Os dados de risco oferecem às organizações a oportunidade de aproveitar as informações que ajudarão a conduzir um programa de Gerenciamento de Risco Operacional (ORM) mais robusto, incorporado a uma estrutura eficaz de Gerenciamento de Risco Empresarial (ERM). O imperativo, portanto, para os profissionais de risco – e o desafio, à medida que o volume de dados da empresa aumenta – é extrair os dados corretos e obter a participação das partes interessadas certas para definir quais métricas de risco operacional são as mais úteis para apoiar as estratégias de negócios. Em “Indicators and metrics used in enterprise risk management” (Departamento de Informática e Cibernética Económica, Academia de Estudos Económicos de Bucareste), sugere-se que a utilização de métricas na ERM permitirá a cada empresa “ter uma visão holística dos potenciais eventos que podem afetar a realização dos objectivos da organização”. Com uma visão completa, a gestão terá os conhecimentos necessários para tomar decisões comerciais baseadas em dados. As decisões estratégicas críticas não serão tomadas “às cegas”. Há muitos benefícios a retirar da utilização de métricas. Os citados no documento “Indicadores e métricas utilizados na gestão do risco empresarial” incluem:
- Identificação precoce de tendências e problemas
- Uma fonte de informação crítica para os controlos
- Um meio de reconhecer melhorias ou sinais de agravamento de situações
- Ajuda à tomada de decisões com base na informação
- Apoia a gestão proactiva
- Melhora as estimativas e o desempenho futuros
- Avalia o sucesso e o fracasso
- Melhora a satisfação das partes interessadas
Que métricas para uma gestão eficaz dos riscos?
Então, a que métricas devem recorrer os profissionais do risco? Os profissionais de risco costumam considerar três tipos principais de indicadores: Indicadores-chave de risco (KRIs) – são indicadores tipicamente preditivos, que indicam que um evento indesejado está a tornar-se mais provável ou que o seu potencial de impacto está a aumentar. Após o evento, podem também indicar que os riscos ocorreram e revelar o âmbito do seu impacto. Indicadores-chave de desempenho (KPIs) – estes indicadores estão relacionados com factores internos, por oposição às circunstâncias externas do mercado, e indicam o sucesso ou o progresso demonstrável no sentido de alcançar o resultado desejado. Podem ser utilizados de forma afirmativa para demonstrar a realização de objectivos, mas também para assinalar a evolução precoce de eventos de risco. Indicadores-chave de controlo (ICC) – também designados por indicadores de eficácia do controlo, estes indicadores revelam em que medida um controlo está a funcionar para atingir os seus objectivos, por exemplo, evitar perdas, em qualquer momento. Se os controlos não estiverem a funcionar como previsto, a probabilidade ou o impacto do risco podem alterar-se. Como tal, os KCIs são frequentemente preditivos, embora também possam fornecer uma deteção precoce dos riscos que começam a surgir.
Os KRIs não devem ser confundidos com os KPIs
O documento “Indicators and metrics used in enterprise risk management” salienta que os gestores de risco devem ser capazes de distinguir entre KRIs e KPIs. Afirma que “os indicadores-chave de desempenho centram-se especialmente no desempenho histórico da empresa ou das suas principais operações e são importantes para uma gestão bem sucedida. Por outro lado, os KRIs fornecem indicadores em tempo real que oferecem informações sobre os riscos emergentes… Os KPIs dizem-nos se vamos atingir os nossos objectivos e os KRIs ajudam-nos a compreender as mudanças no perfil de risco, o impacto e a probabilidade de atingir os nossos objectivos. Se for feita uma distinção entre os dois tipos de indicadores-chave, seremos muito claros quanto aos tipos de questões a que queremos responder através destes indicadores e quanto à forma como os definiremos para melhorar a qualidade da gestão e a clareza dos resultados. Não há dúvida de que os KRI, os KPI e os KCI estão todos ligados. O pessoal responsável pelo risco deve compreender como ou porquê os indicadores estão correlacionados com a alteração dos perfis de risco, para que as métricas sejam eficazes. Essencialmente, os indicadores dão uma “imagem” de uma organização e as métricas fornecem um meio de aferir se a atividade ERM está no caminho certo.
Métricas – nem demasiadas, nem poucas
Quantas métricas te trazem mais benefícios? Se existirem demasiadas, será dedicado tempo à sua gestão que, de outra forma, seria gasto noutras tarefas críticas. E demasiada informação pode ser prejudicial – os profissionais de risco podem ter dificuldade em distinguir a informação crítica, retirando assim pouco valor das métricas em uso. No entanto, um número demasiado reduzido de métricas pode não gerar informação suficiente para que os dados sejam significativos. Embora seja necessário encontrar o equilíbrio certo, é da maior importância que os indicadores utilizados sejam relevantes, mensuráveis, fáceis de monitorizar, auditáveis e comparáveis. Em última análise, talvez as principais perguntas que os profissionais de risco devam fazer a si próprios sejam: “Estou a ver melhorias na empresa? As prioridades do negócio estão alinhadas com os riscos emergentes ou em mudança? Os riscos estão a ser mitigados e as perdas evitadas? Se a resposta for afirmativa, as métricas, reunidas, estão a fazer o seu trabalho, gerando dados que podem ser aproveitados para definir controlos mais fortes e informar a tomada de decisões alinhadas com a estratégia empresarial.