Managementul riscurilor

 

 

Risc : efectul incertitudinii asupra realizării obiectivelor.

Riscul este adesea exprimat ca o combinaţie între consecinţele unui eveniment şi plauzibilitatea asociată de apariţie.

Un efect este o abatere pozitivă şi/sau negativă,de la o aşteptare.

Incertitudinea este starea,chiar şi parţială,a deficitului de informaţii legate de înţelegerea sau cunoaşterea unui eveniment,consecinţele sale,plauzabilitatea sa.

Managementul riscurilor : activităţi coordonate pentru a direcţiona o organizaţie în ceea ce priveste riscul.

Politica referitoare la managementul riscului : declaraţie cu privire la intenţiile şi orientările generale ale unei organizaţii referitoare la managementul riscului.

Plan de management al riscului : program inclus în cadrul organizaţional al managementul riscului care specifică abordarea ,componentele de management şi resursele care se utilizează în managementul riscului.

Procesul de management al riscului : aplicarea sistematică a politicilor,procedurilor şi practicilor de management la activităţile de comunicare,de consultare,de stabilire a contextului, precum şi identificarea, analiza ,evaluarea ,tratarea ,monitorizarea si revizuirea riscului.

A. Comunicarea şi consultarea : procese continue şi repetitive pe care o organizaţie le aplică pentru a furniza,a partaja sau a obţine informaţii şi pentru a se angaja într-un dialog cu părţile interesate în ceea ce priveşte managementul riscurilor.

B. Stabilirea contextului : definirea parametrilor interni şi externi care urmează să fie luaţi în considerare în managementul riscurilor,precum şi determinarea domeniului de aplicare şi a criteriilor de risc pentru politica referitoare la managementul riscurilor.

Contextul intern reprezintă mediul intern în care organizația urmarește să își atingă obiectivele.Acesta se recomandă să fie stabilit deoarece managementul riscului are loc în contextul obiectivelor organizației.

Parametri interni reprezintă contextul care poate cuprinde,dar nu se limitează la :

  • conducerea,structura organizatorică,roluri și responsabilități;
  • politici,obiective,precum și strategiile care sunt implementate pentru a le atinge;
  • capacitate referitoare la resurse si cunoșținte(capital,timp,personal,procese,sisteme și tehnologii)
  • sisteme de informații,fluxuri de informații și procese de luare a deciziilor(atât formale,cât și informale)
  • relații cu părtile interesate interne,perceptiile și valorile acestora;
  • cultura organizației;
  • standard,ghiduri și modele adoptate de organizație;
  • forma și amploarea relațiilor contractuale.

Contexrul extern reprezintă mediul extern în care organizația urmărește să iși atingă obiectivele.Intelegerea contextului extern este importantă pentru a se asigura luarea în considerare a obiectivelor și preocupărilor părților interesate externe în elaborarea criteriilor de risc.

Parametri externi reprezintă contextul care poate cuprinde,dar nu se limitează la :

  • mediul cultural, social, politic, de reglementare, financiar, tehnologic, economic, natural și concurențial, la nivel internațional, național, regional sau local;
  • factorii critici și tendințele cu impact asupra obiectivelor organizației;
  • relațiile cu părțile interesate externe, percepțiile și valorile acestora.

C. Evaluarea riscului : proces global care cuprinde identificarea riscului,analiza riscului şi estimarea riscului.

1. Identificarea riscului : proces de descoperire,recunoastere şi descriere a riscurilor.

Identificarea riscurilor implică identificarea surselor de risc,a evenimentelor,a cauzelor şi a potenţialelor consecinţe.

  • Sursa riscului : element care,singur sau în combinaţie cu altele,are potenţialul intrinsec de a produce un risc.
  • Eveniment : apariţie sau modificare a unui anumit set de împrejurări.
  • Cauza riscului : motivul care determină apariţia riscului.
  • Consecinţă : efectul unui eveniment care afectează obiectivele

Scopul acestei etape este generarea unei liste exhaustive a riscurilor pe baza acelor evenimente care ar putea crea,intensifica,împiedica,degrada,accelera sau întârzia îndeplinirea obiectivelor.

Identificarea trebuie să includă riscurile indiferent dacă sursa acestora este sub controlul organizaţiei sau nu,chiar dacă e posibil ca sursa sau cauza riscului să nu fie evidentă.

Odată cu identificarea a ceea ce ar putea să se întample,este necesară luarea în considerare a cauzelor şi scenariilor posibile care arată consecinţele care se pot produce.

Nu constituie riscuri, acele situaţii / probleme care nu pot să apară (aşa numitele ficţiuni). A concentra atenţia unităţii pe ficţiuni înseamnă a risipi resurse.

Nu trebuie identificate ca riscuri acele probleme care se vor materializa cu siguranţă. Acestea nu sunt riscuri ci certitudini. Certitudinile sunt gestionate şi de regulă presupun alocări de resurse, modificarea obiectivelor asumate, schimbări de strategie.   

Riscurile identificate trebuie grupate. Gruparea riscurilor se face în funcţie de percepţia şi nevoile unităţii.

 Identificarea și evaluarea surselor de risc la securitatea fizică este, de asemenea, o etapă importantă pentru stabilirea acestora.

În acest scop, se are în vedere identificarea tuturor amenințărilor și vulnerabilităților privind securitatea fizică, care fac obiectul surselor de risc căutate.

Pentru identificarea amenințărilor privind securitatea fizică în cadrul unei societăţi se consideră că:

– acestea sunt rezultatul, în principal, al unor ,,intenții deliberate” decât al unor cauze accidentale, cauze naturale sau sistemice. Prin urmare, ,,oamenii” sunt principala sursă de amenințări la adresa securității, atât din rândul angajaților cât și din afara uniăţii;

– este necesară și evaluarea amenințărilor care nu sunt cauzate de om, dar care au efecte devastatoare asupra securității fizice a resurselor și mijloacelor critice identificate.

Sintetizând, rezultă că principalele categorii de persoane care pot genera amenințări privind securitatea fizică în cadru unei unităţi, în ordinea posibilităților ca acestea să acționeze, sunt:

– Clienţi/vizitatori agresivi (nemulțumiți de serviciile unităţii, violenți verbal și fizic, sub influența băuturilor alcoolice, drogurilor/substanțelor psihotrope etc.);

– Furnizori de bunuri destinate comercializării (nemulțumiți de colaborarea cu societatea, violenți verbal și fizic, sub influența băuturilor alcoolice, drogurilor/substanțelor psihotrope etc.);

– Vecini deranjaţi de activitatea unităţii;

– Angajați nemulțumiți de conducerea unităţii;

– Infractori diverși (vizitatori, hoți etc.);

– Persoane cu dereglări de comportament (sub influența drogurilor, substanțelor psihotrope, a alcoolului sau bolnavi psihic neinternați, incendiatori etc.)

– Grupări de crimă organizată;

– Grupări protestatare și extremiste;

– Grupări teroriste.

Vulnerabilitățile care afectează securitatea fizică sunt:

– Managementul securității fizice în cadrul unităţii (politici, responsabilități, proceduri, organizare, conducere, control și evaluare a nivelului securității fizice).

– Sistemele de securitate implementate în cadrul unităţii.

– Pregătirea/instruirea angajaţilor și furnizorilor de bunuri destinate comercializării privind măsurile de securitate fizică existente în cadrul unităţii.

– Evaluarea periodică a nivelului de securitate existent în cadrul unităţii.

2. Analiza riscurilor reprezintă procesul de înţelegere a naturii riscului şi de determinare a nivelului de risc 

Analiza riscului oferă baza pentru estimarea riscului şi pentru deciziile referitoare la tratarea riscului.

Analiza riscurilor constă în stabilirea plauzibilităţilor şi consecinţelor lor pentru evenimentele identificate de risc, având în vedere prezenţa (sau absenţa) şi eficienţa oricăror modalităţi de control.

  • Analiza plauzibilităţii(probabilităţii) şi estimarea acesteia 

În general,sunt folosite trei abordări pentru estimarea probabilităţii,acestea putând fi folosite împreună sau separate :

  • Utilizarea datelor istorice relevante pentru a identifica evenimentele şi situaţiile care au apărut în trecut şi,de aici,capacitatea de a extrapola probabilitatea apariţiei lor în viitor.
  • Previzionările de probabilitate folosind tehnici predictive (când datele istorice nu sunt disponibile sau sunt neadecvate)
  • Opiniile experţilor într-un proces sistematic şi structurat.Concluziile experţilor trebuie să se bazeze pe toate informaţiile relevante,inclusiv istorice,specifice sistemului/ organizaţiei.
  • Analiza consecinţelor(impactului) şi estimarea acestora

– stabileşte natura şi tipul de impact care ar putea apărea presupunând că a avut loc un anumit eveniment, situaţie sau împrejurare. 

– un eveniment poate avea o serie de impacturi de diverse dimensiuni şi poate afecta o serie de obiective diferite şi diverse persoane implicate. Tipurile de consecinţe ce vor fi analizate şi persoanele implicate afectate vor fi stabilite când se stabileşte contextul. 

– poate varia de la o simplă descriere a rezultatelor la o modelare cantitativă detaliată sau la analiza vulnerabilităţilor. 

Analiza consecinţelor poate implica: 

• luarea în considerare a modalităţilor de control pentru tratarea consecinţelor, împreună cu toţi factorii relevanţi care contribuie şi au un efect asupra consecinţelor; 

• relaţionarea consecinţelor riscurilor şi obiectivele iniţiale; 

• luarea în considerare a consecinţelor imediate şi a celor care pot apărea după ce a trecut un interval de timp, dacă acest lucru este conform cu obiectul evaluării; 

• luarea în considerare a consecinţelor secundare, precum cele cu impact asupra sistemelor, activităţilor, echipamentelor sau organizaţiilor asociate.

Determinarea nivelului de risc

Nivelul de risc reprezintă mărimea unui risc sau a unei combinaţii de riscuri,exprimată în termeni de combinaţie a consecinţelor şi a plauzibilităţii(probabilităţii) acestora, fiind un indicator bidimensional, de tip matriceal.

Metodele de analiza a riscurilor pot fi : calitative, semi-cantitative sau cantitative. 

Metoda calitativă defineşte consecinţele, probabilitatea şi nivelul de risc pe niveluri de importanţă, cum ar fi „ridicat”, „mediu” şi „redus”,poate combina consecinţa şi probabilitatea şi evaluează nivelul de risc rezultat în raport cu criteriile calitative. 

Metodele semi-cantitative folosesc scări numerice pentru cuantificarea consecinţelor şi probabilităţii şi le combină pentru a produce un nivel de risc în baza utilizării formulei. Scările pot fi liniare, logaritmice etc.; formulele folosite pot varia. 

Metoda cantitativă estimează valori practice pentru consecinţe şi probabilitatea lor şi produce valori ale nivelului de risc în unităţi specifice definite la dezvoltarea contextului. Analiza cantitativă completă poate să nu fie posibilă sau de dorit din cauza informaţiilor insuficiente privind sistemul sau activitatea analizată, lipsei de date, influenţa factorilor umani etc. sau pentru că analiza cantitativă nu este garantată sau necesară. 

3. Estimarea riscului reprezintă procesul de comparare a rezultatelor analizei riscului (nivelul de risc determinat) cu criteriile de risc pentru a determina dacă riscul şi/sau mărimea acestuia sunt acceptabile sau tolerabile.

Scopul estimării riscului este să contribuie,pe baza rezultatelor analizei de risc,la luarea deciziilor privind: 

  • riscurile care necesită tratare ,
  • prioritizarea implementării tratării,
  • dacă o activitate trebuie intreprinsă,
  • care,dintr-un număr de căi alternative,trebuie urmată.

Deciziile vor fi  luate în contextul mai larg al riscului, luând în considerare nivelul riscului, iminenţa (cât de repede s-ar putea materializa riscurile), capacitatea de a fi controlate, toleranţa la risc şi în conformitate cu cerinţele legale, de reglementare şi alte cerinţe.

Toleranţa la risc reprezintă cantitatea de risc pe care o unitate este pregătită să o tolereze sau la care este dispusă să se expună la un moment dat în situaţii în care riscul poate fi o oportunitate sau ameninţare. În acest caz toleranţa la risc are o valenţă duală.

În conexiune cu toleranţa la risc se stabileşte limita de toleranţă la risc, limită ce se analizează din următoarele perspective: 

  • Perspectiva cost-beneficiu – scopul acestei analize este de a se depista dacă limita de toleranţă propusă nu presupune “costuri” exagerat de mari în raport cu beneficiul. 
  • Perspectiva resurselor totale – pe care unitatea le poate aloca măsurilor de control. Dacă resursele sunt insuficiente, se operează o ierarhizare a riscurilor în funcţie de priorităţi şi o reajustare a limitelor de toleranţă pentru riscurile mai puţin prioritare.

O abordare frecventă este clasificarea riscurilor în trei categorii :

  • O categorie superioară unde nivelul de risc este privit ca intolerabil indiferent de beneficiile rezultate din activitatea respectivă,iar tratarea riscului este esenţiala indiferent de cost;
  • O categorie medie unde costurile şi beneficiile sunt luate în considerare,iar oportunităţile sunt contrabalansate de posibilele consecinţe;
  • O categorie inferioară unde nivelul de risc este considerat neglijabil sau atât de redus încât nu sunt necesare măsuri de tratare a riscurilor.

D. Tratarea riscului : proces de modificare a riscului.

Tratarea riscului poate crea noi riscuri sau modifica riscurile existente.

Dupa finalizarea evaluării riscurilor,tratarea riscurilor implică selectarea şi stabilirea uneia sau mai multor opţiuni relevante pentru a modifica probabilitatea de apariţie a acestora,efectele riscurilor sau ambele şi pentru implementarea acestor opţiuni.

Opţiuni de tratare a riscurilor în vederea încadrării în domeniul acceptabil al riscului de securitate fizică :

  • Evitarea riscului prin luarea deciziei de a nu începe sau de a nu continua activitatea care generează riscul;
  • Asumarea sau creşterea riscului pentru a urmări o oportunitate;
  • Indepartarea sursei de risc;
  • Modificarea plauzibilităţii : Este un tip de răspuns la risc definit prin iniţierea unor măsuri de control a riscurilor în vederea scăderii nivelului probabilităţii/micşorării şanselor de apariţie; 
  • Modificarea consecinţelor : Este un tip de răspuns la risc definit prin iniţierea unor măsuri de control a riscurilor în vederea reducerii nivelului de impact/minimizării consecinţelor;
  • Împărţirea riscului cu altă parte/părţi Această strategie presupune încredinţarea gestionării riscului unei terţe persoane capabilă sau specializată în gestionarea unor astfel de riscuri, de regulă, în baza unui contract.Are ca scop o scădere a expunerii la risc a entităţii dar şi o mai bună gestionare a riscului transferat.Este utilizată în special în cazul riscurilor financiare şi patrimoniale;
  • Menţinerea riscului printr-o decizie argumentată – acceptarea câştigurilor sau a pierderilor potenţiale rezultate dintr-un anumit risc.Reţinerea riscului include şi acceptarea riscurilor reziduale.

După tratarea riscului urmează să fie adoptate următoarele decizii : 

– acceptarea riscului rezidual dacă nivelul său este sub valoarea de prag; 

– tratarea suplimentară a riscului.

În cazul în care nivelul de risc rămâne peste valoarea de prag stabilită chiar şi după aplicarea măsurilor de securitate sau din lipsa resurselor necesare pentru tratarea lor, aceste riscuri se acceptă sub răspunderea conducerii unității.

E. Monitorizare : verificarea continuă,supravegherea,observarea critică sau determinarea stării în scopul de a identifica schimbările faţă de nivelul de performanţă solicitat sau aşteptat.

F. Revizuire : activitatea desfăşurată pentru a determina oportunitatea,adecvarea şi eficienţa subiectului legate de atingerea obiectivelor stabilite.