Povinnost zavést systémy řízení rizik ve veřejné správě vyplývá ze zákona, konkrétně z ustanovení Zákona o finanční kontrole. Příspěvek ukazuje možný způsob, jak se s touto povinností vypořádat.

Úvod
Při vstupu do Evropské unie se Česká republika mimo jiné zavázala k tomu, že zavede takové systémy řízení a kontroly financí, které budou srovnatelné s moderními systémy členských zemí a zajistí řádné využívání finančních prostředků čerpaných z veřejných rozpočtů. V souvislosti s tím přibylo subjektům české veřejné správy mnoho povinností. Tento příspěvek přibližuje možný způsob řešení jedné z povinností, která souvisí s finančním řízením, přesněji řečeno s vnitřním řídícím a kontrolním systémem. Jde o povinnost zavést systémy řízení rizik, která vyplývá z ustanovení § 7 odst. 1 písm. a), b) a § 25 odst. 1 a 4 zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů, ve znění pozdějších předpisů (dále jen Zákon o finanční kontrole).
 
1  Vnitřní řídící a kontrolní systém
 
Co je vnitřní řídící a kontrolní systém a jak tento pojem souvisí s řízením rizik? Při vysvětlení je možné vyjít z tzv. Modelu COSO ERM II. (COSO = Committee of Sponsoring Organizations of the Treadway Commission; ERM = Enterprise Risk Management). Tato metodika znázorňuje vnitřní řídící a kontrolní systém pomocí krychle, jejíž strany vyjadřují cíle, jednotlivé úrovně řízení organizace a jednotlivé části (komponenty) vnitřního řídícího a kontrolního systému.Rámec COSO přepokládá, že v organizaci jsou stanoveny cíle na všech úrovních řízení. Tyto cíle vedou k tomu, aby organizace pracovala v souladu s vnější i vnitřní legislativou (compliance, shoda), aby vynakládala veřejné finanční zdroje na plnění svých úkolů v souladu s principy „3 E“ (hospodárně, efektivně a účelně) a aby při své činnosti zabezpečila integritu informací a ochranu majetku. Dále je třeba připomenout, že je nezbytné rozpracovat zavedení těchto cílů na všech úrovních řízení.
 
 
2  Prvky vnitřního řídícího a kontrolního systému související s riziky
 
Rámec COSO ERM stanoví obsah činností (komponent), které přímo souvisí s riziky. Jedná se o tyto činnosti: identifikace rizik, hodnocení rizik a řízení rizik.
 
Náplň pojmu identifikace rizik můžeme charakterizovat jako pravidelné a kontinuální monitorování všech probíhajících interních i externích událostí, které ovlivňují naplňování cílů. U těchto událostí pak rozlišujeme pozitivní nebo negativní dopad. Ty události, které mají negativní dopad, jsou rizika. Viz také definice rizika, např.: „Riziko je možnost, že při zajišťování činnosti orgánu veřejné správy nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění schválených záměrů a cílů tohoto orgánu. Stupeň významnosti rizika se určí podle možných nežádoucích dopadů a pravděpodobnosti působení tohoto rizika.“
 
Při identifikaci rizik je nutná nejen souvislost rizika s cíli organizace (na příslušném stupni řízení), ale i hledání odpovědí na otázky, týkající se příčin a důsledků takové události. Dále se zkoumají pravděpodobné tendence takové události.
 
Zároveň s identifikací rizik je třeba také posuzovat jejich základní charakteristiky, které lze kvantifikovat. Takové činnosti říkáme hodnocení rizik. Existují dvě základní charakteristiky rizika: pravděpodobnost výskytu a významnost dopadu rizika. Při hodnocení těchto charakteristik se opět musí přihlížet k souvislosti rizik s hlavními cíli organizace. Obě tyto charakteristiky pomohou rizika kvantifikovat a dále je třídit i analyzovat. Na základě nich je možné sestavovat mapu rizik jako grafické vyjádření rozložení identifikovaných a ohodnocených rizik v organizaci.
 
Krokem, který následuje po identifikaci a ohodnocení rizik, je reakce na riziko, tedy řízení rizika. Jde o strategie zvládání klíčových rizik, které jsou upřesněny v podrobnějších taktických přístupech. Základními strategickými přístupy jsou.
-          strategie snížení rizika (např. zavedení dodatečných kontrol),
-          strategie udržení stávající míry rizika (riziko je akceptováno),
-          strategie vyvarování se rizika (znamená upuštění od aktivit, které generují riziko, což je možné jen v tom případě, že se nejedná o klíčové nebo zákonné aktivity),
-          strategie přenosu rizika na jiný subjekt (pojištění).
V praxi je nejčastěji použitelná a účinná strategie snížení rizika, kdy zavedením dodatečných kontrolních nebo řídících mechanismů snížíme pravděpodobnost výskytu rizika nebo významnost dopadu rizika na nižší míru.
 
Činnosti identifikace, hodnocení a řízení rizik lze ještě zastřešit pojmem systém řízení rizik, který kromě těchto činností zahrnuje také vydání a realizaci formální strategie pro řízení rizik v organizaci, příslušné proškolení zaměstnanců, softwarovou podporu celého systému, výkaznictví, vydání pracovních pomůcek nebo návodů a průběžné řízení a sledování systému ze strany managementu i jeho hodnocení. Hodnocení účinnosti systému řízení rizik přísluší internímu auditu.

Autorka: Ing. Eva Janoušková působí jako vedoucí odboru interního auditu Krajského úřadu kraje Vysočina.

Kontakt: janouskova.e@kr-vysocina.cz

 Nezkrácený článek naleznete v časopise Perspektivy jakosti 2/2007.