O que são indicadores de risco?
Os principais indicadores de risco, conhecidos como KRI (Key Risk Indicators), são usados para determinar o nível de risco que uma organização tem diante de uma determinada ameaça ou evento que pode ocorrer e impactá-la. O indicador de risco deve ser definido com base no apetite de risco da organização .
Qual é o objetivo dos indicadores de risco?
O objetivo do KRI deve ser alertar o gestor de risco de uma mudança na tendência da ameaça, para que possam ser iniciadas ações para seu tratamento ou prevenção.
Com base em um mapa completo e atualizado regularmente dos riscos corporativos , os indicadores de risco devem servir para alertar quando um risco varia fora dos limites aceitáveis.
Os mapas de risco costumam ter dezenas de ameaças consideradas e que afetam todas as áreas da empresa. Dentro deste mapa, os principais riscos para a organização devem ser identificados. Cada um dos principais riscos deve ter seu indicador de risco definido.
Você poderia ter um KRI de cada ameaça identificada no mapa de riscos corporativos, mas por ter um número normalmente alto, poderíamos perder o foco nos riscos mais relevantes para a organização e o objetivo do KRI poderia ser diluído.
Como podem ser definidos os indicadores de risco?
O KRI ou indicador de risco pode ser definido de várias maneiras, dependendo do aspecto da ameaça que mais nos interessa. A grande maioria das metodologias de análise de risco baseia-se na avaliação da probabilidade de ocorrência da ameaça e do impacto que esta pode causar na entidade uma vez que esta se materialize. Os KRIs podem, portanto, ser definidos de acordo com ambos os aspectos:
- Associado à probabilidade, para medir mudanças no cálculo da probabilidade, uma vez que a organização provavelmente deseja evitar a todo custo que o evento ocorra, por exemplo, violações legais.
- Associado ao impacto, para medir mudanças no valor do impacto da ameaça. É usado quando a organização não pode permitir que a ameaça degrade seus processos de negócios, por exemplo, desastres naturais.
- Uma possibilidade adicional é definir o KRI diretamente para o valor de risco da ameaça. É usado quando nos preocupamos em evitá-lo e evitar seu impacto, por exemplo, ataques cibernéticos a sistemas de computador.
- Finalmente, o KRI pode estar associado à eficácia das medidas, salvaguardas ou controles que a organização implementou para evitar que as ameaças se materializem ou para neutralizar seus efeitos quando ocorrerem. Uma mudança no nível de eficácia dessas medidas pode expor a organização à ameaça.
Cada KRI deve ter pelo menos um limiar de alerta incluído na sua definição, para que, se for ultrapassado, por excesso ou deficiência conforme aplicável, ou simplesmente se for atingido, o gestor de risco saiba que a situação deve ser analisada e, como resultado dessa análise, pode ser necessário iniciar ações relacionadas com os controlos ligados à ameaça.
O KRI pode ter mais de um limite quando se trata de medir uma situação intermediária marcada pelo apetite ao risco, entre a exposição ao risco e o controle excessivo do risco, devido ao desperdício de recursos que essa situação pode causar.
Para que o conjunto de KRIs definidos funcione, você não precisa apenas estabelecer o que será medido em relação à ameaça associada e aos limites vinculados. Pelo menos, um responsável deve ser designado, uma periodicidade de medição e a origem da informação devem ser especificadas.
O gestor de risco tem a função de garantir que todos os dados estão disponíveis em cada período de medição marcado, bem como analisar os valores no caso de os limiares estabelecidos serem ultrapassados.
Mapa de risco do GlobalSuite®
Na GlobalSuite Solutions oferecemos a assessoria e o suporte necessários para a implementação do zero de um mapa de riscos corporativos que fornece à empresa informações sobre sua situação diante de riscos que possam impactar o alcance de seus objetivos de negócios. Dentro do projeto, os principais riscos para a organização são identificados e os indicadores de risco são propostos para ajudá-lo no gerenciamento de riscos.
Além disso, contamos com o software GlobalSuite® Risk Management, totalmente desenvolvido por nossa equipe, que permite a implementação, gestão e manutenção do mapa de riscos em todos os tipos de organizações e setores. Ter um software que ajude a automatizar a gestão desse sistema trará múltiplos benefícios para sua empresa ao trabalhar na implementação da gestão de riscos em sua organização.
