“É impossível conduzir um carro sem ter acesso a métricas sobre factores como a velocidade ou a temperatura. Da mesma forma, a gestão necessita de métricas para apoiar a tomada de decisões eficazes e para garantir que a organização se afasta das ameaças aos seus objectivos estratégicos e operacionais.” O Key Risk Indicators Operational Risk Sound Practice Guidance do Institute of Risk sugere que, embora os gestores não sejam estranhos aos indicadores e métricas – utilizam-nos diariamente para assumir as suas responsabilidades e para ajudar na tomada de decisões – devem tirar partido dos indicadores de risco operacional como um meio acessível de monitorizar a exposição ao risco. Uma melhor consciencialização do risco e a base para “decisões de gestão operacional do risco bem informadas” resultarão de um quadro de gestão do risco operacional bem organizado (o “Santo Graal” das melhores práticas de gestão do risco operacional).
Os KRIs como ferramenta de business intelligence
O ponto de vista do IOR é que os indicadores-chave de risco (KRI) devem ser tratados como indicadores aplicados aos riscos operacionais a que uma organização pode estar altamente exposta, que podem comprometer o cumprimento dos objectivos operacionais ou não se enquadrar na apetência pelo risco. Os indicadores também podem ser utilizados para realçar os aspectos positivos, como um controlo interno eficaz, quando se encontram dentro dos limites definidos, e para dar garantias de que os riscos estão a ser geridos de forma adequada ao conselho de administração e às partes interessadas. Neste contexto, a fim de identificar eficazmente quais os riscos operacionais que são “chave”, o IOR aconselha os profissionais de risco a seguirem as suas orientações para a Auto-Avaliação do Controlo de Riscos (RCSA), disponíveis para download. Os riscos-chave serão aqueles com as maiores pontuações de exposição ao risco inerente e/ou residual. Como uma ferramenta de business intelligence, os indicadores podem apoiar:
- Monitorização, avaliação e modelação dos riscos
- A implementação de um quadro de apetência pelo risco
- Governação e garantia das empresas
Caraterísticas desejáveis do KRI
Após um capítulo dedicado à finalidade dos indicadores, as orientações sobre os indicadores-chave de risco descrevem as caraterísticas desejáveis dos indicadores. Ao selecionar indicadores de risco operacional eficazes, aconselha-se que sejam relevantes, mensuráveis, orientados para o futuro (leading), fáceis de recolher e monitorizar, comparáveis e auditáveis. O documento explica por que razão estas caraterísticas são importantes e, em cada caso, os factores a considerar numa perspetiva de melhores práticas.
Definir limiares e limites
As orientações explicam os processos que podem ser utilizados para selecionar um conjunto de indicadores – tendo em conta os prós e os contras de adotar uma abordagem descendente ou ascendente – e para estabelecer limiares e limites adequados. “É de salientar que, uma vez que os indicadores são proxies, o objetivo não é gerir o indicador, mas sim as exposições ao risco operacional. A violação de um indicador é um sinal de potenciais ameaças futuras… Os limites e os limiares devem refletir a implementação da declaração de apetência pelo risco em cascata na organização.” Para referência, estão disponíveis orientações separadas no Guia de Práticas Sólidas do IOR sobre Apetência pelo Risco Operacional. Com os limites estabelecidos, as organizações devem determinar as respostas para a violação dos limites. As “condições de desencadeamento” determinam que medidas devem ser tomadas e quem é responsável por isso em cada caso. Além de estarem ligados ao apetite de risco da organização, a recomendação é que os gatilhos devem estar ligados ao “grau de sofisticação exigido no sistema de alerta e devem considerar a sobrecarga de recursos (pessoas, sistemas e custos) necessária para implementar estruturas mais sofisticadas”.
Gestão e comunicação de indicadores de risco
Como palavra de cautela, perder-se-ão muitos esforços se não se dedicar tempo e recursos suficientes à gestão e comunicação dos principais indicadores de risco. Sugere-se, no mínimo, revisões anuais, como forma de garantir a relevância, embora a frequência ideal seja determinada pela natureza da empresa e pela sua escala e complexidade operacional. Os riscos operacionais estarão sujeitos a alterações, pelo que deve ser implementado um sistema para acrescentar ou alterar os principais indicadores de risco operacionais, juntamente com procedimentos claramente definidos e processos de governação para controlar a fixação ou alteração dos níveis de limiar ou de limite. No que diz respeito aos relatórios, o conselho mais importante é que “sempre que possível, os relatórios dos indicadores de risco operacional devem ser desenvolvidos em conjunto com o público a que se destinam, para garantir a máxima compreensão e facilidade de utilização” – desde o conselho de administração e a direção da divisão até à unidade ou equipas de negócios e níveis de funções de apoio em conformidade. A coordenação central é vantajosa para garantir a coerência e a capacidade de comparar relatórios ou de os agregar para a gestão de topo. São fornecidos todos os pormenores sobre a forma como os relatórios de indicadores podem ser apresentados de uma forma fácil de utilizar, com uma linguagem clara e com recursos visuais úteis, juntamente com exemplos de relatórios. É certo que a gestão e o reporte eficazes de indicadores de risco podem ser morosos mas, de acordo com o IOR, os benefícios resultantes valem bem a pena: “A gestão é efetivamente cega sem acesso às métricas de risco adequadas”.