Universitatea Petre Andrei Master Administratie si Finante Publice Anul II Semestrul II

MANAGEMENTUL RISCULUI PROIECTELOR

CONF. UNIV. DIONISIE CRISTINA

Masterant: Prodan Andreea Nicoleta

- 2012 -

Managementul Riscului
1. Conceptul de risc i tipuri de riscuri
n literatura de specialitate riscul este un subiect predilect, ceea ce demonstreaz importana, dar i complexitatea lui n economia organizaiilor. In practic organizaiile se confrunt cu o mare varietate de riscuri, att interne, ct i externe, care, din cauza acestor aspecte, niciodat nu pot fi avute in vedere 100%. Pentru management este important s depisteze riscurile, s le clasifice i s se ocupe de ele n ordinea probabilitii de apariie i a iminenei efectului negativ pe care-l pot produce, fiind convins c nu pot fi abordate toate riscurile. Riscul este ameninarea ca un eveniment sau o aciune s afecteze capacitatea unei organizaii de a-i atinge obiectivele stabilite. Riscurile posibile se identific pe fiecare obiectiv al entitii (funciei, activitii, programului, procesului, operaiei), urmnd apoi o monitorizare permanent a evoluiei lor pentru a le stabili pe cele mai probabile. Auditorul intern, din momentul declanrii activitilor premergtoare desfurrii misiunilor de audit i pn la finalizarea acestora, se va preocupa de riscuri. Datorit insistenei n identificarea, analiza i evoluia riscurilor, pe tot parcursul demersului su, auditorul intern este perceput de muli ca fiind DOMNUL RISC". In practic exist mai multe tipuri de riscuri, clasificate dup anumite criterii. Dup probabilitatea apariiei, riscurile sunt: riscuri poteniale, susceptibile s se produc dac nu se instituie un control care riscuri posibile reprezentate de acele riscuri poteniale pentru care

s le previn sau s le corecteze; managementul nu a ntreprins cele mai eficiente msuri pentru a le elimina sau pentru a le diminua impactul.

Dup natura lor, riscurile sunt: riscuri strategice, referitoare la realizarea unor aciuni greite, legate de riscuri informaionale, referitoare la adoptarea unor sisteme nesigure

organizare, de resurse, de mediu, de dotarea IT .a.; sau neperformante pentru prelucrarea informaiilor i pentru raportare; riscuri financiare, legate de pierderea unor resurse financiare sau acumularea de pasive inacceptabile. Dup natura activitilor (operaiilor) desfurate n cadrul entitilor, riscurile sunt: riscuri legislative; riscuri financiare; riscuri de funcionare; riscuri comerciale; riscuri juridice; riscuri sociale; riscuri de imagine riscuri legate de mediu riscuri ce privesc securitatea informaiilor .a.

Departamentul managementului riscului, care, acolo unde este organizat, are sarcina gestionrii riscurilor susceptibile s se produc din cadrul entitii, i, eventual, a impactului pe care-1 pot avea asupra atingerii obiectivelor entitii. Dup specificul entitilor, riscurile sunt: specifice; riscuri privind conceperea i funcionarea sistemelor; riscuri referitoare la conceperea i actualizarea procedurilor. riscuri riscuri generale, legate de privind natura situaia economic, organizarea i atitudinea conducerii .a.; activitilor (proceselor, operaiilor)

Conform Normelor generale privind exercitarea activitii de audit public intern, riscurile se clasific astfel:

riscuri de organizare, cum ar fi: neformalizarea procedurilor; lipsa unor

responsabiliti precise; insuficienta organizare a resurselor umane; documentaia insuficient, neactualizat; - riscuri operaionale, cum ar fi: nenregistrarea n evidenele contabile; arhivarea necorespunztoare a documentelor justificative; lipsa unui control asupra operaiilor cu risc ridicat; - riscuri financiare, cum ar fi: pli nesecurizate, nedetectarea operaiilor cu risc financiar; - alte riscuri, manageriale etc. Desigur c se mai pot realiza i alte clasificri ale riscurilor, dar n activitatea practic a organizaiilor elementele cele mai importante referitoare la riscuri rmn cele legate de: probabilitatea de apariie a riscurilor; nivelul impactului, respectiv gravitatea consecinelor i durata acestora, cum ar fi cele generate de schimbrile legislative, structurale,

n cazul n care s-ar produce.

2. Evaluarea riscurilor
Evaluarea riscurilor este parte a procesului operaional i trebuie s identifice i s analizeze factorii interni i externi care ar putea afecta obiectivele organizaiei. Factorii interni pot fi, de exemplu, natura activitilor entitii, calificarea personalului, schimbrile majore n organizare sau randamentul angajailor, iar factorii externi pot fi variaia condiiilor economice, legislative sau schimbrile intervenite n tehnologie. Evalurile riscurilor trebuie s acopere toat gama de riscuri din cadrul entitii, de aceea trebuie lucrat la toate nivelurile ierarhice, mai ales la cele nalte. Procesul de evaluare trebuie s descopere riscurile msurabile i riscurile nemsurabile, cum ar fi cele operaionale, i s le selecioneze pe cele controlabile. Managementul, prin activitile de control prestabilite, identific riscurile i analizeaz evoluia acestora la nivelul organizaiei. Departamentul de audit intern, fiind o structur independent, reia analiza riscurilor stabilite de management n vederea evalurii sistemului de control intern. Auditorii interni trebuie s raporteze managementului general rezultatele activitii lor i orice slbiciune semnificativ descoperit pe parcursul desfurrii auditului. Cu toate acestea auditorii se confrunt cu propriul lor risc: riscul de audit. Ei trebuie s considere riscul de audit la nivel individual, de cont bilanier sau de clas de tranzacii. Aceasta i ajut n conturarea ariei auditului i n stabilirea procedurilor de audit. Evaluarea riscurilor este o preocupare att a auditorilor interni, pe care o realizeaz n conformitate cu standardele lor profesionale, ct i a controlului taxelor intern, i n n vederea oferirii unor servicii performante pentru management. Spre exemplu, dac este o recesiune n Romnia, va crete riscul nencasrii anului. Abordarea riscurilor trebuie s aib n vedere faptul c acestea comport trei componente, i anume: riscul inerent, care este riscul ca o eroare material s se produc; 5 i impozitelor consecin trebuie s se reduc cheltuielile pentru a ne ncadra n bugete pn la sfritul

 riscul de control, care este riscul ca sistemul de control intern a entitii s nu mpiedice sau s nu corecteze respectivele erori; riscul de nedetectare, care este riscul ca o eroare material rmas s nu fie depistat nici de auditori, motiv pentru care se mai numete i risc de audit. Riscurile inerente sunt reprezentate de totalitatea riscurilor care planeaz asupra entitii (organizaiei) i pot fi riscuri interne sau riscuri externe, msurabile sau nemsurabile. Riscurile de control sunt strns legate de mediul de control i de activitile de control implementate, care trebuie astfel concepute nct s aduc riscurile la un nivel acceptabil. n general, deficienele constatate n sistemul de control intern reprezint riscuri de control. Riscurile de audit sunt riscuri reziduale care mai pot aprea dup monitorizarea riscurilor de ctre auditorii interni. Riscul de audit reprezint posibilitatea de a fi formulate recomandri i concluzii eronate, n mod material, sau neconforme cu realitatea asupra entitii auditate. n practic, s nu uitm, auditorii interni evalueaz i monitorizeaz riscurile semnificative privind entitatea auditat prin compararea propriei liste de riscuri cu riscurile controlului intern. Faptul c nu analizeaz toate riscurile nu nseamn c accept slbiciunile minore, i de aceea avem riscul de audit. Fiecare organizaie are nevoie de mai multe elemente pentru instituirea unui sistem de control intern eficient, i anume: existena unui mediu de control, respectiv: oamenii, competena profesional, evaluarea riscurilor i o urmrire adecvat a evoluiei acestora, motiv pentru o dat tiute riscurile, apare necesitatea activitilor de control care s le elimine integritatea i valorile lor; care trebuie tiut unde se gsesc acestea n organizaie; sau s le diminueze impactul. Pentru o bun evaluare a riscurilor este nevoie s cunoatem entitatea, activitile auditabile, riscurile asociate i activitile de control intern care funcioneaz. Evaluarea riscurilor este o problem permanent, deoarece condiiile se schimb mereu, apar noi reglementri, apar oameni noi, apar obiective de actualitate, i toate aceste 6

schimbri modific n permanen geografia" riscurilor, care niciodat nu poate fi definitivat. Evaluarea riscurilor nseamn identificarea i analiza riscurilor relevante n ndeplinirea obiectivelor, pentru a cunoate modul n care trebuie s fie administrate. Deoarece condiiile economice, umane i de reglementare sunt ntr-o continu schimbare, controlul intern trebuie s identifice i s se ocupe de riscurile speciale asociate schimbrii. Analiza riscurilor nu reprezint o tiin exact. Prin stabilirea activitilor de control se urmrete ca riscurile ridicate s devin medii sau sczute, pn la o eventual dispariie ulterioar. Oricum riscurile trebuie s evolueze" n jos. Analiza sau evaluarea riscurilor este o etap important n activitatea desfurat de auditori i se efectueaz pentru: elaborarea planului de audit; elaborarea programului de audit. Activitatea de evaluare a riscurilor este o component esenial a managementului i trebuie realizat constant, cel puin o dat pe an, pentru identificarea tuturor riscurilor. Ea cuprinde urmtoarele faze: a) identificarea obiectelor (elementelor) auditabile, care presupune un demers structurat plecnd de la general la detaliu b) stabilirea riscurilor pentru fiecare obiect auditabil pe baza analizei operaiilor n funcie de anumite criterii concepute anticipat i efectuarea unor calcule de ierarhizare i clasare a acestora; c) msurarea riscurilor, care se va face n funcie de probabilitatea apariiei riscurilor i de impactul i durata consecinelor evenimentului. Msurarea riscurilor se realizeaz prin trei metode: metoda probabilitilor, care presupune urmtorii pai: - evaluarea pierderilor probabile plecnd de la instrumente statistice i de la o abordare istoric; - evaluarea direct a pierderilor anuale; - constatri i extrapolri, cu corecturi, dac este necesar. metoda factorilor de risc, care se identific n prealabil plecnd de la o clasificare pe categorii de riscuri, pe care o vom utiliza cu predilecie n prezenta lucrare;

metoda matricelor de apreciere, plecnd de la criteriile de apreciere i

ponderile riscului privind: impactul financiar: I - 35%; probabilitatea de apariie: P - 20%; nivelul controlului intern: CI - 45%. Spre exemplu, construim matricea pentru o entitate public folosind o scar de la 1 la 3 pentru criteriile de apreciere, n vederea msurrii riscurilor, astfel: DOMENIU Resurse umane Financiar-contabil Achiziii Prestri servicii IT - 35% 1 2 2 2 1 2 - 20% P 1 1 3 1 2 - 45% CI 1 2 2 3 2 SCOR 1,35 1,80 2,20 1,90 1,65

d) clasificarea riscurilor, care se realizeaz n practic de asemenea prin trei metode, i anume: metoda de clasificare absolut, n ordinea importanei scorului total stabilit n exemplul anterior, cu valori ale riscului exprimate n procente sau printr-o medie, conform tabelului de mai jos: DOMENIU Achiziii Prestri servicii Financiar-contabil IT Resurse umane SCOR 2,20 1,90 1,80 1,65 1,35 RISC Mare Mare Mare Mediu Mic

metoda clasificrii relative, utiliznd o scar de valori determinat n prealabil, spre exemplu: sczut, mediu, ridicat;

metoda clasificrii matriciale, n funcie de diverse combinaii posibile. n acest

sens se aleg criterii diverse aplicabile domeniilor care vor fi evaluate, tot pe o scar cu trei niveluri: slab, moderat i grav. d) stabilirea controlului intern, care se realizeaz prin completarea tabelului din exemplul de mai sus cu activitile de control i constatarea implementrii sau neimplementrii acestora, conform modelului:

Domeniu

Obiective

Riscuri

Activiti de control intern

Constatare DA/NU NU

Resurse Umane

ntocmirea pentru angajare

- nscrierea eronat a datelor

- comparaie cu dosarul de concurs - verificarea autenticitii documentelor de baz - cunoaterea modificrilor Legislative actualizarea fielor posturilor analiza programelor de salarii n vederea actualizrii - elaborarea procedurilor conform legii

documentelor incomplet sau

DA

Financiar

Calculul salariilor statului de plat

- neactualizarea procedurilor cu legislative actualizarea incorecta a programului de salarii

DA

i ntocmirea modificrile

NU

DA

Contabilitate Lipsa procedurilor

- nregistrri eronate

NU

f) ierarhizarea riscurilor, ce se materializeaz ntr-un tabel cu riscurile din situaia de mai sus, care, neavnd implementate activitile de control potrivite, vor fi catalogate cu risc mare i mediu i ca atare se vor regsi n prezentat n continuare Domeniu Resurse umane Financiar Obiective ntocmirea documentelor pentru angajare Calculul salariilor i Riscuri - nscrierea incomplet sau eronat a datelor - neactualizarea procedurilor cu - actualizarea incorect a Contabilitate Lipsa procedurilor scrise pentru nscrierea n contabilitate g) clasarea riscurilor. Fazele parcurse n etapa de evaluare a riscurilor, prezentate mai sus, ne ajut s clasm riscurile n funcie de gravitatea lor, i aceasta, la rndul ei, ne va permite s realizm o prioritizare a riscurilor pentru planul anual al activitii de audit intern sau pentru programul de desfurare a misiunii de audit intern, n sensul de a avea n vedere activitile cu riscurile ele mai ridicate. Evaluarea riscurilor pentru programul de audit intern este o etap cu o importan major n desfurarea misiunilor de audit intern. De aceea, pentru realizarea corect i eficient a acestei etape, se impune s fie implicai auditori interni cu experien, care cunosc bine entitatea auditat i metodologia de evaluare a riscurilor. Realizarea unei evaluri competente i pertinente a riscurilor va conduce la stabilirea corect a obiectelor auditabile pe domeniile auditabile, ceea ce va reprezenta baza pentru asigurarea formulrii concluziilor privind funcionalitatea sau nefuncionalitatea sistemului de control intern din cadrul organizaiei. Concluziile auditorilor interni obinute n urma recomandrilor stabilite prin intervenia la faa locului i ntocmirea documentelor de lucru cerute de specificul derulrii misiunii de audit intern se vor materializa ulterior n etapa de raportare, cnd la concluziile finale ale raportului de audit intern este recomandat s se ataeze grile (scale) de evaluare pe fiecare obiectiv auditat n cadrul misiunii. programului de salarii - nregistrri eronate Mediu Evaluare Mare Mediu Mare

ntocmirea statului de plat modificrile legislative

10

Observm la grilele de evaluare de mai nainte c exist calificative pozitive, medii i negative. Considerm c grilele cele mai stimulatoare sunt cele cu un calificativ pozitiv i dou sau mai multe negative, nelund n calcul pe cele cu calificative medii.

3. Orientri noi n activitatea de evaluare a riscurilor

Etapa actual de evoluie a auditului intern, att pe plan internaional, ct pe plan naional, se confrunt cu o permanent stare de schimbare. De aceea este necesar i evaluarea sistematic a riscurilor care se schimb mereu. Din practic rezult c niciodat riscurile nu pot fi evaluate n totalitate, Adeseori spunem c, acolo unde nu msurm, nu exist riscuri, dar asta nu nseamn c este i adevrat. Evaluarea riscurilor pentru controlul intern este o asigurare a faptului c schimbrile se vor face n siguran, respectiv c vor putea fi supravegheate. Schimbrile au un efect mai mare asupra auditorilor interni i de aceea managerii manifest o mai mare sensibilitate fa de riscuri. Acetia fiind implicai n analiza riscurilor, au trecut de la logica actorilor confruntai n activiti cu riscuri" la msurarea logic a factorilor de risc". Etapa actual reprezint un imperativ care ar putea fi denumit gestiune a reactivitii", adic necesitatea de a urmri schimbarea sau tiina de a diagnostica, de a arbitra schimbrile i riscurile asociate acestora care afecteaz organizaia. Actualizarea standardelor de audit intern realizate de IIA n 2002 a modificat semnificativ procesul auditului intern, astfel: nainte, auditul intern avea rolul de a evalua sistemul de control intern; n prezent, rolul auditului intern a devenit major pentru activitatea de evaluare a riscurilor din organizaii. Astfel, dac ntr-o entitate unde funcioneaz auditul intern nu exist sistem de evaluare a riscurilor, auditorii interni trebuie s se implice n crearea acestuia, dar nu i n decizia de organizare i exercitare; pe lng evaluarea riscurilor, auditul intern are i preocupri importante pentru a aduce plusvaloare organizaiei i a-i demonstra propriul aport. 11

n acelai timp, ar mai fi o schimbare n optica IIA privind activitatea auditorilor interni, astfel: - n trecut, exista grija din partea tuturor, inclusiv a auditorilor interni, de a nu face greeli; - n prezent, aceast preocupare s-a transmis organizaiei prin responsabilitile ce le revin pentru ca obiectivele (intele) acesteia s fie atinse. Dac n 1970 se aprecia c exist riscul ca auditorii interni s fac o greeal, dup 2000 se spune c exist riscul ca acetia s nu evalueze corect atingerea obiectivelor de ctre organizaia auditat. Riscul reprezint orice element care poate avea o inciden asupra capacitii organizaiei de a-i atinge obiectivele. Astfel poate fi inclus i privarea de libertate, n sensul c auditorii interni nu pot face orice. Managementul riscului se constituie ntr-o metodologie care vizeaz asigurarea unui control global al riscului, care s permit meninerea unui nivel acceptabil pentru organizaie, la cel mai bun cost, al expunerii la risc. Factorii de risc sunt deficiene, lipsuri, iregulariti ale organizaiei, care, combinate cu apariia unor evenimente, vor antrena consecine nefavorabile pentru entitate. Practica internaional recunoscut n domeniu enumera o serie de factori de risc deja consacrai, i anume: cheie, pierderea unor acte (dosare) importante, dezastre naturale, greve prelungite .a.; lipsa ncrederii n activitatea privind achiziiile, care i va pune ntr-o situaie necompetitivitatea personalului, produselor sau serviciilor; 12 lipsa de coeziune a echipei de conducere; nenelegerea sau necunoaterea strategiei de ctre salariai; nedelimitarea clar a atribuiilor n cadrul ntreprinderii; lipsa de fluiditate a circuitului informaional (informatic): nerespectarea reglementrilor; ntreruperea exerciiului (exploatrii) din cauza plecrii unei persoane-

delicat pe cei ce vor lua decizii;

lipsa controlului posturilor; incompetena managementului general sau celui de linie; lipsa de ncredere fa de manager; probleme de imagine; nerespectarea angajamentelor; conflicte de interese; fraude .a.

Practica sntoas n domeniul auditului intern dovedete o dorin puternic a auditorilor de a respecta normele IIA, n sensul c: riscurilor; ponderea misiunilor de evaluare a proceselor de management al riscurilor este ntr-o continu cretere. In domeniul gestiunii riscurilor se constat c la mare parte dintre ntreprinderi exist o funcie dedicat managementului riscului care are o politic de implementare a gestiunii riscurilor folosind tabelele de bord privind riscurile, cartografierea acestora i evaluarea nivelului de satisfacie al gestionrii riscurilor. Pe plan internaional, tendinele n evoluia managementului riscurilor conduc la consolidarea elementelor organizaionale i transversale ale gestiunii riscurilor, avnd ca obiective: necesitatea raportrii ctre prile interesate (acestea fiind nu numai acionarii, ci i personalul, managerii, actorii" exteriori .a.), care la rndul lor, doresc identificarea riscurilor majore i asigurarea faptului c exist sisteme de evaluare a acestora; cunoaterea beneficiilor ca rezultat al evalurii riscurilor; mbuntirea metodelor de identificare a riscurilor i a strategiilor de gestiune. alegerea misiunilor de audit intern se bazeaz pe o serioas analiz a riscurilor; planificarea auditului intern se realizeaz n conformitate cu evaluarea

n anul 2009, strategia era asociat cu managementul riscurilor, n sensul c riscurile erau o preocupare a managementului, dar nu i a conducerii generale. In anul 2011, strategia cuprinde evaluarea riscurilor ca o preocupare major a conducerii generale, care a recunoscut c au fost momente de criz care puteau fi stpnite mai eficient dac managementul riscului ar fi fost mai bine evaluat. 13

In prezent, n domeniul evalurii riscurilor se poate vorbi de o strategie, n sensul c conductorii apreciaz c procesul de identificare i evaluare a riscurilor organizaiilor lor este mai puin fiabil, i un sistem de evaluare a riscurilor ar putea atenua mai eficient eventualele crize care pot s apar. Practica recunoscut n domeniu a adoptat un demers global privind auditul interii, care este un principiu nou, n sensul c auditorii interni intervin ntotdeauna acolo unde evaluarea riscurilor le indic unele probleme, ns aceste probleme pot veni din amonte. Auditorii interni pot realiza evaluri corecte i complete cnd au fapte sau elemente concrete, ns de regul, atunci cnd ei intervin, este trziu, deoarece faptele s-au produs i problemele au aprut. Tocmai aici intervine noutatea demersului pe care trebuie s-1 ntreprind auditorii interni, adic s acioneze munte de a se ntmpla fenomenele productoare de riscuri. Pentru aceasta trebuie realizat un demers orizontal, n sensul de a trezi interesul celor auditai, de a reui responsabilizarea acestora pentru riscurile pe care le gestioneaz. De aici un element important l reprezint comunicarea dup ncheierea activitilor de audit intern. Noul demers al auditorilor interni implic i un demers transversal pe fluxul procesului, alturi de cel orizontal, management-executani. Aceasta nseamn c recomandrile nu vor fi nsoite de controale noi, ci poate chiar de diminuarea acestora. Pentru realizarea acestui deziderat vom urmri s propunem un control profesional - prin formare i informare - innd cont de faptul c responsabilitatea controlului este o problem a fiecrui personaj implicat i a managerului, auditul intern fiind acolo pentru a ajuta. Dar primul nivel al controlului este autocontrolul executanilor, lund n consideraie faptul c nu este eficient s plasm cte un control n spatele fiecrui executant, ci cel mai bine pot identifica riscurile cei care sunt pe teren, adic proprietarii riscurilor. Autocontrolul executanilor se va materializa n intervenii pe parcursul apariiei evenimentelor a cror eficien este incomparabil mai mare, combinat cu demersul transversal al implicrii compartimentelor de pe aceeai linie a procesului de management. Acetia vor putea utiliza i alte tehnici de management, altele dect activitile de control, n special soft-managementul", i, prin implicarea personalului operaional, se vor realiza o mai bun identificare a riscurilor i o mai eficient gestionare a acestora, aspecte care vor fi evaluate de ctre auditorii interni. 14

Procesul gestionrii riscurilor presupune parcurgerea mai multor etape, i anume: identificarea activitilor, operaiilor; identificarea riscurilor asociate acestora; stabilirea factorilor sau criteriilor de risc; evaluarea riscurilor; ierarhizarea riscurilor sau stabilirea prioritilor; stabilirea unui proprietar, a persoanei nsrcinate cu gestionarea riscului; definirea unui plan de aciune i urmrirea aplicrii acestuia; raportarea sistematic a implementrii recomandrilor. In practic se impune i o politic de management al riscurilor, care printre prioriti trebuie s cuprind: existena unei politici formalizate, care include identificarea riscurilor, determinarea celor majore, stabilirea proprietarilor de riscuri, o analiz la o anumit perioad, evaluarea celorlalte riscuri; sisteme de identificare i msurare a riscurilor; strategii adaptate de gestiune i control asupra riscurilor; sistem de auditare a riscurilor; sistem de raportare a riscurilor; tablou de bord realizat n coordonare cu obiectivele organizaiei

Din cele prezentate rezult cu claritate problematica ampl pe care o ridic evaluarea riscurilor pornind de la marea lor diversitate, evoluia lor permanent, dar mai ales implicaiile pe care riscurile le induc, n zilele noastre, n pregtirea managementului, n politic, n imagine .a., care se transmit i au un mare efect asupra indivizilor, cei care se confrunt sau putem spune chiar se lupt cu perfidia" riscurilor. In acest context, extrem de dur, constatm c evaluarea riscurilor respectnd fazele pe care trebuie s le parcurg recurge la argumentele clasice mpotriva riscurilor, respectiv activitile de control, punnd accentul pe autocontrolul celor implicai, fixarea controalelor-cheie pe fluxul procedurilor i, deosebit de relevant, adaptarea n permanen a activitilor de control n funcie de evoluia riscurilor. 15

16