Este post terá como foco a maturidade no Processo de Gerenciamento de Riscos. Vamos lá!

 

Obtendo a maturidade na Gestão de Riscos Corporativos

 

As informações apresentadas foram produzidas com base em dois documentos importantes: um relatório produzido pela Aon Risk Solutions que mostra o problema de falta de maturidade em instituições e um questionário produzido pelo Gartner usado na avaliação de maturidade da gestão de riscos de uma instituição.

Vamos iniciar apresentando brevemente o relatório, com mais de 500 respondentes, sobre maturidade em gestão de riscos, que apresenta o seguinte resultado (acumulando os níveis de maturidade intermediários ao nível imediatamente anterior):

  • 13,9% das empresas no nível 1 (Inicial): as atividades integrantes e associadas têm uma abrangência muito limitada, e podem ser implementadas ad-hoc para abordar riscos específicos.
  • 36% das empresas no nível 2 (Básico): as atividades integrantes e associadas têm uma abrangência muito limitada, e podem ser implementadas ad-hoc para abordar riscos específicos.
  • 35,2% das empresas no nível 3 (Definido): capacidades suficientes para identificar, medir, gerenciar, comunicar e monitorar os principais riscos; políticas e técnicas definidas e utilizadas (talvez de forma inconsistente) em toda a organização.
  • 14,1% das empresas no nível 4 (Operacional): competência consistente para identificar, medir, gerenciar, comunicar e monitorar riscos; aplicação consistente de políticas e técnicas em toda a organização.
  • 0,8% das empresas no nível 5 (Avançado): competência bem desenvolvida para identificar, medir, gerenciar, comunicar e monitorar riscos em toda a organização; o processo é dinâmico e tem possibilidade de ser adaptado a riscos em transformação, e a diferentes ciclos dos negócios; consideração explícita dos riscos e da gestão de riscos nas decisões da diretoria.

 

Podemos ver que cerca de 50% das empresas respondentes ainda estão abaixo de um nível de maturidade de gestão de riscos suficiente e consistente e que apenas 0,8% de empresas respondentes possuem competência bem desenvolvida na instituição!

 

Maturidade em Riscos, Marcus Rocco, www.governancas.com.br

Índice de Maturidade em Riscos

 

Agora que o problema já foi apresentado, qual é o nível de maturidade em gestão de riscos de sua instituição? Saiba que para alcançar a maturidade é necessário subir degrau por degrau, só avançando ao próximo quando se estiver completamente estável no nível atual.
Abaixo, segue uma relação de necessidades, gerada a partir do questionário de avaliação maturidade em riscos, que define uma gestão de riscos corporativa bem estruturada e eficiente:

 

1. A responsabilidade das diretrizes de governança de risco

O board (Alta Direção) deve ser responsável pelo estabelecimento das diretrizes e políticas de governança de risco, definindo, também, o seu apetite por riscos. Em instituições com níveis de maturidade menores, esta responsabilidade pode estar com funcionários, com comitês técnicos, sem o envolvimento de responsáveis pelo negócio, etc.

 

2. A prestação de contas final para a gestão do programa de risco de TI

Esta prestação de contas final deve se estender até o board da instituição, responsável direto pela definição das diretrizes de risco. Em instituições com níveis de maturidade menores, esta prestação de contas não chega até a Alta Direção.

 

3. A formalização de comitê de direção de risco ou conselho consultivo de risco

A instituição precisa ter estabelecido formalmente um comitê para atuar no processo de gestão de riscos, deve ser composto por representantes de TI e por representantes de negócio.

 

4. A atualização do board sobre o status do programa de gerenciamento de riscos

Em instituições com alto nível de maturidade o board é informado pelo menos a cada 3 meses ou quando ocorrer alguma mudança de impacto no cenário de riscos.

 

5. A caracterização do escopo da função de gerenciamento de riscos

O escopo deve ser corporativo e abrangente, contemplando desde a parte operacional do negócio, o crédito, o risco de mercado apresentado, até o risco da cadeia de suprimentos, o risco de segurança e privacidade, de segurança da informação e de outros riscos técnicos.

 

6. Os domínios de risco formalizados dentro do programa de risco global

A instituição madura deve possuir, formalizado, o processo de gerenciamento de riscos para as disciplinas crédito/mercado, vendas, segurança de TI, continuidade de negócios, legal/regulatório, riscos de TI, operacional, de projetos, de privacidade e da cadeia de fornecedores.

 

7. Detalhamento do grau de planejamento e orçamento para o programa de risco

Iniciativas de estratégia do programa devem ser desenvolvidas em torno direcionadores técnicos (novas ameaças, novos produtos técnicos, etc.); A estratégia do programa deve abranger as metas e restrições do negócio suportado; O programa de gestão de risco deve ser impulsionado por requisitos de conformidade e por auditorias; Projetos de risco ou projetos de mitigação devem possuir cronograma e orçamento; Os investimentos em tecnologia devem estar ligados a objetivos estratégicos de longo prazo e a business cases individuais.

 

8. O detalhamento da forma de condução

Reuniões devem ser realizadas para avaliar o progresso, discutir o status do programa de risco e fazer os ajustes necessários; Projetos de risco ou projetos de mitigação devem ser revistos para garantir a conformidade com o orçamento e outros requisitos; Durante o ciclo de vida de um projeto, devem ocorrer revisões relacionadas aos riscos.

 

9. O plano estratégico para orientar as atividades do programa de risco

Deve existir um plano estratégico de longo prazo, que aborde os objetivos gerais do programa de riscos, alinhados à estratégia de negócios.

 

10. As atividades de planejamento tático para o gerenciamento de riscos

As atividades de planejamento tático devem estar conectadas ao planejamento anual de TI, possuir objetivos trimestrais e revisões regulares.

 

11. As atribuições, responsabilidades e organização da função de gestão de riscos

As funções de monitoramento de políticas e de monitoramento e controles devem ser segregadas das funções administrativas e de implementação; Os conflitos organizacionais devem ser abordados de forma adequada; As funções de gerenciamento de risco e suas responsabilidades estão claramente definidas; Os responsáveis, conforme definido, devem cumprir suas funções e responsabilidades dentro da função de gestão de riscos; O programa de riscos deve possuir uma equipe bem dimensionada e qualificada.

 

12. O relacionamento do risco de TI com a gestão de risco corporativo

A identificação de um risco de TI deve ser reportada à uma estrutura ampla, corporativa, de gerenciamento de riscos.

 

13. O reporte do gerente de risco de TI

O gerente de risco de TI de uma instituição deve reportar para uma posição fora da organização de TI, para o comitê de risco ou ao board da instituição.

 

14. O detalhamento do programa de risco

Deve ser utilizado um framework de gestão de risco padronizado (ISO 27.005, RiskIT, AS4360, IRAM, COSO, M_o_R, PMBOK, etc.); Dados gerais de controle do computador como gerenciamento de vulnerabilidades, varreduras e dados de configuração devem ser automaticamente centralizados para alimentar relatórios e análises; Um processo formalizado foi implementado para garantir que os objetivos de negócio e seus direcionadores sejam efetivamente incorporados dentro dos objetivos da gestão de risco; Deve existir e ser mantido um catálogo de processos do programa de risco (lista documentada) de processos estratégicos e táticos relacionados com o programa, com os proprietários dos riscos claramente identificados; Deve ser implementado feedback cíclicos com base em análises de gap atualizada para melhorar os processos relacionados com o programa; Devem existir métricas de risco definidas que devem ser acompanhadas pelo gerente do programa de riscos; As métricas devem ser usadas para implementar a melhoria contínua dos processos de gestão de risco.

 

15. O detalhamento da gestão de controles e o controle dos objetivos

Deve ser utilizado ferramentas e automação para manter o mapeamento entre nossos controles e os objetivos de controle através de software de gerenciamento de GRC (Governança, Risco e Conformidade).

 

16. O desenvolvimento da cultura de riscos

O risco deve ser tratado conforme o negócio é executado (de forma natural) e deve ser apropriadamente considerado para todas as principais decisões de negócio.

 

17. A compreensão do papel e da responsabilidade com os riscos

Deve existir um programa de conscientização para garantir que quem presta contas com riscos no âmbito do programa compreenda o seu papel e a sua responsabilidade.

 

18. O detalhamento sobre o programa de conscientização

O programa de conscientização deve ser formalizado (com objetivos formais definidos, módulos de formação disponíveis, métricas de conformidade rastreáveis são produzidas profissionalmente, etc.); O treinamento deve ser personalizado para todos os papéis e funções; Medidas de correção devem ser tomadas, quando as metas do programa de conscientização não forem alcançadas.

 

19. O detalhamento do controle do gerenciamento e supervisão

Devem ser criadas ações que enderecem as recomendações resultantes das avaliações de risco; Devem ser executados projetos que abordem as implementações de controle; Deve ser usado um método formal para o rastreamento de exceções; As exceções devem ser comunicadas periodicamente à administração; As exceções devem ser geridas de forma eficaz; O gerenciamento deve se responsabilizar sobre os riscos residuais, pois carregam responsabilidades e recompensas.

 

20. O registro de riscos corporativos

Deve haver um processo cíclico de rastreamento e informe de riscos conhecidos, técnicos ou de negócios.

 

21. O detalhamento sobre o processo de avaliação de riscos

Deve ser usado um método formal e eficaz para a identificação de riscos aplicáveis à instituição; Aos riscos devem ser atribuídos valore financeiros; Os riscos devem ser priorizados utilizando a qualificação e a quantificação; Deve ser usada uma metodologia formal de avaliação de riscos; Devem ser desenvolvidos planos formais de tratamento de riscos; Deve ser usada uma medida para o risco residual resultante de uma avaliação de risco.

 

Bem, da mesma forma que este questionário é utilizado para avaliar a maturidade sobre o tratamento dos riscos em uma instituição, também podemos, a partir desta relação, criar um checklist para apoiar na implementação da gestão de tratamento de riscos corporativos ou, até mesmo, executar uma avaliação de maturidade de riscos na instituição, caso a mesma já possua este processo institucionalizado.

 

Abraços e até o próximo post!

 

Baixe essa publicação aqui!

Deixe uma Resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar tags e atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>