“É impossível conduzir um automóvel sem acesso a métricas sobre fatores como velocidade ou temperatura. De igual modo, a gestão requer métricas para apoiar uma tomada de decisões eficaz e para assegurar que direcionam a organização para longe de ameaças aos seus objetivos estratégicos e operacionais.”

A Orientação de Boas Práticas de Indicadores de Risco Operacional Chave do Instituto de Risco sugere que, embora os gestores não sejam estranhos a indicadores e métricas – utilizando-os diariamente para assumir as suas responsabilidades e auxiliar na tomada de decisões – devem tirar proveito dos indicadores de risco operacional como um meio acessível de monitorizar a exposição ao risco. Uma maior consciencialização do risco e a base para “decisões de gestão operacional de risco bem informadas” resultarão ambas de um quadro de gestão de risco operacional bem organizado (o “santo graal” para as melhores práticas de gestão de risco operacional).

Os KRIs como ferramenta de business intelligence

A perspetiva do IOR é que os Indicadores de Risco Chave (KRIs) devem ser tratados como indicadores aplicados aos riscos operacionais aos quais uma organização possa estar altamente exposta, que possam comprometer o cumprimento dos objetivos operacionais ou exceder o apetite pelo risco. Os indicadores podem também ser utilizados para destacar os aspetos positivos, como o controlo interno eficaz quando estão dentro dos limiares definidos, e para fornecer garantias ao conselho de administração e às partes interessadas de que os riscos estão a ser adequadamente geridos.

Neste contexto, para identificar eficazmente quais os riscos operacionais que são “chave”, o IOR orientaria os profissionais de risco para a sua orientação de Avaliação de Controlo de Risco (RCSA), disponível para download. Os riscos chave serão aqueles com as maiores pontuações de exposição ao risco inerente e/ou residual.

Como ferramenta de inteligência empresarial, os indicadores podem apoiar:

  • Monitorização, avaliação e modelação dos riscos
  • A implementação de um quadro de apetência pelo risco
  • Governação e garantia das empresas

Caraterísticas desejáveis do KRI

Após um capítulo dedicado à finalidade dos indicadores, as orientações sobre os indicadores-chave de risco descrevem as caraterísticas desejáveis dos indicadores. Ao selecionar indicadores de risco operacional eficazes, aconselha-se que sejam relevantes, mensuráveis, orientados para o futuro (leading), fáceis de recolher e monitorizar, comparáveis e auditáveis. O documento explica por que razão estas caraterísticas são importantes e, em cada caso, os factores a considerar numa perspetiva de melhores práticas.

Definir limiares e limites

A orientação prossegue explicando os processos que podem ser utilizados para selecionar um conjunto de indicadores – considerando os prós e contras de adotar uma abordagem top-down ou bottom-up – e para estabelecer limiares e limites apropriados. “Deve salientar-se que, como os indicadores são representações, o objetivo não é gerir o indicador, mas sim as exposições ao risco operacional. Uma violação de um indicador é um sinal de potenciais ameaças futuras… Os limites e limiares devem refletir a implementação da declaração de apetite pelo risco em cascata pela organização.” Para referência, está disponível orientação separada no Guia de Boas Práticas do IOR sobre Apetite pelo Risco Operacional.

Com os limiares estabelecidos, as organizações devem determinar respostas para a violação dos mesmos. As ‘condições de acionamento’ determinam que ação deve ser tomada e quem é responsável por fazê-lo em cada instância. Além de estarem ligados ao apetite pelo risco de uma organização, a recomendação é que os acionadores devem estar conectados ao ‘grau de sofisticação necessário no sistema de alerta e devem considerar os recursos necessários (pessoas, sistemas e custos) para implementar estruturas mais sofisticadas’.

Gestão e comunicação de indicadores de risco

Como palavra de cautela, uma grande quantidade de esforço será perdida sem dedicar tempo e recursos suficientes à gestão e comunicação dos indicadores de risco chave. No mínimo, são sugeridas revisões anuais, como meio de garantir a relevância, embora a frequência ideal seja determinada pela natureza de um negócio e pela sua escala e complexidade operacional.

Os riscos operacionais estarão sujeitos a alterações, pelo que deve ser implementado um sistema para adicionar ou alterar indicadores de risco operacional chave, juntamente com procedimentos e processos de governança claramente definidos para controlar a definição ou alteração dos níveis de limiar ou limite.

Relativamente à comunicação, o conselho principal é que “sempre que possível, os relatórios de indicadores de risco operacional devem ser desenvolvidos em conjunto com o seu público-alvo, para garantir a máxima compreensão e usabilidade” – desde o conselho de administração e a direção superior das divisões até aos níveis de unidade de negócio ou equipas e funções de apoio, em conformidade. A coordenação central é vantajosa para garantir a consistência e a capacidade de comparar relatórios ou agregá-los para a direção superior. São fornecidos detalhes completos sobre como os relatórios de indicadores podem ser apresentados de forma fácil de utilizar, com linguagem clara e com auxiliares visuais úteis, juntamente com exemplos de relatórios.

Admitidamente, a gestão e comunicação eficazes de indicadores de risco podem ser demoradas, mas de acordo com o IOR, os benefícios resultantes valem bem a pena: “A gestão está efetivamente cega sem acesso às métricas de risco apropriadas”.