Identificarea și evaluarea riscurilor

Filtrează
28.06.2019
SCIM

Managementul Riscurilor este un proces complex de identificare, analiză şi răspuns la posibile riscuri ale unei entităţi publice si are nevoie de o abordare documentată, care utilizează resurse materiale, financiare şi umane pentru atingerea obiectivelor, vizând reducerea expunerii la pierderi a acestora.

Astfel, controlul intern este asociat direct cu managementul riscurilor, deoarece, prin măsurile luate, se asigură, în mod rezonabil, un cadru funcţional ce permite entităţii publice să îşi atingă obiectivele.

Implementarea managementului riscurilor în cadrul entităţilor publice se realizează printr-un flux continuu, care constituie o parte integrantă a activităţii curente,  printr-un proces sistematic ce privește optimizarea resurselor, în concordanţă cu obiectivele entităţii, și prin includerea aspectelor de tratare a riscului în practicile de management şi luarea deciziilor pe  parcursul întregului ciclu de viaţă al activităţilor;  

Fiecare entitate publică are o serie de obligații atunci când vorbim de managementul riscurilor și anume: 

  • De a analiza sistematic, cel puţin o dată pe an, riscurile legate de desfăşurarea activităţilor sale; 

  • De a stabili tipul de răspuns la risc;

  • De a numi responsabilii cu riscurile; 

  • Și de a consemna informaţiile privind riscurile în registrul de riscuri.

Managementul riscurilor la nivelul unei entităţi publice, solicită abordarea unui stil de management proactiv, un cadru organizaţional eficient şi eficace în atingerea obiectivelor entităţii publice si. Exercitarea unui control intern managerial solid

  • un bun conducător trebuie să anticipeze evenimentele posibile să apară, care pot afecta atingerea obiectivelor, înaintea materializării riscurilor; 
  • un astfel de stil nu va permite materializarea riscurilor inerente şi va limita efectele directe şi indirecte generate de riscuri. 
  • identificarea şi ierarhizarea riscurilor vor determina o prioritizare în alocarea resurselor entităţii în urma unei analize „efort depus – rezultat obţinut”; 
  • eforturile convergente pentru atingerea obiectivelor asumate de către entitatea publică şi analizarea sistematică a riscurilor identificate implică o realocare periodică a resurselor şi modificarea unor priorităţi. 
  • Managementul riscurilor este un mijloc important prin care se implementează la nivelul entităţii publice un sistem de control intern managerial eficient şi eficace; 
  • Există o legătură directă între planul de acţiune (asociat cu activităţile derulate pentru atingerea obiectivelor asumate de către  entitatea publică) şi planul de măsuri elaborat pentru gestionarea riscurilor.

Realizarea unui management coerent al riscurilor implică o serie de etape. Prima implica o analiza prealabilă a tuturor expunerilor la risc, identificarea surselor de risc fiind fundamentală şi determinantă în evaluarea corectă a riscurilor entităţii publice;

Dupa etapa de analiza, se da startul procesului de identificare a riscurilor. Se vor identifica riscurile care pot afecta eficacitatea şi eficienţa activităţilor aferente obiectivelor specifice, fără a ignora regulile şi regulamentele, încrederea în informaţiile financiare şi în management, protejarea bunurilor, prevenirea şi descoperirea fraudelor; 

Ulterior, entitatea va proceda la definirea nivelului de toleranţă la risc / nivelului acceptabil de expunere la risc, va evalua probabilitatea ca riscul să se materializeze, va stabili impactul şi expunerea la risc, si, de asemenea, va stabili tipul de răspuns la risc,  sau strategia adoptata. 

Procesul de identificare a riscurilor este primul pas în demersul activităţii de management al riscului. Acesta îşi propune să descopere toate sursele posibile de  risc, cu scopul eliminării sau diminuării efectelor pe care acestea le pot produce. 

  • În procesul de identificare a riscurilor se au întotdeauna în vedere obiectivele şi activităţile care contribuie la realizarea acestora. Pentru o identificare corespunzătoare a riscurilor, este absolut necesară existenţa unui document, care să conţină obiectivele asumate la nivelul entităţii. 

  • Acesta poate fi un plan de management, un plan strategic instituţional sau un alt document care să includă: obiectivele generale, obiectivele specifice, activităţile care contribuie la atingerea obiectivelor

Se recomandă ca fiecare entitate publică să parcurgă următoarele etape: 

Stabilirea obiectivelor generale şi specifice ale entităţii publice, în concordanţă cu prevederile Standardului nr 5 – Obiective, cf Ordinului Secretariatului General al Guvernului nr 600/2018.  

  • Obiectivele generale sunt transpuse în obiective specifice, cărora li se asociază o serie de rezultate aşteptate şi indicatori  şi se comunică responsabililor / salariaţilor.

  •  Obiectivele specifice trebuie definite astfel încât să răspundă pachetului de cerinţe SMART, adică să fie specifice, măsurabile, adecvate, realiste si să aibă un termen de realizare.

Stabilirea activităţilor pentru realizarea obiectivelor specifice prin elaborarea  Listei obiectivelor şi activităţilor (sau alt document de planificare)

  • Conducătorul fiecărui compartiment din cadrul entităţii publice elaborează / actualizează anual Lista obiectivelor şi activităţilor necesare realizării obiectivelor specifice propuse, în  concordanţă cu prevederile Standardului 6 - Planificare.

  • Pentru o bună administrare a riscurilor la toate nivelurile manageriale, conducătorii compartimentelor de la primul nivel de conducere vor desemna responsabili cu riscurile. 

  • Aceştia identifică şi colectează riscurile aferente obiectivelor şi/sau activităţilor, asumate de către conducătorul compartimentului şi vor monitoriza procesul de implementare a managementului riscurilor.

  • După identificarea obiectivelor şi a activităţilor aferente, se va trece la etapa următoare, de identificare a vulnerabilităţilor şi a ameninţărilor Vulnerabilitatile sunt definite ca fiind punctele slabe interne/de la nivelul entităţii, care. pot cauza apariţia riscurilor, in timp ce ameninţările sunt cele care vin din exterior. 

  • Numărul riscurilor creşte proporţional cu complexitatea entităţii publice şi cu numărul activităţilor desfăşurate pentru atingerea obiectivelor. 

În funcţie de gradul de maturitate al entităţii publice, identificarea riscurilor se poate afla într-una din cele două faze: fie identificarea riscurilor în faza inițială, fie identificarea permanentă a riscurilor. 

  • Identificarea riscurilor în faza iniţială este specifică entităţilor nou înfiinţate, fără un istoric în ceea ce priveşte gestionarea riscurilor sau fără un management al riscurilor foarte bine dezvoltat. Aceeaşi situaţie se întâlneşte si în cazul demarării proiectelor noi sau în cazul unor activităţi noi. 

  • În schimb, identificarea permanentă a riscurilor este specifică entităţilor care au dezvoltat un sistem coerent şi consolidat de control intern managerial şi implicit de management al riscurilor.

Exista un set de reguli asociate procesului de identificare a riscurilor, și anume:

  • Riscul este legat de incertitudine şi are asociată o probabilitate de materializare. Riscul nu este ceva sigur şi nu se referă la o problemă dificilă deja materializată.

  • Nu trebuie ignorate, însă, nici problemele dificile deja materializate - acestea pot fi riscuri potenţiale în viitor, dacă entitatea publică acţionează în aceleaşi circumstanţe. 

  • Nu constituie riscuri, acele situaţii / probleme care nu pot să apară 

  • Nu se identifica ca fiind riscuri acele probleme care se vor materializa cu siguranţă. Acestea nu sunt riscuri ci certitudini. Certitudinile sunt gestionate şi de regulă presupun alocări de resurse, modificarea obiectivelor asumate, sau schimbări de strategie.

  • Riscurile nu se definesc prin impactul lor asupra obiectivelor. Impactul nu este risc, ci o consecinţă a modului în care materializarea unui risc afectează respectivele obiective.

  • Nu se definesc riscurile prin negarea obiectivelor.

  • Nu se identifică riscuri care nu afectează obiectivele: există doar riscuri corelate cu obiectivele. E indicat ca la identificarea riscurilor să se evite stabilirea unei cauzalităţi indirecte deoarece există pericolul de vedea riscuri peste tot.

  • Riscurile au o cauză şi un efect. Cauza este un context favorabil apariţiei riscului. În timp ce Efectul este impactul materializării riscului.

Exista două categorii de cauze care duc la apariția riscurilor, cauzele externe și cauzele interne. 

Cauze externe numite și amenințări nu pot fi controlate în totalitate de entitatea publică.  Pot fi însă luate măsuri de atenuare a riscurilor potențial a fi generate de acestea.

Cauzele externe pot fi de natura politică, economică, socio-culturală, tehnologică, juridică sau chiar de mediu.

Principalii factori care pot influenţa mediul de risc extern şi de care trebuie să ţină cont fiecare entitate publică, sunt: 

  • Legile şi reglementările - fiecare entitate publică trebuie să îşi identifice acele legi şi reglementări, în baza cărora funcţionează şi care definesc limitele de acţiune ale entităţii; 

  • Modificarea / actualizarea obiectivelor programului de guvernare - în unele situaţii, tratarea unor riscuri de către conducătorii entităţii publice fiind influenţată de deciziile politice; 

  • O altă cauză externă poate fi diminuarea bugetului care poate afecta atragerea, menţinerea sau facilitarea diferitelor proiecte din cadrul entității publice. 

Pe de alta parte, Cauzele interne sunt specifice entităţii și se mai numesc și vulnerabilități. Acestea pot fi de regulă gestionate direct în cadrul entității publice și pot fi identificate la nivelul unor domenii de activitate specifice acesteia, rezultând mai multe tipuri de vulnerabilități, și anume: Financiare, vulnerabilități ce țin de Resurse umane, Achiziţii publice, Regulamente și norme interne sau Baze de date neactualizate.

Trebuie făcută de asemenea deosebirea între riscul inerent şi riscul rezidual 

Riscul inerent este riscul specific, ce ţine de realizarea obiectivului, fără a fi luate măsuri de atenuare a riscurilor, în timp ce riscul rezidual este acel risc ce rămâne după ce a fost stabilit şi implementat răspunsul la risc. 

Riscul rezidual este practic expresia faptului că riscurile inerente nu pot fi controlate în totalitate. Oricâte măsuri ar fi luate, incertitudinea nu poate fi eliminată.

O alta categorie de foarte importanta de riscuri de care orice entitate publică trebuie să țină cont, cuprinde riscurile de corupţie : 

Procesul de management al riscurilor include şi gestionarea riscurilor de corupţie, identificate la nivelul entităţii publice. Astfel, etapele parcurse în procesul de management al riscurilor se aplică şi în gestionarea riscurilor de corupţie. 

Cadrul conceptual, metodologic şi organizatoric al managementului riscurilor de corupţie este menţionat şi prin diverse metodologii existente la nivelul entităţilor publice. 

Identificarea riscurilor nu este un proces strict obiectiv ci depinde foarte mult de percepţia celor implicaţi. 

Etapa următoare identificării riscurilor este Evaluarea acestora. Scopul evaluării riscurilor constă în stabilirea unei ierarhii a riscurilor identificate şi, în funcţie de toleranţa la risc, stabilirea celor mai adecvate măsuri de tratare a riscurilor. 

Evaluarea riscurilor trebuie să se bazeze pe date independente şi pe dovezi concrete, sa aibă în vedere pe toţi factorii afectaţi de risc și să facă distincţia între expunerea la risc şi toleranţa la risc.

Evaluarea riscurilor înseamnă estimarea probabilităţii de apariție a riscurilor, de asemenea, estimarea impactului asupra obiectivelor/activităților în cazul materializării riscurilor, și bineînțeles estimarea expunerii la risc (care este practic produsul între cele două).

Ca instrument de evaluare se pot utiliza scale de probabilităţi. Valorile acestor scale sunt generate de experienţa celor care lucrează în cadrul procesului de management al riscului la nivelul entității publice. Astfel, se pot utiliza mai multe tipuri de scale referitoare la evaluarea probabilităţii de materializare a unui risc. Aceste scale pot avea 3 sau 5 valori în funcție de faza în care se află entitatea publică în procesul de management al riscurilor. 

Impactul se poate descompune astfel: componenta calitativă, componenta patrimonial – bugetară; componenta efort (resurse umane); componenta de timp.

Rezultatele evaluărilor cantitative asupra impactului se transpun într-o apreciere calitativă care reflectă importanţa percepută în raport cu obiectivele.

Expunerea la risc este o combinaţie sau un produs între valorile stabilite pentru probabilitate şi impact, fiind un indicator bidimensional, de tip matriceal. Aceasta se poate reprezenta în mai multe forme, în funcţie de modelul adoptat pentru evaluarea impactului şi a probabilităţii de materializare a riscului.

Gruparea riscurilor într-o entitate publică (expunerea la risc), duce la realizarea profilului de risc al acesteia. Acesta este unic din perspectiva obiectivelor, activităţilor derulate, contextului general. Identificarea şi evaluarea riscurilor este un atribut specific fiecărei entităţi publice în parte. Nu există un profil de risc cu grad de generalitate, pe tipuri de entităţi publice. 

Așadar, această etapă privind identificarea riscurilor trebuie să fie făcută la nivelul fiecărei entitate, ținând cont de obiectivele acesteia, Doua instrumente foarte importante în cadrul acestei etape sunt formularul de alertă la risc ți registrul riscurilor la nivelul compartimentului. Fiecare angajat, prin completarea formularului de alerta la risc va putea identifica toate riscurile aferente activităților desfășurate. Toate riscurile identificate la nivelul compartimentului, vor fi ulterior cuprinse în registrul riscurilor de pe compartiment. Despre Cum sunt ele gestionate de aici, ți care sunt responsabilitățile în cadrul entității cu privire la procesul de management al riscurilor, vom vorbi în episodul următor.