O objetivo deste capítulo é orientá-lo sobre a solução ERM, uma solução sob demanda onde os riscos empresariais, os objetivos e os eventos de perda podem ser gerenciados.
A gestão de riscos empresariais é um processo contínuo que visa identificar riscos para o negócio e os seus objetivos, além de formalizar as decisões tomadas em relação ao que será feito a respeito dos riscos e garantir que os controles estão em vigor e têm os efeitos desejados. Através desse processo, as partes interessadas conseguem uma perspectiva valiosa sobre os riscos enfrentados pela organização e as ações executadas para atenuá-los.
Uma abordagem top-down é utilizada no sistema, na qual os riscos são registrados em um catálogo de riscos. Os riscos podem ser classificados em categorias e tipos, e um responsável é alocado a cada um deles. Ao cadastrar um risco, devem ser definidos o impacto inerente e a probabilidade inerente, que serão utilizados para o cálculo da Medida de Risco Inerente e para a construção da matriz de riscos, que também pode ser gerada nesta solução. A matriz de riscos plota todos os riscos do catálogo de acordo com seus níveis de probabilidade inerente, impacto inerente e da Medida de Risco Qualitativa, permitindo que os riscos mais críticos sejam facilmente identificados.
Ao cadastrar um risco no sistema, também podem ser definidos os valores do impacto residual e da probabilidade residual. Esses valores representam os valores do impacto que o risco teria para a organização e da probabilidade de sua ocorrência caso os controles associados estivessem implementados, e serão utilizados no cálculo da Medida de Risco Residual.
Além do catálogo de riscos, podem ser cadastrados controles que detalham os procedimentos e práticas a serem adotados para minimizar o impacto que os riscos podem ter na organização caso se materializem e reduzir as chances de sua ocorrência. Os controles podem ser associados a um ou mais riscos do catálogo, e devem ser ativamente monitorados para garantir não só que sejam implementados e mantidos atualizados, mas também que sejam efetivos.
Também é possível manter um registro dos eventos de perda, que registram o valor das perdas decorrentes de algum incidente, e gerenciar os objetivos da sua organização, o que permite maior controle sobre as ações tomadas para garantir que esses objetivos sejam alcançados.
É importante entender que a solução ERM não está ligada ao módulo de Riscos. No módulo de Riscos, presume-se que os controles sejam conhecidos e os riscos desconhecidos. Então, são criados projetos para determinar os níveis de risco, supondo que seriam mais baixos se os controles associados fossem implementados. Além disso, o módulo de Riscos utiliza uma abordagem mais granular e bottom-up, que analisa os riscos no nível do ativo e agrega os resultados para cima em direção aos componentes de negócio associados.
Na solução ERM, tanto os riscos como os controles são mais amplos por natureza e geralmente têm efeitos nos componentes de negócio ou em toda a organização, o que indica que existirá um número consideravelmente menor de riscos e controles. Além disso, projetos não são utilizados na solução ERM. Em vez disso, tanto os riscos como os seus controles são monitorados continuamente. Adicionalmente, riscos corporativos podem ser enviados para tratamento no módulo Workflow, no qual podem ser consultados e monitorados.