Riskuji, tedy jsem
Základy řízení rizika ve firmách a projektech (2. část – dokončení)
Ing. Jakub Slavík, MBA, manažerský poradce
Než přejdeme k otázkám hodnocení rizik, ukážeme si na konkrétním případě, jaké následky mohou mít chyby v přípravné fázi a ve fázi identifikace rizika.
Případ z praxe – špatná příprava řízení rizika a jeho identifikace
Organizace poskytující obyvatelům životně důležité technické služby se rozhodla realizovat projekt, který měl plně automatizovat její dispečerský systém. Jeho cílem bylo během dvou let nahradit existující „manuální papírový systém“ kontroly pohotovostních vozů a sledovat polohu každého vozu a jeho posádky. Systém jako celek byl plně zaveden, během týdne se však zcela zhroutil a upustilo se od něj. Kromě finančních škod došlo k ohrožení obyvatel z důvodu pozdních zásahů.
Bezprostřední příčinou kolapsu byla drobná programová chyba v důsledku nesprávně zadaných dat od posádek pohotovostních vozů. Toto selhání však mělo mnohem širší souvislosti:
- Projekt nebyl přesně definován. Informační systém před tím, než byl vyvinut a zaveden, nebyl konzultován s uživateli – posádkami pohotovostních vozů.
- Na projekt se nahlíželo jako na pouhý vývoj informačního softwarového systému, ve skutečnosti však znamenal kompletní změnu vnitřních procesů v organizaci. Na tuto změnu nebyli zaměstnanci připraveni, a neměli tak dostatek schopností ani zájmu se systémem a jeho autory spolupracovat.
- Systém kromě toho vyžadoval „dokonalé informace“, čehož nebylo možné v praxi dosáhnout.
- V důsledku chybného ohodnocení projektu a jeho souvislostí nebyla věnována dostatečná pozornost a péče procesu implementace systému.
Zobecníme-li to z pohledu výše uvedených poznatků o řízení rizik, v tomto případě rizika selhání systému, můžeme než konstatovat, že:
- nebyl správně definován organizační kontext rizika,
- do procesu řízení rizika nebyli zapojeni odpovídající lidé,
- riziko tak bylo chybně identifikováno pouze jako jednoduchý technický problém, zatímco ve skutečnosti šlo o komplexní organizační riziko,
- následně pak i celý další proces řízení rizika byl zcela neadekvátní jeho povaze, což mělo velmi vážné následky.
Ohodnocení rizika
Identifikovaná rizika je nyní třeba ohodnotit. Jak je uvedeno v úvodu 1. části tohoto článku, pro riziko je charakteristická míra dopadu a pravděpodobnost, s níž nastane. Pro řízení rizika je rovněž důležité, kdo je za něj odpovědný, resp. kdo je schopen jej kontrolovat. Nu, a v neposlední řadě hraje důležitou roli i načasování rizika, tedy kdy lze očekávat, že nastane.
Shrnuto, rizika hodnotíme z hlediska:
- pravděpodobnosti, s níž nastanou,
- očekávaných dopadů,
- nositelů rizika,
- možného načasování rizika.
Ohodnocení rizika může být v zásadě dvojí:
- kvalitativní – slovní (vysoké, střední, nízké),
- kvantitativní – matematické (přiřazení číselných hodnot).
Pro kvalitativní ohodnocení rizika se používají některé metody jako workshopy či delfská metoda společné i pro identifikaci rizik (viz 1. část tohoto článku v Elektru 11/2009).
Mezi důležité nástroje pro kvalitativní hodnocení rizika s přímou vazbou na jeho řízení se dále řadí mapa rizik (viz obr. 1). Mapa rizik udává základní vztah mezi pravděpodobností rizika a závažností očekávaných dopadů a z tohoto vztahu vyvozuje základní doporučení do oblasti řízení rizik – tedy základní typy odpovědí na riziko.
Mezi kvantitativní metody řadíme zejména techniky založené na matematickém a statistickém modelování s využitím databázových vstupů či jiných historických údajů. Úkolem kvantitativních metod je blíže popsat číselnými údaji vlastnosti rizik. Kvalitativní a kvantitativní metody se tedy navzájem nevylučují, nýbrž doplňují. Příklad výstupu z kvantitativní analýzy rizika ukazuje obr. 2.
Na základě ohodnocení se v této fázi rizikům – a odtud dále jejich řízení – přiřadí priority podle jejich dopadu a pravděpodobnosti. Oba tyto parametry je nutné brát v úvahu jak samostatně, tak ve vzájemných souvislostech. Riziko s velmi vysokým dopadem, byť s mizivou pravděpodobností, je stále velmi závažné – extrémním případem může být riziko havárie jaderné elektrárny. Naproti tomu nemá smysl, resp. bylo by velmi neefektivní, podnikat nákladná opatření k naprostému odstranění rizika, jehož dopady nejsou katastrofální a přitom jeho pravděpodobnost není příliš vysoká – např. výpadek elektrického proudu v dílně. Při stanovení priorit je třeba si uvědomit, že ostatní lidé či organizace mohou mít jiné priority než my.
Kromě dopadu a pravděpodobnosti je nutné při stanovení priorit brát v úvahu také načasování rizika. Malé riziko, jež bude působit zítra, mívá prioritu před velkým rizikem, které bude působit za půl roku.
Pro potřeby rozhodování je vhodné zpracovat seznam rizik ve formě odpovídající předmětu a účelu použití. Klasickým příkladem registru rizik v technickém řízení je databáze poruch zařízení, z níž lze vycházet při plánování údržby. Seznam rizik je nutné průběžně aktualizovat, aby údaje v něm obsažené měly co největší vypovídací schopnost.
Odpověď na riziko
Na riziko lze odpovědět několika zásadními způsoby:
- odstranit,
- snížit,
- převést/rozptýlit,
- absorbovat,
- přijmout/ignorovat.
Konkrétní forma těchto odpovědí může být různá v závislosti na povaze rizika a oblasti řízení:
- snížení technického rizika může např. znamenat zdvojení nebo dokonalejší konstrukci kritických prvků;
- převedení rizika mimořádných nákladů představuje pojištění;
- rozptýlení rizika ztrát na tržbách může znamenat dohody mezi provozovateli o vzájemné výpomoci při výpadku výrobního zařízení;
- absorbování rizika v praxi znamená vytváření rezerv;
- vědomé přijetí, tedy ignorování rizika, má smysl tam, kde by jiné řešení bylo nákladnější než samotné dopady.
Snížení rizika může znamenat změnu způsobu činnosti. Může rovněž znamenat zvýšení nákladů a větší spotřebu času. Je proto nutné důkladně hodnotit, jak efektivní budou opatření na snížení rizika a jaké riziko zůstává, jestliže tato opatření nebudou či nemohou být úplně efektivní – tedy jaké zůstává reziduální riziko.
Z hlediska bezpečnosti je žádoucí, aby rizika byla pokud možno odstraňována. Ve skutečnosti však může být velice složité některá rizika úplně odstranit. Je proto nutné činit realistické předpoklady o tom, co můžeme udělat, abychom se jim vyhnuli, a o jejich pravděpodobných dopadech. Pro výši rizika se někdy používá anglický akronym ALARP – As Low As Reasonably Possible, tedy tak nízké, jak je rozumně možné.
Odpověď na riziko a následná kontrola výsledného stavu znamená konečné rozhodnutí a činnost z něj vyplývající. Je proto třeba odpovídající formou zakotvit odpovědi na rizika do plánů řízení rizik. Tyto plány mohou mít různou formu v závislosti na předmětu a typu rizik. Příkladem mohou být:
- seznam projektových rizik a plánovaných odpovědí na rizika jako součást řízení projektu,
- hodnocení rizik z dodavatelských vztahů jako součást systému řízení zakázek ve firmě,
- harmonogramy údržby zařízení v závislosti na předpokládaných rizicích jejich poruch,
- bezpečnostní předpisy a plány krizové připravenosti v případě bezpečnostních rizik ve firmě,
- krizové plány u veřejných institucí.
Aby měly plány řízení rizik smysl, je nutné je provázat s ostatními oblastmi řízení, tj. především zajistit dostatečné lidské, technické a finanční zdroje pro jejich uskutečnění. Je také nutné mít neustále na paměti, že plány řízení rizik jsou živým organismem – nejsou tedy dány jednou provždy, ale je třeba je neustále aktualizovat, tj. průběžně vyhodnocovat jak rizika samotná, tak účinnost a hospodárnost uskutečněných odpovědí na rizika. Jen tak se plán řízení rizik nestane pouze nadbytečným svazkem ve skříni či souborem v počítači, ale skutečně účinným nástrojem šetřícím firmě peníze, majetek, zdraví, lidské životy a v neposlední řadě dobrou pověst.
Závěrem si ukažme dva příklady systematického řízení rizika v podniku: řízení obchodního a bezpečnostního rizika, jaká se mohou vyskytnout v běžné podnikatelské praxi výrobních firem.
Příklady systematického řízení rizik ve firmě
Řízení obchodního rizika
Příkladem je ošetření rizika pozdního zaplacení nebo nezaplacení prací v rámci firemního systému řízení zakázek. Modelová situace: Nabízí se velká zakázka od významného zákazníka, s nímž však firma poprvé uzavírá obchodní vztah, přitom zákazník vyžaduje fakturaci až po konečném dodání všech prací.
Identifikace rizika:
- pozdní zaplacení nebo nezaplacení ceny za dodávané práce.
Ohodnocení rizika:
- dopad: zakázka představuje pro firmu velký objem vynaložené práce a souvisejících nákladů, zároveň váže velký počet zaměstnanců; dopad nezaplacení nebo pozdního zaplacení by byl tedy vysoký a lze jej kvantifikovat: odpovídal by v prvním případě vynaloženým nákladům a v druhém případě úrokům z překlenovacího úvěru;
- pravděpodobnost: zákazník působí v odvětví zasaženém hospodářskou krizí, jeho pozice na trhu je však silná; pravděpodobnost pozdního zaplacení odhadlo obchodní oddělení na 75 %, pravděpodobnost nezaplacení v důsledku platební neschopnosti na 5 %;
- načasování rizika a odpovědný organizační útvar: nutné řešit okamžitě; zodpovídá obchodní oddělení;
Odpověď na riziko – možné alternativy:
- zcela odstranit: zakázku odmítnout; znamená to ztratit velkou obchodní příležitost, navíc vzniká sekundární riziko, že firma už nebude zákazníkem příště oslovena;
- snížit pravděpodobnost opožděné platby: zakotvit do smlouvy sankční poplatky dostatečně vysoké, aby odradily zákazníka od opožděné platby; vzniká sekundární riziko, že zákazník osloví jiného dodavatele, který na takto vysokých poplatcích netrvá;
- snížit dopad: zakotvit do smlouvy zálohové platby v průběhu dodávky; vzniká obdobně sekundární riziko, že zákazník osloví jiného dodavatele, který na zálohových platbách netrvá;
- převést/rozptýlit: realizovat zakázku ve spolupráci s dalšími firmami, které tak ponesou část rizika; znamená to ovšem jim také přenechat část tržeb;
- absorbovat: vytvořit si finanční rezervu pro případ opožděné nebo nerealizované platby od zákazníka;
- ignorovat: přijmout zakázku tak, jak je, a doufat, že k žádnému problému nedojde.
Přijetí jedné z alternativ a její provedení:
- rozhodnuto:
– jednat se zákazníkem o jedné zálohové platbě, vzniklé sekundární riziko volby jiného dodavatele snížit nabídkou nadstandardních služeb;
– zbylé reziduální riziko absorbovat v rámci existující rezervy na firemním účtu.
Kontrola a zpětná vazba:
o zakázka byla realizována za navrhovaných podmínek a mírné opoždění plateb bylo možné absorbovat v rámci finanční rezervy firmy; zákazník byl pro příští zakázky ohodnocen jako relativně spolehlivý a otevřený jednáním o obchodních podmínkách.
Řízení bezpečnostního rizika
Příkladem je ošetření jednoho z rizik v rámci firemního povodňového plánu. Modelová situace: V suterénu výrobní budovy nacházející se poblíž řeky je umístěna podniková rozvodna, na jejímž fungování závisí větší část výroby.
Identifikace rizika:
- zatopení rozvodny povodňovou vlnou.
Ohodnocení rizika:
- dopad: zatopení rozvodny by způsobilo její vážné poškození, výsledkem by byla ztráta tržeb způsobená výpadkem výroby a značné náklady na její zprovoznění – obojí lze kvantifikovat na základě obchodních kalkulací; pokud by k zatopení navíc došlo náhle při plném provozu, mohlo by být spojeno s úrazy elektrickým proudem;
- pravděpodobnost: hodnoty pravděpodobnost zatopení rozvodny pěti-, deseti-, padesáti-, sto- a víceletou vodou lze odhadnout na základě rozboru povodňových plánů pro danou lokalitu;
- načasování rizika a odpovědný organizační útvar: nutné vyřešit nejpozději do jarního období; zodpovídá oddělení energetiky.
Odpověď na riziko – možné alternativy:
- zcela odstranit:
– zcela odstranit riziko úrazu elektrickým proudem lze odpojením výroby od elektrické sítě při bezprostředně hrozícím povodňovém nebezpečí – toto odpojení je součástí povodňového plánu rozvodných závodů, oddělení energetiky je podle vnitřního předpisu kontroluje;
– riziko výpadku výroby by bylo možné odstranit pouze vybavením všech zařízení záložními zdroji elektrického proudu (což by bylo příliš nákladné) nebo přemístěním rozvodny do vyšších podlaží (což by bylo obtížně realizovatelné, navíc vzniká sekundární riziko ohrožení statiky budovy); - snížit pravděpodobnost: provedení stavebnětechnických opatření, která ochrání rozvodnu před zatopením; prakticky je to možné až do úrovně padesátileté vody, kromě nákladů na toto opatření vzniká sekundární riziko zhoršeného přístupu k rozvodně;
- snížit dopad:
– předem zajistit urychlené zprovoznění zatopené rozvodny výrobcem a vlastními silami na základě dodavatelských smluv a firemních předpisů; vzniká sekundární riziko závislosti na jednom výrobci zařízení; – vybavit kritická zařízení ve firmě záložním zdrojem; kromě nákladů na jejich pořízení tím vzniká i nutnost jejich pravidelného prověřování a s ním spojená sekundární rizika; - převést/rozptýlit: uzavřít pojištění pro případ povodní zohledňující mj. i ztráty vzniklé zatopením rozvodny; vzniká sekundární riziko snížené nebo opožděné platby v důsledku finančních potíží pojišťovny při povodních;
- absorbovat: vytvořit si finanční rezervu pro případ ztrát vzniklých zatopením rozvodny;
- ignorovat: pro případ povodní spolehnout na pomoc státu postiženým oblastem; vzniká sekundární riziko nedostatku státních financí nebo pravidel, která firmě neumožní dosáhnout na státní pomoc.
Přijetí jedné z alternativ a její provedení:
- rozhodnuto:
– provést stavebnětechnická opatření chránící rozvodnu na úroveň desetileté vody, náklady na vyšší ochranu by značně převýšily ztráty na tržbách; riziko zhoršeného přístupu k rozvodně odstranit nebo snížit na přijatelnou úroveň vhodným řešením ve spolupráci s projektantem;
– sjednat povodňové pojištění firmy pro případ víceleté vody;
– udržovat finanční rezervu pro překlenutí potíží plynoucích z opožděné platby pojistného.
Kontrola a zpětná vazba:
- byla provedena počítačová simulace povodní a vyhodnoceny její výsledky; na jejich základě byla posílena stavebnětechnická opatření chránící rozvodnu; adekvátně byly změněny i ostatní odpovědi na riziko.
Závěry
Na základě uvedených obecných pravidel i praktických příkladů lze na závěr vyvodit některé klíčové poznatky pro praktické řízení rizik:
- zcela odstranit riziko bývá často velmi neefektivní nebo prakticky nemožné, lze ho však snížit na přijatelnou úroveň;
- na každé riziko lze teoreticky aplikovat všechny základní typy odpovědí, ne každá z nich je však v dané souvislosti realistická nebo finančně efektivní;
- odpovědi na riziko se často kombinují pro dosažení optimálního vztahu mezi jejich účinkem a náklady;
- každou odpovědí na riziko zpravidla vzniká sekundární riziko; smyslem je zvolit takovou odpověď na riziko, aby sekundární riziko bylo nižší či lépe řiditelné než primární riziko;
- primární i sekundární rizika jsou navzájem velmi provázaná co do působení a odpovědí, proto je nezbytné je vnímat ve vzájemných souvislostech a v celkovém kontextu organizace počínaje přípravnou fází;
- zpravidla vždy zůstává reziduální riziko; odpověď na riziko musí být vždy taková, aby reziduální riziko bylo přijatelné;
- úspěšná odpověď na riziko se stává poučením pro příští podobnou situaci.
Pro technickou a manažerskou praxi lze už jen dodat: To, co v každodenním životě provádí člověk intuitivně, musí být v organizaci cílevědomé a systematické, formalizované, ale ne formální. Jen tak přinesou čas a síly věnované na řízení rizik očekávaný užitek pro firmu i její okolí.
(S využitím podkladů společnosti PRO-SERV.)
Obr. 1. Mapa rizik
Obr. 2. Databáze poruch – příklad kvantitativní analýzy rizik (ilustrační příklad)