STANDARDE ALE CODULUI CONTROLULUI INTERN MANAGERIAL

Standardul 8 – Managementul riscului

Rezultatul standardului

Conducătorul entităţii publice organizează și implementează un proces de management al riscurilor, care să faciliteze realizarea obiectivelor acesteia în condiții de economicitate, eficienţă şi eficacitate.

Cerințe

Entităţile publice îşi definesc propriul proces de management al riscurilor adaptat dimensiunii, complexității și mediului specific, în vederea identificării tuturor surselor posibile de risc și pentru diminuarea sau eliminarea probabilității și impactului riscurilor.

Conducerea entităţii publice stabileşte vulnerabilitățile și amenințările aferente obiectivelor şi activităţilor, care pot afecta atingerea acestora.

Conducătorul entităţii publice are obligaţia organizării și implementării unui proces eficient de management al riscurilor, în principal, prin:

– identificarea riscurilor în strânsă legătură cu activităţile din cadrul obiectivelor specifice a căror realizare ar putea fi afectată de materializarea riscurilor;

– identificarea ameninţărilor/vulnerabilităţilor prezente în cadrul activităţilor curente ale entităţii care ar putea conduce la nerealizarea obiectivelor propuse și la săvârșirea unor fapte de corupție și fraude;

– evaluarea riscurilor, prin estimarea probabilităţii de materializare, impactului asupra activităţilor din cadrul obiectivelor în cazul în care acestea se materializează;

– ierarhizarea şi prioritizarea riscurilor în funcţie de toleranţa la risc.

– stabilirea strategiei de gestionare a riscurilor (răspunsului la risc) prin identificarea celor mai adecvate modalităţi de tratare a riscurilor, inclusiv măsuri de control;

– analiza și gestionarea riscurilor în funcție de limita de toleranță la risc aprobată de către conducerea entităţii;

– monitorizarea implementării măsurilor de control și revizuirea acestora în funcție de eficacitatea rezultatelor acestora;

– raportarea periodică a situaţiei riscurilor se realizează ori de câte ori este nevoie sau cel puțin o dată pe an, respectiv dacă riscurile persistă, apariția de riscuri noi, eficiența măsurilor de control adoptate, reevaluarea riscurilor existente, etc.

Conducătorii compartimentelor cuprinse în primul nivel de conducere din structura organizatorică a entității publice nominalizează responsabili cu riscurile și asigură cadrul organizaţional şi procedural pentru identificarea și evaluarea riscurilor, stabilirea strategiei de gestionare a riscurilor, monitorizarea implementării măsurilor de control, revizuirea și raportarea periodică a acestora.

Toate activităţile şi acţiunile iniţiate şi puse în aplicare în cadrul procesului de management al riscurilor sunt riguros documentate, iar sinteza datelor, informaţiilor şi deciziilor luate în acest proces este cuprinsă în Registrul de riscuri, document care atestă că în cadrul entităţii publice există un proces de management al riscurilor şi că acesta funcţionează; Registrul de riscuri pe entitate include numai riscurile semnificative.

Responsabilii cu riscurile din cadrul compartimentelor colectează riscurile aferente activităţilor, identifică strategia de risc, elaborează Registrul de riscuri la nivelul compartimentelor din primul nivel de conducere, propune măsuri de control și monitorizează implementarea acestora, după ce în prealabil acestea au fost aprobate de către conducătorul compartimentului.

Riscurile sunt actualizate la nivelul compartimentelor ori de câte ori se impune acest lucru, dar obligatoriu anual, prin completarea modificărilor survenite în Registru de riscuri. Fiecare entitate publică conform unei proceduri interne și experienței acumulate în managementul riscurilor poate utiliza o serie de instrumente specifice identificării și urmăririi riscurilor precum formular de alertă la risc, fișă de urmărire a riscului, etc, fără ca acestea să aibă un caracter obligatoriu.

Măsurile de control stabilite de compartimente se centralizează la nivelul entităţii publice și sunt aprobate de conducătorul entității publice. Măsurile de control sunt obligatorii pentru gestionarea riscurilor semnificative de la nivelul compartimentelor și se actualizează ori de câte ori este nevoie.

Conducătorii compartimentelor din primul nivel de conducere raportează anual desfăşurarea procesului de gestionare a riscurilor, care cuprinde în principal numărul total de riscuri gestionate la nivelul compartimentelor, numărul de riscuri tratate şi nesoluţionate până la sfârşitul anului, stadiul implementării măsurilor de control şi eventualele revizuiri ale evaluării riscurilor, cu respectarea limitei de toleranţă la risc, aprobată de conducerea entităţii publice. 

Pe baza raportărilor anuale primite de la compartimente se elaborează o informare privind desfăşurarea procesului de gestionare a riscurilor la nivelul entităţii; informarea este analizată şi aprobată în Comisia de monitorizare, ulterior aceasta fiind prezentată conducătorului entității publice.

Întrebări de verificare a implementării standardului

1. Există identificate și evaluate riscurile aferente obiectivelor/activităților? 

2. Sunt stabilite și monitorizate măsurile de control aferente riscurilor semnificative?

3. Există o analiză a riscurilor identificate și gestionate, concretizate printr-o raportare anuală cu privire la procesul de management al riscurilor?