Redakční rada

Nabídka akcí

Řízení rizik jako podpora rozhodovacího procesu v resortu Ministerstva obrany

Článek pojednává o procesu řízení rizik zavedeném v roce 2015 na základě nedůsledné implementace zákona č. 320/2001 Sbírky. Autoři popisují, jak dospět k identifikaci rizika a jeho analýze s využitím identifikace a analýzy aktiv a následně i hrozeb vzhledem k jejich vlivu na aktiva. Ukazují přístup k definování rizik u cílů 2 a 1. úrovně rezortu Ministerstva obrany s využitím posunutí rizika a agregace závislých rizik. Popisují použití výstupů procesu řízení rizik při rozhodování manažerů cílů v procesu střednědobého plánování a procesu ročního plánování rezortu Ministerstva obrany s vazbou na změny v těchto procesech.

Další informace

  • ročník: 2016
  • číslo: 1
  • stav: Nerecenzované / Nonreviewed
  • typ článku: Ostatní / Other

ÚVOD

V roce 2013 byl rozhodnutí ministra obrany zahájen projekt Zavedení systému řízení rizik v rezortu Ministerstva obrany. Zásadním požadavkem byla realizace procesu řízení rizik na všech úrovních řízení MO a napříč celým rezortem. Důvodem spuštění tohoto projektu byla nedůsledná implementace zákona č. 320/2001 Sbírky (Zákon o fi kontrole ve veřejné správě a o změně některých zákonů). Projevem bylo neřízení rizik na úrovni cílů 3. až 1. úrovně, které mají být součástí dokumentace cílů formulovaných v soustavě cílů rezortu.[1] Projektový tým byl složen ze zástupců jednotlivých sekcí a složek rezortu Ministerstva obrany (MO). Různorodost projektového týmu vytvořila prostředí pro širokou diskuzi napříč rezortem a následně pro defi vání procesu řízení rizik nejen na procesy střednědobého a ročního plánování (tzn. ve vazbě na soustavu cílů rezortu MO), ale i na akti realizované mimo soustavu cílů. Již v prvopočátku projektu byl v projektovém týmu ustanoven užší projektový tým, který:

  • shromáždil data o řízení rizik v jiných rezortech, organizačních jednotkách MO a z literárních zdrojů;
  • analyzoval proces střednědobého plánování a proces ročního plánování;
  • analyzoval teorii řízení rizik ve vztahu se zkušenostmi s řízením rizik v oblasti bezpečnosti informací, projektového řízení a ochrany vojsk; [2], [3];
  • pomocí syntézy získaných výstupů z analýzy definoval rámec procesu řízení rizik a jeho obsah;
  • ověřil použitelnost vytvořeného procesu řízení rizik v praxi ve vybraných organizačních jednotkách;

Hlavní vstupy pro výslednou formulaci procesu řízení rizik rezortu MO byly normy ISO 31 000, ISO 27005,[4] AJP-3.14, zákon č. 320/2001 Sbírky a navazujících dokumentů Ministerstva fi Uvedené dokumenty byly analyzovány a získané výstupy z analýzy byly spolu se zkušenostmi a poznatky z Odboru bezpečnosti MO a Společnosti pro projektové řízení z. s. využity k formulaci procesu řízení rizik. Přínosem byly jednoznačně zkušenosti a poznatky Odboru bezpečnosti MO, který již v této době řídil rizika na základě certifi ovaného procesu řízení rizik dle metodiky Národního bezpečnostního úřadu. V neposlední řadě to byly i poznatky ze Společnosti pro projektové řízení, která na základě analýzy stavu řízení projektových rizik v České republice formulovala kritické faktory řízení rizik a doporučení k efekti řízení rizik.

Práce projektového týmu vyvrcholila v roce 2015, kdy ministr obrany podepsal rozkaz Řízení rizik v rezortu Ministerstva obrany [5] a byla zahájena implementace procesu řízení rizik.

1. PROCES ŘÍZENÍ RIZIK V REZORTU MINISTERSTVA OBRANY

Cílem procesu řízení rizik rezortu MO je vyloučit/snížit dopad rizika na plnění cílů definovaných v soustavě cílů, cílů projektů a aktivit mimo soustavu cílů rezortu ministerstva obrany.

Proces (viz obrázek č. 1) je rozdělen do 3 fází:

  1. Fáze identifikační, analytická a hodnotící
  2. Fáze zvládání rizik
  3. Fáze monitorovací, vykazovací a komunikační

1.1 Fáze identifikační, analytická a hodnotící

Vstupem do fáze jsou identifikované cíle společně se strategií (např. formulované opatření, úkoly, dílčí úkoly, události) jejich dosažení a zdroji potřebnými k realizaci definované strategie.

Výstupem z této fáze je seznam identifikovaných, analyzovaných a hodnocených aktiv, seznam identifikovaných hrozeb, založený katalog rizik a karta rizika.

Fáze zahrnuje následující kroky (viz obrázek č. 1):

  • identifikace, analýza a hodnocení aktiv nezbytných pro dosažení cíle;
  • identifikace možných hrozeb, které mohou negativně působit na dosažení stanoveného cíle;
  • identifikace a analýza působení hrozeb vůči aktivu (aktivům);
  • identifikace, analýza a hodnocení rizika.

Pitas1

Obrázek č. 1: Proces řízení rizik v rezortu Ministerstva obrany (zdroj: upraveno dle Manuálu řízení rizik). [6], [7]

Při identifikaci aktiv se shromažďují informace k provedení analýzy dle definovaných kritérií, která byla stanovena s využitím zkušeností s aplikací ISO 27 005:

  • Kritérium opravitelnosti/nahraditelnosti (a) – vyjadřuje náročnost opravy a uvedení aktiva do původního stavu / složitost získání nového aktiva z důvodu jeho nefunkčnosti;
  • Kritérium citlivosti/dostupnosti (b) – vyjadřuje, zda se jedná o aktivum veřejné, pro služební potřebu nebo utajované / vyjadřuje vlastnost přístupnosti a použitelnosti aktiva.

Kritéria jsou ohodnocována na stupnici 1–4 (1 = nízká, 2 = střední, 3 = vysoká, 4 = kritická).

Hodnocení aktiva je realizováno na základě stanovení hodnoty aktiva (násobek obou kritérií), která může nabývat hodnoty v intervalu <1,16>. Výsledná hodnota aktiva je posuzována pro zařazení aktiva do skupiny nekritické (hodnota aktiva <1,4>) nebo kritické (hodnota aktiva <6,16>).

Informace o aktivech jsou shromažďovány hodnotiteli rizik ve spolupráci s vlastníky aktiv. Tyto informace umožňují nejen provést analýzu a hodnocení dle výše uvedených kritérií, ale i identifikaci slabých stránek (zranitelností), které jsou nutnou podmínkou pro identifikaci a analýzu působení hrozby na aktivum i samotnou identifikaci rizika.

PŘÍKLAD

Nekritické aktivum (aktivum je možné nahradit nebo opravit a na základě požadavku dodat) – pneumatiky typ xy lze nahradit rezervou z vozidla, opravit na základě žádanky do 24 hodin nebo doplnit do skladu xy, v centrálním skladu i ve skladu xy jsou dostatečné zásoby. Případně veřejná běžně dostupná informace, kterou lze zveřejnit na webu MO. Redaktor webových stránek ji může snadno opravit/nahradit (aktivum veřejné a běžně dostupné, kterou lze prakticky okamžitě opravit/nahradit). Výsledná hodnota aktiva (součin kritérií) je 1.

Kritické aktivum (aktivum není možné nahradit nebo opravit, jeho dostupnost vzhledem k plnění úkolu je požadována nepřetržitě) – jediný kus speciální techniky – chemický robot k průzkumu zamoření terénu a bez kterého nelze splnit úkol, oprava pouze na vyžádání od zahraničního dodavatele do 90 dní. Případně přísně tajná informace uložená v certifikovaném počítači / certifikovaném trezoru na utajovaném pracovišti (aktivum je utajované a nedostupné). Výsledná hodnota aktiva (součin kritérií) je 16. Následným krokem v první fázi je identifi ace hrozeb a tzv. spárování hrozby a kritického akti a (akti realizované hodnoti elem rizika. Zde je využito přístupu popsaného v AJP 3.14, kdy analýza hrozby se provádí vždy ke kritickému akti (akti a to na základě kritérií:

  • Zda hrozba má záměr působit na aktivum (aktiva) – záměr působení.
  • Zda má hrozba dostatečnou sílu působení na aktivum (aktiva) – síla působení.

Kritéria jsou ohodnocována na shodné stupnici jako aktiva (stupnice 1–4). Hodnocení hrozby vůči kritickému aktivu (aktivům) je realizováno obdobně jako u hodnocení aktiva (kritické, nekritické).

PŘÍKLAD

Nekritická hrozba vůči kritickému aktivu – hrozba nemá záměr působit na kritické aktivum ani nemá sílu působit na existující zranitelnost kritického aktiva. Hrozba zcizení přísně utajované informace uložené na certifikovaném počítači a na utajovaném pracovišti, kam mají přístup pouze stanovení pracovníci. Záměr osoby mimo organizaci ke zcizení informace je nízký (nezabývá se špionáží) a vzhledem k zabezpečení informace nemá tato osoba odpovídající sílu hrozbu realizovat. Výsledná hodnota hrozby vůči kritickému aktivu (součin kritérií) je 1.

Kritická hrozba vůči kritickému aktivu – hrozba zapůsobí na aktivum a má i odpovídající sílu působit na existující zranitelnost aktiva. Hrozba technické závady chemického robota vzniklá nesprávnou obsluhou vzhledem k neexistujícím zkušenostem a znalostem obsluhy robota není realizována úmyslně, ale s největší pravděpodobností nastane. Obsluha má přímý a zásadní vliv na správnost ovládání robota, a tím na jeho funkčnost. Výsledná hodnota hrozby vůči kritickému aktivu (součin kritérií) je 16.

Identifikace rizika je realizována z identifikovaného a analyzovaného vztahu hrozba x kritické aktivum (riziko). Hodnotitelé rizik zde musí věnovat pozornost hrozbě působící na kritická aktiva ze shodné skupiny. Tyto páry budou dále tvořit jedno riziko. Riziko je popisováno scénářem rizika, který popisuje, jak hrozba může působit na zranitelnost kritického aktiva. Spolu s tímto popisem je identifikován dopad působení hrozby na dosažení cíle (z pohledu času, přidělených finančních prostředků a dosaženého stavu).

PŘÍKLAD

Riziko – nevycvičená obsluha chemického robota nesprávně ovládá tohoto robota. Chemický robot přestane reagovat na pokyny obsluhy a stane se nefunkčním, informace o zamoření prostoru nebudou získány, úkol nebude splněn. Zjištění technické závady a její odstranění bude trvat až 90 dní.

Analýza rizika je prováděna s využitím analogie, kdy je hodnota aktiva brána jako hodnota dopadu rizika na cíl. Hodnota pravděpodobnosti se stanovuje z výsledné hodnoty působení hrozby vůči aktivu (záměr, síla) a hodnoty aktiva. Pozitivní skutečností je, že tento výpočet je realizován v Modulu řízení rizik automaticky na základě provedených analýz a automaticky generovaných hodnocení aktiv a hrozeb vůči aktivům. [8]

1.2 Fáze zvládání rizik

Rizika nabývající hodnoty 37 a více jsou hodnocena jako vysoká až kritická a musí být dále rozpracována (navržena opatření ke zvládnutí).

Pro zvládnutí rizik jsou definovány následující přístupy (viz obrázek č. 1):

  • Vyhnutí se riziku (vyhnutí se hrozbě / vyřazení hrozby / změna aktiva) je realizováno změnou postupu realizace úkolu/opatření, nahrazením technologie nebo používaných materiálových zdrojů. Například nahrazení materiálu obsahujícího toxin materiálem netoxickým.
  • Přenesení rizika (na třetí stranu mimo rezort MO) lze použít při uzavírání smluv s dodavateli produktu, uzavírání pojistné smlouvy. Například v době záruky dodaného vozidla, dodavatel zabezpečí v průběhu opravy vozidla náhradní vozidlo na své náklady.
  • Posunutí rizika (na nadřízeného z důvodu nedostatku kompetencí ke zvládnutí) je využíváno manažerem cíle nižší úrovně. Například manažer cíle 3. úrovně posune zjištěné riziko na manažera cíle 2. úrovně neboť tento má odpovídající kompetence případně může posunout toto riziko do kompetence manažera cíle 1. úrovně. Toto je jeden ze způsobů jak se rizika dostávají do vlastnictví manažerů 2. a 1. úrovně.
  • Snížení rizika (přijetí opatření k omezení záměru nebo síly působení hrozby na aktivum) je realizováno, jestliže nebylo možno se riziku vyhnout, přesunout jej nebo posunout. Příkladem je vyslání obsluhy chemického robota na kurz, aby získala odpovídající znalosti a dovednosti. Následně je do výcviku zapracována příprava této obsluhy pro ovládání tohoto chemického robota. Tímto opatřením se sníží působení hrozby.
  • Akceptace rizika (podstoupení kritického rizika, i když nelze nalézt/realizovat opatření nebo závěrečná akceptace zbytkové hodnoty rizika po přijetí opatření) je rozhodnutí manažera cíle o návrhu rizika zpracovaného hodnoti elem rizika. Na straně druhé může manažer cíle převzít plnou odpovědnost za podstoupení rizika a možné dopady, přestože nebyly defi vány odpovídající opatření ke zvládnutí rizika.

Výběrem přístupu ke zvládnutí rizika s využitím scénáře rizika jsou formulována opatření a zdroje potřebné k realizaci těchto opatření, neboť jsou automaticky zaznamenány do ročního plánu rezortu MO. Součástí formulovaných opatření je definovaný čas realizace opatření a stanovená odpovědnost za realizaci opatření.

Pitas2

Obrázek č. 2: Agregace závislých a nezávislých rizik cílů A a B (zdroj: autoři)

Agregace rizik

Agregace rizik je společné posouzení rizik, které byly předtím posuzovány samostatně (viz. Obrázek 2). Agregace zahrnuje identifikaci závislostí, které lze nalézt v analýze hrozeb vůči kritickým aktivům nebo i ve formulovaných scénářích rizik. Znakem závislosti rizik je shoda v působení hrozby na kritická aktiva ze shodné skupiny aktiv. Tato shoda působení se taktéž projevuje ve formulovaných scénářích rizik, kde si tuto závislost lze ověřit.9

PŘÍKLAD

Nákaza virem chřipky (onemocnění) působí na sníženou imunitu zaměstnanců manažera cíle 3. úrovně. Toto působení hrozby nalezne zpravidla správce rizik (hodnotitel rizika) manažera cíle 2. úrovně u většiny podřízených manažerů cílů 3. úrovně. Obdobně to může probíhat i na úrovni manažera cíle 1. úrovně.

Po nalezení závislostí je spojením dvojic hrozba, kritické aktivum identifikováno nové agregované riziko. Proces řízení rizik je v tomto případě nastartován analýzou závislostí hrozeb vůči zranitelnostem kritických aktiv a scénářů rizik a pokračuje identifikací rizika. Nové riziko je dále řízeno v souladu s procesem řízení rizik.

PŘÍKLAD

Riziko zaměstnanci se sníženou imunitou se nakazí virem chřipky a onemocní v měsících listopad až únor chřipkou na dobu min. 1 týden. Přístup ke zvládnutí – snížení rizika. Opatření – očkování zaměstnanců v měsíci říjen.

Agregace rizik je dle rozkazu MO č. 20/2015 Sborníku prováděna až od manažera cíle 2. úrovně. Rizika jsou tak posouvána na vyšší úrovně řízení (např. manažera cíle 2. nebo 1. úrovně) a tito se pak stávají jejich vlastníky, kteří tato rizika řídí. Agregace rizik však probíhá již na úrovni hodnotitelů rizik manažera cíle 3. úrovně (úroveň střednědobého plánu), kdy hodnotitelé rizik na úrovni ročního plánování identifikují a popisují rizika na své úrovni. Rizika z úrovně ročního plánu (úroveň dílčích úkolů a událostí) jsou současně zobrazena hodnotitelům rizik úrovně střednědobého plánu (cíle 3. úrovně), kteří by měli analyzovat závislosti rizik na úrovni ročního plánu a případně zjištěná závislá rizika agregovat.

Nezávislá rizika se nadřízeným manažerům zobrazují v Modulu řízení rizik jako informace, která rizika zvládají podřízení a jak je zvládají (viz. Obrázek 2).

Přínosem agregace rizik je snížení počtu rizik a efektivní zvládání rizik (jejich řízení zvládání je realizováno z jediného místa).

2. PROCES ŘÍZENÍ RIZIK A PROCESY STŘEDNĚDOBÉHO A ROČNÍHO PLÁNOVÁNÍ V REZORTU MINISTERSTVA OBRANY

Rizika dle Metodiky střednědobého a ročního plánování rezortu MO [10] a rozkazu MO č. 20/2015 Věstníku a Směrnice ministra obrany pro plánování činnosti a rozvoje rezortu MO [11] na příslušný plánovací cyklus jsou součástí dokumentace cílů všech úrovní. Tyto dokumenty jasně definují vztah cíl × riziko a nutnost řízení rizik pro úspěšné (efektivní) dosažení cílů prostřednictvím strategie realizace.

Vstupem do procesu řízení rizik v procesech střednědobého a ročního plánování je soustava cílů rezortu MO, opatření a úkoly cílů 3. úrovně, alokované zdroje (akti a) pro realizaci opatření a úkolů včetně hrozeb, které mají vliv na plnění cíle defi vané Směrnicí ministra obrany pro plánování činnosti a rozvoje rezortu MO na příslušný plánovací cyklus.

Požadovaným výstupem je souhrn identifikovaných a hodnocených rizik na všech úrovních cílů s opatřeními k jejich zvládání a přidělených jednotlivým manažerům cílů všech úrovní. Současně jsou zapracována formulovaná opatření ke zvládnutí rizik do střednědobého i ročního plánu rezortu.

V procesech střednědobého a ročního plánování manažer cíle rozhoduje o:

  • způsobu naplňování cíle, a to formulací cílů nižší úrovně;
  • činnostech (úkolech a opatřeních ve střednědobém plánu, dílčích úkolech a událostech v ročním plánu resortu MO), pomocí kterých bude dosaženo stanoveného cíle a termínu realizace;
  • zdrojích (personálních, věcných a finančních) potřebných pro realizaci činností (stávají se aktivy v procesu řízení rizik);
  • způsobu zvládnutí identifikovaných, analyzovaných a hodnocených rizik (rizik cílů 3. úrovně až rizika cílů 1. úrovně), které brání dosažení stanoveného cíle (reálnost a efektivnost dosažení cíle je zřetelnější, neboť nejistota je nahrazena riziky);
  • zařazení činností (dílčích úkolů a událostí, úkolů a opatření) jako opatření ke zvládnutí rizik daného cíle do ročního plánu a střednědobého plánu rezortu MO.

Rozhodování manažera cíle o strategii dosažení stanovených cílů a zdrojích tvoří základ pro definování kontextu řízení rizik (činnosti, zdroje = aktiva). Jeho rozhodnutí ovlivňuje identifikaci a analýzu rizik (zejména analýzu dopadu).

Rozhodování manažera cíle při balancování plánů je významně ovlivněno již definovanými riziky v Katalogu rizik, stanovenými prioritami a dostupnými zdroji.

Z tohoto důvodu při balancování plánů manažer cíle rozhoduje o:

  • nerealizaci činnosti (např. z důvodu vyhnutí se riziku, kdy riziko je hodnoceno jako kritické a nelze nalézt akceptovatelné opatření ke zvládnutí tohoto rizika);
  • realizaci činnosti v omezeném rozsahu (např. z důvodu snížení rizika – snížení dopadu rizika, kdy je třeba realizovat nezbytné minimum rozsahu aktivity např. z důvodu nedostatku finančních zdrojů atd.);
  • realizaci činnosti v pozdějším termínu (časový odklad realizace z důvodu realizace opatření, kdy riziko již nastalo a činnost je třeba realizovat, i když v pozdějším termínu);
  • realizaci činnosti v plném rozsahu, a to i přes kritické riziko, ke kterému nebylo možno nalézt opatření ke zvládnutí.

V procesu řízení rizik má manažer cíle (vlastník rizika) plnou odpovědnost za rizika definovaná ve vztahu k jeho cíli, a proto rozhoduje na návrh hodnotitele o:

  • zařazení rizika do Katalogu rizik manažera cíle;
  • akceptaci rizika bez následných opatření ke zvládnutí rizika (riziko hodnoceno jako nekritické / riziko hodnoceno jako kritické, ale nebylo nalezeno opatření ke zvládnutí rizika);
  • způsobu zvládnutí rizika (vyhnutí se riziku, posunutí, přenesení, snížení rizika);
  • opatřeních ke zvládnutí rizika (zařazení úkolů a opatření do střednědobého plánu rezortu, včetně zařazení dílčích úkolů a aktivit do ročního plánu rezortu, včetně alokace potřebných zdrojů);
  • přiřazení odpovědnosti za realizaci schválených opatření ke zvládnutí rizika;
  • akceptaci zbytkové hodnoty rizika po přijatých opatřeních. Dále manažer cíle 2. a 1. úrovně rozhoduje o:
  • přijetí rizika posunutého od podřízeného manažera cíle z důvodu nedostatečných kompetencí manažera cíle nižší úrovně k řízení opatření ke zvládnutí rizika (zahrnuje minimálně analýzu, hodnocení rizika spolu s analýzou navržených opatření);
  • akceptaci rizika bez následných opatření ke zvládnutí rizika (riziko hodnoceno jako kritické, ale nebylo nalezeno opatření ke zvládnutí rizika);
  • způsobu zvládnutí rizika (vyhnutí se riziku, posunutí, přenesení, snížení rizika);
  • agregaci závislých rizik manažerů cílů nižší úrovně (zahrnuje identifikaci, analýzu, hodnocení a zvládnutí nového agregovaného rizika, kdy z několika rizik je agregací vytvořeno jediné riziko);
  • akceptaci zbytkové hodnoty rizika po přijatých opatřeních.

Hodnotitel rizika v procesu řízení rizik identifikuje, analyzuje, hodnotí aktiva, hrozby i rizika a jejich dopad na dosažení cíle. Hodnotitel rizika navrhuje přístup ke zvládnutí rizika a opatření ke zvládnutí rizika, včetně zdrojů a odpovědnosti za realizaci těchto opatření. Dále navrhuje manažerovi cíle agregaci závislých rizik pro cíl 2. a 1. úrovně (formulace nového rizika, která vychází z několika rizik manažerů cílů nižší úrovně).

Hodnotitel rizika rozhoduje o:

  • zařazení aktiva dle jeho kritičnosti (kritické/nekritické aktivum) ve spolupráci s vlastníkem aktiva;
  • přiřazení hrozby ke kritickému aktivu (přiřazení vzhledem k působení na kritické aktivum/a);
  • agregaci závislého rizika ze závislých rizik ročního plánu do střednědobého plánu rezortu MO.

Hodnotitel rizika v procesu řízení rizik musí identifikovat a analyzovat:

  • již přijatá opatření vzhledem ke zranitelnostem aktiva a jejich účinnost (riziko existuje, ale již je účinně/neúčinně zvládáno),
  • změny plánu, které byly přijaty (např. rozhodnutí manažera cíle o zařazení činnosti, prodloužení doby realizace činnosti, nerealizaci činnosti, což může vyvolat rizika nová anebo změnit ta stávající).

ZÁVĚR

Zavedením procesu řízení rizik do rezortu MO je naplněn zákon č. 320/2001 Sb. a jsou vytvořeny předpoklady na změnu při rozhodování manažerů cílů v procesech střednědobého a ročního plánování (z rozhodování za nejistoty na rozhodování za rizika). Proces řízení rizik rezortu MO poskytuje manažerům cílů potřebné informace (znalost rizik ovlivňující dosažení cílů) pro efektivní rozhodování o úkolech a opatřeních, dílčích úkolech, událostech a alokaci potřebných zdrojů k jejich realizaci (strategii dosažení cíle).

Proces řízení rizik vychází z cíle řízení rizik. Proces také jasně stanovuje sled činností a jejich obsah, kritéria hodnocení, včetně jednotné úrovně akceptace rizik v rezortu MO, způsobů zvládání rizik a agregace rizik. Zjištěná rizika jsou přiřazována k cílům směrem od spodu nahoru (od manažera cíle 3. úrovně až k manažerovi cíle 1. úrovně). Rizika jsou přiřazována dvěma způsoby, a to posunutí rizika nebo agregací závislých rizik. Výstupy hodnocení jsou kvalitati a spolu vytváří jednotný rizikový profi na všech úrovních manažerů cílů.

Z pohledu na složitost rozhodování je proces řízení rizik definován tak, aby zde manažer cíle pracoval s dobře strukturovanými rozhodovacími problémy. Základem tohoto rozhodování je znalost aktiv a jejich analýza, hrozeb s následnou analýzou působení hrozby na aktivum. Při realizaci procesu není vyžadováno používání složitých metod na analýzu a hodnocení rizik, neboť navržený algoritmus výpočtu hodnot pravděpodobnosti vzniku rizika, dopadu rizika na cíl je nastaveno a automaticky generováno v Modulu řízení rizik. Tento algoritmus je aplikovaně využit i při analýze a hodnocení agregovaných rizik (nově formulovaných rizik na základě jejich závislosti).

Defino vaný proces řízení rizik se na první pohled nemusí jevit jako opti avšak obsah tohoto procesu a stanovená kritéria však vychází z osvědčené praxe Odboru bezpečnosti MO, projektových manažerů v České republice. Proces řízení rizik byl pilotně ověřen a vyhodnocen, poznatky byly následně zapracovány do procesu. Nyní se nacházíme ve fázi implementace procesu do rezortu MO a podle pravidel procesního řízení je již tato fáze monitorována a vyhodnocována. Na základě defi vaných kompetencí a po zavedení procesu může být zahájena fáze zlepšování, tak aby tento proces odpovídal potřebám rezortu MO.

Zanechat komentář