O risco de perda decorrente de eventos externos ou de processos internos, pessoas ou sistemas inadequados ou com falha.
É fundamental entender os benefícios da gestão de riscos operacionais antes da implementação.
- Impedir e minimizar o custo financeiro das perdas operacionais
- Aprimorar a confiabilidade das operações de negócio
- Fortalecer o processo de tomada de decisões em que há riscos envolvidos
- Redução de perdas causadas por riscos mal identificados
- Melhorar a eficácia das operações de gestão de riscos
- Reduzir custos de conformidade
- Identificação precoce de atividades ilegais
- Redução de possíveis danos causados por riscos futuros
Nem todos os riscos são previsíveis, mas uma análise completa dos riscos ainda pode revelar possíveis riscos e gerar os melhores resultados possíveis.
Verificações ou revisões rotineiras de segurança realizadas ao longo do ciclo de um projeto.
A gestão de riscos operacionais desse tipo geralmente é mais urgente e realizada durante as mudanças operacionais quando o tempo é limitado. A possível consequência de não a realizar em tempo hábil é o surgimento de riscos não identificados.
- Riscos decorrentes de eventos catastróficos (por exemplo, furacões)
- Hacking de computadores ou ataques cibernéticos
- Fraude interna e externa
- Não cumprimento de políticas internas
Um conjunto de práticas e processos, respaldado por uma cultura com reconhecimento de riscos e tecnologias capacitadoras, que aprimora a tomada de decisões e o desempenho por meio de uma exibição integrada da qualidade com que uma organização gerencia seu conjunto exclusivo de riscos.
Há várias coisas que representam riscos para uma organização, internas e externas. O maior risco possível precisa ser identificado utilizando todas as ferramentas dos negócios. É necessário identificar riscos únicos e recorrentes. Avalie os riscos assim que eles forem identificados de um ponto de vista qualitativo e quantitativo. Pense na frequência dos riscos, na gravidade e nas ações que precisam ser realizadas para evitar e mitigar riscos.
Aplique controles para limitar a exposição de uma organização ao risco e aumentar a chance de mitigação de riscos.
A gestão eficaz de riscos significa monitorar constantemente os riscos e gerar relatórios sobre eles quando necessário para rastrear a eficácia de um plano de gestão de riscos.
As organizações podem usar os dados de saída de um modelo de avaliação de riscos como entradas em um modelo que mede a exposição aos riscos. Os sistemas de quantificação devem ser validados para garantir que sejam suficientemente sólidos, o que garante que as entradas, as suposições, os processos e os resultados sejam precisos.
As estruturas de risco devem ser revisadas periodicamente pelo conselho de administração. Isso ajuda a supervisionar a alta gerência para garantir que todas as partes das políticas e dos processos sejam implementada em todos os níveis de decisão. O conselho de administração também deve estabelecer uma postura de tolerância a riscos que articule os tipos, os níveis e a natureza dos riscos operacionais que ele está disposto a assumir.
Garanta que os riscos e incentivos inerentes sejam bem compreendidos pelos membros da equipe, certificando-se de que todos os materiais, atividades e processos identifiquem e avaliem os riscos operacionais. Deve haver uma cultura estabelecida que apoia os processos que promovem uma compreensão dos riscos operacionais inerentes às estratégias e atividades diárias da organização.
Os órgãos de gerenciamento e administração são responsáveis por definir os objetivos da organização e definir estratégias para alcançar objetivos. Parte dos objetivos inclui gerenciar os riscos para alcançar os objetivos da melhor forma usando o modelo de três linhas de defesa, que exigem suporte ativo da alta gerência e do órgão administrador da organização.
- Primeira linha: gestão operacional
Uma função que controla e gerencia riscos, a gestão operacional é a primeira linha de defesa que os gerentes de operações devem ter. Isso os torna responsáveis pela implementação de ações para corrigir deficiências. O processo inclui identificação, avaliação, controle e mitigação de riscos, ao mesmo tempo em que guia a implementação de políticas internas para verificar se as atividades estão sempre alinhadas aos objetivos.
- Segunda linha: gestão de riscos e conformidade
A segunda linha de defesa normalmente inclui uma função de gestão de riscos para monitorar a implementação das práticas de gestão de riscos e, ao mesmo tempo, ajudar os gerentes de operações a definir limites de exposição e relatar dados relacionados a riscos.
- Terceira linha: auditoria interna
Os auditores oferecem garantias à alta gerência e ao órgão regulador. O objetivo da auditoria é apresentar informações sobre gestão de riscos, controles internos e eficácia da governança. Geralmente, o escopo abrange a eficiência de operações, ativos, conformidade e confiabilidade e integridade do processo de geração de relatórios.
A gestão de riscos operacionais deve se concentrar na detecção e na geração de relatórios de riscos de todos os tipos e deve ser expandida para incluir uma segunda linha que trabalhe em parceria com a primeira linha para criar uma resiliência eficaz das operações e dos processos.
Há ferramentas que são necessárias para avaliar um processo de negócios e sua resiliência, questionar a gestão de negócios conforme necessário e gerenciar as prioridades.
- Mapear processos e controles: dedique tempo para mapear os processos juntamente aos riscos e controles relevantes. Inclua a complexidade deles no mapa, em todas as entregas ao longo do processo, e indique se a gestão é automatizada ou manual. O objetivo é determinar a propriedade do processo ao longo do caminho e maximizar a produtividade.
- Identificar a tecnologia necessária: entenda o tipo de tecnologia necessária e os pontos ao longo do caminho que envolvem tecnologia.
- Monitorar: observe os riscos e os controles enquanto cria mecanismos que podem ajudar a rastrear métricas e ficar atento a níveis incomuns de risco.
- Vincular recursos: conecte o planejamento de recursos aos processos para formar uma compreensão dos processos associados e das necessidades processuais. Crie capacidade de escala com base nos resultados encontrados.
- Reforçar o comportamento: certifique-se de que a conduta individual adequada seja reforçada por meio de treinamentos, incentivos e gestão de desempenho.
- Gestão de mudanças: crie sistemas de gestão de mudanças para garantir que os talentos adequados estejam em vigor. Trabalhe com processos e capacidade e certifique-se de dar as orientações adequadas.
- Feedback: obtenha feedback constantemente para identificar problemas, realizar análises de causa raiz e revisar processos à medida que os dados são coletados.
O progresso das ferramentas de análise pode ajudar na gestão de riscos. Os dados estruturados e não estruturados ficam cada vez mais disponíveis com o passar do tempo. As ferramentas avançadas de análise são aplicáveis a quase todas as áreas de gestão de riscos, incluindo detecção de riscos, identificação de falsos-positivos, conformidade, falha de processos e riscos humanos.
- Indicação em tempo real: teste a gestão de riscos em tempo real para encontrar e analisar métricas de risco. Idealmente, as anomalias ou as atividades incomuns podem indicar áreas de risco ou áreas que precisam ser abordadas em tempo real.
- Ferramentas direcionadas: as ferramentas de dados especialmente direcionadas podem detectar questões de risco em determinadas áreas identificadas. O aprendizado de máquina também pode ajudar com as ferramentas direcionadas de análise, já que os sistemas de aprendizado de máquina e de inteligência artificial podem aprender a detectar melhor as áreas de risco ou os indicadores de atividades de risco em um conjunto de dados.
A gestão de riscos requer um conjunto especial de habilidades e a compreensão dos riscos para identificar atividades de risco, interpretar dados e oferecer uma análise completa. Gerentes, equipes e indivíduos precisam abordar os riscos de maneiras novas, inclusive com adaptação aos processos e com uma compreensão de como a análise avançada está se tornando cada vez mais relevante, especialmente com a implementação de sistemas de aprendizado de máquina e inteligência artificial.
Os seres humanos podem ser altamente eficazes na gestão de riscos operacionais, mas parte dessa gestão envolve a identificação e a análise de como os erros humanos podem afetar a gestão de riscos operacionais e apresentar seus próprios riscos exclusivos.
Depois da identificação inicial dos riscos, idealmente, a maioria dos riscos deve ser evitada. A prevenção de riscos minimiza as vulnerabilidades e aborda os riscos identificados como ameaças. Parte dessa prevenção envolve oferecer o treinamento adequado e configurar as políticas e os procedimentos corretos.
Idealmente, os riscos devem ser evitados, mas isso nem sempre é possível. Redução de riscos é a compreensão dos riscos e das responsabilidades e estratégias implementadas para reduzir os riscos e as responsabilidades. Geralmente, os riscos são quantificados, analisados e designados a determinados níveis de risco para criar prioridades e operações de redução de riscos.
Compartilhar riscos não é transferir riscos. O objetivo do compartilhamento de riscos é reduzir o impacto de eventos incertos ou de determinados riscos. As tarefas ou as responsabilidades podem ser divididas entre departamentos ou indivíduos de uma organização, o que distribui o risco entre várias partes e atribui responsabilidades individuais em práticas mais amplas de gestão de riscos.
A transferência de riscos ocorre quando não se assume a responsabilidade por riscos; a retenção de riscos é o oposto disso. Uma organização retém um risco quando se responsabiliza por ele e por todas as consequências subsequentes dele. Geralmente, a retenção de riscos é escolhida depois que uma análise financeira indica que é mais barato reter o risco do que transferi-lo a um terceiro.
Gerencie riscos e resiliência em tempo real com a ServiceNow.