ÚVOD
Řízení rizik je nedílnou součástí řídící praxe každé úspěšné organizace. V prostředí s rostoucí mírou nejistoty nelze v podstatě dosáhnout ideálního stavu, kdy nebude vystavena žádnému riziku. Důvodem je působení okolního prostředí a vždy omezená dostupnost zdrojů nezbytných k dosažení stanovených cílů. Pokud nejsou rizika vhodným způsobem řešena, mají následné dopady zpravidla negativní vliv na schopnost organizace naplňovat své poslání.
Řízení rizik lze chápat jako proces, kdy se organizace snaží nalézt a aplikovat řešení, které umožní omezit negativní dopady související s existencí rizik. Správně aplikovaný systematický přístup k řízení rizik s jasně nastavenými pravidly napomáhá k omezení nepříznivých dopadů prostřednictvím včasné identifikace, ohodnocení rizika a přijetí opatření vedoucích k omezení rizika. Umožňuje reflektovat požadavky a omezení vnějšího prostředí, realisticky stanovit potřeby organizace z pohledu zdrojů, koordinovat plánovací aktivity, a účelně, efektivně a hospodárně řídit rozvoj schopností. Zároveň má potenciál přispět k motivaci nejen řídících pracovníků, ale i všech zainteresovaných stran podílet se na dalším rozvoji organizace.[1]
V podmínkách ČR jsou požadavky na řízení rizik stanoveny zákonem.[2] Řízení rizik by nemělo být vnímáno pouze jako povinnost při správě svěřených aktiv, ale zároveň jako příležitost k dosažení maximálních možných výsledků prostřednictvím omezení dopadů hrozeb a správného nastavení priorit na cestě ke splnění cílů organizace.
V rámci rezortu Ministerstva obrany (ReMO) je komplexní systém řízení rizik vytvářen od roku 2013.[3] V podřízenosti NGŠ AČR je koordinací řízení rizik pověřen ředitel Sekce plánování schopností.[4] Rizika jsou identifikována, analyzována a hodnocena ve všech oblastech činnosti ReMO.[5] Řízení rizik je tedy prováděno i v rámci existujících plánovacích procesů.[6]
Vzhledem ke skutečnosti, že v reálném světě neexistuje organizace, která by mohla být plně spokojena s nastavením svých vnitřních procesů, realizovali autoři výzkum, který byl zaměřen na posouzení současné řídící praxe s cílem identifikovat odchylky od soudobých teoretických poznatků a přístupů nejlepší praxe řízení rizik a navrhnout ucelený přístup vedoucí k posílení účinnosti řízení rizik v procesu plánování rozvoje AČR.
1 METODOLIGICKÝ RÁMEC
Pro hodnocení současného stavu řízení rizik v procesu plánování rozvoje Armády České republiky (AČR) byla provedena obsahová analýza odborné literatury a vnějších a vnitřních regulátorů řízení. Provedeno bylo dotazníkové šetření a polostrukturované rozhovory s vybranými odborníky z praxe (správci rizik a manažeři cílů 3. úrovně). Jednalo se o reprezentativní vzorek odborníků z nejvyšší úrovně velení AČR.
Na získané datové podklady byla aplikována metoda logické indukce k vytvoření závěrů obecnějšího charakteru.
K hodnocení současného stavu řízení rizik byla využita analýza SWOT. Analýza vnitřních silných a slabých stránek byla provedena s využitím tzv. funkčních oblastí (doktriny – D; organizace – O; výcvik –T; materiál – M; velení a řízení – L; personál – P; infrastruktura – F; interoperabilita – I). Pro strukturovanou analýzu vnějšího prostředí zahrnující příležitosti a hrozby pro další rozvoj systému řízení rizik v podřízenosti NGŠ byla využita metoda PESTLEM (politika – P; ekonomika – E; sociální oblast – S; technologie – T; právo – L; prostředí – E; vojenství – M).
Při tvorbě návrhu byly využity přístupy nejlepší praxe identifikované v rámci obsahové analýzy domácích i zahraničních pramenů. S využitím syntézy získaných poznatků a metody analogie aplikované zejména na systém řízení rizik využívaný v USA[7] byly zpracovány návrhy využitelné v prostředí AČR, resp. ReMO.
Návrhová část byla zaměřena primárně na úpravu znění vnitřních regulátorů řízení pro plánování činnosti a rozvoje ReMO. V rámci tvorby návrhu řízení rizik byla pozornost zaměřena na řízení rizik v podřízenosti NGŠ AČR, a to pro potřeby plánování rozvoje AČR.
2 VAZBA MEZI SYSTÉMEM ŘÍZENÍ RIZIK A SYSTÉMEM PLÁNOVÁNÍ
Proč se zamýšlíme nad využitím řízení rizik v procesu plánování? Odpověď je poměrně jednoduchá. Každý plán je zatížen významnou mírou nejistoty. Nejistota může být spojena s vývojem jak vnějšího prostředí, tak i s vývojem dostupných zdrojů. Snahou plánovacích orgánů je vytvářet realistické plány a vytvořit co nejlepší podmínky pro jejich realizaci. Důležitým aspektem je, aby omezené prostředky byly alokovány na realizaci těch nejvýznamnějších priorit, přičemž priority v sobě odrážejí nejvyšší míru rizika pro zajištění bezpečnosti občanů a obrany státu a plnění úkolů ze strany AČR.
V tomto smyslu je důležité, aby především tvorba rozvojových plánů byla podpořena odpovídajícími nástroji pro řízení rizik, protože tyto plány mají dlouhodobý charakter a jsou zatíženy nejvýznamnější mírou nejistoty.
Plán rozvoje lze chápat jako záměr adaptace organizace na uskutečněnou nebo očekávanou změnu vnějšího prostředí při zohlednění interních faktorů. Vyjadřuje zámysl řešení požadavků vycházejících ze strategické úrovně řízení prostřednictvím stanovených priorit, hlavních úkolů reagujících mj. na strategické hrozby a související rizika, a dále pak požadavků souvisejících s běžným životem organizace při naplňování jejího poslání.
Cílem procesu řízení rizik při plánování rozvoje organizace by mělo být napomoci usměrnit plány organizace takovým způsobem, aby se úroveň souvisejících rizik pohybovala na akceptovatelné úrovni, a tím byly vytvořeny vhodné podmínky pro jejich realizaci. Vztah mezi adaptací organizace a celkovou úrovní rizik je naznačen na obrázku č. 1.
Obrázek č. 1: Adaptační opatření ke snížení rizik
Zdroj: NASA 2012 Climate Risk Management Plan and Report[8]
Integrace řízení rizik do procesu plánování rozvoje napomáhá k posílení schopnosti adaptace organizace na změny vnějšího prostředí a jejímu efektivnímu rozvoji.
Tvorba plánu probíhá obvykle iterativním způsobem, tj. dochází k jeho postupnému zpřesňování a optimalizaci až do okamžiku, kdy je zajištěna jeho technická a ekonomická realizovatelnost[9]. Identifikovaná rizika jsou v tomto případě jedním z významných faktorů, které je třeba zohlednit. Na řízení rizik v procesu plánování rozvoje lze poté pohlížet jako na kombinaci informovaného rozhodnutí na základě znalosti rizik a kontinuálně prováděného řízení rizik, jak naznačuje obrázek č. 2.
Obrázek č. 2: Řízení rizik při realizaci plánu rozvoje
Zdroj: NASA Risk management handbook[10]
Účinné plánování rozvoje AČR se neobejde bez silné podpory, která spočívá především v řízení rizik založeném na znalostech. Řízení rizik není možné vnímat jako administrativní zátěž, ale je nezbytné je posunout do kategorie nezbytných manažerských nástrojů v době enormního nárůstu míry nejistoty, v jejímž rámci jsou plány připravovány, následně realizovány a hodnoceny.
3 ANALÝZA SOUČASNÉHO STAVU
Kapitola odpovídá na otázku, jaké je systémové nastavení řízení rizik v ReMO a do jaké míry podporuje řízení rizik proces plánování rozvoje AČR. V kapitole budou předloženy závěry z komplexního hodnocení řízení rizik. Pozornost bude zaměřena na posouzení regulátorů řízení, SW nástroje a názory odborníků. Předložena bude komplexní matice SWOT hodnotící vnitřní i vnější prostředí řízení rizik.
3.1 Hodnocení regulátorů řízení
Systém řízení rizik v ReMO směřuje k naplnění požadavků stanovených zákonem o finanční kontrole ve veřejné správě. Hlavním cílem je zajištění ochrany veřejných prostředků proti rizikům, nesrovnalostem nebo jiným nedostatkům způsobených zejména porušením právních předpisů, nehospodárným, neúčelným a neefektivním nakládáním s veřejnými prostředky nebo trestnou činností. Zákon ukládá všem vedoucím zaměstnancům orgánu veřejné správy v rámci vymezených povinností, pravomocí a odpovědností povinnost zajistit fungování vnitřního kontrolního systému a zároveň podávat vedoucímu orgánu veřejné správy včasné a spolehlivé informace o vzniku významných rizik, o závažných nedostatcích v činnosti orgánu veřejné správy a o přijímaných a plněných opatřeních k jejich nápravě.[11]
V podmínkách ReMO je řízení rizik prováděno podle rozkazu ministra obrany – řízení rizik.[12] Systém řízení rizik je pojímán jako součást systému řízení a vnitřní kultury MO, přičemž rizika jsou řízena ve všech oblastech činnosti ReMO. Základními komponenty systému řízení rizik jsou subjekty, procesy a programové vybavení k podpoře procesu řízení rizik. Dokumenty v systému řízení rizik jsou vedeny v elektronické podobě v rámci určeného SW nástroje „Modul rizik“. Proces řízení rizik zahrnuje následující fáze (identifikační, analytická a hodnoticí; zvládání rizik; monitorovací, komunikační a vykazovací), které jsou v souladu s mezinárodním standardem.[13]
Metodické pokyny[14] objasňují způsob řízení rizik v jednotlivých fázích procesu řízení rizik a poskytují podrobný návod k SW aplikaci. Jednoznačné odpovědi na otázky „proč“ a „jakým způsobem“ rizika řídit, jak je provázat a sladit nejsou metodicky rozpracovány.
V procesu plánování ReMO je řízení rizik spojeno především s hodnocením činnosti a rozvoje.[15] Tento proces zahrnuje průběžné a čtvrtletní hodnocení plnění opatření a úkolů, které mj. ukládá řídícím pracovníkům informovat své přímé nadřízené o zjištěných nedostatcích a identifikovaných rizicích. Pololetní a roční vyhodnocení cílů zahrnující vyhodnocení cíle včetně návrhů na odstranění nedostatků, zvládání agregovaných rizik a z toho vyplývající návrh na úpravy dokumentace cíle předkládají manažeři cílů 1. úrovně k projednání v Radě ministra obrany pro plánování.[16] Vyhodnocení činnosti a rozvoje ReMO obsahuje roční hodnocení za cíle první úrovně a pololetní hodnocení rizik včetně vyhodnocení rizik. Součástí přehledu za 1. pololetí roku 2019 byla pouze závažná rizika identifikovaná v rámci cyklu bez systémovější vazby na nadřazené dokumenty. Zpráva o zajišťování obrany státu je zpracovávána na začátku kalendářního roku za předchozí rok. Hodnotí stav připravenosti státu k zajišťování své obrany v duchu zákona č. 222/1999 Sb., o zajišťování obrany ČR. Zpráva je předkládána k projednání vládě ČR. Za rok 2018 nezahrnuje žádnou informaci o identifikovaných rizicích, jejich hodnocení a souvisejících realizovaných opatřeních v kontextu nastaveného systému řízení rizik.
3.2 Posouzení softwarové podpory
Pro podporu řízení rizik je v ReMO využíván softwarový nástroj, který je integrální součástí systému řízení rizik.[17] Modul rizik pokrývá funkční oblastí dle DOTMLPFI a celé spektrum hrozeb – přírodního původu, fyzikálního a technického původu, lidský faktor, organizační faktor, společensko-ekonomický faktor. Výpočet míry kritičnosti rizika je realizován automaticky na základě vyplnění požadovaných parametrů. Míra kritičnosti rizika (kritická, vysoká, střední, nízká) je stanovena jako součin hodnoty míry kritičnosti aktiva (kombinace opravitelnosti, resp. nahraditelnosti a citlivosti, resp. dostupnosti) a hodnoty míry kritičnosti hrozby (kritická nebo nekritická). Za neakceptovatelná rizika, ke kterým je nezbytné přijímat rozhodnutí o způsobu zvládání jsou považována rizika s mírou kritičnosti stanovenou jako „vysoká“ a „kritická“. Nástroj umožňuje zpracovávat mapy rizik a katalog rizik. Neobsahuje však vhodné výstupy podporující řízení rizik v procesu plánování rozvoje zohledňující plánovací cykly, hodnocení trendů vývoje rizik, prioritizaci a balancování požadavků. Modul je propojen pouze s nástrojem pro roční plánování implementovaným v rámci stejného informačního systému. Vazba na nástroj pro podporu střednědobého plánování, nástroj pro věcné plánování obsahující dokumentaci cílů nebo nástroj pro zpracování rozpočtového výhledu a rozpočtování není realizována zejména z důvodu jejich umístění v rámci jiných informačních systémů.
3.3 Analýza připravenosti uživatelů a míry akceptace systému řízení rizik
Ke zjištění připravenosti uživatelů pro práci se systémem řízení rizik a míry akceptace
systému řízení rizik bylo realizováno dotazníkové šetření mezi správci rizik a provedeny polostrukturované rozhovory se zástupci manažerů cílů 3. úrovně.
Z analýzy odpovědí obdržených od správců rizik vyplynuly následující závěry:
- Pouze 55 % respondentů je přesvědčeno, že pochopili problematiku.
- Žádný z respondentů nestráví se systémem řízení rizik více, než 2 hodiny týdně.
- 67 % respondentů konstatovalo, že se systému řízení rizik kromě nich věnuje maximálně jedna další osoba.
- 77 % respondentů nemá řízení rizik v náplni práce.
- 33 % respondentů vnímá práci se systémem řízení rizik jako součást pracovní náplně související se zpracováním nebo aktualizací ročního plánu.
- 77 % respondentů vnímá systém řízení rizik pouze jako administrativní nástroj.
- Podle 88 % respondentů nejsou výstupy ze systému řízení rizik využívány pro podporu plánování.
- 50 % respondentů považuje za problematickou využitelnost výstupů nebo nedostatečnou vazbu na plánovací nástroje.
- 43 % respondentů považuje za důležité lepší provázání s plánovacími procesy.
Z polostrukturovaných rozhovorů byly sestaveny následující závěry:
- Systém řízení rizik by mohl být pro výkon manažerské praxe velmi přínosný, nicméně doposud nebyl dostatečně vysvětlen a prosazen do praxe.
- Není jasné, jak se systémem pracovat na všech úrovních. Lidé myšlence řízení rizik nerozumějí, neumějí se systémem pracovat. Nejsou k dispozici snadno pochopitelné ukázkové příklady.
- Řízení rizik není pozitivně vnímáno. Představuje administrativní zátěž. Ve stávající podobě nepomáhá při manažerské praxi.
- Systém řízení rizik neposkytuje přidanou hodnotu pro prioritizaci. Chybí užší provázanost s projekty.
- Správci rizik často řeší a posouvají rizika bez vědomí ředitele/velitele.
- Systém řízení rizik nepodporuje práci s utajovanými informacemi.
Z dotazníkových šetření a provedených polostrukturovaných rozhovorů je zřejmé, že účinnějšímu využití řízení rizik v procesu plánování rozvoje a jeho povýšení z administrativního nástroje na nástroj manažerský brání v podmínkách ReMO stále ještě určitá setrvačnost, nedůvěra v přínos systému řízení rizik v kombinaci se složitostí systémového nastavení a omezenými podmínkami (zejména v personální oblasti) pro odpovídající podporu řízení rizik.
3.4 Shrnutí hodnocení současného stavu
V rámci hodnocení současného stavu řízení rizik ReMO byla posouzena vhodnost systémového nastavení (především regulátorů řízení a SW nástroje) pro potřeby plánování rozvoje AČR.
Výsledky provedených analýz jsou uvedeny v matici SWOT v tabulce č. 1. Hodnocení jsou seřazeny podle jejich významu:[18]
Tabulka č. 1: SWOT matice
Silné stránky (DOTMLPFI) · D: Systém řízení rizik navržený v souladu s přístupy nejlepší praxe · O: Relativně malá administrativní náročnost systému řízení rizik · L: Jednoznačně stanovená gesce za systém řízení rizik i koordinaci v podřízenosti NGŠ AČR · M: Funkční SW pro administraci rizik |
Hrozby (PESTLEM) · L: Porušení platné legislativy při nesprávně identifikovaných nebo neřešených rizicích · E: Snížení rozpočtu MO při neadekvátním zdůvodnění zdrojových potřeb · M: Nedostatečné zajištění obranyschopnosti státu při nesprávně identifikovaných nebo neřešených rizicích. |
Slabé stránky (DOTMLPFI) · I: Nedostatečná, resp. nejasná vazba systému řízení rizik na plánovací procesy, nezohlednění cykličnosti plánování · P: Nedostatečný počet hodnotitelů · L: Nízká akceptace systému řízení rizik ze strany managementu, vnímání jako administrativní nástroj · T: Nedostatečná proškolenost personálu, nezohlednění odlišných potřeb jednotlivých skupin uživatelů · M: SW pro řízení rizik je omezen implementací do neutajovaného systému · P: Nezohlednění výkonu role v rámci systému řízení rizik ve funkční náplni zaměstnance |
Příležitosti (PESTLEM[19]) · P: Zadání pro rozvoj AČR potvrzené na politické úrovni · L: Stabilní struktura plánovacích dokumentů a standardně fungující plánovací prostředí připravené na využití výstupů ze systému řízení rizik · M: Jasně definovaný systém nadřízenosti a podřízenosti · E: Identifikované přístupy nejlepší praxe využívané v rámci ReMO i v zahraničí |
Z hodnocení současného stavu řízení rizik je zřejmá nedostatečná vazba systému řízení rizik na plánovací procesy a nezohlednění specifických potřeb podpory plánování. Nízká je úroveň akceptace řízení rizik pro potřeby řízení ze strany vedoucích zaměstnanců, kteří jej vnímají jako administrativní proces bez přidané hodnoty pro manažerskou praxi.
V podmínkách ReMO jsou sice nastaveny nezbytné regulátory řízení a rámcový systém pro řízení rizik podpořený SW nástrojem, nicméně reálná využitelnost systému řízení rizik především v procesu střednědobého a dlouhodobého plánování rozvoje AČR stále neodpovídá potřebám řídící praxe.
4 NÁVRH řešení
4.1 Požadavky na řízení rizik
Hodnocení současného stavu a poznatky získané z odborné literatury umožnily definovat základní požadavky na další rozvoj systému řízení rizik ReMO. Návrh na úpravu současného systémového nastavení řízení rizik by měl být především jednoduše realizovatelný, srozumitelný a akceptovatelný všemi zainteresovanými stranami. Návrh by měl být adresný a umožňovat hierarchický přístup. Měl by být provázán s plánovacími cykly a především umožnit provázání rizik s prioritami a se zdroji. Návrh by měl umožnit sledování trendů vývoje rizik v čase. Podstatné je, aby návrh umožnil pružně reagovat na potřeby manažerů cílů při balancování jejich záměrů s dostupnými zdroji.
K hledání návrhu řešení bylo preferováno využití přístupů nejlepší praxe přizpůsobených podmínkám ReMO. Návrh řešení je zaměřen primárně na využitelnost v podřízenosti NGŠ AČR. Ten může v souladu s platnými normativy v případě potřeby změny v nastavení systému řízení rizik a zapracování problematiky do vnitřních předpisů mimo jeho působnost[20] navrhnout gestorovi systému řízení rizik.
Návrh musí provázat plánování rozvoje a řízení rizik. Užší provázání systému řízení rizik s řízením a plánováním by mělo být provedeno v rovině horizontální a vertikální. Horizontální rovina zahrnuje sladění řízení rizik s cykly plánování a vyhodnocení. V podmínkách rezortu MO určovanými zejména RMO 66. Vertikální rovina umožňuje sladění řízení rizik s hierarchickým přístupem k rozpracování a vyhodnocení plánů. V podmínkách rezortu MO zejména soustavou cílů rezortu, se kterou je systém plánování podle RMO 66 úzce provázán.
Na horizontální úrovni by měl být systém řízení rizik co nejtěsněji provázán s plánovacími procesy, avšak umožnit samostatnou aktualizaci a vyhodnocení rizik. Tento přístup je využíván v rámci projektového řízení,[21] kdy pro potřeby řízení rizik projektu je výhodné zpracovat plán řízení rizik projektu. S využitím analogie lze k cyklu tvorby, aktualizaci a vyhodnocení plánu přistupovat projektově[22]. Tento přístup umožňuje zjednodušení rozhodovacího problému souvisejícího s implementací systému řízení rizik do podmínek plánování.
Při rozdělení zpracování plánů podle RMO 66 na izolované projekty, jejichž vstupem jsou informace obsažené v interních regulátorech, nadřazených dokumentech a informace z předchozích plánovacích cyklů, je vhodné integrovat činnosti související s řízením rizik těchto jednotlivých izolovaných projektů do jednoho procesu.
K vytvoření strukturované vazby v procesu plánování na systém řízení rizik je tak vhodné vypracovat Plán řízení rizik (dále jen PŘR), který je modifikován pro potřeby řízení rizik jednotlivých plánů činnosti a rozvoje.
Využití PŘR zmiňuje i Metodická pomůcka pro tvorbu koncepčních dokumentů rezortu MO (MPKD), která však neřeší formu, obsahovou strukturu PŘR ani konkrétní provázanost se systémem řízení rizik nebo systémem plánování.
Návrh možné výchozí vazby mezi systémem plánování a systémem řízení rizik s využitím PŘR a jejich vyhodnocení je patrný z obrázku č. 3.
Obrázek č. 3: Provázání rozvojových plánů a Plánů řízení rizik
PŘR s vazbou na systém řízení rizik umožní zohlednit při přípravě plánů činnosti a rozvoje identifikovaná rizika. PŘR poskytne přehled o „transferu“ opatření souvisejících se zvládáním rizik v horizontálním i vertikálním směru (např. z krátkodobého časového horizontu do střednědobého časového horizontu, z nižší úrovně velení na vyšší úroveň velení nebo obráceně apod.).
V rámci vertikálního směru při rozpracování PŘR je reflektován přístup shora dolů (TOP-DOWN), kdy nadřazená úroveň řízení je jedním ze vstupů a tvoří zadání pro nižší úroveň. Při vyhodnocení plánů je však aplikován přístup zdola nahoru (BOTTOM-UP), kdy manažerské vyhodnocení rizik na nižší úrovni řízení je jedním ze vstupů pro vyhodnocení rizik na vyšší úrovni.
Sestavení a vyhodnocení PŘR by mělo probíhat v intervalech sladěných s intervaly sestavení a vyhodnocení plánů rozvoje a činnosti nastavených v rámci RMO 66. To umožní kontrolu provázanosti s plány rozvoje, posílí důraz na vydávání informovaných rozhodnutí ze strany manažerů a vedoucích pracovníků souvisejících s realizací plánů rozvoje a činnosti.
4.2 Základní struktura a pozice Plánů řízení rizik
Pozice Plánu řízení rizik ve vztahu k systému řízení rizik je naznačena na obrázku č. 4.
Obrázek č. 4: Vztah PŘR a systému řízení rizik
Zdroj: NASA GOES[23]
PŘR vytvoří obraz identifikovaných rizik vázaných ke konkrétnímu časovému okamžiku. Tím se stane výchozím bodem pro porovnání změn, které nastaly v průběhu plánovacího období – např. čtvrtletí, poletí, rok. Porovnání změn mezi obdobími lze následně využít k vytvoření rozdílové sestavy jako základu pro další vyhodnocení, jak naznačuje obrázek č. 5. Je tak možné sledovat trendy hodnocených rizik.
Obrázek č. 5: Využití změn mezi PŘR pro vyhodnocení vývoje rizik
V průběhu plánovacího období je aplikován systém řízení rizik, který zajistí aktualizaci rizik. Po uplynutí plánovacího období je sestaven aktualizovaný PŘR (T+1). Rozdíl mezi PŘR (T+1) a PŘR (T) umožní identifikovat trendy ve vývoji rizik (zánik nebo snížení rizika, nárůst rizika, nově vzniklé riziko). Vytvořen je tak úplný obraz o identifikovaných rizicích a jejich vývoji v čase jako základ pro aplikaci informovaných manažerských rozhodnutí ve vztahu k požadovaným změnám plánů činnosti a rozvoje.
Při využití PŘR lze zjednodušeně za projekt považovat rozvoj AČR se stanovenými milníky rozvoje. Z hlediska sladění se stávajícím systémem plánování a systémem řízení rizik je PŘR sestavován postupně na úrovni manažerů cílů 1. až 3. úrovně s respektováním přístupu „shora-dolů“, jak ukazuje obrázek č. 6.
Obrázek č. 6: Kaskádové rozpracování PŘR
Obsah PŘR je přizpůsobován potřebám řízení, pro které jsou sestavovány, při zachování jejich vzájemné provázanosti prostřednictvím soustavy cílů rezortu. Tím je zajištěno transparentní sledování rizik na dané úrovni řízení. Případné změny jsou zaznamenány a komentovány ve vyhodnocení plánů řízení rizik na horizontální úrovni. Umožněna je i realizace vertikální vazby, kdy PŘR na vyšší může být jedním ze vstupů pro sestavení PŘR na nižší úrovni, a zároveň při vyhodnocení PŘR je možné agregovat z nižších úrovní směrem k úrovním vyšším.
Mezi nástroje pro řešení identifikovaných rizik pak lze zařadit např. střednědobý plán, roční plán rezortu a roční plány organizačních útvarů. Z důvodu sladění se systémem plánování a vyhodnocení podle RMO 66 je tvorba a vyhodnocení PŘR harmonizována s cyklem zpracování ročních plánů a pololetním, resp. ročním vyhodnocením. Základní myšlenka je naznačena na obrázku č. 7.
Obrázek č. 7: Vazba zpracování a vyhodnocení PŘR na roční plánovací cyklus
PŘR může být zpracován jako samostatný dokument nebo jako jedna z příloh plánů[24]. Výhodnou se jeví varianta zpracování jako příloha ročních plánů, neboť upřesňující pokyny ke zpracování PŘR mohou být součástí každoročně aktualizovaných metodických pokynů ke zpracování ročních plánů rezortu[25] vydávaných v gesci NGŠ AČR. Zároveň tak bude zajištěna provázanost se Směrnicí[26] zahrnující politicko-vojenského zadání včetně plánovacích předpokladů, priority ministra obrany, strategické a zvlášť významné projekty, resp. omezení pro plánování[27], a dále bude možné sladit termín vyhodnocení PŘR s termíny vyhodnocení uvedenými v RMO 66 bez zbytečných zásahů do řídících dokumentů.
4.3 Obsahová náplň Plánu řízení rizik
Pro potřeby plánování a řízení v rámci podřízenosti NGŠ AČR jako manažera cíle 1. úrovně je PŘR jednoduše sestavitelný s využitím informací již obsažených v softwarovém nástroji „Modul rizik“, maximálně srozumitelný a při odpovídajícím sestavení použitelný i jako základní nástroj pro podporu reportingu. Zároveň umožňuje snadnou aktualizaci a podporuje transparentní vyhodnocení mezi obdobími. Takový přístup podpoří snadnou pochopitelnost a akceptovatelnost ze strany plánovacích orgánů, správců rizik i manažerů cílů.
Obecně může PŘR na úrovni manažerů cílů obsahovat:
- Rizika identifikovaná na nadřazené úrovni, resp. v rámci strategických a koncepčních dokumentů
- Rizika řešená na úrovni konkrétního manažera cíle 1. až 3. úrovně
- Přehled významných rizik řešených v rámci podřízenosti manažera cíle
- Upřesňující pokyny pro řízení rizik v rámci nadcházejícího období v podřízenosti manažera cíle
Pro snadnou vizuální identifikaci míry kritičnosti rizik je vhodné využít vizualizaci dat např. s využitím tzv. „semaforu“. Rámcový obsah PŘR je naznačen na obrázku č. 8.
Obrázek č. 8: Rámcový obsah PŘR
Zdroj: vlastní
Takto sestavený PŘR umožní manažerovi cíle udělat si rychlý obraz o rizicích řešených na jeho úrovni a zároveň významných (vysokých a kritických) rizicích identifikovaných v rámci jeho podřízenosti. V případě potřeby mu umožní vydat upřesňující pokyny pro řešení oblasti rizik na nadcházející plánovací období (v případě zpracování PŘR jako přílohy ročního plánu je plánovacím obdobím jeden rok).
První část PŘR zaměřená na řešení rizik identifikovaných v rámci strategických a koncepčních dokumentů není v současné době v rezortu MO podrobněji rozpracována. Konkrétní způsob rozpracovávání rizik na strategické úrovni bude nezbytné řešit ve spolupráci se SOPS MO, nicméně pro návrh obecné struktury PŘR není kritickou součástí a lze využít generický přístup stávajícího systému řízení rizik. Pouze je nezbytné zohlednit fakt, že v rámci koncepčních a strategických dokumentů zaměřených na delší časový horizont nemusí být vždy jasná míra kritičnosti rizika v okamžiku zpracování PŘR, proto jsou položky v 1. části doplněny o ukazatel „NESTANOVENO“.
Druhá a třetí část tvoří těžiště PŘR, neboť má přímý dopad na alokaci zdrojů v krátkodobém a střednědobém plánovacím horizontu. Obsah maximálně využívá existující databázi v „Modulu rizik“ tak, aby mohl být PŘR jednoduše generován. Zároveň umožňuje rozlišit opatření organizačního charakteru od opatření vyžadujících alokaci finančních zdrojů v rámci střednědobého plánu, resp. střednědobého rozpočtového výhledu.
Čtvrtá část PŘR obsahuje upřesňující pokyny a úkoly související s oblastí řízení rizik. Jednoznačně identifikuje manažera nebo vedoucího pracovníka odpovědného za jejich plnění.
4.4 Vyhodnocení Plánu řízení rizik
Vyhodnocení PŘR je sladěno s pololetními, resp. ročními intervaly hodnocení podle RMO 66. Tím je zajištěna konzistentnost, synchronizace a integrace procesů plánování, naplňování cílů procesů plánování a identifikovaných rizik[28].
Vyhodnocení PŘR je zpracováno jako rozdílová sestava obsahující přehled rizik na začátku plánovacího cyklu a po skončení plánovacího cyklu, doplněná o stručné manažerské shrnutí komentující hlavní změny. Rámcový obsah vyhodnocení je sladěn s PŘR s výjimkou 4. části, která obsahuje stručné manažerské shrnutí. Obsah vyhodnocení je naznačen na obrázku č. 9.
Obrázek č. 9: Rámcový obsah vyhodnocení PŘR, zdroj: vlastní zpracování
V rámci 1., 2. a 3. části je možné rozdílovou sestavu jednoduchým způsobem generovat porovnáním kritičnosti rizik na začátku a na konci plánovacího období s případným doplněním komentářů.
Vzhledem k tomu, že v průběhu sledovaného období se mohou vyskytnout nově identifikovaná rizika, je nezbytné tuto skutečnost zohlednit ve sloupci „Rozdíl“.
Zpracované vyhodnocení PŘR tvoří podklad pro hodnocení zpracovávané v souladu s RMO 66. Zároveň je jedním ze vstupů pro zpracování aktualizovaného PŘR na další období.
5 OPATŘENÍ K REALIZACI NÁVRHU ŘEŠENÍ
K realizaci implementace PŘR a vyhodnocení PŘR byl navržen rámcový implementační plán shrnutý do tabulky č. 2:
Tabulka č. 2: Doporučení k implementaci Plánu řízení rizik
Fáze |
Úkoly k realizaci |
Odpovědnost/gesce |
Ověření návrhu řešení |
· Ověření návrhu, zpracování vzorových sestav PŘR a vyhodnocení PŘR pro vybrané organizační prvky s využitím obsahu Modulu rizik · Upřesnění obsahu PŘR a vyhodnocení PŘR v součinnosti gestorem řízení rizik · Zpracování vzorových PŘR za úroveň manažera cíle 1., 2., 3. úrovně · Přednesení návrhu Velení AČR |
SPS MO Součinnost gestor řízení rizik |
Přípravná fáze |
· Zpracování specifikací k implementaci potřebných změn do Modulu rizik: · Uživatelské rozhraní · Úprava databázových položek · Tiskové sestavy |
SPS MO Součinnost gestor řízení rizik |
Implementační fáze |
· Implementace požadovaných změn do Modulu rizik |
Dodavatel Modulu rizik |
|
· Ověření technické implementace PŘR a vyhodnocení PŘR · Dopracování metodické pomůcky ke zpracování a vyhodnocení PŘR včetně aktualizovaných vzorů. |
SPS MO Součinnost gestor řízení rizik |
|
· Aktualizace metodických pokynů ke zpracování Ročního plánu – doplnění úkolu zpracovat PŘR jako přílohy · Aktualizace metodických pokynů ke zpracování pololetního a ročního vyhodnocení · Informování Velení AČR |
SPS MO SOPS MO |
Realizační fáze a zahájení rutinního provozu |
· Realizace školení: · Správců rizik · Hodnotitelů rizik · Plánovacích orgánů · Seznámení manažerů cílů |
SPS MO SOPS MO Součinnost gestor systému řízení rizik |
|
· První zpracování PŘR jako přílohy ročních plánů |
MC 1.,2.,3. úrovně |
|
· První vyhodnocení PŘR |
MC 1.,2.,3. úrovně |
Implementací PŘR bude posílena vazba mezi systémem řízení rizik podle RMO 20 a systémem plánování podle RMO 66. PŘR poskytne manažerovi i uživatelům jasnou představu o aktuálním stavu řešených rizik ve vazbě na hrozby, rizika, milníky, priority a hlavní úkoly identifikované v rámci strategických dokumentů, Směrnice MO, případně hlavní úkoly stanovené NGŠ AČR v rámci daného plánovacího období. Vazba mezi systémem řízení rizik a systémem plánování s využitím PŘR je naznačena na obrázku č. 10.
Obrázek č. 10: Vazba PŘR na systém řízení rizik, tvorbu a vyhodnocení plánů
Před zahájením zpracování ročních plánů organizačních prvků na další plánovací cyklus (T+1) je PŘR vygenerován z aktuálních podkladů dostupných v rámci Modulu rizik. V něm obsažená opatření a pokyny/úkoly jsou upraveny a doplněny podle potřeby, přičemž jedním ze vstupů je poslední vyhodnocení PŘR, Směrnice MO na další plánovací období, případně další aktualizované strategické a koncepční dokumenty. Díky softwarovému provázání se systémem řízení rizik je výsledek ihned promítán do karet rizik a aktualizovaná opatření/úkoly se stávají součástí postupů zvládání rizik.
Aktualizovaný PŘR tvoří přílohu ročního plánu organizačního prvku, přičemž navržená opatření jsou jedním ze vstupů k rozpracování v rámci ročního plánu, střednědobého plánu, ale i dalších plánů podle charakteru opatření, včetně aktualizace rozpočtového výhledu.
V průběhu kalendářního roku je roční plán realizován a aktualizován standardním způsobem. Standardním způsobem je rovněž aktualizován střednědobý plán a prováděny všechny fáze systému řízení rizik. Opatření organizačního a finančního charakteru uvedená v PŘR jsou realizována podle potřeby a po vyhodnocení jejich účinnosti dochází ke změně míry kritičnosti souvisejícího rizika. Díky SW provázání jsou informace automaticky součástí PŘR, který je vždy aktuální. V rámci pololetního, resp. ročního vyhodnocení je vygenerována rozdílová sestava k vyhodnocení PŘR, kterou lze jednoduchým způsobem okomentovat. PŘR tak respektuje cyklickou povahu plánů, poskytuje informace pro jejich sestavení, aktualizaci nebo vyhodnocení formou aplikace SW filtru na existující systém řízení rizik bez dalších omezení systému plánování nebo systému řízení rizik.
Klíčovým parametrem implementace navrhovaného řešení je průběžné seznamování Velení AČR s návrhy a stavem řešení tak, aby bylo zajištěno akceptování návrhu ze strany TOP managementu a včasné zapracování připomínek. Tento parametr je zohledněn v rámci návrhu implementačního plánu.
Předpokladem pro úspěšnou implementaci PŘR je realizace některých dalších dílčích opatření k odstranění nedostatků identifikovaných v rámci analytické části, zejména rozšíření počtu hodnotitelů a přizpůsobení školení potřebám různých skupin uživatelů. Identifikované nedostatky a navrhovaná doporučení jsou uvedeny v tabulce č. 3 a v případě potřeby je lze realizovat jak v rámci podřízenosti NGŠ AČR, tak v rámci celého rezortu MO.
Tabulka č. 3: Matice nedostatků a doporučení
Identifikovaný nedostatek |
Doporučení a zdůvodnění |
Nedostatečný počet hodnotitelů |
Doporučení: Rozšíření počtu hodnotitelů v rámci systému řízení rizik o vedoucí pracovníky a specialisty v rámci organizačních prvků.
Zdůvodnění: Systém řízení rizik je mj. založen na principu včasného varování, pro jehož správnou funkčnost je nezbytný co nejširší přehled o možných rizicích. Od správce rizik nelze realisticky očekávat, že bude schopen odborně pokrýt celou oblast působnosti organizačního prvku. Informaci o specifické hrozbě, zranitelnosti a souvisejícím riziku zná specialista, neboť je součástí jeho pracovní náplně. Není proto důvod, aby byli z procesu identifikace rizik v rámci systému řízení rizik specialisté a jejich nadřízení pracovníci vyloučeni. |
Neoficiální výkon rolí v rámci systému řízení rizik. |
Doporučení: Posílení adresného přístupu. Výkon rolí v rámci systému řízení rizik v ideálním případě zapracovat do popisu funkční náplně, v minimalistické variantě do organizačního rozkazu vydávaného na začátku kalendářního roku. V rámci SPS MO postupně rozvíjet koordinační roli Odboru věcného a zdrojového plánování/Analytického oddělení vyplývající z organizačního řádu. Problematiku postupně rozvíjet v úzké součinnosti s gestorem řízení rizik. Zdůvodnění: Součástí akceptace systému řízení rizik je jeho zviditelnění a „čitelnost“ napříč působnostmi a pracovními povinnostmi. Doporučení je v souladu s požadavkem uvedeným v RMO 20.
|
Nezohledňování potřeb jednotlivých skupin uživatelů – manažerů cílů, správců rizik, hodnotitelů |
Doporučení: Všechna školení by měla klást důraz na seznámení s problematikou řízení rizik formou jednoduchých praktických příkladů. Jakékoliv použité obrázky by měly být jednoduché a snadno srozumitelné. Školení samotné je nezbytné přizpůsobit potřebám jednotlivých subjektů v rámci systému řízení rizik: · Hodnotitelé – důraz na schopnost identifikace a vyhodnocení rizik · Správci rizik – důraz na schopnost identifikace rizik a správné zapracování do systému · Manažeři cílů – důraz na vysvětlení přínosu systému, vysvětlení principu včasného varování a vazby na systém řízení a plánování Rozsah školení u správců a hodnotitelů rizik lze realisticky odhadnout cca na 4 hodiny (2 hodiny teorie, 2 hodiny praktická část). U manažerů cílů by školení nemělo přesáhnout půl hodiny. Dále je doporučeno zavedení pravidelných metodických dnů zaměřených zejména na vzdělávání správců rizik s důrazem na sjednocení přístupu k problematice a předávání zkušeností, případně využití odborných zaměstnání na úrovni organizačního prvku následně zaměřených na sdílení zkušeností a identifikaci rizik. To přispěje k posílení okruhu uživatelů, kteří budou schopni identifikovat možná rizika. Zdůvodnění: Využitá analogie: přístupy ke školení plánovacích orgánů a vedoucích pracovníků v rámci ročního plánování, resp. pravidelná zaměstnání zaměřená např. na prevenci patologických jevů. |
Omezení implementace systému řízení rizik na neutajovaný systém |
Doporučení: Postupná migrace Modulu rizik do systému umožňujícího pracovat s klasifikovanými informacemi. Zdůvodnění: Přehled identifikovaných rizik poskytuje neustále zpřesňovaný přehled o slabinách systému. Již dnes některé informace nelze v SW nástroji pro řízení rizik zpracovávat. Postupné rozšiřování databáze způsobí, že v určitém okamžiku nebude možné systém provozovat bez porušení související legislativy. |
Práce na odstranění dílčích nedostatků je možné zahájit okamžitě. V souladu s působností by implementace v podřízenosti NGŠ AČR měla být koordinována z úrovně SPS MO, ideálně v součinnosti s gestorem systému řízení rizik.
ZÁVĚR
Příspěvek předkládá závěry z výzkumu zaměřeného na řízení rizik v podmínkách ReMO. Návrh řešení má potenciál posílit účinnost řízení rizik v procesu plánování rozvoje AČR. Navrhovaná opatření směřují k posílení funkčnosti systému řízení rizik a zlepšení provázanosti se systémem plánování. Návrh spočívá ve zpracování Plánu řízení rizik. Proces jeho tvorby je přizpůsoben specifickým podmínkám řízení AČR a respektuje platné regulátory řízení ReMO – zejména RMO 66 pro oblast plánování a RMO 20 pro oblast řízení rizik.
Řešení klade důraz na evoluční přístup bez požadavků na zásadní přepracování stávajícího systému plánování nebo řízení rizik. PŘR tak plní mj. úlohu nástroje pro včasné varování umožňující manažerům cílů i plánovacím orgánům získat strukturovaný pohled na rizika související s realizací plánů činnosti i rozvojových plánů v rámci jejich působnosti. Implementace PŘR přispěje k posílení realističnosti zpracovaných plánů.
Důležitým parametrem návrhu je variabilnost, flexibilita a opakovatelnost. Obsahová struktura PŘR není fixní, může reflektovat specifické potřeby konkrétního vedoucího zaměstnance a zaměřit se na rizika související s naplňováním priorit nebo hlavních úkolů konkrétního plánovacího období. Forma PŘR a jeho vyhodnocení umožňuje jednoduchou implementaci do stávajících softwarových nástrojů a následné automatické generování z dostupných datových podkladů. V případě potřeby řešení vybraných rizik v režimu vyžadujícím ochranu utajovaných informací lze pracovat s registrem vybraných rizik, který bude zcela oddělený od hlavní databáze „Modulu rizik“, bez dopadu na využitelnost navržené struktury PŘR pro podporu plánovacích procesů.
Návrh zohledňuje aktuální stav implementace systému řízení rizik a potřebu získání větších praktických zkušeností na úrovni manažerů cílů 1. až 3. úrovně v procesu plánování rozvoje AČR. Navržená opatření lze do praxe zavádět postupně tak, jak se vyvíjí zkušenosti z procesu řízení rizik v ReMO.
POZNÁMKY K TEXTU A CITACE
[1] NATO ARAMP-1: NATO Risk Management Guide For Acquisition Programmes, str. 3.
[2] Zákon č. 320/2001 Sb.: Zákon o finanční kontrole ve veřejné správě.
[3] PITAŠ, Jaromír, CRHÁK, Milan. Řízení rizik jako podpora rozhodovacího procesu v resortu Ministerstva obrany, str. 114-124.
[4] Organizační řád Ministerstva obrany ze dne 17. prosince 2019
[5] Rozkaz ministra obrany č. 20: Řízení rizik v rezortu Ministerstva obrany.
[6] Rozkaz ministra obrany č. 66: Plánování činnosti a rozvoje v rezortu Ministerstva obrany.
[7] ATP 5-19: Risk Management. Washington, DC: Headquarters, Department of the Army, 2014; Composite Risk Management. Washington, DC: Headquarters, Department of the Army, 2006.
[8] NASA 2012 Climate Risk Management Plan and Report., str. 8
[9] FOTR, Jiří, VACÍK, Emil, SOUČEK, Ivan, ŠPAČEK, Miroslav, HÁJEK, Stanislav. Tvorba strategie a strategické plánování (Teorie a praxe), str. 88.
[10] NASA Risk Management Handbook, str. 3.
[11] Zákon č. 320/2001 Sb.: Zákon o finanční kontrole ve veřejné správě. § 4.
[12] Rozkaz ministra obrany č. 20: Řízení rizik v ReMO, čl. 3.
[13] ČSN ISO 31000 Management rizik – Principy a směrnice; ČSN ISO 31000. Management rizik - Směrnice.
[14] Metodické pokyny k řízení rizik v ReMO a použití Modulu řízení rizik.
[15] Rozkaz ministra obrany č. 66: Plánování činnosti a rozvoje v ReMO, čl. 16.
[16] Metodické pokyny pro pololetní a roční hodnocení cílů ReMO, Příloha 6.
[17] Metodické pokyny k řízení rizik v ReMO a použití Modulu řízení rizik.
[18] K určení pořadí využita metodika uvedená v: GRASSEOVÁ, Monika, DUBEC Radek, ŘEHÁK David. Analýza podniku v rukou manažera: 33 nejpoužívanějších metod strategického řízení.
[19] PESTLEM – Political, E – Economical, S – Social, T – Technological, L – Legal, E – Ecological, M - Military
[20] Rozkaz ministra obrany č. 20: Řízení rizik v rezortu Ministerstva obrany, čl. 4, odst. 3.
[21] SVOZILOVÁ, Alena. Projektový management: Systémový přístup k řízení projektů. 3. aktualizované a rozšířené vydání. Praha: Grada Publishing, 2016. ISBN ISBN 978-80-271-9472-8 (pdf).
[22] Např. NATO ARAMP-1, Příloha C, str. c-4.
[23] Geostationary Operational Environmental Satellite (GOES): GOES-R Series Risk Management Plan. s.16.
[24] Metodika přípravy veřejných strategií – šablona Plánu řízení rizik tvorby strategie, str. 1.
[25] Metodické pokyny ke zpracování plánu činnosti rezortu na rok 2020.
[26] Směrnice ministra obrany pro plánování činnosti a rozvoje rezortu MO na roky 2020 - 2027 s výhledem do roku 2035.
[27] Rozkaz ministra obrany č. 66: Plánování činnosti a rozvoje v rezortu Ministerstva obrany, čl. 11.
[28] Rozkaz ministra obrany č. 66: Plánování činnosti a rozvoje v rezortu Ministerstva obrany, čl. 3.