În cultura organizațiilor din sectorul public din România, riscul este un concept relativ tânăr, introdus de cerințele sistemului de control intern/ managerial implementat prin prisma normelor guvernamentale emise succesiv în acest scop (O.U.G.119/1999, O.M.F.P.946/2005, O.S.G.G. nr. 400/2015, O.S.G.G. nr. 200/2016 respectiv O.S.G.G. nr. 600/2018).
Cu toate că termenul de „risc” derivă din cuvântul italian „risicare” ( „a îndrăzni” ), nu putem afirma că acesta este sensul definitoriu al modului actual în care managerii entităților publice aplică în organizațiile lor politicile de management al riscurilor, scopul acestora fiind mai degrabă cel de evitare a neregulilor, respectiv de asigurare a conformității proceselor și activităților.
Într-adevăr, trebuie să conștientizăm faptul că organizațiile din sistemul public din România sunt supuse riscurilor zi de zi, fiind necesară deţinerea controlului asupra acestora, deoarece managementul poate schimba și influența variabile diferite, dacă și numai dacă are timpul şi experiența necesară.
În termeni generali, riscul este parte din orice activitate a organizațiilor, semnificativ fiind faptul că, în timp ce unele riscuri sunt complet voluntare de organizație, altele și le creează organizația însăși prin natura activităţilor desfăşurate.
Putem afirma că există risc în tot ceea ce întreprinde o organizație, în orice activitate pe care aceasta o desfăşoară, în orice decizie managerială.
Important este ca organizațiile din sectorul public să înţeleagă riscurile în sensul lor corect şi să încerce să le administreze.
În prezent nu există o definiţie unanim acceptată a conceptului de risc de către toţi specialiştii în domeniu. Dintre definiţiile cele mai des utilizate prezentăm următoarele:
„Riscul reprezintă posibilitatea de a obtine rezultate favorabile sau nefavorabile într-o actiune viitoare exprimata în termeni probabilistici.”
„Riscul este posibilitatea ca un eveniment viitor să se concretizeze putând provoca anumite pierderi.”
„Riscul este ameninţarea ca un eveniment sau o acţiune să afecteze negativ capacitatea unei organizaţii de a-şi îndeplini obiectivele stabilite.„
Din analiza acestor definiţii cu privire la risc se desprind următoarele concluzii:
a. Evaluarea riscului se face prin analiza „probabilitate versus consecinţe”. În timp ce unele definiţii date riscului se concentrează doar pe probabilitatea de apariţie a unui eveniment, alte definiţii sunt mai cuprinzătoare, incluzând atât probabilitatea de manifestare a riscului, cât şi consecinţele evenimentului.
b. Între risc şi ameninţare există diferențe. În definirea conceptului unii specialişti au pus semnul de egalitate între risc şi ameninţare. De fapt, o ameninţare reprezintă un eveniment cu o probabilitate de manifestare scăzută, însă cu consecinţe negative ridicate, probabilitatea de manifestare fiind greu de evaluat în aceste cazuri. Per a contrario, riscul reprezintă un eveniment cu o probabilitate de manifestare mai ridicată, fapt pentru care există informaţii suficiente pentru a realiza o evaluare a probabilităţii şi consecinţelor.
c. Este eronată aprecierea riscului doar prin compararea rezultatelor negative. Unele concepte cu privire la risc sunt concentrate doar asupra evenimentelor negative, fără a se lua în considerare toate variabilele, respectiv atât ameninţările, cât şi oportunităţile.
d. Riscul este legat de rentabilitate şi pierdere. Obţinerea rezultatului aşteptat al unei activităţi este sub influenţa unor factori aleatori, ce o însoţesc în toate etapele desfăşurării acesteia, indiferent de domeniul de
Termenul de risc luat singular este lipsit de semnificaţie, atâta timp cât acesta nu este completat cu tipul de pierdere, pentru cine se calculează (entitatea supusă pierderii) şi tipul de condiţii sau circumstanţe pentru care se face evaluarea (expunerea la pericol).
Nu constituie riscuri acele probleme (situaţii, evenimente) care nu pot apare, acestea fiind denumite „ficţiuni” în limbajul de specialitate al teoriei riscurilor.
Considerarea unor ficţiuni ca fiind riscuri generează risipă de resurse şi disiparea eforturilor spre probleme ipotetice, ştiut fiind faptul că fiecare risc identificat necesită elaborarea unui plan de răspuns.
Cu toate că tipologia riscurilor care pot afecta negativ procesele și activitățile din organizațiile din sectorul public din România este foarte diversificată, acestea se aliniază principalelor categorii de riscuri identificate de Ministerul Finanţelor din Anglia (H.M. Treasury Orange Book) model menit să sprijine organizaţiile să verifice dacă au luat în considerare întreaga gama de riscuri ce pot apare:
A. Riscuri externe, decurg din mediul extern şi nu pot fi controlate în totalitate de organizaţie, dar pentru care pot fi luate măsuri de atenuare, respectiv:
- politice
- economice
- socio-culturale
- tehnologice
- juridice
- de mediu
B. Riscuri operaţionale, strâns legate de activităţile curente, atât de modul curent de desfăşurare a activităţii, cât şi de construirea şi menţinerea capacităţii şi capabilităţilor, respectiv:
– legate de desfăşurarea activităţii:
a) posibilitatea de a furniza un produs / serviciu
b) derularea activităţilor / proiectelor
– legate de capacitate şi capabilitate;
a) resurse (active, umane, financiare, informaţionale)
b) relaţii
c) operaţiuni (obţinerea rezultatelor)
c) reputaţie
– legate de modul şi capacitatea de gestionare a riscurilor
a) guvernanţă (regularitate şi corectitudine)
b) explorare (capacitatea de identificare riscuri şi oportunităţi)
c) flexibilitate şi adaptabilitate
d) securitate (active, socială, informaţională)
C. Riscuri generate de schimbare, sunt riscurile ce afectează obiectivele, strategiile şi politicile, prin implementarea de noi strategii, noi politici, noi programe, noi proiecte.
Orice demers analitic cu privire la managementul riscurilor nu se poate efectua fără clarificarea noțiunilor de risc inerent și risc rezidual, prin acestea înțelegându-se următoarele:
- riscul inerent – riscul apărut în cadrul unei entităţi în absenţa oricăror acţiuni ale managementului organizației publice pentru schimbarea/transformarea probabilităţii sau impactului evenimentelor.
- riscul rezidual/rămas – riscul ce rămâne după ce s-a luat în considerare răspunsul existent al managementului organizației publice.
Riscul inerent şi riscul rezidual sunt două ipostaze ale aceluiaşi risc: înainte de introducerea unui instrument de control intern (măsura preventivă, măsură de contracarare) şi, respectiv, după introducerea unui instrument de control intern.
Prin urmare expunerea la riscul inerent este o măsură a “cantităţii” de risc la care se expune organizaţia publică dacă nu funcţionează sistemul de control intern, iar expunerea la riscul rezidual este o măsură a cantităţii de risc rămase după ce au fost implementate instrumentele de control intern.
Organizațiile publice au sisteme de control intern pentru multe dintre riscuri, chiar dacă situaţiile sau evenimentele ce sunt ţinute sub control nu sunt percepute (conştientizate) ca riscuri de către management.
Despre sistemele de control intern din organizațiile publice se poate afirma că sunt adecvate sau nu, dar nu se poate susţine că nu există.
Fig.1 Relaţia dintre riscul inerent – riscul rezidual
(Sursa: David Griffiths, Risk Based Internal Auditing. Three Views on Implementation; p. 6)
Este important ca răspunsul adresat riscurilor relevante să fie proporţional cu impactul şi probabilitatea de manifestare a acestora.
Fig.2 Ciclul de viata al riscului
Figura de mai jos stabileşte câteva din riscurile tipice cu care se confruntă entităţile publice:
Fig. 3 Riscurile tipice cu care se confruntă entităţile publice (adaptare după INTOSAI GOV 9130)