WfS usu

Cod: PG-02

Y;'ffi'::inx,"
)uceava

Editia: Revizia:

I
0

PROCEDURA Managementul riscului qi elaborarea Registrului de riscuri

4::.( tnt

Aceasti proced RECTOR, Prof.univ.dr.ingl

in gedin{a Senatului ti^//.85. rtr.3.1

f li

;:;:$

27.12.2010 28.12.2010

Managementul riscului gi elaborarea Registrului de riscuri

Cuprins
1. SCOPUL PROCEDURJI

4.

DEFINITII $I ABREVIERI

5. CONTINUT

6. 7. 8.

RESPONSABILITATI

DISPOZITII FINALE
ANEXE

2^2

Managementul riscului qi elaborarea Registrului de riscuri

1. SCOPUL

PROCEDURII

Procedura stabilegte liniile directoare privind modul de identificare a riscurilor semnificative pentru menlinerea acestor riscuri la un nivel acceptabil in Universitatea ,,$tefan cel Mare" din Suceava, precum gi forma de redactare, conlinutul, actualizarea Registrului de riscuri.
2.

DOMENIU DE APLICARE

Procedura este utilizatd de citre personalul de conducere din cadrul entitd{ilor organizatorice ale USV, precum gi de cdtre persoana desemnatd cu gestionarea Registrului de riscuri.

3. DOCUMENTE DE REFERINTA

3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7.

4.

Ordinul MFP nr. 94612005 - pentru aprobarea Codului controlului intem, cuprinzAnd standardele de management/control intem la entitdlile publice qi pentru dezvoltarea
sistemelor de control managerial; standardul 1 1 - Managementul riscului. Ordinul MFP nr. 1389 I 2006 - privind modificarea si completarea OMFP nr. 94612005 pentru aprobarea codului controlului intem, cuprinzdnd standardele de management/control intem la entitalile publice $i pentru dezvoltarea sistemelor de control managerial Ordinul MAI nr. 234 I 2010 - pentru aprobarea Procedurii de determinare a riscului de arson Legea 31912006 - privind securitatea qi sdndtatea in muncd HG nr. 1425/2006 - Norme metodologice de aplicare a prevederilor Legii securitdlii $i sdndtdlii in muncd nr.319/2006, modificatd de HG nt. 95512010 MFP - Metodologie de implementare a standardului de control intern "managementul riscurilor", ianuarie 2007 SR ISO 31000:2010 Managementul riscului. Principii gi linii directoare

DEFINITII SI ABREVIERI 4.1. Termeni qi defini{ii 4.4.1 Managementul riscului

organiza{ional gi proces).

activitdli coordonate pentru a direc{iona qi a controla o organizalie in ceea ce privegte riscul (face referire la sfuctura formatd din principii, cadru

4.4-2

4.4.3
4.4.4 4.4.5 4.4.6
4.4.'7

4.4.8 4.4.9
4.4.10

riscului ansamblu de activitdli riguros definite gi organizate, care permit administrarea gi monitorizarea eficientd a riscului; se referd la aplicarea structurii (principii, cadru organizalional qi proces) la riscurile specifice. Stabilirea contextului - definirea parametrilor intemi qi extemi care urmezi sd fie luati in considerare in managementul riscurilor, precum qi determinarea domeniului de aplicare qi a criteriilor de risc. Disponibilitatea la risc - cantitatea de risc pe care o organizalie este pregAtita s[ o accepte sau la care este dispusd sd se expund intr-un anumit moment. Expunere la risc - consecinJele pe care poate sa le resimti o organizajie, ca o combinalie de impact qi probabilitate, in cazul materializdrii unui risc. Nivelul de risc - cuantificarea combinaliei dintre impact qi probabilitate, definitd ca produsul acestora. Risc - O incertitudine a unui rezultat, a unor acjiuni, situalii sau evenimente care nu a ap[rut incA, dar care poate apare in viitor, fie sub forma unei oportunitdli pozitive sau a unei amenin{iri negatlve. Risc extern - riscul care rezultd din afara universitdlii qi nu poate fi controlat in totalitate de citre aceasta. Risc inerent - expunerea catzald de un anumit risc inainte de a fi luata vreo mdsura de atenuare a lui. Risc opera{ional - riscul legat de desffgurarea curend a activitdlii in cadrul universitdlii.
Gestionarea
3t12

Managementul riscului qi elaborarea Registrului de riscuri

4.4.11. Risc privind schimtrarea - riscul aferent deciziei de a realiza lucruri noi care depdqesc
capacitatea actuald a universitdli.

4.4.12 Risc rezidual - expunerea cauzatd de un anumit risc dupd ce au fbst luate mdsuri de
gestionare a lui, presupunAnd cd misurile au fost eficace. Arson - incendiu provocat printr-o acliune intenlionati, in scopul de 4.4.13
a distruge

4.2. Abrevieri Direclia de Asigurare a CalitAlii DAC USV - Universitatea $tefan cel Mare din Suceava MFP - Ministerul Finanjelor Publice MAI - Ministerul Administraliei qi Intemelor Securitatea gi Sdndtatea in Mr-rnc[ SSM
5.

CONTINUT

5.1. Generalitifi 5.1.1 Fiecare conducdtor de structurd organizatoricd va numi o echipd pentru gestionarea 5.\.2
5.1.3 5.1.4
riscurilor. Managementul riscului se aplicd in toate domeniile de activitate, la toate nivelurile din structurile organizatorice, in orice moment, precum qi funcliilor, proiectelor, proceselor $i activitililor specifice din USV cel pu{in o datd pe an. Managementul riscului vizeazd asigurarea unui control global al riscului, ce permite menlinerea unui nivel acceptabil al expunerii la risc pentru universitate, cu costuri minime. Etapele evaludrii de risc sunt: a) Evaluarea contextului: extem qi intern b) Identificareariscului c) Analiza riscului d) Evaluarea riscului e) Tratarea riscului Monitorizarea modului in care se realizeazd managementul riscului se realizeazd cu ajutorul Registmlui riscului, formular cod PG-02 F01. Riscurile specifice referitoare la SSM qi arson se vor evalua conform procedurilor proprii.

5.1.5
5.1

.6

5.2. Evaluarea contextului: extern $i intern 5.2.I in funclie de nevoile organizaliei se stabilesc obiective specifice de risc: a) strategice - referitoare la misiune; b) operalionale - referitoare 1a eficacitatea activitdfilor, "rezultate ce trebuie oblinute"
''rezul tate a$teptate":

sau

c) d) 5.2.2 5.2.3 5.2.4

raportare referitoare la modul de raportare in cadrul universitalii; de conformitate - referitoare la modul in care se respecta legile 9i reglementdrile
de

aplicabile; e) de protejare a activelor releritoare la prevenirea pierderilor de active prin furt, risipd, ineficienld sau printr-o decizie eronat6. Fiecdrui obiectiv specific de risc i se va stabili contextul intem qi extem. Evaluarea contextului presupune definirea parametrilor intemi gi extemi care urmeaza sa fie luati in considerare in managementul riscurilor, precum qi determinarea domeniului de aplicare gi a criteriilor de risc. Evaluarea contextului extem poate include, dar nu se limiteazd la: a) mediul social, cultural, politic, legal, de reglementare, financiar, tehnologic, economic, natural gi concurenfial, cuprinse la nivel local, regional, najional sau intemalional; b) factorii critici qi tendinlele cu impact asupra obiectivelor; c) relatiile cu pdr,tile interesate exteme, percepliile gi valorile acestora.

4n2

Managementul riscului gi elaborarea Registrului de riscuri

5.2.5

5.2.6 5.2.7 5.2.8

Evaluarea contextului intem poate include, dar nu se limiteazlla: a) conducere, structura organizatoricS, roluri qi responsabilitdli ale angajalilor; b) politici, obiective gi strategii implementate pentru indeplinirea acestora; c) capabilitdlile, inlelese in termeni de resurse gi cunoqtinle; d) rela{ii cu pdrlile interesate interne, percep{iile qi valorile acestora; e) cultura organizalionald format[ din atitudinea fald de riscuri, al sistemul de valori existent gi practicile lutllizate; f) sisteme de informalii, fluxuri de informalii gi procese de luare a deciziilor (oficiale, neoficiale); g) regulamente qi proceduri adoptate; h) forma gi anvergura relaliilor de colaborare. Participanlii la procesul de evaluarea a contextului vor stabili mijloacele qi metodele de comunicare qi consultare cu pdrlile interesate interne gi exteme. in func{ie de elementele relevante desprinse din evaluarea contextului se stabilesc criteriile de risc. Criteriile de risc, care lin seama de contextul pentru care se realizeazd analiza, urmeazd sd fie utilizate pentru evaluarea importanlei riscului.

5.3. Identificareariscului 5.3.1 Scopul identificdrii riscurilor

5.3.2 5.3.3 5.3.4

5.3.5 5.3.6 5.3.7

este tocmai inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, dacd s-ar materializa (ar deveni situalii de fapt). Identificarea riscurilor se rcalizeazd intr-o manierd structr.ratS, bazald pe obiectivele definite. Riscurile trebuie identificate la orice nivel unde se sesizeazd cd existd consecinle asupra atingerii obiectivelor gi pot fi luate mdsuri specifice de solu{ionare a problemelor, ridicate de respectivele riscu ri. Se vor identifica riscurile aferente operaliilor qi sistemelor informatice ale structurilor organizatodce din USV, privind: a) fiabilitatea gi integritatea informaliilor financiare gi operalionale; b) eficacitatea qi eficienla operafiilor; c) protejareapatrimoniului; d) respectarea legilor, reglementdrilor qi contractelor. Toate percepliile pd(ilor interesate vor fi identificate, inregistrate qi luate in considerare penuu identificarea riscurilor. La identificarea riscurilor este necesar sd se elimine, pe cdt posibil, tentalia stabilirii unor c a.uzalit li indirecte. Cele mai impofiante riscuri care pot determina ca obiectivele stabilite sd nu fie atinse sunt: un control redus din partea managementului, frauda, acJiuni ilegale, nerespectarea reglementirilor, erorile, ineficienla, ineficacitatea, conflictele de interese, risipa, arsonul, viabilitatea frnanciard gi starea sdndt5lii qi securitAlii in muncd a angajalilor.

5.4.

Analiza riscului 5.4.1 Analiza riscurilor se face anual in toate structurile organizatorice. 5.4.2 Riscul este analizat prin stabilirea consecinlelor gi a plauzibilitdlii in vederea evaludrii impactului asupra obiectivelor. Rezultatele se consemneaz[ in formularul Aler16 la risc, cod

5.4.3 Criteriile

PG-01-F02. care pot fi luate in considerare la analiza riscurilor in vederea grupdrii lor sunt: a) cauzele qi sursele de risc; b) consecinlele lor pozitive gi negative; c) plauzibilitatea cd aceste consecinle se pot produce; d) periodicitatea apariliei; e) orizontul de timp pentru care se estimeazd aparilia; 5/12

Managementul riscului gi elaborarea Registrului de riscuri

1) g) h) i) j) 5,5.
5.5.1 5.5.2 5.5.3 5.5.4

sfera de cuprindere; mijloacele existente de control, eficacitatea gi eficienja acestora; interdependenla dintre riscuri qi sursele acestora; nivelul de incredere la stabilirea nivelului de risc, incertitudinea, disponibilitatea, calitatea, cantitatea qi relevanla continud a informaliilor.

Evaluareariscului Scopul evaludrii riscurilor este de a stabili o ierarhie a riscurilor. Evaluarea riscurilor presupune evaluarea probabilitelii de materializare a riscurilor gi a impactului (consecinJelor) asupra obiectivelor in cazul in care acestea se materializeazd. Combina{ia dintre nivelul estimat al probabilitdlii qi nivelul estimat al impactului constituie expunerea la risc , inbaza cdreia se realizeazd profilul riscurilor. Probabilitatea producerii riscurilor se apreciazd pe o scard, dupd cum urmeazd:

5.5.5

- 2 puncte: riscul se poate manifesta in urmdtorii doi ani; Ridicatd 3 puncte: riscul se poate manifesta in urm[torul an. Incadrarea unei probabilitd{i in scala de evaluare depinde de natura riscului $i de atitudinea fald de risc. Pentru a stabili nivelul probabilitdtii se analizeazd, pentru o perioadd de timp
Medie
consideratd ca rezonabild, frecventa cu care s-au manifestat gi anticipdrile de manifestare pentru perioada urmdtoare. Estimarea impactului riscului se apreciazd pe o scard, dupd cum ullr'eazd'. a) Redus - 1 punct: riscul poate afecta parlial valorile obiectivului, sub 50%; b) Mediu-2 puncte: riscul poate afecta pa4ial valorile obiectirului, sttb 75Yo; c) Ridicat - 3 puncte: riscul poate determina neatingerea obiectii.ului; Profilul riscurilor se obline ca produs dintre punctajul atribuit probabilitdlii 9i punctajul atribuit impactului. Rezultatele se consemreazd in formularul Alerld la risc, cod PG-O1-F02In funclie de punctajul oblinut pentru profilul riscurilor se va stabili reaclia fald de risc, conform tabelului 1.
1.

a) b) - c)

Redusd

- 1 punct: riscul se poate manifesta in urmdtorii

trei ani;

5.5.6

5.5.7 5.5.8

Tabelul

Impactul
Redus

Mediu Ridicat

Redusi Ignorare :1 Ignorare : 2

Prudentd

Probabilitatea Medie Ignorare - 2 Prudenti : 4 Actiune 6

Ridicata Ignorare : 3 Actiune - 6 Actiune = 9

considerate riscuri

5.5.9 Riscurile pentru care s-au stabilit profilul ,,ac!iune" 9i ,,prudenjd" sunt
lnerente.

5.6.

Tratarea riscului 5.6.1 Opfiunile privind tratarea riscului nu se exclud neapdrat qi pot include: a) tratalea prin care se stabileqte aplicarea unor mdsuri pentru reducerea riscului (indepdrlarea sursei de risc, modificarea plauzibilitdjii, modificarea consecinJelor) la un nivel minim - risc rezidual; b) evitarea riscului prin luarea deciziei de a nu incepe sau de a nu continua cu activitatea care dd naqtere riscului; c) tolerarea, care presupune lipsa mdsurilor de diminuare a riscului, cu monitorizare periodicd pentru a se observa dacd riscul respectiv inregistreazd cregteri impofiante sau nivelul de expunere este acceptabil; d) transferul, prin care se are in vedere, dacd este posibil, preluarea riscului de cdtre cineva din afara universitdtii.

6t12

Managementul riscului gi elaborarea Registrului de riscuri

5.6.2 Opliunile de tratare pot fi aplicate separat sau in combinalie. 5.6.3 Riscul pentru care s-a stabilit profilul ,,ac!iune" va avea asociat, obligatoriu, acliuni 5.6.4 5.6.5 5.6.6 5.6.7 5.6.8
preventive de tratare sau transfer in vederea reducerii riscurilor qi acliuni de reaclie atunci cdnd apare manifestarea riscului. Tratarea riscurilor se face mai intAi asupra riscurilor inerente, iar dupd adoptarea mdsurilor de reducere, se determina nivelul riscului rezidual. Riscul pentru care s-a stabilit profilul ,,pruden!d" va fi tolerat sau transferat. Riscul pentru care s-a stabilit profilul ,,ignorare" nu va fi luat in considerare penfu tratare. Stabilirea unei limite de toleranld la risc presupune un echilibru intre ,,costul" de controlare al riscurilor qi ,,costul" (financiar qi/sau de altd natue) expunerii, in cazul in care aceasta ar deveni realitate. Modul in care vor fi implementate opliunile alese pentru tratarea riscurilor este prevbzut in formularul Alerld la risc, cod PG-01-F02 qi in Registrul riscurilor, formular cod PG-02 F01.

5.7. 5.7 .1

llonitorizareariscului Monitorizarea are ca scop evaluarea existen{ei gi funclionirii elementelor ce compr:n

managementul riscului, precum gi a performanlei acestuia in timp. se realizeazS. de cdtre conducdtorul structurii organizatorice in doud moduri: a) prin intermediul activitAlilor curente sau ca evaludri distincte separate; b) prin evaludri distincte.

5.7.2 Monitorizarea riscurilor

Monitorizarea prin intermediul activitdlilor curente sau in derulare este integratA in activitalile uzuale ale conducerii, fiind realizatd in timp real qi permite o reacjie dinamicd la schimbdrile condiliilor in care se desliqoard activitatea. 5.7.4 Monitorizarea prin evaluiri distincte se realizeazd. ulterior unui eveniment. 5.7.5 Frecvenla evaludrilor distincte este la latitudinea conducerii in func{ie de natura sau gradul schimbdrilor, precum qi de riscurile asociate acestora. 5.7.6 Prin monitorizare se urmare$te: a) asigurarea faptului ca mijloacele de control sunt eficace gi eficiente; b) oblinerea informaliilor suplimentare pentru imbunitdlirea evaludrii riscului; c) analizarea qi asimilarea lecliilor invdlate din evenimente (inclusiv succesele ratate),
5.7

.3

d) e)

schimbdrile, tendinfele, succesele qi nereuqitele; detectarea schimbdrilor produse in contextul extern qi intern, incluz6nd gi schimbdrile aduse criteriilor de risc gi riscului insugi care necesitd revizuirea modalitdlilor de tratare
a

5.7.7 5.7.8

riscului qi a prioritalilor; identificareariscuriloremergente. Monitorizarea are in vedere efectul pe care-l au m[surile asupra riscurilor, rezultatele se consemneazd in lormularul Fiqd de monitorizare a riscului, cod PG-01-F03. Dacd se constatd cd profilul riscului s-a modificat se va inregistra noul profil in Registrul riscurilor. formular cod PG-02 F01 .

5.8.

Inregistrarea procesului de management al riscului 5.8.1 Registrul riscurilor se completeazd, in fiecare structurd organizatoricd din USV, de cdtre
persoand desemnatd de conductorui structurii.

5.8.2 La nivelul USV se realizeazd centralizarea Registrului riscurilor de cdtre

desemnatd prin decizia Rectorului.

persoana

5.8.3 Registrul riscurilor cuprinde informalii referitoare 1a obiectivele stabilite pentru fiecare nivel ierarhic din cadrul universitdlii gi reprezintd materializarea in forma scrisd a analizei
factorilor de risc.

5.8.4 Riscurile identificate sau apArute la nivel de structurd organizatoricd, ulterior

iniliale, vor fi aduse la cunoqtinla Rectorului in maximum 24 de ore.

analizei

7112

Managementul riscului gi elaborarea Registrului de riscuri

6.

RESPONSABILITATI
Conducerea structurilor organizatorice are urmAtoarele responsabilitdli ti competenle: a) stabileqte obiectivele specifice pe care structurile organizatorice le au de indeplinit; b) defineqte un calendar qi o strategie adecvate pentru implementarea cadrului organizalional; c) aplicd politica qi procesul de managementul riscului in toate procesele existente in USV; d) numegte prin decizie o echipd care sd asigure elaborarea / modificarea qi gestionarea riscurilor; e) organizeazS, sesiuni de informare gi instruire a personalului propriu pentru gestionarea riscurilor cuprinse in Registrul riscurilor; f) comunicd qi se consultd cu pdrlile interesate; g) numegte prin decizie un responsabil care si asigure operarea in Registrul riscurilor propriu structurii organizatorice; h) stabileEte modul de tratare al riscurilor; i) se asigurd cd luarea deciziilor, inclusiv dezvoltarea qi stabilirea obiectivelor, este in acord cu rezultatele proceselor de managementul riscului; j) planifici monitorizarea riscurilor qi le monitorizeaza; k) se conformezA cerintelor legale gi de reglementare; l) asigurd transmiterea cltre persoana desemnatd la nivelul USV a datelor necesare pentru completarea Registrul riscurilor; m) prezintl Registrul riscurilor pentru contol, la cererea persoanelor desemnate cu astfel de funclii.

6.1

6.2

Prorectorul desemnat are urmdtoarele responsabilitdli $i competenle: a) stabileqte data pentu revizuirea anuald a riscurilor inerente identificate $i acceptate; b) aprobd acliunile pentru minimizarea riscurilor inerente; c) verificd anual modul in care se realizeazd revizuirea riscurilor inerente si actualizarea Registrului riscurilor la nivelul USV.
Responsabilul cu mentinerea Registrului de riscuri la nivelul structurii organizatorice are urmdtoarele responsabilitdli Si competenle: a) colecteazd formularele Alertd la riscuri, cod PG-01-F02 gi'FigA de monitorizare a riscului, cod PG-01-F03; b) consemneazd in Registrul riscurilor, formular cod PG-02 F01 datele din formularele

6.3

c)
d) . e)

PG-01-F02 qi PG-01-F03; transmite responsabilului cu mentinerea Registrului de riscuri la nivelul USV datele din Registrul propriu constituit inilial gi apoi dupd fiecare modificare apirutd; pdstreazi evidenla documentelor primite qi le arhiveazi; prezintd pentru control Registrul de riscuri.

6.4

Responsabilul cu men{inerea Registrului de riscuri la nivelul USV are urmdtoarele responsabilitili $i competenle: a) consemneazd in Registrul riscurilor, formular cod PG-02 F01 datele primite; b) pdstreazd evidenla documentelor primite qi le arhiveazd; c) prezintl pentru control Registrul de riscuri.
Responsabilul cu situafii de urgenfi are urmdtoarele responsabilit5li Si competenle: a) stabilegte structurile organizatorice pentru evaluarea riscului de arson; b) aplicd procedura de arson conform legislaliei in vigoare; c) transmite structurilor organizatorice rezultatele evaluirilor pentru riscul de arson; d) elaboreazd planul de mdsuri pentru evitarea / reducerea riscurilor de arson.
8112

6.5

Managementul riscului qi elaborarea Registrului de riscuri

6.4

Responsabilul cu securitatea Ei sdnitatea

a) b) c) d)

in muncl are urmdtoarele responsabilitili gi competenle stabileqte posturile qi funcliile in vederea evaludrii riscurilor referitoare la SSM; aplicd procedurile proprii confotm legislaliei in vigoare; transmite structurilor organizatorice rezultatele evaludrilor; elaboreazd planul de mdsuri pentru evitarea./ reducerea riscurilor de SSM.

7. DISPOZITTT FTNALE

7.1
7

.2

Aprobarea modificdrii prezentei proceduri este de competenta Biroului Senatului universitar. Prezenta procedurd intrd in vigoare din momentul aprobirii in Biroul Senatului USV.

8.

ANEXE
Cod PG-02 FOl PG-01 F02 PG-01 F03

Lista anexelor care insolesc aceasti procedurd este redata dupd cum utmeazd:

Denumire Anexa 1 Registrul riscurilor Anexa 2 Alertd la risc Anexa 3 Fisd de monitorizare a riscului

9lt2

r>>t

r,

E:
6
E

-6

A.-! REN

!.= =i'a
E

tr L L :36

s:6
64:;

N O

q,

o!

= E.xL.2
)cC

g.!
F

o o
N -,90

(D

bo

t--,1

Anexa 2

Alerti la risc
Fiqa nr.

Denumire structurd orsanizatorici Descriere risc identificat

Circumstanlele care favorizeazd aparilia riscului Descriere impact

EVALUARE RISC INERENT

Impact
Redus

2 Mediu 2 3 Ridicat 3 DESCRIEREA ACTIUNI PREVENTIVE DE TRATARE A RISCULUI

Probabilitatea Redusd Medie Ridicatd

Expunere
1

Profil risc Ignorare Prudenti Actlune

INSTRUMENTE DE CONTROL

Resoonsabilul cu sestionarea riscului Termenul de punere in operd

DESCRIEREA RJSCURILOR SECUNDARE

Numele si prenumele
Elaborat

Functia

Data

Semndtura

Verifrcat AvizaI

11/12

Anexa 3

Fisi de monitorizare a riscului

Figa nr.

Denumire structurd organizatoric[ Descriere risc monitorizat

Responsabilul cu gestionarea

riscului
Perioada monitorizarii

Acliuni propuse inilial

Efectul acliunilor propuse

REEVALUARE RISC
Impact
Redus I

2 Mediu Ridicat 3 Ridicat[ Acliuni de coreclie propuse

Probabilitatea Redusd Medie

Expunere
1

Profil risc
Ignorare Prudentd Ac!iune

2
3

Numele si prenumele
Elaborat

Functia

Data

Semndtura

Verificat
Avrzat

12t1.2