MANAGEMENTUL RISCULUI

Auditului intern efectuează două tipuri de misiuni (asigurare și

consiliere) și domeniile sale de responsabilitate sunt managementul riscului,
controlul intern/managerial și sustenabilitatea organizației. Scopul principal al
auditului intern constă în identificarea și contracararea riscurilor ce planează
necontenit asupra proceselor organizaționale specifice și, deopotrivă, asupra
rezultatelor preconizate.

Riscul este definit ca fiind „acel eveniment, comportament sau

acea acțiune, situație cu un impact nefavorabil asupra capacității organizației
de a-și realiza obiectivele“ (NGEAAPI).
În cadrul NPAI (Normele de funcționare, norma 2110) se
utilizează sintagma „managementul riscurilor“, astfel, auditul intern trebuie
să ajute organizația prin identificarea și evaluarea riscurilor semnificative și
să contribuie la îmbunătățirea sistemelor de management al riscurilor și de
control al acestora.
 Funcţia de audit intern este preocupată să stabilească dacă cultura
organizaţională a riscului este:
- predominant adversă la risc sau
- acceptă riscul şi îl percepe ca pe un element de nivel corporativ.

● Cultura adversă riscului se caracterizează prin:

- conducerea tinde să se limiteze la ceea ce ştie;
- organizaţia este foarte reactivă, tinde să aştepte să se întâmple ceva
rău şi abia apoi acţionează;
- de obicei, organizaţia este extrem de ierarhizată şi majoritatea
deciziilor se iau la vârful organizaţiei;
- în cadrul organizaţiei, strategiile nu se schimbă prea des, iar când se
întâmplă, constituie un eveniment important;

●Cultura care acceptă riscul, numită cultură „se poate face” (can
do), se caracterizează prin:
-există preocupare pentru exploatarea oportunităţilor şi
cointeresarea personalului
- luarea deciziilor majore este problema managementului general, iar
abilitatea luării deciziilor de rutină este transmisă întregii organizaţii;
- strategiile şi politicile se schimbă frecvent pentru a reflecta
schimbarea circumstanţelor;
 Beneficiile încorporării managementului riscului în cultura
organizaţiei, sunt:
- reducerea timpului pierdut de conducere cu disputele
- mai puţine surprize, mai mulţi clienţi mulţumiţi
- mai multă atenţie pentru a face lucrurile corecte într-o manieră
corectă
- posibilitate sporită de iniţiative de schimbare şi atingerea
beneficiilor proiectelor/proiectate
- asumarea riscului şi adoptarea mult mai informată a deciziilor

Pentru management este important să identifice riscurile, să

le evalueze şi să stabilească toleranţa la risc acceptabilă, adică
apetitul de risc, în ordinea probabilităţii de apariţie şi a iminenţei
impactului riscurilor care s-ar putea produce.
 Risc cuv. italian risicare = „a îndrăzni” → „riscul este o alegere, nu o soartă”
(Peter L. Bernstein)

Riscul este definit ca fiind ameninţarea că o acţiune sau un eveniment

va afecta în mod nefavorabil abilitatea unei organizaţii de a-şi atinge obiectivele
şi de a-şi executa cu succes strategiile.
Riscul este posibilitatea sau şansa ca ceva să se întâmple, care va
avea efect asupra obiectivelor firmei.
 Conform standardului menţionat mai sus, fiecare entitate publică are
obligaţia de a analiza sistematic, cel puţin o dată pe an, riscurile legate de
desfăşurarea activităţilor sale, să elaboreze planuri corespunzătoare în direcţia
limitării posibilelor consecinţe ale acestor riscuri şi să numească responsabili
pentru aplicarea planurilor respective.

Analiza riscurilor presupune o serie de activități înalt specializate:

● o cercetare de ansamblu a activității entității/structurii auditate,
● identificarea/evaluarea riscurilor inerente (erori semnificative,
carențe, lacune, disfuncționalități, etc.),
● verificarea calității controalelor interne și a procedurilor aplicabile,
● evaluarea punctelor slabe, cuantificarea și împărțirea lor pe clase de
risc, etc.
● În mod special se va verifica existența Registrului riscurilor,
completarea acestuia și stabilirea de responsabilități nominale privind riscurile
identificate.
 Riscul este un concept exprimat în termeni ai probabilităţii de
apariție şi nivelul impactului (gravitatea consecințelor), al cărui produs ne dă
valoarea riscului, scoring-ul sau expunerea.

Probabilitatea de apariţie a riscului, reprezintă o măsură a posibilităţii

de apariţie, care dacă se materializează se determină prin apreciere sau prin
cuantificare. Impactul riscului, reprezintă efectele sau consecinţele asupra
entităţii în cazul manifestării riscului.

●se stabilește o ierarhizare a riscurilor;

●pentru probabilitatea de apariție a riscului se aplică 2 criterii de
apreciere: vulnerabilitatea entității și eficacitatea controlului intern;
●probabilitatea de aparițe a riscului variază de la imposibilitate la
certitudine și poate fi scalată pe 3 niveluri valorice: mică, medie, mare;
●pentru evaluarea vulnerabilității se va identifica și cerceta factorii ce
pot determina amenințări (resursele umane, complexitatea operațiilor; nivelul
dotării tehnice, climatul de muncă, etc.);
●vulnerabilitatea poate fi scalată pe 3 niveluri: redusă, medie și mare.
 MATRICEA RISCURILOR

Probabilitate
^
| _________ _________ _________
Mare (3) | | 3 | | 6 | | 9 |
| |_________| |_________| |_________|
| _________ _________ _________
Medie (2) | | 2 | | 4 | | 6 |
| |_________| |_________| |_________|
| _________ _________ _________
Mică (1) | | 1 | | 2 | | 3 |
| |_________| |_________| |_________|
|------------------------------------------------>
| Scăzut (1) Moderat (2) Ridicat (3) Impact

PT = P x I, unde: - pentru PT = 1 sau 2, riscul este mic;

PT = punctajul total al riscului; - pentru PT = 3 sau 4, riscul este mediu;
P = probabilitate; - pentru PT = 6 sau 9, riscul este ridicat.
I = impact;
 Pe lângă conceptul de risc sunt definite şi alte concepte:
Riscul inerent sau probabil este riscul care există în mod natural în orice
activitate, definit ca fiind riscul brut sau total, care apare înainte de aplicarea unor
măsuri de intervenţie pentru reducerea lui, respectiv controlul intern.
Orice am face există un risc inerent, el este un dat.
 
Riscul rezidual sau rămas este riscul care rămâne după exercitarea controlului
intern, care trebuie acceptat şi supravegheat pentru a se menţine în limitele apetitului de
risc şi se mai numeşte riscul net.
Întotdeauna va rămâne un risc rezidual, deoarece el nu poate fi eliminat în
totalitate fără urmări, şi nici nu este indicat.
 
Apetitul de risc reprezintă nivelul de expunere la risc pe care organizaţia este
dispusă să îl accepte, respectiv riscul tolerat de organizaţie, adică riscul rezidual.
 
Apetitul de risc defineşte modul cum privim riscul rezidual, după ce l-am
administrat în baza strategiei adoptate şi dacă este acceptabil sau nu.
 
 ELABORAREA REGISTRULUI RISCURILOR

• O modalitate de gestionare a riscului o reprezintă Registrul riscurilor care

se organizează la nivelul entităţii şi în responsabilitatea managementului
general.

• Responsabilitatea elaborării registrelor riscurilor revine fiecărui manager

ce trebuie să elaboreze, pentru compartimentul pe care îl coordonează,
propriul registru de riscuri, iar prin centralizarea acestora, se obţine
Registrul general al riscurilor la nivelul entităţii.

• Conducătorii de compartimente trebuie să-şi stabilească responsabilii cu

riscurile pentru propriile compartimente, care consiliează personalul,
elaborează registrele riscurilor pe compartimente şi le actualizează
periodic.

• Conducătorul entităţii trebuie să stabilească un responsabil cu elaborarea

Registrului riscurilor entităţii şi căruia îi revine şi responsabilitatea
actualizării sistematice a acestuia, cel mai târziu anual.
EVALUAREA RISCURILOR PE ACTIVITATI SI OBIECTIVE

DOMENII / ACTIVITĂŢI OPERAŢII RISCURI EVALUAREA

OBIECTIVE RISCURILOR

SCORUL RISCULUI

Op1 R1 3
A1 Op 2 R2 6
Op 3 R3 4
13

Op 4 R4 7
O1 A2 Op 5 R5 10
Op 6 R6 5
Op 7 R7 1
23

Op 8 R8 8
A3 Op 9 R9 3
Op 10 R10 9
20

Op 11 R11 2
A4 Op 12 R12 6
Op 13 R13 10
Op 14 R14 7
Op 15 R15 4
29
O2 ……… ………… ……… ………
O3 ……… … ……… ………
…. ……… ………… ……… ………
On ……… … ……… ………
Strategie de risc cuprinde: tolerarea, tratarea, transferarea sau încetarea activităţilor.

a) acceptarea - tolerarea riscului, în cazul riscurilor cu expunere

scăzută sau atunci când aplicarea unei strategii de răspuns la risc nu este
posibilă;
b) monitorizarea permanentă a riscului, în cazul riscurilor cu
impact semnificativ, dar cu probabilitate mică de apariţie;
c) evitarea riscului, cu precizarea că aplicarea acestei strategii este
limitată în cazul activităţilor care ţin de scopul (misiunea) entităţii;
d) transferarea - externalizarea riscului, îndeosebi în cazul
riscurilor financiare şi patrimoniale;
e)tratarea - atenuarea riscului, caz în care se identifică măsurile
posibile ce pot fi luate astfel încât riscurile să fie controlate satisfăcător, se
grupează în variante alternative, se alege varianta cea mai avantajoasă din
perspectiva raportului cost/beneficiu.
NC ELEMENTE CARACTERISTICI

Asigurarea securităţii persoanelor

1 Obiectivul
internate

2 Riscul Apariţia unui incendiu

Vechimea de 15-20 ani a

instalaţiilor electrice
3 Cauze posibile
Reparaţii improvizate

Evaluarea
4 Mare
probabilităţii riscului
Evaluarea
5 MARE
impactului riscului
Expunerea la RIDICATA = Probabilitate x
6
risc Impact
a. Pierderea unor vieţi omeneşti
b. Spitalul poate fi obligat la plata unor
Consecinţe în caz despăgubiri importante
7
de materializare
c. Managementul poate fi acuzat de
neglijenţă în serviciu
 MĂSURI DE
COSTURI OBSERVAŢII
GESTIONARE
A. 16.000 1. Gradul de încadrare cu personal este de 70%
Supravegherea u.m./lună şi nu permite supravegherea 24 de ore din 24
bolnavilor 24 de ore 2. Sumele pot fi prevăzute în buget
din 24 cu personal 3. Legislaţia în vigoare nu permite momentan noi
medical angajări
B. Verificarea 20.000 u.m. 1. Suma este disponibilă în buget
instalaţiei electrice
C. Instalarea unor 30.000 u.m. 1. Nu este disponibilă suma în buget, dar se pot
detectoare de fum obţine fondurile necesare prin reprioritizare
D. Înlocuirea 200.000 1. Nu este disponibilă suma în buget şi este puţin
instalaţiei electrice u.m. probabil să se obţină
existente 2. Se poate încerca o sponsorizare sau o donaţie
în acest sens

Nivelul Actiuni de
Costuri
Apetitul la risc apetitului gestionare a Consecinţe/
Riscul - u.m.-
de risc riscului Impact
Se acceptă riscul Ridicat 1. Nicio acţiune 0 a. Concediere

Apariţia Nu se acceptă plata Mediu 1.Verificarea

unui unei amenzi mai Instalaţiei electrice b. Plata unor
incendiu mari de 20.000 u.m. 2. Instalarea unor 50.000 despăgubiri
sau a unei detectoare de fum
despăgubiri mai
mari de 50.000 u.m.
Nu se acceptă plata Scăzut 1.Înlocuirea 230.000
vreunei amenzi sau instalaţiei
despăgubiri electrice existente c. Plata unor
2. Instalarea unor amenzi
detectoare de fum
 Etapele procesului de gestionare a riscurilor:
• identificarea riscurilor;
• evaluarea riscurilor;
• controlarea riscurilor;
• analiza şi raportarea riscurilor.

1. Abordarea activităţii de identificare a riscurilor se poate realiza astfel:

• autoevaluarea riscurilor de către persoanele implicate în realizarea
obiectivelor/activităţilor respective, pe nivele ierarhice prin diagnosticarea riscurilor
cu care se confruntă zilnic (chestionare, ateliere de lucru).
• analiza riscurilor realizată de un compartiment special, creat în cadrul
entităţii sau de o echipă externă, contractată, care să evalueze toate operaţiile şi
activităţile organizaţiei în relaţie cu obiectivele şi să le ataşeze riscurile adecvate.
Modalităţile de identificare a riscurilor se realizează de către:
- executanţii activităţilor şi de către
- supervizori, respectiv managementului de linie (şefii de directii, servicii,
birouri şi compartimente), care sunt proprietarii riscurilor respective.
 Clasificarea riscurilor

• Riscurile strategice afectează scopurile/obiectivele pe termen mediu şi

lung. Gestionarea acestora intră în sarcina (SCIM) şi cuprind:
- Politice: eşecul îndeplinirii politicii guvernamentale;
- Economice: schimbări apărute în economie (inflaţia, ratele dobânzii);
- Sociale: neputinţa răspunderii la efectele schimbărilor apărute în
tendinţele demografice şi socio-economice, neputinţa reflectării acestora în
obiectivele companiei;
- Privind clienţii: eşecul identificării nevoilor curente şi în schimbare ale
clienţilor;
• Riscurile operaţionale managerii şi conducerea le vor întâlni în zilnic :
- Competiţionale: eşecul de a conferi valoare banilor, calitatea produselor
- Fizice/Materiale: pericole legate de incendii, securitate, prevenirea
accidentelor, sănătate şi siguranţă (clădiri, vehicule, maşini şi echipamente).
- Contractuale: eşecul celor contractaţi de a asigura serviciile sau
produsele la timp, costul sau specificaţiile.

• Riscurile financiare semnificative ca eşecuri în planificarea financiară,

controlul bugetar, gestiunea fondurilor şi monitorizări sau raportări incorecte sau
inadecvate.
 • Riscurile privind reputaţia/brandul asociate cu zona de mass-
media şi alte acţiuni sau inacţiuni care pot avaria marca sau reputaţia
companiei.

• Riscurile informaţionale/IT sunt riscuri legate de tehnologia IT

care se află într-o permanentă mişcare şi anume:
-Tehnologice: lipsa capacităţii de confruntare cu ritmul şi
magnitudinea schimbărilor, lipsa abilităţii de a folosi tehnologia ca răspuns la
nevoile în schimbare, eşecuri interne de natură tehnologică, eşecuri privind
achiziţionarea tehnologiei.
- Fizice: defecţiuni ale echipamentelor IT, telefonie ş.a.

• Riscurile privind personalul, pot fi:

- Profesionale: eşecuri datorate lipsei de discernământ
financiar, lipsa unui personal specializat, lipsa consultării privind dezvoltările,
- Conducerea şi managementul: lipsa de personal cheie sau
inabilitatea păstrării acestuia, imposibilitatea asigurării unei pregătiri
profesionale adecvate.
 2.Evaluarea riscurilor va fi realizată prin:
- aprecierea atât a probabilităţii de materializare a riscurilor, cât şi a
impactului riscului în situaţia materializării acestuia;
- clasificarea pe trei nivele: mare / mediu / mic a fiecărui risc, care vor
conduce la o matrice 3 x 3.

O dată la
Ridicată
1- 2
ani 3 3 6 9
PROBABILITATEA

O dată la Moderată
3 – 10 ani 2 2 4 6

O dată la
Redusă
10 ani sau
mai puţin 1 1 2 3

0 Sesizabil Semnificativ Critic

1 2 3
IMPACTUL

Sub 100.000 100.000 – 500.000 Peste 500.000

Atribuţii Încălcări
Încălcări
semnificative normative
normative majore
neîndeplinite sau critice sau
sau apariţii în
plângeri apariţii în presa
presa locală
frecvente naţională
 Evaluarea riscurilor impune necesitatea cunoaşterii riscului inerent
şi determinarea riscului rezidual, care odată evaluate, vor conduce la
stabilirea priorităţilor acestora în cadrul organizaţiei.

Evaluarea riscurilor este o preocupare atât a auditorilor interni, pe

care o realizează în conformitate cu standardele lor profesionale, cât şi a
controlului intern, în vederea oferirii unor servicii performante pentru
management – SCIM.

ACTIVITATEA DE EVALUARE A RISCURILOR ESTE O

COMPONENTĂ ESENŢIALĂ A MANAGEMENTULUI RISCURILOR,
care se realizează sistematic, cu ocazia monitorizarii riscurilor, dar şi pentru
identificarea de riscuri noi, cel puţin odată pe an, pentru actualizarea
Registrului riscurilor.
 REGISTRUL RISCURILOR

Obiective/activităţi Riscul Cauzele care Risc inerent Strategia Data Risc rezidual Observaţi
favorizează adoptată ultimei i
apariţia Probabilitate Impact Expunere revizuiri Probab Impact Expunere  
riscului ilitate

1 2 3 4 5 6 7 8 9 10 11 12