PROCEDURA DE SISTEM | Ni PS 100-04 | MANAGEMENTUL RISCULUI Exemplarul nr. 2 PROCEDURA DE SISTEM PS 100-04 MANAGEMENTUL RISCULUIEdifia: 1V. PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 ‘Revidia T Nede exemplare- Pag 2 din exemplaral ar. 2 MANAGEMENTUL RISCULUI Fel LExemplarul nr. 2 CUPRINS Numirul componentei | Denumirea componentei din cadrul proceduriide sistem | Pagina in cadrul procedurii de sistem Coperta 1 Cuprins : 2 1 Lista responsabililor cu elaborarea, verificarea si aprobarea edi 3 sau, dupa caz, a reviziei in cadrul edifiei procedurii de sistem Situatia edifiilor si a reviziilor in cadral edijiilor procedurii de 3 sistem 3. Lista cuprinzand persoanelc la care se difuzeaza edifia sau, dupt. | 4 az, revizia din cadrul editiei procedurii de sistem 4. ‘Scopul procedurii de sistem 4 5. Domeniul de aplicare a procedurii de sister 45 6. Documentele de referingd (reglementiri) aplicabile activitatii 5 | procedurale 7. | Definifii si abrevieri ale termenilor utilizafi in procedura de sistem | 5-9 8 Descrierea procedurii de sistem a 921 9. Responsabilitati si raspunderi in derularea activitatit 21-24 10. Indicatori de eficienfi si eficacitate ale procesclor 24 i. Anexe, fnregistrari, arhivari 24-30Faigia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nrde exemplare - 7 Pag 3 din exemplarul ar. 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 1.Lista respousabililor cu elaborarea, verificarea si aprobarea e edifiei procedurii de sistem jei sau dupa caz, a reviziei in cadrul Elementele | Numele iPrenumele | Funetia Data ‘Semnaturs a te oneratins oy = — z or Baia —— tena Goa | Seen Comb Sr —P pos 12 | Verificat Ref-Pricop Oliver an supleant Comisie 26.07.2022 me Aviat ~~ Behan Aaa ——[ Peni Canis SOM ERT 1 [Aneta Br baie Gites Trea thoes 2. Situatia edifillor sia revizillor in eadrul edifiilor procedurii de sistem : Ne Ee sau | Componengsreviat ae eae a oe | reve din Act aes : ire 0 1 2 3 4 2.1 | Editial x | 04.03.2015, 22 | Editia IT ‘Incadrarea procedurii, cod ‘Procedurii de sistem. | 25.07.2016 rocedrd. Noi capitole si modificarea celor existente Definiti ale termenilor Modul de luera 23 | Edifia it Definii ale termenilor Provodari de sistem 17.07.2017 Modul de ucru [Noi capitol si moditieareacelor existente 24 Modul de era ‘Actualizare masuel de control 28.09.2017 Anexe Modificarea anexei 8 i9 25 ‘Modul de luce ‘Simplificarea proceduri de gestionare a rseurlor prin 28.03.2018 Anexe ‘liminarea documentelor anexe de completat ‘Se mentin doar 2 documente: Registulriscurilor gi Planul masurilor de control 26. | Revizia Tegislale, init, | Aetualizare conform noilor cerints din Ord. 6002018 1.062018) seneralitati, mod de lucru, 2. | EditialV Mod de lueru, anexe Complotarea procodurl, modificareacapitalelor 709.2000 cxistente adaugarea de anexe 28. | Revidial ‘Mod de Tuer Compietares procedurl, modificarea capitolelor 5.082022 existente 3 Lista cuprinzind persoanele la care se difuzeazi ediia sau, dupa caz, revzia din cada edifel procedusit de Sistem Scopal | Ex. | Compartiment Funcfia Name st Data) Semndtura sifuzarit prenume — | primirié o 1 2 3 peal 3 a 7 31 [Aplicare [2 | SCIM/secti/Servicii | Pregedinte SCIM/ Sefi_ | Conform listet structari/Responsabili | de difuzare riscuri 32 |informare | 1 | SCIM Presedinte Comisie SCIM EEE 32 | Evidenta_| 12 | SCIM Presedinte Comisie| ‘SCIM 34 | Arhivare | 12 [SCIM ‘Secretar SCIM 33 | Alte ‘Audit exten scopuri| Eaifia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nrde exemplare - Pag 44din exemplaral nr] 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 4. Scopul procedurii de sistem 4.1, Imbunatatirea continua a etapelor aferente procesului de management al riscurilor, respectiv identificarea, evaluarea si gestionarea/tratarca acestora. 42. Fumizeaz& personalului din cadrul institutului, un instrument de lucru care faciliteazii gestionarea riseurilor {ntr-un mod metodic si eficient, pentru indeplinirea obiectivelor institutului 43. Asiguri claborarea unui tablou general cu riscurile ce pot afecta activitatea institutului, confinnd, de asemenea $i o descriere a modului in care sunt stabilite, implementate si monitorizate mésurile de control menite s& limiteze posibilele ameninfari, sau sé fructifice posibilele oportunititi din mediul organizational} 4.4, Stabileste la nivelul institutului, etapele necesare in vederea desfisurarii adecvate si la termen a obiectivelor privind procesul de management al riscului; 45. Asigur continuitatea procesului de management al riscului, inclusiv in conditii de fluctuatie a personalului 4.6. Stabileste un set unitar de reguli pentru intocmirea si actualizarea Registrului de riscuri; 4.7. Stabileste responsabilitatile privind intocmirea si actualizarea Registrului de riscuri. 4.8. Procedura acoperi riscurile:1.aparitiei unor disfunc in gestionarea riscurilor aferente activitatilor desfasurate in unitate/ evaluarca cu intirziere a riscurilor inerente $i reziduale din cadrul structurilor, 2.identificarea incompleta a riscurilor la nivelul serviciilor, 3. identificarea incompleta a riscurilor la nivelul SMCSS. Misuri generale de diminuare a riscurilor propuse ar fi: instruiri/einstruiti ale persoanclor care aplica procedura. 5. Domeniul de aplicare a procedurii de sistem 5:1, Procedura de sistem reglementeazi modul in care se realizeazi managementul riscului in ¢adrul institutului. 5.2, Managementul riscului reprezint& un instrument managerial prin care se ofera o asigurare rezonabili pentru indeplinirea obiectivelor entitati. 53. Procedura se utilizeazd de c&tre toate compartimentele din cadrul institutului in vederea gestionarii riscurilor care pot afecta atingerea obiectivelor specifice ale compartimentelor. 5.4. Procesul de management al riscurilor este dinamic si intruneste de fapt mai multe procese intr-un singur ciclu. Conditiile extemne, precum si cele interne, se pot schimba, si astfel de schimbari pot influenta obiectivele si/sau necesiti modificarea obiectivelor insigi 5.5, Procesul trebuie desftisurat la toate nivelurile entititii, nu doar limitat la nivelul conducerii de varf. 6. Documentele de referingi (reglementiiri) aplicabile activit 6.1. Legislatie primara > SR CEN/TS 15224:2007 - Servicii de sinatate. Sisteme de management al calititii. Ghid pentru utilizarea standardului EN ISO 9001 procedurale| Edigia: V PROCEDURA DE SISTEM _| Nr. de exemplare 2 Bae Revizia: I Nrde exemplare - Pag 5 din exemplarul nr./2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 > SREN ISO 9001 Sisteme de management al calitifii » Ordin nr. 600 din 20 aprilie 2018 privind aprobarea Codului controlului intern managerial al enttatilor publice » Legea 95/2006-privind reforma in domeniul sinatifii cu modificari si completiri ulterioare ¥ -Metodologia de management al riscurilor” (instrument al sistemului de control intern managerial (SCIM)), elaborata in cadrul proiectului "Consolidarea implementarii standardelor de control intern managerial I nivel local si central" (SIPOCA 34) »Ordinul Secretarului General al Guvernului nr. 201/2016 pentru aprobarea Normelor metodologice privind coordonarea, indrumarea metodologic& $i supravegherea stadiului implementirii si dezvoltarii sistemului de control intern managerial la entitiile publice. 6.2. Legislatia secundara >Legea nr. 500/2002 privind finantele publice cu modificari si completiri ulterioare 6.3, Alte documente, inclusiv reglementari interne ale spitalului >Regulamentul Intern 7. Definitii si prescurtiri ale termenilor utilizafi in procedura operationala 7.1. Definitii ale termenilor 7.1.1. Acceptarea (tolerarea) riscului- tip de réspuns la rise care consti in neluarea unor masuri de control al riscurilor si este adecvat pentru riscurile inerente a ciror expunere este mai mica decat toleranfa la rise; 7.1.2. Activitate - totalitatea atributiilor de © anumita naturd care determina procese de munca cu un grad de omogenitate si similartate ridicat 7.1.3, Actiune - desfaisurarea unei activitati sau fapta intreprinsa pentru atingerea unui scop. 7.1.4. Ameninjare de coruptie - Acjiunea sau evenimentul potential de corupjie ce poate s& apaki in desfigurarea unei activitati din cadrul unei entitati 7.1.8. Analiza riseului - procesul de intelegere a naturi riscului oferd baza pentru estimarea riscului, pentru deciziile referitoare la tratarea riscului. Analiza rispului riscului, de determinare a nivelului de rise. Analiza include estimarea riscului. 7.1.6, Amenintare - pericol sau sursa acestuia, care poate afecta atingerea obiectivelor unei organizatii 7.1.7. Atenuarea riscului — Masurile intreprinse pentru diminuarea probabilitatii (posibilititii) de aparitie a riscului saw/si de diminuare a consecintelor (impactului) asupra rezultatelor (obiectivelor) daca riscul| sar materializa. Mai concis, atenuarea riscului reprezinti diminuarea expunerii la risc, dac acesta este 0 amenintare. 7.1.8. Atitudine fai de rise - abordarea unei organizatii referitor la aprecierea si, eventual, supravegherea, retinerea, asumarea sau Indepartarea unui tise.Edifia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 ‘PS 100-04 Revizie: | Ne.de exemplare - Pag 6 din exemplarul MANAGEMENTUL RISCULUL | Exemplarul nr. 2 | 7-19. Audit al managementului riscului - proces sistematic, independent si documentat pentru obtinerea si evaluarea dovezilor in mod obiectiv cu scopul de a determina masura in care cadrul organizational de ‘management al riscului sau orice parte selectata a acestuia, este adecvat si eficace. 7-110. Clasarea riscului - procedeu aplicabil riscurilor apreciate, ca nerelevante in raport de obiestivele specifice compartimentului, constind in retragerea prin indosarierea si arhivarea formularelor de alert Ih risc, inclusiv a documentafici utilizata pentru flandamentarea riscurilor respective; 73 11, Compartiment - directie generali, directie, departament, serviciu, birou, comisii, inglusiv institufie/structura fird personalitate juridic& aflata in subordinea, in coordonarea, sub autoritatea entitafi 7.112. Consecintii - efectul unui eveniment, care afecteaz’ obiectivele. Un eveniment poate duce la a serie de consecinte. © consecinga poate fi certi sau incerta si poate avea efecte pozitive sau negative asupra obiectivelor. Consecintele pot fi exprimate calitativ sau cantitativ 7.113. Controlul intern managerial — ansamblul formelor de control exercitate la nivelul entititii publice, inclusiv auditul intern, stabilite de conducere in concordant cu obiectivele acesteia gi cu reglementirile legale, in vederea asigurarii administrarii fondurilor in mod economic, eficient gi eficace; acesta include, de asemenea, structurile organizatorice, metodele si procedurile. Sintagma “control intern managerial" subliniaza responsabilitatea tuturor nivelurilor ierarhice pentru tinerea sub control a tuturor proceselor interne desfigurate pentru realizarea obiectivelor generale si a celor specifice. 7.1.14. Esealadarea riscului imediat superior seu secretarul de stat coordonator/secretarul general cu privire la riscurile pentru |care Procedeu prin care conducerea unui compartiment alerteazé nivelul ierarhic Compartimentul nu poate desfuigura un control satisficator al acestora; 7.118. Estimarea riscului - procesul de comparare a rezultatelor analizei riscului cu criterile de rise pentru a determina daca riscul si sau marimea acestuia sunt acceptabile sau tolerabile. 7.1.16. Evaluarea risculai ~ evaluarea impactului materializirii riscului, in combinatie cu evahlarea probabilitatii de materializare a riscului. Evaluarea riscului o reprezinta valoarea expunerii la rise. 71.17, Evitarea riscului - tip de raspuns Ja rise care consti in eliminarea/restringerea circumstantelor/activititilor care genereazi riscul; 71.18. Expunere la rise - consecingele, ca o combinatie de probabilitate si impact, pe care le poate resimji 0 entitate publicd in raport cu obiectivele prestabilite, in cazul in care riscul se materializeaz’. 7.1.19. Factori de rise - accesul la resurse materiale, financiare si informationale, fir atriburii in acest sens, sau detinerea unui document de autorizare; activititi ce se exercita fn conditii de monopol, drepturi exclusive ‘sau speciale; modul de delegare a competenjclor; evaluarea si consilierea care pot implica consecinfe grave; achizitia publica de bunuri, servicii, lucrari, prin eludarea reglementailor legale in materie; neexecutarea sau executarea necorespunzitoare a sarcinilor de muncé atribuite, conform figei postului; lucrul in relatie direct& eu cetitenii, politicienii sau terfe personae juridice; functile cu competent decizionala exclusive ete.‘Baifia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nr.de exemplare - Pag 7 din exemplarul nr./2 MANAGEMENTUL RISCULUL Exemplarul ar. 2 7.1.20. Freeventa - numirul de evenimente san efecte intr-o unitate de timp definita. Frecventa poate fi aplicata evenimentelor trecute sau evenimentelor viitoare potentiale, caz in care poate fi utilizata ca a masurdia plauzibilitatii sau probabilititii 71.21, Gestionarea riscurilor - masurile intreprinse pentru diminuarea probabilitati (posibilitati) de aparitie a riscului sau/si de diminuare a consecintelor (impactului) asupra rezultatelor (obiectivelor), daca riscul sar ‘materializa, Gestionarea riscului reprezinté diminuarea expuneri la rise, dacd acesta este o ameninfare. 7.1.22. Impactul — consecinta/efectele generate asupra rezultatelor (obiectivelor), daca riscul s-ar materjaliza. Dacd riscul este o ameninfare, consecinja asupra rezultatelor este negativa, iar daca riscul este 0 oportunitate, consecinta este povitiva. 7.1.23. Incident de integritate - Eveniment produs la nivelul unei structuri a entititi, urmat de trimitetea in udecata, adoptarea unei hotiréri definitive de condamnare pentru fapte de coruptie, sau aplicarea unei sangtiuni disciplinare ca urmare a efectuirii unui test de integritate, ori a intoomi definitiv, de catre Agentia Nationala de Integritat. 7.1.24. Institutie public (abreviat IP) - Parlamentul, Administratia Prezidentiald, ministerele, celelalte otgane de specialitate ale administratiei publice, alte autorititi publice, institutiile publice autonome, precum si institusile din subordinea/coordonarea acestora, finantate din bugetele prevazute la art. 1 alin. (2) din Legea nr. unui raport de evaluare, rmas 50/2002 privind finangele publice, cu modificarile si completirile ulterioare. 7.1.25. Limita de toleranta la rise - nivelul de expunere la rise ce este asumat de entitatea publica, prin decizia de neimplementare a masurilor de control al riscului 7.1.26. Managementul riscului - procesul care vizeazd identificarea, evaluarea, gestionarea (inclusiv tratarea) si constituirea unui plan de misuri de atenuare a riscurilor, revizuirea periodic, monitorizarea si stabilirea responsabilitiilor. 7.1.27. Matricea de rise - instrument pentru clasificarea si afisarea riscurilor prin definirea categoriilar de consecinte si de plauzibiliti 7.1.28. Materializarea riscului — translatarea riscului din domeniul incertitudinii (posibilului) in cél al Certitudinii (al faptului implinit). Riscul materializat se transforma dintr-o amenintare posibilé in problema, tlacd riscul reprezinta un eveniment negativ sau intr-o situatie favorabilé, dacd riscul reprezinti o oportunitate. 7.1.29. Misuri de control - actiuni stabilite pentra gestionarea riscurilor si monitorizarea permanental sau periodica a unei activititi, a unei situatii 5.2. 7.1.30. Monitorizare - activitatea continus de colectare a informatiilor relevante despre modul de desfisurare a procesului sau a activitat 7.1.31. Nivel de rise - cuantificarea combinatiei dintre impact si probabilitate definita ca produsul acestora Altfel spus mérimea unui rise sau a unei combinalii do riscuri exprimata in termeni de combinatie a consecinselor si a plauzit| Editia: 1V PROCEDURA DE SISTEM —_[ Nr. de exemplare 2 PS 100-04 RevigiaT Nr.de exemplare - Pag 8 din exemplarul nr] 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 7.1.32. Organizatie - Persounele care lucreazi impreuna pent atingerea unor obieative prestabilite. O organizatie poate fi autoritatea publica, de ascmenea sunt considerate si componentele structurale (servicii, birouri etc.) 7.1.33. Obiective - efeciele pozitive pe care conducerea entit incearea si le realizeze sau pul evenimentele/efectele negative pe care conducerea incearca s& le evite. 7.134. Obiective generale - enunt general asupra a ceca ce va fi realizat si a imbunttitirilor ce vor fi intreprinse; un obiectiv descrie un rezultat asteptat sau un impact si rezum& motivele pentru care © serie de actiuni au fost intreprinse. 7.1.35. Obiective individuale - exprimari cantitative sau calitative ale scopului pentru care a fost cteat si funetioneaza postal respectiv; aceste obiective se realizeaza prin intermediul sarcinilor, ca urmare a compétenei profesionale, a autonomiei decizionale si a autoritisii formale de care dispune persoana angajati pe postul respectiy. 7.1.36. Obiective specifice - derivate din objective generale si care descriu, de regula, rezultate sau efecte asteptate ale unor activititi care trebuie atinse pentru ca obiectivul general corespunziitor si fie indeplinit, acestea sunt exprimate descriptiv sub forma de rezultate si se stabilesc Ia nivelul fiectrui compartiment din cadrul entitatii publice; obiectivele specifice trebuie astfel definite incat sa raspunda pachetului de cprinfe SMART (specifice, misurabile, adecvate, realiste, ou termen de realizare). 7.1.37, Prioritizarea riscurilor - actiune determinat& de caracterul limitat al resursclor si de necesitatea de a se stabili un réspuns optim la rise, pentru fiecare rise identificat si evaluat, si care consti in stabilirea ordinii de prioritati in tratarea riscurilor, print-o alocare eficienti si judicioasé a resurselor, 7.1.38. Probabilitate - masura posibilititii de aparitie exprimati ca un numar intre 0 gi 1, unde 0, este imposibilitatea iar 1 este evenimentul sigur. 7.1.39. Probabilitatea de materializare a riseului — posibilitatea sau eventualitatea ca un rise 44 se materializeze, Reprezinti o masuri a posibilitifii de aparitie a riscului, determinaté apreciativ saw| prin cuantificare, atunk ind natura riscului si informatie disponibile permit o astfel de evaluare 7.1.40. Profilul de rise — Un tablou cuprinzind evaluarea general documentata si prioritizati a gaméi de riscuri specifice identificate cu care se confrunt& institutul. 7-141. Proces - un flux de activititi sau o succesiune de activitifi logic structurate, organizate in sdopul atingerii unor obiective definite, care utilizeazi resurse, adaugandu-le valoare. 7.1.42. Reviauire - 2c legate de atingerea obicetivelor stabilite. Revizuitea se poate aplica unui cadru organizational de management al te desfasuratd pentru 2 determina oportunitatea, adecvarea si eficienta subiectului riscurilor, proces de management al riscurilor, rise sau mijloc de control. 7.1.43. Raportarea risculu forma de comunicare destinati informarii anumitor pari interesate intern sau externe, furnizandu-le informatiireferitoare la starea curenté a riscului si la managemental acestuia,Edifia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: I Nr.de exemplare - Pag 9 din exemplarul nr.|2 | | MANAGEMENTUL RISCULUL | Exemplarul nr. 2 | 7-1.44. Registral de riscuri - document in care se consemneaza informatiile privind riscurile identificate. 7.1.45, Rise — o situatie, un eveniment care nu a apirut ined, dar care poate aplrea in viitor, caz ih care obtinerea rezultatelor prealabil fixate este ameninfati sau potenfati; astfel, riscul poate reprezenta fie 0 amenintare, fie 0 oportunitate si trebuie abordat ca fiind o combinatieintre probabilitate $i impact, 7-1.-46. Rise inerent — riscul privind indeplinirea obiectivelor, in absenga oricdrei actiuni pe care ar puteaco lua conducerea, pentru a reduce probabilitatea si/sau impactul acestuia, 7-1.47. Rise rezidual ~ riscul privind indeplinirea obiectivelor, care riméne dupa stabilirea si implementarea spunsului la ris. 7.1.48. Rise semnificativistrategie — rise major, reprezentativ care poate afecta capacitatea entitafii db a-gi atinge obiectivele; rise care ar putea avea un impact si o probabilitate ridicata de manifestare si care vizeazi centitatea in intregimea ei. 7.1.49, Responsabil ew riscurile — persoani. desemna de citre conducatorul unui compartiment,| care colecteaza informatiile privind riscurile din cadrul compartimentului, elaboreaza si actualizeaz& registrul de riscuri la nivelul acestuia 7.1.50. Strategie de gestionare a riscurilor - tipul de rispuns la risc sau strategia adoptata cu privire la rige, ce cuprinde si masuri de control, dupa caz. 7.1.51. Transferarea (externalizarea) riscului - tip de raspuns la risc recomandat in cazul riscurilor financiare si patrimoniale si care consti in incredintarea gestiondrii iscului unui tert care are expertiza necesarii gestiondrii acelui riso, incheindu-se in acest scop un contract; 7.1.52. Toleranfa la rise ~ “Cantitatea” de rise pe care 0 entitate publica este pregatiti s& o tolereze sau lalcare este dispusi si se expund la un moment dat; pragul stabilit de conducere ca find limita acceptabilitatii unui anumit risc pentru care unele masuri suplimentare de diminuare ar genera costuri excesive 7.1.53. Tratarea (atenuarea) riscului mAsurilor de control intem) pentru a menfine riscul in limite acceptabile (tolerabile); reprezinta abordarea cea tip de raspuns la risc care const in Iuarea de misuri (implementarea ‘mai frecventé pentru majoritatea riscurilor cu care se confrunti entitatea; 7.1.54, Vulnerabilitate - proprietatile intrinseci ale ceva care au ca urmare susceptibilitatea fat de 0 sursa de rise, care poate conduce la un eveniment cw 0 consecinta. 7.2._ Abrevieri ale termenilor Neer. | Abrevierea ‘Termenul abreviat 1 PO. Procedura de sistem 2. E Elaborare [3 v Verifcare 4 A Aprobare z 5. Ap. Aplicare 6 ‘Ah ‘Arhivare 7. Comp. [ Compartiment (oe MR | Managementulriscurlon, 2 9." Planul de masuri | Planul pentru implementarea masurilor de control| Edigia: IV. PROCEDURA DE SISTEM | Nr. de exemplare 2 PS 100.04 | RevieiaT Nr.de exemplare - Pag 10 din exemplarul nf. 2 MANAGEMENTUL RISCULUL [————__-+—— Exemplarul nr. 2 10, Registrul de riseuris a in Standard Roman 12, ISO Organizatia Internafionalé peatru Standardizare 13. ‘OMFP- Ordin al Ministerului Finantelor Publice 14, ‘SCIM. ‘Sistemal de Control fntern Managerial 15, ™ ‘Comisia de Monitorizare 8. Descrierea procedurii de sistem 8.1. Generalitafi privind Managementul Riscului 8.1.1. “Managementul riscului” este unul dintre cele mai importante standarde de control intern mandgetial aprobate prin OSGG nr. 600/2018. Acesta prevede cA fiecare entitate publicd are obligetia de a analiza istematic, cel putin 0 data pe an, riscurile legate de desfisurarea activititilor sale, si elaboreze planuri Corespunzatoare in directia limitarii posibilelor consecinfe ale acestor riscuri si s& numeascd responsabili pentru aplicarea planurilor respective. 8.11.1.Sarcina implementirii acestui standard revine conducitorilor compartimentelor, prin numirea responsabililor cu riscurile, asumarea registrelor de rise de Ja nivelul serviciu/birou/sectie/compartiment cu coordonator si luarea de masuri de control ale riscurilor identificate. in ceea ce priveste responsabilitatea gestionsrii riscurilor semnificative/strategice, aceasta revine conducerii Institutului 8.1.1.2. Principalele clemente, de care depinde realizarea Procesului de management al riscului, sunt; » existenta obiectivelor definite care sa. ‘raspunda cerintelor SMART; > alocarea unor resurse adecvate pentru punerea in practic a masurilor de gestionare a riscurilor, in vederea diminudtii posibilitafii ca obiectivul sau activitatea sa nu fie indeplinite. > utilizarea informatiilor privind managementul riscului in luarca deviziilor (in functie de riseurile semnificative/strategice); 8.1.1.3.lmplementarea unui sistem de management al riscurilor in cadrul entitatilor institutului este asigurat prin: ® fluxul continuu, care constituie o parte integranta a activitatii curente; > procesul sistematic pentru optimizarea resurselor in concordanti cu obiectivele entititii; ® includerea aspectelor de tratare a riscului in practicile de management $i la luarea deci ilor pe _parcprsul {ntregului ciclu de viata al activitatilor; > maximizarea rezultatelor dorite, daca este desfigurat intr-o manierd integrati, 8.1.2. Procesul de management al riscurilor are urmiitoarele etape: Conducatorul entititi publice are obligajia organi: i si implementirii unui proces eficient de management al riscurilor, in principal, pr 1, identificarea riscurilor in strani legitura cu activitatile din cadrul obiectivelor specifice a ciror realizate ar utea fi afectatii de materializarea riscurilor; identificarea ameninfirilor/vulnerabilitiqilor prezente in catirul| Edifia: W PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Reviia 1 | Nr.de exemplare Pag II din exemplarl nf. 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 activititilor curente ale entititi care ar putea conduce la nerealizarea obiectivelor propuse gi la sAvarsirea unor fapte de coruptic si fraude; 2. evaluarea riscurilor, prin estimarea probabilititii de materializare, a impactului asupra activititilor din eadrul obiectivelor in cazul in care acestea se materializeazA; ierarhizarea si prioritizarea riscurilor in fundtie de toleranga la rise; 3. stabilirea strategiei de gestionare a riscuritor (raspunsutui la risc) prin identificarea celor mai adecvate ita ‘modalitati de tratare a riscurilor, inclusiv masuri de control; analiza si gestionarea riscurilor in functie de li de toleranta la rise aprobatl de cétre conducerea entitatis 4. monitorizarea implementirii misurilor de control si revizuirea acestora in functie de eficacitatea rezultatelor acestora; 5. raportarea periodicd a situatiei riscurilor so realizeaza ori de céte ori este nevoie sau cel putin o dati pe an, respectiv daca riscurile persist, in fimefie de apatitia de riscuri noi, eficienta masurilor de control addptate, reevaluarea riscurilor existente ete. 8.1.3. Controlul intern este asociat direct cu managementul riscurilor, deoarece, prin masurile luate, se asigur’, {in mod rezonabil, un cadru functional ce permite entitatii publice sa isi atinga obiectivele 8.1.4. Institutul are obligatia de a analiza sistematic, cel putin o dati pe an, riscurile legate de desfisurarea activititilor sale, s& numeascd responsabili cu gestionarea riscurilor si s& elaboreze registrul de riscuri 8.1.5, Realizarea unui management coerent al riscurilor implicé: ® analiza prealabili a tuturor expunerilor la rise, identificarea surselor de rise fiind fundamental $i determinanta in evaluarea corect a riscurilor entitatii publice; >identificarea riscurilor semnificative/strategice, care pot afecta eficacitatea si eficienfa activititilor aferente obiectivelor specifice, fri a ignora regulile si regulamentele: increderea in informatie financiare gi in ‘management; protejarea bunurilor; prevenirea si descoperirea fraudelor; > definirea gradului de toleranta/nivelul acceptabil de expunere la riscuri; >evaluarea probabilititii ca riscul si se materializeze, stabilirea impactului si expunerea acestuia; > stabilirea planului de implementare a misurilor de control in vederea gestionarii si monitorizatii riscurilon, 8.1.6. Contextul organizatoric. La nivelul serviciw/birow/sectie/compartiment cu coordonator, conducdtorul ficcdrui structuri propune numirea prin decizie inter, a unui responsabil cu riscurile, care il asst pe geful structurii in gestionarea riscurilor. Responsabilul cu riscurile pe compartiment consiliazA personalul din cadrul Compartimentului pentru gestionarea riscurilor. Conducatorul compartimentului asigura cadrul organizational i procedural penta punerea in aplicare, de cdtre persoanele responsabile, a misurilor de control stabilite de identifica, evalueaza, revizuieste riscurile yi aplicd masurile de control corespunzatoare pentru riscurile activitafilor catre Comisia de monitorizare $i aprobate de catre manager.intreg personalul din cadrul entitatiiFditia: IV PROCEDURA DE SISTEM _| Nr. de exemplare 2 pee 04: Revizia: | Nr.de exemplare - Pag 12 din exemplanil np 2 MANAGEMENTUL RISCULUL [————__—-— Exemplarul nr. 2 | Tepartizate prin fisa postului, pana la sfarsitul anului si le transmite responsabilului cu riscurile de la aivelul compartimentului. 82, Documente utilizate 8.2.1. Lista si provenienta documentelor 82.1.1, Formularul de alerti la risc - Cod Formular FO1 PS 100 04 8.2.1.2, Registrul de riscuri la nivel de structura sau la nivel de institut (RR) - Cod formular RO1 PS 100 04 8.2.1.3, Planul implementirii masurilor de control - Cod formular F02 PS 100 04 8.2.1.4. Raport privind desfisurarea procesului de gestionare a riscurilor - Cod formular R02 PS 100 04 8.2.1.5, Informarea privind desfigurarea procesului de gestionare a riscurilor si monitorizarea performanselor la Cod formular R03 PS 100 04 8.2.2. Continutul si rolul documentelor 8.2.2.1. Formularal de alerté la rise— Cod Formular FO1 PS 100 04, contine: > Denumirea compartimentului tn cadrul céruia s-a identificat riscul > Detaliile privind riscul nivelul entit > Descrierea riscului identificat Y Riscul identificat Y Obiectivul specific/activitatea cdiruia/cdreia ii este atagat riscul ¥ Cauzele Y Consecintele > Evaluarea riscului Y Estimarea probabilititii de aparitie Y Estimarea impactutui Y Evaluarea expunerii la rise > Opinie cu privire la rise: tipul de rispuns la rise (strategia adoptata), masuri de control recomandate; » Documentatia utilizata pentru fundamentarea riscului identificat > Persoana care identified riscul > Data intocmirii formularului » — Responsabilul cu riscurile > Data primirii formularului de catre: ‘Fesponsabilul cu riscurile > —Conducatorul compartimentului > Decizia conducdtorului compartimentului de clasare, escaladare sau retinere pentru gestionare a riscului, 8.2.2.2. Registrul de riscuri la nivel de structura sau Ia nivel de institute (RR) - Cod formular ROL PS 100 04, cuprinde obiectivul specific/activitatea ciruia/cireia fi este atasat riscul, riscul propriu-zis, cauza/cauvele care determina aparitia riscului, evaluarea riscului inerent (estimarea probabil de aparitie, estimareaFditia: TV 1 PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: | i: Nr.de exemplare - Pag 13 din exemplaral af. 2 fete ee eo exeonlarall ey: 2-1) MANAGEMENTUL RISCULUI scIM | Bxemplarul nr. 2 Ja risc), strategia adoptata, data ultimei rev de aparitie, estimarea impactului, evaluarea expunerii la risc), observal impactului, evaluarea expuneri ii, evaluarea riscului rezidual (estimarea probabili 8.2.23, Planul implementirii misurilor de control - Cod formular FO2 PS 100 04, cuprinde denimirea "iscurilor semnificative (conform limitei de tolerant stabilite la nivel de institut), masurile de control adoptato, ‘ermenele de implementare, persoanele responsabile cu implementarea, observatii, 8.2.2.4. Raport privind desfisurarea procesului de gestionare a riscurilor - Cod formular R02 PS 100 04, cuprinde: > Scopul elaboratii % Setul de date utilizat in vederea analizei (indicatorii din procedura) > Analiza procesului de gestionare a riscurilor Y Sinteza Registrului de riscuri aferent anului raporti = numér total de riscur + numar de riscuri tolerate, "numa de riscuri monitorizate, * numar de riscuri tratate. * numar de riscuri eliminate "numa de riscuri care se preiau in urmitorul registra Y Analiza indicatorilor mentionati; ¥ Situatia riscurilor cuprinse in Planul de masuri: * _riscuri cu m&suri de control implementate complet si modul de realizare *riscuri cu misuri de control in curs de implementare Y Monitorizarea implementirii masurilor de control pe baza Figelor de urmarire a riscurilor "sunt enumerate cauzele/dificultatile care au impiedicat implementarea completa a masurilor si noua masura sau noul termen propus > Revizuirea riscurilor Y Riscuri reziduale: enumerarea riscurilor Ja care nivelul riscului rezidual este mai mic decét al riscului inerent Y Riscuri care persista: enumerarea riscurilor la care nivelul riscului rezidual este egal cu al ristului inerent Y Riscuri noi identificate: enumerarea riscurilor la care au aptirut formular de alerti in timpul anului. > Monitorizarea riscurilor de coruptie, dupa caz; > Registrul de riscuri actualizat > Coneluzii si recomandariEdifia: 1V { PROCEDURA DE SISTEM. Nr. de exemplare 2 a tee 04: Revizia: 1 Nr.de exemplare - Pag 14 din exemplaril nt. 2 MANAGEMENTUL RISCULUL Exemplarul nr. 2 | 82.2.5. Informarea privind desfigurarea procesului de gestionare a riscurilor si monitorizarca Performanfelor la nivelul entititii - Cod formular R03 PS 100 04 reprezinti 0 imagine de ansamblu a Procesului de gestionare a riscurilor la nivelul entititii, find o sintezi a rapoartelor privind desfisurarea rocesului de gestionare a riscurilor de la nivelul structurilor. 8.2.3. Cireuitul Documentelor 8.2.3.1, Formularul de alerta la risc se aplica la nivelul structurii unde se identifica riscul. 8.2.3.2. Registrul de riscuri (RR) ~ circula de la structurile care I-au elaborat, la CM pentru aprobare gi la manager pentru avizare, 8.2.3.3. Planul implementarii masurilor de control - circulé de la structurile care I-au elaborat, Ja CM pentru aprobare si Ia manager pentru avizare si sc disemineazaa la nivelul structurilor spre implementare, 8.2.3.4. Figa de urmatie a riscurilor se aplica la nivelul structurii care o elaboreaza. 8.2.3.5. Raportul privind desfasurarea procesului de gestionare a riscurilor ~ circuld de la structurile care J-au claborat cétre CM. Responsabilul cu riscurile il transmite conductorului structurii pentru analiza si aprpbare respectiv Secretariatului tehnic al Comisiei de Monitorizare spre informare. 8.2.3.6. Informarea privind desfigurarea procesului de gestionare a riscurilor si monitorizarea performangelor la nivelul entitayi se transmite presedintelui CM pentru analiza si avizare si conducétorului entititii spre aprobare. 8.3, Resurse necesare 8.3.1. Resurse materiale: PC, acces la baza de date, imprimanti, acces internet, hartie 83.2. Resurse umane: persoancle implicate prin sarcinile se serviciu, decizia managerului, penta buna desfigurare a activitagi 83.3. Resurse financiare: sunt prevazute in bugetul de venituri si cheltuieli si sunt necesare pentru achizitionarea resurselor materiale. 8.4. Modul de lucru 8.4.1. Identificarea riscurilor Conducatorii compartimentelor si intregul personal au obligatia de a identifica riscurile care afecteaza alingerea obiectivelor specifice, activitatea are 2 etape 1. Identificarea obiectivelor si activitatilor aferente realizirii acestora 2. Identificarea, descrierea riscurilor gi a cauzelor care au favorizat aparitia acestora 84.1.1. Identificarea obiectivelor si activita{ilor/operatiunile aferente realizarii acestora este un proces Primordial dat fiind ci managementul riscurilor este relevant doar daca obiectivele sunt clare si bine cunoscute {in cadrul institutului. {In procesul de identificare a riseurilor se au intotdeauna in vedere obiectivele $i activ itajile bare contribuie [a realizarea acestora. Pentru o identificare corespunzitoare a riscurilor, este absolut necesard| Edifia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 | Revizia: 1 Nr.de exemplare - Pag 15 din exemplarul nt. 2 MANAGEMENTUL RISCULUL Exemplarul nr. 2 existenja unui document, care s& contina obiectivele asumate Ia nivelul fieckrui servi ‘iw birou/ Sectie/ ‘compartiment cu coordonator. in piramida acesta sunt intocmite si aprobate Ia nivelul institutului urmitoarele tipuri de planificari: > planul strategic al institutului pentru o perioada de 4-5 ani > plan de management anual > plan de management al calitifii serviciilor medicale intocmit anual > planificarea anuali a obiectivelor si activitifilor Ia nivelul fiecirui serviciu/ birow/ sectie/ compartiment cu coordonator. Documentele mai sus menfionate vor include 1. obiectivele generale, 2. obiectivele specifice, 3. _activitatile sau operatiunile care duc Ia atingerea obiectivelor. Identificarea, descrierea riscurilor si a cauzelor care au favorizat aparitia acestora. Managementul riscurilor presupune identificarea si evaluarea riscurilor; stebilirea masurilgr. de control, in vederea micsoririi posibiitati de aparitie a acestora, cét si diminuarea consecinfelor produse, ca urmare a materializatrii lor. {In vederea gestionatii riscurilor la nivelul instirutului, se vor efectua urmatoarele actiu A. Conducatorii compartimentelor de la primul nivel de conducere din structura organizatoricé desemneava la nivelul acestora un responsabil cu riscuril. B. Responsabilii cu riscurile consiliaza personalul din cadrul compartimentelor i asistit conducdtorii acestora in procesul de gestionare a riscurilor. C. Riscurile aferente obiectivelor si/sau activititilor se identificd si se evalueaz Ia nivelul fietarui Compartment, in conformitate cu elementele minimale din Registrul de riscuri; riscurile semnificative se centralizeaza la nivelul Comisiei de monitotizare in Registrul de riscuri al institutului, D. Comisia de monitorizare analizeazd si priortizeaca riscurile semnificative, care pot afecta atingerea obiectivelor entitiii publice, prin stabilirea profilului de rise si a limitei de tolerant la rise, anual, aprobate de cc&tre managerul institutului. E, Secretariatul tehnic al Comisiei de monitorizare pe baza Registrului de riscuri de la nivelul enti propune Profilul de risc si limita de toleranga la rise care sunt analizate si avizate in sedinta comisiei si aprobate de catre manageru! institutului F. Conducatorul compartimentului transmite masurile de control pentru riscurile semnificative secretariatului fehnic al Comisiei de monitorizare, care elaboreaz& anual Planul de implementare a misurilor de control pehtra Miscurile semnificative la nivelul entiagii publice; planul este analizat de Comisia de monitorizare si aprobat de litre managerul insitutului] Edigia: IV PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 | Revizia Nrde exemplare - Pag 16 din exemplarul nf. 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 de monitorizare transmite Planul de masuri aprobat compartimentelor G. Secretariatul tehnic al Comisi responsabile cu gestionarea riscurilor semnificative, in vederea implementaii, H, Secretariatul tehnic al Comisiei de monitorizare elaboreazi, pe baza raportirilor anuale, ale conducdtorilor compartimentelor de la primul nivel de conducere, privind desfisurarea procesului de gestionare a riscutilor si monitorizarea performantelor o informare citre managerul institutului, aprobati de presedintele Comisiei de ‘monitorizare, privind desfagurarea procesului de gestionare a riscurilor si monitorizarea performantelor la nivelul entitati. 1 Informarea cuprinde o analiza a riscurilor identificate si gestionate la nivelul compartimentelor, respective monitorizarea obiectivelor si activitajilor prin intermediul indicatorilor de performanga la nivelul eptitatii publice. Functie de gradul de implementare a managementului riscului Ia nivelul compartimentelor, identiffcarea riscurilor se poate afla intr-una din cele dowa faz 8.4.1.2.1, Identificarea riscurilor se efectueaza inifial: |.Ja infiinfarea compartimentelor, fir un istoric in cea ce priveste gestionarea riscurilor sau fifi un management al riscurilor foarte bine dezvoltat. 2.1a momentul demararii unui proiect, a unei noi activitéti sau proces, 3.la inifierea perfectionirii sistemului curent de management financiar si control, astfel, 1a implementarea managementului riscurilor. 8.4.12.2, Ulterior, identificarea riscurilor capiti un caracter permanent/continuu. Identificarca Permanenti. a riscurilor: specifica entitatilor care au consolidat un sistem coerent de control intern managetial si implicit de management al riscurilor. Un management eficace al riscurilor presupune faptul cd identificarea riscurilor este un proces permanent, care permite racordarea entitati la procesul de schimbare / adaptare. Identificarea riscurilor se efectuear prin: >intocmirea unor liste care cuprind sursele/ eategoriile potentiale de rise; >analiza documentelor/ informatiilor/ rapoartelor disponibile; > organizarea sedingelor de lucru formale — utilizand experienta personalului implicat in activitatile curentes analiza factorilor/ mediului extem care ar genera riscuri exogene. 8.4.1.2.3. Reguli asociate identificdrii riscurilor: a. Riscul este legat de incertitudine si are asociata 0 probabilitate de materializare. Riscul nu este peva sigur si nu se refera la o problema dificila deja materializati, Exemplu: introducerea/utilizarea unor date eronate dintr-o baza de date.| Edifia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 | Revizia: 1 Nrde exemplare - Pag 17 din exemplarul nf. 2 MANAGEMENTUL RISCULUI scIM Exemplarul nr. 2 b. Nu trebuie ignorate probleme dificile deja materializate: acestea pot fi riscuri potenfiale in viitol, daca entitatea actioneaza in aceleasi circumstante. © Nu constituie riscuri acele situatii / probleme care au pot si apari (asa numitele fictiuni). A concentra tenia enttati pe fictiuni inseamna a risipi resurse, Exemplu: imbolnavirea concomitent& a tuturor angajatilor din motive necunoscute, controale periodice de sAn&tate (medicina muncii). 4. Nu trebuie identificate ca riscuri acele probleme care se vor materializa cu siguran{a. Acestea nit sunt iscuri ci certitudini. Certitudinile sunt gestionate si de regula presupun alocdsi de resurse, modiffearea obiectivelor asumate, schimbari de strategie. Exemplu: pierderea expertizei detinuta de personalul calificat ca urmare a unor reduceri salariale abrupte. © Riscurile nu se definese prin impactul lor asupra obiectivelor. Impactul nu este rise ci o masurd a modului in care materializarea unui rise afecteaza respectivele obiective. Exemplu: nu se identifica ca si risc intérzierea la serviciu a unui angajat, ci se identifica ca si rise nerealizarea la ‘timp a unor sarcini de serviciu aflate in responsabilitatea celui care intirzie. £. Nu definifi riscurile prin negarea obiectivetor. Exemplu: Obiectiv: atragerea fondurilor - Rise: neatragerea fondurilor. 4. Nu identificafi riscuri care nu afecteaza obiectivele: existi doar riscuri corelate cu obiectivele. E indicat ca Ia identificarea riscurilor si se evite stabilirea unei cauzalitati indirecte deoarece exista pericolul de yedea riscuri peste tot. 4b. Riscurile au o cauza si um efect: exist o cauza si un efect ale materializirii riscului, Cauza — un context favorabil aparitie riscului, Efectul — impactul materializiiri riscului, i, Trebuie ficutd deosebirea intre riscul inerent si riscul rezidual. Riscul inerent este riscul specific, ¢¢ tine de realizarea obiectivului, fara a fi luate misuri de atenuare a riscurilor, in timp ce riscul rezidual este acel rise Ce rimane dupa ce au fost intreprinse masuti de control intern. Riscul rezidual este expresia faptului c& riscurile inerente nu pot fi controlate in totalitate, Oricéte masuri ar fi late, incertitudinea nu poate fi eliminata. Exemplu: Obiectiv: asigurarea accesului ta internet prin cablu la toate calculatoarele legate la sistemul informatic de colectare a datelor pacientilor ‘Rise inerent: nefinalizarea in timp util a procesului de cablare ferent): intreruperea Iucratilor datorita faptului cd nu sunt Rise rezidual (rezultat prin revizuirea risculi fonduri disponibile pentru finalizarea acestuia, la sectia exterioar’ Bamova. lepinde foarte mult de percepfia celor implitati Identificarea riscurilor nu este un proces strict obiectiv. Se opereaza cu perceptii asupra riscurilor si nu cu riscuri in sine. J+ Wentificarea riscurilor este mecesari dar nu suficienti. ,Anticiparca viitorului” este una din practicile prin care se asigur& un proces coerent de identificare proactiva / prospectivi a riscurilor inerente.PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 [Revigias Nr.de exemplare - Pag 18 din exemplarul nt. 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 K: Riseurile identificate trebuie grupate. Gruparea riscurilor se face functie de percepjia si alevoile ‘nstitutului, 8.4.1.2.4. Pasii care trebuie urmafi in identifiearea riscului Seful fiecirui compartiment identficd, impreund cu personalul din subordine, riscurile inerente care pot afecta dlesfisurarea actvitiilor din domeniul de care rispunde si implicit realizarea obiectivelorspecifice ale acéstua, avind in vedere faptul c& fiecare activitate este supust unor evenimente, actiuni sau ameningéri din interioful ori exteriorul niveluluiierahic respectv, iar fiecare obiectiv specific este adus la indeplinire prin desf¥surarealuneia sau mai multor activitagi Seful fiectrui compartiment impreuné cu persoana desemn: obiectivele, actiunile specifice si riscurilor inerente asociate obiectivelor si activititilor corespunzatoare abestor 4 (responsabilul cu riscurile), elabdreazi riscurile asociate, Persoana care identificis un risc analizeazi preliminar riscul identificat, procedand la: * definirea corecti a riscului, cu respectarea urmatoarelor reguli a) riscul este o situafie, un eveniment care poate sd apari,o incertitudine si nu ceva sigur; b) _riscurife care nu afecteazi obiectivele/activititile nu se identifica ca risc ©) problemele dificile identificate nu trebuie ignorate, Ele pot deveni riscuri in situafii repetitive din cadrul aceluiasi compartiment, sau pentru alte compartimente in care astfel de riscuri nu s-au materializat; 4) riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul mv este rise, ei consecinta materializarii riscurilor asupra realizarii obicctivelor; ©) _riscurile nu se definesc prin negarea obiectivelor, 1) problemele care vor apirea cu siguranti nu constituie riscuri, ci certitudinis 8) problemele a ciror aparitie este imposibil& nu constituie riscur, ci fictiuni. * prezentarea cauzelor, descrierea circumstantelor care favorizeazé aparitia riscului; biectivelor. * analizarea consecinfelor, in cazul materializarii riscului, asupra reali in procesul de identificare a riscurilor primul pas il reprezinté completarea Formularului de alerta la rise (F01 PS 100-04), impreuna cu documentatia aferenti care previnti: > Descrierea narativai a riscului ~ riscul identificat; ~ obiectivul specific! acjiunile specifice; - cauze; = consecinte; > Evaluarea riscului: - evaluarea probabilitatii ~ evaluarea impactuluiEaifia: 1 PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nr.de exemplare Pag_ 19 din exemplaral nt. 2 MANAGEMENTUL RISCULUL Exemplarul nr. 2 | + expunerea la rise. > Tipul de rispuns fa rise - strategia adoptata = masurile de control recomandate Formularul de alerta la rise se completeazi, se verificd si se avizeaza dupa cum urmeazi: * Completarea descrierii riscului, evaluarea acestuia, recomandarea masurilor de control si precizarea documentatiei utilizata pentru fundamentarea riscului identificat - de citre persoama care identifi un rise, oferind in acest sens o evaluare preliminari a riscului pe baza a doi indicatori: probabilitatea ‘materializarii riscului gi impactul acestuia. > Exprimarea unei opinii cu privire la rise asupra evalufrii riscului si asupra tipului de raspuns la rise si a masurilor de control, dupa caz— de catre responsabilul cu riseurile; > Devizia finala de clasare, escaladare sau rejinerea riscului pentru gestionare si avizarea Formularului de alerta la rise ~ de citre conducitoral compartimentului. 8.4.2. Evaluarea riseurilor consta in existenfa unui proces structurat de evaluare a binomului probabilitate — impact pentra fiecare rise in scopul: > determinarii probabilitafii (si/sau freeventei) — probabilitatea se referd la eventualitatea/posibilitatea producerii (freeventa se refera la cat de des se poate produce); > determinarii impactului~ impactul se referd la toate efectele posibile generate de manifestarea acestuin; 8.4.2.1. Clasificarea riscurilor A. Dupa amploarea impactului riscurile pot fi 1) semnificative/strategice sau 2) operationale. B. Funetie de mediul intern sau extern in care se identificd potentiale cauze ale riscurilor, se pot identifica urmatoarele: Cauze externe (sunt cauzate de mediul extern al entitati si se numese amenintiri) Aceste ameninfiri nu pot fi controlate in totalitate de institut, dar pot fi luate masuri de atenuare a riscurilor potential afi generate de acestea. 2. Cauze interne (sunt specifice entitati si se numese vulnerabilitat) Aceste vulnerabilititi pot fi de regula gestionate direct in cadrul institutului si pot fi identificate la nivelul tinor domenii de activitate specifice institutului, rezultand mai multe tipuri de vulnerabilitat: 8.4.2.2. Caleularea expunerii la rise (valorii riscului) Evaluarea expunerii la risc se realizeazi de catre responsabilul cu riscurile/conduc&toral compartimentului prin RR, astfel:PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nr.de exemplare - Pag 20 din exemplaral nf. 2 MANAGEMENTUL RISCULUL |— + Exemplarul nr. 2 (1) Estimarea (evaluarea) probabilitii de apartie (materializarea) a riscului, pe 0 scalé de tei trepte, ca find: scdzuta, medie, mare (1,2,3). (2) Estimarea (evaluarea) impactului asupra obiectivelor / activitiilor, in cazul materializlri rigcului, Pe o scala de trei trepte, ca fiind: scdzut, mediu, ridicat (1, 2, 3) (3) Calcului (estimarea) expunerii la rise, respectiv consecingele, ca o combinatie de probabilitate impact, pe care le poate resimti compartimentul in raport cu obiectivele prestabilite, in eazul in care riscul se materializeaza. A. Evaluarea riscurilor trebuie s&: > se bazeze pe date independente si pe dovezi concrete; > aiba in vedere pe tofi cei afectati de rise % faca distinctia intre expunerea la rise si toleranfa la rise. Scopul evaludrii riscurilor consti in: stabilirea nei ierarhii a riscurilor identificate si, functie de toleranfa la risc, stabilirea celor mai adecvate masuri de tratare a riscurilor. © analiza de rise nu poate elimina complet riscul deciziei, dar poate oferi conducerii unei entitifi publice capacitatea de a: % decide daca riscul este sau nu acceptabil; > cunoaste consecintele deciziei (cele pozitive, cat si cele negative); > reduce riscurile prin masuri de control B. Evaluarea probabilititii de materializare a riseului > Presupune determinarea / aprecierea unei probabiliti / incertitudini, > posibili metoda de evaluare a probabilitatii de materializare a riscului o reprezinth luarea in caleul a frecventei de materializare a unor riscuri in trecut, Ca instrument de evaluare so utilizeazi seala de probabilitéfi. La nivelvl institutului scala are 3 nivele. Pragurile de probabilitate reflects perceptia enttatii publice asupra incertitudinii cu care pot fi asociate riscurile identificate. Evaluarea riscurilor se efectueazi intr-un mod care si faciliteze monitorizarea, identificarea ordinii de prioritati in privinfa riscurilor. Evaluarea riscurilor se bazeaza pe dovezi obiective si cuprinde toate aspectele afectate de riscul respectiv. C. Evaluarea impactului asupra obiectivelor in cazul materializirii riseurilor: > Evaluarea impactului se face atat calitativ, cét si cantitativ. > Chiar dac& evaluarile cantitative sunt mai dezirabile si mai relevante, in cele din urma, imaginea unitars asupra riscurilor identificate este data de o apreciere calitativa, apreciere construita si pe baza evalarii cantitative. > Impactal se poate descompune astfel:| Eaigia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nr.de exemplare - MANAGEMENTUL RISCULUI Pag 21 din exemplaral nf. 2 Exemplarul nr. 2 1. componenta calitativa, 2. componenta patrimonial ~ bugetara 3. componenta efort (resurse umane); 4. componenta de timp. Nu e obligatoriu ca evaluarea impactului sé se faci pe toate componentele sale, deoarece uneori nu este posibil acest lucru, sau nu este relevant. Nu trebuie renunjat la evaluarile cantitative ale impactului, Acestea trebuie ficute ori de cate ori este posibil, deoarece obiectiveazt aprecierea si constitu, alituri de evaluarile calitative, instrumente de documentare a riscurilor. Nivelul de probabilitate se va stabili functie de indicele de probabilitate calculat prin prisma numaralui de riscuri produse in ultimii ani (perioada stabilit& pentru evaluare a riscului), Indicele de probabilitate se determina cu ajutorul urmatoarei formule: P-FIN, unde P — probabilitatea de materializare a unui rise; F ~ freeventa cu care riscul s-a materfalizat in perioada anterioara estimarii; N- perioada de timp exprimata in numar de ani luatd ca referingé in evaluarea riscului (se-va lua in considerare o perioada de 3 ani. Astfel nivelurile de probabilitate vor fi: 4 - Rar/Pugin probabil = daca valoarea lui P este mai mica cu 1 (cod galben), 2- Posibil = daca valoarea lui P este mai mare sau egala cu 1 si mai mica de 3 (cod portocaliu). 3— Foarte probabil/Aproape sigur = daca valoarea lui P este mai mare sau agala cu 3 (cod rosu). Astfel, conform calculelor vor rezulta urmatoarele situafii cu urmatoarele niveluri de probabilitate: Durata de referini in funetic de care se evalueazi propal Frecventa cu care riscul s-a materializat- F Nivelul impactului se stabileste astfe! 1 ~ Nesemnificativ/Minor = cu impact negativ sctzut sau foarte scdzut asupra obicctiveldr si activititilor de la nivelul structurii (modificarea sau nerealizarea obiectivelor). 2 - Moderat = cu impact negativ mediu asupra obiectivelor si activitatilor de ta nivelul struceurii (modificarea sau nerealizarea obiectivelor). 3— Major/eritie= cu impact negativ major/semnificativ asupra obiectivelor si activitatilor de la nivelul structurii (modificarea sau nerealizarea obiectivelor),] Eaigia: IV PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revival | Nrde exemplare Pag 22 din exemplarul nf. 2 | MANAGEMENTUL RISCULUI [~~ SCIM, Exemplarul nr. 2 8.4.3. Gestionarea/tratarea riscurilor (Atitudinea fafa de riscuri/reactia la riscuri) Scopal este de a transforma incertitudinea intr-un avantaj pentru institut si de a limita nivelul ameningétilor gi impactul potential al acestora. Orice masura luati de institut in scopul unei reactii la riscuri se integréaza in acest sistem cunoscut drept ,managementul riscurilor”. Responsabilul cu riscurile pe compartiment consiliaza personalul din cadrul compartimentului pentru gestionarea riscurilor, pe care le centralizeaza, in vederea intocmirii Registrului de riscuri (ROI PS 100 04 Anexa nr. 1) sil transmite spre aprobare conducdtorului compartimentului si apoi Comisiei de Monitorizare Secretarul Comisiei de monitoriare preia RR de la nivelul compartimentelor si centralizeaza riscurile medii si ridicate, cu scopul de a evita un volum exagerat si necontrolat de riscuri si de a gestiona eficient riscurilé de la nivelul entitiii. Astfel, riscurile mici sunt gestionate la nivelul compartimentelor care le-au identificat d¢ cdtre conducétorul compartimentului, Comisia de Monitorizare realizeaza Registrul de riscuri la nivelul institutului, care cuprinde riscurile medi si Tidicate, ce pot avea un impact substantial si o probabilitate ridicata de manifestare si care vizeazii entitalea, in {intregimea ei. Tinerea Registrului riscurilor are scopul gi permite: 1. inscrierea tuturor riscurilor identificate, stabilirea canzelor si consecingelor posibile; 2. evaluarea riscurilor si stabilirea expunerii entitafi la riscuri (valoriiriscurilor); 3. actualizarea listei riscurilor la care se expune entitatea; 4. inscrierea si urmirirea actiunilor intreprinse in vederea tinerii riscurilor sub control: 5. urmérirea ulterioara a valorii riscurilor si monitorizarea acestor evoluti Registrul riscurilor completat corect si actualizat devine documentul prin care se atesta ca in institut s-a inttodus un sistem de management al riscurilor si ca acesta funcjioneaza. De asemenea, Registrul riscurilon este documentul de la care porneste orice auditor, intern sau extern, atunci cdind se face o evaluare independgnta a sistemului de management al riscurilor din cadrul entitagi. Pentru activitatea medical, in ceca ce priveste gestionarea riscurile clinice, se poate realiza un model difetit de Registru de risc, conform specificatiilor ANMCS in vigoare. Acest registru va fi generat in baza registrului existent si a documentelor create conform acestei proceduri, prin adaptare la formatul solicitat de ANMCS. 8.4.3.1. Stabilirea si in procesul de gestionare a riscurilor, pentru fiecare risc identificat si evaluat, se aplica 0 strategie adoptati, respectiv tipul de rdspuns la rise, considerat cel mai adecvat, de cétre Comisia de Monitorizaro in sedinf&. pe iplementarea masurilor de control ale riscurilor (strategia adoptati) baza propunerilor venite de la nivelul compartimentului i insusite de catre responsabiliil cu riscurile prin registrele de riscuri, astfe!: 8) aeceptarea (tolerarea) riscului, in cazul riscurilor cu expunere scizuti sau atunci cénd aplicarea unei strategii de raspuns la rise nu este posibilé;Faiia: TV PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: I Nrde exemplare - Pag 23 din exemplarul ne. 2 MANAGEMENTUL RISCULUI I Exemplarul nr. 2 >) monitorizarea permanenta a riscului, in eazul riscurilor cu impact semnificativ, dar cu probabilitaty mica de aparitie; ©) evitarea (eliminarea) riscului, cu precizarea cd aplicarea acestei stratepi este limitaté in cazul activtifilor care tin de scopul (misiunea) procedurii; 4d) tansferarea (externalizarea) riscului, indeosebi in cazul riscurilor financiare si patrimoniale; ©) tratarea (ateruarea) riscului, caz in cate se identifick mésurile posibile ce pot fi luate astfel incat riscurile 4 fie controlate satisficdtor, se grupeazi in variante alternative, se alege varianta cea mai avantajoasa din erspectiva raportului cost/beneficiu. 8.4.3.2. Formularea si aplicarea masurilor control Masurile de control a riscurilor se axeaza in principal pe existenta i aplicarea procedurilor menite sa conduca la ‘minimizarea acestora, Astfel, in cazul in care procedura exist masura va cuprinde urmatoarele etape: > — monitorizarea procedurii, > actualizarea procedurii (daca este cazul), instruirea personalului care aplicd procedura, > implementarea si analiza implementrii procedurii > evaluarea cunoasterii proceduri. fn cazul in care nu exist’ procedurd, misura de control va. cuprinde crearea procedurii gi ulterior toate etapele anterior mentionate monitorizarea, actualizarea procedurii (daca este cazul), instruirea personalului care aplic& Procedura, implementarea, analiza implementarii si evaluarea cunoasterii procedurii. Fiecare procedura trebuie 8 alba indicatori de eficienta si eficacitate corelati cu riscurile tratate care vor fi cuprinsi intr-o fisd sintetica ‘numité Raport analiza, monitorizare si evaluare a procedurilor si indicatorilor de eficienta si eficacitate a proceselor. 8.4.3.2.1.Tolerarea riscurilor Toleranfa la rise se poate face in raport cu expunerea Ia rise, utilizind o reprezentare matriceali, astfel: Ridicat 3 Impactul Monitorizare Mediu 2Eaifia: WV PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nr.de exemplare - Peg 24 din exemplarul nf. 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 5 te Monitor Lin k lonitorizare = Ny Scdzut . 1 2 Probabilitatea ‘TABEL DE EVALUARE A RISCURILOR O clasificare pe cele trei nivele —inalt, mediu, scdut, a fiectrui risc este suficienta si reprezint4 un nivel gainim de clasificare, rezultatul este 0 matrice ,,3x3”. Modalitatile de reprezentare a limitelor de tolerant la rise|pot fi ‘idemtificate printr-o matrice, dar si prin codarea pe culori a riscurilor (fehnica semaforului), fapt care ofera 0 imagine comprehensiva asupra intensitifii misurilor de control ale riscurilor identificate pe scala de 3 trepte. Dupé stabilirea tolerantei la risc, se realizeazA profilul de rise al entititii publice Profilul de rise oferi o imagine de ansamblu, cuprinznd evaluarea generala, documentat si prioritizats, a gamei de riscuri specifice cu care se confrunti entitatea si se realizeazi pe baza Registrului de riscuri pe entitate. Profilul de rise se interpreteaza astfel: 1. zona verde - riscurile care se situeaza in zona de culoare verde sunt cele caracterizate de 0 expunere Ih rise aflata sub limita de toleranta la rise si in aceasta zona se afl riscurile asumate. 2. zona in galben - riscurile care se situeaza in zona de culoare galben au o expunere ce depaseste limita de toleranti la riso, dar deviatia de la aceasta este una moderati. Aceste riscuri trebuie monitorizate si gestionate functie de prioritatile stabilite la nivelul entititi. 3. linia albastra reprezinti limita maxima a toleranfei. 4. zona in rosu - riscurile care se situeaza in zona de culoare rosie au expunerea la rise si deviatia cea mai mare fai de toleranta la risc si acestea reclamd, cu prioritate, initierea unor masuri de control, Toate riscurile semnificative, care au un nivel al expunerii ce se situeazd deasupra limitei de toleranta, vor fi tratate prin masuri specifice de control intern, Un rise este acceptabil cand se afla in zona verde dupa intreprinderea masurilor de diminuare sau implemehtare lor de control. Cu toate acestea toleranta fat de risc este cea care determina mirimea” zonei vetzi gi galbene. O entitate cu 0 toleranta scazuta fata de rise poate avea 0 zona verde $i 0 zona galbend foarte mica si 0 zona rosie mai mare. Este situafia similara la momentul demararii managementului riscurilor. Impactul este primul element, care trebuie luat in considerare in cazal activititilor din sectorul publi¢. In sectorul public, enti tile dispun de o toleranfa la riscuri mic& dat find c& nu pot permite ca unele riscuti s& rezulte grave efecte negative la nivel politic. In acest caz managerii elaboreazi o ierarhie de clasifigare/Editia: IV PROCEDURA DE SISTEM —_| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nr.de exemplare - Pag 25 din exemplarul nt. 2 MANAGEMENTUL RISCULUI SCIM Exemplarul nr. 2 {intra reducerea impactutui Prioritizarea a manifestivilor potentiale negative ale riscurilor pentru a putea activ acestora Etapa de evaluare, care are scop final-stabilirea ierarhiei riscurilor, prioritizarea acestora in fimetie de toleranfa 4a rise. Seful flecdrui nivel ierarhic inscrie valorile celor doud variabile (impactul sau probabilitatea), Precum si nivelul de rise inerent. Expunerea sau riscul poate fi tolerat ffi a fi nevoie de Ivarea vreunei masuri sau implementarea vfeunei activititi de control. Riscurile sunt evident asumate, entitatea public& continudndu-si activitatea find a fntreprinde vreo actiune. ‘Totusi, uneori exista situatii cind chiar daca riseul nu este tolerabil/acceptabil, pos tatea sau abilitates de a face ceva in privinfa unor riscuri este limit sau costul respectivelor misuri poate fi disproportionat faté de beneficiul de pe urma acestora. Aceasta optiune poate fi evident completati int-un plan pentru situatii neprevizute care si abordeze impactul in cazil materializari riscurilor. 8.4.3.2.2, Prioritizarea riscurilor Clasificarea riscurilor ia in considerare prioritigile Ia nivel de obicctive/activitati carora aparfin riseurile ‘dentificate si evaluate. Riscurile se prioritizeaz in dependent de importanta obiectivelor pe care potential pot Si le afecteze. De exemplu, acelasi rise nu poate fi clasificat la acelasi nivel cfind se referd la un obiectiv foarte important sau cand se referd la unul cu o importan} mai sciizutd. Acest clement este Iuat in considerare in momentul evaluat impactului. Parametrii stabiliti pentru impact vor combina importanfa daunelor potentiale cu importanga obiectivului afectat de cate rise. De exemplu, impactul ‘supra obiectivelor strategice este mai mare decat cel asupra obiectivelor de sistem. 843.3 Monitorizarea masurilor de control Dupa elaborarea Registruld de riscuri pe institut, pe baza profilului de risc si prin stabilirea tipului de strategie, Comisia de monitorizare, intocmeste, anual, un Plan de implementare a mésurilor de control, care cuptinde riscurile semnificative/strategice din cadrul entitiii publice. Astfel, Secretariatul tehnic al Comisiei de Monitorizare primeste masurile de control de la responsabilli cu riscurile de la nivelul fiecérei structuri pentru elaborarea Planului de implementare a meisurilor de control. F02 PS 100 04 Anexa nr. 2 cuprinde: = denumirea riseului Planul de masuri, prezenta * mdsurile de control = termenele de implementare * responsabilii cu implementarea miisurilor de control ‘Nota: Planul de masuri poate sa cuprinda inclusiv recomandarile cu privire la masurile de control, cupringe in rapoartele de audit (structura interna de audit; Curtea de Conturi; Autoritatea de audit; structurile de audit ale Comisiei Europene).Editia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nr.de exemplare - Pag_ 26 din exempiarul nf, 2 MANAGEMENTUL RISCULUL Exemplarul nr. 2 Responsabilii cu implementarea mAsurilor de control il informeazi ori de céte ori este cazul, pd seful compartimentului si pe presedintele Comisiei de Monitorizare, cu privire la stadiul implementarii masurjlor de control. Dupa aprobarea Planului de implementare a mésurilor de control, Secretariatul tehnic al Comistei de Monitorizare transmite conducatorului compartimentului, un exemplar al acestuia, pentru aplicare. Procesul de monitorizare cuprinde stadiul implementarii masurilor de control prevazute in Planul de mésuri. Pe parcursului intregului an, monitorizarea implementirii masurilor include analiza stadiului acestora, precizarea dificultajilor intémpinate, actiunile noi propuse precum si conscmmarea datei la care s-a efectuat evaluarea. Responsabilul cu riscurile il informeazi, ori de céte ori este cazul, pe conducitorul compartimentului de la Primul nivel de conducere, asupra stadiului implementirii misurilor de control. 8.43.4 Revizuirea si raportarea periodica a riscurilor in cadrul procesului de revizuire, responsabilul cu riscurile pe compartiment, asigura analizarea stadiului implementirii masurilor de control, a eficacititii acestora, precum $i reevaluarea riscurilor din sfera lor de responsabilitate, ori de cate ori este cazul, sau cel putin o dati pe an, in urmatoarele situati: a) riscurile persisti; b) au aparut riscuri nois ©) impactul si probabilitatea riscurilor au suferit modificiri, caz in care responsabilii de rise revizuiese calificativele riscurilor (expunerea la risc); ) masurile de control ineficiente; ©) modificarea termenelor pentru implementarea masurilor de control; f) anumite riscuri trebuie escaladate la nivelurile de management superioare; 2) se impune reprioritizarea riscurilor, h) riseurile tratate pot fi inchise, ca urmare at “ constatirti, de catre membrii Comisiei de monitorizare, a elimindrti cauzelor care favorizau apdyitia rriscurilor respective; " renunjérit la unele activititi la care erau asociate riscurile respective; "alte situagit, motivate. Raportarea anuali/semestriala a riscurilor se realizeaza pe doud nivele: 2) Ia nivelul compartimentului de Ja primul nivel de conducere — de cétre responsabilul cu riscurile, printt-un Taport asumat de conducdtorul compartimentului si care se transmite Secretariatulué tehnic al Comisiet de monitorizare, ») la nivelul institutului — de eatre Secretariatului tehnic al Comisiet de monitorizare, pe baza rapoartelor de la compartimente informeaz conducatorul entititii asupra stadiului procesului de gestionare a riscurilor.Baigia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 ‘PS 100-04 TReviziar 1 Nr.de exemplare - | Pag 27 din exemplarul ne, 2 MANAGEMENTUL RISCULUT Exemplarul ar. 2 | Raportarea cu privire la procesul de gestionare a riscurilor la nivelul compartimentelor, se realizea2A prin claborarea unor rapocrte anuale/semesiriale, de citre responsabilii de riscuri care cuprind o sintezi a activititilor desPisurate, conform structurii de la punctul 8.2.2.4. din actuala procedura Secretarul tehnic al Comisiei de Monitorizare, elaboreazi anual Informarea privind desfiisurarea procestilui de Bestionare a riscurilor $i monitorizarea performantelor la nivelul entitift, pe baza rapoartelor transmise de cdtre compartimente, care cuprinde: + analiza riscurilor identificate si gestionate la nivelul structrilor: * monitorizarea obiectivelor $i activitiqilor prin intermediud indicatorilor de performanta la nivelul structarilor Informarea privind desfasurarea procesului de gestionare a riscurilor si monitorizarea performangelor la nivelul entitéfii elaborati se discuté si se analizeaza in sedinta Comisici de monitorizare si se transmite spre aprobare presedintelui Comisiei de Monitorizare si Managerului spre a fi analizat in Comitetului Director. 8.4.4. Derularea operafiunilor si actiunilor activitiii 8.4.4.1. Mediul pentru Managementul riscurilor Pentru stabilirea mediului corespunzator in vederea implementarii cu succes a managementului riscurilof este necesar: ¥ de a.ereste gradul de constientizare. In acest sons, se va participa la diferite evenimente si seminare de informare, se va acorda atentia cuyeniti instructiunilor, se vor desemna persoanele relevante pentru participarea la astfel de sesiuni. ¥ — deainstrui Astfel, se vor organiza si desfigura actiuni de informare si seminarii de instruire pentru conducktorii compartimentelor de toate nivelele, cat si prezentarea Strategici de management al riscurilor, din momentul cénd acesta este disponibila. De asemenca, este necesar de a asigura transparenta prin acces liber pentra. toti angajatii entitafi la Strategia de management al riscurilor. ¥ dea numi responsabili Se va numi o persoana sau se va forma un grup de lucru responsabil de implementarea sistemului de ‘management al riscurilor in institut. Se vor stabili modalititile de rapoarte/ informare a managerului. ¥ dea dediea timpului si interesului suficient si de a aloca resursele necesare ‘Mediul este complet in momentul in care toate persoanele sunt constiente de faptul ca managementul riscurilor a devenit o prioritate si va fi luat in considerare in vederea cresterii rlspunderii tuturor persoanelor. 8.4.42 Suecesiunea operatiunilor si acfiunilor activititii de gestionarea a riscurilor este urmitoarea $i se poate urmarii cu ajutorul diagramei de proces:Faijia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 Nede exemplare - Pag 28 din exempiarul nf. 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 1. La nivel de structura persoanele care identificd riscul, completeazii Formularul de alerta la rise tn care se descrie riseul, propun masuri de control si inainteaz8 formularul responsabilului de rise impreuna cu documentafia de fundamentare a riscului (daca este cazul). 2, Responsabilil de rise completeazi Formularul de alerti la rise cu propuneri privitoare la. tipul de raspuns. 3. Conducitorul structurii aprobs Formularul de alert la rise, rispunsul la tise (strategia de gestionere a riscului) si masurile de control. 4. Responsabilul de rise intoemeste Registrul de rise pe structura cu nivel de rise inerent si strateia de gestionare aferenti. 5. Conducatorul structurii aprobi Registrul de riscuri pe structuri $i il inainteaz Secretarului tehnic al Comisiei de Monitorizare, impreund cu masurile de control propuse. 6. Secretarul Comisiei de Monitorizare intocmeste Registrul de riscuri cu rise pe institut in| baza registrelor de riscuri de la nivelul structurilor, respectand nivelul de tolerant stabilit in cadrul comisiei 7. Secretarul Comisiei de Monitorizare intocmeste Planul de masuri de control la nivel de institit in baza propunerilor de masuri venite de la nivelul structurilor si il supune aprobarii comisiei, dupa care il difuzeaza conducartorilor de structuri pentru implementare si monitorizare. 8. Responsabilul de rise pe structuré la finalizarea temenului de implementare a planului de mbsuri, ‘impreuna cu conducdtorul structurii si cel care a identificat riscul stabileste nivelul de tise re actualizarii Registrului de riscuri pe compartiment. La sfirsitul anului responsabitul de ris revizuieste riscurile si actualizeazi daca este cau Registrului de riscuri pe compartiment, 9. Responsabilul de rise pe structuri elaboreaz Raportul anual privind procesul de gestionare a riscurilor pe compartiment, pe care il transmite spre aprobare conducdtorului compartimentului. 10. Secretarul Comisiei de Monitorizare analizeazi si centralizeaz’ Rapoartele anuale privind desféigurarea procesului de gestionare a riscurilor de la nivelul compartimentelor si elaboreazi Informarea Privind desfasurarea procesului de gestionare a riscurilor si o transmite spre avizare presedintelui CM silspre aprobare conduc&torului entit 9. Responsabilitii si rispunderi in derularea aetivititii ‘Un sistem de management al riscurilor presupune: Y __identificarea riscurilor semnificative, care impiedica realizarea obiectivelor; Y —__evaluarea impactului potential si probabilitayii materializarii acestorriscuris Y —_convenirea asupra unor actiuni de controlare/ gestionare a riseurilor respective; Y —__asigurarea finerii unui Registru al riscurilor, inclusiv inscrierea in acesta a actiunilor necesate gi persoanelor responsabile; Y —__ evaluarea si revizuirea rezidiurilor pentru a decide daca sunt necesare actiuni suplimentare;Edifia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizia: 1 | Nr.de exemplare - Pag 29 din exemplaral nf. 2 CULUL Exemplarul nr. 2 MANAGEMENTUL RIS Y —_snalizarea si actualizarea cel putin o data pe ana @ activtitilor de control ce au scopel de a minimiza riscurile; Y —__ monitorizarea continua a riscurilor, ca parte a managementului de zi cu zi al ativittitor: Y _revizuirea ce regularitate insisi a sistemului de management al riscurilor 9.1. Manageral * _ stabileste vulnerabilitijile si ameninfarle aferente obiectivelor si activitiilor, care pot afecta atingerea acestora * _ organizeaza si implementeazi un proces eficient de management al riscurilor * aprobi profilul de rise al entitatii si limita de toleranté la rise; + aprobit Registrul de riseuri pe entitate * aprobi Planul de implemenatre a méisurilor de control. " analizeazi si aprobi Informarea privind desftisurarea procesului de gestionare a riscurilor si monitorizarea performanjelor la nivelul entiigit 9.2. Reprezentantii Compartimentului de Audit Intern: * participa, in calitate de invitat permanent, firk drept de vot, la sedintele Cor * fac recomandari pe parcursul misiunilor de audit, in vederea imbunatitirii controalelor existente si ici de monitorizare; urméireste indeplinirea recomandirilor. 9.3. Presedintele Comisiei de monitorizare * rispunde de buna si corecta desftsurare a intregului procesul de management al riscurilor ‘* monitorizeaza procesul de gestionare a riscurilor * avizeazd Regulamentul de organizare i de functionare a CM; * emite ordinele de zi ale sedintelor CM, conduce sedintele si aproba procesele-verbale/deciziile/mimutele sedintelor; © avizeazi Registrul de riscuri pe entitate; + avizeaza profilul de rise si limita de tolerangé la risc, discutate in CM; © avizeazi Planul de masuri; * analizeazé si avizeaza Informarea privind desftésurarea procesului de gestionare a riscurilor de la nivelul entitagi. 9.4, Secretarul Comisiei de monitorizare * claboreaz procedura CM gi o transmite presedintelui CM, pentru avizare; * organizeaz sedintele CM, in vederea analizarii si tratarii riscurilor gi intocmeste procesele verbale/decizii/minute ale intalnirilorEditia: TV PROCEDURA DE SISTEM Nr. de exemplare 2 PS 100-04 | Revizia: | Nr.de exemplare - Pag 30 din exempiaral nf. 2 Exemplarul nr. 2 * analizeaz Registrele de riscuri de la nivelul compartimentelor si selecteaza riscurile medii si rificate, in vederea elaboririi Registrului de riscuri de la nivelul entitifit pe care il transmite spre avizare presedintelui CM si spre aprobare conducditorului entititi; ‘+ propune profilul de rise si limita de toleranga la rise; * elaboreaza Planul de mitsuri cu riscurile situate deasupra limitei de toleranf, il transmite presedintelui (CM pentru avizare si conducdtorutui entitatii pentru aprobare; * transmite cdtre compartimente Planul de masuri aprobat pentra implementare; + monitorizeaz& procesul de gestionare a riscurilor; * analizeaza si centralizeaza Rapoartele anuale privind desfésurarea procesului de gestionare a risqurilor de la nivelul compartimentelor; * claboreazi Informarea privind desfasurarea procesului de gestionare a riscurilor si o transmite spre avizare presedintelui CM 9.5. Membrii Comi © asigura implementarea etapelor aferente procesului de management al riscurilor; © analizeazé Registrul de riscuri pe entitate; * analizeaza si decid asupra profilului de rise gi limitei de tolerant la rise; ‘+ analizea7a rapoartele de audit, retinandu-se riscurile identificate prin acestea si masurile recomandate 2 fi implementate, funotie de caz; 9.6. Conduedtorul compartimentului/biroului/serviciului/sectiei ‘* aspunde de buna si corecta desftisurare a procesului de gestiune a riscurilor de la nivelul structurii ‘ desemneaza responsabilul cu riseurile de Ja nivelul compartimentului / biroului serviciului / sectiet; © analizeazai, evalueaza si decide asupra riscurile incluse in Formularele de Alert& la Rise; ‘* aproba RR la nivelul compartimentului/biroului/serviciului/sectiei; * aproba si transmite catre Comisia de monitorizare masurile de control spre a fi incluse in Plant de implemenatre a méisurilor de control * este responsabil cu monitorizarea implementarii masurilor de control specifice compartimentulul din Plamul de implemenatre a masurilor de control la nivel de institute. ; © aprobi Raportul anual privind procesul de gestionare a riscurilor pe compartiment, pe care il transmite Secretariatului tehnic al Comisiei de Monitorizare. 9.7. Responsabilul cu riscurile de la nivelul compartimentului/biroului/serviciului/sectiet * colecteazi Formularete de alerta la rise si documentatiile aferente de la persoanele care au identificat riscurile din cadral compartimentuluis © analizeaza fiecare Formular de alerta la risc, evalueazi expunerea Ia rise pe baza probabilitii si impactului riscului $i transmite conducdtorului Formularele de alerta la rise;Edifia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 | Revizia: 1 Nr.de exemplare - | Pag 31 din exemplarul ni, 2 MANAGEMENTUL RISCULUI Exemplarul nr. 2 formuleazi o opinie cu privire la tipul de rispuns la rise (strategia adoptata) si msurile de control, pune in practica decizia conducdtorului privind riscul identificat; elaboreaza gi transmite Registrul de riscuri pe compartiment conducdtorului acestuia; ‘transmite Secretariatului tehnic al Comisiei de Monitorizare Registrul de riscurt pe compartiment aprobat; ‘urmareste stadiul implementirii masurilor de control si contribuie Ja implementarea masurilot de control; revizuieste riscurile, cfind este cazul sau la sférsitul anului, in vederea actualizarii Registrului de riscuri ‘pe compartiment; elaboreazi Raportul anual privind procesul de gestionare a riscurilor pe compartiment, pe care il ‘ransmite spre aprobare conducatorului compartimentului. 9.8. Persoana care a identificat un rise efectueaza urmatoarele operatiuni: elaborarea Formularului de alerté la rise © identificarea si descrierea riscului aftrent obiectivului/activitayi: © analizarea preliminara a riscului identificat; © identificarea cauzelor care favorizeaza aparitia / repetarea acestuia; © identificarea consecintelor aparitieiriscului identificat; © evaluarea preliminaré a expunerii la rise pe baza probabilitétii si impactului riscuhti, in conformitate cu "Metodologia de management al riscurilor”; ropune masuri de control necesare a fi luate pentru a controla riscul idemtificat; transmite Formularul de alerta la rise responsabilului cu riscurile pe compartiment, atasand la abesta documentatia utilizata pentru fundamentarea riscului; contribuie la implementarea misurilor de control aprobate prin Planul de méisurt, Nr. | Compartimentul(postuly/ acfiunea T 7 i W v vi ert. (operatiunes) 0 1 z 3 4 3 6 a 1 | a—Secretaral Comisiei de Elsboreazi Monitorizare SCIM : '3_| & Comisiei de Monit Verificd 3 | &Presedintele Comi ‘Avizeazi Monitorizare 4 [d— Manager = ‘Aproba 3 | e— Sectiile/Servicile! ‘Aplicd Compartimentele &_[f=sMcsM : [ArhivescaPS 100-04 PROCEDURA DE SISTEM Faifia: 1V Nr. de exemplare 2 Revizia: 1 Nr-de exemplare - MANAGEMENTUL RISCULUL Exemplarul nr. 2 Pag 32 din exemplarul ni. 2 10. Indicatori de eficient Jucrurile care trebuie), si eficacitate ale proceselor. (Eficienfa = a face lucrurile cum trebuie, Eficacitate a face Indicator Obicctivul ‘An | Abaterea fe la anual stabilit obiectiy Nols de riscur prelicte fa regis de sear | oa, Ja nivel de institut Ta uftima actualizare a} Yaloare registrului de riscuri Nomar de instruiri referitoare Ta registral de | Valoaro a riscurirealizate caleulati ?Ponderea riscurilor cu nivel de rise rezidual mai | mic decat nivelul de rise inerent biiseenibadee [Numar de misuri de diminuare a risculat 2. Indicator de | implementate/ numar total masuri la ultima : eficacitate actualizare a registrului de riscuri in planul de | Provent 100% | msuri | Numa de riscuri inerente eu expunere mai mare | Valoare sau egal cu 6 / numa total riscuri calcula | 11. Anexe, faregistrari, arhiviri 7 iz Cod | Denumirea | Elaborator | Aprobat | Nr.de ] Difuzare “Arhivare ‘Alte anexa anexei Ex. ie =e [eperioaaal 0 1 2 3 4 6 7 8 FO1PS | Formularulde | Persoana care | Conductor 1 Arhiva | Sani 10004 | alert larise | identifica structurd riscultRespons abil rise ROI PS | Registrul de | Responsabil de} Conducdtor 2 | Tanivel | Ackna 1 Sant 10004 | riscuri riscuri structur! structuti sila Presedinte Secretariatul CM, Avizat tehnic CM : Manager FO2PS | Planul de Manager, 1 |Tanivetsi [Arhiva Sani 10004 | implementare | riscuri Avizat structurit amasurilor de | Presedinte control cM R02 PS | Raport privind | Responsabil ‘Conducitor 1 | Lanivelul Arhiva [5 ani 10004 | desfasurarea | rise structari structuri sila procesalui de Seeretariatul gestionare a tehnic CM riscurilor RO3PS | Informarea | Secretar CM | Avizare 1 [Lanivet [Arhiva | Sani 10004 | privind presedintei Comiteratui Sesfisurarea Msi Director procesului de aprobare gestionare a Manager tiscurilor si ‘monitorizarea performantelor Ja nivelol enti || Editia: 1V PROCEDURA DE SISTEM _| Nr. de exemplare 2 PS 100-04 Revizias Nr.de exemplare - Pag 33 din exemplarul nf. 2 MANAGEMENTUL RISCULUI | Exemplarul nr. 2 INSTITUTUL DE PSIHIATRIE SOCOLA IASI FOI PS 10004 Nr. IANA es FORMULAR DE ALERTA LA RISC FAR Compartimentul: DETALI PRIVIND RISCUL Deserierea| Riscul identifica: riseului ‘Objectivul specific: Cauze: Z ‘Consecinge: Evaluarea risculul uarea probababilitatii de aparitie Evaluarea impactului 1, Sedzut G ($1); 2. Medie (1 (M2); 3. Ridicats © (R3); 1. Soizutd © (S1); 2. Medie 0 (M2); 3. Ridicata 6 (R3);, ‘Expunerea la rise 9 SS(1) 6 SM@) 6 SRG) o MS) Go MM(@) 5 MR(6) 0 RS(3) 0 RM(6) 5 RR(9) 1 Retinere pentru gestionare | Opin co BETA | & Ciasare | 1D Acceptare a ree eI | Escalade SD Monitorizare eee Tipol de rispuns a rise | © Evitare (strategiaadoptaty | are ‘Misuri de control recomandate Documentatia utilizaté pentru fandamentarea | risculut identificat*): l Persoana eare identifica Responsable ca ale teal a ‘Conducatorul compartimentuli | Data intocmirii FAR: ‘Data primirii FAR: Decizia conducatoralai O Clasare OF scaladare Retinere pentru gestionareste bf ataundxa ~ sped ~ | iqugord — a std Inagoayy a fove-rlorle| ¢ | 2 |smolslr) e z r/o nose a | Ila done aolija weno | ae vaieaiosgo | reaps om wasn ang | 2049 iason |iees Qa OVNVIN “LVZIAV 0 001 Sa Tow PANOSRA Aa INALSLOA {WO ampasorg, AV8OWaV semen 1N ISVI V1090S ARLLVIHISd Ad TALOLLLSNI Za aejduiaxg Z_'R_jnsejdwoxo wp pe Bog Ws INTADSNA TALNAWADVNVIN = SWu|CUONS SPIN Ltyisoy 7 oanduuoxo ap “aN, ADD 0-001 St WALSIS Ad VUNGIOONdvaujusugidayns | oaeywomoyduny “uo whear9sqo | oqusuodsos ajauvosiog | ap auamuay, Toxju09 sp nse | ost agyumusg | aN, ‘TOUINOD Ad YOTANSYW ¥ TUVINAWW TGA Td TONY Td Wo ammpasang SOVNVIN ivaouay “LYZIAV 0.001 Sd Za ISVI V10908 ARLLVIHISd Ad TALOLLLSNI Za nayjduiaxg INTNDSNA TALNIWGDVNVIN 7m juejduaxa wip g¢_ eq ~ aim] TWUSNS SPIN Oe. 70-001 Sd T aanpduaxs op ayy W&LSIS da VandaONd L AIP | a |] Edifia: 1 ] | PROCEDURA DE SISTEM _| Nr. de exemplare 2 | PS 100-04 Revizia: | Nr.de exemplare - P 36 din exemplarul_nr, 2 MANAGEMENTUL RISCULUI COMISIA DE MONITORIZARE ASCIM | Exemplarul nr. 2 INSTITUTUL DE PSUHIATRIE SOCOLA LASI R02 PS 100/04 Ne. Data RAPORT PRIVIND DESFASURAREA PROCESULUI DE GESTIONARE A RISCURILOR RAPORT DE ANALIZA A RISCURILOR IDENTIFICATE ‘SIIMPLEMENTARE A MASURILOR DE DIMINUARE A ACESTOR RISCURI iN CADRUL. 7 Participanti la sedinfa de analiza: Conductor structur : Responsabil riscurt... svn Asistenta gef% (pentru sectii):.... ee Perioada analiza Scopul elabori + Analizariscurilor identificate la nivelulstructurii sia implementiri masurilor de diminuare a riscuritor = Informarea conduceri privtor la modul in care au fost gestionare riscurile la nivel strueturi Setul de date utlizat in vederea analizei (indicator): ‘Numa de rscuri preluate fn registra de riscur a nivel de institut la ultima actualizare a registrului de viseurh Numar de instr referitoare la registul de rscurireaizate Ponderea riscurilor cu nivel de rise rezidual mai mic decit nivelul de rise inerent ‘Numar de masuri de diminuare @riscului implementate/ numér total masuri la ulima actualizare a registrului de riseuti in planul de misur Numar de riscuri inerente eu expunere mai mare sau egal eu 6 / numa total riscuri Analiza procesului de gestionare a riscurilor In anul » in cadral THsCti nen 1. Sinteza Registrului de riscuri ferent anului reports = numer total de riscut...... + numar de riscur tolerate... + mumar de riscuri monitorizate.. + numar de riscuri trata... sseervsor au fost identificate in cadrul registrulvi de numa de riscur eliminate es 7 ‘numir de riscuri not identifcate + mumar de riscuri care se preiau in unmitorul egistu.. 2. Analiza indicatorlor mentionati Indicator [Valoare | Obiectiv Abatere. Masuri } ‘Numar de Fscurt preluate in regiral de riscuri la nivel de institut la ultima Ctntaz | Neca |, .Cetonaren corespunzitpare a actualizare a registrului de rscuri_ ci binds 7 : Numar de instar referitoare la ae Tnstrazea triregull personal de ele registra de rscur realizate eee, | Nuecazil | responsabifal de rise impréuni cu : conduestorul stractui Ponderea riscurilor eu nivel de rise oND a rezidual mai mic decat nivelul de rise (Goate riscurite an | © Mentinerea misurilor de ¢ontrol inerent nivel rex! mat rie dot cel Proceat ‘esr 100% © Identificare de misuri suplimentare SDA (o parte din pentru riscurile la care riscului rezidual riseuriauaivel |” nu este mai mic dedt cel inerent rexidl mai mic (conform FUR) dit el nee