Implementando a gestão de riscos empresariais

A avaliação de diferentes tipos de riscos é frequentemente gerenciada com processos distintos em partes separadas da organização. Para ser eficaz, a função de ERM precisa entender os diferentes níveis de risco que afetam todas as áreas de uma organização, bem como as técnicas usadas para reduzir o risco. Neste artigo, discutimos sobre como implementar a gestão de riscos empresariais usando os aplicativos Estratégia e Projetos.

Este artigo é baseado em exemplos apresentados em Identificar objetivos e riscos estratégicos.

O que significa implementar a gestão de riscos empresariais?

A implementação do gerenciamento de riscos corporativos é um processo contínuo e em evolução que garante que uma organização esteja ciente dos riscos atuais e emergentes que podem alterar os resultados esperados e que é capaz de responder proativamente aos riscos.

Há três processos principais envolvidos na implementação do ERM:

  • A avaliação de risco envolve o desenvolvimento de um conjunto comum de critérios de avaliação que possa ser usado entre os segmentos em operação, entidades ou unidades de negócios e determine quanto risco uma organização enfrenta
  • Priorizar risco envolve a comparação do nível de risco com os níveis de risco-alvo pré-determinados e os limites de tolerância
  • Responder ao risco envolve examinar as opções de resposta, realizar análises de custo-benefício, formular estratégias de resposta e desenvolver planos de resposta a riscos

Onde eu implemento a gestão de riscos empresariais?

Na Diligent, usamos os aplicativos Estratégia e Projetos para avaliar, priorizar e responder ao risco. Nosso programa de ERM nos permite alinhar nossos valores, visão e avaliação, acelerar nossa agenda de crescimento em nossa capacidade de entrada no mercado e inovação de produto, além de garantir que sempre ofereçamos a melhor experiência para os nossos clientes.

O panorama mais amplo

  • Workshops sobre Riscos podem ser usados para avaliar de forma colaborativa o risco inerente dentro de uma organização, e os resultados podem ser aplicados ao seu perfil de risco organizacional.
  • Quando a avaliação de risco inerente estiver concluída, você poderá visualizar o risco usando Mapas de Riscos configuráveis e definir os Tratamentos de risco vinculando Objetivos (contidos em Estruturas e Projetos) com riscos estratégicos.

Depois de concluir sua avaliação de risco inerente e avaliação de tratamento preliminar, você pode avaliar o risco residual e compreender melhor as áreas da organização de maior preocupação.

Etapas

Pronto para uma demonstração?

Vamos dar uma olhada mais de perto nesses recursos no contexto.

1. Avaliar risco

Avaliar riscos é um processo na gestão de riscos empresariais que envolve a determinação de quanto risco uma organização enfrenta. Muitas organizações começam avaliando qualitativamente o risco primeiro e, em seguida, desenvolvem capacidades quantitativas ao longo do tempo para se alinhar com seus requisitos de tomada de decisão.

Desenvolver critérios de avaliação de risco

A primeira etapa é desenvolver um conjunto comum de critérios de avaliação que possa ser usado entre os segmentos em operação, entidades ou unidades de negócios. Isso permite que você execute uma pontuação de risco diversificada, avalie o risco em vários fatores e especifique um modelo de avaliação de risco que seja usado para sua estrutura de risco específica do setor.

Exemplo

Cenário

Você é um profissional de risco que precisa avaliar de forma lógica o risco em sua organização. Como sua organização é nova na gestão de riscos empresariais, você quer começar a atribuir risco em termos de probabilidade e de impacto. Ao configurar a maneira como os riscos são pontuados, você pode modelar sua estrutura de riscos organizacionais e aplicar a estrutura a todos os riscos identificados.

Processo

Tópicos da ajuda Definindo as configurações de pontuação de risco

Você vai para a seção Pontuação em Configurações no Estratégia e desenvolve os seguintes critérios de pontuação de risco:

  • Probabilidade (escala de 3 pontos: 1 - baixa, 2 - média, 3 - alta)
  • Impacto (escala de 3 pontos: 1 - baixo, 2 - médio, 3 - alto)

Você também especifica o peso de cada fator de pontuação de risco como 100% para refletir a importância igual do impacto e da probabilidade.

Resultado

Todos os riscos em toda a sua organização agora podem ser avaliados por probabilidade e impacto, usando uma escala de 3 pontos:

Avaliação de risco inerente

Risco inerente é um cálculo que deriva de uma avaliação de um risco não tratado - ou do risco bruto que uma organização enfrentará se nenhum controle ou outro fator mitigador tiver sido implementado. A avaliação do risco inerente envolve a associação de riscos aos objetivos estratégicos definidos no Mapa do Estratégia e a avaliação do risco em todos os segmentos operacionais em vários fatores de pontuação de risco. Depois de especificar pontuações, o Estratégia calcula o risco inerente automaticamente.

Dica

Para evitar a pontuação manual dos riscos estratégicos, você pode usar Drivers de Avaliação para automatizar diferentes avaliações de risco. Você pode vincular uma métrica criada no aplicativo Resultados a uma avaliação de risco no Estratégia para informar a avaliação e preencher automaticamente as pontuações de risco inerente com base em intervalos de métrica predefinidos. As principais partes interessadas podem ser notificadas quando ocorrerem mudanças na avaliação de risco.

Exemplo

Cenário

Agora que você configurou os critérios de avaliação de risco da sua organização, você pode começar a avaliar o risco inerente - o risco que existe quando nenhum controle ou outro fator mitigador foi implementado. Para começar o processo, você quer avaliar o risco da fórmula Látex, que gira em torno da possibilidade de que a fórmula secreta possa cair acidentalmente nas mãos dos concorrentes. Sua organização, a Vandelay Industries, certamente estaria fora do mercado se isso acontecesse.

Processo

Tópicos da ajuda Avaliando risco inerente

Primeiro, você abre a avaliação de risco da fórmula Látex e associa o risco aos objetivos estratégicos relevantes que o risco ameaça. Então, você avalia o risco entre todos os departamentos relevantes com base na probabilidade e no impacto.

  • Objetivos Estratégicos Estratégia Orientada para a Inovação, Expansão Internacional, Aumentar o Reconhecimento da Marca em 25% (Marketing), Crescimento da Receita em Dois Dígitos (Vendas), Manter liderança na categoria, > 35% NPS (Net Promoter Score).
  • Departamentos Pesquisa e Desenvolvimento, Operações, Vendas, Marketing, Finanças/Jurídico, Recursos Humanos

Resultado

Você concluiu a avaliação de risco inerente para o risco fórmula Látex:

Realizar workshops sobre risco

Workshops sobre Riscos oferecem um fórum colaborativo on-line para coletar mais informações e avaliar o risco de forma colaborativa com líderes de gestão executiva e da unidade de negócios. Consultores externos que vêm para uma organização podem usar o recurso Workshop sobre Riscos para gerenciar e integrar de forma conveniente a participação de várias partes interessadas. Cada participante pode pontuar os riscos e as pontuações são automaticamente calculadas e agregadas em uma única avaliação de risco que pode ser aplicada a uma única visualização de perfil de risco.

Dica

Há algumas coisas importantes que você pode fazer para facilitar um workshop sobre riscos com sucesso:

  • Fornecer definições claras dos critérios de pontuação de risco garanta que as definições estejam disponíveis a todos os participantes para fornecer uma abordagem consistente para a pontuação de riscos. A maneira mais simples de fazer isso é fornecer descrições significativas nos fatores de pontuação de risco e nas pontuações individuais. Você pode fazer isso ao definir as configurações da pontuação de risco. Os participantes do workshop sobre riscos terão acesso a essas definições ao pontuar riscos.
  • Selecionar os participantes apropriados escolha pessoas de diferentes departamentos que conheçam bem o negócio e que possam fornecer insight sobre operações específicas do negócio.
  • A prática recomendada de limitar o número de participantes envolve de 10 a 25 participantes. Se você precisar envolver um grande número de participantes, enviar um questionário a partir do aplicativo Resultados é o método mais eficiente

Exemplo

Cenário

Você deseja convidar diferentes partes interessadas para colaborar no processo de avaliação de riscos, mas, infelizmente, não é possível reunir os principais interessados na mesma sala ao mesmo tempo. Todos os riscos de nível estratégico identificados são de propriedade do conselho ou da diretoria, mas esses indivíduos não têm conhecimento abrangente de como partes individuais da empresa estão operando. Você precisa de um método para coletar informações de várias pessoas da empresa e gerenciar convenientemente suas entradas em um único local central.

Processo

Tópicos da ajuda Facilitar workshops sobre riscos

Primeiro, você cria um workshop sobre riscos e acrescenta os riscos que os participantes do workshop avaliarão em um fórum on-line colaborativo. Depois, você adiciona os participantes relevantes e envia o workshop sobre riscos para cada participante. Depois que os participantes terminam a pontuação dos riscos, as pontuações são automaticamente calculadas e agregadas em uma única avaliação de risco, e você decide aplicar a avaliação de risco agregada ao seu perfil de risco organizacional.

Resultado

A avaliação de risco inerente para todos os riscos identificados na organização agora está concluída:

2. Priorizar risco

A priorização de risco é o processo de determinar prioridades de gerenciamento de risco comparando o nível do risco contra níveis de risco direcionados e limites de tolerância predeterminados. O risco pode ser exibido não apenas em termos de impacto financeiro e probabilidade, mas também com base em critérios subjetivos como impacto na integridade e segurança, impacto na reputação, vulnerabilidade e velocidade de surgimento.

Organizar riscos por estado

Você pode organizar riscos atribuindo a cada um deles um estado e definindo seu status atual no fluxo de trabalho de mitigação de riscos. Cada estado é exibido em uma coluna separada dentro do perfil de risco. Você pode mover riscos de um estado para outro com base na avaliação de risco e na tolerância e apetite de risco da sua organização.

Exemplo

Cenário

Agora que cada risco identificado foi avaliado em toda a organização, você deseja organizar os riscos e atribuir a eles diferentes status ou estados com base no fluxo de trabalho de mitigação de riscos de sua organização.

Processo

Tópicos da ajuda Atribuindo um risco a um estado

Você move os riscos de um estado ao outro com base na avaliação de risco e na tolerância de risco de sua organização. Para alguns riscos, você especifica o tempo para aceitar ou transferir o risco. Especificar um prazo permitirá que você reavalie facilmente alguns riscos em um momento posterior.

Resultado

Seu perfil de risco é configurado desta forma:

Visualizar riscos

A visualização de riscos ajuda a estabelecer e comunicar uma visão holística dos riscos que afetam a organização. Mapas de risco são muitas vezes usados para comunicar o possível impacto e probabilidade de riscos para que decisões estratégicas possam ser tomadas pela integridade da organização. O Mapa de Gravidade do Estratégia também pode ser usado para visualizar a agregação de risco na organização e pode ajudar a informar a tomada de decisão sobre onde fornecer recursos para mitigar os riscos prioritários.

Exemplo

Cenário

Você precisa priorizar o risco, mas está achando difícil comparar todos os riscos em toda a sua organização. Você reconhece que a visualização de riscos não apenas ajudará a apresentar os resultados de uma avaliação de riscos, mas também permitirá que você decida quais áreas da organização são mais preocupantes, para que você possa implantar os recursos apropriados de acordo

Processo

Tópicos da ajuda Compreensão de mapas de riscos

Você abre o Mapas de riscos padrão para determinar quais riscos devem ser considerados foco principal. As áreas de maior preocupação são representadas no quadrante superior direito do mapa de riscos e as áreas de menor preocupação são representadas no quadrante inferior direito.

Resultado

Com base no Mapa de Riscos, você pode determinar rapidamente os riscos mais preocupantes para sua organização.

3. Responder ao risco

Depois de priorizar os riscos, é hora de definir os planos de resposta ao risco e avaliar o risco residual. A função de ERM deve ser estendida pelas pessoas em posições operacionais da linha de frente que estão mais próximas dos riscos - e isso pode acontecer conectando os riscos operacionais e os dados de controle dos projetos aos riscos estratégicos no Estratégia. Essa abordagem híbrida descendente e crescente oferece a oportunidade de obter uma cobertura abrangente de todos os riscos identificados nas avaliações anuais e incorporar a responsabilidade, aproveitando a experiência das pessoas apropriadas na organização.

Definir tratamentos do risco

Tratamento do risco são as medidas que uma organização toma para mitigar o risco. As medidas podem incluir iniciativas, programas, políticas ou objetivos de controle que podem ser criados no Projetos e vinculados a riscos estratégicos no Estratégia. A ligação ajuda a garantir cobertura completa de todos os riscos operacionais identificados durante as avaliações de risco anuais e permite determinar se a organização está se saindo bem com a mitigação do risco.

Dica

Às vezes, a avaliação preliminar do tratamento pode mostrar que você está investindo recursos demais para mitigar um risco (% tratamento > = 100%). Nesse caso, a avaliação de risco mostra possíveis oportunidades de reduzir o valor de tratamento para um risco particular e de escalar de volta os recursos associados com o tratamento de risco.

Exemplo

Cenário

Como resultado do processo de priorização de riscos, você identificou que o risco que é a principal preocupação da sua organização é o risco fórmula Látex. Com uma gravidade do risco inerente de 70,3%, você sabe que esforços coordenados precisam ser feitos para garantir que o risco seja mitigado adequadamente. Você começa a trabalhar junto com a equipe de garantia para definir tratamentos para reduzir a probabilidade e o impacto de a fórmula Látex ser roubada.

Processo

Tópicos da ajuda Definição de tratamento de risco

A equipe de garantia cria um projeto de Revisão de Segurança de Instalação de Látex no aplicativo Projetos e define o seguinte objetivo:

Garanta que a segurança física seja devidamente mantida no lado de fora

No Estratégia, você abre o risco fórmula Látex, vai até a guia Tratamento e vincula o objetivo criado recentemente no Projetos ao risco fórmula Látex.

Resultado

Uma relação é definida entre o risco estratégico no Estratégia e os objetivos vinculados no Projetos, permitindo que você rastreie a garantia e os resultados de testes e avalie o risco residual.

Avaliação de risco residual

Depois de avaliar o risco inerente e definir como o risco está sendo tratado, você pode realizar uma avaliação de tratamento preliminar que avalia quanto o tratamento reduz o risco. Isso permite que você identifique áreas em que o negócio está exposto ao risco além do apetite de risco da organização. Avaliar o risco residual envolve especificar uma porcentagem de tratamento para definir quanto do tratamento reduz o risco inerente. A porcentagem de tratamento é baseada na eficiência esperada dos esforços de tratamento estabelecidos, antes de os controles terem sido testados para fornecer a garantia:

Dica

Você pode especificar uma porcentagem entre 0 e 100%. A % de tratamento total pode ser maior que 100%. No entanto, um tratamento agregado maior que 100% pode indicar que sua organização pode considerar revisar o tratamento do risco e reduzir os custos associados ao tratamento do risco.

Exemplo

Cenário

Agora que você definiu o relacionamento entre o risco da fórmula Látex e o objetivo de segurança física, é necessário realizar uma avaliação preliminar do tratamento que avalie quanto o tratamento reduz o risco. A avaliação permitirá que você identifique áreas em que o seu negócio está exposto ao risco além do apetite de risco da organização.

Processo

Tópicos da ajuda Avaliando risco residual

Primeiro, você especifica uma porcentagem de tratamento para definir quanto do tratamento reduz o risco inerente Fórmula da Látex. Você baseia a porcentagem de tratamento na eficiência esperada dos esforços de tratamento estabelecidos, antes de os controles terem sido testados para fornecer a garantia:

Resultado

Ao inserir cada porcentagem, a % de Tratamento para todos os tratamentos associados com um segmento em operação atualiza automaticamente. Os valores de Pontuação de Risco Residual e Gravidade do Risco Residual também são automaticamente atualizados. Com base nos resultados da avaliação de risco residual, você pode optar por aceitar ou evitar o risco.

Escopo e avaliação de riscos e controles de nível de processo

Com base nos resultados da avaliação estratégica de riscos, as equipes de garantia podem começar a planejar e definir o escopo dos riscos e controles no nível de processo ou nível micro e centralizar seus papéis de trabalho e comunicações no aplicativo Projetos. Cada atribuição pode ser planejada com histórico, objetivos e escopo que moldam o relatório final e é possível anexar arquivos de planejamento conforme necessário. A equipe de garantia pode quantificar riscos usando uma escala numérica baseada na estrutura de risco que sua organização escolhe seguir, avaliar a eficácia dos controles e anotar quaisquer problemas, apresentar dados quantificados para mostrar o nível de eficácia dos principais controles da organização para mitigar os riscos operacionais esperados e atribuir recursos às áreas de maior risco.

Dica

Você pode integrar evidências de testes de controle em Projetos para agregar dados de transações ao risco estratégico no Estratégia e usar os dados para fazer backup de suas recomendações para membros da gestão executiva e do conselho.

Exemplo

Cenário

Como parte do tratamento do risco da fórmula Látex, você precisa garantir que o tratamento está funcionando – ou seja, você precisa garantir que o risco da fórmula Látex está sendo tratado adequadamente e que não está desperdiçando recursos em procedimentos ineficazes que não estão mitigando o risco.

Processo

Tópicos da ajuda Executando procedimentos e testando controles

Para determinar a eficácia do tratamento, a equipe de garantia testa cada um dos procedimentos listados sob o objetivo Garantir que a segurança física seja devidamente mantida na parte externa:

  • 3-01 Deve-se construir janelas de ou revestidas de materiais que forneçam proteção contra entrada forçada. As janelas não feitas desses materiais devem ser protegidas por um Sistema de Detecção de Invasão (SDI). O SDI alerta um serviço de resposta que atua em 15 minutos.
  • 3-02: Nos finais de semana, apenas as principais entradas das instalações (Sul 1 em Denver (DV1)) e Sul 2 em Los Angeles (LA1)) têm permissão para entrada com cartão de chave.
  • 3-03 O monitoramento visual deve ser mantido em todos os momentos fora das horas de trabalho.
  • 3-04 A iluminação deve ser de intensidade suficiente para permitir a detecção de atividade não autorizada.

A equipe de garantia também pondera cada procedimento a 25%, o que significa que a porcentagem do risco que o procedimento mitiga é 25%.

Resultado

A equipe de garantia captura a avaliação de cada procedimento e identifica um problema como resultado da execução do procedimento 3-02.

O que fazer em seguida?

Saiba como relatar e monitorar riscos

Usando uma combinação dos aplicativos Estratégia, Projetos e Resultados, você pode acompanhar os resultados de garantia e teste associados a riscos estratégicos, integrar dados para ajudar a monitorar riscos e gerar uma variedade de relatórios para compartilhar com as partes interessadas relevantes.

Para saber mais, consulte Relatando e monitorando risco.

Inscreva-se em um curso da Academia

Para continuar adquirindo conhecimento sobre os conceitos introduzidos neste artigo, faça o caminho de aprendizado STRAT 100.

A Academia é a central de recursos de treinamento on-line da Diligent. Os cursos da Academia são disponibilizados gratuitamente para qualquer usuário com uma assinatura do Diligent One. Para obter mais informações, consulte Academia.