Řízení rizik

Pokud ponecháme stranou relativně široké (a zcela jistě pravdivé) definice uznávaných standardů viz. např. nové ISO 31000 ( http://www.npc-se.co.th/pdf/iso31000/ISO_FDIS_31000_%28E%29.pdf ) nebo níže zmiňované COSO, je dobré vrátit se k vývoji tohoto konceptu. Pro pochopení ideového základu je to zcela nezbytné, neboť současná teorie stále hledá jednotný systém definic a pojetí, a co organizace navrhující Standardy, to širší, užší, konkrétnější anebo obecnější pojmenování.

Dlouhou dobu bylo řízení rizik jako disciplína formulováno finančními institucemi a zásadním způsobem zúženo. Existuje mnoho starších analýz, návodů a pojmů risk managementu směřující k prostému minimalizaci rizika. Zejména výrazná byla snaha zajišťování a redukce a přenášení rizik na jiné subjekty. Nelze si nevšimnout, že v tomto ohledu většina produktů k zajištění rizik (tedy pojištění, devizové hedge, SWAPy a obecně deriváty) jsou vysoce ziskovým sortimentem pro prodávajícího/poskytovatele (tedy finanční instituce).

V celostním pojetí řízení rizik, ke kterému se teoretické směry většiny standardizujících organizací dostaly, je třeba reflektovat pojetí rizika v kontextu strategie konkrétního ekonomického subjektu, a věnovat pozornost riziku jako k determinujícímu faktoru úspěchu. Selektivní zajišťování vybraných rizik a na druhou stranu otevírání rizikových pozic je naprosto nezbytným předpokladem dlouhodobého úspěchu. Oproti tomu původní, pouhé statické sledování a snižování rizik, bez koordinace tohoto přístupu se strategií je cestou ke stagnaci, případně úpadku v delším časovém horizontu.

V praxi, při snaze dosáhnout a implementovat teoretické rámce řízení rizik je současným trendem snaha o posílení funkcí Risk manažerů v podnicích a jejich kompetencí.  Problematika se stala na první pohled natolik rozsáhlou a nepřehlednou (co do počtu popsaných stran a různých konceptů), že se začaly vytvářet specializované struktury pouze na řízení rizik. Zároveň se hledají způsoby jak „kvantifikovat přidanou hodnotu jejich existence“, aby jejich pozice byla snadněji „prodatelná“ napříč manažerskými strukturami dané společnosti, čímž se tvoří další struktury pro "měřitelnost přínosů" a systém se stává často příliš komplexní.   Je to určitý experiment svého druhu, který se v delším časovém horizontu bude sám korigovat únosností a zatížením jednotlivých organizací.

Pro vyvážený přístup je nicméně třeba zdůraznit, že zvláště nebezpečnými faktory pro adekvátní řízení rizik v podniku jsou:

• oddělení managementu od vlastníků (kde management může zajišťovat i rizika, která by vlastník jako součást daného segmentu podnikání nezajišťoval – konflikt v tom co je dobré pro akcionáře a co je dobré pro management)
• nesprávné pochopení „proč existuje řízení rizik„  a statické sledování best practices namísto reflexe ekonomické reality daného podniku (přednost formy před obsahem)
• fakt že lidé přehnaně reagují na negativní události (a zapomínají pozitivní aspekty) – tedy např. po větších katastrofách pojišťují více majetku, přesto, že ekonomicky je to dlouhodobě neefektivní.

Tedy velmi zjednodušeně, cílem dnešního podnikového řízení rizik je umožnit managementu rozhodovat a nést odpovědnost za svá rozhodnutí s relevantní a kvantifikovatelnou znalostí důsledků svých rozhodnutí. V tomto ohledu je třeba zdůraznit, že management nelze chápat pouze jako TOP management, ale jako každého manažera, který rozhoduje o alokaci zdrojů společnosti.

Velmi dobrým základem minimálně pro sjednocení vnitrofiremního pojmosloví je například rámec  COSO (http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf), který definuje jednotné vnímání pojmů a logickou strukturu jednoho z možných přístupů k nastavení Řízení rizik ve společnosti.

Je třeba mít na paměti, že tento rámec  (a jakýkoliv další) je pouhým nástrojem k implementaci – sám o sobě je natolik obecný (a z podstaty věci musí být), že bez citlivé implementace v konkrétní společnosti a „selského rozumu“ může být naprosto zničujícím a neživotným projektem.

Zejména je třeba vyvarovat se stavu, kdy dojde k odtržení řízení rizik od reálných struktur společnosti, a tento koncept žije jakýmsi svým, odděleným životem. V konečném důsledku přínos, byť je obtížně kvantifikovatelný číselně by měl být intuitivní pro každého manažera. Pokud tomu tak není, žádný nástroj "prodávání hodnoty", nepřesvědčí liniové manažery, a systém řízení rizik sklouzne k drahým "Potěmkinovým vesnicím" zatěžujícím organizaci, a tvořící pocit falešného bezpečí. Touto cestou šla většina organizací, které utrpěly těžké ztráty přesto, že používaly robustní, sofistikované, lidsky i intelektuálně náročné systémy pro řízení rizik (např. otázkou je nakolik regulační systémy systémy jako BASEL 1/2/3, SOX  apod. jsou skutečně funkční pokud nejsou pochopeny a užívány širokou manažerskou základnou - a jejich nastavení pouze fasádně reflektuje požadavek regulátora).