A questão da previsibilidade dos indicadores ainda provoca um debate muito ativo entre os gestores de risco. Preditivo, proativo, preventivo – os adjetivos são diferentes, mas abordam a mesma questão: podemos prevenir incidentes antes que eles aconteçam? Sim, absolutamente. É o coração da gestão de riscos. E os indicadores de risco podem e devem desempenhar um papel na prevenção de incidentes. Em algumas grandes cidades da Europa, por exemplo, os motoristas de táxi estão limitados a trabalhar no máximo até onze horas por dia, já que o cansaço é um contribuinte bem documentado para acidentes automobilísticos. De modo geral, conhecer os fatores de risco dos incidentes é um requisito para a sua prevenção. E é também um requisito para a seleção de indicadores-chave de risco (KRIs) eficazes.
Os fatores de risco são bem conhecidos em muitas áreas. Transportes, segurança da informação ou telecomunicações são setores que têm sido muito bem observados há tempos, ao ponto de os especialistas saberem o que monitorar e quando intervir. No setor financeiro, especialmente no varejo, analistas de crédito entendem claramente quais os racionais financeiros, os comportamentos de gestão e as condições econômicas que irão desencadear um aumento no risco de crédito. Da mesma forma, muitas instituições financeiras já identificaram e desenvolveram o monitoramento de KRIs específicos para o risco de negociações fraudulentas (rogue trading) nas mesas de tesouraria, por exemplo. No entanto, uma grande parte dos fatores de risco relacionados ao risco operacional, especialmente no setor de serviços financeiros, não é tão bem compreendida. A análise dos fatores de risco operacional ainda é imatura e encontrar KRIs satisfatoriamente preditivos constitui um grande desafio para muitas instituições financeiras.
Identificando KRIs Adequados
A relação entre indicador chave de desempenho, indicador de controle e indicador chave de risco. O que é um indicador chave de risco (KRI) comparado com um indicador chave de desempenho (KPI)? Teoricamente pode parecer simples, mas na prática a taxonomia dos indicadores é confusa e as definições são muitas vezes redundantes. Na verdade, os KPI, KRI e os principais indicadores de controle (KCI) sobrepõem-se em muitos casos, especialmente quando falham. O mau desempenho muitas vezes se torna uma fonte de risco. Por exemplo, o fraco desempenho tecnológico, como o tempo de inatividade de um sistema, torna-se um KRI para erros e integridade de dados. Portanto, KPIs com mau desempenho são definitivamente candidatos a indicadores de risco.
A rede de pagamentos Swift, por exemplo, conhecida pela sua aversão ao risco e práticas rigorosas de gestão de risco, utiliza apenas KPIs para monitorar as suas atividades, embora muitos indicadores de desempenho sejam de fato rastreadores de risco, tais como indicadores de sobrecarga dos centros de rede. Os KCIs são candidatos ainda mais óbvios a KRIs com bom poder preditivo: uma falha no controle é sempre uma fonte de risco, exceto quando o controle é supérfluo. Além disso, o desempenho falho de uma função de controle é definitivamente um KPI, um KRI e um KCI. Por exemplo, confirmações atrasadas de transações mostram um fraco desempenho do backoffice (um KPI), aumentam o risco de disputas legais, erros de processamento e negociações não autorizadas (um KRI) e sinalizam falhas de controle no processamento das transações (um KCI).
Muitas atividades de negócios são separadas em uma fase transacional e uma fase de monitoramento. A fase transacional é a etapa inicial de um processo: atribuição de um empréstimo, escolha de um fornecedor, compra de um instrumento financeiro e assim por diante, a qual é caracterizada por uma série de controles sucessivos, incluindo identificação e due diligence de clientes, análise de condições de empréstimos e verificação de fornecedores. A falha em qualquer um desses controles coloca uma transação em risco. Portanto, nesse caso, os indicadores de falhas de controle podem indicar o grupo de KRIs mais apropriados nas transações.
Já a fase de monitoramento diz respeito à vida de um produto ou serviço – a vida de um empréstimo, de um cartão de crédito, da gestão de um projeto, de uma carteira financeira. As fases de monitoramento são caracterizadas pela vigilância de diversos fluxos e controles de qualidade: calendário de reembolsos, entregas de projetos, retornos do portfólio etc. Neste caso, os KPIs com mau desempenho são os primeiros candidatos a indicadores de risco, ao sinalizarem precocemente uma deterioração do negócio.
A "causa da causa": causas raízes dos eventos adversos
Como mencionei anteriormente, para que possam ser preditivos de forma realmente eficaz, os KRIs precisam de abordar os fatores de risco, as suas causas originais. Tal como o cansaço nos acidentes automobilísticos, os gestores de risco precisam de identificar, no ruído das atividades do dia a dia, as causas profundas dos eventos adversos, “a causa da causa” do que está acontecendo de errado. Indo além das causas aparentes dos eventos operacionais, muitas vezes descobrimos um conjunto totalmente diferente de razões pelas quais os incidentes ocorrem. A procura das causas raízes é um exercício fundamental para os gestores de risco que pode ser apoiado por ferramentas práticas.
A ferramenta da “gravata borboleta” (bow-tie) envolve listar no lado esquerdo todas as causas de um incidente, enquanto no lado direito do evento são exibidas todas as consequências diretas e indiretas do evento, moldando o gráfico como uma gravata borboleta (daí seu nome). Um pouco mais de informação sobre essa ferramenta pode ser encontrada no meu artigo Taxonomia: dicas para melhorar o seu dicionário de riscos operacionais. Para capturar uma causa com um indicador, os gestores precisam de uma métrica que a represente ou de seus motivadores, elementos mensuráveis para rastrear e acionar níveis de alertas. Ou seja, as métricas que capturam as causas raízes são um terceiro tipo de KRIs preventivos.
Por exemplo, se uma das causas de erros elevados em um backoffice é a falha de pessoal devido à falta de ação apropriada após um mau desempenho, então o número de avaliações de desempenho baixas não seguidas de ações apropriadas (treinamento, feedback etc.) pode ser uma métrica apropriada para um KRI.
Indicadores do ambiente organizacional
A quarta e última categoria de candidatos a KRI preventivos são os chamados "indicadores do ambiente organizacional", que refletem o contexto em que o negócio opera: se o contexto muda, o risco muda. Um tipo de indicador do ambiente organizacional envolve a avaliação do “estiramento” de recursos, sejam eles físicos ou humanos. A sobrecarga dos sistemas de TI aumenta o risco de incidentes, tal como a sobrecarga de trabalho dos funcionários aumenta o risco de erros e de estresse nas equipes. Capturar esses processos em KRIs é um dos caminhos mais promissores de pesquisa para gestores de risco operacional.
Um segundo tipo de indicadores do ambiente organizacional diz respeito às exposições críticas. Fornecedores, materiais ou clientes essenciais, bem como a complexidade do produto ou a volatilidade do mercado, impulsionam o ambiente de risco em que o negócio opera. Qual é o nível de risco alto? Uma resposta em termos absolutos é muitas vezes irrelevante, uma vez que as respostas variam por indústria e por empresa. Melhores indicadores captam uma mudança neste ambiente em vez de números absolutos. Dependendo da natureza do negócio, um certo aumento percentual no número de transações processadas por funcionário, na volatilidade do mercado ou na concentração da base de clientes são possíveis indicadores do ambiente organizacional.
A figura a seguir resume os tipos de candidatos a KRIs que discutimos acima:
Design e Governança de KRIs
Além de identificar os possíveis candidatos a KRI, as empresas também precisam de considerar as questões que envolvem a sua concepção e governança. De cima para baixo versus de baixo para cima, geral versus específico, níveis de desencadeamento e planos de ação para KRIs são questões ainda amplamente discutidas. Muitas destas questões podem ser resolvidas através de um programa abrangente de KRI, permitindo diferentes tipos de indicadores dependendo das atividades envolvidas.
Oito critérios são suficientes para definir um KRI:
nome da métrica,
descrição,
forma de mensuração,
frequência,
níveis de gatilho,
critérios de escalonamento,
propriedade (quem é responsável pelo indicador)
precisão dos dados.
Atividades de alta frequência e ricas em dados são naturalmente mais favoráveis ao desenvolvimento de KRIs. Serviços bancários online, call centers e backoffices de tesouraria são áreas típicas onde os KRIs podem e devem ser desenvolvidos. Os indicadores são mais adequados para ambientes quantitativos onde a medição e a automação são fáceis, onde a frequência de relatórios é alta, desde diariamente até em tempo real, com sistemas automatizados, e onde a precisão dos dados é geralmente boa.
No outro extremo do espectro, os indicadores de Recursos Humanos, por exemplo, relativos à sobrecarga de pessoal, vagas prolongadas, estruturas de incentivos tendenciosas ou formação insuficiente são mais qualitativos, imprecisos e pouco frequentes. Contudo, continuam a ser relevantes, desde que abordem os fatores de risco operacional identificados pela organização.
Por fim, três observações práticas sobre governança de KRIs:
KRI específicos e próximos da realidade do negócio serão provavelmente muito mais preditivamente eficazes do que os genéricos, de cima para baixo, definidos pela alta gestão.
Os níveis de gatilho dependerão dos requisitos do negócio, da importância estratégica das atividades e da tolerância ao risco da organização.
Critérios de escalonamento devem normalmente ser homogêneos para todos os KRIs – por exemplo, uma cor amarela pode exigir uma monitorização rigorosa da gestão de riscos, enquanto uma cor vermelha pode desencadear uma intervenção de auditoria interna.
