As avaliações de risco têm sido historicamente atormentadas pela subjetividade, o que significa que simplesmente não se pode confiar nelas para atingir seu objetivo. A subjetividade impede que as avaliações sejam utilizadas em silos de negócios e impossibilita a verificação por auditoria ou revisão de conformidade.
As normas e suposições comuns tornam as informações coletadas em toda a organização objetiva, quantificável e comparável, permitindo uma melhor análise, resolução de problemas e escalonamento de problemas quando necessário.
Download nosso modelo gratuito de avaliação de risco com as melhores práticas para começar hoje.
Modelo gratuito de avaliação de risco: Overview
O nosso modelo básico de avaliação de risco foi concebido para ajudá-lo a dar os primeiros passos na padronização dos seus processos. Ele o ajudará a determinar quais dados você precisa coletar de suas áreas de negócios, definir termos-chave e delinear as respostas sugeridas.
Ele também gera automaticamente mapas de risco de calor com base em seus dados e inclui instruções passo a passo para uso.
Ao usar nosso modelo gratuito de avaliação de risco você estará bem posicionado para melhor gerenciar riscos em sua organização.
Por que Avaliar Riscos
As avaliações de risco são um componente chave de qualquer programa de gerenciamento de risco bem sucedido. Não importa quão básica ou complexa seja a estrutura, os resultados da avaliação padronizada servem como base sobre a qual o resto de suas responsabilidades de Gerenciamento de Riscos, atividades de mitigação e controles de monitoramento são construídos.
Como nosso modelo de avaliação de riscos pode beneficiá-lo
As avaliações de riscos empresariais bem sucedidas podem ser uma ferramenta poderosa para a tomada de decisões estratégicas de nível sênior, conectando as atividades de negócios às metas e identificando os riscos que ameaçam descarrilar esses objetivos estratégicos. Quando as avaliações de risco são realizadas nos mesmos padrões e suposições, elas podem ser comparadas e utilizadas de forma transversal para um gerenciamento de risco mais preciso e acionável.
Concluindo uma Avaliação de Risco: Passo a Passo
Below destacamos passo a passo o que é necessário para completar uma avaliação de risco tanto no download gratuito do nosso modelo de avaliação de risco como também na solução de gerenciamento de risco do LogicManager.
Escala numérica uniforme – A pontuação do LogicManager é baseada em uma escala de 1 a 10, sendo que 10 tem as consequências mais desfavoráveis para a organização, e é dividida em 5 baldes para fornecer um alto e um baixo de cada balde. (1-2, 3-4, 5-6, etc.). Usar uma escala de 10 facilita a matemática e ter apenas 5 baldes dá às pessoas que fazem avaliações flexibilidade para selecionar o alto ou o baixo dos 5 baldes.
Critérios de avaliação objetiva – Muitas vezes, o 9 de uma pessoa é o 7 de outra pessoa. O modelo de análise de risco do LogicManager fornece uma definição clara sobre o que cada um dos 5 baldes são em termos inequívocos. Existem múltiplas formas de expressar a gravidade, tanto qualitativa como quantitativamente, tais como financeira, legal, estratégica, etc. Qualquer critério qualitativo pode receber uma pontuação para se tornar quantitativo e comparável em toda a empresa. Todos os padrões podem ser comparados, incluindo leis, regulamentos e políticas e procedimentos corporativos, com as práticas atuais.
Critérios de avaliação calibrados – Uma variedade de critérios de avaliação de risco é usada dentro do LogicManager e todos estão em uma escala 1-10 e calibrados, o que significa que a descrição de um 7, mesmo que descrita diferentemente em diferentes critérios de avaliação tem o mesmo significado de severidade. Isto permite a agregação de avaliações de risco para fornecer uma visão holística do risco.
Elementos universais de negócio – As avaliações de risco no LogicManager são divididas em elementos básicos como processos e recursos de negócio, que são padronizados em silos de negócio, ou unidades de negócio. Por recursos entendemos pessoas e fornecedores e os ativos físicos, aplicações de software de avaliação de risco, serviços e repositórios de dados utilizados na organização. Avaliar as características dos fornecedores separadamente dos produtos e serviços que eles vendem produzirá avaliações de risco que facilitarão a identificação e a manutenção da objetividade à medida que mudanças ocorrem como fusões e aquisições ou introdução de novos produtos, etc. Ao decompor informações complexas interligadas em recursos como blocos básicos de construção, o LogicManager’s Risk Taxonomy Framework fornece uma estrutura para informação e propriedade. Isto permite que todos entendam, contribuam e aceitem a responsabilidade pelo gerenciamento de mudanças.
Link risk assessment templates – A tecnologia LogicManager’s Taxonomy conecta elementos, ou seja, através de um simples arrastar e soltar, você pode conectar fornecedores aos produtos e serviços que eles fornecem aos processos de negócios que dependem deles. Conecte cada elemento financeiro aos processos de negócio que contribuem para eles. Ligue todas as aplicações e repositórios de dados desenvolvidos internamente aos processos de negócio que dependem deles para o desempenho das suas responsabilidades. Ligar estes elementos em conjunto fornece uma imagem holística. Por exemplo, um fornecedor pode ter múltiplos produtos e serviços de qualidade e risco diferentes. Avaliar os produtos e serviços individualmente e ligar essas avaliações de risco ao perfil do fornecedor fornece uma imagem muito mais clara sobre a combinação de produtos, serviços e fornecedores usados por um proprietário de processos.
Biblioteca de recursos comum – A Taxonomia do LogicManager fornece uma biblioteca de recursos comum. O uso de informações de um local comum torna possível reduzir drasticamente o retrabalho, especialmente a coleta e gerenciamento de informações, tanto para você quanto para os donos dos processos com os quais você trabalha. A biblioteca também o ajuda a saber quem mais está conectado com as mesmas informações. A chave é descobrir como todos esses recursos estão relacionados entre si e que combinação desses recursos é mais importante para as áreas críticas do seu negócio.
Consolidar coleta de dados de recursos – O modelo de avaliação de risco do LogicManager para Excel permite criar campos de dados personalizáveis para cada um desses elementos de recursos para que você possa coletar informações em silos e identificar áreas onde controles e testes podem ser consolidados. Diferentes áreas em toda a organização estão coletando as mesmas informações para os recursos, eles simplesmente não sabem. Por exemplo, contas a pagar, gestão de contratos, gestão de fornecedores, continuidade de negócios e TI, todas coletam informações sobre os seus fornecedores que se sobrepõem. Ao entender quais informações estão sendo coletadas por essas áreas para cada recurso, você pode facilmente racionalizar e consolidar avaliações de risco e campos de dados.
Relatórios de ERM precisos e holísticos – Você pode analisar, relatar e tomar decisões levando em consideração todas as relações relacionadas ao recurso. O modelo de avaliação de risco do LogicManager permite que as organizações obtenham uma Pontuação Geral de Risco para cada recurso, o que puxa o conhecimento do assunto em toda a organização para chegar a um número agregado para aquele recurso. Toda a complexidade relacionada a um recurso, como um fornecedor, é simplificada, mas apoiada por uma trilha detalhada das avaliações de risco objetivas para todas as outras coisas relacionadas ao recurso, como o processo de negócios, elementos financeiros, ativos físicos, aplicações, dados e pessoas.
Tasks & workflow – No LogicManager, para cada elemento de recurso, você pode enviar notificações de tarefas por e-mail para pontuar avaliações de risco ou revisão, anexar documentos como contratos, iniciar workflows de aprovação, coletar campos de dados personalizados, ver pontuações historicamente e muito mais.
Quando as relações entre os recursos e os processos empresariais que os utilizam se tornam explícitas, a organização pode determinar o impacto nos negócios. Quanto mais forte for a compreensão do impacto nos negócios, mais eficaz será a atividade de governança. A conexão com um processo empresarial fornece uma conexão direta com o especialista no assunto da atividade que usa o recurso e conhece a criticidade desse recurso para sua atividade.
O resultado é uma única pontuação geral resumida para cada processo empresarial que combina as pontuações individuais para cada recurso e item financeiro associado a esse processo e a pontuação do próprio processo. Com essas informações, conforme exposto pelo nosso modelo de relatório de avaliação de risco, você pode priorizar e concentrar seus esforços de ERM.
Usando um Modelo de Avaliação de Risco para Priorizar Medidas de Negócio
O número de medidas de negócio dentro das organizações está tipicamente crescendo. As medidas são frequentemente adicionadas com base em uma reação a eventos de perda que já ocorreram. Não seria valioso ser capaz de se concentrar em medidas prospectivas? Na maioria das organizações, essas medidas preventivas e proativas são indistinguíveis quando agrupadas com medidas reativas, porque as métricas não se ligam formalmente a quaisquer compromissos ou riscos.
E se um risco ou atividade mudar? As organizações não têm maneira de saber como e se essas mudanças afetarão suas métricas de risco. As avaliações de risco e a ligação dos riscos às atividades permitem que as organizações comecem a priorizar as atividades que precisam ser monitoradas. Através de avaliações trimestrais (ou mesmo anuais) de riscos de negócios, as organizações podem detectar o aumento dos níveis de ameaça e identificar novos riscos emergentes antes que eles se materializem e tragam suas métricas de risco para fora da tolerância.
As métricas de risco de negócios são importantes porque não se pode melhorar o que não se pode medir. No entanto, um grande número de metas não relacionadas é problemático porque:
- Cansaço na medição – a equipe pode simplesmente ignorar muitas medidas por falta de tempo para avaliá-las.
- Medir obsolescência – em um ambiente em mudança não há uma maneira eficaz de saber quando as medidas não se aplicam mais.
- Falta de priorização – é provável que a escolha das medidas a serem focalizadas seja feita de forma ad hoc e por capricho da equipe atual.
- Falta de continuidade – mudanças na organização ou no desenvolvimento de novas linhas de negócios podem resultar em novas medidas enquanto as medidas existentes podem ser mais eficazes.
- Falta de coordenação – muitas vezes as medidas se aplicam a múltiplos riscos ou compromissos através de linhas funcionais. A incapacidade de vincular formalmente medidas a riscos ou compromissos não promove a coordenação inter-funcional resultando em silos de negócios e duplicação de esforços.
- Recursos desperdiçados – A quantidade de recursos disponíveis para atingir as metas do negócio e mitigar riscos é finita. Os funcionários freqüentemente continuarão a conseguir medidas obsoletas ou sem importância em vez de se alinharem aos imperativos atuais.
- Resistência à mudança – Uma dificuldade para aplicar a experiência passada a um ambiente de negócios em mudança resultando em uma tendência para “reinventar a roda”.
Muita da informação necessária existe nas organizações de hoje; a peça que falta está formalizando essas conexões críticas. O software ERM (Enterprise Risk Management) tem funcionalidade para identificar riscos e compromissos; avaliá-los com base na probabilidade, impacto e garantia; avaliar se é necessária uma ação; conceber atividades de mitigação ou de construção de negócios, se necessário, especificar e registrar medições para rastrear a eficácia e, finalmente, formalizar a conexão entre todas essas atividades.
Conectar as medições às atividades de mitigação de riscos e aos dados de iniciativas de negócios e, em seguida, voltar aos riscos e compromissos subjacentes proporcionará os seguintes benefícios:
- Relatórios ERM: Priorização explícita de medidas com base em um índice de risco/recompensa e uma apresentação no painel do mapa de calor no LogicManager.
- Gestão de Risco Operacional: Tendência em tempo real de medidas em uma base contínua com consolidação de medidas usadas para direcionar a atenção da gerência para condições problemáticas (fora de tolerância).
- Gestão de Desempenho: Facilitar a medição de novas iniciativas de negócios priorizadas em relação a riscos ou compromissos comerciais.
- Alocação de recursos: Uso mais eficaz de recursos escassos.
A chave é trabalhar com os gestores funcionais para fazer as conexões. O benefício imediato será identificar medidas que não estejam ligadas a nenhum risco ou iniciativa e determinar se elas devem ser eliminadas. Então, uma vez feitas as conexões, use as ferramentas de gerenciamento no seu software de Gerenciamento de Riscos Corporativo de forma contínua para melhorar a utilização das medidas de negócios dentro da sua organização.