Publikováno: 14. dubna 2021

Při práci s riziky se můžete setkat s pojmy, které se často používají jako synonyma, nicméně je důležité si uvědomit rozdíly mezi nimi a jak spolu vzájemně souvisí. V praxi si tak ušetříte zbytečná nedorozumění a (možná) nesplněná očekávání a/nebo zbytečné výdaje.

Pojďme si tedy vysvětlit, co který znamená:

Analýza rizik (risk analysis) – metodika (model) sloužící k vyčíslení potenciálních dopadů na aktiva společnosti, případně k vyčíslení efektu opatření ke snížení rizika. 

Odpovídá na otázky: Jak velké riziko hrozí našemu aktivu A od hrozby H? Jaký dopad bude mít opatření O na riziko R? Je lepší investovat do opatření O1, nebo O2, když chci snižovat riziko R?

Posouzení rizik (risk assessment) – proces sloužící pro identifikaci rizik pro aktiva společnosti a jejich vyčíslení. Dále identifikuje existující opatření a případnou potřebu nových opatření, která snižují dopady hrozeb na aktiva a srovnává jejich efektivitu. Český výraz se prakticky nepoužívá a zaměňuje se s analýzou.

Odpovídá na otázky: Jaká jsou naše klíčová aktiva? Jaká rizika ohrožují naše aktiva? Kdo nás ohrožuje? Jaká opatření jsou finančně výhodná pro snížení rizika? Jaký bude dopad (snížení rizika) těchto opatření?

Řízení rizik (risk management) – jedná se o kombinaci lidí, procesů a technologií, která organizaci umožňuje nákladově efektivně dosáhnout a udržet přijatelnou úroveň potenciálních ztrát.

Odpovídá na otázky: Jaké riziko je pro nás přijatelné? Jak se vzájemně ovlivňují známá rizika a přijatá/plánovaná opatření? Investujeme naše zdroje efektivně? Funguje to podle očekávání? Je to v souladu s firemní strategií? Co je potřeba zlepšit?

Když to shrnu do jedné věty – v rámci řízení rizik je potřeba posuzovat jednotlivá rizika tak, že je identifikujeme, zanalyzujeme a navrhneme řešení.

Analýza rizik je tedy jedním z kroků posuzování rizik, což je jednou z komponent řízení rizik. Z toho vyplývá, že pokud analýza není udělána dobře, resp. její výstupy nejsou použitelné pro smysluplné měření finančních dopadů, následné řízení rizik a bezpečnosti obecne nemůže fungovat efektivně.