07.08.2019
Continuăm astăzi să vorbim despre managementul riscurilor, urmărind, așa cum am menționat și în episodul anterior, etapa de gestionare a riscurilor.
Pentru gestionarea eficientă a procesului de management al riscurilor, la nivelul entităţii publice este necesar să existe o structură cu atribuţii în Managementul riscului, un responsabil cu gestionarea riscurilor la nivelul fiecărui compartiment de la primul nivel de conducere din cadrul entităţii publice și o procedură de sistem privind managementul riscurilor.
Gestionarea riscurilor presupune derularea unui cumul de activități care urmăresc 3 direcții distincte. Acestea sunt:
Stabilirea și implementarea măsurilor de control ale riscurilor;
Monitorizarea implementării măsurilor de control;
Și revizuirea riscurilor şi raportarea periodică a situaţiei acestora.
Vom analiza cele trei direcții în cele cele urmează.
Pentru a putea crea o prioritizare corectă a riscurilor, fiecare entitate publică își va identifica limitele de toleranță la risc, ținând cont de următoarele perspective:
Perspectiva cost-beneficiu: În acest caz se stabileşte dacă sunt necesare o serie de ajustări. Scopul acestei analize este de a depista dacă limita de toleranţă propusă nu presupune “costuri” exagerat de mari în raport cu beneficiul.
Perspectiva resurselor totale pe care entitatea le poate aloca măsurilor de control: Dacă resursele sunt insuficiente, se operează o ierarhizare a riscurilor în funcţie de priorităţi şi o reajustare a limitelor de toleranţă pentru riscurile mai puţin prioritare.
Stabilirea limitei de toleranţă la risc este un act de responsabilitate managerială, deoarece are implicaţii importante asupra costurilor asociate măsurilor de control şi a costurilor generate de expunerea la risc.
Toleranţa la risc se poate face în raport cu expunerea la risc, toate riscurile care au un nivel al expunerii peste limita de toleranţă la risc acceptată necesitând măsuri de control prin care acestea să devină unele reziduale.
După ce riscurile au fost identificate şi evaluate şi după ce s-au definit limitele de toleranţă în cadrul cărora entitatea este dispusă, la un moment dat, să-şi asume riscuri, este necesară stabilirea posibilității controlului fiecărui risc în parte.
Problema controlării/necontrolării riscurilor este abordată, cel mai adesea, în funcţie de toleranţă. În acest context se vorbeşte despre riscuri care nu pot fi controlate până la un nivel satisfăcător al expunerii, sau despre riscuri controlabile parţial.
Există o serie de Strategii aplicabile managementului riscurilor, pe care entitatea le poate adopta în procesul de gestionare a riscurilor.
Prima ar fi acceptarea sau tolerarea riscurilor. Acesta este un tip de răspuns la risc definit prin neiniţierea unor măsuri de control a riscurilor, potrivit pentru riscurile inerente care au o expunere mai mică decât limita de toleranţă. Acceptarea se aplică atunci când riscurile identificate la nivel de compartiment sunt asumate de către persoanele cu funcţii decizionale sau când nu este posibil un alt tip de răspuns la risc, fiind, de asemenea, și un tip de răspuns adecvat pentru riscurile cu o expunere scăzută.
A doua strategie, monitorizarea permanentă a riscurilor, este un tip de răspuns la risc caracterizat prin acceptarea riscului cu obligaţia de a-l supraveghea permanent, îndeosebi, de a monitoriza probabilitatea de aparaţie a riscului. Monitorizarea este o strategie recomandată în cazul riscurilor cu impact ridicat, dar cu probabilitate scăzută de apariţie.
Evitarea riscurilor este un tip de răspuns la risc constă în eliminarea activităţilor care generează riscul si este o strategie aplicată cu precădere pentru activităţile generale, în cazul în care nu există o altă modalitate de a gestiona riscurile.
Transferul (externalizarea) riscurilor presupune încredinţarea gestionării riscului unei terţe persoane sau structuri, capabilă sau specializată în gestionarea unor astfel de riscuri, de regulă, în baza unui contract. Externalizarea riscurilor către un terţ are ca scop o scădere a expunerii la risc a entităţii dar şi o mai bună gestionare a riscului transferat.
Aceasta strategie este utilizată în special în cazul riscurilor financiare şi patrimoniale. Riscurile ce ţin de credibilitatea entităţii publice nu se pot externaliza către terţi.
O altă direcție pe care entitățile publice trebuie să o aibă în vedere în procesul de gestionare a riscurilor, este Monitorizarea implementării măsurilor de control.
La nivelul entităţii publice procesul de monitorizare a implementării măsurilor de control se realizează pe baza unui plan. Astfel, Secretariatul tehnic al Comisiei de Monitorizare primeşte informaţii (măsurile de control) de la responsabilii cu riscurile pentru elaborarea Planului de implementare a măsurilor de control.
Planul de implementare a măsurilor de control cuprinde denumirea riscului, măsurile de control, termenele de implementare și responsabilii cu implementarea măsurilor de control.
Ce-a de-a treia direcție, revizuirea riscurilor şi raportarea periodică a situaţiei acestora este etapa finală care încheie procesul de Management al riscurilor. Cauzele care stau la baza revizuirii riscurilor sunt:
Schimbările majore care pot interveni în mediul instituţional, sau în obiectivele entităţii;
Modificarea profilurilor riscurilor, ca urmare a implementării măsurilor de control şi a schimbării cauzelor care favorizează apariţia riscurilor;
Eficacitatea gestionării riscurilor şi luarea de noi măsuri, în funcţie de caz.
Procesele de revizuire trebuie puse în aplicare pentru a analiza dacă: riscurile persistă; au apărut riscuri noi; impactul şi probabilitatea riscurilor au suferit modificări; instrumentele de control intern puse în aplicare sunt eficace; sau dacă anumite riscuri trebuie gestionate la nivele de management superioare.
Revizuirea riscurilor trebuie să ofere asigurări privind evaluarea procesului de management al riscurilor cel puţin o dată pe an şi instrumente de alertare ale nivelelor ierarhic superioare cu privire la riscurile noi identificate sau a modificărilor intervenite la riscurile existente, astfel încât aceste schimbări să fie gestionate.
Raportarea anuală a riscurilor se realizează pe două nivele:
La nivelul compartimentului de la primul nivel de conducere – de către responsabilul cu riscurile, printr-un raport asumat de conducătorul compartimentului şi care se transmite Secretariatului tehnic al Comisiei de monitorizare.
Și la nivelul entităţii publice – de către Secretariatului tehnic al Comisiei de monitorizare, pe baza rapoartelor de la compartimente informează conducătorul entităţii asupra stadiului procesului de gestionare a riscurilor.
Procesul de gestionare a riscurilor necesită implicarea tuturor factorilor, atât a celor cu funcţii de conducere, cât şi a celor cu atribuţii executive din cadrul entităţii publice, prin stabilirea de responsabilităţi clare la nivelul tuturor structurilor organizatorice şi decizionale. Așadar, când vorbim despre Responsabilități, acestea sunt împărțite la nivelul entității astfel:
La nivelul compartimentelor, Persoana care a identificat un risc va efectua următoarele acţiuni:
Va elabora Formularului de alertă
Va transmite Formularul de alertă la risc responsabilului cu riscurile pe compartiment, ataşând la acesta documentaţia utilizată pentru fundamentarea riscului;
Va elaborara Fişa de urmărire a riscului cu sprijinul responsabilului cu riscurile;
Și va implementa măsurile de control aprobate prin Planul de măsurare a riscurilor:
Formularul de alertă la risc este un instrument foarte important în procesul de management al riscurilor. Acesta trebuie să conțină noțiuni cu privire la
Identificarea şi descrierea riscului aferent obiectivului/activităţii;
Analizarea preliminară a riscului identificat;
Identificarea cauzelor care favorizează apariţia / repetarea acestuia;
Identificarea consecinţelor apariţiei riscului identificat;
Evaluarea preliminară a expunerii la risc pe baza probabilităţii şi impactului riscului,
Dar și propuneri de măsuri de control necesare a fi luate pentru a controla riscul identificat; măsurilor de control aprobate prin Planul de măsurare e a riscurilor:
Responsabilul cu riscurile de la nivelul fiecărui compartiment:
colectează Formularele de alertă la risc şi documentaţiile aferente de la persoanele care au identificat riscurile din cadrul compartimentului;
analizează fiecare Formular de alertă la risc, evaluează expunerea la risc pe baza probabilităţii şi impactului riscului şi transmite conducătorului Formularele de alertă la risc;
formulează o opinie cu privire la tipul de răspuns la risc şi măsurile de control;
pune în practică decizia conducătorului privind riscul identificat;
elaborează şi transmite Registrul de riscuri pe compartiment conducătorului acestuia;
transmite Secretariatului tehnic al Comisiei de Monitorizare Registrul de riscuri pe compartiment aprobat;
urmăreşte stadiul implementării măsurilor de control şi contribuie la implementarea măsurilor de control;
verifică Fişa de urmărire a riscului, pentru fiecare risc cuprins în Planul de măsuri aprobat şi completează măsurile de control, după caz, precum şi acţiunile noi propuse;
revizuirea riscurilor, la sfârşitul anului, în vederea actualizării Registrului de riscuri pe compartiment;
elaborează Raportul anual privind procesul de gestionare a riscurilor pe compartiment, pe care îl transmite spre aprobare conducătorului compartimentului.
Conducătorul fiecărui compartiment de la primul nivel de conducere:
desemnează responsabilul cu riscurile de la nivelul compartimentului;
analizează, evaluează şi decide asupra riscurilor incluse în Formularele de alertă a riscurilor;
aprobă Registrul de riscuri la nivelul compartimentului;
monitorizează implementarea măsurilor de control aferente Planului de măsuri, aprobat la nivelul entităţii, prin Fişele de urmărire a riscurilor;
aprobă Raportul anual privind procesul de gestionare a riscurilor pe compartiment, pe care îl transmite Secretariatului tehnic al Comisiei de Monitorizare.
Membrii Comisiei de Monitorizare:
asigură implementarea etapelor aferente procesului de management al riscurilor;
analizează Registrul de riscuri pe entitate;
analizează şi decid asupra profilului de risc şi limitei de toleranţă la risc;
analizează rapoartele de audit, reţinându-se riscurile identificate prin acestea şi măsurile recomandate a fi implementate, în funcţie de caz;
Secretariatul tehnic al Comisiei de Monitorizare
transmite către compartimente Planul de măsuri aprobat pentru implementare;
monitorizează procesul de gestionare a riscurilor;
analizează şi centralizează Rapoartele anuale privind desfăşurarea procesului de gestionare a riscurilor de la nivelul compartimentelor;
elaborează Informarea privind desfăşurarea procesului de gestionare a riscurilor şi o transmite spre avizare preşedintelui CM şi spre aprobare conducătorului entităţii.
Preşedintele Comisiei de Monitorizare:
aprobă Registrul de riscuri pe entitate;
avizează profilul de risc şi limita de toleranţă la risc, discutate în CM;
avizează Planul de măsuri;
analizează şi avizează Informarea privind desfăşurarea procesului de gestionare a riscurilor de la nivelul entităţii.
Acolo unde exista o astfel de structura, Auditul entităţii publice va face recomandări pe parcursul misiunilor de audit, în vederea îmbunătăţirii controalelor existente şi urmăreşte îndeplinirea recomandărilor.
Și nu în cele din urmă, Conducătorul entităţii publice este persoana care aprobă profilul de risc, limita de toleranţă la risc și Planul de măsuri;
În concluzie, Managementul riscurilor este un proces complex, care pentru a asigura un cadru funcțional eficient, are nevoie de implicarea tuturor factorilor din cadrul entităților publice.
În gestionarea riscurilor, atât personalul de conducere cât și personalul de execuție trebuie:
Să înțeleagă, cât și cum afectează riscurile entitatea publică (identificarea riscului și măsurarea acestuia);
Să obțină informații despre riscuri (sursele și factorii care îl generează);
Să aloce resurse adecvate pentru gestionarea riscurilor;
Să analizeze efectele riscurilor prin atribuirea de responsabilități;
Să disemineze bunele practici și să informeze toate compartimentele cu privire la posibilitățile de reducere a riscurilor.