Capitolul 7

Auditul intern i riscurile de management

7.1 Implicarea auditul intern n managementul riscurilor 7.2 Armonizarea modelelor de audit intern i de management al riscurilor 7.3 Identificarea riscurilor 7.4 Evaluarea riscurilor 7.5 Tolerana la risc 7.6 Rspunsul la risc controlarea riscurilor 7.7 Instrumente de control intern 7.8 Gruparea instrumentelor de control intern dup modul de aciune mpotrina riscurilor 7.9 Revizuirea i raportarea riscurilor 7.10 Comunicare i nvare 7.11 Entitatea extins i mediul
Timp necesar: 100 minute

00:100 50

Parcurgnd acest capitol vom afla: Cum poate contribui auditul intern la mbuntirea managementului riscurilor; Cum se armonizeaz auditul intern cu cerinele managementului riscurilor; Cum acioneaz auditorii interni pentru identificarea i evaluarea riscurilor de management.

7.1 Implicarea auditul intern n managementul riscurilor n orice entitate, ct i n mediul n care aceasta acioneaz, exist incertitudini i ameninri referitoare la realizarea obiectivelor. Orice manager este preocupat de gestionarea ameninrile, sau de fructificarea oportunitile. Dac incertitudinea este o realitate cotidian, atunci i reacia la incertitudine poate devini o preocupare permanent.

74

Auditul intern poate contribui la implementarea managementului riscurilor, aducnd motivaii specifice1. a) Auditul intern poate contribui la modificarea stilului de management Contribuind la identificarea riscurilor, auditul intern ofer managerilor posibilitatea s adopte un stil de management reactiv, s conceap i s implementeze msuri susceptibile de a atenua manifestarea riscurilor. Reacia orientat spre viitor permite organizaiei s stpneasc, n limite acceptabile, riscurile trecute, ceea ce este acelai lucru cu creterea anselor de a-i atinge obiectivele. Stpnirea riscurilor reale (riscurile care s-au manifestat deja, dar care sunt negestionate corespunzator i care pot apare i n viitor) este o garanie c sistemele de control intern sunt eficace. Tratarea riscurilor reale permite entitii s nu se mai confrunte n viitor, n aceeai msur, cu acele riscuri cu care s-a confruntat n trecut. Din pcate, este destul de rspandit concepia conform cria eficacitatea aciunii manageriale const n limitarea efectelor riscurilor materializate. Limitarea la managementul reactiv este, totui, insuficient pentru un management performant. Nici o organizaie nu poate fi condus numai dup principiul vznd i facnd. La fel de important este i identificarea posibilelor ameninri, nainte ca ele s-i materializeze i s produc consecine nefavorabile asupra obiectivelor stabilite. Aceasta nseamn a adopta un stil de management proactiv. Managementul proactiv are la baz principiul este mai bine s previi, dect s constai un fapt mplinit.

Metodologie de implementare a standardului de control intern managementul riscurilor, Unitatea Central de Armonizare a Sistemelor de Management Financiar i Contro l, MFP, ianuarie 2007, www.mfinante.ro

75

n entitile care beneficiaz de un audit intern performant, scrutarea orizontului nu se limiteaz la viitorul imediat, ci ia n considerare i perspective mai ndeprtate. n aceste situaii, managementul proactiv devine un management prospectiv, n care managementul ncearc s identifice acele riscuri poteniale, acele riscuri care pot aparea ca urmare a modificrilor de strategie sau de mediu. Organizaia trebuie pregtit pentru a accepta schimbarea. Auditul intern susine mangementul entitii s exclud expectativa i s promoveaze aciunea i previziunea. b) Auditul intern poate facilita realizarea eficient i eficace a obiectivelor organizaiei Revizuirea periodic a riscurilor de ctre auditul intern, poate conduce la realocarea resurselor, n concordan cu modificarea ierarhiilor i, implicit a prioritilor. Susinerea eforturilor managementului riscurilor poate orienta concentrarea resurselor n zonele de interes actuale ale entitii. Cunoaterea ameninrilor permite o ierarhizare a acestora n funcie de eventualitatea materializrii lor, amploarea impactului acestora asupra obiectivelor i de costurile pentru reducerea ansele de apariie sau limitarea efectele nedorite. Stabilirea unor ierarhii constituie suportul introducerii unei ordini de prioriti n alocarea resurselor, n majoritatea cazurilor limitate, n urma unei analize cost-beneficiu sau, mai general, efort-efect. Este esenial ca organizaia s-i concentreze eforturile spre ceea ce este cu adevarat important, i nu s-i disperseze resursele n zone nerelevante pentru scopurile sale.

76

c) Auditul intern asigur condiiile de baz pentru un control intern sntos Dac auditul intern cuprinde ansamblul msurilor stabilite de conducere pentru a se obine asigurri rezonabile c obiectivele controlului intern i ale entitii vor fi atinse, rezult c auditul intern este unul din mijloacele importante prin care se realizeaz acest lucru, deoarece urmrete tocmai gestiunea ameninrilor ce ar putea avea impact negativ asupra obiectivelor. Cu alte cuvinte, dac se urmrete consolidarea controlului intern, este indispensabil implementarea auditul intern. Planul de aciune (activitile ce trebuie desfurate pentru realizarea obiectivelor) trebuie urmat de planul ce cuprinde msurile ce atenueaz manifestarea riscurilor i de planul de tratare a situaiilor dificile (riscuri materializate). 7.2 Armonizarea modelelor de audit intern i de management al riscurilor Managementul riscurilor este un atribut al conducerii, este realizat cu participarea personalului entitii i const n: definirea strategiei specifice; identificarea i evaluarea riscurilor ce pot afecta entitatea i activitile ce se desfoar n cadrul acesteia, innd cont de parteneriate i de mediu; controlul riscurilor astfel nct acestea s se ncadreze n limitele toleranei la risc; monitorizarea, revizuirea i raportarea continu a situaiei riscurilor, beneficiindu-se de experiena acumulat (proces de nvare), pentru a se obine o garanie rezonabil cu privire la realizarea obiectivelor entitii.

77

Mediul economic i social Entitatea extins Entitatea

Identificarea riscurilor Proces de nvare Monitorizarea, revizuirea i raportarea riscurilor Atitudinea fa de risc. Controlul riscurilor Evaluarea riscurilor

Entitate afiliat Entitate subordonat Parlament Guvern Legi i alte reglementri

Entiti partenere Alte entiti incidente Asteprile factorilor interesai Condiii economice Contextul internaional

Modelul de management al riscurilor

Managementului riscurilor nu este un proces linear, componentele lui interacionnd continuu. Gestionarea unui risc poate avea un impact asupra altor riscuri sau msurile identificate ca fiind eficace pentru controlarea unui risc se pot dovedi benefice i n controlarea altor riscuri. De asemenea, modelul ncearc s sugereze c managementul riscurilor nu are n vedere o entitate izolat ci, aa cum se ntmpl n realitate, o entitate integrat n mediul su de existen. Managementul riscului este un proces continuu de nvare din experiene trecute, proprii sau ale altora. Ceea ce este extrem de important n demersul de a se ajunge la un management al riscurilor eficace este consolidarea permanenta a unei culturi organizaionale a riscurilor.

78

Modelul auditului intern trebuie s fie adaptat modelului de management al riscului pentru c activitatea sa urmrete tocmai identificarea, evaluarea i stabilirea impactului riscurilor. 7.3 Identificarea riscurilor Pentru a se gestiona riscurile ntr-o entitate, este necesar, nainte de toate, s se cunoasc aceste riscuri, adic s fie identificate. Identificarea riscurilor constituie primul pas n construirea profilului riscurilor unei organizaii. Riscurile trebuie identificate la orice nivel unde se sesizeaza c exist consecine asupra atingerii obiectivelor i pot fi luate msuri specifice de soluionare a problemelor, ridicate de respectivele riscuri. Riscurile nu pot fi identificate i definite dect n raport cu obiectivele a caror realizare este afectat de materializarea lor. Din aceast cauz existena unui sistem de obiective clar definite n entitate constituie premisa esenial pentru identificarea i definirea riscurilor. Se face definirea clar a sistemului de obiective, ncepnd cu cele generale i terminnd cu cele individuale, i numai dup aceea se identific ameninrile i oportunitile. n raport de situaia n care se afl organizaia, identificarea riscurilor se poate afla ntr-una din urmatoarele ipostaze: Identificarea iniial a riscurilor caracteristic organizaiilor noi sau care nu i-au identificat anterior riscurile, ntr-o manier structurat. De asemenea, aceast situaie se ntlnete n cazul demarrii unui nou proiect sau atunci cnd o activitate nou este introdus n entitate. Identificarea permanent a riscurilor caracteristic organizaiilor n care s-a consolidat managementul riscurilor. Identificarea continu este necesar pentru cunoaterea riscurilor care nu s-au manifestat anterior

79

datorit circumstanelor, a schimbrii circumstanelor n care se manifest riscurile identificate anterior, precum i pentru stabilirea riscurilor care s-au manifestat n trecut, dar care nu mai prezint, n prezent, importana pentru organizaie. Rriscul este o problem (situaie, eveniment etc.) care poate s apar, dar care nu a aparut nc. Riscul este o posibilitate, i nu un fapt mplinit. Riscul este o incertitudine, i nu ceva sigur. Riscurile au o cauz i un efect asupra obiectivelor. Exist o cauz pentru fiecare risc i un efect dac riscul se materializeaz. Efectul (consecina) este impactul. Cauza este o situaie care exist (circumstana) i care favorizeaz apariia riscului. Riscul inerent este riscul specific ce ine de realizarea obiectivului, fr a se interveni prin msuri de atenuare a riscurilor (controlul intern). Riscul rezidual este riscul ce rmne dup ce s-au pus n oper msurile de atenuare a riscurilor inerente sau, cu alte cuvinte, riscurile remanente controlului intern. Riscul rezidual este consecina faptului c riscurile inerente nu pot fi controlate n totalitate. Oricte msuri s -ar lua, incertitudinea rmne. Mai mult dect att, amploarea msurilor de inere sub control a riscurilor inerente este limitat, deoarece resursele posibil de antrenat sunt ele nsele limitate. Identificarea riscurilor nu este ntotdeauna o operatiune strict obiectiv ci, n primul rnd, o problem de percepie. De fapt, se poate afirma c nu se opereaz cu riscuri n sine, ci cu percepii asupra riscurilor. Pentru a atenua subiectivismul n perceperea riscurilor este recomandat s se recurg la dou metode complementare de identificare a riscurilor cu care se confrunt entitatea:

80

- Autoevaluarea riscurilor. Metoda are avantajul c fiecare grup, care particip la o activitate omogena a organizaiei, cunoate mult mai bine problemele cu care se confrunt n realizarea obiectivelor proprii. Totodat, atunci cnd membrii colectivului sunt pui n situaia de a descoperi ei nii riscurile, ei tind s devin mai contieni i mai responsabili n gestionarea acestora. Dezavantajul metodei const n faptul c fiind implicai direct n activitate, subiectivismul n perceperea riscurilor este mai accentuat. Se ntmpl s se identifice riscuri nerelevante, dar care n percepia colectiv par importante i invers. Rolul auditului intern al acelei activiti este esenial n autoevaluare. Avnd o viziune de ansamblu a activitii pe care o coordoneaz, percepe mai bine riscurile generale i intercondiionarile dintre riscurile individuale. De asemenea, acesta identific acele riscuri care afecteaz activitatea grupului, dar pe care nu le poate controla la nivelul su fiind necesar intervenia managementului de nivel imediat superior. Pentru nceput, dar i pentru procesul de revizuire continu, este bine ca entitatea s-i formeze un grup de persoane care s capete abiliti n identificarea riscurilor. Aceste persoane pot asista colectivele de autoevaluare. - Desemnarea unei echipe de audit intern, proprie sau cu serviciul externalizat, care s analizeze toate operaiunile i activitile organizaiei n corelare cu obiectivele i s identifice riscurile asociate. Echipa trebuie s realizeze un profil al riscurilor organizaiei.

81

Avantajul acestei metode const n atenuarea subiectivismului i n corelarea riscurilor pe diferite nivele. Dezavantajul l reprezint faptul c anumite riscuri, aparent neimportante, pot fi ignorate. Riscurile identificate trebuie grupate. Nu exist o grupare standard, fiecare organizaie poate adopta propriul sistem de grupare a riscurilor cu scopul de a le administra corespunztor. Apartenena la o clasa de probleme, nivelele de responsabilitate n gestionarea riscurilor, congruena msurilor ce trebuie luate etc, pot constitui elemente n baz crora s se fac aceast grupare. Dup amploarea impactului riscurile pot fi strategice sau

operaionale (n unele abordri apar i riscurile intermediare sau de program). De asemenea, unele riscuri i au originea n mediul extern organizaiei (riscuri externe), iar altele sunt proprii organizaiei nsi (riscuri interne). De asemenea, pot fi privite prin prisma naturii activitii, caz n care, acestea pot fi riscuri: legislative, juridice, financiare, profesionale, sociale, comerciale, informaionale, de funcionare, de mediu, de imagine (credibilitate), patrimoniale etc. 7.4 Evaluarea riscurilor

Odat riscurile identificate se trece la a doua etap, de evaluare a riscurilor. Evaluarea riscurilor presupune evaluarea probabilitii de materializare a riscurilor i a impactului (consecinelor) asupra obiectivelor n cazul n care acestea se materializeaz. Combinaia dintre nivelul estimat al probabilitii i nivelul estimat al impactului constituie expunerea la risc, n baza creia se realizeaz profilul riscurilor.

82

Scopul evalurii riscurilor este de a stabili o ierarhie a riscurilor unei organizaii care, n funcie de tolerabilitatea la risc, permite stabilirea celor mai adecvate modaliti de tratare a riscurilor i delegarea responsabilitii de gestionare a riscurilor celor mai potrivite nivele decizionale. A ierarhiza nsemn a compara, iar pentru a compara trebuie conceput o metod unitar de evaluare a probabilitii i a impactului riscurilor ca i a rezultantei compunerii lor numit, aa dup cum s -a artat, expunere la risc. Exist riscuri care pot fi cuantificate i pentru care exist suficiente date stocate n documentele entitii cum ar fi, spre exemplu, riscurile financiare, de personal sau de fiabilitate a aparaturii, dar i riscuri care nu pot fi cuantificate cum ar fi, spre exemplu, riscurile legate de credibilitate. Din fericire exist un element comun, i anume: percepia noastr asupra riscurilor care ne ajut. Fr ndoial, orice metod bazat pe percepie este subiectiv, dar, n lips de altceva, este un mare pas nainte n comparaie cu situaia n care riscurile sunt tratate intuitiv i ntmpltor, uneori chiar fr s fim contieni c facem acest lucru. Metoda bazat pe percepie are ns o justificare obiectiv. Nu att nivelele evaluate ale riscurilor au importan, ct mai ales dac riscurile sunt percepute sau nu ca tolerabile. Cu alte cuvinte, deviaia expunerii la risc fa de tolerabilitatea la risc este relevant deoarece aceasta creeaz motivaia pentru gsirea metodelor cele mai adecvate de gestionare a riscurilor.

Evaluarea riscurilor const n parcurgerea urmtoarelor etape: a) evaluarea probabilitii de materializare a riscului identificat;

83

b) evaluarea impactului asupra obiectivelor n cazul n care riscul s-ar materializa; c) evaluarea expunerii la risc ca o combinaie ntre probabilitate i impact. a) Evaluarea probabilitii de materializare a riscului identificat Se obine o evaluare destul de bun a probabilitii de materializare a unor riscuri prin analiza circumstanelor. Metoda analizei circumstanelor are la baz un postulat simplu: dac exist aceleai cauze vor exista aceleai efecte. Nu trebuie redus totul la experiena proprie. Uneori este suficient s cunoatem corelaiile stabilite de alii i s nelegem pe cele ce apar n situaii noi. ntr-o entitate sau/i n mediul cu care interacioneaz pot exista, la un moment dat, condiii (stri de fapt, circumstane) care favorizeaz apariia riscului i condiii care defavorizeaz apariia acestuia. Prin urmare, dac se face o analiz a cauzelor care favorizeaz apariia riscurilor se poate face o apreciere a anselor de materializare a acestora. Fr ndoial analiza circumstanelor conduce la o evalua re a probabilitii cu un grad mai mare de relativitate. Dar acesta nu constituie un impediment major, atta timp ct evaluarea are la baz informaii i analize pertinente. Atunci cnd se recurge la metoda analizei circumstanelor, domeniul n care funcia de probabilitate ia valori se poate nlocui cu o scal de evaluare. Aceast scal de evaluare a probabilitii de materializare a riscurilor poate fi de tipul:

84

Probabilitatea de materializare a riscului Apreciere calitativ Apreciere cantitativ Sczut 0,5% Medie 2% Ridicat 5%

Aprecierea n termeni cantitativi ai probabilitii (%) depinde de natura riscului i de atitudinea fa de risc a evaluatorului. Probabilitatea poate lua valori de la zero pn la 1,00 (100%). Prin introducerea acestei scale, n urma analizei circumstanelor, am identificat un instrument cu ajutorul cruia putem s apreciem posibilitatea de materializare a riscului (sczut, medie sau ridicat). n acest fel am simplificat mult efortul de evaluare a probabilitii de materializare a riscurilor. Chiar i evalurile cantitative ale probabilitilor pot fi realizate cu aceast scal. La evalurile cantitative trebuie s se recurg ori de cte ori este posibil. Ele cer o fundamentare mai riguroas i mai obiectiv dect n cazul evalurii calitative. Pe msur ce organizaia se familiarizeaz cu problematica riscurilor, iar managementul riscurilor devine o component de baz a managementului general al organizaiei, se poate trece la o evaluare mai analitic ce presupune utilizarea unei scale n cinci trepte. b). Evaluarea impactului asupra obiectivelor n cazul

materializrii riscurilor Impactul reprezint efectul produs asupra obiectivelor (rezultatelor) ateptate, care poate fi, n funcie de natura riscului, negativ sau pozitiv.

85

Impactul msoar consecinele asupra obiectivelor urmrite dac riscurile s-ar materializa. Impactul poate fi exprimat n termeni cantitativi sau calitativi. Numai unele riscuri se preteaz la evaluri cantitative, pentru multe dintre ele fiind posibil doar evaluarea calitativ. Evalurile cantitative ale impactului trebuie fcute ori de cte ori este posibil, deoarece sunt mult mai relevante, dar n final pentru obinerea unei imagini unitare asupra riscurilor ce pot afecta entitatea, evalurile cantitative vor fi transpuse i sub form calitativ. n unele situaii, mai ales cnd este vorba de obiective strategice, iar organizaiile sunt complexe (similar, proiecte complexe, activiti complexe), evaluarea impactului devine dificil i necesit studii de impact. Impactul oricrui risc este caracterizat prin consecinele produse. Alturi de consecine calitative, prezentate descriptiv, pot fi identificate i consecine exprimate n termeni de buget (costuri), de efort (timp de munc) i de timp (ntrzieri posibile n termenul de realizare a obiectivelor). Nu este obligatoriu ca evaluarea impactului s se fac prin toate aceste componente. Uneori nu este posibil, iar alteori nu este relevant. n multe cazuri n entitate sunt fixate obiective msurabile ncepnd de la nivelul programelor (bugetarea pe programe) i terminnd cu sarcinile individuale. Fiecrui obiectiv i se ataeaz indicatori de rezultate ce pot fi cuantificai i monitorizai. Impactul riscurilor este exprimat n acest caz prin efectul pe care l are materializarea riscurilor asupra indicatorilor referitori la rezultate. Pentru aprecierea impactului se folosesc scale de evaluare. Aceste scale ofer un instrument cu ajutorul cruia se poate msura importana

86

materializarea riscurilor (impactului) asupra obiectivelor entitii. Pentru etalonarea scalei se folosesc uniti canatitative sau calitative.
Scal de evaluare calitativ a impactului Ridicat Mediu Sczut I M P A C T

Numrul diviziunilor de etalonare a scalei sunt stabilite de fi ecare entitate, pentru fiecare grup de riscuri sau activiti. n cazul evalurilor cantitative scala va fi exprimat n unitile specifice folosite pentru exprimarea obiectivului afectat (lei, kg., m2, ore etc.) De exemplu: devalorizarea monedei naionale cu 2% ar putea determina entitii X, care realizeaz importuri din produsul Y, dac s-ar concretiza riscul, o pierdere de 10.000 ron. n acest caz impactul este msurat n lei. Scala va fi etalonat n lei i se va desfura de la zero la nivelul maxim posibil al impactului (pierderii). c) Evaluarea expunerii la risc Expunerea la risc reprezint consecinele, ca o combinaie de probabilitate i impact, pe care le poate resimi o entitate n raport cu obiectivele prestabilite n cazul n care riscul s-ar materializa. Expunerea la risc nu este o msur a consecinelor, ci o msur probabilistic a acestora. Expunerea la risc este un concept probabilistic, deoarece exprim o combinaie ntre probabilitate i impact. Ca urmare, ea are semnificaie numai naintea producerii riscului. Dup manifestare, riscul nu mai este o incertitudine, ci devine un fapt mplinit, iar n termenii teoriei probabilitilor aceasta nseamn c probabilitatea de apariie

87

(materializare) a riscului este 1 (eveniment sigur). n aces te condiii expunerea la risc este de fapt impact. De asemenea, n definiie se precizeaz c expunerea la risc este o combinaie ntre probabilitate i impact. Scala de evaluare a expunerii la risc nu mai este unidimensional, ca n cazul probabilitii sau impactului, ci una bidimensional sau, cu alte cuvinte, de tip matricial. Liniile matricei descriu variaia probabilitii, iar coloanele variaia impactului. Expunerea la risc apare la intersecia liniilor cu coloanele. Dac organizaia a adoptat scalele de evaluare calitativ n trei trepte pentru probabiliti i impact, expunerea la risc va fi exprimat n acest caz prin 9 valori (3x3).
Evaluarea expunerii la risc = probabilitatea * impactul (E=P*I) Ridicat Mediu Sczut I M P A C T S*R S*M S*S M*R M*M M*S Probabilitate Sczut Medie Ridicat R*R R*M R*S

Tabelul evideniaz o ierarhizare a riscurilor. Un risc cu expunerea RR (probabilitate de apariie ridicat i impact ridicat n cazul materializrii) nu este echivalent cu un risc cruia i se asociaz expunerea SS (probabilitate de apariie sczut, impactul sczut n cazul materializrii). Gruparea riscurilor identificate ntr-o organizaie n funcie de expunerea la risc conduce la realizarea profilului de risc al organizaiei.

88

Atunci cnd din diferite motive, se opteaz pentru utilizarea scalelor numerice, ele trebuie dublate cu scalele calitative. n acest mod se controleaz mai bine semnificaia informaiilor (expunerii) obinute. Dac la aceasta se adaug documentaia riscului (care poate cuprinde, eventual, i evaluri cantitative) cu siguran se poate fundamenta mult mai bine modelul riscurilor. Trebuie gsit un echilibru ntre simplificare i detaliere pentru a nu se pierde din semnificaie, pentru c putem fi copleii de amnunte a cror semnificaie nu o mai putem controla. Riscul inerent i riscul rezidual sunt dou ipostaze ale aceluiai risc: nainte de introducerea unui instrument de control intern i, respectiv, dup introducerea unui instrument de control intern. Prin urmare expunerea la riscul inerent este o msur a riscului la care se expune entitatea dac nu funcioneaz sistemul de control intern, iar expunerea la riscul rezidual este o msur a riscului rmas dup ce au fost implementate instrumentele de control intern. Deoarece controlul intern are scopul de a atenua posibilitatea de apariie a riscului i/sau de a atenua impactul asupra obiectivelor ntre cele dou expuneri la risc, exist relaia: Erisc inerent > Erisc rezidual Despre sistemele de control intern se poate afirma c sunt adecvate sau nu, dar nu se poate susine c nu exist. Din aceast cauz, riscul inerent i rezidual au un caracter relativ i nu absolut. Dac controlul intern implementat la un moment dat n entitate n raport cu un anumit risc are drept consecina o expunere la risc ce depete limitele de tolerabilitate, riscul rezidual anterior este considerat risc inerent n raport cu ajustrile i dezvoltrile sistemului de control intern existent. Sistemul de control intern ajustat i dezvoltat pentru a surprinde modificrile de circumstane se

89

finalizeaz printr-un nou risc rezidual. Ipostaza de risc inerent i rezidual se stabilete n raport cu controlul intern. 7.5 Tolerana la risc Tolerana la risc reprezint riscul pe care o entitate este pregtit s o tolereze sau la care este dispus s se expun la un moment dat. Conceptul de toleran la risc are semnificaii diferite n funcie de natura riscului, care poate fi o oportunitate sau o ameninare. Cnd se au n vedere oportunitile, conceptul de toleran la risc se refer la a analiza ct de mult este dispus cineva s rite n sperana c va beneficia de pe urma acelor oportuniti, iar cnd se au n vedere ameninrile, tolerana la risc se refer la expunerea tolerabil i justificabil care trebuie atins n practic. n interpretarea conceptelor de mai sus nu trebuie uitat faptul c riscul este o incertitudine. Prin urmare, oportunitatea se poate realiza sau nu, ca de altfel i ameninarea. Expunerea la risc (ca o combinaie dintre probabilitate i impact), capt sens numai n raport cu nivelul toleranei la risc. Cnd expunerea la risc este comparat cu tolerana la risc, amploarea msurilor de control al riscurilor ce trebuie luate devine evident. Cu alte cuvinte, nu valoarea absolut a expunerii la risc este important, ci deviaia expunerii la risc fa de tolerana la risc. Mai simplu spus, esenial este faptul dac riscul este perceput ca tolerabil sau nu. Dac expunerea la riscul inerent (riscul nainte de aplicarea msurilor de control intern al riscurilor) este mai mic sau egal cu tolerana la risc definit de manageri, nu se impun msuri de control al riscurilor, ceea ce nseamn c riscurile sunt acceptate. n caz contrar, sunt necesare msuri de

90

control al riscurilor astfel nct expunerea la riscul rezidual (riscul care rmne dup aplicarea msurilor de control al riscurilor) s se ncadreze n limitele de toleran la risc stabilite. Dac riscurile, atunci cnd se materializeaz, conduc la

compromiterea (total sau parial) realizrii obiectivelor, atunci de ce nu se stabilete o toleran zero la risc? Pentru c msurile de control al riscurilor genereaz costuri (financiare i/sau de alt natur), iar n unele situaii nu pot fi controlate toate circumstanele care favorizeaz materializarea riscurilor. Stabilirea unei limite de toleran la risc nseamn de fapt alegerea unui echilibru ntre costul controlului riscurilor i costul (financiar i/sau de alt natur) expunerii, n cazul n care aceasta ar deveni realitate. Stabilirea limitei de toleran la risc este un act major de responsabilitate managerial, fiindc prin aceasta se stabilete expunerea la risc asumata, n corelare cu costurile, de asemenea asumate, ale msurilor de control a riscurilor. Dac expunerea la risc este o mrime probabilistic msurat ntr-un format matricial (combinaie de probabilitate i impact), atunci i tolerana la risc are aceleai caracteristici. Asupra tuturor riscurilor, care au nivelul expunerii mai mare dect limita de toleran, trebuie ntreprinse msuri pentru aducerea expunerii acestora la riscurile reziduale sub aceast limit de toleran. Profilul de risc creeaz o imagine global a organizaiei din perspectiva riscurilor, ns utilitatea practic o au tabelele de risc, care sunt structurate astfel nct s devin instrumente operaionale ale

managementului riscurilor.

91

Secvena din tabelele de risc (numite i registru de risc), care cuprinde riscurile identificate, evaluarea expunerii riscurilor inerente i intensitatea deviaiei fa de tolerana la risc, se prezint astfel:
Tabelul riscurilor Denumire risc Probabilitate Riscul 1 Riscul 2 Riscul 3 Ridicat (R) Medie (M) Sczut (S) Riscul inerent Expunere (E) raportat la Impact limita de toleran (LT) Ridicat (R) RR > limita de toleran Sczut (S) MS < limita de toleran Sczut (S) SS < limita de toleran

Din Tabelul riscurilor reiese c numai Riscul 1 are o expunere mai mare dect limita de toleran la risc. Auditul intern va propune ce msuri ar trebui luate pentru aducerea expunerii lui sub limita de toleran. Limita de toleran la risc nu este imuabil. Oricnd nivelele superioare de management au libertatea de a crete sau a scdea riscul pe care sunt dispuse s i-l asume n funcie de circumstane i moment. Dar stabilirea limitelor de toleran i modificarea acestora nu sunt acte arbitrare, deoarece msurile de control presupun antrenarea de resurse, iar la nivelul organizaiei resursele sunt limitate. Constrngerile interne i externe (unele riscuri externe nu pot fi gestionate pn la un nivel satisfctor de ctre entiti) joac un rol important n stabilirea limitelor de tolerana la risc. Privit izolat, din perspectiva fiecrui risc n parte, stabilirea limitelor de toleran la risc nu ridic dificulti deosebite, dar cazurile n care se poate proceda astfel sunt rare. La nivelul entitii apar intercondiionri ntre riscuri, iar resursele ce pot fi alocate msurilor de control sunt limitate, fapt ce implic prioritizri.

92

De asemenea, este necesar realizarea unui echilibru ntre nivelele manageriale care gestioneaz riscurile. Limitele de toleran la risc ce trebuie atinse devin ele nsele obiective i, drept urmare, este necesar realizarea unui echilibru ntre competen, responsabilitate i sarcini. 7.6 Rspunsul la risc controlarea riscurilor Dup ce riscurile au fost identificate i evaluate i dup ce s -au definit limitele de toleran n cadrul crora entitatea este dispus, la un moment dat, s-i asume riscuri este necesar stabilirea tipului de rspuns la risc pentru fiecare risc n parte. Etapizarea activitilor privind riscurile are un caracter mai mult teoretic menit s faciliteze nelegerea procesului. n realitate, etapele se ntreptrund n cadrul procesului de documentare i analiz a riscurilor. Rspunsul la risc este deja formulat pe parcursul analizei riscurilor. n esen rspunsul la risc nu este altceva dect atitudinea managementului organizaiei fa de posibilele ameninri sau fa de eventualele oportuniti. Rspunsul la risc depinde de posibilitile de a controla afacerea. De fapt, se caut rspunsul la ntrebrile: riscurile pot fi sau nu controlate de organizaie?; dac da, organizaia poate controla riscurile pn la un nivel satisfctor?; dac nu, organizaia poate externaliza riscurile sau activitile generatoare de riscuri? Controlul riscurilor (ameninrilor), presupune c, la nivelul entitii, este posibil atenuarea probabilitii de materializare sau a impactului n cazul n care riscul s-ar materializa sau a amndurora. n caz contrar, riscurile sunt necontrolabile dac organizaia nu are posibilitatea de a interveni direct pentru atenuarea probabilitii i/sau

93

impactului. Aceast situaie se ntlnete cel mai frecvent n cazul riscurilor externe generate de mediul (contextul) n care entitatea funcioneaz. Problema controlrii/necontrolrii riscurilor este abordat, cel mai adesea, n mod relativ i nu absolut, adic n funcie de toleran. n acest context se vorbete despre riscuri care nu pot fi controlate pn la un nivel satisfctor al expunerii sau despre riscuri controlabile parial. n teoria riscurilor s-au identificat cteva strategii alternative pe care managerii le pot adopta ca rspuns la risc. 7.6.1 Acceptarea (tolerarea) riscurilor Acest tip de rspuns la risc const n neluarea unor msuri de control al riscurilor i este adecvat pentru riscurile inerente a cror expunere este mai mic dect tolerana la risc. Se reamintete faptul c nu ntotdeauna tolerana la risc poate fi stabilit nerestricionat. Sunt suficiente cazurile n care riscurile nu pot fi controlate intern pn la un nivel acceptabil al expunerii sau, costurile pe care le incumb msurile de control sunt disproporionat de mari n raport cu beneficiile. n consecin, acceptarea intervine atunci cnd riscurile sunt liber asumate sau cnd aplicarea unei alte strategii de rspuns la risc nu este posibil. Aceast opiune de rspuns la risc trebuie nsoit, mai ales atunci cnd limita de toleran nu a putut fi stabilit liber, de planuri de gestiune a problemelor dificile care s abordeze tratarea impactului atunci cnd riscul se materializeaz. Acceptarea (tolerarea) riscurilor este o strategie de rspuns la risc recomandat pentru riscurile cu expunere sczut. n cazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvat i, de aceea, n astfel de situaii, opiunea trebuie temeinic justificat.

94

7.6.2 Monitorizarea permanent a riscurilor Acest tip de rspuns la risc const n acceptarea riscului cu condiia meninerii sale sub o permanenta supraveghere. Parametrul supravegheat cu precdere este probabilitatea de apariie, deoarece strategia monitorizrii se aplica n cazul riscurilor cu impact semnificativ, dar cu probabilitate mic de apariie. n esen, strategia de monitorizare presupune o amnare a lurii msurilor de control pn n momentul n care circumstanele determin o cretere a probabilitii de apariie a riscurilor supuse acestui tratament. Avantajul aplicrii unei astfel de strategii de rspuns la risc const n utilizarea resurselor disponibile la un moment dat numai pentru riscurile cu expunere mare. Dezavantajul strategiei const n faptul c ntrzierea n tratarea riscului poate diminua ansele de a gestiona eficace n viitor riscurile. Din aceast cauz, aplicarea strategiei de monitorizare permanent a riscurilor trebuie precedat de o analiz serioas a duratei pe care o presupune implementarea msurilor de tratare a riscurilor. Dac aceast durat este mare, este de preferat ca momentul de debut al tratrii riscurilor s nu fie amnat. Unei astfel de analize trebuie supuse obligatoriu riscurile cu probabilitate mic de apariie, dar cu un impact ridicat dac obiectivele afectate au caracter strategic. 7.6.3 Evitarea riscurilor Aceast strategie de rspuns la risc const n eliminarea activitilor (circumstanelor) care genereaz riscurile. Trebuie menionat faptul c opiunea evitrii riscurilor este semnificativ redus n sectorul public fa de cel privat. Anumite activiti se desfoar n sectorul public tocmai

95

pentru c riscurile asociate sunt att de mari nct nu exist alt posibilitate de a obine unele rezultate ce in de interesul general. Dac aplicarea strategiei de evitare a riscurilor este limitat n cazul activitilor ce in de scopul organizaiei publice, ea poate fi avut n vedere pentru o serie ntreag de activiti suport, dac nu exist alt cale de a controla riscurile n limite tolerabile. 7.6.4 Transferarea (externalizarea) riscurilor Aceast strategie de rspuns la risc const n ncredinarea gestionrii riscului unui ter care are expertiza necesar gestionrii acelui risc, ncheindu-se n acest scop un contract. Prin aceasta se urmrete, pe de o parte, micorarea expunerii entitii, iar pe de alt parte, gestionarea eficace a riscului de ctre un ter specializat. Aceast opiune este benefic mai ales n cazul riscurilor financiare i patrimoniale. Cel mai cunoscut exemplu de transfer al riscurilor l constituie contractele de asigurare. n schimbul unei sume de bani (prima de asigurare) terul (societatea asiguratoare) preia asupra s riscul asigurat obligndu-se s despgubeasc organizaia care a transferat riscul, n cazul n care riscul se materializeaz. Este important de menionat c anumite riscuri nu sunt (integral) transferabile. n particular, nu este posibil s se transfere riscurile legate de credibilitatea entitii. n fa beneficiarilor entitatea rmne responsabil, chiar dac aceasta a contractat unele servicii cu tere pri. Din aceast cauz relaiile cu aceste tere pri trebuie gestionate cu deosebit atenie pentru a se asigura c riscul transferat este cu adevrat gestionat eficace de ctre ter.

96

7.6.5 Tratarea (atenuarea) riscurilor Aceasta este abordarea cea mai des folosit pentru majoritatea riscurilor cu care se confrunta entitatea. Opiunea tratrii (atenurii) riscurilor const n faptul c n timp ce entitatea va continua s desfoare activitile care genereaz riscuri, aceasta ia msuri (implementeaz instrumente/dispozitive de control intern) pentru a menine riscurile n limite acceptabile (tolerabile). Raportate la aceast strategie de rspuns la risc, celelalte strategii menionate mai sus pot fi considerate ca fiind excepii, recurgndu-se la ele numai atunci cnd riscurile nu pot fi controlate intern pn la un nivel satisfctor, care nu pericliteaz realizarea obiectivelor. De aici i importana auditului intern n managementul riscurilor. Acesta, odat implementat, are menirea s ofere asigurri rezonabile c obiectivele vor fi atinse, ceea ce este acelai lucru cu a afirma c prin control intern se obin asigurri rezonabile asupra meninerii riscurilor n limite acceptabile. 7.6.6 Tratarea situaiilor dificile Tratarea situaiilor dificile const n elaborarea unor planuri ce urmresc diminuarea impactului n cazul n care riscul se materializeaz. Strategia tratrii situaiilor dificile nu este o alternativa la celelalte strategii, ci o aciune complementar. Prin tratarea situaiilor dificile se d un rspuns la ntrebarea: Ce facem dac msurile de control intern eueaz i riscul se produce? Orice risc care este acceptat, monitorizat sau tratat trebuie nsoit de un plan care s descrie aciunile ce trebuie ntreprinse n cazul n care riscurile se materializeaz.

97

Din perspectiva managementului riscurilor, a realiza obiectivele nseamn: - a planifica activitile (aciunile) ce trebuie s se desfoare pentru a realiza obiectivele propuse (procesul); - a planifica aciunile de control intern necesare stpnirii riscurilor i a le integra n planul de activiti generale (planul A); - a planifica aciunile ce trebuie ntreprinse dac riscurile se materializeaz (planul B). Procesul, planul A i planul B sunt elementele eseniale ale un ui management eficace care a integrat managementul riscurilor. Msurile luate, de management n tratarea riscurilor sunt denumite n teoria general a controlului intern sub denumirea de dispozitive sau instrumente de control intern. Dac riscurile ajung s se materializeze, deci s se transforme n situaii dificile, cauza trebuie cutat ntotdeauna n defectul acestor dispozitive/instrumente de control intern. Bineneles aceast afirmaie vizeaz riscurile care pot fi controlate de organizaie n limi tele unei tolerane acceptabile impuse de raportul cost-beneficiu. 7.7 Instrumente de control intern Diversitatea dispozitivelor/instrumentelor de control intern este considerabil deoarece privete toate aspectele legate de activitile entitii, ns ele pot fi clasificate n ase grupe mari dup cum urmeaz: obiective; mijloace; sistem de informare; organizare; proceduri; supervizare. Fr ndoial, exist i alte tipuri de grupri, dar toate cuprind, n

98

principal, aceleai elemente i vehiculeaz aceleai noiuni. De altfel, nu gruparea n sine este important ci fixarea unui cadru de referin capabil s sistematizeze problematica controlului intern (auditilui intern) ca mijloc de control al riscurilor. Obiectivele grupeaz instrumentele/dispozitivele de control intern puse n oper prin msurile (aciunile) ce vizeaz: definirea clar (obiectivele vagi nu permit clarificarea sensului aciunii ce trebuie ntreprins pentru atingerea lor i nici identificarea riscurilor care amenin obinerea rezultatelor dorite); ierarhizarea (obiectivele generale trebuie descompuse ntr-un sistem piramidal pn la nivelul posturilor clarificndu-se astfel sarcinile, competenele i responsabilitile fiecrui membru al organizaiei); convergena (eliminarea relaiilor contradictorii ntre obievtive i asigurarea convergenei obiectivelor subsecvente la realizarea obiectivelor principale); msurabilitatea (asocierea unor indicatori obiectivelor care pot fi msurai i urmrii); monitorizarea prin sistemul informaional (lipsa monitorizrii face imposibil coordonarea i introducerea msurilor corective); ncadrarea n timp (planificarea pe orizonturi de timp determinate i corelate); caracterul mobilizator (obiectivele trebuie s stimuleze iniiativa fr a deveni ns nerealiste). Circumstanele care poteneaz apariia riscurilor i au de multe ori originea tocmai n nerespectarea acestor principii ce guverneaz sistemul obiectivelor. Mijloacele cuprinde grupa de dispozitive/instrumente de control intern implementate pentru evidenierea nivelului de adecvare a mijloacelor la obiectivele entitii. Circumstanele care favorizeaz apariia unor riscuri ce afecteaz realizarea obiectivelor constau, de multe ori, n grave

99

distorsiuni ntre resurse i obiective. n categoria resurse sunt incluse resursele umane, financiare i tehnice (n accepiunea cea mai larg). Sistemul de informare cuprinde dispozitivele/instrumentele de control intern care permit auditorilor interni s caracterizeze starea sistemului informaional i de pilotaj i s constate dac sistemul este: complet (se refer la toate funciile i activitile organizaiei), fiabil (corectitudinea i veridicitatea informaiilor), exhaustiv (cuprinderea tuturor informaiilor relevante), pertinent i util (care satisface necesitile decizionale), oportun (furnizarea informaiilor atunci cnd este necesar) i neredundant (abundena inutil a datelor furnizate). Sunt extrem de frecvente cazurile n care riscurile i au cauzele de manifestare n inadecvarea sistemului informaional. O analiz general scoate n eviden faptul c organizaiile au, n marea lor majoritate, sisteme informaionale lacunare, contradictorii, redundante, ineriale, nestructurate n funcie de necesitile diferitelor nivele manageriale etc. Organizarea cuprinde grupa dispozitivelor/instrumentelor de control intern cu ajutorul crora se identific anomaliile sistemului de organizare a entitii (operaional, funcional, structural etc.), care constituie circumstane favorizante pentru manifestarea riscurilor. Procedurile sunt acele instrumente/dispozitive de control intern prin care se controleaz riscurile generate de necunoaterea proceselor i regulilor ce trebuie respectate n desfurarea activitilor. A munci fr a formaliza modul n care fiecare trebuie s procedeze, nseamn a nu exista un control intern eficace, menit s in sub control riscurile i s se obin astfel o asigurare rezonabil c obiectivele vor fi atinse. Pentru ca procedurile s devin instrumente/dispozitive de control intern eficace acestea trebuie: s se refere la toate procesele i activitile

100

importante; s fie scrise; s fie actualizate n permanen; s fie aduse la cunotina executanilor; s fie simple i pe nelesul tuturor. Multe dintre riscuri i au cauza n lipsa procedurilor. De cte ori nu se invoc ca explicaie pentru un eec necunoaterea sau ambiguitatea unor reguli? Managerii au obligaia de a face clar pentru cei implicai ce trebuie fcut i cum trebuie fcut, fr a lsa loc la interpretri. Supervizarea grupeaz instrumentele/dispozitivele de control intern menite s in sub control riscurile ce rezult din anomalii n exercitarea controlului ierarhic. Astfel de instrumente de control intern vizeaz stilul managerial al responsabililor de pe diferite nivele. A superviza nu nseamn a reface munca subordonailor, a cuta eroarea cu orice pre sau a supraveghea n permanena procesele. A superviza nseamn, n primul rnd, a ndruma (coordona), a ncuraja i, numai n ultimul rnd, a verifica. Supervizarea trebuie s se bazeze pe un sistem informaional adecvat, s fie universal (s se refere la toate activitile) i s fie consemnat (viza, raport etc.) pentru a putea fi evaluat. La prima vedere ar prea surprinztor, ns sunt frecvente cazurile n care circumstanele care favorizeaz apariia unor riscuri in de o supervizare defectuoas. Un manager trebuie s se asigure c sectorul de care este responsabil funcioneaz, iar personalul trebuie s aib convingerea c activitatea acestuia este supravegheat. 7.8 Gruparea instrumentelor de control intern dup modul de aciune mpotriva riscurilor Instrumentele/dispozitivele de control intern pot fi analizate i prin prisma modului n care acestea acioneaz n tratarea riscurilor, deosebindu-se urmtoarele tipuri:

101

 Instrumente/dispozitive de control intern preventiv Aceste instrumente de control intern sunt menite s limiteze posibilitatea ca anumite riscuri s se materializeze. Cu ct materializarea unor riscuri este mai nedorit, cu att mai important devine implementarea instrumentelor de control intern preventive. Majoritatea instrumentelor puse n oper n organizaie au tendina de a aparine acestei categorii. Prezentm cteva dintre acestea: separarea funciunilor urmrete prevenirea riscurile de fraud; procedurile i propun prevenirea riscurile de neregularitate i neconformitate; mijloacele evideniaz riscurile care pot s apar ca urmare a insuficienei resurselor etc. Instrumente/dispozitive de control intern cu caracter corectiv Aceste instrumente sunt concepute pentru a limita impactul riscurilor materializate. Exemplule: includerea n contracte a unor prevederi care permit recuperarea supraplilor dac acest risc se produce; asigurarea permite recuperarea financiar n cazul materializrii riscurilor asigurate; planurile de gestionare a situaiilor dificile, care asigur revenirea organizaiilor la situaia normal, asigurndu-i continuitatea etc. Instrumente/dispozitive de control intern detective Aceste instrumente de control intern sunt concepute s identifice riscurile care s-au materializat pentru a putea fi tratate consecinele. n general, aceste instrumente de control intern sunt cunoscute i sub denumirea de controlul ulterior, deoarece se refer la riscuri materializate. S-ar putea obiecta c astfel de instrumente nu aparin managementului riscului, deoarece acesta se refer la tratarea riscurilor care pot s apar i nu a celor materializate. Obiecia nu este ntemeiat deoarece riscurile pot

102

fi reduse, dar nu eliminate. Prin urmare, exist ntotdeauna posibilitatea ca riscurile s se materializeze i s se transforme n situaii dificile. Dar, i situaiile dificile trebuie gestionate, iar prin instrumentele de control detectiv se face acest lucru. Spre exemplu, inventarele sunt instrumente de control intern detectiv menite s identifice eventualele pierderi de active datorate materializrii unor riscuri. Procesele care cuprind operaiuni cu efecte patrimoniale (inclusiv bugetare) pot fi ameninate de riscuri ce pot afecta dou dintre cele mai importante obiective (generale) ale organizaiei: securitatea activelor; conformitatea cu legile, actele normative, regulamentele i politicile interne. Din aceast cauz, instrumentele de control intern a riscurilor integrate n proces au fost completate cu instrumente de control de tip verificare. Logica raportului cost-beneficiu a impus concluzia c nu toate operaiunile trebuie s fie tratate n acelai mod. Aceasta nseamn c unele operaiuni vor fi tratate cu instrumente de control de tip preventiv, iar altele de tip ulterior (corectiv sau detectiv). De asemenea, unele operaiuni vor fi verificate n totalitate pe cnd pentru altele se va proceda la eantionri. Legtura dintre operaiuni, tipul instrumentelor de control i riscuri este prezentat sintetic n schema de mai jos:
Probabilitate ridicat a riscului Control preventiv prin sondaj Impact sczut al riscului Control ulterior prin sondaj Probabilitate sczut a riscului Operaiuni bugetare, financiare, patrimoniale Control ulterior exhaustiv Control preventiv exhaustiv Impact ridicat al riscului

103

Dup Metodologie de implementare a standardului de control intern managementul riscurilor, Unitatea Central de Armonizare a Sistemelor de Management Financiar i Control, MFP, ianuarie 2007, www.mfinante.ro

Corelaia ntre operaiuni, instrumentele de control i riscuri Odat stabilite zonele de risc, obiectivele care sunt afectate de posibila materializare a riscurilor, circumstanele care favorizeaz apariia riscurilor, responsabilitile managerilor n gestionarea riscurilor, strategiile ce trebuiesc adoptate, msurile de control intern (activitile ce trebuie ntreprinse pentru diminuarea expunerii la riscuri), se completeaz Registrul de riscurilor cu aceste elemente. n acest stadiu Registrul de riscuri va avea urmtoarea form:
REGISTRUL RISCURILOR Zona de risc (domeniu, compartimente) Circumstanele care favorize apariia riscurilor (cauze) Responsabilii cu gestionarea riscurilor Descrierea riscurilor Riscuri inerente Strategia adoptat Probabilitatea Instrumentele de control intern Riscuri secundare
14

Riscuri reziduale Probabilitatea Expunerea

Expunerea

Impactul

10

11

12

Impactul

13

1 2 ...

7.9 Revizuirea i raportarea riscurilor Revizuirea i raportarea riscurilor este faza ce ncheie ciclul care cuprinde identificarea, evaluarea, controlul, revizuirea i raportarea riscurilor. Dou motive impun revizuirea i raportarea riscurilor: Monitorizarea modificrii profilului riscurilor ca urmare a implementrii instrumentelor de control intern i a modificrii

104

Observaii
15

Obiective

Nr. crt.

circumstanelor care favorizeaz apariia riscurilor; Obinerea de asigurri privind eficacitatea gestionrii riscurilor i identificarea nevoii de a lua msuri viitoare. Procesele de revizuire trebuie puse n aplicare pentru a analiza dac: riscurile persist; au aprut riscuri noi; impactul i probabilitatea riscurilor au suferit modificri; instrumentele de control intern aplicate sunt eficace; anumite riscuri trebuie aduse la cunotina nivelelor de management superioare etc. Rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continu a situaiei riscurilor i pentru a se sesiza schimbrile majore care impun modificarea prioritilor. Revizuirea riscurilor i a procesului de gestionare a riscurilor sunt dou activiti distincte care nu se pot substitui reciproc. Revizuirea trebuie s: dea asigurri c toate aspectele procesului de gestionare a riscurilor sunt analizate cel puin odat pe an; ofer asigurri c riscurile sunt supuse revizuirii cu o frecven corespunztoare, stabilit n raport cu modificarea circumstanelor i a naturii instrumentelor de control intern ce urmeaz a fi implementate; stabileasc mecanisme de avertizare a nivelelor manageriale superioare n privina noilor riscuri sau a schimbrilor survenite la riscurile deja identificate, astfel nct aceste schimbri s fie abordate corespunztor. Revizuirea riscurilor i a gestionrii riscurilor se face, n prima etap, prin metoda autoevalurii. Responsabilii de risc (n principal managerii de pe diferitele nivele ierarhice ale organizaiei) au obligaia de a evalua, cel

105

puin o dat pe an (de regul la finele exerciiului financiar), riscurile din sfera lor de responsabilitate, precum stadiul de implementare a instrumentelor de control intern preconizate i eficacitatea lor. De asemenea, responsabilii de risc au obligaia de a raporta periodic (trimestrial, semestrial, anual) nivelelor ierarhice superioare ce activiti au desfurat pentru a actualiza riscurile i pentru a le menine la un nivel corespunztor. Astfel de rapoarte, cunoscute i sub numele de Rapoarte de responsabilitate, trebuie incluse n sistemul de raportare al fiecrei entiti. Dar practica autoevalurii i a rapoartelor periodice de responsabilitate nu este suficient, deoarece subiectivismul este inerent. Managerii se afl ntr-o situaie incomod atunci cnd sunt obligai s fac publice problemele cu care se confrunt n propriile arii de responsabilitate. Dac conducerea organizaiei are o viziune sancionatorie, metoda autoevalurii devine un eec. ncurajarea managerului de a vorbi deschis despre riscuri trebuie s devin o politic a fiecrei organizaii. Subiectivismul autoevalurii n procesul de revizuire a riscurilor i a gestionrii riscurilor este contrabalansat de auditul intern care, prin natura misiunii sale, are obligaia de a face evaluri independente (independente de responsabilii executivi) pentru a se obine asigurri rezonabile c riscurile sunt identificate i bine gestionate i, ca urmare, obiectivele organizaiei vor fi atinse. Trebuie subliniat ns faptul c auditul intern nu se poate substitui nici responsabilitii pe care conducerea o are n privina riscurilor i nici unui sistem integrat de revizuire i analiz ce trebuie pus n practic de

106

personalul

care

are

atribuii

executive

atingerea

obiectivelor

organizaionale. Modelul de registru de risc prezentat anterior este minimal. Organizaiile pot dezvolta acest model pentru a reflecta i alte informaii considerate relevante. Registrul de risc reprezint numai sinteza informaiilor i deciziilor luate n urma analizei riscurilor. De aceea toat documentaia privind riscurile trebuie clasificat i ndosariat astfel nct atunci cnd se face o evaluare a sistemului de management al riscurilor aceasta s fie disponibil. Registrul de risc completat corect devine documentul prin care se atesta c n organizaie s-a introdus un sistem de management al riscurilor i c acesta funcioneaz. De asemenea, Registrul riscurilor este documentul de la care pornete orice auditor extern atunci cnd se face o evaluare independent a managementului riscurilor din cadrul organizaiei. 7.10 Comunicare i nvare

Comunicarea i nvarea nu constituie o etap distinct n gestionarea riscurilor, ci reprezint un proces continuu ce se desfoar pe parcursul tuturor fazelor. De altfel, fr comunicare i nvare managementul riscurilor nu ar putea avea loc. Riscurile au determinri multiple, sunt de cele mai multe ori intercorelate, nu afecteaz de regul un singur obiectiv, iar instrumentele de control al riscurilor pot influena mai multe obiective. De asemenea, leciile trecutului trebuie nvate pentru a nu fi pui n situaia de a ignora soluii care i-au dovedit eficacitatea. Exista cteva aspecte legate de comunicare i nvare care trebuie scoase n eviden:

107

 Sesizarea modificrilor survenite n cazul riscurilor identificate depinde de o bun comunicare. ncurajarea discuiilor deschise despre riscuri, fr a exista temerea c prin aceasta managerii i vulnerabilizeaz poziiile, este o sarcin de importan capital pentru conducerea organizaiei. De asemenea, identificarea riscurilor noi depinde att de meninerea unei bune reele de comunicare ntre membrii organizaiei ct i de continua valorificare a surselor de informaii din mediul organizaional, acestea facilitnd sesizarea schimbrilor care vor afecta profilul de risc al organizaiei. Este foarte important s existe asigurri c fiecare nelege n mod corespunztor propriul rol, strategia organizaiei n domeniul riscurilor i modul cum responsabilitile individuale specifice se ncadreaz n cadrul general al organizaiei. Dac acest lucru nu este realizat, gestionarea riscurilor nu va putea fi integrat corespunztor i omogen n organizaie, iar riscurile prioritare nu vor fi controlate adecvat. ntr-o astfel de situaie managementul riscurilor se va cantona la nivelul activitilor, dar nu va avea valenele managementului integrat, singurul capabil s deceleze ceea ce este important pentru organizaie, n ansamblul su, la un moment dat i n circumstanele date. Nici o organizaie nu poate controla toate riscurile, i nici nu este de dorit. Important este s controleze ceea ce este cu adevrat prioritar. Este necesar s existe asigurri c experienele sunt nvate i comunicate celor care pot beneficia de pe urma lor. Spre exemplu, dac o structur component a entitii, confruntat cu un risc, concepe un instrument de control intern cu ajutorul cruia l gestioneaz n mod eficace, aceast lecie nvat trebuie comunicat i altora care, la un

108

moment dat, se pot confrunta cu acelai risc. Pentru a face progrese experiena organizaiei trebuie capitalizat. Comunicarea cu entitile partenere (entitatea extins) are aceiai importan, mai ales dac entitatea depinde, ntr-un fel sau altul, de o alt entitate. Nenelegerea (necunoaterea) prioritilor n gestionarea riscurilor proprii de ctre entitile partenere i, mai ales, eecurile nregistrate de acestea se pot repercuta direct asupra managementului riscurilor n entitate. 7.11 Entitatea extins i mediul Entitatea extins este un concept prin care se includ n sfera de interes (din perspectiva riscurilor) a entitii i entitilor afiliate, subordonate, partenere, precum i entitile care, prin misiunile lor, au legturi cu misiunea entitii. Se observ cu uurin c n conceptul de entitate extins sunt grupate acele entiti care au legturi directe cu entitatea dat. Cu alte cuvinte, exist premisele cunoaterii mai aprofundate a riscurilor externe provenite din aceast direcie i chiar premisele stabilirii unei colaborri n controlarea unor astfel de riscuri. Se poate afirma c entitatea extins este un mediu oarecum controlabil. Multe entiti (spre exemplu, grupurile) au relaii cu alte entiti pe care le controleaz direct (entitile afiliate) sau indirect. n aceste condiii, atingerea propriilor obiective va depinde/afecta atingerea obiectivelor celorlalte entiti. Cu alte cuvinte, ceea ce face o entitate va avea un impact direct asupra riscurilor cu care se confrunt entitile dependente i, n consecin, eficacitatea legturilor dintre aceste entiti este foarte important pentru facilitarea adoptrii unei abordri comune asupra gestionrii riscurilor care s le permit atingerea propriilor obiective.

109

Entitile subordonate sau aflate n coordonarea lor aplic politicile societii - mam de care depind direct sau indirect. Prin urmare, modul n care coordonatorii stabilesc ordinea prioritilor n abordarea riscurilor va afecta i prioritile entitii subordonate, iar modul n care organizaiile subordonate gestioneaz riscurile n procesul de implementare a politicilor va fi luat n considerare de societatea - mam n elaborarea viitoarelor politici. Aproape toate entitile depind de contractori (prestatori de servicii, furnizori de bunuri, antreprenori, societi care preiau n administrare riscuri transferate etc.). Este important ca entitile s analizeze fiecare relaie important cu contractorii i s se asigure c sunt comunicate i nelese corespunztor prioritile privind un anumit risc. Dei sunt absolut necesare, nu totdeauna sunt suficiente msurile de control intern de tipul clauzelor asiguratorii prevzute n contracte. Ele permit recuperri financiare (satisfac obiectivele legate de securitatea activelor), dar nu controleaz riscurile legate strict de obiectivele proiectelor. Dincolo de ce am numit entitate extins, exist i ali factori care contribuie la mediul n care riscurile sunt gestionate. Aceti factori pot, fie s genereze riscuri care nu pot fi controlate de entitate, fie s limiteze modul n care aceasta poate s i asume sau s controleze riscul. Este important ca entitatea s analizeze mediul extins de risc i s stabileasc modul n care acesta i afecteaz strategia de gestionare a riscurilor. De multe ori organizaia nu are dect posibilitatea s-i stabileasc planuri pentru situaii dificile pentru a aciona n cazul n care riscurile pe care nu le poate controla s-ar materializa. O serie de factori care constituie mediul de risc i de care organizaiile trebuie s in seama este necesar a fi menionai:

110

 Legile i celelalte reglementri pot s afecteze mediul de risc. Entitatea trebuie s identifice acele norme sub a cror inciden intr. Normele nu sunt altceva dect constrngeri care limiteaz modul de aciune al entitiilor. Spre exemplu, riscul ca personalul s nu-i ndeplineasc satisfctor sarcinile nu poate fi controlat n totalitate prin instrumente de control intern. Organizaia trebuie s in cont de legislaia muncii pentru a nu se expune riscului de a suporta sanciunile legale. Un factor al mediului de risc, este chiar Guvernul. Entitile trebuie s pun n aplicare hotrrile guvernului, dar acestea reflect n multe cazuri interesele politice. De aceea, de multe ori, abordarea unor riscuri de ctre conductorii entitilor este condiionat de decizii politice. Fiecare entitate este constrns i de ateptrile factorilor interesai. n cazul entitilor de afaceri factorul interesat cel mai relevant este consumatorul. Anumite msuri care pot fi eficace n controlarea anumitor riscuri pot da natere unor efecte pe care consumatorul nu este dispus s le accepte. Un alt factor de mediu important sunt condiiile economice. Spre exemplu, n condiiile unei economii emergente, constrngerile determinate de o infrastructur slab dezvoltat afecteaz proiectele de cretere economic ale entitilor care doresc s-i extind activitatea n anumite zone.

Vocabular: risc de management; ientificarea riscurilor; riscul inerent; riscul rezidual; evaluarea riscurilor; probabilitatea de manifestare a ariscului; impactul riscului, expunerea la risc; toleran la risc; externalizarea riscurilor; atenuarea riscurilor; registrul riscurilor.

111

ntrebri: 1. Cum poate contribui auditul intern la mbuntirea managementului riscurilor? 2. Cum se armonizeaz auditul intern cu cerinele managementului riscurilor? 3. Cum acioneaz auditorii interni pentru identificarea i evaluarea riscurilor de management? 4. Cum procedeaz auditorii interni pentru identificarea riscurilor de management? 5. Cum procedeaz auditorii interni pentru evaluarea riscurilor de management? 6. Cum se definete i utilizeaz tolerana la risc? 7. Cum se realizeaz controlul riscurilor? 8. Care sunt instrumentele folosite de auditorii interni pentru identificarea i evaluarea riscurilor? 9. Cum realizeaz auditorii interni revizuirea i raportarea riscurilor? 10.Care este semnificaia comunicrii i nvrii referitoare la riscurile de management?

112