Documente Academic
Documente Profesional
Documente Cultură
Aspecte preliminare
În cadrul organizaţiei, managementul riscurilor se referă la identificarea şi evaluarea
riscurilor, precum şi la stabilirea modului de a reacţiona în faţa acestora adică de a pune în
aplicare sisteme de control intern eficiente care să atenueze posibilitatea de apariţie
(probabilitatea) sau consecinţele pe care le-ar produce (impactul) în cazul în care acestea s-ar
materializa.
Managementul riscurilor este definit în Glosarul Standardelor Internaţionale pentru
Practica Profesională a Auditului Intern (Standarde) ca „un proces de identificare, evaluare,
gestionare şi control al potenţialelor evenimentele sau situaţii pentru a furniza o asigurare
rezonabilă cu privire la îndeplinirea obiectivelor organizaţiei.”
Auditorii interni trebuie să înţeleagă şi să cunoască noţiuni precum: expunerea la risc,
toleranţa la risc, riscul rezidual, apetitul pentru risc al organizaţiei (nivelul de risc acceptat) şi
importanţa gestionării riscului. Acest capitol îşi propune să explice şi să exemplifice modalitatea
de evaluare a riscurilor identificate în cadrul unei organizaţii, prin mecanisme de bază, venind în
ajutorul membrilor cu un model matriceal în „5 trepte”.
Definirea riscului
Riscul reprezintă incertitudinea în obţinerea rezultatelor dorite sau vulnerabilitatea
în faţa factorilor care afectează activitatea organizaţiei. În practică, acesta este exprimat ca o
combinaţie între probabilitate şi impact.
Riscurile trebuie identificate şi evaluate din perspectiva combinaţiei dintre probabilitatea
ca acestea să se întâmple şi impactul lor, respectiv, consecinţa asupra obiectivului, pe care
materializarea respectivei posibilităţi îl poate avea.
Riscurile sunt iniţial identificate pornind de la obiectivele organizaţiei (strategice,
operaţionale etc.) şi, în cadrul acestora, defalcate pe activităţi sau operaţii (vânzări,
aprovizionare, încasări, plăţi, investiţii, salarizare etc). Orice organizaţie se constituie pentru
realizarea unor scopuri/ obiective în raport cu care îşi direcţionează activităţile pe care le va
desfăşura în cadrul acesteia.
Obiectivele generale ale unei organizaţii, care îşi desfăşoară activitatea într-un mediu
reglementat, vor fi stabilite în conformitate cu legile, actele normative, regulamentele şi
reglementările interne.
Obiectivele generale se descompun în obiective operaţionale, respectiv obiective
individuale, formând un ansamblu coerent de obiective.
Obiectivele operaţionale/specifice (la nivelul fiecărei activităţi) trebuie exprimate prin
indicatori de rezultate, pentru a putea fi monitorizate. Din această cauză, obiectivele sunt
denumite în mod curent şi „rezultate aşteptate”. Oricare ar fi organizaţia, atingerea obiectivelor
stabilite sau obţinerea rezultatelor aşteptate este grevată de incertitudine, care poate deveni o
barieră în atingerea obiectivelor.
Gestionarea riscurilor înseamnă identificarea şi evaluarea riscurilor, precum şi stabilirea
modului în care organizaţia reacţionează în faţa riscurilor – cu alte cuvinte aplicarea de mijloace
de control intern care să atenueze posibilitatea de apariţie sau consecinţele pe care le-ar produce
potenţialele riscuri în cazul în care s-ar materializa.
Fiecare organizaţie trebuie să ia măsurile necesare gestionării riscurilor până la un nivel
considerat acceptabil – respectiv să implementeze un sistem de control intern. Acest nivel este
numit toleranţa la risc (sau apetitul pentru risc).
Trebuie făcută diferenţierea între riscul inerent şi riscul rezidual:
Riscul inerent este riscul specific ce ţine de realizarea obiectivului, fără a se interveni
prin măsuri de atenuare a riscurilor (controlul intern);
Riscul rezidual este riscul care rămâne după ce s-au pus în operă măsurile de atenuare a
riscurilor inerente sau, cu alte cuvinte, riscurile remanente controlului intern. Riscul rezidual este
consecinţa faptului că riscurile inerente nu pot fi controlate în totalitate.
Prin aplicarea unor sisteme de control intern eficiente riscurile inerente sunt diminuate
până când riscul rezidual (riscul rămas după punerea în aplicare a formelor de control) se
încadrează în nivelul de risc acceptat de organizaţie (apetitul la risc).
Conceptul de management al riscurilor
Managementul riscului la nivel de organizaţie este un proces continuu, structurat în
cadrul acesteia, permiţând astfel identificarea, evaluarea şi raportarea oportunităţilor şi
ameninţărilor care aduc atingere obiectivelor sale.
În cadrul organizaţiei, prin implementarea unui sistem de control intern eficient,
conducerea întreprinde activităţi de gestionare a riscurilor pentru a identifica, evalua şi a ţine sub
control toate tipurile de situaţii care pot avea impact negativ asupra organizaţiei.
Managementul riscurilor este un proces aflat în responsabilitatea conducerii organizaţiei,
constând în:
definirea strategiei ce trebuie aplicată;
identificarea şi evaluarea riscurilor ce pot afecta organizaţia şi activităţile ce se
desfăşoară în cadrul acesteia;
monitorizarea/controlul riscurilor astfel încât acestea să se încadreze în limitele
toleranţei la risc; monitorizarea, revizuirea şi raportarea continuă a situaţiei riscurilor,
beneficiindu-se de experienţa acumulată (proces de învăţare), pentru a se obţine o asigurare
rezonabilă cu privire la realizarea obiectivelor organizaţiei.
Rolul conducerii organizaţiei în derularea acestei activităţi este esenţial. Având o viziune
de ansamblu a activităţii organizaţiei, percepe mai bine riscurile generale şi intercondiţionările
dintre riscurile individuale.
Rolul activităţii de audit intern este de a evalua eficacitatea proceselor de management al
riscurilor din cadrul organizaţiei şi să contribuie la îmbunătăţirea acestora.
Conform standardului 2120 – Managementul riscurilor, activitatea de audit intern trebuie
să evalueze eficacitatea şi să contribuie la îmbunătăţirea proceselor de management al riscului.
Astfel, auditorii interni trebuie să înţeleagă şi să cunoască noţiunea de risc, principalele
riscuri la care este expusă organizaţia auditată, apetitul pentru risc al organizaţiei (nivelul de risc
acceptat), precum şi importanţa gestionării riscului.
Controlul riscurilor înseamnă că la nivelul organizaţiei este posibilă reducerea
probabilităţii şi/sau atenuarea impactului în cazul în care riscul s-ar materializa sau a
amândurora. În caz contrar, riscurile sunt necontrolabile dacă organizaţia nu are posibilitatea de a
interveni direct pentru reducerea probabilităţii şi/sau atenuarea impactului.
Stabilirea faptului că procesele de management al riscului sunt eficace se face în baza
raţionamentului profesional şi a evaluării auditorului intern cu privire la următoarele aspecte:
a) Obiectivele organizaţionale sprijină misiunea organizaţiei şi sunt corelate cu aceasta;
b) Riscurile semnificative sunt identificate şi evaluate;
c) Sunt selectate răspunsurile adecvate la risc, care pun în concordanţă riscurile cu
apetitul organizaţiei la risc; şi
d) Informaţiile relevante cu privire la riscuri sunt colectate şi comunicate în timp util în
cadrul organizaţiei, permiţând personalului, managementului şi conducerii superioare să-şi
îndeplinească responsabilităţile.