2. Literatura de specialitate 6 2.1. Concepte privind riscul 6 2.2. Categorii de risc 7 2.3. Riscul inerent și riscul rezidual 7 2.4. Riscurile… [303520]
CUPRINS
1. Introducere 5
2. Literatura de specialitate 6
2.1. Concepte privind riscul 6
2.2. Categorii de risc 7
2.3. Riscul inerent și riscul rezidual 7
2.4. Riscurile tipice cu care se confruntă entitățile publice 8
2.5. Concepte și termeni utilizați în managementul riscurilor 9
2.6. [anonimizat] 13
2.7. Asigurarea unui cadru adecvat pentru implementarea managementului riscurilor în entitățile publice 13
2.8. Procesul de management al riscurilor 14
2.9. Factori de influență interni și externi cu privire la managementul riscurilor 15
2.10. Tehnici de identificare a riscurilor 16
2.11. Pașii esențiali ai procesului de management al riscurilor 16
2.12. Controlul și monitorizarea riscurilor 20
1. Introducere
2. Literatura de specialitate
2.1. [anonimizat], psihologic sau științific.
Cuvântul ”risc” derivă de la cuvântul italian,, ”risicare", care înseamnă, ”a îndrăzni", [anonimizat] o alegere, nu o soartă.
[anonimizat], [anonimizat], dacă avem timpul și înclinația necesară.
[anonimizat]. [anonimizat]. [anonimizat], iar altele ni le creăm singuri prin natura activităților desfășurate.
[anonimizat] o desfășurăm, în orice decizie pe care o luăm. [anonimizat], [anonimizat].
În prezent nu există o definiție unanim acceptată a conceptului de risc de către toți specialiștii în domeniu. Dintre definițiile cele mai des utilizate prezentăm următoarele:
"Riscul reprezintă posibilitatea de a obține rezultate favorabile sau nefavorabile într-o 'acțiune viitoare exprimată în termeni probabilistici"
"Riscul este posibilitatea ca un eveniment viitor să se concretizeze putând provoca anumite pierderi"
"Riscul este amenințarea ca un eveniment sau o acțiune să afecteze negativ capacitatea unei organizaii de a-și îndeplini obiectivele stabilite."
Din analiza acestor definiții cu privire la risc se desprind următoarele concluzii:
a. Probabilitate versus consecințe. în timp ce unele definiții date riscului se concentrează doar pe probabilitatea de apariție a [anonimizat], incluzând atât probabilitatea de manifestare a riscului, cât și consecințele evenimentului.
b. Risc și amenințare. În definirea conceptului unii specialiști au pus semnul de egalitate între risc și amenințare. Precizăm că, o amenințare reprezintă un eveniment cu o [anonimizat], având în vedere faptul că probabilitatea de manifestare este greu de evaluat în aceste cazuri. Un risc reprezintă un eveniment cu o [anonimizat] suficiente pentru a realiza o evaluare a probabilității și consecințelor,
c. Compararea doar a rezultatelor negative. Unele . concepte cu privire la risc sunt concentrate doar asupra evenimentelor negative, în timp ce altele iau în considerare toate variabilele, respectiv atât amenințările, cât și oportunitățile
d. Riscul este legat de rentabilitate și pierdere. Obținerea rezultatului așteptat al unei activități este sub influența unor factori aleatori, ce o însoțesc în toate etapele desfășurării acesteia, indiferent de domeniul de activitate.
Termenul de risc luat singular este lipsit de semnificație, atâta timp cât acesta nu este completat cu tipul de pierdere, pentru cine se calculează (entitatea supusă pierderii) și tipul de condiții sau circumstanțe pentru care se face evaluarea (expunerea la pericol).
Nu constituie riscuri probleme (situații, evenimente) care nu pot apare. În limbajul de specialitate al teoriei riscurilor, acestea se numesc ficțiuni.
Riscurile sunt probleme care pot apare și nu probleme (situații, evenimente) a cărei apariție este imposibilă.
Considerarea unor ficțiuni ca fiind riscuri generează risipa de resurse și disiparea eforturilor spre probleme ipotetice, știut fiind faptul că fiecare risc identificat necesită elaborarea unui plan de răspuns.
2.2. Categorii de risc
Cu titlu de exemplu, redăm mai jos categoriile de riscuri identificate de Ministerul Finanțelor din Anglia (Treasury) menit să sprijine organizațiile să verifice dacă au luat în considerare întreaga gamă de riscuri ce pot apare:
A. Riscuri externe, decurg din mediul extern și nu pot fi controlate în totalitate de organizație, dar pentru care pot fi luate măsuri de atenuare, respectiv:
– politice
– economice
– socio-culturale
– tehnologice
– juridice
– de mediu
B. Riscuri operaționale, sunt legate de activitățile curente, atât modul curent de desfășurare a activității, cât și construirea și menținerea capacității și capabilității, respectiv:
– legate de desfășurarea activității:
a) posibilitatea de a furniza un produs/serviciu
b) derularea activităților/proiectelor
– legate de capacitate și capabilitate;
a) resurse (active, umane, financiare, informaționale)
b) relații
c) operațiuni (obținerea rezultatelor)
c) reputație
– legate de modul și capacitatea de gestionare a riscurilor a) guvernanță (regularitate și corectitudine)
b) explorare (capacitatea de identificare riscuri și oportunități)
c) flexibilitate și adaptabilitate
d) securitate (active, socială, informațională)
C. Schimbarea, sunt riscurile ce țin de obiective, strategii și politici, respectiv:
– noi strategii
– noi politici
– noi programe
– noi proiecte
2.3. Riscul inerent și riscul rezidual
Riscul inerent este riscul apărut în cadrul unei entități în absența oricăror acțiuni ale managementului pentru schimbarea/transformarea probabilității sau impactului evenimentelor.
Riscul rezidual/rămas este riscul ce rămâne după ce s-a luat în considerare raspunsul existent al managementului.
Tehnologia de evaluare a celor două tipuri de riscuri este același motiv pentru care, anterior, s-a făcut referire la evaluarea riscului în general și nu despre evaluarea unui tip de risc.
Riscul inerent și riscul rezidual sunt două ipostaze ale aceluiași risc: înainte de introducerea unui instrument de control intern și, respectiv, după introducerea unui instrument de control intern. Prin urmare expunerea la riscul inerent este o măsură a "cantității" de risc la care se expune organizația dacă nu funcționează sistemul de control intern, iar expunerea la riscul rezidual este o măsură a cantității de risc rămase după ce au fost implementate instrumentele de control intern.
Riscul inerent, în sensul că nu există niciun instrument de control intern, nu este cazul cel mai des întâlnit în organizații. Acestea au sisteme de control intern pentru multe dintre riscuri, chiar dacă situațiile sau evenimentele ce sunt ținute sub control nu sunt percepute (conștientizate) ca nscun.
Despre sistemele de control intern se poate afirma că sunt adecvate sau nu, dar nu se poate susține că nu există.
Din această cauză, riscul inerent și rezidual au un caracter relativ și nu absolut. Atunci când controlul intern implementat la un moment dat în organizație în raport cu un anumit risc are drept consecință o expunere la risc ce depășește limitele de tolerabilitate, riscul rezidual anterior este considerat risc inerent în raport cu ajustările și dezvoltările sistemului de control intern existent. Sistemul de control intern ajustat și dezvoltat pentru a surprinde modificările de circumstanțe se finalizează printr-un nou risc rezidual.
Este important ca răspunsul adresat riscurilor relevante să fie proporțional cu impactul și probabilitatea de manifestare a acestora. Oferirea unui răspuns pentru un risc este deci o chestiune de optimizare a managementului riscurilor și nu o simplă încercare de a înlătura sau de a reduce
2.4. Riscurile tipice cu care se confruntă entitățile publice
Asigurarea rezonabilă reflectă concepția că nesiguranța și riscul legate de viitor, nu pot fi prevăzute cu siguranță de nimeni. În plus, factori din afara controlului sau influenței entității, cum ar fi cei politici, pot avea impact asupra abilității de a atinge propriile obiective.
În sectorul public, factori din afara controlului entității pot chiar să schimbe obiectivele majore într-un timp scurt. Limitările rezultă de asemenea, din următoarele realități: judecata omenească în luarea unor decizii poate fi imperfectă; eșuările pot interveni datorită erorilor umane cum ar fi simplele greșeli sau abateri; deciziile care trebuie să reacționeze la riscuri și stabilirea controalelor necesare pentru a lua în calcul costurile și beneficiile; controalele pot fi ocolite prin înțelegeri secrete între două sau mai multe persoane iar conducerea poate să nu țină cont de sistemul de control. Figura de mai jos stabilește câteva din riscurile tipice. Scopul lor este mai degrabă de a fi reprezentative decât exhaustive:
Figura nr… Riscurile tipice cu care se confruntă entitățile publice (adaptare după INTOSAI GOV 9130)
Sursa: Viorel Bulmez (2014) – Managementul riscurilor în instituțiile publice, Institutul de Control Intern, București
2.5. Concepte și termeni utilizați în managementul riscurilor
În conformitate cu precizările Unității Centrale pentru Armonizarea Sistemelor de Management Financiar și Control din cadrul Ministerului Finanțelor Publice elaborate în vederea implementării standardului de control intern "managementul riscurilor" (standardul nr. 11 din OMFP nr. 946/2005) conceptele fundamentale ale managementului riscurilor în instituțiile publice din România sunt următoarele:
a) organizația – persoanele care lucrează împreună pentru atingerea unor obiective prestabilite. O organizație poate fi o autoritate publică, un serviciu guvemamental (minister, instituție publică, agenție, oficiu etc), o întreprindere constituită sau nu în societate, o asociere de persoane fără scop lucrativ, o colectivitate locală, etc. De asemenea, tot organizații sunt considerate și componentele structurale (divizii, departamente, direcții, servicii, birouri, compartimente, etc).
b) obiectivele – scopurile pe care și le stabilește o organizație. Obiectivele generale se descompun, la nivel operațional, în obiective derivate și specifice. La nivel global obiectivele pot fi exprimat în termeni generali dar, la nivel operațional, obiectivele se definesc precis, prin indicatori de rezultate măsurabili. Din acest motiv, obiectivele reprezintă rezultatele care trebuie obținute la nivelul organizației și la nivelul fiecărei componente structurale din cadrul acesteia.
c) riscul – o problemă (situație, eveniment etc) care nu a apărut încă, dar care poate apare în viitor, caz în care obținerea rezultatelor fixate în prealabil este amenințată sau potențată. În prima situație riscul reprezintă o amenințare, iar în cea de-a doua riscul reprezintă o oportunitate. Riscul reprezintă incertitudinea în obținerea rezultatelor dorite și trebuie privit ca o combinație între probabilitate și impact.
d) probabilitatea de materializare a riscului – posibilitatea sau eventualitatea ca un risc să se materializeze. Reprezintă o măsură a posibilității de apariție a riscului, determinată apreciativ sau prin cuantificare, atunci când natura riscului și informațiile disponibile permit o astfel de evaluare.
e) impactul – reprezintă consecința asupra rezultatelor (obiectivelor) dacă riscul s-ar materializa. Dacă riscul este o amenințare, consecința asupra rezultatelor este negativă, iar dacă riscul este o oportunitate, consecința este pozitivă,
f) expunerea la risc – consecintele, ca o combinație de probabilitate și impact, pe care le poate resimți o organizație în raport cu obiectivele prestabilite, în cazul în care riscul se materializează,
g) materializarea riscului – translatarea riscului din domeniul incertitudinii (posibilului) în cel al certitudinii (al faptului împlinit). Riscul materializat se transformă dintr-o problemă posibilă într-o problemă dificilă, dacă riscul reprezintă o amenințare, sau într-o situație favorabilă, dacă riscul reprezintă o oportunitate.
h) atenuarea riscului – măsurile întreprinse pentru diminuarea probabilității (posibilității) de apariție a riscului sau/și de diminuare a consecințelor (impactului) asupra rezultatelor (obiectivelor) dacă riscul s-ar materializa. Mai concis, atenuarea riscului reprezintă diminuarea expunerii la risc, dacă acesta este o amenințare.
i) evaluarea riscului – evaluarea consecințelor materializării riscului, în combinație cu evaluarea probabilității de materializare a riscului. Mai concis, evaluarea riscului reprezintă evaluarea expunerii la risc.
j) profilul de risc – un tablou cuprinzând evaluarea generală documentată și prioritizată a gamei de riscuri specifice cu care se confruntă organizația,
k) strategia de risc – abordarea generală pe care o are organizația în privința riscurilor. Ea trebuie să fie documentată și ușor accesibilă în organizație. În cadrul strategiei de risc se definește toleranța la risc;
1) toleranța la risc – ,,cantitatea" de risc pe care o organizație este pregătită să o tolereze sau la care este dispusă să se expună la un moment dat.
m) riscul inerent – expunerea la un anumit risc, înainte să fie luată vreo măsură de atenuare a riscului.
n) riscul rezidual – expunerea cauzată de un anumit risc, după ce au fost luate măsuri de atenuare a riscului. Măsurile de atenuare a riscurilor aparțin controlului intern. Din această cauză riscul rezidual este o măsură a eficacității controlului intern, fapt pentru care unele µri au înlocuit termenul de risc rezidual cu cel de risc de control.
o) gestionarea riscurilor sau managementul riscurilor – totalitatea proceselor privind identificarea, evaluarea și aprecierea riscurilor, stabilirea responsabilităților, luarea de măsuri de atenuare sau anticipare a acestora, revizuirea periodică și monitorizarea progresului.
p) tratarea riscurilor – orice acțiune/măsura provenită din organizație, luată în scopul gestionării riscurilor. Aceste acțiuni/măsuri pot fi luate fie pentru a diminua impactul în cazul materializării riscurilor, fie pentru a reduce probabilitatea de materializare a riscurilor. Cu alte cuvinte, tratarea riscurilor reprezinta .însăși esența managementul riscurilor, deoarece, pnn măsurile adoptate, se obține o asigurare rezonabilă ca obiectivele 'organizației vor fi atinse.
Din practica internațională și literatura de specialitate se impune și menționarea unor alsi termeni utiliuui în mod frecvent în managementul riscurilor:
a) risk framework (cadrul de gestionare a riscurilor) – setul de componente care furnizează bazele și normele de organizare pentru proiectarea, implementarea, monitorizarea, revizuirea și îmbunătățirea continuă a gestionării riscurilor în întreaga organizație. Acestea include politica, obiectivele, mandatul și angajamentul de a gestiona riscul. Modalitățile de organizare/gestionare includ planurile, relațiile, răspunderile, resursele, procesele și activitățile. Cadrul de gestionare a riscurilor este încorporat în strategiile globale ale organizației și în politicile și practicile operaționale ale acesteia.
b) risk management policy (politica de gestionare a riscurilor) – declararea intențiilor și direcțiilor generale ale unei organizații referitoare la gestionarea riscurilor.
c) risk attitude (poziția față de risc) – abordarea organizației privind evaluarea și eventual, urmărirea, menținerea, înlăturarea sau neglijarea riscului.
d) risk management plan (planul de gestionare a riscului) – un sistem/schema specifice în cadrul de gestionare a riscurilor privind abordarea, componentele managementului și resursele care urmează să fie aplicate pentru gestionarea riscului. Componentele de management includ de obicei procedurile, practicile, atribuirea responsabilităților, activitățile secvențiale și calendarul acestora. Planul de gestionare a riscurilor poate fi aplicat la un anumit produs, proces sau proiect/program, parțial sau pentru întreaga organizație.
e) risk owner (deținătorul riscului) – persoana/entitate cu responsabilitatea și autoritatea de a gestiona un risc.
f) risk management process (procesul de gestionare a riscurilor) – aplicarea sistematica a politicilor de management, a procedurilor și practicilor pentru activitățile de comunicare, consultare, stabilire a contextului și identificarea, analiza, evaluarea, tratarea, monitorizarea și revizuirea riscului.
g) establishing the context (stabilirea contextului) – definirea parametrilor interni și externi care urmează a fi luați în considerare atunci când se gestionează riscuri, precum și stabilirea domeniului de aplicare și a criteriilor de risc pentru politica de gestionare a riscurilor.
h) external context (contextul extern) – mediul extern în care organizația urmărește să atingă obiectivele sale. Contextul extern poate include: aspecte culturale, sociale, politice, juridice, de reglementare, financiare, tehnologice, economice, naturale și de mediu, atât pe plan internațional, cât și național, regional sau local; factori cheie și tendințele care au impact asupra obiectivelor organizației; relațiile, percepțiile și valorile părților externe interesate.
i) internal context (contextul intern) – mediul intern în care organizația urmărește să îți atingă obiectivele stabilite. Contextul intern poate include: guvernarea, structura organizațională, roluri și responsabilități; politicile, obiectivele și strategiile care sunt în vigoare pentru a le atinge; capacitățile, înțelese în termeni specifici de resurse și cunoștințe (de exemplu: timpul, capitalul, oamenii, procesele, sistemele și tehnologiile); sistemele de informare, fluxurile de informații și procesele decizionale (formale și informale); relațiile, percepțiile și valorile părților interne interesate; cultura organizației; standardele, liniile directoare și modelele adoptate de organizație; forma și amploarea relațiilor contractuale.
j) communication and consultation (comunicare și consultare) – procesele continue și iterative pe care o organizație le utilizează/desfășoară pentru a oferi, distribui sau a obține informații și pentru a angaja un dialog cu părțile interesate în ceea ce privește gestionarea riscului.
Informațiile se pot referi la existența, natura, forma, probabilitatea, semnificația, evaluarea, acceptabilitatea și tratamentul gestionării riscului.
Consultarea este un proces bidirecțional/în ambele sensuri de comunicare, în cunoștința de cauză, între o organizație și părțile interesate privind o problemă, înainte de a lua o decizie în vederea stabilirii unei direcții de acțiune cu privire la un anumit aspect.
k) stakeholder (parte interesată/factor de interes – persoană/organizație care poate afecta, poate fi afectată de, sau poate fi percepută ca fiind afectată de o decizie sau activitate; un factor de decizie poate fi un factor de interes.
1) risk assessment (evaluarea și analiza riscurilor) – procesul global de identificare a riscurilor, analiza a riscurilor și de evaluare a acestora.
m) risk identification (identificarea riscului) – procesul de identificare, recunoaștere și descriere a riscurilor. Identificarea riscurilor presupune identificarea de surse de risc, evenimente, cauzelele lor și consecințele potențiale ale acestora. Identificarea riscurilor poate implica date istorice, analize teoretice, opinii în cunoștință de cauză și de specialitate, precum și nevoile partier interesate.
n) risk source (sursa de risc) – elementul care, singur sau în combinație are potențialul intrinsecă de a da naștere la risc. 0 sursă de risc poate fi tangibilă sau intangibilă.
o) event (eveniment) apariția sau schirnbarea unui anurnit set de circumstanțe, astfel: un evenirnent poate avea una sau mai multe apariții, și poate avea rnai multe cauze; un eveniment poate consta din ceva ce nu se întâmpla; un evenirnent poate fi uneori menționat ca și un "incident" sau "accident".
p) consequence (consecință) – rezultatul unui eveniment care afectează obiectivele, astfel: un evenirnent poate duce la o serie de consecințe; o consecință poate fi certă/incertă și poate avea efecte pozitive/negative asupra obiectivelor; consecințele pot fi exprirnate calitativ sau cantitativ; consecințele inițiale se pot amplifica prin efecte neașteptate.
r) likelihood (probabilitate) – șansa ca ceva să se întâmple,
s) risk profile (profilul de risc) – descrierea oricărui set de riscuri.
s) risk analysis (analiza riscurilor) – procesul care ajută la înțelegerea naturii riscului precum și la determinarea nivelului de risc. Analiza riscurilor reprezintă baza pentru evaluarea riscurilor și deciziile cu privire la tratamentul riscului. Analiza de risc include estimarea riscului.
t) risk criteria (criterii de risc) – termenii de referință față de care semnificația unui risc este evaluată. Criteriile de risc se bazează pe obiectivele organizaționale, pe contextul extern și contextul intern și pot fi derivate din norme/standarde, legi, politici și alte cerințe,
t) leve lof risk (nivelul de risc) – magnitudinea și/sau amploarea riscului sau o combinație de riscuri, exprimată în termeni ce exprimă combinații de consecințe și probabilitatea lor de a se produce.
u) risk evaluation (evaluarea riscului) – procesul de comparare a rezultatelor analizei de risc, cu criteriile de risc pentru a stabili dacă riscul și I sau amploarea sa sunt acceptabile sau tolerabile. Evaluarea riscului ajută în decizia cu privire la tratamentul riscului.
v) risk treatment (tratamentul riscului) – procesul de modificare a riscului. Tratamentele de risc care se ocupă cu consecințele negative sunt uneori menționate ca: "diminuări ale riscului", "eliminări ale riscului", "prevenire a riscurilor" și "reducerea riscurilor".
w) risk control (controlul riscului) – măsura de modificare a riscului. Controalele includ orice tip de proces, politică, dispozitiv, practice, sau alte acțiuni care modifică riscul. Controalele nu pot avea întotdeauna efectul scontat sau nu își pot asuma modificarea efectelor.
q) residual risk (riscul rezidual) – riscul rămas după tratamentul riscului. Riscul rezidual poate să conțină un risc neidentificat. Riscul rezidual poate fi, de asemenea, cunoscut sub numele de "risc reținut''.
y) monitoring (monitorizarea) – verificarea continuă, supravegherea, observarea critică sau determinarea stării, în scopul de a identifica schimbările nivelului de performanță necesar sau așteptat,
x) review (revizuirea) – activitatea desfășurată pentru a determina adecvarea și eficacitatea subiectului care contează în realizarea obiectivelor stabilite. Revizia I opinia poate fi aplicată unui cadru de gestionare a riscurilor, proceselor de gestionare a riscului, riscului sau controlului.
2.6. Beneficiile implementării unui sistem funcțional, eficient și performant de management al riscurilor în entitățile publice
Un răspuns general la întrebarea ,,de ce este necesar un management al riscurilor?" este indus de observația conform căreia în orice organizație, cât și în mediul în care aceasta acționează, există incertitudini de natura amenințărilor în realizarea obiectivelor sau de natura oportunităților.
Orice manager trebuie acorde o atenție sporită gestionării amenințărilor deoarece, în caz contrar îți periclitează concretizarea obiectivelor. De asemenea, un manager competent fructifică oportunitățile în beneficiul organizației, dovedindu-și eficiența. Dacă incertitudinea este o realitate cotidiană, atunci și reacția la incertitudine trebuie să devină o preocupare permanentă.
Prin implementarea unui sistem de management al riscurilor organizațiile pot să atingă următoarelor obiective:
a) adoptarea deciziilor în cunoștință de cauză;
b) planificarea sistemului de management în baza ierarhizării riscurilor specifice;
c) alocarea și utilizarea mai eficientă a resurselor disponibile;
d) obținerea unui nivel ridicat de transparență a procesului de management și de adoptare a deciziilor;
e) asigurarea unui grad de flexibilitate mai mare pentru acțiunile alternative, ca urmare a unei mai bune înțelegeri a surselor de risc;
j) conformarea cu cerințele legislației relevante;
g) fundamentarea unei abordări privind modul de management al incertitudinii;
h) asigurarea unei mai bune identificări și puneri în valoare a oportunităților.
Beneficiile pe termen lung ale organizației includ:
a) asigurarea unui grad sporit de pregătire pentru punerea în valoare a consecințelor pozitive;
b) planificarea strategică eficientă, ca rezultat al nivelului ridicat de cunoaștere și înțelegere a factorilor cheie de expunere la risc;
c) diminuarea costurilor, ca rmare a prognozării efectelor nedorite și adoptării măsurilor adecvate de prevenire a acestora;
d) îmbunătățirea proceselor de auditare și creșterea gradului de valorificare a rezultatelor evaluărilor inteme și externe;
e) rezultate mai bune în termeni de eficiență, e.ficacitate și adecvare a programelor; de exemplu, un management îmbunătățit și o mai bună alocare a resurselor disponibile (umane, financiare și materiale);
j) asigurarea unei baze e.ficiente de comunicare între organizații și părțile afectate/interesate, în vederea formulării direcțiilor și conceperii programelor prioritare de acțiune.
2.7. Asigurarea unui cadru adecvat pentru implementarea managementului riscurilor în entitățile publice
Pentru implementarea unui sistem de management al riscurilor în instituția publică, trebuie să existe un cadru favorabil compus din:
personal cu experiență;
organigrama echilibrată
documente suport cu privire la atribuțiuni și responsabilități;
infrastructura tehnică și echipamente
Acest cadru poate fi reprezentat astfel:
Structura organizațională a unei entități furnizează documentul cadru pentru planificare, execuție, control și monitorizarea activităților. Structura organizațională adoptată va fi adecvată necesităților entității. Unele sunt centralizate, altele descentralizate, unele organizate după locația geografică, altele prin funcții pe care le îndeplinesc. Oricare ar fi structura, o entitate trebuie organizată astfel încât să permită gestionarea eficientă a riscului și să desfășoare activitățile astfel încât să atingă obiectivele.
2.8. Procesul de management al riscurilor
Unul dintre cele mai importante standarde ce compun Codul controlului intern, aprobat prin OSGG nr. 600/2018, este standardul referitor la managementul riscurilor.
Conform standardului menționat mai sus, fiecare entitate publică are obligația de a analiza sistematic, cel puțin o dată pe an, riscurile legate de desfășurarea activităților sale, să elaboreze planuri corespunzătoare în direcția limitării posibilelor consecințe ale acestor riscuri și să numească responsabili pentru aplicarea planurilor respective.
Această practică a migrat din sectorul privat în cel public, astfel încât din ce în ce mai multe guverne din țările membre ale Uniunii Europene au integrat managementul riscurilor în reformele gestiunii publice, intreprinse în ultimii ani.
Managementul riscului reprezintă o atitudine preventivă cu privire la eliminarea sau limitarea pagubelor, atunci când există posibilitatea de materializare a unui risc, respectiv un proces de identificare, analiză și răspuns la riscurile potențiale ale unei organizații.
În aceste condiții, rolul managementului riscului este de a ajuta la înțelegerea riscurilor la care organizația este expusă, astfel încât acestea să poată fi gestionate. Acest rol diferă în funcție de momentul în care se realizează analiza, astfel:
– dacă evaluarea riscurilor este realizată înainte ca riscul să se materializeze scopul este de a se evita producerea evenimentului;
– dacă evaluarea riscurilor este realizată după ce riscul s-a materializat scopul este de a se asigura realizarea activităților și continuitatea activităților organizației.
Avantajul implementării sistemului de management al riscului în cadrul organizației este de a asigura eficiența și eficacitatea operațiunilor.
Pentru realizarea acestei cerințe, conducerea organizației are responsabilitatea de a face cunoscute riscurile cu care se confruntă și de a le gestiona în mod corespunzător, pentru a evita consecințele, în cazul materializării acestora.
Managementul riscurilor este în responsabilitatea conducerii organizației, iar obiectivul central al acestui proces urmărește gestionarea riscurilor, astfel încât, resursele să fie utilizate cu eficiență și eficacitate, în vederea maximizării rezultatelor și minimizării potențialelor amenințări, cu condiția protejării intereselor salariaților și ale beneficiarilor.
Pentru asigurarea unui management eficient al riscurilor este necesară crearea unor structuri organizaționale adecvate strategiilor și politicilor organizației.
În acest sens, organizația trebuie să adopte politici adecvate în planul organizării, astfel încât să monitorizeze în mod eficient fiecare risc sau categorie de risc și în mod integrat, întregul sistemul de riscuri care însoțește activitățile organizației.
Politicile și strategiile ce se pot adopta în planul organizării sunt în legatură cu:
– stabilirea și elaborarea propriului sistem de norme și proceduri, care pus în practică să asigure evitarea sau minimizarea riscurilor;
– stabilirea structurii funcționale adecvate bazată pe o concepție clară, care trebuie să asigure compartimente adecvate care să contribuie la identificarea și monitorizarea riscurilor. Gestionarea riscurilor se impune deoarece organizațiile se confruntă cu o multitudine de factori interni și extemi de influență, iar provocarea cea mai mare a conducerii este aceea de a stabili ce nivel de riscuri este pregatită să accepte în realizarea misiunii sale, astfel încât să adauge valoare activităților și să-și atingă scopurile propuse.
Relatia dintre principiile, sistemul si procesul de management al riscului
2.9. Factori de influență interni și externi cu privire la managementul riscurilor
O componentă importantă a mediului de control intern o reprezintă conducerea superioară a instituției, influențând semnificativ climatul organizațional. "Tonul dat de la vârf" poate stabili sau poate submina în mod fatal cultura organizațională. Independența conducerii superioare față de conducerea executivă, experiența și calitatea membrilor, gradul de implicare și de cercetare și caracterul oportun al activităților joacă un rol foarte important. Membrii conducerii executive pot fi parte a managementului superior, dar pentru eficiența mediului intern, echipa managementului superior trebuie să cuprindă membri independenți, non-executivi.
Atribuirea autorității și responsabilității implică nivelul până la care indivizii și echipele sunt autorizate și încurajate să ia initiațiva pentru a rezolva problemele, fiind stabilite totodată și limitele autorizării lor. Este necesar sprijinul departamentului de resurse umane privind practicile care au legătură cu angajarea și promovarea persoanelor corespunzătoare, pregătirea profesională și preocuparea privind performanțele nesatisfăcătoare. Managementul trebuie să precizeze nivelul de competență pentru sarcini particulare și să le transpună în fișa postului pentru acele posturi deosebite.
Este necesar a se asigura faptul că personalul înțelege obiectivele entității și modul în care acțiunile lor contribuie la îndeplinirea acestor obiective. Responsabilitatea este la fel de importantă ca și autoritatea.
Mediul intern este în mod major influențat de limita/întinderea până la care indivizii recunosc că vor fi făcuți responsabili.
2.10. Tehnici de identificare a riscurilor
Procesul de identificare a riscurilor propune să descopere toate sursele posibile generatoare de risc cu scopul eliminării sau diminuării efectelor pe care acestea le pot produce.
În urma procesului de identificare a riscului, analiștii pot cuantifica aceste riscuri și pot stabili moduri de abordare a lor cu scopul de evita situațiile în care managerul sau organizația este surprinsă de evenimente necunoscute.
Identificarea riscurilor se poate realiza prin mai multe metode cum ar fi:
Chestionare interne;
Brainstorming;
Jurnale de activități;
Diagrame de process și de flux;
Ședințe periodice cu personalul implicat.
2.11. Pașii esențiali ai procesului de management al riscurilor
Realizarea obiectivelor managementului integrat al riscului în cadrul unei organizații presupune îndeplinirea, într-o succesiune logică, a unor activități specifice și necesare, după cum urmează: stabilirea obiectivelor; identificarea riscurilor; evaluarea riscurilor, stabilirea răspunsului la risc; implementarea măsurilor de control, informarea și comunicarea și monitorizarea.
După ce riscurile au fost identificate și evaluate și după ce s-au definit limitele de toleranță în cadrul cărora organizația este dispusă, la un moment dat, să-și asume riscuri este necesară stabilirea tipului de răspuns la risc pentru fiecare risc în parte. Răspunsul la risc depinde de natura riscurilor privite din perspectiva posibilităților de control (de stăpânire).
De fapt, este vorba de răspunsul la următoarele întrebări: riscurile pot fi sau nu controlate de organizație; dacă da, organizația poate controla riscurile până la un nivel satisfăcător"; dacă nu, organizația poate externaliza riscurile sau activitățile generatoare de riscuri?
Gestionarea riscurilor reprezintă un proces conceput și stabilit de conducere și implementat de întregul personal din cadrul entității. Acest proces constă în:
Etapele procesului managementului riscului (conform metodologiei UCASMFC)
Implementarea unui sistem de management integrat al riscurilor presupune identificarea și evaluarea riscurilor care amenință realizarea obiectivelor. În această categorie intră riscurile legate de activitățile și acțiunile aferente intrărilor, riscurile legate de procesele propriu-zise derulate în cadrul organizației, riscurile care impiedică obținerea rezultatelor planificate, precum și riscurile legate de impactul activităților realizate asupra dezvoltării organizației.
PASUL 1. Stabilirea obiectivelor și a activităților necesare pentru realizarea acestora
Stabilirea obiectivelor este o sarcină exclusivă a managementului superior al instituției, Izvorul lor se regăsește în planurile actuale de activitate, planificările multianuale, atribuțiile și funcțiile esențiale ale instituției respective, legislația care reglementează funcționarea acesteia, ordine, metodologii, planuri de producție, programe de achiziții, etc.
Odată stabilite obiectivele, acestea sunt transmise managementului de linie (șefii de servicii, birouri, compartimente, similari), sarcina acestora fiind aceea de a stabili activitățile subsecvente necesare atingerii acestora, sarcinile și responsabilitățile subordonaților, termenele de realizare.
Personalul de execuție trebuie să înțeleagă în detaliu activitățile pe care urmează să le efectueze, să își asume responsabilitățile și termenele de execuție.
Totodată este foarte util ca aceștia să semnaleze ierarhic limitările și obstacolele întâlnite în efectuarea activităților stabilite, să sensibilizeze managementul asupra deficiențelor și neconformităților identificate.
PASUL 2. ldentificarea factorilor de influență interni și externi pe fiecare flux de activități
Dintre factorii care constituie mediul de risc și pe care instituțiile publice trebuie să-i ia în considerare pot fi enumerați următorii:
a) cadrul legislativ: organizația trebuie să identifice acele norme sub a cărei incidență intră; normele nu sunt altceva decât constrângeri care limitează modul de actțiune al organizațiilor (de exemplu, riscul ca personalul să nu-și îndeplinească satisfăcător sarcinile nu poate fi controlat în totalitate prin instrumente de control intern; organizația trebuie să țină cont de legislația muncii pentru a nu se expune riscului de a suporta sancțiunile legale);
b) condițiile politice: un factor al mediului de risc, în special pentru organizațiile publice, este chiar Guvernul; organizațiile publice există pentru a pune în aplicare politicile Guvernului și ale ministerelor sale; din acest motiv, de multe ori, abordarea unor riscuri de către conducătorii acestor organizații este condiționată de decizii politice;
c) resursele materiale și financiare: în cazul instituțiilor publice resursele materiale și financiare sunt în general limitate, astfel că activități ca modernizarea infrastructurii, echipamentele, tehnica, sistemele informatice, sunt de regulă întârziate sau anulate, procesul decizional este complicat și de durată;
d) resursele umane: în condițiile unei economii mai puțin dezvoltate constrângerile bugetare afectează posibilitatea organismelor publice de a atrage forța de muncă calificată, instrument de control intern care ar permite să gestioneze mult mai bine riscul neîndeplinirii corespunzătoare a sarcinilor de către angajați.
PASUL 3. ldentificarea riscurilor în urma analizării factorilor ce influențează derularea activităților necesare pentru realizarea obiectivelor
Activitatea de management al riscului nu poate fi demarată fără identificarea surselor de
Procesul de identificare constă în căutarea tuturor surselor generatoare de evenimente care pot afecta negativ activitatea organizației având la dispoziție o serie de instrumente.
În practică aceste instrumente sunt utilizate fie în combinație, fie succesiv, scopul principal fiind acela de a nu scăpa din vedere nici un risc care poate afecta buna desfășurare a activităților organizației.
Odată identificată o sursă de risc, aceasta trebuie analizată, respectiv trebuie să i se stabilească probabilitatea generării unui eveniment de risc și impactul pe care îl poate avea acest eveniment.
În funcție de valorile astfel determinate, se va efectua o ierarhizare a riscurilor, urmând ca celor din partea superioară a clasamentului să le acordăm o atenție imediată pentru gestionarea corespunzătoare astfel încât consecințele manifestării lor să fie diminuate și pe cât posibil eliminate.
PASUL 4. Stabilirea impactului riscurilor și a probabitității de manifestare a acestora
EVALUAREA IMPACTULUI
Evaluarea probabilității – Tabel
Procesul de evaluare a riscurilor, presupune luarea în considerare a următoarelor. caracteristici:
– probabilitatea de materializare a riscului, este determinată de faptul că, la un moment dat, în derularea activităților, pot exista condiții care să favorizeze apariția riscului. În aceste condiții, analiza cauzelor care au favorizat apariția riscului poate conduce și la o apreciere a șanselor de materializare a acestuia;
– impactul riscului asupra obiectivelor, reprezintă consecința materializării riscului, respectiv cum este afectată realizarea obiectivului de riscul care s-a manifestat.
PASUL 5. Realizarea matricii riscurilor.
– expunerea la risc, reprezintă nivelul până la care riscul poate fi acceptat de organizație, în cazul în care acesta s-ar materializa (Rl, R3);
– determinarea rezultatului specific, presupune evaluarea riscului după implementarea instrumentelor de control. Rezultatul poate fi o expunere la risc sub limitele de acceptare, ceea ce presupune că riscul este rezidual (R2), sau o expunere la risc ce depășește limitele de acceptare, ceea ce presupune că riscul este unul inerent (R4, R6, R7, R8), fapt care implică reexaminarea instrumentelor de control intern existente, proiectarea și implementarea altora noi, astfel încât gestionarea acestor riscuri să fie eficace și funcțională, în practică se pot utiliza grile de evaluare cu 3 la 9 niveluri de analiză a impactului și probabilității de apariție a riscului. Recomandăm utilizarea unei grile cu 5 niveluri având în vedere că în sistemul public din România managementul riscurilor este încă în faza de început. De asemenea este recomandabil ca la evaluarea riscurilor să fie luate în considerare și controalele interne deja existente în instituție (vezi exemplul practic din anexele 1-4).
2.12. Controlul și monitorizarea riscurilor
Controlul riscurilor reprezintă politicile, procedurile, controalele și alte practici stabilite de conducerea organizației pentru realizarea unei administrări prudente a riscurilor, precum și pentru asigurarea realizării activităților așa cum s-a prevăzut.
De asemenea, scopul controlului riscurilor este de a asigura managementul instituției ca obiectivele stabilite sunt îndeplinite și riscurile semnificative sunt gestionate în mod corespunzător.
Conducerea instituției, în functție de evaluarea riscurilor va stabili răspunsul la risc, astfel:
APROBAT,
Director General
Petrică Pampu
managementul riscurilor
Cod: PO-CLT-54
Ediția: 1 I Revizia: 0
Copie controlata Copie necontrolata
Exemplar nr.:
Data intrării in vigoare : ___________________
©COLTERM SA ~ Toate drepturile rezervate –
Orice utilizare sau multiplicare, partiala sau totala, fara acordul scris al proprietarului este interzisa.
SCOP
Procedura descrie responsabilitatile si modalitatile de actiune pentru evaluarea si tratarea riscului, stabileste un cadru general unitar de identificare, analiza si gestionare a riscurilor la nivelul compartimentelor din cadrul SC Colterm SA.
Este un instrument care faciliteaza gestionarea riscurilor intr-un mod controlat si eficient, pentru atingerea obiectivelor specifice compartimentelor.
DOMENIU
Procedura se aplica la toate compartimentele din cadrul SC Colterm SA, de catre toate persoanele implicate in activitatile de identificare, analiza, estimare si tratare a riscurilor care pot afecta atingerea obiectivelor specifice.
Procedura se poate aplica oricarui tip de risc, indiferent de natura sa, cu consecinte negative sau pozitive.
DOCUMENTE DE REFERINTA
Manualul sistemului integrat de management calitate-mediu-SSM al SC COLTERM SA, cod MSIM-CLT, editia/revizia in vigoare.
Standardul SR EN ISO 9001:2008 – Sisteme de management al calitatii – Cerinte.
Standardul SR EN ISO 14001:2005 – Sisteme de management de mediu. Cerinte cu ghid de utilizare.
Standardul SR OHSAS 18001:2008 – Sisteme de management al sanatatii si securitatii ocupationale – Cerinte.
Standardul SR ISO 31000:2010 – Managementul riscului. Principii si linii directoare.
Standardul SR Ghid ISO 73:2010 – Managementul riscului. Vocabular.
Standardul SR EN 31010:2011 – Managementul riscului. Tehnici de evaluare a riscurilor.
Ordonanța Guvernului nr.119/1999 privind controlul intern/managerial și controlul financiar preventiv, republicată, cu modificările și completările ulterioare.
Ordinul ministrului finanțelor publice nr.946/2005 pentru aprobarea Codului controlului intern/managerial, cuprinzând standardele de control intern/managerial la entitățile publice și pentru dezvoltarea sistemelor de control intern/managerial, republicat.
Metodologie de implementare a standardului 11 “Managementul riscurilor”, elaborată de Unitatea centrală de armonizare a sistemelor de management financiar și control.
DEFINITII SI PRESCURTARI
Conform Manualului sistemului integrat de management calitate-mediu-SSM al SC COLTERM SA, cod MSIM-CLT, editia/revizia in vigoare.
Conform Standardului SR EN ISO 9000:2006 – Sisteme de management al calitatii. Principii fundamentale si vocabular.
Conform Standardului SR EN ISO 14001:2005 – Sisteme de management de mediu – Cerinte cu ghid de utilizare.
Conform Standardului SR OHSAS 18001:2008 – Sisteme de management al sanatatii si securitatii ocupationale – Cerinte.
Conform Standardului SR ISO 31000:2010 – Managementul riscului. Principii si linii directoare.
Conform Standardului SR Ghid ISO 73:2010 – Managementul riscului. Vocabular.
Conform Standardului SR EN 31010:2011 – Managementul riscului. Tehnici de evaluare a riscurilor.
Ordinul ministrului finanțelor publice nr.946/2005 pentru aprobarea Codului controlului intern/managerial, cuprinzând standardele de control intern/managerial la entitățile publice și pentru dezvoltarea sistemelor de control intern/managerial, republicat.
Metodologie de implementare a standardului 11 “Managementul riscurilor”, elaborată de Unitatea centrală de armonizare a sistemelor de management financiar și control.
Risc: efectul incertitudinii asupra realizarii obiectivelor; posibilitatea de a se produce un eveniment care ar putea avea impact asupra indeplinirii obiectivelor;
Managementul riscului: activitati coordonate pentru a directiona si controla o organizatie in ceea ce priveste riscul;
Atitudine fata de risc: abordarea unei organizatii referitoare la aprecierea si, eventual, supravegherea, retinerea, asumarea sau indepartarea unui risc;
Plan de management al riscului: program inclus in cadrul organizational al MR care specifica abordarea, componentele de management si resursele care se utilizeaza in MR;
Proprietarul riscului: persoana sau entitate cu responsabilitatea si autoritatea de a gestiona un risc;
Proces de management al riscului: aplicare sistematica a politicilor, procedurilor si practicilor de management la activitatile de comunicare, de consultare, de stabilire a contextului, precum si la identificarea, analiza, evaluarea, tratarea, monitorizarea si revizuirea riscului;
Stabilirea contextului: definirea parametrilor interni si externi care urmeaza sa fie luati in considerare in MR, precum si determinarea domeniului de aplicare si a criteriilor de aplicare si a criteriilor de risc pentru politica referitoare la MR;
Evaluarea riscului: proces global care cuprinde identificarea riscului, analiza riscului si estimarea riscului;
Identificarea riscului: proces de descoperire, recunoastere si descriere a riscurilor;
Sursa riscului: element care, singur in combinatie cu altele, are potential intrinsec de a produce un risc;
Eveniment: aparitie sau modificare a unui anumit set de imprejurari;
Consecinta (Impactul): efectul unui eveniment care afecteaza obiectivele;
Plauzabilitate (Probabilitate): posibilitatea ca ceva sa se intample;
Profil de risc: descrierea unui ansamblu de riscuri;
Analiza riscului: procesul de intelegere a naturii riscului si de determinare a nivelului de risc;
Estimarea riscului: procesul de comparare a rezultatelor analizei riscului cu criteriile de risc pentru a determina daca riscul si/sau marimea acestuia sunt acceptabile sau tolerabile;
Tratarea riscului: proces de modificare a riscului;
Risc rezidual: riscul ramas dupa tratarea riscului;
Revizuire: activitate desfasurata pentru a determina oportunitatea, adecvarea si eficienta subiectului legat de atingerea obiectivelor stabilite;
Subiect: strategii, decizii, amplasamente, operatiuni, procese, activitati, functii, proiecte, produse, lucrari, servicii si active;
Registrul riscurilor: document integrator al gestiunii riscurilor, cuprinzand o sinteza a informatiilor si deciziilor luate in urma analizei riscurilor;
DG – Director General
DP – Director Productie
DE – Director Economic
DC – Director Comercial
CT/PT – Centrala Termica/Punct Termic
EO – Entitate organizatorica relevanta asa cum este specificat in PP-CLT-01
CSIM – Coordonatorul SIM
RMI – Reprezentantul managementului integrat
SIM – Sistemul integrat de management calitate-mediu-SSM
SCIM – Sistem de control intern/managerial
EGR – Echipa de gestionare a riscurilor
CM – Comisia de Monitorizare, Coordonare si Indrumare Metodologica a Implementarii Sistemului de Control Intern Managerial
MR – Managementul riscului
PRINCIPALELE RESPONSABILITATI
Director General
Numeste prin decizie Proprietarii de risc, si respectiv un inlocuitor pentru fiecare dintre acestia.
Numeste prin decizie membrii echipelor de gestionare a riscurilor.
Aloca resurse pentru evaluarea de risc si implementarea actiunilor stabilite.
Aprobă:
– Planul de evaluare de risc anual si modificarile la acesta;
– Scala de cotare a gravitatii consecintelor si plauzabilitatii consecintelor;
– Rapoartele de evaluare a riscurilor;
– Planul de tratare a riscului pentru eliminarea/reducerea riscurilor și alocă resursele necesare;
– Echipa de evaluare a riscului, propusa de catre proprietarul de risc.
Analizeaza cu ocazia analizelor managementului nivelurile de risc efective / reziduale si stadiul indeplinirii actiunilor preventive propuse de eliminare/reducere a riscurilor.
Presedintele CM / Vicepresedintele CM
Verifică, cu ocazia auditurilor interne, implementarea si eficacitatea actiunilor stabilite cu ocazia evaluarilor de risc si a planurilor de tratare a riscurilor.
Proprietarul de risc
Este numit prin decizie, pentru fiecare Directie, de catre Directorul General.
Întocmește planul de evaluare de risc inițial și il actualizează pentru Subiectul la care s-au făcut modificări ale condițiilor inițiale.
Intocmeste planul de tratare a riscului pentru eliminare/reducere a riscurilor pentru procesele/ activitatile în care se depășește limita admisă pentru nivelul de risc al Subiectului; il monitorizeaza si il duce la indeplinire – in mod eficace si eficient.
Comunică planul de evaluare de risc si planul de tratare a riscului – aprobat tuturor părtilor implicate.
Propune componenta echipelor de gestionare a riscurilor (EGR) si o transmite spre aprobare, Directorului General.
Pregătește aplicarea metodei, instruiește echipa de evaluatori și o conduce în procesul de evaluare.
Întocmeste si difuzeaza raportul de evaluare risc, dupa aprobarea Raportului de catre Directorul General;
Verifică prin monitorizari operaționale si cu ocazia auditurilor, dacă actiunile stabilite au fost implementate si eficace.
Este interfata cu partenerii contractuali in privinta managementului riscului.
Avizează evaluarea riscurilor realizată de partenerii contractuali pentru activitățile contractate de organizație prin care angajații proprii își desfășoară activitatea în locuri de muncă gestionate și organizate de partenerii contractuali.
Echipele de gestionare a riscurilor (EGR)
Membrii echipelor de gestionare a riscurilor pot face parte din Comisia de Monitorizare, Coordonare si Indrumare Metodologica a Implementarii Sistemului de Control Intern Managerial.
Membrii EGR sunt instruiti si se autoinstruiesc pentru cunoasterea si aplicarea:
– Metodelor si instrumentelor de evaluare a riscurilor;
– Documentelor sistemului de management aplicabil (calitate, mediu, SSM, control intern, etc…).
Participa la analiza documentelor specifice.
Se conformeaza cu cerintele aplicabile ale evaluarii de risc.
Clarifica si comunica cerintele evaluarii riscurilor, personalului din zona evaluata.
Documenteaza rezultatele in urma evaluarii de risc.
Participa la fundamentarea si elaborarea Raportului de evaluare a riscului .
Raporteaza rezultatele evaluarii Secretariatului CM.
Pastreaza in siguranta documentele referitoare la evaluare.
Responsabilul de proces/activitate
Este membru in echipa de gestionare a riscului (EGR), echipa stabilita de catre proprietarul de risc si aprobata de catre Directorul General.
Sefii E.O.
Fac parte din echipele de gestionare a riscurilor (EGR).
Identifica riscurile asociate activitatilor pe care le gestioneaza .
Implementeaza actiunile/masurile necesare mentinerii riscurilor in limitele acceptabile.
Secretariatul CM
Face parte din componenta EGR.
Intocmeste si actualizeaza Registrul riscurilor la nivelul SC COLTERM, in conformitate cu datele/informatiile provenite de la echipele EGR si Proprietarul de Risc.
Elaboreaza si prezinta Presedintelui CM, spre analiza si dezbatere, Nota de concluzii desprinse din analiza riscurilor si a rapoartelor de evaluare a riscurilor.
DESCRIEREA PROCEDURII
Generalitati
Etapele pregatitoare evaluarii si tratarii de risc sunt:
Comunicarea si consultarea cu partile interesate externe si interne;
Stabilirea contextului extern si intern prin care organizatia isi formuleaza obiectivele, defineste parametrii externi si interni, stabileste domeniul de aplicare si criteriile de risc;
Stabilirea contextului procesului de management al riscului ;
Definirea criteriilor de risc care trebuie sa reflecte valorile, obiectivele si resursele organizatiei.
Evaluarea de risc se realizează proactiv cu aceeași metodă pentru toate riscurile și toate strategiile, deciziile, operatiunile, procesele, functiile, proiectele, produsele, lucrari, serviciile si activele.
Planificarea evaluarii riscului
Planificarea evaluarii riscului se face de catre Proprietarul de risc, utilizand formularul „Plan de evaluare a riscului”, formular cod FPO-54-01.
Planificarea evaluarii riscului se face cel putin o data pe an si de fiecare data cand apar modificari ale Subiectului (strategiei si deciziilor, operatiuni, procese, functii, proiecte, produse, lucrari, servicii si active) – față de evaluarea inițială în vederea actualizării permanente a nivelului de risc.
Planul de evaluare de risc este difuzat, dupa aprobare, sefilor de compartimente implicati.
Stabilirea Echipelor de Gestionare a Riscurilor (EGR)
Proprietarul de risc, propune printr-un Referat, componenta EGR si il transmite spre SRU , dupa ce a fost aprobat de catre Directorului General.
Directorul General numeste prin decizie, componenta EGR.
Echipele de Gestionare Riscuri (EGR), includ cel puțin:
Proprietarul de risc (moderator);
Responsabili de procese/activitati;
Reprezentantii partilor interesate;
Sefii E.O.
Secretariatul CM
Inainte de evaluarea riscurilor, membrii EGR-urilor sunt instruiti corespunzator de catre Proprietarul de risc.
Intrunirea si instruirea echipei se face într-o ședință condusă de „Proprietarul de risc” care prezintă metoda de evaluare utilizată și termenele de realizare ale diferitelor etape de evaluare ale Subiectului , prevăzute în plan.
Etapele evaluarii de risc
Evaluarea de risc presupune urmatoarele etape:
Identificarea riscului;
Analiza riscului;
– Estimarea riscului.
Identificarea riscului
Pentru identificarea riscului se utilizeaza urmatoarele formulare:
– “Criterii de risc”, cod FPO-54-02;
– “Fisa identificare riscuri”, cod FPO-54-03.
A) “Criterii de risc”, cod FPO-54-02, este un formular care stabileste: criteriile de risc, masurabilitatea acestor criterii, responsabilii de criterii, precum si frecventa raportarii. Aceste date vor fi completate de catre Proprietarul de risc . Formularul va fi transmis la echipa de evaluare.
Unele criterii pot fi impuse sau derivate din cerintele legale si de reglementare si din alte cerinte la care subscrie organizatia, ele trebuie incontinuu actualizate.
Masurabilitatea reprezinta pragul maxim sau minim acceptat, pentru criteriul de risc analizat.
In definirea criteriilor de risc, factorii care se recomanda a fi luati in considerare pot cuprinde:
Natura si tipurile de cauze si de consecinte care pot sa apara si modul in care acestea se masoara;
Modul de definire a plauzabilitatii (probabilitatii);
Scara(scarile) plauzabilitatii si/sau a consecintei (consecintelor);
Modul in care este determinat nivelul de risc;
Punctele de vedere ale partilor interesate;
Nivelul la care riscul devine acceptabil sau tolerabil;
Daca trebuie luate in considerare combinatiile de riscuri multiple si, in acest caz, metoda de utilizat si combinatiile care trebuie luate in considerare.
B) “Fisa identificare riscuri”, cod FPO-54-03, este un formular care cuprinde, într-o formă ușor identificabilă și comprimată, principalele informatii necesare : sursa de risc, zone de impact, riscurile , precum si cauzele riscurilor, consecinte potentiale , clasa de gravitate a consecintelor, clasa de plauzabilitate(probabilitate), nivelul de risc si nivelul de risc global .
Pe baza informatiilor rezultate din aplicarea metodelor alese, echipa de gestionare riscuri EGR, identifica in mod unitar si in consens : sursele de risc, zonele de impact, riscurile (evenimente, inclusiv modificari ale circumstantelor), cauzele riscurilor , precum si potentiale consecinte ale acestora.
Clasa de de gravitate a consecintelor si clasa de plauzabilitate, vor fi stabilite de catre echipa de gestionare din “Scala de cotare a gravitatii consecintelor si plauzabilitatii consecintelor”, scala intocmita de Proprietarul de risc si aprobada de Directorul General.
Nivelul de risc va fi stabilit de catre echipa de evaluare din cele doua tabele: „Matricea de evaluare a riscurilor” din anexa 1, si „Scala de incadrare a nivelurilor de risc” din anexa 2.
Calculul nivelului de risc global al Subiectului (strategii, decizii, amplasamente, operatiuni, procese, activitati, functii, proiecte, produse, lucrari, servicii si active) se face conform următoarei formule:
Nrg = nivel de risc global pentru Subiectul considerat.
n = numărul de riscuri identificate pentru Subiectul considerat.
ri = element de ponderare « rangul factorului de risc » care valoric este egal cu nivelul de risc parțial respectiv cu nivelul de risc al factorului de risc indice « i » identificat la Subiectul considerat.
Ri = nivelul de risc parțial respectiv nivelul de risc al factorului de risc indice « i » identificat la Subiectul considerat.
Nivelul de risc global acceptabil are valoare 3,5.
Scopul acestei etape este generarea unei liste exhaustive a riscurilor pe baza evenimentelor care ar putea crea, intensifica, impiedica, degrada, accelera sau intarzia indeplinirea obiectivelor.
Este importanta identificarea riscurilor asociate cu nevalorificarea unei oportunitati.
Identificarea exhaustiva este decisiva, deoarece un risc neidentificat in aceasta etapa nu va fi inclus intr-o analiza ulterioara.
Se recomanda:
Ca identificarea sa includa riscurile indiferent daca sursa acestora este sub controlul organizatiei sau nu, chiar daca este posibil ca sursa sau cauza riscului sa nu fie evidenta;
Ca identificarea riscului sa cuprinda examinarea efectelor secundare ale consecintelor specifice, inclusiv efectele in cascada si cumulative;
Sa se ia in considerare o gama larga de consecinte, chiar daca este posibil ca sursa sau cauza riscului sa nu fie evidenta;
Sa se ia in considerare toate cauzele si consecintele semnificative;
Ca organizatia sa utilizeze instrumente si tehnici de identificare a riscului care sunt adecvate obiectivelor si capacitatilor sale precum si riscurilor cu care se confrunta; informatiile relevante si actualizate sunt importante in identificarea riscurilor;
Sa includa o fundamentare adecvata, atunci cand este posibil;
Sa fie implicate in identificarea riscurilor persoanele cu cunostinte corespunzatoare.
Membrii echipei vor semna dupa completarea formularului si vor pastra formularul .
C) “Scala de cotare a gravitatii consecintelor si plauzabilitatii consecintelor”, formular cod FPO-54-04, construită pe baza grilei de evaluare a riscurilor, este un instrument utilizat în aprecierea nivelului riscului previzionat, respectiv a nivelului de securitate.
D) “Matricea de evaluare a riscurilor”, anexa nr.1 . Liniile din tabel sunt liniile claselor de consecinte din grafic, iar coloanele – coloanele claselor de plauzabilitate. Fiecare căsuță corespunde câte unui punct din grafic, de coordonatele c/p. Hașurile diferite marchează secțiunile obținute în grafic prin trasarea curbelor de nivel.
Cu ajutorul grilei se realizează exprimarea efectivă a riscurilor existente în sistemul analizat, sub forma cuplului consecinte – plauzabilitate.
E) “Scala de incadrare a nivelului de risc”, anexa nr.2, construită pe baza matricei de evaluare a riscurilor, este un instrument utilizat în aprecierea nivelului riscului previzionat, respectiv a nivelului de securitate.
In zona centrală a formularului sunt prezentate explicit elementele din submatricele delimitate, precum și elementele singulare corespunzătoare fiecărui nivel de risc, respectiv toate cuplurile gravitate – plauzabilitate aferente nivelurilor de risc.
Analiza riscului
Pentru analiza riscului se vor utiliza datele din “Criterii de risc” si “Fisa identificare riscuri”.
Analiza riscului furnizeaza date de intrare pentru estimarea riscului, pentru luarea deciziilor privind necesitatea tratarii sau nu a riscurilor si cele mai potrivite strategii si metode de tratare a riscurilor. Analiza riscurilor implica considerarea cauzelor si surselor de risc, a consecintelor lor pozitive si negative, precum si a plauzabilitatii ca aceste consecinte se pot produce.
Se va tine cont de mijloacele existente de control, eficacitatea si eficienta acestora, precum si interdependenta diferitelor riscuri si a surselor acestora.
Factorii precum divergentele de opinii intre experti, incertitudinea, disponibilitatea, calitatea, cantitatea si relevanta continua a informatiilor sau limitarile privind modelarea se recomanda sa fie declarati si pot fi evidentiati.
Analiza riscului poate fi efectuata la diferite niveluri de detaliere in functie de risc, scopul analizei, precum si in functie de informatii, date si resurse disponibile. Analiza poate fi calitativa, semicantitativa, cantitativa sau o combinatie a acestora, in functie de circumstante.
Consecintele si plauzabilitatea acestora pot fi determinate prin modelarea rezultatelor unui eveniment sau ansamblu de evenimente ori prin extrapolarea din studii experimentale sau din datele disponibile.
Consecintele pot fi exprimate in termeni de impacturi tangibile si intangibile. In unele cazuri este nevoie mai mult de o valoare numerica sau un decriptor pentru a preciza consecintele si plauzabilitatea acestora in diferite momente, locuri, grupuri sau situatii.
Estimarea riscului
Estimarea de risc contribuie la luarea deciziilor privind riscurile care necesita tratare si prioritizarea implementarii tratarii.
Estimarea de ric implica compararea nivelului de risc determinat cu criteriile de risc stabilite in momentul luarii in considerare a contextului . Pe baza acestei comparatii, poate fi luata in considerare nevoia de tratare a riscului.
Se recomanda ca deciziile sa ia in considerare contextul mai larg al riscului si sa includa importanta tolerantei la risc suportate de parti, altele decat organizatia,care beneficiaza de pe urma riscului.
Deciziile trebuie luate in conformitate cu cerintele legale, de reglementare si alte cerinte.
In unele situatii estimarea riscului poate conduce la decizia de a efectua o analiza mai aprofundata; alteori doar prin mentinerea mijloacelor de control existente. Aceasta decizie poate fi influentata de atitudinea fata de risc a organizatiei si criteriile de risc care au fost stabilite.
Tratarea riscului
Generalitati
Alegerea celei mai potrivite optiuni de tratare a riscului implica echilibrarea costurilor si eforturilor de implementare in raport cu beneficiile derivate, cu respectarea cerintelor legale, de reglementare si a altor cerinte, cum ar fi responsabilitatea sociala si protectia mediului.
Se recomanda ca deciziile sa ia in considerare si riscurile care pot garanta tratarea riscului, care nu s-ar justifica din motive economice, de ex.: riscuri grave (consecinte negative puternice) dar rare (plauzabilitate scazuta).
Se poate lua in considerare un numar de optiuni de tratare aplicate separat sau in combinatie.
Sa se aiba in vedere valorile si perceptiile partilor interesate si modurile cele mai adecvate de a comunica cu acestea.
Daca optiunile de tratare a riscului pot avea impact asupra riscului in alta parte a organizatiei
sau la partile interesate se recomanda ca si acestea sa fie implicate in decizie.
Se recomanda ca planul de tratare a riscului sa identifice in mod clar ordinea de prioritate in
care fiecare mod de tratatare a riscului se recomanda a fi implementat.
Tratarea riscului in sine poate introduce riscuri. Un risc important poate fi nereusita sau ineficienta masurarilor de tratare a riscurilor. Necesitatile de monitorizare sunt parte integranta din planul de tratare a riscului pentru a da siguranta ca masurile respective sa ramana eficace.
Tratarea riscului poate sa introduca totodata riscuri secundare care necesita evaluarea, tratarea, monitorizarea si revizuirea.
Se recomanda ca aceste riscuri secundare sa fie incorporate in acelasi plan de tratare a riscului ca si riscul original si sa nu fie tratate ca un nou risc.
Tratarea riscurilor contine urmatoarele etape:
Alegerea optiunilor de tratare a riscului;
Elaborarea si implementarea planurilor de tratare a riscului.
Tratarea riscului implica selectarea uneia sau mai multor optiuni pentru modificarea riscurilor si implementarea respectivelor optiuni.
Tratarea riscului presupune un proces ciclic de:
Evaluarea modului de tratare a riscului;
Luarea deciziei daca nivelurile de risc rezidual sunt tolerabile;
Daca nu sunt tolerabile, generarea unui mod nou de tratare a riscului;
Evaluarea eficacitatii acelui mod de tratare.
Optiunile de tratare a riscului pot include urmatoarele:
Evitarea riscului prin luarea deciziei de a nu incepe sau de a nu continua cu activitatea care da nastere riscului;
Asumarea sau cresterea riscului pentru a urmari o oportunitate;
Indepartarea sursei de risc;
Modificarea plauzabilitatii;
Modificarea consecintelor;
Impartirea riscului cu alta parte sau parti (inclusiv contracte si finantarea riscului);
Retinerea riscului prin decizie fundamentala.
Elaborarea si implementarea planurilor de tratare a riscului
Se utilizeaza formularul “Plan de tratare a riscului”, cod FPO-54-05, care este un formular pentru centralizarea actiunilor preventive necesare de aplicat, rezultate din evaluare:
– Stabilirea actiunilor de eliminare a riscurilor inacceptabile (inclusiv prin suspendarea activității);
-Stabilirea actiunilor de reducere a riscurilor ce nu pot fi eliminate (prin actiuni ale managementului, economice, tehnice, organizatorice).
Evenimentele din Planul de tratare a riscului vor fi riscurile din Fisa de identificare riscuri a caror nivel de risc este mai mare sau egal cu 4.
Formularul „Plan de tratare a riscului”, va fi emis de catre Proprietarul de risc, aprobat de catre Directorul general si va cuprinde evenimentele analizate cu : nivelul de risc, nivelul de risc rezidual propus, optiuni de tratare, actiuni preventive, responsabil, termen, resurse, masuri si constrangeri referitoare la performanta, verificarea implementarii si a performantei, nivel de risc rezidual realizat.
Planul de tratare a riscului urmeaza a fi implementat si la termenele stabilite se va face verificarea implementarii si eficacitatea acestuia.
“Raport de evaluare de risc“, este intocmit de catre Proprietarul de risc cu participarea EGR-urilor , aprobat de catre Directorul General si difuzat partilor interesate. Raportul reprezinta o sinteza a evaluarii si tratarii riscului. Intrucat nivelul de risc global acceptabil este de 3,5 , in situatiile in care nivelul de risc global depaseste aceasta valoare, vor fi stabilite masuri urgente.
“Registrul riscurilor“, cod FPO-54-06, este un document pe care il intocmeste si actualizeaza secretarul Comisiei de Monitorizare. Documentul cuprinde: obiectivele (activitatile), riscul, cauzele care favorizeaza aparitia riscului, riscul initial (clasa de plauzabilitate, clasa de gravitate, nivel de risc), strategia adoptata (optiunile de tratare din Fisa de identificare riscuri), data ultimei revizuiri a riscului, riscul rezidual (clasa de plauzabilitate, clasa de gravitate, nivel de risc) si observatii.
Reguli privind protectia mediului, sanatate si securitate in munca
6.6.1. Reguli privind protecția mediului
Aspectele de mediu identificate pentru activitatea descrisă, impactul acestora asupra mediului și măsurile de limitare a acestuia, conform tabelului de mai jos:
6.6.2. Reguli privind securitatea și sănătatea în muncă
Obligațiile personalului sunt:
de a cunoaște instructiunile proprii de SSM aplicabile locului de muncă;
de a cunoaște și respecta Fișa de evaluare a riscurilor specifică locului de muncă;
de a cunoaște și respecta legislația de SSM aplicabilă domeniului său de activitate.
INREGISTRARI
8. ANEXE
Lista de control ediții/revizii pentru PO-CLT-54.
Anexa nr.1, Matricea de evaluare a riscului.
Anexa nr.2, Scala de incadrare a nivelului de risc.
Formular cod FPO-54-01, Plan de evaluare a riscului.
Formular cod FPO-54-02, Criterii de risc.
Formular cod FPO-54-03, Fisa identificare riscuri.
Formular cod FPO-54-04, Scala de cotare a gravitatii consecintelor si plauzabilitatii consecintelor.
Formular cod FPO-54-05, Plan de tratare a riscului.
Formular cod FPO-54-06, Registrul riscurilor.
Anexa nr.1
Matricea de evaluare a riscurilor
Anexa nr. 2
Scala de incadrare a nivelului de risc
REGISTRU RISCURILOR
Intocmit, Data:
Secretar CM
Subiect: Amplasament/ Produs/ Lucrare/ Proces/ Activitate: …………………………………………………………..
Nivelul de risc global : Subiectul …………………………………………………. este:
=……………………….=
Întocmit, Data:
Echipa de gestionare a riscurilor
Unitatea Centrală pentru
Armonizarea Auditului Public Intern
Data ședinței:
Nr. 375325/27.04.2012
PROCES-VERBAL AL ȘEDINȚEI DE ANALIZĂ A RISCURILOR
Participanți (membrii EGR)
FORMULAR ALERTĂ
Raport semestrial cu privire la desfășurarea
procesului de gestionare a riscurilor la nivelul UCAAPI
La nivelul UCAAPI, în perioada 01.01.2012-30.06.2012, au fost continuate activitățile referitoare la identificarea, analiza, evaluarea și prioritizarea riscurilor care pot afecta realizarea obiectivelor și funcționarea de ansamblu a direcției și au fost stabilite și puse în practică măsuri corespunzătoare în vederea implementării instrumentelor de control adecvate limitării consecințelor riscurilor.
În această perioadă, echipa de gestionare a riscurilor (EGR) s-a întrunit de cinci ori și a analizat și evaluat riscurile identificate și raportate de responsabilii din cadrul serviciilor direcției.
Acțiunile întreprinse la nivelul direcției, au vizat, în principal, următoarele aspecte:
Referitor la riscurile tratate și nesoluționate la data de 31.12.2011
În cadrul primei ședinței a EGR din semestrul I al anului fost analizat riscul identificat în perioada 01.07.2011 – 31.12.2011 și care prezenta probabilitate mare și impact ridicat la data de 31.12.2011, respectiv „Neelaborarea la timp a manualelor de audit privind conformitatea sistemelor de management și de control, și de audit operațional al proiectelor finanțate prin programul de cooperare elvețiano-român”.
În procesul de tratare al acestui risc s-au analizat sursele potențiale de informații ce pot fi utilizate la elaborarea instrumentelor specifice manualelor de audit, și au fost selectate informațiile cele mai adecvate. De asemenea, s-a stabilit elaborarea unor variante intermediare ale manualelor ce vor fi analizate și evaluate și în funcție de rezultate urmând a fi stabilite formele finale ale acestora. Riscul se menține în tratare și în semestrul II 2012.
Identificarea continuă și permanentă a riscurilor – la nivelul fiecărui serviciu, din cadrul direcției, au fost derulate acțiuni referitoare la analiza propriilor activități, cu scopul de a identifica eventualele riscuri potențiale aferente acestora. În urma analizelor, în semestrul I 2012, au fost identificate și raportate EGR trei riscuri inerente, care necesită evaluarea, controlul și monitorizarea lor, astfel:
în trim. I fost identificat riscul „Reglementările menționate în proiectul noului cadru metodologic privind exercitarea auditului public intern să nu acopere în mod corespunzător cerințele Legii nr. 672/2002 privind auditul public intern, republicată”. Pentru tratarea și limitarea acestui risc au fost planificate și organizate cu auditorii interni din sistem grupuri de lucru în cadrul cărora au fost dezbătute textele proiectelor de acte normative privind atestarea auditorilor interni, cooperarea în asigurarea funcției de audit public intern, înființarea comitetelor de audit intern și exercitarea activității de audit public intern. De asemenea, proiectele de acte normative au fost supuse analizei și avizării în cadrul a cinci direcții de specialitate din cadrul ministerului. Aceste acțiuni de control au condus la limitarea riscului și menținerea acestuia în limite acceptabile. Riscul a fost închis;
în trim. II 2012 au fost identificate două noi riscuri, respectiv „Rapoartele privind activitatea de audit intern elaborate de compartimentele de audit intern din sistemul public să nu fie transmise la timp și să nu conțină informații adecvate” și „Recomandările formulate prin rapoartele de evaluare să nu fie implementate în termen și în totalitate”.
Pentru tratarea și limitarea celor două riscuri identificate în trim. II 2012 s-au implementat următoarele măsuri:
în cazul primului risc se va elabora un model cadru de raport privind activitatea de audit intern, care va fi transmis tuturor entităților publice din cadrul administrației publice centrale și locale. Modelul elaborat va prezenta pe fiecare capitol și subcapitol elementele principale care trebuie raportate de către auditorii interni. De asemenea, se va lua legătura cu responsabilii compartimentelor de audit public intern de la nivelul entităților publice în vederea consilierii, astfel încât să poată elabora și transmite în termen rapoartele proprii de activitate. Riscul se menține în tratare și în semestrul II 2012;
în cazul celui de al doilea risc s-a dispus ca după aprobarea fiecărui raport de evaluare a activității de audit intern să fie elaborată Fișa de urmărire a recomandărilor. Pe baza acestui document echipa de audit intern va urmări pentru fiecare recomandare formulată acțiunile întreprinse de structurile evaluate în vederea implementării precum și termenele stabilite pentru realizare. În cazul în care recomandările nu sunt implementate în mod corespunzător, se vor organiza discuții cu reprezentanții structurii auditate și stabili acțiuni de implementare adecvate. Riscul se menține în tratare și în semestrul II 2012.
Monitorizarea implementării măsurilor de control și efectuarea unor revizuiri – pe perioada semestrului I 2012, responsabilii cu gestionarea riscurilor, de la nivelul serviciilor, au monitorizat periodic modul de punere în aplicare a măsurilor de control pentru riscurile identificate, au evaluat efectul implementării acestora asupra riscurilor și au prezentat informări echipei de gestionare a riscurilor.
Echipa de gestionare a riscurilor a analizat informațiile prezentate de către responsabilii cu gestionarea riscurilor în cadrul ședințelor lunare, iar dacă au fost constatate dificultăți în procesul de implementare a unor măsuri de control, a analizat cauzele și a stabilit noi acțiuni de implementare.
În concluzie, până la data de 30.06.2012, EGR în urma analizei informațiilor prezentate de responsabilii cu gestionarea riscurilor a decis închiderea riscului „Reglementările menționate în proiectul noului cadru metodologic privind exercitarea auditului public intern să nu acopere în mod corespunzător cerințele Legii nr. 672/2002 privind auditul public intern, republicată” și menținerea în tratare și monitorizarea în perioada următoare a celorlalte trei riscuri.
Precizăm că, rezultatele activităților desfășurate privind evaluarea, controlul și monitorizarea riscurilor, precum și modul de stabilire și implementare a măsurilor dispuse în vederea tratării lor se prezintă în cadrul proceselor verbale întocmite în urma ședințelor de analiză a riscurilor.
În urma activităților desfășurate a fost actualizat Registrul riscurilor al UCAAPI care prezintă riscurile existente și modalitățile în care acestea sunt gestionate, document care este prezentat în Anexă.
MANAGEMENTUL RISCURILOR
ÎN CONFORMITATE CU
OMFP NR. 946/2005 PRIVIND APROBAREA CODULUI CONTROLULUI INTERN, REPUBLICAT
Prezintă:
Prof. univ. dr. MARCEL GHIȚĂ
BUCUREȘTI
Ianuarie
2013
1.0. Scop
1.1. Prezenta procedură:
stabilește un cadru general unitar de identificare, analiză și gestionare a riscurilor la nivelul compartimentelor din cadrul MFP;
furnizează personalului și conducerii MFP un instrument care facilitează gestionarea riscurilor într-un mod controlat și eficient, pentru atingerea obiectivelor specifice compartimentelor din cadrul MFP;
furnizează o descriere a modului în care sunt stabilite și implementate măsurile de control menite să prevină apariția riscurilor.
2.0. Domeniul de aplicare
Procedura se utilizează de către toate compartimentele din cadrul MFP în vederea gestionării riscurilor care pot afecta atingerea obiectivelor specifice ale compartimentelor din cadrul MFP.
3.0. Documente de referință
COSO Enterprise Risk Management – Integrated Framework, Executive Summary, 2004;
Standardele de control intern ale Comisiei Europene, ediția 2007;
Ordonanța Guvernului nr.119/1999 privind controlul intern/managerial și controlul financiar preventiv, republicată, cu modificările și completările ulterioare;
Hotărârea Guvernului nr.215/2012 privind aprobarea Strategiei naționale anticorupție pe perioada 2012 – Inventarului măsurilor preventive anticorupție și a indicatorilor de evaluare, precum și a Planului național de acțiune pentru implementarea Strategiei naționale anticorupție 2012 – 2015;
Ordinul ministrului finanțelor publice nr.946/2005 pentru aprobarea Codului controlului intern/managerial, cuprinzând standardele de control intern/managerial la entitățile publice și pentru dezvoltarea sistemelor de control intern/managerial, republicat;
Metodologie de implementare a standardului 11 “Managementul riscurilor”, elaborată de Unitatea centrală de armonizare a sistemelor de management financiar și control (metodologia este postată pe pagina web a MFP www.mfinante.ro, la secțiunea „Sisteme de management financiar și control);
Îndrumar metodologic pentru dezvoltarea controlului intern în entitățile publice, elaborat de Unitatea centrală de armonizare a sistemelor de management financiar și control (îndrumarul este postat pe pagina web a MFP www.mfinante.ro, la secțiunea „ Sisteme de management financiar și control);
Manualul de control financiar preventiv, elaborat de Unitatea centrală de armonizare a sistemelor de management financiar și control (manualul este postat pe pagina web a MFP www.mfinante.ro, la secțiunea „ Sisteme de management financiar și control).
Definiții și abrevieri
Definiții
Compartiment = direcție generală/direcție/serviciu, prevăzute în organigrama MFP;
Control intern/managerial = ansamblul formelor de control exercitate la nivelul entității publice, inclusiv auditul intern, stabilite de conducere în concordanță cu obiectivele acesteia și cu reglementările legale, în vederea asigurării administrării fondurilor în mod economic, eficient și eficace; acesta include, de asemenea, structurile organizatorice, metodele și procedurile;
Gestionarea riscurilor sau managementul riscurilor = toate procesele implicate de identificarea, evaluarea, luarea de măsuri de atenuare sau anticipare a acestora, revizuirea periodică și monitorizarea progresului, stabilirea responsabilităților;
Risc = posibilitatea de a se produce un eveniment care ar putea avea un impact asupra îndeplinirii obiectivelor;
Risc inerent = expunerea la un anumit risc înainte să fie luată vreo măsură de tratare (atenuare) a lui;
Risc rezidual = expunerea cauzată de un anumit risc după ce au fost luate măsuri de tratare (atenuare) a lui, presupunând că măsurile sunt eficace;
Probabilitatea de materializare a riscului = posibilitatea sau eventualitatea ca un risc să se realizeze;
Impactul = consecința (efectul) asupra rezultatelor (obiectivelor) dacă riscul s-ar materializa;
Expunere la risc = consecințele, ca o combinație de probabilitate și impact, pe care le poate resimți o organizație în raport cu obiectivele prestabilite în cazul în care riscul se materializează;
Evaluarea riscului = evaluarea consecințelor materializării riscului în combinație cu evaluarea probabilității de materializare a riscului;
Toleranța la risc = cantitatea de risc pe care organizația este pregătită să o tolereze sau la care este dispusă să se expună la un moment dat;
Profilul de risc = un tablou cuprinzând evaluarea generală documentată și prioritizată a gamei de riscuri specifice cu care se confruntă organizația;
Prioritizarea riscurilor = acțiune determinată de caracterul limitat al resurselor și de necesitatea de a se stabili un răspuns optim la risc, pentru fiecare risc identificat și evaluat, și care constă în stabilirea ordinii de priorități în tratarea riscurilor, printr-o alocare eficientă și judicioasă a resurselor;
Strategia națională anticorupție = document de viziune strategică pe termen mediu, care oferă coordonatele majore de acțiune în sprijinul promovării integrității și bunei guvernări la nivelul tuturor instituțiilor publice;
Strategia de risc = abordarea generală pe care o are organizația în privința riscurilor;
Acceptarea (tolerarea) riscului = tip de răspuns la risc care constă în neluarea unor măsuri de control al riscurilor și este adecvat pentru riscurile inerente a căror expunere este mai mică decât toleranța la risc;
Monitorizarea = tip de răspuns la risc care constă în acceptarea riscului cu condiția menținerii sale sub o permanentă supraveghere, parametrul supravegheat cu precădere fiind probabilitatea;
Evitarea riscului = tip de răspuns la risc care constă în eliminarea/restrângerea circumstanțelor/activităților care generează riscul;
Transferarea (externalizarea) riscului = tip de răspuns la risc recomandat în cazul riscurilor financiare și patrimoniale si care constă în încredințarea gestionării riscului unui terț care are expertiza necesară gestionării acelui risc, încheindu-se în acest scop un contract;
Tratarea (atenuarea) riscului = tip de răspuns la risc care constă în luarea de măsuri (implementarea măsurilor de control intern) pentru a menține riscul în limite acceptabile (tolerabile); reprezintă abordarea cea mai frecventă pentru majoritatea riscurilor cu care se confruntă organizația;
Clasarea riscului = procedeu aplicabil riscurilor apreciate, de către EGR, ca nerelevante în raport de obiectivele specifice compartimentului, constând în îndosarierea și arhivarea formularelor „Alertă la risc’’ (Formularul nr. 1), inclusiv a documentației utilizată pentru fundamentarea riscurilor respective;
Escaladarea riscului = procedeu prin care conducerea unui compartiment alertează nivelul ierarhic imediat superior sau secretarul de stat coordonator/secretarul general cu privire la riscurile pentru care compartimentul nu poate desfășura un control satisfăcător al acestora;
Registrul riscurilor = document integrator al gestiunii riscurilor, cuprinzând o sinteză a informațiilor și deciziilor luate în urma analizei riscurilor.
4.2. Abrevieri
EGR = Echipa de gestionare a riscurilor de la nivelul fiecărui compartiment;
MFP = Ministerul Finanțelor Publice;
Planul = Planul pentru implementarea măsurilor de control;
SNA = Strategia națională anticorupție;
Comisia = Comisia de monitorizare, coordonare și îndrumare metodologică a dezvoltării sistemului de control intern/ managerial al Ministerului Finanțelor Publice;
Secretariatul Comisiei = Secretariatul Comisiei de monitorizare, coordonare și îndrumare metodologică a dezvoltării sistemului de control intern/managerial al Ministerului Finanțelor Publice.
Descrierea procedurii
Contextul organizatoric al procedurii
Pentru o mai bună gestionare a riscurilor pe toate nivelurile manageriale ale unui compartiment, conducătorul acestuia numește, prin decizie internă, un responsabil cu riscurile care îl asistă în gestionarea riscurilor, precum și un înlocuitor al responsabilului cu riscurile, pe perioada absenței temporare a acestuia.
Conducătorul compartimentului, responsabilul cu riscurile și șefii de servicii de la nivelul compartimentului formează echipa de gestionare a riscurilor (EGR).
În cazul direcțiilor generale care au în subordine una sau mai multe direcții, la nivelul fiecărei direcții este numit un responsabil cu riscurile, un înlocuitor al acestuia și se constituie echipa de gestionare a riscurilor.
Conducătorul compartimentului asigură cadrul organizațional și procedural pentru punerea în aplicare, de către persoanele responsabile, a măsurilor de control stabilite.
Comisia selectează, analizează și prioritizează riscurile care pot afecta atingerea obiectivelor generale și funcționarea de ansamblu a ministerului, cu consilierea Direcției de audit public intern.
Stabilirea limitelor de toleranță (toleranța la risc)
Anual, Comisia analizează limitele de toleranță aprobate și, dacă este cazul, propune revizuirea acestora, cel mai târziu până la data de 15 decembrie a anului în curs.
Propunerile privind limitele de toleranță revizuite se comunică secretarilor de stat/secretarului general/secretarului general adjunct pentru aprobare.
După aprobarea de către secretarul de stat coordonator/secretarul general/secretarul general adjunct, Secretariatul Comisiei transmite, în termen de 3 zile, noile limite de toleranță, tuturor compartimentelor, pentru aplicare.
Toate riscurile trebuie controlate astfel încât expunerea la risc să se încadreze în limitele de toleranță aprobate.
Explicațiile asociate limitelor de toleranță la risc sunt redate în Anexa nr. 2 lit. d).
Limitele de toleranță la risc prezentate în Anexa 2 lit. d) au caracter obligatoriu pentru compartimente și operează până la o nouă analiză și revizuire a acestora, efectuată anual de Comisie.
Activități necesare identificării și evaluării riscurilor, stabilirii strategiei de risc și a măsurilor de control
Conducătorii compartimentelor și întreg personalul ce le compun au obligația de a identifica riscurile care afectează atingerea obiectivelor specifice, inclusiv riscurile de corupție.
Persoana care identifică un risc analizează preliminar riscul identificat, procedând la:
definirea corectă a riscului, cu respectarea următoarelor reguli:
Riscul este o situație, eveniment, care poate să apară. Riscul este o incertitudine și nu ceva sigur;
Nu se identifică riscuri care nu afectează obiectivele/activitățile;
Problemele dificile identificate nu trebuie ignorate. Ele pot deveni riscuri în situații repetitive din cadrul aceleiași organizații sau pentru alte organizații în care astfel de riscuri nu s-au materializat;
Riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul nu este risc, ci consecința materializării riscurilor asupra realizării obiectivelor;
Riscurile nu se definesc prin negarea obiectivelor;
Problemele care vor apărea cu siguranță nu constituie riscuri, ci certitudini;
Problemele a căror apariție este imposibilă nu constituie riscuri, ci ficțiuni.
prezentarea cauzelor, descrierea circumstanțelor care favorizează apariția riscului;
analizarea consecințelor, în cazul materializării riscului, asupra realizării obiectivelor.
evaluarea expunerii la risc prin:
estimarea probabilității de apariție a riscului, pe o scală în cinci trepte, ca fiind: foarte scăzută; scăzută; medie; mare; foarte mare.
estimarea impactului asupra obiectivului, pe o scală în cinci trepte, ca fiind: foarte scăzut; scăzut; mediu; ridicat; foarte ridicat.
estimarea expunerii la risc, respectiv consecințele, ca o combinație de probabilitate și impact, pe care le poate resimți compartimentul în raport cu obiectivele prestabilite în cazul în care riscul se materializează.
explicațiile asociate denumirii fiecărei trepte a scalelor de măsurare a probabilității de apariție și a impactului riscului sunt prezentate în Anexa nr. 2.
formularea unei opinii cu privire la tipul de răspuns la risc (strategia adoptată) și la măsurile de control ce trebuie întreprinse pentru a gestiona riscul identificat;
completarea formularului “Alertă la risc”, pe care îl transmite Responsabilului cu riscurile de la nivelul compartimentului;
Responsabilul cu riscurile analizează fiecare formular “Alertă la risc”, primit de la persoanele care au identificat riscurile sau de la responsabilii cu riscurile de la alte compartimente care au decis escaladarea lor, propunând:
clasarea formularului “Alertă la risc”, dacă riscul este nerelevant;
escaladarea riscului la nivelurile superioare ale managementului;
reținerea, spre dezbatere de către membrii EGR, a riscurilor ce aparțin compartimentului, caz în care propune una dintre strategiile de răspuns la risc (acceptarea, monitorizarea, evitarea, transferarea, tratarea).
Responsabilul cu riscurile, după finalizarea acțiunii de analiză a riscurilor nou-identificate, transmite conducătorului compartimentului, spre analiză, o informare scrisă despre rezultatele analizei datelor/informațiilor cuprinse în formularele “Alertă la risc”, la care anexează documentația privind riscurile nou-identificate.
Conducătorul compartimentului, după analiza documentelor menționate la subpunctul de mai sus, stabilește data de convocare a ședinței EGR la nivelul compartimentului.
Ședințele EGR se organizează de către Responsabilul cu riscurile, cel puțin trimestrial și ori de câte ori este nevoie și sunt conduse de conducătorul compartimentului, care decide asupra măsurilor ce trebuie luate.
La ședințele EGR pot participa în calitate de invitați și alți membri din cadrul compartimentului sau din cadrul altor compartimente, la solicitarea conducătorului respectiv.
Membrii EGR, în cadrul ședinței, în funcție de aspectele/problemele incluse pe agenda ședinței, desfășoară următoarele acțiuni:
validează sau invalidează propunerea de clasare pentru riscurile considerate nerelevante;
deliberează asupra riscurilor propuse spre escaladare și fac propuneri de escaladare la nivelul ierarhic imediat superior sau la nivelul de competență care le poate controla, în cazul în care:
măsurile necesare exced competențelor decizionale ale compartimentului;
resursele sunt insuficiente;
identificarea riscurilor compartimentului, dar care au impact asupra obiectivelor.
efectuează, pentru fiecare risc identificat și evaluat, o comparare a expunerii la risc cu limitele de toleranță aprobate, valabile pentru anul în curs;
analizează rapoartele de audit, reținând riscurile identificate prin acestea și măsurile de control recomandate a fi implementate;
formulează propuneri, pentru fiecare risc identificat și evaluat, cu privire la tipul de răspuns (strategia adoptată) considerat cel mai adecvat din cele de mai jos, decizia finală cu privire la acest aspect aparținând conducătorului compartimentului:
acceptarea – tolerarea riscului, în cazul riscurilor cu expunere scăzută sau atunci când aplicarea unei strategii de răspuns la risc nu este posibilă;
monitorizarea permanentă a riscului, în cazul riscurilor cu impact semnificativ, dar cu probabilitate mică de apariție;
evitarea riscului, cu precizarea că aplicarea acestei strategii este limitată în cazul activităților care țin de scopul (misiunea) MFP;
transferarea – externalizarea riscului, îndeosebi în cazul riscurilor financiare și patrimoniale;
tratarea – atenuarea riscului, caz în care se identifică măsurile posibile ce pot fi luate astfel încât riscurile să fie controlate satisfăcător, se grupează în variante alternative, se alege varianta cea mai avantajoasă din perspectiva raportului cost/beneficiu.
stabilesc ordinea de priorități în tratarea riscurilor, astfel încât expunerea la riscurile reziduale să se situeze în limitele de toleranță aprobate;
stabilesc măsurile de control ce trebuie luate în vederea controlării riscurilor, termenele-limită până la care acestea trebuie implementate, precum și persoanele responsabile cu implementarea.
Responsabilul cu riscurile, la finele fiecărei ședințe EGR, desfășoară următoarele acțiuni:
consemnează în procesul-verbal al ședinței toate hotărârile luate; procesul-verbal se aprobă de conducătorul compartimentului;
transmite formularele “Alertă la risc” și documentația aferentă pentru riscurile escaladate responsabililor cu riscurile de la nivelele de competență la care s-a convenit;
transmite persoanelor responsabile cu implementarea măsurilor de control, modificarea măsurilor sau a termenelor pentru riscurile aflate deja în faza de implementare a măsurilor de control intern;
îndosariază formularele “Alertă la risc” pentru care s-a luat decizia de “clasare” (în cazul riscurilor nerelevante), precum și pe cele aferente riscurilor pentru care s-a luat decizia de “reținere pentru gestionare”;
completează, actualizează, după caz, Registrul riscurilor cu datele/informațiile despre riscurile care sunt sau care urmează a fi gestionate la nivelul compartimentului.
5.4. Activități necesare implementării și monitorizării măsurilor de control
Responsabilul cu riscurile, anual, până la finele lunii decembrie a anului în curs, întocmește Planul pentru implementarea măsurilor de control, pentru anul următor (Formularul nr. 3), pe baza:
deciziilor/dispozițiilor secretarilor de stat, secretarului general și secretarului general adjunct;
propunerilor membrilor EGR, aprobate de conducătorul compartimentului;
propunerilor Comisiei de monitorizare;
recomandărilor cu privire la măsurile de control, cuprinse în rapoartele de audit (structura internă de audit; Curtea de Conturi; Autoritatea de audit; structurile de audit ale Comisiei Europene ș. a.).
În Plan se cuprind, într-o secțiune distinctă, riscurile de corupție, măsurile de control adoptate pentru prevenirea acestora, termenele de implementare și persoanele responsabile cu implementarea măsurilor de control.
Planul se semnează de către conducătorul compartimentului și se transmite, spre aprobare, secretarului de stat coordonator/secretarului general/secretarului general adjunct. Termenul de aprobare a Planului este cel târziu până la data de 31 ianuarie a anului pentru care este întocmit Planul.
După aprobare, Responsabilul cu riscurile transmite persoanelor responsabile cu implementarea măsurilor de control, câte un exemplar al acestuia, pentru aplicare.
Responsabilii cu implementarea măsurilor de control îl informează semestrial și ori de câte ori este cazul, pe conducătorul compartimentului, cu privire la stadiul implementării măsurilor de control, pentru analiză și decizie.
5.5. Activități necesare revizuirii și raportării situației riscurilor
Conducătorii compartimentelor, cel puțin anual, sau ori de câte ori este cazul, asigură analizarea, de către EGR, a stadiului implementării măsurilor de control, a eficacității acestora, precum și reevaluarea riscurilor din sfera lor de responsabilitate.
Membrii EGR, în cadrul procesului de revizuire, analizează dacă:
riscurile persistă;
au apărut riscuri noi;
impactul și probabilitatea riscurilor au suferit modificări, caz în care membrii EGR revizuiesc calificativele riscurilor (expunerea la risc);
măsurile de control intern noi puse în operă sunt eficiente;
măsurile de control pentru contracararea riscurilor și noi termene pentru implementarea acestora;
anumite riscuri trebuie escaladate la nivelurile de management superioare;
se impune reprioritizarea riscurilor;
riscurile tratate pot fi închise, ca urmare a:
constatării, de către membrii EGR, a eliminării cauzelor care favorizau apariția riscurilor respective;
renunțării la obiectivele la care erau asociate riscurile respective;
alte situații, motivate de EGR.
Responsabilul cu riscurile, în cel mult o lună de la expirarea semestrului în cauză, elaborează un Raport semestrial cu privire la desfășurarea procesului de gestionare a riscurilor la nivelul compartimentului.
Raportul cuprinde o sinteză a activităților desfășurate, în perioada de raportare, de fiecare compartiment, în cadrul procesului de gestionare a riscurilor, conținând cel puțin următoarele aspecte:
activitățile derulate în perioada pentru care se întocmește raportul, în scopul tratării riscurilor identificate;
riscuri noi și măsurile de control instituite;
3 numărul de riscuri de corupție identificate la nivelul compartimentului, precum și
numărul de măsuri de control adoptate pentru prevenirea acestora;
4 rezultatele reevaluării riscurilor, în cazul în care riscurile au fost reevaluate în perioada
raportată;
5 mențiuni cu privire la întocmirea/actualizarea Registrului riscurilor;
6 alte aspecte/probleme considerate relevante, în legătură cu modul în care au fost
gestionate riscurile la nivelul compartimentului.
În Raport se cuprinde, distinct, o secțiune referitoare la:
riscurile cu un nivel al expunerii ridicat și foarte ridicat, încadrate în nivelurile de toleranță „intolerabil” și „tolerare scăzută”, care ar putea afecta îndeplinirea obiectivelor specifice ale compartimentelor;
stadiul implementării Planului, la data raportării.
După aprobarea raportului de către conducătorul compartimentului, Responsabilul cu riscurile transmite, simultan, un exemplar al acestuia, la care se anexează un exemplar al Registrului riscurilor actualizat la data raportării, secretarului de stat coordonator/secretarului general/secretarului general adjunct, pentru informare și avizare, și Comisiei, în vederea:
întocmirii și actualizării Registrului riscurilor, de către Secretariatul Comisiei, la nivel centralizat, prin agregarea datelor/informațiilor cuprinse în Registrul riscurilor de la nivelul compartimentelor ministerului;
întocmirii și actualizării, de către Secretariatul Comisiei, a profilului de risc al ministerului, prin regruparea riscurilor identificate, evaluate și ierarhizate în raport cu mărimea deviației expunerii fiecărui risc de la toleranța la risc;
întocmirii, semestriale, de către Secretariatul Comisiei, cu consilierea Direcției de audit public intern, a unei Note de concluzii desprinse din analiza registrelor riscurilor și a rapoartelor elaborate de responsabilii cu riscurile, cu privire la desfășurarea procesului de gestionare a riscurilor la nivelul compartimentelor MFP, și prezentarea acesteia, Comisiei, spre dezbatere și aprobare a propunerilor de îmbunătățire a gestionarii riscurilor.
În Nota de concluzii se cuprinde, distinct, o secțiune referitoare la riscurile cu un nivel al expunerii ridicat și foarte ridicat, încadrate în nivelurile de toleranță „intolerabil” și „tolerare scăzută”, care ar putea afecta îndeplinirea obiectivelor specifice și/sau generale ale compartimentelor/ministerului.
Documentele de la sbpct. (6) se transmit Secretariatului Comisiei de monitorizare pe entitatea publică (UCASMFC), atât pe suport hartie, cât și în varianta electronică, în format word.
(9) Secretariatul Comisiei asigură centralizarea datelor despre riscurile de corupție identificate și măsurile de control adoptate pentru prevenirea acestora și, la solicitarea persoanei nominalizate cu monitorizarea implementării SNA la nivelul MFP, asigură transmiterea acestora în vederea includerii lor în raportarea către Ministerul Justiției.
6.0. Responsabilități
6.1. Personalul MFP:
participă la inventarierea proceselor/activităților în relație cu obiectivele specifice;
identifică și realizează o evaluare preliminară a riscurilor inerente;
formulează opinii cu privire la măsurile de control intern pentru riscurile identificate, pe care le consemnează în formularul „Alertă la risc”;
implementează măsurile de control.
6.2. Responsabilul cu riscurile:
colectează, înregistrează, analizează, selectează și clasează formularele „Alertă la risc”;
propune strategia de răspuns pentru fiecare risc nou-identificat;
elaborează o informare scrisă despre rezultatele analizei formularelor “Alertă la risc’;
transmite, ori de câte ori este cazul, conducătorului compartimentului, spre analiză, dosarul cu riscurile nou-identificate, precum și informările scrise cu privire la rezultatele analizei formularelor „Alertă la risc” și la stadiul implementării măsurilor de control intern;
organizează ședințele EGR;
transmite responsabililor cu riscurile de la nivelurile de competență la care s-a convenit, formularele “Alertă la risc” și documentația aferentă riscurilor escaladate;
elaborează Planul și transmite, câte un exemplar al acestuia, pentru aplicare, persoanelor desemnate cu implementarea măsurilor de control;
redactează procesele-verbale ale ședințelor EGR, completează/actualizează, listează și îndosariază Registrul riscurilor;
elaborează Raportul semestrial cu privire la desfășurarea procesului de gestionare a riscurilor la nivelul compartimentului;
6.3. Echipa de gestionare a riscurilor:
validează sau invalidează propunerea de clasare pentru riscurile considerate nerelevante;
evaluează și ierarhizează riscurile asociate obiectivelor specifice compartimentului;
propune escaladarea riscurilor la nivelul ierarhic imediat superior sau la nivelul de competență care le poate controla;
face propuneri cu privire la tipul de răspuns cel mai adecvat pentru fiecare risc identificat și evaluat;
analizează noile riscuri raportate, ca și modificările apărute la riscurile inițiale;
revizuiește calificativele riscurilor și stabilește o nouă ierarhizare a riscurilor în funcție de priorități;
analizează stadiul implementării măsurilor de control;
analizează rapoartele de audit și propune măsuri de implementare a recomandărilor cuprinse în acestea;
propune măsuri de control, termene-limită și responsabilii cu implementarea măsurilor de control;
stabilește închiderea riscurilor soluționate.
6.4. Persoanele responsabile cu implementarea măsurilor de control:
(1) informează, semestrial și ori de câte ori este cazul, pe conducătorul compartimentului, cu privire la stadiul implementării măsurilor de control.
6.5. Conducătorul compartimentului:
numește Responsabilul cu riscurile și înlocuitorul acestuia;
asigură cadrul organizațional și procedural pentru punerea în aplicare a măsurilor de control intern;
analizează riscurile nou-identificate și informările cu privire la rezultatele analizei formularelor “Alertă la risc” și la stadiul implementării măsurilor de control;
stabilește data la care se convoacă ședința EGR;
conduce ședințele EGR;
aprobă procesul-verbal al ședinței EGR;
decide cu privire la alegerea tipului cel mai adecvat de răspuns la risc;
coordonează și supraveghează desfășurarea activităților de punere în aplicare a măsurilor de control al riscurilor;
semnează Planul;
aprobă Raportul semestrial cu privire la desfășurarea procesului de gestionare a riscurilor la nivelul compartimentului.
6.6. Comisia:
selectează, analizează și prioritizează riscurile care pot afecta atingerea obiectivelor generale și funcționarea de ansamblu a ministerului/entitate publică;
propune limitele de toleranță a riscurilor;
analizează și dezbate conținutul Notei de concluzii desprinse din analiza registrelor riscurilor și a rapoartelor elaborate de responsabilii cu riscurile, cu privire la desfășurarea procesului de gestionare a riscurilor la nivelul compartimentelor MFP;
aprobă propunerile de îmbunătățire a gestionării riscurilor, formulate în Nota de concluzii;
formulează propuneri de îmbunătățire a gestionării riscurilor care pot afecta atingerea obiectivelor generale și funcționarea de ansamblu a ministerului;
informează secretarii de stat și ministrul finanțelor publice asupra aspectelor procesului de gestionare a riscurilor.
6.7. Secretariatul Comisiei:
întocmește și actualizează Registrul riscurilor la nivel centralizat, prin agregarea datelor/informațiilor cuprinse în Registrul riscurilor de la nivelul compartimentelor ministerului;
întocmește și actualizează profilul de risc al MFP;
elaborează și prezintă Comisiei, spre analiză și dezbatere, Nota de concluzii desprinse din analiza registrelor riscurilor și a rapoartelor elaborate de responsabilii cu riscurile, cu privire la desfășurarea procesului de gestionare a riscurilor la nivelul compartimentelor MFP;
informează, în scris, semestrial, persoana nominalizată cu monitorizarea implementării SNA la nivelul MFP, cu privire la riscurile de corupție identificate, precum și la măsurile de control adoptate.
6.8. Secretarii de stat, secretarul general, secretarul general adjunct:
(1) analizează și avizează rapoartele semestriale privind desfășurarea procesului de gestionare a riscurilor de la nivelul compartimentelor pe care le coordonează;
(2) aprobă propunerile privind limitele de toleranță a riscurilor;
(3) aprobă Planul și dispun măsuri de control pentru tratarea riscurilor escaladate la nivelul acestora de competență, stabilind și termene pentru implementarea acestora.
7.0. Formulare
7.1. Formular nr. 1 – Formular “Alertă la risc”;
7.2. Formular nr. 2 – Proces-verbal al ședinței EGR;
7.3. Formular nr. 3 – Planul pentru implementarea măsurilor de control;
7.4. Formular nr. 4 – Registrul riscurilor.
8.0. Anexe
8.1. Anexa nr.1 – Diagrama de proces;
Formularul nr. 1
FORMULARUL DE ALERTĂ LA RISC
*) Mai jos sunt redate, cu titlu exemplificativ, și fără a fi o listă exhaustivă, documentele/materialele/informațiile care se constituie în Documentația utilizată pentru fundamentarea riscului identificat:
documente care să probeze potențiala amenințare cu privire la atingerea obiectivului urmărit;
extrase din legislația aplicabilă (primară, secundară), relevante pentru încălcarea sau nerespectarea acestora în execuție;
informări/analize cu privire la lipsa din proceduri a unor elemente de control;
înregistrări contabile, note contabile eronat întocmite;
articole mass-media care expun o situație/evenimente care ar putea periclita obiectivele entității;
informații despre fluctuația cursului valutar ș.a.
în măsura în care este posibil, situații referitoare la cuantificarea impactului, având în vedere că la momentul identificării, se face și o primă evaluare a expunerii la risc (cu luarea în considerare a măsurilor de control deja existente, care pot diminua probabilitatea de apariție și/sau impactul în cazul în care riscul s-ar materializa).
Formular nr. 2
PROCES-VERBAL AL ȘEDINȚEI EGR
MFP – UCAAPI Formularul nr. 2
Data ședinței: 25.05.2009
PROCES-VERBAL AL ȘEDINȚEI DE ANALIZĂ A RISCURILOR
Participă membrii EGR – echipei de gestionare a riscurilor
Formularul nr. 2
MFP – UCAAPI
Nr. …………………Data……………………..
PROCES-VERBAL AL ȘEDINȚEI DE ANALIZĂ A RISCURILOR
Participă membrii EGR
Formularul nr. 2
Unitatea Centrală pentru Armonizarea Auditului Public Intern
Nr. …………….. Data ……………….
PROCES-VERBAL AL ȘEDINȚEI DE ANALIZĂ A RISCURILOR
Participă membrii EGR
NOTA:Pe baza informatiilor cu privire la analiza riscurilor se vor completa coloanele 1-8din RR
Unitatea Centrală pentru Armonizarea Auditului Public Intern
Nr. ………………. Data ……….
Formularul nr. 2
PROCES-VERBAL AL ȘEDINȚEI DE ANALIZĂ A RISCURILOR
Participă membrii EGR
Notă:
Pe baza informațiilor cu privire la analiza riscurilor se vor completa coloanele 9,10,11 și 12 din Registrul riscurilor
Ministerul Finanțelor Publice
Compartimentul …………………. Formular nr. 3
APROBAT
Secretar de stat/secretar general/secretar general adjunct
Planul pentru implementarea măsurilor de control
Conducătorul compartimentului
FIȘA DE URMĂRIRE A RISCULUI
REGISTRU DE RISC
Formular nr. 4
Ministerul Finanțelor Publice
Compartimentul ………………….
REGISTRUL RISCURILOR
Instrucțiuni de completare
Coloana 1 – Obiective/activități: se înscrie/înscriu obiectivul/obiectivele și activitatea/activitățile căruia/cărora li s-a
asociat riscul identificat.
Coloana 2 – Riscul: se înscrie descrierea succintă a riscului identificat, pornind de la mențiunile cuprinse în formularul
“Alertă la Risc”, la rubrica Detalii privind riscul/descrierea riscului/riscul identificat.
Coloana 3 – Cauzele care favorizează apariția riscului: se înscriu cauzele care favorizează apariția riscului
identificat, prin preluarea informațiilor/datelor cuprinse în formularul „Alertă la risc”, la rubrica Detalii
privind riscul/descrierea riscului/Cauze, precum și a celor cuprinse în documente, ca: Procesul-verbal al
ședinței EGR; rapoarte de audit ș.a.
Coloana 4 – Probabilitate (Risc inerent): se înscrie valoarea atribuită de persoana care a identificat riscul respectiv,
menționată în formularul „Alertă la risc”, la rubrica Detalii privind riscul/Evaluarea riscului/Evaluarea
probabilității de apariție; în cazul în care EGR, în cadrul ședinței de analiză a riscurilor, a atribuit o
valoare diferită față de cea înscrisă în formularul „Alertă la risc”, responsabilul cu riscurile va înscrie
această ultimă valoare.
Coloana 5 – Impact (Risc inerent): se înscrie valoarea atribuită de persoana care a identificat riscul respectiv,
menționată în formularul „Alertă la risc”, la rubrica Detalii privind riscul/Evaluarea riscului/Evaluarea
impactului; în cazul în care EGR, în cadrul ședinței de analiză a riscurilor, a atribuit o valoare diferită față
de cea înscrisă în formularul „Alertă la risc”, responsabilul cu riscurile va înscrie această ultimă valoare.
Coloana 6 – Expunere (Risc inerent): se înscrie valoarea menționată de persoana care a identificat riscul respectiv, în
formularul „Alertă la risc”, la rubrica Detalii privind riscul/Evaluarea riscului/Expunerea la risc; în
cazul în care EGR, în cadrul ședinței de analiză a riscurilor, a atribuit valori diferite față de cele înscrise
în formularul „Alertă la risc”, pentru cei doi parametri ai riscului, responsabilul cu riscurile va înscrie
valoarea rezultată din produsul celor două ultime valori .
Coloana 7 – Strategia adoptată: se înscrie strategia adoptată de membrii EGR, în cadrul ședinței de analiză a
riscurilor, respectiv una din cele 5 strategii menționate în PS – 12, la pct. 5.3. (6) 5.
Coloana 8 – Data ultimei revizuiri: se înscrie data la care se efectuează, de către membrii EGR, revizuirea
calificativelor riscurilor (expunerea la risc); conform pct. 5.5. (1) din PS – 12, revizuirea riscurilor se
realizează cel puțin anual, sau ori de câte ori este cazul.
Coloana 9 – Probabilitate (Risc rezidual): se înscrie valoarea atribuita de EGR, în cadrul procesului de revizuire; se
menține și se înscrie aceeași valoare, dacă în urma revizuirii nu apar modificări în ce privește valoarea
atribuită inițial acestui parametru al riscului.
Coloana 10 –Impact (Risc rezidual): se înscrie valoarea atribuită de EGR, în cadrul procesului de revizuire; se
menține și se înscrie aceeași valoare, dacă în urma revizuirii nu apar modificări în ce privește valoarea
atribuită inițial acestui parametru al riscului.
Coloana 11 – Expunere (Risc rezidual): se înscrie valoarea calculată de EGR, în cadrul procesului de revizuire; se
menține și se înscrie aceeași valoare, dacă în urma revizuirii nu apar modificări în ceea ce privește
valoarea atribuită inițial celor doi parametri ai riscului.
Coloana 12 – Observații: se pot înscrie date cu privire la:
– închiderea riscului (ex.: data de închidere, motivație etc);
– eventuale riscuri secundare;
– escaladarea riscului ș.a.
Anexa nr. 2
8.2. Explicații asociate denumirii treptelor din scalele de măsurare a probabilității de apariție și a impactului riscului, precum și celor asociate limitelor de toleranță la risc
a) Evaluarea probabilității de apariție a riscurilor
b) Evaluarea impactului riscurilor
c) Stabilire expunere risc: probabilitate x impact
PROBABILITATE
d) Stabilirea nivelului de tolerare
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: 2. Literatura de specialitate 6 2.1. Concepte privind riscul 6 2.2. Categorii de risc 7 2.3. Riscul inerent și riscul rezidual 7 2.4. Riscurile… [303520] (ID: 303520)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.