Gestiunea riscurilor pentru întreprinderi (ERM) este procesul de planificare, organizare, conducere și control al activităților unei organizații, pentru a minimiza efectele riscului asupra capitalului și câștigurilor organizației. Include riscuri financiare, strategice și operaționale, pe lângă riscurile asociate cu pierderi accidentale. În ultimii ani, factorilor externi, au reprezentat un interes sporit din partea organizațiilor din cadrul ERM. Organismele de reglementare, au început să controleze politicile și procedurile de administrare a riscurilor iar drept urmare, consiliile de administrație, au fost nevoite să revizuiască și să raporteze cu privire la adecvarea proceselor de gestionare a riscurilor în organizațiile pe care le administrează. Organizațiile pot beneficia de schimbarea culturii corporative, de la o cultura care se concentrează pe respectarea obligațiilor de conformitate IT, la una care vizează reducerea riscurilor. Vizibilitatea, joacă un rol important în stabilirea acestui nou dialog. Reducerea riscului pentru întreprinderi și dezvoltarea unei limbi comune de gestionare a riscurilor necesită ca organizația să:
-Definească domeniul – identificarea și prioritizarea proceselor critice de afaceri și a riscurilor asociate acestora;
-Contureze harta riscurilor – să determine amenințările ce ar putea pune în pericol obiectivele afacerii sau strategia entităţii, să împărtășească aceste informații și să stabilească controale pentru a contracara aceste riscuri;
-Elaboreze un plan de acțiune – crearea unui plan de tratare a riscurilor pentru identificarea riscurilor inacceptabile și rezolvarea lacunelor de risc;
-Automatizeze- utilizarea inteligenței artificiale pentru a automatiza procesele manuale ineficiente;
-Monitorizeze și să măsoare – să stabilească valorile pentru a identifica deficiențele de control cheie. Să evalueze modul în care progresează programul de gestionare a riscului întreprinderii, cum variază de la politica și numărul de incidente de risc.
Peisajul dinamic al afacerilor de astăzi este plin de o multitudine de riscuri interne și externe, ceea ce face ca reducerea riscurilor să fie un element-cheie în stimularea creșterii afacerilor. Entitățile au nevoie de modalități simple și eficiente de a detecta, evalua și reduce riscurile, asigurându-se în același timp că programele de gestionare a riscurilor sunt implementate în întreaga organizație. Aplicația MetricStream Enterprise Risk Management permite o abordare structurată și sistematică a gestionării riscurilor organizaționale. Cu ajutorul unor metode și standarde uniforme de evaluare a riscurilor, aplicația oferă o înțelegere corectă a riscurilor din cadrul organizației și o vizibilitate clară în ceea ce privesc riscurile majore. Sunt posibile evaluări multidimensionale ale riscului bazate pe mai mulți parametri calitativi și cantitativi pentru a stabili profilul de risc al organizației. Programul afișează în timp real analize, hărți, rapoarte, tablouri de bord și diagrame.
Etapele procesului
Identificați și definiți obiectivele afacerii, procesele, produsele, riscurile, controalele și stabiliți și legaturile între acestea. Documentați și gestionați o gamă largă de riscuri aferente entităţii și detalii legate de acestea, cum ar fi descrierea, categoria, scorajul riscului utilizând o bibliotecă și un format cadru de risc .
Evaluarea și analiza riscurilor
Accesați instrumente avansate pentru planificarea, programarea, evaluarea riscurilor și, odată ce evaluările sunt complete, direcționați rezultatele pentru examinare și aprobare. Efectuați evaluarea cu ușurință având la dispoziție o interfață de utilizator simplă și intuitivă. In acest sens aveţi două abordări si anume, de sus în jos și de jos în sus. Realizați evaluări simple prin evaluarea unui risc sau evaluări avansate utilizând factori multipli de evaluare și scorajul riscurilor pentru a acoperi diferite tipuri de riscuri.
Adăugați noi riscuri si controale sau renunțați la unele riscurile si la unele controale în timpul efectuării unei astfel de evaluări. De asemenea, evaluați mediul de control pe baza mai multor factori. Definiți logica pentru ierarhizarea si scorajul riscurilor inerente și reziduale și analizați-le cu ajutorul hărții riscurilor. O hartă a riscurilor, cunoscută și sub denumirea de, ”risk heat map”este un instrument de vizualizare a datelor pentru comunicarea riscurilor specifice cu care se confruntă o organizație. O hartă a riscurilor ajută companiile să identifice și să acorde prioritate riscurilor asociate afacerii lor.
Scopul unei hărți de risc este de a îmbunătăți înțelegerea de către organizație a profilului său de risc și a apetitului, de a clarifica gândirea cu privire la natura și impactul riscurilor și de a îmbunătăți modelul organizației de evaluare a riscurilor. În întreprindere, o hartă a riscurilor este adesea prezentată ca o matrice bidimensională. De exemplu, probabilitatea ca un risc să apară poate fi reprezentat pe axa x, în timp ce impactul aceluiași risc este reprezentat pe axa y.
O hartă a riscurilor este considerată o componentă critică a managementului riscului întreprinderii, deoarece ajută la identificarea riscurilor care necesită o mai mare atenție. Riscurile identificate care intră în secțiunea de înaltă frecvență și de severitate ridicată pot fi apoi o prioritate pentru organizații. În cazul în care organizația este dispersată din punct de vedere geografic și anumite riscuri sunt asociate cu anumite zone geografice, riscurile ar putea fi ilustrate cu ”risk heat map”, folosind codarea pe culori a riscurilor (tehnica semaforului) fapt care oferă o imagine comprehensivă asupra intensităţii măsurilor de control ale riscurilor identificate. Profilul de risc oferă o imagine de ansamblu, cuprinzând evaluarea generală, documentată şi prioritizată a gamei de riscuri specifice cu care se confruntă entitatea. Profilul de risc se interpretează astfel: Riscurile care se situează în zona de culoare roşie au expunerea la risc şi deviaţia cea mai mare faţă de toleranţa la risc şi acestea reclamă, cu prioritate, iniţierea unor măsuri de control. Riscurile care se situează în zona de culoare galbenă au o expunere ce depăşeşte limita de toleranţă la risc, dar deviaţia de la aceasta este una moderată. Aceste riscuri pot fi tratate prin măsuri de control sau monitorizate, în funcţie de decizia conducerii entităţii publice. Riscurile care se situează în zona de culoare verde sunt cele caracterizate cu o expunere aflată sub limita de toleranţă la risc şi în această zonă se află riscurile asumate.
- Cum se realizează o hartă de risc – Identificarea riscurilor inerente este primul pas în crearea unei hărți de risc. Riscurile pot fi clasificate în general în categoria riscului strategic, a riscului de conformitate, a riscului operațional, a riscului financiar și a riscului de reputație, dar organizațiile ar trebui să vizeze să-și schimbe propriile liste luând în considerare factori specifici care le-ar putea afecta financiar. Odată ce riscurile au fost identificate, este necesar să se înțeleagă, ce fel de evenimente interne sau externe produc riscurile. Următorul pas în cartografierea riscurilor este evaluarea riscurilor: estimarea frecvenței/probabilității /incertitudinii, a impactului potențial (calitativ cât şi cantitativ) și a posibilelor procese de control pentru a contracara riscurile. Riscurile ar trebui apoi să fie prioritizate. Cele mai mari riscuri pot fi gestionate prin aplicarea unor procese de control care să contribuie la diminuarea potențialului lor de apariție (tipului de răspuns la risc pentru fiecare risc în parte -strategia adoptată). În acest sens se analizează dacă riscurile pot fi sau nu ţinute sub control. Pe măsură ce amenințările evoluează și se schimbă vulnerabilitățile, o hartă a riscurilor trebuie reevaluată periodic. De asemenea, organizațiile trebuie să-și revizuiască în mod regulat hărțile de riscuri, pentru a se asigura că riscurile cheie sunt gestionate eficient.
- De ce este important să aveți o hartă de risc – O hartă a riscurilor oferă o viziune cuprinzătoare asupra probabilității și impactului riscurilor unei organizații. Aceasta ajută organizația să îmbunătățească gestionarea riscurilor și implicit guvernanța, acordând prioritate eforturilor de gestionare a riscurilor. Această prioritizare a riscurilor permite organizației să concentreze timpul și banii asupra celor mai periculoase riscuri identificate într-o diagramă a hărții de risc.
Scopul evaluării riscurilor constă în: stabilirea unei ierarhii a riscurilor identificate şi funcţie de toleranţa la risc, stabilirea celor mai adecvate măsuri de tratare a riscurilor. O analiză de risc nu poate elimina complet riscul deciziei, dar poate oferi conducerii unei organizații capacitatea de a: decide dacă riscul este sau nu acceptabil; cunoaşte consecinţele deciziei atât cele pozitive, cât şi cele negative; reduce riscurile prin măsuri de control. Scorați riscurile in funcție de scenariile cele mai nefavorabile (maxime) sau scenariilor cele mai bune (minim). Folosiți rezultatele la nivelul organizației obiectivului, produsului sau procesului intrat in evaluare.
Control și design
Definiți controalele conform cadrelor standard de control COSO* și COBIT*, planurile și evaluările de testare a controlului și evaluați eficacitatea operațională și de proiectare a controalelor, chestionarele și sondajele în funcție de necesități. Analizați starea evaluării controlului și rezultatele, folosind tablouri de bord interactive.
Monitorizarea indicatorilor cheie
Măsurați și urmăriți indicatorii cheie pentru riscuri (KRIs), controalele (KCIs) și performanța (KPIs). Stabiliți praguri pentru a identifica amenințările potențiale și pentru a le diminua în avans. Trimiteți alerte și notificări cu privire la orice încălcare comisă de către personalul relevant.
Evaluările KRIs măsoară cât de riscantă este o activitate, iar indicatorii KPIs măsoară cât de eficientă este o activitate. KRIs reprezintă un avertisment timpuriu pentru a identifica orice eveniment potențial care ar putea dăuna continuității activității pe termen lung. În schimb, indicatorii KPIs se referă la activitățile anterioare și se realizează pe termen scurt. KRIs-urile se axează pe guvernanța, pe specialiștii în domeniul managementului și al riscurilor, KPIs-urile sunt axate pe specialiști în management și operațiuni. Indicatorii KPIs abordează problemele specifice la unitățile sau procesele comerciale; și KRIs-urile abordează problemele sistemice. Indicatorii cheie de control (KCIs) sunt utilizați pentru a defini controalele la nivelul întregii întreprinderi și pentru a monitoriza îndeplinirea obiectivelor stabilite. Managerii stabilesc mai întâi tipul de răspuns la risc (toleranța/acceptarea/asumarea riscurilor, monitorizarea riscurilor, evitarea riscurilor, transferarea riscurilor, tratarea riscurilor /gestionarea riscurilor ce presupune luarea unor măsuri de control pentru riscurile inerente care au o expunere mai mare decât limita de toleranță. Rolul KCIs este de a asigura că au fost furnizate răspunsuri și monitorizări adecvate la o situație de risc identificată de KRIs. Verificarea controlului este o componentă cheie a unui KCIs și include de obicei programe de audit, de asigurare a calității și de îmbunătățire.
Managementul problemelor și acțiunilor
Înregistrați constatările rezultate din evaluările riscurilor și testele de control. Recomandați planuri de acțiune, cum ar fi modificarea controlului sau definirea noilor controale ca parte a procesului de remediere a problemelor. Monitorizați stadiul acțiunilor implementate în fiecare etapă și urmăriți-le să se închidă.
Monitorizare și raportare
Accesați informațiile, în timp real, cu privire la programele de gestionare a riscurilor în cadrul organizației prin intermediul paginilor de destinație bazate pe roluri, cu tablouri de bord. Vizualizați riscurile în funcție de organizație, produs, proces sau categorie de risc. Se folosesc filtre utile și se urmărește mișcarea riscului de la inerent la risc rezidual, pe o hartă a riscului pe baza eficienței controalelor. Obțineți o vizualizare de ansamblu a programului dumneavoastră prin vizualizarea avansată a valorilor-cheie și personalizați-vă pagina de pornire pe baza nevoilor dumneavoastră specifice de analiză.
Vă invităm sa citiţi mai mult accesând următoarele link-uri:
Sursa :
https://www.metricstream.com/apps/enterprise-risk-management.htm
https://searchcio.techtarget.com/definition/enterprise-risk-management
https://searchcompliance.techtarget.com/definition/risk-map
*COBIT (Control Objectives for Information and Related Technologies) furnizează, un set de cele mai bune practici recomandate pentru procesul de guvernanță și control al sistemelor și tehnologiilor informaționale, cu esența alinierii IT, la business.
*COSO (Committee of Sponsoring Organizations of the Treadway Commission) definește controlul intern ca fiind un proces efectuat de Consiliul de administrație, conducere si intregul personal al entitații, menit sa furnizeze o asigurare rezonabila cu privire la indeplinirea obiectivelor organizației, avand in vedere:eficacitatea si eficienta operațiilor; realitatea rapoartelor financiare; conformitatea cu legile si cu reglementarile aplicabile. In 1992, Comisia Treadway din America (The committee of sponsoring organizations of the Treadway Commission -COSO) a elaborat un model integrat al controalelor interne prescurtat si COSO. Scopul acestui model este de a furniza conceptele de baza cu privire la stabilirea unui Sistem de Contoale Interne si determinarea eficacitatii acestuia. Comisia Treadway este o organizatie voluntara din sectorul privat dedicata furnizarii de suport managementului executiv, entitatilor pe aspecte critice ca: etica de business, controale interne, managementul riscului intreprinderii, frauda, si raportarile financiare.
