Documente Academic
Documente Profesional
Documente Cultură
Printre domeniile care afectează auditul intern mentionam cultura organizaţiei şi atitudinea sa faţă de risc.
În continuare, vom descrie cele două culturi importante ale riscului, deşi în practică în majoritatea
organizaţiilor realitatea tinde să fie o combinaţie a celor două.
Cultura adversă riscului se caracterizează prin:
− conducerea tinde să se limiteze la ceea ce ştie;
− stabilitatea, experienţa şi cunoştinţele sunt valorile esenţiale şi sunt atributele cele mai căutate;
− organizaţia este foarte reactivă, tinde să aştepte să se întâmple ceva rău şi abia apoi acţionează;
− de obicei, organizaţia este extrem de ierarhizată şi majoritatea deciziilor se iau la vârful
organizaţiei;
− conducerea pierde mult timp încercând să determine cum să-şi desfăşoare activităţile mai
eficient, în loc să se îndrepte către nevoile de servicii ale consumatorilor;
− în cadrul organizaţiei, strategiile nu se schimbă prea des, iar când se întâmplă, constituie un
eveniment important;
− greşelile sunt personalizate, astfel încât oamenii sunt lipsiţi de iniţiativă, aceasta fiind tipic o
“cultură bazată pe vină”.
Pe de altă parte, există şi o cultură care acceptă riscul, numită cultură „se poate face” (can do), care
se caracterizează prin:
− inovarea şi motivarea sunt cele mai apreciate valori;
− există preocupare pentru exploatarea oportunităţilor şi cointeresarea personalului;
− luarea deciziilor majore este problema managementului general, iar abilitatea luării deciziilor
de rutină este transmisă întregii organizaţii;
− orientarea principală a organizaţiei este externă, urmărind în general asigurarea serviciilor
clienţilor;
− strategiile şi politicile se schimbă frecvent pentru a reflecta schimbarea circumstanţelor;
− a greşi este destul de acceptabil – chiar încurajat – dar a ascunde greşeala este inacceptabil.
Teoreticienii în domeniul riscurilor, recomandă ca fiind foarte important să înţelegi cultura sau
subculturile organizaţiei în care funcţionezi.
Dacă faci parte dint-o cultură care acceptă riscul, dar în care se manifestă numeroase rezistenţe, va trebui să
compari această gândire cu observaţiile auditului intern.
În acelaşi timp, este important să-i identifici pe cei care acceptă riscul în organizaţiile adverse la risc,
deoarece ei pot să fie nişte “arme periculoase aflate în libertate”, care expun organizaţia la ameninţări
neaşteptate.
În oricare dintre cele două variante, abordarea auditului intern şi recomandările acestora vor trebui să
reflecte clar aceste situaţii.
Există multe beneficii ale încorporării managementului riscului în cultura organizaţiei, printre
care:
− Atenţie mai mare acordată aspectelor care chiar contează;
− Reducerea timpului pierdut de conducere cu disputele;
− Mai puţine surprize;
− Mai mulţi clienţi mulţumiţi;
− Protejare a reputaţiei;
− Mai multă atenţie pentru a face lucrurile corecte într-o manieră corectă;
− Posibilitate mai mare de a atinge obiectivele firmei;
− Mai puţine plângeri;
− Posibilitate sporită de iniţiative de schimbare şi atingerea beneficiilor proiectelor/proiectate;
− Asumare a riscului şi adoptare mult mai informată a deciziilor;
− Sprijin pentru inovare;
− Costuri de asigurare mai reduse.
1
Riscul este un termen foarte des utilizat, dar adesea greşit înţeles. În practică, organizaţiile se
confruntă cu o mare varietate de riscuri, atât interne, cât şi externe, care datorită acestor aspecte, niciodată
nu pot fi avute în vedere 100%.
Pentru management este important să identifice riscurile, să le evalueze şi să stabilească toleranţa la
risc acceptabilă, în ordinea probabilităţii de apariţie şi a iminenţei impactului pe care-l pot produce, prin
aplicarea instrumentelor de control corespunzătoare şi analiza în vederea raportării acestora.
Riscurile posibile sau inerente se identifică pe obiective şi în cadrul acestora pe activităţi sau operaţii,
iar prin exercitarea diferitelor forme de control intern, care limitează/diminuează riscurile, organizaţiile
rămân să administreze numai riscurile potenţiale sau reziduale.
Auditorii interni trebuie să fie primii profesionişti din cadrul organizaţiilor care înţeleg şi
conştientizează riscul şi importanţa gestionării acestuia. Astăzi, auditul intern nu îşi mai concentrează
atenţia pe control, ci pe riscuri, şi, mai mult, pe modul în care se implică managementul general în
administrarea riscurilor.
Conducerea organizaţiei, în conformitate cu cadrul normativ în vigoare, este aceea care trebuie să
identifice riscurile, să organizeze sistemul de administrare a riscurilor şi să monitorizeze evoluţia acestora.
În prezent, în România există şi sunt derulate procesele fundamentale de gestionare a riscurilor în toate
organizaţiile din sectorul public, conform cadrului normativ în vigoare1, dar şi entităţile din celelalte sectoare,
interesate de accesarea fondurilor europene, sunt preocupate de implementarea acestor procese şi a principiilor
guvernanţei corporative.
Din aceste considerente credem că problema managementului riscurilor a depăşit etapa de analiză iniţială şi de
dezvoltare a procesului de gestionare a acestora, şi, în prezent, se îndreaptă spre o etapă de analiză permanentă,
continuă de îmbunătăţire a modului de administrare a riscurilor.
Cuvântul „risc” derivă de la cuvântul italian „risicare”, care înseamnă „a îndrăzni”. În acest sens,
riscul este o alegere, nu o soartă2. Acţiunile pe care îndrăznim să le întreprindem, acţiuni ce depind de
gradul de libertate pe care îl deţinem sau ni-l asumăm, toate acestea ajută la definirea a ceea ce înseamnă a
fi o persoană umană.
Din această definiţie rezultă că într-adevăr suntem supuşi riscurilor în viaţa de zi cu zi, dar deţinem
controlul în coordonarea lor, deoarece putem schimba multe, dacă avem timpul şi înclinaţia necesare.
În orice activitate pe care o desfăşurăm există riscuri. Ele se manifestă într-un sens sau altul, chiar dacă
noi nu vrem să recunoaştem. Însă cel mai înţelept este să înţelegem riscurile şi să încercăm să le administrăm,
poate chiar în folosul nostru.
În literatura de specialitate există mai multe definiţii ale conceptului de risc, pe care le prezentam în
continuare.
Riscul este posibilitatea sau şansa ca ceva să se întâmple care va avea efect asupra obiectivelor firmei.
Riscul, mai este definit ca fiind incertitudinea unui rezultat îmbrăcând forma unei probabilităţi de
natură pozitivă sau a unei ameninţări, a unor acţiuni sau evenimente şi trebuie administrat din perspectiva
unei combinaţii între posibilitatea de a se întâmpla ceva şi impactul pe care l-ar produce materializarea
acestei posibilităţi.
Riscul, privit în contextul îndeplinirii obiectivelor, prezintă avantaje sau oportunităţi şi dezavantaje
sau ameninţări. Astfel, dacă riscul are un impact negativ asupra atingerii obiectivelor, atunci acesta rămâne
o ameninţare, iar dacă riscul are conotaţii pozitive, acestea se vor constitui în oportunităţi, care pot fi
ignorate sau exploatate.
Percepţia asupra riscului, datorită unui control intern îmbunătăţit se poate transforma din şansa de
pierdere într-o oportunitate de câştig. În concluzie, riscul nu trebuie să fie privit doar dintr-o perspectivă
negativă.
Riscul este un concept exprimat în termeni ai probabilităţii şi impactului, al cărui produs ne dă
valoarea riscului, cu incertitudini în cristalizare precum: natura aleatorie a evenimentelor, cunoştinţele
incomplete, dezvoltarea insuficientă a controlului, lipsă de timp ş.a., aşa cum rezultă din figura – Matricea
riscurilor.
2
Figura Matricea riscurilor
În practică, riscul se bazează pe incertitudini, dar şi pe percepţia incertitudinii şi în acest sens se
impune să vedem dacă avem informaţii pentru a putea administra riscurile.
Practicienii recomandă responsabililor riscurilor să ţină cont de faptul că riscurile nu pot fi evitate şi în aceste
condiţii trebuie să aibă preocupări numai pentru a ţine riscurile „în frâu”, adică pentru a le menţine la un nivel
considerat acceptabil, tolerat de organizaţie, şi să nu încerce eliminarea totală a acestora, deoarece această acţiune
poate conduce la apariţia altor riscuri absolut neaşteptate.
În literatura de specialitate, pe lângă conceptul de risc sunt definite şi alte concepte şi anume:
Riscul inerent este riscul care există în mod natural în orice activitate, definit ca fiind riscul brut sau
total, care apare înainte de aplicarea unor măsuri de intervenţie pentru reducerea lui, respectiv controlul
intern. Orice am face există un risc inerent, el este un dat.
Riscul rezidual este riscul care rămâne după exercitarea controlului intern, care trebuie acceptat şi
supravegheat pentru a se menţine în limitele apetitului de risc şi se mai numeşte şi riscul net. Întotdeauna
va rămâne un risc rezidual, deoarece el nu poate fi eliminat în totalitate fără urmări, şi nici nu este indicat.
Iniţial riscul rezidual este egal cu riscul inerent, dar începe să scadă prin aplicarea sistemelor de control.
Apetitul de risc reprezintă nivelul de expunere la risc pe care organizaţia este dispusă să îl accepte, respectiv
riscul tolerat de organizaţie, adică riscul rezidual.
Dacă totuşi toleranţa la riscului planează ameninţător în organizaţie la diferitele sale niveluri, atunci
se impune şi stabilirea indicatorilor cheie de performanţă pentru a stabili nivelul de risc acceptat de
Consiliul de administraţie, astfel încât organizaţia să nu fie atrasă într-o situaţie haotică care să îngreuneze
sau să facă imposibilă atingerea obiectivelor.
În acest sens, de multe ori, se face confuzie între riscul net şi riscul brut. Riscul, înainte de a fi măsurat
pentru a fi administrat este riscul brut sau ceea ce numim riscul inerent. Riscul, după ce a fost administrat
este riscul net, sau ceea ce numim riscul rezidual.
Soluţia viabilă a gestionării riscurilor o reprezintă găsirea unui echilibru în care riscul cu care
convieţuim - riscul rezidual - să fie egal cu riscul pe care suntem pregătiţi să îl tolerăm - apetitul de risc.
Luând în considerare faptul că resursele disponibile în procesul de gestionare a riscurilor sunt limitate
şi riscurile nu pot fi evitate, fiecare organizaţie trebuie să îşi ia toate măsurile necesare până la nivelul
acceptat, considerat tolerabil pentru organizaţie, respectiv apetitul de risc al acestora.
O modalitate de gestionare a riscului o reprezintă Registrul riscurilor care se organizează la nivelul entităţii
şi în responsabilitatea managementului general.
Menţionăm că, în România acest model al Registrului de riscuri este obligatoriu pentru entităţile din
sectorul public.
3
Responsabilitatea elaborării registrului riscurilor revine fiecărui nivel al managementului de linie. Din
aceste motive, fiecare manager trebuie să elaboreze, pentru compartimentul pe care îl coordonează, propriul
registru de riscuri, iar prin centralizarea acestora, se obţine Registrul riscurilor la nivel general al entităţii.
Conducătorul entităţii trebuie să stabilească un responsabil cu elaborarea Registrului riscurilor entităţii şi
căruia îi revine şi responsabilitatea actualizării sistematice a acestuia, cel mai târziu anual.
În lume există mai multe standarde privind managementul riscului dar Standardul de Risc al Australiei şi
Noii Zeelande nr. 4360/2004 este singurul acceptat şi recunoscut.
• Riscuri strategice sunt riscurile care afectează scopurile pe termen mediu şi lung precum şi
obiectivele organizaţiei. Gestionarea acestor riscuri este de obicei în sarcina Comitetului de
Management al Riscului (RMC) şi cuprind:
− Politice: eşecul îndeplinirii politicii guvernamentale;
− Economice: implicaţii ale schimbărilor apărute în economie (spre exemplu inflaţia, ratele
dobânzii ş.a.);
− Sociale: neputinţa răspunderii la efectele schimbărilor apărute în tendinţele demografice şi
socio-economice, neputinţa reflectării acestora în obiectivele companiei;
− Privind clienţii: eşecul identificării nevoilor curente şi în schimbare ale clienţilor;
• Riscuri operaţionale sunt riscurile pe care managerii şi conducerea le vor întâlni în activitatea
zilnică şi anume:
− Competiţionale: eşecul de a conferi valoare banilor, calitate produselor ş.a.
− Fizice/Materiale: pericole legate de incendii, securitate, prevenirea accidentelor, sănătate şi
siguranţă (spre exemplu clădiri, vehicule, maşini şi echipamente).
− Contractuale: eşecul celor contractaţi de a asigura serviciile sau produsele la timp, costul
sau specificaţiile.
• Riscuri financiare sunt riscuri semnificative care rămân în permanenţă în atenţia
managementului şi pot fi eşecuri în planificarea financiară, controlul bugetar, gestiunea
fondurilor şi monitorizări sau raportări incorecte sau inadecvate.
• Riscuri privind reputaţia sau brandul sunt acele riscuri asociate cu zona de mass-media şi orice
alte acţiuni sau inacţiuni care pot avaria marca sau reputaţia companiei.
• Riscuri informaţionale şi legate de IT sunt riscuri legate de tehnologia IT care se află într-o
permanentă mişcare şi anume:
− Tehnologice: lipsa capacităţii de confruntare cu ritmul şi magnitudinea schimbărilor, lipsa
abilităţii de a folosi tehnologia ca răspuns la nevoile în schimbare, eşecuri interne de natură
tehnologică, eşecuri privind achiziţionarea tehnologiei.
− Fizice legate de IT: defecţiuni ale echipamentelor IT, de telefonie ş.a.
• Riscuri privind personalul
− Profesionale: eşecuri datorate lipsei de discernământ financiar, lipsa unui personal specializat,
lipsa consultării privind dezvoltările ş.a.
5
− Conducerea şi managementul: lipsa de personal cheie sau inabilitatea păstrării acestuia,
imposibilitatea asigurării unei pregătiri profesionale adecvate.
Există multe metode care pot fi folosite pentru a identifica potenţialele riscuri:
− workshop-uri (întâlniri de lucru);
− planificare de scenarii;
− analizarea creanţelor trecute şi a altor pierderi;
− analizarea incidentelor/eşecurilor trecute;
− inspecţiile privind sănătatea sau siguranţa;
− training pentru începători;
− revedere a performanţelor trecute;
− realizarea feed-back-ului între conducere şi clienţi.
Odată identificate zonele de risc potenţial, ele trebuie analizate prin stabilirea impactului şi a
probabilităţii lor de apariţie pe baza unei matrice de analiză a riscurilor.
În practică, mai există şi alte categorii de riscuri având în vedere anumite criterii, astfel:
• probabilitatea apariţiei:
− riscuri potenţiale, susceptibile să se producă dacă nu se instituie un control eficient care să le
prevină şi/sau să le corecteze;
− riscuri posibile, reprezentate de acele riscuri potenţiale pentru care managementul nu a
întreprins cele mai eficiente măsuri pentru a le elimina sau pentru a le diminua impactul.
• natura riscurilor:
− riscuri strategice, referitoare la realizarea unor acţiuni greşite, legate de organizare, de
resurse, de mediu, de dotarea IT ş.a.
− riscuri informaţionale, referitoare la adoptarea unor sisteme nesigure sau neperformante
pentru prelucrarea informaţiilor şi pentru raportare;
− riscuri financiare, legate de pierderea unor resurse financiare sau acumularea de pasive
inacceptabile.
• natura activităţilor şi operaţiilor desfăşurate în cadrul entităţilor:
− riscuri legislative;
− riscuri financiare;
− riscuri de funcţionare;
− riscuri comerciale;
− riscuri juridice;
− riscuri sociale;
− riscuri de imagine;
− riscuri legate de mediu;
− riscuri ce privesc securitatea informaţiilor ş.a.
• specificul entităţilor:
− riscuri generale, privind situaţia economică, organizarea şi atitudinea conducerii ş.a.;
− riscuri legate de natura activităţilor/proceselor/operaţiilor specifice;
− riscuri privind conceperea şi funcţionarea sistemelor;
− riscuri referitoare la conceperea şi actualizarea procedurilor.
Desigur, există şi alte clasificări ale riscurilor, dar în activitatea practică a organizaţiilor, elementele
cele mai importante referitoare la riscuri rămân cele legate de:
• probabilitatea de apariţie a riscurilor;
• nivelul impactului, respectiv gravitatea consecinţelor şi durata acestora, în cazul în care s-ar
produce.
Problematica gestionării riscurilor, în conformitate cu documentul menţionat mai sus, se află în
totalitate în coordonarea managementului general, care pentru realizarea acestor atribuţii majore va trebui
să reorganizeze întregul sistem de control intern şi să responsabilizeze întregului personal din cadrul
organizaţiei.
6
2. Evaluarea riscurilor
În această etapă se evaluează importanţa riscurilor care au fost identificate şi ar trebui să graviteze în jurul
componentelor bidimensionale impact şi vulnerabilitate.
Marea majoritate a riscurilor se pretează la o diagnosticare numerică, în special riscurile financiare sau cu
conotaţii financiare, dar există şi riscuri a căror evaluare are o perspectivă mult mai subiectivă, spre exemplu riscul
de imagine, riscul de reputaţie, riscul de brand ş.a. Din aceste considerente, evaluarea riscurilor devine mai mult
o artă decât o ştiinţă. În concluzie, putem să considerăm că în România se utilizează o abordare combinată a celor
două modalităţi de evaluare a riscurilor prezentate mai sus.
Cu toate acestea, se impune, în cadrul organizaţiilor să adoptăm un sistem – cadru de evaluare a
riscurilor care să se bazeze pe dovezi imparţiale şi independente, să aibă în vedere întreaga gamă de factori
interesaţi şi să evite confuziile între evaluarea riscurilor şi aprecierea tolerabilităţii acestora.
Evaluarea riscurilor va fi realizată prin:
- aprecierea atât a probabilităţii de materializare a riscurilor, cât şi a impactului riscului în situaţia
materializării acestuia;
- clasificarea pe trei nivele: mare / mediu / mic a fiecărui risc, care vor conduce la o matrice 3 x 3.
În continuare, prezentăm un model concret de constituire a matricei pentru evaluarea riscurilor din
cadrul organizaţiei, aşa cum este redat şi comentat în figura – Matricea evaluării riscurilor, în funcţie de
coordonatele probabilităţii şi impactului, structurate fiecare pe o scară de trei nivele.
O dată la Ridicat
4 7 9
1- 2 ani ă
PROBABILITATEA
O dată la Moder
2 5 8
3 – 10 ani ată
O dată la
10 ani 1 3 6
Redusă
sau mai
puţin
0 Sesizabil Semnificativ Critic
IMPACTUL
100.000 –
Sub 100.000 Peste 500.000
500.000
Atribuţii Încălcări Încălcări
semnificative normative normative
neîndeplinite majore sau critice sau
sau plângeri apariţii în apariţii în presa
frecvente presa locală naţională
8
− riscul de control este riscul ca sistemul de control intern al entităţii să nu împiedice
sau să nu corecteze în totalitate efectele riscurilor inerente, care pot să apară şi care rămân oricât
control s-ar efectua. Riscul de control este strâns legat de mediul de control în care funcţionează
organizaţia, dar şi de activităţile de control implementate, care trebuie astfel concepute încât să
aducă riscurile şi să le menţină la nivelul tolerabilităţii, respectiv în limitele apetitului de risc
stabilit de consiliul de administraţie. În general, deficienţele constatate în sistemul de control
intern reprezintă riscuri de control.
Riscul de audit
Riscul de control
Riscul inerent
11
• raportarea managementului de linie responsabil cu administrarea riscurilor, către managementul
superior, cu privire la activităţile pe care le-au întreprins, cel puţin anual, la închiderea exerciţiului
financiar, pe lângă cele trimestriale şi semestriale, pentru a actualiza registrul riscurilor şi sistemul
de control managerial, care să menţină un nivel corespunzător de funcţionalitate procedurile
operaţionale de lucru;
• echipe specializate de revizie şi asigurare a actualizării procesului general de administrare a riscurilor,
prin care este analizată activitatea managementului de linie cu privire la responsabilităţile ce le revin în
domeniul de activitate pe care îl coordonează în privinţa riscurilor şi sistemelor de control managerial;
• constituirea comitetelor de risc.
12