Všechny organizace jsou vystaveny vnitřním i vnějším vlivům, které vytvářejí nejistotu, zda budou schopny dosáhnout svých cílů. Řízení rizik pomáhá organizacím identifikovat možné hrozby a příležitosti, určovat vhodné strategie a přijímat informovaná rozhodnutí. Řízení rizik je nezbytnou součástí správy a řízení organizace na všech úrovních a ve všech činnostech. Mezinárodní norma ISO 31000 definuje zásady, rámec a proces pro řízení rizik tak, aby řízení rizik bylo účinné, efektivní a konzistentní.
Řízení rizik přináší organizacím řadu výhod. Organizace mohou včas odhalit nově vznikající rizika, zvážit hrozby extrémních událostí, přizpůsobit své strategie chuti riskovat, shromáždit a posoudit všechna rizika a vytvořit v organizaci kulturu řízení rizik.
Rizika spojená s hrozbami i příležitostmi, kterým organizace čelí mohou být:
- strategická, např. riziko udržení / získání pozice na trhu, riziko ztráty dobrého jména, riziko selhání podnikatelského záměru;
- finanční, např. riziko změny tržní ceny, riziko z transakcí s dalšími organizacemi, riziko likvidity a mnoho dalších;
- souladu s požadavky zákonů, předpisů, norem nebo smluvních závazků, např. rizika environmentální, korupční, kvality, ochrany zdraví a bezpečnosti při práci, bezpečnosti informací, kvality a mnoho dalších;
- provozní, tedy všechna rizika spojená s realizací procesů a postupů či provozem systémů.
Řízení rizik může být vynuceno zákony (např. zákonem č. 320/2001 Sb., o finanční kontrole), předpisy (např. úřední sdělení ČNB ze dne 27. května 2011 k výkonu činnosti na finančním trhu – operační riziko v oblasti informačního systému), smluvními závazky, normami (např. řízení rizik kontinuity podnikání dle ISO 22301) nebo vnitřními požadavky organizace.
Norma ISO 31000
Norma ISO 31000 poskytuje zásady, rámec a proces řízení rizik. Aby bylo řízení rizik efektivní, měly by organizace přijmout zásady ISO 31000 na všech úrovních – strategické, provozní, programové nebo projektové. Kromě přijetí zásad řízení rizik by organizace měly zavést také rámec řízení rizik. Rámec řízení rizik pomáhá při účinném řízení rizik prostřednictvím procesu řízení rizik.
Zdroj: ISO 31000
Zásady řízení rizik
Základem pro řízení rizik jsou zásady, které je třeba vzít v úvahu při vytváření rámce a procesů řízení rizik. Zásady zajišťují, aby byl management rizik vnímán jako integrální součást činností organizace, aby poskytoval konzistentní a srovnatelné výsledky, aby byl přizpůsoben organizaci, aby byly do managementu rizik správně zapojeny zúčastněné strany, aby dokázal reagovat na postupné i skokové změny v kontextu organizace, aby vycházel ze správných informací, respektoval lidské chování i kulturu a konečně, aby se neustále zlepšoval.
Rámec řízení rizik
Organizace potřebují integrovat řízení rizik do svých významných činností a funkcí. K tomu slouží rámec řízení rizik, který zahrnuje integraci, návrh, implementaci, hodnocení a zlepšování řízení rizik v celé organizaci. Charakteristiky rámce a rozsah, v jakém je rámec integrován do systému řízení organizace nakonec určí, jak účinně budou rizika řízena. Cíle řízení rizik, politika a podpora ze strany vedení organizace (základ rámce), stejně jako konkrétní plány, vztahy, odpovědnosti, zdroje, procesy a činnosti (uspořádání) výrazně ovlivňují efektivnost celého systému.
Proces řízení rizik
Jak plyne ze schématu, proces managementu rizik zahrnuje neustálou komunikaci, vymezení kontextu, posuzování, ošetřování, zpracování, monitorování a přezkoumávání rizik i podávání zpráv o rizicích. Podrobnější popis procesu řízení rizik přesahuje rámec tohoto článku.
Zdroj: PECB
Zavedení řízení rizik do organizace
Zavedení řízení rizik do organizace vyžaduje podporu ze strany vrcholového vedení organizace a závazek pro sladění účelu řízení rizik s cíli a politikami organizace, posílení potřeby integrace řízení rizik do kultury organizace, integraci řízení rizik do hlavních podnikatelských a rozhodovacích procesů organizace, přidělení rolí, povinností a odpovědností nebo zajištění dostupnosti zdrojů.
Efektivní řízení rizik nemůže fungovat bez příslušné dokumentace, mimo jiné bez:
- politiky řízení rizik organizace, která definuje strategické směřování organizace, rozsah nebo strukturu činností v oblasti řízení rizik;
- popisů procesů, postupů a opatření, které popisují kdo, co, kdy, kde, jak a proč dělá;
- záznamů, které poskytují objektivní důkazy o souladu činností s procesy řízení rizik.
Důležité je průběžné monitorování a přezkoumávání rámce řízení rizik i vlastních rizik, což přispívá k neustálému zlepšování schopnosti organizace řádně řídit, odhalovat a ošetřovat rizika, kterým je v rychle se měnícím prostředí vystavena.
Závěr
Proces řízení rizik v organizaci se může zdát složitý a možná i zbytečný, což určitě není. Pokud si organizace osvojí principy řízení rizik a vhodně je implementuje do svých činností, přínosy jistě převáží vynaložené úsilí. A pokud se na začátku vyvarujete zbytečných chyb, pak s každým dalším přezkoumání rizik bude vynaložená práce menší, výsledky lepší, a pozitivní efekty větší. Má to smysl :).