Strategický plán pro oblast řízení rizik

Transkript

1 Strategický plán pro oblast řízení rizik Město Šternberk Horní náměstí Šternberk

2 Strategický plán pro oblast řízení rizik Úvod: Strategický plán pro oblast řízení rizik je zpracován na základě výstupů projektu Zvýšení kvality fungování a profesionalizace Městského úřadu Šternberk, registrační číslo CZ /0.0/0.0/16_033/ Zavedení systému řízení rizik je nově součástí revidované normy ČSN EN ISO 9001:2016. Text normy (ČSN EN ISO 9001:2016): Při plánování systému managementu kvality musí organizace zvážit aspekty popsané v 4.1 a požadavky popsané v 4.2 a určit rizika a příležitosti, které je potřeba řešit, aby se a) prokázalo, že sytém managementu kvality může dosáhnout zamýšleného výsledku (výsledků); b) posílily žádoucí účinky; c) předešlo nežádoucím účinkům nebo se jejich účinek snížil; d) dosáhlo zlepšení Organizace musí plánovat a) opatření pro řešení těchto rizik a příležitostí; b) způsob, jak 1) integrovat a zavádět tato opatření do procesů systému managementu kvality, 2) hodnotit efektivnost těchto opatření. Opaření přijatá pro řešení rizik a příležitostí musí být úměrná potenciálnímu dopadu na shodu produktů a služeb. Rizika: Povinnost pravidelně pracovat s riziky dále vychází z 25 zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů, a 13 odst. 3 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Riziko je nutné chápat jako konkrétní událost v rizikovém scénáři a vždy se musí posuzovat v celém kontextu. Tedy nejen jako samotná spouštěcí událost (hrozba), ale jako konkrétní událost, která pokud by nastala, způsobí nechtěný/vynucený děj (scénář) s dopady na cíl, či další aktiva, způsobující danou škodu.

3 Řízení rizik: Obr. 1 Procesy řízení rizik Postup řízení a administrace rizik je v organizaci upraven směrnicí S Systém řízení rizik. Koordinátorem agendy spojené s řízením rizik je interní auditor. Při plánování SMK organizace bere v úvahu externí a interní aspekty a požadavky zainteresovaných stran na základě nichž určuje rizika a příležitosti, které je potřeba řešit, aby se: - zajistilo, že SMK může dosáhnout svého zamýšleného výsledku (výsledků) - zabránilo nežádoucím účinkům nebo jejich snížení - dosáhlo neustálého zlepšování. Identifikace rizik určit rizika, která mohou ovlivnit požadované cíle a dokumentovat charakteristické vlastnosti každého z nich. Rizika je třeba identifikovat. Proces identifikace je charakterizován jako pravidelné a kontinuální monitorování všech probíhajících interních a externích událostí, které ovlivňují naplnění cílů. Odpovědnost vedoucích pracovníků: - Navrhovat, zavádět, podporovat a monitorovat systém řízení rizik - Účastnit se analýzy rizik

4 - Identifikovat, měřit, monitorovat, řídit a podávat zprávy o rizicích - Vykonávat řízení rizik jako integrální součást schválených záměrů a cílů organizace - Předávat finální seznam aktuálních rizik a jeho aktualizaci internímu auditorovi. Identifikace rizik spočívá ve zjištění a strukturované evidenci významných potenciálních rizik. Za účelem objektivního provedení identifikace rizik a s cílem zajistit komplexní a vyváženou evidenci rizik provedl interní auditor na odborech konzultace k rizikům. Odbory a samostatná pracoviště identifikovala možná provozní rizika na svých pracovištích a tato zjištění vložila do přehledného registru provozních rizik (Příloha č. 1). Definována byla řízená rizika (-) jako nejistá událost nebo podmínka, která pokud nastane, má negativní vliv na dosažení cíle a řízené příležitosti (+) jako nejistá událost nebo podmínka, která když nastane, pozitivně ovlivní dosažení cíle. Pro všechna identifikovaná rizika v rámci odboru i mimo odbor byla v souladu se směrnicí S Systém řízení rizik stanovována opatření pro jejich řešení. Identifikovaná rizika budou pro všechny vedoucí zaměstnance materiálem pro další zkoumání, analyzování a posuzování možných rizikových procesů a postupů na řízeném pracovišti. Pro ohodnocení pravděpodobného výskytu a vyjádření přepokládaného dopadu každého rizika budou vedoucí zaměstnanci na základě vlastní znalosti prostředí, respektive vykonávaných činností řízeného úseku, používat hodnoty v rozmezí celých čísel od 1 do 5. Je nutné, aby vedoucí zaměstnanci v případě objevu nového rizika nebo při výskytu nespecifikovaného rizika v průběhu roku doplnili seznam hodnocených rizik v daném roce o tato nová rizika, respektive typy rizik s tím, že provedou i subjektivní ohodnocení nového rizika dle uvedené hodnotové stupnice. Takové hodnocení případně i doplnění by měl každý vedoucí zaměstnanec provést minimálně jedenkrát ročně. Takto definovaná rizika pak byla dále zpracována dle četnosti a dle výskytu rizika. Byly vytvořeny seznamy rizik definovaných odbory a k nim přiřazeno celkem 16 hlavních rizik byl vytvořen Katalog rizik. (Příloha č. 2). Manažerská rizika nebyla samostatně analyzována, jsou součástí Kontextu organizace (Příloha č. 3). Příklady možnosti řešení rizik a příležitostí: - vyhnout se rizikům - přijmout riziko, aby se využila příležitost ke zlepšování - odstranit zdroj rizika - změnit pravděpodobnost nebo následky - sdílet riziko - zachovat riziko odpovědným rozhodnutím Analýza rizik slouží ke stanovení velikosti, pravděpodobnosti a dopadu rizik. Současně stanovuje jejich negativní důsledky a identifikuje možnost, že důsledky budou mít vliv na dosažení cíle. Při zpracování analýzy rizik bylo postupováno následovně:

5 Analýza rizik byla zpracovávána samostatně pro skupinu respondentů tvořenou odbory a samostatnými odděleními. Analýza rizik neprobíhá individuálně, ale je vždy výsledkem týmové práce a týmového pojetí. Součástí analýzy byla vytvořena mapa rizik (Příloha č. 4). Tato obsahuje přehled všech identifikovaných rizik seřazených podle významnosti. Výsledné pořadí rizik bylo zpracováno dle četnosti a významnosti do přehledné tabulky ( příloha č. 5) Z podkladů jednotlivých odborů a samostatných oddělení byla rizika seřazena sestupně podle průměrné hodnoty pravděpodobnosti výskytu a rovněž sestupně podle průměrné hodnoty dopadu rizika v případě jeho působení. Po výpočtu průměrů byla takto seřazená rizika v dalším kroku následně analyzována v matici rizik - průnikem průměrné hodnoty výskytu a dopadu byla rizika zařazena do 4 kvadrantů A D této matice. V kvadrantu A jsou zařazena rizika s velkou pravděpodobností výskytu a vysokým možným dopadem, v kvadrantu B s nízkou pravděpodobností výskytu, ale vysokým dopadem, kvadrant C vysoká pravděpodobnost výskytu, ale nízký dopad a kvadrant D malá pravděpodobnost výskytu a nízký dopad. Matice rizik kvadrant A kvadrant B Vysoký dopad, velká pravděpodobnost výskytu Vysoký dopad, malá pravděpodobnost výskytu Rizika č. 1 Riziko č nutnost přijetí opatření zvážení nutnosti zásahu kvadrant C kvadrant D Nízký dopad, velká pravděpodobnost výskytu Nízký dopad, malá pravděpodobnost výskytu Riziko č. 5 Rizika č sledování trendů není nutné přijetí opatření

6 Riziko vysoké střední nízké V tabulce č. 1 tohoto komentáře k Analýze rizik jsou uvedeny jak možné příčiny vzniku rizik, tak navrhovaná opatření k řízení rizik vyhodnocených ve skupině Aktuálně vysoká úroveň rizik u odborů a samostatných oddělení. Pořadí rizik Aktuálně vysoká úroveň rizik 1 Právní riziko (riziko související s uplatňováním právních norem či interních předpisů) 2 Riziko selhání lidského faktoru ( ztráta pověsti, důvěryhodnosti organizace) Možné příčiny vzniku rizika - Nedodržení právních norem či interních předpisů, - Nepřizpůsobení jejich novelám, - Nedostatečně právně ošetřené smluvní vztahy, - Nehospodárně a neefektivně uzavřené smluvní vztahy, - Nedodržení smluvních lhůt - Podvodné jednání, defraudace, korupce, omyly, neúmyslné chyby, nespolehlivost, zneužití informací, odcizení, úmyslné poškození, konflikty na pracovišti, nedbalost a nepozornost při pracovním procesu - Selhání komunikace, - Nedodržování, porušování etických zásad, norem. tabulka č. 1 Navrhovaná opatření k řízení rizik - Důsledná analýza předpokládaných příčin rozpoznání, posouzení a vyhodnocení rizika. - Odstranění příčin vzniku rizik. - Uložení osobní odpovědnosti za maximální eliminaci rizika. - Přehodnotit organizační zabezpečení výkonu řídící kontroly a zajistit efektivnost této kontroly ve všech oblastech - Kontroly ze strany nadřízeného - Komunikace 3 Riziko špatné psychohygieny - Syndrom vyhoření, - Agresivní chování klientů, - Nízká odolnost vůči stresu - Pravidelná školení v oblasti psychohygieny - Snížení počtu případů na jednoho pracovníka navýšením počtu pracovníků, - Prevence psychosomatických a psychických nemocí (psychohygiena) - Pravidelná supervize

7 4 Riziko personální - Reálná nezastupitelnost některých pozic - Odchod zkušených pracovníků z důvodu lepších platových podmínek - Navýšení platových ohodnocení (platové třídy, čtvrtletní odměny) - Změny personálního obsazení, event. proškolení stávajících zaměstnanců - Sledovat trh práce 5 Riziko organizační a řídící - Nejednoznačné vymezení pravomocí a odpovědností - Nevhodné a neefektivní delegování - Neuspokojivá komunikace - Předávání informací mezi odbory - Pozdní předávání informací - Nedostatečná zpětná vazba - Podporovat fungování komunikace a předávání informací, - Přesně definovat pravomoci a odpovědnosti. 6 Kontrolní riziko - Nedostatečné zajištění kontrol (časové, personální, rozsah ), - Selhání postupů a metod při výkonu řídící kontroly - Neefektivní nebo neúplný výkon řídících a ostatních kontrol - Přehodnotit organizační zabezpečení výkonu řídící kontroly a - zajistit efektivnost této kontroly ve všech oblastech Hodnocení rizik účelem je na základě analýzy rizik provést rozhodnutí jak a která rizika spolu souvisí, která rizika je třeba ošetřit, která jsou nevýznamná a která je třeba akceptovat. V závislosti na výstupu z analýzy rizik musí organizace naplánovat a implementovat opatření pro řešení rizik do procesů SMK. Opatření přijatá pro řešení rizik a příležitostí musí být přitom úměrná potenciálnímu dopadu na shodu produktů. Cílem je poznaná počáteční rizika eliminovat, nebo snížit na úroveň zbytkového (akceptovatelného) rizika. Není možné a mnohdy ani vhodné vyloučit všechna rizika. Rizika se také mění s časem, proto analýza rizik není jednorázová činnost, ale kontinuální procesem. Řízení rizik: Řízení rizik znamená řídit systematickým, transparentním a spolehlivým způsobem různé formy rizik a harmonizovat systém řízení rizik do organizace a všech jejích procesů, rozhodování, produktů, služeb a aktiv. Hlavním cílem řízení rizik je zavedení systematického přístupu k identifikaci, hodnocení, zvládání, monitorování a vykazování všech významných rizik systémovým, jednotným a integrovaným způsobem tak, aby tato rizika byla minimalizována a včas předvídána. Smyslem řízení rizik není identifikovat a ošetřit všechna rizika. Smyslem procesu řízení rizik je umět včas rozpoznat, jestli se daným rizikem zabývat, věnovat pozornost jeho ošetření, či nikoliv. Při rozhodování o dalším postupu při řízení rizik je nutno zohlednit schopnost dané

8 riziko řídit, tj. ovlivnit jeho další vývoj. Opatření ke snížení rizik jsou vždy spojena s náklady, proto rozhodování o přijetí konkrétního opatření vychází z porovnání nákladů na krytí ztrát s náklady na zavedení příslušných opatření, náklady na řízení rizik nesmí převyšovat úspory plynoucí z eliminace. Rizika, která nemohou být eliminována, jsou v závislosti na finančních možnostech organizace buď ponechána ve zbytkových rizicích a jsou vědomě nesena, nebo mohou být přenesena (např. pojištěním). Strategie a hlavní zásady řízení rizik: Strategie řízení rizik v organizaci je konzervativní strategie, která je charakteristická snahou eliminovat rizika, redukovat jejich potenciální dopady nebo je maximálně omezit. Hlavní zásady řízení rizik: - Princip organizačního oddělení dohledu nad riziky od výkonných činností - Princip prosazování pravidel veřejné správy - Princip včasného varování spočívající ve včasném vydání signálu o zvýšené rizikovosti vdané oblasti - Princip konsolidace rizik přes všechny dílčí oblasti jejich vzniku - Princip transparentnosti komunikace o rizicích zainteresovaných stran - Princip provázanosti řízení rizik s procesy strategického řízení organizace - Princip pravidelného monitorování a hodnocení. Jako součástí řízení rizika bývá chápáno i šíření informací o riziku a vnímání rizika. Proces řízení rizik je třeba chápat jako pozitivní faktor. Součástí procesu řízení rizik je rozhodovací proces, vycházející z analýzy rizik. Po zvážení dalších faktorů, které mají na riziko vliv, vedení organizace vyvíjí, analyzuje a srovnává možná preventivní a regulační opatření. Posléze z nich vybírá ta, která existující riziko minimalizuje. Předpoklady funkčního řízení rizik v organizaci: - Jednoznačná organizační struktura a funkční organizační řád - Vhodně definované pracovní náplně - Jasně, srozumitelně a konkrétně formulovaný etický kodex jasně stanovená pravidla v klíčových oblastech vnitřního chodu organizace, která jsou ve vzájemném souladu. organizace schválený a podporovaný vedením Ošetření rizik - ke každému riziku je třeba provést opatření, zpravidla vedoucí ke snížení jeho potenciálního působení. Nejčastější typy: a) redukce/zmírnění rizika aplikováním vhodných opatření, kterými se riziko snižuje na akceptovatelnou úroveň b) akceptace rizika znamená, že žádná akce proti působení rizika není provedena a ztráta z propuknutého rizika, pokud vyvstane, bude akceptována. c) vyhnutí se riziku, bývá aplikováno, pokud již není žádná možnost adekvátní reakce na riziko a představuje ukončení aktivit a podmínek, která dávají důvod k riziku d) sdílení/přenos rizika přenesením rizika na třetí stranu, nejčastěji např. na dodavatele

9 Monitorování a přezkoumání rizik zahrnuje audit stavu rizik, které slouží k časté detekci chyb zpracování procesu řízení rizik a pro včasnou identifikaci nezvládání rizik. Účelem procesu monitorování a přezkoumání je: - Sledování interních a externích změn, které mají dopad na probíhající proces - Identifikace nových rizik - Ověření, že řízení rizik je účinné a efektivní - Zvýšení úrovně řízení rizik využitím informací z vykonávaných procesů - Poučení se z událostí, změn, trendů, úspěchů a chyb ve vykonávaných procesech Komunikace a konzultace týká se všech zainteresovaných stran (vnitřní i vnější) probíhá v průběhu celého procesu řízení rizik a má být plánována a řízena. Závěr: - Soustředit se primárně na řízení rizik s vysokou příp. střední mírou významnosti - U rizik s nízkou mírou významnosti zvolit taktiku udržování rizika - Riziko řídit na té úrovni řízení, která je k tomu vybavena potřebnými znalostmi a kompetencemi - Rizika aktualizovat tehdy, jestliže se objeví rizika nová či nové příležitosti nebo jestliže dojde ke změnám důležitosti dříve identifikovaných rizik a příležitostí - Rizika revidovat 1 x ročně v termínu revizí dokumentace, tj. do Analýzu rizik zahrnout do Přezkoumání systému managementu kvality, který se zpracovává 1 x ročně - Rizika vyplývající z analýzy rizik použít pro účely plánování kontrol a interních auditů. Přílohy: Příloha č. 1 Registr provozních rizik - sumář Příloha č. 2 Katalog rizik Příloha č. 3 Kontext organizace Příloha č. 4 Mapa rizik Příloha č. 5 Výsledné pořadí rizik Literatura: [1] ČSN EN ISO 9001:2016 [2] Komentované vydání ČSN EN ISO 9001:2016, Systém managementu kvality, Požadavky, Česká společnost pro jakost, Novotného lávka 200/5, Praha, ISBN [3] Zákon č.320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů

10 [4] Vyhláška č. 416/2004 Sb., kterou se provádí zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů [5] Mezinárodní rámec profesní praxe interního auditu [6] Metodický pokyn č. 2 Centrální harmonizační jednotky MF ČR [7] Řízení rizik a příležitostí, Per Partes Consulting, s.r.o., 2012, http: // studie/řízení rizik (Per Partes) ed.1.pdf [8] Rámcová metodika řízení rizik Ministerstva pro místní rozvoj [9] Směrnice S Systém řízení rizik, vydání č.1 interní dokument [10] Směrnice S Příručka kvality, vydání č. 4 interní dokument