Co je řízení rizik
Každý podnikatel a každá firma nějakým způsobem zná a řídí svá rizika. Otázkou je jen jakým způsobem: zdali nevědomě na pozadí nebo nějakým systematickým způsobem. Znát rizika a schopnost se jim vyhýbat patří k základním prvkům manažerského pudu sebezáchovy. Rizika jsou překážky, které stojí v cestě vašim cílům.
Řídit rizika znamená zvýšit odolnost vůči problémových situacím
Řízení rizik musí mít smysl. Jeho základním cílem je zvýšení odolnosti provozu vůči nejrůznějším problémovým situacím, jako jsou havárie, útoky, podvody a podobně. Díky řízení rizik umí firma pojmenovat, co je pro ní životně důležité, má zavedená nezbytná opatření a že se v případě negativní události umí co nejlépe vrátit do původních kolejí.
Klíčové aspekty řízení rizik
- firma ví, co je pro její provoz klíčové, co musí fungovat
- má nezbytná a přiměřená opatření k odvrácení nebo předcházení rizikových situací (prevence)
- na rizikové situace umí reagovat, lidé ví, co mají dělat
- z rizikové situace se umí co nejlépe zotavit
Co jsou rizika?
Rizika jsou možné problémy, které mohou nebo nemusí nastat. Jsou to situace, které mohou organizaci ohrozit a řízení rizik tedy pomáhá těmto situacím předejít, zmírnit je nebo se na ně připravit. Pokud budete mít plán co nimi budete dělat, budete na ně lépe připraveni. Prakticky pojaté řízení rizik by tedy mělo být přirozenou součástí plánování a řízení společnosti, není to nějaká odtržená sada tabulek.
- Nikdy nemůžete odhadnout všechna rizika, i když se budete snažit sebevíc
- Některá rizika můžete ovlivnit, jiná mohou nastat bez vašeho vlivu
- Rizika se v čase mění
Co je proces řízení rizik?
Řízení rizik je kontinuální proces, stejně jako jako řízení firmy. Celý proces se neustále točí dokola, tak, aby byla všechna aktuální rizika náležitě ošetřena. Rizika je třeba průběžně monitorovat, přehodnocovat a ošetřovat. Podobně jako jiné plány se jednou za čas stanoví a průběžně se podle situace přizpůsobují. Podobným způsobem funguje i řízení rizik. Přehodnocování má typicky roční cyklus.
Řízení rizik může být zavedeno v celé organizaci nebo jen ve vybrané oblasti
Organizace typicky zavádí řízení rizik v oblasti, kde je to nutné a potřebné, tedy zejména pro své hlavní procesy. Velmi častou oblastí, jsou také rizika informační bezpečnosti a cybersecurity. Rozsah, tedy šíři záběru řízení rizika je nutné stanovit předtím, než začnete s analýzou rizik. Nejčastěji:
- Rizika v celé firmě
- Rizika bezpečnosti práce pracoviště
- Finanční rizika
- Rizika informační bezpečnosti
- Rizika kybernetické bezpečnosti
- A další
Jak zavést řízení rizik ve firmě
Řízení rizik jako kontinuální proces začíná jejich identifikací, následnou analýzou, zhodnocením, prioritizací a následném rozhodnutím, jak s jednotlivými riziky naložit, jak se k nim postavit. Fakticky je celý proces řízení rizik neustále se opakující cyklus, podobně jako strategické plánování. Celý cyklus se opakuje, typicky v roční periodě.
Zavedení systému řízení rizik znamená, že musíte:
- mít přehled rizik a jejich zdrojů
- znát jejich dopady na vaši firmu
- vybrat, která rizika nejvíce ohrožují vaše fungování
- tato rizika ošetření. snížit nebo odstranit
- pravidelně přehodnocovat situaci
Registr rizik je základem
K tomu, abyste mohli všechny tyto aktivity a procesy řízení rizik zajistit, potřebujete mít prostor, kde můžete tyto informace uchovávat a sdílet a zajistit tak trvalé zlepšování vašich procesů. Veškeré uvedené kroky v řízení rizik můžete pohodlně provádět v Aptienu. Ten vám umožní:
- Vypracování katalogu (registru, seznamu) rizik, kde každé jednotlivé riziko popíšete pomocí karty rizika, kde vedete podrobné informace o riziku, dopady, pravděpodobnost a další souvislosti
- Zpracování matice rizik, která umožní rizika prioritizovat
- Propojit rizika na navazující opatření
Identifikace a analýza rizik
Jakmile máte jednotlivá rizika identifikována vytvoříte si katalog rizik si vytvoříte pomocí evidence rizik. Pro každé riziko vytváříte samostatnou kartu rizika, na které uchováváte detailní informace, jako jsou dopad, pravděpodobnost a zároveň i opatření k jejich odstranění či zmírnění jejich dopadu. Rizika držíte v souvislostech, tedy víte jaké riziko se váže k jakému aktivu - k projektu, majetku, procesu a dalším aktivům a také informace, kdo je za jaké riziko zodpovědný.
Jak rizika prioritizovat
Prioritizace rizik je důležitá pro to, jakým rizikům se prioritně věnovat. Podívejte se, jak můžete rizika prioritizovat.
Jak rizika ošetřit a jak řídit opatření
Pro vybraná rizika vytváříte nápravná opatření v samostatné evidenci (organizéru) nápravných nebo preventivních opatření . Pro každé opatření vytváříte samostatnou kartu opatření, na které uchováváte detailní informace a pomocí přiřazených úkolů řídíte a kontroluje práci na nich. Rizika a jejich opatření držíte v souvislostech, tedy víte, jaké riziko se váže k jakému opatření a kdo je za jaké opatření odpovědný.
Co můžete v principu s riziky dělat?
- Pokusíte se jim předejít
- Pokusíte se je zmírnit
- Přenesete je na někoho jiného (například pomocí pojištění)
- Budete je ignorovat
Jak rizika přehodnotit
Situace se v čase neustále mění. Vznikají nová rizika a původní mohou zanikat nebo se může měnit jejich dopd či pravděpodobnost vzniku. To je třeba zohlednit a minimálně jednou za rok rizika přehodnotit a s nimi navazující opatření.
Důležitý je tedy průběžný monitoring a hodnocení stavu rizik. Vyhodnocování opatření, podávání zpráv o významných rizicích a o opatřeních k odstranění nebo zmírnění rizik. To lze dělat různými způsoby. Formální hodnocení probíhá formou auditů, ze kterých plynou návrhy na zlepšení nebo přehodnocení.
Jak ve firmě hlásit incidenty
Incidenty jsou potenciálně indikátorem událostí, která vedou k rizikům. Pokud potřebujete ve firmě zavést systematickou kontrolu a hlášení incidentů, využijte k tomu hlášení.