Professional Documents
Culture Documents
005.334:006.4 005.334:006.4
Noţiunea de risc a fost, dintotdeauna, Risk has been one of the key concepts
unul din conceptele-cheie mult studiate în studied in economics. Famous authors have
știinţele economice. Autori renumiți au pre- identified the main difference between risk and
zentat și identificat principala diferență dintre uncertainty. The main factor is that in some
noţiunea de risc și incertitudine. Factorul prin- cases the risk can be measured, in other cases
cipal prezumă că, în anumite cazuri, riscul – not. It seems that a measurable uncertainty,
poate fi măsurat, în alte cazuri – nu. Se pare
or “risk” itself, is not an uncertainty at all. We
că o incertitudine măsurabilă (sau „riscul”
could associate crisis management with uncer-
propriu-zis este cu mult diferit de cel de
tainty while risk management is a quantitative
neimaginat) nu este deloc o incertitudine.
approach to measure and assess the exposure
Astfel, am putea asocia gestionarea crizelor
to known events and probabilities. The aim of
cu incertitudinea, în timp ce managementul
this article is to offer a better understanding of
riscului este un mijloc de abordare cantitativă
how should be risks identified, assessed and
pentru măsurarea și evaluarea expunerii la
responded efficiently and effectively.
evenimente și probabilități cunoscute. Scopul
acestui articol este de a oferi o mai bună Keywords: risk response, risk manage-
înțelegere a modului în care riscurile ar trebui ment, risk assessment, enterprise restructuring,
identificate, evaluate și a modului în care ar ISO 3000 standard.
trebui să reacționăm eficient la apariția lor. JEL: D81.
Cuvinte-cheie: răspunsul în faţa riscu-
lui, managementul riscului, evaluarea riscu- Introduction
lui, restructurarea întreprinderii, standardul Risk management can be described as
ISO 3000. the process of handling the risks by first iden-
JEL: D81. tifying them, then evaluating them, and then
minimizing or monitoring them in order to
Introducere keep them as harmless as possible [3, p. 20].
Managementul riscului poate fi descris Risks generally are associated with uncer-
ca fiind procesul de gestionare a riscurilor prin tainty. Within organizations, risks can come
identificarea acestora, evaluarea și, apoi, prin from a lot of different uncertain aspects: mar-
minimizarea sau monitorizarea lor, pentru a le ket evolution, projects failures, accidents, natu-
menține la un nivel, la care impactul generat ral disasters, etc.
de ele să fie minim [3, p. 20]. În general, ris- There are different tools that can be used
curile sunt asociate cu incertitudinea. În cadrul when dealing with risks, depending upon the
organizațiilor, riscurile pot surveni sub diferite kind of risk faced. Ideally, in risk management,
aspecte: evoluția pieței, eșecuri ale proiectelor, a risk prioritization process should be followed
accidente, dezastre ale naturii etc. in order to be able to deal first with those risks
Există diferite instrumente, care pot fi that present great loss threat and have great
utilizate în cazul gestionării riscurilor, în func- probability of occurrence.
ție de tipul de risc, cu care se confruntă. În The importance of properly assessing
mod ideal, în managementul riscurilor, ar tre- and prioritizing the risks is huge. According to
bui urmat un proces de prioritizare a riscurilor, this action, and depending on their accuracy,
pentru a putea face față, în primul rând, ris- the company’s resources are allocated towards
curilor, care prezintă o mare amenințare, pot minimizing the perceived risks.
aduce pierderi și care au o mare probabilitate Apart from risk management models,
de apariție. typically most of the organizations follow a
Importanța evaluării corespunzătoare și risk management cycle, as presented in the
a prioritizării riscurilor este semnificativă. figure 1.
Conform acestor acțiuni și, în funcție de exac-
titatea lor, resursele companiei sunt alocate în
vederea minimizării riscurilor survenite.
În afară de modelele de management al
riscurilor, majoritatea organizațiilor urmează
un ciclu de gestionare a riscurilor, prezentat
în figura 1.
ESTIMAREA/ ESTIMATION
EVALUATION
EVALUAREA/
MEASUREMENT
MĂSURAREA/
GESTIONAREA RISCURILOR/
RISK MANAGEMENT
ADMINISTRAREA/
ADMINISTRATION
În conformitate cu acest ciclu de ges- According to this cycle there are four
tionare a riscurilor, există patru etape în pro- steps in the process of risk management:
cesul de management al riscurilor: • Step 1. Assessment of risk;
• Etapa 1. Identificarea riscului; • Step 2. Evaluation of risk;
• Etapa 2. Evaluarea riscului; • Step 3. Management of risk;
• Etapa 3. Gestionarea riscului; • Step 4. Measuring risk’s impact.
• Etapa 4. Evaluarea impactului riscului. The first step is to identify or assess the
Prima etapă o constituie identificarea risks, by identifying their source. The sources
riscurilor și constă în stabilirea sursei acestora. of the risks can be internal or external to the
Sursele riscurilor pot fi interne sau externe system. They both can be controlled only up to
sistemului. Ambele pot fi controlate doar într- a certain extent.
o anumită măsură. After the risks are identified they must be
După identificarea riscurilor, acestea evaluated from the point of view of their
trebuie evaluate din punctul de vedere al potential to be harmful to the company. The
potențialului lor de a fi dăunătoare companiei. potential is calculated taking into account the
Potențialul se calculează ținând seama de likelihood of occurrence and the estimated
probabilitatea de apariție și impactul estimat. impact. After the evaluation is completed, the
După finalizarea evaluării, trebuie să fie ela- risk management plan is development and
borat și implementat planul de gestionare a implemented. It defines the control mecha-
riscurilor. Acesta definește mecanismele de nisms that should be used for the mitigation
control, care ar trebui utilizate pentru dimi- of risk.
nuarea riscului. Methods, techniques and steps used in
Metode, tehnici și etape utilizate în risk management
managementul riscului Event identification is the ability of the
Identificarea evenimentelor denotă company to identify the positive and the nega-
capacitatea companiei de a detecta eveni- tive events which can affect or bring benefits to
mentele pozitive și negative, care pot preju- the company. This step is affecting the achie-
dicia sau aduce beneficii companiei. Acest pas vement of an entity’s objectives. The events
afectează realizarea obiectivelor entității. may be:
Evenimentele pot fi următoarele: Internal or External;
Interne sau externe; Positive (opportunities) or Negative
Pozitive (oportunități) sau negative (risks);
(riscuri); Initial identification or continuous
Identificare inițială sau identificare identification.
continuă. Risk Assessment is the ability of the
Evaluarea riscului reprezintă capacita- company to analyse the risks, to understand the
tea companiei de a analiza riscurile, de a înțe- impact and to establish how these should be
lege impactul și de a stabili modul în care managed. In practice, from the perspective of
acestea trebuie gestionate. În practică, din per- their probability to occur, the risks are usually
spectiva probabilității apariției, riscurile, de categorized from “low” – very small proba-
obicei, sunt clasificate de la „scăzut” – proba- bility, to “high” – great probability, based on
bilitate foarte mică, la „crescut” – o mare pro- the expectations for the risks to happen.
babilitate, bazată pe așteptările că acele riscuri
ar putea să se materializeze.
Impactul riscurilor poate fi, de aseme- The impact of risks can be also graded
nea, clasificat de la „scăzut” la „ridicat”, în from “low” to “high”, depending on the damages
funcție de daunele pe care le pot provoca, în they may cause in the event they may happen.
eventualitatea în care acestea se pot întâmpla.
Impact/
Descriere/ Description
Grade of Impact
Pot cauza eşecul în atingerea obiectivelor-cheie. Un impact foarte important
asupra obiectivelor organizaționale. Implicații juridice sau de reglementare. Un
Ridicat/
impact semnificativ asupra reputației/ May cause key objectives to fail. Very
High
significant impact on organizational goals. Legal or regulatory implications.
Significant reputational impact.
Efect major. Factorul de risc poate duce la întârzieri semnificative sau la
Mediu/Ridicat/
nerealizarea obiectivelor/ Major effect. Risk factor may lead to significant delays
Medium/High
or non-achievement of objectives.
Mediu/ Efect moderat. Factorul de risc poate duce la întârzieri sau la creșterea costurilor/
Medium Moderate effect. Risk factor may lead to delays or increase in cost.
Scăzut/Mediu/
Impact minor/ Minor impact.
Low/Medium
Impact nesemnificativ, poate duce la o întârziere tolerabilă în atingerea obiec-
Scăzut/ tivelor sau la o reducere nesemnificativă a calității / cantității și / sau a creșterii
Low costurilor/ Fairly insignificant, may lead to a tolerable delay in the achievement
of objectives or minor reduction in Quality/Quantity and/or cost increase.
Figura 3. Probabilitatea de risc pe plan corporativ și operațional/
Figure 3. Impact for Corporate and Operational Plan risk
Sursa: elaborată de autor în baza sursei [4]/
Source: elaborated by the author based on the source [4]
Stabilirea contextului/
Establish context
Evaluarea riscurilor/
Risk assessment
Comunicarea și consultarea/
Monitorizarea și revizuirea/
Identificarea riscurilor/
Communicate and consult
Identify risks
Monitor and review
Analiza riscurilor/
Analyse risks
Evaluarea riscurilor/
Evaluate risks
Tratarea riscurilor/
Treat risks
ISO 31000 oferă orientări generale și nu ISO 31000 provides generic guidelines
intenționează să promoveze un model uniform and it is not intended to promote a uniform
de gestionare a riscurilor în cadrul organizațiilor. model of risk management across organiza-
Proiectarea și punerea în aplicare a planurilor și tions. The design and implementation of risk
a cadrelor de gestionare a riscurilor trebuie adap- management plans and frameworks need to be
tate, în funcţie de diferite aspecte specifice ale adapted to the varying specific aspects of an
fiecărei organizații, la obiectivele, structura, ope- organization, its particular objectives, structure,
rațiile, procesele, funcțiile și practicile specifice, operations, processes, functions and specific
pe care le utilizează și le promovează. practices it uses and promotes.
ISO 31000 oferă, de asemenea, un set de ISO 31000 also provides a set of actions
acțiuni care pot fi întreprinse atunci, când sunt that can be undertaken when dealing with risks:
abordate riscurile:
• avoiding any activities that present a risk
• evitarea oricăror activități, care prezintă
• accepting the risk by conducting the acti-
un risc;
vity that involves it in order to pursue an
• acceptarea riscului prin desfășurarea
opportunity
activității, care îl implică pentru a-și
exercita o oportunitate; • risk mitigation by eliminating the source
• atenuarea riscului prin eliminarea sursei of risk;
de risc; • mitigating risk by changing its probabi-
• atenuarea riscului prin schimbarea pro- lity or its consequences;
babilității sale sau a consecințelor lui; • dividing the risk with third parties.
• împărțirea riscului cu terții. ISO 31000 is designed to suit any kind of
ISO 31000 este proiectat pentru a se organization, from any industry, and it contains
potrivi oricărui tip de organizație, din orice a set of principles for creating a risk manage-
industrie, și conține un set de principii pentru ment framework. Even though, it is intended to
crearea unui cadru de gestionare a riscurilor. apply to any kind of risks, and be very practical
Deși se intenționează ca modelul dat să se in providing an effective guide for an enterprise
aplice oricăror riscuri și să fie foarte practic în risk management, this model lacks specific
furnizarea unui ghid eficient pentru gestiona- detailed instructions on how to identify and
rea riscului întreprinderii, acesta nu dispune de manage risks and fails to offer a complete risk
instrucțiuni detaliate specifice privind identifi- management process. Also, despite being a very
carea și gestionarea riscurilor și nu oferă o important concept in risk management, the risk
gestiune completă a riscurilor. De asemenea, appetite of an organization is not included in the
în ciuda faptului că este un concept foarte framework provided by this model.
important în managementul riscului, apetitul
COSO ERM Model [5]
de risc al unei organizații nu este inclus în
During the 1990’s, (COSO) the Committee
cadrul oferit de acest model.
of Sponsoring Organizations of the Treadway
Modelul COSO ERM [5]
Commission, developed a model for evaluating
În anii 90, (COSO) Comitetul Organiza-
internal controls, named the COSO model that
țiilor Sponsor ale Comisiei Treadway a elabo-
was later updated and defined as COSO ERM
rat un model de evaluare a controalelor interne,
denumit modelul COSO, care, ulterior, a fost model. COSO’s ERM Framework defines
actualizat și definit ca model COSO ERM. Enterprise Risk Management (ERM) as a
Cadrul ERM al COSO definește Managementul process affected by an entity’s management, in
Riscului de Întreprindere (ERM) drept procesul setting the strategy across the enterprise, desig-
efectuat de managementul entității, în stabilirea ned to identify potential events that may affect
strategiei în întreaga întreprindere. Conceput the entity, and keep risk within the risk appetite
pentru identificarea eventualelor evenimente limits, in order not to affect the achievement of
care pot afecta entitatea și menține riscul în entity’s objectives. Although it has attracted
limitele apetitului pentru risc, să afecteze înde- criticisms, the framework has been established
plinirea obiectivelor entității. Deși a atras critici, as a model that can be used in different
cadrul a fost stabilit ca un model, care poate fi environments worldwide. COSO’s guidance in
utilizat în diferite medii din întreaga lume. ERM model is illustrated in the form of a cube.
Orientarea COSO în modelul ERM este ilustra- COSO intended the cube to illustrate the links
tă sub forma unui cub. COSO a intenționat ca between objectives that are shown on the top
acest cub să ilustreze legăturile dintre obiecti- and the eight components shown on the front,
vele afișate pe partea superioară și cele opt
which represent what is needed to achieve the
componente prezentate în față, care sunt nece-
objectives (activity level). The third dimension
sare pentru atingerea obiectivelor (nivelului de
represents the organization’s units, which
activitate). Cea de-a treia dimensiune repre-
depicts the model’s ability to focus on parts of
zintă unitățile organizației și descrie capacitatea
the organization as well as the whole.
modelului de a se concentra asupra unor părți
ale organizației, precum și asupra întregului.
FILIALĂ/ SUBSIDIARY
Mediul intern/ Internal Environment
ENTITATE-NIVEL/ ENTITY-LEVEL
Monitorizarea/ Monitoring
Strategia companiei este constituită din The company’s strategy stands on four
patru categorii de obiective: categories of objectives:
• obiective strategice – la nivel înalt și • strategic objectives – high-level targets
orientări strategice; and strategic guidelines;
• operații – modalități eficace și eficiente • operations – effective and efficient
de utilizare a resurselor existente; ways of using the existing resources;
• raportarea – acuratețea, fiabilitatea, • reporting – accuracy, reliability, appli-
aplicabilitatea rapoartelor elaborate; cability of the reports developed;
• conformitate – respectarea legilor, a • compliance – compliance with laws,
procedurilor interne și externe, a internal and external procedures, regu-
reglementărilor. lations.
La nivel organizațional, modelul poate fi On the organizational level, the model
aplicat pe patru niveluri diferite: Nivelul enti- can be applied on four different levels: Entity
tății; Nivelul unității de activitate; Nivelul divi- level; Business unit level; Division level; Acti-
ziunii; Nivelul de activitate. La nivelul compo- vity level. On the component level, the cube
nentelor, cubul prezintă următoarele elemente: presents following elements:
• Mediul intern – se referă la valorile • Internal Environment – refers to the
companiei, la modul în care aceste values of the company, how are these
valori sunt privite și abordate de values viewed and addressed by the
angajați, în mediul de integritate, în employees, the integrity environment
care acționează; in which they operate;
• Stabilirea obiectivelor – cum sunt • Objective Setting – how are the objec-
determinate obiectivele pentru a tives set in order to support the entity’s
sprijini strategia entității; strategy;
• Identificarea evenimentului – capaci- • Event Identification – the ability of the
tatea companiei de a identifica eveni- company to identify the positive and
mentele pozitive și negative, care pot the negative events which can affect or
afecta sau aduce beneficii companiei; bring benefits to the company;
• Evaluarea riscului – capacitatea com- • Risk Assessment – the ability of the
paniei de a analiza riscurile, de a în- company to analyses the risks, to
țelege impactul și de a stabili modul understand the impact and to establish
în care acestea trebuie gestionate; how these should be managed;
• Răspunsul la risc – în conformitate • Risk Response – according to the
cu strategia entității, în ceea ce pri- entity’s strategy in relation to risk and
vește riscul și atitudinea față de the attitude towards this must be
aceasta, trebuie analizată; analysed;
• Activitățile de control – capacitatea, • Control Activities – the ability, acti-
activitățile și instrumentele unei vities and tools of a company to make
companii de a se asigura că, în gene- sure that overall the company is
ral, compania urmărește setul de following the strategy set, objectives,
strategii, obiectivele, obiectivele și targets and decisions taken;
deciziile luate;
Singurele instrumente disponibile în These models are only able to provide a guide-
practică, utilizate de companii pentru preve- line or a general map that managers can follow
nirea crizelor, sunt modelele de gestionare a in their attempt to keep their organizations safe
riscurilor. Cele mai des folosite sunt ISO from risks and crises, which lives a lot of room
31000 și COSO ERM. Aceste modele sunt în for subjectivity and human error due to the fact
măsură să ofere doar o orientare sau o hartă that they are rather theoretical models, not
generală, cu ajutorul cărora managerii pot based on a mathematic algorithm.
urmări și menține organizațiile lor în condiții Conclusions
de siguranță în cazul riscurilor și crizelor, care The process of identifying, assessing and
pot surveni din cauză că acestea sunt, mai mitigating potential threats as part of the larger
degrabă, modele teoretice, care nu se bazează crisis management process is called crisis
pe un algoritm matematic. prevention. Implemented within an organiza-
Concluzii tion as a continuous process, crisis prevention
Procesul de identificare, evaluare și ate- or risk management will diminish considerably
nuare a potențialelor amenințări, ca parte a the probability for the organization to face a
procesului de management al crizelor, se crisis. The exposure to crises will not decrease
numește prevenirea crizelor. Implementat în to zero, as there is always a certain percentage
cadrul unei organizații ca un proces continuu of risks that can never be eliminated, but the
de prevenire a crizelor sau gestionare a riscu- chances of avoiding a crisis and recovering
rilor, va diminua considerabil probabilitatea ca after a crisis will be much higher when the
organizația să se confrunte cu o criză. Expu- organization is adopting a crisis prevention/risk
nerea la crize nu va scădea la zero, deoarece
management approach.
există întotdeauna un anumit procent de riscuri
In general, risk management and crisis
care nu pot fi niciodată eliminate complet, dar
management are not competing as practices
șansele de a evita o criză și de a se redresa
within an organization; rather, they are wor-
după o criză vor fi mult mai mari, atunci, când
king together for the same outcome, which is
organizația adoptă măsuri de prevenire a
increasing the capacity of an organization to
crizelor/ abordarea managementului riscului.
cope in the most efficient way with any pos-
În general, managementul riscului și
sible threat that might put in danger its func-
gestionarea crizelor nu concurează ca practici
tionality or even its existence.
în cadrul unei organizații, ci conlucrează
There is a strong connection between the
pentru același rezultat, ceea ce sporește capa-
risk management and crisis management prac-
citatea unei organizații de a face față, în modul
tices. Both, crisis management and risk mana-
cel mai eficient, oricărei posibile amenințări
gement are part of the general domain of orga-
care ar putea pune în pericol funcționalitatea
sau chiar existența sa. nizational management and they both deal with
Există o legătură puternică între prac- threats that impact the well running of the
ticile de gestionare a riscurilor și de gestionare organization’s systems and the wellbeing of
a crizelor. Atât managementul crizelor, cât și its individuals.
managementul riscului fac parte din domeniul
general al managementului organizațional și
ambele se ocupă de amenințările care afec-
tează buna funcționare a sistemelor organiza-
ției și bunăstarea indivizilor săi.
Bibliografie/Bibliography:
1. AIRMIC, Alarm, IRM, „A structured approach to Enterprise Risk Management (ERM) and
the requirements of ISO 31000”, 2010. ISBN 978-0-749459420.
2. GUNNING, J. G. and J. I. C. HANNA. „The Application of Risk Management Principles to
Crisis Management Construction”, Akintoye, A (Ed.) (2001) 17th Annual ARCOM
Conference, 5-7 September, University of Salford. Association of Researchers in
Construction Management, vol. 1, page 815. ISBN 978-0-9552390-9-0.
3. KNIGHT, Frank. (1964) „Risk, Uncertainty and Profit”, Augustus M. Kelley, New York,
page 20.
4. Her Majesty's Treasury, Risk management assessment framework: a tool for departments,
2009, UK Government, Office of Public Sector Information.
5. http://www.coso.org/documents/coso_erm_executivesummary.pdf