Documente Academic
Documente Profesional
Documente Cultură
Evaluarea riscurilor
Evaluarea riscurilor presupune evaluarea probabilităţii (P) de
materializare a riscurilor şi a impactului (I) (consecinţelor) asupra
obiectivelor în cazul în care acestea se materializează.
Combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al
impactului constituie expunerea la risc (E), în baza căreia se realizează
profilul riscurilor.
Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor unei
organizaţii care, în funcţie de tolerabilitatea la risc, permite stabilirea celor
mai adecvate modalităţi de tratare şi gestionare a riscurilor.
Evaluarea preliminară a riscurilor constă în parcurgerea următoarelor
etape:
a. Evaluarea probabilităţii de apariţie a riscului – reprezintă
determinarea şanselor de apariţie a unui rezultat specific. Probabilitatea este
o măsură a incertitudinii.
b. Evaluarea impactului – stabileşte care sunt consecinţele asupra
obiectivelor urmărite dacă riscurile s-ar materializa /produce.
c. Evaluarea expunerii la risc – reprezintă combinaţia dintre
probabilitate şi impact, pe care o poate resimţi o organizaţie în raport cu
obiectivele prestabilite, în cazul în care riscul s-ar materializa.
În aceste condiţii, expunerea la risc se calculează după
formula:
E=PxI
unde:
- E este expunerea la risc;
- P este probabilitatea de apariţie a riscului;
- I este impactul asupra obiectivelor, dacă riscul s-ar materializa.
Expunerea la risc este direct proporţională cu fiecare termen al
produsului care îl generează, respectiv atât cu probabilitatea de apariţie a
riscului, cât şi cu impactul acestuia asupra activităţii la care se referă.
Este evident că un risc cu expunerea mare (probabilitate de apariţie
ridicată şi impact ridicat în cazul materializării) nu este echivalent cu un risc
căruia i se asociază expunerea mică (probabilitate de apariţie scăzută,
impactul scăzut în cazul materializării).
Gruparea riscurilor identificate într-o organizaţie în funcţie de expunerea la
risc conduce la realizarea profilului de risc al organizaţiei.
Evaluarea riscurilor trebuie:
➢ să se bazeze pe utilizarea unei scale de evaluare relevantă şi
consecventă (de exemplu, în 3 sau în 5 trepte);
➢ să aibă în vedere toate activităţile care sunt afectate de riscul
respectiv;
➢ să facă distincţia între expunerea la risc şi toleranţa la risc.
Pentru a evalua şi cuantifica riscurile asociate diferitelor activităţi/acţiuni
şi deci implicit de a aprecia probabilitatea de apariţie a riscurilor şi impactul
pe care acestea îl pot avea asupra obiectivelor organizaţiei, în cazul
materializării lor, coordonatorul structurii de audit intern va stabili un set
de criterii de apreciere/analiză a acestora, astfel încât toate
componentele – elementele cuprinse în universul de audit să poată fi
auditate într-un interval minim de trei ani.
Criteriile privind aprecierea/analiza riscurilor pot fi:
a) Pentru aprecierea probabilităţii – element calitativ, ce evaluează
posibilitatea de apariţie a riscurilor şi care se poate exprima pe o scală
valorică, pe 3 sau mai multe niveluri. De exemplu: stabilitatea cadrului
normativ, complexitatea şi periodicitatea operaţiilor, calitatea personalului
(experienţă, grad de ocupare, vechime), fluctuaţie de personal, performanţa
tehnologică etc.
Astfel, pentru o:
Probabilitate scăzută – nivel 1: Cadrul legislativ nu a suferit modificări
în ultimii 3 ani, activităţile au un nivel redus de complexitate, personalul are
experienţă de cel puţin 3 ani, gradul de ocupare cu personal este ridicat,
riscul nu a suportat modificări de la ultima misiune de audit.
Probabilitate medie – nivel 2: Cadrul legislativ a suportat mici modificări
în ultimii 3 ani, activităţile au un nivel mediu de complexitate, personalul are
experienţă de cel puţin 1 an, gradul de ocupare cu personal este mediu,
riscul a suportat modificări mici de la ultima misiune de audit.
Probabilitate mare – nivel 3: Cadrul legislativ a fost modificat des în
ultimii 3 ani, activităţile au un nivel ridicat de complexitate, personalul nu are
experienţă, gradul de ocupare cu personal este scăzut, riscul a suportat
modificări majore de la ultima misiune de audit.
Observatie!!!!!
În practică, fiecare organizaţie care are un sistem propriu de evaluare a
riscurilor va identifica şi stabili criteriile specifice de evaluare a
probabilităţii de apariţie a riscurilor în funcţie de specificul şi
complexitatea activităţii sale. Auditorul intern va evalua gradul de relevanţă
a criteriilor stabilite de organizaţie şi va decide dacă se poate baza pe acest
sistem de evaluare în planificarea activităţii de audit intern.
b) Pentru aprecierea impactului – element cantitativ, care se realizează
prin evaluarea efectelor riscului în cazul în care acesta s-ar produce şi se
poate exprima pe o scală valorică pe 3 niveluri, astfel: impact scăzut, impact
moderat şi impact ridicat. De exemplu, pot fi utilizate următoarele criterii:
pierderi de active, costuri de funcţionare, întreruperea activităţilor, imaginea
organizaţiei etc.
Astfel, pentru un:
Impact scăzut – nivel 1: Nu există pierderi de active (materiale,
financiare, umane), afectarea imaginii organizaţiei este redusă, costurile de
funcţionare nu sunt afectate, calitatea serviciilor furnizate nu este afectată,
nu există întreruperi în activitatea curentă.
Impact moderat – nivel 2: Pierderile de active (financiare, materiale,
umane) sunt reduse, afectarea imaginii organizaţiei este moderată, creşterea
costurilor de funcţionare este moderată, calitatea serviciilor furnizate este
afectată în mică măsură, există mici întreruperi în activitate etc.
Impact ridicat – nivel 3: Pierderi semnificative de active (financiare,
material, umane), imaginea organizaţiei este afectată în mod semnificativ,
costuri ridicate de funcţionare, calitatea serviciilor furnizate este afectată
semnificativ, întreruperi semnificative în activitate etc.
Observatie!!!!
În practică, fiecare organizaţie, în funcţie de specificul şi complexitatea
activităţii, va identifica şi stabili criteriile specifice pe baza cărora se va
aprecia impactul asupra obiectivelor în cazul în care riscul se materializează.
Auditorul intern va evalua gradul de relevanţă a criteriilor stabilite de
organizaţie şi va decide dacă se poate baza pe acest sistem de evaluare în
planificarea activităţii de audit intern.
Matricea de risc a organizaţiei
La nivelul organizaţiei este recomandat să se pregătească o matrice a
riscurilor. Matricea riscurilor este un instrument folosit pentru a
reprezenta grafic scorurile agregate ale impactului şi probabilităţii. Nu
este responsabilitatea auditorului intern să întocmească o astfel de matrice
pentru organizaţie, dar el va analiza riscurile identificate şi le va lua în
considerare (în funcţie de probabilitate şi impactul aşteptat) atunci când îşi
face planificarea misiunilor – respectiv în planul de audit intern.
În schimb, este obligatoriu pentru coordonatorul activităţii de audit intern
ca în pregătirea planului de audit intern să revizuiască rezultatele evaluărilor
de risc efectuate de conducerea organizaţiei sau să elaboreze evaluarea
independent, astfel încât să existe o bază solidă, justificată, a planului
strategic de audit intern şi a abordării decise.
O matrice de evaluare a expunerii la risc (în “3 trepte” sau “5 trepte”) este
una bidimensională sau, cu alte cuvinte, de tip matriceal.
➢ Liniile matricei descriu variaţia impactului,
➢ Coloanele matricei descriu variaţia probabilităţii,
➢ Intersecţia liniilor de probabilitate şi a coloanelor de impact
delimitează intervalul în care se va încadra gradul de expunere la
risc.
Ierarhizarea riscurilor – se realizează pe baza punctajelor totale
obţinute din evaluarea riscului – expunerilor la risc, iar activităţile/acţiunile
auditabile se pot împărţi în:
activităţi/acţiuni cu risc mic, pentru E = 1 sau 2;
activităţi/acţiuni cu risc mediu, pentru E = 3 sau 4;
activităţi/acţiuni cu risc mare, pentru E = 6 sau 9
Stabilirea nivelului de toleranţă
Toleranţa la risc reprezintă „cantitatea” de risc pe care o organizaţie este
pregătită să o tolereze sau la care este dispusă să se expună la un moment
dat. În raport cu expunerea la risc, toleranţa la risc poate fi definită pe
următoarele niveluri: