Masterclass Bursă · Reguli & conformitate · 31 min · Actualizat 21 iun. 2026

Managementul riscului și conformitatea

Definiție și termeni-cheie

Managementul riscului și conformitatea (risk management and compliance) reprezintă modul sistematic prin care o organizație ține totul sub control: identifică ce poate merge prost, evaluează cât de grav ar fi și respectă fiecare lege și regulă aplicabilă. Managementul riscului și conformitatea nu sunt un singur lucru, ci două idei unite care lucrează împreună în fiecare zi. În acest capitol vei învăța cum funcționează evaluarea riscului (risk assessment), ierarhia controalelor (hierarchy of controls), rolul politicilor și procedurilor, precum și modul în care un birou de tranzacționare aplică limitele de poziție și regulile de stop-loss.

Tema centrală a acestui ghid pentru începători este simplă: nu eliminăm orice risc, fiindcă asta ar opri orice activitate utilă, ci păstrăm riscul suficient de mic încât beneficiul să merite. Vei întâlni concepte precum probabilitatea (likelihood), severitatea (severity), riscul rezidual (residual risk), apetitul pentru risc (risk appetite) și Value-at-Risk (VaR), toate explicate clar și cu exemple concrete.

Managementul riscului este procesul pas cu pas de a observa ce poate merge prost, de a decide cât de serios este și de a alege cea mai sigură cale de a opri problema înainte să rănească pe cineva. Scopul este să ții oamenii departe de pericol, oferind totuși ocazii valoroase de a explora și de a crește. De exemplu, o platformă înălțată în grădină este distractivă pentru cățărat, dar are și un risc de cădere. Managementul riscului întreabă: „Cât de probabilă este o cădere?”, „Cât de grav ar putea fi rănit cineva?” și „Ce putem face ca să fie mai sigur?”. Răspunsurile posibile ar putea fi suprafețe de aterizare mai moi, platforme mai joase sau supraveghere constantă. Observă că managementul riscului nu încearcă să elimine fiecare risc — fiindcă asta ar opri învățarea — ci încearcă să mențină riscul suficient de mic încât beneficiul să merite.

Conformitatea (compliance) înseamnă respectarea fiecărei reguli legale, politici sau înțelegeri pe care organizația trebuie să le urmeze. Aceste reguli vin din multe locuri: guvernul național, autoritatea locală, propriile promisiuni făcute clienților și chiar actul constitutiv al organizației. Conformitatea este ca un contract între organizație și societate: promitem să ținem totul în siguranță și, în schimb, ni se permite să operăm. Dacă încălcăm promisiunea, putem fi amendați, închiși sau putem pierde încrederea oamenilor.

Termeni-cheie pe care îi vei întâlni mereu

Risc (risk) – șansa ca ceva rău să se întâmple. Ne gândim la riscuri pentru siguranță, sănătate, învățare și bunăstare. Un risc nu este același lucru cu un pericol; un risc poate fi mic sau mare și deseori îl putem micșora fără să-l eliminăm complet.

Pericol (hazard) – orice lucru care ar putea provoca daune. Pardoseli ude, colțuri ascuțite, mobilier neasigurat sau chiar zgomote puternice pot fi toate pericole. Identificarea pericolelor este primul pas în managementul riscului.

Probabilitate (likelihood) – cât de probabil este ca pericolul să provoace daune. Folosim adesea cuvinte simple: „foarte improbabil”, „posibil”, „probabil”, „aproape sigur”. De exemplu, o băltoacă pe podea este un pericol; probabilitatea ca ea să provoace o alunecare este „posibilă” într-o dimineață aglomerată.

Severitate (severity) – cât de gravă ar fi dauna dacă s-ar întâmpla. O lovitură mică ar putea fi „minoră”, un os rupt este „grav”, iar o rană la cap care necesită spitalizare este „majoră”. Personalul combină probabilitatea și severitatea pentru a decide care riscuri au nevoie de cea mai mare atenție.

Măsură de control (control measure) – orice acțiune pe care o luăm pentru a reduce fie probabilitatea, fie severitatea daunei. Controalele pot fi fizice (ex.: covorașe antiderapante), organizaționale (ex.: instruirea personalului) sau procedurale (ex.: înregistrarea intrărilor și ieșirilor). Cele mai bune controale sunt puse în aplicare înainte să se întâmple un accident.

Risc rezidual (residual risk) – riscul care rămâne după ce am aplicat toate măsurile de control. Chiar și cu cea mai bună supraveghere, cineva determinat ar putea totuși să se cațăre prea sus. Riscul rezidual este șansa mică rămasă; o acceptăm pentru că beneficiile depășesc pericolul.

Politică (policy) – o regulă scrisă care le spune tuturor exact ce să facă într-o anumită situație. O „Politică de protecție” spune cum trebuie să raporteze personalul îngrijorările privind bunăstarea cuiva; o „Politică de sănătate și securitate” explică cum se menține clădirea în siguranță. Politicile transformă legile și ideile bune în acțiuni de zi cu zi.

Procedură (procedure) – instrucțiunile pas cu pas care arată cum se pune în practică o politică. De exemplu, politica ar putea spune „Personalul trebuie să raporteze accidentele”, în timp ce procedura enumeră exact formularul de completat și pe cine să anunțe.

Reglementare (regulation) – o regulă legală făcută de un organism guvernamental. Reglementările nu sunt sugestii; ele sunt legea.

Inspecție (inspection) – o vizită a unui oficial guvernamental sau local pentru a verifica dacă organizația respectă reglementările. Inspectorii se uită la politici, vorbesc cu personalul, observă activitatea și verifică înregistrările. Ei acordă o notă și pot impune schimbări dacă ceva este nesigur.

Audit – o verificare atentă și planificată în interiorul organizației pentru a vedea dacă propriile reguli și controale funcționează. Spre deosebire de o inspecție, un audit este realizat chiar de organizație sau de un expert extern plătit. Auditurile ne ajută să găsim problemele mici înainte să devină mari.

Incertitudine (uncertainty) – faptul simplu că nu putem fi niciodată 100% siguri ce se va întâmpla în continuare. Chiar și cu cele mai bune planuri, se poate întâmpla un incident neprevăzut. Managementul riscului nu pretinde că prezice viitorul; spune doar că am gândit cu atenție și suntem pregătiți să acționăm dacă ceva merge prost.

Dovezi și limite

Cercetările arată că organizațiile care urmează pași clari de management al riscului au mai puține accidente și rezultate mai bune. Totuși, dovezile sunt cele mai puternice pentru pericolele evidente, precum căderile și arsurile. Știm mai puțin despre evenimentele foarte rare. De asemenea, conformitatea cu reglementările s-a dovedit că reduce incidentele grave, dar hârtiile singure nu garantează succesul. Cele mai bune organizații folosesc atât planificarea atentă, cât și relațiile bune.

Intuiția

Imaginează-ți că mergi desculț pe o plajă însorită și observi o porțiune de nisip fierbinte lângă prosop. Fără să te gândești prea mult, calci automat în jurul ei. Nu ai măsurat temperatura, nu ai citit un semn de avertizare și nu ai consultat un regulament. Corpul tău pur și simplu știe — prin experiență și instinct — că un pas pe nisipul fierbinte te-ar putea răni. Acea înțelegere imediată, de la nivelul instinctului, este intuiția în acțiune.

În lumea conformității, lucrurile funcționează la fel, dar în loc să evităm nisipul fierbinte, evităm riscuri care ar putea face rău oamenilor. Intuiția în conformitate nu înseamnă să ghicești sau să te bazezi pe presimțiri. Înseamnă să recunoști tipare, să observi când ceva „nu e în regulă” și să iei măsuri rapide și raționale pentru a preveni dauna — înainte ca o problemă mică să devină ceva grav.

De ce contează acest tip de intuiție? Pentru că mediile de lucru sunt locuri aglomerate. Cineva ar putea muta un obiect greu fără să-și dea seama că poate cădea. Un membru al echipei ar putea uita să verifice un detaliu important. În aceste momente, judecata rapidă și instinctivă — bazată pe instruire și pe reguli clare — poate preveni accidentele înainte să se întâmple.

Gândește-te la conformitate ca la o „plasă de siguranță interioară”. Nu este doar despre bifarea unei liste. Este despre dezvoltarea unui simț al ceea ce este sigur și ce nu, astfel încât, atunci când ceva nu pare în regulă, să te oprești și să întrebi: Este în acord cu regulile noastre de siguranță? Ar putea răni pe cineva? Ce spune politica? Cu timpul, acest obicei devine a doua natură. Nu mai trebuie să te gândești în profunzime la fiecare pas — pur și simplu știi să verifici că poarta e închisă sau că lista de alergii este la zi.

Această intuiție se construiește din două lucruri: orientări clare și practică repetată. La fel cum cineva învață să nu atingă o plită fierbinte fiind avertizat și apoi trăind consecința, echipele își construiesc intuiția de conformitate învățând regulile, exersându-le în simulări și reflectând asupra a ceea ce a mers bine sau prost. De fiecare dată când se face o simulare de incendiu sau se urmează o rutină de verificare, echipa întărește obiceiurile sigure. Aceste obiceiuri devin automate — ca a ști să ocolești nisipul fierbinte.

Dar intuiția în conformitate nu este perfectă. Uneori, ceea ce „pare corect” poate fi de fapt riscant. De exemplu, cineva ar putea crede că e în regulă să lase ceva nesupravegheat „doar un minut”. Acel sentiment de „mă întorc repede” poate suprascrie regula. De aceea, intuiția în conformitate trebuie întotdeauna ghidată de standarde clare, scrise. Intuiția îți spune că ceva ar putea fi greșit; politica îți spune exact ce să faci.

Dovezile susțin această idee. Studiile arată că mediile în care personalul dezvoltă instincte puternice de siguranță — prin instruire, jocuri de rol și practică reflexivă — au mai puține accidente și o aderență mai bună la regulile de sănătate și securitate. Dar dovezile arată și că intuiția singură nu este suficientă. Fără politici consecvente și verificări regulate, chiar și personalul bine intenționat poate scăpa din vedere riscuri.

Așadar, intuiția în conformitate este ca o alarmă discretă în mintea ta — una care sună când ceva nu pare sigur. Este rapidă, practică și construită din experiență. Dar trebuie întotdeauna însoțită de reguli clare, instruire regulată și disponibilitatea de a verifica de două ori. Astfel, organizația nu doar reacționează la riscuri — le previne înainte chiar să se formeze.

Cum funcționează — mecanica

Managementul riscului și conformitatea presupun o abordare sistematică de identificare, evaluare și atenuare a riscurilor potențiale și de asigurare a respectării legilor, reglementărilor și standardelor relevante. Mecanica poate fi descompusă în câțiva pași-cheie, prezentați mai jos.

Pasul 1: Identificarea riscului

Procesul începe cu identificarea riscului, unde riscurile potențiale sunt identificate și documentate. Aceasta presupune o trecere în revistă temeinică a operațiunilor organizației, inclusiv a politicilor, procedurilor și practicilor sale. Procesul de identificare a riscului presupune de obicei:

• Revizuirea legilor, reglementărilor și standardelor relevante
• Efectuarea unui parcurs (walk-through) prin organizație pentru a identifica pericole și riscuri potențiale
• Consultarea personalului și a părților interesate pentru a aduna informații despre riscurile potențiale
• Revizuirea rapoartelor de incident, a accidentelor și a situațiilor „la limită” (near-misses) pentru a identifica tendințe și tipare

Pasul 2: Evaluarea riscului

După ce riscurile potențiale au fost identificate, următorul pas este evaluarea probabilității și a impactului lor potențial. Aceasta presupune folosirea unui instrument de evaluare a riscului, precum o matrice sau un sistem de punctare, pentru a evalua nivelul de risc asociat fiecărui risc identificat. Procesul de evaluare a riscului presupune de obicei:

• Evaluarea probabilității de apariție a fiecărui risc, folosind o scală precum scăzut, moderat sau ridicat
• Evaluarea impactului potențial al fiecărui risc, folosind o scală precum scăzut, moderat sau ridicat
• Calcularea unui scor de risc prin înmulțirea evaluărilor de probabilitate și impact
• Clasificarea fiecărui risc ca scăzut, moderat sau ridicat în funcție de scorul său de risc

Pasul 3: Atenuarea riscului

Următorul pas este dezvoltarea și implementarea de strategii pentru a atenua sau reduce riscurile identificate. Aceasta presupune dezvoltarea de politici, proceduri și practici care minimizează probabilitatea și impactul fiecărui risc. Procesul de atenuare a riscului presupune de obicei:

• Dezvoltarea și implementarea de politici și proceduri pentru a preveni sau minimiza riscul
• Oferirea de instruire și sprijin personalului pentru a se asigura că își înțelege rolurile și responsabilitățile în atenuarea riscului
• Revizuirea și actualizarea regulată a politicilor și procedurilor pentru a rămâne eficiente
• Monitorizarea și revizuirea eficacității strategiilor de atenuare a riscului

Pasul 4: Conformitatea

Pasul final este asigurarea faptului că organizația respectă legile, reglementările și standardele relevante. Aceasta presupune revizuirea și verificarea faptului că toate politicile, procedurile și practicile sunt actualizate și în acord cu cerințele curente. Procesul de conformitate presupune de obicei:

• Revizuirea și verificarea faptului că toate politicile și procedurile sunt în acord cu legile, reglementările și standardele curente
• Efectuarea de audituri și inspecții regulate pentru a asigura conformitatea
• Oferirea de instruire și sprijin personalului pentru a se asigura că își înțelege rolurile și responsabilitățile în menținerea conformității
• Revizuirea și actualizarea regulată a politicilor și procedurilor pentru a rămâne eficiente

Pasul 5: Monitorizare și revizuire

Pasul final este monitorizarea și revizuirea eficacității procesului de management al riscului și de conformitate. Aceasta presupune revizuirea și actualizarea regulată a politicilor și procedurilor, precum și monitorizarea și revizuirea eficacității strategiilor de atenuare a riscului. Procesul de monitorizare și revizuire presupune de obicei:

• Revizuirea și actualizarea regulată a politicilor și procedurilor pentru a rămâne eficiente
• Monitorizarea și revizuirea eficacității strategiilor de atenuare a riscului
• Efectuarea de audituri și inspecții regulate pentru a asigura conformitatea
• Oferirea de instruire și sprijin personalului pentru a-și înțelege rolurile în menținerea conformității

În concluzie, mecanica managementului riscului și a conformității presupune o abordare sistematică de identificare, evaluare și atenuare a riscurilor potențiale, precum și de asigurare a respectării legilor, reglementărilor și standardelor relevante. Urmând acești pași-cheie, organizațiile pot minimiza probabilitatea și impactul riscurilor potențiale și pot asigura un mediu sigur și sănătos.

Exemplu rezolvat

Imaginează-ți o mică organizație numită „Bright Little Stars” care se ocupă de zece situații în fiecare zi lucrătoare. Într-o dimineață obișnuită, lucrurile încep între orele 8:00 și 9:00. Organizația este condusă de un coordonator calificat și doi asistenți; coordonatorul este și responsabilul desemnat de protecție.

Pasul 1 – Identifică pericolele care ar putea provoca daune
Un pericol este orice are potențialul de a provoca daune. La „Bright Little Stars” putem enumera cel puțin trei:

• Băuturi fierbinți lăsate pe mese joase – cineva ar putea răsturna cana și s-ar putea opări.
• O priză defectă în perete în spatele cuierului – cineva ar putea introduce un obiect metalic înăuntru.
• O balustradă slăbită la tobogan – cineva ar putea cădea și s-ar putea lovi la cap.

Pasul 2 – Decide cât de probabil este fiecare pericol și cât de gravă ar fi dauna
Transformăm fiecare pericol într-o evaluare simplă a riscului. Riscul se scrie de obicei ca un număr:

Risc = Probabilitate × Severitate

Probabilitatea se punctează pe o scală de la 1 la 5, unde 1 = aproape niciodată și 5 = se întâmplă zilnic. Severitatea este tot de la 1 la 5, unde 1 = o zgârietură mică și 5 = deces sau rană care schimbă viața.

Băuturi fierbinți lăsate nesupravegheate

• Probabilitate: 3 (o dată sau de două ori pe săptămână o cană este lăsată la îndemână)
• Severitate: 3 (o opărire ar putea necesita prim ajutor și o vizită la medic)
• Risc = 3 × 3 = 9

Priză defectă în spatele cuierului

• Probabilitate: 2 (doar când lipsește capacul prizei, ceea ce se întâmplă o dată pe lună)
• Severitate: 4 (electrocutarea ar putea fi gravă)
• Risc = 2 × 4 = 8

Balustradă slăbită la tobogan

• Probabilitate: 1 (jurnalul de mentenanță arată că a fost raportată acum trei luni, dar nu s-a făcut nimic)
• Severitate: 3 (o cădere ar putea rupe un braț)
• Risc = 1 × 3 = 3

Pasul 3 – Compară riscurile cu „apetitul pentru risc” al organizației
„Bright Little Stars” a decis că nu va accepta niciun risc peste 10 pe această scală. Riscul balustradei (3) este sub această linie, deci este tolerabil pentru moment. Celelalte două riscuri (9 și 8) sunt aproape de limită și necesită acțiune.

Pasul 4 – Alege controale care reduc riscul la un nivel acceptabil
Folosim ierarhia controalelor (hierarchy of controls):

• 1. Eliminare – îndepărtează complet pericolul. Băuturi fierbinți: am putea interzice complet băuturile fierbinți, dar nu este practic pentru micul dejun.
• 2. Substituire – schimbă cu ceva mai sigur. Băuturi fierbinți: trecem la căni termoizolante cu capac care se deschide doar la apăsare.
• 3. Izolare – ține oamenii departe de pericol. Priză defectă: punem un dulap cu cheie în fața ei, ca să nu poată fi atinsă.
• 4. Inginerie – schimbă mediul. Balustrada toboganului: programăm reparația pentru acest weekend; între timp punem un gard temporar în jurul toboganului.
• 5. Administrativ – instruiește personalul și supraveghează. Băuturi fierbinți: personalul semnează zilnic o listă de verificare că toate cănile sunt pe mese înalte. Priză defectă: adăugăm o verificare vizuală zilnică în jurnalul de mentenanță.

Pasul 5 – Recalculează riscul după aplicarea controalelor

Băuturi fierbinți cu căni cu capac

• Probabilitatea scade la 1 (personalul uită rar acum)
• Severitatea rămâne 3
• Risc nou = 1 × 3 = 3 (tolerabil)

Priză defectă cu barieră de dulap

• Probabilitatea scade la 1 (dulapul e încuiat și verificat zilnic)
• Severitatea rămâne 4
• Risc nou = 1 × 4 = 4 (tolerabil)

Balustrada toboganului reparată

• Probabilitatea devine 0 (niciun pericol)
• Severitatea irelevantă
• Risc nou = 0 (tolerabil)

Pasul 6 – Notează și revizuiește
Coordonatorul înregistrează noile controale în registrul de riscuri (risk register) al organizației: data, pericolul, riscul inițial, controlul, riscul nou și data revizuirii. De exemplu: 12 mai, băuturi fierbinți, risc inițial 9, control: căni cu capac + listă zilnică, risc nou 3, revizuire 12 iunie.

Registrul este revizuit lunar. Dacă apare o situație nouă cu o alergie cunoscută, coordonatorul adaugă acel pericol și repetă pașii.

Ce susțin și ce nu susțin dovezile

• Metoda de evaluare a riscului este predată pe scară largă, dar este doar un instrument rapid; nu prezice exact accidentele.
• Ierarhia controalelor se bazează pe cercetarea privind siguranța industrială (ex.: Haddon, 1973) și este o practică bună acceptată, însă nu poate elimina orice pericol posibil.
• Cifrele din acest exemplu sunt ilustrative; fiecare organizație trebuie să-și colecteze propriile date.

Un al doilea scenariu

Un al doilea scenariu: „pălăria de soare lipsă”

Context
Într-o dimineață caldă de primăvară apare nevoia de protecție solară, însoțită de o pălărie roșie aprinsă, etichetată cu numele și autocolantul „Sun Safe” al organizației. În timpul activității de dimineață, pălăria este lăsată pe un raft jos. Mai târziu, când grupul se mută în zona exterioară, pălăria nu mai este vizibilă. Personalul efectuează o căutare sistematică în cameră, pe coridor, în vestiar și în zona imediată din grădină. După zece minute, pălăria nu poate fi găsită. Personalul urmează procedura „Obiecte pierdute”: completează un formular scurt de incident, informează la momentul potrivit și izolează locul pălăriei de la utilizare ulterioară până când fie este recuperată, fie declarată definitiv pierdută.

Definiții și de ce contează acest lucru

• Risc: șansa expunerii la radiații ultraviolete (UV) fără protecție adecvată.
• Conformitate: acțiunea conformă cu Politica de siguranță solară a organizației, care este aliniată ghidurilor naționale privind minimizarea expunerii la UV.
• Obiect pierdut: orice articol care iese de sub control direct și nu poate fi localizat într-o zonă de căutare și o fereastră de timp definite.

Ce spune politica
Politica de siguranță solară prevede că personalul trebuie:

• 1. să se asigure că este purtată protecția solară etichetată la exterior;
• 2. să efectueze o numărare și o verificare vizuală la fiecare tranziție de la interior la exterior;
• 3. să înregistreze orice articol lipsă în jurnalul de incidente;
• 4. să notifice partea responsabilă cât mai curând posibil;
• 5. să pună în carantină articolul lipsă până când fie este returnat, fie declarat oficial pierdut.

Cum aprofundează acest scenariu înțelegerea

Caz-limită 1 – absența temporară
Unii practicieni ar putea argumenta că o pălărie lăsată pe un raft timp de zece minute „nu este încă un risc”. Totuși, politica tratează orice separare între persoană și articolul de protecție ca pe o expunere potențială. Fereastra de zece minute nu este arbitrară: este timpul maxim permis pentru căutare înainte de escaladarea incidentului. Această regulă există pentru că pielea se arde repede și pentru că personalul trebuie să demonstreze diligență (due diligence) în localizarea articolului. Scenariul ilustrează astfel cum conformitatea nu înseamnă să aștepți să se producă dauna; înseamnă să demonstrezi grijă sistematică în fiecare moment posibil de expunere.

Caz-limită 2 – perspectiva părții responsabile
La preluare, membrul personalului explică faptul că pălăria lipsește și oferă o pălărie de rezervă pentru drumul spre casă. Partea responsabilă semnează formularul de incident, indicând că a fost informată. Acest simplu act de documentare arată conformitatea cu politica de comunicare. Evidențiază și un aspect subtil: conformitatea nu este doar despre protecție în interiorul organizației; se extinde la asigurarea faptului că partea responsabilă face parte din bucla de siguranță. Fără acea semnătură, organizația nu ar putea dovedi că și-a îndeplinit obligația de îngrijire (duty of care).

Ce susțin și ce nu susțin dovezile

• Ghidurile naționale confirmă că anumite categorii sunt cele mai expuse riscului de arsuri solare pentru că pielea este mai subțire și răspunsul imunitar este imatur. Acest lucru susține decizia de a trata orice protecție lipsă ca pe o problemă de conformitate.
• Nu există date publicate despre cât de des se pierd astfel de articole, deci nu putem cuantifica reducerea riscului obținută prin politică. Această incertitudine înseamnă că trebuie să ne bazăm pe principiul precauției (precautionary principle): tratează fiecare articol lipsă ca și cum ar putea duce la daune, chiar dacă dauna nu se materializează niciodată.

Incertitudine și pașii următori
După trei zile, pălăria tot nu a fost găsită. Managerul decide să înlocuiască articolul din fondul de mărunțiș (petty cash) și să reamintească întregului personal să efectueze o verificare vizuală finală a îmbrăcămintei și a bunurilor înainte de plecare. Această acțiune depășește politica scrisă, dar este consecventă cu obligația mai largă de îngrijire. Scenariul arată, prin urmare, că conformitatea nu este o listă de verificare rigidă; este un proces viu care se adaptează la informații noi, onorând totodată intenția inițială.

Greșeli și concepții greșite frecvente

Când vine vorba de managementul riscului și conformitate, există mai multe capcane frecvente în care cad adesea începătorii. Înțelegerea acestor greșeli și concepții greșite este crucială pentru dezvoltarea de strategii eficiente de management al riscului și pentru menținerea conformității cu cerințele de reglementare.

Una dintre cele mai semnificative concepții greșite este că managementul riscului este un proces unic, făcut o singură dată. Mulți cred că, odată ce o evaluare a riscului a fost finalizată, procesul s-a încheiat, iar atenția se mută spre implementare. Totuși, managementul riscului este un proces continuu care necesită monitorizare și revizuire constantă. Riscurile se pot schimba în timp și pot apărea riscuri noi, ceea ce face esențială reevaluarea și actualizarea regulată a strategiilor.

O altă greșeală frecventă este concentrarea exclusivă pe aspectele tehnice ale managementului riscului, precum identificarea și evaluarea riscurilor. Deși aceste aspecte tehnice sunt cruciale, ele sunt doar o parte a ecuației. Managementul eficient al riscului necesită și o înțelegere profundă a factorilor organizaționali și umani care contribuie la risc. Aceasta include luarea în considerare a motivațiilor, comportamentelor și atitudinilor indivizilor din organizație, precum și a culturii și politicilor organizaționale.

Unii cred în mod greșit că managementul riscului este exclusiv responsabilitatea unui manager de risc sau a unui ofițer de conformitate desemnat. Deși aceste persoane joacă un rol critic, este o responsabilitate colectivă care implică toți membrii organizației. Fiecare are un rol în identificarea, evaluarea și atenuarea riscurilor și este esențial să se cultive o cultură a conștientizării și responsabilității față de risc în întreaga organizație.

O altă concepție greșită este că managementul riscului se concentrează exclusiv pe evitarea riscurilor. Deși evitarea riscurilor este un aspect esențial, nu este singura considerație. Managementul riscului presupune și asumarea de riscuri calculate pentru a atinge obiectivele organizaționale. Aceasta necesită o abordare echilibrată care cântărește beneficiile potențiale ale unui risc în raport cu costurile și consecințele potențiale.

Unii cred în mod greșit și că conformitatea este doar o chestiune de urmare a regulilor și reglementărilor. Deși respectarea regulilor și reglementărilor este esențială, conformitatea înseamnă și înțelegerea principiilor și a intenției care stau la baza reglementărilor. Aceasta necesită o înțelegere profundă a cadrului de reglementare și capacitatea de a-l interpreta și aplica într-un context practic.

O altă greșeală frecventă este bazarea exclusivă pe liste de verificare și șabloane pentru a gestiona riscul și a asigura conformitatea. Deși aceste instrumente pot fi utile, ele nu înlocuiesc o înțelegere profundă a principiilor și conceptelor de bază. Managementul eficient al riscului și conformitatea necesită o abordare nuanțată și specifică contextului, care ține cont de caracteristicile și circumstanțele unice ale organizației.

În cele din urmă, unii cred în mod greșit că managementul riscului și conformitatea sunt concepte separate și distincte. Deși sunt înrudite, nu se exclud reciproc. De fapt, managementul eficient al riscului este strâns legat de conformitate, iar o strategie robustă de management al riscului este esențială pentru menținerea conformității cu cerințele de reglementare.

Pentru a evita aceste greșeli și concepții greșite frecvente, este esențial să dezvolți o înțelegere profundă a principiilor și conceptelor de bază ale managementului riscului și conformității. Aceasta necesită angajament față de învățarea continuă și dezvoltarea profesională, precum și disponibilitatea de a pune sub semnul întrebării presupunerile și înțelepciunea convențională. Adoptând o abordare nuanțată și specifică contextului, organizațiile pot minimiza riscul de erori și neconformitate și își pot maximiza șansele de succes.

Cum folosește biroul de tranzacționare acest lucru

Pe un birou de tranzacționare (trading desk), expresia „management al riscului și conformitate” nu este un departament separat care stă în back office; este ritmul viu pe care biroul îl respiră la fiecare bătaie a ceasului. Biroul este de obicei mic — poate un trader senior, un trader junior și un ofițer de conformitate care este și controlorul de risc — așa că fiecare decizie trebuie luată cu două pălării simultan: „Este profitabil?” și „Este permis?”. Instrumentele folosite sunt simple, dar concrete: limite de poziție (position limits), reguli de stop-loss, verificări pre-tranzacționare (pre-trade checks) și limite în timp real pe registrul de tranzacții (blotter).

În fiecare dimineață, biroul primește o listă de nume aprobate, sectoare și dimensiuni nominale maxime de la tabloul de bord al conformității. Aceste numere nu sunt sugestii; sunt plafoane stricte impuse de sistemul de management al ordinelor (OMS – order management system). Înainte de deschiderea pieței, ofițerul de conformitate încarcă limitele în OMS, astfel încât orice ordin care ar încălca o limită de sector sau o limită pe un singur nume să fie respins automat. Aceasta este prima poartă: biroul nu poate nici măcar să încerce să tranzacționeze peste ceea ce permite cadrul de risc.

Când piața se deschide, biroul începe să construiască poziții. Traderul senior decide o regulă de dimensionare: pentru fiecare nume, dimensiunea poziției este plafonată la 2% din volumul zilnic sau la 50.000 £, oricare este mai mică. Traderul junior introduce ordinul în OMS; sistemul verifică instantaneu dimensiunea propusă în raport cu limitele preîncărcate. Dacă verificarea eșuează, ordinul este marcat cu roșu, iar ofițerul de conformitate trebuie să aprobe o derogare (override). Derogările sunt rare, fiindcă limitele sunt stabilite de comitetul de risc al fondului, nu de birou.

Pe parcursul zilei, biroul monitorizează două numere live pe ecranul blotter-ului: expunerea brută (gross exposure) și expunerea netă (net exposure). Expunerea brută este suma tuturor pozițiilor long și short fără compensare; expunerea netă este diferența dintre long și short. Biroul are o politică prin care expunerea brută nu trebuie să depășească niciodată 250.000 £, iar expunerea netă trebuie să rămână în ±50.000 £. Dacă vreunul dintre numere iese din bandă, OMS trimite o alertă, iar ofițerul de conformitate cere o reducere imediată. Instinctul biroului este să taie riscul înainte de a suna alerta, dar alerta asigură că, chiar dacă traderul este distras, sistemul impune disciplina.

Regulile de stop-loss sunt al doilea nivel de apărare. Pentru fiecare poziție long, biroul setează un stop mental la 5% sub prețul de intrare; pentru fiecare poziție short, stopul este la 5% peste prețul de intrare. Aceste stopuri nu sunt tranzacții automate — sunt reguli pe care traderii le urmează manual. Dacă piața se mișcă împotriva unei poziții cu distanța de stop, traderul trebuie să închidă tranzacția sau să-i explice ofițerului de conformitate de ce o mai ține. Explicația trebuie documentată în blotter în decurs de cinci minute. Această regulă împiedică pierderile mici să se transforme în pierderi mari și menține pierderea medie pe tranzacție în bugetul de risc al fondului.

Deciziile de moment sunt și ele constrânse. Biroul are o regulă „fără știri”: nu pot fi deschise poziții noi în interval de 30 de minute de la orice comunicat economic programat. OMS este programat să blocheze introducerea ordinelor în această fereastră. Aceasta împiedică biroul să fie prins pe partea greșită a unui titlu de știre și îl forțează să aștepte ca datele să fie digerate. După comunicat, ofițerul de conformitate dă undă verde biroului să reia tranzacționarea, dar numai după ce verifică faptul că nu se mai prețuiește vreo știre depășită.

La sfârșitul zilei, blotter-ul este blocat, iar ofițerul de conformitate efectuează o verificare finală. Sistemul calculează automat Value-at-Risk (VaR) pentru portofoliu folosind un model parametric simplu, pe 1 zi, la 95%. Dacă VaR depășește 15.000 £, biroul trebuie să reducă pozițiile înainte de închidere. Numărul VaR nu este o prognoză a pierderii; este un etalon de reglementare care îi spune biroului cât capital ar putea fi expus riscului în condiții normale de piață. Biroul acceptă că modelul este imperfect — presupune că randamentele sunt distribuite normal și ignoră cozile groase (fat tails) — dar este măsura agreată, așa că biroul se conformează.

În practică, biroul folosește aceste reguli ca balustrade (guardrails), nu ca rețete pentru profit. Stopurile și limitele sunt alese astfel încât nicio tranzacție singură să nu poată șterge capitalul fondului, dar înseamnă și că biroul ratează uneori o mișcare mare pentru că dimensiunea poziției a fost prea mică. Rolul ofițerului de conformitate nu este să oprească fiecare tranzacție, ci să se asigure că biroul nu uită niciodată că riscul și recompensa sunt două fețe ale aceleiași monede. Dovezile din blotter-ul biroului arată că, pe parcursul a șase luni, pierderea medie per tranzacție pierzătoare a fost de 1.200 £, mult sub bugetul de risc de 2.500 £, în timp ce câștigul mediu per tranzacție câștigătoare a fost de 2.100 £. Biroul continuă deci să tranzacționeze, dar întotdeauna în interiorul șinelor pe care le-a construit conformitatea.

Limite, avertismente și când eșuează

Managementul riscului și conformitatea nu sunt sisteme infailibile. Deși pot reduce semnificativ probabilitatea de neconformitate și pot minimiza pierderile potențiale, nu sunt o garanție împotriva tuturor riscurilor. Există mai multe limitări și avertismente de luat în considerare când implementăm strategii de management al riscului și conformitate.

Una dintre limitările principale este complexitatea cerințelor de reglementare. Conformitatea cu legile și reglementările poate fi nuanțată și dependentă de context, ceea ce face dificilă dezvoltarea unei abordări universale. De exemplu, cerințele specifice pentru depozitarea materialelor periculoase pot varia în funcție de tipul și cantitatea substanței, precum și de reglementările locale în vigoare. În astfel de cazuri, strategiile pot necesita adaptare la circumstanțele specifice, ceea ce poate consuma timp și resurse.

O altă limitare este dependența de date și presupuneri. Strategiile de management al riscului se bazează adesea pe date istorice și pe presupuneri despre evenimente viitoare. Totuși, aceste presupuneri nu se confirmă întotdeauna, iar evenimente neașteptate pot apărea, fără să fi fost luate în calcul în evaluarea riscului. De exemplu, o organizație poate avea un sistem robust pentru gestionarea alergiilor, dar o reacție alergică severă neașteptată poate apărea totuși dacă alergia nu este documentată corect sau dacă personalul nu este instruit adecvat.

În plus, strategiile de management al riscului și conformitate nu pot ține întotdeauna cont de eroarea umană. În ciuda celor mai bune eforturi, pot apărea greșeli, iar acestea pot avea consecințe grave. De exemplu, un membru al personalului poate uita să administreze un medicament sau poate citi greșit o fișă, ducând la un eveniment advers grav.

Mai mult, strategiile pot să nu fie întotdeauna eficiente în situații de stres ridicat sau presiune mare. În astfel de cazuri, personalul poate fi mai predispus la greșeli sau la trecerea cu vederea a procedurilor critice, chiar dacă a fost instruit și cunoaște protocoalele. De exemplu, în timpul unei crize, personalul poate fi mai predispus la greșeli din cauza nivelului ridicat de stres și presiune.

În ceea ce privește regimurile specifice în care managementul riscului și conformitatea se pot prăbuși, iată câteva exemple:

• Activități cu risc ridicat: strategiile pot să nu fie întotdeauna eficiente în activitățile cu risc ridicat, unde probabilitatea de rănire este mai mare.
• Cazuri complexe: strategiile pot să nu fie întotdeauna eficiente în cazuri complexe, unde nevoile nu sunt bine înțelese sau personalul nu este instruit adecvat.
• Situații de urgență: strategiile pot să nu fie întotdeauna eficiente în situații de urgență, unde personalul poate fi mai predispus la greșeli din cauza stresului și presiunii.

În ceea ce privește ce nu îți spun strategiile de management al riscului și conformitate, iată câteva exemple:

• Nu îți spun cum să gestionezi incertitudinea: se bazează pe presupuneri și date, dar nu țin cont de incertitudine sau de evenimente neașteptate.
• Nu îți spun cum să prioritizezi riscurile: pot identifica multiple riscuri, dar nu oferă o prioritizare clară a acestora.
• Nu îți spun cum să aloci resursele: pot identifica resursele necesare atenuării riscurilor, dar nu oferă un plan clar de alocare a acestora.

În ceea ce privește motivele pentru care managementul riscului și conformitatea nu sunt o garanție, iată câteva:

• Eroarea umană: în ciuda celor mai bune eforturi, pot apărea greșeli, cu consecințe grave.
• Evenimente neprevăzute: strategiile pot să nu țină întotdeauna cont de evenimente neașteptate, care pot apărea în ciuda celor mai bune eforturi.
• Complexitatea cerințelor de reglementare: conformitatea poate fi nuanțată și dependentă de context, ceea ce face dificilă o abordare universală.

În concluzie, deși strategiile de management al riscului și conformitate pot reduce semnificativ probabilitatea de neconformitate și pot minimiza pierderile potențiale, ele nu sunt o garanție împotriva tuturor riscurilor. Există mai multe limitări și avertismente de luat în considerare, iar acestea trebuie cântărite cu atenție în raport cu beneficiile potențiale.

Concluzii esențiale

• Conformitatea este practica de zi cu zi de a te asigura că toți respectă regulile, politicile și legile care țin lucrurile în siguranță. Nu este o sarcină unică; este un set continuu de verificări, înregistrări și acțiuni pe care toți trebuie să le facă.
• Riscul înseamnă orice ar putea afecta bunăstarea sau rezultatul. „Riscul” nu este un cuvânt rău; el denumește pur și simplu orice ar putea merge prost. Gestionarea acelui risc înseamnă identificarea timpurie a riscului, decizia privind gravitatea lui și alegerea celei mai sigure căi de a face activitatea.
• Cei patru pași de bază ai managementului riscului sunt: a identifica (observă ce poate merge prost), a evalua (decide cât de probabil este și cât de grav ar fi), a controla (alege cea mai sigură cale) și a înregistra (notează ce ai decis și de ce). Acești pași trebuie scriși, astfel încât inspectorii, personalul și părțile interesate să poată vedea că ai gândit cu atenție.
• O evaluare a riscului (risk assessment) este documentul scris (sau fișierul digital) care arată acești patru pași pentru o activitate sau o zonă. Enumeră pericolul (lucrul care ar putea răni), riscul (cât de probabil și cât de grav) și controalele puse în aplicare. Nu trebuie să fie lung; trebuie să fie suficient de clar încât un membru nou al personalului să-l înțeleagă.
• Controalele trebuie să se potrivească contextului. Pentru situații diferite, accentul cade pe pericole diferite. Controalele trebuie să respecte și politicile proprii ale organizației.
• „Probabilitatea” și „severitatea” sunt cele două numere pe care le folosești pentru a decide cât de serios este un risc. Probabilitatea este cât de des crezi că pericolul ar putea provoca daune (rar, improbabil, posibil, probabil, aproape sigur). Severitatea este cât de gravă ar fi dauna (minoră, moderată, majoră, severă). Înmulțind aceste două numere obții o evaluare a riscului. Nu este nevoie de matematică complicată; un tabel simplu (ex.: 1–5) este suficient.
• Controalele alese trebuie să fie „rezonabil de aplicabile” (reasonably practicable). Asta înseamnă că trebuie să fie raționale pentru mărimea, bugetul și contextul organizației. Nu trebuie să cheltui sume mari sau să schimbi totul, dar trebuie să arăți că ai gândit cu atenție și ai luat pașii evidenți.
• Toți din organizație sunt responsabili de conformitate, nu doar managerul. Personalul trebuie să urmeze politicile, să raporteze pericolele și să înregistreze orice incident.
• Înregistrările trebuie păstrate cel puțin trei ani (sau mai mult dacă legea cere). Aceasta include evaluările de risc, rapoartele de incident, registrele de accidente și jurnalele de instruire a personalului. Înregistrările digitale sunt acceptabile, dar trebuie să aibă copie de siguranță și să fie ușor de găsit în timpul unei inspecții.
• Incertitudinea este normală. Nu putem fi niciodată 100% siguri că un accident nu se va întâmpla. Conformitatea nu înseamnă zero risc; înseamnă că am făcut ceea ce ar face o organizație responsabilă pentru a reduce riscul cât de mult este rezonabil de aplicabil. Dacă învățăm continuu, înregistrăm continuu și ne îmbunătățim continuu, ne facem bine treaba.
• Dovezile nu ne dau întotdeauna răspunsul exact corect. Cercetarea poate arăta o tendință generală, dar nu ne poate spune care soluție exactă este cea mai sigură în cazul tău. Folosește cele mai bune dovezi disponibile, dar verifică-le mereu în raport cu situația ta concretă și cu regulile pe care trebuie să le respecți.
• Inspectorii și autoritatea locală vor căuta trei lucruri: (1) că ai evaluări de risc pentru activitățile principale, (2) că le respecți și (3) că le revizuiești când lucrurile se schimbă (situații noi, personal nou, echipamente noi). Dacă poți arăta aceste trei lucruri, ești pe drumul cel bun.

← Toate lecțiile Masterclass