Documente Academic
Documente Profesional
Documente Cultură
1.
2.
3.
4.
5.
6.
7.
5.1 .
5.2.
5.3.
5.4.
5.5.
5.6.
6.2.
6.2.
Stabilirea contextului................................................................................................. 13
6.3.
6.4.
Tratarea riscului......................................................................................................... 15
6.5.
6.6.
8.2.
8.3.
8.4.
2. Date generale
Publicat n anul 2009, standardul internaional ISO 31000 este un standard general de
gestionare a riscului ntr-o companie. Acesta ofer principii i orientri generale, precum i o
structur ce trebuie implementat pentru gestionarea riscurilor n diverse organizaii i
companii. ISO 31000 a fost conceput pentru a ajuta organizaiile mari i mici, publice i
private, s administreze eficient riscurile legate de derularea operaiunilor acestora. Definiiile
includ termeni precum risc, managementul/gestionarea riscului, context i criterii de risc.
Aceti termeni sunt necesari ori de cte ori o companie intenioneaz s implementeze un
proces de gestiune al riscurilor bazat pe ISO 31000. Principiile enumerate n standard sunt
menite s fie aliniate de ctre organizaii pentru o implementare eficient a gestionrii
riscului. Procesul de implementare al standardului face o enumerare a tuturor punctelor care
trebuiesc ndeplinite de fiecare firm, pentru ca aceasta s-i poat gestiona riscurile.
Structura, denumit cadru n ISO 31000, include setul de elemente de care sistemul de
management al unei organizaii are nevoie pentru a rula procesul de gestiune al riscului.
ISO 31000 a fost acceptat la o scar larg de ctre comunitatea internaional, dar nu
explic clar dinamica dintre procesul de gestiune al riscului i cadrul, structura sa, ci listeaz
cteva principii necesare procesului. n plus, acesta nu descrie explicit modul de
implementare al principiilor, deoarece standardul are un caracter general. Avnd aceste
deficiene, ISO 31000 nu rspunde unor ntrebri precum:
Implicare i angajament
5.4.
10
documenteze procesul justificat de adoptare a deciziilor, inclusiv dezvoltarea
i stabilirea obiectivelor n corelaie cu rezultatele ateptate;
6.
6.1.
Structura procesului
Comunicare si consultare
11
12
13
Aprecierea riscurilor
6.4.1. Generalitati
Aprecierea riscului este procesul global de identificare, analiz i evaluare a riscului.
6.4.2. Identificarea riscului
Organizaia identific sursele de risc, domeniile de impact, evenimentele, cauzele i
consecinele poteniale ale acestora. Scopul acestei etape este de a genera o list
cuprinztoare a acelor evenimente care ar putea facilita, preveni, degrada sau ntrzia
realizarea obiectivelor, important fiind i identificarea riscurilor asociate nevalorificrii unei
oportuniti. Identificarea ct mai cuprinztoare (incluznd i riscurile a cror surs se
situeaz n afara organizaiei) este esenial, deoarece un risc neidentificat n aceast etap nu
va fi inclus n analizele ulterioare. Instrumentele i tehnicile de identificare a riscurilor
utilizate trebuie s fie adaptate obiectivelor, capacitilor disponibile i naturii riscurilor iar
informaiile folosite s fie pertinente i actualizate. Dup identificarea a ceea ce ar putea s se
ntmple, va fi necesar studierea cauzelor posibile i scenariilor privind consecinele
poteniale.
6.4.3.
Analiza riscului
14
Evaluarea riscului
Tratarea riscului
15
Monitorizare si revizuire
Monitorizarea este procesul prin care datele despre evoluia unui risc sunt centralizate,
interpretate i raportate. Scopul monitorizrii este de a colecta informaii ct mai exacte,
actuale i oportune i de a le prezenta celor implicai ntr-o manier ct mai clar i mai uor
de neles. Vor fi desemnate anumite persoane responsabile cu urmrirea i analiza datelor,
precum i cu introducerea acestor date n planurile de tratare a riscurilor. Revizuirea riscului
este etapa n care se verific rezultatele obinute n urma msurilor implementate.
Responsabilitile privind monitorizarea i revizuirea trebuie stabilite cu claritate, aceste
procese trebuind s cuprind toate aspectele managementului riscurilor, n vederea:
analizei i obinerii de nvminte din evenimente, schimbri, tendine;
detectrii schimbrilor n contextul extern i intern, inclusiv modificri ale riscurilor
care pot impune revizuirea prioritilor i a planurilor de tratare;
16
obinerii unei asigurri c msurile de control i tratare sunt eficiente att n teorie, ct
i n practic;
identificrii riscurilor emergente.
Rezultatele monitorizrii i revizuirii ar trebui consemnate i raportate intern sau
extern, ele servind i ca date de intrare pentru revizuirea cadrului general de management al
riscurilor (clauza 5.5).
Atunci cnd un plan de tratare a riscurilor a fost dezvoltat pentru un risc sau un set de
riscuri, att planurile implicite, ct i atributele riscurilor sunt urmrite. Monitorizarea
planurilor de prevenire sau a unor liste de msuri de aciune va indica dac planul este corect
executat i dac se respect schema de desfurare a aciunilor necesare. Urmrirea oricror
schimbri ale atributelor riscurilor va indica dac aciunile planificate reduc impactul sau
probabilitatea de apariie a riscurilor anticipate sau a altora neidentificate iniial, precum i ct
de eficiente sunt msurile implementate.
6.6.
7.
17
ISO 31000, prin coninutul lui, realizeaz o list de verificare pe care companiile o pot
utiliza la evaluarea abordrilor sale, mai exact referindu-se la principii i activitate
desfurat. Aadar, puine organizaii vor neglija activitile cu adevrat importante
care pot impacta ntr-o oarecare msur compania. Acest lucru se reflect n
modaliti eficiente de gestionare a riscului.
Managementul eficient are la baz o comunicare eficient, iar aceasta se bazeaz pe
utilizarea unui vocabular potrivit. Acest lucru a dus la necesitatea standardizrii unor
cuvinte, conferindu-le un context particular care s poat determina oamenii s
conlucreze ntr-un mod mai facil. Acest lucru a fost realizat de ISO Guide 73:2009.
Imbuntirile pot fi atinse n mod continuu n ceea ce priveste standardele, iar acest
lucru este implementat prin revizuire periodic. Best practices pot fi revizuite i
implementate pe msur ce oamenii ajung la un consens cu privire la anumite situaii
i orice punct omis sau alte clasificri pot fi incluse pe msur ce standardul este
revizuit. n acest mod fiecare utilizator al standardului are permanent access la resurse
din partea tuturor utilizatorilor.
18
8.1.
ISO 31000
Scopul acestor standarde este s ajute cititorii n obinerea unu sumar al subiectului
acoperit. De aceea, ISO 31000 adun concepte cheie i activiti desfurate de organizaie
pentru a gestiona riscul n mod eficient i a ndeplini obiectivele, pentru a alinia organizaia la
cerinele legale i reglementrile impuse de domeniul de activitate. Un alt scop este asumarea
oportunitilor dar i a ameninrilor. Cu toate acestea, ISO 31000 nu are ca scop definirea
tehnicilor care ar trebui utilizate n companie n mod particular, ci are ca scop evidenierea
faptului c organizaia trebuie s utilizeze instrumente conforme de identificare a agenilor de
risc. MOR, spre deosebire de ISO 31000, acoper tehnicile utilizate n mod uzual n acest
scop, deci are o abordare mai practic.
O alt iniiativ a acestui standard este cea de a oferi un set de principii informative i
un proces care s asigure capabilitatea unei companii de a gestiona riscul. Standardul nu are
ca scop promovarea unei uniformitati a gestionarii riscului n fiecare organizaie n parte, ci
aceasta ar trebui sa fie capabila sa implementeze aceste concepte n functie de activitile
desfasurate i necesitati. Acest lucru difera i de legislatia fiecarei tari n care compania isi
desfasoara activitatea. Unele tari pot impune n mod expres respectarea acestor cerine.
ISO 31000 se refer la concepte de baz utile n managementul riscului care trebuie s
fie n armonie cu alte publicaii viitoare. n linii mari, este trasat i o oarecare modalitate de
implementare a gestiunii riscurilor, dar n MOR acestea sunt trasate mult mai clar, acesta
19
n continuare vom face o scurt comparaie ntre cele dou publicaii avnd n vedere
structura abordat de cele dou. Aceasta prezint att similariti ct i diferene. MOR este
mult mai vast i mai detaliat, dar la baz, ele prezint concepte similare. Comparaia o vom
realiza pe 7 seciuni: generaliti, structur, concepte, abordare (MOR), integrare i
mbuntire, punct de vedere i detalii.
8.4.1. Generaliti
Ambele publicaii au ca scop reliefarea ideilor generale n introducere. Ele se axeaza
pe concepte generale de abordare i de implementare. Principala diferenta este ca n cadrul
MOR se urmreste i persoana responsabila cu implementarea i practicarea managementului
de risc. Spre deosebire de MOR, ISO 31000 se axeaza pe cei ce dezvolta politicile i care se
asigura ca principiile abordate sunt unele de getionare eficienta.
Att ISO 31000, ct i MOR se ocup n mod special de implementarea gestionrii
riscului n mod consistent i vd aceast gestionare ntr-un mod extrem de serios ca fiind
foarte relevant i important n desfurarea activitii i atingerea scopurilor unei companii.
MOR definete riscul ca fiind un eveniment nesigur sau o serie de evenimente care ar trebui
s apar i care pot avea un efect att pozitiv, ct i negativ n indeplinirea obiectivelor. ISO
31000 defineste riscul n mod similar ca fiind un efect incert asupra obiectivelor.
8.4.2. Structur
20
Dei prezint oarecare diferene de structur, fiecare publicaie atinge nite concepte
de baz comune. MOR prezint 4 puncte cheie (principii abordare, proces i
incorporare/revizuire), pe cnd ISO 31000 se limiteaz la principii, un cadru i un proces.
MOR adaug la cele 4 concepte cheie de mai sus, seciuni legate de perspective,
acoperind cererile la nivel strategic, programe, proiecte i nivele operaionale, mpreun cu
documente de baz, tehnici, un bilan de sntate i un model de scaden. Standardul doar
admite o parte din aceste aspecte, nu ofer n schimb nici un detaliu.
8.4.3. Principii
Ediia a treia a MOR reduce numrul de principii prezentate de la 12 la 8, care sunt
sustinute de principii de guvernanta corporatista i de catre ISO 31000. n timp ce MOR
sustine ca principiile sunt esentiale pentru mentinerea unei practici bune, ISO 31000
subliniaza faptul ca ar trebui aplicate aceste principii.
8.4.4. Abordarea i Cadrul (MOR vs ISO 31000)
n aceast seciune cele dou publicaii vorbesc despre modul de implementare al
acestor principii n cadrul unei organizaii i cum acopera arii similare cu toate ca utilizeaza
termeni diferiti. MOR utilizeaza termenul de registru de risc pe cand ISO 31000 vorbeste
de catalogarea i inregistrarea acestor riscuri dar fara a specifica n mod evident forma pe
care ar trebui sa o aiba.
n ambele publicaii este descrisa infiintarea unei politici aliniate la obiectivele
organizaiei, i activitie care ar trebui intreprinse. Progresul trebuie raportat, inregistrat i
mbuntit. De aceea, n MOR mbuntirea este tratata n alta sectiune faa de ISO 31000.
8.4.5. Procesul de gestionare
Gestionarea riscului ca proces este vazut ca esenial n ambele publicaii i se refer
la identificare, evaluare, tratare, monitorizare i revizuire. MOR are ca scop ghidarea
practicantului i se axeaza pe aceasta parte, de aceea este mult mai detaliat decat ISO 31000.
MOR contine 4 etape n cadrul procesului: identificare, evaluare planificare, implementare,
toate susinute de o comunicare eficient.
8.4.6. Integrare
Ambele documente insist pe nevoia de incorporare gestiunii riscului n procesul de
management al organizaiei. Oricum MOR afieaz un interes mai mare pe integrarea
acestuia n cultura organizaiei. De fapt are dezvoltat un capitol specific pe acest subiect. n
timp ce nevoia de a face acest lucru este recunoscut n ISO 31000, paii cerui sunt doar
subliniai mpreun cu alte cerine particulare n "Cadru".
8.4.7. Perspective
ISO 31000 se refer la aplicarea managementului riscului n viaa organizaiei i, de
asemenea, n diverse activiti, strategii i decizii, operaiuni, procese, funcii, proiecte,
21
servicii i bunuri. MOR dedic un capitol intreg modului n care managementul riscului ar
trebui aplicat la nivelul strategic, programelor, proiectelor i la nivel operaional. Pentru mai
multe detalii vezi anexa 1.
MOR conine anexe ce subliniaz documentele, tehnicile i procesul de baz pentru a
evalua ct de bine managementul riscului este folosit intr-o organizaie. Descrie un model de
maturitate sugestiv de msurare a nivelului curent al managementului riscului i de
identificare a ariilor de dezvoltare. ISO 31000 se refer la nevoia ca aceste lucruri s fie
prezente, dar ofer foarte puine detalii sau metode.
Ambele publicaii conin glosare ce explic inelesul termenilor folosii, dar acestea
sunt diferite n fiecare publicaie. Un tabel comparativ este dat n Anexa 1.
8.4.8. Similariti ntre MOR i ISO 31000
n acest paragraf dorim s subliniem modul n care MOR poate fi regasit n cerinele
standardului international. Cu toate acestea, avand n vedere structura i scupul diferit ale
celor dou, comparatia pe capitole nu este cea mai buna alegere. Anexa 2 prezint mai
detaliat diferenele intre cele dou.
Principalele similariti sunt:
Procesul de management al riscului este relevant pentru indeplinirea obiectivelor unei
companii;
Ambele urmresc principii consistente;
Abordarile sunt similare n aplicarea managementului riscului;
Procesele de management promovate de cele dou sunt similare;
Ambele incurajeaza integrarea n cultura organzatiei i n procesul de management;
Gestionea riscului este recomandat ca implementare n activitile unei companii pe
toata durata existentei acesteia.
Concluzia ar fi ca MOR este mult mai detaliat i ncorporeaz cerinele ISO 31000
deoarece este mult mai detaliat i ofera metode care nu sunt acoperite de standard.
Utilizarea MOR permite unei companii s se alinieze la toate cerinele ISO 31000.
Acesta conine descrierea unor tehnici des folosite i explic i modul de abordare i ce
procese sunt folosite la nivel strategic, programe, proiecte i la nivel operaional. ISO 31000
declara n mod specific ca nu este proiectat pentru certificarea unui asemenea scop.
Standardul internaional prevede o serie destul de larg de domenii de aplicare pentru
gestionarea riscurilor peste o organizaie i sugereaz utilizarea sa pe toat durata organizaiei
(spre deosebire de cea a unui program sau proiect). Stabilete de asemenea de ce este nevoie
pentru a cdea de acord cu cerinele de reglementare i legale i normele internaionale (aria
C din figura 4).
22
23
24
MOR
Concentrat pe organizaie, acoperind 4
perspective (nivelul strategic,
programele, proiectele i nivelul
operaional), relevante att pentru
sectorul public ct i pentru cel privat.
Audiena include oameni care:
- Sunt responsabili s consolideze un
cadru pentru managementul riscului
- Sunt responsabili s revizuiasc i s
mbunteasc managementul riscului
- Sunt capabili s gestioneze riscul cu
una din cele 4 perspective
- Sunt responsabili de indrumare, n
ceea ce privete gestionarea riscului
Ofer o "hart" pentru intreprinderea
gestionrii riscului intr-omanier
repetabil i consistent, unind diverse
principii, o abordare i un proces.
Definete riscul ca "un eveniment incert
sau un set de evenimente care, ar trebui
s apar, i vor avea un efect (pozitiv
sau negativ) n indeplinirea
obiectivelor".
ISO 31000
Concentrat i pe organizaie dar i pe
activitate, lucru relevant pentru orice
intreprindere public, privat sau
comunitate, grup sau individ.
Audiena include oameni care:
- Sunt responsabili de dezvoltarea
politicilor pentru gestionarea riscului
- Ce se asigur c riscul este gestionat
-Evalueaz eficiena gestionrii riscului
- Sunt preocupai de dezvoltarea
standardelor, ghidurilor, procedurilor,
etc.
Descrie o abordare generic pentru
gestionarea oricrui tip de risc din orice
context, aducnd la un loc principii, un
cadru i un proces.
Definete riscul ca "un efect incert
asupra obiectivelor"
O publicaie a Organizaiei
Internaionale de Standardizare.
25
baz
Se aliniaz cu obiectivele
- Se concentreaz pe acele incertitudini
ce au un impact important n
indeplinirea obiectivelor organizaiei
Se incadreaz n context
- Design personalizat al abordrii
managementului riscului pentru a se
potrivi n contextul organizaiei
26
Sumar
Abordare
(MOR) i
cadru (ISO
31000)
Dispoziie i angajament
- Definete politica, se aliniaz cu
cultura, determin indicatorii de
performan
- Se aliniaz cu obiectivele
organizaionale
- Acord legal i respectarea
reglementrii
Designul cadrului pentru gestionarea
riscului
- Inelegerea organizaiei i contextul
acesteia
- Stabilirea politicii
- Asigurarea responsabilitilor
- Integrarea n celelalte procese
- Alocarea resurselor potrivite
- Stabilirea legturilor interne i externe
i a rapoartelor
Ghidul de proces pentru gestionarea
Implementarea managementului
riscului
riscului
- Descrie modul n care paii procesului
- Implementarea cadrului
din MOR vor fi aplicai n cadrul
- Implementarea procesului
organizaiei
Strategiile managementului riscului
Monitorizarea i revizuirea cadrului
- Descrie activiti specifice din
- Asigur eficiena i continuitatea
managementul riscului ce vor fi
cadrului n susinerea performanei
intreprinse pentru o aciune
organizaiei
organizaional particular
mbuntirea continu a cadrului
27
Sumar
Procesul
Inregistrri i documentaie
Registrul de risc
- Conine i pstreaz informaia tuturor
ameninrilor identificate i tuturor
oportunitilor legate de o activitate
organizaional specific
Registrul de probleme
- Conine i pstreaz informaii despre
problemele identificate ce se intmpl
n prezent i este nevoie s se ia o
decizie asupra lor
Planul de mbuntire al riscului
- Ajut la incorporarea managementului
riscului n cultura organizaiei
Planul de comunicare al riscului
- Descrie cum informaia va fi difuzat
i primit de la prile interesate
Planul de rspuns al riscului
- Detaliaz planuri specifice pentru a
rspunde unui risc sau unui set de
riscuri
Raportul de progres al riscului
- Ofer informaii legate de progresul
managementului riscului n legtur cu
o activitate organizaional particular
Terenul acoperit de "abordarea" MOR este tratat de "cadru" i alte capitole din
ISO 31000, evident destul de puin detaliat.
Descrie paii procesului gestionarii
Evideniaz paii principali, insistnd
riscului
pe faptul c acetia ar trebui integrai n
management, incorporai n culturi
procesai n aa fel inct s satisfac
cererea organizaiei
Similar procesului din MOR, dar mai
puin detaliai
Procesul de comunicare
Comunicare i consultare
- O activitate este purtat prin tot
- Cu prile interesate interne i externe
procesul
la toate nivelele procesului
- Este cheia pentru identificarea noilor
riscuri ca urmre a modificrii riscurilor
existente
Identificarea contextului
Stabilirea contextului
28
Sumar
Integrare i
revizuire
29
Sumar
Perspective
30
31
Sumar
Glosar
Index
Inc odat MOR ofer indrumare pentru o practic bun n aceste domenii n care
ISO 31000 nu ofer
Cei mai folosii termeni mpreun cu
Termeni i definiii oferite. Acestea
glosarul managementului celei mai
difer fa de MOR. Unii termeni
bune practici
precum "registrul riscului" nu sunt
folosii
Index alfabetic pentru identificarea
Conine lista de discuii
termenilor i discuiilor
32
Bibliografie
1. M. Dallas, Management of Risk: Guidance for practitioners and ISO 31000:2009, The
Stationery Office, 2013.
2. * * *, A structured approach to Enterprise Risk Management (ERM) and the requirements
for ISO 31000, Institute of Risk Management (IRM), 2010.
3. * * *, ISO 31010:2009 Risk management Risk assessment techniques, International
Organization for Standardization, 2009.
4. L. Duojia, G. Xiaohong, An integrated implementation of ISO 31000, China
Standardization, pg. 76-83, 2013.
5. http://www.iso.org/iso/home/standards/iso31000.htm
6. G. Bbu, R. Moraru, I. Matei, N. Bncil-Afrim, Sisteme de management al securitii i
sntii n munc. Principii directoare, Editura Focus, Petroani, 2002
7. A. Darabond, St. Pece, A. Dascalescu, Managementul securitii i sanatatii in munca (vol
I si II), Editura Agir, Bucuresti, 2002
8. * * *, Management du risque Lignes directrices pour lestimation des risques, FD X50252, Edition AFNOR, La Plaine Saint-Denis, France, 2006
9. * * *, SR EN ISO 12100-2: 2004 Securitatea mainilor. Concepte de baz, principii
generale de proiectare. Partea 2: Principii tehnice, Asociaia de Standardizare din Romnia
(ASRO), Bucureti, 2004.
10. * * *, Gestion du risque, Wikipdia - L'encyclopdie libre (http://fr.wikipedia.org/wiki/).
11. * * *, ISO 31000: 2009 Risk management - Principles and guidelines, International
Organization for Standardization, 2009.
12. * * *, Guide for developing and implementing your risk management framework,
Victorian Managed Insurance Authority (VMIA), Melbourne, Victoria, Australia, 2008
(http://www.vmia.vic.gov.au).
33