REFLECŢII PE MARGINEA CONCEPTULUI DE RISC

Valentin Petru Măzăreanu, drd.

Universitatea “Al.I.Cuza”, Facultatea de Economie şi Administrarea Afacerilor
Departamentul de Informatică Economică
Carol I blvd, nr. 22 A, 700505, Iasi, Romania
E-mail: vali.mazareanu@feaa.uaic.ro

Abstract

Risks are inevitable. And because each project has its uniqueness the risks are also different from project to
project. The project's degree of success is also given, among other things, by the way in which these risks have been
controlled. The process of identification, analysis and control of these risks is called risk management.
About the art of war Sun Tzu said: "It is better to capture the enemy's army, than to destroy it; it is better to catch a whole
battalion, company or group of five people than to destroy them." It is the same in the art of risk management.

Riscurile sunt inevitabile. Şi pentru că fiecare proiect este unic tot aşa şi riscurile diferă de la proiect la proiect.
Gradul succesului unui proiect este dat, printre altele, de modul în care aceste riscuri au fost controlate. Procesul prin care
aceste riscuri sunt identificate, analizate şi controlate poartă numele de managementul riscului.
Despre arta războiului, Sun Tzu spunea: „Este mai bine să capturezi armata inamică, decât să o distrugi; este mai bine să
prinzi un întreg batalion, o companie sau un grup de cinci oameni decât să le distrugi.” Tot aşa este şi în arta
managementului riscului.

Introducere

Vorbim de riscuri zilnic. Sau poate nu atât de mult de risc în această formă, dar sigur vorbim de
evenimentul nefericit care s-a produs într-o anumită situaţie sau unei anumite persoane. Desigur
vorbim zilnic şi de evenimente fericite; însă pe acestea ne-am obişnuit să le numim şanse, oportunităţi.
Şi vorbim de riscuri mai ales când ne referim la o acţiune sau un eveniment viitor.
De altfel, Paul S. Royer [Royer, 2000] în lucrarea Project Risk Management definea conceptul de
risc ca fiind evenimentul viitor posibil, a cărui apariţie va afecta obiectivele proiectului din punct de
vedere al costului, programului calendaristic sau din punct de vedere tehnic. Efectul ar putea fi pozitiv,
caz în care managerul de proiect are oportunitatea de a îmbunătăţi performanţa proiectului sau de a
atenua riscurile. Însă de cele mai multe ori efectul este contrar obiectivelor.
Iată deci cum riscul prinde contur, nu atât din probabilitatea că nu se va întâmpla ceva bine, ci din
posibilitatea de a se întâmpla ceva rău.
De fapt şi fără a vorbi, conştient sau inconştient, orice persoane îşi asumă o serie de riscuri, în viaţa
particulară, în activitatea de rutină de zi cu zi sau în afacerea pe care o conduce. Practic, pentru orice
decizie ce urmează a se lua se calculează şansa de a avea un rezultat pozitiv sau neşansa, riscul de a
avea un rezultat nedorit.

Valenţe ale riscului

Unele riscuri sunt uşor de identificat. De exemplu, riscul ca un pilot de Formula I să sufere un
accident sau riscul ca un anumit tip de clădire să fie afectat la un eventual cutremur.
Riscurile pot fi însă mult mai complexe. Un astfel de exemplu ar putea fi identificat în cazul
exploziei la data de 4 iunie 1996 a rachetei spaţiale Ariane 5, caz relatat de presa vremii sub un
headline extrem de sugestiv: „One little bug, one big crash”. Fără a intra în detalii, este cazul
autodistrugerii unei rachete cu un cost de producţie de 7000 milioane $, având la bord alţi patru sateliţi
ştiinţifici extrem de scumpi (şi neasiguraţi), în primul ei zbor, la un interval de 37 secunde1 de la

1
Mesajul de eroare a fost generat de către o variabilă din codul sursă a cărui rol era doar de a stabiliza naveta de-a lungul
perioadei de count-down, singura parte din program care nu fusese verificată de către programatori, deoarece această parte
din program se închidea automat la ... 40 de secunde de la lansarea navetei (50 de secunde de la startul programului –
amintim că eroarea s-a produs la secunda 36.7).
lansare, autodistrugere “cauzată de o singură linie de cod” din programul de ghidare care a generat o
eroare activând astfel oprirea automată a sistemelor. Ignoranţă ...
De altfel, ignoranţa, aroganţa şi frica2 reprezintă cei mai mari factori de rezistenţă faţă de derularea
unui proces corespunzător de management al riscului.

Conceptul de management al riscului

Şi dacă am amintit despre conceptul de management riscuri, ce este managementul riscului?

Preluăm ideea profesioniştilor Project Management Institute care, în The Project Management Body of
Knowledge Guide [PMBOOK], definesc acest concept ca fiind un proces sistematic de identificare,
analiză şi răspuns la riscurile proiectului, proces compus din subprocesele identificarea riscurilor,
cuantificarea riscurilor, planul de răspuns la risc, controlul răspunsului la risc.
În funcţie de autorul metodologiei, denumirea sau ordinea acestor subprocese diferă. Astfel,
identificarea riscului şi cuantificarea riscului sunt uneori tratate împreună şi poartă denumirea de
evaluarea riscului sau de analiză a riscului; planul de răspuns la risc este uneori întâlnit şi sub
denumirea de plan de atenuare a riscului; planul de răspuns la risc şi planul de control al riscului sunt
uneori tratate împreună sub numele de plan de management al riscului.

Evaluarea riscului – piatră de temelie în managementul de risc

Toate elementele ciclului de management al riscului sunt importante. Însă după United States
General Accounting Office [GAO/AIMD], evaluarea riscului furnizează piatra de temelie pentru toate
celelalte elemente. Problematica evaluării riscurilor este una destul de complexă. Atunci când se
declanşează un proces de evaluarea riscurilor, acest proces trebuie să analizeze în paralel mai multe
aspecte. Şi anume, care este miza pusă în joc şi cât de importante sunt vulnerabilităţile în scenariile de
dezastre puse în discuţie, finalitatea fiind furnizarea unei căi de reducere a riscurilor rezultate. În opinia
instituţiei mai sus menţionate procesul de evaluare a riscurilor include printre altele elemente precum:
identificarea ameninţărilor (intruşi, criminali, angajaţi răuvoitori, terorişti, dezastre naturale), estimarea
probabilităţii ca astfel de ameninţări să se materializeze, identificarea şi ierarhizarea valorii, estimarea
pierderilor potenţiale, identificarea acţiunilor eficiente din punct de vedere al costurilor de natură a
reduce efectele riscurilor, documentarea rezultatelor şi dezvoltarea de planuri de acţiune.
Iar primul pas în evaluarea riscurilor presupune identificarea acestora.

Clasificarea riscurilor

Despre identificarea riscurilor s-a scris mult. Despre tipuri de riscuri de asemenea. Se poate vorbi
despre riscuri operaţionale, financiare, de hazard sau strategice. Bank of International Settlements
[BIS], vorbeşte despre riscul operaţional, riscul reputaţional, riscul legal şi alte riscuri, printre care
riscul de credit, riscul de lichiditate, riscul ratei de profit, riscul de piaţă.
Există însă cel puţin două clasificări ce nu se încadrează în tiparul clasic, dar care sunt aplicabile
tuturor tipurilor de afaceri.
Prima dintre ele este cea propusă de Net Com. Plecând de la raportul probabilitate de apariţie a
riscului - impact (severitatea efectului), consultanţii acestei companii propun următoarea clasificare a
riscurilor [NetCom]:

2
Frica, acest instinct primar care, în ciuda unei lumi din ce în ce mai sofisticate din punct de vedere tehnologic, poate
produce orori (cu trimitere drept exemplu la cazul armatei navale a SUA care, în iulie 1988, a bombardat deasupra Golfului
Persic un avion iranian cu 290 pasageri civili, din ... frica de a nu fi un avion militar)
 căţeluşi tigrii

pisicuţe aligator
i

Figure 1 Clasificarea riscurilor

... unde:

- tigrii reprezintă: probabilitate mare, impact mare (tigrii sunt animale periculoase şi trebuie
neutralizaţi cât de repede se poate);
- aligatorii reprezintă: probabilitate mica, impact mare (aligatorii sunt animale periculoase care
pot fi evitate cu grijă);
- căţeluşii reprezintă: probabilitate mare, impact mic (căţeluşii sunt foarte frumoşi când sunt
mici, dar care pot ajunge periculoşi la maturitate; cu un training adecvat se poate asigura
evitarea problemelor);
- pisicuţele reprezintă: probabilitate mică, impact mic (chiar şi o pisică mare este foarte rar să fie
periculoasă; dar se poate să se piardă mult efort în training-ul acesteia).

A doua clasificare este cea propusă de Robert T. Futrell [Futrell, 2002], acesta identificând trei
clase generale generatoare de riscuri:
- Known knowns – e vorba de riscurile cunoscute echipei de proiect şi privite atât ca şi o
categorie de riscuri, cât şi ca o realitate a proiectului.
- Known unknowns – e vorba de riscurile cunoscute echipei de proiect şi privite drept o categorie
de riscuri, însă nu sunt conştientizate ca o realitate a proiectului de faţă.
- Unknown unknowns – e vorba de riscuri necunoscute echipei de proiect, nici drept categorie de
riscuri, nici realitate a proiectului.

Procesul de evaluare a riscurilor nu se finalizează aici. În modelul propus de Barry Boehm, unul
din pionierii managementului riscului, se vorbeşte despre analiza riscurilor urmată de o ierarhizare a
acestora în funcţie de gradul de periculozitate.
Vom vorbi despre acestea într-un material viitor.

În loc de concluzii

Riscul diferă de la entitate la entitate. Şi pe cale de consecinţă diferă şi planul de reducere al

impactului acestui risc. Pentru un sistem de furnizare a biletelor de avion, disponibilitatea soluţiei este
cheia continuităţii afacerii, acest lucru ducând la soluţii de asigurare a continuităţii afacerii. Iar pentru
un producător de automobile, confidenţialitatea planurilor şi proiectelor reprezintă cheia succesului în
faţa competiţiei, acest lucru ducând la politici şi soluţii de controlul accesului.
Iată doar două situaţii, dar pot fi şi multe altele.
Cum se poate aplica un scenariu de dezastru acestor situaţii? Modul cel mai simplu ar fi acela de a
avea o listă de scenarii şi câteva forme de formule matematice stabilite între mizele de joc,
vulnerabilităţi şi mijloace de reducere a riscului, furnizate de măsurile de securitate stabilite în
prealabil.
 De asemenea, cum se poate construi o protecţie a securităţii care să acopere cele mai importante /
costisitoare scenarii într-o manieră foarte eficientă. Acest lucru se poate realiza prin stabilirea unor
ponderi celor mai importante scenarii şi măsuri de siguranţă care prin definiţie ar trebui să acopere mai
multe scenarii. Dar atât timp cât nu există un tipar clasic de ameninţări pe fiecare domeniu şi de
asemenea statistici accesibile imediat, această sarcină poate solicita un efort de cercetare considerabil.
De o preocupare mai mare este posibilitatea ca o ameninţare importantă să fie trecută cu vederea şi
riscuri asociate acceptate din neglijenţă. Mai rău, este posibil ca o ameninţare importantă să fie
desconsiderată în mod intenţionat ...

Bibliografie

1. ***, Bank of International Settlements, la www.bis.org

2. ***, Cazul Ariane 5, la http://www.dcs.ed.ac.uk/
3. Futrell, Robert, şi alţii, Quality Software Project Management, Software Quality Institute Series,
Prentice Hall PTR, 2002
4. GAO/AIMD-99-139, Information Security Risk Assessment - Practices of Leading Organizations,
la http://www.itgi.org/
5. Net Com, The elements of project risk management, la http://www.netcomuk.co.uk/
6. Project Management Institute, PMBOK Guide - cap.11, Project Risk Management, la
http://www.pmi.org
7. Royer, Paul S., Project Risk Management – A Proactive Aproach, Management Concepts, Project
Management Institute, Inc.2000

Aparut in Măzăreanu, V.P., Reflecţii pe marginea conceptului de risc, Revista de Audit Financiar, Anul IV, nr.6/2006,
ISSN 1583-5812