Managementul Riscului

Curs: Evaluator de risc in domeniul SSM

Managementul riscului, parte integrantă

a unui management performant al afacerii

� Managementul riscului = Procesul prin care organizatia analizeaza metodic riscurile care apar in timpul activitatii, in scopul realizarii unor beneficii.

� Obiectivul oricarei organizatii este acela de a aduce plus valoaretuturor activitatilor sale. In consecinta, concentrarea managementuluiriscului trebuie sa fie pe identificarea si tratarea acestor riscuri.

� Evaluarea de risc SSM - Integrat cu managementul organizational (financiar/calitate/mediu )

� Este un proces continuu, in dezvoltare, care sa treaca prin strategia organizatiei si implementarea acestei strategii

� Managementul riscului trebuie sa fie integrat in cultura organizatiei, incluzand o politica eficace si un program de management coerent. El trebuie sa transpuna strategia in obiective tactice si operationale.

ISO 31000 – Managementul Riscului

� Principiul PDCA

Angajamentul managamentului

Definirea cadrului pentru MR

� RM = "ActivităŃi de management pentru aconduce și controla o organizaŃie Cu privire la riscurile "

Activitati

MONITOR

&

COMMUNICA

1. Strategic Ct

2. Identify Threats

A 3. Analyze pentru MR

Cadrul pentru Monitorizare

si revizie

ImplementareRM

Cadrul pentruimbunatatire

Process

Princiii

Activitati &

REVIEW

ATE

CONSULT

7. Manage the Risk

ASSESS

3. Analyze 4. Assess

5. Assess/

Proces

RiskOportunitati

Managementul riscului� nu modelele si tehnicile sunt cele mai importante, ci atitudinea fata

de risc iar aceasta este, in primul rand, un aspect al culturii organizationale ce se formeaza in timp, si nu un rezultat al unor norme imperative.

� este gandit intr-o structura cadru care tine seama atat de influentele interne din organizatie, dar si de influentele externe organizatiei.

� Managementul riscului este un proces continuu:� Bunurile (echipamente, oameni, documentatie etc), amenintarile si � Bunurile (echipamente, oameni, documentatie etc), amenintarile si

vulnerabilitatile se schimba in timp;� Pentru toate procesele si sistemele existente cat si pentru cele noi

managementul riscului face parte din proiectarea si dezvoltarea acestora. � Managementul riscurilor reprezinta procesul de implementare si

actualizare a masurilor si a instrumentelor pentru minimizarea riscurilor pana la un nivel acceptabil. Acest proces implica identificarea, analiza, evaluarea, tratarea si monitorizarea riscurilor.

� Managementul riscurilor:� Faciliteaza realizarea eficienta si eficace a obiectivelor organizatiei;� Asigura realizarea unui control al amenintarilor si vulnerabilitatilor

asupra informatiilor organizatiei.

Principii

� Pentru a fi cat mai eficient, management riscului intr-o organizatietrebuie sa adere la urmatoarele principii:� a) Managementul riscului creeaza si protejeaza valoarea, contribuie la

atingerea obiectivelor si la imbunatatirea performantelor in domeniile: sanatatea si securitatea in munca, conformitatea cu reglementarile legale, protectia mediului, calitatea produsului, eficienta, conducerea organizatiei,reputatia companiei;reputatia companiei;

� b) Managementul riscului este parte integranta a procesului organizational, trebuie sa fie parte a responsabilitatilor manageriale si o parte integranta a proceselor organizationale normale precum si parte a managementului proiectelor si managementul schimbarii;

� c) Managementul riscului este parte integranta a procesului decizional, poate prioritiza actiunile. Managementul riscului ajuta pe cei care iau decizii sa faca alegeri informate, permitand adoptarea deciziei cand un risc este inacceptabil;

Principii

� d) Managementul riscului expliciteaza incertitudinea, trebuie sa identifice natura incertitudinii si modul in care aceasta poate fi tratata;

� e) Managementul de risc trebuie sa fie sistematic si bine structurat -rezultatele obtinute trebuie sa fie practice, comparabile cu rezultatesimilare si de incredere;

� f) Managementul riscului trebuie sa aiba la baza informatii de cea mai buna calitate;

� g) Managementul riscului trebuie sa fie corect reprezentat;

� h) Managementul riscului trebuie sa ia in seama factorii umani - trebuie sa cunoasca aptitudinile si capacitatile personalului care pot sa reduca sau dimpotriva sa creasca riscurile existente;

� i) Managementul riscului trebuie sa fie transparent si cuprinzator -implicarea la timp si in mod deschis a tuturor persoanelor interesate(stakerholderi) trebuie sa asigure faptul ca managementul de risc este relevant si actualizat permanent;

Principii

� j) Managementul de risc trebuie sa fie dinamic, iterativ si capabil sa raspunda la schimbari - odata ce se produc evenimente interne si externe organizatiei, contextul si cunostintele se schimba, vechile riscuri disparsau devin acceptabile in timp ce apar noi riscuri;

� k) Managementul riscului trebuie sa fie capabil sa permita dezvoltarea continua a organizatiei.

� Resursele necesare pentru implementarea politicii de management � Resursele necesare pentru implementarea politicii de management de risc a organizatiei trebuie sa fie clar stabilite la fiecare nivel de management si in interiorul fiecarei unitati de afaceri.

� In completarea altor functii operationale, aceasta implicare in managementul de risc are rol in coordonarea politicii/strategiei de risc clar definita.

� Managementul riscului trebuie sa fie incorporat in organizatie prin strategie si buget.

Angajamentul managamentului / definirea

Cadrul pentru MR

� General:� implementare RM în întreaga organizaţie� utilizarea de raportare eficientă şi pentru luarea deciziilor

� Angajamentul managementului:� definire politica de performanţă� Asigura alinierea cu strategia şi obiectivele� Defineste responsabilităţi; asigura resursele� Comunicaţi beneficii pentru părţile interesate

Angajamentul managamentului

Definirea cadrului pentru MR

� Comunicaţi beneficii pentru părţile interesate� Definirea cadrului

� Înţelegerea organizatiei si contextul� Politica de gestionare a riscurilor� Integrare în procesele organizaţionale� Responsabilitati (pentru proces, precum şi riscuri)� Resurse (oameni, abilităţi, informaţii, documentare)

Stabilirea de comunicare internă/externa şi de raportare

Cadrul pentru Monitorizare

si revizie

ImplementareRM

Cadrul pentruimbunatatire

Process

Princiii

Linii directoare pentru MR� Punerea în aplicare a MR � Aplicarea politicii şi procesul de

consultare părţile interesate� stabilirea obiectivelor� Informare şi formare� Punerea în aplicare a procesului de

Monitorizarea şi revizuirea

Angajamentul managamentului

Definirea cadrului pentru MR

� Stabilirea măsurilor de performanţă� Masoara progresul împotriva

planurilor, aderarea la politica� Revizuirea pentru oportunitatea

într-un context organizaţional� Revizuirea eficienţei în gestionarea

riscurilorÎmbunătăţirea continuă a cadrului

pentru MR

Cadrul pentru Monitorizare

si revizie

ImplementareRM

Cadrul pentruimbunatatire

Process

Princiii

Proces RM Evaluarea riscurilorpresupune identificareatuturor factorilor de riscdin sistemul analizat sicuantificareadimensiunii lor pe bazacombinatiei dintre doiparametri: gravitatea siparametri: gravitatea sifrecventa consecinteimaxime posibileRiscul este o combinatieintre probabilitatea deaparitie a unui evenimentsi consecintele sale.

Comunicarea si consultarea

� cu strakeholderii interni si externi trebuie sa aiba loc in fiecare etapa a procesului de management a riscurilor, iar planul de comunicare si consultare trebuie sa tina seama de urmatoarele aspecte:� comunicarea si consultarea trebuie sa constituie un schimb si

nu un monolog al fiecarui stakeholder;nu un monolog al fiecarui stakeholder;

� comunicarea si consultarea trebuie sa acopere fiecare mesaj onest si inteligibil si nu trebuie sa fie manipulabile ci convingatoare pe baza evidentei;

� comunicarea trebuie sa fie folositoare, iar contributia acesteia trebuie evaluata.

Identificarea riscului

� urmareste identificarea riscurilor relevante pentru obiectivele organizatiei.

� Organizatia trebuie sa:� identifice surse de risc, evenimente sau seturi de circumstante precum si

consecintele potentiale. Identificarea trebuie sa includa toate riscurile, fie ca sunt controlate sau nu de catre organizatie.

� foloseasca cele mai potrivite instrumente pentru obiectivele sale.� foloseasca cele mai potrivite instrumente pentru obiectivele sale.

� Persoanele cu cunostinte corespunzatoare trebuie implicate in aceasta activitate.

� Cele mai cunoscute tehnici de identificare a riscurilor sunt: brainstorming, chestionare, studii de afaceri, analiza comparativa industriala, analiza scenariilor, work-shop-uri de evaluarea a riscurilor, investigarea incidentelor, auditurile si inspectia.

Analiza riscului

� urmareste intelegerea riscurilor, oferind in acelasi timp un input catre evaluarea riscurilor si catre deciziile daca riscurile trebuie tratate si spre cele mai importante strategii de tratare.

� Analiza riscurilor implica luarea in considerare a cauzelor si a surselor riscurilor, a consecintelor lor pozitive si negative precum si a probabilitatii ca aceste consecinte sa apara.

Factorii care afecteaza probabilitatile si consecintele pot fi � Factorii care afecteaza probabilitatile si consecintele pot fi identificati.

� Riscul este analizat prin identificarea consecintelor si aprobabilitatilor acestuia precum si a altor atribute ale riscului.

� Analiza riscurilor poate fi luata in considerare cu grade diferite de detaliere, in functie de riscuri, informatii, date si resurse disponibile

Analiza riscului

� Analizele pot fi:� calitative;

� semi-calitative;

� cantitative sau o combinatie a acestora, depinzand de circumstante.

� In practica, analizele calitative sunt utilizate pentru a � In practica, analizele calitative sunt utilizate pentru a obtine o indicatie generala a nivelului de risc si pentru a releva riscurile majore.

� Atunci cand este posibil, analizele calitative trebuie inlocuite cu cele cantitative.

Evaluarea acceptabilitatii riscului

� Implica compararea nivelului de risc gasit in procesul deanaliza al riscului cu criteriile de risc stabilite atunci cand riscul a fost identificat.

� In acest sens trebuie luate in considerare atat obiectivele organizatiei cat si gradul de extindere al oportunitatilor posibile. posibile.

� Atunci cand trebuie facuta o alegere, aceasta va depinde de contextul organizational.

� Deciziile trebuie sa ia in considerare contextul mai larg al riscului si sa includa consideratii referitoare la toleranta la risc – privind inclusiv si alte unitati economice implicate (subcontractori etc.).

Evaluarea riscurilor este o actiune ce

trebuie reluata:

� ori de cate ori intervine o modificare susceptibila sa afecteze modul de perceptie a riscurilor;

� cand se introduc echipamente tehnice, materiale sau tehnologii noi;

� cand se schimba modul de organizare a muncii;

� cand se schimba conditiile de munca ca urmare a realizarii masurile corective stabilite cu ocazia evaluarii.

Planificarea

masurilor corective

Actiuni corective:

- verificari periodice;

-formare/informare;

-- eliminarea riscurilor grave;

- actiuni fata de riscurile majore;

Evaluarea

riscurilor

Evaluarea riscurilor

� EVALUAREA riscurilor implică compararea nivelurilor de riscestimat pentru a determina importanţa de nivelul şi tipul de risc a lua decizii privind ACŢIUNI VIITOARE

� Dacă un risc are nevoie de tratare� Priorităţi pentru tratare� Care opţiune se alege� Ce activitate trebuie să fie

întreprinsa

Tratarea riscului

� implica abordarea uneia sau mai multor optiuni de abordare a riscurilor precum si implementarea acestor optiuni.

� Tratarea riscurilor poate impune un proces ciclic de:� evaluare a unui anumit tip de tratament;

� decizia tolerabilitatii nivelului de risc rezidual;

� generarea unui tratament nou de risc;� generarea unui tratament nou de risc;

� reevaluarea pana ce nivelul de risc rezidual dorit este atins.

� Selectia celei mai potrivite optiuni implica balanta intre costuri si eforturile pentru implementare fata de beneficiile derivate.

� Optiunile de tratament a riscurilor pot fi aplicate individual sau combinat.

Tratarea riscului

� Tratarea riscului poate include urmatoarele combinatii:� Evitarea riscului – se decide daca se va merge in continuare cu

activitatea care probabil a generat riscul;

� Reducerea probabilitatii – se implementeaza masuri de reducere a amenintarilor si vulnerabilitatilor;

� Reducerea consecintelor - se implementeaza masuri de � Reducerea consecintelor - se implementeaza masuri de reducere a amenintarilor si vulnerabilitatilor sau se modifica riscurile bunurilor pe alte cai;

� Transferul unei parti a riscurilor – se da responsabilitatea partiala sau totala a riscului unei alte organizatii. Ex: companii de asigurare

� Acceptarea riscului – organizatia isi asuma toate riscurile.

Tratarea riscului� Pentru tratarea riscului este necesar sa se stabileasca criterii pe baza carora

se poate determina daca riscurile pot fi acceptate sau nu. � Pentru a lua cele mai bune decizii de tratare a riscului este necesar sa se puna

si sa se raspunda la cateva intrebari „cheie”:� Ce procese, masuri de protectie exista sau au fost luate pentru reducerea

riscului la un nivel acceptabil?� Sunt costurile eficiente pentru implementarea proceselor, masuri de protectie

pentru reducerea riscului? Sunt valorile potrivite sau consecintele adverse pot aparea daca apare riscul?� Sunt valorile potrivite sau consecintele adverse pot aparea daca apare riscul?

� Ce resurse sunt necesare? (personal, fonduri, echipament)� Cine are raspunderea si responsabilitatea pentru tratarea si controlul riscului?

� Inainte de a decide asupra tratarii vor trebui selectionate masuri in acord cu:� strategia generala si obiectivele organizatiei;� cerintele si restrictiile din legislatia si din reglementarile nationale si internationale;� cerintele si restrictiile operationale;� resursele si fondurile disponibile.

Tratarea riscului

� Deciziile trebuie sa ia in considerare riscurile rare dar grave care pot valida actiuni de tratament a riscurilor care nu sunt justificabile din punct de vedere economic.

� Cerintele legale si responsabilitatea sociala depasesc o analiza costuri-beneficii.

� Optiunile de tratament a riscurilor trebuie sa tina cont de valorile si perceptiilestakeholdersilor precum si de cel mai bun mod de a comunica cu ei.

� Daca optiunile de tratament a riscurilor pot avea impact asupra riscurilor dintr-� Daca optiunile de tratament a riscurilor pot avea impact asupra riscurilor dintr-o alta parte a organizatiei, aceste zone trebuie implicate in decizie.

� Daca resursele sunt limitate planul va trebui sa erarhizeze masurile cele mai importante.

� Tratamentul de risc in sine induce riscuri. Un risc semnificativ poate fi chiar esecul sau ineficienta masurilor de tratare a riscurilor.

Optiuni de tratare risc� Nici un set de masuri nu

poate realiza o reducere a riscului completa. Organizatia trebuie sa decida asupra tratarii riscului si sa determine riscul rezidual – riscul pe care organizatie este pregatita sa-l accepte. Riscul rezidual trebuie sa se incadreze in limita se incadreze in limita acceptabila ce urmeaza a fi stabilita.

Risc rezidual

� Riscul rezidual este riscul ce ramane dupa ce s-au pus in opera masurile de atenuare a riscurilor inerente.

� Riscul rezidual este consecinta faptului ca riscurile inerente nu pot fi controlate in totalitate.

� Oricate masuri s-ar lua, incertitudinea ramane. Mai mult decat atat, amploarea masurilor de tinere sub control a riscurilor inerente este limitata.inerente este limitata.

� Masurile de control al riscurilor antreneaza costuri (financiare si/sau de alta natura), iar in unele situatii nu pot fi controlate toate circumstantele care favorizeaza materializarea riscurilor. Prin urmare, stabilirea unei limite de toleranta la risc este o problema, de a pune in echilibru “costul” de controlare al riscurilor cu “costul” (financiar si/sau de alta natura) expunerii, in cazul in care aceasta ar deveni realitate.

Risc rezidual

� Stabilirea limitei de toleranta la risc este un act major de responsabilitate manageriala, deoarece prin acesta se stabileste expunerea la risc ce este asumata, in corelare cu costurile (de asemenea asumate) masurilor de control a riscurilor.

� Pentru a sustine scopurile organizatiei este necesara implementarea de actiuni manageriale suplimentare pentru a monitoriza, evalua si imbunatatii eficienta si eficacitatea monitoriza, evalua si imbunatatii eficienta si eficacitatea masurilor de securitate.

� Toate deciziile privind modul de tratare a riscului trebuiesc consemnate. Riscul rezidual trebuie deasemenea documentat, deoarece multe masuri au un spectru larg iar riscurile pot deveni controlate. Riscul rezidual trebuie aprobat.

� Succesul de tratare a riscului depinde de rezultatele analizei de risc.

Monitorizarea

� trebuie sa fie o parte integranta a planului de tratament a riscurilor pentru a avea asigurarea ca masurile isi mentin eficienta.

� Riscurile secundare trebuie incorporate tot in planul initial si nu tratate ca un risc nou.

� Un management de risc eficace necesita o structura de raportare si revizuire care sa asigure ca riscurile sunt efectiv identificate si evaluate si ca s-au luat masurile adecvate de control si de raspuns.si ca s-au luat masurile adecvate de control si de raspuns.

� Trebuie sa se realizeze audituri periodice ale conformitatii cu politica si standardele, iar standardele de performanta trebuie revizuite pentru identificarea oportunitatilor de imbunatatire.

� Trebuie amintit ca organizatiile sunt dinamice si functioneaza in mediu dinamic.

� Schimbarile in organizatie si in mediul in care functioneaza trebuie identificate si trebuie facute modificarile adecvate la sistem.

Monitorizarea

� Procesul de monitorizare asigura faptul ca sunt luate masurile adecvate de control pentru activitatileorganizatiei si ca procedurile sunt intelese si respectate.

� Orice proces de monitorizare si revizuire trebuie de asemenea sa determine:

masurile adoptate rezultate� masurile adoptate rezultate

� procedurile adoptate si informatiile furnizate pentru realizarea evaluarii unde este necesar

� imbunatatirea cunostintelor va ajuta la luarea unor decizii mai bune si identificarea lectiilor care trebuie invatate pentru evaluarile viitoare si managementul riscurilor.

Curba “cost – beneficiu”

� Curba “cost – beneficiu” nu trebuie privita ca o functie matematica, deoarece numai rareori ea poate fi determinata, ci ca un mod de gandire. Trebuie sa fim constienti ca, de la un punct constienti ca, de la un punct incolo plusurile de costuri pe care le presupune implementarea masurilor de control al riscurilor nu se mai regasesc intr-un plus justificabil de beneficii.

Intrebari?????