Jedná se o nástroj, který je spjat především s předcházením rizik a jejich minimalizací. Správně nastavená strategie napomáhá nejen s řešením rizik, tj. s jejich identifikací, analýzou, zvládáním, monitorováním či komunikací, ale také s optimalizací celého procesu managementu rizik (LogicGate, 2024). Je zřejmé, že na strategické úrovni je využíváno strategického myšlení, které zahrnuje systémový pohled, konkrétní cíl, inteligentní oportunismus (flexibilita přijímat alternativní řešení), hypotetickou orientaci (schopnost tvorby a testování optimálních variant) a myšlení v čase (Peljhan and Marc, 2021).

Zdroje:

• LogicGate. (2024). 6 Steps for Developing Effective Risk Management Strategies. https://www.logicgate.com/blog/developing-effective-risk-management-strategies/
• Peljhan, D., Marc, M. (2021). Risk Management and Strategy Alignment: Influence on New Product Development Performance. Technology Analysis & Strategic Management, 35(12): 1547-1559. https://doi.org/10.1080/09537325.2021.2011192

Podstatou integrovaného řízení rizik je spojení tří programových oblastí řízení rizik, tj. technologických/kybernetických rizik, operačních rizik a podnikových/strategických rizik (Vicente, 2023). Integrované řízení rizik je založeno na šesti klíčových činnostech, tj. strategie, hodnocení, odezva, komunikace a podávání zpráv, monitorování a technologie. Pokud má být řízení rizik integrované je rovněž vhodné dodržovat a aktivně využívat dostupné dokumenty či postupy.

Je žádoucí, aby kritické subjekty, tj. vrcholový management, vedení či odpovědní pracovníci pro práci s riziky využívali dostupných doporučených dokumentů. Jako příklad lze uvést následující:

• Koncepce managementu rizik (Evropská Unie, 2020)
• Příručka pro řízení rizik pro řídící orgány operačních programů (MMR, 2006)
• Příručka – požadavky na systém zajišťování bezpečnosti v souvislosti s osvědčením o bezpečnosti nebo schválením z hlediska bezpečnosti (European Union, 2021)
• Metodika pro zefektivnění analýzy a řízení rizik s využitím konceptuálního modelování (Hanáková et al., 2024)

Zdroje:

• Vicente, V. (2023). The Essentials of Integrated Risk Management (IRM). https://www.auditboard.com/blog/integrated-risk-management-irm/
• Evropská Unie. (2020). Koncepce managementu rizik. Evropská Unie, Evropský sociální fond. https://www.mpsv.cz/documents/20142/372813/Koncepce%20managementu%20rizik.pdf/c0ffb58c-b541-13b5-b7e3-450de027088b
• MMR. (2006). Příručka řízení rizik pro řídící orgány operačních programů. https://www.dotaceeu.cz/getmedia/2e7cfc2f-c68b-42b1-b902-4234c60f7613/Prirucka_rizeni_rizik
• European Union. (2021). Požadavky na systém zajišťování bezpečnosti v souvislosti s osvědčením o bezpečnosti nebo schválením z hlediska bezpečnosti
• Hanáková, L., Lališ, A., Stojić, S., Ahmad, J., Kostov, B., Kafková, M., Szentkeresztiová, K. (2024). Metodika pro zefektivnění analýzy a řízení rizik s využitím konceptuálního modelování. http://uldbeta.fd.cvut.cz/stazeni/vedecke_vystupy/Metodika_1_CZ.pdf
• ČSN EN ISO 9000. (2016). Systémy managementu kvality. Česká agentura pro standardizaci, Praha.
• ČSN EN ISO 14001. (2016). Systémy environmentálního managementu. Česká agentura pro standardizaci, Praha.
• ČSN EN ISO 45001. (2018). Systémy managementu bezpečnosti a ochrany zdraví při práci. Česká agentura pro standardizaci, Praha.

Pro správu rizik organizace je vhodné využívat nástroje softwarové podpory, které umožňují zajištění efektivního řízení nejen podnikových rizik. Tyto nástroje jsou nápomocny především s identifikací rizik, jejich vyhodnocením a zmírňováním potenciálních rizik, která by mohla ovlivnit poskytování základních služeb. Jako příklad lze uvést Enterprise Risk Management Tools (MetricStream, 2024), které umožňují identifikaci rizik, hodnocení rizik, analýzu scénářů a kvantifikaci rizik. Mezi další funkce patří integrace s procesy strategického plánování a automatizovaný reporting a analytika. Další nástroje využitelné pro správu rizik jsou Aptien, Ramses, OiRA, Aricoma, SARA, Risk*Guide, EasyProject a mnoho dalších.

Zdroje:

• MetricStream. (2024). The Top 5 Enterprise Risk Management (ERM) Tools For 2024. https://www.metricstream.com/blog/top-5-erm-tools.html

Významným nástrojem managementu rizik kritických subjektů jsou metody pro posuzování rizik. Tyto metody mohou být na základě svého účelu klasifikovány do tří skupin (ČSN EN IEC 31010:2020):

• srovnávací metody, např. Brainstorming, Checklist, Ishikawa (Fishbone), Multi-criteria Analysis, What-if?;
• analytické metody založené na deterministickém přístupu, např. Hazard and Operability Studies, Human Reliability Analysis, Preliminary Hazard Analysis, Cause-Consequence Analysis;
• analytické metody založené na pravděpodobnostním přístupu, např. Bow Tie Analysis, Event Tree Analysis, Failure Tree Analysis, Layer Protection Analysis.

Zdroje:

• ČSN EN IEC 31010. (2020). Management rizik – Techniky posuzování rizik. Česká agentura pro standardizaci, Praha.

Prioritizace bezpečnostních rizik je proces, kterým se za pomoci kritérií stanovených kritickým subjektem určuje pořadí identifikovaných rizik, a to na základě jejich významnosti pro infrastrukturní prvky. Tato prioritizace má zásadní význam při volbě a implementaci bezpečnostních opatření, navrhování bezpečnostní koncepce či tvorbě/aktualizaci strategie nebo politiky bezpečnosti. K tomuto účelu mohou být využity zejména metody multikriteriální analýzy, např. Metfessel’s allocation (Metfessel, 1947), Fuller’s triangle (Fishburn, 1971), Analytic Hierarchy Process (Saaty, 1990), or Failure Mode, Effects, and Criticality Analysis (ČSN EN IEC 60812:2019).

Zdroje:

• Metfessel, M. (1947). A Proposal for Quantitative Reporting of Comparative Judgments. The Journal of Psychology: Interdisciplinary and Applied, 24(2): 229-235. https://doi.org/10.1080/00223980.1947.9917350
• Fishburn, P.C. (1971). A Comparative Analysis of Group Decision Methods. Behavioral Science, 16(6): 538-544. https://doi.org/10.1002/bs.3830160604
• Saaty, T.L. (1990). How to Make a Decision: The Analytic Hierarchy Process. European Journal of Operational Research, 48(1): 9-26. https://doi.org/10.1016/0377-2217(90)90057-I
• ČSN EN IEC 60812. (2018). Analýza způsobů a důsledků poruch (FMEA a FMECA). Česká agentura pro standardizaci, Praha.

Významným nástrojem pro práci kritických subjektů s riziky je využívání dostupných technických norem. Jedná se zejména o normy podporující management rizik nejen v obecné rovině, ale také ve specifických oblastech:

• management rizik (ČSN ISO 31000:2019),
• techniky posuzování rizik (ČSN EN IEC 31010:2020),
• směrnice pro řízení vznikajících rizik ke zvýšení odolnosti (ČSN P ISO/TS 31050:2024),
• systémy řízení bezpečnosti informací (ČSN EN ISO/IEC 27000:2020),
• systémy managementu bezpečnosti a ochrany zdraví při práci (ČSN EN ISO 45001:2018).

Zdroje:

• ČSN ISO 31000. (2019). Management rizik. Česká agentura pro standardizaci, Praha.
• ČSN EN IEC 31010. (2020). Management rizik – Techniky posuzování rizik. Česká agentura pro standardizaci, Praha.
• ČSN P ISO/TS 31050. (2024). Management rizik – Směrnice pro řízení vznikajících rizik ke zvýšení odolnosti.
• ČSN EN ISO/IEC 27000. (2020). Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací. Česká agentura pro standardizaci, Praha.
• ČSN EN ISO 45001. (2018). Systémy managementu bezpečnosti a ochrany zdraví při práci. Česká agentura pro standardizaci, Praha.

Za účelem implementace technických norem do procesů kritického subjektu, je nutné vypracovat plán implementace. Tento plán by měl zahrnovat soubor činností, jejichž cílem je efektivně a systematicky aplikovat vybrané normy v požadované době. Stěžejními činnostmi plánu implementace jsou zveřejnění interního dokumentu, stanovení a informování zodpovědných osob, popis procesu implementace technických norem, stanovení způsobu monitoringu a stanovení podmínek pro aktualizaci implementačního procesu (Blumenthal and Stoddard, 1999).

Zdroj:

• Blumenthal, D., Stoddard, R. (1999). Implementation Planning: The Critical Step. PM Network, 13(10): 80-86.

V souvislosti s implementací technických norem do procesů kritického subjektu je nutné věnovat pozornost také revidování implementovaných norem. Kritický subjekt by měl permanentně sledovat platnost a aktuálnost všech technických norem, které byly do jeho procesů implementovány. V okamžiku, kdy zajistí, že bude některá z těchto norem aktualizována či nahrazena novou normou, musí provést předběžnou analýzu dopadů této změny a připravit plán revize procesů (Manten, 2020). Při revizi procesů by měly být zohledněny také názory a připomínky zainteresovaných stran, jako jsou odborníci, dependentní organizace či zákazníci.

Zdroj:

• Manten, E. (2020). 5 Steps to Plan a Process Review. https://www.linkedin.com/pulse/5-steps-plan-process-review-eric-manten

Poslední významnou oblastí pro posilování managementu rizik je modelování incidentů. K tomuto účelu jsou využitelné modelovací programy, které umožňují organizaci simulovat různé scénáře, analyzovat dopady změn a provádět prediktivní analýzy, tzn. poskytují bezpečný způsob, jak otestovat a analyzovat různé scénáře „co kdyby“, a to před provedením reálných změn. Pro příklad lze uvést následující nástroje:

• Simulation Software – umožňuje organizaci vytvářet modely a simulovat různé situace a scénáře, což umožňuje testovat strategie a rozhodnutí v bezpečném prostředí a identifikovat optimální přístup.
  • Digitální dvojče – jedná se o počítačová model reálného zařízení, na kterém lze simulovat jakoukoli situaci, např, jeho fungování za různých podmínek, jakou má chybovost, zda reaguje na příkazy tak, jak je požadováno, způsob komunikace v rámci systému či simulace zaměřené na možnou realizaci budoucích změn a jeho testování apod. (Batty, 2018)
  • AnyLogic – jedná se o multimethodu simulačního modelovacího nástroje. Poskytuje jednotnou platformu pro všechny potřeby dynamického simulačního modelování. Lze nasimulovat jakýkoli systém nebo proces, který je v organizaci používán. Právě tento systém je využíván v odvětví železniční logistiky, přepravy a výroby (AnyLogyc, 2024).
• Terex – je nástroj prioritně určený pro okamžitý odhad následků havárií, úniků nebezpečných látek, teroristických nebo vojenských útoků, nicméně je obecně využitelný pro jakýkoli odhad možného narušení nebo selhání kritické infrastruktury. Je vhodný například i pro analýzu rizik při územním plánování, navrhování výstavby obytných i výrobních objektů či navrhování komunikací. Tento nástroj využít i při nedostatku přesných vstupních informací. (Terex, 2024)
• Aloha Software – neboli Areal Locations of Hazardous Atmospheres je nástroj především pro modelování úniků nebezpečných (toxických, hořlavých, výbušných) látek do atmosféry. Na základě poskytnutých vstupních dat tento program vymodeluje nebezpečnou zónu, kde lze očekávat závažné dopady na obyvatelstvo a environment. (United States Environmental Protection Agency, 2023)

Dalšími modelovacími nástroji jsou OpenFlows FLOOD (Bentley, 2024) nebo FLACS-CFD explosion, fire & dispersion modelling software (Gexcon, 2024). K modelování incidentů je rovněž možné využít nástroje tzv. Xtended Reality (Khanal et al., 2022), které zahrnují Augmented Reality, Virtual Reality, and Mixed Reality.

Zdroje:

• Batty, M. (2018). Digital twins. Environment and Planning B: Urban Analytics and City Science, 45(5), 817-820. https://doi.org/10.1177/2399808318796416
• AnyLogic. (2024). https://www.anylogic.com
• Terex. (2024). https://tsoft.cz/teroristicky-expert/
• United States Environmental Protection Agency. (2023). ALOHA Software. https://www.epa.gov/cameo/aloha-software
• Bentley. (2024). OpenFlows FLOOD: Integrated Flood Modeling Software. https://www.bentley.com/software/openflows-flood/
• Gexcon. (2024). FLACS-CFD Explosion, Fire & Dispersion Modelling Software. https://www.gexcon.com/software/flacs-cfd/
• Khanal, S., Medasetti, U.S., Mashal, M., Savage, B., Khadka, R. (2022). Virtual and Augmented Reality in the Disaster Management Technology: A Literature Review of the Past 11 years. Frontiers in Virtual Reality, 3. https://doi.org/10.3389/frvir.2022.843195