Página 1 de 29

Sumário executivo

introdução

Parte 1: Risco, gerenciamento de risco e ISO 310001 Natureza e impacto do risco2 Princípios da gestão de riscos3 Revisão da ISO 310004 Para aproveitar os benefícios do MTC

Parte 2: Empresa de gestão de risco5 Planejamento e projetar6 Implementação e avaliação comparativa7 de medição e monitoramento8 de Aprendizagem e de relatórios

ApêndicesA lista A gestão de riscosB sumário Implementação

Lista de figuras1 Risk arquitetura estratégia e protocolos2 Quadro para a gestão de risco (com base na ISO 31000)3 O processo de gerenciamento de risco (com base na ISO 31000)4 arquitectura Risco de um PLC grande5 Drivers de gestão de risco

Lista de tabelas1 descrição detalhada de risco2 Conteúdo da política de gestão de risco3 Risco responsabilidades de gestão4 técnicas de avaliação de risco

Página 2 de 29

Sumário Executivo

Gestão de risco é um catalisador cada vez mais importante de negócios, sendo que os interessados têm se tornado muito mais preocupados com o risco. Risco pode ser um condutor de decisões estratégicas, pode ser uma causa de incerteza na organização ou pode ser simplesmente incorporados nas atividades da organização. Toda abordagem de gestão de riscos permite uma organização que considere o potencial de impacto de todos os tipos de riscos em todos os processos, atividades, os interessados, os produtos e serviços.A implementação de uma abordagem exaustiva resulta em uma organização que beneficia o que é muitas vezes referida como o "core do risco".

A crise financeira global, em 2008, demonstrou a importância da gestão de riscos adequada. Desde essa época, normas de gestão de riscos novos foram publicados, incluindo os internacionais standard, ISO 31000 de gestão 'de Risco - Princípios e diretrizes ". Este guia chama conjunto, estes desenvolvimentos para fornecer uma abordagem estruturada para a implementação da gestão de riscos na empresa (ERM).

Benefícios pretendidos de gestão de risco

Para todos os tipos de organizações, há uma necessidade de compreender os riscos de ser tomadas quando se pretende atingir os objetivos e atingir o nível desejado de recompensa. As organizações precisam entender a nível geral de risco embutido dentro de suas processos e atividades. É importante para organizações de reconhecer e priorizar significativa riscos e identificar os mais fracos controles críticos.

Quando de sair para melhorar a gestão de risco desempenho, os benefícios esperados com o risco iniciativa de gestão deve ser estabelecido em antecedência. As saídas de risco bem-sucedido gestão de incluir a garantia de conformidade e maior tomada de decisão. Estas saídas serão proporcionar benefícios por meio de melhorias na eficiência das operações, a eficácia das táticas (Projectos de mudança) e a eficácia da estratégia da organização.

Objetivo deste guia

A gestão de risco de sucesso da empresa iniciativa pode afetar a probabilidade e consequências dos riscos materializando, assim como oferecer benefícios relacionados com a melhor estratégica informada decisões de entrega, sucesso de mudança e maior eficiência operacional. Outros benefícios incluem custo reduzido de capital, mais precisa relatórios financeiros, vantagem competitiva, melhor percepção da organização,

Página 3 de 29

melhor presença de mercado e, no caso do público organizações de serviços, o reforço da política e apoio da comunidade.Este guia fornece um breve comentário sobre ISO 31000, bem como estabelecendo conselhos sobre a implementação de uma iniciativa ERM. O propósito do guia é:

descrever os princípios e processos de gestão de risco apresentar um breve panorama da requisitos da ISO 31000 dar orientações práticas sobre concepção de um enquadramento

adequado dar conselhos práticos sobre a implementação gerenciamento de riscos

corporativos

Introdução

Este guia é o resultado do trabalho de uma equipa composta das organizações de gestão de risco principal Reino Unido - Associação de Seguros e Riscos Gestores (AIRMIC), o risco do setor público Management Association (Alarm) eo Instituto de Gestão de Risco (IRM). O guia destina-se a ser aplicável a todos os tipos de organizações.

Ao longo do guia, o Conselho palavra é usada para significar o órgão de decisão dentro de uma organização. No setor público, este corpo pode ser referido como o Conselho, Executivo ou Autoridade.

Há muitas opiniões sobre o que de risco gestão envolve, como deve ser implementadas e que ela pode alcançar. Organização Internacional de Normalização (ISO) padrão 31000 foi publicada em 2009 e busca para responder a essas perguntas. Este guia inclui um breve comentário sobre ISO 31000, bem como fornecendo mais informações sobre o sucesso implementação da gestão de risco. Importante, este guia reconhece que o risco tem tanto de cabeça para um e desvantagem.

Princípios de gestão de risco

Gestão de riscos é um processo que é sustentada por um conjunto de princípios. Além disso, ele precisa ser apoiado por uma estrutura que é apropriado para o organização e seu ambiente externo ou contexto. Uma iniciativa bem sucedida gestão de risco devem ser proporcionais ao nível de risco no organização (em relação à dimensão, natureza e complexidade da

Página 4 de 29

organização), alinhados com outros atividades da empresa, abrangente em seu escopo, incorporados em atividades de rotina e dinâmica, sendo sensível às mudanças de circunstâncias. Esta abordagem permitirá uma gestão de risco iniciativa de oferecer saídas, incluindo o cumprimento com requisitos de governança aplicáveis, garantia para as partes interessadas sobre a gestão de risco e de tomada de decisão melhor. O impacto ou benefícios associados estas saídas incluem operações mais eficientes, tácticas eficazes e estratégia eficaz. Estes benefícios devem ser mensuráveis e sustentáveis. O Apêndice A fornece uma lista de ações que deve ser preenchido, a fim de satisfazer plenamente risco gerenciamento de requisitos.

COSO ERM quadro e ISO 31000

O Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) publicou um Risco Enterprise Management standard (ERM) em 2004. O cubo COSO ERM é bem conhecido por riscoprofissionais de gerenciamento e fornece uma quadro para a empresa ERM. Ela ganhou influência considerável, porque está ligado ao Sarbanes-Oxley para empresas listadas nos Estados Unidos. ISO 31000 foi publicada em 2009 como uma norma internacionalmente acordados para o implementação dos princípios da gestão de riscos.

Este guia fornece uma abordagem estruturada para implementar o gerenciamento de risco em toda a empresa um base que é compatível tanto com COSO ERM e ISO 31000. No entanto, a guia de lugares mais ênfase na ISO 31000, porque é um padrão internacional e muitas organizações possuem operações internacionais. Ao mesmo tempo, como publicação ISO 31000, ISO também produziu Guia 73 'A gestão de riscos - Vocabulário – Recomendações para uso em normas ".

Página 5 de 29

Parte 1: Risco, gerenciamento de risco e ISO 31000

Parte 1 fornece uma visão geral de risco e de risco gestão, com particular referência à ISO 31000. A terminologia usada para descrever a etapas do processo de gestão de risco não é consistente e esta parte reflete sobre essas dificuldades. Um resumo da gestão de riscos requisitos que devem estar no local, a fim de garantir bons padrões de governança de risco são apresentados por meio de uma lista de verificação no Apêndice A.

1 - Natureza e impacto do risco

Riscos podem afetar uma organização a curto, médio e longo prazo. Estes riscos estão relacionados com operações, táticas e estratégias, respectivamente.

Estratégia define os objectivos a longo prazo da organização, eo horizonte de planejamento estratégico para uma organização será tipicamente 3, 5 ou mais anos. Táticas define como a organização pretende para alcançar a mudança. Portanto, os riscos táticos são tipicamente associado com projetos, fusões, aquisições e desenvolvimentos de produtos. Operações são as atividades de rotina da organização.

Definição de risco

Há muitas definições de risco e de risco gestão. A definição da ISO Guia 73 é que o risco é o efeito "de incerteza sobre objetivos ". , A fim de o assistir na aplicação desta definição, o Guia 73 também afirma que um efeito pode ser positivo, negativo ou um desvio do esperado, e que o risco é muitas vezes descrita por um evento, uma mudança de circunstâncias ou de um conseqüência.

Esta definição ligações riscos aos objetivos. portanto, esta definição de risco podem ser mais facilmente aplicado quando os objetivos da organização são abrangentes e completos. Mesmo quando completamente indicado, os objetivos também precisam de ser desafiados e os pressupostos em que eles são baseados devem ser testados, como parte do risco processo de gestão.

Página 6 de 29

Por exemplo, considere a infra-estrutura de uma organização e implementação de um novo sistema de TI. A escolha do hardware e software são decisões estratégicas. Se essas escolhas estão incorretas, as conseqüências não serão evidentes por algum tempo. Os riscos associados são os riscos estratégicos e esses riscos serão tomadas com a intenção de obter benefícios. Correta tomada de decisões estratégicas proporcionam benefícios que resultam na realização da cabeça de risco.

O projeto para instalar o novo hardware e software será uma iniciativa de mudança que representa a tática pela qual estratégia será implementada. Riscos dentro do projeto precisam ser gerenciados, para que o projeto é entregue no prazo, dentro do orçamento e com a especificação. Novamente, é possível alcançar um de cabeça na execução do projeto, pelo qual o projeto é entregue no início e abaixo do orçamento. Também é possível que o hardware de TI e software trará benefícios maiores do que o previsto.

Uma vez que o novo hardware e software foi instalado, o sistema ficará vulnerável a riscos operacionais, incluindo discriminação de computador, perda de dados, ataques de vírus e erros do operador.

Estes riscos operacionais podem ser muito significativos, e os procedimentos corretos deverão ser concebidos e implementados para minimizar a interrupção potencial.

Gravação de avaliações de risco

Avaliação de risco envolve a identificação de riscos seguido por sua avaliação ou classificação. É importante ter um modelo para a gravação informações adequadas sobre cada risco. Tabela 1 mostra a gama de informações que podem precisar de ser gravado. O objetivo de um modelo é que as informações possam ser gravadas em uma tabela, registro de riscos, planilha ou um computador baseado em do sistema. Embora uma simples descrição de um risco é às vezes suficientes, há circunstâncias onde uma descrição detalhada dos riscos pode ser necessária a fim de facilitar um risco global processo de avaliação.

As conseqüências de um risco se materializar podem ser negativo (riscos de perigo), positivo (riscos de oportunidade) ou pode resultar em maior

Página 7 de 29

incerteza. Organizações necessidade de estabelecer definições apropriadas para o diferentes níveis de probabilidade e as conseqüências associados a estes riscos diferentes. Classificação de risco pode ser quantitativo, semi-quantitativa ou qualitativa em termos da probabilidade de ocorrência ea possíveis conseqüências ou impactos.

As organizações terão de definir suas próprias medidas de probabilidade de ocorrência e conseqüências.

Por exemplo, muitas organizações descobrem que apreciação do risco e conseqüências tão alto,média ou baixa, com os resultados apresentados em um 3 x 3 matriz de risco é adequada. Encontrar outras organizações que as opções são necessários mais e um 4 x 4 ou 5 x 5 matriz de risco é necessária. Considerando o probabilidade e as conseqüências de cada risco, será possível priorizar ou classificar os principais riscos para a análise mais aprofundada.

Sistemas de classificação de risco

Uma parte importante da análise de risco é determinar a natureza, a fonte ou o tipo de impacto da o risco. Avaliação de riscos, desta forma pode ser reforçada pelo uso de uma classificação de risco do sistema. Sistemas de classificação de risco são importantes porque elas permitem que uma organização para identificar acumulações de riscos semelhantes. A classificação de risco sistema também permitirá uma organização para identificar quais as estratégias, táticas e operações são mais vulneráveis. Sistemas de classificação de risco são geralmente baseados em a divisão de riscos para os relacionados com a financeira controle, a eficiência operacional, reputacional exposição e atividades comerciais. No entanto, não existe um sistema de classificação de risco que é universalmente aplicável a todos os tipos de organizações.

Página 8 de 29

Tabela 1: Descrição Detalhada risco

1 Nome ou título do risco

Identificador único ou índice de risco

2 Escopo do risco Âmbito de risco e detalhes de eventos possíveis, incluindo a descrição dos eventos, o seu tamanho, tipo e número

3 Natureza do risco Classificação de risco, prazo do impacto potencial e descrição como oportunidade de perigo, ou incerteza

4 Stakeholders (partes interessadas)

Partes interessadas, internas e externas, e suas expectativas

5 Avaliação de risco Probabilidade e magnitude do evento e possível impacto ou as conseqüências do risco deve se materializar no nível atual

6 Experiencia de perda

Incidentes anteriores e as perdas antes de eventos relacionados ao risco

7 Tolerancia ao risco, desejo ou atitude

Impacto potencial perda antecipada e financeira do riscoAlvo para o controle de risco e nível desejado de desempenhoAtitude de risco, o apetite de tolerância, ou limites para o risco

8 Resposta aos riscos tratamento e controles

Mecanismos de controle existentes e as atividadesNível de confiança nos controles existentesProcedimentos de acompanhamento e avaliação do desempenho de risco

9 Potencial de melhoria de risco

Potencial para a relação custo-benefício de melhoria do risco ou modificaçãoRecomendações e prazos de execuçãoResponsabilidade de implementar todas as melhorias

10 Desenvolvimentos estratégia e política

A responsabilidade pela estratégia de desenvolvimento relacionado com o riscoResponsabilidade pelo cumprimento de auditoria com controles

Isso pode ser especialmente verdade para as organizações que operam no sector público e os envolvidos na a prestação de serviços ao público.Existem muitos sistemas de classificação de risco disponíveis e o selecionado vai depender da dimensão, natureza e complexidade da

Página 9 de 29

organização. ISO 31000 não recomenda um sistema de classificação de riscos específicos e cada organização terá de desenvolver o sistema mais adequado para a gama de riscos que enfrenta.

1 - Princípios de gestão de riscos

A gestão de riscos é um elemento central da gestão estratégica de qualquer organização. É o processo pelo qual as organizações analisam metodicamente os riscos inerentes às suas atividades. Uma iniciativa bem sucedida gestão de risco deve ser proporcional ao nível de risco na organização, alinhadas com outras atividades corporativas, abrangente em sua escopo, incorporados em atividades de rotina e dinâmica, sendo sensível às mudanças de circunstâncias.

O foco da gestão de riscos é a avaliação de riscos significativos ea implementação de respostas aos riscos adequada. O objetivo é atingir o valor máximo sustentável de todas as atividades da organização. Gestão de risco aumenta a compreensão do potencial de upside e downside dos fatores que podem afetar uma organização. Aumenta a probabilidade de sucesso e reduz tanto a probabilidade de fracasso e do nível de incerteza associado realização dos objectivos da organização.

Contexto para a gestão de riscos

de gestão de riscos deve ser um processo contínuo, que suporta o desenvolvimento e implementação da estratégia de uma organização. Deve metodicamente abordar todos os riscos associados a todas as atividades da organização. Em todos os tipos de empresa, há o potencial para eventos que constituem oportunidades para o benefício (de cabeça), as ameaças ao sucesso (lado negativo) ou um maior grau de incerteza.

Costuma-se argumentar que, para os riscos à saúde e segurança, as conseqüências só podem ser negativos e o gerenciamento de risco de segurança deve se concentrar na prevenção e mitigação de danos. No entanto, para prestadores de serviços terceirizados, boa configuração padrões de saúde e segurança podem ser parte dos contratos de ganhar e isso demonstra que há um lado positivo para a gestão de riscos de segurança.

Cultura consciente do risco

Gestão de riscos deve ser integrada na cultura da organização e isso vai incluir liderança mandato, eo compromisso do Conselho. Deve traduzir a estratégia em objetivos de risco tático e operacional, e atribuir risco

Página 10 de 29

responsabilidades de gestão em toda a organização. Deve apoiar a responsabilização de medição de desempenho e recompensa, promovendo assim a eficiência operacional em todos os níveis.

Alcançar uma cultura de risco boa consciência é assegurado pela criação de uma estratégia de risco adequadas arquitetura e protocolos.

A fim de implementar com sucesso, apoiar e sustentar o processo de gestão de risco, uma estrutura é necessária. ISO 31000 refere-se a esta estrutura como o contexto de gerenciamento de risco. A figura 1 ilustra uma estrutura adequada em termos de estratégia de risco, arquitetura e protocolos, e descreve brevemente as principais características de cada elemento. Esta estrutura foi concebida para dar contexto às atividades de gestão de risco e apoiar o processo de gestão de risco.

Processo de gestão de risco

O processo de gestão de risco pode ser apresentado como uma lista de atividades coordenadas. Há descrições alternativas desse processo, mas os componentes listados abaixo são geralmente presentes. Esta lista representa o 7RS e 4Ts do (hazard) de gestão de risco:

reconhecimento ou identificação de riscos classificação ou avaliação de riscos responder a riscos significativos

o toleraro trataro transferênciao terminar

resourcing controles planejamento de reação apresentação de relatórios e monitoramento de desempenho de risco revisão do quadro de gestão de risco

Figura 1: Arquitetura de risco, estratégias e protocolos

Página 11 de 29

Reconhecimento e classificação de riscos, juntos, formam o actividade de avaliação de risco. ISO 31000 usa o 'tratamento de riscos' frase para incluir todos os 4Ts incluídos na rubrica «resposta ao risco" o título. O âmbito das respostas aos riscos disponíveis para os riscos de perigo inclui as opções de tolerar, tratamento, transferência ou rescindir o risco ou a atividade que dá origem a o risco. Para muitos riscos, essas respostas podem ser aplicado em combinação. Para riscos de oportunidade, o leque de opções disponíveis incluem a exploração o risco. Planejamento inclui a reação de negócios planejamento de continuidade e planejamento de recuperação de desastres.

3 - Revisão das ISO 31000

ISO 31000 descreve os componentes de um risco gestão quadro de implementação. Figura 2 fornece uma versão simplificada desta implementação quadro. Ele inclui as etapas essenciais no implementação e apoio contínuo do riscoprocesso de gestão. O componente inicial de a ISO 31000 quadro é 'mandato e compromisso "pelo Conselho e este é seguido por: desenho do quadro implementar o gerenciamento de risco monitorar e revisão do quadro melhorar o quadro

arquitetura de riscoArquitetura de risco especifica a estrutura de relatórios papéis, responsabilidades, comunicação e riscos

estratégia de riscoEstratégia de risco, o apetite, atitudes e filosofia são definidos na Política de Gestão de Risco

Processo de gestão de risco

protocolos de risco

   Protocolos de risco são apresentados na forma das orientações de risco para a organização e incluem as regras e procedimentos, bem como especificando as metodologias de gestão de risco, ferramentas e técnicas que devem ser usados

Página 12 de 29

Estrutura para gerenciar risco

ISO 31000 descreve um quadro de implementação de gestão de risco, em vez de um quadro de apoio a gestão do risco processo. Informações sobre a concepção do quadro que suporta o processo de gestão de risco não é definidos em detalhes na ISO 31000. Uma organização terá descrever o seu quadro de apoio de risco gestão por meio da arquitetura de risco, estratégia e protocolos para a organização.

A arquitetura do risco de estratégia, e os protocolos mostrado na Figura 1 representam os internos regras para a comunicação sobre as questões de risco.Ele também define os papéis e as responsabilidades do indivíduos e as comissões que suportam o risco processo de gestão. A estratégia de risco deve definir os objectivos que o risco de actividades de gestão na organização está tentando alcançar. Finalmente, os protocolos de risco descrevem os procedimentos de que a estratégia será implementada e os riscos gerenciado.

4 - Alcançar os benefícios da ERM

Figura 3 fornece uma versão simplificada do risco processo de gestão da ISO 31000 usando o terminologia do Guia 73. As etapas-chave na processo são representados como avaliação de risco e tratamento de riscos. A Figura 3 também indica que o risco processo de gestão ocorre dentro do risco contexto de gestão da organização.

Página 13 de 29

Figura 2: Estrutura para gestão de risco (com base na ISO 31000)

Avaliação de risco

Identificação de riscos estabelece a exposição da organização a riscos e incertezas. Isto requer um conhecimento profundo da organização, o mercado em que atua, o legal, social, ambiente político e cultural em que ela existe, bem como a compreensão de uma estratégica e objectivos operacionais. Isso irá incluir o conhecimento dos fatores críticos para o sucesso e as ameaças e oportunidades relacionadas com a realização dos objetivos. Deve ser abordada de uma forma metódica para garantir que todo o valor acrescentado atividades dentro da organização foram avaliados e todos os riscos decorrentes desses atividades definidas. O resultado da análise de risco pode ser usado para produzir um perfil de risco que dá uma classificação de significado para cada risco e fornece uma ferramenta para priorizar os esforços de tratamento de riscos. Isto classifica o importância relativa de cada risco identificado. Este processo permite que os riscos de ser mapeado para o negócio afectada, descreve o principal mecanismos de controlo no local e indica onde o nível de investimento em controles podem ser aumentou, diminuiu ou repartida. A atividade de análise de risco eficaz e auxilia o funcionamento eficiente da organização, identificando os riscos que exigem atenção pela administração. Isso irá facilitar a capacidade de priorizar o controle de risco ações em

Projeto de estrutura Organização e seu contexto Política de gestão de risco Incorporação de gestão de risco

Implementar o GR implementar quadro Implementar o processo GR

Monitorar e revisão do quadro

melhorar o quadro

estabelecer contexto

Com

unicação e consulta

Monitoram

ento e revisão

Página 14 de 29

termos de seu potencial para beneficiar a organização. A gama de resposta ao risco disponíveis tratamentos incluem tolerar, tratamento, transferência e terminar. Uma organização pode decidir que não é também uma necessidade de melhorar o ambiente de controle.

Tratamento de riscos

Tratamento de riscos é apresentado na ISO 31000 como a atividade de seleção e implementação adequada medidas de controle para modificar o risco. Risco tratamento inclui como seu principal elemento de risco, controle (ou mitigação), mas estende-se ainda, por exemplo, para evitar riscos de transferência de risco, e risco financiamento. Qualquer sistema de tratamento de risco deve proporcionar eficiente e eficaz de controles internos. Eficácia do controle interno é o grau em qual o risco quer ser eliminados ou reduzidos pelas medidas de controle propostas. A relação custo-eficácia de controle interno se relaciona com o custo de implementar o controle em comparação com o risco benefícios de redução alcançados. Cumprimento das leis e regulamentos não é uma opção. Uma organização deve compreender o leis aplicáveis e deve implementar um sistema de controles que cumpra. Um método de obtenção de proteção financeira contra o impacto da riscos é por meio de financiamento de risco, incluindo os seguros. No entanto, deve-se reconhecer que alguns perdas ou elementos de uma perda pode ser seguráveis, tais como custos não segurados e danos ao empregado moral e da reputação da organização.

Mecanismos de feedback

ISO 31000 reconhece a importância do feedback por meio de dois mecanismos. Estes estão monitorando e revisão de desempenho e comunicação e consulta. Monitorização e revisão garante que a organização monitora o desempenho de risco e aprende com a experiência. comunicação e consulta é apresentado na ISO 31000 como parte de o processo de gestão de risco, mas também pode ser considerado como parte do apoio quadro. Comunicação e divulgação são apenas muito brevemente mencionado na ISO 31000 e eles não são incluídos no processo mostrado na Figura 3. Além disso, o atividades comentários monitorização e revisão constantes na ISO 31000 não menciona explicitamente as tarefas de monitoramento de desempenho de risco e rever o risco estrutura de gerenciamento.Figura 3: processo de gestão de risco (com base na ISO 31000)

Página 15 de 29

Página 16 de 29

Parte 2: Empresa de gestão de risco

Parte 2 fornece uma visão geral das etapas envolvidas no a implementação de um risco empresarial gestão de iniciativa (ERM). A terminologia utilizada nesta parte é baseada na 7RS e 4Ts do (hazard) gestão de riscos. Uma breve descrição dos passos envolvidos na implementação de uma iniciativa ERM é fornecido no Apêndice B.

5: Planejamento e projeto

Há uma série de fatores que devem ser considerados no projeto e planejamento de um ERM iniciativa. Detalhes da estratégia de risco, arquitetura e os protocolos devem ser registrados em um risco política de gestão para a organização. tabela 2 fornece informações sobre o conteúdo de um típico política de gestão de risco.

Mandato conselho de administração e compromisso

Muitas organizações emitir uma versão atualizada do sua política de gestão de risco a cada ano. Este garante que a abordagem global de gestão de risco está em linha com as melhores práticas actuais. Ele também dá à organização a oportunidade de foco nos benefícios destinados para o próximo ano, identificar as prioridades de risco e garantir que atenção adequada é pago para os riscos emergentes. O política deve também descrever a arquitetura risco de da organização. A Figura 4 ilustra um risco típico arquitetura de uma grande empresa listada.

Mandato e do compromisso do Conselho é criticamente importante e precisa ser contínuo e de alto perfil. A menos que este mandato e compromisso são próximas, a gestão de riscos iniciativa será vencida. Mantendo o risco política de gestão até à data demonstra que gestão de riscos é uma atividade dinâmica totalmente apoiado pelo Conselho.

Página 17 de 29

Tabela 2: Conteúdo da política de gestão de risco

A política de gestão de risco deve incluir as seguintes seções:

Gestão de riscos e objetivos de controle internos (governança) Declaração da atitude da organização ao risco (estratégia de risco) Descrição da cultura de risco consciente ou ambiente de controle Nível e natureza do risco que é aceitável (o apetite pelo risco) Organização de gestão de risco e arranjos (arquitetura de risco) Detalhes dos procedimentos de reconhecimento de risco e

classificação (avaliação de risco) Lista de documentação para análise e relatórios de risco (protocolos

de risco) Requisitos de mitigação de risco e mecanismos de controle

(resposta de risco) Atribuição de papéis e responsabilidades de gestão de risco Temas de gestão de risco e prioridades de formação Critérios para acompanhamento e avaliação dos riscos Alocação de recursos adequados à gestão de riscos Atividades de risco e prioridades de risco para o próximo ano

Âmbito da iniciativa

Para ser bem sucedida, a iniciativa precisa de ERM ser abrangente. No entanto, à introdução de padrões de gestão de risco é uma progressiva processo que não pode ser alcançado instantaneamente. Portanto, é necessário para que uma organização decide o escopo da iniciativa ERM, como ela se desenvolve. O âmbito da iniciativa será definida pela faixa de benefícios que a organização está buscando alcançar e isto será influenciada pelas expectativas dos vários partes interessadas na organização.

DiretoriaA responsabilidade geral pela gestão de risco

Garantir uma gestão de risco é incorporado em todos os processos e atividadesRevisão perfil de risco do grupo

Comite de AuditoriaReceber relatórios de rotina de CGR

Definir programa de auditoria e prioridades anuaisMonitorar o progresso com recomendações da auditoria

Fornecer garantia de risco para o ConselhoSupervisionar GR estruturas e processos

Comitê de Gestão de Risco (CGR)Formular estratégias e políticas com base em apetite por risco,atitudes de risco e exposição ao risco

Receber relatórios das unidades de negócios, análise de risco atividades de gestão e compilar o grupo de risco registrarReceber relatórios das unidades de negócio e fazer relatórios e recomendações ao Conselho

Controlar a atividade de RM nas unidades de negócios

Comitê de divulgaçõesRevisar e avaliar os controles e procedimentos de divulgaçãoConsiderar a materialidade da informação divulgada para terceiros

Unidades de negócioProduzir declarações políticas específicas, quando necessário

Preparar e atualizar a unidade de negócios de risco registoDefinir prioridades de risco para a unidade de negócios

Monitorar projetos e melhorias de riscoPreparar relatórios para CGR

Gerenciar o controle de risco de auto-certificação atividades

Direcao e monitoramentoRelatórios de avaliação

Página 18 de 29

Figura 4: Arquitetura de risco de um grande PLC

Página 19 de 29

Estrutura de gerenciamento de risco

Dependendo da natureza da organização, o risco função de gestão pode variar de um risco a tempo parcial gerente, a um campeão único risco, a um risco grande escala departamento de gestão. O papel da auditoria interna função também diferem de uma organização para o outro. Ao determinar o papel mais adequado para auditoria interna, a organização precisa garantir que a independência e objetividade da auditoria interna não são comprometida.

A gama de responsabilidades de gestão de risco que precisam ser alocados na política será ampla e extensiva. A Tabela 3 apresenta exemplos do risco responsabilidades de gestão que podem ser alocados em uma grande organização típica. O Conselho tem a responsabilidade para determinar a direção estratégica da organização e criar o contexto para o risco gestão. É necessário que haja disposições em vigor atingir uma melhoria contínua no desempenho e esta responsabilidade é susceptível de ser atribuído ao risco gerente.

Tabela 3: responsabilidades de gestão de risco

1 - Responsabilidades GR para o CEO / Diretoria: Determine abordagem estratégica ao risco e definir o apetite pelo

risco Estabelecer a estrutura de gestão de riscos Compreender os riscos mais significativos Gerenciar a organização em uma crise2.- Responsabilidades de GR para o gestor de unidade de negócios: Construir cultura de risco consciente dentro da unidade Fixar objectivos de desempenho da gestão de risco Garantir a implementação das recomendações de melhoria de

risco Identificar e relatar circunstâncias / riscos3 - Responsabilidades de GR para os funcionários: Compreender, aceitar e implementar processos de GR Relatório ineficiente, controles desnecessários ou inviável Relatório de eventos e incidentes de perda de near miss Cooperar com a gerência sobre investigações de incidentes

4 - Responsabilidades de GR para o gestor de risco: Desenvolver a política de gestão de risco e mantê-lo atualizado

Página 20 de 29

Documento as políticas de risco internos e estruturas Coordenar a gestão do risco (e controle interno) atividades Compilar informações de risco e preparar relatórios para o

Conselho5 - Responsabilidades de GR para as funções de especialista em gestão de risco: Ajudar a empresa no estabelecimento de políticas de risco

especialista Desenvolver contingência especialista e planos de recuperação Mantenha-se atualizado com os desenvolvimentos na área de

especialização Apoio investigações de incidentes e quase acidentes6. Responsabilidades GR para o gerente de auditoria interna: Desenvolver uma baseada no risco programa de auditoria interna Auditoria dos processos de risco em toda a organização Receber e dar garantias sobre a gestão de risco Relatório sobre a eficiência ea eficácia dos controles internos

6: Implementação e avaliação comparativa

Avaliação de risco é uma parte fundamental do processo de gestão de risco. A fim de alcançar uma gestão de risco global abordagem, uma organização precisa para empreender adequada e avaliações de risco suficiente. Uma gama das técnicas de avaliação de risco mais comuns consta na Tabela 4.

Estabelecer procedimentos de avaliação de risco

Avaliação de risco será necessária, como parte do processos de decisão destinada a explorar oportunidades de negócios. Uma forma de garantir que risco é parte do negócio de tomada de decisão é assegurar que uma avaliação de risco está ligado a todos os documentos de estratégia apresentada ao Conselho. Da mesma forma, avaliação de risco de todos os projetos propostos devem ser realizadas e avaliações de risco mais deve ser realizada durante todo o projeto. Finalmente, as avaliações de risco também são necessários em relação a operações de rotina.

Outras considerações relevantes para o risco empresa avaliações incluem decisões sobre como o risco avaliações serão gravados. É nesta fase que uma organização vai decidir o nível de detalhe que será gravado sobre cada risco no risco descrição. Outra parte importante do risco procedimentos de avaliação será a identificação de o sistema de classificação de risco a ser utilizado pelo organização.

Página 21 de 29

Realizar avaliações de riscos

Uma organização deve desenvolver referências para determinar a significância (ou relevância) da riscos identificados. A natureza destes referência testes dependerá do tipo de risco. para financeira riscos, uma soma de dinheiro pode ser usado como teste de benchmark de significância. Para os riscos que podem causar interrupção das operações, o comprimento do interrupção pode ser um teste adequado. Reputacional riscos pode ser aferido em termos do perfil que o relatório do evento receberão, a provável impacto do evento no preço da ação, ou o impacto sobre o apoio político e financeiro recebidas das partes interessadas.

Tabela 4: técnicas de avaliação de risco

técnica breve descrição Questionários e checklists

Uso de questionários estruturados e listas de verificação para coletar informações para ajudar com o reconhecimento dos riscos significativos

Workshops e brainstorming

Recolha e partilha de ideias e discussão dos eventos que poderiam afetar os objetivos, expectativas das partes interessadas ou dependências chave

Inspeções e auditoriasInspecções físicas das instalações e atividades e auditorias de conformidade com os sistemas e procedimentos estabelecidos

Fluxogramas e análise de dependência

Análise de processos e operações dentro da organização para identificar os componentes críticos que são chave para o sucesso

Abordagens HAZOP e FMEA

Estudo de perigo operacional (HAZOP) e metodologia de Análise do Tipo e Efeito de Falha (FMEA) são técnicas quantitativas de analise de falha.

Análises SWOT e PESTLE

Forças Fraquezas Oportunidades Ameaças (SWOT) e Políticos Econômico e Social Tecnológico Legal Ambiental (PESTLE) analisa oferecer abordagens estruturadas para o reconhecimento de risco

Tendo identificado os procedimentos de avaliação adequados de risco e decidiu que o teste de benchmark de importância para diferentes classes de

Página 22 de 29

riscos, será então possível identificar o apetite ou a atitude a esse tipo de risco, juntamente com a capacidade da organização para resistir a esse risco. Finalmente, a organização pode determinar a exposição global ao tipo particular de risco em consideração.

Fatores internos e externos podem dar origem a riscos. Figura 5 é baseado no sistema de risco FIRM Scorecard classificação de risco e fornece exemplos de condutores internos e externos de risco. Alguns sistemas de classificação de risco têm risco estratégico como uma categoria separada. No entanto, a FIRM abordagem Scorecard Risk sugere que estratégico (bem como tático e operacional) os riscos devem ser identificados em todas as quatro categorias.

Página 23 de 29

Figura 5: Drivers de gestão de risco

RECALL DO PRODUTO CSRPERCEPÇÃO PÚBLICAEXECUÇÃO REGULADORCOMPORTAMENTO cONCORRENTE

RISCOS DE REPUTACAO

AMBIENTE ECONÔMICODESENVOLVIMENTO TECNOLOGICOCOMPETIÇÃODEMANDA DE CLIENTESREQUISITOS DE REGULAMENTAÇÃO

RISCOS DE MERCADO

RISCOS DE INFRA-ESTRUTURA

COMUNICAÇÕESLINKS DE TRANSPORTESCADEIA DE SUPRIMENTOSTERRORISMODESASTRES NATURAISPANDEMIA

RISCOS FINANCEIROS

NORMAS DE CONTABILIDADETAXAS DE JUROCÂMBIOFUNDOS E CRÉDITO

CONTROLE INTERNOFRAUDEHISTÓRICO DO PASSIVOINVESTIMENTOSDECISÕES CAPEXLIQUIDEZ E FLUXO DE CAIXA

RECRUTAMENTOHABILIDADES PESSOASSAÚDE E SEGURANÇAINSTALAÇÕESSISTEMAS DE TI

EXTENSÕES DA MARCACOMPOSICAO DO CONSELHOAMBIENTE DE CONTROLE

M & A ATIVIDADER & D ATIVIDADESPROPRIEDADE INTELECTUALCONTRATOS

DIRECOES EXTERNAS

DIRECOES EXTERNAS

Página 24 de 29

Apetite pelo risco e as tolerâncias

É importante que o Conselho define regras para risktaking em relação a todos os tipos de risco, e alguns organizações têm produzido um apetite pelo risco declaração de que é aplicável a todas as classes de risco. Ele é bastante fácil para uma organização para confirmar se ela não tem apetite por causar lesões e problemas de saúde. Em prática, porém, este pode ter de ser desenvolvida em um conjunto de metas para a saúde e segurança performance. Há um perigo de que o apetite pelo risco declarações deixar de ser dinâmico, e eles podem restringir o comportamento e resposta rápida.

Ao nível da Administração, o apetite ao risco é um driver de estratégica decisões de risco. No nível executivo apetite pelo risco, traduz em um conjunto de procedimentos para assegurar que de risco recebe a devida atenção ao fazer decisões táticas. A nível operacional apetite pelo risco, dita restrições operacionais para a rotina actividades. Apesar de sua importância, é surpreendente que o conceito de apetite pelo risco não é mencionado em ISO 31000, embora seja incluído na maioria dos outros normas de gestão de risco e bolsa de valores requisitos de listagem.

7. Medição e monitoramento

É frequentemente o caso que as avaliações de risco são registrados em um registro de riscos. Não existe um padrão formato de um registro de riscos ea organização deve estabelecer um formato adequado para esta importante documento. O registro de riscos não deve se tornar um registro estático dos riscos significativos enfrentados pela organização. Deve ser visto como uma ação de risco plano que inclui detalhes dos controles atuais e os detalhes de qualquer outra ações que são planejadas.

Essas ações ainda devem ser escritas como ações auditáveis que devem ser concluídas dentro de um prazo definido por indivíduos identificados. Isso vai habilitar a função de auditoria interna para monitorar a existentes controles e monitorar a implementação de quaisquer controles adicionais necessárias. Os recursos necessárias para implementar a política de gestão de risco devem ser claramente estabelecidas em cada nível de gestão e dentro de cada unidade de negócio. Risco gestão deve ser incorporado ao planejamento estratégico e processos de orçamento.Bem como a monitorização da eficácia do controles existentes ea implementação de controles adicionais, o custo-eficácia da controles existentes também devem ser monitorados. Além disso, monitorização e medição inclui avaliação da cultura de risco e conscientes do risco quadro de gestão e avaliação do medida em que as tarefas de gerenciamento de risco estão alinhados com outras atividades corporativas.

Página 25 de 29

Avaliar os controles existentes

Monitoramento e medição se estende até o avaliação da cultura, desempenho e preparação da organização. O escopo de actividades abrangidas pela monitorização e medição também inclui o monitoramento de melhoria de risco recomendações e avaliação do incorporação de atividades de gerenciamento de risco no organização, bem como a monitorização de rotina do risco indicadores de desempenho.

Monitoramento da preparação da organização para lidar com a grande ruptura é uma parte importante da gestão de riscos. Esta atividade normalmente estende-se a o desenvolvimento e teste de continuidade de negócios planos e planos de recuperação de desastres. Há uma necessidade imperiosa de manter esses planos até data para que a preparação da organização para lidar com os eventos de risco identificados está assegurada.

Avaliação dos controles existentes levará à identificação de melhoria de risco recomendações. Estas recomendações deve ser registrado no registro de riscos por meio de uma plano de ação de risco. Uma parte importante da avaliação da eficácia dos controles existentes é garantir que há avaliação adequada do negócio planejamento de continuidade e planejamento de recuperação de desastres disposições em vigor.

Incorporar a cultura de risco consciente

Mudanças na organização e no ambiente em que opera devem ser identificados e modificações adequadas no sentido de protocolos. Atividades de monitoramento deve fornecer garantia de que existem controles apropriados em vigor e que o procedimentos são compreendidos e seguidos. Mudanças dentro da organização e dos negócios externos ambiente devem ser identificados, de modo que existentes procedimentos podem ser modificados.

Qualquer processo de monitorização e medição também deve determinar se: as medidas adoptadas atingiram o resultado pretendido os procedimentos adotados foram eficientes informação suficiente estava disponível para o avaliações de risco um melhor conhecimento teria ajudado para chegar a melhores decisões lições podem ser aprendidas para o futuro avaliações e controles

Incorporação de gestão de riscos envolve um ambiente que pode demonstrar liderança da gerência sênior, o envolvimento de funcionários em

Página 26 de 29

todos osníveis, uma cultura de aprendizagem com a experiência, prestação de contas apropriado para acções (sem desenvolvimento de uma cultura da culpa automático) e boa comunicação sobre as questões de risco.

8. Aprendizagem e elaboração de relatórios

Concluindo o ciclo de feedback sobre o risco processo de gerenciamento envolve as etapas importantes de aprender com a experiência e os relatórios sobre performance. , A fim de aprender com a experiência, uma organização necessita para analisar o desempenho de risco indicadores e medir a contribuição que gerenciamento de riscos corporativos fez a sucesso da organização.

Os motivos para efectuar a gestão do risco iniciativa deveria ter sido claramente estabelecida. Se isso não foi feito, a organização será incapaz de avaliar se a contribuição foi de linha com as expectativas. Monitoramento de risco indicadores de desempenho deve incluir uma avaliação da contribuição a ser feita por risco gestão, bem como uma avaliação do adequação dos mecanismos de controle que foram selecionados.

Monitorar o desempenho de risco.

Aprender as lições de gestão de risco também requer uma investigação das opiniões dos principais partes interessadas, tanto interna como externamente. Em particular, o parecer da auditoria interna e avaliação das actividades de gestão de risco em auditoria comissão será de vital importância. Aprendendo com experiência requer uma avaliação mais do que da indicadores de desempenho de risco. Uma revisão anual da gestão de riscos estrutura serão necessários, incluindo avaliação da arquitetura do risco de estratégia, e protocolos. É importante que a organização tem uma baseada no risco plano de auditoria e compromete-se opiniões de risco adequada.

Outras características de aprender com a experiência incluem avaliação dos relatórios de auditoria e uma avaliação do as fontes de garantia de risco disponíveis para o Conselho e do comitê de auditoria. Uma avaliação da o nível de garantia que foi obtido é também necessário. Muitas vezes, uma fonte importante de risco garantia para o Conselho de Administração será de auto-certificação, como um controle de processo de Avaliação de Riscos Auto que fornece garantia de risco em relação gerenciamento de relatórios de risco, e divulgação, bem como informação sobre a aprendizagem de incidentes.

Página 27 de 29

Relatório de desempenho de risco

Além da comunicação interna e relatórios, haverá uma obrigação organizações para relatar externamente. Cada vez mais, esses relatórios externos são produzidos em resposta a requisitos obrigatórios relativos ao risco gestão e controle interno, como Turnbull e Sarbanes-Oxley. Relatórios de risco externo é projetado para fornecer partes interessadas externas com garantia de que os riscos tenham sido adequadamente gerenciado.

Relatórios externos deverá fornecer informações úteis às partes interessadas sobre o estado da gestão de riscos e as ações que estão sendo tomadas para garantir a melhoria contínua no desempenho. A empresa precisa de informar a seus stakeholders em um base regular, que define a sua gestão de risco políticas ea eficácia na realização dos seus objetivos. Cada vez mais, olhar para as partes interessadas organizações para prover evidências da adequada comportamento das empresas em áreas como a comunidade assuntos, direitos humanos, práticas de emprego, saúde e segurança e meio ambiente.

Comunicação de riscos fornece informações sobre histórico perdas e tendências. Contudo, a divulgação é um risco mais prospectivas atividade que antecipa emergentes riscos. Há uma clara diferença entre a medição risco e desempenho de monitoramento e empresa passos para aprender com a experiência para melhorar o risco processo de gestão e enquadramento. Importante lições podem ser aprendidas que vai ajudar com a melhoria o design do quadro de apoio e os quadro de implementação.,

arquitetura de risco Declaração produzida, que estabelece responsabilidades de risco e

relaciona as questões com base no risco reservados ao Conselho Responsabilidades de gestão de risco atribuídas a uma comissão de

gestão adequada Arranjos estão no local para garantir a disponibilidade de

aconselhamento competente apropriado sobre os riscos e controles Cultura ciente risco existe dentro da organização e as ações estão em

curso para melhorar o nível de maturidade de risco Fontes de garantias de risco para o Conselho foram identificados e

validados

estratégia de risco

Política de gestão de risco produzida que descreve o apetite pelo risco, a cultura de risco e filosofia

Dependências chave para o sucesso identificados, juntamente com os assuntos que devem ser evitados

Página 28 de 29

Objetivos de negócio validado e os pressupostos que sustentam esses objectivos testados

Riscos significativos enfrentados pela organização identificada, juntamente com os controles crítica necessária

Plano de acção de gestão de risco estabelecido que inclui o uso de indicadores de risco, conforme o caso

Recursos necessários e desde que identificada a apoiar as atividades de gestão de risco

protocolos de risco

Estrutura de gerenciamento de risco adequadas identificadas e adoptadas, com as necessárias adaptações

Avaliações de riscos adequada e suficiente concluída e os resultados foram registrados de forma adequada

Procedimentos para incluir riscos como parte do negócio de tomada de decisão estabelecido e implementado

Detalhes de respostas de risco exigido gravado, juntamente com os dispositivos para monitorar as recomendações de melhoria de risco

Incidente procedimentos de comunicação criado para facilitar a identificação de tendências de risco, juntamente com procedimentos de escalação de risco

Planos de continuidade de negócios e recuperação de desastres planos estabelecidos e testados regularmente

Disposições em vigor para auditar a eficiência ea eficácia dos controles no local por riscos significativos

Disposições em vigor para a notificação obrigatória em risco, incluindo relatórios sobre pelo menos o seguinte:

Apetite ao risco, tolerância e restrições Arquitetura de risco e procedimentos de escalada de riscos Cultura cientes de risco actualmente em vigor Risco arranjos de avaliação e protocolos Riscos significativos e indicadores de risco Controles críticas e deficiências de controle Fontes de segurança à disposição do Conselho

A tabela abaixo fornece uma visão geral das etapas envolvidas na implementação de uma iniciativa de gestão de risco corporativo (ERM). Implementação bem sucedida de uma iniciativa ERM é um processo contínuo que envolve o trabalho com os 10 passos que se seguem em uma base contínua. Os 10 passos estão divididos entre:

Planejar e projetar Implementação e avaliação comparativa Medição e monitoramento

Página 29 de 29

Aprendizagem e elaboração de relatórios

atividade Conceitos / ferramentas e técnicas

Planejamento e projeto (ver Seção 5)

1Identificar benefícios pretendidos da iniciativa de gestão de riscos empresariais e ganhar mandato Board

Benefícios da ERMIncorporação de gestão de risco

2Planejar o escopo da iniciativa ERM e desenvolver uma linguagem comum de risco

Upside de riscoexpectativas das partes interessadas

3 Estabelecer a estratégia de gestão de risco, quadro, e os papéis e responsabilidades

Política de gestão de riscoarquitetura de risco

Implementação e avaliação do desempenho (ver Seção 6)

4Adotar procedimentos adequados de avaliação de risco e um sistema de classificação de risco de acordo

descrição dos riscosSistemas de classificação de risco

5

Estabelecer benchmarks significado de risco e realizar avaliações de riscos

Técnicas de avaliação de riscoTestes de benchmark de significância

6Determine o apetite ao risco e os níveis de tolerância ao risco, e avaliar os controles existentes

registro de riscosapetite pelo risco

Medição e monitoramento (ver secção 7)

7Garantir a relação custo-eficácia dos controlos existentes e introduzir melhorias

Planos de melhoramento de riscoBCP e DRP

8Incorporar a cultura de risco consciente e alinhar a gestão de risco com outras tarefas de gerenciamento

ambiente de controlecomunicação de risco

Aprendizagem e comunicação (ver secção 8)

9Monitorar indicadores de desempenho e revisão de risco para medir a contribuição ERM

Plano de auditoria e risco comentáriosFontes de garantias de risco

10Relatório de desempenho de risco em conformidade com as obrigações legais e outros, e melhoria do monitor

comunicação de riscorequisitos legais