Academia de Studii Economice

Facultatea de Management

Managementul riscurilor în sfera informatică a domeniului

petrolier
-studiu de caz-

Rosu Simona
Grupa 142
Seria C
 Modul 3
  
2. Realizati un studiu de caz intr-o companie cu privire la managementul riscurilor
in sfera informatica (sisteme informatice, instrumente de comunicatii, securitatea
informatiei). Studiul de caz se va axa pe urmatorii pasi:
 
a) Identificarea riscurilor si intocmirea Formularului de alerta la risc, pentru
fiecare dintre acestea (Anexa 1). Pentru intocmirea Formularului  de alerta la
risc  se va tine cont de urmatoarele specificatii: 
 

Evaluarea probabilitatii de aparitie a riscului

 
   
Nivel Explicatie
probabilitate
1 – Scazut (S) Putin probabil sa se intample pe o perioada lunga de timp; nu s-a
intamplat pana in prezent.
2 – Mediu (M) Este probabil sa se intample pe o perioda medie de timp; s-a
intamplat de cateva ori in ultimul an.
3 – Ridicat (R) Este foarte probabil sa se intample pe o perioada scurta de timp; s-a
intamplat frecvent in ultimul an.  
 
 
Evaluarea impactului   riscului
 
   
Nivel Explicatie
impact
1 – Scazut Cu impact foarte scazut asupra activitatii si
(S) indeplinirii obiectivelor. 
2 – Mediu Cu impact moderat asupra activitatii si indeplinirii
(M) obiectivelor.
3 – Ridicat Cu impact semnificativ asupra activitatii si
(R) indeplinirii obiectivelor.
 
b)Stabilirea nivelului de toleranta la risc,  cu precizarea catorva masuri pentru
nivelurile de toleranta ridicata si scazuta (Anexa 2). 
 
 
   
Nivel Explicatie
 toleranta
1 – 2  Tolerabil – nu sunt necesare masuri de control.
 
3–4 Toleranţă ridicata – sunt necesare masuri pe termen
mediu si lung. 
5–6 Toleranţă scazuta – sunt neceasre masuri urgente pe
termen scurt. 
 
 
 

Anexa 1

Formular de alerta la risc 

Directia/  
Serviciul/Biroul
Riscul identificat  
Cauza  
Consecinte  
Evaluarea riscului (Expunerea)
Expunerea (P x I) = 
Probabilitatea  
riscului
  1 2 3
  Scazut Mediu  Ridicat
   

Impactul riscului  
 
  1 2 3

Scazut Mediu  Ridicat

 
 
 
Anexa 2
Masuri de control propuse pentru reducerea riscurilor 
 
 
         
Nr Denumire Nivel Nivel Masu
. risc expuner toleranta ri
crt e
.
         
         
         

1. Definirea riscului si a incertitudinii

Riscul este un fenomen care afectează în mod direct viaţa de zi cu zi a oamenilor şi a

organizaţiilor şi de aceea influenţează în permanenţă capacitatea şi voinţa decizională a acestora.
O definire relativ simplificată a riscului ar fi: riscul reprezintă potenţialul ca un eveniment
neaşteptat să apară sau să nu apară la un momentdat ca urmare a apariţiei unor fenomene adverse
neaşteptate. O altă definiţie mai riguoasă ar fi că riscul reprezintă “contextul în care un
eveniment se produce cu anumită probabilitate sau în care amploarea evenimentului urmeză o
distribuţie de probabilităţi” .
Acesta este asociat adeseori cu termenul de „nesiguranta”. Riscul reprezintă un pericol dovedit
sau potenţial, mai mult sau mai puţin previzibil. Riscul se poate manifestă atât în legătură cu
sistemul informaţional, afectând caracterisiticile, conţinutul sau operaţiile la care este supusă
informaţia, precum şi circuitul sau fluxul informaţional, cât şi în legătură cu sistemul informatic,
afectând tehnologiile de prelucrare a informaţiei, sistemele de comunicare electronică, sistemele
software de exploatare şi programele informatice. O abordare a riscului presupune privirea
acestuia din două puncte de vedere. Primul se concentrează asupra evenimentelor nedorite care
pot aduce prejudicii sau pierderi. De exemplu atunci când o societate comercială se lansează într-
o activitate riscantă, managerii urmăresc identificarea factorilor care pot influenţa negativ
activitatea respectivă. În acest sens se ridică următoarele întrebări: Ce se întâmplă dacă
activitatea eşuează? Ce puncte slabe sunt în proiectarea activităţii? Suntem capabili să respectăm
termenele stabilite? Se observă că în acest caz managerii nu caută să identifice oportunităţile, ci
urmăresc evitarea evenimentelor care pot duce la pierderi. Această abordare exclusivistă care se
focalizează asupra evenimentelor nedorite se numeşte perspectiva riscului pur. Al doilea punct
de vedere al abordării riscului se referă la obţinerea informaţiilor necesare luării unei decizii
corecte. Când o decizie este luată în condiţii de ignoranţă, aceasta este o decizie riscantă şi poate
conduce la un eşec, iar în cazul unei decizii fundamentate, bazată pe informaţii complete şi
corecte, aceasta este mai puţin riscantă, iar şansele de succes în implementarea ei sunt mari.
Pentru definirea riscului este necesar ca acesta să fie descompus în două elemente: probabilitatea
riscului şi impactul riscului. În acest sens, când un eveniment de risc este privit din perspectiva
probabilităţii apariţiei acestuia, riscul creşte odată cu creşterea şanselor ca acesta să se producă.
Totodată, un eveniment de risc dacă este privit din prisma impactului pe care acesta îl poate
avea, riscul creşte odată cu creşterea efectelor negative pe care le generează.
2. Conceptul de managementul al riscului petrolier
Scopul şi obiectivul final al oricărui proces de management al riscului este acela de a identifica şi
pe cât posibil de a elimina riscurile. Toate aceste deziderate implică o serie de costuri iar costul
total trebuie să fie în strânsă legătură cu beneficiul total şi trebuie să se reflecte în îmbunătăţirea
performanţelor financiare şi în asigurarea că instituţia nu va suferii pierderi inacceptabile în
viitor.
Managementul riscului este un proces managerial care înglobează toate tehnicile şi metodele
utilizate la evaluarea şi analiza de risc şi care în final se concretizează prin măsurarea, controlul,
raportarea şi alegerea acelor decizii care să conducă, pe cât posibil, la eliminarea tuturor
riscurilor.
3. Sisteme informatice în domeniul petrolier
Una din componentele importante ale unei instituţii de credit este sistemul informatic şi de
comunicaţii, “motorul” care asigură suportulinformaţiilor necesare bunei funcţionări, dar şi
accesul rapid şi securizat laaceste informaţii.Sistemul informatic are două componente majore:
infrastructura hardware şi de comunicaţii pe de o parte (echipamentele de calcul, servere, staţii
de lucru, elemente de conectică - hub-uri, switch-uri, modem-uri,routere, firewall-uri etc.), şi
componenta software (sisteme de operare,sisteme de gestiune a bazelor de date – SGBD -, baze
de date, aplicaţii etc.), pe de altă parte. Elementul de legatură între aceste două componente este
politica de securitate, ca ansamblu de reguli şi proceduri de asigurare a integrităţii şi
confidentialităţii informaţiilor.
Inima unui sistem informatic petrolier este constituită din baza de date a acestuia, de sistemul de
stocare, înregistrare, prelucrare şi analiză al informaţiilor necesare operaţiilor zilnice, dar şi ca
element de decizie pentru strategia de management. In funcţie de strategia de funcţionare şi de
dezvoltare a băncilor sunt folosite două tipuri de sisteme informatice client/server: cu baze de
date centralizate şi cu baze de date distribuite.
Modelul cu bază de date centralizată presupune că toate locaţiile(sucursale, agenţii, centrală)
folosesc o baza de date unică, ce conţine toate informaţiile legate de clienţi, conturi, operaţii,
produse bancare. Planul de conturi conţine informaţii despre locaţia contului respectiv, iar fiecare
clientare ataşat la codul unic de identificare, codul sucursalei. Modelul cu baze de date distribuite
presupune că fiecare sucursală şi centrală are propria bază de date, gazduită de un server local;
comunicaţia se efectuează în timp real, prin execuţie de proceduri la distanţă pe serverele
destinaţie (exemplu pentru operaţii între sedii sau pentru consolidarea datelor conturilor la nivel
centralizator). Structura planului de conturi este arborescentă, fiecare locaţie având un nod unic
de identificare.
4. Securitatea informaţiei
Adoptarea unui sistem de management al securității informației este o decizie strategică pentru o
organizație. Stabilirea și implementarea unui sistem de management al securității informației
într-o organizație este influențată de nevoile și obiectivele acesteia, cerințele de securitate,
procesele organizaționale utilizate, precum și de mărimea și structura organizației.
Sistemul de management al securității informației conduce la păstrarea confidențialității,
integrității și disponibilității informațiilor, prin aplicarea unui proces de management al riscului
și conferă încredere părților interesate că riscurile sunt gestionate corespunzător.
Este important ca sistemul de management al securității informației să fie integrat cu procesele și
structura globală de management ale organizației și ca securitatea informației să fie luată în
considerare în proiectarea proceselor, sistemelor informaționale și mijloacelor de control.
Implementarea unui sistem de management al securității informației trebuie să fie dimensionată
în conformitate cu nevoile organizației.
5. Prezentarea PETROM
Petrom S.A. este principala companie pe piaţa românească de combustibili.
Capitalul social * al Petrom S.A. constă în 56,644,108,335 de acţiuni plătite integral având o
valoare nominală totală de 5,664,410,834 RON. Diferenţa până la 18,983,366,226 RON
reprezintă ajustarea la inflaţie generată de faptul că România a avut economie hiperinflaţionistă
până în ianuarie 2004.
Petrom este împărţit în 4 segmente de operare: Explorare şi Producţie (E&P), Rafinare şi
Marketing, Gaze şi Energie. Managementul Grupului, activităţile de finanţare şi anumite funcţii
sunt evidenţiate în segmentul Corporativ.
Implicarea Grupului în explorarea şi producţia de gaze şi ţiţei implică expunerea la o serie de
riscuri inerente. Printre acestea stabilitatea politică, condiţiile economice, modificări ale
legislaţiei fiscale precum şi alte riscuri operaţionale inerente cum ar fi volatilitatea ridicată a
preţului ţiţeiului şi a dolarului american.O varietate de măsuri sunt utilizate pentru a gestiona
aceste riscuri.
În afara integrării activităţilor de explorare şi producţie şi de distribuţie ale Grupului şi politicii
de a menţine un portofoliu echilibrat de active în segmentul E&P, principalele instrumente
utilizate sunt de natură operaţională.
Activităţile segmentului E&P sunt concentrate în principal în România şi Kazakhstan. În
România, Petrom S.A. este singurul producător de ţiţei. Produsele E&P sunt ţiţeiul şi gazele
naturale.
Divizia de Gaze are drept scop vânzarea gazelor naturale şi fructificarea optimă a oportunităţilor
ce rezultă din liberalizarea pieţei. Divizia de Energie este nou înfiinţată, având drept scop
diversificarea activităţilor Petrom S.A. în sectorul energetic românesc. Divizia de produse
chimice, asimilată segmentului Gaze şi Energie, deţine şi exploatează principala fabrică de
îngrăşăminte din România, Doljchim Craiova.
R&M produce şi livrează benzină, motorină şi alte produse petroliere clienţilor săi. Divizia de
rafinare include două din cele mai importante rafinării din România, Arpechim şi
Petrobrazi.Arpechim se va închide în 2011. Divizia de marketing livrează produse clienţilor în
sistem en-detail, cât şi en-gros şi desfăşoară operaţiuni în România,Bulgaria, Serbia şi Moldova.

6. Identificarea riscurilor informatice

Riscurile vizează orice domeniu de activitate, de aceea nici sistemul informatic al unei instituţii
petroliere nu este scutit de amenintări. Principalele riscuri pot avea o natură organizaţională,
tehnică sau umană. Printre aceste se pot număra următoarele:
1) Furtul de informaţii.
Formular de alertă la risc
Direcţia/ Serviciul/ Biroul IT
Riscul identificat Furtul de informaţii
Cauze Accesul persoanelor neautorizate in
departamentele IT
Efect Prejudicierea companiei petroliere sau a
clientilor acesteia
Evaluarea riscului (expunerea) 3x1= 3
Probabilitatea riscului 1 (Scăzut)- este puţin probabil să se
întample, având în vedere că nu există
antecedente
Impactul riscului 3 (Ridicat)- poate aduce grave prejudicii de
imagine băncii, dar şi pierderi finaciare

2) Pierderea de infomaţii
Direcţia/ Serviciul/ Biroul IT
Riscul identificat Pierderea de infomaţii
Cauze Lipsa unui sistem de back-up sau
nefuncţionalitatea acestuia
Efect Imposibilitatea de a continua operaţiuni
Evaluarea riscului (expunerea) 1x2= 2
Probabilitatea riscului 1 (Scăzut) – PETROM dispune de un sistem
de back-up al datelor
Impactul riscului 2 (Mediu)- efectele negative s-ar manifesta
mai ales asupra clienţilor
3) Pătrunderea viruşilor în sistemul informatic petrolier
Direcţia/ Serviciul/ Biroul
Riscul identificat
Cauze
Efect
Evaluarea riscului (expunerea)
Probabilitatea riscului
Impactul riscului
4) Riscul de comunicatie
Direcţia/ Serviciul/ Biroul
Riscul identificat
Cauze
Efect
Evaluarea riscului (expunerea)
Probabilitatea riscului
Impactul riscului
5) Accesul persoanelor neautorizate la sistemul informatic
Direcţia/ Serviciul/ Biroul
Riscul identificat
Cauze
Efect
Evaluarea riscului (expunerea)
IT
Pătrunderea viruşilor în sistemul informatic
petrolier
Incapacitatea programelor antivirus de a
face faţă atacurilor cibernetice
Blocarea activităţii companiei, sustragerea
unor sume de bani din depozitele bancii
colaboratoare, neidentificarea pierderilor
petroliere
2x3= 6
2 (Mediu)- deşi PETROM dispune de un
sistem antivirus avansat, modaliţile de
introduce viruşi în sistem se diversifică
constant, de aceea sistemul de protecţie al
companiei poate fi depăşit
3 (Mare)- deoarece poate conduce la
blocarea activităţii companiei şi pierderea
clienţilor
IT
Riscul de comunicatie
Neutilizarea unor tehnici de criptare a conversatiilor cu clienti
i sau a unei retele virtuale private (VPN) pentru
confidentialitatea informatiilor.
Confidentialitatea informatiilor ar fi compromisa
1x2= 2
1 (Scăzut)- PETROM foloseşte o reţea VPN
2 (Mediu)- efectele negative s-ar manifesta mai ales asupra
clienţilor
IT
Accesul persoanelor neautorizate la sistemul
informatic
Nesecurizarea calculatoarelor dupa
terminarea programului de lucru.
Furtul datelor, distrugerea lor, furtul monetar
1x3 = 3
Probabilitatea riscului 1 (Scăzut)
Impactul riscului 3 (Ridicat)

6) Imposibilitatea de a folosi sitemul informatic

Direcţia/ Serviciul/ Biroul IT
Riscul identificat Imposibilitatea de a folosi sitemul
informatic
Cauze Întreruperi ale electricităţii, pierderea
conexiunii la internet, defectarea
echipamentelor
Efect Întreruperea activităţii până la remedierea
problemelor
Evaluarea riscului (expunerea) 2x2 = 4
Probabilitatea riscului 2 (Mediu)- astfel de probleme au mai
apărut, dar cu o frecvenţă scăzută
Impactul riscului 2 (Mediu)– asfel de probleme nu au, în
general, repercusiuni megative în viitor, dar
pot bloca anumite tranzacţii importante ale
companiei

7) Folosirea incorectă a sistemului informatic

Direcţia/ Serviciul/ Biroul IT
Riscul identificat Folosirea incorectă a sistemului informatic
Cauze Lipsa de pregătire a personalului
Efect Efectuarea de tranzacţii greşite, ştergerea
unor date, conectarea la reţele nesigure
Evaluarea riscului (expunerea) 1x2= 2
Probabilitatea riscului 1 (Scăzut)- anagajaţii PETROM sunt foarte
bine pregătiţi
Impactul riscului 2 (Mediu)

7. Masuri de control propuse pentru reducerea riscurilor

Nr. Crt. Denumire risc Nivel expunere Nivel toleranţă Măsuri
1 Furtul de informaţii 3 3- Toleranţă Introducerea
ridicată unui software de
detectare a
intruziunilor
2 Pierderea de infomaţii 2 4- Toleranţă Folosirea
ridicată backup-rilor
pentru aplicatiile
 folosite
3 Pătrunderea viruşilor în 6 6- Toleranţă Dotareacu cele
sistemul informatic scăzută mai performante
petrolier programe
antivirus si
upgradarea
acestora
4 Riscul de comunicatie 2 2-Tolerabil Utilizarea
tehnicilor de
criptare;existenta
unei retele
virtuale private
5 Accesul persoanelor 3 2-Tolerabil Dotarea cu un
neautorizate la sistemul soft caresa
informatic blocheze accesul
la retea atunci
cand utilizatorul
nu se afla la
statia sa
6 Imposibilitatea de a 4 3- Toleranţă Dotarea sediilor
folosi sitemul informatic ridicată cu generatoare
electrice,
contractare de
servicii de
internet de la doi
sau mai mulţi
furnizori,
existenţa unor
echipamente de
rezervă
7. Folosirea incorectă a 2 3- Toleranţă Evaluarea
sistemului informatic ridicată permanentă a
salariaţilor şi
implementare
unor acţiuni de
perfecţionare a
acestora