Základy řízení rizik ve firmě

Datum poslední aktualizace: 16. 12. 2024

Co je řízení rizik

Řízení rizik znamená, že organizace: 

  1. ví co ji může ohrozit, ochromit nebo dokonce zlikvidovat
  2. dělá maximum možného aby těmto situacím zabránila
  3. ví, co dělat pokud takové situace nastanou a umí se co nejlépe zotavit

Znát rizika a schopnost se jim vyhýbat patří k základním prvkům pudu sebezáchovy. Rizika jsou překážky, které stojí v cestě vašim cílům.

Proč je řízení rizik důležité a užitečné

Řízení rizik by mělo sloužit k tomu, aby organizace dokázala předejít rizikovým nebo dokonce krizovým situacím nebo aby na ně byla alespoň připravena.

Řídit rizika znamená zvýšit odolnost vůči problémových situacím 

  • Řízení rizik musí mít smysl.
  • Jeho základním cílem je zvýšení odolnosti provozu vůči nejrůznějším problémovým situacím, jako jsou havárie, útoky, podvody a podobně.
  • Díky řízení rizik umí firma pojmenovat, co je pro ní životně důležité, má zavedená nezbytná opatření a že se v případě negativní události umí co nejlépe vrátit do původních kolejí. 

Klíčové aspekty řízení rizik

  • Každá organizace a firma ví, co je pro její provoz klíčové, co musí fungovat
  • Má nezbytná a přiměřená opatření k odvrácení nebo předcházení rizikových situací (prevence)
  • Na rizikové situace umí reagovat, lidé ví, co mají dělat
  • Z rizikové situace se umí co nejlépe zotavit

Co jsou rizika?

Rizika jsou možné problémy, které mohou nebo nemusí nastat. Jsou to situace, které mohou organizaci ohrozit a řízení rizik tedy pomáhá těmto situacím předejít, zmírnit je nebo se na ně připravit. Pokud budete mít plán co nimi budete dělat, budete na ně lépe připraveni. Prakticky pojaté řízení rizik by tedy mělo být přirozenou součástí plánování a řízení společnosti, není to nějaká odtržená sada tabulek. 

  • Nikdy nemůžete odhadnout všechna rizika, i když se budete snažit sebevíc
  • Některá rizika můžete ovlivnit, jiná mohou nastat bez vašeho vlivu
  • Rizika se v čase mění  

Co je proces řízení rizik?

Řízení rizik je kontinuální proces, který se skládá z 5-ti základních kroků. 

  1. Identifikace rizik: Vytvoření seznamu možných rizik
  2. Hodnocení jednotlivých rizik: Zhodnocení každého jednotlivého rizika
  3. Výběr prioritních rizik: Výběr rizik, která vás nejvíce ohrožují
  4. Ošetření rizik: Jak se k rizikům postavíte
  5. Přehodnocení situace: Aktualizace výše uvedeného

Celý proces se neustále točí dokola, podobně jako řízení firmy musí být interaktivní tak, aby byla všechna aktuální rizika známá a reagovali jste na skutečný stav. Rizika je třeba průběžně monitorovat, přehodnocovat a ošetřovat. Podobně jako jiné plány se jednou za čas stanoví a průběžně se podle situace přizpůsobují. Podobným způsobem funguje i řízení rizik. Přehodnocování má typicky roční cyklus. 

Proces řízení rizik ve firmě

Jak zavést řízení rizik ve firmě

Řízení rizik jako kontinuální proces začíná jejich identifikací, následnou analýzou, zhodnocením, prioritizací a následném rozhodnutím, jak s jednotlivými riziky naložit, jak se k nim postavit. Fakticky je celý proces řízení rizik neustále se opakující cyklus, podobně jako strategické plánování. Celý cyklus se opakuje, typicky v roční periodě. 

Zavedení systému řízení rizik znamená, že musíte: 

  • mít přehled rizik a jejich zdrojů
  • znát jejich dopady na vaši firmu
  • vybrat, která rizika nejvíce ohrožují vaše fungování a ty se snažit ošetřit nebo se na ně připravit
  • pravidelně přehodnocovat situaci

Řízení rizik může být zavedeno v celé organizaci nebo jen ve vybrané oblasti

Organizace typicky zavádí řízení rizik v oblasti, kde je to nutné a potřebné, tedy zejména pro své hlavní procesy. Velmi častou oblastí, jsou také rizika informační bezpečnosti a cybersecurity. Rozsah, tedy šíři záběru řízení rizika je nutné stanovit předtím, než začnete s analýzou rizik. Nejčastěji:

  • Rizika v celé firmě
  • Rizika bezpečnosti práce pracoviště
  • Finanční rizika
  • Rizika informační bezpečnosti
  • Rizika kybernetické bezpečnosti
  • A další

Registr rizik je základem

K tomu, abyste mohli všechny tyto aktivity a procesy řízení rizik zajistit, potřebujete mít prostor, kde můžete tyto informace uchovávat a sdílet a zajistit tak trvalé zlepšování vašich procesů. Veškeré uvedené kroky v řízení rizik můžete pohodlně provádět v Aptienu, který vám umožní:

  • Vypracování katalogu (registru, seznamu) rizik, kde každé jednotlivé riziko popíšete pomocí karty rizika,
  • V katalogu rizik vedete všechna rizika, zde je hodnotíte a vedete podrobné informace o riziku, jeho zdroj,  dopady, pravděpodobnost a další souvislosti
  • Vedení informace o zdrojích rizik a jejich souvislostech
  • Řídit práci při realizaci opatření 
  • Pravidelně vyhodnocovat rizika

Krok 1. Vytvořte si seznam rizik, která vás mohou ohrozit

  • Prvním krokem je vytvoření seznamu možných rizik, které vaši organizaci ohrožují.
  • Použijte některou z metodik, které vám pomohou seznam rizik vytvořit, nejčastěji jde analýzu na základě aktiv, procesů nebo hrozeb. Výsledek zaznamenejte do katalogu rizik.

Podívejte se, jak rizika identifikovat.

identifikace a analýza rizik

Krok 2. Jednotlivá rizika zhodnoťte 

  • Jakmile máte seznam rizik hotový, Jednotlivá rizika zhodnoťte.
  • Často dochází k hodnocení rizik již při při vytváření seznamu.
  • Pro každé riziko vytváříte samostatnou kartu rizika, na které uchováváte detailní informace, jako jsou dopad, pravděpodobnost a v dalších krocích také opatření k jejich ošetření či zmírnění jejich dopadu.
  • Rizika v katalogu držíte v souvislostech, tedy víte jaké riziko se váže k jakému aktivu - k projektu, majetku, procesu a dalším aktivům a také informace, kdo je za jaké riziko zodpovědný.

Krok 3. Vyberte rizika, která vás nejvíce ohrožují 

  • Prioritizace rizik je důležitá pro to, abyste se věnovali přednostně těm rizikům, která vás nejvíce ohrožují
  • Podívejte se, jak můžete rizika prioritizovat.
prioritizace a zhodnoceni rizik

Krok 4. Zvolte, jak se k jednotlivým rizikům postavíte   

Pro vybraná rizika vytváříte nápravná opatření v samostatné evidenci (organizéru) nápravných nebo preventivních opatření . Pro každé opatření vytváříte samostatnou kartu opatření, na které uchováváte detailní informace a pomocí přiřazených úkolů řídíte a kontroluje práci na nich. Rizika a jejich opatření držíte v souvislostech, tedy víte, jaké riziko se váže k jakému opatření a kdo je za jaké opatření odpovědný.

Co můžete v principu s riziky dělat?

  1. Pokusíte se jim předejít
  2. Pokusíte se je zmírnit
  3. Přenesete je na někoho jiného (například pomocí pojištění)
  4. Budete je ignorovat

Podívejte se jak rizika ošetřit.

Opatření k rizikům

Krok 5. Reagujte na situaci, skutečnosti a vše přehodnocujte

  • Situace se v čase neustále mění
  • Co vás ohrožovalo včera už zítra nemusí a naopak
  • Vy musíte reagovat na současná a budoucí rizika, ne na to, co bylo v minulosti
  • Vznikají nová rizika a původní mohou zanikat nebo se může měnit jejich dopad či pravděpodobnost vzniku. To je třeba zohlednit a minimálně jednou za rok rizika přehodnotit a s nimi navazující opatření. 
  • Důležitý je tedy průběžný monitoring a hodnocení stavu rizik. Vyhodnocování opatření, podávání zpráv o významných rizicích a o opatřeních k odstranění nebo zmírnění rizik. To lze dělat různými způsoby. Formální hodnocení probíhá formou auditů, ze kterých plynou návrhy na zlepšení nebo přehodnocení.
hodnocení a monitoring rizik