Integrované řízení podnikových rizik – 2. díl
V rámci integrovaného řízení podnikových rizik potřebujeme vrcholovému managementu zobrazit nějaký ten dashboard, aby viděl, jak na tom je.
A zobrazovat bychom měli jak aktuální stav, tedy jaká je celková expozice rizika, tak i trend, tedy jak se riziko vyvíjí.
Nejčastěji se zobrazuje počet rizik. Jenže tahle hodnota zpravidla nemá pro řízení rizik v podstatě žádný význam. Je tomu tak proto, že počet rizik v registru rizik může v zásadě jen růst. A ať už roste v čase pozvolna, strmě, lineárně nebo exponenciálně, nemusí to vůbec nic znamenat.
Rostoucí počet rizik v registru rizik totiž může znamenat jediné – že se expertnímu týmu daří rizika identifikovat. Paradoxně by nás pak měl celkem logicky znepokojovat spíše opačný trend – když v registru rizik prakticky žádná rizika nepřibývají.
Zajímat bychom se rovněž měli o počet rizik, která nemají stanoveného vlastníka, nebylo rozhodnuto o způsobu jejich zvládání, nebyla zahájena implementace navržených opatření anebo nebyla dokončena v termínu. Ovšem tahle rizika bychom, pokud řízení rizik v organizaci skutečně funguje, v registru rizik ani neměli mít.
Co by nás však určitě mělo zajímat, je výše celkového aktuálního rizika, protože to je hodnota, která určuje, jaké výši rizika skutečně čelíme. A zde již má smysl nějaký trend sledovat a vyhodnocovat, protože rostoucí výše aktuálního rizika by mohla znamenat, že jsme skutečně v ohrožení.
Příčinou může být, že management akceptuje velký počet rizik, která v součtu překračují risk capacity organizace, anebo nám příliš dlouho trvá realizace příslušných opatření vedoucích ke snížení rizika.
Problém je, že ať už provádíme kvalitativní, semikvantitativní nebo kvantitativní analýzu rizik, tak v okamžiku, kdy máme stanovit jen jednu hodnotu a tu sledovat v čase, tak narazíme na to, jak z bezpočtu rizik o různé výši vygenerovat jednu hodnotu.
Nabízí se vynásobit počet rizik v dané kategorii určitou hodnotou a provést kumulovaný součet. Ovšem pokud budeme mít např. 4 kategorie rizik, tj. nízké, střední, vysoké a kritické a těm přisoudíme hodnotu 1, 2, 3 a 4, tak může nastat situace, že 4 nízká rizika dají ve výsledku stejnou hodnotu jako 1 kritické.
Je zřejmé, že lineární stupnice není ideální a proto je vhodnější použít třeba stupnici exponenciální, kdy rizika budeme kvantifikovat jako 10^x, kde x bude nabývat hodnoty {0, 1, 2, 3}, tedy 1, 10, 100, 1000. Můžeme si představit, že se jedná o tisíce, desetitisíce, statisíce a milióny.
Vycházíme z předpokladu, že kritických rizik nebude až tolik jako těch nízkých. Zde by již, abychom dostali stejnou výslednou hodnotu agregovaného rizika, muselo na jedno kritické riziko připadat 1000 nízkých rizik. A kdyby k tomu přeci jen došlo, tak máme problém a musíme jej stejně řešit.
Abyste však s ERM mohli vůbec začít, tak se nejprve posuzování rizik musí stát nedílnou součástí všech vašich business procesů a rizika musí být posuzována dle jednotné metodiky a zanesena do vždy aktuálního registru rizik. Teprve poté můžete začít s agregacemi nad jedním typem rizik a v okamžiku, kdy zvládnete řídit riziko stejného typu napříč organizací, můžete začít postupně přidávat i další typy rizik.
Poznámka: Všimněte si rovněž, že při stanovení celkové hodnoty rizika často ignorujeme i skutečnost, že většina rizik jsou zpravidla na sobě nezávislé jevy, takže pravděpodobnost, že by k materializaci všech rizik došlo ve stejnou dobu je krajně nepravděpodobná.
Štítky: ERM
K článku “Integrované řízení podnikových rizik – 2. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
