Řízení rizik v sobě zahrnuje 4 základní fáze (různými směry a standardy mohou být rozděleny do více částí nebo jinak pojmenovány). Procesně se nicméně jedná o (1) identifikaci rizika, (2) kvantitativní a kvalitativní posouzení rizik, (3) prioritizace významu rizk a plánování adekvátní reakce a nakonec (4) monitoring.
V předchozích článcích jsem zmiňoval, že důležité je zejména rozšíření a osobní angažovanost všech členů organizace napříč celou strukturou. Větší organizace zřizují většinou specializované útvary pro řízení rizik, menší pověřují konkrétní členy svých orgánů dodatečnou agendou řízení rizik.
K bližšímu porozumění funkce systému je dobré nastolit shodu v základních procesech a odpovědnostech v podnikovém ERM konceptu.
Identitifikace rizik – management by se měl zasadit o rozpoznání všech možných rizik, které mohou ovlivnit úspěch společnosti dle předem definovaných cílů. Volí se přístup od rizik s předpokládaným významem největších k nejmenším, od rizik týkajících se celé struktury k izolovaným (projektem, procesem nebo nebo úsekem). Je vhodné poznamenat, že cílem není mít seznam všech v univerzu myslitelných rizik, ale rizik, které reálně mohou zasáhnout provoz s určitou mírou rizika v určitém časovém horizontu. V rámci tohoto procesu je vhodné zapojit jednotlivé úrovně společnosti, aby se zajistila konzistence vnímání určitého rizika napříč organizací a jednotlivými funkčními organizačními prvky. V praxi se v této fázi osvědčují zejména brainstormingové nevelké skupiny složené zástupci různých útvarů napříč společností a hierarchií.
Kvalitativní a kvantitativní posouzení rizik – poté, kdy jsou identifikována rizika napříč organizací, je třeba přisoudit jim základní měřitelné parametry. Těmi je pravděpodobnost výskytu rizika a důsledek dopad rizika na organizaci (zejména to bývá náklad/ztráta). Dle vlastní zkušenosti mohu říci, že v ČR se velká část literatury věnovaná řízení rizik věnuje zejména kvantitativním metodám, dovedeným mnohdy až absurdní matematické dokonalosti, bez jasné návaznosti na celý systém a vazby na každodenní rozhodování managementu (který většinou neocení složité a komplexní diagramy, ale spíše jednoduchou dvou až pěti dimenzionální škálu – např. High, Medium, Low). Zároveň je třeba si uvědomit, že řetěz je tak pevný, jak pevný je jeho nejslabší článek (tedy i komplexní modely obsahují pouhé lidské předpoklady, které se mohou lišit den ode dne, člověk od člověka), takže v mnoha případech bývá jednoduchá, až triviálně-intuitivní posouzení rizik nákladově a výkonově efektivnější (k metodám kvantifikace se zřejmě vrátím v některém z dalších článků).
Důležitým prvkem je posouzení vzájemné závislosti rizik (např. pokud se stane jedna riziková událost s jakou pravděpodobností bude následovat související druhá riziková událost).
Prioritizace rizik a plánování adekvátní reakce - zde je jednoduchý cíl, na základě posouzení rizik, seřadit rizika tak, aby management mohl rozhodnout, kterým je třeba věnovat větší pozornost, kterým menší, a která rizika popřípadě vyloučit z rozhodování. Zde management určuje, kterým rizikům bude přisouzena jaká rozhodovací a procesní priorita (prakticky nelze v krátkém časovém horizontu zohledňovat stovky možných rizik). Tedy cílem je vytvořit plán reakce na zjištěná rizika, eventuelně v některých případech vědomě některá rizika ponechat bez reakce.
Monitoring – reprezentuje pojetí rizika jejich možných dopadů do života společnosti. V současnosti v praxi převažuje periodické přehodnocení komplexních rizik (čtvrtletní nebo roční, zejména vzhledem k relativní časové náročnosti). Zároveň se osvědčuje průběžné upřesňování vývoje jednotlivých dílčích rizik prostřednictvím rizikových korespondentů (majitelé odpovídajících procesů). Zajímavá a přínosná bývají posouzení rizik konkrétních procesů Vnitřním auditem, a jejich porovnání s hodnocením dle ERM procesu.
V jednoduchosti – ERM je provázaný proces, který se skládá z poměrně jednoduchých organizačních procesů. Úspěch, nebo naopak selhání systému spočívá v odpovídající provázanosti a synergickém efektu těchto procesů. Naprosto zbytečné je kvantifikovat rizika pomocí složitějších metod (např. Monte Carlo, Bayes apod.), pokud výstupy pro rozhodování budou managementu nesrozumitelné, případně mnohoznačné, eventuelně management při svém rozhodování nebude brát kvalitativně a kvantitativně prioritizovaná rizika v úvahu vůbec (fenomén „… to se nám nikdy nestane, Excel snese všechno…“).
