Název organizace:
Směrnice pro řízení rizik
č. /rok
Účel směrnice:
Účelem směrnice je zřízení a funkčnost systému modelu procesu
identifikace a řízení rizik a to jednotným způsobem.
Obecná ustanovení o rizicích ve veřejné správě
Zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě
- § 4 odst. 1 a);
§ 25 odst. 1b) a § 25 odst. 4
Vyhláška č. 416/2004 Sb., kterou se provádí zákon o finanční
kontrole
- § 9 odst.1
Nařízení rady (ES) č. 1605/2002, kapitola 3, odd. 2, čl. 60
odst. 4
Metodické pokyny CHJ MFČR:
CHJ - 6
- Závazná
pravidla a doporučení řízení rizik v orgánech veřejné správ
CHJ - 8
- Pokyn ke
zpracování plánů činnosti útvary interního auditu na základě analýzy rizik pro
strukturální fondy a Fond soudržnosti
Metodická pomůcka k nastavení řídící
kontroly podle COSO ERM (Enterprise Risk Management - podnikové řízení rizik)
se zaměřením na řízení rizik v orgánech státní správy.
Definice pojmů užívaných v procesu řízení
rizik:
Riziko:
CHJ - 6
a) Je možnost, že při zajišťování činnosti organizace nastane určitá událost, jednání nebo stav s následnými nežádoucími
dopady na plnění schválených záměrů a cílů organizace.
b) Stupeň významnosti rizika se určí podle možných nežádoucích
dopadů a pravděpodobnosti zapůsobení tohoto rizika.
Standardy pro výkon interního auditu
- Riziko je nejistota,
zda dojde k určité události, která by mohla mít negativní vliv na plnění
stanovených cílů. Riziko se měří podle možných následků a pravděpodobnosti výskytu.
Cíl organizace
Je stanoven zákonem nebo zřizovací listinou. Vedení
organizace vynakládá veškeré úsilí ke splnění základního cíle organizace. K
realizaci základního cíle stanovuje vedení organizace i dílčí cíle v rámci
nastavených procesů v organizaci. Za jejich naplnění a ošetření rizik
vznikajících v jejich rámci odpovídají příslušní vedoucí zaměstnanci.
Dopad rizika (dále označen jako D) spočívá v:
- neplnění, nebo
v nedůvodném prodlení se splněním základních cílů organizace, daných
zákonem nebo zřizovací listinou,
- míře ohrožení
majetku ( hmotného, nehmotného, finančního) organizace,
- nerespektování
zákonů, prováděcích právních předpisů, norem a interních směrnic, vydaných
v souladu s právními předpisy ke sjednocení postupů organizace,
- neplnění závazků
organizace a nevymáhání, nebo neúčinné vymáhání pohledávek organizace,
- neefektivním,
neúčelném a nehospodárném nakládání s veřejnými finančními prostředky,
- výkonu
neefektivních nebo neúčelných činností,
- narušení bezpečnosti
chráněných informací a dat,
- narušení
dobrého jména organizace.
Pravděpodobnost (dále označena jako P)
o je předpokládaná četnost, s jakou
mohou rizika v organizaci nastat.
Řízení rizik
Je průběžný, systematický a organizovaný proces organizovaný ředitelem
organizace a ostatními vedoucími zaměstnanci, který slouží k tomu, aby:
Včas identifikoval ( pojmenoval ) možná rizika Fáze identifikace rizik
Provedl jejich vyhodnocení a analýzu rizik Fáze vyhodnocení a analýzy
rizik
Rozhodl o řízení významných rizik a realizoval je Fáze řízení rizik
U řízených rizik jejich hodnoty průběžně monitoroval Fáze monitorování rizik
Ukazatele řízení rizik byly pravidelně vykazovány Nastavené vykazování o rizicích
Řízení rizik v rámci organizace
probíhá průběžně dle modelu procesu identifikace a řízení rizik (viz příloha č.
1 této směrnice).
Rizikový faktor (dále označen jako RF)
Vniká vynásobením hodnot vykázaných pro Dopad rizika a Pravděpodobnost
rizika RF= DxP.
Katalog rizik
Je seznam všech identifikovaných rizik seřazený
sestupně dle hodnoty rizikového faktoru. Obsahuje dále údaje o charakteru
hrozby, celkové úrovni rizika, opatření k řízení rizika a určení vlastníka
rizika.
Mapa rizik (viz příloha č. 2 této směrnice)
Představuje grafické vyjádření rizik dle rizikových faktorů.
Komise (výbor) pro řízení
rizik
Lze zřídit v členitých nebo velkých
organizacích. Skládá se zpravidla z vedoucích zaměstnanců organizace. Dalšími
členy bývají koordinátor (manažer) rizik - jako tajemník, případně další pověření
zaměstnanci. V čele výboru stojí vedoucí organizace. Na jednání výboru je
přizváván vedoucí útvaru IA, nebo interní auditor s pozicí poradní a
konzultační. Komise kontroluje a doporučuje řediteli organizace ke schválení
celkovou strategii a politiku řízení rizik. Projednává průběžné zprávy
z monitorování rizik a přijímá závěry k řízení strategických nebo
systémových rizik. V tomto smyslu doporučuje řediteli organizace návrhy na
řízení rizik a na určení vlastníků rizik, popř. jejich spoluzodpovědnost za řízení
daného rizika a vykazování o něm.
Koordinátor (manažer) řízení rizik
Je písemně pověřený zaměstnanec
organizace, kterého pověřuje k této činnosti vedoucí organizace.
Koordinuje práce k řízení rizik v rámci organizace, zajišťuje
poradenství, konzultace a technickou pomoc pro vedoucí zaměstnance organizace při
řízení rizik. V této pozici je přímo podřízen vedoucímu organizace.
Vlastník rizika
Vedoucí útvaru nebo pověřený zaměstnanec
útvaru organizace odpovědný za řízení jemu přiděleného rizika. Zodpovídá za průběžné
monitorování předěleného rizika a realizace opatření směřujících k ošetření
rizika. Monitorování a činnosti vykazuje na kartě rizika (viz příloha č. 3).
Dále je odpovědný za vydání varování v případě nebezpeční propuknutí
rizika. Varování předává vždy písemně svému bezprostřednímu nadřízenému,
koordinátorovi (manažerovi) rizik, případně řediteli organizace.
Úloha interního auditu
Interní audit využívá výstup z fáze
analýzy a hodnocení rizik jako podklad pro plánování IA (rizika vysoká - střednědobé
a roční plány IA). V rámci realizovaných auditů hodnotí úroveň vnitřního
kontrolního systému i s ohledem na vznikající, možná a přetrvávající
rizika. Ve spolupráci s vedoucími zaměstnanci navrhuje opatření k ošetření
a eliminaci rizik. Poskytuje poradní a konzultační služby koordinátorovi (manažerovi)
rizik, případně komisi (výboru) pro řízení rizik.
Odpovědnost za
organizování a řízení rizik v organizaci:
- Řízení rizik je chápáno jako součást
vnitřního kontrolního systému v rámci finanční kontroly (viz specifická směrnice
č. ......k finanční kontrole), aby došlo ke splnění základních cílů
organizace, daných zákonem nebo zřizovací listinou.
- Ředitel organizace odpovídá za zavedení
a udržování vnitřního kontrolního systému tak, aby tento včas zjistil, vyhodnotil
a minimalizoval provozní, finanční, právní a jiná rizika.
- Všichni vedoucí zaměstnanci jako
vlastnící rizik jsou povinni v rámci vymezených povinností zajistit fungování
vnitřního kontrolního systému a podávat vedoucímu orgánu veřejné správy včasné
a spolehlivé informace o vzniku významných rizik při plnění stanovených úkolů a
o opatřeních realizovaných k jejich nápravě (proto, aby riziky nevznikla,
nebo byla eliminována).
- Koordinátor (manažer) rizik, je
k této činnosti pověřen ředitelem organizace. Koordinuje práce k řízení
rizik v rámci organizace a podává hlášení řediteli organizace.
Průběh řízení rizik:
Řízení rizik v organizaci probíhá
v následujících fázích:
I. Fáze identifikace rizik
- Probíhá minimálně 1x ročně. Řídí ji ve
spolupráci s vedoucími zaměstnanci (popř. dalšími pověřenými zaměstnanci)
koordinátor (manažer) rizik a to formou řízených rozhovorů nebo dotazníků.
Cílem této fáze je s maximální mírou znalostí sestavit nebo aktualizovat
seznam možných rizik, jež ohrožují fungování a výkon organizace jako celku,
nebo procesů, na jejichž zpracování se daný útvar podílí.
Fáze vyhodnocení a
analýzy rizik
- Vyhodnocení
rizik probíhá formou ocenění jednotlivých rizik dle faktorů rizika (dopadu a
pravděpodobnosti) jejich vynásobením (D x P = RF). Vzniká tak hodnota
rizikového faktoru. Hodnocení je individuálním vyjádřením hodnot ze strany
vedoucích a určených zaměstnanců útvaru. Hodnocení probíhá s využitím
tabulky pro hodnocení rizik - viz příloha č. 4 této směrnice. Jde o expertní
hodnocení zaměstnanci (formou skupinového hodnocení osobami s relevantními
a dostatečnými odbornými a profesními znalostmi) - určí příslušný vedoucí ve
spolupráci s koordinátorem (manažerem) rizik. Hodnotitelé rizik využívají
následující škálu hodnot: