GRC: Metrics em Gestão integrada de riscos
As métricas de risco são definidas como uma medida quantificável que é usada para rastrear e avaliar o status de um risco específico. As métricas ajudam a rastrear a exposição de um risco ao longo do tempo.
Indicadores de risco são uma ferramenta importante na gestão de riscos operacionais. Os indicadores facilitam a monitorização e o controlo do risco. Portanto, eles podem ser usados para oferecer suporte a uma série de atividades e processos de gestão de risco operacional, como identificação de risco, avaliações de risco e controle, a implementação de apetite de risco efetivo e as estruturas de gestão de risco e governança. Os indicadores são compatíveis somente com um tipo de resultados chamado Aprovado ou Reprovado e não são compatíveis com tipos de dados como número, porcentagem ou valor monetário. As métricas fornecem um melhor mecanismo de escalação e notificação para indicadores, permitem a definição específica de proprietários de dados e a classificação dos indicadores.
- Fornece visibilidade contínua do desempenho de risco e controle.
- Alerta os respectivos proprietários sobre mudança de risco e desempenho do controle.
- Automatiza tarefas de coleta de dados de métrica, economizando tempo para a organização.
- Monitora e compartilha com eficiência informações de risco em toda a organização.
Usos do GRC: Metrics em IRM
. GRC: Metrics a aplicação é usada por várias aplicações, como Gestão integrada de riscos.
Gestão de risco e Ambiental, Social e Governança (ESG) são conceitos que se cruzam de várias maneiras, sendo ESG se referindo aos critérios usados pelos investidores para avaliar a sustentabilidade de uma empresa. Os fatores de ESG consideram questões como mudanças climáticas, direitos humanos, diversidade e inclusão, governança corporativa e gestão da cadeia de suprimentos, entre outros. A gestão de riscos envolve identificar, avaliar e mitigar riscos que podem afetar a capacidade de uma organização de atingir seus objetivos, incluindo riscos financeiros, operacionais e de reputação, entre outros. A relação entre gestão de riscos e ESG é forte, já que fatores de ESG mal gerenciados podem criar riscos significativos para as empresas. Por exemplo, uma empresa com práticas ambientais ruins pode enfrentar riscos jurídicos e regulatórios, de reputação e operacionais. Da mesma forma, uma empresa com práticas de governança fracas pode enfrentar riscos jurídicos e reputacionais, bem como riscos relacionados a conflitos de interesse e má tomada de decisão. Ao integrar fatores de ESG em seus processos de gestão de risco, as empresas podem identificar e mitigar esses riscos, levando a modelos de negócios mais sustentáveis e resistentes. Por exemplo, uma empresa que identifica e mitiga seus riscos ambientais pode reduzir sua exposição a futuras regulamentações ambientais, enquanto uma empresa que aprimora suas práticas de governança pode reduzir sua exposição a riscos legais e de reputação. Portanto, as empresas que gerenciam com eficácia seus riscos de ESG podem melhorar suas capacidades gerais de gestão de riscos, criar valor de longo prazo e garantir a sustentabilidade de seus modelos de negócios.
Tipos de métricas
- Principais indicadores de risco (Kris): Esses indicadores identificam a quantidade de exposição a um determinado risco ou conjunto de riscos. Exemplos de Kris são: Moral da equipe determinada por meio de pesquisas de funcionários, número de tentativas de hacks, número de publicações negativas em mídias sociais após um evento de perda e assim por diante.
- Principais indicadores de controle (KICs): Esses indicadores identificam a eficácia dos controles que foram implementados para reduzir ou mitigar uma determinada exposição ao risco.
- KPIs (Key Performance Indicators, principais indicadores de desempenho): Esses indicadores mostram a eficácia com que a exposição ao risco é gerenciada. Esses indicadores mostram o desempenho em relação aos objetivos.
Diferença entre indicadores e métricas
| Indicadores de GRC | Métricas |
|---|---|
| Usado para monitoramento contínuo de riscos e controles e para coletar dados de suporte. | Usado para medir o grau em que um sistema, componente ou processo possui um determinado atributo. |
| Pode ser usado para monitorar um risco ou controle. | Pode ser usado para medir qualquer um GRCobjeto. |
| Só pode ter valores binários, como aprovado ou reprovado. | Pode ter qualquer valor: Quantitativo (números) ou qualitativo (texto). |