Integração dos KRIs na Estratégia de Gestão de Riscos

O ambiente empresarial tem se mostrado cada vez mais incerto e volátil, por isso, a capacidade de antecipar e gerenciar riscos tornou-se uma habilidade fundamental para a sobrevivência e o sucesso das organizações.

A gestão de riscos é um processo contínuo e sistemático que busca compreender como eventos podem afetar negativamente ou positivamente uma organização, quais as probabilidades e como esses riscos podem potencialmente impactar o alcance dos objetivos estratégicos previamente definidos.

Considerando que os riscos podem afetar diversas áreas de uma companhia, é importante que haja além da priorização dos riscos relevantes e das respectivas estratégias de resposta, o uso de métricas que servem como sinais de alerta, indicando que determinado risco está para se materializar e afetar negativamente o desempenho e/ou o alcance de objetivos estratégicos.

É esse o papel dos Key Risk Indicators (KRIs). Eles são como faróis, alertando sobre potenciais materializações antes que se transformem em problemas efetivamente, permitindo que a gestão acione respostas e medidas em tempo hábil.

Este artigo visa discorrer sobre como os KRIs devem ser integrados às práticas de gestão de riscos das empresas, a importância de alinhar os KRIs com o apetite ao risco da organização e como sua aplicação pode ser um diferencial competitivo no mercado. Com um enfoque estratégico e prático, pretendemos fornecer insights relevantes para gestores e profissionais que buscam aprimorar o monitoramento e a resposta aos riscos em suas empresas.

Entendendo os Alicerces dos Indicadores de Risco

Um indicador chave de risco (KRI - Key Risk Indicator) é uma métrica ou medida quantitativa usada para avaliar e monitorar o nível de exposição ao risco relacionado a uma área, processo, atividade, projeto ou entidade.

Os KRIs são usados para fornecer uma visão clara e objetiva dos riscos associados a uma organização, permitindo que a gerência identifique e tome medidas para mitigar ou gerenciar riscos específicos, permitindo uma abordagem proativa para gerenciá-los, com foco na redução da exposição da Companhia a esses riscos.

Os KRIs são geralmente selecionados com base em sua capacidade de servir como um alerta antecipado, indicando a possível ocorrência de problemas ou eventos adversos significativos. Eles são medidos em intervalos regulares e devem ser monitorados de acordo com o apetite ao risco estabelecido para garantir que a instituição esteja ciente de variações de exposição em tempo hábil.

A implementação de Indicadores de Risco (KRIs) é uma parte integrante do processo de monitoramento e análise crítica dentro do framework da ISO 31000, que é a norma internacional para a gestão de riscos.

Dentro do ciclo de gestão de riscos proposto pela ISO 31000, que inclui a avaliação, tratamento, monitoramento e revisão de riscos, os KRIs desempenham um papel fundamental no monitoramento contínuo da exposição de riscos pelas áreas de negócio. Eles ajudam a garantir que o processo de gestão de riscos feitos pelos líderes de negócio forneçam informações atualizadas e esteja ajustado às condições internas e externas em constante mudança. Ao fornecer dados quantitativos e qualitativos, os KRIs contribuem para uma análise crítica que pode levar a uma melhoria contínua de práticas e processos internos, assegurando que a organização não apenas proteja, mas também crie valor em face da incerteza.

A eficácia dos KRIs está intrinsecamente ligada à sua relevância e alinhamento aos objetivos estratégicos da organização. A seleção criteriosa de métricas que reflitam com precisão o perfil de risco da empresa é crucial. Isso envolve uma compreensão profunda dos processos internos e do ambiente externo em que a organização opera.

A implementação bem-sucedida de KRIs exige uma abordagem colaborativa, em que as partes interessadas de diferentes níveis e funções contribuem com suas perspectivas e conhecimentos especializados. Isso garante que os indicadores sejam abrangentes e que haja um consenso sobre o que contribui diretamente para a construção desse “farol” que irá alertar sobre variações de exposição de um risco. Além disso, é essencial que haja uma comunicação eficaz dos resultados dos KRIs para que a gestão possa tomar decisões informadas e oportunas.

Por fim, a integração dos KRIs no processo de tomada de decisão e na cultura de gestão de riscos da organização é um passo vital para fortalecer a resiliência e a capacidade de adaptação. Os KRIs não são apenas ferramentas de monitoramento, mas também atuam como catalisadores para a melhoria contínua e a inovação na gestão de riscos. Eles incentivam uma mentalidade de antecipação e preparação para a reação, e promovem uma cultura em que o risco é visto como parte integrante da estratégia e da operação, e não apenas como um obstáculo a ser superado.

Diferenciando Indicadores de Risco e de Desempenho

Indicadores de risco e de desempenho são ferramentas essenciais para a gestão de negócios. Embora ambos sejam importantes, servem a propósitos distintos e são fundamentais para diferentes aspectos da estratégia corporativa. Compreender suas diferenças é vital para aplicá-los efetivamente e extrair o máximo valor de cada um.

Indicadores de desempenho, ou Key Performance Indicators (KPIs), são métricas que refletem os resultados estratégicos e operacionais. Estes são quantitativos por natureza e são usados para medir a eficiência, a produtividade e o desempenho em várias áreas da empresa. KPIs podem incluir fatores como receita, lucratividade, satisfação do cliente e qualidade do produto. Eles são retrospectivos, fornecendo uma visão do que já foi alcançado e indicando o sucesso ou fracasso em relação aos objetivos estabelecidos.

Por outro lado, os indicadores de risco, ou Key Risk Indicators (KRIs), são métricas que ajudam a prever e monitorar potenciais materializações de riscos que podem impactar negativamente a organização. Estes são projetados para fornecer sinais de alerta tempestivos de possíveis problemas, permitindo que a gestão tome medidas preventivas. KRIs são frequentemente associados a aspectos como riscos financeiros, operacionais, legais e de reputação. Eles são proativos, focados na antecipação de problemas e mitigação de riscos antes que eles se materializem de fato.

A diferença entre KPIs e KRIs também se reflete em sua aplicação. KPIs são usados para rastrear o progresso em direção a metas já definidas e para avaliar o desempenho atual da organização. Eles são frequentemente vinculados a incentivos e podem motivar a equipe a alcançar metas específicas. KRIs, no entanto, são utilizados para identificar áreas onde a organização é vulnerável e para preparar planos de contingência. Estes são essenciais para a gestão de riscos e ajudam a criar uma cultura de prevenção e prontidão.

Além disso, enquanto KPIs são muitas vezes estabelecidos com base em benchmarks do setor ou em metas históricas da própria empresa, KRIs são determinados por uma análise de risco que considera o ambiente interno e externo da organização. Isso significa que KRIs podem mudar mais frequentemente do que KPIs, adaptando-se às novas ameaças e mudanças no cenário de negócios.

A implementação de KPIs e KRIs requer uma abordagem estratégica e um entendimento claro de seus propósitos. KPIs devem ser alinhados com a visão e os objetivos da empresa, enquanto KRIs devem ser alinhados com o apetite ao risco da organização e sua capacidade de tolerar variações. Ambos devem ser comunicados de forma eficaz em toda a organização para garantir que todos os membros da equipe entendam seu papel na promoção do sucesso e na mitigação de riscos.

Dessa forma, enquanto os KPIs olham para o que foi realizado e ajudam a impulsionar o desempenho futuro, os KRIs olham para o que pode acontecer e ajudam a proteger contra possíveis contratempos. Ambos são complementares e, quando usados em conjunto, proporcionam uma visão abrangente da saúde e do potencial de uma organização. Entender e diferenciar esses indicadores é um passo crucial para uma gestão eficaz e para a sustentabilidade de longo prazo de qualquer negócio.

Desafios e Soluções na Implementação de KRIs

Ainda que seja uma etapa fundamental na gestão de riscos, a implementação de Indicadores Chave de Risco pode esbarrar em alguns desafios, como:

Resistência à mudança: trata-se de um obstáculo comum quando iniciamos um novo processo, tecnologia ou prática. A introdução de KRIs pode ser vista como uma potencial exposição negativa junto à alta liderança ou uma atividade adicional para as equipes que já atuam sob pressão ou com alto volume de atividades. Para superar essa resistência, é essencial que todos os envolvidos no tema sejam acionados para atuar em conjunto com a equipe de gestão de riscos no desenho do KRI. A comunicação clara sobre os benefícios dos KRIs para a gestão e como eles podem ajudar na antecipação de problemas contribui diretamente no engajamento. Treinamentos e workshops favorecem o e aceitação do uso de KRIs como uma das ferramentas para alcance dos resultados planejados.

Definição de métricas apropriadas: a escolha de métricas mensuráveis que sejam significativas para monitorar o risco é um dos passos mais importantes no estabelecimento do KRI. A EY conta com especialistas de diversas áreas e competências para apoiar na definição das melhores métricas e no melhor uso de dados históricos para o estabelecimento de KRIs. É importante que os KRIs sejam adaptados à realidade da organização e que haja flexibilidade para ajustá-los conforme necessário.

Estabelecimento dos limites de tolerância: cada organização enfrenta um conjunto único de desafios, que podem variar amplamente em tipo e magnitude, exigindo uma análise cuidadosa dos limites de exposição de cada risco, para que não sejam restritivos a ponto de sufocar a inovação e o progresso, e nem tão extensos que exponham a organização acima de seu apetite ao risco. Além disso, a dinâmica do mercado e o ambiente regulatório estão em constante mudança, o que significa que os limites de tolerância precisam ser revisados e ajustados periodicamente para refletir a conjuntura de momento do negócio. Isso requer um entendimento profundo do arcabouço regulatório da organização, uma avaliação precisa da sua capacidade de absorver perdas e uma cultura de gestão de riscos conectada com o processo decisório.

Integração com sistemas existentes: a implementação do KRI deve ser planejada com a colaboração entre departamentos de TI, gestão de riscos e áreas de negócio. A utilização de tecnologias adaptáveis e a configuração de interfaces intuitivas podem facilitar a implementação efetiva dos KRIs.

Manutenção e atualização contínua: os KRIs não são estáticos; eles precisam ser mantidos e atualizados regularmente para refletir mudanças no ambiente de negócios e impactos na estratégia da organização. Estabelecer um processo de revisão periódica dos KRIs é essencial. Isso inclui monitorar a entrada de novos riscos, avaliar a eficácia dos KRIs existentes e fazer ajustes conforme necessário. A alta administração deve estar envolvida neste processo para garantir que os KRIs permaneçam alinhados aos objetivos estratégicos. Em resumo, a implementação de KRIs traz consigo uma série de desafios que podem ser superados com planejamento adequado, comunicação eficaz e envolvimento das partes interessadas. As soluções passam por treinamento, colaboração entre áreas, uso de tecnologia e processos de revisão contínua.

Ao enfrentar esses desafios de frente, as organizações podem garantir que seus sistemas de gestão de riscos sejam robustos, dinâmicos e capazes de suportar os objetivos de longo prazo da empresa.

Nossa Abordagem

A EY desenvolveu um framework para o desenvolvimento e a implementação de KRIs considerando as seguintes etapas:

1. Identificação e Inventário de Riscos: levantamento dos riscos relevantes à organização e a compilação dos dados relacionados para análise posterior.
2. Diagrama de Risco: elaboração de um mapa mental, que mostra detalhadamente causas e consequências dos riscos, de forma diretamente conectada com dados e métricas internas e externas do negócio.
3. Modelo de Cálculo e Tolerância: definição de uma metodologia para modelar cálculos a partir de dados  relevantes e estabelecer níveis de tolerância, considerando limites e gatilhos (farol), de acordo com o apetite ao risco da organização.
4. Validação de Dados: análise e confirmação da precisão e confiabilidade dos dados coletados junto às áreas de negócio, para assegurar a efetividade dos KRIs.
5. Governança de Dados: implementação de políticas e procedimentos para a gestão da coleta, atualização e qualidade de dados, incluindo a contínua busca por automação do processo.
6. Monitoramento de Indicadores: acompanhamento regular dos indicadores, para detectar alterações na exposição ao risco e necessidade de ações de resposta.
7. Análise de Desvios: investigação de causas de variações nos indicadores em comparação com os limites e gatilhos estabelecidos, para identificar potenciais pontos de melhoria e mitigar / endereçar desvios.
8. Avaliação de Impacto: avaliação das consequências dos desvios identificados em diversos âmbitos da organização, para compreender a extensão de seu impacto.
9. Revisão de Métricas e Tolerância: ajuste das métricas e dos níveis de tolerância conforme a necessidade, baseando-se nos resultados e impactos observados.
10. Relatório e Recomendações: apresentação dos resultados do monitoramento e análise dos riscos para os gestores, com recomendações para melhorias continuadas.

Essa metodologia apresentada está contida na abordagem de Gestão de Riscos da EY, que favorece uma visão holística e integrada, para a preservação e crescimento sustentável dos negócios. Com sua estrutura sistemática e abrangente, a Gestão de Riscos não apenas fortalece as empresas frente aos desafios e incertezas do ambiente corporativo, mas também proporciona um mecanismo que apoia a tomada de decisões estratégica baseada em dados confiáveis e análises criteriosas e tempestivas.

A metodologia de Gestão de Riscos fortalece a cultura organizacional e o foco na execução da estratégia corporativa. Isso estimula o envolvimento de toda a empresa na identificação e monitoramento dos riscos, promovendo a transparência e a performance. O valor agregado estende-se para além da mitigação de ameaças, permeando a capacidade da organização de inovar e se adaptar, garantindo que cada decisão seja pesada não somente em termos de oportunidades, mas também de riscos potenciais. Dessa forma, a Gestão de Riscos torna-se um pilar fundamental para as operações do negócio, integrando-se aos processos chave e proporcionando uma vantagem competitiva tangível ao otimizar o equilíbrio entre risco e retorno.