Systém řízení rizik (Enterprise risk management)
Požadavky na zavedení systému řízení rizik (ERM) často přicházejí spíše od vlastníků společnosti než od regulatorních orgánů. Správné nastavení dílčích procesů tohoto systému je nezbytným předpokladem pro jeho správné a efektivní fungování. Výstupy ERM jsou užitečné při klíčových rozhodnutích o strategickém směřování dané instituce.
Přesto je třeba mít na paměti, že zavedení a udržování systému řízení rizik vyžadují často různé regulace (např. Basel II/III či Solvency II) a normy (např. ČSN ISO 31000).
Všem podnikům, které mají o řízení svých rizik zájem, nabízí ARM pomoc se zavedením/revizí systému řízení rizik ؘ– konkrétněji služby zaměřené na:
V oblasti řízení rizik nabízíme odborná
školení a to formou open i in-house seminářů.
Nastavení procesů v systému řízení rizik
- Návrh klíčových procesů systému řízení rizik s ohledem na:
- požadavky a cíle managementu společnosti
- velikost a složitost dané instituce
- relevantní regulatorní požadavky a související normy
- schopnost systému pružně reagovat na změny
- Zajištění provázanosti navržených procesů s dalšími procesy instituce (např. proces hodnocení dodavatelů, vyhodnocování budoucích projektů, analýza rizik plynoucích z obchodních vztahů apod.)
- Definice optimálního organizačního uspořádání a jednotlivých rolí v systému řízení rizik.
- Začlenění systému ERM do strategického řízení instituce:
- definice pravomocí a odpovědností
- harmonogram fungování systému řízení rizik s ohledem na související procesy
- Vytvoření/revize strategie pro řízení rizik se zohledněním výstupů výše uvedených oblastí
Metodika pro identifikaci, hodnocení a řízení rizik
- Návrh pravidel pro identifikaci rizik:
- volba vhodné metody
- popis principů zvolené metody
- Návrh principů a pravidel pro:
- hodnocení/měření dopadu identifikovaných rizik
- hodnocení/měření frekvence identifikovaných rizik
- stanovení celkové závažnosti rizik
- sběr událostí
- Návrh pravidel řízení rizik:
- zohlednění celkové závažnosti rizik při vytváření postupů pro řízení rizik
- principy tvorby nápravných opatření, schvalování, provázanosti na obchodní/finanční plány a souvisejících kontrol
- způsob monitoringu realizace navržených opatření
- Vytvoření/revize metodiky (příp. interní směrnice) k systému řízení rizik se zohledněním výstupů výše uvedených oblastí
- Zajištění školení a workshopů o systému řízení rizik v dílčích útvarech instituce:
- představení vytvořené metodiky vedení společnosti (shrnutí hlavních principů a směřování v dalších obdobích)
- příprava školících materiálů pro zainteresované útvary (na základě připravených principů metodiky)
- prezentace školících materiálů (nebo lze přenechat v odpovědnosti manažera rizik dané instituce)
RCSA – metoda pro efektivní systém řízení rizik
- Vytvoření šablony pro zaznamenávání:
- identifikovaných rizik včetně jejich hodnocení/měření z hlediska dopadu a frekvence
- aktuálně probíhajících kontrol a zavedených nápravných opatření vzhledem k jednotlivým rizikům
- nově definovaných kontrol a nápravných opatření, odpovědnou osobu za jejich schválení a zavedení
- Definice škál pro hodnocení dopadu s ohledem na oblast podnikání, velikost a složitost dané instituce (např. finančního dopadu, reputační dopad, dopad na koncové zákazníky, legislativní dopad apod.)
- Definice škály pro hodnocení frekvence s ohledem na typ instituce a délku jejího podnikání (se zohledněním konkurenčního prostředí)
Katalog (mapa) rizik
- Identifikace a hodnocení rizik, resp. ověření fungování tohoto procesu
- Návrh struktury katalogu rizik zohledňující systém řízení rizik, příp. šablony RCSA
- Nastavení pravidel pro udržování aktuálního katalogu rizik
- Analýza databáze událostí s cílem identifikovat části instituce, které jsou více vystaveny rizikům včetně analýzy důvodů této větší expozice
Sběr událostí (incidentů)
- Posouzení stávajícího (popřípadě vytvoření nového) systému pro sběr událostí za účelem:
- zachycení všech relevantních informací o událostech operačního rizika
- srozumitelnosti systému pro jednotlivé uživatele
- eliminace chybovosti zadávaných informací
- Posouzení, zda jsou uživatelé se systémem sběru dostatečně obeznámeni (možnost proškolení uživatelů, případně návrh elektronického průvodce, který provede uživatele procesem zadání události)
- Nastavení motivačního programu pro uživatele systému podporujícího jejich ochotu zadávat informace o vzniklých událostech
- Návrh/dodání/revize systému pro sběr událostí
Klíčové ukazatele rizika a soustava interních limitů pro průběžné interní řízení
- Identifikace významných rizik instituce a definování jejich indikátorů
- Určení limitních hodnot indikátorů, jejichž překročení indikuje zvýšenou úroveň příslušného druhu rizika
- Vytvoření eskalačních mechanismů a navazujících kroků v případě překročení nastavených limitních hodnot
- Návrh/dodání systému pro pravidelné monitorování indikátorů
- Vytvoření metodického postupu pro revizi indikátorů a související soustavy limitů
Rizikový apetit
- Vytvoření rizikového apetitu společnosti a zajištění jeho provázanosti se:
- strategií instituce
- business plánem
- Nastavení pravidel pro revizi rizikového apetitu v případě změny vstupních předpokladů (např. při zavedení nového produktu anebo změně vnějšího legislativního prostředí apod.)
- Definice pravidel pro vyhodnocování rizikového apetitu:
- frekvence vyhodnocování
- eskalační mechanismy
- začlenění vyhodnocení do interního reportingu
Nahoru
Interní reporting
- Vytvoření pravidel interního reportingu v souvislosti se systémem řízení rizik, sběrem událostí a systémem interních limitů:
- struktura poskytovaných informací a míra podrobnosti s ohledem na různé manažerské úrovně (liniový management vs. senior management vs. představenstvo)
- frekvence reportingu
- informační toky
- Pomoc při vytvoření zprávy o rizicích dané společnosti (podklad pro pravidelné jednání představenstva, dozorčí rady)