Métricas indispensáveis para uma gestão eficaz de riscos corporativos

Sword GRC Blog

“A gestão é cega sem acesso às métricas corretas”

Os dados de risco fornecem às organizações a oportunidade de alavancar informações que ajudarão a conduzir um programa de gerenciamento de risco operacional (ORM) mais robusto, integrado a uma estrutura de gerenciamento de risco corporativo (ERM) eficaz. Portanto, o imperativo para os profissionais de risco – e o desafio, conforme o volume de dados corporativos aumenta – é extrair os dados certos e fazer com que as partes interessadas certas definam quais métricas de risco operacional são mais úteis no apoio às estratégias de negócios.

Em ‘Indicadores e métricas usados na gestão de risco empresarial’ (Departamento de Informática e Cibernética Econômica, The Bucharest Academy of Economic Studies), sugere-se que o uso de métricas em ERM permitirá que cada empresa “tenha uma visão holística dos eventos potenciais que podem afetar o alcance dos objetivos da organização “.

Com uma visão completa, a administração terá os insights necessários para tomar decisões de negócios baseadas em dados. As decisões estratégicas críticas não serão feitas “às cegas”.

Há muitos benefícios derivados do uso de métricas. Os citados no documento ‘Indicadores e métricas usados na gestão de riscos corporativos’ incluem:

  • Identificação antecipada de tendências e problemas
  • Uma fonte de informações críticas para controles
  • Um meio de reconhecer melhorias ou sinais de piora nas situações
  • Ajuda para a tomada de decisão baseada em informações
  • Sustenta a gestão proativa
  • Melhora as estimativas futuras e o desempenho
  • Avalia o sucesso e o fracasso
  • Melhora a satisfação das partes interessadas

Quais métricas para uma gestão de risco eficaz?

Então, quais métricas os profissionais de risco devem usar? Os praticantes de risco costumam considerar três tipos de indicadores primários:

Indicadores-chave de risco (KRIs) – Esses são indicadores tipicamente preditivos, fornecendo um sinalizador vermelho de que um evento indesejado está se tornando mais provável ou seu potencial de impacto está aumentando. Pós-evento, eles também podem indicar que os riscos ocorreram e revelar o escopo de seu impacto.

Indicadores-chave de desempenho (KPIs) – essas métricas estão relacionadas a fatores internos em oposição a circunstâncias de mercado externo e indicam sucesso ou progresso demonstrável em direção à obtenção do resultado desejado.

Eles podem ser usados afirmativamente para demonstrar a realização dos objetivos, mas também para sinalizar a evolução precoce dos eventos de risco.

Indicadores-chave de controle (KCIs) – também chamadas de Indicadores de Eficácia de Controle, essas métricas revelam até que ponto um controle está trabalhando para cumprir seus objetivos para, por exemplo, evitar perdas, a qualquer momento. Se os controles não funcionarem conforme previsto, a probabilidade ou impacto do risco pode mudar. Dessa forma, os KCIs costumam ser preditivos, embora também possam fornecer detecção precoce de riscos que começam a se manifestar.

KRIs não devem ser confundidos com KPIs

O documento ‘Indicadores e métricas usados no gerenciamento de risco corporativo’ destaca que os gerentes de risco devem ser capazes de distinguir entre KRIs e KPIs. Afirma que ‘os indicadores-chave de desempenho se concentram especialmente no desempenho histórico da empresa ou em suas operações-chave e são importantes para uma gestão bem-sucedida. Por outro lado, os KRIs fornecem indicadores em tempo real que oferecem informações sobre os riscos emergentes … Os KPIs nos dizem se atingiremos nossos objetivos e os KRIs nos ajudam a entender as mudanças no perfil de risco, impacto e probabilidade de atingir nossos objetivos. Se for feita uma distinção entre os dois tipos de indicadores-chave, seremos muito claros sobre que tipos de perguntas queremos responder por meio desses indicadores e como vamos definir esses indicadores para melhorar a qualidade da gestão e a clareza dos resultados. ‘

Sem dúvida, KRIs, KPIs e KCIs estão todos conectados. O pessoal de risco deve apreciar como ou por que os indicadores estão correlacionados com a alteração dos perfis de risco para que as métricas sejam eficazes. Em essência, os indicadores fornecem uma ‘imagem’ de uma organização e as métricas fornecem um meio de avaliar se a atividade de ERM está no caminho certo.

Métricas – nem muito, nem pouco

Quantas métricas fornecem o maior benefício? Se houver muitos, o tempo será dedicado para gerenciá-los que, de outra forma, teria sido gasto em outras tarefas críticas. E muita informação pode ser prejudicial – os profissionais de risco podem ter dificuldade em distinguir informações críticas, derivando assim pouco valor das métricas em uso. Poucas métricas, no entanto, podem não gerar informações suficientes para que os dados sejam significativos.

Embora encontrando o equilíbrio certo, de extrema importância é que as métricas usadas devem ser relevantes, mensuráveis, fáceis de monitorar, auditáveis e comparáveis.

Em última análise, talvez as principais perguntas que os profissionais de risco devam se fazer sejam: ‘Estou vendo melhorias no negócio? As prioridades de negócios estão alinhadas aos riscos em mudança ou emergentes? Os riscos estão sendo mitigados e as perdas evitadas? ‘ Em resposta afirmativa, as métricas, reunidas, estão fazendo seu trabalho, gerando dados que podem ser aproveitados para definir controles mais fortes e informar a tomada de decisão alinhada com a estratégia de negócios.

Leitura adicional:

Para sua referência, o Guia de Boas Práticas do Instituto de Risco Operacional sobre os assuntos de KRIs, Análise de Cenário, Teste de Estresse e Estresse Inverso, Cultura de Risco e muito mais pode ser baixado, gratuitamente, aqui .

* Instituto de Risco Operacional: Indicadores-chave de risco , Orientação de boas práticas operacionais