Risk Management
(česky řízení rizik, zkratka RM; v podnicích často ERM – Enterprise Risk Management)
1. Co řízení rizik znamená
Risk Management je systematický proces identifikace, analýzy, hodnocení a ošetření nejistot, které mohou ovlivnit plnění strategických i operativních cílů organizace.
Cílem není všechna rizika odstranit, ale porozumět jim, rozhodnout o prioritách a zvolit optimální poměr riziko : výnos : náklad.
2. Mezinárodní rámce
| Rámec | Účel | Klíčové principy |
|---|---|---|
| ISO 31000:2018 | Univerzální standard | Integrovanost, přiměřenost, iterativnost |
| COSO ERM 2017 | US/IFRS reporting, governance | 5 komponent (Governance → Culture → Performance) |
| Basel III / Solvency II | Banky / pojišťovny | Kapitálové požadavky, stres-testy |
| NIST RMF | Kybernetická bezpečnost | Fáze Prepare → Monitor |
3. Proces (ISO 31000 – PDCA)
- Založení kontextu – cíl, vnější/vnitřní faktory, kritéria rizik.
- Identifikace rizik – brainstorming, check-listy, historie incidentů.
- Analýza – pravděpodobnost × dopad → kvant. (VaR, Monte Carlo) nebo kval. škála.
- Hodnocení / priorizace – riziková matice, hranice tolerance (risk appetite).
- Ošetření – 4 T: Tolerate, Treat, Transfer, Terminate.
- Monitoring & Review – KPI, interní audit, lessons learned.
- Komunikace & kultura – reporting Boardu, risk-owners, whistleblowing.
4. Typologie podnikových rizik
| Kategorii | Příklady | Typické metriky |
|---|---|---|
| Strategická | Diskruptivní technologie, ESG regulace | Scénáře, heat-map |
| Finanční | FX, úrok, likvidita, kredit | VaR, Cash-buffer days |
| Provozní | Výpadek dodavatele, lidská chyba | FMEA, OEE, MTBF |
| Kyber & data | Ransomware, únik dat | NIST CSF score, Počet incidentů |
| Právní & compliance | GDPR pokuty, antimonopolní | Počet regulatorních zjištění |
| Reputační | Negativní média, CSR incident | Sentiment index, NPS drop |
5. Ošetření rizik – příklady
| Truť | Akce | Nástroj |
|---|---|---|
| Tolerovat | Pod hranicí apetitu | “Low impact × low prob.” archiv, sleduji |
| Omezit (Treat) | Interní kontroly | 4-eyes, patch management, hedging |
| Přenést (Transfer) | Pojištění, SLA, outsourcing | Cyber-insurance, forward kontrakt |
| Ukončit (Terminate) | Stop projektu, změna produktu | Exit geografického trhu |
6. KPI a dashboard
| KPI | Vzorec | Cílová mez |
|---|---|---|
| % rizik mimo toleranci | Počet “červených” ÷ celkem | < 5 % |
| Uzavření incidentů | Incidenty uzavřeny do 30 d / celkem | ≥ 95 % |
| Coverage scen. stres-testu | Scénáře pokrývají > 80 % hodnoty portfolia | 80–90 % |
| Počet nápravných opatření “overdue” | Opožděná opatření ÷ všechna | 0 |
7. Časté chyby
- “Tick-box” RM – formuláře bez strategického dopadu.
- Silové oddělení – risk izolován v compliance, místo aby byl v linii businessu.
- Ignorace černých labutí – žádný reverse-stress-test, nízká odolnost.
- Příliš mnoho detailu – stovky low-impact rizik → ztrácí se přehled o Top 10.
- Kultura blame – zaměstnanci skrývají near-miss situace.
