Norma ISO 31000:2009 definuje řadu principů, které je třeba naplnit, aby byl management rizik efektivní. Doporučuje, aby organizace rozvíjely, implementovaly a kontinuálně zlepšovaly rámec, jehož účelem je integrovat proces pro řízení rizik do celé organizace nebo instituce. Norma popisuje vztah mezi zásadami pro management rizik, rámcem, pomocí kterého vzniká, a procesy managementu rizik.

Co je riziko?

Na tuto otázku nelze jednoznačně odpovědět. Z hlediska problematiky managementu rizik je ale možné jej chápat jako určitou pravděpodobnost, že dojde k události, která je v rozporu s předpokládanou skutečností. Riziko nelze chápat pouze v negativním slova smyslu, s rizikem jsou spojeny také příležitosti. Pokud organizace podstoupí vyšší riziko, může získat vyšší výnos nebo kvalitnější výstup. Řízením rizik obvykle chápeme proces identifikace a pojmenování konkrétních hrozeb, kterým jsou organizace vystaveny, ohodnocení pravděpodobnosti jejich uskutečnění a dopadu na procesy. Jde o identifikaci rizik, stanovení jejich závažnosti a přijímání opatření k jejich eliminaci. Abychom mohli rizika týkající se organizací eliminovat, je nutné zavést proces, který tomu pomůže. Tento proces zahrnuje následujících pět kroků.

Prvním krokem je identifikace rizik. Vycházíme přitom z oblastí, které jsou předmětem našich projektů. Například projekt na dodávku stavby, bude mít jiné oblasti rizik než ten, jenž řeší vývoj nového produktu. Další fází je analýza rizik, kdy se snažíme zjistit míru rizika a jeho dopad na potenciální ztrátu. Během následné prioritizace rizik hledáme ta rizika, která jsou důležitá a mají podstatný dopad na projekt. Zde se perfektně hodí tzv. Paretovo pravidlo 80/20. Dvacet procent našeho úsilí nám přináší osmdesát procent výsledku. Jestliže máme ohodnocena rizika kvantitativně, můžeme snadno prohlásit za nejdůležitější ta, která mají nejvyšší hodnotu. V následujícím kroku se už dostáváme k plánování a řízení rizik, kde navrhneme postupy, jak riziko minimalizovat, určíme, kdo bude za tento postup zodpovědný, a časový rámec, do kdy se uvedený postup zrealizuje. Do vyhodnocení je možné také zohlednit příčiny, které stojí za pravděpodobností vzniku rizika, a jejich dopady. Poslední fází je monitoring, který je důležitý zejména z důvodu vyřazení těch rizik, která již nejsou na seznamu „důležitých“, a nastartování opětovného procesu v identifikaci nových rizik. Všechny tyto kroky je vhodné podpořit vhodným softwarovým nástrojem pro řízení rizik. Jak by měl vypadat?

Co by měl umět nástroj pro řízení rizik

Software pro řízení podnikových rizik (enteprise risk management, ERM) by se měl zaměřit na potřeby celé organizace. Od řízení projektu a rizika programu až po strategické obchodní plánování. Přesně dle výše uvedených kroků by měl pomoci organizacím pomoci identifikovat, analyzovat, řídit, monitorovat a mírnit rizika a podávat zprávu o jejich stavu. Největší hodnotou takového softwaru je, když eviduje všechna rizika organizace, tím poskytuje jejich úplnou kontrolu a pomocí best practices je pomáhá eliminovat.

ERM aplikace by měla mít také další moduly, jako například:

• Business intelligence platformu pro prezentace rizik všem pracovníkům organizace. Jedná se o možnost vytvoření panelů, tabulek, grafů a matice s pomocí informací z vašeho ARM registru rizik snadno a rychle bez nutnosti specializovaného IT.
• Komunikační modul jednoduše použitelný pro webové aplikace, které mají přístup k rizikům prostřednictvím intranetu nebo prostřednictvím mobilních zařízení.
• Modul pro práci v režimu offline, kdy je možné zobrazit rizika na schůzi, na cestách nebo při spuštění workshopu na vzdáleném místě, se zachováním integrity dat.
• Modul pro integraci s dalšími systémy organizace.

Dobrý ERM většinou zahrnuje výkonné webové služby založené na API, které poskytují integraci s ERP systémy, systémy pro řízení projektů, správu dokumentů nebo kancelářské balíky.

Petra Mynářová