Curs Auditor Intern - Prezentare Managementul Riscului

Auditor intern în sectorul public
Managementul riscului în entități

publice
Lector Formator:
Ing. Ec. Adelina Elena Dobre
Top Quality Management 1

Managementul riscului
Rezumatul cursului
• Cerințe legale
• Definirea riscului
• Clasificarea riscurilor
• Principiile managementului riscului la nivel organizațional
• Analiza mediului organizaţional
• Definirea obiectivelor generale şi a celor specifice
• Definirea activităţilor de îndeplinire a obiectivelor
• Identificarea riscurilor
• Evaluarea riscurilor
• Toleranța la risc
• Răspunsul la risc – controlul riscurilor
• Monitorizarea şi controlul riscurilor
• Raportarea riscurilor

Cerințe legale
• Principalele acte normative care stau la baza
reglementării Managementului riscurilor (MR) sunt
următoarele:
• Ordonanţa Guvernului nr. 119/1999 privind controlul

intern/managerial şi controlul financiar preventiv,
republicată, cu modificările şi completările ulterioare;
• Ordinul Secretarului General al Guvernului nr. 600/2018

privind aprobarea Codului controlului intern managerial al
entităţilor publice.

Cerințe conform standardelor IIA
2100 – Tipul activității
Activitatea de audit intern trebuie să evalueze și să contribuie la

îmbunătățirea proceselor de guvernanță, managementul riscului și
controlul organizației, folosind o abordare sistematică și metodică bazată
pe risc. Credibilitatea și valoarea auditului intern sunt crescute atunci când
auditorii sunt proactivi și evaluările lor oferă noi perspective și iau în
considerare impactul viitor.

2120 – Managementul riscului
Activitatea de audit intern trebuie să evalueze eficacitatea și să contribuie

la îmbunătățirea proceselor de management al riscului.
Stabilirea faptului că procesele de management al riscului sunt eficace
reprezintă un raționament bazat pe evaluarea auditorului intern cu privire
la următoarele aspecte:
• Obiectivele organizaționale sprijină misiunea organizației și sunt
corelate cu aceasta;
• Riscurile semnificative sunt identificate și evaluate;
• Sunt selectate răspunsurile adecvate la risc, care pun în concordanță
riscurile cu apetitul organizației la risc;
• Informațiile relevante cu privire la riscuri sunt colectate și comunicate
în timp util în cadrul organizației, permițând personalului,
managementului și consiliului să-și îndeplinească responsabilitățile.
Procesele de management al riscului sunt monitorizate prin activități

continue de management, evaluări separate sau prin ambele modalități.
2120.A1 – Activitatea de audit intern trebuie să evalueze expunerile la risc

privind guvernanță organizației, operațiunile și sistemele informaționale,
privind:
• Îndeplinirea obiectivelor strategice ale organizației;
• Fiabilitatea și integritatea informațiilor financiare și operaționale;
• Eficacitatea și eficiența operațiunilor și programelor;
• Protejarea activelor; și
• Conformitatea cu legi, regulamente, politici, proceduri și contracte.
2120.A2 – Activitatea de audit intern trebuie să evalueze posibilitatea de

apariție a fraudei și modul în care organizația gestionează riscul de fraudă.

2120.C1 – În timpul misiunilor de consiliere, auditorii interni trebuie să

abordeze riscurile în concordanță cu obiectivele misiunii și să fie vigilenți
cu privire la existența altor riscuri semnificative.
2120.C2 – Auditorii interni trebuie să țină cont de informațiile privind

riscurile, obținute în cadrul misiunilor de consiliere, pentru evaluarea
proceselor de management al riscului din cadrul organizației.
2120.C3 – Când sprijină conducerea la stabilirea sau îmbunătățirea

proceselor de management al riscului, auditorii interni trebuie să evite să-
și asume orice responsabilitate managerială care presupune, în fapt,
gestionarea riscurilor.

Eveniment, Incident și Risc
• Evenimentul poate fi înțeles ca acea întâmplare sau
schimbare observată în comportamentul unui sistem, unui
mediu, unui om, în desfășurarea unui proces, activități sau
unei sarcini.
• Exemple de evenimente:
• Un anume angajat a ajuns la serviciu;
• O aplicație software a fost pornită;
• Sistemul de operare s-a actualizat;
• Linia de fabricație s-a oprit;
• Am început prima zi de curs;
• O caracteristică a evenimentului este aceea de a putea fi

localizat temporal și spațial, adică știu despre el când și unde
a avut sau va avea loc.
• Incidentul este un eveniment care creează un impact negativ
suficient de mare încât să merite o atenție specială. De multe ori
incidentele generează urmări și impun intervenții, acțiuni, un
comportament de altă natură decât cel obișnuit.
• Exemplele anterioare le modificăm în incidente:

• Un anume angajat a întârziat la serviciu → impact negativ:
pentru că a întârziat angajatul va fi penalizat sau anumite
activități vor fi amânate;
• O aplicație software s-a virusat → impact negativ: cel puțin o
activitate este blocată temporar până la remediere;
• Sistemul de operare s-a defectat→ impact negativ: computerul
nu mai poate fi folosit;
• Linia de fabricație este blocată→ impact negativ: nu se mai pot
fabrica produse;
• Cursul s-a anulat înainte de finalizare → impact negativ: cursanții
nu mai beneficiază de informațiile/cunoștințele furnizate
• Incidentul este un eveniment nedorit, neașteptat care perturbă
desfășurarea normală a unei activități și care implică un efort de
remediere.
• Există evenimente care devin incidente numai în momentul în care
depășesc un prag predefinit sau nu se mai încadrează într-un
interval de acceptabilitate (sau toleranță).
• De exemplu:
• depășirea termenului de plată cu mai mult de 5 zile poate fi
considerat pragul peste care evenimentul este considerat
incident.
• nefiind un eveniment normal, apariția unei reclamații este
considerată un incident, dar fiindcă aceasta nu depășește un
anumit prag, incidentul rămâne nesemnificativ, fiind privit ca o
excepție și nu generează îngrijorare sau impune acțiune. Dacă
însă numărul de reclamații crește și ajunge să depășească un
anumit prag, de exemplu 10 reclamații/zi/serviciu furnizat,
aceasta poate fi o situație care atrage atenția și impune
remediere pentru a nu genera riscuri.
0
Definiţia riscului
• Riscul reprezintă o situație, un eveniment care nu a apărut
încă, dar care poate apărea în viitor, caz în care obținerea
rezultatelor prealabil fixate este amenințată sau potențată;
astfel, riscul poate reprezenta fie o amenințare, fie o
oportunitate și trebuie abordat ca fiind o combinație între
probabilitate și impact. (OSGG 600/2018).
• Riscul reprezintă posibilitatea ca un eveniment sau o acţiune să

afecteze abilitatea unei entități de a funcţiona şi/sau de a îşi urmări
îndeplinirea obiectivelor sale.
• Riscul reprezintă un eveniment sau o condiţie incertă care, dacă

apare, are un efect pozitiv sau negativ asupra obiectivelor entității.
• Riscul include atât ameninţările asupra obiectivelor cât şi

oportunităţile de a îmbunătăţi aceste obiective.
• Riscul reprezintă posibilitatea apariţiei unei deviaţii de la un obiectiv

stabilit. Top Quality Management 1
1
Definiţia riscului
Deviaţia negativă = AMENINŢARE

Deviaţia pozitivă = OPORTUNITATE

2
Tipologia riscului
• Riscul inerent – Riscul privind îndeplinirea obiectivelor, în absenta
oricarei acțiuni pe care ar putea-o lua conducerea, pentru a
reduce fie probabilitatea fie impactul acestuia.
• Riscul rezidual - Riscul privind îndeplinirea obiectivelor, care

rămâne dupa stabilirea și implementarea răspunsului la risc.
• Riscul operațional – Risc care poate afecta capacitatea unui

compartiment de a-și atinge obiectivele specifice.
• Risc semnificativ / strategic / ridicat – Risc major, reprezentativ care

poate afecta capacitatea entităţii de a-şi atinge obiectivele; risc
care ar putea avea un impact şi o probabilitate ridicată de
manifestare şi care vizează entitatea în întregimea ei.

3
Consecinţele apariţiei riscului
• CONSECINŢE DIRECTE - includ creşterea/scăderea duratei
de realizare obiectivului operaţional/ strategic/ general şi a
costurilor faţă de valoarea estimată a atingerii acestuia.
• CONSECINŢE INDIRECTE - apar din interacţiunea dintre

diferite riscuri.
Riscul în activitatea unei entități se referă la probabilitatea de a

nu se respecta obiectivele stabilite în termeni de:
• eficacitate (atingerea rezultatelor obtinute în raport cu cele
proiectate),
• eficiență (maximizarea rezultatelor în raport cu resursele
utilizate),
• economicitate (minimizarea costurilor).
Top Quality Management – Curs Managementul riscului 1

4
INCERTITUDINE şi CERTITUDINE
Riscul este o incertitudine şi nu ceva sigur.
Riscul este o posibilitate şi nu un fapt împlinit.
Problemele care vor apărea cu siguranţă reprezintă

certitudini şi nu riscuri.
Certitudinile trebuie gestionate. În cele mai multe
cazuri ele determină o schimbare de strategie, de
obiective şi o realocare de resurse.

5
INCERTITUDINE şi CERTITUDINE
Riscuri Neconformități
• Nu au apărut incă dar e • Sunt in desfașurare

posibil să apară
• Nu produc pierderi • Produc pierderi de
deocamdată dar e posibil diverse tipuri
să producă
• Nu se cunosc dar se pot • Se cunosc/se manifestă
identifica
• Putem întreprinde • Putem intreprinde
acțiuni de diminuare a corecții asupra efectelor
efectelor sau prevenire

6
Enunțarea riscului
Un enunț al riscului trebuie să îndeplinească cumulativ,
următoarele condiții:
 Să descrie o întâmplare sau un eveniment viitor;
 Să fie posibil (enunțurile care descriu evenimente imposibile nu
sunt riscuri);
 Să fie incert (un enunț care descrie un eveniment sigur nu e risc ci
certitudine, respectiv o problemă);
 Să afecteze sau să favorizeze îndeplinirea obiectivului sau a
activității, în situația in care se manifestă.
Exemplu:
Să presupunem că una dintre activitățile entității este evidențierea
prezenței la locul de muncă. Următorul enunț nu îndeplinește condiția
de risc: Lipsa evidențierii prezenței la locul de muncă. - Neagă
activitatea și nu îndeplinește prima condiție, respectiv nu reprezintă o
întâmplare viitoare care afecteaza prezența angajaților la locul de
muncă.
7
Riscul ca oportunitate
• Au fost identificate două nivele la care riscurile se pot transforma
in oportunități, și anume:
• nivelul macro al entității – se pot identifica oportunități care pot

conduce la creșterea performanțelor.
Exemplu:
O companie publică se confruntă cu un nivel agresiv al concurenței
pe piața producerii și desfacerii de produse. Deoarece nu poate
reduce prețul mai mult din cauza costului mare de producție,
realizează o analiză de detaliu în urma căreia observă:
- posibilități de desfacere pe noi piete (alte zone geografice)
- posibilitatea producerii și desfacerii unui produs similar, care poate
înlocui produsul original și poate fi oferit la un preț mai mic pe piață
datorită costului mai redus de producție.
Plecând de la amenințarea concurenței, compania își dezvoltă
activitatea (prin extinderea pieței, a produselor și serviciilor oferite) și își
crește cifra de afaceri.
8
Riscul ca oportunitate
• Au fost identificate două nivele la care riscurile se pot transforma
în oportunități, și anume:
• nivelul micro – operațional – pe langă identificarea riscurilor și a

oportunităților realizată la nivelul entității este necesară și
identificarea acestora la fiecare nivel specific/de activitate.
Exemplu:
Compania care și-a extins activitatea prin diversificarea ofertei, trebuie să
urmarească să nu se confrunte cu riscul de a nu face față comenzilor. Aceasta
trebuie să urmarească în continuare realizarea obiectivelor pe fiecare activitate în
parte, în cazul nostru, activitatea de contractare și desfacere.
În cazul în care riscul aferent acestei activități exista, compania poate incheia
contracte de asociere cu terți care ii pot facilita accesul și pe alte piețe de
desfacere. Plecând de la amenințarea riscului aferent activității de contractare și
desfacere, compania își dezvoltă activitatea (prin extinderea parteneriatelor, a
contractelor).

9
La ce ajută un bun management al
riscurilor?
Managementul entității poate utiliza două abordări de bază în
luarea deciziilor:
• Managementul problemelor
• Managementul riscului
• Managementul problemelor presupune gestionarea de către

conducere a efectelor problemelor apărute in derularea
activităților și în atingerea obiectivelor organizaționale.
• Managementul problemelor implică luare de decizii in cazuri

de genul: a picat echipamentul X, nu avem materiale sau
utilități, nu funcționeaza Y echipament. Aceste probleme
necesită stabilirea de masuri corective și induc costuri cu
pierderile înregistrate. Pot să apară pierderi care nu mai pot fi
recuperate (ex. oameni sau echipamente)

riscurilor?
Managementul entității poate utiliza două abordări de bază în
luarea deciziilor:
• Managementul problemelor
• Managementul riscului
• Managementul riscurilor presupune identificarea evenimentelor

posibile ce pot afecta desfășurarea activităților în viitor si
gestionarea efectelor acestora, astfel incât pierderile, în caz de
menifestare să se situeze in limite acceptabile.
• Managementul riscurilor implică stabilirea de măsuri de

pregătire pentru risc, prevenire si reducere a efectelor
acestuia în caz de manifestare.

MANAGEMENTUL RISCURILOR
Managementul riscurilor – Procesul care vizează identificarea,
evaluarea, gestionarea (inclusiv tratarea) și constituirea unui plan de
măsuri de atenuare a riscurilor, revizuirea periodică, monitorizarea și
stabilirea responsabilităților.
Procesele de management al riscurilor vizează asigurarea unui control

la nivelul întregii entităţi care să permită menţinerea unui nivel
acceptabil al expunerii la risc cu costuri minime.
Controlul intern este asociat direct cu managementul riscurilor, deoarece, prin

măsurile luate, se asigură, în mod rezonabil, un cadru funcțional ce permite
entității publice să își atingă obiectivele.

2
MANAGEMENTUL RISCURILOR - PROCESE

PRINCIPIILE MANAGEMENTULUI RISCULUI LA NIVEL
ORGANIZAȚIONAL
 Managementul riscului la nivel organizațional porneşte de la

premisa că fiecare entitate există pentru a oferi valoare
părţilor interesate. Până la atingerea acestui scop, entitatea
se poate confruntă cu o serie de incertitudini.
 Riscul este considerat efectul incertitudinii asupra punerii în
practică a strategiei şi atingerii obiectivelor organizaţionale.
 O provocare pentru conducere este de a determina cât
mai multă incertitudine, respectiv cât mai multe riscuri pe
care este capabilă entitatea să le accepte.
 Un sistem de management al riscului eficient permite
conducerii să echilibreze ameninţările cu oportunităţile în
scopul de a îmbunătăţi capacitatea entităţii de a-şi crea,
păstra şi îmbunătăţi valoarea.

PRINCIPIILE MANAGEMENTULUI RISCULUI LA NIVEL ORGANIZAȚIONAL

MISIUNE, VIZIUNE ȘI VALORI
 MISIUNE
 Explică de ce există entitatea şi detaliază obiectul de activitate. Defineşte
activitatea de bază a entității precum şi clienţii cheie. Declaraţia de
misiune prevede direcţia şi aria de activitate a entității.
 VIZIUNE - o descriere a ceea ce intenţionează să realizeze entitatea în viitor.

 Reprezintă o direcţie comună şi cuprinde valorile principale ale organizaţiei.
 Descrie crezul entității.
 VALORI - reprezintă convingerile și principiile care guvernează o organizație,

ceea ce permite ghidarea liniilor directoare de acțiune și a conduitei
persoanelor care lucrează în cadrul organizației. Ele reprezintă principiile
etice care susțin acțiunile entității.

 MISIUNEA administraţiei publice este de a fi permanent în slujba comunității locale pentru

a rezolva nevoile acesteia, asigurând astfel îmbunătățirea calității vieții cetățenilor UAT-
ului într-o manieră transparentă, echitabilă, competentă şi eficientă, prin furnizarea de
servicii la un înalt standard de calitate în context naţional şi internaţional.
 VIZIUNEA
 UAT-ul X îşi propune să furnizeze servicii de calitate către beneficiari și să realizeze
modernizarea, transparentizarea, inovarea și responsabilizarea administrației publice
locale într-o manieră care să garanteze cel mai înalt nivel de încredere publică, urmărind
promovarea excelenței administrației publice locale.
 Viziunea UAT-ului X este de a crește permanent nivelul de comunicare cu cetățenii,

implicarea în comunitate și sporirea transparenței decizionale la nivelul consiliului local și
prin intermediul liderilor capabili să abordeze problemele actuale la nivel local, național și
global și să asigure o bună guvernare în toate domeniile vieții.
 Reuşita UAT X în îndeplinirea politicilor şi obiectivelor sale se fundamentează pe respectul

faţă de lege şi cetăţean, performanţă, disciplină, integritate, onestitate, spirit de echipă,
capacitate de inovare, egalitate de şanse, responsabilitate socială și principiul
nediscriminării.

 VALORILE care stau la baza activității noastre în serviciul public sunt:
 Profesionalism, competență și inovație în execițiul funcției publice

 Transparența actului administrativ
 Flexibilitatea, adaptabilitatea și dinamism
 Calitatea serviciilor publice furnizate
 Onestitatea și integritate în exercitarea funcției pubice
 Comunicarea eficientă inter și intra – instituțională
 Respectarea normelor eticii și deontologiei profesionale
 Colaborarea și implicarea în comunitate
 Integritatea și prevenirea corupției
 Responsabilitate și utilizarea eficientă a fondurilor
 O mai bună reglementare și proceduri administrative eficiente
 Inovațiile în guvernarea electronică

DEZVOLTAREA STRATEGIEI
 Planificarea Strategică este procesul prin care organizația își

dezvoltă misiunea, viziunea, valorile (principiile
conducătoare), obiectivele generale și strategiile specifice
pentru îndeplinirea obiectivelor generale. Procesul ajută o
instituţie să decidă ce doreşte să realizeze şi care sunt
principalele acţiuni pe care trebuie să le întreprindă în viitor.
 Planul Strategic Institutional (PSI) este un document de
management si de programare bugetara interna a unei
institutii, pe termen lung (6-10 ani) și mediu (2-4 ani).
 PSI vizeaza utilizarea eficienta a resurselor financiare, având
la baza obiective, programe, rezultate, indicatori. Acesta
ofera o imagine clara a politicilor, angajamentelor si
masurilor care urmeaza a fi promovate la nivelul institutiei.
 PSI isi propune sa faca trecerea de la un management de
administrare a resurselor catre un management orientat spre
performanță.
PLAN STRATEGIC INSTITUȚIONAL

PLAN STRATEGIC INSTITUȚIONAL

Management Riscului: componentă esenţială în
Implementarea strategiei organizaţionale
• Reprezintă baza dezvoltării unei strategii durabile pentru realizarea
obiectivelor entității.
• Reprezintă baza pentru planificare şi luare a deciziilor.
• Permite evitarea crizelor şi risipei de resurse prin reacţii neadecvate la
evenimente neprevăzute.
• Permite alocarea şi folosirea eficientă a resurselor interne.
• Conduce la un management proactiv în locul unuia pasiv sau reactiv.
• Permite minimizarea efectelor riscurilor şi a probabilităţii de apariţie a
evenimentelor negative în cadrul entității.
• Permite controlul în timp real al activităţilor din entitate.
• Facilitează protejarea de efectele negative ale apariţiei acestor
evenimente.
• Conduce la repartizarea de răspunderi clar delimitate în cadrul
entității, creând o cultură activă de prevenire a riscului la toate
nivelurile organizației.
riscurilor?
• Incertitudinea este o realitate cotidiană. De aceea reacţia la
incertitudine trebuie să devină o preocupare permanentă
pentru orice entitate şi managerii ei.
• Este deja dovedit că “este mai bine să previi, decât să

constaţi un fapt împlinit” pe care să fii olbigat să îl repari cu
costuri semnificativ mai mari, şi nu numai de natură
financiară.
• Managementul riscurilor facilitează realizarea eficientă şi

eficace a obiectivelor organizaţiei.
• Managementul riscurilor asigură condiţiile de bază pentru un

control intern sănătos, proactiv şi nu doar reactiv.
Abordarea managerială
În managementul riscurilor, nu modelele şi tehnicile

sunt cele mai importante, ci atitudinea faţă de risc,
iar aceasta este, în primul rând, un aspect al culturii
organizaţionale ce se formează în timp, şi nu un
rezultat al unor norme impuse.

OBIECTIVE – Cerințe OSGG 600/2018
• Conducerea entității publice stabilește obiectivele generale astfel încât acestea să fie
corelate cu misiunea și scopurile entității publice și cu respectarea principiilor de
economicitate, eficiență și eficacitate.
• Conducerea entității publice transpune obiectivele generale în obiective specifice și în

rezultate așteptate pentru fiecare activitate și le comunică salariaților.
• Obiectivele specifice trebuie astfel definite încât să răspundă pachetului de cerințe

„SMART“ (specifice, măsurabile, adecvate, realiste, cu termen de realizare).
• Stabilirea obiectivelor este în competența conducerii entității publice, iar responsabilitatea

realizării acestora este atât a conducerii, cât și a salariaților.
• Stabilirea obiectivelor are la bază formularea de ipoteze/premise, corelată cu prevederile

actului normativ de organizare și funcționare a entității publice. Obiectivelor specifice și
activităților li se atașează indicatori de performanță și se comunică salariaților de către
fiecare conducător.
• Conducerea entității publice actualizează/reevaluează obiectivele ori de câte ori constată

modificarea ipotezelor/ premiselor care au stat la baza fixării acestora sau pentru a ține
cont de schimbările semnificative în activitate, bugetul alocat și priorități.

OBIECTIVE – Definiţie
Obiectivul general (Strategic, Scopul organizaţional) reprezintă
enunțul ce descrie un efect pozitiv pe care conducerea entității își
propune să îl realizeze sau un efect negativ pe care conducerea entității
își propune să îl evite.
• Obiectivul strategic = o declarație clară, încadrată temporal, privind
impactul politicilor care au scopul de a sprijini realizarea viziunii instituției și
care este fezabil să fie obținut pe durata Planului Strategic Instituțional.
• Vizează în principiu beneficiile obţinute de obicei după o perioadă de
exploatare operaţională a serviciului/produsului realizat .
• Este o declaraţie care descrie situaţia viitoare dorită, pe
termen lung.
• Se enunţă la timpul prezent, ca şi cum ar fi realizat. Reprezintă
însă proiecţia, în timp, a beneficiilor aşteptate.
• Se poate realiza prin diferite proiecte de investiţii, proiecte de schimbare
sau proiecte punctuale pentru care se vor defini obiective specifice.

Categorii de OBIECTIVE
a) obiective operaționale - cuprind obiectivele legate de scopurile entității
publice, cu privire la eficacitatea și eficiența funcționării acesteia, respectiv
de utilizarea în condiții de economicitate, eficiență și eficacitate a
resurselor, incluzând și obiectivele privind protejarea resurselor entității
publice, de utilizare inadecvată sau cu pierderi;
b) obiective de raportare - cuprind obiectivele cu privire la fiabilitatea

informațiilor externe și interne, respectiv legate de ținerea unei contabilități
adecvate, de calitatea informațiilor utilizate în entitatea publică sau
difuzate către terți, precum și de protejarea documentelor împotriva a
două categorii de fraude: disimularea fraudei și distorsionarea rezultatelor;
c) obiective de conformitate - cuprind obiectivele privind conformitatea cu

legile, regulamentele și politicile interne, respectiv legate de asigurarea că
activitățile entității se desfășoară în conformitate cu obligațiile impuse de
legi și de regulamente, precum și cu respectarea politicilor interne.

OBIECTIVE SPECIFICE
OBIECTIVE SPECIFICE (OPERAŢIONALE) - descriu, de regulă,
rezultate sau efecte așteptate ale unor activităţi care trebuie
atinse pentru ca obiectivul general corespunzător să fie
îndeplinit; acestea sunt exprimate descriptiv sub formă de
rezultate şi se stabilesc la nivelul fiecărui compartiment din
cadrul entităţii publice.
• sunt principalele elemente concrete care trebuie
realizate pentru a atinge obiectivul general
organizaţional
• obiectivele trebuie să se refere la conţinut, înţelegând că
trebuie să pună în operă o soluţie funcţională, integrată,
operabilă, în vederea obţinerii prin exploatarea ei, a
beneficiului dorit.
Obiectivul se obţine prin realizarea mai multor activităţi (şi

nu se defineşte ca activitate).
Obiectivele specifice:
recomandări privind formularea lor
Obiectivele corect definite trebuie să fie SMART:
pecifice: definite clar, cu precizarea pe cât posibil a

criteriilor de realizare.
ăsurabile: permit să se ştie în ce măsură sunt îndeplinite

(cantitativ şi calitativ).
cceptate: convenite împreună cu toate părţile

interesate.
ealizabile şi relevante: în condiţiile date, cu aptitudinile şi

resursele disponibile şi fără să încerce imposibilul.
• În imp clar definit : se specifică clar data până la care

trebuie realizate.

Entitatea XYZ a inregistrat în anul 2021 un număr de 1.300 reclamații de la clienții nemulțumiți de serviciile prestate de
compartimentul avizare/autorizare. Pentru a Îmunătăți situația în anul 2022, XYZ și-a stabilit următorul obiectv specific,
aferent compartimentului avizare/autorizare: Reducerea numărului de reclamații cu 15% până la sfârșitul anului.
Analiza:
Specific: Obiectivul e specific, respectiv se referă la ceva concret, punctual, reducerea numărului de reclamații din
partea clienților nemulțumiți.
Măsurabil: Obiectivul NU este măsurabil întrucât nu a fost specificată referința la care se raportează măsurarea. 15%
raportat la ce? 15% din cât? Neavând o bază la care se ne raportăm, nu putem măsura realizarea.
Accesibil: probabil că obiectivul este Accesibil și poate fi realizat, cu toate acestea nu au fost precizate mijloacele și
resursele necesare.
Relevant: obiectivul este relevant întrucât reducerea numărului de reclamații va îmbunătăți serviciile oferite, lucru
benefic pentru entitate, angajați și clienți.
Temporal – fomularea „până la sfârșitul anului” NU respectă condiția de temporalitate. Ca să fie temporal trebuie
specificate ziua, luna și anul.

OBIECTIVE INDIVIDUALE – Definiţie
OBIECTIVE INDIVIDUALE - descriu, de regulă, rezultate sau efecte

așteptate la nivelul unui post de lucru/funcții și care se definesc
în fișa postului sau într-un alt document similar.
Exemplu
Întocmirea planului de achiziții pâna la termenul prevăzut în
procedura de achiziții.

Obiectivele generale și specifice- exemplu
• Compartiment AUDIT INTERN
• Obiectiv general: Dezvoltarea și îmbunatatirea unui

sistem de control intern adecvat, cu caracter preventiv,
detectiv și corectiv
• Obiectiv specific: Furnizarea de asigurări conducerii

prin organizarea metodică și sistematică a procesului
de audit de către compartimentul audit intern, conform
Planului anual de audit intern, astfel încât constatările și
recomandările să conducă la îmbunătățirea calității
activităților auditate în proporție de 100%
Termen 31.12.2021

SPECIFICAŢIILE REZULTATELOR
De regulă, obiectivul include un enunț care reflectă o acțiune (creșterea,
asigurarea, dezvoltarea, menținerea, optimizarea, reducerea, etc) și vizează
obținerea unor rezultate.
Exemplu:
• Obiectiv specific: Furnizarea de asigurări conducerii prin organizarea

metodică și sistematică a procesului de audit de către compartimentul audit
intern, conform Planului anual de audit intern, astfel încât constatările și
recomandările sa conducă la îmbunătățirea calității activităților auditate în
proporție de 100%
• Rezultat concret: 6 misiuni de audit efectuate, 100% recomandări
adoptate.
• Obiectiv specific: Creșterea gradului de competență al salariaților prin

absolvirea unui program de formare profesională în managementul riscului de
20 de angajaţi din compartimentele de producție, până la 30 septembrie 20XX
• Rezultat: 20 de angajaţi (5 manageri din cele 3 compartimente de
producţie şi căte 4 angaţi subordonaţi lor), au absolvit cursul de
managementul riscului derulat in 4 zile de câte 6 ore pe zi.
Exemple de bune practici - obiective
Obiective specifice:
• Focalizarea eforturilor organizației pe o viziune a viitorului, pe misiunea pe
care o are de înfăptuit și pe obiectivele ce compun aceasta misiune
• Îmbunătățirea managementului activităților organizației, astfel încât in anul
20xx peste 75% din clienți să aprecieze serviciile furnizate cu calificativul
Foarte Bun
• Diminuarea birocrației
• Diminuarea birocrației în cadrul organizației prin analiza și revizuirea
procedurii de comunicare, astfel incat perioada de răspuns la o solicitare
din partea tertilor să fie de maxim 20 de zile de la primirea ei.
• Perfectionarea profesionala continuă a angajaților în funcție de
reglementările în vigoare
• Dezvoltarea competențelor profesionale ale angajaților în funcție de
rezultatele evaluării performantelor profesionale și reglementările în vigoare
astfel încât până la data de 10.10.20XX un numar de 20 de angajati sa
urmeze și să promoveze un curs de formare în managementul riscului.
Greșeli în definirea obiectivelor
 Obiectivele specifice sunt definite în ROF

 Sunt definite obiective deja îndeplinite (copy/paste)
 Sunt definite activităţi şi nu obiective
 Obiectivele nu sunt S.M.A.R.T., în special nu sunt realizabile sau nu se pot
măsura
 Obiectivele sunt definite în mod formal, fără a se cunoaşte ce se doreşte
să se obţină în fapt.
 Nu există o corelaţie adecvată între obiective şi resursele alocate pentru
îndeplinirea lor
 Obiectivele sunt definite, dar nu sunt utilizate practic în procesul de
management
 Stabilirea de obiective tip ”șablon”: aceleași obiective le are atât un UAT
cu 500 de angajați cât și unul cu 20 de angajați.
OBIECTIVE - Studii de caz
Definire obiectiv cu privire la eficacitatea și eficiența funcționării activității de
achiziții publice
Pentru funcționarea compartimentelor entității, activitățile de achiziții publice

asigură procurarea bunurilor, serviciilor și lucrărilor necesare, la calitatea cerută și
termenele stabilite
Se definește următorul obiectiv pentru ca Șeful compartimentui să dețină controlul
asupra activităților de achiziții (privind procurarea necesarului de bunuri, servicii și
lucrări pentru funcționare)
Obiectiv general
Asigurarea bunurilor, serviciilor și lucrărilor necesare compartimentelor entității în
condiții de economicitate, eficiență, eficacitate și la termenele stabilite
Rezulte/ținte
Îndeplinirea Programului anual al achizițiilor publice peste 95%

Peste 95% din achizițiile efectuate (valoric) să îndeplinească condițiile de calitate
și să fie realizate la termen
Descrierea Standardului 8 –
Managementul riscului
Conducătorul entității publice organizează și implementează un
proces de management al riscurilor care să faciliteze realizarea
obiectivelor acesteia în condiții de economicitate, eficiență și
eficacitate.
Entitățile publice își definesc propriul proces de management

al riscurilor adaptat dimensiunii, complexității și mediului
specific, în vederea identificării tuturor surselor posibile de risc
și pentru diminuarea sau eliminarea probabilității și impactului
riscurilor.

Cerințele Standardului 8 – Managementul riscului
Conducerea entității publice stabilește vulnerabilitățile și

amenințările aferente obiectivelor și activităților, care pot
afecta atingerea acestora.
Conducătorul entității publice are obligația organizării și

implementării unui proces eficient de management al riscurilor,
în principal, prin:
a) identificarea riscurilor în strânsă legătură cu activitățile din
cadrul obiectivelor specifice a căror realizare ar putea fi
afectată de materializarea riscurilor; identificarea
amenințărilor/ vulnerabilităților prezente în cadrul activităților
curente ale entității care ar putea conduce la nerealizarea
obiectivelor propuse și la săvârșirea unor fapte de corupție și
fraude;

Identificarea riscurilor
• Riscurile trebuie identificate la orice nivel unde se constată că
există consecinţe asupra atingerii obiectivelor şi pentru care
pot fi luate măsuri specifice de soluţionare a problemelor
ridicate de respectivele riscuri.
• Riscurile nu pot fi identificate şi definite decât în raport cu
obiectivele a căror realizare este afectată de materializarea
lor.
• Definiţi clar sistemul de obiective, începând cu cele generale
şi terminând cu cele specifice, apoi activităţile specifice
necesare pentru realizarea acestor obiective, şi numai după
aceea încercaţi să identificaţi ameninţările şi oportunităţile.

Identificarea riscurilor – bune practici
• Nu pierdeți din vedere că riscul este o problemă (situație,
eveniment etc.) care poate să apară, dar care nu a apărut încă.
• Dacă circumstanțele se pot repeta, tratați problemele dificile și

ca riscuri.
• Considerarea unor ficțiunii ca fiind riscuri generează risipa de

resurse și disiparea eforturilor spre probleme ipotetice, știut fiind
faptul că fiecare risc identificat necesită elaborarea unui plan de
răspuns.
• Nu identificați ca riscuri probleme care vor apărea cu siguranța.

Acestea nu sunt riscuri, ci certitudini.
• Nu definiți riscurile prin negarea obiectivelor. O astfel de definire

nu este adecvată nici pentru impact și cu atât mai puțin pentru
riscuri.
Identificarea riscurilor – bune practici
• Riscurile nu trebuie definite prin impactul lor asupra obiectivelor.
Impactul nu este risc, ci consecința materializării riscurilor asupra
realizării obiectivelor. Impactul este un efect ce își are sorgintea în
risc și nu riscul însăși.
• Nu identificați riscuri care nu afectează obiectivele. Nu există

riscuri în mod absolut, ci numai riscuri corelate cu obiectivele.
Identificarea riscurilor nu este un scop în sine. Scopul identificării
riscurilor este tocmai inventarierea acelor probleme care ar putea
conduce la nerealizarea obiectivelor, dacă s-ar materializa (ar
deveni situații de fapt).
• Riscurile au o cauză și un efect asupra obiectivelor. Efectul

(consecință) este reprezentat de impact. Cauza este o situație
care există (circumstanță) și care favorizează apariția riscului.

Identificarea riscurilor – exemplu
• Activitate: Efectuarea unei deplasări cu avionul de București la
Cluj pentru participarea la o conferință internațională în domeniul
managementului riscului. Care din enunțurile de mai jos reprezintă
un risc?
• Pierderea avionului din cauza traficului aglomerat care determină

întârzierea și neparticiparea la conferință.
• Anularea zborurilor ca urmare a vremii defavorabile, fapt ce
determină neparticiparea la conferință
• Întârzierea la conferință
• Neefectuarea deplasării
• Neparticiparea la conferință
• Neasigurarea gustării în avion fapt ce determină să ajungem
flămânzi la conferință.

Identificarea riscurilor - metode
• Întocmirea unor liste de control: cuprind surse potenţiale de risc,
cum ar fi: condiţii de mediu, rezultatele aşteptate, personalul,
modificări ale obiectivelor, erorile şi omisiunile de proiectare şi
execuţie, estimările costurilor şi a termenelor de execuţie, influenţa
grupurilor de interese, etc.
• Analiza documentelor disponibile în arhiva entității: permit
identificarea problemelor care au apărut în situaţii similare celor
curente.
• Utilizarea experienţei personalului direct productiv prin şedinţe
formale de identificare a riscurilor. De multe ori oamenii de pe teren
sunt conştienţi de riscuri şi probleme pe care cei din birouri nu le
sesizează. De obicei se foloseşte metoda brainstorming-ului.
• Identificarea riscurilor impuse din exterior (prin legislaţie, schimbări în
economie, tehnologie, relaţii cu sindicatele): se desemnează una
sau mai multe persoane care să participe la întrunirile asociaţiilor
profesionale, la conferinţe şi care să parcurgă publicaţiile de
specialitate.
Identificarea riscurilor - metode
• Brainstorming: Termenul de brainstorming este preluat din literatura
straină, și în traducere liberă, desemnează o furtuna de creiere.
Această activitate constă într-o sesiune de lucru cu o anumită
temă, la care participă specialiști din domeniu. Ei enunță idei
referitoare la tematica ședinței, urmând ca acestea sa fie analizate
și selecționate.
• Utilizarea chestionarului ajută la identificarea unui anumit risc, dar nu

poate spune care este sursa acelui risc, nu poate preciza modul în
care această sursă afectează activităţile şi nici nu poate preciza o
informaţie corectă dacă apar modificări ale realităţii. Aceste
neajunsuri sunt rezolvate de întrunirile brainstorming.
• Participanţii la această activitate răspund la întrebarea „Ce credeți

că se poate întâmpla pe parcursul derulării procesului/ activității/
proiectului?” şi fiecare vine cu idei dintre cele mai diverse. Pe
măsură ce o idee nouă apare, ea este scrisă pe o foaie de lucru,
urmând ca la sfârşitul furtunii să fie citite, analizate şi consemnate
toate.
Analiza factorilor generatori de riscuri
Această tehnică de identificare a riscurilor are în vedere stabilirea factorilor din

mediul intern și extern al entității care pot genera riscuri. După stabilirea acestor
factori, pentru fiecare obiectiv și activitate a entității/compartimentului se
identifică evenimentele care pot fi generate de fiecare factor, rezultând riscurile
asociate acestora.

5
Analiza factorilor generatori de riscuri
Efectul adoptării unei decizii depinde de un număr mare de variabile

aleatoare care pot perturba activitatea entității de la rezultatul așteptat. Toate
aceste variabile reprezintă factori/surse/cauze ce determină apariția și
manifestarea riscului la nivelul organizațional.
Cauzele care determină apariția riscului:
• pot fi prevăzute, neprevăzute sau
întâmplătoare;
• pot fi interne sau externe entitățiii;
• se pot identifica pe baza informațiilor
obținute din cercetări sau pe baza
înregistrărilor istorice (a statisticii);
• pot fi descrise din punct de vedere al:
• Intensității;
• Probabilității de producere;
• Suprafeței/ariei de întindere pe
care o cauză de risc poate
acționa;
• duratei de acțiune;
• managementul cauzelor de risc
(menținerea acestora sub
control). Top Quality Management – Curs Managementul riscului 5
6
Factori care favorizează apariţia riscurilor
• schimbări în preferinţele consumatorilor;
• accesul la pieţele internaţionale;
• agresivitatea concurenţei;
• schimbări în domeniul economic şi sistemul politic;
• schimbări legislative;
• intervenţii ale statului în politica monetară;
• fluctuaţii ale ratei inflaţiei, fluctuaţii ale ratelor de schimb valutar, ale
dobânzilor;
• modificări ale preţurilor de pe piaţă;
• decizii organizatorice şi de structură a entității
(organizare, restructurare, externalizare);
• strategii greşite şi decizii adoptate în mod eronat;
• erori de analiză tehnică sau economică;
• atitudinea optimistă sau pesimistă a echipei;
• schimbări în tehnologie (apariţia unor noi brevete şi inovaţii);
• factori naturali asociaţi mediului înconjurător - variaţii de climă
şi temperatură , cutremure, alunecări de teren, furtuni,
inundaţii, incendii, explozii, etc.
Un pas important în analiza situației unei Analiza SWOT
entități/structuri este stabilirea calităților și
defectelor acesteia (punctelor tari și a
punctelor slabe), a oportunităților precum și
a amenințărilor, prin intermediul unei
analize de tip SWOT.
Acest tip de analiză oferă imaginea
problemelor potențiale și critice care pot
afecta activitatea entității/structurii,
evidențiind vulnerabilitățile acesteia și
posibilele cauze de risc.
Analiza SWOT începe prin efectuarea unui inventar al calităților și slăbiciunilor
interne. Apoi vor fi evidențiate oportunitățile și amenințările externe care pot
afecta organizația analizată, din punct de vedere al mediului în care aceasta
își desfășoara activitatea. Factorii mediului înconjurător interni
entității/structurii pot fi clasificați, drept puncte tari / forte sau puncte slabe, iar
cei externi entității pot fi clasificați ca oportunități sau amenințări.

Analiza SWOT

Interpretarea analizei SWOT
Utilizare şi Atuuri Slăbiciuni

transformare în
(Strengths) (Weaknesses)
sarcini
Cum să utilizez
Cum să fac faţă
punctele tari ale
Oportunităţi slăbiciunilor
organziaţiei pentru a
(Opportunities) organizaţiei care mă
beneficia de
împiedică să folosesc
oportunităţile
oportunităţile?
existente?
Cum să utilizez Cum să fac faţă

Ameninţări punctele tari ale slăbiciunilor
(Threats) organziaţiei pentru a organizaţiei astfel încât
reduce ameninţările ? să răspund
ameninţărilor?

Identificarea riscurilor în urma analizării factorilor ce influenţează
derularea activităţilor necesare pentru realizarea obiectivelor
Fluxul de identificare a riscurilor în urma analizării factorilor de influenţă din mediul intern sau
extern al organizației
Activitățile ce urmează a fi derulate îndeplinesc condițiile de risc 1 - încălcarea

Normele legislative şi
legalitate? Se cunosc ultimele modificări legislative? legislatiei incidente
standardele specifice incidente
Standardele specifice sunt cunoscute de personalul implicat risc 2 - nerespectarea
în derularea activităților? standardelor
Structura profesională a personalului este adecvată risc 3 - erori cauzate de

Încadrarea cu personal
necesitatilor derulării activităților? competențe reduse ale
specializat
Personalul este suficient și adecvat activităților prestate? personalului implicat
Personalul deține competențele necesare? risc 4 - personal insuficient
Este suficientă dotarea hardware și software?

Dotarea cu hardware și software risc 5 - insuficiența
Aplicațiile software utilizate sunt compatibile cu
resurselor IT
echipamentele hardware? Aplicațiile/versiunile sofware și
risc 6 – dificultăți în
echipamentele sunt adecvate cerințelor tehnologice actuale?
procesarea datelor
Resursele alocate pentru Resursele sunt suficiente pentru realizarea activităţilor?

risc 7- resurse limitate
efectuarea activităților Asigurarea resurselor se realizează planificat?
risc 8 - alocarea cu
întarziere a resurselor
FACTORI DE
ANALIZĂ FACTORI
INFLUENŢĂ
Identificarea riscurilor
Pentru a identifica riscurile este important să definim corect sursa

potenţială de risc, ce parte a execuţiei va fi afectată şi cum
anume.
Riscul şi Consecinţele
Sursă de risc şi
zona afectată manifestării riscului
cauză generatoare
de risc
Revizuire permanentă

Identificarea riscurilor (exemplu de
relaţie “sursă-cauză-risc-impact”)
Impactul riscului
Sursa de risc Zona
Riscul în caz de
Cauza afectată
manifestare
Furnizor extern • Depăşirea
• Fluctuaţia ratei de
-> Plată în • Bugetul bugetului
schimb valutar
euro alocat
• Absenteism,
Sindicatele -> • Întărzierea
• Lipsă de implicare, • Planul de
Nemulţumirea lucrărilor
• Grevă, execuţie
angajaţilor • Depăşiri de
• Fluctuaţia • Bugetul
buget
personalului
Obţinerea • Întârzierea emiterii
• Planul de • Întărzierea
autorizaţiei de autorizaţiei
execuţie lucrărilor
mediu -> • Refuzul emiterii
• Bugetul • Necesitatea
Neclarităţi privind autorizaţiei
• Calitatea schimbării
documentaţia • Documente
produsului/ tehnologiei
necesară sau suplimentare la
serviciului • Depăşiri de
indiferenţa dosarul de
realizat buget
funcţionarilor autorizare

b) evaluarea riscurilor, prin estimarea probabilității de
materializare, a impactului asupra activităților din cadrul
obiectivelor în cazul în care acestea se materializează;
ierarhizarea și prioritizarea riscurilor în funcție de toleranța la
risc;

Evaluarea riscurilor
• Scopul: stabilirea unei ierarhii a riscurilor asociate
realizării unui obiectiv organizaţional, în funcţie de
toleranţă la risc a entității, pentru tratarea cu
prioritate a acelor riscuri care expun cel mai mult
realizarea obiectivului respectiv.
• Etape:
• evaluarea probabilităţii de materializare a riscului
identificat;
• evaluarea impactului asupra obiectivelor în cazul în care
riscul s-ar materializa;
• evaluarea expunerii la risc ca o combinaţie între
probabilitate şi impact.

• Evaluarea probabilităţii de manifestare a riscului reprezintă
determinarea şanselor de manifestare a unui risc specific.
• Probabilitatea este exprimată în procente, fiind cuprinsă între
1% şi 99%:
• Un risc cu probabilitate 0%, nu există.
• Un risc cu probabilitate 100% de manifestare este o
certitudine.
• Alegerea scalei de evaluare este la discreţia echipei de
management al riscului.
Scăzută Medie Ridicată
1% - 19,9% 20% - 79,9% 80% - 99%
sau
Foarte Scăzută Medie Mare Foarte
scăzută mare
1% - 9,9% 10% - 34,9% 35% - 64,9% 65% - 84,9% 85% - 99%
Probabilitate Materializare Evaluare
Foarte mare >80% Se asteaptă apariţia riscului, aceasta fiind
(5) aproape sigură
20% - 80% Se asteaptă ca riscul să apară, existând
Mare
posibilitatea ca măsurile aplicate să nu poată să
(4)
reducă şansele de materializare.
10% - 20% Riscul ar putea sa apară. Există măsuri de
Medie
reducere a probabilităţii de apariţie a riscului,
(3)
dar care nu pot fi pe deplin eficiente.
5% - 10% Riscul ar putea să apară la un moment dat. Există
Scazuta
condiţii ca riscul să se materializeze, dar există
(2)
control eficient.
<5% Riscul poate să apară in situaţii exceptionale.
Foarte
scazuta
(1)

Probabilitate Criterii Explicatii
a) Cadrul normativ este in vigoare de peste 3 ani si nu a Este putin probabil sa se
cunoscut modificari. intample pe o perioada
b) Activitatile si actiunile au un nivel redus de lunga de timp (3 – 5 ani); s-a
Mica (1) complexitate. intamplat de foarte putine
c) Personalul are experienta de cel putin 5 ani. ori pana in prezent
d) Nivelul suficient al personalului
e) Riscul s-a manifestat rar anterior
a) Cadrul normativ este relativ nou sau a cunoscut unele Este probabil sa se intample
modificari. pe o perioada medie de
b) Activitatile si actiunile au un nivel mediu de timp (1- 3 ani); s-a
Medie (2) complexitate. intamplat de cateva ori in
c) Personalul are experienta sub 3 ani. ultimii 3 ani
d) Nivelul mediu de incadrare cu personal.
e) Riscul s-a manifestat in trecut.
a) Cadrul normativ este nou sau a cunoscut numeroase Este foarte probabil sa se
modificari. intample pe o perioada
b) Activitatile si actiunile au un nivel ridicat de scurta de
Mare (3) complexitate. timp (< 1 an); s-a intamplat
c) Personalul are experienta sub un an. de multe ori in ultimul an
d) Nivelul scazut de incadrare cu personal.
e) Riscul s/a manifestat deseori in trecut.

• Evaluarea impactului reprezintă consecinţa manifestării
riscului asupra rezultatelor aşteptate, care poate fi, în
funcţie de natura riscului, negativă sau pozitivă.
• Alegerea scalei de evaluare este la discreţia echipei de

management a riscului.
Scăzută Medie Ridicată

0 - 19 20 - 79 80 - 100
sau
Foarte Scăzută Medie Mare Foarte
scăzută mare
0 – 9,9 10 - 34 35 - 64 65 - 84 85 - 100

Impact/punctaj Criterii
Poate cauza eşecul în atingerea obiectivelor.
Foarte ridicat Implicaţii majore juridice şi de reglementare
(5) Deteriorare semnificativă a reputaţiei
Intârzieri semnificative în realizarea obiectivelor sau nerealizarea acestora
Ridicat Pierderi financiare mari
(4) Publicitate negativă în mijloacele de difuzare în masă
Intârzieri în realizarea obiectivelor
Mediu Creşterea costurilor
(3) Deteriorarea relaţiei cu clienţii
Sancţiuni
Intârziere tolerabilă în atingerea obiectivelor
Scazut Crestere moderată şi controlabilă a costurilor
(2) Pierderi nesemnificative de resurse
Nu poate afecta atingerea obiectivelor
Foarte scazut Pierderi minore de resurse
(1) Reputaţia nu este afectată

Impact Criterii Explicatie
a) Nu exista pierderi de active (financiare, angajati, materiale). Cu impact scazut asupra
b) Afectarea imaginii entitatii este redusa. activitatilor entitatii si
c) Costurile de functionare nu sunt afectate. indeplinirii obiectivelor
Scazut (1)
d) Calitatea serviciilor furnizate nu este afectata. si/sau cu impact financiar
e) Nu exista intreruperi in activitate. foarte scazut.
f) Nu exista sanctiuni.
a) Pierderile de active (financiare, angajati, materiale) sunt reduse. Cu impact mediu asupra
b) Afectarea imaginii entitatii este moderata. activitatilor entitatii si
c) Cresterea costurilor de functionare este moderata. indeplinirii obiectivelor
Moderat d) Calitatea serviciilor este afectata semnificativ. si/sau cu impact financiar
(2) e) Exista mici intreruperi in activitate. mediu.
f) Pot fi sanctiuni interne si administrative
a) Pierderi semnificative de active (financiare, angajati, materiale). Cu impact major asupra

b) Imaginea entitatii este afectata in mod semnificativ. activitatilor directiei si
c) Costuri ridicate de functionare. indeplinirii obiectivelor
Ridicat (3) d) Calitatea serviciilor furnizate este afectata semnificativ. si/sau cu impact financiar
e) Intreruperi semnificative in activitate. major.
f) Pot fi sanctiuni penale.

Evaluarea calitativă a riscurilor
Expunerea la risc reprezintă consecinţele manifestării riscului,
ca o combinaţie de probabilitate şi impact, pe care le
poate resimţi o organizaţie în raport cu obiectivele
prestabilite în cazul în care riscul s-ar materializa.
Scala de evaluare a expunerii la risc nu mai este

unidimensională, ca în cazul probabilității sau impactului, ci
una bidimensională sau, cu alte cuvinte, de tip matricial.
Liniile matricei descriu variația probabilității, iar coloanele
variația impactului. Expunerea la risc apare la intersecția
liniilor cu coloanele.

Precizări:
• O activitate poate fi afectată de unul sau mai multe riscuri.
• Scala de evaluare a impactului odată aleasă se va folosi
pe toată durata de realizare a obiectivului.
• Gradul de expunere = probabilitatea de manifestare a
riscului x valoarea impactului său asupra realizării
obiectivului.
Grad Expunere= p% x valoare impact

• Ierahizarea riscurilor în funcţie de gradul de expunere a
realizării obiectivului (vulnerabilitatea la risc) ajută la
prioritizarea urgenţei aplicării măsurilor adecvate de tratare a
riscului respectiv, ca probabilitate sau/şi ca impact.
• Expunerea la risc capătă sens numai în raport cu nivelul
toleranței la risc.
Apetitul și Toleranța la risc
• Apetitul la risc reprezintă nivelul absolut al riscurilor pe care o entitate este
pregatită să și-l asume. Reprezintă “cantitatea” de risc pe care o organizaţie
este pregătită să o tolereze sau la care este dispusă să se expună în urmărirea
atingerii misiunii/strategiei.
• Toleranţa la risc reprezinta limitele reale din cadrul apetitului la risc asumat
de către o entitate, respectiv variația acceptabilă in raport cu atingerea unui
obiectiv.
• În limbajul general, apetitul la risc și toleranța la risc sunt utilizate în mod

interschimbabil, dar acești termeni au un sens diferit.
• Apetitul la risc indică valoarea, rata sau procentul de risc pe care o

organizație trebuie să îl suporte pentru a merge mai departe cu planurile sau
obiectivele sale. Amenințările fac parte integrantă din aspirațiile entității și
trebuie să fie acceptate de conducere pentru a continua.

Toleranța la risc
• Toleranţa la risc reprezintă “cantitatea” de risc pe care o
organizaţie este pregătită să o tolereze sau la care este dispusă să
se expună la un moment dat. Se stabilește pentru fiecare risc sau
categorie de riscuri.
• Stabilirea limitei de toleranţă la risc este un act major de

responsabilitate managerială, fiindcă prin aceasta se stabileşte
expunerea la risc ce este asumată în corelare cu costurile și
măsurile de control al riscurilor.
• În vederea stabilirii toleranţei la risc se analizează expunerea la

risc în funcţie de patru arii majore de risc:
• riscurile legate de strategie, politici, direcţii de acţiune;
• riscurile legate de personal şi de sistemele interne;
• riscurile legate de corectitudine, conformitate, regularitate,
aspecte financiare, răspundere;
• riscuri legate de reputaţie.
Toleranța la risc - exemple
• Activitate: Efectuarea corectă a plăților către furnizori
• Risc: Efectuarea de plăți eronate
• Toleranță la risc: Nu se acceptă plați eronate peste suma x
• Activitate: Realizarea mentenanței rețelei de calculatoare

• Risc: Termen depășit în efectuarea lucrărilor
• Toleranță la risc: Nu se acceptă o indisponibilitate a compterelor
mai mare de y zile.
• Activitate: Efectuarea de achiziții de bunuri și servicii necesare

desfășurării activităților
• Risc: Depășirea bugetului alocat
• Toleranță la risc: Se acceptă depășirea bugetului cu maximul x%
pentru bunuri și servicii necesare desfășurării activităților

Toleranța la risc
• Luând în considerare scala de evaluare în trei trepte a expunerii la
risc, atunci limita de toleranță poate fi reprezentata astfel:
• Toate riscurile care au un nivel al expunerii peste limita de toleranță

la risc acceptată (desenată cu linia îngroșată) necesită măsuri de
control.
• Intensitatea măsurilor de control este direct proporțională cu
deviația expunerii la risc față de limita de toleranță stabilită.
Profilul de risc
• Profilul de risc oferă o imagine de ansamblu cuprinzând evaluarea
generală, documentată și prioritizată, a gamei de riscuri specifice
cu care se confruntă entitatea.
• Riscurile care se situează în zona

roșie au expunerea la risc și
deviația cea mai mare față de
toleranța la risc și acestea
reclamă, cu prioritate, inițierea
unor măsuri de control.
• Riscurile care se situează în zona galbenă au o expunere ce

depășește limita de toleranță la risc, dar deviația de la aceasta
este una moderată. Aceste riscuri trebuie monitorizate și
gestionate în funcție de prioritățile stabilite la nivelul entității.
• Riscurile care se situează în zona verde sunt cele caracterizate de
o expunere la risc aflată sub limita de toleranță la risc și în această
zonă se afla riscurile asumate.
Răspunsul la risc
Selectarea şi adoptarea unei variante de tratare a riscurilor
se face prin compararea costurilor rezultate cu beneficiile
înregistrate din implementarea strategiei.
Costul tratării riscurilor trebuie să fie justificat, deci să fie mai
mic decât consecinţele negative pe care le-ar putea
înregistra entitatea prin manifestarea riscului.
Tratarea riscurilor poate fi ea însăşi generatoare de risc, în
special ineficienţa strategiilor de tratare a riscului respectiv.
Metodele de tratare a riscurilor trebuie să fie adaptate în
mod continuu situaţiei în cauză, mediului intern/extern al
entității, etc. Strategiile adoptate pentru un anumit tip de
risc într-o anumită conjunctură/moment se pot dovedi
ineficiente pentru acelaşi tip de risc tratat într-o situaţie
diferită.

c) stabilirea strategiei de gestionare a riscurilor (răspunsului la
risc) prin identificarea celor mai adecvate modalități de tratare
a riscurilor, inclusiv măsuri de control; analiza și gestionarea
riscurilor în funcție de limita de toleranță la risc aprobată de
către conducerea entității;

Strategii proactive pentru abordarea riscurilor
1. Măsuri împotriva riscurilor care conduc la efecte negative – cei 4 T

Măsură Descriere
Implică acţiuni de schimbare care să prevină
Evitare/ producerea condiţiilor ca un eveniment care
Terminare poate conduce la efecte negative să se
materializeze. Renunțarea la activitatea
generatoare de riscuri
Transferul impactului negativ al producerii unui risc
Transfer către un partener care poate controla mai bine
efectele riscului.
Măsuri prin care se poate reduce ori probabilitatea
Reducere/ de manifestare a riscului, ori amplitudinea
Tratare impactului până la un nivel acceptabil.
Măsuri adoptate atunci când costurile acţiunilor de
Acceptare/ protecţie la risc sunt mai mari decât cele ale
Tolerare impactului manifestării riscului. Riscul este ignorat si
rămâne in monitorizare.
TIPURI DE STRATEGII PENTRU RISCURI NEGATIVE
(AMENINŢĂRI)
mare
• PLANURI DE
CONTINGENŢĂ • EVITARE
• REDUCERE • TRANSFER
Impact
IMPACT
• ACCEPTARE şi • REDUCERE
MONITORIZARE PROBABILITATE
mic
mică mare
Probabilitate
Strategii proactive
pentru abordarea riscurilor
2. Măsuri împotriva riscurilor care conduc la efecte pozitive
(oportunităţi)
Măsuri Descriere
Implică acţiuni de înlesnire a apariției condiţiilor
Exploatare ca un eveniment care conduce la efecte
pozitive să se producă.
Încheierea unui parteneriat pentru a putea
Partajare beneficia cât mai mult de oportunitatea care s-ar
putea manifesta.
Măsuri prin care se poate creşte probabilitatea de
Amplificare
manifestare a riscului, ori amplitudinea impactului.
Acceptarea probabilităţii ca riscul să se producă
Acceptare şi luarea măsurilor corespunzătoare atunci când
va fi cazul.

TIPURI DE STRATEGII PENTRU RISCURI POZITIVE
(OPROTUNITĂŢI)
mare
• PLANURI DE
CONTINGENŢĂ • EXPLOATARE
• AMPLIFCARE • PARTAJARE
Impact
IMPACT
• ACCEPTARE şi • AMPLIFCARE
MONITORIZARE PROBABILITATE
mic
mică mare
Probabilitate
SELECŢIA OPŢIUNILOR privind STRATEGIILE de
ABORDARE A RISCURILOR (1)
• Selecţia celei mai potrivite opţiuni implică balanţa între
costurile şi eforturile pentru implementare faţă de beneficiile
derivate.
• Opţiunile de abordare a riscurilor pot fi aplicate individual
sau combinat.
• Deciziile trebuie să ia în considerare riscurile rare, dar grave
care pot valida acţiuni de abordare a riscurilor care nu sunt
întotdeauna justificabile doar din punct de vedere
economic.
• Cerinţele legale şi responsabilitatea socială depăşesc o
simplă analiză costuri-beneficii.

• Opţiunile de abordare a riscurilor trebuie să ţină cont de
valorile şi percepţiile stakeholder-ilor precum şi de cel mai
bun mod de a comunica cu ei.
• Dacă opţiunile de tratament al riscurilor pot avea
impact asupra riscurilor dintr-o altă parte a organizaţiei,
această zonă trebuie implicată în decizie.
• Dacă resursele sunt limitate, planul de implemetare a
strategiei va trebui să ierarhizeze riscurile care expun cel
mai mult realizarea obiectivelor organizaţionale şi pentru
acestea să se adopte măsurile potrivite. Celelalte riscuri
rămân în monitorizare şi vor fi abordate după caz.
• Tratarea riscurilor inerente nu rezolvă problema în totalitate,
fiind necesar de a lua în considerare şi riscurile reziduale.

• Un risc semnificativ poate fi chiar eşecul sau ineficienţa
măsurilor de tratare a riscurilor.
• Monitorizarea trebuie să fie o parte integrantă a acestui plan

de tratament a riscurilor pentru a avea asigurarea că
măsurile îşi menţin eficienţa.
• Tratamentul riscurilor poate introduce de asemenea riscuri

secundare care necesită să fie evaluate, tratate,
monitorizate şi revizuite periodic.
• Riscurile secundare trebuie încorporate tot în planul iniţial şi

nu tratate ca un risc nou.

Exemplu de răspuns la risc
•Tolerare (acceptare): riscul privind sediul unei organizații care desfășoară
activitățile intr-o cladire de patrimoniu sunt asumate (cutremur, trăznet
etc.) deoarece costurile depășesc beneficiile (prima de asigurare,
obținerea avizelor și aprobărilor și alte asemenea depășesc costul de
restaurare).
•Transfer (total sau parțial): o entitate trebuie să asigure angajaților servicii

de protectie a muncii. Această activitate a fost externalizată unui
operator economic pentru a reduce/elimina riscurile asociate. Costul
serviciului prestat de operator este mai mic decât cel propriu în condițiile
in care numărul de salariați este sub 20.
•Terminare: o entitate vizează inițierea unei activități de depozitare a unor

produse care pot afecta mediu în caz de deversare. În acest sens,
evaluează riscurile asociate acestei activități. Deoarece zona vizată de
depozitare prezintă o activitate seismică ridicată, pentru a evita un
accident ecologic entitatea renunță la activitatea respectivă.
•Tratare: pentru reducerea riscului de incendiu se acționează asupra

probabilității prin înlocuirea instalației electrice învechite și asupra
impactului prin instalarea unor detectoare de fum care să reducă
pagubele. Top Quality Management 88
Tratarea riscurilor
•Aceasta este abordarea cea mai frecventă pentru majoritatea riscurilor
cu care se confruntă entitatea. Optiunea tratării (atenuării) riscurilor
consta în faptul că, in timp ce entitatea va continua să desfasoare
activitățile care generează riscuri, aceasta ia masuri (implementează
instrumente/dispozitive de control intern) pentru a mentine riscurile in
limite acceptabile (tolerabile).
•Implementarea măsurilor de gestionare a riscurilor are menirea să ofere

asigurări rezonabile că obiectivele vor fi atinse, ceea ce este același
lucru cu a afirma că prin control intern se obțin asigurari rezonabile
asupra menținerii riscurilor în limite acceptabile.
Obiectiv – asigurarea securității activelor;

Risc – intrare în gestiune a unor materiale neconforme cantitativ și
calitativ cu specificațiile contractuale.
Măsuri de gestionare a riscului Actioneaza asupra

Revizuirea portofoliului de furnizori Probabilității
Inserarea în contracte a unor clauze asiguratorii Impactului
Monitorizarea sistemului de recepție Probabilității și impactului

Tratarea riscurilor
Măsuri de gestionare a riscurilor
Obiectiv: Creșterea gradului de disponibilitate a echipamentelor prin realizarea mentenanței

la termen și conform cerințelor tehnice
Activitate: Efectuarea lucrărilor de mentenantă
Risc: Nivel de calitate scăzut al lucrării de mentenanță
Cauze: Furnizor de servicii neautorizat de producator și/sau cu experiență redusă; Cerințele

de calitate nu sunt respectate; Lipsa controlului sau control formal la finalizarea lucrării;
Personal insuficient instruit pentru efectuarea activitatii de control/recepție a serviciului
contractat.
Probabilitate: MARE – 40% dintre echipamentele funcționale necesită acțiuni de

mentenanță/reparații la un interval de 6 – 12 luni; lucrările necesită expertiză specifică;
lucrările sunt complexe.
Impact: RIDICAT – întreruperea activității, pierderi financiare și de clienți, afectarea imaginii

organizației.

Tratarea riscurilor
Măsuri de gestionare a riscurilor
Toleranță la risc: Nu se acceptă o indisponibilitate a echipamentelor esențiale mai mare de

2 zile.
Răspunsul la risc/măsuri:
• Identificarea și selectarea de furnizori autorizați și cu expertiză tehnică;
• Stabilirea unui model de contract pentru mentenanță care să includă clauze
contractuale privind calitatea lucrărilor de mentenanță, timp de intervenție și remediere
în caz de indisponibilitate, garanții etc.
• Elaborarea/Revizuirea procedurii operaționale privind mentenanța astfel încât să se
prevadă obligativitatea informării despre echipamentele indisponibile.
• Elaborarea unei instrucțiuni de lucru pentru recepția calitativă a lucrărilor de
mentenanță.
• Controlul periodic al lucrărilor de mentenanță în timpul desfășurării acestora.
• Instruirea personalului privind cerințele de calitate a lucrărilor efectuate de furnizori și
modul de recepționare a lucrărilor.

Identificarea riscurilor – Riscul de fraudă
• Frauda este un act intenționat întreprins de una sau mai multe
persoane din rândul conducerii, a celor responsabili de
guvernanță corporativă, angajați sau terțe părți, care implică
utilizarea unor înșelăciuni pentru a obține un avantaj nedrept sau
ilegal.
• Eroarea este o greșeală neintenționată. Eroarea este o parte

inevitabilă a naturii umane, astfel încât sistemele de control intern
sunt esențiale în scopul de a preveni sau a detecta eventualele
erori.
• Neregularitatea/abaterea reprezintă fapta care contravine unei
anumite proceduri, standard, regulament, cod, contract, etc.
• Denaturarea este o declarație lansată în mod eronat. Denaturările

pot apărea ca urmare a fraudei, neregulilor sau erorilor.
• Frauda ar trebui înteleasă prin contrast cu eroarea. În timp ce
frauda este un act intenționat, eroarea este neintenționată.
Identificarea riscurilor – Riscul de fraudă
Fraudele pot fi comise atât de angajați și colaboratori ai entității cât
și de persoane din exteriorul acesteia:
• în beneficiul entității sau
• în defavoarea acesteia.
Fraudele comise în beneficiul entității favorizează de regulă

producerea acestui beneficiu, organizația profitând de un avantaj
injust sau necinstit care poate înșela și o terță parte. Autorii unor astfel
de fraude beneficiază de obicei de acestea în mod direct. Exemple:
• vânzarea sau cesionarea de bunuri fictive sau care nu aparțin
entității;
• plățile neregulamentare cum ar fi finanțări politice ilegale, mită și
„mici atenții” către reprezentanți ai guvernului și intermediarii
acestora, către clienți sau furnizori;
• omiterea intenționată a înregistrărilor contabile sau a comunicării
informațiilor semnificative pentru a crea o imagine înșelătoare
asupra situației financiare a entității.

Identificarea riscurilor – Riscul de frauda
Fraudele comise în detrimentul entității sunt în general în favoarea
unui angajat, a unui terț, sau a altei entități în mod direct sau indirect.
Exemple:
• acceptarea mitei sau a „micilor atenții”;
• deturnarea de fonduri sau de bunuri și falsificarea registrelor
contabile pentru a disimula acțiunea, astfel încât detectarea să
fie dificilă;
• omiterea intenționată sau interpretarea înșelătoare a
evenimentelor sau a datelor;
• facturarea serviciilor sau a bunurilor care nu au fost furnizate
entității.
Diminuarea fraudelor constă în luarea de măsuri în vederea

descurajării acestora și a limitării expunerii la riscurile aferente.
Controlul intern constituie principala forță de diminuare a fraudei.
Responsabilitatea de a adopta și de a menține un sistem de control
intern aparține în primul rând conducerii.

Deturnarea activelor Triunghiul fraudei
• Definiţia de specialitate în accepţiunea Asociaţiei

Examinatorilor Certificaţi Antifraudă pentru deturarea activelor
este: “scheme de fraudă în care delapidatorul fură sau
utilizează necorespunzător în interesul propriu resursele unei
organizaţii”.

Presiunea are drept cauze:

• Obligaţiile financiare personale;
• Relaţiile deteriorate dintre entitate şi angajaţi.
Simpla aviditate poate reprezenta de multe ori un motiv puternic.

Alte presiuni pot apărea din problemele financiare personale sau
din vicii personale, precum: jocurile de noroc, dependența de
droguri, etc.

Oportunitatea apare în două cazuri distincte:

• Oportunităţi generate de caracteristicile activelor (sume mari de bani lichizi
care trebuie stocate sau procesate, stocuri cu valoare mică sau foarte
mare sau pentru care există o cerere mare pe piaţă, active uşor vandabile
şi convertibile în bani – componente IT, consumabile pentru papetărie,
bunuri electronice);
• Oportunităţi generate de lipsa sau deficienţele sistemului de control intern

(separarea defectuoasă a sarcinilor, lipsa unor verificări suplimentare pentru
angajaţii cu acces la activele entității, proceduri slabe de gestiune şi
inventar, sisteme de autorizare şi aprobare necorespunzătoare, nivelul
scăzut de înţelegere de către conducere a aplicaţiilor IT din organizație,
lipsa supervizărilor asupra persoanelor care generează codurile de acces).

Justificarea are multiple forme, în funcţie de raţionamentul uman personal al celui care
comite frauda:
• Relaţii deteriorate ale angajaţilor cu conducerea entității;
• Lipsa de recunoaştere şi compensare a orelor suplimentare lucrate;
• Atitudinea internă din entitate faţă de fraudă, riscuri, respectarea reglementărilor
legale;
• Alte justificări de ordin personal care sunt greu de depistat sau cuantificat.
O persoană poate formula o justificare prin explicarea „rezonabilă” a actelor sale, de

exemplu:
• „este corect să procedez astfel - merit acești bani”
• „au o datorie față de mine"
• „iau banii doar cu împrumut - îi voi restitui".

Riscul de fraudă – Factori favorizanți
• Control intern nefuncțional
• Audit intern ”decorativ” (nefuncțional, lipsit de independență sau
care nu este sprijinit de către management)
• Evidență contabilă și documentară neadecvată
• Deciziile importante nu se consemnează în documente
• Lipsa separării atribuțiilor
• Stabilirea unor obiective nerealiste
• Stabilirea unor niveluri de ținte/obiective fără a se defini clar modul
de evaluare a performanței și fără a se verifica, de către o sursă
independentă, performanțele raportate.
• Fluctuația ridicată a personalului
• Control intern neadecvat cu privire la programele informatice
• Angajați cu probleme și vicii (parior, datorii ridicate etc.)
• Lipsa rotației personalului aflat în funcții sensibile

Riscul de fraudă – Măsuri
Întrucât presupusa probabilitate ca fraudă să nu fie detectată
reprezintă un considerent esențial pentru autorul fraudei, ar trebui
eliminate punctele slabe ale sistemelor de control intern, în special
referitoare la:
- supravegherea activităților;
- separarea funcțiilor;
- aprobarea/supervizarea de către organele de conducere.
În contextul unor culturi organizaționale prin care elementele de

justificare și de presiune financiară practic au șanse aproape
inexistente de manifestare și sunt monitorizate permanent, dintre cele
3 elemente/motive, elementul oportunitate este esențial în
conceperea și poziționarea la timp a unor bariere solide/măsuri
eficace care să nu permită factorilor interni și externi oportunități de
fraudare, respectiv în scopul diminuării/eliminării eventualelor cauze
de producere ale deficiențelor sistemului de control.

Riscul de fraudă – Rolul auditorilor interni
• Rolul auditorilor interni în descurajarea fraudelor este de a examina şi evalua
relevanţa şi eficacitatea sistemului de control intern, având în vedere
expunerile la risc specifice fiecărui domeniu al entităţii.
• Pentru aceasta auditorii interni trebuie să determine dacă:

• mediul organizaţional stimulează conştientizarea şi sensibilizarea în ceea ce
priveşte necesitatea controlului intern;
• sunt stabilite scopuri şi obiective realiste în cadrul entităţii;
• există reguli scrise care să descrie activităţile interzise şi măsurile care trebuie
luate în cazul în care regulile stabilite sunt încărcate;
• sunt stabilite şi menţinute reguli de autorizare pentru fiecare operaţiune sau
tranzacţie;
• sunt dezvoltate politici, practici, proceduri, rapoarte şi alte mijloace în
vederea monitorizării activităţilor şi a asigurării protecţiei bunurilor şi resurselor
entităţii, mai ales pentru domeniile cu grad mare de risc;
• canalele de comunicare permit conducerii să obţină date adecvate şi
fiabile;
• sunt necesare recomandări pentru stabilirea sau îmbunătăţirea din punct de
vedere al costurilor sistemelor de control intern eficiente în vederea
descurajării fraudelor.
Auditorii interni trebuie să aprecieze faptele în următoarele scopuri:
• de a determina dacă măsurile de control intern trebuie aplicate sau întărite în
vederea diminuării riscurilor viitoare de comitere a fraudelor;
• de a defini testele de audit care permit detectarea pe viitor a riscurilor similare
de fraudă;
• de a menţine un grad suficient de cunoaştere a riscurilor de fraudă şi a
mecanismelor acestora pentru a putea fi capabili de a le identifica în viitor.
Comunicarea constatărilor privind frauda:

• în cazul în care auditul intern a detectat o fraudă importantă cu un grad de
certitudine rezonabil, conducerea generală şi Consiliul trebuie să fie înştiinţate
imediat după aceasta;
• rezultatele investigării fraudei pot indica faptul că frauda a avut deja un efect
defavorabil important şi neobservat asupra situaţiei financiare şi a rezultatelor de
exploatare a entităţii publicate în anii anteriori. Auditorii interni trebuie să informeze
conducerea generală şi Consiliul cu privire la orice descoperire de acest fel;
• un raport scris trebuie realizat, imediat după finalizarea auditului. Acesta trebuie
să conţină, toate constatările, concluziile, recomandările şi toate măsurile
corective întreprinse;
• proiectul de raport asupra fraudei trebuie să fie supus unei examinări a
consilierului juridic.
• Auditorii interni au obligația de a întocmi Formularul de constatare și raportare a
iregularităților (FCRI), pe care il discută cu supervizorul misiunii/conducătorul
compartimentului de audit intern, îl semnează și îl înaintează, însoțit de
documentația aferentă, in termen de trei zile conducerii de vârf. În continuare,
sesizarea organelor abilitate pentru completarea cercetării aparține
managementului.
• Auditul intern, prin activitățile sale, urmărește în comportamentul nivelurilor de

management ,,o luare de poziție privind frauda", respectiv ,,să dea tonul de la
vârf că aceasta nu va fi tolerată'' și că entitatea este angajată în prevenirea și
detectarea fraudei, iar cei care o vor comite vor suporta consecințele legale.
• Conducerea, în momentul în care a luat la cunoștință de semnalmentele unei

posibile fraude, imediat instrumentează cauza folosind structurile proprii de
control sau inspecție, dacă existâ, sau decide constituirea unei comisii, în
vederea cercetării.
• Chiar și în situația unor semnale nesigure, conducerea superioară trebuie să

dispună crearea unei echipe sau comisii pentru investigarea și stabilirea
existenței eventuale a fraudei, iar ulterior, hotărăște cum va proceda în funcție
de rezultatele investigației.
Responsabilitatea conducerii entității privind frauda
• Responsabilitatea primară privind prevenirea, detectarea și investigarea fraudei
revine conducerii entității, care trebuie să gestioneze riscul de fraudă, având o
serie de atribuții:
• adoptarea unei politici, a unei strategii Ia nivel de entitate publică privind
toleranța Ia fraude;
• elaborarea planurilor de acțiune prin care se stabilesc responsabilitățile și
măsurile de reducere a riscului de fraudă;
• revizuirea politicii, a strategiei de reducere a riscului de fraudă și a planului
de acțiune;
• elaborarea unui plan de raspuns care să definească exact etapele ce
trebuie urmate în cazul în care o fraudă a fost raportată sau detectată;
• promovarea unei etici, a unor principii adecvate la nivel de entitate;
• gestionarea riscurilor asociate activităților/sistemelor/programelor din
entitate, care sa includa si riscul de fraudă;
• implementarea și dezvoltarea unui sistem de control adecvat și eficace la
un cost rezonabil, care să contribuie la prevenirea riscului de fraudă;
• organizarea unui audit intern adecvat si eficace;
• informarea autorităților competente privind fraudele majore.

Sistemul de management al riscului - pe scurt
Obiective
Ce doriți să realizați?
Riscuri
Ce poate să vă împiedice să atingeți obiectivele?
Controale
Ce puteți face ca să diminuați riscurile
TOP QUALITY MANAGEMENT
Echipa de gestionare a riscurilor
• La nivelul entității se nominalizează responsabilități pe linie de gestionarea
riscului.
• Pentru o bună gestionare a riscurilor, conducătorul fiecărui
compartiment/proces, numește responsabilul cu riscurile de proces/ale
compartimentului, care îl asistă în gestionarea riscurilor.
• Responsabilul cu riscurile pe compartiment/proces consiliază personalul din
cadrul compartimentului pentru gestionarea riscurilor.
• Conducătorul compartimentului asigură cadrul organizaţional şi procedural
pentru punerea în aplicare, de către persoanele responsabile, a măsurilor de
control stabilite pe baza proceselor-verbale transmise de secretarul Comisiei de
Monitorizare.
• Întreg personalul din cadrul entității își identifică, evaluează, revizuiește
riscurile și aplică măsurile de control corespunzătoare pentru riscurile
activităților repartizate prin fișa postului, până la sfârșitul anului și le transmite
responsabilului cu riscurile de la nivelul compartimentului.
TOP QUALITY MANAGEMENT
Echipa pentru Managementul Riscurilor
Conducătorul
entităţii Angajat
Responsabilul
Comisia de
cu riscurile Angajat
monitorizare/echipa Responsabil
pentru Managementul Monitorizare
Riscurilor şi control
Responsabil
Monitorizare Responsabil
şi control Monitorizare
şi control
Angajat
Angajat
Angajat Angajat

Documentarea sistemului de Management al
riscurilor
Documente utilizate în gestionarea riscurilor în entitatea publică:
• Formular de alertă la risc – FAR: Se elaborează pentru fiecare risc
nou identificat.
• Registru de riscuri compartimental – RRC: Se realizează la nivelul
fiecărui compartiment din organigrama entităţii publice.
• Registru de riscuri al entităţii – RR: Se realizează la nivelul entităţii
publice prin centralizarea RRC.
• Profil de risc şi limita de toleranţa la risc la nivelul entităţii:
Cuprinde riscurile medii şi ridicate conform tehnicii semaforului
• Plan de implementare a măsurilor de control: Cuprinde măsurile
de control luate pentru gestionarea riscurilor situate deasupra
limitei de toreranţă.
• Fişa de urmărire a riscului – FUR: Se realizează pentru fiecare risc
înregistrat în Planul de implementare a măsurilor de control
aprobat. Top Quality Management – Curs Managementul riscului 108
Toate activitățile și acțiunile inițiate și puse în aplicare în cadrul

procesului de management al riscurilor sunt riguros
documentate, iar sinteza datelor, informațiilor și deciziilor luate în
acest proces este cuprinsă în Registrul de riscuri, prevăzut în
anexa nr. 1, document care atestă că în cadrul entității publice
există un proces de management al riscurilor și că acesta
funcționează; Registrul de riscuri pe entitate include numai
riscurile semnificative.
Riscurile sunt actualizate la nivelul compartimentelor ori de câte
ori se impune acest lucru, dar obligatoriu anual, prin
completarea modificărilor survenite în Registrul de riscuri. Fiecare
entitate publică, conform unei proceduri interne și experienței
acumulate în managementul riscurilor, poate utiliza o serie de
instrumente specifice identificării și urmăririi riscurilor, precum
formular de alertă la risc, fișă de urmărire a riscului etc., fără ca
acestea să aibă un caracter obligatoriu.
Formular de alertă la risc

Formular de alertă la risc
Responsabilul cu riscurile din cadrul compartimentului analizează

fiecare Formular de alertă la risc primit de la persoanele care au
identificat riscurile și propune:
• clasarea riscului dacă riscul este nerelevant;
• escaladarea riscului la nivelurile superioare ale managementului;
• reținerea riscului pentru gestionare, caz în care propune unul din
tipurile de răspuns la risc (strategia adoptată): acceptarea,
monitorizarea, evitarea, transferarea, tratarea.
Responsabilul cu riscurile pe compartiment transmite

conducătorului compartimentului spre analiză Formularul de alertă
la risc, împreună cu documentația aferentă.
Conducătorul compartimentului decide dacă riscul este reţinut
pentru gestionare.

Registrul de riscuri şi planul de implementare a
măsurilor de control
După elaborarea Registrului de riscuri pe entitate, pe baza profilului de risc şi a

formularelor de alertă la risc, Secretariatul tehnic al Comisiei de Monitorizare
întocmeste Planul de implementare a măsurilor de control, care cuprinde riscurile
situate deasupra limitei de toleranţă.
Măsurile de control stabilite de compartimente se

centralizează la nivelul entității publice și sunt aprobate de
conducătorul entității publice. Măsurile de control sunt
obligatorii pentru gestionarea riscurilor semnificative de la
nivelul compartimentelor și se actualizează ori de câte ori
este nevoie.

Registrul de riscuri şi planul de implementare a
măsurilor de control
• După elaborarea Planului de implementare a măsurilor de

control, Secretariatul tehnic al Comisiei de Monitorizare îl
transmite pentru avizare Preşedintelui Comisiei de Monitorizare şi
spre aprobare Conducătorului entităţii publice.
• Secretariatul tehnic al Comisiei de Monitorizare transmite Planul

de măsuri aprobat compartimentelor responsabile pentru a
implementa și monitoriza măsurile de control aferente.


d) monitorizarea implementării măsurilor de control și revizuirea
acestora în funcție de eficacitatea rezultatelor acestora;
e) raportarea periodică a situației riscurilor se realizează ori de
câte ori este nevoie sau cel puțin o dată pe an, respectiv dacă
riscurile persistă, în funcție de apariția de riscuri noi, eficiența
măsurilor de control adoptate, reevaluarea riscurilor existente
etc.

Monitorizare şi control
Activităţi specifice:
• Monitorizarea factorilor de risc identificaţi.
• Identificarea şi analiza factorilor noi de risc.
• Monitorizarea riscurilor reziduale şi a celor secundare.
• Monitorizarea riscurilor acceptate şi pentru care nu s-a luat nicio
măsură.
• Implementarea planurilor pentru abordarea situaţiilor de risc.
• Analiza eficacităţii şi eficienţei măsurilor implementate.
• Luarea măsurilor potrivite pentru încadrarea în prevederile
planului aprobat până la finalul perioadei planificate.
• Identificarea, analiza şi replanificarea execuţiei corespunzător
riscurilor deja identificate şi analizate, dar şi a posibilelor riscuri noi
apărute.
Monitorizare şi control
Monitorizarea măsurilor de control se realizeaza permanent, prin:
• Planul de implementare a măsurilor de control de la nivelul
entităţii publice - responsabilii cu riscurile raportează Comisiei
de Monitorizare riscurile semnificative/ ridicate, sau medii
după caz;
• Fişa de urmărire a riscului - responsabilii cu riscurile raportează
superiorului ierarhic al compartimentului stadiul implementării
măsurilor de control.
Persoana care a identificat riscul, asistată de responsabilul cu
riscurile de la primul nivel de conducere, va completa Fişele de
urmărire a riscurilor pentru riscurile incluse în Planul de
implementare a măsurilor de control aprobat la nivelul entităţii.

Fişa de urmărire a riscului

DE CE monitorizare şi control ?
Riscurile nu rămân aceleaşi !
• Vor apărea mereu riscuri noi.
• Riscurile existente se pot transforma sau dispărea.
• Priorităţile în privinţa riscurilor se pot schimba.
• Mediul organizaţional se poate schimba.
• Pot avea loc schimbări în mediul extern (de exemplu, o
schimbare legislativă).
Monitorizarea şi controlul se execută permanent pe

toată durata de viaţă a unei entităţi !

Revizuirea
Revizuirea este necesară pentru:
• Monitorizarea modificării profilurilor riscurilor ca

urmare a implementării sistemului de
management al riscului şi a modificării
circumstanţelor care favorizează apariţia
riscurilor;
• Obţinerea de asigurări privind eficacitatea

gestionării riscurilor şi identificarea nevoii de a lua
măsuri viitoare.

Revizuirea
Responsabilii de risc au obligaţia de a evalua, cel puţin o
dată pe an, riscurile din sfera lor de responsabilitate, stadiul de
implementare a activităţilor preconizate, inclusiv cele de
control intern, precum şi eficacitatea lor.
Trebuie să:
• dea asigurări că toate aspectele procesului de gestionare a
riscurilor sunt analizate cel puţin odată pe an;
• ofere asigurări că riscurile sunt supuse revizuirii cu o frecvenţă
corespunzătoare, stabilită în raport cu mobilitatea
circumstanţelor şi a naturii instrumentelor de control intern ce
urmează a fi implementate;
• stabilească mecanisme de alertare ale nivelelor superioare
manageriale în privinţa noilor riscuri sau a schimbărilor survenite
la riscurile deja identificate, astfel încât aceste schimbări să fie
abordate corespunzător.

Conducătorii compartimentelor din primul nivel de conducere

raportează anual desfășurarea procesului de gestionare a
riscurilor, care cuprinde în principal numărul total de riscuri
gestionate la nivelul compartimentelor, numărul de riscuri
tratate și nesoluționate până la sfârșitul anului, stadiul
implementării măsurilor de control și eventualele revizuiri ale
evaluării riscurilor, cu respectarea limitei de toleranță la risc
aprobate de conducerea entității publice.
Pe baza raportărilor anuale primite de la compartimente se
elaborează o informare privind desfășurarea procesului de
gestionare a riscurilor la nivelul entității; informarea este
analizată și aprobată în Comisia de monitorizare, ulterior
aceasta fiind prezentată conducătorului entității publice.

Raportarea
Responsabilii de risc au obligaţia de a raporta periodic nivelelor
ierarhic superioare ce activităţi au desfăşurat pentru a
actualiza riscurile şi pentru a le menţine la un nivel
corespunzător.
Raportarea anuală a riscurilor se realizează pe două nivele:

a) la nivelul compartimentului de la primul nivel de conducere –
de către responsabilul cu riscurile, printr-un raport asumat de
conducătorul compartimentului şi care se transmite
Secretariatului tehnic al Comisiei de monitorizare.
b) la nivelul entităţii publice – de către Secretariatului tehnic al
Comisiei de monitorizare, pe baza rapoartelor de la
compartimente şi care informează conducătorul entităţii asupra
stadiului procesului de gestionare a riscurilor.

Raportarea la nivelul compartimentelor
Informații minime:
• Numărul de riscuri identificate;

• Numărul de riscuri gestionate;
• Numărul de riscuri pentru care nu au fost implementate
măsurile de control;
• Numărul de riscuri la care măsurile de control nu au fost
suficiente;
• Stadiul de implementare al măsurilor de gestionare a riscurilor;
• Revizuirea riscurilor.

Raportarea la nivelul entității
Informații minime cuprinse în informarea privind procesul de
management al riscului:
• Identificarea riscurilor: se prezintă riscurile identificate la nivelul

entității, riscuri nou identificate, metodele de identificare, perioada
identificării, gruparea pe categorii)
• Evaluarea riscurilor: modalitatea de evaluare, gruparea riscurilor

inerente după mărime, riscurile mari grupate pe compartimente și
evoluția acestora;
• Stabilirea răspunsului la risc: aspecte privind toleranța la risc, tipul de

stategie adoptată, grupare a riscurilor în funcție de strategie);
• Monitorizarea implementării măsurilor de gestionare a riscurilor :

gradul de implementare a planului de măsuri, dificultăți întâmpinate,
motivul neimplementării unor măsuri, riscuri care s-au concretizat)

Activităţi și documente pentru îndeplinirea cerințelor
Standardului 5 - Obiective
Activităţi Documente
Definirea obiectivelor generale Strategie, plan strategic instituțional sau
multianuale/strategice alt document similar
Definirea obiectivelor generale anuale și Plan anual sau alt document de

specifice planificare similar
Stabilirea ipotezelor/premiselor care stau la Document de planificare în care au fost

baza fixării obiectivelor înscrise
Document de analiză și revizuire
Reanalizarea obiectivelor la modificarea
ipotezelor care au stat la baza lor

Activităţi și documente pentru îndeplinirea cerințelor
Standardului 8
Activităţi Documente
Organizarea unui Procedură de sistem privind managementul riscului
proces de management Documente de desemnare a responsabililor cu riscurile
al riscului adecvat Fişe de post
Registrele de riscuri compartimentale
Identificarea și Registrul de riscuri al entităţii
evaluarea riscurilor
Planul de implementare a măsurilor de control la nivel
compartimental
Stabilirea răspunsului la
Planul de implementare a măsurilor de control pentru riscurile
riscurile identificate
semnificative la nivelul entităţii
Profilul de risc şi limita de toleranţă la risc
Raportul anual privind desfăşurarea procesului de management al
Raportarea privind
riscurilor
procesul de
Informare privind desfăşurarea procesului de management al
management al riscului
riscurilor la nivel de entitate

Curs Auditor Intern - Prezentare Managementul Riscului

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Curs Auditor Intern - Prezentare Managementul Riscului

Încărcat de

Drepturi de autor:

Formate disponibile

Auditor intern în sectorul public

Managementul riscului în entități

Top Quality Management 1

Top Quality Management 2

• Ordonanţa Guvernului nr. 119/1999 privind controlul

• Ordinul Secretarului General al Guvernului nr. 600/2018

Top Quality Management 3

Activitatea de audit intern trebuie să evalueze și să contribuie la

Top Quality Management 4

Activitatea de audit intern trebuie să evalueze eficacitatea și să contribuie

Procesele de management al riscului sunt monitorizate prin activități

2120.A1 – Activitatea de audit intern trebuie să evalueze expunerile la risc

2120.A2 – Activitatea de audit intern trebuie să evalueze posibilitatea de

Top Quality Management 6

2120.C1 – În timpul misiunilor de consiliere, auditorii interni trebuie să

2120.C2 – Auditorii interni trebuie să țină cont de informațiile privind

2120.C3 – Când sprijină conducerea la stabilirea sau îmbunătățirea

Top Quality Management 7

• O caracteristică a evenimentului este aceea de a putea fi

• Exemplele anterioare le modificăm în incidente:

• Riscul reprezintă posibilitatea ca un eveniment sau o acţiune să

• Riscul reprezintă un eveniment sau o condiţie incertă care, dacă

• Riscul include atât ameninţările asupra obiectivelor cât şi

• Riscul reprezintă posibilitatea apariţiei unei deviaţii de la un obiectiv

Deviaţia negativă = AMENINŢARE

Top Quality Management 1

• Riscul rezidual - Riscul privind îndeplinirea obiectivelor, care

• Riscul operațional – Risc care poate afecta capacitatea unui

• Risc semnificativ / strategic / ridicat – Risc major, reprezentativ care

Top Quality Management 1

• CONSECINŢE INDIRECTE - apar din interacţiunea dintre

Riscul în activitatea unei entități se referă la probabilitatea de a

Top Quality Management – Curs Managementul riscului 1

Riscul este o incertitudine şi nu ceva sigur.

Riscul este o posibilitate şi nu un fapt împlinit.

Problemele care vor apărea cu siguranţă reprezintă

Top Quality Management – Curs Managementul riscului 1

• Nu au apărut incă dar e • Sunt in desfașurare

Top Quality Management 1

• nivelul macro al entității – se pot identifica oportunități care pot

• nivelul micro – operațional – pe langă identificarea riscurilor și a

Top Quality Management 1

• Managementul problemelor presupune gestionarea de către

• Managementul problemelor implică luare de decizii in cazuri

Top Quality Management 20

• Managementul riscurilor presupune identificarea evenimentelor

• Managementul riscurilor implică stabilirea de măsuri de

Top Quality Management 21

Procesele de management al riscurilor vizează asigurarea unui control

Controlul intern este asociat direct cu managementul riscurilor, deoarece, prin

Top Quality Management – Curs Managementul riscului 2

Top Quality Management – Curs Managementul riscului 23

 Managementul riscului la nivel organizațional porneşte de la

Top Quality Management – Curs Managementul riscului 24

Top Quality Management – Curs Managementul riscului 25

 VIZIUNE - o descriere a ceea ce intenţionează să realizeze entitatea în viitor.

 VALORI - reprezintă convingerile și principiile care guvernează o organizație,

Top Quality Management – Curs Managementul riscului 26

 MISIUNEA administraţiei publice este de a fi permanent în slujba comunității locale pentru

 Viziunea UAT-ului X este de a crește permanent nivelul de comunicare cu cetățenii,

 Reuşita UAT X în îndeplinirea politicilor şi obiectivelor sale se fundamentează pe respectul

Top Quality Management – Curs Managementul riscului 27

 VALORILE care stau la baza activității noastre în serviciul public sunt: