GHID : Identificarea și gestionarea riscurilor

NOTĂ*: acest ghid este un extras din metodologia completă oferită în platforma SCIM360

CUPRINS

Introducere

Scopul și importanța managementului riscurilor: Managementul riscurilor este un proces esențial al Sistemului de Control Intern Managerial (SCIM) care ajută entitățile publice să își atingă obiectivele asumate în condiții de eficiență, eficacitate și legalitate. Identificarea din timp a riscurilor potențiale (evenimente sau situații care nu s-au produs încă, dar care pot apărea și afecta realizarea obiectivelor) permite luarea de măsuri preventive sau de diminuare a impactului. Un risc se poate manifesta ca o amenințare (obținerea rezultatelor este periclitată) sau ca o oportunitate (rezultatele pot fi îmbunătățite); în ambele cazuri, riscul trebuie evaluat ca o combinație de probabilitate și impact. Printr-un management eficient al riscurilor, conducerea poate anticipa problemele înainte ca acestea să devină critice, poate aloca resursele mai judicios și poate crește capacitatea instituției de a răspunde imprevizibilului.

Cadru legislativ și documente relevante: În România, importanța managementului riscurilor în sectorul public este consacrată de cadrul normativ și metodologic actual. Ordinul Secretariatului General al Guvernului nr. 600/2018 privind aprobarea Codului controlului intern managerial al entităților publice introduce cerințe clare pentru gestionarea riscurilor în instituțiile publice. Conform acestui ordin, conducătorul fiecărei instituții publice trebuie să dezvolte un sistem de control intern managerial, iar procesul de management al riscurilor este organizat sub coordonarea Comisiei de monitorizare desemnate la nivelul instituției. De asemenea, Ordinul SGG 600/2018 prevede că riscurile trebuie identificate și evaluate la nivelul fiecărui compartiment, iar riscurile semnificative se centralizează la nivelul întregii entități publice.

Pe lângă cadrul legal, două ghiduri metodologice majore stau la baza bunelor practici în domeniu: Manualul de implementare a SCIM și Metodologia de management al riscurilor elaborate în cadrul proiectului SIPOCA 34 (proiect derulat de SGG pentru consolidarea controlului intern managerial la nivel central și local). Aceste documente oferă explicații detaliate, definiții, exemple și instrumente standardizate pentru gestionarea riscurilor la nivelul entităților publice. Ghidul de față sintetizează cerințele Ordinului SGG 600/2018, ale Manualului SCIM și ale Metodologiei SIPOCA 34, prezentând pas cu pas etapele procesului de management al riscurilor, rolurile cheie implicate, exemple practice și instrumente utile (precum registrul de riscuri și checklist de verificare). Scopul este de a oferi un instrument practic, clar și aplicabil pentru responsabilii cu riscurile, membrii comisiilor de monitorizare, șefii de compartimente și alți funcționari implicați în implementarea SCIM în organizațiile publice din România.

Etapele procesului de management al riscurilor

Gestionarea eficientă a riscurilor presupune parcurgerea mai multor etape logice, de la definirea contextului (obiectivele și activitățile instituției) până la monitorizarea continuă a riscurilor și îmbunătățirea procesului. Conform metodologiilor SCIM, etapele de bază ale procesului de management al riscurilor includ: identificarea riscurilor, evaluarea riscurilor (prin estimarea probabilității și impactului și calculul expunerii la risc), tratamentul riscurilor (stabilirea răspunsurilor și implementarea măsurilor de control), urmate de monitorizarea, raportarea și revizuirea periodică a riscurilor. În continuare, vom detalia fiecare etapă în parte:

Identificarea obiectivelor și activităților

Primul pas în gestionarea riscurilor este să înțelegem ce anume vrem să protejăm sau să realizăm, adică obiectivele organizației și activitățile prin care le atingem. Fără o definire clară a obiectivelor, riscăm să identificăm riscuri irelevante sau să omitem riscuri critice. Standardul 5 din SCIM impune entităților publice să stabilească obiective generale și specifice aliniate cu misiunea instituției, iar Standardul 6 cere planificarea activităților necesare atingerii acelor obiective. În practică, este recomandat ca fiecare instituție să elaboreze o Listă a obiectivelor generale și specifice, însoțită de activitățile corespunzătoare fiecărui obiectiv. Acest document de planificare (plan strategic, plan de management sau lista obiectivelor) devine fundamentul procesului de management al riscurilor.

Pentru a aplica acest pas:

• Identificați obiectivele generale ale entității (de ex.: îmbunătățirea serviciilor către cetățeni, implementarea unui sistem informatic, creșterea gradului de absorbție a fondurilor europene, etc.). Asigurați-vă că obiectivele sunt formulate SMART (Specifice, Măsurabile, Adecvate, Realiste, cu Termene).
• Derivați obiective specifice din cele generale, apoi asociați fiecărui obiectiv specific activitățile concrete necesare atingerii lui. De exemplu, pentru obiectivul specific „Creșterea competențelor digitale ale angajaților„, o activitate ar putea fi „Organizarea de cursuri IT pentru personal„.
• Documentați aceste obiective și activități și comunicați-le angajaților implicați. Acest demers nu doar că facilitează identificarea riscurilor (în pasul următor), dar asigură și alinierea întregii organizații la aceleași ținte.

Notă: Dacă instituția dvs. este la începutul implementării SCIM, poate fi utilă defalcarea activităților în acțiuni mai mici. Acest nivel de detaliu ajută la o mai bună înțelegere a modului de realizare a obiectivelor și la identificarea mai precisă a riscurilor asociate fiecărei etape.

Identificarea și descrierea riscurilor și a cauzelor

Odată ce obiectivele și activitățile au fost clar definite, se trece la identificarea riscurilor care le pot afecta. Identificarea riscurilor este prima etapă activă a managementului riscurilor și constă în a descoperi și lista toate evenimentele posibile (din interiorul sau din exteriorul organizației) care ar putea amenința realizarea obiectivelor. În această etapă este esențial să fie implicați oameni cheie din fiecare compartiment, deoarece fiecare structură a instituției își cunoaște cel mai bine activitățile și vulnerabilitățile.

Legătura cu obiectivele: Orice risc trebuie evaluat în raport cu un obiectiv sau o activitate specifică. Întotdeauna ne întrebăm: „Ce obiectiv/activitate poate fi afectat(ă) și cum?„. Astfel, riscurile sunt identificate pentru fiecare obiectiv și activitate importantă, asigurându-ne că nu scăpăm din vedere aspecte critice. Conform Ordinului SGG 600/2018, riscurile aferente fiecărui obiectiv/activitate se identifică la nivelul fiecărui compartiment al instituției. De aceea, șefii de compartimente de la primul nivel de conducere au obligația de a desemna un responsabil cu riscurile în cadrul structurii lor, care să coordoneze procesul de identificare colectând de la personal toate riscurile relevante. Responsabilul cu riscurile din compartiment consiliază personalul și asistă șeful compartimentului pe tot parcursul gestionării riscurilor.

Cum formulăm riscurile și cauzele: Un risc bine definit trebuie să includă evenimentul potențial și efectul așteptat asupra obiectivului, precum și cauzele care ar putea conduce la producerea sa. În practică, o metodă utilă este formularea riscului sub forma „Există riscul ca … din cauza … , ceea ce ar putea duce la …„. De exemplu: „Există riscul nefinalizării la timp a proiectului IT X din cauza întârzierilor în procedura de achiziție, ceea ce ar putea duce la raterea obiectivelor propuse pentru digitalizare„. În acest mod, descrierea riscului evidențiază clar: evenimentul incert (nefinalizarea la timp), cauza (întârzieri la achiziție) și consecința asupra obiectivului (raterea țintelor de digitalizare).

La identificarea riscurilor, țineți cont atât de vulnerabilitățile interne (puncte slabe ale entității), cât și de amenințările externe. Metodologia SIPOCA 34 recomandă identificarea vulnerabilităților interne (factori proprii organizației care pot genera riscuri, cum ar fi lipsa de personal calificat, proceduri neclare, dotări insuficiente) și a amenințărilor externe (factori din mediul extern, precum schimbări legislative, fluctuații economice, dezastre naturale) care pot afecta obiectivele. Această abordare ajută la acoperirea completă a spectrului de riscuri: de la cele interne la cele externe și de la cele strategice (care afectează obiective majore ale instituției) la cele operaționale (care afectează activități curente).

Bune practici în identificarea riscurilor:

• Brainstorming structurat: Organizați ședințe sau discuții pe fiecare compartiment în care personalul să propună posibile riscuri legate de activitatea lor. Responsabilul cu riscurile poate folosi întrebări ghid (ex: „Ce ar putea merge rău în această activitate?” sau „Ce ne împiedică să atingem obiectivul X?”).
• Analiza lecțiilor din trecut: Examinați incidentele sau problemele apărute în anii anteriori (ex: neîndeplinirea unor indicatori, depășirea termenelor, audituri cu constatări negative). Acestea pot indica riscuri recurente de care să țineți cont.
• Consultați documente și rapoarte relevante: Planuri strategice, rapoarte de audit, rapoarte de activitate – toate pot conține referiri la riscuri potențiale sau zone vulnerabile.
• Nu uitați de oportunități: Deși majoritatea riscurilor identificate vor fi amenințări, e bine să recunoaștem și posibile oportunități (situații favorabile neprevăzute) – de exemplu obținerea unui finanțări suplimentare, apariția unei tehnologii noi etc. Oportunitățile ar trebui notate și gestionate (de obicei valorificate), chiar dacă metodologia de management al riscurilor se concentrează pe amenințări.

Rezultat: La finalul etapei de identificare, ar trebui să existe o listă cu riscurile identificate pe fiecare compartiment, fiecare risc fiind descris clar (eveniment + cauză + impact așteptat). Aceste riscuri vor fi apoi înscrise în Registrul de riscuri al compartimentului. Registrul de riscuri este documentul central în care se consemnează toate informațiile despre riscurile identificate și va sta la baza etapelor următoare. Fiecare compartiment își va actualiza registrul de riscuri ori de câte ori apar riscuri noi sau se modifică riscurile existente, iar riscurile semnificative vor fi raportate către nivelul superior (Comisia de monitorizare) pentru a fi incluse în registrul de riscuri al entității.

Estimarea probabilității și a impactului

După ce am identificat ce se poate întâmpla rău, următorul pas este să evaluăm cât de probabil este să se întâmple și cât de grav ar fi efectul asupra obiectivelor. Aceasta reprezintă evaluarea (analiza) riscurilor, în care fiecare risc identificat este analizat cantitativ sau calitativ sub două aspecte cheie:

• Probabilitatea de apariție a riscului – adică șansa sau frecvența cu care se estimează că s-ar putea produce evenimentul riscant.
• Impactul (consecința) asupra obiectivului dacă riscul s-ar materializa – adică gravitatea efectelor asupra activității sau rezultatului vizat.

Pentru a asigura o evaluare consecventă, se folosesc scări de apreciere predefinite pentru probabilitate și impact. Metodologia SCIM recomandă fie o scală în 3 trepte (scăzut, mediu, mare), fie una în 5 trepte, în funcție de nevoile și experiența organizației. Multe instituții optează pentru 3 trepte, mai ușor de gestionat. De exemplu, definițiile unei scări cu 3 niveluri pot fi:

• Probabilitate scăzută: risc foarte puțin probabil să se întâmple (ex: <10% șanse, sau „nu a mai avut loc niciodată în ultimii ani”).
• Probabilitate medie: risc moderat de probabil (ex: 10-50% șanse, sau „a avut loc rareori în trecut”).
• Probabilitate mare: risc foarte probabil să se întâmple (ex: >50% șanse, sau „deja s-a întâmplat de câteva ori/recent”).

Conform Metodologiei de management al riscurilor SGG, probabilitatea se evaluează apreciativ pe trepte de scăzută, medie sau mare, iar impactul potențial se evaluează tot pe scăzut, mediu sau ridicat (mare), cu explicații calitative pentru fiecare nivel. Exemple de criterii pentru impact pot fi:

• Impact scăzut: consecințe minore, ușor de gestionat de compartiment, fără costuri semnificative sau întârzieri notabile.
• Impact mediu: consecințe moderate, ar necesita eforturi suplimentare și poate afecta parțial atingerea obiectivului (de exemplu întârzierea unor etape, costuri suplimentare mici, necesitatea realocării de resurse).
• Impact ridicat: consecințe grave, obiectivul este în pericol major sau nu mai poate fi atins, pierderi semnificative de resurse, afectarea imaginii instituției sau încălcarea unor obligații legale.

Este important ca aceste criterii de evaluare (scările de probabilitate și impact) să fie stabilite oficial printr-o procedură internă și înțelese de toți cei implicați, pentru a exista un limbaj comun. În practica SCIM, multe entități includ aceste scări în Procedura de sistem „Managementul riscurilor” aprobată de conducerea instituției. Astfel, când personalul evaluează riscurile, toată lumea folosește aceleași definiții (de ex., ce înseamnă impact mare într-un minister vs. într-o primărie poate diferi ca valori absolute, dar fiecare entitate trebuie să-și definească propria scară adaptată contextului).

Estimarea efectivă: Pentru fiecare risc din registru, responsabilii împreună cu conducătorul compartimentului vor atribui o valoare/treaptă de probabilitate și o valoare/treaptă de impact. Acest proces combină adesea judecata experților (experiența profesională a personalului) cu date istorice dacă există (ex: numărul de incidente similare în trecut, statistici). Rezultatul este o evaluare calitativă (ex: risc X are probabilitate medie și impact ridicat) sau cantitativă (dacă se asociază și scoruri numerice fiecărei trepte, ex: probabilitate medie = scor 2 din 3, impact ridicat = scor 3 din 3).

Sfat: Mențineți un caracter onest și obiectiv al evaluării. Evitați tendința de a subevalua riscurile din dorința de a arăta o imagine bună (e.g., „punem toate riscurile ca fiind scăzute ca să nu pară grav”) sau supraevaluarea lor exagerată (creând panică inutilă). Folosiți exemple concrete: dacă spuneți că un risc are impact ridicat, precizați de ce – ce s-ar întâmpla concret de ar fi atât de grav? Acest lucru ajută și la pasul următor, de tratare a riscului.

Calculul expunerii la risc (nivelul de risc)

Expunerea la risc reprezintă măsura globală a severității unui risc, ținând cont atât de probabilitatea sa, cât și de impactul său. Practic, după ce am estimat probabilitatea și impactul, dorim să combinăm aceste două aspecte într-un nivel de risc care să ne ajute la prioritizare. Această combinație se poate realiza sub formă de matrice a riscului sau prin înmulțirea/scorarea valorilor. Indiferent de metodă, scopul este să clasificăm riscurile, de exemplu, în categorii precum scăzut, mediu, ridicat (sau minor, moderat, major etc.), pentru a ști pe ce ne concentrăm eforturile.

În metodologiile SCIM, expunerea la risc este definită ca ”consecința combinată a probabilității și impactului asupra obiectivelor, dacă riscul se materializează”. Cu alte cuvinte, ne uităm la ce efect ar resimți compartimentul sau instituția în cazul producerii riscului, având în vedere atât șansa de apariție cât și gravitatea sa.

Modalități uzuale de calcul al nivelului de risc:

• Matrice de risc 3×3: Se creează un tabel cu probabilitatea pe o axă (scăzut/mediu/mare) și impactul pe cealaltă axă (scăzut/mediu/ridicat). Fiecare risc cade într-o celulă a matricei, care este pre-definită ca având un anumit nivel (de exemplu, combinația probabilitate mare & impact ridicat = risc ridicat; probabilitate scăzută & impact scăzut = risc scăzut; combinațiile intermediare = risc mediu). Acest model este simplu și intuitiv.
• Scor numeric: Se atribuie scoruri numerice treptelor (ex: scăzut=1, mediu=2, mare=3) și se calculează un scor al riscului = probabilitate x impact. De exemplu, probabilitate 2 * impact 3 = scor 6. Apoi se stabilește intervale pentru nivel scăzut/mediu/ridicat (de exemplu, scor 1-2 = risc scăzut, 3-4 = mediu, 6-9 = ridicat). Acest model oferă mai multă granularitate, mai ales dacă se folosește o scară 5×5 (scor max 25). Totuși, el presupune că probabilitatea și impactul sunt la fel de importante; unele entități pot decide că un impact mare contează mai mult decât o probabilitate mare, și în loc de înmulțire pot folosi o matrice personalizată sau altă formulă.

Indiferent de abordare, rezultatul va fi un nivel de risc inerent pentru fiecare risc identificat. Risc inerent înseamnă nivelul de risc în absența oricăror controale suplimentare, adică situația actuală sau implicită. Identificarea nivelului inerent ajută la înțelegerea cât de expusă este instituția în prezent în fața fiecărui risc.

Profilul de risc și riscurile semnificative: După ce toate riscurile au un nivel (scăzut/mediu/ridicat), la nivelul entității se conturează un profil de risc – o privire de ansamblu asupra distribuției și prioritizării riscurilor. Conform Ordinului 600/2018, Comisia de monitorizare analizează și prioritizează riscurile semnificative, stabilește profilul de risc al instituției și limita de toleranță la risc (nivelul de risc considerat acceptabil). Limita de toleranță la risc este cantitatea de risc pe care entitatea e dispusă să o accepte fără acțiuni suplimentare. De exemplu, conducerea poate decide: „acceptăm riscurile medii, dar toate riscurile inerente ridicate trebuie tratate”. În funcție de această toleranță, riscurile inerente se împart de regulă în:

• Riscuri minore (sub toleranță) – gestionate la nivel de compartiment, cu măsuri uzuale.
• Riscuri semnificative/majore (peste toleranță) – trebuie aduse în atenția Comisiei de monitorizare, care va supraveghea îndeaproape gestionarea lor la nivelul întregii entități.

Astfel, la finalul evaluării, știm ce riscuri sunt cele mai urgente sau critice și care pot fi considerate acceptabile în condițiile curente. Urmează să decidem ce facem cu fiecare risc, în special cu cele care depășesc limita de toleranță.

Stabilirea tipului de răspuns la risc (strategia de gestionare)

Pentru fiecare risc identificat și evaluat, instituția trebuie să aleagă o strategie de răspuns adecvată, adică modul în care va acționa pentru a gestiona riscul respectiv. Scopul este fie să reducem expunerea la risc (prin scăderea probabilității de apariție și/sau a impactului, cu ajutorul unor măsuri de control), fie să decidem cum să tolerăm sau transferăm riscul dacă nu poate fi eliminat complet. Principalele tipuri de răspuns la risc (cunoscute și ca strategii de tratare a riscului) sunt următoarele:

• Acceptarea (tolerarea) riscului: Se alege să nu se ia nicio măsură specifică asupra riscului, conștientizând existența lui. Această strategie este adecvată pentru riscurile cu expunere scăzută (impact minor și probabilitate mică) sau în situațiile în care costul sau imposibilitatea tratării face nerezonabilă orice acțiune. Practic, conducerea acceptă că poate conviețui cu riscul respectiv. Exemplu: Riscul ca un funcționar să se îmbolnăvească câteva zile există întotdeauna, dar impactul asupra instituției e mic și nu merită investiții suplimentare – acest risc este de obicei tolerat.
• Monitorizarea continuă a riscului: O strategie specială aplicată de regulă riscurilor cu impact potențial semnificativ, dar probabilitate foarte mică. În loc să investim în măsuri imediate (care poate nu se justifică câtă vreme riscul are șanse minime să apară), decidem să supraveghem atent riscul și contextul său. Dacă apar semne că probabilitatea crește, vom interveni ulterior. Exemplu: Riscul producerii unui cutremur major – impactul ar fi ridicat, dar probabilitatea e redusă; instituția nu poate evita fenomenul, însă își poate monitoriza gradul de pregătire și reacționa conform planurilor de urgență când este cazul.
• Evitarea riscului: Se ia decizia de a nu mai desfășura activitatea care generează riscul sau de a schimba fundamental planul astfel încât riscul să dispară. Aceasta elimină complet riscul, dar poate însemna și renunțarea la atingerea unui obiectiv asociat. Este aplicabilă dacă riscul are expunere foarte mare și este inacceptabil, iar entitatea are opțiunea de a-l evita. Exemplu: Dacă implementarea unui anumit proiect presupune riscuri financiare/pentru reputație mult prea mari, conducerea poate decide să renunțe la proiect cu totul, evitând astfel riscurile asociate (dar și beneficiile potențiale ale proiectului).
• Transferarea (externalizarea) riscului: Se acționează pentru a muta impactul financiar (sau altă consecință) al riscului către o terță parte. Tipic, asta înseamnă asigurare (ex.: încheierea unei polițe de asigurare pentru riscul de incendiu transferă impactul financiar către asigurator) sau outsourcing (contractarea unui extern care să preia activitatea riscantă). Transferul nu elimină complet riscul – evenimentul poate avea loc – dar instituția nu va suporta direct toate consecințele. Este recomandată mai ales pentru riscuri financiare și patrimoniale (bunuri, active). Exemplu: Riscul de furt al echipamentelor IT scumpe poate fi gestionat prin asigurarea acestora; riscul ruperii unui autovehicul poate fi transferat prin leasing operațional (firma de leasing preia reparațiile).
• Tratarea (atenuarea) riscului: Este cea mai frecventă strategie – constă în identificarea și implementarea de măsuri de control care să reducă probabilitatea de apariție a riscului și/sau impactul său la un nivel acceptabil. Practic, nu evităm riscul, ci ne pregătim să-l diminuăm. Măsurile de control pot fi de diverse tipuri: proceduri și reguli interne mai stricte, dublu control/verificare, instruirea personalului, investiții în sisteme de siguranță, planuri de rezervă etc. Exemplu: Pentru riscul „pierderii datelor importante din cauza unor defecțiuni IT”, măsura de tratare ar fi implementarea unui sistem de backup periodic în locații diferite, reducând impactul potențial.

În practică, pentru fiecare risc se documentează strategia aleasă (de obicei în registrul de riscuri și în planul de măsuri) și, în cazurile de tratare, se precizează clar măsurile de control propuse, responsabilul și termenul de implementare. Conducerea entității aprobă tipul de răspuns la risc, de regulă pe baza propunerilor venite de la responsabilii de riscuri și de la Comisia de monitorizare.

Exemplu practic de alegere a strategiei: Să presupunem riscul „pierderea expertizei tehnice din instituție” (plecarea specialiștilor cheie). Acest risc are probabilitate mare și impact ridicat, deci expunere ridicată. Două strategii posibile ar fi: (1) Tratare – instituția ia măsuri de control pentru a reține personalul valoros, de exemplu creșterea salariilor sau oferirea de beneficii pentru specialiști (scade probabilitatea plecărilor); (2) Acceptare (cu monitorizare) – instituția recunoaște că nu poate concura financiar cu sectorul privat și acceptă riscul, însă compensează prin crearea unui sistem de management al cunoștințelor (baze de date, documentație, mentorship) astfel încât, chiar dacă anumiți oameni pleacă, cunoștințele lor rămân în organizație. În exemplul dat, conducerea a adoptat strategia de tratare ca primă opțiune, dar a luat în calcul și o strategie alternativă de acceptare cu măsuri compensatorii – abordare care arată flexibilitate în gândire și adaptare la context.

Monitorizare, raportare și revizuire

Procesul de management al riscurilor nu se încheie după ce am stabilit răspunsurile și planul de acțiune. Monitorizarea continuă și revizuirea periodică sunt cruciale pentru a ne asigura că măsurile de control sunt implementate și că rămânem vigilenți la apariția unor riscuri noi sau la schimbarea celor existente.

Monitorizarea implementării măsurilor de control: Odată ce Planul de implementare a măsurilor de control a fost aprobat de conducerea instituției (acest plan agregă toate acțiunile de tratament pentru riscurile semnificative, cu responsabili și termene), trebuie urmărit progresul său. Responsabilii cu riscurile din compartimente vor raporta periodic stadiul implementării măsurilor pentru riscurile pe care le gestionează. Un instrument util este Fișa de urmărire a riscului (FUR) – un document pentru fiecare risc major, în care se notează măsurile de control asumate, stadiul îndeplinirii lor, eventualele dificultăți și acțiuni noi propuse. Practic, FUR ajută la monitorizarea operativă a riscului de către șeful de compartiment și responsabilul de risc, oferind un update clar dacă măsurile stabilite și-au făcut efectul sau dacă întâmpină obstacole. Pentru riscurile semnificative la nivel de entitate, Comisia de monitorizare poate solicita rapoarte speciale sau prezentări în ședințele sale.

Raportarea managementului riscurilor: La nivel macro, Ordinul 600/2018 impune raportări anuale care includ și aspecte de risc. Conducătorul entității publice primește anual o informare asupra desfășurării procesului de gestionare a riscurilor, întocmită de Comisia de monitorizare. Această Informare anuală cuprinde o analiză agregată a riscurilor identificate și gestionate la nivelul compartimentelor, modul de implementare a măsurilor de control și situația atingerii obiectivelor (prin monitorizarea indicatorilor de performanță). Pe baza ei, conducerea are o imagine de ansamblu: ce riscuri s-au materializat (dacă s-au întâmplat evenimente negative concrete), ce riscuri au fost ținute sub control, unde mai sunt probleme și ce progrese s-au făcut față de anul precedent.

De asemenea, raportul anual asupra sistemului de control intern managerial (pe care fiecare entitate publică trebuie să îl elaboreze conform OG 119/1999) conține o secțiune referitoare la Standardul de management al riscului, în care se descrie stadiul implementării procesului de gestionare a riscurilor în instituție și eventualele dificultăți întâmpinate. Această autoevaluare anuală este transmisă eșalonului superior (de ex. ministerului tutelar sau SGG, după caz) și servește ca bază pentru îmbunătățiri viitoare.

Revizuirea periodică a riscurilor: Contextul intern și extern al organizației este dinamic – apar schimbări care pot genera riscuri noi sau pot modifica riscurile existente. De aceea, revizuirea riscurilor trebuie să fie cel puțin anuală (dacă nu chiar semestrială sau ori de câte ori intervin schimbări majore). Revizuirea presupune să reiei procesul de identificare și evaluare într-o formă actualizată, analizând:

• Dacă au apărut riscuri noi (ex: noi proiecte, noi reglementări aduc riscuri diferite).
• Dacă riscurile existente s-au schimbat ca nivel (probabilitatea sau impactul pot crește sau scădea în timp, de exemplu ca urmare a implementării măsurilor de control unele riscuri ar trebui să devină mai puțin severe).
• Dacă măsurile de control au fost eficiente sau trebuie ajustate. Unele controale pot să nu dea rezultatele scontate și atunci riscul rămâne persistent.
• Dacă au avut loc evenimente (materializări de riscuri) și ce lecții s-au învățat din ele.
• Dacă anumite riscuri ar trebui escaladate sau coborâte ca nivel de responsabilitate (de exemplu, un risc inițial local devine atât de important încât trebuie gestionat la nivel de conducere centrală, sau invers).

Rezultatul revizuirii va fi actualizarea Registrului de riscuri (pe compartimente și la nivel de entitate), recalcularea profilelor de risc și, eventual, recalibrarea limitei de toleranță dacă contextul o impune. Revizuirea periodică oferă totodată ocazia de a evalua calitatea întregului proces de management al riscurilor: dacă acesta funcționează așa cum trebuie, dacă oamenii își cunosc rolurile, dacă instrumentele folosite (registre, formulare) sunt adecvate, sau dacă este nevoie de perfecționare profesională suplimentară în domeniu.

Bine de știut: Conform normelor, procesul de management al riscurilor ar trebui reevaluat integral cel puțin o dată pe an, iar rezultatele (progresul, schimbările) comunicate conducerii. Revizuirea nu înseamnă că ne apucăm de la zero în fiecare an, ci că actualizăm constant ceea ce avem – un proces de îmbunătățire continuă. Un sistem de management al riscurilor matur se caracterizează prin această adaptabilitate și prin lecțiile învățate din experiența anterioară.

Roluri și responsabilități în managementul riscurilor

Implementarea cu succes a procesului de management al riscurilor depinde de implicarea mai multor actori din cadrul entității publice, fiecare cu responsabilități clare, stabilite atât prin acte normative cât și prin proceduri interne. În continuare, prezentăm principalele roluri (individuale sau colective) și responsabilitățile asociate acestora, conform prevederilor Ordinului SGG 600/2018 și ghidurilor SCIM:

Conducătorul entității publice (managerul instituției)

Este, de regulă, ordonatorul principal de credite sau directorul instituției, și are responsabilitatea finală pentru întreg sistemul de control intern managerial, inclusiv managementul riscurilor. Principalele sale atribuții legate de riscuri includ:

• Înființează și conduce cadrul de gestionare a riscurilor: emite decizia de constituire a Comisiei de monitorizare SCIM (structura care coordonează implementarea controlului intern), asigurându-se că aceasta are autoritatea și resursele necesare. De asemenea, aprobă Regulamentul de organizare și funcționare al comisiei și se asigură că există o procedură formală de management al riscurilor în instituție.
• Aprobă documentele strategice în domeniu: Conducătorul entității aprobă Profilul de risc și limita de toleranță la risc propuse de Comisia de monitorizare, stabilind astfel nivelul de risc acceptat instituțional. Tot el aprobă Planul de implementare a măsurilor de control pentru riscurile semnificative, angajând oficial instituția în realizarea măsurilor de tratament.
• Supervizează și evaluează procesul: Primește și analizează Informările periodice privind gestionarea riscurilor și monitorizarea performanțelor. La final de an, aprobă Raportul anual asupra sistemului de control intern managerial (care cuprinde și secțiunea de riscuri). Pe baza acestora, conducea poate cere măsuri suplimentare sau poate realoca resurse dacă anumite riscuri o impun.

Notă: În unele entități, conducătorul instituției poate delega formal o parte din aceste atribuții (de ex. președintele comisiei de monitorizare preia coordonarea practică). Însă răspunderea de ansamblu rămâne la nivelul managementului de vârf al instituției.

Comisia de monitorizare a SCIM (și Președintele acesteia)

Comisia de monitorizare este structura colegială care coordonează implementarea SCIM, inclusiv managementul riscurilor, la nivelul entității. Este compusă, conform Ordinului 600/2018, din conducătorii principalelor compartimente (excepție auditul intern) și este prezidată de o persoană de conducere cu autoritate (de multe ori chiar conducătorul instituției sau adjunctul său). Rolurile cheie ale Comisiei și ale Președintelui Comisiei în domeniul riscurilor sunt:

• Coordonare și metodologie: Comisia coordonează procesul de gestionare a riscurilor la toate nivelurile instituției. Ea se asigură că există o metodologie unitară aplicată (ideal, o procedură internă de management al riscurilor) și că fiecare compartiment își îndeplinește sarcinile privind identificarea și evaluarea riscurilor.
• Centralizare și analiză: Membrii Comisiei analizează Registrele de riscuri transmise de compartimente și contribuie la realizarea Registrului de riscuri al entității (care include riscurile semnificative, peste limita de toleranță). Comisia prioritizează riscurile semnificative pentru instituție și propune Profilul de risc anual (lista riscurilor majore, cu nivelurile lor).
• Stabilește toleranța la risc: În ședințele Comisiei se discută și se avizează limita de toleranță la risc propusă, adică nivelul de risc considerat acceptabil. Această recomandare este înaintată conducătorului instituției pentru aprobare.
• Aprobă și avizează planurile de acțiune: Președintele Comisiei de monitorizare aprobă Registrul de riscuri la nivelul entității (după analiza în Comisie). De asemenea, Comisia avizează Planul de implementare a măsurilor de control pentru riscurile semnificative și îl propune spre aprobare conducătorului entității. Președintele Comisiei poate aproba direct unele documente operative legate de riscuri, conform delegărilor interne.
• Monitorizare și raportare: Comisia se reunește periodic (de regulă trimestrial sau semestrial) și monitorizează progresele în gestionarea riscurilor semnificative. Ea cere rapoarte de la compartimente, discută problemele întâmpinate și, la nevoie, decide măsuri suplimentare sau realocarea de resurse. Președintele Comisiei aprobă informarea anuală privind desfășurarea procesului de gestionare a riscurilor, care va fi transmisă conducătorului entității. Practic, Comisia de monitorizare este forul în care se evaluează eficacitatea întregului sistem de management al riscurilor la nivelul instituției și unde se iau decizii colective pentru îmbunătățirea lui.

Secretariatul tehnic al Comisiei de monitorizare

Secretariatul tehnic este un grup de lucru (sau persoane desemnate) care sprijină administrativ Comisia de monitorizare. În multe instituții, Secretariatul tehnic este asigurat de compartimentul responsabil cu strategia/planificarea sau de un consilier al conducerii. În privința managementului riscurilor, Secretariatul tehnic are atribuții operative foarte importante:

• Centralizarea informațiilor despre riscuri: Secretariatul primește de la toate compartimentele Registrele de riscuri pe compartiment (actualizate anual sau la revizuiri) și le analizează pentru coerență și completitudine. Apoi elaborează Registrul de riscuri la nivel de entitate (centralizând riscurile semnificative) pe care îl prezintă Comisiei de monitorizare pentru analiză și aprobare.
• Propune profilul de risc și toleranța: Pe baza datelor adunate, Secretariatul tehnic propune Profilul de risc anual și limita de toleranță la risc pentru instituție. Aceste propuneri se discută în Comisie și după avizare sunt trimise conducătorului instituției pentru aprobare.
• Planul de măsuri și urmărirea lui: Secretariatul centralizează de la compartimente măsurile de control propuse pentru riscurile semnificative și întocmește Planul de implementare a măsurilor de control la nivelul entității. După ce planul este aprobat de conducere, Secretariatul îl transmite către toate compartimentele responsabile pentru implementare efectivă. De asemenea, Secretariatul urmărește raportările privind stadiul implementării acestor măsuri și informează Comisia dacă apar întârzieri sau probleme.
• Rapoarte și informări: Secretariatul tehnic elaborează Informarea anuală privind gestionarea riscurilor (pe baza raportărilor primite de la compartimente) pentru conducătorul instituției. Tot el pregătește orice alte rapoarte solicitate (de exemplu, situații centralizatoare pentru organisme superioare). Practic, secretariatul asigură legătura între compartimente și Comisia de monitorizare, fiind un hub informațional.
• Suport metodologic: Adesea, Secretariatul tehnic are și rolul de a oferi asistență metodologică pe probleme de SCIM. De exemplu, se ocupă de actualizarea metodologiei interne de management al riscurilor, asigură arhivarea documentelor SCIM, organizează ședințe, transmite ordinea de zi etc. În domeniul riscurilor, poate ajuta compartimentele cu îndrumări despre cum să completeze registrele sau formularele de alertă la risc.

Prin aceste atribuții, Secretariatul tehnic este motorul din umbră care menține întreg procesul de management al riscurilor funcțional, asigurând fluxul de informații și ducând la îndeplinire deciziile Comisiei.

Conducătorii de compartimente (șefii de direcții/servicii)

Șefii de compartimente (în special cei de la primul nivel de conducere subordonat managementului de vârf – de ex. directori generali, șefi de servicii) au un rol direct în implementarea managementului riscurilor în aria lor de responsabilitate. Atribuțiile lor principale includ:

• Stabilesc obiectivele specifice ale compartimentului (în linie cu obiectivele generale ale instituției) și se asigură că personalul le cunoaște. Practic, pun bazele contextului pentru identificarea riscurilor.
• Desemnează un responsabil cu riscurile în cadrul compartimentului. Această persoană devine punctul de contact pentru tot ce ține de riscurile acelui compartiment.
• Supervizează identificarea și evaluarea riscurilor: Șeful de compartiment ghidează procesul intern de identificare a riscurilor, revizuiește Formularele de alertă la risc (FAR) întocmite de personal (dacă cineva semnalează un risc nou) și decide dacă respectivele riscuri sunt reale și trebuie incluse în registru. Practic, el avizează sau aprobă noile riscuri identificate.
• Aprobă Registrul de riscuri al compartimentului (de regulă anual, după actualizare). Prin semnătura sa, își asumă oficial că riscurile din aria sa au fost identificate și evaluate corespunzător.
• Stabilește măsuri de control pentru riscuri: Pentru riscurile din compartiment (mai ales cele semnificative), șeful de compartiment decide măsurile de tratament necesare și le transmite Secretariatului tehnic pentru a fi incluse în planul de acțiune la nivelul entității. De asemenea, asigură punerea în aplicare a măsurilor în unitatea sa și urmărește eficacitatea lor.
• Monitorizează și raportează: Șeful de compartiment analizează Fișele de urmărire a riscurilor (FUR) întocmite de responsabili/personal, pentru a evalua progresul implementării măsurilor și situația curentă a riscurilor. Tot el elaborează un raport anual privind gestionarea riscurilor în compartiment, pe care îl aprobă și îl trimite mai departe către Comisia de monitorizare (prin Secretariatul tehnic).
• Integrează riscurile în managementul compartimentului: În luarea deciziilor operative, șeful de compartiment ține cont de riscurile identificate. De exemplu, la planificarea activităților pentru anul următor, va aloca resurse suplimentare în zonele cu riscuri ridicate sau va ajusta obiectivele dacă anumite riscuri nu pot fi mitigate complet.

Pe scurt, conducătorii de compartimente acționează ca mini-manageri ai riscurilor în domeniul lor – ei cunosc cel mai bine specificul activităților și au responsabilitatea de a gestiona riscurile local, raportând totodată situațiile care depășesc nivelul lor (când e nevoie de decizii la nivel mai înalt).

Responsabilul cu riscurile (la nivel de compartiment)

Responsabilul cu riscurile este persoana desemnată de fiecare șef de compartiment pentru a coordona efectiv activitățile de management al riscurilor în cadrul respectiv. El acționează ca un consultant intern și ca un colector de informații privind riscurile. Sarcinile sale principale sunt:

• Consiliază personalul compartimentului pe teme de riscuri. Angajații pot apela la responsabilul de riscuri pentru a clarifica ce este un risc, cum se raportează, cum se completează un formular de alertă la risc etc. De asemenea, în cadrul procesului anual de identificare, responsabilul poate organiza discuții sau ateliere cu colegii pentru a-i ajuta să identifice riscurile relevante.
• Colectează și analizează informațiile despre riscuri: Primește Formularele de alertă la risc (FAR) de la personal (aceste formulare se completează când cineva identifică un risc nou sau o schimbare într-un risc existent) și le analizează inițial. Apoi le înaintează șefului de compartiment cu propunerea de a fi aprobate și incluse în registru.
• Elaborează și actualizează Registrul de riscuri al compartimentului. Practic, el este cel care completează efectiv registrul (în formatul standard stabilit) cu riscurile identificate, cu evaluările de probabilitate/impact, cu măsurile de control propuse etc. Asigură actualizarea registrului cel puțin anual sau ori de câte ori apar modificări, și se asigură că documentul este semnat/aprobat de șeful compartimentului și transmis mai departe Secretariatului tehnic SCIM.
• Urmărește implementarea măsurilor de control din Planul de măsuri aprobat. Cu alte cuvinte, după ce s-a decis ce acțiuni se iau pentru riscurile compartimentului, responsabilul cu riscurile monitorizează proactiv că acele acțiuni chiar se realizează la termenele stabilite. Dacă constată întârzieri sau probleme, le aduce în atenția șefului de compartiment.
• Asistă la elaborarea Fișelor de urmărire a riscurilor (FUR): Când un risc semnificativ din compartiment necesită monitorizare detaliată, responsabilul ajută persoana care a identificat riscul (sau pe cea desemnată) să completeze FUR, asigurând acuratețea și calitatea informațiilor (de ex. dacă măsurile sunt suficient de clare, dacă gradul de implementare e bine reflectat etc.).
• Raportează anual situația riscurilor pe compartiment: De regulă, responsabilul întocmește raportul anual privind gestionarea riscurilor în compartiment (un document care sumarizează câte riscuri au fost gestionate, ce nivel au, ce măsuri s-au luat, ce probleme au apărut). Acest raport este revizuit și aprobat de șeful de compartiment și apoi transmis Secretariatului tehnic al Comisiei de monitorizare.

Responsabilul cu riscurile este, așadar, specialistul local în managementul riscurilor. Deși nu are (neapărat) funcție de conducere, el influențează cultura de risc din compartiment, se asigură că procesul se derulează corect și este liantul comunicării pe teme de risc între compartiment și structurile centrale SCIM. În plus, implicarea responsabililor cu riscurile în toate compartimentele garantează unitaritatea implementării SCIM la nivelul întregii entități.

Personalul de execuție (angajații care identifică riscuri)

Toți angajații unei entități publice pot juca un rol în identificarea și semnalarea riscurilor în activitatea lor de zi cu zi. În mod specific, persoana care identifică un risc are următoarele responsabilități punctuale:

• Completează Formularul de alertă la risc (FAR) atunci când constată un risc nou sau schimbări într-un risc existent, care ar putea afecta obiectivele compartimentului. FAR este un formular standardizat (adesea anexă la procedura de management al riscurilor) în care se descrie riscul, contextul, cauzele și se propune o estimare inițială a probabilității și impactului. Nu orice risc identificat de un angajat devine automat oficial, dar completarea FAR este modul formal de a-l aduce în atenția responsabilului și a șefului.
• Participă la elaborarea Fișei de urmărire a riscului (FUR) pentru riscul pe care l-a semnalat, dacă acel risc a fost preluat în Planul de măsuri și necesită monitorizare. Practic, persoana respectivă poate fi desemnată să urmărească implementarea măsurilor (fiind direct implicată în procesul/activitatea riscantă) și să raporteze evoluția.
• Implementează măsurile de control care îi revin conform Planului de măsuri. Dacă, de exemplu, o măsură de control este „verificarea suplimentară a datelor de către un economist”, atunci economistul respectiv (dacă este persoana desemnată) trebuie să efectueze concret verificarea conform frecvenței stabilite. Fiecare angajat trebuie să își asume partea care îi revine în reducerea riscurilor.

În esență, personalul de execuție are rolul de ”senzor” pentru apariția riscurilor și de ”agent de implementare” pentru măsurile de control. Fără implicarea lor activă, sistemul de management al riscurilor nu poate funcționa – deoarece conducerea și responsabilii pot stabili proceduri, dar angajații din teren sunt cei care văd realitatea zilnică și aplică practic acțiunile preventive sau corrective.

Toate aceste roluri colaborează în cadrul procesului de management al riscurilor. O comunicare clară și o cultură organizațională care încurajează semnalarea proactivă a riscurilor sunt esențiale. Fiecare participant trebuie să știe că identificarea unui risc nu este o vină, ci un demers pozitiv pentru îmbunătățirea activității. De asemenea, trebuie să existe un angajament din partea conducerii – dacă angajații semnalează riscuri dar nu văd acțiune din partea decidenților, încrederea în sistem scade. Inversa e valabilă: un manager care cere periodic actualizări despre riscuri și alocă resurse pentru controale transmite mesajul că acest proces este important, motivând întreaga organizație să ia managementul riscurilor în serios.

Exemple practice de identificare și analiză a riscurilor

În această secțiune vom ilustra printr-un exemplu concret cum ar trebui formulat și analizat corect un risc, evidențiind totodată și o abordare greșită care trebuie evitată. Am ales un risc frecvent întâlnit în multe instituții publice: risc legat de resursele umane, mai precis riscul de a pierde personal calificat, care poate afecta continuitatea și calitatea activităților.

Context: Să presupunem că instituția are ca obiectiv specific ”Asigurarea continuității și calității serviciilor IT”. Un factor critic de succes este menținerea în echipă a specialiștilor IT cu experiență, însă există amenințarea ca aceștia să plece către sectorul privat unde salariile sunt mai atractive.

• Formulare greșită a riscului (analiză defectuoasă):
  “Lipsă personal IT calificat.” – Aceasta ar fi o abordare incorectă și incompletă. În primul rând, formularea este vagă: nu precizează cauza sau consecința, doar constată o posibilă stare (lipsă de personal calificat). Nu reiese clar ce obiectiv este afectat sau de ce ar lipsi personalul. De asemenea, riscul este exprimat ca o problemă deja existentă (“lipsă personal”) în loc să fie un eveniment viitor incert. O astfel de identificare nu ajută la analiza adecvată, deoarece nu știm de ce s-ar întâmpla și ce impact are. O altă greșeală frecventă ar fi să formulăm riscul direct ca ”Plecarea specialiștilor IT” fără a lega de impact: de ce este acesta un risc, ce se întâmplă dacă pleacă? În plus, dacă am evalua un astfel de risc formulat greșit, am putea subestima probabilitatea sau impactul din lipsă de detalii – de exemplu, cineva ar putea spune “nu cred că vom avea lipsă de personal, deocamdată avem angajați”, ignorând faptul că situația actuală poate degenera.
• Formulare corectă a riscului (analiză adecvată):
  “Există riscul ca instituția să piardă specialiștii IT experimentați, din cauza nivelului scăzut al salarizării comparativ cu piața privată, ceea ce ar conduce la întârzieri și probleme în asigurarea suportului IT pentru departamente.” – Această formulare este completă și specifică. Se precizează evenimentul riscant: plecarea specialiștilor IT (nu doar “lipsă personal” generică, ci exact pierderea unor angajați cheie). Se indică cauza principală: salarii necompetitive în sectorul public, care favorizează plecările către privat. Și se subliniază impactul asupra obiectivului: suportul IT (activitate critică pentru continuitatea serviciilor) ar suferi întârzieri și probleme de calitate, deci obiectivul de continuitate a serviciilor IT ar fi în pericol. O astfel de descriere permite o analiză realistă: probabilitatea plecării specialiștilor poate fi evaluată (ex: medie spre mare, dacă deja au fost cazuri sau ofertele din privat sunt agresive), impactul este clar (întârzierea proiectelor IT, posibile întreruperi de servicii) deci, per ansamblu, riscul poate fi considerat ridicat. Astfel, conducerea își poate da seama că e un risc ce necesită tratament. În plus, fiind specificată cauza (“nivelul salarizării”), eventualele măsuri de control pot ținti această cauză (ex: propuneri de stimulente sau alte beneficii pentru a reține personalul).

Diferențe notabile între greșit și corect: Analiza corectă leagă riscul de un obiectiv și de o cauză, în timp ce analiza greșită îl lasă izolat. Un risc formulat vag (“lipsă personal”) riscă să fie interpretat diferit de fiecare, pe când cel formulat clar transmite același mesaj tuturor (managerii înțeleg exact ce problemă se poate ivi și de ce contează). De asemenea, în exemplul de mai sus, analiza corectă permite și o strategie de răspuns bine definită. Cunoscând cauza (salariul), instituția poate alege o strategie de tratare – de exemplu, să caute aprobarea pentru acordarea de sporuri sau să creeze oportunități de avansare profesională care să motiveze specialiștii să rămână. În schimb, din analiza greșită (“lipsă personal”) e greu de extras vreo acțiune concretă – nu știi dacă lipsa apare din plecări, pensionări, lipsa recrutărilor etc.

Concluzie: Când analizați un risc, întrebați-vă mereu: Am precizat clar evenimentul incert? Am identificat cauza fundamentală? Am legat efectul de obiectivele noastre? Dacă da, atunci formularea este probabil corectă. O formulare completă ajută nu doar la înțelegerea riscului, dar și la comunicarea lui către alții (colegi, șefi) și la identificarea soluțiilor potrivite.

Greșeli frecvente în practică și cum pot fi evitate

Implementarea managementului riscurilor în instituțiile publice din România este încă un proces de învățare și perfecționare continuă. Există o serie de greșeli comune pe care organizațiile le fac în practicarea acestui proces, mai ales în primii ani de implementare a SCIM. Recunoașterea acestor erori și corectarea lor duce la un sistem de management al riscurilor mai robust și mai util. Iată câteva greșeli frecvente și sfaturi pentru a le evita:

• 1. Risc descris incomplet sau inadecvat: Așa cum am exemplificat mai sus, o eroare comună este formularea riscurilor fie prea vag, fie ca situații deja existente. De exemplu, riscuri notate generic ca „infrastructură IT proastă” sau „legislație deficitară” nu indică clar evenimentul incert și impactul. Evitare: Formulează riscul complet, menționând cauza și efectul asupra obiectivului. Încurajează personalul să folosească structura „dacă… atunci… din cauză că…” pentru a captura toate elementele. O regulă practică: dacă cineva din afara organizației citește descrierea riscului, ar trebui să poată înțelege ce s-ar putea întâmpla și de ce ar conta acel lucru.
• 2. Confundarea cauzelor, riscurilor și impactului: În registrul de riscuri apar uneori cauze trecute drept riscuri (ex: „finanțare insuficientă” ca risc, deși de fapt riscul ar fi „neimplementarea proiectelor din cauza finanțării insuficiente„) sau impacturi trecute drept riscuri (ex: „pierderi financiare” ca risc, deși riscul este evenimentul care ar provoca pierderile). Evitare: Asigură-te că toată lumea înțelege definițiile: cauza este motivul, riscul (eveniment) este ce se poate întâmpla, impactul este consecința. Poate fi util un mic glosar intern sau training care să clarifice aceste concepte, folosind exemple concrete. În registru, folosiți coloanele dedicate (cauze separate de descrierea riscului) pentru a nu amesteca noțiunile.
• 3. Identificarea neunitară sau incompletă la nivel de instituție: Unele entități publice abordează superficial identificarea riscurilor – fie omit anumite domenii, fie listează același set de riscuri generice la toate compartimentele (copiate din ghiduri, de exemplu). Aceasta poate duce la o vedere de ansamblu distorsionată: riscuri importante reale nu sunt documentate, iar în schimb se raportează riscuri care poate nu sunt relevante în contextul respectiv. Evitare: Implică fiecare compartiment în proces și adaptează analiza la specificul său. Evită abordarea “copy-paste” a riscurilor din alte entități sau din șabloane – folosește-le doar ca punct de plecare și verifică dacă se aplică situației tale. Realizează ședințe de brainstorming separate pe fiecare departament și apoi compară notele – riscurile comune vor ieși în evidență, dar și cele unice fiecărei activități.
• 4. Supra- sau sub-evaluarea riscurilor din motive subiective: Este posibil ca, din dorința de a “da bine”, unele riscuri să fie minimizate deliberat (de ex. se trece probabilitate “scăzută” deși evidențele arată contrariul), sau invers, din precauție excesivă, se consideră toate riscurile ca “mari” (ceea ce nu ajută la prioritizare, dacă totul e “critic” nimic nu mai e cu adevărat prioritar). Evitare: Stabiliți criterii clare și cuantificate pentru probabilitate și impact, aprobate de conducere. Astfel, evaluatorii vor avea un ghid obiectiv. De exemplu, dacă criteriul spune “impact financiar ridicat = pierdere peste 100k lei”, atunci nu e loc de interpretare personală. Recomandați evaluatorilor să aducă argumente sau date când atribuie un nivel – ex: “probabilitate mare, fiindcă anul trecut s-a întâmplat de 3 ori situația similară” sau “impact mediu, fiindcă am pierde ~5% din bugetul anual”. Această disciplină reduce subiectivitatea.
• 5. Lipsa legăturii între nivelul riscului și acțiunile întreprinse: Se întâmplă frecvent ca după evaluare să nu existe un plan de acțiune diferențiat – de exemplu, riscuri evaluate ridicate primesc același tratament ca riscurile scăzute sau nu primesc deloc tratament. Uneori planul de măsuri este făcut formal, fără legătură reală cu nivelul riscului (măsuri foarte blânde pentru riscuri severe, sau dimpotrivă, efort mare pe riscuri minore). Evitare: Utilizați limita de toleranță la risc drept ghid – de exemplu, decideți că toate riscurile peste un anumit nivel trebuie să aibă măsuri de control asociate și un responsabil clar. Faceți revizuiri critice ale planului de măsuri: întrebați “Face această acțiune ca nivelul riscului să scadă de la X la Y? Este suficient?”. Dacă nu, adăugați sau înlocuiți măsuri. Totodată, asigurați-vă că riscurile scăzute nu consumă resurse exagerate – acestea pot fi doar monitorizate sau acceptate, astfel încât efortul principal să meargă către riscurile majore.
• 6. Nerealizarea efectivă a măsurilor de control asumate: O greșeală des întâlnită este ca planul de acțiune să rămână pe hârtie. Se bifează că “avem plan de măsuri”, dar multe acțiuni din plan nu se implementează la termen (poate din lipsa de responsabilizare clară sau pentru că nu au fost realiste). Evitare: Introduceți un mecanism de urmărire ferm – de exemplu, responsabilul de risc sau șeful de compartiment să raporteze bilunar/trimestrial stadiul fiecărei acțiuni. Puteți folosi un simplu tabel de monitorizare cu semafor (verde – în grafic, galben – în întârziere, roșu – blocat). Comisia de monitorizare ar trebui să solicite acest raport și să tragă la răspundere compartimentele unde se observă întârzieri repetate. Cultura responsabilității se construiește în timp – dacă oamenii știu că cineva chiar verifică implementarea măsurilor, vor acorda mai multă atenție realizării lor.
• 7. Tratarea managementului riscurilor ca pe un exercițiu birocratic, nu ca pe un instrument de management real: Aceasta este o problemă de mentalitate. Dacă riscurile sunt identificate și evaluate doar pentru a „bifa” o cerință (ex: completăm registrul o dată pe an și apoi îl punem în sertar), procesul își pierde scopul. Semne ale acestei greșeli: registre de riscuri copiate identic de la an la an, fără nicio modificare; personal care nu cunoaște riscurile din propriul compartiment; riscuri care se materializează dar nu au fost niciodată trecute în registru. Evitare: Conducerea trebuie să dea tonul și să arate că folosește informațiile din managementul riscurilor la decizii. De exemplu, la ședințele de planificare anuală, să întrebe “Ce ne spune profilul de risc pe anul trecut? Unde stăm rău, ce trebuie consolidat?”. Să integreze discuțiile despre risc în ședințele operative (“Această modificare legislativă e un risc nou – l-ați adăugat în registru și ce facem în privința lui?”). Când oamenii văd că top managementul folosește activ datele despre riscuri, vor începe și ei să îl trateze ca pe un instrument util, nu ca pe o povară administrativă.
• 8. Documentație stufoasă și greoaie, care descurajează utilizarea: Unii încearcă să implementeze SCIM cu prea multă birocratizare: formulare de risc foarte complexe, registru cu zeci de coloane inutile, rapoarte kilometrice. Acest lucru poate copleși utilizatorii și îi face refractari (vor percepe managementul riscurilor ca pe ceva “prea complicat”). Evitare: Păstrați totul cât mai simplu și clar posibil. Folosiți formatul de registru recomandat de SGG (suficient de cuprinzător, dar nu exagerat). FAR-ul și FUR-ul să fie scurte (ideal 1 pagină fiecare). Dacă un document nu adaugă valoare, nu-l creați doar de dragul de a avea hârtii. În era digitală, încercați să folosiți și instrumente IT (foi de calcul partajate, aplicații de management al riscului) ca să ușurați colectarea și actualizarea datelor.

Recapitulând, cheia evitării acestor greșeli este conștientizarea (știm de ele, le discutăm intern) și crearea unui sistem disciplinat dar flexibil: disciplinat în termeni de proceduri urmate, dar flexibil în adaptarea procesului la realitatea organizației. Fiecare greșeală corectată apropie instituția de un management al riscurilor matur, capabil să aducă beneficii reale în luarea deciziilor.

Registrul de riscuri – exemplu (machetă completată)

Registrul de riscuri este documentul central unde se consemnează toate riscurile identificate, evaluările și opțiunile de răspuns. Conform Ordinului SGG 600/2018, fiecare compartiment trebuie să aibă un registru de riscuri propriu, iar riscurile semnificative se consolidează într-un registru la nivelul entității. Un format standard de registru de riscuri include de obicei: obiectivul/activitatea, descrierea riscului, cauzele riscului, probabilitatea inerentă, impactul inerent, nivelul de risc inerent (expunerea), strategia de răspuns aleasă, data ultimei revizuiri și nivelul de risc rezidual (probabilitate, impact după implementarea măsurilor). Mai jos este prezentat un exemplu ipotetic de registru de riscuri cu două poziții, pentru a ilustra modul de completare:

Obiectiv / Activitate	Risc (descriere eveniment)	Cauze (factorii care favorizează riscul)	Prob. (Inerent)	Impact (Inerent)	Nivel risc (Inerent)	Strategia (răspuns la risc)	Data reviz.	Prob. (Rezidual)	Impact (Rezidual)	Nivel risc (Rezidual)
Menținerea continuității și calității serviciilor IT (Activitate: Administrarea infrastructurii IT)	Pierderea expertizei tehnice din instituție – plecarea personalului IT cu experiență, ceea ce poate provoca disfuncționalități și întârzieri în suportul IT oferit departamentelor.	– Salarii mai mici în sectorul public comparativ cu IT-ul privat – Lipsa oportunităților de avansare pentru specialiști – Condiții de muncă (tehnologie) sub nivelul pieței	Mare (3)	Ridicat (3)	Ridicat (9)	Tratare (Atenuare): Implementarea unui pachet de retenție a personalului IT (ex: bonusuri de performanță, programe de formare avansată, îmbunătățirea condițiilor de muncă). Alternativ (parțial): Acceptare monitorizată – dezvoltarea documentației și a bazelor de cunoștințe pentru a conserva know-how-ul.	Iun 2025	Medie (2)	Mediu (2)	Mediu (4)
Implementarea la termen a proiectului „Sistem X” (Activitate: Achiziția și dezvoltarea sistemului informatic X)	Întârzierea implementării sistemului X, ceea ce poate duce la raterea termenelor asumate în proiect și neatingerea indicatorilor.	– Procedura de achiziție publică pentru servicii IT este greoaie și contestabilă – Dependență de un furnizor unic, posibil supraîncărcat cu comenzi – Modificări legislative apărute în domeniul achizițiilor pe parcursul proiectului	Medie (2)	Mediu (2)	Mediu (4)	Acceptare / Monitorizare: Se acceptă posibilitatea unei mici întârzieri, având în vedere constrângerile procedurale. Se monitorizează îndeaproape etapele achiziției și se menține comunicarea cu finanțatorul pentru posibile ajustări ale termenelor. Măsuri preventive limitate (ex: consultanță juridică pentru a preveni contestațiile).	Iun 2025	Medie (2)	Mediu (2)	Mediu (4)

Explicații pentru macheta de mai sus: Fiecare rând reprezintă un risc asociat unui obiectiv (și eventual unei activități). În prima coloană sunt menționate obiectivul și, dacă e cazul, activitatea specifică. A doua coloană descrie riscul ca eveniment și consecință. A treia coloană listează cauzele care pot duce la apariția riscului (multiple cauze pot fi trecute pe rânduri separate în interiorul celulei, ca în exemplu). Colonele de Probabilitate (Inerent) și Impact (Inerent) conțin evaluările inițiale, iar Nivel risc (Inerent) este combinația lor (în exemplu, am folosit numeric 1-3 pentru fiecare și produsul pentru nivel: 3×3=9 risc ridicat, 2×2=4 risc mediu; se putea folosi la fel de bine calificative textual). Strategia (răspuns) explică ce s-a decis pentru acel risc – se precizează tipul (tratare, acceptare etc.) și câteva detalii ale măsurilor de control sau acțiunilor întreprinse. Data reviz. indică ultima dată la care s-a actualizat riscul (de obicei luna și anul revizuirii anuale sau ultima modificare semnificativă). În final, coloanele de Probabilitate / Impact / Nivel rezidual arată reevaluarea riscului după implementarea măsurilor de control. Scopul este să se vadă dacă riscul scade ca nivel. În exemplu, pentru primul risc s-a redus de la ridicat la mediu (probabilitatea a scăzut după implementarea pachetului de retenție, de la mare la medie, deci scor 4), iar la al doilea risc nivelul a rămas mediu deoarece s-a acceptat practic același nivel, neexistând măsuri care să modifice semnificativ probabilitatea sau impactul (monitorizarea nu reduce de fapt nivelul, dar riscul era oricum tolerabil).

Un astfel de registru, completat pentru toate riscurile identificate, oferă o imagine de ansamblu asupra expunerilor instituției. El trebuie aprobat la nivel de compartiment și la nivel de entitate (pentru riscurile semnificative), apoi utilizat activ în management. Ideal, registrul de riscuri nu este doar un tabel static, ci un instrument viu, actualizat continuu și consultat la luarea deciziilor.

Checklist pentru evaluarea calității procesului de management al riscurilor

Pentru a asigura că procesul de management al riscurilor din instituția dumneavoastră este eficient și complet, este util să realizați periodic o verificare tip „checklist”. Mai jos este prezentată o listă de întrebări de control și bune practici. Dacă răspunsul la oricare din aceste întrebări este negativ, acela poate fi un domeniu de îmbunătățit în sistemul SCIM al organizației:

• Obiective clare: Sunt stabilite și documentate clar obiectivele generale și specifice ale entității, cunoscute de management și personal? (Standardul 5 SCIM îndeplinit – fără obiective definite, nu putem lega riscurile de ceva concret)
• Identificare sistematică: A fost parcurs un proces structurat de identificare a riscurilor la nivelul fiecărui compartiment și pentru fiecare obiectiv important? (Toate compartimentele au contribuit, nu doar câteva persoane)
• Descriere completă: Sunt riscurile descrise clar, astfel încât fiecare include evenimentul incert, cauza și posibilele efecte asupra obiectivelor? (Evităm formulările vagi sau confundarea riscului cu cauza/impactul)
• Criterii de evaluare definite: Există criterii aprobate pentru evaluarea probabilității și impactului (scale de 3 sau 5 trepte, cu descrierea fiecărui nivel) și acestea au fost comunicate celor care fac evaluarea? (Asigură consecvența în estimări)
• Evaluare realistă: A fost evaluată probabilitatea și impactul pentru fiecare risc pe baza dovezilor și a experienței (nu la întâmplare sau “din pix”), și a rezultat un nivel de risc inerent pentru fiecare? (Riscurile au fost prioritizate corect în funcție de nivel)
• Registru de riscuri actualizat: Este disponibil un Registru de riscuri actualizat (pe compartimente și central pe entitate) care să includă toate elementele necesare (obiective, riscuri, cauze, evaluări, răspunsuri, riscuri reziduale, date revizuiri)?. (Registrul a fost revizuit cel puțin o dată în ultimele 12 luni)
• Limită de toleranță stabilită: A fost definită și aprobată o limită de toleranță la risc a entității? (Adică s-a stabilit ce nivel de risc este acceptabil și care necesită acțiune imediată). Și, în consecință, riscurile peste toleranță au fost raportate conducerii?
• Plan de măsuri implementat: Există un Plan de acțiuni/măsuri de control pentru riscurile care necesită tratament, cu responsabil și termen pentru fiecare măsură?. Măsurile din plan sunt specifice și realizabile (nu generale sau vagi) și s-au alocat resurse pentru ele?
• Responsabilități clare: Au fost desemnați oficial responsabili cu riscurile în toate compartimentele cheie și își exercită aceștia atribuțiile (coordonarea identificării, actualizarea registrului etc.)?. De asemenea, Comisia de monitorizare are un program de lucru și ședințe regulate dedicate riscurilor?
• Monitorizare continuă: Se monitorizează implementarea măsurilor de control prin rapoarte periodice sau fișe de urmărire a riscurilor?. Persoanele responsabile raportează stadiul, iar managementul primește aceste informații?
• Raportare și feedback: A fost transmisă conducerii instituției o informare despre gestionarea riscurilor în ultima perioadă (semestru/an)?. S-au discutat rezultatele în ședința de management și s-au oferit feedback/decizii? (ex: conducerea a aprobat profilul de risc propus, a cerut măsuri suplimentare pentru riscurile mari etc.)
• Revizuire periodică: A fost efectuată cel puțin o revizuire a riscurilor în ultimele 12 luni (sau mai des) pentru a actualiza lista și evaluările în funcție de schimbările apărute?. Au fost integrate riscurile noi apărute și eliminate cele care nu mai sunt relevante?
• Cultură de risc pozitivă: Există o atitudine pro-activă în rândul personalului privind managementul riscurilor? (Angajații știu cum să raporteze un risc; nu se tem că vor fi sancționați pentru că semnalează probleme; conducerea încurajează discuțiile deschise despre riscuri în ședințe, nu doar succesele)
• Îmbunătățire continuă: Au fost identificate lecții învățate din incidente sau din ciclul anterior de management al riscurilor și s-au luat măsuri de îmbunătățire? (ex: dacă un risc materializat nu a fost prevăzut, s-a adăugat în sistem; dacă o măsură de control nu a funcționat, s-a ajustat strategia). Instituția se adaptează pe baza experienței?

Parcurgând acest checklist, veți putea evidenția eventualele lacune în implementarea managementului riscurilor. Scopul nu este de a bifa pur formal toate căsuțele, ci de a vă asigura că procesul aduce valoare și că instituția dumneavoastră este pregătită pentru a face față incertitudinilor. Un “DA” la majoritatea întrebărilor de mai sus indică un sistem robust de gestionare a riscurilor; orice “NU” reprezintă un punct de acțiune pentru viitor.

Recomandări finale

Managementul riscurilor nu este un proiect cu început și sfârșit fix, ci un proces continuu și o componentă integrantă a bunei guvernanțe în sectorul public. Pentru a consolida practicile descrise în acest ghid, iată câteva recomandări finale de avut în vedere:

• Angajament ferm al conducerii: Nicio inițiativă de management al riscurilor nu poate reuși fără sprijinul real al echipei de conducere. Liderii instituției trebuie să continue să transmită mesajul că identificarea și gestionarea riscurilor este prioritară și face parte din modul normal de operare. Ei trebuie să folosească efectiv informațiile din profilul de risc la luarea deciziilor strategice și să aloce resursele necesare pentru implementarea măsurilor de control.
• Pregătire și conștientizare: Investiți în training-uri periodice pentru personal pe tema managementului riscurilor. Chiar și scurte sesiuni de refresh anual, în care să reamintiți procedura, rolurile și exemple de riscuri, pot menține subiectul actual. Oamenii uită sau vin colegi noi – asigurați-vă că toată lumea este mereu la curent cu așteptările. Platforme de e-learning (precum secțiunea dedicată SCIM360.ro) pot fi un instrument excelent pentru astfel de cursuri interactive și pentru diseminarea ghidurilor și materialelor de suport.
• Simplificare prin digitalizare: Pe cât posibil, utilizați soluții informatice pentru registrul de riscuri și raportări, în locul circulației pe hârtie. Un fișier partajat, o aplicație dedicată sau chiar un formular online pot ușura colectarea datelor și actualizarea lor în timp real. Astfel, responsabilii cu riscurile pot colabora mai eficient, iar conducerea poate avea acces rapid la situația riscurilor. Digitalizarea reduce erorile de transcriere și asigură o trasabilitate mai bună (istoric de modificări, notificări automate pentru revizuire etc.).
• Integrarea riscurilor cu alte procese de management: Folosiți informațiile din managementul riscurilor pentru a informa planificarea strategică, bugetarea și auditul intern. De exemplu, dacă un anumit risc e evaluat ridicat, asigurați resurse în buget pentru măsurile de atenuare; sau comunicați echipei de audit intern să ia în considerare riscurile majore la întocmirea planului de audit (standardul de audit cere oricum asta). Când riscul devine un subiect transversal (apare în planuri, în discuțiile de performance management, în controlul financiar preventiv etc.), atunci el încetează să mai fie perceput ca un exercițiu izolat de SCIM și devine parte din ADN-ul managerial al organizației.
• Partajarea bunelor practici și lecțiilor învățate: Învățați din experiența altor entități și, la rândul vostru, împărtășiți din experiența proprie. Dacă participați la rețele profesionale (de exemplu întâlniri ale responsabililor SCIM din același sector sau județ), discutați despre riscurile întâmpinate, despre soluțiile care au funcționat sau nu. Secretariatul General al Guvernului și alte organisme furnizează adesea ghiduri actualizate, studii de caz și forumuri de discuție – folosiți-le. Adaptarea locală e importantă, dar multe riscuri sunt comune sectorului public, deci nu reinventați roata de fiecare dată.
• Actualizare continuă a cadrului procedural: Revizuiți periodic Procedura de sistem de management al riscurilor a instituției. Legislația, standardele și practicile evoluează. De exemplu, dacă SGG emite un nou ghid sau dacă instituția trece printr-o reorganizare majoră, reflectați aceste schimbări în procedura proprie. O procedură actualizată (și aprobată oficial) asigură și continuitate în caz de schimbare a personalului – nou-veniții vor avea o referință clară a modului de lucru.
• Recunoaștere și cultură pozitivă: Încercați să creați o cultură pozitivă a prevenției și managementului riscurilor. Acolo unde e posibil, recunoașteți meritele celor care identifică din timp un risc sau gestionează bine o situație de criză – fie prin aprecieri publice, fie prin recompense simbolice. Astfel de gesturi demonstrează că instituția valorizează vigilența și responsabilitatea.

În încheiere, managementul riscurilor este o călătorie, nu o destinație statică. Acest ghid practic oferă reperele principale pentru a naviga în siguranță prin provocările incertitudinii. Aplicând structurat etapele, clarificând rolurile și evitând capcanele obișnuite, entitățile publice își pot crește considerabil reziliența și capacitatea de a-și atinge obiectivele chiar și în condiții nefavorabile. Prin exercițiu continuu și angajament, managementul riscurilor devine un instrument valoros care sprijină deciziile informate și buna administrare, în beneficiul organizației și al publicului deservit.