ORM vs. ERM | Quais são as diferenças fundamentais?

Qual é a diferença entre gestão de risco operacional e gestão de risco empresarial?

Na realidade, a gestão de risco operacional (ORM) é apenas uma pequena parte de uma estrutura de gestão de risco empresarial (ERM) verdadeiramente holística. Neste blogue, exploramos as diferenças fundamentais entre a gestão de risco operacional e a gestão de risco empresarial. Examinamos o forte contraste entre as áreas de foco de cada programa, explicamos como os principais objetivos e partes interessadas diferem e exploramos os benefícios adicionais que um programa ERM pode trazer ao alinhar as atividades de gestão de risco com os objetivos estratégicos e o desempenho empresarial.

Uma diferença nas principais áreas de foco

O ORM concentra-se especificamente na gestão de riscos relacionados com as operações diárias dentro da organização. Isto inclui os riscos operacionais associados a processos, sistemas, pessoas e fatores externos que podem afetar o modelo operacional da organização.

O ERM, por outro lado, tem um âmbito muito mais amplo, com foco na identificação e gestão de riscos em toda a organização, incluindo riscos estratégicos, financeiros, operacionais, de TI e cibernéticos, de terceiros e relacionados com a conformidade. O ERM tem um forte foco na gestão de risco em linha com os objetivos estratégicos e o desempenho empresarial, permitindo que as empresas assumam certos riscos para atingir os seus objetivos a longo prazo e evitem riscos que possam ter um impacto prejudicial no desempenho operacional.

Objetivos diferentes

O objetivo do ORM é identificar, avaliar e mitigar os riscos que possam interromper ou impactar negativamente as operações diárias da organização. Concentra-se em minimizar a probabilidade e o impacto de falhas operacionais, como quebras de processos, falhas de tecnologia, erro humano ou eventos externos.

O principal objetivo do ERM é garantir que a organização atinja os seus objetivos estratégicos, ao mesmo tempo que gere eficazmente os riscos. O ERM visa fornecer uma estrutura abrangente para identificar, avaliar, priorizar e gerir diferentes tipos de risco em toda a empresa. Com este âmbito mais amplo de objetivos, o ERM precisa de uma abordagem mais integrada com um mapeamento de dados significativo para permitir que uma organização compreenda o impacto do risco nos objetivos estratégicos e no desempenho empresarial. As equipas de risco e os membros do conselho de administração usariam então os dados consolidados do ERM para apoiar a tomada de decisões estratégicas, permitindo-lhes assumir riscos em áreas onde a recompensa supera o risco.

Diferente envolvimento das partes interessadas

Como o ORM lida com riscos puramente operacionais relacionados com pessoas, sistemas e procedimentos, as partes interessadas tendem a incluir gestores operacionais, proprietários de processos e funcionários da linha da frente que estão diretamente envolvidos na identificação e gestão de riscos operacionais dentro das suas áreas específicas de responsabilidade. As equipas de risco provavelmente serão proprietárias do processo e farão os relatórios e partilharão os resultados com as equipas de gestão sénior.

Embora o ERM ainda seja normalmente impulsionado pela equipa de risco, requer um maior envolvimento da gestão sénior e do conselho de administração na definição do apetite pelo risco, na marcação de decisões estratégicas de risco e na obtenção de supervisão da exposição geral ao risco de uma organização. O ERM considera os interesses de todas as partes interessadas, incluindo acionistas, clientes, funcionários, reguladores e outras partes externas.

É claro que o ORM ainda é um aspeto do ERM, e os mesmos gestores operacionais, proprietários de processos e funcionários da linha da frente ainda introduzirão dados nos aspetos operacionais do programa ERM, mas o ERM holístico inclui muito mais equipas, departamentos e indivíduos de toda a organização. As equipas de TI estarão envolvidas no aspeto do risco cibernético e de TI, aqueles que lidam com fornecedores, vendedores e prestadores de serviços serão obrigados a alimentar a estrutura de gestão de risco de terceiros. A equipa de conformidade e os funcionários operacionais estarão envolvidos para garantir a conformidade com as políticas, procedimentos e regulamentos e os funcionários de todos os níveis estarão envolvidos no registo de incidentes, perigos e quase acidentes, para entender a exposição ao risco.

O ERM requer um envolvimento muito maior do conselho de administração e da equipa de liderança sénior do que os programas tradicionais de gestão de risco operacional. O conselho de administração estará envolvido na definição dos objetivos e planos estratégicos das organizações e no seu escalonamento em todo o negócio para garantir a conclusão. Como parte do seu plano estratégico, eles vão querer capturar e gerir os riscos estratégicos, e vão querer a autoridade para permitir certos riscos se o resultado provável apoiar os seus planos estratégicos e superar o risco. Mapear o risco para o planeamento estratégico através de um programa ERM eficaz é essencial para que os líderes tenham visibilidade de como o risco irá impactar o desempenho e a estratégia para tomar decisões estratégicas importantes sobre a tomada de risco, o orçamento e o planeamento de recursos.

Diferentes níveis de integração necessários

O ORM é frequentemente um subconjunto do ERM e está integrado nos processos operacionais da organização e concentra-se especificamente nos riscos operacionais e nas suas estratégias de mitigação.

O ERM, por outro lado, fornece a estrutura abrangente para gerir outros tipos de riscos, além do risco operacional, incluindo riscos de TI e cibernéticos, de terceiros, estratégicos e relacionados com a conformidade.

O ERM integra a gestão de risco nos processos gerais de planeamento estratégico e tomada de decisão da organização. Considera as interdependências entre diferentes tipos de riscos e o seu impacto potencial na capacidade da organização para atingir os seus objetivos. O ERM também considera o impacto do risco no desempenho operacional, permitindo que a organização assuma riscos para melhorar o desempenho e evitar aqueles riscos que terão um impacto negativo no desempenho.

Diferentes capacidades de software

Embora os programas ERM e ORM sejam melhor geridos usando software GRC, os programas ERM exigem que a plataforma ofereça uma funcionalidade mais complexa.

Os programas ORM exigem que a plataforma GRC ofereça capacidades tradicionais de risco operacional. Estas incluem a capacidade de criar um registo de risco operacional, implementar avaliações de risco online, construir registos de controlo e realizar verificações de controlo e implementar fluxos de trabalho de mitigação de risco para reduzir o risco. Eles também oferecerão uma variedade de relatórios que permitem que as equipas de risco resumam a exposição ao risco e orientem o negócio sobre o melhor curso de ação. As plataformas GRC configuradas para ORM também oferecerão uma variedade de painéis personalizados, permitindo que cada utilizador obtenha um resumo das ações e tarefas e um resumo do risco na sua área específica.

As plataformas GRC que oferecem capacidades ERM tendem a oferecer uma variedade mais ampla de requisitos. Estas plataformas permitirão que as empresas configurem vários registos de risco com diferentes categorias e tipos. As organizações poderão construir uma variedade de diferentes formulários de avaliação de risco com base nos diferentes tipos de risco que estão a ser avaliados. As plataformas ERM ainda permitirão que as empresas construam uma biblioteca de controlo, realizem verificações de controlo e implementem estratégias de mitigação de risco, mas também oferecerão funcionalidades adicionais.

As equipas poderão configurar um programa de gestão de risco de terceiros de melhores práticas para gerir o risco do fornecedor. Podem construir uma biblioteca de fornecedores capturando detalhes críticos sobre cada fornecedor e realizar benchmarking e score-carding e monitorizar o desempenho em relação a KPIs e SLAs. As plataformas ERM geralmente fornecem um portal de fornecedores online, permitindo que os fornecedores concluam avaliações de risco de terceiros online.

As plataformas ERM também permitem que as empresas geram o risco cibernético e de TI, construindo um registo de risco cibernético, realizando avaliações de risco cibernético, monitorizando a conformidade com as políticas de TI e os regulamentos de privacidade de dados, gerindo incidentes relacionados com TI e monitorizando o uso de ativos de TI.

Mas a principal diferença entre as capacidades da plataforma ORM e os requisitos para uma plataforma ERM é a integração entre a gestão de risco, o desempenho empresarial e os objetivos estratégicos. As plataformas ERM permitem que as empresas planeiem e entreguem a sua estratégia, entendam o impacto do risco nos seus objetivos estratégicos e geram o risco estratégico. As plataformas ERM também permitem que as empresas entendam o impacto do risco no desempenho operacional e geralmente oferecem integrações de API com outros sistemas e fontes de dados, puxando dados de desempenho empresarial para dentro e para fora da plataforma para construir uma imagem clara de como o risco está a afetar o desempenho empresarial.

O apetite pelo risco também desempenha um grande papel em qualquer programa ERM. O Conselho de Administração trabalhará com a equipa de risco para definir o apetite pelo risco e estabelecer a quantidade de risco que estão dispostos a assumir na prossecução dos seus objetivos estratégicos. É da responsabilidade da equipa de risco, em conjunto com o resto da organização, garantir que o negócio opera dentro desses níveis acordados, monitorizando o risco e garantindo que os controlos são eficazes.

É claro que, integrar o risco com o desempenho empresarial e os objetivos estratégicos também traz uma riqueza de resultados de relatórios para ajudar as organizações a entender o impacto do risco no desempenho empresarial e nas iniciativas estratégicas. Estes dados apoiarão as equipas de liderança a saber quais os riscos a assumir e onde alocar o orçamento e os recursos vitais para reduzir o risco.

Por onde começo a minha jornada do ORM para o ERM?

Se a sua organização tem um programa de gestão de risco operacional em vigor, mas gostaria de dar um passo adiante para um programa ERM totalmente integrado, aqui estão alguns fatores importantes a considerar.

Em primeiro lugar, certifique-se de que está a usar uma plataforma GRC de melhores práticas que oferece capacidades ERM suficientes para as suas necessidades atuais e futuras. Isto inclui:

• Capacidades de planeamento estratégico e definição de objetivos empresariais.
• Integrações de API para mapear o risco para o desempenho operacional.
• Capacidades de risco e conformidade de TI e cibernéticas.
• Gestão de riscos de terceiros.
• Painéis de controlo ERM.
• Funcionalidade de apetite pelo risco.
• Gestão de incidentes, permitindo que a organização associe os incidentes aos riscos e controlos de origem.
• Registos de risco, categorias e tipos ilimitados.
• Relatórios e painéis de controlo de nível executivo para equipas de liderança, incluindo relatórios Power BI, mapas de calor e análise de gravata borboleta.
• Uma interface simples e intuitiva para permitir que funcionários de todos os níveis alimentem o programa ERM.

Certifique-se de que decide o âmbito e os principais requisitos do seu programa ERM antecipadamente e envolva uma variedade de partes interessadas, desde membros do conselho de administração e executivos que terão de orientar a estratégia e o apetite pelo risco até à gestão média e ao pessoal operacional que estará a concluir avaliações de risco, verificações de controlo e tarefas e ações estratégicas. Definir claramente como o pessoal usará a plataforma e quais os dados que precisarão de extrair antecipadamente garantirá uma implementação bem-sucedida.

Lembre-se de que uma plataforma ERM pode escalar e crescer com a sua organização à medida que os requisitos se expandem, por isso não se sinta pressionado a configurar todos os aspetos do ERM durante a implementação inicial de uma plataforma GRC. Escolha a funcionalidade que aborda os seus principais pontos problemáticos e adicione mais à medida que a solução fica mais incorporada nas suas operações.

Para obter mais informações sobre como a plataforma Riskonnect pode apoiar a sua organização a implementar um processo de gestão de risco de melhores práticas que atenda às suas necessidades, solicite uma demonstração.