Documente Academic
Documente Profesional
Documente Cultură
Aşa cum am vazut în capitolul anterior, gestiunea riscului este o abordare structurată
orientată spre reducerea incertitudinii prin intermediul evaluării riscului, dezvoltarea de
strategii de management al acestuia, şi diminuarea riscului utilizând resursele manageriale.
Strategiile includ de regulă transferul riscului către o terţă parte, evitarea riscului,
reducerea efectelor negative ale producerii riscului, şi acceptarea unora sau a tuturor
consecinţelor unui anumit risc.
Anumite tehnici tradiţionale de management al riscului sunt orientate exclusiv către
riscurile ce decurg din cauze fizice sau legale (de exemplu dezastrele naturale sau incendiile,
accidentele, decesul şi intentarea de procese). Managementul riscului financiar, pe de altă parte,
este centrat către riscurile ce pot fi gestionate utilizând tranzacţiile cu instrumente financiare
specifice.
Însă, indiferent cărui tip de risc i se adresează, obiectivul principal / general al
managementului riscului (MR) este acela de a reduce riscurile specifice unui anumit domeniu la
un nivel acceptat de către societate. Ca proces, MR se poate adresa numeroaselor tipuri de
ameninţări generate de către mediu, tehnologie, oameni, organizaţii şi structuri politice, şi el va
implica toate mijloacele de care oamenii dispun, sau în particular, de care o entitate de
management al riscului dispune (persoană, echipă, organizaţie).
În acest subcapitol vom detalia cel mai complet tip de MR introdus în cadrul Capitolului
3, Tipul IV în care gestiunea riscului este privită ca un proces continuu. Identificarea şi aplicarea
strategiilor de MR privit ca proces presupune, aşa cum ştim deja, parcurgerea mai multor etape:
stabilirea contextului, identificarea riscurilor, evaluarea acestora, tratarea riscurilor potenţiale
prin abordarea unei anumite strategii de MR, construirea unui plan de gestiune a riscului,
implementarea acestuia şi, respectiv, evaluarea şi revizuirea planului de MR.
Riscurile potenţiale sunt legate de evenimente care, atunci când se produc, cauzează
probleme / pierderi / neplăceri. Prin urmare, identificarea riscurilor trebuie să înceapă cu sursa
problemelor, sau cu problema în sine.
Analiza sursei. Sursa riscului poate fi internă sau externă sistemului ce constituie
ţinta activităţii de gestiune a riscului. Exemple de susre de risc sunt: toate grupurile
de interes (acţionarii, beneficiarii, angajaţii, furnizorii) pentru un anumit proiect,
angajaţii pentru o companie, sau vremea pentru un aeroport;
Atunci când fie sursa fie problema sunt cunoscute, evenimentele ce pot fi declanşate de o
anumită sursă, sau cele care conduc la o anumită problemă pot fi investigate. De exemplu:
- retragerea grupurilor de interes în timpul realizării unui proiect poate periclita
finanţarea proiectului;
- informaţia confidenţială poate fi sustrasă de către angajaţi chiar şi în cazul utilizării
unei reţele suport a sistemului informaţional închise, securizate;
41
- lovirea unui Boeing 747 de către un fulger în timpul decolării poate transforma în
victime toate persoanele aflate la bordul aeronavei.
Metoda aleasă pentru identificarea riscurilor poate depinde de cultura, practica din
domeniul respectiv, precum şi de acordurile, normele sau prevederile existente. Metodele de
identificare sunt construite din scheme (sau dezvoltări de scheme) ce permit găsirea surselor,
problemelor sau a evenimentelor. Cele mai uzuale metode de identificare a riscului sunt:
Identificarea riscului bazată pe obiective. Organizaţiile şi echipele implicate în
diverse proiecte au obiective bine definite. Orice eveniment care ar putea primejdui
atingerea unui obiectiv (parţial sau total) este identificat ca fiind un risc. Această
metodă stă la baza Managementului Riscului Intreprinderii – Cadrul Integrat
elaborat de către COSO (www.coso.org/).
Identificarea riscului bazată pe scenarii. Această metodă presupune crearea unor
scenarii diferite, care pot fi modalităţi alternative de atingere a unui obiectiv, sau
analize ale interacţiunii forţelor dintr-o piaţă sau dintr-un conflict armat. Orice
eveniment care declanşează un scenariu alternativ nedorit este catalogat ca fiind un
risc.
Identificarea riscului bazată pe taxonomie. Taxonomia în cadrul acestei metode
este o listare a surselor posibile de risc. În baza acestei taxonomii (clasificări) şi a
cunosştinşelor privind cele mai bune practici în domeniu este conceput un
chestionar. Răspunsurile la întrebările din chestionar evidenţiază riscurile.
Verificarea riscurilor comune. În mai multe domenii (industrii) sunt deja
disponibile tabele conţinând toate riscurile cunoscute ca fiind specifice acelor
domenii. Fiecare risc inclus într-o astfel de listă poate fi verificat pentru aplicarea
la o anumită situaţie particulară. Un exemplu de riscuri cunoscute în industria
software îl constituie Common Vulnerability and Exposures List
(http://cve.mitre.org).
Metoda analizei grafice a riscului. Această metodă combină abordările anterioare
prin listarea Resurselor expuse la risc, Ameninţărilor la acele rsusrse, Modificând
Factorii care pot creşte sau reduce riscul şi Consecinţele ce se doresc a fi evitate.
Construirea unei matrici din combinarea acestor elemente permite o mare varietate
de abordări. Astfel, putem începe analiza cu resursele considerând ameninţările la
care sunt expuse şi consecinţele fiecărei ameninţări. Alternativ, putem porni
analiza de la ameninţări şi să examinăm care resurse vor fi afectate. Sau putem
porni de la consecinţe şi să determinăm ce combinaţie de ameninţări şi resurse pot
fi implicate în obţinerea acelor consecinţe.
Odata identificate, riscurile trebuie evaluate din punct de vedere al severităţii pierderilor
potenţiele implicate de producere, şi al probabilităţii de apariţie. Aceste elemente cantitative pot
fi fie uşor de determinat (de exemplu, în cazul unei clădiri distruse de un cutremur), fie
imposibil de aflat (în cazul şanselor de apariţie a unui eveniment rar / puţin probabil). De aceea,
în procesul de evaluare este imperativ necesar să se facă cea mai bună ipoteză documentată
referitoare la aceste două măsuri ale riscului, pentru a putea prioritiza corespunzător
implementarea planului de gestiune a riscului.
Cel mai dificil lucru în evaluarea riscului îl reprezintă determinarea şanselor de apariţie
deoarece informaţiile statistice nu sunt disponibile pentru toate tipurile de incidente. În plus,
evaluarea gravităţii consecinţelor (impactul producerii riscului) este adesea destul de dificil de
făcut pentru activele imateriale (intangibile) de tipul informaţiilor, cunoştinţelor,
comportamentului capitalului uman.
42
Evaluarea activelor unei companii este o altă problemă care trebuie rezolvată în
contextul măsurării riscului; în acest scop, cele mai bine documentate opinii şi statisticile
disponibile sunt primele surse de informaţii.
n
ALE = EL AOR ,
i 1
i i
Observaţii:
1) ALE este o tehnică foarte bună de evaluare atunci când este vorba de riscurile cu o
frecvenţă de apariţie rezonabilă, dar este virtual inutilă în cazul riscurilor
provocate de evenimente rare (sau singulare);
2) Aplicarea acestei metode de evaluare necesită totuşi identificarea şi predicţia tuturor
ameninţărilor cu care o afacere / proiect / organizaţie s-ar putea confrunta,
precum şi a tuturor modurilor în care obiectivele companiei ar putea fi
periclitate. Acest lucru poate fi foarte dificil de făcut, chiar imposibil pentru
anumite domenii de activitate;
3) Acest mecanism de tip scoring caracteristic utilizării ALE oferă o aproximare brută a
riscului, nespunând nimic despre cum poate fi gestionat fiecare tip de risc în
parte.
43
care depinde realizarea acelui scop, inclusiv a celor care sunt în afara controlului său. Punctele
cheie care oferă robusteţe acestei metode sunt:
Managerul de risc execută în permanenţă un proces de descompunere a paşilor,
acţiunilor, dependenţelor necesare realizării scopului, obţinând astfel un plan proiect-
acţiune necesar atingerii obiectivului;
Identificarea elementelor aflate în afara controlului managerului este un foarte bun
indicator al riscului;
În loc să identifice toate ameninţările cu care o organizaţia s-ar putea confrunta şi a
tuturor modurilor în care obiectivele companiei ar putea fi periclitate, analistul de risc
trebuie să determine doar care sunt factorii de care depinde şi cum anume aceştia ar
putea eşua. Nu este nevoie să ştie cum anume vor fi obiectivele atacate sau vor eşua,
putând în acest fel să desensibilizeze scopul de impactul eşecului factorilor de
influenţă, de exemplu prin introducerea unor măsuri suplimentare de protecţie;
Există deja un soft specializat în aplicarea acestei tehnici de analiză a riscului
(VuRisk), care utilizează o structură arborescentă în identificarea factorilor de care
realizarea unui anumit obiectiv depinde şi măsurarea impactului acestor factori asupra
succesului în realizarea obiectivului. VuRisk poate fi utilizat în domenii precum IT /
Computer Science, Sănătate şi Siguranţă, Legislativ, Economic
(www.conceptlabs.co.uk).
Evitarea (eliminarea);
Reducerea (aplanarea, controlul);
Transferul (achiziţia de asigurări);
Acceptarea (reţinerea).
44
2) Strategia bazată pe Reducerea Riscului
Conţine metode de reducere fie a gravităţii pierderilor, fie a riscului de a pierde din
apariţia evenimentului.
De exemplu, montarea în interiorul clădirilor a unei instalaţii de stingere a incendiilor pe
bază de stropitori în plafoane este o bună metodă de a reduce pierderile provocate de un
eventual incendiu. Însă această metodă poate cauza pierderi şi mai importante datorate acţiunii
apei şi de aceea poate să nu fie cea mai potrivită metodă de a gestiona riscul de pierdere prin
incendiu. Sistemul de stingere a incendiilor pe bază de Halon poate reduce acest risc, dar costul
ridicat ar putea să facă acestă opţiune prohibitivă pentru unii decidenţi.
Externalizarea este un alt exemplu de strategie orientată către reducerea riscului, atunci
când terţa parte cu care s-a contractat externalizarea poate demonstra că are o capacitate ridicată
în gestiunea sau reducerea riscurilor aferente activităţii care a făcut obiectul externalizării. În
cele mai multe situaţii companiile externalizează doar o parte a nevoilor lor departamentale. De
exemplu, o companie poate externaliza către alte companii doar dezvoltarea de software, sau
producţia de hardware, sau serviciul de asistenţă a clineţilor, în timp ce păstrează pentru sine
managementul afacerii. În acest fel, compania se poate concentra mai mult pe dezvoltarea
afacerii, fară să îşi mai facă griji atât de mari în privinţa procesului de producţie, a
managemntului echipei de dezvoltare software, sau a găsirii unei locaţii pentru un call center.
Un exemplu familiar în acest domeniu îl constituie externalizarea de către Academia de
Studii Economice a serviciilor de pază şi protecţie, precum şi a celor de pregătire şi servire a
mesei pentru studenţi şi angajaţii instituţiei. Aceste decizii au avut ca efect degrevarea
managementului ASE de riscurile ce ar putea decurge din încercarea de a acoperi aceste
activităţi cu personalul propriu, mai puţin specializat.
Înseamnă determinarea unei terţe părţi să accepte riscul, în mod uzual prin contract sau
prin hedging (vom detalia această tehnică în capitolul 6). Cel mai uzual mod de a transfera riscul
prin contract îl reprezintă asigurarea. Există însă şi modalităţi bazate pe transferul riscului în
baza anumitor prevederi contractuale fără plata unei prime de asigurare. Obligaţiile pecuniare în
domeniul construcţiilor sunt cel mai adesea transferate în acest mod, constructorii sau alţi
contractori angajându-se prin contractul de prestări servicii să acopere orice pierdere provocată
de deficienţe ale propriei activităţi (cel puţin în teorie ...).
Această strategie implică acceptarea pierderilor atunci când acestea apar. Metoda auto-
asigurării intră în această categorie de strategii. Ea presupune acceptarea unui anumit risc dar,
în acelaşi timp, şi construirea unui depozit monetar care să fie folosit pentru a acoperi pierderile
provocate de producerea acelui risc. Auto-asigurarea este similară cu asigurarea din punct de
vedere conceptual, dar implică fie plata primei de asigurare unei companii de asigurare
„captive” (http://en.wikipedia.org/wiki/Captive_insurance), sau unei „celule captive”
(http://www.euroguard-insurance.com/Background.html), fie crearea unui provizion bugetar
45
destinat acoperirii pierderilor datorate producerii riscului fără a mai plăti deloc o primă de
asigurare.
Deşi auto-asigurarea este posibilă pentru orice risc asigurabil, această strategie este
viabilă în cazul riscurilor mici (cu valoare mică a daunelor provocate) unde costul asigurării
clasice ar fi în timp mai mare decât totalul pierderilor suferite.
Toate riscurile care nu sunt evitate sau transferate, sunt implicit acceptate. Interesant
este ca această categorie a riscurilor acceptate include şi riscurile atât de mari sau chiar
catastrofice care, fie nu pot fi asigurate, fie prima de risc ar fi complet nefezabila. Războiul este
cel mai relevant exemplu în acest caz: majoritatea proprietăţilor sau a altor active nu sunt
asigurate împotriva războiului, şi prin urmare pierderile provocate de un război sunt reţinute
(acceptate, asumate) de către asigurat. De asemenea, orice valori ale pierderilor potenţiale ce
depăşesc suma asigurată sunt riscuri acceptate (dacă valoarea reală a unei locuinţe asigurate este
de 350.000 GBP, iar asigurarea acoperă doar 225.000 GBP, în cazul producerii unui risc
asigurat (incendiu, de exemplu), diferenţa de 125.000 Lire este riscul acceptat de către
proprietar). Această situaţie poate fi acceptată de către cel care gestionează riscul, dacă
probabilitatea unei pierderi considerabile este mică, sau dacă plata unei asigurări pentru o
acoperire mai mare a pierderii ar constitui o piedică serioasă în realizarea obiectivelor companiei
sau asiguratului )ar face ca, în timp, valoarea totală a primelor de sigurare plătite să depăşească
valoarea acoperirii „din buzunar” a pierderilor datorate producerii riscului asigurat).
46
4.2.6 Implementarea Planului de MR
Scenarii:
1. Înfiinţarea unei noi companii reale. Domeniul este la alegerea fiecărui student;
2. Acceptarea unei oferte de angajare la o companie existentă pe piaţa românească;
3. Căutarea unui loc de muncă în afara ţării. Domeniul este la alegerea fiecărui student.
Fiecare dintre voi va selecta, la alegere, unul dintre scenarii şi va parcurge etapele 4.2.1 –
4.2.7 cu informaţiile specifice afacerii / domeniului ales.
47