Gerenciamento de riscos estratégicos e operacionais

Saiba como gerenciar riscos estratégicos e operacionais usando diferentes aplicativos do Diligent One, que relações existem entre os aplicativos e como eles apoiam as três linhas de defesa.

Aplicativo Estratégia

O Estratégia destina-se à gestão de riscos empresariais (ERM), que oferece às organizações o insight necessário para equilibrar os riscos e oportunidades para melhorar o desempenho do negócio é conquistar seus objetivos estratégicos de forma mais econômica.

Exemplo de riscos estratégicos

  • Violação de dados de informações confidenciais
  • Perda de grandes talentos
  • Ocorrência de eventos catastróficos

Projetos

O Projetos (que inclui os aplicativos Projetos Estrutura, entre outros) e destina-se ao gerenciamento do risco operacional (ORM), oferecendo às organizações a garantia necessária de que os controles estabelecidos sejam projetados e estejam operando de forma efetiva, e que o risco esteja sendo adequadamente mitigado.

Exemplo de riscos operacionais

  • Nenhuma tecnologia está disponível para detectar e proteger a rede de ferramentas de avaliação de vulnerabilidade não autorizadas.
  • As responsabilidades do funcionário em responder aos problemas não estão claras ou documentadas.
  • As instalações que armazenam dados confidenciais ou informações da empresa não estão adequadamente protegidas.

Conexões

Objetivos, também conhecidos como objetivos de controle, seções ou ciclos no aplicativo Projetos são vinculados aos riscos estratégicos no aplicativo Estratégia.

Os diagramas abaixo ilustram essa conexão e mostram que informações são agregadas novamente ao risco estratégico.

  • Se você vincular um objetivo de projeto a um risco estratégico, você está agregando informações de um projeto individual.
  • Se você vincular um objetivo de estrutura a um risco estratégico, você normalmente está agregando informações de vários projetos.

Risco estratégico vinculado ao objetivo do projeto

Risco estratégico vinculado ao objetivo da estrutura

Fluxo de trabalho

O diagrama abaixo ilustra o fluxo de trabalho que pode ocorrer entre as equipes de gerenciamento de risco que trabalham no Estratégia e equipes de garantia que trabalham no Projetos e Estruturas.

As equipes de gerenciamento de risco podem avaliar o risco inerente usando um conjunto comum de critérios de avaliação, trabalhar em conjunto com as equipes de garantia para definir e implementar tratamentos para reduzir o risco e avaliar o risco residual. Os resultados dos testes podem ser transferidos do Projetos e da Estruturas para a avaliação de risco estratégico no Estratégia para fins de relatório, oferecendo a capacidade de visualizar um painel de riscos e resultados do projeto no nível estratégico.

Exemplo básico

Definição de tratamentos de risco

Cenário

Você identificou o seguinte risco estratégico em sua organização:

Falha dos principais fornecedores terceirizados Terceiros fornecem componentes-chave de nossa infraestrutura de negócios financeiros, que incluem tecnologia, produtos e serviços. Qualquer mudança nesses terceiros ou qualquer falha em lidar com níveis atuais ou mais altos de atividade podem afetar adversamente nossa capacidade de fornecer produtos e serviços aos clientes e atrapalhar nossos negócios.

Você também tem uma série de objetivos de controle que serão usados para mitigar esse risco:

  • Seleção e Aquisição
  • Gestão de Riscos, Conformidade e Viabilidade
  • Monitoramento de Desempenho
  • Gerenciamento de Relacionamento
  • Transição e Renovação
  • Integração bem-sucedida de novos clientes
  • Identificar

Processo

Você adiciona o risco estratégico no Estratégia e cria os objetivos controle no Projetos. Então, usando o Estratégia, você vincula os objetivos de controle ao risco estratégico.

Resultado

Uma relação é definida entre o risco estratégico e os objetivos de controle associados, permitindo que você rastreie a garantia e os resultados de testes e avalie o risco residual.

Outros componentes e relacionamentos

O diagrama abaixo ilustra as relações entre diferentes componentes no Estratégia, no Resultados e no Projetos, Estruturas e Mapas de Conformidade. Cada conjunto de componentes alinha-se com as funções de uma equipe ou linha de defesa específica.

Identificando risco estratégico e definindo o apetite de risco (Conselho/Auditoria)

Usando o Estratégia, o Conselho primeiro estabelece um perfil de risco e identifica os riscos estratégicos. O Conselho pode usar o Estratégia para definir o apetite de risco organizacional e alinhá-lo à estratégia do seu programa de ERM.

Dica

Se a organização usar o Resultados, as métricas (KPIs ou KRIs) podem ser vinculadas aos riscos estratégicos para ajudar a informar as avaliações de risco inerente.

Definindo tratamentos de risco e testando controles (Auditoria Interna)

Quando os riscos estratégicos e objetivos da organização forem determinados, a Auditoria Interna pode usar o Projetos e Estruturas para desenvolver programas e implementar medidas para mitigar o risco.

A Auditoria Interna define tratamentos, testa o design (por meio de orientações) e a efetividade operacional (por meio de testes) dos controles disponíveis e anota quaisquer problemas, quando aplicável. Quando os controles são aprovados, as pontuações de garantia no Projetos, no Estruturas e no Estratégia aumentam. Se qualquer orientação ou rodada de testes de controle falhar, o controle é marcado como “falhou” e é subtraído da garantia geral.

Uma estrutura pode ser definida para atuar como repositório central para gerenciar controles comuns entre vários projetos e esses controles podem ser importados para projetos relevantes para testar individualmente. Você pode fazer alterações em um desses projetos e sincronizar as alterações de volta para a estrutura.

Garantindo que os requisitos sejam atendidos (Equipe de Conformidade)

Para demonstrar a adesão da organização às especificações relevantes para o negócio, a Equipe de Conformidade pode criar um Mapa de Conformidade para mapear os controles da estrutura para os requisitos.

Quando os controles da estrutura são mapeados para os requisitos, os resultados de testes e problemas entre vários projetos associados à estrutura são agregados ao Mapa de Conformidade para que a equipe de Conformidade possa:

  • identificar falhas
  • priorizar problemas
  • rastrear o progresso da conformidade

Quando os controles são aprovados, a garantia de conformidade aumenta. Se qualquer orientação ou rodada de testes de controle falhar, o controle é marcado como "falhou" e é subtraído da pontuação de garantia.

Exemplo avançado

Gerenciando risco de segurança

O diagrama a seguir ilustra:

  • um risco estratégico definido no Estratégia (Violação de dados de informações confidenciais)
  • o vínculo da métrica com o risco estratégico (% de servidores não corrigidos por trimestre)
  • o vínculo do risco estratégico com o objetivo de controle no Projetos (Segurança)
  • a estrutura (Estrutura de Controles de Segurança) usada como repositório central para gerenciar controles comuns entre três projetos (Auditoria de Infraestrutura, Auditoria de Acesso de Usuário, Auditoria de Gestão de Banco de Dados).
  • o mapeamento entre o controle da estrutura (Usar medidas de segurança e procedimentos de gestão relacionados para proteger informações em todos os meios de conectividade) e um requisito específico no Mapa de Conformidade (Gerenciar Segurança).

Como funciona?

A Auditoria Interna testa controles e anota os problemas, quando aplicável.

  • Quando o Conselho/Auditoria exibe o risco estratégico no Estratégia, eles veem um painel do risco e dos resultados do projeto, incluindo resultados de testes e problemas originados dos objetivos do controle associado.
  • Os resultados de testes e problemas foram agregados ao Mapa de Conformidade, permitindo que os Gerentes de conformidade atestem aos clientes e outros terceiros interessados que existe um ambiente de controle forte.