§ 4 ODST. 1 ZÁKONA O FINANČNÍ KONTROLE
CÍL FINANČNÍ KONTROLY


Mezi hlavní cíle systému finanční kontroly je zařazeno zajištění ochrany veřejných prostředků proti rizikům, nesrovnalostem nebo jiným nedostatkům způsobeným zejména porušením právních předpisů, nehospodárným, neúčelným a neefektivním nakládáním s veřejnými prostředky nebo trestnou činností. Systém řízení rizik je součástí vnitřního kontrolního systému. Tento řídicí a kontrolní mechanismus má orgán veřejné správy povinnost zavést k ošetření rizik, která ohrožují plnění jeho úkolů, a k poskytnutí přiměřeného ujištění, že je s veřejnými prostředky nakládáno účelně, hospodárně a efektivně.

§ 25 ODST. 1 ZÁKONA O FINANČNÍ KONTROLE
ODPOVĚDNOST VEDOUCÍHO ORGÁNU VEŘEJNÉ SPRÁVY


Vedoucí orgánu veřejné správy je v rámci své odpovědnosti povinen v tomto orgánu zavést a udržovat vnitřní kontrolní systém, který je způsobilý včas zjišťovat, vyhodnocovat a minimalizovat rizika vznikající v souvislosti s plněním schválených záměrů a cílů orgánu veřejné správy. Odpovědnost za zavedení systému řízení rizik ukládá zákon o finanční kontrole vedoucímu orgánu veřejné správy. V rámci své odpovědnosti vedoucí orgánu veřejné správy zajistí stanovení odpovídajících pravomocí a odpovědností vedoucích a ostatních zaměstnanců, například prostřednictvím vnitřní směrnice o řízení rizik. V případě nefunkčnosti systému řízení rizik je vedoucí orgánu veřejné správy povinen přijmout nezbytná nápravná opatření.

§ 28 ODST. 2 A 3 ZÁKONA Č. 320/2001 SB.
ODPOVĚDNOST INTERNÍHO AUDITU


Útvar interního auditu nebo pověřený interní auditor provádí mimo jiné nezávislé a objektivní přezkoumávání, zda rizika vztahující se k činnosti orgánu veřejné správy jsou včas rozpoznávána a zda jsou přijímána odpovídající opatření k jejich vyloučení nebo zmírnění. Na základě svých zjištění předkládá útvar interního auditu vedoucímu orgánu veřejné správy doporučení k předcházení nebo ke zmírnění rizik.

Interní audit je nástrojem pro ověření funkčnosti systému řízení rizik. TO znamená, že nemůže být aktivně zapojen do vytváření a nastavování systému řízení rizik. V opačném případě by jeho ověření nebylo nezávislé. Interní auditor vytváří vlastní mapu rizik orgánu veřejné správy, která slouží k vytváření plánu interního auditu.

§ 10 A NÁSL. VYHLÁŠKY Č. 416/2004 SB.
ODPOVĚDNOST PŘÍKAZCE OPERACE, SPRÁVCE ROZPOČTU A HLAVNÍ ÚČETNÍ


Při schvalování výdajových a příjmových operací orgánu veřejné správy ověřuje související rizika příkazce operace, správce rozpočtu a hlavní účetní.

Příkazce operace v rámci své odpovědnosti ověřuje rizika, která se při uskutečňování připravované operace mohou vyskytnout. Navrhuje opatření ke zmírnění těchto rizik a upozorňuje na ně osobu nebo orgán, který o operaci rozhoduje.

Správce rozpočtu v rámci své odpovědnosti ověřuje rozpočtová rizika, která se při uskutečnění operace mohou vyskytnout.

Hlavní účetní v rámci své odpovědnosti ověřuje účetní rizika, která se při uskutečnění operace mohou vyskytnout.

SHRNUTÍ
• Orgán veřejné správy má povinnost nastavit systém řízení rizik.
• Systém řízení rizik poskytuje orgánu veřejné správy ujištění o účelném, hospodárném a efektivním nakládání s veřejnými prostředky.
• Zákon nestanoví formální požadavky na fungování systému řízení rizik.
• Orgán veřejné správy přizpůsobí systém řízení rizik činnosti, kterou vykonává a své organizační struktuře.
• Odpovědnost za nastavení systému řízení rizik nese vedoucí orgánu veřejné správy.
• Vedoucí orgánu veřejné správy nastaví pravomoci a odpovědnosti zaměstnanců při řízení rizik.
• Systém řízení rizik nesmí nastavovat interní auditor.
• Řízení rizik souvisejících s konkrétní operací se ověřuje v rámci schvalovacích procesů řídicí kontroly k této operaci.

Čl. 1
Předmět úpravy

Tato směrnice, v souladu s požadavky zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů, vyhlášky č. 416/2004 Sb., kterou se provádí zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění zákona č. 309/2002 Sb., zákona č. 320/2002 Sb. a zákona č. 123/2003 Sb., ve znění vyhlášky č. 247/2018 Sb. a vyhlášky č. 24/2020 Sb., a v souladu s ustanovením § 101 a násl. zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, stanoví postupy pro řízení rizik orgánu veřejné správy. Směrnice se použije na všechna rizika ohrožující naplňování úkolů orgánu veřejné správy, zejména na rizika provozní, finanční, personální, právní a korupční.

 

Čl. 2
Vymezení pojmů

Pro účely této směrnice se rozumí:

a)     rizikem potenciální událost v budoucnosti, která může ohrozit nebo negativně ovlivnit plnění úkolů orgánu veřejné správy,

b)     pravděpodobností rizika míra pravděpodobnosti výskytu rizikové události v budoucnosti měřená na škále 1-5 (1 nejméně pravděpodobné, 5 nejvíce pravděpodobné),

c)      dopadem rizika rozsah negativního dopadu či ztráty, která může orgánu veřejné správy vzniknout v případě výskytu rizikové události; lze do něj zahrnout jak přímé finanční ztráty či dodatečné náklady, tak i dopady nefinančního charakteru, např. snížení kvality služeb pro občany atd.; dopad rizika se měří na škále 1-5 (1 nejmenší negativní dopad, 5 největší negativní dopad),

d)     významností rizika relativní důležitost rizika pro orgán veřejné správy, která je vyjádřena součinem pravděpodobnosti rizika a dopadu rizika (1-8 nízká míra významnosti rizika, 9-14 střední míra významnosti rizika, 15-25 vysoká míra významnosti rizika),

e)     řízením rizik soustavná činnost, jejímž cílem je omezit pravděpodobnost výskytu rizik nebo snížit jejich dopad; řízení rizik je nedílnou součástí každého rozhodování v orgánu veřejné správy.

 

Čl. 3
Úrovně řízení rizik

1.      Vedoucí zaměstnanci podle čl. X Organizačního řádu (dále jen „vedoucí zaměstnanci") mají povinnost identifikovat a vyhodnocovat rizika související s úkoly, které jsou jim svěřeny, a přijímat opatření k jejich zmírnění nebo vyloučení (dále jen „opatření").

2.      V případě, že vedoucí zaměstnanec na příslušném stupni řízení nedisponuje nástroji a pravomocemi, které jsou nezbytné pro přijetí opatření, je příslušný vedoucí zaměstnanec povinen o tom prokazatelně informovat svého přímého nadřízeného vedoucího zaměstnance a navrhnout mu vhodná opatření.

3.      Vrcholové vedení orgánu veřejné správy v přímé řídící působnosti vedoucího orgánu veřejné správy má povinnost neprodleně

a)     informovat vedoucího orgánu veřejné správy o rizicích, která mají dopad na plnění zásadních úkolů orgánu veřejné správy a u nichž musí být přijímána opatření na úrovni vedoucího orgánu veřejné správy (dále jen „nejvýznamnější rizika"),

b)     navrhnout vhodná opatření a

c)      informovat vedoucího orgánu veřejné správy o každé změně, která má zásadní vliv na významnost těchto rizik.

4.      Vrcholové vedení orgánu veřejné správy v přímé řídící působnosti vedoucího orgánu veřejné správy předává vedoucímu orgánu veřejné správy informace podle odstavce 3 ve formě karty rizika, jejíž kopii předává útvaru odpovědnému za koordinaci řízení rizik (dále jen „odpovědný útvar"). Vzor karty rizika je uveden v příloze k této směrnici.

5.      Odpovědný útvar vede na základě vyplněných karet rizik evidenci nejvýznamnějších rizik podle odstavce 3.

6.      Odpovědný útvar předkládá poradě vedení/vedoucímu orgánu veřejné správy vždy k 30. 6. a 31. 12. příslušného kalendářního roku souhrnnou informaci o nejvýznamnějších rizicích podle odstavce 3. Souhrnnou informaci pro poradu vedení/vedoucího orgánu veřejné správy připraví odpovědný útvar na základě aktualizovaných karet rizik zaslaných vrcholovým vedením orgánu veřejné správy v přímé řídící působnostivedoucího orgánu veřejné správy na základě žádosti odpovědného útvaru.

7.      Odpovědný útvar zajistí identifikaci a hodnocení rizik, které vyplývají ze společných činností útvarů orgánu veřejné správy vymezených v Organizačním řádu1, a vede jejich evidenci. Tím není dotčena povinnost vedoucích zaměstnanců přijmout opatření k jejich zmírnění nebo vyloučení.

 

Čl. 4
Auditní stopa

1.      U zásadních úkolů orgánu veřejné správy a u úkolů s vysokou mírou významnosti rizika mají vedoucí zaměstnanci povinnost zaznamenávat o identifikaci a hodnocení rizik a o přijímaných opatřeních přiměřenou auditní stopu. O tom, zda a v jaké formě bude auditní stopa zaznamenána, rozhoduje příslušný vedoucí zaměstnanec.

2.     Auditní stopa podle odstavce 1 může být součástí materiálů, které se vytváří v souvislosti s plněním úkolů. U srovnatelných a opakujících se úkolů a materiálů lze auditní stopu zaznamenat jedním společným souhrnným záznamem.

3.     V případě, že vedoucí zaměstnanec identifikuje riziko, jehož pravděpodobným následkem je významné zvýšení nákladů orgánu veřejné správy v budoucích účetních obdobích, nad rámec výše uvedených povinností, informuje vedoucí zaměstnanec ekonomický útvar.

 

Čl. 6
Závěrečná ustanovení

Řízení rizik dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) a řízení rizik dle zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, zákona č. 309/2006 Sb. o zajištění dalších podmínek bezpečnosti a ochrany zdraví při práci, ve znění pozdějších předpisů, zůstává touto směrnicí nedotčeno.

 

Čl. 7
Přílohy

Součástí této směrnice je příloha Karta rizika.

 

Čl. 8
Kontrola

Kontrolu dodržování této směrnice provádí útvar kontroly/ pověření zaměstnanci.

 

Čl. 9
Účinnost

Tato směrnice nabývá účinnosti dnem

 

Cílem metodiky je poskytnout zaměstnancům orgánu veřejné správy příručku, která jim pomůže identifikovat, analyzovat a řídit rizika (přijímat opatření) na různých úrovních v orgánu veřejné správy. Pro potřeby orgánu veřejné správy byl zvolen tzv. decentralizovaný model řízení rizik. Jedná se o model, ve kterém řízení rizik vychází z principu, že je integrální součástí každého rozhodnutí v orgánu veřejné správy.

Řízení rizik je proces, který obsahuje čtyři fáze:
• identifikace,
• hodnocení (analýza),
• přijímání opatření,
• monitoring.

Cílem identifikace je odhalit všechna rizika, která mohou ohrozit plnění úkolů orgánu veřejné správy, bez ohledu na jejich významnost. Prvotní fáze identifikace rizik přechází v hodnocení, resp. analýzu rizik. Cílem je za pomocí hodnocení určit rizika, která mají zásadní význam na plnění úkolů orgánu veřejné správy a která je nutné řídit, aby nedošlo k ohrožení plnění úkolů orgánu veřejné správy. Po analytickém zhodnocení rizik následuje fáze přijímání opatření. Přijímání vhodných a přiměřených opatření je podstatou celého řízení rizik. Vše uzavírá monitoring, tedy sledování vývoje identifikovaných rizik (zda nedochází ke změně významnosti, tj. změně pravděpodobnosti nebo dopadu, a vyhodnocování účinnosti přijatých opatření) společně s jejich evidencí.

Cílem metodiky není stanovit podrobný návod, co mají zaměstnanci orgánu veřejné správy udělat, aby zaručeně identifikovali a řídili všechna rizika.

Jedná se vždy o konkrétní úvahu zaměstnance, kterému je svěřen konkrétní úkol. Přesto však lze stanovit základní postupy, které mu mohou pomoci. Tyto postupy jsou přímo v textu doplněny konkrétními příklady dobré a špatné praxe.

Řada otázek zůstane nevyhnutelně na úsudku příslušného zaměstnance, který by však svá rozhodnutí měl vždy činit se znalostí základních principů a pravidel dobré praxe a s vědomím, že hlavním smyslem jeho úsilí není naplnění dílčích předepsaných postupů, ale racionální a pragmatický postup vedoucí ke splnění stanovených úkolů při optimálním vynaložení veřejných prostředků a při dodržení zákony stanovených povinností.

Základním předpokladem řízení každého jednotlivého rizika je schopnost útvaru (orgánu veřejné správy) takové riziko identifikovat (uvědomit si, že existuje) a přiměřeně jej označit či definovat. Riziko vždy souvisí s  určitou konkrétní operací, na jejíž realizaci se váže. Proto by vždy mělo být vždy formulováno konkrétně a ve vazbě na rozhodování o dané operaci. Příliš obecně definované riziko či riziko bez jasně identifikované vazby na konkrétní operaci či rozhodnutí účinně řídit nelze. Dobře formulované riziko se dá v praxi poznat tak, že k němu lze definovat konkrétní nápravné opatření. Ke špatně formulovanému riziku konkrétní nápravné opatření ani teoreticky definovat nelze.

Výsledkem (výstupem) fáze identifikace rizik je seznam všech možných rizik, která ohrožují plnění daného úkolu, a to bez ohledu na jejich míru významnosti (v případě, že nastanou, nebude možné úkol splnit včas, v požadované kvalitě nebo nebude možné splnit úkol vůbec).

►  Příklad špatné praxe - příklady nesprávně formulovaných rizik

Místo rizik jsou v dokumentech vztahujících se k řízení rizik popsané oblasti, které musí být zabezpečeny a ke kterým se vážou jednotlivá rizika. Konkrétní identifikovaná rizika však již v daném výčtu nenásledují. Rizika, která s uvedenými činnostmi souvisí, nejsou dostatečně zřejmá, nelze je tudíž dále hodnotit a zejména není možné přijímat účinná opatření k jejich zmírnění nebo vyloučení. 

• Plánování a rozpočtování
• Financování
• Činnosti pokladní služby
• Čerpání prostředků EU
• Nepřiměřené náklady
• Správa a ochrana majetku
• Přístupová práva
• Fyzické zabezpečení dat a jejich ochrana
• Dostupnost informačních systém

V níže uvedených případech se jedná o reálné a opakující se zkušenosti zaměstnanců z praxe, které pro orgán veřejné správy skutečně znamenají významná rizika. Pokud jsou však rizika formulována takto obecně a bez vztahu ke konkrétní operaci či rozhodnutí, nelze k nim definovat jakákoliv konkrétní nápravná opatření.

Níže popsaný typ rizik je potřeba vztahovat vždy ke konkrétnímu rozhodnutí, operaci nebo materiálu.

• Nestabilita a složitost právních norem, různé iniciativy, lobbing
• Únik informací nebo jejich neoprávněné poskytnutí
• Úmyslně zkreslené či zamlčené informace, které mohou neobjektivně ovlivnit rozhodování
• Ovlivňování plánů a výsledků kontrol
• Svévolné zvýhodnění jednoho dodavatele oproti ostatním
• Možnost porušení rozpočtové kázně z důvodu nesouladu legislativy v oblasti účetnictví
• Nepozornost při dodržování postupu v rámci stanovené metodické činnosti
• Nedostatek personálních kapacit

 

Jak identifikovat rizika?

Identifikace rizika je především myšlenkový proces, jehož podstatou je zamyšlení se nad konkrétními situacemi, které mohou v budoucnosti nastat a negativně ovlivnit plnění stanoveného úkolu. Identifikace se musí vždy vztahovat ke konkrétnímu úkolu. V případě složitějších úkolů lze využít i jiné způsoby identifikace rizik, např. brainstorming (zjednodušeně jde o zamyšlení se ve skupině)2, srovnání s obdobnými situacemi, které se řešily v minulosti, srovnání s jinými útvary nebo  (zjistit, jaké problémy se vyskytly a jak byly řešeny).   

Kdy provádět identifikaci rizik?

Identifikace rizik, jakož i celé řízení rizik, je kontinuální proces, tj. probíhá neustále. Rizika jsou tedy identifikována průběžně při plnění konkrétních úkolů (např. při zpracovávání materiálu).

Auditní stopa z identifikace rizik

Výstupem identifikace rizik je přiměřená auditní stopa (věrohodný a srozumitelný záznam, jehož podstatou je správně formulované riziko). Riziko je zaznamenáváno primárně do dokumentů, které plnění konkrétního úkolu doprovází.

Auditní stopou je i výstup z brainstormingu v případě, že byl k identifikaci využit.

 

►  Příklad použití v praxi
Úkolem je připravit vyjádření vedoucího orgánu veřejné správy do konce pracovní doby. Odpověď bude zpracovávaná formou dopisu vedoucího orgánu veřejné správy. Podstatou úkolu je poskytnout úplnou a věcně správnou odpověď. Zaměstnanec, kterému je daný úkol svěřen, by měl v rámci přípravy konkrétní odpovědi provést úvahu, s čím může být vedoucí orgánu veřejné správy následně konfrontován ze strany adresáta odpovědi, politických reprezentantů nebo médií.  Riziko v tomto případě spočívá v tom, že pokud dojde ke konfrontaci (událost v budoucnu, která může a nemusí nastat), vedoucí orgánu veřejné správy nebude mít dostatek podkladů pro adekvátní a včasnou reakci (pokud nastane potenciální událost, bude mít negativní dopad na plnění úkolu – úkolem je poskytnutou úplnou a věcně správnou odpověď). Takto identifikované riziko odpovědný zaměstnanec zhodnotí, tj. zhodnotí, jaká je pravděpodobnost, že může nastat a jak závažný dopad bude mít. Pokud odpovědný zaměstnanec vyhodnotí, že pravděpodobnost je vysoká a dopad zásadní, musí přijmout přiměřená opatření – tzn., že výsledek své úvahy promítne do textu dopisu, případně vypracuje doplňující podklad jen pro potřeby vedoucího orgánu veřejné správy, kde uvede informaci o relevantních souvislostech nebo přímo dotazy, které mohou být následně vzneseny.

Cílem je za pomocí hodnocení určit rizika, která mají zásadní význam na plnění úkolů orgánu veřejné správy a která je nutné řídit, aby nedošlo k ohrožení plnění úkolů orgánu veřejné správy. Vzhledem k množství rizik, která lze v souvislosti s činností každého orgánu veřejné správy vnímat, je třeba určit priority z pohledu dopadu a pravděpodobnosti jejich výskytu (s ohledem na skutečnost, že nelze řídit všechna rizika, která mohou negativně ovlivnit plnění daného úkolu).

Základní hodnoty, které analýza rizik zohledňuje, jsou míra významnosti rizika, dopad rizika a jeho pravděpodobnost. Míra významnosti je součin hodnot dopadu a pravděpodobnosti, které se měří na škále 1 – 5 (1 nejnižší a 5 nejvyšší). 

Hodnocení rizik je subjektivní, vychází zejména ze znalostí a zkušeností osoby, která hodnocení provádí. Pro zaměstnance může mít určité riziko míru významnosti 2 (výskyt nepravděpodobný 1 a dopad málo významný 2), pro vedoucího zaměstnance však už 3, jelikož na základě zkušeností vyhodnotí dopad jako střední (3). Odchylky ve vnímání rizik v rámci jednotlivých útvarů a napříč organizací by však neměly být příliš velké a v čase by mělo docházet k jejich sbližování (i to je jednou z rolí vedoucích zaměstnanců v systému řízení rizik).

Jak hodnotit rizika?

Hodnocení rizik probíhá tak, že se ke každému identifikovanému riziku přiřadí dvě hodnoty – pravděpodobnost a dopad a následně se spočítá míra významnosti (pravděpodobnost x dopad). 

Pravděpodobnost a dopad se měří na škále 1 – 5, přičemž:
1 – výskyt nepravděpodobný a dopad zanedbatelný
2 – výskyt málo pravděpodobný a dopad málo významný
3 – výskyt pravděpodobný a dopad střední
4 – výskyt velmi pravděpodobný a dopad významný
5 – výskyt téměř jistý a dopad kritický.

 

►  Příklad použití v praxi (1)

Identifikace rizika:
Riziko: Nedostatek personálních kapacit

Nízký počet zaměstnanců na jednotlivých útvarech bude negativně ovlivňovat chod oddělení, může zapříčinit neplnění úkolů útvaru resp. orgánu veřejné správy.

Hodnocení rizika:
Pravděpodobnost rizika: 4 – S ohledem na věkovou strukturu zaměstnanců útvaru lze důvodně předpokládat, že část z nich v horizontu 2 let odejde do důchodu a část nastoupí na mateřskou / rodičovskou dovolenou. Vzhledem k situaci na trhu práce se obecně veřejný sektor potýká s nedostatkem kapacit a výhledově se tato situace nebude měnit.

Dopad rizika: 4 – Jedná se o riziko s vysokým dopadem, které přinese snížení kvality služeb pro občany a v extrémním případě povede až k pozastavení spravovaných agend orgánu veřejné správy.

Míra významnosti rizika: 16 – Vysoký význam - Relativní důležitost rizika je v tomto případě vysoká, jelikož nízký počet zaměstnanců ohrozí plnění úkolů orgánu veřejné správy, stejně tak jako neúměrně zatíží současné zaměstnance a sníží jejich pracovní výkonost. Vysoká míra významnosti rizika znamená, že je potřeba přijmout adekvátní opatření k řízení rizik nedostatku personálních kapacit.

 

Co je výstupem hodnocení rizik?

Výstupem hodnocení rizik je informace o tom, jaká je míra významnosti jednotlivých rizik, a tedy i informace o tom, která rizika mají zásadní dopad na plnění daného úkolu, a musí k nim být přijata konkrétní opatření. Je nezbytné se soustředit na řízení rizik s vysokou mírou významnosti, rizika s nízkou mírou lze udržovat a sledovat:

• 1-8 nízká míra významnosti rizika
• 9-14 střední míra významnosti rizika
• 15-25 vysoká míra významnosti rizika

K určení nejvýznamnějších rizik nemusí být vždy zpracovávaná tabulka a prováděn výpočet míry významnosti prostřednictvím výše uvedeného vzorce. Pokud odpovědný zaměstnanec umí zhodnotit míru významnosti rizika na základě svého odborného úsudku (např. na základě svých zkušeností s obdobnými případy), nemusí míru významnosti počítat.  

Výsledkem analýzy rizik může být i mapa rizik. Mapu rizik je možné v rámci řízení rizik používat, pokud to uzná útvar za vhodné a pomůže mu s rozpoznáním závažnějších rizik. Mapa rizik je grafické znázornění identifikovaných rizik s uvedením údaje o hodnotě pravděpodobnosti a dopadu (graf, na jehož svislé ose je uvedena hodnota dopadu a na vodorovné ose hodnota pravděpodobnosti):

Kdy provádět hodnocení rizik?

Hodnocení rizik musí vždy navazovat na identifikaci rizik.

Auditní stopa z hodnocení rizik

Auditní stopa z hodnocení rizik je nedílně spojena s auditní stopou z identifikace rizik. Riziko včetně své míry významnosti je zaznamenáváno primárně do dokumentů, které plnění konkrétního úkolu doprovází (např. předkládací zpráva).

Auditní stopou z hodnocení rizik může být i katalog rizik (seznam rizik včetně stanovení konkrétní hodnoty pravděpodobnosti, dopadu a z toho vyplývající míru významnosti) nebo mapa rizik.

Orgán veřejné správy by se měl prostřednictvím svých vedoucích zaměstnanců soustředit primárně na řízení rizik s vysokou, příp. střední mírou významnosti. U rizik s nízkou mírou významnosti lze doporučit taktiku udržování rizika. Primárně riziko řídí ten,

k jehož úkolu se vztahuje. Každé riziko by mělo být řízeno subsidiárně na té úrovni řízení, která je k tomu vybavena potřebnými znalostmi a kompetencemi. V opačném případě je potřeba riziko dobře popsat, pokusit se definovat vhodná opatření a včas předat informaci o něm na vyšší úroveň řízení.

►  Příklad použití v praxi (2)

Identifikace rizika:
Riziko: Nedostatek personálních kapacit
Nízký počet zaměstnanců na jednotlivých útvarech bude negativně ovlivňovat chod oddělení, může zapříčinit neplnění úkolů útvaru resp. orgánu veřejné správy.

Hodnocení rizika:
Pravděpodobnost rizika: 4 – S ohledem na věkovou strukturu zaměstnanců útvaru lze důvodně předpokládat, že část z nich v horizontu 2 let odejde do důchodu a část nastoupí na mateřskou/rodičovskou dovolenou. Vzhledem k situaci na trhu práce se obecně veřejný sektor potýká s nedostatkem kapacit a výhledově se tato situace nebude měnit.

Dopad rizika: 4 – Jedná se o riziko s vysokým dopadem, které přinese snížení kvality služeb pro občany a v extrémním případě povede až k pozastavení spravovaných agend orgánu veřejné správy.

Míra významnosti rizika: 16 – Vysoký význam - Relativní důležitost rizika je v tomto případě vysoká, jelikož nízký počet zaměstnanců ohrozí plnění úkolů orgánu veřejné správy, stejně tak jako neúměrně zatíží současné zaměstnance a sníží jejich pracovní výkonost. Vysoká míra významnosti rizika znamená, že je potřeba přijmout adekvátní opatření k řízení rizik nedostatku personálních kapacit.

Opatření:
Ve výše uvedeném případě, nelze ovlivnit pravděpodobnost odchodu na mateřskou/rodičovskou dovolenou. Pravděpodobnost odchodu do důchodu lze snížit jen částečně – např. motivací zaměstnance, aby zůstal pracovat navzdory důchodovému věku (v případě, že mu to zdravotní a rodinné poměry umožní).

-        Opatření na nižší úrovni vedení:

• Dbát na spokojenost zaměstnanců, pružně reagovat na jejich pracovní úspěchy, umožnit osobní růst a nabídnout adekvátní finanční ohodnocení;
• Zajistit postupné předávání agendy měsíc před plánovaným odchodem;
• Vývoj rizika průběžně sledovat a v případě zvýšení jeho míry významnosti navzdory realizovaným opatřením předat na vyšší úroveň řízení tzv. eskalovat na vyšší úroveň.

-        Opatření na vyšší úrovni vedení:

• Podat žádost o vypsání výběrového řízení;
• Zvážit možnost využití dočasného zajištění agendy dle § 178 odst. 2 zákona o státní službě v případě, že se jedná o služební místo; • Podat žádost o navýšení počtu systemizovaných nebo pracovních míst.

 

K řízení určitého rizika lze zvolit jeden z následujících přístupů:

• Vyvarování se rizika (např. neschválit rizikovou operaci, zákaz vykonávání rizikové aktivity);
• Udržování rizika na stávající míře významnosti, tj. akceptace rizika a sledování jeho vývoje bez dalších opatření k jeho eliminaci;
• Redukce rizika přijetím opatření vedoucích ke snížení pravděpodobnosti a/nebo dopadu na přijatelnou mez;
• Přenos/sdílení rizika (např. přenos rizika na dodavatele v rámci smluvního vztahu, pojištění).

Při rozhodování o dalším postupu při řízení daného rizika je však nutné zohlednit rovněž:

• Schopnost dané riziko řídit (tj. ovlivnit jeho další vývoj), a to nikoliv pouze zaměstnanec osobně jako jedinec, ale zaměstnanec jako součást orgánu veřejné správy prostřednictvím všech kroků a nástrojů, které má jako součást této organizace k dispozici (mohu např. požádat někoho dalšího o součinnost, informovat nadřízené atd.);
• Náklady spojené s řízením rizika – cílem jednoznačně je, aby náklady na řízení rizik nepřevyšovaly úspory plynoucí z jeho eliminace.

Tyto faktory není nutné nijak formalizovaně vyčíslovat či umisťovat na škálu, stačí je pouze přiměřeně zohlednit v úvaze o dalším postupu při řízení daného rizika.

 

►  Příklad dobré praxe

Orgánu veřejné správy dorazila žádost o stanovisko. Zaměstnanci byl zadán od vedoucího zaměstnance úkol vypracovat toto stanovisko s termínem do konce pracovního týdne. Po prostudování všech podkladů dojde k závěru, že je nutné získat stanovisko útvaru právního, aby bylo možné stanovisko zpracovat. Dle interních směrnic má útvar právní na zpracování stanoviska lhůtu 15 dní.  Zaměstnanec se obrátí telefonicky na odbor právní s dotazem, zda nebude možné stanovisko zpracovat téhož dne nebo alespoň ve lhůtě kratší než 15 dnů. Odbor právní vypracování stanoviska v dřívějším termínu nemůže slíbit. Zaměstnanec tudíž nemůže stihnout zpracovat stanovisko do termínu stanoveného vedoucím zaměstnancem.

Tuto skutečnost sdělí bez zbytečného prodlení vedoucímu zaměstnanci jako riziko a navrhne mu jako opatření posunutí termínu pro zpracování stanoviska o pět pracovních dnů. Žádost na útvar právní včetně e-mailové komunikace mezi zaměstnancem a vedoucím zaměstnancem bude sloužit jako dostatečná auditní stopa (není nutné zpracovávat speciální záznam nebo zápis).

 

►  Příklad špatné praxe
Zaměstnanec věří, že termín zpracování dokumentu stihne. Nicméně tři dny před termínem vzhledem k jiným urgentním úkolům stále nezačal stanovisko zpracovávat a je tedy vzhledem ke všem okolnostem zřejmé, že do stanoveného termínu dokument nezpracuje. Nikomu o vzniklém riziku nesplnění lhůty pro odeslání dokumentu nepodá zprávu. Vedoucí zaměstnanec se tak o riziku dozvídá teprve ve chvíli, kdy uplynula lhůta pro plnění úkolu, a kdy již není možné příslušné riziko nijak řídit (např. delegací úkolu nebo jiných urgentních úkolů na jiné zaměstnance, žádostí o prodloužení termínu apod.).

 

Auditní stopa k přijímání opatření

Optimálním a přirozeným nosičem informací potřebných k řízení rizik je referátník/košilka k materiálu, podklady pro poradu vedení, podklady připravované ke schválení veřejné zakázky, studie proveditelnosti, projektový záměr, investiční záměr, zhodnocení dopadů regulace, atd. Pro účely řízení rizik není nutné vytvářet nové samostatné dokumenty, stačí úplné a v maximální možné míře objektivní informace
o rizicích v přehledné podobě (včetně návrhu souvisejících opatření k řízení rizik) zahrnout do podkladů, na základě kterých příslušná osoba o té které operaci rozhoduje. Dobrou praxí je, že součástí podkladu je i informace o termínu, ve kterém má být opatření splněno (v případě, že opatření ještě splněno nebylo). 

 

►  Příklad dobré praxe
„Úkolovník“ jako nástroj řízení rizik

Nesplnění termínu pro odeslání dokumentu je riziko, které lze účinně řídit používáním tzv. úkolovníku, kde budou přehledně vyobrazeny úkoly, včetně termínu splnění a případně i průběžných kontrolních dnů, rizik a osobní odpovědnosti. Úkolovník lze jednoduše spravovat například na sdíleném disku v Excelu, aby byl přístupným všem zaměstnancům v útvaru.

Úkolovník útvaru
ID Úkol Odpovědná
osoba
Termín
zadání
Původní termín
splnění
Nový termín
splnění
Rizika Splněno Poznámka
stanovisko stanovisko
k veřejné zakázce
T.V. 15.3.2020 30.3.2020   nedodržení
termínu
ANO

žádost o
substanovisko
odesláno 16.3.

metodika zprovoznění
sharepointu
pro metodickou
podporu
T.V. 4.1.2020 28.2.2020 30.3.2020 aplikace
nebude
využívána
  sběr dat
kontaktování
útvaru IT
vnitřní
směrnice
aktualizace
vnitřní
směrnice
B.T. 1.3.2020 15.4.2020   nesoučinnost
dotčených
útvarů
 

rozeslána
pozvánka k
jednání

 

Karta rizika se zpracovává pouze u rizik, která mají dopad na plnění zásadních úkolů orgánu veřejné správy a u nichž musí být přijímána opatření na úrovni vedoucího orgánu veřejné správy. Příklad vyplněné karty rizika je uveden níže.

MONITORING
Monitoring probíhá spojitě v čase a je založen na pravidelném operativním sledování daného rizika. Monitoring spočívá ve sledování, zda dochází ke změně míry významnosti rizika (pravděpodobnosti nebo dopadu) a ve vyhodnocování účinnosti přijatých opatření. Monitoringem se rovněž identifikují případná nová rizika. Monitoring probíhá v rámci běžné činnosti na útvaru.

EVIDENCE
Na centrální úrovni je dle směrnice vedena evidence o nejvýznamnějších rizicích, tj. rizicích, která mají dopad na plnění zásadních úkolů orgánu veřejné správy a u nichž musí být přijímána opatření na úrovni vedoucího orgánu veřejné správy. K těmto rizikům věcně příslušný útvar sestavuje kartu rizika (viz předchozí kapitola). Evidenci vede odpovědný útvar na základě vyplněných karet. Další informace nad rámec karty nebudou odpovědným útvarem vyžadovány. Souhrnná informace o všech nejvýznamnějších rizicích bude vedoucím zaměstnancem odpovědného útvaru předložena poradě vedení/vedoucímu orgánu veřejné správy jednou za 6 měsíců. Pro tyto účely budou útvary orgánu veřejné správy jednou za 6 měsíců obeslány odpovědným útvarem s lhůtou 10 pracovních dní k zaslání aktualizované karty rizik. Odpovědný útvar zpracuje přijaté karty a přenese rizika do katalogu rizik (seznam), ze kterého se bude vytvářet materiál pro poradu vedení/vedoucího orgánu veřejné správy. V případě, že dojde ke změně míry významnosti nejvýznamnějšího rizika nebo k okolnostem, které budou mít významný dopad na účinnost opatření přijímaných k řízení rizika, příslušný vedoucí zaměstnanec v přímé řídící působnosti vedoucího orgánu veřejné správy informuje vedoucího orgánu veřejné správy o této skutečnosti neprodleně (nečeká na periodickou aktualizaci).

O způsobu vedení evidence ostatních rizik, tedy rizik, ke kterým jsou přijímána opatření na úrovni příslušného vedoucího zaměstnance, rozhoduje příslušný vedoucí zaměstnanec.

Jak Vám mohu pomoci?

Chci poradit s ovládaním

Zvýrazním všechny prvky stránky, pro které je dostupná nápověda a Vy si zvolíte ten, který chcete vysvětlit.

Chci napsat adminovi

Máte potíže s ovládaním, něco Vám nefunguje a nebo máte návrh na zlepšení? Napište adminovi.

Rozumím Tento web používá cookies k zajištění potřebné funkcionality. Dalším použitím webu s tím souhlasíte. Více informací »