%JQMPNPWÈ QSÈDF

"/"-Å;" "41&,5ƾ Ʋ¶;&/¶ 3*;*, 7&

410-&Ǝ/045* #.50 (3061 "4

%JQMPNPWÈ QSÈDF

4UVEJKOÓ QSPHSBN / o &LPOPNJLB B NBOBHFNFOU 4UVEJKOÓ PCPS 5 o 1PEOJLPWÈ FLPOPNJLB

"VUPS QSÈDF #D &WB #VÝLPWÈ

7FEPVDÓ QSÈDF *OH ,BSJOB .VäÈLPWÈ 1I%

-JCFSFD 

"/"-:4*4 0' "41&$54 0' 3*4, ."/"(&.&/5

*/ 5)& $0.1"/: #.50 (3061 "4

%JQMPNB UIFTJT

4UVEZ QSPHSBNNF / o &DPOPNJDT BOE .BOBHFNFOU 4UVEZ CSBODI 5 o #VTJOFTT "ENJOJTUSBUJPO

"VUIPS #D &WB #VÝLPWÈ

4VQFSWJTPS *OH ,BSJOB .VäÈLPWÈ 1I%

-JCFSFD 

1SPIMÈÝFOÓ

#ZMB KTFN TF[OÈNFOB T UÓN äF OB NPV EJQMPNPWPV QSÈDJ TF QMOǔ W[UB

IVKF [ÈLPO Ǐ  4C P QSÈWV BVUPSTLÏN [FKNÏOB f  o ÝLPMOÓ EÓMP

#FSV OB WǔEPNÓ äF 5FDIOJDLÈ VOJWFS[JUB W -JCFSDJ 56- OF[BTBIVKF EP NâDI BVUPSTLâDI QSÈW VäJUÓN NÏ EJQMPNPWÏ QSÈDF QSP WOJUDzOÓ QPUDzFCV 56-

6äJKJMJ EJQMPNPWPV QSÈDJ OFCP QPTLZUOVMJ MJDFODJ L KFKÓNV WZVäJUÓ KTFN TJ WǔEPNB QPWJOOPTUJ JOGPSNPWBU P UÏUP TLVUFǏOPTUJ 56- W UPN

UP QDzÓQBEǔ NÈ 56- QSÈWP PEF NOF QPäBEPWBU ÞISBEV OÈLMBEǾ LUFSÏ WZOBMPäJMB OB WZUWPDzFOÓ EÓMB Bä EP KFKJDI TLVUFǏOÏ WâÝF

%JQMPNPWPV QSÈDJ KTFN WZQSBDPWBMB TBNPTUBUOǔ T QPVäJUÓN VWFEFOÏ MJUFSBUVSZ B OB [ÈLMBEǔ LPO[VMUBDÓ T WFEPVDÓN NÏ EJQMPNPWÏ QSÈDF B LPO[VMUBOUFN

4PVǏBTOǔ ǏFTUOǔ QSPIMBÝVKJ äF UJÝUǔOÈ WFS[F QSÈDF TF TIPEVKF T FMFL

USPOJDLPV WFS[Ó WMPäFOPV EP *4 45"(

%BUVN

1PEQJT

6

Poděkování

V první řadě tímto děkuji Bc. Ing. Karině Mužákové, Ph.D. za metodickou pomoc a rady, které přispěly ke zdárnému vytvoření celé práce, dále také děkuji svému konzultantovi panu Petru Kudrnovi, ze společnosti BMTO GROUP a.s., za věcné připomínky k práci a za poskytnutí potřebných materiálů k jejímu vytvoření a v neposlední řadě také děkuji své rodině za podporu v průběhu celého studia i při zpracování závěrečné studijní práce.

7

Anotace

Předmětem diplomové práce „Analýza aspektů řízení rizik ve společnosti BMTO GROUP a.s.“ je analýza řízení rizik a analýza rizik ohrožujících tuto společnost s následným návrhem možných opatření. První částí celé práce je teoretická analýza možných rizik pro soukromé podnikatelské subjekty a jejich teoretická deskripce na základě dostupné literatury. V teoretické části bude také dále mimo jiné porovnán klasický přístup řízení rizik a využití normy ISO 31000. Druhou částí diplomové práce bude propojení teoretických poznatků do praxe ve spolupráci se společností BMTO GROUP a.s., kde bude zjištěn stávající stav řízení rizik ve společnosti, jeho vývoj a dále také možnosti jeho nového směřování. Analýza praktické stránky bude zaměřena na možnost zavedení normy ISO 31000 a dalších ochranných prostředků před rizikem přímo do podnikového řízení, např.: možnost zapojení informačního systému jako účinného nástroje pro řízení rizik. Výstupem bude zhodnocení přínosu celé práce a také zpracování návrhu na možná doporučení pro řízení rizik v již zmíněné společnosti.

Klíčová slova

Analýza rizik, riziko, řízení rizik, ČSN ISO 31000, BMTO GROUP a.s., podnik, organizace, krize, informační systém

8

Annotation

The subject of the thesis “Analysis of aspects of risk management in the company BMTO GROUP a.s.” is an analysis of aspects of risk management and analysis of risks in this company with followed concept of possible precautions. The first part of the thesis is a theoretical analysis of the potential risks for private businesses and their theoretical description based on the available literature. The theoretical part will also include, inter alia, compared to classical approaches to risk management and the use of ISO 31000th.

The second part will link theoretical knowledge into practice in cooperation with BMTO GROUP a.s., where current state of risk management will be detected, its development and also the possibility of a new direction in this scope. Analysis of the practical aspects will be focused on the possibility of introducing ISO 31000 and other protective precautions before risks in corporate governance, such as: the possibility of the involvement of an information system as an effective tool for risk management. The output of this thesis will be the evaluation of positive effects of the work and the drafting of the possible recommendations for risk management in the aforementioned company.

Key Words

Risk analysis, risk, risk management, ISO standard 31000, BMTO GROUP a.s., business, organization, crisis, information system

9

Obsah

Poděkování ... 6!

Anotace ... 7!

Annotation ... 8!

Seznam obrázků ... 11!

Seznam tabulek ... 12!

Seznam zkratek ... 13!

Úvod ... 14!

1! Riziko a krize ... 17!

1.1! Typy rizik ... 18!

1.1.1! Obecná klasifikace rizik ... 19!

1.1.2! Vnitřní rizika ... 21!

1.1.3! Vnější rizika ... 23!

1.2! Typy přístupů k riziku ... 26!

1.2.1! Averze k riziku ... 26!

1.2.2! Sklon k riziku ... 26!

1.2.3! Neutrální postoj k riziku ... 27!

2! Přístupy k řízení rizik ... 28!

2.1! Klasický přístup ... 29!

2.2! Světová ekonomická krize v roce 2009 ... 33!

2.3! Použití normy ČSN ISO 31000 pro řízení rizik ... 34!

2.3.1! ČSN EN 31010 ... 40!

2.4! Porovnání obou přístupů (ISO 31000 a klasický) ... 42!

2.5! Metoda IPR ... 45!

3! Krizový manažer a krizový plán ... 47!

3.1! Krizový manažer a jeho tým ... 47!

3.2! Krizový plán ... 49!

4! Metody a nástroje pro řízení a snižování rizik ... 52!

4.1! Informační systém jako účinný nástroj řízení rizik ... 52!

4.2! Metoda pravděpodobnosti a četnosti pro postoj k riziku ... 55!

10

5! Společnost BMTO GROUP a.s. ... 58!

5.1! Vývoj řízení rizik ve společnosti BMTO GROUP a.s. ... 59!

5.1.1! Dosavadní ochrana před riziky ... 59!

5.2! Analýza rizik společnosti BMTO GROUP a.s. ... 62!

5.2.1! SWOT analýza organizace ... 62!

5.2.2! Analýza zranitelnosti aktiv ... 64!

5.2.3! Matice pravděpodobnosti rizik s ohledem na vhodný přístup ... 68!

5.2.4! Souhrnná analýza současných rizik společnosti BMTO GROUP a.s. ... 73!

6! Možnost inovace v oblasti řízení rizik společnosti ... 76!

6.1! Možnost zavedení normy ČSN ISO 31000 ... 76!

6.2! Informační systém v podniku a jeho využití pro řízení rizik ... 83!

7! Návrhy na zlepšení řízení rizik podniku BMTO GROUP a.s. ... 87!

7.1! Implementace navrhovaných zásad risk managementu ... 90!

Závěr ... 92!

Seznam literatury ... 94!

Seznam citované literatury ... 94!

Seznam bibliografie ... 96!

Seznam příloh ... 97!

11

Seznam obrázků

Obrázek 1: Základní předpoklady výkonnosti a spolehlivosti lidského činitele ... 22!

Obrázek 2: Ideální rozklad času, věnovaný manažery problémům - různé úrovně řízení . 25! Obrázek 3: Rozhodování jednotlivých typů za rizika ... 27!

Obrázek 4: Vztah četnosti a závažnosti rizika ... 28!

Obrázek 5: Rizika, která mohou ohrozit aktiva podniku ... 29!

Obrázek 6: Pomocné rozhodovací schéma v rámci disciplíny risk management ... 31!

Obrázek 7: Proces risk managementu ... 32!

Obrázek 8: Vazby mezi principy, rámcem a procesem managementu rizik ... 37!

Obrázek 9: Vztah mezi prvky rámce pro řízení rizik ... 38!

Obrázek 10: Proces managementu rizik ... 40!

Obrázek 11: Úloha interního auditu v rámci risk managementu ... 44!

Obrázek 12: Postup analýzy rizik při využití metody IPR ... 46!

Obrázek 13: Schéma postupu zpracování krizového plánu ... 50!

Obrázek 14: Krizové plány ... 51!

Obrázek 15: Prvky informačního systému ... 54!

Obrázek 16: Ukázka schématu procesu v podniku (zakázka) ... 83!

Obrázek 17: Organizační uspořádání v BMTO GROUP a.s. ... 84!

Obrázek 18: Chybovost v plánování činností (výroba) ... 91!

12

Seznam tabulek

Tabulka 1: Porovnání možného jednání externího (E) a interního (I) krizového manažera 48!

Tabulka 2: Metody pro postoj k řešení rizika ve firmě ... 56!

Tabulka 3: SWOT analýza společnosti BMTO GROUP a.s. ... 63!

Tabulka 4: Analýza zranitelnosti hmotných aktiv ... 65!

Tabulka 5: Analýza zranitelnosti nehmotných aktiv ... 66!

Tabulka 6: Analýza rizik dle pravděpodobnosti a závažnosti ... 68!

13

Seznam zkratek

DP – diplomová práce

IPR – identifikace procesů a rizik IS – informační systém

ISO – International Organization for Standardization, v překladu mezinárodní organizace pro normalizaci

OR – obchodní rejstřík

14

Úvod

Téma analýza aspektů řízení rizik v podniku BMTO GROUP a.s. bylo vybráno z důvodu, že nutnost využití takového druhu řízení je v dnešní době takřka nevyhnutelné.

Informovanost o možných krizích a rizicích by měla být zařazena do činnosti každého podniku a to jak velkého, středního tak také malého. Pokud podnik umí najít, uspořádat a efektivně řídit informace o riziku i rizika samotná, pak dozajista o mnoho procent zvyšuje svou konkurenceschopnost i jistotu zachování činnosti v dnešních nejistých ekonomických i konkurenčních podmínkách. Informovanost o možných rizicích, kterou má podnik k dispozici, je totiž jednou z položek, která zvyšuje celkovou hodnotu podnikatelského subjektu a také jeho sebejistotu v podnikatelské činnosti. Veškeré informace o kritických situacích, krizích i možných nepředvídatelných situacích by měly být zpracovány tak, aby byla rizika minimalizována, či ideálně úplně eliminována.

Co se týká aktuálnosti tématu, tak zejména s ohledem na situaci, která vznikla následně po vzniku globální ekonomické krize v roce 2009, kdy mnoho malých a středních podniků neumělo na novou situaci nejistoty a poklesu zareagovat a tak byly nuceny ukončit svou podnikatelskou činnost, se jedná o téma velmi aktuální. Nejedná se pouze o nutnost znát podnikatelská rizika, vědět o nich a brát je v potaz, je důležité zpracovat je do logického celku a stejně tak nalézt možné eliminační možnosti či možnosti jak minimalizovat škody v případě, že se jedná o rizika, kterým předejít nelze.

Dalším směrem, kterým se bude diplomová práce ubírat je porovnání klasického přístupu k řízení rizik, ale také nového za použití normy ISO 31000, která vznikla právě jako odezva na krizi z roku 2009, zejména s účelem zabezpečit do budoucna všechny velikosti podnikatelských subjektů a „naučit je“ se připravit na možné budoucí hrozby a krize. Oba přístupy budou porovnány z hlediska teoretického, za použití rešerše odborné literatury.

V novodobém pojetí není řízení rizik již záležitostí tištěných krizových plánů a popisů rizik. Je možné využít pro jejich řízení informačních technologií, zejména informačního systému, který se jeví jako velmi účinný nástroj pro takovéto využití. Pokud je systém vhodně zaveden, je možné jej využít jako stěžejní prostředek pro realizaci zpracovaného

15

krizového plánu a pro řízení rizik. Této možnosti bude využito také v praktické části této DP a to ve spolupráci se společností BMTO GROUP a.s., ve které bude problematika zkoumána z praktického hlediska a teoreticky zjištěné poznatky zde budou vhodně včleněny do praktického fungování, včetně uvedení návrhů na možnou ochranu podniku před hrozícími riziky plynoucích z analýzy rizik.

V teoretické části této práce bude deskripce rizika obecně, co to vůbec riziko a řízení rizik je, jaké jsou jeho funkce, možnosti, typy a druhy. Dále zde bude uvedeno, jaké jsou možnosti přístupů k ochraně podniků před riziky a jaké dopady měla světová hospodářská krize na tyto přístupy. Součástí teoretické části také bude právě porovnání dvou přístupů k řízení rizik, a to, klasického přístupu a přístupu za použití novodobé normy ISO 31000.

V neposlední řadě se také teoreticky pomocí rešerše odborné literatury zanalyzuje možnost využití informačního systému jako nástroje pro podporu a řízení rizik ve společnostech.

Jako podklad pro praktickou část daného téma je vybrána středně velká liberecká společnost s 55 zaměstnanci. Společnost nese název BMTO GROUP a.s. a byla založena v roce 1990. Jejím předmětem podnikání je výroba vodohospodářských výrobků a obrábění kovů. Důvodem pro tento výběr byl hlavně fakt, že daná společnost prošla značným vývojem a to nejen v oblasti výrobního programu. Právě zde je možnost srovnání, jak lze řídit firemní informace bez účinného řízení rizik a jakou proměnou podnik projde, právě po jeho zavedení. Ve společnosti BMTO GROUP a.s. byla možnost získat komplexní informace o celkovém vývoji systému řízení rizik, o jeho stávajícím stavu a také o jeho možné inovaci, tak aby co nejvíce vyhovoval potřebám právě tohoto podniku a jeho organizační struktury. Budou rozebrány možná rizika pro tento podnik, jejich výskyt a možná minimalizace či eliminace.

Mezi vědecké metody práce bude patřit rešerše odborné literatury a analýza dílčích poznatků z ní. Dále pak syntéza těchto dílčích poznatků do praktické části práce, kde se bude postup analýzy rizik, implementace informačního systému či normy ISO 31000 jako nástroje řízení rizik a dalších činností ohledně risk managementu aplikovat přímo do konkrétního podniku. Z hlediska odborné literatury bude čerpáno zejména z těchto titulů: Řízení rizik ve firmách a jiných organizacích od Smejkala V. a Raise K.

16

dále z díla Principy pojištění a pojišťovnictví od Ducháčkové E., a v neposlední řadě přímo z normy ČSN ISO 31000. Všechna další odborná literatura, která bude v práci použita, je uvedena v seznamu použité literatury.

Cílem práce je formou případové studie analyzovat možná rizika ve společnosti BMTO GROUP a.s. v návaznosti na její podnikatelskou činnost. Po analýze vývoje řízení firemních rizik a stávající situace je cílem stanovit zásady pro inovaci a zvýšení efektivity využívání risk managementu právě v ohledu na řízení firemních aktivit v této společnosti.

Jako metodický způsob zpracování bude zvolena analýza. A to jak analýza vývoje řízení firemních rizik v jednotlivých obdobích (od vzniku společnosti po sametové revoluci, kdy nebyla známa možnost řízení rizik), až po situaci stávající. S ohledem na tento fakt tak budou v závěru navrhnuty zásady pro další inovaci risk managementu, tak, aby byla zvýšena efektivita jeho využívání všemi prvky společnosti BMTO GROUP a.s.

a to jak z hlediska manažerského (výsledky hospodaření) tak také z hlediska jiných činností v podniku (např. výrobní oblast, odběratelská oblast, apod.).

„Příčinou dnešních problémů jsou včerejší řešení.“ (Peter Senge)

17

1 Riziko a krize

Samotné analýze rizik a přístupům k riziku předchází nutnost znalosti samotného pojmu riziko, jaké jsou formy rizika, co je to krize a jak se obojí může podepsat na fungování podnikatelské činnosti. Riziko je chápáno jako nejistota z budoucího vývoje, z budoucího děje, přičemž lze mluvit o rizicích negativního i kladného vývoje (Smejkal a Rais, 2010).

Riziko je pojem, který souvisí velmi úzce s každou činností, kterou člověk provádí, nikdy totiž nelze přesně vědět, jaký bude další vývoj situací v životě, v práci a vůbec v jakékoli situaci, která se právě odehrává. V souvislosti s rizikem přichází na řadu nutnost předvídat možné vývoje, tvořit si případné scénáře a do jisté míry tak rizikům předejít či se jim úplně vyhnout. Další podkapitoly se zabývají, jaké typy rizik vůbec existují, jaké jsou přístupy k riziku a také jednu z možností jak o rizicích vědět dopředu – tj. tvořit scénáře.

Slovo krize je dalším pojmem, který se váže k risk managementu a také k analýze rizik v podniku. Jak uvádí Zuzák (2008, s. 9) „Slovo krize je spojování s neštěstím, se smutným obdobím člověka, podniku, státu, zkrátka každého subjektu, který je ve spojení s lidmi.

Krize je běžnou fází v životě a ve vývoji každého systému.“ Všeobecně lze říci, že krizí se rozumí situace, která je nežádoucí a ohrožuje další existenci systému, který se právě v dané krizi nachází.

Propojení mezi oběma pojmy lze nalézt poměrně snadno logickou úvahou. Riziko různých činností předchází krizi systému (člověka, podniku, státu,…). Například vznikem rizika platební neschopnosti podnikatelského subjektu může dojít ke krizi této organizace, která následně může vést ke konci její obchodní potažmo výrobní činnosti.

Jak uvádí Zuzák (2008) podnikatelská krize je definována jako stav, kdy dojde k narušení určité rovnováhy mezi podnikatelskými charakteristikami firmy, např. mezi cíli a možnostmi. Dále také tvrdí (Zuzák, 2008), že krize podniků mají nepříliš často akutní průběh, takový průběh hrozí obvykle důsledkem havárie či přírodní pohromy. Na druhou stranu lze krizi brát jako výzvu podle Zuzáka (2004) se teprve v krizi zjistí, jak velké má podnik rezervy, jelikož je potřebuje, dále je dle něj krize příležitostí pro nové a vyšší cíle, a jen stereotyp brání ve formulaci nových cílů, krizi je nutno řešit razantně, ale s rozvahou.

18

1.1 Typy rizik

Podle (Smejkala a Raise, 2010) je riziko historický výraz ze 17. století, kdy se objevil v souvislosti s lodní plavbou a označoval úskalí, kterému se plavci museli vyhnout či že se pod tímto významem skrývalo, že riskovat znamená podstoupit nebezpečí čili riskovat.

V dnešní době je již známo, že jeho významem je také možnost jisté ztráty a že nebezpečí souvisí s něčím jiným a v teorii rizika souvisí s hrozbou. Podle Ducháčkové (2005, s. 9):

„Pojem riziko je chápán jako možnost vzniku události s výsledkem odchylným od cíle s určitou objektivní pravděpodobností (matematickou či statistickou).“ Oproti tomu pojem hrozba je podle Smejkala a Raise (2010, s. 95): „Hrozba je síla, událost, aktivita nebo osoba, která má nežádoucí vliv na bezpečnost nebo může způsobit škodu. Hrozbou může být například požár, přírodní katastrofa, krádež zařízení, získání přístupu k informacím neoprávněnou osobou, chyba obsluhy, ale i kontrola finančního úřadu, apod.“

Charakteristikou hrozby je její úroveň a podle parametru nebezpečnosti, kterou může způsobit. Dle (Smejkal a Rais, 2010) hrozby zvyšují rizika a využívají zranitelnosti aktiv, což znamená, jak moc budou poškozena či znehodnocena aktiva v případě vzniku hrozby.

Ochranná opatření chrání před hrozbami a snižují celková rizika – např.: pojištění, krizový plán, risk management. Čím vyšší je hodnota aktiv, tím důležitější je mít připravena ochranná opatření, jelikož to rizika vyžadují a tím se organizace může ochránit před možností hrozeb. Hodnoty a zranitelnost zvyšují rizika a riziko naopak požaduje ochranná opatření, tento celý koloběh funguje v každé organizaci a nelze se mu vyhnout.

Rizika mohou vést k neúspěchu v podnikání a případně ohrozit činnost podnikatelského subjektu tak, že nebude možné v činnosti dále pokračovat. Co se týká možných druhů či typů rizik je možné je dělit dle (Ducháčková, 2005) následovně:

• Subjektivní a objektivní rizika – subjektivní na základě konání lidí; objektivní na základě objektivních skutečností (blesk). Součástí subjektivního je i morální riziko, které se vztahuje na změnu v pravděpodobnosti realizace rizika po sjednání pojištění – pojistné podvody.

19

• Rizika přírodní a rizika vyvolaná lidským faktorem - rizika technická či vyvolána lidmi. Rizika technická se sem řadí z důvodu, že technika jsou dílem lidské činnosti.

Základní klasifikace rizik dle směrnice Solventnost II (Mužáková, 2011) a popis těchto rizik je uvedena v další podkapitole. Cílená pozornost je však věnována rozdělení na vnější a vnitřní rizika, jež budou rozebrány v dalších dílčích podkapitolách. Vnitřní rizika se týkají činností a subjektů uvnitř podniku, u kterých nebo díky kterým mohou určitě rizika nastat. Jedná se o lidské zdroje, surovinové zásoby, výrobní procesy, apod. Vnější rizika potom zahrnují konkurenční prostředí, legislativní prostředí či například informační riziko.

Všeobecným rizikem zahájení podnikatelské činnosti je možnost úplného neúspěchu v podnikání. Zde jsou dle (Smejkala a Raise, 2010) nejčastější příčiny:

• nejasná strategie;

• konflikt priorit zájmových stran v podniku;

• špatná komunikace v organizaci;

• neuspokojivá koordinace funkcí (prodej, nákup, atd.);

V dalších podkapitolách budou dvě základní skupiny rizik popsány detailněji a rozebrány – čeho se týkají a jaký by byl dopad, nejprve však bude uvedena základní klasifikace rizik dle pojistné praxe, která jsou obecně pojmenována pro možný vznik v podnikatelské praxi.

Tato rizika zde budou uvedena obecně, každé však má ještě další vnitřní členění.

1.1.1 Obecná klasifikace rizik

Následující klasifikace rizik se dle (Mužáková, 2011) řídí rozdělením podle Insurance Application Architecture, která řadí rizika do sedmi základních skupin, všechny ovšem obsahují ještě další vnitřní dělení rizik. Základní popis jednotlivých druhů rizik dle této klasifikace budou uvedeny v níže uvedeném seznamu se stručným teoretickým popisem.

20

Klasifikace do těchto sedmi skupin je podle Insurance Application Architecture (Mužáková, 2011) následující:

• Riziko likvidity = riziko, že podnikatelský subjekt není schopen vypořádat své závazky a investice v době jejich splatnosti svými finančními aktivy.

• Pojistně technická rizika = nejistota spojená s budoucím vývojem objemu pojistného plnění a tvorby rezerv. Jedná se například o katastrofy, stárnutí populace, apod.

• Úvěrové riziko = je jím myšleno riziko ztráty nebo nepříznivé změny vyplývající z kolísání úvěrového ratingu emitentů cenných papírů a dalších možných dlužníků.

• Operační riziko = jedná se o nedostatečné nebo selhávající procesy uvnitř podnikatelského subjektu. Dále také selhávání vnějších i vnitřních systémů. Jsou zde zařazena rizika jako ztráta dobrého jména firmy, nesoulad mezi podnikatelskými předpisy a platnou legislativou, mezi jiné zde patří také chyby zaměstnanců, selhání informačního systému, apod. Základním dělením operačních rizik je buď riziko čistě operační (selhání informačního systému) a rizika spojená s podnikáním. Je možno sem zařadit zejména:

o procesní riziko = nedostatečné procesy ve společnosti, chybné zaúčtování, důsledkem může být ztráta odběratelů, apod.;

o riziko selhání lidského faktoru = špatně definované úkoly;

o systémové riziko = ztráta v důsledku chyb komunikačních sítí, počítačových programů, apod.;

o riziko externích událostí = terorismus, válečné či přírodní katastrofy, …;

o inflační riziko = záporná výnosová míra pro investora z důvodu inflace;

o kreditní riziko = emitent nebude schopen dostát svým závazkům.

• Riziko události = jedná se o rizika související s právem (smlouvy), dobrou pověstí podniku (dobré jméno firmy), s pohromami (katastrofy), s regulací (změny právního prostředí) či s politikou (jedná se o postoje politických subjektů a změn).

21

• Tržní riziko = časový a objemový nesoulad aktiv a pasiv. Jedná se o nejistotu vývoje měnových kurzů, cen a úrokových měr. Jedná se o:

o úrokové riziko = kolísání výnosové míry se změnou úrokových sazeb;

o měnové riziko = nejistota výše zisku při investování z důvodu kolísání měnového kurzu;

o akciové riziko = riziko způsobené pohybem akcií a dividend.

• Riziko zajištění = jedná se o nesolventnost zajistitele – problémy s úhradou peněžních závazků pojišťovny.

Klasifikace výše uvedená je dle (Mužáková, 2011) známa již od roku 2002. Rizika jsou zde uvedena do sedmi základních skupin. Další dvě dílčí podkapitoly se budou zabývat detailněji obecnějším pohledem na rizika a to z pohledu dělení na vnitřní a vnější rizika.

1.1.2 Vnitřní rizika

Nejčastější příčinou vzniku chyb či problémů v podniku je lidský činitel. Lidské zdroje jsou stěžejním prostředkem dosahování firemních cílů a naplňování podnikových vizí a strategií. Podle Kruliše (2011, s. 24) „Člověk – zaměstnanec vykonává své činnosti dobře a spolehlivě jen tehdy: když to chce, když to umí a když k tomu má vytvořeny potřebné podmínky.“ V případě, že nejsou splněny všechny tyto tři podmínky, vzniká prostředí pro vznik možných krizí se zárodkem v činnosti zaměstnanců. V oblasti lidských zdrojů je důležité, aby společnost měla zavedenou vhodnou firemní kulturu, aby byli zaměstnanci správně řízení a aby byla prováděna pravidelná a zejména průběžná kontrola jejich činnosti. Základní předpoklady výkonnosti a spolehlivosti lidského činitele zobrazuje následující obrázek 1.

22

Obrázek 1: Základní předpoklady výkonnosti a spolehlivosti lidského činitele Zdroj: vlastní z (Kruliš, 2011, s. 27)

Mezi rizika vznikající s příčinou v lidských zdrojích se pak klasicky dle Kruliše (2011) řadí: nedostatek odborně kvalifikovaných pracovníků, nezájem pracovníků podávat požadované pracovní výkony, z čehož pak plyne vysoká fluktuace zaměstnanců, případně z druhé strany z hlediska vedoucích pozic je zde riziko nevhodně zvolené firemní kultury, špatný motivační plán vůči zaměstnancům či nevhodné řízení podřízených. Pokud není v pořádku tento základní stavební kámen – lidské zdroje v podniku, pak se velmi rychle podnik může dostat do situace, kdy v oblasti personální vznikne krize, ze které se odvíjí celkový problém s dosahováním jak krátkodobých tak dlouhodobých cílů.

Další možnou vnitřní položkou, ke které se váží určitá rizika, jsou surovinové položky, potažmo výrobní či materiálové zásoby. Zde se jedná zejména o riziko nevhodně zvoleného zásobovacího systému, špatně rozvrhnutého spotřebovávání a objednávání zásob, chybně rozdělených výrobních procesů a činností. Za rizika, která se dají hledat s příčinou v předchozím výčtu, jsou potom příliš velké vázané peněžní prostředky v zásobách, které by bylo potřeba využít v podniku jinde, případně špatně rozdělené výrobní procesy vedou k pomalé výrobě, k čemuž se váží smlouvy s odběrateli, které tak případně není možno plnit atp. Z těchto rizik opět mohou vzniknout vážnější krize, které by nakonec vyústily ve stejný výsledek jako rizika vznikající z lidských zdrojů.

23

Jak rizika potažmo krize spojené s výrobní činností či s lidskými zdroji jsou ale častěji krizemi, které nejsou natolik závažné, aby ovlivnily úplné působení podniku v podnikatelské činnosti. Jedná se sice o problémy, které jistým způsobem brzdí cíle podniku a také jeho rozvoj, mezi daleko závažnější rizika se však řadí zejména problémy spojené s know-how či s financemi.

Mezi rizika, která častěji vyústí do dlouhodobě trvající krize, patří tedy, jak již bylo řečeno výše finanční a know-how oblast. Co se týká know-how, zde potom mezi nejčastější příčinu lze řadit únik informací o výrobním know-how společnosti nebo o úniku jakýchkoli informací, které rapidně zasáhnou celou společnost, či naopak firma využívá know-how, které měla patentováno jiná společnost a zde vzniká problém se zastavením kompletní činnosti. To se ovšem neděje příliš často, tedy ne tak často jako problémy a rizika spojená s finanční stránkou společnosti. Příliš mnoho neuhrazených faktur, velmi nízké cash-flow, dlouhé doby splatnosti vydaných faktur, chybně ukládané peníze do zásob atd. Pokud je společnost příliš zadlužena, nemá vhodně urovnán přísun peněz a zároveň výdej, pak se dostává do skutečné finanční krize, ze které většinou není příliš kladného řešení. Z krize tohoto typu se podnik velmi často dostane do stavu insolvence, kdy později podnik ukončí činnost úplně. Proto je nutné si hlídat dlouhodobé finanční plány a spolu s nimi korigovat i další dlouhodobé i dílčí cíle celého podnikání.

1.1.3 Vnější rizika

Jak je již z nadpisu patrné, vnější rizika se týkají faktorů, které podnik ohrožují zvenčí.

Zejména se jedná o faktory konkurenčního prostředí, oblast zákaznická, legislativní a v neposlední řadě oblast týkající se přírodních příčin. Z předešlých vyjmenovaných položek je nejzávažnějším zdrojem rizik oblast přírodních příčin – tedy přírodních katastrof. Jedná se například o bouřky, zemětřesení, povodně,… Jedním z důvodů, proč se jedná o tak závažný zdroj rizik je, že se nedá prakticky žádným způsobem předvídat, tudíž ani příliš vhodně eliminovat. Je možné provést určitá preventivní opatření, která mohou jistým způsobem minimalizovat případné škody, nelze však vědomě řídit možnost vzniku rizikové události. Dalším důvodem je, že i jediný vznik tohoto rizika,

24

může vyvolat tak náročnou krizi v podniku, že je nutno skončit s celým podnikatelským procesem. Příkladem je úplné zničení výrobních prostor i kanceláří povodní, kdy podnik pro tuto možnost nebyl pojištěn nebo nebyl pojištěn v řádné výši. Pojištění podle Ducháčkové (2005) je zde totiž nejčastějším preventivním prostředkem, jak minimalizovat případné škody vzniklé z přírodních katastrof.

Další vnější příčinou krize jsou oblasti konkurenční a odběratelské. V rámci konkurenčního prostředí jsou možnými riziky vyspělejší technologie u konkurence, kterými například radikálně sníží své náklady tudíž cenovou úroveň, dále narůstající konkurenční prostředí, kdy ve velmi obsazeném konkurenčním sektoru je velmi těžké pro podnik jako takový získávat potřebný tržní podíl. Z oblasti odběratelské je to pak velmi úzce propojeno s konkurenčním prostředím, jelikož odběratelé mohou přebíhat ke konkurenčnímu podniku, či na základě cen konkurence požadovat nižší ceny. Dále jsou u odběratelů problémem splatnosti faktur, které mohou být příliš dlouhé, a podniku pak následně vzniká například krátkodobá platební neschopnost, která může vyústit i v tu dlouhodobou.

Legislativa a ekonomika státu jako zdroj rizik či příčina vzniku krize jsou také poměrně složitě eliminovatelné položky. Časté změny daňových sazeb a dalších zákonů přinášejí těžkosti také do podniku a celkový vývoj ekonomiky logicky ovlivňuje také chod a ekonomický vývoj dané společnosti. Pokud ale podnik má ve svých plánech možnost poklesu ekonomiky či změny legislativy vhodně zakomponované, pak se dají činnosti, platby a další procesy firmy upravit tak, aby opět z dané situace v ekonomice vytěžily co nejvíce, případně alespoň nedošlo v podniku k nutnosti ukončení nebo omezení činnosti.

Aby bylo možno předejít rizikům nebo alespoň minimalizovat případné ztráty, je nutno mít vhodně nastavenou podnikovou strukturu a zejména vedení chodu celého podniku.

Doporučení dle (Smejkal a Rais, 2010) pro management v boji s riziky a krizí zní:

• chápat možná rizika a krizi jako příležitost, nikoli pouze jako hrozbu;

• propojit informace od všech zájmových skupin a vhodně komunikovat;

25

• identifikovat klíčová rizika;

• vybrat vhodné metody eliminace rizik;

• řídit investiční strategii firmy;

• řídit náklady firmy;

• zajišťovat adekvátní likviditu firmy;

• zajistit flexibilitu firmy v závislosti na vývoji konkurence a odběratelů;

• mít vhodně sestaven krizový plán a s riziky počítat.

Jednotlivým činnostem je nutno se v podniku věnovat ideálně rozloženým časem, jak je zobrazeno na Obrázku 2. Pokud manažeři dostatečně obstarají všechny tyto činnosti v takovém rozložení tak, jak mají, pak je první krok k úspěšnému vyhnutí se riziku a krizi úspěšně splněn.

Obrázek 2: Ideální rozklad času, věnovaný manažery problémům - různé úrovně řízení Zdroj: vlastní z (Smejkal a Rais, 2010, s. 33)

26

1.2 Typy přístupů k riziku

Dříve než bude rozebrána kapitola týkající se analýzy rizik, možné ochrany proti rizikům a dostupným prostředkům podporujících tuto ochranu je důležité rozebrat možné přístupy vedoucích pracovníků společností k rizikům a rizikovým situacím jako takovým. I to jaké investice či projekty vedoucí manažeři hledají, potvrzuje fakt, jak se k riziku vůbec tito lidé staví. Jsou známé tři skupiny těchto lidí a to ti, kteří mají averzi k riziku, vyhledávají ho nebo jsou k němu lhostejní, čili mají neutrální postoj. V následujících podkapitolách bude o jednotlivých typech uveden podrobnější popis.

1.2.1 Averze k riziku

První zmíněnou skupinou budou manažeři, kteří mají k riziku averzní postoj. Nejedná se o příliš početnou skupinu, jelikož ve většině oblastí podnikání a vůbec v podnikání samotném je téměř nemožné, aby byl člověk s úplnou averzí vůči riziku. Start podnikání jako takový je již samotným zdrojem velmi významného rizika – neúspěchu. Zjednodušeně lze tedy říci, jak také uvádí (Rais a Smejkal, 2010) že člověk s averzí k riziku nemůže být příliš úspěšným podnikatelem v tržní ekonomice, pokud není ochoten nést podnikatelské riziko. Tento typ preferuje jako ochranu před riziky zejména formou prevence, např.:

pojištění. Mikroekonomický výklad averze k riziku podle Hořejší et al. (2008; s. 124):

„Při averzi k riziku je preferován jistý výsledek před rizikem se stejným očekávaným výsledkem.“ Dále dle (Hořejší et al., 2008) v případě averze k riziku je funkce užitku konkávní, což znamená, že s rostoucím příjmem roste celkový užitek, ale klesajícím tempem, tzn. pomaleji než celkový důchod.

1.2.2 Sklon k riziku

Druhým typem manažera je člověk se sklony k vyhledávání rizikových situací a projektů.

Tento typ se nebojí jít do jakéhokoli rizika a obětovat i velmi vysokou možnost ztráty. Je možné, že takový manažer pro svou společnost díky risku hodně získá, se stejnou

27

pravděpodobnostní se ale může stát, že o mnoho také přijde. Je tedy důležité, aby byl tento typ vedoucího pracovníka schopen rozlišit, kdy se jedná o vhodně podstoupené riziko a kdy naopak o čirý nerozum. Nejčastější ochranou před riziky je u tohoto typu spíše minimalizace následných škod po neúspěšně zvolených rizikových projektech. Při sklonu k riziku dle Hořejší et al. (2008, s. 125): „Člověk, který riziko vyhledává, je ochoten podstoupit riziko relativně malé pravděpodobnosti nejvyššího možného výsledku riskantní alternativy.“ Funkce užitku je dle ní konvexní, což znamená rostoucí, tj. celkový užitek roste rychleji než důchod.

1.2.3 Neutrální postoj k riziku

V poslední skupině manažerů je neutrální postoj k riziku, který se vyznačuje rovnováhou mezi oběma předchozími skupinami. Člověk v této skupině je ochoten podstoupit riziko, stejně jako zvolit cestu bezrizikovou. Jedná se o skupinu, kde si manažeři často nechávají zpracovat znalecké posudky a dle nich se rozhodují o svých investicích i projektech. V této skupině je vhodně zkombinovaná ochrana jak preventivní tak i následná. Neutrální postoj k riziku dle Hořejší et al. (2008, s. 126): „Je-li člověk k riziku lhostejný, je nerozhodný při volbě mezi jistou a rizikovou alternativou rozhodnutí, pokud je jistý výsledek shodný s očekávaným výsledkem rizikové alternativy. Funkce užitku je v tomto případě lineární, resp. přímka procházející počátkem a vyjadřující konstantní užitek.“

Následující Obrázek 3 znázorňuje všechny postoje k riziku v jednom grafu.

Obrázek 3: Rozhodování jednotlivých typů za rizika Zdroj: (BOZP, 2013)

28

2 Přístupy k řízení rizik

Ať se již manažer společnosti řídí do kterékoli skupiny přístupu k riziku, všichni do jednoho mají záměr dosahovat stanovených cílů podniku, čili postupovat tak, aby cíle nebyly ohroženy – tedy eliminovat nebezpečná rizika nebo častá rizika, případně se minimálně připravit na možnost vzniku rizika a tím minimalizovat dopady takovéto skutečnosti.

Existuje celá řada postupů, jak by se manažer měl připravit na možná rizika, jak je předvídat i řídit. Je zde ale obecný postup ochrany před riziky a tím je tzv. Risk management¹. Risk management se dle Ducháčkové (2005) řadí do takzvaného klasického přístupu k řízení rizik. Druhým možným přístupem k řízení krizí či rizik je zavedení normy ČSN ISO 31000, která vznikla po roce 2008 jako reakce na vzniklou globální hospodářskou krizi. V neposlední řadě si pozornost zaslouží i metoda IPR, která se zabývá zejména manažerskými procesy a firemními faktory, které jsou častým zdrojem krizí v podniku.

V dalších podkapitolách budou podrobněji rozebrány možné způsoby řízení rizik a tím pádem krizí v podniku. Na obrázku 6, který je zobrazen níže je vidět vztah mezi četností a závažností rizik v podniku, což je jeden z významných faktorů pro jakou ochranu před rizikem se rozhodnout.

1 Předmětem tohoto pojmu – této disciplíny je soustavná analýza ekonomické činnosti z hlediska zřetelných, potenciálních i nepředvídatelných rizik. (Ducháčková, 2005)

Obrázek 4: Vztah četnosti a závažnosti rizika Zdroj: (Ducháčková, 2005, s. 13)

29

2.1 Klasický přístup

V podnikatelské praxi se manažeři i další spolupracující subjekty s rizikem setkávají prakticky v každé chvíli i při každém rozhodnutí. Rizika, která ohrožují aktiva i aktivity podniku jsou zobrazena na obrázku 5. První možností jak se před riziky chránit a předvídat je tzv. klasický přístup k řízení rizik neboli risk management.

Obrázek 5: Rizika, která mohou ohrozit aktiva podniku Zdroj: vlastní z (Ducháčková, 2005, s. 15)

Risk management neboli klasický přístup k řízení rizik je speciální obor, který se zabývá jedinou úlohou a tím je maximální ovládnutí a zpracování možných rizik v podniku i mimo něj. Jedná se o přípravu chování pro případ různých krizových a rizikových situací.

V takových situacích je totiž velmi nutné se chovat racionálně. Jak uvádí Ducháčková (2005, s 14) „Risk management je racionální jednání v rizikové situaci tak, aby byla chráněna současná a budoucí aktiva podniku. Rizikový manažer musí být vybaven vysokými pravomocemi. Jeho úkolem je dosáhnout přijatelného stupně bezpečnosti při vynaložení optimálních nákladů na prevenci a pojištění, a dále zajistit vytvoření dostatečných rezerv pro případ krizových situací k rychlému znovuobnovení výroby a opětovnému uvedení podniku do stabilního stavu.“

30

Jedná se o činnost, která má za úkol zajistit bezpečnost podniku při co nejnižších nákladech – dle (Ducháčková, 2005) lze risk management rozdělit do tří fází:

• Identifikace rizika (1. fáze) = jedná se o zjištění, jaká rizika mohou ohrožovat ekonomickou nebo celkovou stabilitu – tedy rizika plynoucí z objektivních okolností i subjektivních rozhodnutí. Jedná se také o rizika, plynoucí z vývoje sociální, legislativní nebo ekonomické oblasti. V této fázi se hodnotí a kontroluje stav aktiv podniku – jaký majetek se zde nachází, kde je umístěn, kontrolují se finanční aktiva, pracovní síly, ale také nehmotná aktiva. Dále se také analyzují možné oblasti, kde rizika vyvolají ztráty – na osobách, majetku či ve financích.

Rizika, která jsou v rámci risk managementu zkoumána, jsou:

o fyzické ztráty nebo poškození majetku či zdraví;

o odpovědnost za škody;

o přerušení ekonomické činnosti;

o nesprávné plánování;

o nedbalost;

o technologická rizika;

o politická rizika;

o sociální rizika;

o rizika plynoucí z okolního přírodního prostředí.

Poslední čtyři vyjmenované oblasti, ze kterých mohou vznikat rizika, jsou však kontrolovatelné pouze velmi omezeně.

• Ocenění a kvantifikace rizik (2. fáze) = jedná se o stanovení vah a možných dopadů jednotlivých rizik v případě jejich vzniku. Obsahuje zjištění pravděpodobnosti jejich vzniku a také možné velikosti rizika. Obvykle je velikost vyjádřena jako maximálně možná škoda jaká může vzniknout.

• Kontrola a financování rizik (3. fáze) = jedná se o zajištění a přijmutí opatření, díky kterým bude škodám předcházeno a dále se rozhoduje o finanční eliminaci

31

důsledků negativních nahodilých situací. Je zde celá řada možností jak rizikům předcházet:

o strategická opatření = smlouvy o vyloučení odpovědnosti za určitá předem definovaná rizika, dobře stanovený systém práce, bezpečné technologie,…

o fyzická opatření = ochranné pomůcky, protipožární zabezpečení,…

V případě, že není možné rizikům předejít, se stanovuje, jak budou případné situace finančně eliminovány. Zde jsou následující možnosti:

o krytí z vlastních zdrojů = buď z běžných příjmů (malá ztráta, často se opakující rizika) nebo samopojištění (rezervy na krytí rizik daného podniku)

o přenos rizika na specializovanou instituci – využití pojištění.

Rozhodnutí mezi využitím samopojištění nebo klasickým pojištěním se provádí na základě pomocných schémat – viz obrázek 6. Samopojištění je vlastně tvorba rezerv pro případ rizik vznikajících přímo v dané společnosti a také pro případ rizik, která by případně ani normální pojišťovna nepojistila. Možnost využití této zálohy je spíše u velkých společností a jedná se o levnější metodu než klasická pojistka.

Obrázek 6: Pomocné rozhodovací schéma v rámci disciplíny risk management Zdroj: (Ducháčková, 2005, s. 17)

32

Risk management

Identifikace rizika Ocenění a kvantifikace

rizik Kontrola a financování rizika

Analýza faktorů hospodářského procesu

Určení rizikových faktorů

Vymezení významných rizik

Zjištění pravděpodobnosti realizace rizika a velikost

možných škod

Dopad rizika na hospodářský proces

Předcházení realizaci rizika

Finanční eliminace rizika

Z vlastních zdrojů

Pojištění Strategická opatření

Fyzická opatření

Obrázek 7: Proces risk managementu Zdroj: vlastní z (Ducháčková, 2005, s. 18)

Co se týká využití pojištění od speciálních pojišťovatelských společností, je třeba objasnit, zejména pro potřeby risk managementu, základní úkoly pro výběr vhodného pojišťovatelského subjektu. Je nutno zjistit, zda pojistitel nabízí možnost krytí rizika, pro které si ho podnikatel vybral, zda je pojistitel schopen plnit své závazky vyplývající z pojistné smlouvy, zda cena odpovídá nutnosti ochrany. Výběr vhodného pojistitele by se tedy měl opírat o následující kroky podle Ducháčkové (2005, s. 18):

• seznámení se s pojistnými podmínkami pro daný druh pojištění a s rozsahem krytí;

• posoudit finanční potenciál pojistitele;

• posoudit cenu pojištění vzhledem k riziku;

• posoudit schopnost pojistitele vyplatit pojistné náhrady v co nejkratším termínu;

• zjistit jaké má pojistitel zastoupení v místě podnikatele;

• zjistit zda pojistitel disponuje potřebnými odborníky při sjednání pojištění.

Dle Ducháčkové (2005, s. 18) „součástí risk managementu je pravidelné sledování a kontrola rizik, vyhodnocování jejich chování, identifikace změn v rizikových situacích, dohled nad funkčností bezpečnostních opatření i dohled nad efektivností pojištění.“

Struktura těchto činností je uvedena v následujícím obrázku 7.

33

2.2 Světová ekonomická krize v roce 2009

Řízení rizik neboli risk management se tedy vyvíjí nejméně tak dlouhou dobu jako se vyvíjí podnikatelská činnost a činnost manažerů s ohledem na dosahování cílů podniku.

Risk management je formován pro každou společnost různě podle toho, jak jej daná činnost podniku potřebuje – je spíše prodejní, výrobní, atd. Avšak největší zásah za poslední dobu, který razantně změnil vývoj krizového řízení a utvořil také úplně nový pohled na risk management, byl rok 2009 a propuknutí světové ekonomické krize.

Mnoho malých a středních podniků nebylo schopno adekvátně zareagovat na velmi rychlý a podle prognóz velmi hluboký a dlouhý propad ekonomiky jak ve světě, tak v jednotlivých státech a kromě velkých amerických bank a velkých výrobních společností začaly ukončovat svou činnost i právě tito malí a střední podnikatelé. Například v České republice dle ČSÚ (2010): „V České republice zbankrotovalo v roce 2009 celkem 1 482 firem (právnických osob a fyzických osob-podnikatelů), což bylo o 42 % více než v roce 2008. Návrhy na bankrot přitom ve firemním sektoru rostly výrazně rychleji než vyhlášené bankroty, což dále do budoucna indikuje nepříjemná očekávání další narůstání počtu vyhlášených bankrotů - vývoj v roce 2009 představuje tak z tohoto pohledu jen „horní část ledovce“. Přes nepříznivý meziroční vývoj se zdá, že nejprudší nárůst u vyhlašovaných bankrotů firem se odehrál již v prvním pololetí 2009, kdy stouply proti stejnému období 2008 o 70 %. Charakteristickým rysem výrazného nárůstu bankrotů v roce 2009 proti roku 2008 je skutečnost, že krach nepostihl ani jednu velkou firmu. Okolnost, že bankroty se velkým firmám zatím vyhnuly, ukazuje na jejich schopnost nákladového přizpůsobení.

V mnoha případech sice zřejmě sotva přežívají, za cenu „řezů“ v nákladech.“ Tento text potvrzuje, že do této doby nebyl žádný mezinárodní předpis, který by naznačoval jak se zachovat v případě takto rozsáhlé krize a změny ekonomického a obchodního prostředí.

Manažeři a podnikatelé velkých podniků mají (většinou) v interních předpisech i informace a pokyny právě pro risk management a mají zpracované krizové plány, ne však tito menší podnikatelé a živnostníci. Jejich činnost poklesla a tím i jejich finanční příjmy a toky. Nasmlouvané úvěry a minimální pojištění vedlo k tomu, že velké množství těchto podnikatelů svou činnosti ukončilo.

34

Reakcí na tuto vzniklou situaci bylo vydání nové normy od organizace ISO¹. Nová norma nese název ISO 31000:2009, v české verzi se jedná o normu ČSN ISO 31000. Její funkci je podle ČSN ISO 31000 (2010, s. 7): „Tato mezinárodní norma doporučuje, aby organizace rozvíjely, implementovaly a kontinuálně zlepšovaly rámec, jehož účelem je integrovat proces pro řízení rizik do svého celkového vedení, strategie a plánování, managementu, procesů podávání hlášení, politik, hodnot a kultury.“ Její využití a přínosy jsou uvedeny v dalších podkapitolách.

2.3 Použití normy ČSN ISO 31000 pro řízení rizik

Jak již bylo řečeno výše, norma ISO byla zpracována v reakci na vzniklou globální hospodářskou krizi. Jejím úkolem bylo zabezpečit široké spektrum podnikatelů před dalšími možnými riziky, která by ohrozila jejich společnosti a podnikatelské činnosti.

Podle normy ČSN ISO 31000 (2010, s. 7): „Management rizik lze aplikovat na celou organizaci, v mnoha oblastech a na mnohých úrovních, v kteroukoli dobu, stejně jako pro specifické funkce, projekty nebo činnosti. Přestože zavedené postupy managementu rizik byly v průběhu času vyvíjeny v rámci mnoha sektorů pro splnění různých potřeb, zavedení konzistentních procesů v rámci celkové struktury může pomoci zajistit, aby bylo řízení rizik v rámci celé organizace smysluplné, efektivní a koherentní. Generický přístup, popsaný v této mezinárodní normě, poskytuje principy a návody pro řízení jakékoli formy rizika systematickým, transparentním a důvěryhodným způsobem a v rámci jakéhokoli rozsahu i kontextu.“ Vztahy a vazby mezi zásadami risk managementu popsanými touto normou jsou zobrazeny níže na obrázku 8 na straně 37.

1 ISO (International Organization for Standardization; Mezinárodní organizace pro normalizaci) je celosvětovou federací národních normalizačních orgánů (členů ISO).

35

Výhodami, které pro podnik vznikají zavedením této normy, jsou podle (ČSN ISO 31000, 2010) například:

• zvýšení pravděpodobnosti dosažení stanovených cílů;

• zlepšování identifikace příležitostí a hrozeb;

• zlepšení finančního výkaznictví;

• zlepšení organizačního vedení;

• lepší funkčnost a stabilní provoz;

• minimalizace ztrát;

• …

„Risks affecting organizations can have consequences in terms of economic performance and professional reputation, as well as environmental, safety and societal outcomes.

Therefore, managing risk effectively helps organizations to perform well in an environment full of uncertainty.“ (ISO, 2011) V překladu: „Rizika ovlivňující organizace mohou mít důsledky v oblasti hospodářské výkonnosti a profesionální pověsti, jakož i v oblasti životního prostředí, bezpečnosti a společenských výsledků. Proto řízení rizik účinně pomáhá fungovat organizacím v prostředí plném nejistoty.“

Efektivitu managementu rizik pro každou organizaci zajistí níže vypsané zásady podle (ČSN ISO 31000, 2010):

• management rizik vytváří a chrání hodnoty = slouží pro dosahování cílů podniku v souladu s kvalitou, životním prostředím, zlepšuje také výkonnost;

• management rizik je součástí všech procesů organizace = nejedná se o izolovanou činnost, která je oddělena od ostatních procesů v podniku, management rizik je provázán do každé prováděné činnosti v organizaci;

• management rizik je součástí rozhodování = pomáhá se rozhodnout mezi alternativami při rozhodovacím procesu manažerů a pracovníků;

• management rizik je zaměřen na nejistoty = zvažuje nejistoty, jejich charakter a jak se na ně může podnik zaměřit;

36

• management rizik je systematický, strukturovaný a včasný = jedná se o proces provázaný se všemi činnostmi a tím přispívá k dosahování konzistentních a spolehlivých výsledků v organizaci;

• management rizik čerpá z nejlépe dostupných informací = jedná se o údaje minulých období, zkušenosti, zpětná vazba od zájmových stran, předpovědi, expertní posouzení, atd.;

• management rizik je upravený na míru = je uspořádán a sestaven dle vnitřních i vnějších potřeb a charakteru podniku;

• management rizik zohledňuje lidské a kulturní faktory = zabývá se činností lidí vně i uvnitř organizace a řídí je ku prospěchu cílů podniku;

• management rizik je transparentní a kompletní = je aktuální a vhodný, aktualizuje se dle potřeb společnosti a jsou zastoupeny názory všech zainteresovaných stran;

• management rizik je dynamický a citlivě reagující na změny = mění se v kontextu situací v okolí organizace, odhaluje nová rizika a reaguje na ně;

• management rizik napomáhá neustálému zlepšování organizace = organizace má rozvíjet a implementovat nové strategie a zvyšovat tak své cíle, stejně tak zlepšovat svůj management rizik.

Čím lépe budou výše uvedené zásady organizací plněny, tím vyšší efektivnost managementu rizik bude ve společnosti nastolena. Dalším krokem ke správnému využití managementu rizik je dle ČSN ISO 31000 (2010) vhodně stanovený rámec neboli struktura celého řízení. Jedná se o uspořádání řízení rizik a postupů v něm na jednotlivých úrovních celé organizace. Využití tohoto rámce (obrázek 9, strana 38) slouží k zajištění využití managementu rizik a informací z něj na všech jednotlivých úrovních organizace a v jakémkoli čase, kdy jsou tyto informace třeba.

37

Obrázek 8: Vazby mezi principy, rámcem a procesem managementu rizik Zdroj: (ČSN ISO 31000, 2010, s. 9)

38 Obrázek 9: Vztah mezi prvky rámce pro řízení rizik Zdroj: (ČSN ISO 31000, 2010, s. 20)

Stanovení tohoto rámce dle (ČSN ISO 31000, 2010) neslouží k řízení samotného managementu podniku, ale k tomu, aby organizace zavedla management rizik do celkového systému procesů. Každá organizace si vytvoří svůj rámec, který bude plně podporovat potřeby přímo té dané společnosti. Zavedení normy do organizace a řízení rizik podle ní se opírá zejména o naprosté prolnutí všech činností, charakteru procesů, chování lidí, okolí podniku a jednotlivá rozhodování v souladu a propojeně právě s managementem rizik dle předem stanoveného rámce.

Řízení rizik podle této normy se promítne do kultury organizace, do všech stupňů managementu organizace i do výrobních procesů atd. Samozřejmostí zavedené normy je přesné stanovení odpovědností pro každý projekt, úkol a svěřenou činnost v podniku. Je přesně identifikováno kdo za co zodpovídá, jaká je jeho úloha v organizaci, kdo na jeho úkol či pozici navazuje. Aby bylo možno management rizik, dle výše uvedených zásad,

39

pravidelně aktualizovat a přizpůsobit jej nejpřesnějším informacím, je nutno zabývat se těmito zdroji – dle (ČSN ISO 31000, 2010):

• lidé, dovednosti, zkušenosti a kompetence;

• dokumentace procesů, postupů;

• programy výcviku;

• zdroje ohledně jednotlivých procesů;

• informace a znalost systémů managementu;

• rizikové oblasti organizace.

Nejen při zavedení ale při celkovém využití risk managementu dle této normy je nutno správně komunikovat, zažít normu jako součást rozhodování a celkové práce. Komunikace je stěžejní činností také před a při implementaci normy. Podle (ČSN ISO 31000, 2010) je při implementaci nutno zjistit a zajistit:

• vhodný časový plán a strategii;

• použít politiku a proces managementu rizik na ostatní procesy;

• být ve shodě s požadavky zákonů;

• zajistit aby rozhodování bylo v souladu s řízením rizik;

• pořádat informační schůzky a výcvik;

• komunikovat a konzultovat se všemi zájmovými stranami.

Poslední fází zavedení normy do podniku je neustálé monitorování a přezkoumávání rámce tak, aby využití normy plně a smysluplně podporovalo fungování organizace a její směřování směrem k jejím cílům. Celkový proces managementu rizik je zobrazen na obrázku 10 (následující strana).

40 Obrázek 10: Proces managementu rizik

Zdroj: (ČSN ISO 31000, 2010, s. 26)

2.3.1 ČSN EN 31010

Podkapitolou, která je řazena pod normu ČSN ISO 31000, je norma ČSN EN 31010 z roku 2011, která je celoevropskou normou. K předchozí normě se váže tím, že detailněji zasahuje do popisu identifikace a celkové analýzy rizik. Předchozí norma do svého popisu tyto informace čerpá právě z této evropské normy ISO 31010.

Podle ČSN EN 31010 (2011, s. 9): „Tato norma je určena k tomu, aby odrážela současnou správnou praxi při volbě a používání technik posuzování rizik, a neodkazuje na nové nebo

41

rozvíjející se koncepce, které nedosáhly uspokojující úrovně profesionálního konsenzu.“

Dále podle (ČSN EN 31010, 2011) je do managementu rizik zahrnuto použití následujících systematických metod:

• komunikace a konzultace po celou dobu procesu;

• stanovení vyčerpávajícího kontextu pro analýzu rizik a jejich ošetření;

• monitoring a přezkoumání rizik;

• podávání hlášení a zaznamenání výsledků vhodným způsobem.

Posuzování rizik je strukturovaný proces, který hodnotí rizika dle toho, jaké cíle tím daným rizikem mohou být ohroženy, na jaké činnosti se daná rizika váží, apod.

U posuzování rizik je snaha odpovědět na následující (ČSN EN 31010, 2011):

• co se může stát a proč?;

• jaké jsou následky?;

• jaká je pravděpodobnost vzniku události?;

• existují faktory pro zmírnění rizika?;

• je úroveň rizika snesitelná či nikoli?.

Jedná se o normu všeobecnou, kterou mohou využít veškerá odvětví podnikatelské činnosti. Každý podnik a organizace si upraví využití normy dle vlastních potřeb. Mezi základní přínosy posuzování rizik patří dle (ČSN EN 31010, 2011) například: pochopení rizik a potenciálních dopadů, poskytování informací pracovníkům, sdělování rizik a nejistot, pomoc při ustanovení priorit, výběr forem ošetření rizika či vhodné plnění zákonů.

Při provádění posuzování rizik je třeba mít jasno v těchto záležitostech (ČSN EN 31010, 2011):

• kontext a cíle organizace;

• rozsah a typ rizik, která jsou přijatelná;

• způsob jak ošetřit nepřijatelná rizika;

• způsob jak je včleněno posuzování rizik do ostatních procesů;

• metody a techniky použité pro management rizik;

42

• delegace odpovědnosti a schopnost odpovědnost nést;

• dostupní zdroje k provedení posouzení rizik;

• způsob jakým bude informováno o rizicích a jak bude přezkoumáno.

Nedílnou součástí celého posouzení rizik je také vhodný komunikační systém v organizaci.

K zajištění této části posuzování rizik je vhodné zpracovat dle ČSN EN 31010 (2011) strukturovaný komunikační plán a stanovení kontextu se všemi procesy v organizaci. Je nutno zohlednit názory a informace od všech zainteresovaných stran, tak aby posouzení rizik co nejvěrněji odpovídalo skutečnosti a potřebám podniku.

Samotné posouzení rizik se sestává z následujících fází podle (ČSN EN 31010, 2011):

• stanovení kontextu;

• posuzování rizik: identifikace, analýza rizik, hodnocení rizik;

• ošetření rizik;

• průběžná komunikace a konzultace;

• průběžné monitorování a přezkoumávání.

Všechny uvedené činnosti jsou nedílnou součástí celého procesu a je nutno je striktně dodržovat v souladu s podnikovými cíli. Stanovení kontextu probíhá jak s vnějším tak s vnitřním prostředím podniku. Průběžná komunikace a monitoring zabezpečí aktuálnost a přednost celého posouzení rizik a je tak možno stanovit přesnější a vhodnější formy ošetření rizik a tím je jich vyvarovat či alespoň minimalizovat případné škody po vzniku rizikové události. Rozdíly mezi klasickým přístupem a využitím výše uvedené ISO normy pro risk management budou uvedeny v další dílčí kapitole.

2.4 Porovnání obou přístupů (ISO 31000 a klasický)

V předchozích dvou kapitolách byly rozebrány dva přístupy k řízení rizik v organizaci.

První je klasický přístup, který se managementem rizik zabývá jako osamocenou disciplínou v podniku, která se týká pouze zjištění potenciálních rizik a jejich eliminací či minimalizací důsledků. Jeho fází jsou identifikace rizik – kvantifikace rizik – kontrola a financování rizik. Oproti tomu vzešla v návaznosti na světovou ekonomickou krizi v roce

43

2009 nová norma zabývající se managementem rizik a tedy norma ISO 31000. Jejím úkolem je dle ČSN ISO 31000 (2010) naprosté propojení všech činností a procesů v podniku (včetně rozhodování o projektech atd.) spolu s managementem rizik do absolutního splynutí a tím dosahovat eliminace či minimalizace všech rizik. Tento přístup nevidí řízení rizik jako osamocenou disciplínu v podniku, ale jako součást každého kroku podnikatelů, manažerů, pracovníků a celé organizace vůbec. Fázemi tohoto přístupu je stanovení zásad podniku pro využití managementu rizik, sestavení rámce pro podnik a tak aby řízení rizik vyhovovalo podmínkám organizace, dále posouzení rizik z aktuálně nejlepších informačních zdrojů, jejich analýza, identifikace a hodnocení a dále formou komunikace a neustálého monitoringu vést management rizik aktuálně k potřebám společnosti a neustále jej aktualizovat dle nastalých požadavků managementu.

Nejvýznamnějším rozdílem je tedy pojmutí přístupu k řízení rizik jako takového. Klasický přístup jej vidí mimo běžné činnosti a okolí podniku, naproti tomu řízení rizik dle normy ISO jej řadí do každého kroku organizace. Využití normy ISO jako nástroje risk managementu je naprosto komplexní metodou, ze které plynou dlouhodobé výhody pro celý podnik a všechny činnosti v něm. Klasický přístup dle Ducháčkové (2005) ukládá pouze obecný postup pro řízení rizik a organizace tak mohou provést analýzu rizik, která postupem času bude zastaralá a nebude již plně odpovídat potřebám cílů podniku a podnikovým činnostem. Důvodem je zejména to, že ve využití normy je kladen velký důraz na neustálou komunikaci a konzultaci jednotlivých rizik a je to provázáno se všemi činnostmi. Oproti tomu klasický přístup risk managementu na komunikaci jako důležitý prostředek řízení rizik neklade takový důraz. Rizika jsou zde vybrána spíše formou analýz vnitřního a vnějšího prostředí.

Celkově řízení rizik musí být prováděno v určité přiměřené výši a to jak s použitím normy ISO nebo klasického přístupy analýzy rizik. Podle Macleoda et al. (2012, s. 8): „Řízení rizik je řídicí proces, který podporuje nákladově účinné naplňování cílů organizace;

ujištění poskytuje spolehlivé informace o výsledcích činnosti řízení rizik. Ujišťovací procesy a procesy řízení rizik se vzájemně doplňují.“