Řízení podnikových rizik (ERM) je probíhající obchodní proces, který hodnotí, identifikuje a plánuje rizika pro finanční a provozní zdraví organizace a zároveň se zaměřuje na tržní příležitosti. Mezi rizika, která jsou často součástí strategie organizace v oblasti správy, řízení rizik a dodržování předpisů (GRC), mohou obecně patřit interní problémy, jako je firemní kultura, a externí faktory, jako jsou předpisy o ochraně osobních údajů, jako jsou GDPR a CCPA, katastrofy, pandemický nebo kybernetický útok.
Proaktivní obchodní strategie, která se používá ve většině obchodních sektorů, má ERM holistický přístup k hodnocení a řízení rizik v celé organizaci a poskytuje strukturovaný proces pro řízení těchto rizik. Kromě odvrácení potenciálních hrozeb může ERM poskytnout také konkurenční výhody.
Cíle řízení podnikových rizik
ERM je zaměřen na plnění organizačních cílů, nikoli pouze na podrobný popis potenciálních problémů. Jedná se o implementaci řady akcí a činností, které řídí, jak bude organizace hodnotit a kontrolovat rizika.
Manažeři rizik používají kombinaci zásad, postupů a postupů k vytváření rámců pro řízení rizik, počínaje třemi klíčovými kroky:
- Zavedení řízení rizik řízené správní radou, která zajišťuje, aby rozhodnutí byla přijímána v souladu s cíli a strategiemi organizace, týmem vyšších manažerů zaměřených na řízení rizik s dohledem rady a nezávislým týmem řízení rizik, který je odpovědný za provádění obchodní plány, které jsou v souladu s rámcem řízení rizik organizace
- Vyhodnocení úrovně rizika, které je organizace připravena přijmout dříve, než bude nutné přijmout opatření
- Implementace technik řízení rizik, která měří rizika napříč produkty a podniky a zajišťují soulad se zásadami a pokyny organizace
Rámečky pro řízení podnikových rizik
Za posledních několik let vzniklo několik rámců ERM, z nichž každý poskytuje různé přístupy k identifikaci, analýze a řízení podnikových rizik. Tady jsou tři nejoblíbenější rámce ERM:
- ARÉNA (Výbor sponzorských organizací). Společnost COSO, založená v roce 1985, je společnou iniciativou mezi pěti americkými asociacemi, americkou účetní asociací (AAA), americkým institutem certifikovaných veřejných účetních (AICPA), finančními exekutivy mezinárodní (FEI), institutem interních auditorů (IIA) a Institute of Management Accountants (IMA) v boji proti podnikovým podvodům. Cílem COSO je poskytnout myšlenkové vedení zabývající se třemi vzájemně propojenými subjekty: řízení podnikových rizik, vnitřní kontrola a odrazování od podvodů. Rámec COSO ERM má pět složek:
-
- Správa a kultura
- Strategie a cíle
- Představení
- Přezkoumání a revize
- Informace, komunikace a podávání zpráv
- ISO 31000 je skupina norem pro řízení rizik stanovených Mezinárodní organizací pro normalizaci. Jako soubor pokynů ISO 31000 poskytuje principy, rámec a proces řízení rizik s cílem zlepšit identifikaci příležitostí a hrozeb a osvědčené postupy pro alokaci a využívání zdrojů pro řízení rizik.
- Úrazová pojistná matematika společnost s (CAS) Výbor pro řízení podnikových rizik stanovil definici ERM v roce 2003 s dvojím přístupem k konceptualizaci rámce: definování typu rizika následované procesem řízení rizik, který identifikuje, analyzuje, integruje a upřednostňuje rizika před implementací strategií řízení rizik vedle průběžné monitorování a hodnocení procesu za účelem identifikace toho, co funguje a co ne.