-- Analýza, hodnocení a stanovení rizik
Cíl analýzy
Cílem analýzy je identifikovat rizika a nalézt slabá místa informačního systému z hlediska bezpečnosti. Základním východiskem analýzy je ohodnocení aktiv (informace, data, HW, SW apod.) a v dalších krocích jsou pak pojmenovány hrozby a zranitelnost těchto aktiv.
Provádění analýzy
Analýzu rizik lze provést v různých variantách lišících se hloubkou šetření. Obvyklými variantami jsou přehledová nebo detailní analýza.
Analýza a hodnocení rizik
Analýza a hodnocení rizik jsou procedury, které slouží pro potřeby řízení a tvoří podklady pro rozhodovací proces. Z toho vyplývá, že pracovní postupy musí respektovat určité požadavky, které zaručují správné a kvalifikované rozhodování a proaktivní řízení, které na základě současných znalostí je nejlepším nástrojem pro zajištění ochrany, bezpečnosti a rozvoje státu či organizace. Prioritní ochrana je věnována základním zájmům státu, tj. ochraně životů a zdraví lidí, majetku, životního prostředí, bezpečnosti obyvatelstva a aktuálně v poslední době ochraně kritické infrastruktury.
Hodnocení rizik
Hodnocení rizik je možno provést jen na základě konkrétních, pravdivých a ověřených datových souborů o dané živelní pohromě, nehodě, havárii, útoku apod., které platí pro fyzikálně správně definovaný prostor či území a profyzikálně správně definovaný časový interval. Cílem je zajistit rozhodování ve prospěch věci. Proto musí být používán otestovaný soubor kritérií, který zaručuje objektivitu, nezávislost a nezaujatost hodnocení. V řadě případů jsou posuzované problémy komplexní nebo mají mnoho nejistot a neurčitostí, což způsobuje, že je třeba použít vícekriteriální expertní metody.
Stanovení rizik
Stanovení rizik při interním auditu je nezávislá, objektivní, ujišťovací a konzultační činnost zaměřená na přidání hodnoty a zdokonalování procesů v organizaci.
Interní audit pomáhá organizaci dosáhnout jejich cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování efektivnosti řízení rizik, řídících a kontrolních procesů a správy a řízení organizace.
Katalog rizik organizace .
Požadavek mít zpracovaný Katalog rizik vyplývá ze zákona č. 320/2001 Sb.,finanční kontrole ve veřejné správě, a současně z Pokynů Ministerstva financí ČR, k jednotnému uplatňování závazných pravidel a doporučování pro výkon interního auditu v orgánech veřejné správy. Rovněž vychází z doporučení Evropské komise, pokud se jedná o prostředky EU.
Metodika
Obsahem metodiky je návod, jak provést analýzu rizik jednotným způsobem, a to jak v oblasti strukturálních nástrojů pomoci EU, tak i ve vnitřním kontrolním systému organizace.
Jednotná metodika k provedení výše uvedené analýzy je určena pro generálního ředitele, ředitele úseků GŘ, ředitele Závodů a Správ (dále jen vedoucí zaměstnanci)a správce rizik jednotlivých útvarů.
Co je riziko
Riziko je pojem používaný k vyjádření nejistoty výskytu určitých událostí a nebo jejich následků, které by mohly mít významný dopad na splnění stanovených cílů organizace. Rizikem se rozumí hrozba (nebezpečí), že může nastat určitá událost, jednání nebo stav, který ohrozí nebo znemožní plnění úkolů vyplývajících z předmětné činnosti a stanovených cílů ORGANIZACE, a nebo který může mít za důsledek vznik škody či poškození pověsti ORGANIZACE zapříčiněné zejména porušováním právních předpisů nebo obecně uznávaných etických pravidel. Riziko působí na proces řízení a kontrolní mechanismy.
Rizikový faktor
Rizikový faktor je vyjádření potencionálních dopadů dílčích zdrojů a příčin rizikaa pravděpodobnosti jejich výskytu. Pomocí rizikových faktorů se stanoví relativní význam dílčích zdrojů a příčin rizika a posuzuje se riziko jako celek.
Správci rizik
Správci rizik ve spolupráci s vedoucími zaměstnanci v jimi řízených útvarech zabezpečí aktualizaci "Katalogu rizik":
oblast = stanovení základní oblasti rizika, jako např. legislativní riziko, riziko v oblasti lidských zdrojů, riziko v oblasti přípravy a výběru projektu ISPA atd.
riziko = stručný popis rizika tak, jak vyplyne z provedené analýzy, jako např. riziko platebního styku – hrozí opožděné platby, riziko informačních systémů – nebezpečí neprovedení záznamů z důvodu nefunkčních datových sítí, riziko legislativní – časté legislativní změny mohou přinést zpoždění nebo neprovedení úkonů stanovených zákone atd.
pravděpodobnost a dopad = ohodnocení analyzovaného rizika v obou kategoriích ve stanovené číselné řadě 1 až 5, přičemž číslice 1 vyjadřuje nejnižší stupeň ohodnocení a číslice 5 nejvyšší stupeň ohodnocení
celkové riziko = součin pravděpodobnost x dopad, přičemž nejvyšší hodnota celkového rizika činí
opatření pro zmírnění rizika = stručné slovní vyjádření způsobu minimalizace rizika, jako např. dodržování splatnosti daňových dokladů a termínů podle zákona eventuelně VNA, včasná informovanost o legislativních změnách a promítnutí legislativních změn do dotčených VNA atd.
Zaměstnanec pověřený řízením a správou rizik z těchto analýz zpracuje katalog rizik organizace. .
Po schválení generálním ředitelem je Katalog rizik zaslán zpět jednotlivým vedoucím zaměstnancům a správcům rizik. Dále zaměstnanec pověřený řízením a správou rizik, ve spolupráci s vedoucími zaměstnanci a správci rizik, bude zabezpečovat aktualizaci Katalogu rizik, která podle nastavených standardů musí proběhnout minimálně 1x ročně.
Model správy rizik je obvykle u organizacích takový :
Generální ředitel:
Odpovědným za řízení a správu rizik v rámci organizace je generální ředitel.
Risk manager:
Generální ředitelstvíjmenuje risk managera. Risk manager je přímo podřízený generálnímu ředitelia spolupracuje se správci rizik jednotlivých útvarů a útvarem interního auditu..
Správci rizik:
Odpovědným za řízení a správu rizik v jednotlivých útvarech je ředitel útvaru, který jmenuje správce rizik.
Risk management
Členy jsou generální ředitel, risk manager a správci rizik jednotlivých útvarů.
Risk manager a správci rizik v úzké součinnosti s vedením jednotlivých útvarů zajišťují:
a)rozpoznávání a vyhledávání rizik
b)hodnocení a určování stupně významnosti těchto rizik
c)včasné oznamování skutečností o existenci významných rizik a předkládání návrhů pro účely rozhodování, určování priorit a přijímání efektivních akontrolovatelných opatření vedení organizace k jejich odstranění, nebo zmírnění
d)průběžné sledování existujících rizik a včasné reakce na nastalou bezprostřední hrozbu jejich nežádoucího dopadu v souladu s opatřeními přijatými k vyloučení, nebo zmírnění těchto rizik
e)vypracování a průběžnou aktualizaci Katalogů rizik zejména při změnách ekonomických, právních, provozních a jiných podmínek a při vzniku nových rizik, nejméně však jedenkrát ročně
f)předávání aktualizovaných Katalogů rizik útvaru interního auditu k využití pro plánování jeho činnosti
Dále jsou nápomocni:
a)při sestavování plánů kontrolní činnosti v návaznosti na stanovená rizika
b)při vyhodnocování kontrolní činnosti
Risk management:
a)minimálně 1x ročně schvaluje aktualizovaný Katalog rizik
b)vyhodnocuje plnění plánů kontrolní činnosti
Zajité se činnosti, které jsou výše popsány stále vyvíjejí a není to jednoduchou záležitostí. Chybí pochopení nutnosti zřídit podmínky pro výkon finanční kontroly a provádět finanční kontrolu, protože celý systém finanční kontroly mění navyklé způsoby řízení organizací a zprůhledňují rozhodování managementu těchto organizací. Na rozhodování se totiž podílí mnoho faktorů, které nutí přemýšlet o realizaci zamýšlených kroků v rozhodovacím procesu. Proto také vytvoření katalogu rizik není jednoduchou záležitostí. V zastaralém způsobu řízení a v zastaralém způsobu rozhodovacího procesu chybí nadhled nad činnostmi, které vedoucí zaměstnanci provádějí v každodenním pracovním procesu . Ten nadhled, který je nutný uplatnit při postupech, které si vyžaduje finanční kontrola.