PT | ES | EN Acessar

GRC - Gestão de Riscos Corporativos

Segue a norma ISO 31000

O software t-Risk foi desenvolvido para apoiar os gestores de riscos de segurança corporativa em suas análises de riscos integrados e planejamento de segurança. É uma ferramenta analítica que auxilia na identificação, análise e avaliação de riscos. Ou seja, abrange todo o processo que ocorre entre a coleta de dados e o planejamento na gestão de riscos.

O software t-Risk usa um método desconstrutivo, pois transforma um problema grande e difícil em problemas pequenos. Ele o ajudará a encontrar soluções que harmonizem a segurança patrimonial com o desenvolvimento do negócio, agindo para diminuir as vulnerabilidades que afetam os fatores críticos de sucesso (FCS) e objetivos de sua organização ou empresa-cliente.

Clicando em um dos projetos, o usuário encontrará os menus dos grandes blocos de trabalho:

Clientes, Parâmetros, Avaliação de riscos e Configurações.

No bloco Clientes, são cadastrados os dados dos clientes e seus projetos. O sistema mostra o comparativo atualizado dos indicadores de desempenho.

No bloco Parâmetros, o usuário fornece informações sobre faturamento mensal, número de empregados, controles (recursos) existentes etc. Seguindo as instruções, o usuário define o perfil de risco da organização, os perfis dos avaliadores e o peso que cada um terá na atribuição de valores.

Esses dois blocos, Clientes e Parâmetros, reúnem os dados para o estabelecimento do contexto. Neles são informados, por exemplo, os Fatores Críticos de Sucesso do Sistema de Referência (empresa ou organização) e o perfil de tolerância ao risco, obtido junto ao cliente. Em etapa posterior, o sistema mostrará se os controles deixarão o Sistema de Referência (empresa ou organização) dentro do perfil de tolerância ao risco indicado pelo cliente.

O bloco Avaliação de riscos é dedicado a identificar, analisar e avaliar o estado do Sistema de Referência, em relação à segurança patrimonial, e definir os controles de segurança adequados. Preenchendo os dados, o usuário completará os seguintes módulos da avaliação: Nível de risco; Matriz Risco x Risco; Matriz Fatores críticos de sucesso; Controle existente x Controle necessário; Redução da perda esperada; Matriz SWOT; Plano de ação; e Relatório de conclusão.

Nível de risco

Nível de risco

O estabelecimento do nível de risco começa pelo método Mosler, que trata dos fatores envolvidos em determinado risco com o mínimo possível de subjetividade. O método Mosler parte de seis critérios, aos quais são atribuídos pesos de 1 a 5, conforme o grau de influência. São estes os critérios: função, substituição, profundidade, extensão, probabilidade e impacto financeiro. Mais detalhes são fornecidos por tutoriais no t-Risk.

A atribuição de pesos pode demandar o trabalho de um consultor em conjunto com pessoas que conheçam o SR em profundidade. Nesses casos, recomenda-se a montagem de um pequeno comitê com representantes de diferentes áreas da empresa-cliente. Quanto mais diversificados os perfis, mais equilibrados serão os pesos. Os pesos dados pelo consultor poderão ter valor duas ou três vezes maior do que os demais. Recomenda-se que haja um ou mais avaliadores para cada 500 colaboradores. O t-Risk registra e aponta o grau de confiabilidade da avaliação.

Ainda utilizando o método Mosler, o sistema cria quatro novas colunas na tabela: importância do sucesso, danos causados, magnitude do risco, perda esperada e evolução do risco.

A evolução do risco (ER) leva à classificação dos riscos por ordem de importância para os objetivos da organização e os Fatores Críticos de Sucesso.

Em seguida, o t-Risk mostra a matriz Nível de risco, de quatro células, com a relação entre os fatores de ocorrência dos riscos e suas consequências.

Essa matriz leva a duas tabelas: a primeira traz recomendações de tratamento e a segunda mostra como ficaria a classificação dos riscos com os tratamentos indicados.

Matriz Fatores críticos de sucesso

Matriz Fatores críticos de sucesso

Para quantificar o grau de influência de cada risco sobre os Fatores Críticos de Sucesso, o usuário atribui pesos que vão de zero (não há influência) a quatro (influência elevada). Em retorno, o sistema produz tabelas e gráficos que demonstram a vulnerabilidade de cada Fatores Críticos de Sucesso listado.

Controle existente e controle necessário

Controle existente e controle necessário

O usuário atribui pontos à redução de cada risco na presença dos controles. Os pontos variam de menos 10 (redução grande) até zero (ausência de alteração). O sistema emite um relatório sobre a eficiência de tratamento dos riscos, com tabelas e gráficos. Os resultados formam a base para o passo seguinte, que é a graduação dos controles em níveis.

Controle existente e controle necessário

O sistema gera um gráfico altamente elucidativo confrontando os controles existentes com os controles necessários.

Uma tabela com os controles de segurança, em suas três modalidades (humanos, organizacionais e técnicos) orienta o usuário quanto às recomendações que deverá fazer a seu cliente.

Redução da perda esperada

Redução da perda esperada

Nova tabela informa a perda esperada em dinheiro, o que provê uma estimativa para o volume de esforço e capital a serem investidos nos controles para cada risco em particular.

Redução da perda esperada

No passo seguinte, obtêm-se os valores de redução da perda esperada após implantação dos controles recomendados – RPE. O t-Risk explicita as prioridades de investimento, com valores em dinheiro. A diminuição da perda esperada permite ao cliente raciocinar sobre o ROI na mitigação de riscos.

Matriz SWOT

Matriz SWOT

Uma matriz SWOT ajuda o usuário a ver os melhores caminhos para cuidar dos controles e pontos de atenção.

Plano de ação 5W2H

Plano de ação 5W2H

Um bom planejamento é essencial para o sucesso de qualquer projeto de segurança. E planejar não é apenas definir os seus objetivos e criar um plano de ação. É preciso acompanhar os detalhes de cada tarefa que pode influenciar nos controles dos riscos de sua organização. Para auxiliar neste processo de planejamento, disponibilizamos o módulo 5W2H dentro do Software t-Risk.


É parecido com um checklist, em que é possível relacionar tudo aquilo que precisa ser feito, quem serão os responsáveis por cada tarefa e uma série de outras informações indispensáveis para a conclusão eficiente dos projetos.


Com o 5W2H, os executores e revisores serão capazes de eliminar as principais dúvidas que poderiam surgir durante a execução das tarefas, comunicando de forma eficiente a todos os membros da equipe como será a execução de cada tarefa até a conclusão do projeto.

Relatório de conclusão

Relatório de conclusão

Finalizando, o sistema emite um relatório

Casos de Uso

Diretor de Segurança Corporativa (contratante)

Problema
  • As empresas necessitam contratar consultores para fornecer uma avaliação de risco de segurança corporativa ou atualizar avaliações antigas.
  • Normalmente perde-se muito tempo em reuniões informando as necessidades da empresa e que métodos utilizar.
  • Você os informa sobre o que deseja e não tem ideia de como será o relatório final, pois cada consultor tem sua própria abordagem e padrão de relatório.
Solução
  • Crie um usuário na Plataforma t-Risk e solicite que o(s) consultor(es) utilize esse processo baseado na ISO 31000. Ao fazer isso, você evita automaticamente que modifiquem sua metodologia e critérios. Você pode até fornecer uma avaliação de modelo (que já é fornecida no sistema) para mostrar o nível de qualidade que você espera.
  • O t-Risk permite criar avaliações que podem ser atualizadas a qualquer momento.
  • Programe uma revisão periódica e exija que os consultores façam isso na Plataforma t-Risk.
  • Gerencia, acompanhe e compare a evolução dos Riscos de forma centralizada através do painel de gestão de indicadores de risco.
Benefícios
  • Contrate os consultores com base em suas experiencias e mantenha sempre o método de análise de riscos e padrão de relatório do t-Risk.
  • Criar Risk Scorecard, fornecendo visão executiva dos Riscos, incluindo índices e métricas que facilitam estabelecer critérios e apoiar a tomada de decisões.
  • Gerencie o tratamento dos riscos, priorizando os controles que possuem melhor relação custo X benefício.
  • Gerencie ameaças, vulnerabilidades e controles de forma colaborativa e descentralizada, em ambiente web.

Consultor de segurança

Problema
  • Seus clientes contratantes solicitam avaliação de riscos periodicamente, o custo de elaboração é alto, a equipe não é especializada e o método utilizado não tem similaridade com os métodos de avaliação de riscos utilizados pelo contratante. Se sua empresa atender em vários estados e/ou países, aumenta a complexidade, pois serão vários analistas internos usando métodos e apresentações divergentes.
  • Outro fato recorrente são as cobranças em decorrência de sinistros e prejuízos ocorridos dentro das instalações do cliente que são imputados ao prestador de serviço. Muitas vezes o cliente não conhece seus riscos e sua empresa não consegue apresentar de forma objetiva os riscos existentes no cliente contratante, os possíveis impactos e forma adequada de tratar esses riscos.
  • Seus clientes indicam que sua proposta e forma de vender é muito comercial e pouco técnica. Precisa aumentar o nível de convencimento e argumentação de vendas com base em riscos reais e impactos potenciais.
Solução
  • Crie padrões de avaliação de riscos específicos para sua empresa. Sua equipe irá economizar até 80% de tempo na elaboração de uma avaliação de riscos completa com emissão de relatório de forma automática. Atualizar um relatório e simples e muito rápido.
  • Toda a equipe irá utilizar o mesmo padrão de avaliação de riscos com base na norma internacional ISO 31000 e o padrão de relatório será sempre o mesmo.
  • Caso o seu cliente tenha um sinistro que já havia sido identificado em suas análises de riscos e os controles indicados não foram implementados, será mais fácil defender-se e evitar perdas desnecessárias com sinistros decorrentes de riscos aceitos pelo cliente.
  • Elabora análises de riscos preliminares para embasar sua proposta comercial e aumentar as vendas de forma embasada e defensável com base nos próprios riscos identificados na empresa cliente.
Benefícios
  • Surpreenda seus clientes com propostas comerciais embasadas nos riscos do próprio cliente e aumente as vendas de serviços e tecnologias.
  • Crie Risk Scorecard para o seu cliente acompanhar em tempo real, fornecendo visão executiva dos Riscos, incluindo índices e métricas que facilitam estabelecer critérios e apoiar a tomada de decisões.
  • Gerencie ameaças, vulnerabilidades e controles de forma colaborativa e descentralizada, em ambiente web. Toda sua equipe irá trabalhar usando exatamente o mesmo modelo de análise de riscos.
  • Forneça métricas comparativas e benchmarking da evolução do processo de gestão dos riscos da organização do seu cliente. Ele perceberá muito mais valor em seu serviço, se diferenciado de forma positiva da concorrência.

Fornecedores (cadeia de suprimento e empresas terceirizadas)

Problema
  • Seus fornecedores são contratualmente obrigados a avaliar seus riscos, emitir relatórios periódicos e não possuem capacidade ou conhecimento para executar essa obrigação.
  • Eles elaboram avaliação de riscos para cumprir obrigações contratuais, mas usam critérios diferentes dos da sua empresa. O que sua empresa considera de alto risco pode ser de baixo risco para eles. Portanto, eles podem não ter que informar determinado risco para sua empresa ou gerenciá-lo como o contrato exige.
  • Como seus fornecedores não possuem capacidade para elaborar avaliações de riscos, sua empresa precisa contratar consultores para elaborar avaliações de riscos nas empresas que compõe sua cadeia de suprimentos.
Solução
  • Defina seus critérios de riscos para que seus fornecedores sigam o processo definido na Plataforma t-Risk.
  • Mantenha registro e evidências em um único ponto de controle, reunindo todas as informações úteis na mesma base de dados.
  • Crie uma avaliação de riscos modelo e defina as áreas que você deseja que os fornecedores tratem (padrão mínimo).
  • Avalie os resultados em tempo real, solicite evidências e explicações sobre as ameaças, impactos, vulnerabilidades, probabilidades e controles dos riscos.
  • Faça com que seus fornecedores atualizem periodicamente e de forma ágil as avaliações anteriores dentro da periodicidade definida pela sua empresa.
Benefícios
  • Acompanhar a evolução dos riscos de sua cadeia de suprimentos.
  • Forneça métricas comparativas e benchmarking da evolução dos riscos e do processo de gestão dos riscos para toda sua cadeia de suprimentos.
  • Unifique todos os relatórios e painéis de controle comparativos da sua cadeia de suprimentos para apoiar à gestão e tomadas de decisão da sua organização.
  • Avaliações de risco de segurança padronizadas e estruturadas de terceiros que rapidamente identificam e permitem priorizar o tratamento dos riscos.
  • Consiga que os fornecedores concluam suas próprias avaliações de risco de segurança e permita que você as revise em tempo real, liberando sua equipe para outras atividades essenciais.
  • Padronize as avaliações de riscos de acordo com a norma internacional ISO 31000 garantindo que sejam defensáveis.
  • Mais garantias de que as obrigações contratuais relacionadas aos riscos na cadeia de suprimentos estão sendo tratadas de forma adequada, diminuindo os riscos residuais da sua própria organização.
  • Compare os indicadores de riscos de sua cadeia de suprimentos com seu próprio perfil de risco.

Professor e instrutor de gestão de riscos de segurança

Problema
  • Você tem muito conhecimento e experiência em diversas áreas da segurança patrimonial privada, segurança corporativa, mas não possui um método consolidado para análise e avaliação de riscos. Pode nunca ter precisado elaborar avaliações de riscos.
  • Praticamente todas as matérias da disciplina ou do curso são de seu domínio, mas gestão de riscos é uma área nova do conhecimento no setor da segurança empresarial e não possui experiência metodológica para lecionar essa matéria.
Solução
  • Considere utilizar a Plataforma t-Risk como método para análises de riscos em seus cursos ou disciplinas lecionadas.
  • Use a lógico do t-Risk, que está embasando na Norma internacional ISO 31000, para orientar seus alunos no processo de gestão de riscos de maneira rápida, simples e sem custo, usando a versão gratuita para alunos e professores.
  • Use o t-Risk junto com a própria norma ISO 31000 para aumentar ainda mais o nível de satisfação de seus alunos.
Benefícios
  • O processo é tão simples e lógico que seus alunos entenderão rapidamente.
  • Aumente a qualidade da sua aula obtendo níveis mais altos de aprendizado formando profissionais mais qualificados.
  • Se você também é consultor de segurança, pode oferecer serviços usando o t-Risk conforme caso de uso do Consultor de Segurança acima.

Aluno e iniciante em gestão de riscos de segurança

Problema
  • Não possui experiência em gestão de riscos de segurança.
  • Não conhece métodos efetivos para avaliar riscos de forma profissional.
  • A forma tradicional (Word, Excel, Power Point e PDF) é muito trabalhosa e despende muito tempo.
Solução
  • Garanta rigor metodológico em todas as avaliações de risco, com os processos repetíveis e baseados na norma internacional ISO 31000.
  • Use bibliotecas de dados para armazenar seu próprio conteúdo e crie modelos replicáveis para cada tipo de cliente ou segmento de mercado, acelerando o processo em todas as avaliações futuras.
  • Use gráficos interativos impressionantes e outros recursos visuais para apresentar os relatórios e indicadores de riscos aos seus clientes, demonstrando senioridade e valorizando seus trabalhos.
Benefícios
  • Desenvolva suas competências com base em uma norma internacionalmente conhecida – ISO 31000.
  • Economize até 80% de tempo em relação a forma tradicional de elaborar análises de riscos.
  • Seu cliente poderá gerenciar e acompanhar a evolução dos Riscos através da web em tempo real, valorizando seu trabalho.

Melhores práticas para gerenciar riscos

A Plataforma t-Risk segue as melhores práticas internacionais para gerenciar riscos de segurança empresarial.

O que é a norma internacional ISO 31000 e para que serve?

 

A Norma ISO 31000 é um conjunto de princípios a serem atendidos para que a gestão de riscos seja eficiente, coerente e eficaz. É um documento de orientação para as organizações implementarem e desenvolverem sistemas integrados de gerenciamento de riscos.
Foi elaborada de forma a ser aplicada por qualquer modalidade de organização (empresa privada, empresa pública, entidade comunitária, associação, grupo ou mesmo indivíduo), nas mais diferentes ações, como decisões, estratégias, operações, processos, funções, projetos, além da gestão de produtos, serviços e ativos.

 

Cada vez mais, as empresas vêm estabelecendo processos formais de gestão de riscos. Utilizar a ISO 31000 como base para a análise de práticas e processos é gerenciar riscos identificando-os, analisando-os e avaliando-os segundo os critérios de risco da organização.
A aplicação da ISO 31000 traz benefícios diretos e indiretos, pois a gestão sistemática, transparente e confiável dos riscos repercute na operação de toda a empresa. Os benefícios começam no estabelecimento do contexto, diretamente ligado ao entendimento dos objetivos organizacionais, dos ambientes interno e externo, das partes interessadas e do que significa risco para cada organização em particular.

 

A Norma ISO 31000 atende diretamente às necessidades destas partes interessadas:

  •  os responsáveis pelo desenvolvimento da política de gestão de riscos;
  •  os responsáveis por assegurar que os riscos sejam eficazmente gerenciados;
  •  os que precisam avaliar a eficácia de uma organização em gerenciar riscos;
  •  desenvolvedores de normas, guias, procedimentos e códigos de práticas.

 

A gestão de riscos orientada pela ISO 31000 possibilita à organização dar solidez à busca de seus objetivos, inspirar gestão proativa, atentar para riscos na organização inteira, melhor identificar suas ameaças e oportunidades, aderir a normas internacionais e requisitos regulatórios, melhorar sua governança, minimizar perdas, além de muitos outros benefícios.