Pesquisa de site

Como implementar uma estrutura de gerenciamento de riscos corporativos

Gerenciar riscos de negócios individuais é difícil quando existem silos. Uma estrutura de gerenciamento de riscos corporativos (ERM) consolida a estratégia de gerenciamento de riscos em toda a organização, permitindo melhor visibilidade, medição e gerenciamento dos objetivos de negócios.

Com um foco unificado na abordagem de riscos, as equipes de conformidade podem melhorar universalmente os processos de conformidade regulatória, governança e gerenciamento de riscos.

Este artigo aborda a importância do ERM e como implementar uma estrutura de ERM bem-sucedida em sua organização.

O que é ERM?

O gerenciamento de riscos corporativos (ERM) é uma estratégia que aborda a totalidade dos riscos de uma organização, quebrando silos em cada unidade de negócios. Essa abordagem centralizada aprimora os processos de tomada de decisão da empresa em relação ao risco.

Os riscos tradicionalmente cobertos pelo MTC incluem:

  • Risco regulatório e de conformidade
  • Risco operacional
  • Risco financeiro
  • Risco estratégico

Com a transformação digital impulsionando a maioria das organizações, as implementações de TI que cobrem o risco de segurança cibernética agora são comuns nas estruturas de ERM.

Por que o ERM é importante?

As organizações geralmente se concentram em certos riscos em detrimento de outros. Por exemplo, o risco financeiro tem um impacto altamente visível no desempenho dos negócios. O conselho de administração pode interpretar facilmente orçamentos, desempenho de vendas e outros valores monetários. O risco de segurança cibernética nem sempre é tão transparente. Os CISOs enfrentam a difícil tarefa de traduzir jargões complicados de TI em relatórios executivos digeríveis. Embora o risco cibernético possa não ser tão facilmente apresentado, ele pode ter um efeito dominó em outros tipos de risco, se realizado.

Abaixo está um exemplo de como o risco de segurança cibernética pode aumentar outros tipos de risco de negócios:

Uma instituição financeira está operando seu serviço bancário online em uma rede insegura. Um cibercriminoso descobre e explora essa vulnerabilidade por meio de um ataque man-in-the-middle, obtendo acesso não autorizado a sistemas internos. O hacker exfiltra os dados do cliente para vender na dark web, causando os seguintes eventos de risco:

  • Risco operacional: a organização é forçada a interromper as operações para evitar mais exploração e corrigir a vulnerabilidade.
  • Risco de conformidade: a organização viola os requisitos regulatórios, como o PCI DSS, por não proteger os dados do cliente por meio de medidas de segurança adequadas.
  • Risco financeiro: A organização é multada por violar o PCI DSS e sofre perdas financeiras significativas durante a paralisação operacional e os danos à reputação que se seguem.
  • Risco estratégico: A organização negligenciou o aumento de seu orçamento de TI para fortalecer sua segurança cibernética, priorizando outras oportunidades de negócios.

Com uma estrutura de ERM eficaz em vigor, as principais partes interessadas poderiam ter previsto o impacto mais amplo que o gerenciamento de riscos de segurança cibernética tem em toda a organização.

Como escolher uma estrutura de ERM

Existem várias estruturas de ERM disponíveis, e encontrar a certa se resume a vários fatores, incluindo o tamanho e o setor de uma organização. Por exemplo, os serviços financeiros e de saúde têm requisitos rígidos de conformidade regulatória em torno da segurança de dados e devem implementar estruturas de ERM que priorizem a mitigação do risco cibernético.

Outros fatores que podem determinar sua escolha de estrutura incluem:

  • Nível de apetite ao risco
  • Nível de maturidade do risco
  • Nível de exposição ao risco
  • Leis e regulamentos do setor
  • Requisitos internos de conformidade

Saiba mais sobre o Gerenciamento de Riscos de Terceiros >

Tipos de estruturas de ERM

Abaixo estão exemplos populares de estruturas de ERM que fornecem uma base robusta para a implementação de TI dentro de um modelo tradicional de gerenciamento de riscos.

O Framework COBIT ERM

O Control Objectives for Information and Related Technology (COBIT) é uma publicação do IT Governance Institute e da Information Systems Audit and Control Association (ISACA). O COBIT 2019, a versão mais recente da estrutura, ajuda as organizações a criar, monitorar e manter a governança e as práticas de TI.

O COBIT é ideal para implementações de TI porque promove colaboração, agilidade e ciclos curtos de feedback.

Saiba mais sobre o COBIT 2019.

NIST CSF

A Estrutura de Segurança Cibernética (CSF) do National Institute of Standards and Technology (NIST) é um conjunto adaptável de diretrizes fundamentais projetadas para mitigar os riscos organizacionais e fortalecer a segurança organizacional geral. O NIST CSF é baseado em padrões, diretrizes e práticas existentes para organizações do setor privado nos Estados Unidos para gerenciar e reduzir melhor o risco de segurança cibernética.

Além de ajudar as organizações a prevenir, detectar e responder a ameaças e ataques cibernéticos, ele foi projetado para melhorar as comunicações de segurança cibernética e gerenciamento de riscos entre as partes interessadas internas e externas.

Saiba mais sobre o NIST CSF.

COSO

O Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) publicou o Gerenciamento de Riscos Corporativos - Integrando-se à Estratégia e Desempenho. O COSO atualizou a estrutura em 2017 para refletir a importância do ERM na condução de objetivos eficazes, definição de estratégia e desempenho dentro dos modelos de negócios modernos.

A estrutura COSO ERM é uma abordagem de gerenciamento de risco ideal para organizações financeiras devido à incorporação da Lei Sarbanes-Oxley (SOX).

Saiba mais sobre a estrutura COSO ERM.

ISO 31000:2018

A ISO 31000:2018 fornece diretrizes de gerenciamento de riscos que organizações de todos os setores podem personalizar para seus contextos específicos. As organizações podem implementar essas diretrizes para melhorar sua identificação de riscos, alocação de recursos para tratamento de riscos e como referência do setor para processos de ERM.

Saiba mais sobre a ISO 31000:2018.

ISO/IEC 27001

>

A ISO/IEC 27001 (também chamada de ISO 27001) é uma norma de segurança global para regular a segurança de dados por meio de um código de prática para gerenciamento de segurança da informação. A ISO/IEC 27001 emite um conjunto de padrões que abrangem vários aspectos da segurança da informação, incluindo sistemas de gerenciamento de segurança da informação (ISMS), tecnologia da informação, técnicas de segurança da informação e requisitos de segurança da informação. As organizações podem aproveitar a ISO/27001 para implementar controles eficazes de risco de segurança cibernética para mitigar riscos.

Saiba mais sobre a ISO 27001.

Guia de 5 etapas: Implementando uma estrutura de ERM

É uma prática recomendada seguir uma ou mais estruturas amplamente adotadas para seguir um benchmark do setor e estabelecer uma base sólida para o ERM em sua organização. A partir daqui, você pode personalizar a estrutura escolhida para se alinhar aos objetivos de negócios e impulsionar a tomada de decisões estratégicas.

Abaixo estão oito etapas para desenvolver e implementar uma estrutura de ERM eficaz.

Passo 1. Promova a comunicação com as partes interessadas

Uma estrutura robusta de ERM segue uma abordagem de cima para baixo para as práticas de gerenciamento de risco, começando com a adesão da equipe de gerenciamento sênior. Seu comitê de ERM deve ser construído sobre uma equipe multifuncional, envolvendo as principais partes interessadas em todas as unidades de negócios no processo de planejamento estratégico.

Os membros do comitê de ERM são responsáveis por vários resultados em sua área de especialização, incluindo:

  • Definição de objetivos estratégicos
  • Desenvolvendo um perfil de risco
  • Desenvolvendo uma declaração de apetite ao risco (RAS)
  • Desenvolvendo uma estratégia de risco
  • Impulsionando a cultura de risco em toda a organização

Durante a Etapa 1, o comitê do ERM deve alcançar os seguintes resultados:

  • Determinar quais partes interessadas serão responsáveis pelo desenvolvimento da estrutura de governança de riscos;
  • Definir claramente as funções e responsabilidades de cada membro do comitê;
  • Garantir que a estrutura do ERM se aplique a cada unidade de negócios específica;
  • Identifique quaisquer partes da estrutura destinadas a gerenciar riscos em unidades específicas.

Etapa 2: Identifique os riscos

A equipe de ERM precisa identificar todos os riscos internos e externos que podem impactar negativamente sua organização. Seu perfil de risco e RAS ajudarão a identificar riscos específicos para sua estratégia de negócios.

Durante a Etapa 2, o comitê do ERM deve alcançar os seguintes resultados:

  • Desenvolver uma metodologia clara de identificação de riscos que possa ser aplicada em todas as unidades de negócios;
  • Garantir que o escopo da identificação de riscos cubra riscos atuais e futuros (como risco regulatório);
  • Determinar fatores de cálculo de risco, como probabilidade, impacto operacional e impacto financeiro;
  • Registre os relatórios de risco em um registro de risco centralizado.

Etapa 3. Avalie os riscos

A realização de uma avaliação de risco permite que sua organização calcule a probabilidade de risco e gerencie o risco com mais eficiência. A equipe de ERM precisará selecionar uma metodologia de avaliação de risco guiada pelo uso de uma ferramenta ou modelo de avaliação de risco.

Saiba como realizar uma avaliação de risco de segurança cibernética.

Dois exemplos populares de ferramentas de avaliação de risco incluem uma autoavaliação de controle de risco (RSCA) e uma matriz de avaliação de risco.

Autoavaliação de Controle de Risco (RCSA)

Um processo de autoavaliação de controle de risco (RCSA) envolve avaliar e examinar a eficácia dos controles de risco atuais. As RSCAs são comumente realizadas em um ambiente de workshop, permitindo que as partes interessadas identifiquem e avaliem riscos e controles em sua área de especialização. Um RCSA deve aumentar a conscientização sobre os objetivos organizacionais e delinear o papel que os controles internos desempenham para alcançá-los.

O principal objetivo de um RSCA é demonstrar que os objetivos de negócios serão alcançados por meio das seguintes garantias:

  • Salvaguarda de ativos
  • Eficiência de recursos
  • Conformidade regulatória
  • Metas e objetivos organizacionais estabelecidos

Matriz de Avaliação de Risco

As matrizes de avaliação de risco visualizam a probabilidade de ocorrência de risco em relação à gravidade de seu impacto potencial. Ao alocar riscos potenciais em um quadrante matricial, você pode determinar quais riscos deve priorizar.

Abaixo está um exemplo do recurso Vendor Risk Matrix da UpGuard, que mapeia as classificações de segurança dos fornecedores (nível de risco) em relação ao nível (impacto nos negócios).

Saiba mais sobre o recurso Matriz de Risco do Fornecedor.

Durante a Etapa 3, o comitê do MTC deve alcançar os seguintes resultados:

  • Determinar a probabilidade e o impacto comercial de todos os riscos identificados;
  • Identificar lacunas de capacidade nos recursos de ERM existentes e delinear as próximas etapas;
  • Determine se a identificação de riscos (Etapa 2) mudou a forma como os diferentes tipos de riscos foram priorizados na avaliação de riscos (Etapa 3).

Etapa 4. Tratamento de Risco

A etapa de tratamento de risco coloca as 3 etapas anteriores em vigor. A equipe de ERM deve elaborar um plano de resposta a incidentes para definir o ambiente de controle de risco e fornecer estratégias de mitigação caso ocorra um risco identificado.

Saiba como criar um plano de resposta a incidentes.

O ambiente de controle de risco incluirá áreas de sobreposição entre unidades de negócios separadas, bem como controles de risco exclusivos. Os proprietários de riscos devem ser alocados aos seus respectivos controles de risco e receber funções e responsabilidades claras para a resposta ao risco.

O tratamento de riscos deve alinhar os controles internos e externos com os requisitos de conformidade, leis e regulamentos, estratégia de governança e processos e objetivos de negócios.

Uma estrutura de ERM normalmente cobre os quatro estágios a seguir de resposta ao risco:

1. Aceitar: Aceite o risco se sua probabilidade e gravidade forem aceitáveis e as consequências potenciais forem superadas pelos custos financeiros necessários para a mitigação do risco. Continue monitorando o risco.

2. Evite: Evite o risco se ele tiver um alto impacto nos negócios, ou seja, alta probabilidade e alta gravidade.

3. Reduzir: Reduza a probabilidade e a gravidade de um evento de risco se a oportunidade do risco superar a perda financeira e outras consequências.

4. Compartilhar: Compartilhe o risco transferindo-o (terceirizando-o) para terceiros ou adquirindo um seguro para o risco. Lembre-se de que a terceirização apresenta outro tipo de risco - risco de terceiros.

  • Saiba como gerenciar riscos de terceiros.
  • Saiba mais sobre seguro de segurança cibernética.

Durante a Etapa 4, o comitê do ERM deve alcançar os seguintes resultados:

  • Garantir que todos os elementos do plano de resposta a incidentes tenham um proprietário de risco alocado;
  • Criar políticas e procedimentos para revisão de controles de risco e proprietários de risco;
  • Estabelecer a frequência com que os processos de controle de risco e proprietário de risco devem ser revisados;
  • Garantir que a estratégia de resposta cubra a tolerância ao risco apropriada para cada risco, incluindo o risco residual;
  • Certifique-se de que as parcerias de terceiros sejam incluídas no ambiente de controle.

Etapa 5. Otimização de Riscos

A etapa final envolve monitorar e revisar seu programa de ERM por meio de análise de dados para criar um ciclo de feedback contínuo. Agregar e filtrar dados manualmente é um processo demorado e complicado, com espaço para erros humanos. As ferramentas de otimização de risco podem ajudar a fornecer insights significativos e precisos para uma tomada de decisão mais rápida e bem informada.

Ao escolher a(s) ferramenta(s) de otimização de risco, há vários fatores a serem considerados, incluindo:

  • Sua alocação de recursos, por exemplo, qual é o seu orçamento?
  • Os objetivos do seu programa de gerenciamento de riscos, por exemplo, Quais são seus riscos de alta prioridade?
  • Seus requisitos de análise de dados e relatórios, por exemplo, qual nível de detalhe é necessário?

Por exemplo, reduzir o risco de segurança cibernética requer monitoramento contínuo de segurança para identificar ameaças e vulnerabilidades cibernéticas à medida que surgem. Essa tarefa é quase impossível sem o uso de uma solução de monitoramento de superfície de ataque. As organizações provavelmente obteriam um retorno sobre o investimento logo após a compra com o uso desse software. A identificação mais rápida de riscos permite uma correção mais rápida, reduzindo as chances dos cibercriminosos de explorar os problemas de segurança detectados.

Ao seguir uma abordagem semelhante a outras áreas de risco, o comitê do ERM deve ser capaz de identificar as ferramentas mais econômicas e necessárias para obter uma maior compreensão do risco em todas as unidades de negócios. O software ERM especializado oferece um painel centralizado baseado em nuvem para inserir todas as principais métricas de risco e rastrear KPIs.

Durante a Etapa 5, o comitê do MTC deve alcançar os seguintes resultados:

  • Implementar relatórios dinâmicos de monitoramento de risco que se adaptam ao ambiente de risco em tempo real;
  • Garantir que as estratégias de governança e conformidade de TI e segurança cibernética sejam promulgadas na estrutura, de acordo com os requisitos de segurança contemporâneos, por exemplo, computação em nuvem;
  • Aproveite a automação, sempre que possível, para permitir a identificação, monitoramento e relatórios contínuos de riscos;
  • Determinar um cronograma apropriado para a realização de uma auditoria interna da estrutura do ERM;
  • Avaliar a eficácia do quadro em termos de melhoria da sensibilização para os riscos e de eliminação de silos do ERM.