2015

1.

Premize i scurt istoric........................................................................................................ 3

2.

Date generale ...................................................................................................................... 3

3.

Scopul i finalitatea managementului riscurilor ................................................................. 3

4.

Principiile de management al riscurilor .............................................................................. 5

5.

Cadrul general de management al riscurilor ....................................................................... 7

6.

7.

5.1 .

Componentele cadrului general .................................................................................. 7

5.2.

Implicare i angajament .............................................................................................. 7

5.3.

Proiectarea cadrului general de management al riscurilor .......................................... 8

5.4.

Implementarea managementului riscurilor................................................................ 10

5.5.

Monitorizarea i revizuirea cadrului general ............................................................. 11

5.6.

mbuntirea continu a cadrului general ................................................................ 11

Procesul de implementare al gestiunii riscurilor .............................................................. 11

6.1.

Structura procesului .................................................................................................. 11

6.2.

Comunicare si consultare .......................................................................................... 11

6.2.

Stabilirea contextului................................................................................................. 13

6.3.

Aprecierea riscurilor .................................................................................................. 14

6.4.

Tratarea riscului......................................................................................................... 15

6.5.

Monitorizare si revizuire ........................................................................................... 16

6.6.

Documentarea procesului de management al riscurilor ............................................ 17

Concluzii privind ISO 31000............................................................................................ 17

8. Managementul riscului: ghid pentru practicani i standardul internaional al

managementului riscului, ISO 31000:2009 ............................................................................. 18
8.1.

Management of risk vs. ISO 31000 .......................................................................... 19

8.2.

ISO 31000 ................................................................................................................. 19

8.3.

Publicaii cu coninut asemntor dar implementare servit n mod diferit .............. 20

8.4.

Comparaie privind structura celor dou standarde................................................... 20

Anexa 1 Glosar comparativ de termeni ................................................................................ 24

Anexa 2 Comparaie ntre MOR i ISO 31000 din punct de vedere al categoriilor i
seciunilor abordate .................................................................................................................. 25
Bibliografie .............................................................................................................................. 33

1. Premize i scurt istoric

De-a lungul timpului, peste 60 de Comitete Tehnice i Grupuri de Lucru ale ISO,
precum i organisme de standardizare sau reglementare naionale, au abordat problematica
managementului riscurilor, elaborndu-se astfel numeroase standarde multi-sectoriale (ILOOSH OHSAS 18001, BS 8800, FD X50-252, ghidul ISO/IEC 51 etc.) [6, 7, 8] sau dedicate
unui anumit sector (EN ISO 12100-1, EN ISO 12100-2, EN ISO 14121 privind securitatea
mainilor [9]; ISO 17666, EN 14738, procedurile EUROCONTROL n domeniul
transporturilor; ISO/IEC 17799 i ISO/IEC 15408 n domeniul IT; EN ISO 14971 i EN 1441
n domeniul medical etc.)[10].

2. Date generale
Publicat n anul 2009, standardul internaional ISO 31000 este un standard general de
gestionare a riscului ntr-o companie. Acesta ofer principii i orientri generale, precum i o
structur ce trebuie implementat pentru gestionarea riscurilor n diverse organizaii i
companii. ISO 31000 a fost conceput pentru a ajuta organizaiile mari i mici, publice i
private, s administreze eficient riscurile legate de derularea operaiunilor acestora. Definiiile
includ termeni precum risc, managementul/gestionarea riscului, context i criterii de risc.
Aceti termeni sunt necesari ori de cte ori o companie intenioneaz s implementeze un
proces de gestiune al riscurilor bazat pe ISO 31000. Principiile enumerate n standard sunt
menite s fie aliniate de ctre organizaii pentru o implementare eficient a gestionrii
riscului. Procesul de implementare al standardului face o enumerare a tuturor punctelor care
trebuiesc ndeplinite de fiecare firm, pentru ca aceasta s-i poat gestiona riscurile.
Structura, denumit cadru n ISO 31000, include setul de elemente de care sistemul de
management al unei organizaii are nevoie pentru a rula procesul de gestiune al riscului.
ISO 31000 a fost acceptat la o scar larg de ctre comunitatea internaional, dar nu
explic clar dinamica dintre procesul de gestiune al riscului i cadrul, structura sa, ci listeaz
cteva principii necesare procesului. n plus, acesta nu descrie explicit modul de
implementare al principiilor, deoarece standardul are un caracter general. Avnd aceste
deficiene, ISO 31000 nu rspunde unor ntrebri precum:

O corporaie trebuie s fac o evaluare larg a riscurilor?

Politicile de gestiune ale riscurilor ar trebuie construite nainte de evaluarea acestora?
Cine ar trebui s monitorizeze zi de zi aceste proces de gestiune al riscului ntr-o
corporaie?
Cum se integreaz procesul de gestiune al riscului n interiorul sistemului de
management intern al companiei?
Cum se poate evalua eficiena acestui proces?
Cnd ar trebui ca o companie s defineasc criteriile de risc?

3. Scopul i finalitatea managementului riscurilor

Un rspuns general la ntrebarea de ce este necesar un management al riscurilor?

este indus de observaia conform creia att n orice organizaie, ct i n mediul n care
aceasta acioneaz, exist incertitudini de natura ameninrilor n realizarea obiectivelor sau
de natura oportunitilor. Orice manager trebuie s-i pun problema gestionrii ameninrilor
deoarece, n caz contrar, neatingndu-i obiectivele s-ar descalifica, sau fructificrii
oportunitile n beneficiul organizaiei, dovedindu-i astfel eficiena. Dac incertitudinea este
o realitate cotidian, atunci i reacia la incertitudine trebuie s devin o preocupare
permanent [2]. Propunndu-i s armonizeze procesele de management al riscurilor din
standardele existente i viitoare, standardul ISO 31000 furnizeaz o abordare unitar, ca baz
a standardelor specifice anumitor riscuri sau sectoare particulare, fr a tinde s se substituie
acestora i nefiind destinat certificrii. n scopul aplicrii liniilor directoare la situaiile
concrete, standardul ISO 31000 evideniaz modul n care organizaia ar trebui s neleag
contextul specific n care i implementeaz managementul riscurilor, la toate nivelurile i n
orice moment al existenei sale, pentru a permite:

ncurajarea managementului proactiv n raport cu cel reactiv;

contientizarea necesitii de a identifica i trata riscurile n ntreaga organizaie;
mbuntirea identificrii oportunitilor i ameninrilor;
conformarea cu cerinele legislative relevante i cu normele internaionale;
mbuntirea guvernanei corporative, a gradului de ncredere al factorilor
afectai/interesai;
stabilirea unei baze trainice a proceselor de planificare i adoptare a deciziilor;
mbuntirea sistemelor de control, a nvrii i rezilienei organizaionale, a
eficacitii operaionale, a securitii i sntii, a prevenirii i managementului
incidentelor;
alocarea i utilizarea eficient a resurselor pentru tratarea riscurilor i minimizarea
pierderilor.

Pentru a avea eficacitatea scontat n interiorul organizaiei, managementul riscurilor

trebuie s devin parte integrant din guvernana, managementul, procesele de raportare,
politicile, filozofia i cultura organizaiei. Recurgerea la o abordare unic a managementului
riscurilor pentru proiecte, funcii definite, bunuri, produse i activiti va facilita considerabil
conexiunile existente ntre aceste activiti i obiectivele globale ale organizaiei. Nefiind
specific unei anumite industrii sau unui sector particular, standardul poate fi aplicat de ctre
orice ntreprindere, asociaie, grup sau persoan fizic privat sau public, indiferent de tipul
i natura riscurilor i a consecinelor (pozitive sau negative). Pe de alt parte, nefiind vorba de
promovarea uniformitii n managementul riscurilor, proiectarea i implementarea cadrului
general i a planurilor de management va trebui s ia n considerare necesitile specifice ale
organizaiei, obiectivele sale particulare, structura, operaiile, procesele, funciile, proiectele,
produsele, serviciile, bunurile i practicile concrete utilizate.
Procesul descris n aceast lucrare se va axa pe dou aspecte principale ale ISO
31000, clauza 4 i 5 ale acestui standard. Un al treilea aspect important al ISO 31000 este

reprezentat de principii, clauza 3. Relaia dintre principiile, cadrul general i procesul de

management al riscurilor sunt ilustrate, n conformitate cu clauzele standardului, in figura 1.

Figura 1. Relaia dintre principiile, cadrul general i procesul de management al riscurilor

4. Principiile de management al riscurilor

Managementul riscurilor faciliteaz o abordare structurat i sistematic a procesului
de adoptare a deciziilor. Valoarea i fora abordrii manageriale a riscului rezid n faptul c
ea combin diverse tehnici de evaluare i de consultare, unindu-le ntr-un ansamblu care
confer consisten demersului de adoptare a deciziilor. Managementul riscurilor confer
oricrei organizaii capacitatea de a-i nelege mai bine modul de derulare a operaiilor i
abilitatea de a rspunde mai eficient la schimbrile circumstanelor interne i externe. Pentru
a fi eficace managementul riscurilor n organizaie trebuie s se desfoare n baza
urmtoarelor principii (clauza 4) [11]:
a. Managementul riscurilor creeaz valoare
Managementul riscurilor contribuie la realizarea durabil a obiectivelor organizaiei i
la mbuntirea, de exemplu, a securitii i sntii n munc, a conformrii cu cerinele
legislative, a acceptrii de ctre public, a proteciei mediului, a calitii produselor, a
guvernanei corporative i a reputaiei organizaiei.
b. Managementul riscurilor este parte integrant a proceselor organizaionale
Managementul riscurilor este parte a responsabilitilor managementului i parte
integrant a proceselor organizaionale normale, precum i a proceselor de management al
schimbrii. Managementul riscurilor nu este o activitate independent, separat de activitile
i procesele principale ale organizaiei.

c. Managementul riscurilor este parte integrant a procesului de adoptare a

deciziilor
Managementul riscurilor sprijin decidenii n adoptarea unor decizii n cunotin de
cauz, facilitnd ierarhizarea prioritar a aciunilor ntreprinse, a msurilor adoptate i a
alternativelor disponibile. Procesul permite luarea deciziilor privind acceptabilitatea riscurilor
i a tehnicilor de tratare adecvate i eficiente.
d. Managementul riscurilor abordeaz n mod explicit incertitudinea
Managementul riscurilor ia n considerare acele aspecte ale procesului decizional care
sunt incerte i, n funcie de natura incertitudinii, modalitile de abordare ale acesteia.
e. Managementul riscurilor este sistematic, structurat i actualizat
O abordare sistematic, structurat i actualizat a managementului riscurilor
contribuie la eficientizarea demersului, furniznd rezultate consistente, comparabile i fiabile.
f. Managementul riscurilor se bazeaz pe cele mai bune infomaii disponibile
Datele de intrare n procesul de management al riscurilor se bazeaz pe surse de
informaii cum sunt experiena, feed-back-ul, observarea, prognozele i raionamentele
experilor. n toate situaiile decidenii trebuie s fie informai i s ia n considerare toate
limitrile i ipotezele impuse datelor sau modelelor aplicate, precum i posibilitatea apariiei
unor divergene ntre opiniile experilor.
g. Managementul riscurilor este adaptat
Procesul trebuie aliniat la contextul i profilul extern i intern al organizaiei.
h. Managementul riscurilor ia n considerare factorii umani i culturali
Managementul riscurilor n organizaie recunoate capacitile, percepiile i inteniile
persoanelor, din interior i exterior, care pot facilita sau ngreuna realizarea obiectivelor
organizaiei.
i. Managementul riscurilor este transparent i inclusiv
Implicarea adecvat i din stadiu incipient a factorilor afectai/interesai i, ndeosebi,
a decidenilor la toate nivelurile organizaiei, asigur relevana i gradul corespunztor de
actualizare al procesului. Implicarea permite prilor afectate/interesate s fie reprezentate
corespunztor, iar opiniile lor s fie luate n mod real n considerare la stabilirea criteriilor de
acceptabilitate a riscurilor.
j. Managementul riscurilor este dinamic, iterativ i rspunde la schimbri
Pe msura producerii de evenimente interne i externe, se schimb contextul iniial i
nivelul cunotinelor, se desfoar monitorizarea i revizuirea, apar riscuri noi, altele i

modific magnitudinea sau dispar. n consecin, organizaia ar trebui s se asigure c

managementul riscurilor sesizeaz i rspunde continuu la schimbri.
k. Managementul riscurilor faciliteaz mbuntirea continu i dezvoltarea
performanelor organizaiei
Organizaiile ar trebui s i dezvolte i s implementeze strategii destinate
mbuntirii gradului de maturitate al managementului riscurilor n toate aspectele activitii
lor. Anexa A a standardului ISO 31000, intitulat Atributele managementului performant al
riscurilor, furnizeaz informaii suplimentare n acest sens.

5. Cadrul general de management al riscurilor

5.1 .

Componentele cadrului general

Pentru a avea succes, managementul riscului ar trebui s se desfoare ntr-un cadru

general care s asigure bazele i structurile organizaionale necesare integrrii lui la toate
nivelurile, n ntreaga organizaie [12]. Cadrul general (clauza 5) sprijin organizaia s-i
gestioneze eficient riscurile, prin aplicarea procesului de management al riscurilor pe diferite
paliere i n contextul specific unui moment dat [11]. Componentele necesare ale cadrului
general de management al riscurilor i modul n care acestea inter-relaioneaz sunt descrise
de clauza 5 din ISO 31000 i sunt ilustrate n figura 2.

Figura 2. Componentele cadrului general de management al riscurilor

5.2.

Implicare i angajament

Introducerea managementului riscurilor i asigurarea eficienei sale constante necesit

angajamentul i implicarea real, puternic i susinut a conducerii organizaiei i un sistem
riguros de planificare strategic. Managementul ar trebui:
s articuleze i s ntreasc politica de management al riscurilor;
s stabileasc indicatorii de performan ai managementului riscurilor, n corelaie cu
indicatorii de performan ai organizaiei;
s asigure alinierea obiectivelor managementului riscurilor cu obiectivele generale i
strategiile organizaiei;
s asigure conformarea legislativ i reglementar;
s atribuie responsabiliti manageriale la nivelurile adecvate din cadrul organizaiei;
s garanteze alocarea resurselor necesare pentru managementul riscurilor;
s comunice tuturor prilor interesate avantajele i beneficiile rezultate;
s se asigure de meninerea adecvrii cadrului de management al riscurilor.
5.3.

Proiectarea cadrului general de management al riscurilor

5.3.1. nelegerea organizaiei i a contextului

nainte de iniierea proiectrii i implementrii cadrului general se consider vital
nelegerea corect a contextului, att intern ct i extern, n care se situeaz organizaia.
Aspectele contextului extern al organizaiei includ, fr a se limita la acestea, urmtoarele:
mediul cultural, politic, legal, legislativ, financiar, tehnologic, economic, natural i
competiional, att pe plan internaional, ct i naional, regional sau local;
tendinele i elementele-cheie care pot exercita un impact asupra obiectivelor
organizaiei;
percepiile i valorile prilor interesate externe.
Aspectele contextului intern al organizaiei includ, fr a se limita la acestea,
urmtoarele:
disponibilitile, exprimate n termeni de resurse i cunotine (de exemplu, capital,
timp, oameni, procese, sisteme i tehnologii);
sisteme de informare, fluxuri informaionale, procese de adoptare a deciziilor (formale
i informale);
factori interesai interni;
politici, obiective i strategii deja implementate;
percepii, valori, cultur organizaional;
standarde i modele de referin adoptate de organizaie;
structuri (de exemplu, guvernan, roluri, responsabiliti).
5.3.2.

Politica de management al riscurilor

Politica de management al riscurilor ar trebui s clarifice obiectivele organizaiei, prin

specificarea urmtoarelor elemente:
interdependenele dintre politica de management al riscurilor, pe de o parte, i
obiectivele organizaiei i celelalte politici, pe de alt parte;
raiunile i motivaia organizaiei din perspectiva managementului riscurilor;
responsabilitile implicate;
modul de rezolvare al conflictelor de interese;
apetitul pentru risc sau aversiunea fa de risc a organizaiei;
procesele, metodele i instrumentele utilizate pentru managementul riscurilor;
resursele de care dispun managerii riscurilor;
modul de msurare i raportare a performanei managementului riscurilor;
angajamentul privind revizuirea continu i verificarea politicii i cadrului general de
management al riscurilor;
modul de comunicare al politicii.
5.3.3.

Integrarea n procesele organizaionale

Pentru a fi relevant, eficient i eficace, managementul riscurilor ar trebui ncorporat n

toate practicile i procesele de afaceri ale organizaiei, devenind o parte integrant a
proceselor organizaionale, ndeosebi a dezvoltrii politicilor, a planificrii strategice a
afacerilor i a proceselor de management al schimbrii.
5.3.4. Responsabilitatea
Organizaia ar trebui s asigure un nivel adecvat de responsabilitate i de autoritate
pentru managementul riscurilor, inclusiv pentru implementarea i meninerea procesului de
management al riscurilor i s asigure msurile adecvate i eficace de control a oricrui risc.
Acest lucru poate fi facilitat prin:
specificarea persoanelor responsabile pentru dezvoltarea, implementarea i
meninerea cadrului de management al riscurilor;
specificarea persoanelor responsabile cu implementarea msurilor de tratare a riscului,
cu meninerea funcionalitii sistemelor de control i cu raportarea informaiilor
relevante privind riscul;
stabilirea modului de msurare a performanelor i raportare intern i/sau extern;
asigurarea unor niveluri adecvate de recunoatere, premiere, aprobare sau sancionare.
5.3.5. Resurse
Organizaia ar trebui s i dezvolte mijloace practice de alocare a resurselor adecvate,
lund n considerare:
persoanele, aptitudinile, experiena i competenele diponibile;
resursele necesare fiecrei etape a procesului de management al riscurilor;

 procese i proceduri documentate;

sisteme de management al informaiilor i cunotinelor.

5.3.6. Stabilirea mecanismelor de comunicare i raportare intern

Mecanismele de comunicare i raportare intern ar trebui s permit:

comunicarea adecvat a componentelor-cheie ale cadrului general de

management al riscurilor, cu modificrile ulterioare;

raportarea intern adecvat privind cadrul general, eficiena i rezultatele

acestuia;

disponibilitatea la nivelurile i la momentul potrivit a informaiilor relevante,

derivate din aplicarea managementului riscurilor;

garantarea existenei proceselor de consultare cu prile interesate interne;

consolidarea informaiilor privind riscurile, utiliznd varietatea surselor din

organizaie i innd cont de senzitivitatea acesteia.
5.3.7. Stabilirea mecanismelor de comunicare i raportare extern
Organizaia ar trebui s i dezvolte un plan privind modalitile de comunicare cu
factorii afectai externi, plan care s implice:

contactarea prilor interesate externe i realizarea unui schimb de informaii

eficient;

raportarea extern privind conformitatea cu cerinele legale, reglementare i de

guvernan corporativ;

realizarea ntiinrilor i notificrilor legale;

asigurarea feed-back-ului i raportrilor privind comunicarea i consultarea;

utilizarea comunicrii pentru dezvoltarea ncrederii n organizaie;

comunicarea cu prile interesate, n situaii de criz sau de urgen.

5.4.

Implementarea managementului riscurilor

5.4.1. Implementarea cadrului general

n vederea implementrii cadrului general de management al riscurilor organizaia ar
trebui s:

defineasc un calendar i o strategie adecvate de implementare;

aplice politica i procesul de management al riscurilor n procesele

organizaionale;

se conformeze cerinelor legale i reglementare;

10


documenteze procesul justificat de adoptare a deciziilor, inclusiv dezvoltarea
i stabilirea obiectivelor n corelaie cu rezultatele ateptate;

desfoare edine (sesiuni) de informare i instruire;

realizeze comunicarea i consultarea cu prile interesate pentru a se asigura

c, cadrul general de management al riscurilor rmne adecvat.

5.4.2. Implementarea procesului

Managementul riscurilor se va implementa prin asigurarea faptului c procesul descris
n clauza 6 a standardului ISO 31000 este aplicat tuturor nivelurilor i funciilor relevante ale
organizaiei, ca parte a practicilor i proceselor organizaionale.
5.5.

Monitorizarea i revizuirea cadrului general

Pentru a obine certitudinea eficacitii i continuitii sprijinului acordat performanei

organizaionale de ctre managementul riscurilor, organizaia ar trebui s:

stabileasc msuri de mbuntire a performanelor;

msoare periodic progresele i s estimeze deviaiile de la planul de

management al riscurilor;

verifice periodic gradul de adecvare al cadrului general, politicii i planului de

management al riscurilor cu contextul intern i extern al organizaiei;

raporteze aspecte privind evoluia riscurilor, progresele realizate n

materializarea planului de management i s se asigure de respectarea politicii;

revizuiasc eficacitatea cadrului general de management al riscurilor.

5.6.

mbuntirea continu a cadrului general

n baza monitorizrii i revizuirii ar trebui s se adopte decizii privind mbuntirea

cadrului, politicii i a planului de management al riscurilor, decizii care s conduc att la
mbuntirea managementului riscurilor n organizaie, ct i la mbuntirea culturii
privind managementul riscurilor.

6.

Procesul de implementare al gestiunii riscurilor

6.1.

Structura procesului

Procesul de management al riscurilor ar trebui s fie parte integrant a

managementului general, s fie ncorporat n cultura i practicile organizaiei i s fie adaptat
la procesele i activitile acesteia. El cuprinde activitile descrise n standardul ISO 31000
prin clauzele 6.2 - 6.6 i reprezentate grafic n figura 3.
6.2.

Comunicare si consultare

11

Comunicarea i consultarea cu prile interesate, interne sau externe, se va desfura

pe parcursul fiecrei etape a procesului, fiind vorba de un demers cvasi-continuu, ca i n
cazul monitorizrii-revizuirii. Ca urmare, planul de comunicare ar trebui dezvoltat ct mai
devreme, abordnd aspecte referitoare la riscul n sine, la consecinele sale (dac se cunosc) i
la msurile pre-existente de control. O comunicare eficient va asigura nelegerea bazei de
adoptare a deciziilor i motivaia anumitor msuri, de ctre responsabilii cu implementarea
procesului i de ctre celelalte pri interesate. O abordare consultativ, de echip, va permite,
printre altele:
definirea corect a contextului;
nelegerea i luarea n considerare a intereselor factorilor implicai;
reunirea expertizei din diverse domenii n scopul realizrii analizei riscurilor;
sprijinirea asigurrii identificrii adecvate a riscurilor;
asigurarea lurii adecvate n considerare a diverselor opinii n etapa de evaluare a
riscurilor;
facilitarea managementului schimbrii pe parcursul derulrii procesului de
management al riscurilor;
garantarea sprijinului pentru planul de tratare a riscurilor;
dezvoltarea unui plan de comunicare i consultare intern i extern.
Comunicarea i consultarea cu prile interesate este important datorit
raionamentelor pe care acestea le fac, n baza propriilor lor percepii privind riscurile,
percepii care pot diferi considerabil n funcie de valorile, necesitile, ipotezele, conceptele
i ngrijorrile fiecruia. Deoarece opiniile exprimate pot avea un impact semnificativ asupra
deciziilor, este important ca percepiile prilor interesate s fie identificate, nregistrate i
luate n considerare la adoptarea deciziilor. Pentru a fi util, schimbul de informaii ar trebui s
transmit mesaje exacte, oneste, inteligibile i argumentate.

Figura 3. Procesul de management al riscurilor

12

6.2. Stabilirea contextului

Prin stabilirea contextului organizaia definete parametrii interni i externi care
trebuie luai n considerare n managementul riscurilor i la determinarea domeniului de
aplicare i al criteriilor de risc pentru continuarea procesului. Contextul ar trebui s includ
parametrii, att interni, ct i cei externi, relevani pentru organizaie, dar avnd n vedere c
majoritatea acestor parametrii este similar cu cei luai n considerare la proiectarea cadrului
general (clauza 5.3.1), la stabilirea contextului pentru procesul de management al riscurilor,
ei trebuie detaliai i considerai din perspectiva modului de raportare la domeniul de aplicare
al procesului particular de management.
Contextul extern poate include, fr a se limita la acestea, urmtoarele aspecte:
mediul cultural, politic, legal, reglementar, financiar, tehnologic, economic, natural i
competiional, pe plan internaional, naional, regional sau local;
factorii i tendinele avnd un impact determinant asupra obiectivelor organizaiei;
percepiile i valorile prilor interesate externe.
Contextul intern trebuie neles, n special, n termeni de:
aptitudini, resurse i cunotine (de exemplu, capital, timp, competene, procese,
sisteme i tehnologii);
sisteme de informare, fluxuri informaionale, procese de adoptare a deciziilor (formale
i informale);
pri interesate interne;
politici, obiective i strategii deja implementate;
percepii, valori, cultur organizaional;
standarde i modele de referin adoptate de organizaie;
structuri (de exemplu, guvernan, roluri, responsabiliti).
Obiectivele, strategiile, domeniul de aplicabilitate i parametrii activitilor
organizaiei sau prilor de organizaie crora li se aplic managementul riscurilor ar trebui
stabilite, iar resursele, responsabilitile i autoritile implicate ar trebui specificate.
Contextul variaz n funcie de necesitile organizaiei, incluznd urmtoarele elemente:
definirea responsabilitilor privitoare la procesul de management al riscurilor;
definirea domeniului de aplicare i a gradului de extindere i detaliere a activitilor
de management al riscurilor;
definirea activitii, procesului, funciei, produsului, serviciului sau activului, n
termeni de timp i loc, ca i de scop i obiective;
definirea relaiilor dintre proiectele sau activitile particulare i alte proiecte sau
activiti ale organizaiei;
definirea metodologiilor de apreciere a riscurilor;
definirea modului de evaluare a performanelor managementului riscurilor;
identificarea i specificarea deciziilor care trebuie adoptate

13

 identificarea, domeniul de aplicare i cadrul organizaional al studiilor necesare,

extinderea i obiectivele acestora, resursele necesare.
Luarea n considerare a acestor factori i a altor factori pertineni permite asigurarea
unei abordri adaptate la situaia concret a organizaiei i la riscurile care i pot afecta
atingerea obiectivelor.
Organizaia ar trebui s i dezvolte propriile criterii de evaluare a importanei
riscurilor, criterii care s reflecte valorile, obiectivele i resursele organizaiei. Anumite
criterii pot fi impuse sau derivate din cerinele legale sau reglementare, alte cerine fiind cele
la care organizaia subscrie voluntar. Criteriile de risc trebuie s fie n concordan cu politica
de management al riscurilor (clauza 5.3.2.) i s ia n considerare urmtorii factori:
natura i tipul consecinelor poteniale, corelat cu modul de estimare al acestora;
modul de definire al probabilitii;
cadrul temporal al probabilitii i/sau al consecinelor;
modul de determinare a nivelului de risc;
nivelul de acceptabilitate sau tolerabilitate al riscului;
nivelul de risc care necesit un mod de tratare;
dac este necesar luarea n considerare a riscurilor multiple.
6.3.

Aprecierea riscurilor

6.4.1. Generalitati
Aprecierea riscului este procesul global de identificare, analiz i evaluare a riscului.
6.4.2. Identificarea riscului
Organizaia identific sursele de risc, domeniile de impact, evenimentele, cauzele i
consecinele poteniale ale acestora. Scopul acestei etape este de a genera o list
cuprinztoare a acelor evenimente care ar putea facilita, preveni, degrada sau ntrzia
realizarea obiectivelor, important fiind i identificarea riscurilor asociate nevalorificrii unei
oportuniti. Identificarea ct mai cuprinztoare (incluznd i riscurile a cror surs se
situeaz n afara organizaiei) este esenial, deoarece un risc neidentificat n aceast etap nu
va fi inclus n analizele ulterioare. Instrumentele i tehnicile de identificare a riscurilor
utilizate trebuie s fie adaptate obiectivelor, capacitilor disponibile i naturii riscurilor iar
informaiile folosite s fie pertinente i actualizate. Dup identificarea a ceea ce ar putea s se
ntmple, va fi necesar studierea cauzelor posibile i scenariilor privind consecinele
poteniale.
6.4.3.

Analiza riscului

14

Analiza riscului vizeaz dezvoltarea unei nelegeri a riscului, furniznd datele de

intrare pentru etapa de evaluare. Analiza implic luarea n considerare a cauzelor i surselor
de risc, a consecinelor pozitive sau negative, a probabilitii de materializare a respectivelor
consecine. Riscul este analizat prin componentele sale de probabilitate i gravitate, dar i a
oricror alte atribute relevante. Acelai eveniment poate genera consecine variate, care pot
afecta mai multe obiective. Ar trebui mereu s se in cont de sistemele de control existente.
Modul de exprimare al consecinelor i probabilitii i modul de agregare al acestora pentru
a exprima un nivel de risc va fi diferit, n funcie de natura riscului, de informaiile
disponibile i de finalitatea rezultatelor aprecierii riscurilor. Toate acestea trebuie s fie
corelate cu criteriile de apreciere a riscului. De asemenea, este important luarea n
considerare a interdependenei i surselor de generare ale diferitelor riscuri. Nivelul de
ncredere al rezultatului cuantificrii riscului i sensibilitatea la condiiile prealabile i
ipotezele admise trebuie luate n considerare n analiz i comunicate decidenilor i celorlalte
pri interesate, la cererea acestora. Analiza riscului poate fi realizat la diferite niveluri de
detaliere n funcie de risc, de scopul analizei, de informaiile, datele i resursele disponibile.
Analiza poate fi calitativ, semi-cantitativ, cantitativ sau o combinaie a acestora, n funcie
de circumstane. n practic, analiza calitativ este frecvent aplicat pentru a obine o 14
indicaie general privind nivelul riscului i a evidenia riscurile majore. Cnd este posibil i
necesar se va realiza o analiz mai detaliat i cantitativ. Consecinele pot fi determinate
prin modelarea rezultatelor unui eveniment ori set de evenimente sau prin extrapolarea
datelor disponibile sau a studiilor experimentale. Consecinele pot fi exprimate n termeni de
impact tangibil sau intangibil. n anumite cazuri este necesar mai mult dect o valoare
numeric sau un descriptor pentru a specifica consecinele pentru diferite momente de timp,
locuri, grupuri sau situatii.
6.4.4.

Evaluarea riscului

Scopul evalurii const n sprijinirea procesului de adoptare a deciziilor privind

tratarea riscurilor, n baza rezultatelor analizei i a ierarhizrii riscurilor. Evaluarea implic
compararea nivelului de risc determinat prin analiz cu criteriile de risc elaborate n faza de
stabilire a contextului. Dac nivelul de risc nu ndeplinete criteriile de acceptabilitate, riscul
ar trebui tratat. Deciziile vor lua n considerare un context mai larg al riscurilor i tolerana la
risc a prilor interesate. n anumite circumstane, evaluarea riscului poate conduce la decizia
de a efectua noi analize, mai aprofundate sau de a nu trata riscurile dect prin meninerea
sistemelor de control existente. Astfel de decizii vor fi influenate de apetitul la risc al
organizaiei, de atitudinea fa de risc sau de criteriile prestabilite privind riscul.
6.4.

Tratarea riscului

Dac abordrile tradiionale ale managementului riscului au fost centrate,

preponderent, pe aciuni de contracarare a acestuia, metodele moderne promoveaz aciuni de
anticipare, simulare, previziune a riscului, diminund funcia reactiv si amplificnd funcia
preventiv. Managementul riscului nu mai reprezint o abordare ngust, limitat, orientat
exclusiv spre ngrdirea sau controlul efectelor negative ale unor evenimente poteniale ci,

15

pornind de la abordarea riscului n termeni de incertitudine, aceast tiin poate mri

flexibilitatea i adaptabilitatea organizaiilor, ntr-un mediu din ce n ce mai incert, pe msura
sporirii complexitii sale. Riscul trebuie neles n termeni de oportunitate, de valorificare
corect a situaiilor imprevizibile. Organizaiile inovatoare, ndreptate mereu ctre
evenimentele neprevzute, le pot exploata n avantaj propriu, situndu-se astfel n poziii
prioritare, avantajoase, pe pia.
Tratarea riscurilor implic selectarea uneia sau mai multor opiuni de modificare a
riscurilor i implementarea acestor opiuni, prin intermediul unui proces iterativ de stabilire a
modalitilor de tratare, de decizie privind tolerabilitatea riscului rezidual i de estimare a
efectului tratrii riscurilor pn la ncadrarea riscului rezidual n limitele criteriilor de risc ale
organizaiei. Opiunile de tratare care nu se exclud n mod necesar unele pe celelalte, dar nici
nu sunt potrivite n toate circumstanele, pot fi:
evitarea riscului prin decizia nedemarrii sau necontinurii activitii generatoare de
risc;
cutarea unei oportuniti prin adoptarea deciziei de a demara sau continua activitatea
respectiv;
eliminarea sursei de risc;
schimbarea naturii i mrimii probabilitii;
modificarea consecinelor;
transferul riscului ctre unul sau mai muli teri;
reinerea (acceptarea riscului).
Selecia celei mai adecvate opiuni de tratare a riscurilor implic echilibrarea
costurilor i a eforturilor necesare implementrii, cu avantajele obinute n ceea ce privete
cerinele legale, reglementare sau de alt natur, responsabilitatea social i protecia
mediului natural. Totodat, deciziile ar trebui s ia n considerare riscurile a cror tratare nu
este justificat din punct de vedere pur economic, cum sunt cele caracterizate de gravitate
mare (consecine catastrofale), dar avnd probabilitate foarte sczut de producere.
6.5.

Monitorizare si revizuire

Monitorizarea este procesul prin care datele despre evoluia unui risc sunt centralizate,
interpretate i raportate. Scopul monitorizrii este de a colecta informaii ct mai exacte,
actuale i oportune i de a le prezenta celor implicai ntr-o manier ct mai clar i mai uor
de neles. Vor fi desemnate anumite persoane responsabile cu urmrirea i analiza datelor,
precum i cu introducerea acestor date n planurile de tratare a riscurilor. Revizuirea riscului
este etapa n care se verific rezultatele obinute n urma msurilor implementate.
Responsabilitile privind monitorizarea i revizuirea trebuie stabilite cu claritate, aceste
procese trebuind s cuprind toate aspectele managementului riscurilor, n vederea:
analizei i obinerii de nvminte din evenimente, schimbri, tendine;
detectrii schimbrilor n contextul extern i intern, inclusiv modificri ale riscurilor
care pot impune revizuirea prioritilor i a planurilor de tratare;

16

 obinerii unei asigurri c msurile de control i tratare sunt eficiente att n teorie, ct
i n practic;
identificrii riscurilor emergente.
Rezultatele monitorizrii i revizuirii ar trebui consemnate i raportate intern sau
extern, ele servind i ca date de intrare pentru revizuirea cadrului general de management al
riscurilor (clauza 5.5).
Atunci cnd un plan de tratare a riscurilor a fost dezvoltat pentru un risc sau un set de
riscuri, att planurile implicite, ct i atributele riscurilor sunt urmrite. Monitorizarea
planurilor de prevenire sau a unor liste de msuri de aciune va indica dac planul este corect
executat i dac se respect schema de desfurare a aciunilor necesare. Urmrirea oricror
schimbri ale atributelor riscurilor va indica dac aciunile planificate reduc impactul sau
probabilitatea de apariie a riscurilor anticipate sau a altora neidentificate iniial, precum i ct
de eficiente sunt msurile implementate.
6.6.

Documentarea procesului de management al riscurilor

Activitile de management al riscurilor trebuie s fie trasabile, documentarea

asigurnd baza mbuntirii metodelor, instrumentelor i a procesului n ansamblul su.
Deciziile referitoare la crearea documentelor de nregistrare ar trebui s ia n considerare
urmtoarele aspecte:
avantajele reutilizrii informaiilor pentru necesitile managementului;
costurile i eforturile implicate n crearea i meninerea documentaiilor;
necesitile legale, reglementare i operaionale de documentare;
metodele de accesare, uurina consultrii i mijloacele de stocare;
perioada de pstrare;
caracterul sensibil al informaiilor.

7.

Concluzii privind ISO 31000

Pasul strategic n abordarea managementului riscurilor n cadrul unei organizaii din

perspectiva standardului internaional ISO 31000 este contientizarea riscului, respectiv
formularea unei filozofii de risc i stabilirea unei politici de abordare a riscului. Se are n
vedere faptul c pe termen lung singura alternativ la managementul riscurilor rmne
managementul de criz, dar acesta este mult mai costisitor, n termeni de resurse, bani i
timp.
Prima etap n iniierea unui proces de management al riscurilor este definirea
concret a sferei de aplicare, a domeniului, a activitii, a problemei la care se va aplica
procesul. Trebuie stabilit obiectivul procesului, cerinele privind termenele, prioritile i alte
elemente considerate importante de prile interesate. Dup acest prim pas, procesul de
management al riscurilor poate fi mprit n urmtoarele dou sub-procese majore:

17

aprecierea riscului i tratarea riscului, derulate pe fondul unor procese continue de

comunicare consultare i monitorizare-revizuire.
A adopta decizii mai bune nseamn a tri cu riscuri mai puine. Deciziile de nalt
calitate pot fi luate prin cunoaterea ct mai complet a incertitudinilor, dar pentru c
informaia nu poate fi perfect, exist mereu un nivel de risc rezidual. n consecin, deciziile
se bazeaz pe ceea ce se consider a fi adevrat i asumarea ansei producerii evenimentului
cu efect negativ i a riscului asociat acestuia. Managementul riscurilor implic necesitatea de
a ne asigura c deciziile organizaiei sunt cele mai bune posibil, date fiind constrngerile de
timp i de resurse. Managementul riscurilor, n accepiunea sa cea mai general, reprezint
totalitatea metodelor i mijloacelor prin care este gestionat incertitudinea, ca baz major a
factorilor de risc, n scopul ndeplinirii obiectivelor organizaiei. Implicarea managementului
de la cel mai nalt nivel este esenial n dezvoltarea unei filozofii a managementului
organizaional al riscurilor i n creterea gradului de contientizare a riscului la diferite
niveluri ale organizaiei. Derularea procesului de management al riscurilor necesit att
angajamentul i energia decizional a managementului de la cel mai nalt nivel, ct i
implicarea angajailor. Managementul riscurilor este un proces continuu de nvare din
experiene trecute, proprii sau ale altora. Ceea ce este extrem de important n demersul de a se
ajunge la un management al riscurilor eficace este consolidarea permanent a unei culturi
organizaionale a riscurilor

Managementul riscului: ghid pentru practicani i standardul

internaional al managementului riscului, ISO 31000:2009
8.

Evidenierea principiilor de baz i a activitilor cerute dar i oferirea unei ndrumri

n linii mari reprezint metode de mbuntire, mai exact standarde, a eficienei
managementului riscului.
Exist dou modaliti prin care se poate implementa acest lucru:

ISO 31000, prin coninutul lui, realizeaz o list de verificare pe care companiile o pot
utiliza la evaluarea abordrilor sale, mai exact referindu-se la principii i activitate
desfurat. Aadar, puine organizaii vor neglija activitile cu adevrat importante
care pot impacta ntr-o oarecare msur compania. Acest lucru se reflect n
modaliti eficiente de gestionare a riscului.
Managementul eficient are la baz o comunicare eficient, iar aceasta se bazeaz pe
utilizarea unui vocabular potrivit. Acest lucru a dus la necesitatea standardizrii unor
cuvinte, conferindu-le un context particular care s poat determina oamenii s
conlucreze ntr-un mod mai facil. Acest lucru a fost realizat de ISO Guide 73:2009.
Imbuntirile pot fi atinse n mod continuu n ceea ce priveste standardele, iar acest
lucru este implementat prin revizuire periodic. Best practices pot fi revizuite i
implementate pe msur ce oamenii ajung la un consens cu privire la anumite situaii
i orice punct omis sau alte clasificri pot fi incluse pe msur ce standardul este
revizuit. n acest mod fiecare utilizator al standardului are permanent access la resurse
din partea tuturor utilizatorilor.

18

8.1.

Management of risk vs. ISO 31000

MOR, cunoscut i sub denumirea de Managementul Riscului, este o publicaie aprut

pentru prima dat n anul 2002, care a avut de-a lungul timpului dou ediii revizuite cu
scopul de a include opiniile utilizatorilor dar i anumite modificri pe care metodele de
management le-au suferit. Acest standard este n principiu asemntor cu ISO 31000, cu mici
diferene. Acestea vor fi prezentate n cele ce urmeaz:
MOR (Management of Risk) are ca scop utilizarea efectiv; de aceea se regsesc mult
mai multe referiri practice despre implementarea efectiv a managementului riscului, i
mult mai detaliate, astfel c MOR este mult mai mare n dimensiune comparativ cu ISO
31000. Acesta din urm are ca scop oferirea de principii orientative i o oarecare
ndrumare n imbinarea standardelor i utilizarea managementului riscului ntr-o
companie.
Terminologia prezint unele neconcordane care vor fi subliniate ntr-o anex la acest
eseu.
ISO 31000 nu prezint o baz cu scopul de a face calificri n managementul riscului,
n comparaie cu MOR.
Exist i anumite asemnri ntre cele dou, precum faptul c ambele documente au ca
scop plasarea managementului riscului ca o cerin fundamental n dezvoltarea obiectivelor
unei companii. De asemenea, ambele publicaii sunt ntru totul de acord n ceea ce privete
abordarea general i a proceselor de management al riscului.
8.2.

ISO 31000

Scopul acestor standarde este s ajute cititorii n obinerea unu sumar al subiectului
acoperit. De aceea, ISO 31000 adun concepte cheie i activiti desfurate de organizaie
pentru a gestiona riscul n mod eficient i a ndeplini obiectivele, pentru a alinia organizaia la
cerinele legale i reglementrile impuse de domeniul de activitate. Un alt scop este asumarea
oportunitilor dar i a ameninrilor. Cu toate acestea, ISO 31000 nu are ca scop definirea
tehnicilor care ar trebui utilizate n companie n mod particular, ci are ca scop evidenierea
faptului c organizaia trebuie s utilizeze instrumente conforme de identificare a agenilor de
risc. MOR, spre deosebire de ISO 31000, acoper tehnicile utilizate n mod uzual n acest
scop, deci are o abordare mai practic.
O alt iniiativ a acestui standard este cea de a oferi un set de principii informative i
un proces care s asigure capabilitatea unei companii de a gestiona riscul. Standardul nu are
ca scop promovarea unei uniformitati a gestionarii riscului n fiecare organizaie n parte, ci
aceasta ar trebui sa fie capabila sa implementeze aceste concepte n functie de activitile
desfasurate i necesitati. Acest lucru difera i de legislatia fiecarei tari n care compania isi
desfasoara activitatea. Unele tari pot impune n mod expres respectarea acestor cerine.
ISO 31000 se refer la concepte de baz utile n managementul riscului care trebuie s
fie n armonie cu alte publicaii viitoare. n linii mari, este trasat i o oarecare modalitate de
implementare a gestiunii riscurilor, dar n MOR acestea sunt trasate mult mai clar, acesta

19

oferind ndrumare practic n implementare. mbuntirea permanent a acestor practici este

refereniat i n ISO 31000.
8.3.
Publicaii cu coninut asemntor dar implementare servit n mod
diferit
Aceste publicaii au scop comun dar modul de prezentare este diferit. Acest eseu nu
are ca scop prezentarea diferenelor de concepte intre cele dou publicaii, ci mai degraba
diferentierea modului de prezentare i a scopului evidentiat n cele dou.
Mai exact, ISO 31000 are ca scop evidenierea a ceea ce trebuie fcut i de ctre cine,
iar MOR descrie ceea ce trebuie fcut prin intermediul unui set de principii, de activiti i
roluri dar i cum sa se implementeze ntr-un mod ct mai eficient cele amintite.
Astfel c MOR este un ghid practic de implementare a metodelor de management de
risc, iar ISO 31000 ajut la evaluarea eficient a metodelor de gestionare a riscului care
trebuie aplicate.
Cu toate c MOR are o abordare mai practic, el nu descrie modalitatea n care o
companie ar trebui s implementeze conceptele, ci mai degrab ofer posibilitatea
personalizrii abordrii n funcie de mediul de operare i procesele care sunt desfurate.
8.4.

Comparaie privind structura celor dou standarde

n continuare vom face o scurt comparaie ntre cele dou publicaii avnd n vedere
structura abordat de cele dou. Aceasta prezint att similariti ct i diferene. MOR este
mult mai vast i mai detaliat, dar la baz, ele prezint concepte similare. Comparaia o vom
realiza pe 7 seciuni: generaliti, structur, concepte, abordare (MOR), integrare i
mbuntire, punct de vedere i detalii.
8.4.1. Generaliti
Ambele publicaii au ca scop reliefarea ideilor generale n introducere. Ele se axeaza
pe concepte generale de abordare i de implementare. Principala diferenta este ca n cadrul
MOR se urmreste i persoana responsabila cu implementarea i practicarea managementului
de risc. Spre deosebire de MOR, ISO 31000 se axeaza pe cei ce dezvolta politicile i care se
asigura ca principiile abordate sunt unele de getionare eficienta.
Att ISO 31000, ct i MOR se ocup n mod special de implementarea gestionrii
riscului n mod consistent i vd aceast gestionare ntr-un mod extrem de serios ca fiind
foarte relevant i important n desfurarea activitii i atingerea scopurilor unei companii.
MOR definete riscul ca fiind un eveniment nesigur sau o serie de evenimente care ar trebui
s apar i care pot avea un efect att pozitiv, ct i negativ n indeplinirea obiectivelor. ISO
31000 defineste riscul n mod similar ca fiind un efect incert asupra obiectivelor.
8.4.2. Structur

20

Dei prezint oarecare diferene de structur, fiecare publicaie atinge nite concepte
de baz comune. MOR prezint 4 puncte cheie (principii abordare, proces i
incorporare/revizuire), pe cnd ISO 31000 se limiteaz la principii, un cadru i un proces.
MOR adaug la cele 4 concepte cheie de mai sus, seciuni legate de perspective,
acoperind cererile la nivel strategic, programe, proiecte i nivele operaionale, mpreun cu
documente de baz, tehnici, un bilan de sntate i un model de scaden. Standardul doar
admite o parte din aceste aspecte, nu ofer n schimb nici un detaliu.
8.4.3. Principii
Ediia a treia a MOR reduce numrul de principii prezentate de la 12 la 8, care sunt
sustinute de principii de guvernanta corporatista i de catre ISO 31000. n timp ce MOR
sustine ca principiile sunt esentiale pentru mentinerea unei practici bune, ISO 31000
subliniaza faptul ca ar trebui aplicate aceste principii.
8.4.4. Abordarea i Cadrul (MOR vs ISO 31000)
n aceast seciune cele dou publicaii vorbesc despre modul de implementare al
acestor principii n cadrul unei organizaii i cum acopera arii similare cu toate ca utilizeaza
termeni diferiti. MOR utilizeaza termenul de registru de risc pe cand ISO 31000 vorbeste
de catalogarea i inregistrarea acestor riscuri dar fara a specifica n mod evident forma pe
care ar trebui sa o aiba.
n ambele publicaii este descrisa infiintarea unei politici aliniate la obiectivele
organizaiei, i activitie care ar trebui intreprinse. Progresul trebuie raportat, inregistrat i
mbuntit. De aceea, n MOR mbuntirea este tratata n alta sectiune faa de ISO 31000.
8.4.5. Procesul de gestionare
Gestionarea riscului ca proces este vazut ca esenial n ambele publicaii i se refer
la identificare, evaluare, tratare, monitorizare i revizuire. MOR are ca scop ghidarea
practicantului i se axeaza pe aceasta parte, de aceea este mult mai detaliat decat ISO 31000.
MOR contine 4 etape n cadrul procesului: identificare, evaluare planificare, implementare,
toate susinute de o comunicare eficient.
8.4.6. Integrare
Ambele documente insist pe nevoia de incorporare gestiunii riscului n procesul de
management al organizaiei. Oricum MOR afieaz un interes mai mare pe integrarea
acestuia n cultura organizaiei. De fapt are dezvoltat un capitol specific pe acest subiect. n
timp ce nevoia de a face acest lucru este recunoscut n ISO 31000, paii cerui sunt doar
subliniai mpreun cu alte cerine particulare n "Cadru".
8.4.7. Perspective
ISO 31000 se refer la aplicarea managementului riscului n viaa organizaiei i, de
asemenea, n diverse activiti, strategii i decizii, operaiuni, procese, funcii, proiecte,

21

servicii i bunuri. MOR dedic un capitol intreg modului n care managementul riscului ar
trebui aplicat la nivelul strategic, programelor, proiectelor i la nivel operaional. Pentru mai
multe detalii vezi anexa 1.
MOR conine anexe ce subliniaz documentele, tehnicile i procesul de baz pentru a
evalua ct de bine managementul riscului este folosit intr-o organizaie. Descrie un model de
maturitate sugestiv de msurare a nivelului curent al managementului riscului i de
identificare a ariilor de dezvoltare. ISO 31000 se refer la nevoia ca aceste lucruri s fie
prezente, dar ofer foarte puine detalii sau metode.
Ambele publicaii conin glosare ce explic inelesul termenilor folosii, dar acestea
sunt diferite n fiecare publicaie. Un tabel comparativ este dat n Anexa 1.
8.4.8. Similariti ntre MOR i ISO 31000
n acest paragraf dorim s subliniem modul n care MOR poate fi regasit n cerinele
standardului international. Cu toate acestea, avand n vedere structura i scupul diferit ale
celor dou, comparatia pe capitole nu este cea mai buna alegere. Anexa 2 prezint mai
detaliat diferenele intre cele dou.
Principalele similariti sunt:
Procesul de management al riscului este relevant pentru indeplinirea obiectivelor unei
companii;
Ambele urmresc principii consistente;
Abordarile sunt similare n aplicarea managementului riscului;
Procesele de management promovate de cele dou sunt similare;
Ambele incurajeaza integrarea n cultura organzatiei i n procesul de management;
Gestionea riscului este recomandat ca implementare n activitile unei companii pe
toata durata existentei acesteia.
Concluzia ar fi ca MOR este mult mai detaliat i ncorporeaz cerinele ISO 31000
deoarece este mult mai detaliat i ofera metode care nu sunt acoperite de standard.
Utilizarea MOR permite unei companii s se alinieze la toate cerinele ISO 31000.
Acesta conine descrierea unor tehnici des folosite i explic i modul de abordare i ce
procese sunt folosite la nivel strategic, programe, proiecte i la nivel operaional. ISO 31000
declara n mod specific ca nu este proiectat pentru certificarea unui asemenea scop.
Standardul internaional prevede o serie destul de larg de domenii de aplicare pentru
gestionarea riscurilor peste o organizaie i sugereaz utilizarea sa pe toat durata organizaiei
(spre deosebire de cea a unui program sau proiect). Stabilete de asemenea de ce este nevoie
pentru a cdea de acord cu cerinele de reglementare i legale i normele internaionale (aria
C din figura 4).

22

Figura 4. Asemnri i diferene ntre MOR i ISO 31000

23

Anexa 1 Glosar comparativ de termeni

Termen MOR
Termen ISO 31000
Termeni similari folosii n ambele publicaii
Risc rezidual
Risc rezidual
Risc
Risc
Evaluarea riscului
Evaluarea riscului
Identificarea riscului
Identificarea riscului
Managementul riscului
Managementul riscului
Politica managementului riscului
Politica managementului riscului
Proprietarul riscului
Proprietarul riscului
Profilul riscului
Profilul riscului
Partea interesat
Partea interesat
Termeni diferii folosii n ambele publicaii
In linii mari acoperite cu "abordare"
Cadrul managementului riscului
Planul de comunicare descrie procesul
Comunicare i consultare
Inclus n "incorporare i revizuire"
Revizuire
Acoperit de "identificarea contextului"
Context extern
Acoperit de "identificarea contextului"
Context intern
Acoperit de "identificarea contextului"
Criteriul riscului
Identificarea contextului
Stabilirea contextului
Impact sau efectul riscului
Consecine
Implementare
Tratarea riscului
Inclus n "implementare"
Monitorizare
Probabilitate
Probabilitate/Viitor
Apetitul riscului
Atitudinea riscului
Cauza riscului
Sursa riscului
Estimarea riscului
Analiza riscului
Evenimentul riscului
Evenimentul
Acoperit de "identificarea riscului",
Evaluarea riscului
"estimare" i "evaluare"
Ghidul procesului managementului
Procesul managementului riscului
riscului descrie procesul
Strategia managementului riscului
Planul managementului riscului
Rspunsul riscului
Control
Severitatea riscului
Nivelul riscului

24

Anexa 2 Comparaie ntre MOR i ISO 31000 din punct de vedere al

categoriilor i seciunilor abordate
Categoria
Introducere

MOR
Concentrat pe organizaie, acoperind 4
perspective (nivelul strategic,
programele, proiectele i nivelul
operaional), relevante att pentru
sectorul public ct i pentru cel privat.
Audiena include oameni care:
- Sunt responsabili s consolideze un
cadru pentru managementul riscului
- Sunt responsabili s revizuiasc i s
mbunteasc managementul riscului
- Sunt capabili s gestioneze riscul cu
una din cele 4 perspective
- Sunt responsabili de indrumare, n
ceea ce privete gestionarea riscului
Ofer o "hart" pentru intreprinderea
gestionrii riscului intr-omanier
repetabil i consistent, unind diverse
principii, o abordare i un proces.
Definete riscul ca "un eveniment incert
sau un set de evenimente care, ar trebui
s apar, i vor avea un efect (pozitiv
sau negativ) n indeplinirea
obiectivelor".

ISO 31000
Concentrat i pe organizaie dar i pe
activitate, lucru relevant pentru orice
intreprindere public, privat sau
comunitate, grup sau individ.
Audiena include oameni care:
- Sunt responsabili de dezvoltarea
politicilor pentru gestionarea riscului
- Ce se asigur c riscul este gestionat
-Evalueaz eficiena gestionrii riscului
- Sunt preocupai de dezvoltarea
standardelor, ghidurilor, procedurilor,
etc.
Descrie o abordare generic pentru
gestionarea oricrui tip de risc din orice
context, aducnd la un loc principii, un
cadru i un proces.
Definete riscul ca "un efect incert
asupra obiectivelor"

Listeaz doar beneficiile principale.

Listeaz beneficiile principale, dar
evideniaz de asemenea contribuia
fcut guvernanei corporative i
controlului intern.
Este parte a biroului de portofolii de
orientare pentru cele mai bune practici
de management.

O publicaie a Organizaiei
Internaionale de Standardizare.

Nu este destinat certificrilor.

Baz pentru Certificarea APMG.
In timp ce fiecare document are o abordare diferit n partea de introducere, ele nu
Sumar
sunt n contradictoriu, dar vd gestionarea riscului efectiv ca fiind foarte relevant
pentru indeplinirea obiectivelor unei organizaii
Sunt eseniale pentru dezvoltarea i
Organizaiile ar trebui s se conformeze
Principii de

25

baz

meninerea unui bune practici a

gestionrii riscului.
Sunt comunicate de principiile de
guvernan corporativ i ISO 31000

Se aliniaz cu obiectivele
- Se concentreaz pe acele incertitudini
ce au un impact important n
indeplinirea obiectivelor organizaiei
Se incadreaz n context
- Design personalizat al abordrii
managementului riscului pentru a se
potrivi n contextul organizaiei

Angajeaz prile interesate

- Pentru a inelege cerinele lor i
percepia riscului i pentru a influena
contribuia lor.

Ofer indrumare clar

- Toate prile interesate ineleg modul
n care organizaia identifica, evalueaz
i controleaz riscul

Informeaz luarea deciziilor

- i ajut pe cei ce iau decizii s
ineleag meritele relative, ameninrile
i oportunitile legate de deciziile lor
Faciliteaz mbuntirile continue
- Folosete datele anterioare pentru a
realiza estimri, rspunsuri la risc,
preziceri i decizii

26

cu aceste principii pentru ca

managementul riscului s fie mai
eficient.
Prefixul literei indic acele paragrafe
folosite n ISO 31000 (sunt plasate n
aceeai ordine ca i principiile din
MOR la care se face referire)
d) se adreseaz n mod explicit
incertitudinii
- La natura i modul n se pot/poate fi
adresat/e
- Se aliniaz cu obiectivele MOR
g) Adaptare
- Se aliniaz cu profilul riscului i
contextul intern i extern
j) dinamic, iterativ i rspunde la
schimbri
- Este revizuit s ia n considerare
schimbrile n context
i) transparent i inclusiv
- Implic prile interesate la toate
nivelele
h) ia n considerare factorii umani i
culturali
- Oamenii, att cei interni ct i cei
externi pot afecta indeplinirea
obiectivelor.
b) parte integral a tuturor proceselor
organizaionale
- Nu este o activitate de sine stttoare
e) sistematic, structurat i precis
- Conduce la eficientizare i
consisten, rezultate de incredere i
comparabile
c) parte n luarea deciziilor
- i ajut pe cei ce iau decizii s fac
alegeri informate
k) faciliteaz mbunatirile continue
- Organizaiile ar trebui s i dezvolte
i s i mbunteasc maturitatea
f) bazat pe cele mai bune informaii
disponibile

- Anumite fapte pot fi incerte sau au

nevoie de un timp de inelegere
- Niciun principiu din ISO 31000 nu
are un echivalent cu crearea unei culturi
de susinere din MOR
a) creaz i protejeaz valoarea
- Contribuie la indeplinirea obiectivelor
i la mbuntirea performanelor

Sumar

Abordare
(MOR) i
cadru (ISO
31000)

Creaz o cultur de susinere

- o cultur ce recunoate incertitudinea
i susine riscul asumat considerat
Atinge o valoarea msurabil
- Folosind o abordare structurat a
managementului riscului creaz i
protejeaz valoarea organizaional
Principiile ISO 31000 au fost reordonate pentru a demonstra o aliniere
aproximativ intre cele 2 documente. Este o aliniere suficient de bun a celor mai
multe dintre principii, chiar dac ISO 31000 este mai puin detaliat
Modul n care principiile ar trebui
St la baza succesului gestionarii
aplicatein cadrul organizaiei
riscului

Dispoziie i angajament
- Definete politica, se aliniaz cu
cultura, determin indicatorii de
performan
- Se aliniaz cu obiectivele
organizaionale
- Acord legal i respectarea
reglementrii
Designul cadrului pentru gestionarea
riscului
- Inelegerea organizaiei i contextul
acesteia
- Stabilirea politicii
- Asigurarea responsabilitilor
- Integrarea n celelalte procese
- Alocarea resurselor potrivite
- Stabilirea legturilor interne i externe
i a rapoartelor
Ghidul de proces pentru gestionarea
Implementarea managementului
riscului
riscului
- Descrie modul n care paii procesului
- Implementarea cadrului
din MOR vor fi aplicai n cadrul
- Implementarea procesului
organizaiei
Strategiile managementului riscului
Monitorizarea i revizuirea cadrului
- Descrie activiti specifice din
- Asigur eficiena i continuitatea
managementul riscului ce vor fi
cadrului n susinerea performanei
intreprinse pentru o aciune
organizaiei
organizaional particular
mbuntirea continu a cadrului

Politica gestionarii riscului

- Cumva fi gestionarea riscului
implementat intr-o organizaie pentru a
sprijini realizarea obiectivelor

27

- Decide cum s mbunteasc

politica, planul i cadrul
Indrumarea proceselor inclusiv
pstrarea inregistrrilor (ISO nu
folosete termenul de "registrul al
riscului" sau "log al problemelor") sunt
prezente n "proces", capitol descris
mai jos

Sumar
Procesul

Inregistrri i documentaie
Registrul de risc
- Conine i pstreaz informaia tuturor
ameninrilor identificate i tuturor
oportunitilor legate de o activitate
organizaional specific
Registrul de probleme
- Conine i pstreaz informaii despre
problemele identificate ce se intmpl
n prezent i este nevoie s se ia o
decizie asupra lor
Planul de mbuntire al riscului
- Ajut la incorporarea managementului
riscului n cultura organizaiei
Planul de comunicare al riscului
- Descrie cum informaia va fi difuzat
i primit de la prile interesate
Planul de rspuns al riscului
- Detaliaz planuri specifice pentru a
rspunde unui risc sau unui set de
riscuri
Raportul de progres al riscului
- Ofer informaii legate de progresul
managementului riscului n legtur cu
o activitate organizaional particular
Terenul acoperit de "abordarea" MOR este tratat de "cadru" i alte capitole din
ISO 31000, evident destul de puin detaliat.
Descrie paii procesului gestionarii
Evideniaz paii principali, insistnd
riscului
pe faptul c acetia ar trebui integrai n
management, incorporai n culturi
procesai n aa fel inct s satisfac
cererea organizaiei
Similar procesului din MOR, dar mai
puin detaliai
Procesul de comunicare
Comunicare i consultare
- O activitate este purtat prin tot
- Cu prile interesate interne i externe
procesul
la toate nivelele procesului
- Este cheia pentru identificarea noilor
riscuri ca urmre a modificrii riscurilor
existente
Identificarea contextului
Stabilirea contextului

28

Sumar

Integrare i
revizuire

- Inelege cum activitatea plnuit se

- Pronun obiectivele, definete
potrivete intr-o organizaie mai mare i parametrii luai n considerare cnd se
intr-o pia/societatei abordarea
gestioneaz riscul i stabilete scopul
organizaiei n ceea ce privete
procesului n sine
managementul riscului pentru a realiza
un model al strategiei gestionarii
riscului
Evaluarea
Identificarea riscului
- Include identificarea, analiza i
- Identificarea riscurilor obiectivelor
evaluarea riscului
activitii cu scopul de minimiza
- Identificarea genereaz o list
ameninrile i a maximiza
cuprinztoare de riscuri
oportunitile
- Analiza ajuta la inelegerea cauzelor
Evaluarea estimrii
i sursei riscurilor, consecinele i
- Prioritizarea riscurilor individuale,
probabilitile acestora s apar
astfel inct s fie clar care sunt cele mai
- Evaluarea asista la luarea deciziilor
importante i urgente n inelegerea
probabilitii, impactului i apropierea prin compararea criteriilor cu scopul de
a determina cum anume riscul va fi
de fiecare risc
tratat
Evaluarea
- Inelegerea expunerii riscului cu care
se confrunt activitatea uitndu-se la
efectul net al ameninrilor i
oportunitilor identificate la fiecare
activitate n momentul n care sunt puse
toate la un loc
Tratarea
Planul
- Pregtete rspunsuri specifice pentru - Selectarea i implementarea opiunilor
a indeprta sau a reduce ameninrile i
pentru modificarea riscurilor
- Ia n considerare costurile i eforturile
a maximiza oportunitile
mpotriva beneficiilor
Implementare
- Se asigurc planul aciunilor
- Dezvolt i implementeaz planuri
gestionarii riscului este implementat i
Monitorizare i revizuire
- Parte a planului
monitorizat i gata s ia aciuni
corective acolo unde rspunsurile nu
- Evalueaz eficacitatea, obine noi
informaii, identific noi riscuri
sunt conform ateptrilor
ISO 31000 acoper o mare parte din capitolele MOR dar mai puin detaliat.
Ambele publicaii includ subiecte ajuttoare pentru a arta relaia dintre paii
cheie al procesului
Integreaz managementul riscului n
Nevoia de a integra managementul
cultura organizaiei, incluznd
riscului n procesele organizaiei,
revizuirile pentru a asigura eficiena
alinierea lui cu obiectivele i cultura
managementului
acesteia i alocarea resurselor adecvate
i suportul managementului sunt
Incorporarea principiilor

29

Sumar

Perspective

- Totul incepe de la principii i de la

referite n Clauza 4, Cadrul.
modul n care organizaia se va simi i
va arta cnd aceastea vor fi incorporate
Exist i alte referine in:
- Introducere: referine implicite pentru
Schimbarea culturii pentru
nevoia de a integra managementul
managementul riscului
riscului
- Abordarea MOR trebuie ineleas,
- Principii: parte integral a tuturor
valorificat, implementat i
proceselor organizaionale, parte n
mbuntit de toat lumea din
luarea deciziilor
organizaie
- Procesul: parte integral a
Msurarea valorii
- Folosind anumii indicatori pentru a managementului, incorporat n culturi
practic, croit pentru business
judeca succesul construirii culturii
- Stabilireacontextului ca o activitate la
managementului riscului
inceputul procesului de gestionare al
Depirea barierelor pentru a avea
riscului
succes
- Prin comunicare i prin obinerea
dezvoltrii suportului
Identificarea i stabilirea
oportunitilor pentru schimbare
- Folosind puncte de declanare pentru
a stabili un ciclu continuu de
monitorizare, revizuire i mbuntire
MOR dedic un capitol specific pentru a integra managementul riscului n
organizaie. n timp ce nevoia de a face acest lucru este doar amintit n ISO
31000, paii necesari sunt subliniai n "cadru" n particular
Descriu cum principiile, abordarea i
Se refer la aplicarea managementului
procesele sunt aplicate la nivelul
riscului n viaa organizaiei peste o
strategic, programelor, proiectelor i
mare parte a activitilor, strategiilor i
perspectivelor operaionale
deciziilor, operaiilor, proceselor,
funciilor, proiectelor, serviciilor i
Strategic
- Asigur succesul businessului,
evalurilor
vitalitatea i viabilitatea
Se refer de asemenea la aplicarea
implicita lor la nivele difereniate
Programe
- Transform strategia businessului n
noi metode de a livra beneficii
msurabile n organizaie
Proiecte
- Livrarea "ieirilor" definite la un nivel
de calitate adecvat cu scopul agreat,
timpul, costul, i restrngerile stabilite
Operaional
- Menine nivelele adecvate de business
i servicii existente i pentru clienii noi

30

MOR conine o analiz mult mai detaliat a diferenelor dintre abordare i

perspective. ISO 31000 de abia dac subliniaz faptul c managementul riscului
ar trebui folosit la toate aceste nivele
Se refer la nevoia de documentaie,
A.Documente Documente sugestive subliniate ce sunt
folosite n mod uzual
dar nu ofer niciun detaliu
subliniate
B. Tehnici Subliniaz descrierea celor mai folosite Se refer la nevoia de tehnici specifice
tehnici pentru fiecare pas din procesele
dar nu ofer detalii
comune
MOR
Descrie un proces sau un cadru pentru a
Se refer la nevoia de mbuntire
C. Starea
evalua ct de bine managementul
continu dar nu ofer detalii
de sntate
riscului este folosit n organizaie.
Cadrul se bazeaz pe principiile MOR
Se refer la dezvoltarea unui anumit
D. Modelul Descrie un model sugestiv de maturitate
pentru a msura nivelul curent al
nivel de performan n managementul
de
maturitii managementului riscului i
riscului. Atributele necesare sunt:
maturitate
pentru identifica arii de mbuntire.
- mbuntire continu prin stabilirea
Se refer de asemenea i alte modele de
scopurilor de performan
maturitate i ofer o descriere la nivel
- Responsabilitate deplin a celor
inalt al Portofoliului, Programelor i
implicai
modelului de maturitate al
- Aplicare a lor n toate deciziile luate
managementului de proiect(P3M3)
- Comunicare continu
- Integrare deplinin structura de
guvernan a organizaiei
Ofer o introducere pentru ariile de
Seciunea 3, principii de la a) la c) cere
E.
unei organizaii s aplice
Specializarea specialitate a managementului riscului
i referine la informaii adiionale
managementul riscului n toate
riscului
despre acestea
activitile.
In timp ce nevoia de a mbunti performanta organizaional este acoperit de
Sumar
ISO 31000, niciun mecanism de a face acest lucru nu este propus. MOR pe de alt
parte ofer un ablon pentru un model de maturitate care poate fi personalizat n
funcie de nevoile organizaiei.
MOR identifica urmtoarele 8 tipuri de
Dei aplicarea acestor domenii de
riscuri i trimite cititorul ctre
specialitate este implicit prin modul n
informaii detaliate despre acestea:
care este redactat documentul, nu este
- Managementul continuitii
prevzut nicio orientare specific.
businessului
- Managementul crizelor i incidentelor
- Managementul sanatii i siguranei
- Managementul securitii riscului
- Managementul riscului financiar
- Managementul riscului mediului
- Managementul riscului reputaiei
- Managementul riscului contractual
Sumar

31

Sumar
Glosar

Index

Inc odat MOR ofer indrumare pentru o practic bun n aceste domenii n care
ISO 31000 nu ofer
Cei mai folosii termeni mpreun cu
Termeni i definiii oferite. Acestea
glosarul managementului celei mai
difer fa de MOR. Unii termeni
bune practici
precum "registrul riscului" nu sunt
folosii
Index alfabetic pentru identificarea
Conine lista de discuii
termenilor i discuiilor

32

Bibliografie
1. M. Dallas, Management of Risk: Guidance for practitioners and ISO 31000:2009, The
Stationery Office, 2013.
2. * * *, A structured approach to Enterprise Risk Management (ERM) and the requirements
for ISO 31000, Institute of Risk Management (IRM), 2010.
3. * * *, ISO 31010:2009 Risk management Risk assessment techniques, International
Organization for Standardization, 2009.
4. L. Duojia, G. Xiaohong, An integrated implementation of ISO 31000, China
Standardization, pg. 76-83, 2013.
5. http://www.iso.org/iso/home/standards/iso31000.htm
6. G. Bbu, R. Moraru, I. Matei, N. Bncil-Afrim, Sisteme de management al securitii i
sntii n munc. Principii directoare, Editura Focus, Petroani, 2002
7. A. Darabond, St. Pece, A. Dascalescu, Managementul securitii i sanatatii in munca (vol
I si II), Editura Agir, Bucuresti, 2002
8. * * *, Management du risque Lignes directrices pour lestimation des risques, FD X50252, Edition AFNOR, La Plaine Saint-Denis, France, 2006
9. * * *, SR EN ISO 12100-2: 2004 Securitatea mainilor. Concepte de baz, principii
generale de proiectare. Partea 2: Principii tehnice, Asociaia de Standardizare din Romnia
(ASRO), Bucureti, 2004.
10. * * *, Gestion du risque, Wikipdia - L'encyclopdie libre (http://fr.wikipedia.org/wiki/).
11. * * *, ISO 31000: 2009 Risk management - Principles and guidelines, International
Organization for Standardization, 2009.
12. * * *, Guide for developing and implementing your risk management framework,
Victorian Managed Insurance Authority (VMIA), Melbourne, Victoria, Australia, 2008
(http://www.vmia.vic.gov.au).

33