Kreativní řízení rizik
4. díl
V tomto dílu se podíváme na to, zda máme vůbec nějaké možnosti, jak s kreativním řízení rizik bojovat.
Nebude to vůbec jednoduché. V prvé řadě musíte získat jasnou podporu ze strany vrcholového managementu a ten musí usilovat o to, aby se řízení rizik stalo nedílnou součástí všech podnikových procesů a všechna rizika se objevila v registru rizik.
Následně musíte určit vlastníka samotného procesu řízení rizik, popsat proces řízení rizik v organizaci a ten vydat ve formě závazného dokumentu, aby se stal součástí předpisové soustavy vaší organizace.
V tomto dokumentu musíte popsat jednotlivé fáze řízení rizik, určit jednotlivé role v rámci celého procesu, i způsob obsazování těchto rolí a v neposlední řadě stanovit odpovědnosti jednotlivých rolí, ideálně ve formě RAM matice.
Vrcholový management musí definovat svůj postoj k riziku, tedy jaké riziko a za jakých podmínek je ochoten podstoupit. A tento svůj postoj musí formulovat v podobě jasného prohlášení, tzv. risk statement, který uvádí jeho chuť a toleranci k riziku.
V politice řízení rizik musí být uvedeny jednotlivé kategorie rizik, např. že rizika mohou být kvantifikována jako nízká, střední, vysoká nebo kritická a jaká úroveň managementu pak nese odpovědnost za jejich zvládání, a rovněž jaký způsob zvládání je v jednotlivých případech možný.
V samostatném dokumentu pak musí být uvedeno, na základě čeho je riziko označeno jako nízké, střední, vysoké nebo kritické. Metodika musí uvádět konkrétní způsob stanovení rizika a definovat intervaly, které umožní jednoznačné zařazení rizika do příslušné kategorie.
A definovány musí být rovněž metriky pro dopady, hrozby a zranitelnosti, přičemž vždy musí být i stanoveno, kdo je za aktualizaci těchto metrik odpovědný, na základě čeho jsou jednotlivé metriky stanoveny a za jakých podmínek může dojít k jejich změně, a kdo tuto změnu musí schválit.
V okamžiku, kdy jsou stanoveny metriky, tak musí být definován i závazný postup pro identifikaci, analýzu a hodnocení rizik. V prvé řadě je třeba definovat, kdo by měl tyto kroky provádět, je nasnadě, že když to bude jednotlivec, tak bude snáze ovlivnitelný, než když to bude expertní tým.
Z výše uvedeného důvodu by jednotliví členové expertního týmu neměli být ve společenské hierarchii organizace podřízeni manažerovi, který je za zvládání daného rizika odpovědný.
Je nutné jasně definovat, kdo by měl být součástí expertního týmu, kdo by měl tento tým sestavovat a řídit, aby byla skutečně zajištěna jeho nezávislost, objektivita a transparentnost.
Způsob stanovení výsledné hodnoty jednotlivých komponent rizika musí být popsán a musí být závazný. Lze předpokládat, že co člověk, to jiný názor, a nebylo by žádoucí, aby zvítězil např. ten nejsilnější hlas. (Ostatně způsobům hodnocení se budeme věnovat v samostatném příspěvku.)
Ideální je, když jsou v rámci analýzy rizika expertním týmem v rámci týmu vytvořeny ještě menší subtýmy, kdy jeden subtým je odpovědný za stanovení hodnoty aktiva a dopadu, druhý za stanovení velikosti hrozby a třetí za stanovení míry zranitelnosti, přičemž musí být vždy uvedeno, kdo, kdy a jakou hodnotu stanovil. Výhoda tohoto přístupu spočívá v tom, že lze hůře ovlivnit výslednou hodnotu rizika.
Z výše uvedeného důvodu by měly rovněž existovat zápisy z průběhu identifikace a analýzy rizik, protože jedině tak lze zajistit, že riziko, které bylo expertním týmem identifikováno a analyzováno, bude následně v nezměnění podobě zaneseno do registru rizik a audit jakožto 3. úroveň obrany budeme moci porovnat, zda rizika zanesená v registru odpovídají rizikům ohodnoceným expertním týmem.
Pokud hrozí ovlivňování výše rizika skrze opatření, tak se nabízí, aby jeden tým hodnotil inherentní riziko a druhý tým navrhoval vhodný způsob zvládání daného rizika a v případě redukce pak bezpečnostní opatření vedoucí ke snížení daného rizika.
Závěr: Podnikání bylo, je a bude vždy spojeno s riziky, kterým manažer musí čelit, identifikovat je, analyzovat je a teprve pak se rozhodnout, jak s nimi naloží. A vzhledem k tomu, že nikdo není neomylný, tak může občas dojít i k jejich mylnému vyhodnocení. Ovšem prokázat, zda se jednalo o mylné vyhodnocení anebo jasný úmysl, je velice obtížné, i proto lze předpokládat, že se budeme s kreativním řízení rizik setkávat i nadále.
Jestli jste ještě nehlasovali, tak tady jsou všechny ankety na jednom místě:
ČERMÁK, Miroslav. Kreativní řízení rizik – 4. díl. Online. Clever and Smart. 2021. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/kreativni-rizeni-rizik-4-dil/. [cit. 2025-01-20].
Štítky: kreativní řízení rizik
K článku “Kreativní řízení rizik
4. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.