Evaluatorul de risc la securitate fizică nu este manager de securitate — unde se oprește rolul evaluatorului și unde încep politicile interne ale firmei

Evaluatorul de risc la securitate fizică nu este manager de securitate — unde se oprește rolul evaluatorului și unde încep politicile interne ale firmei

✍️ Alexandru Valentin Sîrbu 📅 18 martie 2026 ⏱️ ~12 min

Mulți beneficiari confundă analiza de risc cu managementul operațional al securității. Află ce prevede cadrul legal aplicabil, ce face în mod real evaluatorul de risc la securitate fizică, ce NU intră în atribuțiile lui și de ce măsurile recomandate trebuie transformate de beneficiar în politici și proceduri interne clare.

Acest articol explică, pe baza Legii nr. 333/2003, a HG nr. 301/2012 și a Instrucțiunilor MAI nr. 9/2013, de ce evaluatorul de risc la securitate fizică are un rol tehnic și metodologic clar delimitat, dar nu preia automat funcția de manager de securitate, consultant operațional permanent sau autor exclusiv al politicilor interne ale unei firme. :contentReference[oaicite:0]{index=0}

1️⃣ De unde apare confuzia

În practică, foarte multe firme pornesc de la o premisă greșită: dacă au contractat un evaluator de risc la securitate fizică, înseamnă că acesta trebuie să le organizeze integral securitatea internă, să le scrie toate procedurile, să decidă permanent cum se lucrează cu cheile, cu accesul, cu numerarul, cu vizitatorii sau cu personalul. Tocmai aici apare confuzia dintre evaluare de risc, management operațional de securitate și guvernanță internă a organizației.

Textele legale pun însă obligația principală pe unitate și pe conducătorii acesteia. Legea nr. 333/2003 spune că unitățile care dețin bunuri sau valori sunt obligate să asigure paza acestora, iar conducătorii lor stabilesc formele de pază, analizează nevoile de protecție și răspund de organizarea și funcționarea pazei. Tot legea prevede că paza se organizează potrivit planului de pază întocmit de unitate și avizat de poliție.

Normele metodologice aprobate prin HG nr. 301/2012 arată că analiza de risc la securitate fizică trebuie să identifice vulnerabilitățile și riscurile, să determine nivelul de expunere la incidente de securitate fizică și să indice măsurile de protecție necesare obiectivului analizat. Instrucțiunile MAI nr. 9/2013 completează și spun explicit că analiza de risc la securitatea fizică este fundamentul adoptării măsurilor de securitate prevăzute de lege, transpuse în planul de pază și în proiectul sistemului de alarmare.

Cu alte cuvinte, analiza de risc este un diagnostic profesional și o bază de decizie. Ea spune ce amenințări și vulnerabilități există, ce impact pot avea, ce nivel de risc rezultă și ce tip de măsuri sunt necesare pentru a duce riscul în zona acceptabilă. Nu este, prin ea însăși, întregul sistem de conducere a securității dintr-o organizație.

3️⃣ Cine poartă responsabilitatea principală pentru măsurile de securitate

Aici este punctul-cheie al articolului. Din coroborarea Legii nr. 333/2003 cu HG nr. 301/2012 și Instrucțiunile nr. 9/2013 rezultă clar că responsabilitatea de a asigura securitatea obiectivului aparține unității beneficiare și conducerii acesteia, nu evaluatorului ca actor extern. Legea obligă unitățile să asigure paza bunurilor și valorilor lor, iar normele precizează că pentru rețelele de puncte de lucru responsabilitatea asigurării măsurilor de securitate revine conducerii unității centrale. Instrucțiunile MAI nr. 9/2013 spun, la rândul lor, că aceste instrucțiuni se aplică inclusiv conducătorilor unităților, pentru adoptarea măsurilor de asigurare a securității obiectivelor proprii.

Asta înseamnă că evaluatorul nu poate prelua juridic și practic obligația generală a beneficiarului de a-și organiza securitatea. El analizează și recomandă. Beneficiarul decide, aprobă, implementează, finanțează, urmărește și controlează. Aceasta este separația corectă de roluri.

4️⃣ Ce face concret evaluatorul de risc la securitate fizică

Instrucțiunile MAI nr. 9/2013 descriu foarte clar procesul. Efectuarea analizei de risc implică definirea parametrilor interni și externi, stabilirea metodei și instrumentelor de lucru, identificarea riscurilor și zonelor de impact, analizarea și estimarea riscurilor și, în final, întocmirea Raportului de evaluare și tratare a riscurilor la securitatea fizică. Documentația include raportul propriu-zis, grila de evaluare și documentele-suport. Raportul trebuie să conțină, între altele, sursele de risc, consecințele posibile, analiza și estimarea riscurilor, cerințele și măsurile de securitate propuse, costurile de securitate și concluziile privind opțiunile de tratare a riscurilor.

Tot Instrucțiunile prevăd că analizele de risc se efectuează de experți înscriși în RNERSF, iar Poliția Română arată explicit că persoanele interesate sunt abilitate pentru efectuarea analizelor prin înscrierea în Registrul Național al Evaluatorilor de Risc la Securitate Fizică. În plus, evaluatorul are obligații profesionale precum ținerea unui registru cronologic al analizelor și semnarea unui angajament de confidențialitate cu beneficiarul înainte de elaborarea analizei.

Instrucțiunile mai conțin o garanție importantă de independență: prestatorii nu pot efectua analize de risc pentru unitățile cu care ei sau angajatorii lor au deja contracte de pază ori contracte de proiectare, instalare, modificare sau întreținere a sistemelor de alarmare împotriva efracției. Asta arată că evaluatorul trebuie să rămână o voce tehnică distinctă, nu să fie confundat cu executantul tuturor soluțiilor recomandate.

5️⃣ Ce NU face evaluatorul de risc

Aici trebuie spus foarte clar: evaluatorul de risc nu este, prin simpla sa calitate profesională, nici manager de securitate, nici director operațional al securității, nici șef de pază al beneficiarului, nici responsabil HR, nici responsabil IT, nici persoana care supraveghează zilnic respectarea procedurilor de către angajați.

Această concluzie nu apare printr-o propoziție unică în lege, ci rezultă logic din împărțirea obligațiilor legale: legea și normele atribuie unității și conducerii obligația de a asigura paza, de a organiza măsurile și de a stabili reguli interne privind accesul și responsabilitățile compartimentelor; evaluatorului îi atribuie activitatea de analiză, evaluare și formulare a măsurilor necesare. Cu alte cuvinte, evaluatorul stabilește ce riscuri există și ce măsuri sunt necesare, dar nu devine automat cel care conduce permanent sistemul intern de securitate al organizației.

Din aceeași logică rezultă și o limită practică foarte importantă: evaluatorul poate recomanda existența unor proceduri interne, a unor reguli de acces, a unor controale operaționale sau a unor circuite de responsabilitate, dar implementarea efectivă, aprobarea, comunicarea către angajați și verificarea respectării lor aparțin beneficiarului.

6️⃣ De ce raportul de analiză include totuși „politici și responsabilități”

Un detaliu extrem de important din Instrucțiunile nr. 9/2013 este că raportul de evaluare și tratare a riscurilor la securitatea fizică trebuie să cuprindă și „cadrul organizațional intern, politici și responsabilități privind securitatea fizică a unității beneficiare”. Această formulare este esențială. Ea arată că politicile interne există ca parte a sistemului real de securitate și trebuie analizate în raport, dar nu înseamnă că evaluatorul substituie conducerea firmei și preia definitiv funcția de emitent sau administrator al tuturor acestor politici.

Mai exact, evaluatorul trebuie să observe dacă unitatea are sau nu reguli interne, proceduri, responsabilități, disciplină operațională și mecanisme de control. Apoi trebuie să țină cont de acestea în evaluarea sa și, unde este cazul, să recomande completarea sau corectarea lor. Dar politicile rămân instrumente de guvernanță internă ale beneficiarului.

7️⃣ Unde se oprește rolul evaluatorului și unde începe rolul beneficiarului

În termeni practici, rolul evaluatorului se oprește atunci când analiza a identificat riscurile, a estimat impactul lor, a propus măsuri și a indicat opțiunile de tratare a riscurilor pentru a ajunge în domeniul acceptabil. Din acel punct, începe obligația reală a beneficiarului de a transforma recomandările în organizare efectivă, bugete, responsabilități, fluxuri de lucru și documente interne aplicabile.

Asta înseamnă că beneficiarul trebuie să decidă, de exemplu, cine răspunde de chei, cine aprobă accesul în anumite zone, cum se face predarea de tură, cum se raportează incidentele, cine verifică sistemele tehnice, cine gestionează vizitatorii, cum se securizează numerarul și ce reguli se aplică la deschiderea și închiderea unității. Legea chiar spune că unitățile stabilesc reguli privind accesul și circulația în interiorul obiectivului păzit și stabilesc responsabilități pentru șefii compartimentelor de muncă privind paza și siguranța utilajelor și instalațiilor.

8️⃣ Politicile de securitate care ar trebui să existe după analiza de risc

După finalizarea unei analize serioase de risc, organizația ar trebui, în funcție de specificul ei, să își transforme recomandările în politici și proceduri interne. Nu toate sunt obligatorii în aceeași formă pentru orice firmă, dar în practică un sistem sănătos de securitate ajunge frecvent să includă cel puțin o parte dintre următoarele documente:

Politici și proceduri interne utile

  • Politica de control al accesului
  • Politica de gestionare a cheilor, cardurilor și codurilor de acces
  • Procedura de deschidere și închidere a unității
  • Politica privind accesul vizitatorilor
  • Politica privind zonele restricționate
  • Procedura de raportare a incidentelor de securitate
  • Politica privind numerarul și alte valori
  • Politica de recepție marfă și acces furnizori
  • Politica privind bunurile de mare valoare sau produsele sensibile
  • Politica privind folosirea și verificarea sistemelor CCTV
  • Politica privind utilizarea sistemelor de alarmare și reacția la alarmă
  • Procedura de colaborare cu firma de pază
  • Procedura de predare-primire schimb/tură
  • Politica de protecție a documentelor și informațiilor sensibile
  • Politica de securizare a obiectivului la finalul programului

Aceste documente sunt expresia practică a cerinței legale ca măsurile de securitate să fie adoptate, organizate și puse în aplicare de beneficiar pe baza analizei de risc. Fără ele, există riscul ca analiza să rămână doar un document formal, iar nu un instrument viu de control și prevenție.

9️⃣ Exemple concrete de delimitare corectă a rolurilor

Dacă evaluatorul constată că o unitate are risc ridicat de acces neautorizat, el poate recomanda control acces, registru vizitatori, limitarea circulației pe anumite zone, folosirea camerelor video și reguli clare privind accesul. Dar el nu este cel care aprobă lista permanentă de persoane autorizate zi de zi și nici cel care controlează zilnic dacă fiecare angajat a respectat traseul intern. Acest lucru ține de managementul intern al beneficiarului.

Dacă evaluatorul constată vulnerabilități în gestionarea cheilor, poate recomanda registru de predare-primire, limitarea multiplicării, responsabil nominal și audit periodic. Dar desemnarea concretă a persoanelor, aprobarea documentului intern și verificarea respectării lui sunt atribuții ale conducerii sau ale responsabilului intern desemnat.

Dacă evaluatorul constată că personalul nu raportează incidentele sau anomaliile, poate recomanda procedură de raportare și lanț de escaladare. Dar instruirea continuă a personalului, controlul aplicării și sancționarea abaterilor țin tot de beneficiar.

🔟 Când evaluatorul poate ajuta și la politici, fără a fi confundat cu managerul de securitate

În practică, evaluatorul poate ajuta beneficiarul și dincolo de raport, în măsura în care are competența profesională și este contractat separat pentru asta. De exemplu, poate furniza modele orientative de politici, poate sugera structuri de proceduri, poate formula recomandări de implementare sau poate participa punctual la clarificarea unor fluxuri de securitate. Totuși, această activitate este diferită de analiza de risc propriu-zisă și nu trebuie confundată cu preluarea integrală a funcției de conducere a securității.

Cu alte cuvinte, evaluatorul poate contribui la maturizarea sistemului de securitate al firmei, dar rămâne esențial ca rolurile să fie delimitate: una este evaluarea independentă a riscurilor, alta este consultarea pentru implementare, iar alta este managementul operațional permanent. Separarea aceasta este sănătoasă atât juridic, cât și profesional.

1️⃣1️⃣ De ce este periculos să confunzi evaluatorul cu managerul de securitate

Confuzia produce, de obicei, trei probleme majore.

Prima este una juridică și organizațională: beneficiarul ajunge să creadă că simpla existență a raportului îl descarcă de obligația de a-și organiza securitatea. Dar legea spune exact contrariul: obligația de a asigura paza și de a organiza măsurile aparține unității.

A doua este una operațională: fără politici interne și responsabilități clare, măsurile recomandate nu sunt traduse în comportamente și procese reale. Sistemele tehnice pot exista, dar să nu fie folosite corect; personalul poate exista, dar să nu știe ce are de făcut; accesul poate fi limitat pe hârtie, dar necontrolat în practică. Instrucțiunile nr. 9/2013 tocmai de aceea cer ca raportul să includă cadrul organizațional intern, politicile și responsabilitățile.

A treia este una profesională și de independență: evaluatorul trebuie să rămână un profesionist capabil să observe și să judece obiectiv. De altfel, Instrucțiunile interzic efectuarea analizei de risc de către prestatori aflați în conflict de interese prin contracte de pază sau de sisteme de alarmare cu aceeași unitate.

1️⃣2️⃣ Cât de des trebuie revizuită analiza și de ce contează asta pentru politici

Instrucțiunile MAI nr. 9/2013 prevăd că analiza de risc se revizuiește cel puțin o dată la 3 ani, în cel mult 60 de zile de la producerea unui incident de securitate și în cel mult 30 de zile de la modificarea caracteristicilor arhitecturale, funcționale sau a obiectului de activitate al unității. Tot acolo se arată că, după asumarea analizei de către conducătorul unității, măsurile stabilite trebuie implementate în termen de 60 de zile.

Acest lucru este important și pentru politicile de securitate. Dacă se schimbă activitatea, fluxurile, programul, zonele accesibile, tipurile de valori gestionate sau istoricul incidentelor, nu se modifică doar analiza; de regulă trebuie actualizate și politicile interne, procedurile și responsabilitățile aferente. Altfel, firma ajunge să aibă documente necorelate cu realitatea.

1️⃣3️⃣ Ce ar trebui să facă, practic, un beneficiar după ce primește analiza de risc

Ordinea sănătoasă este următoarea:

  1. Să citească și să își asume raportul de evaluare și tratare a riscurilor.
  2. Să stabilească intern cine răspunde de implementare.
  3. Să prioritizeze măsurile structurale, tehnice și operaționale recomandate.
  4. Să își redacteze sau actualizeze politicile și procedurile interne relevante.
  5. Să își instruiască personalul și să verifice aplicarea concretă a regulilor.
  6. Să coreleze planul de pază și, după caz, proiectele sistemelor tehnice cu concluziile analizei.
  7. Să revizuiască documentele atunci când apar schimbări sau incidente.

Această abordare este exact în spiritul normelor legale: analiza fundamentează măsurile, dar măsurile trebuie apoi transpuse într-un sistem de securitate real, operațional și controlabil.

1️⃣4️⃣ Unde găsiți modele și documente utile

Pentru implementarea practică a măsurilor rezultate din analiza de risc, este util ca beneficiarul să aibă la dispoziție și documente orientative de lucru. De aceea, pe secțiunea Documente puteți găsi diverse materiale utile, formulare și câteva modele orientative de politici de securitate, care pot fi adaptate în funcție de activitatea și particularitățile fiecărei unități.

Vezi documentele utile aici

Aceste modele nu înlocuiesc analiza de risc și nici adaptarea internă la specificul obiectivului, dar pot scurta mult drumul dintre recomandarea din raport și aplicarea ei efectivă în companie. În practică, exact această etapă face diferența dintre o conformare formală și un sistem de securitate care chiar funcționează.

1️⃣5️⃣ Concluzie

Evaluatorul de risc la securitate fizică este un profesionist esențial în arhitectura conformării și prevenției, dar rolul lui este unul tehnic, metodologic și independent: identifică amenințări și vulnerabilități, evaluează riscurile, propune măsuri și fundamentează planul de pază și proiectele de securitate. Legea și normele nu mută însă obligația generală de organizare a securității de pe umerii unității pe umerii evaluatorului. Acea obligație rămâne la beneficiar și la conducerea sa.

De aceea, cea mai corectă formulă este aceasta: evaluatorul spune ce riscuri există și ce măsuri sunt necesare; beneficiarul trebuie să transforme acele măsuri în politici, proceduri, responsabilități și control operațional real. Abia atunci analiza de risc devine nu doar un document cerut de lege, ci baza unui sistem de securitate matur și funcțional.

Surse legale principale

  • Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor
  • HG nr. 301/2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003
  • Instrucțiunile MAI nr. 9/2013 privind efectuarea analizelor de risc la securitatea fizică
  • Poliția Română — înscrierea experților în RNERSF

Articol redactat de:
🧠 Alexandru Valentin Sîrbu — Expert evaluator de risc la securitate fizică
📅 Actualizat la 18 martie 2026

Articol anterior
Modelul matematic Sîrbu al protecției volumetrice. Cadrul de evaluare a acoperirii reale 3D a senzorilor volumetrici
Articol următor
Metoda Monte Carlo în analiza de risc la securitatea fizică: cum determinăm realist probabilitatea și impactul în matricea de risc

Articole similare

Analiza de risc la securitate fizică — Ghid complet 2025 pentru firme și administratori
De ce analiza de risc nu începe cu Legea nr. 333/2003 și HG nr. 301/2012: riscul de arson, Ordinul nr. 234/2010 și ordinea reală a evaluării
Analiza de risc la securitate fizică în Constanța - Ghid complet 2026, prețuri și obligații legale
Alexandru Valentin Sîrbu

Despre autor

Alexandru Valentin Sîrbu este Expert evaluator de risc la securitate fizică, cu experiență în evaluarea riscurilor pentru obiective comerciale, industriale și logistice. Profil oficial: RNERSF — EvaluatoriDeRisc.ro .