ZNALECKÝ POSUDEK č. 28-2011 CENTRÁLNÍ REGISTR VOZIDEL Objednatel: ČR - Ministerstvo dopravy Nábř. Ludvíka Svobody 1222/12 11015 Praha 1 Zhotovitel: Ústav kvalifikovaný pro znaleckou činnost Cetag, s.r.o. Na Poříčí 1070/19 11000 Praha 1 V Praze, dne 16. prosince 2011 Znalecký posudek se vydává písemně ve třech vyhotoveních, dvě vyhotovení se předávají objednateli a jedno vyhotovení se ukládá do archívu znaleckého ústavu. Posudek má celkem -86- stran, z toho -66- stran textu a -20- stran příloh. Přílohou posudku je CD, které obsahuje posudek v elektronické formě.
00. Manažerské shrnutí V návaznosti na rozbor a skutečnosti v tomto znaleckém posudku uvedené znalec došel k závěru, že tvorba a provoz aplikace Centrálního registru vozidel, jež je obsahově a funkčně vymezena v Příloze CRV (Detailní specifikace Služby aplikačního rozvoje CRV) tohoto posudku, je věcně podřaditelná pod předmět Smlouvy o poskytování a rozvoji IT služeb, jež byla uzavřena mezi ČR - Ministerstvem dopravy coby objednatelem a společností ATS-TELCOM PRAHA, a. s. coby dodavatelem dne 31.3.2010. Tvorba a provoz aplikace CRV je jmenovitě podřaditelná pod tato ustanovení citované Smlouvy: čl. 3.2.2. Smlouvy Služby na žádost Katalogový list č. 11 Služby projektového managementu (čl. 3.1.3.1. Smlouvy) Katalogový list č. 12 Služby konzultační a školící (čl. 3.1.3.2. Smlouvy) Katalogový list č. 13 Služby rozvoje aplikací (čl. 3.1.3.3. Smlouvy) 2/86
POUŽITÉ ZKRATKY A TERMINOLOGIE CRV DSA EUCARIS MD (ČR) MV (ČR) Projekt Příloha č. 1 Příloha CRV RESPER Smlouva Zadávací dokumentace Znalec Centrální registr vozidel Dopravně správní agendy European Car and Driving License Information System Česká republika Ministerstvo dopravy Česká republika Ministerstvo vnitra Tvorba a provoz centrálního registru vozidel Příloha Smlouvy obsahující katalogové listy Příloha tohoto znaleckého posudku obsahující detailní specifikaci Služby aplikačního rozvoje CRV (Réseau permis de conduire / Drivers License Network Smlouva o poskytování a rozvoji IT služeb ze dne 31.03.2010 uzavřená Ministerstvem dopravy ČR a ATS - TELCOM Praha, a.s. ZADÁVACÍ DOKUMENTACE ve smyslu 44 zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů veřejné zakázky POSKYTOVÁNÍ A ROZVOJ IT SLUŽEB PRO ROK 2010-2013 Cetag, s.r.o., ústav kvalifikovaný pro znaleckou činnost (znalecký ústav) 3/86
OBSAH 00. Manažerské shrnutí...2 01. Objednatel...6 02. Zhotovitel...7 03. Zadání znaleckého posudku...8 04. Dokumenty, ze kterých soudní znalec čerpal...9 05. Popis postupu znaleckého zkoumání...10 06. Základní charakteristika objednatele...11 07. Textu smlouvy (vybraná ustanovení)...12 08. Stávající stav aplikací a provozovaných agend Ministerstva dopravy České republiky...24 8.1. Popis stávajícího stavu...25 8.2. Dotčené aplikace a agendy MD...26 8.3. Současná rizika...27 8.4. Pojem ekonomicko-personální agenda...28 09. Současný stav a nedostatky Centrálního registru vozidel (CRV)...30 10. Analýza rizik tvorby a provozu nové aplikace Centrálního registru vozidel (Projektu)...31 10.1. Analýza rizik projektu...31 10.1.1. Analýza rizik metodická východiska... 31 10.1.2. Klasifikace rizik a jejich dopadů... 34 10.1.3. Hodnocení rizik... 37 10.1.4. Mapa rizik... 40 10.1.5. Eliminace rizik... 42 10.2. Udržitelnost projektu...46 10.3. Vazba na strategické dokumenty na úrovni ČR...47 10.4 Závěr kapitoly...47 11. Závěr znaleckého posudku komparativní tabulka věcného zařazení včetně zdůvodnění...48 12. Výrok znalce...49 13. Oprávnění znaleckého ústavu...50 13.1. Prověrka NBÚ na stupeň tajné...50 13.2. Dekret znaleckého ústavu...51 4/86
13.3. Certifikace na ISO/IEC 20000-1 poskytování ICT služeb...52 13.4. Certifikace na ISO 9001-2009 systém kvality řízení...53 13.5. Certifikace na ISO/IEC 27001:2006 bezpečnost informací...54 13.6. Certifikace integrovaný systém řízení...55 14. Oprávnění a certifikace hlavního řešitele...56 14.1. Jmenovací dekret soudního znalce...56 14.2. Osvědčení o prověrce Národního bezpečnostního úřadu na stupeň tajné 57 14.3. Osvědčení o oprávnění vykonávat advokacii...58 14.4. Osvědčení vedoucího auditora k řízení rizik bezpečnosti informací ve smyslu ISO/IEC 27001...59 14.5. Osvědčení vedoucího auditora k managementu IT služeb ve smyslu ISO 2000...60 14.6. Osvědčení senior projekt manažera ve smyslu normy ISO 10006:03...61 14.7. Osvědčení projektového manažera dle mezinárodní metodiky PRINCE2.62 14.8. Osvědčení projektového manažera dle mezinárodní metodiky ITIL...63 15. Prohlášení o nezávislosti...64 16. Znalecká doložka...65 17. Příloha CRV (Detailní specifikace Služby aplikačního rozvoje CRV)...66 5/86
01. Objednatel ČR - Ministerstvo dopravy Nábř. Ludvíka Svobody 1222/12 11015 Praha 1 IČ: 66003008 DIČ: CZ 66003008 Objednávka č. MD1101692 z 7.12.2011 Telefon: +420 225-131-308 Kontaktní osoby: Michal Šebek ředitel odboru 330 Jakub Ferus oddělení strategie a rozvoje ICT 6/86
02. Zhotovitel Ústav kvalifikovaný pro znaleckou činnost Cetag, s.r.o. Na Poříčí 1070/19 Praha 1-11000 (dále také jen znalec ) IČ: 27451925 OR: C 114044 společnost vedená u rejstříkového soudu v Praze Telefon: 222 314 164 Fax: 222 318 727 Mobil: 777 967 886 Email: info@cetag.cz 1. Hlavní řešitel: Doc. JUDr. Ing. Bohumír Štědroň, Ph.D., LL.M., MBA 1 Kvalifikace: Soudní znalec, advokát, certifikovaný auditor ICT 2. Výsledky ověřil: Doc. JUDr. Ing. Jan Lang, CSc. Kvalifikace: Soudní znalec, advokát 1 Doc. JUDr. Ing. Bohumír Štědroň, Ph.D., LL.M., MBA je advokát, informatik a soudní znalec se specializací výpočetní technika, počítačová kriminalistika, autorská práva a životní prostředí. Dále působí jako člen rozkladové komise pro veřejné zakázky Úřadu pro ochranu hospodářské soutěže, vysokoškolský pedagog, člen pracovní komise Legislativní rady vlády pro soukromé právo. Vystudoval Právnickou fakultu Univerzity Karlovy v Praze, Právnickou fakultu Curyšské univerzity (Švýcarsko), informační technologie na Nottingham Trent University (Anglie), Fakultu životního prostředí ČZU a v roce 2005 získal Diploma in European Union Law and Common Law z Cambridge University (Anglie). Bohumír Štědroň má rozsáhlé zkušenosti z realizace projektů informačních systémů ve veřejné správě, jejich oponenturou, znaleckou, právní a poradenskou činností v oblasti IT a ISVS. Bohumír Štědroň má platnou prověrku Národního bezpečnostního úřadu na stupeň tajné. Bohumír Štědroň je držitelem mezinárodních certifikací v oblasti projektového řízení, informačních technologií a informační bezpečnosti, a to ISO 10006:2003 Project Manager (projektant managementu jakosti), ISO 27001 Lead Auditor (auditor bezpečnosti informačních systémů), ISO 20001 Lead Auditor (auditor služeb v IT), ITIL V3 a PRINCE2 (mezinárodní metodiky řízení projektů). V neposlední řadě je Bohumír Štědroň držitelem prestižního ocenění Právník roku 2010 pro obor právo informačních technologií udělované Českou advokátní komorou ve spolupráci s Ministerstvem spravedlnosti ČR a profesními právnickými organizacemi (Notářská komora ČR, Unie soudců atd.). 7/86
03. Zadání znaleckého posudku Úkolem znalce je: a) posouzení, zda tvorba, provoz a rozvoj IT aplikace Centrálního registru vozidel je podřaditelná pod vymezení předmětu (vymezený předmět) Smlouvy; b) uvedení, pod konkrétně jaké ustanoveni Smlouvy (kat. listu) je uvedena aplikace (sub a) podřaditelná. 8/86
04. Dokumenty, ze kterých soudní znalec čerpal - Objednávka č. MD 1101692 ze dne 7.12.2011 - CD od objednatele posudku obsahující informace potřebné k vypracování znaleckého posudku (text smlouvy a informace o současném stavu ICT) - Smlouva o poskytování a rozvoji IT služeb ze dne 31.03.2010 uzavřená Ministerstvem dopravy ČR a ATS-TELCOM Praha, a.s. (dále jen Smlouva ) - Štědroň, B., Ochrana a licencování počítačového programu, Wolters Kluwer ČR, Praha 2010, ISBN 978-80-7357-555-7 - Telec, I., Tůma P., Autorský zákon - Komentář, C. H. Beck, 2007, ISBN 978-80-7179-608-4 - VZOR Studie proveditelnosti pro projekt TC kraje, Ministerstvo vnitra ČR, www.mvcr.cz - Zákon č. 137/2006 Sb., o veřejných zakázkách - Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) - Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů - Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů Upozornění: Ačkoliv mám jako znalec za to, že informace, na jejichž základě je znalecký posudek zpracován, byly nashromážděny ze spolehlivých zdrojů, zároveň ale upozorňuji, že nepřebírám žádnou odpovědnost za pravdivost a přesnost jakýchkoliv takto získaných informací. Neprováděl jsem tudíž žádná šetření směřující k ověření pravosti, správnosti a úplnosti předložených dokumentů, ze kterých jsem ve svém znaleckém posudku vycházel. 9/86
05. Popis postupu znaleckého zkoumání Znalec s cílem posoudit a odpovědět na znalecké dotazy bude postupovat následujícím způsobem (jednotlivé kroky znaleckého zkoumání): 1) Znalec se seznámí a podrobně zanalyzuje text Smlouvy včetně přílohy č. 1. Katalogové listy; (bez toho není možné rozhodnout o případném podřazení) 2) Znalec se seznámí a popíše současný stav provozovaných elektronických agend v rezortu MDČR; (s cílem získat komplexní přehled o ICT v rezortu MDČR) 3) Znalec se seznámí a popíše současný stav aplikace Centrálního registru vozidel (CRV) včetně analýzy a výčtu případných nedostatků CRV; (s cílem posoudit, zda-li je vhodné nový CRV vytvořit) 4) Znalec provede podrobnou analýzu rizik případného vytvoření a provozu nového CRV s výsledkem doporučení nebo nedoporučení realizace tohoto projektu; (s ohledem na množství a míru rizik, která mohou nastat) 5) Znalec zhodnotí, zda-li vytvoření nového registru CRV je podřaditelné pod stávající text Smlouvy a pokud ano, tak konkrétně, pod které ustanovení Smlouvy; 6) Pokud znalec rozhodne o možnosti podřazení pod text Smlouvy (viz krok 5), poté v závěru uvede komparativní tabulku s odůvodněním svých závěrů; 10/86
06. Základní charakteristika objednatele Ministerstvo dopravy (MD) je ústřední orgán státní správy zřízený zákonem č. 272/1996 Sb., par. 1, odstavec 13, ze dne 11. října 1996, kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy ČR a kterým se mění a doplňuje Zákon ČNR č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy ČR. Zákon č. 2/1969 Sb. o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, v paragrafu 17 stanoví, že Ministerstvo dopravy je ústředním orgánem státní správy ve věcech dopravy, který odpovídá za tvorbu státní politiky v oblasti dopravy a v rozsahu své působnosti za její uskutečňování. Odbory ministerstva jsou členěny do úseků, v jejichž čele stojí náměstek ministra nebo vrchní ředitel, s výjimkou úseku ministra, řízeným přímo ministrem. V čele odboru stojí ředitel, který je podřízen vedoucímu úseku. V rámci odboru mohou být zřízena oddělení, v jejichž čele stojí vedoucí oddělení, přímo podřízený řediteli odboru. 11/86
07. Textu smlouvy (vybraná ustanovení) Obrázek: Strana č. 1 Smlouvy 12/86
Obrázek: Strana č. 2 Smlouvy 13/86
Služby na žádost Obrázek: Strana č. 3 Smlouvy 14/86
Obrázek: Strana č. 4 Smlouvy 15/86
Obrázek: Strana č. 15 Smlouvy 16/86
Obrázek: Strana č. 18 Smlouvy 17/86
Obrázek: Strana č. 19 Smlouvy 18/86
Obrázek: Strana č. 1 Přílohy č. 1 Smlouvy 19/86
Obrázek: Strana č. 2 Přílohy č. 1 Smlouvy (obsah přílohy č. 1) 20/86
Obrázek: Strana č. 47 Přílohy č. 1 Smlouvy první strana katalogového listu č. 11 21/86
Obrázek: Strana č. 51 Přílohy č. 1 Smlouvy první strana katalogového listu č. 12 22/86
Ekonomickopersonální agendy, bod 8.4. v posudku (str. 28) Obrázek: Strana č. 55 Přílohy č. 1 Smlouvy první strana katalogového listu č. 13 23/86
08. Stávající stav aplikací a provozovaných agend Ministerstva dopravy České republiky Česká republika Ministerstvo dopravy ( MD nebo MD ČR ) spravuje řadu samostatných systémů (aplikací), které jsou tvořeny, spravovány a provozovány různými subjekty či organizačními útvary. Jejich vývoj tak probíhá poměrně nekoordinovaně a bez ohledu na dopad na systém jako celek. V současnosti jsou systémy a aplikace množinou samostatných systémů, které vznikaly, vznikají a jsou udržovány zcela nezávisle a několika různými dodavateli bez jakékoliv vzájemné koordinace. Z tohoto vyplývá i jejich nízká vzájemná spolupráce. Některá data jsou ukládána a zpracovávána v několika různých systémech, které jsou na sobě vzájemně nezávislé, což potenciálně zvyšuje nejen chybovost, ale zároveň i velmi výrazně snižuje možnosti získání (vytěžitelnosti) dat, jejich kvalitu, a tedy i vypovídací schopnost těchto dat, a tedy i celých systémů. Kromě toho je prakticky nemožné zajistit vysokou dostupnost těchto dat spolu s jejich zabezpečením, neboť data jsou přenášena mezi systémy fyzickými osobami, a ty jsou statisticky nejkritičtějším místem pro únik informací. Přístup k datům je tedy v současné architektuře velmi omezen, a nemůže vyhovovat současným a budoucím nárokům na poskytování dat nejen v rámci úřadu, ale ani meziresortně. V rámci komplexu systémů a aplikací spravovaných MD panuje v současné době stav výměny dat buď v režimu peer-to-peer, nebo k výměně dat vůbec nedochází. Důsledkem toho je: vzájemná nekonzistence dat, existence jedné a téže identity (objektu) ve více systémech s ne vždy shodnými údaji, ukládání údajů k jednomu objektu v různých systémech, čímž je velmi ztížena možnost souhrnného reportování informací průřezově za všechny moduly. 24/86
8.1. Popis stávajícího stavu Pod problematiku Dopravně správních agend ( DSA ) lze zahrnout vše, co je vymezeno zákonem č. 56/2001 Sb. o podmínkách provozu vozidel na pozemních komunikacích, ve znění pozdějších předpisů, zákonem č. 361/2000 Sb. o provozu na pozemních komunikacích, ve znění pozdějších předpisů, a dalšími souvisejícími obecně závaznými právními předpisy. Kromě toho je nutno brát do úvahy i další systémy a aplikace mimo DSA: Spisová služba; Ekonomický systém (ERP); Manažerské systémy (MIS); Personální a mzdový systém. DSA jako takové obsahují několik samostatných systémů (aplikací), které jsou tvořeny, spravovány a provozovány různými subjekty či odbory. Vzhledem k tomu jejich vývoj probíhá nekoordinovaně a nezávisle na sobě a bez ohledu na dopad na systém jako celek. Jednotlivé části DSA vznikaly historicky v různé době za podpor tehdy dostupných platforem, operačních, databázových systémů a integračních procesů. V současné době s potřebou reakce na stále nové legislativní změny dochází k nemalým investičním nákladům na tvorbu náhradních řešení (můstků), zajišťujících nezbytnou minimální úroveň resortní i meziresortní interoperability takto roztříštěných nesourodých systémů. Nadále dochází k neustálým a operativním zásahům do jednotlivých agend, které nejenom zvyšují náklady na jejich provoz, ale jsou překážkou požadované interoperability uvnitř resortu i k některým registrům dopravních agend EU (např. TACHONET). Situace se přitom bude bez systémové změny stále zhoršovat. Jedním z hlavních cílů tohoto dokumentu je proto analyzovat podmínky současného stavu technologické a procesní integrace všech aplikací DSA a dalších dotčených aplikací, a vytvořit tak předpoklady pro účelné a efektivní vynakládání prostředků a 25/86
minimalizaci zvyšování nákladů na správu a management jednotlivých částí DSA MD. Zároveň podpoří komplexní řešení součinnosti se systémem základních registrů. Současné technické možnosti vedení registrů motorových vozidel a registru řidičů vedou ke zrušení pojmu lokální evidence. Technologické možnosti a trendy v jiných resortech vedou i k uvolnění místní příslušnosti při registraci vozidla či aktivitách v oblasti řidičských oprávnění. 8.2. Dotčené aplikace a agendy MD Základní agendy (aplikace), kterých se tento dokument týká, jsou popsány v následujícím textu a jsou rozděleny dle svého účelu na DSA a ostatní. Jedná se o aplikace v oblasti DSA: centrální registr řidičů; informační systém pro státní odborný dozor; digitální tachograf; centrální registr dopravců; ADR - přeprava nebezpečných věcí; Elektronické mýto; centrální registr vozidel; státní technická kontrola; E-testy; Ostatní aplikace: ERP; Personální a mzdový systém; MIS; Systém spisové služby. Tento výčet není nutně úplný. Uvedeny jsou nejvýznamnější aplikace. 26/86
8.3. Současná rizika Jednotlivé části DSA vznikaly historicky v různé době za podpory tehdy dostupných platforem, operačních, databázových systémů a integračních procesů. Tj. používané platformy jsou zastaralé a nestejnorodé, náročné na úpravy i na údržbu. Z toho plyne i jejich nepružnost co do implementace požadavků především na výměnu dat a konsolidaci datové základny. Izolovanost systémů vede též k tomu, že informace z nich jsou poskytovány nekoordinovaně a bez dostatečné jistoty, že se dostanou pouze k oprávněným uživatelům. Chybí též strukturované prostředí, které umožní vypracovat systémovou politiku bezpečnosti informací, resp. aktualizovat stávající bezpečnostní politiky v rámci MD již vypracované. Jako reakce na stále nové legislativní změny dochází k nemalým nákladům na tvorbu náhradních řešení (můstků), zajišťujících nezbytnou minimální úroveň resortní i meziresortní interoperability takto roztříštěných nesourodých systémů. Nadále dochází k neustálým a operativním zásahům do jednotlivých agend, které nejenom zvyšují náklady na jejich provoz, ale jsou překážkou požadované interoperability uvnitř resortu i k některým registrům dopravních agend EU (např. TACHONET). Situace se přitom bude bez systémové změny stále zhoršovat. Aplikace musí splňovat zákonné normy, především zákon o základních registrech veřejné správy, zákon o spisové službě a archivnitví a zákon o ochranně osobních údajů, což bude vyžadovat pro současné verze aplikací a systémů sofistikovaný technický přístup, stejně jako zavádění nových legislativních požadavků. Bezpečnostní zásady musí být v souladu existujícími platnými normami, standardy a směrnicemi, které formulují s ohledem na stanovené strategické bezpečnostní cíle. 27/86
8.4. Pojem ekonomicko-personální agenda Znalec po analýze zadávací dokumentace, Smlouvy, Přílohy Smlouvy ani relevantních právních předpisů (zejména zákon č. 56/2001 Sb. o podmínkách provozu vozidel na pozemních komunikacích a zákon č. 361/2000 Sb. o provozu na pozemních komunikacích nenašel definici pojmu ekonomicko-personální agendy (dále jen EPA ). Obecně platí, že pod problematiku Dopravně správních agend ( DSA ) lze zahrnout vše, co je vymezeno zákonem č. 56/2001 Sb. o podmínkách provozu vozidel na pozemních komunikacích, ve znění pozdějších předpisů, zákonem č. 361/2000 Sb. o provozu na pozemních komunikacích, ve znění pozdějších předpisů, a dalšími souvisejícími obecně závaznými právními předpisy. Kromě toho je nutno brát do úvahy i další systémy a aplikace mimo DSA: Spisová služba (SS); Ekonomický systém (ERP); Manažerské systémy (MIS); Personální a mzdový systém (PMS). Z důvodu evidence provozovatele - fyzické osoby je CRV propojen s evidencí obyvatel. Provozně jde o centralizovanou evidenci s řízením přístupu dle definovaných rolí umožňující zachování přístupu k informacím dle teritoriální působnosti obcí s rozšířenou působností. Vazby CRV na okolní systémy jsou dále následující: - vazba na evidenci obyvatel EO - vazba na systém správy technických popisů vozidel - vazba na Schengenský IS - exporty dat pro potřeby oprávněných uživatelů: ČKP, soudy exekutoři, obce s rozšířenou působností - vazba na IS Policie ČR - ARES atd. 28/86
Na základě výše uvedených skutečností je třeba vycházet z předpokladu, že ekonomicko-personální agendy jsou pojem nadřazený pojmu dopravně -správním agendám a tedy, jinými slovy, ekonomicko-správní agendy v sobě zahrnují i dopravně-správní agendy, jak je ilustrováno na obrázku níže: Ekonomicko-personální agendy Dopravně správní agendy Spisová Dopravně služba Ekonomický správní systém Manažerský agendy systém Personální a mzdový systém Další agendy Obrázek: Ilustrační obrázek zařazení pojmu Ekonomicko-personální agendy, zdroj: Znalec. 29/86
09. Současný stav a nedostatky Centrálního registru vozidel (CRV) Současný informační systém CRV je provozován MV v rámci delimitační smlouvy s MD. Původně bylo CRV věcně příslušné právě MV, po změně legislativy přešla věcná příslušnost na MD. MD jako věcný správce přispívá MV na provoz tohoto registru v rámci uzavřené delimitační smlouvy. MV tedy garantuje provoz do 30.6.2012 (zahájení provozu základních registrů). Architektura stávajícího registru je technologicky velice zastaralá a její provoz již není dlouhodobě udržitelný (1centrální server a 77 krajských serverů). Navíc tato architektura přispívá k vysoké chybovosti dat. Dále nesplňuje požadavky na napojení na základní registry a registry EU (EUCARIS, RESPER atd.). Je možno shrnout nedostatky současného stavu CRV takto: - zastaralá a již nevyhovující architektura - nedostatečné funkční napojení na nově vzniklé základní registry (MVČR) - nedostatečné funkční napojení na registry spravované třetími stranami v rámci EU - problémy s tzv. čistotou dat (např. časté duplicity atd.) 30/86
10. Analýza rizik tvorby a provozu nové aplikace Centrálního registru vozidel (Projektu) 10.1. Analýza rizik projektu 10.1.1. Analýza rizik metodická východiska Příprava, realizace a následně provoz projektu byla, je a po celou dobu realizace bude provázena riziky, jejichž míru působení lze minimalizovat jejich definováním, soustavným vyhodnocováním a případným koncepčním nebo operativním zásahem reagujícím na skutečný výskyt rizika nebo možnost jeho vzniku. Rizika jsou konkrétní hrozby, které mohou ohrozit Projekt a jeho úspěšnost z hlediska množství kvality i výsledků a dopadů výsledných projektů, dodržení důležitých milníků Projektu, nepřekročení plánovaných nákladů Projektu a dosažení očekávaných přínosů. Analýza rizik je pak standardním nástrojem pro řízení a eliminaci rizik Projektu v přípravné i realizační fázi. Nová rizika se však mohou objevit i v dalších etapách Projektu, především v udržitelnosti dílčích aktivit. 31/86
Schéma základního postupu analýzy rizik Cílem řízení rizik je podchytit rizika Projektu, vyhodnotit pravděpodobnost jejich vzniku a závažnost dopadů, naplánovat akce směřující ke snížení pravděpodobnosti vzniku rizikové události a akce směřující ke zmírnění negativních dopadů rizikové události, pokud už nastane. V některých případech je možné na identifikované riziko vědomě reagovat rozhodnutím o akceptaci rizika bez nějakých protiopatření, neboť ta jsou buď nemožná nebo příliš časově či finančně nákladná. Všechny aktivity zahrnuté v přípravě i realizaci Projektu svým charakterem naplňují požadavky kladené na definici projektových rizik spojených s návrhem a implementací dílčích aktivit, které budou v rámci Projektu realizovány. Implementace Projektu bude probíhat v rizikovém prostředí, s nímž jsou spojené výdaje na realizaci Projektu a jeho následný provoz k plnění schválených záměrů a cílů Projektu. Prvním krokem procesu snižování rizik je proto jejich analýza. Analýza rizik pro potřeby implementace Projektu je chápána jako proces definování hrozeb, 32/86
pravděpodobnosti jejich výskytu a dopadu na aktivity, tedy stanovení rizika jejich závažnosti. Analýza zahrnuje následující kroky: - Rozbor vzájemných vztahů, kontextu a souvislostí procesů spojených s přípravou a realizací Projektu; - vytvoření základního souboru potenciálních rizik v procesech, operacích a činnostech v souladu s legislativními normami, případně dalšími normami a dokumenty ČR a EU; - výběr souboru rizik, která jsou důležitá z hlediska implementace Projektu; - sestavení pořadí rizik podle určeného stupně významnosti pro stanovení priorit rizik; - zpracování návrhu řešení eliminace nebo zmírnění rizik v průběhu přípravy a realizace Projektu. 33/86
Schéma podrobného postupu analýzy rizik 10.1.2. Klasifikace rizik a jejich dopadů Jedním z významných aspektů řízení rizik je identifikace (definice) potenciálních rizik, která lze na úrovni projektu dle svého charakteru rozdělit do předem definovaných klasifikačních skupin: - Právní rizika; - finanční rizika; - technická rizika; - personální rizika; - provozní rizika; - rizika vyšší moci. Následující tabulky představují výsledný seznam identifikovaných potenciálních rizik, která mohou nastat v průběhu přípravy či realizace předkládaného projektu, ale i v průběhu běžného provozu celkového projektu. Pro zvýšení přehlednosti byla jednotlivá rizika označena kódem (např. A.1, B.3, apod.). 34/86
Právní rizika Kód Riziko Dopad A.1 Nedodržení závazných pravidel pro zadávání veřejných zakázek. Nemožnost realizace zakázky, příp. sankce ze strany Úřadu pro ochranu hospodářské soutěže A.2 Nedodržení podmínek čerpání ze Příjemce by musel prostředky vrátit. státního rozpočtu. A.3 Nevyřešené vlastnické vztahy Ohrožení realizace projektu a rizika následných k místům realizace projektu (tam, prvních sporů. kde je to relevantní). A.4 Nedodržení právních norem ČR, EU. Projekt by pravděpodobně nemohl být realizován. Finanční rizika Kód Riziko Dopad B.1 Nepřidělení dotace ze státního Zvýšení nároků na financování projektu. rozpočtu na projekt. B.2 Nedostatek finančních prostředků Projekt by nebylo možné realizovat. v přípravné, realizační a provozní fázi. B.3 Navýšení cen technologií, Zvýšení celkových nákladů projektu a zároveň dodavatelských prací a dalších zvýšení nároků na financování projektu vstupů. v realizační fázi projektu. B.4 Růst provozních nákladů v Zvýšení provozní náročnosti daného projektu. provozní fázi projektu. B.5 Nedostatek finančních prostředků Ohrožení udržitelnosti výsledků projektu. v provozní fázi projektu. 35/86
Technická rizika Kód Riziko Dopad C.1 Nedostatky v zadávací dokumentaci včetně technického řešení. Projekt bude muset být dopracován. Tím dojde k celkovému zpoždění schválení a realizace. C.2 Dodatečné změny v projektu. Dodatečné změny by mohly významně ovlivnit dobu realizace projektu a ohrozit jeho realizaci. Je-li projekt již schválen, je významná změna projektu obecně administrativně náročnou procedurou. C.3 Špatná koordinace dodavatelských prací. Zpoždění zahájení provozu. Riziko snížení kvality dodaných prací/služeb/technologií. C.4 Špatná koordinace instalace technologií. Zpoždění zahájení provozu. Riziko snížení kvality provedení instalace technologií. C.5 Výběr nekvalitního dodavatele. Ohrožení kvality výstupu projektu a prodloužení doby realizace. Riziko zvýšených nákladů (dodatečných) na nápravu stavu. C.6 Nedodržení termínu realizace. Zpoždění zahájení provozu. Personální rizika Kód Riziko Dopad D.1 Nedostatečná delegace Neefektivní fungování projektového týmu. kompetencí v projektovém týmu. Ohrožení přípravy a realizace projektu či D.2 Nedostatečný vnitřní kontrolní systém. D.3 Nedostatek kvalifikované a kvalitní pracovní síly v provozní fázi. D.4 Fluktuace zaměstnanců zapojených do provozu projektu. běžného provozu projektu. Neefektivní fungování projektového týmu. Ohrožení realizace projektu či běžného provozu projektu. Ohrožení běžného provozu a udržitelnosti projektu. Nedostatečně kvalitní personální zajištění fungování. Provozní rizika Kód Riziko Dopad E.1 Nedostatek poptávky po výstupech projektu. Realizace projektu by ztratila smysl a projekt by nebyl udržitelný. E.2 Nedodržení monitorovacích Ohrožení běžného provozu. ukazatelů. E.3 Nenaplnění dodavatelských Ohrožení běžného provozu. smluv v provozní fázi projektu. E.4 Výpadek elektrické energie Ohrožení či znemožnění běžného provozu v provozní fázi projektu. projektu. Rizika vyšší moci Kód Riziko Dopad F.1 Živelná pohroma v realizační fázi Ohrožení nebo zpoždění realizace projektu, projektu. v extrémním případě úplné zastavení realizace. 36/86
F.2 Živelná pohroma v provozní fázi projektu. F.3 Krádež technologií nebo jejich poničení. F.4 Teroristický útok (včetně kybernetického útoku). Ohrožení běžného provozu, zvýšení nároků na zajištění BOZP. Možné ohrožení z hlediska udržitelnosti projektu. Znemožnění provozování dané technologie, resp. nutnost její opravy. Tento dopad mírní realizace předcházejících a souběžných projektů žadatele. Ohrožení běžného provozu. Nebezpečí poničení technologií a systému. Možné ohrožení z hlediska udržitelnosti projektu. Z identifikovaných problémových oblastí a bariér lze do projektových rizik dále zařadit: - Nedostatek informací o navazujících projektech a aktuální stavu navazujících projektů (projeví se v technických a finančních rizicích, označeno jako B6 a C7); - Problematická interpretace a naplnění indikátorů (projeví se v technických a finančních rizicích, označeno jako B7 a C8). Kód Riziko Dopad B.6/ C.7 B.7/ C.8 Nedostatek informací o navazujících projektech a aktuální stavu navazujících projektů Problematická interpretace a naplnění indikátorů Nejsou k dispozici dostatečné podklady, zejména technického charakteru. U jiných projektů dochází k jejich posunu v čase a u dalších není dostatečná informovanost u žadatelů o jejich aktuálním stavu. Hrozí riziko vytváření projektů, které nebudou schopny účelně a efektivně komunikovat, využívat a spolupracovat s navazujícími projekty. Zároveň hrozí vytváření nadbytečných služeb a duplicity funkcionality. To vše sebou přináší neefektivní nakládání s dostupnými finančními prostředky. Vzhledem k nejednoznačnosti definice indikátorů dojde k jejich špatnému vyhodnocení. Obdobně negativně může být žadatel hodnocen u indikátoru, jehož naplnění není schopen ovlivnit (např. vazba na centrální registry, u nichž již dnes dochází k posunu v čase). Následkem špatného vyhodnocení nebo nízkého ohodnocení v rámci indikátorů naplnění cílů bude žadatel krácen na finančních prostředcích, což může ohrozit kvalitu výsledného řešení a celkovou udržitelnost projektu. 10.1.3. Hodnocení rizik Druhou fází analýzy rizik je jejich vyhodnocení, které spočívá v určení míry dopadu D rizika a pravděpodobnosti výskytu P rizika. Obě veličiny jsou hodnoceny v kvalitativních bodových škálách (stupnicích) s definovaným 37/86
významem jednotlivých bodů škály. Míra dopadu (vlivu) rizika D a pravděpodobnost výskytu rizika P jsou hodnoceny dle stupnice uvedené v následující tabulce. Hodnota Stupnice míry dopadu D a pravděpodobnosti výskytu rizika P Dopad Pravděpodobnost výskytu Míra dopadu/ pravděpodobnosti 1 Téměř neznatelný Téměř nemožná Velmi malá 2 Drobný Výjimečně možná Malá 3 Významný Běžně možná Střední 4 Velmi významný Pravděpodobná Vysoká 5 Nepřijatelný Hraničící s jistotou Velmi vysoká Z hlediska efektivity řízení rizik bylo nutné pro každé riziko stanovit jeho význam (interpretovatelný jednou konkrétní hodnotou), který zahrnuje jak míru dopadu rizika, tak i pravděpodobnost jeho výskytu. Z tohoto důvodu byl pro každé riziko stanoven stupeň významnosti rizika V, který je definován jako součin bodového ohodnocení dopadu rizika D a pravděpodobnosti výskytu rizika P : V = D x P Významnost rizika V lze na základě dosažitelných hodnot klasifikovat do 3 skupin (viz. následující tabulka). Stupeň významnosti Hodnota Běžný 1 4 Závažný 5 11 Kritický 12 25 Pro úspěšné řízení rizik je nejdůležitější zaměřit se na rizika nejzávaznější (rizika spadající do kategorie Kritická rizika ), která je nutné co nejdříve eliminovatnebo alespoň minimalizovat. Cílem této podkapitoly tedy bylo vytvoření tzv. katalogu rizik, ve kterém jsou uvedeny hodnoty pro míru dopadu, pravděpodobnost výskytu a významnost rizik. Následující tabulka představuje výsledný katalog rizik souhrn 38/86
potenciálních rizik, která mohou nastat v průběhu přípravy a realizace předkládaného projektu, ale i v průběhu běžného provozu projektu. Č. rizika Riziko Právní rizika Katalog rizik 39/86 Míra dopadu Míra pravděp. výskytu Stupeň významnosti A.1 Nedodržení závazných pravidel pro zadávání veřejných zakázek. 3 1 3 A.2 Nevyřešené vlastnické vztahy k místům realizace projektu (tam, kde je to 2 1 2 relevantní). A.3 Nedodržení právních norem ČR, EU. 3 1 3 Finanční rizika B.1 Nepřidělení dotace ze státního rozpočtu. 4 2 8 B.2 Nedostatek finančních prostředků v přípravné, realizační a provozní fázi. 4 1 4 B.3 Navýšení cen technologií, dodavatelských prací 4 3 12 a dalších vstupů. B.4 Růst provozních nákladů v provozní fázi projektu. 2 3 6 B.5 Nedostatek finančních prostředků v provozní fázi projektu. 4 1 4 Technická rizika C.1 Nedostatky v projektové žádosti včetně technického řešení. 2 2 4 C.2 Dodatečné změny v projektu. 2 3 4 C.3 Špatná koordinace dodavatelských prací. 4 1 4 C.4 Špatná koordinace instalace technologií. 4 1 4 C.5 Výběr nekvalitního dodavatele. 4 1 4 C.6 Nedodržení termínu realizace. 2 3 6 Personální rizika D.1 Nedostatečná delegace kompetencí v projektovém týmu. 3 1 3 D.2 Nedostatečný vnitřní kontrolní systém. 3 1 3 D.3 Nedostatek kvalifikované a kvalitní pracovní síly v provozní fázi. 4 1 4 D.4 Nevhodný výběr personálu pro provoz projektu. 2 1 2 D.5 Fluktuace zaměstnanců zapojených do provozu projektu. 1 3 3 E.1 Nedostatek poptávky po výstupech projektu. Provozní rizika 4 2 8
Č. rizika Riziko Míra dopadu Míra pravděp. výskytu Stupeň významnosti E.2 Nedodržení monitorovacích ukazatelů. 4 1 4 E.3 Nenaplnění dodavatelských smluv v provozní fázi projektu. 3 2 6 E.4 Výpadek elektrické energie v provozní fázi projektu. 1 3 3 Rizika vyšší moci F.1 Živelná pohroma v investiční fázi projektu. 4 1 4 F.2 Živelná pohroma v provozní fázi projektu. 4 1 4 F.3 Krádež technologií nebo jejich poničení. 3 1 3 F.4 Teroristický útok (včetně kybernetického útoku). 2 1 2 Rizika spojená se špatnou publicitou projektu (marketing) G.1 Odmítnutí projektu ze strany uživatelů. 4 2 5 G.2 Odmítnutí projektu ze strany veřejnosti. 2 2 4 G.3 Špatné zvládnutá publicita projektu. 3 3 5 G.4 Neschopnost vysvětlit přínosy projektu. 4 2 5 10.1.4. Mapa rizik Mapa rizik slouží ke grafickému znázornění katalogu rizik míry dopadu D, pravděpodobnosti výskytu P a stupně významnosti V identifikovaných rizik. Za tímto účelem bylo sestaveno schéma, ve kterém bylo zobrazeno rozložení jednotlivých rizik do definovaných kategorií významnosti rizik. Nejvíce identifikovaných rizik spadá do kategorie Běžná rizika. Přesto bude kladen důraz na eliminaci všech identifikovaných rizik, protože mohou v případě vzájemného souběhu negativně ovlivnit projektu. 40/86
Tabulka: Grafická podoba tabulky rizik 41/86
10.1.5. Eliminace rizik Na analýzu rizik navazují opatření, jejichž cílem je úplná eliminace potenciálních rizik nebo alespoň jejich minimalizace do podoby, která již projekt zásadně neovlivní a neohrozí jeho průběh. Taktika řízení rizik spočívá ve výběru nejvhodnějšího postupu pro zvládání příslušného rizika. Zvládání rizika spočívá obecně ve snižování jeho dopadu anebo pravděpodobnosti jeho výskytu. Pro kritická rizika se stanovují tzv. generické taktiky k jejich zvládnutí výběrem jedné z dále uvedených metod: vyloučení rizika zákaz vybraných rizikových aktivit a procesů; snížení rizika snížení velikosti dopadu např. pojištěním rizika; přenos rizika redukce rizika snížením pravděpodobnosti nežádoucích událostí; přijetí rizika akceptace rizika na stávající úrovni bez dalších aktivit. Volba základní taktiky vychází z disponibilních možností, jakými vůbec lze v principu snížit dopad a pravděpodobnost konkrétního rizika. Smyslem základních taktik je především uvědomění si základního směru (resp. možnosti) pro snižování významností rizika (tj. směru zamýšleného posunu pozice rizika v mapě rizik, a to prostřednictvím snižování jeho pravděpodobnosti, anebo dopadu s cílem posunout pozici rizika v mapě rizik co nejvíce k počátku). Pro eliminaci identifikovaných rizik byla vždy zvolena vhodná taktika zvládání rizika, která vedla ke stanovení konkrétního opatření. 42/86
Opatření navržená pro eliminaci rizik projektu Č. rizika Riziko Opatření vedoucí k eliminaci A.1 A.2 A.2 A.3 B.1 B.2 B.3 B.4 B.5 C.1 Nedodržení závazných pravidel pro zadávání veřejných zakázek. Nedodržení podmínek zadávací a technické dokumentace. Nevyřešené vlastnické vztahy k místům realizace projektu (tam, kde je to relevantní). Nedodržení právních norem ČR, EU. Nepřidělení prostředků ze státního rozpočtu. Nedostatek finančních prostředků v předinvestiční, investiční a provozní fázi. Navýšení cen technologií, stavebních prací a dalších vstupů. Růst provozních nákladů v provozní fázi projektu. Nedostatek finančních prostředků v provozní fázi projektu. Nedostatky v zadávací dokumentaci žádosti včetně technického řešení. C.2 Dodatečné změny v projektu. C.3 Špatná koordinace dodavatelských prací. Právní rizika Žadatel má četné zkušenosti s prováděním výběrových řízení. Za jejich provedení budou zodpovědní zkušení pracovníci žadatele. Existuje metodický pokyn Ministerstva pro místní rozvoj k zadávání veřejných zakázek. Dohled nad dodržením podmínek bude zajišťovat projektový tým, který má bohaté zkušenosti s realizací projektů (zahrnující dílčí aktivity předkládaného projektu) financovaných z veřejných prostředků. Projektem dotčené nemovitosti vč. všech příslušenství budou před zahájením realizace projektu ve vlastnictví žadatele nebo bude zajištěn jejich pronájem. Dohled nad dodržením právních norem bude provádět právník projektu jakožto člen projektového týmu. Finanční rizika Žadatel požádá o prostředky v co nejkvalitnější podobě, která maximalizuje výsledné hodnocení projektu. Žadatel disponuje dostatečnou výší finančních zdrojů (vlastní zdroje), které mu umožní financovat spoluúčast národních zdrojů i nezpůsobilé výdaje projektu. Zvýšené náklady způsobené případným nárůstem cen technologií a vstupů v průběhu realizace projektu budou pokryty z vlastních zdrojů žadatele. Zvýšené náklady na vstupy během provozní fáze budou pokryty z vlastních zdrojů žadatele. Žadatel disponuje dostatečnou výší finančních zdrojů (vlastní zdroje) pro běžný provoz (tyto výdaje má odsouhlaseny). Technická rizika Zpracovatel zadávací dokumentace a technického řešení byl vybrán na základě zkušeností s rozsáhlými projekty odborného charakteru. Před zadáním vypracování technického řešení žadatel důkladně zvážil rozsah záměru. Ve spolupráci s ostatními členy projektového týmu dále průběžně dodefinoval záměr do konečné podoby. Za koordinaci dodavatelských prací bude zodpovědný hlavní dodavatel pro jednotlivé zakázky, případné porušení dojednaného 43/86
Č. rizika Riziko Opatření vedoucí k eliminaci C.4 C.5 Špatná koordinace instalace technologií. Výběr nekvalitního dodavatele C.6 Nedodržení termínu realizace. D.1 D.2 D.3 D.4 D.5 E.1 E.2 Nedostatečná delegace kompetencí v projektovém týmu. Nedostatečný vnitřní kontrolní systém. Nedostatek kvalifikované a kvalitní pracovní síly v provozní fázi. Nevhodný výběr personálu pro provoz projektu. Fluktuace zaměstnanců zapojených do provozu projektu. Nedostatek poptávky po výstupech projektu. Nedodržení monitorovacích ukazatelů. harmonogramu bude řešeno smluvní pokutou v uzavřené smlouvě o dílo. Za koordinaci instalace technologií bude zodpovědný hlavní dodavatel pro jednotlivé zakázky, případné porušení dojednaného harmonogramu bude řešeno smluvní pokutou v uzavřené smlouvě o dílo. Při výběrovém řízení bude kladen důraz na kvalitu uchazečů (realizované projekty, reference od zákazníků apod.) a navrhovanou cenu. Žadatel má bohaté zkušenosti s prováděním výběrových řízení. Část VŘ bude přenesena na externího dodavatele, který má bohaté zkušenosti v této oblasti. Za dodržování termínu projektu bude zodpovědný dodavatel a případné porušení dojednaného harmonogramu bude řešeno smluvní pokutou na základě uzavřené smlouvy o dílo. Personální rizika Každý člen projektového týmu má přesně stanovené povinnosti a kompetence. Existuje plán projektu, jehož součástí je organizační struktura projektu s vymezením rolí a úkolů. Koordinaci vztahů v rámci týmů bude zajišťovat projektový manažer, který má s realizací investičních akcí dlouholeté zkušenosti. Žadatel se řídí interními směrnicemi, které jasně definují provádění kontrol a četnost kontrolních dnů. Provoz projektu budou zajišťovat zaměstnanci žadatele, kteří mají dlouholetou praxi v oboru. Zadavatel standardně provádí důsledná výběrová řízení při obsazování pracovních pozic. Nejinak tomu bude i při náboru zaměstnanců pro provoz projektu. Část provozu může být zajištěna v případě potřeby prostřednictvím outsourcingu. Zadavatel dlouhodobě nezaznamenává nadměrnou fluktuaci personálu. Zadavatel disponuje kvalifikovanou i kvalitní pracovní silou, která zaručuje zastupitelnost jednotlivých pracovníků. Zaměstnanci a příslušníci budou dále odměňováni různými benefity. Provozní rizika Existuje prokazatelná poptávka po výstupech projektu. Monitorovací ukazatele žadatele vycházejí z reálných předpokladů, které byly důsledně zvažovány v předinvestiční fázi. Vedoucí projektového týmu bude mít plnou odpovědnost za 44/86
Č. rizika Riziko Opatření vedoucí k eliminaci E.3 E.4 F.1 F.2 F.3 F.4 Nenaplnění dodavatelských smluv v provozní fázi projektu. Výpadek elektrické energie v provozní fázi projektu. Živelná pohroma v investiční fázi projektu. Živelná pohroma v provozní fázi projektu. Krádež technologií nebo jejich poničení. Teroristický útok (včetně kybernetického útoku). jejich splnění v souladu se žádostí o dotaci. V případě neplnění dodavatelských smluv žadatel uplatní sankční podmínky, které budou v těchto smlouvách zakotveny. V případě hrubého porušení dodavatelských smluv žadatel vyvolá soudní řízení. S běžným výpadkem elektrické energie se u projektu vzhledem k jeho povaze muselo počítat a byl technickým řešením projektu zabezpečen tak, aby nedošlo ke ztrátám dat a zničení technologií. Rizika vyšší moci Ohrožení projektu živelnou pohromou je nepravděpodobné. Veškerý pořízený majetek bude pojištěn i proti následkům živelných pohrom. Veškeré dovezené materiály budou dále zajištěny proti znehodnocením nepříznivými povětrnostními podmínkami. Projekt se nenachází v lokalitě, která není nadměrně exponována vůči živelným pohromám. Veškerý pořízený majetek bude pojištěn i proti následkům živelných pohrom. Jednotlivé technologie budou zajištěny proti znehodnocení nepříznivými povětrnostními podmínkami. Zajištění maximální úrovně ostrahy jak z hlediska personálního zabezpečení, tak i moderních zabezpečovacích systémů. Fyzickému teroristickému útoku je předcházeno zajištěním maximální úrovně ostrahy z personálního hlediska i z zajištěním moderních zabezpečovacích systémů. Hrozba kybernetického útoku musí být eliminována technickými prostředky zabezpečení systému, a to hardwarovými i softwarovými. Shrnutí základních rizik a opatření na minimalizaci rizik Riziko Nedostatek lidských zdrojů na MD pro zajištění správy a provozu IS Nedodržování termínů plnění ze strany dodavatelů Zásadní změny použitých operačních programů a databázového systému Opatření - zahrnout předmětné činnosti do procesu optimalizace poměru outsourcovaných služeb a aktivit zajišťovaných MD, - formou outsourcingu zajistit funkci systémového a technologického integrátora. - veškeré aspekty dodavatelských vztahů musí být důsledně smluvně ošetřeny vč. nastavení účinných sankcí. - předpokladem a podmínkou dodávek SW musí být požadavek na plnou integraci do prostředí MD (zachování kontinuity), 45/86
Riziko Opatření přechod na zcela nové systémy - veškeré aspekty dodavatelských vztahů musí být důsledně smluvně ošetřeny vč. licenčních podmínek. Nezajištění dostatečných fin. prostředků na předfinancování a průběžné financování Zpožďování harmonogramu realizace projektu v důsledku obstrukcí ze strany neúspěšných uchazečů v zadávacích řízeních Dodatečné požadavky dodavatelů Nedostatečná institucionální podpora projektu Nedostatky v organizaci a koordinaci aktivit v projektu Zvýšení nákladů během realizace projektu - zpracování detailního plánu cash - flow projektu, zajištění jeho průběžného vyhodnocování a včasné přijímání potřebných opatření. - pečlivá příprava zadávacích podmínek a realizace výběrových řízení na dodavatele, - využít služeb externích odborníků (právní poradenství). - veškeré aspekty dodavatelských vztahů musí být důsledně smluvně ošetřeny. - zajišťovat průběžný lobbying projektu směrem k příslušným institucím, - využít externí konzultanty. - motivace pracovníků zapojených do realizace projektu (např. formou odměn apod.), - využít služeb externích konzultantů. - zpracování detailního a reálného rozpočtu. 10.2. Udržitelnost projektu Zásadním problémem, se kterým se Ministerstvo dopravy jako státní instituce bude pravděpodobně potýkat, je získávat a udržet zaměstnance s potřebnou odborností v oblasti IT. Překážku představují finanční zdroje a tarifní platové ohodnocení, kdy státní sféra může jen velmi obtížně konkurovat privátnímu sektoru a dochází tak k odlivu lidských zdrojů do soukromých firem. To může vyvolat potřebu pro Ministerstvo dopravy nutnost zajišťovat řadu služeb outsourcingem. 46/86
10.3. Vazba na strategické dokumenty na úrovni ČR Projekt má vazbu na následující strategické dokumenty na úrovni ČR: - Strategie Efektivní veřejná správa a přátelské veřejné služby (Strategie realizace Smart Administration v období 2007 2015); - Strategie rozvoje služeb pro informační společnost - základním cílem Strategie rozvoje služeb pro informační společnost schválené Radou vlády pro informační společnost dne 7. 8. 2008 je transformovat postupy používané ve veřejné správě tak, aby využívaly moderních ICT, což zásadním způsobem zjednoduší komunikaci firem a občanů s veřejnou správou i mezi subjekty veřejné správy navzájem; - Strategie implementace egovernmentu v území tato strategie má následující cíle: Vytvořit na úrovni krajů a obcí technologické a personální zázemí pro fungování egovernmentu; administrovat a propagovat egovernment a Smart Administration (SA) na úrovni krajů a obcí; vytvořit na úrovni krajů a obcí systém vzdělávání v oblasti egovernmentu. 10.4 Závěr kapitoly Znalec považuje projekt tvorby a provozu CRV za prospěšný s přiměřenou a akceptovatelnou mírou rizik. 47/86
11. Závěr znaleckého posudku komparativní tabulka věcného zařazení včetně zdůvodnění USTANOVENÍ SMLOUVY NÁZEV USTANOVENÍ ZDŮVODNĚNÍ ZAŘAZENÍ Čl. 3.2.2. Služby na žádost Jedná se o obecné zastřešující ustanovení ve Smlouvě, které umožňuje, aby objednavatel na základě svého požadavku mohl objednat dodání dalšího plnění v oblasti řízení a rozvoje ICT. Toto plnění nemuselo být v době uzavření Smlouvy ještě přesně známo, proto se strany dohodly na určité volné kapacitě dodavatele vyjádřené v člověkodnech, kterou je možné na tyto požadavky využít. Čl. 3.1.3.1. Katalogový list č. 011 Služby projektového managementu (KL011) V rámci tvorby aplikace CRV bude potřeba projekt řídit dle standardizovaných požadavků a principů projektového managementu a projektového řízení. Čl. 3.1.3.2. Katalogový list č. 012 Služby konzultační a školící (KL012) Během procesu tvorby a po vytvoření aplikace CRV bude třeba využít i konzultačních a školících služeb. Čl. 3.1.3.3. Katalogový list č. 013 Služby rozvoje aplikací (KL013) Jedná se o stěžejní katalogový list, na základě kterého je možné nechat aplikaci CRV vytvořit, protože daná aktivita spadá pod službu rozvoje aplikace na žádost, konkrétně pod popis služby vývoj aplikace. 48/86
12. Výrok znalce V návaznosti na rozbor a skutečnosti v tomto znaleckém posudku výše uvedené znalec došel k závěru, že tvorba a provoz aplikace Centrálního registru vozidel, jež je obsahově a funkčně vymezena v Příloze CRV (Detailní specifikace Služby aplikačního rozvoje CRV) tohoto posudku, je věcně podřaditelná pod předmět Smlouvy o poskytování a rozvoji IT služeb, jež byla uzavřena mezi ČR - Ministerstvem dopravy coby objednatelem a společností ATS-TELCOM PRAHA, a. s. coby dodavatelem dne 31.3.2010. Tvorba a provoz aplikace CRV je jmenovitě podřaditelná pod tato ustanovení citované Smlouvy: čl. 3.2.2. Smlouvy Služby na žádost Katalogový list č. 11 Služby projektového managementu (čl. 3.1.3.1. Smlouvy) Katalogový list č. 12 Služby konzultační a školící (čl. 3.1.3.2. Smlouvy) Katalogový list č. 13 Služby rozvoje aplikací (čl. 3.1.3.3. Smlouvy) 49/86
13. Oprávnění znaleckého ústavu 13.1. Prověrka NBÚ na stupeň tajné 50/86
13.2. Dekret znaleckého ústavu 51/86
13.3. Certifikace na ISO/IEC 20000-1 poskytování ICT služeb 52/86
13.4. Certifikace na ISO 9001-2009 systém kvality řízení 53/86
13.5. Certifikace na ISO/IEC 27001:2006 bezpečnost informací 54/86
13.6. Certifikace integrovaný systém řízení 55/86
14. Oprávnění a certifikace hlavního řešitele 14.1. Jmenovací dekret soudního znalce 56/86
14.2. Osvědčení o prověrce Národního bezpečnostního úřadu na stupeň tajné 57/86
14.3. Osvědčení o oprávnění vykonávat advokacii 58/86
14.4. Osvědčení vedoucího auditora k řízení rizik bezpečnosti informací ve smyslu ISO/IEC 27001 59/86
14.5. Osvědčení vedoucího auditora k managementu IT služeb ve smyslu ISO 2000 60/86
14.6. Osvědčení senior projekt manažera ve smyslu normy ISO 10006:03 61/86
14.7. Osvědčení projektového manažera dle mezinárodní metodiky PRINCE2 62/86
14.8. Osvědčení projektového manažera dle mezinárodní metodiky ITIL 63/86
15. Prohlášení o nezávislosti Tímto prohlašujeme, že ke zúčastněným subjektům (stranám smluv) nejsme ve vztahu finanční nebo personální závislosti nebo v zaměstnaneckém či jiném obdobném poměru. 64/86
16. Znalecká doložka ZNALECKÁ DOLOŽKA Znalecký posudek vypracoval ústav kvalifikovaný pro znaleckou činnost Cetag, s.r.o., se sídlem Na Poříčí 1070/19, Praha 1 11000, IČ: 27451925, společnost vedená u rejstříkového soudu v Praze, C 114044, jmenovaný Ministryní spravedlnosti dne 4. března 2010, č.j.: 309/2009 OD-ZN a zapsaný do prvního oddílu seznamu ústavů kvalifikovaných pro znaleckou činnost v oboru kybernetika výpočetní technika podle ustanovení par. 21., odst. 3 zákona č. 36/1967 Sb., o znalcích a tlumočnících a ustanovení par. 6., odst. 1 vyhlášky č. 37/1967 Sb., ve znění pozdějších předpisů. Hlavní řešitel: Doc. JUDr. Ing. Bohumír Štědroň, Ph.D., LL.M., MBA (kontaktní osoba ve věci znaleckého posudku) Znalecký posudek je zapsán ve znaleckém deníku pod pořadovým číslem 28-2011. V Praze, dne 16. prosince 2011.... Doc. JUDr. Ing. Bohumír Štědroň, Ph.D., LL.M., MBA v.r. Jednatel společnosti, soudní znalec, advokát 65/86