Indicadores-chave de risco – as métricas certas para gestão

Sword GRC Blog

Indicadores-chave de risco - as métricas certas para gestão

“É impossível dirigir um carro sem acesso a métricas de fatores como velocidade ou temperatura. Da mesma forma, a gestão requer métricas para apoiar a tomada de decisões eficaz e para garantir que elas conduzam a organização para longe de ameaças aos seus objetivos estratégicos e operacionais. ”

Do Instituto de Risco Indicadores-chave de risco Orientação de práticas sólidas de risco operacional sugere que, embora os gerentes não sejam estranhos aos indicadores e métricas – eles os usam diariamente para assumir suas responsabilidades e auxiliar na tomada de decisões – eles devem tirar proveito dos indicadores de risco operacional como um meio acessível de monitorar a exposição ao risco. A melhoria da consciência de risco e a base para ‘decisões de gestão operacional de risco bem informadas’ resultarão de uma estrutura de gestão de risco operacional bem organizada (o ‘Santo Graal’ para as melhores práticas de gestão de risco operacional).

KRIs como ferramenta de business intelligence

A visão do IOR é que os Indicadores Chave de Risco (KRIs) devem ser tratados como indicadores aplicados aos riscos operacionais aos quais uma organização pode estar altamente exposta, que podem comprometer o cumprimento dos objetivos operacionais ou ficar fora do apetite de risco. Os indicadores também podem ser usados para destacar os aspectos positivos, como controle interno eficaz, quando estão dentro dos limites definidos, e para fornecer garantia de que os riscos estão sendo gerenciados de forma adequada para o conselho e as partes interessadas.

Em tal contexto, a fim de identificar efetivamente quais riscos operacionais são “chave”, o IOR apontaria os profissionais de risco na direção de seus Autoavaliação de controle de risco (RCSA) orientação, disponível para download aqui . Os principais riscos serão aqueles com as maiores pontuações de exposição a risco inerente e / ou residual.

Como ferramenta de business intelligence, os indicadores podem apoiar:

  • Monitoramento, avaliação e modelagem de riscos
  • A implementação de uma estrutura de apetite de risco
  • Governança corporativa e garantia

Características desejáveis KRI

Após um capítulo dedicado a quais indicadores podem ser usados, a orientação dos indicadores-chave de risco descreve quais características devem ser desejadas pelos indicadores. Ao selecionar indicadores de risco operacional eficazes, o conselho é que eles devem ser relevantes, mensuráveis, prospectivos (líderes), fáceis de coletar e monitorar, comparáveis e auditáveis. O documento detalha por que essas características são importantes e, em cada caso, os fatores a serem considerados do ponto de vista das melhores práticas.

Definindo limiares e limites

A orientação continua explicando os processos que podem ser usados para selecionar um conjunto de indicadores – considerando os prós e contras de se adotar uma abordagem de cima para baixo ou de baixo para cima – e para definir os limites e limites apropriados. “É importante ressaltar que como os indicadores são proxies, o objetivo não é gerenciar o indicador, mas sim as exposições ao risco operacional. A violação de um indicador é um sinal de ameaças potenciais à frente … Limites e limites devem refletir

a implementação da declaração de apetite de risco espalhou-se por toda a organização. ” Para referência, orientações separadas estão disponíveis no Orientação de Boas Práticas do IOR sobre Apetite de Risco Operacional.

Com os limites definidos, as organizações devem determinar as respostas para a violação dos limites. As ‘condições de gatilho’ determinam qual ação deve ser executada e quem é responsável por fazê-lo em cada instância. Além de estar vinculado ao apetite de risco de uma organização, a recomendação é que os gatilhos devem ser conectados ao ‘grau de sofisticação exigido no sistema de alerta e devem considerar a sobrecarga de recursos (pessoas, sistemas e custos) necessária para implementar estruturas mais sofisticadas . ”

Gestão e relatórios de indicadores de risco

Como uma palavra de cautela, muito esforço será perdido sem dedicar tempo e recursos suficientes para a gestão e relato dos principais indicadores de risco. No mínimo, revisões anuais são sugeridas, como um meio de garantir a relevância, embora a frequência ideal seja determinada pela natureza do negócio e sua escala e complexidade operacional.

Os riscos operacionais estarão sujeitos a alterações, portanto, um sistema para adicionar ou alterar indicadores-chave de risco operacional deve ser implementado, juntamente com procedimentos claramente definidos e processos de governança para controlar a definição ou alteração de limiares ou níveis de limite.

Em relação aos relatórios, o conselho de primeira linha é que ‘sempre que possível, os relatórios de indicadores de risco operacional devem ser desenvolvidos em conjunto com o público-alvo, para garantir a máxima compreensão e usabilidade’ – desde o conselho e a gerência divisional sênior até a unidade de negócios ou equipes e função de suporte níveis em conformidade. A coordenação central é vantajosa para garantir a consistência e a capacidade de comparar relatórios ou agregá-los para a alta administração. Detalhes completos de como os relatórios de indicadores podem ser apresentados de uma forma amigável, com linguagem clara e recursos visuais úteis são fornecidos, juntamente com exemplos de relatórios.

É certo que a gestão e o relatório de indicadores de risco eficazes podem ser demorados, mas de acordo com o IOR, os benefícios resultantes valem a pena: “A gestão é efetivamente cega sem acesso às métricas de risco adequadas”.

Obtenha uma visão completa sobre como fornecer os dados certos, no momento certo e em um formato consistente, baixando sua cópia gratuita do Indicadores-chave de risco, orientação de boas práticas de risco operacional agora.