MANAGEMENTUL RISCURILOR CAP. I.

ASPECTE GENERALE Prezenta metodologie este rezultatul sintezei i adaptrii unor idei fundamentale cuprinse n lucrarea de referin The Internal Control Framework / Committee of Sponsoring Organizations of the Treadway Commission (COSO), precum i a trei abordri naionale a managementului riscurilor: Anglia, ar cunoscut ca promotoare a unor principii moderne n managementul public; Olanda, al crei demers n reformarea gestiunii publice a nceput n anul 1993; Frana, ara care, n anul 2001, a adoptat o noua Lege organic pentru bugetare (lege in domeniul finanelor publice, n accepiunea din Romnia) i prin care s-a aliniat la principiile de bun practic n gestiunea public, susinute i promovate de Comisia European. Unul dintre cele mai importante standarde ce compun Codul controlului intern, aprobat prin Ordinul ministrului finanelor publice nr. 946/2005, este standardul referitor la managementul riscurilor. Conform standardului menionat mai sus, fiecare entitate public are obligaia de a analiza sistematic, cel puin o dat pe an, riscurile legate de desfurarea activitilor sale, s elaboreze planuri corespunztoare n direcia limitrii posibilelor consecine ale acestor riscuri i s numeasc responsabili pentru aplicarea planurilor respective. Aceast practic a migrat din sectorul privat n cel public, astfel nct din ce n ce mai multe guverne din rile membre ale Uniunii Europene au integrat managementul riscurilor n reformele gestiunii publice, ntreprinse n ultimii ani. Nu se poate spune c preocuparea pentru stpnirea riscurilor este ceva nou. Fiecare organizaie, dar i fiecare individ n parte, care intenioneaz s ating anumite obiective, i stabilete activitile ce conduc la realizarea scopurilor propuse i n acelai timp, caut s identifice ct mai multe din ameninrile ce l-ar mpiedica s fac acest lucru, pentru a lua din timp msurile necesare. Cu alte cuvinte, chiar dac nu suntem familiarizai cu conceptele de risc i de management al riscurilor, acionm de nenumarate ori, contient sau nu, n acest sens. Exemplu. Dac ne fixm ca obiectiv ajungerea la serviciu la ora fixat de regulamentele interne, nu este suficient s ne planificm numai activitatea de a ne deplasa. Exist suficiente situaii care ne-ar putea face s ntrziem (nu vine autobuzul, gsim roata de la main desumflat, ambuteiaje la intersecie etc.), iar aceste evenimente care ne-ar face s nu ne atingem obiectivul trebuie gestionate prin luarea unor msuri (plecm mai devreme, ne informm asupra situaiei drumurilor sau asupra strii vremii, alegem o rut ocolitoare, dar mai liber etc.). Dac intuiia ne poate ajuta s gestionm satisfctor procese simple, repetitive, nu acelai lucru se ntmpl n cazul proceselor complexe, cu condiionri multiple, care se petrec n organizaii. Mai mult dect att, organizaiile nu sunt sisteme nchise, ele acioneaz ntr-un mediu, care, la rndul su, induce incertitudini ce nu trebuie ignorate. Dei intuiia bazat pe experien nu i va pierde niciodat importana, ea se dovedete cu totul insuficient atunci cnd managementul trebuie s conduc la performan. De aceea, nsuirea unui sistem coerent de concepte i de reguli, unanim acceptate pe plan internaional, devine indispensabil practicii organizaionale actuale n sectorul public, n condiiile integrrii Romniei n Uniunea European. Familiarizarea organizaiilor publice din Romnia cu un astfel de sistem este i scopul acestei metodologii. Totodat, prin aceasta se intentioneaz crearea unui cadru unitar de abordare a managementului riscurilor n sectorul public i, prin urmare, armonizarea practicilor dezvoltate la nivelul fiecrei organizaii. La elaborarea metodologiei managementul risculurilor s-au avut n vedere numai conceptele i regulile de baz, evitndu-se, pe ct posibil, amnuntele i tehnicile speciale dezvoltate n anumite situaii particulare, care in de condiionri specifice. S-a considerat c o astfel de abordare este mult mai adecvat debutului, eliminndu-se, 1

totodat, riscurile de blocare a demersului de implementare, din cauza unei construcii complicate i supertehnicizate. De altfel, este unanim recunoscut faptul c nsuirea elementelor de baz pe care s se sprijine demersul creator al fiecrei organizaii (entitati) este o cale mai eficace n atingerea obiectivului urmrit dect reproducerea unor modele construite pe cu totul alte premise dect cele care descriu realitatea concret a organizaiilor. Oricum, n managementul riscurilor, nu modelele i tehnicile sunt cele mai importante, ci atitudinea fa de risc, iar aceasta este, n primul rnd, un aspect al culturii organizaionale ce se formeaz n timp i nu un rezultat al unor norme imperative. Totodat, asimilarea conceptelor de baz ale managementului riscurilor va facilita contactele cu experii strini, prin uniformizarea limbajului, fcnd posibil un transfer real de cunotine i experiene i va permite accesul la literatura de specialitate din domeniu, atunci cndse dorete aprofundarea unor aspecte de detaliu. In concluzie, prezenta metodologie nu are caracterul unei norme, ci se constituie ntr-un ghid ce orienteaz organizaiile publice n abordarea managementului riscurilor, a crui implementare deriv din necesitatea aplicrii standardelor de control intern, unanim acceptate n Uniunea European. Definirea notiunii de risc in diferite acceptiuni; Riscul? Nimic mai simplu si in acelasi timp ceva mai complex de identificat si mai ales de controlat. Din zorii istoriei, riscurile au constituit una dintre cele mai mari si fascinante provocari pentru umanitate datorita omniprezentei acestuia in toate domeniile de activitate. Ce este riscul? In acceptiunea teoriei clasice a deciziei, acesta este identificat drept un element incert dar posibil ce apare permanent in procesul activitatilor socio-umane, ale carui efecte sunt pagubitoare si ireversibile. Daca in acceptia data de dictionar, se defineste riscul drept expunerea la posibilitatea pierderii sau pagubei, societatile de asigurari considera acest element drept hazardul sau posibilitatea de a pierde. In cadrul teoriilor statistice avansate in evaluarea riscurilor, este prezentata o definire mult mai elaborata a riscurilor riscul reflecta variatiile distribuirii rezultatelor posibile, probabilitatea si valorile lor subiective. Referitor la cuantificarea acestor riscuri se precizeaza in continuare ca masurarea riscului se realizeaza prin analiza non-liniaritatilor utilitatii relevate de bani, fie prin variatia distribuirii probabilitatilor castigurilor si a pierderilor posibile, pentru fiecare alegere particulara. Alte definitii pentru risc: - Sansa de a pierde; - Posibilitatea de a pierde; - Incertitudinea care afecteaza rezultatul; - Dispersia actuala a rezultatelor asteptate; - Concept multidimensional, ce nu poate fi redus la un singur element sau la o cifra. Avand in vedere toate aceste aspecte precizate, putem remarca faptul ca definitiile generate de literatura de specialitate pentru risc difera foarte mult, ceea ce va conduce la ipoteza (de altfel foarte pertinenta) ca decidenti diferiti vor avea o conceptie diferita pentru aceeasi situatie. Cum putem avea totusi in acest context, o imagine unitara asupra riscului, daca exista atat de multe abordari diferite asupra aceluiasi concept? Solutia survine tocmai in identificarea riguroasa a elementelor comune ce stau la baza tuturor acestor definitii, acestea fiind incertitudine (nedeterminare ) si pierdere. In acest sens putem preciza ca notiunea de incertitudine este prezenta in toate definitiile riscului, deoarece validarea existentei acesteia va conduce in permanenta catre existenta a doua rezultate posibile distincte.Vom considera astfel ca un eveniment nu este afectat de risc, daca se cunoaste cu certitudine ca indiferent de context se va produce o pierdere. Realitatea imediata ne releva practic faptul ca pentru nici un proces constient asumat ce se desfasoara in orice domeniu de activitate, incertitudinea nu poata fi eliminata.In acest context se poate concluziona asupra faptului ca riscul si incertitudinea se intalnesc practic oriunde, insa combinate in proportii diferite. In situatii deosebite, evenimentele imprevizibile pot provoca abateri capabile sa modifice fundamantal configuratia datelor problemei, incertitudinea devenind ea insasi un potential factor de risc. Desi prezente in diverse combinatii, riscul si incertitudinea nu se pot confunda, intre aceste doua notiuni existand o serie de diferente semnificative , dintre care cea mai importanta stipuleaza ca :in timp ce pentru risc se pot face 2

anumite anticipari ale evenimentelor ce se pot produce cat si asupra probabilitatilor asociate producerii lor, in cadrul incertitudinii, decidentul nu poate identifica toate sau chiar nici unul din evenimentele posibile a se produce si cu atat mai putin a putea estima probabilitatea producerii lor. Riscul redefinit in termeni de oportunitate: Analizele actuale dedicate managementului riscului evidentiaza faptul ca, spre deosebire de abordarile traditionale - axate cu preponderenta pe actiuni de contracarare - cele moderne se focalizeaza pe actiuni de anticipare, simulare, predictie a riscului, realizand tranzitia de la a reactiona, a contracara la a actiona, a intampina. In plus, astfel de analize subliniaza urmatorul aspect: riscul nu reprezinta un lucru in totalitate negativ, reuneste atat aspecte pozitive, cat si negative; riscul este un concept care nu se refera atat de mult la evenimente cu impact potential negativ, cat la consecintele incertitudinii si la schimbarile/devierile care pot interveni de la ceea ce a fost initial planificat. Dupa cum subliniaza un autor, riscul nu reprezinta un lucru negativ in sine; riscul joaca un rol esential pentru progres, iar esecul face deseori parte din procesul de invatare. Dar trebuie sa stim cum sa mentinem echilibrul intre consecintele potential negative ale riscului si beneficiile posibile pe care le poate aduce transformarea riscului in oportunitate. Intr-o astfel de abordare moderna, managementul riscului reprezinta disciplina care are ca obiect de studiu incertitudinea si modalitatile de a face fata acesteia. Avantajul esential pe care l ofera stapanirea acestei discipline consta in faptul ca sporeste capacitatea de a lua decizii in situatii incerte. Managementul riscului nu reprezinta o abordare ingusta, limitata, rigida, ghidata de obiectivul exclusiv de a ingradi sau de a controla efectele potential negative ale diferitelor evenimente; daca definim riscul in termeni de incertitudine si deviere de la ceea ce a fost planificat, managementul riscului poate fi vazut drept o disciplina prin care pot fi sporite flexibilitatea si capacitatea de adaptare intr-un mediu din ce in ce mai complex si prin urmare, mai incert. Intelegerea riscului in termeni de oportunitate, de valorificare prompta a situatiilor neprevazute incepe sa domine stilul de management al marilor companii ale perioadei actuale si dupa cum subliniaza un articol recent din prestigioasa revista The Economist, organizatiile inovatoare, care isi indreapta in permanenta atentia spre situatiile neprevazute, exploatandu-le prompt in avantaj propriu, sunt cele care culeg cele mai multe roade. ATENIE. La prima lectur, unele noiuni sau definiii ar putea parea aride, dar nu ezitai n demersul dumneavoastr, trebuie s perseverai in dobandirea cunotinelor, pentru a progresa n stpnirea managementului riscurilor. Problematica nu este dificila si nici complicat pe ct ar putea prea la prima vedere. Pentru a evita eecurile in exercitarea actului managerial, nu abandonai nainte de a ncepe si aprofunda acest studiu, strict necesar pentru o reuit sigur n cariera dvs. CAP.II. NECESITATEA MANAGEMENTULUI RISCURILOR Managementul riscului se defineste drept:totalitatea metodelor sau mijloacelor prin care este gestionata incertitudinea, ca baza majora a factorilor de risc, in scopul indeplinirii obiectivelor descrise in cadrul oricarui proiect. De asemenea managementul riscului mai poate fi definit ca un proces care se aseamana foarte mult cu un control medical: pacientul expune simptomele, medicul pune un diagnostic, recomanda un tratament, iar dupa efectuarea tratamentului, pacientul vine din nou la control. Cele ase etape ale managementului riscului sunt: 1. fixarea/descrierea contextului; 2. identificarea riscurilor; 3. evaluarea/analiza i ierarhizarea riscurilor; 4. elaborarea planului de management al riscului; 5. adjudecarea i implementarea planului de management al riscului; 6. monitorizarea rezultatelor i corectarea/imbunatatirea planului initial. 3

Att n organizaie, ct i n mediul n care aceasta acioneaz, exist incertitudini de natura ameninrilor n realizarea obiectivelor, sau de natura oportunitilor. Orice manager trebuie s-i pun problema de a gestiona ameninrile, deoarece, n caz contrar, neatingndu-i obiectivele, s-ar descalifica, sau de a fructifica oportunitile n beneficiul organizaiei, dovedindu-i eficiena. Dac incertitudinea este o realitate cotidian, atunci i reacia la incertitudine trebuie s devin o preocupare permanent. Motivaia general de mai sus ar putea justifica singur necesitatea implementrii managementului riscurilor, ns exist i unele motivaii specifice: a). Managementul riscurilor impune modificarea stilului de management; Managerii unei organizaii nu trebuie s se limiteze la a trata, de fiecare dat, consecinele unor evenimente care s-au produs. Tratarea consecinelor nu amelioreaz cauzele i, prin urmare, riscurile materializate deja se vor produce i n viitor, de regul, cu o frecven mai mare i cu un impact crescut asupra obiectivelor. Managerii trebuie s adopte un stil de management reactiv, ceea ce nseamn c este necesar s conceap i s implementeze msuri susceptibile de a atenua manifestarea riscurilor. Reacia orientat spre viitor permite organizaiei s stpneasc, n limite acceptabile, riscurile trecute, ceea ce este acelai lucru cu creterea anselor de a-i atinge obiectivele. n terminologia adoptat n unele tri, riscurile care s-au manifestat deja, dar care sunt negestionate corespunzator, pot apare i n viitor, se numesc riscuri reale. Aceste riscuri sunt mai uor de identificat, dar aceasta nu nseamn c sunt la fel de uor de tratat. Stpnirea riscurilor reale este o garanie c sistemele de control intern sunt eficace. Altfel spus, tratarea riscurilor reale permite ca organizaia s nu se mai confrunte n viitor, n aceeai msur, cu acele riscuri cu care s-a confruntat anterior. Din pcate, este destul de rspandit concepia conform cria eficacitatea aciunii manageriale const n limitarea efectelor riscurilor materializate. Capcana unei astfel de logici deriv din faptul c managerii sunt judecai dupa eforturi, i nu dup rezultate (obiective precise asumate). Limitarea la managementul reactiv este, totui, insuficient pentru un management performant. Nici o organizaie nu poate fi condus numai dupa principiul vaznd i facnd. La fel de important este i identificarea posibilelor ameninri, nainte ca ele s-i materializeze i s produc consecine nefavorabile asupra obiectivelor stabilite. Aceasta nseamn a adopta un stil de management proactiv. Managementul proactiv are la baz principiul este mai bine s previi, dect s constai un fapt implinit. n organizaiile care beneficiaz de un management performant, scrutarea orizontului nu se limiteaz la viitorul imediat, ci ia n considerare i perspective mai ndeprtate. n aceste situaii, managementul proactiv devine un management prospectiv, n care managementul ncearc s identifice acele riscuri care pot apare ca urmare a modificrilor de strategie sau de mediu. Organizaia trebuie pregtit pentru a accepta schimbarea. Tot n terminologia adoptat n unele ri, riscurile care nu s-au manifestat nc, dar care pot s se materializeze n viitor, sunt cunoscute sub denumirea de riscuri poteniale. Identificarea unor astfel de riscuri nu este tocmai facil, dar nu de neabordat. Pentru nceput, oricrei organizaii i st la ndemn experiena altor organizaii care s-au confruntat cu astfel de riscuri. De asemenea exist studii de specialitate elaborate de organizaii specializate n scrutarea orizontului. n concluzie, managementul riscurilor exclude expectativa i promoveaz aciunea i previziunea. b). Managementul riscurilor faciliteaz realizarea eficient i eficace a obiectivelor organizaiei; n mod evident cunoaterea ameninrilor permite o ierarhizare a acestora n funcie de eventualitatea materializrii lor, de amploarea impactului asupra obiectivelor i de costurile pe care le presupun msurile menite de a reduce sansele de apariie sau de a limita efectele nedorite. Stabilirea unor ierarhii constituie suportul introducerii unei ordini de prioriti n alocarea resurselor, n majoritatea cazurilor limitate, n urma unei analize costbeneficiu sau, mai general, efort-efect. Este esenial ca organizaia s-i concentreze eforturile spre ceea ce este cu adevarat important, i nu s-i disperseze resursele n zone nerelevante pentru scopurile sale. Totodat, revizuirea periodic a riscurilor, aa cum este prevzut n standarde, conduce la realocari ale resurselor, n 4

concordan cu modificarea ierarhiilor i, implicit a prioritilor. Cu alte cuvinte managementul riscurilor presupune concentrarea resurselor n zonele de interes actuale. c). Managementul riscurilor asigur condiiile de baz pentru un control intern sntos; Dac controlul intern este ansamblul msurilor stabilite de conducere pentru a se obine asigurri rezonabile c obiectivele vor fi atinse, rezult c managementul riscurilor este unul din mijloacele importante prin care se realizeaz acest lucru, deoarece managementul riscurilor urmarete tocmai gestiunea ameninrilor ce ar putea avea impact negativ asupra obiectivelor. Cu alte cuvinte, dac se urmarete consolidarea controlului intern, este indispensabil implementarea managementului riscurilor. Planul de aciune (activitile ce trebuie desfurate pentru realizarea obiectivelor) trebuie secondat de planul ce cuprinde msurile ce atenueaz manifestarea riscurilor i de planul de tratare a situaiilor dificile (riscuri materializate).

CAP.III. CONCEPTE - CHEIE ALE MANAGEMENTULUI RISCURILOR

Aceast capitol este consacrat, n primul rnd, definirii termenilor, i nu detalierii conceptelor, lucru ce va face obiectul seciunilor urmtoare. Procedndu-se astfel, s-a considerat c cei interesai i pot forma o imagine de ansamblu asupra problematicii ce urmeaz a fi abordat. Definiii Organizaie - Persoanele care lucreaz mpreun pentru atingerea unor obiective prestabilite. O organizaie poate fi o autoritate public, un serviciu guvernamental (minister, instituie public, agenie etc.), o ntreprindere constituit sau nu n societate, o asociere de persoane fr scop lucrativ, o colectivitate local etc. De asemenea, tot organizaii sunt considerate i componentele structurale (divizii, direcii, servicii, birouri etc.). Obiective - Scopurile pe care i le stabilete o organizaie. Obiectivele generale se descompun, la nivel operaional, n obiective derivate i specifice. La nivel global, obiectivele pot fi exprimate n termeni generali, dar la nivel operaional, obiectivele se definesc precis, prin indicatori de rezultate msurabili. De aceea, obiectivele reprezint rezultatele ce trebuie obinute la nivelul organizaiei i la nivelul fiecrei componente structurale din cadrul acesteia. Fiecare obiectiv stabilit trebuie astfel definit nct acesta s rspund pachetului de cerine: - precis conform specificului entitii; - msurabil i verificabil din punct de vedere cantitativ i calitativ, dar i n ceea ce privete costul; - necesar avnd n vedere efectul pe care realizarea s l are asupra entitii; - realist posibil de atins innd cont de resursele entitii; - fixat n timp prin ncadrarea ntr-un interval temporal pentru aducerea la ndeplinire. Obiectivele entitii pot fi percepute prin prisma a cinci mari categorii: - strategice legate de elurile stabilite la nivel nalt, aliniate cu i sprijinind misiunea / viziunea entitii ; - operaional legate de eficacitatea activitilor entitii; - de raportare legate de eficienta sistemului de raportare n cadrul entitii; - de conformitate legate de modul n care entitatea respecta legile i reglementrile aplicabile n procesul de activitatii specifice; - de protejare a activelor legate de prevenirea pierderilor de active n cadrul entitii, fie prin furt, risip, ineficien sau printr-o decizie eronat. Risc - O problem (situaie, eveniment etc.) care nu a aprut nc, dar care poate apare n viitor, caz n care obinerea rezultatelor prealabil fixate este ameninat sau potentat. n prima situaie, riscul reprezint o ameninare, iar n cea de-a doua, riscul reprezint o oportunitate. Riscul reprezint incertitudinea n obinerea rezultatelor dorite i trebuie privit ca o combinaie ntre probabilitate i impact. 5

Probabilitatea de materializare a riscului - Posibilitatea sau eventualitatea ca un risc s se materializeze. Reprezint o msur a posibilitii de apariie a riscului, determinat apreciativ sau prin cuantificare, atunci cnd natura riscului i informaiile disponibile permit o astfel de evaluare. Impactul - Reprezint consecina asupra rezultatelor (obiectivelor), daca riscul s-ar materializa. Daca riscul este o ameninare, consecina asupra rezultatelor este negativ, iar dac riscul este o oportunitate, consecina este pozitiv. Expunere la risc - Consecinele, ca o combinaie de probabilitate i impact, pe care le poate resimi o organizaie n raport cu obiectivele prestabilite, n cazul n care riscul se materializeaza. Materializarea riscului - Translatarea riscului din domeniul incertitudinii (posibilului) n cel al certitudinii (al faptului mplinit). Riscul materializat se transform dintr-o problem posibil ntr-o problem dificil, dac riscul reprezint o ameninare, sau ntr-o situaie favorabil, dac riscul reprezint o oportunitate. Atenuarea riscului - Msurile ntreprinse pentru diminuarea probabilitii (posibilitii) de apariie a riscului sau/i de diminuare a consecinelor (impactului) asupra rezultatelor (obiectivelor) dac riscul s-ar materializa. Mai concis, atenuarea riscului reprezint diminuarea expunerii la risc, dac acesta este o ameninare. Evaluarea riscului - Evaluarea consecinelor materializrii riscului, n combinaie cu evaluarea probabilitii de materializare a riscului. Mai concis, evaluarea riscului reprezint evaluarea expunerii la risc. Profilul de risc - Un tablou cuprinznd evaluarea general documentat i prioritizat, a gamei de riscuri specifice cu care se confrunt organizaia. Strategia de risc - Abordarea general pe care o are organizaia n privina riscurilor. Ea trebuie s fie documentat i uor accesibil n organizaie. n cadrul strategiei de risc se definete tolerana la risc. Tolerana la risc - Cantitatea de risc pe care o organizaie este pregatit s o tolereze sau la care este dispus s se expun la un moment dat. Risc inerent - Expunerea la un anumit risc, nainte s fie luat vreo masur de atenuare a lui. Risc rezidual - Expunerea cauzat de un anumit risc dupa ce au fost luate msuri de atenuare a lui. Msurile de atenuare a riscurilor apartin controlului intern. Din aceast cauz riscul rezidual este o msur a eficacitaii controlului intern, fapt pentru care unele ri au nlocuit termenul de risc rezidual cu cel de risc de control. n concepia anglo-saxon, riscul rezidual este definit ca fiind expunerea cauzat de un anumit risc, dupa ce au fost luate msuri de atenuare a lui, presupunnd c msurile sunt eficace. n metodologia de fa s-a renunat la aceast precizare, deoarece poate genera confuzii i, mai ales, dificulti n operaionalizarea conceptului. Sintagma presupunnd c msurile sunt eficace conduce la o suprapunere ntre conceptele de risc rezidual i tolerabilitate la risc, ori, acestea sunt diferite. Considerm c este mult mai bine s operam cu conceptul de risc rezidual, ca masur a eficacitii controlului intern, i cu cel de tolerabilitate la risc, ca masur a expunerii la risc, acceptat de organizaie. Opernd astfel, diferena dintre riscul rezidual, la un moment dat, i tolerana la risc are o semnificaie precis, indicnd c mai trebuie luate i alte msuri de control intern pentru ca riscul rezidual s se plaseze la nivelul tolerabil. Gestionarea riscurilor sau managementul riscurilor reprezint toalitatea proceselor privind identificarea, evaluarea i aprecierea riscurilor, stabilirea responsabilitilor, luarea de msuri de atenuare sau anticipare a acestora, revizuirea periodic i monitorizarea progresului. Controlul intern - Orice aciune / msur provenit din organizaie, luat n scopul gestionrii riscurilor. Aceste msuri pot fi luate fie pentru a diminua impactul n cazul materializrii riscurilor, fie pentru a reduce probabilitatea de materializare a riscurilor. Cu alte cuvinte, controlul intern reprezint tocmai managementul riscurilor, deoarece, prin msurile luate, se obtine o asigurare rezonabil c obiectivele organizaiei vor fi atinse. CAP.IV. SINTEZA PROBLEMATICII RISCURILOR

Orice organizaie se constituie pentru a realiza anumite scopuri n raport cu care se orienteaz activitile desfurate n cadrul acesteia. n afara unor scopuri, nu exist organizaie, deoarece acestea constituie nsi raiunea ei de a fi. i organizaia dumneavoastra are scopuri. Le vei gsi, cu siguran, n documentele de constituire (legi, hotrri ale guvernului, statute, regulamente interne etc.). Scopurile sunt cunoscute sub denumirea generica de obiective. n sectorul privat, obiectivul principal al organizaiei l constituie fructificarea capitalului investit, pe cnd, n sectorul public, accentul cade pe interesul general, adic producerea unui serviciu public sau oferirea unui beneficiu pentru publicul larg. Obiectivele organizaiei nu se rezum numai la cele derivate din scopurile pentru care a fost creat. Pentru atingerea scopurilor, organizaia utilizeaz resurse, fapt pentru care este necesar definirea unor obiective legate de utilizarea eficient a acestora i de securitatea activelor. De asemenea, organizaia genereaz i utilizeaz informaii, deci o serie de obiective vizeaz fiabilitatea informaiilor interne i externe, n cadrul crora un loc central l ocup fiabilitatea informaiilor contabile, deoarece acestea reflect situaia financiar i patrimonial. Organizaia i desfoar activitile ntr-un mediu reglementat i, prin urmare, este firesc s-i stabileasc obiective legate de conformitatea cu legile, actele normative subsecvene, regulamentele i politicile interne. Aceste obiective constituie obiectivele generale ale oricarei organizaii. Ele se descompun pn la nivel individual, formnd un ansamblu coerent de obiective subordonate celor generale. Obiectivele operaionale (la nivelul fiecrei activiti) trebuie exprimate prin indicatori de rezultate, pentru a putea fi monitorizate. Din aceast cauz, obiectivele sunt denumite n mod curent i rezultate ce trebuie obinute sau rezultate ateptate. Oricare ar fi organizaia, atingerea obiectivelor stabilite sau obinerea rezultatelor ateptate este grevata de incertitudine, care poate deveni o barier n calea succesului sau o oportunitate. Incertitudinea exist, indiferent de modul n care o percepem. Am fost obinuii s lucrm n termeni determiniti i s ignorm incertitudinea, dei la fiecare pas ne lovim de ea. Oricnd pot apare situaii sau evenimente, aciuni sau inaciuni, care au drept consecin neatingerea obiectivelor sau se pot constitui n oportuniti ce trebuie exploatate. Astfel de probleme care pot apare i care influeneaz n sens negativ sau pozitiv obinerea rezultatelor dorite sunt denumite riscuri. Cu certitudine, fiecare s-a lovit de nenumarate ori de astfel de probleme, doar ca nu le-a denumit riscuri. n plan individual, suntem mai contieni de existena riscurilor, ns, n plan organizaional (a activittii pe care o desfurm n cadrul unei organizaii) avem tendina de a le minimaliza, fiindc nu avem exerciiul perceperii incertitudinii. Exemplu. Atunci cnd ne propunem s trecem strada (obiectiv) suntem constieni de faptul c exist posibilitatea s ne loveasc o main (de multe ori folosim chiar termenul de risc exist riscul s ne loveasc o main). Acesta este un eveniment incert, deoarece nimeni nu poate afirma cu certitudine c ori de cte ori trecem strada ne va lovi o maina sau c nu ne va lovi niciodat o maina. Aceeai percepie asupra riscurilor ar trebui s existe i n cadrul organizaiei. Exemplu. La nivelul activitii de recepie pot apare situaii de genul: materialele livrate de furnizor pot s nu corespund cantitativ i calitativ; serviciul aprovizionare s nu fi transmis la timp referintele contractuale serviciului de recepie; gestiunile s nu opereze n evidena operativ sau s nu transmit documentele serviciilor contabile etc. Toate aceste evenimente reprezint riscuri i, dac se produc, afecteaz realizarea obiectivelor referitoare la securitatea activelor i fiabilitatea informaiilor contabile. Aceste situaii reprezint nite incertitudini, deoarece ele nu sunt o stare de fapt. Ele pot apare, iar daca apar afecteaz realizarea obiectivelor. De cte ori n activitatea desfurat nu am fcut afirmaia: dac a fi tiut c se poate ntmpla asta a fi procedat altfel. Cnd am fcut aceast afirmaie, de fapt, ne-am exprimat regretul c nu am identificat riscul pentru a lua msurile necesare, iar acesta s-a materializat ntr-o stare de fapt care a produs consecine (impact) asupra a ceea ce ne-am propus s realizm (obiectiv). Din cele de mai sus rezulta c riscurile trebuie identificate i evaluate, din perspectiva combinaiei dintre probabilitatea c ceva (riscul) s se ntample i impactul (consecina asupra obiectivului) pe care materializarea respectivei posibiliti l va avea. Rezultatul evaluarii combinaiei probabilitate impact este denumit expunerea la risc. 7

n exemplele de mai sus, riscul de a ne lovi o main, dar i riscurile ca marfa s nu corespund specificaiilor contractuale saudocumentele s nu circule adecvat sunt denumite riscuri inerente, adic riscuri ce in de activitile n sine, fr a lua msuri de atenuare a riscurilor. Constieni c exist aceste riscuri, lum msuri pentru a prentmpina producerea lor: ateptm culoarea verde a semaforului; ne mai uitm o dat n dreapta i n stnga; numim o comisie de recepie responsabil: elaborm o procedur de circulaie a documentelor etc. Toate aceste mijloace puse n oper sunt denumite control intern, deoarece prin ele se obin asigurri rezonabile ca obiectivele (trecerea strazii, protecia activelor, fiabilitatea informaiilor) vor fi atinse. Dar riscurile nu dispar complet nici dup ce am procedat la controlul intern. Incertitudinea nu poate fi eliminat, ci numai controlat. Dac renunm s mai trecem strada prin locuri far pasaj subteran sau renuntm la metoda autorecepiei la furnizor, ar fi prea costisitor i ar cere prea mult timp. Riscul care rmne dupa aplicarea msurilor de control intern se numeste risc rezidual. Gestionarea riscurilor nseamn identificarea i evaluarea riscurilor, precum i stabilirea modului de a reaciona n faa riscurilor, adic de a pune n oper mijloace de control intern care s le atenueze posibilitatea de apariie sau consecinele pe care le-ar produce n cazul n care s-ar materializa. Dar resursele disponibile pentru gestionarea riscurilor sunt limitate, iar numarul riscurilor crete odat cu complexitatea organizaiei i a activitilor desfurate pentru atingerea obiectivelor. Prin urmare, este necesar s se urmareasc un rspuns optim la risc, ntr-o anumit ordine de prioritati (profilul riscurilor) care rezult din evaluarea riscurilor. n fiecare organizaie trebuie s se ia msurile necesare (s se operaionalizeze un sistem de control intern) gestionrii riscurilor pn la un nivel considerat acceptabil. Acest nivel este numit tolerana la risc (sau apetitul pentru risc). Cu alte cuvinte, revenind la exemplele de mai sus, consideram c este acceptabil expunerea la risc, n condiiile n care procedm cu regularitate la a trece numai pe verde sau la a numi comisii de recepie responsabile, care lucreaz dup proceduri bine stabilite. Este posibil s stabilim o toleran la risc mai mic, caz n care ar trebui, suplimentar, s nu trecem, dac este un vehicul n micare pe o raz de 50 m, sau s instituim o reverificare prin sondaj a recepiilor. n situaia de mai sus, riscul rezidual este mai mic, dar i resursele mobilizate sunt mai mari. Din aceast cauz, toleranta la risc este rezultatul optim pe o curb cost-beneficiu (efort-efect). n orice caz, riscul rezidual (ceea ce a rmas din riscul inerent dup punerea n oper a mijloacelor de control intern) trebuie s se ncadreze n tolerana la risc. n plan general, rspunsul la risc poate fi de urmtorul tip: acceptarea riscului; monitorizarea riscului; evitarea riscului; transferarea (externalizarea) riscului; atenuarea riscului. Fiecare organizaie i desfoar activitatea ntr-un mediu care influeneaz riscurile, dar care creeaz, n acelai timp, un context ce fixeaz limitele n cadrul crora riscurile trebuie gestionate. Mai mult dect att, fiecare organizaie are parteneri pe care mizeaz n demersul de atingere a obiectivelor. Din aceast cauz, un proces eficace de gestiune a riscurilor trebuie s ia n considerare prioritile stabilite de parteneri n gestionarea riscurilor. Prin urmare, mediul n care subzist organizaia nu este neutru. n teoria i practica consacrat riscurilor se vorbete chiar de organizaia extins (la nivelul mediului cu care interacioneaz). Gestionarea riscurilor trebuie subordonat obiectivelor care formeaz un sistem integrat, coerent i convergent ctre obiectivele generale, astfel nct nivelele de activitate s se susin reciproc. Aceast abordare permite organizaiei s defineasca i s implementeze o strategie de gestionare a riscurilor care pornete de la vrf i este integrat n activitile i operaiile de rutin ale organizaiei. Punerea n practic a strategiei trebuie integrat sistemelor de activitate ale organizaiei, pentru a se asigura c gestionarea riscurilor este o parte integrant a modului n care este condus organizaia. Personalul de conducere, indiferent de nivelul ierarhic pe care se afl, trebuie s-i formeze abilitile necesare gestionrii pe principii de eficien a riscurilor. Mai mult dect att, personalul, n ansamblul su, trebuie s contientizeze importana pe care gestionarea riscurilor o are n atingerea propriilor obiective. IMPORTANT. Cu siguran lucrurile au devenit pentru dvs mai clare. Vei ajunge la concluzia c problematica supus dezbaterii nu este deloc complicat i nici nu conine ceva nou de care n-ati auzit pn acum. Continuai s v consolidai cunotinele prin studierea seciunilor urmatoare. 8

CAP.V. MODEL SIMPLIFICAT DE MANAGEMENT AL RISCURILOR

nc de la nceput trebuie precizat c termenii de gestiune a riscurilor i de management al riscurilor sunt similari. Primul este propriu rilor de sorginte latin, iar al doilea rilor anglo-saxone. Limba romn a adoptat ambii termeni, fr deosebiri semantice, fapt pentru care utilizarea unuia sau a altuia depinde numai de interlocutor. Managementul riscurilor este un proces efectuat de catre conducere i celalalt personal al organizaiei constnd n: definirea strategiei ce trebuie aplicat; identificarea i evaluarea riscurilor ce pot afecta organizaia i activitile ce se desfoar n cadrul acesteia, innd cont de parteneriate i de mediu; controlul riscurilor astfel nct acestea s se ncadreze n limitele toleranei la risc; monitorizarea, revizuirea i raportarea continu a situaiei riscurilor, beneficiindu-se de experiena acumulat (proces de nvare), pentru a se obine o garanie rezonabil cu privire la realizarea obiectivelor organizaiei. Elementele acestei definiii sunt reflectate ntr-o schem menit s sugereze procesu si modelul de management al riscurilor.
ORGANIZAIE IDENTIFICAREA RISCURILOR PROCES DE NVARE MONITORIZAREA, REVIZUIREA i RAPORTAREA RISCURILOR EVALUAREA RISCURILOR

ATITUDINEA FA DE RISC CONTROLUL RISCURILOR ORGANIZAIA EXTINS

cuprinde si: - Organizaie tutelar - Organizaie subordonat - Parlament - Guvern - Legi i alte reglementari - Organizaii partenere - Alte organizaii incidente - Asteprile factorilor interesai - Condiii economice - Contextul international
MEDIUL / CONTEXTUL DE RISC se refera si la:

Mediul intern al entitii reprezint fundaia tuturor celorlalte componente ale managementului riscului pe care le influeneaz n mod decisiv. Mediul intern cuprinde mai multe elemente, inclusiv infrastructura, tehnologia utilizat, structura organizatoric a entitii, valorile etice, competenta i dezvoltarea personalului, stilul de conducere, modul de desemnare a autoritii i responsabilitii, existenta unei culturi a riscului. Modelul prezentat mai sus mparte procesul de management al riscului n elemente componente, aezate ntr-o succesiune logic a acestui proces, ns, n realitate, aceste componente se mbin armonios, pentru a crea un ntreg. Prin urmare, managementul riscurilor nu este un proces linear, componentele lui interactionnd. Gestionarea unui 9

risc poate avea un impact asupra altor riscuri sau msurile identificate ca fiind eficace pentru controlarea unui risc se pot dovedi benefice i n controlarea altor riscuri. De asemenea, modelul ncearc s sugereze c managementul riscurilor nu are n vedere o organizaie izolat ci, aa cum se ntmpl n realitate, o organizaie integrat n mediul su de existen, numita adesea context. Numai procednd astfel se poate spera c pot fi obinute rezultatele scontate. Dei nu apare figurat n model, tolerabilitatea la risc constituie premisa fundamental n care acesta funcioneaz. Tolerabilitatea la risc caracterizeaz fiecare organizaie n parte, datorit faptului c definete managementul general practicat n acea organizaie. O tolerabilitate mai mare la risc nu nseamn neaprat un management prost, dup cum nici o tolerabilitate la risc mai sczut nu nseamn cu necesitate un management bun. Reamintim c tolerabilitatea la risc este legat de resurse i problema esenial este de a gsi un echilibru ntre resurse ibeneficii. Managementul riscului este numai n parte aplicarea unor principii statuate la nivel de teorie. Managementul riscului este un process continuu de nvare din experiene trecute, proprii sau ale altora. Ceea ce este extrem de important n demersul de a se ajunge la un management al riscurilor eficace este consolidarea permanenta a unei culturi organizaionale a riscurilor. Managementul riscurilor este incompatibil cu atitudini de tipul: las ca merge i aa; are grij altul, eu nu trebuie sa-mi fac probleme; vom tri i vom vedea; nu e dracul chiar att de negru pe ct pare; este o fatalitate etc. Managementul riscurilor nseamna responsabilitatea asumat. Aceasta este problema dificil n calea implementarii unui management al riscurilor eficace, i nu deprinderea unei terminologii sau a unor tehnci. CAP. VI. IDENTIFICAREA RISCURILOR Pentru a se gestiona riscurile ntr-o organizaie, este necesar, nainte de toate, s se cunoasc aceste riscuri, adic s fie identificate. Identificarea riscurilor constituie primul pas n construirea profilului riscurilor unei organizaii. Riscurile trebuie identificate la orice nivel unde se sesizeaza c exist consecine asupra atingerii obiectivelor i pot fi luate msuri specifice de soluionare a problemelor, ridicate de respectivele riscuri. Riscurile nu pot fi identificate i definite dect n raport cu obiectivele a caror realizare este afectata de materializarea lor. Din aceast cauz existena unui sistem de obiective clar definite n organizaie constituie premisa esentiala pentru identificarea i definirea riscurilor. Definiti clar sistemul de obiective, ncepnd cu cele generale i terminnd cu cele individuale, i numai dup aceea ncercai s identificai ameninrile i oportunitile. Un risc identificat poate avea semnificatie pentru mai multe obiective ale organizaiei, iar impactul su poate varia n funcie de fiecare obiectiv n parte. Identificarea i definirea unui risc n raport cu un obiectiv este rareori suficient. ncercai s stabilii i celelalte obiective asupra crora respectivul risc are consecine. S-ar putea gsi msuri de tratare a respectivului risc n raport cu ansamblul obiectivelor pe care le afecteaz. n raport de situaia n care se afl organizaia, identificarea riscurilor se poate afla ntr-una din urmatoarele ipostaze: Identificarea initiala a riscurilor caracteristic organizaiilor noi sau care nu i-au identificat anterior riscurile, ntr-o manier structurat. De asemenea, aceast situaie se ntalnete n cazul demarrii unui nou proiect sau atunci cnd o activitate nou este introdus n organizaie. Identificarea permanent a riscurilor caracteristic organizaiilor n care s-a consolidat managementul riscurilor. Identificarea continu este necesar pentru cunoaterea riscurilor care nu s-au manifestat anterior datorit circumstanelor, a schimbrii circumstanelor n care se manifest riscurile identificate anterior, precum i pentru stabilirea riscurilor care s-au manifestat n trecut, dar care nu mai prezint, n prezent, importana pentru organizaie. Pentru un management eficace al riscurilor, identificarea riscurilor trebuie s capete un caracter permanent. Identificarea continu a riscurilor este conditia necesar racordarii la schimbare. La identificarea i definirea riscurilor trebuie avute n vedere cteva reguli importante. 1

 Riscul este o incertitudine i nu ceva sigur. Prin urmare, atunci cnd se identific un risc trebuie analizat dac nu este vorba despre o situaie existent, care are un impact asupra obiectivului. De cele mai multe ori, situaia existent reprezint un risc materializat, adica unul care s-a produs. n niciunul din cazurile de mai sus nu mai este vorba despre un risc, ci despre o problem dificil, care trebuie gestionat, sau despre o oportunitate care trebuie exploatat. Nu pierdei din vedere ca riscul este o problem (situaie, eveniment etc.) care poate s apar, dar care nu a aparut nc. Riscul este o posibilitate, i nu un fapt mplinit. Exemplu. Contaminarea unei colectiviti cu un virus, ntarzierea autobuzului, accidentarea persoanei care trece strada, intrarea n gestiune a unor materiale neconforme cu specificaiile contractuale, lipsa unor documente justificative privind recepiile n momentul ntocmirii situaiilor contabile etc. nu mai reprezint riscuri, ci situaii de fapt (probleme dificile), care trebuie gestionate, pentru a se diminua efectele asupra obiectivelor. Astfel, este necesar luarea de msuri pentru: tratarea indivizilor din colectivitatea contaminat; recuperarea timpului pierdut prin ntrzierea autobuzului, prezentarea de urgen la spital, inventarierea gestiunii i declanarea demersurilor ctre furnizori,introducerea corecturilor n situaiile contabile viitoare etc. Toate aceste msuri de gestionare a unor probleme dificile (riscuri materializate) urmaresc limitarea impactului (consecinelor) asupra unor obiective cum sunt: meninerea strii de sntate; punctualitate; integritate fizic a persoanei; securitate patrimonial; fidelitatea situaiilor contabile etc. Situaiile de fapt, enumerate mai sus, ar fi fost riscuri dac ele nu s-ar fi produs, ci ne-am fi aflat n momentul n care le-am fi identificat ca situaii sau evenimente ce s-ar putea produce: posibilitatea contaminrii colectivitii; posibilitatea ntrzierii autobuzului; posibilitatea accidentrii; posibilitatea unor recepii neconforme; posibilitatea unei circulaii defectuoase a documentelor justificative etc. Bineneles c dac aceste riscuri ar fi fost identificate msurile de controlare a riscurilor ar fi fost cu totul altele; controale de sntate periodice i izolare a indivizilor contaminai; luarea unei rezerve de timp; trecerea strzii numai n condiii de securitate maxim; numirea unei comisii de recepie specializat i responsabil; elaborarea unui circuit al documentelor formalizat etc. Nu ignorai problemele dificile identificate. Ele pot deveni riscuri n situaii repetitive din cadrul aceleiai organizaii sau pentru alte organizaii n care astfel de riscuri nu s-au materializat. Artam, n seciunea precedent, c managementul riscurilor presupune un proces de nvare. Din experienele trecute trebuie s nvm, pentru a controla mai bine viitorul. Dac circumstanele se pot repeta, tratai problemele dificile i ca riscuri. Prin urmare, punei n oper i msurile specifice gestiunii riscurilor. Nu constituie riscuri probleme (situaii, evenimente) care nu pot apare. n limbajul de specialitate al teoriei riscurilor, acestea se numesc ficiuni. Riscurile sunt probleme care pot apare i nu probleme (situaii, evenimente) a cror apariie este imposibil. Considerarea unor ficiunii ca fiind riscuri genereaz risip de resurse i disiparea eforturilor spre probleme ipotetice, tiut fiind faptul c fiecare risc identificat necesit elaborarea unui plan de rspuns. Exemple. Este un nonsens, s identificm, ca risc, intrarea n gestiune a unor materiale neconforme cu specificaia contractual sau lipsa unor documente justificative n momentul ntocmirii situaiilor contabile dac recepia este fcut prin mijloace automate sau exist sisteme informatice integrate de inere a evidenei contabile. n astfel de cazuri ne punem problema identificrii unor riscuri ce ar afecta buna funcionare a sistemelor automate (ntrerupere alimentare electric; incidente pe supori magnetici; decalibrare aparate etc.). Bineneles c gestionarea corespunztoare a riscurilor ce afecteaz realizarea obiectivului sigurana funcionrii aparatelor, conduce implicit la realizarea obiectivelor ce in de securitatea activelor sau fiabilitatea situaiilor contabile. ansele cele mai mari de a identifica ficiunile ca fiind riscuri, sunt n cazul obiectivelor implicite. n exemplele menionate mai sus, eforturile trebuie dirijate ctre compartimentele de gestiune a incidentelor hardware i software, sau spre cele de metrologie i nu spre componena comisiilor de recepie sau elaborarea de proceduri privind circulaia documentelor. Nu identificai ca riscuri probleme care vor apare cu siguran. Acestea nu sunt riscuri, ci certitudini. 1

Comentariu. Reamintim, faptul c, riscurile sunt prin esena lor evenimente sau situaii incerte. Ele se pot materializa, n situaii de fapt sau nu. Rspunsul la certitudini nu este un plan de rspunsuri la risc (msuri de controlare a riscurilor msuri de a ine sub control riscurile), ci un plan construit avnd ca punct de referin certitudinea. Exemple. Atunci cnd construim un buget al organizaiei nu suntem n situaia de a lua n considerare eventualitatea majorrii sarcinii fiscale, ci chiar majorarea nsi, s spunem cu 10%, dac codul fiscal modificat a aprut deja n Monitorul Oficial al Romniei. Sau, pentru a recurge la un alt exemplu, nu ne aflm n prezena riscului c debitul Dunrii s depeasc cotele de inundaie, ca urmare a precipitaiilor abundente din Europa, ci n faa certitudinii c aceast cot va fi depit, deoarece viitura semnalat pe teritoriul Germaniei va ajunge, cu certitudine i n Romania, eventual amplificat de afluenii din aval. Bineneles c, n acest caz, msurile ce trebuie luate nu sunt cele specifice inerii sub control a riscurilor de inundaii, ci cele specifice producerii, ntr-un timp determinat, a inundaiei nsi. Cu alte cuvinte eforturile nu se vor ndrepta spre consolidarea unui sistem de prevenire a inundaiilor, ci spre limitarea pierderilor umane i materiale. Certitudinile trebuie gestionate. n cele mai multe cazuri, ele determina o schimbare de strategie, de obiective i o realocare de resurse. Riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul nu este risc, ci consecina materializrii riscurilor asupra realizrii obiectivelor. Impactul este un efect ce i are sorgintea n risc i nu riscul nsi. Relund exemplele anterioare, trebuie reinut c: riscul nu este ntrzierea, ci pierderea mijlocului de transport; riscul nu este inundaia, ci depirea cotelor de inundaie; riscul nu este prejudicierea activelor, ci recepia necorespunztoare; riscul nu este deformarea situaiilor contabile, ci lipsa documentelor justificative care stau la baza nregistrrilor contabile; riscul nu este insuficiena resurselor prevzute n bugetul de venituri i cheltuieli,ci majorarea sarcinii fiscale etc. ntrzierea, accidentarea, inundaiile, prejudicirea patrimoniului, deformarea situaiilor contabile, insuficiena resurselor financiare sunt consecine care s-ar produce dac riscurile s-ar materializa i nu riscurile n sine. Riscurile sunt situaii, evenimente probabile, care dac s-ar materializa ar avea consecine asupra obiectivelor. Exist tentaia de a defini riscul prin impact: risc de a ntrzia, risc de accident, risc de inundaii, risc de prejudiciere, risc de infidelitate a rapoartelor contabile, risc de dezechilibru. Pentru a evita erorile definii clar obiectivele i raportai-v la ele. Definii apoi ce efecte negative exist asupra acestor obiective. Identificai situaii sau evenimente care ar putea produce aceste efecte. Reinei c definirea riscurilor nu este absolut, ci relativ fiind conditionat de definirea obiectivelor. Nici atunci cnd obiectivele sunt aceleai, deoarece ele depind de circumstanele concrete din fiecare organizaie, riscurile nu se definesc la fel. Doua organizaii identice nu exist. Din aceast cauz riscurile sunt, n primul rnd, probleme interne i nu generale. Nu definii riscurile prin negarea obiectivelor. O astfel de definire nu este adecvat nici pentru impact i cu att mai puin pentru riscuri. Comentariu. n limbajul curent folosim deseori expresia exist riscul s nu realizm obiectivele ce ni le-am propus sau exist riscul s nu ne realizm sarcinile. Dac ne-am opri la acest stadiu, am defini riscurile prin negarea obiectivelor. Cu alte cuvinte, nu am identifica riscuri i, prin urmare, nu am cuta nici msuri adecvate pentru atenuarea riscurilor obinnd astfel o asigurare rezonabil c rezultatele ateptate se vor obine. Este necesar un exerciiu, pentru a identifica riscurile poteniale. n general suntem obinuii s le identificm dup ce s-au produs atunci cnd, prin analize, ncercam s aflm care sunt cauzele pentru care am fost pui n faa unui eec. Nu identificai riscuri care nu afecteaz obiectivele. Nu exist riscuri n mod absolut, ci numai riscuri corelate cu obiectivele. Identificarea riscurilor nu este un scop n sine. Scopul identificrii riscurilor este tocmai inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, dac s-ar materializa (ar deveni situaii de fapt). Exemple. Riscul referitor la neregulariti n recepie nu are legatur cu obiectivul privind meninerea reputaiei serviciului public. De asemenea, pierderea repetat a autobuzului nu are legatur cu obiectivul de fidelitate a situaiilor contabile, dar poate avea legatur cu obiectivul de reputaie personal. 1

Exist tendina de a face legatura ntre riscuri i obiective prin lanuri de cauzalitate lungi i indirecte. Spre exemplu, se poate argumenta c dac pierzi repetat autobuzul ntrzii la serviciu i nu mai ai timpul s faci nregistrri corecte n contabilitate. Prin urmare, exist o legatur ntre riscul concretizat n pierderea autobuzului i obiectivul privind fidelitatea situaiilor contabile. La identificarea riscurilor este necesar s se elimine, pe ct posibil, tentaia stabilirii unor cauzalitati indirecte. n caz contrar, exist pericolul de a se vedea riscuri peste tot. Riscurile au o cauz i un efect asupra obiectivelor. Exist o cauz pentru fiecare risc i un efect dac riscul se materializeaza. Efectul (consecina) este, aa dupa cum s-a artat, impactul. Cauza este o situaie care exist (circumstana) i care favorizeaz apariia riscului. Exempul. Lipsa unei proceduri formalizate n sistem, este o situaie existent care favorizeaz apariia riscului de nedisponibilitate a documentelor justificative n momentul ntocmirii situaiilor financiare, risc care are efect nefavorabil asupra atingerii obiectivului de fidelitate a conturilor (situaii financiare i contabile). De asemenea, lipsa unei proceduri de control sistematic veterinary la popularea fermelor avicole, faciliteaz apariia riscului de contaminare virusologic a colectivitii, fapt ce afecteaz obiective de genul: securitate alimentar, continuitatea prestarii muncii de ctre salariai i realizarea veniturilor preconizate etc. Un exerciiu simplu; Enun: Un serviciu public de telefonie fixa trebuie s instaleze cte un post telefonic fix la domiciliul fiecarei familii. n unele uniti administrativ-teritoariale trebuie efectuate n timp util lucrrile de cablare subteran sau aerian. ntrebare: Care este obiectivul, riscul, cauza i efectul? Obiectivul organizaiei (serviciului public) este de a instala un post de telefonie fixa la domiciliul fiecrei familii. Artam anterior c obiectivul este scopul sau misiunea organizaiei. Riscul este rmnerea unor gospodrii n afara sistemului de telefonie fix? Nu, deoarece riscurile nu se definesc prin negarea obiectivelor. Rmnerea n afara telefoniei fixe a unor gospodrii ale populaiei este sinonim cu neintroducerea a cte unui post telefonic n fiecare gospodrie. Rmnerea unor gospodrii fr post telefonic fix este impactul, adica efectul materializrii unui risc asupra realizrii obiectivului organizaiei. Riscul este situaia precar a reelelor de telecomunicaii din unele uniti administrativ-teritoriale? Nu, deoarece riscul nu este o situaie de fapt, ci o incertitudine. Situaia precara a reelelor este cauza care faciliteaz apariia riscului. Riscul este posibilitatea de a nu se finaliza n timp util lucrrile de ameliorare a reelei? Da, acesta este riscul deoarece el reprezint incertitudinea care, n cazul materializrii, ar afecta realizarea obiectivului. Apariia acestui risc este potenat de situaia precar a reelei din unele uniti administrativ-teritoriale (cauza). Msurile de atenuare a riscurilor se formuleaz pornind de la cauze i nu de la riscuri sau impact. Din acest motiv, atunci cnd identificati riscurile ncercai s definii i cauzele i efectele. Orice risc identificat este de fapt o triad: cauz risc impact, corelat cu obiectivul. Formarea unor abiliti n identificarea riscurilor, cauzelor i efectelor este o problem de exerciiu. Cu timpul ceea ce astzi pare dificil mine va deveni rutin, dar niciodat nu trebuie s devin un automatism. Circumstanele se modific i niciodat nu vom fi intr-o situaie similar. Faceti deosebirea intre riscul inerent i riscul rezidual. Riscul inerent este riscul specific ce ine de realizarea obiectivului, fr a se interveni prin msuri de atenuare a riscurilor (controlul intern). n exemplele artate anterior, riscurile identificate sunt riscuri inerente. Ele in de problema n sine. Riscul rezidual este riscul ce rmne dup ce s-au pus n oper msurile de atenuare a riscurilor inerente sau, cu alte cuvinte, riscurile remanente controlului intern. Riscul rezidual este consecina faptului c riscurile inerente nu pot fi controlate n totalitate. Oricte msuri s-ar lua, incertitudinea rmne. Mai mult dect att, amploarea msurilor de inere sub control a riscurilor inerente este limitat, deoarece resursele posibil de antrenat sunt ele nsele limitate. Identificarea riscurilor inerente este util, deoarece creaz o imagine a riscurilor cu care se poate confrunta organizaia daca sistemul de control intern nu funcioneaz corespunzator. De asemenea, identificarea riscurilor reziduale este important deoarece ele constituie o msur a eficacitii controlului intern, dar i un reper de raportare la tolerabilitate la risc. 1

Exempul. n cazul telefoniei fixe, riscul inerent este neterminarea n timp util a reelei. Presupunnd c s-au luat toate msurile de prevenire a oricrei ntrzieri (s-au fcut planuri detaliate, s-au construit grafice Gant, s-au ncheiat contractele de execuie, au fost obinute toate autorizrile de intervenie n spaiul public, s-au constituit liniile de finanare etc.) i c aceste msuri produc efectele scontate, nu se poate afirma c nu mai exist risc de ntarziere. S admitem, i c aceasta nu este o simpl presupunere, c la excavare se descoper un sit istoric. Lucrarile trebuie ntrerupte pentru evaluari arheologice, nefiind exclus chiar modificarea solutiilor. n cazul riscului de indisponibilitate a documentelor justificative (risc inerent) s-au elaborat proceduri de circulaie a documentelor care au devenit operaionale. Cu toate acestea eroarea umana este de nenlturat. n ceea ce priveste riscul de contaminare virusologic s-au luat msurile de control intern privind controlul veterinar, dar riscul nu dispare n totalitate. Erorile de eantionare, posibilitatea deteriorarii reactivilor etc, sunt tot attea posibiliti ca riscul rezidual s persiste. Riscurile inerente i reziduale sunt n poziii relative. Dac se stabilete o tolerabilitate la risc mai mic, riscul inerent definit anterior, controlat prin msuri de control intern eficace, devine circumstana i riscul rezidual devine risc inerent. Prin urmare, sistemul organizaional se afl ntr-o nou stare n raport cu care, dac se decide o tolerabilitate la risc i mai sczut, trebuie concepute noi msuri de control intern i, n consecin, apare un nou risc rezidual, de dat aceasta ncadrat n limitele de tolerabilitate la risc redefinite. Identificarea riscurilor nu este ntotdeauna o operatiune strict obiectiva ci, n primul rnd, o problema de percepie. De fapt, se poate afirma ca nu se opereaz cu riscuri n sine, ci cu percepii asupra riscurilor. Pentru a atenua subiectivismul n perceperea riscurilor este recomandat s se recurg la doua metode complementare de identificare a riscurilor cu care se confrunt organizaia: - Autoevaluarea riscurilor. Metoda are avantajul c fiecare grup, care particip la o activitate omogena a organizaiei, cunoate mult mai bine problemele cu care se confrunt n realizarea obiectivelor proprii. Totodat, atunci cnd membrii colectivului sunt pui n situaia de a descoperi ei nii riscurile, ei tind s devin mai contieni i mai responsabili n gestionarea acestora. Dezavantajul metodei const n faptul c fiind implicate direct n activitate, subiectivismul n perceperea riscurilor este mai accentuat. Se ntmpl s se identifice riscuri nerelevante, dar care n percepia colectiv par importante i invers. Rolul managerului acelei activiti este esenial n autoevaluare. Avnd o viziune de ansamblu a activitii pe care o coordoneaz, percepe mai bine riscurile generale i intercondiionarile dintre riscurile individuale. De asemenea, acesta identific acele riscuri care afecteaz activitatea grupului, dar pe care nu le poate controla la nivelul su fiind necesar intervenia managementului de nivel imediat superior. Pentru nceput, dar i pentru procesul de revizuire continu, este bine ca organizaia s-i formeze un grup de persoane care s capete abiliti n identificarea riscurilor. Aceste persoane pot asista colectivele de autoevaluare. - Desemnarea unei echipe, interna sau externa (eventual angajat prin contract), care s analizeze toate operaiunile i activitile organizaiei n corelare cu obiectivele i s identifice riscurile asociate. Echipa trebuie s realizeze un profil al riscurilor organizaiei. Avantajul acestei metode consta n atenuarea subiectivismului i n corelarea riscurilor pe diferite nivele. Dezavantajul rezid n faptul c anumite riscuri, aparent neimportante, pot fi ignorate. Comentariu. Cele doua metode nu se exclud, ele se completeaz reciproc n realizarea unui profil al riscurilor din organizaie. Comparnd rezultatele obinute, prin cele doua metode, seobserva adesea diferene semnificative de percepie. Aceste diferene de percepie trebuie soluionate pentru a permite integrarea eficace a gestionrii riscurilor n diferitele nivele ale organizaiei. Identificarea riscurilor curente este necesar, dar nu i suficient. Adaptarea la schimbare impune identificarea unor riscuri ce pot apare n viitor ca urmare a unor transformri previzibile. Importanta sporit, n sectorul privat dar i n cel public, a cercetarii viitorului (scrutrii orizontului) i a gestionarii riscurilor viitoare este acum un fapt recunoscut. 1

Organizaiile trebuie s se pregteasc din timp pentru a putea face fa unor riscuri viitoare. Pentru a ne rezuma la un exemplu actual, pregatirea pentru integrarea de facto a Romaniei n Uniunea Europeana trebuie s constituie pentru organizaii (publice sau private) un bun prilej pentru a identifica riscurile cu care se vor confrunt n noile condiii. Cu siguran, dac ar fi existt o cultur organizational a riscului, perioada tranzitorie ar fi fost mult mai bine utilizat, iar organizaiile ar fi fost mult mai bine pregatite la impact. Consideram c este util prezentarea unei tipologii a modalitilor n care diferite organizaii abordeaz cercetarea viitorului. Criterii de tipologizare; - Periodicitate / Regularitate.descriere. n organizaiile guvernamentale specializate n previziuni, explorarea viitorului este o activitate curent, menit s identifice noi provocri ce pot crea disfuncii, dar i oportuniti. n alte organizaii activitatea este periodic, activitatea de cercetare a viitorului fiind reluat la intervale de timp stabilite n raport cu dinamismul mediului extern sau intern. - Orizont de timp.descriere. n cazul elaborrii strategiilor i politicilor organizaionale se cerceteaz orizonturi de10 ani i mai mult, n timp ce, atunci cnd este vorba de decizii operaionale orizontul de timp se reduce la perioade mai scurte. - Sfera de cuprindere.descriere. O serie de organizaii, care consider c principalele ameninri provin din interior, i concentreaz atenia asupra mediului intern. Altele, puternic conectate la mediul extern, i dezvolt reele extinse de informare i nuclee specializate de analiz a posibilelor riscuri viitoare. - Rigurozitate / Specialitate. descriere. Explorarea viitorului depinde de msura n care este susinut de tehnologie. Anumite organzaii folosesc n identificarea riscurilor scheme sofisticate i tehnologii avansate de cutare a informaiilor. Altele se bazeaz pe reeaua de contacte i o bun judecat. Cercetarea viitorului este important pentru c anumite riscuri, cu impact negativ (ameninri), pot fi transformate n oportuniti daca sunt identificate la timp. Riscurile identificate trebuie grupate. Nu exist o grupare standard, fiecare organizaie poate adopta propriul sistem de grupare ariscurilor cu scopul de a le administra corespunztor. Apartenena la o clasa de probleme, nivelele de responsabilitate n gestionarea riscurilor, congruena msurilor ce trebuie luate etc, pot constitui elemente n baz crora s se fac aceast grupare. Dup amploarea impactului riscurile pot fi strategice sau operaionale (n unele abordri apar i riscurile intermediare sau de program). De asemenea, unele riscuri i au sorgintea n mediul extern organizaiei (riscuri externe), iar altele sunt proprii organizaiei nsi (riscuri interne). De asemenea, pot fi privite prin prisma naturii activitii, caz n care, acestea pot fi riscuri: legislative, juridice, financiare, profesionale, sociale, comerciale, informationale, de functionare, de mediu, de imagine (credibilitate), patrimoniale etc. Cu titlu de exemplu, redm mai jos tabelul cuprinznd categoriile de riscuri realizat de Ministerul Finanelor din Anglia (Treasury) menit s sprijine organizaiile s verifice dac au luat n considerare ntreaga gama de riscuri ce pot apare. Categorii de riscuri. 1. Externe (care decurg din mediul extern i nu pot fi controlate n totalitate de organizaie, dar pentru care pot fi luate msuri de atenuare; 1.1. Politice 1.2. Economice 1.3. Socio-culturale 1.4. Tehnologice 1.5. Juridice 1.6. De mediu 2. Operaionale (legate de operaiile curente, att modul curent de desfurare a activitii, ct i construirea i meninerea capacitii i capabilitii); 2.1. Desfurarea activitii 2.1.1. Posibilitatea de a furniza un produs / serviciu 2.1.2. Derularea activitilor / proiectelor 1

2.2. Capacitate i capabilitate 2.2.1. Resurse (active, umane, financiare, informaionale) 2.2.2. Relaii 2.2.3. Operaii (obinerea rezultatelor) 2.2.4. Reputaie 2.3. Modul i capacitatea de gestionare a riscurilor 2.3.1. Guvernanta (regularitate i corectitudine) 2.3.2. Explorare (capacitatea de identificare riscuri i oportuniti) 2.3.3. Flexibilitate i adaptabilitate 2.3.4. Securitate (active, sociala, informaional) 3. Schimbarea (riscuri ce in de obiective, care depesc capacitatea actual); 3.1. Noi strategii 3.2. Noi politici 3.3. Noi programe 3.4. Noi proiecte Comentariu. Nu confundai categoriile de riscuri cu riscurile nsi. Riscurile nu sunt domenii sau categorii generice, ci sunt situaii sau evenimente concrete ce pot apare i care, dac se materializeaz, afecteaz realizarea obiectivelor.

CAP.VII. EVALUAREA RISCURILOR Odat riscurile identificate se trece la a doua etap, de evaluare a riscurilor. Evaluarea riscurilor presupune evaluarea probabilitii de materializare a riscurilor i a impactului (consecinelor) asupra obiectivelor n cazul n care acestea se materializeaz. Combinaia dintre nivelul estimat al probabilitii i nivelul estimat al impactului constituie expunerea la risc, n baza creia se realizeaz profilul riscurilor. Un sistem coerent de evaluare a riscurilor, implementat ntr-o organizaie, se caracterizeaz prin: existena unui proces structurat de evaluare a binomului probabilitate impact pentru fiecare risc identificat; nregistrarea evalurii riscurilor ntr-un mod care s permit monitorizarea i identificarea ordinii de prioriti n tratarea riscurilor; diferenierea clar a riscurilor inerente de riscurile reziduale. Evaluarea riscurilor trebuie s: se bazeze, pe ct posibil, pe dovezi obiective (impariale i independente); aib n vedere pe toi cei afectai de risc; fac distincia ntre expunerea la risc i tolerabilitatea la risc. Scopul evalurii riscurilor este de a stabili o ierarhie a riscurilor unei organizaii care, n funcie de tolerabilitatea la risc, permite stabilirea celor mai adecvate modaliti de tratare a riscurilor i delegarea responsabilitii de gestionare a riscurilor celor mai potrivite nivele decizionale. Dar, a ierarhiza nsemna a compara, iar pentru a compara trebuie conceput o metod unitar de evaluare a probabilitii i impactului riscurilor ca i a rezultantei compunerii lor numit, aa dup cum s-a artat, expunere la risc. Problema este dificil, deoarece exist riscuri care pot fi cuantificate i pentru care exist suficiente date stocate n documentele organizaiei cum ar fi, spre exemplu, riscurile financiare, de personal sau de fiabilitate a aparaturii, dar i riscuri care nu pot fi cuantificate cum ar fi, spre exemplu, riscurile legate de credibilitate.

Din fericire exist un element comun, i anume: percepia noastr asupra riscurilor. Fr ndoial, orice metod bazat pe percepie este subiectiv, dar, n lips de altceva, este un mare pas nainte n comparaie cu situaia n care riscurile sunt tratate intuitiv i ntmpltor, uneori chiar fr s fim contieni c facem acest lucru. Metoda bazat pe percepie are ns o justificare obiectiv. Nu att nivelele evaluate ale riscurilor au importan, ct mai ales dac riscurile sunt percepute sau nu ca tolerabile. Cu alte cuvinte, deviaiaexpunerii la risc fa de tolerabilitatea la risc este relevant deoarece aceasta creeaz motivaia pentru gsirea metodelor cele mai adecvate de gestionare a riscurilor. Din cele de mai sus nu trebuie tras concluzia c trebuie renunat la cuantificarea riscurilor. Aceasta trebuie fcut ori de cte ori este posibil. Nimic nu este mai convingtor dect argumentaia fundamentat pe cazuistic i pe cifre concrete. Chiar i atunci cnd cuantificarea nu este posibil, evaluarea riscurilor nu nseamn a-i da cu prerea despre probleme cu care nu eti familiarizat. Informarea, experiena, conexiunea logic etc., constituie baza unei evaluri n cunotin de cauz, chiar dac componenta subiectiv a percepiei este prezent. Evaluarea riscurilor nu este, n nici un caz, o improvizaie. Evaluarea riscurilor, aa cum se preciza n debutul acestei seciuni, const n parcurgerea urmtoarelor etape: a. evaluarea probabilitii de materializare a riscului identificat; b. evaluarea impactului asupra obiectivelor n cazul n care riscul s-ar materializa; c. evaluarea expunerii la risc ca o combinaie ntre probabilitate i impact. A. Evaluarea probabilitii de materializare a riscului nseamn determinarea anselor de apariie a unui rezultat specific: Reamintim c riscul este o problem (situaie, eveniment) care poate s apar (s se materializeze), caz n care realizarea obiectivelor este afectat. Cu alte cuvinte, exist o incertitudine n apariia situaiei sau evenimentului care poate afecta realizarea obiectivelor. Probabilitatea este o msur a incertitudinii. Pentru a se nelege ct mai bine noiunea de probabilitate se va recurge la cteva exemple ce au n vedere riscuri reale (riscuri care s-au materializat n trecut, dar care pot s se manifeste i n viitor dac nu se iau msuri adecvate de gestionare a lor). Exemplu. Pe baza informaiilor culese s-a constatat c: din 100 de angajri de persoane ntr-o organizaie, 11 au avut probleme cu respectarea condiiilor impuse de regulamente (riscurile de conformitate au probabilitatea de 11%); din 200 de loturi de produse provenite de la un furnizor s-a constatat c n 18 cazuri au fost lipsuri sau defecte (riscurile de aprovizionare au probabilitatea de materializare de 9%); din 10 bilanuri contabile publicate numai 2 au necesitat corecturi ulterioare, ca urmare a omisiunilor n nregistrrile contabile generate de nedisponibilitatea documentelor justificative (riscurile contabile au o probabilitate de materializare de 20%); n 100 de ani Dunrea a depit, la intrarea n ar, debitul de 16.000 m3/s de 3 ori, debitul de 12.000 m3/s de 8 ori i debitul de 10.000 m3/s de 14 ori (riscul de inundaie n zona X este de 3%, n zona Y de 8% i n zona Z de 14%); din 1000 de credite acordate, 150 s-au dovedit neperformante (riscul de nerestituire are probabilitatea de materializare de 15%) n aceste exemple, pentru economia textului, s-au menionat clasele de riscuri i nu riscurile n sine. Ori clasele de riscuri nu trebuie confundate cu riscurile nsi, care sunt definite n raport cu obiective precise. Menionam anterior c managementul riscurilor presupune un proces de nvare. Exemplele de mai sus ilustreaz faptul c experiena trecut ne-a artat c n activitatea de personal, de aprovizionare, contabil, de protecie mpotriva inundaiilor etc. exist riscuri care au anumite probabiliti de materializare. Dar aceste riscuri nu au disprut i exist aceeai probabilitate de a aprea i n viitor, dac circumstanele nu se modific. Prin urmare, oricnd exist un nceput pentru aplicarea managementului riscului. Managementul riscurilor privete viitorul i rezultatul sau este c mine organizaia are anse mai mari s-i ating obiectivele dect ieri, deoarece s-au introdus msuri de inere sub control a riscurilor. Nu trebuie tras concluzia c observaia asupra frecvenei cu care se materializeaz anumite riscuri este singura cale de evaluare a probabilitii. Nu se poate aeza la baza demersului numai empirismul, dei importana lui nu trebuie ignorat. 1

O evaluare destul de bun a probabilitii de materializare a unor riscuri se poate realiza i prin analiza circumstanelor. Metoda analizei circumstanelor are la baz un postulat simplu: dac exist aceleai cauze vor exist aceleai efecte. Nu trebuie redus totul la experiena proprie. Uneori este suficient s cunoatem corelaiile stabilite de alii i s nelegem pe cele ce apar n situaii noi. ntr-o organizaie sau/i n mediul cu care interacioneaz pot exista, la un moment dat, condiii (stri de fapt, circumstane) care favorizeaz apariia riscului i condiii care defavorizeaz apariia acestuia. Prin urmare, dac se face o analiz a cauzelor care favorizeaz apariia riscurilor se poate face o apreciere a anselor de materializare a acestora. n seciunea consacrat identificrii riscurilor s-a artat c riscurile au o cauz i un efect, iar cauza s-a definit ca fiind o situaie care exist (circumstan) i care favorizeaz apariia riscului. Cunoaterea acestor circumstane este determinant pentru evaluarea probabilitii. Metoda analizei circumstanelor se aplic cu precdere n cazul riscurilor poteniale (riscuri care nu s-au materializat n trecut, dar care se pot materializa n viitor), deoarece nu se dispune de o cazuistic care permite evaluarea probabilitii prin metoda clasic (evenimente elementare favorabile/total evenimente posibile). Exemple. Creterea volumului traficului, situaia necorespunztoare a drumurilor sunt cauze care favorizeaz apariia riscurilor de accident sau de ntrziere a autobuzelor; scderea influenelor subiective n angajarea personalului conduc la scderea probabilitii de materializare a riscurilor de neconformitate n activitatea de personal; lipsa unor proceduri formalizate privind circulaia documentelor justificative pot favoriza apariia riscurilor de omisiuni n nregistrrile contabile; compromisuri majore n aplicarea principiului separaiunii funciunilor favorizeaz apariia riscului de fraud; nclzirea global i defririle massive favorizeaz apariia riscului de inundaie; dotarea cu echipamente de calcul performante atenueaz materializarea incidentelor de hardware i software; veniturile sczute i gradul de ndatorare ridicat al populaiei favorizeaz riscul de creditare etc. Fr ndoial analiza circumstanelor conduce la o evaluare a probabilitii cu un grad mai mare de relativitate. Dar acest lucru, aa dup cum s-a artat, nu constituie un impediment major, atta timp ct evaluarea are la baz informaii i analize pertinente. Informaiile i analizele care stau la baza evalurii probabilitii riscurilor constituie aa-numita documentare a riscurilor. Cu ct documentarea riscurilor este mai bun, cu att evaluarea este mai realist. Chiar i componenta subiectiv a evalurii poate fi redus prin evaluri independente urmate de o armonizare a lor cu autoevalurile. De asemenea, trebuie reinut faptul c identificarea riscurilor i evaluarea riscurilor au fost tratate ca faze separate numai din raiuni de facilitare a nelegerii. n realitate identificarea i evaluarea riscurilor se face concomitent. Atunci cnd se recurge la metoda analizei circumstanelor, domeniul n care funcia de probabilitate ia valori se poate nlocui cu o scal de evaluare. Pentru nceput, aceast scal de evaluare a probabilitii de materializare a riscurilor poate fi de tipul: Probabilitate: - scazuta (0-20)% - medie (20-80)% - ridicata (80-100)% Cifrele de 20% sau 80% nu au semnificaia unor praguri de la care probabilitatea poate fi considerat ca fiind medie sau ridicat. Spre exemplu, dac la compartimentul de facturare se constat ca 5% dintre facturi sunt eronate aceast probabilitate a riscului este foarte mare. Prin urmare, ncadrarea unei probabiliti n scala de evaluare depinde de natura riscului i de atitudinea fa de risc i n nici un caz de anumite praguri. Prin introducerea acestei scale, n urma analizei circumstanelor, rmne s apreciem dac posibilitatea de materializare a riscului este sczut, medie sau ridicat. Fr ndoial problema privind evaluarea probabilitii de materializare a riscurilor, ce prea la nceput insurmontabil, s-a simplificat mult. Chiar i evalurile cantitative ale probabilitilor pot fi translatate n aceast scal. La evalurile cantitative trebuie s se recurg ori de cte ori este posibil. Ele implic o fundamentare mai riguroas i mai obiectiv.

Pe msur ce organizaia se familiarizeaz cu problematica riscurilor, iar managementul riscurilor devine o component de baz a managementului general al organizaiei, se poate trece la o evaluare mai analitic ce presupune utilizarea unei scale n cinci trepte, de tipul: Probalitate: - foarte sczuta: (0-10)% - scazuta: (10-35)% - medie: (35-65)% - mare: (65-85)% - foarte mare: (85-100)% Nu utilizai scalele de evaluare n 5 trepte dect dac n organizaie s-a acumulat suficient experien n managementul riscurilor i astfel de scale devin o necesitate a fundamentrii deciziilor. Este mai bine ca eforturile s se concentreze spre gsirea i implementarea msurilor ce conduc la atenuarea posibilitii de materializare a riscurilor, dect spre evaluri detaliate. Aceasta nu nseamn c atunci cnd necesitile o impun, pentru anumite riscuri, s se utilizeze scale chiar mai analitice. De asemenea, nu interpretai procentele ca fiind praguri de semnificaie. Comentariul precedent este valabil n toate cazurile. B. Evaluarea impactului asupra obiectivelor n cazul materializrii riscurilor: Impactul reprezint consecina asupra obiectivelor (rezultatelor) ateptate, care poate fi, n funcie de natura riscului, negativ sau pozitiv. Este de la sine neles, c managerii organizaiei, ca i cellalt personal raportat la obiectivele individuale, aflai n faa unei situaii de risc, sunt interesai s cunoasc ct de mari sunt consecinele asupra obiectivelor urmrite dac riscurile s-ar materializa. Din aceasta rezult necesitatea evalurii impactului. Aa cum s-a artat, la evaluarea probabilitilor de materializare a riscurilor, numai unele riscuri se preteaz la evaluri cantitative, pentru multe dintre ele fiind posibil doar evaluarea calitativ. Evalurile cantitative ale impactului trebuie fcute ori de cte ori este posibil, deoarece sunt mult mai relevante, dar n final pentru obinerea unei imagini unitare asupra riscurilor ce pot afecta organizaia, evalurile cantitative vor fi transpuse i ele n scale calitative. n unele situaii, mai ales cnd este vorba de obiective strategice, iar organizaiile sunt complexe (similar, proiecte complexe, activiti complexe), evaluarea impactului devine o problem dificil ce necesit studii de impact. Dar, ntr-o organizaie, majoritatea riscurilor nu sunt de natura celor de mai sus, iar impactul lor poate fi evaluat cu eforturi considerabil mai mici. Impactul oricrui risc este caracterizat prin consecine de diferite naturi. Alturi de consecine calitative, exprimate descriptiv, pot fi identificate i consecine exprimate n termeni de buget (costuri), de efort (timp de munc) i de timp (ntrzieri posibile n termenul de realizare a obiectivelor). Generic vorbind, impactul se poate descompune astfel: IC componenta calitativ (care poate cuprinde indicatori cantitativi) I IB componenta bugetar i/sau patrimonial IE componenta efort IT componenta de timp Comentariu. Nu este obligatoriu ca evaluarea impactului s se fac prin toate componentele sale. Uneori nu este posibil, iar alteori nu este relevant. Spre exemplu: impactul produs de angajrile de personal neconforme: - Ic deteriorare climat de munc; - IB 30 mil. lei/an efort bugetar; - IT 500 ore ntrziere n ndeplinire sarcini etc. impactul produs de lipsuri n loturile livrate: - Ic dereglare procese funcionale; - IB 23 mil. lei prejudicii patrimoniale. impactul produs de riscul de nedisponibilitate documente justificative: - Ic situaii financiare nefidele, afectare credibilitate n faa partenerilor (probleme n primirea de fonduri cu titlu oneros sau nu); creterea frecvenei auditurilor externe etc. impactul produs de materializarea riscului de inundaii: 1

- Ic afectare credibilitate a capacitii de administrare a unor situaii deosebite i pierderi de viei omeneti; - IB pierderi de bunuri (legume i fructe) nerealizate, n suma de 300 miliarde lei. impactul produs de materializarea riscului de nerambursare: - IB 12 mld. lei resurse imobilizate n creane greu recuperabile i 24 mld. lei pierderi acoperite din provizioane etc. Cerina actual const n reformarea ntregii gestiuni, n sensul c trebuie fixate obiective msurabile ncepnd de la nivelul programelor (bugetarea pe programe) i terminnd cu sarcinile individuale. n acest context, fiecrui obiectiv i se ataeaz indicatori de rezultate ce pot fi cuantificai i monitorizai. n astfel de situaii, impactul riscurilor trebuie exprimat i n efectul pe care l are materializarea lor asupra indicatorilor de rezultate. Rezultatele evalurilor calitative i cantitative ale impactului riscurilor trebuie transpuse n scale calitative, care s reflecte importana perceput n raport cu obiectivele. Ca i n cazul evalurii probabilitilor, pentru nceput, pot fi utilizate scale de evaluare n trei trepte, de tipul IMPACT: - Ridicat; - Mediu; - Sczut; n etapele de maturizare a managementului riscurilor i pe msur ce nevoia de detaliere devine o necesitate, organizaia poate trece la evaluarea impactului riscurilor pe scale calitative n cinci trepte, de tipul IMPACT: - Foarte ridicat; - Ridicat; - Mediu; - Sczut; - Foarte sczut; Nu trebuie renunat la evalurile cantitative ale impactului. Acestea trebuie fcute ori de cte ori este posibil deoarece obiectiveaz aprecierea i constituie, alturi de evalurile calitative (componenta IC a impactului), documentarea riscurilor. Identificarea riscurilor presupune i evaluarea impactului. C. Evaluarea expunerii la risc: Expunerea la risc reprezint consecinele, ca o combinaie de probabilitate i impact, pe care le poate resimi o organizaie n raport cu obiectivele prestabilite n cazul n care riscul s-ar materializa. Aceast definiie s-ar putea s ridice unele dificulti de nelegere deoarece msur probabilistic a acestora. Expunerea la risc este un concept probabilistic, deoarece exprim o combinaie ntre probabilitate i impact. Ca urmare, ea are semnificaie numai naintea producerii riscului. Dup apariie riscul nu mai este o incertitudine, ci devine un fapt mplinit. n termenii teoriei probabilitilor aceasta nseamn c probabilitatea de apariie (materializare) a riscului este 1 (eveniment sigur). n aceste condiii expunerea la risc este de fapt impact. De asemenea, n definiie se precizeaz c expunerea la risc este o combinaie ntre probabilitate i impact. Prin urmare, scala de evaluare a expunerii la risc nu mai este unidimensional, ca n cazul probabilitii sau impactului, ci una bidimensional sau, cu alte cuvinte, de tip matricial. Liniile matricei descriu variaia probabilitii, iar coloanele variaia impactului. Expunerea la risc apare la intersecia liniilor cu coloanele. Dac organizaia a adoptat scalele n trei trepte la evaluarea probabilitilor i impactului, rezult c scala evalurii expunerii la risc are 9 valori (3x3), putnd fi reprezentat grafic astfel: - IMPACT (Y) axa ordonatelor: - Ridicat- R - Mediu- M - Sczut-S - Probabilitatea (X) axa abciselor - Scazut S - Medie M - Ridicat - R E= XXY unde E - este expunerea la risc; 2

X - reprezinta probabilitatea riscului; scazuta(S), medie(M), Ridicata (R); Y- reprezinta impactul riscului; scazut (S), mediu (M), ridicat(R); Relatia (ecuatia) pune n eviden faptul c expunerea la risc opereaz o ierarhizare a riscurilor. Este evident c un risc cu expunerea RR (probabilitate de apariie ridicat i impact ridicat n cazul materializrii) nu este echivalent cu un risc cruia i se asociaz expunerea SS (probabilitate de apariie sczut, impactul sczut n cazul materializrii). Gruparea riscurilor identificate ntr-o organizaie n funcie de expunerea la risc conduce la realizarea profilului de risc al organizaiei. Fiecare organizaie are propriul su profil de risc. Chiar dac dou organizaii ar fi identice din perspective obiectivelor, activitilor, contextului etc. ele nu ar avea acelai profil de risc. Circumstanele i percepia riscurilor ar conduce cu siguran la profiluri de risc diferite. n aceste condiii ar fi nerealiste ateptrile de a se crea profile tip, pe grupuri de organizaii. Identificarea i evaluarea riscurilor, i alctuirea profilului de risc, este un atribut exclusiv al organizaiei. Organizaiile care au adoptat scale de evaluare a probabilitilor i impactului n 5 trepte vor realiza o detaliere a expunerii la risc pe o scal matricial cu 25 de valori. E=X xY unde: X- reprezinta probabilitatea riscului cu valori; foarte scazuta(FS), scazuta(S), medie(M), ridicata(R) si faoarte ridicata(FR); Y- reprezinta impactul riscului; foarte scazut(FS), scazut(S), mediu(M), ridicat(R), foarte ridicat(FR); Profilul de risc rezultat e mult mai analitic, dar aceasta presupune c managementul riscurilor este mult mai matur. Un astfel de management este capabil s trateze diferit un risc cu expunerea FRFR fa de unul cu expunerea RR. Din raiuni de a pune mai bine n eviden ierarhia, scalele calitative, notate cu litere mari, pot fi transformate n scale numerice (1,2,3,4,5), ns astfel de scale au marele dezavantaj ca atenueaz semnificaia. Aceeai expunere nr. 4 - spre exemplu, o au riscurile caracterizate prin: probabilitate foarte sczut i impact ridicat; probabilitate sczut i impact sczut; probabilitate ridicat i impact foarte sczut. Ori, modalitatea de tratare a unor astfel de riscuri poate fi diferit, dei expunerea la risc este aceeai. Atunci cnd din diferite motive, se opteaz pentru utilizarea scalelor numerice, ele trebuie dublate cu scalele calitative, aa cum s-a procedat n figura de mai sus. n acest mod nu se va pierde din semnificaie. Dac la aceasta se adaug documentaia riscului (care poate cuprinde, eventual, i evaluri cantitative) cu siguran se poate fundamenta mult mai bine modul de tratare a riscurilor. Trebuie gsit un echilibru ntre simplificare i detaliere pentru a nu se pierde din semnificaie, dar nici de a fi copleii de amnunte care de multe ori deruteaz. Organizaiile cu management al riscurilor consolidat consider riscurile cu probabilitate foarte sczut i care reprezint ameninri i riscurile cu probabilitate foarte ridicat i care reprezint oportuniti, drept ipoteze (presupuneri). Cu alte cuvinte, trec evenimentele sau situaiile respective din categoria riscurilor n categoria ipotezelor de lucru. Un astfel de procedeu nu se recomand a fi aplicat n organizaiile n care managementul riscurilor este la nceput, dac riscurile cu efectnegativ (ameninrile) au un impact semnificativ. n limbajul curent o astfel de situaie este exprimat astfel: este adevrat c sunt anse mici s se ntmple aa ceva, dar dac se ntmpl, efectele sunt catastrofale. Probabilitatea reprezint totui o incertitudine i nu o certitudine. Cnd se identific riscuri cu impact semnificativ, ele nu trebuie tratate drept ipoteze, chiar dac au o probabilitate foarte sczut de apariie. Dac totui acestea sunt tratate drept ipoteze, nu trebuie neglijat monitorizarea lor. Circumstanele s-ar putea modifica, i odat cu ele i probabilitatea de apariie a riscului. Pentru a exemplifica cele de mai sus se va recurge la expunerea unei situaii reale dintr-o unitate de management a fondurilor europene (UMFE). Exemplu. Datorit faptului c fondurile europene aferente proiectelor admise la finanare sosesc cu ntrziere, apreau foarte des situaiile n care UMFE nu puteau face plile ctre beneficiarii finanrii n momentele cnd 2

erau solicitate. ntrzierile n pli generau ntrzieri n derularea proiectelor i n ntocmirea noilor solicitri ce aveau la baz justificarea cheltuielilor eligibile efectuate. Capacitatea sczut de autofinanare a titularilor de proiecte, precum i costurile destul de ridicate a resurselor mprumutate, ca i condiiile de garantare a mprumuturilor puteau genera un blocaj cu consecine n neutilizarea fondurilor europene alocate Romniei n cadrul unor programe. UMFE a identificat riscul ntrzieri n pli, cauzele care faciliteaz apariia acestui risc (proceduri de lung durat de autorizare a eliberrii fondurilor practicate de Comisia European, autofinanare sczut, acces limitat al titularilor de proiecte la credite etc.) i consecinele materializrii acestui risc (neutilizarea fondurilor aferente proiectelor admise la finanare i anularea lor, dup perioada de neutilizare prevzut n acorduri). Prin evaluare s-a stabilit ca acest risc are o expunere foarte mare. De asemenea, UMFE a constatat c acest risc nu este sub controlul su, deoarece nu poate interveni n mod direct asupra cauzelor. Solicitrile UMFE adresate Comisiei Europene de a simplifica procedurile s-ar fi soldat cu un refuz, deoarece Romnia este perceput ca o ar cu risc ridicat de neregularitate. De asemenea, introducerea unor criterii suplimentare de eligibilitate (capacitate de asigurare temporar a resurselor proprii) nu ar fi ntrunit acordul beneficiarilor care ar fi invocat nsprirea condiiilor de eligibilitate n raport cu cele prevzute n acordurile de finanare. Pentru UMFE situaia era destul de complicat, deoarece riscul ntrzieri n pli afecta nsi obiectivul su de baz (derivat din scopul constituirii organizaiei) i anume: utilizare ct mai deplin a fondurilor puse la dispoziie de ctre Uniunea European (eventual se poate presupune c acest obiectiv avea ataat i un indicator de rezultat cum ar fi: 95% din fondurile aferente proiectelor admise la finanare sunt utilizate). Acceptarea unui astfel de risc nu era posibil deoarece ar fi nsemnat punerea sub semnul ntrebrii a raiunii de a exist a organizaiei. UMFE a constatat c obiectivul su deriv dintr-un obiectiv mai general, gestionat de ctre Guvern i anume: creterea capacitii Romniei de absorbie a fondurilor europene. Prin urmare, Guvernul este interesat n controlarea acestui risc de ctre UMFE. Pornind de la aceasta constatare, UMFE a propus constituirea unui fond, alimentat cu titlu de avans de la bugetul statului, care s acopere temporar golurile de finanare datorate ntrzierilor generate de autorizrile Comisiei Europene, urmnd ca la primirea finanrii externe s se restituie la buget suma avansat. Constituirea a fost acceptat i UMFE a operaionalizat fondul cu sprijinul Ministerului Finanelor Publice. Prin luarea acestei msuri, UMFE a internalizat controlul riscului de ntrziere n pli. Ca urmare, a constituit un sistem de eviden contabil a fondului, a elaborat o procedur de legtur cu bugetul statului i una de stabilire a necesarului de finanare temporar a golurilor de finanare extern. Toate aceste msuri de control intern au fcut ca expunerea la riscul iniial (numit risc inerent) s scad simitor (probabilitate foarte mic, impact foarte mic). Riscul, care rmne dup aplicarea msurilor de control intern, este numit risc rezidual. De asemenea, se reamintete faptul c prin control intern nu se nelege exclusive verificare, ci ansamblul procedeelor prin care se obine o asigurare rezonabil c obiectivele sunt atinse. n exemplul de mai sus riscul rezidual, cu expunerea probabilitate foarte mic impact foarte redus, este rezultatul msurilor de control intern (evidena contabil a fondului, proceduri etc.) aplicate n vederea atenurii riscului inerent ntrziere n pli caracterizat prin expunerea probabilitate foarte mare impact foarte ridicat. Continuarea exemplui. O perioad de timp, sistemul a funcionat conform ateptrilor fr s ias la iveal o eroare de proiectare a controlului intern. Eroarea s-a datorat neidentificrii unui risc, despre care vom vorbi n continuare, sau considerarea acestuia ca fiind o ipotez. Este vorba despre riscul valutar care decurge din urmtoarele circumstane: - fondurile europene se transmit n euro ntr-un cont deschis pe numele UMFE la o banc agreat; - fondurile provenite de la buget sunt transmise n lei ntr-un cont deschis la aceiai banc, pe numele UMFE; - plile ctre titularii de proiecte se fac n euro (urmeaz regimul fondurilor europene, i nu regimul fondului de acoperire temporar a golului de finanare). Operaiunile se desfurau n urmtoarea secven: 2

Faza I fondurile europene aferente proiectului X (contabilitatea se ine pe proiect) nu sosiser n contul euro, iar plata n euro ctre titularul de proiect trebuia efectuat operaiuni: - solicitare fonduri de la buget, la cursul de vnzare euro al bncii ce administra cele dou conturi (n lei i n euro) ale UMFE; - transmitere fonduri, cumprare euro, plata ctre beneficiar; - nregistrare contabil. Faza a II-a sosesc fondurile europene operaiuni: - se vnd euro la cursul de cumprare al bncii ce administra conturile; - leii se virau la bugetul de stat; - se efectuau nregistrrile contabile. La prima vedere s-ar prea ca a fost o scpare inadmisibil a UMFE. Constatarea este ns numai pe jumtate adevrat. n perioada cnd s-a fcut analiza, leul urma o tendin de devalorizare continua fa de euro. Prin urmare riscul de inversare a tendinei de evoluie a leului n raport cu valuta european i intrarea acestuia ntr-un culoar de oscilaie avea o probabilitate de apariie foarte redus. UMFE a considerat acest risc drept o ipotez, fapt pentru care a construit sistemul bazndu-se pe premisa c leul se va devaloriza n continuare, ceea ce nseamn acelai lucru cu ipoteza c riscul menionat nu se va materialize cel puin ntr-o perioad previzibil. i aa s-a i ntmplat o perioad bun de timp. Diferena de curs leu/euro ntre momentul finanrii golului de resurse datorat ntrzierii sosirii fondurilor europene i momentul restituirii avansului bugetar, ca urmare a sosirii fondurilor europene, era suficient de mare ca s acopere diferena dintre cursul de vnzare i cel de cumprare practicat de banca ce administra cele dou conturi, i s creeze chiar un surplus nominal la bugetul de stat. Eroarea UMFE a constat n faptul c a ignorat impactul materializrii riscului de inversare a tendinei de devalorizare a leului i intrarea acestuia ntr-un culoar de fluctuaie. Dei acest risc avea o probabilitate mic de apariie, n momentul analizei el avea ns un impact foarte mare, asupra obiectivului UMFE, de a minimiza pierderile bugetare. Nu este greu de observat c intrarea leului ntr-o tendin de apreciere fa de euro face ca gestiunea fondului n lei, constituit pe seama bugetului n vederea finanrii temporare a golului de resurse europene, se va solda cu pierderi pentru bugetul de stat. Conform celor artate anterior, UMFE trebuia s trateze atent riscurile cu probabilitate foarte mic (cele care pot fi considerate ipoteze), dar care au un impact foarte mare asupra obiectivelor organizaiei. Dac s-a optat pentru o variant a ipotezei, riscul trebuia introdus n regim de monitorizare atent, lucru care nu s-a ntmplat n fapt. Aceasta a fost, pe fond, eroarea UMFE. Regimul de monitorizare ar fi permis detectarea din timp a semnalelor de pe piaa valutar i a implicaiilor modificrii politicii de ctre Banca Naional a Romniei. Modificarea circumstanelor conducea la modificarea probabilitii de apariie a riscului din una foarte sczut n una ridicat, sau chiar foarte ridicat. Prin urmare riscul valutar, n noile circumstane, devenea un risc cu expunere ridicat (probabilitate mare impact ridicat). Un astfel de risc trebuia tratat i nu neglijat. Efectul a fost materializarea riscului, iar UMFE a fost pus n situaia de a gestiona o problem dificil i nu un risc. Evitarea materializrii riscului valutar n viitor impune ca msur de control intern, modificarea modalitii de funcionare a fondului. O soluie posibil ar fi conversia fondului, din lei n euro, i funcionarea lui n regimul stocului pe o perioad de un an i nu n regimul alimentrii n momentul solicitrii plii pentru fiecare proiect n parte, i restituirii n momentul sosirii fondurilor europene. Tendina de a simplifica realitatea, prin introducerea de ipoteze, este un fapt binecunoscut. De cele mai multe ori, nici mcar nu suntem contieni c modelele mentale asupra realitii i raionamentele pe care le facem au la 2

baz astfel de ipoteze care, uneori se pot dovedi false. Mai mult dect att, modul de a raiona n termeni determiniti ne este mult mai familiar. A percepe incertitudinea i a judeca n termeni probabilistici necesit exerciiu i o bun cunoatere a circumstanelor care, la rndul lor, presupun o permanent informare. O ipotez introdus deliberat n sistem nu este periculoas prin ea nsi, deoarece suntem contieni de faptul c ea este valabil numai ntr-un anumit context, ns modificarea contextului trebuie urmrit. n exemplul precedent au aprut din nou cele dou ipostaze ale riscului, i anume riscul inerent i riscul rezidual. Tehnologia de evaluare a celor dou riscuri este acelai motiv pentru care, anterior, s-a vorbit de evaluarea riscului n general i nu despre evaluarea unui tip de risc. Riscul inerent i riscul rezidual sunt dou ipostaze ale aceluiai risc: nainte de introducerea unui instrument de control intern i, respectiv, dup introducerea unui instrument de control intern. Prin urmare expunerea la riscul inerent este o msur a cantitii de risc la care se expune organizaia dac nu funcioneaz sistemul de control intern, iar expunerea la riscul rezidual este o msur a cantitii de risc rmase dup ce au fost implementate instrumentele de control intern. Deoarece controlul intern are scopul de a atenua posibilitatea de apariie a riscului i/sau de a atenua impactul asupra obiectivelor ntre cele dou expuneri la risc, exist relaia: Erisc inerent > Erisc rezidual n exemplul precedent, expunerea la riscul ntrzieri n pli era probabilitate foarte mare impact foarte ridicat nainte de introducerea unui instrument de control intern. Dup introducerea instrumentului de control intern fond de finanare temporar (acesta este un instrument din categoria mijloace sau resurse) expunerea la risc a devenit probabilitate mic impact redus. Din compararea celor dou expuneri rezult c instrumentul de control intern este eficace. Riscul inerent, n sensul c nu exist nici un instrument de control intern, nu este cazul cel mai des ntlnit n organizaii. Acestea au sisteme de control intern pentru multe dintre riscuri, chiar dac situaiile sau evenimentele ce sunt inute sub control nu sunt percepute (contientizate) ca riscuri. Despre sistemele de control intern se poate afirma c sunt adecvate sau nu, dar nu se poate susine c nu exist. Din aceast cauz, riscul inerent i rezidual au un caracter relative i nu absolut. Dac controlul intern implementat la un moment dat n organizaie n raport cu un anumit risc are drept consecina o expunere la risc ce depete limitele de tolerabilitate, riscul rezidual anterior este considerat risc inerent n raport cu ajustrile i dezvoltrile sistemului de control intern existent. Sistemul de control intern ajustat i dezvoltat pentru a surprinde modificrile de circumstane se finalizeaz printr-un nou risc rezidual. Comentariu Este necesar s se rein faptul c ipostaza de risc inerent i rezidual se stabilete n raport cu controlul intern. Datorit frecvenei utilizrii, mai ales n cazul managementului pe programe i proiecte, s-a considerat util, ca n finalul acestei seciuni, s se fac succinte referiri la o metod de evaluare cantitativ a expunerii la risc, denumit n literatura de specialitate metoda valorii ateptate. Metoda valorii ateptate definete ca modalitate de combinare a probabilitii i impactului operaiunea de multiplicare. n aceste condiii, expunerea la risc se calculeaz dup formula: E=PxI unde: - E este expunerea la risc; - P este probabilitatea de apariie a riscului; - I este impactul asupra obiectivelor, dac riscul s-ar materializa. Din formula de mai sus rezult c metoda valorii ateptate este o metod neutr, deoarece acord aceiai importan att probabilitii ct i impactului la evaluarea expunerii la risc. Anterior s-a fcut afirmaia c expunerea la risc este o mrime probabilistic, care are semnificaie numai nainte de materializarea riscului. Riscul odat materializat nu mai este risc, ci stare de fapt. n termenii teoriei probabilitilor, aceasta nseamn c evenimentul nu mai este probabil, ci sigur, iar probabilitatea evenimentului sigur este 1. n aceste condiii: E=PxI=1xI=I

ceea ce nseamn c E i-a pierdut semnificaia de expunere la risc devenind impact. Ori, dac ceva se va ntmpla sigur n viitor nu se procedeaz la controlul riscului, ci la msuri de gestionare a unei situaii dificile (impact materializat). Programele, proiectele, activitile i n general orice aciune structurat, orientat spre realizarea unor obiective, necesit alocare de resurse. Fr a neglija celelalte resurse, totui resursele financiare trebuie tratate prioritar, numai i pentru faptul c oricnd resursele financiare pot fi convertite n celelalte resurse pentru acoperirea eventualelor deficite. Practica bugetrii, fr a lua n considerare riscurile, poate genera la rndul ei un risc major riscul de insuficien a resurselor financiare care n cazul n care s-ar materializa ar bloca aciunile. Bugetarea pe baz de riscuri nu nseamn nici pe departe alocarea de resurse financiare, care s acopere impactul tuturor riscurilor. Aceasta ar nsemna risip de resurse financiare i negarea nsi a managementului riscurilor, care are drept scop tocmai inerea sub control a acestora. Spre exemplu, s presupunem c au fost identificate cinci riscuri. Evaluarea probabilitilor de apariie, a impactului n costuri, n cazul n care riscurile s-ar materializa, i a expunerii la risc utiliznd metoda valorii ateptate este prezentat n tabelul de mai jos: Riscuri Probabiliti Impact Expunere de apariie a majorare la risc riscurilor (P) costuri (I) (PxI) Riscul 1 67% 3,5 mil 2,345 mil Riscul 2 28% 2,0 mil 0,560 mil Riscul 3 50% 5,0 mil 2,500 mil Riscul 4 90% 1,0 mil 0,900 mil Riscul 5 10% 30,0 mil 3,000 mil Total 41,5 mil la impact (I) si 9,305 mil la expunerea la risc (PxI) Concluzii: - Bugetul pe baz de risc nu va fi suplimentat cu 41,5 mil, ci numai cu 9,3 mil, ceea ce nseamn c n acest tip de bugetare relevana este expunerea la risc i nu impactul; - Dei riscul 5 are o probabilitate mic de apariie el va fi tratat cu prioritate deoarece, n cazul materializrii, impactul n costuri va depi de trei ori rezerva de risc cu care s-a majorat bugetul; - Pe o poziie diametral opusa se situeaz riscul nr.4, care dei are o probabilitate foarte mare de apariie, impactul materializrii sale este foarte redus afectnd numai a zecea parte din rezerva bugetar de risc; - Riscurile 1 i 3 au expuneri probabilitate medie impact mediu, iar n cazul n care s-ar materializa ar consuma prin impact, ntreaga rezerv bugetar de risc. Prin urmare, pentru aceste riscuri, trebuie pus la punct un sistem de inere sub control similar tratrii riscului nr.5; - Riscul nr.2 avnd i o probabilitate redus de apariie i un impact redus poate fi asumat. Bugetarea pe baz de riscuri presupune alocarea n buget i a unei rezerve aferent riscurilor neidentificate. Aceast rezerv este ns destul de redus, deoarece se pleac de la premisa c s-a fcut o analiza riguroas care a permis identificarea riscurilor semnificative. Structura unui buget care ia n considerare riscurile este de tipul: A. Costuri aferente activitilor, din care: B. Rezerva de risc, din care: - riscuri identificate - riscuri neidentificate Total buget xxxx 2

Bugetarea pe baz de riscuri presupune asumarea responsabilitii unui management al riscurilor eficace. Rezerva de risc nu trebuie interpretat ca fiind o suplimentare a bugetului pentru orice eventualitate. Utilizarea acestei sume trebuie justificat. Dac se practic un management al riscurilor performant, o parte semnificativ din rezerva de risc devine, la finele aciunii, economie bugetar. CAP.VIII. TOLERANA LA RISC Tolerana la risc reprezint cantitatea de risc pe care o organizaie este pregtit s o tolereze sau la care este dispus s se expun la un moment dat. Conceptul de toleran la risc are semnificaii diferite n funcie de natura riscului, care poate fi o oportunitate sau o ameninare. Cnd se au n vedere oportunitile, conceptul de toleran la risc se refer la a analiza ct de mult este dispus cineva s rite n sperana c va beneficia de pe urma acelor oportuniti, iar cnd se au n vedere ameninrile, tolerana la risc se refer la expunerea tolerabil i ustificabil care trebuie atins n practic. n interpretarea conceptelor de mai sus nu trebuie uitat faptul c riscul este o incertitudine. Prin urmare, oportunitatea se poate realize sau nu, ca de altfel i ameninarea. Exist multe situaii cnd acelai risc poate fi privit ca o ameninare sau ca o oportunitate, caz n care tolerabilitatea la risc trebuie privit n ambele sensuri. Un exemplu tipic n acest sens l constituie riscul fluctuaiei personalului. O fluctuaie a personalului n limita a 10% (mrime arbitrar) poate fi, n circumstane date, o oportunitate (ntinerire personal, facilitarea aplicrii standardului funcii sensibile etc.), iar prin depirea acestei limite de tolerabilitate poate deveni o ameninare (sincope n realizarea obiectivelor). Deoarece riscurile ca ameninare suscit cel mai mare interes, succintele comentarii ce urmeaz se vor referi la tolerana la expunere. Expunerea la risc (ca o combinaie dintre probabilitate i impact), determinat prin metodele de evaluare artate anterior, capt sens numai n raport cu nivelul toleranei la risc. Cnd expunerea la risc este comparat cu tolerana la risc, amploarea msurilor de control al riscurilor ce trebuie luate devine evident. Cu alte cuvinte, nu valoarea absolut a expunerii la risc este important, ci deviaia expunerii la risc fa de tolerana la risc. Mai simplu spus, esenial este faptul dac riscul este perceput ca tolerabil sau nu. Dac expunerea la riscul inerent (riscul nainte de aplicarea msurilor de control intern al riscurilor) este mai mic sau egal cu tolerana la risc definit de manageri nu se impun msuri de control al riscurilor, ceea ce nseamn c riscurile sunt acceptate. n caz contrar, sunt necesare msuri de control al riscurilor astfel nct expunerea la riscul rezidual (riscul care rmne dup aplicarea msurilor de control al riscurilor) s se ncadreze n limitele de toleran la risc stabilite. Dac riscurile ca ameninri, atunci cnd se materializeaz, conduc la compromiterea (total sau parial) realizrii obiectivelor este firesc s se pun ntrebarea: de ce nu se stabilete o toleran zero la risc? Rspunsul este simplu: pentru c msurile de control al riscurilor antreneaz costuri (financiare i/sau de alt natur), iar n unele situaii nu pot fi controlate toate circumstanele care favorizeaz materializarea riscurilor. Prin urmare, stabilirea unei limite de toleran la risc este o problem, de a pune n echilibru costul de controlare al riscurilor cu costul (financiar i/sau de alt natur) expunerii, n cazul n care aceasta ar deveni realitate. Pentru fixarea acestei idei fundamentale n managementul riscurilor se considera utile cteva exemple: Exemple; - Serviciul public al penitenciarelor are misiunea de detenie a persoanelor sancionate de instanele judectoreti cu privarea de libertate pe perioade determinate (n funcie de gravitatea infraciunii svrite). Unul din riscurile inerente acestei misiuni l constituie evadarea deinuilor. Impactul materializrii unui astfel de risc este multiplu: prejudicierea imaginii acestui serviciu public, deoarece cetenii devin nencreztori n eficacitatea sa i n eficiena cu care sunt folosii banii pe care-i cedeaz statului prin impozite i taxe; prejudicierea cetenilor ca urmare a recidivrii, cunoscut fiind faptul c probabilitatea de recidiva este mult mai mare n perioada de evadare dect dup ispirea pedepsei; antrenarea de cheltuieli bugetare suplimentare mari pentru a acoperi costurile de recuperare etc. 2

Msurile de control, aproape total, al acestui risc pot fi sintetizate prin formula: transformarea tuturor penitenciarelor n penitenciare de maxim sigurana. Aceste msuri de control al riscului vizeaz aducerea spre zero a probabilitii de materializare a riscului, adic a evadrilor efective. Aplicarea acestor msuri antreneaz ns eforturi financiare foarte mari din partea statului i punerea lor n practic ar genera, cu siguran, reacii legitime de tipul: n loc s se investeasc n coli se investete n penitenciare. Din cele de mai sus rezult cu claritate c, stabilirea limitei de toleran la risc nu este o problem tehnic, ci una de opiune,constnd n gsirea unui echilibru ntre costul impactului i costul msurilor de control al riscurilor. Este evident c nu poate fi aplicat msura de control al riscului de evadare constnd n transformarea tuturor penitenciarelor n penitenciare de maxima siguran i, prin urmare, nici tolerana la risc nu poate fi stabilit n apropierea limitei zero. Stabilirea unor limite de toleran la risc mai mari face posibil aplicarea unor msuri de control al riscurilor mai puin costisitoare, dar sufficient de eficace. - Orice instituie sau serviciu public face aprovizionri fie pentru funcionare, fie pentru realizarea serviciului public. Prin urmare, se va confrunta cu riscul inerent ca marfa transmis de furnizori s nu concorde ntotdeauna, cantitativ i calitativ, cu specificaiile contractuale. Impactul materializrii unui astfel de risc const, n principal, n nerealizarea la parametrii asumai a propriilor servicii i n costuri suplimentare de funcionare. n condiiile stabilirii unei limite foarte sczute a toleranei la risc ar trebui luate msuri de control intern de tipul: ncetarea relaiilor contractuale, chiar i cu furnizorii care au creat probleme minore; supradimensionarea stocurilor; instituirea unei proceduri exhaustive de recepie etc. Costurile instituirii unor astfel de msuri de control al riscului sunt mari: creterea costului de aprovizionare, deoarece furnizorii, care produc la anumite standarde, i recupereaz costurile calitii prin preuri mai ridicate; cresc costurile interne, ca urmare a meninerii imobilizate a unor stocuri supradimensionate; creterea cheltuielilor de recepie, deoarece renunarea la autorecepie i la recepia prin sondaj implic afectarea unor resurse suplimentare (financiare, umane i de timp) acestei activiti de recepie. Luarea unor astfel de msuri de control intern poate genera reacii justificate, de tipul: cheltuim exagerat de muli bani pentru a elimina orice incident n aprovizionare, n timp ce problemele noastre mari deriv din tehnologia nvechit. Fr ndoial se pune din nou problema unui echilibru ntre costuri, deci a stabilirii unei limite de toleran la risc rezonabile. - Riscul netransmiterii unor documente justificative compartimentului financiar-contabil afecteaz fidelitatea rapoartelor. Costurile materializrii acestui risc constau n scderea credibilitii organizaiei, care va fi privit cu suspiciune de toi factorii interesai O msura radical de control intern a acestui risc ar fi implementarea unui sistem informatic integrat, care are capacitatea de a semnala pe parcursul procesului i n timp real orice anomalie. Evident o astfel de msur de control intern presupune, cel puin pentru nceput, costuri mari, care pot fi susinute sau nu. Evident, problema echilibrului n stabilirea toleranei la risc apare din nou. Cel puin pentru o etap, msura de control intern, constnd n implementarea i monitorizarea respectrii unor proceduri, poate conduce la rezultate satisfctoare. Dac se are n vedere faptul c aa-numitele costuri ale riscurilor pot fi privite ca beneficii ale nematerializrii riscurilor, problema stabilirii limitei de toleran la risc const n a gsi punctul de echilibru pe binecunoscuta curb cost beneficiu. Curba cost beneficiu nu trebuie privit ca o funcie matematic, deoarece numai rareori ea poate fi determinat, ci ca un mod de gndire. Trebuie s fim contieni c, de la un punct ncolo plusurile de costuri pe care le presupune implementarea msurilor de control a riscurilor nu se mai regsesc ntr-un plus justificabil de beneficii. n concluzie, stabilirea limitei de toleran la risc este un act major de responsabilitate managerial, fiindc prin acesta se stabilete expunerea la risc ce este asumata, n corelare cu costurile, de asemenea asumate, ale masurilor de control a riscurilor. Dac expunerea la risc este o mrime probabilistic msurat pe scale matriceale (combinaie de probabilitate i impact), atunci i tolerana la risc trebuie s respecte aceleai caracteristici. 2

Lund n considerare scala de evaluare n cinci trepte a expunerii la risc, atunci limita de toleran poate fi reprezentat grafic dupa formula mentionata mai sus E=X XY: I M P A C T - Foarte ridicat FSFR SFR MFR RFR FRFR - Ridicat FSR SR MR RR FRR - Mediu FSM SM MM RM FRM - toleranala risc - Sczut FSS SS MS RS FRS - Foarte FSFS SFS MFS RFS FRFS sczut -Foarte -Sczut -Medie -Ridicat -Foarte sczut PROBABILITATE ridicat

Aceasta nseamn c toate riscurile, care au un nivel al expunerii ce se situeaz deasupra limitei de toleran, trebuie tratate prin msuri prin care expunerea la riscurile reziduale s se aduc sub aceast limit de toleran. Intensitatea msurilor de control este direct proporional cu deviaia expunerii la risc fa de limita de toleran stabilit. Din aceast cauz, n organizaiile care aplic managementul riscurilor s-a generalizat practica utilizrii culorilor n vizualizarea profilului de risc. Spre exemplu, pentru riscurile cu expunerea cea mai mare i care deviaz cel mai mult de la tolerana la risc se utilizeaz culoarea roie, ceea ce semnifica ca peste aceste riscuri nu se poate trece. Culoarea galben (zona de atenie) este folosit pentru riscurile a cror expunere depete limita de toleran, dar deviaia este moderat. Cu culoarea verde sunt reprezentate, n general, riscurile asumate, deci acele riscuri a cror expunere se situeaz sub limita de toleran. Profilul de risc al organizaiilor n care s-a implementat practica descris mai sus are urmtoarea reprezentare grafic: n aparen, practica de mai sus pare un joc. n realitate, este un lucru foarte serios, deoarece prin aceast metod se contientizeaz n organizaie atitudinea ce trebuie avut fa de diferitele riscuri i se faciliteaz monitorizarea. Spre exemplu, este suficient s tii i s se tie c eti responsabil pentru un risc aflat n zona roie pentru ca preocuprile pentru controlul acelui risc s nu nceteze dect atunci cnd evaluarea periodic va confirma c expunerea acestuia s-a redus ntr-att nct a ajuns n limita de toleran. De asemenea, acest joc aparent creeaz o imagine sugestiv a repartiiei zonelor de risc ridicat din cadrul organizaiei, zone spre care trebuie dirijate eforturile de creare a unui sistem de control intern eficace. Comisia European aplic sistematic acest procedeu (acordarea de stegulee roii i galbene) pentru a indica zonele de risc aflate n afara limitei de toleran i spre care trebuie concentrate eforturile de ameliorare a sistemelor de control. Pentru Comisia European pregtirea pentru aderare este o problem de management al riscurilor, ntrunindu-se toate elementele componente ale acestuia, astfel: ara candidat este o organizaie; obiectivele organizaiei sunt cuprinse n documentele de negociere; domeniile n care s-au identificat probleme n raport cu obiectivele asumate sunt zone de risc; problemele identificate n fiecare domeniu i care amenin realizarea obiectivelor sunt riscurile; culoarea steguleelor indica amplitudinea deviaiei expunerii de la limita de toleran; msurile ce trebuie ntreprinse constituie sistemul de control intern ce trebuie implementat; rapoartele de ar sunt rapoarte de evaluare periodic a expunerii la risc; translatarea de la zona roie la cea verde indic progresele realizate n implementarea sistemelor de control intern. Profilul de risc, prezentat mai sus, rezult din regruparea riscurilor identificate, evaluate i ierarhizate n raport cu mrimea deviaiei expunerii de la toleran la risc. Profilul de risc creeaz o imagine global a organizaiei din perspective riscurilor, ns utilitatea practic o au tabelele de risc, care sunt structurate astfel nct s devin instrumente operaionale ale managementului riscurilor. Secvena din tabelele de risc (numite i registru de risc), care cuprinde riscurile identificate, evaluarea expunerii riscurilor inerente i intensitatea deviaiei fa de tolerana la risc, se prezint astfel: Denumire Risc inerent 2

risc Riscul 1 Riscul 2 Riscul 3

Probabilitate R M FS

Impact FR M M

Expunere raportat la limita de toleran RFR (ROU) MM (GALBEN) FSM (VERDE)

Nota RFR, MM, FSM reprezint nivelul expunerii la risc, iar culoarea semnific intensitatea deviaiei expunerii la risc fa de tolerana la risc. Limita de toleran la risc nu este imuabil. Oricnd nivelele superioare de management au libertatea de a crete sau a scdea cantitatea de risc pe care sunt dispuse s i-o asume n funcie de circumstane i moment. Dar stabilirea limitelor de toleran i modificarea acestora nu sunt acte arbitrare, deoarece msurile de control presupun antrenarea de resurse, iar la nivelul organizaiei resursele sunt limitate. Constrngerile interne i externe (unele riscuri externe nu pot fi gestionate pn la un nivel satisfctor de ctre organizaii) joac un rol important n stabilirea limitelor de tolerana la risc. Privit izolat, din perspectiva fiecrui risc n parte, stabilirea limitelor de toleran la risc nu ridic probleme deosebite, dar cazurile n care se poate proceda astfel sunt rare. La nivelul organizaiei, lucrurile se complic deoarece apar intercondiionri ntre riscuri, iar resursele ce pot fi alocate msurilor de control sunt limitate, fapt ce implic prioritizri. De asemenea, este necesar realizarea unui echilibru ntre nivelele manageriale care gestioneaz riscurile. Limitele de toleran la risc ce trebuie atinse devin ele nsele obiective i, drept urmare, este necesar realizarea unui echilibru ntre competen, responsabilitate i sarcini. In unele ri, care au adoptat instrumentul contractului de management, limitele de toleran la riscuri fac obiectul acestor contracte. De asemenea, n aceste contracte sunt stipulate i condiiile ce trebuie asigurate de contractant (un nivel superior de management) pentru ca gestionarea riscului n limitele stabilite s fie posibil. Un posibil procedeu de stabilire a toleranei la risc n cadrul organizaiei poate fi urmtorul: - Cel mai nalt nivel al managementului unei organizaii (ministru, conductorul unei instituii publice, consiliul de administraie etc.) asistat eventual de un Comitet al riscurilor (dac acesta este nfiinat i funcioneaz) analizeaz cinci arii majore de risc (riscurile legate de strategie, politici, direcii de aciune; riscurile legate de personal i de sistemele interne; riscurile legate de corectitudine, conformitate, regularitate, aspecte financiare, rspundere; riscuri legate de reputaie; riscurile externe) i emite o opinie asupra toleranei la risc pentru fiecare n parte. - Aceasta opinie constituie punctul de plecare pentru a se transmite n jos, n organizaie, nivelele de toleran i pentru a stabili pe diferite nivele manageriale limitele pn la care le este permis acestora s-i asume riscuri. Toate riscurile, care au expuneri mai mari dect limitele stabilite, trebuie controlate astfel nct riscurile reziduale s aib o expunere cel mult egal cu tolerana la risc. Acest proces trebuie privit ca un demers de stabilire a unei serii de limite, autorizate n mod corespunztor de conducere, prin care fiecare nivel al organizaiei primete ndrumarea necesar privind limitele pn la care i poate asuma un risc. - Dac la nivele inferioare ale managementului nu se pot atinge limitele de toleran stabilite este necesar escaladarea riscurilor la nivelul ierarhic imediat superior care poate fie s preia gestionarea direct a riscurilor fie s dispun acele msuri de control intern care face posibil gestionarea riscului de ctre nivelele manageriale inferioare. Acest proces de escaladare i reajustare faciliteaz deciziile de asumare a responsabilitii, pentru gestionarea riscurilor n limitele de toleran. - Se analizeaz limitele de toleran propuse, din perspective cost-beneficiu, stabilindu-se dac sunt necesare ajustri. Scopul acestei analize este de a depista dac limita de toleran propus nu presupune costuri exagerat de mari n raport cu beneficiul, sau dac costuri suplimentare reduse ar genera un spor de beneficiu semnificativ. - Se analizeaz limitele de toleran ajustate dup curba costbeneficiu din perspectiva resurselor totale pe care organizaia le poate aloca msurilor de control. Dac resursele sunt insuficiente, se opereaz o ierarhizare a riscurilor n funcie de prioriti i o reajustare a limitelor de toleran pentru riscurile mai puin prioritare. - n final, limitele de toleran ajustate se transform n limit maxim a expunerii la riscurile reziduale. 2

Tabelele/registrele de riscuri se vor completa cu aceast secvena astfel: Descrierea Risc inerent Msuri riscului Probabilitate Impact Expuneri de
control intern

Risc rezidual
Probabilitate Impact Expuneri

IX. RSPUNSUL LA RISC CONTROLAREA RISCURILOR Dup ce riscurile au fost identificate i evaluate i dup ce s-au definit limitele de toleran n cadrul crora organizaia este dispus, la un moment dat, s-i asume riscuri este necesar stabilirea tipului de rspuns la risc pentru fiecare risc n parte. Aa cum s-a menionat n seciunile anterioare, etapizarea are un caracter mai mult teoretic menit s faciliteze nelegerea procesului. n realitate, etapele se ntreptrund n cadrul procesului de documentare i analiz a riscurilor. Cu alte cuvinte, rspunsul la risc este deja formulat pe parcursul analizei riscurilor. n esen rspunsul la risc nu este altceva dect atitudinea managementului organizaiei fa de posibilele ameninri sau fa de eventualele oportuniti. Rspunsul la risc depinde de natura riscurilor privite din perspectiva posibilitilor de control (de stpnire). De fapt, este vorba de rspunsul la urmtoarele ntrebri: riscurile pot fi sau nu controlate de organizaie?; dac da, organizaia poate controla riscurile pn la un nivel satisfctor?; dac nu, organizaia poate externaliza riscurile sau activitile generatoare de riscuri? Controlul riscurilor vzute ca ameninri, nseamn c, la nivelul organizaiei, este posibil atenuarea probabilitii de materializare sau a impactului n cazul n care riscul s-ar materializa sau a amndurora. n caz contrar, riscurile sunt necontrolabile dac organizaia nu are posibilitatea de a interveni direct pentru atenuarea probabilitii i/sau impactului. Aceast situaie se ntlnete cel mai frecvent n cazul riscurilor externe generate de mediul (contextul) n care organizaia funcioneaz. Problema controlrii/necontrolrii riscurilor este abordat, cel mai adesea, n mod relativ i nu absolut, adic n funcie de toleran. n acest context se vorbete despre riscuri care nu pot fi controlate pn la un nivel satisfctor al expunerii sau despre riscuri controlabile parial. n seciunea consacrat identificrii riscurilor se meniona faptul c riscurile cu probabilitate de apariie de 100% sunt certitudini, iar cele cu probabilitate de apariie 0% sunt ficiun, .pn acum, s-au dobndit suficiente cunotine pentru a face unele nuanri. Certitudinile sunt evenimente care vor apare cu sigurana n viitor, ceea ce nseamn c organizaia nu poate controla probabilitatea de apariie a unor astfel de evenimente. Singura posibilitate de a aciona a organizaiei rmne n direcia atenurii impactului, iar dac nici aceasta nu este posibil, riscul este complet necontrolabil. Certitudinile cu impact semnificativ implic din partea organizaiei fundamentarea unor planuri de gestiune a situaiilor dificile ce vor apare cu sigurana. Certitudinile au relevan att n raport cu riscurile inerente, ct i cu cele reziduale (atunci cnd este posibil o atenuare a impactului). Ficiunile au aceast semnificaie numai n raport cu riscurile inerente. n cazul riscurilor reziduale ele pot deveni inte de atins dac riscurile sunt complet controlabile din punct de vedere al probabilitii. De asemenea, nonproblema este relevant numai n raport cu riscul inerent, dar poate deveni o int pentru riscul rezidual atunci cnd organizaia poate controla complet impactul. n teoria riscurilor s-au identificat cteva strategii alternative pe care managerii le pot adopta ca rspuns la risc. 9.1. - Acceptarea (tolerarea) riscurilor Acest tip de rspuns la risc const n neluarea unor msuri de control al riscurilor i este adecvat pentru riscurile inerente a cror expunere este mai mic dect tolerana la risc. Se reamintete faptul c nu ntotdeauna tolerana la risc poate fi stabilit nerestricionat. Sunt suficiente cazurile n care riscurile nu pot fi controlate intern pn la un nivel acceptabil al expunerii sau, costurile pe care le incumb msurile de control sunt disproporionat de mari n raport cu beneficiile. n consecin, acceptarea intervine atunci cnd riscurile sunt liber asumate sau cnd aplicarea unei alte strategii de rspuns la risc nu este posibil. 3

Aceast opiune de rspuns la risc trebuie nsoit, mai ales atunci cnd limita de toleran nu a putut fi stabilit liber, de planuri de gestiune a problemelor dificile care s abordeze tratarea impactului atunci cnd riscul se materializeaz. Acceptarea (tolerarea) riscurilor este o strategie de rspuns la risc recomandat pentru riscurile cu expunere sczut. n cazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvat i, de aceea, n astfel de situaii, opiunea trebuie temeinic justificat. 9.2.- Monitorizarea permanent a riscurilor Acest tip de rspuns la risc const n acceptarea riscului cu condiia meninerii sale sub o permanenta supraveghere. Parametrul supravegheat cu precdere este probabilitatea, deoarece strategia monitorizrii se aplica n cazul riscurilor cu impact semnificativ, dar cu probabilitate mic de apariie. n esen, strategia de monitorizare presupune o amnare a lurii msurilor de control pn n momentul n care circumstanele determina o cretere a probabilitii de apariie a riscurilor supuse acestui tratament. Avantajul aplicrii unei astfel de strategii de rspuns la risc const n utilizarea resurselor disponibile la un moment dat numai pentru riscurile cu expunere mare, organizaia aflndu-se permanent n situaia de a-i prioritiza aciunile de tratare a riscurilor n funcie de resurse. Dezavantajul strategiei const n faptul c ntrzierea n tratarea riscului poate diminua ansele de a face n viitor un management eficace al riscurilor. Din aceast cauz, aplicarea strategiei de monitorizare permanent a riscurilor trebuie precedat de o analiz serioas a duratei pe care o presupune implementarea msurilor de tratare a riscurilor. Dac aceast durat este mare, este de preferat ca momentul de debut al tratrii riscurilor s nu fie amnat. Unei astfel de analize trebuie supuse obligatoriu riscurile cu probabilitate mic de apariie, dar cu un impact ridicat dac obiectivele afectate au caracter strategic. 9.3.- Evitarea riscurilor Aceast strategie de rspuns la risc const n eliminarea activitilor (circumstanelor) care genereaz riscurile. Trebuie menionat faptul c opiunea evitrii riscurilor este semnificativ redus n sectorul public fa de cel privat. Anumite activiti se desfoar n sectorul public tocmai pentru c riscurile asociate sunt att de mari nct nu exist alt posibilitate de a obine unele rezultate ce in de interesul general. Dac aplicarea strategiei de evitare a riscurilor este limitat n cazul activitilor ce in de scopul organizaiei publice, ea poate fi avut n vedere pentru o serie ntreag de activiti suport, dac nu exist alt cale de a controla riscurile n limite tolerabile. Exemple. Este de preferat s se restrng un proiect (eliminarea unor obiective i, implicit, a activitilor aferente) dac riscurile asociate unor activiti sunt att de mari nct ar pune n pericol corelaia cost/beneficiu preconizat pentru acel proiect. De asemenea, se poate renuna la un furnizor sau la un angajat dac riscurile asociate acestora sunt prea mari pentru a putea fi controlate cu costuri rezonabile sau se poate nlocui o activitate (spre exemplu manual) cu o alta (spre exemplu, conceput n sistem informatizat) ale crei riscuri sunt mai reduse ce pot fi controlate n limitele de tolerana fr a implica costuri disproporionat de mari n raport cu beneficiile. 9.4.- Transferarea (externalizarea) riscurilor Aceast strategie de rspuns la risc const n ncredinarea gestionrii riscului unui ter care are expertiza necesar gestionrii acelui risc, ncheindu-se n acest scop un contract. Prin aceasta se urmrete, pe de o parte, micorarea expunerii organizaiei, iar pe de alt parte, gestionarea eficace a riscului de ctre un ter specializat. Aceast opiune este benefic mai ales n cazul riscurilor financiare i patrimoniale. Cel mai cunoscut exemplu de transfer al riscurilor l constituie contractele de asigurare. n schimbul unei sume de bani (prima de asigurare) terul (societatea asiguratoare) preia asupra s riscul asigurat obligndu-se s despgubeasc organizaia care a transferat riscul, n cazul n care riscul se materializeaz. Este important de menionat c anumite riscuri nu sunt (integral) transferabile. n particular, nu este posibil s se transfere riscurile legate de credibilitatea organizaiei. n fa beneficiarilor organizaia rmne responsabil, chiar dac aceasta a contractat unele servicii cu tere pri. Din aceast cauz relaiile cu aceste tere pri trebuie gestionate cu deosebit atenie pentru a se asigura c riscul transferat este cu adevrat gestionat eficace de ctre ter. 9.5. - Tratarea (atenuarea) riscurilor Aceasta este abordarea cea mai frecvent pentru majoritatea riscurilor cu care se confrunta organizaia. Opiunea tratrii (atenurii) riscurilor const n faptul c n timp ce organizaia va continua s desfoare activitile care 3

genereaz riscuri, aceasta ia msuri (implementeaz instrumente/dispozitive de control intern) pentru a menine riscurile n limite acceptabile (tolerabile). Raportate la aceast strategie de rspuns la risc celelalte strategii menionate mai sus pot fi considerate ca fiind excepii recurgndu-se la ele numai atunci cnd riscurile nu pot fi controlate intern pn la un nivel satisfctor care nu pericliteaz realizarea obiectivelor. De aici i importana controlului intern n managementul riscurilor. Acesta, odat implementat, are menirea s ofere asigurri rezonabile c obiectivele vor fi atinse, ceea ce este acelai lucru cu a afirma c prin control intern se obin asigurri rezonabile asupra meninerii riscurilor n limite acceptabile. La nceputul acestei seciuni se fcea precizarea c tratarea riscurilor nseamn a aciona prin msuri de atenuare a probabilitii, a impactului sau a amndurora. Ilustram acest fapt printr-un exemplu: Obiectiv securitatea activelor; Risc intrare n gestiune a unor materiale neconforme cantitativ i calitativ cu specificaiile contractuale. Msuri de control intern Acioneaz asupra: - Revizuirea portofoliului de furnizori Probabilitii - Inserarea n contracte a unor Impactului clauze asiguratorii - Ameliorarea sistemului de recepie..Probabilitate i impact n concluzie, a trata riscurile nseamn a ine riscurile sub control prin msuri de control intern. 9.6. - Tratarea situaiilor dificile; Tratarea situaiilor dificile const n elaborarea unor planuri ce urmresc diminuarea impactului n cazul n care riscul se materializeaz. dup cum s-a precizat, riscul este un eveniment probabil a crui materializare nu poate fi exclus, oricte msuri de control intern s-ar lua. De aceea, strategia tratrii situaiilor dificile nu este o alternativa la celelalte strategii, ci o aciune complementar. n esen, prin tratarea situaiilor dificile se d un rspuns la ntrebarea: Ce facem dac msurile de control intern eueaz i riscul se produce? Orice risc care este acceptat, monitorizat sau tratat trebuie nsoit de un plan care s descrie aciunile ce trebuie ntreprinse n cazul n care riscurile se materializeaz. Din perspectiva managementului riscurilor, a realiza obiectivele nseamn: - a planifica activitile (aciunile) ce trebuie s se desfoare pentru a realiza obiectivele propuse (procesul); - a planifica aciunile de control intern necesare stpnirii riscurilor i a le integra n planul de activiti generale (planul A); - a planifica aciunile ce trebuie ntreprinse dac riscurile se materializeaz (planul B). Procesul, planul A i planul B sunt elementele eseniale ale unui management eficace care a integrat managementul riscurilor. ntruct, msurile ce trebuie luate pentru a stpni riscurile se nscriu n sfera de cuprindere a sistemului de control intern, s-a considerat util prezentarea succint a unor elemente componente ale acestuia, reamintind c o tratare mai detaliat este cuprins n lucrarea ndrumar metodologic cadru pentru dezvoltarea sistemelor de control managerial ale instituiilor publice. Msurile luate, de management n tratarea riscurilor sunt denumite n teoria general a controlului intern sub denumirea de dispozitive sau instrumente de control intern. Dac riscurile ajung s se materializeze, deci s se transforme n situaii dificile, cauza trebuie cutat ntotdeauna n defectul acestor dispozitive/instrumente de control intern. Bineneles aceast afirmaie vizeaz riscurile care pot fi controlate de organizaie n limite de toleran rezonabile impuse de raportul cost-beneficiu. Diversitatea dispozitivelor/instrumentelor de control intern este considerabil deoarece privete toate aspectele legate de activitile organizaiei i de organizaie ca entitate global, ns ele pot fi clasificate n ase grupe mari dup cum urmeaz: obiective; mijloace; sistem de informare; organizare; proceduri; supervizare. 3

Fr ndoial, exist i alte tipuri de grupri, dar toate cuprind, n principal, aceleai elemente i vehiculeaz aceleai noiuni. De altfel, nu gruparea n sine este important ci fixarea unui cadru de referin capabil s sistematizeze problematica controlului intern ca mijloc de control al riscurilor. Obiectivele grupeaz instrumentele/dispozitivele de control intern puse n oper prin msurile (aciunile) ce vizeaz: definirea clar (obiectivele vagi nu permit clarificarea sensului aciunii ce trebuie ntreprins pentru atingerea lor i nici identificarea riscurilor care amenin obinerea rezultatelor dorite); ierarhizarea (obiectivele generale trebuie descompuse ntr-un sistem piramidal pn la nivelul posturilor clarificndu-se astfel sarcinile, competenele i responsabilitile fiecrui membru al organizaiei); convergena (eliminarea contradictorialitii i participarea obiectivelor subsecvente la realizarea obiectivelor de nivel superior pn la nivelul misiunii); msurabilitatea (asocierea unor indicatori de rezultate cuantificabili ce pot fi monitorizai); monitorizarea prin sistemul informaional (lipsa monitorizrii face imposibil coordonarea i introducerea msurilor corective); ncadrarea n timp (planificarea pe orizonturi de timp determinate i corelate); caracterul mobilizator (obiectivele trebuie s stimuleze iniiativa fr a deveni ns nerealiste). Circumstanele care poteneaz apariia riscurilor i au de multe ori originea tocmai n nerespectarea acestor principii ce guverneaz sistemul de obiective. Exemplu. Biroul de pli facturi are ca obiectiv fixat depunerea tuturor eforturilor pentru plata corect i n termen a facturilor. Printr-o analiz de risc, s-a identificat riscul de ntrzieri n pli i riscul pli eronate. Probabilitatea de apariie a riscului de ntrziere era de 11%, deoarece din 1152 facturi pltite 127 fuseser pltite cu ntrziere de 5 pn la 15 zile. Probabilitatea de apariie a riscului pli eronate era de 8%, deoarece la 17 din cele 1152 facturi ordinele de plat aveau contul sau banca furnizorului eronate, la 49 sumele pltite n plus erau de 53,2 mil. lei, iar la 26 sumele pltite n minus erau n acelai cuantum. Impactul materializrii acestor riscuri, constnd n penaliti de ntrziere i n costuri de recuperare, a fost de 15,9 mil. lei. n mod evident, aceste riscuri aveau o expunere prea mare pentru a putea fi tolerate. Limita de toleran admis de managementul organizaiei era fixat la 1/1000 pentru pli ntrziate sau eronate cu un cuantum al pagubei de cel mult 1 milion. Din analiza de risc, s-a constat c una din circumstanele care favorizau apariia acestor riscuri consta tocmai n nedefinirea clar a obiectivului i n lipsa unui indicator de rezultate. Prin urmare, s-a dispus i operaionalizat urmtorul dispozitiv de control intern din categoria obiective: obiectiv de realizat 99,9% pli corecte i n termen; penaliti admise suportate din rezultate financiare, 1 mil. lei la 10 mld. lei pli efectuate. Responsabilizarea biroului n raport cu acest obiectiv, poate determina intrarea riscului rezidual n limitele de toleran admise. Mijloacele reprezint grupa de dispozitive/instrumente de control intern implementate prin msuri (aciuni) de adecvare a mijloacelor n raport cu obiectivele. Circumstanele care favorizeaz apariia unor riscuri ce afecteaz realizarea obiectivelor constau, de multe ori, n grave distorsiuni ntre resurse i obiective. n categoria resurse sunt incluse resursele umane, financiare i tehnice (n accepiunea cea mai larg). Exemplu. Analiza de risc efectuat n exemplul precedent a scos n eviden ca jumtate din ntrzierile la plat a facturilor s-a datorat lipsei de resurse financiare, survenite ca urmare a necorelrii volumului de fonduri solicitate prin deschiderile de credite cu plile ce deveneau exigibile n cursul perioadei. De asemenea, erorile de cont i banc aveau drept cauz lipsa unor mijloace tehnice adecvate pentru gestionarea unei baze de date privind furnizorii. Ca urmare a acestui fapt, fixarea obiectivului de 99,9% pli corecte i n termen, trebuie corelat i cu mijloacele ce concur la realizarea lui i care permit riscului rezidual s se ncadreze n limitele de toleran. Repartizarea ctre Biroului de pli a unorcalculatoare i garantarea disponibilitii de resurse financiare n cont, constituie dispozitive/instrumente de control intern din categoria mijloace care vor diminua cu certitudine expunerea la risc. Dar resursele nu trebuie privite numai din perspectiva cantitativ, ci i calitativ. Analiza de risc a scos n eviden c multe din ntrzierile i erorile n pli s-au datorat i unor carente n pregtirea profesional. 3

Includerea ntr-un program de pregtire profesional a personalului Biroului de pli este, de asemenea, un dispozitiv/instrument de control intern din categoria mijloace pus n oper pentru a stpni riscurile n pli i aducerea lor n limitele de toleran. Sistemul de informare este grupa dispozitivelor/instrumentelor de control intern operaionalizate ca urmare a msurilor (aciunilor) ce vizeaz realizarea unui sistem informaional i de pilotaj complet (se refer la toate funciile i activitile organizaiei), fiabil (corectitudinea i veridicitatea informaiilor), exhaustiv (cuprinderea tuturor informaiilor relevante), pertinent i util (care satisface necesitile decizionale), oportun (furnizarea informaiilor atunci cnd este necesar) i neredundant (abundena inutil a datelor furnizate). Sunt extrem de frecvente cazurile n care riscurile i au cauzele de manifestare n inadecvarea sistemului informaional. O analiz chiar i fugar scoate n eviden faptul c organizaiile au, n marea lor majoritate, sisteme informaionale lacunare, contradictorii, redundante, ineriale, nestructurate n funcie de necesitile diferitelor nivele manageriale etc. Exemplu. n cazul analizat anterior s-a relevat faptul c riscul de ntrzieri n pli s-a datorat, printre altele, i lipsei de resurse financiare. Golul de cas este la rndul su un risc care s-a manifestat n cadrul Biroului nsrcinat cu planificarea resurselor financiare n limita creditelor bugetare. Aa cum artam, analiza de risc a scos n eviden c acest birou nu a putut controla riscul deoarece nu dispunea de informaiile necesare referitoare la contractele n derulare, recepiile efectuate sau n curs, livrrile ce urmau s se produc n cadrul perioadei pentru care se solicita deschiderea de credite. Toate aceste carene ale sistemului informaional au condus la o subdimensionare a cererii de credite i, n final, la materializarea riscului de insuficien a resurselor financiare. Punerea n oper a unui sistem informaional adecvat necesitilor Biroului de planificare este un instrument de control intern din grupa sistem informaional, prin care riscul de gol de cas este adus n limitele de toleran. Comentariu Riscul ntrzieri n pli i riscul gol de casa sunt dou riscuri corelate. Instrumentul de control intern conceput pentru tratarea riscului gol de cas rezolva parial i tratarea riscului ntrzieri n pli. Prin acest comentariu se face trimitere la unele precizri anterioare referitoare la corelarea riscurilor i la efectul multiplu al unor dispozitive de control intern implementate. Totodat, se considera oportun meniunea c riscul gol de caseste dependent de un alt risc i anume deschideri limitate care este un risc extern organizaiei. Ministerul Finanelor Publice are posibilitatea legal s limiteze deschiderile de credite dac ncasarea veniturilor statului nu urmeaz tendina previzionat. Organizaia nu poate controla acest risc prin dispozitive de control intern, dar aceasta nu nseamn c nu trebuie s conceap msuri de atenuare a impactului cum ar fi: prioritizri n pli, limitri pli n avans, discuii cu furnizorii pentru reealonri de pli etc. Organizarea este grupa dispozitivelor/instrumentelor de control intern rezultate ca urmare a aplicrii msurilor (aciunilor) ce vizeaz corectarea anomaliilor depistate n organizarea procesual i structural, i care constituie circumstane favorizante pentru manifestarea riscurilor. Exemplu. Unul dintre principiile fundamentale ce stau la baza organizrii este principiul separrii funciunilor (atribuii, sarcini). n esen, acest principiu const n aceea c sarcini considerate a fi incompatibile nu trebuie repartizate aceleiai persoane i, uneori, aceleiai componente structurale a organizaiei. Aplicarea principiului separrii funciunilor n organizare operaionalizeaz controlul mutual (reciproc). Cu alte cuvinte, dac mai multe persoane sau componente structurale particip n cadrul unui proces (organizare procesual organizare flux) la realizarea unui obiectiv, ele se controleaz reciproc din perspectiva funciunilor pe care le ndeplinesc n cadrul procesului. Formele n care este pus n practic acest principiu sunt extrem de diverse fapt pentru care, n cele ce urmeaz, ne vom referi la forma cea mai cunoscut pe care o mbrac acest principiu atunci cnd obiectivul urmrit n cadrul organizaiei este securitatea activelor. Categoria de riscuri cea mai important care constituie ameninri pentru realizarea acestui obiectiv cuprinde riscurile ce pot fi subsumate fraudei i distorsionrii rezultatelor. Forma extins a principiului separaiei funciunilor menit s in sub control riscurile de fraudare i distorsionare a rezultatelor care afecteaz obiectivul de securitate a activelor are la baz considerarea ca 3

incompatibile a urmtoarelor funciuni: funcia de dispoziie; funcia de nregistrare contabil; funcia de deinere (funcia gestionar) i funcia de control. A pune aceste funcii (sau numai dou dintre ele) n mna aceleiai persoane nseamn a se asuma riscuri cu expunere foarte mare asupra obiectivului ce se refer la securitatea activelor. O astfel de persoan poate deturna extrem de uor fondurile organizaiei, deoarece nu exist nici un control reciproc pe parcursul procesului de angajare, lichidare, ordonanare i plat. De aceea separarea funciunilor este un instrument/dispozitiv de control intern fundamental menit s previn (expunere rezonabil) riscurile de fraudare i distorsionare a rezultatelor. Pentru a exemplifica concret, s luam n considerare procesul de aprovizionare. Competena de a angaja organizaia n raporturi juridice cu terii aparine de drept conductorului organizaiei, ns acesta o poate delega anumitor persoane care se ocup de aprovizionare, acestea putnd ncheia contracte. Competena de a constata serviciul fcut (recepionarea mrfurilor livrate) este delegat unor comisii de recepie care sunt responsabile pentru constatrile fcute. Competena de a deine bunurile n pstrare pn la utilizarea lor este delegat unor persoane numite gestionari. Competena de a verifica c factura emisa de ter este conform cu serviciul fcut intr n responsabilitatea persoanelor ce constat obligaia de plat. nregistrarea n contabilitate a creterii de activ i obligaiei de plat este atribuit contabilului. Actul de dispoziie prin care se dispune casierului (funcia de deinere a fondurilor) s plteasc este ncredinat celor care ncheie angajamentele, deoarece prin acest act de dispoziie se stinge raportul juridic ncheiat. Competena de a efectua plata aparine funciei de deinere a fondurilor (banca, trezorerie, casier). Procedndu-se astfel, se instituie un control reciproc pe parcursul procesului iniiat prin angajament: comisia de recepie controleaz modul n care furnizorul i-a ndeplinit obligaiile asumate prin angajament; gestionarul controleaz corectitudinea recepiei, deoarece el este responsabil de integritatea gestiunii sale; contabilul controleaz documentele justificative n care s-au consemnat operaiunile patrimoniale; ordonatorul (cel care a angajat juridic organizaia) va dispune plata numai dup ce va controla c cei crora le-a delegat competena iau ndeplinit corect sarcinile ncredinate; deintorul de fonduri va controla ca cel care-i d dispoziie s plteasc este cel n drept i c are n gestiune fondurile necesare etc. n aceste condiii este aproape imposibil s se efectueze pli n alte conturi (deturnare) dect ale terului, ci numai pentru a stinge obligaii certe izvorte din servicii efectiv prestate, fr ca orice anomalie s se reflecte n situaiilecontabile. Din pcate, acest principiu respectat de legislaia anterioara Legii nr.500/2002 a fost nclcat de aceasta din urm introducndu-se, fr voie, un risc n gestiunea fondurilor publice. Conform principiului separaiunii funciunilor, dreptul de dispoziie nu poate aparine contabilului, ci numai ordonatorului. Cu alte cuvinte, cel care dispune plata trebuie s fie ordonatorul i nu contabilul. Contabilul are funcia de a nregistra, creia i se poate ataa i funcia de a controla, n virtutea obligaiei legale de a verifica documentele justificative care stau la baza nregistrrilor contabile. Conform art.52 alin.(5) din actul normativ menionat instrumentele de plat se semneaz de contabil i eful compartimentului financiar-contabil, iar apoi sunt transmise trezoreriei nsrcinate cu efectuarea plilor dispuse de persoanele autorizate ale instituiilor publice (art.60 alin.(1) litera b). n virtutea acestor reglementri, contabilul, care verific i nregistreaz are i dreptul de a dispune trezoreriei s fac plata, nclcndu-se astfel principiul separrii funciunilor, dei acesta este reglementat prin prevederile art.52 alin.(2) ale aceluiai act normativ astfel: Execuia bugetar se bazeaz pe principiul separrii atribuiilor persoanelor care au calitatea de ordonator de credite de atribuiile persoanelor care au calitatea de contabil. Controlul reciproc ntre ordonator i contabil nu mai funcioneaz, ceea ce incumb un risc considerabil n realizarea obiectivului privind securitatea activelor. 3

 Procedurile sunt acele instrumente/dispozitive de control intern prin care se controleaz riscurile generate de necunoaterea proceselor i regulilor ce trebuie respectate n desfurarea activitilor. A munci fr a formaliza modul n care fiecare trebuie s procedeze, nseamn a nu exista un control intern eficace, menit s in sub control riscurile i s se obin astfel o asigurare rezonabil c obiectivele vor fi atinse. Pentru ca procedurile s devin instrumente/dispozitive de control intern eficace acestea trebuie: s se refere la toate procesele i activitile importante; s fie scrise; s fie actualizate n permanen; s fie aduse la cunotina executanilor; s fie simple i pe nelesul tuturor. Multe dintre riscuri i au cauza n lipsa procedurilor. De cte ori nu se invoc ca explicaie pentru un eec necunoaterea sau ambiguitatea unor reguli? Managerii au obligaia de a face clar pentru cei implicai ce trebuie fcut i cum trebuie fcut, fr a lsa loc la interpretri. Pentru a se nelege ce este aceea o procedur credem c este util comparaia cu realizarea unui program de calculator menit s soluioneze o problem sau, cu alte cuvinte, s se realizeze un obiectiv. Pentru a soluiona problema, calculatorul trebuie nvat ce trebuie s fac i, mai ales, cum trebuie s fac. A-l nva nu nseamn a-i da instruciuni generale, ci de a elabora o procedura amnunit care s explice pas cu pas ceea ce trebuie fcut n oricare din situaiile pe care le poate ntlni n soluionarea problemei. Nimic nu poate fi lsat nelmurit, deoareceeecul este garantat. niruirea de operaiuni elementare trebuieformalizat, adic transpus ntr-un limbaj pe nelesul acestuia. n termeni IT aceast niruire logic de operaiuni elementare scris ntr-un limbaj inteligibil se numete program, iar n termenii controlului intern i ai managementului riscurilor se numete procedur. Dac programul descrie corect procesul ce conduce la soluionarea problemei, atunci calculatorul va livra ntotdeauna rezultatele ateptate. n mod similar, dac o organizaie are proceduri formalizate prin care sunt descrise fr ambiguiti operaiunile ce trebuie fcute n cadrul fiecrei activiti sau proces, atunci riscurile care ar afecta realizarea obiectivelor ar deveni minime. Exemplu. O analiz de risc a scos n eviden c, n activitatea de deplasri n strintate, exist riscul ca paapoartele unor membri ai delegaiilor nominalizate s nu fie disponibile n preziua plecrii. Dei probabilitatea de apariie a acestui risc este sczut impactul este considerabil, fapt pentru care riscul trebuie tratat astfel nct, prin implementarea unor instrumente de control intern, expunerea riscului rezidual s tinda ctre zero. Circumstanele care favorizeaz apariia acestui risc constau n neanunarea n timp util (minim patru zile nainte de data plecrii) a biroului care are ca sarcina efectuarea demersurilor ctre Ministerul Afacerilor Externe pentru eliberarea, prelungirea sau confecionarea paapoartelor, dup caz. Din analiz a rezultat c instrumentul de control intern cu costurile cele mai reduse este de natur procedural. Prin urmare, s-a decis completarea procedurii existente cu urmtoarea secven: concomitent cu depunerea spre aprobare a memorandumului de deplasare, se va comunica biroului nsrcinat cu preluarea paapoartelor numele persoanelor ce compun delegaia i perioada n care va avea loc deplasarea. Biroul va verifica situaia paapoartelor pentru fiecare membru al delegaiei; n cazul n care apare situaia de paaport expirat, dar cu posibilitate de prelungire, se iniiaz demersurile de prelungire; n cazul n care nu exist paaport sau paaportul nu mai poate fi prelungit se anun membrul delegaiei pentru a depune documentele necesare iniierii procedurii de confecionare; nerespectarea procedurii este sancionat cu recuperarea eventualelor costuri angajate de la cei n culpa; comunicarea procedurii ctre toi salariaii. Supervizarea grupeaz instrumentele/dispozitivele de control intern menite s in sub control riscurile ce rezult din anomalii n exercitarea controlului ierarhic. Astfel de instrumente de control intern vizeaz stilul managerial al responsabililor de pe diferite nivele. A superviza nu nseamn a reface munca subordonailor, a cuta eroarea cu orice pre sau a supraveghea n permanena procesele. A superviza nseamn, n primul rnd, a ndruma (coordona), a ncuraja i, numai n ultimul rnd, a verifica. Supervizarea trebuie s se bazeze pe un system informaional adecvat, s fie universal (s se refere la toate activitile) i s fie consemnat (viza, raport etc.) pentru a putea fi evaluat. La prima vedere ar prea surprinztor, ns sunt frecvente cazurile n care circumstanele care favorizeaz apariia unor riscuri in de o supervizare defectuoas. Un manager trebuie s se asigure c sectorul de care este responsabil funcioneaz, iar personalul trebuie s aib convingerea c activitatea acestuia este supravegheat. 3

Exemplu. O analiz viznd evaluarea sistemului de supervizare a scos n eviden c un salariat, care avea ca sarcina elaborarea unei informri de sintez, la baza creia stteau raportrile colegilor si, ajunsese s ntocmeasc aceast raportare prin estimare i nu prin centralizare, din varii motive (observarea unor tendine sistematice, evitarea unor situaii dificile n raporturile cu colegii, percepia c lucrarea nu prezint un interes deosebit, credina c eventualele abateri nu au un impact semnificativ n luarea deciziilor etc.). Toate acestea s-au datorat faptului c activitatea sa nu a fost supervizata timp ndelungat de manager. Pentru a se evita anumite riscuri, a cror apariie ar fi fost potenat de lipsa de fiabilitate a sistemului de informare, s-a introdus ca instrument/dispozitiv de control intern un plan de supervizare modulat n frecven i intensitate. Dar instrumentele/dispozitivele de control intern pot fi analizate i prin prisma modului n care acestea acioneaz n tratarea riscurilor, deosebindu-se urmtoarele tipuri: Instrumente/dispozitive de control intern preventiv Aceste instrumente de control intern sunt menite s limiteze posibilitatea ca anumite riscuri s se materializeze. Cu ct materializarea unor riscuri este mai nedorit, cu att mai important devine implementarea instrumentelor de control intern preventive. Majoritatea instrumentelor puse n oper n organizaie au tendina de a aparine acestei categorii. De altfel, exemplele care au fost date pn acum pe parcursul lucrrii de fa se refer, n majoritatea lor, la instrumente de control intern cu caracter preventiv. Reluam cteva dintre acestea: separarea funciunilor previne riscurile de fraud; procedurile previn riscurile de neregularitate i neconformitate; mijloacele previn riscurile datorate indisponibilitii de resurse etc. Atunci cnd instrumentele de control preventiv sunt reglementate la nivel de acte normative ce stabilesc i sanciuni pentru neconformare, aceste instrumente sunt cunoscute i sub denumirea de control directiv. Spre exemplu, obligaia de a purta echipament de protecie i de a instrui personalul care desfoar activiti periculoase, reglementate de legislaia de protecie a muncii, sunt instrumente de control intern directiv. Instrumente/dispozitive de control intern cu caracter corectiv Aceste instrumente sunt concepute pentru a limita impactul riscurilor materializate. Exemplu: includerea n contracte a unor prevederi care permit recuperarea supraplilor dac acest risc se produce; asigurarea permite recuperarea financiar n cazul materializrii riscurilor asigurate; planurile de gestionare a situaiilor dificile, care asigur revenirea organizaiilor la situaia normal, asigurndu-i continuitatea etc. Instrumente/dispozitive de control intern detective Aceste instrumente de control intern sunt concepute s identifice riscurile care s-au materializat pentru a putea fi tratate consecinele. n general, aceste instrumente de control intern sunt cunoscute i sub denumirea de controlul ulterior, deoarece se refer la riscuri materializate. S-ar putea obiecta c astfel de instrumente nu aparin managementului riscului, deoarece acesta se refer la tratarea riscurilor care pot s apar i nu a celor materializate. Obiecia nu este ntemeiat deoarece s-a subliniat, n repetate rnduri, pe parcursul acestei lucrri, c riscurile pot fi reduse, dar nu eliminate. Prin urmare, exist ntotdeauna ansa ca riscurile s se materializeze i s se transforme n situaii dificile. Dar, i situaiile dificile trebuie gestionate, iar prin instrumentele de control detectiv se face acest lucru. Pentru a ne limita la un exemplu binecunoscut n practica financiar menionm c, inventarele sunt instrumente de control intern detectiv menite s identifice eventualele pierderi de active datorate materializrii unor riscuri. Procesele care cuprind operaiuni cu efecte patrimoniale (inclusiv bugetare) au fcut obiectul unor preocupri speciale, deoarece riscurile ce pot apare afecteaz dou dintre cele mai importante obiective (generale) ale organizaiei: securitatea activelor; conformitatea cu legile, actele normative subsecvente, regulamentele i politicile interne. Din aceast cauz, instrumentele de control intern al riscurilor integrate n proces au fost completate cu instrumente de control de tip verificare. Logica raportului cost-beneficiu a impus ca nu toate operaiunile s fie tratate n acelai mod. Aceasta nseamn c unele operaiuni vor fi tratate cu instrumente de control de tip 3

preventiv, iar altele de tip ulterior (corectiv sau detectiv). De asemenea, unele operaiuni vor fi reverificate n totalitate pe cnd pentru altele se va proceda la eantionri. Legtura dintre, operaiuni, tipul instrumentelor de control i riscuri este prezentat sintetic mai jos: PENTRU: OPERAIUNI BUGETARE, FINANCIARE si PATRIMONIALE; - In cazul de Probabilitate ridicat a riscului cu Impact ridicat al riscului trebuie efectuate, CONTROALE PREVENTIVE si ULTERIOARE exhaustive. - In cazul de Probabilitate sczut a riscului cu Impact scazut al riscului trebuier effectuate CONTROALE PREVENTIVE si ULTERIOARE prin sondaj. Odat stabilite zonele de risc, obiectivele care sunt afectate de posibila materializare a riscurilor, circumstanele care favorizeaz apariia riscurilor, responsabilitile managerilor n gestionarea riscurilor, strategiile ce trebuiesc adoptate, msurile de control intern (activitile ce trebuie ntreprinse pentru diminuarea expunerii la riscuri) se procedeaz la completarea Registrului de riscuri cu aceste elemente. n acest stadiu Registrul de riscuri va avea urmtoarea form: Rubrica Nr. coloanei - Zona de risc (1) (domeniu, compartimente) - Obiective (2) - Descrierea (3) riscurilor - Circumstanele care (4) favorizeaz apariia riscurilor (cauze) - Responsabilii cu (5) gestionarea riscurilor - Riscurile inerente - Probabilitate (6) - Impact (7) - Expunere (8) - Strategia adoptat (9) - Instrumentele de control (10) intern (aciunile prin care se trateaz riscurile) . - Riscurile reziduale - Probabilitate (13) Impact (14) - Expuneri (15) - Eventuale riscuri secundare - Observaii (16) (17)

CAP.X. MODUL DE ELABORARE SI OPERARE CU REGISTRUL DE RISCURI Acesta se stabilete de catre conducerea entitii printr-o procedur in baza careia va desemna persoana care va rspunde de ntocmirea i actualizarea Registrului de riscuri la nivelul entitii. Analiza i actualizarea acestuia se face att semestrial, ct i la apariia oricrui eveniment care poate influenta desfurarea activitilor pentru atingerea obiectivelor stabilite. 3

Scopul acestei proceduri este s stabileasca un set unitar de reguli pentru ntocmirea i actualizarea Registrului de riscuri precum si a responsabilitilor privind ntocmirea i actualizarea acestuia. Procedura se aplic de ctre ntregul personal de conducere, precum i de ctre persoana/persoanele desemnat/desemnate cu ntocmirea acestui registru, din cadrul entitii, ncadrate la poziiile_______ din statul de funcii al entitii, in baza prevederilor din: - Regulamentul de Organizare i Funcionare (R.O.F.) al entitatii; - Fisa postului aferent fiecrui post implicat n furnizarea de date pentru ntocmirea i actualizarea Registrului de riscuri, precum i n ntocmirea i actualizarea acestui instrument de lucru utilizat n gestionarea riscurilor. - Standardul 11 - Management riscului - din Codul controlului intern, cuprinznd standardele de management/control intern la entitile publice i pentru dezvoltarea sistemelor de control managerial, aprobate prin Ordinul ministrului finanelor publice nr.946/2005. DESCRIEREA PROCEDURII DE OPERARE: A. REFERITOR LA RESPONSABILUL DE RISC; 1. Conductorul entitii numete prin Decizia nr.______ pe Domnul(doamna)__________________________care va ntocmi i actualiza Registrul de riscuri, precum i responsabilii de risc care vor fi ministrii, prefectii efii de directii, efii de servicii, birouri, compartimente din cadrul entitii. Persoanele nominalizate vor lua la cunotin sub semntura de sarcinile ce le revin. 2. Fiecare ministru, prefect, sef de institutie, ef de directie, ef de serviciu, birou, compartiment identific toate activitile desfurate de personalul subordonat. 3. Fiecare ministru, prefect, sef de institutie, ef de directie, ef de serviciu, birou, compartiment analizeaz fiele posturilor aferente personalului din subordine. 4. Fiecare ministru, prefect, sef de institutie, ef de directie, ef de serviciu, birou, compartiment ntocmete n 2 exemplare o lista cu activitile desfurate efectiv de personalul din subordine, conform modelului din Anexa 3. 5. eful fiecrei structuri enumerate anterior identific, n funcie de specificul i particularitile acestuia, mpreun cu personalul din subordine, obiectivele corespunztoare activitilor nscrise n Anexa 3. 6. Fiecare, ministru, prefect, sef de institutie, ef de directie, ef de serviciu, birou, compartiment analizeaz obiectivele cuprinse n Regulamentul de Organizare i Funcionare al entitii stabilite pentru domeniul de activitate de care rspunde. 7. Ministri, prefectii, sefii de institutie, efii de directii, servicii, birouri, compartimente din cadrul entitii identific mpreun cu personalul din subordine, riscurile inerente care pot afecta desfurarea activitilor din domeniul de activitate de care rspunde i implicit realizarea obiectivelor specifice ale acestuia, avnd n vedere faptul ca fiecare activitate este supusa unor evenimente, aciuni sau ameninri din interiorul ori exteriorul nivelului ierarhic respectiv, iar flecare obiectiv specific este adus la ndeplinire prin desfurarea uneia sau mai multor activiti. 8. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente din cadrul entitatii elaboreaz n 2 exemplare un Tabel cuprinznd obiectivele specifice i riscurile asociate acestora, conform modelului din Anexa 4. 9. Ministrul, prefectul, seful de institutie, convoac o edin de analiza, la care participa ntregul personal de conducere din entitatea respectiva avnd ca scop discutarea coninutului Tabelelor cuprinznd obiectivele specifice i riscurile asociate acestora, n vederea identificrii tuturor obiectivelor pe care urmeaz s le realizeze entitatea i a riscurilor ce pot afecta ndeplinirea acestor obiective. La sfritul acestei edine de analiz fiind ntocmit ntr-un singur exemplar un proces-verbal de ctre Secretarul general al ministerului. 10. Ministri, prefectii, sefii de institutie, efii de directii, sefii de servicii, birouri, compartimente din cadrul entitatii prezint ministrului, Tabelul cuprinznd obiectivele specifice i riscurile asociate acestora, n vederea analizrii i avizrii. 11. n cazul cnd se hotrte completarea sau modificarea Tabelelor, ministri, prefectii, efii de directii, efii de servicii, birouri, compartimente din cadrul entittii efectueaz completrile i modificrile corespunztoare i supun apoi noile Tabele spre aprobarea ministrului sau sefului entitii dupa caz. 3

12. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimentedin cadrul entitatii aduc la cunotina personalului din subordine Tabelul cuprinznd obiectivele specifice i riscurile asociate acestora, aprobat, pentru a fi n msura s fac propuneri fundamentate care vor fi cuprinse n Planuri de aciune pentru minimizarea riscurilor inerente. 13. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente din cadrul entitatii stabilesc pe baza unei grile de apreciere, menionat n Anexa 5, nivelul impactului i al probabilitii pentru fiecare din riscurile inerente identificate, i acceptate de ctre ministru (sef entitate) n urma edinei de analiz, iar prin combinarea celor doua variabile determin nivelul de risc inerent. 14. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente din cadrul entitatii, nscriu valorile celor dou variabile (impactul sau probabilitatea), precum i nivelul de risc inerent n Baza de calcul ce va fi ntocmit n 2 exemplare, conform modelului din Anexa 5. 15. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente din cadrul entitatii n urma unor consultri cu personalul din subordine, ntocmesc n 2 exemplare un Plan de aciune pentru minimizarea riscurilor inerente, conform modelului din Anexa 6. 16. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente din cadrul entitatii convoac o edin de analiz, la care particip ntregul personal de conducere din servicii, birouri, compartimente avnd ca scop discutarea Planurilor de aciune pentru a vedea dac prin punerea acestora n aplicare, riscurile inerente vor fi reduse la un nivel care s asigure realizarea n mod cert a obiectivelor stabilite, iar la sfritul acestei edine de analiz se va ntocmi un proces-verbal de ctre Secretarii generali, alte persoane nominalizate n cadrul structurilor. 17. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente din cadrul entitatii prezint Planul de aciune conductorului entitii. 18. n cazul n care se hotrte completarea sau modificarea Planurilor de aciune, ministri, efii de directii, efii de servicii, birouri, compartimente efectueaz completrile i modificrile corespunztoare i supun apoi noile Planuri de aciune spre aprobare sefului unitii. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente din cadrul entitii aduc la cunotina personalului din subordine Planul de aciune aprobat, n vederea implementrii aciunilor de minimizare a riscurilor inerente identificate i acceptate. Seful fiecrui nivel ierarhic stabilete pe baza grilei de apreciere menionat n Anexa 5, nivelul impactului i al probabilitii pentru riscurile reziduale rezultate dup aplicarea msurilor de minimizare a riscurilor inerente identificate i acceptate, iar n urma nmulirii celor doua variabile determina nivelul de risc rezidual. Ministri, prefectii, efii de directii, efii de servicii, birouri, compartimente, ntocmesc n 2 exemplare, cu 72 de ore nainte de mplinirea termenului de 6 luni de la ultima revizuire a riscurilor inerente. Situaia privind stadii implementrii aciunilor de minimizare i evaluarea riscurilor reziduale din cadrul directiilor, serviciilor, birourilor, compartimentelor din cadrul entitii, conform modelului din Anexa 7 pe care o vor prezenta spre analiz sefulului entitii. 19.Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente din cadrul entitatii aduc la cunotina personalului din subordine Planul de aciune aprobat, n vederea implementrii aciunilor de minimizare a riscurilor inerente identificate i acceptate. 20.Seful fiecrui nivel ierarhic stabilete pe baza grilei de apreciere menionat n Anexa 5, nivelul impactului i al probabilitii pentru riscurile reziduale rezultate dup aplicarea msurilor de minimizare a riscurilor inerente identificate i acceptate, iar n urma nmulirii celor doua variabile determina nivelul de risc rezidual. 21. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente ntocmesc n 2 exemplare, cu 72 de ore nainte de mplinirea termenului de 6 luni de la ultima revizuire a riscurilor inerente. Situaia privind stadii implementrii aciunilor de minimizare i evaluarea riscurilor reziduale din directiile, serviciile, birourile, compartimentele din entitate conform modelului din Anexa 7, pe care o vor prezenta spre analiz rectorului universitii. 22. Ministrul, prefectul, seful de institutie, analizeaz pe baza Registrului de riscuri prezentat de efii de directii efii de servicii, birouri, compartimente, mpreun cu ntregul personal de conducere din cadrul universitii, la mplinirea termenului de 6 luni de la ultima revizuire, Situaiile privind stadiul implementrii aciunilor de minimizare i evaluarea riscurilor reziduale din cadrul directiilor, serviciilor, birourilor, compartimentelor din 4

entitate, pentru a evalua efectul aciunilor de minimizare i implicit rezultatul gestionrii riscurilor, care este reliefat de variaia valorii nivelului de risc rezidual fa de valoarea nivelului de risc inerent, i a stabili msurile corespunztoare n vederea aducerii riscurilor inerente la un nivel care poate fi tolerat. La sfritul edinei de analiz, se ntocmete ntr-un singur exemplar, un proces-verbal de ctre Secretarul entitatii. 23. Ministri, prefectii, sefii de institutie, efii de directii, efii de servicii, birouri, compartimente nmneaz persoanei care ntocmete i actualizeaz Registrul de riscuri exemplarul nr. l al Anexelor 3-7, n termen de 48 de ore de la nregistrarea, avizarea sau aprobarea documentelor respective, pstrnd exemplarul nr.2 al acestor anexe. 24. Ministrii, prefectii, sefii de institutie, efii de directii, servicii, birouri, compartimente nmneaz persoanei care ntocmete i actualizeaz Registrul de riscuri, la terminarea fiecrei edine de analiz avnd ca tem gestionarea riscurilor, procesul-verbal al edinei respective. Procesele-verbale redactate cu ocazia edinelor referitoare la gestionarea riscurilor se pstreaz de ctre persoana care le-a redactat sau la nivelul ierarhic din care aceasta face parte. B. CU PRIVIRE LA INTQCMIREA I ACTUALIZAREA REGISTRULUI DE RISCURI: 1. Persoana ncadrat la poziia _____din statul de funcii al entitii constituie un dosar care va cuprinde toate documentele primite, referitoare la ntocmirea i actualizarea Registrului de riscuri. 2. Persoana ncadrat la poziia _____ din statul de funcii al entitii deschide Registrul de riscuri ntr-un singur exemplar i efectueaz nscrierile n acest registru n termen de 72 de ore de la primirea exemplarului nr. l al Anexelor 3-7, pe baza datelor din aceste anexe. 3. Completarea i actualizarea Registrului de riscuri se va face numai de ctre persoana ncadrat la poziia ______ din statul de funcii al entitii. 4. La sfritul fiecrei pagini a Registrului de riscuri se va nscrie obligatoriu meniunea "INTOCMIT" cu precizarea numelui i prenumelui, urmat de semntura persoanei care completeaz i actualizeaz Registrul de riscuri. 5. Persoana ncadrat la poziia _____ din statul de funcii al entitii va colora dup completare coloanele 7 i 13 ale Registrului de riscuri, pentru fiecare poziie, cu urmtoarele culori corespunztor urmtoarelor intervale valorice, astfel: - culoarea verde pentru intervalul cuprins ntre (1-3), reprezentnd risc sczut; - culoarea galbena pentru intervalul cuprins ntre (3-6), reprezentnd risc mediu; - culoarea roie pentru intervalul cuprins intre (6-9), reprezentnd risc ridicat.

C. RESPONSABILITATI: 1. Ministrul, prefectul, avizeaz Tabelul cuprinznd obiectivele i riscurile asociate acestora, i Situaia privind stadiul implementrii aciunilor de minimizare i evaluarea riscurilor reziduale, ntocmite de sefii de directii, efii de servicii, birouri, compartimente. 2. Ministrul, prefectul, verific semestrial revizuirea riscurilor inerente i actualizarea Registrului de riscuri. 3. Ministrul, prefectul aprob Planurile de aciune pentru minimizarea riscurilor inerente. 4. efii de directii, efii de servicii, birouri, compartimente din cadrul entittii analizeaz obiectivele specifice pe care le au de ndeplinit, n vederea identificrii riscurilor inerente corespunztoare acestor obiective i stabilirii nivelului impactului, al probabilitii i al riscului inerent. 5. efii de directii, efii de servicii, birouri, compartimente verific Planurile de aciune pentru minimizarea riscurilor inerente n faza de propunere, iar dup aprobarea acestora monitorizeaz modul de punere n practic de ctre personalul din subordine. efii de directii, efii de servicii, birouri, compartimente analizeaz impactul i probabilitatea dup punerea n practica a Planurilor de aciune pentru minimizarea riscurilor inerente, n vederea determinrii nivelului acestora i calculrii nivelului de risc rezidual. 4

efii de directii, efii de servicii, birouri, compartimente, verific modul cum au fost completate coloanele Registrului de riscuri, precum i concordanta dintre coloanele respective. 6. efii de directii, efii de servicii, birouri, compartimente analizeaz impactul i probabilitatea dup punerea n practica a Planurilor de aciune pentru minimizarea riscurilor inerente, n vederea determinrii nivelului acestora i calculrii nivelului de risc rezidual. 7. efii de directii, efii de servicii, birouri, compartimente, verific modul cum au fost completate coloanele Registrului de riscuri, precum i concordanta dintre coloanele respective. 8. efii de directii, efii de servicii, birouri, compartimente respect termenul de revizuire semestrial a riscurilor inerente identificate i acceptate n cadrul entitatii. 9. efii de directii, efii de servicii, birouri, compartimente verific existenta tuturor documentelor ce stau la baza nscrierilor din Registrul de riscuri. 10. Persoanele care utilizeaz aceast procedur aplic forma iniial, precum i varianta/variantele revizuit/revizuite de la data intrrii n vigoare a acesteia/acestora. D. DISPOZITII FINALE: 1. Procedura nsoit de Anexele 3-7 va fi difuzat personalului care execut sau particip la ntocmirea i actualizarea Registrului de riscuri de ctre efii de directii, efii de servicii, birouri, compartimente. 2. Actuala procedur va fi revizuit n cazul cnd apar modificri organizatorice sau ale reglementarilor legale cu caracter general i intern pe baza crora se ntocmete i se actualizeaz Registrul de riscuri. 3. Pe perioada absentei de la serviciu a persoanelor care utilizeaz prezenta procedur n forma iniial sau revizuit, aplicarea acesteia se va realiza i de nlocuitorii acestor persoane. 4. Anexele 1 i 2 se pstreaz de ctre efii de directii, efii de servicii, birouri, compartimente. 5. Aceasta procedura se aplica ncepnd cu data de___________________ CAP.XI. REVIZUIREA I RAPORTAREA RISCURILOR Conform modelului de management al riscurilor, prezentat n seciunea a cincea, revizuirea i raportarea riscurilor este faza ce ncheie ciclul compus din identificarea, evaluarea, controlul, revizuirea i raportarea riscurilor. Dou motive impun revizuirea i raportarea riscurilor: 1.- Monitorizarea modificrii profilurilor riscurilor ca urmare a implementrii instrumentelor de control intern i a modificrii circumstanelor care favorizeaz apariia riscurilor; 2. - Obinerea de asigurri privind eficacitatea gestionrii riscurilor i identificarea nevoii de a lua msuri viitoare. Procesele de revizuire trebuie puse n aplicare pentru a analiza dac: riscurile persist; au aprut riscuri noi; impactul i probabilitatea riscurilor au suferit modificri; instrumentele de control intern puse n oper sunt eficace; anumite riscuri trebuie escaladate la nivele de management superioare etc. Rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continu a situaiei riscurilor i pentru a se sesiza schimbrile majore care impun modificarea prioritilor. Revizuirea riscurilor i a procesului de gestionare a riscurilor sunt dou activiti distincte care nu se pot substitui reciproc. Revizuirea trebuie s: - dea asigurri c toate aspectele procesului de gestionare a riscurilor sunt analizate cel puin odat pe an; - ofere asigurri c riscurile sunt supuse revizuirii cu o frecven corespunztoare, stabilit n raport cu mobilitatea circumstanelor i a naturii instrumentelor de control intern ce urmeaz a fi implementate; - stabileasc mecanisme de alertare ale nivelelor superioare manageriale n privina noilor riscuri sau a schimbrilor survenite la riscurile deja identificate, astfel nct aceste schimbri s fie abordate corespunztor. Revizuirea riscurilor i a gestionrii riscurilor se face, n prima etap, prin metoda autoevalurii. Responsabilii de risc (n principal managerii de pe diferitele nivele ierarhice ale organizaiei) au obligaia de a evalua, cel puin o dat pe an (de regul la finele exerciiului financiar), riscurile din sfera lor de responsabilitate, precum stadiul de 4

implementare a instrumentelor de control intern preconizate i eficacitatea lor. De asemenea, responsabilii de risc au obligaia de a raporta periodic (trimestrial, semestrial, anual) nivelelor ierarhic superioare ce activiti au desfurat pentru a actualiza riscurile i pentru a le menine la un nivel corespunztor. Astfel de rapoarte, cunoscute i sub numele de Rapoarte de responsabilitate, trebuie incluse n sistemul de raportare al fiecrei organizaii. Dar practica autoevalurii i a rapoartelor periodice de responsabilitate nu este suficient, deoarece subiectivismul este inerent. Managerii se afl ntr-o situaie incomod atunci cnd sunt obligai s fac publice problemele cu care se confrunt n propriile arii de responsabilitate. Dac conducerea organizaiei are o viziune sancionatorie, metoda autoevalurii devine un eec. ncurajarea managerului de a vorbi deschis despre riscuri trebuie s devin o politic a fiecrei organizaii. Subiectivismul autoevalurii n procesul de revizuire a riscurilor i a gestionrii riscurilor este contrabalansat de auditul intern care, prin natura misiunii sale, are obligaia de a face evaluri independente (independente de responsabilii executivi) pentru a se obine asigurri rezonabile c riscurile sunt identificate i bine gestionate i, ca urmare, obiectivele organizaiei vor fi atinse. Trebuie subliniat ns faptul c auditul intern nu se poate substitui nici responsabilitii pe care conducerea o are n privina riscurilor i nici unui sistem integrat de revizuire i analiz ce trebuie pus n practic de personalul care are atribuii executive n atingerea obiectivelor organizaionale. Registrul de risc, care reprezint documentul integrator al gestionrii riscurilor trebuie completat, pentru a include i faza de revizuire i raportare, cu urmtoarea secven: Data pn la care Data ultimei revizuiri .. instrumentul de control intern trebuie implementat (11) (12) 13 -17 Modelul de registru de risc prezentat anterior este minimal. Organizaiile pot dezvolta acest model pentru a reflecta i alte informaii considerate relevante. Spre exemplu, se poate introduce o coloana cu descrierea sumar a impactului i o coloan care s cuprind evaluarea riscului rezidual n momentul revizuirilor (riscul rezidual cuprins n modelul de mai sus are semnificaia limitelor de toleran la risc, adic obiectivul ce trebuie atins prin msurile de control intern). Registrul de risc reprezint numai sinteza informaiilor i deciziilor luate n urma analizei riscurilor. De aceea toat documentaia privind riscurile trebuie clasificat i ndosariat astfel nct atunci cnd se face o evaluare a sistemului de management al riscurilor aceasta s fie disponibil. Registrul de risc completat corect devine documentul prin care se atesta c n organizaie s-a introdus un sistem de management al riscurilor i c acesta funcioneaz. De asemenea, Registrul riscurilor este documentul de la care pornete orice auditor extern atunci cnd se face o evaluare independent a managementului riscurilor din cadrul organizaiei. n cele ce urmeaz considerm util prezentarea unui exemplu de registru de risc care cuprinde cteva din riscurile la care s-a fcut anterior referire. Exemplele din registrul de risc urmtor nu au dect valoare explicativ i nu se pot substitui unor situaii concrete din fiecare organizaie. Analiza de risc este un demers propriu al fiecrei organizaii, care este singura n msura s dea concretee i valoare practic registrelor de risc. Registrele de risc ale organizaiilor reflect circumstanele concrete i, n acelai timp, atitudinea managerilor fa de riscuri. Riscurile nu sunt prefabricate generalizabile nici mcar ca formulare. Din aceast cauz exemplele date constituie, n exclusivitate, un suport pentru nelegere i reflecie. Nu ezitai s procedai la abordri proprii. Ele vor fi, cu siguran, mai adecvate. CAP.XII. COMUNICARE I NVARE

Comunicarea i nvarea nu constituie o etap distinct n gestionarea riscurilor (vezi modelul simplificat prezentat n seciunea a cincea), ci reprezint un proces continuu ce se desfoar pe parcursul tuturor fazelor. De altfel, fr comunicare i nvare managementul riscurilor nu ar putea avea loc. Riscurile au determinri multiple, sunt de cele mai multe ori intercorelate, nu afecteaz de regul un singur obiectiv, iar instrumentele de control al riscurilor pot influena mai multe obiective. De asemenea, leciile trecutului trebuie nvate pentru a nu fi pui n situaia de a ignora soluii care i-au dovedit eficacitatea. Exista cteva aspecte legate de comunicare i nvare care trebuie scoase n eviden: Sesizarea modificrilor survenite n cazul riscurilor identificate depinde de o bun comunicare. ncurajarea discuiilor deschise despre riscuri, fr a exista temerea c prin aceasta managerii i vulnerabilizeaz poziiile, este o sarcin de importan capital pentru conducerea organizaiei. De asemenea, identificarea riscurilor noi depinde att de meninerea unei bune reele de comunicare ntre membrii organizaiei ct i de continua valorificare a surselor de informaii din mediul organizaional, acestea facilitnd sesizarea schimbrilor care vor afecta profilul de risc al organizaiei. Este foarte important s existe asigurri c fiecare nelege n mod corespunztor propriul rol, strategia organizaiei n domeniul riscurilor i modul cum responsabilitile individuale specifice se ncadreaz n cadrul general al organizaiei. Dac acest lucru nu este realizat,gestionarea riscurilor nu va putea fi integrat corespunztor i omogenn organizaie, iar riscurile prioritare nu vor fi controlate adecvat. ntr-o astfel de situaie managementul riscurilor se va cantona la nivelul activitilor, dar nu va avea valenele managementului integrat, singurul capabil s deceleze ceea ce este important pentru organizaie, n ansamblul su, la un moment dat i n circumstanele date. Nici o organizaie nu poate controla toate riscurile, i nici nu este de dorit. mportant este s controleze ceea ce este cu adevrat prioritar. Este necesar s existe asigurri c experienele sunt nvate i comunicate celor care pot beneficia de pe urma lor. Spre exemplu, dac o structur component a organizaiei confruntat cu un risc concepe un instrument de control intern cu ajutorul cruia l gestioneaz n mod eficace, aceasta lecie nvat trebuie comunicat i altora care, la un moment dat, se pot confrunta cu acelai risc. Pentru a face progrese experiena organizaiei trebuie capitalizat. Comunicarea cu organizaiile partenere (vezi organizaia extins) are aceiai importan, mai ales dac organizaia depinde, ntr-un fel sau altul, de o alt organizaie. Nenelegerea (necunoaterea) prioritilor n gestionarea riscurilor proprii de ctre organizaiile partenere i, mai ales, eecurile nregistrate de acestea se pot repercuta direct asupra managementului riscurilor n organizaie. Nu este indicat s se porneasc de la ipoteze crora s li se confere valoare de adevr chiar dac exist asigurri ca organizaiile partenere au un management performant al riscurilor, iar prioritile acestora sunt compatibile cu obiectivele urmrite de propria organizaie.

CAP.XIII. ORGANIZAIA EXTINS I MEDIUL Organizaia extins este un concept prin care se includ n sfera de interes (din perspectiva riscurilor) a organizaiei i organizaiile tutelare, subordonate, partenere, precum i organizaiile care, prin misiunile lor, au legturi cu misiunea organizaiei. Se observ cu uurin c n conceptul de organizaie extins sunt grupate acele organizaii care au legturi directe cu organizaia dat. Cu alte cuvinte, exist premisele cunoaterii mai aprofundate a riscurilor externe provenite din aceast direcie i chiar premisele stabilirii unei colaborri n controlarea unor astfel de riscuri. Se poate afirma c organizaia extins este un mediu oarecum controlabil. Multe organizaii guvernamentale (spre exemplu, ministerele) au relaii cu alte organizaii pe care le controleaz direct (organizaiile subordonate) sau indirect. n aceste condiii, atingerea propriilor obiective va depinde/afecta atingerea obiectivelor celorlalte organizaii. Cu alte cuvinte, ceea ce face o organizaie va avea un impact direct asupra riscurilor cu care se confrunt organizaiile dependente i, n onsecin, eficacitatea legturilor dintre aceste organizaii este foarte important pentru facilitarea adoptrii unei abordri comune asupra gestionrii riscurilor care s le permit atingerea propriilor obiective. 4

Organizaiile subordonate sau aflate n coordonarea ministerelor sunt constrnse n a aplica politicile ministerelor de care depind direct sau indirect. Prin urmare, modul n care ministerul stabilete ordinea de prioriti n abordarea riscurilor va afecta i prioritile organizaiilor subordonate, iar modul n care organizaiile subordonate gestioneaz riscurile n procesul de implementare a politicilor va fi luat n considerare de minister n elaborarea viitoarelor politici. Aproape toate organizaiile publice depind de contractori (prestatori de servicii, furnizori de bunuri, antreprenori, societi care preiau n administrare riscuri transferate). Este important ca organizaiile s analizeze fiecare relaie important cu contractorii i s se asigure c sunt comunicate i nelese corespunztor prioritile privind un anumit risc. Dei sunt absolut necesare, nu totdeauna sunt suficiente msurile de control intern de tipul clauzelor asiguratorii prevzute n contracte. Ele permit recuperri financiare (satisfac obiectivele legate de securitatea activelor), dar nu controleaz riscurile legate strict de obiectivele proiectelor. Dincolo de ce am numit organizaie extins, exist i ali factori care contribuie la mediul n care riscurile sunt gestionate. Aceti factori pot, fie s genereze riscuri care nu pot fi controlate de organizaie, fie s limiteze modul n care aceasta poate s i asume sau s controleze riscul. Este important ca organizaia s analizeze mediul extins de risc i s stabileasc modul n care acesta i afecteaz strategia de gestionare a riscurilor. De multe ori organizaia nu are dect posibilitatea s-i stabileasc planuri pentru situaii dificile pentru a aciona n cazul n care riscuri pe care nu le poate controla s-ar materializa. O serie de factori care constituie mediul de risc i de care organizaiile trebuie s in seama este necesar a fi menionai: Legile i celelalte reglementri pot s afecteze mediul de risc. Organizaia trebuie s identifice acele norme sub a cror inciden intr. Normele nu sunt altceva dect constrngeri care limiteaz modul de aciune al organizaiilor. Spre exemplu, riscul ca personalul s nu-i ndeplineasc satisfctor sarcinile nu poate fi controlat n totalitate prin instrumente de control intern. Organizaia trebuie s in cont de legislaia muncii pentru a nu se expune riscului de a suporta sanciunile legale. Un factor al mediului de risc, n special pentru organizaiile publice, este chiar Guvernul. Organizaiile publice exist pentru a pune n aplicare politicile Guvernului i ministerelor sale. De aceea, de multe ori, abordarea unor riscuri de ctre conductorii acestor organizaii este condiionat de decizii politice. Fiecare organizaie este constrnsa i de ateptrile factorilor interesai. n cazul instituiilor publice factorul interesat cel mai relevant este ceteanul. Anumite msuri care pot fi eficace n controlarea anumitor riscuri pot da natere unor efecte pe care publicul nu este dispus s le accepte. S ne reamintim exemplul cu penitenciarele; cu siguran, controlarea riscului de evadare prin msuri de control intern, a cror punere n oper ar necesita fonduri publice mari, ar genera din partea publicului reacii justificate de tipul: n loc s cheltuim pentru coli, cheltuim pentru penitenciare. Un alt factor de mediu important sunt condiiile economice. Spre exemplu, n condiiile unei economii mai puin dezvoltate constrngerile bugetare afecteaz posibilitatea organismelor publice de a atrage fora de munc calificat, instrument de control intern ce ar permite s gestioneze mult mai bine riscul de nendeplinire corespunztoare a sarcinilor de ctre angajai. Aceast seciune a fost integrat n material pentru a atrage atenia asupra importanei analizei mediului de risc, att ca generator de riscuri, ct i ca mediu de constrngere a tratrii (controlrii) riscurilor. Cu ct obiectivele afectate de riscuri sunt mai importante (spre exemplu strategice) cu att analiza mediului de risc este mai important. De asemenea, fr ca organizaiile s acorde importana cuvenit analizei mediului de risc nu este posibil identificarea din timp a unor posibile riscuri ce pot apare n viitor i a cror abordare trebuie pregtit din timp.

CAP. XIV. MANAGERII DE RISC, ATITUDINII

Majoritatea teoriilor moderne asupra teoriei decizionale, pornesc de la ideea generala de aversiune fata de risc a indivizilor, indiferent de natura meseriei lor, fiinta umana optand prin structura sa spre obtinerea cu certitudine a unui rezultat, in dauna unei optiuni fara o certitudine sigura ce ar putea conduce catre aceeasi finalitate. De asemeni, studiile de specialitate precizeaza ca atitudinea in raport cu factorii de risc, este o caracteristica stabila a fiecarui individ, legata de dezvoltarea personalitatii, precum si de cultura acestuia. Datorita insa complexitatii fenomenului, precum si a multitudinii de teorii vehiculate in domeniul riscului, opiniile cercetatorilor nu sunt in permenenta in corelatie in privinta diferitelor aspecte caracteristice implicate in acest proces. Astfel, daca pentru unele aspecte cum ar fi gustul pentru risc, specialistii au cazut de acord ca acesta este asociat de cele mai multe ori cu anumite trasaturi particulare ale personalitatii individului decident, in ceea ce priveste diferentierea pe baze stiintifice a amatorilor de risc de ceilalti membrii ai aceleiasi culturi sau profesii, opiniile celor ce investigheaza acest domeniu devin divergente. Aceste neconcordane intre teroriile oamenilor de stiinta sunt insa in mare parte pe deplin fundamentate, deoarece daca gustul riscului este considerat de catre specialisti un element stabil al personalitatii, atitudinea fata de risc precum si perceptia acestuia de catre indivizi, este dependenta de elemente variabile cum ar fi: sentimente, modul de prezentare al realitatii, umor etc. Daca aceaste caracteristici le intalnim la nivel decizonal general, o nota particulrara o reprezinta situatia managerilor sau a persoanelor implicate in conducerea unor organizatii sau entiti. In concordanta cu nevoile entitii, a domeniului de activitate precum si al complexitatii acestora, organizaia respectiva poseda sau nu un departament specializat in domeniul prognozelor pentru identificarea, monitorizarea si minimizarea factorilor de risc, structura condusa de catre un manager de risc. Acesta trebuie sa posede o inalta calificare in domeniu, fiind in permanent contact cu ultimele noutati si descoperiri stiintifice referitoare la strategiile de combatere sau/si de diminuare a riscurilor. Pentru entitile mai mici, care nu poseda astfel de departamente specializate, activitatile de management de risc sunt preluate de catre managerul general, care va include in mod obligatoriu in cadrul agendei sale de lucru aceste tipuri de activitati. Indiferent insa de sistemul de management de risc practicat, studiile de specialitate arata ca asumarea riscului este in acelasi timp o necesitate si o placere in cadrul functiilor de conducere, reliefand totodata faptul ca aceasta masura are mai de graba o motivatie personala decat una incitativa. De asemeni teoriile moderne, aprecieaza existenta a trei motivatii esentiale in asumarea factorilor de risc calculati: Succesul unei decizii manageriale este indispensabil legat de asumarea unor riscuri; Factorii de risc reprezinta pentru manageri elemente obligatorii de luat in consideratie, asumarea acestora tinand mai mult de natura profesionala decat de inclinatia personala a individului spre acest capitol; Asumarea factorilor de risc de catre manageri, implica un continut emotional deosebit, datorita anxietatii, fricii, excitarii si bucuriei, dar si a pericolului pe care il resimte persoana decidenta. Alaturi de aceste trei motivatii esentiale, trebuie tinut cont in mod evident de variatiile inregistrate datorita diferentelor de context, atitudinea managerilor fata de risc depinzand in ultima instanta de relatia dintre pozitia inregistrata la un anumit moment dat de anumite elemente considerate drept referinta: niveul indicatorilor de performan rezultai in urma implementarii proiectului, pozitia actuala a organizatiei precum si evolutia ei ulterioara. Studiile de baza demonstraeza ca indiferent de domeniul in care isi desfasoara activitatea, managerii sunt mai degraba tentati de a respinge riscul decat a-l accepta, aceasta deoarece ei reactioneaza in general rapid la informatii pe care le primesc de asemeni pe termen scurt, in loc de a anticipa evenimentele viitoare. In acesta optica, principala forma de evitare al riscurilor o constituie pentru manageri negocierea contractelor, care conform clauzelor stipulate ar amortiza nesiguranta generata de instabilitatea Pietei si a Mediului economic. Studiind comportamentul managerial Mac Crimmon si Wehrung, a observat ca una dintre modalitatile practicate de catre conductorii unor institutii in raport cu adoptarea riscurilor, o constituie evitarea asumarii acestora si intarzierea adoptarii deciziilor, prin delegarea altor persoane de a efectua activitatile specifice manageriale.Alte pareri in acest domeniu, arata ca managerii evita sa infrunte riscul deoarece il considera un element controlabil, neacceptand ideea de incertitudine a acestuia, implicit inerenta asumare a acestuia. 4

In acest sens Keyes arata cum oamenii cu spirit antreprenorial si gustul riscului cauta sa stapanesca mai degraba incertitudinile destinului, in loc sa accepte asumarea riscurilor. Pornind cu cercetarile pe o alta directie de studiu, Adler stabileste o distinctie clara intre managerii care evita riscurile, intre cei care si le asuma si cei care le domina, precizand ca acestia din urma nu se multumesc doar cu asumarea lor, incercand in permanenta sa le stapanesca si sa le modifice parametrii.