Procesul de gestionare a riscurilor implica realizarea unor activitati-cheie intr-o succesiune logica, dupa cum urmeaza:
identificarea riscurilor;
evaluarea riscurilor;
controlarea riscurilor;
analiza si raportarea riscurilor.
O preocupare majora pentru organizatii o reprezinta identificarea riscurilor cu care se confrunta acestea. Toate riscurile imaginabile ar trebui identificate si inregistrate.
Desi, nu exista un model de documentare in vederea identificarii riscurilor, aceasta activitate reprezinta primul pas in constituirea unui profil al riscurilor in vederea analizei acestora in cadrul organizatiilor.
Identificarea riscurilor implica doua componente, respectiv identificarea initiala a riscurilor pe obiective, dar si o activitate de identificare continua a riscurilor noi, a celor datorate schimbarilor intervenite in organizatie sau a celor care apar datorita modificarii legislatiei s.a.
In practica, riscurile trebuie sa fie relationate fata de obiective si sa poata fi evaluate si prioritizate, in stransa legatura cu obiectivele, pornind de la obiectivele individuale si continuand cu obiectivele de ansamblu ale entitatii.
Pentru toate riscurile identificate, trebuie sa se stabileasca persoanele responsabile care vor gestiona si monitoriza, in mod permanent riscul respectiv. Responsabilul de risc se impune sa aiba autoritatea necesara care sa asigure gestionarea cu eficacitate a riscurilor.
Abordarea activitatii de identificare a riscurilor se poate realiza astfel:
autoevaluarea riscurilor de catre persoanele implicate in realizarea obiectivelor/activitatilor respective, pe nivele ierarhice prin diagnosticarea riscurilor cu care se confrunta zilnic. Autoevaluarea poate fi realizata printr-o abordare documentara, pe baza chestionarelor sau prin constituirea de ateliere de lucru pe compartimente/activitati la care sa participe si persoane specializate, care sa detina abilitatile de identificare a riscurilor. Un punct forte al acestei abordari o reprezinta faptul ca persoanele responsabile de riscuri devin mai constiente atunci cand sunt implicati in activitatea de identificare a riscurilor.
analiza riscurilor realizata de un compartiment special creat in cadrul entitatii sau de o echipa externa, contractata, care sa evalueze toate operatiile si activitatile organizatiei in relatie cu obiectivele si sa le ataseze riscurile adecvate. In situatia aplicarii acestei abordari este important ca activitatile compartimentului sau echipei sa nu submineze intelegerea responsabilitatii in gestionarea si monitorizarea riscurilor de catre managementul de linie si persoanele responsabile ale riscurilor.
Totusi, din practica a rezultat ca o combinare intre cele doua abordari este cea mai eficienta pentru organizatii, deoarece din aceasta colaborare pot iesi la iveala diferente semnificative de perceptie asupra riscurilor care in urma solutionarii, asigura o gestionare corespunzatoare a acestora.
Riscurile la care este expusa organizatia pot fi grupate in mai multe categorii, asa cum sunt prezentate, in figura 2.6 - Departamentul de management al riscurilor.
Teoreticienii englezi considera ca cele mai intalnite categorii de riscuri sunt urmatoarele:
Riscuri strategice sunt riscurile care afecteaza scopurile pe termen mediu si lung precum si obiectivele organizatiei. Gestionarea acestor riscuri este de obicei in sarcina Comitetului de Management al Riscului (RMC) si cuprind:
Politice: esecul indeplinirii politicii guvernamentale;
Economice: implicatii ale schimbarilor aparute in economie (spre exemplu inflatia, ratele dobanzii s.a.);
Sociale: neputinta raspunderii la efectele schimbarilor aparute in tendintele demografice si socio-economice, neputinta reflectarii acestora in obiectivele companiei;
Privind clientii: esecul identificarii nevoilor curente si in schimbare ale clientilor;
Figura Departamentul de management al riscurilor
Riscuri operationale sunt riscurile pe care managerii si conducerea le vor intalni in activitatea zilnica si anume:
Competitionale: esecul de a conferi valoare banilor, calitate produselor s.a.
Fizice/Materiale: pericole legate de incendii, securitate, prevenirea accidentelor, sanatate si siguranta (spre exemplu cladiri, vehicule, masini si echipamente).
Contractuale: esecul celor contractati de a asigura serviciile sau produsele la timp, costul sau specificatiile.
Riscuri financiare sunt riscuri semnificative care raman in permanenta in atentia managementului si pot fi esecuri in planificarea financiara, controlul bugetar, gestiunea fondurilor si monitorizari sau raportari incorecte sau inadecvate.
Riscuri privind reputatia sau brandul sunt acele riscuri asociate cu zona de mass-media si orice alte actiuni sau inactiuni care pot avaria marca sau reputatia companiei.
Riscuri informationale si legate de IT sunt riscuri legate de tehnologia IT care se afla intr-o permanenta miscare si anume:
Tehnologice: lipsa capacitatii de confruntare cu ritmul si magnitudinea schimbarilor, lipsa abilitatii de a folosi tehnologia ca raspuns la nevoile in schimbare, esecuri interne de natura tehnologica, esecuri privind achizitionarea tehnologiei.
Fizice legate de IT: defectiuni ale echipamentelor IT, de telefonie s.a.
Riscuri privind personalul
Profesionale: esecuri datorate lipsei de discernamant financiar, lipsa unui personal specializat, lipsa consultarii privind dezvoltarile s.a.
Conducerea si managementul: lipsa de personal cheie sau inabilitatea pastrarii acestuia, imposibilitatea asigurarii unei pregatiri profesionale adecvate.
Exista multe metode care pot fi folosite pentru a identifica potentialele riscuri:
workshop-uri (intalniri de lucru);
planificare de scenarii;
analizarea creantelor trecute si a altor pierderi;
analizarea incidentelor/esecurilor trecute;
inspectiile privind sanatatea sau siguranta;
training pentru incepatori;
revedere a performantelor trecute;
realizarea feed-back-ului intre conducere si clienti.
Odata identificate zonele de risc potential, ele trebuie analizate prin stabilirea impactului si a probabilitatii lor de aparitie pe baza unei matrice de analiza a riscurilor, asa cum este prezentata mai sus in acest capitol.
In practica, mai exista si alte categorii de riscuri avand in vedere anumite criterii, astfel:
probabilitatea aparitiei:
riscuri potentiale, susceptibile sa se produca daca nu se instituie un control eficient care sa le previna si/sau sa le corecteze;
riscuri posibile, reprezentate de acele riscuri potentiale pentru care managementul nu a intreprins cele mai eficiente masuri pentru a le elimina sau pentru a le diminua impactul.
natura riscurilor:
riscuri strategice, referitoare la realizarea unor actiuni gresite, legate de organizare, de resurse, de mediu, de dotarea IT s.a.
riscuri informationale, referitoare la adoptarea unor sisteme nesigure sau neperformante pentru prelucrarea informatiilor si pentru raportare;
riscuri financiare, legate de pierderea unor resurse financiare sau acumularea de pasive inacceptabile.
natura activitatilor si operatiilor desfasurate in cadrul entitatilor:
riscuri legislative;
riscuri financiare;
riscuri de functionare;
riscuri comerciale;
riscuri juridice;
riscuri sociale;
riscuri de imagine;
riscuri legate de mediu;
riscuri ce privesc securitatea informatiilor s.a.
specificul entitatilor:
riscuri generale, privind situatia economica, organizarea si atitudinea conducerii s.a.;
riscuri legate de natura activitatilor/proceselor/operatiilor specifice;
riscuri privind conceperea si functionarea sistemelor;
riscuri referitoare la conceperea si actualizarea procedurilor
Conform Normelor generale privind exercitarea activitatii de audit public intern[2], riscurile se clasifica astfel:
riscuri de organizare, cum ar fi: neformalizarea procedurilor; lipsa unor responsabilitati precise; insuficienta organizare a resurselor umane; documentatia insuficienta sau neactualizata;
riscuri operationale, cum ar fi: neinregistrarea in evidentele contabile; arhivare necorespunzatoare a documentelor justificative; lipsa unui control asupra operatiilor cu risc ridicat;
riscuri financiare, cum ar fi: plati nesecurizate, nedetectarea operatiilor cu risc financiar;
alte riscuri, cum ar fi cele generate de schimbarile legislative, structurale, manageriale etc.
Desigur, exista si alte clasificari ale riscurilor, dar in activitatea practica a organizatiilor, elementele cele mai importante referitoare la riscuri raman cele legate de:
probabilitatea de aparitie a riscurilor;
nivelul impactului, respectiv gravitatea consecintelor si durata acestora, in cazul in care s-ar produce.
In Romania, prin aplicarea OMFP nr. 946/2005 privind implementarea sistemului de control managerial, cu modificarile si completarile ulterioare, s-a constituit grupul de lucru, conform articolului 3, cu atributii privind reorganizarea sistemului de management financiar si control intern - SMFCI, care contin si necesitatea elaborarii Registrului riscurilor si procedurile operationale de lucru.
Problematica gestionarii riscurilor, in conformitate cu documentul mentionat mai sus, se afla in totalitate in coordonarea managementului general, care pentru realizarea acestor atributii majore va trebui sa reorganizeze intregul sistem de control intern si sa responsabilizeze intregului personal din cadrul organizatiei.
In aceasta etapa se evalueaza importanta riscurilor care au fost identificate si ar trebui sa graviteze in jurul componentelor bidimensionale impact si vulnerabilitate.
Marea majoritate a riscurilor se preteaza la o diagnosticare numerica, in special riscurile financiare sau cu conotatii financiare, dar exista si riscuri a caror evaluare are o perspectiva mult mai subiectiva, spre exemplu riscul de imagine, riscul de reputatie, riscul de brand s.a. Din aceste considerente, evaluarea riscurilor devine mai mult o arta decat o stiinta. In concluzie, putem sa consideram ca in Romania se utilizeaza o abordare combinata a celor doua modalitati de evaluare a riscurilor prezentate mai sus.
Cu toate acestea, se impune, in cadrul organizatiilor sa adoptam un sistem - cadru de evaluare a riscurilor care sa se bazeze pe dovezi impartiale si independente, sa aiba in vedere intreaga gama de factori interesati si sa evite confuziile intre evaluarea riscurilor si aprecierea tolerabilitatii acestora.
Evaluarea riscurilor va fi realizata prin:
- aprecierea atat a probabilitatii de materializare a riscurilor, cat si a impactului riscului in situatia materializarii acestuia;
- clasificarea pe trei nivele: mare / mediu / mic a fiecarui risc, care vor conduce la o matrice 3 x 3.
In continuare, prezentam un model concret de constituire a matricei pentru evaluarea riscurilor[3] din cadrul organizatiei, asa cum este redat si comentat in figura 2.7 - Matricea evaluarii riscurilor, in functie de coordonatele probabilitatii si impactului, structurate fiecare pe o scara de trei nivele.
O data la 1- 2 ani |
PROBABILITATEA |
Ridicata | |||
| |||||
O data la 3 - 10 ani |
Moderata | ||||
O data la 10 ani sau mai putin |
Redusa | ||||
Sesizabil |
Semnificativ |
Critic |
|||
IMPACTUL |
|||||
Sub 100.000 |
Peste 500.000 |
||||
Atributii semnificative neindeplinite sau plangeri frecvente |
Incalcari normative majore sau aparitii in presa locala |
Incalcari normative critice sau aparitii in presa nationala |
Figura 2.7. Matricea evaluarii riscurilor
Probabilitatea aparitiei se descrie, spre exemplu, pe verticala matricei in functie de specificul organizatiei si de tipurile sale de risc si poate fi:
Mare - foarte probabil sa se intample (in 1-2 ani);
Medie - este probabil sa se petreaca mai putin frecvent si este mai dificil de anticipat (probabil sa se intample o data la fiecare 3-10 ani);
Mica - foarte putin probabil sa aiba loc (o data la fiecare 10 ani sau chiar mai putin frecvent).
Impactul asupra organizatiei se descrie, spre exemplu, pe orizontala matricei dupa specificul organizatiei si tipurile sale de risc si poate fi:
Ridicat - efect catastrofic asupra operatiunii:
pierderi financiare uriase, respectiv mai mult de 5% din totalul costurilor sau veniturilor;
intreruperi majore ale serviciilor (>5 zile);
moartea unor persoane;
esecul complet al proiectului sau intarzieri indelungate (peste doua luni);
publicitate negativa in presa nationala.
Moderat - efect semnificativ, dar nu catastrofic asupra operatiunilor, care se poate materializa in urmatoarele forme:
pierderi financiare semnificative, respectiv mai mult de 2% din totalul costurilor si veniturilor;
intreruperi semnificante ale afacerii (2-5 zile);
ranirea severa a unei persoane sau a mai multor persoane;
efect advers asupra proiectului sau derapari semnificative;
publicitate negativa in presa regionala.
Scazut - consecintele nu vor fi atat de severe si orice pierderi sau implicatii financiare vor fi relativ scazute, astfel:
un oarecare efect asupra oferirii serviciilor (o zi);
ranire minora a unei persoane sau a mai multor persoane;
cativa clienti se plang.
In practica, nu exista un standard absolut pentru realizarea matricei riscurilor. Din aceste considerente, organizatia trebuie sa ajunga la un rationament privind nivelul de analiza care serveste cel mai bine propriile interese. Astfel, pot fi utilizate si matricele de 5 x 5 cu urmatoarele nivele: nesemnificativ / minor / moderat / major / grav.
Din analiza, rezulta ca nu valoarea absoluta a riscului evaluat este importanta, ci gradul de tolerabilitate al riscului, sau apetitul de risc, al unei organizatii. Apetitul de risc privit pe ansamblul organizatiei este de o complexitate deosebita, de aceea analiza trebuie coborata la nivelul individual al riscurilor.
Cunoasterea riscului inerent va permite o mai buna analiza a situatiilor in care exista lipsa sau exces de control, sau controlul este supradimensionat. In situatia in care nivelul riscului inerent se mentine in limitele apetitului de risc nu va fi necesara alocarea suplimentara de resurse de control riscului respectiv.
Evaluarea riscurilor impune necesitatea cunoasterii riscului inerent si determinarea riscului rezidual, care se completeaza cu etapa de tratare a riscurilor.
Riscurile odata evaluate, vor conduce la stabilirea prioritatilor acestora in cadrul organizatiei. Riscurile majore, respectiv cu cea mai mare prioritate, trebuie sa fie permanent avute in vedere la cel mai inalt nivel al organizatiei. Prioritatile riscurilor se modifica pe parcursul procesului de gestionare pe masura tratarii acestora.
Evaluarea riscurilor este parte a procesului operational si trebuie sa identifice si sa analizeze factorii interni si externi care ar putea afecta in mod negativ obiectivele organizatiei.
Factorii interni pot fi, de exemplu, natura activitatilor entitatii, calificarea personalului, schimbari majore in organizare sau randamentul angajatilor, iar factorii externi pot fi: variatia conditiilor economice, legislative sau schimbarile intervenite in tehnologie.
Evaluarile riscurilor trebuie sa acopere toata gama de riscuri din cadrul entitatii, de aceea trebuie lucrat la toate nivelele ierarhice, mai ales la cele inalte.
Procesul de evaluare trebuie sa descopere riscurile masurabile si riscurile nemasurabile, cum ar fi cele operationale, si sa le selectioneze pe cele controlabile.
Managementul, prin activitatile de control prestabilite, identifica riscurile si le analizeaza evolutia acestora la nivelul organizatiei. Departamentul de audit intern, fiind o structura independenta, reia analiza riscurilor stabilite de management in vederea evaluarii sistemului de control intern.
Evaluarea riscurilor este o preocupare atat a auditorilor interni, pe care o realizeaza in conformitate cu standardele lor profesionale, cat si a controlului intern, in vederea oferirii unor servicii performante pentru management. Spre exemplu: daca este o recesiune in Romania, va creste riscul neincasarii taxelor si impozitelor si in consecinta trebuie sa se reduca cheltuielile pentru a ne incadra in bugete pana la sfarsitul anului.
Auditorii interni trebuie sa raporteze rezultatele activitatii lor managementului general si orice slabiciune semnificativa descoperita pe parcursul desfasurarii auditului. Cu toate acestea, auditorii se confrunta cu propriul lor risc: riscul de audit, reprezentat in figura 2.8 - Structura riscului.
Din aceste considerente riscul de audit trebuie privit la nivel individual, cont bilantier sau clasa de tranzactii, deoarece va conduce la conturarea ariei auditului si la stabilirea procedurilor de audit intern care se impun a fi utilizate in etapa de interventie la fata locului.
Analiza figurii prezentate mai sus ne permite efectuarea urmatoarelor observatii:
riscul inerent este riscul ca o eroare materiala sa se produca si reprezinta totalitatea riscurilor care planeaza asupra organizatiei si poate fi constituit din riscuri interne sau externe, masurabile sau nemasurabile;
riscul de control este riscul ca sistemul de control intern al entitatii sa nu impiedice sau sa nu corecteze in totalitate efectele riscurilor inerente, care pot sa apara si care raman oricat control s-ar efectua. Riscul de control este strans legat de mediul de control in care functioneaza organizatia, dar si de activitatile de control implementate, care trebuie astfel concepute incat sa aduca riscurile si sa le mentina la nivelul tolerabilitatii, respectiv in limitele apetitului de risc stabilit de consiliul de administratie. In general, deficientele constatate in sistemul de control intern reprezinta riscuri de control.
Figura 2.8. Structura riscului
riscul de audit, care practic ramane oricat control intern si audit intern s-ar desfasura in cadrul organizatiei. Acest risc este riscul de nedetectare, respectiv riscul ca o eroare materiala sa nu fie depistata, nici de control, nici de auditorii interni sau externi. In practica riscurile de audit sunt riscuri reziduale care mai pot aparea chiar si dupa activitatea de monitorizare a riscurilor.
Riscul de audit reprezinta posibilitatea de a fi formulate recomandari si concluzii asupra entitatii auditate, eronate, in mod material, sau neconforme cu realitatea.
In practica, sa nu uitam, auditorii interni evalueaza si monitorizeaza riscurile semnificative privind entitatea auditata prin compararea propriei liste de riscuri cu riscurile controlului intern. Faptul ca nu analizeaza toate riscurile nu inseamna ca accepta slabiciunile minore.
Fiecare organizatie are nevoie de mai multe elemente pentru instituirea unui sistem de control intern eficient, si anume:
existenta unui mediu de control, respectiv: oamenii, competenta profesionala, integritatea si valorile lor;
evaluarea riscurilor;
urmarirea adecvata a evolutiei acestora, motiv pentru care trebuie stiut unde se gasesc acestea in organizatie;
odata stiute riscurile, apare necesitatea activitatilor de control care sa le elimina sau sa le diminueze impactul si probabilitatea.
Pentru o buna evaluare a riscurilor este nevoie sa cunoastem entitatea, activitatile auditabile, riscurile asociate si activitatile de control intern care functioneaza. Activitatile auditabile din cadrul unei organizatii se stabilesc prin impartirea acestora in operatii elementare, carora ulterior li se asociaza riscuri, asa cum rezulta din figura 2.9 - Stabilirea obiectelor auditabile.
Figura 2.9. Stabilirea obiectelor auditabile
Evaluarea riscurilor este o problema permanenta deoarece conditiile se schimba mereu, apar noi reglementari, apar oameni noi, apar obiective de actualitate si toate aceste schimbari modifica in permanenta harta riscurilor, care niciodata nu poate fi definitivata.
Evaluarea riscurilor inseamna identificarea si analizarea riscurilor relevante, structurate pe obiecte auditabile in vederea stabilirii modului in care acestea vor fi administrate. in indeplinirea obiectivelor, pentru a cunoaste modul in care trebuie sa fie administrate. Deoarece, conditiile economice, umane si de reglementare sunt intr-o continua schimbare, controlul intern trebuie sa identifice si sa se ocupe de riscurile speciale, asociate schimbarii.
In practica, pentru evaluarea riscurilor se recomanda elaborarea unui document asa cum este prezentat in figura 2.10 - Evaluarea riscurilor pe domenii auditabile.
Analiza riscurilor nu reprezinta o stiinta exacta. Prin stabilirea activitatilor de control se urmareste ca riscurile ridicate sa devina medii sau scazute, pana la o eventuala disparitie ulterioara. Oricum riscurile trebuie sa "evolueze" in jos.
In practica auditorilor interni, evaluarea riscurilor reprezinta o etapa majora si se realizeaza pentru elaborarea Planului anual de audit intern si a Programului de audit din etapa de Pregatire a misiunilor de audit intern.
In acelasi timp, activitatea de evaluare a riscurilor este o componenta esentiala a managementului riscurilor si se realizeaza sistematic, cel putin odata pe an, pentru actualizarea analizei riscurilor dar si pentru identificarea de riscuri noi, cu ocazia elaborarii Registrului riscurilor.
DOMENII / OBIECTIVE |
ACTIVITATI |
OPERATII |
RISCURI |
EVALUAREA RISCURILOR |
|||||||||||||||||||||
SCORUL RISCULUI |
|||||||||||||||||||||||||
O1 O2 O3 On |
A1
A2 A3
A4 |
Op1 Op 2 Op 3 Op 4 Op 5 Op 6 Op 7 Op 8 Op 9 Op 10 Op 11 Op 12 Op 13 Op 14 Op 15 |
R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 R13 R14 R15
|
|
Figura 2.10. Evaluarea riscurilor pe domenii auditabile
Controlul riscurilor se realizeaza cu scopul de a transforma incertitudinile intr-un avantaj pentru organizatie, limitand nivelul amenintarilor.
Orice masura luata de organizatie pentru controlul riscurilor se incadreaza in cunoscutul "sistem de control intern".
Controlul riscurilor presupune realizarea urmatoarelor activitati[4]:
tolerarea;
tratarea;
transferarea;
incetarea;
oportunitati.
a. Tolerarea riscurilor
Riscurile pot fi acceptate fara sa fie necesara luarea vreunei masuri. In cazul unor riscuri, chiar daca cu greu sunt tolerate, nu intotdeauna avem posibilitatea sa actionam datorita, spre exemplu, costului masurilor respective, care pot sa fie disproportionate. Optiunea aceasta poate fi completata de "un plan pentru situatii neprevazute" care sa atenueze posibilul impact care ar putea fi resimtit in situatia materializarii riscurilor.
b. Tratarea riscurilor
Marea majoritate a riscurilor sunt controlate cu scopul de a fi tratate. Astfel, in timp ce organizatia isi desfasoara activitatile care au generat riscurile, se instaleaza un instrument de control care mentine efectele riscului in limite acceptabile.
Tratarea ineficienta a riscurilor poate produce o criza corporativa care sa conduca la pierderi semnificative.
In practica, pentru tratarea riscurilor se utilizeaza urmatoarele categorii de instrumente de control:
Instrumente de control preventiv
Implementarea acestor instrumente se realizeaza atunci cand se urmareste ca un rezultat nedorit sa nu se materializeze sau pentru a limita efectele riscurilor nedorite care s-ar putea concretiza.
Majoritatea instrumentelor de control puse in aplicare sunt din categoria riscurilor de control preventiv.
Exemple de instrumente de control preventiv:
segregarea sarcinilor, prin care o persoana nu are autoritatea de a actiona fara consimtamantul alteia, astfel persoana care realizeaza o plata este alta decat cea care a efectuat comanda;
limitarea actiunilor persoanelor autorizate, respectiv doar persoanele instruite special pot efectua anumite activitati speciale, cum ar fi: inventarierea patrimoniului, controlul casieriei, instruirea personalului s.a.
externalizarea asigurarii unor servicii, precum: IT, contabilitate, resurse umane, audit s.a.
Instrumente de control corectiv
Scopul acestor instrumente este acela de a corecta rezultatele nedorite care s-au materializat si reprezinta o modalitate de recuperare a daunelor sau a pierderilor.
Exemple de instrumente de control corectiv:
includerea unor clauze in contract care permit recuperarea sumelor platite nejustificat;
asigurarea, care faciliteaza recuperarea financiara a unor sume in cazul materializarii unor riscuri;
planurile pentru situatiile neprevazute reprezinta un mijloc prin care o organizatie isi planifica si asigura continuitatea in cazuri de criza, pe care nu le poate controla.
Instrumente de control directiv
Aceste instrumente de control sunt concepute sa asigure realizarea unui anumit rezultat, respectiv sunt esentiale atunci cand se doreste ca efectele unui anumit risc nedorit care s-ar putea materializa, sa fie orientate intr-o anumita directie tolerabila de catre organizatie.
Exemple de instrumente de control directiv:
instruirea si deprinderea personalului cu anumite abilitati;
asigurarea pregatirii profesionale a personalului intr-un domeniu special, respectiv IT, control, audit s.a.
in general, echipamentele de protectie pentru activitatile periculoase.
Instrumente de control detectiv
Scopul acestor instrumente este sa identifice situatiile nou rezultate nedorite care au avut loc. Implementarea unor astfel de instrumente fiind ulterioara evenimentelor/riscurilor, de regula, se accepta unele daune sau pierderi suferite.
Exemple de instrumente de control detectiv:
activitatile de inventariere a stocurilor, care detecteaza unele miscari realizate fara autorizatie;
controlul reciproc si incrucisat, care poate detecta unele tranzactii neconforme sau neautorizate;
monitorizarea activitatilor de implementare care ne permit sa detectam anumite modalitati practice pozitive care pot fi utilizate si in alte proiecte.
c. Transferarea riscurilor
Exista riscuri pentru care cea mai buna solutie este transferarea lor. Aceasta optiune este benefica mai ales in cazul riscurilor financiare sau patrimoniale si poate fi facuta printr-o asigurare sau prin plata unei terte parti care sa gaseasca o alta modalitate de asumare a riscului.
Transferarea riscurilor se poate realiza fie prin reducerea expunerii la risc, fie pentru ca o alta organizatie este mai capabila sau specializata in gestionarea unor astfel de riscuri. In general, nu se pot transfera riscurile legate de reputatie, de brandul organizatiei, astfel exista si riscuri netransferabile sau netransferabile integral.
In acelasi timp, relatiile cu terte parti carora li s-au transferat riscuri trebuie gestionate cu mare atentie de organizatie pentru a se asigura succesul transferului.
Exista situatii in care organizatiile nu pot sa gestioneze direct riscurile si in acest caz singura solutie este elaborarea programelor pentru situatii neprevazute - spre exemplu terorismul international sau aparitia cutremurelor de pamant, care le va asigura continuitatea activitatilor in cazul in care acele riscuri s-ar concretiza.
Din aceste considerente este necesar ca organizatiile sa-si analizeze mediul extern extins de risc si sa-si stabileasca si strategia de gestionare a riscurilor, care ii pot afecta.
Alte elemente care pot afecta functionarea organizatiilor sunt chiar guvernul prin posibilitatea de implementare a unor constrangeri de natura economica, de retribuire a personalului sau ale conditiilor specifice pentru care organizatiile trebuie sa-si prevada elemente de protectie in vederea asumarii sau neasumarii unor riscuri si asigurarii continuarii activitatii.
d. Incetarea activitatilor
Anumite riscuri pot fi eliminate sau mentinute in limite rezonabile numai prin reducerea activitatilor sau prin desfiintarea acestora.
Trebuie mentionat ca aceasta modalitate este caracteristica sectorului privat, deoarece in sectorul public optiunea incetarii activitatii este relativ redusa, chiar daca pentru unele activitati sunt asociate riscuri insemnate, deoarece nu exista o alta modalitate de obtinere a rezultatelor asteptate de public.
Spre exemplu: pregatirea unor specialisti o lunga perioada de timp in strainatate, este insotita de posibilitatea nedorita a plecarii acestora din organizatie. Desigur ca aceasta optiune poate avea o importanta deosebita in gestionarea proiectelor daca devine clar faptul ca relatia previzionata cost-beneficii este pusa in pericol.
e. Beneficierea de pe urma oportunitatilor
Aceasta optiune trebuie luata in considerare ori de cate ori un risc este tolerat, tratat sau transferat.
In aceasta situatie exista urmatoarele posibilitati:
simultan cu reducerea evenimentelor, riscul apare ca oportunitate. Spre exemplu, daca o investitie mare este riscanta, se reevalueaza instrumentele de control, daca sunt suficiente si justifica eventuale cheltuieli cu acestea;
existenta unor circumstante care negenerand riscuri, ofera chiar oportunitati. Spre exemplu: scaderea preturilor la bunuri si servicii care conduce la eliberarea de resurse ce pot fi realocate.
In situatia conceperii unor instrumente de control, care vor fi puse in practica, urmarim sa atingem regula generala, respectiv instrumentele de control sa ofere o asigurare rezonabila pentru mentinerea riscurilor si a pierderilor implicite in cadrul apetitului de risc programat.
Din practica, se stie ca fiecare instrument de control implementat, inseamna costuri si de aceea trebuie facuta o analiza in legatura cu riscurile pe care le controleaza si evalueaza, stiind ca scopul controlului este sa reduca riscurile sau sa le elimine si sa le mentina in zona tolerabilitatii acceptate de organizatie.
Managementul trebuie sa-si asume intreaga responsabilitate pentru organizarea activitatilor privind gestionarea si administrarea riscurilor. Responsabilitatea managementului de zi cu zi al riscurilor specifice apartine managerilor si conducerii, intrucat ei sunt direct responsabili pentru diferitele activitati ale organizatiei.
In continuare prezentam rolurile si responsabilitatile ce revin angajatilor in domeniul riscurilor[5], in tabelul din figura 2.11 - Roluri si responsabilitati in managementul riscurilor.
Grup |
Roluri |
Conducerea |
Aproba strategia Comitetului de management al riscurilor Considera riscul ca parte a tuturor deciziilor Urmaresc anual angajamentele Comitetului de management al riscurilor |
Comitetul de management al riscurilor (RMC)[6] |
Asigura gestionarea eficienta a riscurilor pe baza strategiei de management al riscului si raporteaza conducerii anual Identifica riscurile strategice care afecteaza organizatia si face recomandari conducerii privind modul in care acestea vor fi gestionate. |
Managerii |
Asigura ca riscul este gestionat eficient in fiecare functiune din cadrul strategiei convenite si raporteaza trimestrial Comitetului de management al riscurilor. Identifica riscuri individuale care afecteaza activitatea lor, se asigura ca acestea sun inregistrate in registrul riscurilor si ca exista masuri de control potrivite pentru gestionarea acestor riscuri. Monitorizeaza continuu adecvarea si eficienta tuturor masurilor si raporteaza membrului lor din Comitetul de management al riscurilor. Urmaresc cel putin anual toate angajamentele privind managementul riscului care influenteaza activitatea lor, ca parte a planificarii organizatiei. |
Toti angajatii |
Isi efectueaza sarcinile sub indrumarile oferite de gestiunea riscului incluzand conformitatea cu toate masurile de control care au fost identificate. Raporteaza pericolele/riscurile managerilor lor. |
Auditul intern |
Monitorizeaza daca riscurile au fost identificate adecvat si daca au fost incluse in registrul riscurilor. Urmaresc adecvanta si eficienta masurilor de control in functiune. Fac recomandari managerilor, Comitetul de management al riscurilor si conducerii atunci cand este necesar. |
Figura 2.11. Roluri si responsabilitati in managementul riscurilor
Activitatea de supervizare a riscurilor este necesara pentru monitorizarea evolutiei profilurilor riscurilor si asigurarea ca activitatea de administrare a riscurilor este corespunzatoare si se realizeaza prin procese de revizie a riscurilor.
Analiza riscurilor se impune a se realiza periodic, cel putin anual, pentru a evalua persistenta riscului, eventuale modificari ale impactului si probabilitatii, aparitia unor riscuri noi, cu scopul raportarii acestor evolutii ale riscului care influenteaza prioritatile si furnizeaza informatii privind eficacitatea controlului.
De asemenea, procesul general de gestionare a riscurilor trebuie supus unor examinari periodice pentru a ne asigura de functionalitatea acestuia, de existenta unui sistem de revedere a riscurilor cu o frecventa corespunzatoare si de stabilirea unor mecanisme de avertizare a nivelelor superioare de management cu privire la evolutia riscurilor sau aparitia altor riscuri neprevazute.
In practica, procesul de gestionare a riscurilor si activitatea de analiza sau revizuire a riscurilor sunt doua activitati distincte care nu se substituie una alteia.
Principalele instrumente si tehnici utilizate in procesul de analiza a riscurilor sunt:
autoevaluarea riscurilor, care se realizeaza in scopul aprecierii pastrarii profilului riscului la nivelul intregii organizatii si se efectueaza de fiecare salariat in parte;
raportarea managementului de linie responsabil cu administrarea riscurilor, catre managementul superior, cu privire la activitatile pe care le-au intreprins, cel putin anual, la inchiderea exercitiului financiar, pe langa cele trimestriale si semestriale, pentru a actualiza registrul riscurilor si sistemul de control managerial, care sa mentina un nivel corespunzator de functionalitate procedurile operationale de lucru;
echipe specializate de revizie si asigurare a actualizarii procesului general de administrare a riscurilor, prin care este analizata activitatea managementului de linie cu privire la responsabilitatile ce le revin in domeniul de activitate pe care il coordoneaza in privinta riscurilor si sistemelor de control managerial;
constituirea comitetelor de risc, care trebuie sa se stabileasca de catre conducere - Consiliul de administratie, ce rol se va atribui comitetelor si modalitatea de organizare a acestora, respectiv:
comitetul de risc, stabilit ca un comitet al Consiliului de Administratie, format din membrii non-executivi, cu atributii privind monitorizarea riscurilor si evolutiei acestora, care emite o opinie asupra procesului de gestionare a riscurilor la nivelul organizatiei, atributii care altfel ii reveneau Comitetului de audit;
comitetul de risc, stabilit ca un for al directorilor executivi, care au responsabilitati in domeniul administrarii riscurilor si unde isi impartasesc experiente in vederea elaborarii propriilor masuri de gestionare a riscurilor si a asigurarii eficacitatii gestionarii acestora. Totusi, aceasta modalitate de organizare a comitetelor de risc nu exclude si persoane non-executive in structura sa. In aceasta situatie atributiile privind monitorizarea riscurilor si procesul de gestionare al acestora ramane la nivelul Comitetului de audit, care trebuie sa furnizeze asigurari independente privind sistemul de administrare al riscurilor in cadrul organizatiei.
Entitatile publice trebuie sa se asigure de existenta functiei de audit intern in conformitate cu reglementarile in vigoare, luand in considerare ca aceasta va furniza o asigurare independenta si obiectiva asupra modului adecvat al gestionarii riscurilor, controlului si guvernantei[7].
In cadrul entitatilor, auditorii interni pot oferi consiliere managementului, in calitate de consultanti interni, pentru organizarea si dezvoltarea proceselor de gestionare a riscurilor, luand in considerare viziunea ampla pe care o au asupra intregului portofoliu de activitati care se deruleaza in cadrul organizatiei.
In acest sens, este important sa precizam faptul ca, in conformitate cu standardele de audit intern si cu buna practica recunoscuta in domeniu:
auditul intern nu se poate substitui responsabilitatii pe care o are conducerea entitatii in problematica administrarii riscurilor;
auditul intern nu poate reprezenta un sistem integrat de revizuire si analiza a riscurilor ce trebuie pus in practica de catre managementul general si personalul cu sarcini executive in privinta atingerii obiectivelor programate.
De asemenea, entitatile publice, cu unele exceptii, vor trebui sa-si constituie Comitetele de audit, formate din membri cu atributii executive, dar si din membri non-executivi si in care presedintele va fi membru non-executiv, care vor avea responsabilitati bine definite privind procesul gestionarii riscurilor, respectiv:
sa se asigure ca riscurile si evolutia acestora este monitorizata;
sa ofere o parere independenta privind functionalitatea procesului de gestionare a riscurilor si gradul de asigurare corespunzator;
sa emita o opinie generala privind gestionarea riscurilor.
Totusi, in conformitate cu prevederile de mai sus, Comitetul de audit nu trebuie el insusi sa administreze riscuri, sau sa fie responsabil cu procesul de gestionare al acestora.
In opinia unor autori organizatia trebuie sa urmareasca impactul activitatilor de management al riscurilor si succesul strategiei de management al riscului folosind urmatoarele criterii, pentru analiza sau revizuirea riscurilor, precum cele prezentate in tabelul din figura 2.12 - Monitorizarea riscurilor.
Criterii de analiza |
Indicatori |
Comentariu |
Integrarea managementului riscurilor in cultura organizatiei si cresterea constientizarii acestuia |
Persoanele din conducere recunosc rolul si responsabilitatea lor pentru aplicarea managementului riscurilor in domeniile in care activeaza; Numarul rapoartelor privind luarea deciziilor care demonstreaza o analiza a riscului; Raspunsurile oferite auditului si inspectiilor. |
Prin auditul rapoartelor si documentelor care evidentiaza deciziile. Prin auditul raspunsurilor. |
Sansa schimbarii |
Analiza post-factum, respectiv cum am gestionat marile schimbari si celelalte proiecte. | |
Minimizarea pierderilor, accidentelor si a conflictelor |
Numarul si durata intreruperilor procesului de productie Nivelul plangerilor/nemultumirilor, creantelor/revendicarilor s.a. Nivelul intarzierilor/datoriilor prescrise |
Masoara raspunsul si performanta de recuperare precum si frecventa Informat de existenta strategiilor si a proceselor |
Existenta unui model al managementului riscurilor |
Feedback de la conducere Conformitatea cu standardele | |
Minimizarea costurilor riscului |
Primele anuale de asigurare Nivelul rezervelor Pierderile neasigurate Costul managementului si al proiectului |
Vor fi incorporate depasirile de buget si de capital alocat proiectului, frauda, prescrierile, creantele, primele s.a. |
Figura 2.12. Monitorizarea riscurilor
Phil Griffiths - Risk-Based Auditing, Gower Publishing Limited, England, 2005, pp. 22-23, prelucrare si adaptare.
OMFP nr. 38/2003 pentru aprobarea Normelor generale privind exercitarea activitatii de audit public intern, Monitorul Oficial nr. 130 bis/2003.
Phil Griffiths - Risk-Based Auditing, Gower Publishing Limited, England, 1998, pp. 24-25, adaptare si prelucrare.
Politica de confidentialitate |
.com | Copyright ©
2024 - Toate drepturile rezervate. Toate documentele au caracter informativ cu scop educational. |
Personaje din literatura |
Baltagul – caracterizarea personajelor |
Caracterizare Alexandru Lapusneanul |
Caracterizarea lui Gavilescu |
Caracterizarea personajelor negative din basmul |
Tehnica si mecanica |
Cuplaje - definitii. notatii. exemple. repere istorice. |
Actionare macara |
Reprezentarea si cotarea filetelor |
Geografie |
Turismul pe terra |
Vulcanii Și mediul |
Padurile pe terra si industrializarea lemnului |
Termeni si conditii |
Contact |
Creeaza si tu |