Estruturas e modelos de gerenciamento de riscos corporativos

Obtenha modelos gratuitos do Smartsheet
Get a Free Smartsheet Demo

By Andy Marker | 24 de March de 2021 (updated 9 de February de 2024)

Compilamos recursos sobre estruturas e modelos de gerenciamento de riscos corporativos (ERM). Você aprenderá a desenvolver uma estrutura de ERM personalizada, obterá insights sobre os principais critérios e componentes e encontrará conselhos de especialistas sobre como mapear sua estrutura de acordo com as necessidades do cliente. 

Nesta página, você encontrará um guia para desenvolver uma estrutura de ERM personalizada, análises úteis dos principais modelos de estrutura de ERM e exemplos populares de estruturas de ERM por setor.

Estruturas de gerenciamento de riscos corporativos

As estruturas de gerenciamento de riscos corporativos transmitem princípios cruciais de gerenciamento de riscos. Você pode usar uma estrutura de ERM como uma ferramenta de comunicação para identificar, analisar, responder e controlar riscos internos e externos. Uma estrutura de ERM fornece feedback estruturado e orientação para unidades de negócios, gerência executiva e membros do conselho que implementam e gerenciam programas de ERM.  

As estruturas de ERM ajudam a estabelecer uma cultura consistente de gerenciamento de riscos, independentemente da rotatividade de funcionários ou dos padrões do setor. Eles orientam as funções de gerenciamento de riscos e ajudam as empresas a gerenciar a complexidade, visualizar os riscos, atribuir propriedade e definir a responsabilidade pela avaliação e pelo monitoramento dos controles de riscos. Uma estrutura personalizada de ERM apoia a empresa na integração do gerenciamento de riscos às atividades e funções significativas do negócio.

Tipos de estrutura de gerenciamento de riscos corporativos

A estrutura estratégica escolhida dependerá do seu setor, das metas comerciais, da estrutura organizacional, da infraestrutura tecnológica e dos recursos disponíveis. Algumas estruturas são mais aplicáveis a negócios de escala empresarial, enquanto outras oferecem abordagens mais personalizáveis e baseadas em cenários para as necessidades específicas de ERM de uma organização. 

Há também um subconjunto de estruturas estratégicas de gerenciamento de riscos corporativos. Por exemplo, algumas podem se adequar melhor às necessidades de setores altamente regulamentados, como o financeiro e o de saúde. Você pode usar qualquer uma delas como ponto de partida para criar uma estrutura ERM personalizada.

A estrutura de ERM da Casualty Actuarial Society (CAS)

A Casualty Actuarial Society (CAS) é uma entidade internacional de credenciamento e educação profissional. A organização se concentra exclusivamente em riscos patrimoniais e de acidentes em seguros, resseguros, finanças e gerenciamento de riscos corporativos. 

A CAS, a Society of Actuaries (SOA) e o Canadian Institute of Actuaries (CIA) patrocinam um site de gerenciamento de riscos com recursos educacionais de ERM. O comitê organiza a estrutura ERM por tipo de risco e um processo sequencial de gerenciamento de riscos. 

Os quatro tipos de risco são definidos da seguinte forma:

  • Riscos de perigo: essa categoria contém ações de responsabilidade civil, danos à propriedade, desastres naturais, crimes, lesões relacionadas ao trabalho e interrupção de negócios. 
  • Riscos financeiros: esta categoria contém risco de preço, risco de liquidez, risco de crédito, risco de inflação e risco de cobertura.
  • Riscos operacionais: esta categoria contém risco operacional, risco de capacitação, risco de TI, risco de integridade e risco de relatórios de negócios. 
  • Riscos estratégicos: esta categoria inclui concorrência, risco do cliente, risco demográfico e cultural, risco de inovação, disponibilidade de capital, regulação e risco político. 

O processo de gerenciamento de riscos do CAS envolve as sete etapas sequenciais a seguir:

  1. Estabelecer contexto: o primeiro passo é definir o contexto de risco com base na forma como a organização opera atualmente. Esta etapa inclui a compreensão do contexto interno e externo e do contexto ERM (por exemplo, perigo para unidades de negócios específicas e risco ambiental da organização).
  2. Identificar riscos: documente ameaças que impedem sua organização de alcançar seus objetivos comerciais. Esta etapa também incentiva você a definir como pode aproveitar o risco para obter uma vantagem competitiva.
  3. Analisar riscos: nesta etapa, analise os resultados da probabilidade de risco para cada risco e quantifique o impacto.
  4. Integrar riscos: nesta etapa, agregue distribuições de risco, considerando correlações e os efeitos do risco nos portfólios. Meça este estágio pelo impacto nos principais indicadores de desempenho (KPIs).
  5. Priorizar riscos: avalie e priorize cada risco para determinar como ele adiciona ao perfil ERM agregado.
  6. Explorar riscos: esta etapa requer o desenvolvimento de estratégias para usar vários riscos em benefício da organização. 
  7. Monitoramento de riscos: a última etapa se concentra na realização de revisões contínuas do ambiente de risco e no desempenho geral do ERM.

As etapas do processo de gerenciamento de riscos podem se aplicar a cada risco individualmente. A lista de verificação abaixo é baseada na grade de estrutura ERM do comitê no agregado.

Mockup CAS Risk Management Process Checklist

A estrutura integrada de ERM do COSO

Em 2017, a COSO publicou uma estrutura atualizada do ERM, Gerenciamento de Riscos Corporativos – Integração com Estratégia e Desempenho, para abordar a importância do ERM no planejamento e desempenho estratégicos das empresas. Este modelo atualizado explica a maior complexidade dos ambientes de negócios modernos. 

O Committee of Sponsoring Organizations of the Treadway Commission (COSO) é uma iniciativa conjunta de cinco organizações do setor privado dedicadas a oferecer liderança de pensamento, cultivando estruturas e orientações abrangentes sobre gerenciamento de riscos corporativos, controle interno e prevenção de fraudes. Abaixo estão as organizações que patrocinam e financiam a iniciativa do setor privado do COSO:

  • Associação Americana de Contabilidade
  • Instituto Americano de Contadores Públicos Certificados 
  • Executivos Financeiros Internacionais
  • Instituto de Contadores Gerenciais
  • Instituto de Auditores Internos

O COSO incorporou a Lei Sarbanes-Oxley (SOX) para diretrizes de gerenciamento de riscos em sua estrutura de ERM. Essa integração tornou a estrutura do COSO popular entre grandes corporações, bancos e instituições financeiras sujeitas a extensos códigos legais e negócios de alto risco.

Cinco componentes inter-relacionados da estrutura do COSO ERM

A estrutura atualizada do COSO inclui cinco componentes inter-relacionados de gerenciamento de riscos corporativos. Esses componentes incluem 20 princípios que abrangem práticas que vão da governança ao monitoramento, independentemente da escala da empresa, do setor ou do tipo de organização. 

Os seguintes componentes da estrutura de ERM amplamente utilizada se ajustam aos modelos de negócios, e não aos processos independentes de gerenciamento de riscos:

  • Governança e cultura: este componente incorpora cinco princípios, incluindo risco e supervisão da diretoria, estruturas operacionais, definição de cultura, compromisso com valores essenciais e práticas de recursos humanos para recrutamento, desenvolvimento e retenção de indivíduos. 
  • Estratégia e definição de objetivos: este componente abrange quatro princípios: análise do contexto empresarial, definição do apetite por riscos, estratégias alternativas e objetivos empresariais. 
  • Desempenho: este componente contém cinco princípios, incluindo a identificação do risco, a avaliação da gravidade do risco, a prioridade do risco, a implementação da resposta ao risco e o desenvolvimento do portfólio. 
  • Análise e revisão: este componente aborda três princípios: avaliação de mudanças substanciais, análises de risco e desempenho e busca de aprimoramento do ERM. 
  • Informações, comunicação e relatórios: esta seção inclui o aproveitamento da TI, a comunicação dos riscos e os relatórios sobre a cultura e o desempenho dos riscos. 

A tabela a seguir resume os componentes e princípios de controle da estrutura COSO ERM atualizada.

Mockup COSO ERM Integrated Framework

A estrutura de ERM da ISO 31000

A estrutura ERM da International Organization for Standardization (ISO) 31000:2018 é um processo cíclico de gerenciamento de riscos que incorpora a integração, o projeto, a implementação, a avaliação e a melhoria do processo ERM.

Mockup ISO 31000 ERM Framework

O modelo ISO 31000 é revisado a cada cinco anos para levar em conta a evolução do mercado e as mudanças na complexidade dos negócios. Essa estrutura abrange vários riscos e pode ser personalizada para organizações, independentemente do tamanho, do setor ou da indústria. Para saber mais sobre esse modelo e fazer download de modelos e matrizes gratuitos, leia ISO 31000: Matrizes, listas de verificação, registros e modelos.

 

O modelo ERM da ISO/IEC 27001
A norma de segurança ISO/IEC 27001 fornece requisitos para sistemas de gerenciamento de segurança da informação (ISMS). Mais de uma dúzia de padrões de segurança fornecem controles de gerenciamento de risco de informações físicas e técnicas para programas de ERM. Empresas digitais de vários setores adotam a ISO 27001 para gerenciar a segurança financeira, de propriedade intelectual e de dados internos.

A estrutura de ERM do COBIT

O COBIT (2019) é uma estrutura flexível de governança e gerenciamento de TI criada pela ISACA (Information Systems Audit and Control Association). A estrutura conceitual é uma escolha popular para gerenciar riscos em um ambiente empresarial digitalizado. 

O COBIT fornece um modelo de gerenciamento de riscos para os recursos de negócios de grandes empresas e um modelo para se adequar a áreas específicas de pequenas e médias empresas. O gerenciamento de informações e riscos tecnológicos não está mais limitado ao departamento de TI, devido à integração da TI em todos os aspectos das operações comerciais modernas.

“Analisamos o COBIT e o COSO de cima para baixo quando estamos montando nosso programa”, diz Michael Fraser, CEO e arquiteto-chefe da Refactr, uma startup sediada em Seattle que fornece uma plataforma de automação DevSecOps que oferece serviços de TI como código e recursos compatíveis com DevOps criados para a segurança cibernética. “Também estamos analisando como eles são mapeados para cada controle que analisamos nessas estruturas. Isso é algo que podemos automatizar internamente? É algo que requer um processo manual? Criamos esse conteúdo para nossos clientes e verificamos se esse é um programa dinâmico que funciona para nós e para o cliente”, diz ele. 

O COBIT é uma estrutura guarda-chuva flexível para a criação de uma estrutura de ERM com processos que alinham as metas de negócios e de TI para evitar silos de gerenciamento de riscos em uma empresa. A estrutura identifica os três princípios fundamentais a seguir para a criação de uma estrutura de governança e gerenciamento:

  • Conceitual: uma estrutura de governança deve identificar os componentes essenciais e seus relacionamentos para maximizar a consistência e capacitar a automação. 
  • Ágil: uma estrutura de governança deve ser aberta e flexível a novos conteúdos e abordar os problemas que surgirem com agilidade, integridade e consistência. 
  • Alinhada: uma estrutura de governança deve estar alinhada com diferentes padrões, outras estruturas e requisitos regulamentares. 

Há também seis requisitos básicos para um sistema de governança de TI empresarial que uma organização pode adaptar e projetar para se adequar a uma estrutura de ERM: 

  • Valiosa: deve satisfazer as partes interessadas entre membros do conselho, liderança executiva e gerência. 
  • Holística: a estrutura do ERM é construída a partir de componentes que trabalham juntos para uma abordagem abrangente do gerenciamento de riscos e da governança. 
  • Dinâmica: a estrutura deve reagir às mudanças nos fatores de projeto do programa ERM e considerar o impacto de cada mudança.
  • Distinta: a estrutura deve distinguir claramente as atividades de gerenciamento e governança.
  • Personalizada: a estrutura deve ser feita sob medida, usando fatores de design para otimizar o gerenciamento de riscos e a governança. 
  • Abrangente: a estrutura deve oferecer cobertura ERM de ponta a ponta para as funções de TI e todo o processamento de informações e tecnologia em toda a empresa.
Mockup COBIT ERM Framework

A estrutura de ERM do NIST

O National Institute of Standards and Technology (NIST) é um órgão do governo federal dos EUA (Departamento de Comércio dos EUA). A estrutura do NIST é uma estrutura de segurança cibernética usada por empresas privadas que fazem negócios com órgãos do governo dos EUA, como o Departamento de Defesa (DoD).  

O modelo de estrutura do NIST se concentra no uso de drivers de negócios para orientar as atividades de segurança cibernética e o gerenciamento de riscos com três componentes:

  • Núcleo da estrutura: trata-se de um conjunto de cinco resultados de segurança cibernética, com subcategorias, atividades e referências informativas comuns à maioria dos setores empresariais e à infraestrutura crítica de TI. 
    • Identificar: gerenciamento de ativos, ambiente de negócios, governança, avaliação de riscos e estratégia de gerenciamento de riscos
    • Proteger: gerenciamento de identidade, controle de acesso, segurança de dados, tecnologia de proteção e manutenção
    • Detectar: anomalias e eventos, processos de detecção e monitoramento contínuo
    • Responder: planejamento de resposta, comunicações, análise, mitigação e melhorias
    • Recuperar: planejamento de recuperação, melhorias e comunicações
  • Níveis de implementação: este é um mecanismo para ajudar as organizações a priorizar e atingir os objetivos de segurança cibernética para gerenciar o risco de segurança cibernética.
  • Perfis de estrutura: aqui, use os elementos centrais da estrutura para ajudar a desenvolver perfis organizacionais e alinhar as atividades de segurança cibernética com a missão, a tolerância a riscos e os recursos disponíveis. 

A estrutura do NIST fornece um padrão globalmente reconhecido para diretrizes de segurança cibernética e práticas recomendadas que se aplicam a organizações de escala empresarial com infraestrutura crítica a ser protegida. A estrutura é um modelo flexível para a criação de uma estrutura de ERM para organizações que dependem de tecnologia, que se preocupam com a privacidade dos dados e que gerenciam os riscos associados às últimas tendências da força de trabalho digital. 

“O Center for Internet Security mapeia muitas de suas estruturas ou referências para o NIST e a ISO e as mapeia para uma estrutura de ERM”, explica Fraser. “Tudo está interconectado porque você está tentando reduzir os riscos. Você também está tentando marcar caixas para um cenário específico, seja para uma auditoria ou para um cliente que deseja que pratiquemos a devida diligência para atender aos seus padrões de gerenciamento de risco.”

Modelo de maturidade de risco RIMS Estrutura ERM

A avaliação do Modelo de Maturidade de Riscos (RMM) da Sociedade de Gerenciamento de Riscos sem fins lucrativos (RIMS) consiste em 68 indicadores de prontidão que descrevem 25 motivadores de competência para sete atributos críticos de ERM para comparar as organizações com seus pares do setor, acompanhar o progresso e ajudar a executar um plano de ação.

Sete atributos da estrutura ERM da RIMS

A estrutura RIMS RMM identifica os sete principais atributos de competência em ERM a seguir:

  • Abordagem baseada em ERM: este atributo se concentra na cultura de riscos da empresa e no grau de comprometimento da liderança executiva e dos membros do conselho para a adoção de uma abordagem baseada em ERM.
  • Gerenciamento de processos ERM: este atributo se concentra na cultura organizacional e no nível de integração entre os processos críticos de negócios para processos ERM explícitos e repetíveis. 
  • Gerenciamento do apetite ao risco: este atributo está centrado na responsabilidade da liderança e no nível de conscientização da tomada de decisões com relação à tolerância ao risco e às lacunas entre os riscos percebidos e os reais.
  • Disciplina de causa-raiz: este atributo enfatiza a busca das causas básicas de cada risco, incluindo a classificação dos riscos, a descoberta dos resultados dos riscos, a vinculação às fontes e a melhoria da resposta e dos controles dos riscos.
  • Descobrindo riscos: este atributo diz respeito ao escopo da avaliação de riscos, à análise das fontes de informação e à documentação dos riscos e oportunidades.
  • Gerenciamento de desempenho: este atributo concentra-se na visão, na missão e na estratégia de ERM, incluindo o planejamento de metas, a comunicação, a execução e a medição usando KPIs quantitativos e qualitativos.
  • Resiliência e sustentabilidade dos negócios: este atributo avalia as informações de ERM usadas para planejamento operacional, planejamento de recuperação de desastres e outras análises de cenários.

Avalie cada atributo usando uma escala de cinco níveis de maturidade: inexistente, ad hoc (nível um), inicial (nível dois), repetível (nível três), gerenciado (nível quatro) e liderança (nível cinco). A estrutura RIMS RMM é um modelo flexível, compatível com estruturas ERM personalizadas baseadas na norma internacional ISO 31000:2018, na estrutura COSO ERM atualizada ou na estrutura COBIT.

O caso das estruturas personalizadas de ERM

“Não existe uma estrutura única para todos os casos, e você começará a perceber que precisa de algo diferente”, diz Michael Fraser, da Refactr. “Foi isso que descobrimos na Refactr, mas somos únicos porque ajudamos as organizações a criar a automação que desejam usar para ajudá-las com essas estruturas específicas.”

Michael Fraser

 

“As estruturas de gerenciamento de riscos existentes são guias para ajudá-lo a entender o que você precisa fazer de forma padronizada”, continua Fraser. “Portanto, há algo universal com o qual você pode trabalhar e que outras pessoas entendem. Elas [as estruturas padrão] existem para ajudá-lo a criar seu programa de segurança, e não para ser uma barreira que você nunca alcança.”

Fraser aconselha perguntar se a estrutura é boa o suficiente para que sua organização faça negócios com seus clientes-alvo. O conselho mais importante se resume ao porquê, ou seja, “Por que você precisa de uma estrutura de gerenciamento de riscos corporativos?”

“Muitas dessas estruturas de risco são antiquadas no que se referem”, diz ele. “Com mais pessoas trabalhando em casa, você não tem necessariamente as redes corporativas. E se você tiver nascido na nuvem ou for uma empresa 100% remota e nativa da nuvem?”

Definição de objetivos para estruturas estratégicas de ERM

Sean Cordero

“O gerenciamento de riscos é a disciplina mais abrangente da segurança cibernética, e o foco tende a ser nos aspectos tecnológicos. Mas, para a empresa, trata-se de como atrair e reter clientes lucrativos”, explica Sean Cordero, consultor da Refactr. “Uma das coisas que se perde para algumas organizações é a explosão de serviços fornecidos na nuvem. A arquitetura de nuvem permite uma maneira de fazer as coisas agora que tem pouca ou nenhuma relevância para a maneira como as coisas eram feitas.”

Cordero aconselha a abordar algumas questões difíceis antes de criar uma estrutura de risco personalizada. Faça as seguintes perguntas: Alguém vai usar essa estrutura de ERM? Isso ajudará a impulsionar o processo do ponto de vista do setor? Dê um passo atrás e avalie qual é o risco e o que importa, usando três entradas simples para priorizar o gerenciamento estratégico de riscos, antes de implementar uma estrutura personalizada de ERM. 

“Primeiro, veja o que é exigido pela lei. Em segundo lugar, identifique o que seus clientes vão precisar, o que dependerá do tipo de organização”, diz Cordero. “Se você mantém dados confidenciais para seus clientes e eles se preocupam com esses dados confidenciais, concentre-se nos aspectos de confidencialidade, seja por meio de criptografia ou de várias maneiras de chegar lá. Por fim, determine o que você valoriza como organização. Com o que você não se importa ao considerar seus clientes e sua empresa? Esse é um aspecto muito introspectivo que às vezes não é percebido. Se fizer isso, você descobrirá claramente onde deve se concentrar e poderá então selecionar a estrutura ou abordagem apropriada de gerenciamento de riscos.”

Como desenvolver uma estrutura personalizada de gerenciamento de riscos corporativos

O desenvolvimento de uma estrutura personalizada de ERM ajuda a implementar uma estratégia de gerenciamento de riscos, alinhar os objetivos comerciais e promover a tomada de decisões com base em riscos. No entanto, a personalização de uma estrutura de ERM para atender aos objetivos internos, às necessidades dos clientes, às normas do setor, à governança de TI e aos padrões de auditoria interna não precisa ser uma tarefa árdua. 

O roteiro a seguir para o desenvolvimento de uma estrutura personalizada de ERM baseia-se nas estruturas existentes de gerenciamento e risco operacional, nos modelos de ERM e nas contribuições de especialistas do setor. Use este processo passo a passo para desenvolver e implementar um programa ERM personalizado. Para saber mais sobre a implementação do ERM, consulte nosso Guia para a implementação de gerenciamento de riscos corporativos.

Mockup 5 Developments Stages for Custom ERM Framework

Primeira fase da estrutura de ERM: criar uma equipe multifuncional de ERM

Selecione as partes interessadas em diferentes unidades de negócios e gerências para o comitê diretor de ERM. A eficácia geral de uma estrutura personalizada de ERM depende do apoio de todos os níveis gerenciais, especialmente da liderança executiva, da gerência sênior e do conselho administrativo. 

Crie uma equipe multifuncional de ERM para promover a adesão em vários níveis operacionais e impactar a cultura. A equipe de ERM define os objetivos do negócio e desenvolve um perfil de risco e uma declaração de apetite por risco (RAS) com base nas ameaças e oportunidades dentro de seus conhecimentos. 

Perguntas da primeira fase:

  • Quem deve ser incluído na criação da estrutura de governança de riscos? 
  • Que funções e responsabilidades você atribuirá a cada parte interessada no comitê de riscos?
  • As funções e responsabilidades estão claramente definidas (com descrições)?
  • O desenvolvimento da estrutura de ERM é independente de funções comerciais específicas ou favorece as áreas de influência operacional? 
  • Precisamos estabelecer um comitê de supervisão de gerenciamento de riscos separado para verificações e equilíbrios?

Fase dois da estrutura de ERM: identificação de riscos

Reconhecer e planejar eventos de risco, ameaças e oportunidades internas e externas que geram dúvidas e podem afetar os resultados dos negócios. Use seu perfil de risco e RAS para alinhar a estratégia de negócios com a identificação de riscos. 

A estrutura de ERM é o manual para identificar e abordar os riscos que ameaçam os objetivos comerciais. Use-o como um guia para distinguir as ameaças de risco das oportunidades de risco que podem levar à obtenção dos resultados desejados. Mapeie os eventos de risco de volta às atividades de definição de objetivos na Fase Um e identifique os riscos internos e externos. Não se esqueça de incluir também a perspectiva de risco de seu cliente. 

Aproveite as práticas recomendadas do setor e a experiência do comitê diretor de ERM para orientar sua análise de ameaças e oportunidades futuras. 

Perguntas da segunda fase:

  • Estamos identificando riscos futuros ou nosso foco está muito restrito às ameaças e oportunidades atuais? 
  • Desenvolvemos uma metodologia repetível para identificar eventos de risco com padrões e procedimentos claros que aproveitam a experiência coletiva?
  • Identificamos oportunidades de risco que mapeiam a estratégia de negócios e ajudam a mitigar outras ameaças?
  • Podemos classificar o risco com precisão usando parâmetros, como probabilidade e perda financeira potencial?
  • O estágio de identificação de riscos do desenvolvimento da estrutura priorizou os eventos de risco para resposta e mitigação?

Fase três da estrutura do ERM: avalie o risco

A avaliação de riscos estabelece a base para o gerenciamento de riscos e a determinação de sua probabilidade. Esta é a fase de análise pesada do desenvolvimento da estrutura. Nele, você estabelecerá uma estrutura integrada de avaliação de riscos. 

Use ferramentas de avaliação de riscos e conformidade, como uma matriz de avaliação de riscos e autoavaliações de controle de riscos (RCSAs), para planejar a metodologia de avaliação. Os formulários de avaliação de risco são úteis para avaliar o risco e estabelecer controles de risco, que é a atividade principal da Fase Quatro. Para saber mais sobre o planejamento de uma metodologia de avaliação de riscos personalizada, consulte nosso guia de avaliação e análise de riscos corporativos. 

Perguntas da terceira fase:

  • Estabelecemos os problemas e o impacto (financeiro, operacional, interno, do cliente) para cada evento de risco em potencial?
  • O estágio de avaliação do desenvolvimento da estrutura demonstrou uma compreensão baseada em fatos do risco empresarial e dos recursos atuais de ERM?
  • Usamos ferramentas de avaliação de riscos para identificar lacunas nos recursos ERM existentes e determinar o caminho a seguir para solucioná-las?
  • A fase de avaliação de risco do desenvolvimento mudou a forma como classificamos e priorizamos os tipos de risco, com base nos parâmetros de identificação de risco da Fase 2?

Fase Quatro da estrutura de ERM: Tratar o risco

Tratar o risco é a fase de ação de uma estrutura de ERM. Esse estágio envolve o projeto e a implementação do ambiente de controle e a criação de um plano de ação de mitigação de riscos que abranja como responder a cada tipo de evento de risco identificado nos estágios anteriores.

Os proprietários de riscos gerenciam o ambiente de controle. Atribua funções e responsabilidades aos proprietários dos riscos para identificar quando e como responder. Determine quais unidades de negócios são afetadas e responsáveis por controles de risco específicos. 

Os controles internos são ações específicas que os proprietários de riscos tomam para responder a ameaças ou aproveitar oportunidades. Alinhe controles internos e externos separados com base em objetivos comerciais, requisitos do cliente, requisitos legais e regulamentares do setor, padrões de conformidade e estruturas de governança. 

Fases da estrutura ERM de resposta a riscos Fases da estrutura ERM de resposta a riscos

A estrutura do ERM ajuda a abordar vários estágios da resposta ao risco e a determinar os controles adequados. Sua estratégia de resposta e mitigação variará de acordo com o tipo de risco, o perfil de risco e a tolerância ao risco. As etapas da resposta ao risco incluem o seguinte:

  • Aceitar: se custar mais para mitigar o risco, aceite o risco e monitore os resultados. 
  • Evitar: esta é a melhor resposta para ameaças com alta probabilidade de perdas financeiras ou resultados prejudiciais. 
  • Reduzir: se for provável que o risco ocorra, mas apresentar uma oportunidade que supere a perda financeira mínima ou outros fatores, mitigue as ameaças com controles de estrutura e monitore-os. 
  • Compartilhar: transferir o risco que acarreta ameaças mais significativas e usar técnicas de seguro ou de mitigação de terceiros para se proteger contra perdas ou resultados problemáticos. 

Perguntas da quarta fase:

  • Nosso ambiente de controle interno e nossa estratégia de resposta e mitigação de riscos têm verificações e equilíbrios adequados que criam responsabilidade para os proprietários de riscos?
  • Temos uma política e um procedimento em vigor para analisar os controles e a propriedade dos riscos?
  • Com que frequência monitoraremos e analisaremos os controles e a propriedade dos controles?
  • Estabelecemos a estratégia de resposta e os controles adequados em relação à nossa tolerância a riscos para tipos específicos de eventos?
  • Contabilizamos os sistemas e parcerias controlados por fornecedores externos com controles internos de propriedade e resposta?

Fase cinco da estrutura do ERM: otimize o risco

A otimização de riscos é a fase final. As ferramentas específicas de que você precisa para otimizar o risco variam de acordo com os recursos e os objetivos gerais. Consulte seus objetivos de ERM para escolher o conjunto de recursos de análise e a tecnologia de geração de relatórios de que você precisa. Elas não devem orientar o tipo de estrutura de ERM que você desenvolve. 

Monitorar e analisar o desempenho do programa ERM para criar um ciclo de feedback objetivo e orientado por dados. Esse ciclo iterativo flui por toda a empresa, em todos os níveis e em todas as direções, para otimizar o gerenciamento de riscos. Em seguida, use esses dados para identificar áreas de oportunidade para revisar e aprimorar o programa ERM.

Aproveite as auditorias de conformidade que correspondem às práticas recomendadas para seu setor e requisitos de governança. Crie um painel de relatórios de riscos baseado em funções para rastrear e gerar relatórios sobre objetivos estratégicos de riscos, métricas de controle e KPIs. As modernas plataformas de software de ERM oferecem painéis baseados em nuvem com inteligência de negócios integrada e recursos de relatórios fáceis de usar. 

Perguntas da quinta fase:

  • Nossos relatórios de monitoramento de riscos e painéis de controle de ERM permitem que a gerência se ajuste aos ambientes de risco em tempo real?
  • Incorporamos as práticas recomendadas de governança de TI e segurança cibernética para otimizar os riscos de segurança e determinar se a nossa infraestrutura de ERM está em conformidade com os padrões de segurança modernos e baseados em nuvem?
  • Nossa infraestrutura e operações de ERM capacitam o monitoramento contínuo de riscos, a geração de relatórios e a comunicação usando práticas de automação e integração contínua? 
  • Qual é a cadência ideal para revisar e modificar nossa estrutura de ERM, com base na análise de nossa resposta a riscos e do ambiente geral de riscos? 
  • Nossa estrutura personalizada fortalece a conscientização e a transparência dos riscos e elimina os silos de riscos?

Ferramentas para o desenvolvimento de componentes personalizados da estrutura ERM

A criação de uma estrutura personalizada de ERM envolve o aproveitamento das melhores práticas, ferramentas e estratégias comprovadas de gerenciamento de riscos. Incorporar as seguintes ferramentas de gerenciamento de riscos para desenvolver componentes personalizados da estrutura de ERM que atendam às necessidades da empresa e do cliente:

  • Declarações de apetite ao risco (RAS): essa documentação define as principais considerações de risco para resposta e mitigação de riscos de forma agregada, com base nos objetivos da empresa e no perfil geral de risco. 
  • Modelos de tolerância ao risco: sua estrutura personalizada de ERM deve descrever o nível em que a empresa pode identificar, controlar e responder com segurança a ameaças e oportunidades. Para obter modelos de avaliação de risco que podem ser baixados gratuitamente, consulte Modelos e amostras de formulários de avaliação de risco gratuitos.
  • Painéis de relatórios de riscos: as plataformas de gerenciamento de riscos têm painéis de relatórios de riscos. Projete painéis baseados em funções com base nos membros e nas responsabilidades do comitê diretor de ERM. Use painéis de controle de ERM para monitorar os principais indicadores de risco. Para saber mais sobre os recursos e as vantagens do software de gerenciamento de riscos, leia Como escolher o software de gerenciamento de riscos certo.
  • Análise de dados de risco e KPIs: use os principais indicadores e métricas de risco para monitorar e determinar os limites de risco e a responsabilidade. Os painéis de ERM são ferramentas para monitorar e relatar métricas de risco e KPIs. 
  • Auditorias internas de conformidade: aproveite as RCSAs de cada unidade de negócios para avaliar a eficácia dos controles internos e medir os padrões de conformidade. Para saber mais sobre auditorias de conformidade, consulte Introdução à auditoria de conformidade: tipos, regulamentos e processos .
  • Modelos de risco estocásticos: delineie o risco usando essa forma popular de modelagem financeira para determinar as previsões de risco. O método também identifica a probabilidade de ameaças incertas e oportunidades de risco ocorrerem aleatoriamente. 
  • Modelos de planos de gerenciamento de riscos: um plano de gerenciamento de riscos é um esquema dentro de sua estrutura de ERM que ajuda a especificar sua abordagem de ERM. Use modelos de planos de gerenciamento de riscos, como registros de riscos e uma matriz de avaliação de riscos, para criar uma estrutura ERM personalizada. Para saber mais sobre planos de gerenciamento de riscos e encontrar modelos gratuitos para baixar, consulte Modelos gratuitos de planos de gerenciamento de riscos.

Modelo de matriz de avaliação de riscos

Matriz de avaliação de risco

Baixe a matriz de avaliação de risco

Microsoft Excel | Microsoft Word | Adobe PDF

Use este modelo de matriz de avaliação de risco para obter uma visão geral rápida da relação entre a probabilidade e a gravidade do risco. O esquema de cores simples do modelo distingue as diferentes classificações de risco.

Critérios personalizados da estrutura de ERM

James Lam descreve um conjunto de critérios padrão para seu modelo de ERM contínuo no livro Implementing Enterprise Risk Management. Ele combina os componentes de estruturas de gerenciamento estratégico bem conhecidas em uma estrutura de comunicação personalizável com os seguintes critérios:

  • Simples: Lam recomenda simplicidade ao determinar os princípios orientadores de ERM. Ele usa o exemplo de um roteiro, que é simples o suficiente para ser seguido, mas abrangente o bastante para garantir que você chegue ao local desejado. Mantenha seus componentes de estrutura em sete ou menos, a faixa ideal para a memória humana. 
  • Mutuamente exclusivo, coletivamente exaustivo (MECE): uma estrutura personalizada de ERM deve ser exclusiva para seus objetivos e recursos comerciais. Os componentes devem ser autônomos, sem sobreposição ou redundância. Dito isso, Lam recomenda que as peças sejam abrangentes o suficiente para cobrir todos os níveis de sua empresa e considerar todos os resultados. 
  • Equilibrada e integrada: a estrutura do ERM precisa se integrar a toda a organização empresarial e ao contexto do programa de gerenciamento de riscos. Lam usa o exemplo de um motor de automóvel para destacar seu argumento. A estrutura não deve enfatizar demais nenhum componente, mas deve permanecer equilibrada e em harmonia, assim como o motor e o volante de um veículo.
  • Flexível: as mudanças na dinâmica de um negócio em escala empresarial, bem como o ritmo acelerado da inovação tecnológica e das mudanças no setor, tornam vital que uma estrutura de ERM personalizada seja flexível. Lam sugere a criação de um modelo de estrutura que englobe as metas comerciais de longo prazo de sua organização e, ao mesmo tempo, leve em conta a natureza imprevisível de um risco.
  • Eficaz: Lam explica que a eficácia de uma estrutura depende de sua implementação. Meça a eficácia pela integração do gerenciamento de riscos ao processo de tomada de decisões e aos resultados comerciais da empresa. Para saber mais sobre a implementação de programas de ERM, consulte o Guia de implementação do gerenciamento de riscos corporativos.

Exemplos populares de estruturas de ERM por setor

Empresas de todos os tipos e tamanhos enfrentam riscos externos e internos, independentemente do setor. Entretanto, algumas estruturas de ERM são mais predominantes em setores específicos devido a leis de privacidade, transações financeiras, ambiente regulatório e requisitos de governança para tecnologia e infraestrutura.

Estruturas populares de ERM por setor

Este gráfico não é um conjunto de dados exaustivo. Em vez disso, ele destaca as estruturas e modelos populares de ERM discutidos neste artigo e os setores que os utilizam para criar programas personalizados de ERM.

Mockup Popular ERM Frameworks by Industry

Estrutura de gerenciamento de riscos corporativos para o setor de saúde

A Johnson & Johnson é uma das maiores empresas de saúde do mundo. A empresa criou uma estrutura ERM personalizada, orientada pela estrutura de ERM do COSO, para lidar com riscos específicos do setor de saúde, como a redução da vitalidade dos negócios devido à reforma do setor de saúde.

A estrutura de ERM da Johnson & Johnson consiste nos cinco componentes integrados a seguir:

  • Estratégia e objetivos: o comitê executivo estabelece metas estratégicas e metas financeiras que são transmitidas às unidades de negócios globais por meio da gerência sênior.
  • Desempenho: estabeleça respostas aos riscos com a liderança, use as funções de gerenciamento de riscos para implementar políticas e controles e desenvolva planos de ação. A empresa monitora o desempenho ao longo do ano usando avaliações de risco, varreduras e pesquisas. 
  • Análise e revisão: a equipe (independentemente da unidade de negócios que está analisando) testa, audita e avalia o desempenho da resposta ao risco. Eles informam as atividades de mitigação de riscos à liderança e analisam as métricas. 
  • Informações, comunicação e relatórios: a principal equipe de risco reúne-se com o conselho administrativo, o comitê executivo e os líderes de negócios para garantir a propriedade dos programas de ERM. Eles realizam treinamentos e trocam conhecimentos entre as unidades de negócios. Eles usam a intranet dos funcionários e a comunicação direta para disseminar informações. 
  • Governança e supervisão: o conselho administrativo supervisiona os riscos e se reúne regularmente com a liderança. O comitê executivo estabelece metas estratégicas e supervisiona as funções de risco dos setores de negócios. Vários comitês compartilham os riscos emergentes e as práticas padrão nas principais funções de risco, como a conformidade com a saúde.

Estrutura de gerenciamento de riscos corporativos para TI

A popularidade dos serviços gerenciados de TI, da tecnologia de software como serviço (SaaS) e da computação em nuvem criou uma nova dinâmica para a empresa digital. As violações de dados e a conformidade com a segurança de TI devem preocupar todas as organizações, independentemente do setor ou do tamanho. 

O COBIT da ISACA ajuda a orientar as decisões de informação e tecnologia que apoiam e sustentam os objetivos comerciais. O COBIT é abrangente e oferece uma estrutura de governança e gerenciamento para TI corporativa que agrega valor a todas as informações e à tomada de decisões tecnológicas. 

A estrutura COBIT ajuda a manter o equilíbrio entre a obtenção de benefícios, a otimização de riscos e o uso de recursos de TI. Ele consiste em um modelo de referência de processo, uma série de práticas de governança e gerenciamento e ferramentas para viabilizar a governança de uma organização.

O modelo ERM SOC 2 Tipo 2
O SOC 2 Tipo 2 é um modelo de conformidade e segurança de TI que garante que os fornecedores de TI e SaaS (ou qualquer fornecedor de tecnologia “como serviço”) gerenciem os dados com segurança. Esse conjunto de critérios, composto por cinco princípios, foi desenvolvido pelo American Institute of CPAs (AICPA). Esses princípios incluem segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.

Estruturas de segurança cibernética responsivas

Sean Cordero viu os padrões do setor e os órgãos de certificação surgirem para atender à demanda por um gerenciamento de riscos menos prescritivo e mais flexível. Ele ajuda a liderar a equipe de pesquisa principal para o desenvolvimento de controle de risco com a Cloud Security Alliance (CSA), uma autoridade líder em segurança na nuvem. 

“Quando você faz esse tipo de pesquisa, você o faz porque quer fazer a diferença”, diz ele. “Torna-se extremamente complexo começar a fazer mudanças em escala quando você começa a falar sobre padrões abrangentes que passam por vários órgãos de certificação, onde eles têm um programa de atestado e validação de terceiros.”

De acordo com Cordero, o processo de certificação impede a entrada no mercado com um MVP ou uma solicitação de recurso de software.

A combinação de padrões defasados sem atualizações frequentes, processos de segurança em constante mudança e tecnologia e ferramentas de segurança desatualizadas (por exemplo, scanners de vulnerabilidade) cria questões que as estruturas de ERM mais ágeis podem ser capazes de resolver. 

Estruturas de TI flexíveis
“Estamos em um ponto de inflexão interessante no setor de segurança”, diz Cordero. “Isso é uma falha de padrões ou uma falha de tecnologia, ou ambos? Devido à inflexibilidade de determinadas estruturas de risco ou de controle e à tecnologia existente sobreposta a ambas, é quase impossível aplicar a maioria dos padrões de controle existentes.”  

Cordero sabe em primeira mão que há um movimento nas estruturas de gerenciamento de risco e controle de segurança para que sejam menos prescritivas e forneçam mais orientações de implementação por meio de seu trabalho de pesquisa com a Cloud Security Alliance.

“Não estamos mais dizendo: ‘Você precisa fazer essas 15 coisas ou não atenderá a esse requisito’”, explica ele. “Em vez disso, estamos dizendo: ‘Você deve usar criptografia validada pelo setor para informações comerciais e confidenciais dos clientes’. Não estamos definindo “sensível aos negócios”. Isso cabe a você decidir.” 

Cordero também destaca que os padrões de controle ainda são valiosos. Dito isso, aqueles que simplesmente são incorporados às estruturas existentes não são sustentáveis em um mundo que prioriza a nuvem, pois foram criados para um mundo diferente e uma abordagem diferente.

Com relação às estruturas de ERM e à abordagem de gerenciamento de riscos do setor como um todo, Cordero acredita que uma das coisas que sempre foi um problema é a ideia de personalizar uma estrutura ou um controle. 

“Em última análise, é apenas uma etapa inicial do processo de gerenciamento de riscos”, diz ele. “A estrutura pode fornecer validação ou insight em termos de tempo, dinheiro e recursos gastos. Eu aconselharia as empresas a pensar no fato de que podem enlouquecer ao tentar usar uma estrutura de controle e descobrir como implementar tudo isso.”

Estrutura de ERM para cooperativas de crédito, bancos e instituições financeiras

O gerenciamento de riscos é uma parte essencial da administração de uma cooperativa de crédito em escala empresarial. A seção 704.21 das normas e regulamentos da National Credit Union Administration (NCUA) exige que as cooperativas de crédito desenvolvam e sigam uma política (ERM).

As estruturas de ERM, como o COSO, permitem uma visão holística dos riscos empresariais para que as instituições financeiras e as cooperativas de crédito meçam e analisem os riscos que afetam várias funções. Uma estrutura de ERM bem projetada fornece ao conselho administrativo e à alta gerência um processo para determinar o seguinte:

  • A quantidade de exposição ao risco
  • Os níveis máximos de apetite ao risco
  • Como as exposições ao risco mudam e os controles de risco adequados para gerenciar as mudanças

Estrutura de ERM do Barclays

A estrutura do COSO ERM foi adaptada por instituições financeiras empresariais proeminentes, como o Barclays, um banco internacional, e personalizada para aproveitar os componentes do ERM que geram valor comercial e atendem aos padrões de conformidade regulamentar. O Barclays usa sua estrutura ERM para gerenciar os seguintes tipos de risco:

Mockup The Barclays ERM Framework Risk Types

O Comitê de Riscos do Conselho do Barclays é um grupo de diretores não executivos que emite um relatório anual com base na estrutura de ERM do Barclays, nos códigos de governança financeira e nas orientações de divulgação e regras de transparência dos órgãos reguladores financeiros em que atuam. O comitê é responsável por recomendar o apetite de risco ao conselho, monitorar o perfil de risco financeiro, operacional e legal do Barclays e fornecer informações sobre ameaças e oportunidades financeiras e operacionais.

A estrutura de ERM jurídico da Deloitte

Em 2018, o conglomerado internacional de consultoria Deloitte criou uma estrutura de gerenciamento de riscos jurídicos. A estrutura de ERM jurídica da Deloitte foi desenvolvida em resposta às crescentes expectativas de gerenciamento de riscos. A estrutura oferece à Deloitte uma vantagem competitiva porque controla os riscos legais em todas as operações da empresa.

A estrutura de ERM jurídico da Deloitte tem os quatro componentes a seguir: 

  • Identifique: defina o risco legal, compreenda o universo do risco legal e garanta a propriedade do risco legal entre as unidades funcionais de negócios, como a conformidade. 
  • Avalie: estabeleça o limite do apetite de risco legal, defina-o e incorpore um processo de avaliação de risco legal para determinar a exposição ao risco em relação a um conjunto de fatores legais. 
  • Controle: incorpore uma estrutura de controle baseada no apetite de risco legal e crie controles baseados em tecnologia para controle de risco legal.
  • Monitore e relate: use uma metodologia definida para avaliar a eficácia dos controles de risco legal, relatar os perfis de risco legal e controlar o sucesso do ambiente para as partes interessadas designadas.
Mockup Deloitte Legal ERM Framework

Estrutura de gerenciamento de riscos corporativos para companhias de seguros

O setor de seguros ainda está começando a adotar estruturas abrangentes de ERM que fazem mais do que atender aos padrões de conformidade. A maioria das seguradoras usa uma política de avaliação interna de risco e solvência (ORSA) para atender aos regulamentos e requisitos de governança dos EUA. 

A ORSA ajuda as seguradoras a avaliar as capacidades de gerenciamento de risco e a avaliar o risco de mercado, o risco de crédito e de subscrição, o risco de liquidez e o risco operacional. No entanto, a ORSA limita-se a um programa de gerenciamento de riscos em estágio inicial para conformidade com as normas, em comparação com estruturas ERM abrangentes, como as estruturas CAS e COSO ERM. 

Essas estruturas oferecem estratégias e ferramentas sistemáticas de otimização de risco-retorno que se alinham aos objetivos comerciais e agregam valor para a seguradora e seus clientes. As seguradoras que adotam as estruturas de ERM, como o COSO, criam modelos abrangentes de capital de risco que apoiam o gerenciamento de riscos como uma estratégia comercial valiosa. 

Modelo ERM para seguradoras
Os modelos de capital de risco medem a quantidade de capital que uma organização precisa para atingir os objetivos comerciais, considerando seu perfil de risco. Você pode usá-los para desenvolver estratégias de risco e comparar avaliações internas de risco. Eles também podem avaliar as agências e os requisitos regulatórios de capital de risco para determinar os perfis de risco.

Muitas organizações de seguros dependem de algum tipo de modelo de capital de risco como forma de ERM. A modelagem de riscos ajuda a definir os riscos por meio da coleta e da análise de dados que fornecem insights sobre as interações entre os riscos e os objetivos comerciais. Os modelos de capital de risco ajudam a fornecer uma estrutura para apoiar o perfil de risco e o apetite de risco de uma organização de seguros, além de ajudar a estabelecer uma cultura de risco.

Estrutura integrada de ERM para organizações governamentais

Os órgãos federais dos EUA e seus líderes são responsáveis por gerenciar missões de escala empresarial que afetam vários setores. As estruturas de ERM, como a certificação do modelo de maturidade em segurança cibernética (CMMC) e o FedRamp, ajudam os órgãos governamentais a avaliar os riscos e identificar ameaças e oportunidades por meio de programas de ERM que se alinham às metas e aos objetivos do órgão. 

O modelo de maturidade CMMC ERM
O CMMC é uma estrutura de risco de segurança cibernética mais recente, desenvolvida pelo Subsecretário de Defesa para Aquisição e Manutenção, pelo DoD e por outras partes interessadas para medir a maturidade da segurança cibernética de órgãos governamentais e organizações do setor que fazem negócios com o governo federal. O modelo fornece processos de maturidade, práticas recomendadas de segurança cibernética e insumos da comunidade de segurança e de várias estruturas e modelos do setor de segurança. 

A estrutura CMMC usa os cinco níveis de processos e práticas a seguir para medir a maturidade da segurança cibernética:

  • Nível um do CMMC:
    • Processos: realizados
    • Práticas: higiene cibernética básica
  • Nível dois do CMMC:
    • Processos: documentados
    • Práticas: higiene cibernética intermediária
  • Nível três do CMMC:
    • Processos: gerenciados
    • Práticas: boa higiene cibernética
  • Nível quatro do CMMC:
    • Processos: revisados
    • Práticas: proativas
  • Nível cinco do CMMC:
    • Processos: otimizados
    • Práticas: proatividade avançada

O programa FedRAMP
O Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) oferece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços de computação em nuvem. O FedRAMP enfatiza a segurança da nuvem e a proteção das informações federais quando as agências e os parceiros corporativos adotam soluções de nuvem. 

O programa oferece suporte aos provedores de serviços em nuvem com um processo de autorização e mantém um repositório de autorizações FedRAMP e pacotes de segurança reutilizáveis. O objetivo é facilitar a colaboração entre órgãos governamentais com casos de uso, soluções táticas baseadas em nuvem e um mercado de contratados.

Técnicas de aplicação da estrutura integrada de ERM

A Refactr trabalha com o DoD e com agências governamentais que exigem estruturas rígidas de gerenciamento de riscos e práticas de governança. Michael Fraser identifica como a aplicação da estrutura ERM da Refactr e os programas de segurança mapeiam as parcerias com o DoD e clientes de empresas privadas. 

“De certa forma, o DoD é mais rigoroso, mas, dependendo do tipo de cliente, como uma empresa financeira, eles podem ter requisitos que se equiparam a alguns dos requisitos do DoD”, explica Fraser. “Diferentes organizações governamentais reconhecem diferentes estruturas de ERM, incluindo NIST e COSO. As estruturas personalizadas também podem satisfazer seus padrões de conformidade de risco. 

“Seja a Força Aérea ou um fornecedor de segurança cibernética, há um conjunto de requisitos que você deve ser capaz de fornecer, com as informações que eles entendem, para verificar se você usa algum tipo de estrutura de risco. Um fornecedor de segurança cibernética provavelmente trabalha com várias estruturas diferentes. O segredo é ter informações suficientes para transmitir a devida diligência para um programa de segurança e, ao mesmo tempo, tentar obedecer às práticas recomendadas do setor que mapeiam uma estrutura específica.”

Modelos de gerenciamento contínuo de riscos
De acordo com Fraser, há momentos durante as auditorias que usam estruturas de conformidade (como FedRAMP e SOC 2 Tipo 2) em que tudo se baseia na integridade. 

“É aí que entra a automação”, diz Fraser. “Para ajudar a atingir um determinado limite de cobertura automatizada para uma estrutura específica. Esse é um processo de due diligence suficiente e contínuo, mesmo que sempre haja algumas etapas manuais dentro da estrutura de conformidade.”

Para Fraser, há uma diferença entre tentar marcar todas as caixas de uma auditoria de conformidade e ter uma determinada porcentagem de cobertura de automação contínua em sua estrutura de segurança e gerenciamento de riscos.

Fraser destaca a importância da flexibilidade e de uma perspectiva que prioriza o cliente. Pergunte a si mesmo: Você opta por um padrão árduo como o FedRAMP, porque ele oferece os mais altos padrões de conformidade para uma auditoria, ou o SOC 2 Tipo 2 é suficiente? Os clientes dizem: “Bem, você está em conformidade com o FedRAMP, legal”, diz ele. “Estou disposto a trabalhar com você, mesmo que você não tenha o SOC 2 Tipo 2, porque o FedRAMP é mais árduo, um padrão mais alto.”

Fraser recomenda que as empresas reutilizem uma porcentagem de sua estrutura personalizada de ERM para futuras necessidades internas e critérios dos clientes. “Saber o que você precisa a longo prazo é fundamental para que você saiba o que precisa nos próximos 30, 90 ou 180 dias”, diz ele.

Acompanhe e gerencie facilmente os componentes da estrutura de ERM com Smartsheet

Capacite seu pessoal para ir além com uma plataforma flexível desenvolvida para atender às necessidades da sua equipe e se adaptar conforme essas necessidades mudam. Com a plataforma Smartsheet fica fácil planejar, coletar informações, gerenciar e criar relatórios sobre o trabalho de qualquer lugar, ajudando sua equipe a ser mais eficiente e mostrar resultados. Crie relatórios sobre as principais métricas e obtenha visibilidade do trabalho em tempo real, à medida que ele acontece, através de relatórios, painéis e fluxos de trabalho automatizados criados para manter sua equipe conectada e informada. Quando as equipes têm clareza sobre o trabalho que está sendo realizado, elas podem ser muito mais produtivas durante o mesmo período de tempo. Experimente o Smartsheet gratuitamente hoje mesmo.

Descubra por que mais de 90% das empresas da Fortune 100 confiam no Smartsheet para realizarem seu trabalho.

Obtenha modelos gratuitos do Smartsheet Get a Free Smartsheet Demo