Autoavaliação de risco e controle – desmistificando a metodologia

Sword GRC Blog

Autoavaliação de risco e controle - desmistificando a metodologia

Nenhuma estrutura de gerenciamento de risco operacional está completa sem a Autoavaliação de Risco e Controle (RCSA). Essa técnica de capacitação, utilizada por funcionários em todos os níveis e em uma ampla gama de organizações para identificar riscos e avaliar os controles associados e sua eficácia, foi desenvolvida em 1987. Hoje, ainda é considerada uma forma poderosa de fornecer garantia aos órgãos de governo e reguladores de que todos os objetivos serão alcançados. Uma série de benefícios ‘mais suaves’ também foram identificados: o pessoal obterá uma compreensão mais profunda das operações de negócios, maior consciência da gestão de risco operacional e estará mais bem equipado para conduzir um programa de governança mais rígido.

Artigo do Instituto de Risco (IOR), Controle de risco e autoavaliação detalha como os RCSAs ajudam as organizações a priorizar exposições a riscos, identificar pontos fracos e lacunas de controle e monitorar as ações tomadas para resolvê-los.

Parece que há uma linha tênue para alcançar o equilíbrio certo; um RCSA bem executado e implementado deve ajudar a incorporar a gestão do risco operacional em toda a empresa e melhorar a cultura geral de risco. Torne-o excessivamente complexo e a noção de que a gestão do risco operacional é burocrática e conduzida pela conformidade pode ser reforçada.

A orientação enfatiza que, embora ajude a avaliar as exposições ao risco operacional, os RCSAs também têm um papel a desempenhar em colocar o risco operacional na mesa e fazer as pessoas falarem sobre ele. O pensamento é que as organizações que discutem os riscos operacionais e a eficácia de seus controles associados estarão em melhor posição para lidar com ‘o que o futuro reserva’ – riscos novos e emergentes.

Sem dúvida, um RCSA eficaz ajudará a apoiar a governança corporativa e as atividades de conformidade. De acordo com o IOR, “os resultados de uma RCSA fornecem garantia ao órgão de administração e reguladores de que uma organização possui um sistema sólido de gestão de riscos operacionais. Da mesma forma, os RCSAs podem apoiar o trabalho dos auditores internos e externos, ajudando-os a priorizar a atenção da auditoria e estruturar as auditorias ”.

Outro benefício que vale a pena mencionar é a melhoria da eficiência do negócio. Fraquezas ou lacunas nos controles podem aumentar a probabilidade de falhas de sistema e processo e o impacto de eventos externos, todos aumentando os custos e a margem para interrupções. No outro extremo da escala, “um nível excessivo de controle pode desacelerar sistemas e processos desnecessariamente”.

Para ajudar as organizações a atingir o equilíbrio certo, o white paper ‘Autoavaliação de risco e controle’ apresenta informações detalhadas sobre como projetar e implementar um RCSA que melhor se adapte à escala e complexidade das atividades e também à cultura de risco de uma organização.

Dos fundamentos RCSA, até a integração da estrutura

Os destaques dos capítulos incluem:

  • RCSA Fundamentals

“Uma abordagem totalmente abrangente não é necessariamente a melhor, especialmente se resultar em sobrecarga de informações e exigir muito tempo e esforço para ser concluída. RCSAs só devem ser usados onde agregam valor. ”

  • Projetando um RCSA

“A maioria das organizações projetará RCSAs de cima para baixo e de baixo para cima. A vantagem de uma abordagem de cima para baixo é que os riscos de nível estratégico podem ser disseminados para baixo e alinhados aos riscos, controles e ações identificados em departamentos, divisões ou avaliações de funções. Isso pode ajudar a melhorar a governança de risco operacional e garantir que as prioridades locais e de toda a organização estejam alinhadas.

“A vantagem de uma avaliação de baixo para cima é que os gerentes locais podem se concentrar nos riscos e controles que são relevantes para sua área.”

  • Completando um RSCA – Abordagens e Técnicas

“Os questionários podem ser usados para coletar algumas ou todas as informações necessárias para um RCSA. Os questionários podem ser usados como substitutos para w workshop, para ajudar a economizar tempo e recursos. Eles são mais eficazes quando combinados com workshops … Isso deve reduzir a chance de que riscos ou controles sejam omitidos e ajudar a controlar preconceitos individuais ”.

  • Integrar um RCSA na Estrutura de Gerenciamento de Risco Operacional

Os resultados do RCSA são uma fonte valiosa de informações para o desenvolvimento de planos de ação para riscos operacionais. Esses planos podem incluir o aprimoramento da eficácia dos controles existentes, a remoção de controles obsoletos ou a introdução de novos controles para solucionar lacunas. As ações devem sempre ser justificadas com base no custo / benefício. ”

Em sua conclusão, o white paper reforça a mensagem de que os gerentes de risco operacional devem estar sempre cientes de que os RCSAs devem apoiar a tomada de decisões de negócios.

Se você tiver a tarefa de projetar e implementar RCSA em sua organização, ou simplesmente quiser obter uma melhor compreensão da técnica e dos benefícios comerciais que os RCSAs podem gerar, baixe sua cópia gratuita do ‘ Autoavaliação de risco e controle orientação agora.