PG-02 Procedura Managementul Riscului Si Elaborarea Registrului de Riscuri

WfS Y;'ffi'::inx,"

usu )uceava

Cod: PG-02

Editia: IRevizia: 0

PROCEDURAManagementul riscului qi elaborarea

Registrului de riscuri

Aceasti proced in gedin{a Senatului ti^//.85. rtr.3.1 f li

RECTOR,

Prof.univ.dr.ingl

4::.( tnt : \

;:;:$

27.12.2010

28.12.2010

Managementul riscului gi elaborarea Registrului de riscuri

Cuprins

1. SCOPUL PROCEDURJI

4. DEFINITII $I ABREVIERI

5. CONTINUT

6. RESPONSABILITATI

7. DISPOZITII FINALE

8. ANEXE

2^2

Managementul riscului qi elaborarea Registrului de riscuri

1. SCOPUL PROCEDURII

Procedura stabilegte liniile directoare privind modul de identificare a riscurilor semnificative pentrumenlinerea acestor riscuri la un nivel acceptabil in Universitatea ,,$tefan cel Mare" din Suceava,precum gi forma de redactare, conlinutul, actualizarea Registrului de riscuri.

2. DOMENIU DE APLICARE

Procedura este utilizatd de citre personalul de conducere din cadrul entitd{ilor organizatorice aleUSV, precum gi de cdtre persoana desemnatd cu gestionarea Registrului de riscuri.

3. DOCUMENTE DE REFERINTA

3.1. Ordinul MFP nr. 94612005 - pentru aprobarea Codului controlului intem, cuprinzAndstandardele de management/control intem la entitdlile publice qi pentru dezvoltareasistemelor de control managerial; standardul 1 1 - Managementul riscului.

3.2. Ordinul MFP nr. 1389 I 2006 - privind modificarea si completarea OMFP nr. 94612005pentru aprobarea codului controlului intem, cuprinzdnd standardele de management/controlintem la entitalile publice $i pentru dezvoltarea sistemelor de control managerial

3.3. Ordinul MAI nr. 234 I 2010 - pentru aprobarea Procedurii de determinare a riscului dearson

3.4. Legea 31912006 - privind securitatea qi sdndtatea in muncd3.5. HG nr. 1425/2006 - Norme metodologice de aplicare a prevederilor Legii securitdlii $i

sdndtdlii in muncd nr.319/2006, modificatd de HG nt. 955120103.6. MFP - Metodologie de implementare a standardului de control intern "managementul

riscurilor", ianuarie 20073.7. SR ISO 31000:2010 Managementul riscului. Principii gi linii directoare

4. DEFINITII SI ABREVIERI

4.1. Termeni qi defini{ii

4.4.1 Managementul riscului - activitdli coordonate pentru a direc{iona qi a controla oorganizalie in ceea ce privegte riscul (face referire la sfuctura formatd din principii, cadruorganiza{ional gi proces).

4.4-2 Gestionarea riscului ansamblu de activitdli riguros definite gi organizate, care permitadministrarea gi monitorizarea eficientd a riscului; se referd la aplicarea structurii (principii,cadru organizalional qi proces) la riscurile specifice.

4.4.3 Stabilirea contextului - definirea parametrilor intemi qi extemi care urmezi sd fie luatiin considerare in managementul riscurilor, precum qi determinarea domeniului de aplicareqi a criteriilor de risc.

4.4.4 Disponibilitatea la risc - cantitatea de risc pe care o organizalie este pregAtita s[ o acceptesau la care este dispusd sd se expund intr-un anumit moment.

4.4.5 Expunere la risc - consecinJele pe care poate sa le resimti o organizajie, ca o combinaliede impact qi probabilitate, in cazul materializdrii unui risc.

4.4.6 Nivelul de risc - cuantificarea combinaliei dintre impact qi probabilitate, definitd caprodusul acestora.

4.4.'7 Risc - O incertitudine a unui rezultat, a unor acjiuni, situalii sau evenimente care nu aap[rut incA, dar care poate apare in viitor, fie sub forma unei oportunitdli pozitive sau aunei amenin{iri negatlve.

4.4.8 Risc extern - riscul care rezultd din afara universitdlii qi nu poate fi controlat in totalitatede citre aceasta.

4.4.9 Risc inerent - expunerea catzald de un anumit risc inainte de a fi luata vreo mdsura deatenuare a lui.

4.4.10 Risc opera{ional - riscul legat de desffgurarea curend a activitdlii in cadrul universitdlii.

3t12


4.4.11. Risc privind schimtrarea - riscul aferent deciziei de a realiza lucruri noi care depdqesc

capacitatea actuald a universitdli.4.4.12 Risc rezidual - expunerea cauzatd de un anumit risc dupd ce au fbst luate mdsuri de

gestionare a lui, presupunAnd cd misurile au fost eficace.

4.4.13 Arson - incendiu provocat printr-o acliune intenlionati, in scopul de a distruge

4.2. Abrevieri

DAC Direclia de Asigurare a CalitAliiUSV - Universitatea $tefan cel Mare din SuceavaMFP - Ministerul Finanjelor PubliceMAI - Ministerul Administraliei qi IntemelorSSM Securitatea gi Sdndtatea in Mr-rnc[

5. CONTINUT

5.1. Generalitifi

5.1.1 Fiecare conducdtor de structurd organizatoricd va numi o echipd pentru gestionarea

riscurilor.5.\.2 Managementul riscului se aplicd in toate domeniile de activitate, la toate nivelurile din

structurile organizatorice, in orice moment, precum qi funcliilor, proiectelor, proceselor $i

activitililor specifice din USV cel pu{in o datd pe an.

5.1.3 Managementul riscului vizeazd asigurarea unui control global al riscului, ce permitemenlinerea unui nivel acceptabil al expunerii la risc pentru universitate, cu costuri minime.

5.1.4 Etapele evaludrii de risc sunt:a) Evaluarea contextului: extem qi internb) Identificarearisculuic) Analiza risculuid) Evaluarea risculuie) Tratarea riscului

5.1.5 Monitorizarea modului in care se realizeazd managementul riscului se realizeazd cuajutorul Registmlui riscului, formular cod PG-02 F01.

5.1 .6 Riscurile specifice referitoare la SSM qi arson se vor evalua conform procedurilor proprii.

5.2. Evaluarea contextului: extern $i intern5.2.I in funclie de nevoile organizaliei se stabilesc obiective specifice de risc:

a) strategice - referitoare la misiune;b) operalionale - referitoare 1a eficacitatea activitdfilor, "rezultate ce trebuie oblinute" sau

''rezul tate a$teptate":c) de raportare referitoare la modul de raportare in cadrul universitalii;d) de conformitate - referitoare la modul in care se respecta legile 9i reglementdrile

aplicabile;e) de protejare a activelor releritoare la prevenirea pierderilor de active prin furt, risipd,

ineficienld sau printr-o decizie eronat6.

5.2.2 Fiecdrui obiectiv specific de risc i se va stabili contextul intem qi extem.5.2.3 Evaluarea contextului presupune definirea parametrilor intemi gi extemi care urmeaza sa

fie luati in considerare in managementul riscurilor, precum qi determinarea domeniului de

aplicare gi a criteriilor de risc.5.2.4 Evaluarea contextului extem poate include, dar nu se limiteazd la:

a) mediul social, cultural, politic, legal, de reglementare, financiar, tehnologic, economic,natural gi concurenfial, cuprinse la nivel local, regional, najional sau intemalional;

b) factorii critici qi tendinlele cu impact asupra obiectivelor;c) relatiile cu pdr,tile interesate exteme, percepliile gi valorile acestora.

4n2


5.2.5 Evaluarea contextului intem poate include, dar nu se limiteazlla:a) conducere, structura organizatoricS, roluri qi responsabilitdli ale angajalilor;b) politici, obiective gi strategii implementate pentru indeplinirea acestora;

c) capabilitdlile, inlelese in termeni de resurse gi cunoqtinle;d) rela{ii cu pdrlile interesate interne, percep{iile qi valorile acestora;

e) cultura organizalionald format[ din atitudinea fald de riscuri, al sistemul de valoriexistent gi practicile lutllizate;

f) sisteme de informalii, fluxuri de informalii gi procese de luare a deciziilor (oficiale,neoficiale);

g) regulamente qi proceduri adoptate;h) forma gi anvergura relaliilor de colaborare.

5.2.6 Participanlii la procesul de evaluarea a contextului vor stabili mijloacele qi metodele de

comunicare qi consultare cu pdrlile interesate interne gi exteme.5.2.7 in func{ie de elementele relevante desprinse din evaluarea contextului se stabilesc criteriile

de risc.5.2.8 Criteriile de risc, care lin seama de contextul pentru care se realizeazd analiza, urmeazd sd

fie utilizate pentru evaluarea importanlei riscului.

5.3. Identificareariscului5.3.1 Scopul identificdrii riscurilor este tocmai inventarierea acelor probleme care ar putea

conduce la nerealizarea obiectivelor, dacd s-ar materializa (ar deveni situalii de fapt).

5.3.2 Identificarea riscurilor se rcalizeazd intr-o manierd structr.ratS, bazald pe obiectiveledefinite.

5.3.3 Riscurile trebuie identificate la orice nivel unde se sesizeazd cd existd consecinle asupra

atingerii obiectivelor gi pot fi luate mdsuri specifice de solu{ionare a problemelor, ridicatede respectivele riscu ri.

5.3.4 Se vor identifica riscurile aferente operaliilor qi sistemelor informatice ale structurilororganizatodce din USV, privind:a) fiabilitatea gi integritatea informaliilor financiare gi operalionale;b) eficacitatea qi eficienla operafiilor;c) protejareapatrimoniului;d) respectarea legilor, reglementdrilor qi contractelor.

5.3.5 Toate percepliile pd(ilor interesate vor fi identificate, inregistrate qi luate in considerarepenuu identificarea riscurilor.

5.3.6 La identificarea riscurilor este necesar sd se elimine, pe cdt posibil, tentalia stabilirii unorc a.uzalit li indirecte.

5.3.7 Cele mai impofiante riscuri care pot determina ca obiectivele stabilite sd nu fie atinse sunt:

un control redus din partea managementului, frauda, acJiuni ilegale, nerespectarea

reglementirilor, erorile, ineficienla, ineficacitatea, conflictele de interese, risipa, arsonul,

viabilitatea frnanciard gi starea sdndt5lii qi securitAlii in muncd a angajalilor.

5.4. Analiza riscului5.4.1 Analiza riscurilor se face anual in toate structurile organizatorice.5.4.2 Riscul este analizat prin stabilirea consecinlelor gi a plauzibilitdlii in vederea evaludrii

impactului asupra obiectivelor. Rezultatele se consemneaz[ in formularul Aler16 la risc, codPG-01-F02.

5.4.3 Criteriile care pot fi luate in considerare la analiza riscurilor in vederea grupdrii lor sunt:

a) cauzele qi sursele de risc;b) consecinlele lor pozitive gi negative;c) plauzibilitatea cd aceste consecinle se pot produce;d) periodicitatea apariliei;e) orizontul de timp pentru care se estimeazd aparilia;

5/12


1) sfera de cuprindere;g) mijloacele existente de control, eficacitatea gi eficienja acestora;h) interdependenla dintre riscuri qi sursele acestora;i) nivelul de incredere la stabilirea nivelului de risc,j) incertitudinea, disponibilitatea, calitatea, cantitatea qi relevanla continud a informaliilor.

5,5. Evaluareariscului5.5.1 Scopul evaludrii riscurilor este de a stabili o ierarhie a riscurilor.5.5.2 Evaluarea riscurilor presupune evaluarea probabilitelii de materializare a riscurilor gi a

impactului (consecinJelor) asupra obiectivelor in cazul in care acestea se materializeazd.5.5.3 Combina{ia dintre nivelul estimat al probabilitdlii qi nivelul estimat al impactului constituie

expunerea la risc , inbaza cdreia se realizeazd profilul riscurilor.5.5.4 Probabilitatea producerii riscurilor se apreciazd pe o scard, dupd cum urmeazd:

a) Redusd - 1 punct: riscul se poate manifesta in urmdtorii trei ani;b) Medie - 2 puncte: riscul se poate manifesta in urmdtorii doi ani;

- c) Ridicatd 3 puncte: riscul se poate manifesta in urm[torul an.

5.5.5 Incadrarea unei probabilitd{i in scala de evaluare depinde de natura riscului $i de atitudineafald de risc. Pentru a stabili nivelul probabilitdtii se analizeazd, pentru o perioadd de timpconsideratd ca rezonabild, frecventa cu care s-au manifestat gi anticipdrile de manifestarepentru perioada urmdtoare.

5.5.6 Estimarea impactului riscului se apreciazd pe o scard, dupd cum ullr'eazd'.a) Redus - 1 punct: riscul poate afecta parlial valorile obiectivului, sub 50%;b) Mediu-2 puncte: riscul poate afecta pa4ial valorile obiectirului, sttb 75Yo;

c) Ridicat - 3 puncte: riscul poate determina neatingerea obiectii.ului;5.5.7 Profilul riscurilor se obline ca produs dintre punctajul atribuit probabilitdlii 9i punctajul

atribuit impactului. Rezultatele se consemreazd in formularul Alerld la risc, cod PG-O1-F02-5.5.8 In funclie de punctajul oblinut pentru profilul riscurilor se va stabili reaclia fald de risc,

conform tabelului 1.

Tabelul 1 .

ImpactulProbabilitatea

Redusi Medie RidicataRedus Ignorare :1 Ignorare - 2 Ignorare : 3

Mediu Ignorare : 2 Prudenti : 4 Actiune - 6Ridicat Prudentd : 3 Actiune : 6 Actiune = 9

5.5.9 Riscurile pentru care s-au stabilit profilul ,,ac!iune" 9i ,,prudenjd" sunt considerate riscurilnerente.

5.6. Tratarea riscului5.6.1 Opfiunile privind tratarea riscului nu se exclud neapdrat qi pot include:

a) tratalea prin care se stabileqte aplicarea unor mdsuri pentru reducerea riscului(indepdrlarea sursei de risc, modificarea plauzibilitdjii, modificarea consecinJelor) la unnivel minim - risc rezidual;

b) evitarea riscului prin luarea deciziei de a nu incepe sau de a nu continua cu activitateacare dd naqtere riscului;

c) tolerarea, care presupune lipsa mdsurilor de diminuare a riscului, cu monitorizareperiodicd pentru a se observa dacd riscul respectiv inregistreazd cregteri impofiante sau

nivelul de expunere este acceptabil;d) transferul, prin care se are in vedere, dacd este posibil, preluarea riscului de cdtre cineva

din afara universitdtii.

6t12


5.6.2 Opliunile de tratare pot fi aplicate separat sau in combinalie.5.6.3 Riscul pentru care s-a stabilit profilul ,,ac!iune" va avea asociat, obligatoriu, acliuni

preventive de tratare sau transfer in vederea reducerii riscurilor qi acliuni de reaclie atuncicdnd apare manifestarea riscului.

5.6.4 Tratarea riscurilor se face mai intAi asupra riscurilor inerente, iar dupd adoptarea mdsurilorde reducere, se determina nivelul riscului rezidual.

5.6.5 Riscul pentru care s-a stabilit profilul ,,pruden!d" va fi tolerat sau transferat.5.6.6 Riscul pentru care s-a stabilit profilul ,,ignorare" nu va fi luat in considerare penfu tratare.5.6.7 Stabilirea unei limite de toleranld la risc presupune un echilibru intre ,,costul" de controlare

al riscurilor qi ,,costul" (financiar qi/sau de altd natue) expunerii, in cazul in care aceasta ardeveni realitate.

5.6.8 Modul in care vor fi implementate opliunile alese pentru tratarea riscurilor este prevbzut informularul Alerld la risc, cod PG-01-F02 qi in Registrul riscurilor, formular cod PG-02 F01.

5.7. llonitorizareariscului5.7 .1 Monitorizarea are ca scop evaluarea existen{ei gi funclionirii elementelor ce compr:n

managementul riscului, precum gi a performanlei acestuia in timp.5.7.2 Monitorizarea riscurilor se realizeazS. de cdtre conducdtorul structurii organizatorice in doud

moduri:a) prin intermediul activitAlilor curente sau ca evaludri distincte separate;

b) prin evaludri distincte.5.7 .3 Monitorizarea prin intermediul activitdlilor curente sau in derulare este integratA in

activitalile uzuale ale conducerii, fiind realizatd in timp real qi permite o reacjie dinamicd laschimbdrile condiliilor in care se desliqoard activitatea.

5.7.4 Monitorizarea prin evaluiri distincte se realizeazd. ulterior unui eveniment.5.7.5 Frecvenla evaludrilor distincte este la latitudinea conducerii in func{ie de natura sau gradul

schimbdrilor, precum qi de riscurile asociate acestora.5.7.6 Prin monitorizare se urmare$te:

a) asigurarea faptului ca mijloacele de control sunt eficace gi eficiente;b) oblinerea informaliilor suplimentare pentru imbunitdlirea evaludrii riscului;c) analizarea qi asimilarea lecliilor invdlate din evenimente (inclusiv succesele ratate),

schimbdrile, tendinfele, succesele qi nereuqitele;d) detectarea schimbdrilor produse in contextul extern qi intern, incluz6nd gi schimbdrile

aduse criteriilor de risc gi riscului insugi care necesitd revizuirea modalitdlilor de tratarea riscului qi a prioritalilor;

e) identificareariscuriloremergente.5.7.7 Monitorizarea are in vedere efectul pe care-l au m[surile asupra riscurilor, rezultatele se

consemneazd in lormularul Fiqd de monitorizare a riscului, cod PG-01-F03.5.7.8 Dacd se constatd cd profilul riscului s-a modificat se va inregistra noul profil in Registrul

riscurilor. formular cod PG-02 F01 .

5.8. Inregistrarea procesului de management al riscului5.8.1 Registrul riscurilor se completeazd, in fiecare structurd organizatoricd din USV, de cdtre o

persoand desemnatd de conductorui structurii.5.8.2 La nivelul USV se realizeazd centralizarea Registrului riscurilor de cdtre persoana

desemnatd prin decizia Rectorului.5.8.3 Registrul riscurilor cuprinde informalii referitoare 1a obiectivele stabilite pentru fiecare nivel

ierarhic din cadrul universitdlii gi reprezintd materializarea in forma scrisd a analizeifactorilor de risc.

5.8.4 Riscurile identificate sau apArute la nivel de structurd organizatoricd, ulterior analizeiiniliale, vor fi aduse la cunoqtinla Rectorului in maximum 24 de ore.

7112


6. RESPONSABILITATI

6.1 Conducerea structurilor organizatorice are urmAtoarele responsabilitdli ti competenle:a) stabileqte obiectivele specifice pe care structurile organizatorice le au de indeplinit;b) defineqte un calendar qi o strategie adecvate pentru implementarea cadrului

organizalional;c) aplicd politica qi procesul de managementul riscului in toate procesele existente in USV;d) numegte prin decizie o echipd care sd asigure elaborarea / modificarea qi gestionarea

riscurilor;e) organizeazS, sesiuni de informare gi instruire a personalului propriu pentru gestionarea

riscurilor cuprinse in Registrul riscurilor;f) comunicd qi se consultd cu pdrlile interesate;g) numegte prin decizie un responsabil care si asigure operarea in Registrul riscurilor

propriu structurii organizatorice;h) stabileEte modul de tratare al riscurilor;i) se asigurd cd luarea deciziilor, inclusiv dezvoltarea qi stabilirea obiectivelor, este in

acord cu rezultatele proceselor de managementul riscului;j) planifici monitorizarea riscurilor qi le monitorizeaza;k) se conformezA cerintelor legale gi de reglementare;l) asigurd transmiterea cltre persoana desemnatd la nivelul USV a datelor necesare pentru

completarea Registrul riscurilor;m) prezintl Registrul riscurilor pentru contol, la cererea persoanelor desemnate cu astfel

de funclii.

6.2 Prorectorul desemnat are urmdtoarele responsabilitdli $i competenle:a) stabileqte data pentu revizuirea anuald a riscurilor inerente identificate $i acceptate;b) aprobd acliunile pentru minimizarea riscurilor inerente;c) verificd anual modul in care se realizeazd revizuirea riscurilor inerente si actualizarea

Registrului riscurilor la nivelul USV.

6.3 Responsabilul cu mentinerea Registrului de riscuri la nivelul structurii organizatoriceare urmdtoarele responsabilitdli Si competenle:a) colecteazd formularele Alertd la riscuri, cod PG-01-F02 gi'FigA de monitorizare a

riscului, cod PG-01-F03;b) consemneazd in Registrul riscurilor, formular cod PG-02 F01 datele din formularele

PG-01-F02 qi PG-01-F03;c) transmite responsabilului cu mentinerea Registrului de riscuri la nivelul USV datele din

Registrul propriu constituit inilial gi apoi dupd fiecare modificare apirutd;d) pdstreazi evidenla documentelor primite qi le arhiveazi;

. e) prezintd pentru control Registrul de riscuri.

6.4 Responsabilul cu men{inerea Registrului de riscuri la nivelul USV are urmdtoareleresponsabilitili $i competenle:a) consemneazd in Registrul riscurilor, formular cod PG-02 F01 datele primite;b) pdstreazd evidenla documentelor primite qi le arhiveazd;c) prezintl pentru control Registrul de riscuri.

6.5 Responsabilul cu situafii de urgenfi are urmdtoarele responsabilit5li Si competenle:a) stabilegte structurile organizatorice pentru evaluarea riscului de arson;b) aplicd procedura de arson conform legislaliei in vigoare;c) transmite structurilor organizatorice rezultatele evaluirilor pentru riscul de arson;d) elaboreazd planul de mdsuri pentru evitarea / reducerea riscurilor de arson.

8112


6.4 Responsabilul cu securitatea Ei sdnitatea in muncl are urmdtoarele responsabilitili gi

competenlea) stabileqte posturile qi funcliile in vederea evaludrii riscurilor referitoare la SSM;b) aplicd procedurile proprii confotm legislaliei in vigoare;c) transmite structurilor organizatorice rezultatele evaludrilor;d) elaboreazd planul de mdsuri pentru evitarea./ reducerea riscurilor de SSM.

7. DISPOZITTT FTNALE

7.1 Aprobarea modificdrii prezentei proceduri este de competenta Biroului Senatuluiuniversitar.

7 .2 Prezenta procedurd intrd in vigoare din momentul aprobirii in Biroul Senatului USV.

8. ANEXELista anexelor care insolesc aceasti procedurd este redata dupd cum utmeazd:

Denumire Cod

Anexa 1 Registrul riscurilor PG-02 FOl

Anexa 2 Alertd la risc PG-01 F02

Anexa 3 Fisd de monitorizare a riscului PG-01 F03

9lt2

N

O

E:6E

-6

s E !.= EA.-! REN

=i'a

F

:36

€s:664:;

g

= E.-

xL.2

g.!

-,- F 6

o

tr

L

L

q,

)cC

oN

90

t--,1

E

o!

o

(D

bo

r>>t r,

Denumire structurd orsanizatoriciDescriere risc identificat

Circumstanlele carefavorizeazd apariliarisculuiDescriere impact

EVALUARE RISC INERENTImpact Probabilitatea Expunere Profil riscRedus Redusd 1 IgnorareMediu 2 Medie 2 PrudentiRidicat 3 Ridicatd 3 ActluneDESCRIEREA ACTIUNI PREVENTIVE DE TRATARE A RISCULUI

INSTRUMENTE DE CONTROL

Resoonsabilul cu sestionarea risculuiTermenul de punere in operdDESCRIEREA RJSCURILOR SECUNDARE

Anexa 2

Fiqa nr.Alerti la risc

Numele si prenumele Functia Data Semndtura

Elaborat

Verifrcat

AvizaI

11/12

Denumire structurd organizatoric[Descriere risc monitorizat

Responsabilul cu gestionarearisculuiPerioada monitorizariiAcliuni propuse inilial

Efectul acliunilor propuse

REEVALUARE RISCImpact Probabilitatea Expunere Profil riscRedus I Redusd 1 IgnorareMediu 2 Medie 2 PrudentdRidicat 3 Ridicat[ 3 Ac!iuneAcliuni de coreclie propuse

Anexa 3

Figa nr.Fisi de monitorizare a riscului

Numele si prenumele Functia Data Semndtura

Elaborat

Verificat

Avrzat

12t1.2

Documents

PG-02 Procedura Managementul Riscului Si Elaborarea Registrului de Riscuri