Gerenciamento de Riscos Empresariais da Microsoft (ERM)

Concluído

O Microsoft Enterprise Risk Management (GUID) identifica os riscos mais significativos para a Microsoft e fornece uma abordagem consistente de gerenciamento de riscos em toda a organização. O ARM inclui uma metodologia formal de gerenciamento de riscos, que inclui funções e responsabilidades definidas, fornece entrada contínua e dá suporte a decisões em tempo hábil para atenuar riscos. O suporte e o envolvimento da liderança sênior altamente visíveis garantem a responsabilidade e sublinham o compromisso da Microsoft em gerenciar riscos empresariais com eficiência.

Um diagrama de pirâmide mostrando a base do Gerenciamento de riscos da Microsoft - desde o início, começando com o conselho administrativo, liderança sênior e risco empresarial. A linha abaixo é domínios de risco e domínios operacionais e a parte inferior do triângulo são elementos fundamentais que consistem em sistemas de escuta, metodologia e ferramentas

O ARM executa uma Avaliação de Risco Empresarial semestral para avaliar o risco na Microsoft. Essas avaliações têm dois níveis de audiência: liderança sênior (CEO e subordinados diretos) e o Comitê de Auditoria do Conselho. As avaliações de DIMENSION utilizam entradas de discussões com líderes de domínio em toda a empresa e líderes seniores em cada organização. As principais entradas para a avaliação incluem entrevistas em vários níveis na Microsoft, desde SMEs (especialistas no assunto) em cada domínio de risco e área de risco operacional até a liderança sênior. O processo DEM combina os insights dos proprietários de domínio de risco com os insights obtidos de líderes e SMEs em cada área de risco operacional. Ele também inclui comentários dos elementos fundamentais do nosso processo de gerenciamento de riscos, como sistemas de escuta que monitoram indicadores de risco e ferramentas que fornecem visibilidade sobre a operação de sistemas e processos da Microsoft.

O processo de avaliação de risco DOAM identifica oportunidades, auidades e compromissos da empresa, juntamente com os riscos mais significativos para os objetivos da Microsoft. Essa análise inclui uma avaliação do ambiente operacional, incluindo avaliações de risco internas de unidades de negócios e fatores externos, como concorrência e o cenário regulatório. A Avaliação de Risco Empresarial também considera dados históricos, como auditorias e avaliações anteriores. Além disso, a Microsoft aplica conhecimento e comentários de grupos do setor, fóruns e revisões de pares para desenvolver uma visão geral do ambiente de risco externo.

O processo de avaliação de riscos inclui o debate com os principais intervenientes em toda a organização. Esses stakeholders fornecem comentários sobre os riscos identificados para garantir que eles representem com precisão a postura de risco da Microsoft. Depois de revisar os planos de ações para riscos identificados e garantir que os riscos sejam atribuídos aos proprietários corretos, a avaliação é concluída com um relatório de Gerenciamento de Riscos Empresariais para o Conselho de Diretores que captura a opinião da liderança sênior da Microsoft.