GRC: Metrics no Integrated Risk Management

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • As métricas de risco são definidas como uma medida quantificável usada para rastrear e avaliar o status de um risco específico. As métricas ajudam a rastrear a exposição de um risco ao longo do tempo.

    Os indicadores de risco são uma ferramenta importante na gestão de riscos operacionais. Os indicadores facilitam o monitoramento e o controle de riscos. Portanto, eles podem ser usados para oferecer suporte a uma série de atividades e processos de gestão de riscos operacionais, como identificação de riscos, avaliações de risco e controle, a implementação de um apetite de risco eficaz e as estruturas de governança e gestão de riscos. Os indicadores oferecem suporte somente a um tipo de resultados chamado Aprovado ou Reprovado e não são compatíveis com tipos de dados como número, porcentagem ou valor monetário. As métricas fornecem um melhor mecanismo de escalação e notificação para indicadores, permitem a definição específica de proprietários de dados e a classificação dos indicadores.

    Os principais benefícios das métricas são os seguintes.
    • Fornece visibilidade contínua sobre o risco e o desempenho do controle.
    • Alerta os respectivos proprietários sobre mudanças de risco e desempenho de controle.
    • Automatiza tarefas de coleta de dados de métrica, economizando tempo para a organização.
    • Monitora e compartilha com eficiência informações de risco em toda a organização.

    Usos de GRC: Metrics em Gestão de ESG e IRM

    A aplicação GRC: Metrics é usada por várias aplicações, como Integrated Risk Management e Gestão de ESG.

    Gestão de riscos e Ambiental, social e governança (ESG) são conceitos que se cruzam de várias maneiras, com ESG se referindo aos critérios usados pelos investidores para avaliar a sustentabilidade de uma empresa. Os fatores de ESG consideram questões como mudanças climáticas, direitos humanos, diversidade e inclusão, governança corporativa e gestão da cadeia de suprimentos, entre outros. A gestão de riscos envolve a identificação, avaliação e mitigação de riscos que podem afetar a capacidade de uma organização de atingir seus objetivos, incluindo riscos financeiros, operacionais e de reputação, entre outros. A relação entre gestão de riscos e ESG é forte, já que fatores de ESG mal gerenciados podem criar riscos significativos para as empresas. Por exemplo, uma empresa com práticas ambientais inadequadas pode enfrentar riscos jurídicos e regulatórios, de reputação e operacionais. Da mesma forma, uma empresa com práticas de governança fracas pode enfrentar riscos jurídicos e de reputação, bem como riscos relacionados a conflitos de interesse e má tomada de decisão. Ao integrar fatores ESG em seus processos de gestão de riscos, as empresas podem identificar e mitigar esses riscos, levando a modelos de negócios mais sustentáveis e flexíveis. Por exemplo, uma empresa que identifica e reduz seus riscos ambientais pode reduzir sua exposição a futuras regulamentações ambientais, enquanto uma empresa que melhora suas práticas de governança pode reduzir sua exposição a riscos jurídicos e de reputação. Portanto, as empresas que gerenciam efetivamente seus riscos de ESG podem melhorar suas capacidades gerais de gestão de riscos, criar valor a longo prazo e garantir a sustentabilidade de seus modelos de negócios.

    Tipos de métricas

    A seguir estão os tipos de métricas.
    • Principais indicadores de risco (KRIs): esses indicadores identificam a quantidade de exposição a um determinado risco ou conjunto de riscos. Exemplos de KRIs são: moral da equipe determinada por meio de pesquisas com funcionários, número de tentativas de invasão na TI, número de publicações negativas em mídias sociais após um evento de perda e assim por diante.
    • Principais indicadores de controle (KCIs): esses indicadores identificam a eficácia dos controles que foram implementados para reduzir ou mitigar uma determinada exposição a risco.
    • Principais indicadores de desempenho (KPIs): esses indicadores mostram com que eficácia a exposição ao risco é gerenciada. Esses indicadores mostram a realização em relação aos objetivos.
    A imagem a seguir mostra o fluxo de trabalho de métricas.
    Figura 1. Fluxo de trabalho de métricas
    Fluxo de trabalho de métricas no IRM.

    Diferença entre indicadores e métricas

    Os indicadores são usados como testes de controle automatizados ou avaliações, enquanto as métricas são usadas como ferramenta de monitoramento de KRIs e KCIs. A tabela a seguir lista as diferenças entre um indicador e uma métrica​.
    Tabela 1. Indicadores versus métricas
    Indicadores de GRC Métricas
    Usado para monitoramento contínuo de riscos e controles e para coletar dados de suporte​.

    Usado para medir o grau em que um sistema, componente ou processo possui um determinado atributo.​
    Pode ser usado para monitorar um risco ou controle. Pode ser usado para medir qualquer objeto GRC.
    Pode ter somente valores binários, como aprovado ou reprovado. Pode ter qualquer valor: Quantitativo (números) ou Qualitativo (texto)​.