Riscul reprezint probabilitatea unei pierderi i depinde de trei elemente: pericol

potenial, vulnerabilitate i gradul de expunere, vulnerabilitatea fiind definit ca

susceptibilitatea unui sistem de a suferi pierderi n condiii de expunere la presiunea
schimbrilor, interne sau externe.
Diferena specific dintre risc i vulnerabilitate decurge din faptul c:
- riscul se refer la ameninri (origini/cauze), caracteriznd consecinele manifestrii
acestora (pierderile, pagubele, suferinele), percepia asupra importanei consecinelor i
probabilitatea de manifestare a ameninrilor;
n timp ce:
- vulnerabilitatea se refer la subiectul/subiecii expunerii la manifestarea ameninrilor,
caracteriznd tipul i nivelul de susceptibilitate, reacia la stres a subiectului de a suporta
expunerea la manifestarea ameninrilor.

Evaluarea riscurilor ofer factorilor de decizie, furniznd prilor responsabile o nelegere

superioar a riscurilor care ar putea afecta realizarea obiectivelor i acurateea i eficiena
mijloacelor de control deja implementate, asigurnd o baz a deciziilor privind abordarea optim
pentru tratarea riscurilor. Rezultatul evalurii riscurilor este o contribuie la procesele decizionale
ale organizaiei.
Evaluarea riscurilor este procesul general de identificare, analiz, evaluare i tratare a
riscurilor (figura 1). Maniera n care acest proces este aplicat nu depinde nu numai de contextul
procesului de management al riscurilor, ci i de metodele i tehnicile utilizate pentru efectuarea
evalurii riscurilor.

Figura 1. Contribuia evalurii riscurilor la procesul de management al riscurilor1

Procesul de identificare a riscurilor include identificarea cauzelor i surselor riscului (pericole n
contextul unor posibile vtmri corporale), a evenimentelor, situaiilor sau mprejurrilor care ar
putea avea un impact material asupra obiectivelor i naturii acestui impact.
1 Managementul riscului.Tehnici de evaluare a riscului. ISO SR EN 31010, CEI/ISO 31010, ASOCIAIA DE STANDARDIZARE DIN
ROMNIA (ASRO), Martie 2011
 Metodele de identificare a riscurilor pot include:
metode documentate, de exemplu liste de verificare i examinare a datelor istorice.
abordri sistematice n echip, n care echipa de experi urmeaz un proces sistematic de
identificare a riscurilor prin intermediul unui set structurat de ntrebri.
tehnici de raionament inductiv precum HAZOP.

Procesul de evaluare a riscurilor

Instrumente i tehnici Analiza riscurilor
Identificare Consecin Probabilitat Nivel Estimare
a riscurilor e de risc risc
Brainstorming SA1 NA2 NA NA NA
Interviuri structurate sau SA NA NA NA NA
semistructurate
Delphi SA NA NA NA NA
Liste de verificare SA NA NA NA NA
Analiza preliminar a SA NA NA NA NA
pericolelor
Studii ale pericolelor i SA SA A3 A A
operabiliti (HAZOP)
Analiza pericolelor i SA SA NA NA SA
puncte critice de control
(HACCP)
Evaluarea riscurilor de SA SA SA SA SA
mediu
Structura Ce s-ar ntmpla SA SA SA SA SA
dac...?
(What if) (SWIFT)
Analiza scenariilor SA SA A A A
Analiza impactului asupra A SA A A A
afacerilor
Analiza cauzei de baz NA SA SA SA SA
Analiza efectelor modurilor SA SA SA SA SA
de defectare
Analiza arborelui de A NA SA A A
defecte
Analiza arborelui de A SA A A NA
evenimente
Analiza cauzelor i A SA SA A A
consecinelor
Analiza cauz-efect SA SA NA NA NA
Analiza proteciei pe A SA A A NA
niveluri (Layer protection
analysis/LOPA)
Arbore de decizii NA SA SA A A
Analiza nivelului de SA SA SA SA A
ncredere n resursele
umane
Bow tie analysis NA A SA SA A
ntreinere bazat pe SA SA SA SA SA
fiabilitate
Analiza circuitelor ascunse A NA NA NA NA
Analiza Marcov A SA NA NA NA
Simulare Monte Carlo NA SA NA NA SA
Statistici Bayes i reele NA SA NA NA SA
Bayes
Curbele FN A SA SA A SA
Indici de risc A SA SA A SA
Matricea SA SA SA SA A
consecin/probabilitate
Analiza cost/beneficiu A SA A A A
Analiza deciziilor pe baza A SA A SA A
criteriilor multiple (MCDA)
1 Foarte aplicabil. 2 Inaplicabil 3 Aplicabil
Tabelul 1 Aplicabilitatea instrumentelor utilizate pentru evaluarea riscurilor

n procesul de analiz a riscului se disting dou mari categorii:

Analiza calitativ a riscului
Analiza cantitativ a riscului

Rezultatele analizei calitative a riscului sunt mai puin exacte, ele avnd mai mult un caracter
orientativ dect unul precis. Dac nu sunt satisfctoare aceste rezultate, managementul riscului
pune la dispoziie i analiza cantitativ care prezint rezultate n form cifric ca urmare a
calculelor fcute.2

Analiza calitativ a riscului

Analiza calitativ a riscului este procesul de realizare a unei evaluri de natur calitativ a
riscurilor identificate ale procesului. Acest proces stabilete o prioritate a riscurilor, n funcie de
efectul lor potenial asupra obiectivelor procesului. Analiza calitativ a riscului este i o
modalitate de determinare a importanei riscurilor identificate i un ghid pentru msurile de
rspuns la risc. Analiza calitativ a riscului necesit estimarea probabilitii i a impactului
riscului, utiliznd metode i tehnici de analiz calitativ. Procesul de analiz calitativ a riscului
trebuie reluat pe parcursul ciclului de via al procesului, pentru a reflecta schimbrile intervenite
n proces i schimbrile riscului procesului. Rezultatele acestui proces pot conduce la o analiz
cantitativ a riscului sau direct la planificarea rspunsului la risc.
Pentru procesul de analiz calitativ a riscului, a crui schem este reprezentat n Figura 2, se
vor detalia n continuare intrrile n proces, mijloacele i tehnicile aplicabile acestui proces,
precum i ieirile din acest proces.
Intrri n analiza calitativ a riscului:
Planul managementului riscului.
Riscurile identificate. Riscurile descoperite n cadrul procesului de identificare sunt evaluate
din punct de vedere al probabilitii de apariie i al impactului produs asupra procesului.
Stadiul procesului. Incertitudinea asociat unui risc depinde de evoluia i stadiul procesului.
Astfel, la nceputul procesului, multe riscuri nu apar, ele aprnd pe msur ce procesul
evolueaz.

2 Coea Mircea, Nastovici Luminia Evaluarea riscurilor Metode i tehnici de analiz, Editura Lux Libris,
Braov,1999
INTRRI MIJLOACE I TEHNICI IEIRI
1. Planul 2managementului
Figura Procesul de analiz calitativ a riscului
1. Probabilitatea i procesului 1. Clasificarea general
riscului impactul
Tipul procesului. Procesele de acelai tip riscului
sau cele care se repet tind s aib procesului
a riscului riscuri mai reduse.
2. Riscurile identificate
Procesele care utilizeaz tehnologii noi sau cele de mare complexitate tind s aib riscuri mult
2. Matricea scorului 2. Lista riscurilor
mai ridicate.
3. Stadiul procesului
riscului
Precizia
4. Tipul datelor.
procesului Precizia descrie gradul n care riscul este cunoscutprioritare
i neles. Ea msoar
3. Testarea ipotezelor
gradul dedatelor
5. Precizia disponibilitate a datelor. n acest sens, trebuie evaluat3.sursa Lista datelor
riscurilorcare au fost
utilizate pentru identificarea procesului
riscului.
6. Scala de probabilitate pentru analize
Scala de probabilitate i de 4. Clasificarea
impact. Aceste preciziei
scale sunt utilizate pentru evaluarea celor dou
i impact suplimentare i
dimensiuni cheie ale riscului: probabilitatea
datelor de apariie i impactul, adic consecinele asupra
procesului generate de apariia riscului respectiv. management
Ieiri din analiza calitativ a riscului
1. Clasificarea general a riscului procesului. Clasificarea riscului poate indica poziia
procesului fa de alte procese prin compararea scorurilor riscurilor. Ea poate fi utilizat pentru a
aloca personal sau alte resurse unor procese cu diferite clasificri ale riscului, pentru a face
analize cost beneficiu pentru proces sau chiar pentru a justifica recomandarea pentru anularea
unui proces.
2. Lista riscurilor prioritare. Riscurile pot fi ierarhizate dup scorul de impact de care aparin
(ridicat, moderat, sczut), pn la cel mai detaliat nivel din structura activitilor procesului.
Riscurile pot fi grupate, de asemenea, dup modul n care necesit un rspuns imediat sau un
rspuns ulterior. Riscurile referitoare la costuri, program, funcionalitate sau calitate pot fi
evaluate separat, cu diferite metode de clasificare. Totodat, riscurile semnificative trebuie s fie
descrise pe baza probabilitii i a impactului cu care au fost evaluate.
3. Lista riscurilor pentru analize suplimentare i management. Riscurile clasificate ca fiind
ridicate i moderate sunt primele candidate pentru analiza cantitativ i pentru aciuni de
managementul riscului.

Analiza cantitativa a riscului

Analiza cantitativ a riscului este procesul prin care se urmrete evaluarea numeric a
probabilitii i impactului fiecrui risc asupra obiectivelor procesului, precum i influena asupra
riscului general al procesului. Acest proces utilizeaz tehnici cantitative, cum ar fi simularea
Monte Carlo3, analiza de senzitivitate i metoda arborilor de decizie, pentru:
Determinarea probabilitii de a nu atinge obiective specifice ale procesului;
Cuantificarea expunerii la risc a procesului i determinarea mrimii rezervelor
neprevzute pentru costuri i pentru program care ar putea fi necesare;
Identificarea riscurilor care implic o atenie mai mare, prin cuantificarea contribuiei lor
relative la riscul general al procesului;
Identificarea realist a costurilor, programului i obiectivelor care pot fi realizate.

3 Simularea Monte Carlo Tehnic statistic utilizat n modelarea sistemelor probabilistice i

determinarea probabilitilor unei varieti de rezultate
 Procesul de analiz cantitativ a riscului urmeaz n fluxul grupului de procese pentru
managementul riscului dup procesele de identificare i de analiz calitativ a riscului.
Procesele de analiz calitativ i cantitativ a riscului pot fi realizate separat sau mpreun.
Pentru procesul de analiz cantitativ a riscului, a crui schem este reprezentat n Figura 6, se
vor detalia n continuare intrrile n proces, mijloacele i tehnicile aplicabile acestui proces,
precum i ieirile din acest proces.

Intrri n analiza cantitativ a riscului

1. Planul managementului riscului.

2. Riscurile identificate. Sunt ieiri din procesul de identificare a riscului.
3. Lista riscurilor prioritare. Este o rezultant a procesului de analiz calitativ a riscului.
4. Lista riscurilor pentru analize suplimentare i management. De asemenea, este o ieire din
proces de analiz calitativ a riscului.
5. Informaii istorice. Sunt informaii provenite de la procese anterioare similare, studii
referitoare la riscurile proceselor, baze de date despre risc etc.
6. Evalurile experilor. Datele de intrare n analiza cantitativ a riscului pot s provin de la
echipa de proces sau de la experi n domeniu din cadrul organizaiei sau din afara acesteia.
7. Alte ieiri din planificarea procesului. Cele mai utile ieiri din celelalte procese de
planificare a procesului sunt estimrile duratelor activitilor,structura activitilor procesului,
costurile estimate pentru aceste activiti,precum i obiectivele tehnice ale procesului.

INTRRI MIJLOACE I IEIRI

TEHNICI
1. Planul managementului 1. Lista riscurilor
1. Interviul
riscului prioritare cuantificate
2. Analiza de
2. Riscurile identificate 2. Analiza probabilist
senzitivitate
3-4. Lista riscurilor a procesului
3. Analiza arborilor de
prioritare i pentru 3. Probabilitatea de a
decizie
analize suplimentare atinge obiectivele de
4. Simularea
i management cost i de timp ale
5. Informaii istorice procesului
6. Evalurile experilor
7. Alte ieiri din
planificarea procesului
 Figura 3. Procesul de analiz cantitativ a riscului procesului

Ieiri din analiza cantitativ a riscului

1. Lista riscurilor prioritare cuantificate. Aceast list include riscurile care constituie cea mai
mare ameninare pentru proces, sau care ofer cea mai mare oportunitate, mpreun cu o msur
a impactului lor.
2. Analiza probabilist a procesului. Aceast analiz face o predicie asupra programului i
costurilor procesului, furniznd intervale de ncredere.
3. Probabilitatea de a atinge obiectivele de cost i de timp ale procesului. n urma analizei
cantitative a riscului, poate fi estimat probabilitatea de a atinge obiectivele de cost i de timp ale
procesului, n condiiile riscurilor actuale.

Clasificarea riscurilor

Pericole i ameninri cosmice i climatice

n categoria ameninri cosmice intra intensificarea radiaiei solare i a celei cosmice, n
conditiile n care puterea de reacie i de absorbie a ionosferei scade semnificativ, ct i
furtunile solare;
Pericolele i ameninrile climatice sunt mult mai frecvente i numeroase dect cele
cosmice, afectnd aproape toate structurile fizice critice i crend probleme grave n ntreaga
lume.
Acestea au o gam foarte larg , cu evoluii brute, haotice i imprevizibile. Pericolele pot
fi clasificate n :
Naturale :
- uragane, furtuni i alte fenomene meteorologice;
- precipitaii masive, n special ploi i gridin;
- cderi masive de zpad;
- inundaii i revrsari de ape;
- cutremure;
- surpari de teren.
Artificiale :
- producerea de ploi artificiale;
- incendierea pdurilor;
- terorismul meteorologic;
- alunecri de teren datorate defririlor excesive.

Pericole i ameninri rezultate din activitile oamnenilor

Aceste tipuri de pericole i ameninri pot fi ncadrate n dou mari categorii:
- intrinseci activitii omeneti;
- ca mijloace neconvenionale de confruntare.
 Pericolele intrinseci activitii omeneti pot fi:
1. De sistem, generate de sistemele de infrastructuri sau de sistemele din care acestea fac parte.
Aceste tipuri de ameninri sunt foarte numeroase i greu de evitat, ntruct unele sunt fireti, iar
altele imprevizibile. Printre cele mai importante se numr: mbtrnirea sau degradarea
infrastructurii, apariia brusc a unor disfuncionaliti n sistem, efectul de bumerang;
2. De proces, fiind cele mai complexe i cu efectele cele mai mari, rezultnd din schimbrile n
desfurarea unor activiti ca urmare a aciunii a numeroi factori perturbatori.
3. De dinamic, prin variaii brute n funcionarea i comportamentul sistemelor i n desfurarea
proceselor.

Pericole i ameninri venite din spaiul virtual.

Aceastea vizeaz n general reelele, nodurile de reea i centrele vitale, categorie n care
intra echipamentele i sistemele fizice ale acestora (staii de baz, antene, calculatoarea,
conexiuni i noduri de reea), dar i infrastructurile care adpostesc astfel de mijloace (shelter,
reele de energie electric, fibr optic, cabluri ethernet).
n aceasta categorie intr : atacurile tot mai intense ale hacker-ilor, viruii din ce n ce mai
greu de detectat.

Matricea de risc matrice de evaluare : pe abscisa se trec clasele consecintelor unui accident posibil,
iar pe ordonata se trec clasele de probabilitate.
La stabilirea claselor de consecinte se iau in considerare: natura pericolului si tintele (receptorii) care pot
fi afectati. La stabilirea claselor de probabilitate sunt utilizate date statistice si informatii referitoare la
accidentele si incidentele similare.