentruje na předcházení chybám Poka Yoke (preferovat snižování výskytu chyb oproti jejich detekci); ve FMEA nejsou zahrnuty specifické požadavky zákazníka; PFMEA nebere v úvahu vstupy z DFMEA; FMEA není prováděna týmově nebo je tým nesprávně složen; ve FMEA chybí výsledky opatření nebo jsou uvedeny před realizací opatření; FMEA není v souladu s vývojovým diagramem procesu (chybí provázanost) ; FMEA nemá identifikaci nebo chybí některé údaje v záhlaví (datum revize) ; nedostatek času pro řádné vypracování FMEA; vzájemná záměna vady, důsledku a příčiny; pro hodnocení závažnosti jednoho problému se nezapočítal ten nejhorší důsledek, ale byl započítán méně závažný. Závěr: Řízení rizik v automobilovém průmyslu má svá pravidla, zákonitosti a metody, které se snaží důkladně preventivně ošetřit všechna reálná i potenciální rizika pro uživatele automobilu. Znalost těchto metod a nástrojů je předpokladem k zabránění negativnímu projevu těchto rizik. Platí zde bez výjimky zásada přednosti prevence vady před její detekcí. Literatura: Analýza možných způsobů a důsledků poruch (FMEA). 4. vydání. ČSJ, Praha ISBN Nevědělová R. Obecná bezpečnost výrobku a odpovědnost za výrobek. Podklady ke kurzu. ČSJ, Praha Autor: Ing. Jan Hnátek je mj. hodnotitelem EEA (EFQM Model 2010) a registrovaným auditorem procesů VDA QMC v automobilovém průmyslu. Byl předsedou ČSJ ( ), v současnosti je místopředsedou ČSJ pro zahraniční vztahy. Kontakt: hnatek@csq.cz 18

19 Management rizik Hlavní téma 19

20 Hlavní téma Management rizik Analýza rizik v systému řízení bezpečnosti informací Daniel Kardoš, QMS 96, s. r. o., Záhornice Účelem analýzy rizik v systému řízení bezpečnosti informací je identifikace rizik určení toho, co by se mohlo stát, kdyby došlo k úplnému nebo částečnému narušení některé z bezpečnostních vlastností informačních aktiv. V rodině norem řady ISO 27000, jejichž obsahem je jednoduchý systém řízení bezpečnosti informací, najdeme analýzu rizik nejpodrobněji popsanou v normě ČSN ISO/IEC 27005:2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací. Úvod Vztahy v systému ochrany informací mezi aktivy, jejich hodnotou, jejich zranitelnostmi, hrozbami využívajícími zranitelnosti k odcizení nebo poškození aktiv, mírou rizika, požadavky na ochranu a ochrannými opatřeními vyjadřuje obrázek. Proces analýzy rizik v systému ochrany informací se skládá z procesu identifikace rizik a procesu odhadu rizik. Identifikace rizik se skládá z: 1. identifikace informačních aktiv a aktiv, pomocí kterých jsou informace shromažďované, zpracovávané, ukládané (archivované) a zpřístupňované, 2. identifikace hrozeb, které mohou působit na aktiva, 3. identifikace dříve zavedených a dříve plánovaných ochranných opatření, 4. identifikace zranitelností aktiv, 5. identifikace následků (scénářů naplnění hrozeb). Odhad rizik je druhou části analýzy rizik, která se skládá z: 1. výběru metody odhadu rizik, 2. hodnocení následků, 3. určení pravděpodobnosti incidentu, 4. odhadu úrovně rizik. Identifikace rizik Krok 1: identifikace aktiv Vstupem pro identifikaci aktiv je předtím stanovený rozsah, tj. hranice hodnocení rizik. Pod rozsahem chápeme stanovení místa působení organizace, stanovení dotčených procesů organizace (hlavní, podpůrné, vedlejší), stanovení dotčené organizační struktury (celá organizace nebo její část). Při vyloučení části organizační struktury nebo činnosti organizace je potřeba určit důvody vyloučení. Pod aktivem chápeme cokoli, co má pro organizaci hodnotu a co tedy vyžaduje ochranu. Každému aktivu nebo skupině aktiv by měla být přiřazena hodnota vyjadřující důležitost aktiva. U každého aktiva by měl být identifikován vlastník aktiva k zajištění záruky a odpovědnosti za aktivum. Vlastník aktiva k němu možná nemá vlastnická práva, ale má přiměřenou odpovědnost za jeho pořízení, vývoj, údržbu, používání a bezpečnost. Výstupem identifikace aktiv je seznam aktiv, u nichž je třeba zajistit řízení rizik, a seznam procesů a činností organizace, jež se vztahují k aktivům, a jejich důležitost. Krok 2: identifikace hrozeb Vstupem identifikace hrozeb jsou informace o hrozbách získané z přezkoumání incidentů, od vlastníků aktiv, uživatelů a z jiných zdrojů, včetně vnějších informací o možných nových hrozbách a o tom, co je způsobuje. Hrozba má potenciál poškodit aktiva, jako Obrázek Využívají HROZBY ZRANITELNOSTI Vztahy v systému ochrany informací. Chrání před OCHRANNÁ OPATŘENÍ Zvyšují Zvyšují Jsou vystavena Snižují RIZIKA AKTIVA Splňují Indikují Zvyšují Mají POŽADAVKY NA OCHRANU HODNOTY (v závislosti na možné dopady podnikání) 20

21 Management rizik Hlavní téma jsou informace, procesy a systémy, tedy poškodit samotnou organizaci. Hrozby mohou být přírodního nebo lidského původu a mohou být náhodné nebo úmyslné. Je potřeba identifikovat zdroje jak náhodných, tak úmyslných hrozeb. Hrozba může vyvstat zevnitř i zvenčí organizace. Výstupem identifikace hrozeb je seznam hrozeb s identifikací typu a zdroje hrozby. Krok 3: identifikace stávajících bezpečnostních opatření Vstupem procesu je dokumentace popisující stávající opatření, případně opatření již plánovaná, ale dosud nezavedená. Dalším vstupem mohou být existující plány zvládaní rizik. Pokud stávající opatření neplní svou očekávanou funkci, může to způsobit zranitelnost. Informace o účinnosti existujících opatření mohou poskytnout také zprávy z přezkoumávání vedením organizace a zprávy z auditu. Výstupem identifikace stávajících bezpečnostních opatření je seznam existujících a plánovaných, ale doposud nezavedených opatření, popis stavu jejich zavedení a účinnosti. Krok 4: identifikace zranitelností aktiv Vstupem procesu je seznam známých hrozeb, seznam aktiv a seznam existujících opatření. Zranitelnosti mohou být zneužity hrozbami, a může tak být způsobena škoda organizaci prostřednictvím informačních aktiv. Výstupem procesu je seznam zranitelností ve vztahu k aktivům, hrozbám a stávajícím opatřením. Druhým výstupem může být seznam identifikovaných zranitelností aktiv, ke kterým se nevztahují žádné identifikované hrozby. Tento výstup je nutné podrobit zvlášť pečlivému přezkoumání. Krok 5: identifikace následků Vstupem procesu je seznam aktiv, seznam procesů a seznam hrozeb a zranitelností vztahujících se k aktivům a jejich důležitosti. Účelem procesu je identifikovat následky, jakékoli škody nebo negativní dopady na organizaci, které mohou být způsobené ztrátou důvěrnosti, integrity, dostupnosti nebo dalších bezpečnostních vlastností informačních aktiv, nebo aktiv, pomocí kterých jsou informace shromažďované, zpracovávané, archivované a zpřístupňované, tj. mohou být způsobené naplněním scénáře incidentu. Pod scénářem incidentu chápeme popis události, kdy hrozba zneužívá některou zranitelnost nebo soubor zranitelností části aktiva, jednoho aktiva nebo skupiny aktiv a tím může způsobit škodu nebo může mít jakýkoli negativní dopad na organizaci. Výstupem procesu je seznam scénářů incidentů s jejich následky vztahujícími se k aktivům a s nimi souvisejícím procesům. Odhad rizik 1. Výběr metody odhadu rizik Analýzu rizik lze provádět v různých stupních podrobnosti v závislosti na kritičnosti (důležitosti) aktiv v rozsahu známé zranitelnosti a známých hrozeb vyplývajících z incidentů zaznamenaných v organizaci v minulosti. Metoda odhadu může být kvalitativní nebo kvantitativní nebo kombinace obou v závislosti na okolnostech. V praxi se často používá nejprve kvalitativní odhad k získání obecné indikace úrovně rizika a k odhalení větších rizik. Kvalitativní odhad: k popisu velikosti potenciálních následků (například nízkých, středních či vysokých) a pravděpodobnosti, že se tyto následky vyskytnou, používá škálu kvalifikačních atributů. Výhodou kvalitativního hodnocení je, že je všichni příslušní pracovníci mohou snadno pochopit, naproti tomu jeho nevýhodou je závislost na subjektivním výběru škály. Tyto škály lze upravit nebo přizpůsobit tak, aby odpovídaly okolnostem, a pro různá rizika lze použít různé popisy. Kvantitativní odhad: používá stupnici s číselnými hodnotami, a to jak pro následky, tak pro pravděpodobnost, a využívá přitom data z různých zdrojů. Kvantitativní hodnocení v mnoha případech používá historická data incidentů a má výhodu v tom, že může mít přímou souvislost s cíli bezpečnosti informací a zájmy organizace. Nevýhodou je nedostatek takových dat u nových rizik nebo slabých míst, která nebyla identifikována nebo byla identifikována, ale neexistuje historický záznam (zkušenost, znalost) z takového incidentu, a tyto hrozby a zranitelnosti jsou prakticky neidentifikovatelné nebo podceňované. Příkladem z nedávné minulosti je japonská Fukušima. Obě metody můžeme kombinovat; u jednotlivých rizik nebo skupin rizik stanovíme podmínky, kdy a jak budou metody použité. Výstupem procesu je stanovená metoda odhadu rizik. 2. Hodnocení následků Vstupem procesu je seznam identifikovaných scénářů incidentů, včetně identifikace hrozeb, zranitelností, ovlivněných aktiv, dopadů na aktiva a procesy. Účelem procesu je stanovení možných negativních dopadů na organizaci, které mohou být způsobeny informačně bezpečnostním incidentem. Pod informačně bezpečnostním incidentem chápeme částečné nebo úplné narušení bezpečnostních vlastností informačních aktiv, jako je důvěrnost, integrita, dostupnost a další. Hodnotu dopadu na organizaci lze vyjádřit kvalitativně nebo kvantitativně. Hodnota aktiv se nejčastěji stanovuje jako hodnota potřebná k zajištění náhrady poškozeného aktiva náklady na obnovení (je-li to vůbec možné) nebo, pokud samotná hodnota aktiva je zanedbatelně nízká, hodnotou způsobené obchodní ztráty. Následky lze vyjádřit na základě 21

22 Hlavní téma Management rizik peněžních, technických nebo personálních kritérií dopadu nebo jiných kritérií vhodných pro organizaci. Výstupem procesu je seznam hodnot (velikosti) dopadů způsobených naplněním scénářů incidentů. 3. Určení pravděpodobnosti výskytu incidentu Vstupem procesu je seznam identifikovaných scénářů incidentů, včetně identifikovaných hrozeb, ovlivněných aktiv, využitých zranitelností a dopadů na aktiva a procesy organizace, seznam všech existujících a plánovaných opatření, jejich účinnost a aktuální stav. Účelem procesu je určení pravděpodobnosti výskytu (naplnění) scénářů incidentů. Po identifikaci scénářů incidentů je nutné za použití technik kvalitativního nebo kvantitativního hodnocení určit pravděpodobnost naplnění každého scénáře včetně předpokládaného negativního dopadu. Přitom je nutné zohlednit, jak často se tyto hrozby mohou vyskytovat. V závislosti na potřebné přesnosti lze aktiva spojovat do skupin nebo můžeme naopak aktiva rozdělit na jejich prvky a přiřadit scénáře k daným prvkům. Podle geografické dislokace se může charakter hrozeb pro stejný typ aktiv měnit nebo se může lišit účinnost existujících opatření. Výstupem procesu je stanovení předpokládané pravděpodobnosti výskytu (naplnění) scénářů incidentů. 4. Odhad úrovně rizik Vstupem procesu je seznam scénářů incidentů s jejich následky, jež se vztahují k aktivům a procesům týkajícím se činností organizace, a pravděpodobnost naplnění scénářů. Účelem procesu je odhadnout úroveň rizika, to jest přiřadit hodnoty k pravděpodobnosti a následkům rizika. Tyto hodnoty mohou být kvalitativní nebo kvantitativní. Odhad rizik je postaven na rozsahu následku a pravděpodobnosti jeho výskytu. Je možné zohlednit v odhadu rizika také zájmy zainteresovaných stran, případně jiné vstupy. Výstupem procesu je seznam rizik s přiřazenými úrovněmi hodnot. Závěr Jak je z výše uvedeného zřejmé, systém řízení ochrany informací se skládá ze souborů procesů, které jsou jednoduše a srozumitelně popsané. Mají popsané vstupy, účel procesu a výstupy. Rodina norem řady nabízí jednoduchou, snadno implementovatelnou metodickou podporu řízení ochrany informací zejména malým a středním firmám. Autor: Ing. Daniel Kardoš, Ph.D., pracuje jako poradce a školitel systému řízení bezpečnosti informací. Osm let působil jako pedagog na PEF ČZU v Praze (řízení ITC). Je externím posuzovatelem ČIA pro oblast ISMS. Kontakt: dkardos@seznam.cz 22

23 Management rizik Hlavní téma Environmentální aspekty cesta k účinnosti EMS Zdeněk Veverka, auditor EMS, Praha Každý subjekt, který se rozhodne využít ČSN EN ISO 14001:2005 ke zdokonalení svého systému řízení organizace, se setká s pojmem environmentální aspekt. Pokud něco v rámci auditů systému environmentálního managementu vyvolá diskusi mezi auditory a zástupci auditované organizace, jsou to zpravidla názory na identifikaci a popis environmentálních aspektů. Důvodem výměny názorů je normou velmi volně stanovená definice tohoto pojmu. Systém environmentálního managementu (EMS) zavedený a udržovaný v souladu s požadavky normy ČSN EN ISO 14001:2005 Systémy environmentálního managementu požadavky s návodem na použití (dále jen norma ) patří pravděpodobně mezi nejrozšířenější systémy managementu (řízení) zaváděné podle mezinárodních norem. Jedním ze základních požadavků, z nichž se odvíjí účinnost EMS, je vhodné naplnění požadavku normy uvedeného v čl Environmentální aspekty [Organizace musí vytvořit, zavést a udržovat postup(-y), odst. a) k identifikaci environmentálních aspektů svých činností, výrobků a služeb, odst. b) k určení těch aspektů, které mají nebo mohou mít významný(-é) dopad(-y) na životní prostředí (tj. významných environmentálních aspektů). Organizace musí tyto informace dokumentovat a průběžně je aktualizovat. Organizace musí zajistit, aby významné environmentální aspekty byly vzaty v úvahu při vytváření, zavádění a udržování jejího systému environmentálního managementu.]. Při všech činnostech vycházejících z předpisů (v daném případě z normy) je potřebné chápat obsah konkrétního ustanovení, zejména takového, které ukládá organizaci povinnosti ( organizace musí ). Jen v případě úplného pochopení pojmu lze stanovenou povinnost naplnit. Z uvedeného důvodu je potřebné si význam a obsah slovního spojení environmentální aspekt přiblížit. Co je environmentální aspekt Slovo aspekt (z lat. aspectus, vzhled, pohled, náhled, hledisko, pojetí, zorný úhel v podstatě shodně význam slova uvádějí všechny nejběžnější relevantní slovníky i další zdroje) může znamenat (znamená) hledisko, stanovisko, úhel pohledu (zorný úhel, zřetel) na nějakou skutečnost. [Bývá užíváno i ve smyslu charakteristiky polohy nějakého nebeského tělesa vůči Slunci (astronomie, astrologie) nebo v rámci popisu kategorie slovesa vyjadřující časovost slovesného děje (slovesný vid dokonavost či nedokonavost slovesa) a také při popisu vzhledu přírody v ročních obdobích (např. zimní aspekt, jarní aspekt).] V poslední době je možné se s tímto pojmem setkávat zejména při výkladu liturgických, filozofických a odborných textů nebo při výkladu dějů či pojmů, jejichž konkrétní popis by byl obsáhlý nebo i nemožný viz např. slovní spojení: ekonomické aspekty života; politické aspekty globalizace; veškeré její aspekty umělecké, technické, komerční; spirituální aspekty; aspekty právní normy; měřitelné aspekty lidského chování; psychologicko-teologické aspekty; nevědomé aspekty; aspekty vztahu mezi mužem a ženou; negativní aspekty života společnosti; technologické aspekty; meditační aspekty; aspekty zadání. Z uvedeného vyplývá, že slovo aspekt je užíváno při snaze popsat vše, co se vztahuje k předmětu zájmu, přičemž konkretizace a bližší výklad obsahu pojmu jsou ponechány na čtenáři či posluchači. Přídavné jméno environmentální je v poslední době velmi frekventovaným slovem. Stále častěji je dvojslovný výraz životní prostředí nahrazován v českém jazyce slovem environment. České sousloví životní prostředí mj. může vyvolávat otázku, k jakému organismu se pojem vztahuje. Logicky by bylo pravděpodobně vhodnější používat v obdobném smyslu pouze pojem prostředí nebo pojem okolní prostředí. Ve světových jazycích není přídavné jméno životní ve vztahu k prostředí v nejširším pojetí užíváno. Pro okolní prostředí existuje obvykle zvláštní specifický výraz (např. anglicky environment, německy die Umwelt, francouzsky l'environnement, rusky okružajuščaja sreda). Někdy je pojem environmentální nahrazován pojmem ekologický. Je dobré si připomenout, že pojmy environmentální a ekologický nejsou významově shodné. Ekologie je název vědní disciplíny zabývající se vztahy mezi organismy a jejich prostředím okolním prostředím environmentem. Pro potřeby systémové normy je environmentem prostředí, ve kterém organizace provozuje svou činnost a zahrnující ovzduší, vodu, půdu, přírodní zdroje, rostliny a živočichy, lidi a jejich vzájemné vztahy. Tzn., že environment zahrnuje v tomto případě i vzájemné vztahy složek životního prostředí, čímž se významově přibližuje k pojmu ekologie. Výše citovaná systémová norma definuje environmentální aspekt jako prvek činnosti, výrobků nebo služeb organizace, který může ovlivňovat životní prostředí. Environmentální aspekt je tedy aktivita, výrobek nebo služba, u níž (nějž) je možné vysledovat projev ovlivňující jednu nebo několik složek prostředí. Definice obsahuje ještě pojem prvek činnosti. Slovo prvek vyjadřuje zpravidla něco, z čehož je vytvářen (vytvořen) celek (např.: chemický prvek základ pro tvorbu sloučenin, stavební prvek věc užívaná 23

24 Hlavní téma Management rizik k vytvoření stavby, hláska prvek, z něhož je tvořeno slovo, slovo prvek použitý k vytvoření věty). Je zřejmé, že norma vyžaduje hledání a identifikaci takových částí většího celku (činnosti organizace), které jsou prameny vlivu organizace na její okolí složky životního prostředí a vztahy mezi nimi, respektive ovlivňující vztahy organizace k jejímu okolí. Při snaze o porozumění definici popisující pojem environmentální aspekt je nutné se, mimo již komentovaný obsah pojmu, zaměřit na sousloví prvek činnosti nebo výrobku nebo služeb organizace. Pravděpodobně by ve vztahu k obsahu jednotlivých uvedených pojmů činnost, výrobek, služba stačilo uvést v definici pouze pojmy prvek činnosti nebo výrobku (služba je jednou z činností organizace) nebo pro výrobky a služby organizace zavést pojem produkt (prvek činnosti nebo produktu organizace). Povinnost určit a plánovat operace a činnosti související s určenými environmentálními aspekty Významnou povinností vyplývající z textu normy (čl Řízení provozu) a mající vztah k environmentálním aspektům organizace je, že organizace musí určit a plánovat ty operace a činnosti, které souvisejí s určenými environmentálními aspekty. Způsob řízení provozu je v systémové normě stanoven ve třech variantách: a) vytvořením, zavedením a udržováním dokumentovaného(-ných) postupu(-ů) pro jejich řízení, b) ustanovením provozních kritérií v postupech dle bodu a), c) vytvořením, zavedením a udržováním postupů pro identifikované významné environmentální aspekty zboží a služeb (pozn.: produktů). Uvedené požadavky na řízení operací a činností, jejichž prvky mohou být environmentálními aspekty, má organizace zpravidla dokumentovány v podobě návodů a další průvodní dokumentace k nakupovaným produktům (strojům, nástrojům, nářadí, chemickým látkám a přípravkům, surovinám apod.), potřebným pro její činnost, a nebo má stanovené vlastní výrobní i jiné postupy dokumentovány a řízeny s použitím technologických postupů, provozních řádů, pracovních a technologických návodek a pokynů, pracovních postupů, manuálů apod. Uvedené dokumenty užívá organizace zpravidla i v případě, že nemá v úmyslu zavést EMS. Protože při identifikaci environmentálních aspektů musí být zohledněny běžné provozní podmínky (viz výše uvedené dokumenty), ale i provozní podmínky abnormální a předvídatelné situace havarijního ohrožení, je nutné do skupiny dokumentů, v nichž mohou být popsány (stanoveny) prvky činností považovaných za environmentální aspekty, zařadit i havarijní plány. Havarijní plány bývají zpracovány zpravidla na základě požadavků zákonných předpisů (zákon o vodách, zákon o ochraně ovzduší, zákon o požární ochraně apod.). Všechny uvedené dokumenty je možné považovat za databázi prvků činností, mezi nimiž je při zavádění EMS nutné hledat ty, které jsou prameny ovlivňování životního prostředí (okolí organizace). Postup k vymezení environmentálních aspektů a jejich dokumentování V rámci normy není k vymezení environmentálních aspektů (dále jen EA ) předepisován (stanoven) žádný postup. Ve smyslu pojmu aspekt je možné usoudit, že výběr dotčených prvků činností a produktů je ponechán na pohledu (zorném úhlu) organizace, která se rozhodla EMS zavést a udržovat. Z uvedeného vyplývá, že stanovení a určení, co je a co není EA, záleží na úhlu pohledu organizace. Velmi významnou povinností, stanovenou systémovou normou a mající přímý dopad na EA organizace, je, že organizace musí stanovit postup k určení uplatnitelnosti právních předpisů na své EA. Plnění této povinnosti musí organizace přezkoumávat hodnotit (viz čl. normy č Hodnocení souladu). Z uvedeného vyplývá, že organizace musí nejen podřídit své prvky činností a své produkty svému pohledu na ně a identifikovat mezi nimi prameny vlivu na životní prostředí, ale zejména je musí podřídit požadavkům právních předpisů, které se na ně vztahují. Je nutné zdůraznit, že norma nestanovuje okruh dotčených právních předpisů z pohledu chráněného zájmu. Z tohoto vyplývá, že se nemůže jednat jen o předpisy, jejichž chráněným zájmem je životní prostředí. Jak již bylo uvedeno, je možné (respektive vhodné) dokumenty pro řízení provozu organizace a havarijních situací, které je možné při činnostech organizace předpokládat a jejichž účastníkem může organizace být, chápat jako dokumentovanou databází prvků činností, produktů a současně i řídících prvků, které organizace používá. Aby organizace naplnila požadavky systémové normy, musí vytvořit, zavést a udržovat postup(-y) k identifikaci environmentálních aspektů (pramenů vlivu na životní prostředí), které jsou zpravidla součástí činností (jsou prvky činností) popsaných v provozních a havarijních dokumentech organizace. S využitím tohoto postupu je poměrně snadno naplněn i další požadavek systémové normy, kterým je dokumentování EA. Takto přistupovat k identifikaci EA je možné, protože systémová norma nestanovuje pro dokumentování EA žádné formální ani věcné požadavky. Protože obsah provozních a havarijních předpisů musí být proškolován, ať již jako povinnost stanovená zákony nebo jako nutnost pro chod organizace, je při popsaném postupu identifikace EA z velké části naplněn i další požadavek systémové normy uvedený v čl (Odborná způsobilost a povědomí). 24

25 Management rizik Hlavní téma Způsob definování tzv. EA v normě vylučuje možnost hodnotit organizací identifikované a vymezené prameny vlivu (EA) na prostředí a vztahy v něm jako správné nebo nesprávné. Je však možné, v návaznosti na zpravidla v příslušných zákonech a jejich prováděcích předpisech stanovené metody a postupy sledování znečišťování jednotlivých složek životního prostředí, vyhodnotit dopady EA na složky životního prostředí. Dopady EA na vztahy mezi jednotlivými složkami prostředí je nutné vyhodnotit na základě jiných postupů a metod. Hodnocení EA S využitím těchto metod a postupů a případně i zvláštních postupů, které si organizace v souladu s požadavky systémové normy může (musí) stanovit, jsou EA hodnoceny podle významnosti pro organizaci. Dopady EA na životní prostředí, ať již příznivé, nebo nepříznivé, jsou systémovou normou definovány jako environmentální dopady. Vztah mezi environmentálními aspekty a environmentálními dopady je vztahem příčiny a následku. Hodnocení environmentálních dopadů na příznivé a nepříznivé je možné na základě požadavků právních předpisů, které zpravidla vše, co ohrožuje jimi chráněný zájem, považují za nepříznivé, a pohledu organizace na její vztahy k okolí. Vzhledem k požadavku normy je nutné zařadit mezi EA všechny prameny vlivu na životní prostředí, u nichž je to vyžadováno právními předpisy (zdroje znečišťování ovzduší, místa vzniku odpadu, zdroje odpadních vod, zdroje hluku, zdroje záření atd.). V tomto směru je možné u organizace hodnotit správně či nesprávně identifikované EA. Tyto EA jsou zpravidla definovány v dotčených zákonech. Rozsah činnosti, respektive to, co je považováno za její prvek, který není definován v příslušných zákonech a je identifikovaný jako EA, je plně v kompetenci organizace. Systémová norma v tomto smyslu poskytuje na rozdíl od právních předpisů organizaci volnost při vymezení rozsahu činnosti, kterou je schopna řídit nebo ovlivňovat. Závažná chyba: záměna dopadů a aspektů Za nepochopení problematiky plánování EMS je nutné považovat zejména záměnu dopadů EA za vlastní EA. Dopady EA na životní prostředí je obvykle nutné kvantifikovat metodami a postupy stanovenými v právních předpisech. Zpravidla jde o míru ovlivňování (znečišťování) jednotlivých složek životního prostředí (např. množství a kvalitu vypouštěné odpadní vody, množství a kvalitu vypouštěných emisí do ovzduší, emitovaný hluk, vibrace, záření) nebo míru spotřeby obnovitelných nebo neobnovitelných zdrojů a míru jejich využívání. Tyto jevy ovlivňující stav dotčené složky životního prostředí jsou vždy dopadem EA na životní prostředí. Identifikace EA je identifikací pramene (zdroje) těchto jevů. Jeho vymezení musí být stanoveno tak, aby bylo možné EA řídit ve smyslu závazku ke zlepšování a prevenci znečištění. Neustálé zlepšování a prevence Informace o EA slouží organizaci k naplňování závazku k neustálému zlepšování a prevenci znečištění. Tento závazek, který na sebe každá organizace dobrovolně přijala při rozhodnutí o zavedení EMS, je dalším požadavkem, který musí být zohledněn při identifikaci EA. Naplňování tohoto závazku je důkazem o účinnosti zavedeného EMS. Zda organizace identifikovala EA v souladu s požadavky systémové normy a stejně tak i stanovila jejich významnost, je možné zjistit pouze na základě dokumentování plnění závazku k neustálému zlepšování a prevenci znečištění. Plnění tohoto závazku je důkazem účinnosti a výkonnosti EMS. Plnění závazku je v rámci požadavků systémové normy dokumentováno zlepšením celkového environmentálního profilu organizace. Pokud organizace identifikovala a vyhodnotila své EA formálně (nevhodně pro své činnosti) a není schopna provádět v souladu s postupy plánování svého EMS opatření, jejichž výsledkem je plnění závazku k neustálému zlepšování a prevenci znečištění, je možné, respektive nutné, její EMS hodnotit jako nefunkční a nenaplňující požadavky systémové normy. Závěr Všichni, kteří využívají systémovou normu, si musí být vědomi skutečnosti, že systémová norma v rámci svých obecných formulací poskytuje volnost při naplňování jednotlivých svých článků. Jako povinnost stanovuje systémová norma zpravidla pouze stanovení postupů cesty; volba cesty je plně v kompetenci organizace. Norma umožňuje organizaci na základě zvolené cesty najít a získat informace o významných pramenech vlivu organizace na životní prostředí, o pro ni významných EA. Zda se s využitím těchto informací podaří organizaci naplňovat obsah základních požadavků environmentální politiky, nebo zda je nutné stanovené postupy změnit si musí organizace vyhodnotit sama. EA podřízené právním předpisům musí organizace řídit tak, aby přinejmenším naplňovala požadavky, jež jsou stanovené zákony. Organizace může řídit i další EA, které identifikovala, pokud na ně může mít vliv a pokud vyhodnotí, že jejich řízením se jí podaří naplňovat požadavky své environmentální politiky. EMS je dynamický proces, který má organizaci mimo shody s požadavky právních a ostatních předpisů přinášet přidanou hodnotu v podobě plnění závazku trvalého zlepšování. EA jsou 25

26 Hlavní téma Management rizik v tomto směru nezastupitelným nástrojem. Pokud organizací zvolená kritéria a postupy identifikace a hodnocení významnosti EA, uplatňované v rámci plánování EMS v souladu s požadavky normy, nepovedou k trvalému zlepšování, je nutné hledat jiná kritéria a jiné postupy. Autor: Ing. Zdeněk Veverka je jednatelem Univerza-SoP, s. r. o. Je členem odborné sekce Rady kvality ČR Kvalita v životním prostředí, členem Programové komise CSQ-CERT a externím auditorem certifikačních orgánů CSQ-CERT při ČSJ, CQS a TZÚS, s. p., pro systémy řízení. Kontakt: zdenek.veverka@univerza.cz 26

27 Nástroje pro efektivnířízení Kurzy, Š kolení, Certifikace osob, Projekty a konference ČESKÁ SPOLEČNOST PRO JAKOST Model excelence EFQM Model CAF CSR Společenská odpovědnost organizací Programy Národních cen ČR PØ EDPOKLADY VÝSLEDKY Pracovníci Pracovníci výsledky Vedení Strategie Procesy, produkty a služby Zákazníci výsledky Klíèové výsledky Partnerství a zdroje Spoleènost výsledky UÈ ENÍSE, KREATIVITA A INOVACE

28 Hlavní téma Management rizik Hodnocení environmentálních aspektů v praxi Jan Rutrle, EKOBEST, s. r. o., Dvůr Králové n. L. Velká část významných společností v ČR má v současné době implementován systém environmentálního řízení. Žhavým tématem při jeho auditech jsou nejčastěji environmentální aspekty, jejich identifikace a hodnocení. Ze své vlastní zkušenosti mohu říci, že naprostá většina zpracovaných registrů aspektů je zcela formální a řada autorů těchto registrů ani nemá ponětí, co vlastně hodnotí. Velká část významných společností v ČR má v současné době implementován systém EMS, resp. EMAS (systémy environmentálního managementu). Nezbytnou součástí zavedení a úspěšné obhajoby systému jsou i dozorové audity, prováděné více či méně nezávislými auditory. Při těchto auditech dochází i na vzájemnou diskusi na téma environmentální aspekty, jejich identifikace a hodnocení. Ze své vlastní zkušenosti mohu říci, že naprostá většina zpracovaných registrů aspektů je zcela formální a řada autorů těchto registrů ani nemá ponětí, co vlastně hodnotí. Praxe je taková, že tento prvek normy ISO je formálně splněn jistou formou hodnocení. Jistě, auditoři to při každém auditu vyžadují, firma to má popsáno někde v příručce nebo směrnici. Tedy, vezme se loňské hodnocení, aktualizujeme datum a je hotovo. Najdou se výjimky, které potvrzují toto pravidlo a nad skutečným hodnocením environmentálních aspektů se zamýšlejí, případně i diskutují s auditory. Podle definice [ČSN EN ISO 14001:2005, 3.6] je environmentální aspekt prvek činností nebo výrobků nebo služeb organizace, který může ovlivňovat životní prostředí (viz též příspěvek Z. Veverky v tomto čísle PK na str. 31). Hodnocení aspektů jako základ EMS Hodnocení aspektů je základem celého systému EMS. Jakmile neznám aspekty svých činností, respektive jejich význam, velmi těžko budu nastavovat další parametry systému cíle, odpovídající popis v dokumentaci, odpovědnosti a pravomoci, havarijní plánování atd. Při vlastním hodnocení dochází velmi často k záměně za hodnocení environmentálních dopadů, což je [ČSN EN ISO 14001:2005, 3.7] jakákoli změna v životním prostředí, ať nepříznivá, či příznivá, která zcela nebo částečně vyplývá z environmentálních aspektů organizace. Pokládám za správné, že dle normy se hodnotí aspekty, a ne dopady. Již samo hodnocení aspektů je pro řadu hodnotitelů problematické, má-li být provedeno odpovědně; hodnocení dopadů by bylo ještě náročnější a v řadě případů by ani nemělo řešení. Jak by se hodnotitel vypořádal s aspektem např. emise těkavých látek z lakovny? Ano, měl by znát jejich množství a kvalitu (autorizované měření emisí, bilance apod.) ale hodnotit jejich dopady na okolí, to už je úkol, který jde mimo rámec normy a možnosti běžného hodnotitele. To samé lze říci o produkci odpadů. Jistě by to měl být významný aspekt pro řadu výrobních podniků a management firmy by se měl tímto aspektem zabývat. V řadě případů se podnik tímto aspektem (produkce odpadů) zabývá, minimálně z finančního pohledu. Ale jak hodnotit v rámci zavedeného systému EMS dopady na životní prostředí z produkce vlastních odpadů? Často ani nevíme, jak s našimi odpady naloží oprávněná osoba, která je převzala. Kde skončily jsou uloženy na skládce, nebo spáleny ve spalovně? Jaký je jejich dopad na životní prostředí? Je zřejmé, že hodnocení dopadů by mohlo vést až k absurdním výsledkům. Proto zůstáváme jen u hodnocení aspektů a více méně subjektivně hodnotíme jejich význam v rámci dané firmy (organizace), resp. činnosti. Je zřejmé, že hodnotitelé a i auditoři musí hned v úvodu vyřešit problém, co hodnotím environmentální aspekt, nebo dopad tohoto aspektu na životní prostředí? Zjistit, kde končí aspekt a začíná již dopad tohoto aspektu, je často velmi složité a vede to často k nepřehledné diskusi. Ovšem v rámci zavedeného systému EMS není třeba takto důkladně postupovat. Je třeba se věnovat tomu, co může daná firma udělat nad rámec legislativních opatření pro to, aby zmírnila význam svých aspektů a chcete-li, nesystémově zmírnila své dopady na životní prostředí, byť o těchto dopadech nemáme ucelené informace a neznáme ani příspěvek našich aspektů k těmto dopadům. Jak hodnotit: jednoduše, reálně, objektivně v souladu se zdravým rozumem Při zavádění systému v dané společnosti je nastavena jistá forma hodnocení, která stanovila výběr aspektů, formu hodnocení a z ní plynoucí míru významnosti hodnoceného aspektu. V úvodu hodnocení je zásadní rozklíčování jednotlivých činností ve společnosti a k nim přiřazení environmentálních aspektů (EA). Následuje vlastní hodnocení aspektů. Někteří si hodnocení při zavádění systému zkomplikovali tak, že se už v druhém, následném hodnocení nevyznají. Jde zejména o to zvážit množství kritérií jednotlivých aspektů, které se hodnotí. Často je zaveden velmi komplikovaný matematický výpočet významnosti aspektu. Řada hodnotitelů záhy zjistí, že čím větší významnost aspektu, tím větší problém s následným papírováním, a hodnocení se tedy ubírá směrem k co nejnižší významnosti daného aspektu, bez ohledu na to, co právě hodnotím. Tento postup pak popírá vlastní 28

29 Management rizik Hlavní téma filozofii normy. Hodnocení se stává formálním a nevede k zamyšlení nad tím, co je v daném případě skutečně významné, co by mělo stát za další námět ke zlepšení, a co významné není. Výsledkem hodnocení by měl být jasný přehled o tom, při jaké činnosti vzniká významný EA, a to, zda jsem schopen dostupnými prostředky jeho významnost snížit. Při praktickém provádění jakýchkoli činností, ať už jde o soukromé aktivity, nebo velkou výrobní halu či stavbu, prakticky každý své EA hodnotí. Jistě, nedělá o tom záznam, natož pak, že by se ve skupině hodnotitelů scházel nad tabulkami a složitě propočítával významnost toho kterého aspektu. Ale i při běžné údržbě domu se sám sebe každý ptá: Budu dělat hluk, nebo vznikne prach, zápach? Jak tím omezím své sousedy? Budou jen tiše nadávat, že zase někdo vedle pálí shnilou trávu či pouští sekačku hned brzo ráno v neděli? Dostanu jen vynadáno, vrátí mi to hned další víkend, nebo se rovnou popereme v hospodě? Toto vše není nic jiného, nežli hodnocení aspektů mé vlastní činnosti a jejich významu ve vztahu k mému okolí. Samozřejmě, že pro rozumně uvažujícího jedince hned následují opatření: Nezapnu sekačku hned ráno, ale až odpoledne; pokud to jde, dám vlhké listí na kompost nebo budu pálit v době, kdy to je snesitelné pro ostatní. Takovéto vlastní hodnocení pro své činnosti dělají dnes a denně všichni, a netýká se to jen EA. Systém versus realita Při auditech a pohovorech s vedoucími pracovníky firmy je vlastní hodnocení EA vnímáno jako něco otravného a přitěžující (což je často pravda), pokud vůbec vědí, na co se auditor ptá. Ale když se zeptáte, proč udělali v areálu závodu určitá opatření, např. záchytné vany nebo novou stěnu, dostane se vám odpovědi typu, že v případě úniku ropných látek by mohlo dojít ke znečistění potoka (v prvém případě), že chtěli snížit vliv hlučnosti svých strojů na okolní zástavbu (v druhém případě). Oni sami, což je správné, si vyhodnotili některé své aspekty jako významné a provedli opatření. Nikde v jejich záznamech EMS o tom není ani zmínka, registr aspektů je pořád stejný. V daném období se o tom v cílech, resp. programech EMS nedočtete. Systém EMS běží po své koleji dál a vlastní činnost závodu také Mají, nebo nemají zaveden funkční systém EMS? Podle mého názoru NEMAJÍ. Provádějí opatření ke snížení vlivu EA, tedy to zásadní, co zajímá je, a zejména jejich okolí? Podle mého názoru ANO. Mají právo na certifikát EMS?? To je pak otázka, kterou si kladu při auditech velmi často a nejsem si mnohde jist odpovědí. Závěr Velmi stručně: Mělo by být věcí auditorů, tedy odborníků na tento systém, aby v rámci své nezávislosti směřovali činnosti auditované společnosti tam, kde to pomůže auditovanému pochopit zásady systému EMS a přinese mu další přidanou hodnotu z auditu. Autor: Ing. Jan Rutrle působí jako poradce v oblasti legislativy ochrany životního prostředí a auditor EMS. Je jednatelem společnosti EKOBEST, s. r. o., Dvůr Králové nad Labem. Kontakt: rutrle@ekobest.cz 29

30 Hlavní téma Vnímání kvality Reálná, nebo vnímaná kvalita aneb kdo má pravdu? Jitka Jakubcová, EPSI Research Central Europe, Praha Každý z nás byl nejméně jednou v situaci, kdy kvalita deklarovaná výrobcem byla v rozporu s naší představou, kterou jsme nabyli na základě komunikace, reklamy anebo údajů na etiketě výrobku či služby, přestože dodavatel dodržel, co mínil. Příkladem může být rozšířená otevírací doba a ono je jen do šesti a v pátek do dvou anebo firma orientovaná na zákazníka a přitom neuvádí jediné telefonní číslo či cestu pro případ, kdy si chci stěžovat, a počet evidovaných stížností ve výroční zprávě je jedna oprávněná a jedna neoprávněná. Ano, často je to tak, že výrobce či poskytovatel služby si troufá dovodit za nás klienty, jak skvělý je, a dokonce mu to může nějakou dobu procházet. To však jen do té doby, dokud se na trhu neobjeví někdo, kdo má ke klientovi blíž a rozšířená otevírací doba znamená každý den do sedmi, ne-li dvacet čtyři hodin denně, a když jsem nespokojen, mám v každém okamžiku užívání služby možnost se o zkušenost s někým nějak podělit. Ten, kdo dokáže být ke klientovi blíž, vítězí. Může nás napadnout, jak je to tam, kde na trhu nikdo jiný není proč se o klienta zajímat v takovém případě? Klientem je nám v takovém případně vlastně šéf. Sbíráme pak nějaké procesní ukazatele, které však ne vždy začínají a končí u klienta, ale u šéfa. A toho se možná ani nakonec nezeptáme, jak se mu s námi a našimi výstupy pracuje. Takže nakonec zjistíme, že výsledky naší práce vlastně nikdo nepoužil, protože byly nesrozumitelné, přišly pozdě, nebylo s kým konzultovat, rada byla špatná, respektive neodpovídala na otázku,... Jak tedy na to, když chceme dlouhodobě na trhu uspět? Jestliže používáme některý z nástrojů či modelů řízení, pak víme, že potřebujeme různé ukazatele výkonu, výsledků naší práce. Procesní metriky, jako třeba počet stížností vyřešených napoprvé, nebudou stačit, potřebujeme měřítka vnímání. A jak je získat? I vnímaná kvalita a image a další se dají dobře měřit. Musíme se obrátit na klienta, a nejlépe se ho zeptat. Zeptat se na to, co je pro něj kvalitní služba, identifikované parametry kvantifikovat, abychom věděli, jak jsou důležité pro populaci, a pak je řídit v rámci našich procesů, které začínají a končí u zákazníka, řeší jeho očekávání a potřeby a odpovídají na ně. Nakonec rozhodují výsledky u zákazníka a to ty vnímané, nikoliv takové, které si spočítáme na základě sběru dat z procesu, protože pro klienta, jak jsme řekli, zelená nemusí být právě zelená. Výsledky průběžně měříme a vyhodnocujeme a přijímáme relevantní opatření, zlepšujeme se. Suverénní výsledkovou metrikou vnímání v oblasti klient, a to jak vnitřní zaměstnanec, tak vnější klient, je spokojenost. Je to výsledek vnímané kvality produktů, služeb, image a hodnoty, kterou mi výrobek či služba poskytne. Když uvedeme příklad z oblasti stížností, pak na rozdíl od vyřešení na poprvé typické to procesní metriky mi spokojenost s vyřešením ukáže můj pravý úspěch u klienta. V řadě případů totiž klient nechce vyřešit stížnost rychle na poprvé či do jednoho dne, ale jeho tajnou prioritou je dobře; možná ani nechce vědět, zda jeho stížnost byla oprávněná, nebo ne, protože klient nakonec má právo si stěžovat i tehdy, když věcně problém nenastal, ale pracovník s ním například jednal arogantně. Obrázek ukazuje spokojenost s řešením stížností. Data byla sbírána v rámci měření spokojenosti klientů retailových bank realizovaného Epsi Research CE v září Je zřetelné, že na bankovním trhu existuje zásadní rozdíl ve výsledcích u klientů, způsobený rozdílným přístupem pracovníků bank. Jak to tedy je? Customer is king but certainly not always right. (prof. J. Eklöf) Aneb klient je král, i když ne vždy má pravdu. Jak proces, tak klient je důležitý, jedno bez druhého nemůže být, ale proces musí začínat i končit u zákazníka, jinak pro něho nemá přidanou hodnotu a s největší pravděpodobností ani za něj nebude ochoten platit. V měření zákaznické zkušenosti, spokojenosti a loajality nám mohou pomoci ověřené modely (v ČR je dostupný a Evropskou unií doporučený model Epsi, s více než 65% vypovídací schopností), které za nás díl práce udělají; stačí, když budeme systematicky pracovat s výsledky, které nám dávají. Vezměme tedy na milost to růžové a nesnadno uchopitelné a pracujme s tím, úspěšné firmy to umějí. Autorka: Ing. Jitka Jakubcová, MSc in SHRM, je ředitelka (CEO) EPSI Research Central Europe, s. r. o. Je hodnotitelkou Modelu excelence EFQM a garantkou kurzů ČSJ zaměřených na oblast kvality služeb. (Více viz PK 2012/1, str. 19.) Kontakt: jitka.jakubcova@epsi-rating.org 30

31 Vnímání kvality Hlavní téma Obrázek Spokojenost klientů retailových bank s řešením stížností. index spokojenosti s vyřešením stížnosti 90,00 80,00 70,00 60,00 50,00 40,00 81,56 75,00 63,11 64,44 48,33 55,56 76,00 66,67 45,78 78,78 78,33 70,00 66,67 58,89 76,22 68,89 62,67 30,00 A B C D E F firma Klienti bez stížnosti Klienti se stížností Měli důvod, ale nestěžovali si Je zřetelné, že existuje velký rozdíl ve spokojenosti s řešením stížností. Banky mají k řešení stížností velmi různé přístupy. 31

32 Hlavní téma Vnímání kvality Víte, jak se nespálit? Program Česká kvalita odlišuje spolehlivé značky kvality od pseudoznaček David Kubla, Národní informační středisko podpory kvality, Praha V médiích se dnes a denně objevují informace, že u nás prodávané zboží nedosahuje kvality obdobných výrobků prodávaných na západ od našich hranic, přitom ceny jsou mnohdy vyšší. Na trh se samozřejmě dostává takové zboží, jaké jsou zákazníci ochotni koupit. Pokud tedy my jako spotřebitelé na kvalitě netrváme a netlačíme výrobce ani obchodníky k tomu, aby kvalitu nabízeli, oni to nedělají, chovají se tržně... A jak poznat kvalitní zboží od nekvalitního? Jednu z možností, jak se nenechat napálit a mít jistotu, že za své peníze dostanete odpovídající kvalitu, nabízejí značky zařazené v Programu Česká kvalita. Když vejde zákazník do obchodu a začne se probírat vystaveným zbožím, narazí na celou řadu značek kvality a dalších označení, které se v něm snaží vzbudit dojem, že kupuje něco výjimečného. Zmatek ve značkách je již delší dobu poměrně velkým problémem a výskyt všelijakých pseudoznaček, které jsou pouze marketingovým tahem výrobce určeným jen k matení spotřebitelů, roste neúměrným tempem. Jsme opravdu vydáni napospas obchodníkům a musíme nakupovat salámy bez masa a oblečení v kvalitě asijské tržnice? Musíme riskovat, že nás zabije probíjející mixer, že naše děti onemocní z jedovatých materiálů obsažených v hračkách a oblečení nebo že si navždy zmrzačí nohy díky anatomicky zcela špatným botičkám? Na trh se samozřejmě dostává takové zboží, jaké jsou zákazníci ochotni koupit. Pokud tedy my spotřebitelé na kvalitě netrváme a netlačíme výrobce ani obchodníky k tomu, aby kvalitu nabízeli, oni to většinou nedělají. A ti, kdo se snaží používat poctivé suroviny a výrobní postupy, mají vyšší náklady a jsou na trhu znevýhodněni. Chceme-li tuto situaci změnit, musíme ukázat, že kvalitu chceme a vyžadujeme. Umíme ale poznat kvalitní zboží od nekvalitního? Určitě ano, ale chce to trochu snahy. Především sledovat složení výrobků, dívat se, odkud výrobek pochází, a v další řadě kontrolovat, zda má výrobce všechna potřebná schválení a certifikáty. Kritéria nebo jejich váha se samozřejmě budou částečně lišit podle typu produktu, jiné budou u potraviny, jiné u průmyslového výrobku. Jednodušší způsob, jak se nenechat napálit a mít jistotu, že za své peníze dostanete odpovídající kvalitu, nabízejí značky zařazené v Programu ČESKÁ KVALITA. Program vznikl již před deseti lety s cílem zabránit devalvaci významu seriózních značek kvality na našem trhu; odlišuje výrobky, které mají v daném segmentu a cenové hladině špičkovou kvalitu. Hlavním úkolem programu je zajistit, aby se spotřebitel měl podle čeho spolehlivě orientovat, pokud chce nakoupit kvalitní zboží. Právě tím nejlepším vodítkem mají být a jsou značky v Programu Česká kvalita. Čím se liší tyto značky kvality od ostatních? Především faktem, že každý výrobek či službu, který je takovouto značkou označen, prověřila nezávislá akreditovaná zkušebna, která ručí za to, že produkt je v dané kategorii a cenové hladině kvalitativně lepší, než je obvyklý průměr na trhu. Kvalita se pravidelně kontroluje, stejně jako spokojenost zákazníků, a v případě jakýchkoliv nedostatků je oprávnění užívat značku odebráno, což v praxi není žádnou výjimkou. Program sdružuje značky kvality z různých oborů. Pokrývá různé segmenty trhu, od dětských botiček a hraček přes nábytek a stavební výrobky, průmyslové zboží, internetové obchody a ekologicky šetrné 32

33 Vnímání kvality Hlavní téma výrobky až po ověření elektrické bezpečnosti u elektrotechnických výrobků nebo certifikace služeb IT, oceňuje také práci postižených osob či prověřuje ojeté automobily. Ani tímto výčet není kompletní: aktuálně je součástí programu 20 značek kvality, které byly uděleny stovkám různých typů výrobků a služeb. Program Česká kvalita zjednodušuje spotřebitelům orientaci na trhu a pomáhá jim vybrat z nepřeberného množství různých výrobků a služeb ty správné, kvalitní. Zároveň kultivuje trh, takže se, pokud budeme kvalitní označené produkty upřednostňovat a aktivně vyhledávat, velmi rychle dočkáme v českých obchodech kvalitnější nabídky, jakou mají třeba spotřebitelé v Německu. V příštím čísle časopisu Perspektivy kvality budou uveřejněny výsledky průzkumu Rady kvality ČR a Asociace malých a středních podniků a živnostníků ČR na téma Značky kvality a jejich vnímání spotřebiteli a podnikateli. Dozvíte se, co lidé chápou pod pojmem kvalita zboží, jaké faktory jsou rozhodující pro spotřebitele při nákupu zboží, jaké značky kvality spotřebitelé znají a jak si stojí Program Česká kvalita na našem trhu. Připomeňme ještě, že problematika kvality spotřebního zboží zůstává dlouhodobě ve stínu mediálně velmi diskutované kvality potravin. Zatímco v případě potravin jsou každému jasná zdravotní rizika, která z nákupů nekvalitních potravinářských výrobků vyplývají, u spotřebního zboží si mnozí myslí, že riskují nejvýše jen omezenou životnost či funkčnost výrobku. Pravda je ale jiná. Více informací najdete v následujících Perspektivách kvality. Autor: David Kubla, DiS., je odborným pracovníkem Národního informačního střediska podpory kvality (NIS-PK). Kontakt: kubla@csq.cz 33

34 Hlavní téma Vnímání kvality Jak a podle čeho vnímáme kvalitu realitních kanceláří Zdeněk Svatoš, Česká společnost pro jakost, redakce Perspektivy kvality, Praha Mezi veřejností panuje určitá nedůvěra v realitní kanceláře. Realitní transakce (pokud ji provádíme) hraje obvykle velmi významnou roli v našem životě, bojíme se nesolidního jednání. Víme či tušíme, že mezi subjekty nabízejícími realitní služby jsou v jejich kvalitě zásadní rozdíly. Přitom obchody s realitami tvoří pro většinu z nás stále pole neorané. Jak zjistila v internetovém dotazování výzkumná agentura STEM/MARK, v posledních 10 letech prodávalo, kupovalo nebo pronajímalo nemovitost pouze 35 % dospělých. Svěřujeme se do rukou realitních kanceláří, nebo to zvládneme sami? A pokud vyhledáváme služby realitní kanceláře, podle čeho ji vybíráme? Jakou roli přitom hraje značka? To jsou některé z otázek, na které průzkum agentury STEM/MARK hledal odpověď. Reklama Metodika výzkumu Průzkum provedla výzkumná agentura STEM/MARK na počátku roku 2012 na reprezentativním vzorku internetové populace od 15 let. Výzkumu se účastnilo 570 lidí. Z výsledků průzkumu Svěříme se při často největší finanční transakci v životě raději do rukou realitní kanceláře, nebo si vystačíme sami, případně s pomocí přátel? Třípětinová většina těch, kteří mají zkušenosti s realitním obchodem, využila služeb realitní kanceláře (RK). Zbylé dvě pětiny použily vlastní síly. Nedůvěra panuje zejména k výši provize (hlavní důvod pro 33 % těch, kteří zatím nevyužili služeb RK). Výrazný je podíl nevyužívání kanceláří u obyvatel Prahy (plná polovina nevyužila), kde jsou ceny nemovitostí nejvyšší, a proto jsou i nejvyšší provize. Oblíbenější forma spolupráce je výhradní (38 %) než nevýhradní (27 %). Zbývajících 35 % sice s realitní kanceláří spolupracovalo, ale nemovitost kupovali, a realitní kancelář si tedy nevybírali. Jakou realitní kancelář volíme? Jakou roli hraje značka? Češi si RK zatím příliš nevybírají podle značky. Podíl využívání značkových kanceláří s více pobočkami a místních neznačkových je přibližně stejný, mírně převládá volba místní kanceláře (30 % těch, kteří mají zkušenost s transakcí). Viz obr.1. Veřejnost zatím nemá ani vysoké povědomí o jednotlivých značkách: pouze 68 % oslovených si bez nápovědy vybaví aspoň jeden název, nejčastěji uváděné jsou značky Remax a M&M (zmínilo 15 %). Obrázek 1 VyužitíRK: ano/ne a podle typu RK. Prodával(a), kupoval(a) nebo pronajímal(a) jste v posledních 10 letech nějakou nemovitost? ZÁKLAD: Všichni let, n=570 Využil(a) jste služeb RK? Jakého typu? ZÁKLAD: Ti, kteří mají zkušenosti s realitní transakci, n=197 Ne 65 % Ano 35 % MístníRK bez poboček 30 % Bez RK 42 % Značková RK s více pobočkami 28 % ZDROJ: STEM/MARK, Realitní trh 01/

35 Vnímání kvality Hlavní téma Obrázek 2 Kritéria pro výběr realitní kanceláře a jejich preference. Podle čeho jste si realitní kancelář vybíral(a)? Reference 27 ZÁKLAD: Ti, kteří využili služeb RK, n=115 Umístění RK 21 Poskytované služby 20 Konkrétní makléř 14 Výše provize Reklama a značka 8 11 ZDROJ: STEM/MARK, Realitní trh 01/2012 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Klienti si při prodeji nebo pronájmu vybírají konkrétní RK především na základě referencí, umístění RK nebo podle poskytovaných služeb. Jakmile bylo učiněno rozhodnutí spolupracovat s RK, výše provize už pro konkrétní výběr hraje malou roli. Viz obrázek 2. Spolupráce s realitní kanceláří: pro a proti Jako hlavní přednosti spolupráce s RK vnímá veřejnost především: kompletní servis, pocit bezstarostnosti nebo bezpracnosti, podporu v právním servisu. Hlavním nedostatkem či bariérou spolupráce jsou podle zjištění především: pocit vysoké provize, částečně nedůvěra v kvalitu poskytovaného servisu, dokonce obavy z podvodů či úmyslně nevýhodných smluv při honbě za ziskem. Závěr V souvislosti s klesajícím realitním trhem ČR v posledních letech bude zajímavé sledovat vývoj, jakým se bude ubírat důvěra veřejnosti k realitním kancelářím. Pomocí zvyšování informovanosti a znalosti rozsahu práce a služeb, zlepšování pověsti realitních kanceláří a jejich makléřů se mohou kanceláře snažit zvyšovat ukrojený podíl z koláče prováděných realitních transakcí. Poznámka autora: Průzkum bohužel nesleduje vliv či váhu certifikátů realitních makléřů (CRM). Nezávislá certifikace RM byla zavedena právě v zájmu zvyšování kvality, důvěryhodnosti a prestiže realitních služeb. Nabízí ji mj. i Česká společnost pro jakost, resp. certifikační orgán CSQ-CERT. Žadatelé o certifikát Certifikovaný realitní makléř (CRM) prokazují zkouškou své odborné znalosti v oblastech právní minimum RM, finanční minimum RM, IT znalosti a dovednosti (uživatelsky), procesy, dále praktické zkušenosti, znalosti z oblasti řízení kvality a počty realizací. Dokladují osvědčení o absolvování specializačního studia zaměřeného na realitní činnost a obchodování s nemovitostmi. V současnosti je na seznamu držitelů platných certifikátů CRM CSQ -CERT 78 specialistů, jejichž služby by měly splňovat všechna kritéria na tak náročnou a zodpovědnou činnost, jakou je poskytování služeb v tomto oboru. [2] Lze snad jen spekulovat, že váha certifikátu CRM (podobně jako v jiných oborech) tkví především ve vztahu makléře k jeho zaměstnavateli kvalitní RK, a méně je známa v široké veřejnosti, ve vztahu k zákazníkům RK. Příspěvek byl připraven na základě tiskové zprávy společnosti STEM/MARK, a. s. [1]. Více na Literatura: [1] Chceme využívat realitní kanceláře? A jaké? Tisková zpráva, STEM/MARK, Praha ealitni%20kancelare_2012.pdf [2] /crm.aspx; OsobySeznam.aspx. Cit Kontakt: svatos@csq.cz (tisková zpráva: Petr Zvára, STEM/MARK Praha. zvara@stemmark.cz) 35

36 Hlavní téma Vnímání kvality Je společenská odpovědnost vnímána pozitivně? Alena Plášková, VŠE v Praze a Česká společnost pro jakost, Praha K moderním manažerským systémům řízení neodlučně patří i akceptování odpovědnosti za dopady na společnost na její ekonomický rozvoj, na životní prostředí, na kvalitu života všech zainteresovaných stran. Když se hovoří o společenské odpovědnosti (CSR), jedni vědí, oč jde, jiní pátrají, co by to mohlo být. Tomu odpovídají i průzkumy provedené v posledním období. Nelze však zapomínat ani na ty, kteří tento přístup přímo odmítají jako nepotřebný, nikým nepožadovaný, vyžadující pouze další náklady snižující zisk. Kvalita se historicky vždy vázala na produkt, který byl a je i nadále výsledkem procesů a použitých zdrojů jakékoliv organizace. Spolu s koncipováním systémů managementu získala i kvalita jako stupeň splnění požadavků nové dimenze. Nejde již pouze o produkt, nýbrž i o kvalitu procesů, zdrojů a celého systému řízení. Adekvátně tomu se postupně rozvíjely nové přístupy, nástroje a využitelné metody. K moderním manažerským systémům řízení neodlučně patří i akceptování odpovědnosti za dopady na společnost na její ekonomický rozvoj, na životní prostředí, na kvalitu života všech zainteresovaných stran. Organizace nežijí ve vakuu, firmy a společnost se navzájem potřebují. Když se hovoří o společenské odpovědnosti (CSR), lze subjekty podle jejího chápání rozdělit mezi dva základní póly: jedni vědí, oč jde, jiní pátrají, co by to mohlo být. Tomu odpovídají i průzkumy provedené v posledním období jak v rámci organizací, tak i ve veřejnosti. Nelze však zapomínat ani na ty, kteří tento přístup přímo odmítají jako nepotřebný, nikým nepožadovaný, vyžadující pouze další náklady snižující zisk (jde o peníze avšak cesta k nim má mnoho variant; pozn. autorky). Z průzkumů u firem v ČR (malých, středních i velkých), provedených v posledním období zejména organizacemi jako Business Leaders Forum a Byznys pro společnost, Asociací malých a středních podniků a živnostníků, Svazem průmyslu a dopravy a studenty vysokých škol v jejich bakalářských, diplomových a disertačních pracích, lze vyvodit následující poznatky. Jaké jsou důvody pro realizaci aktivit CSR v českém prostředí? Jsou logické a dvojího typu: buď jde o rozhodnutí center nadnárodních firem, která považují CSR za nedílnou součást podnikové kultury, anebo o vlastní rozhodnutí organizace na základě vnitřního přesvěd- čení o významu tohoto přístupu. Chtějí se chovat korektně, nabízet svým zákazníkům kvalitu a pečovat o ně, být dobrým zaměstnavatelem i sousedem, chránit životní prostředí a získat a udržet si konkurenční výhodu. CSR považují za nejlepší způsob pro dlouhodobé přežití. Zhruba dvě třetiny firem o konceptu CSR vědí (velké dokonce přes 90 %), mnohé realizují spektrum aktivit. Prakticky v každé organizaci najdeme alespoň jednu aktivitu CSR. Zpravidla chybí koncepčnost a systémovost. Nebývá stanovena strategie CSR a určeny měřitelné cíle, aktivity CSR jsou realizovány nahodile a není u nich zvažován princip win-win (nejde konat jen dobro, ale spolu s ním je nutné dobře dělat i byznys). Jaké přínosy očekávají firmy od CSR? Mezi nejčastějšími odpověďmi se objevují: posílení firemní kultury, dobré jméno, společenská prestiž, získání nových zákazníků a loajalita stávajících, loajalita a odbornost zaměstnanců, zlepšení vztahů s partnery a investory, důvěra místní komunity, odlišení se od konkurence, úspory nákladů. Mnohé organizace výše uvedené benefity mohou jednoznačně prokázat. Základním problémem však zůstává schopnost organizací propojit realizované aktivity CSR s benefity pro zvyšování ekonomické výkonnosti organizace. Z jednoho průzkumu mezi malými a středními podniky to jednoznačně vyplynulo. Jaké jsou nejčastěji realizované aktivity CSR? Ve firmách v ČR jsou to: péče o zaměstnance, péče o životní prostředí, dárcovství a dobrovolnictví postavené na partnerství s neziskovými organizacemi. Jaké hlavní bariéry stojí v cestě? Firmy je spatřují především v těchto oblastech: nedostatek informací, nedostatek času, chybí kvalifikovaní lidé, obava z nárůstu nákladů, CSR není veřejně uznávána (chybí podpora státu, není příznivé daňové ani legislativní prostředí, chybí pozitivní odezvy v médiích, není tlak veřejnosti). Jaká by měla být úloha státu? Postoje firem se převážily do negativní polohy. Stát podle nich neposkytuje dostatečné informace, nepropaguje CSR a nijak nemotivuje firmy k uplatňování konceptu. Stát jako regulátor možná nastupuje proto, že se firmy odpovědně nechovají. V případě proaktivní regulace ze strany podniků i občanů by toho nebylo třeba a ze strany státu by byla očekávána pouze výrazná stimulační funkce. 36

37 Vnímání kvality Hlavní téma CSR není jen záležitost podnikání, ale i veřejné správy a občanů Odpovědně by se však neměli chovat pouze ti, kteří podnikají. Odpovědnost za dopady své existence a činnosti na společnost občanů máme všichni. Společenskou odpovědnost bychom měli požadovat nejen od podnikatelů, nýbrž i od organizací a orgánů veřejné správy a občanů samotných. V této souvislosti je třeba zmínit pozitivní příklady: úřady městských částí Praha 10 a Praha 3, které jsou nositeli Národní ceny ČR za CSR, Město Třinec, které získalo ocenění v Ceně hejtmana Moravskoslezského kraje, a v neposlední řadě jsou k dispozici i výsledky oceňování jednotlivců za filantropii v Ceně VIA BONA. Pro naše občany v pozici spotřebitelů je u výrobků a služeb relevantní mince se dvěma stranami: kvalita a cena. To v současné době považují v mnoha případech za samozřejmost a zlobí se, když tomu tak není. Avšak spotřebitelé jdou ve svých požadavcích dál. Kriticky posuzují i způsob jednání prodejců vyžadují slušnost, rovnocenné postavení a vzájemný respekt. V mnoha evropských zemích posuzuje veřejnost i to, jak se podniky chovají ke svému okolí (k místní komunitě a k ochraně životního prostředí). Do budoucna lze předpokládat, že tlak veřejnosti poroste. Proto by neměly organizace jejich názory a očekávání podceňovat, ale naopak by je měly proaktivně na základě dialogu či průzkumů zjišťovat a respektovat. V roce 2011 byl proveden průzkum i v naší republice. Jeho výsledky jsou prezentovány v tomto čísle časopisu v samostatném článku (Projekt CSR Research 2011, viz str. 47). V rámci Obnovené strategie EU pro společenskou odpovědnost na léta [A renewed EU strategy for Corporate Social Responsibility] (viz též PK 2012/1, str. 4-5) jsou předpokládány i průzkumy názorů veřejnosti na odpovědné chování organizací. V zemích EU je v současné době realizována jejich první vlna tzv. CSR EUROBAROMETR. Občané v nich odpovídají na otázky týkající se jejich názorů na: pozitivní roli odpovědných podniků v jejich životě; negativní dopady podniků na jejich život a životní prostředí; odpovědné chování podniků které obory, které konkrétní firmy; dosavadní a očekávaný budoucí vývoj chování podniků ve prospěch společnosti; požadované aktivity CSR, které považují za nejdůležitější; odpovědné chování organizace, v níž pracují. Dotazník obsahuje osm otázek s nabízenými variantami a škálami pro hodnocení. Jak se tedy mohou organizace vůči svým zainteresovaným stranám pozitivně zviditelnit? Existuje řada možností. Jednou z nich jsou zveřejňované zprávy o společenské odpovědnosti nebo udržitelném rozvoji, které najdeme na webových stránkách příslušných organizací. Dalšími možnostmi je využití různých ocenění nebo prokázání plnění disponibilních standardů pro oblast společenské odpovědnosti. Mezi nejvýznamnější ceny za CSR v ČR rozhodně patří: Národní cena ČR za CSR je postavena na mezinárodně uznávaných standardech CSR, postihuje celý koncept aktivit společenské odpovědnosti a má zveřejněný model pro posuzování včetně jasné bodové kvantifikace jednotlivých kritérií (blíže na Hodnocení provádějí vyškolení odborníci (základním požadavkem je certifikát Manažer CSR dle evropského schématu vzdělávání); o cenu se může ucházet jakákoliv organizace, která projeví zájem. Cena hejtmana za CSR je součástí programu národních cen ČR a je určena pro organizace v jednotlivých krajích. Model hodnocení je jednodušší, což umožňuje rozšiřovat spektrum odpovědných subjektů na celé území republiky. V současné době je realizována v Moravskoslezském kraji (blíže na Hodnocení opět provádějí vyškolení hodnotitelé. Známka kvality je udělována nadacím a nadačním fondům, samostatně působícím i firemním, podle šesti kritérií (metodika hodnocení není zveřejněna). Blíže na TOP odpovědná firma ocenění je určeno pro firemní projekty v oblasti CSR, které jsou posuzovány podle jednotné metodiky hodnocení (není veřejně dostupná) v několika kategoriích (blíže: Ocenění je určeno podnikatelům. Cena Futurum je udělována za projekty v kategoriích životní prostředí, zdraví a bezpečnost práce, má transparentní kritéria hodnocení a může ji získat jakákoliv organizace či jednotlivec (blíže na viz též článek v tomto čísle PK na str. 50). Cena VIA BONA je udělována za zapojení zaměstnanců do dárcovství, za firemní i individuální filantropii v sedmi kategoriích. Pro každou kategorii jsou zveřejněna kritéria hodnocení (blíže na Kromě uvedených cen je v ČR udělována řada dílčích cen, které oceňují aktivity ve specifických oblastech společenské odpovědnosti. 37

38 SP E L O R G NI Hlavní téma Vnímání kvality Mezinárodních standardy pro společenskou odpovědnost Další z možností, jak se vůči zainteresovaným stranám zviditelnit, je plnění mezinárodních standardů pro společenskou odpovědnost, jako jsou norma ISO 26000, standard GRI, norma SA 8000, standard AA 1000 AS nebo český Národní program posuzování shody systému managementu společenské odpovědnosti. Kromě normy ISO 26000, která je návodem pro obsah a způsob zavedení konceptu do organizací, ostatní standardy směřují k certifikátu nebo osvědčení nezávislého auditora. Role kvalifikovaných profesionálů CSR Aby byl koncept společenské odpovědnosti skutečně dobře integrován do všech procesů v organizacích, a tím mohl být prokázán i jeho význam při zvyšování výkonnosti, osvědčilo se angažování profesionálů CSR, kteří absolvovali odborné školení a jsou držiteli příslušného osvědčení/certifikátu. Z výsledků, kterých dosáhli v praktických podmínkách např. držitelé certifikátu Manažer CSR, udělovaného na základě pravidel Evropské organizace pro kvalitu (EOQ) Českou společností pro jakost, lze usuzovat, že tato cesta je velmi efektivní. Autorka: Ing. Alena Plášková, CSc., je vysokoškolská pedagožka na VŠE v Praze. Je předsedkyní odborné sekce Rady kvality ČR Společenská odpovědnost organizací, čestnou předsedkyní České společnosti pro jakost a místopředsedkyní Sdružení pro oceňování kvality (SOK). Kontakt: plaskova@csq.cz N E Č S K Á ODPOVĚ D N O S T O A R S C NÁ RODNÍ CENA ČR ZA C Í NÁRODNÍ CENA KVALITY ČESKÉ REPUBLIKY NÁRODNÍ CENA ČR ZA SPOLEČENSKOU ODPOVĚDNOST 38