Co je to risk management

Obor řízení a analýzy rizik je považován za velmi důležitý, a to zejména z důvodu, že analýza rizik je zákonně požadovanou nedílnou součástí uvádění výrobků na evropský trh v rámci certifikace CE. Každý výrobek musí mít při svém návrhu a výrobě zpracovanou analýzu rizik, která by mohla mít negativní dopad na zdraví, nebo majetek jeho provozovatelů či uživatelů.

A právě zhodnocení míry naplnění této povinnosti může být platnou pomocí v případném soudním sporu při rozhodování o způsobené újmě na zdraví či majetku. Analýza a zejména management rizik, vstupuje v poslední době do popředí zájmů v oblasti řízení podniků. Například v automobilovém průmyslu je funkční systém řízení rizik ve výrobě již v dané branži povinností. V chemickém průmyslu je analýza rizik technologického výrobního procesu, jakožto prevence vzniku havárie, dokonce zákonnou povinností. Proto lze jednoznačně předpokládat, že bude v budoucnu na provedenou analýzu rizik kladen čím dál tím větší důraz.

Management nebo řízení rizik je dnes spolu s analýzou rizik pevnou a povinnou součástí certifikovaných manažerských systémů, jako je třeba norma ISO 9001.

Risk management, česky řízení rizik či zacházení s riziky, je oblast řízení projektů i procesů, která se zabývá zjišťováním a hodnocením jejich nebezpečí a nežádoucích důsledků.

Řízení rizik (Risk Management) je oblast řízení zaměřující se na analýzu a snížení rizika, pomocí různých metod a technik prevence rizik, které eliminují existující nebo odhalují budoucí faktory zvyšující riziko. Řízení rizika je soustavná, opakující se sada navzájem provázaných činností, jejichž cílem je řídit potenciální rizika, tedy omezit pravděpodobnost jejich výskytu nebo snížit jejich dopad na organizaci a její cíle. Účelem řízení rizik je předejít problémům či negativním jevům, vyhnout se krizovému řízení a zamezit vzniku problémů. Řízení rizik se skládá se z několika vzájemně provázaných fází:

• identifikace rizik (risk identification)

• analýza rizik (risk analysis)

• zhodnocení / posouzení rizik (risk evaluation)

• ošetření rizik (risk mitigation) a zvládnutí rizik (respektive jejich zmírnění)

• monitoringu rizik (risk monitoring and review)

Identifikace rizik je klíčovým odrazovým můstkem pro další práci s rizikovými faktory. V tomto kroku se pomocí různých invenčních metod (nejběžněji brainstorming) hledají jednotlivé rizikové faktory. Vzniká pak registr rizik, katalog rizik či seznam rizikových faktorů.

Zásadní pro řízení rizik je analýza rizik. Pomocí analýzy rizik se zjišťuje míra nebezpečí (hrozba), kterým je organizace vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba nastane (zranitelnost) a jaký dopad to na organizaci může mít.

Výsledkem hodnocení rizik může být tzv. Matice hodnocení rizik, pomocí které lze jednotlivé rizikové faktory „zaškatulkovat“ do jednotlivých skupin či tříd podle pravděpodobnosti výskytu a závažnosti důsledků či dopadu. V této matici lze rizika brát jednak jako hrozbu, ale i jako jakousi příležitost.

Základními strategiemi pro ošetření rizik jsou:

· Vyhnutí se riziku

· Zmírnění rizika (snížením pravděpodobnosti jeho vzniku nebo snížením důsledků jeho dopadu)

· Eliminace zdroje rizika (tedy odstranění kořenové příčiny rizika)

· Akceptace rizika (s rizikem se „naučit“ žít)

· Přenesení rizika (např. jeho pojištěním)

Součástí zvolené strategie je také soubor nápravných opatření, které jasně definují jednotlivé kroky, ty jsou přiřazeny jednotlivým osobám a jsou určeny konkrétní termíny. S výhodou lze použít metodiku SMART.

Odpovědnost za řízení rizik je v organizacích rozložena v rámci celého managementu. Nejvyšší odpovědnost má přirozeně vlastník, statutární orgán a nejvyšší management (top management) společnosti.

Přestože řada organizací hasí "pomyslné požáry", není jejich risk management jejich prioritou. V lepším případě si udělali maticovou tabulku Registr Rizik (Risk Register). Ale už nikdo neřeší

• kolik řídíme rizik

• která nás ohrožují reálně

• jaké jdou efektivně outsourcovat (např. na pojišťovnu)

a tak dále... Nehledě na to, že nikdo ve firmě neví, kdy se registr naposledy aktualizoval, kdo jej skutečně analyzoval a jaké provedl opatření.

V malých organizacích je odpovědnost za řízení rizik koncentrována na úrovni statutárního orgánu, protože není efektivní zaměstnávat specializovaného manažera rizik na plný úvazek. Ve středních a velkých organizacích je odpovědnost rozložena na jednotlivé manažery. Velké organizace nebo organizace podnikající v rizikovém prostředí (například banky, pojišťovny, petrochemický a energetický průmysl, letecký průmysl, doprava) mají určeného specialistu (manažera rizik). Téměř vždy je řízení rizik spojeno s rolí finančního ředitele, neboť dopady rizik (škody) i protiopatření lze finančně vyjádřit a mají dopad na finanční plánování.

Společnosti si dnes více, než kdy předtím uvědomují, že musí zaujmout proaktivní přístup k řízení rizik. Právě proto se stále více spoléhají na své kvalifikované manažery.

Ze své pozice se RISK Manager věnuje celé škále potenciálních rizik. Rizika mohou pramenit z řady zdrojů. Od finančních, přes právní, smluvní, strategické, rizika třetích stran atd...

Hlavní náplň práce Risk Manažera

• Tvorba metodiky pro řízení rizik

• Implementace strategie řízení rizik

• Příprava doporučení pro eliminaci rizik

• Přezkoumání směrnic a procesů pro identifikaci rizik

• Reportování nadřízeným a zainteresovaným stranám

• Práce se statistickými modely, oceňování rizik, analytika

• Monitoring všech platných právních a regulačních předpisů ve společnosti

Manažerský přístup k řízení rizik je odlišný. Mít opravdovou strategii pro řízení rizik znamená hodně přemýšlet a vyhodnocovat:

• Co budeme dělat s riziky?

• Chceme nastavit strategii a metodiku?

Výchozí bod pro úspěšné řízení rizik v každé organizaci je vzdělávání a následné přidělování zodpovědnosti za rizika. A to nejenom z pozice CEO (generální ředitel), ale i na pozicích ředitelů projektové, programové a portfolio kanceláře.

Správně nastavená metodika řízení rizik je vyvážená tak, abychom ignorovali rizika, která jsou zanedbatelná, nebo málo pravděpodobná a naopak. Ve skutečnosti často dochází k nevyváženým nákladům v oblasti risk managementu.

Mezi nejznámější metody a metodiky v oblasti řízení rizik patří:

• BASEl I, BASEL II , BASEL III - pravidla kapitálové přiměřenosti týkající se provozních rizik bank

• CorIA (Core Impact Assessment)

• Analýza pomocí kontrolního seznamu - CLA (Checklist analysis) - analýza kontrolním seznamem

• Analýza příčiny a následků (CCA - Cause-Consequence Analysis) - analýza příčin a následků - kombinace FTA a ETA

• CRI (Continuous Risk Improvement)

• Metoda Delphi

• Metodika CRAMM (CCTA Risk Analysis and Management Method) - analýza rizik a řízení bezpečnosti informací

• CPQRA (Chemical Process Quantitative Risk Analysis) - kvantitativní posouzení rizika chemického procesu

• EWRM (Enterprise-Wide Risk Management)

• ETA (Event tree analysis) - analýza stromu událostí

• FMEA (Failure Modes and Effects Analysis) - analýza možných vad a jejich následků

• FMECA (Failure Mode, Effects and Critically Analysis) - analýza možných vad a jejich kritických následků

• FTA (Fault Tree Analysis) - analýza stromu poruchových stavů

• HAZOP (Hazard and Operability Study) - riziková a operační analýza

• HAZID (Hazard Identification Study) - studie identifikace nebezpečí

• HRA (Human Reliability Analysis) - analýza lidské spolehlivosti

• kognitivní modelovací struktury při identifikaci a hodnocení rizik:

• PHA (Preliminary Hazard Analysis)

• PPAP (Production Part Approval Process)

• Prognózování

• Pravděpodobnostní metody

• RIPRAN (RIsk PRoject ANalysis)

• RR (Relative ranking) - relativní klasifikace

• SA (Safety Audit) - bezpečnostní audit

• SR (Safety Review) - bezpečnostní prohlídka

• VaR (Value at Risk)

• W-I (What-if Analysis) - Co když..analýza

• Winterlingova krizová matice

Mezi analytické techniky použitelné pro identifikaci potenciálních rizik lze zařadit:

• Brainstorming

• Brainwriting

• Analýza pěti sil 5F (Porter’s Five Forces)

• PESTLE analýza

• SWOT analýza

• VRIO analýza

• Winterlingova krizová matice

• Paretovo pravidlo

• Prognózování

• SMART - návrh cílů

• Technika scénářů

Standardy v oblasti řízení rizik:

• ISO 14971 (pro zdravotnické prostředky) - Global Harmonization Task Force (GHTF)

• ISO 16085:2006 - Systems and software engineering - Life cycle processes - Risk management

• ISO 31000 Risk management (Řízení rizik - Principy a směrnice)

• IEC/ISO 31010 Management rizik – Techniky posuzování rizik

• ISO Guide 73:2009 Risk management - Slovník

• ISO/IEC TR 13335-1:1999

• ISO/EIC Guide 73:2002

• OHSAS 18001 Hodnocení ochrany zdraví a bezpečnosti práce

• AS/NZS 4360:2004 - Risk Management

• SOX (Sarbanes-Oxley Act)

Související pojmy a metody:

• Akceptace rizika (Risk acceptance)

• Aktiva, majetek (Assets)

• BOZP, Bezpečnost a ochrana zdraví při práci - (Occupational safety and health, OSH)

• Cílová úroveň rizika (Target Risk Level)

• Data mining

• KRI (Key Risk Indicators)

• Matice rizik (Risk Matrix)

• Metody prevence rizik

• Monitoring a revize rizik (Risk monitoring and review)

• Narušení (Breach)

• Ohrožení (Exposure)

• Ošetření, mitigace rizik (Risk Mitigation)

• Plán řízení rizik (Risk management plan)

• Pojištění (Insurance)

• Prediktivní modelování (Predictive modelling)

• Prevence

• Protiopatření (Countermeasures)

• Přenesení rizika (Risk transfer)

• Rizika (Risks)

• Rizikový apetit (Risk appetite)

• Strategie ošetření, snižování rizik (Risk Mitigation Strategies)

• Typy rizik

• Úroveň rizika v současnosti (Inherent Risk Level)

• Vyhnutí se riziku (Risk avoidance)

• Zbytková úroveň rizika (Residual Risk Level)

• Zhodnocení rizik (Risk evaluation)

• Zmírnění rizika (Risk reduction)

• Zranitelnost (Vulnerability)

Související profese:

• CFO (Chief Financial Officer)

• CRO (Chief Risk Officer)

Související oblasti řízení:

• Řízení bezpečnosti (Security Management)

• Řízení kvality (Quality Management)