Conjunto da Obra – A 2ª linha de defesa do negócio
Uma boa gestão de compliance, começa como processos devidamente mapeados e documentados, tendo em vista que as evidencias somente serão comprovadas com controles internos efetivos.
Um projeto de GRC tem como premissas realizar o Mapeamento dos Processos de Negócio nas áreas internas e nas unidades de negócios com identificação de pontos de controle e de riscos, elaborando algumas políticas operacionais e institucionais sob a demanda da organização e realizando o Mapeamento dos controles e dos riscos, de forma a atender aos requisitos de conformidade e integridade dos instrumentos normativos e criar um cenário de confiabilidade na gestão dos controles internos e riscos do negócio.
A Matriz de Riscos, também conhecida como Matriz de Probabilidade e Impacto, é utilizada durante a análise do risco.
É uma ferramenta visual que possibilita ver rapidamente quais são os riscos que devem receber mais atenção, o que torna muito mais fácil o entendimento e engajamento das equipes no processo.
Quando me pedem para implementar uma matriz de riscos, onde podemos sem medo de errar, considerar dois critérios: sua probabilidade de acontecer e o impacto que trará para organização, devemos avaliar se os processos são conhecidos e se existem controles efetivos para tal fato.
Pois ao avaliarmos a probabilidade de um risco, que entendemos como sendo uma ameaça, determinamos o nível de probabilidade e o impacto, para determinar a criticidade do risco, que pode ser Baixa, Média ou Alta.
Existem várias ferramentas no meracdo para lidar com riscos, e a matriz de riscos é apenas uma delas, mas a ferramenta é só um meio para chegar a um fim que, na verdade, é a prevenção, pelos menos é o que aplicamos em nossos projetos.
A Gestão de Riscos é tão ou mais importante que tratar não conformidades, tem uma função muito grande no seu sistema de melhoria e tem por objetivo tornar seus processos melhores, monitoráveis e gerenciaveis, parece simples, mas não é.
A avaliação para classificar a probabilidade e o impacto dos seus riscos vai depender do contexto da sua organização, da complexidade de seu negócio, do tipo do risco e do nível de conhecimento que seus colaboradores tem sobre o risco inerentes.
Podemos citar aqui um exemplo, sobre como conseguimos agir em um risco sobre queda de internet? O que ja fizemos para regulizar o processo? Como funcionou a sua gestão de crise? Acionamos o plano de continuidade de negócios? Se precisarmos de informações, existem alguns indicadores de informação sobre o fato? Tipo perdas, tempo inativo, multas entre outros?
Afinal tudo isso vai influenciar demais a sua análise quanto a probabilidade e impacto deste risco acontecer e como o gerenciamento de crises poderá agir para minimiza-lo e nos melhores dos mundo evitá-lo?
Portanto, o conjunto da obra é alinhar a segunda linha de defesa na proteção do negócio, deixando bem claro a responsabilidade de todos na organização.
Quer saber mais sobre o assunto: acesse o site da MASSI Consultoria e entenda como podemos ajudar a sua organização. https://www.massiconsultoria.com.br/