“MANAGEMENTUL RISCURILOR”

- NOIEMBRIE 2018 –

CERNAT CONSTANTIN

Obiective:
o Intelegerea conceptului de managementul riscurilor
o Insusirea si aplicarea conceptelor, instrumentelor, tehnicilor si practicilor general acceptate in
managementul riscurilor

Agenda:
MODUL I - Manager Al Sistemului De Management Al Riscului / MODUL ANALIZA RISCURILOR
A. Conceptul de Managementul Riscurilor
B. Definitii
C. Clasificarea Riscurilor
D. Analiza mediului organizational
E. Definirea obiectivelor strategice si a celor specifice
F. Procesele de Management al Riscurilor
1. Planificarea Riscurilor
2. Identificarea Riscurilor
3. Analiza Riscurilor

1
1. INTRODUCERE

Unul dintre cele mai importante standarde ce compun Codul controlului intern, aprobat prin
Ordinul ministrului finanţelor publice nr. 946/2005, este standardul referitor la managementul
riscurilor.

Conform standardului menţionat mai sus, fiecare entitate publică are obligaţia de a analiza
sistematic, cel puţin o dată pe an, riscurile legate de desfăşurarea activităţilor sale, să elaboreze
planuri corespunzătoare în direcţia limitării posibilelor consecinţe ale acestor riscuri şi să
numească responsabili pentru aplicarea planurilor respective.

Nu se poate spune că preocuparea pentru stăpânirea riscurilor este ceva nou. Fiecare organizaţie,
dar şi fiecare individ în parte, care intenţionează să atingă nişte obiective, îşi stabileşte
activităţile ce conduc la realizarea scopurilor propuse şi, în acelaşi timp, caută să identifice cât
mai multe din “ameninţările” ce l-ar împiedica să facă acest lucru, pentru a lua din timp măsurile
necesare. Cu alte cuvinte, chiar dacă nu suntem familiarizaţi cu conceptele de risc şi de
management al riscurilor, acţionăm de nenumarate ori, conştient sau nu, în acest sens.

Dacă intuiţia ne poate ajuta să gestionăm satisfăcător procese simple, repetitive, nu acelaşi lucru
se întâmplă în cazul proceselor complexe, cu condiţionări multiple, care se petrec în organizaţii.
Mai mult decât atât, organizaţiile nu sunt sisteme închise, ele acţionează într-un mediu, care, la
rândul său, induce incertitudini ce nu trebuie ignorate.

Deşi intuiţia bazată pe experienţă nu îşi va pierde niciodată importanţa, ea se dovedeşte cu totul
insuficientă atunci când managementul trebuie să conducă la performanţă. De aceea, însuşirea
unui sistem coerent de concepte şi de reguli, unanim acceptate pe plan internaţional, devine
indispensabilă practicii organizaţionale actuale în sectorul public, în condiţiile integrării
României în Uniunea Europeană.

De altfel, este unanim recunoscut faptul că însuşirea elementelor de bază pe care să se sprijine
demersul creator al fiecărei organizaţii este o cale mai eficace în atingerea obiectivului urmărit
decât reproducerea unor modele construite pe cu totul alte premise decât cele care descriu
realitatea concretă a organizaţiilor. Oricum, în managementul riscurilor, nu modelele şi tehnicile
sunt cele mai importante, ci atitudinea faţă de risc, iar aceasta este, în primul rând, un aspect al
culturii organizaţionale ce se formează în timp, şi nu un rezultat al unor norme imperative.

Totodată, asimilarea conceptelor de bază ale managementului riscurilor va facilita contactele cu

experţii străini, prin uniformizarea limbajului, făcând posibil un transfer real de cunoştinţe şi
experienţe, şi va permite accesul la literatura de specialitate din domeniu, atunci când se doreşte
aprofundarea unor aspecte de detaliu.

2. DE CE ESTE NECESAR UN MANAGEMENT AL RISCURILOR?

Un răspuns general la această întrebare este indus de observaţia conform căreia atât în
organizaţie, cât şi în mediul în care aceasta acţionează, există incertitudini de natura
ameninţărilor în realizarea obiectivelor, sau de natura oportunităţilor. Orice manager trebuie să-
şi pună problema de a gestiona ameninţările, deoarece, în caz contrar, neatingându-şi
obiectivele, s-ar descalifica, sau de a fructifica oportunităţile în beneficiul organizaţiei,
dovedindu-şi eficienţa. Dacă incertitudinea este o realitate cotidiană, atunci şi reacţia la
incertitudine trebuie să devină o preocupare permanentă. Motivaţia generală de mai sus ar putea

2
justifica singură necesitatea implementării managementului riscurilor, însă există şi unele
motivaţii specifice.

a) Managementul riscurilor impune modificarea stilului de management

Managerii unei organizaţii nu trebuie să se limiteze la a trata, de fiecare dată, consecinţele unor
evenimente care s-au produs. Tratarea consecinţelor nu ameliorează cauzele şi, prin urmare,
riscurile materializate deja se vor produce şi în viitor, de regulă, cu o frecvenţă mai mare şi cu un
impact crescut asupra obiectivelor. Managerii trebuie să adopte un stil de management reactiv,
ceea ce înseamnă că este necesar să conceapă şi să implementeze măsuri susceptibile de a atenua
manifestarea riscurilor. Reacţia orientată spre viitor permite organizaţiei să stăpânească, în
limite acceptabile, riscurile trecute, ceea ce este acelaşi lucru cu creşterea şanselor de a-şi atinge
obiectivele.

Limitarea la managementul reactiv este, totuşi, insuficientă pentru un management performant.

Nici o organizaţie nu poate fi condusă numai dupa principiul “vazând şi facând”.

La fel de importantă este şi identificarea posibilelor ameninţări, înainte ca ele să-şi materializeze
şi să producă consecinţe nefavorabile asupra obiectivelor stabilite. Aceasta înseamnă a adopta un
stil de management proactiv. Managementul proactiv are la bază principiul “este mai bine să
previi, decât să constaţi un fapt împlinit”.

În organizaţiile care beneficiază de un management performant, “scrutarea orizontului” nu se

limitează la viitorul imediat, ci ia în considerare şi perspective mai îndepărtate. În aceste situaţii,
managementul proactiv devine un management prospectiv, în care managementul încearcă să
identifice acele riscuri care pot apare ca urmare a modificărilor de strategie sau de mediu.
Organizaţia trebuie pregătită pentru a accepta schimbarea.

În concluzie, managementul riscurilor exclude expectativa şi promovează acţiunea şi previziunea.

b) Managementul riscurilor facilitează realizarea eficientă şi eficace a obiectivelor organizaţiei

În mod evident cunoaşterea ameninţărilor permite o ierarhizare a acestora în funcţie de

eventualitatea materializării lor, de amploarea impactului asupra obiectivelor şi de costurile pe
care le presupun măsurile menite de a reduce sansele de apariţie sau de a limita efectele
nedorite. Stabilirea unor ierarhii constituie suportul introducerii unei ordini de priorităţi în
alocarea resurselor, în majoritatea cazurilor limitate, în urma unei analize “cost-beneficiu” sau,
mai general, “efort-efect”. Este esenţial ca organizaţia să-şi concentreze eforturile spre ceea ce
este cu adevarat important, şi nu să-şi disperseze resursele în zone nerelevante pentru scopurile
sale.

Totodată, revizuirea periodică a riscurilor, aşa cum este prevăzut în standarde, conduce la
realocari ale resurselor, în concordanţă cu modificarea ierarhiilor şi, implicit a priorităţilor. Cu
alte cuvinte managementul riscurilor presupune concentrarea resurselor în zonele de interes
actuale.

c) Managementul riscurilor asigură condiţiile de bază pentru un control intern sănătos

Dacă controlul intern este ansamblul măsurilor stabilite de conducere pentru a se obţine
asigurări rezonabile că obiectivele vor fi atinse, rezultă că managementul riscurilor este unul din
mijloacele importante prin care se realizează acest lucru, deoarece managementul riscurilor
urmareşte tocmai gestiunea ameninţărilor ce ar putea avea impact negativ asupra obiectivelor.

3
Cu alte cuvinte, dacă se urmareşte consolidarea controlului intern, este indispensabilă
implementarea managementului riscurilor.

Planul de acţiune (activităţile ce trebuie desfăşurate pentru realizarea obiectivelor) trebuie

secondat de planul ce cuprinde măsurile ce atenuează manifestarea riscurilor şi de planul de
tratare a situaţiilor dificile (riscuri materializate).

3. CONCEPTE - CHEIE ALE MANAGEMENTULUI RISCURILOR

Această secţiune este consacrată, în primul rând, definirii termenilor, şi nu detalierii conceptelor,
lucru ce va face obiectul secţiunilor următoare. Procedându-se astfel, s-a considerat că cei
interesaţi îşi pot forma o imagine de ansamblu asupra problematicii ce urmează a fi abordată.

Definiţii

Organizaţie - Persoanele care lucrează împreună pentru atingerea unor obiective prestabilite. O
organizaţie poate fi o autoritate publică, un serviciu guvernamental (minister, instituţie publică,
agenţie etc.), o întreprindere constituită sau nu în societate, o asociere de persoane fără scop
lucrativ, o colectivitate locală etc. De asemenea, tot organizaţii sunt considerate şi componentele
structurale (divizii, direcţii, servicii, birouri etc.).

Obiective - Scopurile pe care şi le stabileşte o organizaţie. Obiectivele generale se descompun, la

nivel operaţional, în obiective derivate şi specifice. La nivel global, obiectivele pot fi exprimate în
termeni generali, dar, la nivel operaţional, obiectivele se definesc precis, prin indicatori de
rezultate măsurabili. De aceea, obiectivele reprezintă rezultatele ce trebuie obţinute la nivelul
organizaţiei şi la nivelul fiecărei componente structurale din cadrul acesteia.

Risc - O problemă (situaţie, eveniment etc.) care nu a apărut încă, dar care poate apare în viitor,
caz în care obţinerea rezultatelor prealabil fixate este ameninţată sau potentată. În prima
situaţie, riscul reprezintă o ameninţare, iar în cea de-a doua, riscul reprezintă o oportunitate.
Riscul reprezintă incertitudinea în obţinerea rezultatelor dorite şi trebuie privit ca o combinaţie
între probabilitate şi impact.

Probabilitatea de materializare a riscului - Posibilitatea sau eventualitatea ca un risc să se

materializeze. Reprezintă o măsură a posibilităţii de apariţie a riscului, determinată apreciativ
sau prin cuantificare, atunci când natura riscului şi informaţiile disponibile permit o astfel de
evaluare.

Impactul - Reprezintă consecinţa asupra rezultatelor (obiectivelor), daca riscul s-ar materializa.
Daca riscul este o ameninţare, consecinţa asupra rezultatelor este negativă, iar dacă riscul este o
oportunitate, consecinţa este pozitivă.

Expunere la risc - Consecinţele, ca o combinaţie de probabilitate şi impact, pe care le poate resimţi

o organizaţie în raport cu obiectivele prestabilite, în cazul în care riscul se materializeaza.

Materializarea riscului - Translatarea riscului din domeniul incertitudinii (posibilului) în cel al

certitudinii (al faptului împlinit). Riscul materializat se transformă dintr-o problemă posibilă
într-o problemă dificilă, dacă riscul reprezintă o ameninţare, sau într-o situaţie favorabilă, dacă
riscul reprezintă o oportunitate.

4
Atenuarea riscului - Măsurile întreprinse pentru diminuarea probabilităţii (posibilităţii) de apariţie
a riscului sau/şi de diminuare a consecinţelor (impactului) asupra rezultatelor (obiectivelor)
dacă riscul s-ar materializa. Mai concis, atenuarea riscului reprezintă diminuarea expunerii la
risc, dacă acesta este o ameninţare.

Evaluarea riscului - Evaluarea consecinţelor materializării riscului, în combinaţie cu evaluarea

probabilităţii de materializare a riscului. Mai concis, evaluarea riscului reprezintă evaluarea
expunerii la risc.

Profilul de risc - Un tablou cuprinzând evaluarea generală documentată şi prioritizată, a gamei de

riscuri specifice cu care se confruntă organizaţia.

Strategia de risc - Abordarea generală pe care o are organizaţia în privinţa riscurilor. Ea trebuie să
fie documentată şi uşor accesibilă în organizaţie. În cadrul strategiei de risc se defineşte toleranţa
la risc.

Toleranţa la risc - “Cantitatea” de risc pe care o organizaţie este pregatită să o tolereze sau la care
este dispusă să se expună la un moment dat.

Risc inerent - Expunerea la un anumit risc, înainte să fie luată vreo masură de atenuare a lui.

Risc rezidual - Expunerea cauzată de un anumit risc dupa ce au fost luate măsuri de atenuare a lui.
Măsurile de atenuare a riscurilor apartin controlului intern. Din această cauză riscul rezidual este
o măsură a eficacitaţii controlului intern, fapt pentru care unele ţări au înlocuit termenul de risc
rezidual cu cel de risc de control.

Gestionarea riscurilor sau managementul riscurilor - Toate procesele privind identificarea, evaluarea şi
aprecierea riscurilor, stabilirea responsabilităţilor, luarea de măsuri de atenuare sau anticipare a
acestora, revizuirea periodică şi monitorizarea progresului.

Controlul intern - Orice acţiune / măsură provenită din organizaţie, luată în scopul gestionării
riscurilor. Aceste măsuri pot fi luate fie pentru a diminua impactul în cazul materializării
riscurilor, fie pentru a reduce probabilitatea de materializare a riscurilor. Cu alte cuvinte,
controlul intern reprezintă tocmai managementul riscurilor, deoarece, prin măsurile luate, se
obtine o asigurare rezonabilă că obiectivele organizaţiei vor fi atinse.

Conceptul de Management al Riscurilor

• Managementul riscurilor reprezinta un proces continuu, proactiv si sistematic de identificare,

evaluare si gestionare a riscurilor, realizat la nivelul fiecarei entitati cu scopul de a furniza
asigurari rezonabile in ceea ce priveste atingerea obiectivelor.
• Metodologie care vizeaza asigurarea unui control global al riscurilor, ce permite mentinerea
unui nivel acceptabil al expunerii la risc pentru entitatea publica, cu costuri minime.
• Scopul Managementului Riscurilor nu este acela de a evita riscurile cu orice cost.
• Reducerea la zero a riscurilor, in majoritatea cazurilor nu este practica si rareori se poate face
cu costuri rezonabile.
• De aceea acceptarea unui anumit grad de risc este necesar in cadrul organizatiei.
• Acest lucru depinde insa de toleranta la risc pe care o manifesta organizatia.
• Managementul riscurilor nu este o activitate optionala, ci este parte integrala a procesului de
management la toate nivelele, adaugand valoare prin cresterea probabilitatii de atingere a
obiectivelor intr-un mod eficient si eficace.

5
Clasificarea Riscurilor

• Riscurile pot fi clasificate in doua mari categorii:

– Incertitudini
– Evenimente de risc

• Incertitudinile – se refera la faptul ca estimarile noastre cantitative nu sunt precise si din acest
motiv trebuie sa luam in considerare posibile deviatii

• Evenimentele de Risc – conduc de regula la aparitia de noi activitati ce trebuie realizate Risc si
Incertitudini

Dupa natura sursei

Riscul Pur; Riscul în afaceri; Riscul proiectelor; Riscul operational; Riscul tehnologic; Riscul
politic

• Riscul Pur
– Se refera la acele riscuri care cauzeaza prejudicii sau pierderi materiale.
– Se mai numesc si riscuri asiguratorii, deoarece se pot lua masuri financiare de siguranta in ceea
ce priveste efectele produse, masuri cum ar fi politele de asigurare care protejeaza asiguratul de
consecintele aparitiei evenimentului de risc, iar in cazul in care acesta nu s-a manifestat
asiguratul pierde prima de asigurare.

• Riscul in afaceri
– In afaceri exista intotdeauna riscul de a pierde, risc care este contrabalansat de oportunitatea
de a castiga. Aceasta sansa de castig, desi presupune asumarea unor riscuri, antreneaza
afaceristul in actiuni riscante care pot aduce beneficii semnificative.

• Riscul proiectelor
– Orice proiect este un risc deoarece acesta este intotdeauna un deschizator de drum, el nu are un
trecut in spate care sa asigure experienta necesara previzionarii viitorului.

• Riscul operational
– Riscul operational este asociat cu derularea anumitor operatiuni sau activitati. Aici pot fi
incluse riscurile legate de functionarea unei linii tehnologice, de conducerea unei activitati, de
operarea unui calculator etc. Riscul apare atunci cand un anume eveniment afecteaza derularea
operatiunii sau activitatii.

• Riscul tehnologic
– Natura noilor tehnologii presupune riscuri in utilizarea lor datorita incertitudinii atingerii
scopurilor pentru care au fost proiectate.

• Riscul politic
– Se refera la situatiile in care un factor de decizie este constrans de factori politici. In cadrul unei
organizatii, riscul politic se refera la problemele generate de politicile interne ale acesteia.

Dupa localizarea sursei

Riscuri Interne; Riscuri Externe

• Riscurile interne
– Reprezinta rezultatul unor evenimente din interiorul organizatiei. Aceste surse de risc pot fi
controlate. In aceasta categorie se pot distinge riscurile de utilizare a echipamentelor tehnologie,

6
riscurile fortei de munca, sau riscurile asociate managementului organizational. Aceste riscuri
pot fi prevenite prin simpla eliminare a surselor care le produc, lucru posibil datorita faptului ca
sunt generate de activitatea organizatiei, deci provin din interiorul acestei.

Tipuri de riscuri interne

• Riscuri legate de neclaritatea obiectivelor sau a prioritatilor.
• Riscuri datorate lipsei de coerenta in ceea ce priveste caietele de sarcini.
• Riscuri legate de definirea imprecisa a unor responsabilitati/activitati in cadrul companiei.
• Riscul tehnologic, de productie, inovatie/modernizare, tehnic: incompatibilitatea intre
tehnologiile vechi si cele noi.
• Riscul de produs/industrial.
• Riscuri in gestionarea resurselor umane.
• Riscuri in gestionarea resurselor materiale, aprovizionare si desfacere.
• Riscul documentatiei.
• Riscuri de logistica- comunicatii interne si externe companiei.
• Riscuri financiare.
• Riscul de firma/companie (este combinatia dintre riscul operational, concurential si de
implementare).
• Riscuri datorate contractelor incheiate care nu au respectat limita de timp prevazuta pentru
livrarea produselor/servciilor sau care nu au fost indeplinite.

• Riscurile externe
– Sunt rezultatul unor evenimente din afara organizaţiei. Aceste riscuri nu pot fi controlate
deoarece ele nu depind de activitatea interna a organizatiei.

Tipuri de riscuri externe

• Riscuri politice.
• Riscuri comerciale - nivelul costurilor, al crizelor economice, al materialelor neprelucrate,
embargouri, blocade economice.
• Riscuri comunitare – intreruperea serviciilor esentiale – apa, electricitate.
• Riscuri de reglementare – interziceri la transferuri valutare, anulari de autorizatii de import.
• Riscuri de mediu.
• Riscuri juridice.
• Riscul economic – influentat de riscul financiar, inflatie si de transfer financiar.

Managementul riscului nu este doar apanajul unui proiect sau al unei companii ci este ceva ce
fiecare dintre noi face constant atât în activitatea profesională cât şi în ceea ce întreprinde în
viaţa de zi cu zi.

1. Managementul riscului ca activitate de expert. Să începem de la un personaj foarte popular

în ultimul timp: Sherlock Holmes. Calitatea pe care personal o invidiez cel mai mult la Sherlock
este capacitatea sa de asociere. Când îl auzi pe Sherlock Holmes enunţând o frază ce pare la prima
vedere imposibil de dedus ai impresia că doar ghiceşte, pentru ca apoi, ascultând modul sau de
deducţie, să ţi se pară totul extrem de natural. Da, pupilele dilatate pot însemna anumite lucruri,
la fel şi tuşul de pe haine, şi praful de pe pantofi de o anumită culoare, şi scamele de pe haine, şi
poziţia în care îţi ţii capul etc. Problema este să ai capacitatea de a memora ce înseamnă fiecare şi
mai ales, de a accesa aceste informaţii la momentul potrivit.

90% din managementul riscului se bazează pe ceea ce în engleză se numeşte „expert knowledge”,
sau pe româneşte – expertiză. Riscul nu este ceva ce există în mod real, ci ceva ce poate exista.
Motiv pentru care nu activitatea pe care încerci să o analizezi este cea care îţi va oferi
posibilitatea de identificare a riscurilor asociate ei, ci cunoştinţele tale referitoare la aceasta,

7
asocierile pe care le faci referitor la modul în care pot decurge lucrurile şi aşa mai departe.
Managementul riscului caută ceea ce nu este dar poate fi, iar acesta este strict un exerciţiu
mental, un exerciţiu ce se bazează pe competenţe. Nu identifici riscurile ca o maşină să se strice
strict uitându-te la maşină şi zicând: „a, uite ce risc am găsit la roata asta…şi motorul are două
riscuri imense, unul mai în spate şi unul mai în faţă”. Riscurile le identifici uitându-te la maşină dar
folosind cunoştinţele pe care le ai legate de funcţionarea acesteia: de exemplu ştii că la viteză
mare presiunea pe roţi creşte, vezi o piesă mai slabă în angrenaj şi imediat faci asocierea dintre
ceea ce ştii şi ceea ce vezi şi îţi dai seama că există riscul ca piesa să cedeze. Este vorba despre
ceea ce ştii şi modul în care îl asociezi cu ceea ce vezi.

Adică este exact ceea ce Sherlock Holmes face cel mai bine.

Şi exact cum am zis mai sus, dacă vrei să faci cât mai bine managementul riscului, adică să îţi
îmbunătăţeşti sistemul asociativ, este de bază să îţi sporeşti cât mai mult cunoştinţele. Atât
cunoştinţele despre managementul riscului în sine, cât şi cunoştinţe generale, cât şi, mai ales, cele
legate de activitatea pe care îţi propui să o analizezi.

2. Managementul riscului ca şi comunicare. În general noţiunea de „risc” este asociată cu ceva

negativ, cu o ameninţare, deşi din punct de vedere teoretic, risc înseamnă fie ameninţări, fie
oportunităţi. Însă această conotaţie negativă face ca discuţia despre riscuri să fie una dificil de
abordat. De multe ori, oamenii preferă politica struţului, adică ignoranţa, în speranţa că va trece.
Este ceea ce se întâmplă cu anumite persoane care preferă să nu meargă la doctor pentru a nu
afla veşti mai puţin bune, persoane care fac planuri idealiste şi îşi imaginează că totul va merge
aşa cum s-au gândit ei, persoane care preferă să nu discute despre subiecte neplăcute. Este una să
fii optimist, dar este altceva să fii visător. Nu susţin că e o idee bună să cauţi tot timpul să vezi
partea goală a paharului, însă trebuie să încerci să vezi tot paharul, cu părţile lui şi bune şi rele, cu
crăpături eventual, cu colţul mesei pe care se află aşezat etc. Şi trebuie să te pregăteşti şi pentru o
desfăşurare nefavorabilă a evenimentelor, că să nu ajungi în postura în care să dai din umeri şi să
zici „am avut ghinion”. Norocul, după cum ştim, în mare parte fiecare şi-l face, dar pentru asta
trebuie să fie pregătit să discute şi să abordeze subiectul în cauză atât cu bune, cât şi cu rele.
Trebuie să fie pregătit să se confrunte cu orice situaţie, şi să aibă un plan de răspuns adecvat.

3. Managementul riscurilor necunoscute. Riscurile sunt prin definiţie nişte necunoscute, nişte
variabile în funcţie de care lucrurile pot decurge într-un mod sau altul. Identificându-le ajungem
să le cunoaştem. Dacă ne uităm la procesul de management al riscurilor, acesta are 4 paşi:
identificarea riscurilor, analiză acestora, planificarea răspunsurilor şi implementarea lor. Ultimii
3 paşi se aplică riscurilor identificate la primul pas. Ce facem însă cu acele riscuri pe care nu le
identificăm?

În orice activitate, oricât vei încerca să prevezi totul, vor rămâne situaţii neprevăzute. A se vedea
Titanicul, care teoretic era de nescufundat. Sunt convins că avea cele mai avansate sisteme la
momentul respectiv pentru a se asigura siguranţa vasului, dar un iceberg care loveşte în aşa fel
încât să provoace exact acel tip şi acea cantitate de daune prea mari pentru a fi suportate, la asta
nu s-au gândit. Şi dacă se gândeau şi mai făceau câteva mecanisme de siguranţă, tot ar fi putut fi
altceva: un iceberg mai mare, un incendiu la bord etc.

Riscurile necunoscute există din două motive: fie o identificare incompletă în cadrul primului pas
al procesului, fie riscuri care pur şi simplu nu este rezonabil a fi analizate. Evident oricând poţi să
fii lovit de asteroid, de fulger sau, ca să fim şi optimişti, să câştigi la loto. Dar nu e rezonabil să îţi
faci planuri de vacanţă cu banii de loto pe care încă nu i-ai câştigat.

8
Managementul riscului nu ar fi complet dacă nu ar trata inclusiv aceste riscuri. Tratarea lor se
face în două moduri. La nivel mai mic, uzual, se face prin oprirea unei rezerve, în general
financiare. Banii albi pentru zile negre cum zice romanul. Resurse de rezervă pentru situaţii
neprevăzute. Însă şi aici se aplică primul punct de mai sus şi anume este nevoie de expertiză
pentru a fi cât mai exact în suma pe care o pui de rezervă. Rămânând la exemplu cu bani de
rezervă, nu are sens să pui de-o parte 10 lei – vei putea maxim să mănânci o masă cu ei. Tot la fel
cum nu are sens să pui de o parte 1 miliard de euro (presupunând că îi ai). Suma e mult prea
mare şi mai bine ai face să opreşti o suma mai mică şi să investeşti restul. În mediul business în
care circulaţia banilor este vitală, este important să ştii să pui de o parte exact cât este nevoie, nu
mai puţin să nu îţi ajungă, nici mai mult şi să blochezi banii fără să fie nevoie.

Al doilea mod de a trata riscurile necunoscute se aplică situaţiilor de lungă durată. Vorbim de
strategii pe ani zile, schimbări de politică la nivel naţional sau la nivel de corporaţii mari, proiecte
foarte importante şi care se întind pe o perioadă lungă şi aşa mai departe. Întrucât acestea sunt în
general activităţi cu impact mare în exterior (către populaţie, către un număr mare de clienţi etc.)
şi care se finalizează după mai mulţi ani, uneori poate chiar zeci de ani, este necesar ca definirea
rezultatelor acestora să se facă astfel încât la final acestea să nu fie deja învechite. De exemplu nu
este în regulă să îţi propui un proiect în care în 8 ani de acum să restructurezi agricultura
României aşa încât să se mapeze pe cele mai noi tehnologii existente, pentru că peste 8 ani
acestea vor fi deja învechite. Trebuie mai întâi să încerci să identifici cât mai exact cum vor fi
tehnologiile peste 8 ani, să înţelegi direcţia în care acestea evoluează şi cam unde vor ajunge, şi
scopul tău să fie integrarea acelora care vor fi atunci de vârf în agricultură, şi nu a celor care sunt.
Este ceea ce se numeşte futurologie, iar companiile mari folosesc astfel de specialişti angajaţi în
tehnici specifice cum ar fi „horizon scanning”, analiza trendurilor sau identificarea a ceea ce se
numesc „wild cards” sau „black swans” – lebede negre (riscuri cu probabilitate foarte mică dar
impact foarte mare).

4. O SINTEZĂ A PROBLEMATICII RISCURILOR

Orice organizaţie se constituie pentru a realiza anumite scopuri în raport cu care se orientează
activităţile desfăşurate în cadrul acesteia. În afara unor scopuri, nu există organizaţie, deoarece
acestea constituie însăşi raţiunea ei de a fi.

Scopurile sunt cunoscute sub denumirea generica de obiective. În sectorul privat, obiectivul
principal al organizaţiei îl constituie fructificarea capitalului investit, pe când, în sectorul public,
accentul cade pe interesul general, adică producerea unui serviciu public sau oferirea unui
beneficiu pentru publicul larg.

Obiectivele organizaţiei nu se rezumă numai la cele derivate din scopurile pentru care a fost
creată. Pentru atingerea scopurilor, organizaţia utilizează resurse, fapt pentru care este necesară
definirea unor obiective legate de utilizarea eficientă a acestora şi de securitatea activelor. De
asemenea, organizaţia generează şi utilizează informaţii, deci o serie de obiective vizează
fiabilitatea informaţiilor interne şi externe, în cadrul cărora un loc central îl ocupă fiabilitatea
informaţiilor contabile, deoarece acestea reflectă situaţia financiară şi patrimonială. Organizaţia
îşi desfăşoară activităţile într-un mediu reglementat şi, prin urmare, este firesc să-şi stabilească
obiective legate de conformitatea cu legile, actele normative subsecvenţe, regulamentele şi
politicile interne.

Aceste obiective constituie obiectivele generale ale oricarei organizaţii. Ele se descompun până la
nivel individual, formând un ansamblu coerent de obiective subordonate celor generale.
Obiectivele operaţionale (la nivelul fiecărei activităţi) trebuie exprimate prin indicatori de

9
rezultate, pentru a putea fi monitorizate. Din această cauză, obiectivele sunt denumite în mod
curent şi “rezultate ce trebuie obţinute” sau “rezultate aşteptate”.

Oricare ar fi organizaţia, atingerea obiectivelor stabilite sau obţinerea rezultatelor aşteptate este
grevata de incertitudine, care poate deveni o barieră în calea succesului sau o oportunitate.
Incertitudinea există, indiferent de modul în care o percepem. Am fost obişnuiţi să lucrăm în
termeni determinişti şi să ignorăm incertitudinea, deşi la fiecare pas ne lovim de ea. Oricând pot
apare situaţii sau evenimente, acţiuni sau inacţiuni, care au drept consecinţă neatingerea
obiectivelor sau se pot constitui în oportunităţi ce trebuie exploatate. Astfel de probleme care pot
apare şi care influenţează în sens negativ sau pozitiv obţinerea rezultatelor dorite sunt denumite
riscuri.

Cu certitudine, fiecare s-a lovit de nenumarate ori de astfel de probleme, doar ca nu le-a denumit
riscuri. În plan individual, suntem mai conştienţi de existenţa riscurilor, însă, în plan
organizaţional (a activitătii pe care o desfăşurăm în cadrul unei organizaţii) avem tendinţa de a le
minimaliza, fiindcă nu avem exerciţiul perceperii incertitudinii.

De câte ori în activitatea desfăşurată nu am făcut afirmaţia: dacă aş fi ştiut că se poate întâmpla
asta aş fi procedat altfel. Când am făcut această afirmaţie, de fapt, ne-am exprimat regretul că nu
am identificat riscul pentru a lua măsurile necesare, iar acesta s-a materializat într-o stare de fapt
care a produs consecinţe (impact) asupra a ceea ce ne-am propus să realizăm (obiectiv).

Din cele de mai sus rezulta că riscurile trebuie identificate şi evaluate, din perspectiva
combinaţiei dintre probabilitatea că ceva (riscul) să se întample şi impactul (consecinţa asupra
obiectivului) pe care materializarea respectivei posibilităţi îl va avea. Rezultatul evaluarii
combinaţiei probabilitate - impact este denumită expunerea la risc.

Dar riscurile nu dispar complet nici după ce am procedat la controlul intern. Incertitudinea nu
poate fi eliminată, ci numai controlată. Daca renuntăm să mai trecem strada prin locuri fară pasaj
subteran sau renuntăm la metoda autorecepţiei la furnizor, ar fi prea costisitor şi ar cere prea
mult timp. Riscul care rămâne dupa aplicarea măsurilor de control intern se numeste risc
rezidual.

Gestionarea riscurilor înseamnă identificarea şi evaluarea riscurilor, precum şi stabilirea

modului de a reacţiona în faţa riscurilor, adică de a pune în operă mijloace de control intern care
să le atenueze posibilitatea de apariţie sau consecinţele pe care le-ar produce în cazul în care s-ar
materializa.

Dar resursele disponibile pentru gestionarea riscurilor sunt limitate, iar numarul riscurilor
creşte odată cu complexitatea organizaţiei şi a activităţilor desfăşurate pentru atingerea
obiectivelor. Prin urmare, este necesar să se urmarească un răspuns optim la risc, intr-o anumită
ordine de prioritati (profilul riscurilor) care rezultă din evaluarea riscurilor. În fiecare
organizaţie trebuie să se ia măsurile necesare (să se operaţionalizeze un sistem de control
intern) gestionării riscurilor până la un nivel considerat acceptabil. Acest nivel este numit
toleranţa la risc (sau apetitul pentru risc).

În orice caz, riscul rezidual (ceea ce a rămas din riscul inerent după punerea în operă a
mijloacelor de control intern) trebuie să se încadreze în toleranţa la risc.

În plan general, răspunsul la risc poate fi de următorul tip: acceptarea riscului; monitorizarea
riscului; evitarea riscului; transferarea (externalizarea) riscului; atenuarea riscului.

10
Fiecare organizaţie îşi desfăşoară activitatea într-un mediu care influenţează riscurile, dar care
creează, în acelaşi timp, un context ce fixează limitele în cadrul cărora riscurile trebuie
gestionate. Mai mult decât atât, fiecare organizaţie are parteneri pe care mizează în demersul de
atingere a obiectivelor. Din această cauză, un proces eficace de gestiune a riscurilor trebuie să ia
în considerare priorităţile stabilite de parteneri în gestionarea riscurilor. Prin urmare, mediul în
care subzistă organizaţia nu este neutru. În teoria şi practica consacrată riscurilor se vorbeşte
chiar de organizaţia extinsă (la nivelul mediului cu care interacţionează).

Gestionarea riscurilor trebuie subordonată obiectivelor care formează un sistem integrat,

coerent şi convergent către obiectivele generale, astfel încât nivelele de activitate să se susţină
reciproc.

Această abordare permite organizaţiei să defineasca şi să implementeze o strategie de

gestionare a riscurilor care porneşte de la vârf şi este integrată în activităţile şi operaţiile de
rutină ale organizaţiei. Punerea în practică a strategiei trebuie integrată sistemelor de activitate
ale organizaţiei, pentru a se asigura că gestionarea riscurilor este o parte integrantă a modului în
care este condusă organizaţia. Personalul de conducere, indiferent de nivelul ierarhic pe care se
află, trebuie să-şi formeze abilităţile necesare gestionării pe principii de eficienţă a riscurilor. Mai
mult decât atât, personalul, în ansamblul său, trebuie să conştientizeze importanţa pe care
gestionarea riscurilor o are în atingerea propriilor obiective.

5. Analiza mediului organizational

În primul rând, sã definim organizaţia:

ORGANIZAŢIA colectivitate de oameni care lucreazã împreunã într-un proces ce are la bazã
diviziunea muncii, pentru a atinge un scop comun.

ANALIZA MEDIULUI INTERN AL UNEI ORGANIZATII

Sistemul informational opereaza in contextul a doua medii: intern si extern. Amandoua afecteaza
modul in care fluxurile informationale sunt conduse in scopul furnizarii de servicii catre clienti,
beneficiari etc. Daca managerul si personalul nu au o viziune clara asupra acestor medii si asupra
impactului pe care il au asupra operatiilor lor, efortul este inutil.

Mediul intern al organizatiei cere aceeasi atentie in conducere ca cel extern. Mediul intern
cuprinde factorii din interiorul organizatiei care ii influenteaza activitatea. Factori precum:
structura, cultura, valorile, stilurile manageriale, comunicarea, tehnologia constituie mediul
intern.

De asemenea, factorii mediului intern sunt influentati de mediul extern. Mediul extern cuprinde
conditiile exterioare in care serviciile informationale opereaza. Cele mai multe organizatii
opereaza in medii complexe, in schimbare, care in mod continuu creeaza noi provocari care
trebuie controlate pentru a asigura supravietuirea si succesul.

Analiza mediului extern si intern al organizatiei este procesul prin care se stabilesc
caracteristicile cheie ale mediului intern si extern al organizatiei care pot avea un impact asupra
acesteia la nivel strategic. O sarcina principala a managementului este sa se asigure ca serviciul
informational este performant si se adapteaza la schimbarile interne si externe. Acest lucru poate
fi realizat prin cateva procese.

11
Informatia initiala din mediul intern si extern trebuie sa fie culeasa, asimilata si evaluata. Cateva
metode de evaluare care pot fi folosite sunt: analiza SWOT, identificarea factorilor critici de
succes si profilul de capabilitate (capacitate). O greseala a managementului ar fi sa ignore sau sa
omita revizuirea continua a performantelor organizatiei in raport cu mediul intern si extern.
Adesea scuza pentru o astfel de practica este faptul ca se consuma mult timp. In schimb,
planificarea devine mai eficienta prin folosirea unui astfel de proces.

Calitatea deciziilor strategice ale consiliului de administratie (‘board of directors’) si directorilor

CEO (directorii coordonatori de manageriat si decidentii finali) dintr-o organizatie/intreprindere
este influentata de validitatea si reliabilitatea intelegerii de catre personalul din managementul
prescriptor si managementul decident al intreprinderii/organizatiei, a valorilor si amenintarilor
mediului sau intern si extern. Si nu este vorba doar despre o intelegere a situatiei sale statice, la
un moment dat, ci si a tendintelor determinate de conditionarile acestor valori si amenintari
asupra evolutiei intreprinderii/organizatiei, de asemenea despre intelegerea folosirii optime a
datelor respective pentru generarea si alegerea strategiei intreprinderii/organizatiei.

Analiza SWOT reprezinta un fel de scanare a mediului intern si extern al organizatiei, orientata
spre a surprinde patru aspecte ale activitatii intreprinderii/organizatiei: puncte forte, puncte
slabe, oportunitati si amenintari. Aceasta “scanare” reveleaza itemuri (probleme, cauze,
conditionari, articole) servind ca mijloace de propulsie ori, dimpotriva, actionand ca frane, pentru
atingerea obiectivului organizatiei. Prin alegerea strategiei corecte a unei organizatii, se poate
influenta impactul acestor forte in avantajul organizatiei. (idem)

Dintre aceste 4 aspecte esentiale pe care se bazeaza orice analiza SWOT, doua dintre ele
(Strengths si Weakness) au relatie directa cu mediul inten al organizatiei. Astfel, punctele tari
(Strengts) si punctele slabe (Weaknesses) sunt cele care reflecta mediul intern al organizatiei.

Punctele forte ale organizatiei, deci capacitatile, resursele si avantajele pe care ea le poseda,
competentele distinctive ale personalului managerial de cele doua nivele: executiv si decident,
precum si alti factori de succes ai intreprinderii/organizatiei, nu neaparat doar factori „tangibili”,
fizici, ci si elemente „intangibile”, precum asertiuni peremptorii din zona cunoasterii prudentiale.
‚Punctele forte’ ale organizatiei defines valorile pozitive si conditionarile interne care pot
constitui surse pentru succesul organizatiei in atingerea obiectivului managerial. Intr-adevar, din
punctul de vedere al managerului, un‚punct forte’ reprezinta oricare element, tangibil sau
intangibil, adica fizic ori numai intelectual, care faciliteaza atingerea obiectivelor manageriale. De
fapt, in analiza SWOT punctele forte sunt definite atat ca valori, cat si drept factori interni care
creeaza valorile.

Insistam asupra faptului ca ‘punctele forte’ pot sa fie gestionate in cadrul unui plan strategic al
organizatiei/firmei. ‚Punctele slabe’ ale organizatiei reprezinta conditionari interne ce sunt
contrariul valorilor propriu-zise, sunt punctele de slabiciune ale organizatiei, ariile sale de
vulnerabilitate, zonele de resurse sarace, si alte „valori negative” sau ‚conditionari negative’. Din
perspectiva managerului, un ‚punct de slabiciune’ reprezinta un element identificat in
organizatie, element ce poate impiedica atingerea obiectivelor manageriale ale organizatiei.
Punctele de slabiciune se pot imparti in doua categorii: i.) factori interni care distrug valorile; ii.)
conditii interne insuficient de bine focalizate pentru a putea sa creeze valori competitive in
conditiile globalizarii (de exemplu o gandire autarhica orientata spre echilibrul cu natura).

Conditionari si valori a caror cunoastere determina cadrul pentru stabilirea strategiei unei
organizatii: Conditionari interne /Puncte forte/ Puncte slabe si Conditionari externe
/Oportunitati /Amenintari.

12
Aceste informatii, colectate sub forma de inventare de itemuri, trebuie sa fie verificate sub
aspectele suficientei lor, a corespondentei cu obiectivele organizatiei si posibilitatii folosirii lor in
timp real. Cele patru inventare pot sa fie privite si ca elemente ale unei matrici, folosind
caracteristicile : intern, extern, pozitiv, negativ, pe post de indici ai elementelor.

Daca o anumita capabilitate este intalnita la toti competitorii, atunci ea este o necesitate, si
trebuie exclusa de pe inventarul punctelor forte. Pe de alta parte, daca respectiva capabilitate
este supusa ciclului Deming, precum si obligatiei unei auditari externe si certificari periodice, ea
trebuie sa fie mentinuta pe lista de puncte forte.

Adaugarea de valoare prin adoptarea voluntara a politicilor ambientale standardizate in cadrul

intreprinderii/organizatiei constituie date externe transformate in date interne, ‘oportunitati’
transformate in ‘puncte forte’. Deci asimiland pe baza voluntara politici manageriale si
contractuale de valoare ambientala, o intreprindere industriala isi defineste (isi construieste) un
avantaj competitiv nou, pe care trebuie sa il mentina. Adoptarea unui sistem de management
ambiental, mentinerea lui in regim de continuitate functionala prin auditarea sa periodica,
interna si externa, adoptarea si mentinerea unei politici de etichetare ecologica pentru produsele
si serviciile intreprinderii/organizatiei, declaratiile ambientale, proiectarea si fabricarea eco-
produselor, toate acestea sunt teme care intra in planificarea strategica a politicilor
intreprinderii/organizatiei.

Structura organizationala (reflectata, formal, in diagrama organizationala sau organigrama)

poate fi, de asemenea, atat un punct forte, cat si un punct de slabiciune. Diagrama organizationala
arata fluxurile de putere decizionala intr-o organizatie. Daca managerul decident final, adica
directorul CEO (Chief Executive Officer) sau PDG-ul (Presedintele Director General) nu este
interesat de aspectele ambientale si ecologice ale functionarii organizatiei, atunci aceasta lipsa de
interes este un punct de slabiciune. Pe de alta parte, se poate aprecia ca analiza SWOT poate fi
cheia culturala pentru transformarea structurii organizatiei catre succes.

Exemple de puncte de slabiciune inerente sunt numeroase intr-o organizatie. Din punctul de
vedere universal acceptat al Ecologiei Industriale, consumul mare de energie al produselor si
serviciilor este un punct de slabiciune. Initial nu trebuie sa fie aplicat nici un filtru care sa
opreasca inscrierea factorilor banuiti a fi cauze de slabiciune, pe lista de itemuri « W » ale
organizatiei. Totusi, este obligatorie incadrarea lor in orizonturi de timp si ordonarea lor
ulterioara dupa importanta. Cele doua operatii vor scurta foarte mult lista, retinandu-se pentru
planificarea strategica numai itemurile prioritare pe termen lung.

In unele cazuri, un punct de slabiciune este numai reversul negativ al unui punct forte pozitiv: de
exemplu o capacitate de productie mare, sau depozite prea mari. Inainte de 1989, amplificand
prea mult punctele forte (care existau, realmente), intreprinderea industriala romaneasca le
transforma, inevitabil, in puncte de slabiciune. Si reciproca este valabila, imediat dupa 1989 :
apeland exagerat de mult la stilul managerial ‘hole-in-the-floor’, gestionarea guvernamentala de
sus in jos aplicata industriei a reusit sa distruga atunci foarte multe dintre punctele forte ale
industriei romanesti, pentru care au lucrat generatii intregi de specialisti extrem de capabili.

Puncte de forta si puncte de slabiciune exista in interiorul unei firme, ori in relatiile cele mai
importante dintre o firma si clientii sai. Asa cum am constatat deja, punctele forte sunt factori
interni ai intreprinderii/organizatiei care au un potential pozitiv in planul strategic pentru
atingerea obiectivului intreprinderii/organizatiei, iar punctele de slabiciune constituie sau
instituie vulnerabilitati. ‘Punctele forte’ si ‘punctele de slabiciune’ pot sa fie supuse unui control
managerial.

13
Colectarea informatiei despre punctele forte si punctele de slabiciune trebuie focalizata pe
constatarea prezentei unor factori interni precum capabilitati si competente ale personalului,
resurse interne, valori de natura monetara sau facil translatabile monetar etc, ori, dimpotriva, pe
absenta acestora.

Compilarea si inregistrarea punctelor forte poate incepe si prin evidentierea ariilor in care
intreprinderea/organizatia exceleaza. Alcatuirea inventarului punctelor forte ale organizatiei
ofera deci si avantajul ca sunt examinate atent valorile tangibile si intangibile existente in cadrul
organizatiei.

Astfel, punctele forte ale companiei trebuie sa fie dezvoltate pana la obtinerea unui avantaj
competitiv pe baza lor, printr-o adecvare cu oportunitatile sau prin utilizarea lor pentru
depasirea obstacolelor.

Sintagma ‘puncte forte’ descrie in SWOT atribute pozitive, care sunt “tangibile” si “intangibile”,
din interiorul organizatiei. Punctele forte semnificative sunt integral controlate si utilizate de
catre un management de calitate al problemelor organizatiei.

Astfel momentul realizarii inventarului de ‚puncte forte’ al unei organizatii este in acelasi timp
ocazia trecerii in revista a valorilor, tangibile si intangibile, existente intr-o organizatie. Punctele
forte trebuie sa fie cautate, examinate, si evaluate pe diverse zone ale organizatiei: marketing,
finante, procesele de fabricatie, caracterul tehnologiilor, competente, chiar si in structura
organizationala. Sa observam ca in structura organizationala sunt prezente si puncta forte, cat si
puncte de slabiciune.

Conectivitatea holistica intre departamentele organizatiei este un exemplu de punct forte in

structura organizationala. Crearea unui post de ‘manager al calitatii’, -- sau de ‘lider al initiativei
de calitate’--, in echipa de consilieri ai directorului CEO (deci a unui consilier care este efectiv in
reprezentarea intereselor consumatorilor- interesati in primul rand de calitatea organica a
produsului/serviciului la nivel de intreprindere/organizatie) constituie de asemenea un punct
forte al structurii organizationale.

Un punct forte al organizatiei economice poate sa fie: 1.) expertiza in marketing; 2.) un
produs/serviciu inovativ; 3.) locatia privilegiata pentru afacerile organizatiei economice; 4.)
calitatea organica a produselor ; 5.) Nivelul tehnologic ; 6.) Respectarea standardelor ISO de
calitate a produselor/serviciilor.

De la acest nivel, un punct forte devine o capabilitate. Dar atunci cand itemurile interne judecate
a fi pozitive pentru obiectivele firmei sunt inscrise pe lista punctelor forte, devine imperativ ca
ele sa fie considerate atat din punctul de vedere al intereselor mai generale pentru companie, cat
si din punctul de vedere al clientului care cumpara. Elementele clamate pe lista punctelor forte
nu trebuie sa fie modeste, dar este necesar ca ele sa fie realiste.

Alaturi de calitatea organica si de calitatea statistica, mai trebuie considerat si orice aspect din
activitatea organizatiei care adauga valoare produsului ori serviciului. Calitatea profesionala a
personalului angajat este o asemenea resursa. Compania economica mai poate enumera si puncte
forte din categoria cunoasterii: Cunoastem standardele, sistemele, retelele, conectivitatile,
programarea, gestionarea datelor, distribuitorii capabili sa adauge valoare produselor noastre,
etc.

Acreditarile personalului, calificarile si certificarile sale constituie de asemenea exemple de

puncte forte ale organizatiei, insa doar in masura in care ele nu sunt formale, ci efective.

14
Avantajele culturale, de atitudine, comportamentale constituie de asemenea puncte forte ale
organizatiei.

Care sunt resursele naturale de care dispune organizatia ? Si locatia geografica poate constitui o
diferenta care introduce un avantaj. De exemplu locatia geografica ofera uneori exclusivitatea
accesului la resurse naturale de foarte buna calitate.

Exemplele de ‘puncte forte’ ale unei companii mai includ:

- Posesia unui sistem de securitate informatica intra-organizationala
- Un management al securitatii sistemelor informatice intra-organizationale in concordanta cu
valorile etice.
- O infrastructura fiabila pentru tehnologia informatiei.
- Protectia proactiva contra 'programelor malitioase' (protectie spam si anti-virus etc.)
- Uniformitatea in sistemele de operare ale produselor high-tech ale firmei care pot fi
interconectate.
- Inventiile si inovatiile proprii. (Care este diferenta intre inventie si inovatie? In contextual
Ecologiei Industriale, deosebirea dintre cei doi termeni este data de cel de al treilea termen:
utilizarea in productia de masa.)
- Patente legale care protejeaza inventiile si inovatiile proprii, chiar daca unele dintre acestea
sunt foarte neobisnuite.
- Compania este capabila sa dezvolte eco- produse al caror impact ambiental potential este
evaluat inainte de fabricarea lor propriu-zisa.
- Avantajele de cost asupra proprietatii de ‘know-how’, (‘savoir faire’ tehnologic) in domeniul
eco-produselor.
- Imagini (nume) de marca (de firma)
- Reputatie buna pentru serviciile post-vanzare oferite clientilor.
- Existenta unui plan de contingenta pentru riscurile cu probabilitate mare
- Existenta unei directii strategice lipsite de confuzie pe care avanseaza compania/organizatia.
- Existenta unei culturi organizationale care induce un climat de lucru pozitiv in organizatie.
- Exploatarea intensa a bordului cu instrumente manageriale de calitate care pregatesc
valorizarea din actul decizional (insasi analiza SWOT apartine bordului respectiv).
- Posibilitatea efectuarii unor studii ACV (‘Analiza pe Ciclul de Viata’ sau ‘Life Cycle Analysis’),
pentru a se evalua impactul ambiental al diverselor scenarii strategice.

Astfel, adaugarea de valoare prin adoptarea voluntara a politicilor ambientale standardizate in

cadrul intreprinderii constituie ‘oportunitati’ transformate in ‘puncte forte’, adica date externe
transformate in date interne.

Exista un numar din ce in ce mai mare de companii care mizeaza foarte mult in planurile lor
strategice pe competentele existente in interiorul firmei de a lucra cu mecanismele comerciale
oferite de protocolul de la Kyoto sau de alte reglementari de mediu. Totusi, trebuie facuta o
distincte clara intre ‘puncte forte’ si ‘oportunitati’. Daca ‚oportunitatile’ pot deveni uneori ‚puncte
forte’, reciproca nu este valabila.

Este foarte important pentru managementul proactiv al unei organizatii sa fie cautate,
identificate exact, si gestionate spre ameliorare, punctele slabe din organizatie, inainte ca ele sa
se transforme in vulnerabilitati acute pentru organizatie.

Sa reamintim ca punctele de slabiciune (W) sunt factorii interni cu potentialitate negativa din
organizatii. Acesti factori se afla, principial, sub control managerial, insa datorita absentei unei
gestionari la timp si corecte, elementele respective sunt degradate pana la un stadiu in care

15
impiedica organizatia/compania sa obtina si/ori sa mentina un avantaj competitiv, ori sa
avanseze doar catre atingerea obiectivului, daca organizatia respectiva este non-profit.

Punct de slabiciune este orice cauza interna care blocheaza obtinerea unui avantaj al organizatiei
prin exploatarea unei oportunitati externe, precum si orice element intern care induce
vulnerabilitatea organizatiei la un risc extern.

Primul punct de slabiciune este chiar absenta ‘deschiderii’ organizatiei catre mediul exterior.
Daca aceasta este o companie economica, ea trebuie sa ofere produse si/ori servicii pe piata. Iar
daca este organizatie non-profit, care sunt actiunile ei societale, relevante in contextual
dezvoltarii durabile ?

Privind si dintr-o perspectiva pozitiva (perspectiva proprie analistului SWOT), putem spune ca
punctele de slabiciune definesc ariile din interiorul organizatiei unde exista potentialitatea unor
ameliorari ale performantelor generale ale organizatiei prin gestionarea eficienta a domeniilor de
slabiciune pentru organizatie.

In categoria punctelor de slabiciune care pot sa fie transformate astfel incat sa induca o
repolarizare catre progres in organizatie intra, de exemplu, lipsa temporara de expertiza. Prin
antrenamentul personalului existent in competentele care lipsesc, ori prin angajarea unor
persoane perfect calificate in acele zone ale cunoasterii, respectiva chestiune se poate gestiona cu
succes. Rolul zonei interne din focalizarea analizei SWOT este acela de a determina unde sunt
disponibile ‘resursele’ intr-o organizatie, si unde lipsesc acestea, in felul acesta fiind identificate
unele dintre punctele de forta si unele dintre punctele de slabiciune. De exemplu, se constata ca
organizatia dispune de resurse materiale limitate. Dar acesta este un punct de slabiciune pentru
majoritatea organizatiilor ! Totusi, numai unele organizatii reusesc sa gestioneze acest aspect si
sa se mentina in competitia pe piata ori intr-o activitate societala cu efectivitate. Operarea unei
organizatii dincolo de resursele sale constituie un punct de slabiciune care poate distruge
organizatia.

Dintre alti factori care principial se afla, ori se vor afla, sub controlul managerial, putem
mentiona:
- inaccesibilitatea unor tehnologii noi;
- oferta inferioara de servicii ;
- locatia defectuoasa a unei afaceri (‘delocalizarea’ sau ‘off-shoring’ fiind o solutie manageriala
preferata in conditiile globalizarii pentru rezolvarea acestei deficiente) ;
- lipsa de licente proprii.

Acesti factori de slabiciune, dar susceptibili de ameliorare prin gestionare corespunzatoare,

dintr-o varietate de motive nu au ajuns, pana la momentul constatarii prin inventarul SWOT, sub
efectul unui efort managerial focalizat. Gestionarea eficienta va adauga valoare in aceasta zona a
organizatiei identificata prin punctul de slabiciune, gasindu-se printr-o ‘analiza comparativa’
(‘benchmarking’) ‘cea mai buna practica’ (‘the best practice’) care va fi implementata si in
organizatia analizata strategic, eliminandu-se fie acest element al dezavantajului competitiv pe
piata, daca este vorba despre o companie economica, sau indepartandu-se acest obstacol intern
care blocheaza progresul catre atingerea obiectivului, daca organizatia este de natura non-profit.

Apoi, problema foarte generala a eficientei personalului, intrebarea punandu-se, bineinteles, la

orice nivel al diagramei organizationale.

16
Structura organizationala poate fi atat un punct forte, cat si un punct de slabiciune. Daca
structura organizationala este un punct de slabiciune, atunci analiza mediului intern si extern
poate eventual revela :
- o conducere defectuoasa, care de exemplu nu este interesata de angajarea unor specialist care
adauga valoare;
- lipsa de tinte manageriale clare;
- o delegare insuficienta a parcelelor de putere si a responsabilizarilor;
- lipsa de incredere;
- comunicare defectuoasa de la varf catre baza.

Dar si aplicarea unor transformari organizationale, precum restructurarea departamentelor,

retrasarea liniilor de autoritate in organizatie (adica felul cum circula ‘fluxul puterii’ in
organizatie), schimbarea in cultura organizationala prin crearea unui nou ‘climat al politicii
interne’, o noua politica de angajare, inlocuirea unor persoane care ocupa functii de nivel
managerial decident, concomitent cu solutionarea eficienta a punctelor de slabiciune mai vechi,
au si potentialul sa creeze puncte de slabiciune noi. Deci la un timp relativ scurt dupa o
transformare organizationala, este recomandat recursul la o noua analiza a mediului intern si
extern.

Si absenta unui anumit punct forte poate fi vazuta ca un punct de slabiciune. Operatia insasi de
identificare a punctelor de slabiciune este extrem de importanta pentru orice organizatie. De
acuratetea acestei operatii depinde in ultima instanta si succesul planificarii strategice. Intr-
adevar, desi unele dintre punctele de slabiciune nu vor induce neaparat si consecinte negative
pentru organizatie, acele punct de slabiciune care sunt percepute in permanenta de catre client
trebuie sa fie considerate o prioritate de gestionare (management) pana la eliminarea lor.
Intarzierea descoperirii acestor puncte de slabiciune va lovi in continuare organizatia; intarzierea
se datoreaza uneori si lipsei de acuratete in analiza mediului organizatiei.

Ca exemplu, analiza mediului intern trebuie sa implice urmatorii factori:

Privind structura organizatorica

- Care este tipul de organigrama practicat?
- Autoritatea manageriala este centralizata sau descentralizata? In ce grad?
- Cite nivele ierarhice sunt utilizate in intreprindere?
- Organizarea structurala este inteleasa si acceptata de toti angajatii?
- Este compatibila structura cu politicile, strategiile si obiectivele intreprinderii?
- Ce tip de structura organizatorica practica firmele din acelasi domeniu de activitate?
- Ce imbunatatiri pot fi aduse organizarii actuale a intreprinderii?

Privind cultura intreprinderii

- Care sunt credintele, asteptarile si valorile impartasite in comun de angajatii
intreprinderii?
- Cultura organizationala curenta este bine definita?
- Cultura organizationala existenta incurajeaza performantele intreprinderii?
- Exista compatibilitate intre cultura organizationala si misiunea, politicile, strategiile,
obiectivele intreprinderii?
- Cultura organizationala incurajeaza schimbarea, inovarea, introducerea noului sau
stagnarea?

Privind resursele intreprinderii

Aspectele de marketing
- Care sunt obiectivele, strategiile, politicile si programele de marketing?

17
- Cine sunt clientii firmei? Care sunt factorii care influenteaza comportamentul clientilor?
Cine sunt clientii potentiali?
- Care sunt produsele oferite? In ce stadiu al ciclului de viata se afla? Care este tipul gamei
sortimentale?
- Care sunt reactiile clientilor la schimbarea preturilor? Sunt practicate preturi atractive?
- Care sunt activitatile de promovare utilizate? Prin ce se diferentiaza fata de concurenta?
- Sunt utilizate metodele si tehnicile de marketing in cadrul intreprinderii?
- Ce pozitie ocupa managerul de marketing in cadrul intreprinderii?

Finantele
- Care sunt obiectivele, strategiile, politicile si programele financiare?
- Cum se prezinta situatia financiara a intreprinderii (structura financiara, gestiunea
resurselor financiare, rezultatele) si care sunt factorii principali de influenta?
- Cum se efectueaza planificarea financiara?
- Exista concordanta intre incasari si plati?
- Este respectata regula echilibrului financiar?
- Care sunt metodele utilizate in analiza financiara?
- Care sunt metodele si instrumentele utilizate in repartitia rezultatelor financiare?
- Ce metode sunt utilizate pentru elaborarea deciziilor financiare?
- Ce pozitie ocupa managerul financiar in cadrul intreprinderii?

Cercetare-dezvoltare
- Care sunt obiectivele, strategiile, politicile si programele de cercetare-dezvoltare?
- Cum se realizeaza proiectarea produselor?
- Care se desfasoara pregatirea tehnologica a produselor, lucrarilor si serviciilor?
- Exista un buget alocat pentru dezvoltarea capacitatilor de productie?
- Cum este masurata eficienta activitatii de cercetare-dezvoltare?
- Ce pozitie ocupa managerul de cercetare-dezvoltare in cadrul intreprinderii?

Productia/serviciile
- Care sunt obiectivele, strategiile, politicile si programele de productie?
- Cum se realizeaza programarea, lansarea si urmarirea productiei?
- Sunt utilizate metodele si tehnicile moderne de management al productiei?
- In ce proportie este utilizata capacitatea de productie?
- Sunt respectate principiile proportionalitatii, ritmicitatii si continuitatii?
- Este promovata conceptia calitatii totale in cadrul intreprinderii?
- Care sunt metodele utilizate in controlul calitatii produselor?
- Ce pozitie ocupa managerul de productie in cadrul intreprinderii?

Resursele umane
- Care sunt obiectivele, strategiile, politicile si programele de dezvoltare a resurselor
umane?
- Intreprinderea dispune de necesarul de salariati pe fiecare categorie?
- Ce metode sunt utilizate in recrutarea, selectia si promovarea personalului?
- Cum se realizeaza pregatirea profesionala?
- Cum se prezinta conditiile de munca in intreprindere?
- Sistemul motivational se afla in concordanta cu performantele realizate?
- Care este coeficientul de fluctuatie a angajatilor?
- Care este starea de spirit a salariatilor? Care sunt elementele definitorii pentru relatiile
interpersonale din cadrul grupurilor de munca?
- Ce pozitie ocupa managerul de personal in cadrul intreprinderii?

18
 Sistemul informational
- Care sunt obiectivele, strategiile, politicile si programele in domeniul sistemului
informational al intreprinderii?
- Circuitul informatiilor este optimizat din punct de vedere economic?
- Baza de date a intreprinderii este permanent actualizata?
- Sunt realizate analize sistemice? Sunt implementate sisteme interactive de asistare a
procesului decizional?
- Sunt utilizate echipamente moderne de procesare a informatiei?
- Ce pozitie ocupa managerul sistemului informational in cadrul intreprinderii?

Analiza factorilor strategici

- Care sunt factorii -cheie interni si externi care afecteaza performantele prezente si
viitoare ale intreprinderii?
- Care au fost factorii- cheie cu implicatii in performantele din trecut?
- Care sunt elementele care pot influenta intreprinderea pe termen scurt?
- Dar pe termen mediu si lung?
- Care sunt raporturile dintre misiunea, respectiv obiectivele intreprinderii si factorii
strategici cheie?
- Se impune schimbarea misiunii si obiectivelor intreprinderii?
- Care vor fi efectele acestei schimbari? (ec. Adrian Petelean, Demersuri in analiza strategica
a competentelor organizationale, Revista Performanta, nr. 2, iulie 2001)

Exista un anumit « risc » al evaluarilor si re-evaluarilor interne ale organizatiei. Fiind extrem de
concentrata asupra optimizarilor interne, organizatia poate risca sa piarda contactul cu lumea
inconjuratoare, cu piata. La extrema, firma refuza sa ia in considerare semnalele negative venite
din exterior, fiind in continuare convinsa ca se afla pe drumul cel bun.

5. IDENTIFICAREA RISCURILOR

Pentru a se gestiona riscurile într-o organizaţie, este necesar, înainte de toate, să se cunoască
aceste riscuri, adică să fie identificate. Identificarea riscurilor constituie primul pas în
construirea profilului riscurilor unei organizaţii.

Riscurile trebuie identificate la orice nivel unde se sesizeaza că există consecinţe

asupra atingerii obiectivelor şi pot fi luate măsuri specifice de soluţionare a
problemelor, ridicate de respectivele riscuri.

Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a caror realizare este
afectata de materializarea lor. Din această cauză existenţa unui sistem de obiective clar
definite în organizaţie constituie premisa esentiala pentru identificarea şi definirea riscurilor.

Definiti clar sistemul de obiective, începând cu cele generale şi terminând cu cele individuale, şi
numai după aceea încercaţi să identificaţi ameninţările şi oportunităţile. Un risc identificat
poate avea semnificatie pentru mai multe obiective ale organizaţiei, iar impactul său poate
varia în funcţie de fiecare obiectiv în parte.

Identificarea şi definirea unui risc în raport cu un obiectiv este rareori suficientă. Încercaţi să stabiliţi şi
celelalte obiective asupra cărora respectivul risc are consecinţe. S-ar putea găsi măsuri de tratare a
respectivului risc în raport cu ansamblul obiectivelor pe care le afectează.

19
În raport de situaţia în care se află organizaţia, identificarea riscurilor se poate afla într-una
din urmatoarele ipostaze:
• Identificarea initiala a riscurilor caracteristică organizaţiilor noi sau care nu şi-au
identificat anterior riscurile, într-o manieră structurată. De asemenea, această situaţie se
întalneşte în cazul demarării unui nou proiect sau atunci când o activitate nouă este introdusă
în organizaţie.
• Identificarea permanentă a riscurilor caracteristică organizaţiilor în care s-a
consolidat managementul riscurilor. Identificarea continuă este necesară pentru cunoaşterea
riscurilor care nu s-au manifestat anterior datorită circumstanţelor, a schimbării circumstanţelor
în care se manifestă riscurile identificate anterior, precum şi pentru stabilirea riscurilor care s-au
manifestat în trecut, dar care nu mai prezintă, în prezent, importanţa pentru organizaţie.

Pentru un management eficace al riscurilor, identificarea riscurilor trebuie să capete un caracter permanent.
Identificarea continuă a riscurilor este conditia necesară racordarii la schimbare.

La identificarea şi definirea riscurilor trebuie avute în vedere câteva reguli importante.

• Riscul este o incertitudine, şi nu ceva sigur. Prin urmare, atunci când se identifică un “risc”
trebuie analizat dacă nu este vorba despre o situaţie existentă, care are un impact asupra
obiectivului. De cele mai multe ori, situaţia existentă reprezintă un risc materializat, adica unul
care s-a produs. În niciunul din cazurile de mai sus nu mai este vorba despre un risc, ci despre o
problemă dificilă, care trebuie gestionată, sau despre o oportunitate care trebuie exploatată.

Nu pierdeţi din vedere ca riscul este o problemă (situaţie, eveniment etc.) care poate să apară, dar care nu a
aparut încă. Riscul este o posibilitate, şi nu un fapt împlinit.

• Nu ignoraţi problemele dificile identificate. Ele pot deveni riscuri în situaţii repetitive
din cadrul aceleiaşi organizaţii sau pentru alte organizaţii în care astfel de riscuri nu s-au
materializat. Arătam, în secţiunea precedentă, că managementul riscurilor presupune un proces
de învăţare. Din experienţele trecute trebuie să învăţăm, pentru a controla mai bine viitorul.

Dacă circumstanţele se pot repeta, trataţi problemele dificile şi ca riscuri. Prin urmare, puneţi în operă şi
măsurile specifice gestiunii riscurilor.

• Nu constituie riscuri probleme (situaţii, evenimente) care nu pot apare. În limbajul

de specialitate al teoriei riscurilor, acestea se numesc ficţiuni.

Riscurile sunt probleme care pot apare şi nu probleme (situaţii, evenimente) a căror apariţie este
imposibilă.

Considerarea unor ficţiunii ca fiind riscuri generează risipă de resurse şi disiparea eforturilor spre probleme
ipotetice, ştiut fiind faptul că fiecare risc identificat necesită elaborarea unui plan de răspuns.

• Nu identificaţi ca riscuri probleme care vor apare cu siguranţă. Acestea nu sunt

riscuri, ci certitudini.

Răspunsul la certitudini nu este un plan de răspunsuri la risc (măsuri de controlare a riscurilor -

măsuri de a ţine sub control riscurile), ci un plan construit având ca punct de referinţă
certitudinea.

20
• Riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul nu este
risc, ci consecinţa materializării riscurilor asupra realizării obiectivelor. Impactul este un efect ce
îşi are sorgintea în risc şi nu riscul însăşi.

Riscurile sunt situaţii, evenimente probabile, care dacă s-ar materializa ar avea consecinţe
asupra obiectivelor.

Există tentaţia de a defini riscul prin impact: risc de a întârzia, risc de accident, risc de inundaţii, risc de
prejudiciere, risc de infidelitate a rapoartelor contabile, risc de dezechilibru. Pentru a evita erorile definiţi
clar obiectivele şi raportaţi-vă la ele. Definiţi apoi ce efecte negative există asupra acestor obiective.
Identificaţi situaţii sau evenimente care ar putea produce aceste efecte. Reţineţi că definirea riscurilor nu
este absolută, ci relativă fiind conditionată de definirea obiectivelor. Nici atunci când obiectivele sunt
aceleaşi, deoarece ele depind de circumstanţele concrete din fiecare organizaţie, riscurile nu se definesc la fel.
Doua organizaţii identice nu există. Din această cauză riscurile sunt, în primul rând, probleme interne şi nu
generale.

• Nu definiţi riscurile prin negarea obiectivelor. O astfel de definire nu este adecvată

nici pentru impact şi cu atât mai puţin pentru riscuri.

• Nu identificaţi riscuri care nu afectează obiectivele.

Nu există riscuri în mod absolut, ci numai riscuri corelate cu obiectivele. Identificarea riscurilor
nu este un scop în sine. Scopul identificării riscurilor este tocmai inventarierea acelor probleme
care ar putea conduce la nerealizarea obiectivelor, dacă s-ar materializa (ar deveni situaţii de
fapt).

La identificarea riscurilor este necesar să se elimine, pe cât posibil, tentaţia stabilirii unor cauzalitati
indirecte. În caz contrar, există pericolul de a se vedea riscuri peste tot.

• Riscurile au o cauză şi un efect asupra obiectivelor. Există o cauză pentru fiecare risc şi un
efect dacă riscul se materializeaza. Efectul (consecinţa) este, aşa dupa cum s-a arătat, impactul.
Cauza este o situaţie care există (circumstanţa) şi care favorizează apariţia riscului.

• Faceti deosebirea intre riscul inerent şi riscul rezidual. Riscul inerent este riscul
specific ce ţine de realizarea obiectivului, fără a se interveni prin măsuri de atenuare a riscurilor
(controlul intern). În exemplele arătate anterior, riscurile identificate sunt riscuri inerente. Ele
ţin de problema în sine.

Riscul rezidual este riscul ce rămâne după ce s-au pus în operă măsurile de atenuare a riscurilor
inerente sau, cu alte cuvinte, riscurile remanente controlului intern. Riscul rezidual este
consecinţa faptului că riscurile inerente nu pot fi controlate în totalitate. Oricâte măsuri s-ar lua,
incertitudinea rămâne. Mai mult decât atât, amploarea măsurilor de ţinere sub control a
riscurilor inerente este limitată, deoarece resursele posibil de antrenat sunt ele însele limitate.

Identificarea riscurilor inerente este utilă, deoarece crează o imagine a riscurilor cu care se poate confrunta
organizaţia daca sistemul de control intern nu funcţionează corespunzator.
De asemenea, identificarea riscurilor reziduale este importantă deoarece ele constituie o măsură a
eficacităţii controlului intern, dar şi un reper de raportare la tolerabilitate la risc

21
• Identificarea riscurilor nu este întotdeauna o operatiune strict obiectiva ci, în
primul rând, o problema de percepţie. De fapt, se poate afirma ca nu se operează cu riscuri în
sine, ci cu percepţii asupra riscurilor.

Pentru a atenua subiectivismul în perceperea riscurilor este recomandat să se recurgă la doua

metode complementare de identificare a riscurilor cu care se confruntă organizaţia:
- Autoevaluarea riscurilor. Metoda are avantajul că fiecare grup, care participă la o
activitate omogena a organizaţiei, cunoaşte mult mai bine problemele cu care se confruntă în
realizarea obiectivelor proprii. Totodată, atunci când membrii colectivului sunt puşi în situaţia de
a descoperi ei înşişi riscurile, ei tind să devină mai conştienţi şi mai responsabili în gestionarea
acestora. Dezavantajul metodei constă în faptul că fiind implicati direct în activitate,
subiectivismul în perceperea riscurilor este mai accentuat. Se întâmplă să se identifice riscuri
nerelevante, dar care în percepţia colectivă par importante şi invers.

Rolul managerului acelei activităţi este esenţial în autoevaluare. Având o viziune de ansamblu a
activităţii pe care o coordonează, percepe mai bine riscurile generale şi intercondiţionarile dintre
riscurile individuale. De asemenea, acesta identifică acele riscuri care afectează activitatea
grupului, dar pe care nu le poate controla la nivelul său fiind necesară intervenţia
managementului de nivel imediat superior.

Pentru început, dar şi pentru procesul de revizuire continuă, este bine ca organizaţia să-şi
formeze un grup de persoane care să capete abilităţi în identificarea riscurilor. Aceste persoane
pot asista colectivele de autoevaluare.

- Desemnarea unei echipe, interna sau externa (eventual angajată prin contract), care să
analizeze toate operaţiunile şi activităţile organizaţiei în corelare cu obiectivele şi să identifice
riscurile asociate. Echipa trebuie să realizeze un profil al riscurilor organizaţiei. Avantajul acestei
metode consta în atenuarea subiectivismului şi în corelarea riscurilor pe diferite nivele.
Dezavantajul rezidă în faptul că anumite riscuri, aparent neimportante, pot fi ignorate.

• Identificarea riscurilor curente este necesară, dar nu şi suficientă. Adaptarea la

schimbare impune identificarea unor riscuri ce pot apare în viitor ca urmare a unor transformări
previzibile. Importanta sporită, în sectorul privat dar şi în cel public, a cercetarii viitorului
(“scrutării orizontului”) şi a gestionarii riscurilor viitoare este acum un fapt recunoscut.
Organizaţiile trebuie să se pregătească din timp pentru a putea face faţă unor riscuri viitoare.

Criterii de tipologizare Descriere

In organizaţiile guvernamentale specializate în previziuni, explorarea
viitorului este o activitate curentă, menită să identifice noi provocări ce
Periodicitate /
pot crea disfuncţii, dar şi oportunităţi. În alte organizaţii activitatea este
Regularitate
periodică, activitatea de cercetare a viitorului fiind reluată la intervale
de timp stabilite în raport cu dinamismul mediului extern sau intern.
În cazul elaborării strategiilor şi politicilor organizaţionale se
cercetează orizonturi de 10 ani şi mai mult, în timp ce, atunci când este
Orizont de timp
vorba de decizii operaţionale orizontul de timp se reduce la perioade
mai scurte.
O serie de organizaţii, care consideră că principalele ameninţări provin
din interior, îşi concentrează atenţia asupra mediului intern. Altele,
Sfera de cuprindere puternic conectate la mediul extern, îşi dezvoltă reţele extinse de
informare şi nuclee specializate de analiză a posibilelor riscuri viitoare.

22
 Explorarea viitorului depinde de măsura în care este susţinută de
tehnologie. Anumite organzaţii folosesc în identificarea riscurilor
Rigurozitate / Specialitate
scheme sofisticate şi tehnologii avansate de căutare a informaţiilor.
Altele se bazează pe reţeaua de contacte şi o bună judecată.

Consideram că este utilă prezentarea unei tipologii a modalităţilor în care diferite organizaţii
abordează cercetarea viitorului.

Riscurile identificate trebuie grupate. Nu există o grupare standard, fiecare organizaţie poate adopta
propriul sistem de grupare a riscurilor cu scopul de a le administra corespunzător. Apartenenţa la o clasa
de probleme, nivelele de responsabilitate în gestionarea riscurilor, congruenţa măsurilor ce trebuie luate
etc, pot constitui elemente în bază cărora să se facă această grupare.

După amploarea impactului riscurile pot fi strategice sau operaţionale (în unele abordări apar şi
riscurile intermediare sau de program). De asemenea, unele riscuri îşi au sorgintea în mediul
extern organizaţiei (riscuri externe), iar altele sunt proprii organizaţiei însăşi (riscuri interne).
De asemenea, pot fi privite prin prisma naturii activităţii, caz în care, acestea pot fi riscuri:
legislative, juridice, financiare, profesionale, sociale, comerciale, informationale, de functionare,
de mediu, de imagine (credibilitate), patrimoniale etc.

Cu titlu de exemplu, redăm mai jos tabelul cuprinzând categoriile de riscuri realizat de
Ministerul Finanţelor din Anglia (Treasury) menit să sprijine organizaţiile să verifice dacă au
luat în considerare întreaga gama de riscuri ce pot apare.

Categorii de riscuri

1. Externe (care decurg din mediul extern şi nu pot fi controlate în totalitate de organizaţie, dar
pentru care pot fi luate măsuri de atenuare
1.1. Politice
1.2. Economice
1.3. Socio-culturale
1.4. Tehnologice
1.5. Juridice
1.6. De mediu

2. Operaţionale (legate de operaţiile curente, atât modul curent de desfăşurare a activităţii, cât şi
construirea şi menţinerea capacităţii şi capabilităţii)
2.1. Desfăşurarea activităţii
2.1.1. Posibilitatea de a furniza un produs / serviciu
2.1.2. Derularea activităţilor / proiectelor
2.2. Capacitate şi capabilitate
2.2.1. Resurse (active, umane, financiare, informaţionale)
2.2.2. Relaţii
2.2.3. Operaţii (obţinerea rezultatelor)
2.2.4. Reputaţie
2.3. Modul şi capacitatea de gestionare a riscurilor
2.3.1. Guvernanta (regularitate şi corectitudine)
2.3.2. Explorare (capacitatea de identificare riscuri şi oportunităţi)
2.3.3. Flexibilitate şi adaptabilitate
2.3.4. Securitate (active, sociala, informaţională)

23
3. Schimbarea (riscuri ce ţin de obiective, care depăşesc capacitatea actuală)
3.1. Noi strategii
3.2. Noi politici
3.3. Noi programe
3.4. Noi proiecte

Procesul de identificare a riscurilor este primul pas în demersul activităţii de management al

riscului. Acesta îşi propune să descopere toate sursele posibile de risc cu scopul eliminării sau
diminuării efectelor pe care acestea le pot produce. În urma procesului de identificare a riscului,
analiştii pot cuantifica aceste riscuri şi pot stabili moduri de abordare a lor cu scopul de evita
situaţiile în care managerul sau organizaţia este surprins(ă) de evenimente necunoscute.

Identificarea riscurilor se poate realiza prin mai multe metode cum ar fi:

A. Chestionare
B. Brainstorming
C. Jurnale
D. Modele comportamentale
E. Diagrame
F. Diagramele de flux
G. Şedinţe periodice cu personalul implicat

A) Chestionarul

Piloţii de aeronave nu au voie să decoleze până nu termină de completat o listă de verificări care
cuprinde o serie de parametri privind securitatea zborului. Dacă prin intermediul listei
respective se sesizează un lucru care nu este în regulă, se iau măsuri suplimentare de siguranţă,
sau se remediază problemele depistate, sau se anulează zborul. În orice caz, lista nu permite
decolarea decât în condiţii de maximă siguranţă, deci cu ajutorul acesteia sunt eliminate cauzele
apariţiei evenimentelor de risc cunoscute.

Această listă de verificare este practic un chestionar care cuprinde o serie de întrebări.
Răspunsurile la aceste întrebări permit conturarea unei situaţii faptice care ajută la luarea unei
decizii de demarare sau nu a unui proces. Acestea se pot dezvolta în orice domeniu, de exemplu
planificarea unei călătorii, verificarea parametrilor unui motor înainte de pornirea acestuia,
implementarea unui plan de afaceri etc.

Chestionarele sunt rezultatul muncii unor specialişti în domeniul în care ele sunt aplicate şi au
drept scop urmărirea parametrilor proiectaţi pentru evitarea situaţiilor care pot conduce la
abateri, situaţii care mai sunt denumite şi situaţii riscante. În contextul utilizării tehnicilor de
calcul şi a programelor specializate, chestionarele sunt o implementare a inteligenţei artificiale,
ele regăsindu-se astăzi în multe utilizări practice cum ar fi: sisteme de siguranţă a zborurilor,
computerele de bord ale automobilelor, sisteme de pază şi securitate etc.

Chestionarele sunt de un real ajutor în procesul de management al riscului deoarece prin

intermediul lor se poate identifica riscul înainte de a lansa în execuţie un proces. Pentru
exemplificare considerăm o situaţie de identificare a riscului într-un proiect.

În acest sens se are în vedere un chestionar cu 19 puncte de control, fiecare dintre ele având trei
variante cu câte un anumit punctaj:

24
1. Au fost corect estimate costurile?
a) Costurile proiectate sunt supraestimate (1 p)
b) Costurile proiectate sunt conform planificării (1 p)
c) Costurile proiectate sunt subestimate (4 p)

2. Au fost corect estimate veniturile proiectului?

a) Beneficiile proiectate sunt subestimate (1 p)
b) Beneficiile proiectate sunt conform planificării (1 p)
c) Beneficiile proiectate sunt supraestimate (4 p)

3. Nivelul beneficiilor va depăşi nivelul costurilor?

a) Beneficiile depăşesc costurile (1 p)
b) Beneficiile egalează costurile (1 p)
c) Beneficiile sunt inferioare costurilor (1 p)

4. Proiectul nostru are căutare pe piaţă?

a) Este direct la ţintă (1 p)
b) Se adresează unui singur segment de piaţă (2 p)
c) Nu are adresabilitate pieţelor de desfacere (4 p)

5. Cum este poziţionată concurenţa?

a) Există concurenţă nesemnificativă pe piaţă (1 p)
b) Există concurenţă semnificativă pe piaţă (2 p)
c) Există concurenţă acerbă pe piaţă (4 p)

6. Proiectul se adresează unei pieţe adecvate?

a) Se adresează pieţei adecvate (1 p)
b) Se adresează unei pieţe similare (2 p)
c) Nu se adresează nici unei pieţe (4 p)

7. A fost corect estimată cererea de pe piaţă?

a) Da (1 p)
b) Aproximativ corect (2 p)
c) Este imposibilă o astfel de determinare (4 p)

8. Au fost bine definite aşteptările clienţilor? a) Da (1 p)

b) Da, dar unele nu sunt realiste (2 p)
c) Nu, deoarece nu pot fi definite (4 p)

9. Au fost stabilite canale de distribuţie?

a) Da (1 p)
b) Da, dar nu sunt foarte bune (2 p)
c) Nu (4 p)

10.Se poate asigura necesarul de resurse pentru proiect?

a) Toate resursele sunt asigurate (1 p)
b) Doar resursele importante sunt asigurate (2 p)
c) Nu s-a asigurat nici o resursă necesară (4 p)

25
 11. Se poate încadra proiectul în termenii stabiliţi?
a) Proiectul se poate finaliza înainte de termen (1 p)
b) Proiectul se poate finaliza la termen (2 p)
c) Proiectul nu se poate finaliza la termen (4 p)

12. Echipa este bine organizată?

a) DA (1 p)
b) NU (4 p)

13.Echipa urmează limitele managementului proiectului?

a) Da, este o echipă disciplinată (1 p)
b) Da, dar este o echipă indisciplinată (2 p)
c) Nu, este o echipă complet indisciplinată (4p)

14.Nevoile clienţilor a fost convertite în necesităţi pentru proiect?

a) Da, au fost convertite (1 p)
b) Da, dar nu în totalitate (2 p)
c) Nu au fost convertite (4 p)

15. Necesităţile au fost stabilite? a) Da (1 p)

b) Da, dar nu în totalitate (2 p)
c) Nu (4 p)

16. Necesităţile au fost detaliate?

a) Da (1 p)
b) Da, dar sunt prea detaliate (2 p)
c) Da, dar sunt insuficient detaliate (4 p)

17. Cât de experimentată este echipa managerială?

a) Această echipă a lucrat la proiecte similare (1 p)
b) Această echipă a lucrat la proiecte dar complet diferite (2 p)
c) Această echipă nu are nici o experienţă (4 p)

18.Cât de complex este procesul de finalizare a proiectului?

a) Nu este deloc complex (1 p)
b) Are un nivel de complexitate acceptabil (2 p)
c) Este foarte complex (4 p)

19.Care este nivelul efortului depus în acest proiect?

a) Este un proiect care nu presupune nici un efort substanţial (1 p)
b) Este un proiect care presupune unele eforturi (2 p)
c) Este un proiect care presupune eforturi foarte mari (4 p)

După ce au fost parcurse aceste întrebări şi s-a răspuns obiectiv la fiecare dintre ele, se calculează
punctajul prin însumarea punctelor eferente fiecărui răspuns la fiecare întrebare şi se
interpretează rezultatele astfel:
- între 19 şi 30 de puncte – proiectul nu este riscant deoarece nu pune probleme
organizaţiei
- între 31 şi 39 de puncte – proiectul este riscant deoarece poate cauza anumite
probleme organizaţiei, dar acestea nu periclitează existenţa viitoare a acesteia

26
 - între 40 şi 76 de puncte – proiectul este foarte riscant deoarece poate pune mari
probleme organizaţiei, periclitând viitorul acesteia.

Se poate observa că răspunsurile la întrebările chestionarului sunt cotate cu 1, 2, respectiv 4

puncte în funcţie de gravitatea situaţiei prezentate, astfel: cele cotate cu 1 punct reprezintă
situaţiile favorabile, cele cu 2 puncte situaţiile acceptabile sau care nu au o importanţă majoră, iar
cele cotate cu 4 puncte reprezintă situaţii negative care afectează siguranţa proiectului.

Rezultatele chestionarului se observă că au fost împărţite în trei categorii, funcţie de impactul pe

care îl poate avea proiectul chestionat asupra activităţii viitoare a organizaţiei, iar în funcţie de
acestea se poate lua o decizie privind riscul implementării proiectului.

Din exemplul prezentat mai sus se poate trage concluzia că un chestionar este utilizat în cadrul
unei organizaţii pentru a stabili nivelul de risc a proiectului unei activităţi viitoare, el fiind utilizat
adesea în selecţia proiectului cel mai convenabil. În general cel mai convenabil plan este cel care
implică asumarea riscurilor cele mai mici în vederea obţinerii beneficiilor cele mai mari.

În concluzie se poate spune că utilizarea chestionarului în identificarea riscului se face doar în

fazele iniţiale ale ciclului de dezvoltare a proiectelor.

B) Brainstorming

Utilizarea chestionarului ajută la identificarea unui anumit risc, dar nu le poate spune care este
sursa acelui risc, nu le poate preciza modul în care această sursă afectează activităţile şi nici nu
poate preciza o informaţie corectă dacă apar modificări ale realităţii. Aceste neajunsuri sunt
rezolvate de întrunirile brainstorming.

Termenul de brainstorming este preluat din literatura străină, şi în traducere liberă desemnează
o furtună de creiere. Această activitate constă într-o sesiune de lucru cu o anumită temă, la care
participă specialişti din domeniu. Aceştia aduc idei referitoare la tematica şedinţei, urmând ca
acestea să fie analizate şi selecţionate.

Brainstorming-ul îşi canalizează eforturile spre cele mai mici surse de risc care pot afecta
derularea unui proiect. În acest sens, participanţii la această activitate îşi pun întrebarea „Ce crezi
că se poate întâmpla pe parcursul derulării proiectului?” şi fiecare vine cu idei dintre cele mai
diverse. Pe parcursul şedinţei, nimeni nu trebuie să critice ideilor celorlalţi pentru a încuraja
fluxul continuu de contribuţii. Pe măsură ce o idee nouă apare, ea este scrisă pe hârtie, urmând ca
la sfârşitul furtunii să fie citite, analizate şi criticate toate.

În practică, oamenii au avut succes în utilizarea sesiunilor brainstorming bazate pe tehnica

SWOT (Strenghts, Weaknesses, Opportunities and Threats – Puncte tari, Puncte slabe, Oportunităţi
şi Ameninţări):
Punctele tari – o sesiune de tip SWOT începe prin a cere participanţilor identificare
punctelor tari ale proiectului analizat. De exemplu Societatea Alfa face o analiză a
lansării unui produs nou pe piaţă. Acest proiect poate avea drept puncte tari
inovaţia adusă pe piaţa viitorului produs, preţul, costurile de fabricaţie reduse etc.

Punctele slabe – după identificarea punctelor tari, se identifică punctele slabe ale
proiectului. În cazul nostru putem exemplifica drept puncte slabe lipsa unei
promovări eficiente, lipsa canalelor de distribuţie etc.

27
 Oportunităţile – a treia etapă a acestei metode este se referă la identificarea
oportunităţilor proiectului. De exemplu, produsul trebuie lansat până la sfârşitul
sezonului deoarece există oportunitatea penetrării pieţelor locale şi naţionale ca
urmare a faptului că un eveniment X favorizează acest lucru.

Ameninţările – identificarea oportunităţilor trebuie însoţită de identificarea

eventualelor ameninţări care pot afecta buna derulare a proiectului analizat. De
exemplu Societatea Beta, aflând de intenţiile societăţii Alfa, şi identificând
oportunităţile momentului, are în proiect lansarea pe piaţă a unui produs similar.

În concluzie se poate spune că rezultatele şedinţelor de tip brainstorming ajută decidenţii în

identificarea riscurilor şi a surselor acestora, lucru foarte util în etapele viitoare ale procesului de
management al riscului, respectiv etapa de analiză şi etapa de stabilire a modalităţilor de
abordare a riscurilor. Se poate spune că şedinţele brainstorming succed activităţile de
identificare a unui proiect optim cu ajutorul chestionarului, ele completând neajunsurile acestuia.

C) Jurnale

În ultima perioadă, companiile sensibile la risc, au început să utilizeze jurnale ale activităţilor.
Aceste jurnale constituie instrumente utile în procesul de urmărire a derulării activităţilor pentru
o perioadă de timp specificată, care este de regulă lunară.

Conţinutul jurnalelor de activităţi este alcătuit din înregistrări ale evenimentelor notabile
petrecute de la sfârşitul perioadei precedente până în prezent. Dacă totul decurge conform
planului, în jurnal nu se evidenţiază nimic, în caz contrar se consemnează fiecare abatere cu
scopul de a atrage atenţia managerilor. Pentru ca aceste evenimente nedorite să nu afecteze
derularea proiectului, ele trebuie semnalate şi totodată trebuiesc luate măsuri de siguranţă
pentru contracararea efectelor pe care acestea le pot avea.

Situaţiile rezolvate consemnate în jurnal sunt folositoare dacă în viitor apar cazuri similare.
Având consemnate măsurile luate şi persoanele responsabile, în viitor se poate aborda o
problemă similară mult mai rapid, deci gradul de risc a unui eveniment similar trebuie să fie mai
scăzut. Aceste jurnale reprezintă o sursă importantă de date pentru identificarea riscurilor în
proiecte similare, precum şi pentru determinarea probabilităţilor de apariţie a acestora, pentru
analiza cantitativă şi calitativă a lor, pentru stabilirea modalităţilor de abordare etc.

D) Modele comportamentale

În practică există multe comportamente umane care pot fi prevăzute uşor, iar un analist de risc
trebuie să poată prevede apariţia şi consecinţele acestora. Acest lucru se face prin cunoaşterea
naturii umane şi implică mai mult arta intuiţiei decât ştiinţa exactă. Stabilirea modelelor
comportamentale presupune cunoştinţe psihosociologice pentru prevederea comportamentului
uman în anumite condiţii, în speţă în condiţii de stres.

Elizahu Goldratt, în cartea sa intitulată „The Critical Chain” (Veriga Slabă) prezintă importanţa pe
care o are anticiparea în munca planificată prin prisma psihologie umane. În acest sens el spune
că omul în condiţiile terminării unei sarcini până la un termen stabilit va face acest lucru doar în
apropierea acestui termen.

28
În sprijinul afirmaţiei sale, el prezintă două modele comportamentale şi anume:
- sindromul studentului
- legea lui Parkinson

Sindromul studentului constă în faptul că o persoană termină o sarcină doar pe ultima sută de
metri. Acest lucru este o consecinţă a multitudinilor sarcinilor pe care persoana respectivă le are
de finalizat în acelaşi timp. Din punct de vedere comportamental, atunci când o persoană are de
rezolvat mai multe lucruri în acelaşi timp, va rezolva întotdeauna situaţia care este catalogată ca
fiind foarte importantă şi va lăsa pentru mai târziu sarcinile considerate mai puţin importante.
Din acest punct de vedere probleme mai puţin importante de astăzi, devin crizele din ziua de
mâine.

De aici apare un comportament care generează un risc de neîncadrare în termenii stabiliţi

datorită fenomenului psihologic numit sindromul studentului conform căruia dacă dai o sarcină
unei persoane ocupate, există riscul ca sarcina respectivă să nu fie terminată termenul stabilit.

Al doilea model comportamental descris de Elizahu Goldratt este legea lui Parkinson. Aceasta a
fost propusă de Northcote Parkinson în lucrarea sa Parkinson’s law: And other studies of
Administration (Legea lui Parkinson: şi alte studii în administraţie). Această lege spune că o
sarcină se extinde astfel încât să acopere întreaga perioadă de finalizare. Prin transpunerea
acestei legi în contextul unei planificări a muncii, se poate observa că oricât de multe precauţii
sunt luate în ceea ce priveşte siguranţa terminării unor operaţii în termenul stabilit,
comportamentul oamenilor implicaţi în proiect va determina ca sarcinile respective să fie
îndeplinite doar la limita specificată, cu riscul ca această limită să fie adesea depăşită. De exemplu
o activitate poate fi terminată în trei zile, dar echipa care va fi desemnată pentru finalizarea ei o
poate realiza în patru zile, iar din motive de siguranţă se i-au în calcul cinci zile. Aproape sigur,
echipa va finaliza sarcina cel puţin în patru zile, dar dacă intervine ceva termenul limită este
depăşit, deci riscul evenimentului nedorit determină şi riscul finalizării proiectului. Pentru a
înlătura acest neajuns, managerul trebuie să stabilească termenul limită la trei zile, pentru ca cei
însărcinaţi să termine în trei zile sau poate mai puţin, şi în cel mai rău caz în patru zile, păstrând
astfel rezerva riscului de depăşire a termenului pentru el.

Desigur mai există şi alte modele de comportament pe baza cărora se pot planifica activităţile şi
se pot identifica riscurile generate de acestea. Utilizarea modelelor comportamentale în procesul
de identificare a riscului se bazează pe natura umană necesită consultarea unor specialişti în
domeniu, respectiv psihologi, sociologi etc. dar are rezultate notabile mai ales în domeniul
riscului legat de resursele umane.

E) Diagrame

Diagramele reprezintă o tehnică de reprezentare grafică a diferitelor realităţi, ele fiind astfel de
un real folos analiştilor în activitatea lor de identificare a riscurilor. În practică se pot identifica o
serie întreagă de diagrame, dar dintre acestea cele mai des utilizate în identificarea riscului sunt:
diagrama tip schelet de peşte şi diagrama activitate/mediu.

Diagrama schelet de peşte

În literatura de specialitate, această reprezentare mai este denumită şi diagrama cauză-efect şi a

fost concepută de un specialist japonez în domeniul calităţii, respectiv Kaoru Ishikawa. Scopul
acestei diagrame este acela de a identifica componentele unui proces care concură la finalizarea
acestuia. Datorită modului de aranjare a liniilor, ansamblul diagramei este asemănător unui

29
schelet de peşte, coloana vertebrală indicând obiectivul principal al activităţii, respectiv produsul
finit, iar liniile oblice – activităţile care conduc la atingerea acestuia.

Cu ajutorul acestor diagrame se pot identifica riscurile fiecărei faze în parte prin răspunsul la o
serie de întrebări cum ar fi:
În faza de proiectare:
• Design-ul este căutat pe piaţă?
• Tiparele se pot încadra în material?

În faza de producţie
• Prin croire pierderile de material sunt mari?
• Există suficient personal la montaj?
• La finisare se regăsesc multe produse neconforme?

Fiecare răspuns negativ la întrebările de mai sus creşte riscul activităţii de producţie, şi poate
genera la rândul să întrebarea De ce? Dacă se găseşte răspunsul la aceasta, practic se găseşte o
metodă de abordare a riscului, deci există posibilitatea eliminării acestuia încă din faza
proiectării activităţii.

Diagrama activitate/mediu
Această diagramă se concentrează asupra modului în care o activitate interacţionează cu mediul
în care aceasta se desfăşoară. Premisa de la care se pleacă în această abordare este aceea că orice
proces interacţionează continuu cu mediul în care se desfăşoară. De exemplu, o societate
comercială interacţionează permanent cu furnizorii şi clienţii săi, cu banca unde are deschis cont,
cu autorităţile şi comunitatea locală etc, deci activitatea societăţii se desfăşoară prin intermediul
interacţiunii cu alte societăţi comerciale sau entităţi din mediul economic din care face parte. În
figura 2.2 este prezentat modul de organizare a unui concurs de desen pe asfalt. În această
diagramă se observă paşii procesului de organizare şi anume:
a) Invitarea participanţilor
b) Obţinerea autorizaţiilor
c) Verificarea stării vremii
d) Oprirea circulaţiei în zonă
e) Desfăşurarea concursului

Diagrama activităţii mai precizează şi elementele din mediul în care se desfăşoară şi cu care
interacţionează aceasta:
 Autorităţi publice – emit autorizaţiile necesare desfăşurării concursului
 Oficialităţi – persoane publice care se pot implica în proiect
 Poliţia rutieră – asigură siguranţa desfăşurării concursului prin oprirea circulaţiei în zonă
 Grădiniţele şi şcolile – sunt „furnizorii” de participanţi la concurs

30
  Sponsorii – companii sau persoane fizice care asigură fondul de premiere
 Furnizori servicii conexe – diferite companii care asigură serviciile conexe concursului (de
exemplu o companie de băuturi răcoritoare, sau o companie producătoare de dulciuri etc)

Un analist de risc, în momentul în care urmăreşte o astfel de diagramă, poate identifica toate
sursele de risc care decurg din aceasta. În acest sens sunt analizate toate elementele prezentate,
după care se i-au în discuţie toate posibilităţile de apariţie a unui eveniment de risc.

Prima fază a procesului este invitarea participanţilor. Pentru buna desfăşurare a concursului, se
doreşte ca numărul de participanţi să fie cât mai mare, iar aceştia să fie talentaţi. Pentru
îndeplinirea acestor condiţii se observă că poate exista riscul de a nu exista suficient de mulţi
concurenţi talentaţi necesari desfăşurării concursului.

A doua fază a procesului este obţinerea autorizaţiilor necesare, unde există riscul ca autorităţile
locale să nu aprobe desfăşurarea unui astfel de concurs din diverse motive. Desfăşurarea
concursului nu poate avea loc dacă vremea nu este favorabilă, deci starea vremii este o altă sursă
de risc. Sau, tot din punctul de vedere al vremii, există riscul ca biroul meteorologic să furnizeze
date care nu se adeveresc în ziua concursului, fapt ce implică un eşec total.

Riscul ca poliţia rutieră să nu poată opri circulaţia în zonă este aproape zero, dacă au fost
obţinute autorizaţiile de la autorităţile locale, dar poate exista riscul ca un intrus să pună în
pericol viaţa participanţilor, dacă organele de ordine nu reuşesc să îl oprească să pătrundă cu
autovehiculul în zona restricţionată.

Activitatea de desfăşurare a concursului nu mai face obiectul analizei activităţii de organizare a

acestuia motiv pentru care în această fază nu se mai identifică riscuri. În continuare se identifică
riscurile elementelor externe activităţii analizate, dar care interacţionează cu aceasta, de exemplu
se poate identifica riscul ca un furnizor de servicii conexe să pună în vânzare produse expirate,
sau un sponsor să se retragă, punând în pericol astfel fondul de premiere, şi aşa mai departe.

După cum am putut observa în exemplul de mai sus, cu ajutorul diagramelor de tipul
activitate/mediu se elimină neajunsurile diagramei schelet de peşte, deoarece nu se rezumă doar
la analiza factorilor interni, ci caută să identifice şi factorii externi generatori de risc.

31
 F) Diagramele de flux

Diagramele de flux simplifică foarte mult identificarea dinamicii unui proces. Dacă procesul este
bine proiectat, aceste diagrame sunt uşor de întocmit şi interpretat deoarece ele descriu procesul
şi funcţiunile sale de la faza de iniţiere a până la faza finală a acestuia. Detalierea procesului pe
faze permite o identificare facilă a surselor de risc şi evită pierderea din vedere a unora dintre
ele.

In diagrama procesului se pot distinge următoarele faze externe:

- Aprobarea proiectului
- Culegerea datelor (externe)
- Auditarea externă a rezultatelor

Datorită faptului că aceste operaţiuni nu depind de echipa care conduce proiectul studiului de
fezabilitate, riscurile pe care le implică acestea sunt mai mari decât riscurile generate de
operaţiunile interne ale procesului. Fiecare fază a procesului generează o serie de întrebări a
căror răspuns pot duce la identificarea riscurilor studiului de fezabilitate:
• Faza de proiectare
o Cine face proiectul?
o Este o persoană specializată?
o Are experienţă?

• Faza de aprobare a proiectului

o Cine aprobă proiectul?
o Există conflicte de interese în aprobarea proiectului?
o Aprobarea proiectului ţine de renumele companiei?

• Faza de culegere a datelor (externe)

o Sunt accesibile datele externe?
o Satisfac nevoile informaţionale ale studiului?
o Sunt necesare aprobări speciale pentru accesul la aceste date?
o Se poate verifica corectitudinea acestor date?

• Faza de culegere a datelor (interne) o Sistemul informaţional al companiei poate furniza

datele necesare?
o Datele interne satisfac nevoile informaţionale ale studiului?

• Faza de analiză o Cine se ocupă de procesul de analiză?

o Există instrumentarul necesar acestui proces?

• Faza de interpretare a rezultatelor

o Cum se interpretează rezultatele?
o Există subiectivism în această interpretare?

• Faza de auditare externă a rezultatelor

o Cine se ocupă de acest proces?
o Există conflicte de interese?
o Echipa de auditori furnizează şi explicaţii privind activitatea lor?

• Faza de revizuire a rezultatelor

o Există riscuri în acest proces?

32
 • Faza de finalizare
o Există posibilitatea apariţiei erorilor tehnice în acest proces?

G) Şedinţe periodice cu personalul

Una dintre cele mai des utilizate şi totodată cu rezultatele cele mai bune în procesul de
identificare a riscului, este metoda întrunirilor periodice dintre manageri şi personalul implicat
în proiectul sau activitatea analizată. Prin intermediul acestora, participanţii îşi pot împărtăşi
părerile şi experienţa, ei având astfel oportunitatea să îşi exprime opiniile proprii şi să asculte
ideile altora. Veriga slabă a acestui proces constă în nivelul de pregătire al participanţilor, de
gradul de specializare şi experienţa pe care aceştia o au.

Aceste întâlniri mai sunt utile şi în discutarea riscurilor înregistrate în jurnalele de activităţi (vezi
paragraful 2.3) avându-se în vedere faptul că participanţii la aceste întâlniri sunt specialişti în
domeniu şi au viziunea necesară identificării, analizei şi abordării riscurilor specifice.

Adesea, în organizaţiile sensibile la situaţiile de risc se rezervă timp pentru astfel de întâlniri
periodice, tocmai pentru discutarea riscurilor determinate pe parcursul derulării activităţii,
precum şi a celor care se pot anticipa. În urma acestor întâlniri se pot lua şi decizii de abordare a
riscurilor identificate, deci utilitatea lor periodică este perfect justificată.

În concluzie, se poate spune că activitatea de management al riscului nu poate fi demarată fără

identificarea surselor de risc. Procesul de identificare constă în căutarea tuturor surselor
generatoare de evenimente care pot afecta negativ activitatea organizaţiei având la dispoziţie o
serie de instrumente. În practică aceste instrumente sunt utilizate fie în combinaţie, fie succesiv,
scopul principal fiind acela de a nu scăpa din vedere nici un risc care poate afecta buna
desfăşurare a activităţilor organizaţiei. Odată identificată o sursă de risc, aceasta trebuie
analizată, respectiv trebuie să i se stabilească probabilitatea generării unui eveniment de risc şi
impactul pe care îl poate avea acest eveniment.

6. UN MODEL SIMPLIFICAT DE MANAGEMENT AL RISCURILOR

Încă de la început trebuie precizat că termenii de gestiune a riscurilor şi de management al

riscurilor sunt similari. Primul este propriu ţărilor de sorginte latină, iar al doilea ţărilor anglo-
saxone. Limba română a adoptat ambii termeni, fără deosebiri semantice, fapt pentru care
utilizarea unuia sau a altuia depinde numai de interlocutor.

Managementul riscurilor este un proces efectuat de conducerea şi celalalt personal al organizaţiei

constând în: definirea strategiei ce trebuie aplicată; identificarea şi evaluarea riscurilor ce pot
afecta organizaţia şi activităţile ce se desfăşoară în cadrul acesteia, ţinând cont de parteneriate şi
de mediu; controlul riscurilor astfel încât acestea să se încadreze în limitele toleranţei la risc;
monitorizarea, revizuirea şi raportarea continuă a situaţiei riscurilor, beneficiindu-se de
experienţa acumulată (proces de învăţare), pentru a se obţine o garanţie rezonabilă cu privire la
realizarea obiectivelor organizaţiei.

Elementele acestei definiţii sunt reflectate într-o schemă menită să sugereze procesul, numită
model de management al riscurilor.

33
Modelul prezentat mai jos împarte procesul de management al riscului în elemente componente,
aşezate într-o succesiune logică a acestui proces, însă, în realitate, aceste componente se îmbină
armonios, pentru a crea un întreg. Prin urmare, managementul riscurilor nu este un proces
linear, componentele lui interactionând. Gestionarea unui risc poate avea un impact asupra altor
riscuri sau măsurile identificate ca fiind eficace pentru controlarea unui risc se pot dovedi
benefice şi în controlarea altor riscuri.

De asemenea, modelul încearcă să sugereze că managementul riscurilor nu are în vedere o

organizaţie izolată ci, aşa cum se întâmplă în realitate, o organizaţie integrată în mediul său de
existenţă, numit adesea context. Numai procedând astfel se poate spera că pot fi obţinute
rezultatele scontate.

MEDIUL / CONTEXTUL DE RISC

ORGANIZAŢIA EXTINSĂ

ORGANIZAŢIE

IDENTIFICAREA EVALUAREA
RISCURILOR RISCURILOR

PROCES DE
ÎNVĂŢARE

MONITORIZAREA, ATITUDINEA FAŢA DE

REVIZUIREA şi RISC. CONTROLUL
RAPORTAREA RISCURILOR
RISCURILOR

• Organizaţie tutelară • Organizaţii partenere

• Organizaţie subordonată • Alte organizaţii incidente
• Parlament • Așteptările factorilor interesați
• Guvern • Condiții economice
• Legi și alte reglementări • Contextul internațional

Deşi nu apare figurată în model, tolerabilitatea la risc constituie premisa fundamentală în care
acesta funcţionează. Tolerabilitatea la risc caracterizează fiecare organizaţie în parte, datorită
faptului că defineşte managementul general practicat în acea organizaţie. O tolerabilitate mai
mare la risc nu înseamnă neapărat un management prost, după cum nici o tolerabilitate la risc
mai scăzută nu înseamnă cu necesitate un management bun. Reamintim că tolerabilitatea la risc
este legată de resurse şi problema esenţială este de a găsi un echilibru între resurse şi beneficii.

Managementul riscului este numai în parte aplicarea unor principii statuate la nivel de teorie.
Managementul riscului este un proces continuu de învăţare din experienţe trecute, proprii sau
ale altora. Ceea ce este extrem de important în demersul de a se ajunge la un management al
riscurilor eficace este consolidarea permanenta a unei culturi organizaţionale a riscurilor.

34
Managementul riscurilor este incompatibil cu atitudini de tipul: “las ! ca merge şi aşa”; “are grijă
altul, eu nu trebuie sa-mi fac probleme”; “vom trăi şi vom vedea”; “nu e dracul chiar atât de negru
pe cât pare”; “este o fatalitate” etc. Managementul riscurilor înseamna responsabilitatea asumată.
Aceasta este problema dificilă în calea implementarii unui management al riscurilor eficace, şi nu
deprinderea unei terminologii sau a unor tehnici.

7. EVALUAREA RISCURILOR

Odată riscurile identificate se trece la a doua etapă, de evaluare a riscurilor. Evaluarea

riscurilor presupune evaluarea probabilităţii de materializare a riscurilor şi a impactului
(consecinţelor) asupra obiectivelor în cazul în care acestea se materializează. Combinaţia
dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului constituie expunerea la
risc, în baza căreia se realizează profilul riscurilor.

Un sistem coerent de evaluare a riscurilor, implementat într-o organizaţie, se caracterizează prin:

• existenţa unui proces structurat de evaluare a binomului probabilitate - impact pentru fiecare risc
identificat;
• înregistrarea evaluării riscurilor într-un mod care să permită monitorizarea şi identificarea
ordinii de priorităţi în tratarea riscurilor;
• diferenţierea clară a riscurilor inerente de riscurile reziduale.

Evaluarea riscurilor trebuie să:

 se bazeze, pe cât posibil, pe dovezi obiective (imparţiale şi independente);
 aibă în vedere pe toţi cei afectaţi de risc;
 facă distincţia între expunerea la risc şi tolerabilitatea la risc.

Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor unei organizaţii care, în
funcţie de tolerabilitatea la risc, permite stabilirea celor mai adecvate modalităţi de tratare a
riscurilor şi delegarea responsabilităţii de gestionare a riscurilor celor mai potrivite nivele
decizionale. Dar, a ierarhiza însemna a compara, iar pentru a compara trebuie concepută o
metodă unitară de evaluare a probabilităţii şi impactului riscurilor ca şi a rezultantei
compunerii lor numită, aşa după cum s-a arătat, expunere la risc.

Problema este dificilă, deoarece există riscuri care pot fi cuantificate şi pentru care există
suficiente date stocate în documentele organizaţiei cum ar fi, spre exemplu, riscurile
financiare, de personal sau de fiabilitate a aparaturii, dar şi riscuri care nu pot fi cuantificate
cum ar fi, spre exemplu, riscurile legate de credibilitate. Din fericire există un element comun,
şi anume: percepţia noastră asupra riscurilor. Fără îndoială, orice metodă bazată pe percepţie
este subiectivă, dar, în lipsă de altceva, este un mare pas înainte în comparaţie cu situaţia în
care riscurile sunt tratate intuitiv şi întâmplător, uneori chiar fără să fim conştienţi că facem
acest lucru.

Metoda bazată pe percepţie are însă o justificare obiectivă. Nu atât nivelele evaluate ale riscurilor
au importanţă, cât mai ales dacă riscurile sunt percepute sau nu ca tolerabile. Cu alte cuvinte,
deviaţia expunerii la risc faţă de tolerabilitatea la risc este relevantă deoarece aceasta creează
motivaţia pentru găsirea metodelor cele mai adecvate de gestionare a riscurilor.

Evaluarea riscurilor, aşa cum se preciza în debutul acestei secţiuni, constă în parcurgerea
următoarelor etape:

35
A. evaluarea probabilităţii de materializare a riscului identificat;
B. evaluarea impactului asupra obiectivelor în cazul în care riscul s-ar materializa;
C. evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact.

A. Evaluarea probabilităţii de materializare a riscului înseamnă determinarea şanselor de

apariţie a unui rezultat specific.

Reamintim că riscul este o problemă (situaţie, eveniment) care poate să apară (să se
materializeze), caz în care realizarea obiectivelor este afectată. Cu alte cuvinte, există o
incertitudine în apariţia situaţiei sau evenimentului care poate afecta realizarea obiectivelor.
Probabilitatea este o măsură a incertitudinii.

O evaluare destul de bună a probabilităţii de materializare a unor riscuri se poate realiza şi prin
analiza circumstanţelor. Metoda analizei circumstanţelor are la bază un postulat simplu: dacă
există aceleaşi cauze vor există aceleaşi efecte. Nu trebuie redus totul la experienţa proprie.
Uneori este suficient să cunoaştem corelaţiile stabilite de alţii şi să înţelegem pe cele ce apar în
situaţii noi.

Într-o organizaţie sau/şi în mediul cu care interacţionează pot exista, la un moment dat, condiţii
(stări de fapt, circumstanţe) care favorizează apariţia riscului şi condiţii care defavorizează
apariţia acestuia. Prin urmare, dacă se face o analiză a cauzelor care favorizează apariţia
riscurilor se poate face o apreciere a şanselor de materializare a acestora.

Fără îndoială analiza circumstanţelor conduce la o evaluare a probabilităţii cu un grad mai mare
de relativitate. Dar acest lucru, aşa după cum s-a arătat, nu constituie un impediment major, atâta
timp cât evaluarea are la bază informaţii şi analize pertinente. Atunci când se recurge la metoda
analizei circumstanţelor, domeniul în care funcţia de probabilitate ia valori se poate înlocui cu o
scală de evaluare.

Prin introducerea acestei scale, în urma analizei circumstanţelor, rămâne să apreciem dacă
posibilitatea de materializare a riscului este scăzută, medie sau ridicată. Fără îndoială problema
privind evaluarea probabilităţii de materializare a riscurilor, ce părea la început insurmontabilă,
s-a simplificat mult. Chiar şi evaluările cantitative ale probabilităţilor pot fi translatate în această
scală.

Pe măsură ce organizaţia se familiarizează cu problematica riscurilor, iar managementul

riscurilor devine o componentă de bază a managementului general al organizaţiei, se poate trece
la o evaluare mai analitică ce presupune utilizarea unei scale în cinci trepte, de tipul:
PROBABILITATE
Foarte Scăzută Medie Mare Foarte
scăzută mare
0% - ... 10% - ... 35% - ... 65% - ... 85% - ...

B. Evaluarea impactului asupra obiectivelor în cazul materializării riscurilor

Impactul reprezintă consecinţa asupra obiectivelor (rezultatelor) aşteptate, care poate fi, în
funcţie de natura riscului, negativă sau pozitivă. Este de la sine înţeles, că managerii organizaţiei,

36
ca şi celălalt personal raportat la obiectivele individuale, aflaţi în faţa unei situaţii de risc, sunt
interesaţi să cunoască cât de mari sunt consecinţele asupra obiectivelor urmărite dacă riscurile s-
ar materializa. Din aceasta rezultă necesitatea evaluării impactului.

Aşa cum s-a arătat, la evaluarea probabilităţilor de materializare a riscurilor, numai unele riscuri
se pretează la evaluări cantitative, pentru multe dintre ele fiind posibilă doar evaluarea calitativă.
Evaluările cantitative ale impactului trebuie făcute ori de câte ori este posibil, deoarece sunt mult
mai relevante, dar în final pentru obţinerea unei imagini unitare asupra riscurilor ce pot afecta
organizaţia, evaluările cantitative vor fi transpuse şi ele în scale calitative.

În unele situaţii, mai ales când este vorba de obiective strategice, iar organizaţiile sunt complexe
(similar, proiecte complexe, activităţi complexe), evaluarea impactului devine o problemă dificilă
ce necesită studii de impact. Dar, într-o organizaţie, majoritatea riscurilor nu sunt de natura celor
de mai sus, iar impactul lor poate fi evaluat cu eforturi considerabil mai mici.

Impactul oricărui risc este caracterizat prin consecinţe de diferite naturi. Alături de consecinţe
calitative, exprimate descriptiv, pot fi identificate şi consecinţe exprimate în termeni de buget
(costuri), de efort (timp de muncă) şi de timp (întârzieri posibile în termenul de realizare a
obiectivelor).

Cerinţa actuală constă în reformarea întregii gestiuni, în sensul că trebuie fixate obiective măsurabile
începând de la nivelul programelor (bugetarea pe programe) şi terminând cu sarcinile individuale. În acest
context, fiecărui obiectiv i se ataşează indicatori de rezultate ce pot fi cuantificaţi şi monitorizaţi. În astfel de
situaţii, impactul riscurilor trebuie exprimat şi în efectul pe care îl are materializarea lor asupra
indicatorilor de rezultate.

Rezultatele evaluărilor calitative şi cantitative ale impactului riscurilor trebuie transpuse în scale
calitative, care să reflecte importanţa percepută în raport cu obiectivele.

În etapele de maturizare a managementului riscurilor şi pe măsură ce nevoia de detaliere devine

o necesitate, organizaţia poate trece la evaluarea impactului riscurilor pe scale calitative în cinci
trepte, de tipul:

Foarte ridicat I
Ridicat M
P
Mediu A
Scăzut C
Foarte scăzut T

C. Evaluarea expunerii la risc

Expunerea la risc reprezintă consecinţele, ca o combinaţie de probabilitate şi impact, pe care le

poate resimţi o organizaţie în raport cu obiectivele prestabilite în cazul în care riscul s-ar
materializa. Această definiţie s-ar putea să ridice unele dificultăţi de înţelegere deoarece
expunerea la risc nu este o măsură a consecinţelor, ci o măsură probabilistică a acestora.

Expunerea la risc este un concept probabilistic, deoarece exprimă o combinaţie între

probabilitate şi impact. Ca urmare, ea are semnificaţie numai înaintea producerii riscului. După
apariţie riscul nu mai este o incertitudine, ci devine un fapt împlinit. În termenii teoriei

37
probabilităţilor aceasta înseamnă că probabilitatea de apariţie (materializare) a riscului este 1
(eveniment sigur). În aceste condiţii expunerea la risc este de fapt impact.

De asemenea, în definiţie se precizează că expunerea la risc este o combinaţie între probabilitate

şi impact. Prin urmare, scala de evaluare a expunerii la risc nu mai este unidimensională, ca în
cazul probabilităţii sau impactului, ci una bidimensională sau, cu alte cuvinte, de tip matricial.
Liniile matricei descriu variaţia probabilităţii, iar coloanele variaţia impactului. Expunerea la risc
apare la intersecţia liniilor cu coloanele.

Dacă organizaţia a adoptat scalele în trei trepte la evaluarea probabilităţilor şi impactului, rezultă
că scala evaluării expunerii la risc are 9 valori (3x3), putând fi reprezentată grafic astfel:

Ridicat I SR MR RR
Mediu M SM MM RM
P
A
Scăzut C SS MS RS
T
0 PROBABILITATE i
Scăzută Medie Ridicată
Y

E = XY

Figura de mai sus pune în evidenţă faptul că expunerea la risc operează o ierarhizare a riscurilor.
Este evident că un risc cu expunerea RR (probabilitate de apariţie ridicată şi impact ridicat în
cazul materializării) nu este echivalent cu un risc căruia i se asociază expunerea SS (probabilitate
de apariţie scăzută, impactul scăzut în cazul materializării). Gruparea riscurilor identificate într-o
organizaţie în funcţie de expunerea la risc conduce la realizarea profilului de risc al organizaţiei.

Fiecare organizaţie are propriul său profil de risc. Chiar dacă două organizaţii ar fi identice din perspectiva
obiectivelor, activităţilor, contextului etc. ele nu ar avea acelaşi profil de risc. Circumstanţele şi percepţia
riscurilor ar conduce cu siguranţă la profiluri de risc diferite. În aceste condiţii ar fi nerealiste aşteptările de a
se crea profile tip, pe grupuri de organizaţii. Identificarea şi evaluarea riscurilor, şi alcătuirea profilului de risc,
este un atribut exclusiv al organizaţiei.

Organizaţiile care au adoptat scale de evaluare a probabilităţilor şi impactului în 5 trepte vor

realiza o detaliere a expunerii la risc pe o scală matricială cu 25 de “valori”.

Foarte ridicat I FSFR SFR MFR RFR FRFR

Ridicat M FSR SR MR RR FRR
Mediu P FSM SM MM RM FRM
Scăzut A FSS SS MS RS FRS
Foarte scăzut C FSFS SFS MFS RFS FRFS
T
0 PROBABILIT
ATE
Foarte Scăzută Medie Ridicată Foarte
scăzută ridicată

38
Profilul de risc rezultat e mult mai analitic, dar aceasta presupune că managementul riscurilor
este mult mai matur. Un astfel de management este capabil să trateze diferit un risc cu expunerea
F R F R faţă de unul cu expunerea RR. Din raţiuni de a pune mai bine în evidenţă ierarhia, scalele
calitative sunt transformate în scale numerice, însă astfel de scale au marele dezavantaj ca
atenuează semnificaţia.

Riscul inerent şi riscul rezidual sunt două ipostaze ale aceluiaşi risc: înainte de introducerea unui
instrument de control intern şi, respectiv, după introducerea unui instrument de control intern.
Prin urmare expunerea la riscul inerent este o măsură a “cantităţii” de risc la care se expune
organizaţia dacă nu funcţionează sistemul de control intern, iar expunerea la riscul rezidual este
o măsură a cantităţii de risc rămase după ce au fost implementate instrumentele de control
intern.

Deoarece controlul intern are scopul de a atenua posibilitatea de apariţie a riscului şi/sau de a
atenua impactul asupra obiectivelor între cele două expuneri la risc, există relaţia:

E risc inerent > E risc rezidual

În exemplul precedent, expunerea la riscul “întârzieri în plăţi” era “probabilitate foarte mare -
impact foarte ridicat” înainte de introducerea unui instrument de control intern. După
introducerea instrumentului de control intern “fond de finanţare temporară” (acesta este un
instrument din categoria “mijloace” sau “resurse”) expunerea la risc a devenit “probabilitate mică
- impact redus”. Din compararea celor două expuneri rezultă că instrumentul de control intern
este eficace.

Riscul inerent, în sensul că nu există nici un instrument de control intern, nu este cazul cel mai
des întâlnit în organizaţii. Acestea au sisteme de control intern pentru multe dintre riscuri, chiar
dacă situaţiile sau evenimentele ce sunt ţinute sub control nu sunt percepute (conştientizate) ca
riscuri. Despre sistemele de control intern se poate afirma că sunt adecvate sau nu, dar nu se
poate susţine că nu există.

Din această cauză, riscul inerent şi rezidual au un caracter relativ şi nu absolut. Dacă controlul
intern implementat la un moment dat în organizaţie în raport cu un anumit risc are drept
consecinţa o expunere la risc ce depăşeşte limitele de tolerabilitate, riscul rezidual anterior este
considerat risc inerent în raport cu ajustările şi dezvoltările sistemului de control intern existent.
Sistemul de control intern ajustat şi dezvoltat pentru a surprinde modificările de circumstanţe se
finalizează printr-un nou risc rezidual.

Datorită frecvenţei utilizării, mai ales în cazul managementului pe programe şi proiecte, s-a
considerat util, ca în finalul acestei secţiuni, să se facă succinte referiri la o metodă de evaluare
cantitativă a expunerii la risc, denumită în literatura de specialitate “metoda valorii aşteptate”.

Metoda valorii aşteptate defineşte ca modalitate de combinare a probabilităţii şi impactului

operaţiunea de multiplicare. În aceste condiţii, expunerea la risc se calculează după formula:

E=PxI
unde:
- E este expunerea la risc;
- P este probabilitatea de apariţie a riscului;
- I este impactul asupra obiectivelor, dacă riscul s-ar materializa.

39
Din formula de mai sus rezultă că metoda valorii aşteptate este o metodă neutră, deoarece acordă
aceiaşi importanţă atât probabilităţii cât şi impactului la evaluarea expunerii la risc.

Programele, proiectele, activităţile şi în general orice acţiune structurată, orientată spre

realizarea unor obiective, necesită alocare de resurse.

Fără a neglija celelalte resurse, totuşi resursele financiare trebuie tratate prioritar, numai şi
pentru faptul că oricând resursele financiare pot fi convertite în celelalte resurse pentru
acoperirea eventualelor deficite.

Practica bugetării, fără a lua în considerare riscurile, poate genera la rândul ei un risc major -
riscul de insuficienţă a resurselor financiare - care în cazul în care s-ar materializa ar bloca
acţiunile.

Bugetarea pe bază de riscuri nu înseamnă nici pe departe alocarea de resurse financiare, care să
acopere impactul tuturor riscurilor. Aceasta ar însemna risipă de resurse financiare şi negarea
însăşi a managementului riscurilor, care are drept scop tocmai ţinerea sub control a acestora.
Spre exemplu, să presupunem că au fost identificate cinci riscuri.

Evaluarea probabilităţilor de apariţie, a impactului în costuri, în cazul în care riscurile s-ar

materializa, şi a expunerii la risc utilizând metoda valorii aşteptate este prezentată în tabelul de
mai jos:

Riscuri Probabilităţi de Impact - majorare Expunerea la risc

apariţie a riscurilor costuri (I) (P x I)
(P)
Riscul 1 67% 3,5 mil 2,345 mil
Riscul 2 28% 2,0 mil 0,560 mil
Riscul 3 50% 5,0 mil 2,500 mil
Riscul 4 90% 1,0 mil 0,900 mil
Riscul 5 10% 30,0 mil 3,000 mil
Total 41,5 mil 9
tal ,
Unele concluzii:
- Bugetul pe bază de risc nu va fi suplimentat cu 41,5 mil, ci numai cu 9,3 mil, ceea ce
înseamnă că în acest tip de bugetare relevanţa este expunerea la risc şi nu impactul;
- Deşi riscul 5 are o probabilitate mică de apariţie el va fi tratat cu prioritate deoarece, în
cazul materializării, impactul în costuri va depăşi de trei ori rezerva de risc cu care s-a majorat
bugetul;
- Pe o poziţie diametral opusa se situează riscul nr.4, care deşi are o probabilitate foarte
mare de apariţie, impactul materializării sale este foarte redus afectând numai a zecea parte din
rezerva bugetară de risc;
- Riscurile 1 şi 3 au expuneri “probabilitate medie - impact mediu”, iar în cazul în care s-ar
materializa ar consuma prin impact, întreaga rezervă bugetară de risc. Prin urmare, pentru
aceste riscuri, trebuie pus la punct un sistem de ţinere sub control similar tratării riscului nr.5;
- Riscul nr. 2 având şi o probabilitate redusă de apariţie şi un impact redus poate fi asumat.

Bugetarea pe bază de riscuri presupune alocarea în buget şi a unei rezerve aferentă riscurilor
neidentificate. Această rezervă este însă destul de redusă, deoarece se pleacă de la premisa că s-
a făcut o analiza riguroasă care a permis identificarea riscurilor semnificative.

40
Structura unui buget care ia în considerare riscurile este de tipul:
A. Costuri aferente activităţilor, xxxx
din care:
xxxx
xxxx
xxxx

B. Rezerva de risc, din care: xxxx

- riscuri identificate xxxx

- riscuri neidentificate xxxx
Total buget xxxx

Comentariu: Bugetarea pe bază de riscuri presupune asumarea responsabilităţii unui management al riscurilor eficace.
Rezerva de risc nu trebuie interpretată ca fiind o suplimentare a bugetului pentru orice eventualitate. Utilizarea acestei
sume trebuie justificată. Dacă se practică un management al riscurilor performant, o parte semnificativă din rezerva de risc
devine, la finele acţiunii, economie bugetară.

Modelarea si Analiza Cantitativa a Riscurilor

• Analiza cantitativa se refera la stabilirea nivelului impactului unui eveniment de risc.
• Permite cuantificarea dimensiunii pierderilor sau deprecierilor generate.

Analiza de Senzitivitate
– Permite stabilirea acelor riscuri care au cel mai mare impact potential asupra proiectului.
– Analiza de senzitivitate studiaza modul in care variatia rezultatului numeric al unei actiuni
poate fi atribuita cantitativ unor surse diferite de variatie a parametrilor de intrare de baza.

Analiza Valorii Monetare Asteptate

– Este un concept statistic care permite calculul rezultatelor medii atunci cand pentru viitor sunt
incluse scenarii care pot sau nu sa se indeplineasca (pentru riscurile situate in zona “rosie”)
– Se calculeaza ca produs intre probabilitatile de aparitie ale anumitor evenimente si efectele
acestora

Analiza Valorii Asteptate

– Metoda presupune parcurgerea a trei etape:
1. Stabilirea probabilitatii riscului
2. Stabilirea impactului asupra activitatii
3. Calculul valorii asteptate

Analiza Arborelui de Decizie

– Arborii de decizie sunt instrumente care descriu interactiunile cheie dintre decizii si
evenimentele aleatorii, asa cum sunt percepute de decidenti.
– Arborele de decizie este structurat sub forma unui grafic care descrie o situatie aflata intr-un
anumit caz si implicatiile fiecarei alegeri disponibile si posibilele scenarii.
– Ramurile arborelui reprezinta fie decizii, fie rezultate aleatoare sau incerte, respectand
urmatoarele doua reguli:
1. probabilitatile de pe fiecare ramura si subramura se inmultesc
2. suma probabilitatilor asociate unui nod este egala cu 100%.

41
Modelare si Simulare
– Simularea riscurilor se poate baza pe una din urmatoarele metode:
• Metoda Monte Carlo sau
• Metoda Celor Trei Scenarii

Metoda Monte Carlo

– Analiza Monte Carlo, reprezinta o metoda care utilizeaza tehnici statistice de esantionare
pentru
obtinerea unei aproximari probabilistice la Solutia unui model.
– Simularea consta in procesul de aproximare a rezultatului unui model prin aplicarea aleatoare
repetitiva a algoritmului unui model.
– Etapele parcurse in cadrul analizei Monte Carlo sunt:
1. Stabilirea problemei care trebuie solutionata.
2. Elaborarea unui model.
3. Definirea variabilelor de risc ale modelului.
4. Realizarea simularilor pe baza variabilelor identificate.
5. Analizarea rezultatelor simularilor in termini statistici.

– Rezultatele se concretizeaza in grafice ale distributiilor de probabilitate sau distributii de

probabilitate cumulative ale variabilelor de iesire.

Metoda Celor Trei Scenarii

– Este o metoda semi-probabilistica de analiza cantitativa a riscurilor.
– Pentru toate datele initiale se obtin trei estimari (optimist, cel mai probabil si pesimist) care vor
fi utilizate in reconstruirea curbelor de probabilitati.
– Definirea probabilitatilor tinta dorite ne va permite sa obtinem datele tinta.
– Pentru a construi curba de distributie a probabilitatilor ne vom baza pe cele trei puncte cu
probabilitati in concordanta cu cele trei scenarii:
• punctul cu probabilitate zero pentru scenariul optimist,
• punctul cu probabilitate 100% pentru scenariul pesimist si
• punctul pentru care distributia probabilitatilor are valoarea maxima pentru scenariul cel mai
probabil.

– Rezultatul se materializeaza prin reconstruirea curbei cumulate de probabilitati a variabilei de iesire.

42
8. TOLERANŢA LA RISC

Toleranţa la risc reprezintă “cantitatea” de risc pe care o organizaţie este pregătită să o tolereze
sau la care este dispusă să se expună la un moment dat. Conceptul de toleranţă la risc are
semnificaţii diferite în funcţie de natura riscului, care poate fi o oportunitate sau o ameninţare.

Când se au în vedere oportunităţile, conceptul de toleranţă la risc se referă la a analiza cât de

mult este dispus cineva să rişte în speranţa că va beneficia de pe urma acelor oportunităţi, iar
când se au în vedere ameninţările, toleranţa la risc se referă la expunerea tolerabilă şi
justificabilă care trebuie atinsă în practică.

În interpretarea conceptelor de mai sus nu trebuie uitat faptul că riscul este o incertitudine. Prin
urmare, oportunitatea se poate realiza sau nu, ca de altfel şi ameninţarea.

Există multe situaţii când acelaşi risc poate fi privit ca o ameninţare sau ca o oportunitate, caz în
care tolerabilitatea la risc trebuie privită în ambele sensuri. Un exemplu tipic în acest sens îl
constituie riscul fluctuaţiei personalului. O fluctuaţie a personalului în limita a 10% (mărime
arbitrară) poate fi, în circumstanţe date, o oportunitate (întinerire personal, facilitarea aplicării
standardului - funcţii sensibile etc.), iar prin depăşirea acestei limite de tolerabilitate poate
deveni o ameninţare (sincope în realizarea obiectivelor). Deoarece riscurile ca ameninţare
suscită cel mai mare interes, succintele comentarii ce urmează se vor referi la toleranţa la
expunere.

Expunerea la risc (ca o combinaţie dintre probabilitate şi impact), determinată prin metodele de
evaluare arătate anterior, capătă sens numai în raport cu nivelul toleranţei la risc. Când
expunerea la risc este comparată cu toleranţa la risc, amploarea măsurilor de control al riscurilor
ce trebuie luate devine evidentă. Cu alte cuvinte, nu valoarea absolută a expunerii la risc este
importantă, ci deviaţia expunerii la risc faţă de toleranţa la risc. Mai simplu spus, esenţial este
faptul dacă riscul este perceput ca tolerabil sau nu.

Dacă expunerea la riscul inerent (riscul înainte de aplicarea măsurilor de control intern al
riscurilor) este mai mică sau egală cu toleranţa la risc definită de manageri nu se impun măsuri
de control al riscurilor, ceea ce înseamnă că riscurile sunt acceptate. În caz contrar, sunt necesare
măsuri de control al riscurilor astfel încât expunerea la riscul rezidual (riscul care rămâne după

43
aplicarea măsurilor de control al riscurilor) să se încadreze în limitele de toleranţă la risc
stabilite.

În concluzie, stabilirea limitei de toleranţă la risc este un act major de responsabilitate

managerială, fiindcă prin acesta se stabileşte expunerea la risc ce este asumata, în corelare cu
costurile, de asemenea asumate, ale măsurilor de control a riscurilor. Dacă expunerea la risc este
o mărime probabilistică măsurată pe scale matriceale (combinaţie de probabilitate şi impact),
atunci şi toleranţa la risc trebuie să respecte aceleaşi caracteristici.

Luând în considerare scala de evaluare în cinci trepte a expunerii la risc, atunci limita de
toleranţă poate fi reprezentată astfel:

Foarte FSFR SFR MFR RFR FRFR

ridicat I
Ridicat M FSR SR MR RR FRR
Mediu P FSM SM MM RM FRM
Scăzut C FSS SS MS RS FRS
Foarte T FSFS SFS MFS RFS FRFS
scăzut
0 PROBABILITA
TE
Foarte Scăzută Medie Ridicată Foarte
scăzută ridicată
Y

Aceasta înseamnă că toate riscurile, care au un nivel al expunerii ce se situează deasupra limitei
de toleranţă, trebuie tratate prin măsuri prin care expunerea la riscurile reziduale să se aducă
sub această limită de toleranţă.

Profilul de risc creează o imagine globală a organizaţiei din perspectiva riscurilor, însă utilitatea
practică o au tabelele de risc, care sunt structurate astfel încât să devină instrumente
operaţionale ale managementului riscurilor.

Secvenţa din tabelele de risc (numite şi registru de risc), care cuprinde riscurile identificate,
evaluarea expunerii riscurilor inerente şi intensitatea deviaţiei faţă de toleranţa la risc, se
prezintă astfel:

Denumire Risc inerent

risc Probabilitate Impact Expunere raportată la limita de tolerantă
Riscul 1 R FR RFR (ROŞU)
Riscul 2 M M M-M (GALBEN)
Riscul 3 FS M FSM (VERDE)
Nota R F R , M M, F S M reprezintă nivelul expunerii la risc, iar culoarea semnifică intensitatea
deviaţiei expunerii la risc faţă de toleranţa la risc.

Limita de toleranţă la risc nu este imuabilă. Oricând nivelele superioare de management au

libertatea de a creşte sau a scădea “cantitatea” de risc pe care sunt dispuse să şi-o asume în
funcţie de circumstanţe şi moment. Dar stabilirea limitelor de toleranţă şi modificarea acestora
nu sunt acte arbitrare, deoarece măsurile de control presupun antrenarea de resurse, iar la

44
nivelul organizaţiei resursele sunt limitate. Constrângerile interne şi externe (unele riscuri
externe nu pot fi gestionate până la un nivel satisfăcător de către organizaţii) joacă un rol
important în stabilirea limitelor de toleranţa la risc.

Privită izolat, din perspectiva fiecărui risc în parte, stabilirea limitelor de toleranţă la risc nu
ridică probleme deosebite, dar cazurile în care se poate proceda astfel sunt rare. La nivelul
organizaţiei, lucrurile se complică deoarece apar intercondiţionări între riscuri, iar resursele ce
pot fi alocate măsurilor de control sunt limitate, fapt ce implică prioritizări. De asemenea, este
necesară realizarea unui echilibru între nivelele manageriale care gestionează riscurile. Limitele
de toleranţă la risc ce trebuie atinse devin ele însele obiective şi, drept urmare, este necesară
realizarea unui echilibru între competenţă, responsabilitate şi sarcini.

În final, limitele de toleranţă ajustate se transformă în limită maximă a expunerii la riscurile

reziduale. Tabelele/registrele de riscuri se vor completa cu această secvenţa astfel:

Risc inerent Măsuri Risc rezidual

Descrierea de
riscului Probabilitate Impact Expunere Probabilitate Impact Expunere
control
intern

9. RĂSPUNSUL LA RISC - CONTROLAREA RISCURILOR

După ce riscurile au fost identificate şi evaluate şi după ce s-au definit limitele de toleranţă în
cadrul cărora organizaţia este dispusă, la un moment dat, să-şi asume riscuri este necesară
stabilirea tipului de răspuns la risc pentru fiecare risc în parte.

Răspunsul la risc depinde de natura riscurilor privite din perspectiva posibilităţilor de control
(de stăpânire). De fapt, este vorba de răspunsul la următoarele întrebări: riscurile pot fi sau nu
controlate de organizaţie?; dacă da, organizaţia poate controla riscurile până la un nivel
satisfăcător?; dacă nu, organizaţia poate externaliza riscurile sau activităţile generatoare de
riscuri?

Controlul riscurilor văzute ca ameninţări, înseamnă că, la nivelul organizaţiei, este posibilă
atenuarea probabilităţii de materializare sau a impactului în cazul în care riscul s-ar materializa
sau a amândurora.

În caz contrar, riscurile sunt necontrolabile dacă organizaţia nu are posibilitatea de a interveni
direct pentru atenuarea probabilităţii şi/sau impactului. Această situaţie se întâlneşte cel mai
frecvent în cazul riscurilor externe generate de mediul (contextul) în care organizaţia
funcţionează. j

În teoria riscurilor s-au identificat câteva strategii alternative pe care managerii le pot adopta ca
răspuns la risc.

45
• Acceptarea (tolerarea) riscurilor

Acest tip de răspuns la risc constă în neluarea unor măsuri de control al riscurilor şi este adecvat
pentru riscurile inerente a căror expunere este mai mică decât toleranţa la risc. Se reaminteşte
faptul că nu întotdeauna toleranţa la risc poate fi stabilită nerestricţionat. Sunt suficiente cazurile
în care riscurile nu pot fi controlate intern până la un nivel acceptabil al expunerii sau, costurile
pe care le incumbă măsurile de control sunt disproporţionat de mari în raport cu beneficiile. În
consecinţă, acceptarea intervine atunci când riscurile sunt liber asumate sau când aplicarea unei
alte strategii de răspuns la risc nu este posibilă. Această opţiune de răspuns la risc trebuie
însoţită, mai ales atunci când limita de toleranţă nu a putut fi stabilită liber, de planuri de
gestiune a problemelor dificile care să abordeze tratarea impactului atunci când riscul se
materializează.

Acceptarea (tolerarea) riscurilor este o strategie de răspuns la risc recomandată pentru riscurile
cu expunere scăzută. În cazul riscurilor cu expunere medie sau mare acceptarea riscurilor este
inadecvată şi, de aceea, în astfel de situaţii, opţiunea trebuie temeinic justificată.

• Monitorizarea permanentă a riscurilor

Acest tip de răspuns la risc constă în acceptarea riscului cu condiţia menţinerii sale sub o
permanenta supraveghere. Parametrul supravegheat cu precădere este probabilitatea, deoarece
strategia monitorizării se aplica în cazul riscurilor cu impact semnificativ, dar cu probabilitate
mică de apariţie. În esenţă, strategia de monitorizare presupune o amânare a luării măsurilor de
control până în momentul în care circumstanţele determina o creştere a probabilităţii de apariţie
a riscurilor supuse acestui tratament.

Avantajul aplicării unei astfel de strategii de răspuns la risc constă în utilizarea resurselor
disponibile la un moment dat numai pentru riscurile cu expunere mare, organizaţia aflându-se
permanent în situaţia de a-şi prioritiza acţiunile de tratare a riscurilor în funcţie de resurse.

Dezavantajul strategiei constă în faptul că întârzierea în tratarea riscului poate diminua şansele
de a face în viitor un management eficace al riscurilor. Din această cauză, aplicarea strategiei de
monitorizare permanentă a riscurilor trebuie precedată de o analiză serioasă a duratei pe care o
presupune implementarea măsurilor de tratare a riscurilor. Dacă această durată este mare, este
de preferat ca momentul de debut al tratării riscurilor să nu fie amânat. Unei astfel de analize
trebuie supuse obligatoriu riscurile cu probabilitate mică de apariţie, dar cu un impact ridicat
dacă obiectivele afectate au caracter strategic.

• Evitarea riscurilor

Această strategie de răspuns la risc constă în eliminarea activităţilor (circumstanţelor) care

generează riscurile. Trebuie menţionat faptul că opţiunea evitării riscurilor este semnificativ
redusă în sectorul public faţă de cel privat. Anumite activităţi se desfăşoară în sectorul public
tocmai pentru că riscurile asociate sunt atât de mari încât nu există altă posibilitate de a obţine
unele rezultate ce ţin de interesul general.

Dacă aplicarea strategiei de evitare a riscurilor este limitată în cazul activităţilor ce ţin de scopul
organizaţiei publice, ea poate fi avută în vedere pentru o serie întreagă de activităţi “suport”, dacă
nu există altă cale de a controla riscurile în limite tolerabile.

• Transferarea (externalizarea) riscurilor

46
Această strategie de răspuns la risc constă în încredinţarea gestionării riscului unui terţ care are
expertiza necesară gestionării acelui risc, încheindu-se în acest scop un contract. Prin aceasta se
urmăreşte, pe de o parte, micşorarea expunerii organizaţiei, iar pe de altă parte, gestionarea
eficace a riscului de către un terţ specializat.

Această opţiune este benefică mai ales în cazul riscurilor financiare şi patrimoniale. Cel mai
cunoscut exemplu de transfer al riscurilor îl constituie contractele de asigurare. În schimbul unei
sume de bani (prima de asigurare) terţul (societatea asiguratoare) preia asupra să riscul asigurat
obligându-se să despăgubească organizaţia care a transferat riscul, în cazul în care riscul se
materializează.

Este important de menţionat că anumite riscuri nu sunt (integral) transferabile. În particular, nu

este posibil să se transfere riscurile legate de credibilitatea organizaţiei. În faţă beneficiarilor
organizaţia rămâne responsabilă, chiar dacă aceasta a contractat unele servicii cu terţe părţi. Din
această cauză relaţiile cu aceste terţe părţi trebuie gestionate cu deosebită atenţie pentru a se
asigura că riscul transferat este cu adevărat gestionat eficace de către terţ.

• Tratarea (atenuarea) riscurilor

Aceasta este abordarea cea mai frecventă pentru majoritatea riscurilor cu care se confrunta
organizaţia. Opţiunea tratării (atenuării) riscurilor constă în faptul că în timp ce organizaţia va
continua să desfăşoare activităţile care generează riscuri, aceasta ia măsuri (implementează
instrumente/dispozitive de control intern) pentru a menţine riscurile în limite acceptabile
(tolerabile).

Raportate la această strategie de răspuns la risc celelalte strategii menţionate mai sus pot fi
considerate ca fiind excepţii recurgându-se la ele numai atunci când riscurile nu pot fi controlate
intern până la un nivel satisfăcător care nu periclitează realizarea obiectivelor. De aici şi
importanţa controlului intern în managementul riscurilor. Acesta, odată implementat, are
menirea să ofere asigurări rezonabile că obiectivele vor fi atinse, ceea ce este acelaşi lucru cu a
afirma că prin control intern se obţin asigurări rezonabile asupra menţinerii riscurilor în limite
acceptabile.

La începutul acestei secţiuni se făcea precizarea că tratarea riscurilor înseamnă a acţiona prin
măsuri de atenuare a probabilităţii, a impactului sau a amândurora.

Ilustram acest fapt printr-un exemplu:

Obiectiv - securitatea activelor;
Risc - intrare în gestiune a unor materiale neconforme cantitativ şi calitativ cu specificaţiile
contractuale.

Măsuri de control intern Acţionează asupra:

- Revizuirea portofoliului de furnizori Probabilităţii
- Inserarea în contracte a unor clauze
asiguratorii Impactului
- Ameliorarea sistemului de recepţie
Probabilitate şi impact

În concluzie, a trata riscurile înseamnă a ţine riscurile sub control prin măsuri de control intern.

47
• Tratarea situatiilor dificile

Tratarea situaţiilor dificile constă în elaborarea unor planuri ce urmăresc diminuarea

impactului în cazul în care riscul se materializează. după cum s-a precizat, riscul este un
eveniment probabil a cărui materializare nu poate fi exclusă, oricâte măsuri de control intern s-
ar lua. De aceea, strategia tratării situaţiilor dificile nu este o alternativa la celelalte strategii, ci o
acţiune complementară. În esenţă, prin tratarea situaţiilor dificile se dă un răspuns la
întrebarea: Ce facem dacă măsurile de control intern eşuează şi riscul se produce?

Orice risc care este acceptat, monitorizat sau tratat trebuie însoţit de un plan care să descrie acţiunile ce trebuie întreprinse
în cazul în care riscurile se materializează.

Din perspectiva managementului riscurilor, a realiza obiectivele înseamnă:

- a planifica activităţile (acţiunile) ce trebuie să se desfăşoare pentru a realiza obiectivele
propuse (procesul);
- a planifica acţiunile de control intern necesare stăpânirii riscurilor şi a le integra în planul
de activităţi generale (planul A);
- a planifica acţiunile ce trebuie întreprinse dacă riscurile se materializează (planul B).

Procesul, planul A şi planul B sunt elementele esenţiale ale unui management eficace care a
integrat managementul riscurilor. Întrucât, măsurile ce trebuie luate pentru a stăpâni riscurile
se înscriu în sfera de cuprindere a sistemului de control intern, s-a considerat utilă prezentarea
succintă a unor elemente componente ale acestuia, reamintind că o tratare mai detaliată este
cuprinsă în lucrarea “Îndrumar metodologic - cadru pentru dezvoltarea sistemelor de control
managerial ale instituţiilor publice”.

Măsurile luate, de management în tratarea riscurilor sunt denumite în teoria generală a

controlului intern sub denumirea de dispozitive sau instrumente de control intern.

Dacă riscurile ajung să se materializeze, deci să se transforme în situaţii dificile, cauza trebuie
căutată întotdeauna în “defectul” acestor dispozitive/instrumente de control intern. Bineînţeles
această afirmaţie vizează riscurile care pot fi controlate de organizaţie în limite de toleranţă
rezonabile impuse de raportul cost-beneficiu.

Diversitatea dispozitivelor/instrumentelor de control intern este considerabilă deoarece

priveşte toate aspectele legate de activităţile organizaţiei şi de organizaţie ca entitate globală,
însă ele pot fi clasificate în şase grupe mari după cum urmează: obiective; mijloace; sistem de
informare; organizare; proceduri; supervizare.

Fără îndoială, există şi alte tipuri de grupări, dar toate cuprind, în principal, aceleaşi elemente şi
vehiculează aceleaşi noţiuni. De altfel, nu gruparea în sine este importantă ci fixarea unui cadru
de referinţă capabil să sistematizeze problematica controlului intern ca mijloc de control al
riscurilor.

• Obiectivele grupează instrumentele/dispozitivele de control intern puse în operă prin

măsurile (acţiunile) ce vizează: definirea clară (obiectivele vagi nu permit clarificarea sensului
acţiunii ce trebuie întreprinsă pentru atingerea lor şi nici identificarea riscurilor care ameninţă
obţinerea rezultatelor dorite); ierarhizarea (obiectivele generale trebuie descompuse într-un
sistem piramidal până la nivelul posturilor clarificându-se astfel sarcinile, competenţele şi
responsabilităţile fiecărui membru al organizaţiei); convergenţa (eliminarea contradictorialităţii
şi participarea obiectivelor subsecvente la realizarea obiectivelor de nivel superior până la

48
nivelul misiunii); măsurabilitatea (asocierea unor indicatori de rezultate cuantificabili ce pot fi
monitorizaţi); monitorizarea prin sistemul informaţional (lipsa monitorizării face imposibilă
coordonarea şi introducerea măsurilor corective); încadrarea în timp (planificarea pe orizonturi
de timp determinate şi corelate); caracterul mobilizator (obiectivele trebuie să stimuleze
iniţiativa fără a deveni însă nerealiste).

Circumstanţele care potenţează apariţia riscurilor îşi au de multe ori originea tocmai în
nerespectarea acestor principii ce guvernează sistemul de obiective.

• Mijloacele reprezintă grupa de dispozitive/instrumente de control intern implementate

prin măsuri (acţiuni) de adecvare a mijloacelor în raport cu obiectivele. Circumstanţele care
favorizează apariţia unor riscuri ce afectează realizarea obiectivelor constau, de multe ori, în
grave distorsiuni între resurse şi obiective. În categoria resurse sunt incluse resursele umane,
financiare şi tehnice (în accepţiunea cea mai largă).

• Sistemul de informare este grupa dispozitivelor/instrumentelor de control intern

operaţionalizate ca urmare a măsurilor (acţiunilor) ce vizează realizarea unui sistem
informaţional şi de pilotaj complet (se referă la toate funcţiile şi activităţile organizaţiei), fiabil
(corectitudinea şi veridicitatea informaţiilor), exhaustiv (cuprinderea tuturor informaţiilor
relevante), pertinent şi util (care satisface necesităţile decizionale), oportun (furnizarea
informaţiilor atunci când este necesar) şi neredundant (abundenţa inutilă a datelor furnizate).
Sunt extrem de frecvente cazurile în care riscurile îşi au cauzele de manifestare în inadecvarea
sistemului informaţional. O analiză chiar şi fugară scoate în evidenţă faptul că organizaţiile au, în
marea lor majoritate, sisteme informaţionale lacunare, contradictorii, redundante, inerţiale,
nestructurate în funcţie de necesităţile diferitelor nivele manageriale etc.

• Organizarea este grupa dispozitivelor/instrumentelor de control intern rezultate ca

urmare a aplicării măsurilor (acţiunilor) ce vizează corectarea anomaliilor depistate în
organizarea procesuală şi structurală, şi care constituie circumstanţe favorizante pentru
manifestarea riscurilor.

• Procedurile sunt acele instrumente/dispozitive de control intern prin care se controlează

riscurile generate de necunoaşterea proceselor şi regulilor ce trebuie respectate în desfăşurarea
activităţilor. A munci fără a formaliza modul în care fiecare trebuie să procedeze, înseamnă a nu
exista un control intern eficace, menit să ţină sub control riscurile şi să se obţină astfel o
asigurare rezonabilă că obiectivele vor fi atinse. Pentru ca procedurile să devină
instrumente/dispozitive de control intern eficace acestea trebuie: să se refere la toate procesele
şi activităţile importante; să fie scrise; să fie actualizate în permanenţă; să fie aduse la cunoştinţa
executanţilor; să fie simple şi pe înţelesul tuturor.

Multe dintre riscuri îşi au cauza în lipsa procedurilor. De câte ori nu se invocă ca explicaţie
pentru un eşec necunoaşterea sau ambiguitatea unor reguli? Managerii au obligaţia de a face clar
pentru cei implicaţi ce trebuie făcut şi cum trebuie făcut, fără a lăsa loc la interpretări.

• Supervizarea grupează instrumentele/dispozitivele de control intern menite să ţină sub

control riscurile ce rezultă din anomalii în exercitarea controlului ierarhic. Astfel de instrumente
de control intern vizează stilul managerial al responsabililor de pe diferite nivele. A superviza nu
înseamnă a reface munca subordonaţilor, a căuta eroarea cu orice preţ sau a supraveghea în
permanenţa procesele. A superviza înseamnă, in primul rând, a îndruma (coordona), a încuraja
şi, numai in ultimul rând, a verifica. Supervizarea trebuie să se bazeze pe un sistem informaţional
adecvat, să fie universală (să se refere la toate activităţile) şi să fie consemnată (viza, raport etc.)

49
pentru a putea fi evaluată. La prima vedere ar părea surprinzător, însă sunt frecvente cazurile în
care circumstanţele care favorizează apariţia unor riscuri ţin de o supervizare defectuoasă. Un
manager trebuie să se asigure că sectorul de care este responsabil funcţionează, iar personalul
trebuie să aibă convingerea că activitatea acestuia este supravegheată.

Dar instrumentele/dispozitivele de control intern pot fi analizate şi prin prisma modului în care
acestea acţionează în tratarea riscurilor, deosebindu-se următoarele tipuri:

• Instrumente/dispozitive de control intern preventiv

Aceste instrumente de control intern sunt menite să limiteze posibilitatea ca anumite riscuri să
se materializeze. Cu cât materializarea unor riscuri este mai nedorită, cu atât mai importantă
devine implementarea instrumentelor de control intern preventive. Majoritatea instrumentelor
puse în operă în organizaţie au tendinţa de a aparţine acestei categorii. De altfel, exemplele care
au fost date până acum pe parcursul lucrării de faţă se referă, în majoritatea lor, la instrumente
de control intern cu caracter preventiv. Reluam câteva dintre acestea: separarea funcţiunilor
previne riscurile de fraudă; procedurile previn riscurile de neregularitate şi neconformitate;
mijloacele previn riscurile datorate indisponibilităţii de resurse etc.

• Instrumente/dispozitive de control intern cu caracter corectiv

Aceste instrumente sunt concepute pentru a limita impactul riscurilor materializate.

• Instrumente/dispozitive de control intern detective

Aceste instrumente de control intern sunt concepute să identifice riscurile care s-au materializat
pentru a putea fi tratate consecinţele. În general, aceste instrumente de control intern sunt
cunoscute şi sub denumirea de controlul ulterior, deoarece se referă la riscuri materializate.

S-ar putea obiecta că astfel de instrumente nu aparţin managementului riscului, deoarece acesta
se referă la tratarea riscurilor care pot să apară şi nu a celor materializate. Obiecţia nu este
întemeiată deoarece s-a subliniat, în repetate rânduri, pe parcursul acestei lucrări, că riscurile
pot fi reduse, dar nu eliminate. Prin urmare, există întotdeauna şansa ca riscurile să se
materializeze şi să se transforme în situaţii dificile. Dar, şi situaţiile dificile trebuie gestionate, iar
prin instrumentele de control detectiv se face acest lucru. Pentru a ne limita la un exemplu
binecunoscut în practica financiară menţionăm că, inventarele sunt instrumente de control
intern detectiv menite să identifice eventualele pierderi de active datorate materializării unor
riscuri.

Plan de implementarea măsurilor de control

Persoanele
Nr. Termene de
Denumire risc Măsuri de control responsabile cu Observații
crt. implementare
implementarea

Odată stabilite zonele de risc, obiectivele care sunt afectate de posibila materializare a riscurilor,
circumstanţele care favorizează apariţia riscurilor, responsabilităţile managerilor în gestionarea

50
riscurilor, strategiile ce trebuiesc adoptate, măsurile de control intern (activităţile ce trebuie
întreprinse pentru diminuarea expunerii la riscuri) se procedează la completarea Registrului de
riscuri cu aceste elemente.

În acest stadiu Registrul de riscuri va avea următoarea formă:

Obiective/ Risc
Cauzele care Risc rezidual
activităţi inerent Strategia Data ultimei
Risc favorizează apariţia
adoptată revizuiri
riscului P I E P I E
Gradul scăzut de
Diminuarea/pier atractivitate a funcţiei
Îmbunătățire
derea expertizei publice
a gestionării
tehnice existentă Resurse financiare
resurselor
la nivelul insuficiente în raport cu Monitorizare
umane la 2 2 4 1 2 2
aparatului de necesarul de formare a /Tratare
nivelul
lucru al Entității personalului
entității
publice Oferte salariale mai
publice
bune existente pe piaţa
muncii

REGISTRUL DE RISCURI

P – probabilitate
I – impact
E – expunere la risc

10. REVIZUIREA ŞI RAPORTAREA RISCURILOR

Conform modelului de management al riscurilor, prezentat în secţiunea a cincea, revizuirea şi

raportarea riscurilor este faza ce încheie ciclul compus din identificarea, evaluarea, controlul,
revizuirea şi raportarea riscurilor.

Două motive impun revizuirea şi raportarea riscurilor:

• Monitorizarea modificării profilurilor riscurilor ca urmare a implementării instrumentelor
de control intern şi a modificării circumstanţelor care favorizează apariţia riscurilor;
• Obţinerea de asigurări privind eficacitatea gestionării riscurilor şi identificarea nevoii de a
lua măsuri viitoare.

Procesele de revizuire trebuie puse în aplicare pentru a analiza dacă: riscurile persistă; au apărut
riscuri noi; impactul şi probabilitatea riscurilor au suferit modificări; instrumentele de control
intern puse în operă sunt eficace; anumite riscuri trebuie escaladate la nivele de management
superioare etc.

Rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continuă a situaţiei

riscurilor şi pentru a se sesiza schimbările majore care impun modificarea priorităţilor.
Revizuirea riscurilor şi a procesului de gestionare a riscurilor sunt două activităţi distincte care
nu se pot substitui reciproc.

Revizuirea trebuie să:

• dea asigurări că toate aspectele procesului de gestionare a riscurilor sunt analizate cel
puţin odată pe an;
• ofere asigurări că riscurile sunt supuse revizuirii cu o frecvenţă corespunzătoare, stabilită
în raport cu mobilitatea circumstanţelor şi a naturii instrumentelor de control intern ce urmează
a fi implementate;

51
• stabilească mecanisme de alertare ale nivelelor superioare manageriale în privinţa noilor
riscuri sau a schimbărilor survenite la riscurile deja identificate, astfel încât aceste schimbări să
fie abordate corespunzător.

Revizuirea riscurilor şi a gestionării riscurilor se face, în prima etapă, prin metoda autoevaluării.
Responsabilii de risc (în principal managerii de pe diferitele nivele ierarhice ale organizaţiei) au
obligaţia de a evalua, cel puţin o dată pe an (de regulă la finele exerciţiului financiar), riscurile din
sfera lor de responsabilitate, precum stadiul de implementare a instrumentelor de control intern
preconizate şi eficacitatea lor. De asemenea, responsabilii de risc au obligaţia de a raporta
periodic (trimestrial, semestrial, anual) nivelelor ierarhic superioare ce activităţi au desfăşurat
pentru a actualiza riscurile şi pentru a le menţine la un nivel corespunzător.

Astfel de rapoarte, cunoscute şi sub numele de Rapoarte de responsabilitate, trebuie incluse în

sistemul de raportare al fiecărei organizaţii.

Dar practica autoevaluării şi a rapoartelor periodice de responsabilitate nu este suficientă,

deoarece subiectivismul este inerent. Managerii se află într-o situaţie incomodă atunci când sunt
obligaţi să facă publice problemele cu care se confruntă în propriile arii de responsabilitate.
Dacă conducerea organizaţiei are o viziune sancţionatorie, metoda autoevaluării devine un eşec.

Încurajarea managerului de a vorbi deschis despre riscuri trebuie să devină o politică a fiecărei
organizaţii.

Subiectivismul autoevaluării în procesul de revizuire a riscurilor şi a gestionării riscurilor este

contrabalansat de auditul intern care, prin natura misiunii sale, are obligaţia de a face evaluări
independente (independente de responsabilii executivi) pentru a se obţine asigurări rezonabile
că riscurile sunt identificate şi bine gestionate şi, ca urmare, obiectivele organizaţiei vor fi
atinse.
Trebuie subliniat însă faptul că auditul intern nu se poate substitui nici responsabilităţii pe care
conducerea o are în privinţa riscurilor şi nici unui sistem integrat de revizuire şi analiză ce
trebuie pus în practică de personalul care are atribuţii executive în atingerea obiectivelor
organizaţionale.

Registrul de risc, care reprezintă documentul integrator al gestionării riscurilor trebuie

completat, pentru a include şi faza de revizuire şi raportare, cu următoarea secvenţă:

Actualizarea registrului de riscuri

Cauzele care Risc Strategia Data ultimei Risc
Obiective/ favorizează inerent adoptată revizuiri rezidual
Risc
activităţi apariţia
P I E P I E
riscului

P – probabilitate
I – impact
E – expunere la risc

52
 11. Categorii specifice de riscuri reglementate independent

A. Riscul de sănătate şi securitate ocupaţională

Optimizarea activitatii de prevenire a accidentelor de munca si / sau imbolnavirilor

profesionale are ca punct de plecare evaluarea riscurilor de accidentare si imbolnavire
profesionala. Notiunea de risc este definita in literatura de specialitate prin probabilitatea cu care
intr-un proces de munca intervine un accident sau o imbolnavire profesionala cu o anumita
frecventa si gravitate a consecintelor. Scopul evaluarii nivelului de risc este de a oferi
posibilitatea cunoasterii situatiei reale de la fiecare loc de munca, din punct de vedere al
securitatii muncii, pentru a se lua masurile de prevenire cele mai potrivite situatiei date.

Baza principiului de evaluare a riscurilor consta in luarea in considerare a doi parametri:

frecventa producerii accidentelor si gravitatea consecintei maxime previzibile (principii incluse
si in standardele europene). Pe plan mondial, ideea unor diagnoze a starii de securitate a muncii
in unitati este destul de veche dar nu s-a ajuns la alte instrumente de lucru operationale si
generalizabile, acceptandu-se unanim principiul de evaluare a riscurilor pe baza celor doi
parametri: frecventa producerii accidentelor si gravitatea consecintei maxime previzibile.

Evaluarea riscurilor de accidentare sau imbolnavire profesionala implica trei etape.

Etapa 1
– analiza sistematica a activitatilor stabilite in scopul identificarii factorilor de risc dependenti de
cele patru componente ale sistemului de munca: Executant; Sarcina de munca; Mijloacele de
productie; Mediul de munca.

Executant: omul implicat nemijlocit in executarea unei sarcini de munca;Factorul uman se

regaseste în sistem si indirect, ca factor de conceptie si decizie în spatele celorlalte componente.
Astfel, atât sarcina de munca, cât si mijloacele de productie sau o parte din mediul de munca
(mediul fizic) sunt concepute sau actionate de om. Sub aspectul genezei accidentelor de munca
intereseaza, dupa cum se va vedea ulterior, doar deficientele executantului, celelalte deficiente
(ale factorilor de conceptie si decizie) regasindu-se în sistem la nivelul mijloacelor de productie,
mediului si sarcinii de munca.

Sarcina de munca: totalitatea actiunilor ce trebuie efectuate prin intermediul mijloacelor de

productie si in anumite conditii de mediu de catre executant, pentru desfasurarea procesului de
munca;

Mijloacele de productie: reprezinta totalitatea mijloacelor de munca – (cladiri, instalatii, masini,

unelte, mijloace de transport etc.) si a obiectelor muncii (materii prime, produse intermediare
etc.) utilizate în procesul de productie a bunurilor materiale.

Mediul de munca: reprezinta ambianta în care executantul îsi desfasoara activitatea. Mediul de
munca cuprinde pe de o parte mediul fizic ambiant (spatiul de lucru, conditiile de iluminat,
microclimatul, zgomotul, vibratiile, radiatiile, puritatea aerului etc.), iar pe de alta parte mediul
social (relatiile de grup, raporturi pe orizontala si verticala etc.) mai exact ansamblul conditiilor
fizice, chimice, biologice si psihologice in care unul sau mai multi executanti isi realizeaza sarcina
de munca.

Procesul de munca reprezinta succesiunea în timp si spatiu a activitatilor conjugate ale

executantului si mijloacelor de productie în sistemul de munca. Pentru ca un proces de munca sa

53
aiba loc este necesar ca cele patru elemente prezentate anterior sa coexiste în spatiu si în timp si
sa intre în relatie între ele.

Disfunctia celor patru elemente ale procesului de munca creeaza riscuri de accidentare sau
imbolnaviri profesionale, riscuri care dupa producerea evenimentului se transforma in cauze.
Producerea unui accident de munca implica interactiunea a cel putin doua cauze: una obiectiva si
alta subiectiva, numai astfel putind avea loc impactul intre victima si sursa care-i afecteaza
organismul. În cadrul sistemului de munca, executantul si elementele materiale intra în relatie
functionala prin intermediul sarcinii de munca. În raport cu executantul, sarcina si mediul de
munca actioneaza direct asupra acestuia, în timp ce mijloacele de productie numai indirect, prin
intermediul sarcinii.

Din punctul de vedere al protectiei muncii, procesul de munca manifesta doua caracteristici
esentiale: prezenta omului în calitate de executant si capacitatea elementelor implica-te în
realizarea lui de a constitui un sistem - sistemul de munca. Prima trasatura defineste procesul de
munca drept spatiul de producere a accidentelor de munca si bolilor profesionale, iar cea de a
doua caracteristica permite întelegerea mecanismului de aparitie a celor doua evenimente.

Accidentele de munca si bolile profesionale sunt deci ale sistemului de munca, generate de
dereglarile, calitatile, proprietatile intrinseci etc. ale elementelor sale constituente. Disfunctiile
sistemului nu conduc întotdeauna, obligatoriu, la vatamarea sau modificarea starii de sanatate a
organismului uman. Pentru ca sa se produca un astfel de efect este necesar sa se constituie un
lant cauzal, a carui ultima veriga este întâlnirea dintre victima si agentul material care o lezeaza.
Acest lant este alcatuit din factori (însusiri, stari, procese, fenomene, comportamente) proprii
elementelor sistemului de munca, care constituie cauze potentiale de accidentare si/sau
îmbolnavire profesionala, respectiv factori de risc de accidentare si/sau îmbolnavire profesionala
(prescurtat factori de risc). De regula, factorii de risc reprezinta abateri de la normal ale starii sau
modului de functionare al elementelor sistemului de munca.

Factorii de risc în sistemul de munca

Factorii de risc proprii executantului

Abaterea posibila a executantului de la linia ideala pe care trebuie s-o urmeze pentru îndeplinirea
sarcinii de munca reprezinta întotdeauna o eroare, la nivelul uneia sau a mai multora dintre
verigile de baza ale activitatii de munca, respectiv:
 erori de receptie, prelucrare si interpretare a informatiei;
 erori de decizie;
 erori de executie;
 erori de autoreglaj.

Eroarea executantului se concretizeaza într-un comportament inadecvat din punctul de vedere al

securitatii muncii, sub forma unei actiuni gresite sau omisiuni. Analizând posibilitatile de eroare
ale executantului în raport cu celelalte elemente ale sistemului de munca rezulta lista factorilor
de risc proprii executantului din Fisa de evaluare a locului de munca.

Factorii de risc proprii sarcinii de munca

La nivelul sarcinii de munca pot aparea doua categorii de cauze potentiale de accidentare sau
îmbolnavire profesionala:
- continut sau structura necorespunzatoare a sarcinii de munca în raport cu scopul sistemului de
munca sau cu cerintele impuse de situatiile de risc (operatii, reguli, procedee gresite, absenta
unor operatii, metode de munca necorespunzatoare); sub/supradimensionarea cerintelor

54
impuse executantului, respectiv necorespunzatoare posibilitatilor acestuia. Analizând aceste
caracteristici rezulta lista generica a factorilor de risc proprii sarcinii de munca (respectiv care se
regasesc la nivelul sarcinii de munca), Fisa de evaluare a locului de munca.

Factorii de risc proprii mijloacelor de productie

Dupa natura actiunii lor, factorii de risc proprii mijloacelor de productie se pot manifesta sub
urmatoarele forme:
- factori de risc mecanic, a caror actiune consta în eliberarea brusca, necontrolata si
contraindicata, a energiei cinetice incorporate în mijloacele de productie sau în parti ale acestora;
- factori de risc termic, în cazul carora pericolul potential este dat de actiunea energiei termice
incorporate în mijloacele de productie la contactul sau manipularea acestora de catre executant;
- factori de risc electric, la care pericolul consta în posibilitatea contactului direct sau indirect al
executantului cu energia electrica vehiculata de mijloacele de productie;
- factori de risc chimic, a caror actiune este determinata de proprietatile chimice nocive sau
potential accidentogene ale substantelor utilizate în procesul de munca;
- factori de risc biologic, cu actiune de natura biologica, nociva sau potential accidentogena, în
functie de caracteristicile macroorganismelor si microorganismelor utilizate în procesul de
munca.

Factorii de risc proprii mediului de munca

Mediul fizic ambiant poate prezenta abateri sub forma de depasiri ale nivelului sau intensitatii
functionale a parametrilor specifici (microclimat, zgomot, vibratii, noxe chimice, radiatii, iluminat
etc.), fie caracteristici care reprezinta conditii de munca inadecvate (suprasolicitare fizica).
Mediul social se caracterizeaza prin factori de risc de natura psihica al caror rezultat este
suprasolicitarea executantului.

Studiul sistematic al acestor caracteristici, abateri, în raport cu actiunea lor negativa,

generatoare de accidente sau boli profesionale asupra executantului, conduce la lista generica de
factori de risc din Fisa de evaluare a locului de munca.

B. Riscul de securitate a informaţiei

Introducerea calculatoarelor, virtual, în fiecare dimensiune a societăţii a schimbat semnificativ

modul în care oamenii şi organizaţiile obţin sau diseminează informaţii ori desfăşoară afaceri,
permiţând mai mare eficienţă, un control operaţional sporit şi un acces rapid la informaţii.
Alături de multe beneficii, însă, calculatoarele şi interconectarea acestora prezintă şi aspecte
negative, cum ar fi apariţia unor noi tipuri de infracţiuni (distribuirea de viruşi informatici, de
pildă), precum şi posibilitatea de comitere a unor infracţiuni tradiţionale prin intermediul noilor
tehnologii (cum ar fi frauda ori falsul, spre exemplu).

1. Riscul atacului electronic

Sistemele informaţionale computerizate sunt esenţiale pentru buna desfăşurarea a majorităţii
activităţilor moderne; pe cale de consecinţă, securitatea acestora trebuie să fie preocupare
importantă pentru organizaţiile conexe.
Serie de factori pot fi consideraţi că au crescut riscul de atac electronic la adresa sistemelor
informaţionale:
 Dificultăţile, inerente, de securizare (Landwehr, 2001; Loscocco şi colab., 1998);
 Globalizarea crescândă;

55
  Insuficienta conştientizare şi educare a utilizatorilor sistemelor de informaţii (Siponen,
2000) şi atitudinile sau practicile care nu respectă procedurile de folosire (Schneier,
2000);
 Disponibilitatea de informaţii privind penetrarea fără autorizare a sistemelor de
informaţii;
 Reglementări legislative neclare şi anumite dificultăţi jurisdicţionale.
Posibilitatea ca sistemele informaţionale computerizate ale unei organizaţii să fie insuficient
protejate împotriva anumitor atacuri sau pierderi este numită de Straub şi Welke (1998) „risc de
sistem”. Pe de altă parte, Adams şi Thompson (2002) consideră că riscul este ceva subiectiv, care
se referă la un viitor care există doar în imaginaţie, cel putin iniţial. Conform lui Turban (1996),
„riscul” este definit ca posibilitatea unei ameninţări să se materializeze. Riscul este, în contextul
sistemelor informaţionale computerizate, suma ameninţărilor (evenimentelor care pot cauza
daune), vulnerabilităţilor şi valoarea informaţiilor expuse:
Risc = Ameninţări + Vulnerabilităţi + Valoarea informaţiilor.
Înainte determinării ameninţărilor, vulnerabilităţilor şi înaintea atenuării riscurilor, trebuie
determinat ce se încearcă să se protejeze – după cum argumentează Berryman (2002), trebuie
făcut un inventar complet al sistemului informaţional.
Informaţiile stocate electronic au anumită valoare. Un incident care va afecta negativ informaţiile
stocate electronic va afecta şi individul sau organizaţia care depinde ori foloseşte respectivele
informaţii. Informaţiile sunt evaluate în raport cu posibilul impact al unui incident care va afecta
negativ informaţiile. Ameninţările, vulnerabilităţile şi posibilul impact trebuie combinate pentru
a obţine măsură a riscului la care sunt expuse informaţiile.
Pentru evaluarea potenţialului atacurilor posibile (importanţa şi impactul potenţial al unui
incident de securitate), este necesar să fie înţelese expertiza, motivaţia şi intenţia potenţialilor
atacatorilor. Un atacator care selectează sistemul victimă în funcţie de insecurităţile pe care
acesta le prezintă este diferit de un atacator care selectează pentru atac un sistem anume, pentru
a comite anumite fapte.
Pentru a putea selecta şi implementa contramăsuri adecvate riscurilor asociate sistemelor
informaţionale computerizate este necesar ca ameninţările la adresa acestora să fie bine
evaluate. În următoarea secţiune sunt discutate categoriile de atacatori potenţiali, motivaţia
acestora şi ameninţările aduse la adresa sistemelor informaţionale computerizate.

2. Atacatori, amenintari si vulnerabilitati

Potenţialii atacatori. Persoanele din interiorul unei organizaţii şi accidentele sau dezastrele
naturale reprezintă principalele surse de riscuri la adresa sistemelor de informaţii. Persoanele
din exterior reprezintă, de asemenea, sursă importantă de risc deoarece sunt, în unele cazuri, mai
motivaţi şi mai dificil de depistat şi investigat decât persoanele din interiorul organizaţiilor.
În conformitate cu aserţiunile lui Ozier (1999), organizaţiile trebuie să adreseze în mod explicit
următoarele elemente în orice analiză a riscurilor:
 Agenţii ameninţărilor ;
 Motivaţia atacatorilor;
 Capabilităţile atacatorilor;
 Ameninţările la adresa informaţiilor;
 Frecvenţa ameninţărilor;
 Impactul ameninţărilor;
 Probabilitatea atacurilor;
 Vulnerabilităţile propriilor sisteme; şi

56
  Controalele disponibile/implementabile.
Pornind de la rezultatele din lucrarea A Preliminary Classification Scheme for Information
System Threats, Attacks, and Defenses (Cohen şi colab., 1998), se consideră că următorii ‘actori’
pot cauza probleme de securitate sistemelor informaţionale computerizate:
 Angajaţii. Aceştia sunt investiţi cu încredere şi au acces la sistemul informaţional, ceea ce
le permite cunoaşterea slăbiciunilor sistemelor, efectuarea unor operaţiuni care pot fi în
detrimentul organizaţiilor respective, precum şi ştergerea evidenţelor digitale (Vasiu şi
Vasiu, 2004);
 Consultanţii / Personalul de întreţinere al sistemului. Aceste persoane au adesea
acces la zonele sensibile ale sistemului informaţional, ceea ce le permite efectuarea unor
operaţiuni cu mare diversitate;
 Furnizorii / Clienţii. Motivele lor economice nu sunt în unele cazuri congruente cu cele
ale organizaţiei şi, în unele situaţii, pot efectua anumite acţiuni care pot prezenta riscuri de
securitate;
 Competitorii: Alţi indivizi sau organizaţii care vor avea de câştigat de pe urma pierderilor
organizaţiei cauzate de atacuri asupra sistemului de informaţii;
 Crackerii / Mercenarii informatici / Infractorii profesionişti. Persoane care
penetrează ilegal sistemele de informaţii şi cauzează intenţionat daune, motivaţiile fiind,
în genere, diverse;
 Experţii în spionaj. Persoane care sunt specializate în obţinerea unor informaţii de care
vor beneficia alte organizaţii. Aceste persoane un un nivel înalt de cunoştinţe tehnice, sunt
bine plătite şi îşi pot, adesea, realiza acţiunile fără să fie detectaţi;
 Accidentele / Dezastrele naturale: Acestea pot cauza pierderea unor informaţii
importante sau indisponibilizarea acestora.
Atacatorii sistemelor informaţionale pot fi clasificaţi după mai multe criterii. În funcţie de
motivaţie, se disting patru categorii principale (Vasiu şi Vasiu, 2001):
 Motivaţia socială. Atacatorii din această categorie încearcă să obţină un sentiment de
superioritate sau de control, de acceptare faţă de alţi atacatori sau de integrare într-un
anumit grup.
 Motivaţia tehnică. Atacatorii din această categorie încearcă să ‘învingă’ sistemul, ca un fel
de provocare intelectuală.
 Motivaţia politică. Atacatorii din această categorie încearcă să obţină atenţia politică,
pentru a promova anumită cauză.
 Motivaţia financiară. Atacatorii din această categorie încearcă să obţină un câştig
personal (cum ar fi, spre exemplu, spionii, mercenarii informatici, diversele organizaţii sau
chiar persoanele care se ocupă cu distribuirea de informaţii confidenţiale etc.).
Analiza riscului. Aceasta este larg folosită de organizaţii (a se vedea Blakley şi colab., 2002), chiar
dacă există autori (cum ar fi, spre exemplu, Jacobson (1996)) care consideră că analiza risculi
este subiectivă, inconsistentă sau, uneori, chiar inutilă.
Conform lui Wilsher şi Kurth (1996), organizaţiile trebuie să abordeze problema riscului în patru
etape:
 (a) Identificarea şi evaluarea informaţiilor importante,
 (b) Identificarea şi evaluarea ameninţărilor,
 (c) Evaluarea vulnerabilităţilor şi
 (d) Evaluarea riscului.
1 R. Stallman (1984), care se autointitulează hacker, şi recomandă folosirea termenului ‘cracker’
pentru cei care penetrează sistemele de informaţii prin încălcarea măsurilor de securitate.

57
Deasemenea, trebuie găsite răspunsuri la următoarele chestiuni fundamentale în cadrul unei
analize a riscului (Ozier, 1999):
 Ce evenimente nedorite se pot petrece?
 Dacă se materializează, care va fi impactul?
 Cât de des se poate petrece evenimentul nedorit?
 Cât de sigură este informaţia care defineşte primele trei elemente?
Berryman (2002) argumentează că organizaţiile trebuie să identifice ameninţările,
vulnerabilităţile şi apoi să cuantifice impactul potenţialelor vulnerabilităţi. Astfel, pentru fiecare
vulnerabilitate, trebuie considerată probabilitatea ca aceasta să fie exploatată şi daunele care ar
rezulta dacă aceasta este exploatată. Trebuie identificate contramăsurile necesare pentru
atenuarea riscurilor, iar costurile acestora trebuie amănunţit cuantificate. Costurile presupuse
pentru atenuarea riscurilor trebuie comparate cu costurile organizaţiei dacă vulnerabilitatea este
exploatată, astfel încât managerii să poată decide ce riscuri să prevină, să limiteze sau să accepte.
Există mai multe abordări ale analizei riscului dar, cu toate acestea se poate vorbi despre două
categorii importante de abordări: cele cantitative şi cele calitative. Analiza cantitativă a riscului se
focalizează asupra probabilităţii producerii unui eveniment şi estimarea pierderilor probabile
care s-ar produce. Acest tip de analiză a riscului foloseşte aşa numita pierdere anuală estimată
(Blakley şi colab., 2002) ori costul anual estimat. Se calculează valoarea pentru un anumit
eveniment prin multiplicarea pierderilor potenţiale cu probabilitatea petrecerii evenimentului
nedorit. Această abordare face posibilă ierarhizarea evenimentelor în ordinea riscului, ceea ce
permite luarea unor decizii bazate pe această ierarhizare.
Analiza calitativă a riscului, în care se foloseşte doar valoarea pierderii poneţiale estimate, este
cea mai larg folosită în acest domeniu. Cele mai multe metodologii pentru analiza calitativă a
riscului folosesc un set de elemente corelate:
Ameninţările. Acestea sunt prezente pentru fiecare sistem şi reprezintă ceea ce s-ar putea
întâmpla sau ceea ce ar putea ataca un sistem. Ameninţările sunt foarte variante şi obiectivul
atacatorilui constă în obţinerea unor beneficii pentru sine sau pentru alţii ori doar prejudicierea
deţinătorilor sistemului informaţional. Au fost definite astfel:
 Un posibil pericol la adresa sistemului (Kabay, 1996).
 circumstanţa care are potenţialul să cauzeze pierdere organizaţiei (Pfleeger, 1997;
Castano şi colab., 1995; Neumann, 1995).
 circumstanţă sau un eveniment care poate cauza violarea securităţii sistemului (Summers,
1997).
Vulnerabilităţile. Acestea se datorează inconsistenţelor sau erorilor de proiectare, de
implementare, de operare sau de întreţinere a programelor (Bishop, 1999). Acestea fac un sistem
să fie mai susceptibil în a fi atacat cu succes şi au fost definite după cum urmează (inter alia):
 Un punct unde sistemul este susceptibil de a fi atacat (Kabay, 1996).
 slăbiciune în sistemul de securitate care poate fi exploatată pentru a cauza un prejudiciu
sau pierdere (Pfleeger, 1997).
 anumită slăbiciune a unui sistem care permite violarea securităţii sale (Summers, 1997).
Controalele. Acestea reprezintă contramăsuri pentru vulnerabilităţi şi trebuie să fie
proporţionale cu criticalitatea sistemului de informaţii şi probabilitatea producerii unui
eveniment nedorit. Pot fi identificate următoarele categorii de controale:
 Controale disuasive, care reduc probabilitatea unui atac deliberat;
 Controale preventive, care protejează împotriva vulnerabilităţilor (acestea fac imposibile
sau foarte dificile atacurile);
 Controale corective, care reduc efectele unui atac;

58
  Controale detective, care permit descoperirea atacurilor şi declanşarea de controale
preventive sau corective;
 Controale recuperative, care permit restaurarea sistemului după un atac.

3. Amenintarile si vulnerabilitatile
Tipuri de ameninţări. Ameninţările trebuie bine definite pentru a putea alege, în consecinţă,
măsurile şi controalele de securitate adecvate (Panko, 2004).
Castano şi colab. (1995) clasifică, bipartit, ameninţările în funcţie de modul de producere:
 A. non-frauduloase (accidentale) şi
 B. frauduloase (intentionale).
altă clasificare posibilă grupează ameninţările la adresa sistemelor informaţionale în:
 Ameninţările naturale: Acestea sunt numite în sfera asigurărilor ca fiind forţă majoră
(incendii, furtuni, trăznete, cutremure, inundaţii, doar cateva exemple din aceasta
categorie) (D’Arcy, 2001);
 Ameninţările accidentale: Procedurile executate incorect, căderile de electricitate,
întreruperea unui cablu de energie electrica, căderea unui disc etc;
 Ameninţările intenţionate: Sabotajul, accesul neautorizat, folosirea sau ştergerea
neautorizată a unor informaţii ori a unor medii de stocare, plantarea de cai troieni
informatici sau infectarea cu viruşi informatici etc.
Ameninţările la adresa sistemelor informaţionale mai pot fi clasificate (Buffam, 2000) dupa cum
urmează:
 Ameninţările fundamentale,
 Ameninţările care facilitează şi
 Ameninţările indirecte.
Atacatorul unui sistem informaţional computerizat, în general, va ajunge într-o poziţie unde va
reprezenta ameninţare fundamentală prin folosirea unei alte ameninţări care facilitează sau
printr-o ameninţare indirectă.

Amenintarile fundamentale
Acestea reprezintă ceea ce un atacator vrea sa realizeze. Aceste ameninţări sunt categorizate de
Buffam (2000) în divulgarea unor informaţii, alterarea informaţiilor, repudierea, refuzul
serviciului şi folosirea nelegitimă, şi sunt discutate în subsecţiunile următoare.
Divulgarea informaţiilor. Informaţii importante, care ar trebui sa rămână confidenţiale, sunt
accesate şi divulgate de persoane neautorizate (sau de persoane angajate de persoane
neautorizate) ori care îşi depăşesc atribuţiile. Deoarece unele informaţii au valoare foarte mare,
valoare care se diminuează considerabil sau se pierde prin încălcarea confidenţialităţii, acest tip
de atac poate avea consecinţe nefaste, extrem de grave, pentru organizaţii.
Alterarea informaţiilor. Informaţiile sunt introduse în sistem fără autorizare, modificate sau
suprascrise de persoane neautorizate (sau de persoane plătite de persoane neautorizate) sau
care îşi depăşesc atribuţiile. Deoarece unele decizii sau acţiuni depinde decisiv de informaţiile
obţinute, acest tip de atac prezintă un pericol potential deosebit pentru organizaţii.
Repudierea. Reprezintă capacitatea sau acţiunea unei persoane de a nega identitatea
transmiţătorului, conţinutul sau data efectuării unei comunicaţii ori transmiterii unui mesaj
electronic. Deoarece unele mesaje sau comunicaţii electronice au importanţă mare, este
important ca organizaţiile să asigure non-repudierea acestora.

59
Refuzul serviciului (denial of service, DOS). Atacurile de acest tip consumă resursele unui
sistem informaţional computerizat, resurse destinate servirii utilizatorilor legitimi. Există două
sub-categorii principale de atacuri în această categorie: atacurile logice şi atacurile de ‘inundare’
(flooding attacks).
Atacuri Denial-of-Service distribuite (DDoS). Reprezintă un tip de atac în care sunt folosite
zeci sau chiar mii de calculatoare compromise pentru a automatiza transmiterea de date care vor
‘inunda’ sistemele vizate, atacate. Calculatoarele compromise sunt controlate de la distanţă prin
plantarea, cel mai adesea, de cai troieni informatici, ceea ce produce un grup de calculatoare
‘zombi’ (care vor acţiona precum entitatile cu acelasi nume din legendele voodoo). Aceste atacuri
sunt periculoase deoarece sunt foarte dificil de contracarat.
Atacuri cum ar fi Ping-of-Death exploatează vulnerabilităţile unor programe informatice pentru a
bloca sistemele ori scăderea semnificativă a performanţelor acestora. ‘Inundarea’ (flooding),
reprezintă un alt atac din această categorie, prin care resursele unui sistem informaţional
computerizat (UCP, memorie sau comunicaţii) sunt epuizate prin trimiterea unui număr mare de
solicitări false. Deoarece este foarte dificil să se facă distincţie între solicitările reale şi cele false,
aceste atacuri pot fi foarte greu contracarate. Cel mai cunoscut atac de tip denial-of-service este
‘SYN flood’, care constă dintr-un şir de pachete TCP SYN (Synchronize) direcţionate către un port
TCP al sistemului atacat. Acest tip de atac poate împiedica un sistem să schimbe date cu alte
sisteme.
Folosirea nelegitimă. Informaţiile sunt folosite de persoane neautorizate sau în scopuri
neautorizate. Deoarece unele informaţii (spre exemplu, rezultatele unor cercetări sau detaliile
unor clienţi) pot avea valoare semnificativă, această acţiune prezintă un pericol important pentru
organizaţii.

Amenintarile care faciliteaza

Dacă sunt prezente măsuri de securitate, atacatorii nu vor putea, în general, să treacă direct la
ameninţările fundamentale, deci vor executa ameninţări care facilitează, prin ‘poziţionare’. Acest
tip de ameninţări reprezintă ameninţări care permit accesul la ameninţările fundamentale.
Ameninţarile care facilitează pot fi clasificate după cum urmează: mascarada, programele
maliţioase, eludarea măsurilor de securitate, violarea autorizării (Buffam, 2000) şi sunt discutate
în subsecţiunile următoare.
Mascarada (masquerade). Autentificarea identităţii unui utilizator se bazează pe una sau mai
multe dintre următoarele (Frisch, 1995):
- Ceva ce doar utilizatorul cunoaşte (spre exemplu, parolă secretă),
- caracteristică fiziologică recunoscută a utilizatorului (spre exemplu, amprenta digitală,
geometria palmei, schemă retinială, ritmul tastării ori sunetul vocii),
- Ceva ce utilizatorul posedă în exclusivitate (spre exemplu, un card magmetic sau cu chip).
Mascarada este procesul prin care un intrus, neautorizat, îşi asumă identitatea unui utilizator
autorizat – orice utilizator care se află în posesia caracteristicilor de identificare poate fi
autentificat ca fiind un alt utilizator (autorizat).
Playback este un alt tip de mascaradă, în care răspunsurile sau iniţierile unei tranzacţii de către
un utilizator sau calculator sunt înregistrate discret şi re-rulate, ca şi cum ar veni de la utilizator.
Inserarea unor numere secvenţiale criptate în mesaje sau de ştampile tip dată/timp poate
contracara această varietate de mascaradă.
În atacurile cunoscute sub denumirea parodia IP (IP spoofing), atacatorii pretind a folosi un
calculator de încredere (după adresa IP), exploatează aparenţa existenţei unei comunicaţii între

60
calculatoare care sunt folosite pentru atac pentru a obţine acces la informaţii sensibile sau pentru
a rula programe privilegiate.
Programele maliţioase (malware). Codul maliţios (malicious code – malware) este clasificat,
de regulă, în funcţie de metoda de pentrare a sistemului de informaţional, de propagare şi de
obiectivul urmărit, în următoarele categorii: calul troian informatic, virusul informatic, back door,
viermele informatic şi spyware. Aceste categorii sunt discutate în subsecţiunile următoare.
Caii troieni informatici. Acest tip de program maliţios va afişa anumită legitimitate, va ‘poza’ ca
fiind ceva util sau autentic pentru a contamina un sistem informaţional computerizat. Numiţi
după mitul antic, în care războinici greci au invadat Troia prin păcălirea troienilor cu “ofertă de
pace” (calul troian de lemn, care a permis războinicilor să intre în cetate şi să cucerească), caii
troieni informatici pot avea funcţionalităţi ascunse utilizatorilor, care pot duce la inserarea sau
alterarea de date, la formatarea discurilor, la interceptarea parolelor, la oprirea anumitor
procese, la blocarea perifericelor ş.a. În unele cazuri, caii troieni informatici auto-distrugându-se
după realizarea acţiunilor maliţioase.
Clasificare a cailor troieni informatici este propusă de Bontchev (1998): cai troiani informatici
obişnuit (regular), lansatori (droppers), injectori (injectors) şi germeni (germs):
 Lansatorii: Caii troieni informatici special prin aceea că instalează viruşi în sistemul atacat;
 Injectorii: Caii troieni similari celor lansatori dar, spre deosebire de aceştia, acest tip
instalează cod distructiv în memoria unui sistem de informaţii, nu pe disc;
 Germenii: Program produs prin asamblarea sau compilarea codului sursă (sau a
rezultatului unei dezasamblări sau decompilări) a unui virus sau a unui program infectat.
Germenii mai sunt numiţi şi prima generaţie de viruşi (first generation viruses).
Bomba logică informatică (Logic bomb). bombă logică informatică este un set de instrucţiuni
dintr-un program sau chiar un program de sine stătător care determină condiţiile sau starea în
care sunt declanşate:
- acţiune care facilitează accesarea neautorizată a unui sistem informaţional,
- distrugerea de date sau alte acţiuni neautorizate.
Acest tip de program distructiv este folosit sau preferat de anumită categorie de atacatori, care
pot controla astfel când să fie declanşată acţiunea neautorizată. Bombele logice sunt adesea
introduse într-un sistem de informaţii prin intermediul unui cal troian.
Virusul informatic. Viruşii informatici au capacitatea de a se ataşa unor programe-gazdă, de
auto-replicare şi de realizare de acţiuni neautorizate (payload), adesea distructive.
Viruşii informatici pot fi clasificaţi după multe criterii: mediul de răspândire, sistemul de operare,
capacităţile distructive, durata efectului, sfera de operare, vulnerabilitatea exploatată,
mobilitatea, modularitatea etc. Amor (2000), clasifică nivelul daunelor produse de viruşi după
cum urmează:
 Nivelul 1: Spre exemplu, afişarea de mesaje pe ecran, care nu cauzează daune
semnificative.
 Nivelul 2: Afişează mesaje pe ecran şi previne executarea unor programme, dar daunele
nu sunt permanente.
 Nivelul 3: Distrugerea informaţiilor pentru programul infectat, fără a altera alte informaţii.
 Nivelul 4: Distrugerea tuturor informaţiilor, prevenirea operării calculatoarelor etc.
Back Door. Mecanismele de securitate ale sistemelor informaţionale computerizate sunt
implementate pentru a preveni accesul neautorizat sau inserarea neautorizată de date sau
programe. Back door este un mecanism care permite încălcarea restricţiilor de acces sau scriere

61
pe discuri, ceea ce permite violarea confidenţialităţii informaţiilor, modificarea neautorizată a
informaţiilor, plantarea de cai troieni informatici etc.
Viermii informatici. Viermii informatici sunt confundaţi, adesea, cu viruşii informatici. Chiar
dacă activitatea maliţioasă programată poate fi similară (cum ar fi, spre exemplu, ştergerea sau
modificarea informaţiilor), există diferenţă importantă: viermii informatici nu au nevoie de un
program gazdă pentru a se reproduce sau a se lansa în execuţie (Vasiu şi Vasiu, 2004a). Viermii
informatici pot fi folosiţi pentru varietate de acţiuni distructive.
Viermii informatici pot circula prin reţelele informatice pentru a ataca şi/sau contamina alte
sisteme. Acest tip de program a fost inventat, cu titlu de experiment, de John Socha şi Jon Hupp de
la compania Xerox, din Palo Alto, statul California, în anul 1980, cu speranţa că asemenea
programe pot prelua serie de sarcini administrative necesare într-o reţea de calculatoare (unul
dintre viermii lor căuta calculatoare nefuncţionale şi încerca rezolvarea problemei). În mâinile
unor persoane rău-voitoare, însă, viermii informatici pot cauza probleme extrem de dificile.
Spyware-ul. Spyware este un program plasat pe un sistem de informaţii fără acordul (informat)
al utilizatorilor pentru a obţine informaţii despre sistem, pentru a capta ceea ce tastează
utilizatorii, informaţiile obţinute fiind transmise după obţinere către cel sau cei care controlează
programul, urmând a fi folosite pentru atacarea sistemului informaţional.
Eludarea măsurilor de securitate. Măsurile de securitate instalate pe sistemele de informaţii, în
unele cazuri pot funcţiona incorect sau incomplet sau se pot chiar bloca, ceea ce duce la
posibilitatea accesării neautorizate a unui sistem de informaţii.
Violarea autorizării. Această ameninţare este asociată cu persoane care au un cont autorizat,
dar care realizează acţiuni neautorizate (spre exemplu, inserarea de informaţii false sau
ştergerea de informaţii vitale). Acest tip de atac este ameninţare asociată cu angajaţii unei
organizaţii (insiders).

Amenintarile indirecte
După cum argumentează Buffam (2000), acest tip de ameninţări derivă din caracteristicile de
bază ale Internetului şi ale infrastructuri informaţiei. Următoarele sub-categorii pot fi urmarite în
cadrul acestei secţiuni: interceptarea, scavenging, indiscreţia şi eroarea administrativă.
Interceptarea. Programele care permit ‘adulmecarea’ parolelor (password sniffers, keyloggers)
monitorizează şi înregistrează numele utilizatorilor şi parolele acestora. După obţinerea acestor
informaţii, atacatorii pot impersona un utilizator autorizat şi accesa informaţii confidenţiale,
altera informaţiile existente sau lansa diferite programe sau comenzi care pot produce daune.
Scavenging-ul. Această acţiune constă în folosirea de utilitare pentru reconstituirea informaţiilor
de pe medii magnetice, după ce acestea au fost şterse sau suprascrise. altă formă a acestei acţiuni
constă în căutarea de informaţii care ar putea fi utile din pubele sau din alte locuri unde sunt
aruncate informaţii imprimate pe hârtie (dumpster diving).
Indiscreţia. În această categorie sunt incluse acţiunile care conduc la deconspirarea parolelor
sau tehnicilor de autentificare folosite, părăsirea calculatorului fără încheierea unei sesiuni de
lucru sau social engineering – abordarea naiva a încercărilor de obţinere a parolelor prin tehnici
de genul “Am nevoie de parola lui X pentru a efectua operaţiuni de configurare” sau “Sunt Y, am
uitat parola”.
Eroarea administrativă. Erorile de administrare ale unui sistem de informaţii computerizat
(spre exemplu, configurare greşită, păstrarea unui cont de utilizator pe un sistem după
concedierea deţinătorului contului, setarea greşită a autorizărilor etc.) pot crea posibilitatea
declanşării de acţiuni neautorizate sau obţinerea de acces neautorizat.

62
Vulnerabilităţile şi expunerile
Prin vulnerabilitate se înţelege orice fapt care prezintă problemă din punct de vedere al
securităţii sistemului de informaţii într-un anumit context. Vulnerabilităţile sunt portiţele prin
care se manifestă ameninţările. Common Vulnerabilities and Exposures dezvoltată de Mitre
urmăreşte standardizarea vulnerabilităţilor cunoscute.
Vulnerabilitate universală este definită ca stare într-un sistem informaţional care:
 Permite unui atacator să execute comenzi impersonând un utilizator autorizat,
 Permite unui atacator să acceseze informaţii contrar procedurilor de acces,
 Permite unui atacator să conducă un atac de refuz al serviciului (denial of service).
Stoneburner şi colab. (2001) prezintă următoarele reguli de bază în atenuarea riscurilor asociate
ameninţarilor intenţionale. Aceste reguli sunt aplicabile, cu excepţia celei de a treia, şi pentru
atenuarea riscurilor naturale sau accidentale:
 Când vulnerabilitate există, trebuie redusă posibilitatea ca respectiva vulnerabilitate să fie
exploatată;
 Când vulnerabilitate poate fi exploatată, trebuie implementată protecţie pe mai multe
niveluri şi controale administrative care pot minimiza riscul sau preveni exploatarea
vulnerabilităţi;
 Când costul unui atacator este mai mic decât câştigurile potenţiale trebuie aplicată
protecţie care descreşte motivaţia atacatorului prin creşterea costului său;
 Când pierderea potenţială este prea mare, trebuie aplicate protecţii tehnice şi non-tehnice
care să reducă potenţialul de pierdere.

Mecanisme de apărare

Literatura de specialitate consemnează şapte mecanisme de asigurare a eficienţei securităţii

sistemelor informaţionale:
1. Securitatea fizică se referă la controlul accesului fizic în sistem şi se va concretiza sub diverse
moduri: de la împrejmuiri ale amplasamentelor şi uşi, la lacăte şi sisteme de alarmă, inclusiv
crearea cadrului de intervenţie în cazuri de urgenţă.
2. Securitatea personalului presupune selecţia, urmărirea, autorizarea şi supravegherea
angajaţilor.
3. Criptarea informaţiilor importante înseamnă protejarea datelor comunicate la distanţă,
făcându-le neinteligibile pentru orice alte persoane decât cele autorizate a le recepţiona.
4. Studierea tehnicilor specializate ale intruşilor astfel încât echipamentele acestora să nu poată
pătrunde în configuraţia sistemului.
5. Suprimarea radiaţiilor compromiţătoare este o operaţiune necesară pentru că echipamentele
folosite în centrele de prelucrare automată a datelor produc radiaţii acustice şi electromagnetice,
care pot fi interceptate şi analizate. Estecazul consolelor, imprimantelor, cablurilor de legătură, al
echipamentelor de vizualizare ş.a.m.d.
6. Securitatea liniilor de comunicaţie se referă la garantarea comunicării corecte pe liniile care
interconectează componentele sistemului, astfel încât intruşii să nu le poată penetra.
7. Securitatea sistemelor de prelucrare automată a datelor se ocupă de protejarea datelor din
sistem împotriva accesului neautorizat, prin prisma autorizării utilizatorilor şi a protejării
datelor, stabilindu-se reguli foarte precise de folosire a lor.

Concluzii
Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna funcţionare a sistemelor
informaţionale computerizate, problema securităţii acestor sisteme devine din ce în ce mai

63
importantă (Kankanhalli şi colab., 2003). Stoneburner şi colab. (2001) sugerează bazarea
programelor de atenuare a riscului asociat cu sistemele de informaţii computerizate pe
următoarele:
 Angajarea activă a managerilor de vârf din cadrul organizaţiilor;
 Suportul şi participarea întregului personal;
 Competenţa echipei însărcinate cu analiza şi atenuarea riscurilor;
 Cooperarea utilizatorilor, care trebuie să respecte procedurile de folosire şi regulile de
securitate;
 O evaluare continuă a riscurilor.
Riscul de atac electronic variază în funcţie de:
 tipul de organizaţie,
 potenţialele vulnerabilităţi,
 diverşi catalizatori, inhibitori şi amplificatori.
Cu toate că riscul de atac electronic asupra sistemelor de informaţi nu poate fi total eliminat,
abordare sistemică şi un set procese pentru atenuarea riscurilor care consideră vulnerabilităţile
specifice fiecărei situaţii (Austin şi Darby, 2003) pot reduce semnificativ impactul unor atacuri
sau chiar elimina anumite clase de atacuri.

11. COMUNICARE ȘI Î NVĂȚARE

Comunicarea şi învăţarea nu constituie o etapă distinctă în gestionarea riscurilor (vezi modelul

simplificat prezentat în secţiunea a cincea), ci reprezintă un proces continuu ce se desfăşoară pe
parcursul tuturor fazelor. De altfel, fără comunicare şi învăţare managementul riscurilor nu ar
putea avea loc.

Riscurile au determinări multiple, sunt de cele mai multe ori intercorelate, nu afectează
de regulă un singur obiectiv, iar instrumentele de control al riscurilor pot influenţa mai
multe obiective. De asemenea, lecţiile trecutului trebuie învăţate pentru a nu fi puşi în
situaţia de a ignora soluţii care şi-au dovedit eficacitatea.

64