Contextul general

Persoanele responsabile de activităţile şi acţiunile specificate în fişele de post sunt răspunzătoare şi de riscurile asociate acestora, atât de riscurile identificate, cat şi de riscurile noi, care pot să apară.

Riscurile se relaţionează la acţiunile specifice din structura activităţilor, în strânsă legătură cu obiectivele pentru a putea fi evaluate şi prioritizate.

Conducătorul compartimentului desemnează un responsabil cu riscurile la nivelul acestuia, care colectează riscurile identificate şi evaluate de către fiecare persoană din cadrul compartimentului.

Responsabilii cu riscurile de la nivelul compartimentelor consiliază personalul din cadrul acestora pentru identificarea, evaluarea, analiza şi raportarea riscurilor, conform prevederilor art. 5 alin (2) din OSGG nr. 400/2015 cu modificările şi completările ulterioare.

Responsabilii cu riscurile de la nivelul compartimentelor, pe baza riscurilor colectate, elaborează registrele de riscuri pe compartimente, pe care le actualizează anual.

Activitatea de supervizare a riscurilor se realizează de către conducătorii de compartimente, respectiv managementul de linie (direcţii, servicii, birouri şi compartimente), care aprobă registrele de riscuri pe compartiment.

Riscurile ataşate activităţilor şi acţiunilor se gestionează, pe tot parcursul anului, de persoanele care au aceste activităţi şi acţiuni în fişele de post şi se raportează, la sfârşitul anului, responsabilului cu riscurile de la nivelul compartimentului.

La nivelul entităţilor se organizează prin decizie internă Echipa de gestionare a riscurilor (EGR) în coordonarea preşedintelui EGR, care cuprinde conducătorii de compartimente sau reprezentaţii acestora, împreună cu responsabilii de riscuri, precum şi secretarul EGR şi înlocuitorul acestuia, în conformitate cu art. 5 alin. (4) din OSGG nr. 400/2015 cu modificările şi completările ulterioare.

Secretarul EGR şi înlocuitorul acestuia, sunt numiţi de către preşedintele EGR dintre responsabilii cu riscurile de la nivelul compartimentelor.

Responsabilii cu riscurile de la nivelul compartimentelor, transmit registrele de riscuri pe compartimente, aprobate de către conducătorul compartimentului.

Secretarului EGR elaborează Registrul de riscuri pe entitate, prin centralizarea registrele de riscuri pe compartimente, anual, de la nivelul entităţii şi îl transmite preşedintelui EGR în vederea aprobării.

Secretarul EGR trebuie să se asigure că în orice activitate au fost identificate riscurile asociate acţiunilor componente, care se consemnează în Registrul de riscuri pe entitate.

Registrul de riscuri pe entitate trebuie să fie accesibil personalului de conducere şi trebuie să ofere elementele necesare pentru luarea deciziilor adecvate pentru diminuarea riscurilor care pot afecta realizarea obiectivelor stabilite.

Identificarea riscurilor

Întreg personalul identifică, evaluează (prin elaborarea Formularelor de alertă la risc) şi revizuieşte (la sfârşitul anului) riscurile; formulează o opinie cu privire la gestionarea riscurilor identificate, care se discută în EGR şi aplică măsurile de control, aprobate în EGR.

Analiza Formularelor de alertă la risc presupune:

  • clasarea riscului, dacă riscul este nerelevant;
  • escaladarea riscului la nivele superioare ale managementului, dacă riscul afectează un obiectiv superior celui stabilit la nivelul compartimentelor;
  • măsurile de control al riscurilor, care exced competenţele compartimentelor în cauză sau când  resursele sunt insuficiente.

Identificarea riscurilor implică atât identificarea iniţială a riscurilor pe acţiunile specifice activităţilor, care contribuie la realizarea obiectivelor, cat şi identificarea unor noi riscuri, datorate schimbărilor organizatorice şi/sau modificărilor legislative.

Activitatea de identificare a riscurilor se realizează de către responsabilii de activităţile prevăzute în fişa postului, care se mai numesc şi proprietarii de riscuri.

Activitatea de identificare a riscurilor se realizează  prin autoevaluarea riscurilor de către persoanele implicate în realizarea activităţilor/acţiunilor respective, stabilite în fişele de post, prin diagnosticarea riscurilor cu care se confruntă zilnic.

Identificarea riscurilor se mai poate realiza şi prin analiza şi discutarea riscurilor în cadrul compartimentului, împreună cu responsabilul cu riscurile pe compartiment, în coordonarea conducătorului compartimentului.

Pentru elaborarea Registrului de riscuri se utilizează modelul prezentat în Anexa 2A – Registrul de riscuri din OSGG nr. 400/2015 cu modificările şi completările ulterioare.

În coloana 1 din RR, se completează obiectivele, activităţile şi acţiunile din fişa postului, la prima completare a Registrului de riscuri, iar ulterior numai obiectivele şi activităţile.

În coloana 2 din RR se completează riscurile care se ataşează la acţiunile şi/sau a activităţile din coloana 1.

În coloana 3 din RR, la fiecare risc, se prezintă cauzele care favorizează apariţia riscurilor.

În acelaşi timp, aceste date pot fi preluate din Lista activităţilor, acţiunilor şi riscurilor din Etapa a 3-a a procesului de implementare şi dezvoltare a sistemului de control intern managerial, elaborate de fiecare compartiment în parte, centralizate şi arhivate de către secretarul Comisiei de monitorizare.

Evaluarea riscurilor

Prin evaluarea riscurilor conducerea pune în balanţă consecinţele pozitive şi negative ale riscurilor identificate, ceea ce îi permite să ia deciziile cele mai potrivite pentru atingerea obiectivelor, stabilindu-şi astfel strategia de risc.

Evaluarea riscurilor se realizează de către fiecare salariat pentru activităţile şi acţiunile din fişa postului, se verifică de responsabilul cu riscurile pe compartiment şi se analizează şi avizează de către conducătorul compartimentului cu ocazia aprobării Registrului de riscuri de la nivelul compartimentului.

Responsabilii de activităţi/acţiuni din fişa postului sunt şi proprietarii riscurilor ataşate acestora, în conformitate cu Standardul 8 – Managementul riscului din OSGG nr. 400/2015 cu completările şi modificărilor ulterioare.

Evaluarea riscurilor presupune analizarea riscurilor structurate pe activităţi în cadrul obiectivelor prin înţelegerea modului în care acestea funcţionează şi a modului în care trebuie să fie administrate.

Activitatea de evaluare a riscurilor presupune evaluarea, atât a riscurilor financiare sau a riscurilor cu conotaţii financiare, cât şi a riscurilor de imagine, riscurilor de reputaţie, riscurilor de brand ş.a. a căror evaluare este subiectivă, într-o mai mare proporţie decât a celor financiare.

Evaluarea riscurilor permite o clasificare a acestora şi stabilirea priorităţilor în vederea limitării apariţiei unui risc major. Evaluarea şi prioritizarea riscurilor identificate se realizează pe baza componentelor bidimensionale ale riscurilor: probabilitate (factor calitativ) şi  impact(factor cantitativ).

Evaluarea probabilităţii de apariţie a riscurilor pe cele 3 niveluri:

Nr. crt. Nivel probabilitate Explicaţie
1 Scăzută Este puţin probabil să se întample pe o perioadă lungă de timp (3 – 5 ani);
s-a întamplat de foarte puţine ori pană în prezent
2 Medie Este probabil să se întample pe o perioadă medie de timp (1- 3 ani);
s-a întamplat de cateva ori în ultimii 3 ani
3 Ridicată Este probabil să se întample pe o perioadă scurtă de timp (< 1 an);
s-a întamplat de cateva ori în ultimul an

 

Evaluarea impactului riscurilor structurat pe cele 3 niveluri:

Nr. crt. Nivel  impact Explicaţie
1 Scăzut Cu impact scăzut asupra activităţilor direcţiei şi îndeplinirii obiectivelor şi/sau cu impact financiar foarte scăzut
2 Mediu Cu impact mediu asupra activităţilor direcţiei şi îndeplinirii obiectivelor şi/sau cu impact financiar mediu
3 Ridicat Cu impact major asupra activităţilor direcţiei şi îndeplinirii obiectivelor şi/sau cu impact financiar major

 

Clasificarea riscurilor se evaluează pe trei niveluri, respectiv: ridicat, mediu, scăzut, pentru fiecare risc, care conduc la o matrice 3 x 3, prezentată în figura 1 – Matricea riscurilor.

Probabilitate Ridicata
Medie
Scazuta
Scazut Mediu Ridicat
Impact

Figura nr. 1 – MATRICEA RISCURILOR

În coloana 4 şi respectiv 5 a RR responsabilii de activităţi îşi evaluează pentru fiecare risc probabilitatea de apariţie la risc, care poate fi 1, 2 sau 3 şi impactul, în situaţia apariţiei riscului, care poate fi de asemenea 1, 2 sau 3.

In coloana 6 din RR, pe baza celor două componente, se determină expunerea la risc, care reprezintă produsul dintre probabilitate şi impact.  Expunerea la risc reprezintă valoarea riscului inerent pentru orice acţiune din structura activităţilor în absenţa măsurilor de control. Riscurile evaluate de către fiecare salariat pentru propriile activităţi/acţiuni din fişele de post se înscriu în  formularele RR, care se transmit responsabilului cu riscurile în vederea elaborării RR de la nivelul compartimentului.

În coloana 7 din RR, proprietarul de riscuri stabileşte strategia de risc pentru riscurile inerente identificate, care poate fi: acceptare, tratare, transferare, încetarea activităţilor sau identificarea oportunităţilor.

În coloana 8 din RR, proprietarul de risc menţionează data ultimei revizuiri a riscului, care în conformitate cu legislaţia în vigoare, este sfârşitul anului. În timpul anului, toate riscurile care impun revizuirea sau actualizarea se monitorizează pană în luna decembrie a anului în curs, când pot fi modificate sau actualizate în şedinţa EGR.

În coloanele 9-11, se menţionează valoarea riscului rezidual, care este riscul rămas ca urmare a aplicării strategiei de risc din coloana 7 a RR. De regulă, se anticipează o scădere a valorii riscului inerent cu o treaptă şi acesta este riscul rezidual anticipat de proprietarul de riscuri şi acceptat de responsabilul cu riscurile pe compartiment.

Aşadar, evaluarea riscurilor presupune, în primul rând, identificarea riscului inerent (coloanele 4-6 din RR) şi apoi, în al doilea rând, determinarea riscului rezidual (coloanele 9-11 din RR), pentru stabilirea priorităţilor acestora în cadrul organizaţiei.

În coloana 12 din RR, se menţionează eventualele riscuri secundare care au apărut în procesul de gestionare a riscurilor pentru a fi evaluate şi monitorizate în anul următor.

Prioritizarea riscurilor este o activitate care se planifică şi se urmăreşte pe parcursul anului şi se evaluează la sfârşitul anului odată cu actualizarea şi revizuirea riscurilor.

Evaluarea riscurilor se modifică pe parcursul procesului de gestionare a riscurilor pe măsura tratării acestora, dar actualizarea riscurilor se realizează la sfârşitul anului.

Evaluarea riscurilor trebuie să acopere toată gama de riscuri din cadrul entităţii, respectiv la toate nivelele ierarhice, pană la cel mai înalt nivel.

Conducătorul compartimentului, cu ocazia aprobării RR pe compartiment, evaluează activităţile de control prestabilite şi analizează efectele monitorizării riscurilor la nivelul entităţii pentru anul următor.

Strategia de risc

Controlul riscurilor se realizează cu scopul de a transforma incertitudinile într-un avantaj pentru entitate limitând nivelul ameninţărilor.

Responsabilul de risc pentru a stăpâni evoluţia acestora trebuie să-şi stabilească o strategie de risc, ceea ce înseamnă implementarea măsurilor de control pentru supravegherea evoluţiei riscurilor, în coloana 7 din RR.

Măsurile de control se concretizează atât prin măsuri de minimizare a riscului inerent, cât şi prin măsuri care să corecteze eventualele evaluări neconforme şi rezultate nedorite.

Planul de implementare a măsurilor de control elaborat de către secretarul EGR cuprinde acţiunile/măsurile ce trebuie luate pentru atenuarea riscurilor identificate şi termenele limită pentru implementarea acestora, care întocmeşte apoi Informarea privind procesul de gestionarea riscurilor în vederea aprobării de către Comisia de monitorizare.

Măsurile de control care pot fi implementate se grupează în următoarele categorii de activităţi:

  1. Acceptare – tolerarea riscurilor fără luarea vreunei măsuri de control;
  2. Tratare – aplicarea unei măsuri de control care să menţină efectele riscului în limite acceptabile. Majorităţii riscurilor inerente li se aplică instrumente de control pentru ţinerea în frâu a riscurilor sau pentru diminuarea efectelor acestora. În practică, pentru tratarea riscurilor se utilizează următoarele categorii de instrumente de control:
    • instrumente de control preventiv, spre exemplu segregarea atribuţiilor, limitarea acţiunilor persoanelor neautorizate, externalizarea asigurării unor servicii;
    • instrumente de control corective, spre exemplu includerea unor clauze în contracte, asigurarea – pentru facilitarea recuperării unor sume în cazul materializării riscurilor, planurile pentru situaţii neprevăzute;
    • instrumente de control directiv, spre exemplu instruirea şi deprinderea personalului cu anumite abilităţi, asigurarea pregătirii profesionale a personalului în domeniile de specialitate;
    • instrumente de control detectiv, spre exemplu activităţi de inventariere, controlul reciproc şi încrucişat – pentru detectarea tranzacţiilor neconforme sau neautorizate, monitorizarea activităţilor de implementare;
  3. Transferare – reprezintă o activitate de reorganizare, astfel încât riscul să fie transferat   la o altă structură din entitate, care este mai capabilă sau specializată în gestionarea unor astfel de riscuri;
  4. Încetarea activităţilor – opţiunea încetării activităţii este relativ redusă, chiar dacă pentru unele activităţi sunt asociate riscuri însemnate, deoarece nu există o altă modalitate de obţinere a rezultatelor aşteptate;
  5. Identificarea oportunităţilor – această opţiune trebuie luată în considerare ori de cate ori un risc este tolerat, tratat sau transferat. Managementul de linie în procesul de gestionare a riscurilor, trebuie să identifice acele circumstanţe care nu generează riscuri şi pot să reprezinte chiar oportunităţi.

Strategia privind riscurile, prevăzută în legislaţia în vigoare, recomandă monitorizarea acestora în timpul anului şi modificarea valorii riscurilor din  coloana 8 din RR la sfârşitul anului.

Analiza și raportarea riscurilor

Riscurile se monitorizează pe parcursul anului şi se analizează cu ocazia raportării la sfârşitul anului când are loc şi activitatea de actualizare şi revizuire a riscurilor.

Conducătorii compartimentelor, care au decis escaladarea riscurilor transmit  Formularele de alertă la risc primite secretarului EGR pentru analiza în şedinţele EGR şi luarea măsurilor ce se impun.

După finalizarea acţiunii de analiză a riscurilor noi identificate, responsabilul cu riscurile transmite conducătorului compartimentului Formularul de alertă la risc, pentru discutarea în EGR, împreună cu documentaţia aferentă.

Responsabilii cu riscuri după monitorizarea propriilor riscuri în luna decembrie a anului în curs, evaluează dacă acestea s-au încadrat în riscul rezidual (rămas), anticipat şi hotărăşte reducerea acestora (clasarea riscurilor), menţinerea măsurilor de control stabilite sau întărirea măsurilor de control.

Proprietarii de riscuri, pe baza analizei, efectuate asupra activităţilor şi riscurilor pe care le gestionează, actualizează propriile riscuri pe care le transmit responsabilului cu riscurile de la nivelul compartimentului în vederea centralizării RR pe compartiment.

Actualizarea riscurilor se realizează în mod continuu, pe tot parcursul anului, prin monitorizare, dar modificarea RR pe compartiment se realizează anual, în luna decembrie, în cadrul EGR.

Responsabilii cu riscurile desemnaţi la nivelul compartimentelor au obligaţia de a transmite secretarului EGR Formularele de alertă la risc, pentru actualizarea Registrului de riscuri pe entitate.

Responsabilii cu riscurile de la nivelul compartimentelor transmit RR actualizat, secretarului EGR în vederea centralizării şi obţinerii RR pe entitate actualizat, la începutul, anului pentru anul în curs.

Conducătorul compartimentului aprobă RR pe direcţie sau pe entitate.

Elaborarea Registrul de riscuri pe entitate

RR de la nivelul entităţii reprezintă documentul prin care se atestă existenţa unui sistem de management al riscurilor şi că acesta funcţionează.

RR de la nivelul entităţii se realizează de către secretarul EGR prin agregarea tuturor registrelor de riscuri de la compartimentele din structura SGG.

RR de la nivelul entităţii elaborat de secretarul EGR se supune dezbaterii în şedinţele EGR şi se aprobă de preşedinte, după care se transmite spre informare preşedintelui Comisiei de monitorizare.

RR de la nivelul entităţii trebuie să fie întocmit astfel încât să fie uşor de examinat şi accesibil conducătorului entităţii, în vederea luării deciziilor adecvate pentru diminuarea riscurilor care pot afecta realizarea obiectivelor stabilite.

RR de la nivelul entităţii se actualizează anual şi se arhivează la secretarul EGR.

Stabilirea limitelor de toleranta la risc

Anual, CM analizează limitele de toleranţă aprobate şi, dacă este cazul, propune revizuirea acestora, cel mai târziu până la data de 15 decembrie a anului în curs.

Propunerile privind limitele de toleranţă revizuite se comunică conducerii entităţii pentru aprobare.

După aprobarea de către conducerea entităţii, secretarul CM transmite pentru aplicare, în termen de trei zile, noile limite de toleranţă, tuturor compartimentelor.

Toate riscurile trebuie controlate astfel încât expunerea la risc să se încadreze in limitele de toleranţă aprobate.

Explicaţiile asociate limitelor de toleranţă la risc se prezintă în anexe la Procedura de sistem privind Managementul riscurilor şi ele au caracter obligatoriu pentru compartimente şi operează până la o noua analiză şi revizuire a acestora, efectuată anual de CM.