1

CURS 1

I. Analiza riscului n organizaii

Societatea modern informatizat reprezent o realitate. n
economie, n finane, n industrie, n general n societate, prolifereaz
organizaiile i sporesc i riscurile.
Activitile organizaiilor se bazeaz tot mai mult pe folosirea
sistemelor organizaionale, care faciliteaz accesul rapid i sigur unor
persoane la date de interes i la soluii eficiente. Riscul organizaional
a devenit una dintre componentele majore ale sistemelor
organizaionale.
Eliminarea totala a riscului este imposibil de atins. ntr-o
organizaie, riscul depinde de:
- Oameni (cultur, cunotine profesionale),
- Procese (proceduri, metodologii);
- Tehnologie (hardware, software, reele).
Pentru realizarea corespunztoare a managementului riscului n
organizaii este necesar combinarea tehnicii, cu profesionalism i cu
abiliti ale personalului.

1. Noiune
Riscul reprezint nesigurana asociat oricrui rezultat.
Nesigurana se poate referi
la probabilitatea de apariie a unui eveniment
sau la influena, la efectul unui eveniment n cazul n care
acesta se produce.
Riscul n activitatea unei organizaii se refer la posibilitatea de
a nu se respecta obiectivele n termeni de performan, program i
cost.
Riscul este msura probabilitii i a consecinelor de a nu atinge
un obiectiv al proiectului. El are ntotdeauna asociat un cost.
n general, riscul implic noiunea de incertitudine i are trei
componente primare:
- un eveniment (o modificare nedorit);
- probabilitatea apariiei acelui eveniment;
- impactul/efectul acelui eveniment asupra
2
proiectului.
Trebuie remarcat faptul c efectul E i probabilitatea apariiei
(PA) evenimentului sunt variabile independente. Riscul este produsul
a dou variabile, adic este o Funcie Risc=produsul E i PA. Pot
exista riscuri cu probabilitate mic de apariie, dar cu efecte grave
asupra derulrii proiectului sau dimpotriv, riscuri cu probabilitate
mare de apariie dar cu efecte reduse. Riscul este ns proporional cu
amndou variabilele.
Riscul are un efect cumulativ.
Numim evenimente ale cror efecte sunt pozitive oportuniti,
iar cele ale cror efecte sunt negative, riscuri.
Element de risc este orice element care are o probabilitate
msurabil de a devia de la plan. Acesta presupune desigur existena
unui plan.

3
CURS 2
2. Management
Performana n procesul de management al riscului n organizaii
este dat de calitatea managerilor i a personalului implicat, i anume
de cea mai slab verig din cadrul acestuia. Managerii trebuie s se
asigure c echipa care realizeaz managementul riscului este
competent i a gsit o cale de mijloc ntre tehnicizarea excesiv a
procesului i aciunea pe baz de intuiie.
Evaluarea, minimizarea efectelor riscurilor, deci managementul
riscului, constituie sarcina managerului de proiect.
Sistemele de management al riscului sunt proiectate s realizeze
mai mult dect identificarea riscului. Ele trebuie s cuantifice riscul i
s estimeze impactul asupra proiectului n cazul apariiei
evenimentului. Managerul de proiect decide dac riscul este
acceptabil sau nu. Proiectele, datorit caracterului lor de noutate i
unicitate, au ntotdeauna ataat un anumit grad de risc.
Un important element al riscului l constituie cauza acestuia. Un
bun manager de proiect trebuie s-i structureze astfel proiectul nct
s poat identifica din timp cauzele ce duc la apariia evenimentelor
nedorite.
Nu exist reete pentru managementul riscului. Managerul de
proiect se bazeaz pe propria judecat, pe informaiile care le deine i
pe instrumentele generate de management. Acurateea informaiilor,
gradul lor de prelucrare, precum i rapiditatea cu care sunt puse la
dispoziia factorilor de decizie favorizeaz un management eficient al
riscului. Tolerana la risc a managerului de proiect i pune i ea
amprenta pe deciziile luate de acesta.
Astfel, exist manageri care prefer un grad mai mare de
certitudine, iar alii care sunt dispui s accepte un grad mai ridicat de
incertitudine n luarea deciziilor.
Managementul riscului este un proces ciclic, cu mai multe faze
distincte: identificarea riscului, analiza riscului i reacia la risc.

3. Identificare
n faza de identificare a riscului se evalueaz pericolele
poteniale, efectele i probabilitile de apariie ale acestora pentru a
decide care dintre riscuri, trebuie prevenite. Totodat, se elimin
4
riscurile neconcordante, adic acele elemente de risc cu probabiliti
reduse de apariie sau cu efect nesemnificativ.
Identificarea riscurilor trebuie realizat n mod regulat. Aceasta
trebuie s ia n considerare att riscurile interne ct i pe cele externe.
Riscurile interne sunt riscuri pe care echipa manageriala le poate
controla sau influena, n timp ce riscurile externe nu se afl sub
controlul acesteia.

4. Analiz
n faza de analiz a riscului iau n considerare riscurile
identificate n prima faz i se realizeaz o cuantificare aprofundat a
acestora. Cea mai simpl metod de cuantificare a riscurilor este
aceea a valorii ateptate, care se calculeaz ca produs ntre
probabilitatea de apariie ale anumitor evenimente i efectele acestora.
Dup completarea modelului de risc este esenial ca riscul
ntmpinat s fie documentat astfel nct s poat fi revzut, explicat
i neles de personalul relevant. Cnd se documenteaz riscurile,
acestea se pot i ierarhiza cantitativ sau calitativ. Ierarhizarea
cantitativ folosete date financiare actuale sau estimri despre
valoarea acoperirii riscului. Ierarhizarea calitativ folosete un sistem
n a aprecia impactul relativ al riscului. Nici una dintre ierarhizrile
riscului nu este superioar celeilalte, ele completndu-se reciproc.
Ierarhizarea cantitativ necesit pricepere n domeniul contabil, pe
cnd ierarhizarea calitativ necesit pricepere tehnic.
Indiferent de profilul managerului de proiect, este important,
odat evideniat un risc, s se elaboreze scenarii alternative care s
prevad activitile ce trebuie derulate n cazul apariiei sau n absena
apariiei evenimentului nedorit. Pentru alternativa apariiei
evenimentului criteriul care st la baza elaborrii scenariului l
constituie diminuarea efectelor negative cauzate de eveniment.
Nu exist organizaie complet securizat mpotriva riscurilor.
Prin examinarea sistemului organizaional vor trebui inventariate
riscurile cu care acesta se poate confrunta, determinndu-se un nivel
acceptabil i acceptat de risc i se stabilete meninerea riscului la sau
sub acest nivel. Riscul este redus prin creterea securitii sistemului
organizaional.
Ca o regula general, cu ct este mai sczut nivelul de risc ntr-o
5
instituie, cu att este mai costisitoare implementarea msurilor de
securitate i funcionalitatea mai redus. Dup inventarierea riscurilor
poteniale, instituiile pot trece la creterea nivelului de risc n
favoarea creterii funcionalitii i a unui cost sczut.
Scderea riscului va implica un sistem mai complicat pentru
utilizatori.

5. Reacia la risc
Reacia la risc este faza de aciune din cadrul ciclului
managementului riscului, n care se ncearc: s se elimine riscurile,
s se reduc riscurile i/sau s se repartizeze riscurile.
Dup realizarea valorii riscului, trebuie determinate alegerea
strategiei de urmat i ce msuri de securitate vor fi implementate ca
suport al strategiei de management a riscului. Rezultatul acestei etape
este un plan care va contura riscul, ameninrile, impactul asupra
organizaiei, strategia de management a riscului i msurile de
securitate ce vor fi luate. Implementarea msurilor din planul de
management al riscului va reveni echipei manageriale.
Valoarea resurselor care trebuie protejate reprezint un
important factor n determinarea modului cum se protejeaz acel bun.
La determinarea valorii unei resurse, se iau n considerare
urmtorii trei factori:
- impactul financiar rezultat din compromiterea sau pierderea
resursei;
- impactul nefinanciar rezultat din compromiterea sau pierderea
resursei;
- valoarea bunului.
Impactul financiar rezultat din compromiterea sau pierderea
bunului, include pierderea datorat timpilor mori, costurile asociate
cu serviciile de recuperare i pierderile directe de echipamente.
Impactul nefinanciar include resursele folosite n modelarea
percepiei publicului referitoare la un incident de securitate i
pierderea ncrederii n sistemul organizaional.
Odat ce aciunile definite n plan au fost implementate este
necesar monitorizarea resurselor pentru determinarea nfptuirii
riscului organizaional sau aa numitului incident organizaional. n
cazul producerii unui incident este necesar declanarea rapid a
6
contramsurilor i pornirea investigrii incidentului, pentru limitarea
pagubelor organizaiei.
Cu trecerea timpului, schimbrile de personal i procese,
modificrile n hardware, software vor aduga i nvechi riscurile
organizaionale. Similar, ameninrile i vulnerabilitile vor evolua i
crete n rafinament. Aceste modificri trebuie urmrite, iar planul de
management al riscului i msurile de prevenire asociate i
actualizate.

7
CURS 3
II. Managementul riscului pe componenta sistemelor
organizaionale

Analiznd circumstanele apariiei unui pericol la adresa
sistemului organizaional (resurselor), identificm patru faze
anterioare pericolului care se deruleaz succesiv, i anume disfuncia,
vulnerabilitatea, riscul i ameninarea. Disfuncia se poate defini ca
un echilibru aprut n sistem.
Vulnerabilitatea reprezint un punct slab, o slbiciune a
sistemului organizaional, ce poate fi exploatat de cineva din afara
acestuia cauzndu-i pagube/efecte negative.
Riscul reprezint posibilitatea/probabilitatea de a fi afectat o
valoare, un obiectiv.
Ameninarea este posibilitatea de a compromite (accidental sau
nu) funcionarea sau integritatea unui organizaie.
Pericolul reprezint orice primejdie, ameninare, risc la adresa
cuiva sau ceva.

2.1. Resurse
O resurs reprezint orice obiect sau obiectiv din sistemul
organizaional care se dorete a fi protejat. Poate include proiecte,
procese de execuie, date, aplicaii, servere, echipamente de
comunicaie i chiar personale. Scopul securizrii este de a preveni
deteriorarea resurselor umane, tehnice, informatice, comunicaionale.
O parte important a managementului riscului este determinarea
valorii resurselor.

2.2. Vulnerabiliti
Vulnerabilitile reprezint stri de lucruri, procese sau
fenomene, care diminueaz capacitatea de reacie la riscurile existente
ori poteniale sau care favorizeaz apariia i dezvoltarea acestora.
Vulnerabilitile existente, precum i perpetuarea i conjugarea
lor, pot afecta securitatea sistemelor organizaionale, iar neglijarea,
amplificarea sau acumularea necontrolat a acestora pot s creeze
instabilitate, cu consecine foarte mari.
Exemple de vulnerabiliti n sistemele organizaionale:
8
Umane - proceduri de ajutor nesigure;
- Fizice - ui neasigurate ctre zonele de producie;
- Naturale - stricarea sistemului automat de stingere a
incendiilor;
- Hardware i software - software antivirus neactualizat;
- Mediile fizice de transfer - interferene electrice;
- De comunicaii - protocoale necriptate.
-

2.3. Riscuri
a. Riscurile de mediu:
informaiile (datele) procesate de sistem;
hardware i reele de comunicaii;
sisteme de operare;
aplicaii;
b. Riscuri asociate mediului:
incompetene manageriale;
pierderi financiare previzibile;
pericole naturale i dezastre;
alertri ale aplicaiilor, datelor;
furtul aplicaiilor, datelor;
erori umane sau tehnice;
Riscurile trebuie:
evaluate din punct de vedere al gravitii efectelor lor;
evaluate din punct de vedere al probabilitii apariiei;
estimate financiar pentru fiecare apariie a fenomenului i pe
total.
Riscurile asociate unei organizaii:
pierderea, deturnarea sau modificarea informaiilor de producie;
accesul neautorizat la informaii;
ntreruperea procesrii datelor.
Exemple de riscuri i accidente n sistemele organizaionale:
riscuri asociate responsabilitilor
legale, regulamentare ale managerilor;
eroare de management - acest risc
genereaz 70-80 % dintre accidente;
funcionarea defectuoas a hardware-
9
ului - funcionarea defectuoas a
microprocesorului, defectarea liniilor
de comunicaie;
funcionarea defectuoas a software-
ului;
date eronate nedetectate de sistem;
riscuri asociate componentelor
nonelectronice;
riscuri asociate performanelor
inadecvate ale sistemului - ntrzieri;

2.4. Ameninri
Ameninarea este o persoan, un spaiu sau un lucru care are
potenial pentru accesul resurselor i care poate cauza pierderi.
Se pot enumera cteva tipuri de ameninri la sistemele
organizaionale i cteva exemple pentru fiecare tip:
umane, naturale i fizice - Focul, apa, furtuni,
cutremure, cderea alimentrii electrice;
neintenionate - Angajaii nepregtii
profesional, clienii neinformai;
intenionate - Atacatori, teroriti, spioni
industriali, agenii guvernamentale, cod
maliios de program.

n sistemele organizaionale exist o clasificare n patru
categorii a ameninrilor, astfel:

Ameninri nestructurate
Aceste ameninri primare constau n persoane ruvoitoare ce
utilizeaz instrumente comune cum ar fi scripturi maliioase pentru
interfee ale sistemelor de operare, programare, sprgtoare de parole,
generatoare de numere de cri de credit i demoni de formare
automat a numerelor de telefon. Dei atacatorii din aceast categorie
pot avea intenii ruvoitoare, muli sunt mai mult interesai n
promovarea intelectual de a sparge un nivel de protecie dect n a
produce pagube.

10
Ameninri structurate
Aceste ameninri sunt create intenionat i sunt mult mai
motivate tehnic.

Ameninri externe
Aceste ameninri sunt constituite din cele structurate i
nestructurate, provenind dintr-o surs extern. Ele pot avea intenii
rele i distructive sau pot fi simple erori care genereaz o ameninare.

Ameninri interne
Aceste ameninri, n mod tipic implic un fost sau curent
angajat ce este nemulumit. Dei ameninrile interne pot fi mai
previzibile dect ameninrile din surse externe, msuri manageriale
sunt disponibile pentru reducerea vulnerabilitilor la ameninri
interne i rspunsul prompt n cazul apariiei unui atac.
Cnd o ameninare folosete o vulnerabilitate pentru a ataca o
resurs, pot rezulta consecine severe:
pierderea confidenialitii - acces neautorizat n
sistem, escaladarea privilegiilor sau furtul
identitii;
pierderea integritii - coruperea datelor sau
dezinformarea;
pierderea disponibilitii - refuzul serviciilor.

2.5. Trinomul ameninri - vulnerabiliti - risc
Fiecare ameninare i vulnerabilitate identificat ntr-un
organizaie trebuie codificat i clasificat folosind un standard, ca de
exemplu: sczut, mediu sau ridicat.

11
CURS 4
III. Evaluarea riscurilor

Evaluarea cantitativ a riscurilor din sistemele organizaionale
se poate face folosind formule matematice astfel:

A. Factorii de risc:
- Ameninri (A) - evenimente exterioare
sistemului;
- Vulnerabiliti (V) - puncte slabe ale
sistemului;
- Impact (I) - consecine, efecte.
RISC = A x V x I
Clasificare calitativ
MARE 3
MEDIU 2
RISCUL REDUS 1
INEXISTENT 0

RISCUL GENERAL = valori ntre 0 i 27






B. Factorii de risc i elemente colaterale:
- pierderea anticipat analizat PAA;
- rata apariiei RA;
- factorul de vulnerabilitate FV;
- pierderea potenial PP;
- riscul unei singure pierderi
PAA = RA x PP x FV

IV. Analiza cauz - efect

12
Odat ce au fost identificate resursele i ameninrile la adresa
acestora, se pot determina ce msuri manageriale care s fie
implementate. Primul pas const n a decide strategia de management
cea mai adecvat dintre cele patru categorii:

Acceptarea


Diminuarea
Strategia de
management
Transferul


Evitarea

4.1. Acceptarea riscului
Const n neluarea de msuri practice i acceptarea ntregii
expuneri i a consecinelor ce decurg dintr-o ameninare la adresa
unei resurse. Acceptarea riscului este o reacie extrem ar trebui
adoptat numai ca ultim mijloc cnd nu exist nici o alternativ sau
transfer sunt prohibitive sau iraionale. Cnd se accept riscul, este
ideal s se realizeze un plan n caz de accidente care s detalieze un
set de aciuni ce vor fi efectuate dup ce riscul s-a produs, astfel fiind
mai uor impactul de compromitere sau pierdere a resursei.

4.2. Diminuarea riscului
Este cea mai comun metod pentru securizarea organizaiei.
Unul dintre cele mai simple exemple de diminuare a riscului l
constituie instalarea de programe de controlare a proceselor. Prin
instalarea i actualizarea acestui software se reduce substanial
expunerea organizaiei la pericole. Cnd un risc este diminuat trebuie
totui creat un plan n caz de incidente ce trebuie urmrit dac riscul
s-a realizat.
Cnd se decide diminuarea riscului una din cheile financiare
este diferena ntre ct de mult organizaia va salva prin diminuarea
riscului i ct va cheltui pentru implementarea msurilor de
13
manageriere. Dac rezultatul este pozitiv i nu exist ali factori
prohibitivi, implementarea msurilor este o bun idee. Totui, exist
ocazii cnd, dac costul implementrii depete suma de bani
salvat, diminuarea trebuie fcut, de exemplu cnd vorbim de riscul
asupra vieii unui om.

4.3. Transferul riscului
Se poate transfera riscul managerial ctre o alt organizaie
pentru a beneficia de avantajele economice sau experiena i serviciile
acesteia.
Cnd se folosete aceast strategie, detaliile trebuie s fie foarte
clar stipulate ntr-un contract, n a crei realizare s fie implicat i
personalul juridic al organizaiei.

4.4. Evitarea riscului
Pentru evitarea riscului trebuie s fie eliminat sursa
ameninrii, expunerea sursei la ameninare sau interesul organizaiei
pentru respectiva resurs.
Strategia se aplic n general cnd consecinele realizrii riscului
cntresc mult mai greu dect beneficiile obinute din asumarea
riscului.

14
15
CURS 5
V. Cadrul minimizrii

Principiile care realizeaz acest cadru sunt:
- Oferirea de drepturi ct mai restrictive angajailor.
- Protejarea fiecrei zone.
- Reducerea suprafeelor disponibile a fi afectate.
- Evitarea presupunerilor.
- Protecie, detecie i rspuns.
- Sistemul organizaional s fie sigur din faza de proiectare.
- Auditarea sistemului organizaional i identificarea unor noi
probleme de risc.
- Actualizarea continu a procedurilor de minimizare a
riscurilor.
VI. Controlul riscului

Controlul n managementul riscului n sistemele organizaionale
vizeaz urmtoarele obiective:
- managementul zonelor i atribuiilor
- prevenirea, detectarea i corectarea
comportamentelor organizaionale
distructive,
- securitatea accesului on-line la date
- managementul riscului utilizator
- centralizarea identificrii utilizatorilor i
drepturile de acces
- rapoarte privind violarea reguklilor de
circulaie n oorganizaie
- gestionarea incidentelor
- controlul msurilor de securitate
- identiticarea, autentiticarea i accesul
- protecia funciilor de securitate
- ncrederea n tere pri
- autorizarea tranzaciilor
- prevenirea refuzului de acceptare a
tranzaciei.

16

1. Ciocoiu, N. C. (2006). Managementul riscului n afaceri i proiecte. Bucureti: Editura ASE.
1. Dima, I. C., & Vlduescu, . (2012). Risk elements in communicating the managerial decisions.
European Journal of Business and Social Sciences. 1(6), 27-33.
2. Geiben, B., & Nasset, J.-J. (1998). Scurit - Sret : la gestion intgre des risques dans les
organizations. Paris: Editions D'Organisation.
3. Hutter, B. M., & Power M. (2005). Organizational Encounters with Risk. Cambridge: Cambridge
University Press.
4. Hopkin, P. (2012). Fundamentals of Risk Management. (2nd ed.). Kogan-Page.
5. Weick, K. & Sutcliffe, K. (2007). Managing the unexpected: Resilient performance in an age of
uncertainty. (2nd ed.). San Francisco: Jossey-Bass.