M_o_R v kostce

Tento příspěvek slouží k rychlému seznámení s celosvětově uznávaným frameworkem M_o_R pro řízení rizik v organizaci.

Management of Risk framework, zkr. M_o_R, vznikl již někdy v roce 2002, tedy dávno před ISO 31000, a je použitelný jak ke strategickému řízení rizik, tak i k řízení rizik v programech, projektech, ale i v běžném provozu.

Já se na následujících několika řádcích pokusím o stručné shrnutí poslední verze M_o_R z roku 2010, která čítá 145 stran, přičemž v závorce budu vždy uvádět původní termíny v angličtině.

M_o_R si může každá firma uzpůsobit svým potřebám, podobně jako je tomu u metodiky PRINCE2 od téže společnosti, takže je použitelná bez ohledu na velikost firmy a předmět podnikání.

Pojmy

M_o_R definuje riziko (risk) jako nejistou událost (uncertain event) nebo sadu událostí, které mohou nastat a ohrozit dosažení cílů (objectives). Onou nejistou událostí pak může být hrozba (threat) mající negativní dopad anebo příležitost (opportunity) mající pozitivní dopad.

M_o_R  definuje řízení rizik (risk management) jako systematickou aplikaci principů (principles), přístupů (approach), a procesů (proces) za účelem identifikace (identify), ohodnocení (assess) rizik a následného naplánování (plan) a implementaci (implement) odpovídajících odezev na rizika (risk response).

Rizika mohou být řízena v dlouhodobém horizontu, pak se jedná o řízení rizik v návaznosti na firemní strategii (strategic), střednědobém horizontu v rámci programu (programme) nebo projektu (project) a krátkodobém horizontu v rámci běžného provozu (operational). M_o_R v tomto případě hovoří o tzv. perspektivě (perspectives).

A aby byl proces řízení rizik efektivní, je nutné rizika nejprve identifikovat (identify), poté ohodnotit (assess) a následně řídit (control). A vzhledem k tomu, že rizika se mohou v objevit v různých oborech, je nutné na jejich řízení vyčlenit specialistu (risk specialism).

Rizika totiž mohou např. souviset s kontinuitou podnikání (business continuity management), řízením incidentů a krizí (incident and crisis management), bezpečností práce (health and safety management), ochranou aktiv (security risk management), financemi (financial risk management), životním prostředím (environmental risk management), reputací (reputation risk management), kontrakty (contract risk management).

Vzhledem k tomu, že riziko je dle M_o_R vyjádřeno jako kombinace pravděpodobnosti (probability) a dopadu (impact), tak ona nejistota pak může spočívat v tom, že neznáme pravděpodobnost, s jakou daná událost nastane, a jaký bude mít dopad.

Můžeme tak hovořit o rozpoznané nejistotě (recognized uncertainty), což jsou známé následky (known consequencies) a známá pravděpodobnost (known probability). Nebo představitelná nejistota (Imaginable uncertainty), což jsou známé následky (known consequencies) a neznámá pravděpodobnost (unknown probability).

Za riziko pak M_o_R nepovažuje Unimaginable Uncertainty (nepředstavitelná nejistota), což jsou neznámé následky (unknown consequencies) a neznámá pravděpodobnost (unknown probability).

Otázka je, zda je či není rizikem událost s neznámými následky (unknown consequencies) a známou pravděpodobností (known probability), protože o této kombinaci se M_o_R vůbec nezmiňuje.

Dalším pojmem, se kterým se v M_o_R můžete setkat, je expozice rizika (Risk Exposure). Ta je definována jako kombinace očekávaných hodnot (expected values) všech zbytkových rizik (residual risks).

Jak onu expozici rizika stanovit a jak s ní dále pracovat M_o_R přímo neuvádí, a nechává to na vás. Vzhledem k tomu, že tato problematika je velice zajímavá, tak se k ní v některém z příštích dílů nejspíš vrátím.

M_o_R dále rozlišuje inherentní a zbytkové riziko, kdy vlastní nebo také čisté riziko (inherent risk) je riziko, bez přijatých opatření (pre-response). Riziko po snížení (post-response) je možné prohlásit za zbytkové riziko (residual risk), ale je třeba si uvědomit, že přijetím určitého opatření za účelem snížení rizika může vzniknout i sekundární riziko (secondary risk).

Risk capacity je maximální riziko, kterému je organizace schopna čelit. Risk appetite je pak riziko, které je společnost ochotna akceptovat. Risk tolerance je pak úroveň, která když je překročena, mělo by dojít k eskalaci rizika.

M_o_R neuvádí, v jakých jednotkách, a kde by risk capacity měla být stanovena. Ale jde o to stanovit, jaká např. ztráta by pro společnost byla kritická a vedla k jejímu krachu.

Framework

Samotný M_o_R framework je postaven na 4 pilířích, kterými je 8 principů (principles), 9 přístupů (approaches), vlastní proces řízení rizik (process) a zhodnocení (embed and review).

Principy podle M_o_R jsou:

  • soulad s cíly (aligns with objectives) – ty by měly být SMART a cílem je pak identifikovat podstatná rizika související s dosahováním vytčených cílů a stanovit risk capacity a appetite a ty by pak měly být uvedeny v dokumentech Risk management policy a Risk management strategy;
  • zasazení do kontextu (fits the context) – je třeba chápat rizika v souvislostech a ve vztahu k vnějšímu a vnitřnímu prostředí, ve kterém se vlastní business odehrává;
  • zapojení vlastníků (engages stakeholders) – je důležité se sjednotit na pojmech a komunikovat s vlastníky, aby pochopili o čem proces řízení rizik je a jak jim může pomoci k dosahování cílů a řízení rizik podporovali;
  • jasný návod (provides clear guidance) – jasně popsat celý proces řízení rizik a poskytnout tak jasný návod, jak rizika identifikovat, hodnotit, reagovat na ně zvládat je;
  • informovat ty co rozhodují (informs decision-making) – ti, co rozhodují, by měli vzít v potaz rizika, je nutné mít stanoven risk tolerance threshold, Key Perfromance Indicatorors, zkr. KPI a Early Warning Indicators, zkr. EWI;
  • soustavné zlepšování (facilitates continual improvement) – celý proces řízení rizik by měl být soustavně zlepšován a proto by měla být měřena vyzrálost procesu (maturity model) a zjišťován aktuální stav (health check);
  • budování kultury (creates a supportive culture) – aby řízení rizik ve firmě skutečně fungovalo, je nutné budovat i odpovídající kulturu;
  • dosažení měřitelných cílů (achives measurable value) – pozor tento osmý princip není enabler, ale je spíše výsledkem předchozích principů.

Byť M_o_R hovoří o přístupech, tak ve skutečnosti se jedná o vytvoření sady 9 dokumentů:

  • Risk management policy – politika popisující proč a jak bude proces řízení rizik implementován a dále definuje risk capacity, appetite, tolerance, role a odpovědnosti, KPI, EWI.
  • Risk management process guide – v zásadě příručka, jak řídit rizika v celé firmě, definuje jednotlivé fáze procesu, role a odpovědnosti, nástroje, šablony, slovník.
  • Risk management strategy – jak se budou řídit rizika v konkrétním útvaru v souladu s risk management policy a guide, měl by být stanoven risk threshold, category, EWI, KPI, stupnice a metriky.
  • Risk register – obsahuje všechna rizika a jejich popis (registru rizik a popisu rizik bych se rád věnoval v samostatném příspěvku).
  • Issue register – Issue je událost, která na rozdíl od rizika již nastala, a je třeba ji rovněž řešit.
  • Risk improvement plan – jak zlepšit samotný proces řízení rizik.
  • Risk communication plan – jak komunikovat rizika.
  • Risk response plan – detailní popis jak zvládat rizika.
  • Risk progress report – jak se daří zvládat rizika.

Samotný proces řízení rizik je nelineární iterativní proces a podle M_o_R se skládá ze 4 fází:

  • Identify – tato fáze se skládá ze dvou kroků, v prvním dojde k ustanovení kontextu (risk context), ve kterém se budou identifikovat samotná rizika (risk identify);
  • Assess – tato fáze se skládá se ze dvou kroků, z odhadu pravděpodobnosti a dopadu (assess estimate) a vyhodnocení rizika (assess evaluation);
  • Plan – v rámci této fáze by mělo dojít ke stanovení odezvy na riziko (risk response);
  • Implement – v rámci této fáze by mělo dojít k vlastní realizaci zvolené odezvy na riziko.

Každá výše uvedená fáze má pak definován nějaký cíl (goal) vstupy (inputs), výstupy (outputs), a těch pokud má být dosaženo, tak musí být použity určité techniky (techniques). V následující tabulce jsou zachyceny jednotlivé fáze, jejich cíle a doporučované techniky.

Fáze Cíl Technika
Identify Identifikovat rizika (této fázi bych se rád detailně věnoval v samostatném příspěvku)
Context Stanovit oblasti, kde se budou rizika později identifikovat.
  • Stakeholder analysis,
  • PESTLE,
  • SWOT,
  • Horizon scanning,
  • Probability impact grid (jen metriky)
Risks Identifikovat rizika v souvislosti s cílem za účelem minimalizace hrozeb a maximalizace příležitostí.
  • checklist,
  • promptlist (RBS),
  • questionanaires, interview,
  • brainstroming, Delphi,
  • rybí kost
Estimate Ohodnotit rizika (této fázi bych se rád detailně věnoval v samostatném příspěvku)
Assess / estimate Stanovit pravděpodobnost hrozby/příležitosti, velikosti dopadu a vzdálenost (proximity)
  • Probability assessment,
  • impact assessment,
  • proximity assessment
  • Expected value assessment
Assess  / evaluate Stanovit risk exposure na základě analýzy závislosti mezi riziky a jejich vzájemného působení.
  • Summary risk profiles
  • Summary exected value
  • Probabilistic risk model (Monte Carlo)
  • Probability trees
  • Sensitivity analysis (What-if analýza)
Plan Stanovit, jak se bude reagovat na zjištěná rizika, resp. hrozby a příležitosti. Musí být identifikován Risk owner, risk actionee, residual risk a případně i secondary risks.
Implement Zajistit, že budou realizovány naplánované reakce
  • Updated risk profile
  • Risk exposure trends
  • Updated probabilistic models

Neméně důležitá je také komunikace, která musí probíhat ve všech fázích. Za tímto účelem je nutné obsadit jednotlivé role konkrétními lidmi a definovat jejich odpovědnost v rámci celého procesu. To lze provést pomocí RACI matice. Jednotlivé role pak jsou:

  • Senior team – píše politiku, definuje risk capacity a appetite.
  • Senior manager – definuje risk tolerance, zajišťuje budget.
  • Manager – kontroluje risk assessmenty.
  • Assurance – provádí formální kontrolu procesu.
  • Risk specialist – píše risk strategy, vyvíjí plány.
  • Team – identifikuje, hodnotí a eskaluje rizika.

Závěr: M_o_R framework představuje vcelku jednoduchý metodický rámec pro zavedení procesu řízení rizik v jakékoliv organizaci, a mohu ho proto doporučit každému vlastníkovi firmy nebo manažerovi, který má zájem minimalizovat hrozby a maximalizovat příležitosti, které se v jeho okolí nachází. Detailní návody, postupy a techniky v něm však bohužel nenajdete, takže pro jeho úspěšné zavedení a skutečně efektivní fungování vám doporučuji se obrátit na odborníky, kteří se řízení rizik věnují, a s nimi postup zavedení konzultovat, anebo alespoň absolvovat nějaký kurz, který se řízení rizik věnuje.

Něco vám zde schází, chcete ještě něco doplnit? Napište.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2017. M_o_R v kostce. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/m_o_r-v-kostce/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.


K článku “M_o_R v kostce” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: