Plán řízení rizik

Tae Teo

Účel a místo plánu rizik v architektuře plánování

Plán rizik je strategický i operativní dokument, který definuje systematický přístup k identifikaci, hodnocení, ošetření (mitigaci) a monitoringu nejistot ohrožujících cíle organizace nebo projektu. Je propojen s podnikatelským plánem, projektovým plánem, rozpočtem a plánem kvality; zároveň vytváří vstupy pro plán kontinuity a krizový management. Cílem je zvýšit předvídatelnost výkonu, snížit volatilitu nákladů a termínů a zajistit informovaná rozhodnutí na základě transparentního registru rizik, heatmapy a odpovědností vlastníků.

Základní principy řízení rizik

  • Kontext: stanovit cíle, rozsah, zainteresované strany, regulační a technologické prostředí.
  • Systematičnost: jednotné škály, procesy a terminologie napříč portfoliem.
  • Primeranost: náročnost metod přiměřená velikosti a profilům rizik.
  • Transparentnost: viditelnost stavu rizik, opatření a trendů pro rozhodovatele.
  • Kontinuita: cyklus plánuj–dělej–kontroluj–jednej (PDCA), nikoli jednorázová aktivita.

Terminologie a škály (doporučení pro standardizaci)

  • Riziko: nejistá událost nebo podmínka, která může mít negativní (hrozba) nebo pozitivní (příležitost) vliv na cíle.
  • Pravděpodobnost (P): např. 1–5 (vzácné až téměř jisté) nebo procenta.
  • Dopad (I): např. 1–5 (bezvýznamný až kritický), kalibrovaný přes finance, čas, kvalitu, reputaci.
  • Expozice rizika (RE): RE = P × I (nebo očekávaná hodnota v €: pravděpodobnost × finanční dopad).
  • Apetit k riziku a tolerance: kvantifikované hranice přijatelnosti pro kategorie rizik.

Struktura registru rizik

Registr rizik je zdrojem pravdy (single source of truth). Každý záznam má mít minimálně tyto položky:

  • ID rizika (stabilní, jedinečné)
  • Název a vyjádření rizika (formát IF–THEN–SO: Pokud příčina, pak událost, což vede k dopadu)
  • Kategorie (strategické, finanční, operační, kybernetické, dodavatelské, regulační, HSE, reputační…)
  • Příčiny a spouštěče (root causes, signály včasného varování)
  • Pravděpodobnost a dopad – inherentní stav (před opatřeními)
  • Mitigace (plánované/opatření v realizaci, vlastnictví, termíny, rozpočet)
  • Pravděpodobnost a dopad – reziduální stav (po opatřeních)
  • Vlastník rizika (odpovědný manažer) a vlastník opatření (realizátor)
  • KRIs (Key Risk Indicators) a prahy/alarmy
  • Stav/tendence (zlepšuje se, stabilní, zhoršuje se) a poslední aktualizace
  • Propojení (na požadavky, změny, závislosti, dodavatele, SLA, požadavky auditu)

Vzorková tabulka registru rizik (ukázkové položky)

ID Rizikové vyjádření (IF–THEN–SO) Kategorie Pin Iin Mitigace (akce, termín, vlastník) Prez Irez Vlastník rizika KRI & práh Stav
R-023 Pokud dodavatel A nezvládne kapacitu, pak dochází k prodlení dodávky kritické součástky, což způsobí 6týdenní skluz projektu. Dodavatelské 4 5 Dvojí sourcing, bezpečnostní sklad (3 týdny), týdenní vendor review – 30.11., S. Kováč 2 3 J. Novák OTIF < 95 % (amber), < 90 % (red) ▼ zlepšuje se

Proces: identifikace rizik

  1. Workshopy a brainstorming: multidisciplinární týmy (byznys, IT, právo, nákup, bezpečnost).
  2. Analýza zdrojů: lessons learned, incidenty, audity, smlouvy, SLA, změnové žádosti.
  3. Mapování závislostí: kritické body, externí závislosti, single points of failure.
  4. Scénáře a prediktivní modely: What-if analýzy, citlivostní analýzy, Monte Carlo simulace pro čas/náklady.

Hodnocení: kvalitativní a kvantitativní

Kvalitativní hodnocení využívá kalibrované škály P a I; kvantitativní přiřazuje hodnotu v € nebo dnech. Pro projekty s velkým kapitálem je vhodné:

  • Časová rizika: PERT/Monte Carlo simulace harmonogramu, výstupem je rozdělení termínů a pravděpodobnost splnění milníků.
  • Finanční rizika: očekávaná hodnota (EMV), Value at Risk (VaR), dopad na EBITDA/NPV.

Heatmapa rizik: vizualizace portfolia

Heatmapa je matice pravděpodobnosti (osa y) a dopadu (osa x). Zobrazuje inherentní i reziduální skóre a umožňuje rychlé cílení mitigací. Typické prahy:

  • Zelená (nízké): akceptovat a monitorovat.
  • Oranžová (střední): selektivně mitigovat, provázat na KRIs.
  • Červená (vysoké): povinné mitigace, eskalace sponzorovi, případně zastavení.

Doporučení: udržovat dvě heatmapy – před a po opatřeních – pro transparentnost efektu mitigací.

Typy mitigací a rozhodovací strategie

  • Vyhnutí se (avoid): změna rozsahu nebo designu, aby riziko nevzniklo.
  • Snížení (reduce): preventivní a detekční kontroly, standardizace, automatizace, testování.
  • Přenos (transfer): pojištění, smluvní klauzule, SLA s penalizací, outsourcing.
  • Akceptace (accept): vědomé přijetí v rámci apetitů; definovat kontingenční rezervy a spouštěče použití.
  • Využití (exploit) u příležitostí: investice k maximalizaci pozitivního dopadu.

Každá mitigace musí mít vlastníka opatření, rozpočet, termín a měřitelný cíl (např. snížit P z 4 na 2).

Vlastníci rizik a řízení odpovědností

Vlastník rizika (risk owner) je manažer schopný ovlivnit příčiny nebo dopad. Odpovídá za kvalitu záznamu, plán mitigací a aktualizace. Vlastník opatření (action owner) realizuje konkrétní kroky. Doporučené role:

  • Sponzor: schvaluje rizikový apetit, eskalace a velké náklady na mitigace.
  • Risk manager: metodika, konzistence škál, facilitace workshopů, reporting a heatmapy.
  • Interní audit/Compliance: nezávislé hodnocení účinnosti kontrol.

KRIs a prahy: včasné varování

KRIs musí být prediktivní, nikoli pouze lagging. Příklady:

  • Dodavatelské: On-Time-In-Full (OTIF), míra reklamačních případů, obrat zásob kritických dílů.
  • Projektové: churn požadavků, burn rate rozpočtu vs. dokončenost WBS, poměr blokujících chyb.
  • Kybernetické: počet neaktuálních kritických assetů, čas na aplikaci patchů, počet detekovaných pokusů o přístup.

Definujte prahy (zelená/oranžová/červená) a automatická eskalační pravidla.

Workflow, revize a eskalace

  1. Týdenní: aktualizace klíčových rizik a opatření na projektových stand-upech.
  2. Měsíční: řídící výbor schvaluje změny priorit, rozpočtů mitigací a výjimky apetitů.
  3. Čtvrtletní: přehodnocení škál, kategorií, KRIs, lessons learned a test krizových scénářů.
  4. Eskalace: červené riziko beze pokroku > 30 dní → automatická eskalace sponzorovi.

Propojení na plánování a řízení výkonu

  • Harmonogram: rizikové rezervy na kritické cestě (časové buffery), kontrolní body.
  • Rozpočet: contingency navázaná na identifikovaná rizika; management reserve na neznámé neznámé.
  • Procurement: nákupní strategie (dvojí sourcing, rámcové smlouvy, SLA).
  • Portfolio: porovnatelné heatmapy projektů pro kapacitní rozhodování.

Reportování a vizualizace

  • Dashboard: top 10 rizik, trend reziduální expozice, stav opatření, vyčerpání rezerv.
  • Heatmapy: stav inherent vs. reziduál, filtr podle kategorií a vlastníka.
  • Burndown rizik: časový graf poklesu součtu RE (nebo EMV) portfolia.
  • Příběh pro vedení: co se změnilo od poslední revize, rozhodnutí, která potřebujeme.

Škálování přístupu podle typu iniciativy

  • Produkty a IT změny: doplnit bezpečnostní/kybernetické modely hrozeb, test plánu obnovy.
  • CAPEX projekty: důraz na dodavatelská, stavební a HSE rizika; kvantifikace pomocí Monte Carlo.
  • Provoz a služby: KRIs v reálném čase, SLA a kaskádování na týmové tabule.

Kontrolní seznam pro zralý plán rizik

  • Jasně definované škály P a I, kalibrace s příklady.
  • Jednoznačné vlastnictví rizik a opatření; nástupnictví pro klíčové role.
  • Propojené KRIs s prahy a automatickou eskalací.
  • Heatmapy pro inherentní i reziduální stav, pravidelná aktualizace.
  • Rozpočtované a sledované mitigace, evidence efektu (změny P/I).
  • Integrace s plánem změn, nákupem a rozpočtem rezerv.
  • Lessons learned cykly a auditovatelná stopa změn v registru.

Šablona vyjádření rizika a definice opatření

Vyjádření rizika (IF–THEN–SO): Pokud [příčina/spouštěč], pak [událost], což vede k [dopad a jeho metrika].

Definice opatření: Akceočekávaný efekt (na P/I)vlastníkrozpočettermínstav/progres.

Governance a soulad (audit, compliance)

  • Politika řízení rizik: schválená představenstvem, stanovuje apetit a povinné prahy.
  • Metodická příručka: definice, škály, příklady, šablony.
  • Kontrolní mechanismy: vzorkování kvality záznamů, nezávislé peer-review kritických rizik.
  • Audit trail: verzování registru, protokol schválení změn a výjimek.

Nástroje a automatizace

  • RMS (Risk Management System) nebo rozšířené PM/PPM nástroje se standardizovanými poli.
  • Propojení na BI: automatická heatmapa, burndown a trend KRIs.
  • Integrace s ticketingem (Jira/ITSM) pro sledování opatření.
  • Alerty (e-mail, chat) při překročení prahů KRIs nebo zhoršení skóre.

Nejčastější chyby a jak se jim vyhnout

  • Popis symptomů místo příčin: používejte root cause analýzu (5× proč, fishbone).
  • Jen deklarativní mitigace: opatření musí mít měřitelný efekt na P/I.
  • Neaktuální registr: nastavte disciplínu revizí a SLA pro aktualizace.
  • Přeplněné heatmapy: prioritizujte podle apetitů; dlouhý ocas sledujte agregovaně přes KRIs.
  • Izolované reporty: sladění s plánem, rozpočtem a změnami je povinné.

Implementační roadmapa (12 týdnů)

  1. Týdny 1–2: politika a škály, š

Súvisiace články

Výdaje samosprávného kraje

Výdaje samosprávného kraje zahrnují náklady na výkon samosprávných funkcí, správu majetku, realizaci sociálně-ekonomického rozvoje a další provozní potřeby, přičemž efektivní řízení těchto výdajů je klíčové pro udržitelný rozvoj území.