Integrované řízení podnikových rizik
O integrovaném řízení podnikových rizik se hodně mluví, ovšem málokdo jej dělá, a jen pár expertů jej skutečně ovládá.
Řízení podnikových rizik (Enterprise risk management, zkr. ERM) by mělo přinést komplexní a konsolidovaný pohled na všechna rizika napříč organizací. Někdy se proto též hovoří o integrovaném řízení rizik (Integrated Risk Management, zkr. IRM), kdy je na rizika nahlíženo z pohledu celé organizace.
Problém je, že většina organizací rizika stále posuzuje výhradně izolovaně, a pokud k nějaké agregaci rizik přesto dochází, tak maximálně jen v rámci jedné entity, ale už vůbec ne napříč celou organizací. Je nasnadě, že tímto způsobem může být akceptováno i riziko, které pro ostatní oddělení představuje zásadní problém.
Jedná se o známý problém tradičního, a dnes již v zásadě zastaralého a neefektivního způsobu řízení rizik, kdy za řízení rizik v rámci svého oddělení odpovídá příslušný manažer, který rozhoduje o způsobu zvládání rizika a implementaci bezpečnostních opatření, tzv. silo approach.
V případě ERM však již tento problém nehrozí, neboť rizika jsou řízena shora dolů a k rozhodování dochází na vrcholové úrovni se znalostí všech rizik uvedených v registru včetně závislostí mezi nimi a dopadů na jednotlivé organizační jednotky a lze tak poměrně efektivně rozhodovat o zavedení odpovídajících bezpečnostních opatření snižujících dané riziko.
Pokud hovoříme o entitách, máme tím zpravidla na mysli nejrůznější organizace fungující zcela samostatně i v rámci skupiny, ale rovněž i projekty a procesy, kde jsou rizika posuzována příslušným manažerem. Samotnou agregaci pak můžeme provést např. dle:
- kategorie rizika, což nám umožňuje zjistit, na jaký typ rizik se zaměřit, a kde posílit své kompetence;
- aktiva, kterými může být primární/sekundární aktivum tj. proces, služba, informace nebo podpůrné aktivum, což nám umožňuje zjistit, které aktivum je nejvíce ohroženo;
- hrozeb, což nám umožňuje zjistit, které hrozby jsou nejčetnější a ohrožují nejvíce aktiv nebo entit;
- zranitelnosti, což nám umožňuje zjistit, které zranitelnosti jsou nejvíce zneužívány a navrhnout vhodné bezpečnostní opatření, kterým odstraníme danou zranitelnost;
- dopadu, tedy největší škody bez ohledu na pravděpodobnost hrozby a účinnost opatření.
Ať už provedeme agregaci jakýmkoli způsobem, tak ve výsledku potřebujeme sledovat co nejmenší počet ukazatelů. Z pohledu vrcholového managementu to může být celkové riziko a to pak musíme vyhodnocovat v čase, abychom mohli identifikovat trendy.
Zde je třeba si uvědomit, že celkové riziko zpravidla ovlivňují rizika různých typů a jeho volatilita je značná, především s četností aktualizací registru rizik. Na to, jak se s tímto problémem vypořádat, se podíváme v dalším dílu.
K článku “Integrované řízení podnikových rizik” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
