A gestão de riscos corporativos evoluiu significativamente nos últimos anos, impulsionada pela transformação digital e pela abundância de dados gerados em diversas plataformas, onde cada vez mais se tomam decisões baseadas em todos estes dados que temos em mãos até para antecipar ameaças e tomar decisões melhores.
Uma das ferramentas mais importantes nessa abordagem é o uso de Indicadores Chave de Riscos, os chamados: "Key Risk Indicators" ou mais comum de vermos pela sigla em inglês: "KRI", que nos oferecem uma visão antecipada de potenciais eventos de risco, possibilitando uma resposta eficaz antes que o dano ocorra.
Tenho ajudado muitas IFs na discussão do seu apetite a riscos, com a criação e/ou melhoria da sua declaração (RAS), onde uma etapa importante é exatamente esta escolha de que métricas usar. Aliás, este texto é em homenagem ao Felipe Avila e ao Rodrigo Soares Vasconcelos Rodrigues, com quem estou trabalhando e discutindo exatamente neste momento ajudando com este tema, da revisão da RAS e definição e melhoria nos KRIs de todos os principais riscos.
Vou tentar refletir e falar mais abaixo de como desenvolver e gerenciar KRIs para maximizar a resiliência operacional e a eficiência dos programas de gestão de riscos.
O Que é um Indicador Chave de Risco (KRI)?
Acho importante começar explicando o que são os tais Indicadores Chave de Risco (KRIs), que nada mais são do que métricas desenvolvidas para fornecer alertas antecipados de potenciais eventos de risco.
São alimentados por dados internos ou externos e ajudam a prever a probabilidade de um evento de risco ocorrer, sua velocidade e o impacto potencial na empresa.
Importante também aqui no começo explicar sobre a principal diferença entre um KRI e um KPI, é que enquanto os KPIs medem o desempenho passado, os KRIs são voltados para o futuro, ajudando a evitar incidentes antes que eles aconteçam.
KRIs são ferramentas proativas que permitem monitorar e antecipar eventos de risco, como por exemplo em uma empresa que enfrenta riscos de ataques cibernéticos, um KRI pode monitorar o número de tentativas de phishing detectadas, oferecendo uma visão antecipada de uma possível violação de dados, o que vai proporcionar tempo suficiente para tomar medidas preventivas, como reforçar a segurança ou treinar funcionários.
Importância dos KRIs na Gestão de Riscos Corporativos (ERM):
A incorporação de KRIs em um programa de gestão de riscos corporativos oferece várias vantagens significativas. Alguns dos principais benefícios são:
- Redução da Incerteza: KRIs proporcionam maior visibilidade sobre potenciais riscos, reduzindo o nível de incerteza associado à gestão de riscos. Eles permitem uma detecção mais rápida de ameaças emergentes e proporcionam tempo suficiente para resposta.
- Aumento da Resiliência Operacional: Empresas que monitoram de perto seus riscos são mais capazes de adaptar suas operações rapidamente, minimizando interrupções em suas atividades.
- Eficiência do Programa de Gestão de Riscos: KRIs ajudam a priorizar os esforços de mitigação, concentrando recursos nas áreas com maior exposição ao risco, aumentando a eficiência da alocação de recursos.
- Identificação de Oportunidades Estratégicas: O monitoramento adequado dos KRIs pode revelar oportunidades estratégicas ao antecipar tendências de mercado ou mudanças no ambiente operacional.
- Melhoria na Tomada de Decisões: Através de dados confiáveis e atualizados, as decisões de risco se tornam mais informadas e fundamentadas, permitindo uma abordagem mais holística e proativa na gestão dos riscos.
Diferenças e Interconexão Entre KRIs e KPIs:
Como tinha comentado rapidamente acima, os Indicadores Chave de Risco (KRIs) e os Indicadores Chave de Desempenho (KPIs) têm funções distintas, embora ambos sejam essenciais para uma visão completa do desempenho de uma organização.
A principal diferença entre eles está no tempo e no foco:
- KPIs medem o desempenho passado, como a progressão em relação a metas financeiras, taxa de retorno sobre investimentos ou sucesso na adoção de novos produtos. São ferramentas retrospectivas, avaliando o que já ocorreu.
- KRIs são projetados para prever e antecipar riscos futuros. Eles são utilizados para monitorar tendências que podem levar a problemas futuros, permitindo a tomada de medidas preventivas.
No entanto, em alguns casos os KRIs podem atuar como KPIs, como por exemplo, se uma empresa implementa uma nova política de cibersegurança e deseja monitorar seu impacto, um KRI pode medir a quantidade de tentativas de phishing evitadas, o que também serve como um KPI para avaliar a eficácia dessa política.
O desenvolvimento de KRIs eficazes exige uma abordagem estratégica, que envolve vários passos. Cada etapa é crucial para garantir que os KRIs forneçam informações acionáveis e contribuam para a mitigação proativa de riscos.
Vou então tentar detalhar abaixo cada uma das etapas:
Compreender o Negócio e suas Prioridades Estratégicas:
Tudo começa com um primeiro passo para o desenvolvimento de KRIs, que é alinhar os riscos monitorados com as prioridades estratégicas da empresa, com um mapeamento de todos os riscos que podem impactar diretamente os objetivos de negócios, até porque a finalidade dos KRIs é garantir que esses riscos sejam monitorados de perto e que ações possam ser tomadas rapidamente para evitar que se concretizem.
Por exemplo, se uma empresa tem uma estratégia de expansão internacional, os KRIs podem monitorar riscos como mudanças nas políticas econômicas globais ou instabilidades cambiais, que poderiam afetar diretamente a lucratividade dessa estratégia.
Priorização dos Riscos:
Uma vez que os riscos tenham sido identificados, é necessário priorizá-los com base em seu impacto potencial e probabilidade, e existem duas formas principais de fazer isso:
- Análise Qualitativa de Risco: Envolve a realização de pesquisas e entrevistas com a liderança e equipes operacionais para obter insights sobre quais riscos são mais preocupantes, com o uso de ferramentas como matrizes de risco e mapas de calor, que ajudam a visualizar e classificar os riscos de forma mais fácil.
- Análise Quantitativa de Risco: Utiliza técnicas para a simulação das perdas financeiras potenciais associadas a um determinado risco, colocando números. A análise quantitativa oferece uma visão mais detalhada, auxiliando na justificativa para alocar recursos em medidas de mitigação.
Identificação das Causas Raiz dos Eventos de Risco:
Entender a causa raiz de cada risco é essencial para o desenvolvimento de KRIs eficazes, pois a identificação das origens dos riscos permite que a empresa monitore os eventos que antecedem o risco, fornecendo tempo suficiente para intervir.
Por exemplo, no caso de ataques de phishing, a causa raiz pode ser a falta de conscientização dos funcionários. Neste caso, o número de tentativas de phishing fracassadas ou o número de funcionários que não conseguem identificar ataques simulados podem ser usados como KRIs.
Centralização e Visualização de Dados:
Com a coleta de dados relevante em andamento, o próximo passo é centralizar essas informações, através de sistemas de Governança, Risco e Conformidade (GRC), que oferecem soluções integradas que permitem a visualização e monitoramento contínuos dos KRIs, fornecendo painéis de controle acessíveis para todas as partes interessadas, o que facilita em muito a análise e a resposta rápida quando um KRI atinge níveis críticos.
Definição de KRIs Claros e Acessíveis:
Para que os KRIs sejam eficazes, eles precisam ser mensuráveis, previsíveis, relevantes e específicos. Além disso, devem ser de fácil compreensão para as partes interessadas. Isso garante que qualquer pessoa responsável pela gestão de um risco compreenda rapidamente o que o KRI está sinalizando e possa tomar decisões apropriadas.
Monitoramento e Ação Baseados em KRIs:
O monitoramento contínuo dos KRIs é fundamental para garantir que os riscos sejam gerenciados de forma eficaz, sendo que para cada KRI deve haver um responsável designado que acompanha o indicador e toma as ações necessárias caso o limite seja excedido.
A definição de limites adequados é um ponto crítico, e deve ser baseada, por exemplo, em dados históricos e em uma análise detalhada dos cenários de risco.
O uso de sistemas de GRC pode acelerar o processo de resposta, enviando alertas automáticos aos responsáveis quando um KRI ultrapassa determinado limiar, o que possibilita uma resposta rápida e eficaz, evitando que o risco se materialize em um problema significativo.
Relatórios Baseados em KRIs:
Os KRIs também desempenham um papel importante na comunicação de riscos aos stakeholders, mas cuidado, pois é necessário ajustar o nível de detalhe conforme o público-alvo.
Por exemplo, para a alta gestão e o conselho de administração, os relatórios devem ser concisos e focados nos riscos mais críticos, enquanto para os gerentes de risco e responsáveis operacionais, um maior nível de detalhamento é necessário.
A apresentação visual dos KRIs, como gráficos e dashboards, é recomendada, pois facilita a compreensão e ajuda a alinhar a visão de risco entre diferentes partes da empresa.
Melhoria Contínua dos KRIs:
Os KRIs devem ser continuamente revisados e aprimorados para garantir sua eficácia. Novos dados, mudanças no ambiente regulatório ou na estratégia da empresa podem exigir a criação de novos KRIs ou a modificação dos existentes. Além disso, a eficácia de cada KRI deve ser constantemente avaliada, com ajustes sendo feitos conforme necessário.
Por exemplo, se um KRI falha em prever um evento de risco significativo, é necessário revisar sua metodologia e dados para entender onde ocorreram as falhas e como o indicador pode ser aprimorado para fornecer uma visão mais precisa no futuro.
Como podemos ver acima, os KRIs são ferramentas indispensáveis na gestão proativa de riscos, permitindo às empresas antecipar ameaças e tomar medidas preventivas antes que os riscos se concretizem. É fundamental o desenvolvimento de KRIs eficazes, alinhados aos objetivos estratégicos da empresa e baseados em dados confiáveis, o que pode transformar a gestão de riscos em uma vantagem competitiva, melhorando a resiliência operacional e a capacidade de tomada de decisões.