GRC: Metrics no Integrated Risk Management

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • As métricas de risco são definidas como uma medida quantificável usada para rastrear e avaliar o status de um risco específico. As métricas ajudam a rastrear a exposição de um risco ao longo do tempo.

    Os indicadores de risco são uma ferramenta importante na gestão de riscos operacionais. Os indicadores facilitam o monitoramento e o controle de risco. Portanto, eles podem ser usados para oferecer suporte a uma variedade de atividades e processos de gestão de riscos operacionais, como identificação de riscos, avaliações de risco e controle, a implementação de um apetite de risco eficaz e as estruturas de governança e gestão de riscos. Os indicadores oferecem suporte apenas a um tipo de resultado chamado Aprovado ou Falha e não oferecem suporte a tipos de dados como número, porcentagem ou valor monetário. As métricas fornecem um melhor mecanismo de escalação e notificação para indicadores, permitem a definição específica de proprietários de dados e a classificação dos indicadores.

    Os principais benefícios das métricas são os seguintes.
    • Fornece visibilidade contínua do desempenho de risco e controle.
    • Alerta os respectivos proprietários sobre a mudança de risco e o desempenho do controle.
    • Automatiza tarefas de coleta de dados de métrica economizando tempo para a organização.
    • Monitora e compartilha com eficiência as informações de risco em toda a organização.

    Usos de GRC: Metrics em ESG Management e IRM

    A aplicação GRC: Metrics é usada por várias aplicações, como Integrated Risk Management e ESG Management.

    Gestão de riscos e Environmental, Social, and Governance (ESG) são conceitos que se cruzam de várias maneiras, com ESG se referindo aos critérios usados pelos investidores para avaliar a sustentabilidade de uma empresa. Os fatores de ESG consideram questões como mudança climática, direitos humanos, diversidade e inclusão, governança corporativa e gestão da cadeia de suprimentos, entre outros. A gestão de riscos envolve identificar, avaliar e mitigar riscos que podem afetar a capacidade de uma organização de atingir seus objetivos, incluindo riscos financeiros, operacionais e de reputação, entre outros. A relação entre a gestão de riscos e o ESG é forte, já que fatores de ESG mal gerenciados podem criar riscos significativos para as empresas. Por exemplo, uma empresa com práticas ambientais precárias pode enfrentar riscos jurídicos e regulatórios, de reputação e operacionais. Da mesma forma, uma empresa com práticas de governança fracas pode enfrentar riscos jurídicos e de reputação, bem como riscos relacionados a conflitos de interesse e má tomada de decisão. Ao integrar fatores de ESG em seus processos de gestão de riscos, as empresas podem identificar e mitigar esses riscos, levando a modelos de negócios mais sustentáveis e flexíveis. Por exemplo, uma empresa que identifica e reduz seus riscos ambientais pode reduzir sua exposição a futuras regulamentações ambientais, enquanto uma empresa que melhora suas práticas de governança pode reduzir sua exposição a riscos jurídicos e de reputação. Portanto, as empresas que gerenciam com eficácia seus riscos de ESG podem melhorar suas capacidades gerais de gestão de riscos, criar valor de longo prazo e garantir a sustentabilidade de seus modelos de negócios.

    Tipos de métricas

    A seguir estão os tipos de métricas.
    • Principais indicadores de risco (KRIs): esses indicadores identificam a quantidade de exposição a um determinado risco ou conjunto de riscos. Exemplos de KRIs são: moral da equipe determinado por meio de pesquisas com funcionários, número de tentativas de invasão na TI, número de publicações negativas em mídias sociais após um evento de perda e assim por diante.
    • Principais indicadores de controle (KCIs): esses indicadores identificam a eficácia dos controles que foram implementados para reduzir ou mitigar uma determinada exposição a riscos.
    • Principais indicadores de desempenho (KPIs): esses indicadores mostram a eficácia com que a exposição ao risco é gerenciada. Esses indicadores mostram a realização em relação aos objetivos.
    A imagem a seguir mostra o fluxo de trabalho de métricas.
    Figura 1. Fluxo de trabalho de métricas
    Fluxo de trabalho de métricas no IRM.

    Diferença entre indicadores e métricas

    Os indicadores são usados como testes de controle automatizados ou avaliações, enquanto as métricas são usadas como ferramenta de monitoramento de KRIs e KCIs. A tabela a seguir lista as diferenças entre um indicador e uma métrica​.
    Tabela 1. Indicadores versus métricas
    Indicadores GRC Métricas
    Usado para monitoramento contínuo de riscos e controles e para coletar dados de suporte​.

    Usado para medir o grau em que um sistema, componente ou processo possui um determinado atributo.​
    Pode ser usado para monitorar um risco ou controle. Pode ser usado para medir qualquer objeto GRC.
    Pode ter somente valores binários, como aprovado ou reprovado. Pode ter qualquer valor: Quantitativo (números) ou Qualitativo (texto)​.