Hodnocení rizik v resortu Ministerstva obrany
OBSAH Pojmy používané v procesu řízení rizik v MO Systém řízení rizik Proces řízení rizik Dokumenty systému řízení rizik
Pojmy používané v procesu řízení rizik v MO aktivum hmotný nebo nehmotný vstup, výstup nebo zdroj nezbytný pro dosahování cílů pomocí procesního a projektového řízení nebo pro plnění úkolu vycházejícího z působnosti organizačního celku; analýza aktiva postup k získávání informací o aktivu a jeho posouzení z hlediska opravitelnosti/nahraditelnosti a citlivosti/dostupnosti; zranitelnost aktiva slabá stránka daného aktiva, která může být zneužita hrozbou; hodnocení aktiva stanovení hodnoty aktiva na základě jeho potřebnosti pro splnění cíle; kritičnost aktiva hodnota získaná posouzením opravitelnosti/nahraditelnosti a citlivosti/dostupnosti aktiva;
hrozba jev nebo událost, které jsou schopny působit vůči aktivu. Mohou být původu přírodního, a fyzikálního a dále mohou vznikat v důsledku organizačního nebo společensko-ekonomického faktoru nebo působením lidského faktoru. Z hlediska jejich působení se rozlišují na vnější hrozby, vnitřní hrozby, náhodné hrozby, úmyslné hrozby a neúmyslné hrozby; identifikace hrozby postup k získávání informací o existenci hrozby, její schopnosti a záměru/odhodlání způsobit snížení hodnoty, poškození nebo ztrátu aktiva; riziko možnost naplnění hrozby s následnými nežádoucími provozními, finančními, právními a dalšími dopady na dosažení cíle nebo projektu; identifikace a analýza rizika postup, ve kterém se analyzuje působení hrozby na aktivum (zranitelnost aktiva), na jehož základě se identifikuje riziko, stanovuje pravděpodobnost vzniku rizika a popisuje dopad rizika na cíl (projekt). Identifikované riziko je popsáno rizikovým scénářem;
hodnocení rizika postup, ve kterém se riziko posuzuje z pohledu, zda je možné jej akceptovat nebo je třeba toto riziko postoupit do fáze zvládání akceptace rizika rozhodnutí o přijetí výsledné úrovně rizika; agregace aktiv a rizik společné posouzení aktiv a rizik dříve odděleně posuzovaných; zvládání rizika postup směřující k vyhnutí, posunutí, přenesení nebo snížení rizika s konečnou akceptací; sekundární riziko riziko, které vznikne přijetím určitých opatření ke snížení původního rizika; řízení rizik nepřetržitý proces, v němž subjekty systému řízení rizik na základě svých pravomocí identifikují rizika, navrhují řešení a přijímají rozhodnutí, jejichž cílem je snížit dopad rizika na plnění cílů (projektů);
zbytkové riziko riziko, které zůstává po přijatých opatřeních ke zvládání rizika. Jedná se o riziko, které lze akceptovat nebo k němu ke zvládání přijmout další opatření;
Systém řízení rizik odkazuje se na ČSN ISO 31 000 zahrnuje: proces řízení rizik; programové vybavení k podpoře procesu řízení rizik; subjekty v systému řízení rizik.
Proces řízení rizik se skládá z fází: fáze identifikační, analytická a hodnoticí; fáze zvládání rizik; fáze monitorovací, komunikační a vykazovací.
Fáze identifikační, analytická a hodnoticí se zahajuje identifikací a analýzou aktiv a hrozeb je tvořena: analýzou aktiv mírou kritičnosti aktiv identifikací a analýzou hrozeb mírou kritičnosti hrozby mírou kritičnosti rizika stanovení úrovně přijatelnosti rizika
Analýza aktiv Aktivum se analyzuje z pohledu: opravitelnosti; nahraditelnosti; citlivosti; dostupnosti. Kritičnost aktiva se stanovuje pomocí: opravitelnost/nahraditelnost citlivost/dostupnost.
opravitelnost/nahraditelnost se hodnotí: nízká (hodnota 1) - je možné jej s přiměřeným úsilím nahradit nebo opravit; střední (hodnota 2) možné jej velmi obtížně, s vysokým úsilím na úkor jiných úkolů nahradit nebo opravit; vysoká (hodnota 3) - aktivum je téměř nemožné a nerealizovatelné nahradit nebo opravit; kritická (hodnota 4) - aktivum není možné a realizovatelné nahradit nebo opravit.
citlivost/dostupnost se hodnotí: nízká (hodnota 1) - je aktivum dostupné; střední (hodnota 2) - dostupnost částečně omezena; vysoká (hodnota 3) dostupnost aktiva omezena ve větším rozsahu; kritická (hodnota 4) - nedostupné aktivum.
Míra kritičnosti aktiva součin hodnot parametrů opravitelnost/nahraditelnost a citlivost/dostupnost kritické aktivum rozpětí 6 až 16, dále se hodnotí nekritické aktivum rozpětí 1 až 4, monitoruje se zaznamenána v seznamu identifikovaných aktiv.
Identifikace a analýza hrozeb k identifikaci rizik se vybírají hrozby, které mohou působit na zranitelnost konkrétního kritického aktiva. zkušenosti z předchozích období, průzkumy, předchozí analýzy, výsledky modelování apod. analýza hrozeb - míra intenzity vlivu hrozby na zranitelnost aktiva a míra odhodlání/záměru hrozby realizovat svůj vliv na zranitelnost aktiva
míra intenzity vlivu hrozby se stanovuje: nízká (hodnota 1) - nehrozí poškození aktiva; střední (hodnota 2) - hrozí poškození aktiva, ale nehrozí narušení rozsahu nebo doby realizace cíle (projektu) v případě nutnosti zpětného získání aktiva; vysoká (hodnota 3) - hrozí poškození aktiva a narušení rozsahu nebo doby realizace cíle (projektu) v případě nutnosti zpětného získání aktiva; kritická (hodnota 4) - naplnění hrozby zapříčiní nevratné a neopravitelné poškození aktiva.
míra odhodlání/záměru hrozby se stanovuje: nízká (hodnota 1) - v předchozím období se hrozba neobjevila a nejsou indicie jejího výskytu v dalším období; střední (hodnota 2) - působení na zranitelnost aktiva je předvídatelné a v předchozím období se hrozba objevila; vysoká (hodnota 3) - lze očekávat časté působení hrozby na aktivum a v předchozím období se hrozba objevila; kritická (hodnota 4) - lze očekávat velmi častou frekvenci působení hrozby na zranitelnost aktiva.
Míra kritičnosti hrozby součin: míra intenzity vlivu hrozby na zranitelnost aktiva x míra odhodlání/záměru hrozby. kritická hrozba - 6 až 16 nekritická hrozba - 1 až 4
Míra kritičnosti rizika součin hodnoty míry kritičnosti aktiva a hodnoty míry kritičnosti hrozby úroveň rizika je: kritická - (144; 256 vysoká - (36;144 střední - (16; 36 nízká - (0; 16 zaznamenává do karty rizika
Úroveň přijatelného rizika přijatelné (akceptovatelné) riziko - střední a nízké riziko. nepřijatelné (neakceptovatelné) riziko - vysoké a kritické riziko, přijímání rozhodnutí o způsobu jejich zvládání a opatření k jejich zvládání, které se zaznamenávají do karty rizika.
Hodnotitel rizik: v součinnosti s vlastníky aktiv analyzuje bezodkladně zranitelnost identifikovaného aktiva a zaznamenává ohodnocení jeho zranitelnosti do seznamu identifikovaných aktiv. Výstupem je ohodnocení aktiva z pohledu kritičnosti vůči splnění cíle. identifikuje hrozby a následně analyzuje jejich možné působení na zranitelnost aktiva. Výstupem je ohodnocení hrozby z pohledu kritičnosti působení na zranitelnost aktiva; identifikuje riziko na základě možnosti působení hrozeb na zranitelnost aktiva. Vznik rizika je vyjádřen v rizikovém scénáři;
Fáze zvládání rizik vstupem do fáze zvládání rizik procesu řízení rizik jsou pouze rizika kritická a vysoká. hodnotitel rizik a vlastník rizika přijímá bezodkladně rozhodnutí k jejich zvládání, stanovuje metody pro jejich zvládání a kritéria pro jejich hodnocení. metody zvládání a kritéria hodnocení hodnotitel rizik zaznamenává do karty rizika. účel zajištění ochrany aktiv, předcházení vzniku škod a ztrát.
Vlastník rizik přijímá ke zvládání rizika tato rozhodnutí: vyhnutí se riziku - vypuštěním plánovaných nebo prováděných úkolů, u kterých není možné jiným opatřením ke zvládání rizika zajistit ochranu jejich aktiv před působením hrozby; posunutí rizika - nemá dostatečné kompetence ke zvládání rizika a odpovědnost za zvládání rizika, postoupením věcně příslušnému gestorovi aktiva nebo nadřízenému manažerovi cíle, který přijme bezodkladně rozhodnutí o převzetí odpovědnosti za posunuté riziko a vlastní rozhodnutí ke zvládání tohoto rizika;
přenesení rizika - předání rizika třetí straně (mimo rezort MO), přičemž odpovědnost za jejich řízení mu zůstává; snížení rizika - stanovení konkrétních opatření a úkolů ke zvládání daného rizika, která se mohou realizovat buď v průběhu dosahování cíle, nebo v případě, že riziko nastane (jedná se o nejběžnější formu zvládání rizika); přijetí (akceptace) rizika - nejsou stanovena opatření k zvládání rizik.
Fáze monitorovací, komunikační a vykazovací vstupem jsou dokumentovaná aktiva, hrozby a rizika a rozhodnutí přijatá k jejich zvládání. vlastník rizika odpovídá za monitorování rizika. hodnotitel rizik v součinnosti s vlastníkem aktiva sleduje a analyzuje vývoj aktiv, hrozeb a rizik, realizaci a účinnost opatření a úkolů ke zvládání rizik. subjekty systému řízení rizik jsou povinny navzájem komunikovat a poskytovat si účelné, jednoduché a rychlé informace. vlastník rizika při vykazování odpovídá za hodnocení účinnosti uskutečňovaných opatření a úkolů ke zvládání rizik.
Agregace aktiv a rizik rizika u manažera cíle, nadřízeného manažera cíle nebo u gestora aktiv. aktiva a rizika, která se mohou vyskytovat u více vlastníků aktiv nebo kritických aktiv. rizika agregovaného aktiva s mírou rizika kritické a vysoké - fáze zvládání rizik rizika agregovaného aktiva s mírou rizika střední a nízká se přijímají a jsou vstupem pro fázi monitorovací, komunikační a vykazovací procesu řízení rizik. rizika vyššího stupně řízení.
Dokumenty systému řízení rizik se zpracovávají dokumenty: seznam identifikovaných aktiv; seznam kritických aktiv hrozeb; karta rizika; katalog rizik; mapa rizik.
Seznam identifikovaných aktiv hodnotitel rizik vytváří v součinnosti s vlastníky aktiv; zaznamenávají se identifikovaná, analyzovaná a hodnocená aktiva a jejich vlastnosti z pohledu kritičnosti. Seznam kritických aktiv a hrozeb vytváří hodnotitel rizik; zaznamenávají se kritická aktiva a identifikované hrozby a informace o jejich vlastnostech.
Karta rizika zpracovává hodnotitel rizik pro každé kritické aktivum samostatně; zaznamenávají se údaje o kritickém aktivu, hrozbách, riziku a jejich změnách; obsahuje: údaje o kritickém aktivu; seznam ovlivňovaných cílů, opatření a úkolů; seznam souvisejících kritických aktiv s parametry hodnocení (u agregace); seznam souvisejících identifikovaných hrozeb s parametry hodnocení; charakter rizika a rizikový scénář; ohodnocení rizika; přístup ke zvládání rizika; seznam opatření ke zvládání rizik; vlastníka kritického aktiva a rizika.
Katalog rizik zpracovává vlastník rizik a koordinátor řízení rizik přehled o vysokých a kritických rizicích; údaje do katalogu rizik se přenášejí z karty rizika. obsahuje: číslo a název projektu; název kritického aktiva s parametry jeho hodnocení; charakter a ohodnocení rizika; přístup ke zvládání rizika; seznam opatření ke zvládání rizika; vlastník kritického aktiva a rizika.
Mapa rizik vytváří vlastník rizika (vlastník projektu) a koordinátor řízení rizik
Míra kritičnosti hrozby nízké riziko střední riziko vysoké riziko kritické riziko
míra hrozby 1 2 kritičnosti míra kritičnosti aktiva 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 3 R1 4 R10 5 6 R3, R7 7 8 R2 R8 9 R4 R5 R9 R6 10 11 12 13 14 15 16
Subjekty v systému řízení rizik Tvoří: Gestor systému řízení rizik Manažer cíle Vlastník projektu Gestor aktiva Koordinátor řízení rizik Vlastník rizika Správce rizik Hodnotitel rizik Vlastník aktiva Subjekty
Gestor systému řízení rizik (vedoucí zaměstnanec organizačního útvaru MO): řídí koordinátora řízení rizik a odpovídá za chod a monitorování systému řízení rizik, jeho organizaci a technickou podporu; na základě vlastního vyhodnocení funkčnosti a výkonnosti systému řízení rizik, podnětů kontrolních orgánů nebo doporučení odboru interního auditu Ministerstva obrany řeší opatření ke zlepšení jeho nastavení a nápravě zjištěných nedostatků; odpovídá za předávání souhrnných pololetních informací o funkčnosti a výkonnosti systému řízení rizik a o zvládání rizik Radě ministra obrany pro plánování;
Manažer cíle odpovídá: za identifikaci všech rizik souvisejících s plněním cíle, zapracování jejich popisu do dokumentace cíle a jejich zvládání. Po identifikaci rizik na své úrovni se stává jejich vlastníkem. Odpovídá za monitorování vývoje situace při plnění cíle, za hodnocení rizika podle jím stanovených kritérií a za akceptaci rizika, přijímání a realizaci opatření k jejich zvládání.
Vlastník projektu odpovídá: za identifikaci rizik souvisejících s plněním projektu a je vlastníkem rizik. za monitorování vývoje situace při plnění realizace projektu, za hodnocení rizika podle jím stanovených kritérií a za akceptaci rizika, přijímání a realizaci opatření k jejich zvládání.
Gestor aktiva: je věcný gestor, gestor schopností, služební orgán odpovídající za vojenský obor nebo odbornost, majetkový hospodář, gestor služeb, gestor rozvoje KIS, gestor provozu KIS nebo gestor stanoveného IS, který odpovídá za zvládání rizik posunutých vlastníkem rizik do jeho odpovědnosti.
Koordinátor řízení rizik (podřízený gestorovi systému řízení rizik): průběžně vyhodnocuje funkčnost a výkonnost systému řízení rizik a připravuje návrhy ke zlepšení jeho nastavení a nápravě zjištěných nedostatků. posuzuje zapracování problematiky předcházení vzniku a řízení rizik do návrhů vnitřních předpisů upravujících nastavení vnitřních procesů v rezortu. soustřeďuje katalogy rizik a mapy rizik v rezortu od všech manažerů cílů (vlastníků projektů), ze kterých vytváří katalog rizik a mapu rizik rezortu. zabezpečuje komunikaci se správci a hodnotiteli rizik a poskytuje jim konzultace.
Vlastník rizik manažer cíle po identifikaci rizika nebo gestor aktiva u rizika, které bylo posunuto do jeho odpovědnosti. Správce rizik (zaměstnanec určený vlastníkem rizik): na základě podkladů od vlastníků aktiv a hodnotitelů rizik provádí agregaci aktiv a rizik, zpracovává a průběžně vede katalog rizik a mapu rizik v kompetenci vlastníka rizik, informuje vlastníka rizik o vývoji rizik a účinnosti opatření a úkolů k jejich zvládání. určený hodnotitel rizik.
Hodnotitel rizik určený manažerem cíle. identifikuje a analyzuje rizika, hodnotí je a navrhuje opatření k jejich zvládání. poskytuje podklady do katalogu rizik a mapy rizik manažera cíle. Vlastník aktiva zaměstnanec s pravomocí a odpovědností za ochranu jemu svěřeného nebo jím užívaného aktiva, které může rozhodujícím způsobem ovlivnit splnění cíle.
Děkuji za pozornost DOTAZY