Metodická pomůcka k nastavení řídící kontroly
Centrální harmonizační jednotka pro finanční kontrolu
Ing. Josef Svoboda PhD.
ředitel
Letenská 15, Praha 1-Malá Strana, 118 10
Č.j. 17/111683/2006
Metodická pomůckak nastavení řídící kontroly podle COSO ERM se zaměřením na řízení rizik v orgánech státní správy
Ministerstvo financí – Centrální harmonizační jednotka pro finanční kontrolu vydávána základě § 7 odst. 1 pís a),b) a § 25 zákona odst. 1 a 4 č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů, ve znění pozdějších předpisů, metodickou pomůcku k nastavení řídící kontroly podle COSO ERM se zaměřením na řízení rizik v orgánech státní správy
Leden 2007
OBSAH
- Úvod ............................................................................................................................... 3
- Obecná část.................................................................................................................... 4
- Zvláštní část................................................................................................................... 5
3.1.Vnitřní prostředí........................................................................................................ 5
3.2.Stanovení cílů............................................................................................................ 6
3.3.Identifikace události................................................................................................... 7
3.4.Posuzování rizik........................................................................................................ 8
3.5.Reakce na riziko....................................................................................................... 8
3. 6. Řídící a kontrolní činnosti........................................................................................... 9
3. 7. Informace a komunikace........................................................................................... 9
3. 8. Monitoring.............................................................................................................. 11
1. Úvod
Metodická pomůcka je určena pro vedoucí zaměstnance ve státní správě k nastavení řídící kontroly podle COSO ERM se zaměřením na řízení rizik v orgánech státní správy. Odpovědnost vedoucích orgánů státní správy a ostatních vedoucích zaměstnanců těchto orgánů za zavedení a fungování vnitřního kontrolního systému, včetně řízení rizik, vyplývá z ustanovení § 25 zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů, v platném znění (zákon o finanční kontrole).
Metodická pomůcka navazuje na předcházející pokyny vydané CHJ Ministerstva financí ČR (např. Pokyn CHJ – 6 a 17 a další). Rozpracovává řízení rizik podle modelu COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission – Enterprise Risk Management) z pohledu řídící kontroly.
Příručka byla vypracována na základě nejlepších zkušeností a doporučení, která vycházejí z principů pro řádnou správu a řízení státu, z mezinárodně uznávaných standardů, integrovaného pojetí systému vnitřního řízení kontroly podle COSO ERM.
Řízení rizik je objektivním nástrojem, který má být využíván jako součást kontrolního systému za účelem usnadnění identifikace rizik či rizikových oblastí. Tyto nástroje napomáhají vedoucím zaměstnancům dosáhnout svých cílů a získat lepší ujištění o patřičném fungování jejich finančních služeb.
Jde o obecně aplikovatelnou metodickou pomůcku, kterou si každý vedoucí zaměstnanec orgánu státní správy musí přizpůsobit konkrétním podmínkám útvaru, který řídí a za který nese odpovědnost.
V obecné části jsou uvedeny základní pojmy související s nastavením řídící kontroly podle COSO ERM se zaměřením na řízení rizik v orgánech státní správy. Ve zvláštní části je formalizován postup vedoucích zaměstnanců v rámci jednotlivých komponentů COSO ERM
Příručka byla zpracována v rámci twinningového projektu se švédskými expertyCZ 05. 02. 01 - Posilování role PIFC.
Za českou stranu se zpracování příručky zúčastnili:
MF CHJ – Mgr. Pavel Voska, Ing. Magdalena Fendrychová, Ing. Štěpánka Zeithamlová
MF odbor 11 – Ing. Vladimír Dočkal
FŘ v Praze – Ing. Marie Burešová, CSc.
Externí poradce – Věra Chládová
Za švédskou stranu se zpracování příručky zúčastnili:
Anders Nilsson – RTA
Mgr. Helena Bergmanová – RTA-A
2. Obecná část
Model COSO ERM je model, který definuje řídící kontrolu jako proces, který je vykonáván vedoucími zaměstnanci orgánů státní správy tak, aby zajišťoval dosažení cílů ve třech kategoriích:
a)účinnost, efektivnost a účelnost operací,
b)spolehlivost vnitřního řízení a kontroly, včetně ochrany majetku,
c)soulad s příslušnými zákony a nařízeními.
Nastavení systému řízení rizik podle COSO ERM pomocí nástrojů jako jsou etika, efektivní řídící a kontrolní mechanismy a "Corporate Governance"[1] snižuje možnost výskytu rizik v orgánech státní správy. Systém COSO ERM je postaven na 8 základních prvcích, které je možné graficky vyjádřit pomocí následující krychle.
3. Zvláštní část
Nastavení řídící kontroly, vč. řízení rizik podle COSO ERM (8 komponentů)
V rámci každého z osmi základních komponentůje třeba se pokusit odpovědět na otázku, co, jaka proč by měl vedoucí zaměstnanec učinit, spolu s možnými způsoby, jak toho dosáhnout.
COSO ERM jako proces
3. 1. Vnitřní prostředí
Jedná se o prostředí, ve kterém se vytvářejí a působí vnitřní řídící a kontrolní mechanismy. Vnitřní prostředí v sobě zahrnuje především tyto oblasti:
Østrukturu organizace,
Øsystém řízení,
Øřízení lidských zdrojů,
Ødelegování povinností, pravomocí a odpovědnosti,
Østrategie vedoucích pracovníků pro řízení rizik,
Øetické a morální hodnoty organizace,
Øetický kodex,
Øodborná kvalifikace, vzdělávání a hodnocení pracovníků,
Øřídící dokumentace,
Øumístění a vybavení pracovišť.
Vedoucí orgánu státní správy v daném vnitřním prostředí a s ohledem na jeho specifika vypracuje jasnou strategii, která přispěje k jednoznačnému porozumění řízení rizik, což pomůže orgánu státní správy dosáhnout uložených cílů a integrovat řízení rizik do všech procesů činnosti. Strategie řízení rizik musí obsahovat:
Øsystém a koncepci,
Øúlohu vedoucích zaměstnanců,
Øfáze implementace.
3. 2. Stanovení cílů
Zahrnujespojení plánování a hodnocení rizik (řízení rizik na úrovni vedoucího orgánu státní správy je zahrnuto do procesu vytváření strategií a plánů, na ostatních úrovních řízení je zahrnuto do samotné realizace činnosti).
Cíle musí být definovány ještě před tím, než se začnou identifikovat události, které je mohou ovlivnit.
Metodické kroky k vymezení a precizaci cílů:
1.definovánícíle jako kvantitativního a kvalitativního očekávaného stavu,
2.provedení hierarchizace cílů, tj. určení, na jaké organizační úrovni budou jednotlivé cíle plněny,
3.definování priorit jednotlivých cílů,
4.provedení koordinace cílů,
5.stanovení kritérií měření cíle,
6.určení, jakými prostředky budou jednotlivé cíle dosaženy (např. lze použít metodu řízení podle cílů - MBO[2]),
7.provedení zpětné kontroly vykonaných činností s cíli.
Systém řízení rizik musí být nastaven tak, aby zajistil proces vedoucí k nastavení cílů, které odpovídají strategickým záměrům a jsou v souladu s mírou ochoty akceptovat rizika.
Z hlediska identifikace cílů a posouzení rizika je důležité mít konkrétní, měřitelné, dosažitelné, relevantní a načasované cíle, aby bylo možné posoudit rizika jejich neplnění.
Rizika působí na proces řízení a na kontrolní mechanismy
3. 3. Identifikace události
Všechny interní i externí události, které ovlivňují dosažení cílů, musí být včas identifikovány a musí být rozlišen možný pozitivní či negativní dopad. Události s negativním dopadem jsou rizika.
Identifikace událostí probíhá na všech stupních řízení. Vedoucí orgánu státní správy musí být neprodleně informován o zjištěných událostech. Události musí být reflektovány zpět ve strategii nebo v nastavení cílů.
Na základě identifikace události se stanoví rizika. Hledají seodpovědi především na následující otázky:
ØCo je příčinou dané události?
ØJaké jsou její důsledky?
ØJaká je její tendence?
ØJe potřebné dané riziko řešit?
ØJakými formami je možné riziko zvládnout?
ØPromítají se zjištěná rizika ve strategii nebo nastavení cílů?
Techniky k identifikaci událostí používané podle konkrétních požadavků organizace jsou zejména:
Øinteraktivní workshopy,
Øosobní rozhovory,
Ødotazníky (Delfská metoda),
Øanalýzy procesů,
Økatalog rizik.