1

PRINCIPII ŞI LINII DIRECTOARE PRIVIND IMPLEMENTAREA MANAGEMENTULUI RISCURILOR: NOUL STANDARD ISO 31000: 2009

PRINCIPLES AND GUIDELINES REGARDING THE RISK

MANAGEMENT IMPLEMENTATION: THE NEW ISO 31000: 2009 STANDARD

Conf.univ.dr.ing. Roland Iosif MORARU - Universitatea din Petroşani Conf.univ.dr.ing. Gabriel Bujor BĂBUŢ - Universitatea din Petroşani

Rezumat: Fiecare organizaţie care intenţionează să atingă anumite obiective îşi stabileşte activităţile care conduc la realizarea acestora şi, în acelaşi timp, caută să identifice cât mai multe din „ameninţările” potenţiale, pentru a adopta din timp măsurile necesare. Dacă intuiţia ne poate ajuta să gestionăm satisfăcător procesele simple, repetitive, nu acelaşi lucru se întâmplă în cazul proceselor complexe, cu condiţionări multiple, care se desfăşoară în organizaţii. Mai mult decât atât, organizaţiile nu sunt sisteme închise, ele acţionează într-un mediu care, la rândul său, induce incertitudini care nu trebuie ignorate. Deşi intuiţia bazată pe experienţă nu îşi va pierde niciodată importanţa, ea se dovedeşte cu totul insuficientă atunci când managementul trebuie să conducă la performanţă. Din acest motiv, însuşirea unui sistem coerent de concepte şi de reguli, unanim acceptate pe plan naţional şi internaţional, devine indispensabilă practicii organizaţionale actuale în sectorul public şi privat, în toate ramurile de activitate economică, indiferent de natura acestora. Acestei finalităţi îi este dedicat recent apărutul, dar îndelung aşteptatul, standard internaţional ISO 31000: 2009 „Managementul riscurilor: principii şi linii directoare privind implementarea”. Lucrarea este consacrată prezentării şi analizării conţinutului standardului ISO 31000: 2009, principalul obiectiv al acesteia constând în familiarizarea organizaţiilor din România cu un cadru unitar de abordare a managementului riscurilor, în vederea armonizării practicilor dezvoltate la nivelul fiecărei organizaţii. Ea se fundamentează pe convingerea autorilor că asimilarea conceptelor de bază ale managementului riscurilor şi a spiritului şi conţinutului standardului ISO 31000: 2009 va facilita contactele între părţile interesate, prin uniformizarea limbajului, făcând posibil un transfer real de cunoştinţe şi experienţe, ceea ce va permite accesul la literatura de specialitate din domeniu, atunci când se doreşte aprofundarea unor aspecte de detaliu. Cuvinte cheie: management, risc, principii, cadru general, linii directoare, ISO 31000 Abstract: Any organization intending to achieve certain goals establishes the activities leading to the fulfillment of these and, meanwhile, tries to identify the most likely to occur threats, in order to select the adequate prevention measures. If intuition can support us in managing simple, reiterative processes, it is not any more enough when dealing with complex, multiple interrelated, processes, such as those developing in organizations. Moreover, organizations are open systems, acting in a specific environment, which at his turn introduces uncertainties which should not be ignored. Even if experience-based intuition will never loss it’s importance, it proves itself inadequate when management must generate performance. For this reason, the acquirement of a coherent system of concepts and rules, widely accepted on national and worldwide level, became indispensable for the present-day organizational practice, both in public and private sector, in every economic activity

2

branch, regardless of their nature. To this purpose is devoted the recently issued, but long-expected, international standard ISO 31000: 2009 „Risk management: principles and guidelines on implementation”. The present paper is aimed at ISO 31000 standard’s content presentation and analysis, the basic objective consisting in the acquaintance of Romanian organizations with an unitary framework regarding the risk management approach, with a view to harmonize the practices developed at each organization’s level. The paper is based on the author’s belief that the assimilation of risk management basic principles and the spirit and content of ISO 31000: 2009 standard will facilitate contacts between stakeholders, by language homogenization, allowing a real knowledge and expertise transfer, providing larger access to specific literature when detailed approaches will be envisaged. Key words: management, risk, principles, framework, guidelines, ISO 31000

1.Introducere Indiferent de tipul şi mărimea sa, orice organizaţie este confruntată cu riscuri care îi pot

afecta realizarea obiectivelor în ceea ce priveşte activităţile, iniţiativele strategice, operaţiunile, procesele şi proiectele, cu diferite consecinţe asupra rezultatelor strategice, operaţionale, financiare şi asupra imaginii şi a reputaţiei [13]. Toate activităţile unei organizaţii implică riscuri, iar managementul riscului este procesul de fundamentare a deciziei, prin luarea în considerare a efectelor incertitudinii asupra materializării obiectivelor şi stabilirea măsurilor şi acţiunilor necesare [10]. Procesul implică recurgerea la metode logice şi sistematice pentru comunicare-consultare continuă, stabilirea contextului, identificarea, analiza, evaluarea şi tratarea riscurilor asociate oricăror activităţi, procese, funcţii, produse, servicii sau valori, monitorizarea şi revizuirea riscurilor. Standardul internaţional ISO 31000 recunoaşte varietatea naturii, nivelurilor şi complexităţii riscurilor, furnizând linii directoare generice privind principiile şi implementarea procesului de management al riscurilor.

Numeroase practici şi procese actuale de management includ componente ale managementului riscurilor şi multe organizaţii au adoptat deja procese formale de management pentru circumstanţe şi tipuri particulare de manifestare a riscurilor [1, 4, 6, 7]. În spiritul acestui nou standard se poate decide revizuirea din temelii a practicilor şi proceselor existente. Deşi practica managementului riscurilor s-a dezvoltat în decursul timpului, în numeroase sectoare, pentru a răspunde diverselor cerinţe, o abordare generică bazată pe cadrul general al elementelor esenţiale poate conferi certitudinea că riscurile sunt gestionate eficient, coerent, transparent şi credibil în integralitatea organizaţiei [8, 9]. Orice aplicaţie sau sector particular aduce cu sine cerinţe, percepţii şi criterii individuale şi, în consecinţă, una dintre caracteristicile-cheie ale standardului constă în includerea „stabilirii contextului” drept etapă iniţială a procesului, etapă care permite integrarea diversităţii criteriilor şi a naturii şi complexităţii riscurilor implicate în fiecare caz [11].

2.Premize şi scurt istoric

De-a lungul timpului, peste 60 de Comitete Tehnice şi Grupuri de Lucru ale ISO, precum şi organisme de standardizare sau reglementare naţionale, au abordat problematica managementului riscurilor, elaborându-se astfel numeroase standarde multi-sectoriale (ILO-OSH OHSAS 18001, BS 8800, FD X50-252, ghidul ISO/IEC 51 etc.) [3, 5, 12] sau dedicate unui anumit sector (EN ISO 12100-1, EN ISO 12100-2, EN ISO 14121 privind securitatea maşinilor [14]; ISO 17666, EN 14738, procedurile EUROCONTROL în domeniul transporturilor; ISO/IEC 17799 şi ISO/IEC 15408 în domeniul IT; EN ISO 14971 şi EN 1441 în domeniul medical etc.) [21].

În conformitate cu principiile de transparenţă şi consens ale ISO, la un moment dat (iunie 1998) s-a considerat necesară dezvoltarea unui document special consacrat uniformizării terminologiei globale specifice managementului riscurilor. În acest scop s-a constituit primul Grup de Lucru coordonat de

3

Consiliul de Management Tehnic al ISO, organism care s-a întrunit pentru prima dată în octombrie 1998 la Tokyo. Pregătirea draftului final al Ghidului ISO/IEC 73 „Managementul Riscului - Vocabular - Linii directoare pentru utilizare în standarde” a durat circa 4 ani, fiind aprobat în iulie 2001 şi publicat în 2002 [18].

În condiţiile în care AS/NZS 4360: 2004 (apărut iniţial în 1995 şi modificat în 1999) era cel mai folosit standard global de management al riscurilor, acesta fiind utilizat în Australia, Noua Zeelandă, China, Japonia, anumite provincii canadiene, European Software Engineers şi chiar în Marea Britanie, la propunerea Australiei s-a constituit Grupul de Lucru pentru Managementul Riscurilor, având drept obiectiv furnizarea principiilor şi îndrumărilor practice privind procesul de management al riscurilor pentru toate aplicaţiile, inclusiv pentru întreprinderile mici şi mijlocii. Înaintea primei întruniri a Grupului de Lucru s-a elaborat un document pentru discuţii, bazat pe AS/NZS 4360: 2004, utilizând terminologia ISO/IEC 73. Au rezultat 86 pagini de observaţii din partea organismelor membre ISO, cele mai importante evidenţiind că:

• securitatea ocupaţională este „diferită” şi nu ar trebui inclusă; • securitatea dispozitivelor medicale este „diferită” şi nu ar trebui inclusă; • standardul nu ar trebui să implice un „sistem de management”; • ghidul ISO/IEC 73 trebuie să reprezinte cu stricteţe documentul de referinţă. Cei 20 de delegaţi din 12 asociaţii naţionale de standardizare care au participat la prima

întrunire (septembrie 2005, Tokyo) au fost de acord cu privire la următoarele aspecte: • Grupul de Lucru va elabora doar liniile directoare, fără documente-suport; • nu se va dezvolta un Sistem de Management, termenul „cadru general” fiind preferat

celui de „sistem”; • ghidul va fi generic, de nivel înalt, acoperind toate standardele existente în domeniul

managementului riscurilor şi toate tipurile de risc; • documentul trebuie să fie suficient de simplu pentru ca toţi să îl înţeleagă, iar

întreprinderile mici şi mijlocii să îl poată aplica; • limbajul utilizat să fie uşor traductibil, fără ambiguităţi, în numeroase limbi. Datorită unor modificări de terminologie s-a solicitat şi revizuirea ghidului ISO/IEC 73,

noua versiune a acestuia fiind publicată în data de 13 noiembrie 2009 [19]. Următoarele întâlniri ale Grupului de Lucru s-au desfăşurat la Sydney (februarie 2006), Viena (septembrie 2006), Ottawa (aprilie 2007), Sanya (decembrie 2007), Singapore (noiembrie 2009) [22]. Votul a început în 25 mai 2009 şi s-a încheiat în 25 iulie 2009, în 13 noiembrie 2009 fiind publicat standardul ISO 31000. Practic, se poate aprecia că standardul ISO 31000 este succesorul natural al standardului AS/NZS 4360: 2004 şi, deşi nu analiza comparativă a celor două standarde este scopul acestei lucrări, considerăm necesară şi utilă evidenţierea diferenţelor dintre ele, din punct de vedere al principalelor elemente incluse (tabelul 1) şi al modului de definire al termenilor de bază (tabelul 2) [15, 16, 20].

Tabelul 1. Diferenţele privind principalele elemente constitutive din AS/NZS 4360: 2004 şi ISO 31000: 2009

Elemente AS/NZS 4360: 2004 ISO 31000: 2009 Domeniul de aplicare Aplicabilitate universală în toate

organizaţiile - Australia şi Noua Zeelandă

Aplicabilitate universală în toate organizaţiile - Internaţional

Contextul de management al riscurilor Obiectivele organizaţiei Obiectivele organizaţiei Procesul de management al riscurilor („Ce trebuie să faceţi?”)

Elementul central al AS/NZS 4360 Parte componentă a ISO 31000

Cadrul de management al riscurilor („Cum procedaţi?”)

Revizuit substanţial în 2004 Extensie a AS/NZS 4360

Principiile de management al riscurilor Tratate implicit, până la un punct Tratate explicit şi cu claritate Atributele unui management avansat al riscurilor

Nu sunt abordate Anexă cu caracter informativ (opţional) a standardului

Ghidul de stabilire şi implementare efectivă a procesului de management al riscurilor

Abordate în manual (HB 436: 2004) Anexă cu caracter informativ (opţional) a standardului

4

Tabelul 2. Modul de definire al termenilor de bază în AS/NZS 4360: 2004 şi ISO 31000: 2009

Termenul AS/NZS 4360:2004 ISO 31000:2009 Risc Posibilitatea de a se produce ceva care va avea

un impact asupra obiectivelor organizaţiei Efectul incertitudinii asupra obiectivelor

Managementul riscurilor

Cultura, procesele şi structurile dedicate materializării oportunităţilor potenţiale, concomitent cu gestiunea efectelor adverse

Activităţile coordonate în scopul conducerii şi controlului organizaţiei, cu privire la riscuri

Cadrul managementului riscurilor

Ansamblul de elemente ale sistemului de management al riscurilor care au ca obiect managementul riscurilor

Ansamblul de elemente care asigură bazele şi structurile organizaţionale pentru proiectarea, implementarea, monitorizarea, revizuirea şi îmbunătăţirea continuă a managementului riscurilor în întreaga organizaţie

Politica de management al riscurilor

Nu este definită Declaraţia privind intenţiile globale şi direcţia organizaţiei în raport cu managementul riscurilor

Planul de management al riscurilor

Nu este definit Parte componentă a cadrului de management al riscurilor care specifică modul de abordare, componentele şi resursele implicate în procesul de management al riscurilor

Procesul de management al riscurilor

Aplicarea sistematică a politicilor, procedurilor şi practicilor de management la sarcinile de comunicare, stabilire a contextului, identificare, analiză, evaluare, tratare, monitorizare şi revizuire a riscurilor

Aplicarea sistematică a politicilor, procedurilor şi practicilor de management în activităţile de comunicare, consultare, stabilire a contextului şi identificare, analiză, evaluare, tratare, monitorizare şi revizuire a riscurilor

3.Scopul şi finalitatea managementului riscurilor

Un răspuns general la întrebarea „de ce este necesar un management al riscurilor?” este

indus de observaţia conform căreia atât în orice organizaţie, cât şi în mediul în care aceasta acţionează, există incertitudini de natura ameninţărilor în realizarea obiectivelor sau de natura oportunităţilor . Orice manager trebuie să-şi pună problema gestionării ameninţărilor deoarece, în caz contrar, neatingându-şi obiectivele s-ar descalifica, sau fructificării oportunităţile în beneficiul organizaţiei, dovedindu-şi astfel eficienţa. Dacă incertitudinea este o realitate cotidiană, atunci şi reacţia la incertitudine trebuie să devină o preocupare permanentă [2].

Propunându-şi să armonizeze procesele de management al riscurilor din standardele existente şi viitoare, standardul ISO 31000 furnizează o abordare unitară, ca bază a standardelor specifice anumitor riscuri sau sectoare particulare, fără a tinde să se substituie acestora şi nefiind destinat certificării.

În scopul aplicării liniilor directoare la situaţiile concrete, standardul ISO 31000 evidenţiază modul în care organizaţia ar trebui să înţeleagă contextul specific în care îşi implementează managementul riscurilor, la toate nivelurile şi în orice moment al existenţei sale, pentru a permite:

• încurajarea managementului proactiv în raport cu cel reactiv; • conştientizarea necesităţii de a identifica şi trata riscurile în întreaga organizaţie; • îmbunătăţirea identificării oportunităţilor şi ameninţărilor; • conformarea cu cerinţele legislative relevante şi cu normele internaţionale; • îmbunătăţirea guvernanţei corporative, a gradului de încredere al factorilor

afectaţi/interesaţi; • stabilirea unei baze trainice a proceselor de planificare şi adoptare a deciziilor; • îmbunătăţirea sistemelor de control, a învăţării şi rezilienţei organizaţionale, a eficacităţii

operaţionale, a securităţii şi sănătăţii, a prevenirii şi managementului incidentelor; • alocarea şi utilizarea eficientă a resurselor pentru tratarea riscurilor şi minimizarea

pierderilor.

5

Pentru a avea eficacitatea scontată în interiorul organizaţiei, managementul riscurilor trebuie să devină parte integrantă din guvernanţa, managementul, procesele de raportare, politicile, filozofia şi cultura organizaţiei. Recurgerea la o abordare unică a managementului riscurilor pentru proiecte, funcţii definite, bunuri, produse şi activităţi va facilita considerabil conexiunile existente între aceste activităţi şi obiectivele globale ale organizaţiei. Nefiind specific unei anumite industrii sau unui sector particular, standardul poate fi aplicat de către orice întreprindere, asociaţie, grup sau persoană fizică privată sau publică, indiferent de tipul şi natura riscurilor şi a consecinţelor (pozitive sau negative). Pe de altă parte, nefiind vorba de promovarea uniformităţii în managementul riscurilor, proiectarea şi implementarea cadrului general şi a planurilor de management va trebui să ia în considerare necesităţile specifice ale organizaţiei, obiectivele sale particulare, structura, operaţiile, procesele, funcţiile, proiectele, produsele, serviciile, bunurile şi practicile concrete utilizate. Anumite domenii, cum sunt, de exemplu, securitatea, sănătatea umană şi mediul, impun criterii legislative care reflectă o „aversiune” faţă de consecinţele preponderent negative ale riscurilor. Aplicarea abordării propuse prin standardul ISO 31000 permite asigurarea identificării şi aplicării unor asemenea criterii. În consecinţă, se poate afirma că standardul ISO 31000 sprijină organizaţia şi în ceea ce priveşte conformarea cu cerinţele legislative şi cu normele internaţionale, concomitent cu creşterea performanţelor organizaţiei. Relaţia dintre principiile, cadrul general şi procesul de management al riscurilor sunt ilustrate, în conformitate cu clauzele standardului, în figura 1.

Figura 1. Relaţia dintre principiile, cadrul general şi procesul de management al riscurilor

4.Principiile de management al riscurilor

Managementul riscurilor facilitează o abordare structurată şi sistematică a procesului de adoptare a deciziilor. Valoarea şi forţa abordării manageriale a riscului rezidă în faptul că ea combină diverse tehnici de evaluare şi de consultare, unindu-le într-un ansamblu care conferă consistenţă demersului de adoptare a deciziilor. Managementul riscurilor conferă oricărei organizaţii capacitatea de a-şi înţelege mai bine modul de derulare a operaţiilor şi abilitatea de a răspunde mai eficient la schimbările circumstanţelor interne şi externe. Pentru a fi eficace managementul riscurilor în organizaţie trebuie să se desfăşoare în baza următoarelor principii (clauza 4) [20]:

6

a. Managementul riscurilor creează valoare Managementul riscurilor contribuie la realizarea durabilă a obiectivelor organizaţiei şi la

îmbunătăţirea, de exemplu, a securităţii şi sănătăţii în muncă, a conformării cu cerinţele legislative, a acceptării de către public, a protecţiei mediului, a calităţii produselor, a guvernanţei corporative şi a reputaţiei organizaţiei.

b. Managementul riscurilor este parte integrantă a proceselor organizaţionale Managementul riscurilor este parte a responsabilităţilor managementului şi parte integrantă a

proceselor organizaţionale normale, precum şi a proceselor de management al schimbării. Managementul riscurilor nu este o activitate independentă, separată de activităţile şi procesele principale ale organizaţiei.

c. Managementul riscurilor este parte integrantă a procesului de adoptare a deciziilor Managementul riscurilor sprijină decidenţii în adoptarea unor decizii în cunoştinţă de cauză,

facilitând ierarhizarea prioritară a acţiunilor întreprinse, a măsurilor adoptate şi a alternativelor disponibile. Procesul permite luarea deciziilor privind acceptabilitatea riscurilor şi a tehnicilor de tratare adecvate şi eficiente.

d. Managementul riscurilor abordează în mod explicit incertitudinea Managementul riscurilor ia în considerare acele aspecte ale procesului decizional care sunt

incerte şi, în funcţie de natura incertitudinii, modalităţile de abordare ale acesteia. e. Managementul riscurilor este sistematic, structurat şi actualizat O abordare sistematică, structurată şi actualizată a managementului riscurilor contribuie la

eficientizarea demersului, furnizând rezultate consistente, comparabile şi fiabile. f. Managementul riscurilor se bazează pe cele mai bune infomaţii disponibile Datele de intrare în procesul de management al riscurilor se bazează pe surse de informaţii

cum sunt experienţa, feed-back-ul, observarea, prognozele şi raţionamentele experţilor. În toate situaţiile decidenţii trebuie să fie informaţi şi să ia în considerare toate limitările şi ipotezele impuse datelor sau modelelor aplicate, precum şi posibilitatea apariţiei unor divergenţe între opiniile experţilor.

g. Managementul riscurilor este adaptat Procesul trebuie aliniat la contextul şi profilul extern şi intern al organizaţiei. h. Managementul riscurilor ia în considerare factorii umani şi culturali Managementul riscurilor în organizaţie recunoaşte capacităţile, percepţiile şi intenţiile

persoanelor, din interior şi exterior, care pot facilita sau îngreuna realizarea obiectivelor organizaţiei. i. Managementul riscurilor este transparent şi inclusiv Implicarea adecvată şi din stadiu incipient a factorilor afectaţi/interesaţi şi, îndeosebi, a

decidenţilor la toate nivelurile organizaţiei, asigură relevanţa şi gradul corespunzător de actualizare al procesului. Implicarea permite părţilor afectate/interesate să fie reprezentate corespunzător, iar opiniile lor să fie luate în mod real în considerare la stabilirea criteriilor de acceptabilitate a riscurilor.

j. Managementul riscurilor este dinamic, iterativ şi răspunde la schimbări Pe măsura producerii de evenimente interne şi externe, se schimbă contextul iniţial şi nivelul

cunoştinţelor, se desfăşoară monitorizarea şi revizuirea, apar riscuri noi, altele îşi modifică magnitudinea sau dispar. În consecinţă, organizaţia ar trebui să se asigure că managementul riscurilor sesizează şi răspunde continuu la schimbări.

k. Managementul riscurilor facilitează îmbunătăţirea continuă şi dezvoltarea performanţelor organizaţiei

Organizaţiile ar trebui să îşi dezvolte şi să implementeze strategii destinate îmbunătăţirii gradului de maturitate al managementului riscurilor în toate aspectele activităţii lor. Anexa A a standardului ISO 31000, intitulată „Atributele managementului performant al riscurilor”, furnizează informaţii suplimentare în acest sens.

7

5.Cadrul general de management al riscurilor

5.1.Componentele cadrului general Pentru a avea succes, managementul riscului ar trebui să se desfăşoare într-un cadru general

care să asigure bazele şi structurile organizaţionale necesare integrării lui la toate nivelurile, în întreaga organizaţie [17]. Cadrul general (clauza 5) sprijină organizaţia să-şi gestioneze eficient riscurile, prin aplicarea procesului de management al riscurilor pe diferite paliere şi în contextul specific unui moment dat [20]. Componentele necesare ale cadrului general de management al riscurilor şi modul în care acestea inter-relaţionează sunt descrise de clauza 5 din ISO 31000 şi sunt ilustrate în figura 2.

Nepropunându-şi să descrie un sistem de management, ci să ghideze organizaţia în integrarea managementului riscurilor în sistemul său global de management, componentele cadrului general ar trebui adaptate la necesităţile specifice fiecărei organizaţii.

Figura 2. Componentele cadrului general de management al riscurilor

5.2.Implicare şi angajament

Introducerea managementului riscurilor şi asigurarea eficienţei sale constante necesită

angajamentul şi implicarea reală, puternică şi susţinută a conducerii organizaţiei şi un sistem riguros de planificare strategică. Managementul ar trebui:

• să articuleze şi să întărească politica de management al riscurilor; • să stabilească indicatorii de performanţă ai managementului riscurilor, în corelaţie cu

indicatorii de performanţă ai organizaţiei; • să asigure alinierea obiectivelor managementului riscurilor cu obiectivele generale şi

strategiile organizaţiei; • să asigure conformarea legislativă şi reglementară; • să atribuie responsabilităţi manageriale la nivelurile adecvate din cadrul organizaţiei; • să garanteze alocarea resurselor necesare pentru managementul riscurilor; • să comunice tuturor părţilor interesate avantajele şi beneficiile rezultate; • să se asigure de menţinerea adecvării cadrului de management al riscurilor.

8

5.3.Proiectarea cadrului general de management al riscurilor

5.3.1.Înţelegerea organizaţiei şi a contextului

Înainte de iniţierea proiectării şi implementării cadrului general se consideră vitală înţelegerea corectă a contextului, atât intern cât şi extern, în care se situează organizaţia. Aspectele contextului extern al organizaţiei includ, fără a se limita la acestea, următoarele:

• mediul cultural, politic, legal, legislativ, financiar, tehnologic, economic, natural şi competiţional, atât pe plan internaţional, cât şi naţional, regional sau local;

• tendinţele şi elementele-cheie care pot exercita un impact asupra obiectivelor organizaţiei;

• percepţiile şi valorile părţilor interesate externe. Aspectele contextului intern al organizaţiei includ, fără a se limita la acestea, următoarele: • disponibilităţile, exprimate în termeni de resurse şi cunoştinţe (de exemplu, capital, timp,

oameni, procese, sisteme şi tehnologii); • sisteme de informare, fluxuri informaţionale, procese de adoptare a deciziilor (formale şi

informale); • factori interesaţi interni; • politici, obiective şi strategii deja implementate; • percepţii, valori, cultură organizaţională; • standarde şi modele de referinţă adoptate de organizaţie; • structuri (de exemplu, guvernanţă, roluri, responsabilităţi).

5.3.2.Politica de management al riscurilor

Politica de management al riscurilor ar trebui să clarifice obiectivele organizaţiei, prin specificarea următoarelor elemente:

• interdependenţele dintre politica de management al riscurilor, pe de o parte, şi obiectivele organizaţiei şi celelalte politici, pe de altă parte;

• raţiunile şi motivaţia organizaţiei din perspectiva managementului riscurilor; • responsabilităţile implicate; • modul de rezolvare al conflictelor de interese; • apetitul pentru risc sau aversiunea faţă de risc a organizaţiei; • procesele, metodele şi instrumentele utilizate pentru managementul riscurilor; • resursele de care dispun managerii riscurilor; • modul de măsurare şi raportare a performanţei managementului riscurilor; • angajamentul privind revizuirea continuă şi verificarea politicii şi cadrului general de

management al riscurilor; • modul de comunicare al politicii.

5.3.3.Integrarea în procesele organizaţionale

Pentru a fi relevant, eficient şi eficace, managementul riscurilor ar trebui încorporat în toate

practicile şi procesele de afaceri ale organizaţiei, devenind o parte integrantă a proceselor organizaţionale, îndeosebi a dezvoltării politicilor, a planificării strategice a afacerilor şi a proceselor de management al schimbării.

5.3.4.Responsabilitatea

Organizaţia ar trebui să asigure un nivel adecvat de responsabilitate şi de autoritate pentru managementul riscurilor, inclusiv pentru implementarea şi menţinerea procesului de management al

9

riscurilor şi să asigure măsurile adecvate şi eficace de control a oricărui risc. Acest lucru poate fi facilitat prin:

• specificarea persoanelor responsabile pentru dezvoltarea, implementarea şi menţinerea cadrului de management al riscurilor;

• specificarea persoanelor responsabile cu implementarea măsurilor de tratare a riscului, cu menţinerea funcţionalităţii sistemelor de control şi cu raportarea informaţiilor relevante privind riscul;

• stabilirea modului de măsurare a performanţelor şi raportare internă şi/sau externă; • asigurarea unor niveluri adecvate de recunoaştere, premiere, aprobare sau sancţionare.

5.3.5.Resurse

Organizaţia ar trebui să îşi dezvolte mijloace practice de alocare a resurselor adecvate, luând

în considerare: • persoanele, aptitudinile, experienţa şi competenţele diponibile; • resursele necesare fiecărei etape a procesului de management al riscurilor; • procese şi proceduri documentate; • sisteme de management al informaţiilor şi cunoştinţelor.

5.3.6.Stabilirea mecanismelor de comunicare şi raportare intern ă

Mecanismele de comunicare şi raportare internă ar trebui să permită: • comunicarea adecvată a componentelor-cheie ale cadrului general de management al

riscurilor, cu modificările ulterioare; • raportarea internă adecvată privind cadrul general, eficienţa şi rezultatele acestuia; • disponibilitatea la nivelurile şi la momentul potrivit a informaţiilor relevante, derivate

din aplicarea managementului riscurilor; • garantarea existenţei proceselor de consultare cu părţile interesate interne; • consolidarea informaţiilor privind riscurile, utilizând varietatea surselor din organizaţie şi ţinând cont de senzitivitatea acesteia.

5.3.7.Stabilirea mecanismelor de comunicare şi raportare externă

Organizaţia ar trebui să îşi dezvolte un plan privind modalităţile de comunicare cu factorii

afectaţi externi, plan care să implice: • contactarea părţilor interesate externe şi realizarea unui schimb de informaţii eficient; • raportarea externă privind conformitatea cu cerinţele legale, reglementare şi de

guvernanţă corporativă; • realizarea înştiinţărilor şi notificărilor legale; • asigurarea feed-back-ului şi raportărilor privind comunicarea şi consultarea; • utilizarea comunicării pentru dezvoltarea încrederii în organizaţie; • comunicarea cu părţile interesate, în situaţii de criză sau de urgenţă.

5.4.Implementarea managementului riscurilor

5.4.1.Implementarea cadrului general

În vederea implementării cadrului general de management al riscurilor organizaţia ar trebui

să: • definească un calendar şi o strategie adecvate de implementare; • aplice politica şi procesul de management al riscurilor în procesele organizaţionale;

10

• se conformeze cerinţelor legale şi reglementare; • documenteze procesul justificat de adoptare a deciziilor, inclusiv dezvoltarea şi stabilirea

obiectivelor în corelaţie cu rezultatele aşteptate; • desfăşoare şedinţe (sesiuni) de informare şi instruire; • realizeze comunicarea şi consultarea cu părţile interesate pentru a se asigura că, cadrul

general de management al riscurilor rămâne adecvat.

5.4.2.Implementarea procesului

Managementul riscurilor se va implementa prin asigurarea faptului că procesul descris în clauza 6 a standardului ISO 31000 este aplicat tuturor nivelurilor şi funcţiilor relevante ale organizaţiei, ca parte a practicilor şi proceselor organizaţionale.

5.5.Monitorizarea şi revizuirea cadrului general

Pentru a obţine certitudinea eficacităţii şi continuităţii sprijinului acordat performanţei organizaţionale de către managementul riscurilor, organizaţia ar trebui să:

• stabilească măsuri de îmbunătăţire a performanţelor; • măsoare periodic progresele şi să estimeze deviaţiile de la planul de management al

riscurilor; • verifice periodic gradul de adecvare al cadrului general, politicii şi planului de

management al riscurilor cu contextul intern şi extern al organizaţiei; • raporteze aspecte privind evoluţia riscurilor, progresele realizate în materializarea

planului de management şi să se asigure de respectarea politicii; • revizuiască eficacitatea cadrului general de management al riscurilor.

5.6.Îmbunătăţirea continuă a cadrului general

În baza monitorizării şi revizuirii ar trebui să se adopte decizii privind îmbunătăţirea

cadrului, politicii şi a planului de management al riscurilor, decizii care să conducă atât la îmbunătăţirea managementului riscurilor în organizaţie, cât şi la îmbunătăţirea culturii privind managementul riscurilor.

6.Procesul de management al riscurilor

6.1.Structura procesului

Procesul de management al riscurilor ar trebui să fie parte integrantă a managementului general, să fie încorporat în cultura şi practicile organizaţiei şi să fie adaptat la procesele şi activităţile acesteia. El cuprinde activităţile descrise în standardul ISO 31000 prin clauzele 6.2 - 6.6 şi reprezentate grafic în figura 3.

6.2.Comunicare şi consultare

Comunicarea şi consultarea cu părţile interesate, interne sau externe, se va desfăşura pe

parcursul fiecărei etape a procesului, fiind vorba de un demers cvasi-continuu, ca şi în cazul monitorizării-revizuirii. Ca urmare, planul de comunicare ar trebui dezvoltat cât mai devreme, abordând aspecte referitoare la riscul în sine, la consecinţele sale (dacă se cunosc) şi la măsurile pre-existente de control. O comunicare eficientă va asigura înţelegerea bazei de adoptare a deciziilor şi motivaţia anumitor măsuri, de către responsabilii cu implementarea procesului şi de către celelalte părţi interesate. O abordare consultativă, de echipă, va permite, printre altele:

11

Figura 3. Procesul de management al riscurilor

• definirea corectă a contextului; • înţelegerea şi luarea în considerare a intereselor factorilor implicaţi; • reunirea expertizei din diverse domenii în scopul realizării analizei riscurilor; • sprijinirea asigurării identificării adecvate a riscurilor; • asigurarea luării adecvate în considerare a diverselor opinii în etapa de evaluare a

riscurilor; • facilitarea managementului schimbării pe parcursul derulării procesului de management

al riscurilor; • garantarea sprijinului pentru planul de tratare a riscurilor; • dezvoltarea unui plan de comunicare şi consultare internă şi externă. Comunicarea şi consultarea cu părţile interesate este importantă datorită raţionamentelor pe

care acestea le fac, în baza propriilor lor percepţii privind riscurile, percepţii care pot diferi considerabil în funcţie de valorile, necesităţile, ipotezele, conceptele şi îngrijorările fiecăruia. Deoarece opiniile exprimate pot avea un impact semnificativ asupra deciziilor, este important ca percepţiile părţilor interesate să fie identificate, înregistrate şi luate în considerare la adoptarea deciziilor. Pentru a fi util, schimbul de informaţii ar trebui să transmită mesaje exacte, oneste, inteligibile şi argumentate.

6.3.Stabilirea contextului

6.3.1.Generalităţi

Prin stabilirea contextului organizaţia defineşte parametrii interni şi externi care trebuie luaţi în considerare în managementul riscurilor şi la determinarea domeniului de aplicare şi al criteriilor de risc pentru continuarea procesului. Contextul ar trebui să includă parametrii, atât interni, cât şi cei externi, relevanţi pentru organizaţie, dar având în vedere că majoritatea acestor parametrii este similară cu cei luaţi în considerare la proiectarea cadrului general (clauza 5.3.1), la stabilirea contextului pentru procesul de management al riscurilor, ei trebuie detaliaţi şi consideraţi din perspectiva modului de raportare la domeniul de aplicare al procesului particular de management.

12

6.3.2.Stabilirea contextului extern

Contextul extern este mediul extern în care organizaţia caută să îşi atingă obiectivele. Înţelegerea contextului extern este importantă pentru a ne asigura că părţile interesate, obiectivele şi preocupările acestora sunt luate în considerare în cursul elaborării criteriilor de risc. Contextul extern se bazează pe contextul extins al organizaţiei, dar cu detaliile specifice privind cerinţele legale şi reglementare, percepţiile factorilor interesaţi şi alte aspecte ale riscurilor specifice domeniului de aplicare al procesului de management al riscurilor. Contextul extern poate include, fără a se limita la acestea, următoarele aspecte:

• mediul cultural, politic, legal, reglementar, financiar, tehnologic, economic, natural şi competiţional, pe plan internaţional, naţional, regional sau local;

• factorii şi tendinţele având un impact determinant asupra obiectivelor organizaţiei; • percepţiile şi valorile părţilor interesate externe.

6.3.3.Stabilirea contextului intern

Contextul intern este mediul intern în care organizaţia caută să îşi atingă obiectivele. El este

legat de cultura, procesele şi structura organizaţiei. Contextul intern cuprinde toate elementele susceptibile să influenţeze modul în care organizaţia gestionează riscul. Contextul intern trebuie înţeles, în special, în termeni de:

• aptitudini, resurse şi cunoştinţe (de exemplu, capital, timp, competenţe, procese, sisteme şi tehnologii);

• sisteme de informare, fluxuri informaţionale, procese de adoptare a deciziilor (formale şi informale);

• părţi interesate interne; • politici, obiective şi strategii deja implementate; • percepţii, valori, cultură organizaţională; • standarde şi modele de referinţă adoptate de organizaţie; • structuri (de exemplu, guvernanţă, roluri, responsabilităţi).

6.3.4.Stabilirea contextului procesului de management al riscurilor

Obiectivele, strategiile, domeniul de aplicabilitate şi parametrii activităţilor organizaţiei sau

părţilor de organizaţie cărora li se aplică managementul riscurilor ar trebui stabilite, iar resursele, responsabilităţile şi autorităţile implicate ar trebui specificate. Contextul variază în funcţie de necesităţile organizaţiei, incluzând următoarele elemente:

• definirea responsabilităţilor privitoare la procesul de management al riscurilor; • definirea domeniului de aplicare şi a gradului de extindere şi detaliere a activităţilor de

management al riscurilor; • definirea activităţii, procesului, funcţiei, produsului, serviciului sau activului, în termeni

de timp şi loc, ca şi de scop şi obiective; • definirea relaţiilor dintre proiectele sau activităţile particulare şi alte proiecte sau

activităţi ale organizaţiei; • definirea metodologiilor de apreciere a riscurilor; • definirea modului de evaluare a performanţelor managementului riscurilor; • identificarea şi specificarea deciziilor care trebuie adoptate; • identificarea, domeniul de aplicare şi cadrul organizaţional al studiilor necesare,

extinderea şi obiectivele acestora, resursele necesare. Luarea în considerare a acestor factori şi a altor factori pertinenţi permite asigurarea unei

abordări adaptate la situaţia concretă a organizaţiei şi la riscurile care îi pot afecta atingerea obiectivelor.

13

6.3.5.Elaborarea criteriilor de risc

Organizaţia ar trebui să îşi dezvolte propriile criterii de evaluare a importanţei riscurilor, criterii care să reflecte valorile, obiectivele şi resursele organizaţiei. Anumite criterii pot fi impuse sau derivate din cerinţele legale sau reglementare, alte cerinţe fiind cele la care organizaţia subscrie voluntar. Criteriile de risc trebuie să fie în concordanţă cu politica de management al riscurilor (clauza 5.3.2.) şi să ia în considerare următorii factori:

• natura şi tipul consecinţelor potenţiale, corelat cu modul de estimare al acestora; • modul de definire al probabilităţii; • cadrul temporal al probabilităţii şi/sau al consecinţelor; • modul de determinare a nivelului de risc; • nivelul de acceptabilitate sau tolerabilitate al riscului; • nivelul de risc care necesită un mod de tratare; • dacă este necesară luarea în considerare a riscurilor multiple.

6.4.Aprecierea riscului

6.4.1.Generalităţi

Aprecierea riscului este procesul global de identificare, analiză şi evaluare a riscului.

6.4.2.Identificarea riscului

Organizaţia identifică sursele de risc, domeniile de impact, evenimentele, cauzele şi

consecinţele potenţiale ale acestora. Scopul acestei etape este de a genera o listă cuprinzătoare a acelor evenimente care ar putea facilita, preveni, degrada sau întârzia realizarea obiectivelor, importantă fiind şi identificarea riscurilor asociate nevalorificării unei oportunităţi. Identificarea cât mai cuprinzătoare (incluzând şi riscurile a căror sursă se situează în afara organizaţiei) este esenţială, deoarece un risc neidentificat în această etapă nu va fi inclus în analizele ulterioare. Instrumentele şi tehnicile de identificare a riscurilor utilizate trebuie să fie adaptate obiectivelor, capacităţilor disponibile şi naturii riscurilor iar informaţiile folosite să fie pertinente şi actualizate. După identificarea a ceea ce ar putea să se întâmple, va fi necesară studierea cauzelor posibile şi scenariilor privind consecinţele potenţiale

6.4.3.Analiza riscului

Analiza riscului vizează dezvoltarea unei înţelegeri a riscului, furnizând datele de intrare

pentru etapa de evaluare. Analiza implică luarea în considerare a cauzelor şi surselor de risc, a consecinţelor pozitive sau negative, a probabilităţii de materializare a respectivelor consecinţe. Riscul este analizat prin componentele sale de probabilitate şi gravitate, dar şi a oricăror alte atribute relevante. Acelaşi eveniment poate genera consecinţe variate, care pot afecta mai multe obiective. Ar trebui mereu să se ţină cont de sistemele de control existente. Modul de exprimare al consecinţelor şi probabilităţii şi modul de agregare al acestora pentru a exprima un nivel de risc va fi diferit, în funcţie de natura riscului, de informaţiile disponibile şi de finalitatea rezultatelor aprecierii riscurilor. Toate acestea trebuie să fie corelate cu criteriile de apreciere a riscului. De asemenea, este importantă luarea în considerare a interdependenţei şi surselor de generare ale diferitelor riscuri. Nivelul de încredere al rezultatului cuantificării riscului şi sensibilitatea la condiţiile prealabile şi ipotezele admise trebuie luate în considerare în analiză şi comunicate decidenţilor şi celorlalte părţi interesate, la cererea acestora. Analiza riscului poate fi realizată la diferite niveluri de detaliere în funcţie de risc, de scopul analizei, de informaţiile, datele şi resursele disponibile. Analiza poate fi calitativă, semi-cantitativă, cantitativă sau o combinaţie a acestora, în funcţie de circumstanţe. În practică, analiza calitativă este frecvent aplicată pentru a obţine o

14

indicaţie generală privind nivelul riscului şi a evidenţia riscurile majore. Când este posibil şi necesar se va realiza o analiză mai detaliată şi cantitativă. Consecinţele pot fi determinate prin modelarea rezultatelor unui eveniment ori set de evenimente sau prin extrapolarea datelor disponibile sau a studiilor experimentale. Consecinţele pot fi exprimate în termeni de impact tangibil sau intangibil. În anumite cazuri este necesară mai mult decât o valoare numerică sau un descriptor pentru a specifica consecinţele pentru diferite momente de timp, locuri, grupuri sau situaţii.

6.4.4.Evaluarea riscului

Scopul evaluării constă în sprijinirea procesului de adoptare a deciziilor privind tratarea riscurilor, în baza rezultatelor analizei şi a ierarhizării riscurilor. Evaluarea implică compararea nivelului de risc determinat prin analiză cu criteriile de risc elaborate în faza de stabilire a contextului. Dacă nivelul de risc nu îndeplineşte criteriile de acceptabilitate, riscul ar trebui tratat. Deciziile vor lua în considerare un context mai larg al riscurilor şi toleranţa la risc a părţilor interesate. În anumite circumstanţe, evaluarea riscului poate conduce la decizia de a efectua noi analize, mai aprofundate sau de a nu trata riscurile decât prin menţinerea sistemelor de control existente. Astfel de decizii vor fi influenţate de apetitul la risc al organizaţiei, de atitudinea faţă de risc sau de criteriile prestabilite privind riscul.

6.5.Tratarea riscului

6.5.1.Generalităţi

Dacă abordările tradiţionale ale managementului riscului au fost centrate, preponderent, pe acţiuni de contracarare a acestuia, metodele moderne promovează acţiuni de anticipare, simulare, previziune a riscului, diminuând funcţia reactivă si amplificând funcţia preventivă. Managementul riscului nu mai reprezintă o abordare îngustă, limitată, orientată exclusiv spre îngrădirea sau controlul efectelor negative ale unor evenimente potenţiale ci, pornind de la abordarea riscului în termeni de „incertitudine”, această ştiinţă poate mări flexibilitatea şi adaptabilitatea organizaţiilor, într-un mediu din ce în ce mai incert, pe măsura sporirii complexităţii sale. Riscul trebuie înţeles în termeni de „oportunitate”, de valorificare corectă a situaţiilor imprevizibile. Organizaţiile inovatoare, îndreptate mereu către evenimentele neprevăzute, le pot exploata în avantaj propriu, situându-se astfel în poziţii prioritare, avantajoase, pe piaţă.

Tratarea riscurilor implică selectarea uneia sau mai multor opţiuni de modificare a riscurilor şi implementarea acestor opţiuni, prin intermediul unui proces iterativ de stabilire a modalităţilor de tratare, de decizie privind tolerabilitatea riscului rezidual şi de estimare a efectului tratării riscurilor până la încadrarea riscului rezidual în limitele criteriilor de risc ale organizaţiei. Figura 4 prezintă această succesiune de faze care, în ansamblul lor, ghidează etapa de tratare a riscurilor [11]. Opţiunile de tratare care nu se exclud în mod necesar unele pe celelalte, dar nici nu sunt potrivite în toate circumstanţele, pot fi:

• evitarea riscului prin decizia nedemarării sau necontinuării activităţii generatoare de risc; • căutarea unei oportunităţi prin adoptarea deciziei de a demara sau continua activitatea

respectivă; • eliminarea sursei de risc; • schimbarea naturii şi mărimii probabilităţii; • modificarea consecinţelor; • transferul riscului către unul sau mai mulţi terţi; • reţinerea (acceptarea riscului).

15

Figura 4. Structura etapei de tratare a riscurilor

6.5.2.Selecţia opţiunilor de tratare a riscurilor

Selecţia celei mai adecvate opţiuni de tratare a riscurilor implică echilibrarea costurilor şi a eforturilor necesare implementării, cu avantajele obţinute în ceea ce priveşte cerinţele legale, reglementare sau de altă natură, responsabilitatea socială şi protecţia mediului natural. Totodată, deciziile ar trebui să ia în considerare riscurile a căror tratare nu este justificată din punct de vedere pur economic, cum sunt cele caracterizate de gravitate mare (consecinţe catastrofale), dar având probabilitate foarte scăzută de producere. Un anumit număr de opţiuni pot fi examinate în vederea aplicării lor individuale sau combinate. Alegerea alternativelor de tratare ar trebui să ţină cont de valorile şi percepţiile părţilor interesate şi de cele mai adecvate căi de comunicare cu acestea. Dacă resursele disponibile sunt limitate, planul de tratare a riscurilor trebuie să identifice cu claritate ordinea de prioritate privind implementarea măsurilor de tratare a riscurilor individuale. Însăşi tratarea riscurilor poate introduce noi riscuri. Un risc semnificativ poate fi chiar lipsa funcţionalităţii sau ineficacitatea măsurilor de tratare implementate. Monitorizarea trebuie să fie parte integrantă din planul de tratare, pentru a garanta menţinerea eficienţei măsurilor de tratare. Decidenţii şi celelalte părţi interesate ar trebui să fie conştienţi de natura şi extinderea riscului rezidual, remanent după tratarea riscului. Riscul rezidual trebuie documentat şi supus monitorizării, revizuirii şi, când este cazul, tratării suplimentare.

16

6.5.3.Pregătirea şi implementarea planurilor de tratare a riscurilor

Scopul planurilor de tratare a riscurilor este de a documenta modul în care opţiunile de tratare selectate urmează a fi implementate. Următoarele tipuri de informaţii ar trebui incluse în planurile de tratare:

• consecinţele pozitive aşteptate; • măsurile şi restricţiile de performanţă; • persoanele responsabile cu aprobarea planului şi cele responsabile de implementarea

acestuia; • acţiunile propuse; • resursele necesare; • etapizare şi eşalonare.

6.6.Monitorizare şi revizuire

Monitorizarea este procesul prin care datele despre evoluţia unui risc sunt centralizate,

interpretate şi raportate. Scopul monitorizării este de a colecta informaţii cât mai exacte, actuale şi oportune şi de a le prezenta celor implicaţi într-o manieră cât mai clară şi mai uşor de înţeles. Vor fi desemnate anumite persoane responsabile cu urmărirea şi analiza datelor, precum şi cu introducerea acestor date în planurile de tratare a riscurilor. Revizuirea riscului este etapa în care se verifică rezultatele obţinute în urma măsurilor implementate. Responsabilităţile privind monitorizarea şi revizuirea trebuie stabilite cu claritate, aceste procese trebuind să cuprindă toate aspectele managementului riscurilor, în vederea:

• analizei şi obţinerii de învăţăminte din evenimente, schimbări, tendinţe; • detectării schimbărilor în contextul extern şi intern, inclusiv modificări ale riscurilor care

pot impune revizuirea priorităţilor şi a planurilor de tratare; • obţinerii unei asigurări că măsurile de control şi tratare sunt eficiente atât în teorie, cât şi

în practică; • identificării riscurilor emergente. Rezultatele monitorizării şi revizuirii ar trebui consemnate şi raportate intern sau extern, ele

servind şi ca date de intrare pentru revizuirea cadrului general de management al riscurilor (clauza 5.5).

Atunci când un plan de tratare a riscurilor a fost dezvoltat pentru un risc sau un set de riscuri, atât planurile implicite, cât şi atributele riscurilor sunt urmărite. Monitorizarea planurilor de prevenire sau a unor liste de măsuri de acţiune va indica dacă planul este corect executat şi dacă se respectă schema de desfăşurare a acţiunilor necesare. Urmărirea oricăror schimbări ale atributelor riscurilor va indica dacă acţiunile planificate reduc impactul sau probabilitatea de apariţie a riscurilor anticipate sau a altora neidentificate iniţial, precum şi cât de eficiente sunt măsurile implementate.

6.7.Documentarea procesului de management al riscurilor

Activităţile de management al riscurilor trebuie să fie trasabile, documentarea asigurând baza îmbunătăţirii metodelor, instrumentelor şi a procesului în ansamblul său. Deciziile referitoare la crearea documentelor de înregistrare ar trebui să ia în considerare următoarele aspecte:

• avantajele reutilizării informaţiilor pentru necesităţile managementului; • costurile şi eforturile implicate în crearea şi menţinerea documentaţiilor; • necesităţile legale, reglementare şi operaţionale de documentare; • metodele de accesare, uşurinţa consultării şi mijloacele de stocare; • perioada de păstrare; • caracterul sensibil al informaţiilor.

17

7.Concluzii

Pasul strategic în abordarea managementului riscurilor în cadrul unei organizaţii din perspectiva standardului internaţional ISO 31000: 2009 „Managementul riscurilor: principii şi linii directoare privind implementarea” este conştientizarea riscului, respectiv formularea unei filozofii de risc şi stabilirea unei politici de abordare a riscului. Se are în vedere faptul că pe termen lung singura alternativă la managementul riscurilor rămâne managementul de criză, dar acesta este mult mai costisitor, în termeni de resurse, bani şi timp. Prima etapă în iniţierea unui proces de management al riscurilor este definirea concretă a sferei de aplicare, a domeniului, a activităţii, a problemei la care se va aplica procesul. Trebuie stabilit obiectivul procesului, cerinţele privind termenele, priorităţile şi alte elemente considerate importante de părţile interesate. După acest prim pas, procesul de management al riscurilor poate fi împărţit în următoarele două sub-procese majore: aprecierea riscului şi tratarea riscului, derulate pe fondul unor procese continue de comunicare-consultare şi monitorizare-revizuire.

A adopta decizii mai bune înseamnă a trăi cu riscuri mai puţine. Deciziile de înaltă calitate pot fi luate prin cunoaşterea cât mai completă a incertitudinilor, dar pentru că informaţia nu poate fi perfectă, există mereu un nivel de risc rezidual. În consecinţă, deciziile se bazează pe ceea ce se consideră a fi adevărat şi asumarea şansei producerii evenimentului cu efect negativ şi a riscului asociat acestuia. Managementul riscurilor implică necesitatea de a ne asigura că deciziile organizaţiei sunt cele mai bune posibil, date fiind constrângerile de timp şi de resurse. Managementul riscurilor, în accepţiunea sa cea mai generală, reprezintă „totalitatea metodelor şi mijloacelor prin care este gestionată incertitudinea, ca bază majoră a factorilor de risc, în scopul îndeplinirii obiectivelor organizaţiei”. Implicarea managementului de la cel mai înalt nivel este esenţială în dezvoltarea unei filozofii a managementului organizaţional al riscurilor şi în creşterea gradului de conştientizare a riscului la diferite niveluri ale organizaţiei. Derularea procesului de management al riscurilor necesită atât angajamentul şi energia decizională a managementului de la cel mai înalt nivel, cât şi implicarea angajaţilor. Managementul riscurilor este un proces continuu de învăţare din experienţe trecute, proprii sau ale altora. Ceea ce este extrem de important în demersul de a se ajunge la un management al riscurilor eficace este consolidarea permanentă a unei culturi organizaţionale a riscurilor.

Bibliografie

1. Băbuţ, G., Moraru, R., Environmental risk characterisation principles, Proceedings of the 6th Conference on Environment and Mineral Processing, part. I, pag. 17-21, VŠB-TU Ostrava, Czech Republic, 27-29.06.2002.

2. Băbuţ, G., Moraru, R., Risk management programme for the mining industry, Annals of the University of Petroşani - Mining Engineering, vol. 4 (XXVI), pag. 106-113, UNIVERSITAS Publishing House, Petroşani, 2003.

3. Băbuţ, G., Moraru, R., Matei, I., Băncilă-Afrim, N., Sisteme de management al securităţii şi sănătăţii în muncă. Principii directoare, Editura Focus, Petroşani, 2002.

4. Beer, T., Ziolkowski, F., Environmental risk assessment: An Australian perspective, Supervising Scientific Report 102, Supervising Scientist, Canberra, Australia, 1995 (http://www.deh.gov.au/ssd/publications/ssr/102.html).

5. Darabont, A., Pece, Şt., Dăscălescu A., Managementul securităţii şi sănătăţii în muncă (vol. I şi II), Editura Agir, Bucureşti, 2002.

6. Ene, C.N., Comparaţii asupra abordărilor internaţionale privind managementul riscului în afaceri şi proiecte, Revista Economia, seria Management, anul VIII, nr. 2/2005, pag. 77-88.

7. Hillson, D., Project Risk Management: Future Developments, 2004 (www.risk-doctor.com/pdf-files/fut0798.pdf).

18

8. Hillson, D., Towards a Risk Maturity Model, The International Journal of Project & Business Risk Management, vol. 1, no. 1/1997, pp. 35–45, Spring (www.risk-doctor.com/pdf-files/rmm-mar97.pdf).

9. Joy, J., Griffiths, D., National minerals industry safety and health risk assessment guideline, version 6, June 2007, MCA and MISHC, Australia (http://www.mishc.uq.edu.au/Files_for_download/NMISHRA/NMISHRAG_v6.pdf).

10. Moraru, R., Băbuţ, G., Managementul riscurilor: abordare globală - concepte, principii şi structură, Editura UNIVERSITAS, Petroşani, 2009.

11. * * * , Management du risque - Approche globale, Edition AFNOR, La Plaine Saint-Denis, France, 2006.

12. * * * , Management du risque: Lignes directrices pour l'éstimation des risques, FD X50-252, Edition AFNOR, La Plaine Saint-Denis, France, 2006.

13. * * *, Metodologie de implementare a standardului de control intern „Managementul riscurilor” , Ministerul Finanţelor Publice, Unitatea Centrală de Armonizare a Sistemelor de Management Financiar şi Control, ianuarie 2007 (www.mmediu.ro/upp/politici_ publice/manuale_ghiduri/control_managerial_intern/Metodologie_implementare_Risk_ Management.pdf).

14. * * * , SR EN ISO 12100-2: 2004 Securitatea maşinilor. Concepte de bază, principii generale de proiectare. Partea 2: Principii tehnice, Asociaţia de Standardizare din România (ASRO), Bucureşti, 2004.

15. * * * , Tutorial Notes: The Australian and New Zeeland Standard on Risk Management, AS/NZS 4360: 2004 (http://www.ucop.edu/riskmgt/erm/documents/asnzs4360_2004_tut_ notes.pdf).

16. * * * , AS/NZS 4360: 2004 - Risk management, Standards Australia/Standards New Zeeland, Sydney/Wellington, 2004.

17. * * * , Guide for developing and implementing your risk management framework, Victorian Managed Insurance Authority (VMIA), Melbourne, Victoria, Australia, 2008 (http://www.vmia.vic.gov.au).

18. * * * , ISO/IEC Guide 73: 2002 Risk management - Vocabulary - Guidelines for use in standards, International Organization for Standardization, 2002.

19. * * * , ISO Guide 73: 2009 Risk management - Vocabulary, International Organization for Standardization, 2009.

20. * * * , ISO 31000: 2009 Risk management - Principles and guidelines, International Organization for Standardization, 2009.

21. * * * , Gestion du risque, Wikipédia - L'encyclopédie libre (http://fr.wikipedia.org/wiki/). 22. * * * , L'histoire de l'ISO (http://www.iso.org).