Integrované řízení podnikových rizik

O integrovaném řízení podnikových rizik se hodně mluví, ovšem málokdo jej dělá, a jen pár expertů jej skutečně ovládá.

Řízení podnikových rizik (Enterprise risk management, zkr. ERM) by mělo přinést komplexní a konsolidovaný pohled na všechna rizika napříč organizací. Někdy se proto též hovoří o integrovaném řízení rizik (Integrated Risk Management, zkr. IRM), kdy je na rizika nahlíženo z pohledu celé organizace.

Problém je, že většina organizací rizika stále posuzuje výhradně izolovaně, a pokud k nějaké agregaci rizik přesto dochází, tak maximálně jen v rámci jedné entity, ale už vůbec ne napříč celou organizací. Je nasnadě, že tímto způsobem může být akceptováno i riziko, které pro ostatní oddělení představuje zásadní problém.

Jedná se o známý problém tradičního, a dnes již v zásadě zastaralého a neefektivního způsobu řízení rizik, kdy za řízení rizik v rámci svého oddělení odpovídá příslušný manažer, který rozhoduje o způsobu zvládání rizika a implementaci bezpečnostních opatření, tzv. silo approach.

V případě ERM však již tento problém nehrozí, neboť rizika jsou řízena shora dolů a k rozhodování dochází na vrcholové úrovni se znalostí všech rizik uvedených v registru včetně závislostí mezi nimi a dopadů na jednotlivé organizační jednotky a lze tak poměrně efektivně rozhodovat o zavedení odpovídajících bezpečnostních opatření snižujících dané riziko.

Pokud hovoříme o entitách, máme tím zpravidla na mysli nejrůznější organizace fungující zcela samostatně i v rámci skupiny, ale rovněž i projekty a procesy, kde jsou rizika posuzována příslušným manažerem. Samotnou agregaci pak můžeme provést např. dle:

  • kategorie rizika, což nám umožňuje zjistit, na jaký typ rizik se zaměřit, a kde posílit své kompetence;
  • aktiva, kterými může být primární/sekundární aktivum tj. proces, služba, informace nebo podpůrné aktivum, což nám umožňuje zjistit, které aktivum je nejvíce ohroženo;
  • hrozeb, což nám umožňuje zjistit, které hrozby jsou nejčetnější a ohrožují nejvíce aktiv nebo entit;
  • zranitelnosti, což nám umožňuje zjistit, které zranitelnosti jsou nejvíce zneužívány a navrhnout vhodné bezpečnostní opatření, kterým odstraníme danou zranitelnost;
  • dopadu, tedy největší škody bez ohledu na pravděpodobnost hrozby a účinnost opatření.

Ať už provedeme agregaci jakýmkoli způsobem, tak ve výsledku potřebujeme sledovat co nejmenší počet ukazatelů. Z pohledu vrcholového managementu to může být celkové riziko a to pak musíme vyhodnocovat v čase, abychom mohli identifikovat trendy.

Zde je třeba si uvědomit, že celkové riziko zpravidla ovlivňují rizika různých typů a jeho volatilita je značná, především s četností aktualizací registru rizik. Na to, jak se s tímto problémem vypořádat, se podíváme v dalším dílu.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print


K článku “Integrované řízení podnikových rizik” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: