Os indicadores-chave de risco – ou KRIs – são métricas que podem alertar-te para condições em mudança.
São a tua primeira indicação de um aumento ou diminuição da exposição ao risco em várias áreas da empresa. Organizações de todos os tamanhos podem usar os KRIs para gerenciar proativamente os riscos, em vez de reagir depois que algo acontece.
Embora os KRIs tenham um potencial real para melhorar o teu programa ERM – e o envolvimento a nível executivo – existe uma falta de consenso sobre o que deve ser medido ou para que devem ser utilizados os KRIs.

Porque é que os indicadores-chave de risco são importantes?

Em geral, os indicadores-chave de risco são úteis porque é uma impossibilidade prática avaliar continuamente todos os riscos do teu perfil.
Os KRIs fornecem à tua organização informações valiosas sobre ameaças internas e externas.
Ajudam-te a identificar sinais de alerta precoce de mudança, para que possas dar prioridade aos teus esforços para abordar os riscos antes que estes causem danos.

Precisas de um indicador, de algum tipo de bandeira que apareça e diga: “Olha para mim!” algo mudou”, explica Rob Quail, conhecido especialista em ERM e convidado da série de webinars educativos Risk@Work.

Caraterísticas de um bom KRI

Os KRIs específicos variam consoante a empresa, o sector e o perfil de risco.
Seguem-se algumas caraterísticas de indicadores-chave de risco fortes:

  • Relevante: Um bom KRI terá uma ligação clara com o negócio e um valor preditivo comprovado.
    Se o KRI aumentar, deves estar confiante de que isso indica uma mudança nesse risco.
  • Mensuráveis: Os KRIs devem ser mensuráveis e precisos.
    Deves ser capaz de quantificar facilmente as tuas métricas sem ter de passar por muito ruído externo.
  • Comparável: Um bom KRI é comparável a outros KRIs, benchmarks da indústria e outros números que te ajudam a determinar se as condições mudaram.
  • Acionáveis: Os bons KRIs são acionáveis, fornecendo informações que podem ser utilizadas para tomar decisões e estabelecer prioridades para os seus recursos.
  • Acessível: Os dados devem ser facilmente acessíveis, quer se trate de algo que já estás a medir, de algo que seria simples começar a medir ou de algo que pode ser obtido a partir de uma fonte externa.
  • Consistente: Um bom KRI é fiável para que possas acompanhar as alterações ao longo do tempo.

Também é importante que os teus KRIs sejam fáceis de compreender.
“Os KRIs acabam por ser incluídos nos relatórios da direção”, salienta Quail.
“A equipa executiva tem de compreender porquê e como a medida está relacionada com o risco.”

Exemplos de KRIs comuns

Os KRIs medem coisas como uma mudança no impacto, no valor ou no que é considerado credível.
Podem também medir alterações nas circunstâncias externas que resultem numa maior ameaça aos objectivos estratégicos.
Embora os KRIs específicos da tua empresa dependam da tua indústria, carteira de produtos e carteira de riscos, aqui estão alguns KRIs comuns:

Financeiro

Os KRIs financeiros externos podem medir as condições económicas ou as alterações regulamentares.
Os KRIs financeiros internos podem acompanhar as alterações aos orçamentos, objectivos de crescimento das vendas ou despesas.

Tecnologia

Os KRIs tecnológicos podem acompanhar a disponibilidade do sistema, as violações de segurança ou o número de ciberataques durante um determinado período.

Operacional

Os KRIs operacionais medem aspectos como a eficácia dos controlos internos, a eficiência dos processos, a qualidade dos produtos e as alterações aos objectivos estratégicos.

Recursos humanos

Os KRIs de RH podem acompanhar a rotação do pessoal, as taxas de conversão do recrutamento e o empenho dos empregados.

Nem todos os KRIs são iguais.
Limita a tua lista de potenciais KRIs, concentrando-te naqueles que são os melhores indicadores de mudança e os mais fáceis de medir.
A monitorização regular de uma lista selecionada de KRIs fortes irá alertar-te para sinais de mudança – positivos ou negativos – para que possas responder eficazmente.

Indicador-chave de desempenho vs. Indicador-chave de risco

Tanto os indicadores-chave de risco como os indicadores-chave de desempenho são métricas importantes para medir o progresso.
Mas servem objectivos diferentes na gestão do risco e não são permutáveis.
Os KPIs são métricas que medem o desempenho de uma empresa, geralmente em relação aos objectivos ou iniciativas de desempenho da empresa.
São medidas repetíveis de realização com uma forte ligação ao negócio.
Por exemplo, uma empresa pode monitorizar as vendas trimestrais ou o total de negócios fechados para medir o desempenho em relação aos objectivos de vendas.
Os KRIs, por outro lado, são apenas indicadores avançados.
O objetivo é ajudar a prever se um KPI será alcançado.
Os indicadores-chave de risco dizem-te se é mais ou menos provável que atinjas os teus objectivos.
Nota, no entanto, que um KPI para uma área pode tornar-se um KRI para outra devido ao efeito em cascata do risco.
Uma falha tecnológica, por exemplo, é um KPI comum.
Os efeitos a jusante dessa falha tecnológica na produtividade, no envolvimento dos colaboradores, na reputação, etc., podem torná-la num KRI para essas áreas.

O papel dos KRIs na gestão do risco empresarial

Para que os KRIs sejam eficazes, eles devem fazer parte de um programa ERM estabelecido.
O apetite pelo risco, por exemplo, é o que estabelece os limites que determinam se um risco está em alta ou em baixa.
Conhecer o teu apetite pelo risco é uma parte importante de um programa ERM eficaz e é muitas vezes determinado num workshop de risco.

“Os KRIs não são ERM de nível básico”, enfatiza Quail.
“Já precisas de conhecer os teus riscos, as suas fontes e ter alguma compreensão da tua apetência por cada um dos teus objectivos estratégicos. Também tens de ter uma equipa executiva que goste de ERM o suficiente para querer ter estas conversas.”
De facto, as conversas são um dos benefícios mais importantes da ERM – e os KRIs podem gerar muitas conversas produtivas que podem revelar novos conhecimentos que ajudam a identificar riscos emergentes, a redefinir prioridades ou a reafectar recursos.
“Se os KRIs não estão a estimular novas conversas, não têm qualquer utilidade para a tua organização”, diz Quail.
“Utiliza-os para compreender os riscos e ajudar a organização a tomar melhores decisões.”

Para saber mais sobre ERM, faça o download do ebook, Charting a Course for Enterprise Risk Management, e confira a solução de software ERM da Riskonnect.