Čím je risk management užitečný?

Risk management je jednak užitečný tím, že jde o jakýsi strategický rámec pro uvažování managementu, kterými oblastmi se máme vlastně zabývat.

Jaké jsou nástroje používané v risk managementu?

Nástroje risk managementu

Diagnostická fáze (identifikace rizik) se inspirovala ze strategických rámců typu SWOT (analýza silných/slabých stránek, příležitostí a hrozeb) analýza, FMEA (analýza možného vzniku vad výroby/procesu). Dále vznikají vlastní strategické rámce v rámci risk managementu s cílem posílení implementační fáze, mezi něž patří zejména RCSA (ohodnocení rizik a kontrol) a ERM (firemní řízení rizik), apod. Risk management je metodicky rovněž vymezen v rámci výstupu projektu poradenských společností COSO a v podobě implementačních norem má svůj odraz také v rámci norem ISO. Pro vyhodnocení nákladů rizik, a tedy zvážení v jakém vztahu jsou náklady rizik na náklady na jejich odstranění anebo potlačení se používá standardizovaná CBA (analýza nákladů a přínosů).

Jak lze charakterizovat proces ohodnocení rizik – RCSA?

Proces ohodnocení rizik RCSA

RCSA se využívá jako metodický základ pro ohodnocení rizik. Jedná se vlastně o strukturovaně vedené workshopy s vedením společnosti, jejichž výstupem je katalog rizik. Poradce obvykle vede team k tomu, aby nejprve identifikoval rizika, následně ohodnotil jejich frekvenci a dopad podle škály významnosti. Tím vznikne znalost ohledně závažnosti rizik a umožní se tím managementu věnovat energii a čas jen těm nejvýznamnějším rizikům. Dále s cílem účinné implementace se určí vlastník rizika a udělá se současně návrh nápravných opatření k danému riziku. Obvyklým dodatečným výstupem RCSA je tvorba akčních plánů k významným rizikům a jejich pravidelné sledování managementem společnosti.

Jak lze charakterizovat procesy ERM?

Proces ERM

ERM je koncept integrovaného systému řízení rizik. Jeho poznání vychází ze zkušenosti, že jedině integrovaný neboli centralizovaný risk management, může efektivně plnit svou roli. V jednoduchosti tento rámec říká, že risk management by měl být zastřešen na úrovni představenstva funkcí CRO (Chief Risk Officer), ale v menších společnosti tato role často přísluší majiteli anebo se o ni dělí s generálním, finančním a obchodním ředitelem. Dále tento koncept navrhuje existenci poradních výborů pro risk managementu jako poradenský orgán představenstva společnosti. ERM také hovoří o nezbytnosti implementace sady procesů, jež zabezpečí efektivní správu a řízení společnosti v oblasti risk governance a její kultury. Jedná se o proces strategie řízení rizik včetně centrální organizace rizik, identifikace a ohodnocení rizik, měření rizik, reportování rizik, řízení rizik (rozhodování o rizicích)..

Co je to přesně strategický risk management (ERM)?

Strategický risk management (ERM)

Risk management již dávno není jen oblastí tzv. obranou (defensivní). I když samozřejmě také tuto roli plní, zejména v oblastech kvalita, bezpečnost, ekologické hrozby, kybernetické hrozby, regulatorní hrozby atd. Vedle toho se čím dál více rozvíjí aspekt risk managementu směřující k podpoře a aktivního zvládání příležitostí. Zde se jedná o řízení rizik v projektech, řízení rizik akvizic (M&A), řízení rizik třetích stran, participace na vývoji nových produktů a procesů a také participace na strategii společnosti. Do této oblasti typicky patří zbudování centrálního/integrovaného risk managementu s moderními prvky řízení (tzv. sdílení dobré praxe ERM). Risk management má současně vazby na výkonnost a strategické finanční plánování společnosti. Jen pojetí risk managementu jako strategické disciplíny umožní vyhodnocovat projekty, aktivity, činnosti, vazby ve vazbě na plán a ve vazbě na celkovou finanční výkonnost společnosti. V této své roli je risk management součástí představenstva společnosti. Je však nutné si uvědomit, že risk management leží ve všech liniích firmy a že musí aktivně komunikovat a spolupracovat s první linií (obchod, nákup, provoz). V rámci této jeho činnosti podporuje strategické příležitosti a hledá v rámci svých nástrojů způsob, jak rizika z těchto aktivit dostat pod kontrolu. Současně risk management využívá, a i je součástí interního kontrolního systému (ISO, kvalita, bezpečnost, audit, compliance, procesní risk management), nicméně nelze jej s touto funkcionalitou ztotožňovat, jelikož tím by ztratil svou strategickou a proaktivní roli v oblasti tvorby hodnoty firmy. Role tvorby hodnoty dále souvisí s jeho participací na strategii a strategickém plánování, tedy ve velmi úzké spolupráci s financemi.

Jak se rozhodujeme v risk managementu?

Rozhodování v risk managementu

Podle pochopení významu (pravděpodobnost a dopad) a tím vyjádření nákladů rizika se mohu kvalifikovaně rozhodovat, zda riziko akceptuji (přijmu jej), nebo zda jej zcela odmítnu (zavřu produkt, opustím trh, zamítnu transakci atd.), případně zda jej přenesu (tzv. transfer rizika v podobě finančního hedgingu a nebo pojištění, případně outsourcing rizik) na někoho jiného anebo zda jej nějak zredukuji nějakým nápravným opatřením, přijetím garance, záruky nebo zajištění kolaterálem anebo nastavením kontroly či změnou procesu.

Jaké jsou obvyklé potíže při implementování risk managementu?

Potíže v implementací risk managementu

Obvykle si lidé plně neuvědomují komplexnost metodiky risk managementu, a tak se může tvorba katalogu rizik stát pouze jednorázovým formálním cvičením končící výčtem nekonečným množstvím triviálních událostí. Tady je nutné připomenout, že události/rizika, jež identifikujeme mají být možné nebo přijatelné ve smyslu, že skutečně mohou nastat (plausible) anebo pouze možné ve smyslu představ (possible). Obvykle vyvstane zmatek při ohodnocení rizik, jelikož lidé si nejsou schopni představit škálu stejným způsobem. Proto je nezbytné v rámci workshopu hledat soulad ve vnímání škály významnosti a vizualizovat škálu, aby byla přijatelnou pro členy teamu. Po vytvoření katalogu se k němu společnost již navrací anebo jeho závěry nereflektuje ve vytvoření akčních plánů a jejich realizacích. Tímto přístupem se risk management pasuje do role formálního nástroje a ztrácí svou kredibilitu ve společnosti. Ohodnocení rizik se používá jen sporadicky a na rizika společensky poptávaná a tím pádem nepokrývá strategická rizika společnosti. Risk management může sloužit k pokrytí všech rizik, nicméně jeho smysl a užitečnost spočívá zejména v implementování na strategická rizika a výzvy. Je škoda nevyužít metodik a postupů RCSA také na skutečně podstatná firemní/podniková rizika. Obvykle si lidé neuvědomují strategickou část risk managementu, a tak zůstává jen v rámci své defenzivní role, čímž však nepomáhá společnosti k realizování jejich skutečných priorit a nepodílí se efektivně na tvorbě hodnoty společnosti. Risk management se totiž podílí také na aktivním hledání příležitostí (investice, M&A, vývoj produktů, změna procesů, volba efektivního portfolia aktiv, projektů atd.) a jejich ziskovému průběhu. Rizika jsou řízena jen dílčím způsobem například pouze finanční nebo pouze provozní anebo pouze bezpečnostní. Neexistuje koordinovaný přístup ke všem rizikům (portfoliu rizik) ve společnosti. Tím pádem se často neřeší skutečné priority, ale často jen ty oblasti, jež jsou nejméně náročné (z hlediska času, peněz, úsilí) a to následně může vést ke ztrátám a snížení hodnoty firmy. Rizika se neměří, nereportují a tím pádem efektivně neřídí. Mnoho firem nemá zabezpečen efektivní reporting rizik. Tím pádem je znalost představenstva o podstupovaných rizicích jen neúplná a nedostatečná. Pokud je risk management decentralizován (manager kvality, ISO manager, audit manager, compliance manager, risk manager, atd…) a nemá své vymezení na úrovni představenstva celá řada aktivit se děje pouze formálně anebo nemá celofiremní přesah, případně mu chybí strategické vymezení. Bez podpory CEO a pozice v BoD je risk management často jen povrchní, formální a neúplný. Tím však vzniká představenstvo riziko, že některé významné riziko není řádně ošetřeno, nemá vlastníka anebo si jen myslíme, že je skutečně řízeno.

Kde se s risk managementem můžeme v organizacích dnes setkat?

Nejčastěji se jeho operativní aktivity projevují v rámci vytváření katalogu rizik, případně jeho rozšiřování a aktualizaci. Tato jeho činnost souvisí s vytvářením preventivního prostředí, jež upozorňuje a eskaluje významná celofiremní rizika a sleduje snižování jejich rizikového profilu. Katalog rizik vzniká jako produkt pravidelného procesu mapování rizik (RCSA), jehož cílem je upozornit na významná rizika a k nim vytvořit akční plány a nápravná opatření. Prvky risk managementu v sobě nese management kvality (ISO), management bezpečnosti, a také budování interního kontrolního prostředí (audit a compliance). Dále se s jeho operativními prvky setkáváme při definování nových nápravných opatření a kontrol. Tato jeho činnost úzce souvisí a navazuje na řídící kontrolní systém a práci interního auditu. Audit následně tyto kontroly testuje z hlediska jejich účinnosti i z hlediska jejich vlastního provádění. Dále se s jeho metodikami a procesy setkáváme v práci nákupu v oblasti řízení rizika třetích stran. Výstupem je školení pro jakýsi druh úpisu rizika třetí strany s definovanými automatizovanými kontrolami dodavatele a v případě nálezu podezření i formulování dodatečného ověřování prostřednictvím formuláře s analytickými dotazy. Strategický risk management je přítomný při definování a realizování strategie a strategických plánů, zejména v oblastech akvizic, řízení rizik projektů apod.

Pojištění a řízení rizik

Pojištění je způsobem financování ztráty v případě vzniku škody na majetku, životech anebo z odpovědnosti. Jako takové je tedy pojištění součástí širšího rámce řízení rizik, které v rámci podnikání mohou nastat. Podnikatel vybaven rámcem pro ohodnocení rizik, dokáže správně identifikovat oblasti v nichž mu hrozí největší ztráty a škody a na ně zaměří svou pozornost jak ve smyslu implementace nápravných opatření (např. bezpečností a signalizační systém, požární systém, fyzická a IT bezpečnost atd.), ale také volbou správného pojistného produktu, jenž mu umožní financovat ztráty v případě jejich nastání. Pojistitel se snaží omezovat tato rizika nabídkou homogenních produktů velkému množství klientů, kdy se současně snaží zamezovat morálnímu hazardu a negativnímu výběru. Jednoduše řečeno se snaží, aby úpisem získal normální populaci klientů a nepodnítil pro jeho využití nějaké nevhodné populační skupiny (např. podvodníky, sociálně, kulturně, příjmově nepřizpůsobivé skupiny atd.). Tím současně snižuje potenciál podvodu spojeného s produktem, klientem, výší pojistného krytí, spoluúčasti, výluk atd. Pojišťovna často motivuje pojistníka k tomu, aby škodní průběh byl co nejnižší, a to nejrůznějšímu způsoby od pobídek k vedení zdravého životního stylu a preventivních návštěv u lékaře u životních produktů až po systém bonusů a malusů, snížení pojistného při vhodné volbě preventivního opatření (např. bezpečnostní dveře, kamerový systém, bezpečnostní hlásiče a protipožární systémy). Ne všechna rizika jsou pojistitelná a pro pojistitelnost musí obvykle splňovat podmínky nahodilosti, nezávislosti, identifikovatelnosti, společného zájmu pojistníka a pojišťovny na minimalizaci škody (spoluúčast, max. limit výše škody, pojistní nesmí z realizace škody profitovat, atd. Aby rozhodování podnikatele bylo efektivní, musí svou pozornost směrovat na aktivity, projekty, aktiva s nejvyšší hodnotou z hlediska tvorby a uchování jeho podnikání, tj. s zásadním přínosem k zisku a kapitálu společnosti. Toto dosáhne tak, že si udělá ohodnocení rizik podniku, jenž mu poskytne dobrý přehled o nejdůležitějších rizicích a ta se následně rozhodne řídit (snížením rizika volbou nápravného opatření – např. požární hlásič, sprinkler anebo kamerový systém ostrahy, dále pojištěním u majetku, osob a odpovědnosti, a dále hedgingem u měn, komodit a úrokových sazeb, eliminací rizikového faktoru – např. uzavřením provozu, produktu, pobočky a nebo akceptací rizika s tím, že se často snažím získat co nejvíce informací a znalostí, abych alespoň minimalizoval chybovost, ztrátovost. Úvahou, jež předchází rozhodnutí o konkrétní volbě nástroje pro řízení rizika je zhodnocení výše nákladu na odstranění rizika versus výše nákladů rizik, tj. vlastních ztrát jež podstupuje. Pokud potřebujete poradit s libovolnou otázkou spojenou s řízením rizik anebo pojištěním, neváhejte se obrátit na svého makléře, jež vás touto problematikou určitě kvalifikovaně provede.

Ing. Štěpán Onder Ph.D.
poradce a lektor v oblasti řízení rizik

Tagy: Blog sinne