Clarificarea noţiunilor de control intern şi de management al riscurilor permite organizarea raţională a funcţionării proceselor de control intern şi de management al riscurilor. Pe baza comple-mentarităţii celor două procese se poate stabili un model simplificat de funcţionare integrată. Perspectivele de evoluţie în controlul intern şi managementul riscurilor sunt legate de proiectarea corectă, derularea corespunzătoare şi efectivitatea proceselor respective.
Dialectica control intern – management al riscurilor
Două sunt întrebările frecvente şi legitime care apar atunci când se pun alături noţiunea de control intern şi cea de management al riscurilor:
a. dacă are cu adevărat vreun rost ca aceste noţiuni să fie analizate şi dezvoltate independent?
Se are în vedere substanţa conceptuală comună, adică nevoia de siguranţă în raport cu mediul de activitate şi viitorul organizaţiei.
b. care ar fi relaţia semantică dintre noţiunile de control intern şi management al riscurilor ?
a. Răspunsul la prima întrebare se află în definiţiile acceptate pe plan internaţional ale controlului intern şi managementului riscurilor.
Astfel, în ceea ce priveşte controlul intern, avem în vedere „procesul derulat de consiliul de administraţie, conducerea executivă şi alt personal, proiectat să furnizeze asigurări rezonabile privind îndeplinirea obiectivelor organizaţiei, grupate în următoarele categorii:
– eficienţa şi eficacitatea operaţiunilor;
– corectitudinea rapoartelor financiare;
– conformitatea cu legile şi regulamentele aplicabile”.
În acelaşi timp, managementul riscurilor reprezintă „procesul desfăşurat de consiliul de administraţie, conducerea executivă şi alt personal, cu aplicare în cadrul elaborării strategiei generale a organizaţiei, proiectat pentru a identifica posibile evenimente ce pot afecta entitatea şi pentru a menţine riscurile în limitele toleranţei la risc, precum şi pentru a furniza asigurări rezonabile privind îndeplinirea obiectivelor entităţii”.
Din compararea celor două definiţii se poate observa că există unele:
– asemănări: ambele procese, de control intern şi de management al riscurilor, sunt derulate de aceleaşi persoane (consiliul de administraţie, conducerea executivă şi alt personal) şi au aceeaşi sferă de cuprindere (întreaga organizaţie);
– deosebiri care le delimitează şi individualizează: obiectul controlului intern îl reprezintă obiectivele organizaţiei, iar obiectul managementului riscurilor este dat de evenimentele ce pot afecta îndeplinirea obiectivelor organizaţiei.
În plus, în definiţia managementului riscurilor apare un obiectiv specific (menţinerea riscurilor în limitele toleranţei la risc) şi o legătură specifică cu anumite funcţii ale managementului (utilitate directă în elaborarea strategiei generale a organizaţiei, adică în cadrul planificării).
De aici rezultă o altă serie de deosebiri în ceea ce priveşte:
– procesele;
– controlul intern are în vedere obiectivele curente (generale) ale organizaţiei ;
– managementul riscurilor ia în considerare şi obiectivele strategice ale acesteia.
– scopul (finalitatea scontată a fiecăruia dintre procese);
– asigurările furnizate de controlul intern se referă numai la obiectivele curente ale organizaţiei;
– asigurările oferite de managementul riscurilor privesc şi obiectivele strategice.
Observaţie: Dacă prin managementul riscurilor se urmăreşte stabilitatea traiectoriei către îndeplinirea obiectivelor strategice, prin control intern se urmăreşte ca, pe drumul de atingere a obiectivelor strategice, să fie îndeplinite permanent obiectivele curente.
Din cele de mai sus rezultă că asemănările dintre controlul intern şi managementul riscurilor decurg din genul proxim comun la care se raportează, şi anume procesul proiectat şi derulat de management pentru a furniza asigurări rezonabile privind îndeplinirea obiectivelor organizaţiei, iar diferenţele specifice, care le caracterizează şi individualizează ca procese autonome, de sine stătătoare, rezultă din particularităţi legate de obiect, obiective şi scop.
În concluzie, controlul intern şi managementul riscurilor reprezintă noţiuni autonome deoarece definesc procese interne distincte.
b. În ceea ce priveşte relaţia semantică dintre noţiunile de control intern şi de management al riscurilor, părerile exprimate se împart, fără excepţie, în două categorii care, deşi pornesc de la aceleaşi definiţii menţionate mai sus, se exclud reciproc.
În prima categorie se încadrează opiniile potrivit cărora controlul intern include managementul riscului, căruia îi rezervă statutul de standard (componentă) de control intern.
Cealaltă categorie consideră că managementul riscurilor include controlul intern, argumentul invocat, valabil de altfel, fiind acela că managementul riscurilor, ca orice activitate managerială, include toate funcţiile managementului, inclusiv pe cea de control.
În mod evident, prima categorie comite o eroare de apreciere atunci când pune semnul egalităţii între g estionarea riscurilor şi managementul riscurilor, iar cea de-a doua asimilează în mod eronat o relaţie de corespondenţă uneia de apartenenţă.
Ca de obicei, adevărul se află la mijloc. Pentru clarificare se poate recurge la imaginea algebrică a două mulţimi distincte, formate din componente, relaţii, obiective specifice, obiective ale organizaţiei şi scop, care au însă şi unele elemente comune.
Unul dintre elementele comune controlului intern şi managementului de risc a fost stabilit ceva mai devreme şi se referă la obiectivele curente ale organizaţiei.
Deoarece, aşa cum arătam mai sus, obiectivele, scopul şi relaţiile asociate comportă diferenţe specifice, rezultă că alte elemente comune este necesar să fie căutate printre componentele (standardele) controlului intern şi ale managementul riscurilor.
Componentele controlului intern sunt:
– mediul de control;
– gestionarea riscurilor;
– activităţile de control;
– informarea şi comunicarea;
– monitorizarea.
Managementul riscurilor implică:
– mediul intern;
– stabilirea obiectivelor;
– identificarea evenimentelor;
– gestionarea riscurilor;
– aplicarea măsurilor de răspuns;
– activităţile de control;
– informarea şi comunicarea;
– monitorizarea.
La o primă vedere, componentele comune ar putea fi mediul de control sau mediul intern, gestionarea riscurilor activităţilor de control, informarea şi comunicarea respectiv monitorizarea.
La o analiză mai atentă se poate observa că mediul de control şi mediul intern nu se confundă, după cum cultura de control nu se confundă cu cea organizaţională.
De asemenea, activităţile de control, informarea şi comunicarea, respectiv monitorizarea prezintă anumite particularităţi în cazul managementului riscurilor faţă de controlul intern, ce decurg din faptul că acesta are în vedere şi obiectivele strategice ale organizaţiei.
În ceea ce priveşte gestionarea riscurilor, aceasta reprezintă, într-adevăr, o componentă comună deoarece presupune, atât pentru controlul intern, cât şi pentru managementul riscurilor:
– identificarea riscurilor relevante;
– evaluarea riscurilor;
– evaluarea toleranţei la risc;
– măsurile de răspuns.
Măsurile de răspuns se stabilesc pe baza profilului de risc (evaluarea riscurilor şi a toleranţei la risc) şi pot fi avute în vedere patru tipuri de răspuns:
– transferul (asigurări financiare, de exemplu);
– tolerarea riscurilor (când costurile de diminuare sunt prohibitive, comparativ cu importanţa şi iminenţa riscului);
– sistarea sau încetarea activităţii (unele riscuri pot fi menţinute la niveluri acceptabile numai prin întreruperea activităţii care comportă riscurile);
– diminuarea riscurilor (se acţionează în vederea reducerii importanţei, amânării ori înlăturării posibilităţii de materializare a riscului). Aceste tipuri de răspuns sunt comune controlului intern şi managementului riscurilor, diferenţa specifică fiind aceea că procesul de control intern se limitează la a stabili (proceduri adecvate, control preventiv) sau propune măsurile de răspuns, în timp ce managementul riscului merge mai departe cu componenta de aplicare a măsurilor de răspuns.
Este important de analizat, în mod particular, sursa acestei diferenţe specifice, deoarece oferă o perspectivă managerială asupra relaţiei dintre controlul intern şi managementul riscurilor.
Astfel, controlul intern reprezintă o funcţie a managementului general, iar luarea unor măsuri de răspuns se realizează prin alte funcţii ale managementului, cum sunt conducerea şi coordonarea, de exemplu. Se poate menţiona, în plan secundar, că acest aspect este deosebit de important pentru stabilirea responsabilităților controlului managerial delegat (structuri de control) și controlului detectiv independent (audit), care nu pot avea rol directiv sau executiv în raport cu activitățile controlate.
Managementul riscurilor implică, fireşte, toate funcţiile managementului, inclusiv pe cea de control, şi reprezintă o responsabilitate a managementului general. Deoarece implică şi funcţiile de conducere şi coordonare, adoptarea măsurilor adecvate de răspuns revine ca sarcină managementului riscurilor. Chiar dacă se referă la întreaga organizaţie, funcţia de control exercitată în cadrul managementului riscurilor este specifică şi nu poate înlocui controlul managerial, care se exercită pe niveluri ierarhice.
Cu alte cuvinte, controlul intern reprezintă o posibilitate obiectivă (atribut, însuşire) a managementului general, iar managementul riscurilor constituie o posibilitate normativă a managementului general, o pârghie de atingere a competenţei stabilită prin normă (act constitutiv, regulament de organizare şi funcţionare etc.).
Prin urmare, controlul intern reprezintă o funcţie managerială la nivel global, iar managementul riscurilor implică toate funcţiile managementului la nivel specific.
Concluzionând, putem aprecia că relaţia dintre noţiunile de control intern şi de management al riscurilor este definită de proprietatea comună asupra termenilor de gestionare a riscurilor şi obiectivelelor curente ale organizaţiei.
Funcţionarea integrată a proceselor de control intern şi de management al riscurilor
Departe de a fi un simplu exerciţiu de gândire speculativă, aceste clarificări de natură conceptuală au un rol important în proiectarea corectă a sistemelor de control intern şi de management al riscurilor.
În primul rând, suprapunerea parţială pe care o comportă noţiunile de control intern şi de management al riscurilor trebuie să fie transformată în complementaritate atunci când se organizează activitatea organizaţiei, pentru a se evita suprapunerile sau conflictele de competenţe, precum şi alocarea ineficientă a resurselor. Complementaritatea activităţilor reprezintă cheia pentru integrarea firească a celor două procese, iar integrarea este perfect posibilă deoarece în vârful sistemelor de control şi de management al riscurilor se află acelaşi management general (ambele procese sunt conduse de aceleaşi persoane, după cum reiese din definiţiile avute în vedere).
Astfel, o separare raţională a competenţelor între controlul intern şi managementul riscurilor ar fi ca gestionarea riscurilor la adresa obiectivelor curente şi corectarea erorilor/abaterilor să revină controlului intern, iar gestionarea riscurilor la adresa obiectivelor strategice şi aplicarea măsurilor de răspuns să revină managementului riscurilor.
De asemenea, în organizarea funcţionării celor două procese este necesar să se ţină seama de faptul că în cadrul unei organizaţii nu pot exista structuri propriu-zise de control managerial (s-ar substitui liniei ierarhice) deoarece controlul intern este o funcţie (atribut obiectiv) a managementului, dar pot exista structuri dedicate de management al riscurilor, în virtutea faptului că managementul riscurilor reprezintă o responsabilitate (atribut normativ) a managementului general. La fel de important este faptul că atribuţiile acestor structuri dedicate nu pot depăşi sfera gestionării specializate a riscurilor, deoarece managementul de risc nu se poate substitui managementului general. Cu alte cuvinte, măsurile de răspuns se adoptă de managementul general, nu de şeful structurii de management al riscurilor.
Fundamentat pe complementaritatea stabilită anterior, un model simplificat de funcţionare integrată a acestor procese ar putea fi acesta:
– în cadrul evaluării îndeplinirii obiectivelor curente se identifică erori sau abateri şi se iau măsuri corective (control intern);
– aceste abateri, împreună cu măsurile corective, se analizează ierarhic sub aspectul impactului asupra îndeplinirii obiectivelor curente şi, eventual, se propun (control intern) şi adoptă (managementul riscurilor) măsuri de răspuns;
– la intervale stabilite prin documente de planificare, se analizează stadiul îndeplinirii obiectivelor strategice împreună cu situaţia riscurilor şi a măsurilor de răspuns la adresa obiectivelor curente (managementul riscurilor);
– eventualele riscuri identificate la adresa obiectivelor strategice şi măsurile de răspuns ce se impun vor sta la baza adaptării documentelor de planificare strategică (managementul riscurilor).
Avantajul unui astfel de model este că poate fi dezvoltat şi adaptat pentru orice organizaţie preocu-pată de ridicarea standardelor profe-sionale şi creşterea eficienţei în proce-sele de control intern şi de mana-gement al riscurilor.
Perspective în controlul intern şi managementul riscurilor
Pentru a-şi justifica existenţa şi costurile, un proces de control intern sau de management al riscurilor trebuie să fie efectiv, pentru a fi efectiv trebuie să fie derulat corespunzător, iar pentru a fi derulat corespunzător trebuie să fie proiectat corect. Un astfel de proces este:
– proiectat corect când politicile şi procedurile permit atingerea obiectivelor specifice, proprii;
– derulat corespunzător în cazul în care toate componentele sunt implementate şi funcţionează conform politicilor;
– efectiv în situaţia în care obiectivele specifice sunt atinse, iar managementul se poate pronunţa, în cunoştinţă de cauză, asupra stadiului îndeplinirii obiectivelor instituţiei.
De aici pot fi identificate şi perspectivele de evoluţie a activităţilor în cadrul acestor procese.
Astfel, în prezent, prin natura lucrurilor, în proiectarea sistemelor de control intern şi management al riscurilor sunt implicate cu precădere structuri de control detectiv (de tip corp control sau de audit). Aceste structuri sunt interesate, în principal, de asigurarea accesului propriu la datele şi informaţiile relevante şi mai puţin de costuri ori rezultate, deoarece nu sunt afectate şi nu răspund pentru eficacitatea de ansamblu a acestor sisteme. În plus, oricât de bine pregătite profesional şi bine intenţionate, aceste structuri nu au viziunea deplină asupra aşteptărilor pe care managementul general le are privind funcţionarea acestor sisteme. Prin urmare, în prezent, proiectarea sistemelor se realizează la un nivel intuitiv, de către structuri nespecializate.
Pe măsură ce presiunea asupra resurselor creşte, este previzibilă deplasarea centrului de greutate în proiectarea sistemelor către zona de susţinere decizie management general, şi anume staff-propriu, consilieri, cabinete de lucru etc. În acest fel, este de aşteptat să se ajungă la o specializare în proiectare, precum şi la o monitorizare şi coordonare superioare.
Derulare a corespunzătoare a proceselor de control intern şi de management al riscurilor depind de modul şi nivelul de implementare a componentelor fiecăruia. Componenta comună o reprezintă gestionarea riscurilor, iar implementarea corespunzătoare a acesteia depinde în mod determinant de capacitatea de evaluare a riscurilor. Actualul model intuitiv importanţă – probabilitate de producere nu corespunde întotdeauna aşteptărilor managementului general, mai ales când este vorba despre decizii de importanţă strategică. Din acest motiv, este previzibilă creşterea preocupărilor pentru o cuantificare mai bună a riscurilor prin dezvoltarea instrumentelor statistice de evaluare, mai ales în zona riscurilor operaţionale.
Efectivitatea se apreciază prin eficacitate, iar eficacitatea în controlul intern şi managementul riscurilor are corespondent în performanţa ce face obiectul managementului performanţei. O tabelă a rezultatelor seamănă izbitor de mult cu un registru al riscurilor, iar unui factor de succes îi corespunde mai întotdeauna un risc. Două echipe separate lucrează pe documente similare, prima pentru a stabili acţiuni pentru ca anumite lucruri să se realizeze, a doua pentru a stabili acţiuni pentru ca aceleaşi lucruri să nu eşueze în realizare.
Aceste elemente sugerează o viitoare apropiere şi o posibilă integrare a managementului riscurilor şi a managementului performanţei.
Concluzii
Pentru un manager este important să cunoască elementele fundamentale ce ţin de controlul intern şi managementul riscurilor pentru a putea stăpâni, controla evoluţia organizaţiei. Analiza aprofundată a componentelor fiecăruia dintre aceste două procese permite identificarea unor modele de funcţionare integrată, proiectarea corectă şi folosirea raţională a resurselor.
Fără evaluările furnizate de controlul intern şi managementul de risc organizaţia nu poate învăţa, deopotrivă din eşecuri şi succese şi nu poate progresa.
Având în vedere necesitatea constantă de a creşte calitatea feedback-ului oferit de aceste două procese, se pot anticipa o specializare a activităţii de proiectare, utilizarea pe o scară mai largă a instrumentelor statistice de evaluare, precum şi o apropiere conceptuală şi funcţională de managementul performanţei.
Autor: Adrian Popescu
