Metodický pokyn Centrální harmonizační jednotky (dále jen „CHJ“) Ministerstva financí České republiky přináší od dubna roku 2016 nový, a dle názoru autora mnohem logičtější přístup k řízení rizik v orgánech veřejné správy (dále také „OVS“), na které se vztahuje zákon č. 320/2001 Sb. , o finanční kontrole ve veřejné správě a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZFK “). Z letopočtu přijetí tohoto zákona v porovnání k roku přijetí metodiky by se zdálo, že řízení rizik ve veřejné správě nemělo mnoho let žádnou metodickou podporu. To však není pravda. Z dílny CHJ byly vydány: pokyn CHJ č. 6, z roku 2004 – pokyn k jednotnému uplatňování závazných pravidel a doporučení pro systém řízení rizik v orgánech veřejné správy; a dále Metodická pomůcka k nastavení řídící kontroly podle COSO ERM se zaměřením na řízení rizik v orgánech státní správy, platná od 1. 1. 2007. Obě metodiky v zásadě nastavily, terminologii, systém ohodnocování rizik a zasadily ho do systému vnitřního řízení a kontroly subjektů veřejné správy tak, jak to předpokládá ZFK . Nutno konstatovat, že tato zásadní úprava se ani vydáním metodiky z dubna roku 2016 nezměnila. To, v čem změna nastala, a to změna zásadní, je metodika přístupu.
Řízení rizik dle Metodiky řízení rizik ve veřejné správě ze dne 4. 4. 2016
Mgr.
Pavel
Bláha
Zákonná úprava pro řízení rizik v subjektech veřejné správy
Připomeňme na začátek ještě zákonnou úpravu v ZKF týkající se problematiky řízení rizik. Za prvé jde o to, aby vedoucí orgánu veřejné správy v jím řízené organizaci zavedl a udržoval takový vnitřní kontrolní systém, který:
„je způsobilý včas zjišťovat, vyhodnocovat a minimalizovat provozní, finanční, právní a jiná rizika vznikající v souvislosti s plněním schválených záměrů a cílů orgánu veřejné správy“
. Pokud si uvedenou definici rozklíčujeme, dojdeme k následujícím závěrům.Stanovení záměrů a cílů veřejné správy
Jako prvotní
musí existovat schválené záměry a cíle
subjektů veřejné správy. Ideální
by bylo, aby tyto cíle měly podobu
dle metody SMART.
Tedy by měly být specifické a konkrétní
(Specific). Dále musí být měřitelné a hodnotitelné
(Mesurable). Nezbytnou součástí je i odsouhlasenost a přijetí
cílů (Agreement), dále jejich reálnost a realizovatelnost
(Realistic). A na závěr by cíle měly mít stanovený nebo vymezený termín nebo čas na jejich splnění
(Timely). Tím jsme narazili na bolavé místo mnohých subjektů ve veřejné správě (zejména ve výkonu státní správy). U nich už samotné určení jasných konkrétních úkolů bývá problém. V zásadě se vychází z toho, že náplň činnosti určují příslušné právní předpisy, a že tudíž není třeba cíle na určité období dále konkretizovat a specifikovat. To snad jen s výjimkou potřeby zajištění zákonných změn a počtu a charakteristiky systemizovaných míst, resp. organizační struktury. Jedná se však o změny obecné, statické. Specifikace výkonových cílů však v mnohém chybí. Výrazně lépe jsou na tom obce a města, která mají samosprávný charakter, a v podstatě jim nezbývá nic jiného, než aby si cíle minimálně v podobě střednědobých plánů a ročních rozpočtů stanovovaly – a to pro zajištění výkonu jejich územní správy. Obdobně jsou na tom i příspěvkové organizace, které musí zajistit svěřenou působnost a musí se svěřeným majetkem a vlastním, nebo dotovaným rozpočtem zajistit předmět činnosti. Tudíž si musí minimálně před sebe postavit uložené úkoly, předmět činnosti a zvážit dostatečnost různých druhů zdrojů, vlastního majetku k dosažení cílů. Na základě toho před nimi stojí potřeba plánování a vyhodnocování.
Hledání cest k naplnění a uskutečnění cílů
Když jsou cíle OVS stanoveny, nezbývá každému subjektu než hledat cesty k jejich naplnění a uskutečnění. Musí si dle jemu nastavených majetkových, rozpočtových, finančních personálních limitů vytvořit odpovídající systém k dosahování cílů. Prvotní potřebou je tedy stanovit organizační strukturu a náplň činnosti jednotlivých útvarů. K náplni se musí vázat
kompetence
, odpovědnost, nadřízenost, podřízenost a spolupráce jednotlivých útvarů tak, aby cílů mohlo být dosaženo. Přijatá struktura se pak musí naplnit příslušnými počty zaměstnanců a jejich vedoucích, a to při zachování požadavků a jejich znalosti a schopnosti realizovat cíle. Ale to vše tvoří pouze organizační rámec a předpoklad výkonu. S ohledem na rámec je však nutné budovat a nastavovat procesy v jednotlivých agendách, aby rámec dostal odpovídající obrysy funkčnosti. A
právě vědomí si uložených cílů, organizačního rámce a procesů představuje základní prvek pro uvědomění si rizik, která mohou naplnění cílů ohrožovat.
Právě tady lze nalézt podklad pro definici pojmu riziko, kterých je ostatně mnoho. Riziko
je tedy možné vnímat jako nestandardní zásah, který může narušit nebo ohrožovat dosažení
předpokládaného cíle nebo jeho parametrů, průběhu realizace… Je nutné si uvědomit, že rizika jsou běžným průvodním jevem jakéhokoliv konání, chod OVS nevyjímaje. Ale smyslem finanční kontroly by mělo být takováto rizika se znalostí věcí předvídat, ocenit, analyzovat a najít cesty, jak je maximálně eliminovat
. To představuje základní obsah systému řízení rizik. Dále je nutné dodat, že ZFK sice předpokládá řízení rizik pouze ve vztahu k veřejným příjmům nebo výdajům. Ale i na procesy v OVS, které mají nefinanční průběh nebo dopad, bychom měli nasadit stejný systém řízení rizik, jako na ty s finančním dopadem.Zákon o finanční kontrole
dále v § 4 mimo jiného v rámci hlavních cílů finanční kontroly
OVS ukládá, aby zajistily ochranu veřejných prostředků proti rizikům, nesrovnalostem nebo jiným nedostatkům způsobeným zejména porušením právních předpisů, nehospodárným, neúčelným a neefektivním nakládáním s veřejnými prostředky nebo trestnou činností. Vedoucí orgán veřejné správy a jeho povinnosti
Paragraf 25 ZFK pak
vrcholovou odpovědnost za zavedení a aktualizaci vnitřního kontrolního systému
, který bude schopen identifikovat, analyzovat, hodnotit a ve svém důsledku řídit rizika, určuje vedoucího orgánu veřejné správy
. Jde tedy o odpovědnost systémovou, u níž však musí zajistit i její realizaci a přenést za ni odpovědnost na ostatní vedoucí zaměstnance.Výkonní vedoucí zaměstnanci
orgánu pak v rámci vymezených povinností, pravomocí a odpovědností jsou povinni zajistit fungování vnitřního kontrolního systému
. Současně jsou povinni vedoucího OVS seznámit se vznikem významných rizik
, se závažnými nedostatky v činnosti, a oznámit mu opatření, které učinili, aby rizika a nedostatky nevznikly
, nebo aby byl maximálně omezen jejich dopad. Rovněž ho musí včas informovat a podat mu spolehlivé informace o výsledcích dosahovaných při plnění stanovených úkolů. To znamená, že odpovědnost za řízení rizik u ostatních vedoucích je směřována do oblasti výkonu a dosahování schválených cílů.Interní audit
Kromě vedoucího OVS a ostatních vedoucích zaměstnanců je
odpovědnost za monitorování rizik svěřena internímu auditu.
Ten svá šetření týkající se vnitřního kontrolního systému musí směřovat k tomu, aby rizika vztahující se k činnosti orgánu veřejné správy byla včas rozpoznávána. Zároveň musí ověřit, zda jsou přijímána odpovídající opatření k jejich vyloučení nebo zmírnění. Na základě svých zjištění z provedených auditů a přezkoumání existence, nastavení a fungování vnitřního kontrolního systému musí vedení OVS navrhnout doporučení, jak by se měla zdokonalit kvalita vnitřního kontrolního systému, aby OVS rizikům předcházela, nebo jejich dopad zmírnila. Zároveň musí ověřit, zda OVS přijala opatření k nápravě zjištěných nedostatků a postupy, aby se rizika neopakovala. Interní audit musí analýzu rizik použít také při sestavování plánů interního auditu.K ucelenému pohledu na úpravu řízení rizik v rámci ZFK je nutné dodat, že oblast rizik je posuzována i v případě průběžné veřejnosprávní kontroly u posuzovaných osob. V tomto případě jde o to, zda přizpůsobují uskutečňování operací při změnách ekonomických, právních, provozních a jiných podmínek novým rizikům. Dále se kontrolní orgány zaměřují na to, zda kontrolované osoby plní opatření k odstranění, zmírnění nebo předcházení rizik.
Systém řízení rizik
Skončeme však už se zákonným pohledem, který subjektům OVS ukládá mimo jiné přijmout účinný systém pro řízení rizik. Nyní popišme, v čem je Metodika řízení rizik ve veřejné správě jiná oproti metodikám z roku 2004 resp. 2007. Tyto metodiky chápaly řízení rizik v subjektech veřejné správy spíše z celostního a centrálního pohledu a měly snahu rizika pojmenovat co nejobecněji – například rozpočtové riziko, riziko legislativních změn, riziko lidského faktoru, nespolehlivost informačních systémů…. Sice správně zasadily systém řízení rizik jako součást vnitřního kontrolního systému, což je přístup, který se ani v nové metodice nemění. Zkusme jej pro přehlednost vyjádřit graficky:
Systém řízení rizik
Systém řízení rizik musí vedoucí vnímat jako neustálý a průběžný koloběh činností a kroků ve schématu uvedených.
Metodika řízení rizik ve veřejné správě CHJ č. 2/2016 – Decentralizovaný systém řízení rizik
Novum nového přístupu Metodiky řízení rizik ve veřejné správě č. 2/2016 tkví v tom, že nedoporučuje při řízení rizik zachovávat dosavadní centralizovaný systém řízení rizik, ale
preferuje spíše systém decentralizovaného řízení.
Ten spočívá v tom, že rizika by měla být identifikována, ohodnocena, analyzována a řízena v průběhu jednotlivých procesů. To znamená, že příslušný vedoucí by měl detailně znát a zmapovat průběh jednotlivých procesů a v něm jednotlivé operace. Měl by umět celý proces agendy doložit dokumenty, které jej provázejí. Měl by znát vstupy, zpracování a výstupy ze softwaru, zákonný rámec agendy včetně provázanosti na jiné agendy, na jiné útvary v rámci organizační struktury… To znamená, že by si měl uvědomovat celý kontext systému a procesu konkrétní agendy. Na základě této znalosti a ideálně i znázornění celého procesu například ve formě vývojového diagramu by měl společně se zainteresovanými zaměstnanci konkrétně v jednotlivých fázích nalézt a maximálně konkrétně identifikovat a pojmenovat všechny hrozby, nedostatky, disproporce, odchylky, problémy – souborně rizika. To pak se zainteresovanými kolegy vyhodnotit viz Metodika řízení rizik ve veřejné správě (vynásobením hodnot pro Pravděpodobnost a Dopad = Významnost rizika). Zejména u rizik s vysokou měrou významnosti by měli provést analýzu příčin a hledat nejvhodnější opatření, která by příčinám rizik zabránila do jednotlivé fáze procesu agendy proniknout. Může se jednat o opatření systémové povahy, softwarových kontrolních mechanismů, zařazení fyzických kontrol věcné, formální správnosti a správnosti početních a číselných údajů…. Tato opatření by měl vedoucí buď sám, nebo v případě přesahu agendy do jiných útvarů a činností v rámci organizace obecně přijmout jako fáze a projevy kontrolního systému.
Celý proces včetně souvislostí a návazností a kontrolních mechanismů (smyslu, jejich obsahu a odpovědnosti zaměstnance, který je do kontrol zapojen) je nutné důkladně vysvětlit všem zainteresovaným zaměstnancům, aby jej pochopili a pochopili i své místo (pravomoci i odpovědnost, spolupráci, návaznost…) v něm. Po důkladném zaškolení je možno systém spustit. I tak jej ale nelze nechat bez povšimnutí. Příslušný vedoucí se v rámci své odpovědnosti dle § 25 ZFK musí průběžně přesvědčovat, jak systém funguje formou tzv. „řídící kontroly“ (tzn.: řídím, nastavil jsem systém a kontroluji, jak funguje). Kontrolní funkce vedoucího zaměřená na všechny fáze procesu je prvním stupněm monitorování, zda rizika jsou fakticky eliminována na předpokládanou přijatelnou úroveň, zda se nezměnily podmínky, zda nevznikají rizika jiná.
Tady vzniká otázka, s jakou frekvencí by měl vedoucí rizika monitorovat, resp. podrobovat řídící kontrole. Teorie říká, že průběžně a vždy při každé změně, která se řízeného procesu dotýká. To znamená, že nelze jednoznačně přesně specifikovat frekvenci monitorování rizik. U dlouhodobě standardních procesů to může být méně často, u měnících se procesů nebo prostředí to může být častěji. U finančně nebo majetkově nejnáročnějších strategických operací by se řízení rizik mělo projevit u 100 % případů a ve všech fázích procesu. Ale je nutné vnímat i to, že pokud zaměstnanci necítí dohled vedoucího, mnohdy polevují ve svých kontrolních činnostech. Mnohdy se průběžně mění prostředí procesů…
Správný vedoucí by měl tedy mít, řečeno klasikem, neustále ruku na tepu procesů a být připraven na vznik nebo projevy rizik. Sám musí být i správcem rizik u procesů, které řídí, může je a je povinen (odpověden) je ovlivňovat. Znamená to nevytvářet specifické pozice správců rizik a nepřenášet tuto odpovědnost dále. Protože novum Metodiky řízení rizik ve veřejné správě CHJ č. 2/2016 je bránění projevů rizik v každé fázi procesu. To znamená – procesní přístup a cílené řízení rizik ve všech jednotlivých fázích procesu.
Rizika, která není příslušný vedoucí schopen řídit proto, že k tomu nemá příslušné
kompetence
nebo oprávnění, musí nutně přenést na tu úroveň v organizaci, která má příslušnou kompetenci. Stejně tak je nutné nejvýznamnější rizika pro organizaci identifikovat, vykazovat a řídit na centrální úrovni. Poznámka redakce:
V příštím čísle časopisu UNES č. 1/2018 se můžete těšit na příklad řízení rizik v oblasti pořízení dlouhodobého majetku pro vybrané účetní jednotky, a dále na návrh možné směrnice pro řízení rizik v subjektech veřejné správy.