Potřeba jednotného řízení a konsolidace rizik

Podobné dokumenty
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Co je riziko? Řízení rizik v MHMP

WS PŘÍKLADY DOBRÉ PRAXE

Státní pokladna. Centrum sdílených služeb

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

KONTROLNÍ ŘÁD OBCE BRLOH

Vnitřní kontrolní systém a jeho audit

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Vnitřní směrnice č. KONTROLNÍ ŘÁD OBCE ŽERNOV

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Strategie, architektury a projekty jako nástroj řízení IT ve veřejné správě

Co je to COBIT? metodika

Konference Standardizace agend přenesené působnosti a měření jejich výkonnosti

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

Výukový materiál zpracovaný v rámci projektu Výuka moderně

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Rizika na pracovišti. Tomáš Svoboda COS I FN Brno, PMDV

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Univerzita Karlova. Opatření rektora č. 35/2017

AUDIT. Zimní semestr 2014/2015 TUL EF - KFÚ

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

V Brně dne 10. a

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Název orgánu veřejné správy (OVS)

Zákon o finanční kontrole. Michal Plaček

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

OBEC HNĚVNICE Hněvnice, IČ

Odůvodnění účelnosti veřejné zakázky. Odůvodněníí veřejjné zakázky Popis potřeb, které mají být splněním veřejné zakázky naplněny.

Ing. David Řehák, Ph.D. Katalog rizik: softwarový nástroj pro podporu řízení rizik v rezortu obrany

Přehled legislativy. Přehled legislativy týkající se farmakovigilančního (FV) auditu a inspekce. 30. listopadu

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Profesionální a bezpečný úřad Kraje Vysočina

Národní architektonický plán a ostatní metody řízení veřejné správy ČR

ÚČETNICTVÍ MEZINÁRODNÍ ÚČETNÍ STANDARDY PROČ IFRS? IFRS V ČR? VYBRANÉ ROZDÍLY MEZI ČÚS A IFRS Není jedno Varianty:

Management kvality a jeho využití v praxi MěÚ Benešov

Směrnice k finanční kontrole podle zákona č. 320/2001 Sb. Č.1/2018

ČESKÁ TECHNICKÁ NORMA

GDPR v sociálních službách

Katalog služeb 2013 C.Q.M. verze 5, aktualizace Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu

Zkušenosti se zaváděním ISMS z pohledu auditora

Kybernetická bezpečnost MV

Katalog služeb Verze 5, aktualizace

Cesta k zavedení managementu společenské odpovědnosti, aneb jak na to praxe Krajského úřadu Jihomoravského kraje

Ing. Zdeněk Fildán PŘÍRUČKA PRO ENVIRONMENTÁLNÍ MANAGEMENT (EMS) PODLE NORMY ČSN EN ISO

II. VNITŘNÍ KONTROLNÍ SYSTÉM

Systém řízení informační bezpečnosti (ISMS)

Přínosy spolupráce interního a externího auditu

Vysoká škola finanční a správní, o.p.s. Ing. Mar7n Vícha Garant předmětu: doc. Ing. Endre Tóth, DrSc.

Vnitřní kontrolní systém v orgánu veřejné správy

Naplňování evropského nařízení GDPR v podmínkách Statutárního města Kladna. Ing. Zdeněk Slepička tajemník Magistrátu města Kladna

IT Governance. Libor TůmaT. konzultant, AHASWARE. itsmf

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

I. Obecná část. SMĚRNICE k provedení finanční kontroly. Obec Salačova Lhota

Řízení informační bezpečnosti a veřejná správa

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Referenční model řízení městského úřadu podle standardu CIMAF

Management kvality a jeho využití v praxi MěÚ Benešov

Ing. František Řezáč, Ph.D. Masarykova univerzita

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

Cobit 5: Struktura dokumentů

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Kybernetická bezpečnost resortu MV

Karel Škrle, ICZ a. s DOKUMENT Certifikace důvěryhodných úložišť

Statut interního auditu

Výtisk č. : Platnost od: Schválil: Podpis:

KONTROLNÍ ŘÁD OBCE ČAKOVIČKY

1. Politika integrovaného systému řízení

Systém řízení energetického hospodářství

Zpráva o činnosti a výstupech interního auditu ČT

Agendy v působnosti MV v rámci programového období z pohledu příjemce

Platforma Efektivní meziobecní spolupráce část Administrativní podpora malých obcí. Praha

ZÁKON O ŘÍZENÍ A KONTROLE VEŘEJNÝCH FINANCÍ

Ekonomika IT PRE od A do Z

Metodické doporučení k řízení kvality v ÚSC. Ing. Lenka Švejdarová odbor strategického rozvoje a koordinace veřejné správy Ministerstvo vnitra

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

Obsah Strategie rozvoje infrastruktury pro prostorové informace v ČR do roku (GeoInfoStrategie) Jiří Čtyroký, vedoucí Zpracovatelského týmu

Strategie společnosti PTC Praha a.s. na období let

Standardy a definice pojmů bezpečnosti informací

prezentace výsledků auditu Milan ZOLICH

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

ČESKÁ TECHNICKÁ NORMA

SMĚRNICE DĚKANA Č. 4/2013

Realizace kurzu ISO 9001 Manažer procesu

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Records Management. Úvod do problematiky správy dokumentů a informací

TERMÍNY OTEVŘENÝCH KURZŮ 2014 verze 16, aktualizace

ČESKÁ TECHNICKÁ NORMA

Strategické řízení IS v podmínkách VS přínosy a problémy

Představení projektu Metodika

Referenční model a jeho využití v praxi MěÚ Benešov

Transkript:

Potřeba jednotného řízení a konsolidace rizik 13. ročník konference ISSS Hradec Králové Josef Šustr 12. dubna 2010

Riziko Riziko je potenciální možnost, že se něco stane, co ovlivní dosažení našich cílů. Riziko má 2 parametry pravděpodobnost, že se něco stane, následky, když se to stane. Riziko NENÍ nedostatek!! Praxe: Riziko má obvykle negativní následky (škoda). Obecně mohou být i pozitivní výsledky (příležitosti). Každý z nás nějak řídíme rizika. Převážná většina rizik je řízena neformálně a často intuitivně. 2

Oblasti rizik V orgánech veřejné správy i komerčních podnicích lze nalézt například následující rizika: strategického směrování organizační personální a kompetenční shody s legislativou a dobrými mravy financí, účetnictví a výkaznictví hlavních a podpůrných procesů projektů změn obchodní, marketingová a smluvní investiční jakosti produkce právních sporů pojišťovací strategie bezpečnosti aktiv (security) osob (safety) podvodů a jiné trestné činnosti korupční rizika... a mnohá další 3

Klasické oblasti řízení rizik Rizika bezpečnosti informací v posledních 10 15 letech v souvislosti se strmým nárůstem závislosti organizací na informačních systémech ČSN ISO/IEC 27005:2009 (ISO 13335, CRAMM atd.) Rizika provozní a finanční prevence před falšováním účetních výkazů (Sarbanes-Oxley Act v USA) zákon č. 320/2001 Sb., o finanční kontrole (COSO ERM, CHJ-6 atd.) Rizika projektů všechny projekty spolufinancované ze strukturálních fondů EU Rizika klíčových rozhodnutí následky připravovaných změn a realizace (nerealizace) navrhovaných opatření 4

Potřeba konsolidace rizik Různé světy, různé metriky, různí adresáti: radnice připravuje programové prohlášení, zastaralá technika zvyšuje pravděpodobnost výpadků počítačové sítě, je třeba splnit legislativní požadavky atd. Nutno umět porovnat rizika z různých oblastí z hlediska možných škod / příležitostí...... a vybrat taková opatření, která povedou k efektivnímu pokrytí největších rizik 5

ISO 31000 Potřeba standardizace dlouhodobě nazrávala Turnbull framework (1999) Casualty Actuarial Society Enterprise Risk Management (CAS ERM, 2003) Committee of Sponsoring Organizations Risk Management Integrated Framework (COSO ERM, 2006) ONR 49002-1:2004 Risk management for organizations and systems (Rakousko) AS/NZS 6340:2004 Enterprise Risk management (Austrálie) Mezinárodní organizace pro stadardizaci (ISO) ISO 31000:2009 Risk management Principles and guidelines ISO/IEC 31010:2009 Risk management Risk assessment techniques ISO Guide 73:2009 Risk management - Vocabulary 6

Klíčové vlastnosti ISO 31000 ISO 31000 nijak nevynucuje uniformitu řízení rizik v organizaci a mezi organizacemi různé metody, metodiky i nástroje Smyslem ISO 31000 je harmonizovat procesy managementu rizik v organizaci v rozsahu: zacelení mezer v systému odpovědnosti za řízení rizik, zarovnání cílů řízení rizik v jednotlivých oblastech, nastavení komunikačních mechanizmů pro sdílení informací o řízení rizik (jazyk, struktura), vytvoření jednotných kritérií a metrik pro hodnocení rizik (umožnění srovnání rizik z různých oblastí vztahujících se ke stejným cílům), 7

Centrum řízení rizik Systém umožňující rizika identifikovat, hodnotit, porovnávat, klasifikovat a ošetřovat, provazbu na související úkoly, projekty, opatření a odpovědnost za jejich realizaci, poskytovat aktuální informace zainteresovaným osobám a umožnit rychle zjistit stav a vývoj zejména největších rizik. Realizace vhodný nástroj Katalog rizik (od sešitu po systémy typu GRCM), sada procesů, odpovědná osoba. 8

Aktuálnost pro orgány veřejné správy Zákon č. 320/2001 Sb. o finanční kontrole ve VS, 25: vedoucí orgánu VS je povinen zavést a udržovat vnitřní kontrolní systém způsobilý včas zjišťovat, vyhodnocovat a minimalizovat provozní, finanční, právní a jiná rizika, všichni vedoucí zaměstnanci... jsou povinni podávat vedoucímu orgánu VS včasné a spolehlivé informace... o vzniku významných rizik... ISMS (Systém řízení rizik bezpečnosti informací) analýzy rizik jsou předepsány (ČSN ISO/IEC 27001, ČSN ISO/IEC 27005) Vztahy s dodavateli Velké projekty 9

Jsou ovšem i problémy... Mechanické svalení odpovědnosti za řízení rizik na útvary interního auditu ale názory se vyvíjejí Koordinátor řízení rizik mimo interní audit Katalog rizik je často jen seznamem náhodně sebraných rizik, nedostatků a nápadů Řešení: - systematická práce s riziky - využití dlouhodobě sesbíraných zkušeností a osvědčených praktik ERM 10

Závěr Děkuji za pozornost. Prosím Vaše názory, dotazy Ing. Josef Šustr + 420 603 234 517 josef.sustr@iteg.cz ITEG a.s. City Tower, Hvězdova 1716/2b, 140 78 Praha 4 www.iteg.cz 11

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář