Zvládání rizik: akceptace rizik
Akceptace rizika je formální proces, při kterém management vyjadřuje svůj záměr dané riziko vědomě podstoupit.
Management zpravidla ochotně akceptuje nízká rizika, tj. rizika s nízkým dopadem a nízkou pravděpodobností hrozby. Ovšem nemusí tomu tak být vždy.
Záleží především na risk apetitu organizace. Management může za určitých podmínek akceptovat i riziko, které zdaleka přesahuje jeho risk apetit, ale ještě pořád se nachází v mezích tzv. risk tolerance. Pro každou úroveň a případně i kategorii rizika proto musí být předem jasně stanoveno, kdo a jakým způsobem jej může akceptovat.
Je nasnadě, že se postoj vrcholového managementu k akceptaci rizik bude odvíjet od jeho chuti riskovat, která se navíc může i lišit dle kategorie rizika a ne všechna rizika budou akceptována stejným způsobem. Stanovením risk apetitu ve formě prohlášení se management nezbavuje odpovědnosti za zvládání rizik, nadále za něj zůstává ultimativně odpovědný, nicméně detailně se jimi již zabývat nemusí.
A tak v okamžiku, kdy expertní tým identifikuje riziko, které je v souladu s risk apetitem organizace a je možné jej akceptovat, tedy jinými slovy nic s ním nedělat, se nabízí otázka, zda by měl management takovéto riziko ještě formálně odsouhlasit a jakým způsobem.
Všimněte si, že zatímco u rizik, která jsou mimo risk apetit, je rozhodnutí manažera ohledně způsobu jejich zvládání nutné mimo jiné i proto, že zavedení příslušných opatření se musí naplánovat a zaplatit, tak v případě nízkých rizik, u kterých je možná v souladu s nízkým risk apetitem jejich akceptace, nikdo po nikom nic nechce. To jsou dvě naprosto rozdílné situace.
Jsme přesvědčeni, že formálním odsouhlasením management dává jasně najevo, že byl s riziky prokazatelně seznámen, a že retence těchto rizik je z jeho strany zcela vědomá. Kromě toho můžeme formální odsouhlasení rizik považovat také za jakousi pojistku proti kreativnímu řízení rizik ze strany expertního týmu. Nemůžeme totiž nikdy zcela vyloučit, že dané riziko nebylo expertním týmem záměrně hodnoceno jako nízké.
Někdo může namítnout, zda má příslušný manažer vůbec potřebné kompetence k tomu, aby byl schopen sám posoudit, zda rizika byla ohodnocena správně, protože se dost často bude jednat o rizika, kterým nemusí vůbec rozumět. Nabízí se otázka, jak onu formální akceptaci provést.
Domníváme se, že prosté oznámení o zvolené metodě zvládání na základě risk statementu nelze považovat za vědomou akceptaci rizik a to ani u rizik, která jsou nízká, a že je nutné, aby ona akceptace byla prokazatelná, např. kliknutím na příslušné tlačítko v registru rizik, kde bude v logu zaznamenáno, kdo a kdy dané riziko akceptoval. (Zde je třeba zajistit, aby k oné akceptaci došlo včas.)
Další problém, který stojí za to v souvislosti s akceptací rizik zmínit, je, že byť je možné v případě nízkých rizik a nízkého rizikového apetitu tato rizika šmahem akceptovat, tak přesto je vhodné se zamyslet nad tím, proč dané riziko vyšlo jako nízké, zda bylo nízké již jako inherentní anebo až jako reziduální a hlavně jaká bezpečnostní opatření v tomto případě riziko snižují a tato opatření dokumentovat a tedy je do registru rizik též zanést.
Je třeba si uvědomit, že byť je reziduální riziko nízké a v souladu s risk apetitem je možné toto riziko akceptovat, tak inherentní riziko mohlo být klidně i kritické a bylo sníženo díky stávajícím opatřením. Vidíme, že v obou případech tak ve výsledku mohou být akceptována dvě naprosto odlišná rizika. Nemělo by se však přistupovat k těmto rizikům jinak?
Určitě ano, protože zatímco v prvním případě postačí formální schválení ze strany nižšího managementu, tak ve druhém případě by měl o akceptaci daného rizika být minimálně informován i vyšší management a případně by měl i onu akceptaci schválit, protože v okamžiku, kdy by daná opatření selhala, tak by vznikla v případě materializace rizika i vyšší škoda.
Opět zde narážíme na problém a to, zda u těchto vysokých inherentních, ale zároveň nízkých reziduálních rizik má formální akceptace ze strany vyššího managementu smysl nebo ne. V souvislosti s platnou teorií řízení roste pravděpodobnost, že těmto rizikům nebude vyšší management rozumět. Jedná se např. o IT rizika související s řízením technických zranitelností.
Stranou také nemůžeme nechat ani otázku snížení již jinak nízkého rizika, neboť u některých rizik se nabízí zavést levná a rychlá opatření, např. změna parametru, vypnutí debugu apod. může zabránit zvýšení rizika v budoucnu anebo snížit jiné s ním související riziko.
Otázka totiž je, jak jsou daná opatření efektivní, a jak provádět vyhodnocování jejich účinnosti, protože se může snadno stát, že za pár měsíců již tato opatření účinná nebudou a najednou se z nízkého rizika stane střední anebo dokonce i vysoké. Konec konců nízká rizika je nutné pravidelně přezkoumávat, stejně jako vztah mezi nimi. Ale to už se dostáváme od prosté akceptace rizik k otázkám vhodně nastavených KCI, KRI a ERM a těm se budu věnovat v dalších samostatných příspěvcích.
Štítky: zvládání rizik
K článku “Zvládání rizik: akceptace rizik” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.