Interní řízení rizik
Řízení rizik je, když se manažer snaží uspořádat svou společnost (nebo obchodní jednotku), aby se připravil na případ, že by něco šlo špatně, a pokusil se tomu předejít. Řízení rizik je jednou z nejkomplikovanějších oblastí managementu, protože vyžaduje, aby manažeři byli schopni posoudit neznámé situace a snažili se být připraveni na cokoliv. Je to technika rozlišování, zkoumání a uznávání nejistoty a spekulativních rozhodnutí v managementu. V podstatě k řízení rizik dochází vždy, když finanční specialista nebo správce fondu analyzuje a snaží se určit potenciál ztráty v jakékoliv dané situaci a poté činí příslušné kroky, aby se pokusil minimalizovat toto riziko.
Interní versus externí kontroly
Nástroje pro řízení rizik jsou obvykle rozděleny mezi interní kontroly, což znamená nástroje k prevenci problémů vycházejících zevnitř organizace, a externí kontroly, což znamená přípravu na čelní hrozby a problémy přicházející zvenčí.
Interní kontroly
Interní kontroly jsou postupy a procesy, které jsou zavedeny v organizaci, aby se zajistilo, že vše funguje hladce a chyby zůstávají vzácné. To zahrnuje věci jako vytváření standardních operačních postupů (SOP), zajištění kvality (QA) a audit. Zahrnuje to také kontroly a vyšetřování, aby se zajistilo, že tyto SOP a QA procesy jsou dodržovány správně, a ne jen jako nepoužívané dokumenty. Většina příkladů v tomto článku se zaměří na interní řízení rizik.
Externí kontroly
Externí kontroly jsou zavedeny k ochraně organizace před poškozením způsobeným nějakou vnější silou. To zahrnuje věci jako posouzení, jak pravděpodobné je, že nový produkt nebude mít úspěch, kolik škody by bylo způsobeno v případě nehody a zajištění, že je organizace řádně pojištěna v případě katastrof. Externí kontroly zahrnují relativně drobné věci, jako je zabezpečení budov (aby se zajistilo, že průmyslová tajemství jsou chráněna) až po zajištění měny, aby se zajistilo, že organizace nebude příliš poškozena, pokud začnou kolísat směnné kurzy.
Povaha interního řízení rizik
Interní řízení rizik je to, co manažer a organizace zavádějí, aby minimalizovali rizika vycházející zevnitř organizace. Tato kontrola spadá do 4 širokých kategorií:
- Sledování: To jsou kontroly zavedené k monitorování operací a identifikaci problémů, než se vyhrotí
- Kontrolní prostředí: To znamená uspořádat pracoviště tak, aby se minimalizovalo riziko. To může být cokoliv od instalace bezpečnostního vybavení ve výrobě po zavedení firewallů v IT oddělení k ochraně před viry.
- Informace a komunikace: To je zřízení pravidelných zpráv a komunikačních kanálů mezi odděleními, pracovníky a manažery. Někdy pracovníci a manažeři věří, že mají problém “pod kontrolou”, ale může být na pokraji katastrofy – dobrá komunikace a reportování pomáhá tomu, aby se tomu předešlo.
- Oceňování rizik: To je metoda, kterou organizace používá k určení peněžní hodnoty, kolik rizika každý aspekt operací přidává k celku.
Oceňování rizik je nejkomplikovanější, ale také nejdůležitější. Každá organizace má omezené zdroje, které musí rozdělit, aby minimalizovala riziko jako celek, a tento proces oceňování pomáhá řídit tyto snahy. Zároveň, pokaždé, když společnost přidá více sledování, kontrol a reportovacích povinností svému personálu, personál tráví více času zaměřením na řízení rizik a méně na to, co generuje příjmy. Pokaždé, když je uložena nová interní kontrola, musí být vyvážena s náklady, které ukládá týmu, který se snaží chránit.
Interní řízení rizik se provádí na každé úrovni managementu. Manažeři na nejnižší úrovni se snaží minimalizovat rizika inherentní jejich týmu při dosahování jejich cílů, zatímco vyšší úrovně managementu zkoumají rizika, která probíhají v celé organizaci. Efektivní kontroly jsou také zespodu nahoru, stejně jako shora dolů, přidáním přímých komunikačních kanálů od běžných pracovníků, aby mohli hlásit, kdykoliv se domnívají, že jsou interní kontroly ignorovány, nebo pokud mohou být nové kontroly nezbytné k řešení nových rizik.
Kontrast s externím řízením rizik
Externí řízení rizik je více volné, protože rizika zvenčí organizace nelze tak snadno kvantifikovat. To obvykle začíná analýzou SWOT (Silné stránky, Slabé stránky, Příležitosti a Hrozby) a zaměřuje se na řešení identifikovaných hrozeb. Externí řízení rizik obvykle řeší manažeři na vyšší úrovni, kteří poté vydávají pokyny nižším úrovním managementu, aby se těmito riziky zabývaly.
Zatímco interní kontroly jsou zavedeny, aby zajistily, že organizace nadále funguje hladce, externí kontroly rizik se snaží řešit hrozby pro samotný podnik. Například letecké společnosti jsou vždy vystaveny riziku zvýšení cen ropy, což způsobuje obrovský nárůst jejich provozních nákladů. Jednou z hlavních forem externího řízení rizik, které uplatňují, je nákup futures na ropu, což zajišťuje stanovenou cenu na několik měsíců dopředu, čímž se odstraňuje část nejistoty. Externí kontroly rizik se snaží zohlednit vše od změn cen vstupů po nové zákony a předpisy, které jsou přijímány, a vše mezi tím.
Způsoby hodnocení rizika
Hodnocení rizik nemá stanovené pokyny, jak by mělo být provedeno. Existuje však několik obecných pravidel, která se dodržují. Existuje pět fází hodnocení rizik, které lze provést, aby se zajistilo, že hodnocení rizik je dokončeno správně. Těchto pět fází je:
Fáze 1: Detekce nebezpečí
Před tím, než může být riziko hodnoceno, je prvním krokem identifikace toho, co přesně to riziko je. Cílem Krok 1 je mít jasnou a stručnou definici toho, co přesně potenciální problémy jsou a jaké druhy škod by mohly být způsobeny. Například nebezpečné stroje na pracovišti mají definované riziko poškození pracovníků, což jak ztrácí produktivitu, tak vede k soudním sporům.
Mnoho nebezpečí je zpočátku velmi vágních, ale účinná opatření nelze zavést, dokud manažeři neidentifikují, co přesně se snaží kontrolovat. Nebezpečí lze rozpoznat využitím různých různorodých postupů, například procházením pracovního prostředí nebo dotazováním pracovníků. Některá nebezpečí mohou být snadno rozpoznatelná, zatímco jiná mohou vyžadovat pomoc od různých odborníků mimo daný podnik.
Fáze 2: Identifikace zúčastněných stran
Tato fáze navazuje na nebezpečí a rizika nalezená v první fázi. Problém na pracovišti má několik různých úrovní zúčastněných stran. Například u nebezpečných strojů jsou pracovníci, kteří jsou ohroženi zraněním, zřejmými zúčastněnými stranami. Dalšími zúčastněnými stranami by byly další jednotky daného podniku, které budou zpožděny, pokud dojde k incidentu dříve v produkčním řetězci. Také to ovlivní rodiny těch, kteří by mohli být zraněni, stejně jako akcionáře společnosti, kteří mohou stáhnout svou investici v důsledku špatného tisku po zranění.
Fáze 3: Hodnocení nebezpečí a výběr kontrolních opatření
Hodnocení nebezpečí znamená pokusit se přiřadit nějakou pravděpodobnost, jak pravděpodobné je, že k nebezpečí dojde. Žádné nebezpečí nelze zcela eliminovat – pouze minimalizovat. To znamená, že podniky nejprve identifikují, jak pravděpodobný problém vznikne z tohoto nebezpečí, a jak moc potenciální kontrolní opatření sníží tuto možnost.
Potenciální kontroly se hodnotí vyvážením jejich nákladů na implementaci (jak v dolarové hodnotě, tak v tom, kolik času/námahy zaměstnanců bude vyžadováno k prosazení kontroly) s tím, kolik rizika je skutečně sníženo. Jakmile jsou porovnány různé alternativy, mohou být zavedeny nové kontroly.
Fáze 4: Zaznamenejte zjištění
Účinná opatření jsou implementována na zkušební bázi. To znamená, že tým má školení, aby vymezil, jaká nebezpečí existují a jaká nová opatření se zavádějí k jejich řešení. Během zkušebního období celý tým (od řadových pracovníků po zapojené vedení) zaznamenává, jak implementace ovlivňuje jejich práci, jak z hlediska skutečného řešení rizik, která kontrolní opatření řeší, tak z hlediska realizovaných nákladů na jejich implementaci.
Krok 5: Přezkoumání hodnocení a obnovení
Kontroly rizik je třeba neustále přezkoumávat z hlediska účinnosti a obnovovat, s odpovídající komunikací se všemi zúčastněnými stranami. To obvykle provádí tým vedení, přičemž konkrétní “Hodnotitel” je pověřen provedením přezkoumání nebo auditu kontroly a jak se vyvíjí v průběhu času. Změny je třeba zavádět do každého typu kontroly v průběhu času, aby se řešila nová rizika a měnící se podnikatelské prostředí.
Důležitost auditu kontrol rizik
Audity jsou větší přezkoumání interních kontrol rizik, které společnost implementovala. Audity jsou oddělené od běžných postupů hodnocení rizik, ale následují podobnou mapu, jak jsou prováděny.
Pravidelné audity interních kontrol rizik jsou nezbytné pro plynulý chod organizace. Jejich dvě hlavní výhody spočívají v zajištění, že interní kontroly jsou implementovány podle návrhu, a také v získání “pohledu z ptačí perspektivy” na celkové kontroly v organizaci. Tento pohled z ptačí perspektivy může pomoci identifikovat redundance v interních kontrolách a zjednodušit procesy, což je činí levnějšími, snadnějšími a účinnějšími.
Identifikace a hodnocení rizik
To je stejné jako Krok 1 až Krok 3 v běžném hodnocení rizik, ale zkoumá podnikové operace jako celek, spíše než jednotlivé podnikové jednotky. Cílem je identifikovat, jaká rizika jsou přítomna, a jaká opatření již existují k jejich řešení. Pokud nejsou přítomna adekvátní opatření, auditorský tým učiní doporučení relevantním zúčastněným stranám, aby to napravily.
Zvýšená efektivita a účinnost procesů
Toto je proces pokusu o harmonizaci interních kontrol rizik, které již byly implementovány v celé organizaci. Hlavním cílem těchto cvičení je usnadnit podnikovým jednotkám udržovat účinné kontroly. To obvykle znamená sloučení SOP z různých podnikových jednotek, zlepšení komunikačních kanálů a získání více podnětů od manažerů o tom, jaké typy kontrol zabírají nejvíce jejich času. Účinné audity interních kontrol znamenají, že pracovníci musí vynaložit méně úsilí na dodržování předpisů a více úsilí na vytváření hodnoty pro podnik, aniž by obětovali ochranu proti riziku.