Documente Academic
Documente Profesional
Documente Cultură
- NOIEMBRIE 2018 –
CERNAT CONSTANTIN
Obiective:
o Intelegerea conceptului de managementul riscurilor
o Insusirea si aplicarea conceptelor, instrumentelor, tehnicilor si practicilor general acceptate in
managementul riscurilor
Agenda:
MODUL I - Manager Al Sistemului De Management Al Riscului / MODUL ANALIZA RISCURILOR
A. Conceptul de Managementul Riscurilor
B. Definitii
C. Clasificarea Riscurilor
D. Analiza mediului organizational
E. Definirea obiectivelor strategice si a celor specifice
F. Procesele de Management al Riscurilor
1. Planificarea Riscurilor
2. Identificarea Riscurilor
3. Analiza Riscurilor
1
1. INTRODUCERE
Unul dintre cele mai importante standarde ce compun Codul controlului intern, aprobat prin
Ordinul ministrului finanţelor publice nr. 946/2005, este standardul referitor la managementul
riscurilor.
Conform standardului menţionat mai sus, fiecare entitate publică are obligaţia de a analiza
sistematic, cel puţin o dată pe an, riscurile legate de desfăşurarea activităţilor sale, să elaboreze
planuri corespunzătoare în direcţia limitării posibilelor consecinţe ale acestor riscuri şi să
numească responsabili pentru aplicarea planurilor respective.
Nu se poate spune că preocuparea pentru stăpânirea riscurilor este ceva nou. Fiecare organizaţie,
dar şi fiecare individ în parte, care intenţionează să atingă nişte obiective, îşi stabileşte
activităţile ce conduc la realizarea scopurilor propuse şi, în acelaşi timp, caută să identifice cât
mai multe din “ameninţările” ce l-ar împiedica să facă acest lucru, pentru a lua din timp măsurile
necesare. Cu alte cuvinte, chiar dacă nu suntem familiarizaţi cu conceptele de risc şi de
management al riscurilor, acţionăm de nenumarate ori, conştient sau nu, în acest sens.
Dacă intuiţia ne poate ajuta să gestionăm satisfăcător procese simple, repetitive, nu acelaşi lucru
se întâmplă în cazul proceselor complexe, cu condiţionări multiple, care se petrec în organizaţii.
Mai mult decât atât, organizaţiile nu sunt sisteme închise, ele acţionează într-un mediu, care, la
rândul său, induce incertitudini ce nu trebuie ignorate.
Deşi intuiţia bazată pe experienţă nu îşi va pierde niciodată importanţa, ea se dovedeşte cu totul
insuficientă atunci când managementul trebuie să conducă la performanţă. De aceea, însuşirea
unui sistem coerent de concepte şi de reguli, unanim acceptate pe plan internaţional, devine
indispensabilă practicii organizaţionale actuale în sectorul public, în condiţiile integrării
României în Uniunea Europeană.
De altfel, este unanim recunoscut faptul că însuşirea elementelor de bază pe care să se sprijine
demersul creator al fiecărei organizaţii este o cale mai eficace în atingerea obiectivului urmărit
decât reproducerea unor modele construite pe cu totul alte premise decât cele care descriu
realitatea concretă a organizaţiilor. Oricum, în managementul riscurilor, nu modelele şi tehnicile
sunt cele mai importante, ci atitudinea faţă de risc, iar aceasta este, în primul rând, un aspect al
culturii organizaţionale ce se formează în timp, şi nu un rezultat al unor norme imperative.
Un răspuns general la această întrebare este indus de observaţia conform căreia atât în
organizaţie, cât şi în mediul în care aceasta acţionează, există incertitudini de natura
ameninţărilor în realizarea obiectivelor, sau de natura oportunităţilor. Orice manager trebuie să-
şi pună problema de a gestiona ameninţările, deoarece, în caz contrar, neatingându-şi
obiectivele, s-ar descalifica, sau de a fructifica oportunităţile în beneficiul organizaţiei,
dovedindu-şi eficienţa. Dacă incertitudinea este o realitate cotidiană, atunci şi reacţia la
incertitudine trebuie să devină o preocupare permanentă. Motivaţia generală de mai sus ar putea
2
justifica singură necesitatea implementării managementului riscurilor, însă există şi unele
motivaţii specifice.
Managerii unei organizaţii nu trebuie să se limiteze la a trata, de fiecare dată, consecinţele unor
evenimente care s-au produs. Tratarea consecinţelor nu ameliorează cauzele şi, prin urmare,
riscurile materializate deja se vor produce şi în viitor, de regulă, cu o frecvenţă mai mare şi cu un
impact crescut asupra obiectivelor. Managerii trebuie să adopte un stil de management reactiv,
ceea ce înseamnă că este necesar să conceapă şi să implementeze măsuri susceptibile de a atenua
manifestarea riscurilor. Reacţia orientată spre viitor permite organizaţiei să stăpânească, în
limite acceptabile, riscurile trecute, ceea ce este acelaşi lucru cu creşterea şanselor de a-şi atinge
obiectivele.
La fel de importantă este şi identificarea posibilelor ameninţări, înainte ca ele să-şi materializeze
şi să producă consecinţe nefavorabile asupra obiectivelor stabilite. Aceasta înseamnă a adopta un
stil de management proactiv. Managementul proactiv are la bază principiul “este mai bine să
previi, decât să constaţi un fapt împlinit”.
Totodată, revizuirea periodică a riscurilor, aşa cum este prevăzut în standarde, conduce la
realocari ale resurselor, în concordanţă cu modificarea ierarhiilor şi, implicit a priorităţilor. Cu
alte cuvinte managementul riscurilor presupune concentrarea resurselor în zonele de interes
actuale.
Dacă controlul intern este ansamblul măsurilor stabilite de conducere pentru a se obţine
asigurări rezonabile că obiectivele vor fi atinse, rezultă că managementul riscurilor este unul din
mijloacele importante prin care se realizează acest lucru, deoarece managementul riscurilor
urmareşte tocmai gestiunea ameninţărilor ce ar putea avea impact negativ asupra obiectivelor.
3
Cu alte cuvinte, dacă se urmareşte consolidarea controlului intern, este indispensabilă
implementarea managementului riscurilor.
Această secţiune este consacrată, în primul rând, definirii termenilor, şi nu detalierii conceptelor,
lucru ce va face obiectul secţiunilor următoare. Procedându-se astfel, s-a considerat că cei
interesaţi îşi pot forma o imagine de ansamblu asupra problematicii ce urmează a fi abordată.
Definiţii
Organizaţie - Persoanele care lucrează împreună pentru atingerea unor obiective prestabilite. O
organizaţie poate fi o autoritate publică, un serviciu guvernamental (minister, instituţie publică,
agenţie etc.), o întreprindere constituită sau nu în societate, o asociere de persoane fără scop
lucrativ, o colectivitate locală etc. De asemenea, tot organizaţii sunt considerate şi componentele
structurale (divizii, direcţii, servicii, birouri etc.).
Risc - O problemă (situaţie, eveniment etc.) care nu a apărut încă, dar care poate apare în viitor,
caz în care obţinerea rezultatelor prealabil fixate este ameninţată sau potentată. În prima
situaţie, riscul reprezintă o ameninţare, iar în cea de-a doua, riscul reprezintă o oportunitate.
Riscul reprezintă incertitudinea în obţinerea rezultatelor dorite şi trebuie privit ca o combinaţie
între probabilitate şi impact.
Impactul - Reprezintă consecinţa asupra rezultatelor (obiectivelor), daca riscul s-ar materializa.
Daca riscul este o ameninţare, consecinţa asupra rezultatelor este negativă, iar dacă riscul este o
oportunitate, consecinţa este pozitivă.
4
Atenuarea riscului - Măsurile întreprinse pentru diminuarea probabilităţii (posibilităţii) de apariţie
a riscului sau/şi de diminuare a consecinţelor (impactului) asupra rezultatelor (obiectivelor)
dacă riscul s-ar materializa. Mai concis, atenuarea riscului reprezintă diminuarea expunerii la
risc, dacă acesta este o ameninţare.
Strategia de risc - Abordarea generală pe care o are organizaţia în privinţa riscurilor. Ea trebuie să
fie documentată şi uşor accesibilă în organizaţie. În cadrul strategiei de risc se defineşte toleranţa
la risc.
Toleranţa la risc - “Cantitatea” de risc pe care o organizaţie este pregatită să o tolereze sau la care
este dispusă să se expună la un moment dat.
Risc inerent - Expunerea la un anumit risc, înainte să fie luată vreo masură de atenuare a lui.
Risc rezidual - Expunerea cauzată de un anumit risc dupa ce au fost luate măsuri de atenuare a lui.
Măsurile de atenuare a riscurilor apartin controlului intern. Din această cauză riscul rezidual este
o măsură a eficacitaţii controlului intern, fapt pentru care unele ţări au înlocuit termenul de risc
rezidual cu cel de risc de control.
Gestionarea riscurilor sau managementul riscurilor - Toate procesele privind identificarea, evaluarea şi
aprecierea riscurilor, stabilirea responsabilităţilor, luarea de măsuri de atenuare sau anticipare a
acestora, revizuirea periodică şi monitorizarea progresului.
Controlul intern - Orice acţiune / măsură provenită din organizaţie, luată în scopul gestionării
riscurilor. Aceste măsuri pot fi luate fie pentru a diminua impactul în cazul materializării
riscurilor, fie pentru a reduce probabilitatea de materializare a riscurilor. Cu alte cuvinte,
controlul intern reprezintă tocmai managementul riscurilor, deoarece, prin măsurile luate, se
obtine o asigurare rezonabilă că obiectivele organizaţiei vor fi atinse.
5
Clasificarea Riscurilor
• Incertitudinile – se refera la faptul ca estimarile noastre cantitative nu sunt precise si din acest
motiv trebuie sa luam in considerare posibile deviatii
• Evenimentele de Risc – conduc de regula la aparitia de noi activitati ce trebuie realizate Risc si
Incertitudini
• Riscul Pur
– Se refera la acele riscuri care cauzeaza prejudicii sau pierderi materiale.
– Se mai numesc si riscuri asiguratorii, deoarece se pot lua masuri financiare de siguranta in ceea
ce priveste efectele produse, masuri cum ar fi politele de asigurare care protejeaza asiguratul de
consecintele aparitiei evenimentului de risc, iar in cazul in care acesta nu s-a manifestat
asiguratul pierde prima de asigurare.
• Riscul in afaceri
– In afaceri exista intotdeauna riscul de a pierde, risc care este contrabalansat de oportunitatea
de a castiga. Aceasta sansa de castig, desi presupune asumarea unor riscuri, antreneaza
afaceristul in actiuni riscante care pot aduce beneficii semnificative.
• Riscul proiectelor
– Orice proiect este un risc deoarece acesta este intotdeauna un deschizator de drum, el nu are un
trecut in spate care sa asigure experienta necesara previzionarii viitorului.
• Riscul operational
– Riscul operational este asociat cu derularea anumitor operatiuni sau activitati. Aici pot fi
incluse riscurile legate de functionarea unei linii tehnologice, de conducerea unei activitati, de
operarea unui calculator etc. Riscul apare atunci cand un anume eveniment afecteaza derularea
operatiunii sau activitatii.
• Riscul tehnologic
– Natura noilor tehnologii presupune riscuri in utilizarea lor datorita incertitudinii atingerii
scopurilor pentru care au fost proiectate.
• Riscul politic
– Se refera la situatiile in care un factor de decizie este constrans de factori politici. In cadrul unei
organizatii, riscul politic se refera la problemele generate de politicile interne ale acesteia.
• Riscurile interne
– Reprezinta rezultatul unor evenimente din interiorul organizatiei. Aceste surse de risc pot fi
controlate. In aceasta categorie se pot distinge riscurile de utilizare a echipamentelor tehnologie,
6
riscurile fortei de munca, sau riscurile asociate managementului organizational. Aceste riscuri
pot fi prevenite prin simpla eliminare a surselor care le produc, lucru posibil datorita faptului ca
sunt generate de activitatea organizatiei, deci provin din interiorul acestei.
• Riscurile externe
– Sunt rezultatul unor evenimente din afara organizaţiei. Aceste riscuri nu pot fi controlate
deoarece ele nu depind de activitatea interna a organizatiei.
Managementul riscului nu este doar apanajul unui proiect sau al unei companii ci este ceva ce
fiecare dintre noi face constant atât în activitatea profesională cât şi în ceea ce întreprinde în
viaţa de zi cu zi.
90% din managementul riscului se bazează pe ceea ce în engleză se numeşte „expert knowledge”,
sau pe româneşte – expertiză. Riscul nu este ceva ce există în mod real, ci ceva ce poate exista.
Motiv pentru care nu activitatea pe care încerci să o analizezi este cea care îţi va oferi
posibilitatea de identificare a riscurilor asociate ei, ci cunoştinţele tale referitoare la aceasta,
7
asocierile pe care le faci referitor la modul în care pot decurge lucrurile şi aşa mai departe.
Managementul riscului caută ceea ce nu este dar poate fi, iar acesta este strict un exerciţiu
mental, un exerciţiu ce se bazează pe competenţe. Nu identifici riscurile ca o maşină să se strice
strict uitându-te la maşină şi zicând: „a, uite ce risc am găsit la roata asta…şi motorul are două
riscuri imense, unul mai în spate şi unul mai în faţă”. Riscurile le identifici uitându-te la maşină dar
folosind cunoştinţele pe care le ai legate de funcţionarea acesteia: de exemplu ştii că la viteză
mare presiunea pe roţi creşte, vezi o piesă mai slabă în angrenaj şi imediat faci asocierea dintre
ceea ce ştii şi ceea ce vezi şi îţi dai seama că există riscul ca piesa să cedeze. Este vorba despre
ceea ce ştii şi modul în care îl asociezi cu ceea ce vezi.
Adică este exact ceea ce Sherlock Holmes face cel mai bine.
Şi exact cum am zis mai sus, dacă vrei să faci cât mai bine managementul riscului, adică să îţi
îmbunătăţeşti sistemul asociativ, este de bază să îţi sporeşti cât mai mult cunoştinţele. Atât
cunoştinţele despre managementul riscului în sine, cât şi cunoştinţe generale, cât şi, mai ales, cele
legate de activitatea pe care îţi propui să o analizezi.
3. Managementul riscurilor necunoscute. Riscurile sunt prin definiţie nişte necunoscute, nişte
variabile în funcţie de care lucrurile pot decurge într-un mod sau altul. Identificându-le ajungem
să le cunoaştem. Dacă ne uităm la procesul de management al riscurilor, acesta are 4 paşi:
identificarea riscurilor, analiză acestora, planificarea răspunsurilor şi implementarea lor. Ultimii
3 paşi se aplică riscurilor identificate la primul pas. Ce facem însă cu acele riscuri pe care nu le
identificăm?
În orice activitate, oricât vei încerca să prevezi totul, vor rămâne situaţii neprevăzute. A se vedea
Titanicul, care teoretic era de nescufundat. Sunt convins că avea cele mai avansate sisteme la
momentul respectiv pentru a se asigura siguranţa vasului, dar un iceberg care loveşte în aşa fel
încât să provoace exact acel tip şi acea cantitate de daune prea mari pentru a fi suportate, la asta
nu s-au gândit. Şi dacă se gândeau şi mai făceau câteva mecanisme de siguranţă, tot ar fi putut fi
altceva: un iceberg mai mare, un incendiu la bord etc.
Riscurile necunoscute există din două motive: fie o identificare incompletă în cadrul primului pas
al procesului, fie riscuri care pur şi simplu nu este rezonabil a fi analizate. Evident oricând poţi să
fii lovit de asteroid, de fulger sau, ca să fim şi optimişti, să câştigi la loto. Dar nu e rezonabil să îţi
faci planuri de vacanţă cu banii de loto pe care încă nu i-ai câştigat.
8
Managementul riscului nu ar fi complet dacă nu ar trata inclusiv aceste riscuri. Tratarea lor se
face în două moduri. La nivel mai mic, uzual, se face prin oprirea unei rezerve, în general
financiare. Banii albi pentru zile negre cum zice romanul. Resurse de rezervă pentru situaţii
neprevăzute. Însă şi aici se aplică primul punct de mai sus şi anume este nevoie de expertiză
pentru a fi cât mai exact în suma pe care o pui de rezervă. Rămânând la exemplu cu bani de
rezervă, nu are sens să pui de-o parte 10 lei – vei putea maxim să mănânci o masă cu ei. Tot la fel
cum nu are sens să pui de o parte 1 miliard de euro (presupunând că îi ai). Suma e mult prea
mare şi mai bine ai face să opreşti o suma mai mică şi să investeşti restul. În mediul business în
care circulaţia banilor este vitală, este important să ştii să pui de o parte exact cât este nevoie, nu
mai puţin să nu îţi ajungă, nici mai mult şi să blochezi banii fără să fie nevoie.
Al doilea mod de a trata riscurile necunoscute se aplică situaţiilor de lungă durată. Vorbim de
strategii pe ani zile, schimbări de politică la nivel naţional sau la nivel de corporaţii mari, proiecte
foarte importante şi care se întind pe o perioadă lungă şi aşa mai departe. Întrucât acestea sunt în
general activităţi cu impact mare în exterior (către populaţie, către un număr mare de clienţi etc.)
şi care se finalizează după mai mulţi ani, uneori poate chiar zeci de ani, este necesar ca definirea
rezultatelor acestora să se facă astfel încât la final acestea să nu fie deja învechite. De exemplu nu
este în regulă să îţi propui un proiect în care în 8 ani de acum să restructurezi agricultura
României aşa încât să se mapeze pe cele mai noi tehnologii existente, pentru că peste 8 ani
acestea vor fi deja învechite. Trebuie mai întâi să încerci să identifici cât mai exact cum vor fi
tehnologiile peste 8 ani, să înţelegi direcţia în care acestea evoluează şi cam unde vor ajunge, şi
scopul tău să fie integrarea acelora care vor fi atunci de vârf în agricultură, şi nu a celor care sunt.
Este ceea ce se numeşte futurologie, iar companiile mari folosesc astfel de specialişti angajaţi în
tehnici specifice cum ar fi „horizon scanning”, analiza trendurilor sau identificarea a ceea ce se
numesc „wild cards” sau „black swans” – lebede negre (riscuri cu probabilitate foarte mică dar
impact foarte mare).
Orice organizaţie se constituie pentru a realiza anumite scopuri în raport cu care se orientează
activităţile desfăşurate în cadrul acesteia. În afara unor scopuri, nu există organizaţie, deoarece
acestea constituie însăşi raţiunea ei de a fi.
Scopurile sunt cunoscute sub denumirea generica de obiective. În sectorul privat, obiectivul
principal al organizaţiei îl constituie fructificarea capitalului investit, pe când, în sectorul public,
accentul cade pe interesul general, adică producerea unui serviciu public sau oferirea unui
beneficiu pentru publicul larg.
Obiectivele organizaţiei nu se rezumă numai la cele derivate din scopurile pentru care a fost
creată. Pentru atingerea scopurilor, organizaţia utilizează resurse, fapt pentru care este necesară
definirea unor obiective legate de utilizarea eficientă a acestora şi de securitatea activelor. De
asemenea, organizaţia generează şi utilizează informaţii, deci o serie de obiective vizează
fiabilitatea informaţiilor interne şi externe, în cadrul cărora un loc central îl ocupă fiabilitatea
informaţiilor contabile, deoarece acestea reflectă situaţia financiară şi patrimonială. Organizaţia
îşi desfăşoară activităţile într-un mediu reglementat şi, prin urmare, este firesc să-şi stabilească
obiective legate de conformitatea cu legile, actele normative subsecvenţe, regulamentele şi
politicile interne.
Aceste obiective constituie obiectivele generale ale oricarei organizaţii. Ele se descompun până la
nivel individual, formând un ansamblu coerent de obiective subordonate celor generale.
Obiectivele operaţionale (la nivelul fiecărei activităţi) trebuie exprimate prin indicatori de
9
rezultate, pentru a putea fi monitorizate. Din această cauză, obiectivele sunt denumite în mod
curent şi “rezultate ce trebuie obţinute” sau “rezultate aşteptate”.
Oricare ar fi organizaţia, atingerea obiectivelor stabilite sau obţinerea rezultatelor aşteptate este
grevata de incertitudine, care poate deveni o barieră în calea succesului sau o oportunitate.
Incertitudinea există, indiferent de modul în care o percepem. Am fost obişnuiţi să lucrăm în
termeni determinişti şi să ignorăm incertitudinea, deşi la fiecare pas ne lovim de ea. Oricând pot
apare situaţii sau evenimente, acţiuni sau inacţiuni, care au drept consecinţă neatingerea
obiectivelor sau se pot constitui în oportunităţi ce trebuie exploatate. Astfel de probleme care pot
apare şi care influenţează în sens negativ sau pozitiv obţinerea rezultatelor dorite sunt denumite
riscuri.
Cu certitudine, fiecare s-a lovit de nenumarate ori de astfel de probleme, doar ca nu le-a denumit
riscuri. În plan individual, suntem mai conştienţi de existenţa riscurilor, însă, în plan
organizaţional (a activitătii pe care o desfăşurăm în cadrul unei organizaţii) avem tendinţa de a le
minimaliza, fiindcă nu avem exerciţiul perceperii incertitudinii.
De câte ori în activitatea desfăşurată nu am făcut afirmaţia: dacă aş fi ştiut că se poate întâmpla
asta aş fi procedat altfel. Când am făcut această afirmaţie, de fapt, ne-am exprimat regretul că nu
am identificat riscul pentru a lua măsurile necesare, iar acesta s-a materializat într-o stare de fapt
care a produs consecinţe (impact) asupra a ceea ce ne-am propus să realizăm (obiectiv).
Din cele de mai sus rezulta că riscurile trebuie identificate şi evaluate, din perspectiva
combinaţiei dintre probabilitatea că ceva (riscul) să se întample şi impactul (consecinţa asupra
obiectivului) pe care materializarea respectivei posibilităţi îl va avea. Rezultatul evaluarii
combinaţiei probabilitate - impact este denumită expunerea la risc.
Dar riscurile nu dispar complet nici după ce am procedat la controlul intern. Incertitudinea nu
poate fi eliminată, ci numai controlată. Daca renuntăm să mai trecem strada prin locuri fară pasaj
subteran sau renuntăm la metoda autorecepţiei la furnizor, ar fi prea costisitor şi ar cere prea
mult timp. Riscul care rămâne dupa aplicarea măsurilor de control intern se numeste risc
rezidual.
Dar resursele disponibile pentru gestionarea riscurilor sunt limitate, iar numarul riscurilor
creşte odată cu complexitatea organizaţiei şi a activităţilor desfăşurate pentru atingerea
obiectivelor. Prin urmare, este necesar să se urmarească un răspuns optim la risc, intr-o anumită
ordine de prioritati (profilul riscurilor) care rezultă din evaluarea riscurilor. În fiecare
organizaţie trebuie să se ia măsurile necesare (să se operaţionalizeze un sistem de control
intern) gestionării riscurilor până la un nivel considerat acceptabil. Acest nivel este numit
toleranţa la risc (sau apetitul pentru risc).
În orice caz, riscul rezidual (ceea ce a rămas din riscul inerent după punerea în operă a
mijloacelor de control intern) trebuie să se încadreze în toleranţa la risc.
În plan general, răspunsul la risc poate fi de următorul tip: acceptarea riscului; monitorizarea
riscului; evitarea riscului; transferarea (externalizarea) riscului; atenuarea riscului.
10
Fiecare organizaţie îşi desfăşoară activitatea într-un mediu care influenţează riscurile, dar care
creează, în acelaşi timp, un context ce fixează limitele în cadrul cărora riscurile trebuie
gestionate. Mai mult decât atât, fiecare organizaţie are parteneri pe care mizează în demersul de
atingere a obiectivelor. Din această cauză, un proces eficace de gestiune a riscurilor trebuie să ia
în considerare priorităţile stabilite de parteneri în gestionarea riscurilor. Prin urmare, mediul în
care subzistă organizaţia nu este neutru. În teoria şi practica consacrată riscurilor se vorbeşte
chiar de organizaţia extinsă (la nivelul mediului cu care interacţionează).
ORGANIZAŢIA colectivitate de oameni care lucreazã împreunã într-un proces ce are la bazã
diviziunea muncii, pentru a atinge un scop comun.
Sistemul informational opereaza in contextul a doua medii: intern si extern. Amandoua afecteaza
modul in care fluxurile informationale sunt conduse in scopul furnizarii de servicii catre clienti,
beneficiari etc. Daca managerul si personalul nu au o viziune clara asupra acestor medii si asupra
impactului pe care il au asupra operatiilor lor, efortul este inutil.
Mediul intern al organizatiei cere aceeasi atentie in conducere ca cel extern. Mediul intern
cuprinde factorii din interiorul organizatiei care ii influenteaza activitatea. Factori precum:
structura, cultura, valorile, stilurile manageriale, comunicarea, tehnologia constituie mediul
intern.
De asemenea, factorii mediului intern sunt influentati de mediul extern. Mediul extern cuprinde
conditiile exterioare in care serviciile informationale opereaza. Cele mai multe organizatii
opereaza in medii complexe, in schimbare, care in mod continuu creeaza noi provocari care
trebuie controlate pentru a asigura supravietuirea si succesul.
Analiza mediului extern si intern al organizatiei este procesul prin care se stabilesc
caracteristicile cheie ale mediului intern si extern al organizatiei care pot avea un impact asupra
acesteia la nivel strategic. O sarcina principala a managementului este sa se asigure ca serviciul
informational este performant si se adapteaza la schimbarile interne si externe. Acest lucru poate
fi realizat prin cateva procese.
11
Informatia initiala din mediul intern si extern trebuie sa fie culeasa, asimilata si evaluata. Cateva
metode de evaluare care pot fi folosite sunt: analiza SWOT, identificarea factorilor critici de
succes si profilul de capabilitate (capacitate). O greseala a managementului ar fi sa ignore sau sa
omita revizuirea continua a performantelor organizatiei in raport cu mediul intern si extern.
Adesea scuza pentru o astfel de practica este faptul ca se consuma mult timp. In schimb,
planificarea devine mai eficienta prin folosirea unui astfel de proces.
Analiza SWOT reprezinta un fel de scanare a mediului intern si extern al organizatiei, orientata
spre a surprinde patru aspecte ale activitatii intreprinderii/organizatiei: puncte forte, puncte
slabe, oportunitati si amenintari. Aceasta “scanare” reveleaza itemuri (probleme, cauze,
conditionari, articole) servind ca mijloace de propulsie ori, dimpotriva, actionand ca frane, pentru
atingerea obiectivului organizatiei. Prin alegerea strategiei corecte a unei organizatii, se poate
influenta impactul acestor forte in avantajul organizatiei. (idem)
Dintre aceste 4 aspecte esentiale pe care se bazeaza orice analiza SWOT, doua dintre ele
(Strengths si Weakness) au relatie directa cu mediul inten al organizatiei. Astfel, punctele tari
(Strengts) si punctele slabe (Weaknesses) sunt cele care reflecta mediul intern al organizatiei.
Punctele forte ale organizatiei, deci capacitatile, resursele si avantajele pe care ea le poseda,
competentele distinctive ale personalului managerial de cele doua nivele: executiv si decident,
precum si alti factori de succes ai intreprinderii/organizatiei, nu neaparat doar factori „tangibili”,
fizici, ci si elemente „intangibile”, precum asertiuni peremptorii din zona cunoasterii prudentiale.
‚Punctele forte’ ale organizatiei defines valorile pozitive si conditionarile interne care pot
constitui surse pentru succesul organizatiei in atingerea obiectivului managerial. Intr-adevar, din
punctul de vedere al managerului, un‚punct forte’ reprezinta oricare element, tangibil sau
intangibil, adica fizic ori numai intelectual, care faciliteaza atingerea obiectivelor manageriale. De
fapt, in analiza SWOT punctele forte sunt definite atat ca valori, cat si drept factori interni care
creeaza valorile.
Insistam asupra faptului ca ‘punctele forte’ pot sa fie gestionate in cadrul unui plan strategic al
organizatiei/firmei. ‚Punctele slabe’ ale organizatiei reprezinta conditionari interne ce sunt
contrariul valorilor propriu-zise, sunt punctele de slabiciune ale organizatiei, ariile sale de
vulnerabilitate, zonele de resurse sarace, si alte „valori negative” sau ‚conditionari negative’. Din
perspectiva managerului, un ‚punct de slabiciune’ reprezinta un element identificat in
organizatie, element ce poate impiedica atingerea obiectivelor manageriale ale organizatiei.
Punctele de slabiciune se pot imparti in doua categorii: i.) factori interni care distrug valorile; ii.)
conditii interne insuficient de bine focalizate pentru a putea sa creeze valori competitive in
conditiile globalizarii (de exemplu o gandire autarhica orientata spre echilibrul cu natura).
Conditionari si valori a caror cunoastere determina cadrul pentru stabilirea strategiei unei
organizatii: Conditionari interne /Puncte forte/ Puncte slabe si Conditionari externe
/Oportunitati /Amenintari.
12
Aceste informatii, colectate sub forma de inventare de itemuri, trebuie sa fie verificate sub
aspectele suficientei lor, a corespondentei cu obiectivele organizatiei si posibilitatii folosirii lor in
timp real. Cele patru inventare pot sa fie privite si ca elemente ale unei matrici, folosind
caracteristicile : intern, extern, pozitiv, negativ, pe post de indici ai elementelor.
Daca o anumita capabilitate este intalnita la toti competitorii, atunci ea este o necesitate, si
trebuie exclusa de pe inventarul punctelor forte. Pe de alta parte, daca respectiva capabilitate
este supusa ciclului Deming, precum si obligatiei unei auditari externe si certificari periodice, ea
trebuie sa fie mentinuta pe lista de puncte forte.
Exemple de puncte de slabiciune inerente sunt numeroase intr-o organizatie. Din punctul de
vedere universal acceptat al Ecologiei Industriale, consumul mare de energie al produselor si
serviciilor este un punct de slabiciune. Initial nu trebuie sa fie aplicat nici un filtru care sa
opreasca inscrierea factorilor banuiti a fi cauze de slabiciune, pe lista de itemuri « W » ale
organizatiei. Totusi, este obligatorie incadrarea lor in orizonturi de timp si ordonarea lor
ulterioara dupa importanta. Cele doua operatii vor scurta foarte mult lista, retinandu-se pentru
planificarea strategica numai itemurile prioritare pe termen lung.
In unele cazuri, un punct de slabiciune este numai reversul negativ al unui punct forte pozitiv: de
exemplu o capacitate de productie mare, sau depozite prea mari. Inainte de 1989, amplificand
prea mult punctele forte (care existau, realmente), intreprinderea industriala romaneasca le
transforma, inevitabil, in puncte de slabiciune. Si reciproca este valabila, imediat dupa 1989 :
apeland exagerat de mult la stilul managerial ‘hole-in-the-floor’, gestionarea guvernamentala de
sus in jos aplicata industriei a reusit sa distruga atunci foarte multe dintre punctele forte ale
industriei romanesti, pentru care au lucrat generatii intregi de specialisti extrem de capabili.
Puncte de forta si puncte de slabiciune exista in interiorul unei firme, ori in relatiile cele mai
importante dintre o firma si clientii sai. Asa cum am constatat deja, punctele forte sunt factori
interni ai intreprinderii/organizatiei care au un potential pozitiv in planul strategic pentru
atingerea obiectivului intreprinderii/organizatiei, iar punctele de slabiciune constituie sau
instituie vulnerabilitati. ‘Punctele forte’ si ‘punctele de slabiciune’ pot sa fie supuse unui control
managerial.
13
Colectarea informatiei despre punctele forte si punctele de slabiciune trebuie focalizata pe
constatarea prezentei unor factori interni precum capabilitati si competente ale personalului,
resurse interne, valori de natura monetara sau facil translatabile monetar etc, ori, dimpotriva, pe
absenta acestora.
Compilarea si inregistrarea punctelor forte poate incepe si prin evidentierea ariilor in care
intreprinderea/organizatia exceleaza. Alcatuirea inventarului punctelor forte ale organizatiei
ofera deci si avantajul ca sunt examinate atent valorile tangibile si intangibile existente in cadrul
organizatiei.
Astfel, punctele forte ale companiei trebuie sa fie dezvoltate pana la obtinerea unui avantaj
competitiv pe baza lor, printr-o adecvare cu oportunitatile sau prin utilizarea lor pentru
depasirea obstacolelor.
Sintagma ‘puncte forte’ descrie in SWOT atribute pozitive, care sunt “tangibile” si “intangibile”,
din interiorul organizatiei. Punctele forte semnificative sunt integral controlate si utilizate de
catre un management de calitate al problemelor organizatiei.
Astfel momentul realizarii inventarului de ‚puncte forte’ al unei organizatii este in acelasi timp
ocazia trecerii in revista a valorilor, tangibile si intangibile, existente intr-o organizatie. Punctele
forte trebuie sa fie cautate, examinate, si evaluate pe diverse zone ale organizatiei: marketing,
finante, procesele de fabricatie, caracterul tehnologiilor, competente, chiar si in structura
organizationala. Sa observam ca in structura organizationala sunt prezente si puncta forte, cat si
puncte de slabiciune.
Un punct forte al organizatiei economice poate sa fie: 1.) expertiza in marketing; 2.) un
produs/serviciu inovativ; 3.) locatia privilegiata pentru afacerile organizatiei economice; 4.)
calitatea organica a produselor ; 5.) Nivelul tehnologic ; 6.) Respectarea standardelor ISO de
calitate a produselor/serviciilor.
De la acest nivel, un punct forte devine o capabilitate. Dar atunci cand itemurile interne judecate
a fi pozitive pentru obiectivele firmei sunt inscrise pe lista punctelor forte, devine imperativ ca
ele sa fie considerate atat din punctul de vedere al intereselor mai generale pentru companie, cat
si din punctul de vedere al clientului care cumpara. Elementele clamate pe lista punctelor forte
nu trebuie sa fie modeste, dar este necesar ca ele sa fie realiste.
Alaturi de calitatea organica si de calitatea statistica, mai trebuie considerat si orice aspect din
activitatea organizatiei care adauga valoare produsului ori serviciului. Calitatea profesionala a
personalului angajat este o asemenea resursa. Compania economica mai poate enumera si puncte
forte din categoria cunoasterii: Cunoastem standardele, sistemele, retelele, conectivitatile,
programarea, gestionarea datelor, distribuitorii capabili sa adauge valoare produselor noastre,
etc.
14
Avantajele culturale, de atitudine, comportamentale constituie de asemenea puncte forte ale
organizatiei.
Care sunt resursele naturale de care dispune organizatia ? Si locatia geografica poate constitui o
diferenta care introduce un avantaj. De exemplu locatia geografica ofera uneori exclusivitatea
accesului la resurse naturale de foarte buna calitate.
Exista un numar din ce in ce mai mare de companii care mizeaza foarte mult in planurile lor
strategice pe competentele existente in interiorul firmei de a lucra cu mecanismele comerciale
oferite de protocolul de la Kyoto sau de alte reglementari de mediu. Totusi, trebuie facuta o
distincte clara intre ‘puncte forte’ si ‘oportunitati’. Daca ‚oportunitatile’ pot deveni uneori ‚puncte
forte’, reciproca nu este valabila.
Este foarte important pentru managementul proactiv al unei organizatii sa fie cautate,
identificate exact, si gestionate spre ameliorare, punctele slabe din organizatie, inainte ca ele sa
se transforme in vulnerabilitati acute pentru organizatie.
Sa reamintim ca punctele de slabiciune (W) sunt factorii interni cu potentialitate negativa din
organizatii. Acesti factori se afla, principial, sub control managerial, insa datorita absentei unei
gestionari la timp si corecte, elementele respective sunt degradate pana la un stadiu in care
15
impiedica organizatia/compania sa obtina si/ori sa mentina un avantaj competitiv, ori sa
avanseze doar catre atingerea obiectivului, daca organizatia respectiva este non-profit.
Punct de slabiciune este orice cauza interna care blocheaza obtinerea unui avantaj al organizatiei
prin exploatarea unei oportunitati externe, precum si orice element intern care induce
vulnerabilitatea organizatiei la un risc extern.
Primul punct de slabiciune este chiar absenta ‘deschiderii’ organizatiei catre mediul exterior.
Daca aceasta este o companie economica, ea trebuie sa ofere produse si/ori servicii pe piata. Iar
daca este organizatie non-profit, care sunt actiunile ei societale, relevante in contextual
dezvoltarii durabile ?
Privind si dintr-o perspectiva pozitiva (perspectiva proprie analistului SWOT), putem spune ca
punctele de slabiciune definesc ariile din interiorul organizatiei unde exista potentialitatea unor
ameliorari ale performantelor generale ale organizatiei prin gestionarea eficienta a domeniilor de
slabiciune pentru organizatie.
In categoria punctelor de slabiciune care pot sa fie transformate astfel incat sa induca o
repolarizare catre progres in organizatie intra, de exemplu, lipsa temporara de expertiza. Prin
antrenamentul personalului existent in competentele care lipsesc, ori prin angajarea unor
persoane perfect calificate in acele zone ale cunoasterii, respectiva chestiune se poate gestiona cu
succes. Rolul zonei interne din focalizarea analizei SWOT este acela de a determina unde sunt
disponibile ‘resursele’ intr-o organizatie, si unde lipsesc acestea, in felul acesta fiind identificate
unele dintre punctele de forta si unele dintre punctele de slabiciune. De exemplu, se constata ca
organizatia dispune de resurse materiale limitate. Dar acesta este un punct de slabiciune pentru
majoritatea organizatiilor ! Totusi, numai unele organizatii reusesc sa gestioneze acest aspect si
sa se mentina in competitia pe piata ori intr-o activitate societala cu efectivitate. Operarea unei
organizatii dincolo de resursele sale constituie un punct de slabiciune care poate distruge
organizatia.
Dintre alti factori care principial se afla, ori se vor afla, sub controlul managerial, putem
mentiona:
- inaccesibilitatea unor tehnologii noi;
- oferta inferioara de servicii ;
- locatia defectuoasa a unei afaceri (‘delocalizarea’ sau ‘off-shoring’ fiind o solutie manageriala
preferata in conditiile globalizarii pentru rezolvarea acestei deficiente) ;
- lipsa de licente proprii.
16
Structura organizationala poate fi atat un punct forte, cat si un punct de slabiciune. Daca
structura organizationala este un punct de slabiciune, atunci analiza mediului intern si extern
poate eventual revela :
- o conducere defectuoasa, care de exemplu nu este interesata de angajarea unor specialist care
adauga valoare;
- lipsa de tinte manageriale clare;
- o delegare insuficienta a parcelelor de putere si a responsabilizarilor;
- lipsa de incredere;
- comunicare defectuoasa de la varf catre baza.
Si absenta unui anumit punct forte poate fi vazuta ca un punct de slabiciune. Operatia insasi de
identificare a punctelor de slabiciune este extrem de importanta pentru orice organizatie. De
acuratetea acestei operatii depinde in ultima instanta si succesul planificarii strategice. Intr-
adevar, desi unele dintre punctele de slabiciune nu vor induce neaparat si consecinte negative
pentru organizatie, acele punct de slabiciune care sunt percepute in permanenta de catre client
trebuie sa fie considerate o prioritate de gestionare (management) pana la eliminarea lor.
Intarzierea descoperirii acestor puncte de slabiciune va lovi in continuare organizatia; intarzierea
se datoreaza uneori si lipsei de acuratete in analiza mediului organizatiei.
17
- Cine sunt clientii firmei? Care sunt factorii care influenteaza comportamentul clientilor?
Cine sunt clientii potentiali?
- Care sunt produsele oferite? In ce stadiu al ciclului de viata se afla? Care este tipul gamei
sortimentale?
- Care sunt reactiile clientilor la schimbarea preturilor? Sunt practicate preturi atractive?
- Care sunt activitatile de promovare utilizate? Prin ce se diferentiaza fata de concurenta?
- Sunt utilizate metodele si tehnicile de marketing in cadrul intreprinderii?
- Ce pozitie ocupa managerul de marketing in cadrul intreprinderii?
Finantele
- Care sunt obiectivele, strategiile, politicile si programele financiare?
- Cum se prezinta situatia financiara a intreprinderii (structura financiara, gestiunea
resurselor financiare, rezultatele) si care sunt factorii principali de influenta?
- Cum se efectueaza planificarea financiara?
- Exista concordanta intre incasari si plati?
- Este respectata regula echilibrului financiar?
- Care sunt metodele utilizate in analiza financiara?
- Care sunt metodele si instrumentele utilizate in repartitia rezultatelor financiare?
- Ce metode sunt utilizate pentru elaborarea deciziilor financiare?
- Ce pozitie ocupa managerul financiar in cadrul intreprinderii?
Cercetare-dezvoltare
- Care sunt obiectivele, strategiile, politicile si programele de cercetare-dezvoltare?
- Cum se realizeaza proiectarea produselor?
- Care se desfasoara pregatirea tehnologica a produselor, lucrarilor si serviciilor?
- Exista un buget alocat pentru dezvoltarea capacitatilor de productie?
- Cum este masurata eficienta activitatii de cercetare-dezvoltare?
- Ce pozitie ocupa managerul de cercetare-dezvoltare in cadrul intreprinderii?
Productia/serviciile
- Care sunt obiectivele, strategiile, politicile si programele de productie?
- Cum se realizeaza programarea, lansarea si urmarirea productiei?
- Sunt utilizate metodele si tehnicile moderne de management al productiei?
- In ce proportie este utilizata capacitatea de productie?
- Sunt respectate principiile proportionalitatii, ritmicitatii si continuitatii?
- Este promovata conceptia calitatii totale in cadrul intreprinderii?
- Care sunt metodele utilizate in controlul calitatii produselor?
- Ce pozitie ocupa managerul de productie in cadrul intreprinderii?
Resursele umane
- Care sunt obiectivele, strategiile, politicile si programele de dezvoltare a resurselor
umane?
- Intreprinderea dispune de necesarul de salariati pe fiecare categorie?
- Ce metode sunt utilizate in recrutarea, selectia si promovarea personalului?
- Cum se realizeaza pregatirea profesionala?
- Cum se prezinta conditiile de munca in intreprindere?
- Sistemul motivational se afla in concordanta cu performantele realizate?
- Care este coeficientul de fluctuatie a angajatilor?
- Care este starea de spirit a salariatilor? Care sunt elementele definitorii pentru relatiile
interpersonale din cadrul grupurilor de munca?
- Ce pozitie ocupa managerul de personal in cadrul intreprinderii?
18
Sistemul informational
- Care sunt obiectivele, strategiile, politicile si programele in domeniul sistemului
informational al intreprinderii?
- Circuitul informatiilor este optimizat din punct de vedere economic?
- Baza de date a intreprinderii este permanent actualizata?
- Sunt realizate analize sistemice? Sunt implementate sisteme interactive de asistare a
procesului decizional?
- Sunt utilizate echipamente moderne de procesare a informatiei?
- Ce pozitie ocupa managerul sistemului informational in cadrul intreprinderii?
Exista un anumit « risc » al evaluarilor si re-evaluarilor interne ale organizatiei. Fiind extrem de
concentrata asupra optimizarilor interne, organizatia poate risca sa piarda contactul cu lumea
inconjuratoare, cu piata. La extrema, firma refuza sa ia in considerare semnalele negative venite
din exterior, fiind in continuare convinsa ca se afla pe drumul cel bun.
5. IDENTIFICAREA RISCURILOR
Pentru a se gestiona riscurile într-o organizaţie, este necesar, înainte de toate, să se cunoască
aceste riscuri, adică să fie identificate. Identificarea riscurilor constituie primul pas în
construirea profilului riscurilor unei organizaţii.
Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a caror realizare este
afectata de materializarea lor. Din această cauză existenţa unui sistem de obiective clar
definite în organizaţie constituie premisa esentiala pentru identificarea şi definirea riscurilor.
Definiti clar sistemul de obiective, începând cu cele generale şi terminând cu cele individuale, şi
numai după aceea încercaţi să identificaţi ameninţările şi oportunităţile. Un risc identificat
poate avea semnificatie pentru mai multe obiective ale organizaţiei, iar impactul său poate
varia în funcţie de fiecare obiectiv în parte.
Identificarea şi definirea unui risc în raport cu un obiectiv este rareori suficientă. Încercaţi să stabiliţi şi
celelalte obiective asupra cărora respectivul risc are consecinţe. S-ar putea găsi măsuri de tratare a
respectivului risc în raport cu ansamblul obiectivelor pe care le afectează.
19
În raport de situaţia în care se află organizaţia, identificarea riscurilor se poate afla într-una
din urmatoarele ipostaze:
• Identificarea initiala a riscurilor caracteristică organizaţiilor noi sau care nu şi-au
identificat anterior riscurile, într-o manieră structurată. De asemenea, această situaţie se
întalneşte în cazul demarării unui nou proiect sau atunci când o activitate nouă este introdusă
în organizaţie.
• Identificarea permanentă a riscurilor caracteristică organizaţiilor în care s-a
consolidat managementul riscurilor. Identificarea continuă este necesară pentru cunoaşterea
riscurilor care nu s-au manifestat anterior datorită circumstanţelor, a schimbării circumstanţelor
în care se manifestă riscurile identificate anterior, precum şi pentru stabilirea riscurilor care s-au
manifestat în trecut, dar care nu mai prezintă, în prezent, importanţa pentru organizaţie.
Pentru un management eficace al riscurilor, identificarea riscurilor trebuie să capete un caracter permanent.
Identificarea continuă a riscurilor este conditia necesară racordarii la schimbare.
Nu pierdeţi din vedere ca riscul este o problemă (situaţie, eveniment etc.) care poate să apară, dar care nu a
aparut încă. Riscul este o posibilitate, şi nu un fapt împlinit.
• Nu ignoraţi problemele dificile identificate. Ele pot deveni riscuri în situaţii repetitive
din cadrul aceleiaşi organizaţii sau pentru alte organizaţii în care astfel de riscuri nu s-au
materializat. Arătam, în secţiunea precedentă, că managementul riscurilor presupune un proces
de învăţare. Din experienţele trecute trebuie să învăţăm, pentru a controla mai bine viitorul.
Dacă circumstanţele se pot repeta, trataţi problemele dificile şi ca riscuri. Prin urmare, puneţi în operă şi
măsurile specifice gestiunii riscurilor.
Riscurile sunt probleme care pot apare şi nu probleme (situaţii, evenimente) a căror apariţie este
imposibilă.
Considerarea unor ficţiunii ca fiind riscuri generează risipă de resurse şi disiparea eforturilor spre probleme
ipotetice, ştiut fiind faptul că fiecare risc identificat necesită elaborarea unui plan de răspuns.
20
• Riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul nu este
risc, ci consecinţa materializării riscurilor asupra realizării obiectivelor. Impactul este un efect ce
îşi are sorgintea în risc şi nu riscul însăşi.
Riscurile sunt situaţii, evenimente probabile, care dacă s-ar materializa ar avea consecinţe
asupra obiectivelor.
Există tentaţia de a defini riscul prin impact: risc de a întârzia, risc de accident, risc de inundaţii, risc de
prejudiciere, risc de infidelitate a rapoartelor contabile, risc de dezechilibru. Pentru a evita erorile definiţi
clar obiectivele şi raportaţi-vă la ele. Definiţi apoi ce efecte negative există asupra acestor obiective.
Identificaţi situaţii sau evenimente care ar putea produce aceste efecte. Reţineţi că definirea riscurilor nu
este absolută, ci relativă fiind conditionată de definirea obiectivelor. Nici atunci când obiectivele sunt
aceleaşi, deoarece ele depind de circumstanţele concrete din fiecare organizaţie, riscurile nu se definesc la fel.
Doua organizaţii identice nu există. Din această cauză riscurile sunt, în primul rând, probleme interne şi nu
generale.
Nu există riscuri în mod absolut, ci numai riscuri corelate cu obiectivele. Identificarea riscurilor
nu este un scop în sine. Scopul identificării riscurilor este tocmai inventarierea acelor probleme
care ar putea conduce la nerealizarea obiectivelor, dacă s-ar materializa (ar deveni situaţii de
fapt).
La identificarea riscurilor este necesar să se elimine, pe cât posibil, tentaţia stabilirii unor cauzalitati
indirecte. În caz contrar, există pericolul de a se vedea riscuri peste tot.
• Riscurile au o cauză şi un efect asupra obiectivelor. Există o cauză pentru fiecare risc şi un
efect dacă riscul se materializeaza. Efectul (consecinţa) este, aşa dupa cum s-a arătat, impactul.
Cauza este o situaţie care există (circumstanţa) şi care favorizează apariţia riscului.
• Faceti deosebirea intre riscul inerent şi riscul rezidual. Riscul inerent este riscul
specific ce ţine de realizarea obiectivului, fără a se interveni prin măsuri de atenuare a riscurilor
(controlul intern). În exemplele arătate anterior, riscurile identificate sunt riscuri inerente. Ele
ţin de problema în sine.
Riscul rezidual este riscul ce rămâne după ce s-au pus în operă măsurile de atenuare a riscurilor
inerente sau, cu alte cuvinte, riscurile remanente controlului intern. Riscul rezidual este
consecinţa faptului că riscurile inerente nu pot fi controlate în totalitate. Oricâte măsuri s-ar lua,
incertitudinea rămâne. Mai mult decât atât, amploarea măsurilor de ţinere sub control a
riscurilor inerente este limitată, deoarece resursele posibil de antrenat sunt ele însele limitate.
Identificarea riscurilor inerente este utilă, deoarece crează o imagine a riscurilor cu care se poate confrunta
organizaţia daca sistemul de control intern nu funcţionează corespunzator.
De asemenea, identificarea riscurilor reziduale este importantă deoarece ele constituie o măsură a
eficacităţii controlului intern, dar şi un reper de raportare la tolerabilitate la risc
21
• Identificarea riscurilor nu este întotdeauna o operatiune strict obiectiva ci, în
primul rând, o problema de percepţie. De fapt, se poate afirma ca nu se operează cu riscuri în
sine, ci cu percepţii asupra riscurilor.
Rolul managerului acelei activităţi este esenţial în autoevaluare. Având o viziune de ansamblu a
activităţii pe care o coordonează, percepe mai bine riscurile generale şi intercondiţionarile dintre
riscurile individuale. De asemenea, acesta identifică acele riscuri care afectează activitatea
grupului, dar pe care nu le poate controla la nivelul său fiind necesară intervenţia
managementului de nivel imediat superior.
Pentru început, dar şi pentru procesul de revizuire continuă, este bine ca organizaţia să-şi
formeze un grup de persoane care să capete abilităţi în identificarea riscurilor. Aceste persoane
pot asista colectivele de autoevaluare.
- Desemnarea unei echipe, interna sau externa (eventual angajată prin contract), care să
analizeze toate operaţiunile şi activităţile organizaţiei în corelare cu obiectivele şi să identifice
riscurile asociate. Echipa trebuie să realizeze un profil al riscurilor organizaţiei. Avantajul acestei
metode consta în atenuarea subiectivismului şi în corelarea riscurilor pe diferite nivele.
Dezavantajul rezidă în faptul că anumite riscuri, aparent neimportante, pot fi ignorate.
22
Explorarea viitorului depinde de măsura în care este susţinută de
tehnologie. Anumite organzaţii folosesc în identificarea riscurilor
Rigurozitate / Specialitate
scheme sofisticate şi tehnologii avansate de căutare a informaţiilor.
Altele se bazează pe reţeaua de contacte şi o bună judecată.
Consideram că este utilă prezentarea unei tipologii a modalităţilor în care diferite organizaţii
abordează cercetarea viitorului.
Riscurile identificate trebuie grupate. Nu există o grupare standard, fiecare organizaţie poate adopta
propriul sistem de grupare a riscurilor cu scopul de a le administra corespunzător. Apartenenţa la o clasa
de probleme, nivelele de responsabilitate în gestionarea riscurilor, congruenţa măsurilor ce trebuie luate
etc, pot constitui elemente în bază cărora să se facă această grupare.
După amploarea impactului riscurile pot fi strategice sau operaţionale (în unele abordări apar şi
riscurile intermediare sau de program). De asemenea, unele riscuri îşi au sorgintea în mediul
extern organizaţiei (riscuri externe), iar altele sunt proprii organizaţiei însăşi (riscuri interne).
De asemenea, pot fi privite prin prisma naturii activităţii, caz în care, acestea pot fi riscuri:
legislative, juridice, financiare, profesionale, sociale, comerciale, informationale, de functionare,
de mediu, de imagine (credibilitate), patrimoniale etc.
Cu titlu de exemplu, redăm mai jos tabelul cuprinzând categoriile de riscuri realizat de
Ministerul Finanţelor din Anglia (Treasury) menit să sprijine organizaţiile să verifice dacă au
luat în considerare întreaga gama de riscuri ce pot apare.
Categorii de riscuri
1. Externe (care decurg din mediul extern şi nu pot fi controlate în totalitate de organizaţie, dar
pentru care pot fi luate măsuri de atenuare
1.1. Politice
1.2. Economice
1.3. Socio-culturale
1.4. Tehnologice
1.5. Juridice
1.6. De mediu
2. Operaţionale (legate de operaţiile curente, atât modul curent de desfăşurare a activităţii, cât şi
construirea şi menţinerea capacităţii şi capabilităţii)
2.1. Desfăşurarea activităţii
2.1.1. Posibilitatea de a furniza un produs / serviciu
2.1.2. Derularea activităţilor / proiectelor
2.2. Capacitate şi capabilitate
2.2.1. Resurse (active, umane, financiare, informaţionale)
2.2.2. Relaţii
2.2.3. Operaţii (obţinerea rezultatelor)
2.2.4. Reputaţie
2.3. Modul şi capacitatea de gestionare a riscurilor
2.3.1. Guvernanta (regularitate şi corectitudine)
2.3.2. Explorare (capacitatea de identificare riscuri şi oportunităţi)
2.3.3. Flexibilitate şi adaptabilitate
2.3.4. Securitate (active, sociala, informaţională)
23
3. Schimbarea (riscuri ce ţin de obiective, care depăşesc capacitatea actuală)
3.1. Noi strategii
3.2. Noi politici
3.3. Noi programe
3.4. Noi proiecte
Identificarea riscurilor se poate realiza prin mai multe metode cum ar fi:
A. Chestionare
B. Brainstorming
C. Jurnale
D. Modele comportamentale
E. Diagrame
F. Diagramele de flux
G. Şedinţe periodice cu personalul implicat
A) Chestionarul
Piloţii de aeronave nu au voie să decoleze până nu termină de completat o listă de verificări care
cuprinde o serie de parametri privind securitatea zborului. Dacă prin intermediul listei
respective se sesizează un lucru care nu este în regulă, se iau măsuri suplimentare de siguranţă,
sau se remediază problemele depistate, sau se anulează zborul. În orice caz, lista nu permite
decolarea decât în condiţii de maximă siguranţă, deci cu ajutorul acesteia sunt eliminate cauzele
apariţiei evenimentelor de risc cunoscute.
Această listă de verificare este practic un chestionar care cuprinde o serie de întrebări.
Răspunsurile la aceste întrebări permit conturarea unei situaţii faptice care ajută la luarea unei
decizii de demarare sau nu a unui proces. Acestea se pot dezvolta în orice domeniu, de exemplu
planificarea unei călătorii, verificarea parametrilor unui motor înainte de pornirea acestuia,
implementarea unui plan de afaceri etc.
Chestionarele sunt rezultatul muncii unor specialişti în domeniul în care ele sunt aplicate şi au
drept scop urmărirea parametrilor proiectaţi pentru evitarea situaţiilor care pot conduce la
abateri, situaţii care mai sunt denumite şi situaţii riscante. În contextul utilizării tehnicilor de
calcul şi a programelor specializate, chestionarele sunt o implementare a inteligenţei artificiale,
ele regăsindu-se astăzi în multe utilizări practice cum ar fi: sisteme de siguranţă a zborurilor,
computerele de bord ale automobilelor, sisteme de pază şi securitate etc.
În acest sens se are în vedere un chestionar cu 19 puncte de control, fiecare dintre ele având trei
variante cu câte un anumit punctaj:
24
1. Au fost corect estimate costurile?
a) Costurile proiectate sunt supraestimate (1 p)
b) Costurile proiectate sunt conform planificării (1 p)
c) Costurile proiectate sunt subestimate (4 p)
25
11. Se poate încadra proiectul în termenii stabiliţi?
a) Proiectul se poate finaliza înainte de termen (1 p)
b) Proiectul se poate finaliza la termen (2 p)
c) Proiectul nu se poate finaliza la termen (4 p)
După ce au fost parcurse aceste întrebări şi s-a răspuns obiectiv la fiecare dintre ele, se calculează
punctajul prin însumarea punctelor eferente fiecărui răspuns la fiecare întrebare şi se
interpretează rezultatele astfel:
- între 19 şi 30 de puncte – proiectul nu este riscant deoarece nu pune probleme
organizaţiei
- între 31 şi 39 de puncte – proiectul este riscant deoarece poate cauza anumite
probleme organizaţiei, dar acestea nu periclitează existenţa viitoare a acesteia
26
- între 40 şi 76 de puncte – proiectul este foarte riscant deoarece poate pune mari
probleme organizaţiei, periclitând viitorul acesteia.
Din exemplul prezentat mai sus se poate trage concluzia că un chestionar este utilizat în cadrul
unei organizaţii pentru a stabili nivelul de risc a proiectului unei activităţi viitoare, el fiind utilizat
adesea în selecţia proiectului cel mai convenabil. În general cel mai convenabil plan este cel care
implică asumarea riscurilor cele mai mici în vederea obţinerii beneficiilor cele mai mari.
B) Brainstorming
Utilizarea chestionarului ajută la identificarea unui anumit risc, dar nu le poate spune care este
sursa acelui risc, nu le poate preciza modul în care această sursă afectează activităţile şi nici nu
poate preciza o informaţie corectă dacă apar modificări ale realităţii. Aceste neajunsuri sunt
rezolvate de întrunirile brainstorming.
Termenul de brainstorming este preluat din literatura străină, şi în traducere liberă desemnează
o furtună de creiere. Această activitate constă într-o sesiune de lucru cu o anumită temă, la care
participă specialişti din domeniu. Aceştia aduc idei referitoare la tematica şedinţei, urmând ca
acestea să fie analizate şi selecţionate.
Brainstorming-ul îşi canalizează eforturile spre cele mai mici surse de risc care pot afecta
derularea unui proiect. În acest sens, participanţii la această activitate îşi pun întrebarea „Ce crezi
că se poate întâmpla pe parcursul derulării proiectului?” şi fiecare vine cu idei dintre cele mai
diverse. Pe parcursul şedinţei, nimeni nu trebuie să critice ideilor celorlalţi pentru a încuraja
fluxul continuu de contribuţii. Pe măsură ce o idee nouă apare, ea este scrisă pe hârtie, urmând ca
la sfârşitul furtunii să fie citite, analizate şi criticate toate.
Punctele slabe – după identificarea punctelor tari, se identifică punctele slabe ale
proiectului. În cazul nostru putem exemplifica drept puncte slabe lipsa unei
promovări eficiente, lipsa canalelor de distribuţie etc.
27
Oportunităţile – a treia etapă a acestei metode este se referă la identificarea
oportunităţilor proiectului. De exemplu, produsul trebuie lansat până la sfârşitul
sezonului deoarece există oportunitatea penetrării pieţelor locale şi naţionale ca
urmare a faptului că un eveniment X favorizează acest lucru.
C) Jurnale
În ultima perioadă, companiile sensibile la risc, au început să utilizeze jurnale ale activităţilor.
Aceste jurnale constituie instrumente utile în procesul de urmărire a derulării activităţilor pentru
o perioadă de timp specificată, care este de regulă lunară.
Conţinutul jurnalelor de activităţi este alcătuit din înregistrări ale evenimentelor notabile
petrecute de la sfârşitul perioadei precedente până în prezent. Dacă totul decurge conform
planului, în jurnal nu se evidenţiază nimic, în caz contrar se consemnează fiecare abatere cu
scopul de a atrage atenţia managerilor. Pentru ca aceste evenimente nedorite să nu afecteze
derularea proiectului, ele trebuie semnalate şi totodată trebuiesc luate măsuri de siguranţă
pentru contracararea efectelor pe care acestea le pot avea.
Situaţiile rezolvate consemnate în jurnal sunt folositoare dacă în viitor apar cazuri similare.
Având consemnate măsurile luate şi persoanele responsabile, în viitor se poate aborda o
problemă similară mult mai rapid, deci gradul de risc a unui eveniment similar trebuie să fie mai
scăzut. Aceste jurnale reprezintă o sursă importantă de date pentru identificarea riscurilor în
proiecte similare, precum şi pentru determinarea probabilităţilor de apariţie a acestora, pentru
analiza cantitativă şi calitativă a lor, pentru stabilirea modalităţilor de abordare etc.
D) Modele comportamentale
În practică există multe comportamente umane care pot fi prevăzute uşor, iar un analist de risc
trebuie să poată prevede apariţia şi consecinţele acestora. Acest lucru se face prin cunoaşterea
naturii umane şi implică mai mult arta intuiţiei decât ştiinţa exactă. Stabilirea modelelor
comportamentale presupune cunoştinţe psihosociologice pentru prevederea comportamentului
uman în anumite condiţii, în speţă în condiţii de stres.
Elizahu Goldratt, în cartea sa intitulată „The Critical Chain” (Veriga Slabă) prezintă importanţa pe
care o are anticiparea în munca planificată prin prisma psihologie umane. În acest sens el spune
că omul în condiţiile terminării unei sarcini până la un termen stabilit va face acest lucru doar în
apropierea acestui termen.
28
În sprijinul afirmaţiei sale, el prezintă două modele comportamentale şi anume:
- sindromul studentului
- legea lui Parkinson
Sindromul studentului constă în faptul că o persoană termină o sarcină doar pe ultima sută de
metri. Acest lucru este o consecinţă a multitudinilor sarcinilor pe care persoana respectivă le are
de finalizat în acelaşi timp. Din punct de vedere comportamental, atunci când o persoană are de
rezolvat mai multe lucruri în acelaşi timp, va rezolva întotdeauna situaţia care este catalogată ca
fiind foarte importantă şi va lăsa pentru mai târziu sarcinile considerate mai puţin importante.
Din acest punct de vedere probleme mai puţin importante de astăzi, devin crizele din ziua de
mâine.
Al doilea model comportamental descris de Elizahu Goldratt este legea lui Parkinson. Aceasta a
fost propusă de Northcote Parkinson în lucrarea sa Parkinson’s law: And other studies of
Administration (Legea lui Parkinson: şi alte studii în administraţie). Această lege spune că o
sarcină se extinde astfel încât să acopere întreaga perioadă de finalizare. Prin transpunerea
acestei legi în contextul unei planificări a muncii, se poate observa că oricât de multe precauţii
sunt luate în ceea ce priveşte siguranţa terminării unor operaţii în termenul stabilit,
comportamentul oamenilor implicaţi în proiect va determina ca sarcinile respective să fie
îndeplinite doar la limita specificată, cu riscul ca această limită să fie adesea depăşită. De exemplu
o activitate poate fi terminată în trei zile, dar echipa care va fi desemnată pentru finalizarea ei o
poate realiza în patru zile, iar din motive de siguranţă se i-au în calcul cinci zile. Aproape sigur,
echipa va finaliza sarcina cel puţin în patru zile, dar dacă intervine ceva termenul limită este
depăşit, deci riscul evenimentului nedorit determină şi riscul finalizării proiectului. Pentru a
înlătura acest neajuns, managerul trebuie să stabilească termenul limită la trei zile, pentru ca cei
însărcinaţi să termine în trei zile sau poate mai puţin, şi în cel mai rău caz în patru zile, păstrând
astfel rezerva riscului de depăşire a termenului pentru el.
Desigur mai există şi alte modele de comportament pe baza cărora se pot planifica activităţile şi
se pot identifica riscurile generate de acestea. Utilizarea modelelor comportamentale în procesul
de identificare a riscului se bazează pe natura umană necesită consultarea unor specialişti în
domeniu, respectiv psihologi, sociologi etc. dar are rezultate notabile mai ales în domeniul
riscului legat de resursele umane.
E) Diagrame
Diagramele reprezintă o tehnică de reprezentare grafică a diferitelor realităţi, ele fiind astfel de
un real folos analiştilor în activitatea lor de identificare a riscurilor. În practică se pot identifica o
serie întreagă de diagrame, dar dintre acestea cele mai des utilizate în identificarea riscului sunt:
diagrama tip schelet de peşte şi diagrama activitate/mediu.
29
schelet de peşte, coloana vertebrală indicând obiectivul principal al activităţii, respectiv produsul
finit, iar liniile oblice – activităţile care conduc la atingerea acestuia.
Cu ajutorul acestor diagrame se pot identifica riscurile fiecărei faze în parte prin răspunsul la o
serie de întrebări cum ar fi:
În faza de proiectare:
• Design-ul este căutat pe piaţă?
• Tiparele se pot încadra în material?
În faza de producţie
• Prin croire pierderile de material sunt mari?
• Există suficient personal la montaj?
• La finisare se regăsesc multe produse neconforme?
Fiecare răspuns negativ la întrebările de mai sus creşte riscul activităţii de producţie, şi poate
genera la rândul să întrebarea De ce? Dacă se găseşte răspunsul la aceasta, practic se găseşte o
metodă de abordare a riscului, deci există posibilitatea eliminării acestuia încă din faza
proiectării activităţii.
Diagrama activitate/mediu
Această diagramă se concentrează asupra modului în care o activitate interacţionează cu mediul
în care aceasta se desfăşoară. Premisa de la care se pleacă în această abordare este aceea că orice
proces interacţionează continuu cu mediul în care se desfăşoară. De exemplu, o societate
comercială interacţionează permanent cu furnizorii şi clienţii săi, cu banca unde are deschis cont,
cu autorităţile şi comunitatea locală etc, deci activitatea societăţii se desfăşoară prin intermediul
interacţiunii cu alte societăţi comerciale sau entităţi din mediul economic din care face parte. În
figura 2.2 este prezentat modul de organizare a unui concurs de desen pe asfalt. În această
diagramă se observă paşii procesului de organizare şi anume:
a) Invitarea participanţilor
b) Obţinerea autorizaţiilor
c) Verificarea stării vremii
d) Oprirea circulaţiei în zonă
e) Desfăşurarea concursului
Diagrama activităţii mai precizează şi elementele din mediul în care se desfăşoară şi cu care
interacţionează aceasta:
Autorităţi publice – emit autorizaţiile necesare desfăşurării concursului
Oficialităţi – persoane publice care se pot implica în proiect
Poliţia rutieră – asigură siguranţa desfăşurării concursului prin oprirea circulaţiei în zonă
Grădiniţele şi şcolile – sunt „furnizorii” de participanţi la concurs
30
Sponsorii – companii sau persoane fizice care asigură fondul de premiere
Furnizori servicii conexe – diferite companii care asigură serviciile conexe concursului (de
exemplu o companie de băuturi răcoritoare, sau o companie producătoare de dulciuri etc)
Un analist de risc, în momentul în care urmăreşte o astfel de diagramă, poate identifica toate
sursele de risc care decurg din aceasta. În acest sens sunt analizate toate elementele prezentate,
după care se i-au în discuţie toate posibilităţile de apariţie a unui eveniment de risc.
Prima fază a procesului este invitarea participanţilor. Pentru buna desfăşurare a concursului, se
doreşte ca numărul de participanţi să fie cât mai mare, iar aceştia să fie talentaţi. Pentru
îndeplinirea acestor condiţii se observă că poate exista riscul de a nu exista suficient de mulţi
concurenţi talentaţi necesari desfăşurării concursului.
A doua fază a procesului este obţinerea autorizaţiilor necesare, unde există riscul ca autorităţile
locale să nu aprobe desfăşurarea unui astfel de concurs din diverse motive. Desfăşurarea
concursului nu poate avea loc dacă vremea nu este favorabilă, deci starea vremii este o altă sursă
de risc. Sau, tot din punctul de vedere al vremii, există riscul ca biroul meteorologic să furnizeze
date care nu se adeveresc în ziua concursului, fapt ce implică un eşec total.
Riscul ca poliţia rutieră să nu poată opri circulaţia în zonă este aproape zero, dacă au fost
obţinute autorizaţiile de la autorităţile locale, dar poate exista riscul ca un intrus să pună în
pericol viaţa participanţilor, dacă organele de ordine nu reuşesc să îl oprească să pătrundă cu
autovehiculul în zona restricţionată.
După cum am putut observa în exemplul de mai sus, cu ajutorul diagramelor de tipul
activitate/mediu se elimină neajunsurile diagramei schelet de peşte, deoarece nu se rezumă doar
la analiza factorilor interni, ci caută să identifice şi factorii externi generatori de risc.
31
F) Diagramele de flux
Diagramele de flux simplifică foarte mult identificarea dinamicii unui proces. Dacă procesul este
bine proiectat, aceste diagrame sunt uşor de întocmit şi interpretat deoarece ele descriu procesul
şi funcţiunile sale de la faza de iniţiere a până la faza finală a acestuia. Detalierea procesului pe
faze permite o identificare facilă a surselor de risc şi evită pierderea din vedere a unora dintre
ele.
Datorită faptului că aceste operaţiuni nu depind de echipa care conduce proiectul studiului de
fezabilitate, riscurile pe care le implică acestea sunt mai mari decât riscurile generate de
operaţiunile interne ale procesului. Fiecare fază a procesului generează o serie de întrebări a
căror răspuns pot duce la identificarea riscurilor studiului de fezabilitate:
• Faza de proiectare
o Cine face proiectul?
o Este o persoană specializată?
o Are experienţă?
32
• Faza de finalizare
o Există posibilitatea apariţiei erorilor tehnice în acest proces?
Una dintre cele mai des utilizate şi totodată cu rezultatele cele mai bune în procesul de
identificare a riscului, este metoda întrunirilor periodice dintre manageri şi personalul implicat
în proiectul sau activitatea analizată. Prin intermediul acestora, participanţii îşi pot împărtăşi
părerile şi experienţa, ei având astfel oportunitatea să îşi exprime opiniile proprii şi să asculte
ideile altora. Veriga slabă a acestui proces constă în nivelul de pregătire al participanţilor, de
gradul de specializare şi experienţa pe care aceştia o au.
Aceste întâlniri mai sunt utile şi în discutarea riscurilor înregistrate în jurnalele de activităţi (vezi
paragraful 2.3) avându-se în vedere faptul că participanţii la aceste întâlniri sunt specialişti în
domeniu şi au viziunea necesară identificării, analizei şi abordării riscurilor specifice.
Adesea, în organizaţiile sensibile la situaţiile de risc se rezervă timp pentru astfel de întâlniri
periodice, tocmai pentru discutarea riscurilor determinate pe parcursul derulării activităţii,
precum şi a celor care se pot anticipa. În urma acestor întâlniri se pot lua şi decizii de abordare a
riscurilor identificate, deci utilitatea lor periodică este perfect justificată.
Elementele acestei definiţii sunt reflectate într-o schemă menită să sugereze procesul, numită
model de management al riscurilor.
33
Modelul prezentat mai jos împarte procesul de management al riscului în elemente componente,
aşezate într-o succesiune logică a acestui proces, însă, în realitate, aceste componente se îmbină
armonios, pentru a crea un întreg. Prin urmare, managementul riscurilor nu este un proces
linear, componentele lui interactionând. Gestionarea unui risc poate avea un impact asupra altor
riscuri sau măsurile identificate ca fiind eficace pentru controlarea unui risc se pot dovedi
benefice şi în controlarea altor riscuri.
ORGANIZAŢIA EXTINSĂ
ORGANIZAŢIE
IDENTIFICAREA EVALUAREA
RISCURILOR RISCURILOR
PROCES DE
ÎNVĂŢARE
Deşi nu apare figurată în model, tolerabilitatea la risc constituie premisa fundamentală în care
acesta funcţionează. Tolerabilitatea la risc caracterizează fiecare organizaţie în parte, datorită
faptului că defineşte managementul general practicat în acea organizaţie. O tolerabilitate mai
mare la risc nu înseamnă neapărat un management prost, după cum nici o tolerabilitate la risc
mai scăzută nu înseamnă cu necesitate un management bun. Reamintim că tolerabilitatea la risc
este legată de resurse şi problema esenţială este de a găsi un echilibru între resurse şi beneficii.
Managementul riscului este numai în parte aplicarea unor principii statuate la nivel de teorie.
Managementul riscului este un proces continuu de învăţare din experienţe trecute, proprii sau
ale altora. Ceea ce este extrem de important în demersul de a se ajunge la un management al
riscurilor eficace este consolidarea permanenta a unei culturi organizaţionale a riscurilor.
34
Managementul riscurilor este incompatibil cu atitudini de tipul: “las ! ca merge şi aşa”; “are grijă
altul, eu nu trebuie sa-mi fac probleme”; “vom trăi şi vom vedea”; “nu e dracul chiar atât de negru
pe cât pare”; “este o fatalitate” etc. Managementul riscurilor înseamna responsabilitatea asumată.
Aceasta este problema dificilă în calea implementarii unui management al riscurilor eficace, şi nu
deprinderea unei terminologii sau a unor tehnici.
7. EVALUAREA RISCURILOR
Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor unei organizaţii care, în
funcţie de tolerabilitatea la risc, permite stabilirea celor mai adecvate modalităţi de tratare a
riscurilor şi delegarea responsabilităţii de gestionare a riscurilor celor mai potrivite nivele
decizionale. Dar, a ierarhiza însemna a compara, iar pentru a compara trebuie concepută o
metodă unitară de evaluare a probabilităţii şi impactului riscurilor ca şi a rezultantei
compunerii lor numită, aşa după cum s-a arătat, expunere la risc.
Problema este dificilă, deoarece există riscuri care pot fi cuantificate şi pentru care există
suficiente date stocate în documentele organizaţiei cum ar fi, spre exemplu, riscurile
financiare, de personal sau de fiabilitate a aparaturii, dar şi riscuri care nu pot fi cuantificate
cum ar fi, spre exemplu, riscurile legate de credibilitate. Din fericire există un element comun,
şi anume: percepţia noastră asupra riscurilor. Fără îndoială, orice metodă bazată pe percepţie
este subiectivă, dar, în lipsă de altceva, este un mare pas înainte în comparaţie cu situaţia în
care riscurile sunt tratate intuitiv şi întâmplător, uneori chiar fără să fim conştienţi că facem
acest lucru.
Metoda bazată pe percepţie are însă o justificare obiectivă. Nu atât nivelele evaluate ale riscurilor
au importanţă, cât mai ales dacă riscurile sunt percepute sau nu ca tolerabile. Cu alte cuvinte,
deviaţia expunerii la risc faţă de tolerabilitatea la risc este relevantă deoarece aceasta creează
motivaţia pentru găsirea metodelor cele mai adecvate de gestionare a riscurilor.
Evaluarea riscurilor, aşa cum se preciza în debutul acestei secţiuni, constă în parcurgerea
următoarelor etape:
35
A. evaluarea probabilităţii de materializare a riscului identificat;
B. evaluarea impactului asupra obiectivelor în cazul în care riscul s-ar materializa;
C. evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact.
Reamintim că riscul este o problemă (situaţie, eveniment) care poate să apară (să se
materializeze), caz în care realizarea obiectivelor este afectată. Cu alte cuvinte, există o
incertitudine în apariţia situaţiei sau evenimentului care poate afecta realizarea obiectivelor.
Probabilitatea este o măsură a incertitudinii.
O evaluare destul de bună a probabilităţii de materializare a unor riscuri se poate realiza şi prin
analiza circumstanţelor. Metoda analizei circumstanţelor are la bază un postulat simplu: dacă
există aceleaşi cauze vor există aceleaşi efecte. Nu trebuie redus totul la experienţa proprie.
Uneori este suficient să cunoaştem corelaţiile stabilite de alţii şi să înţelegem pe cele ce apar în
situaţii noi.
Într-o organizaţie sau/şi în mediul cu care interacţionează pot exista, la un moment dat, condiţii
(stări de fapt, circumstanţe) care favorizează apariţia riscului şi condiţii care defavorizează
apariţia acestuia. Prin urmare, dacă se face o analiză a cauzelor care favorizează apariţia
riscurilor se poate face o apreciere a şanselor de materializare a acestora.
Fără îndoială analiza circumstanţelor conduce la o evaluare a probabilităţii cu un grad mai mare
de relativitate. Dar acest lucru, aşa după cum s-a arătat, nu constituie un impediment major, atâta
timp cât evaluarea are la bază informaţii şi analize pertinente. Atunci când se recurge la metoda
analizei circumstanţelor, domeniul în care funcţia de probabilitate ia valori se poate înlocui cu o
scală de evaluare.
Prin introducerea acestei scale, în urma analizei circumstanţelor, rămâne să apreciem dacă
posibilitatea de materializare a riscului este scăzută, medie sau ridicată. Fără îndoială problema
privind evaluarea probabilităţii de materializare a riscurilor, ce părea la început insurmontabilă,
s-a simplificat mult. Chiar şi evaluările cantitative ale probabilităţilor pot fi translatate în această
scală.
Impactul reprezintă consecinţa asupra obiectivelor (rezultatelor) aşteptate, care poate fi, în
funcţie de natura riscului, negativă sau pozitivă. Este de la sine înţeles, că managerii organizaţiei,
36
ca şi celălalt personal raportat la obiectivele individuale, aflaţi în faţa unei situaţii de risc, sunt
interesaţi să cunoască cât de mari sunt consecinţele asupra obiectivelor urmărite dacă riscurile s-
ar materializa. Din aceasta rezultă necesitatea evaluării impactului.
Aşa cum s-a arătat, la evaluarea probabilităţilor de materializare a riscurilor, numai unele riscuri
se pretează la evaluări cantitative, pentru multe dintre ele fiind posibilă doar evaluarea calitativă.
Evaluările cantitative ale impactului trebuie făcute ori de câte ori este posibil, deoarece sunt mult
mai relevante, dar în final pentru obţinerea unei imagini unitare asupra riscurilor ce pot afecta
organizaţia, evaluările cantitative vor fi transpuse şi ele în scale calitative.
În unele situaţii, mai ales când este vorba de obiective strategice, iar organizaţiile sunt complexe
(similar, proiecte complexe, activităţi complexe), evaluarea impactului devine o problemă dificilă
ce necesită studii de impact. Dar, într-o organizaţie, majoritatea riscurilor nu sunt de natura celor
de mai sus, iar impactul lor poate fi evaluat cu eforturi considerabil mai mici.
Impactul oricărui risc este caracterizat prin consecinţe de diferite naturi. Alături de consecinţe
calitative, exprimate descriptiv, pot fi identificate şi consecinţe exprimate în termeni de buget
(costuri), de efort (timp de muncă) şi de timp (întârzieri posibile în termenul de realizare a
obiectivelor).
Cerinţa actuală constă în reformarea întregii gestiuni, în sensul că trebuie fixate obiective măsurabile
începând de la nivelul programelor (bugetarea pe programe) şi terminând cu sarcinile individuale. În acest
context, fiecărui obiectiv i se ataşează indicatori de rezultate ce pot fi cuantificaţi şi monitorizaţi. În astfel de
situaţii, impactul riscurilor trebuie exprimat şi în efectul pe care îl are materializarea lor asupra
indicatorilor de rezultate.
Rezultatele evaluărilor calitative şi cantitative ale impactului riscurilor trebuie transpuse în scale
calitative, care să reflecte importanţa percepută în raport cu obiectivele.
Foarte ridicat I
Ridicat M
P
Mediu A
Scăzut C
Foarte scăzut T
37
probabilităţilor aceasta înseamnă că probabilitatea de apariţie (materializare) a riscului este 1
(eveniment sigur). În aceste condiţii expunerea la risc este de fapt impact.
Dacă organizaţia a adoptat scalele în trei trepte la evaluarea probabilităţilor şi impactului, rezultă
că scala evaluării expunerii la risc are 9 valori (3x3), putând fi reprezentată grafic astfel:
Ridicat I SR MR RR
Mediu M SM MM RM
P
A
Scăzut C SS MS RS
T
0 PROBABILITATE i
Scăzută Medie Ridicată
Y
E = XY
Figura de mai sus pune în evidenţă faptul că expunerea la risc operează o ierarhizare a riscurilor.
Este evident că un risc cu expunerea RR (probabilitate de apariţie ridicată şi impact ridicat în
cazul materializării) nu este echivalent cu un risc căruia i se asociază expunerea SS (probabilitate
de apariţie scăzută, impactul scăzut în cazul materializării). Gruparea riscurilor identificate într-o
organizaţie în funcţie de expunerea la risc conduce la realizarea profilului de risc al organizaţiei.
Fiecare organizaţie are propriul său profil de risc. Chiar dacă două organizaţii ar fi identice din perspectiva
obiectivelor, activităţilor, contextului etc. ele nu ar avea acelaşi profil de risc. Circumstanţele şi percepţia
riscurilor ar conduce cu siguranţă la profiluri de risc diferite. În aceste condiţii ar fi nerealiste aşteptările de a
se crea profile tip, pe grupuri de organizaţii. Identificarea şi evaluarea riscurilor, şi alcătuirea profilului de risc,
este un atribut exclusiv al organizaţiei.
38
Profilul de risc rezultat e mult mai analitic, dar aceasta presupune că managementul riscurilor
este mult mai matur. Un astfel de management este capabil să trateze diferit un risc cu expunerea
F R F R faţă de unul cu expunerea RR. Din raţiuni de a pune mai bine în evidenţă ierarhia, scalele
calitative sunt transformate în scale numerice, însă astfel de scale au marele dezavantaj ca
atenuează semnificaţia.
Riscul inerent şi riscul rezidual sunt două ipostaze ale aceluiaşi risc: înainte de introducerea unui
instrument de control intern şi, respectiv, după introducerea unui instrument de control intern.
Prin urmare expunerea la riscul inerent este o măsură a “cantităţii” de risc la care se expune
organizaţia dacă nu funcţionează sistemul de control intern, iar expunerea la riscul rezidual este
o măsură a cantităţii de risc rămase după ce au fost implementate instrumentele de control
intern.
Deoarece controlul intern are scopul de a atenua posibilitatea de apariţie a riscului şi/sau de a
atenua impactul asupra obiectivelor între cele două expuneri la risc, există relaţia:
În exemplul precedent, expunerea la riscul “întârzieri în plăţi” era “probabilitate foarte mare -
impact foarte ridicat” înainte de introducerea unui instrument de control intern. După
introducerea instrumentului de control intern “fond de finanţare temporară” (acesta este un
instrument din categoria “mijloace” sau “resurse”) expunerea la risc a devenit “probabilitate mică
- impact redus”. Din compararea celor două expuneri rezultă că instrumentul de control intern
este eficace.
Riscul inerent, în sensul că nu există nici un instrument de control intern, nu este cazul cel mai
des întâlnit în organizaţii. Acestea au sisteme de control intern pentru multe dintre riscuri, chiar
dacă situaţiile sau evenimentele ce sunt ţinute sub control nu sunt percepute (conştientizate) ca
riscuri. Despre sistemele de control intern se poate afirma că sunt adecvate sau nu, dar nu se
poate susţine că nu există.
Din această cauză, riscul inerent şi rezidual au un caracter relativ şi nu absolut. Dacă controlul
intern implementat la un moment dat în organizaţie în raport cu un anumit risc are drept
consecinţa o expunere la risc ce depăşeşte limitele de tolerabilitate, riscul rezidual anterior este
considerat risc inerent în raport cu ajustările şi dezvoltările sistemului de control intern existent.
Sistemul de control intern ajustat şi dezvoltat pentru a surprinde modificările de circumstanţe se
finalizează printr-un nou risc rezidual.
Datorită frecvenţei utilizării, mai ales în cazul managementului pe programe şi proiecte, s-a
considerat util, ca în finalul acestei secţiuni, să se facă succinte referiri la o metodă de evaluare
cantitativă a expunerii la risc, denumită în literatura de specialitate “metoda valorii aşteptate”.
E=PxI
unde:
- E este expunerea la risc;
- P este probabilitatea de apariţie a riscului;
- I este impactul asupra obiectivelor, dacă riscul s-ar materializa.
39
Din formula de mai sus rezultă că metoda valorii aşteptate este o metodă neutră, deoarece acordă
aceiaşi importanţă atât probabilităţii cât şi impactului la evaluarea expunerii la risc.
Fără a neglija celelalte resurse, totuşi resursele financiare trebuie tratate prioritar, numai şi
pentru faptul că oricând resursele financiare pot fi convertite în celelalte resurse pentru
acoperirea eventualelor deficite.
Practica bugetării, fără a lua în considerare riscurile, poate genera la rândul ei un risc major -
riscul de insuficienţă a resurselor financiare - care în cazul în care s-ar materializa ar bloca
acţiunile.
Bugetarea pe bază de riscuri nu înseamnă nici pe departe alocarea de resurse financiare, care să
acopere impactul tuturor riscurilor. Aceasta ar însemna risipă de resurse financiare şi negarea
însăşi a managementului riscurilor, care are drept scop tocmai ţinerea sub control a acestora.
Spre exemplu, să presupunem că au fost identificate cinci riscuri.
Bugetarea pe bază de riscuri presupune alocarea în buget şi a unei rezerve aferentă riscurilor
neidentificate. Această rezervă este însă destul de redusă, deoarece se pleacă de la premisa că s-
a făcut o analiza riguroasă care a permis identificarea riscurilor semnificative.
40
Structura unui buget care ia în considerare riscurile este de tipul:
A. Costuri aferente activităţilor, xxxx
din care:
xxxx
xxxx
xxxx
Comentariu: Bugetarea pe bază de riscuri presupune asumarea responsabilităţii unui management al riscurilor eficace.
Rezerva de risc nu trebuie interpretată ca fiind o suplimentare a bugetului pentru orice eventualitate. Utilizarea acestei
sume trebuie justificată. Dacă se practică un management al riscurilor performant, o parte semnificativă din rezerva de risc
devine, la finele acţiunii, economie bugetară.
Analiza de Senzitivitate
– Permite stabilirea acelor riscuri care au cel mai mare impact potential asupra proiectului.
– Analiza de senzitivitate studiaza modul in care variatia rezultatului numeric al unei actiuni
poate fi atribuita cantitativ unor surse diferite de variatie a parametrilor de intrare de baza.
41
Modelare si Simulare
– Simularea riscurilor se poate baza pe una din urmatoarele metode:
• Metoda Monte Carlo sau
• Metoda Celor Trei Scenarii
42
8. TOLERANŢA LA RISC
Toleranţa la risc reprezintă “cantitatea” de risc pe care o organizaţie este pregătită să o tolereze
sau la care este dispusă să se expună la un moment dat. Conceptul de toleranţă la risc are
semnificaţii diferite în funcţie de natura riscului, care poate fi o oportunitate sau o ameninţare.
În interpretarea conceptelor de mai sus nu trebuie uitat faptul că riscul este o incertitudine. Prin
urmare, oportunitatea se poate realiza sau nu, ca de altfel şi ameninţarea.
Există multe situaţii când acelaşi risc poate fi privit ca o ameninţare sau ca o oportunitate, caz în
care tolerabilitatea la risc trebuie privită în ambele sensuri. Un exemplu tipic în acest sens îl
constituie riscul fluctuaţiei personalului. O fluctuaţie a personalului în limita a 10% (mărime
arbitrară) poate fi, în circumstanţe date, o oportunitate (întinerire personal, facilitarea aplicării
standardului - funcţii sensibile etc.), iar prin depăşirea acestei limite de tolerabilitate poate
deveni o ameninţare (sincope în realizarea obiectivelor). Deoarece riscurile ca ameninţare
suscită cel mai mare interes, succintele comentarii ce urmează se vor referi la toleranţa la
expunere.
Expunerea la risc (ca o combinaţie dintre probabilitate şi impact), determinată prin metodele de
evaluare arătate anterior, capătă sens numai în raport cu nivelul toleranţei la risc. Când
expunerea la risc este comparată cu toleranţa la risc, amploarea măsurilor de control al riscurilor
ce trebuie luate devine evidentă. Cu alte cuvinte, nu valoarea absolută a expunerii la risc este
importantă, ci deviaţia expunerii la risc faţă de toleranţa la risc. Mai simplu spus, esenţial este
faptul dacă riscul este perceput ca tolerabil sau nu.
Dacă expunerea la riscul inerent (riscul înainte de aplicarea măsurilor de control intern al
riscurilor) este mai mică sau egală cu toleranţa la risc definită de manageri nu se impun măsuri
de control al riscurilor, ceea ce înseamnă că riscurile sunt acceptate. În caz contrar, sunt necesare
măsuri de control al riscurilor astfel încât expunerea la riscul rezidual (riscul care rămâne după
43
aplicarea măsurilor de control al riscurilor) să se încadreze în limitele de toleranţă la risc
stabilite.
Luând în considerare scala de evaluare în cinci trepte a expunerii la risc, atunci limita de
toleranţă poate fi reprezentată astfel:
Aceasta înseamnă că toate riscurile, care au un nivel al expunerii ce se situează deasupra limitei
de toleranţă, trebuie tratate prin măsuri prin care expunerea la riscurile reziduale să se aducă
sub această limită de toleranţă.
Profilul de risc creează o imagine globală a organizaţiei din perspectiva riscurilor, însă utilitatea
practică o au tabelele de risc, care sunt structurate astfel încât să devină instrumente
operaţionale ale managementului riscurilor.
Secvenţa din tabelele de risc (numite şi registru de risc), care cuprinde riscurile identificate,
evaluarea expunerii riscurilor inerente şi intensitatea deviaţiei faţă de toleranţa la risc, se
prezintă astfel:
44
nivelul organizaţiei resursele sunt limitate. Constrângerile interne şi externe (unele riscuri
externe nu pot fi gestionate până la un nivel satisfăcător de către organizaţii) joacă un rol
important în stabilirea limitelor de toleranţa la risc.
Privită izolat, din perspectiva fiecărui risc în parte, stabilirea limitelor de toleranţă la risc nu
ridică probleme deosebite, dar cazurile în care se poate proceda astfel sunt rare. La nivelul
organizaţiei, lucrurile se complică deoarece apar intercondiţionări între riscuri, iar resursele ce
pot fi alocate măsurilor de control sunt limitate, fapt ce implică prioritizări. De asemenea, este
necesară realizarea unui echilibru între nivelele manageriale care gestionează riscurile. Limitele
de toleranţă la risc ce trebuie atinse devin ele însele obiective şi, drept urmare, este necesară
realizarea unui echilibru între competenţă, responsabilitate şi sarcini.
După ce riscurile au fost identificate şi evaluate şi după ce s-au definit limitele de toleranţă în
cadrul cărora organizaţia este dispusă, la un moment dat, să-şi asume riscuri este necesară
stabilirea tipului de răspuns la risc pentru fiecare risc în parte.
Răspunsul la risc depinde de natura riscurilor privite din perspectiva posibilităţilor de control
(de stăpânire). De fapt, este vorba de răspunsul la următoarele întrebări: riscurile pot fi sau nu
controlate de organizaţie?; dacă da, organizaţia poate controla riscurile până la un nivel
satisfăcător?; dacă nu, organizaţia poate externaliza riscurile sau activităţile generatoare de
riscuri?
Controlul riscurilor văzute ca ameninţări, înseamnă că, la nivelul organizaţiei, este posibilă
atenuarea probabilităţii de materializare sau a impactului în cazul în care riscul s-ar materializa
sau a amândurora.
În caz contrar, riscurile sunt necontrolabile dacă organizaţia nu are posibilitatea de a interveni
direct pentru atenuarea probabilităţii şi/sau impactului. Această situaţie se întâlneşte cel mai
frecvent în cazul riscurilor externe generate de mediul (contextul) în care organizaţia
funcţionează. j
În teoria riscurilor s-au identificat câteva strategii alternative pe care managerii le pot adopta ca
răspuns la risc.
45
• Acceptarea (tolerarea) riscurilor
Acest tip de răspuns la risc constă în neluarea unor măsuri de control al riscurilor şi este adecvat
pentru riscurile inerente a căror expunere este mai mică decât toleranţa la risc. Se reaminteşte
faptul că nu întotdeauna toleranţa la risc poate fi stabilită nerestricţionat. Sunt suficiente cazurile
în care riscurile nu pot fi controlate intern până la un nivel acceptabil al expunerii sau, costurile
pe care le incumbă măsurile de control sunt disproporţionat de mari în raport cu beneficiile. În
consecinţă, acceptarea intervine atunci când riscurile sunt liber asumate sau când aplicarea unei
alte strategii de răspuns la risc nu este posibilă. Această opţiune de răspuns la risc trebuie
însoţită, mai ales atunci când limita de toleranţă nu a putut fi stabilită liber, de planuri de
gestiune a problemelor dificile care să abordeze tratarea impactului atunci când riscul se
materializează.
Acceptarea (tolerarea) riscurilor este o strategie de răspuns la risc recomandată pentru riscurile
cu expunere scăzută. În cazul riscurilor cu expunere medie sau mare acceptarea riscurilor este
inadecvată şi, de aceea, în astfel de situaţii, opţiunea trebuie temeinic justificată.
Acest tip de răspuns la risc constă în acceptarea riscului cu condiţia menţinerii sale sub o
permanenta supraveghere. Parametrul supravegheat cu precădere este probabilitatea, deoarece
strategia monitorizării se aplica în cazul riscurilor cu impact semnificativ, dar cu probabilitate
mică de apariţie. În esenţă, strategia de monitorizare presupune o amânare a luării măsurilor de
control până în momentul în care circumstanţele determina o creştere a probabilităţii de apariţie
a riscurilor supuse acestui tratament.
Avantajul aplicării unei astfel de strategii de răspuns la risc constă în utilizarea resurselor
disponibile la un moment dat numai pentru riscurile cu expunere mare, organizaţia aflându-se
permanent în situaţia de a-şi prioritiza acţiunile de tratare a riscurilor în funcţie de resurse.
Dezavantajul strategiei constă în faptul că întârzierea în tratarea riscului poate diminua şansele
de a face în viitor un management eficace al riscurilor. Din această cauză, aplicarea strategiei de
monitorizare permanentă a riscurilor trebuie precedată de o analiză serioasă a duratei pe care o
presupune implementarea măsurilor de tratare a riscurilor. Dacă această durată este mare, este
de preferat ca momentul de debut al tratării riscurilor să nu fie amânat. Unei astfel de analize
trebuie supuse obligatoriu riscurile cu probabilitate mică de apariţie, dar cu un impact ridicat
dacă obiectivele afectate au caracter strategic.
• Evitarea riscurilor
Dacă aplicarea strategiei de evitare a riscurilor este limitată în cazul activităţilor ce ţin de scopul
organizaţiei publice, ea poate fi avută în vedere pentru o serie întreagă de activităţi “suport”, dacă
nu există altă cale de a controla riscurile în limite tolerabile.
46
Această strategie de răspuns la risc constă în încredinţarea gestionării riscului unui terţ care are
expertiza necesară gestionării acelui risc, încheindu-se în acest scop un contract. Prin aceasta se
urmăreşte, pe de o parte, micşorarea expunerii organizaţiei, iar pe de altă parte, gestionarea
eficace a riscului de către un terţ specializat.
Această opţiune este benefică mai ales în cazul riscurilor financiare şi patrimoniale. Cel mai
cunoscut exemplu de transfer al riscurilor îl constituie contractele de asigurare. În schimbul unei
sume de bani (prima de asigurare) terţul (societatea asiguratoare) preia asupra să riscul asigurat
obligându-se să despăgubească organizaţia care a transferat riscul, în cazul în care riscul se
materializează.
Aceasta este abordarea cea mai frecventă pentru majoritatea riscurilor cu care se confrunta
organizaţia. Opţiunea tratării (atenuării) riscurilor constă în faptul că în timp ce organizaţia va
continua să desfăşoare activităţile care generează riscuri, aceasta ia măsuri (implementează
instrumente/dispozitive de control intern) pentru a menţine riscurile în limite acceptabile
(tolerabile).
Raportate la această strategie de răspuns la risc celelalte strategii menţionate mai sus pot fi
considerate ca fiind excepţii recurgându-se la ele numai atunci când riscurile nu pot fi controlate
intern până la un nivel satisfăcător care nu periclitează realizarea obiectivelor. De aici şi
importanţa controlului intern în managementul riscurilor. Acesta, odată implementat, are
menirea să ofere asigurări rezonabile că obiectivele vor fi atinse, ceea ce este acelaşi lucru cu a
afirma că prin control intern se obţin asigurări rezonabile asupra menţinerii riscurilor în limite
acceptabile.
La începutul acestei secţiuni se făcea precizarea că tratarea riscurilor înseamnă a acţiona prin
măsuri de atenuare a probabilităţii, a impactului sau a amândurora.
În concluzie, a trata riscurile înseamnă a ţine riscurile sub control prin măsuri de control intern.
47
• Tratarea situatiilor dificile
Orice risc care este acceptat, monitorizat sau tratat trebuie însoţit de un plan care să descrie acţiunile ce trebuie întreprinse
în cazul în care riscurile se materializează.
Procesul, planul A şi planul B sunt elementele esenţiale ale unui management eficace care a
integrat managementul riscurilor. Întrucât, măsurile ce trebuie luate pentru a stăpâni riscurile
se înscriu în sfera de cuprindere a sistemului de control intern, s-a considerat utilă prezentarea
succintă a unor elemente componente ale acestuia, reamintind că o tratare mai detaliată este
cuprinsă în lucrarea “Îndrumar metodologic - cadru pentru dezvoltarea sistemelor de control
managerial ale instituţiilor publice”.
Dacă riscurile ajung să se materializeze, deci să se transforme în situaţii dificile, cauza trebuie
căutată întotdeauna în “defectul” acestor dispozitive/instrumente de control intern. Bineînţeles
această afirmaţie vizează riscurile care pot fi controlate de organizaţie în limite de toleranţă
rezonabile impuse de raportul cost-beneficiu.
Fără îndoială, există şi alte tipuri de grupări, dar toate cuprind, în principal, aceleaşi elemente şi
vehiculează aceleaşi noţiuni. De altfel, nu gruparea în sine este importantă ci fixarea unui cadru
de referinţă capabil să sistematizeze problematica controlului intern ca mijloc de control al
riscurilor.
48
nivelul misiunii); măsurabilitatea (asocierea unor indicatori de rezultate cuantificabili ce pot fi
monitorizaţi); monitorizarea prin sistemul informaţional (lipsa monitorizării face imposibilă
coordonarea şi introducerea măsurilor corective); încadrarea în timp (planificarea pe orizonturi
de timp determinate şi corelate); caracterul mobilizator (obiectivele trebuie să stimuleze
iniţiativa fără a deveni însă nerealiste).
Circumstanţele care potenţează apariţia riscurilor îşi au de multe ori originea tocmai în
nerespectarea acestor principii ce guvernează sistemul de obiective.
Multe dintre riscuri îşi au cauza în lipsa procedurilor. De câte ori nu se invocă ca explicaţie
pentru un eşec necunoaşterea sau ambiguitatea unor reguli? Managerii au obligaţia de a face clar
pentru cei implicaţi ce trebuie făcut şi cum trebuie făcut, fără a lăsa loc la interpretări.
49
pentru a putea fi evaluată. La prima vedere ar părea surprinzător, însă sunt frecvente cazurile în
care circumstanţele care favorizează apariţia unor riscuri ţin de o supervizare defectuoasă. Un
manager trebuie să se asigure că sectorul de care este responsabil funcţionează, iar personalul
trebuie să aibă convingerea că activitatea acestuia este supravegheată.
Dar instrumentele/dispozitivele de control intern pot fi analizate şi prin prisma modului în care
acestea acţionează în tratarea riscurilor, deosebindu-se următoarele tipuri:
S-ar putea obiecta că astfel de instrumente nu aparţin managementului riscului, deoarece acesta
se referă la tratarea riscurilor care pot să apară şi nu a celor materializate. Obiecţia nu este
întemeiată deoarece s-a subliniat, în repetate rânduri, pe parcursul acestei lucrări, că riscurile
pot fi reduse, dar nu eliminate. Prin urmare, există întotdeauna şansa ca riscurile să se
materializeze şi să se transforme în situaţii dificile. Dar, şi situaţiile dificile trebuie gestionate, iar
prin instrumentele de control detectiv se face acest lucru. Pentru a ne limita la un exemplu
binecunoscut în practica financiară menţionăm că, inventarele sunt instrumente de control
intern detectiv menite să identifice eventualele pierderi de active datorate materializării unor
riscuri.
Odată stabilite zonele de risc, obiectivele care sunt afectate de posibila materializare a riscurilor,
circumstanţele care favorizează apariţia riscurilor, responsabilităţile managerilor în gestionarea
50
riscurilor, strategiile ce trebuiesc adoptate, măsurile de control intern (activităţile ce trebuie
întreprinse pentru diminuarea expunerii la riscuri) se procedează la completarea Registrului de
riscuri cu aceste elemente.
REGISTRUL DE RISCURI
P – probabilitate
I – impact
E – expunere la risc
Procesele de revizuire trebuie puse în aplicare pentru a analiza dacă: riscurile persistă; au apărut
riscuri noi; impactul şi probabilitatea riscurilor au suferit modificări; instrumentele de control
intern puse în operă sunt eficace; anumite riscuri trebuie escaladate la nivele de management
superioare etc.
51
• stabilească mecanisme de alertare ale nivelelor superioare manageriale în privinţa noilor
riscuri sau a schimbărilor survenite la riscurile deja identificate, astfel încât aceste schimbări să
fie abordate corespunzător.
Revizuirea riscurilor şi a gestionării riscurilor se face, în prima etapă, prin metoda autoevaluării.
Responsabilii de risc (în principal managerii de pe diferitele nivele ierarhice ale organizaţiei) au
obligaţia de a evalua, cel puţin o dată pe an (de regulă la finele exerciţiului financiar), riscurile din
sfera lor de responsabilitate, precum stadiul de implementare a instrumentelor de control intern
preconizate şi eficacitatea lor. De asemenea, responsabilii de risc au obligaţia de a raporta
periodic (trimestrial, semestrial, anual) nivelelor ierarhic superioare ce activităţi au desfăşurat
pentru a actualiza riscurile şi pentru a le menţine la un nivel corespunzător.
Încurajarea managerului de a vorbi deschis despre riscuri trebuie să devină o politică a fiecărei
organizaţii.
P – probabilitate
I – impact
E – expunere la risc
52
11. Categorii specifice de riscuri reglementate independent
Mediul de munca: reprezinta ambianta în care executantul îsi desfasoara activitatea. Mediul de
munca cuprinde pe de o parte mediul fizic ambiant (spatiul de lucru, conditiile de iluminat,
microclimatul, zgomotul, vibratiile, radiatiile, puritatea aerului etc.), iar pe de alta parte mediul
social (relatiile de grup, raporturi pe orizontala si verticala etc.) mai exact ansamblul conditiilor
fizice, chimice, biologice si psihologice in care unul sau mai multi executanti isi realizeaza sarcina
de munca.
53
aiba loc este necesar ca cele patru elemente prezentate anterior sa coexiste în spatiu si în timp si
sa intre în relatie între ele.
Disfunctia celor patru elemente ale procesului de munca creeaza riscuri de accidentare sau
imbolnaviri profesionale, riscuri care dupa producerea evenimentului se transforma in cauze.
Producerea unui accident de munca implica interactiunea a cel putin doua cauze: una obiectiva si
alta subiectiva, numai astfel putind avea loc impactul intre victima si sursa care-i afecteaza
organismul. În cadrul sistemului de munca, executantul si elementele materiale intra în relatie
functionala prin intermediul sarcinii de munca. În raport cu executantul, sarcina si mediul de
munca actioneaza direct asupra acestuia, în timp ce mijloacele de productie numai indirect, prin
intermediul sarcinii.
Din punctul de vedere al protectiei muncii, procesul de munca manifesta doua caracteristici
esentiale: prezenta omului în calitate de executant si capacitatea elementelor implica-te în
realizarea lui de a constitui un sistem - sistemul de munca. Prima trasatura defineste procesul de
munca drept spatiul de producere a accidentelor de munca si bolilor profesionale, iar cea de a
doua caracteristica permite întelegerea mecanismului de aparitie a celor doua evenimente.
Accidentele de munca si bolile profesionale sunt deci ale sistemului de munca, generate de
dereglarile, calitatile, proprietatile intrinseci etc. ale elementelor sale constituente. Disfunctiile
sistemului nu conduc întotdeauna, obligatoriu, la vatamarea sau modificarea starii de sanatate a
organismului uman. Pentru ca sa se produca un astfel de efect este necesar sa se constituie un
lant cauzal, a carui ultima veriga este întâlnirea dintre victima si agentul material care o lezeaza.
Acest lant este alcatuit din factori (însusiri, stari, procese, fenomene, comportamente) proprii
elementelor sistemului de munca, care constituie cauze potentiale de accidentare si/sau
îmbolnavire profesionala, respectiv factori de risc de accidentare si/sau îmbolnavire profesionala
(prescurtat factori de risc). De regula, factorii de risc reprezinta abateri de la normal ale starii sau
modului de functionare al elementelor sistemului de munca.
54
impuse executantului, respectiv necorespunzatoare posibilitatilor acestuia. Analizând aceste
caracteristici rezulta lista generica a factorilor de risc proprii sarcinii de munca (respectiv care se
regasesc la nivelul sarcinii de munca), Fisa de evaluare a locului de munca.
55
Insuficienta conştientizare şi educare a utilizatorilor sistemelor de informaţii (Siponen,
2000) şi atitudinile sau practicile care nu respectă procedurile de folosire (Schneier,
2000);
Disponibilitatea de informaţii privind penetrarea fără autorizare a sistemelor de
informaţii;
Reglementări legislative neclare şi anumite dificultăţi jurisdicţionale.
Posibilitatea ca sistemele informaţionale computerizate ale unei organizaţii să fie insuficient
protejate împotriva anumitor atacuri sau pierderi este numită de Straub şi Welke (1998) „risc de
sistem”. Pe de altă parte, Adams şi Thompson (2002) consideră că riscul este ceva subiectiv, care
se referă la un viitor care există doar în imaginaţie, cel putin iniţial. Conform lui Turban (1996),
„riscul” este definit ca posibilitatea unei ameninţări să se materializeze. Riscul este, în contextul
sistemelor informaţionale computerizate, suma ameninţărilor (evenimentelor care pot cauza
daune), vulnerabilităţilor şi valoarea informaţiilor expuse:
Risc = Ameninţări + Vulnerabilităţi + Valoarea informaţiilor.
Înainte determinării ameninţărilor, vulnerabilităţilor şi înaintea atenuării riscurilor, trebuie
determinat ce se încearcă să se protejeze – după cum argumentează Berryman (2002), trebuie
făcut un inventar complet al sistemului informaţional.
Informaţiile stocate electronic au anumită valoare. Un incident care va afecta negativ informaţiile
stocate electronic va afecta şi individul sau organizaţia care depinde ori foloseşte respectivele
informaţii. Informaţiile sunt evaluate în raport cu posibilul impact al unui incident care va afecta
negativ informaţiile. Ameninţările, vulnerabilităţile şi posibilul impact trebuie combinate pentru
a obţine măsură a riscului la care sunt expuse informaţiile.
Pentru evaluarea potenţialului atacurilor posibile (importanţa şi impactul potenţial al unui
incident de securitate), este necesar să fie înţelese expertiza, motivaţia şi intenţia potenţialilor
atacatorilor. Un atacator care selectează sistemul victimă în funcţie de insecurităţile pe care
acesta le prezintă este diferit de un atacator care selectează pentru atac un sistem anume, pentru
a comite anumite fapte.
Pentru a putea selecta şi implementa contramăsuri adecvate riscurilor asociate sistemelor
informaţionale computerizate este necesar ca ameninţările la adresa acestora să fie bine
evaluate. În următoarea secţiune sunt discutate categoriile de atacatori potenţiali, motivaţia
acestora şi ameninţările aduse la adresa sistemelor informaţionale computerizate.
56
Controalele disponibile/implementabile.
Pornind de la rezultatele din lucrarea A Preliminary Classification Scheme for Information
System Threats, Attacks, and Defenses (Cohen şi colab., 1998), se consideră că următorii ‘actori’
pot cauza probleme de securitate sistemelor informaţionale computerizate:
Angajaţii. Aceştia sunt investiţi cu încredere şi au acces la sistemul informaţional, ceea ce
le permite cunoaşterea slăbiciunilor sistemelor, efectuarea unor operaţiuni care pot fi în
detrimentul organizaţiilor respective, precum şi ştergerea evidenţelor digitale (Vasiu şi
Vasiu, 2004);
Consultanţii / Personalul de întreţinere al sistemului. Aceste persoane au adesea
acces la zonele sensibile ale sistemului informaţional, ceea ce le permite efectuarea unor
operaţiuni cu mare diversitate;
Furnizorii / Clienţii. Motivele lor economice nu sunt în unele cazuri congruente cu cele
ale organizaţiei şi, în unele situaţii, pot efectua anumite acţiuni care pot prezenta riscuri de
securitate;
Competitorii: Alţi indivizi sau organizaţii care vor avea de câştigat de pe urma pierderilor
organizaţiei cauzate de atacuri asupra sistemului de informaţii;
Crackerii / Mercenarii informatici / Infractorii profesionişti. Persoane care
penetrează ilegal sistemele de informaţii şi cauzează intenţionat daune, motivaţiile fiind,
în genere, diverse;
Experţii în spionaj. Persoane care sunt specializate în obţinerea unor informaţii de care
vor beneficia alte organizaţii. Aceste persoane un un nivel înalt de cunoştinţe tehnice, sunt
bine plătite şi îşi pot, adesea, realiza acţiunile fără să fie detectaţi;
Accidentele / Dezastrele naturale: Acestea pot cauza pierderea unor informaţii
importante sau indisponibilizarea acestora.
Atacatorii sistemelor informaţionale pot fi clasificaţi după mai multe criterii. În funcţie de
motivaţie, se disting patru categorii principale (Vasiu şi Vasiu, 2001):
Motivaţia socială. Atacatorii din această categorie încearcă să obţină un sentiment de
superioritate sau de control, de acceptare faţă de alţi atacatori sau de integrare într-un
anumit grup.
Motivaţia tehnică. Atacatorii din această categorie încearcă să ‘învingă’ sistemul, ca un fel
de provocare intelectuală.
Motivaţia politică. Atacatorii din această categorie încearcă să obţină atenţia politică,
pentru a promova anumită cauză.
Motivaţia financiară. Atacatorii din această categorie încearcă să obţină un câştig
personal (cum ar fi, spre exemplu, spionii, mercenarii informatici, diversele organizaţii sau
chiar persoanele care se ocupă cu distribuirea de informaţii confidenţiale etc.).
Analiza riscului. Aceasta este larg folosită de organizaţii (a se vedea Blakley şi colab., 2002), chiar
dacă există autori (cum ar fi, spre exemplu, Jacobson (1996)) care consideră că analiza risculi
este subiectivă, inconsistentă sau, uneori, chiar inutilă.
Conform lui Wilsher şi Kurth (1996), organizaţiile trebuie să abordeze problema riscului în patru
etape:
(a) Identificarea şi evaluarea informaţiilor importante,
(b) Identificarea şi evaluarea ameninţărilor,
(c) Evaluarea vulnerabilităţilor şi
(d) Evaluarea riscului.
1 R. Stallman (1984), care se autointitulează hacker, şi recomandă folosirea termenului ‘cracker’
pentru cei care penetrează sistemele de informaţii prin încălcarea măsurilor de securitate.
57
Deasemenea, trebuie găsite răspunsuri la următoarele chestiuni fundamentale în cadrul unei
analize a riscului (Ozier, 1999):
Ce evenimente nedorite se pot petrece?
Dacă se materializează, care va fi impactul?
Cât de des se poate petrece evenimentul nedorit?
Cât de sigură este informaţia care defineşte primele trei elemente?
Berryman (2002) argumentează că organizaţiile trebuie să identifice ameninţările,
vulnerabilităţile şi apoi să cuantifice impactul potenţialelor vulnerabilităţi. Astfel, pentru fiecare
vulnerabilitate, trebuie considerată probabilitatea ca aceasta să fie exploatată şi daunele care ar
rezulta dacă aceasta este exploatată. Trebuie identificate contramăsurile necesare pentru
atenuarea riscurilor, iar costurile acestora trebuie amănunţit cuantificate. Costurile presupuse
pentru atenuarea riscurilor trebuie comparate cu costurile organizaţiei dacă vulnerabilitatea este
exploatată, astfel încât managerii să poată decide ce riscuri să prevină, să limiteze sau să accepte.
Există mai multe abordări ale analizei riscului dar, cu toate acestea se poate vorbi despre două
categorii importante de abordări: cele cantitative şi cele calitative. Analiza cantitativă a riscului se
focalizează asupra probabilităţii producerii unui eveniment şi estimarea pierderilor probabile
care s-ar produce. Acest tip de analiză a riscului foloseşte aşa numita pierdere anuală estimată
(Blakley şi colab., 2002) ori costul anual estimat. Se calculează valoarea pentru un anumit
eveniment prin multiplicarea pierderilor potenţiale cu probabilitatea petrecerii evenimentului
nedorit. Această abordare face posibilă ierarhizarea evenimentelor în ordinea riscului, ceea ce
permite luarea unor decizii bazate pe această ierarhizare.
Analiza calitativă a riscului, în care se foloseşte doar valoarea pierderii poneţiale estimate, este
cea mai larg folosită în acest domeniu. Cele mai multe metodologii pentru analiza calitativă a
riscului folosesc un set de elemente corelate:
Ameninţările. Acestea sunt prezente pentru fiecare sistem şi reprezintă ceea ce s-ar putea
întâmpla sau ceea ce ar putea ataca un sistem. Ameninţările sunt foarte variante şi obiectivul
atacatorilui constă în obţinerea unor beneficii pentru sine sau pentru alţii ori doar prejudicierea
deţinătorilor sistemului informaţional. Au fost definite astfel:
Un posibil pericol la adresa sistemului (Kabay, 1996).
circumstanţa care are potenţialul să cauzeze pierdere organizaţiei (Pfleeger, 1997;
Castano şi colab., 1995; Neumann, 1995).
circumstanţă sau un eveniment care poate cauza violarea securităţii sistemului (Summers,
1997).
Vulnerabilităţile. Acestea se datorează inconsistenţelor sau erorilor de proiectare, de
implementare, de operare sau de întreţinere a programelor (Bishop, 1999). Acestea fac un sistem
să fie mai susceptibil în a fi atacat cu succes şi au fost definite după cum urmează (inter alia):
Un punct unde sistemul este susceptibil de a fi atacat (Kabay, 1996).
slăbiciune în sistemul de securitate care poate fi exploatată pentru a cauza un prejudiciu
sau pierdere (Pfleeger, 1997).
anumită slăbiciune a unui sistem care permite violarea securităţii sale (Summers, 1997).
Controalele. Acestea reprezintă contramăsuri pentru vulnerabilităţi şi trebuie să fie
proporţionale cu criticalitatea sistemului de informaţii şi probabilitatea producerii unui
eveniment nedorit. Pot fi identificate următoarele categorii de controale:
Controale disuasive, care reduc probabilitatea unui atac deliberat;
Controale preventive, care protejează împotriva vulnerabilităţilor (acestea fac imposibile
sau foarte dificile atacurile);
Controale corective, care reduc efectele unui atac;
58
Controale detective, care permit descoperirea atacurilor şi declanşarea de controale
preventive sau corective;
Controale recuperative, care permit restaurarea sistemului după un atac.
3. Amenintarile si vulnerabilitatile
Tipuri de ameninţări. Ameninţările trebuie bine definite pentru a putea alege, în consecinţă,
măsurile şi controalele de securitate adecvate (Panko, 2004).
Castano şi colab. (1995) clasifică, bipartit, ameninţările în funcţie de modul de producere:
A. non-frauduloase (accidentale) şi
B. frauduloase (intentionale).
altă clasificare posibilă grupează ameninţările la adresa sistemelor informaţionale în:
Ameninţările naturale: Acestea sunt numite în sfera asigurărilor ca fiind forţă majoră
(incendii, furtuni, trăznete, cutremure, inundaţii, doar cateva exemple din aceasta
categorie) (D’Arcy, 2001);
Ameninţările accidentale: Procedurile executate incorect, căderile de electricitate,
întreruperea unui cablu de energie electrica, căderea unui disc etc;
Ameninţările intenţionate: Sabotajul, accesul neautorizat, folosirea sau ştergerea
neautorizată a unor informaţii ori a unor medii de stocare, plantarea de cai troieni
informatici sau infectarea cu viruşi informatici etc.
Ameninţările la adresa sistemelor informaţionale mai pot fi clasificate (Buffam, 2000) dupa cum
urmează:
Ameninţările fundamentale,
Ameninţările care facilitează şi
Ameninţările indirecte.
Atacatorul unui sistem informaţional computerizat, în general, va ajunge într-o poziţie unde va
reprezenta ameninţare fundamentală prin folosirea unei alte ameninţări care facilitează sau
printr-o ameninţare indirectă.
Amenintarile fundamentale
Acestea reprezintă ceea ce un atacator vrea sa realizeze. Aceste ameninţări sunt categorizate de
Buffam (2000) în divulgarea unor informaţii, alterarea informaţiilor, repudierea, refuzul
serviciului şi folosirea nelegitimă, şi sunt discutate în subsecţiunile următoare.
Divulgarea informaţiilor. Informaţii importante, care ar trebui sa rămână confidenţiale, sunt
accesate şi divulgate de persoane neautorizate (sau de persoane angajate de persoane
neautorizate) ori care îşi depăşesc atribuţiile. Deoarece unele informaţii au valoare foarte mare,
valoare care se diminuează considerabil sau se pierde prin încălcarea confidenţialităţii, acest tip
de atac poate avea consecinţe nefaste, extrem de grave, pentru organizaţii.
Alterarea informaţiilor. Informaţiile sunt introduse în sistem fără autorizare, modificate sau
suprascrise de persoane neautorizate (sau de persoane plătite de persoane neautorizate) sau
care îşi depăşesc atribuţiile. Deoarece unele decizii sau acţiuni depinde decisiv de informaţiile
obţinute, acest tip de atac prezintă un pericol potential deosebit pentru organizaţii.
Repudierea. Reprezintă capacitatea sau acţiunea unei persoane de a nega identitatea
transmiţătorului, conţinutul sau data efectuării unei comunicaţii ori transmiterii unui mesaj
electronic. Deoarece unele mesaje sau comunicaţii electronice au importanţă mare, este
important ca organizaţiile să asigure non-repudierea acestora.
59
Refuzul serviciului (denial of service, DOS). Atacurile de acest tip consumă resursele unui
sistem informaţional computerizat, resurse destinate servirii utilizatorilor legitimi. Există două
sub-categorii principale de atacuri în această categorie: atacurile logice şi atacurile de ‘inundare’
(flooding attacks).
Atacuri Denial-of-Service distribuite (DDoS). Reprezintă un tip de atac în care sunt folosite
zeci sau chiar mii de calculatoare compromise pentru a automatiza transmiterea de date care vor
‘inunda’ sistemele vizate, atacate. Calculatoarele compromise sunt controlate de la distanţă prin
plantarea, cel mai adesea, de cai troieni informatici, ceea ce produce un grup de calculatoare
‘zombi’ (care vor acţiona precum entitatile cu acelasi nume din legendele voodoo). Aceste atacuri
sunt periculoase deoarece sunt foarte dificil de contracarat.
Atacuri cum ar fi Ping-of-Death exploatează vulnerabilităţile unor programe informatice pentru a
bloca sistemele ori scăderea semnificativă a performanţelor acestora. ‘Inundarea’ (flooding),
reprezintă un alt atac din această categorie, prin care resursele unui sistem informaţional
computerizat (UCP, memorie sau comunicaţii) sunt epuizate prin trimiterea unui număr mare de
solicitări false. Deoarece este foarte dificil să se facă distincţie între solicitările reale şi cele false,
aceste atacuri pot fi foarte greu contracarate. Cel mai cunoscut atac de tip denial-of-service este
‘SYN flood’, care constă dintr-un şir de pachete TCP SYN (Synchronize) direcţionate către un port
TCP al sistemului atacat. Acest tip de atac poate împiedica un sistem să schimbe date cu alte
sisteme.
Folosirea nelegitimă. Informaţiile sunt folosite de persoane neautorizate sau în scopuri
neautorizate. Deoarece unele informaţii (spre exemplu, rezultatele unor cercetări sau detaliile
unor clienţi) pot avea valoare semnificativă, această acţiune prezintă un pericol important pentru
organizaţii.
60
calculatoare care sunt folosite pentru atac pentru a obţine acces la informaţii sensibile sau pentru
a rula programe privilegiate.
Programele maliţioase (malware). Codul maliţios (malicious code – malware) este clasificat,
de regulă, în funcţie de metoda de pentrare a sistemului de informaţional, de propagare şi de
obiectivul urmărit, în următoarele categorii: calul troian informatic, virusul informatic, back door,
viermele informatic şi spyware. Aceste categorii sunt discutate în subsecţiunile următoare.
Caii troieni informatici. Acest tip de program maliţios va afişa anumită legitimitate, va ‘poza’ ca
fiind ceva util sau autentic pentru a contamina un sistem informaţional computerizat. Numiţi
după mitul antic, în care războinici greci au invadat Troia prin păcălirea troienilor cu “ofertă de
pace” (calul troian de lemn, care a permis războinicilor să intre în cetate şi să cucerească), caii
troieni informatici pot avea funcţionalităţi ascunse utilizatorilor, care pot duce la inserarea sau
alterarea de date, la formatarea discurilor, la interceptarea parolelor, la oprirea anumitor
procese, la blocarea perifericelor ş.a. În unele cazuri, caii troieni informatici auto-distrugându-se
după realizarea acţiunilor maliţioase.
Clasificare a cailor troieni informatici este propusă de Bontchev (1998): cai troiani informatici
obişnuit (regular), lansatori (droppers), injectori (injectors) şi germeni (germs):
Lansatorii: Caii troieni informatici special prin aceea că instalează viruşi în sistemul atacat;
Injectorii: Caii troieni similari celor lansatori dar, spre deosebire de aceştia, acest tip
instalează cod distructiv în memoria unui sistem de informaţii, nu pe disc;
Germenii: Program produs prin asamblarea sau compilarea codului sursă (sau a
rezultatului unei dezasamblări sau decompilări) a unui virus sau a unui program infectat.
Germenii mai sunt numiţi şi prima generaţie de viruşi (first generation viruses).
Bomba logică informatică (Logic bomb). bombă logică informatică este un set de instrucţiuni
dintr-un program sau chiar un program de sine stătător care determină condiţiile sau starea în
care sunt declanşate:
- acţiune care facilitează accesarea neautorizată a unui sistem informaţional,
- distrugerea de date sau alte acţiuni neautorizate.
Acest tip de program distructiv este folosit sau preferat de anumită categorie de atacatori, care
pot controla astfel când să fie declanşată acţiunea neautorizată. Bombele logice sunt adesea
introduse într-un sistem de informaţii prin intermediul unui cal troian.
Virusul informatic. Viruşii informatici au capacitatea de a se ataşa unor programe-gazdă, de
auto-replicare şi de realizare de acţiuni neautorizate (payload), adesea distructive.
Viruşii informatici pot fi clasificaţi după multe criterii: mediul de răspândire, sistemul de operare,
capacităţile distructive, durata efectului, sfera de operare, vulnerabilitatea exploatată,
mobilitatea, modularitatea etc. Amor (2000), clasifică nivelul daunelor produse de viruşi după
cum urmează:
Nivelul 1: Spre exemplu, afişarea de mesaje pe ecran, care nu cauzează daune
semnificative.
Nivelul 2: Afişează mesaje pe ecran şi previne executarea unor programme, dar daunele
nu sunt permanente.
Nivelul 3: Distrugerea informaţiilor pentru programul infectat, fără a altera alte informaţii.
Nivelul 4: Distrugerea tuturor informaţiilor, prevenirea operării calculatoarelor etc.
Back Door. Mecanismele de securitate ale sistemelor informaţionale computerizate sunt
implementate pentru a preveni accesul neautorizat sau inserarea neautorizată de date sau
programe. Back door este un mecanism care permite încălcarea restricţiilor de acces sau scriere
61
pe discuri, ceea ce permite violarea confidenţialităţii informaţiilor, modificarea neautorizată a
informaţiilor, plantarea de cai troieni informatici etc.
Viermii informatici. Viermii informatici sunt confundaţi, adesea, cu viruşii informatici. Chiar
dacă activitatea maliţioasă programată poate fi similară (cum ar fi, spre exemplu, ştergerea sau
modificarea informaţiilor), există diferenţă importantă: viermii informatici nu au nevoie de un
program gazdă pentru a se reproduce sau a se lansa în execuţie (Vasiu şi Vasiu, 2004a). Viermii
informatici pot fi folosiţi pentru varietate de acţiuni distructive.
Viermii informatici pot circula prin reţelele informatice pentru a ataca şi/sau contamina alte
sisteme. Acest tip de program a fost inventat, cu titlu de experiment, de John Socha şi Jon Hupp de
la compania Xerox, din Palo Alto, statul California, în anul 1980, cu speranţa că asemenea
programe pot prelua serie de sarcini administrative necesare într-o reţea de calculatoare (unul
dintre viermii lor căuta calculatoare nefuncţionale şi încerca rezolvarea problemei). În mâinile
unor persoane rău-voitoare, însă, viermii informatici pot cauza probleme extrem de dificile.
Spyware-ul. Spyware este un program plasat pe un sistem de informaţii fără acordul (informat)
al utilizatorilor pentru a obţine informaţii despre sistem, pentru a capta ceea ce tastează
utilizatorii, informaţiile obţinute fiind transmise după obţinere către cel sau cei care controlează
programul, urmând a fi folosite pentru atacarea sistemului informaţional.
Eludarea măsurilor de securitate. Măsurile de securitate instalate pe sistemele de informaţii, în
unele cazuri pot funcţiona incorect sau incomplet sau se pot chiar bloca, ceea ce duce la
posibilitatea accesării neautorizate a unui sistem de informaţii.
Violarea autorizării. Această ameninţare este asociată cu persoane care au un cont autorizat,
dar care realizează acţiuni neautorizate (spre exemplu, inserarea de informaţii false sau
ştergerea de informaţii vitale). Acest tip de atac este ameninţare asociată cu angajaţii unei
organizaţii (insiders).
Amenintarile indirecte
După cum argumentează Buffam (2000), acest tip de ameninţări derivă din caracteristicile de
bază ale Internetului şi ale infrastructuri informaţiei. Următoarele sub-categorii pot fi urmarite în
cadrul acestei secţiuni: interceptarea, scavenging, indiscreţia şi eroarea administrativă.
Interceptarea. Programele care permit ‘adulmecarea’ parolelor (password sniffers, keyloggers)
monitorizează şi înregistrează numele utilizatorilor şi parolele acestora. După obţinerea acestor
informaţii, atacatorii pot impersona un utilizator autorizat şi accesa informaţii confidenţiale,
altera informaţiile existente sau lansa diferite programe sau comenzi care pot produce daune.
Scavenging-ul. Această acţiune constă în folosirea de utilitare pentru reconstituirea informaţiilor
de pe medii magnetice, după ce acestea au fost şterse sau suprascrise. altă formă a acestei acţiuni
constă în căutarea de informaţii care ar putea fi utile din pubele sau din alte locuri unde sunt
aruncate informaţii imprimate pe hârtie (dumpster diving).
Indiscreţia. În această categorie sunt incluse acţiunile care conduc la deconspirarea parolelor
sau tehnicilor de autentificare folosite, părăsirea calculatorului fără încheierea unei sesiuni de
lucru sau social engineering – abordarea naiva a încercărilor de obţinere a parolelor prin tehnici
de genul “Am nevoie de parola lui X pentru a efectua operaţiuni de configurare” sau “Sunt Y, am
uitat parola”.
Eroarea administrativă. Erorile de administrare ale unui sistem de informaţii computerizat
(spre exemplu, configurare greşită, păstrarea unui cont de utilizator pe un sistem după
concedierea deţinătorului contului, setarea greşită a autorizărilor etc.) pot crea posibilitatea
declanşării de acţiuni neautorizate sau obţinerea de acces neautorizat.
62
Vulnerabilităţile şi expunerile
Prin vulnerabilitate se înţelege orice fapt care prezintă problemă din punct de vedere al
securităţii sistemului de informaţii într-un anumit context. Vulnerabilităţile sunt portiţele prin
care se manifestă ameninţările. Common Vulnerabilities and Exposures dezvoltată de Mitre
urmăreşte standardizarea vulnerabilităţilor cunoscute.
Vulnerabilitate universală este definită ca stare într-un sistem informaţional care:
Permite unui atacator să execute comenzi impersonând un utilizator autorizat,
Permite unui atacator să acceseze informaţii contrar procedurilor de acces,
Permite unui atacator să conducă un atac de refuz al serviciului (denial of service).
Stoneburner şi colab. (2001) prezintă următoarele reguli de bază în atenuarea riscurilor asociate
ameninţarilor intenţionale. Aceste reguli sunt aplicabile, cu excepţia celei de a treia, şi pentru
atenuarea riscurilor naturale sau accidentale:
Când vulnerabilitate există, trebuie redusă posibilitatea ca respectiva vulnerabilitate să fie
exploatată;
Când vulnerabilitate poate fi exploatată, trebuie implementată protecţie pe mai multe
niveluri şi controale administrative care pot minimiza riscul sau preveni exploatarea
vulnerabilităţi;
Când costul unui atacator este mai mic decât câştigurile potenţiale trebuie aplicată
protecţie care descreşte motivaţia atacatorului prin creşterea costului său;
Când pierderea potenţială este prea mare, trebuie aplicate protecţii tehnice şi non-tehnice
care să reducă potenţialul de pierdere.
Mecanisme de apărare
Concluzii
Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna funcţionare a sistemelor
informaţionale computerizate, problema securităţii acestor sisteme devine din ce în ce mai
63
importantă (Kankanhalli şi colab., 2003). Stoneburner şi colab. (2001) sugerează bazarea
programelor de atenuare a riscului asociat cu sistemele de informaţii computerizate pe
următoarele:
Angajarea activă a managerilor de vârf din cadrul organizaţiilor;
Suportul şi participarea întregului personal;
Competenţa echipei însărcinate cu analiza şi atenuarea riscurilor;
Cooperarea utilizatorilor, care trebuie să respecte procedurile de folosire şi regulile de
securitate;
O evaluare continuă a riscurilor.
Riscul de atac electronic variază în funcţie de:
tipul de organizaţie,
potenţialele vulnerabilităţi,
diverşi catalizatori, inhibitori şi amplificatori.
Cu toate că riscul de atac electronic asupra sistemelor de informaţi nu poate fi total eliminat,
abordare sistemică şi un set procese pentru atenuarea riscurilor care consideră vulnerabilităţile
specifice fiecărei situaţii (Austin şi Darby, 2003) pot reduce semnificativ impactul unor atacuri
sau chiar elimina anumite clase de atacuri.
Riscurile au determinări multiple, sunt de cele mai multe ori intercorelate, nu afectează
de regulă un singur obiectiv, iar instrumentele de control al riscurilor pot influenţa mai
multe obiective. De asemenea, lecţiile trecutului trebuie învăţate pentru a nu fi puşi în
situaţia de a ignora soluţii care şi-au dovedit eficacitatea.
64