MANAGEMENTUL RISCURILOR

Printre domeniile care afectează auditul intern mentionam cultura organizaţiei şi atitudinea sa faţă de risc.
În continuare, vom descrie cele două culturi importante ale riscului, deşi în practică în majoritatea
organizaţiilor realitatea tinde să fie o combinaţie a celor două.
Cultura adversă riscului se caracterizează prin:
− conducerea tinde să se limiteze la ceea ce ştie;
− stabilitatea, experienţa şi cunoştinţele sunt valorile esenţiale şi sunt atributele cele mai căutate;
− organizaţia este foarte reactivă, tinde să aştepte să se întâmple ceva rău şi abia apoi acţionează;
− de obicei, organizaţia este extrem de ierarhizată şi majoritatea deciziilor se iau la vârful
organizaţiei;
− conducerea pierde mult timp încercând să determine cum să-şi desfăşoare activităţile mai
eficient, în loc să se îndrepte către nevoile de servicii ale consumatorilor;
− în cadrul organizaţiei, strategiile nu se schimbă prea des, iar când se întâmplă, constituie un
eveniment important;
− greşelile sunt personalizate, astfel încât oamenii sunt lipsiţi de iniţiativă, aceasta fiind tipic o
“cultură bazată pe vină”.
Pe de altă parte, există şi o cultură care acceptă riscul, numită cultură „se poate face” (can do), care
se caracterizează prin:
− inovarea şi motivarea sunt cele mai apreciate valori;
− există preocupare pentru exploatarea oportunităţilor şi cointeresarea personalului;
− luarea deciziilor majore este problema managementului general, iar abilitatea luării deciziilor
de rutină este transmisă întregii organizaţii;
− orientarea principală a organizaţiei este externă, urmărind în general asigurarea serviciilor
clienţilor;
− strategiile şi politicile se schimbă frecvent pentru a reflecta schimbarea circumstanţelor;
− a greşi este destul de acceptabil – chiar încurajat – dar a ascunde greşeala este inacceptabil.
Teoreticienii în domeniul riscurilor, recomandă ca fiind foarte important să înţelegi cultura sau
subculturile organizaţiei în care funcţionezi.
Dacă faci parte dint-o cultură care acceptă riscul, dar în care se manifestă numeroase rezistenţe, va trebui să
compari această gândire cu observaţiile auditului intern.
În acelaşi timp, este important să-i identifici pe cei care acceptă riscul în organizaţiile adverse la risc,
deoarece ei pot să fie nişte “arme periculoase aflate în libertate”, care expun organizaţia la ameninţări
neaşteptate.
În oricare dintre cele două variante, abordarea auditului intern şi recomandările acestora vor trebui să
reflecte clar aceste situaţii.
Există multe beneficii ale încorporării managementului riscului în cultura organizaţiei, printre
care:
− Atenţie mai mare acordată aspectelor care chiar contează;
− Reducerea timpului pierdut de conducere cu disputele;
− Mai puţine surprize;
− Mai mulţi clienţi mulţumiţi;
− Protejare a reputaţiei;
− Mai multă atenţie pentru a face lucrurile corecte într-o manieră corectă;
− Posibilitate mai mare de a atinge obiectivele firmei;
− Mai puţine plângeri;
− Posibilitate sporită de iniţiative de schimbare şi atingerea beneficiilor proiectelor/proiectate;
− Asumare a riscului şi adoptare mult mai informată a deciziilor;
− Sprijin pentru inovare;
− Costuri de asigurare mai reduse.

1
 Riscul este un termen foarte des utilizat, dar adesea greşit înţeles. În practică, organizaţiile se
confruntă cu o mare varietate de riscuri, atât interne, cât şi externe, care datorită acestor aspecte, niciodată
nu pot fi avute în vedere 100%.
Pentru management este important să identifice riscurile, să le evalueze şi să stabilească toleranţa la
risc acceptabilă, în ordinea probabilităţii de apariţie şi a iminenţei impactului pe care-l pot produce, prin
aplicarea instrumentelor de control corespunzătoare şi analiza în vederea raportării acestora.
Riscurile posibile sau inerente se identifică pe obiective şi în cadrul acestora pe activităţi sau operaţii,
iar prin exercitarea diferitelor forme de control intern, care limitează/diminuează riscurile, organizaţiile
rămân să administreze numai riscurile potenţiale sau reziduale.
Auditorii interni trebuie să fie primii profesionişti din cadrul organizaţiilor care înţeleg şi
conştientizează riscul şi importanţa gestionării acestuia. Astăzi, auditul intern nu îşi mai concentrează
atenţia pe control, ci pe riscuri, şi, mai mult, pe modul în care se implică managementul general în
administrarea riscurilor.
Conducerea organizaţiei, în conformitate cu cadrul normativ în vigoare, este aceea care trebuie să
identifice riscurile, să organizeze sistemul de administrare a riscurilor şi să monitorizeze evoluţia acestora.
În prezent, în România există şi sunt derulate procesele fundamentale de gestionare a riscurilor în toate
organizaţiile din sectorul public, conform cadrului normativ în vigoare1, dar şi entităţile din celelalte sectoare,
interesate de accesarea fondurilor europene, sunt preocupate de implementarea acestor procese şi a principiilor
guvernanţei corporative.
Din aceste considerente credem că problema managementului riscurilor a depăşit etapa de analiză iniţială şi de
dezvoltare a procesului de gestionare a acestora, şi, în prezent, se îndreaptă spre o etapă de analiză permanentă,
continuă de îmbunătăţire a modului de administrare a riscurilor.

Cuvântul „risc” derivă de la cuvântul italian „risicare”, care înseamnă „a îndrăzni”. În acest sens,
riscul este o alegere, nu o soartă2. Acţiunile pe care îndrăznim să le întreprindem, acţiuni ce depind de
gradul de libertate pe care îl deţinem sau ni-l asumăm, toate acestea ajută la definirea a ceea ce înseamnă a
fi o persoană umană.
Din această definiţie rezultă că într-adevăr suntem supuşi riscurilor în viaţa de zi cu zi, dar deţinem
controlul în coordonarea lor, deoarece putem schimba multe, dacă avem timpul şi înclinaţia necesare.
În orice activitate pe care o desfăşurăm există riscuri. Ele se manifestă într-un sens sau altul, chiar dacă
noi nu vrem să recunoaştem. Însă cel mai înţelept este să înţelegem riscurile şi să încercăm să le administrăm,
poate chiar în folosul nostru.
În literatura de specialitate există mai multe definiţii ale conceptului de risc, pe care le prezentam în
continuare.
Riscul este posibilitatea sau şansa ca ceva să se întâmple care va avea efect asupra obiectivelor firmei.
Riscul, mai este definit ca fiind incertitudinea unui rezultat îmbrăcând forma unei probabilităţi de
natură pozitivă sau a unei ameninţări, a unor acţiuni sau evenimente şi trebuie administrat din perspectiva
unei combinaţii între posibilitatea de a se întâmpla ceva şi impactul pe care l-ar produce materializarea
acestei posibilităţi.
Riscul, privit în contextul îndeplinirii obiectivelor, prezintă avantaje sau oportunităţi şi dezavantaje
sau ameninţări. Astfel, dacă riscul are un impact negativ asupra atingerii obiectivelor, atunci acesta rămâne
o ameninţare, iar dacă riscul are conotaţii pozitive, acestea se vor constitui în oportunităţi, care pot fi
ignorate sau exploatate.
Percepţia asupra riscului, datorită unui control intern îmbunătăţit se poate transforma din şansa de
pierdere într-o oportunitate de câştig. În concluzie, riscul nu trebuie să fie privit doar dintr-o perspectivă
negativă.
Riscul este un concept exprimat în termeni ai probabilităţii şi impactului, al cărui produs ne dă
valoarea riscului, cu incertitudini în cristalizare precum: natura aleatorie a evenimentelor, cunoştinţele
incomplete, dezvoltarea insuficientă a controlului, lipsă de timp ş.a., aşa cum rezultă din figura – Matricea
riscurilor.

2
 Figura Matricea riscurilor
În practică, riscul se bazează pe incertitudini, dar şi pe percepţia incertitudinii şi în acest sens se
impune să vedem dacă avem informaţii pentru a putea administra riscurile.
Practicienii recomandă responsabililor riscurilor să ţină cont de faptul că riscurile nu pot fi evitate şi în aceste
condiţii trebuie să aibă preocupări numai pentru a ţine riscurile „în frâu”, adică pentru a le menţine la un nivel
considerat acceptabil, tolerat de organizaţie, şi să nu încerce eliminarea totală a acestora, deoarece această acţiune
poate conduce la apariţia altor riscuri absolut neaşteptate.
În literatura de specialitate, pe lângă conceptul de risc sunt definite şi alte concepte şi anume:
Riscul inerent este riscul care există în mod natural în orice activitate, definit ca fiind riscul brut sau
total, care apare înainte de aplicarea unor măsuri de intervenţie pentru reducerea lui, respectiv controlul
intern. Orice am face există un risc inerent, el este un dat.
Riscul rezidual este riscul care rămâne după exercitarea controlului intern, care trebuie acceptat şi
supravegheat pentru a se menţine în limitele apetitului de risc şi se mai numeşte şi riscul net. Întotdeauna
va rămâne un risc rezidual, deoarece el nu poate fi eliminat în totalitate fără urmări, şi nici nu este indicat.
Iniţial riscul rezidual este egal cu riscul inerent, dar începe să scadă prin aplicarea sistemelor de control.
Apetitul de risc reprezintă nivelul de expunere la risc pe care organizaţia este dispusă să îl accepte, respectiv
riscul tolerat de organizaţie, adică riscul rezidual.
Dacă totuşi toleranţa la riscului planează ameninţător în organizaţie la diferitele sale niveluri, atunci
se impune şi stabilirea indicatorilor cheie de performanţă pentru a stabili nivelul de risc acceptat de
Consiliul de administraţie, astfel încât organizaţia să nu fie atrasă într-o situaţie haotică care să îngreuneze
sau să facă imposibilă atingerea obiectivelor.
În acest sens, de multe ori, se face confuzie între riscul net şi riscul brut. Riscul, înainte de a fi măsurat
pentru a fi administrat este riscul brut sau ceea ce numim riscul inerent. Riscul, după ce a fost administrat
este riscul net, sau ceea ce numim riscul rezidual.
Soluţia viabilă a gestionării riscurilor o reprezintă găsirea unui echilibru în care riscul cu care
convieţuim - riscul rezidual - să fie egal cu riscul pe care suntem pregătiţi să îl tolerăm - apetitul de risc.
Luând în considerare faptul că resursele disponibile în procesul de gestionare a riscurilor sunt limitate
şi riscurile nu pot fi evitate, fiecare organizaţie trebuie să îşi ia toate măsurile necesare până la nivelul
acceptat, considerat tolerabil pentru organizaţie, respectiv apetitul de risc al acestora.

O modalitate de gestionare a riscului o reprezintă Registrul riscurilor care se organizează la nivelul entităţii
şi în responsabilitatea managementului general.
Menţionăm că, în România acest model al Registrului de riscuri este obligatoriu pentru entităţile din
sectorul public.

3
 Responsabilitatea elaborării registrului riscurilor revine fiecărui nivel al managementului de linie. Din
aceste motive, fiecare manager trebuie să elaboreze, pentru compartimentul pe care îl coordonează, propriul
registru de riscuri, iar prin centralizarea acestora, se obţine Registrul riscurilor la nivel general al entităţii.
Conducătorul entităţii trebuie să stabilească un responsabil cu elaborarea Registrului riscurilor entităţii şi
căruia îi revine şi responsabilitatea actualizării sistematice a acestuia, cel mai târziu anual.
În lume există mai multe standarde privind managementul riscului dar Standardul de Risc al Australiei şi
Noii Zeelande nr. 4360/2004 este singurul acceptat şi recunoscut.

POLITICA DE RISC ŞI STRATEGIA RISCURILOR

Organizaţiile din dorinţa de a stăpâni riscurile cu care se confruntă încearcă să-şi elaboreze o politică
în domeniu şi pe baza acesteia strategia privind administrarea riscurilor.
În situaţia în care procesul de management riscului nu se află în supravegherea unui membru al
Consiliului de administraţie atunci va exista o mai mare probabilitate ca această activitate să se desfăşoare
eficient.
Raportul King (Africa de Sud) declară aceasta foarte clar:
Consiliul de administraţie este responsabil pentru întregul proces de management al riscurilor, precum
şi pentru formarea opiniei sale asupra eficacităţii procesului. Managementul este responsabil în faţa consiliului
de administraţie pentru conceperea, implementarea şi monitorizarea procesului de management al riscurilor
şi pentru integrarea acestuia în activităţile zilnice ale companiei. Consiliul de administraţie ar trebui să
stabilească politicile şi strategia de risc în legătură cu directorii executivi şi managementul de conducere.
Aceste politici ar trebui să fie comunicate, în mod clar, tuturor angajaţilor pentru a se asigura că strategia de
risc este inclusă în limbajul şi cultura companiei.
În practică, Consiliul de administraţie poate stabili în cadrul politicii în domeniul riscurilor un comitet
de management al riscurilor sau să însărcineze comitetul de audit cu consilierea şi supravegherea acestui
proces cu scopul de a asigura existenţa unui sistem fiabil de administrare a riscurilor. Indiferent de modul de
organizare, Consiliul de administraţie rămâne responsabil pentru implementarea unui management adecvat al
riscurilor.
Politica în domeniul riscurilor va funcţiona numai dacă va exista coordonarea din partea Consiliului
de administraţie, prin nominalizarea unui membru responsabil al acestuia şi asigurarea resurselor necesare
implementării acestui proces sau ciclu al riscurilor / politica de riscuri şi va fi reprezentată de un document
care să ofere o perspectivă asupra poziţiei organizaţiei faţă de managementul riscurilor împreună cu un
mesaj clar din partea Consiliului de administraţie. Pe baza acestuia se va elabora strategia de risc a
organizaţiei care va fi mai detaliată şi va dezvolta o îndrumare adecvată pentru punerea în practică a politicii
de riscuri.

ETAPELE PROCESULUI DE GESTIONARE A RISCULUI

Procesul de gestionare a riscurilor implică realizarea unor activităţi-cheie într-o succesiune logică,
după cum urmează:
• identificarea riscurilor;
• evaluarea riscurilor;
• controlarea riscurilor;
• analiza şi raportarea riscurilor.
1. Identificarea riscurilor
O preocupare majoră pentru organizaţii o reprezintă identificarea riscurilor cu care se confruntă
acestea. Toate riscurile imaginabile ar trebui identificate şi înregistrate.
Deşi, nu există un model de documentare în vederea identificării riscurilor, această activitate
reprezintă primul pas în constituirea unui profil al riscurilor în vederea analizei acestora în cadrul
organizaţiilor.
Identificarea riscurilor implică două componente, respectiv identificarea iniţială a riscurilor pe
obiective, dar şi o activitate de identificare continuă a riscurilor noi, a celor datorate schimbărilor intervenite
în organizaţie sau a celor care apar datorită modificării legislaţiei ş.a.
În practică, riscurile trebuie să fie relaţionate faţă de obiective şi să poată fi evaluate şi prioritizate, în strânsă
legătură cu obiectivele, pornind de la obiectivele individuale şi continuând cu obiectivele de ansamblu ale entităţii.
4
 Pentru toate riscurile identificate, trebuie să se stabilească persoanele responsabile care vor gestiona
şi monitoriza, în mod permanent riscul respectiv. Responsabilul de risc se impune să aibă autoritatea
necesară care să asigure gestionarea cu eficacitate a riscurilor.
CATEGORII DE RISCURI

Figura Departamentul de management al riscurilor

• Riscuri strategice sunt riscurile care afectează scopurile pe termen mediu şi lung precum şi
obiectivele organizaţiei. Gestionarea acestor riscuri este de obicei în sarcina Comitetului de
Management al Riscului (RMC) şi cuprind:
− Politice: eşecul îndeplinirii politicii guvernamentale;
− Economice: implicaţii ale schimbărilor apărute în economie (spre exemplu inflaţia, ratele
dobânzii ş.a.);
− Sociale: neputinţa răspunderii la efectele schimbărilor apărute în tendinţele demografice şi
socio-economice, neputinţa reflectării acestora în obiectivele companiei;
− Privind clienţii: eşecul identificării nevoilor curente şi în schimbare ale clienţilor;
• Riscuri operaţionale sunt riscurile pe care managerii şi conducerea le vor întâlni în activitatea
zilnică şi anume:
− Competiţionale: eşecul de a conferi valoare banilor, calitate produselor ş.a.
− Fizice/Materiale: pericole legate de incendii, securitate, prevenirea accidentelor, sănătate şi
siguranţă (spre exemplu clădiri, vehicule, maşini şi echipamente).
− Contractuale: eşecul celor contractaţi de a asigura serviciile sau produsele la timp, costul
sau specificaţiile.
• Riscuri financiare sunt riscuri semnificative care rămân în permanenţă în atenţia
managementului şi pot fi eşecuri în planificarea financiară, controlul bugetar, gestiunea
fondurilor şi monitorizări sau raportări incorecte sau inadecvate.
• Riscuri privind reputaţia sau brandul sunt acele riscuri asociate cu zona de mass-media şi orice
alte acţiuni sau inacţiuni care pot avaria marca sau reputaţia companiei.
• Riscuri informaţionale şi legate de IT sunt riscuri legate de tehnologia IT care se află într-o
permanentă mişcare şi anume:
− Tehnologice: lipsa capacităţii de confruntare cu ritmul şi magnitudinea schimbărilor, lipsa
abilităţii de a folosi tehnologia ca răspuns la nevoile în schimbare, eşecuri interne de natură
tehnologică, eşecuri privind achiziţionarea tehnologiei.
− Fizice legate de IT: defecţiuni ale echipamentelor IT, de telefonie ş.a.
• Riscuri privind personalul
− Profesionale: eşecuri datorate lipsei de discernământ financiar, lipsa unui personal specializat,
lipsa consultării privind dezvoltările ş.a.

5
 − Conducerea şi managementul: lipsa de personal cheie sau inabilitatea păstrării acestuia,
imposibilitatea asigurării unei pregătiri profesionale adecvate.
Există multe metode care pot fi folosite pentru a identifica potenţialele riscuri:
− workshop-uri (întâlniri de lucru);
− planificare de scenarii;
− analizarea creanţelor trecute şi a altor pierderi;
− analizarea incidentelor/eşecurilor trecute;
− inspecţiile privind sănătatea sau siguranţa;
− training pentru începători;
− revedere a performanţelor trecute;
− realizarea feed-back-ului între conducere şi clienţi.
Odată identificate zonele de risc potenţial, ele trebuie analizate prin stabilirea impactului şi a
probabilităţii lor de apariţie pe baza unei matrice de analiză a riscurilor.
În practică, mai există şi alte categorii de riscuri având în vedere anumite criterii, astfel:
• probabilitatea apariţiei:
− riscuri potenţiale, susceptibile să se producă dacă nu se instituie un control eficient care să le
prevină şi/sau să le corecteze;
− riscuri posibile, reprezentate de acele riscuri potenţiale pentru care managementul nu a
întreprins cele mai eficiente măsuri pentru a le elimina sau pentru a le diminua impactul.
• natura riscurilor:
− riscuri strategice, referitoare la realizarea unor acţiuni greşite, legate de organizare, de
resurse, de mediu, de dotarea IT ş.a.
− riscuri informaţionale, referitoare la adoptarea unor sisteme nesigure sau neperformante
pentru prelucrarea informaţiilor şi pentru raportare;
− riscuri financiare, legate de pierderea unor resurse financiare sau acumularea de pasive
inacceptabile.
• natura activităţilor şi operaţiilor desfăşurate în cadrul entităţilor:
− riscuri legislative;
− riscuri financiare;
− riscuri de funcţionare;
− riscuri comerciale;
− riscuri juridice;
− riscuri sociale;
− riscuri de imagine;
− riscuri legate de mediu;
− riscuri ce privesc securitatea informaţiilor ş.a.
• specificul entităţilor:
− riscuri generale, privind situaţia economică, organizarea şi atitudinea conducerii ş.a.;
− riscuri legate de natura activităţilor/proceselor/operaţiilor specifice;
− riscuri privind conceperea şi funcţionarea sistemelor;
− riscuri referitoare la conceperea şi actualizarea procedurilor.
Desigur, există şi alte clasificări ale riscurilor, dar în activitatea practică a organizaţiilor, elementele
cele mai importante referitoare la riscuri rămân cele legate de:
• probabilitatea de apariţie a riscurilor;
• nivelul impactului, respectiv gravitatea consecinţelor şi durata acestora, în cazul în care s-ar
produce.
Problematica gestionării riscurilor, în conformitate cu documentul menţionat mai sus, se află în
totalitate în coordonarea managementului general, care pentru realizarea acestor atribuţii majore va trebui
să reorganizeze întregul sistem de control intern şi să responsabilizeze întregului personal din cadrul
organizaţiei.

6
2. Evaluarea riscurilor
În această etapă se evaluează importanţa riscurilor care au fost identificate şi ar trebui să graviteze în jurul
componentelor bidimensionale impact şi vulnerabilitate.
Marea majoritate a riscurilor se pretează la o diagnosticare numerică, în special riscurile financiare sau cu
conotaţii financiare, dar există şi riscuri a căror evaluare are o perspectivă mult mai subiectivă, spre exemplu riscul
de imagine, riscul de reputaţie, riscul de brand ş.a. Din aceste considerente, evaluarea riscurilor devine mai mult
o artă decât o ştiinţă. În concluzie, putem să considerăm că în România se utilizează o abordare combinată a celor
două modalităţi de evaluare a riscurilor prezentate mai sus.
Cu toate acestea, se impune, în cadrul organizaţiilor să adoptăm un sistem – cadru de evaluare a
riscurilor care să se bazeze pe dovezi imparţiale şi independente, să aibă în vedere întreaga gamă de factori
interesaţi şi să evite confuziile între evaluarea riscurilor şi aprecierea tolerabilităţii acestora.
Evaluarea riscurilor va fi realizată prin:
- aprecierea atât a probabilităţii de materializare a riscurilor, cât şi a impactului riscului în situaţia
materializării acestuia;
- clasificarea pe trei nivele: mare / mediu / mic a fiecărui risc, care vor conduce la o matrice 3 x 3.
În continuare, prezentăm un model concret de constituire a matricei pentru evaluarea riscurilor din
cadrul organizaţiei, aşa cum este redat şi comentat în figura – Matricea evaluării riscurilor, în funcţie de
coordonatele probabilităţii şi impactului, structurate fiecare pe o scară de trei nivele.

O dată la Ridicat
4 7 9
1- 2 ani ă
PROBABILITATEA

O dată la Moder
2 5 8
3 – 10 ani ată
O dată la
10 ani 1 3 6
Redusă
sau mai
puţin
0 Sesizabil Semnificativ Critic

IMPACTUL
100.000 –
Sub 100.000 Peste 500.000
500.000
Atribuţii Încălcări Încălcări
semnificative normative normative
neîndeplinite majore sau critice sau
sau plângeri apariţii în apariţii în presa
frecvente presa locală naţională

Figura Matricea evaluării riscurilor

Probabilitatea apariţiei se descrie, spre exemplu, pe verticala matricei în funcţie de specificul
organizaţiei şi de tipurile sale de risc şi poate fi:
• Mare – foarte probabil să se întâmple (în 1-2 ani);
• Medie – este probabil să se petreacă mai puţin frecvent şi este mai dificil de anticipat (probabil să se
întâmple o dată la fiecare 3-10 ani);
• Mică – foarte puţin probabil să aibă loc (o dată la fiecare 10 ani sau chiar mai puţin frecvent).
Impactul asupra organizaţiei se descrie, spre exemplu, pe orizontala matricei după specificul
organizaţiei şi tipurile sale de risc şi poate fi:
• Ridicat – efect catastrofic asupra operaţiunii:
− pierderi financiare uriaşe, respectiv mai mult de 5% din totalul costurilor sau veniturilor;
− întreruperi majore ale serviciilor (>5 zile);
− moartea unor persoane;
7
 − eşecul complet al proiectului sau întârzieri îndelungate (peste două luni);
− publicitate negativă în presa naţională.
• Moderat – efect semnificativ, dar nu catastrofic asupra operaţiunilor, care se poate materializa în
următoarele forme:
− pierderi financiare semnificative, respectiv mai mult de 2% din totalul costurilor şi
veniturilor;
− întreruperi semnificante ale afacerii (2-5 zile);
− rănirea severă a unei persoane sau a mai multor persoane;
− efect advers asupra proiectului sau derapări semnificative;
− publicitate negativă în presa regională.
• Scăzut – consecinţele nu vor fi atât de severe şi orice pierderi sau implicaţii financiare vor fi
relativ scăzute, astfel:
− un oarecare efect asupra oferirii serviciilor (o zi);
− rănire minoră a unei persoane sau a mai multor persoane;
− câţiva clienţi se plâng.
În practică, nu există un standard absolut pentru realizarea matricei riscurilor. Din aceste considerente,
organizaţia trebuie să ajungă la un raţionament privind nivelul de analiză care serveşte cel mai bine propriile
interese. Astfel, pot fi utilizate şi matricele de 5 x 5 cu următoarele nivele: nesemnificativ / minor / moderat
/ major / grav.
Din analiză, rezultă că nu valoarea absolută a riscului evaluat este importantă, ci gradul de tolerabilitate al
riscului, sau apetitul de risc, al unei organizaţii. Apetitul de risc privit pe ansamblul organizaţiei este de o complexitate
deosebită, de aceea analiza trebuie coborâtă la nivelul individual al riscurilor.
Cunoaşterea riscului inerent va permite o mai bună analiză a situaţiilor în care există lipsă sau exces de
control, sau controlul este supradimensionat. În situaţia în care nivelul riscului inerent se menţine în limitele
apetitului de risc nu va fi necesară alocarea suplimentară de resurse de control riscului respectiv.
Evaluarea riscurilor impune necesitatea cunoaşterii riscului inerent şi determinarea riscului rezidual, care se
completează cu etapa de tratare a riscurilor.
Riscurile odată evaluate, vor conduce la stabilirea priorităţilor acestora în cadrul organizaţiei. Riscurile
majore, respectiv cu cea mai mare prioritate, trebuie să fie permanent avute în vedere la cel mai înalt nivel al
organizaţiei. Priorităţile riscurilor se modifică pe parcursul procesului de gestionare pe măsura tratării acestora.
Evaluarea riscurilor este parte a procesului operaţional şi trebuie să identifice şi să analizeze factorii interni şi externi
care ar putea afecta în mod negativ obiectivele organizaţiei.
Factorii interni pot fi, de exemplu, natura activităţilor entităţii, calificarea personalului, schimbări majore în
organizare sau randamentul angajaţilor, iar factorii externi pot fi: variaţia condiţiilor economice, legislative sau
schimbările intervenite în tehnologie.
Evaluările riscurilor trebuie să acopere toată gama de riscuri din cadrul entităţii, de aceea trebuie lucrat la
toate nivelele ierarhice, mai ales la cele înalte.
Procesul de evaluare trebuie să descopere riscurile măsurabile şi riscurile nemăsurabile, cum ar fi cele
operaţionale, şi să le selecţioneze pe cele controlabile.
Managementul, prin activităţile de control prestabilite, identifică riscurile şi le analizează evoluţia acestora
la nivelul organizaţiei. Departamentul de audit intern, fiind o structură independentă, reia analiza riscurilor
stabilite de management în vederea evaluării sistemului de control intern.
Evaluarea riscurilor este o preocupare atât a auditorilor interni, pe care o realizează în conformitate cu
standardele lor profesionale, cât şi a controlului intern, în vederea oferirii unor servicii performante pentru
management. Spre exemplu: dacă este o recesiune în România, va creşte riscul neîncasării taxelor şi impozitelor
şi în consecinţă trebuie să se reducă cheltuielile pentru a ne încadra în bugete până la sfârşitul anului.
Auditorii interni trebuie să raporteze rezultatele activităţii lor managementului general şi orice slăbiciune
semnificativă descoperită pe parcursul desfăşurării auditului. Cu toate acestea, auditorii se confruntă cu propriul
lor risc: riscul de audit, reprezentat în figura - Structura riscului.
Analiza figurii ne permite efectuarea următoarelor observaţii:
− riscul inerent este riscul ca o eroare materială să se producă şi reprezintă totalitatea riscurilor care
planează asupra organizaţiei şi poate fi constituit din riscuri interne sau externe, măsurabile sau
nemăsurabile;

8
 − riscul de control este riscul ca sistemul de control intern al entităţii să nu împiedice
sau să nu corecteze în totalitate efectele riscurilor inerente, care pot să apară şi care rămân oricât
control s-ar efectua. Riscul de control este strâns legat de mediul de control în care funcţionează
organizaţia, dar şi de activităţile de control implementate, care trebuie astfel concepute încât să
aducă riscurile şi să le menţină la nivelul tolerabilităţii, respectiv în limitele apetitului de risc
stabilit de consiliul de administraţie. În general, deficienţele constatate în sistemul de control
intern reprezintă riscuri de control.

Riscul de audit

Riscul de control

Riscul inerent

Figura Structura riscului

− riscul de audit, care practic rămâne oricât control intern şi audit intern s-ar desfăşura în cadrul
organizaţiei. Acest risc este riscul de nedetectare, respectiv riscul ca o eroare materială să nu
fie depistată, nici de control, nici de auditorii interni sau externi. În practică riscurile de audit
sunt riscuri reziduale care mai pot apărea chiar şi după activitatea de monitorizare a riscurilor.
Riscul de audit reprezintă posibilitatea de a fi formulate recomandări şi concluzii asupra entităţii auditate,
eronate, în mod material, sau neconforme cu realitatea.
În practică, să nu uităm, auditorii interni evaluează şi monitorizează riscurile semnificative privind
entitatea auditată prin compararea propriei liste de riscuri cu riscurile controlului intern. Faptul că nu
analizează toate riscurile nu înseamnă că acceptă slăbiciunile minore.
Evaluarea riscurilor este o problemă permanentă deoarece condiţiile se schimbă mereu, apar noi
reglementări, apar oameni noi, apar obiective de actualitate şi toate aceste schimbări modifică în
permanenţă harta riscurilor, care niciodată nu poate fi definitivată.
Evaluarea riscurilor înseamnă identificarea şi analizarea riscurilor relevante, structurate pe obiecte
3. Controlul riscurilor
Controlul riscurilor se realizează cu scopul de a transforma incertitudinile într-un avantaj pentru
organizaţie, limitând nivelul ameninţărilor.
Orice măsură luată de organizaţie pentru controlul riscurilor se încadrează în cunoscutul „sistem de
control intern”.
Controlul riscurilor presupune realizarea următoarelor activităţi:
− tolerarea;
− tratarea;
9
 − transferarea;
− încetarea;
− oportunităţi.
a. Tolerarea riscurilor
Riscurile pot fi acceptate fără să fie necesară luarea vreunei măsuri. În cazul unor riscuri, chiar dacă cu
greu sunt tolerate, nu întotdeauna avem posibilitatea să acţionăm datorită, spre exemplu, costului măsurilor
respective, care pot să fie disproporţionate. Opţiunea aceasta poate fi completată de „un plan pentru situaţii
neprevăzute” care să atenueze posibilul impact care ar putea fi resimţit în situaţia materializării riscurilor.
b. Tratarea riscurilor
Marea majoritate a riscurilor sunt controlate cu scopul de a fi tratate. Astfel, în timp ce organizaţia îşi
desfăşoară activităţile care au generat riscurile, se instalează un instrument de control care menţine efectele
riscului în limite acceptabile.
Tratarea ineficientă a riscurilor poate produce o criză corporativă care să conducă la pierderi
semnificative.
În practică, pentru tratarea riscurilor se utilizează următoarele categorii de instrumente de control:
• Instrumente de control preventiv
Implementarea acestor instrumente se realizează atunci când se urmăreşte ca un rezultat nedorit să nu
se materializeze sau pentru a limita efectele riscurilor nedorite care s-ar putea concretiza.
Majoritatea instrumentelor de control puse în aplicare sunt din categoria riscurilor de control
preventiv.
Exemple de instrumente de control preventiv:
− segregarea sarcinilor, prin care o persoană nu are autoritatea de a acţiona fără consimţământul
alteia, astfel persoana care realizează o plată este alta decât cea care a efectuat comanda;
− limitarea acţiunilor persoanelor autorizate, respectiv doar persoanele instruite special pot efectua
anumite activităţi speciale, cum ar fi: inventarierea patrimoniului, controlul casieriei, instruirea
personalului ş.a.
− externalizarea asigurării unor servicii, precum: IT, contabilitate, resurse umane, audit ş.a.
• Instrumente de control corectiv
Scopul acestor instrumente este acela de a corecta rezultatele nedorite care s-au materializat şi
reprezintă o modalitate de recuperare a daunelor sau a pierderilor.
Exemple de instrumente de control corectiv:
− includerea unor clauze în contract care permit recuperarea sumelor plătite nejustificat;
− asigurarea, care facilitează recuperarea financiară a unor sume în cazul materializării unor
riscuri;
− planurile pentru situaţiile neprevăzute reprezintă un mijloc prin care o organizaţie îşi planifică
şi asigură continuitatea în cazuri de criză, pe care nu le poate controla.
• Instrumente de control directiv
Aceste instrumente de control sunt concepute să asigure realizarea unui anumit rezultat, respectiv sunt
esenţiale atunci când se doreşte ca efectele unui anumit risc nedorit care s-ar putea materializa, să fie
orientate într-o anumită direcţie tolerabilă de către organizaţie.
Exemple de instrumente de control directiv:
− instruirea şi deprinderea personalului cu anumite abilităţi;
− asigurarea pregătirii profesionale a personalului într-un domeniu special, respectiv IT, control,
audit ş.a.
− în general, echipamentele de protecţie pentru activităţile periculoase.
• Instrumente de control detectiv
Scopul acestor instrumente este să identifice situaţiile nou rezultate nedorite care au avut loc. Implementarea
unor astfel de instrumente fiind ulterioară evenimentelor/riscurilor, de regulă, se acceptă unele daune sau pierderi
suferite.
Exemple de instrumente de control detectiv:
− activităţile de inventariere a stocurilor, care detectează unele mişcări realizate fără autorizaţie;
− controlul reciproc şi încrucişat, care poate detecta unele tranzacţii neconforme sau neautorizate;
− monitorizarea activităţilor de implementare care ne permit să detectăm anumite modalităţi
practice pozitive care pot fi utilizate şi în alte proiecte.
10
 c. Transferarea riscurilor
Există riscuri pentru care cea mai bună soluţie este transferarea lor. Această opţiune este benefică mai
ales în cazul riscurilor financiare sau patrimoniale şi poate fi făcută printr-o asigurare sau prin plata unei
terţe părţi care să găsească o altă modalitate de asumare a riscului.
Transferarea riscurilor se poate realiza fie prin reducerea expunerii la risc, fie pentru că o altă organizaţie
este mai capabilă sau specializată în gestionarea unor astfel de riscuri. În general, nu se pot transfera riscurile legate
de reputaţie, de brandul organizaţiei, astfel există şi riscuri netransferabile sau netransferabile integral.
În acelaşi timp, relaţiile cu terţe părţi cărora li s-au transferat riscuri trebuie gestionate cu mare atenţie
de organizaţie pentru a se asigura succesul transferului.
Există situaţii în care organizaţiile nu pot să gestioneze direct riscurile şi în acest caz singura soluţie
este elaborarea programelor pentru situaţii neprevăzute – spre exemplu terorismul internaţional sau
apariţia cutremurelor de pământ, care le va asigura continuitatea activităţilor în cazul în care acele riscuri
s-ar concretiza.
Din aceste considerente este necesar ca organizaţiile să-şi analizeze mediul extern extins de risc şi să-şi
stabilească şi strategia de gestionare a riscurilor, care îi pot afecta.
Alte elemente care pot afecta funcţionarea organizaţiilor sunt chiar guvernul prin posibilitatea de
implementare a unor constrângeri de natură economică, de retribuire a personalului sau ale condiţiilor
specifice pentru care organizaţiile trebuie să-şi prevadă elemente de protecţie în vederea asumării sau
neasumării unor riscuri şi asigurării continuării activităţii.
d. Încetarea activităţilor
Anumite riscuri pot fi eliminate sau menţinute în limite rezonabile numai prin reducerea activităţilor
sau prin desfiinţarea acestora.
Trebuie menţionat că această modalitate este caracteristică sectorului privat, deoarece în sectorul public
opţiunea încetării activităţii este relativ redusă, chiar dacă pentru unele activităţi sunt asociate riscuri însemnate,
deoarece nu există o altă modalitate de obţinere a rezultatelor aşteptate de public.
Spre exemplu: pregătirea unor specialişti o lungă perioadă de timp în străinătate, este însoţită de
posibilitatea nedorită a plecării acestora din organizaţie. Desigur că această opţiune poate avea o importanţă
deosebită în gestionarea proiectelor dacă devine clar faptul că relaţia previzionată cost-beneficii este pusă în
pericol.
e. Beneficierea de pe urma oportunităţilor
Această opţiune trebuie luată în considerare ori de câte ori un risc este tolerat, tratat sau transferat.
În această situaţie există următoarele posibilităţi:
− simultan cu reducerea evenimentelor, riscul apare ca oportunitate. Spre exemplu, dacă o investiţie
mare este riscantă, se reevaluează instrumentele de control, dacă sunt suficiente şi justifică eventuale
cheltuieli cu acestea;
− existenţa unor circumstanţe care negenerând riscuri, oferă chiar oportunităţi. Spre exemplu:
scăderea preţurilor la bunuri şi servicii care conduce la eliberarea de resurse ce pot fi realocate.
4. Analiza şi raportarea riscurilor
Activitatea de supervizare a riscurilor este necesară pentru monitorizarea evoluţiei profilurilor
riscurilor şi asigurarea că activitatea de administrare a riscurilor este corespunzătoare şi se realizează prin
procese de revizie a riscurilor.
Analiza riscurilor se impune a se realiza periodic, cel puţin anual, pentru a evalua persistenţa riscului,
eventuale modificări ale impactului şi probabilităţii, apariţia unor riscuri noi, cu scopul raportării acestor
evoluţii ale riscului care influenţează priorităţile şi furnizează informaţii privind eficacitatea controlului.
De asemenea, procesul general de gestionare a riscurilor trebuie supus unor examinări periodice
pentru a ne asigura de funcţionalitatea acestuia, de existenţa unui sistem de revedere a riscurilor cu o
frecvenţă corespunzătoare şi de stabilirea unor mecanisme de avertizare a nivelelor superioare de
management cu privire la evoluţia riscurilor sau apariţia altor riscuri neprevăzute.
În practică, procesul de gestionare a riscurilor şi activitatea de analiză sau revizuire a riscurilor sunt două
activităţi distincte care nu se substituie una alteia.
Principalele instrumente şi tehnici utilizate în procesul de analiză a riscurilor sunt:
• autoevaluarea riscurilor, care se realizează în scopul aprecierii păstrării profilului riscului la
nivelul întregii organizaţii şi se efectuează de fiecare salariat în parte;

11
• raportarea managementului de linie responsabil cu administrarea riscurilor, către managementul
superior, cu privire la activităţile pe care le-au întreprins, cel puţin anual, la închiderea exerciţiului
financiar, pe lângă cele trimestriale şi semestriale, pentru a actualiza registrul riscurilor şi sistemul
de control managerial, care să menţină un nivel corespunzător de funcţionalitate procedurile
operaţionale de lucru;
• echipe specializate de revizie şi asigurare a actualizării procesului general de administrare a riscurilor,
prin care este analizată activitatea managementului de linie cu privire la responsabilităţile ce le revin în
domeniul de activitate pe care îl coordonează în privinţa riscurilor şi sistemelor de control managerial;
• constituirea comitetelor de risc.

12