Tehnici de Evaluarea A Riscului in Organizatii Sup
Tehnici de Evaluarea A Riscului in Organizatii Sup
Tehnici de Evaluarea A Riscului in Organizatii Sup
NOTE DE CURS
Introducere
Avantaje ale Managementului Riscului: Oferirea unei game largi de definiii ale riscului i ale managementului riscurilor i descrierea utilitii acestor definiii; Listarea caracteristicilor riscurilor ce trebuie identificate cu scopul de a oferi o descriere complet a acestora; Descrierea opiunilor pentru clasificarea riscurilor n funcie de natura, sursa i perioad de timp pn la impact; Sublinierea opiunilor pentru ataarea riscurilor pentru diverse atribute ale unei organizaii i descrie avantajele fiecrei abordri; Utilizarea matricei riscurilor pentru reprezentarea impactului probabil de materializare a riscurilor n funcie de probabilitatea lor de apariie i de amploarea impactului; Evidenierea principiilor i obiectivelor managementului riscurilor, i importana acestuia pentru operaiuni, proiecte i strategii; Descrierea naturii riscurilor de hazard, de control i de oportunitate, i a modului n care organizaiile pot rspunde n mod eficient fiecrui tip; Descrierea etapelor - cheie ale procesului de management al riscurilor, precum i principalele componente ale cadrului de management a riscurilor; Descrierea caracteristicilor celor mai bune standarde de managementul riscurilor.
Definiii ale riscului pot fi gsite n multe surse, unele definiii principale fiind prezentate n Tabelul 1. Este oferit de asemenea o definiie alternativ pentru a ilustra natura diferit a riscurilor care pot afecta organizaiile. Institutul de Management al Riscului (IRM) definete riscul ca o combinaie ntre probabilitatea de producere a unui eveniment i consecinele acestuia. Consecinele pot varia de la pozitiv la negativ. Aceasta este o definiie larg aplicabil i practic, ce poate fi uor aplicat. Ghidul internaional ISO 73 privind definiiile riscului definete riscul ca fiind "efectul incertitudinii asupra obiectivelor ". Aceast definiie nu este uor de aplicat n viaa de zi cu zi. Ghidul ISO 73 ia act de asemenea de faptul c un efect poate fi pozitiv, negativ, sau o abatere de la ateptat. Aceste trei tipuri de evenimente corespund riscurilor de oportunitate, de hazard sau de incertitudine. Ghidul constat c riscul este adesea un eveniment, o modificare de circumstane, o consecin, sau o combinaie a acestora, i modul n care acestea pot afecta realizarea obiectivelor.
Tabelul 1. Definiii ale riscului Organizaia Ghidul ISO 73 ISO 31000 Definiia riscului Efectul incertitudinii asupra obiectivelor. Un efect poate fi pozitiv, negativ, sau o abatere de la ateptat. De asemenea, riscul este adesea un eveniment, o modificare de circumstane, o consecin, sau o combinaie a acestora, i modul n care acestea pot afecta realizarea obiectivelor. Institutul de Management Riscul este combinaia dintre probabilitatea unui eveniment i al Riscului (IRM) "Cartea Portocalie" consecinele sale. Consecinele pot varia de la pozitiv la negativ. a Incertitudinea unui rezultat, determinat de combinaia dintre
Trezoreriei HM impactul i probabilitatea evenimentelor poteniale. Institutul Auditorilor Incertitudinea unui eveniment care ar putea avea un impact Interni Definiie alternativ asupra realizrii obiectivelor. Riscul se msoar n termeni de consecine i probabilitate. Eveniment ce are posibilitatea de a afecta (inhiba, mbunti sau cauza incertitudine asupra) misiunii, strategiei, proiectelor, operaiilor curente, obiectivelor, proceselor principale, factorilor critici de success i /sau ateptrilor factorilor interesai (stakeholders).
Tipuri de riscuri
Riscurile pot avea rezultate pozitive sau negative, sau pot avea un rezultat incert. n acest curs, similar definiiei oferite de Ghidul ISO 73, riscurile sunt mprite n trei categorii: Riscuri de hazard (sau pure); Riscuri de control (sau de incertitudine); Ricuri de oportunitate (sau speculative). Este important s se rein c nu exist clasificri ale riscului corecte sau greite. Exist i alte clasificri ale riscurilor n alte texte, i acestea pot fi adecvate. Este mai des ntlnit divizarea riscurilor n riscuri pure i speculative. Este important ca fiecare organizaie s adopte sistemul de clasificare care este cel mai potrivit pentru circumstanele sale specifice. Exist anumite evenimente de risc care pot avea numai rezultate negative. Aceste riscuri sunt denumite riscuri de hazard, sau riscuri pure, i sunt de regul riscuri operaionale sau asigurabile. n general, organizaiile au o anumit toleran fa de riscurile de hazard, i acestea trebuie s fie gestionate n cadrul acestor limite de tolerani. Un bun exemplu de risc de hazard cu care se confrunt multe organizaii este riscul de furt. Exist unele riscuri care dau natere incertitudinii n ceea ce privete rezultatul unei situaii. Acestea sunt cunoscute sub denumirea de riscuri de control sau de incertitudine i sunt frecvent asociate cu managementul de proiect. n general, organizaiile au aversiune fa de riscurile de control. incertitudinea se poate referi la beneficiile unui proiect, livrarea rezultatelor acestuia la timp, n cadrul bugetului stabilit i conform cu specificaiile. Managementul riscurilor de control este realizat pentru a se asigura c rezultatele activitilor afacerii se ncadreaz n intervalul dorit. n acelai timp, organizaiile i asum deliberat riscuri, n special riscuri legate de pia sau riscuri comerciale, cu scopul de a obine un ctig. Acestea pot fi considerate riscuri de oportunitate sau speculative, iar organizaiile au n generat un apetit specific pentru investiia n asemenea riscuri. Aplicarea instrumentelor i tehnicilor de managementul riscului pentru managementul riscurilor de hazard este cea mai ndelung studiat diviziune a managementului riscurilor. Riscurile de control sunt asociate cu evenimente necunoscute i neateptate, i pot fi extreme de dificil de cuantificat. Riscurile de control sunt adesea asociate cu managementul de proiect. n aceste situaii, se cunoate c evenimentele se vor produce, dar consecinele precise le acestor evenimente sunt dificil de prezis i de controlat. n consecin, abordarea se bazeaz pe minimizarea potenialelor consecine ale acestor evenimente. 4
Exist dou aspecte principale asociate cu riscurile de oportunitate. Exist riscuri / pericole ce apar odat cu asumarea unei oportuniti, ns exist de asemenea riscuri ce apar dac nu se acceseaz oportunitatea respectiv. Riscurile de oportunitate pot s nu fie vizibile sau aparente fizic, fiind adeseori de natur financiar. Dei ele sunt asumate n vederea obinerii unui rezultat pozitiv, acesta nu este garantat. Riscurile de oportunitate pentru o firm mic includ mutarea sediului firmei ntr-o nou locaie, cumprarea unei proprieti noi, extinderea afacerii i diversificarea gamei de produse.
Descrierea riscurilor
Pentru a nelege pe deplin un risc este necesar o descriere detaliat. Lista de mai jos ofer detalii privind gama de informaii care este necesar s fie nregistrate pentru a descrie un eveniment riscant. Aceast list se aplic mai ales riscurilor de hazard, fiind necesar ca aceast list s fie modificat pentru o descriere complet a riscurilor de control sau de oportunitate. n consecin, pentru a putea fi colectate informaiile corecte despre fiecare risc, este necesar s se poat face clar diferena ntre riscuri de hazard, de control i de oportunitate.
Descrierea riscurilor: Denumirea sau titlul riscului Descrierea riscului, inclusiv scopul i detaliile posiblelor evenimente care Natura riscului, clasificarea riscului i perioada estimat pn la impact Pri interesate (stakeholders) n riscul respectiv Atitudinea fa de risc, apetitul pentru risc, limitele de toleran pentru risc Probabilitatea i amploarea manifestrii riscului Msuri de combatere standard Experiena incidentului i pierderii Mecanisme i activiti de control existente Responsabilitatea pentru dezvoltarea strategiilor i politicilor de risc Recomandri pentru combaterea riscurilor i termene pentru implementarea lor Responsabilitatea pentru implementarea msurilor de combatere Responsabilitatea pentru auditul riscurilor.
organizaiei. Aceste riscuri sunt de cele mai multe ori asigurabile cu ajutorul companiilor de asigurri specializate. Managementul riscului de hazard se refer la aspecte cum ar fi sntatea i sigurana la locul de munc, prevenirea incendiilor, daune materiale i consecinele cauzate de produse defecte. Riscurile de hazard pot provoca perturbri ale operaiunilor normale ale organizaiei, precum i ca costuri sporite i publicitate negativ datorat acestor evenimente perturbatoare. Riscurile de hazard se refer cel mai adesea la cldiri i alte mijloace fixe ale organizaiei, inclusiv la echipamente de producie, echipamente IT (care se pot defecta, pot fi afectate de diveri factori externi sau interni). Per ansamblu, ele pot afecta n general personalul, sediul, activele organizaiei, furnizorii, i tehnologia informaiei i comunicaiei n organizaie (ITC). Furtul i frauda pot constitui de asemenea riscuri semnificative de tip hazard pentru multe organizaii. Acest lucru este valabil mai ales pentru organizaiile care lucreaz cu numerar sau gestioneaz un numr mare de servicii financiare. Tehnici relevante pentru evitarea furtului i fraudei includ proceduri adecvate de securitate, separarea sarcinilor financiare n cadrul organizaiei, precum i proceduri de autorizare i de delegare, i verificarea atent a personalului nainte de angajare.
negative ale condiiilor de sol. De asemenea, nu ar fi nelept pentru managerul de proiect s presupun c solul va fi mai bun dect a fost preconizat, doar pentru c aa ar fi mai bine pentru construcia sa. Deoarece riscuri de control provoac incertitudine, se poate considera c o organizaie va avea aversiune fa de aceste riscuri. Un anumit nivel de abatere de la planul proiectului poate fi tolerat, dar acesta nu trebuie s fie prea mare. Tolerana n ceea ce privete riscurile de control pot fi considerat a avea acelai neles ca i n fabricarea de componente pentru echipamente, caz n care componentele trebuie s fie de o anumit dimensiune, n limitele de toleran acceptabile.
un instrument valoros pentru specialistul n managementul riscurilor. Principiul de baz a matricei riscurilor este acela de a raporta probabilitatea ca un eveniment s se materializeze n funcie de impactul (magnitudinea, amploarea, severitatea) acelui eveniment. Figura 1. ilustreaz o matrice a riscurilor simpl. Pe axa orizontal este figurat probabilitatea. Se utilizeaz termenul probabilitate, mai degrab dect cel de frecven, deoarece termenul de frecven implic faptul c evenimentul se materializeaz cu siguran, i n consecin diagrama ar nregistra astfel ct de des apar aceste evenimente. Probabilitatea este un termen mai larg ce include frecvena, dar include de asemenea i posibilitatea ca evenimentul s nu se produc.
Se utilizeaz termenul amploare, mai degrab dect severitate, pentru ca acelai termen (amploare) s poat fi utilizat pe matricea riscurilor pentru a ilustra riscuri de hazard, de control sau de oportunitate. Termenul severitate implic faptul c evenimentul respectiv este nedorit, i deci se refer mai ales la riscurile de hazard. Matricea riscurilor figureaz probabilitatea i amploarea unui eveniment (risc). Totui, pentru managerii de risc, mai important dect amploarea este impactul (consecinele) evenimentului. De exemplu, se poate produce un incendiu major care distruge complet 9
depozitul unei firme de distribuie i logistic. Dei amplitudinea evenimentului poate fi mare, dac firma a implementat planuri pentru a face fa cu succes unui astfel de eveniment, impactul asupra companiei poate fi mult mai mic dect poate prea la prima vedere. Amplitudinea unui eveniment poate fi considerat a fi nivelul de risc inerent, iar impactul poate fi considerat ca fiind nivelul de risc gestionat (sau actual, curent). Deoarece impactul unui eveniment este mai important dect amploarea sa, matricile de risc nfieaz de cele mai multe ori impactul i probabilitatea evenimentelor riscante, nu amploarea i probabilitatea acestora. Indicele (factorul de risc) este utilizat pentru evaluarea riscurilor i apare ca rezultant a probabilitii de materializare a unui risc, i a impactului acestuia dac el se materializeaz: Indicele de risc = Probabilitate x Impact Indicele (factorul de risc) ia valori ntre 01 (sau 110, 1100). Tabelul 2. nfieaz valorile posibile ale Indicelui de risc msurat pe scala 01. Tabelul 2. Valori ale indicelui de risc Indicele de risc = Probabilitate x Impact Probabilitatea riscului 0,9 0,05 0,7 0,5 0,3 0,1 0,04 0,03 0,02 0,01 0,05
0,09 0,07 0,05 0,03 0,01 0,10 0,14 0,10 0,06 0,02 0,20 0,12 0,04 0,40 0,08 0,80
Impactul riscului
Valoarea factorului de risc se poate apoi reprezenta pe Matricea riscurilor. Matricea riscurilor poate figura de asemenea mecanismele i msurile de control asupra riscurilor ce pot fi aplicate, sau nivelele de risc inerent, curent (sau rezidual), i nivelul rezultat n urma aplicrii msurilor de contracarare. n acest scop se pot utiliza coduri de culoare pe matricea riscurilor, pentru a oferi o reprezentare vizual a importanei fiecrui risc. Pe msur ce riscurile se deplaseaz ctre colul din dreapta sus a matricei riscurilor, ele devin mai importante i au un impact mai mare, deci devin urgente i trebuie soluionate cu prioritate.
10
11
Figura 2. Relaia dintre risc i ctig Analiza de mai sus cu privire la relaia dintre riscuri i ctig se aplic n principal la riscurile de oportunitate (speculative), pe care organizaia decide n mod deliberat s i le asume. Totui, este necesar s se observe c aproape ntotdeauna efortul de gestionare (management) a riscurilor conduce la ctig. n cazul riscurilor de hazard, este posibil ca recompensa pentru efortul crescut al managementului riscurilor s conste n mai puine evenimente perturbatoare. n cazul riscurilor de incertitudine, recompensa pentru efortul de management al riscului va fi c proiectele organizaiei vor fi livrate la timp, n limitele bugetului i ncadrndu-se n specificaiile / calitatea cerute. Pentru riscurile de oportunitate, analiza de risc-ctig ar trebui s conduc la mai puine produse noi nereuite, un nivel mai ridicat de profit, sau (n cel mai ru caz) un nivel mai sczut de pierdere pentru toate activitile noi sau produsele noi.
Managementul Riscului
Managementul riscului este considerat tot mai frecvent ca o funcie general a managementului organizaiei al crei obiectiv este identificarea, analiza i controlul cauzelor i efectelor incertitudinii i riscurilor dintr-o organizaie. Managementul riscului: cultura, procesele i structurile ndreptate spre managementul eficace al potenialelor oportuniti sau al efectelor adverse (AS/NZS 4360 : 2004 si ISO/IEC Guide73:2002). Scopul principal al managementului de risc este sprijinirea organizaiei s progreseze spre atingerea scopurilor i obiectivelor sale n cel mai direct, eficient i eficace mod. 12
Abordari recente: ERM - Entreprise Risk Management; EWRM Enterprise Wide Risk Management. Enterprise Risk Management - procesul sistematic de identificare si prioritizare a riscurilor cu care se confrunt o organizaie, cuantificarea impactului acestora asupra obiectivelor strategice si implementarea unor soluii pentru tratarea lor n vederea atingerii obiectivelor organizaiei i maximizarii valorii acesteia. Niveluri de implementare ale managementului de risc: Niveluri de Capacitatea organizaiei i protecia necesar implementare a MR Experiena n Atitudinea Expunere la Atitudinea MR managementului riscul clienilor fat de risc financiar Nivelul de baz Redus Aversiune fat de risc Expunere Cerin Identificarea, financiar minim spre clasificarea riscului, redus medie pt. MR diminuarea riscului Nivelul intermediar Limitat Asumare minim a Expunere Cerin medie Nivelul de baz + riscului financiar spre maxim abordare medie pt. MR cantitativ, prioritizare, constituire buget risc Nivelul avansat nalt Asumare maxim a Expunere Cerin Nivelul intermediar + riscului financiar puternic pt. modele matematice, ridicat MR analiz decizional, tehnici specifice de evaluare Procesul de Management al Riscului include urmtoarele etape: 1. Stabilirea contextului i a obiectivelor 2. Identificarea riscurilor 3. Evaluarea riscurilor 4. Dezvoltarea strategiilor de rspuns la risc 5. Monitorizarea, Raportarea si Controlul Riscurilor
Dac n determinarea probabilitilor apare constrngerea unor aciuni "unice", nerepetabile, managerul de proiect sau de risc este nevoit s se bazeze mai mult pe judecat, experien proprie i opiniile membrilor personalului astfel nct va estima probabiliti subiective. Exist trei niveluri de acuratee n estimarea probabilitilor: de baza, intermediar (valori intre 0 si 1 sau %) si superior (n funcie de distribuie). Surse de influen (bias) n evaluarea subiectiv a riscurilor: familiaritatea, proximitatea, controlabilitatea, subiectivitatea motivaional. Definire Sigur Aproape sigur Probabil anse aproape egale Probabil nu Aproape sigur nu Imposibil Valoarea probabilitii 1.00 0.93 0.75 0.50 0.30 0.07 0.00
3.2. Evaluarea efectelor (impactului) riscurilor Impactul riscului poate fi msurat prin: - cost - orice unitate monetar; - timp - ca ntrziere n realizarea unei activitati; - timp - ca ntrziere n realizarea unei activitati; - calitate sau cerine ale clienilor; - altele Expunerea la risc: Risc inacceptabil: pune n pericol strategia firmei, situaia sa financiar sau chiar sntatea oamenilor; Risc critic: creeaz greuti n realizarea strategiei firmei si poate produce pierderi semnificative financiare si umane; Risc semnificativ: poate cauza probleme operaionale, dar poate fi rezolvat prin alocarea unor bugete corespunztoare; Risc minor: nu genereaz probleme semnificative i implic pierderi financiare reduse.
15
Comerciale
Legale
Modalitatea de msurare a impactului (exemple) Pierderea cotei de pia Impactul = Mrimea segmentului de pia * (% sperat - % obinut n cazul apariiei riscului) Deficit financiar Analiz financiar: analiza cash-flowului, tehnica actualizrii Irosirea efortului cu Calcularea costului total cu ntlnirile comerciale, ofertarea studiile preliminare, ntocmirea ofertei. Pierderea clientului Calcularea costului total cu munca nepltit, cu subcontractantul i furnizorii Plata unor penaliti Impact = Zile ntrziere * cost/zi * nivelul mediu al resursei Apariia unor datorii Msurarea prejudiciului direct i indirect Apariia unor cheltuieli Analiza de cash - flow, Costul mprumutului, financiare Nivelul dobnzilor pe termen lung Curs de schimb nefavorabil Rata de schimb potenial * suma de bani ce trebuie schimbat Consecina nedorit Modalitatea de msurare a impactului Depirea costului cu aprovizionarea Depirea costului cu subcontractarea Efort suplimentar Depirea costului de producie Accident generat de euarea sistemului Depirea costului cu mentenana Clauzele contractelor cu furnizorii Metoda PERT, Gantt Simularea Monte Carlo pentru durat i cost, metode de previziune, tehnici de extrapolare Metoda PERT, simularea Monte Carlo, tehnici de previziune i extrapolare Prejudiciul direct i indirect, pierderile de natur uman Costul de intervenie i corecie
Consecina nedorit
Financiare
3.3. Utilizarea informaiilor obinute pentru cuantificarea riscurilor - Se calculeaz Factorul de risc (FR): FR = P*I - Se reprezint grafic pe Matricea riscurilor.
16
- Valorile maxime admise, pentru a defini un target al rspunsurilor la risc. Pentru fiecare risc se pot enumera mai multe strategii/masuri posibile, dar se vor selecta numai cele posibil a fi aplicate in contextul dat. Rspunsuri la risc Strategii
Terminare (eliminare) Eliminarea riscului n limita posibilitilor. Transfer Tratare (soluionare) Tolerare (acceptare) Alocarea riscului celor care l genereaz. Diminuarea expunerii la risc prin gsirea i implementarea unor msuri adecvate. Includerea n planificarea strategic a organizaiei.
< 5% cretere 5-10% a costului cretere a costului < 5% depire 5-10% a planificrii depire Afectarea unor aspecte minore Afectarea unor aspecte majore Reducerile de calitate necesit aprobarea beneficiarului
Scop
Calitate
17