Sunteți pe pagina 1din 24

1.

INTRODUCERE

Obiectivul auditului a evoluat de la detectarea fraudelor şi erorilor, proces care


presupunea o verificare detaliată a tuturor operaţiunilor patrimoniale şi a înregistrării lor
contabile, la exprimarea unei opinii asupra imaginii fidele a patrimoniului, a situaţiei
financiare şi a rezultatelor obţinute de către societate. Se urmăreşte, în acest sens, măsura
în care informaţiile înregistrate în contabilitate reflectă evenimentele economice care au
avut loc într-o anumită perioadă, iar eforturile auditorului sunt intensificate pentru
identificarea eventualelor manipulări ale informaţiilor furnizate de sistemul financiar,
pentru prevenirea cazurilor de contabilitate creativă sau fraudă.
Informaţiile furnizate de specialiştii în acest domeniu sunt necesare tuturor
categoriilor de utilizatori: manageri, acţionari şi asociaţi, organe fiscale, bancheri,
organizaţii sindicale care au uneori interese contradictorii. Din acest motiv rezultatele
lucrărilor de audit trebuie să fie corecte şi întocmite pe baza documentelor legale în
vigoare. Ele trebuie să asigure calitatea şi coerenţa sistemului contabil şi sunt menite să
asigure reflectarea corectă, sinceră şi completă în bilanţ şi în contul de profit şi pierdere a
patrimoniului, situaţiei financiare şi rezultatelor exerciţiului.
În prezent există mai multe tipuri de audit financiar:
• auditul operaţional reprezintă analiza oricărei porţiuni a procedurilor şi
metodeloroperaţionale ale unei organizaţii, în scopul evaluării eficienţei şi
eficacităţii lor;
• auditul conformităţii trebuie să determine dacă entitatea examinată respectă
anumite proceduri, reguli sau reglementări definite de o autoritate supraordonată.
Indiferent de tipul de audit este necesară analiza riscului. În continuare sunt
prezentate diferite modalităţi în care este abordată această activitate.

2.DEFINIŢIA RISCULUI

Definirea noţiunii risc este o problemă dificilă, din cauza complexităţii relevanţei
sale, pe de o parte, şi multiplelor semnificaţii de domeniu, pe de altă parte.
Dovada acestei constatări este faptul că există deosebit de multe aprecieri,
metafore şi definiţii despre risc, dar niciuna dintre acestea nu s-a impus exhaustiv, deşi
preocupările ştiinţifice şi aplicative din domeniul managementului de risc sunt multiple şi
deosebit de variate.
Multe din aprecieri se aproprie de sensul definiţiilor, dar şi multe dintre ele au
valenţe de metafore sau constituie şi formalizări sau reprezentări grafice sugestive.
Ordinea de prezentare a aprecierilor a fost aleatorie, urmărind multitudinea
părerilor şi formelor fără a încerca o ierarhizare sau o grupare. Ideea a fost să se vadă
varietatea aspectelor, fără ca în această fază să sugerăm o anumită orientare sau să
probăm, prin atitudine, că o anumită părere este mai corectă decât alta.

• RISCUL este de natură analitică, nu are consistenţă fizică şi nici posibilităţi de


concretizare.
• Similar hazardului, o activitate necunoscută presupune RISC.
• RISCURILE apar în cadrul tuturor activităţilor socio – economice, pentru
fiecare dintre acestea îmbrăcând forme particulare, în funcţie de tipul, modul de
manifestare, precum şi de magnitudinea acestora.
• Asocierea dintre RISC şi hazardul particular nu este totdeauna corectă.
• Fiecare acţiune are un portofoliu propriu de RISC.
• RISCUL reprezintă ameninţarea unui rezultat slab.
• RISCURILE sunt acelea care conduc la mai multe variante de acţiune.
• RISCUL există atunci când decidentul nu cunoaşte în avans rezultatul unei
decizii, dar este capabil să stabilească o distribuţie în probabilitate obiectivă a
posibilelor stări ale naturii şi plăţilor asociate acestora.
• Deciziei, în general, şi deciziei manageriale, în special, datorită complexităţii lor,
le sunt asociate numeroase RISCURI.
• RISCUL presupune determinarea probabilităţii producerii unui eveniment
nedorit, a conjuncţiei de favorabilitate dintre ameninţările activate şi
vulnerabilităţile exploatate, a consecinţelor producerii acestuia şi a determinării
elementelor ce îl caracterizează, precum şi atitudinii faţă de acesta.
• RISCUL este un factor fundamental al afacerilor, deoarece în nici o activitate nu
se poate obţine profit fără risc.
• Reflexivitatea include ideea că RISCURILE nu sunt parte a fatalităţii sau a
destinului, ci sunt opţiuni pe care oamenii le realizează.
• RISCUL este inerent unei investiţii şi are ca principal suport evoluţia
tehnologică, progresul tehnic şi incertitudinea specifică investiţiei.
• Noţiunea de RISC nu este înţeleasă decât la nivel individual, gestiunea globală la
nivelul portofoliului fiind rar integrată în procesul de decizie.
• RISCULUI îi sunt asociate două dimensiuni – incertitudinea şi efectul asupra
obiectivului.
• RISCUL se situează între incertitudine şi fenomen aleatoriu, dacă acesta poate
fi interpretat ca “variabilă viitoare“.
• Organizarea socială – sursă a valorilor – sursă a RISCURILOR – sursă a
propriului portofoliu de risc.
• Înţelegerea RISCULUI ca oportunitate începe să câştige tot mai mult teren.
• Un eveniment sau un proces poate avea consecinţe negative sau pozitive, ceea ce
presupune că în definirea RISCULUI trebuie utilizat şi termenul de preocupare.
• RISCUL există atunci când obiectivul este posibil de validat, cu o probabilitate
apreciabilă, însă modalităţile cele mai adecvate de urmat prezintă grad mare de
nesiguranţă.
• În funcţie de factorii de risc, RISCUL poate avea valori negative (downside) sau
valori pozitive (upside).
• Orice strategie performantă trebuie să cuprindă programe de minimizare a
posibiltăţii producerii RISCURILOR, ceea ce înseamnă, de fapt, minimizarea
pierderilor sau cheltuielilor.
• Uneori, costurile implementării şi exploatării procedurilor care vizează gestiunea
riscului pot fi mai mari decât expunerea potenţială la RISC.
• De pildă, printre cele trei obiective ale managementului bancar se înscrie şi
minimizarea expunerii la RISC, evident, alături de maximizarea rentabilităţii şi
respectarea reglementărilor legale în materie.
• Gestiunea eficace a RISCURILOR îşi pune, cu siguranţă, amprenta şi asupra
imaginii publice a organizaţiei.
• Gestiunea RISCURILOR necesită resurse serioase informaţionale, umane,
materiale şi financiare, de aceea, gestiunea riscurilor, pentru a avea succes, trebuie
considerată ca parte a top managementului, având un rol, cert, strategic.
• Ingineria securităţii: analiza de RISC este singura modalitate de apreciere a
nivelului de periculozitate a unui obiectiv de securitate şi trebuie efectuată şi
luată în consideraţie atât la începutul proiectării sistemului de securitate, cât şi
după implementarea acestuia.
• RISCUL implică necesitatea de a înfrunta situaţiile de nesiguranţă, dar şi
obligaţia de a acţiona raţional.
• RISCUL guvernează în prezent atât existenţa socială, cât şi existenţa mediului
de afaceri.
• RISCUL este asumat ca practică comună de afaceri.
• A învăţa să trăim întro lume a RISCULUI reprezintă o componentă majoră şi
definitorie a comportamentului cetăţenilor şi managerilor.

Prima concluzie care se impune în această analiză este că noţiunea de definit


este cu certitudine riscul, deşi sunt multe sinonime pentru risc:
• cu conotaţie negativă: abatere, ameninţare, critic, destin, eşec, expunere,
fatalitate, hazard, incertitudine, necunoscut, necaz, nedefinit, neîndeplinire,
nesiguranţă, pagubă, pericol, pierdere, primejdie, vulnerabilitate
• cu conotaţie neutră: abatere, aleatoriu, alegere, alternativă, decizie, factor,
incert, întâmplător, joc, necunoscut, neprevăzut, opţiune, posibilitate,
potenţialitate, probabilitate, raţionalitate, variabilitate
• cu conotaţie pozitivă: atu, câştig, favorabilitate, oportunitate, raţionalitate,
rentabilitate, utilitate.
A doua concluzie se referă la polivalenţa riscului şi la caracteristicile sale de
variabilă, măsură sau indicator, sintetizate astfel:
• riscul este o variabilă asociată unei alegeri, decizii sau acţiuni întrun mediu de
incertitudine
• riscul impune raţionalitate şi generează atitudine şi comportament
• pentru a fi utlizat, riscul necesită cuantificare, asociere de valori absolute,
relative sau în procente
• riscul este indicatorul principal al sistemelor de securitate
• riscul este o diferenţă de utilitate între două acţiuni
• riscul este un obiectiv de management, dar şi o măsură a performanţelor
acestuia în mediul de incertitudine
• riscul are valenţe singulare, dar şi cumulative, generale, globale
3. CATEGORII DE RISC

Multitudinea domeniilor şi situaţiilor care sunt caracterizate sau guvernate prin


risc face ca acestuia să i se asocieze conotaţii diverse, de la caracterul general şi logic al
indicatorului analitic şi al măsurii incertitudinii, până la încadrări aplicative de domeniu
sau chiar de înţelegere (aplicaţie) speculativă.
În toată această diversitate de păreri, aprecieri, formulări şi definiţii se impune
totuşi necesitatea orientării principale a riscului spre managementul calităţii şi
securităţii unor domenii, fenomene, procese sau sisteme.
De la acest punct de vedere pleacă şi ideea de a aborda o categorisire a riscului,
multicriterială, diferenţiată pe clase, forme şi niveluri de risc.
Încercarea acestei lucrări poate deveni benefică pentru anumite domenii, dar va
rămâne totuşi tributară dificultăţii unui studiu sistemic de mare amploare şi de o
deosebită acurateţe, foarte necesar dar greu de realizat. Sperăm ca aceast lucru să nu
accentueze ambiguitatea, să nu adâncească diferenţele şi controversele, să nu contribuie
la ireconcilierea părerilor în vastul domeniu ştiinţific, comportamental şi aplicativ al
riscului.
Multicriterialitatea categorisirii riscului urmăreşte acoperirea atât a expresiilor
generale de definiţie, cât şi a sensurilor pragmatice de aplicaţie şi management:

(1) Din punctul de vedere al sensului dimensional riscurile pot fi:


– risc cu dimensiune (sens) pozitivă – avantaj, câştig, favorabilitate, oportunitate,
şansă
– risc cu dimensiune (sens) negativă – ameninţare, eşec , pagubă, pericol,
vulnerabilitate
– risc cu dublă dimensiune (sens bidimensional) – pozitivă şi negativă – avantaj
– pagubă, câştig – eşec, consecinţe pozitive sau negative, favorabilitate – vulnerabilitate,
oportunitate – pericol.
În funcţie de eficacitatea managementului, riscul poate fi considerat cu caracter
speculativ (vizează un câştig sau o pierdere).
(2) Din punctul de vedere al sursei care îl produce (naturală sau umană),
riscurile pot fi :
– riscuri pure – sunt datorate unor surse naturale care nu pot fi decât relativ
controlate (supravegheate, studiate, anticipate) şi au întotdeauna efecte negative
– riscuri de umanitate – sunt datorate posibilităţii oamenilor de a alege între
două sau mai multe variante şi de a decide; supranumite şi riscuri de conjunctură (de
alegere, de decizie), acestea pot avea atât efecte pozitive, cât şi negative.
(3) Din punctul de vedere al corelaţiilor motive, mize, interese, riscurile pot fi:
– riscuri motivaţionale – determinate de ierarhia motivaţiilor, care exprimă
atitudinea de alegere a unei variante, din două sau mai multe, bazată pe motivaţia
individului faţă de acea variantă
– riscurile de miză – determinate de atitudinea celui ce alege faţă de locul de
apartenenţă al mizei (extern sau intern)
– riscuri interpersonale – determinate de raporturile celui ce alege (se
comportă, ia atitudine) faţă de interesele proprii sau colective, faţă de relaţiile
interpersonale cu o persoană, familie, colectiv.
Toate cele trei categorii de risc au valenţe atât pozitive, cât şi negative.
(4) Din punctul de vedere al atitudinii faţă de risc, riscurile pot fi:
– riscuri suportabile – sunt cele a căror amplitudine (magnitudine) nu justifică
investiţii pentru exploatare (atenuare sau valorificare), având influenţe neglijabile asupra
procesului în care se manifestă
– riscurile tratabile – sunt acele riscuri care pot fi exploatate în cadrul proceselor
(atenuate sau valorificate) prin măsuri specifice de securitate sau inginerie de proces
– riscurile netratabile – sunt riscuri majore sau dezastruoase pentru un proces care
nu pot fi exploatate (atenuate); pentru aceste riscuri se adoptă măsura asigurării asupra
pagubelor de proces produse în urma apariţiei evenimentelor nedorite.
(5) Din punctul de vedere al amplitudinii (magnitudinii), riscurile sunt:
riscuri neglijabile cuprinse între valorile 0 şi 1; 0 şi 0,2 sau 0 şi 20%
riscuri minore cuprinse între valorile 1 şi 2; 0,2 şi 0,4 sau 20% şi 40%
riscuri medii cuprinse între valorile 2 şi 3; 0,4 şi 0,6 sau 40% şi 60%
riscuri majore cuprinse între valorile 3 şi 4; 0,6 şi 0,8 sau 60% şi 80%
riscuri dezastruoase cuprinse între valorile 4 şi 5; 0,8 şi 1 sau 80% şi 100%.
(6) Din punctul de vedere al apartenenţei la un proces, riscurile pot fi:
– riscuri de mediu – aparţin mediului în care se desfăşoară procesul şi
influenţează procesul
– riscuri de proces – sunt riscuri specifice tehnologiei desfăşurării procesului,
influenţând însă atât desfăşurarea procesului, cât şi mediul în care se desfăşoară acesta
– riscuri de infrastructură – sunt datorate elementelor, reţelelor, fluxurilor şi
relaţiilor prin care procesul se integrează în mediu; riscurile de infrastructură influenţează
atât mediul, cât şi procesul; există posibilitatea ca influenţa asupra procesului să fie
dublă: directă şi prin mediu.
(7) Din punctul de vedere al locului, cauzelor (mizelor) care produc riscul,
riscurile pot fi:
– riscuri interne (endogene) – cu mize sau cauze specifice sau intrinseci
procesului
– riscuri externe (exogene) – cu mize sau cauze localizate în exteriorul existenţei
tehnologice a procesului (mediu, infrastructură de integrare, vecinătăţi apropiate sau
depărtate etc.).
Atât riscurile exogene, cât şi cele endogene pot favoriza oportunităţi (câştiguri) sau
pot provoca pericole (pierderi).
(8) Din punctul de vedere al formei de manifestare, riscurile pot fi:
– riscuri convenţionale (simetrice) – sunt riscurile ale căror cauze sunt considerate
convenţionale (agresiuni armate, recesiuni economice, crize politice etc.)
– riscurile neconvenţionale (asimetrice) – sunt riscurile cauzate de acţiuni
asimetrice (terorism politic, atacuri informatice, acţiuni imagologice, acţiuni ce pot
provoca distrugeri sau catastrofe ecologice etc.)
Ambele categorii de risc sunt de natură să producă pierderi, dar unele din acţiuni
(situaţii) de criză, pot fi exploatate favorabil, deci pentru adversar au efecte pozitive.
(9) Din punctul de vedere al domeniului (mediului) pe care le caracterizează,
riscurile pot fi:
– riscuri sociale – caracterizează oportunităţi sau pericole sociale
– riscuri politice – caracterizeză oportunităţi sau pericole politice
– riscuri economice - caracterizeză oportunităţi sau pericole economice
– riscuri juridice – caracterizează disfuncţionalităţi juridice
– riscuri de mediu –reprezintă oportunităţi sau pericole de mediu
– riscuri ale sănătăţii populaţiei – caracterizaeză pericole de sănătate
– riscuri de securitatea muncii – caracterizează pericole de muncă
– riscuri de securitate – caracterizeză ameninţările, vulnerabilităţile sau nivelurile
de protecţie ale obiectivelor
– riscuri tehnologice – caracterizează facilităţile sau dificultăţile tehnologice
– riscuri de producţie – caracterizează oportunităţile sau disfuncţionalităţile de
producţie
– riscuri culturale – caracterizează variaţiile parametrilor culturali
– riscuri educaţionale – caracterizează oportunităţile şi disfuncţionalităţile
educaţionale.
(10) Din punctul de vedere al obiectivului, elementului, parametrului pe care le
caracterizează, riscurile pot fi:
– riscuri singulare – sunt riscurile cu referinţă unică – la un singur parametru,
element sau aspect
– riscuri complexe (globale, totale, cumulative) – sunt riscurile care reprezintă
sume ponderate de riscuri singulare
– Toate riscurile, indiferent de criteriile şi categoriile care le definesc, se împart, la
rândul lor, în funcţie de momentul analizei în raport cu atitudinea de tratare a
riscurilor în: riscuri iniţiale şi riscuri reziduale .
Riscurile iniţiale sunt riscurile identificate, evaluate şi determinate înainte de
aplicarea măsurilor de tratare a riscurilor. Riscurile reziduale sunt riscurile care rămân
după aplicarea măsurilor de tratare. Acestea, la rândul lor, pot fi: neglijabile,
acceptabile sau netratabile.

4. DETERMINAREA RISCULUI

Pentru a opera cu noţiunea de risc, este necesară determinarea acestuia


(identificarea, evaluarea, nominalizarea şi prioritizarea) astfel încât, din vasta paletă a
percepţiilor despre risc, să se stabiliească o anumită reprezentare a variabilei risc cu
care să se poată lucra, indiferent de cauze, manifestări, niveluri şi urmări, conform unei
culturi sociale sau tehnice specifică fenomenului, procesului sau sistemului pentru care se
realizează analiza de risc şi managementului guvernării acestuia.
Aşadar, determinarea urmează un proces interactiv prin care riscurile se
identifică (se descoperă ce tipuri de risc acţionează, care sunt cauzele apariţiei acestora,
care sunt factorii, ce valori sau parametrii afectează, ce evenimente sau consecinţe
însoţesc, generează şi dacă se pot trata sau nu), se evaluează, se stabilesc posibilităţile
de măsurare şi de evaluare a mărimii şi riscurilor variaţiilor, se determină sau se
calculează ori se estimează mărimile nivelurilor, amplitudinii şi abaterii riscurilor, se
stabilesc perioadele şi legile de evoluţie, costurile, consecinţele, impactul realizării
riscurilor, se nominalizează (prin denumire şi caracteristici măsurate sau estimate, prin
relaţii de cauzalitate sau de cumulare) şi se proritizează (după mărimea nivelurilor,
amplitudinii sau abaterilor ori după alte criterii), stabilindu-se, atât cât este posibil,
strategii de tratare, costurile tratării şi consecinţele acestora.
Determinarea riscurilor se concretizează întro listă de riscuri, cu denumiri şi
caracteristici, locuri de percepţie şi aprecieri sau estimări de tratare a acestora, precum şi
prin stabilirea unor relaţii de izomorfism sau autoizomorfism cu alte categorii de riscuri,
evenimente sau obiective.
Determinarea poate fi înscrisă întrun anumit fel, în teoria lui Olivier Sirost de
asociere a unei mărimi (valori) de operare la conceptul de risc. Se ajunge, în acest fel, ca
prin operaţia de determinare să se asocieze oricărei valori, acţiuni, fenomen, proces
sau sistem ori persoană sau grup de persoane un portofoliu propriu de risc ale cărui
principale caracteristici sunt mărimea nivelurilor calculate sau măsurate şi ierarhizarea
acestora (prioritizarea) în vederea tratării (rezolvării) sau utilizării.

4.1. IDENTIFICAREA RISCURILOR

Deşi există o similaritate evidentă între cele 3 noţiuni utilizate pentru constituirea
portofoliului de risc al unei valori, acţiuni, fenomen, proces, sistem, persoană sau grup de
persoane vom etapiza procesul de determinare a riscurilor, atribuind semnificaţii concrete
identificării, evaluării şi determinării riscurilor, astfel încât procesul logic al
determinării să fie definit şi să se poată opera cu acesta.
Din această perspectivă, identificarea riscurilor poate fi considerată o etapă de
percepere a acestora, de găsire a priori a posibilităţilor şi locurilor în care riscul se
poate manifesta în vederea orientării analizei de risc spre etapa calculelor şi
măsurătorilor, a evaluării. Rezultatele identificării depind foarte mult de calitatea şi
profesionalismul echipei care percepe riscurile, pe de o parte, şi de orizontul temporal, pe
de altă parte.
Pregătirea, desfăşurarea şi finalizarea identificării riscurilor trebuie algoritmizate
pentru a fi eficiente şi a permite trecerea la evaluare. Algoritmizarea este necesară şi din
perspectiva micşorării nivelului de subiectivism, dar şi pentru organizarea activităţii
astfel încât perspectiva asupra riscului să se apropie de valoarea unei expertize, întrun
orizont temporal cât mai bine dimensionat. Cu alte cuvinte, prin identificare înlăturăm o
parte a incertitudinii şi pregătim extinderea aplicaţiilor spre domeniul managementului,
asigurându–se pentru etapa evaluării, posibilitatea recursului la calcul şi la tehnică.
Ţinând seama de limitele identificării stabilite prin acest demers, se poate aprecia
faptul că aceasta este o fază preliminară a determinării, pentru a releva informaţii şi
corelaţii suficient de precise despre riscurile intuite, desprinse din studiu sau din realitate,
realizând bazele pentru:
• asumarea responsabilităţii de găsire a riscurilor
• comunicarea mesajului despre existenţa riscurilor, valorile afectate şi
posibilităţile de manifestare
• exprimarea necesităţilor de utilizare a riscurilor în guvernarea proceselor
• cunoaşterea mediului de manifestare a riscurilor şi valorificarea surselor de
cunoaştere a acestuia:experienţa personală, experienţa cunoştinţelor, educaţia
formată,relaţiile de lucru
• identificarea surselor de risc.
(1) Stabilirea obiectivelor determinării riscurilor pleacă de la necesitatea
că întrun mediu de incertitudine deciziile trebuie să guverneze schimbările şi să orienteze
variaţiile rezultatelor evenimentelor nominalizate, în condiţiile în care determinarea
riscurilor reprezintă o investigaţie în urma căreia se stabilesc factorii potenţialelor
modificări în strânsă corelaţie cu mediul de existenţă şi performanţele de sistem. De
asemenea, dat fiind faptul că determinarea riscurilor reprezintă, în esenţa sa un
instrument de cuantificare a riscului ce influenţează evoluţia în mediu, dar şi o etapă de
analiză şi diagnostic pentru guvernarea evoluţiei, determinarea riscului îşi stabileşte
obiectivele care pot fi :
 determinarea expunerii la risc a proprietăţilor, valorilor,
personalului şi acţiunilor organizaţiei
• perceperea dinamicii riscurilor şi a cauzelor (factorilor) producerii acestora
• stabilirea măsurilor de răspuns ale organizaţiilor pentru exploatarea,
valorificarea, diminuarea sau eliminarea riscurilor
• instituţionalizarea managementului de risc ca o componentă de bază a top
managementului
• dimensionarea bugetului managementului de risc
• definitivarea strategiei de risc şi a atitudinii organizaţiei faţă de aceasta
• operaţionalizarea managementului riscului.
(2) În funcţie de obiectivele stabilite, de regimul de
instituţionalizare şi operaţionalizare a managementului riscului se stabilesc obiectivele şi
amploarea acţiunii de identificare a riscurilor, în deplină corelaţie cu strategia de tratare
a acestora. În această fază a determinării (pentru identificare), strategia de risc trebuie să
prevadă, cel puţin, următoarele elemente:
• principalele categorii de risc tratate
• riscurile reziduale suportabile sau transferabile
• atitudinea faţă de categoriile şi nivelurile de risc
• resursele tratării riscurilor
• orizontul de timp pentru operaţionalizarea managementului de risc
• atitudinea top managementului faţă de managementul de risc
• orizontul de timp al verificării operaţionalizării şi managementului riscului
• obiectivele precise şi orizontul temporal al acţiunii de desfăşurare a riscurilor.
(3) Pentru a stabili o corespondenţă operaţională între obiectivele
strategice ale managementului riscului cele stabilite pentru determinarea riscurilor se
analizează rezultatele acţiunilor (1) şi (2) şi se armonizeză obiectivele vizând:
determinarea riscurilor în ceea ce priveşte amploare investigaţiei categoriile de risc
considerate prioritare şi bugetul la dispoziţie.
(4) În funcţie de amploarea investigaţiei, compunerea echipei de identificare şi
bugetul la dispozie, se stabilesc orizonturile de timp pentru acţiunile întreprinse, pe
categorii de riscuri, acţiunii, valori etc.
(5) Se reanalizează costurile posibile a fi suportate, în funcţie de priorităţile şi
orizonturile de timp stabilite.
(6) După stabilirea amploarei investigaţiei, a orizonturilor de timp şi a bugetului la
dispoziţie se constituie echipa de determinare a riscului din punctul de vedere al
categoriilor şi al numărului de specialişti. După constituire, echipa se investeşte cu
misiunea preliminară a determinării, i se oferă spaţii de lucru, timp de investigaţii
preliminare, i se pun la dispoziţie toate documentele necesare şi i se cere să realizeze
Planul de determinare a riscurilor.
(7) Planul de determinare a riscurilor cuprinde:
• acţiunile care se desfăşoară pentru determinarea riscurilor
• orizonturile de timp
• responsabilităţile membrilor echipei pentru fiecare acţiune
• resursele necesare.
După întocmire Planul de determinare a riscurilor se supune aprobării top
managementului. La sugestiile top managementului Planul poate fi îmbunătăţit, iar după
definitivare şi aprobare, începe implementarea acestuia.
Îmbunătăţirea Planului se poate face prin întoarcere la oricare acţiune din schema logică,
iar ciclul de îmbunătăţire poate fi singular sau multiplu.
(8) Identificarea riscurilor se face conform Planului
aprobat, cu specialiştii şi resursele alocate. În timpul desfăşurării acţiunii de identificare
pot să apară diferenţe faţă de Planul aprobat, care dacă nu afectează resursele şi
orizonturile de timp, sunt aprobate direct de către echipa de specialişti. Modificările care
antrenează mărirea bugetului sau a orizonturilor de timp trebuie supuse aprobării top
managementului.
În cazul în care la aprobarea Planului se intuiesc anumite cote de depăşire a bugetului
sau a orizonturilor de timp, se poate conveni existenţa unei împuterniciri speciale a
echipei de a gestiona un anumit procent de modificare, de regulă, nu mai mare de 10%.
(9) Acţiunea de identificare începe cu definirea mediului în care acţionează
entitatea pentru care se realizează acţiunea.
Din punctul de vedere al managementului riscului, definirea mediului înseamnă
stabilirea următoarelor coordonate:
• cadrul de existenţă a entităţii: politic, social, economic, juridic, existenţial,
relaţional şi de securitate
• variabilele (ca elemente cu variaţii între şi în timpul ciclurilor devenirii entităţii) şi
parametrii (cu variaţii între cicluri) care definesc dinamic entitatea cu relaţiile acestora
faţă de mediu: mărimi de intrare, mărimi de stare şi mărimi de ieşire
• oportunităţile şi ameninţările care influenţează dinamica existenţială a entităţii
(guvernarea variaţiilor)
• factorii cauzali care determină oportunităţile şi ameninţările
• strategiile de evoluţie a relaţiilor mediu–entitate
• rezultatele analizelor izomorfice pentru entităţile cu valenţe similare.
(10) După definirea mediului de existenţă a entităţii căreia i se determină riscul, se
stabilesc categoriile de risc care ar putea afecta entitatea. Analiza pleacă de la oportunităţi
şi ameninţări şi se corelează cu capabilităţile şi vulnerabilităţile entităţii care pot
valorifica sau favoriza realizarea riscurilor.
Stabilirea categoriilor de risc începe cu enunţarea categoriilor care se pot realiza
în mediul entităţii şi se încheie cu particularizarea unor riscuri ce apar ca evidente, din
observaţiile mediului, cunoaşterea entităţii şi din analizele izomorfice de risc,
evidenţiindu–se toate caracterisiticile de risc, intuitive sau cu valori determinate
izomorfic, vizând probabilităţi, posibilităţi sau frecvenţe de apariţie, impact sau
consecinţe, eventual relaţionalităţile între acestea
În listă se trec toate informaţiile cunoscute, dacă este posibil întro anumită ordine, cu
valori sau mărimi, indicându–se sursele de atirubuire. Acolo unde nu se cunosc informaţii
se poate specifica acest lucru, notând şi necesitatea determinării acestora sau, pur şi
simplu, nu se face nici o adnotare.
(11) Completarea listei se face prin efortul echipei de determinare, începând cu
stabilirea cauzelor şi condiţiilor de apariţie a riscurilor şi continuând cu:
(12) Stabilirea factorilor de risc şi corelaţiile dintre aceştia (oportunităţi şi
capabilităţi sau ameninţări şi vulnerabilităţi şi modul lor de conjuncţie sau de
favorabilitate).
(13) Stabilirea valorilor, persoanelor, proceselor şi zonelor afectate de riscuri,
completându–se, pe cât posibil, parametrii afectaţi şi variaţiile posibile ale acestora.
(14) Stabilirea consecinţelor şi a evenimentelor caracterizate de riscuri.
Se stabileşte pentru fiecare categorie de risc şi pentru fiecare risc identificat dacă acestea
sunt tratabile sau nu, iar dacă sunt tratabile care este atitudinea faţă de categoria sau
riscul respectiv (cum se tratează). Pentru categoria sau riscul pentru care se stabileşte că
nu poate fi tratat se propun măsuri: de aprofundare a studiului, de transfer, de neglijare
sau de ignorare.
Pe baza listei riscurilor identificate se trece la următoarea fază de determinare – evaluarea
Revenind la caracterizarea etapei de identificare a riscurilor, evidenţiem faptul că aceasta
presupune perceperea riscurilor şi a cauzelor (factorilor) care le produc şi trebuie să ţină
seama de:
• cauzalitatea şi consecinţele factorilor de risc
• orizonturile de timp în care aceştia se manifestă
• corelaţiile cauzelor şi factorilor şi de tendinţele lor cumulative
• rezultatele analizelor izomorfice asupra unor entităţi similare sau chiar şi asupra
unor entităţi diferite dar care coexistă în acelaşi mediu
• strategiile de evaluare şi de testare şi tratare a riscurilor.
Identificarea riscurilor trebuie să aibă în vedere atât elementele de mediu, cât şi
elementele entităţii încercând să asocieze riscurilor:
• categorii şi caracteristici procesuale şi funcţionale
• aspecte structurale şi organizatorice
• elemente raţionale şi de comunicaţii
• relaţii portofoliu – mediu – piaţă – asociaţii – grupuri de interese – reţele
• aspecte juridice şi procedurale
• elemente de protecţie fizică
• resurse informaţională
• organizarea managerială
• active implicate: oameni, proprietăţi, venituri, fond comercial
• exploatarea surselor informaţionale, relaţii izomorfice, fonduri puse la dispoziţie
• timp de analiză şi strategiile de exploatare a riscurilor.
Sursele de informaţii exploatate pe timpul identificării riscurilor vizează:
• documentele de organizare şi funcţionare, planurile de situaţie, rapoartele şi
deciziile, relaţiile, strategiile, planificarea, fondurile, investiţiile, contractele şi proiectele,
informaţiile despre personal, colaborările şi relaţiile cu alte organizaţii, în grupuri de
interese, în reţele, asociaţii, parteneriate, competiţii
• locaţiile organizaţiei, valorile imobiliare, personalul, structurile organizaţionale,
procedurile de lucru, comunicarea internă şi externă
• tot ce se poate culege din extern de la asociaţi, competitori, participanţi la
manifestaţii ştiinţifice, mass-media, foşti angajaţi, experţi, instituţii publice, asociaţii.
Pentru identificarea riscurilor se utilizează mai multe tipuri de procedee şi tehnici
printre care amintim:
• listele riscurilor identificate de experţii şi auditorii din organizaţiile care au
o astefel de activitate în portofoliu
• listele riscurilor identificate pe compartimente şi proiecte
• chestionarele standard de audit
• listele de control al riscurilor
• schema logică a producerii evenimentelor nedorite
• interviurile structurate – realizate de experţi
• consultaţiile – consfătuirile – brainstorming-ul care vizează atât
identificarea riscurilor, cât şi determinarea factorilor favorizanţi, precum şi măsurile de
răspuns
• auditurile de proces, calitate, securitate şi/sau de risc realizate de
organizaţii specializate sau de grupe de experţi din afară, cu sau fără participarea
experţilor organizaţiei
• tehnici speciale pentru identificarea cauzelor unor evenimente deosebit de
importante:analiza cauză – efect (diagrama FISHBONE sau ISHKAWA), analiza cauză –
rădăcină, analiza PARETO.

4.2. EVALUAREA RISCURILOR

Evaluarea riscurilor reprezintă a doua etapă a determinării riscurilor şi se


desfăşoară după identificare, dar nu ca o etapă absolut partajată de identificare, ci doar
distinctă ca rezultate, rigoare şi concluzii.
Evaluarea riscului îşi propune să realizeze următoarele obiective acţionale:
– estimarea probabilităţii şi impactului pentru fiecare risc
identificat pentru a se asigura înţelegerea şi calificarea acestuia
– concretizarea manifestării riscurilor identificate şi
determinarea posibilităţilor de tratare
– revizuirea şi amendarea riscurilor identificate în vederea
precizării atitudinii faţă de acestea
– evaluarea factorilor de risc, a oportunităţilor şi
capabilităţilor, pe de o parte, sau a ameninţărilor şi vulnerabilităţilor, pe de altă parte
– modalitatea de reprezentare a riscurilor şi a corelaţiilor
dintre acestea.
Procesul evaluării este deci un proces de determinare calitativă şi cantitativă a
riscurilor identificate, de completare a categorisirii lor, iar complexitatea sa depinde de:
modul de definire a riscului, multitudinea factorilor de risc şi efectul lor singular sau
cumulativ, modul de tratare a riscului, scala şi unitatea de măsură pentru reprezentarea
riscului, domeniul de activitate în care se utilizează riscul, sistemul de management al
riscului, expertiza şi atitudinea faţă de risc a echipei de evaluare, comportamentul
prioritar proactiv sau reactiv faţă de risc, procesul de adaptare a deciziilor care au la bază
analiza de risc,prioritizarea riscului şi costurile tratării acestora.
Estimarea probabilităţii, posibilităţii sau frecvenţei de producere a riscului este o
acţiune profesională cu importanţă deosebită asupra determinării riscului.Alegerea unuia
din cei trei parametrii se realizează în funcţie de modelul de formalizare a determinării
riscului, dar şi faţă de sursele şi informaţiile aflate la dispoziţie sau de posibilităţile de
măsurare ori timpul aflat la dispoziţie.
Decizia asupra alegerii parametrului aparţine echipei de determinare a riscului, ca o
măsură pur tehnică, profesională, şi se poate desfăşura conform.
Utilizarea probabilităţii ca parametru de determinare a riscului pare a fi cea mai
răspândită şi cea mai adecvată pentru categoriiile de risc economic, tehnic, social, având
corespondenţă directă cu guvernarea variabilităţilor şi a mecanismelor de reacţie, cu
metodele de comparare a nivelurilor de risc cu cele stabilite prin standarde sau strategii,
fiind mai uşor de calculat şi reprezentat.
De asemenea, utilizarea probabilităţii asigură şi o transformare relativ directă între
reperezentările calitative sau cantitatve, dând şi posibilitatea folosirii unor funcţii de
distribuţie (normală, triunghiulară, beta etc).
Adecvate utilizării probabilităţii sunt şi metodele statice ori expertizele izomorfice şi
autoizomorfice, dar şi observaţiile directe sau indirecte, obiective (calculate) sau
subiective (atribuite).
Determinarea probabilităţii este totuşi o metodă mai apropiată de modelarea
matematică a devenirii fenomenelor matematice, deci mai complicată şi mai costisitoare,
dar permite, datorită posibilităţilor multiple de reprezentare, orientarea spre tratarea
diferenţiată a riscurilor.
Probabilitatea poate fi reprezentată:
calitativ – aproximativ – ( probabilitate pe scalele de 7; 5 sau 3 valori )
cantitativ – probabilitatea calculată intre 0 şi 1 sau procentual (0%;100%)
prin funcţii de distribuţie (normală, triangulară, beta etc).
Pentru estimarea probabilităţii se pot utiliza o multitudine de metode, din care scoatem în
evidenţă:
metoda cercului (cu două sau mai multe valori)
metoda loteriilor (licitaţiei, expertizei)
metoda înălţimilor reprezentative
metoda arborelui evenimentelor
metoda arborelui erorilor
metoda raportului de şansă.
Estimarea posibilităţii producerii evenimentului caracterizat prin risc este curent
utilizată în caracterizarea eveimentelor de securitate conform modelului de formalizare.
Atribuirea pentru un eveniment nedorit a unui anumit risc (o anumită valoare) este
condiţionată de doi factori: posibilitatea de apariţie a evenimentului nedorit şi
consecinţele producerii acestuia.
Estimarea frecvenţei producerii evenimentului caracterizat prin risc se bazează pe
observaţii directe şi se utilizează în modelele de risc forlamlizate conform conjuncţiei
frecvenţă – impact, fiind exprimată în valori absolute sau în procente ori pe scala de
valori 0 – 5, utilizată pentru caracterizarea evenimentelor de securitate.
Determinarea frecvenţei de producere a evenimentelor nedorite se bazează pe studii
izomorfice de evenimente sau autoizomorfice, în cazul repetării unor evenimente în
organizaţie, şi presupune o analiză a statisticii în domeniu, observaţii atente asupra
modalităţilor de producere, analiză de caz, discuţii cu cei implicaţi, inclusiv cu făptuitorii,
cu autorităţile competenete (poliţie, pompieri, primării, institute meteorologice şi asociaţii
nonguvernamentale, experţi etc).
O importanţă majoră în stabilirea frecvenţei de producere a evenimentelor nedorite
o are studiul mediului în care se află organizaţia, vizând natura mediului, consistenţa
infrastructurii, vecinătăţile, schimbările de stare economică, precum şi orice alt factor de
mediu, care ar putea influenţa activitatea organizaţiei şi favoriza producerea de
evenimente nedorite (plasarea întro zonă inundabilă sau de coastă-valuri şi furtuni, ori
seismică, întrun cartier rău famat etc).
De asemenea, natura evenimentului determină, în mare măsură, frecvenţa sa de
producere (inundaţiile se pot produce în anumite perioade de timp, seismele au o anumită
perioadă de repetabilitate, pe când jafurile sunt aleatorii, dar furturile din magazine sau
din parcare au o repetabilitate dependentă de zona în care se produc).
(17) Estimarea impactului (consecinţelor) producerii evenimentului
cararacterizat prin risc reprezintă a doua acţiune a evaluării.
Drept impact sau consecinţe ale evenimentului caracterizat prin risc se consideră,
printre altele :
• câştigurile sau costurile suplimentare faţă de obiectivele stabilite prin decizia
care produce evenimentul
• câştigurile sau întârzierile de timp faţă de orizonturile stabilite prin obiective
• creşterile sau pierderile de calitate faţă de performaţele stabilite prin
prevederile standard, de tehnologie sau prin obiective
• creşteri sau scăderi de portofoliu
• creşteri sau pierderi de imagine
• creşteri sau sincope în utilitatea personalului
• facilităţi sau distorsiuni organizaţionale
• oportunităţi sau pierderi informaţionale
• creşteri sau scăderi de valori
• câştiguri sau pierderi de piaţă
• facilităţi sau blocaje financiare
• variabilităţi ale variabilelor sau parametrilor organizaţionali, funcţionali, sau
informaţionali
• distrugeri fizice
• pierderi de personal
• deteriorări informaţionale
• blocaje procesuale sau operaţionale
• costuri suplimentare.
Efectul pozitiv sau negativ al evenimentului schimbă radical percepţia riscului şi a
atitudinii faţă de acesta, alternativa fiind absolut definită, excluzându−se cu desăvârşire
efectele nule, nonatitudionale.
Acţiunea de determinare a consecinţelor producerii evenimentelor caracterizate prin risc
reprezintă o acţiune de complexă de analiză şi evaluare, având în vedere necesitatea
prognozării posibilelor câştiguri sau pagube atât directe, cât şi adiacente (indirecte,
colaterale, şi asociate).
Determinarea consecinţelor trebuie realizată de către o echipă de profesionişti (în,
calitate, organizare, resurse umane, imagologie, securitate, tehnologie, finanaţe,
marketing etc.) care trebuie să analizeze fiecare eveniment caracterizat prin risc posibil şi,
în funcţie de intensitatea şi frecvenţa acestuia de produceresă stabiliească:
câştigurile sau pierderile (costurile) directe:
• câştigurile sau pierderile financiare cauzate de producerea evenimentului
(valoarea profitului obţinut sau costul bunurilor furate sau degradate)
• scăderea sau creşterea primelor de asigurare pentru bunurile pentru care nu s-
au plătit daune, precum şi a cheltuielilor deductibile cu acoperirea asigurării
• bonificaţiile datorate anticipării termenelor de livrare sau penalităţile
contractuale cauzate de nerespectarea termenelor de livrare sau de prestare a serviciilor
• câştigurile obţinute prin valorificarea oportunităţilor procesuale,
organizatorice sau de integrare
• cheltuielile cauzate de înlăturarea efectelor producerii evenimentelor nedorite
şi de restabilire a stării de normalitate (înlăturarea elementelor degradate şi restabilirea –
repararea imobilelor sau echipamentelor avariate, costurile de spitalizare a personalului
accidentat şi pentru repunerea în funcţiune a utilajelor ori a liniilor tehnologice de
producţie)
• câştigurile obţinute în urma tehnologizării proceselor
• cheltuielile cauzate de modernizarea sau readaptarea măsurilor şi
mecanismelor de securitate şi de securitatea muncii (extinderea sau modernizarea
mecanismelor de securitate, achiziţionarea de noi echipamente pentru securitatea muncii,
mărirea numărului personalului de pază sau de supraveghere)
• câştigurile obţinute prin operaţionalizarea managementului organizaţiei
sau cheltuielile pentru operaţionalizarea managmentului general, de producţie, de
securitate şi pentru normalizarea situaţiei de funcţionalitate a organizaţiei după
producerea evenimentului nedorit
• câştigurile datorate integrării eficiente în mediu sau cheltuielile pentru sau
cheltuielile pentru restabilirea integrării în mediu, reluării legăturilor cu colaboratorii,
furnizorii şi clienţii, precum şi pentru refacerea climatului de comunicare
– câştigurile sau pirederile (costurile) indirecte:
• câştigurile datorate percepţiei pozitive sau costurile cauzate de percepţia
negativă a imaginii organizaţiei (securitatea sau insecuritatea generală şi/sau tehnologică,
încadrarea sau neîncadrarea în capacitatea de respectare a angajamentelor contractuale).
• câştigurile datorate creşterii operaţionalităţii sau pierderile cauzate de
micşorarea nivelului acesteia, descreşterea potenţialului reactiv şi proactiv al organizaţiei.
• câştigurile obţinute prin consolidarea segementului de piaţă sau costurile
readaptării şi ale recâştigării acesteia, cel puţin la performanţele dinaintea producerii
evenimentului nedorit.
• câştigurile obţinute prin evitarea producerii altor evenimente nedorite sau
lipsa acoperirilor asigurării producerii acestora cauzată de mărirea nivelului de risc al
bunurilor asigurate.
• câştigurile obţinute prin readaptarea şi profesionalizarea personalului sau
costurile refacerii moralului angajaţilor, intensificării şi lărgirii pregătirii acestora ale
exerciţiilor de protecţie, ale restricţionării deplasărilor şi chiar ale iniţiativei.
Câştigurile sau pierderile se comensurează sub formă de valori absolute sau relative
(procente, diferenţe) pentru fiecare intensitate sau frecvenţă de producere a evenimentelor
caracterizate prin risc sau pentru diferite dimensiuni sau limite ale acestora.
Este de preferat ca mărimile câştigurilor sau pierderilor să fie exprimate în
aceeaşi unitate de măsură, folosindu–se fie valori absolute, fie relative.
(18) După determinarea elementelor sau factorilor care modelează riscul, calculul
sau determinarea prin aprecieri (pe scale calitative) a parametrilor riscurilor (niveluri,
amplitudini şi abateri) se realizează pe baza modelelor agreate de echipa de determinare.
De pildă, dacă modelul ales este formalizat prin R = p * I (probabilitatea în
conjuncţie cu impactul), riscul se obţine prin înmulţirea valorilor probabilităţilor cu
valorile impactului sau consecinţelor dacă R = p * C.
Dacă modelul este R = P * I, atunci se utilizează în conjuncţie posibilitatea cu
impactul, iar dacă modelul este R = F * I, atunci în conjuncţie se introduce frecvenţa.
Dacă modelul ales este R = O ∩ C (oportunitatea în conjuncţie cu capabilitatatea)sau R
= A ∩ V (ameninţarea în conjuncţie cu vulnerabilitatea) se determină întâi nivelurile de
oportunitate, capabilitate, ameninţare sau vulnerabilitate şi apoi se detemină nivelurile de
risc. Amplitudinile şi abaterile riscului se calculează în raport cu nivelurile de risc şi,
numai în cazuri particulare sau care impun acest lucru, se determină şi amplitudinile şi
abaterile factorilor de risc cu conotaţii pozitive sau negative.
(19) Stabilirea modalităţii de reprezentare a riscurilor constituie nu numai o
problemă de imagine, fiind legată direct şi de:
– modelele şi metodele de determinare a riscurilor (calitative, cantitative, variaţii,
cu probabilităţi, posibilităţi sau frecvenţe, pe scale absolute, procentuale sau zecimale, pe
histograme, diagrame etc.)
– obiectivele interpretării riscului şi legătura cu strategia de exploatare sau
reducere a riscurilor
– schemele de nominalizare şi prioritizare a riscurilor
– configuraţia listelor de reprezentare
– structurile Planurilor de contingenţă şi de management al riscului
– compromisul între perceperea intuitivă a riscurilor şi analiza strict matematică.
(20) Evaluarea ca etapă a determinării riscurilor se încheie prin finalizarea listei
riscurilor completată cu parametrii sau caracteristicile acestora.
(21) După completare, lista riscurilor se compară cu obiectivele stabilite pentru
determinarea riscurilor. Dacă lista completată corespunde, se trece la faza determinării
finale, iar dacă nu corespunde, se reia procesul identificării şi evaluării de la oricare
acţiune considerată că poate îmbunătăţi rezultatele.

4.3. FINALIZAREA DETERMINĂRII RISCURILOR

Faza finalizării determinării riscurilor cuprinde patru acţiuni:


• nominalizarea (denumirea, stabilirea titlurilor) riscurilor
• stabilirea locurilor de acţiune a riscurilor, a parametrilor, sau performanţelor pe
care acestea le afectează
• prioritizarea riscurilor prin ierarhizarea acestora după nivelul de risc sau după
oricare alt criteriu care facilitează exploatarea sau protecţia diferenţiată
• stabilirea atitudinii faţă de risc: care riscuri se transferă (se asigură), care se
tratează (exploatează, valorifică, atenuează, combat) şi care se neglijează (nu se iau în
consideraţie sau se ţin sub observaţie fără a se iniţia măsuri faţă de acestea).
(22) Stabilirea nominalizării (denumirilor) riscurilor sau a titlurilor acestora,
deşi pare o acţiune mai puţin tehnică, reprezintă o acţiune de analiză şi sinteză şi este
realizată, de obicei, de specialiştii cei mai buni ai echipei de determinare.
Relevanţa denumirilor sau titlurilor riscurilor este direct legată de stabilirea criteriilor
de prioritizare şi a măsurilor de exploatare sau tratare a riscurilor.
Denumirea iniţială a riscurilor are în vedere, de regulă, denumirile oportunităţilor sau
ameninţărilor ori a capabilităţilor sau vulenerabilităţilor. La stabilirea denumirilor sau
titlurilor riscurilor se mai asociază, de asemenea, denumirile şi titlurile locurilor de
acţiune a riscurilor sau efectele pozitive sau negative ale acestora, ignorându–se definirea
riscului ca indicator, măsură, valoare sau utilitate şi conotaţia pozitivă sau negativă a
acestora. De cele mai multe ori asociaţiile sunt orientate către conotaţiile negative, de
tipul:
• riscul financiar al proiectului
• pierderea segmentului de piaţă
• riscul de accidente
• riscul infracţional
• riscul tehnic.
Aceste denumiri sunt generale, adecvate unor categorii de risc, dar nu pot fi asociate
direct nici cu modelele de determinare şi nici cu măsurile de exploatare sau tratare a
riscului.
Pentru a înţelege ambiguitatea din denumirile generale ale riscurilor, vom analiza
aspectul riscului care caracterizează un accident.
Denumirea riscului de accident este dedusă din ameninţarea pericolului de
accident care se poate transforma în accident doar în condiţiile în care ameninţarea este
favorizată de vulnerabilităţi tehnice sau organizatorice: nerespectarea tehnologiei de
lucru, nerespectarea procedurilor operaţionale, lipsa de pregătire sau lipsa de educaţie în
domeniul securităţii muncii. Deci riscurile care trebuie gestionate în acest domeniu se
referă la aspecte concrete, nu la accidente în general, măsurabile: riscul pierderii de vieţi
omeneşti, riscul intoxicării cu ..., riscul distrugerii utilajului..., riscul blocării liniei de
montaj, riscul depăşirii timpului tehnologic.
Un alt exemplu în privinţa stabilirii denumirilor sau titlurilor riscurilor este cel
referitor la pierderea imaginii unei organizaţii.
Ameninţarea pierderii imaginii este o preocupare majoră a organizaţiilor, dar
aceasta este direct asociată riscului de imagine.
Prin riscul de imagine înţelegem însă riscurile cauzate de pierdera imaginii şi care
se referă la: scăderea profitului, blocarea comunicării cu partenerii, creşterea dobânzilor,
pierderea surselor de creditare, pierderea clienţilor etc.
(23) După stabilirea denumirilor şi titlurilor se determină locurile, valorile,
informaţiile, persoanele şi parametrii care sunt caracterizaţi prin risc şi se completează
lista riscurilor.
Această acţiune este mai facilă, având în vedere, că de foarte multe ori, se pleacă
la identificarea riscurilor de la valorile afectate. De stabilirea precisă a elementelor
afectate de risc depinde în cea mai mare măsură eficienţa exploatării sau tratării
riscurilor. Se completează lista riscurilor cu aceste elemente şi se trece la acţiunea
stabilirii măsurilor de exploatare şi tratare a riscurilor.
(24) Acţiunea de prioritizare a riscurilor se referă la reprezentarea acestora în
listă, în ordinea mărimii nivelurilor de risc şi la categorisirea acestora conform celor
cinci trepte ale scalei valorilor de risc: dezastruos, major, mediu, mic, neglijabil.
În afara criteriului mărimii valorilor nivelurilor de risc, pot fi utilizate şi alte
criterii de prioritizare, ca: mărimea probabilităţii, posibilităţi sau frecvenţei de producere,
vulnerabilitatea elementelor afectate, prioritatea investiţiilor, cerinţele operaţionale,
diferite interese majore sau disponibilităţi normative sau monetare.
Prioritizarea după alte criterii decât mărimea nivelului de risc împarte riscurile în
mai multe categorii, dar în interiorul acestor categorii se poate aplica criteriul ierarhiei
după nivelurile de risc. La două niveluri de risc egale, departajarea se face după
amplitudine sau abatere ori după un alt criteriu.
Prioritizarea riscurilor se încheie cu codificarea acestora, care permite operarea
mai uşoară în grile sau matrice, chiar şi, în planuri, cu categorii de risc identificate.
Codificarea poate fi formată din grupe de la 2 la 3 cifre sau litere şi cifre
având, de regulă, următoarele semnificaţii: apartenenţa la categoria de risc,ordinea de
prioritate, elementele afectate, atitudinea faţă de riscul respectiv sau şansa de exploatare
ori tolerare a acestuia conotaţia pozitivă sau negativă.

(25) Stabilirea acţiunii faţă de fiecare risc se pune de acord cu Planurile de


contingenţă şi de management al riscurilor şi ţine direct de natura riscurilor şi de
elementele afectate. Măsurile sunt organizatorice, tehnice, educaţionale sau de securitate
şi se concretizează prin acţiuni adecvate de exploatare şi tratare a fiecărui risc determinat.
Stabilirea unor măsuri, în general, nu este eficientă, iar costurile de exploatare şi
tratare a riscurilor nu sunt deloc neglijabile.
Finalizarea acţiunii de determinare a riscurilor se realizează prin definitivarea
listei (grilei, matricei) riscurilor prioritizate şi a atitudinii faţă de acestea.
INSTITUŢIA: MINISTERUL EDUCAŢIEI ŞI CERCETĂRII
COMPARTIMENTUL DE AUDIT PUBLIC INTERN

LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE ŞI ANALIZA DE


RISC AFERENTĂ ACESTORA

Denumirea misiunii de audit: Inventarierea patrimoniului aferentă anului 2008


Perioada auditată: 01.01.2008-31.12.2008

Total punctaj (T)


Criterii de analiză a
Obiecte auditabile Ameninţările (riscurile) riscului

Aprecierea cantitativă

Aprecierea calitativă
Pondere internAprecierea auditului

Pondere

Pondere
Nivel

Nivel
Nivel

1 2 3 4 5 6 7 8 9
1. Verificarea pregătirii inventarierii patrimoniului
• inexistenţa procedurilor scrise cu privire la
inventariere
1.1. Existenţa • netransmiterea către comisia de
0,5 2 0,3 2 0,2 2 2
procedurilor scrise inventariere a procedurilor scrise adaptate la
specificul instituţiei
• neformalizarea inventarierii
1.2. Stabilirea • inexistenţa unui ordin scris privind 0,5 2 3 3 2,5
comisiei de inventariere stabilirea comisiei de inventariere 0,3 0,2
• în cadrul comisiei de inventariere sunt
numite persoane fără pregătire
corespunzătoare în domeniul tehnic şi
economic
• din comisia de inventariere face parte
gestionarul depozitului supus inventarierii
sau contabilul care ţine evidenţa gestiunii
respective.
• înlocuirea membrilor comisiilor de
inventariere fără a exista decizie scrisă în
acest sens

• neluarea măsurilor de inventariere;


• asigurarea unor condiţii necorespunzătoare
1.3. Stabilirea
de lucru pentru comisiile de inventariere;
responsabilităţilor în
• inventariere necorespunzătoare din cauza 0,5 2 0,3 1 0,2 1 1,5
efectuarea inventarierii
necunoaşterii responsabilităţilor.

1 2 3 4 5 6 7 8 9
• inexistenţa declaraţiei scrise luată
1.4. Luarea declaraţiilor
gestionarului răspunzător de gestiunea
de inventar 0,5 2 0,3 2 0,2 2 2
bunurilor, înainte de începerea operaţiunii
de inventariere.
• nebararea şi nesemnarea, la ultima
operaţiune, a fişelor de magazie;
• nevizarea documentelor care privesc
1.5. Semnarea
intrări sau ieşiri de bunuri, existente în
ultimelor documente de
gestiune, dar neînregistrate; nedispunerea 0,5 1 0,3 2 0,2 2 1,5
intrare sau ieşire
înregistrării acestora în fişele de magazie şi
nepredarea lor la contabilitate, astfel încât
situaţia scriptică a gestiunii să reflecte
realitatea.
2. Verificarea realizării efective a inventarierii patrimoniului
• inventarierea imobilizărilor corporale să se
facă fără constatarea existenţei şi
apartenenţei acestora la unităţile
deţinătoare;
• inventarierea terenurilor să se efectueze
2.1. Inventarierea fără a avea la bază documentele care atestă
bunurilor. proprietatea acestora; 0,5 2 0,3 2 0,2 2 2
• neevidenţierea în mod distinct a bunurilor
din domeniul public al statului şi al
unităţilor administrativ-teritoriale, date în
administrare instituţiei publice;
• omiterea inventarierii anumitor bunuri.
• necuprinderea în liste a tuturor bunurilor
inventariate;
• neinventarierea şi neînscrierea în liste
separate a bunurilor aparţinând altor unităţi;
• pentru bunurile depreciate, inutilizabile
sau deteriorate, fără mişcare sau greu
vandabile, precum şi pentru creanţele sau
obligaţiile incerte ori în litigiu nu s-au
2.2. Întocmirea şi
întocmit liste de inventariere separate sau
completarea listelor
situaţii analitice separate, după caz; 0,5 2 0,3 2 0,2 3 2,2
de inventar.
• înscrierea în listele de inventariere a
mărcilor poştale, a timbrelor fiscale,
tichetelor de călătorie, bonurilor cantităţi
fixe, nu s-a făcut la valoarea lor nominală;
• pentru toate elementele de activ şi de pasiv
aflate la terţi nu s-au făcut cereri de
confirmare a soldurilor care să se ataşeze la
listele respective.

• necunoaşterea declarării şi înregistrării


2.3. Inventarierea tuturor documentelor la timp şi cronologic
bunurilor aflate în privind bunurile aflate în custodie;
0,5 2 0,3 1 0,2 3 1,9
custodie. • omiterea inventarierii unor bunuri aflate în
custodie.

1 2 3 4 5 6 7 8 9
• pe ultima filă a listei de inventariere
gestionarul nu a menţionat dacă toate
bunurile şi valorile băneşti din gestiune au
fost inventariate şi consemnate în listele de
2.4. Semnarea şi datarea
inventariere în prezenţa sa;
listelor de inventar 0,5 2 0,3 2 0,2 2 2
• listele de inventariere nu au fost semnate
pe fiecare filă de către membrii comisiei de
inventariere şi de către gestionar;
• listele de inventariere sunt incomplete,
prezintă spaţii libere sau ştersături.
3. Verificarea modului de valorificare a rezultatelor inventarierii
• erori în stabilirea stocului faptic;
• neînregistrarea tuturor intrărilor de bunuri;
3.1. Definitivarea stocului
• stabilirea stocurilor faptice nu s-a făcut 0,5 2 0,3 1 0,2 1 1,5
faptic
prin numărare, cântărire, măsurare sau
cubare, după caz.
• erori în stabilirea stocului scriptic;
3.2. Definitivarea stocului
• necorelarea stocului scriptic cu cel faptic. 0,5 2 0,3 2 0,2 1 1,8
scriptic
• nevalorificarea corectă a inventarierii;
3.3. Stabilirea rezultatelor
• efectuarea incorectă a eventualelor 0,5 2 0,3 2 0,2 1 1,8
inventarierii
compensări cantitative sau valorice.
• rezultatele inventarierii nu au fost înscrise
de către comisia de inventariere într-un
proces-verbal;
3.4. Întocmirea
• procesul verbal de valorificare a
procesului-verbal de
rezultatelor inventarierii nu conţine
valorificarea a 0,5 2 0,3 1 0,2 2 1,7
elemente specifice, cum ar fi data
inventarierii.
inventarierii, numărul şi data deciziei de
numire a comisiei de inventariere, propuneri
de scoatere din uz a obiectelor de inventar şi
declasarea sau casarea unor stocuri etc.
• stabilirea incorectă a plusurilor sau
minusurilor de inventar;
• pentru toate plusurile, lipsurile şi
deprecierile constatate la bunuri nu s-au
primit explicaţii scrise de la persoanele care
3.5. Stabilirea şi au răspunderea gestionării bunurilor
definitivarea plusurilor respective;
0,5 2 0,3 2 0,2 2 2
sau minusurilor • în cazul constatării unor plusuri în
gestiune, bunurile respective nu au fost
evaluate la valoarea justă;
• în cazul constatării unor lipsuri în
gestiune, imputabile, administratorii nu au
luat măsura imputării acestora la valoarea
de înlocuire.
• neînregistrarea corectă în contabilitate a
rezultatelor inventarierii;
3.6. Înregistrarea în
• rezultatele inventarierii nu au fost
contabilitate a rezultatelor
înregistrate în evidenţa tehnic-operativă în 0,5 2 0,3 1 0,2 3 1,9
inventarierii
termen de cel mult trei zile de la data
aprobării procesului-verbal de inventariere
de către ordonatorul de credite;
1 2 3 4 5 6 7 8 9
• rezultatele inventarierii nu s-au stabilit
prin compararea datelor constatate faptic şi
înscrise în listele de inventariere cu cele din
evidenţa tehnico-operativă (fişele de
magazie) şi din contabilitate.
4. Verificarea modului de completare a registrului inventar
• în Registrul-inventar nu au fost înscrise
rezultatele inventarierii elementelor de activ
şi de pasiv, grupate după natura lor,
conform posturilor din bilanţ;
4.1. Conducerea
• elementele de activ şi de pasiv care au fost
registrului- inventar 0,5 2 0,3 1 0,2 2 1,7
înscrise în Registrul-inventar nu au la bază
listele de inventariere, procesele-verbale de
inventariere şi situaţiile analitice, după caz,
care să justifice conţinutul fiecărui post
din bilanţ.
4.2. Concordanţa dintre • completarea necorespunzătoare a
inventar şi datele Registrului inventar, în sensul neasigurării
0,5 2 0,3 2 0,2 2 2
menţionate în registrul- concordanţei dintre rezultatele inventarierii
inventar. şi datele specificate în Registrul-inventar.

LEGENDĂ:
Aprecierea controlului intern:
• control intern corespunzător – nivel 1
• control intern insuficient – nivel 2
• control intern cu lipsuri grave – nivel 3
Aprecierea cantitativă:
• impact financiar slab – nivel 1
• impact financiar mediu – nivel 2
• impact financiar important – nivel 3
Aprecierea calitativă:
• vulnerabilitate redusă – nivel 1
• vulnerabilitate medie – nivel 2
• vulnerabilitate mare – nivel 3
Auditorii au apreciat faptul că ponderea criteriilor de analiză a riscului este
următoarea:
• aprecierea controlului intern ................................... 50%;
• aprecierea cantitativă (impact financiar) .......................... 30%;
• aprecierea calitativă (vulnerabilitate) ........................... 20%.
În acest context, dacă mediul de control intern din cadrul organizaţiei este unul
format, puternic acest lucru conduce la obţinerea de către auditori a unei asigurări de 50%
privind acest mediu. Totodată în cadrul acestui mediu de control puternic, auditorii pot
obţine o asigurare de 30% respectiv 20% privind impactul operaţiilor financiare şi
vulnerabilitatea entităţii.
În urma calculării punctajelor totale au rezultat următoarele clase de risc cu
punctajele aferente:
RISC PUNCTAJ
• MIC: 1.0 - 1.9
• MEDIU: 2.0 - 2.4
• MARE: 2.5 - 3.0

Notă
Nivelul riscurilor a fost evaluat pe baza ghidului de evaluare prezentat mai jos:

Nivelurile
de risc 1 2 3
Criterii de analiză
Controlul Conducerea şi/sau Conducerea şi/sau Conducerea şi/sau
intern personalul demonstrează o personalul demonstrează personalul demonstrează o
atitudine cooperantă, o atitudine cooperantă cu atitudine necooperantă şi
existând preocuparea de a privire la conformitate, nepăsătoare cu privire la
anticipa şi înlătura păstrarea dosarelor, şi conformitate, păstrarea
problemele apărute; reviziilor externe; dosarelor, sau reviziile
auditurile anterioare şi auditurile anterioare sau externe; auditurile
studiile preliminare nu au studiile preliminare au anterioare sau studiile
descoperit nici un fel de descoperit anumite preliminare au descoperit
probleme; există şi sunt în probleme, dar conducerea probleme deosebite; nu
funcţiune tehnici de control a luat măsuri de există şi nu sunt în
intern adecvate şi remediere şi a răspuns funcţiune tehnici de control
suficiente. satisfăcător la intern adecvate şi
recomandările auditului; suficiente; procedurile de
există şi sunt în funcţiune control intern lipsesc sau
tehnici de control intern sunt puţin utilizate.
adecvate şi suficiente.
Impactul Pierderile pe care instituţia Pierderile pe care Pierderile pe care instituţia
financiar le poate suporta în instituţia le poate suporta le poate suporta în
eventualitatea producerii în eventualitatea eventualitatea producerii
riscului asociat activităţii de producerii riscului asociat riscului asociat activităţii de
auditat sunt minime. activităţii de auditat sunt auditat sunt maxime.
situate la un nivel mediu.
Vulnerabilitatea Resursele umane sunt Resursele umane au un Resursele umane nu sunt
adecvate activităţii de grad mediu de adecvare adecvate în raport cu
auditat; operaţiunile sunt în raport cu activităţile de activităţile de auditat;
simple, puţin numeroase şi auditat; operaţiunile sunt operaţiunile sunt complexe,
similare; mijloacele tehnice complexe, mai puţin cu variaţii repetate;
existente necesare numeroase şi cu variaţii mijloacele tehnice existente
desfăşurării activităţii sunt ocazionale; mijloacele sunt insuficiente în raport
suficiente. tehnice existente sunt cu activităţile auditate.
insuficiente în raport cu
activităţile auditate.