VYSOKÁ ŠKOLA BEZPEČNOSTNÉHO MANAŽÉRSTVA V KOŠICIACH BEZPEČNOSŤ PODNIKU. Imrich Dufinec

Transkript

1

2 VYSOKÁ ŠKOLA BEZPEČNOSTNÉHO MANAŽÉRSTVA V KOŠICIACH BEZPEČNOSŤ PODNIKU Imrich Dufinec KOŠICE 2014

3 Publikácia Bezpečnosť podniku je určená odbornej verejnosti, študentom VŠBM v Košiciach a ostatných vysokých škôl, zameraných na bezpečnostný manažment a ďalším záujemcom, ktorí sa zaujímajú o problematiku tvorby projektov v bezpečnostnej oblasti. Publikácia bola vypracovaná v rámci projektu ASFU II Adaptácia VŠBM na potreby modernej vedomostnej spoločnosti. ITMS projektu: Autor: Dr.h.c. doc. Ing. Imrich Dufinec, CSc., mimoriadny profesor Recenzenti: Dr.h.c. prof. Ing. Marián Mesároš, DrSc. MBA., VŠBM Košice Dr.h.c. mult. prof. Ing. Juraj Sinay, DrSc., Technická univerzita v Košiciach Za jazykovú úpravu zodpovedá autor Vydávateľ: Vysoká škola bezpečnostného manažérstva v Košiicch Dr.h.c. doc. Ing. Imrich Dufinec, CSc., mimoriadny profesor Tlač: MULTIPRINT, s.r.o. Košice ISBN :

4 OBSAH PREDSLOV VYBRANÉ POJMY A STATE K TÉME VYBRANÉ POJMY DANEJ PROBLEMATIKY VYBRANÉ STATE DANEJ PROBLEMATIKY PODNIK V TRHOVEJ EKONOMIKE VYBRANÉ STATE DANEJ PROBLEMATIKY Podnik a jeho znaky Podnik ako cieľovo orientovaný systém Riziká podniku PODNIKOVÉ MANAŽÉRSTVO FORMY A NÁSTROJE RIADENIA PODNIKU POLITIKA PODNIKU MANAŽÉRSKY SYSTÉM PODĽA NORMY ISO Implementácia ISO 9001 do riadenia podniku Manažérstvo kvality ako systém MANAŽÉRSTVO RIZÍK V SYSTÉME RIADENIA PODNIKU ÚVOD DO BEZPEČNOSTI PODNIKU MODELY BEZPEČNOSTI PODNIKU MODEL IGNOROVANEJ BEZPEČNOSTI MODEL MINIMÁLNEJ TECHNOLOGICKEJ BEZPEČNOSTI MODEL FORMÁLNEJ BEZPEČNOSTI MODEL ODTRHNUTEJ BEZPEČNOSTI MODEL UTOPENEJ BEZPEČNOSTI MODEL AGILNEJ BEZPEČNOSTI MODEL OUTSORCOVANEJ BEZPEČNOSTI MODEL ROZSIAHLEJ INŠTITUCIONÁLNEJ BEZPEČNOSTI MODEL KOMPLEXNEJ BEZPEČNOSTI BEZPEČNOSTNÁ POLITIKA PODNIKU MANAŽÉRSTVO RIZÍK A INCIDENTOV RIZIKO, OHROZENIE A INCIDENT IMPLEMENTÁCIA MANAŽÉRSTVA RIZÍK A INCIDENTOV MANAŽÉRSTVO RIZÍK V PODNIKU... 40

5 Zásady a princípy Príklad implementácie manažérstva rizík PARCIÁLNE ZLOŽKY KOMPLEXNEJ BEZPEČNOSTI PODNIKU KATEGORIZÁCIA BEZPEČNOSŤ A KVALITA PRODUKCIE Východiská a základné tézy Spoľahlivosť a bezpečnosť produkcie Netradičný prístup k zlepšovaniu procesov ENVIRONMENTÁLNA BEZPEČNOSŤ PODNIKU Východiská a základné tézy Environmentálne manažérstvo SEM a bezpečnosť podniku BEZPEČNOSŤ A OCHRANA ZDRAVIA PRI PRÁCI Východiská a základné tézy Ďalšie súčastí systému BOZP a dôvetok INFORMAČNÁ BEZPEČNOSŤ PODNIKU Východiská a základné tézy Požiadavky na životný cyklus ISMS Kritické faktory úspechu Norma ISO 27002: EKONOMICKÁ BEZPEČNOSŤ PODNIKU Východiská a základné tézy Majetok a kapitál podniku Finančný tok podniku a investície Nástroje eliminácie a zmenšovania rizík Dôvetok k ekonomickej bezpečnosti FYZICKÁ BEZPEČNOSŤ OSÔB A MAJETKU V PODNIKU Východiská a základné tézy Ochrana objektov AUDIT BEZPEČNOSTI PODNIKU ZÁSADY AUDITOVANIA MANAŽÉRSKEHO SYSTÉMU ZÁSADY AUDITOVANIA BEZPEČNOSTNÉHO SYSTÉMU ZÁVER LITERATÚRA... 97

6 PREDSLOV Predložené texty sa dotýkajú otázok spoločenskej a sociálnej zodpovednosti, smerovaných na trvalo udržateľný rozvoj. Môžu slúžiť ako prostriedok ujasnenia vzťahov riadenia podniku, bezpečnostného prostredia a riadenia bezpečnostných systémov, pri požiadavke komplexnej bezpečnosti podniku. Texty sú síce zo širšieho okruhu problematiky, avšak so spoločným menovateľom, ktorým je riziko, ohrozenie a bezpečnosť podniku, čo oprávňuje označiť predkladané texty za monografiu. Monografia BEZPEČNOSŤ PODNIKU je určená študentom inžinierskeho štúdia, ktorí majú primerané bakalárske znalostí z oblastí bezpečnostného manažérstva, alebo aj študentom z iných študijných odborov, ktorí si chcú doplniť svoje vedomosti o oblasť bezpečnosť podniku. Predmet BEZPEČNOSŤ PODNIKU je aj jedným zo záverečných predmetov inžinierskeho štúdia bezpečnostného manažérstva. Absolventi tohto štúdia by sa mali vyprofilovať na bežných manažérov, so všetkými atribútmi tejto profesie, avšak s akcentom na schopnosť rozhodovať za podmienok neistoty, t.j. za podmienok, kde riziko, ako prejav tejto neistoty, je ich sprievodným znakom. Vysoká škola bezpečnostného manažérstva v Košiciach sa zapojila do riešenia výskumného projektu ASFEU II. Adaptácia VŠBM na potreby modernej vedomostnej spoločnosti, ITMS kód projektu: , v ktorom tímovo riešila inováciu študijného programu Riadenie Bezpečnostných Systémov, implementovaním nových poznatkov so zameraním na potreby trhu práce. Monografia je výsledkom projektu, ale i dlhodobého skúmania a praxe autora vo sfére praktickej aplikácie poznatkov systémového zabezpečovania komplexnej bezpečnosti reálnych podnikov, bez ohľadu na ich veľkosť, podnikateľské zameranie, alebo rozsah integrácie parciálnych zložiek komplexnej bezpečnosti. Jediným spoločným atribútom týchto reálnych podnikov je procesný prístup systémového zabezpečovania realizácie ich produkcie so všetkými aspektmi ohrozenia a rizikami. Rozsah monografie je volený tak, aby nebola ohrozená kontinuálna čitateľnosť široko koncipovanej a komplexne chápanej bezpečnosti podniku, t.j. aby tento rozsah nebol väčší, ako cca 100 strán. Toto obmedzenie však prináša svoju daň vo forme istej neúplnosti a foriem skrátených výkladov a odkazov. Preto je nevyhnutné, aby čitatelia, ktorí majú záujem o hlbšie poznanie siahli aj po ďalšej priamej alebo podpornej literatúre. *** Monografiu symbolicky venujem pamiatke prof. RNDr. Františka Egermayera, DrSc, môjho prvého vedeckého školiteľa na Českom vysokom učení technickom v Prahe. Ďalej ju venujem všetkým mojim poslucháčom rovnomenných prednášok Bezpečnosť podniku inžinierskeho štúdia na Vysokej škole bezpečnostného manažérstva v Košiciach, a všetkým mojim priateľom, odborníkom z tejto oblasti po celom Slovensku. S hlbokou úctou ďakujem recenzentovi monografie, Dr.h.c. prof. Ing. Mariánovi Mesárošovi, DrSc., MBA, zakladateľovi, prvému rektorovi 5

7 a prezidentovi Vysokej školy bezpečnostného manažérstva v Košiciach, spolutvorcovi myšlienky rozvoja bezpečnostného vzdelávania, ako prevencie kriminality a príspevku k ochrane osôb a majetku v Slovenskej republike za starostlivé prečítanie rukopisu monografie a konštruktívne pripomienky. S rovnakou úctou ďakujem aj druhému recenzentovi monografie D.h.c.mult. prof. Ing. Jurajovi Sinayovi, DrSc., významnému odborníkovi na bezpečnostné systémy, uznávaného doma i v zahraničí, dlhoročnému rektorovi Technickej univerzity v Košiciach a môjmu prvému akademickému vedúcemu, za rovnako starostlivé prečítanie rukopisu a konštruktívne pripomienky. Ďakujem Ing. Kristíne Janoškovej za jazykovú korektúru celého textu monografie. Rovnako ďakujem všetkým mojim spolupracovníkom na Vysokej škole bezpečnostného manažérstva v Košiciach, ktorí ma podporovali pri zostavovaní textov monografie, menovite prof. Ing. Miroslavovi Kelemenovi, PhD., MBA, rektorovi Vysokej školy bezpečnostného manažérstva v Košiciach, prof. Ing. Jozefovi Reitšpísovi, PhD., Ing. Monike Daňovej, PhD., Ing. Petrovi Lošonczimu, PhD., a v neposlednom rade doc. JUDr. Stanislavovi Križovskému, PhD, mimoriadnemu profesorovi VŠBM v Košiciach. Zvlášť ďakujem svojej rodine i priateľom za pochopenie a trpezlivosť počas spracovania textov tejto monografie. Imrich Dufinec autor 6

8 1. VYBRANÉ POJMY A STATE K TÉME 1.1. Vybrané pojmy danej problematiky Podnik je tu chápaný ako organizácia, právny subjekt, ktorý bez ohľadu na jeho veľkosť a charakter produktu, vyvíja a realizuje podnikateľskú činnosť. So svojim bezpečnostným prostredím je objektom bezpečnostného systému. Bezpečnostný systém predstavuje nástroj tvorby a realizácie bezpečnostnej politiky v danom bezpečnostnom prostredí objektu v reálnom čase. Bezpečnostné prostredie podniku, s rizikami, ohrozením a nebezpečenstvom, je východiskom tvorby bezpečnostnej politiky, voľby vhodných manažérskych systémov a foriem ochrany, čo dáva predpoklady garancie bezpečnosti podniku. Spolu vytvárajú schému, ako východisko pre tvorbu konceptu jeho bezpečnosti a systémové vlastnosti objektu 1. Bezpečnosť podniku, ako objektu v ktorom prebiehajú procesy realizácie jeho produktu, vnímame v zásade ako dostatočnosť bezpečnostného systému čeliť hrozbám znižovania alebo dokonca straty hodnôt aktív podniku a bezpečnosti osôb v ňom pôsobiacich. Aktíva podniku predstavujú majetok podniku, hmotného i nehmotného charakteru 2, ktorý je v majetkovej súvahe aktív a pasív krytý kapitálom ako jeho pasíva 3. Bezpečnostná politika podniku je deklaratívne vyjadrenie vrcholového manažmentu podniku, čo, prečo, ako, v akom rozsahu a za akú cenu budú jednotlivé aktíva podniku chránené. Manažérstvo podniku predstavuje koordinovaný priebeh činností a aktivít manažmentu podniku zameraných na usmerňovanie a riadenie podniku. Manažment podniku je jeden alebo viacero manažérov podniku, nesúcich zodpovednosť za manažérstvo im zverených procesov a systémov. Systém podniku predstavuje súbor navzájom prepojených alebo vzájomne pôsobiacich prvkov, za účelom dosahovania pevne stanovených cieľov jednotlivých procesov a celku v nich zahrnutých. Manažérsky systém podniku predstavuje spôsob a rozsah aktivít v systéme podniku orientovaných na zavedenie, realizáciu, meranie a zlepšovanie podnikových procesov. Integrovaný manažérsky systém vychádza z vízie integrácie generickej štruktúry medzinárodných štandardov týkajúcich sa manažérstva kvality, environmentálneho manažérstva, manažérstva bezpečnosti a ochrany zdravia pri práci, manažérstva kapitálu (štandardy majetkovo-finančných súvah), ale aj manažérstva bezpečnosti informačných systémov, orientovaných a zacielených na trvalo udržateľný rozvoj. Generická štruktúra štandardov manažérskych systémov je hlavným predpokladom a aspektom ich integrácie. Je to schopnosť na báze procesov zlúčiť sa do jediného, integrovaného manažérskeho systému, pričom kľúčovými segmentmi činiteľov, ktoré ho ovplyvňujú zostávajú zákazníci a dodávatelia (určujú 1 M. Mesároš a kol.: Teória bezpečnosti, 2011, str. 11 [33] 2 Aktíva podniku, napr. peniaze, zásoby, stroje, informácie, know-how,... 3 Pasíva podniku, napr. základné imanie, príjmy, úvery, záväzky, fondy,... 7

9 požiadavky na kvalitu produkcie), spoločnosť a verejnosť (určujú environmentálne požiadavky), zamestnanci (určujú požiadavky na bezpečnosť, ochranu a sociálne požiadavky) a akcionári (určujú zdroje, vrátane informácií, ich alokáciu a ochranu) 4. Proces realizácie produktu predstavuje súbor aktivít v podnikovom systéme za účelom transformácie vstupov na požadovaný výstup realizácie produktu. Platí princíp nadväznosti procesov, kedy výstup z jedného procesu je vstupom do procesu druhého, atď. a princíp interakcie, t.j. vzájomnej súvislosti medzi procesmi z dvoch alebo viacerých klastrov procesov 5. Najdôležitejšou požiadavkou riadenia procesov je ich ohraničenie, čo vytvára predpoklad tvorby metrík na ich riadenie. 6 Forma ochrany podnikových aktív môže byť pasívna a aktívna, podľa vzťahu bezpečnostného manažmentu k procesom realizácie produktu podniku. Čím viac je ochrana aktív od procesov vzdialenejšia, tým viac nadobúda formu pasívnu. Naopak, čím viac je ochrana aktív s procesmi realizácie spätejšia, tým viac nadobúda formu aktívnu. Najvyšší stupeň pasívnej ochrany predstavujú mechanické zábranné systémy. Najvyšší stupeň aktívnej ochrany predstavuje generický manažérsky systém riadenia podniku so všetkými aspektmi manažérstva rizík a bezpečnosti Vybrané state danej problematiky Podnik realizuje svoje podnikateľské zámery a uskutočňuje procesy tvorby a predaja svojej produkcie. Na uskutočnenie svojich zámerov uplatňuje manažérsky systém prostredníctvom svojho manažmentu. Sprievodným znakom činnosti podniku pod manažérskym systémom je všade prítomné podnikateľské riziko, či ohrozenie jeho bezpečnosti, vo všetkých jej relevantných prejavoch. Môžu to byť napr. environmentálne aspekty, odpady, znečisťovanie vody a kontaminácia pôdy, krádeže, sabotáž, krádež know-how, únik osobných a inak citlivých údajov, útoky hackerov, daňové podvody, hluk, strata trhov, konkurencia, riziká pracovného prostredia a pod. Toto všetko tvorí bezpečnostné prostredie podniku. Podnik spolu s jeho bezpečnostným prostredím je stredobodom záujmu bezpečnostného systému. Bezpečnostný systém má za úlohu zabezpečiť minimalizáciu rizík a ohrození a zabezpečiť tak bezpečnosť podniku vo všetkých jej relevantných prejavoch. Tento bezpečnostný systém je primerane štruktúrovaný a riadený. Bezpečnostný systém predstavuje nástroje na tvorenie a uskutočňovanie bezpečnostnej politiky, na zaistenie bezpečnosti v danom prostredí, čase a na stanovený účel 7. 4 Hrubec, J.-Virčíková, E.-Dufinec, I. a kol.: Integrovaný manažérsky systém, 2009 [25] 5 Klaster je zhluk vzájomne súvisiacich, prípadne na seba nadväzujúcich procesov 6 Metrologický systém zberu, spracovania, analýzy a hodnotenia údajov a faktov súvisiacich s vymedzeným procesom. Indikátory priebehu i výsledku procesu. Môže ísť o technické meranie priebehu procesu (napr. SPC Statistical Process Control), ale i netechnické meranie účinnosti procesu, monitoring spokojnosti, a pod. Tu patrí aj technická kontrola výrobkov, vstupná, medzioperačná i výstupná. 7 Mesároš, M. a kol.: Teória bezpečnosti, 2011, str. 16 [33] 8

10 Štruktúra riadenia bezpečnostného systému, ako bezpečnostné manažérstvo je znázornená na obr STRATEGICKÝ ZÁMER ORGANIZÁCIE BEZPEČNOSTNÉ POŽIADAVKY IDENTIFIKÁCIA BEZPEČNOSTNÝCH RIZÍK B E Z P E Č N O S T N Ý M A N A Ž M E N T VSTUPY Výsledky hodnotenia: Bezpečnostné prostredie Bezpečnostné opatrenia Ekonomické možnosti Činnosti organizácie Legislatíva pravdepodobnosť BEZPEČNOSTNÁ POLITIKA Koncepcia tvorby bezpečnostného systému v jeho jednotlivých prvkoch ANALÝZA BEZPEČNOSTNÝCH RIZÍK dôsledok akceptovateľnosť CHARAKTERISTIKA Tézy bezpečnosti Cieľ, obsah Organizácia Financie Čas Kontrola Krízové situácie hodnota BEZPEČNOSTNÝ SYSTÉM Nástroj pre realizáciu bezpečnostnej politiky Rozpracovanie téz bezpečnostnej politiky Vypracovanie vykonávacieho projektu Obr. 1 Schéma bezpečnostného manažérstva, podľa [41] Ako ukazuje obrázok, charakteristickými znakmi bezpečnostného manažérstva sú: Bezpečnostná politika, manažérstvo rizík a bezpečnostný systém. Pokiaľ je bezpečnostný systém riadený vlastným manažmentom, nie podnikovým manažmentom, vykonáva pre podnik, ako predmet svojho záujmu, platenú externú službu. Pokiaľ je bezpečnostný systém riadený podnikovým manažmentom, potom je bezpečnostné manažérstvo totožné s podnikovým manažérskym systémom, pričom podnik sám sebe, prostredníctvom vlastného podnikového manažmentu poskytuje bezpečnostnú službu, ako vlastnú, internú službu. 8 Mesároš, M. a kol.: Ochrana osôb a majetku, 2011 [32] 9

11 Praktické skúsenosti autora monografie, vedúceho audítora integrovaných manažérskych systémov rakúskych certifikačných spoločností Quality Austria Wien 9 a CIS-Cert Wien 10, hovoria, že integrované manažérske systémy riadenia podnikov, s rôznymi bezpečnostnými aspektmi a rizikami, plnohodnotne zabezpečujú manažérstvo bezpečnostných systémov, ktoré sú takto v riadení podnikov zastúpené. Avšak máloktorý manažment takto certifikovaných podnikov si uvedomuje túto skutočnosť. Potvrdzuje sa, že to súvisí s nízkym bezpečnostným povedomím manažmentu, ktorý napriek jeho vyspelosti pri riešení najzložitejších procesov si neuvedomuje, že vlastne rieši bezpečnostné aspekty riadeného podniku. Že, napr. environmentálne aspekty alebo bezpečnostné rizika bezpečnosti a ochrany zdravia pri práci, či riziko úniku citlivých informácií a pod. sú prvkami bezpečnostného prostredia riadeného podniku, a manažérsky systém, ktorý uplatňujú na minimalizáciu týchto rizík je vlastne bezpečnostným systémom podniku, ktorý riadia. Otvorenou otázkou ostáva, aká je cena bezpečnosti, ktorú podnikoví manažéri riadia. Cena bezpečnosti by mala zodpovedať nákladom vynaloženým na zaistenie bezpečnosti. V zásade by to mali byť priame náklady a náklady na prevenciu. Priame náklady na bezpečnosť podniku a náklady na prevenciu súvisia s parciálnymi zložkami bezpečnosti tak, ako ich chápeme v tejto monografii 11. Obe položky podnik vie naplniť z analytických účtovných podkladov, pokiaľ majú kód príslušnosti k bezpečnosti podniku. Kým priame náklady na bezpečnosť majú charakter režijných nákladov so svojim zdôvodnením, náklady na prevenciu majú charakter investičného rizika. Má platiť zásada, že náklady na bezpečnostné opatrenie pre odvrátenie hrozby by mali byť v primeranom pomere k predpokladaným dôsledkom uvažovaného rizika, prípadne k strate hodnoty chráneného záujmu. Ak je úroveň bezpečnosti relatívne vysoká, akékoľvek ďalšie zvyšovanie nákladov na bezpečnostné opatrenia býva zbytočné, pretože prírastok bezpečnosti už nie je úmerný zvýšeniu nákladov. Sledovanie nákladov na bezpečnosť podniku závisí aj od stupňa integrácie manažérskeho systému, od vzťahov manažérskeho a bezpečnostného systému a bezpečnostnej politiky podniku, vyjadrujúcej nielen čo, ako a čím budú podnikové aktíva chránené, ale aj za akú cenu. Niekedy môže byť postačujúce sledovať tieto nákladové položky individuálne, parciálne, bez nároku alebo možnosti usledovať ich komplexne. 9 Kombinované audity integrovaných manažérskych systémov, rôznej integrácie podľa ISO 9001, ISO 14001, OHSAS 18001, ISO 31000, ISO 50000, ISO 17025, na národnej i medzinárodnej úrovni 10 ISO v kombinácii so štandardmi uvedenými v poznámke 9 11 Pozri kap. 8 Parciálne zložky bezpečnosti podniku 10

12 2. PODNIK V TRHOVEJ EKONOMIKE 2.1. Vybrané state danej problematiky Podnik a jeho znaky Podnik je podľa Obchodného zákonníka definovaný ako súbor hmotných, ako aj osobných a nehmotných zložiek podnikania. K podniku patria veci, práva a iné majetkové hodnoty, ktoré patria podnikateľovi a slúžia na prevádzkovanie podniku, alebo vzhľadom na svoju povahu majú na tento účel slúžiť. Znaky podniku možno rozdeliť na: všeobecné vyskytujú sa v každom type podniku bez ohľadu na spoločensko-politický systém, špecifické závislé od spoločensko-politického systému. Všeobecné znaky podniku sú: Kombinácia výrobných faktorov, hospodárnosť a finančná rovnováha. Špecifické znaky podniku v trhovej ekonomike sú: Princíp súkromného vlastníctva, princíp autonómie a princíp ziskovosti. Z pohľadu tematiky tejto monografie treba ešte uviesť, že spoločenskými zmenami nastali pre podniky súčasnej trhovej ekonomiky zásadné zmeny vo vnímaní rizík a ohrození podniku. Ťarcha rizík a spôsob, akým sa s nimi podnik vysporiada, prešli vyslovene na plecia podnikového manažmentu Podnik ako cieľovo orientovaný systém Cieľ podniku je veličinou budúcnosti a vypovedá o budúcom stave podniku. V cieľoch sa odráža potreba podnikových vstupov, potrebný stav výstupov, potrebný priebeh transformačného procesu a jeho efektívnosť. Ciele podniku sú výsledkom kompromisu medzi jednotlivými záujmovými skupinami. Záujmové skupiny podľa ich postavenia voči podniku a schopnosti i ochote znášať jeho riziká možno rozdeliť na dve skupiny: 1. Interné záujmové skupiny: Vlastníci: - majoritní (majú na zreteli dlhodobé ciele podniku), menšinoví (majú na zreteli skôr okamžité zhodnotenie svojich vkladov). Zamestnanci sa sústreďujú na udržanie, prípadne zvýšenie svojich platov a na profesionálny rast. Manažéri sledujú tak ciele vlastníkov, ako aj ciele zamestnancov. 12 Dufinec, I. Fabiánová, J.: Základy...a podnikovej ekonomiky, 2008 [19] 11

13 2. Externé záujmové skupiny: Dodávatelia, ktorých cieľom sú stabilné podmienky predaja, objem dodávok, včasné uhrádzanie ich pohľadávok. Odberatelia sledujú objem a kvalitu výrobkov a služieb za primeranú cenu. Štát má záujem na pravidelných a vysokých daňových príjmoch, vytváraní pracovných príležitostí, ekologickom správaní podnikateľských subjektov a pod. Veritelia majú záujem na včasnom a efektívnom zhodnotení svojich vkladov. Obidve záujmové skupiny spája v zásade záujem na dlhodobej prosperite podniku. Len ak podnik bude dlhodobo prosperovať, bude možné uspokojiť záujmy jednotlivých skupín. Miera rizík oboch skupín je však rozdielna. V rámci priorít cieľov je potrebné stanoviť najvyšší podnikový cieľ, ktorým je zabezpečenie existencie podniku rast trhovej hodnoty podniku. Zabezpečenie existencie podniku môže byť iba za situácie, keď je podnik hospodársky silný, t.j. ak je dobre kapitálovo vybavený, ak je bezpečný 13. Ohrozenie majetkovej podstaty podniku je stálym rizikom každého podniku, aj keď riziko ohrozenia majetkovej podstaty podniku nemusí byť najväčším rizikom. Klasifikácia podnikových cieľov Podľa obsahu sa ciele podniku členia na: ekonomické a sociálne ciele. Podľa hierarchie sa ciele členia na: vrcholový, základné, pomocné. Z časového hľadiska delíme ciele na: dlhodobé a krátkodobé Na základe vzťahov medzi cieľmi, najmä ich vzťahu k vrcholovému cieľu sa rozlišujú tieto skupiny cieľov: identické, komplementárne, konkurenčné, indiferentné, konzistentné Na vrchole hierarchickej klasifikácie je vrcholový cieľ na dlhodobé obdobie 5 10 rokov, pod ním skupina základných cieľov na obdobie 1 5 rokov, ktoré sú podporné vrcholovému cieľu. Pomocné ciele majú operatívny charakter, sú na obdobie do 1 roka (obr. 2). 13 Vyjadrenie stavu jeho stability, neohrozenosti 12

14 Vrcholový cieľ Základný cieľ 1 Základný cieľ 2 Základný cieľ 3 Pomocný cieľ 1.1 Pomocný cieľ 1.2 Pomocný cieľ 2.1 Pomocný cieľ 2.2 Obr. 2 Klasifikácia cieľov podľa hierarchie Riziká podniku Riziko je neoddeliteľnou súčasťou každého podnikania. Podnik nemôže byť dlhodobo úspešný, ak nie je ochotný na seba vziať určité riziko a nie je ochotný investovať do spôsobilosti toto riziko zvládať 14. Riziko je istý stupeň neistoty. Na jednej strane je spojené s nádejou na dosiahnutie dobrých ekonomických výsledkov, na druhej strane je tu nebezpečie neúspechu. Základné druhy rizík: podnikateľské riziko, čisté riziko. Podnikateľské riziko je riziko spojené s podnikateľským neúspechom, ktorého najčastejším dôsledkom je strata ako výsledok hospodárenia. Nositeľom podnikateľského rizika je iba podnikateľský subjekt. Na podnikateľské riziko vplývajú faktory: externé, ktoré majú často znaky makroekonomických príčin. interné, ktoré obyčajne majú svoj pôvod v osobe podnikateľa, prípadne manažmentu. Podnikateľská činnosť je veľmi rozmanitá, a tak rozmanité sú i riziká, ktoré z podnikateľských činností vyplývajú. Ako už bolo spomenuté, v samotnej skupine podnikateľských rizík sa definujú riziká, ktoré sa vyskytujú objektívne v dôsledku podnikateľského prostredia a ktoré sa vyskytujú subjektívne v dôsledku vykonávania riadiacich činnosti riadiacimi pracovníkmi. Nositeľom objektívnych rizík je podnik ako hospodársky subjekt, nositeľom subjektívnych rizík je podnikateľ, manažér, riadiaci pracovník ako aktívny rozhodujúci subjekt, nositeľ podnikateľských činností. Ide predovšetkým o rozhodovacie riziká, ktoré vyplývajú z toho, že každé 14 Vlastnými opatreniami alebo prenášaním rizík. Pozri kap. 7 Manažérstvo rizík 13

15 rozhodnutie zahrňuje v sebe určitú pravdepodobnosť, že nie je správne. Nesprávne rozhodnutie môže mať potom opačný efekt ako sa pôvodne očakávalo. Toto riziko nesúvisí iba s rozhodovaním, ale vôbec s riadiacimi činnosťami vedúcich pracovníkov na všetkých stupňoch. Trhové a finančné riziká súvisiace s pôsobením podnikateľských subjektov v trhovom prostredí. Na tomto úseku ide najmä o: riziko umiestnenia výrobkov na relevantných trhoch, investičné riziká riziká vyplývajúce z kvality portfólia, riziká práce, úrokové riziká, riziká z likvidity vlastných zdrojov, riziká z výnosovosti vlastného kapitálu, riziká z inflácie, riziká nesolventnosti podnikov a úrovne kúpyschopnosti obyvateľstva. riziká personálneho zabezpečenia: strata kľúčových zamestnancov, nevhodné správanie sa zamestnancov, chyby a omyly pracovníkov, nedostatočná vzdelanostná úroveň Riziká v organizovaní a vedení prevádzkových procesov: neúplné zdieľanie, prípadne utajovanie záverov riešenia problémov, nedostatočné delegovanie právomoci, prípadne nevhodne volená reštrukturalizácia, zlé fúzie, t.j. zlučovanie nekooperatívnych prevádzok, strata dôvery vo vedenie, v koncepciu, v značku a výrobný program Riziká v plánovaní: neúplné a nedôsledné plánovanie, plánovanie len na niektorých stupňoch vertikálnej štruktúry, nevhodné schvaľovacie procedúry plánovacích dokumentov, nepremyslené aplikovanie nových technológií, nedostatočne doriešené vzťahy s tretími stranami a závislosť na nich Riziká v kontrolných činnostiach: nedostatočné monitorovanie výrobných i manažérskych činností, slabé prevádzkovo-kontrolné mechanizmy, nedostatočná práca s výsledkami kontrolnej činnosti Ďalšie prevádzkové riziká 15 : priemyselné havárie, 15 Spadajú do ďalších kategórií bezpečnosti podniku, avšak s ekonomickými dôsledkami 14

16 fyzické poškodenie majetku alebo výrobkov, krádeže podvody špecifické podľa charakteru prevádzky Aplikovanie manažérstva rizík v konkrétnych podmienkach podniku si vyžaduje zamerať pozornosť na dva kľúčové aspekty: 1. prevádzkovú integritu podnikových procesov, 2. schopnosť poskytovať všetky služby včas a v stabilnej kvalite. Obidva aspekty sú dobre zohľadnené práve v systéme riadenia kvality procesným prístupom 16, ktorý v klastri procesov realizácie produktu prihliada na celý životný cyklus produktu, od vývoja počnúc po jeho starostlivosť v exploatácii až do riadenej likvidácie. Ak sú pri realizačných procesoch zohľadňované predpokladané riziká, potom ich minimalizácia na únosnú, prípustnú mieru prispieva ku komplexnej bezpečnosti akéhokoľvek podniku, ktorý je riadený procesným prístupom, s akceptovaním všetkých aspektov a rizík, ktoré sú v jednotlivých procesoch inherentné. Čisté riziko je typické pre podnikateľské aj nepodnikateľské subjekty. Je vždy spojené s ohrozením alebo priamou škodou, či nebezpečenstvom. Vzniká všade tam, kde existuje nebezpečie nepriaznivej situácie. Vzťahuje sa k stratám a škodám na majetku, živote a zdraví, škodám na technických systémoch, ale aj škodám vzniknutým odcudzením, či zneužitím majetku. Čisté riziko počíta s negatívnou udalosťou s negatívnymi dôsledkami. Súčasne známe bezpečnostné systémy, napr. na ochranu osôb a majetku 17 vychádzajú z analýzy rizík identifikovaných v bezpečnostnom prostredí a sú prevažne charakteru čistých rizík. V podnikateľskom prostredí, teda i v podniku samom, často dochádza k premene rizík z jednej formy na druhu, pričom riziko iné, než čisté sa označuje aj ako riziko špekulatívne. Špekulatívne riziko počíta s neistou udalosťou a s neistým dôsledkom, čo znamená s možným nielen záporným, ale i kladným dôsledkom. Ide teda o podnikateľské riziko, ako bolo v predchádzajúcej časti vysvetlené. Bezpečnostné systémy nastavované na tento druh rizík bývajú zložitejšie a rovnako, ako tento druh rizika, aj sofistikovanejšie. 16 Pozri kap. 3.2 Manažérsky systém podľa ISO Pozri kap. 8.7 Fyzická bezpečnosť osôb a majetku v podniku 15

17 3. PODNIKOVÉ MANAŽÉRSTVO 3.1. Formy a nástroje riadenia podniku Manažérstvo 18 je súbor počiatočných a priebežných aktivít manažmentu, uskutočňovaných so zámerom transformácie vstupných veličín riadeného procesu na dosiahnutie menovitých cieľov označených ako výstupy. Uvedené aktivity manažmentu sa orientujú na plánovanie, organizovanie, kontrolovanie, komunikovanie a rozhodovanie, čo považujeme za jeho základné funkcie. Manažment je aj riešiteľom rizík ale i nositeľom rizík zároveň 19. Plánovanie z hľadiska zmien chápeme strategické plánovanie. Je to definovanie poslania, cieľov a stratégie. Tie vytvárajú podnikovú politiku, resp. dielčie politiky, 20 vedúce k rozhodnutiu a napokon k aktivitám a konkrétnym akciám s cieľmi. Organizovanie je rozdeľovanie činnosti za účelom efektívneho dosahovania cieľov procesov v duchu konkrétnej politiky. Kontrolovanie predstavuje spätnú väzbu a je základom kybernetického modelu riadenia, bez ktorého nie je možné efektívne riadenie. Komunikovanie vo vnútri organizácie integruje manažérske funkcie a spája organizáciu s vonkajším prostredím. Podmienkou efektívnej komunikácie je: znalosť vecí a vnútorné presvedčenie schopnosť zrozumiteľne zdieľať informácie schopnosť načúvať a pýtať sa rešpekt k osobnosti partnera Motivovanie je súčasťou manažérstva zdrojov, je to vedenie a príprava ľudí i vodcovstvo. Týka sa predovšetkým vnútra organizácie. Rozhodovanie je proces prijímania najlepšieho riešenia zo všetkých možných, ktoré sa ponúkajú Politika podniku Svetová Banka používa pre svoje posudzovanie podnikov nasledovnú klasifikáciu. Triedi podniky podľa ich schopnosti prežiť v konkurenčnom boji na podniky 21 : Životaschopné 18 Manažérstvo predstavuje proces, manažment predstavuje manažérov 19 Pozri kap. 7.2 Implementácia manažérstva rizík a incidentov. 20 Napr. Obchodná, Personálna, Bezpečnostná politika, Politika kvality, a pod. 21 Z materiálov Zväzu strojárskeho priemyslu,

18 Potenciálne životaschopné Pravdepodobne životaneschopné Životaneschopné Ak sa podnik alebo aj štát boria so základnými existenčnými problémami, je potrebné, aby u nich nastúpila nová politika vychádzajúca predovšetkým z vízie, z novej koncepcie a reálnych cieľov, tak v makroekonomickej ako i v mikroekonomickej sfére na úrovni štátu i na úrovni každého podnikateľského subjektu. Ukazuje sa totiž, že práve absencia dobrej politiky je počiatkom každého neúspechu. Úmysel podnikať, alebo v podniku niečo zmeniť, prerastá spravidla do analýzy podmienok podnikania. Predovšetkým musí existovať produkt, ktorý chce budúci podnik ponúkať a samozrejme trh, okruh zákazníkov, ktorému tento produkt bude predávať. Musia sa zanalyzovať silné a slabé stránky podnikania rovnako, ako príležitosti i ohrozenia, ktoré stoja podnikaniu v ceste. Je to známa SWOT analýza 22, ktorú uplatňujeme nielen v začínajúcich podnikoch, ale pri každej zásadnej zmene existujúceho podniku, či dokonca jeho úplnej reštrukturalizácii. Na podnikanie sú taktiež potrebné zdroje financovania, buď vlastné alebo cudzie a organizácia budúcich aktivít, aby podnikanie prebiehalo systematicky a nie chaoticky. Táto prípravná fáza podnikania, či reštrukturalizácie, pravdepodobne prerastie do zostavenia koncepcie podniku a stratégie dosahovania cieľov. Na základe SWOT analýzy a definovania počiatočných zdrojov prijíma vedenie podniku zásadné rozhodnutia, ktoré potom majú dosah na nižšie organizačné zložky a ich výkony, resp. na celkové výsledky podnikania. Vyjadrením týchto rozhodnutí je politika podniku. V trhovej ekonomike môže prežiť a dlhodobo sa rozvíjať jedine taký podnik, ktorý dokáže ponúkať svoje produkty, čiže výrobky alebo služby so ziskom. Toto sa dá dosiahnuť jedine uspokojovaním potrieb zákazníkov, ktorých platby tvoria hlavný trvalý zdroj príjmov daného podniku. Tieto zdroje sa následne použijú na krytie jeho spracovateľských nákladov a tvorbu zisku, ako zdroja ďalšieho rozvoja. Tomuto kolobehu peňazí hovoríme finančný tok 23. Kľúčovým podnikateľským dokumentom je podnikateľský plán 24, ktorý konkretizuje politiku podniku. Politika podniku sa má odvíjať od trhového prostredia, ktoré odzrkadľuje skutočnosť, že žiadny podnik nemá v trhovej ekonomike k svojmu odberateľovi výlučný vzťah. Musí rátať s jeho reakciami na konkurenčného dodávateľa. Ide o jedno z podnikateľských rizík, ktorým je strata trhu. Schéma na obr. 3 nám znázorňuje uvedené súvislosti na trhu, ako istú logiku Akronym anglických slov Silné stránky, Slabé stránky, Príležitosti, Ohrozenia 23 Anglický ekvivalent - cash flow 24 Business plan 25 Masing, W.: Handbuch der Qualitätssicherung, Múnchen, Wien, 1980 [31]. 17

19 Ďalšími prvkami politiky podniku sú súvisiace aspekty jeho produktu, procesov realizácie produktu a zdrojov. Sú nie menej závažnými zdrojmi rizík podnikania a podniku, o ktorých budú pojednávať jednotlivé kapitoly monografie. Obr. 3 - Vzájomné závislosti vzťahov v trhovej ekonomike podľa [31] Odberateľ, dodávateľ a konkurent majú navzájom podnikateľskú slobodu. Dodávateľ ponúka odberateľovi svoj výrobok za najlepších podmienok (1). Odberateľ informuje konkurenta a očakáva pozitívnu reakciu (2), ktorá spravidla prichádza veľmi rýchlo (3). Odberateľ okamžite reaguje na pôvodnú ponuku dodávateľa obohatený novou informáciou (4). Medzitým dodávateľ získal inými kanálmi informácie o konkurencii (5). Konkurent ovplyvnený reakciou dodávateľa (6) priamo reaguje a koná..., určite nie bez rizika. A nie bez rizika prijíma svoje rozhodnutie napokon aj odberateľ. Politika podniku má niekoľko svojich častí, podľa rozsahu a typy podniku. Bezpečnostná politika by mala byť, podobne ako personálna alebo cenová politika, či politika kvality, súčasťou celkovej politiky podniku. Je vyjadrením koncepcie, cieľov a stratégie podniku, ako dosahovať stanovené bezpečnostné ciele. Ideálnym riešením je integrovaná politika, ktorá zahŕňa všetky aspekty a riziká bezpečnosti podniku Manažérsky systém podľa normy ISO Implementácia ISO 9001 do riadenia podniku Rozhodnutie o realizácii zmien systému manažérstva kvality podľa štandardov radu ISO 9000 vedie k činnostiam rozdeleným do troch fáz, z ktorých prvé dve sa týkajú budovania systému a tretia sa týka certifikácie systému. Uvedené fázy zmien sú: Analýza systému 18

20 Implementácia nových prvkov Certifikácia systému Projekt vybudovania systému manažérstva kvality podľa požiadaviek ISO 9001 je zameraný na všetky oblasti riadenia ekonomiku, plánovanie, realizáciu procesov, kontrolu a personalistiku. Výsledkom implementácie zásad manažérstva kvality do jednotlivých procesov je synergické pôsobenie ich dielčích efektov na celkovú kvalitu činnosti organizácie. Projekt zahŕňa školenia všetkých úrovní pracovníkov organizácie - ako školenie úvodné a následné po vypracovaní dokumentácie, ďalej rozšírené školenie pracovníkov zamerané na konkrétnu problematiku procesov. Samostatným prípadom školenia je školenie interných audítorov kvality, v súlade s požiadavkami noriem a certifikačných orgánov. Rozsah projektu zavádzania systému manažérstva kvality závisí od zložitosti a vzájomnej väzby procesov v organizácií, od úrovni súčasného systému riadenia, od rozsahu a kvality vnútorných predpisov, od schopnosti personálu realizovať potrebné zmeny a predovšetkým od miery podpory celého projektu vrcholovým vedením. Z hľadiska istej administratívnej náročnosti je kľúčové prípravné obdobie, v ktorom je nutné písomne spracovať celý rad dokumentácie a zabezpečiť ich trvalé dodržovanie, riadenie a aktualizáciu. Rozsah a formálna úprava je ponechaná plne na vôli organizácie. V následnom období udržovania a zlepšovania systému už dochádza iba ku spracovávaniu, k analýze a k vyhodnocovaniu záznamov, slúžiacich k trvalému zlepšovaniu procesov a tým aj produktov. Zavedenie systému manažérstva kvality predstavuje vždy pomerne náročný proces a trvalý zásah do života organizácie. Ak má realizácia projektu priniesť organizácií trvalé efekty, je nutné dôsledne trvať na dodržiavaní nastavených postupov hlavne v období po získaní certifikátu. Udržovanie a trvalé zlepšovanie systému manažérstva kvality organizácie je preverované pravidelnými kontrolnými auditmi zvoleným certifikačným orgánom Manažérstvo kvality ako systém Model systému manažérstva kvality vychádza z procesného prístupu, znázorňuje skladbu systému, väzby medzi procesmi a zmysel jeho účinkovania. Zákazník určuje požiadavky a vyhodnocuje výsledky. Zákazník stojí na začiatku a na konci reťaze procesov, výsledkom ktorých je pridaná hodnota pre zákazníka. Takýto model systému vychádza z filozofickej požiadavky TQM 26, resp. modelu výnimočnosti EFQM 27, ku ktorým systém zákonite smeruje. Nasledujúci obrázok č. 4 schematicky znázorňuje model systému manažérstva kvality podľa medzinárodných noriem radu ISO Total Quality Management 27 European Foundation for Quality Management 19

21 Obr. 4 - Model systému manažérstva kvality podľa noriem radu ISO 9000 Štandardizovaný model systému manažérstva kvality na obrázku zahŕňa všetky požiadavky medzinárodnej normy systému manažérstva kvality, bez nároku na podrobnejší popis jednotlivých procesov systému. Podrobnejší popis procesov systému, v rozsahu opisu klastrov, t.j. prvkov systému, obsahujúcich jednotlivé procesy bude predmetom ďalších kapitol a to vo väzbe na nosnú tému monografie. Pre podrobnejšie štúdium manažérstva kvality odporúčame čitateľom tejto monografie špecializované publikácie, ktorých je aj na slovenskom trhu pomerne dosť. Manažérstvo kvality ako systém je prostriedok na dokumentovanie postupov, ktorými sa plánuje, riadi a hodnotí každá činnosť popísaná v dokumentácii manažérstva kvality, vypracovanej v zhode s požiadavkami medzinárodnej normy. Tento poriadok zabezpečuje zvýšenú bezpečnosť realizácie produktov podniku vo všetkých zložkách komplexnej bezpečnosti podniku. Manažérstvo kvality ako manažérska disciplína je neoddeliteľnou súčasťou manažérstva organizácie pre ktoré sa určilo osem zásad, ktoré vrcholový manažment môže využiť pri vedení organizácie smerom k zlepšenej výkonnosti. Osem zásad manažérstva kvality podľa noriem radu ISO 9000: Zameranie sa na zákazníka Vodcovstvo a vedenie Zapojenie pracovníkov Procesný prístup Systémový prístup Rozhodovanie na základe faktov Trvalé zlepšovanie Vzájomne výhodné dodávateľské vzťahy 20

22 Štandardizovaný systém manažérstva kvality je dokumentovaným manažérskym systémom s riadenou dokumentáciou tohto systému. Sú to najlepšie podmienky i v riadení bezpečnosti podniku. Schéma systému manažérstva kvality podľa noriem radu ISO 9000 obsahuje päť klastrov, t.j. prvkov systému, obsahujúcich nadväzujúce alebo súvisiace procesy. Prvkami systému manažérstva kvality sú 28 : Systém riadenia, stručne opísaný hore Zodpovednosť manažmentu Manažérstvo zdrojov Realizácia produktu Meranie, analýza a zlepšovane Zodpovednosť manažmentu znamená, že vedenie má najvyššiu zodpovednosť. Manažment prijíma a realizuje strategické rozhodnutia, ktoré sa na nižších stupňoch riadenia premieňajú na operatívne rozhodovanie zamerané na stanovené ciele. Manažment musí zabezpečiť transformáciu požiadaviek zákazníka do procesov organizácie. Táto úloha má vychádzať zo záväzku manažmentu na uskutočnenie tohto rozhodnutia, pričom manažment stanovuje politiku kvality a ciele kvality, zabezpečuje zdroje a vykonáva preskúmanie systému v pravidelných vopred stanovených intervaloch. Manažment prijíma najvyšší záväzok voči zákazníkovi urobiť vo vlastnej organizácii všetko preto, aby boli splnené jeho požiadavky. Táto zodpovednosť mu zostáva, nech je miera delegovania právomoci a zodpovednosti akákoľvek. Súčasťou záväzku ku kvalite je aj deklarácia dôležitosti priebežného plnenia požiadaviek zákazníka, ako aj požiadaviek vyhlášok a legislatívnych požiadaviek. V súvislosti s cieľmi má manažment definovať spôsob merania výkonnosti organizácie aby sa dalo overovať, či sa dosahujú strategické ciele organizácie. Rozsah merania je závislý od veľkosti podniku a kľúčových procesov, pričom má zahŕňať od samostatných ukazovateľov finančných, procesných, či ukazovateľov spokojnosti zákazníkov, až po viac parametrické ukazovatele zložitého, počítačmi podporovaného systému sledovania vyvážených ukazovateľov výkonnosti a efektívnosti. Manažment tvorí politiku kvality 29 v súlade s celkovou podnikateľskou politikou. Preto má byť primeraná účelu organizácie a má poskytovať rámec na vypracovanie a preskúmanie cieľov kvality 30. Pre uľahčenie efektívneho manažérstva kvality, manažment definuje organizačnú štruktúru, v nej konkrétne útvary a funkcie, ako aj vzájomné väzby. Analyzuje a definuje procesy, vrátane interakcií a zostavuje mapu procesov. 28 Ako v ďalšom uvidíme, aj manažérstva bezpečnosti podniku 29...a bezpečnostnú politiku 30...a cieľov bezpečnosti podniku 21

23 Manažment stanovuje maticu zodpovednosti vzťahujúcu sa k procesom a k organizačnej štruktúre, resp. k zodpovedným pracovníkom za procesy. Manažment tak prostredníctvom organizácie, postupov a zdrojov zabezpečuje fungovanie systému. Súčasťou fungujúceho systému sú dokumentované postupy a riadené záznamy 31. Pridelenie zodpovednosti a právomoci zo strany manažmentu, pomáha zapojiť pracovníkov podniku do organizovanej činnosti a dáva priestor vytvoriť ich záväzok voči cieľom. Vrcholový manažment menuje zo svojho stredu jedného, koho poverí zodpovednosťou za zavedenie, udržiavanie a zlepšovanie systému manažérstva kvality, bez ohľadu na ďalšiu zodpovednosť. Je to predstaviteľ vedenia, alebo zmocnenec pre kvalitu, ktorý okrem zodpovednosti preberá aj primeranú právomoc 32. Zmocnenec vedenia pravidelne informuje vedenie o výkonnosti systému manažérstva kvality a o akejkoľvek potrebe jeho zlepšovania. Predkladá vedeniu výsledky monitorovania a vyhodnocovania procesov a koordinuje nápravné a preventívne opatrenia smerujúce k zlepšovaniu procesov. Vrcholový manažment zabezpečuje okrem externej komunikácie vo veciach kvality aj internú komunikáciu a prenos informácií, údajov a faktov pre manažérske rozhodovanie na príslušných úrovniach. Príkladmi komunikačných nástrojov sú stretnutia tímov, schôdze a mítingy, oznámenia na výveskách, vnútropodnikové noviny a audiovizuálne a elektronické média. Spôsob komunikácie musí byť dokumentovaný v príručke kvality. Vrcholový manažment musí v plánovaných intervaloch preskúmať systém manažérstva kvality organizácie, aby sa zaistila jeho trvalá vhodnosť, primeranosť a efektívnosť. Toto preskúmanie musí zhŕňať hodnotenie príležitosti na zlepšenie a potrebu zmien systému manažérstva kvality, vrátane politiky kvality a cieľov kvality. Preskúmanie systému manažmentom je jeden z manažérskych nástrojov zabezpečujúcich spätnú väzbu manažérskeho rozhodovania. Má svoje vstupy a svoje výstupy. Manažérstvo zdrojov je činnosť manažmentu zameraná na zabezpečenie a udržiavanie všetkých prostriedkov vstupujúcich do procesov systému tak, aby bol zabezpečený rozbeh a plynulý priebeh týchto procesov na takej úrovni, aby sa mohol dosahovať očakávaný výsledok procesov a ciele. Ľudské zdroje sú najcennejším kapitálom podniku a vyžadujú osobitný prístup, najmä v oblasti poznania, zručností a spôsobilosti 33. Ďalej treba vziať do úvahy všetky zdroje a mechanizmy na podporu inovačného procesu, jeho organizačné štruktúry a projekty 34. Do manažérstva zdrojov patria všetky prírodné zdroje, ich používanie, vplyv a účinok prostredia. Súčasťou 31 Slúžia aj ako dôkaz funkčnosti systému 32 Tento prístup sa aplikuje aj nad rámec manažérstva kvality, napr. menovaním zmocnenca pre bezpečnosť podniku, ako zmocnenca integrovaného manažérstva 33 Manažérstvo znalostí 34 Manažérstvo vývoja 22

24 manažérstva zdrojov je aj zabezpečovanie súčasných a plánovanie budúcich, netradičných zdrojov energie 35. Manažérstvo zdrojov je jedným z najtypickejších čŕt manažérskej činnosti, ktorá sa prejavuje na všetkých úrovniach riadenia, od najvyššieho vedenia počnúc, až po vedúceho, postaveného na najnižšej úrovni. Informácie sú základným zdrojom pre stály rozvoj fondu znalostí organizácie 36 a môžu stimulovať inováciu. Informácie sú podstatné pre rozhodovanie na základe faktov 37. Aby sa informácie dali efektívne riadiť, organizácia má identifikovať svoje informačné potreby a zdroje informácií externých a interných. Tie sa stávajú súčasťou komunikácie 38. Ďalej musí zabezpečiť včasný prístup k zodpovedajúcim informáciám a efektívne využívanie informácií na plnenie svojich zámerov a cieľov. Neposlednou úlohou manažmentu je zabezpečiť primeranú ochranu údajov, informácii a dôvernosť Systémový prístup požaduje účinné manažérstvo spracovania informácií a potenciálne zlepšovanie toku informácií. Preto manažment organizácie musí zabezpečiť vybudovanie primeraného informačného systému, ktorý zahŕňa formuláciu prístupu k strategickým a operatívnym informáciám, vhodnú voľbu jeho technickej realizácie, ako aj projektové riadenie jeho zavedenia. Manažérstvo finančných zdrojov je povedľa ľudských zdrojov jedným z najdôležitejších manažérskych činnosti podniku pri budovaní, udržiavaní a zlepšovaní nielen systému manažérstva kvality, ale podniku ako takého. Rečou vedenia je rečou peňazí. Nie je na tom nič zlého, práve naopak ich rozumným rozdeľovaním môže manažment dosiahnuť splnenie strategických cieľov a zámerov často aj pri ich relatívnom nedostatku. Najpodstatnejšie pri riadení finančných tokov je stále udržiavanie hladiny disponibilných zdrojov na takej úrovni, aby bolo možné kryť všetky výdavky spojené s realizáciou produktu v požadovanej kvalite. Preskúmanie systému vedením 39 má využívať účtovné výkazníctvo týkajúce sa výkonnosti systému manažérstva kvality a kvality produkcie 40 na účely optimálnej alokácie zdrojov. Tento systematický prístup financovania k vytváraniu zdrojov pre rozvoj podnikania ako celku je základom manažérstva finančných zdrojov. Realizácia produktu je postupnosť procesov a subprocesov tvoriacich systém manažérstva zameraného na vytvorenie produktu. Pretože na jeho realizáciu sú nevyhnutné zdroje a technika, tieto je potrebné plánovať spolu s plánovaním samotných realizačných procesov. Plánovanie realizačných procesov musí byť preto v súlade s ďalšími požiadavkami systému manažérstva kvality organizácie a musí sa zdokumentovať vo forme vhodnej pre spôsob prevádzky organizácie, podniku. 35 Energetické hospodárstvo 36 Knowledge Management Znalostné manažérstvo 37 ISO 9000, Zásady systému manažérstva kvality 38 ISO 9001, Kap. 5.5 Zodpovednosť a právomoc 39 ISO 9001, Kap. 5.6 Preskúmanie vedením 40 ISO 9001, Kap. 8 Meranie, analýza a zlepšovanie 23

25 Aby sa zabezpečila realizácia produktu, musia sa zvážiť požadované vstupy, postupnosť krokov v rámci procesu, činnosti, toky materiálové i informačné, kontrolné mechanizmy a ukazovatele, požiadavky na školenie, zariadenie, metodiky, informácie, materiály a ďalšie zdroje. Aby sa zabezpečilo, že všetky procesy fungujú ako účinný systém, podnik musí vykonať analýzu, ako procesy vzájomne súvisia, určiť interakcie. Analýza má brať do úvahy, že výstup z jedného procesu je vstupom do iného procesu 41. Na všetky činnosti sa majú vzťahovať zásady manažérstva procesov 42 a systému manažérstva kvality 43. Prv než dôjde k plneniu dodávky, organizácia musí preskúmať všetky požiadavky týkajúce sa produktu spolu s doplnkovými požiadavkami stanovenými podnikom. Toto preskúmanie musí vykonať ešte pred svojim rozhodnutím o dodaní produktu zákazníkovi 44. Podnik musí riadiť svoje procesy nakupovania, aby zaistila, že nakupovaný výrobok zodpovedá požiadavkám. Druh a rozsah riadenia musí závisieť na ich vplyve na následné realizačné procesy a na ich výstupy. Podnik musí hodnotiť a vyberať dodávateľov na základe ich schopnosti dodávať výrobok podľa požiadaviek organizácie, podniku. Musia sa definovať kritéria výberu a opakovaného hodnotenia. Výsledky hodnotenia a následné opatrenia sa musia zaznamenať. Podnik musí identifikovať a zaviesť činnosti nevyhnutné na overovanie nakúpeného produktu. Podnik má stanoviť potrebu záznamov o overovaní nakúpeného výrobku, komunikácii s dodávateľom a reakcií na nezhody, aby preukázala jeho zhodu so špecifikáciou. Procesy výroby a poskytovania služieb predstavujú jadro činnosti organizácie orientovanej na tvorby hodnoty pre zákazníka. Zahŕňajú riadenie výrobku dodaného zákazníkom, identifikovateľnosť produktu v procese a spätnú sledovateľnosť, samotné riadenie výrobného procesu a poskytovania služieb, kontrolu a skúšanie, riadenie kontrolných, skúšobných a meracích zariadení, stav po kontrole a skúškach, manipuláciu, skladovanie, balenie, konzerváciu a dodávanie výrobku, či poskytovania služieb. Meranie, analýza a zlepšovanie je prvok systému manažérstva kvality, ktorý určuje, že podnik, organizácia musí určiť merania, ktoré sa majú vykonávať a meracie a monitorovacie zariadenia požadované na zabezpečenie schopnosti overovať zhodu so špecifickými požiadavkami. Meracie a monitorovacie zariadenie sa musia používať a riadiť spôsobom, ktorý zaisťuje, že možnosti merania sú v súlade s požiadavkami na meranie Procesný prístup manažérstva 42 Tamtiež 43 ISO 9000, Zásady manažérstva kvality 44 Napr. pred cenovou ponukou, pred prijatím objednávky, alebo uzatvorením zmluvy 45 Viac napr. v [4], [9], [30] 24

26 Aby podnik mohol úspešne vykonávať svoju činnosť a strategické rozhodovanie, špecifikuje metodiku zberu a analýzy údajov, ako aj ukazovateľov úspešnosti. Má sa pri tom opierať o procesy týkajúce sa zákazníka, predovšetkým komunikácie so zákazníkom. Má vypracovať vlastný dokumentovaný postup zberu, analýzy a následného konania a to na základe získaných informácií obsiahnutých v údajoch od zákazníka, ktoré odrážajú stupeň jeho spokojnosti. Kľúčové procesy majú byť analyzované, aby sa odhalili všetky vplyvy, ktoré na procesy pôsobia. Aplikujú sa pri tom nástroje inžinierstva kvality, predovšetkým štatistické metódy 46. Výsledok analýzy rozhodne o spôsobe riadenia daného procesu, t.j. ktorý proces bude riadený štatistický, v rámci štatistickej regulácie a ktorý bude podliehať sporadickej kontrole podľa špecifikovaného a predpísaného kontrolného postupu. Štatistická regulácia a štatistická prebierka sa aplikujú predovšetkým v hromadných výrobných procesoch. Štatistická analýza procesov sa vykonáva aj v nevýrobných procesoch tam, kde má organizácia mimoriadny záujem dosahovať vysokú spoľahlivosť výsledkov. Postupuje sa nástrojmi manažérstva kvality podľa ISO 9004 a niektorými modernými a veľmi účinnými postupmi, ako napr. SIX SIGMA 47, FMEA, DoE, MSA, Paretova analýza, Ishikawa diagram, 8D-Report, KAIZEN, atď., ktoré sú popísané v množstve dostupnej literatúry. Interný audit spolu s preskúmaním systému vedením sú dva základné piliere na ktorých stojí vybudovaný systém manažérstva kvality, jeho udržiavanie a predovšetkým zlepšovanie. Interný audit poskytuje informácie, či systém manažérstva kvality finguje efektívne a či nedošlo v priebehu času k takým podmienkam, ktoré sú v rozpore s požiadavkami systému, čím sa vytvárajú predpoklady krátkodobej, alebo dlhodobej nezhody 48. Audity môžu vykonávať len takí pracovníci, ktorí sú pre to spôsobilí a kompetentní. Pri tom nesmú auditovať činnosť, ktorú sami vykonávajú aby sa vylúčil konflikt záujmov. Vykonávanie auditu sa realizuje podľa dokumentovaného postupu, ktorý musí zahŕňať zodpovednosti a požiadavky na vykonávanie auditov, na zabezpečenie ich nezávislosti, na zaznamenanie výsledkov a na podávanie správ vedeniu. Podnik musí zabezpečiť, aby sa produkt, ktorý nezodpovedá požiadavkám, identifikoval a operatívne riadil tak, aby sa zabránilo jeho neželateľnému použitiu alebo dodaniu. Tieto činnosti musia byť definované v dokumentovanom postupe. Produkt zaregistrovaný ako nezhodný, buď v procese jeho výroby alebo exploatácie, je predmetom konania o nezhode. Postupuje sa v súlade s dokumentovaným postupom, ktorý predpisuje používanie predpísaných formulárov. Podnik musí v neposlednom rade plánovať a riadiť procesy nevyhnutné na trvalé zlepšovanie systému manažérstva kvality, využívajúc pri tom známy 46 Bližšie v Dufinec I.: Inžinierstvo kvality, kap. 9.6 [4] 47 Pozri príklad v kap Netradičný prístup v zlepšovaní procesov, alebo [16] 48 Pozri kap. 9 Audit manažérskeho a bezpečnostného systému 25

27 Demingov cyklus P-D-C-A, politiku kvality, ciele kvality, výsledky auditov, analýzy údajov, nápravných a preventívnych činnosti a preskúmaní manažmentom. Nápravné opatrenia sú logickým následkom zistenej nezhody, aby sa odstránila príčina a zabránilo sa opakovaniu. Nápravné opatrenia musia zodpovedať závažnosti odhalených problémov. Preventívne opatrenia musí organizácia identifikovať za účelom odstránenia príčin potenciálnych nezhôd a aby zabránila ich opakovaniu. Vykonané preventívne opatrenia musia zodpovedať závažnosti potenciálnych problémov, v princípe ide o manažérstvo rizík Manažérstvo rizík v systéme riadenia podniku Manažérstvo rizík v systéme riadenia podniku je súbor takých prvotných a následných činností, ktoré v konečnom dôsledku povedú k zníženiu alebo úplnej eliminácii rizík, identifikovaných manažmentom podniku. Postupy manažérstva rizík v podniku sa odvíjajú od implementácie medzinárodného štandardu ISO a v systéme manažérstva kvality by sme ich mohli nájsť v procesoch spojených s realizáciou produktu, ktoré sa vyznačujú rôznymi aspektmi charakterizujúcimi istú formu rizika. Sú to všetky procesy realizácie produktu spojené napr. s environmentálnymi aspektmi, bezpečnostnými rizikami BOZP, rizikami úniku citlivých informácií, rizikami ohrozujúcimi ekonomickú bezpečnosť podniku a pod. Podľa týchto rizík, v spojení s manažérstvom kvality ako integrovaný manažérsky systém, budeme uvažovať o parciálnych zložkách komplexnej bezpečnosti podniku Pozri kap. 7 Manažérstvo rizík a kap. 8 Parciálne zložky bezpečnosti podniku 26

28 4. ÚVOD DO BEZPEČNOSTI PODNIKU Bezpečnosť reálneho podniku začína a končí pri bráne do podniku a zahŕňa v sebe tak bezpečnosť jeho aktív, ako aj bezpečnosť všetkých zamestnancov ale i zákazníkov, či zainteresovaných osôb a všetkých ich aktív, ktoré so sebou do podniku prinášajú. Mohli by sme konštatovať, že je to dobre zabezpečená ochrana osôb a majetku podniku. Nie však iba známou ochranou vo forme bezpečnostnej služby, napr. SBS s jej výstrojom a režimom. Pretože, ak vezmeme do úvahy, čo v sebe pojem aktíva obsahuje, musíme pripustiť, že táto ochrana osôb a majetku, ako prejav bezpečnosti podniku, je zložitej povahy. Snaha o bezpečnosť podniku je sústavné a efektívne využívanie zdrojov zabezpečujúcich stabilné fungovanie podniku v súčasnosti a jeho stály rozvoj pre potreby budúcnosti, v duchu trvalo udržateľného rozvoja 50 celej spoločnosti. V tejto snahe je ochrana osôb a majetku 51 neodmysliteľná činnosť, pretože v opačnom prípade by sa potierali možnosti fungovania a rozvoja podniku. Prakticky to znamená, že bezpečný podnik vykonáva trvalú množinu bezpečnostných opatrení na ochranu v podniku pôsobiacich osôb a všetkých hmotných i nehmotných aktív súvisiacich s jeho podnikaním. Podnikateľské prostredie podniku, v ktorom sa osoby a majetok nachádzajú, je nositeľom rôznych rizík a ohrození týchto osôb a majetku. To mu dáva charakter bezpečnostného prostredia. Podnik toto bezpečnostné prostredie zvláda riadením, t.j. primeraným bezpečnostným systémom, aplikovaným bezpečnostným manažérstvom. Nutné bezpečnostné opatrenia vykonáva v súlade s prijatou bezpečnostnou politikou a celkovou stratégiou podnikania, prostredníctvom realizovaných procesov bezpečnostného systému. Bezpečnostný systém, ktorý je v danom bezpečnostnom prostredí podniku nasadzovaný, môže byť riadený podnikovým manažmentom alebo externým manažmentom. V prvom prípade je bezpečnostné manažérstvo totožné s podnikovým manažérstvom, ako integrovaný manažérsky systém, v druhom prípade je od podnikového manažérstva odtrhnutý a je vykonávané ako nakupovaná služba 52. Teória bezpečnosti a terminológia podnikovej ekonomiky a riadenia naznačujú a praktické skúsenosti potvrdzujú, že komplexná, teda úplná bezpečnosť podniku je charakterizovaná svojimi parciálnymi zložkami, medzi ktoré možno zovšeobecnene zaradiť desať týchto parciálnych zložiek: Fyzická bezpečnosť osôb a majetku nachádzajúcich sa v podniku Ekonomická bezpečnosť podniku Environmentálna bezpečnosť, vrátane požiarnej ochrany a prevencie havárií Bezpečnosť a ochrana zdravia pri práci v podniku Bezpečnosť a ochrana osobných údajov osôb pohybujúcich sa v podniku Bezpečnosť informačných systémov viažucim sa ku kľúčovým procesom Bezpečnosť a ochrana vnútorného poriadku podniku 50 Trvalo udržateľný rozvoj má tri aspekty: Ekonomický, environmentálny a sociálny. 51 Hmotného i nehmotného, teda podnikových aktív 52 Pozri kap. 1.2 Vybrané state danej problematiky 27

29 Bezpečnosť a ochrana utajovaných skutočností nad rámec osobných údajov Bezpečnosť infraštruktúry, menovite kritickej, podľa charakteru podniku Bezpečnosť produkcie ako aspekt jej kvality Uvedené základné parciálne zložky bezpečnosti podniku predstavujú jednotlivé zložky komplexnej bezpečnosti podniku, ktorou podnik garantuje široko koncipovanú ochranu osôb a majetku nachádzajúcich sa v ňom. Majetok podniku je všetko to, čím podnik podniká, uskutočňuje svoje zámery. Pretváranie majetkovej podstaty procesmi, ktoré sú nositeľmi niektorých z inherentných rizík, uvedených parciálnych zložiek bezpečnosti, stotožňuje toto podnikové manažérstvo s bezpečnostným manažérstvom relevantných rizík. Preto je možné, dokonca celkom prirodzené, že napr. manažérstvo BOZP je súčasťou podnikového manažérstva. Podobne je možné uvažovať o environmentálnych rizikách, rizikách informačnej bezpečnosti, atď., pretože relevantné riziká sú spojené s realizačnými procesmi produktov podniku. Aj keď niektoré riziká nie sú bezprostredne spojené s realizačnými procesmi pretvárania majetkovej podstaty podniku a sú riadené externými bezpečnostnými systémami, sú súčasťou tej istej majetkovej podstaty, ktorú podnik chráni. Prepojenie vnútorných bezpečnostných systémov, alebo integrovaného systému s vonkajším bezpečnostným systémom, podnik vytvára komplexné riadenie bezpečnosti podniku, čím komplexne chráni osoby a majetok nachádzajúce sa v podniku. Komplexná bezpečnosť podniku nie je stavová ale toková veličina, meniaca sa so zmenou majetkovej podstaty podniku 53. Úroveň komplexnej bezpečnosti samozrejme závisí od miery integrácie parciálnych zložiek bezpečnosti. Otázky integrácie sú pritom otázkami predmetu podnikania, politiky podnikania a osobností manažérov, schopných s istou dávkou znalostí riadiť problematiku uvedených podsystémov integrovaným spôsobom. Manažérsky a bezpečnostný systém majú svoje príslušné informačné technológie (IT), od najjednoduchších po najzložitejšie, závislé od úrovne riadených procesov systému. Maximálna integrácia predpokladá maximalizáciu informačnej technológie, ako prostriedku komplexného manažérskeho rozhodovacieho procesu. Takáto integrácia je dnes pre mnohé podniky iba víziou, ale aj výzvou a možnou blízkou realitou pre tých, ktorí správne pochopili integrovaný manažérsky systém založený na procesnom prístupe riadenia podniku s aspektmi komplexne pojatej bezpečnosti. Je možné ju budovať postupne, akceptujúc základne princípy podsystémov a ich integrácie. Nikdy ju však nemožno kopírovať. Je založená na špecifikách každého podniku. Manažéra komplexne poňatej bezpečnosti možno nazvať CSO (Chief Security Officer), ktorý by mal byť podriadený vrcholovému manažérovi CEO (Chief Executive Officer), napr. tak, ako to naznačuje obr Na rozdiel od pojmu bezpečný podnik, ako stavová veličina, ktorý vyjadruje stav a má skôr certifikačný a komerčný význam. 28

30 Obr. 5 Fiktívna organizačná schéma s pozíciou CSO Bezpečnostný manažér je zodpovedný za všetky aspekty bezpečnosti podniku, vrátane fyzickej ochrany osôb a majetku, alebo ekonomickej bezpečnosti, pokiaľ tieto spadajú do kritickej architektúry bezpečnosti. Je zodpovedný za zavedenie, udržiavanie a zlepšovanie bezpečnostného systému podniku, podľa prijatého modelu, prijatých manažérskych systémov a bezpečnostnej stratégie, ktorých je sám spolutvorcom. Pre svoje manažérske rozhodovanie využíva podnikovú informačnú technológiu (IT), pretože procesy, ktoré v podniku prebiehajú sú podporované a výsledky zaznamenávané informačnou technológiou. Od jej úrovne závisí aj celková úroveň riadenia komplexnej bezpečnosti podniku. Diery v informačnej technológii znižujú úroveň bezpečnosti podniku v každom jej aspekte. Manažéra IT v ktorejkoľvek forme realizácie procesov možno označiť ako CIO (Chief Information Officer), ktorý je zároveň aj vlastníkom týchto procesov a ich informačného systému. Proces vlastniť znamená proces udržiavať a trvale zlepšovať. Parciálne zložky bezpečnosti podniku i ich integrálna podoba môžu mať niekoľko foriem, závislých od organizačných predpokladov, finančných možnosti a iných predpokladov, zhrnutých do bezpečnostnej politiky podniku. Bezpečnostná politika tak určuje model bezpečnosti podniku, t.j. model realizácie bezpečnostného systému, alebo viacerých systémov integrovaných do jedného manažérskeho systému. V ďalšom si ukážme niektoré modely 54. Každý z modelov je funkčný do takej miery, do akej je v ňom správne vybraný a aplikovaný manažérsky systém. 54 Modely sú založené na princípe informačnej technológie, ktorá poskytuje informácie pre zabezpečovanie procesov s aspektmi bezpečnosti podľa očakávaných výsledkov. 29

31 5. MODELY BEZPEČNOSTI PODNIKU 5.1. Model ignorovanej bezpečnosti Ide o prípad podniku, ktorý je orientovaný na svoje základné funkcie smerom k jadru podnikania. Napr. jednoduchá strojárska výroba, internetový obchod, poskytovanie služieb účtovníctva, stavebná výroba, atď. Za IT je zodpovedný príslušný majiteľ procesu, alebo i celého systému, neformálne označovaný ako CIO, avšak s absentujúcou funkciou bezpečností. O bezpečnosť sa nikto nezaujíma. Ciele sú jasné: produkovať a predávať. Hmotné aktíva firmy a osoby sú chránené prirodzenou cestou pudom sebazáchovy a v rozsahu realizovaných procesov. Manažment podniku si neuvedomuje, že pracuje v bezpečnostnom prostredí, a ak áno, nevie ho definovať. Rovnako ako hmotné aktíva, ani informácie nie sú chránené. Snahy o aplikáciu bezpečnostných nástrojov sú buď obmedzované alebo totálne ignorované. Prvé zmeny nastanú, keď dôjde k incidentu Model minimálnej technologickej bezpečnosti Tento model bezpečnosti počíta iba s IT hlavného procesu tvoriaceho pridanú hodnotu podniku. Aplikácia bezpečnostnej politiky, ak vôbec existuje, prebieha skôr podvedome a spravidla v jednej, nanajvýš v dvoch formách bezpečnostných podsystémov. Môže ísť napr. o implementáciu systému bezpečnosti a ochrany zdravia pri práci, alebo môže ísť o situáciu obchodnej spoločnosti, s minimálnou bezpečnosťou uchovávaných informácií, alebo o jednoduchú ochranu akéhokoľvek majetku firmy, v kombinácii s činnosťou informátora, a pod. Pre takýto model bezpečnosti podnik ani nepredpokladá osobitnú pozíciu bezpečnostného manažéra a bezpečnosť je zabezpečovaná technologickým procesom, ktorý zohľadňuje, aj keď v minimálnom rozsahu riziká. Riadením IT procesu alebo systému nie je poverená žiadna funkcia na plný pracovný úväzok. Takýto podnik je vystavený riziku bezpečnostných incidentov, nielen na strane systému alebo aj pracovníkov Model formálnej bezpečnosti Model formálnej bezpečnosti vzniká na základoch modelu minimálnej technologickej bezpečnosti alebo dokonca je s ním stotožnený s tým rozdielom, že funkcia bezpečnosti sa akceptuje uvedomelo a inštitucionálne. Znamená to, že v podniku je menovaná osoba, CSO, zodpovedná za otázky bezpečnosti ale stále ešte v pozícii kumulovanej funkcie, často i funkcie CIO. Ďalší rozvoj bezpečnosti podniku je v tomto prípade založený predovšetkým na osobnosti povereného CSO a na jeho schopnosti presadzovať plnenie nových úloh bezpečnosti prostredníctvom IT. 30

32 Najväčším nedostatkom tohto modelu je konflikt záujmov CSO, pretože kumuláciou funkcie rozvoja bezpečnosti a gestora bezpečnosti sú porušené princípy kontrolného mechanizmu Model odtrhnutej bezpečnosti Tento model predpokladá formálne i vecné postavenie CSO, ktorého zodpovednosť za garanciu bezpečnosti inštitucionálne potvrdzuje funkčná pozícia, vyššia než akýkoľvek útvar s informačnou technológiou bezpečnosti, resp. CIO. Týmto sa vylučuje stret záujmov, tvorí sa bezpečnostná politika, ciele a kontrolujú sa výsledky. Odtrhnutím CSO od informačnej technológie procesov však vzniká často problém zaostávania CSO od prudko sa rozvíjajúcej IT. Pokiaľ bezpečnostný manažér necitlivo komunikuje s pracovníkmi IT, títo ho postupne odizolujú a potom mnohé z toho, čo CSO vypracuje, ako napr. bezpečnostné smernice, predpisy i ciele sa postupne stávajú odtrhnutými od reality technológie. Niekedy stačí, ak CIO spochybní požiadavky CSO, prameniace z nedostatku technologických znalostí CSO, alebo nedostatku informácií, ktoré mu zámerne neposkytnú, a je problém. Konflikty medzi pracovníkmi IT a CSO sa postupne riešia rozširovaním útvaru CSO o špecialistov príslušných bezpečnostným podsystémov. Týka sa to tak BOZP, ako aj fyzickej ochrany, environmentálneho manažérstva, ekonomiky, kvality, či výpočtových stredísk, atď. Ďalšie zmierňovanie konfliktov môže nastať formálnou akceptáciou inštitucionálneho postavenia CSO, menovaného vedením podniku a prípadne i samostatným miestom v rozpočtových kapitolách podniku. Najsilnejší vplyv na pozíciu bezpečnosti podniku však i pri formálnosti ostáva na pleciach osobnosti CSO Model utopenej bezpečnosti Model utopenej bezpečnosti predpokladá tiché skrytie CSO pod krídla CIO v prípadoch prirodzeného vývoja modelu minimálnej technologickej bezpečnosti, kedy napr. osobnosť IT po skúsenostiach, ktoré nadobudol pri koordinácii bezpečnosti priamo v IT a zvládnutí manažérskych úloh prevezme prirodzene pozíciu CSO a pritom zostane CIO. V podsystéme manažérstva kvality tak postupným vývojom z technického kontrolóra kvality sa stane manažér kvality i zmocnenec kvality v jednej osobe, alebo vo výpočtovom stredisku sa zo zamestnanca IT postupne stane CIO a CSO v jednej osobe, čo i pri istom konflikte záujmov je tento model pre ďalší rozvoj bezpečnosti výhodnejší ako model odtrhnutej bezpečnosti Model agilnej bezpečnosti Agilná bezpečnosť podniku, pravdepodobne vhodná pre stredne veľké podniky, sa zabezpečuje cestou IT samotných procesov, aj prostredníctvom vplyvu 31

33 ďalších manažérov, zodpovedných za menovité parciálne zložky bezpečnosti, napr. za fyzickú, personálnu, ekologickú, informačnú bezpečnosť a pod. V podniku je vytvorená bezpečnostná rada (Security Board), tvorená z príslušných manažérov bezpečností jednotlivých aspektov komplexnej bezpečnosti podniku a bezpečností IT, na čele ktorej stojí bezpečnostný manažér (CSO), podriadený priamo generálnemu riaditeľovi podniku (CEO). Členmi bezpečnostnej rady, kolektívneho orgánu bezpečnosti, môžu byť menovaní aj ďalší experti podniku alebo externí členovia významných a relevantných inštitúcií. Má funkciu legislatívnu (tvorba predpisov a dokumentácií), kontrolnú (zisťovanie stavu implementovaných opatrení) a riadiacu (v prípade havarijných stavov a mimoriadnych bezpečnostných incidentov). Model agilnej bezpečnosti predstavuje svojim spôsobom model integrácie jednotlivých bezpečnostných podsystémov, pričom bezpečnostná rada dbá na to, aby jednotlivé procesy prebiehali v duchu systému manažérstva kvality (ISO 9001), s akcentom na ďalšie aspekty bezpečného podniku, akými sú napr. aspekty environmentálneho manažérstva (ISO 14001, manažérstva BOZP bezpečnostné riziká BOZP (OHSAS 18001), bezpečnosti informačných systémov (ISO 27001), prípadne špecifických požiadaviek bezpečnosti, napr. vo výrobe dielov pre automobilový priemysel (ISO/TS 16949), metrologické požiadavky (ISO 10012), či kalibračné požiadavky (ISO/IEC 17025) a ďalšie. Všetky citované medzinárodné štandardy sú generickými normami, vychádzajúcimi z normy manažérstva kvality radu ISO Model outsorcovanej bezpečnosti Model outsorcovanej bezpečnosti predstavuje model dodávok takých technológií, v ktorých je otázka ich bezpečnosti inherentne zakomponovaná. Je však zrejmé, že v podniku musí existovať osoba, zodpovedná za koordináciu IT. Technologická bezpečnosť musí mať oporu v bezpečnostnej politike odberateľa a táto politika musí byť premietnutá aj do politiky dodávateľa so všetkými dôsledkami zodpovednosti za dodávaný produkt v zmysle požiadaviek normy ISO Na bezpečnostného manažéra podniku sú kladené veľké nároky, pretože musí zabezpečovať definovanú bezpečnosť dodávateľských služieb a koordinovať ju so všetkými procesmi vo vnútri podniku. Vo svojej pozícii je osamotený, ako v prípade modelu odtrhnutej bezpečnosti, s výhodou možnosti expertných posudkov podnikových expertov a špecialistov. Prípad outsorcovanej bezpečnosti je aj prípad externých služieb súkromných bezpečnostných služieb (SBS) pre výkon fyzickej ochrany osôb a majetku podniku ako parciálnej zložky komplexnej bezpečnosti podniku, ktorý v integrovanom systému má ochranu osôb a majetku zakomponovanú s uvedením, že je nakupovaná. Pôjde o jeden manažérsky systém podniku a dva bezpečnostné systémy. Ak ju tam zahrnutú nemá, potom pôjde o model odtrhnutej, externej bezpečnosti. Pôjde o dva samostatné bezpečnostné systémy a dva manažérske systémy. 32

34 5.8. Model rozsiahlej inštitucionálnej bezpečnosti Veľké podniky a inštitúcie ako sú banky, silové rezorty a pod. majú organizačnú štruktúru pomerne zložitú a tomu primerane prispôsobenú bezpečnosť, ktorá predstavuje neodmysliteľnú súčasť ich podnikania, či činností. V týchto inštitúciách a podnikoch existujú profesionálne bezpečnostné útvary, profesne špecializované a priebežne udržiavané na požadovanú úroveň spôsobilosti. Tento model môže byť rozvinutý do formy rozvinutej formálnej bezpečnosti, alebo do formy agilnej bezpečnosti, tvorenej relatívne nezávislými bezpečnostnými útvarmi technologickej bezpečnosti a ochrany, riadenými vrcholovým bezpečnostným manažérom (CSO). Bezpečnosť takéhoto podniku je plne procesne formalizovaná a je budovaná podľa štandardov a odporúčaní, ktoré boli pre ne vybrané ako najvhodnejšie a stávajú sa záväznými. V týchto inštitúciách je na pomerne vysokom stupni zabezpečovaná aj osobná bezpečnosť a bezpečnosť osobných údajov zamestnancov i klientov Model komplexnej bezpečnosti V komplexnej bezpečnosti podniku vystupujú jej parciálne zložky ako výsledok kvality riadenia procesov v danom systéme 55, pričom bezpečnostný aspekt tohto riadenia kvality je manažérstvo rizík relevantných procesov podniku 56. Reálne to môže nastať vtedy, ak vedenie podniku vyhlási takú bezpečnostnú politiku, ktorá inštitucionalizuje a legalizuje v organizačnej štruktúre jednoznačne zadefinovaný rozvinutý manažérsky systém. Najlepším riešením je integrovaný systém, odvodený od procesného systému manažérstva kvality podľa ISO 9000, ako Generický Manažérsky Systém, obsahujúci všetky relevantné bezpečnostné systémy. Schéma takéhoto systému podľa ISO 9000 a princípov riadenia rizík a krízových javov podľa ISO 3100, je znázornená na nasledujúcom obrázku č Generický systém podľa uvedeného obrázku má fungovať na podklade základnej normy ISO Požiadavky systému manažérstva kvality 58, pričom z generických noriem preberá riešenie tých aspektov, ktoré sú pre parciálnu bezpečnosť relevantné, najmä environmentálne aspekty a všetky bezpečnostné riziká. Tie sa manažujú podľa špecifických štandardov, riziká podľa ISO Manažérstvo rizík, a ďalších noriem 59, platných pre jednotlivé oblasti alebo parciálne zložky bezpečnosti, napr. riziká BOZP v stavebníctve, ochrana osôb a majetku cez zákon o SBS, atď. 55 Procesný prístup manažérstva kvality 56 Kvalita je kategória technicko-ekonomická a jej riadenie podľa ISO 9001 predpokladá riadenie rizík, napr. podľa ISO DUFINEC Imrich: Príspevok kvality k celkovej bezpečnosti podniku [7] 58 Pozri kap. 3.2 Systém manažérstva kvality 59 Napr. ISO Technika a nástroje manažérstva rizík 33

35 Generický Manažérsky Systém Fyzickej bezpečnosti osôb a majetku P D A C Environmentálnej bezpečnosti Ekonomickej bezpečnosti BOZP Bezpečnosti infraštruktúry D Manažérstvo rizík a krízových situácií Bezpečnosti informačných systémov Bezpečnosti produkcie Imrich Dufinec Obr. 6 Generický manažérsky systém bezpečnosti podniku [7] Čo ostáva v GMS bez zmien za každých okolnosti je norma ISO Tá je rozvrhnutá do štyroch klastrov realizačných procesov (v ISO 9001, kap. 5 Zodpovednosť, 6 Zdroje, 7 Realizácia produktu, 8 Meranie, analýza a zlepšovanie), pričom v procese neustáleho zlepšovania systému v cykle PDCA 60 je ťažisko vykonávania (D Do) sústredené do realizácie produktu, to je klaster 7. Ak pozrieme na štruktúru klastra realizácie, ten začína podľa ISO 9001 plánovacími krokmi (kap.7.1, 7.2), vrátane vývoja (kap. 7.3), pokračuje ozajstnou realizáciou (kap. 7.4, 7.5) a končí spätnou väzbou cez technické prostriedky merania (kap. 7.6). Takže implementáciu a riešenie všetkých rizík vykonávame v realizácii produktu. Tam aplikujeme aj všetky realizačné nástroje (napr. APQP, FMEA, DOE,...) ale i všetky požiadavky plynúce z legislatívy a požiadaviek tretích strán, čo sa premietne v dokumentovaných postupoch realizácie. Bezpečnostná politika, ako akt plánovania (P) bezpečnosti je v klastri 5 Zodpovednosť (kap. 5.3 Politika), kontrola a audit ako akty spätnej väzby a preverovania (C) sú v klastri 8 Meranie, analýza a zlepšovanie a napokon aktualizácia (A) i (nové) plánovanie systému ako výsledok preverovania je v klastri 8 ako nápravné opatrenia a v klastri 5 ako preventívne opatrenia (zmena politiky, cieľov, napr. aj akceptovateľných rizík, atď.), sú časťami cyklu nového zlepšovania systému. Tieto zlepšenia prejdú cez politiku, ciele a realizačné akty opäť do realizácie produktu ako kvalitatívne vyššia úroveň. Čím dokonalejšia integrácia, čím podrobnejšie inštitucionálne zabezpečenie fungovania GMS, tým je bezpečnosť (podniku) vyššia, vo všetkých jej parciálnych zložkách. Takto riadený systém nadobúda charakter bezpečnostného manažérskeho systému. 60 Plan Do Check Act (Demingov cyklus zlepšovania, citované v ISO 9000) 34

36 Manažérstvo bezpečnostného systému je založené na manažérstve rizík, t.j. na postupe, čo a ako vykonať aby nedošlo k nežiaducim javom a udalostiam, a manažérstve krízových situácií, t.j. na postupe, čo a ako konať, ak došlo k nežiaducemu javu alebo udalosti [4]. Z pohľadu manažérstva kvality integrovaného (bezpečnostného) systému, ide o obligatórnu povinnosť nápravných a preventívnych opatrení. Schému aplikovania princípov manažérstva bezpečnostného systému znázorňuje obr. 7. Obr. 7 Princípy manažérstva bezpečnostných systémov podľa [35] Aplikácia zásad a princípov manažérstva bezpečnostného systému formuje aj podnikovú bezpečnostnú stratégiu, t.j. spôsob, akým sa majú zabezpečovať bezpečnostné ciele. Vo sfére klasickej ochrany osôb a majetku, je manažérstvo bezpečnostného systému spravidla tvorené účelným usporiadaním a používaním technických prostriedkov, organizačných a režimových opatrení, ako aj fyzickej ochrany (strážnej služby) 61. Ľubovoľný model bezpečnosti podniku, ako projekt bezpečnostného manažérskeho systému, vychádza z bezpečnostnej politiky, ktorá môže byť ovplyvňovaná vonkajšími a vnútornými vplyvmi, napr. od bezpečnostnej politiky štátu po finančné možnosti a orientáciu vlastníkov podniku 62. Charakteristickým znakom integrovaného manažérskeho systému a teda i bezpečnostného manažérskeho systému je synergia jedného manažmentu, ktorý riadí procesy so všetkými relevantnými aspektmi a rizikami parciálnych zložiek bezpečnosti. Má spoločný systém riadenej dokumentácie, spoločnú politiku, 61 M. Mesároš a kol.: Teória bezpečnosti, 2011, str. 22 [33] 62 Dufinec, I. Čalfová, M: On a Security of Business... [18] 35

37 spoločnú príručku s odkazmi na jednotlivé procesy a procedúry, spoločné plánovanie, realizáciu, spoločný audit, spoločné meranie, analýzu a zlepšovanie. Takto chápaný integrovaný manažérsky systém a jeho synergický efekt je znázornený na obr. 8 Obr. 8 Synergia integrovaného manažérského systému 36

38 6. BEZPEČNOSTNÁ POLITIKA PODNIKU Bezpečnostná politika podniku je deklaratívnym vyjadrením vrcholového manažmentu podniku o tom, čo bude chránené, prečo to bude chránené, akým spôsobom to bude chránené a za akú cenu to bude chránené. Je to jeden zo základných dokumentov podniku a zaradzuje sa do škály príbuzných podnikových politík, ako sú personálna politika, obchodná politika, politika kvalíty, environmentálna politika, sociálna politiky, atď. Bezpečnostná politika je riadeným dokumentom bezpečnostného manažérstva v zmysle zásad riadenia dokumentácie 63 a jej vydaním sa stáva záväzným dokumentom pre všetkých zamestnancov podniku a istým vodítkom pre zainteresované osoby bezpečnostného systému. Zásady bezpečnostnej politiky predstavujú súhrn požiadaviek, ktoré by sa mali, alebo musia splniť v záujme zabezpečenia ochrany daného systému, pri rešpektovaní technických a organizačných možnosti 64. Ekonomické hľadisko má byť pri tom samozrejmosťou. Často práve toto hľadisko ovplyvňuje voľbu modelu bezpečnosti, pričom sa stáva, že nedostatočné zváženie ekonomického hľadiska bezpečnosti, alebo jeho absencia vedú k najhoršiemu modelu bezpečnosti, k tzv. politike ignorovanej bezpečnosti 65. Rozsah bezpečnostnej politiky je individuálny, má však zohľadňovať požiadavky, potreby a očakávania všetkých zainteresovaných strán, ktoré sa dotýkajú legislatívy, podnikateľskej stratégie a obchodných záväzkov, s aspektom bezpečnosti. Analýza faktov v tomto smere by mala viesť k tzv. SWOT - analýze 66, ako dobrému predpokladu tvorby koncepcie a stratégie bezpečnosti. Samotná bezpečnostná politika podniku nie je samoúčelná a neslúži iba ako deklarácia postojov. Je zdrojom inšpirácií pre bezpečnostné projekty a ciele. Tie majú byť konkrétne, merateľné, časovo ohraničené a s jasne vymedzenou zodpovednosťou. Bezpečnostnou politikou majú byť preniknuté procedúry jednotlivých procesov, podľa nej by mali prebiehať priebežné a cielené školenia vedúce nielen k bezpečnostnému povedomiu ale i k osvojeniu si manažérskych i procesných techník. Pomocou nej by mala narastať zručnosť manažérov, technikov i všetkých pracovníkov ovplyvňujúcich bezpečnosť podniku v akejkoľvek jej parciálnej zložke. Bezpečnostná politika a bezpečnostné projekty a ciele sú obligatórnymi objektmi interných a externých auditov podniku. 63 ISO 9001, kap M. Mesároš a kol.: Ochrana osôb a majetku, teória a prax, 2011, str.27. [32] 65 Pozri kap. 5.1 Model ignorovanej bezpečnosti 66 Strengs, Weekneses, Opportunities, Threths 37

39 7. MANAŽÉRSTVO RIZÍK A INCIDENTOV 7.1. Riziko, ohrozenie a incident Manažérstvo bezpečnosti podniku sa dotýka širokej škály rozhodovania za podmienok neistoty, ktoré sú spôsobované procesmi samotnými 67, ako aj vplyvmi vonkajšieho prostredia, ktoré v najlepšom prípade dokážeme iba odhadovať 68. Manažment podniku rieši také okruhy otázok týkajúcich sa bezpečnosti, ako napr. : Bezpečný rozvoj a chod podniku z hľadiska rizika vloženého kapitálu, teda z hľadiska vstupov Bezpečný rozvoj a chod podniku z hľadiska rizík ohrozenia osôb, podnikateľských subjektov a štátu počas realizácie procesov a predaja produktov, z hľadiska výstupov Využívanie marketingových techník a zamedzovanie politického zneužívania podnikania a rizík spotreby produktov Integrita ľudského bytia a vedomia pri vytváraní nových podmienok trvalo udržateľného rozvoja a zamedzovanie rizík schizofrénie 69, školenie Hľadanie ciest a možnosti chodu podniku bez incidentov a minimalizácia ich rizík a ohrození až po úroveň ich akceptovateľnosti z vnútra organizácie Minimalizácia akýchkoľvek rizík a ohrození až po úroveň ich akceptovateľnosti z vonku organizácie Ďalšie, nesčíselné množstvo výziev, úloh a riešení problematiky s bezpečnostným aspektom ktorejkoľvek z parciálnych zložiek komplexnej bezpečnosti podniku. V komplexne ponímanej bezpečnosti podniku vystupujú jej parciálne zložky ako výsledok kvality procesov v danom systéme 70, pričom bezpečnostný aspekt riadenia kvality je manažérstvo rizík relevantných procesov organizácie 71. Problémom väčšiny reálnych podnikov, bez ohľadu na ich zameranie, veľkosť, štruktúru apod., je súčasná absencia konkrétneho povedomia rizík alebo v lepšom prípade je toto povedomie veľmi nízke, prípadne len intuitívne. Aby bolo možné zabezpečovať čo najväčšiu úspešnosť riadenia takýchto podnikov či organizácií poskytujúcich bezpečné produkty 72, vrátane služieb ochrany osôb a majetku 73, musia byť v nich všetky relevantné rozhodnutia založené na báze čísel, údajov a faktov. Rozhodovanie intuitívne sa musí zmeniť na rozhodovanie na základe faktov 74, a to aj za podmienok neistoty, ktoré je spojené s akceptáciou 67 Stochastické procesy vnútorné, s pravdepodobnostným prvkom náhodných veličín 68 Napr. makroekonomické podmienky, chovanie pracovníkov, klientov, a pod. 69 Stav rozporu vnútorného a vonkajšieho chápania bezpečnosti, napr. v ochrane ŽP 70 Procesný prístup manažérstva kvality 71 Kvalita je kategória technicko-ekonomická a jej riadenie podľa ISO 9001 implicitne a čiastočne aj explicitne predpokladá riadenie rizík podľa noriem, napr. ISO Bezpečný podnik 73 Bezpečnostný podnik, napr. SBS ako samostatný právnicky subjekt. 74 Pozri ISO 9000 Systémy manažérstva kvality. Zásady a princípy 38

40 štatistiky a pravdepodobnosti výsledku, t.j. za podmienok takej neistoty, ktoré sú spojené s akceptáciou rizík. Riziko vyjadruje pravdepodobnosť (číže nie istotu) vzniku neistého javu s neistými dôsledkami, založenú na posúdení a hodnotení faktov, ktoré vyžadujú primerané riadenie 75. Pod rizikom sa rozumejú všetky budúce udalostí 76, ako aj všetky možné vývoje vo vnútri alebo navonok podniku, ktoré sa môžu, vzhľadom k dosahovaným podnikovým cieľom, uskutočniť s negatívnym alebo pozitívnym, v každom prípade však neistým výsledkom. Pravdepodobnosť neistého javu s neistými dôsledkami označujeme teda ako riziko. V prípade orientácie na negatívne javy a negatívne výsledky hovoríme o čistom riziku ohrozenia, čo vyžaduje náležitý manažment a manažérstvo 77. S cieľom byť na trhu úspešným 78, je potrebné rizikám predchádzať, riziká zmenšovať alebo riziká prenášať na tretiu osobu. Tieto kroky spojené so špecifickými manažérskymi nástrojmi predstavujú manažérstvo rizík. Manažérstvo rizík tak predstavuje čistú formu prevencie, profylaktiky, ktorú podnik vytvára aby predchádzal negatívnym javom a negatívnym dôsledkom, v ktoromkoľvek aspekte ľubovoľnej parciálnej zložky komplexnej bezpečnosti podniku. Bez manažérstva rizík možno sotva hovoriť o manažérstve bezpečnosti podniku. V prípade, že sa naplní pravdepodobnosť negatívneho javu s negatívnymi dôsledkami, vtedy hovoríme o incidente. Riešenie incidentov je jedným zo základných činností bezpečnostného manažérstva, opäť v ktoromkoľvek bezpečnostnom aspekte ľubovoľnej parciálnej zložky komplexnej bezpečnosti podniku 79. Bezpečnostný manažér je takto chápaný ako bežný typ manažéra so zvláštnou schopnosťou, spôsobilosťou a kompetentnosťou rozhodovať nielen za bežných, ale i za extrémnych podmienok neistoty, prejavujúcich sa ako riziko a ohrozenie v ktoromkoľvek aspekte ľubovoľnej parciálnej zložky komplexnej bezpečnosti podniku, organizácie Implementácia manažérstva rizík a incidentov Každý existujúci manažérsky systém zahŕňa aj jeho aktérov, pričom zo štatistického hľadiska možno pripustiť, že konfidenčný interval predstavuje tých aktérov, ktorí sú pripravení fungovať tak, ako pri existujúcom systéme, navyše aj aplikovať nástroje manažérstva rizík bez veľkých ťažkosti, iniciatívy, či neochoty 80. Na rozdiel od tejto skupiny bude mať istá štatistická časť aktérov zamietavý, negatívny postoj k aplikácii manažérstva rizík 81, iná zas, doplnková časť štatistického počtu aktérov bude naopak iniciatívna a manažérstvo rizík nielenže uvíta ale bude ho iniciatívne rozvíjať 82. Takého poznanie a rozlíšenie skupín, pri implementácii 75 ISO Manažérstvo rizík 76 Finančné i nefinančné 77 Pozri ISO Manažérstvo rizík, ISO Techniky manažérstva rizík, atď. 78 Z pohľadu komplexnej bezpečnosti 79 Napr. krádež hmotného majetku, útok hackera na počítačovú sieť, a pod. 80 Prijímajú a rešpektujú rozpracované pravidlá, bez ohľadu na postoje iných 81 Neuznávajú pravidlá, prípadne im aj škodia a pôsobia negatívne na ostatných. 82 Iniciatívne spolupracujú a systém rozvíjajú, prípadne kladne pôsobia na iných 39

41 manažérstva rizík do existujúcich manažérskych systémov, je pre TOP Manažment veľmi vítaným prvkom implementácie. Podpora jedných a zamietanie druhých, či motivácia aktérov konfidenčného intervalu by mala byť bežnou manažérskou praxou, v rámci riadenia ľudských zdrojov 83. Manažment je riešiteľom rizík ale zároveň je aj sám ich nositeľom. A v nemálo prípadoch je najväčším rizikom pre podnik práve manažment sám. Medzi významné faktory úspechu implementácie manažérstva rizík patrí hore uvádzané poznanie v spojitosti s cieľom trvalého zlepšovania v cykle (P D C A ) 84 existujúceho systému manažérstva kvality 85. Implementáciu manažérstva rizík treba uskutočniť ako proces trvalého zlepšovania, pritom sa opierať o synergický efekt účinkov činnosti tých, ktorí pravidla tvoria, s tými, ktorí pravidla prijímajú a rešpektujú ich. Nosnou orientáciou má byť sústredenie sa na silné stránky podniku, jeho dobré výkony a jeho úspechy, pochádzajúce so SWOT - analýzy 86. Výsledky tejto analýzy poskytujú skvelé podklady tvorby koncepcie bezpečnosti a stratégie dosahovania cieľov 87. Pri ujasnenej koncepcii a prijatej stratégii by mal manažment podniku sústrediť všetky svoje a podnikové sily na integráciu nástroja manažérstva rizík do existujúceho manažérskeho systému, najskôr do systému manažérstva kvality, tvoriaceho základ generického manažérskeho systému. Pôjde o zabezpečovanie kvality procesov, s akcentom na riziká a ohrozenia, t.j. o zabezpečovanie trvalej hodnoty manažérstva komplexnej bezpečnosti podniku Manažérstvo rizík v podniku Zásady a princípy Manažérstvo rizík, ako nástroj, je implicitnou požiadavkou preventívnych opatrení kap už základnej manažérskej normy ISO 9001, ktorá však explicitne neurčuje návod, ktorým sa manažérstvo rizík má realizovať. Pretože riziká sú integrálnou súčasťou každej podnikateľskej činnosti, takmer všetky certifikačné orgány si osvojili prístup posudzovania realizácie tejto požiadavky na základe normy ISO Manažérstvo rizík, ktorého základné princípy zobrazuje obr ISO 9001, kap. 6., resp Riadenie spôsobilosti ľudských zdrojov 84 Plan Do Check Act (Demingov cyklus citovaný v ISO ISO 9001, kap. 8 Meranie, analýza a zlepšovanie 86 Analýza silných stránok, slabých stránok, príležitostí a ohrození. 87 Stratégia predstavuje spôsob a prístupy, ako dôjsť k cieľom. 40

42 Obr. 8 Manažérstvo rizík podľa ISO [46] Obr. 9 Základná schéma manažérstva rizík podľa [26] Posudzovanie rizík je nosnou, procesnou časťou manažérstva rizík. Začína sa identifikáciou rizík. Ide o myšlienkový proces, ktorý je založený na predstave o možných rizikách a hrozbách Cieľom identifikácie rizík je zostaviť zoznam všetkých možných ohrození ako register rizík 89, ktoré môžu podstatne ovplyvniť činnosť a výsledky organizácie. Zoznam rizík, významných aj nevýznamných bude závisieť od typu a veľkosti podniku, organizácie, od jej činnosti a procesov, ako aj od prostredia, v ktorom organizácia pôsobí. V zásade možno hovoriť o dvoch kategóriách rizík, ktoré sa v ďalších krokoch identifikácie ďalej kategorizujú 90 : Externé riziká vznikajú pod vplyvom vývoja životného prostredia, podnikateľského prostredia a pod vplyvom ich fluktuácie. Interné riziká vznikajú pod vplyvom manažmentu a sú závislé od úrovne manažérskeho systému. Tieto riziká sú náročné na požiadavky manažérskych nástrojov ale sú ovládateľnejšie než riziká externé. 88 M. Mesároš a kol.: Ochrana osôb a majetku, teória a prax, 2011, str. 257 [32] 89 Reitšpís, J. a kol.: Manažérstvo bezpečnostných rizík, 2004 [41] 90 Dufinec, I. Križovský, S.: Riziko v systéme manažérstva kvality bezpečnostného priemyslu,

43 Hodnotenie rizík je postup, pri ktorom každému riziku priradíme číselnú hodnotu alebo primerané slovné vyjadrenie jeho miery 91. Riziko (R) vo všeobecnosti určujeme ako funkciu pravdepodobnosti vzniku udalosti (P) a veľkosti jej dôsledkov (D). R = P x D Pri určovaní miery rizika sa najčastejšie postupuje metódou FMEA 92, pričom sa analyzujú a hodnotia odhadované hodnoty troch faktorov: Pravdepodobnosť výskytu rizika (PV) Význam následkov výskytu (VV) Pravdepodobnosť odhalenia výskytu (PO) Miera rizika je potom násobkom všetkých troch uvedených faktorov. Manažérstvo rizík ako súčasť procesov realizácie produktu 93 je procesom znižovania miery riziká minimálne na hodnotu akceptovateľného rizika vo všetkých etapách realizácie. Pre všetky etapy realizácie produktu je potrebné: Definovať systém a definovať pre tento systém bezpečnostnú politiku Identifikovať a analyzovať existujúce riziká daného systému Prekonávať riziká daného systému Udržiavať riziká daného systému v akceptovateľných medziach Neustále prehodnocovať úroveň akceptovateľného rizika systému Minimalizovať riziko Pre hlbšie štúdium manažérstva rizík existuje celý rad hodnotných publikácií, ktoré popisujú okrem iného množstvo metód hodnotenia rizík, tak kvalitatívnych, ako aj kvantitatívnych. Kvôli rozsahu tejto publikácie nie je možné ich ani len vymenovať Príklad implementácie manažérstva rizík Manažérstvo rizík akreditovaného laboratória Príklad manažérstva rizík si ukážeme na prípade akreditovaného kalibračného laboratória 94, poskytujúceho služby kalibrácie meradiel a meracích systémov 91 Hofreiter, L.: Sekuritológia, FMEA Analýza možných porúch a následkov [ISO 31010] a AUTOMOTIV 93 Kap. 7 podľa ISO 9001:2008 [49] zahŕňa plánovanie produktu, komunikáciu so zákazníkom, návrh a vývoj, nakupovanie, výrobu a poskytovanie služieb, riadenie meracích a monitorovacích zariadení. 94 Dufinec, I.: Manažérstvo rizík. Móda či potreba...?, [8] 42

44 bezpečnostného priemyslu implementovaním Risk Scan a kritérií podľa FMEA. Laboratórium je súčasťou Vysokej školy bezpečnostného manažérstva v Košiciach. Príklad by sme v systéme manažérstva komplexnej bezpečnosti mohli zaradiť medzi príklady ekonomickej bezpečnosti 95, ako parciálnej zložky komplexnej bezpečnosti podniku, ktorým je akreditované laboratórium. Implementácia manažérstva rizík akreditovaného kalibračného laboratória predpokladá predovšetkým vyškolenie manažéra rizík, ktorý ako kumulovaná funkcia systému manažérstva kvality 96 podrobuje všetky relevantné procesy laboratória krokmi posudzovania rizík. Manažérstvo rizík je štandardizovaný postup znázornený schémou na obr. 9. Definovanie rozhrania procesov a politík Definovanie rozhraní vychádza zo základnej štruktúry požiadaviek klastrov ISO 9001 v korelácii s ISO Dobrým východiskom sú kontrolné listiny auditov, ktoré každý proces podrobujú hĺbkovými otázkami. Pri neplnení požiadaviek normy, laboratórium nepracuje v zhode s uvedenou normou a nemôže byť akreditované. Je ohrozená jeho existencia. Jeho globálnym rizikom teda zostáva strata akreditácie s ekonomickými dôsledkami. Čo je však aktuálne pre posudzovanie, je citlivejšie rozlíšenie toho, čo treba vykonať, aby sa predišlo nežiaducej udalosti v tom ktorom procese, alebo aby výsledok takéhoto procesu bol lepší, ako doposiaľ a znamenal aj lepší úžitok a prínos 97. Identifikácia existujúcich rizík Katalóg identifikovaných rizík vychádza z celkovej mapy procesov laboratória. Zo všeobecne známych podnikateľských rizík bolo pre kalibračné laboratórium vybraných 10 možných podnikových rizík a ohrození, ktoré boli podrobené podrobnému scanovaniu, pričom pre každé z nich bola vypočítaná miera rizika MR, podľa pravidiel FMEA. Obrázok 10 znázorňuje postup výpočtu miery rizík MR jednotlivých kategórií 1-10 a ich zaradenie podľa veľkosti. Podnikové riziká 1-10 sú v excelovskom súbore na obr. 10 uvedené na lište súboru ako R01-R10, kde sú vyčerpávajúcim spôsobom rozanalyzované a ohodnotené príslušnou hodnotou MR, s maximálnymi hodnotami uvedenými v sumarizačnej tabuľke_matrix na obr Rieši podnikateľské riziká, kľúčové procesy realizácie produktu, ohrozenie existencie laboratória, ako akreditovaného pracoviska, pracujúceho v režime manažérskej normy ISO Manažér kvality s akcentom na manažérstvo rizík 97 Princíp trvalého zlepšovania cez preventívne opatrenia 43

45 Obr. 10 Výpočet miery rizík a ich kategórie Ďalší obrázok č. 11 znázorňuje výkaz najvyšších hodnôt MR jednotlivých kategórií podnikových rizík R01-R10. Obr. 11 Výkaz najvyšších hodnôt MR jednotlivých kategórií rizík 44

46 Ako obrázok ukazuje, ide o sumarizačnú tabuľku prehľadu MR, na excelovskej lište súboru autora ako Prehľad rizík_matrix. Analýza a hodnotenie identifikovaných rizík Postupuje sa štandardizovaným spôsobom podľa ISO 31000, pričom sa aplikujú primerané techniky manažérstva rizík, najčastejšie metóda FMEA a dohodnuté kritéria kritických hodnôt rizík a úroveň jeho akceptovateľnosti. Prekonávanie rizík laboratória Prekonávanie rizík je typickou manažérskou prácou, založenou na vykonaní takých opatrení aby nedošlo k nežiaducej udalosti s dôsledkami, a takých opatrení aby došlo k zmierneniu alebo úplnému odstráneniu účinkov nežiaducich javov, pokiaľ už nastali. Nástrojmi tohto manažérstva sú prvky manažérstva kvality a trvalého zlepšovania vo forme nápravných a preventívnych činnosti, kam patria aj havarijné plány. Udržiavanie rizík laboratória na akceptovateľnej úrovni Táto manažérska činnosť súvisí s prekonávaním rizík laboratória a prebieha plánovaním a riadením ukazovateľov rizika prostredníctvom nastavených plánov a stavu indikátorov rizikových ukazovateľov. V systéme manažérstva kvality je to prepojenie procesov plánovania s procesmi preskúmania manažmentom s akcentom na riziká, ktoré pri jednotlivých realizačných procesoch pripadajú do úvahy. Prehodnocovanie úrovne akceptovateľného rizika Znižovanie rizík na minimum predstavuje typickú optimalizačnú činnosť manažmentu, ktorá vedie k minimalizácii rizík pod hladinu dočasnej akceptácie, avšak hladinu nie nižšiu, než to pripúšťajú ekonomické hranice rentability. Pokiaľ toto nie je možné zabezpečiť, je nevyhnutné zmeniť podnikateľské plány laboratória. Tu si treba uvedomiť, že prevádzka s nulovým rizikom neexistuje. Dôvetok Existuje celý rad zložitejších a na techniku i čas náročnejších metód a postupov s odkazom na literatúru. Uvedený jednoduchý a reálny príklad má poslúžiť iba ako inšpirácia k ďalšiemu štúdiu a k postupnej aplikácii i účinnejších metód a nástrojov manažérstva rizík v riadení bezpečnosti podniku. 45

47 8. PARCIÁLNE ZLOŽKY KOMPLEXNEJ BEZPEČNOSTI PODNIKU 8.1. Kategorizácia V kapitole 1.2. Úvod do bezpečnosti podniku je, na základe prieskumu výsledkov teórie a praxe, uvedených 10 parciálnych zložiek komplexnej bezpečnosti podniku, ktoré by sa mohli reálne v obecnom podniku vyskytovať. Existenciu všetkých uvedených zložiek predpokladá podnik 98, so široko rozvetvenou organizáciou výroby produkujúceho výrobky, ktorých jednou z kvalitatívnych vlastnosti je bezpečnosť 99. Výrobné procesy vplývajú na životné prostredie, sú teda spojené s environmentálnymi aspektmi 100, majú vysoko štandardizovanú informačnú technológiu s požiadavkou bezpečnosti informácií 101, pôsobia v reálnom konkurenčnom prostredí, kde únik obchodných informácií a know-how je spojený s vitálnou požiadavkou ich ochrany 102, má unikátne výrobné technológie a špičkových pracovníkov, ktorých výpadok by znamenal hrozbu straty zákaziek 103, realizuje vysoko štandardizovaný sociálny program 104, je silno naviazaný na legislatívu národnú a medzinárodnú, ktorých nedodržiavanie by mohlo mať fatálne následky 105 na existenciu podniku, má pomerne veľký majetok, teda aktíva 106, ktoré je treba chrániť. Má však aj kapitál v rozvetvenej štruktúre 107 a širokom portfóliu 108, ktorým kryje svoj majetok. Portfólio i štruktúru je potrebné neustále kontrolovať a chrániť. Predpokladať takýto podnik je reálne, avšak plnenie požiadaviek komplexnej bezpečnosti je z hľadiska náročnosti zatiaľ skôr fikciou. Takýto podnik treba chápať ako podnik virtuálny, z hľadiska bezpečnostného prostredia ideálny, ku ktorému by sa reálne podniky mali približovať. Existencia jednej, prípadne dvoch, či troch parciálnych zložiek bezpečnosti býva aj z hľadiska bezpečnostného prostredia reálna. Takýto podnik môžeme pokojne označiť aj z hľadiska bezpečnostného manažérstva za podnik reálny. Ak je podnikom napr. obchodná organizácia, ktorá robí internetový obchod, bude zrejme silne závislá na zložke informačnej a ekonomickej bezpečnosti a svoju bezpečnosť bude riadiť v prostredí cez Bezpečnostná politika ISO 9001/ISO Manažérstvo rizík. Prípadne podnik ako stavebná organizácia s pevnou ale jednoduchou štruktúrou špecialistov a outsorcovanými manuálnymi pracovníkmi, bude závislá na zložke ekonomickej bezpečnosti a bezpečnosti a ochrane zdravia pri práci. Svoju bezpečnosť bude riadiť v bezpečnostnom prostredí cez Bezpečnostná 98 V európskych dimenziách podnik skôr väčší ako malý 99 Napr. potraviny ISO 22000, automobily ISO/IEC 16949, ISO Environmentálne manažérstvo [50] 101 ISO Manažérstvo systémov informačnej bezpečnosti 102 INCOTERMS 2010, zahraničný obchod, technické prekážky ZO, atď., ISO Manažérstvo logistických reťazcov, Systém Just in Time 104 CSR Corprate Social Responsibility, ISO 8000, OHSAS Manažérstvo BOZP 105 Zákony a vykonávacie predpisy podnikania, daňové zákony, ochrana ŽP, atď., Hmotné i nehmotné 107 Predovšetkým kapitál vlastný ale i cudzí 108 Napr. banky, obchodné záväzky, akcionári vlastné imanie, atď.,.. 46

48 politika ISO 9001/OHSAS Manažérstvo rizík. Samozrejme môže riešiť aj ochranu osobných údajov bezpečnostným projektom podľa Zákona č. 136/2014 Z.z. alebo celkovú ochranu informácií podľa ISO Takto si vieme predstaviť reálne fungujúce podniky, ktoré majú zadefinované svoje bezpečnostné prostredie a manuál riadenia bezpečnosti. Sú dokonca certifikovateľné kombinovaným auditom ako integrovaný manažérsky systém, čo môže mať okrem vlastného úžitku aj úžitok komerčný. Ak pozorne preskúmame parciálne zložky komplexnej bezpečnosti podniku 109, zistíme, že bezpečnosť infraštruktúry a ochranu vnútorného poriadku môžeme spojiť s problematikou environmentálnej bezpečnosti. Podobne i ochranu osobných údajov a ochranu utajovaných skutočnosti môžeme spojiť s bezpečnosťou informačných systémov. Tým dostaneme, pre lepší a ucelený výklad, novú skladbu 6 parciálnych zložiek komplexnej bezpečnosti podniku, s ktorou budeme v ďalších kapitolách publikácie pracovať: Fyzická bezpečnosť osôb a majetku nachádzajúcich sa v podniku Ekonomická bezpečnosť podniku Environmentálna bezpečnosť, vrátane požiarnej ochrany a prevencie havárií Bezpečnosť a ochrana zdravia pri práci v podniku Bezpečnosť informačných systémov viažucim sa ku kľúčovým procesom Bezpečnosť produkcie ako aspekt jej kvality Nasledujúci opis parciálnych zložiek komplexnej bezpečnosti podniku, a ich riadenie, bude vychádzať z princípov bezpečnostného manažérstva, t.j. bezpečnostnej politiky, integrovateľného manažérskeho systému, týkajúceho sa príslušného bezpečnostného prostredia a foriem i nástrojov minimalizácie rizík, ktoré sa v danom prostredí nachádza Bezpečnosť a kvalita produkcie Východiská a základné tézy Bezpečnosť výrobku je aspektom, jedným z atribútov jeho kvality, pričom nemôžeme hovoriť o kvalite výrobku, pokiaľ výrobok nie je (aj) spoľahlivý a bezpečný 110. Stále platí, dnes už klasický výrok amerického guru v kvalite, J. M. Jurana, Quality is fitness for use 111. Táto vhodnosť, schopnosť pre užitie by bola absolútne nemožná pri produktoch, ktoré nie sú spoľahlivé, bezpečné, ba dokonca sú nebezpečné, až život ohrozujúce. Zoberme len také potraviny, výrobky elektrotechnického priemyslu, chemického priemyslu,...i bezpečnostného priemyslu. Bezpečnostný priemysel predstavuje odvetvie, zaoberajúce sa realizáciou výrobkov 109 Kap. 4 Úvod do bezpečnosti podniku 110 Nič to nemení na fakte, že len bezpečný produkt nemusí byť ešte kvalitný, ak mu chýbajú ďalšie atribúty kvality 111 J.M.Juran: Quality Control Handbook, Mc Hill, Co. New York, 1952, [27]. 47

49 určených pre bezpečnostné systémy a poskytovaním služieb z oboru ochrany osôb a majetku 112. Manažérstvo kvality a bezpečnosti produktu sa opiera o medzinárodný štandard ISO 9001, ktorým podnik uvádza do organizácie systém, poriadok a dokumentáciu. Potom ide ďalej podľa špecifík produktu, napr. pre kvalitu a bezpečnosť potravín aplikuje štandard ISO 22000, pre kvalitu a bezpečnosť automobilového priemyslu štandard ISO/IEC 16949, pre leteckú dopravu, telekomunikácie, chémiu a pod., aplikuje sériu príslušných štandardov a predpisov. Vo všetkých uvedených prípadoch sa rieši problematika rizík, pretože absencia nástrojov manažérstva rizík by mohla vyvolať problémy v racionálnosti preventívnych opatrení trvalého zlepšovania realizovaných produktov, t.j. výrobkov v exploatácii a v poskytovaní služieb, napr. už spomínaného bezpečnostného priemyslu 113. Problematiku manažérstva bezpečnosti vôbec nemožno ignorovať, pokiaľ integrovaný manažérsky systém podniku vo svojich procesoch zahŕňa okrem kvality aj bezpečnostné aspekty, vrátane bezpečnosti informácií. Spoľahlivosť a bezpečnosť výrobku sa zabezpečujú systémom, v ktorom počas realizácie výrobku nesmie chýbať spätnoväzobná analýza možných porúch a rizík. Program spoľahlivosti má byť súčasťou integrovaného systému manažérstva kvality, pričom jeho súčasťou sú aplikované štatistické metódy a nástroje. Jedným z účinných nástrojov je aj FMEA, ako analýza možných porúch, príčin a následkov. Aplikuje sa v konštrukcii výrobku ale i v procesoch jeho realizácie. Nápravné opatrenia po analýze sa navrhujú a výsledky sa hodnotia dovtedy, kým miera rizika nie je menšia alebo aspoň rovná akceptovateľnej miere rizika. Definitívne opatrenia končia zmenou výrobnej dokumentácie. Metóda FMEA je vo všeobecnosti značne účinná a pôsobí vyslovene profylakticky Spoľahlivosť a bezpečnosť produkcie Spoľahlivosť je tá časť vlastnosti produktu, ktorá charakterizuje jeho zadanú technicko-ekonomickú úroveň, zachovávanú počas vopred stanovenej doby, napr. doba do poruchy je jedným z ukazovateľov technickej spoľahlivosti. Bezpečnosť je definovaná ako spoľahlivosť produktu z hľadiska jeho výpadku a všeobecného ohrozenia. Bezpečnosť produktu je teda aspektom jeho kvality, jedným z je atribútov, pričom nemôžeme hovoriť o kvalite produktu, pokiaľ produkt nie je spoľahlivý a bezpečný. Súbor užívateľských vlastností produktu 114, zabezpečovaných v zhode s vopred definovanými vlastnosťami, charakterizujúcimi jeho kvalitu má mať, z hľadiska užívateľa, istú časovú trvanlivosť. V priebehu vývoja i počas technického života výrobku sa táto trvanlivosť kvality overuje a potvrdzuje spravidla štatistickými 112 Dufinec, I.-Križovský, S.: Riziko v systéme manažérstva kvality bezpečnostného priemyslu, Napr. služby SBS pre ochranu osôb a majetku, pozri tiež kap Hmotný produkt ako výrobok a nehmotný produkt ako služba 48

50 metódami. Pojem kvality sa rozvíja do jej pridružených pojmov podmienených časovosťou ako spoľahlivosť, bezpečnosť, udržiavateľnosť, disponibilnosť, životnosť a pod. Pojem kvality výrobku nadobúda tým aj svoj časový rozmer a takto odvodené pridružené pojmy kvality sa stávajú jej aspektmi. Našu pozornosť v tejto monografii zameriavame na komplexnú, teda úplnú bezpečnosť podniku, ktorá charakterizuje ako bezpečný podnik iba taký podnik, ktorý okrem iného produkuje pre všeobecnú i špeciálnu spotrebu iba bezpečné produkty. Bezpečný produkt, vykazuje jeho kvalitu v dostatočnom časovom úseku ako spoľahlivosť a istotu užívania, a nespôsobuje opačnými vlastnosťami výrobcovi a užívateľovi bezpečnostné problémy, ktoré sa v lepšom prípade dajú aj ekonomicky vyčísliť. V tých horších prípadoch nebezpečenstva spojených so smrťou, možno stratu na oboch stranách vyčísliť len ťažko, alebo vôbec nie. Bezpečnosť produktu je aj jedným z atribútov bezpečnosti podniku 115. Problematiku bezpečnosti výrobku v tomto duchu môžeme pochopiť na príklade potravín, alebo na príklade výroby v automobilovom priemysle, kde otázka bezpečnosti má mimoriadny význam. Bezpečným podnikom nemôže byť žiadny taký podnik, ktorý dlhodobo produkuje nekvalitnú produkciu a už vôbec nemôže byť bezpečným, pokiaľ produkuje nebezpečné produkty. Ohrozoval by tým nielen svoju ekonomiku ale priamo samotnú podstatu podnikania a jeho existenciu. Pre voľnú ilustráciu si predstavíme výrobok, znázornený na obr. 12 zo skúšky prototypu kolesa osobného automobilu [Michelin] 116. Ďalší výklad problematiky obmedzíme na technickú spoľahlivosť a bezpečnosť technických výrobkov, určených napr. pre bezpečnostný priemysel. Pre zabezpečovanie bezpečnosti technických výrobkov je nevyhnutné aby boli v manažérskym systémom riešené tieto otázky: Výber materiálov Konštrukčné postupy Skúšky spoľahlivosti a analýza porúch Spätné informácie z exploatácie Komplexné hodnotenie výrobkov Riešenie uvedených otázok sa musí zabezpečovať systémovo programom spoľahlivosti. Program spoľahlivosti má byť súčasťou strategického plánovania kvality a plánu kvality podniku. Má obsahovať: Definovanie základných charakteristík spoľahlivosti Všetky výsledky a opatrenia z predchádzajúcich analýz podmienok spoľahlivosti 115 Nebezpečné produkty v expoatácii vyvolávajú pre výrobcu i úživateľov minimálne ekonomické problémy a ohrozujú ich ekonomickú bezpečnosť, napr. výmena ich celých sérií 116 New Tire Michelin Fourtitude 4,

51 Všetky výsledky a opatrenia vyplývajúce z analýz výrobnej spôsobilosti a presnosti Všetky opatrenia vyplývajúce z praktických skúšok, vykonávaných s cieľom overiť očakávané parametre spoľahlivosti Obr. 12 Prototyp nového kolesa automobilu [Michelin] Základne charakteristiky spoľahlivosti, pri ktorej technickú bezpečnosť výrobku charakterizujeme ako jeho bezporuchovosť nám znázorňujú nasledujúce vzťahy a obr. 13. Pravdepodobnosť poruchy F(t) Intenzita porúch λ(t) Hustota porúch f(t), Bezporuchovosť R(t) = 1 F(t) Jedným z nástrojov často aplikovaným v riadení spoľahlivosti je postup FMEA 117, ktorý si v skrátenej forme ukážeme, a to z dôvodu jeho univerzálnosti a použiteľnosti tak v konštrukcií 118 ako aj v technológii 119, dokonca aj v samotných manažérskych systémoch. 117 Voľne podľa The Failure Mode and Effects Analysis (Analýza možných porúch a ich následkov). In [4], str Konštrukčná FMEA 119 Procesná FMEA 50

52 Hlavná myšlienka FMEA vychádza zo základnej premisy, že pre každý prejav poruchy na najnižšej úrovni (napr. súčiastky stroja) sa analyzujú možné lokálne alebo systémové následky. Formulár postupu je na obr. 14, ktorý si bližšie vysvetlíme. Obr. 13 Základne charakteristiky spoľahlivosti 120 Konštrukčná FMEA predstavuje: Analýzu vlastnej konštrukcie (návrhu) výrobku a všetkých možných porúch, ktoré na základe inžinierskych skúsenosti dokážeme odhadnúť. Hľadanie príčiny, ktoré ležia v samotnej konštrukcii výrobku, pričom sa experimentuje s možnými príčinami porúch. Procesná FMEA predstavuje: Analýzu procesu prípravy realizácie produktu a jej možných porúch, príčiny ktorých môžu byť v technológii, alebo v navrhovanom realizačnom procese. Hľadanie príčiny, ktoré ležia v samotnom výrobnom procese, pričom sa experimentuje s možnými príčinami porúch. 120 Voľne podľa P. Zinniker: Zuverlässigkeits-und-Sicherheitsplanung. In [30] 51

53 Obr Formulár analýzy FMEA V oboch postupoch, t.j. konštrukčnej a procesnej FMEA sa hodnotia tri najdôležitejšie charakteristiky: Pravdepodobnosť výskytu poruchy Významnosť poruchy Pravdepodobnosť odhalenia poruchy FMEA sa zásadne realizuje ako tímová práca odborníkov zastúpených z každého relevantného oddelenia, ktorá je moderovaná spravidla manažérom kvality. V tíme odborníkov sa postupne kladú otázky moderátora na pravdepodobnosť vzniku poruchy a na jej možné príčiny, význam poruchy pre zákazníka a odhaliteľnosť poruchy. Odpovede vychádzajú z doterajších skúseností jednotlivých posudzovateľov, z výsledkov skúšok podobných výrobkov alebo súčiastok, a pod., pričom jednotlivé pravdepodobnosti sa ohodnotia hodnotami podľa kritérií, uvedených v danom obrázku. Výsledná hodnota miery rizika MR sa vypočíta ako súčin všetkých troch pravdepodobnosti za každý prípad analýzy 121 dovtedy, kým miera rizika nie je na úrovni najnižšie možnej, resp. prijateľnej. Hovoríme mu akceptovateľné riziko 122. Na obr. 15 je znázornený príklad časti reálne vykonanej procesnej FMEA Porovnaj aplikovanú analýzu FMEA v kap Porovnaj kap. 7.3 Manažérstvo rizík 123 Spracované v [28] v rámci projektu IDEEX PLUS, s.r.o. ako DP (vedúci DP: autor) 52

54 d á v k a netesnosť P O R U C H Y e l e k t r i c k ý t e s t p r i t v o r b e z o s t á v P O R U C H Y n á s t r o j a p o v s t r e k o c h n á p r a v n é o p a t r e n i a z m e n o v é h o m a j s t r a h o d i n u c e l ý o d s t r e k, u p o z o r n i ť z m e n o v é h o m a j s t r a n o r m o v a n ý c h m e r a d i e l r e a l i z á c i e LPH Vypracoval : Schválil : Zákazník : Dátum : Proces : Lisovanie HELLA Názov výrobku:puzdro D1 Dátum revízie : Kód výrobku : 6508 č. ČINNOSŤ MOŽNÉ 6 vstrekovanie prestrek(mat.mim o dutiny formy) Potential Failure Mode and Effect Analysis (Process FMEA) MOŽNÉ NÁSLEDKY nie je možné vykonať V V C 6 MOŽNÉ PRÍČINY P V zvýšená teplota, nesprávny tlak pri vstreku 3 Aktuálne opatrenia vizuálna kontrola 3 krát za zmenu P O MR/ P 3 54 Odporúčané vizuálna kontrola 1 krát za zmenu všetky dutiny, upozorniť Lakatošová M. Šoffa Zodpovednos ť a dátum M. Šoffa 2.máj 2005 Zlepšený stav V V P V P O M R / P LISOVANIE nedostatočná zlomené jadrá 8 zaliate dutiny a otvory 6 výlisku 100% kontrola pri balení, chýbajúci materiál, vizuálna kontrola 3 krát za zavretá ventilácia, zmenu, kontrola parametrov, vzduchové bubliny, pravidelná kontrola nevyvážený nástroj nastavenia monit.systému, údržba vstrekovací tlak, nesprávna teplota, chyba vizuálna kontrola 3 krát za materiálu, rozdielny zmenu povrch dutiny formy vizuálna kontrola na začiatku 1 krát za kontrola pri balení 1 ks za hod M. Šoffa máj 2005 M. Šoffa 25.apríl 2005 poškodené jadrá chybný tvar a rozmery výlisku 8 vstrekovací tlak, nesprávna teplota, chyba 2 materiálu, rozdielny povrch dutiny formy vizuálna kontrola 3 krát za zmenu 6 96 kontrola 3x za zmenu,použitie M. Šoffa 25.apríl spáleniny vizuálny efekt 4 zlá venitlácia 2 vizuálna kontrola 3 krát za zmenu, preventívna údržba 3 24 Obr Príklad analýzy FMEA procesu Pracovný tím odborníkov posudzuje priebežné výsledky hodnotenia a na základe konečného výsledku akceptovateľného rizika prijíma a realizuje tie reálne nápravné opatrenia, ktoré viedli k dosiahnutému akceptovateľnému riziku, resp. k zjavnému zlepšeniu. Nasledujúci obr. 16 znázorňuje dosiahnuté výsledky realizácie FMEA, riešenej konkrétnym projektom 124. FMEA je jeden z obligatórnych nástrojov manažérstva produkcie automobilového priemyslu podľa ISO/TS Je nástrojom predchádzania výpadkov spoľahlivosti a preventívnym nástrojom zabezpečovania bezpečnosti výrobkov. Metóda FMEA, ako jeden z mnohých nástrojov profylaktiky v kvalite a bezpečnosti produkcie, teda jednej z parciálních zložiek komplexnej bezpečnosti podniku má takmer univerzálne použitie. S veľkou účinnosťou sa využíva aj v manažérstve rizík bezpečnosti a ochrane zdravia pri práci, čo je ďalšia parciálna zložka komplexnej bezpečnosti podniku. V ďalšej časti kapitoly si ukážeme ďalší zo špecifických postupov manažérstva kvality a bezpečnosti produkcie, aplikáciu metódy Lean Six Sigma, ktorá je, podobne ako FMEA, univerzálna a pre bezpečnostného manažéra rovnako úžitočná. Potrebuje samozrejme samostatné štúdium, my si ukážeme iba jej použiteľnosť v rozhodovaní, v danom prípade nevýrobných, obchodných procesoch kvality a bezpečnosti produktu 125 a ekonomickej bezpečnosti Ako predchádzajúca poznámka pod čiarou 125 Bezpečnosť hydraulických valcov strojov CATERPILLAR 126 Rozhodovanie o akceptovaní alebo zamietnutí dodávateľa pre kľúčového zákazníka 53

55 Vyhodnotenie účinnosti nápravných opatrení MR/P pred NO MR/P po NO MR/P Porucha Obr Demonštrácia výsledkov realizácie procesnej FMEA [12] Netradičný prístup k zlepšovaniu procesov 127 Jedným z účinných nástrojov manažérstva je aj prístup Lean Six Sigma, ktorý využívajúc štatistické metódy vedie k zlepšovaniu kvality a bezpečnosti produktu, ako i efektívnosti produkcie. Má svoj vlastný cyklus D-M-A-I-C 128, ktorý je v dobrej korelácii s P-D-C-A a preto je dobre využiteľný v štandardizovaných integrovaných manažérskych systémoch. V rámci inštitucionálneho projektu VŠBM č. IP/24/VŠBM/2011 pod názvom Vývoj postupu riešenia úloh trvalého zlepšovania kvality a bezpečnosti produkcie boli skúmané vzájomné väzby uvedených cyklov zlepšovania, boli nastavené postupné kroky aplikácie Lean Six Sigma v cykle DMAIC a nafázované na realizačný projekt požiadavky výrobcu CATERPILLAR 129 plniť ciele tzv. Delivery Perfomance, orientovaného na termíny kvalitu cenu zo strany výrobcu priamočiarych hydromotorov. Realizácia Lean Six Sigma prebehla v cykle DMAIC, pričom sa brali do úvahy základné aspekty vychádzajúce zo všeobecných poznatkov, že procesy produkujú výstupy, ktorých hodnoty kolíšu 130, že toto kolísanie má svoje príčiny 131 a 127 Výsledky inštitucionálneho projektu VŠBM č. IP/24/VŠBM/2011 [16] 128 Define-Measurement-Anylse-Impovement-Control 129 Americký výrobca ťažkej dopravnej a manipulačnej techniky 130 Faktor náhody vedie k štatistickým metóda analýzy spôsobilosti procesov cp, cp,k 131 Ishikawa diagramy príčin 54

56 ktorých zákonitosti dokážeme identifikovať. Príčiny, ktoré vieme identifikovať vieme aj riadiť a korigovať. V zmysle Paretovho princípu je v skutočnosti len málo príčin signifikantných 132. Toto bolo aj základným východiskom pre uvažovanie o výbere manažérskych prístupov riadenia kvality cyklu PDCA tak, aby boli zároveň v korelácii s cyklom DMAIC a dali sa uplatniť v konkrétnom projekte. V danom prípade aplikácie PDCA a DMAIC, pri orientácii na zákazníka, išlo predovšetkým o komunikáciu, preskúmanie požiadaviek, meranie spokojnosti, analýza údajov a o majetok zákazníka. Do postupov s preventívnym účinkom boli vzaté do úvahy: Manažérstvo rizík, FMEA/FMECA a rozvoj kvality QFD. Metódy štatistickej indukcie predstavovali štatistický odhad, testovanie hypotéz a plánované experimenty DoE. Štatistické metódy zlepšovania predstavovali postupy vyšetrovania ppm, spôsobilosti procesov c p, c p,k a spôsobilosti metrologických systémov MSA. Štatistická regulácia SPC bola braná do úvahy najmä vo výrobnom procese a metodika riadenia pomocou BSC najmä v ekonomike a finančnom toku 133. Samotný projekt Delivery perfomance bol riešený v cykle DMAIC: Posúdenie faktorov vplývajúcich na plnenie požiadaviek zákazníka, ako fáza D Define Definuj, bolo vykonané prostredníctvom brainstormingu medzi 14 účastníkmi školení SIX SIGMA a zároveň riešiteľmi projektu výrobcu hydromotorov 134 pre zákazníka CATERPILLAR. Pomocou Ishikawa diagramu (obr.17) boli vytriedené negatívne faktory systematického vplyvu. Ich štatistická významnosť bola stanovená Paretovou analýzou (obr. 18). Takto boli určené štyri faktory systematického vplyvu podľa priorít, pričom spolu predstavovali 81% dôsledkov. Klasickým manažérsky postupom boli určené úlohy a zodpovednosti nevyhnutných nápravných opatrení. Prostredníctvom brainstormingu boli stanovené tie kľúčové procesy, ktoré významne vplývajú na plnenie sledovaných požiadaviek zákazníka a ktorých podstatnou vlastnosťou je ich závislosť na faktore náhody. Ishikawa diagram (obr. 16) a Paretova analýza (obr. 17) poukázali na konkrétne procesy a na ich štatistickú významnosť. Kľúčovým problémom sa ukázalo plánovanie, aj metriky boli nastavované na kontrolu plánovania, nie plánu. To je podstatný rozdiel, pretože kontrola plánu prebieha rutinne každý týždeň. Na základe realizovaných úloh a stanovených pravidiel sa uskutočnila ďalšia fáza DMAIC M, meranie procesu plánovania. Vo svojej podstate bol uskutočnený jednofaktorový plánovaný experiment DoE, kde uvedeným faktorom bola metodika plánovania, overovaná na piatich položkách plánovania, obsahujúcich po 33 jednotiek plánu (konkrétne prvky plnenia zákazky). 132 Iba 20% príčin má za následok až 80% dôsledkov, práve tie sú signifikantné 133 Pozri kap Nástroje eliminácie a zmenšovania rizík ekonomickej bezpečnosti 134 Budúci Grínbelti (Greenbelt odborník, označený ako nositeľ zeleného opasku, riešiteľ projektu SIX SIGMA) 55

57 Obr. 17 Analýza príčin systematický pôsobiacich faktorov (Excel autora) Obr. 18 Paretova analýza štatistickej významnosti vplyvu (Excel autora) Realizované opatrenia procesu plánovania vychádzali z plánovaného jednofaktorového experimentu DoE, uvedeného v tabuľke 1. 56

58 1. Zaviesť do procesu plánovania materiálové listy i = 33 položiek plánu 2. Zaviesť previazanosť komplexného plánu plánom cash flow pre i = 33 p.p. 3. Zosúladiť plán kapacít (SĽNM 135 ) s položkami plánu i = 33 položiek plánu 4. Zosúladiť plán kooperácií s položkami plánu i = 33 položiek plánu 5. Zosúladiť plán expedície s položkami plánu i = 33 položiek plánu Tab.1 Plánovaný jednofaktorový experiment s výsledkami (Excel autora) Výsledky merania jednofaktorového experimentu, ktoré sú znázornené v predchádzajúcej tabuľke 1 viedli k ďalšiemu kroku DMAIC - A, analýze. Analýza výsledkov merania je analýzou rozptylu náhodnej veličiny overovaná testovaním hypotézy, že realizované opatrenia k procesom plánovania s podstatným vplyvom viedli k opakovateľným výsledkom a prípadné rozdiely medzi overovanými metodikami je čisto náhodný a štatisticky nevýznamný. Analýza pozostávala prakticky z piatich krokov, ktoré mali viesť k výsledkom testovania hypotézy a k prípadným ďalším krokom DMAIC I, improvement zlepšovanie. Kroky analýzy výsledkov plánovaného experimentu boli: 1. Výpočet polohy krivky rozdelenia štatistického súboru výsledkov 135 Stroje, Ľudia, Náradie, Meradlá 57

59 Výpočet polohy strednej hodnoty výberového rozdelenia µ 1 voči základnému súboru µ 0 : (µ 1 - µ 0) = t 1-α/2, υ. ( s 2 / n ) = 2,064. ( 1,492 / 5 ) = 0,298 kde t 1-α/2, (υ) je kvantil t rozdelenia a pre počet stupňov voľnosti υ = 24 a na hladine významnosti α= 0,05 je rovný t 0,975, (12) = 2,064. Rozdiel už na prvý pohľad nie je veľký a tento výsledok vedie k hypotéze o rovnosti výberového súboru so základným súborom (u ktorých sú stredné hodnoty rovnaké a akýkoľvek rozdiel medzi nimi je čisto náhodný. 2. Definovanie nulovej a alternatívnej hypotézy o rovnosti rozdelení výberových súborov H 0 : µ 1 = µ 0 Výber je zhodný so základným súborom H 1 : µ 1 µ 0 Výber nie je zhodný so základným súborom 3. Testovanie nulovej hypotézy pre riziko α = 0,05 Podobne ako pri štatistických odhadoch sa opierame o pozorovania realizované ako náhodný výber, s rozsahom n. Vypočítanú charakteristiku výberového súboru porovnáme s kritériom testu takej charakteristiky, ktorej rozdelenie poznáme. Pre zvolený typ experimentu si ako základné rozdelenie zvolíme rozdelenie F. Na vhodne zvolenej hladine významnosti určíme pravdepodobnosť α, ktorá vymedzuje kritickú hodnotu kritéria. Ak padne výberová charakteristika do kritického oboru, považujeme ju za významne veľkú na hladine významnosti α a za nezlučiteľnú s nulovou hypotézou H 0 a platí hypotéza alternatívna H 1. H 0 : µ 1 = µ 0, pričom kritériom platnosti nulovej hypotézy je, F F krit = F 1-α Kritická hodnota je taký bod z definičného oboru náhodnej veličiny, v ktorom doplnok jej distribučnej funkcie nadobúda vopred zvolené hodnoty. To znamená, že - kritická hodnota danej spojitej náhodnej veličiny x je také číslo, pre ktoré platí, že 1 F(x ) = P( x ) =.. Testovanie hypotézy o rovnosti stredných hodnôt sleduje známy postup testovania hypotéz (pri použití F testu ), pričom ako testovacie kritérium je kritická hodnota F rozdelenia, F 1-α Matematickým podielom MSB a MSW získame charakteristickú veličinu F rozdelenia: MSB -72,36 F = = = 2,36 MSW -30,71 58

60 Pri zvolenej hladine významnosti α = 0,05 a stupňoch voľnosti k-1 = 4, resp. k (n 1) = 4 (5-1) = 4x4 = 16, je podľa tabuliek F - rozdelenia: F 1-α = F 0,95 (4, 16) = 3,01 Tab. 2 Analýza rozptylu a výpočet charakteristiky rozdelenia (Excel autora) 4. Praktická interpretácia výsledku Ak vypočítaná charakteristika F prekročí, pri zvolenej hladine významnosti α kritickú hodnotu F 1-α, potom štatistická odchýlka výberových priemerov je, na zvolenej hladine významnosti α štatisticky významná (signifikantná). Ak je F < F 1-α, potom je rozdiel medzi aritmetickými priemermi len náhodný. Pretože výsledky potvrdili, že F < F 1-α, možno na otázku položenú v súvislosti s daným experimentom odpovedať, že: Testované metodiky plánovania sú rovnocenné a zistené rozdiely výsledkov sú štatisticky nevýznamné, spôsobene čisto náhodne. Rozptyl výsledkov a dojem problémov plánovania nie sú štatisticky významné. Je rozumné nezasahovať do procesu plánovania, prípadne po čase test opakovať za rovnakých podmienok. 5. Príprava prípadných návrhov na zlepšovanie ako ďalší krok DMAIC I, improvement, zlepšovanie Výsledky testu nám dali oprávnenie vysloviť sa za zachovanie stavu po realizácii opatrení a teda zachovaní status quo. Bolo prijaté rozhodnutie o opakovanom preverení procesu plánovania po 6 mesiacoch rovnakým postupom, čo možno označiť aj ďalším krokom DMAIC C, control, riadenie. 59

61 Uvedeným postupom sme realizovali celý cyklus DMAIC, ktorý v dobrej korelácii korešponduje s cyklom PDCA zadefinovaným certifikovaným systémom manažérstva kvality v sledovanom výrobnom podniku Environmentálna bezpečnosť podniku Východiská a základné tézy Environmentálna bezpečnosť podniku súvisí s minimalizáciou rizík ohrozenia životného prostredia, v ktorom podnik realizuje svoje podnikateľské zámery procesmi, produktmi alebo službami, ktoré majú potenciál vplyvu na životné prostredie. Environmentálne bezpečný podnik touto minimalizáciou rizík prispieva k trvalo udržateľnému rozvoju, t.j. k rozvoju, ktorý súčasným i budúcim generáciám zachováva možnosť uspokojovať ich základné životné potreby a pritom neznižuje rozmanitosť prírody a zachováva funkcie ekosystémov 136. Environmentálny aspekt je nevratný dej, ktorý sa týka jedného prvku činnosti, produktu, alebo služby podniku, ktorý tak môže pozitívne, alebo negatívne ovplyvniť životné prostredie 137. Pri porovnaní s predchádzajúcim výkladom, vidíme, že environmentálny aspekt má znaky a atribúty rizika. Typické environmentálne aspekty sú: hluk, prach, vibrácie, emisie do ovzdušia, spotreba surovín, odpad a nebezpečný odpad a iné. Environmentálny vplyv sa vzťahuje na zmenu, ktorá sa uskutoční v životnom prostredí ako dôsledok aspektu. Typickými prejavmi environmentálnych vplyvov sú: kontaminácia pôdy, znečistenie vôd, znečistenie ovzdušia, ale i hluchota vplyvom pracovného hluku, alebo otrava nebezpečnými látkami z odpadu, a pod. Environmentálne bezpečný podnik vytvára a udržiava postup na identifikáciu environmentálnych aspektov svojich činností, výrobkov alebo služieb, ktoré operatívne riadi za predpokladu, že ich ovplyvňuje, pričom určuje aspekty, ktoré majú, alebo môžu mať významný vplyv na životné prostredie. Vzťah medzi environmentálnymi aspektmi a environmentálnymi vplyvmi je pritom považovaný za vzťah príčiny a dôsledku. Najdôležitejším počinom environmentálne bezpečného podniku je, že zabezpečuje, aby aspekty týkajúce sa významných vplyvov boli patrične zohľadňované pri stanovení jej dlhodobých environmentálnych cieľov a riešené projektmi environmentálneho správania. Environmentálna politika podniku je formálne, deklaratívne vyjadrenie a záväzok vrcholového manažmentu podniku o celkových zámeroch a smerovaní organizácie v jej environmentálnom správaní. Environmentálne správanie predstavuje cieľavedomú činnosť a merateľné výsledky manažmentu podniku, ktoré zabezpečuje na základe výsledkov merania environmentálnych aspektov. Základným cieľom environmentálneho správania je, ako už bolo povedané, minimalizácia rizika ohrozenia životného prostredia. Manažmentu k tomu slúži systém environmentálneho manažérstva podľa 136 Zákon č. 17/1992 Zb o životnom prostredí, Voľne podľa medzinárodných noriem radu ISO

62 medzinárodných štandardov radu ISO 14000, pričom základné prvky SEM musí začleniť do svojho existujúceho systému riadenia tak, aby podnik dosiahol ochranu životného prostredia a vyhovel základným požiadavkám normy ISO Pôsobenie priemyselného podniku na životné prostredie je charakterizované týmito smermi 138 : Emisie energetických vplyvov, ako energetické odpady Spotreba surovín, materiálov a energií Environmentálne parametre výrobkov a výrob Emisie plynných, tekutých a tuhých odpadov Pracovné prostredie Záber územia Aspoň jeden smer ovplyvňovania životného prostredia, vyššie uvedených smerov sa týka ľubovoľného podniku, či organizácie. Preto environmentálne povedomie a správanie má kvôli vyššej bezpečnosti zmysel Environmentálne manažérstvo Medzi základné prvky environmentálneho manažérstva podľa medzinárodnej normy ISO patria: environmentálna politika, plánovanie, realizácia, kontrola a preskúmanie manažmentom, a to v cykle P-D-C-A, tzn., s trvalým zlepšovaním. Environmentálna politika má spĺňať minimálne tieto požiadavky: 1. Aby zodpovedala charakteru, rozsahu a environmentálnym vplyvom činností, výrobkov a služieb organizácie. 2. Aby obsahovala záväzok na sústavné zlepšovanie a prevenciu znečisťovania. 3. Aby obsahovala záväzok na dodržiavanie príslušných environmentálnych právnych a iných predpisov a ďalších požiadaviek, ktoré sa organizácia zaviazala plniť. 4. Aby poskytla rámec na stanovenie a preskúmanie dlhodobých a krátkodobých environmentálnych cieľov. 5. Aby bola uvedená, zdokumentovaná, udržiavaná a boli o nej informovaní všetci zamestnanci. 6. Aby bola prístupná verejnosti. Plánovanie v environmentálnom manažérstve je založené na požiadavke normy ISO definovať environmentálne aspekty činnosti podniku, ktorými môže ovplyvniť životné prostredie, zdokumentovať tieto informácie a udržiavať ich aktuálne. Podnik ďalej musí zabezpečiť, aby významné environmentálne aspekty boli zohľadnené pri vytváraní, zavádzaní a udržiavaní svojho systému environmentálneho 138 Engel, J. - Mihok, J. - Bosák M. - Majerník, M.: Technicko - ekonomické aspekty environmentálneho manažérstva, str. 162, 2006 [22]. 61

63 manažérstva. V rámci plánovania musí podnik vytvoriť aktuálny register právnych predpisov a požiadaviek, týkajúcich sa jeho environmentálnych aspektov. Podnik ďalej musí stanoviť dlhodobé a krátkodobé environmentálne ciele 139, vychádzajúce z environmentálnej politiky a registra významných environmentálnych aspektov. Tieto dlhodobé a krátkodobé ciele musia byť merateľné, ak je to možné, a konzistentné s environmentálnou politikou, vrátane záväzkov na prevenciu znečisťovania, zhody s platnými právnymi požiadavkami a inými požiadavkami. Dlhodobé ciele má podnik riešiť formou environmentálnych programov, ktoré obsahujú aj krátkodobé ciele. Má sa to týkať predovšetkým ochrany životného prostredia, odpadov, znečisťovania vôd a ovzdušia, ako aj iných foriem environmentálneho nebezpečenstva. Cieľom programu environmentálneho manažérstva je predovšetkým prevencia najmä rozvojom technológii šetriacich prírodné zdroje, výrobu výrobkov, ktorá znižuje množstvo odpadu, znižuje znečisťovanie životného prostredia, využíva odpady ako zdroj energie a zvyšuje environmentálne povedomie zamestnancov podniku. Realizácia environmentálneho manažérstva jeho zavedením a udržiavaním vyžaduje, aby manažment podniku definoval úlohy, zodpovednosť a právomoci. Tie musí zdokumentovať a komunikovať tak, aby podporovali efektívne environmentálne manažérstvo. Ďalej musí poskytovať náležité zdroje potrebné pre zavedenie a riadenie SEM 140. Vrcholový manažment podniku musí ustanoviť zo svojho stredu zodpovednú osobu za zavedenie, riadenie a zlepšovanie SEM 141. Podnik musí zabezpečiť, aby všetky osoby ktoré majú potenciál byť zdrojom významného environmentálneho vplyvu, boli spôsobilé na základe príslušného vzdelania, prípravy, alebo skúsenosti. Podnik musí o tom viesť a udržiavať príslušné záznamy. Ďalej musí stanoviť potreby prípravy a školení tak špecialistov, či manažérov, ako aj radových zamestnancov (vrátane externých pracovníkov) ohľadom environmentálneho povedomia. Podnik musí stanoviť a udržiavať postupy pre internú komunikáciu medzi rôznymi úrovňami a funkciami v organizácii a externú komunikáciu týkajúcu sa environmentálnych aspektov a systému environmentálneho manažérstva. Podnik musí zabezpečiť dokumentáciu SEM s jasným vymedzením kľúčových prvkov SEM a ich vzájomnú súčinnosť. Záznamy sú zvláštnym typom dokumentácie a musia byť riadené. Podnik musí identifikovať a naplánovať tie činnosti, ktoré súvisia s identifikovanými významnými environmentálnymi aspektmi v súlade so svojou environmentálnou politikou, dlhodobými a krátkodobými cieľmi a zabezpečiť ich vykonanie za špecifikovaných podmienok. Činnosti musia byť plánované a vykonávané podľa stanovených dokumentovaných postupov (smerníc organizácie). Podnik musí rozlišovať prevádzku normálnu, mimoriadnu a havarijnú. Podnik musí vytvoriť, zaviesť a udržiavať postupy na identifikáciu potenciálnych havarijných situácií a potenciálnych nezhôd, ktoré môžu mať vplyv na životné prostredie a spôsob odozvy na ne. 139 Pozri kap Podnik ako cieľovo orientovaný systém 140 Systém Environmentálneho Manažérstva 141 Zmocnenec SEM. V modeli komplexnej bezpečnosti podniku CSO 62

64 Podnik musí reagovať na skutočné havarijné situácie a musí zabrániť, alebo zmierniť sprievodne nepriaznivé environmentálne vplyvy. Podnik musí pravidelne preskúmať a podľa potreby upraviť svoju havarijnú pripravenosť a postupy odozvy, hlavne po nehodách a havarijných situáciách. Havarijný plán je súborom opatrení, ktorý podrobnejšie ustanovuje podmienky reakcie na akékoľvek možné havárie predovšetkým v oblasti nebezpečných odpadov. Cieľom plánu je stanoviť organizačný podklad a technické údaje pre pracovníkov podniku v prípade nežiaduceho úniku nebezpečných odpadov do prostredia, a tak zamedziť možným negatívnym vplyvom na okolie (vniknutie odpadu do pôdy, kanalizácie alebo vodného toku, ohrozenie zdravia zamestnancov a hospodárskeho majetku organizácie). Podnik musí vytvoriť, zaviesť a udržiavať postupy na pravidelné monitorovanie a meranie kľúčových vlastností svojich činností, ktoré môžu mať významný vplyv na životné prostredie. V súlade so svojím záväzkom o zhode, podnik musí vytvoriť, zaviesť a udržiavať postup na pravidelné hodnotenie zhody s platnými právnymi požiadavkami. Podnik musí vyhodnotiť zhodu s inými požiadavkami, ktoré sa zaviazal plniť. Podnik musí vytvoriť, zaviesť a udržiavať postup riešenia skutočných a potencionálnych nezhôd a prijímania nápravného a preventívneho opatrenia. Podnik musí zabezpečiť vykonávanie interných auditov 142 systému environmentálneho manažérstva v plánovaných intervaloch na určenie či systém environmentálneho manažérstva sa riadi alebo neriadi naplánovanými programami environmentálneho manažérstva, či je alebo nie je správne zavedený a udržiavaný, pričom poskytuje správu o výsledkoch auditu manažmentu podniku. Podnik musí v stanovených intervaloch preskúmať SEM, aby zabezpečil jeho sústavnú vhodnosť, adekvátnosť a efektívnosť. Preskúmania musia ohodnotiť príležitosti na zdokonalenie a potreby zmien SEM, vrátane environmentálnej politiky a dlhodobých a krátkodobých environmentálnych cieľov. Záznamy musia byť zdokumentované a majú slúžiť na trvalé zlepšovanie SEM v cykle P-D-C-A SEM a bezpečnosť podniku Bezpečnostné prostredie parciálnej zložky komplexnej bezpečnosti podniku, ktorá sa týka environmentálnych aspektov, je tvorené všetkými environmentálnymi rizikami, ktoré ako významné environmentálne aspekty ohrozujú životné prostredie a znižujú potenciál bezpečnosti podniku. Podnikový manažment podniku, ktorý má závažné environmentálne aspekty si túto skutočnosť spravidla uvedomuje. Z dôvodu ekonomických dopadov sa snažia situáciu riešiť systémom environmentálneho manažérstva podľa ISO 14001, v lepšom prípade integrovaným manažérskym systémom v kombinácii ISO 9001, prípadne aj OHSAS 18001, dokonca aj ISO Máloktorý manažment si však uvedomuje, že de facto rieši jednu z parciálnych zložiek komplexnej bezpečnosti podniku. Súvisí to s nedostatočným bezpečnostným povedomím manažmentu, ktorý dokonca na otázku o vzťahu k bezpečnosti podniku si ani nespomenie na takú 142 Pozri kap. 9 Audit bezpečnosti podniku 63

65 zložku bezpečnosti, akou je bezpečnosť, či ochrana osôb a majetku v podniku. Otázka bezpečnosti podniku je vraj záležitosť súkromnej bezpečnostnej služby a tá sa stará o bezpečnosť. V lepšom prípade si manažment spomenie na bezpečnosť v súvislosti s ochranou osobných údajov, a to je všetko 143. Je to buď veľká nezodpovednosť alebo úplne nedostatočné bezpečnostné povedomie manažmentu. Aj tieto skutočnosti poukazujú na vážnosť a dôležitosť širokej osvety a cieľavedomého vzdelávania v oblasti bezpečnosti ako takej Bezpečnosť a ochrana zdravia pri práci Východiská a základné tézy Systém riadenia bezpečnosti a ochrany zdravia pri práci (BOZP) je neoddeliteľná časť celkového systému riadenia podniku, ktorá umožňuje efektívne riadenie rizík BOZP súvisiacich s činnosťou organizácie. Ide o bezpečnostné manažérstvo v prostredí, v ktorom sa vyskytujú všetky možné riziká BOZP aktuálnych procesov, a ktoré je ako manažérstvo založené na politike BOZP, a manažérskom systéme, opierajúc sa predovšetkým o zákon č. 124/2006 Z.z., ako plánovanie, školenie, dokumentácia, zodpovednosť, posudzovanie rizík, havarijne opatrenia a účasť zamestnancov na riadení a zlepšovaní BOZP. Kvôli integrovateľnosti s manažérstvom kvality a environmentálnym manažérstvom sa uplatňuje národná manažérska norma, STN OHSAS , založená na britskom štandarde Smernice Medzinárodnej organizácie práce (MOP) pre zavedenie systému riadenia BOZP. Cyklus systému manažérstva BOZP podľa OHSAS je znázornený na obr. 19. Nová politika Hodnotenie Kontrola Politika Realizácia Plán Nový plán 143 Pri tom sa jedna iba o jednu jedinú časť informačnej bezpečnosti, pozri kap. 8.6 Informačná bezpečnosť 144 Occupational Health Safety Assessment Series 64

66 Obr. 19 Cyklus systému manažérstva BOZP podľa OHSAS Požiadavky systému riadenia BOZP podľa STN OHSAS sú zoradené a štruktúrované veľmi podobne ako požiadavky ISO Systému environmentálneho manažérstva, a sú nasledovné: 4.1 Všeobecné požiadavky 4.2 Politika BOZP 4.3 Plánovanie Posudzovanie rizík a havarijná pripravenosť, Právne a iné požiadavky Ciele Program realizácie BOZP 4.4 Realizácia a organizačné zabezpečenie Organizačná štruktúra a zodpovednosť Vzdelávanie, odborná spôsobilosť, motivácia Operatívne riadenie a komunikácia Dokumentácia Riadenie dokumentácie a záznamov Riadenie procesov Prevencia úrazov, havárií a prijímanie opatrení 4.5 Kontrolná činnosť a opatrenia Meranie a kontrola Vyšetrovanie úrazov, havárií a kontrola prijatých opatrení Riadenie predpisov Audit 4.6 Preskúmanie manažmentom Politika BOZP a manažérsky systém OHSAS, vrátane metód a nástrojov zlepšovania predstavujú bezpečnostný manažérsky systém, ktorý v manažérstve bezpečnosti podniku realizuje nakupovaný manažment v osobe autorizovaného bezpečnostního technika, alebo vo veľkých firmách autorizovaná bezpečnostná firma, ktorá má pre uvedenú činnost autorizáciu. V podnikoch, ktoré majú integrovaný manažérsky systém, v danom prípade minimálne podľa ISO 9001 a OHSAS 18001uskutočňuje manažment podniku manažérstvo bezpečnosti podniku týmto integrovaným manažérskym systémom. 65

67 1.1.1 Systém manažérstva BOZP podľa OHSAS Systém manažérstva BOZP podľa OHSAS je postavený na procesnom prístupe popísanom v základnej norme ISO 9000 generického manažérskeho systému, pri ktorom nielen procesy ale aj prvky systému, klastre, majú zadefinované svoje vstupy a výstupy. Je to jeden z atribútov integrovateľnosti manažérskych systémov. Na tomto princípe si ukážeme ako funguje bezpečnostný manažérsky systém BOZP bez ohľadu na skutočnoť, kým je tento systém riadený. Ukážeme si to na prvkoch 4.2, 4.3, 4.4, 4.5, 4.6, štruktúry systému podľa OHSAS uvedenej hore. Politika BOZP musí: Vychádzať z povahy a miery rizík daného podniku Smerovať k neustálemu zlepšovaniu Viesť k dodržiavaniu zákonných predpisov ochrany pri práci ako aj iných súvisiacich požiadaviek, ku ktorým sa podnik zaviazal Byť dokumentovaná, riadená a presadzovaná Byť známa všetkým zamestnancom podniku, aby ovplyvňovala ich vedomie a ich povinnosti pri ochrane zdravia pri práci Byť k dispozícii zainteresovaným partnerom Byť pravidelne prehodnocovaná a aktualizovaná, aby bolo jasné, že je v danom podniku platná Plánovanie zahŕňa: Posudzovanie a riadenie rizík Právne a iné požiadavky Ciele Program realizácie politiky BOZP 66

68 Realizácia a zabezpečovanie účinností predstavuje: Organizáciu a zodpovednosť Školenia, odborná spôsobilosť a motivácia Poradenstvo a komunikácia Dokumentáciu Riadenie dokumentácie a záznamov Riadenie podnikových procesov Havarijnú pripravenosť a opatrenia Kontrolná činnost a opatrenia: Meranie a zisťovanie 67

69 Vyšetrovanie nehôd, havárií, porušovania predpisov, ako aj prijímanie nápravných a preventívnych opatrení Riadenie relevantných predpisov Audit na: Preskúmanie systému vedením: Najvyššie vedenie organizácie musí preskúmavať systém BOZP s akcentom Vhodnosť, merateľnosť a efektivitu systému; Potrebné informácie rozhodovania; Dokumentáciu kontról a previerok; Interné audity 68

70 Ďalšie súčastí systému BOZP a dôvetok Uvedený bezpečnostný systém riadenia bezpečnosti a ochrany zdravia pri práci je systém, ktorý podnik využíva 145 za účelom znižovania miery rizík a ohrození ľudí prítomných na pracoviskách podniku. Tento bezpečnostný systém, ako bolo uvedené v predchádzajúcich kapitolách, zahŕňa v sebe politiku, manažérstvo podľa OHSAS 18001, vrátane manažérstva rizík, a formy a nástroje trvalého zlepšovania. Aj keď o niektorých už bola reč v predchádzajúcej kapitole, bude užitočné, doplniť ich niekoľkými poznámkami, ako nevyhnutný dôvetok, pre správne fungovanie systému. Záznamy a riadenie záznamov. Postup tvorby a udržiavania záznamov má byť dokumentovaným postupom systému, ktorý v integrovaných manažérskych systémoch je zhodný s postupom podľa ISO 9001, kap. 4 Dokumentácia a záznamy. Záznamy sú zároveň aj svedectvom o fingovaná systému a ide predovšetkým o: záznamy o školeniach, správy o inšpekciách BOZP, správy z auditov SR BOZP, správy o nehodách/udalostiach a ich sledovaní, správy o lekárskych prehliadkach, záznamy o otázkach OOPP, správy z preskúmania manažmentom, záznamy o identifikácii nebezpečenstva, odhade a riadení rizík, správy o nácviku reakcie na havarijné situácie. Audit. Je to proces kontinuálneho vyhodnocovania účinnosti systéme BOZP. Predmetom auditu, interného i externého je o.i.: politika a ciele BOZP; postupy BOZP a postupy pre havarijné stavy, povolenia na pracovné systémy (zariadenia) a pracovné postupy, zápisy zo stretnutí BOZP, správy a záznamy o nehodách/udalostiach, štatutárne registre a osvedčenia, záznamy o školeniach, správy o predchádzajúcich auditoch SR BOZP, správy o nezhodách a nápravných a preventívnych opatreniach. Preskúmanie systému manažmentom. Vrcholové vedenie musí v intervaloch, ktoré si stanoví, preskúmať systém riadenia BOZP, aby zabezpečilo jeho sústavnú vhodnosť, adekvátnosť a efektívnosť. Charakteristické vstupy do preskúmania: Štatistika nehôd, Výsledky auditov SR BOZP, Nápravné a preventívne činnosti, 145 Buď externe ako outsorcing alebo interne v rámci IMS (GMS) 69

71 Správy o havarijných situáciách, Správy z identifikácie nebezpečenstiev a hodnotenia rizika. Charakteristické výstupy z preskúmania: Revízia politiky a cieľov BOZP, Špecifické nápravné činností, Špecifické činnosti zamerané na zlepšovanie, Oblasti, ako predmet budúcich interných auditov. Bezpečnostný systém riadenia BOZP podľa OHSAS je dobre integrovateľný s bezpečnostným systémom environmentálneho manažérstva podľa ISO a spolu so systémom manažérstva kvality podľa ISO 9001 tvoria najčastejšiu kombináciu integrovaných manažérskych systémov, tvoriacich jadro riadenia bezpečnosti podniku v uvedených parciálnych zložkách. Veľmi časté sú prípady pridruženej zložky bezpečnosti informácií podľa ISO 27001, o ktorej je napísané v nasledujúcej kapitole Informačná bezpečnosť podniku Východiská a základné tézy Manažérsky systém bezpečnosti informácií 147 sa opiera o medzinárodný štandard ISO 27001, ktorý bol naposledy novelizovaný koncom roka Je plne integrovateľný s ISO 9001 a rovnako funguje v cykle P-D-C-A. V praxi sa vyskytuje, a počet organizácii, podnikov, ktoré zabezpečujú bezpečnosť informácií ako parciálnu zložku komplexnej bezpečnosti podniku, rastie. Štandard ISO špecifikuje požiadavky na zavedenie, implementáciu, prevádzku a kontinuálne zlepšovanie Information Security Management System-u v kontexte organizácie. Podporuje bezpečnostný systém informačnej bezpečnosti, ako parciálnej zložky komplexnej bezpečnosti podniku, ako bolo popísané vyššie. V súvislosti s uvedeným, podnik, či organizácia musí špecifikovať, ktoré interné a externé dopady a interakcie sú relevantné pre jej vlastné záležitosti a ciele, a riadiť v tomto zmysle výsledky ISMS 148. Ďalej musí určiť potreby a ciele zúčastnených strán 149, určiť rozsah a hranice ISMS a zavedený systém účinne riadiť. V jednotlivých fázach uvedeného cyklu P-D-C-A, systém manažérstva bezpečnosti informácií má byť zabezpečovaný nasledovne: P Plan. Plánovanie. Nastavenie systému ISMS. 146 Kap. 8.5 Informačná bezpečnosť 147 Information Security Management System 148 Porovnaj s normou ISO Manažérstvo rizík, kap Požiadavky môžu mať zákonný, zmluvný alebo regulatívny charakter 70

72 1. Stanovenie oblasti pôsobenia ISMS 150, scope, podľa odvetvia, organizačnej formy, lokality a technických aspektov vybavenosti IT a pod. 2. Politika ISMS. Princípy a ciele, zákonné, zmluvné a odvetvové aspekty, stratégia manažérstva rizík a IS, vytýčenie smeru zo strany vedenia podniku 3. Vytvorenie systematického prístupu k manažérstvu rizík. Stanovenie metodík na identifikáciu, hodnotenie a ovládanie rizík. Stanovenie zásad a kritérií pre úrovne akceptovateľnosti rizík pre zostatkové (reziduálne) riziká a minimálne štandardy. Zabezpečenie porovnateľných výsledkov. 4. Stanovenie opatrení a cieľov opatrení D Do. Vykonanie. Zavedenie a prevádzka ISMS 1. Vypracovanie konkrétneho plánu riadenia rizík 2. Realizácia plánu 3. Realizácia vybraných opatrení 4. Stanovenie metodiky merania účinnosti 5. Výcvik zamestnancov a realizácia programu informovanosti 6. Riadenie komunikácie a riadenie prevádzky 7. Implementácia spôsobu monitorovania a zvládania incidentov C Check. Kontrola. Priebežná kontrola fungovania ISMS 1. Vyhodnocovanie postupov na rozoznanie chýb bezpečnostných opatrení, úspešných a neúspešných narušení a incidentov, na formalizovanie budúcich scenárov reakcií na incidenty 2. Pravidelné kontroly účinnosti ISMS, interné a externé audity a revízie, zvládanie bezpečnostných incidentov, spätná väzba informácií o ISMS pre zainteresované osoby 3. Preverovanie správnosti nastavenia akceptovateľných rizík pri organizačných zmenách, použitých technológiách, obchodných a prevádzkových požiadaviek, scenárov zvládania incidentov, zákonných a zmluvných záväzkov 4. Preskúmanie ISMS vedením, zaznamenávanie závažných udalosti a zmien. A Act. Aktualizácia. Udržiavanie a zlepšovanie ISMS 1. Zavedenie identifikovaných potenciálov na zlepšenie 2. Integrácia skúseností vlastných i cudzích (aj bolestivých) 3. Diskusia o zmenách ISMS so zainteresovanými osobami 4. Dôslednosť pri realizácii zmien vo vzťahu k cieľom a zámerom 150 Jasne vymedziť rozsah, prípadne explicitne vymedziť obmedzenie 71

73 Požiadavky na životný cyklus ISMS Pre zachovanie životaschopnosti ISMS musia byť v podniku zabezpečené a pravidelne aktualizované nasledujúce činnosti: Vybudovanie a prevádzka ISMS, Riadenie dokumentácie ISMS, Zabezpečenie zodpovednosti manažmentu za ISMS, Interné audity ISMS, Preskúmanie ISMS vedením, Trvalé zlepšovanie ISMS. Sú to všetko atribúty integrovaného manažérskeho systému, ktorý sa v praxi aj reálne vyskytuje, čoraz vo väčšej miere. Vybudovanie a prevádzka ISMS 151 Vybudovanie a prevádzkovanie ISMS predpokladá prijatie rozhodnutia a podporu vrcholového vedenia podniku, ktoré má konečnú zodpovednosť za bezpečnosť informácií v podniku, resp. za zabezpečovanie komplexnej bezpečnosti podniku v jej jednotlivých parciálnych zložkách. Jeho správna funkcia sa predovšetkým dotýka týchto oblastí: 1. Záväzok vedenia na prijatie politiky ISMS. Stanovenie cieľov. Pridelenie zodpovednosti za špecifické miesta IS. Poskytovanie zdrojov pre fungovanie ISMS. Definovanie úrovne rizík. Organizovanie interných auditov a preskúmania ISMS vedením 2. Manažérstvo zdrojov. Stanovenie a zavedenie bezpečnostných opatrení opatrené zdrojmi. Definovanie a zabezpečenie kompetencií a kompetentností zainteresovaných osôb. Školenia. Interné audity ISMS 152 Interné audity predstavujú plánovanú činnosť špeciálne vyškolených a kompetentných interných alebo i externých audítorov, ktorí túto činnosť vykonávajú plánovite a špeciálnym režimom audítorov podľa ISO a ISO V internom audite ide predovšetkým o: 1. Preverenie, či ISMS vyhovuje požiadavkám ISO 27001, zákonov, zmlúv a podnikovým štandardom 2. Preverenie, či ISMS je efektívne zavedený a či funguje podľa stanovených cieľov. Preskúmanie ISMS vedením 153 Preskúmanie ISMS vedením má byť plánované, pravidelne vykonávané, zdokumentované a cieľom zabezpečenia primeranosti, trvalosti a účinnosti ISMS. Má byť vykonané kompletne, tzn. všetky jeho procesy, postupy, vykonané rozhodnutia, výsledky, problémy a udalostí. Vstupy preskúmania ISMS vedením: 1. Výsledky interných auditov a preskúmaní ISMS 2. Spätná väzba od zainteresovaných strán 3. Aktuálne prebiehajúce zlepšovania ISMS 151 Vyžaduje projekt implementácie ISO Iba kompetentnými audítormi podľa ISO 19011/ISO 27001, resp. ISO V integrovaných manažérskych systémoch ako integrovaná činnosť 72

74 4. Nápravné a preventívne opatrenia ISMS 5. Trendy ohľadne nových nebezpečí ISMS 6. Výsledky meraní účinnosti ISMS 7. Zmeny s možnými vplyvmi na existujúci ISMS 8. Odporúčania pre zlepšenie Výstupy preskúmania ISMS vedením: 1. Zdanie úloh pre zvyšovanie účinností ISMS 2. Aktualizácia hodnotenia rizík a zvládania rizík ISMS 3. Optimalizácia bezpečnostných opatrení ISMS 4. Potreby zdrojov ISMS 5. Zlepšenie postupov merania účinností ISMS Zlepšovanie ISMS Účinnosť ISMS podniku sa má kontinuálne zlepšovať a dokumentovať so zapojením: 1. Politiky ISMS 2. Stanovených cieľov ISMS 3. Výsledkov interných a externých auditov ISMS 4. Analýz udalosti a incidentov relevantných k IS 5. Nápravných a preventívnych opatrení ISMS 6. Preskúmaním ISMS vedením Dokumentácia ISMS Čo: 1. Bezpečnostná politika ISMS 2. Oblasť a rozsah použitia ISMS (Scope) 3. Dokumenty manažérstva rizík (Metodiky) 4. Dokumentácia zvládania rizík 5. Plán realizácie prijatých opatrení 6. Záznamy, protokoly podľa ISO 27001/ISO Zdôvodnenie výberu opatrení a postupov na dosiahnutie cieľov 8. Dokumentácia procesov (audit, nástroje auditu, preskúmanie,..) Ako: 1. Dokumentácia riadená a dostupná pre zainteresované osoby 2. Dokumentácia aktuálna, prípadne prepracovaná 3. Dokumentácia umiestnená na mieste používania 4. Dokumentácia neplatná stiahnutá z obehu 5. Dokumentácia identifikovateľná, vrátane všetkých jej zmien 6. Dokumentácia aj externá, rovnako riadená Kritické faktory úspechu Recept na úspech ani na totálnu bezpečnosť neexistuje, sú však skúseností mnohých podnikov odpozorované auditmi, ktoré sa dajú zovšeobecniť v tom zmysle, 73

75 čo prispelo úspešným a bezpečným podnikom k ich úspechu. Niečo, ako kritické, možno kľúčové faktory ich úspechu. Sú to predovšetkým: 1. Bezpečnostná politika, bezpečnostné ciele a činnosti rešpektujúce celkové zameranie a ciele podniku. Vnútorná integrita rozhodovania 2. Implementácia bezpečnosti v zhode s podnikovou kultúrou 3. Zreteľná podpora a angažovanosť manažmentu 4. Dobre pochopenie bezpečnostných požiadaviek, hodnotenia a zvládanie rizík 5. Realizácia zodpovedajúcich školení a vzdelávaní na všetkých úrovniach riadenia 6. Rozšírenie smerníc, noriem, politiky a informácií medzi všetkých zamestnancov a zmluvné strany 7. Komplexne vyvážený manažérsky systém a získavanie námetov na zlepšovanie na základe spätnej väzby Norma ISO 27002:2013 Na záver kapitoly o informačnej bezpečnosti teba ešte spomenúť pridruženú normu k norme ISO Kým norma ISO je o požiadavkách na ISMS, pridružená norma ISO prezentuje opatrenia (controls) ktoré majú organizáciám poskytnúť podporu pri plnení nasledovných úloh: a) Pri výbere bezpečnostných opatrení v rámci implementácie normy ISO/IEC b) Pri implementácii všeobecne akceptovaných bezpečnostných opatrení c) Pri vývoji vlastných informačno-bezpečnostných regulatívov Norma pozostáva zo 14 kapitol (clauses), ktoré obsahujú spolu 35 bezpečnostných kategórií (security control categories) a 113 opatrení (controls). Každá kapitola má ďalej popísanú štruktúru: Existuje jedna alebo viacero bezpečnostných kategórií. Každá bezpečnostná kategória obsahuje jeden cieľ (Control objective), ktorý sa dá dosiahnuť jedným alebo viacerými opatreniami (controls). Pre každé opatrenie existuje viacero vysvetľujúcich a v prípade potreby aj dodatočných informácií, ako napríklad upozornenia na možné právne opatrenia atď. Norma ISO je veľmi užitočným, ba priam nevyhnutným nástrojom implementácie ISO do manažérskej praxe informačnej bezpečnosti Ekonomická bezpečnosť podniku Východiská a základné tézy Riadenie podniku, ako subjektu, a ochrana jeho záujmov prebieha v stále sa meniacich podmienkach, v nestabilnom, neurčitom prostredí. Táto neurčitosť 74

76 ovplyvňuje podstatne proces manažérstva 154 a preto právom, čoraz častejšie, hovoríme o rozhodovaní za podmienok neistoty, ktoré je spojené s manažérstvom rizík. V oblasti ekonomických záujmov, pojem rizika nadobúda charakter pravdepodobnosti vzniku neurčitého javu s tak pozitívnymi, ako aj negatívnymi, v každom prípade však neurčitými dôsledkami. Kým napr. v problematike fyzickej bezpečnosti hovoríme o riziku takmer výlučne ako o pravdepodobnosti negatívneho javu s negatívnym dôsledkom, čiže o ohrození, v ekonomickej bezpečnosti nadobúda pojem rizika silnú neurčitosť, kde okrem negatívneho javu a negatívnych dôsledkov, ktorému hovoríme čisté riziko 155, nadobúda aj charakter šance, t.j. aj možného pozitívneho javu s pozitívnymi dôsledkami, ktorému hovoríme podnikateľské, alebo i špekulatívne riziko 156. V každom prípade je ekonomická bezpečnosť zložitejším fenoménom podniku. Zložitosť ekonomickej bezpečnosti je podmienená zložitosťou a rôznorodosťou procesov, ktoré v podniku prebiehajú a sú navyše ovplyvňované vnútorným a vonkajším prostredím. Ochrana ekonomických záujmov podniku začína samotnou logistikou na trhu zdrojov, pokračuje na trhu výrobnej spotreby a končí na trhu konečnej spotreby 157. Mapa procesov obsiahnutých v jednotlivých trhových segmetoch vyžaduje aplikáciu takého manažérskeho systému, ktorý zabezpečí ich kvalitu natoľko, že sa stanú nielen garantmi kvality a bezpečnosti konečného produktu, t.j. výrobku alebo služby 158, ale i garantmi ekonomickej bezpečnosti, t.j. ekonomickej dostatočnosti prosperity, resp. minimalizácie rizík a ohrození v priebehu a na konci procesov. Skúsenosti a prax ukazujú, že najlepším manažérskym štandardom, ktorý by spĺňal kritéria vhodnosti pre tento účel je manažérska norma ISO Požiadavky systému manažérstva kvality. Možno teda a priori pokladať túto normu za základný štandard riadenia ekonomickej bezpečnosti, pri ktoromkoľvek modeli bezpečnosti podniku, samozrejme okrem modelu ignorovanej bezpečnosti, pokiaľ je táto parciálna zložka komplexnej bezpečnosti podniku relevantným ekonomickým záujmom. Aplikácia normy ISO 9001 predpokladá existenciu mapy procesov, ich ohraničenie z hľadiska vstupov a výstupov a stanovenie interakcií medzi procesmi. Z pohľadu ekonomickej bezpečnosti sú nevyhnutné metriky procesov, pričom platí, že procesy vieme riadiť do takej miery, do akej miery ich vieme merať. A samozrejme nemusí ísť v každom prípade iba o technické meranie ale i o netechnické merania a monitoring, resp. nastavené softvéry automatizácie tak, aby sme boli schopní snímať stav a vývoj, a operatívne zasahovať. Ako príklad si môžeme uviesť sledovanie kapitálu, nielen jeho veľkosť ale predovšetkým štruktúru. Podľa jeho portfólia sa robia finančné zásahy aby bolo riziko ohrozenia krytia majetku čo najmenšie, napr. splátky nevhodných dlhov a s tým spojenej dlhovej služby, ktoré by mohli viesť napr. k exekúcii, prípadne prevzatia podnikových akcií, či správy celého podniku pod cudziu kuratelu a pod. Alebo dlhodobo vykazovaná a neriešená 154 Mesároš, M.-Hrádocký, L.-Dufinec, I.-Križovský, S.: Podnikové manažérstvo [36] 155 Vždy spojeného s ohrozením 156 Spojeného aj s možným úspechom, napr. lotéria, obchodovanie s CP na burzách, zisk, marketing a pod. 157 Mesároš, M.-Kiss, I.-Majerník, Ľ.: Logistika, 2008 [37]. 158 Pozri aj kap. 8.2 Bezpečnosť a kvalita produkcie 75

77 hospodárska strata, spojená s nedostatkom kapitálu, môže viesť k bankrotu podniku. Ide o čisté riziko ohrozenia ekonomickej podstaty podniku, čo je typickým príkladom z bezpečnostného prostredia ekonomickej bezpečnosti podniku, či priamo ohrozenia jeho ekonomickej bezpečnosti Majetok a kapitál podniku Majetok podniku predstavuje súbor všetkého toho, prostredníctvom čoho podnik uskutočňuje svoju podnikateľskú činnosť, a to z hľadiska druhov, foriem a použitia 159. Zasahuje podstatu podniku, napriek tomu, z hľadiska citlivosti, nepredstavuje kritickú oblasť ekonomickej bezpečnosti. Spolu s kapitálom, ktorým je majetok krytý, sú flexibilne a môžu sa primerane meniť tak veľkosťou, ako aj štruktúrou. Pri totálnej reštrukturalizácii však dochádza k zmene samotnej podstaty podniku, vrátane jeho názvu, takže už ide o nový subjekt. Z hľadiska ekonomického riadenia podniku sú majetok a kapitál podniku vyvážené položky súvahy podniku. Súvaha znázorňuje akoby fotografickým pohľadom aktuálny stav majetku a kapitálu 160 v okamžitej štruktúre, v akej sú zúčtované. Čím je majetok likvidnejší, tým je z hľadiska ekonomickej bezpečnosti menej rizikovejší. Najlikvidnejším majetkom vôbec sú peniaze, na účtoch alebo v pokladni, ako hotovosť, ktorými vie podnik riešiť akúkoľvek krízovú situáciu, ktorá vznikne. Najmenej likvidným je nehnuteľný majetok, ktorého cesta k likvidite môže byť fatálne dlhá, až likvidačná. Avšak aj niektoré položky obežného majetku, napr. niektoré pohľadávky, predovšetkým ťažko dobytné, až nedobytné, sa stávajú nelikvidnými, čo môže podnik ekonomicky silne ohrozovať. Pri ich vymáhaní môže podnik skĺznuť z právnej cesty vymáhania a v nemalo prípadoch sa aktéry tejto činnosti dopúšťajú aj trestných činov. Ide o evidentné prípady ekonomickej bezpečnosti podniku, ktorá navyše môže hraničiť so zákonnosťou. Dobrú likviditu môžu vykazovať aj isté položky obežného majetku, napr. zásoby, najmä rýchloobrátkové, ktoré na trhu výrobnej spotreby a následného predaja hotových výrobkov prinášajú rýchle výnosy. Tam patria aj atraktívne, ale pre podnik okamžite nepoužiteľné výrobné zásoby, ktoré sa dajú rýchlo speňažiť. Osobitným príkladom dobrej likvidnosti zásob je aj sklad atraktívnych hotových výrobkov, ktoré na trhu hotových výrobkov vykazujú dobrú predajnosť. Takéto zásoby, ako obežný majetok podniku, vždy znižujú riziko ekonomickej bezpečnosti podniku. Na druhej strane zásoby s pomalou obratkou, zásoby nepotrebné, dubiózne, sú veľkým rizikom ekonomickej bezpečnosti podniku. Smelo možno povedať, že celý logistický reťazec podniku je široko rozvetveným priestorom riadenia ekonomickej bezpečnosti podniku a to iba na úrovni zásob a finančnej hotovosti. Kolobeh obežného majetku ako možnosť ekonomického ohrozenia znázorňuje obr. 20. Ostatná časť majetku je jej samostatnou 159 Dufinec, I.-Fabianová, J.: Základy...podnikovej ekonomiky, 2008 [19]. 160 Majetok podniku ako aktíva a kapitál podniku ako pasíva podnikovej súvahy 76

78 kapitolou, ktorá by mala byť v podniku pod kontrolou minimálne cestou manažérstva rizík registrovaných ako podnikateľské riziká. Obr Kolobeh obežného majetku podniku Ako už bolo povedané, kapitál predstavuje to, čím je majetok podniku v súvahe krytý. Ide o základné imanie, napr. v tvare podnikových akcií, príjem podniku, fondy, ako vlastný kapitál na jednej strane, ale i úvery, pôžičky a záväzky obchodného styku, ako cudzí kapitál, na strane druhej. Štruktúra kapitálu a jeho portfólio sú dobrými indikátormi ekonomickej bezpečnosti podniku, resp. rizík a jeho ohrození. Obr. 21 ako výstup z podnikovej štatistiky ukazuje nie celkom priaznivý vývoj kapitálu malej obchodnej spoločnosti, kde vzniká riziko ovládnutia spoločnosti z vonku, tzv. kuratelou, alebo riziko priameho prebratia vedenia spoločnosti s možnou likvidáciou. Podnik začína ovládať cudzí kapitál. Podniková súvaha je jedným z najdôležitejších podnikových dokumentov ale i nástrojom riadenia ekonomickej bezpečnosti podniku. Druhým, nie menej dôležitým dokumentom, je výkaz zisku a strát, ktorého výstup je prepojený so súvahou na strane pasív (kapitálu), ako príjem. Samozrejme výsledok môže byť kladný ale i záporný, čo je potom vyjadrené ziskom alebo stratou, ako hospodársky výsledok. Predstavuje historické, už nemenné údaje o hospodárení podniku za fiškálne obdobie. Tiež má svoju štruktúru výnosov a nákladov, čo môže byť, rovnako ako súvaha, zdrojom úvah o riešení ekonomickej bezpečnosti, resp. rizík a ekonomických hrozieb podniku. Hospodársky výsledok je výsledkom hospodárenia podniku, ktorý je predávajúcim svojich produktov 161, ale zároveň aj kupujúcim výrobných faktorov 162. HV = Výnosy - Náklady 161 Z predaja má výnosy 162 Nákupom má náklady 77

79 Vývoj kapitálu CVIČENIE, s.r.o. Sk , , , , , , , , , Vlastný kapitál: , , , , Cudzí kapitál , , , Obdobie Vlastný kapitál: Cudzí kapitál Obr. 21 Vývoj kapitálu spoločnosti CVIČENIE, s.r.o. Pokiaľ výnosy prevyšujú náklady, podnik vykazuje zisk, je v tzv. čiernych číslach a riziko ekonomického ohrozenia podniku je menšie. Samozrejme vykazovaný zisk podniku nestačí, najmä ak nie je krytý dostatočným finančným tokom. Ako príklad môžeme uviesť prípad ziskového podniku, ktorého zisk je dosiahnutý výnosmi z nedobytných pohľadávok. Podnik sa finančne oslabuje, pretože, nielenže nemá efekt vo finančnom toku z nedobytných pohľadávok, ale musí odviesť z vykázaného zisku aj daň, ako daň z príjmu, čím navyše oslabuje finančný tok. Riziko ekonomickej bezpečnosti rastie. Na druhej strane, podnik môže mať krátkodobo aj hospodársku stratu, ktorá vzniká vtedy, ak náklady prevyšujú, z akéhokoľvek dôvodu výnosy. Podnik je vtedy v tzv. červených číslach. Pokiaľ má dostatočne veľký a dobre štruktúrovaný majetok z hľadiska jeho likvidnosti, bude žiť zo svojej podstaty, najmä, ak má dostatočne pokrytý finančný tok 163 dočasne aj z cudzích zdrojov. Poznať túto mieru je mierou poznania jedného z rizík ekonomickej bezpečnosti podniku. Aby podnik neprerábal na jednotlivých zákazkách a vykazoval reálny zisk, musí sa postarať o dostatočné krytie každej zákazky svojimi krycími príspevkami 164. Touto cestou minimalizuje riziko ekonomického ohrozenia a utvrdzuje svoju ekonomickú bezpečnosť: Krycí príspevok I na krytie materiálových nákladov Krycí príspevok II na krytie čistých miezd Krycí príspevok III na krytie nákladov na energiu Krycí príspevok IV na krytie dopravných nákladov Krycí príspevok V na krytie ostatných nákladov ako podiel réžie Krycí príspevok VI na krytie položiek vytvárajúcich zisk 163 V podnikateľskom svete známy ako cash flow 164 Business contributions, z manažérskej školy Ashridge Management College, UK 78

80 Môžeme povedať, že časové hľadisko výpočtov príspevkov je tiež veľmi dôležité, pretože podnik môže včas zareagovať na jeho kúpne správanie. Jednotlivé nákladové položky materiálov sú dosiahnuteľné z faktúr alebo dodacích listov. Náklady na priame mzdy sa získajú z účtovníctva z výrobných stredísk. Podniky majú tieto náklady vedené v rámci strediskového hospodárenia. V prípade, že ich nemajú, je potrebné upraviť, alebo zmeniť rozdelenie stredísk tak, aby ich bolo možno presne získať. Náklady na energie je možno odčítať taktiež priamo z účtovníctva. Dobré by bolo, keby bolo možné sledovať energiu, ktorá sa spotrebuje zvlášť vo výrobe a spotrebu režijnú, čo niekedy a niekde môže robiť podnikom problém. Ostatné náklady by sa mali získať bez väčších ťažkostí, pretože sú to náklady, ktoré neboli podchytené v predchádzajúcich položkách, mimo dopravných nákladov a zliav. Vyžaduje si to ale úpravu účtovnej osnovy do podoby vhodnej pre controlling 165 a transformáciu druhového členenia nákladov na kalkulačné, ktoré však môže urobiť vhodný controllingový systém. Nevyhnutným predpokladom riadenia rizík ekonomickej bezpečnosti, z titulu pomeru výnosov a nákladov je poznanie štruktúry a celkovej skladby fixných a variabilných nákladov podniku, resp. analýza nulového bodu 166, ktorej schéma je znázornená na obr. 22. Obr Schéma analýzy nulového bodu 165 Controlling je prvok riadenia podniku. Predstavuje špecifickú formu práce s informáciami, jeho úlohou nie je riadiť reálne procesy, ale celý podnik prostredníctvom informácií o reálnych procesoch. Pozri kap Nástroje eliminácie a zmenšovania rizík 166 Bod zvratu - Break Even Point, predstavuje taký objem výroby produktu, pri ktorom sú celkové náklady rovné výnosom z predaja produktu 79

81 V súvislosti s hospodárskym výsledkom vo väzbe na ekonomickú bezpečnost treba hovoriť o takých ukazovateľoch akým je rentabilita a solvabilita. Rentabilita akéhokoľvek vstupného faktora je pomer zisku a čísla vyjadrenej veľkosti faktora, čím môžeme sledovať rentabilitu nákladov, rentabilitu investícii, rentabilitu kapitálu, rentabilitu výnosu a pod. Pre jednotlivé druhy rentabilít existujú orientačné hraničné hodnoty viažuce sa k rôznym typom a veľkostiam podniku, čo možno považovať za akési vyjadrenie miery druhu akceptovatelného rizika ekonomickej bezpečnosti. Solvabilita, solventnosť je platobná schopnost podniku splácať svoje záväzky a je meraná stupňami likvidity. Poznáme hotovostnú likviditu, rýchlu likviditu a bežnú likviditu, ktoré ukazujú na pomer finančného majetku, alebo obežného majetku očisteného od zásob, alebo so zásobami k celkovým záväzkom podniku. Ukazovateľ solventnosti možno považovať za jeden z ďalších ukazovateľov ekonomickej bezpečnosti podniku. Solventnosť je tesne spojená s finančným tokom podniku Finančný tok podniku a investície O finančnom toku už bolo povedané v súvislosti s obežným majetkom a v istom zmysle aj v súvislosti s hospodárskym výsledkom. Na tomto mieste je vhodne spomenúť, bez nároku na podrobnosti, že finančný tok fiškálneho roku je vytváraný ako aritmetický súčet čistého zisku a odpisov základných prostriedkov. Je to zároveň aj veľkosť vlastného zdroja financovania investícií podniku. Toto všetko súvisí s ďalšou stránkou ekonomickej bezpečnosti podniku, pričom sa podnik priamo rozhoduje s akou mierou rizika uskutočňuje investície do svojho rozvoja, resp. rozvoj investícií úplne zanedbáva. Finančný tok podniku si možno predstaviť ako cisternu hotovosti na obr. 23, do ktorej pravidelne pritekajú financie z predaja produkcie a sporadicky ako akciový kapitál alebo osobitné vklady z dividend, či pôžičky. Z cisterny odteká istá časť prostriedkov na prefinancovanie vstupných materiálov, spracovateľských nákladov a réžie. Ak poklesne úroveň hotovosti v cisterne pod kritickú hodnotu platobnej schopnosti, musia sa hľadať buď ďalšie zdroje alebo dochádza k prehodnocovaniu priorít. V každom prípade finančný tok, cash flow, ako živina podniku je kritickým ukazovateľom ekonomickej bezpečnosti podniku a v analýze rizík nesmie nikdy chýbať. 80

82 Obr Cisterna hotovosti, obežný majetok a finančný tok podniku 167 Jedna z podnikových činnosti je investovanie do rozvoja, čo je spojené takmer vždy s istou mierou rizika, pričom sa hodnotia také ukazovatele ako sú: doba návratnosti investícií, výnosnosť investícií a rentabilita investícií. Nejedná sa o riziko na hranici ohrozenia podniku, ale v registri rizík ekonomickej bezpečnosti by hodnotenie uvedených ukazovateľov nemalo chýbať. Riziko konkrétneho spotrebného i investičného projektu možno charakterizovať ako nebezpečenstvo odchýlok v parametroch ekonomickej efektívnosti, prípadne v peňažných tokoch od ich predpokladaných hodnôt. Základným cieľom pri zohľadňovaní rizika investičného projektu je zvýšiť pravdepodobnosť jeho úspechu a minimalizovať nebezpečenstvo neúspechu, ktorý by mohol ohroziť finančnú stabilitu podniku. Proces zohľadňovania investičného rizika pri príprave projektu má dve časti: 1. Analýza rizika pozostáva predovšetkým z identifikácii rizika a možných ohrození, z hodnotenia pravdepodobnosti ich vzniku a možných následkov pre podnik. 2. Riadenie rizika pozostáva z obmedzovania pôsobenia už existujúcich aj budúcich rizík a navrhovania riešení. Riadením rizika sa pomáhajú eliminovať účinky nežiaducich vplyvov a vytvárajú príležitosti pôsobenia pozitívnych vplyvov. Zanedbať riziko pri hodnotení efektívnosti investícií je možné len u projektov malého rozsahu. Naopak, venovať riziku zvýšenú pozornosť sa vyžaduje u projektov veľkého rozsahu a u projektov pripravovaných novovzniknutými podnikmi. Ignorovanie rizika v týchto prípadoch býva príčinou podnikateľského neúspechu. 167 Poznámky autora z manažérskej školy Ashridge Management College, UK 81

83 Nástroje eliminácie a zmenšovania rizík Zaisťovanie ekonomickej bezpečnosti podniku predstavuje zložitý manažérsky postup, ktorý je takmer identicky so samotným riadením podniku, založeného za účelom podnikania v istej oblasti, s cieľom bezpečne podnikať a dosahovať pri tom zmysluplný zisk. Musí mať svoju podnikateľskú politiku a ciele, vyjadrené vo svojom podnikateľskom pláne 168 a manažérsky systém, rozhodne systém manažérstva kvality. Ak k tomu priradí bezpečnostnú politiku a manažérstvo rizík i formu a nástroje minimalizácie ekonomických ohrození, vytvorí bezpečnostné prostredie ekonomickej bezpečnosti ako parciálnej zložky komplexnej bezpečnosti podniku. Táto parciálna zložka komplexnej bezpečnosti predpokladá model inštitucionálnej bezpečnosti alebo aspoň integrovaný manažérsky systém v bezpečnostnom prostredí (Bezpečnostná politika - Manažérsky systém ISO 9001/ISO Manažérstvo rizík, prípadne ochrana osôb a majetku, alebo iný predmet záujmu, napr. BOZP, Bezpečnosť produkcie, apod.). Formy a nástroje eliminácie rizík ekonomickej bezpečnosti môžu byť: Strategický, dlhodobý plán rozvoja podniku Ročný reporting Ukazovatele BSC Bonusový systém manažérov SWOT analýza Podpora informačnou bezpečnosťou Ročný a operatívny plán podniku Systém tvorby ročného plánu a IT Zachytávanie zmien konkurencie Avízo neplnenia ukazovateľov Balanced Score Card (BSC) Manažérsky kalkulačný systém (účtovníctvo) Analýza fixných a variabilných nákladov, BEP Analýzy odchýlok od plánu Práca s kalkulačnými odpismi (okrem účtovných) Alokácia zdrojov podľa výsledkov Hodnotenie rentability vstupných ukazovateľov Strediskové a vnútropodnikové hospodárenie Riadenie pracovného kapitálu a jeho rentability Vyťaženosť stredísk a špecifikovaná réžia Systém motivácie stredísk Informačná podpora stredísk Aplikácia IT pre analýzu odchýlok 168 Business Plan 82

84 Predajná výkonnosť Marketingový plán ako východisko plánovania výkonov Analýza podmienok trhu a aplikácia IT Práca s krycími príspevkami na produkt Plánovanie obežného majetku z plánu predaja (zásoby) Motivačné členenie plánu predaja podľa trhových segmentov Riadenie kvality Kvalita procesov Spoľahlivosť a bezpečnosť produktov Spokojnosť zákazníka Pár poznámok k jednému z najúčinnejších nástrojov ekonomickej bezpečnosti Balanced Score Cards BSC 169 : Financie a predovšetkým ich riadenie v podniku je základnou úlohou jeho úspechu. Riadiť podnik len čisto finančnými operáciami však so sebou prináša minimálne dve nevýhody a to po prvé, že vyjadrujú čo sa v podniku už udialo a nie čo sa v podniku deje, pričom slabo indikujú aj jeho budúci vývoj. Po druhé, že obchodná hodnota riadeného podniku je vyjadrovaná jeho finančnou hodnotou ako pomer hodnoty jeho aktív, pričom podstatou nadhodnoty je výsledok účinku nehmotných aktív. Táto nadhodnota sa v bežných finančných reportoch spravidla neobjavuje. Manažment podniku potrebuje svoju podnikateľskú víziu a stratégiu pretransformovať do podnikateľskej implementácie. Orientácia len na financie nestačí. Komplexnejší prístup k tejto transformácii je založený na štyroch prístupoch, resp. hľadiskách. Je to hľadisko finančné, hľadisko zákazníka, hľadisko podnikovo procesné a hľadisko poučného rastu. Tento strategický komplexný prístup sa v odbornej literatúre nazýva metóda Balanced Score Cards (BSC) 170. Tento prístup nielenže umožňuje monitorovanie prítomnej výkonnosti, ale poskytuje potrebné informácie o stave organizácie a jej schopnosti k budúcej výkonnosti. Autori komplexného prístupu BSC uvádzajú minimálne tri podstatné úžitky z aplikácie BSC. Sú to: Nasmerovanie celej organizácie na pár kľúčových veci, potrebných na vytvorenie prelomovej výkonnosti. Integrácia rôznych podnikových programov ako napr. kvalita, reštrukturalizácia a aktivity orientované na zákazníka. Rozčlenenie strategických merateľných cieľov nižšej úrovne, čím manažéri podnikateľských jednotiek, operátori a zamestnanci môžu vidieť, čo sa vyžaduje na ich úrovni aby boli dosiahnuté vynikajúce výsledky celopodnikovej výkonnosti. Schéma vzájomných súvislostí uvedených štyroch prístupov medzi sebou navzájom a podnikateľskou víziou a stratégiou, znázorňuje obr. 24 tak, ako ho načrtli samotní autori BSC, Robert Kaplan a David Norton vo svojej knihe The Balanced Scorecard: Translating Strategy into Action (1996). 169 Dufinec, I., kap. 6 in [2] 170 Robert Kaplan a David Norton (1996) [42] 83

85 Čo sa týka financií, Kaplan a Norton pri svojej koncepcii neignorujú tradičné finančné údaje. Počítajú však s tým, že manažéri budú s nimi efektívnejšie nakladať. Pri implementácii podnikovej databázy sa počíta s väčšou centralizáciou a automatizáciou. Pointa je v tom, že spravidla bežný dôraz na finančné vyjadrenia vedie k nerovnovážnej situácii s odkazom na iné hľadiská. To si vyžaduje potrebu zahŕňať dodatočné finančne relevantné údaje, ako napr. hodnotenie rizík a údaje nákladov a zisku v danej kategórii. Zákaznícke hľadisko je poznačené súčasnou manažérskou filozofiou, ktorá poukazuje na všeobecne vzrastajúcu dôležitosť orientácie na zákazníka a jeho spokojnosť. Kľúčovými indikátormi sú: Nespokojný zákazník môže odísť k inému dodávateľovi, ktorý splní jeho očakávania. Nedostatočný výkon uspokojovania zákazníka takto vedie k budúcemu úpadku. Zákazníci majú byť preto analyzovaní pomocou vhodne volených metrík spokojnosti. Pokiaľ ide o podnikové procesy, toto hľadisko sa vyznačuje tým, že merania procesov sú orientované na to, aby poskytovali manažérom informácie o tom ako procesy prebiehajú a či produkty alebo služby sú v zhode s požiadavkami zákazníka. Tieto metriky majú byť navrhované citlivo a zmysluplne. Pre strategické riadenie majú byť identifikované dva druhy procesov, a to: procesy týkajúce sa poslania podniku a procesy k ním podporné. V podporných procesoch sa využívajú generické metódy merania. Rast z poučenia je hľadisko poukazujúce na tréning zamestnancov a podnikovú kultúru, vedúce k individuálnemu a podnikovému samo zlepšovaniu. V znalostnej organizácii sú ľudia prioritným zdrojom podniku. V podmienkach prudkých technologických zmien je znalosť robotníkov nadobúdaná priebežným a cyklickým vzdelávaním a tréningom. Kaplan a Norton zdôrazňujú, že vzdelávanie je čosi viac ako len tréning. Ono vedie k väčšej schopnosti interpretovať skúsenosti do všeobecných podmienok, ľahšie otvára cesty komunikácie medzi robotníkmi, čo umožňuje lepšiu pomoc pri riešení problémov pokiaľ je to potrebné. Integrácia uvedených štyroch hľadísk do grafickej podoby zabezpečila metóde BSC veľký úspech ako jednej z manažérskych metodológií. Pre každé z uvedených hľadísk BSC sú monitorované (scored) štyri veci: Úlohy (napr. nárast zisku), veličina (napr. percento %), ciele (napr. 7% pokles odpadu) a podnety (napr. projekty a zlepšovacie nápady). Pre akýkoľvek proces platí: Čo nevieme merať, nevieme ani riadiť. 84

86 Obr Prínosy komplexného prístupu k riadeniu podľa [42] Metóda BSC vytvára veľmi dobrý predpoklad pre bezpečné riadenie podniku, t.j. rozhodovania, na základe faktov 171. Fakty sú zmysluplne spracované údaje z procesu monitorovania a merania, pričom požiadavka trvalého zlepšovania je realizovaná princípom Demingovho cyklu P-D-C-A, plánuj urob kontroluj aktualizuj. Strategický význam pri tom hrá akceptácia všetkých vyššie uvedených hľadísk a aplikácia spätnej väzby riadenia. Tým sa podnik vystríha možnému ekonomickému ohrozeniu a zvyšuje svoju ekonomickú bezpečnosť Dôvetok k ekonomickej bezpečnosti Ak chceme formulovať EKONOMICKÚ BEZPEČNOSŤ, musíme sa vrátiť k základom bezpečnosti a ekonómie ako k vedám, lebo ekonomická bezpečnosť nemôže vychádzať z ničoho iného ako z vedeckej podstaty samotnej ekonómie, s prihliadnutím na jej bezpečné fungovanie v zložitosti javov súčasného sveta. Potom môžeme pristúpiť k pojmu ekonomická bezpečnosť podniku, čo by bolo vyjadrením jej rizík. Na druhej strane bezpečnostné vedy alebo bezpečnostné aktivity a procesy musia mať ekonomické atribúty takejto činnosti, aby bola garantovaná ekonomickú bezpečnosť podniku, čo by bolo vyjadrením jej 171 Jedna z ôsmych zásad a princípov manažérstva kvality podľa ISO