Ghid pentru realizarea unei metodologii de analiză a riscului

05.09.2014 | MANAGEMENT & CALITATE | Mihai Gheorghe

Acest ghid oferă indicaţii pentru realizarea unei metodologii în vederea gestionării riscurilor de securitate a
informaţiei. Metodologia aleasă se bazează pe determinarea incertitudinii de realizare a obiectivelor, a
ameninţărilor ce pot exploata vulnerabilităţile organizaţiei în raport cu aceste obiective.

DESCRIERE
Metodologia descrisă se bazează pe identificarea efectului incertitudinii asupra atingerii obiectivelor.
Astfel, metoda aleasă pentru calculul nivelului de risc este: Risc = Probabilitate x 10 x Impact.

Probabilitatea va avea valori între 0 şi 100%, iar impactul între 0 şi 5, conform tabelului de mai jos:

Probabilitate de apariţie
Tip impact Numărapariţii/an Punctaj
Foarteridicat [....] (80%-100%] = prezenţă extrem de probabilă
Ridicat (60%-80%] = prezenţă foarte probabilă

Medie (40%-60%]= prezenţă probabilă

Redus (20%-40%]= prezenţă puţin probabilă

Foarte redus (0%-20%]= prezenţă neglijabilă

Impact
Tip impact Valoare impact / lei Punctaj
Foarte ridicat [........] 5 = impact major
Ridicat 4 =impact considerabil

Mediu 3 = impact moderat

Redus 2 = impact minor

Foarte redus 1 = impact neglijabil

Întrucât produsul maxim poate avea valoarea 50, pentru nivelul de risc se defineşte valoarea 20 ca fiind
valoarea pragului de risc acceptat. Orice risc sub această valoare este asumat de organizaţie.
Riscurile identificate cu valori între (20,50] nu sunt acceptate şi trebuie tratate pentru a fi reduse sub
valoarea pragului de risc acceptat, prin aplicarea sistematică a măsurilor de securitate. CSI informează
conducerea dacă, totuşi, nivelul de risc rămâne peste valoarea de prag stabilită, chiar şi după aplicarea
măsurilor de securitate.Riscurile care depăşesc valoarea de 20 se pot asuma de către conducere sau se
încearcă transferarea lor prin încheierea unei poliţe de asigurare sau prin luarea unor măsuri de evitare a
lor.
Pentru noile riscuri ce vor fi identificate şi introduse ulterior în analiza de risc se va folosi, întotdeauna,
aceeaşi formulă de calcul pentru a se asigura obţinerea de rezultate comparabile şi care pot fi reproduse.
Pentru aceasta, se va ţine seama de încadrarea cea mai bună a probabilităţii de apariţie şi a impactului, în
funcţie de nivelurile definite mai sus.
Se va ţine seama de riscurile specifice zone igeografice în care se afla organizaţia, dar şi de datele
statistice furnizate de diverse instituţii specializate.

Elemente lămuritoare cu privire la identificarea riscurilor

La identificarea riscurilor din cadrul organizaţiei se va ţine cont de următoarele aspecte:

 Riscurile trebuie identificate la orice nivel unde se sesizează că există consecinţe asupra atingerii
obiectivelor şi pot fi luate măsuri specifice de soluţionare a problemelor ridicate de respectivele riscuri.
 Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a căror realizare este afectată
de materializarea lor. Din această cauză, existenţa unui sistem de obiective clar definite în organizaţie
constituie premisa esenţială pentru identificarea şi definirea riscurilor.
 Riscul este o incertitudine şi nu ceva sigur. Prin urmare, atunci când este identificat, ,,riscul” trebuie
analizat dacă nu este vorba despre o situaţie existentă, care are un impact asupra obiectivului. De
cele mai multe ori, situaţia existentă reprezintă un risc materializat, adică unul care s-a produs. În
niciunul din cazurile de mai sus nu mai este vorba despre un risc, ci despre o problemă dificilă, care
trebuie gestionată sau despre o oportunitate care trebuie exploatată. Nu constituie riscuri probleme
(situaţii, evenimente) care nu pot apărea. Riscurile sunt probleme care pot apărea şi nu probleme
(situaţii, evenimente) a căror apariţie este imposibilă.
 Nu constituie risc o problemă care va apărea cu siguranţă. Acestea nu sunt riscuri, ci certitudini.
 Riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul nu este risc, ci consecinţa
materializării riscurilor asupra realizării obiectivelor. Impactul este un efect ce îşi are orginea în risc şi
nu riscul însuşi. Riscurile sunt situaţii, evenimente probabile, care, dacă s-ar materializa, ar avea
consecinţe asupra obiectivelor.
 Nu se identifică riscuri care nu afectează obiectivele. Nu există riscuri în mod absolut, ci numai riscuri
corelate cu obiectivele.
 Identificarea riscurilor nu este un scop în sine.

Scopul identificării riscurilor este tocmai inventarierea acelor probleme care ar putea conduce la
nerealizarea obiectivelor, dacă s-ar materializa (ar deveni situaţii de fapt).

ELEMENTE LĂMURITOARE CU PRIVIRE LA EVALUAREA RISCURILOR

La evaluarea riscurilor se va ţine cont de următoarele aspecte:

 Evaluarea riscurilor presupune evaluarea probabilităţii de materializare a riscurilor şi a impactului

(consecinţelor) asupra obiectivelor, în cazul în care acestea se materializează. Combinaţia dintre
nivelul estimat al probabilităţii şi nivelul estimat al impactului constituie expunerea la risc, în baza
căreia se realizează profilul riscurilor.
 Se calculează riscul (prima iteraţie) pe baza formulei de mai sus şi a tabelului pentru determinarea
probabilităţii şi a impactului şi va rezulta un nivel de risc cu valoare între 0 şi 50.
 Se stabileşte, împreună cu conducerea, nivelul de prag pentru ca riscul minim acceptat să aibă
valoarea 20. Orice risc ce depăşeşte această valoare trebuie tratat prin aplicarea unor măsuri de
securitate, de transfer sau de asumare (în cazul în care primele două metode de tratare sunt
considerate ca fiind costisitoare).
 Se stabilesc aspectele cele mai expuse (nivelul de risc cel mai ridicat). Aceste zone vor fi tratate
primele. Pentru aceasta se elaborează ,,Planul de tratare a riscului”, care constă în alegerea
măsurilor adecvate pentru reducerea riscului la un nivel acceptabil, identificarea deţinătorilor de
resurse, termene de timp privind implementarea măsurilor şi resursele necesare. În,,Planul de tratare
 a riscului” are loc a doua iteraţie, riscul calculat acum fiind cel estimat ca real după aplicarea măsurilor
de securitate.
 Responsabilii pentru atingerea obiectivelor sunt înştiinţaţi asupra riscurilor identificate, dar, mai ales,
asupra celor reziduale.

NOTĂ: Trebuie precizat faptul că, încă din etapa de Planificare a SMSI, se stabilesc şi măsurile de
securitate ce vor fi luate pentru reducerea riscurilor (aplicarea efectivă a măsurilor se va face în etapa de
Implementare a SMSI). Tot în faza de planificare se vor estima şi riscurile reziduale ce rămân în urma
aplicării măsurilor selectate.
Toate riscurile reziduale se vor conştientiza şi accepta de către conducere. Dovada acceptării o poate
constitui semnătura managementului de vârf pe planul de analiză şi de tratare a riscurilor.

ÎNREGISTRĂRI APLICABILE
Formular – Analiza riscului şi plan de tratare a riscului, cod:………
Analiza riscului şi planul de tratare a riscului (partea I)
Obiectiv Tipul de Ameninţarea Vulnerabilitatea Probabilitatea Impactul Riscul calculat
risc (Input) (Input)

Analiza riscului ş iplanul de tratare a riscului (partea II)

Plan de tratare: Plan de tratare: Plan de tratare: Plan de PLAN
Măsurile de Termen de Eficacitatea tratare: Riscul TRATARE: Observaţii
securitate propuse implemente/ măsurilor (Input) residual
responsabili/resurse propus

În ediţiile viitoare ale revistei vom prezenta alte elemente privind managementul riscurilor în cadrul unui
sistem de management.
Gestionarea riscurilor într-un sistem de management
27.06.2011 | MANAGEMENT & CALITATE | Mihai Gheorghe

În acest articol ne propunem să prezentăm un cadru general unitar de identificare, analiză bşi gestionare a
riscurilor la nivelul tuturor compartimentelor unei organizaţii. Metodologia prezentată permite
managementului şi personalului organizaţiei să identifice elementele de nesiguranţă privind atingerea
obiectivelor stabilite (atât a celor generale cât şi a celor specifice) şi riscul asociat acestora (deciderea
acţiunilor care să îl limiteze sau să îl înlăture).
1. Definiţii aplicabile

Risc - O problemă (situaţie, eveniment etc.) care nu a apărut încă, dar care poate apărea în viitor, caz în
care obţinerea rezultatelor prealabil fixate este ameninţată sau potenţată. În prima situaţie, riscul
reprezintă o ameninţare, iar în cea de-a doua, riscul reprezintă o oportunitate. Riscul reprezintă
incertitudinea în obţinerea rezultatelor dorite şi trebuie privit ca o combinaţie între probabilitate şi impact.
Probabilitatea de materializare a riscului - Posibilitatea sau eventualitatea ca un risc să se
materializeze.
Impactul - Reprezintă consecinţa (efectul) asupra rezultatelor (obiectivelor), dacă riscul s-ar materializa.
Dacă riscul este o ameninţare, consecinţa asupra rezultatelor este negativă, iar dacă riscul este o
oportunitate, consecinţa este pozitivă.
Expunere la risc - Consecinţele, ca o combinaţie de probabilitate şi impact, pe care le poate resimţi o
organizaţie în raport cu obiectivele prestabilite, în cazul în care riscul se materializează. Se defineşte ca
produsul dintre probabilitate şi impact.
Materializarea riscului - Translatarea riscului din domeniul incertitudinii (posibilului) în cel al certitudinii (al
faptului împlinit). Riscul materializat se transformă dintr-o problemă posibilă într-o problem dificilă, dacă
riscul reprezintă o ameninţare, sau într-o situaţie favorabilă, dacă riscul reprezintă o oportunitate.
Atenuarea riscului - Măsurile întreprinse pentru diminuarea probabilităţii (posibilităţii) de apariţie a riscului
sau/şi de diminuare a consecinţelor (impactului) asupra rezultatelor (obiectivelor) dacă riscul s-ar
materializa. Mai concis, atenuarea riscului reprezintă diminuarea expunerii la risc, dacă acesta este o
ameninţare.
Evaluarea riscului - Evaluarea consecinţelor materializării riscului, în combinaţie cu evaluarea
probabilităţii de materializare a riscului. Mai concis, evaluarea riscului reprezintă evaluarea expunerii la
risc.
Strategia de risc - Abordarea generală pe care o are organizaţia în privinţa riscurilor. Ea trebuie să fie
documentată şi uşor accesibilă în organizaţie. În cadrul strategiei de risc se defineşte toleranţa la risc.
Toleranţa la risc - ,,Cantitatea” de risc pe care o organizaţie este pregătită să o tolereze sau la care este
dispusă să se expună la un moment dat.
Risc inerent - Expunerea la un anumit risc, înainte să fie luată vreo măsură de atenuare a lui.
Risc rezidual - Expunerea cauzată de un anumit risc după ce au fost luate măsuri de atenuare a lui.
Măsurile de atenuare a riscurilor aparţin controlului intern. Din această cauză riscul rezidual este o măsură
a eficacităţii controlului intern, fapt pentru care unele ţări au înlocuit termenul de risc rezidual cu cel de risc
de control.
Gestionarea riscurilor sau managementul riscurilor – Toate procesele privind identificarea, evaluarea
şi aprecierea riscurilor, stabilirea responsabilităţilor, luarea de măsuri de atenuare sau anticipare a
acestora, revizuirea periodică şi monitorizarea progresului.
Managementul riscului - metodologie care vizează asigurarea unui control global al riscului, ce permite
menţinerea unui nivel acceptabil al expunerii la risc pentru entitate, cu costuri minime.
Proces - ansamblul de activităţi corelate sau interactive care transformă elementele de intrare în elemente
de ieşire;
Registrul de riscuri - reprezintă instrumental de lucru, care cuprinde, sub forma unui tabel, elementele
necesare gestionării eficiente a riscurilor;
Responsabil de risc - persoana (conducătorul unei structuri) din cadrul organizaţiei, desemnată să
gestioneze riscurile existente, corespunzător nivelului ierarhic al acesteia, în scopul atingerii obiectivelor
cărora le sunt asociate respectivele riscuri.

2. Prescurtări
CGR: Comisia de gestionare a riscurilor;
Elemente generale cu privire la identificarea riscurilor
Riscurile trebuie identificate la orice nivel unde se sesizează că există consecinţe asupra atingerii
obiectivelor şi pot fi luate măsuri specifice de soluţionare a problemelor, ridicate de respectivele riscuri.
Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a căror realizare este afectată de
materializarea lor. Din această cauză existenţa unui sistem de obiective clar definite în organizaţie
constituie premisa esenţială pentru identificarea şi definirea riscurilor.
Riscul este o incertitudine, şi nu ceva sigur. Prin urmare, atunci când se identifică un ,,risc” trebuie
analizat dacă nu este vorba despre o situaţie existentă, care are un impact asupra obiectivului. De cele
mai multe ori, situaţia existentă reprezintă un risc materializat, adica unul care s-a produs. În niciunul din
cazurile de mai sus nu mai este vorba despre un risc, ci despre o problemă dificilă, care trebuie
gestionată sau despre o oportunitate care trebuie exploatată.
Nu constituie riscuri, probleme (situaţii, evenimente) care nu pot apărea.
Riscurile sunt probleme care pot apărea şi nu problem (situaţii, evenimente) a căror apariţie este
imposibilă.

Nu constituie risc o problemă care va apărea cu siguranţă.

Acestea nu sunt riscuri, ci certitudini.

Riscurile nu trebuie definite prin impactul lor asupra obiectivelor.Impactul nu este risc, ci consecinţa
materializării riscurilor asupra realizării obiectivelor. Impactul este un efect ce îşi are sorgintea în risc şi nu
riscul însăşi. Riscurile sunt situaţii, evenimente probabile, care dacă s-ar materializa ar avea consecinţe
asupra obiectivelor.

Nu se identifica riscuri care nu afectează obiectivele. Nu există riscuri în mod absolut, ci numai riscuri
corelate cu obiectivele. Identificarea riscurilor nu este un scop în sine. Scopul identificării riscurilor este
tocmai inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, dacă s-ar
materializa (ar deveni situaţii de fapt).

3. Elemente lamuritoare cu privire la evaluarea riscurilor

Evaluarea riscurilor presupune evaluarea probabilităţii de materializare a riscurilor şi a impactului
(consecinţelor) asupra obiectivelor în cazul în care acestea se materializează.
Combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului constituie expunerea la risc,
în baza căreia se realizează profilul riscurilor.
Evaluarea riscurilor, constă în parcurgerea următoarelor etape:
a. evaluarea probabilităţii de materializare a riscului identificat
Presupune determinarea şanselor de apariţie a unui rezultat specific.
În cazul în care se dispune de o cazuistică, se evaluează probabilitatea prin metoda clasică (evenimente
elementare favorabile/total evenimente posibile).
În cazul riscurilor care nu s-au materializat în trecut, dar care se pot materializa în viitor se va aplica
metoda analizei circumstanţelor.
Riscurile au o cauză şi un efect, iar cauza reprezintă o situaţie care există (circumstanţă) şi care
favorizează apariţia riscului. Cunoaşterea acestor circumstanţe este determinantă pentru evaluarea
probabilităţii. Atunci când se recurge la metoda analizei circumstanţelor, domeniul în care funcţia de
probabilitate ia valori se poate înlocui cu o scală de valoare.
Cifrele de 35% sau 65% nu au semnificaţia unor praguri de la care probabilitatea poate fi considerată ca
fiind medie sau ridicată încadrarea unei probabilităţi în scala de evaluare depinde de natura riscului şi de
atitudinea faţă de risc şi în nici un caz de anumite praguri.
Prin introducerea acestei scale, în urma analizei circumstanţelor, rămâne să apreciem dacă posibilitatea
de materializare a riscului este scăzută, medie sau ridicată.
b. evaluarea impactului asupra obiectivelor în cazul în care riscul s-ar materializa;
Rezultatele evaluărilor calitative şi cantitative ale impactului riscurilor trebuie transpuse în scale
calitative, care să reflecte importanţa percepută în raport cu obiectivele.

c. evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact.

Expunerea la risc reprezintă consecinţele, ca o combinaţie de probabilitate şi impact, pe care le poate
resimţi organizaţia în raport cu obiectivele prestabilite în cazul în care riscul s-ar materializa. Expunerea la
risc este un concept probabilistic, deoarece exprimă o combinaţie între probabilitate şi impact.
Ca urmare, ea are semnificaţie numai înaintea producerii riscului. După apariţie riscul nu mai este o
incertitudine, ci devine un fapt împlinit.
Scala de evaluare a expunerii la risc nu mai este unidimensională, ca în cazul probabilităţii sau impactului,
ci una bidimensională (de tip matricial). Liniile matricei descriu variaţia probabilităţii, iar coloanele variaţia
impactului.
Expunerea la risc apare la intersecţia liniilor cu coloanele.

E = expunerea la risc
X = probabilitatea
Y = impactul

Din raţiuni de a pune mai bine în evidenţă ierarhia, scalele calitative sunt transformate în scale numerice.
Riscul inerent şi riscul rezidual sunt două ipostaze ale aceluiaşi risc: înainte de introducerea unui
instrument de control intern şi, respectiv, după introducerea unui instrument de control intern.
Erisc inerent > Erisc rezidual (continuare numărul viitor)
Gestionarea riscurilor într-un sistem de management (II)
25.08.2011 | MANAGEMENT & CALITATE | Mihai Gheorghe

În continuare ne propunem să prezentăm un cadru general unitar de identificare, analiză şi

gestionare a riscurilor la nivelul tuturor compartimentelor unei organizaţii. Metodologia prezentată
permite managementului şi personalului organizaţiei să identifice elementele de nesiguranţă
privind atingerea obiectivelor stabilite (atât a celor generale cât şi a celor specifice) şi riscul
asociat acestora (deciderea acţiunilor care să îl limiteze sau să îl înlăture).

4. Elemente lămuritoare cu privire la toleranţa la risc

Toleranţa la risc reprezintă ,,cantitatea” de risc pe care organizaţia este pregătită să o tolereze sau la care
este dispusă să se expună la un moment dat.
Expunerea la risc (ca o combinaţie dintre probabilitate şi impact), determinată prin metodele de evaluare
arătate anterior, capătă sens numai în raport cu nivelul toleranţei la risc. Când expunerea la risc este
comparată cu toleranţa la risc, amploarea măsurilor de control al riscurilor ce trebuie luate devine evidentă.
Cu alte cuvinte, nu valoarea absolută a expunerii la risc este importantă, ci deviaţia expunerii la risc
faţă de toleranţa la risc. Mai simplu spus, esenţial este faptul dacă riscul este perceput ca tolerabil
sau nu.
Dacă expunerea la riscul inerent (riscul înainte de aplicarea măsurilor de control intern al riscurilor) este
mai mică sau egală cu toleranţa la risc definită de managementul organizaţiei, nu se impun măsuri de
control al riscurilor, ceea ce înseamnă că riscurile sunt acceptate. În caz contrar, sunt necesare măsuri de
control al riscurilor astfel încât expunerea la riscul rezidual (riscul care rămâne după aplicarea măsurilor de
control al riscurilor) să se încadreze în limitele de toleranţă la risc stabilite.
La stabilirea limitei de toleranţă la risc s-a tinut cont de punerea în echilibru a ,,costului” de controlare al riscurilor cu ,,costul”
(financiar şi/sau de altă natură) expunerii, în cazul în care aceasta ar deveni realitate. Luând în considerare scala de
evaluare prezentată mai sus, a expunerii la risc, atunci limita de toleranţă se reprezintă astfel:
Aceasta înseamnă că toate riscurile, care au un nivel al expunerii ce se situează deasupra limitei de
toleranţă, trebuie tratate prin măsuri prin care expunerea la riscurile reziduale să se aducă sub această
limită de toleranţă.

A. Elemente lămuritoare cu privire la „răspunsul la risc – controlarea riscurilor”

După ce riscurile au fost identificate şi evaluate şi după ce s-au definit limitele de toleranţă în cadrul cărora
organizaţia este dispusă, la un moment dat, să-şi asume riscuri, este necesară stabilirea tipului de răspuns
la risc pentru fiecare risc în parte.
Referitor la raspunsul la risc, acesta poate fi:
a) Acceptarea (tolerarea) riscurilor
Acest tip de răspuns la risc constă în neluarea unor măsuri de control al riscurilor şi este adecvat pentru
riscurile inerente a căror expunere este mai mică decât toleranţa la risc.
Acceptarea (tolerarea) riscurilor este o strategie de răspuns la risc recomandată pentru riscurile cu
expunere scăzută. În cazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvată şi,
de aceea, în astfel de situaţii, opţiunea trebuie temeinic justificată.
b) Monitorizarea permanentă a riscurilor
Acest tip de răspuns la risc constă în acceptarea riscului cu condiţia menţinerii sale sub o permanentă
supraveghere.
c) Evitarea riscurilor
Această strategie de răspuns la risc constă în eliminarea activităţilor (circumstanţelor) care generează
riscurile.
d) Transferarea (externalizarea) riscurilor
Această strategie de răspuns la risc constă în încredinţarea gestionării riscului unui terţ care are expertiza
necesară gestionării acelui risc, încheindu-se în acest scop un contract.
e) Tratarea (atenuarea) riscurilor
Aceasta este abordarea cea mai frecventă pentru majoritatea riscurilor cu care se confruntă organizaţia.
Opţiunea tratării (atenuării) riscurilor constă în faptul că în timp ce organizaţia va continua să desfăşoare
activităţile care generează riscuri, aceasta ia măsuri (implementează instrumente/dispozitive de control
intern) pentru a menţine riscurile în limite acceptabile (tolerabile).

B. Elemente lămuritoare cu privire la revizuirea şi raportarea riscurilor

Revizuirea şi raportarea riscurilor este faza ce încheie ciclul compus din identificarea, evaluarea, controlul,
revizuirea şi raportarea riscurilor. Procesele de revizuire trebuie puse în aplicare pentru a analiza dacă:
 riscurile persistă;
 au apărut riscuri noi;
 impactul şi probabilitatea riscurilor au suferit modificări;
 instrumentele de control intern puse în operă sunt eficace;
Rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continuă a situaţiei riscurilor şi
pentru a se sesiza schimbările majore care impun modificarea priorităţilor.
Responsabilii de risc au obligaţia de a evalua, cel puţin o dată pe an, riscurile din sfera lor de
responsabilitate, precum stadiul de implementare a instrumentelor de control intern preconizate şi
eficacitatea lor.
Documentul integrator al gestionării riscurilor este „Registrul de risc” care trebuie completat, pentru a
include şi faza de revizuire şi raportare.
Gestionarea riscurilor într-un sistem de management (III)
27.09.2011 | MANAGEMENT & CALITATE | Mihai Gheorghe
La nivelul organizaţiei se stabileşte prin decizie internă o comisie de gestionare a riscurilor
(CGR) formată din toţii şefii de compartimente. Şeful CGR este Directorul General. Pentru o mai bună
gestionare a problemelor legate de gestionarea riscurilor se numeşte un responsabil cu riscurile ale cărui
atribuţiuni sunt descrise în prezenta procedură.
6. Descrierea metodologiei
6.1. Identificarea şi evaluarea riscurilor
În acestă etapă se desfăşoară următoarele activităţi:
a) sub coordonarea şefilor de compartiment se identifică la nivelul fiecărui Departament, toate problemele
care au apărut şi se pot repeta în viitor sau care pot apărea în desfăşurarea activităţilor şi care au ca efect
nerealizarea parţială sau totală a obiectivelor prestabilite; se completează la nivelul fiecărui Departament,
formularul „Obiective – Activităţi – Riscuri”
b) se identifică situaţiile care generează riscurile, se descriu circumstanţele care favorizează apariţia lor şi
se determină consecinţele (impactul) asupra obiectivelor;
c) se estimează pe o scară de la 1 la 5, pentru fiecare risc identificat, probabilitatea ca acesta să se
materializeze (1 - probabilitate foarte scăzută; 2 – probabilitate scăzută; 3 – probabilitate medie; 4 –
probabilitate mare; 5 – probabilitate foarte mare). Probabilitatea se calculează pe baza datelor existente
(cazuistică) sau pe baza analizei circumstanţelor (vezi cap. 5.2 din prezenta procedura);
d) se calculează de asemenea şi impactul riscului respectiv dacă s-ar materializa. Se foloseşte tot o scară
de la 1 la 5 conform explicaţiilor date în cap. 5.2. din prezenta procedură (1 – impact foarte scazut; 2 –
impact scăzut; 3 – impact mediu; 4 – impact ridicat; 5 – impact foarte ridicat);
e) se calculează expunerea la risc prin combinarea celor doi indicatori nu merici (probabilitatea şi impactul)
pe o scală bidemensională aşa cum s-a arătat în cap. 5.2.
CGR analizează toleranţa la risc şi propune DG nivelul acesteia. Limita la toleranţă se comunică tuturor
şefilor de compartiment.
La nivelul fiecărui compartiment se completează formularul „Baza de calcul pentru evaluarea riscurilor”.
Şefii de Departament şi întreg personalul care compun respectivele Departamente au obligaţia de a
identifica riscurile care afectează atingerea obiectivelor prestabilite.
Persoana care a identificat un risc - respectând regulile de definire expuse în cap. 5 - efectuează
următoarele activităţi:
 defineşte corect riscul;
 analizează cauzele şi circumsţantele care favorizează materializarea riscului;
 evaluează expunerea la risc;
 propune măsuri de ţinere sub control a riscului respectiv (măsuri de prevenire sau deminimizare a
efectului riscului);
 completează formularul „Formular identificare risc” şi îl transmite către responsabilul cu riscurilela
nivel de organizaţie.

6.2. Analiza şi răspunsurile la risc

Responsabilul cu riscurile colectează toate formularele de identificare a riscurilor şi documentaţia aferentă
fundamentării riscului.
Analizează expunerea raportată la limita de toleranţă pentru fiecare risc identificat şi formulează propuneri
privind gradul de acceptare al riscului după cum urmează:
 propune clasarea formularului dacă riscul este irelevant (risc tolerabil – valoarea expuneriicuprinsă
între 1 şi 3);
 propune monitorizarea riscului (valoarea expunerii între 4 şi 14);
 propune eliminarea circumstanţelor care generează riscul (risc intolerabil – valoareaexpunerii
cuprinsă între 15 şi 25).
Comisia de gestionare a riscurilor se întruneşte lunar pentru analiza riscurilor. Cu acestă ocazie,
responsabilul cu gestiunea riscurilor expune CGR, toate formularele de identificare a riscurilor, cu
propunrile aferente.
CGR analizează toate formularele expuse şi decide care risc este clasat (riscurile tolerabile), care
urmează să fie monitorizat şi care evitat (prin eliminarea/ restrângerea activităţilor care generează riscul
respectiv) etc. (conform cap. 5.4 din prezenta procedură). Indiferent de decizia CGR, toate formularele
analizate vor fi semnate de toţi membrii CGR prezenţi la întrunire.
Responsabilul cu gestiunea mărfurilor îndosariază toate formularele de identificare a riscurilor. Termen de
păstrare: minim 5 ani după completarea tuturor câmpurilor.

6.3. Implementarea acţiunilor de ţinere sub control a riscurilor şi urmărirea acestora

Formularele cu riscurile care urmează să fie monitorizate se înregistrează de responsabilul cu gestiunea
riscurilor în „Registrul riscurilor”. În cadrul întâlnirilor lunare de analiză a riscurilor, CGR
stabileşte şi acţiunile de ţinere sub control a riscurilor care urmează să fie monitorizate. Pentru fiecare risc
care trebuie monitorizat, se completează formularul „Fişa de urmărire a riscului”. Responsabil de
completarea respectivului formular este responsabilul cu gestiunea riscurilor la nivel de organizaţie.
În urma şedinţelor CGR, şefii de compartiment completează formularul „Plan de acţiuni”, care cuprinde
toate riscurile care se monitorizează (din aria lor) şi acţiunile care trebuie efectuate (aprobate de CGR)
precum şi numele persoanelor responsabile de implementarea acţiunilor de ţinere sub control a riscului şi
termenul limită de implementare a acestor acţiuni.
Responsabilul cu gestiunea riscurilor, transmite tuturor responsabililor cu implementarea acţiunilor de
ţinere sub control a riscurilor, precum şi responsabililor cu monitorizarea implementării acestor acţiuni,
formularele de urmărire a riscurilor, prin care aceştia iau la cunoştinţă de respectivele acţiuni şi de
termenele stabilite.
Responsabilii cu monitorizarea implementării acţiunilor de ţinere sub control a riscurilor, elaborează lunar
informări/rapoarte cu privire la stadiul implementării respectivelor acţiuni, pe care le prezintă
responsabilului cu gestiunea riscurilor.
Pe baza acestor date, responsabilul cu gestiunea riscurilor întocmeşte rapoarte (sau actualizează
formularele de urmărire a riscurilor prin completarea la zi cu toate datele necesare) cu privire la stadiul
implementării măsurilor de ţinere sub control, probleme întâmpinate, măsuri noi propuse etc.
Fişele de urmărire a riscurilor se analizează de CGR în cadrul şedinţelor lunare de analiză.
Responsabilul cu gestiunea mărfurilor îndosariază după şedinţele CGR toate formularele de urmărire a
riscurilor analizate în cadrul şedinţei şi actualizează „registrul riscurilor” cu stadiul acţiunilor implementate.
Termen de păstrare: minim 5 ani după completarea tuturor câmpurilor.

6.4. Revizuirea şi raportarea riscurilor

În acestă etapă se desfăşoară activităţi de revizure a calificativelor riscurilor. Se analizează expunerea
riscurilor după ce au fost implementate măsurile de ţinere sub control a respectivului risc. Aceste riscuri de
numesc „riscuri reziduale”. Expunerea riscului rezidual trebuie să fie mai mică decât expunerea riscului
inerent. În cadrul şedinţelor lunare CGR, analizează formularele de urmărire a riscurilor actualizate de
responsabilul cu gestiunea riscurilor. Se va menţiona obligatoriu şi expunerea riscului rezidual.
În baza deciziilor luate de CGR, responsabilul cu gestiunea riscurilor actualizează permanent „Registrul
riscurilor”. Şefii de Departament menţin actualizat formularul „Planul de acţiuni” prin consemnarea în
coloana „Observaţii” a stadiului implementării acţiunilor de ţinere sub control a riscurilor identificate şi
monitorizate.

Principii şi orientări generale privind gestionarea riscurilor se regăsesc şi în:

Standardul SR ISO 31000:2010 - Managementul riscului. Principii şi linii directoare.
ISO 31000:2009 poate fi utilizat de către orice întreprindere publică, privată sau de comunitate, de
asociere, de grup sau individuale. Prin urmare, ISO 31000:2009 nu este specific pentru orice industrie sau
sector.
ISO 31000:2009 poate fi aplicat pe întreaga durată a unei organizaţii şi la o gamă largă de activităţi,
inclusiv a strategiilor şi deciziilor de operaţiuni, procese, funcţii, proiecte, produse, servicii şi bunuri.
ISO 31000:2009 poate fi aplicat la orice tip de risc, indiferent de natura acestora, indiferent dacă are
consecinţe pozitive sau negative.
Deşi ISO 31000:2009 prevede orientări, generic, nu este destinat să promoveze uniformitatea de
gestionare a riscurilor în organizaţii. Proiectarea şi punerea în aplicare a planurilor de gestionare a
riscurilor şi cadre va trebui să ia în considerare nevoile diferite ale unei organizaţii specifice, obiectivele
sale specifice, context, structură, operaţiuni, procese, funcţii, proiecte, produse, servicii, sau active şi de
practicile specifice utilizate .
Se intenţionează ca ISO 31000:2009 să fie utilizate pentru a armoniza procesele de gestionare a riscurilor
în standardele existente şi viitoare.
Acesta oferă o abordare comună în sprijinul unor standarde care se ocupă cu riscurile specifice şi / sau
sectoare, şi nu înlocuieşte aceste standarde.
ISO 31000:2009 nu este destinat în scopul certificării.

Capitolul 5. Formulare aplicabile

5.1. ,,Tabel cu obiectivele specifice și riscurile inerente aferente acestora”, Cod: ...
TABEL cuprinzând obiectivele specifice şi riscurile inerente asociate la nivelul ....................
(Serviciului / Biroului / Sectiei)
Nr. Denumirea Denumirea Denumirea riscurilor
crt. obiectivelor activităţii inerente asociate
specifice /activităţilor obiectivelor şi activităţilor
corespunzătoare corespunzătoare
obiectivelor acestora
specifice
0 1 2 3

5.2. ,,Fișă de urmărire a riscului”, Cod: ................

FIȘA DE URMĂRIRE A RISCULUI
Serviciul/ (0)
Biroul
Riscul (1) Expunere: (2)
monitorizat
Responsabil cu monitorizarea (3) Semnătura
implementării măsurilor
(4)
Data analizei Actiuni preventive Stadiul implementarii actiunilor
riscului propuse preventive
(5) (6)

(11)
Dificultăți -
întâmpinate - (7)
-

Acțiuni noi Responsabil Termen de

propuse implementare/ implementare
Semnătura
(8) (9) (10)
5.3. ,,Formular identificare risc”, Cod: ...............
FORMULAR IDENTIFICARE RISC
Serviciul/Biroul (0)
Descrierea detaliată a riscului
Riscul identificat

(1)
Cauza

(2)
Impact
/Consecinte
(3)
Evaluarea riscului (Expunerea)
Probabilitatea
riscului

1 2 3 4 5
F. scazuta Scazuta Medie Mare F. mare
0% -… 10% - ….. 35% - … 65% - … 85% - …
(4)
Impactul riscului (5)

1 2 3 4 5
F. scazut Scazut Mediu Ridicat F. ridicat

Expunerea (P x I) = (6)
Tratarea riscului

Acțiuni de control (7)

Documentația utilizată pentru (8)
fundamentarea riscului
Numele persoanei Semnătura Data
(9) (10) (11)

Decizia comisiei (12) Nr. înregistrare Data înregistrării

Irelevant

(13) (14)
Investigații suplimentare

Înregistrare

5.
4. ,,Baza de calcul pentru evaluarea riscurilor”, Cod: .........
BAZA DE CALCUL
pentru evaluarea riscurilor inerente identificate în cadrul..........................
(denumirea serviciului / biroului / secției)
Denumirea Impactul Probabilitatea Nivelul de Expunerea
riscurilor aferent aferentă risc inerent raportata la
Nr. inerente riscului riscului inerent (Expunerea) limita de
crt. inerent (col. 2 x col. toleranta
3)
0 1 2 3 4 5

5.
4. ,,Planul de acțiuni pentru minimizarea riscurilor inerente”, Cod: .....
PLANUL DE ACŢIUNI
pentru minimizarea riscurilor inerente identificate în cadrul…………………
(denumirea Serviciului /Biroului /Secției)
Nr. Denumirea Denumirea Persoana/persoanele Data limita Observatii
crt. riscurilor acţiunii de responsabile cu de
inerente minimizare implementarea implementare
a riscului acţiunii de a acţiunii de
inerent minimizare a riscului minimizare a
inerent riscului
inerent
0 1 2 3 4 5

,,Registrul riscurilor”, Cod: .............