Nepřístupný dokument, nutné přihlášení
Input:

Směrnice pro řízení rizik

1.1.2018, , Zdroj: Verlag Dashöfer

5.2.13
Směrnice pro řízení rizik

Mgr. Pavel Bláha

Název organizace:

Směrnice pro řízení rizik č…. /rok

Účel směrnice:

Účelem směrnice je zřízení a funkčnost systému modelu procesu identifikace a řízení rizik a to jednotným způsobem.

Obecná ustanovení o rizicích ve veřejné správě

Zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů
(zákon o finanční kontrole), ve znění pozdějších předpisů

  • § 4 odst. 1 a) a § 25 odst. 4

Vyhláška č. 416/2004 Sb., kterou se provádí zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění zákona č. 309/2002 Sb., zákona č. 320/2002 Sb. a zákona č. 123/2003 Sb.

  • § 9 odst.1

Nařízení rady (ES) č. 1605/2002, kapitola 3, odd. 2, čl. 60 odst. 4

Metodické pokyny CHJ MFČR:

CHJ – 6

  • Závazná pravidla a doporučení řízení rizik v orgánech veřejné správ

CHJ – 8

  • Pokyn ke zpracování plánů činnosti útvary interního auditu na základě analýzy rizik pro strukturální fondy a Fond soudržnosti

Metodická pomůcka k nastavení řídící kontroly podle COSO ERM (Enterprise Risk Management – podnikové řízení rizik) se zaměřením na řízení rizik v orgánech státní správy.

Definice pojmů užívaných v procesu řízení rizik:

Riziko:

CHJ - 6

  1. Je možnost, že při zajišťování činnosti organizace nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění schválených záměrů a cílů organizace.
  2. Stupeň významnosti rizika se určí podle možných nežádoucích dopadů a pravděpodobnosti zapůsobení tohoto rizika.

Standardy pro výkon interního auditu

Riziko je nejistota, zda dojde k určité události, která by mohla mít negativní vliv na plnění stanovených cílů. Riziko se měří podle možných následků a pravděpodobnosti výskytu.

Cíl organizace

Je stanoven zákonem nebo zřizovací listinou. Vedení organizace vynakládá veškeré úsilí ke splnění základního cíle organizace. K realizaci základního cíle stanovuje vedení organizace i dílčí cíle v rámci nastavených procesů v organizaci. Za jejich naplnění a ošetření rizik vznikajících v jejich rámci odpovídají příslušní vedoucí zaměstnanci.

Dopad rizika (dále označen jako D) spočívá v:

  • neplnění, nebo v nedůvodném prodlení se splněním základních cílů organizace, daných zákonem nebo zřizovací listinou,

  • míře ohrožení majetku (hmotného, nehmotného, finančního) organizace,

  • nerespektování zákonů, prováděcích právních předpisů, norem a interních směrnic, vydaných v souladu s právními předpisy ke sjednocení postupů organizace,

  • neplnění závazků organizace a nevymáhání, nebo neúčinné vymáhání pohledávek organizace,

  • neefektivním, neúčelném a nehospodárném nakládání s veřejnými finančními prostředky,

  • výkonu neefektivních nebo neúčelných činností,

  • narušení bezpečnosti chráněných informací a dat,

  • narušení dobrého jména organizace.

Pravděpodobnost (dále označena jako P)

  • je předpokládaná četnost, s jakou mohou rizika v organizaci nastat.

Řízení rizik

Je průběžný, systematický a organizovaný proces organizovaný ředitelem organizace a ostatními vedoucími zaměstnanci, který slouží k tomu, aby:

Včas identifikoval (pojmenoval) možná rizika…Fáze identifikace rizik

Provedl jejich vyhodnocení a analýzu rizik …Fáze vyhodnocení a analýzy rizik

Rozhodl o řízení významných rizik a realizoval je …Fáze řízení rizik

U řízených rizik jejich hodnoty průběžně monitoroval …Fáze monitorování rizik

Ukazatele řízení rizik byly pravidelně vykazovány…Nastavené vykazování o rizicích

Řízení rizik v rámci organizace probíhá průběžně dle modelu procesu identifikace a řízení rizik (viz příloha č. 1 této směrnice).

Rizikový faktor (dále označen jako RF)

Vniká vynásobením hodnot vykázaných pro Dopad rizika a Pravděpodobnost rizika RF = DxP.

Katalog rizik

Je seznam všech identifikovaných rizik seřazený sestupně dle hodnoty rizikového faktoru. Obsahuje dále údaje o charakteru hrozby, celkové úrovni rizika, opatření k řízení rizika a určení vlastníka rizika.

Mapa rizik (viz příloha č. 2 této směrnice)

Představuje grafické vyjádření rizik dle rizikových faktorů.

Komise (výbor) pro řízení rizik

Lze zřídit v členitých nebo velkých organizacích. Skládá se zpravidla z vedoucích zaměstnanců organizace. Dalšími členy bývají koordinátor (manažer) rizik – jako tajemník, případně další pověření zaměstnanci. V čele výboru stojí vedoucí organizace. Na jednání výboru je přizváván vedoucí útvaru IA, nebo interní auditor s pozicí poradní a konzultační. Komise kontroluje a doporučuje řediteli organizace ke schválení celkovou strategii a politiku řízení rizik. Projednává průběžné zprávy z monitorování rizik a přijímá závěry k řízení strategických nebo systémových rizik. V tomto smyslu doporučuje řediteli organizace návrhy na řízení rizik a na určení vlastníků rizik, popř. jejich spoluzodpovědnost za řízení daného rizika a vykazování o něm.

Koordinátor (manažer) řízení rizik

Je písemně pověřený zaměstnanec organizace, kterého pověřuje k této činnosti vedoucí organizace. Koordinuje práce k řízení rizik v rámci organizace, zajišťuje poradenství, konzultace a technickou pomoc pro vedoucí zaměstnance organizace při řízení rizik. V této pozici je přímo podřízen vedoucímu organizace.

Vlastník rizika

Vedoucí útvaru nebo pověřený zaměstnanec útvaru organizace odpovědný za řízení jemu přiděleného rizika. Zodpovídá za průběžné monitorování předěleného rizika a realizace opatření směřujících k ošetření rizika. Monitorování a činnosti vykazuje na kartě rizika (viz příloha č. 3). Dále je odpovědný za vydání varování v případě nebezpeční propuknutí rizika. Varování předává vždy písemně svému bezprostřednímu nadřízenému, koordinátorovi (manažerovi) rizik, případně řediteli organizace.

Úloha interního auditu

Interní audit využívá výstup z fáze analýzy a hodnocení rizik jako podklad pro plánování IA (rizika vysoká – střednědobé a roční plány IA). V rámci realizovaných auditů hodnotí úroveň vnitřního kontrolního systému i s ohledem na vznikající, možná a přetrvávající rizika. Ve spolupráci s vedoucími zaměstnanci navrhuje opatření k ošetření a eliminaci rizik. Poskytuje poradní a konzultační služby koordinátorovi (manažerovi) rizik, případně komisi (výboru) pro řízení rizik.

Odpovědnost za organizování a řízení rizik v organizaci:

  • Řízení rizik je chápáno jako součást vnitřního kontrolního systému v rámci finanční kontroly (viz specifická směrnice č. ……k finanční kontrole), aby došlo ke splnění základních cílů organizace, daných zákonem nebo zřizovací listinou.

  • Ředitel organizace odpovídá za zavedení a udržování vnitřního kontrolního systému tak, aby tento včas zjistil, vyhodnotil a minimalizoval provozní, finanční, právní a jiná rizika.

  • Všichni vedoucí zaměstnanci jako vlastnící rizik jsou povinni v rámci vymezených povinností zajistit fungování vnitřního kontrolního systému a podávat vedoucímu orgánu veřejné správy včasné a spolehlivé informace o vzniku významných rizik při plnění stanovených úkolů a o opatřeních realizovaných k jejich nápravě (proto, aby riziky nevznikla, nebo byla eliminována).

  • Koordinátor (manažer) rizik, je k této činnosti pověřen ředitelem organizace. Koordinuje práce k řízení rizik v rámci organizace a podává hlášení řediteli organizace.

Průběh řízení rizik:

Řízení rizik v organizaci probíhá v následujících fázích:

I. Fáze identifikace rizik

Probíhá minimálně 1x ročně. Řídí ji ve spolupráci s vedoucími zaměstnanci (popř. dalšími pověřenými zaměstnanci) koordinátor (manažer) rizik a to formou řízených rozhovorů nebo dotazníků. Cílem této fáze je s maximální mírou znalostí sestavit nebo aktualizovat seznam možných rizik, jež ohrožují fungování a výkon organizace jako celku, nebo procesů, na jejichž zpracování se daný útvar podílí.

II. Fáze vyhodnocení a analýzy rizik

Vyhodnocení rizik probíhá formou ocenění jednotlivých rizik dle faktorů rizika (dopadu a pravděpodobnosti) jejich vynásobením (D x P = RF). Vzniká tak hodnota rizikového faktoru. Hodnocení je individuálním vyjádřením hodnot ze strany vedoucích a určených zaměstnanců útvaru. Hodnocení probíhá s využitím tabulky pro hodnocení rizik – viz příloha č. 4 této směrnice. Jde o expertní hodnocení zaměstnanci (formou skupinového hodnocení osobami s relevantními a dostatečnými odbornými a profesními znalostmi) – určí příslušný vedoucí ve spolupráci s koordinátorem (manažerem) rizik. Hodnotitelé rizik využívají následující škálu hodnot:

Ohodnotit závažnost (Dopad) a Pravděpodobnost. Zvolit hodnocení známkou v rozsahu následující stupnice:  
Hodnocení Dopad – D Pravděpodobnost – P 
0,1–1,0 Malý  Malá.… do 5 %  
1,1–2,0 Drobný  Drobná…5–40 %  
2,1–3,0 Střední  Střední…40–60 %  
3,1–4,0 Velký  Velká…60–80 %  
4,1–5,0 Velmi vysoký  Velmi vysoká nad 80 %  
Toto hodnocení je individuální expertní pohled každého z hodnotitelů na hodnoty jednotlivých rizik.  

Výstup z fáze hodnocení rizik představuje Seznam hodnocených rizik (viz příloha č. 4 této směrnice). Pro rozčlenění ohodnocených rizik je využíván tzv. Paterův princip 20 : 80. Jde o teorii, která vyjadřuje následující pravidlo. Pokud se podaří vyřešit 20 % nejzávažnějších příčin problémů, má to