Cílem řízení rizik je snížit různá rizika související s předem zvolenou doménou na úroveň akceptovanou společností. Může odkazovat na četné typy hrozeb způsobených životním prostředím, technologiemi, lidmi, organizacemi a politikou. Na druhé straně zahrnuje všechny prostředky dostupné pro člověka, nebo zejména pro subjekt řízení rizik (osoba, zaměstnanci, organizace). Hlavní normy ISO týkající se řízení rizik zahrnují , .
Mezi strategie patří přenesení rizika na jinou stranu, vyhnutí se riziku, snížení negativního efektu rizika a přijetí některých nebo všech důsledků konkrétního rizika.
Některá tradiční řízení rizik jsou zaměřena na rizika vyplývající z fyzických nebo právních příčin (např. přírodní katastrofy nebo požáry, nehody, ergonomie, úmrtí a soudní spory).
Tento oddíl poskytuje úvod do zásad řízení rizik. Slovník řízení rizik je definován v ISO Guide 73, „Risk management. Vocabulary“ .
V ideálním řízení rizik se dodržuje proces stanovení priorit, kdy jsou rizika s největší ztrátou a největší pravděpodobností výskytu řešena jako první a rizika s nižší pravděpodobností výskytu a nižší ztrátou jsou řešena v sestupném pořadí. V praxi může být tento proces velmi obtížný a vyvažování mezi riziky s vysokou pravděpodobností výskytu, ale nižší ztrátou oproti riziku s vysokou ztrátou, ale nižší pravděpodobností výskytu, může být často špatně řešeno.
Řízení nehmotných rizik identifikuje nový typ rizika – riziko, které má 100% pravděpodobnost výskytu, ale je organizací ignorováno kvůli nedostatečné identifikační schopnosti. Například, když jsou na danou situaci aplikovány nedostatečné znalosti, riziko znalostí se projeví. Riziko vztahu se projeví, když dojde k neúčinné spolupráci. Riziko zapojení do procesů může být problémem, když jsou aplikovány neúčinné provozní postupy. Tato rizika přímo snižují produktivitu znalostních pracovníků, snižují nákladovou efektivnost, ziskovost, služby, kvalitu, pověst, hodnotu značky a kvalitu výdělků. Řízení nehmotných rizik umožňuje řízení rizik vytvořit okamžitou hodnotu z identifikace a snížení rizik, která snižují produktivitu.
Principy řízení rizik
Mezinárodní normalizační organizace určuje následující principy řízení rizik:
Podle normy ISO/DIS 31000 „Risk management — Principles and guidelines on implementation“ , se proces řízení rizik skládá z několika následujících kroků:
Vytvoření kontextu zahrnuje
Jakmile jsou rizika identifikována, musí být poté posouzena z hlediska jejich potenciální závažnosti ztráty a pravděpodobnosti výskytu. Tato množství mohou být v případě hodnoty ztracené budovy buď jednoduše měřitelná, nebo v případě pravděpodobnosti výskytu nepravděpodobné události není možné je s jistotou určit. Proto je v procesu posuzování zásadní umožnit co nejlépe vzdělané odhady, aby bylo možné správně upřednostnit provádění plánu řízení rizik.
Míra výskytu vynásobená dopadem události se rovná riziku
Pozdější výzkum ukázal, že finanční přínosy řízení rizik jsou méně závislé na použitém vzorci, ale jsou více závislé na četnosti a způsobu hodnocení rizik.
V podnikání je nezbytné umět prezentovat zjištění hodnocení rizik ve finančním vyjádření. Robert Courtney Jr. (IBM, 1970) navrhl vzorec pro prezentaci rizik ve finančním vyjádření. Courtneyho vzorec byl přijat jako oficiální metoda analýzy rizik pro vládní agentury USA. Vzorec navrhuje výpočet ALE (anualizovaná očekávaná ztráta) a porovnává hodnotu očekávané ztráty s náklady na zavedení bezpečnostní kontroly (analýza nákladů a přínosů).
Zahrnuje neprovádění činnosti, která by mohla nést riziko. Příkladem by bylo nekupování nemovitosti nebo podnikání, aby se nepřevzala odpovědnost, která je s tím spojená. Jiným příkladem by bylo nelétání, aby se nepřevzalo riziko, že letadlo bude uneseno. Vyhýbání se může zdát odpovědí na všechna rizika, ale vyhýbání se rizikům také znamená ztrátu potenciálního zisku, který přijetí (ponechání) rizika mohlo umožnit. Nezastupování do podnikání, aby se předešlo riziku ztráty, také zamezuje možnosti zisku.
Zahrnuje metody, které snižují závažnost ztráty nebo pravděpodobnost, že ke ztrátě dojde. Příkladem jsou postřikovače určené k hašení požáru, aby se snížilo riziko ztráty ohněm. Tato metoda může způsobit větší ztrátu poškozením vodou, a proto nemusí být vhodná. Systémy hašení halonového požáru mohou toto riziko zmírnit, ale náklady mohou být jako strategie neúnosné.
Moderní metodiky vývoje softwaru snižují riziko tím, že vyvíjejí a dodávají software postupně. Rané metodiky trpěly tím, že dodávaly software pouze v závěrečné fázi vývoje; jakékoli problémy, které se vyskytly v dřívějších fázích, znamenaly nákladné přepracování a často ohrozily celý projekt. Vývojem v iteracích mohou softwarové projekty omezit vynaložené úsilí na jednu iteraci.
Zahrnuje přijetí ztráty, když k ní dojde. Do této kategorie spadá skutečné samopojištění. Ponechání si rizika je životaschopná strategie pro malá rizika, kde by náklady na pojištění proti riziku byly v čase vyšší než celkové utrpěné ztráty. Všechna rizika, kterým se nelze vyhnout nebo která nejsou převedena, jsou standardně ponechána. Patří sem rizika, která jsou tak velká nebo katastrofická, že je buď nelze pojistit, nebo by pojistné bylo neúnosné. Příkladem je válka, protože většina majetku a rizik není pojištěna proti válce, takže ztrátu připsanou válkou si pojištěný ponechá. Ponecháním rizika jsou také jakékoli částky potenciální ztráty (rizika) nad pojištěnou částkou. To může být také přijatelné, pokud je šance na velmi velkou ztrátu malá nebo pokud jsou náklady na pojištění pro větší pojistné částky tak velké, že by příliš bránily cílům organizace.
Mnoho odvětví již delší dobu považuje pojištění za přenos rizika. To není správné. Pojištění je mechanismus náhrady škody po pojistné události. To znamená, že i když byla uzavřena pojistná smlouva, neznamená to, že riziko bylo přeneseno. Například pojistná smlouva o úrazech na zdraví nepřenáší riziko dopravní nehody na pojišťovnu. Riziko stále nese pojistník, tedy osoba, která byla účastníkem nehody. Pojistná smlouva jednoduše stanoví, že pokud dojde k nehodě (události) s účastí pojistníka, pak může být pojistníkovi vyplaceno určité odškodnění, které je úměrné utrpění/škodě.
{zbytek je třeba podstatně změnit] Znamená způsobit, že druhá strana přijme riziko, obvykle na základě smlouvy nebo zajištění. Pojištění je jeden druh přenosu rizika, který využívá smlouvy. Jindy může zahrnovat smluvní jazyk, který přenáší riziko na jinou stranu bez zaplacení pojistného. Odpovědnost mezi stavebními nebo jinými dodavateli se velmi často přenáší tímto způsobem. Na druhou stranu, braní kompenzačních pozic v derivátech je typicky způsob, jakým firmy využívají zajištění k finančnímu řízení rizika.
Některé způsoby řízení rizika spadají do více kategorií. Sdružení pro ponechání si rizika technicky ponechávají riziko pro skupinu, ale jeho rozložení na celou skupinu zahrnuje převod mezi jednotlivými členy skupiny. To se liší od tradičního pojištění tím, že se mezi členy skupiny předem nevyměňuje žádné pojistné, ale místo toho se ztráty vyměřují všem členům skupiny.
Vytvořit plán řízení rizik
Vyberte vhodné kontroly nebo protiopatření k měření každého rizika. Zmírnění rizika musí být schváleno příslušnou úrovní vedení. Například riziko týkající se image organizace by mělo mít za sebou rozhodnutí nejvyššího vedení, zatímco vedení IT by mělo pravomoc rozhodovat o rizicích počítačových virů.
Plán řízení rizik by měl navrhovat použitelné a účinné bezpečnostní kontroly pro řízení rizik. Zjištěné vysoké riziko počítačových virů by mohlo být například zmírněno získáním a zavedením antivirového softwaru. Dobrý plán řízení rizik by měl obsahovat harmonogram provádění kontrol a odpovědné osoby za tato opatření.
Podle normy ISO/IEC 27001 spočívá fáze bezprostředně po dokončení fáze hodnocení rizik v přípravě plánu léčby rizik, který by měl dokumentovat rozhodnutí o tom, jak by se s každým ze zjištěných rizik mělo zacházet. Zmírnění rizik často znamená výběr bezpečnostních kontrol, které by měly být zdokumentovány v prohlášení o použitelnosti, které určuje, které konkrétní kontrolní cíle a kontroly z
standard byly vybrány, a proč.
Dodržujte všechny plánované metody pro zmírnění vlivu rizik. Kupte si pojistné smlouvy na rizika, která byla rozhodnuta převést na pojistitele, vyhněte se všem rizikům, kterým se lze vyhnout, aniž by byly obětovány cíle účetní jednotky, ostatní snižte a zbytek si nechte.
Přezkum a hodnocení plánu
Počáteční plány řízení rizik nebudou nikdy dokonalé. Praxe, zkušenosti a skutečné výsledky ztrát si vyžádají změny v plánu a přispějí informacemi, které umožní učinit možná odlišná rozhodnutí při řešení rizik, kterým čelí.
Výsledky analýzy rizik a plány řízení by měly být pravidelně aktualizovány. Jsou pro to dva hlavní důvody:
Příliš vysoké priority procesů řízení rizik by mohly zabránit organizaci v dokončení projektu nebo dokonce v zahájení činnosti. To platí zejména v případě, že je pozastavena jiná činnost do doby, než je proces řízení rizik považován za dokončený.
Je také důležité mít na paměti rozdíl mezi rizikem a nejistotou. Riziko lze měřit podle dopadů x pravděpodobnosti.
Stejně jako v případě podnikových financí je řízení rizik technikou měření, sledování a kontroly finančního nebo provozního rizika v rozvaze firmy. Viz hodnota v riziku.
Rámec Basel II rozděluje rizika na tržní riziko (cenové riziko), úvěrové riziko a operační riziko a také specifikuje metody výpočtu kapitálových požadavků pro každou z těchto složek.
Řízení podnikových rizik
V obecnějším případě může mít každé pravděpodobné riziko předem připravený plán, jak se vypořádat s jeho možnými důsledky (zajistit nepředvídatelnost, pokud se riziko stane závazkem).
Z výše uvedených informací a průměrných nákladů na zaměstnance v průběhu času, neboli nákladového akruálního poměru, může projektový manažer odhadnout:
Riziko v projektu nebo procesu může být způsobeno buď změnou zvláštní příčiny nebo změnou obecné příčiny a vyžaduje vhodnou léčbu. To znamená znovu opakovat obavu, že extremalní případy nejsou rovnocenné v seznamu bezprostředně výše.
Činnosti v oblasti řízení rizik aplikované na řízení projektů
Řízení rizik a kontinuita provozu
Řízení rizik je prostě praxe systematického výběru nákladově efektivních přístupů pro minimalizaci efektu realizace hrozeb pro organizaci. Všem rizikům se nikdy nelze zcela vyhnout nebo je zmírnit jen kvůli finančním a praktickým omezením. Proto musí všechny organizace akceptovat určitou míru zbytkových rizik.
Zatímco řízení rizik bývá preventivní, plánování kontinuity provozu (BCP) bylo vynalezeno, aby se vypořádalo s důsledky realizovaných zbytkových rizik. Nutnost mít BCP na svém místě vzniká proto, že i velmi nepravděpodobné události nastanou, pokud bude poskytnut dostatek času. Řízení rizik a BCP jsou často mylně považovány za soupeře nebo překrývající se postupy. Ve skutečnosti jsou tyto procesy tak těsně svázány dohromady, že se takové oddělení zdá být umělé. Například proces řízení rizik vytváří pro BCP důležité vstupy (aktiva, posouzení dopadů, odhady nákladů atd.). Řízení rizik také navrhuje použitelné kontroly pro pozorovaná rizika. Řízení rizik proto zahrnuje několik oblastí, které jsou pro proces BCP zásadní. Proces BCP však přesahuje preventivní přístup řízení rizik a vychází z předpokladu, že ke katastrofě v určitém okamžiku dojde.