Proč většina firem rizika ve skutečnosti vůbec neřídí a jak z toho ven
🕒 6 min čtení
Byť je řízení rizik vyžadováno i legislativou, která na něj klade důraz a mnozí si dokonce i uvědomují jeho smysl, a leckdy se o řízení rizik i opravdu snaží, přesto dělají systematicky špatná rozhodnutí, protože se rozhodují na základě špatných vstupů.
Ve většině organizací rizika někdo identifikuje, analyzuje a posuzuje. Postupuje přitom dle schválené metodiky. Výstupy vypadají strukturovaně. Rizika jsou popsána a vyhodnocena. Jsou navrženy způsoby zvládání. Rizika mají své vlastníky a jsou zvládána i v daném termínu. Formálně se zdá, že je vše v naprostém pořádku. Problém je však někde zcela jinde.
Kde vzniká chyba: risk analytici a špatné vstupy
Mnoho risk analytiků nedokáže riziko správně kvantitativně uchopit. Neumí spolehlivě odhadnout pravděpodobnost, dopad ani pracovat s nejistotou. Zaměňují dojmy za odhady, frekvenci za pravděpodobnost, nekriticky přebírají pravděpodobnosti a odhady škod z bezpečnostních reportů bez znalosti jejich kontextu a metodiky vzniku. Následně tyto hodnoty ještě převádějí do kvalitativních kategorií násobením ordinálních čísel, což je z metodického hlediska samo o sobě nepřípustné. Tím se chyby řetězí a zesilují.
Hodnota pravděpodobnosti i dopadu je navíc často stanovena pocitově, pod vlivem celé řady kognitivních zkreslení. Typicky podle toho, co si analytik vybavuje, co nedávno četl, nebo co se v oboru právě řeší. Nikoli na základě systematického odhadu. V důsledku toho nevědí, jak stanovit hodnotu v situacích, kdy daná událost dosud nenastala, což je přitom pro řízení rizik zásadní.
Priority jsou nastaveny špatně, investice jdou mimo skutečný problém. Vy to nepoznáte, protože výstup vypadá odborně, je v tabulce, má metodiku a prošel kontrolou. Jenže pokud jsou vstupy chybné, výsledek je chybný také. Důsledky se ale neprojeví hned. Jsou tiché, plíživé a kumulativní. Důležitá rizika jsou přehlížena, protože vypadají málo pravděpodobně. Nevýznamným rizikům je věnována nepřiměřená pozornost, protože se dobře popisují.
Ani tam, kde se organizace snaží o kvantitativní přístup, není vyhráno. Výsledkem může být číslo, které působí exaktně, ale ve skutečnosti je stejně zavádějící jako barva v matici. Chyby se nedělají jen v metodikách, ale v úsudku, datech i výpočtech. Odhady jsou zatíženy nejistotou, data jsou neúplná nebo nevhodně interpretovaná a výpočty často mechanicky aplikují vzorce bez pochopení jejich předpokladů.
Právě proto nestačí jen „dělat kvant“. Je nutné se naučit, jak ho dělat správně, a zároveň mít možnost si ověřit, že lidé, kteří připravují vstupy a podklady pro rozhodování, tomu skutečně rozumí a postupují správným způsobem. Vždyť jde o podklady pro rozhodování vrcholového managementu o rizicích za miliony korun a kde mohou chyby v úsudku či odhadech ohrozit i existenci celé firmy.
Proč management tyto chyby nevidí a ani vidět nemůže
Nejhorší na tom je, že ono se klidně nemusí nic stát celé dlouhé roky, což vás může jen utvrzovat v tom, že to děláte správně, dokud realita neukáže opak. Problém však není v tom, že by management byl nekompetentní nebo lhostejný. Management jen není v pozici, aby mohl kvalitu risk analýzy spolehlivě posoudit. Nedívá se na vstupy, ale na výstupy. A ty výstupy jsou typicky převedené do barev, tříd a skóre.
Management navíc přirozeně řeší rozhodnutí v čase. Pokud se několik let nic nestane, dostává zpětnou vazbu, že zvolený přístup funguje. Jenže u nízkofrekvenčních, vysoce dopadových rizik je tato zpětná vazba falešná. Nepřítomnost události není důkazem správnosti rozhodnutí. (Tohle je mimochodem velice zajímavé a podíváme se na to proto v samostatném příspěvku. pozn. redaktora).
Další problém je odpovědnost. Risk analytik typicky nenese přímé důsledky realizace rizika. Management naopak nese odpovědnost, ale bez možnosti ověřit kvalitu analytického uvažování, které mu bylo předloženo. Vzniká tak asymetrie: odpovědnost je oddělena od kontroly kvality vstupů. Výsledkem je stav, kdy se špatná analýza dlouhodobě tváří jako funkční systém řízení rizik. Ne proto, že by byla správná, ale proto, že zatím nebyla vystavena realitě.
Proč kontrola shody tyto chyby neodhalí
Kontrola shody (compliance) tyto chyby odhalit nemůže, protože k tomu není určena. Ověřuje se, že existuje politika nebo standard řízení rizik, je definována metodika a vodítka hodnocení, analytik postupuje podle schválené metodiky, rizika jsou zapsána v registru, mají přiřazené vlastníky, existují akční plány a opatření jsou realizována ve stanovených termínech. Z pohledu shody je tedy „vše v pořádku“.
To, co se nekontroluje, je, zda se řeší ta správná rizika, ve správném pořadí a zda jsou zavedena skutečně správná opatření. Účinnost opatření se systematicky neporovnává, sledují se maximálně celkové náklady (TCO), ale nikoli přínos opatření v podobě snížení očekávané ztráty (VOS) či návratnost investice do opatření (ROSI).
Kontrola shody nehodnotí kvalitu úsudku. Nehodnotí správnost odhadů. Nehodnotí, zda použitá čísla dávají smysl, ani zda prioritizace odpovídá skutečnému ekonomickému významu rizik. Systém může být formálně bezchybný a přesto systematicky řešit to, co řešit nemá, zatímco skutečně významná rizika zůstávají stranou.
Reziduální riziko: formálně nižší, fakticky neznámé
Po zavedení opatření je riziko v registrech obvykle hodnoceno jako nižší. Reziduální riziko se posune z „high“ do „medium“, z červené do oranžové, případně rovnou do zelené. Z formálního pohledu je tedy vše správně.
Problém je, že účinnost opatření se téměř nikdy neměří. Místo měření se pracuje s kvalitou hodnocení: předtím bylo riziko „high“, teď je to „low“. Co přesně se ale změnilo, nikdo neví. Někde v registrech uvádí, že se změnila pravděpodobnost, dopad anebo obojí. Ale o kolik, to už vám nikdo neřekne. (Jistěže minimálně o tolik, aby se riziko mohlo posunout do nižší kategorie.)
Výsledkem je paradoxní stav: opatření jsou realizována, rozpočty čerpány, rizika „snížena“, ale skutečný přínos zůstává zcela neznámý.
Jak z toho ven?
Řešení není vůbec složité. Stačí se jen naučit rizika posuzovat správným způsobem – kvantitativně, s prací s nejistotou a ověřit si, že ten, kdo připravuje vstupy a podklady pro rozhodování, skutečně rozumí tomu, co dělá.
Jde o kontrolu kvality uvažování. A právě tam dnes většina systémů řízení rizik naprosto selhává. Ostatně k čemu nám jsou všechny ty možné audity, kurzy a testy, když ověřují jen kontrolu shody a porozumění základním pojmům. To pro provedení kvalitní analýzy kybernetických rizik bohužel nestačí.
Pokud vás oblast kybernetických rizik zajímá, a chtěli byste se dozvědět více, můžete se přihlásit na kurz řízení informačních rizik, který lze absolvovat v různých formách a pokud budete chtít můžete si zkusit i certifikační test, jehož smyslem není potvrzovat shodu s normou, ale ověřit, zda člověk, který stojí mezi rizikem a manažerským rozhodnutím, skutečně ví, co dělá.
Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.
Děkujeme!
ČERMÁK, Miroslav. Proč většina firem rizika ve skutečnosti vůbec neřídí a jak z toho ven. Online. Clever and Smart. 2026. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/proc-vetsina-firem-rizika-ve-skutecnosti-vubec-neridi-a-jak-z-toho-ven/. [cit. 2026-01-25].
Štítky: řízení informačních rizik
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.