Analiza Si Managementul Riscurilor
ANALIZA ȘI MANAGEMENTUL RISCURILOR
CUPRINS
Capitolul I – Conceptul de Risc și Incertitudine.
Distincția între Risc și Incertitudine
Secțiunea I.1 Conceptul de risc
Secțiunea I.2 Conceptul de incertitudine
Secțiunea I.3 Asemănări și diferențieri între risc și incertitudine în teoria economică
Capitolul II – Managementul Riscurilor
Capitolul III – Metodologia de implementare în sectorul public
din România a managementului riscurilor
Secțiunea III.1 Identificarea Riscurilor
Secțiunea III.2 Evaluarea Riscurilor
Secțiunea III.3 Toleranța la risc
Secțiunea III.4 Răspunsul la risc – Controlarea Riscurilor
Secțiunea III.5 Revizuirea și raportarea riscurilor
Secțiunea III.6 Comunicare și învățare
Secțiunea III.7 Organizația extinsă și mediul
Capitolul I – CONCEPTUL DE RISC ȘI INCERTITUDINE. DISTINCȚIA ÎNTRE RISC ȘI INCERTITUDINE
I.1 Conceptul de risc
„Orice activitate umană își are riscul ei -susținea Solon- și nimeni nu știe unde va ajunge atunci când începe ceva”. În aceeași direcție, anticii legau amploarea riscului de dimensiunea și importanța unei activități. „Cu cât un lucru este mai important, cu atât e mai plin de risc”
Deși omenirea a conștientizat din cele mai vechi timpuri existența riscului, nici până în prezent termenul nu are o definiție unanim acceptata de autorii literaturii economice de specialitate.
Cu toate acestea, de-a lungul timpului se identifică două abordări privind tratarea conceptului de risc.
Astfel, într-o prima abordare (clasică), autorii stabilesc o dimensiune negativă a riscului, văzut ca o pierdere, o fatalitate.
Diciționarul Explicativ al Limbii Române2 definește riscul drept „posibilitatea de a ajunge într-o primejdie, de a avea de înfruntat un necaz sau de suportat o pagubă”, iar Dicționarul Oxford3 stabilește că „riscul reprezintă o situație ce presupune expunerea la pericol, pierdere sau prejudiciu, posibilitatea ca ceva neașteptat și neplăcut să se întâmple”.
Conform „Lexiconului de Finanțe-Credit, Contabilitate și Informatica financiar-contabilă” (Bistriceanu Gh. D. ș.a., 1981) cele două sensuri ale riscului sunt: pe de o parte posibil, iar pe de altă parte eveniment viitor dar nesigur ce provoacă daune și care formează obiectul operațiunilor de asigurare.
În „Dicționarul de Ergonomie” (Roșca C., 1997), riscul este definit prin „posibilitatea ca în derularea unei acțiuni sau activități să apară împrejurări mai puțin cunoscute sau necunoscute, având efecte nefavorabile asupra rezultatelor propuse”.
Webster’s New Dicitionary of American Laguage (1990) identifică riscul ca o „posibilitate de pierde sau stricăciune, pericol, primejdie”.
Organizația pentru Cooperare și Dezvoltare Economică4 consideră că „riscul este constituit din posibilitatea ca un fapt cu consecințe nedorite să se producă” ceea ce mai concret se poate transpune prin eventualitatea ca un eveniment ce a fost anticipat de decident cu o anumită probabilitate, să se materializeze și să afecteze negativ anumite aspecte ale activității economice.
Deasemenea organisme care elaborează standarde naționale (precum Norwegian Standard NS5814/1981, British Standard BS 8444-3/1996 și Național Standard of Canada CAN/CSA-Q850-97/1997) au utilizat până nu demult definiția sub aspect negativ a riscului.
Economiștii L. Rastrighin și B. Raisberg definesc riscul ca „pierderi posibile”, încadrându-se și ei în pozițiile teoriei clasice a riscului.
În general, în teoria clasică, riscul se limitează la așteptarea matematică a pierderilor care pot apărea în cazul alegerii uneia din variantele posibile. În acest caz, riscul este reprezentat ca pierderile ce apar în urma realizării uneia sau alteia din deciziile luate.
Față de expunerile anterioare, autorul prezentei lucrări găsește oportuna abordarea negativă a noțiunii de risc în condițiile identificării riscului pur, atunci când sunt șanse ca decidentul, urmare aplicării unei decizii, să înregistreze o pierdere, fără să existe șansa unui câștig.
În ultimii ani însă, pe fondul dezvoltării industriale și tehnologice a societății moderne, cercetările asupra riscului au trecut de la forma clasică a noțiunii supusă discuției, la una complexă în care riscul este văzut atât ca o amenințare, cât și ca o oportunitate.
Astfel, o a doua abordare a conceptului de risc, mai pertinentă, trateaza riscul din perspectiva identificării unei probabilități de obținerere a unui câștig sau a unei pierderi. Potrivit acestei abordări „a risca” înseamnă „a câștiga” sau „a pierde”.
În noua interpretare, urmare unei incursiuni în literatura de specialitate, s-au identificat definiții ale unor autori în ceea ce privește riscul (ca și concept):
– „riscul reprezintă variabilitatea rezultatului posibil în funcție de un eveniment nesigur, incert”
– „riscul reprezintă probabilitatea survenirii unui eveniment nedorit” 2
– „într-o accepțiune sintetică, riscul – inerent oricărei activități – semnifică variabilitatea rezultatului sub presiunea mediului” 3
– „riscul se traduce prin variabilitatea profitului față de media rentabilității în ultimele exerciții financiare … riscul nu este altceva decât incapacitatea intreprinderii de a se adapta, în timp și la cel mai mic cost, la variația condițiilor de mediu” 4
– „riscul este un element de incertitudine care poate afecta activitatea unui agent economic sau derularea unei operațiuni economice” 5
– „riscul reprezintă unul dintre cele mai vagi și mai evazive concepte, care este greu de definit de către specialiști și cu atât mai greu de către investitori” 6
– „riscul produs sub incidența unor împrejurări crează efect asupra rezultatelor unei intreprinderi implicit asupra operatorului care a derulat respectiva tranzacție/contract” 7
– „riscurile și incertitudinile legate inevitabil de multe dintre evenimente și circumstanțe trebuie luate în considerare în procesul de determinare a celei mai bune estimări” 8
Față de interpretările riscului întâlnite de autorul lucrării în incursiunea documentară efectuată pentru fundamentarea noțiunii, se constată că în prezent conceptul în sine tinde a fi înlocuit de la nuanțele negativiste ce tratează riscul ca pericol în desfășurarea activității, spre valențe pozitive ce tratează riscul ca un eveniment ce poate fi generat de mediu sau de organizație cu influențe (negative sau pozitive) imediate asupra desfășurării activității.
Sigur ca o asemenea interpretarea se bazează pe experiență, profesionalism, discernământ, capacitate de adaptabilitate și capacitate de anticipare a factorilor (interni și/sau externi) ce pot influența la un moment dat activitatea organizației.
În fapt, scopul principal în analiza riscurilor este gestionarea corespunzătoare a acestora pe baza unor principii și mecanisme capabile să furnizeze factorului de decizie (de la orice nivel al activității) o imagine fidelă a expunerii la risc, precum și a consecințelor materializării acestor riscuri.
În prezent pe fondul dezvoltării tehnologice și a limitării resurselor, conceptul de risc capătă o importanță din ce în ce mai mare astfel că sensibilitatea factorului uman la risc devine tot mai ridicată, definirea și fundamentarea riscului reprezentând premisele acțiunilor ce urmează a fi întreprinse în viitor.
Pentru prof. univ. dr. Alexandru Puiu „riscul reprezintă posibilitatea de obținere a rezultatelor favorabile sau nefavorabile într-o acțiune viitoare exprimată în termeni probabilistici”. O altă nuanțare a definiției riscului o conferă academicianul Costin C. Kiritescu și dr. Emilian M. Dobrescu care definesc noțiunea de risc ca fiind „examinarea în termeni probabilistici a posibilității de obținere a unor rezultate favorabile sau nefavorabile într-o afacere: eveniment viitor și probabil a cărui producere ar putea provoca anumite pierderi.
O accepțiune a riscului ne-o oferă Dicționarul de Management editat la Paris în 2001, în care se menționează că riscul înglobează patru idei: idea de pericol sau primejdie (este factorul de temut); idea de cost, strâns legată de precedenta (masura acestui cost se evaluează în termeni care arată gravitatea riscului); idea de masură posibilă a evenimentului, exprimată în termeni care arată frecvența de apariție a acestuia; idea de prezentare deliberată a unui pericol determinat în vederea obținerii unui avantaj.
Cea mai citata publicație care include explicit dimensiunea pozitivă în definirea riscului este ghidul managerului de proiect publicat de Project Management Institute în anul 2000 (republicat în 2004). În cadrul acestuia, riscul de proiect este considerat ca „un eveniment sau o condiție incertă care, dacă apare, are un efect pozitiv sau negativ asupra obiectivului proiectului… Riscul proiectului include atât amenințările asupra obiectivelor proiectului cât și oportunitățile de a îmbunătăți aceste obiective.”
Mai mult, Dr. David Hillson, specialist britanic recunoscut pentru contribuțiile sale în domeniul managementului riscului, este de parere ca utilizarea cuvântului „risc” doar în accepțiune negativă este oarecum incorectă deoarece schimbă însuși sensul străvechi al cuvântului (risc provine din latină unde resecare = a îndrăzni). Pe de altă parte, ar fi o pierdere dacă echipele de management, care sunt deja instruite pentru a gestiona amenințările, nu ar fi folosite, în același timp și pentru a identifica și gestiona oportunitățile. 2
Avându-se în vedere cele doua abordări (negativă și pozitivă) în definirea conceptului de risc se poate observa tendința de anticipare și control a unor posibile evenimente ce pot influența rezultatele unei activități economice, fie prin asigurarea riscului pur, fie prin intermediul probabilității ca variabilă în luarea deciziei, în cazul riscului speculativ (managerial).
Chiar dacă unii specialiști consideră riscurile ca fiind fenomene care nu pot fi influențate de indivizi, managerii nu trebuie să le ia ca atare, să le accepte, ci vor lua cea mai bună decizie în funcție de ele. Managerii de top nu sunt de acord cu o acceptare pasivă a riscurilor și consideră, că sunt datori să caute cele mai bune modalități prin care acestea pot fi controlate astfel încât realizarea obiectivelor propuse să se realizeze în condiții optime.
Datorită complexității activităților pe care le desfășoară organizațiile, dar și datorită mediului activ în care acestea interacționează, pentru management este foarte important să depisteze riscurile, să le clasifice și să se ocupe de ele în ordinea probabilității de apariție și a iminenței impactului pe care-l pot produce, fiind convins că nu pot fi abordate toate riscurile și aceasta datorită resurselor limitate de care dispune.
Evaluările managerilor cu privire la condițiile viitoare de desfășurare a unei afaceri au un caracter preponderent subiectiv. Pentru o cât mai bună fundamentare a deciziei de investiții și de reducere a numărului de necunoscute cu care se operează se impune o îmbunătățire a cantității și calității informațiilor, pentru a se analiza o conversie a incertitudinii în risc.
În concluzie, riscul este un concept multidimensional al cărui nivel nu poate fi redus la un singur element, la o cifră. Important pentru fiecare organnizație este să se determine un nivel acceptabil al riscului pe care este dispusă să și-l asume. Nivelul acceptabil al riscului se referă la riscul maxim pe care organizația este dispusă să și-l asume fără a aduce prejudicii concretizate în nerealizarea obiectivelor propuse. Nu există un nivel acceptabil unic, ci acesta este diferit în funcție de condițiile concrete ale fiecărei activități și de atitudinea față de risc a decidentului.
I.2 Conceptul de incertitudine
Experiența zilnică ne arată că economia și aleatoriul sunt noțiuni indisolubil legate și a încerca să motivăm în amănunt această afirmație ar fi inutil, pentru că evidența este copleșitoare.
Fiecare activitate economică presupune alegeri succesive care afectează atât persoana decidentă cât și multe alte persoane, motiv pentru care teoriile formale îte dispusă să și-l asume. Nivelul acceptabil al riscului se referă la riscul maxim pe care organizația este dispusă să și-l asume fără a aduce prejudicii concretizate în nerealizarea obiectivelor propuse. Nu există un nivel acceptabil unic, ci acesta este diferit în funcție de condițiile concrete ale fiecărei activități și de atitudinea față de risc a decidentului.
I.2 Conceptul de incertitudine
Experiența zilnică ne arată că economia și aleatoriul sunt noțiuni indisolubil legate și a încerca să motivăm în amănunt această afirmație ar fi inutil, pentru că evidența este copleșitoare.
Fiecare activitate economică presupune alegeri succesive care afectează atât persoana decidentă cât și multe alte persoane, motiv pentru care teoriile formale îndreptate în această direcție devin din ce în ce mai bine fundamentate științific. Nu este surprinzător, în aceste condiții, că abordarea aleatoriului capătă valențe noi, analiza atentă a acestui element din viața curentă trebuind să devină o componentă nelipsită din viața fiecărui agent economic.
Deși pare surprinzător, până la apariția conceptului de economie probabilistică (1942) promovată de profesorul norvegian T. Haavelmo, teoria economică atribuia fenomenelor și comportamentelor economice un traseu determinist. Ulterior modelele economice au început să se construiască din ce în ce mai mult pe elemente de tip incert, iar în prezent parerea unanimă a specialiștilor este că deciziile manageriale, în marea lor majoritate, sunt afectate într-o măsură mai mare sau mai mică de incertitudine.
În opinia unor autori în domeniu, fenomenul de incertitudine este generat în principal, de următorii factori:
– stările naturii (combinații specifice de valori ale variabilelor de mediu) pentru un element, nu pot fi cunoscute aprioric ;
– informațiile economice, obținute în urma unui proces de observare sunt aproximative, fiind afectate de erori ;
– analiza comportamentului agentului economic nu poate fi completă ;
– previziunile economice ale agentului economic afectează, într-o măsură mai mare sau mai mică, conștient sau inconștient, comportamentul acestuia ;
– variabila timp în cadrul modelelor economice generează în mod inevitabil incertitudine;
De fapt, variabilele ce generează incertitudinea în activitatea economică se împart în trei tipuri și anume:
– variabile alese de decident, ale căror valori sunt sub controlul direct al acestuia. Ele sunt endogene atât față de modelul sistemului economic cât și față de modelul agentului economic individual;
– variabile ale căror valori sunt determinate de funcționarea sistemului economic, de interacțiunea deciziilor agenților economici individuali și care sunt privite de aceștia ca parametrii ai sistemului economic. Asemenea variabile determinate sunt prețurile într-o economie competitivă. Ele sunt variabile endogene față de modelul sistemului economic, dar exogene față de modelele agenților economici individuali.
– variabile de mediu, ale căror valori sunt determinate de mecanisme din afara sistemului economic și care pot fi privite ca parametrii ai sistemului economic.
I.3 Asemănări și diferențieri între risc și incertitudine în teoria economică
În literatura de specialitate se face distincție între conceptul de „incertitudine” și cel de „risc”. Făcând o scurtă istorie privind importanța economică a celor doua concepte, economistul Frank H. Knight, în lucrarea sa „Risk, uncertainty and profit”, face pentru prima dată distincția dintre risc și incertitudine, analizănd riscul și incertitudinea din perspectiva profitului și a spiritului de întreprindere în condițiile unui sistem concurențial.
Knight, remarca faptul că riscurile asociate unei activități economice trebuie incluse între elementele costului de producției și să nu fie o cauză a profiturilor sau pierderilor. În cazul incertitudinii însă, reducerea la măsuri obiective nu se poate realiza din cauza faptului că aceasta implică situații neprevăzute.
Potrivit lui Knight, se poate vorbi de un risc atunci când evenimentele viitoare se produc ca o probabilitate masurabilă, în timp ce incertitudinea este prezentă, atunci când probabilitatea de producere a evenimentelor viitoare este nedeterminată sau incalculabilă. Knight argumentează că riscul (care conform definiției sale este măsurabil) nu va genera profit.
În lucrarea sa – Teoria incertitudinii și a profitului2 (1931) Hickes face referire în detaliu la teoria predecesorului său, ajungând la concluzia că trebuie să ne așteptăm ca cei care își obțin remunerația sub forma unui profit, să primească plata totală care în comparație cu serviciile aduse, să fie cu puțin mai mare sau mai mică decât a persoanelor care investesc în afaceri certe.
Relația dintre risc și incertitudine nu este o relație simplă, ci una complexă.
Spre deosebire de risc, incertitudinea este descrisă ca situația în care decidentul nu poate identifica toate sau chiar nici unul din evenimentele posibile a se produce și cu atât mai puțin de a putea estima probabilitatea producerii lor, având semnificația matematică de variabilă incomplet definită. Incertitudinea presupune anticiparea foarte vagă a unor elemente astfel încât nu se poate face nici o previziune cu privire la ceea ce se întâmplă; în definirea incertitudinii un singur lucru este cert: „nimic nu este sigur sau imprevizibil”. O situație este incertă atunci când decizia trebuie luată dar nu se cunosc suficient sau deloc evoluția ulterioară a evenimentelor, precum și probabilitățile aferente. În ceea ce privește noțiunea de risc, se pot face anumite anticipări ale evenimentelor ce se pot produce și ale probabilității asociate producerii lor. Profitul potențial urmărit a fi realizat în urma unei investiții trebuie să fie proporțional cu riscul asumat.
Economistul și matematicianul John Maynard Keynes a făcut observații, la rândul său, că determinarea probabilității asociate producerii unui eveniment depinde de cunoștințele la un moment dat, percepția agenților asupra unei situații modificându-se pe masură ce cunoștințele noastre despre această situație devin mai numeroase.
În general, și neo-keynesienii consideră că incertitudinea nu poate fi redusă la risc sau nu se asimilează cu acesta. Între cele două noțiuni există o diferență rezultată din posibilitatea cuantificării sau nu a lor. Aceștia susțin că este vorba despre risc, dacă evenimentele neprevăzute ce se produc au exact antecedentele lor din trecut. Înseamnă că se poate prevedea posibilitatea producerii lor precum și a dimensiunii consecințelor acestora. Dificultatea apare în momentul în care evenimentele ce se pot produce au aspect unic. Este cazul tipic al deciziilor antreprenoriale. Ele nu pot fi fundamentate pe probailități calculate empiric. În opinia acestor adepți evenimentele respective sunt imposibil de cuantificat, „de probabilizat”, dacă este vorba de incertitudine.
Combatanții acestei teorii se împart în două categorii. O categorie care admite că nimic pe lume nu este cu adevărat unic și că toate deciziile antreprenoriale pot fi întotdeauna apropiate de deciziile luate în trecut, de către alții. În această situație, evenimentelor ce se pot produce le sunt asociate probabilități, în întregime subiective. Ca atare, prezența probabilităților elimină incertitudinea, reducând-o la starea de risc. A doua categorie de combatanți, printre care și Shackle, susține că fiecare decizie este unică deoarece cea care a precedat-o a transformat lumea economică a agentului care trebuie să ia decizia. Ceea ce este nou nu poate fi readus la date statistice trecute. Însă în acest caz, Shackle este de părere că evenimentul poate fi estimat printr-o abordare subiectivă, incertitudinea fiind din nou redusă la risc (Shackle G.L.S., 1967).
De partea cealaltă, din perspectiva lui Thomas Cool (2001), riscul nu poate fi opus incertitudinii, așa cum o face Knight, având în vedere faptul că certitudinea și incertitudinea sunt dichotomice, deci dacă o situație este incertă, atunci ne aflăm în condiții de incertitudine, nemaifiind vorba de un proces de alocare a probabilităților. De asemenea, dacă ne găsim în condiții de incertitudine și considerăm că toate evenimentele au aceeași probabilitate de producere atunci, potrivit teoriei lui Knight, nu se mai poate vorbi de incertitudine.
Poziția lui Thomas Cool se înscrie în linia economiștilor tradiționali, din școala neo-clasica, care nu validează distincția făcută de Knight considerând că este legitim să o ignore. Astfel că în aceste condiții incertitudinea a fost redusă la un caz de risc pur fară a se mai lua în discuție probabilitatea. 2
„Majoritatea teoriilor economice ale comportamentului în incertitudine utilizează această abordare, postulând existența unei funcții de utilitate de tip Neumann-Morgenstern, care presupune că agenții economici percep lipsa de certitudine sub forma riscului (subiectiv). Totuși există anumiți teoreticieni ai incertitudinii care consideră că abordarea de tip Neumann-Morgenstern pentru descrierea comportamentului în incertitudine este inacceptabilă” (Hez J., 1979).
Pentru a conchide acest paralelism între incertitudine și risc, trebuie subliniat faptul că „evenimentul aleatoriu își rezervă dreptul de a se produce sau nu, pentru că incompleta cunoaștere a credințelor face ca rezultatul să nu mai fie univoc determinat, determinante fiind șansele de producere aflate în legătură directă cu acea parte din condiții pe care am reușit să o detectăm. Fie că reușim sau nu să determinăm valorile de probabilitate, ele există și nu au nimic de-a face cu disputele noastre referitoare la incertitudine și risc.” 3
Capitolul II – MANAGEMENTUL RISCURILOR
În prezent amplitudinea și complexitatea actelor (proceselor) economice au generat o varietate largă a riscurilor ce depășește cu mult sfera riscurilor tradiționale, naturale cu care era obișnuită umanitatea și antreprenorii ce realizau activități economice.
Astfel organizațiile din întreaga lume, atât din domeniul privat cât și public, își desfășoară activitatea sub influența mediului economic, politic și social care nu de multe ori generează schimbări imprevizibile ce pot afecta obiectivele de realizat propuse de diverse entități prin planurile inițiale. În fapt potențialele abateri de la planurile inițiale nu reprezintă altceva decât expunerile organizațiilor față de mediile în care își desfășoară activitatea, riscurile cu care acestea se confruntă în realizarea obiectivelor propuse.
Existența unui spectru larg al riscurilor a generat în mod continuu preocupări intense (aspect demonstrat de abundența literaturii în domeniu) in ceea ce privește gestionarea eficientă a riscurilor, creîndu-se astfel proceduri și instrumente moderne ce vizează controlul expunerii entităților la diferiți factori de risc cu scopul de a minimiza riscurile și a valorifica oportunitățile.
Pe cale de consecința în literatura de specialitate a apărut noțiunea de “management al riscurilor”, iar datorită funcției importante pe care o deține în cadrul unei organizații, de-a lungul timpului acest tip de management a fost văzut la inceput ca parte integrantă a mecanismului asigurărilor, iar în prezent este tratat ca parte componentă a științei managementului.
Pentru prima dată “managementul riscurilor” a aparut în anii 1950 când unele întreprinderi (în special în Australia și Noua Zelandă datorită evenimentelor climaterice în care își desfășurau activitatea) și-au creat departamente ce urmăreau crearea unor programe de asigurări, urmărindu-se totodată și controlul pierderilor rezultate urmare producerii riscurilor. De menționat ca unul din promotorii importanți ai conceptului de “management al riscurilor” în perioada imediat următoare a fost Asociația Americană de Management prin publicarea a numeroase articole în Harvard Bussiness Review.
Sfârșitul secolului XX și începutul secolului XXI au fost marcate prin apariția a numeroase publicații și standarde ce vizau riscurile, acestea referindu-se în special la activitatea desfășurată în domeniul privat. S-au reflectat diverse aspecte, experiențe legate de risc, cum ar fi: ce este riscul, cum poate fi identificat, cum poate fi evaluat sau cum poate fi gestionat. Datorită abordărilor diferite în ceea ce privește “managementul riscurilor” și în contextul globalizării s-a ajuns la concluzia că este o necesitate crearea unui cadru standard în ceea ce privește sfera managementului riscurilor, uniformizându-se astfel metodele de management aplicate în domeniu, dar și pentru o întelegere unitară în ceea ce privește aplicarea standardelor de “management al riscurilor” indiferent de țara în care se aplică.
Pentru început, în anul 1990 Organizația Internațională de Standardizare (Internațional Standards Organizațion – ISO) și Institutul de Inginerie Electronică (Electrical and Electronic Engineers – IEEE), au realizat diverse activități pentru elaborarea acestor standarde. Astfel, în anul 2002 a fost elaborate ISO Guide 73:2002 “Risk management; Vocabulary; Guidelines for use in Standards” (ghid de terminologie în Standardul de Manangement al Riscului). De menționat că acest ghid a fost retratat în 2010 referindu-se la domeniul general al managementului riscului. Astfel s-a realizat o standardizare a sensurilor și semnificațiilor prin definirea: termenilor referitori la risc, termenilor referitori la managementul riscului, termeni referitori la procesul de management al riscului, termeni referitori la comunicare și consultare, respectiv definirea termenilor referitori la context.
În același an 2002, Risk Management Standard a fost elaborat și de către unii specialiști din Marea Britanie: Institutul de Management al Riscului (The Institute of Risk Management – IRM), Asociația Managerilor de Asigurare și Risc (The Association of Insurance and Risk Managers – AIRMIC) și Forumul Național pentru Managementul Riscului în Sectorul Public (The National Forum for Risk Management in the Public Sector – ALARM). Acest standard este recomandat organizațiilor atât din domeniul privat cât și din domeniul public (indiferent de domeniul de activitate) și vizează consecințele negative și/sau pozitive ale riscurilor pe termen scurt și lung.
Conform acestui standard managementul riscului în cadrul unei organizații trebuie să se realizeze printr-un proces continuu în corespondență cu strategia acesteia, proces ce se va realiza de manager cu implicarea activă a tuturor angajaților.
Ca atare, standardul în cauză prezintă următoarele linii directoare conform cărora obiectivele organizației se realizează prin:
“- viziunea de ansamblu asupra organizației ce dă posibilitatea desfășurării activității într-o manieră mai consistentă și controlată;
– îmbunătățirea procesului de luare a deciziilor, a planificării și prioritizării obiectivelor și activităților de business, datorită înțelegerii complete și structurate a acestor procese;
– contribuția la alocarea eficientă a capitalului și resurselor organizației;
– reducerea volatilității zonelor neimportante ale afacerii;
– protejarea și îmbunătățirea valorilor și a imaginii firmei;
– optimizarea eficienței operaționale.”
Cele menționate mai sus au fost transpuse de autorii Risk Management Standard (pentru o mai bună înțelegere) într-o schemă logică a “managementului riscurilor” ce trebuie desfășurat în cadrul unei organizații:
Schema 1. Procesul de management al riscului în abordarea IRM / AIRMIC / ALARM
Pe fondul diversității (într-o continuă creștere) factorilor externi și interni ce acționează asupra mediului în care o organizație își desfășura activitatea, cu consecințe în realizarea obiectivelor acesteia se constată marirea spectrului diverselor riscuri la care este expusă o entintate.
Drept urmare se impunea crearea unui nou standard de gestionare eficientă a riscurilor adaptat cerințelor impuse de continua dezvoltare tehnologică și economică în care organizațiile își desfășoară activitatea.
Astfel a fost creat Risk Management Standard ISO 31000 : 2009.
Dacă standardul de management al riscului analizat mai sus vine și structurează managementul riscurilor ca un proces de identificare, analizare, evaluare a riscurilor și apoi de tratare a riscurilor în funcție de toleranța la risc a organizației, standardul ISO 31000 : 2009 instituie principiile necesar a fi implementate pentru realizarea unui management eficient al riscului.
În fapt procesul de management al riscului se realizează cu consultarea și implicarea activă a părților interesate (stakeholders) creându-se pârghii de control a riscurilor ce vor asigura organizația că nu este necesară o tratare ulterioară a acestor riscuri. Standardul tratează în detaliu acest proces, recomandând entităților ce-l realizează să dezvolte un cadru organizațional ce permite integrarea managementului de risc în strategia, planificarea, politica, respectiv în cultura întregii organizații.
Ca atare s-au creat liniile directoare pentru gestionarea eficientă a oricărei forme de risc, indiferent de domeniul de activitate, în orice context și de o manieră transparentă și credibilă.
Principiile ce guvernează acest standard s-au stabilit astfel încât să se urmărească realizarea unui management al riscului ce protejează valoarea, acesta funcționând ca parte integrantă a tuturor proceselor și deciziilor implementate la nivelul organizației în vederea gestionării incertitudinilor. Astfel managementul riscului trebuie să fie bine structurat, dinamic, transparent, cuprinzător și de actualitate, bazat pe cele mai bune informații, conceput pe masura mediului din organizație. Acesta vizează în special factorul uman, contribuind la îmbunătățirea continuă a culturii organizaționale a entității aplicante a standardului în discuție.
În era contemporană platforma acestui tip de management al riscurilor integrat în întreaga structură organizațională poate fi structurată astfel:
1. Identificarea profilului de risc al organizației prin:
– stabilirea contextului intern și extern în care organizația își desfășoară activitatea;
– stabilirea criteriilor și a parametrilor de risc;
– evaluarea stadiului procesului de management al riscurilor la nivelul tuturor proceselor ce se desfășoară în cadrul organizației (stabilirea nivelului de implementare și de dezvoltare a managementului riscului);
– stabilirea profilului de risc prin identificarea și evaluarea riscurilor și a impactului acestora asupra organizației.
2. Funcționalitatea managementului riscurilor la nivelul fiecărei structuri a organizației prin :
– stabilirea strategiei de management al riscurilor și însușirea acesteia de către toți cei implicați în realizarea obiectivelor organizației;
– asigurarea că managementul riscurilor este operațional prin stabilirea unui cadrul practic de identificare, evaluare, tratare și raportare a riscurilor;
– realizarea unui proces amplu de instruire, respectiv stabilirea unor parghii (metode, proceduri, norme) necesare realizării procesului de management al riscurilor.
3. Aplicabilitatea managementului riscurilor în fiecare nivel al organizației, prin :
– utilizarea în mod operativ a unui sistem de management al riscurilor așa cum este implementat în cadrul organizației;
– rezultatele obținute urmare utilizării sunt folosite în mod current, indiferent de palierele de responsabilitate, în luarea deciziilor cu efecte pozitive asupra realizării obiectivelor organizației;
– folosirea în mod curent a pârghiilor necesare realizării procesului de management al riscurilor;
– colaborări permanente cu persoanele interesate (stakeholders) ce utilizează informațiile furnizate de sistemul de management al riscurilor.
4. Dezvoltarea managementului riscurilor bazată pe:
– aplicarea unui sistem de învățământ ce vizează practica în domeniul managementului de risc la toate nivelurile unei organizații;
– în mod continuu rezultatele obținute urmare aplicării managementului riscurilor sunt utilizate pentru îmbunătățirea acestui proces;
– experiența este împărtășită întregii organizații.
Dată fiind platforma prezentată mai sus, conceptul modern de management al riscurilor implementat în cadrul tuturor proceselor organizației, reprezintă în fapt un răspuns (bazat pe experieță) la incertitudinile factorilor de mediu și la necesitatea de a controla cu promptitudine riscurile la care o entitate este expusă în realizarea obiectivelor sale.
De fapt abordarea recentă a procesului de management al riscurilor stabiliște că acesta este realizat de manageri împreună cu întregul personal al organizației, fiind integrat atât în strategia cât și în toate procesele, necesar pentru a identifica evenimentele ce pot afecta entitatea, să gestioneze riscurile în limita apetitului pentru risc, furnizând totodată o asigurare rezonabilă în ceea ce privește realizarea obiectivelor.
Capitolul III – METODOLOGIA DE IMPLEMENTARE ÎN SECTORUL PUBLIC DIN ROMÂNIA A MANAGEMENTULUI RISCULUI
Pornind de la mecanismul de funcționare a managementului riscului, în cele ce urmează autorul lucrării propune o analiză critică a procesului de implementare în România a managementului riscurilor în sistemul public.
Astfel în contextul aderării României la Comunitatea Europeană dar și pe fondul conștientizării necesității de implementare a unui mecanism de gestiune în limite rezonabile a riscurilor, la nivelul instituțiilor de stat în ultimii ani s-a creat cadrul general (legal și organizatoric) necesar introducerii unui sistem de management al riscurilor integrat în procesele pe care acestea le realizează.
Pornind de la experiența și aportul adus de specialiștii englezi la definirea conceptului de management al riscurilor, precum și la standardizarea acestuia (a se vedea procesul de management al riscului în abordarea IRM/AIRMIC/ALARM) la nivel internațional, autoritățile române prin Ministerul Finanțelor Publice – Unitatea Centrală de Armonizare a Sistemelor de Management Financiar și Control a stabilit metodologia de implementare a managementului riscului în instituțiile de stat.
Scopul final este asigurarea în ce privește controlul riscului prin meținerea în limite normale a expunerii instituțiilor la risc, cu efectuarea unor costuri minime. Pentru realizarea acestui scop era necesar crearea unui complex de activități bine stabilite și organizate, avându-se în vedere obiectivele instituțiilor publice, dar și factorii ce influențează activitatea organizației pentru realizarea obiectivelor.
În fapt s-a pornit de la premisa că obiectivul principal în sectorul public este realizarea unui serviciu public de calitate ce trebuie să raspundă necesităților populației, creând astfel un beneficiu pentru publicul larg.
Pentru realizarea obiectivului principal, instituția publică prezintă un conglomerat de obiective stabilite la nivel operațional. Relizarea acetora este foarte mult influențată de acuratețea informațiilor obținute, precum și de foarte mulți factori interni și/sau externi ce generează nesiguranță în realizarea obiectivelor propuse uneori cu consecințe negative asupra mediului în care își desfășoară activitatea (Ex : funcționarea necorespunzătoare a unui serviciu public generea nemulțumirea publicului larg, uneori cu consecințe asupra statului de drept).
Astfel, obținerea rezultatelor așteptate poate fi afectată de diverse influențe negative sau pozitive, ceea ce reprezintă zona de apariție a riscurilor la care este expusă organizația.
În analiza de față, dată fiind natura activițății organizației, respectiv realizarea unui serviciu public, expunerea la risc capătă valențe esențiale în realizarea obiectivelor propuse.
Cuantificarea expunerii la risc se realizează din perspectiva unei combinații între riscul sau probabilitatea ca ceva să se întâmple și impactul producerii unei stari de fapt probabile asupra obiectivelor organizației.
Problematica expunerii la risc pornește de la premisa că desfășurarea oricărei activități a unei organizații implică existența unor riscuri inerente. Dacă însă managementul conștientizează existența acestora se pot lua o serie de masuri pentru a controla producera lor obținându-se asigurări rezonabile de realizare a obiectivelor. De regulă acest control se realizează prin crearea unui sistem intern, cu implicații în toate procesele realizate de o entitate, de gestionare a riscurilor prin identificarea riscurilor, evaluarea riscurilor, stabilirea de măsuri pentru a preîntâmpina producerea riscurilor, precum și prin crearea unui sistem de monitorizare a acestora.
În prezent, complexitatea unei instituții publice (rezultată din necesitatea de a oferi un serviciu public ce trebuie să răspundă nevoilor diversificate ale publicului larg), pe de o parte și limitarea resurselor disponibile necesare gestionării riscurilor, pe de altă parte, au determinat schimbarea viziunii în ceea ce privește riscul și implicațiile acestuia în realizarea obiectivelor unei entități. Ca atare, managementul riscului trebuie să stabilească răspunsul optim la risc, intr-o anumită ordine de priorități stabilită în funcție de profilul riscurilor ce acționează asupra organizației. În fapt trebuie să se stabilească un cadru operațional de control intern pentru gestionarea riscurilor până la un nivel stabilit a fi acceptabil ceea ce în literatura de specialitate nu înseamnă altceva decât identificarea toleranței la risc a organizației sau apetitul la risc.
În România, în sectorul public, managementul riscurilor se bazează pe experianța în domeniu a unor țări precum: Anglia recunoscută ca promotare a unor principii moderne în managementul riscurilor, Franța, țară a cărei legi bugetare se bazează pe principii de gestiune publică eficiente promovate de Comunitatea Europeană și Olanda.
Astfel, din necesitatea de a facilita realizarea eficientă și eficace a obiectivelor unei instituții publice, dar și din necesitatea de a realiza un management intern sănătos în sectorul public, mediul instituțional din țara noastră a creat prin OMFP nr. 946/2005 pentru aprobarea Codului controlului intern/managerial, cuprinzând standardele de control intern/managerial la entitățile publice și pentru dezvoltarea sistemelor de control intern/managerial, cadrul legal de implementare a managementului riscului ca standard de control intern, respectiv ca model de control intern/managerial uniform și coerent în raport cu care se evaluează sistemele de control intern/managerial (implementate de managerii instituțiilor publice), respectiv se identifică zonele și direcțiile de schimbare.
Cu titlu informativ se menționează că în literatura românească de specialitate termenii “managementul riscurilor” sau “gestiunea riscurilor” sunt similari, fară deosebiri semantice, utilizarea lor realizându-se în fucție de interlocutor.
În faza de implementare în sistemul public românesc managementul riscurilor este văzut sub o formă tradițională bazată pe identificarea și evaluarea riscurilor, controlul riscurilor și respectiv monitorizarea, revizuirea și raportarea situației riscurilor.
Odată cu experiența și evoluarea procesului de comunicare și învățare în ceea ce privește gestiunea riscurilor, managerii vor implementa un sistem de control intern bazat pe profilul riscurilor identificate și evaluate, respectiv pe toleranța la risc pe care o comportă față de risc administrația publică în funcției de specificul ei.
În fapt se urmărește implementarea modelului englez2 de îmbunătățire a capacității sectorului public de a face față riscului și incertitudinii.
Figura nr. 1
Modelul prevede un management al riscurilor integrat în întregul sistem de management al organizației, realizat atât de conducere cât și de tot personalul implicat în derularea proceselor desfășurate la toate nivelurile existente. Acesta conține un conglomerat de elemente ce comunică între ele pentru a gestiona eficient riscurile pornind de la ipoteza (bazată pe experiență) că gestionarea unui risc prin masurile realizate poate avea impact și asupra altor riscuri.
Totodată modelul are în vedere că managementul riscurilor nu se realizează în cadrul unei organizații izolate, ci din potrivă se confruntă cu realitatea în care aceasta își desfășoară activitatea denumită context, astfel că rezultatele obținute sunt relevante în luarea deciziilor de realizare a obiectivelor propuse și de adaptabilitate la mediul înconjurător (economic, politic, de piață etc.) în condiții de eficacitate.
Fată de expunerea mai sus prezentată trebuie subliniat că eficiența managementului riscului se poate realiza doar în condițiile determinării toleranței la risc a organizației față de riscurile cu care se confruntă în mod curent.
„Managementul riscului este un proces continuu de învățare din experiențe trecute, proprii sau ale altora. Ceea ce este extrem de important în demersul de a se ajunge la un management al riscurilor eficace este consolidarea permanenta a unei culturi organizaționale a riscurilor. Managementul riscurilor înseamnă responsabilitatea asumată. Aceasta este problema dificilă în calea implementarii unui management al riscurilor eficace, și nu deprinderea unei terminologii sau a unor tehnici.”
Pornind de la modelul de mai sus, în cele ce urmează se supune dezbaterii procesul de management al riscurilor necesar a fi integrat în cultura organizațională astfel încât realizarea obiectivelor unei organizației să se realizeze în condiții optime și de eficacitate. Totodată se va analiza cadrul actual de implementare a managementului riscurilor la nivelul instituțiilor din România.
III.1 Identificarea Riscurilor
Procesul de gestionare a riscurilor într-o organizație demarează prin activitatea de identificare a riscurilor. De fapt este etapa premergătoare stabilirii profilului (profilurilor) riscurilor ce poate influența activitatea desfășurată de entitate pentru realizarea obiectivelor propuse.
Identificarea riscurilor se realizează la nivelul fiecărui proces ce se desfășoară și în raport cu obiectivele propuse a fi realizate. Ca atare este foarte important ca pentru identificarea riscurilor să se stabilească cu exactitate și claritate obiectivele entității. Definirea clară a unui sistem de obiective generale și/sau speciale constituie premisa pentru identificarea evenimentelor ce pot influența pozitiv sau negativ realizarea rezultatelor așteptate.
Identificarea unui risc se realizează cel puțin în raport cu un obiectiv propus. Experiența a demonstrat că datorită complexității proceselor și a interconectivității activităților desfășurate în cadrul unei organizații un risc poate avea consecințe pentru realizarea unuia sau a mai multor obiective, iar impactul acestuia variază în funcție de fiecare obiectiv în parte.
Nu se identifică riscuri ce nu au influență asupra obiectivelor.
Față de expunerile anterioare activitatea de identificare a riscurilor poate fi tratată astfel:
1. Identificarea inițială este caracteristică organizațiilor nou înființate sau atunci când se realizează un nou proces în cadrul desfășurării acticității curente a unei entități deja existente.
2. Identificarea permanentă a riscurilor este specifică organizațiilor care realizează un proces activ de management al riscurilor. Acest tip de identificare se realizează de către managerii ce conștientizează importanța riscurilor în activitatea desfășurată de organizație, identificându-se expunerile și circumstanțele în care acestea pot fi determinate. În acest caz se pune un deosebit accent asupra prevenirii în viitor a riscurilor ce au fost deja identificate.
Pentru un management eficace al riscurilor, identificarea riscurilor trebuie să capete un caracter permanent. Identificarea continuă a riscurilor este conditia necesară pentru stabilitatea activității unei organizații desfășurată într-un cadru aflat într-o permanentă schimbare.
La identificarea și definirea riscurilor trebuie avute în vedere câteva reguli importante:
• Riscul este o incertitudine sau mai exact o probabilitate de realizare a unui eveniment. De menționat că se consideră un risc o situație ce are un impact asupra obiectivului. Riscul nu este ceva ce s-a realizat ci dimpotrivă este o situație dificilă ce trebuie gestionată sau o oportunitate ce trebuie exploatată. Acesta apare sub forma unui eveniment sub influența anumiți factori interni sau externi.
• Responsabilitate în soluționarea situațiilor dificile (de criză) identificate. Identificarea promptă a cauzelor ce au generat aceste situații, rezolvarea acestora cu eficiență fără a genera expunere în activitatea desfășurată de organizație, precum și operaționalizarea unui sistem de prevenire a situațiilor deficile ce pot fi identificate în viitor. Aceste masuri se pot implementa avand la bază un sistem de învățare continuu și un nivel ridicat de maturitate necesar în luarea deciziilor.
• Evenimentele posibile ce nu au un impact asupra activității (proceselor) organizației nu reprezintă riscuri. Identificarea unor posibile evenimente ce nu influențează realizarea obiectivelor nu sunt riscuri (pentru realizarea acestor obiective). În fapt identificarea unor riscuri presupune alocare de resurse de orice natură, iar utilizarea unor resurse pentru identificarea unor evenimente ipotetice, a caror apariție nu crează dezechilibre în activitatea organizației demonstrează ineficiența managementului în general, respectiv nejustificarea costurilor efectuate cu managementul riscurilor (realizat în aceste situații).
• Nu se identifică evenimentele certe. Riscurile în esența lor reprezintă posibilități de apariție a unor situații pentru care organizația trebuie să-și constituie un sistem operațional de gestionare. Stabilirea unor certitudini nu reprezintă obiectul managementul riscurilor și de regulă aceste certitudini generează schimbări de strategie, de obiective etc.
• Nu definiți riscurile prin negarea (nerealizarea) obiectivelor. Principiul conform căruia producerea riscurilor generează nerealizarea obiectivelor nu este în conformitate cu principiile managementului riscurilor. Un management al riscurilor stabilișete riscurile ca fiind posibile evenimente ce pot afecta realizarea obiectivelor propuse genenerând un anumit impact ce poate fi controlat într-o proporție mai mare sau mai mică în funcție de performanțele managementului. Identificarea riscurilor se realizează pe baza unor ipoteze, bazate la rândul lor pe experiență (realizarea în trecut a unor riscuri și impactul acestora asupra activității organizației) scopul fiind stabilirea unui plan de măsuri pentru gestionarea eficientă a acestora.
• Identificarea riscurilor se realizează din prisma cauzei și a efectului acestora asupra obiectivelor. Mai exact riscurile se realizează datorită unor cauze generate de factori externi sau interni, efectul producerii acestora fiind impactul unor evenimente asupra realizării obiectivelor unei organizații. Cauza este cea care generează riscul, iar impactul poate fi influențat de managementul riscurilor prin masurile intreprinse. Astfel că masurile de stabilesc în funcție de cauze nicidecum de risc sau impact.
• Tratament distinct în ceea ce privește riscul inerent sau riscul rezidual. În acest sens trebuie definite clar cele două noțiuni. Riscul inerent reprezintă evenimente, situații etc. ce pot influeța (prin apariția lor) realizarea obiectivului, fără a se interveni prin măsuri de atenuare a acestora. Riscuri inerente țin de activitatea în sine desfășurată de o organizație pentru realizarea obiectivelor și reprezintă de fapt provocări ale managementului pentru gestionarea eficientă a acestora astfel încât impactul lor asupra activității societății să fie unul controlat. Riscul rezidual reprezintă o consecință a aplicării masurilor de control intern asupra riscurilor inerente. Riscul rezidual este consecința faptului că riscurile inerente nu pot fi controlate în totalitate. În realitate caracterul limitat al masurilor de control intern este justificat datorită faptului ca resursele alocate sunt limitate. În fapt aici se identifică toleranța la risc a organizației. Stabilirea unei grad redus de tolerabilitate la risc a entității necesită un sistem eficace de control intern cu implicații imediate în reducerea riscurilor reziduale, astfel că expunerea activității la factorii de mediu se reduce foarte mult permițând realizarea în condiții optime a obiectivelor organizației.
• Abordarea riscurilor se realizează pe baza unor instrumente bine stabilite. Instrumentele utilizate în identificarea riscurilor sunt stabilite pe baza experienței specialiștilor în domeniu. Deși în sistemul public din România expunerea la risc a unei organizații este tratată (în realitate) superficial, în cadrul legal dar și în cultura instituțională se identifică două tipuri de instrumente utilizate pentru identificarea riscurilor. De precizat că cele două tipuri de instrumente au fost preluate după modelele internaționale aplicate în domeniu de către țările cu care România a realizat un schimb de experiențe (Anglia, Franța, respectiv Olanda). Cele două instrumente sunt:
– Autoevaluarea riscurilor. O abordare prin care fiecare nivel și parte a organizației este invitată să își analizeze propriile activități și să contribuie la diagnosticarea riscurilor pe care le au de înfruntat. Acest lucru poate fi făcut printr-o abordare bazată pe documentare (diagnosticarea se realizează prin chestionare), dar uneori poate fi mai eficace derulată prin facilitarea unui atelier de lucru (ce se realizează cu persoane ce pot sprijini entitatea/structura pentru care se identifică riscurile ce afectează atingerea obiectivelor). În fapt se pornește de la premisa că persoanele din cadrul grupului pot să-și identifice cel mai bine riscurile la care este expusă realizarea obiectivelor proprii. Fiind implicați direct în activitate subiectivismul persoanelor în identificarea riscurilor este ridicat, cu consecințe imediate în stabilirea profilului riscurilor (ex. se identifică riscuri nerelevante, dar care în percepția colectivă pot fi importante și invers). În acest caz un rol major este cel al managerului organizației care are o viziune de ansamblu în ceea ce privește desfășurarea activității organizației.
– Analiza riscurilor. În acest sens se desemnează o echipă internă sau externă (de regulă aceștia sunt numiți auditori) care să analizeze toate operațiile și activitățile organizației în relație cu obiectivele și să identifice riscurile asociate. Echipa trebuie să construiască un profil al riscurilor pentru întreaga gamă de activități (dar este important ca folosirea acestei abordări să nu submineze înțelegerea de către conducerea organizației a responsabilității pe care o are în gestionarea riscurilor relevante propriilor obiective). Pe acest model, în principiu dispare subiectivismul, identificarea riscurilor realizându-se pe baza experienței specialiștilor în domeniu.
Cele două metode se pot completa reciproc astfel încât profilul riscurilor să fie stabilit cu exactitate astfel încât sistemul de gestionare a acestora urmând să se realizeze în condiții de eficiență pentru toate nivelele organizației.
• Riscurile identificate trebuie grupate. Gruparea riscurilor identificate se realizează în funcție de profilul activității desfășurate de organizație și de caracteristicile acestora (ex. strategice, operaționale clasificate în funcție de sfera de influență unde pot acționa). Scopul principal al grupării este de a le administra ulterior corespunzător.
Cu titlu de exemplu, redăm mai jos tabelul cuprinzând categoriile de riscuri realizat de Ministerul Finanțelor din Anglia (Treasury) menit să sprijine organizațiile să verifice dacă au luat în considerare întreaga gamă de riscuri ce pot apare.
Categorii de riscuri
1. Externe (care decurg din mediul extern și nu pot fi controlate în totalitate de organizație, dar pentru care pot fi luate măsuri de atenuare):
1.1. Politice
1.2. Economice
1.3. Socio-culturale
1.4. Tehnologice
1.5. Juridice
1.6. De mediu
2. Operaționale (legate de operațiile curente, atât modul curent de desfășurare a activității, cât și construirea și menținerea capacității și capabilității):
2.1. Desfășurarea activității:
2.1.1. Posibilitatea de a furniza un produs/serviciu
2.1.2. Derularea activităților/proiectelor
2.2. Capacitate și capabilitate
2.2.1. Resurse (active, umane, financiare, informaționale)
2.2.2. Relații
2.2.3. Operații (obținerea rezultatelor)
2.2.4. Reputație
2.3. Modul și capacitatea de gestionare a riscurilor
2.3.1. Guvernanța (regularitate și corectitudine)
2.3.2. Explorare (capacitatea de identificare riscuri și oportunități)
2.3.3. Flexibilitate și adaptabilitate
2.3.4. Securitate (active, socială, informațională)
3. Schimbarea (riscuri ce țin de obiective, care depășesc capacitatea actuală)
3.1. Noi strategii
3.2. Noi politici
3.3. Noi programe
3.4. Noi proiecte
Față de elementele de principiu menționate mai sus, ce trebuiesc a fi avute în vedere la identificarea riscurilor, managementul riscurilor în această etapă trebuie să se realizeze cu operativitate și obiectivitate astfel încât controlul intern ce urmează a fi implementat să răspundă cu promptitudine nevoilor organizației de a face față influențelor factorilor interni sau externi ce acționează asupra acesteia.
III.2 Evaluarea Riscurilor
Odată riscurile identificate se trece la a doua etapă, de evaluare a riscurilor. Acest proces presupune în fapt evaluarea importanței riscurilor raportat la activitatea/procesul unde a fost identificat. De regulă evaluarea riscurilor se realizează pe o scală numerică (mai ales în cazul riscurilor de natură financiară), dar există și riscuri ce se evaluează dintr-o perspectivă mai subiectivă (ex. : riscul de imagine, riscul de credibilitate etc.) și din acest punct de vedere evaluarea acestora devine mai mult o artă decât o știință.
Necesitatea evaluării importanței riscurilor reprezintă o necesitate pentru prioritizarea acțiunilor ulterioare ce vor fi intreprinse pentru realizarea unui control adecvat al riscurilor astfel încât acestea să se încadreze în limitele de tolerabilitate ale organizației.
În esență însă evaluarea riscurilor tratează doi indicatori esențiali pentru stabilirea importanței riscurilor. Astfel vorbim pe de o parte de probabilitatea de realizare a unui risc și nivelul estimat al acesteia, iar pe de altă parte de impactul realizării acestuia asupra obiectivelor de realizat. Combinația dintre cei doi indicatori reprezintă expunerea la risc a organizației într-un mediu dat în care aceasta își desfășoară activitatea.
De principiu, în această etapă managementul crează un sistem-cadru bazat în principal pe dovezi clare și imparțiale, avându-se în vedere toți factorii ce acționează asupra mediului intern și extern în care organizația își desfășoară activitatea.
Acest sistem de evaluare a riscurilor trebuie să trateze individual expunerea organizației la fiecare risc, să permită înregistrarea evaluării riscurilor urmărindu-se, într-un mod transparent, monitorizarea riscurilor și identificarea ordinii de priorități în tratarea riscurilor.
Totodată este foarte important ca sistemul de evaluare să permită diferențierea riscurilor inerente de cele reziduale, astfel încât resursele (financiare, umane, etc.) să fie folosite exclusiv pentru crearea unui sistem de control intern ce va acționa doar asupra riscurilor inerente astfel încât rezultatele obținute (eventualele riscuri reziduale) să fie încadrate în limitele de tolerabilitate ale organizației. Altfel spus nu se dorește o supra dimensionare a controlului intern ce acționează asupra riscurilor inerent, folosindu-se într-un mod optim resursele organizației.
Evaluarea riscurilor impune necesitatea cunoașterii riscului inerent și determinarea riscului rezidual, care se completează cu etapa de tratare a riscurilor.
Un sistem de evaluare a riscurilor bine construit crează premisele pentru a stabili cele mai adecvate modalități de tratare a riscurilor, respectiv pentru a stabili cele mai potrivite nivele decizionale responsabile de gestionarea eficientă a riscurilor.
În această etapă intervine responsabilitatea managementului în ceea ce privește conștientizarea riscului ce poate acționa asupra organizației, treptele (limitele) sistemului de evaluare permițând încadrarea acestuia la nivelul corespunzător (ex. : nesemnificativ/minor/ moderat/major/grav) în funcție de probabilitatea și impactul realizării acestuia. Altfel spus crearea unui model matriceal (bazat pe cei doi indicatori “probabilitate” și “impact”) pentru evaluarea riscurilor este în fapt factorul determinant pentru cuantificarea expunerii la risc a unei entități, încadrarea unui potențial risc depinzând de maturitatea (bazată pe experiență și cazuistica întâlnită în trecut) managementului organizației în tratarea fiecărui risc în parte.
Pentru ierarhizarea riscurilor, managementul va proceda la compararea acestora, în acest sens la nivelul organizației este necesar a se stabili o metodă unitară de evaluare a riscurilor în funcție de probabilitatea, impactul și expunerea la risc a organizației.
În practică nu există un standard pentru realizarea matricei riscurilor. Raționamentul pe care trebuie să-l aplice fiecare organizație în analiza riscurilor trebuie să fie stabilit astfel încât să deservească cel mai bine intereselor acesteia.
Problema majoră în acest caz este atitudinea managementului față de riscuri, mai ales în cazul riscurilor ce nu pot fi cuantificate (ex.: risc de brand) sau pentru care nu există suficiente date în cadrul organizației.
Pentru o mai bună înțelegere a procesului de evaluare a riscurilor, acesta poate fi structurat în trei etape :
1. evaluarea probabilității de concretizare a riscului identificat;
2. evaluarea impactului urmare concretizării riscului identificat;
3. evaluarea expunerii la risc a organizației.
1. Evaluarea probabilității de concretizare a riscului identificat
Pentru evaluarea probabilității de concretizare a unui risc se pornește de la premisa că există o incertitudine în ceea ce privește apariția unui eveniment (situație) caz în care realizarea obiectivelor organizației este afectată. Față de această premisă managementul încearcă să realizeze o cuantificare a incertitudinii prin stabilirea probabilității de apariție a respectivului eveniment.
Metoda are la bază date statistice obținute urmare experienței acumulate, analizându-se riscuri ce s-au materializat în trecut și care se pot manifesta și în viitor dacă nu se iau masuri concrete de gestionare a lor.
Pentru o mai bună înțelegere a fenomenului se vor exemplica în cele ce urmează câteva cazuri : Pe baza informațiilor deținute se constată că : din 100 de angajați dintr-o organizație 20 nu respectă orarul de lucru (riscul de nerespectare a orarului de muncă este de 20%); din 50 de loturi de produse finite la 5 loturi se constată defecțiuni, pagube (riscul de nerealizare a producției este de 10%) ; din 200 de ha cultivate 15 ha sunt afectate de inundații (riscul de nerealizare a recoltei din cauza inundațiilor este de 7,5%).
Pornind de premisa că managementul riscurilor este un proces de învățare și având în vedere faptul că riscurile materializate în trecut pot să apară și în viitor dacă circumstanțele nu se modifică, se apreciază că stabilirea frecvenței acestor riscuri generează complexitatea măsurilor de control intern ce urmează a fi implementate astfel încât probabilitatea de apariție să fie încadrată în limite rezonabile.
Insă probabilitatea de apariție a riscurilor nu se masuară doar pe date statistice, empirice.
Probabilitatea de materializare a unor riscuri se poate realiza și prin analiza circumstanțelor.
Principiul logic al acestei analize (metode) este : aceleași cauze generează aceleași efecte. Altfel spus, în situația în care nu se poate stabili o anumită frecvență de materializare a riscurilor, managementul organizației pe baza unor corelații pot identifica condițiile care favorizează apariția riscului și în antiteză condițiile care defavorizează apariția acestuia. Prin urmare dacă se face o analiză a cauzelor ce generează apariția riscurilor se pot stabili șansele de materializare a acestora. Prin însuși natura sa riscul are atât o cauză cât și un efect, astfel că stabilirea circumstanțelor, cauzelor ce generează un risc pot crea o imagine în ceea ce privește probabilitatea de realizare a acestora.
Spre exemplu: reducerea puterii de cumpărare generează reducerea consumului produselor de lux; lipsa personalului calificat și nivelul scăzut al programelor de pregătire profesională sunt cauze ce duc la stagnarea sau reducerea calității serviciilor sau produselor realizate de o companie; creșterea birocrației instituițiilor statului și slaba pregătire a personalului acestora generează apariția riscului de imagine nefavorabilă a statului față de contribuabili; dotarea cu echipamente informatice performante reduc incidentele hardware și software etc.
Față de cele menționate mai sus concluzionăm că metoda analizei circumstanțelor se realizează atunci când se analizează riscuri potențiale pentru care nu există o cazuistică bine stabilită din trecut, în aceste cazuri metoda clasică (bazată pe frecvența de apariție a riscurilor) de evaluare a probabilității de apariție a riscurilor este practic ineficientă.
Cu toate acestea trebuie subliniat că această metodă prezintă un grad de relativitate destul de ridicat, însă acesta poate fi diminuat cu existența unor informații (ce stau la baza evaluării) clare, pertinente, la obiect, informații ce trebuie să constituie o bază solidă pentru stabilirea importanței riscului analizat. Astfel pentru această metodă este foarte importantă faza de documentare a riscurilor. Cu cât documentarea este mai bună cu atât evaluarea riscurilor este mai realistă. De asemenea latura subiectivă a evaluării este foarte important a fi înlăturată prin evaluări independente și ulterior prin coroborarea acestora cu autoevalurile realizate de fiecare structură a organizației asupra căruia se poate materializa un risc.
Atunci când vorbim de metoda analizei circumstanțelor, domeniul în care funcția de probabilitate ia valori se poate înlocui cu o scală de evaluare.
Pentru început, scala de evaluare a probabilității de materializare a riscurilor se stabilește în trei trepte, după cum urmează:
Pragurile de 30% sau 70% nu au semnificația unor praguri de la care probabilitatea poate fi considerată ca fiind medie sau ridicată. Nu există un standard de probabilitate universal acceptat în managementul riscurilor ce conține anumite trepte ce delimitează nivelul de probabilitate. În practică masurarea probabilității de materializare a unui risc se stabilește în funcție de atitudinea față de risc a managementului organizației, de nivelul informațiilor de care se dispune dar și de natura riscului supus analizei.
Spre exemplu: dacă într-o instituție publică 3% din personalul ce lucrează direct cu publicul este slab pregătit, probabilitatea realizării unui prejudiciu de imagine a instituției este foarte ridicată, cu consecințe nefavorabile imediate asupra calității actului public (prestării de serviciu efectuată) și de multe ori cu consecințe negative asupra consumatorilor (contribuabililor) acestuia.
Pe măsură ce managementul conștientizează importanța evaluării cât mai exacte a riscurilor la care organizația este expusă (cu consecințe în implementarea corespunzătoare a masurilor de control intern) nivelul de stabilire a probabilității de materializare a unui risc se poate realiza prin metoda circunstanțelor într-un mod mai analitic utilizându-se de regulă cinci trepte de încadrare a acestei probabilități. Sigur ca această scală poate fi utilizată doar dacă managementul riscurilor este complet integrat în structura organizațională a entității analizate, iar nivel informațional (documentarea) privind riscul supus discuție este foarte ridicat.
Trebuie subliniat că evaluarea în cinci trepte este importantă atunci când managementul riscurilor a acumulat suficientă experiență, iar acuratețea informațiilor obținute în procedura de evaluare a riscurilor este foarte importantă pentru crearea cadrului de control intern corespunzător și eficient. Deși tendința este de a se realiza o încadrare cât mai exactă a probabilității de materializare a unui risc, se reține că este foarte important să se stabilească măsurile de diminuare a posibilității de materializare a riscurilor, sau altfel spus, trebuie să nu ne pierdem în amănunte de detaliere a evaluării riscurilor în detrimentul elaborării unui cadru organizațional (control intern) optim de gestiune a riscurilor. Cu toate acestea există și necesități când pentru anumite riscuri se utilizează scale mai analitice.
Față de cele menționate în prezenta secțiune se concluzionează că evaluările cantitative (bazate pe metoda frecvențelor de materializare a riscurilor) sunt mult mai concrete decât evaluările calitative (bazate pe metoda circumstanțelor de materializare a riscurilor). Astfel că managementul riscurilor trebuie să se orienteze spre acele evaluări care permit stabilirea unor valori concrete de evaluare a riscurilor (bazate pe date statistice) și doar atunci când este cazul (ex.: riscuri care nu s-au materializat până în prezent) să apeleze la analiza cauzelor sau a circumstanțelor ce pot genera riscurile potențiale.
2. Evaluarea impactului urmare concretizării riscului identificat
Pentru a evalua impactul materializării riscurilor asupra obiectivelor unei organizații este necesar a se defini noțiunea de „impact”. În fapt impactul reprezintă „consecința” negativă sau pozitivă (în funcție de natura riscului) asupra rezultatelor propuse (așteptate). Ca atare întreaga organizație (atât managementul cât si celălalt personal) este interesată să cunoască consecințele materializării riscurilor, de aici și necesitatea de evaluare a impactului riscurilor.
Așa cum s-a arătat în secțiunea anterioară evaluările cantitative ale probabilităților de materializare a riscurilor trebuiesc realizate ori de câte ori datele statistice permit asemenea evaluări obținându-se rezultate cât mai obiective. Aceeași idee este preluată și în cazul evaluării impactului riscurilor rezultatele evaluării fiind mult mai relevante în cazul evaluărilor cantitative, însă ulterior aceste evaluări trebuiesc transpuse în evaluări calitative realizându-se astfel o imagine unitară (atât din punct de vedere al probabilității, cât și din punct de vedere al impactului) asupra riscurilor ce pot afecta organizația.
Evaluarea calitativă a riscurilor este foarte importantă mai ales în cazul obiectivelor strategice, evaluarea impactului fiind o problemă dificilă ce necesită studii de impact. De regulă în aceste situații organizația beneficiază de un sistem de management al riscurilor integrat în întregul nivel organizațional.
În teoria evaluării impactului riscurilor, literatura de specialitate a descompus impactul, în funcție de natura consecințelor, în:
Ic – componenta calitativă (care poate cuprinde indicatori cantitativi) – unde sunt prezentate într-un mod descriptiv consecințele calitative;
Ib – componenta bugetară și/sau patrimonială – situație în care sunt analizate elementele de costuri;
Ie – componenta efort – unde se tratează munca (timpul de muncă) ce trebuie depusă;
It – componenta de timp – unde se tratează întârzierile posibile în termenul de realizare a obiectivelor.
Deși s-au stabilit mai multe abordări de evaluare a impactului riscurilor, în practică nu este obligatoriu ca evaluarea impactul să se realizeze prin prisma tuturor acestor abordări, întrucât uneori nu este posibil, iar alteori nu este relevant. Se vor lua în considerare acele componente care permit evaluarea corespunzătoare a impactului materializării riscurilor.
Pentru o mai bună înțelegere, în cele ce urmează se exempifică câteva cazuri reprezentative de analiză (evaluare) a impactului:
– impactul produs de dotarea necorespunzătoare a unei unități de producție cu echipamente tehnologice performante :
– Ic – performanțele producției obținute nesatisfăcătoare cu consecințe negative în calitatea serviciilor prestate sau a bunurilor realizate;
– Ib – creșterea costurilor de producție (10 mii.lei/an efort bugetar – datorită pagubelor, risipei generate de eroarea umană în fluxul de producție;
– Ie – creșterea timpului de muncă pentru realizarea unui ciclu de producție;
– It – neonorarea la termen a comenzilor etc.
– impactul produs de neplata la termenul legal a obligațiilor fiscale la bugetul general consolidat al statului:
– Ic – deficit bugetar/diminuarea veniturilor bugetare
– Ib – îndatorarea statului de pe piețele financiare, plata dobânzilor
– impactul produs de instabilitatea legislației fiscale:
– Ic – lipsa investițiilor, reducerea credibilității
– Ib – reducerea veniturilor bugetare
Pentru a evalua impactul materializării unor riscuri este foarte important ca obiectivele propuse să fie măsurabile prin indicatori de rezultate (performanțe) ce pot fi cuantificați. Astfel, se presupune că, realizarea riscului produce efecte (consecințe, fluctuații) asupra nivelului indicatorilor asociați obiectivelor propuse, de unde și concluzia managementului în ce măsură obiectivele de realizat sunt influențate de materializarea unui risc. Altfel spus impactul riscurilor trebuie tratat prin prisma efectului pe care îl are materializarea lor asupra indicatorilor de rezultate.
Indiferent de modul de evaluare a impactului riscurilor, rezultatele obținute trebuiesc transpuse (calitativ) în raport cu obiectivele organizației.
Așa cum s-a prezentat și în cazul evaluării probabilității de materializare a riscurilor, pentru început se vor utiliza trei trepte de ierarhizare, dupa cum urmează:
Ulterior pe măsură ce managementul organizației devine mai receptiv la evaluarea impactului riscurilor, în funcție de nevoia de detaliere, organizația poate proceda la evaluarea impactului riscurilor în cinci trepte după cum urmează:
Cu toate acestea se subliniază că nu trebuie renunțat la evaluările cantitative și ori de câte ori există posibilitatea evaluărilor cantitative (bazate pe rezultate concrete ce pot fi cuantificate în valori absolute) acestea trebuiesc realizate întrucât permit decidentului să aibă o imagine obiectivă în ce privește impactul materializării riscurilor asupra obiectivelor prestabilite. De menționat că evaluarea cantitativă poate fi realizată, așa cum am mai precizat, doar dacă documentarea riscurilor este amplă și furnizează informații complexe privind natura riscurilor analizate.
3. Evaluarea expunerii la risc a organizației.
În teoria riscurilor “expunerea la risc” reprezintă o combinație a celor două componente utilizate în evaluarea riscurilor, respectiv probabilitatea și impactul apariției riscurilor asupra obiectivelor organizației. Noțiunea în sine este văzută ca un concept probabilistic, ce poate fi luat în discuție doar înaintea materializării riscurilor. Dacă însă riscul s-a concretizat probabilitatea este 1 ceea ce înseamnă că evenimentul este sigur, avem o certitudine, singura problemă cu care se confruntă organizația este de fapt evaluarea impactului ca urmare a materializării riscului.
Față de evaluarea probabilității de concretizare a riscului identificat, respectiv evaluarea impactului urmare concretizării riscului identificat, unde ierarhizarea riscurilor s-a realizat avându-se în vedere doar unul din indicatorii (probabilitatea sau impactul) ce determină cuantificarea unui risc, în cazul evaluării expunerii la risc a organizației procedura impune crearea unei scale matriceale, în funcție de fluctuațiile celor doi indicatori anterior menționați.
Așa cum am prezentat și în secțiunile anterioare, pentru început managementul unei organizații este recomandabil a utiliza evaluarea riscurilor în trei trepte de ierarhizare după cum urmează:
Față de matricea obținută se poate observa că pentru fiecare linie în parte corespunde un nivel de impact al riscului, iar pentru fiecare coloană corespunde un nivel de probabilitate de materializare a riscului supus analizei.
Nivelul de ierarhizare a riscurilor, respectiv limitele în care este încadrat un risc atât din punct de vedere al probabilității cât și din punct de vedere al impactului se stabilește de managementul organizației în funcție de natura riscurilor, “documentarea riscurilor”, apetitul de risc al organizației și receptivitatea managementului în ceea ce privește analiza riscurilor. Astfel în practică nu există un standard absolut de ierarhizare a riscurilor, ceea ce este însă foarte important fundamentarea acestei ierarhizări trebuie să aibă la bază analize obiective (pe cât posibil evaluări cantitative bazate pe experiența din trecut) cuantificatate în valori absolute ce ulterior sunt transpuse în valori calitative (scăzut, mediu, ridicat). Pentru aceasta este foarte important ca managementul riscurilor să cunoască riscurile inerente ce pot acționa asupra organizației influențând realizarea obiectivelor propuse.
De asemenea, în procedura de evaluare este foarte important, ca pe lângă ierarhizarea riscurilor să se realizeze și un profil al riscurilor. Profilul riscurilor se stabilește de managementul fiecărei organizații în parte, în funcție de circumstanțele și percepția riscurilor. Din aceste motive este foarte important de știut că în practică nu există două organizații care au același profil al riscurilor, chiar dacă desfășoară aceleași activități, au aceleași obiective sau activează în cadrul aceluiași mediu.
Mai departe, pe masură ce managementul riscurilor este integrat la nivelul întregii organizații, factorul decizional, pentru o evaluare analitică a riscurilor inerente în vederea implementării unui control intern riguros poate construi o scală matriceală cu 5 nivele de ierarhizare după cum urmează:
Sigur că expunerea la risc abordată pe baza structurii matriceale de mai sus permite o analiză în detaliu a riscurilor potențiale, dar doar atunci când managemenetul riscurilor este suficient de matur. De altfel în acest caz managementul este capabil să trateze un risc cu expunerea FS – FS față de un risc cu expunerea S – S.
Pentru a putea observa mai exact importanța acestei scale matriceale ce ierarhizează riscurile nivelele în cauză se vor identifica cu valori absolute, astfel:
Această expunere se realizează de regulă în teorie pentru o mai bună înțelegere a fenomenului, în practică însă, riscurile ce prezintă o valoare absolută a expunerii organizației de 8 spre exemplu, nu pot fi încadrate în aceeași categorie, întrucât un risc cu probabilitate foarte scăzută și impact ridicat nu poate fi tratat la fel ca un risc cu probabilitate ridicată și impact foarte scăzut, astfel că această ierarhizare, având la bază scale numerice, prezintă marele dezavantaj că atenuează semnificația rezultatelor.
Dacă totuși se utilizează această metodă de evaluare este obligatoriu pentru acuratețea informațiilor ca scalele numerice să fie dublate de scale calitative așa cum s-a prezentat mai sus. Totodată nivelul informațional de cunoaștere a riscurilor (documentarea riscurilor) este foarte important în această analiză mai ales din prisma fundamentării semnificației riscurilor în procedura de ierarhizare. De altfel este bine ca întreaga procedură de evaluare să se realizeze pe baza unui echilibru între simplificare și detaliere astfel încât să nu fim copleșiți de amănunte ce pot afecta nefavorabil rezultatele evaluării, respectiv clasificarea corespunzătoare a riscurilor.
Având în vedere componenta probabilistică în ceea ce privește expunerea la risc a unei organizații, un management al riscurilor integrat în întreg sistemul organizațional, tratează riscurile cu probabilitate scăzută ca fiind amenințări și riscurile cu probabilitate ridicată ca fiind oportunități. În fapt se realizează o transpunere a riscurilor în ipoteze de lucru pe baza cărora ulterior se realizează construcția controlului intern. Sigur că această abordare poate fi avută în vedere în situația în care nivelul impactului nu este semnificativ. Dacă totuși există un nivel al impactului ridicat dar un nivel al probabilității scăzute, ipotezele de lucru trebuiesc dublate de măsuri de monitorizare a riscurilor întrucât circumstanțele de lucru se modifică ca atare crește probabilitatea de apariție a riscurilor, iar efectele ar fi catastrofale.
Expunerea teoretică în ceea ce privește evaluarea riscurilor, precum și a măsurilor de gestionare a acestora își găsește aplicabilitate în exemplul construit de Ministerul Finanțelor Publice din România – Unitatea Centrală de Armonizare a Sistemelor de Management Financiar și Control și reprezintă o situație reală dintr-o unitate de management a fondurilor europene (UMFE).
Astfel, datorită faptului că fondurile europene aferente proiectelor admise la finanțare sosesc cu întârziere, apăreau foarte des situațiile în care UMFE nu puteau face plățile către beneficiarii finanțării în momentele când erau solicitate. Întârzierile în plăți generau întârzieri în derularea proiectelor și în întocmirea noilor solicitări ce aveau la bază justificarea cheltuielilor eligibile efectuate. Capacitatea scăzută de autofinanțare a titularilor de proiecte, precum și costurile destul de ridicate a resurselor împrumutate, ca și condițiile de garantare a împrumuturilor puteau genera un blocaj cu consecințe în neutilizarea fondurilor europene alocate României în cadrul unor programe.
UMFE a identificat riscul “întârzieri în plăți”, cauzele care facilitează apariția acestui risc (proceduri de lungă durată de autorizare a eliberării fondurilor practicate de Comisia Europeană, autofinanțare scăzută, acces limitat al titularilor de proiecte la credite etc.) și consecințele materializării acestui risc (neutilizarea fondurilor aferente proiectelor admise la finanțare și anularea lor, după perioada de neutilizare prevăzută în acorduri). Prin evaluare s-a stabilit ca acest risc are o expunere foarte mare. Deasemenea, UMFE a constatat că acest risc nu este sub controlul său, deoarece nu poate interveni în mod direct asupra cauzelor.
Solicitările UMFE adresate Comisiei Europene de a simplifica procedurile s-ar fi soldat cu un refuz, deoarece România este percepută ca o cu risc ridicat de neregularitate. De asemenea, introducerea unor criterii suplimentare de eligibilitate (capacitate de asigurare temporară a resurselor proprii) nu ar fi întrunit acordul beneficiarilor care ar fi invocat înăsprirea condițiilor de eligibilitate în raport cu cele prevăzute în acordurile de finanțare.
Pentru UMFE situația era destul de complicată, deoarece riscul “întârzieri în plăți” afecta însăși obiectivul său de bază (derivat din scopul constituirii organizației) și anume: utilizare cât mai deplină a fondurilor puse la dispoziție de către Uniunea Europeană (eventual se poate presupune că acest obiectiv avea atașat și un indicator de rezultat cum ar fi: 95% din fondurile aferente proiectelor admise la finanțare sunt utilizate).
Acceptarea unui astfel de risc nu era posibilă deoarece ar fi însemnat punerea sub semnul întrebării a rațiunii de a există a organizației.
UMFE a constatat că obiectivul său derivă dintr-un obiectiv mai general, gestionat de către Guvern și anume: creșterea capacității României de absorbție a fondurilor europene. Prin urmare, Guvernul este interesat în controlarea acestui risc de către UMFE.
Pornind de la aceasta constatare, UMFE a propus constituirea unui fond, alimentat cu titlu de avans de la bugetul statului, care să acopere temporar golurile de finanțare datorate întârzierilor generate de autorizările Comisiei Europene, urmând ca la primirea finanțării externe să se restituie la buget suma avansată.
Constituirea a fost acceptată și UMFE a operaționalizat fondul cu sprijinul Ministerului Finanțelor Publice.
Prin luarea acestei măsuri, UMFE a internalizat controlul riscului de întârziere în plăți. Ca urmare, a constituit un sistem de evidență contabilă a fondului, a elaborat o procedură de legătură cu bugetul statului și una de stabilire a necesarului de finanțare temporară a golurilor de finanțare externă. Toate aceste măsuri de control intern au făcut ca expunerea la riscul inițial (numit risc inerent) să scadă simțitor (probabilitate foarte mică, impact foarte mic).
Riscul, care rămâne după aplicarea măsurilor de control intern, este numit risc rezidual. De asemenea, se reamintește faptul că prin control intern nu se înțelege exclusiv “verificare”, ci ansamblul procedeelor prin care se obține o asigurare rezonabilă că obiectivele sunt atinse. În exemplul de mai sus riscul rezidual, cu expunerea probabilitate foarte mică – impact foarte redus, este rezultatul măsurilor de control intern (evidența contabilă a fondului, proceduri etc.) aplicate în vederea atenuării riscului inerent “întârziere în plăți” caracterizat prin expunerea “probabilitate foarte mare – impact foarte ridicat”.
O perioadă de timp, sistemul a funcționat conform așteptărilor fără să iasă la iveală o eroare de proiectare a sistemului de control intern. Eroarea s-a datorat neidentificării unui risc, despre care vom vorbi în continuare, sau considerarea acestuia ca fiind o ipoteză. Este vorba despre riscul valutar care decurge din următoarele circumstanțe:
– fondurile europene se transmit în euro într-un cont deschis pe numele UMFE la o bancă agreată;
– fondurile provenite de la buget sunt transmise în lei într-un cont deschis la aceiași bancă, pe numele UMFE;
– plățile către titularii de proiecte se fac în euro (urmează regimul fondurilor europene, și nu regimul fondului de acoperire temporară a golului de finanțare).
Operațiunile se desfășurau în următoarea secvență:
Faza I – fondurile europene aferente proiectului X (contabilitatea se ține pe proiect) nu sosiseră în contul euro, iar plata în euro către titularul de proiect trebuia efectuată – operațiuni:
– solicitare fonduri de la buget, la cursul de vânzare euro al băncii ce administra cele două conturi (în lei și în euro) ale UMFE;
– transmitere fonduri, cumpărare euro, plata către beneficiar;
– înregistrare contabilă.
Faza a II-a – sosesc fondurile europene – operațiuni:
– se vând euro la cursul de cumpărare al băncii ce administra conturile;
– leii se virau la bugetul de stat;
– se efectuau înregistrările contabile.
La prima vedere s-ar părea ca a fost o scăpare inadmisibilă a UMFE. Constatarea este însă numai pe jumătate adevărată.
În perioada când s-a făcut analiza, leul urma o tendință de devalorizare continua față de euro. Prin urmare riscul “de inversare a tendinței de evoluție a leului în raport cu valuta europeană și intrarea acestuia într-un culoar de oscilație” avea o probabilitate de apariție foarte redusă. UMFE a considerat acest risc drept o ipoteză, fapt pentru care a construit sistemul bazându-se pe premisa că leul se va devaloriza în continuare, ceea ce înseamnă același lucru cu ipoteza că riscul menționat nu se va materializa cel puțin într-o perioadă previzibilă. Și așa s-a și întâmplat o perioadă bună de timp. Diferența de curs leu/euro între momentul finanțării golului de resurse datorat întârzierii sosirii fondurilor europene și momentul restituirii avansului bugetar, ca urmare a sosirii fondurilor europene, era suficient de mare ca să acopere diferența dintre cursul de vânzare și cel de cumpărare practicat de banca ce administra cele două conturi, și să creeze chiar un surplus nominal la bugetul de stat.
Eroarea UMFE a constat în faptul că a ignorat impactul materializării riscului de “inversare a tendinței de devalorizare a leului și intrarea acestuia într-un culoar de fluctuație”. Deși acest risc avea o probabilitate mică de apariție, în momentul analizei el avea însă un impact foarte mare, asupra obiectivului UMFE, de a minimiza pierderile bugetare.
Nu este greu de observat că intrarea leului într-o tendință de apreciere față de euro face ca gestiunea fondului în lei, constituit pe seama bugetului în vederea finanțării temporare a golului de resurse europene, se va solda cu pierderi pentru bugetul de stat.
Conform celor arătate anterior, UMFE trebuia să trateze atent riscurile cu probabilitate foarte mică (cele care pot fi considerate ipoteze), dar care au un impact foarte mare asupra obiectivelor organizației. Dacă s-a optat pentru o variantă a ipotezei, riscul trebuia introdus în regim de monitorizare atentă, lucru care nu s-a întâmplat în fapt. Aceasta a fost, pe fond, eroarea UMFE.
Regimul de monitorizare ar fi permis detectarea din timp a semnalelor de pe piața valutară și a implicațiilor modificării politicii de către Banca Națională a României. Modificarea circumstanțelor conducea la modificarea probabilității de apariție a riscului din una foarte scăzută în una ridicată, sau chiar foarte ridicată. Prin urmare riscul valutar, în noile circumstanțe, devenea un risc cu expunere ridicată (probabilitate mare – impact ridicat). Un astfel de risc trebuia tratat și nu neglijat. Efectul a fost materializarea riscului, iar UMFE a fost pusă în situația de a gestiona o problemă dificilă și nu un risc.
Evitarea materializării riscului valutar în viitor impune ca măsură de control intern, modificarea modalității de funcționare a fondului. O soluție posibilă ar fi conversia fondului, din lei în euro, și funcționarea lui în regimul stocului pe o perioadă de un an și nu în regimul alimentării în momentul solicitării plății pentru fiecare proiect în parte, și restituirii în momentul sosirii fondurilor europene.
Exemplul anterior demonstrează necesitatea în practică a evaluării riscurilor prin prisma expunerii la risc. Sigur că procedura în sine impune un nivel de informare ridicat astfel încât să existe o bună cunoaștere a circumstanțelor în care apare incertitudinea, managementul riscurilor urmând să acționeze în termenii probabilistici corespunzători.
În fapt riscul este tratat în două ipostaze. Una este cea a riscului inerent, așa cum este identificat, înaintea aplicării măsurilor de control intern și cea de-a doua este ipostaza riscului rezidual rezultat urmare aplicării măsurilor de control intern. De fapt se urmărește stabilirea unui diagnostic al riscului (“cantitatea” de risc) înainte și după aplicarea controlului intern. Prin implementarea măsurilor de control intern trebuie să se realizeze o diminuare a probabilității de apariție a riscului, respectiv o atenuare a impactului riscului asupra obiectivelor organizației.
Astfel între expunerea la riscul inerent și expunerea la riscul rezidual trebuie să existe următoarea corelație:
E risc inerent > E risc rezidual
Pe exemplul anterior expunerea riscului inerent “întârzieri în plăți“ prezinta o probabilitate foarte mare și un impact foarte ridicat. După introducerea sistemului de control intern, respectiv „crearea unui fond de finanțare temporară din bugetul statului” expunerea riscului rezidual a devenit probabilitate mică – impact redus.
Riscul inerent și riscul rezidual au un caracter relativ, în funcție de măsurile de control intern realizate. Dacă controlul intern implementat in organizație în raport cu un anumit risc determină un risc rezidual pentru care expunerea se află sub limita de tolerabilitate, putem aprecia că acțiunile de controlul intern sunt eficiente. Însă dacă riscul rezidual se află peste limita de tolerabilitate în ceea ce privește expunerea la risc a organizației, atunci riscul rezidual devine risc inerent, urmând ca totodată sistemul de control intern să se ajusteze și să se dezvolte în raport cu nevoile organizației de gestionare corespunzătoare a riscurilor.
De reținut că ipostaza de risc inerent sau rezidual este stabilită în raport cu controlul intern.
Față de expunerile prezentate în această secțiune, autorul lucrării a ales să prezinte și o metodă cantitativă de evaluare a expunerii la risc, cunoscută în literatura de specialitate sub denumirea „metoda valorii așteptate”. Justificarea constă în faptul că în practică această metodă este foarte des întâlnită, în situația în care se realizează bugetarea unui proiect, activități, bugetare ce se realizează datorită limitării resurselor de care dispune organizația pentru realizarea obiectivelor.
Metoda pornește de la formula matematică conform căreia expunerea la risc este o combinație (așa cum s-a prezentat anterior) dintre probabilitate și impact :
E = P x I
unde:
– E este expunerea la risc;
– P este probabilitatea de apariție a riscului;
– I este impactul asupra obiectivelor, dacă riscul s-ar materializa.
Dacă până acum expunerea la risc a fost analizată doar în situația în care există o incertitudine (o probabilitate) privind materializarea unui risc, de această dată se pornește de la ipoteza că probabilitatea de materializare a riscurilor este 1 (așa cum este prezentat în teoria probabilităților) astfel că evenimentul devine sigur, iar expunerea la risc se transformă în impactul riscului asupra realizării obiectivelor organizației:
E = P x I = 1 x I = I
Dacă riscul s-a materializat acesta nu mai este risc ci o situație de fapt, ca atare expunerea la risc își pierde din semnificație, iar măsurile de control al riscului trebuie să se transforme în măsuri de gestionare a unei situații dificile.
Principala problemă cu care se confruntă managementul unei organizații este limitarea resurselor de orice natură ce trebuiesc alocate în cazul concretizării unei situații de criză ce trebuie gestionată eficient astfel încât realizarea obiectivelor să nu fie afectată.
În fapt această procedură pune un accent deosebit asupra cuantificării impactului materializării unui risc, urmărindu-se dimensionarea corectă a resurselor necesare în cazul realizării riscului.
Fără a se neglija celelalte resurse necesare acoperirii unor eventuale deficiențe, resursele financiare trebuiesc tratate în mod prioritar întrucât, pe de o parte acestea oricând pot fi convertite în alte resurse, iar pe de altă parte procurarea acestora (în situații de criză) nu fac decât să crească costul realizării obiectivelor organizație.
În prezent orice management responsabil, la bugetarea unui proiect (activitate, proces etc.) are în vedere pe lângă activitatea propriu zisă și riscul întrucât nebugetarea riscurilor poate genera la rândul ei un risc major (riscul resurselor insuficiente) ceea ce în final poate duce la blocarea acțiunilor.
Ca și componentă a bugetării unei activități, bugetarea riscului nu înseamnă alocarea (indisponibilizarea) de resurse financiare (sau de altă natură) ce ar putea acoperi în totalitate impactul tuturor riscurilor. În acest caz s-ar nega managementul riscurilor și rolul acestuia de a gestiona în condiții de eficiență riscurile. Bugetarea întregului impact al materializării riscurilor este practic o situație ideală datorită limitării resurselor, situație în care funcția managementului riscurilor este nesemnificativă. Plastic vorbind : „în orice situație dificilă organizația dispune de resursele necesare pentru ca activitatea să nu fie afectată.”
În realitate limitarea resurselor de orice natură, dar mai ales cele financiare, este principala problemă cu care se confruntă omenirea în condițiile unei tehnologii într-o continuă dezvoltare. Ca atare rolul managementului riscurilor în evaluarea expunerii la risc a unei organizații este foarte important, în special pentru a stabili resursele financiare necesare gestionării corespunzătoare a acestei expuneri.
Astfel, avându-se în vedere nivelul dat al impactului materializării unui risc (evaluat în condiții de certitudine), managementul riscurilor analizează probabilitatea de materializare a riscului analizat, iar ulterior analizează expunerea la risc a organizației ca produs al celor două componente, respectiv impactul și probabilitatea de materializare a riscurilor.
În tabelul de mai jos este expusă o situație ipotetică pe baza căruia, utilizând metoda valorii așteptate, se poate construi ulterior bugetarea riscurilor:
Față de această situație dată, managementul constată:
– pentru protejarea organizației de impactul materializării riscurilor în cauză, nu este necesară indisponibilizarea unor resurse financiare în cuantum de 56,6 mii lei, ci de doar 18,36 mii lei. Construcția bugetară a avut la bază expunerea la risc a organizație (nu impactul);
– în cazul riscului nr. 4 deși probabilitatea de apariție este scăzută, se constată că impactul în costuri depășește întregul nivel de bugetare a riscurilor, implicând pe de o parte resurse financiare suplimentare, dar și o expunere suplimentară a organizației față de celelalte riscuri rezultată din lipsa resurselor financiare alocate inițial pentru acestea. În acest caz sensibilitatea managementului trebuie să fie foarte ridicată stabilindu-se un controlul intern și o procedură de monitorizare riscului ce permite o gestionare corespunzătoare (eficientă) a riscului, iar riscul rezidual rezidual să fie cu mult sub limita de tolerabilitate a organizației (ca și exemplu practic putem considera riscul împotriva cutremurelor – probabilitatea de cutremur în România este foarte scăzută însă dacă ar exista un cutremur acesta ar produce daune materiale foarte mari – gestionarea eficientă a riscului constă în transferul acestei expuneri la risc către o societate de asigurări prin încheierea unei polițe de asigurare); etc.
În concluzie bugetarea riscurilor, reprezintă în fapt responsabilitatea managementului organizației față de risc. De regulă această rezervă este relativ redusă dacă identificarea și nivelul de evaluare al riscurilor au fost bine fundamentate. Alocarea resurselor financiare pentru riscuri nu trebuie privită ca o rezervă ce poate fi folosită pentru orice eventualitate (în acest caz identificarea și evaluarea riscurilor s-a realizat mai mult formal fără existența unui suport bine documentat), utilizarea acestei resurse financiare trebuie să se realizeze justificat și doar în scopul pentru care a fost bugetată. În antiteză trebuie subliniat că neutilizarea acestor resurse reprezintă la finele activității desfășurate o economie bugetară obținută urmare realizării unui management al riscurilor performant.
III.3 Toleranța la risc
Toleranța organizației la risc reprezintă nivelul de risc care o organizație este dispusă să îl accepte sau la care este dispusă să se expună la un moment dat, nivel ce nu afectează realizarea obiectivelor acesteia.
În literatura de specialitate toleranța la risc este tratată în două ipostaze în funcție de natura riscului. Astfel, când riscul este văzut ca o oportunitate, conceptul de toleranță la risc reprezintă limita până la care o organizație este dispusă să se expună pentru a obține beneficii. Dacă riscul este tratat ca o amenințare, toleranța la risc reprezintă nivelul de expunere la care o organizație trebuie să ajungă pentru ca riscul identificat să nu reprezinte o amenințare pentru realizarea obiectivelor propuse.
Practica a demonstrat însă că sunt situații în care riscul poate fi privit atât ca o oportunitate cât și ca o amenințare, iar pe cale de consecință toleranța la risc trebuie privită în ambele sensuri. Spre exemplu creșterea volumului comenzilor cu până la 30% (valoare considerată aleatoriu) generează creșterea producției, utilizarea în totalitate a fluxului de producție existent și implicit creșterea profitabilității intreprinderii, însă creșterea bruscă a volumului comenzilor cu peste 30% generează intârzieri in livrarea produsului finit datorită capacității de producție depășită de nivelul comenzilor solicitate cu consecințe negative privind imaginea unității de producție ceea ce în final poate duce la rezilierea contractelor încheiate.
Avandu-se în vedere faptul că riscul este privit în general ca o posibilă amenințare, în cele ce urmează toleranța la risc va fi tratată drept toleranța la expunere.
Astfel pornindu-se de la modele de evaluare a riscului, stabilite prin diferite combinații între probabilitate și impact, expunerea la risc se tratează în funcție de toleranța la risc a organizației. Când expunerea la risc prezintă valori apropiate de toleranța la risc a organizației, măsurile de control intern ce trebuiesc aplicate de management se ridică la un nivel semnificativ. Pe de altă parte dacă expunerea la risc se află cu mult sub limitele de tolerabilitate nivelul controlului intern este diminuat acesta rezumându-se la monitorizarea și controlul riscului (riscul este acceptat). Ca atare, în managementul riscurilor este foarte important să se stabilească poziția la care expunerea la risc se află față de toleranța la risc sau mai bine spus cum este încadrat riscul, ca fiind tolerabil sau nu.
Pornind de la premisa că riscurile sunt văzute în general ca și amenințări care în situația materializării pot afecta în sens negativ realizarea obiectivelor, în practică s-a pus întrebarea conform căreia : de ce toleranța la risc a unei organizații nu este zero astfel încât realizarea obiectivelor să se efectueze în condiții de certitudine? Sigur răspunsul nu a întârziat să apară, principalul argument fiind limitarea în principal a resurselor financiare. Toleranța zero la risc presupune realizarea în exces a masurilor de control intern ceea ce generează costuri foarte mari (de regulă neacceptat acest nivel de un management performant), dar și identificarea tuturor circumstanțelor care determină materializarea riscurilor care de multe ori sunt greu de determinat.
Astfel toleranța la risc este de fapt o problemă de cost, stabilirea limitei de tolerabilitate a organizației față de un risc reprezintă de fapt nivelul la care se poate realiza un echilibru între costul de controlare a riscurilor și costul expunerii la risc în cazul în care acesta s-ar materializa.
Pentru a se înțelege cât mai exact necesitatea stabilirii unei toleranțe la risc corespunzătoare ce va trebui să reflecte punctul de echilibru între costul de controlare al riscurilor și costurile expunerii organizației la risc, în literatura privind managementul riscurilor în sectorul public românesc s-au identificat câteva exemple:
A. Serviciul public al penitenciarelor are misiunea de detenție a persoanelor sancționate de instanțele judecătorești cu privarea de libertate pe perioade determinate (în funcție de gravitatea infracțiunii săvârșite). Unul din riscurile inerente acestei misiuni îl constituie evadarea deținuților. Impactul materializării unui astfel de risc este multiplu: prejudicierea imaginii acestui serviciu public, deoarece cetățenii devin neîncrezători în eficacitatea sa și în eficiența cu care sunt folosiți banii pe care-i cedează statului prin impozite și taxe; prejudicierea cetățenilor ca urmare a recidivării, cunoscut fiind faptul că probabilitatea de recidiva este mult mai mare în perioada de evadare decât după ispășirea pedepsei; antrenarea de cheltuieli bugetare suplimentare mari pentru a acoperi costurile de recuperare etc.
Măsurile de control, aproape total, al acestui risc pot fi sintetizate prin formula: transformarea tuturor penitenciarelor în penitenciare de maximă siguranțăa. Aceste măsuri de control al riscului vizează aducerea spre zero a probabilității de materializare a riscului, adică a evadărilor efective.
Aplicarea acestor măsuri antrenează însă eforturi financiare foarte mari din partea statului și punerea lor în practică ar genera, cu siguranță, reacții legitime de tipul: în loc să se investească în școli se investește în penitenciare.
Din cele de mai sus rezultă cu claritate că, stabilirea limitei de toleranță la risc nu este o problemă tehnică, ci una de opțiune, constând în găsirea unui echilibru între “costul” impactului și “costul” măsurilor de control al riscurilor.
Este evident că nu poate fi aplicată măsura de control al riscului de evadare constând în transformarea tuturor penitenciarelor în penitenciare de maxima siguranță și, prin urmare, nici toleranța la risc nu poate fi stabilită în apropierea limitei zero. Stabilirea unor limite de toleranță la risc mai mari face posibilă aplicarea unor măsuri de control al riscurilor mai puțin costisitoare, dar suficient de eficace.
B. Orice instituție sau serviciu public face aprovizionări fie pentru funcționare, fie pentru realizarea serviciului public. Prin urmare, se va confrunta cu riscul inerent ca marfa transmisă de furnizori să nu concorde întotdeauna, cantitativ și calitativ, cu specificațiile contractuale. Impactul materializării unui astfel de risc constă, în principal, în nerealizarea la parametrii asumați a propriilor servicii și în costuri suplimentare de funcționare. În condițiile stabilirii unei limite foarte scăzute a toleranței la risc ar trebui luate măsuri de control intern de tipul: încetarea relațiilor contractuale, chiar și cu furnizorii care au creat probleme minore; supradimensionarea stocurilor; instituirea unei proceduri exhaustive de recepție etc. Costurile instituirii unor astfel de măsuri de control al riscului sunt mari: creșterea costului de aprovizionare, deoarece furnizorii, care produc la anumite standarde, își recuperează costurile calității prin prețuri mai ridicate; cresc costurile interne, ca urmare a menținerii imobilizate a unor stocuri supradimensionate; creșterea cheltuielilor de recepție, deoarece renunțarea la autorecepție și la recepția prin sondaj implică afectarea unor resurse suplimentare (financiare, umane și de timp) acestei activități de recepție.
Luarea unor astfel de măsuri de control intern poate genera reacții justificate, de tipul: cheltuim exagerat de mulți bani pentru a elimina orice incident în aprovizionare, în timp ce problemele noastre mari derivă din tehnologia învechită. Fără îndoială se pune din nou problema unui echilibru între costuri, deci a stabilirii unei limite de toleranță la risc rezonabile.
C. Riscul netransmiterii unor documente justificative compartimentului financiar-contabil afectează fidelitatea rapoartelor. Costurile materializării acestui risc constau în scăderea credibilității organizației, care va fi privită cu suspiciune de toți factorii interesați.
O măsura radicală de control intern a acestui risc ar fi implementarea unui sistem informatic integrat, care are capacitatea de a semnala pe parcursul procesului și în timp real orice anomalie. Evident o astfel de măsură de control intern presupune, cel puțin pentru început, costuri mari, care pot fi susținute sau nu.
Din exemplele de mai sus se poate observa că în managementul riscurilor este esențială realizarea unui echilibru în stabilirea toleranței la risc a organizației în raport cu costurile corespunzătoare necesare gestionării acestuia.
Pornind de la premisa că gestionarea eficientă a riscurilor reprezintă de fapt beneficii ale nematerializării riscurilor stabilirea toleranței la risc reprezintă de fapt stabilirea punctului de echilibru pe următoarea curbă “cost – benficiu”:
În acest grafic se poate observa că pe măsură ce costurile de control intern sunt mai ridicate, nivelul beneficiilor ca urmare a nerealizării riscurilor sunt din ce în ce mai mari și ca atare toleranța la risc a organizației este mai mare. Însă după un anumit punct suplimentarea costurilor de gestionare a riscurilor au un efect invers proporțional în ceea ce privește nivelul beneficiilor ce ar urma a fi obținute. Acest aspect poate fi pus pe seama: neadaptabilitatea sistemului de control intern la noile amenințări la care este expusă organizația, administrarea ineficientă a sistemului de control intern etc.
În concluzie stabilirea toleranței la risc reprezintă principala responsabilitate a managementului riscurilor, aceasta fiind cea care stabilește ulterior nivelul de expunere la risc al organizației.
Dacă evaluarea riscurilor s-a realizat prin metoda probabilistică (ca o combinație între probabilitate și impact) toleranța la risc a organizației trebuie să fie stabilită în aceleași caracteristici.
Astfel pe baza modelelor probabilistice create în secțiunea destinată evaluării riscurilor se poate identifica nivelul de expunere la risc raportată la nivelul de tolerabilitate stabilit de management, după cum urmează:
Toleranța la risc
În cazul în care riscurile urmare a evaluării sunt plasate peste limita de toleranță, masurile de control intern dispuse trebuie se ducă la un nivel al riscului rezidual care să permită încadrarea acestuia în limitele de tolebilitate stabilite de organizație. Poziția expunerii la risc față de nivelul de tolerabilitate determină intensitatea măsurilor de control intern. În funcție de această deviație a expunerii la risc față de toleranța la risc, în practică s-a creat o delimitare a nivelurilor riscurilor pentru a încerca să se conștientizeze gravitatea expunerii la risc în cazul unor riscuri cu expunere ridicată (ex. risc cu probabilitate mare și impact foarte mare), după cum urmează:
Toleranța la risc
Impactul vizual al amplasării riscului într-o zonă roșie, spre exemplu, nu face decât să ajute la conștientizarea nivelului riscului cu care se confruntă organizația, respectiv a atitudinii ce trebuie să o comporte organizația față de acest risc. Astfel este suficient conștientizăm că ne confruntăm cu un risc cu o expunere ridicată și de îndată preocupările pentru gestionarea acestuia se intensifică până când la o evaluare periodică se constată că expunerea la risc s-a redus sub nivelul de tolerabilitate. Totodată, acest impact vizual ajută la crearea unui sistem de control intern eficace. În fapt, pe lângă ierarhizarea riscurilor în funcție de expunere, ce se realizează în faza de evaluare, delimitarea riscurilor în funcție de zonele (conform graficului anterior) în care au fost încadrate, generează o imagine sugestivă ce poate fi utilizată ca suport pentru dirijarea resurselor și acțiunilor de gestionare a riscurilor.
Spre exemplu acest procedeu utilizat într-o instituție publică poate fi descrie astfel:
– organizația – instituția publică;
– obiective de realizat – desfășurarea activității instituției în conformitate cu cele 25 de standarde impuse de OMFP nr. 945/2006 pentru aprobarea Codului controlului intern/managerial, cuprinzând standardele de control intern/managerial la entitățile publice și dezvoltarea sistemelor de control intern/managerial, cu modificările și completările ulterioare, astfel încât la finalul unui exercițiu financiar managerul instituției publice să aprecieze că sistemul de control intern este conform cu standardele impuse de legislația în vigoare.
– zonele de risc – domeniile în care s-au identificat probleme de conformitate cu cele 25 de standarde;
– riscurile – problemele identificate (conform fișelor de identificare a riscurilor) ce generează deviații de la nivelul de standardizare impus de cadrul legal;
– culoarea zonei unde este plasat riscul – atitudinea grupurilor de gestionare a riscurilor față de riscurile identificate și evaluate (avându-se în vedere masurile dispuse pentru controlul acestora);
– controlul intern – masurile concrete intreprinse pentru diminuarea deviației expunerii la risc față de limita de tolerabilitate;
– evaluarea periodică a expunerii la risc – întâlnirile grupurilor de gestionare a riscurilor pentru evaluarea riscurilor, întocmindu-se în acest sens fișe de urmărire a riscurilor;
– încadrarea riscurilor în zona verde – schimbarea masurilor de control intern dispuse atunci când s-au identificat și evaluat riscurile de la măsuri intense de gestionare a riscurilor la masuri de clasare a riscurilor (eventual limitarea la acțiuni de monitorizare).
În fapt profilul de risc, reprezentat grafic în pagina anterioară, rezultă din regruparea riscurilor identificate, evaluate și ierarhizate în raport cu mărimea deviației expunerii de la toleranța la risc. Astfel profilul creează o imagine de ansamblu a organizației față de expunerile la diferite riscuri. Însă pentru practică este foarte important să se realizeze un registru al riscurilor unde să existe identificat un istoric al riscurilor, de la faza de identificare, evaluare stabilirea deviației expunerii la risc față de tolerabilitatea acceptată, masurile de control ale riscurilor, precum și monitorizarea riscurilor.
În registrul riscurilor, riscurile inerente se prezintă astfel:
Tolerabilitatea la risc odată stabilită poate suferi modificări. De regulă aceste modificări se realizează de către managementul de top ce are o imagine de ansamblu a organizației și pe baza unor argumente bine justificate. Precauția în modificarea nivelului de tolerabilitate derivă din faptul că se atrag noi resurse financiare necesare realizării sistemului de control intern în condițiile în care acestea sunt limitate, dar și datorită interconectivității activităților în care se pot identifica riscuri și pe cale de consecință se poate manifesta fenomenul intercondiționării între riscuri (un risc depinde de altul ca atare efectele rezultate se manifestă în lanț și pe cale de consecință masurile de control intern trebuiesc realizate în lanț). Drept urmare este necesară realizarea unui echilibru între toate nivelele de acțiune ale organizației astfel încât costul gestionării riscurilor să fie coroborat cu costul eventualei materializări a acestor riscuri.
În practică nivelul de tolerabilitate se realizează prin acțiuni realizate de sus (management de top) în jos (nivel operațional), avându-se în principalele obiective ale organizației. Astfel se identifică liniile directoare de desfășurare a activității organizației, stabilindu-se zone majore de risc (de strategie, de politică, de personal și siteme interne, de conformitate, de răspundere, de imagine etc.), iar pe baza capacității manageriale și a experienței avizate se stabilește o opinie privind nivelul de tolerabilitate ce poate fi impus în organizație.
Pe baza referinței stabilite de managementul de top se transmite în jos în structura organizatorică tolerabilitatea stabilită, urmând ca nivelul doi de management, pe baza recomandărilor și îndrumărilor primite de la nivelul superior, să stabilească pe fiecare nivel de activitate al organizației limitele până la care riscurile pot fi asumate. Astfel se identifică toate riscurile ce au o expunere mai mare decât toleranța la risc a organizației urmând ca pentru fiecare nivel, de îndată, să se efectueze acțiuni de control intern astfel încât riscurile reziduale rezultate să fie încadrate sub nivelul de tolerabilitate. În cazul în care riscurile nu ating limitele de tolerabilitate acceptate, acestea vor fi transmise nivelului ierarhic imediat superior care fie va lua decizia gestionării directe a acestora, fie va dispune masuri suplimentare de control intern.
Urmare impunerii acestor limite de asumare a riscurilor se va proceda la o analiză din perspectiva cost-beneficiu, stabilindu-se dacă sunt necesare ajustări. Se analizează dacă limita de toleranță nu presupune costuri mari raportat la beneficiul ce urmează a fi obținut (diminuarea efectelor sau nematerializarea riscului).
În cazul în care se impun ajustări (ce presupun costuri) ale toleranței la risc, iar resursele sunt insuficiente pentru realizarea acestor ajustări, managementul, pe baza curbei cost-beneficiu, va realiza o ierarhizare a riscurilor în funcție de priorități urmărindu-se reajustarea limitelor de toleranță pentru riscurile mai puțin prioritare.
Urmare acestor ajustări limitele de toleranță se transformă în limite maxime în ceea ce privevește expunerea la riscurile reziduale.
În practică cele menționate mai sus își găsesc transpunere în structura registrului riscurilor, astfel:
III.4 Răspunsul la risc – Controlarea Riscurilor
După ce riscurile au fost identificate și evaluate și după ce s-au definit limitele de toleranță în cadrul cărora organizația este dispusă, la un moment dat, să-și asume riscuri este necesară stabilirea tipului de răspuns la risc pentru fiecare risc în parte.
Așa cum s-a menționat în secțiunile anterioare, etapizarea are un caracter mai mult teoretic menit să faciliteze înțelegerea procesului. În realitate, etapele se întrepătrund în cadrul procesului de documentare și analiză a riscurilor. Cu alte cuvinte, răspunsul la risc este deja formulat pe parcursul analizei riscurilor. În esență răspunsul la risc nu este altceva decât atitudinea managementului organizației față de posibilele amenințări sau față de eventualele oportunități.
Răspunsul la risc depinde de natura riscurilor privite din perspectiva posibilităților de control (de stăpânire). De fapt, este vorba de răspunsul la următoarele întrebări: riscurile pot fi sau nu controlate de organizație?; dacă da, organizația poate controla riscurile până la un nivel satisfăcător?; dacă nu, organizația poate externaliza riscurile sau activitățile generatoare de riscuri?
Controlul riscurilor văzute ca amenințări, înseamnă că, la nivelul organizației, este posibilă atenuarea probabilității de materializare sau a impactului în cazul în care riscul s-ar materializa sau a amândurora.
În caz contrar, riscurile sunt necontrolabile dacă organizația nu are posibilitatea de a interveni direct pentru atenuarea probabilității și/sau impactului. Această situație se întâlnește cel mai frecvent în cazul riscurilor externe generate de mediul (contextul) în care organizația funcționează.
Problema controlării/necontrolării riscurilor este abordată, cel mai adesea, în mod relativ și nu absolut, adică în funcție de toleranță. În acest context se vorbește despre riscuri care nu pot fi controlate până la un nivel satisfăcător al expunerii sau despre riscuri controlabile parțial.
În secțiunea consacrată identificării riscurilor se menționa faptul că riscurile cu probabilitate de apariție de 100% sunt certitudini, iar cele cu probabilitate de apariție 0% sunt ficțiuni; până acum, s-au dobândit suficiente cunoștințe pentru a face unele nuanțări. Certitudinile sunt evenimente care vor apare cu siguranța în viitor, ceea ce înseamnă că organizația nu poate controla probabilitatea de apariție a unor astfel de evenimente.
Singura posibilitate de a acționa a organizației rămâne în direcția atenuării impactului, iar dacă nici aceasta nu este posibilă, riscul este complet necontrolabil. Certitudinile cu impact semnificativ implică din partea organizației fundamentarea unor planuri de gestiune a situațiilor dificile ce vor apare cu siguranța. Certitudinile au relevanță atât în raport cu riscurile inerente, cât și cu cele reziduale (atunci când este posibilă o atenuare a impactului).
Ficțiunile au această semnificație numai în raport cu riscurile inerente. În cazul riscurilor reziduale ele pot deveni ținte de atins dacă riscurile sunt complet controlabile din punct de vedere al probabilității. De asemenea, non-problema este relevantă numai în raport cu riscul inerent, dar poate deveni o țintă pentru riscul rezidual atunci când organizația poate controla complet impactul.
În teoria riscurilor s-au identificat câteva strategii alternative pe care managerii le pot adopta ca răspuns la risc, respectiv :
A. Acceptarea (tolerarea) riscurilor.
Acest tip de răspuns la risc constă în neluarea unor măsuri de control al riscurilor și este adecvat pentru riscurile inerente a căror expunere este mai mică decât toleranța la risc. Se reamintește faptul că nu întotdeauna toleranța la risc poate fi stabilită nerestricționat. Sunt suficiente cazurile în care riscurile nu pot fi controlate intern până la un nivel acceptabil al expunerii sau, costurile pe care le incumbă măsurile de control sunt disproporționat de mari în raport cu beneficiile. În consecință, acceptarea intervine atunci când riscurile sunt liber asumate sau când aplicarea unei alte strategii de răspuns la risc nu este posibilă.
Această opțiune de răspuns la risc trebuie însoțită, mai ales atunci când limita de toleranță nu a putut fi stabilită liber, de planuri de gestiune a problemelor dificile care să abordeze tratarea impactului atunci când riscul se materializează.
Acceptarea (tolerarea) riscurilor este o strategie de răspuns la risc recomandată pentru riscurile cu expunere scăzută. În cazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvată și, de aceea, în astfel de situații, opțiunea trebuie temeinic justificată.
B. Monitorizarea permanentă a riscurilor
Acest tip de răspuns la risc constă în acceptarea riscului cu condiția menținerii sale sub o permanenta supraveghere. Parametrul supravegheat cu precădere este probabilitatea, deoarece strategia monitorizării se aplica în cazul riscurilor cu impact semnificativ, dar cu probabilitate mică de apariție. În esență, strategia de monitorizare presupune o amânare a luării măsurilor de control până în momentul în care circumstanțele determină o creștere a probabilității de apariție a riscurilor supuse acestui tratament.
Avantajul aplicării unei astfel de strategii de răspuns la risc constă în utilizarea resurselor disponibile la un moment dat numai pentru riscurile cu expunere mare, organizația aflându-se permanent în situația de a-și prioritiza acțiunile de tratare a riscurilor în funcție de resurse.
Dezavantajul strategiei constă în faptul că întârzierea în tratarea riscului poate diminua șansele de a face în viitor un management eficace al riscurilor. Din această cauză, aplicarea strategiei de monitorizare permanentă a riscurilor trebuie precedată de o analiză serioasă a duratei pe care o presupune implementarea măsurilor de tratare a riscurilor. Dacă această durată este mare, este de preferat ca momentul de debut al tratării riscurilor să nu fie amânat. Unei astfel de analize trebuie supuse obligatoriu riscurile cu probabilitate mică de apariție, dar cu un impact ridicat dacă obiectivele afectate au caracter strategic.
C. Evitarea riscurilor
Această strategie de răspuns la risc constă în eliminarea activităților (circumstanțelor) care generează riscurile. Trebuie menționat faptul că opțiunea evitării riscurilor este semnificativ redusă în sectorul public față de cel privat. Anumite activități se desfășoară în sectorul public tocmai pentru că riscurile asociate sunt atât de mari încât nu există altă posibilitate de a obține unele rezultate ce țin de interesul general. Dacă aplicarea strategiei de evitare a riscurilor este limitată în cazul activităților ce țin de scopul organizației publice, ea poate fi avută în vedere pentru o serie întreagă de activități “suport”, dacă nu există altă cale de a controla riscurile în limite tolerabile.
Exemple : Este de preferat să se restrângă un proiect (eliminarea unor obiective și, implicit, a activităților aferente) dacă riscurile asociate unor activități sunt atât de mari încât ar pune în pericol corelația cost/beneficiu preconizată pentru acel proiect. Deasemenea, se poate renunța la un furnizor sau la un angajat dacă riscurile asociate acestora sunt prea mari pentru a putea fi controlate cu costuri rezonabile sau se poate înlocui o activitate (spre exemplu manuală) cu o alta (spre exemplu, concepută în sistem informatizat) ale cărei riscuri sunt mai reduse ce pot fi controlate în limitele de toleranța fără a implica costuri disproporționat de mari în raport cu beneficiile.
D. Transferarea (externalizarea) riscurilor
Această strategie de răspuns la risc constă în încredințarea gestionării riscului unui terț care are expertiza necesară gestionării acelui risc, încheindu-se în acest scop un contract. Prin aceasta se urmărește, pe de o parte, micșorarea expunerii organizației, iar pe de altă parte, gestionarea eficace a riscului de către un terț specializat.
Această opțiune este benefică mai ales în cazul riscurilor financiare și patrimoniale. Cel mai cunoscut exemplu de transfer al riscurilor îl constituie contractele de asigurare. În schimbul unei sume de bani (prima de asigurare) terțul (societatea asiguratoare) preia asupra să riscul asigurat obligându-se să despăgubească organizația care a transferat riscul, în cazul în care riscul se materializează.
Este important de menționat că anumite riscuri nu sunt (integral) transferabile. În particular, nu este posibil să se transfere riscurile legate de credibilitatea organizației. În față beneficiarilor organizația rămâne responsabilă, chiar dacă aceasta a contractat unele servicii cu terțe părți. Din această cauză relațiile cu aceste terțe părți trebuie gestionate cu deosebită atenție pentru a se asigura că riscul transferat este cu adevărat gestionat eficace de către terț.
(atenuarea) riscurilor
Aceasta este abordarea cea mai frecventă pentru majoritatea riscurilor cu care se confrunta organizația. Opțiunea tratării (atenuării) riscurilor constă în faptul că în timp ce organizația va continua să desfășoare activitățile care generează riscuri, aceasta ia măsuri (implementează instrumente/dispozitive de control intern) pentru a menține riscurile în limite acceptabile (tolerabile). Raportate la această strategie de răspuns la risc celelalte strategii menționate mai sus pot fi considerate ca fiind excepții recurgându-se la ele numai atunci când riscurile nu pot fi controlate intern până la un nivel satisfăcător care nu periclitează realizarea obiectivelor. De aici și importanța controlului intern în managementul riscurilor. Acesta, odată implementat, are menirea să ofere asigurări rezonabile că obiectivele vor fi atinse, ceea ce este același lucru cu a afirma că prin control intern se obțin asigurări rezonabile asupra menținerii riscurilor în limite acceptabile.
La începutul acestei secțiuni se făcea precizarea că tratarea riscurilor înseamnă a acționa prin măsuri de atenuare a probabilității, a impactului sau a amândurora.
Ilustram acest fapt printr-un exemplu:
Obiectiv – securitatea activelor;
Risc – intrare în gestiune a unor materiale neconforme cantitativ și calitativ cu specificațiile contractuale.
În concluzie, a trata riscurile înseamnă a ține riscurile sub control prin măsuri de control intern.
F. Tratarea situațiilor dificile
Tratarea situațiilor dificile constă în elaborarea unor planuri ce urmăresc diminuarea impactului în cazul în care riscul se materializează, după cum s-a precizat, riscul este un eveniment probabil a cărui materializare nu poate fi exclusă, oricâte măsuri de control intern s-ar lua. De aceea, strategia tratării situațiilor dificile nu este o alternativă la celelalte strategii, ci o acțiune complementară. În esență, prin tratarea situațiilor dificile se dă un răspuns la întrebarea: Ce facem dacă măsurile de control intern eșuează și riscul se produce?
Orice risc care este acceptat, monitorizat sau tratat trebuie însoțit de un plan care să descrie acțiunile ce trebuie întreprinse în cazul în care riscurile se materializează.
Din perspectiva managementului riscurilor, a realiza obiectivele înseamnă:
– a planifica activitățile (acțiunile) ce trebuie să se desfășoare pentru a realiza obiectivele propuse (procesul);
– a planifica acțiunile de control intern necesare stăpânirii riscurilor și a le integra în planul de activități generale (planul A);
– a planifica acțiunile ce trebuie întreprinse dacă riscurile se materializează (planul B).
Procesul, planul A și planul B sunt elementele esențiale ale unui management eficace care a integrat managementul riscurilor.
Întrucât, măsurile ce trebuie luate pentru a stăpâni riscurile se înscriu în sfera de cuprindere a sistemului de control intern, s-a considerat utilă prezentarea succintă a unor elemente componente ale acestuia, reamintind că o tratare mai detaliată este cuprinsă în lucrarea “Îndrumar metodologic – cadru pentru dezvoltarea sistemelor de control managerial ale instituțiilor publice”.
Măsurile luate, de management în tratarea riscurilor sunt denumite în teoria generală a controlului intern sub denumirea de dispozitive sau instrumente de control intern.
Dacă riscurile ajung să se materializeze, deci să se transforme în situații dificile, cauza trebuie căutată întotdeauna în “defectul” acestor dispozitive/instrumente de control intern. Bineînțeles această afirmație vizează riscurile care pot fi controlate de organizație în limite de toleranță rezonabile impuse de raportul cost-beneficiu.
Diversitatea dispozitivelor/instrumentelor de control intern este considerabilă deoarece privește toate aspectele legate de activitățile organizației și de organizație ca entitate globală, însă ele pot fi clasificate în șase grupe mari după cum urmează: obiective; mijloace; sistem de informare; organizare; proceduri; supervizare.
Fără îndoială, există și alte tipuri de grupări, dar toate cuprind, în principal, aceleași elemente și vehiculează aceleași noțiuni. De altfel, nu gruparea în sine este importantă ci fixarea unui cadru de referință capabil să sistematizeze problematica controlului intern ca mijloc de control al riscurilor.
• Obiectivele grupează instrumentele/dispozitivele de control intern puse în operă prin măsurile (acțiunile) ce vizează: definirea clară (obiectivele vagi nu permit clarificarea sensului acțiunii ce trebuie întreprinsă pentru atingerea lor și nici identificarea riscurilor care amenință obținerea rezultatelor dorite); ierarhizarea (obiectivele generale trebuie descompuse într-un sistem piramidal până la nivelul posturilor clarificându-se astfel sarcinile, competențele și responsabilitățile fiecărui membru al organizației); convergența (eliminarea contradictorialității și participarea obiectivelor subsecvente la realizarea obiectivelor de nivel superior până la nivelul misiunii); măsurabilitatea (asocierea unor indicatori de rezultate cuantificabili ce pot fi monitorizați); monitorizarea prin sistemul informațional (lipsa monitorizării face imposibilă coordonarea și introducerea măsurilor corective); încadrarea în timp (planificarea pe orizonturi de timp determinate și corelate); caracterul mobilizator (obiectivele trebuie să stimuleze inițiativa fără a deveni însă nerealiste).
Circumstanțele care potențează apariția riscurilor își au de multe ori originea tocmai în nerespectarea acestor principii ce guvernează sistemul de obiective.
Exemplu : Biroul de plăți facturi are ca obiectiv fixat “depunerea tuturor eforturilor pentru plata corectă și în termen a facturilor”. Printr-o analiză de risc, s-a identificat riscul de “întârzieri în plăți” și riscul “plăți eronate”. Probabilitatea de apariție a riscului de întârziere era de 11%, deoarece din 1152 facturi plătite 127 fuseseră plătite cu întârziere de 5 până la 15 zile. Probabilitatea de apariție a riscului plăți eronate era de 8%, deoarece la 17 din cele 1152 facturi ordinele de plată aveau contul sau banca furnizorului eronate, la 49 sumele plătite în plus erau de 53,2 mil. lei, iar la 26 sumele plătite în minus erau în același cuantum. Impactul materializării acestor riscuri, constând în penalități de întârziere și în costuri de recuperare, a fost de 15,9 mil. lei.
În mod evident, aceste riscuri aveau o expunere prea mare pentru a putea fi tolerate. Limita de toleranță admisă de managementul organizației era fixată la 1/1000 pentru plăți întârziate sau eronate cu un cuantum al pagubei de cel mult 1 milion.
Din analiza de risc, s-a constat că una din circumstanțele care favorizau apariția acestor riscuri consta tocmai în nedefinirea clară a obiectivului și în lipsa unui indicator de rezultate. Prin urmare, s-a dispus și operaționalizat următorul dispozitiv de control intern din categoria obiective: obiectiv de realizat – 99,9% plăți corecte și în termen; penalități admise suportate din rezultate financiare, 1mil. lei la 10 mld. lei plăți efectuate. Responsabilizarea biroului în raport cu acest obiectiv, poate determina intrarea riscului rezidual în limitele de toleranță admise.
• Mijloacele reprezintă grupa de dispozitive/instrumente de control intern implementate prin măsuri (acțiuni) de adecvare a mijloacelor în raport cu obiectivele. Circumstanțele care favorizează apariția unor riscuri ce afectează realizarea obiectivelor constau, de multe ori, în grave distorsiuni între resurse și obiective. În categoria resurse sunt incluse resursele umane, financiare și tehnice (în accepțiunea cea mai largă).
Exemplu : Analiza de risc efectuată în exemplul precedent a scos în evidență ca jumătate din întârzierile la plată a facturilor s-a datorat lipsei de resurse financiare, survenite ca urmare a necorelării volumului de fonduri solicitate prin deschiderile de credite cu plățile ce deveneau exigibile în cursul perioadei. De asemenea, erorile de cont și bancă aveau drept cauză lipsa unor mijloace tehnice adecvate pentru gestionarea unei baze de date privind furnizorii.
Ca urmare a acestui fapt, fixarea obiectivului de 99,9% plăți corecte și în termen, trebuie corelat și cu mijloacele ce concură la realizarea lui și care permit riscului rezidual să se încadreze în limitele de toleranță. Repartizarea către Biroului de plăți a unor calculatoare și garantarea disponibilității de resurse financiare în cont, constituie dispozitive/instrumente de control intern din categoria “mijloace” care vor diminua cu certitudine expunerea la risc.
Dar resursele nu trebuie privite numai din perspectiva cantitativă, ci și calitativă. Analiza de risc a scos în evidență că multe din întârzierile și erorile în plăți s-au datorat și unor carente în pregătirea profesională. Includerea într-un program de pregătire profesională a personalului Biroului de plăți este, de asemenea, un dispozitiv/instrument de control intern din categoria mijloace pus în operă pentru a stăpâni riscurile în plăți și aducerea lor în limitele de toleranță.
• Sistemul de informare este grupa dispozitivelor/instrumentelor de control intern operaționalizate ca urmare a măsurilor (acțiunilor) ce vizează realizarea unui sistem informațional și de pilotaj complet (se referă la toate funcțiile și activitățile organizației), fiabil (corectitudinea și veridicitatea informațiilor), exhaustiv (cuprinderea tuturor informațiilor relevante), pertinent și util (care satisface necesitățile decizionale), oportun (furnizarea informațiilor atunci când este necesar) și neredundant (abundența inutilă a datelor furnizate). Sunt extrem de frecvente cazurile în care riscurile își au cauzele de manifestare în inadecvarea sistemului informațional. O analiză chiar și fugară scoate în evidență faptul că organizațiile au, în marea lor majoritate, sisteme informaționale lacunare, contradictorii, redundante, inerțiale, nestructurate în funcție de necesitățile diferitelor nivele manageriale etc.
Exemplu în cazul analizat anterior s-a relevat faptul că riscul de întârzieri în plăți s-a datorat, printre altele, și lipsei de resurse financiare. Golul de casă este la rândul său un risc care s-a manifestat în cadrul Biroului însărcinat cu planificarea resurselor financiare în limita creditelor bugetare. Așa cum arătam, analiza de risc a scos în evidență că acest birou nu a putut controla riscul deoarece nu dispunea de informațiile necesare referitoare la contractele în derulare, recepțiile efectuate sau în curs, livrările ce urmau să se producă în cadrul perioadei pentru care se solicita deschiderea de credite. Toate aceste carențe ale sistemului informațional au condus la o subdimensionare a cererii de credite și, în final, la materializarea riscului de insuficiență a resurselor financiare. Punerea în operă a unui sistem informațional adecvat necesităților Biroului de planificare este un instrument de control intern din grupa – “sistem informațional”, prin care riscul de gol de casă este adus în limitele de toleranță.
Riscul “întârzieri în plăți” și riscul “gol de casa” sunt două riscuri corelate. Instrumentul de control intern conceput pentru tratarea riscului “gol de casă” rezolva parțial și tratarea riscului “întârzieri în plăți”. Prin acest comentariu se face trimitere la unele precizări anterioare referitoare la corelarea riscurilor și la efectul multiplu al unor dispozitive de control intern implementate.
Totodată, se considera oportună mențiunea că riscul “gol de casă” este dependent de un alt risc și anume – deschideri limitate – care este un risc extern organizației. Ministerul Finanțelor Publice are posibilitatea legală să limiteze deschiderile de credite dacă încasarea veniturilor statului nu urmează tendința previzionată. Organizația nu poate controla acest risc prin dispozitive de control intern, dar aceasta nu înseamnă că nu trebuie să conceapă măsuri de atenuare a impactului cum ar fi: prioritizări în plăți, limitări plăți în avans, discuții cu furnizorii pentru reeșalonări de plăți etc.
• Organizarea este grupa dispozitivelor/instrumentelor de control intern rezultate ca urmare a aplicării măsurilor (acțiunilor) ce vizează corectarea anomaliilor depistate în organizarea procesuală și structurală, și care constituie circumstanțe favorizante pentru manifestarea riscurilor.
Exemplu Unul dintre principiile fundamentale ce stau la baza organizării este principiul separării funcțiunilor (atribuții, sarcini). În esență, acest principiu constă în aceea că sarcini considerate a fi incompatibile nu trebuie repartizate aceleiași persoane și, uneori, aceleiași componente structurale a organizației. Aplicarea principiului separării funcțiunilor în organizare operaționalizează controlul mutual (reciproc). Cu alte cuvinte, dacă mai multe persoane sau componente structurale participă în cadrul unui proces (organizare procesuală – organizare flux) la realizarea unui obiectiv, ele se controlează reciproc din perspectiva funcțiunilor pe care le îndeplinesc în cadrul procesului.
Formele în care este pus în practică acest principiu sunt extrem de diverse fapt pentru care, în cele ce urmează, ne vom referi la forma cea mai cunoscută pe care o îmbracă acest principiu atunci când obiectivul urmărit în cadrul organizației este securitatea activelor. Categoria de riscuri cea mai importantă care constituie amenințări pentru realizarea acestui obiectiv cuprinde riscurile ce pot fi subsumate fraudei și distorsionării rezultatelor.
Forma extinsă a principiului separației funcțiunilor menită să țină sub control riscurile de fraudare și distorsionare a rezultatelor care afectează obiectivul de securitate a activelor are la bază considerarea ca incompatibile a următoarelor funcțiuni: funcția de dispoziție; funcția de înregistrare contabilă; funcția de deținere (funcția gestionară) și funcția de control. A pune aceste funcții (sau numai două dintre ele) în mâna aceleiași persoane înseamnă a se asuma riscuri cu expunere foarte mare asupra obiectivului ce se referă la securitatea activelor. O astfel de persoană poate deturna extrem de ușor fondurile organizației, deoarece nu există nici un control reciproc pe parcursul procesului de angajare, lichidare, ordonanțare și plată. De aceea separarea funcțiunilor este un instrument/dispozitiv de control intern fundamental menit să prevină (expunere rezonabilă) riscurile de fraudare și distorsionare a rezultatelor.
Pentru a exemplifica concret, să luam în considerare procesul de aprovizionare. Competența de a angaja organizația în raporturi juridice cu terții aparține de drept conducătorului organizației, însă acesta o poate delega anumitor persoane care se ocupă de aprovizionare, acestea putând încheia contracte. Competența de a constata serviciul făcut (recepționarea mărfurilor livrate) este delegată unor comisii de recepție care sunt responsabile pentru constatările făcute. Competența de a deține bunurile în păstrare până la utilizarea lor este delegată unor persoane numite gestionari. Competența de a verifica că factura emisa de terț este conformă cu serviciul făcut intră în responsabilitatea persoanelor ce constată obligația de plată. Înregistrarea în contabilitate a creșterii de activ și obligației de plată este atribuită contabilului.
Actul de dispoziție prin care se dispune casierului (funcția de deținere a fondurilor) să plătească este încredințată celor care încheie angajamentele, deoarece prin acest act de dispoziție se stinge raportul juridic încheiat. Competența de a efectua plata aparține funcției de deținere a fondurilor (banca, trezorerie, casier).
Procedându-se astfel, se instituie un control reciproc pe parcursul procesului inițiat prin angajament: comisia de recepție controlează modul în care furnizorul și-a îndeplinit obligațiile asumate prin angajament; gestionarul controlează corectitudinea recepției, deoarece el este responsabil de integritatea gestiunii sale; contabilul controlează documentele justificative în care s-au consemnat operațiunile patrimoniale; ordonatorul (cel care a angajat juridic organizația) va dispune plata numai după ce va controla că cei cărora le-a delegat competența și-au îndeplinit corect sarcinile încredințate; deținătorul de fonduri va controla ca cel care-i dă dispoziție să plătească este cel în drept și că are în gestiune fondurile necesare etc. În aceste condiții este aproape imposibil să se efectueze plăți în alte conturi (deturnare) decât ale terțului, ci numai pentru a stinge obligații certe izvorâte din servicii efectiv prestate, fără ca orice anomalie să se reflecte în situațiile contabile.
Din păcate, acest principiu respectat de legislația anterioara Legii nr.500/2002 a fost încălcat de aceasta din urmă introducându-se, fără voie, un risc în gestiunea fondurilor publice.
Conform principiului separațiunii funcțiunilor, dreptul de dispoziție nu poate aparține contabilului, ci numai ordonatorului. Cu alte cuvinte, cel care dispune plata trebuie să fie ordonatorul și nu contabilul. Contabilul are funcția de a înregistra, căreia i se poate atașa și funcția de a controla, în virtutea obligației legale de a verifica documentele justificative care stau la baza înregistrărilor contabile. Conform art.52 alin.(5) din actul normativ menționat “instrumentele de plată se semnează de contabil și șeful compartimentului financiar-contabil”, iar apoi sunt transmise trezoreriei însărcinate cu “efectuarea plăților dispuse de persoanele autorizate ale instituțiilor publice” (art.60 alin.(1) litera “b”). În virtutea acestor reglementări, contabilul, care verifică și înregistrează are și dreptul de a dispune trezoreriei să facă plata, încălcându-se astfel principiul separării funcțiunilor, deși acesta este reglementat prin prevederile art.52 alin.(2) ale aceluiași act normativ astfel: “Execuția bugetară se bazează pe principiul separării atribuțiilor persoanelor care au calitatea de ordonator de credite de atribuțiile persoanelor care au calitatea de contabil”.
Controlul reciproc între ordonator și contabil nu mai funcționează, ceea ce incumbă un risc considerabil în realizarea obiectivului privind securitatea activelor.
• Procedurile sunt acele instrumente/dispozitive de control intern prin care se controlează riscurile generate de necunoașterea proceselor și regulilor ce trebuie respectate în desfășurarea activităților. A munci fără a formaliza modul în care fiecare trebuie să procedeze, înseamnă a nu exista un control intern eficace, menit să țină sub control riscurile și să se obțină astfel o asigurare rezonabilă că obiectivele vor fi atinse.
Pentru ca procedurile să devină instrumente/dispozitive de control intern eficace acestea trebuie: să se refere la toate procesele și activitățile importante; să fie scrise; să fie actualizate în permanență; să fie aduse la cunoștința executanților; să fie simple și pe înțelesul tuturor. Multe dintre riscuri își au cauza în lipsa procedurilor. De câte ori nu se invocă ca explicație pentru un eșec necunoașterea sau ambiguitatea unor reguli? Managerii au obligația de a face clar pentru cei implicați ce trebuie făcut și cum trebuie făcut, fără a lăsa loc la interpretări.
Pentru a se înțelege ce este aceea o procedură credem că este utilă comparația cu realizarea unui program de calculator menit să soluționeze o problemă sau, cu alte cuvinte, să se realizeze un obiectiv. Pentru a soluționa problema, calculatorul trebuie “învățat” ce trebuie să facă și, mai ales, cum trebuie să facă. A-l “învăța” nu înseamnă a-i da instrucțiuni generale, ci de a elabora o procedura amănunțită care să explice pas cu pas ceea ce trebuie făcut în oricare din situațiile pe care le poate întâlni în soluționarea problemei. Nimic nu poate fi lăsat nelămurit, deoarece eșecul este garantat. Înșiruirea de operațiuni elementare trebuie formalizată, adică transpusă într-un limbaj “pe înțelesul” acestuia.
În termeni IT această înșiruire logică de operațiuni elementare scrisă într-un limbaj inteligibil se numește program, iar în termenii controlului intern și ai managementului riscurilor se numește procedură.
Dacă programul descrie corect procesul ce conduce la soluționarea problemei, atunci calculatorul va “livra” întotdeauna rezultatele așteptate. În mod similar, dacă o organizație are proceduri formalizate prin care sunt descrise fără ambiguități operațiunile ce trebuie făcute în cadrul fiecărei activități sau proces, atunci riscurile care ar afecta realizarea obiectivelor ar deveni minime.
Exemplu : O analiză de risc a scos în evidență că, în activitatea de deplasări în străinătate, există riscul ca pașapoartele unor membri ai delegațiilor nominalizate să nu fie disponibile în preziua plecării.
Deși probabilitatea de apariție a acestui risc este scăzută impactul este considerabil, fapt pentru care riscul trebuie tratat astfel încât, prin implementarea unor instrumente de control intern, expunerea riscului rezidual să tinda către zero. Circumstanțele care favorizează apariția acestui risc constau în neanunțarea în timp util (minim patru zile înainte de data plecării) a biroului care are ca sarcina efectuarea demersurilor către Ministerul Afacerilor Externe pentru eliberarea, prelungirea sau confecționarea pașapoartelor, după caz. Din analiză a rezultat că instrumentul de control intern cu costurile cele mai reduse este de natură procedurală. Prin urmare, s-a decis completarea procedurii existente cu următoarea secvență: concomitent cu depunerea spre aprobare a memorandumului de deplasare, se va comunica biroului însărcinat cu preluarea pașapoartelor numele persoanelor ce compun delegația și perioada în care va avea loc deplasarea. Biroul va verifica situația pașapoartelor pentru fiecare membru al delegației; în cazul în care apare situația de pașaport expirat, dar cu posibilitate de prelungire, se inițiază demersurile de prelungire; în cazul în care nu există pașaport sau pașaportul nu mai poate fi prelungit se anunță membrul delegației pentru a depune documentele necesare inițierii procedurii de confecționare; nerespectarea procedurii este sancționată cu recuperarea eventualelor costuri angajate de la cei în culpa; comunicarea procedurii către toți salariații.
• Supervizarea grupează instrumentele/dispozitivele de control intern menite să țină sub control riscurile ce rezultă din anomalii în exercitarea controlului ierarhic. Astfel de instrumente de control intern vizează stilul managerial al responsabililor de pe diferite nivele. A superviza nu înseamnă a reface munca subordonaților, a căuta eroarea cu orice preț sau a supraveghea în permanența procesele. A superviza înseamnă, în primul rând, a îndruma (coordona), a încuraja și, numai în ultimul rând, a verifica. Supervizarea trebuie să se bazeze pe un sistem informațional adecvat, să fie universală (să se refere la toate activitățile) și să fie consemnată (viza, raport etc.) pentru a putea fi evaluată. La prima vedere ar părea surprinzător, însă sunt frecvente cazurile în care circumstanțele care favorizează apariția unor riscuri țin de o supervizare defectuoasă. Un manager trebuie să se asigure că sectorul de care este responsabil funcționează, iar personalul trebuie să aibă convingerea că activitatea acestuia este supravegheată.
Exemplu : O analiză vizând evaluarea sistemului de supervizare a scos în evidență că un salariat, care avea ca sarcina elaborarea unei informări de sinteză, la baza căreia stăteau raportările colegilor săi, ajunsese să întocmească această raportare prin estimare și nu prin centralizare, din varii motive (observarea unor tendințe sistematice, evitarea unor situații dificile în raporturile cu colegii, percepția că lucrarea nu prezintă un interes deosebit, credința că eventualele abateri nu au un impact semnificativ în luarea deciziilor etc.). Toate acestea s-au datorat faptului că activitatea sa nu a fost supervizata timp îndelungat de manager.
Pentru a se evita anumite riscuri, a căror apariție ar fi fost potențată de lipsa de fiabilitate a sistemului de informare, s-a introdus ca instrument/dispozitiv de control intern un plan de supervizare modulat în frecvență și intensitate.
Dar instrumentele/dispozitivele de control intern pot fi analizate și prin prisma modului în care acestea acționează în tratarea riscurilor, deosebindu-se următoarele tipuri:
• Instrumente/dispozitive de control intern preventiv
Aceste instrumente de control intern sunt menite să limiteze posibilitatea ca anumite riscuri să se materializeze. Cu cât materializarea unor riscuri este mai nedorită, cu atât mai importantă devine implementarea instrumentelor de control intern preventive. Majoritatea instrumentelor puse în operă în organizație au tendința de a aparține acestei categorii. De altfel, exemplele care au fost date până acum pe parcursul lucrării de față se referă, în majoritatea lor, la instrumente de control intern cu caracter preventiv. Reluam câteva dintre acestea: separarea funcțiunilor previne riscurile de fraudă; procedurile previn riscurile de neregularitate și neconformitate; mijloacele previn riscurile datorate indisponibilității de resurse etc.
Atunci când instrumentele de control preventiv sunt reglementate la nivel de acte normative ce stabilesc și sancțiuni pentru neconformare, aceste instrumente sunt cunoscute și sub denumirea de control directiv. Spre exemplu, obligația de a purta echipament de protecție și de a instrui personalul care desfășoară activități periculoase, reglementate de legislația de protecție a muncii, sunt instrumente de control intern directiv.
• Instrumente/dispozitive de control intern cu caracter corectiv
Aceste instrumente sunt concepute pentru a limita impactul riscurilor materializate.
Exemplu: includerea în contracte a unor prevederi care permit recuperarea supraplăților dacă acest risc se produce; asigurarea permite recuperarea financiară în cazul materializării riscurilor asigurate; planurile de gestionare a situațiilor dificile, care asigură revenirea organizațiilor la situația normală, asigurându-i continuitatea etc.
• Instrumente/dispozitive de control intern detective
Aceste instrumente de control intern sunt concepute să identifice riscurile care s-au materializat pentru a putea fi tratate consecințele. În general, aceste instrumente de control intern sunt cunoscute și sub denumirea de controlul ulterior, deoarece se referă la riscuri materializate.
S-ar putea obiecta că astfel de instrumente nu aparțin managementului riscului, deoarece acesta se referă la tratarea riscurilor care pot să apară și nu a celor materializate. Obiecția nu este întemeiată deoarece s-a subliniat, în repetate rânduri, pe parcursul acestei lucrări, că riscurile pot fi reduse, dar nu eliminate. Prin urmare, există întotdeauna șansa ca riscurile să se materializeze și să se transforme în situații dificile. Dar, și situațiile dificile trebuie gestionate, iar prin instrumentele de control detectiv se face acest lucru. Pentru a ne limita la un exemplu binecunoscut în practica financiară menționăm că, inventarele sunt instrumente de control intern detectiv menite să identifice eventualele pierderi de active datorate materializării unor riscuri.
Procesele care cuprind operațiuni cu efecte patrimoniale (inclusiv bugetare) au făcut obiectul unor preocupări speciale, deoarece riscurile ce pot apare afectează două dintre cele mai importante obiective (generale) ale organizației: securitatea activelor; conformitatea cu legile, actele normative subsecvente, regulamentele și politicile interne. Din această cauză, instrumentele de control intern al riscurilor integrate în proces au fost completate cu instrumente de control de tip verificare. Logica raportului cost-beneficiu a impus ca nu toate operațiunile să fie tratate în același mod. Aceasta înseamnă că unele operațiuni vor fi tratate cu instrumente de control de tip preventiv, iar altele de tip ulterior (corectiv sau detectiv). De asemenea, unele operațiuni vor fi reverificate în totalitate pe când pentru altele se va proceda la eșantionări. Legătura dintre operațiuni, tipul instrumentelor de control și riscuri este prezentată sintetic în schema de mai jos:
Odată stabilite zonele de risc, obiectivele care sunt afectate de posibila materializare a riscurilor, circumstanțele care favorizează apariția riscurilor, responsabilitățile managerilor în gestionarea riscurilor, strategiile ce trebuiesc adoptate, măsurile de control intern (activitățile ce trebuie întreprinse pentru diminuarea expunerii la riscuri) se procedează la completarea Registrului de riscuri cu aceste elemente.
În acest stadiu Registrul de riscuri va avea următoarea formă:
III.5 Revizuirea și raportarea riscurilor
Conform modelului de management al riscurilor, prezentat în secțiunea a cincea, revizuirea și raportarea riscurilor este faza ce încheie ciclul compus din identificarea, evaluarea, controlul, revizuirea și raportarea riscurilor.
Două motive impun revizuirea și raportarea riscurilor:
• Monitorizarea modificării profilurilor riscurilor ca urmare a implementării instrumentelor de control intern și a modificării circumstanțelor care favorizează apariția riscurilor;
• Obținerea de asigurări privind eficacitatea gestionării riscurilor și identificarea nevoii de a lua măsuri viitoare.
Procesele de revizuire trebuie puse în aplicare pentru a analiza dacă: riscurile persistă; au apărut riscuri noi; impactul și probabilitatea riscurilor au suferit modificări; instrumentele de control intern puse în operă sunt eficace; anumite riscuri trebuie escaladate la nivele de management superioare etc.
Rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continuă a situației riscurilor și pentru a se sesiza schimbările majore care impun modificarea priorităților.
Revizuirea riscurilor și a procesului de gestionare a riscurilor sunt două activități distincte care nu se pot substitui reciproc.
Revizuirea trebuie să:
• dea asigurări că toate aspectele procesului de gestionare a riscurilor sunt analizate cel puțin odată pe an;
• ofere asigurări că riscurile sunt supuse revizuirii cu o frecvență corespunzătoare, stabilită în raport cu mobilitatea circumstanțelor și a naturii instrumentelor de control intern ce urmează a fi implementate;
• stabilească mecanisme de alertare ale nivelelor superioare manageriale în privința noilor riscuri sau a schimbărilor survenite la riscurile deja identificate, astfel încât aceste schimbări să fie abordate corespunzător.
Revizuirea riscurilor și a gestionării riscurilor se face, în prima etapă, prin metoda autoevaluării. Responsabilii de risc (în principal managerii de pe diferitele nivele ierarhice ale organizației) au obligația de a evalua, cel puțin o dată pe an (de regulă la finele exercițiului financiar), riscurile din sfera lor de responsabilitate, precum stadiul de implementare a instrumentelor de control intern preconizate și eficacitatea lor. De asemenea, responsabilii de risc au obligația de a raporta periodic (trimestrial, semestrial, anual) nivelelor ierarhic superioare ce activități au desfășurat pentru a actualiza riscurile și pentru a le menține la un nivel corespunzător.
Astfel de rapoarte, cunoscute și sub numele de Rapoarte de responsabilitate, trebuie incluse în sistemul de raportare al fiecărei organizații.
Dar practica autoevaluării și a rapoartelor periodice de responsabilitate nu este suficientă, deoarece subiectivismul este inerent.
Managerii se află într-o situație incomodă atunci când sunt obligați să facă publice problemele cu care se confruntă în propriile arii de responsabilitate. Dacă conducerea organizației are o viziune sancționatorie, metoda autoevaluării devine un eșec. Încurajarea managerului de a vorbi deschis despre riscuri trebuie să devină o politică a fiecărei organizații.
Subiectivismul autoevaluării în procesul de revizuire a riscurilor și a gestionării riscurilor este contrabalansat de auditul intern care, prin natura misiunii sale, are obligația de a face evaluări independente (independente de responsabilii executivi) pentru a se obține asigurări rezonabile că riscurile sunt identificate și bine gestionate și, ca urmare, obiectivele organizației vor fi atinse.
Trebuie subliniat însă faptul că auditul intern nu se poate substitui nici responsabilității pe care conducerea o are în privința riscurilor și nici unui sistem integrat de revizuire și analiză ce trebuie pus în practică de personalul care are atribuții executive în atingerea obiectivelor organizaționale.
Registrul de risc, care reprezintă documentul integrator al gestionării riscurilor trebuie completat, pentru a include și faza de revizuire și raportare, cu următoarea secvență:
Modelul de registru de risc prezentat anterior este minimal. Organizațiile pot dezvolta acest model pentru a reflecta și alte informații considerate relevante. Spre exemplu, se poate introduce o coloana cu descrierea sumară a impactului și o coloană care să cuprindă evaluarea riscului rezidual în momentul revizuirilor (riscul rezidual cuprins în modelul de mai sus are semnificația limitelor de toleranță la risc, adică obiectivul ce trebuie atins prin măsurile de control intern).
Registrul de risc reprezintă numai sinteza informațiilor și deciziilor luate în urma analizei riscurilor. De aceea toată documentația privind riscurile trebuie clasificată și îndosariată astfel încât atunci când se face o evaluare a sistemului de management al riscurilor aceasta să fie disponibilă.
Registrul de risc completat corect devine documentul prin care se atesta că în organizație s-a introdus un sistem de management al riscurilor și că acesta funcționează. De asemenea, Registrul riscurilor este documentul de la care pornește orice auditor extern atunci când se face o evaluare independentă a managementului riscurilor din cadrul organizației. În cele ce urmează considerăm utilă prezentarea unui exemplu de registru de risc care cuprinde câteva din riscurile la care s-a făcut anterior referire.
Exemplele din registrul de risc următor nu au decât valoare explicativă și nu se pot substitui unor situații concrete din fiecare organizație. Analiza de risc este un demers propriu al fiecărei organizații, care este singura în măsura să dea concretețe și valoare practică registrelor de risc. Registrele de risc ale organizațiilor reflectă circumstanțele concrete și, în același timp, atitudinea managerilor față de riscuri. Riscurile nu sunt prefabricate generalizabile nici măcar ca formulare. Din această cauză exemplele date constituie, în exclusivitate, un suport pentru înțelegere și reflecție. Nu ezitați să procedați la abordări proprii. Ele vor fi, cu siguranță, mai adecvate.
III.6 Comunicare și învățare
Comunicarea și învățarea nu constituie o etapă distinctă în gestionarea riscurilor (vezi modelul simplificat prezentat în secțiunea a cincea), ci reprezintă un proces continuu ce se desfășoară pe parcursul tuturor fazelor. De altfel, fără comunicare și învățare managementul riscurilor nu ar putea avea loc. Riscurile au determinări multiple, sunt de cele mai multe ori intercorelate, nu afectează de regulă un singur obiectiv, iar instrumentele de control al riscurilor pot influența mai multe obiective. De asemenea, lecțiile trecutului trebuie învățate pentru a nu fi puși în situația de a ignora soluții care și-au dovedit eficacitatea.
Exista câteva aspecte legate de comunicare și învățare care trebuie scoase în evidență:
• Sesizarea modificărilor survenite în cazul riscurilor identificate depinde de o bună comunicare. Încurajarea discuțiilor deschise despre riscuri, fără a exista temerea că prin aceasta managerii își vulnerabilizează pozițiile, este o sarcină de importanță capitală pentru conducerea organizației.
De asemenea, identificarea riscurilor noi depinde atât de menținerea unei bune rețele de comunicare între membrii organizației cât și de continua valorificare a surselor de informații din mediul organizațional, acestea facilitând sesizarea schimbărilor care vor afecta profilul de risc al organizației.
• Este foarte important să existe asigurări că fiecare înțelege în mod corespunzător propriul rol, strategia organizației în domeniul riscurilor și modul cum responsabilitățile individuale specifice se încadrează în cadrul general al organizației. Dacă acest lucru nu este realizat, gestionarea riscurilor nu va putea fi integrată corespunzător și omogen în organizație, iar riscurile prioritare nu vor fi controlate adecvat. Într-o astfel de situație managementul riscurilor se va cantona la nivelul activităților, dar nu va avea valențele managementului integrat, singurul capabil să deceleze ceea ce este important pentru organizație, în ansamblul său, la un moment dat și în circumstanțele date. Nici o organizație nu poate controla toate riscurile, și nici nu este de dorit. Important este să controleze ceea ce este cu adevărat prioritar.
• Este necesar să existe asigurări că experiențele sunt învățate și comunicate celor care pot beneficia de pe urma lor. Spre exemplu, dacă o structură componentă a organizației confruntată cu un risc concepe un instrument de control intern cu ajutorul căruia îl gestionează în mod eficace, aceasta lecție învățată trebuie comunicată și altora care, la un moment dat, se pot confrunta cu același risc. Pentru a face progrese experiența organizației trebuie capitalizată.
• Comunicarea cu organizațiile partenere (vezi organizația extinsă) are aceiași importanță, mai ales dacă organizația depinde, într-un fel sau altul, de o altă organizație. Neînțelegerea (necunoașterea) priorităților în gestionarea riscurilor proprii de către organizațiile partenere și, mai ales, eșecurile înregistrate de acestea se pot repercuta direct asupra managementului riscurilor în organizație. Nu este indicat să se pornească de la ipoteze cărora să li se confere valoare de adevăr chiar dacă există asigurări ca organizațiile partenere au un management performant al riscurilor, iar prioritățile acestora sunt compatibile cu obiectivele urmărite de propria organizație.
III.7 Organizația extinsă și mediul
Organizația extinsă este un concept prin care se includ în sfera de interes (din perspectiva riscurilor) a organizației și organizațiile tutelare, subordonate, partenere, precum și organizațiile care, prin misiunile lor, au legături cu misiunea organizației. Se observă cu ușurință că în conceptul de organizație extinsă sunt grupate acele organizații care au legături directe cu organizația dată. Cu alte cuvinte, există premisele cunoașterii mai aprofundate a riscurilor externe provenite din această direcție și chiar premisele stabilirii unei colaborări în controlarea unor astfel de riscuri. Se poate afirma că organizația extinsă este un mediu oarecum controlabil.
Multe organizații guvernamentale (spre exemplu, ministerele) au relații cu alte organizații pe care le controlează direct (organizațiile subordonate) sau indirect. În aceste condiții, atingerea propriilor obiective va depinde/afecta atingerea obiectivelor celorlalte organizații. Cu alte cuvinte, ceea ce face o organizație va avea un impact direct asupra riscurilor cu care se confruntă organizațiile dependente și, în consecință, eficacitatea legăturilor dintre aceste organizații este foarte importantă pentru facilitarea adoptării unei abordări comune asupra gestionării riscurilor care să le permită atingerea propriilor obiective.
Organizațiile subordonate sau aflate în coordonarea ministerelor sunt constrânse în a aplica politicile ministerelor de care depind direct sau indirect. Prin urmare, modul în care ministerul stabilește ordinea de priorități în abordarea riscurilor va afecta și prioritățile organizațiilor subordonate, iar modul în care organizațiile subordonate gestionează riscurile în procesul de implementare a politicilor va fi luat în considerare de minister în elaborarea viitoarelor politici. Aproape toate organizațiile publice depind de contractori (prestatori de servicii, furnizori de bunuri, antreprenori, societăți care preiau în administrare riscuri transferate). Este important ca organizațiile să analizeze fiecare relație importantă cu contractorii și să se asigure că sunt comunicate și înțelese corespunzător prioritățile privind un anumit risc. Deși sunt absolut necesare, nu totdeauna sunt suficiente măsurile de control intern de tipul clauzelor asiguratorii prevăzute în contracte. Ele permit recuperări financiare (satisfac obiectivele legate de securitatea activelor), dar nu controlează riscurile legate strict de obiectivele proiectelor.
Dincolo de ce am numit organizație extinsă, există și alți factori care contribuie la mediul în care riscurile sunt gestionate. Acești factori pot, fie să genereze riscuri care nu pot fi controlate de organizație, fie să limiteze modul în care aceasta poate să își asume sau să controleze riscul. Este important ca organizația să analizeze mediul extins de risc și să stabilească modul în care acesta îi afectează strategia de gestionare a riscurilor. De multe ori organizația nu are decât posibilitatea să-și stabilească planuri pentru situații dificile pentru a acționa în cazul în care riscuri pe care nu le poate controla s-ar materializa.
O serie de factori care constituie mediul de risc și de care organizațiile trebuie să țină seama este necesar a fi menționați:
• Legile și celelalte reglementări pot să afecteze mediul de risc.
Organizația trebuie să identifice acele norme sub a căror incidență intră. Normele nu sunt altceva decât constrângeri care limitează modul de acțiune al organizațiilor. Spre exemplu, riscul ca personalul să nu-și îndeplinească satisfăcător sarcinile nu poate fi controlat în totalitate prin instrumente de control intern. Organizația trebuie să țină cont de legislația muncii pentru a nu se expune riscului de a suporta sancțiunile legale.
• Un factor al mediului de risc, în special pentru organizațiile publice, este chiar Guvernul. Organizațiile publice există pentru a pune în aplicare politicile Guvernului și ministerelor sale. De aceea, de multe ori, abordarea unor riscuri de către conducătorii acestor organizații este condiționată de decizii politice.
• Fiecare organizație este constrânsa și de așteptările factorilor interesați. În cazul instituțiilor publice factorul interesat cel mai relevant este cetățeanul. Anumite măsuri care pot fi eficace în controlarea anumitor riscuri pot da naștere unor efecte pe care publicul nu este dispus să le accepte. Să ne reamintim exemplul cu penitenciarele; cu siguranță, controlarea riscului de evadare prin măsuri de control intern, a căror punere în operă ar necesita fonduri publice mari, ar genera din partea publicului reacții justificate de tipul: în loc să cheltuim pentru școli, cheltuim pentru penitenciare.
• Un alt factor de mediu important sunt condițiile economice. Spre exemplu, în condițiile unei economii mai puțin dezvoltate constrângerile bugetare afectează posibilitatea organismelor publice de a atrage forța de muncă calificată, instrument de control intern ce ar permite să gestioneze mult mai bine riscul de neîndeplinire corespunzătoare a sarcinilor de către angajați.
Această secțiune a fost integrată în material pentru a atrage atenția asupra importanței analizei mediului de risc, atât ca generator de riscuri, cât și ca mediu de constrângere a tratării (controlării) riscurilor. Cu cât obiectivele afectate de riscuri sunt mai importante (spre exemplu strategice) cu atât analiza mediului de risc este mai importantă. De asemenea, fără ca organizațiile să
acorde importanța cuvenită analizei mediului de risc nu este posibilă identificarea din timp a unor posibile riscuri ce pot apare în viitor și a căror abordare trebuie pregătită din timp.
.
BIBLIOGRAFIE
1. Băileșteanu Gheorghe Diagnostic, risc și eficiență în afaceri, Editura Mirton, 1998
2. Băileșteanu Gheorghe Economia intreprinderii – diagnostic, risc si inovare: manual
pentru invatamant la distanta anul I, Universitatea de Vest
, 2007
3. Banacu Cristian Silviu Investments and risks for sustainable development, 2004
4. Borodzicz Edward Risk, crisis and security management, 2005
5. Ceaușu Valeriu De la incertitudine la decizie : Notiuni de psihologie a deciziei,
Editura Militara, 1972
6. Ciocoiu Carmen Managementul Riscului, Editura ASE București, 2008
7. Cleary Sean Global Risk: business success in turbulent times, 2007
8. Crețu Alina Incertitudine și portofolii optime, Editura ASE București, 2003
9. Diaconescu Mariana Bănci, sisteme de plăți, riscuri, Editura Economică, 1999
10. Donath Liliana Operațiuni, instrumente și riscuri în sistemele de plăți, Editura
Mirton, 1999
11. Dumitrescu Dalina Evaluarea intreprinderilor: metode, tehnici, incertitudine,
valoare; Editura Economică, 2000
12. Goțcu Cezar Augustin Vasile Evaluarea și prevenirea riscului în activitatea de creditare:
metode financiar-contabile, Editura Tehnopress, 2008
13. H.M. Treasury Cartea Portocalie. Gestiunea Riscurilor. Principii și concepte,
2004
14. Holliwell John The financial risk manual: a systematic guide to identifying and
managing financial risk, 1997
15. Iancu Ion Incertitudine și imprecizie în sisteme inteligente,
Editura Universitaria, 2002
16. Isaic-Maniu Irina Caracterizarea statistică a riscului: concepte, tehnici, aplicatii
Editura ASE Bucuresti, 2006
17. Jalobeanu Cireșica Incertitudine și decizie: statistică și probabilități aplicate în
management, Cluj Napoca, 2001
18. Lafuente Ana Maria Gil Analiză financiară în condiții de incertitudine, Bucuresti, 1994
19. Maior George Cristian Incertitudine: gândire strategică și relații internaționale în secolul
XXI, Bucuresti, 2009
20. Ministerul Finanțelor Publice Metodologie de implementare a standardului de control intern
Unitatea Centrală de Armonizare “Managementul Riscurilor”, 2007
a Sistemelor de Management
Financiar și Control
21. Negoescu Gheorghe Risc și incertitudine în economia de piață, Geneva, 1995
22. Onicescu Octav Incertitudine și modelare economică, Editura Științifică și
Enciclopedica, 1985
23. Rejda George Principles of risk management and insurance, , 2000
24. Stancu Stelian Competiția pe piață și echilibrul economic, Editura Economică,
2002
25. Stancu Stelian Decizii economice în condiții de incertitudine: aplicații pe piața
financiară, Editura Economică, 2005
26. Szathmary-Miclea Camelia Evaluarea și gestionarea riscului în intreprinderile mici si mijlocii
Editura Universitatea de Vest Timișoara, 2003
27. Szathmary-Miclea Camelia Incertitudinea în afaceri: definire și măsurare, Editura Aura, 2004
28. Valeca Șerban Risc și incertitudine în structura suportului de decizii
manageriale, 2002
29. Wiliams Chester Risk management and insurance, 1995
30. www. theirm.org The Institute of Risk Management ,
31. www. riskinstitute.org The Public Entitz Risk Institute,
32. www.irmi.com International Risk Management Institute
ACTE NORMATIVE
1. Ordonanța Guvernului nr. 119/1999 privind controlul intern și controlul financiar preventiv, republicată, cu modificările și completările ulterioare;
2. Legea nr. 672/2002 privind auditul public intern, republicată, cu modificările și completările ulterioare;
3. Ordinul Ministrului Finanțelor Publice nr. 38/2003 pentru aprobarea Normelor generale privind exercitarea activitatii de audit public intern, cu modificările și completările ulterioare;
4. Ordinul Ministrului Finanțelor Publice nr. 946/2005 pentru aprobarea Codului controlului intern-managerial, cuprinzând standardele de control intern/managerial la entitățile publice și pentru dezvoltarea sistemelor de control intern/managerial, cu modificările și completările ulterioare;
5. Ordinul Ministrului Finanțelor Publice nr. 1.702/2005 pentru aprobarea Normelor privind organizarea si exercitarea activitatii de consiliere desfasurate de catre auditorii interni din cadrul entitatilor publice, cu modificările și completările ulterioare.
BIBLIOGRAFIE
1. Băileșteanu Gheorghe Diagnostic, risc și eficiență în afaceri, Editura Mirton, 1998
2. Băileșteanu Gheorghe Economia intreprinderii – diagnostic, risc si inovare: manual
pentru invatamant la distanta anul I, Universitatea de Vest
, 2007
3. Banacu Cristian Silviu Investments and risks for sustainable development, 2004
4. Borodzicz Edward Risk, crisis and security management, 2005
5. Ceaușu Valeriu De la incertitudine la decizie : Notiuni de psihologie a deciziei,
Editura Militara, 1972
6. Ciocoiu Carmen Managementul Riscului, Editura ASE București, 2008
7. Cleary Sean Global Risk: business success in turbulent times, 2007
8. Crețu Alina Incertitudine și portofolii optime, Editura ASE București, 2003
9. Diaconescu Mariana Bănci, sisteme de plăți, riscuri, Editura Economică, 1999
10. Donath Liliana Operațiuni, instrumente și riscuri în sistemele de plăți, Editura
Mirton, 1999
11. Dumitrescu Dalina Evaluarea intreprinderilor: metode, tehnici, incertitudine,
valoare; Editura Economică, 2000
12. Goțcu Cezar Augustin Vasile Evaluarea și prevenirea riscului în activitatea de creditare:
metode financiar-contabile, Editura Tehnopress, 2008
13. H.M. Treasury Cartea Portocalie. Gestiunea Riscurilor. Principii și concepte,
2004
14. Holliwell John The financial risk manual: a systematic guide to identifying and
managing financial risk, 1997
15. Iancu Ion Incertitudine și imprecizie în sisteme inteligente,
Editura Universitaria, 2002
16. Isaic-Maniu Irina Caracterizarea statistică a riscului: concepte, tehnici, aplicatii
Editura ASE Bucuresti, 2006
17. Jalobeanu Cireșica Incertitudine și decizie: statistică și probabilități aplicate în
management, Cluj Napoca, 2001
18. Lafuente Ana Maria Gil Analiză financiară în condiții de incertitudine, Bucuresti, 1994
19. Maior George Cristian Incertitudine: gândire strategică și relații internaționale în secolul
XXI, Bucuresti, 2009
20. Ministerul Finanțelor Publice Metodologie de implementare a standardului de control intern
Unitatea Centrală de Armonizare “Managementul Riscurilor”, 2007
a Sistemelor de Management
Financiar și Control
21. Negoescu Gheorghe Risc și incertitudine în economia de piață, Geneva, 1995
22. Onicescu Octav Incertitudine și modelare economică, Editura Științifică și
Enciclopedica, 1985
23. Rejda George Principles of risk management and insurance, , 2000
24. Stancu Stelian Competiția pe piață și echilibrul economic, Editura Economică,
2002
25. Stancu Stelian Decizii economice în condiții de incertitudine: aplicații pe piața
financiară, Editura Economică, 2005
26. Szathmary-Miclea Camelia Evaluarea și gestionarea riscului în intreprinderile mici si mijlocii
Editura Universitatea de Vest Timișoara, 2003
27. Szathmary-Miclea Camelia Incertitudinea în afaceri: definire și măsurare, Editura Aura, 2004
28. Valeca Șerban Risc și incertitudine în structura suportului de decizii
manageriale, 2002
29. Wiliams Chester Risk management and insurance, 1995
30. www. theirm.org The Institute of Risk Management ,
31. www. riskinstitute.org The Public Entitz Risk Institute,
32. www.irmi.com International Risk Management Institute
ACTE NORMATIVE
1. Ordonanța Guvernului nr. 119/1999 privind controlul intern și controlul financiar preventiv, republicată, cu modificările și completările ulterioare;
2. Legea nr. 672/2002 privind auditul public intern, republicată, cu modificările și completările ulterioare;
3. Ordinul Ministrului Finanțelor Publice nr. 38/2003 pentru aprobarea Normelor generale privind exercitarea activitatii de audit public intern, cu modificările și completările ulterioare;
4. Ordinul Ministrului Finanțelor Publice nr. 946/2005 pentru aprobarea Codului controlului intern-managerial, cuprinzând standardele de control intern/managerial la entitățile publice și pentru dezvoltarea sistemelor de control intern/managerial, cu modificările și completările ulterioare;
5. Ordinul Ministrului Finanțelor Publice nr. 1.702/2005 pentru aprobarea Normelor privind organizarea si exercitarea activitatii de consiliere desfasurate de catre auditorii interni din cadrul entitatilor publice, cu modificările și completările ulterioare.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Analiza Si Managementul Riscurilor (ID: 136215)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.