Os dados de risco proporcionam às organizações a oportunidade de aproveitar informações que ajudarão a impulsionar um programa de gestão de risco operacional (GRO) mais robusto, incorporado num quadro eficaz de gestão de risco empresarial (GRE). O imperativo, portanto, para os profissionais de risco – e o desafio, à medida que o volume de dados empresariais aumenta – é extrair os dados corretos e envolver as partes interessadas adequadas para definir quais métricas de risco operacional são as mais úteis no apoio às estratégias de negócio.
Em “Indicadores e métricas utilizados na gestão de risco empresarial” (Departamento de Informática e Cibernética Económica, Academia de Estudos Económicos de Bucareste) sugere-se que a utilização de métricas na GRE permitirá a cada empresa “ter uma visão holística dos potenciais eventos que podem afetar a concretização dos objetivos da organização”.
Com uma visão completa, a gestão terá as informações necessárias para tomar decisões empresariais baseadas em dados. As decisões estratégicas críticas não serão tomadas “às cegas”.
Existem muitos benefícios a serem obtidos com a utilização de métricas. Os citados no artigo “Indicadores e métricas utilizados na gestão de risco empresarial” incluem:
- Identificação precoce de tendências e problemas
- Uma fonte de informação crítica para os controlos
- Um meio de reconhecer melhorias ou sinais de agravamento de situações
- Ajuda à tomada de decisões com base na informação
- Apoia a gestão proactiva
- Melhora as estimativas e o desempenho futuros
- Avalia o sucesso e o fracasso
- Melhora a satisfação das partes interessadas
Que métricas para uma gestão eficaz dos riscos?
Então, quais métricas devem os profissionais de risco utilizar? Os profissionais de risco frequentemente consideram três tipos principais de indicadores:
Indicadores-Chave de Risco (ICR) – estes são tipicamente indicadores preditivos, fornecendo um sinal de alerta de que um evento indesejado está a tornar-se mais provável ou que o seu potencial de impacto está a aumentar. Após o evento, podem também indicar que os riscos ocorreram e revelar a extensão do seu impacto.
Indicadores-Chave de Desempenho (ICD) – estas métricas estão relacionadas com fatores internos em oposição a circunstâncias externas do mercado, e indicam o sucesso ou progresso demonstrável no sentido da consecução do resultado desejado.
Podem ser utilizados afirmativamente para demonstrar a realização de objetivos, mas também para assinalar o desenvolvimento precoce de eventos de risco.
Indicadores-Chave de Controlo (ICC) – também referidos como Indicadores de Eficácia de Controlo, estas métricas revelam a extensão em que um controlo está a funcionar para cumprir os seus objetivos, por exemplo, para prevenir perdas, em qualquer momento. Se os controlos não estiverem a funcionar como previsto, então a probabilidade ou o impacto do risco pode mudar. Como tal, os ICC são frequentemente preditivos, embora também possam fornecer uma deteção precoce de riscos que começam a desenvolver-se.
Os KRIs não devem ser confundidos com os KPIs
O artigo “Indicadores e métricas utilizados na gestão de risco empresarial” destaca que os gestores de risco devem ser capazes de distinguir entre ICR e ICD. Afirma que “os indicadores-chave de desempenho focam-se especialmente no desempenho histórico da empresa ou nas suas operações-chave e são importantes para uma gestão bem-sucedida. Por outro lado, os ICR fornecem indicadores em tempo real que oferecem informações sobre riscos emergentes… Os ICD dizem-nos se alcançaremos os nossos objetivos e os ICR ajudam-nos a compreender as mudanças no perfil de risco, impacto e probabilidade de alcançar os nossos objetivos. Se a distinção for feita entre os dois tipos de indicadores-chave, teremos muito claro que tipos de questões queremos responder através destes indicadores e como os definiremos para melhorar a qualidade da gestão e a clareza dos resultados.”
Indubitavelmente, ICR, ICD e ICC estão todos interligados. O pessoal de risco deve compreender como ou por que os indicadores estão correlacionados com perfis de risco em mudança para que as métricas sejam eficazes. Em essência, os indicadores dão uma “imagem” de uma organização e as métricas fornecem um meio de aferir se a atividade de GRE está no caminho certo.
Métricas – nem demasiadas, nem poucas
Quantas métricas proporcionam o maior benefício? Se houver demasiadas, o tempo será dedicado a geri-las, tempo esse que de outra forma teria sido gasto noutras tarefas críticas. E demasiada informação pode ser prejudicial – os profissionais de risco podem ter dificuldade em distinguir informações críticas, obtendo assim pouco valor das métricas em uso. Poucas métricas, no entanto, podem não gerar informação suficiente para que os dados sejam significativos.
Ao buscar o equilíbrio certo, é da máxima importância que as métricas utilizadas sejam relevantes, mensuráveis, fáceis de monitorizar, auditáveis e comparáveis.
Em última análise, talvez as questões-chave que os profissionais de risco devam colocar a si próprios sejam: “Estou a ver melhorias no negócio? As prioridades do negócio estão alinhadas com os riscos em mudança ou emergentes? Os riscos estão a ser mitigados e as perdas evitadas?” Ao responder afirmativamente, as métricas, combinadas, estão a fazer o seu trabalho, gerando dados que podem ser aproveitados para definir controlos mais fortes e informar a tomada de decisões alinhada com a estratégia empresarial.