dnes je 10.12.2019
Input:

Směrnice pro řízení rizik

11.6.2014, Zdroj: Verlag Dashöfer

5.2.13
Směrnice pro řízení rizik

 

Název organizace:

Směrnice pro řízení rizik č. /rok

 

Účel směrnice:

Účelem směrnice je zřízení a funkčnost systému modelu procesu identifikace a řízení rizik a to jednotným způsobem.

 

Obecná ustanovení o rizicích ve veřejné správě

Zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě

- § 4 odst. 1 a); § 25 odst. 1b) a § 25 odst. 4

 

Vyhláška č. 416/2004 Sb., kterou se provádí zákon o finanční kontrole

- § 9 odst.1

Nařízení rady (ES) č. 1605/2002, kapitola 3, odd. 2, čl. 60 odst. 4

 

Metodické pokyny CHJ MFČR:

CHJ - 6

- Závazná pravidla a doporučení řízení rizik v orgánech veřejné správ

CHJ - 8

- Pokyn ke zpracování plánů činnosti útvary interního auditu na základě analýzy rizik pro strukturální fondy a Fond soudržnosti

Metodická pomůcka k nastavení řídící kontroly podle COSO ERM (Enterprise Risk Management - podnikové řízení rizik) se zaměřením na řízení rizik v orgánech státní správy.

 

Definice pojmů užívaných v procesu řízení rizik:

Riziko:

CHJ - 6

a) Je možnost, že při zajišťování činnosti organizace nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění schválených záměrů a cílů organizace.

b) Stupeň významnosti rizika se určí podle možných nežádoucích dopadů a pravděpodobnosti zapůsobení tohoto rizika.

 

Standardy pro výkon interního auditu

- Riziko je nejistota, zda dojde k určité události, která by mohla mít negativní vliv na plnění stanovených cílů. Riziko se měří podle možných následků a pravděpodobnosti výskytu.

 

Cíl organizace

Je stanoven zákonem nebo zřizovací listinou. Vedení organizace vynakládá veškeré úsilí ke splnění základního cíle organizace. K realizaci základního cíle stanovuje vedení organizace i dílčí cíle v rámci nastavených procesů v organizaci. Za jejich naplnění a ošetření rizik vznikajících v jejich rámci odpovídají příslušní vedoucí zaměstnanci.

 

Dopad rizika (dále označen jako D) spočívá v:

- neplnění, nebo v nedůvodném prodlení se splněním základních cílů organizace, daných zákonem nebo zřizovací listinou,

- míře ohrožení majetku ( hmotného, nehmotného, finančního) organizace,

- nerespektování zákonů, prováděcích právních předpisů, norem a interních směrnic, vydaných v souladu s právními předpisy ke sjednocení postupů organizace,

- neplnění závazků organizace a nevymáhání, nebo neúčinné vymáhání pohledávek organizace,

- neefektivním, neúčelném a nehospodárném nakládání s veřejnými finančními prostředky,

- výkonu neefektivních nebo neúčelných činností,

- narušení bezpečnosti chráněných informací a dat,

- narušení dobrého jména organizace.

 

Pravděpodobnost (dále označena jako P)

o je předpokládaná četnost, s jakou mohou rizika v organizaci nastat.

 

Řízení rizik

Je průběžný, systematický a organizovaný proces organizovaný ředitelem organizace a ostatními vedoucími zaměstnanci, který slouží k tomu, aby:

 

Včas identifikoval ( pojmenoval ) možná rizika Fáze identifikace rizik

Provedl jejich vyhodnocení a analýzu rizik Fáze vyhodnocení a analýzy rizik

Rozhodl o řízení významných rizik a realizoval je Fáze řízení rizik

U řízených rizik jejich hodnoty průběžně monitoroval Fáze monitorování rizik

Ukazatele řízení rizik byly pravidelně vykazovány Nastavené vykazování o rizicích

Řízení rizik v rámci organizace probíhá průběžně dle modelu procesu identifikace a řízení rizik (viz příloha č. 1 této směrnice).

 

Rizikový faktor (dále označen jako RF)

Vniká vynásobením hodnot vykázaných pro Dopad rizika a Pravděpodobnost rizika RF= DxP.

 

Katalog rizik

Je seznam všech identifikovaných rizik seřazený sestupně dle hodnoty rizikového faktoru. Obsahuje dále údaje o charakteru hrozby, celkové úrovni rizika, opatření k řízení rizika a určení vlastníka rizika.

 

Mapa rizik (viz příloha č. 2 této směrnice)

Představuje grafické vyjádření rizik dle rizikových faktorů.

 

Komise (výbor) pro řízení rizik

Lze zřídit v členitých nebo velkých organizacích. Skládá se zpravidla z vedoucích zaměstnanců organizace. Dalšími členy bývají koordinátor (manažer) rizik - jako tajemník, případně další pověření zaměstnanci. V čele výboru stojí vedoucí organizace. Na jednání výboru je přizváván vedoucí útvaru IA, nebo interní auditor s pozicí poradní a konzultační. Komise kontroluje a doporučuje řediteli organizace ke schválení celkovou strategii a politiku řízení rizik. Projednává průběžné zprávy z monitorování rizik a přijímá závěry k řízení strategických nebo systémových rizik. V tomto smyslu doporučuje řediteli organizace návrhy na řízení rizik a na určení vlastníků rizik, popř. jejich spoluzodpovědnost za řízení daného rizika a vykazování o něm.

 

Koordinátor (manažer) řízení rizik

Je písemně pověřený zaměstnanec organizace, kterého pověřuje k této činnosti vedoucí organizace. Koordinuje práce k řízení rizik v rámci organizace, zajišťuje poradenství, konzultace a technickou pomoc pro vedoucí zaměstnance organizace při řízení rizik. V této pozici je přímo podřízen vedoucímu organizace.

 

Vlastník rizika

Vedoucí útvaru nebo pověřený zaměstnanec útvaru organizace odpovědný za řízení jemu přiděleného rizika. Zodpovídá za průběžné monitorování předěleného rizika a realizace opatření směřujících k ošetření rizika. Monitorování a činnosti vykazuje na kartě rizika (viz příloha č. 3). Dále je odpovědný za vydání varování v případě nebezpeční propuknutí rizika. Varování předává vždy písemně svému bezprostřednímu nadřízenému, koordinátorovi (manažerovi) rizik, případně řediteli organizace.

 

Úloha interního auditu

Interní audit využívá výstup z fáze analýzy a hodnocení rizik jako podklad pro plánování IA (rizika vysoká - střednědobé a roční plány IA). V rámci realizovaných auditů hodnotí úroveň vnitřního kontrolního systému i s ohledem na vznikající, možná a přetrvávající rizika. Ve spolupráci s vedoucími zaměstnanci navrhuje opatření k ošetření a eliminaci rizik. Poskytuje poradní a konzultační služby koordinátorovi (manažerovi) rizik, případně komisi (výboru) pro řízení rizik.

 

Odpovědnost za organizování a řízení rizik v organizaci:

- Řízení rizik je chápáno jako součást vnitřního kontrolního systému v rámci finanční kontroly (viz specifická směrnice č. ......k finanční kontrole), aby došlo ke splnění základních cílů organizace, daných zákonem nebo zřizovací listinou.

- Ředitel organizace odpovídá za zavedení a udržování vnitřního kontrolního systému tak, aby tento včas zjistil, vyhodnotil a minimalizoval provozní, finanční, právní a jiná rizika.

- Všichni vedoucí zaměstnanci jako vlastnící rizik jsou povinni v rámci vymezených povinností zajistit fungování vnitřního kontrolního systému a podávat vedoucímu orgánu veřejné správy včasné a spolehlivé informace o vzniku významných rizik při plnění stanovených úkolů a o opatřeních realizovaných k jejich nápravě (proto, aby riziky nevznikla, nebo byla eliminována).

- Koordinátor (manažer) rizik, je k této činnosti pověřen ředitelem organizace. Koordinuje práce k řízení rizik v rámci organizace a podává hlášení řediteli organizace.

 

Průběh řízení rizik:

Řízení rizik v organizaci probíhá v následujících fázích:

I. Fáze identifikace rizik

- Probíhá minimálně 1x ročně. Řídí ji ve spolupráci s vedoucími zaměstnanci (popř. dalšími pověřenými zaměstnanci) koordinátor (manažer) rizik a to formou řízených rozhovorů nebo dotazníků. Cílem této fáze je s maximální mírou znalostí sestavit nebo aktualizovat seznam možných rizik, jež ohrožují fungování a výkon organizace jako celku, nebo procesů, na jejichž zpracování se daný útvar podílí.

Fáze vyhodnocení a analýzy rizik

- Vyhodnocení rizik probíhá formou ocenění jednotlivých rizik dle faktorů rizika (dopadu a pravděpodobnosti) jejich vynásobením (D x P = RF). Vzniká tak hodnota rizikového faktoru. Hodnocení je individuálním vyjádřením hodnot ze strany vedoucích a určených zaměstnanců útvaru. Hodnocení probíhá s využitím tabulky pro hodnocení rizik - viz příloha č. 4 této směrnice. Jde o expertní hodnocení zaměstnanci (formou skupinového hodnocení osobami s relevantními a dostatečnými odbornými a profesními znalostmi) - určí příslušný vedoucí ve spolupráci s koordinátorem (manažerem) rizik. Hodnotitelé rizik využívají následující škálu hodnot:

Ohodnotit závažnost (Dopad) a Pravděpodobnost. Zvolit hodnocení známkou v rozsahu následující stupnice:

 

Hodnocení

Dopad - D

Pravděpodobnost - P

0,1 - 1,0

Malý

Malá do 5%

1,1 - 2,0

Drobný

Drobná 5 - 40%

2,1 - 3,0

Střední

Střední 40 - 60%

3,1 - 4,0

Velký

Velká 60 - 80%

4,1 - 5,0

Velmi vysoký

Velmi vysoká nad 80%