Controles na estratégia de gerenciamento de riscos
Todas as organizações devem preparar, manter e atualizar um mapa de riscos corporativos cujo objetivo seja fornecer à empresa o estado de coisas que pode impedir o desenvolvimento dos processos de negócios.
Basicamente, esse estado compreende o nível de detecção, prevenção e resposta à ocorrência de um evento que pode impactar o negócio.
Respondendo aos riscos: controles baseados em sua eficácia
Com base no conhecimento desse estado, decisões podem ser tomadas para tentar mitigar riscos que tenham um valor inaceitável para a organização. O objetivo é ser capaz de priorizar os recursos disponíveis para melhorar a resposta ao risco.
Esse processo é conhecido como análise de risco. Deve ser coerente com uma metodologia previamente estabelecida para o cálculo dos níveis de risco.
As medidas de controle, ou controles, são a forma de responder aos riscos. Cada organização tem controles diferentes que devemos identificar e avaliar na análise.
A avaliação dos controles deve ser baseada em sua eficácia, devemos saber se o controle realmente serve para mitigar o risco e em que grau ele o faz. Com esse valor de eficiência, obteremos os níveis atuais de riscos que temos na organização.
Se obtivermos um alto nível de risco, isso significará que as medidas de controle existentes na organização não são eficazes ou são insuficientes. Se o nível de risco for baixo, teremos medidas suficientes e eficazes.
A importância da estratégia de gerenciamento de riscos e a implementação de controles
É essencial definir o nível aceitável de risco com base no apetite de risco que a organização possui.
Todos os riscos cujo nível obtido esteja acima do nível de risco aceitável devem ser avaliados e uma estratégia para seu gerenciamento deve ser definida. Uma estratégia possível é estabelecer um plano de acção para melhorar a situação de alto risco, implementando novas medidas de controlo ou melhorando as existentes.
Devemos obter a aprovação da alta administração para o resultado da análise de risco, uma vez que a administração deve conhecer a situação da organização e obter a aprovação do nível aceitável de risco, pois a definição desse nível dependerá se um risco é assumível ou deve ser tratado.
Em nenhum caso um risco com um nível acima do nível de risco aceitável deve permanecer sem avaliação.”
Os controles costumam ser preventivos ou corretivos, ou seja, nos ajudam a evitar que o risco nos afete, neste caso reduzem sua probabilidade; ou nos ajudam a reduzir o impacto causado pelo risco, uma vez que ele se materializou, são controles corretivos.
Plano de ação: controles para mitigar riscos
O plano de ação ou o plano de tratamento dos riscos deve conter todas as medidas de controlo necessárias para reduzir os níveis de riscos elevados para um nível aceitável. Pode acontecer que para um risco tenhamos que implementar mais de um controle e que o mesmo controle sirva para mitigar mais de um risco.
Devemos selecionar os controles a serem incluídos no plano de tratamento, de acordo com a necessidade de reduzir a probabilidade ou o impacto de cada risco.
Uma vez elaborado o plano, ele deve ser aprovado pela alta administração da organização, a fim de garantir a disponibilidade de recursos para executá-lo e a assunção de responsabilidade pelas pessoas que foram designadas como responsáveis pelos projetos a serem realizados.
Devemos monitorar a execução do plano e, uma vez concluído, avaliar a eficácia dos novos controles e atualizar todo o mapa de riscos para obter a nova situação na organização.
Sempre que houver uma mudança relevante e de forma regular, a análise de risco deve ser atualizada, pois, entre outras considerações, a eficácia dos controles pode mudar, se seu acompanhamento e monitoramento não forem adequados, é possível que percamos eficácia com o tempo.
Esse processo, chamado de análise e gerenciamento de riscos, deve ser considerado dentro de um sistema de gerenciamento de riscos implementado na empresa. Uma norma internacional como a ISO 31000 pode servir como um guia para conhecer os componentes desse sistema de gestão.
Na GlobalSuite Solutions, temos uma área de consultoria que o aconselhará e o ajudará a implementar um sistema de gerenciamento de riscos corporativos, que o ajudará a conhecer o estado de proteção que sua organização possui contra possíveis riscos que afetam seus processos de negócios.
Além disso, fornecemos a você o aplicativo GlobalSuite Risk Management. Uma ferramenta que facilita a implementação do sistema e nos fornece automação e rastreabilidade em todo o processo de análise e gerenciamento de riscos.
