O que é gerenciamento de riscos operacionais?

O risco de perda resultante de eventos externos ou de processos internos inadequados ou falhos, pessoas e sistemas.

É fundamental entender os benefícios do gerenciamento de riscos operacionais antes da implementação.

  • Impedir e minimizar o custo financeiro das perdas operacionais
  • Aprimorar a confiabilidade das operações de negócios
  • Fortalecer o processo de tomada de decisões em que há riscos envolvidos
  • Reduzir as perdas causadas por riscos mal identificados
  • Melhorar a eficácia das operações de gerenciamento de riscos
  • Reduzir custos de conformidade
  • Identificar atividades ilegais precocemente
  • Reduzir possíveis danos causados por riscos futuros

Detalhado

Nem todos os riscos são previsíveis, mas uma análise completa dos riscos ainda pode revelar possíveis riscos e gerar os melhores resultados possíveis.

Deliberado

Verificações ou revisões rotineiras de segurança realizadas ao longo do ciclo de um projeto.

Urgente

O gerenciamento de riscos operacionais desse tipo geralmente é mais urgente e realizado durante as mudanças operacionais quando o tempo é limitado. A possível consequência de não realizá-lo em tempo hábil é o surgimento de riscos não identificados.

  • Riscos decorrentes de eventos catastróficos (por exemplo, furacões)
  • Hacking de computadores ou ataques cibernéticos
  • Fraude interna e externa
  • Não cumprimento de políticas internas

Governança, risco e conformidade

Um conjunto de práticas e processos, respaldado por uma cultura com reconhecimento de riscos e tecnologias capacitadoras, que aprimora a tomada de decisões e o desempenho por meio de uma exibição integrada da qualidade com que uma organização gerencia seu conjunto exclusivo de riscos.

Identificação e avaliação de riscos

Há várias coisas que representam um risco para uma organização, tanto interna quanto externamente. O maior risco possível precisa ser identificado utilizando todas as ferramentas do negócio. É necessário identificar riscos únicos e recorrentes. Avalie os riscos assim que eles forem identificados de um ponto de vista qualitativo e quantitativo. Pense na frequência dos riscos, na gravidade e nas ações que precisam ser realizadas para evitar e mitigar riscos.

Ambiente de controle

Aplique controles para limitar a exposição de uma organização a riscos e aumentar a chance de mitigação de riscos.

Monitoramento e relatórios

O gerenciamento eficaz de riscos significa monitorar constantemente os riscos e gerar relatórios sobre eles quando necessário para rastrear a eficácia de um plano de gerenciamento de riscos.

Quantificação, medição e modelagem

As organizações podem usar os dados de saída de um modelo de avaliação de riscos como entradas em um modelo que mede a exposição aos riscos. Os sistemas de quantificação devem ser validados para garantir que sejam suficientemente sólidos, o que garante que as entradas, as suposições, os processos e os resultados sejam precisos.

Tomada de decisões relacionadas a riscos

As estruturas de risco devem ser revisadas periodicamente pelo conselho de administração. Isso ajuda a supervisionar a alta gerência para garantir que todas as partes das políticas e dos processos sejam implementadas em todos os níveis de decisão. O conselho de administração também deve estabelecer uma postura de tolerância a riscos que articule os tipos, os níveis e a natureza dos riscos operacionais que ele está disposto a assumir.

Incentivo ao comportamento

Garanta que os riscos e incentivos inerentes sejam bem compreendidos pelos membros da equipe, certificando-se de que todos os materiais, atividades e processos identifiquem e avaliem os riscos operacionais. Deve haver uma cultura estabelecida que apoia os processos que promovem uma compreensão dos riscos operacionais inerentes às estratégias e atividades diárias da organização.

As três linhas de defesa

Os órgãos de gerenciamento e administração são responsáveis por definir os objetivos da organização e definir estratégias para alcançar objetivos. Parte dos objetivos inclui gerenciar os riscos para alcançar os objetivos da melhor forma usando o modelo de três linhas de defesa, que exige suporte ativo da alta gerência e do órgão administrador da organização.

  • Primeira linha: gerenciamento operacional
    Uma função que controla e gerencia riscos, o gerenciamento operacional é a primeira linha de defesa que os gerentes de operações devem ter. Isso os torna responsáveis pela implementação de ações para corrigir deficiências. O processo inclui identificação, avaliação, controle e mitigação de riscos, ao mesmo tempo em que guia a implementação de políticas internas para verificar se as atividades estão sempre alinhadas aos objetivos.

  • Segunda linha: gerenciamento de riscos e conformidade
    A segunda linha de defesa normalmente inclui uma função de gerenciamento de riscos para monitorar a implementação das práticas de gerenciamento de riscos e, ao mesmo tempo, ajudar os gerentes de operações a definir limites de exposição e relatar dados relacionados a riscos.

  • Terceira linha: auditoria interna
    Os auditores oferecem garantias à alta gerência e ao órgão administrador. O objetivo da auditoria é apresentar informações sobre gerenciamento de riscos, controles internos e eficácia da governança. Geralmente, o escopo abrange eficiência de operações, ativos, confiabilidade e integridade do processo de relatórios e conformidade.

Expansão de práticas para incluir a supervisão de segunda linha

O gerenciamento de riscos operacionais deve se concentrar na detecção e na geração de relatórios de riscos de todos os tipos e deve ser expandido para incluir uma segunda linha que trabalhe em parceria com a primeira linha para criar uma resiliência eficaz das operações e dos processos.

Há ferramentas que são necessárias para avaliar um processo de negócios e sua resiliência, questionar o gerenciamento de negócios conforme necessário e gerenciar as prioridades.

  • Mapear processos e controles: aproveite o tempo para mapear os processos juntamente com os riscos e controles relevantes. Inclua a complexidade deles no mapa, em todas as entregas ao longo do processo, e indique se o gerenciamento é automatizado ou manual. O objetivo é determinar a propriedade do processo ao longo do caminho e maximizar a produtividade.

  • Identificar a tecnologia necessária: entenda o tipo de tecnologia necessária e os pontos ao longo do caminho que envolvem tecnologia.

  • Monitorar: observe os riscos e os controles enquanto cria mecanismos que podem ajudar a rastrear métricas para observar níveis de risco incomuns.

  • Vincular recursos: conecte o planejamento de recursos aos processos para formar uma compreensão dos processos associados e das necessidades processuais. Crie capacidade de escalonamento com base nos resultados encontrados.

  • Reforçar o comportamento: certifique-se de que a conduta individual adequada seja reforçada por meio de treinamentos, incentivos e gerenciamento de desempenho.

  • Gerenciamento de mudanças: crie sistemas de gerenciamento de mudanças para garantir que os talentos adequados estejam em vigor. Trabalhe com processos e capacidade e certifique-se de dar as orientações adequadas.
  • Feedback: obtenha feedback constantemente para identificar problemas, realizar análises de causa raiz e revisar processos à medida que os dados são coletados.

A detecção em tempo real e orientada por análise substituirá a geração manual de relatórios

O progresso das ferramentas de análise pode ajudar no gerenciamento de riscos. Os dados estruturados e não estruturados ficam cada vez mais disponíveis com o passar do tempo. As ferramentas avançadas de análise são aplicáveis a quase todas as áreas de gerenciamento de riscos, incluindo detecção de riscos, identificação de falsos positivos, conformidade, falha de processos e riscos humanos.

  • Indicação em tempo real: teste o gerenciamento de riscos em tempo real para encontrar e analisar métricas de risco. Idealmente, as anomalias ou as atividades incomuns podem indicar áreas de risco ou áreas que precisam ser abordadas em tempo real.
  • Ferramentas direcionadas: as ferramentas de dados especialmente direcionadas podem detectar questões de risco em determinadas áreas identificadas. O aprendizado de máquina também pode ajudar com as ferramentas direcionadas de análise, já que os sistemas de aprendizado de máquina e de inteligência artificial podem aprender a detectar melhor as áreas de risco ou os indicadores de atividades de risco em um conjunto de dados.

Atribua talentos às principais áreas de dados e análise

O gerenciamento de riscos requer um conjunto especial de habilidades e a compreensão dos riscos para identificar atividades de risco, interpretar dados e oferecer uma análise completa. Gerentes, equipes e indivíduos precisam abordar os riscos de maneiras novas, inclusive com adaptação aos processos e com uma compreensão de como a análise avançada está se tornando cada vez mais relevante, especialmente com a implementação de sistemas de aprendizado de máquina e inteligência artificial.

Os riscos de fator humano devem ser abordados

Os seres humanos podem ser altamente eficazes no gerenciamento de riscos operacionais, mas parte desse gerenciamento envolve a identificação e a análise de como os erros humanos podem afetar o gerenciamento de riscos operacionais e apresentar seus próprios riscos exclusivos.

Prevenção de riscos

Depois da identificação inicial dos riscos, idealmente, a maioria dos riscos deve ser evitada. A prevenção de riscos minimiza as vulnerabilidades e aborda os riscos identificados como ameaças. Parte dessa prevenção envolve oferecer o treinamento adequado e configurar as políticas e os procedimentos corretos.

Redução de riscos

Idealmente, os riscos devem ser evitados, mas isso nem sempre é possível. Redução de riscos é a compreensão dos riscos e das responsabilidades e estratégias implementadas para reduzir os riscos e as responsabilidades. Geralmente, os riscos são quantificados, analisados e designados a determinados níveis de risco para criar prioridades e operações de redução de riscos.

Compartilhamento de riscos

Compartilhar riscos não é transferir riscos. O objetivo do compartilhamento de riscos é reduzir o impacto de eventos incertos ou de determinados riscos. As tarefas ou as responsabilidades podem ser divididas entre departamentos ou indivíduos de uma organização, o que distribui o risco entre várias partes e atribui responsabilidades individuais em práticas mais amplas de gerenciamento de riscos.

Retenção de riscos

A transferência de riscos ocorre quando não se assume a responsabilidade por riscos; a retenção de riscos é o oposto disso. Uma organização retém um risco quando se responsabiliza por ele e por todas as consequências subsequentes dele. Geralmente, a retenção de riscos é escolhida depois que uma análise financeira indica que é mais econômico reter o risco do que transferi-lo a um terceiro.

Comece a usar o ServiceNow Governance, Risk, and Compliance

Gerencie riscos e resiliência em tempo real com a ServiceNow.