Současný stav
Řízení rizik je ve vztahu k ostatním metodám řízení relativně izolovaným přístupem, iniciativou či metodikou, která v korporacích začíná být zvažována nebo implementována velmi často až poté, co korporace přestála z jejího pohledu nežádoucí události, negativně ovlivňující některé aspekty jejího fungování. Termín „z jejího pohledu“ může být ekvivalentem „z pohledu několika členů top managementu“. Dalšími motivy pro zavedení „řízení rizik“ jsou „inspirace“ od jiné korporace, nařízení od „matky“ nebo potřeba zajištění kompliance s nejrůznějšími typy norem (BASEL 2, SOX, atd.)
Aktivity v oblasti zvládání rizik zpravidla iniciuje rozhodnutí vrcholového managementu angažovat externí konzultanty, kteří pomohou zavést tzv. systém řízení rizik, jehož účelem je eliminovat rizika – tj. události nebo stavy, které jsou z pohledu příslušné korporace nežádoucí a mohou s určitou pravděpodobností nastat a způsobit korporaci kvantifikovatelnou škodu. Projekt zavedení systému řízení rizik je obvykle členěn do několika etap – např. 1) identifikace rizik a rizikových faktorů 2) analýza rizik, 3) sestavení katalogu rizik a stanovení jejich významnosti, 4) implementace systému řízení rizik 5) „kontinuální“ řízení rizik . V rámci hodnocení jsou u každého rizika sledovány atributy dopad rizika a pravděpodobnost jeho výskytu, na základě kterých je pak stanovena tzv. singifikantonst (významnost) rizika. Katalog rizik, který popisuje kategorie, názvy rizik, popisy rizik a jejich významnost, je pak jedním z klíčových výstupů těchto projektů. Pro nejdůležitější rizika jsou identifikovány události, které je vyvolávají nebo mohou vyvolávat a je ustanoven tzv. vlastník rizika, který sleduje přidělená rizika a pokud zjistí potenciální hrozbu jejich vzniku, informuje určenou osobu – nejčastěji tzv. managera rizik, vytváří zprávy o vývoji přiděleného rizika a navrhuje postupy / opatření pro zvládání rizika, které směřují k eliminaci, udržení, redukci nebo přenosu rizika. Pro vlastní operativní činnost vlastníků rizik a managerů rizik jsou používány automatizované systémy nebo – což je častější případ – elektronické dokumenty typu .doc nebo .xls.
Sofistikované parciální přístupy a postupy v oblasti řízení rizik již několik desetiletí nalézají své uplatnění v doméně finančních služeb (bankovnictví, pojišťovnictví, …) ve formě tzv. systémů včasného varování, které více či měně automatizovaně umožňují určitý typ rizik (nejčastěji kreditní , operační, likvidity) predikovat na základě systémů indikátorů navržených tak, aby identifikovaly příčinné události pro sledované rizikové faktory co nejdříve po jejich iniciaci a notifikovaly příslušné managery rizik.
Nevýhody stávajícího přístupu a současně příležitosti ke zlepšení
Shora popsaný přístup k řízení rizik je z hlediska koncepce velice podobný dalším izolovaným iniciativám typu řízení strategie, řízení bezpečnosti informací, řízení kvality, řízení vztahu k životnímu prostředí, řízení lidských zdrojů apod., se kterými se v korporacích setkáváme. Pro tyto iniciativy a pro řízení rizik zvláště jsou charakteristické tyto nevýhody a současně příležitosti ke zlepšení:
Rizika bez kontextu – hovořím-li o izolovanosti stávajících přístupů k řízení rizik, mám na mysli chybějící adresné přiřazení rizik k příslušným procesům, aktivitám, událostem, pravidlům a dalším objektům korporátní architektury, ke kterým se vztahují a dále jejich převážné zaměření „dovnitř“ korporace. Začlenění objektů typu „riziko“, „rizikový faktor“ a dalších souvisejících do komplexní „sítě“ korporátní architektury zásadním způsobem ovlivňuje efektivitu zvládání rizik, např. tím, že nám umožní určovat adresně rizikové faktory, vidět rizika i rizikové faktory v souvislostech a snadněji odhalit jejich nekonzistence, závislosti typu příčina-následek apod.
Neefektivní způsob identifikace rizik a rizikových faktorů – rizika a rizikové faktory formulují/definují na základě subjektivního názoru členové top a středního managementu. To je také jedna z příčin, proč katalogy rizik obsahují velmi obecně definovaná rizika. Tito lidé jsou specialisté ve svém oboru (definování strategie, procesní řízení, personalistika, vyrábění, obchodování, konzultování apod.), avšak nelze od nich očekávat erudici v doméně řízení rizik. Sebelepší návody „jak na to“ nebo několikahodinové workshopy nemohou tuto skutečnost změnit.
Obecnost – rizika jsou definována natolik obecně, že je velmi obtížné identifikovat příčiny (rizikové faktory), které je vyvolávají a tím je velmi ztíženo až znemožněno určit indikátory rizikových faktorů, dopady rizik a způsoby jejich eliminace, redukce, přenosu apod. Příkladem může být riziko „nedostatečná kvalifikace zaměstnanců“, které, pokud nastane, může vyvolat tisíce a jeden nežádoucí efekt, které korporaci poškodí – počínaje od ztráty dobré pověsti, ztráty klientů, plýtvání zdroji, neefektivní výkon činností až po postupnou ztrátu konkurenceschopnosti (tzv. znalostní vyhoření). Počet příčin, které mohou toto riziko vyvolat, a rizikových faktorů je také vyjádřen nejméně dvojciferným číslem.
Neefektivní způsob řízení rizik – hlavními aktéry tradičního systému řízení rizik jsou manager rizik a vlastníci rizika, kteří ve funkčních strukturách korporací vytvářejí další – paralelní funkční strukturu, což je dáno tím, že vlastníci rizik nemohou být současně členy původní řídící funkční struktury. Zajímavým příspěvkem k tomuto bodu by mohla být úvaha „tradiční řízení rizik vs. etika“. K tomuto tématu viz text „transformace funkčních řídících struktur na procesně-řídící“.
Diskontinuita – Paralelní funkční struktura pro řízení rizik tvořená managerem rizik a vlastníky rizik má v zásadě tyto úlohy: monitorovat, reportovat a „řídit“ rizika (navrhovat postupy jejich snížení, eliminace, přenosu, …) . Monitorování i reporting se obvykle děje (e-mail s přílohou zaslaný managerovi rizik) v měsíčních nebo kvartálních intervalech a je zcela na rozhodnutí vlastníků rizik, zda rizika monitorovat budou formálně nebo skutečně. Měsíční a delší intervaly „řízení“ prakticky vylučují možnost rizika eliminovat v jejich počátku.
Neexistující nebo nekvantifikované indikátory rizikových faktorů – indikátory rizikových faktorů nejsou stanoveny buď vůbec nebo jsou pro-forma pojmenovány avšak bez definovaných scorecardů neboli pravidel, na základě kterých lze určit „vážnost“ události nebo stavu, který zvyšuje pravděpodobnost vzniku rizika.
Nekvantifikovaný dopad rizika – stávající systémy řízení rizik se obvykle nezabývají explicitní kvantifikací dopadu rizika – spokojují se s hodnotou parametru „dopad“ rizika, který subjektivně navrhují členové top a středního managementu.
Zvládání rizik v procesně řízené korporaci
S trochou nadsázky můžeme říci, že procesně řízená firma „řízení rizik“ nepotřebuje – jistě ne takové řízení rizik, jehož charakteristiky jsou uvedeny výše. Předpokládejme existenci procesně-řídící struktury, ve které klíčovou roli hrají
- Strategický tým
- Tým korporátní architektury
- Procesní týmy
- Vlastníci procesů
- Manageři procesů
Každá z těchto rolí resp. každý z těchto týmů má svou specifickou úlohu při zvládání rizik v korporaci. V tomto textu se zaměříme na managera procesu. Další informace a podrobnosti ke zvládání rizik v procesně řízené korporaci viz přísl. metodika REENGINE.
Odpovědností managera procesu je navrhovat a implementovat „svůj“ proces tak, aby fungoval efektivně, což kromě jiného znamená identifikovat rizikové oblasti procesu a zvážit, rozmyslet a domyslet způsoby identifikace rizikových faktorů, jejich měření, reportování na základě indikátorů a postupy k zabránění vzniku rizik. Z pohledu managera procesu je rizikem jakýkoli signifikantní stav nebo událost (dotýkající se procesu nebo některé z jeho komponent), které mohou omezit nebo zcela eliminovat jeho stanovený a měřený výkon a efektivitu. Zásadní rozdíl proti obvyklým přístupům k řízení rizik lze vyjádřit slovy „komplexnost“, „kontinuita“ „atomicita“, „adresnost“ a „měřitelnost“, což znamená, že manager procesu identifikuje a kontinuálně řídí určitá rizika a rizikové faktory na úrovni procesu, jeho aktivit, akcí v aktivitách, vstupů, výstupů, událostí atd. Rizika i rizikové faktory jsou určeny zcela konkrétně, s vysokou mírou podrobnosti a přiřazeny konkrétním objektům, ke kterým se vztahují. Pro každý rizikový faktor jsou stanovena business pravidla definující sady podmínek (indikátorů rizikových faktorů) a akcí, které jsou vyvolány, pokud je business pravidlo „aktivováno“ čili jsou splněny podmínky pro spuštění přísl. akce. Dopady rizik – potenciálních škod - jsou explicitně kvantifikovány. Prostředkem pro řízení rizika – tj. jeho eliminaci, redukci, přenos, udržení, jsou specielně pro tento účel navržené korektivní procesy, sub-procesy, aktivity, akce v aktivitách a/nebo business pravidla. Tyto objekty jsou základem pro komplexní automatizované nebo semi-automatizované systémy řízení rizik. Zvládání rizik se tak stává prediktivní a nikoli reaktivní; výskyt událostí/stavů-rizikových faktorů přísl. objektů spouští korektivní procesy, aktivity atd. a/nebo je reportován převážně automatizovaně podle předem stanovaných business pravidel členům procesně-řídící struktury. Business pravidla určující způsoby autokorekce procesů, aktivit atd. a reportingu umožňují flexibilní a v zásadě real-time eliminaci rizik v jejich zárodečném stavu.
Obecně - z hlediska celostního (holistického) chápání korporace, které nachází své vyjádření např. v modelech korporátní architektury - jsou „rizika“, „rizikové faktory“, „indikátory rizikových faktorů“, „cíle řízení rizik“ atd. jako objekty považovány za komponenty korporátní architektury a také se s nimi z tohoto pohledu pracuje – v kontextu celého systému korporace (vnějšího i vnitřního prostředí) –tj. zamýšlíme se též nad zvládáním rizik vztahujících se k našim klientům, akcionářům, partnerům, dodavatelům, kon-kurentům, subjektům státní, veřejné správy apod. Riziko je tedy nežádoucím stavem nebo událostí, vztahující se k explicitně vyjádřenému konkrétnímu objektu (např. cíl, metrika, program, projekt, příležitost, business pravidlo, změnový požadavek, role, konkrétní osoba v týmu, interakce s externím subjektem, proces, aktivita, meziprodukt, systém, interakce systémů, lokalita, atd.), které mohou s určitou pravděpodobností nastat a způsobit kvantifikovatelnou škodu čili dopad. Tyto dopady jsou predikovány opět adresně a atomicky.
