O software de gestão de riscos empresariais (ERM) ajuda as organizações a identificar os riscos nos sistemas de informação e nas tecnologias críticas, para que a organização possa fazer planos para lidar com esses riscos, documentar a resposta quando algo acontece e melhorar o processo de resposta.
Para tal, o software ERM tem de ser capaz de executar várias tarefas críticas. Aqui estão 7 coisas que o teu software ERM deve fazer.
1. Gestão da função de auditoria
O teu ERM tem de tratar de todas as tuas funções de auditoria num único local. Isto inclui várias partes:
- Planeamento de auditorias: Quando foi a tua última auditoria? Para quando está prevista a próxima? Qual é a prioridade e o objetivo da auditoria?
- Execução de auditorias: Deves ser capaz de gerir e realizar o trabalho de campo das auditorias num único local. Deves também ser capaz de acompanhar o programa de auditoria individual e global e associar os riscos relacionados e os respectivos controlos a cada auditoria.
- Constatações de auditoria: O teu ERM deve conter e ser capaz de apresentar todos os dados de relatórios de auditorias, juntamente com as acções recomendadas após cada auditoria. Além disso, deves ser capaz de atribuir e acompanhar as acções tomadas.
Em suma, o teu ERM deve permitir-te conter e gerir todas as tuas funções de auditoria sob um único guarda-chuva.
2. Completa a avaliação e a gestão dos riscos
Essencialmente, o teu ERM é a tua casa para todas as coisas relacionadas com a avaliação e gestão do risco, tudo desde a determinação dos riscos aceitáveis e das operações dentro dos mesmos até à governação do risco.
O primeiro passo é identificar e controlar os riscos, mantendo ao mesmo tempo todos os dados num formato auditável (ver o ponto acima). Uma vez identificados os riscos, podes geri-los e monitorizá-los através do teu software ERM. Quando ocorre um evento, podes documentar a sequência de eventos e a resposta ao mesmo.
Tudo isto funciona em conjunto para o ajudar a criar relatórios que permitem decisões de gestão de riscos baseadas em dados, permitindo mais uma vez que esses riscos sejam avaliados e auditados.
3. Preparação para a conformidade
A conformidade contém dois elementos diferentes: conformidade interna e externa. A conformidade interna inclui as tuas próprias políticas, procedimentos e normas a que obrigas os teus funcionários e que esperas que eles cumpram. Isto minimiza tanto o risco interno como o risco de auditores externos ou eventos que possam resultar em litígio.
Claro que, muitas vezes, uma das razões para a existência de normas e políticas internas é o cumprimento de regulamentos externos. O teu ERM contém ambos: as políticas internas que tens em vigor e os relatórios de que necessitas para mostrar aos reguladores externos os passos que tomaste para a conformidade.
Os dois trabalham em conjunto para reduzir o risco e a responsabilidade. Também reduzem o risco financeiro envolvido com o não cumprimento dos requisitos legais estabelecidos por agências ou organizações externas.
O teu ERM trata de auditorias, avaliações de risco, conformidade e muito mais.
4. Governação
Quando se trata de gerir o risco, os seus conselhos e comités de risco precisam de duas coisas: dados e análise desses dados. O teu ERM recolhe dados constantemente e deve mantê-los sempre prontos para o conselho e para os relatórios. Isto poupa tempo e dinheiro, e cria eficiência na governação.
5. Segurança da informação
Quando se trata de segurança da informação, há normas que têm de ser cumpridas, incluindo as normas ISO, mas também a conformidade com regulamentos de privacidade como o RGPD, a Lei de Proteção da Privacidade do Consumidor da Califórnia e a recente legislação promulgada na Carolina do Norte. A maioria do pessoal de segurança de TI considera que a regulamentação federal não está muito longe.
O teu ERM ajuda na gestão da reputação, evitando o embaraço e a má publicidade de uma violação de dados, mas também as potenciais penalizações financeiras que lhe estão associadas. Manter os dados dos teus consumidores e clientes seguros é uma das tuas maiores prioridades de gestão de riscos.
6. SOX
Desde a Lei SARBANES-OXLEY de 2002, a SOX tem sido uma parte integrante da gestão do risco financeiro. É importante que mantenhas um certo nível de transparência no que diz respeito à tua contabilidade. O teu ERM deve incluir o acompanhamento do progresso das provas SOX e dos testes de controlo.
Também deve incluir um fluxo de trabalho personalizável e pontos de verificação de aprovação para controlos e programas. Qualquer movimento no IM relevante para o risco resulta num alerta que permite à sua equipa tomar medidas para manter o perfil de risco dentro dos limites que definiu.
7. Continuidade das actividades e resiliência operacional
Para cumprir os requisitos da ISO 22301e da PS 21/3 e manter a sua empresa a funcionar corretamente e com riscos reduzidos, a sua ERM deve ter um plano de continuidade da atividade (BCP) e uma componente de resiliência operacional. A chave é identificar os principais produtos e serviços que precisas de proteger. Terás de determinar quais deles se qualificam como Serviços Empresariais Importantes (IBS) de uma perspetiva regulamentar, e os critérios de avaliação devem ser integrados no teu ERM.
As principais métricas, como o Período Máximo Tolerável de Perturbação (MTPD) e o Objetivo Mínimo de Continuidade do Negócio (MBCO), também estão incluídas na sua ERM, e os dados fornecidos permitem-lhe identificar e avaliar os riscos que ameaçam a disponibilidade dos recursos de que o seu negócio necessita.
O teu ERM deve também permitir a autoavaliação de todos os componentes da tua estrutura de resiliência operacional para consideração pelo órgão diretivo da tua organização.
O teu ERM faz muito por ti e pela tua empresa, e quanto mais automatizado for, maior será o seu poder de proteger a tua empresa e de a manter a funcionar sem problemas e no lado certo dos regulamentos, requisitos e riscos. É uma ferramenta essencial no teu conjunto de gestão de riscos.
