Analiza și Managementul Riscurilor

Registrul de Riscuri — Identificare, Evaluare, Mitigare

Managementul proactiv al riscurilor este esențial pentru succesul unui proiect de transformare organizațională. Am identificat 18 riscuri, organizate în 6 categorii majore, fiecare evaluat pe probabilitate × impact, cu strategii de mitigare concrete, indicatori de alertă timpurie și planuri de contingență. Abordarea urmează ISO 31000:2018 — Managementul Riscurilor.

Riscuri Identificate
18 Total
Categorii
6 Domenii
Riscuri Critice
4 (Nivel Ridicat)
Metodologie
ISO 31000:2018

📋 Metodologia de Evaluare a Riscurilor

Fiecare risc este evaluat pe două axe: Probabilitate (1=Foarte Scăzută, 5=Foarte Ridicată) și Impact (1=Neglijabil, 5=Critic). Scorul de risc = Probabilitate × Impact (maxim 25). Clasificare: 🟢 Scăzut (1–6) — monitorizare periodică; 🟡 Mediu (7–12) — acțiuni preventive planificate; 🔴 Ridicat (13–25) — acțiuni imediate obligatorii cu plan de contingență. Registrul se revizuiește trimestrial în cadrul Management Review.

🎯 Harta Riscurilor — Probabilitate × Impact

54321
PROBABILITATE →
5
10
15
20
25
4
8
R1 12
R2 16
20
3
6
R3,R5 9
R4 12
R6 15
2
4
6
8
10
1
2
3
4
5
12345
IMPACT →
R1: Rezistența la schimbare R2: Schimbarea leadership-ului politic R3: Întârzieri dezvoltare IT R4: Eșec atragere fonduri UE R5: Securitate cibernetică R6: Eșec certificare ISO
🛑

R1 — Rezistența Angajaților la Schimbare

Categorie: Organizațional / Uman · Proprietar risc: Manager Proiect + Dir. HR

Probabilitate
4/5
Impact
3/5
Scor Risc
12 — MEDIU-RIDICAT

📝 Descriere Risc

Angajații cu vechime mare (10-30 ani în sistem) se opun activ sau pasiv noilor procese, platforme digitale și metode de lucru. Manifestări: refuzul de a utiliza platformele, boicotarea instruirilor, revenirea la procesele vechi, transmitere negativism colegilor noi, cereri de transfer/pensionare anticipată. Cauze profunde: frica de incompetență digitală, teama de pierdere a statutului, confortul cu rutina, lipsa de încredere în conducere.

⚠️ Indicatori de Alertă Timpurie

Rata participare la instruiri scade sub 80%
Rata adopție platforme < 50% la 30 zile post-launch
Creștere nr. petiții/reclamații interne de la angajați
Scădere satisfacție angajați cu > 0.3 puncte între sondaje
Directori raportează pasivitate/obstrucție în echipe

🛡️ Strategii de Mitigare

🗣️Comunicare transparentă din start: Primar-ul comunică personal viziunea în adunare generală. Angajații înțeleg DE CE se schimbă, nu doar CE se schimbă. Newsletter lunar progres + succese.
🏆Sistem motivare și recunoaștere: „Angajatul lunii Kaizen" per departament. Bonificații pentru idei implementate. Certificări vizibile. Progresul individual recunoscut public.
👥Kaizen Champions ca agenți schimbare: 2 angajați respectați per departament — influenceri interni care dau exemplu, ajută colegii, colectează feedback real.
📱Training gradual, nu șoc: Instruire în pași mici, cu tempo adaptat pe vârstă/competențe. Buddy system: angajat digital + angajat non-digital lucrează împreună 2 săptămâni.
🎯Quick Wins vizibile: Primele 3 luni: implementare 5-10 îmbunătățiri mici dar vizibile (ex: eliminare 3 formulare inutile). Angajații văd beneficiul concret rapid.

🚨 Plan de Contingență (dacă riscul se materializează)

Sesiuni individuale cu angajații rezistenți — ascultare + adresare temeri
Adaptare ritm implementare — întârziere controlată (1-2 luni) dacă necesară
Implicare sindicat ca partener, nu adversar — workshop comun
Utilizare excepțională a opțiunii de menținere procese paralele (digital + hârtie) pe perioadă tranzitorie extinsă
🏛️

R2 — Schimbarea Leadership-ului Politic (Alegeri)

Categorie: Politic / Strategic · Proprietar risc: Manager Proiect + Secretar General

Probabilitate
4/5
Impact
4/5
Scor Risc
16 — RIDICAT

📝 Descriere Risc

Alegerile locale pot aduce un nou primar și/sau o nouă majoritate în Consiliul Local care nu împărtășesc viziunea proiectului. Noul leadership poate: opri finanțarea, schimba prioritățile, înlocui echipa de proiect, abandona certificarea ISO. Acest risc este cel mai puțin controlabil intern — depinde de un eveniment politic extern.

⚠️ Indicatori de Alertă Timpurie

Campanie electorală cu critici la adresa proiectului
Sondaje electorale nefavorabile primarului actual
Opoziția în CL contestă bugetul proiectului
Schimbări în coaliția de guvernare locală

🛡️ Strategii de Mitigare

📊Rezultate vizibile și publice: Rapoarte publice trimestriale cu rezultate concrete (economii, satisfacție, digitalizare). Un proiect cu rezultate bune devine greu de anulat politic — costul reputațional este prea mare.
🤝Implicare transpartinică: Invitarea tuturor grupurilor politice din CL la prezentări de progres. Proiectul devine al comunității, nu al unui partid. Consensul cross-party este cel mai bun scut.
📰Comunicare publică intensivă: Cetățenii care folosesc platformele și văd beneficiile devin apărătorii naturali ai proiectului. Presiunea publică face abandonarea proiectului costisitoare politic.
📄Angajamente contractuale cu UE: Fondurile PNRR/POR au obligații de sustenabilitate 5+ ani. Abandonarea proiectului = returnare fonduri UE — descurajare puternică pentru orice nou leadership.
👔Ancorare în funcții permanente: Managerul Calitate și funcțiile IT sunt posturi permanente aprobate prin HCL — supraviețuiesc schimbărilor de primar.

🚨 Plan de Contingență

Briefing de tranziție pregătit: document executiv 10 pagini cu beneficii, costuri abandonare, obligații UE
Întâlnire urgentă Secretar General + Manager Calitate + nou primar în primele 30 zile
Prezentare dedicată noului CL cu rezultate concrete + riscuri financiare de abandonare
💻

R3 — Întârzieri în Dezvoltarea Platformelor IT

Categorie: Tehnologic / Operațional · Proprietar risc: Director IT + Manager Proiect

Probabilitate
3/5
Impact
3/5
Scor Risc
9 — MEDIU

📝 Descriere Risc

Dezvoltarea platformei digitale și a aplicației mobile întârzie față de Gantt (mai mult de 2 luni). Cauze posibile: furnizor IT sub-performant, cerințe insuficient definite la start (scope creep), integrări complexe cu sisteme legacy (Ghișeul.ro, ONRC, e-Factura), lipsă specialiști pe piața locală, bug-uri critice descoperite în testing. Impact: lansarea publică se amână, credibilitatea proiectului scade, costurile IT cresc.

⚠️ Indicatori de Alertă Timpurie

Velocity sprint-uri Agile scade 2 sprint-uri consecutiv
Nr. bug-uri critice > 10 la finalul sprint-ului
Demo-uri sprint refuzate de Product Owner (funcționalitate incompletă)
Furnizor IT solicită extensie termen sau suplimentare buget

🛡️ Strategii de Mitigare

📋Specificații detaliate pre-dezvoltare: 4-6 săptămâni dedicate exclusiv UX research, wireframes, specificații funcționale aprobate ÎNAINTE de prima linie de cod. Reducere scope creep cu 80%.
🔄Agile cu sprint-uri scurte (2 săptămâni): Demo la fiecare 2 săptămâni = probleme detectate în 14 zile, nu în 6 luni. Ajustare continuă.
📑Contract IT cu penalități și SLA: Contractul include: milestones cu penalități întârziere (1% per săptămână), SLA suport post-lansare, escrow cod sursă, drept de audit.
🧩MVP → Iterare: Lansare cu 60% funcționalități (cele esențiale), restul în sprint-uri post-lansare. Mai bine online cu 15 servicii decât offline așteptând 50 servicii.

🚨 Plan de Contingență

Activare clauză contractuală de escalare: meeting CTO furnizor + Director IT + Manager Proiect
Alocarea de resurse suplimentare (2 developeri contract) din bugetul de contingență
Reducere scope la funcționalitățile critice (Pareto: 20% funcții acoperă 80% nevoi)
Ultimă opțiune: schimbare furnizor cu preluare cod (clauză escrow)
🇪🇺

R4 — Eșec în Atragerea Fondurilor UE Planificate

Categorie: Financiar · Proprietar risc: Dir. Economic + Biroul Fonduri Europene

Probabilitate
3/5
Impact
4/5
Scor Risc
12 — MEDIU-RIDICAT

📝 Descriere Risc

Cererile de finanțare UE (PNRR C7/C10, POR, FSE+) sunt respinse sau apelurile nu se deschid conform calendarului. Impact: 425K EUR deficit bugetar (56% din buget). Cauze: competiție mare pe apeluri, documentație insuficient de bine pregătită, modificări ale ghidurilor specifice, întârzieri în lansarea apelurilor de la Ministerele responsabile, condiții de eligibilitate neîndeplinite.

⚠️ Indicatori de Alertă Timpurie

Apelurile PNRR nu se deschid până la Luna 6
Prima cerere depusă primește evaluare sub prag acceptare
Ghidurile specifice schimbă criterii de eligibilitate

🛡️ Strategii de Mitigare

📋Diversificarea surselor: 6 surse UE identificate, nu una singură. Dacă PNRR eșuează, POR sau FSE+ pot acoperi parțial. Plus: surse alternative (Fondul pentru Modernizare, EEA Grants, parteneriate publico-private).
👨‍💼Expert dedicat scriere proiecte: Consultant specializat cu track record > 80% succes pe apeluri similare. Investiție de 10K EUR care poate genera 400K+ EUR.
📊Pre-pregătire documentație: Studii fezabilitate, analize cost-beneficiu, avize de mediu — toate pregătite ÎNAINTE de deschiderea apelului. La momentul deschiderii, depunerea se face în prima săptămână.
💰Buget local de siguranță: 60% din proiect poate fi implementat exclusiv din buget local (340K EUR). Prioritizare: instruire + software + certificare ISO — fără Smart City extins.

🚨 Plan de Contingență

Activare „Plan B bugetar": scope redus la componentele finanțabile 100% local
Amânare Smart City Faza 2 + programe culturale/educaționale pentru următorul ciclu de fonduri
Parteneriat cu ADR Nord-Est pentru asistență tehnică gratuită pe cererile respinse → re-depunere
🔒

R5 — Incident Major de Securitate Cibernetică

Categorie: Tehnologic / Securitate · Proprietar risc: Director IT + DPO

Probabilitate
3/5
Impact
3/5
Scor Risc
9 — MEDIU

📝 Descriere Risc

Atac cibernetic (ransomware, DDoS, data breach) asupra platformei digitale sau infrastructurii IT, cu potențiala expunere a datelor personale ale cetățenilor (GDPR breach). Contextul administrațiilor publice din România: atacuri ransomware în creștere cu 300% în 2023-2025, primării din țări vecine blocate complet 2-4 săptămâni. Impactul digitalizării crește și suprafața de atac.

⚠️ Indicatori de Alertă Timpurie

Alerte SIEM cresc cu > 50% într-o săptămână
Tentative de phishing raportate de angajați
Vulnerabilități critice neremediate > 30 zile
CERT-RO emite avertizare specifică pentru administrații publice

🛡️ Strategii de Mitigare

🔐Securitate by design: Penetration testing înainte de fiecare release. OWASP Top 10 verificat. 2FA obligatoriu pentru toți. WAF (Web Application Firewall) activ. Encryption at rest + in transit.
💾Backup 3-2-1 testat: 3 copii, 2 medii diferite (local + cloud), 1 off-site air-gapped. Test restore automat lunar. RTO < 4 ore, RPO < 1 oră.
📚Training securitate angajați: Simulări phishing trimestriale. Scor reușită phishing target: < 5% click rate. Training awareness 2h/an obligatoriu.
📋Incident Response Plan: Document 20 pagini cu: roluri, comunicare, izolare, investigare, remediere, notificare ANSPDCP (72h GDPR), comunicare publică. Exercițiu anual.

🚨 Plan de Contingență

Activare Incident Response Plan: izolare imediată sisteme afectate
Notificare CERT-RO + ANSPDCP (în 72h dacă date personale afectate)
Restore din backup (testul lunar garantează funcționalitatea)
Comunicare transparentă către cetățeni (ce s-a întâmplat, ce date afectate, ce facem)
Audit extern post-incident + remedierea vulnerabilității exploatate
🏅

R6 — Eșec la Auditul Extern de Certificare ISO

Categorie: Calitate / Reputațional · Proprietar risc: Manager Calitate + Consultant ISO

Probabilitate
3/5
Impact
5/5
Scor Risc
15 — RIDICAT

📝 Descriere Risc

Auditorul extern descoperă non-conformități majore care blochează emiterea certificatelor ISO. Scenariul de coșmar: după 3 ani de efort și 765K EUR investiți, certificarea nu se obține. Impact reputațional devastator intern (credibilitatea echipei de proiect) și extern (imagine primărie). Cauze posibile: documentație incompletă, procese implementate doar „pe hârtie" (nu practic), angajați care nu pot demonstra cunoașterea procedurilor, non-conformități netratate din auditurile interne.

⚠️ Indicatori de Alertă Timpurie

Scor maturitate < 3.0 la pre-auditul intern (Luna 29)
Mai mult de 3 NC majore la auditul intern runda 2
Departamente cu SOP-uri neactualizate > 6 luni
Angajați care nu pot explica procesul lor standardizat
Management Review-uri ratate sau formale (fără decizii reale)

🛡️ Strategii de Mitigare

🔍3 runde de audit intern ÎNAINTE de extern: Runda 1 (An 1) = diagnostică, Runda 2 (An 2) = validare, Runda 3 (pre-extern An 3) = simulare completă. Fiecare rundă tratează NC-urile înainte de următoarea.
👨‍🏫Consultant ISO pe tot parcursul: Consultant extern cu experiență în certificare administrație publică, prezent în toate fazele, validează documentația, participă la pre-audit.
🎭Simulări audit extern (role-play): Consultantul joacă rolul auditorului extern — pune aceleași întrebări, verifică aceleași dovezi. Angajații se obișnuiesc cu formatul ÎNAINTE de ziua cea mare.
📋GO/NO-GO decision gate: La Luna 29, după pre-audit, se ia decizia formală: dacă scorul < 3.0, se AMÂNĂ cererea de certificare cu 3-6 luni (mai bine amânat decât eșuat).
📊Tracking 100% dovezi: Fiecare cerință ISO are o dovadă obiectivă asociată (document, înregistrare, foto, screenshot). Matricea cerințe × dovezi este completă ÎNAINTE de solicitarea auditului.

🚨 Plan de Contingență

NC majore = rezolvare în 90 zile + audit suplimentar (cost: ~3K EUR)
Amânare certificare max. 6 luni — proiectul se extinde cu această perioadă
Comunicare transparentă: „Am amânat certificarea pentru a ne asigura că sistemul funcționează real, nu doar pe hârtie"
Intensificare mentorat departamente cu scor scăzut + audit intern suplimentar focalizat
Registru Extins

Riscuri Secundare (12 Riscuri Suplimentare)

Pe lângă cele 6 riscuri principale detaliate mai sus, registrul include 12 riscuri secundare monitorizate trimestrial. Acestea au scor de risc mai mic dar necesită vigilență continuă.

CodRiscCategoriePIScorMitigare Principală
R7Pierderea personalului cheie de proiectHR33🟡 9Documentație completă + backup responsabil pentru fiecare funcție critică
R8Furnizor IT intră în insolvențăTehnologic24🟡 8Clauză escrow cod sursă + drepturi proprietate intelectuală în contract
R9Depășire buget > 15%Financiar33🟡 9Monitorizare lunară plan vs. real + contingență 5% + aprobări suplimentare CL
R10Lipsă interes cetățeni platformăAdopție23🟢 6Campanie marketing + incentive (1 serviciu gratuit) + UX testat cu utilizatori reali
R11Modificare legislativă (ex: noi cerințe GDPR)Legal23🟢 6Monitorizare legislativă lunară + flexibilitate arhitectură software
R12Întârzieri proceduri achiziții publiceOperațional42🟡 8Demarare proceduri cu 3 luni înainte de necesitate + template-uri documentație
R13Conflicte între departamenteOrganizațional32🟢 6Workshop-uri interdepartamentale + Primar mediator + obiective comune
R14Calitate scăzută date migrareTehnic33🟡 9Audit date pre-migrare + curățare + validare + perioadă paralelă 30 zile
R15Supraîncărcare angajați (proiect + job curent)HR42🟡 8Alocare realistă 20% timp proiect + sprijin extern + prioritizare activități
R16Probleme infrastructură (curent, internet)Infra23🟢 6UPS pentru servere + cloud backup + redundanță internet (2 ISP)
R17Reputație negativă media / social mediaComunicare32🟢 6Comunicare proactivă + protocol comunicare criză + monitoring social media
R18Pandemia sau criză similarăExtern15🟢 5BCP (Business Continuity Plan) + capacitate lucru remote + platforme online funcționale

🔄 Procesul Continuu de Management al Riscurilor

Ciclu de Monitorizare

Săptămânal: Manager Proiect verifică indicatorii de alertă timpurie pentru riscurile 🔴 Ridicate
Lunar: Echipa de proiect revizuiește toate riscurile 🟡 Medii — actualizare probabilitate/impact pe baza evidențelor
Trimestrial: Management Review include revizuirea completă a registrului de riscuri — toate cele 18 riscuri reevaluate
La eveniment: Orice incident sau schimbare majoră declanșează revizuire ad-hoc a riscurilor afectate

Responsabilități

Manager Proiect: Proprietar registru riscuri, convoacă sesiuni de revizuire, escalare către Primar pentru riscuri 🔴
Proprietar Risc: Fiecare risc are un „proprietar" desemnat care monitorizează indicatorii și implementează mitigarea
Manager Calitate: Verifică eficacitatea acțiunilor de mitigare și integrarea cu ciclul PDCA
Primar + Directori: Decidenți finali pentru riscuri cu impact ≥ 4 sau scor ≥ 12