P. 1
7 Auditul Si Riscurile de Management

7 Auditul Si Riscurile de Management

|Views: 8|Likes:
Published by havisha_24
audit
audit

More info:

Published by: havisha_24 on Apr 04, 2014
Copyright:Traditional Copyright: All rights reserved

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/04/2015

pdf

text

original

Capitolul 7

Auditul intern şi riscurile de management
7.1 Implicarea auditul intern în managementul riscurilor 7.2 Armonizarea modelelor de audit intern şi de management al riscurilor 7.3 Identificarea riscurilor 7.4 Evaluarea riscurilor 7.5 Toleranţa la risc 7.6 Răspunsul la risc – controlarea riscurilor 7.7 Instrumente de control intern 7.8 Gruparea instrumentelor de control intern după modul de acţiune împotrina riscurilor 7.9 Revizuirea şi raportarea riscurilor 7.10 Comunicare şi învăţare 7.11 Entitatea extinsă şi mediul
Timp necesar: 100 minute

00:100 50

Parcurgând acest capitol vom afla:  Cum poate contribui auditul intern la îmbunătăţirea managementului riscurilor;  Cum se armonizează auditul intern cu cerinţele managementului riscurilor;  Cum acţionează auditorii interni pentru identificarea şi evaluarea riscurilor de management.

7.1 Implicarea auditul intern în managementul riscurilor În orice entitate, cât şi în mediul în care aceasta acţionează, există incertitudini şi ameninţări referitoare la realizarea obiectivelor. Orice manager este preocupat de gestionarea ameninţările, sau de fructificarea oportunităţile. Dacă incertitudinea este o realitate cotidiană, atunci şi reacţia la incertitudine poate devini o preocupare permanentă.

74

Auditul intern poate contribui la implementarea managementului riscurilor, aducând motivaţii specifice1. a) Auditul intern poate contribui la modificarea stilului de management Contribuind la identificarea riscurilor, auditul intern oferă managerilor posibilitatea să adopte un stil de management reactiv, să conceapă şi să implementeze măsuri susceptibile de a atenua manifestarea riscurilor. Reacţia orientată spre viitor permite organizaţiei să stăpânească, în limite acceptabile, riscurile trecute, ceea ce este acelaşi lucru cu creşterea şanselor de a-şi atinge obiectivele. Stăpânirea riscurilor reale (riscurile care s-au manifestat deja, dar care sunt negestionate corespunzator şi care pot apare şi în viitor) este o garanţie că sistemele de control intern sunt eficace. Tratarea riscurilor reale permite entităţii să nu se mai confrunte în viitor, în aceeaşi măsură, cu acele riscuri cu care s-a confruntat în trecut. Din păcate, este destul de răspandită concepţia conform căria eficacitatea acţiunii manageriale constă în limitarea efectelor riscurilor materializate. Limitarea la managementul reactiv este, totuşi, insuficientă pentru un management performant. Nici o organizaţie nu poate fi condusă numai după principiul „văzând şi facând”. La fel de importantă este şi identificarea posibilelor ameninţări, înainte ca ele să-şi materializeze şi să producă consecinţe nefavorabile asupra obiectivelor stabilite. Aceasta înseamnă a adopta un stil de management proactiv. Managementul proactiv are la bază principiul „este mai bine să previi, decât să constaţi un fapt împlinit”.

1

Metodologie de implementare a standardului de control intern „managementul riscurilor“, Unitatea Centrală de Armonizare a Sistemelor de Management Financiar şi Contro l, MFP, ianuarie 2007, www.mfinante.ro

75

În entităţile care beneficiază de un audit intern performant, „scrutarea orizontului“ nu se limitează la viitorul imediat, ci ia în considerare şi perspective mai îndepărtate. În aceste situaţii, managementul proactiv devine un management prospectiv, în care managementul încearcă să identifice acele riscuri potenţiale, acele riscuri care pot aparea ca urmare a modificărilor de strategie sau de mediu. Organizaţia trebuie pregătită pentru a accepta schimbarea. Auditul intern susţine mangementul entităţii să excludă expectativa şi să promoveaze acţiunea şi previziunea. b) Auditul intern poate facilita realizarea eficientă şi eficace a obiectivelor organizaţiei Revizuirea periodică a riscurilor de către auditul intern, poate conduce la realocarea resurselor, în concordanţă cu modificarea ierarhiilor şi, implicit a priorităţilor. Susţinerea eforturilor managementului riscurilor poate orienta concentrarea resurselor în zonele de interes actuale ale entităţii. Cunoaşterea ameninţărilor permite o ierarhizare a acestora în funcţie de eventualitatea materializării lor, amploarea impactului acestora asupra obiectivelor şi de costurile pentru reducerea şansele de apariţie sau limitarea efectele nedorite. Stabilirea unor ierarhii constituie suportul introducerii unei ordini de priorităţi în alocarea resurselor, în majoritatea cazurilor limitate, în urma unei analize „cost-beneficiu“ sau, mai general, „efort-efect“. Este esenţial ca organizaţia să-şi concentreze eforturile spre ceea ce este cu adevarat important, şi nu să-şi disperseze resursele în zone nerelevante pentru scopurile sale.

76

este indispensabilă implementarea auditul intern. revizuirea şi raportarea continuă a situaţiei riscurilor. identificarea şi evaluarea riscurilor ce pot afecta entitatea şi activităţile ce se desfăşoară în cadrul acesteia. rezultă că auditul intern este unul din mijloacele importante prin care se realizează acest lucru. este realizat cu participarea personalului entităţii şi constă în: definirea strategiei specifice. monitorizarea. 77 . dacă se urmăreşte consolidarea controlului intern. controlul riscurilor astfel încât acestea să se încadreze în limitele toleranţei la risc. Cu alte cuvinte. deoarece urmăreşte tocmai gestiunea ameninţărilor ce ar putea avea impact negativ asupra obiectivelor. 7. Planul de acţiune (activităţile ce trebuie desfăşurate pentru realizarea obiectivelor) trebuie urmat de planul ce cuprinde măsurile ce atenuează manifestarea riscurilor şi de planul de tratare a situaţiilor dificile (riscuri materializate). beneficiindu-se de experienţa acumulată (proces de învăţare). pentru a se obţine o garanţie rezonabilă cu privire la realizarea obiectivelor entităţii.2 Armonizarea modelelor de audit intern şi de management al riscurilor Managementul riscurilor este un atribut al conducerii.c) Auditul intern asigură condiţiile de bază pentru un control intern sănătos Dacă auditul intern cuprinde ansamblul măsurilor stabilite de conducere pentru a se obţine asigurări rezonabile că obiectivele controlului intern şi ale entităţii vor fi atinse. ţinând cont de parteneriate şi de mediu.

aşa cum se întâmplă în realitate. 78 . o entitate integrată în mediul său de existenţă. modelul încearcă să sugereze că managementul riscurilor nu are în vedere o entitate izolată ci. revizuirea şi raportarea riscurilor Atitudinea faţă de risc. Controlul riscurilor Evaluarea riscurilor •Entitate afiliată •Entitate subordonată Parlament Guvern Legi şi alte reglementări • Entităţi partenere •Alte entităţi incidente Astepţările factorilor interesaţi Condiţii economice Contextul internaţional Modelul de management al riscurilor Managementului riscurilor nu este un proces linear. componentele lui interacţionând continuu. proprii sau ale altora. Managementul riscului este un proces continuu de învăţare din experienţe trecute.Mediul economic şi social Entitatea extinsă Entitatea Identificarea riscurilor Proces de învăţare Monitorizarea. Gestionarea unui risc poate avea un impact asupra altor riscuri sau măsurile identificate ca fiind eficace pentru controlarea unui risc se pot dovedi benefice şi în controlarea altor riscuri. Ceea ce este extrem de important în demersul de a se ajunge la un management al riscurilor eficace este consolidarea permanenta a unei culturi organizaţionale a riscurilor. De asemenea.

Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a caror realizare este afectată de materializarea lor. această situaţie se întâlneşte în cazul demarării unui nou proiect sau atunci când o activitate nouă este introdusă în entitate. este necesar. identificarea riscurilor se poate afla într-una din urmatoarele ipostaze: • Identificarea iniţială a riscurilor caracteristică organizaţiilor noi sau care nu şi-au identificat anterior riscurile. adică să fie identificate. Din această cauză existenţa unui sistem de obiective clar definite în entitate constituie premisa esenţială pentru identificarea şi definirea riscurilor. Identificarea riscurilor constituie primul pas în construirea profilului riscurilor unei organizaţii. Riscurile trebuie identificate la orice nivel unde se sesizeaza că există consecinţe asupra atingerii obiectivelor şi pot fi luate măsuri specifice de soluţionare a problemelor. înainte de toate. să se cunoască aceste riscuri. începând cu cele generale şi terminând cu cele individuale. • Identificarea permanentă a riscurilor caracteristică organizaţiilor în care s-a consolidat managementul riscurilor. evaluarea şi stabilirea impactului riscurilor. într-o manieră structurată. În raport de situaţia în care se află organizaţia. Se face definirea clară a sistemului de obiective. Identificarea continuă este necesară pentru cunoaşterea riscurilor care nu s-au manifestat anterior 79 . şi numai după aceea se identifică ameninţările şi oportunităţile. De asemenea.Modelul auditului intern trebuie să fie adaptat modelului de management al riscului pentru că activitatea sa urmăreşte tocmai identificarea. ridicate de respectivele riscuri. 7.3 Identificarea riscurilor Pentru a se gestiona riscurile într-o entitate.

Mai mult decât atât. fără a se interveni prin măsuri de atenuare a riscurilor (controlul intern). ci cu percepţii asupra riscurilor. în prezent. amploarea măsurilor de ţinere sub control a riscurilor inerente este limitată. Pentru a atenua subiectivismul în perceperea riscurilor este recomandat să se recurgă la două metode complementare de identificare a riscurilor cu care se confruntă entitatea: 80 . a schimbării circumstanţelor în care se manifestă riscurile identificate anterior. riscurile remanente controlului intern. precum şi pentru stabilirea riscurilor care s-au manifestat în trecut. Oricâte măsuri s -ar lua. Efectul (consecinţa) este impactul. o problemă de percepţie. importanţa pentru organizaţie. deoarece resursele posibil de antrenat sunt ele însele limitate. eveniment etc. Riscurile au o cauză şi un efect asupra obiectivelor. Există o cauză pentru fiecare risc şi un efect dacă riscul se materializează. Riscul este o incertitudine. Rriscul este o problemă (situaţie. incertitudinea rămâne. şi nu un fapt împlinit. Identificarea riscurilor nu este întotdeauna o operatiune strict obiectivă ci.datorită circumstanţelor. cu alte cuvinte. se poate afirma că nu se operează cu riscuri în sine. Cauza este o situaţie care există (circumstanţa) şi care favorizează apariţia riscului. Riscul rezidual este riscul ce rămâne după ce s-au pus în operă măsurile de atenuare a riscurilor inerente sau. dar care nu a aparut încă.) care poate să apară. în primul rând. şi nu ceva sigur. De fapt. dar care nu mai prezintă. Riscul inerent este riscul specific ce ţine de realizarea obiectivului. Riscul rezidual este consecinţa faptului că riscurile inerente nu pot fi controlate în totalitate. Riscul este o posibilitate.

De asemenea. Totodată..Autoevaluarea riscurilor. care să analizeze toate operaţiunile şi activităţile organizaţiei în corelare cu obiectivele şi să identifice riscurile asociate. Se întâmplă să se identifice riscuri nerelevante. care participă la o activitate omogena a organizaţiei. acesta identifică acele riscuri care afectează activitatea grupului. Dezavantajul metodei constă în faptul că fiind implicaţi direct în activitate. Pentru început. Aceste persoane pot asista colectivele de autoevaluare. Având o viziune de ansamblu a activităţii pe care o coordonează. proprie sau cu serviciul externalizat. atunci când membrii colectivului sunt puşi în situaţia de a descoperi ei înşişi riscurile. 81 . ei tind să devină mai conştienţi şi mai responsabili în gestionarea acestora. dar pe care nu le poate controla la nivelul său fiind necesară intervenţia managementului de nivel imediat superior. Metoda are avantajul că fiecare grup.Desemnarea unei echipe de audit intern. este bine ca entitatea să-şi formeze un grup de persoane care să capete abilităţi în identificarea riscurilor. dar care în percepţia colectivă par importante şi invers. dar şi pentru procesul de revizuire continuă. subiectivismul în perceperea riscurilor este mai accentuat. Echipa trebuie să realizeze un profil al riscurilor organizaţiei. percepe mai bine riscurile generale şi intercondiţionarile dintre riscurile individuale. cunoaşte mult mai bine problemele cu care se confruntă în realizarea obiectivelor proprii. . Rolul auditului intern al acelei activităţi este esenţial în autoevaluare.

Avantajul acestei metode constă în atenuarea subiectivismului şi în corelarea riscurilor pe diferite nivele. Riscurile identificate trebuie grupate. informaţionale. De asemenea. 82 . comerciale. După amploarea impactului riscurile pot fi strategice sau operaţionale (în unele abordări apar şi riscurile intermediare sau de program). pot fi privite prin prisma naturii activităţii. acestea pot fi riscuri: legislative. Nu există o grupare standard. pot constitui elemente în bază cărora să se facă această grupare. 7. de funcţionare. De asemenea. patrimoniale etc. Combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului constituie expunerea la risc. de imagine (credibilitate). caz în care. de mediu. iar altele sunt proprii organizaţiei însăşi (riscuri interne). nivelele de responsabilitate în gestionarea riscurilor. sociale. Dezavantajul îl reprezintă faptul că anumite riscuri. Evaluarea riscurilor presupune evaluarea probabilităţii de materializare a riscurilor şi a impactului (consecinţelor) asupra obiectivelor în cazul în care acestea se materializează. aparent neimportante. financiare. juridice. Apartenenţa la o clasa de probleme. în baza căreia se realizează profilul riscurilor. pot fi ignorate. fiecare organizaţie poate adopta propriul sistem de grupare a riscurilor cu scopul de a le administra corespunzător. profesionale. unele riscuri îşi au originea în mediul extern organizaţiei (riscuri externe). congruenţa măsurilor ce trebuie luate etc. de evaluare a riscurilor.4 Evaluarea riscurilor Odată riscurile identificate se trece la a doua etapă.

permite stabilirea celor mai adecvate modalităţi de tratare a riscurilor şi delegarea responsabilităţii de gestionare a riscurilor celor mai potrivite nivele decizionale. dar. spre exemplu. Evaluarea riscurilor constă în parcurgerea următoarelor etape: a) evaluarea probabilităţii de materializare a riscului identificat. uneori chiar fără să fim conştienţi că facem acest lucru. orice metodă bazată pe percepţie este subiectivă. iar pentru a compara trebuie concepută o metodă unitară de evaluare a probabilităţii şi a impactului riscurilor ca şi a rezultantei compunerii lor numită. este un mare pas înainte în comparaţie cu situaţia în care riscurile sunt tratate intuitiv şi întâmplător. Din fericire există un element comun. Metoda bazată pe percepţie are însă o justificare obiectivă. deviaţia expunerii la risc faţă de tolerabilitatea la risc este relevantă deoarece aceasta creează motivaţia pentru găsirea metodelor cele mai adecvate de gestionare a riscurilor. şi anume: percepţia noastră asupra riscurilor care ne ajută. riscurile financiare. Cu alte cuvinte. expunere la risc.Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor unei organizaţii care. în funcţie de tolerabilitatea la risc. cât mai ales dacă riscurile sunt percepute sau nu ca tolerabile. aşa după cum s -a arătat. Există riscuri care pot fi cuantificate şi pentru care există suficiente date stocate în documentele entităţii cum ar fi. Nu atât nivelele evaluate ale riscurilor au importanţă. riscurile legate de credibilitate. spre exemplu. Fără îndoială. dar şi riscuri care nu pot fi cuantificate cum ar fi. de personal sau de fiabilitate a aparaturii. A ierarhiza însemnă a compara. în lipsă de altceva. 83 .

Fără îndoială analiza circumstanţelor conduce la o evalua re a probabilităţii cu un grad mai mare de relativitate. la un moment dat. Această scală de evaluare a probabilităţii de materializare a riscurilor poate fi de tipul: 84 . Uneori este suficient să cunoaştem corelaţiile stabilite de alţii şi să înţelegem pe cele ce apar în situaţii noi. Atunci când se recurge la metoda analizei circumstanţelor. atâta timp cât evaluarea are la bază informaţii şi analize pertinente.b) evaluarea impactului asupra obiectivelor în cazul în care riscul s-ar materializa. c) evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact. domeniul în care funcţia de probabilitate ia valori se poate înlocui cu o scală de evaluare. a) Evaluarea probabilităţii de materializare a riscului identificat Se obţine o evaluare destul de bună a probabilităţii de materializare a unor riscuri prin analiza circumstanţelor. condiţii (stări de fapt. circumstanţe) care favorizează apariţia riscului şi condiţii care defavorizează apariţia acestuia. Nu trebuie redus totul la experienţa proprie. dacă se face o analiză a cauzelor care favorizează apariţia riscurilor se poate face o apreciere a şanselor de materializare a acestora. Dar acesta nu constituie un impediment major. Într-o entitate sau/şi în mediul cu care interacţionează pot exista. Metoda analizei circumstanţelor are la bază un postulat simplu: dacă există aceleaşi cauze vor exista aceleaşi efecte. Prin urmare.

În acest fel am simplificat mult efortul de evaluare a probabilităţii de materializare a riscurilor. Evaluarea impactului asupra obiectivelor în cazul materializării riscurilor Impactul reprezintă efectul produs asupra obiectivelor (rezultatelor) aşteptate. 85 .Probabilitatea de materializare a riscului Apreciere calitativă Apreciere cantitativă Scăzută 0.5% Medie 2% Ridicată 5% Aprecierea în termeni cantitativi ai probabilităţii (%) depinde de natura riscului şi de atitudinea faţă de risc a evaluatorului. se poate trece la o evaluare mai analitică ce presupune utilizarea unei scale în cinci trepte. am identificat un instrument cu ajutorul căruia putem să apreciem posibilitatea de materializare a riscului (scăzută. medie sau ridicată). Chiar şi evaluările cantitative ale probabilităţilor pot fi realizate cu această scală. iar managementul riscurilor devine o componentă de bază a managementului general al organizaţiei. b). Pe măsură ce organizaţia se familiarizează cu problematica riscurilor. Ele cer o fundamentare mai riguroasă şi mai obiectivă decât în cazul evaluării calitative. în urma analizei circumstanţelor.00 (100%). care poate fi. Prin introducerea acestei scale. Probabilitatea poate lua valori de la zero până la 1. în funcţie de natura riscului. negativ sau pozitiv. La evaluările cantitative trebuie să se recurgă ori de câte ori este posibil.

Fiecărui obiectiv i se ataşează indicatori de rezultate ce pot fi cuantificaţi şi monitorizaţi. pot fi identificate şi consecinţe exprimate în termeni de buget (costuri). pentru multe dintre ele fiind posibilă doar evaluarea calitativă. Pentru aprecierea impactului se folosesc scale de evaluare. deoarece sunt mult mai relevante. Impactul riscurilor este exprimat în acest caz prin efectul pe care îl are materializarea riscurilor asupra indicatorilor referitori la rezultate. proiecte complexe. evaluarea impactului devine dificilă şi necesită studii de impact. Impactul poate fi exprimat în termeni cantitativi sau calitativi. iar alteori nu este relevant. de efort (timp de muncă) şi de timp (întârzieri posibile în termenul de realizare a obiectivelor). Aceste scale oferă un instrument cu ajutorul căruia se poate măsura importanţa 86 .Impactul măsoară consecinţele asupra obiectivelor urmărite dacă riscurile s-ar materializa. Nu este obligatoriu ca evaluarea impactului să se facă prin toate aceste componente. mai ales când este vorba de obiective strategice. activităţi complexe). dar în final pentru obţinerea unei imagini unitare asupra riscurilor ce pot afecta entitatea. Alături de consecinţe calitative. evaluările cantitative vor fi transpuse şi sub formă calitativă. În multe cazuri în entitate sunt fixate obiective măsurabile începând de la nivelul programelor (bugetarea pe programe) şi terminând cu sarcinile individuale. Numai unele riscuri se pretează la evaluări cantitative. prezentate descriptiv. Evaluările cantitative ale impactului trebuie făcute ori de câte ori este posibil. În unele situaţii. Impactul oricărui risc este caracterizat prin consecinţele produse. iar organizaţiile sunt complexe (similar. Uneori nu este posibil.

pe care le poate resimţi o entitate în raport cu obiectivele prestabilite în cazul în care riscul s-ar materializa. kg. riscul nu mai este o incertitudine. ci devine un fapt împlinit. c) Evaluarea expunerii la risc Expunerea la risc reprezintă consecinţele. Expunerea la risc este un concept probabilistic. ea are semnificaţie numai înaintea producerii riscului. ci o măsură probabilistică a acestora. Scala va fi etalonată în lei şi se va desfăşura de la zero la nivelul maxim posibil al impactului (pierderii). După manifestare. ore etc. Scală de evaluare calitativă a impactului Ridicat Mediu Scăzut I M P A C T Numărul diviziunilor de etalonare a scalei sunt stabilite de fi ecare entitate. dacă s-ar concretiza riscul. Expunerea la risc nu este o măsură a consecinţelor. deoarece exprimă o combinaţie între probabilitate şi impact. Pentru etalonarea scalei se folosesc unităţi canatitative sau calitative.materializarea riscurilor (impactului) asupra obiectivelor entităţii. ca o combinaţie de probabilitate şi impact. o pierdere de 10.000 ron.) De exemplu: devalorizarea monedei naţionale cu 2% ar putea determina entităţii X. În cazul evaluărilor cantitative scala va fi exprimată în unităţile specifice folosite pentru exprimarea obiectivului afectat (lei. pentru fiecare grup de riscuri sau activităţi.. care realizează importuri din produsul Y. m2. Ca urmare. În acest caz impactul este măsurat în lei. iar în termenii teoriei probabilităţilor aceasta înseamnă că probabilitatea de apariţie 87 .

Scala de evaluare a expunerii la risc nu mai este unidimensională. Un risc cu expunerea R·R (probabilitate de apariţie ridicată şi impact ridicat în cazul materializării) nu este echivalent cu un risc căruia i se asociază expunerea S·S (probabilitate de apariţie scăzută. expunerea la risc va fi exprimată în acest caz prin 9 valori (3x3). ci una bidimensională sau. În aces te condiţii expunerea la risc este de fapt impact. ca în cazul probabilităţii sau impactului. Gruparea riscurilor identificate într-o organizaţie în funcţie de expunerea la risc conduce la realizarea profilului de risc al organizaţiei. De asemenea. de tip matricial. 88 . iar coloanele variaţia impactului. Evaluarea expunerii la risc = probabilitatea * impactul (E=P*I) Ridicat Mediu Scăzut I M P A C T S*R S*M S*S M*R M*M M*S Probabilitate Scăzută Medie Ridicată R*R R*M R*S Tabelul evidenţiază o ierarhizare a riscurilor. cu alte cuvinte. Expunerea la risc apare la intersecţia liniilor cu coloanele. Liniile matricei descriu variaţia probabilităţii. impactul scăzut în cazul materializării).(materializare) a riscului este 1 (eveniment sigur). în definiţie se precizează că expunerea la risc este o combinaţie între probabilitate şi impact. Dacă organizaţia a adoptat scalele de evaluare calitativă în trei trepte pentru probabilităţi şi impact.

iar expunerea la riscul rezidual este o măsură a riscului rămas după ce au fost implementate instrumentele de control intern. Din această cauză. În acest mod se controlează mai bine semnificaţia informaţiilor (expunerii) obţinute. Sistemul de control intern ajustat şi dezvoltat pentru a surprinde modificările de circumstanţe se 89 . există relaţia: Erisc inerent > Erisc rezidual Despre sistemele de control intern se poate afirma că sunt adecvate sau nu. riscul inerent şi rezidual au un caracter relativ şi nu absolut. după introducerea unui instrument de control intern. şi evaluări cantitative) cu siguranţă se poate fundamenta mult mai bine modelul riscurilor. Deoarece controlul intern are scopul de a atenua posibilitatea de apariţie a riscului şi/sau de a atenua impactul asupra obiectivelor între cele două expuneri la risc. Riscul inerent şi riscul rezidual sunt două ipostaze ale aceluiaşi risc: înainte de introducerea unui instrument de control intern şi. pentru că putem fi copleşiţi de amănunte a căror semnificaţie nu o mai putem controla. se optează pentru utilizarea scalelor numerice. Dacă la aceasta se adaugă documentaţia riscului (care poate cuprinde. Dacă controlul intern implementat la un moment dat în entitate în raport cu un anumit risc are drept consecinţa o expunere la risc ce depăşeşte limitele de tolerabilitate. ele trebuie dublate cu scalele calitative. Trebuie găsit un echilibru între simplificare şi detaliere pentru a nu se pierde din semnificaţie. riscul rezidual anterior este considerat risc inerent în raport cu ajustările şi dezvoltările sistemului de control intern existent.Atunci când din diferite motive. eventual. Prin urmare expunerea la riscul inerent este o măsură a riscului la care se expune entitatea dacă nu funcţionează sistemul de control intern. respectiv. dar nu se poate susţine că nu există.

Cu alte cuvinte.5 Toleranţa la risc Toleranţa la risc reprezintă riscul pe care o entitate este pregătită să o tolereze sau la care este dispusă să se expună la un moment dat. care poate fi o oportunitate sau o ameninţare. Dacă expunerea la riscul inerent (riscul înainte de aplicarea măsurilor de control intern al riscurilor) este mai mică sau egală cu toleranţa la risc definită de manageri. toleranţa la risc se referă la expunerea tolerabilă şi justificabilă care trebuie atinsă în practică. conceptul de toleranţă la risc se referă la a analiza cât de mult este dispus cineva să rişte în speranţa că va beneficia de pe urma acelor oportunităţi. capătă sens numai în raport cu nivelul toleranţei la risc. nu valoarea absolută a expunerii la risc este importantă. În caz contrar. Expunerea la risc (ca o combinaţie dintre probabilitate şi impact). Când se au în vedere oportunităţile. 7. iar când se au în vedere ameninţările.finalizează printr-un nou risc rezidual. amploarea măsurilor de control al riscurilor ce trebuie luate devine evidentă. Conceptul de toleranţă la risc are semnificaţii diferite în funcţie de natura riscului. Când expunerea la risc este comparată cu toleranţa la risc. Ipostaza de risc inerent şi rezidual se stabileşte în raport cu controlul intern. nu se impun măsuri de control al riscurilor. ci deviaţia expunerii la risc faţă de toleranţa la risc. ceea ce înseamnă că riscurile sunt acceptate. esenţial este faptul dacă riscul este perceput ca tolerabil sau nu. ca de altfel şi ameninţarea. Mai simplu spus. Prin urmare. În interpretarea conceptelor de mai sus nu trebuie uitat faptul că riscul este o incertitudine. sunt necesare măsuri de 90 . oportunitatea se poate realiza sau nu.

în corelare cu costurile. Asupra tuturor riscurilor. Stabilirea limitei de toleranţă la risc este un act major de responsabilitate managerială. 91 . de asemenea asumate. trebuie întreprinse măsuri pentru aducerea expunerii acestora la riscurile reziduale sub această limită de toleranţă. care sunt structurate astfel încât să devină instrumente operaţionale ale managementului riscurilor. iar în unele situaţii nu pot fi controlate toate circumstanţele care favorizează materializarea riscurilor. Profilul de risc creează o imagine globală a organizaţiei din perspectiva riscurilor. care au nivelul expunerii mai mare decât limita de toleranţă. ale măsurilor de control a riscurilor. Stabilirea unei limite de toleranţă la risc înseamnă de fapt alegerea unui echilibru între „costul“ controlului riscurilor şi „costul“ (financiar şi/sau de altă natură) expunerii. atunci şi toleranţa la risc are aceleaşi caracteristici. fiindcă prin aceasta se stabileşte expunerea la risc asumata.control al riscurilor astfel încât expunerea la riscul rezidual (riscul care rămâne după aplicarea măsurilor de control al riscurilor) să se încadreze în limitele de toleranţă la risc stabilite. atunci de ce nu se stabileşte o toleranţă zero la risc? Pentru că măsurile de control al riscurilor generează costuri (financiare şi/sau de altă natură). conduc la compromiterea (totală sau parţială) realizării obiectivelor. în cazul în care aceasta ar deveni realitate. Dacă riscurile. însă utilitatea practică o au tabelele de risc. Dacă expunerea la risc este o mărime probabilistică măsurată într-un format matricial (combinaţie de probabilitate şi impact). atunci când se materializează.

deoarece măsurile de control presupun antrenarea de resurse. iar la nivelul organizaţiei resursele sunt limitate. care cuprinde riscurile identificate. se prezintă astfel: Tabelul riscurilor Denumire risc Probabilitate Riscul 1 Riscul 2 Riscul 3 Ridicată (R) Medie (M) Scăzută (S) Riscul inerent Expunere (E) raportată la Impact limita de toleranţă (LT) Ridicată (R) RR > limita de toleranţă Scăzută (S) MS < limita de toleranţă Scăzută (S) SS < limita de toleranţă Din Tabelul riscurilor reiese că numai Riscul 1 are o expunere mai mare decât limita de toleranţă la risc. din perspectiva fiecărui risc în parte. Auditul intern va propune ce măsuri ar trebui luate pentru aducerea expunerii lui sub limita de toleranţă. stabilirea limitelor de toleranţă la risc nu ridică dificultăţi deosebite. Limita de toleranţă la risc nu este imuabilă. La nivelul entităţii apar intercondiţionări între riscuri. 92 . fapt ce implică prioritizări. Constrângerile interne şi externe (unele riscuri externe nu pot fi gestionate până la un nivel satisfăcător de către entităţi) joacă un rol important în stabilirea limitelor de toleranţa la risc. Dar stabilirea limitelor de toleranţă şi modificarea acestora nu sunt acte arbitrare. Oricând nivelele superioare de management au libertatea de a creşte sau a scădea riscul pe care sunt dispuse să şi-l asume în funcţie de circumstanţe şi moment. evaluarea expunerii riscurilor inerente şi intensitatea deviaţiei faţă de toleranţa la risc. iar resursele ce pot fi alocate măsurilor de control sunt limitate. Privită izolat.Secvenţa din tabelele de risc (numite şi registru de risc). dar cazurile în care se poate proceda astfel sunt rare.

la un moment dat. drept urmare. este necesară realizarea unui echilibru între competenţă. dacă nu. presupune că. responsabilitate şi sarcini. organizaţia poate externaliza riscurile sau activităţile generatoare de riscuri? Controlul riscurilor (ameninţărilor). se caută răspunsul la întrebările: riscurile pot fi sau nu controlate de organizaţie?. etapele se întrepătrund în cadrul procesului de documentare şi analiză a riscurilor. este necesară realizarea unui echilibru între nivelele manageriale care gestionează riscurile. dacă da. Răspunsul la risc este deja formulat pe parcursul analizei riscurilor. organizaţia poate controla riscurile până la un nivel satisfăcător?. la nivelul entităţii. 7.De asemenea.6 Răspunsul la risc – controlarea riscurilor După ce riscurile au fost identificate şi evaluate şi după ce s -au definit limitele de toleranţă în cadrul cărora entitatea este dispusă. În esenţă răspunsul la risc nu este altceva decât atitudinea managementului organizaţiei faţă de posibilele ameninţări sau faţă de eventualele oportunităţi. este posibilă atenuarea probabilităţii de materializare sau a impactului în cazul în care riscul s-ar materializa sau a amândurora. Etapizarea activităţilor privind riscurile are un caracter mai mult teoretic menit să faciliteze înţelegerea procesului. În caz contrar. De fapt. riscurile sunt necontrolabile dacă organizaţia nu are posibilitatea de a interveni direct pentru atenuarea probabilităţii şi/sau 93 . Răspunsul la risc depinde de posibilităţile de a controla afacerea. În realitate. Limitele de toleranţă la risc ce trebuie atinse devin ele însele obiective şi. să-şi asume riscuri este necesară stabilirea tipului de răspuns la risc pentru fiecare risc în parte.

de planuri de gestiune a problemelor dificile care să abordeze tratarea impactului atunci când riscul se materializează. Problema controlării/necontrolării riscurilor este abordată. Această opţiune de răspuns la risc trebuie însoţită. costurile pe care le incumbă măsurile de control sunt disproporţionat de mari în raport cu beneficiile. mai ales atunci când limita de toleranţă nu a putut fi stabilită liber. În consecinţă. 94 . cel mai adesea. Acceptarea (tolerarea) riscurilor este o strategie de răspuns la risc recomandată pentru riscurile cu expunere scăzută. în astfel de situaţii. În acest context se vorbeşte despre riscuri care nu pot fi controlate până la un nivel satisfăcător al expunerii sau despre riscuri controlabile parţial. opţiunea trebuie temeinic justificată. de aceea. În cazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvată şi.1 Acceptarea (tolerarea) riscurilor Acest tip de răspuns la risc constă în neluarea unor măsuri de control al riscurilor şi este adecvat pentru riscurile inerente a căror expunere este mai mică decât toleranţa la risc.impactului. Se reaminteşte faptul că nu întotdeauna toleranţa la risc poate fi stabilită nerestricţionat. acceptarea intervine atunci când riscurile sunt liber asumate sau când aplicarea unei alte strategii de răspuns la risc nu este posibilă. în mod relativ şi nu absolut. adică în funcţie de toleranţă.6. Sunt suficiente cazurile în care riscurile nu pot fi controlate intern până la un nivel acceptabil al expunerii sau. Această situaţie se întâlneşte cel mai frecvent în cazul riscurilor externe generate de mediul (contextul) în care entitatea funcţionează. 7. În teoria riscurilor s-au identificat câteva strategii alternative pe care managerii le pot adopta ca răspuns la risc.

aplicarea strategiei de monitorizare permanentă a riscurilor trebuie precedată de o analiză serioasă a duratei pe care o presupune implementarea măsurilor de tratare a riscurilor. Unei astfel de analize trebuie supuse obligatoriu riscurile cu probabilitate mică de apariţie. este de preferat ca momentul de debut al tratării riscurilor să nu fie amânat. 7. dar cu probabilitate mică de apariţie.2 Monitorizarea permanentă a riscurilor Acest tip de răspuns la risc constă în acceptarea riscului cu condiţia menţinerii sale sub o permanenta supraveghere. Din această cauză.7. Anumite activităţi se desfăşoară în sectorul public tocmai 95 . deoarece strategia monitorizării se aplica în cazul riscurilor cu impact semnificativ.3 Evitarea riscurilor Această strategie de răspuns la risc constă în eliminarea activităţilor (circumstanţelor) care generează riscurile. Avantajul aplicării unei astfel de strategii de răspuns la risc constă în utilizarea resurselor disponibile la un moment dat numai pentru riscurile cu expunere mare. Dezavantajul strategiei constă în faptul că întârzierea în tratarea riscului poate diminua şansele de a gestiona eficace în viitor riscurile.6. Parametrul supravegheat cu precădere este probabilitatea de apariţie. Trebuie menţionat faptul că opţiunea evitării riscurilor este semnificativ redusă în sectorul public faţă de cel privat. În esenţă. strategia de monitorizare presupune o amânare a luării măsurilor de control până în momentul în care circumstanţele determină o creştere a probabilităţii de apariţie a riscurilor supuse acestui tratament. dar cu un impact ridicat dacă obiectivele afectate au caracter strategic.6. Dacă această durată este mare.

7. încheindu-se în acest scop un contract. În faţă beneficiarilor entitatea rămâne responsabilă.4 Transferarea (externalizarea) riscurilor Această strategie de răspuns la risc constă în încredinţarea gestionării riscului unui terţ care are expertiza necesară gestionării acelui risc.6. în cazul în care riscul se materializează. Această opţiune este benefică mai ales în cazul riscurilor financiare şi patrimoniale. 96 . dacă nu există altă cale de a controla riscurile în limite tolerabile. Este important de menţionat că anumite riscuri nu sunt (integral) transferabile. gestionarea eficace a riscului de către un terţ specializat. ea poate fi avută în vedere pentru o serie întreagă de activităţi “suport”.pentru că riscurile asociate sunt atât de mari încât nu există altă posibilitate de a obţine unele rezultate ce ţin de interesul general. Cel mai cunoscut exemplu de transfer al riscurilor îl constituie contractele de asigurare. În particular. În schimbul unei sume de bani (prima de asigurare) terţul (societatea asiguratoare) preia asupra să riscul asigurat obligându-se să despăgubească organizaţia care a transferat riscul. Prin aceasta se urmăreşte. micşorarea expunerii entităţii. nu este posibil să se transfere riscurile legate de credibilitatea entităţii. Dacă aplicarea strategiei de evitare a riscurilor este limitată în cazul activităţilor ce ţin de scopul organizaţiei publice. Din această cauză relaţiile cu aceste terţe părţi trebuie gestionate cu deosebită atenţie pentru a se asigura că riscul transferat este cu adevărat gestionat eficace de către terţ. iar pe de altă parte. chiar dacă aceasta a contractat unele servicii cu terţe părţi. pe de o parte.

6. recurgându-se la ele numai atunci când riscurile nu pot fi controlate intern până la un nivel satisfăcător. Prin tratarea situaţiilor dificile se dă un răspuns la întrebarea: Ce facem dacă măsurile de control intern eşuează şi riscul se produce? Orice risc care este acceptat. Raportate la această strategie de răspuns la risc. 7. monitorizat sau tratat trebuie însoţit de un plan care să descrie acţiunile ce trebuie întreprinse în cazul în care riscurile se materializează.5 Tratarea (atenuarea) riscurilor Aceasta este abordarea cea mai des folosită pentru majoritatea riscurilor cu care se confrunta entitatea. celelalte strategii menţionate mai sus pot fi considerate ca fiind excepţii.6 Tratarea situaţiilor dificile Tratarea situaţiilor dificile constă în elaborarea unor planuri ce urmăresc diminuarea impactului în cazul în care riscul se materializează. odată implementat. ci o acţiune complementară. De aici şi importanţa auditului intern în managementul riscurilor. Opţiunea tratării (atenuării) riscurilor constă în faptul că în timp ce entitatea va continua să desfăşoare activităţile care generează riscuri. aceasta ia măsuri (implementează instrumente/dispozitive de control intern) pentru a menţine riscurile în limite acceptabile (tolerabile). Strategia tratării situaţiilor dificile nu este o alternativa la celelalte strategii. are menirea să ofere asigurări rezonabile că obiectivele vor fi atinse.7. care nu periclitează realizarea obiectivelor. 97 . ceea ce este acelaşi lucru cu a afirma că prin control intern se obţin asigurări rezonabile asupra menţinerii riscurilor în limite acceptabile.6. Acesta.

sistem de informare. supervizare.7 Instrumente de control intern Diversitatea dispozitivelor/instrumentelor de control intern este considerabilă deoarece priveşte toate aspectele legate de activităţile entităţii. Procesul. dar toate cuprind. deci să se transforme în situaţii dificile. cauza trebuie căutată întotdeauna în “defectul” acestor dispozitive/instrumente de control intern. Dacă riscurile ajung să se materializeze. a realiza obiectivele înseamnă: . în 98 . însă ele pot fi clasificate în şase grupe mari după cum urmează: obiective. mijloace.Din perspectiva managementului riscurilor. organizare. de management în tratarea riscurilor sunt denumite în teoria generală a controlului intern sub denumirea de dispozitive sau instrumente de control intern.a planifica acţiunile de control intern necesare stăpânirii riscurilor şi a le integra în planul de activităţi generale (planul A). Măsurile luate. .a planifica activităţile (acţiunile) ce trebuie să se desfăşoare pentru a realiza obiectivele propuse (procesul). Fără îndoială. 7. există şi alte tipuri de grupări. Bineînţeles această afirmaţie vizează riscurile care pot fi controlate de organizaţie în limi tele unei toleranţe acceptabile impuse de raportul cost-beneficiu. . proceduri. planul A şi planul B sunt elementele esenţiale ale un ui management eficace care a integrat managementul riscurilor.a planifica acţiunile ce trebuie întreprinse dacă riscurile se materializează (planul B).

competenţele şi responsabilităţile fiecărui membru al organizaţiei). • Obiectivele grupează instrumentele/dispozitivele de control intern puse în operă prin măsurile (acţiunile) ce vizează: definirea clară (obiectivele vagi nu permit clarificarea sensului acţiunii ce trebuie întreprinsă pentru atingerea lor şi nici identificarea riscurilor care ameninţă obţinerea rezultatelor dorite).principal. de multe ori. De altfel. ierarhizarea (obiectivele generale trebuie descompuse într-un sistem piramidal până la nivelul posturilor clarificându-se astfel sarcinile. încadrarea în timp (planificarea pe orizonturi de timp determinate şi corelate). aceleaşi elemente şi vehiculează aceleaşi noţiuni. convergenţa (eliminarea relaţiilor contradictorii între obievtive şi asigurarea convergenţei obiectivelor subsecvente la realizarea obiectivelor principale). Circumstanţele care favorizează apariţia unor riscuri ce afectează realizarea obiectivelor constau. monitorizarea prin sistemul informaţional (lipsa monitorizării face imposibilă coordonarea şi introducerea măsurilor corective). în grave 99 . caracterul mobilizator (obiectivele trebuie să stimuleze iniţiativa fără a deveni însă nerealiste). Circumstanţele care potenţează apariţia riscurilor îşi au de multe ori originea tocmai în nerespectarea acestor principii ce guvernează sistemul obiectivelor. nu gruparea în sine este importantă ci fixarea unui cadru de referinţă capabil să sistematizeze problematica controlului intern (auditilui intern) ca mijloc de control al riscurilor. măsurabilitatea (asocierea unor indicatori obiectivelor care pot fi măsuraţi şi urmăriţi). • Mijloacele cuprinde grupa de dispozitive/instrumente de control intern implementate pentru evidenţierea nivelului de adecvare a mijloacelor la obiectivele entităţii.

structurală etc. A munci fără a formaliza modul în care fiecare trebuie să procedeze. menit să ţină sub control riscurile şi să se obţină astfel o asigurare rezonabilă că obiectivele vor fi atinse. În categoria resurse sunt incluse resursele umane. nestructurate în funcţie de necesităţile diferitelor nivele manageriale etc. care constituie circumstanţe favorizante pentru manifestarea riscurilor.distorsiuni între resurse şi obiective. funcţională. oportun (furnizarea informaţiilor atunci când este necesar) şi neredundant (abundenţa inutilă a datelor furnizate). Sunt extrem de frecvente cazurile în care riscurile îşi au cauzele de manifestare în inadecvarea sistemului informaţional. în marea lor majoritate. sisteme informaţionale lacunare. • Sistemul de informare cuprinde dispozitivele/instrumentele de control intern care permit auditorilor interni să caracterizeze starea sistemului informaţional şi de pilotaj şi să constate dacă sistemul este: complet (se referă la toate funcţiile şi activităţile organizaţiei).). pertinent şi util (care satisface necesităţile decizionale). redundante. • Procedurile sunt acele instrumente/dispozitive de control intern prin care se controlează riscurile generate de necunoaşterea proceselor şi regulilor ce trebuie respectate în desfăşurarea activităţilor. inerţiale. fiabil (corectitudinea şi veridicitatea informaţiilor). înseamnă a nu exista un control intern eficace. contradictorii. O analiză generală scoate în evidenţă faptul că organizaţiile au. • Organizarea cuprinde grupa dispozitivelor/instrumentelor de control intern cu ajutorul cărora se identifică anomaliile sistemului de organizare a entităţii (operaţională. financiare şi tehnice (în accepţiunea cea mai largă). exhaustiv (cuprinderea tuturor informaţiilor relevante). Pentru ca procedurile să devină instrumente/dispozitive de control intern eficace acestea trebuie: să se refere la toate procesele şi activităţile 100 .

însă sunt frecvente cazurile în care circumstanţele care favorizează apariţia unor riscuri ţin de o supervizare defectuoasă. La prima vedere ar părea surprinzător. Supervizarea trebuie să se bazeze pe un sistem informaţional adecvat. în primul rând. • Supervizarea grupează instrumentele/dispozitivele de control intern menite să ţină sub control riscurile ce rezultă din anomalii în exercitarea controlului ierarhic.) pentru a putea fi evaluată. numai în ultimul rând. să fie actualizate în permanenţă. Un manager trebuie să se asigure că sectorul de care este responsabil funcţionează. a căuta eroarea cu orice preţ sau a supraveghea în permanenţa procesele. să fie simple şi pe înţelesul tuturor. să fie universală (să se refere la toate activităţile) şi să fie consemnată (viza. a verifica. fără a lăsa loc la interpretări.importante. Multe dintre riscuri îşi au cauza în lipsa procedurilor. raport etc.8 Gruparea instrumentelor de control intern după modul de acţiune împotriva riscurilor Instrumentele/dispozitivele de control intern pot fi analizate şi prin prisma modului în care acestea acţionează în tratarea riscurilor. 7. să fie aduse la cunoştinţa executanţilor. A superviza nu înseamnă a reface munca subordonaţilor. Astfel de instrumente de control intern vizează stilul managerial al responsabililor de pe diferite nivele. A superviza înseamnă. deosebindu-se următoarele tipuri: 101 . a îndruma (coordona). iar personalul trebuie să aibă convingerea că activitatea acestuia este supravegheată. De câte ori nu se invocă ca explicaţie pentru un eşec necunoaşterea sau ambiguitatea unor reguli? Managerii au obligaţia de a face clar pentru cei implicaţi ce trebuie făcut şi cum trebuie făcut. să fie scrise. a încuraja şi.

• Instrumente/dispozitive de control intern cu caracter corectiv Aceste instrumente sunt concepute pentru a limita impactul riscurilor materializate. mijloacele evidenţiază riscurile care pot să apară ca urmare a insuficienţei resurselor etc.• Instrumente/dispozitive de control intern preventiv Aceste instrumente de control intern sunt menite să limiteze posibilitatea ca anumite riscuri să se materializeze. procedurile îşi propun prevenirea riscurile de neregularitate şi neconformitate. planurile de gestionare a situaţiilor dificile. aceste instrumente de control intern sunt cunoscute şi sub denumirea de controlul ulterior. • Instrumente/dispozitive de control intern detective Aceste instrumente de control intern sunt concepute să identifice riscurile care s-au materializat pentru a putea fi tratate consecinţele. Obiecţia nu este întemeiată deoarece riscurile pot 102 . Cu cât materializarea unor riscuri este mai nedorită. care asigură revenirea organizaţiilor la situaţia normală. Prezentăm câteva dintre acestea: separarea funcţiunilor urmăreşte prevenirea riscurile de fraudă. deoarece acesta se referă la tratarea riscurilor care pot să apară şi nu a celor materializate. asigurarea permite recuperarea financiară în cazul materializării riscurilor asigurate. asigurându-i continuitatea etc. deoarece se referă la riscuri materializate. Exemplule: includerea în contracte a unor prevederi care permit recuperarea supraplăţilor dacă acest risc se produce. În general. Majoritatea instrumentelor puse în operă în organizaţie au tendinţa de a aparţine acestei categorii. cu atât mai importantă devine implementarea instrumentelor de control intern preventive. S-ar putea obiecta că astfel de instrumente nu aparţin managementului riscului.

Dar. există întotdeauna posibilitatea ca riscurile să se materializeze şi să se transforme în situaţii dificile. actele normative. tipul instrumentelor de control şi riscuri este prezentată sintetic în schema de mai jos: Probabilitate ridicată a riscului Control preventiv prin sondaj Impact scăzut al riscului Control ulterior prin sondaj Probabilitate scăzută a riscului Operaţiuni bugetare. financiare. Procesele care cuprind operaţiuni cu efecte patrimoniale (inclusiv bugetare) pot fi ameninţate de riscuri ce pot afecta două dintre cele mai importante obiective (generale) ale organizaţiei: securitatea activelor. regulamentele şi politicile interne.fi reduse. instrumentele de control intern a riscurilor integrate în proces au fost completate cu instrumente de control de tip verificare. Legătura dintre operaţiuni. Prin urmare. Aceasta înseamnă că unele operaţiuni vor fi tratate cu instrumente de control de tip preventiv. unele operaţiuni vor fi verificate în totalitate pe când pentru altele se va proceda la eşantionări. inventarele sunt instrumente de control intern detectiv menite să identifice eventualele pierderi de active datorate materializării unor riscuri. iar prin instrumentele de control detectiv se face acest lucru. Spre exemplu. conformitatea cu legile. patrimoniale Control ulterior exhaustiv Control preventiv exhaustiv Impact ridicat al riscului 103 . dar nu eliminate. iar altele de tip ulterior (corectiv sau detectiv). Logica raportului cost-beneficiu a impus concluzia că nu toate operaţiunile trebuie să fie tratate în acelaşi mod. De asemenea. Din această cauză. şi situaţiile dificile trebuie gestionate.

ianuarie 2007. compartimente) Circumstanţele care favorizeă apariţia riscurilor (cauze) Responsabilii cu gestionarea riscurilor Descrierea riscurilor Riscuri inerente Strategia adoptată Probabilitatea Instrumentele de control intern Riscuri secundare 14 Riscuri reziduale Probabilitatea Expunerea Expunerea Impactul 0 1 2 3 4 5 6 7 8 9 10 11 12 Impactul 13 1 2 .ro Corelaţia între operaţiuni.mfinante.După Metodologie de implementare a standardului de control intern „managementul riscurilor“. controlul. instrumentele de control şi riscuri Odată stabilite zonele de risc.. crt. Două motive impun revizuirea şi raportarea riscurilor: • Monitorizarea modificării profilului riscurilor ca urmare a implementării instrumentelor de control intern şi a modificării 104 Observaţii 15 Obiective Nr. responsabilităţile managerilor în gestionarea riscurilor.. strategiile ce trebuiesc adoptate. măsurile de control intern (activităţile ce trebuie întreprinse pentru diminuarea expunerii la riscuri). Unitatea Centrală de Armonizare a Sistemelor de Management Financiar şi Control. obiectivele care sunt afectate de posibila materializare a riscurilor.9 Revizuirea şi raportarea riscurilor Revizuirea şi raportarea riscurilor este faza ce încheie ciclul care cuprinde identificarea. . revizuirea şi raportarea riscurilor. 7. În acest stadiu Registrul de riscuri va avea următoarea formă: REGISTRUL RISCURILOR Zona de risc (domeniu. circumstanţele care favorizează apariţia riscurilor. MFP. www. se completează Registrul de riscurilor cu aceste elemente. evaluarea.

circumstanţelor care favorizează apariţia riscurilor. cel 105 . stabilită în raport cu modificarea circumstanţelor şi a naturii instrumentelor de control intern ce urmează a fi implementate. Responsabilii de risc (în principal managerii de pe diferitele nivele ierarhice ale organizaţiei) au obligaţia de a evalua. • stabilească mecanisme de avertizare a nivelelor manageriale superioare în privinţa noilor riscuri sau a schimbărilor survenite la riscurile deja identificate. au apărut riscuri noi. Rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continuă a situaţiei riscurilor şi pentru a se sesiza schimbările majore care impun modificarea priorităţilor. Revizuirea riscurilor şi a procesului de gestionare a riscurilor sunt două activităţi distincte care nu se pot substitui reciproc. anumite riscuri trebuie aduse la cunoştinţa nivelelor de management superioare etc. astfel încât aceste schimbări să fie abordate corespunzător. în prima etapă. Revizuirea trebuie să: • dea asigurări că toate aspectele procesului de gestionare a riscurilor sunt analizate cel puţin odată pe an. • oferă asigurări că riscurile sunt supuse revizuirii cu o frecvenţă corespunzătoare. • Obţinerea de asigurări privind eficacitatea gestionării riscurilor şi identificarea nevoii de a lua măsuri viitoare. impactul şi probabilitatea riscurilor au suferit modificări. Revizuirea riscurilor şi a gestionării riscurilor se face. prin metoda autoevaluării. instrumentele de control intern aplicate sunt eficace. Procesele de revizuire trebuie puse în aplicare pentru a analiza dacă: riscurile persistă.

are obligaţia de a face evaluări independente (independente de responsabilii executivi) pentru a se obţine asigurări rezonabile că riscurile sunt identificate şi bine gestionate şi. Dacă conducerea organizaţiei are o viziune sancţionatorie. Subiectivismul autoevaluării în procesul de revizuire a riscurilor şi a gestionării riscurilor este contrabalansat de auditul intern care.puţin o dată pe an (de regulă la finele exerciţiului financiar). anual) nivelelor ierarhice superioare ce activităţi au desfăşurat pentru a actualiza riscurile şi pentru a le menţine la un nivel corespunzător. riscurile din sfera lor de responsabilitate. metoda autoevaluării devine un eşec. prin natura misiunii sale. semestrial. deoarece subiectivismul este inerent. Managerii se află într-o situaţie incomodă atunci când sunt obligaţi să facă publice problemele cu care se confruntă în propriile arii de responsabilitate. Încurajarea managerului de a vorbi deschis despre riscuri trebuie să devină o politică a fiecărei organizaţii. ca urmare. Trebuie subliniat însă faptul că auditul intern nu se poate substitui nici responsabilităţii pe care conducerea o are în privinţa riscurilor şi nici unui sistem integrat de revizuire şi analiză ce trebuie pus în practică de 106 . Astfel de rapoarte. De asemenea. precum stadiul de implementare a instrumentelor de control intern preconizate şi eficacitatea lor. trebuie incluse în sistemul de raportare al fiecărei entităţi. Dar practica autoevaluării şi a rapoartelor periodice de responsabilitate nu este suficientă. cunoscute şi sub numele de Rapoarte de responsabilitate. obiectivele organizaţiei vor fi atinse. responsabilii de risc au obligaţia de a raporta periodic (trimestrial.

De altfel. lecţiile trecutului trebuie învăţate pentru a nu fi puşi în situaţia de a ignora soluţii care şi-au dovedit eficacitatea. Registrul de risc reprezintă numai sinteza informaţiilor şi deciziilor luate în urma analizei riscurilor. Riscurile au determinări multiple. Exista câteva aspecte legate de comunicare şi învăţare care trebuie scoase în evidenţă: 107 . fără comunicare şi învăţare managementul riscurilor nu ar putea avea loc. De asemenea. Organizaţiile pot dezvolta acest model pentru a reflecta şi alte informaţii considerate relevante. Registrul de risc completat corect devine documentul prin care se atesta că în organizaţie s-a introdus un sistem de management al riscurilor şi că acesta funcţionează. iar instrumentele de control al riscurilor pot influenţa mai multe obiective.personalul care are atribuţii executive în atingerea obiectivelor organizaţionale. De asemenea. sunt de cele mai multe ori intercorelate.10 Comunicare şi învăţare Comunicarea şi învăţarea nu constituie o etapă distinctă în gestionarea riscurilor. 7. ci reprezintă un proces continuu ce se desfăşoară pe parcursul tuturor fazelor. nu afectează de regulă un singur obiectiv. De aceea toată documentaţia privind riscurile trebuie clasificată şi îndosariată astfel încât atunci când se face o evaluare a sistemului de management al riscurilor aceasta să fie disponibilă. Modelul de registru de risc prezentat anterior este minimal. Registrul riscurilor este documentul de la care porneşte orice auditor extern atunci când se face o evaluare independentă a managementului riscurilor din cadrul organizaţiei.

strategia organizaţiei în domeniul riscurilor şi modul cum responsabilităţile individuale specifice se încadrează în cadrul general al organizaţiei. Încurajarea discuţiilor deschise despre riscuri. la un 108 . Important este să controleze ceea ce este cu adevărat prioritar. acestea facilitând sesizarea schimbărilor care vor afecta profilul de risc al organizaţiei. gestionarea riscurilor nu va putea fi integrată corespunzător şi omogen în organizaţie. Dacă acest lucru nu este realizat. confruntată cu un risc. şi nici nu este de dorit. identificarea riscurilor noi depinde atât de menţinerea unei bune reţele de comunicare între membrii organizaţiei cât şi de continua valorificare a surselor de informaţii din mediul organizaţional. în ansamblul său. fără a exista temerea că prin aceasta managerii îşi vulnerabilizează poziţiile. Într-o astfel de situaţie managementul riscurilor se va cantona la nivelul activităţilor.• Sesizarea modificărilor survenite în cazul riscurilor identificate depinde de o bună comunicare. • Este foarte important să existe asigurări că fiecare înţelege în mod corespunzător propriul rol. singurul capabil să deceleze ceea ce este important pentru organizaţie. dar nu va avea valenţele managementului integrat. • Este necesar să existe asigurări că experienţele sunt învăţate şi comunicate celor care pot beneficia de pe urma lor. dacă o structură componentă a entităţii. Spre exemplu. De asemenea. este o sarcină de importanţă capitală pentru conducerea organizaţiei. la un moment dat şi în circumstanţele date. această lecţie învăţată trebuie comunicată şi altora care. Nici o organizaţie nu poate controla toate riscurile. iar riscurile prioritare nu vor fi controlate adecvat. concepe un instrument de control intern cu ajutorul căruia îl gestionează în mod eficace.

Cu alte cuvinte. prin misiunile lor. Multe entităţi (spre exemplu. au legături cu misiunea entităţii. eşecurile înregistrate de acestea se pot repercuta direct asupra managementului riscurilor în entitate. partenere. într-un fel sau altul. Neînţelegerea (necunoaşterea) priorităţilor în gestionarea riscurilor proprii de către entităţile partenere şi. mai ales dacă entitatea depinde. În aceste condiţii. Pentru a face progrese experienţa organizaţiei trebuie capitalizată. 109 . de o altă entitate. grupurile) au relaţii cu alte entităţi pe care le controlează direct (entităţile afiliate) sau indirect. ceea ce face o entitate va avea un impact direct asupra riscurilor cu care se confruntă entităţile dependente şi.moment dat. Cu alte cuvinte. Se observă cu uşurinţă că în conceptul de entitate extinsă sunt grupate acele entităţi care au legături directe cu entitatea dată. Se poate afirma că entitatea extinsă este un mediu oarecum controlabil. se pot confrunta cu acelaşi risc. există premisele cunoaşterii mai aprofundate a riscurilor externe provenite din această direcţie şi chiar premisele stabilirii unei colaborări în controlarea unor astfel de riscuri. subordonate. • Comunicarea cu entităţile partenere (entitatea extinsă) are aceiaşi importanţă. precum şi entităţile care. eficacitatea legăturilor dintre aceste entităţi este foarte importantă pentru facilitarea adoptării unei abordări comune asupra gestionării riscurilor care să le permită atingerea propriilor obiective. mai ales. atingerea propriilor obiective va depinde/afecta atingerea obiectivelor celorlalte entităţi.11 Entitatea extinsă şi mediul Entitatea extinsă este un concept prin care se includ în sfera de interes (din perspectiva riscurilor) a entităţii şi entităţilor afiliate. 7. în consecinţă.

iar modul în care organizaţiile subordonate gestionează riscurile în procesul de implementare a politicilor va fi luat în considerare de societatea . Dincolo de ce am numit entitate extinsă. Aceşti factori pot. fie să limiteze modul în care aceasta poate să îşi asume sau să controleze riscul. societăţi care preiau în administrare riscuri transferate etc. De multe ori organizaţia nu are decât posibilitatea să-şi stabilească planuri pentru situaţii dificile pentru a acţiona în cazul în care riscurile pe care nu le poate controla s-ar materializa. există şi alţi factori care contribuie la mediul în care riscurile sunt gestionate. antreprenori.mamă de care depind direct sau indirect. fie să genereze riscuri care nu pot fi controlate de entitate. furnizori de bunuri. Este important ca entităţile să analizeze fiecare relaţie importantă cu contractorii şi să se asigure că sunt comunicate şi înţelese corespunzător priorităţile privind un anumit risc.mamă în elaborarea viitoarelor politici. modul în care coordonatorii stabilesc ordinea priorităţilor în abordarea riscurilor va afecta şi priorităţile entităţii subordonate. Ele permit recuperări financiare (satisfac obiectivele legate de securitatea activelor). dar nu controlează riscurile legate strict de obiectivele proiectelor.). Este important ca entitatea să analizeze mediul extins de risc şi să stabilească modul în care acesta îi afectează strategia de gestionare a riscurilor. O serie de factori care constituie mediul de risc şi de care organizaţiile trebuie să ţină seama este necesar a fi menţionaţi: 110 . nu totdeauna sunt suficiente măsurile de control intern de tipul clauzelor asiguratorii prevăzute în contracte. Prin urmare.Entităţile subordonate sau aflate în coordonarea lor aplică politicile societăţii . Aproape toate entităţile depind de contractori (prestatori de servicii. Deşi sunt absolut necesare.

În cazul entităţilor de afaceri factorul interesat cel mai relevant este consumatorul. expunerea la risc. dar acestea reflectă în multe cazuri interesele politice. abordarea unor riscuri de către conducătorii entităţilor este condiţionată de decizii politice. • Un factor al mediului de risc. Spre exemplu.• Legile şi celelalte reglementări pot să afecteze mediul de risc. evaluarea riscurilor. externalizarea riscurilor. • Fiecare entitate este constrânsă şi de aşteptările factorilor interesaţi. de multe ori. Entităţile trebuie să pună în aplicare hotărârile guvernului. în condiţiile unei economii emergente. ientificarea riscurilor. 111 . Anumite măsuri care pot fi eficace în controlarea anumitor riscuri pot da naştere unor efecte pe care consumatorul nu este dispus să le accepte. • Un alt factor de mediu important sunt condiţiile economice. Normele nu sunt altceva decât constrângeri care limitează modul de acţiune al entităţiilor. Spre exemplu. Vocabular: risc de management. Entitatea trebuie să identifice acele norme sub a căror incidenţă intră. constrângerile determinate de o infrastructură slab dezvoltată afectează proiectele de creştere economică ale entităţilor care doresc să-şi extindă activitatea în anumite zone. toleranţă la risc. registrul riscurilor. riscul ca personalul să nu-şi îndeplinească satisfăcător sarcinile nu poate fi controlat în totalitate prin instrumente de control intern. Organizaţia trebuie să ţină cont de legislaţia muncii pentru a nu se expune riscului de a suporta sancţiunile legale. impactul riscului. atenuarea riscurilor. este chiar Guvernul. riscul rezidual. probabilitatea de manifestare a ariscului. De aceea. riscul inerent.

Care sunt instrumentele folosite de auditorii interni pentru identificarea şi evaluarea riscurilor? 9. Cum procedează auditorii interni pentru evaluarea riscurilor de management? 6. Cum poate contribui auditul intern la îmbunătăţirea managementului riscurilor? 2. Cum se realizează controlul riscurilor? 8.Întrebări: 1.Care este semnificaţia comunicării şi învăţării referitoare la riscurile de management? 112 . Cum procedează auditorii interni pentru identificarea riscurilor de management? 5. Cum se armonizează auditul intern cu cerinţele managementului riscurilor? 3. Cum acţionează auditorii interni pentru identificarea şi evaluarea riscurilor de management? 4. Cum realizează auditorii interni revizuirea şi raportarea riscurilor? 10. Cum se defineşte şi utilizează toleranţa la risc? 7.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->