5.2.13
Směrnice pro řízení rizik
Mgr. Pavel Bláha
Název organizace:
Směrnice pro řízení rizik č…. /rok
Účel směrnice:
Účelem směrnice je zřízení a funkčnost systému modelu procesu identifikace a řízení rizik a to jednotným způsobem.
Obecná ustanovení o rizicích ve veřejné správě
Zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů
(zákon o finanční kontrole), ve znění pozdějších předpisů
Vyhláška č. 416/2004 Sb., kterou se provádí zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění zákona č. 309/2002 Sb., zákona č. 320/2002 Sb. a zákona č. 123/2003 Sb.
Nařízení rady (ES) č. 1605/2002, kapitola 3, odd. 2, čl. 60 odst. 4
Metodické pokyny CHJ MFČR:
CHJ – 6
CHJ – 8
Metodická pomůcka k nastavení řídící kontroly podle COSO ERM (Enterprise Risk Management – podnikové řízení rizik) se zaměřením na řízení rizik v orgánech státní správy.
Definice pojmů užívaných v procesu řízení rizik:
Riziko:
CHJ - 6
- Je možnost, že při zajišťování činnosti organizace nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění schválených záměrů a cílů organizace.
- Stupeň významnosti rizika se určí podle možných nežádoucích dopadů a pravděpodobnosti zapůsobení tohoto rizika.
Standardy pro výkon interního auditu
Riziko je nejistota, zda dojde k určité události, která by mohla mít negativní vliv na plnění stanovených cílů. Riziko se měří podle možných následků a pravděpodobnosti výskytu.
Cíl organizace
Je stanoven zákonem nebo zřizovací listinou. Vedení organizace vynakládá veškeré úsilí ke splnění základního cíle organizace. K realizaci základního cíle stanovuje vedení organizace i dílčí cíle v rámci nastavených procesů v organizaci. Za jejich naplnění a ošetření rizik vznikajících v jejich rámci odpovídají příslušní vedoucí zaměstnanci.
Dopad rizika (dále označen jako D) spočívá v:
-
neplnění, nebo v nedůvodném prodlení se splněním základních cílů organizace, daných zákonem nebo zřizovací listinou,
-
míře ohrožení majetku (hmotného, nehmotného, finančního) organizace,
-
nerespektování zákonů, prováděcích právních předpisů, norem a interních směrnic, vydaných v souladu s právními předpisy ke sjednocení postupů organizace,
-
neplnění závazků organizace a nevymáhání, nebo neúčinné vymáhání pohledávek organizace,
-
neefektivním, neúčelném a nehospodárném nakládání s veřejnými finančními prostředky,
-
výkonu neefektivních nebo neúčelných činností,
-
narušení bezpečnosti chráněných informací a dat,
-
narušení dobrého jména organizace.
Pravděpodobnost (dále označena jako P)
Řízení rizik
Je průběžný, systematický a organizovaný proces organizovaný ředitelem organizace a ostatními vedoucími zaměstnanci, který slouží k tomu, aby:
Včas identifikoval (pojmenoval) možná rizika…Fáze identifikace rizik
Provedl jejich vyhodnocení a analýzu rizik …Fáze vyhodnocení a analýzy rizik
Rozhodl o řízení významných rizik a realizoval je …Fáze řízení rizik
U řízených rizik jejich hodnoty průběžně monitoroval …Fáze monitorování rizik
Ukazatele řízení rizik byly pravidelně vykazovány…Nastavené vykazování o rizicích
Řízení rizik v rámci organizace probíhá průběžně dle modelu procesu identifikace a řízení rizik (viz příloha č. 1 této směrnice).
Rizikový faktor (dále označen jako RF)
Vniká vynásobením hodnot vykázaných pro Dopad rizika a Pravděpodobnost rizika RF = DxP.
Katalog rizik
Je seznam všech identifikovaných rizik seřazený sestupně dle hodnoty rizikového faktoru. Obsahuje dále údaje o charakteru hrozby, celkové úrovni rizika, opatření k řízení rizika a určení vlastníka rizika.
Mapa rizik (viz příloha č. 2 této směrnice)
Představuje grafické vyjádření rizik dle rizikových faktorů.
Komise (výbor) pro řízení rizik
Lze zřídit v členitých nebo velkých organizacích. Skládá se zpravidla z vedoucích zaměstnanců organizace. Dalšími členy bývají koordinátor (manažer) rizik – jako tajemník, případně další pověření zaměstnanci. V čele výboru stojí vedoucí organizace. Na jednání výboru je přizváván vedoucí útvaru IA, nebo interní auditor s pozicí poradní a konzultační. Komise kontroluje a doporučuje řediteli organizace ke schválení celkovou strategii a politiku řízení rizik. Projednává průběžné zprávy z monitorování rizik a přijímá závěry k řízení strategických nebo systémových rizik. V tomto smyslu doporučuje řediteli organizace návrhy na řízení rizik a na určení vlastníků rizik, popř. jejich spoluzodpovědnost za řízení daného rizika a vykazování o něm.
Koordinátor (manažer) řízení rizik
Je písemně pověřený zaměstnanec organizace, kterého pověřuje k této činnosti vedoucí organizace. Koordinuje práce k řízení rizik v rámci organizace, zajišťuje poradenství, konzultace a technickou pomoc pro vedoucí zaměstnance organizace při řízení rizik. V této pozici je přímo podřízen vedoucímu organizace.
Vlastník rizika
Vedoucí útvaru nebo pověřený zaměstnanec útvaru organizace odpovědný za řízení jemu přiděleného rizika. Zodpovídá za průběžné monitorování předěleného rizika a realizace opatření směřujících k ošetření rizika. Monitorování a činnosti vykazuje na kartě rizika (viz příloha č. 3). Dále je odpovědný za vydání varování v případě nebezpeční propuknutí rizika. Varování předává vždy písemně svému bezprostřednímu nadřízenému, koordinátorovi (manažerovi) rizik, případně řediteli organizace.
Úloha interního auditu
Interní audit využívá výstup z fáze analýzy a hodnocení rizik jako podklad pro plánování IA (rizika vysoká – střednědobé a roční plány IA). V rámci realizovaných auditů hodnotí úroveň vnitřního kontrolního systému i s ohledem na vznikající, možná a přetrvávající rizika. Ve spolupráci s vedoucími zaměstnanci navrhuje opatření k ošetření a eliminaci rizik. Poskytuje poradní a konzultační služby koordinátorovi (manažerovi) rizik, případně komisi (výboru) pro řízení rizik.
Odpovědnost za organizování a řízení rizik v organizaci:
-
Řízení rizik je chápáno jako součást vnitřního kontrolního systému v rámci finanční kontroly (viz specifická směrnice č. ……k finanční kontrole), aby došlo ke splnění základních cílů organizace, daných zákonem nebo zřizovací listinou.
-
Ředitel organizace odpovídá za zavedení a udržování vnitřního kontrolního systému tak, aby tento včas zjistil, vyhodnotil a minimalizoval provozní, finanční, právní a jiná rizika.
-
Všichni vedoucí zaměstnanci jako vlastnící rizik jsou povinni v rámci vymezených povinností zajistit fungování vnitřního kontrolního systému a podávat vedoucímu orgánu veřejné správy včasné a spolehlivé informace o vzniku významných rizik při plnění stanovených úkolů a o opatřeních realizovaných k jejich nápravě (proto, aby riziky nevznikla, nebo byla eliminována).
-
Koordinátor (manažer) rizik, je k této činnosti pověřen ředitelem organizace. Koordinuje práce k řízení rizik v rámci organizace a podává hlášení řediteli organizace.
Průběh řízení rizik:
Řízení rizik v organizaci probíhá v následujících fázích:
I. Fáze identifikace rizik
Probíhá minimálně 1x ročně. Řídí ji ve spolupráci s vedoucími zaměstnanci (popř. dalšími pověřenými zaměstnanci) koordinátor (manažer) rizik a to formou řízených rozhovorů nebo dotazníků. Cílem této fáze je s maximální mírou znalostí sestavit nebo aktualizovat seznam možných rizik, jež ohrožují fungování a výkon organizace jako celku, nebo procesů, na jejichž zpracování se daný útvar podílí.
II. Fáze vyhodnocení a analýzy rizik
Vyhodnocení rizik probíhá formou ocenění jednotlivých rizik dle faktorů rizika (dopadu a pravděpodobnosti) jejich vynásobením (D x P = RF). Vzniká tak hodnota rizikového faktoru. Hodnocení je individuálním vyjádřením hodnot ze strany vedoucích a určených zaměstnanců útvaru. Hodnocení probíhá s využitím tabulky pro hodnocení rizik – viz příloha č. 4 této směrnice. Jde o expertní hodnocení zaměstnanci (formou skupinového hodnocení osobami s relevantními a dostatečnými odbornými a profesními znalostmi) – určí příslušný vedoucí ve spolupráci s koordinátorem (manažerem) rizik. Hodnotitelé rizik využívají následující škálu hodnot:
Výstup z fáze hodnocení rizik představuje Seznam hodnocených rizik (viz příloha č. 4 této směrnice). Pro rozčlenění ohodnocených rizik je využíván tzv. Paterův princip 20 : 80. Jde o teorii, která vyjadřuje následující pravidlo. Pokud se podaří vyřešit 20 % nejzávažnějších příčin problémů, má to…