Risk managment
Risk management a jeho vývojové dimenze
Stejně jako každá jiná kategorie, prochází oblast řízení rizik postupným vývojem, od počátečných jednoduchých forem až k současným komplexním systémům risk managementu (RM). Pro posouzení aktuální úrovně, na které se daná organizace v procesu RM nachází, je nezbytné porozumění vlastnímu termínu risk managementu.
V poslední době se objevují různé modifikace základního pojmu a tak se setkáváme s "integrovaným, celofiremním, totálním, holistickým, či organizačním risk managementem". Ale tato snaha nějakým způsobem odlišit klíčové parametry RM může mít pro různé subjekty rozdílný význam. Například termín "integrované řízení rizik" je často používán firemními risk manažery k vyjádření společného řízení všech funkcí risk managementu v dané organizaci. V literatuře, zabývající se finančními riziky, je tímto termínem označováno ošetření zdrojů finančního rizika. Ve finančním vyjádření může též znamenat kombinaci nástrojů pojištění, dluhopisů, akcií či derivátů s cílem řídit celkovou finanční pozici společnosti. Postupně se objevují různé standardy návodů na zavedení systému řízení rizik, které popisují základní rámec a některé související organizační zásady procesu RM. Využití těchto pomůcek v sobě skrývá nebezpečí zjednodušeného přístupu a spíše formálního ošetření, než skutečné řešení potřeb řízení rizik v organizaci, přinášející systematicky přidanou hodnotu. Podrobněji se jimi zabývají další příspěvky.
Protože se existující způsob řízení rizik může nacházet v různých organizacích na různé úrovni a kvalitě, je potřebné především porozumět této úrovni a poté hledat vhodné nástroje na její prohlubování. K tomu může posoužit následující schéma (pro snadnější orientaci jsou jednotlivé prvky aktivity procesu označeny jednoduchými výrazy - CO, KDY, PROČ, JAK, KDO a S ČĺM:
Definice jednotlivých úrovních není ovšem konečná, ale spíše doporučující. Základní myšlenkou je skutečnost, že pro každý prvek procesu zde máme spektrum možností výběru. Vlevo, první úroveň představuje nejjednodušší systém řízení rizik (1), ve sloupci úplně vpravo se jedná o nejvyšší úroveň rozvoje (4). Pravý sloupec proto můžeme charakterizovat jako plně integrovaný systém řízení rizik ve společnosti, použijeme-li jeden z výše uvedených komplexnějších termínů. Při posuzování procesu risk managementu není třeba držet se striktně zvolené jediné úrovně pro všechny prvky, ale pro každý rozměr je možno volit tu nejlépe vyhovující. V praxi jsou některé kombinace ovšem značně nepravděpodobné - pokud například přidělíme procesu RM minimální zdroje, jen těžko můžeme očekávat nejvyšší úroveň aplikace procesu do strategické úrovně. Uvedené schéma si především klade za cíl indikovat možnosti volby způsobů, kterými chce firma rozvíjet efektivnější systém řízení rizik, pokud má zájem aspirovat na "plně integrovanou" úroveň procesu.
Nyní krátce k jednotlivým rozměrům / oblastem procesu řízení rizik.
Zaměření pozornosti (CO?)
Vyjadřuje především způsob interpretace pojmu "riziko". Je to nejjednodušší charakteristika, která se však dotýká podstaty risk managementu. Jednodušší, a bohužel stále dosti rozšířený pohled na riziko je pohled ohrožení. Proces RM se úzce zaměřuje na ochranu aktiv společnosti. Ve společnosti najdeme jednotlivce, kteří se specializují na jednotlivé oblasti, typu bezpečnost práce, ochrana zdraví, právní ochrana. RM funguje potom fragmentovaně ve funkčních "silech" a je oddělen od liniového řízení a rozhodování.
Širším pohledem je vedle možného ohrožení současně možné využití příležitosti. Základním pravidlem risk managementu je správná váha mezi rizikem a příležitostí. Proaktivní řízení rizik nejen snižuje možnost ohrožení společnosti, ale současně vyhledává potenciál nových příležitostí. Takovýto přístup k řízení rizik je mnohem užitečnější a v nejvíce rozvinuté podobě přechází k pohledu nejširšímu, a to řízení nejistoty daného subjektu. V současných procesech řízení rizik se právě u tohoto prvku dosti často projevuje největší slabina.
Aplikační kontext (KDY?)
Zabývá se způsoby rozhodování o aplikace RM v organizačním schématu společnosti. Plně integrovaný proces zde vyjadřuje skutečnost, že řízení rizik je obsaženo ve všech rozhodnutích společnosti - velkých či malých, strategických nebo taktických. Proces řízení rizik se může pohybovat od oblasti provozní, až po oblasti strategie společnosti. Je to samozřejmě zjednodušený pohled, ale slouží jako indikace rozhodovacích procesů od krátkodobých záležitostí až po dlouhodobé strategické cíle společnosti.
Přijaté cíle risk managementu (PROČ?)
Tato oblast se zabývá další základní otázkou - čeho chceme řízením rizik dosáhnout. Podstatným požadavkem je jistě dosáhnout zlepšení výkonu společnosti pomocí systematické identifikace, hodnocení a řízení rizik, které tento výkon ovlivňují. Proces řízení rizik může být v zásadě reaktivní nebo proaktivní.
Reaktivní RM je obvykle řešení nastalé události až po jejím vzniku, řešení hrozeb, které již nastaly - v podstatě se jedná o řešeni krizové situace. Proaktivní přístup se vedle řešení aktuálních událostí zaměřuje především na identifikaci potenciálních událostí v budoucnu, včetně řízení pozitivní stránky nejistoty. Pochopitelně RM může být koncipován i jako určitá kombinace obou možností, nicméně nedostatek proaktivního řízení rizik zvyšuje nutnost reaktivního přístupu (zjednodušeně řešení krizí, hašení požárů - manažer zde vystupuje často jako prvek poslední záchrany, krizový způsob řízení). Bohužel v řadě případů je tomuto způsobu RM věnována větší publicita, protože okamžité výsledky jsou více viditelné nežli u preventivních aktivit a dlouhodobých strategických cílů.
Způsob a úroveň aplikovaného procesu RM (JAK?)
Zabývá se především stavem formalizace a dokumentace procesu řízení rizik, jeho rozsahem, úrovní používaných nástrojů a technik a současně i řešenými otázkami. Charakteristika v tabulce je velmi zjednodušená. Minimální rozsah znamená, že proces RM je značně neformalizovaný, problémy jsou řešeny ad hoc a opírají se o minimální dokumentaci. Na druhé straně plně integrovaný proces zahrnuje využití flexibilní využití formálních procesů, které ve své hloubce a komplexnosti přesně vyhovují obsahu. Důležitým prvkem je zde pokračující zlepšování procesu a využití technik "nejlepších zkušeností". Dalším prvkem kvality procesu RM je rozsah a využití kvantitativní analýzy. Jedná se o způsob získávání dat pro odhady, závislosti, používané metody hodnocení rizika.
Zainteresovaní účastníci procesu RM a alokace odpovědností (KDO?)
Tato část se zabývá nejen určením jednotlivých stran, účastnících se procesu řízení rizik a umístění RM v organizační struktuře společnosti, ale především přidělením odpovědností za jednotlivé části procesu konkrétním osobám napříč celou společností. Pro správné fungování nestačí jen formální určení odpovědností, ale je vyžadováno aktivní zapojení všech zaměstnanců, od vrcholového manažera až po řadového pracovníka firmy. Opět se jedná o velmi subjektivní otázky a proto není možné plošně použít modelové řešení. Určitě je nutné řešit odpovědnost za následující tři oblasti:
> rozvoj strategie a standardů řízení rizik,
> implementaci standardů a procesů,
> monitoring dodržování nastavených standardů a procesů.
K tomu je vhodné definování úloh vrcholových manažerů, rizikového manažera, liniového řízení, interního auditu a dalších specifických funkcionalit. Vcelku je možné konstatovat, že bez přímého zapojení vrcholového vedení v aktivním řízení rizik společnosti, lze pozitivního přínosu dosáhnout jen složitě.
Zdroje použité pro RM (S ČĺM?)
Tato oblast se zabývá alokací prostředků, které jsou věnovány na rozvoj procesu řízení rizik ve společnosti, včetně zdrojů personálních - z pohledu počtu i znalostního, čas vydělený pro RM, určení podpůrné infrastruktury a konkrétní finanční zdroje pro řízení identifikovaných rizik. Je vcelku pochopitelné, že dostatek všech zdrojů umožňuje kvalitnější posun k integrovanému procesu ve všech zbývajících oblastech.
Možnost progresivního postupu
Cílem tohoto příspěvku je zamyšlení nad základním rámcem procesu řízení rizik ve společnosti a porozumění souvislostí mezi jednotlivými základními oblastmi, s nabídkou možnosti progresivního postupu v každé z oblastí. Vedení společnosti se nemusí v prvopočátku svého rozhodování zaleknou komplexnosti integrovaného přístupu k řízení rizik, ale má možnost ohodnotit si vlastní úroveň existujícího procesu RM. Je vcelku pochopitelné, že některé společnosti najdou cestu velmi blízko komplexního řešení, jiné se budou vidět spíše na začátku cesty. Tato cesta nemusí být nutně komplexní, příčně všemi rozměry, ale postupná a komfortně pohodlná. Všeobecně přijatelný přístup k vybudování integrovaného systému začíná u jednoduchých procesů (třeba jen použitím několika diagramů pravděpodobnosti či kontrolních seznamů), které je možno velmi rychle a efektivně implementovat do organizační struktury a činnosti organizace, bez velkých zásahů do formátů. Následně, pokud se tyto procesy osvědčí, pokračovat dále směrem k integraci procesu řízení rizik