No ambiente corporativo, saber o que medir — e como interpretar essas medições — é essencial para garantir a eficiência dos processos e reduzir riscos. Este artigo explica o que são KPIs e KRIs, como estruturá-los de forma prática e como aplicá-los no dia a dia da gestão, especialmente em áreas como GRC (Governança, Riscos e Compliance), Segurança da Informação e Tecnologia da Informação.
KPIs são usados para avaliar o progresso em relação a metas específicas. Eles permitem acompanhar a produtividade, a qualidade das entregas e o nível de maturidade dos processos organizacionais.
Exemplo prático em Segurança da Informação:
Taxa de incidentes resolvidos em até 24 horas.
Esse indicador mostra a capacidade de resposta da equipe diante de eventos que possam comprometer ativos importantes da organização.
Os KRIs não medem desempenho, mas servem como sinalizadores antecipados de ameaças que podem comprometer os objetivos. Na prática, funcionam como alarmes que apontam vulnerabilidades antes que se tornem problemas reais.
Exemplo prático em Governança de TI:
Percentual de sistemas com atualizações críticas em atraso.
Esse indicador evidencia pontos frágeis que podem ser explorados, exigindo ações imediatas de correção.
Utilizar esses dois tipos de indicadores em conjunto proporciona uma visão equilibrada: enquanto os KPIs mostram se os resultados esperados estão sendo atingidos, os KRIs alertam sobre riscos que podem impedir esses resultados. Essa abordagem integrada é recomendada por estruturas reconhecidas como COBIT, ISO 31000, NIST CSF e ISO/IEC 27001, o que reforça sua relevância prática.
Antes de definir qualquer indicador, é essencial compreender:
As metas da área, projeto ou organização.
Os principais riscos que podem impactar essas metas.
As normas e frameworks aplicáveis (ex: ISO 31000, NIST, COBIT, etc).
Exemplo:
Se o objetivo for garantir a continuidade de serviços, um KPI pode ser o tempo médio de recuperação (MTTR) e um KRI a frequência de falhas não planejadas.
Utilize a abordagem SMART para garantir que os indicadores sejam:
Específicos
Mensuráveis
Atingíveis
Relevantes
Temporais (com prazo definido)
Exemplos:
KPI: Reduzir o tempo médio de resposta a incidentes de 48h para 24h até dezembro de 2025.
KRI: Identificar se mais de 10% dos ativos críticos estão sem backup atualizado nos últimos 7 dias.
Para KPIs, defina faixas de desempenho: satisfatório (verde), atenção (amarelo) e crítico (vermelho).
Para KRIs, determine os níveis de risco aceitáveis e os limites que exigem resposta imediata.
Exemplo de KRI com limiares:
Alerta amarelo: mais de 5% dos sistemas sem patch crítico.
Alerta vermelho: mais de 10% dos sistemas vulneráveis.
Esses limites devem ser definidos com base em políticas internas, histórico da organização e benchmarks do mercado.
Automatizar os indicadores traz agilidade e confiabilidade. Algumas ferramentas úteis:
Power BI – Criação de dashboards e visualizações.
Excel – Alternativa prática e acessível para pequenos times.
ServiceNow – Gestão integrada de incidentes e ativos.
SIEMs (ex: Splunk, QRadar) – Monitoramento de eventos e ameaças.
ERPs (SAP, Oracle) – Integração com dados operacionais.
KPIs:
Analise tendências mensais ou trimestrais.
Compare com metas e dados de referência do setor.
Use os resultados para ajustar processos ou implementar melhorias.
KRIs:
Reúna-se regularmente com áreas como Riscos, Segurança da Informação e Auditoria.
Avalie a eficácia dos controles preventivos.
Planeje ações conforme o nível de exposição ao risco.
Sempre considere o contexto atual da organização e o impacto potencial de desvios.
Integre os indicadores aos relatórios executivos. Um bom indicador é aquele que ajuda na tomada de decisão.
Evite exageros. Utilize apenas os indicadores que realmente geram valor. Foco e clareza são mais eficazes do que volume.
Revise com frequência. Os objetivos mudam, assim como os riscos. Ajuste os indicadores sempre que necessário.
Documente tudo. Mantenha registros das fórmulas, fontes de dados e critérios de interpretação. Isso ajuda na transparência e facilita auditorias.
KPIs e KRIs são mais do que números: são ferramentas que ajudam a manter a organização no rumo certo. Quando bem definidos e utilizados, eles permitem decisões mais inteligentes, priorização de investimentos e ações proativas diante de riscos.
Para profissionais das áreas de GRC, Segurança da Informação, Auditoria e Projetos, saber construir e interpretar indicadores é um diferencial importante — muitas vezes, uma exigência para atender requisitos normativos e estratégicos.
Para confirmar a validade de um de nossos certificados de participação, informe ao lado o código que consta no verso do certificado emitido.
©2005-2017 TIEXAMES Consultoria e Treinamento Ltda.
Professional Scrum™, Professional Scrum Master, PSM, PSM I, PSM II, Professional Scrum Product Owner, PSPO, PSPO I, Scrum Open, etc. são marcas protegidas da Scrum.org. Nosso curso não é endorsado e nem afiliado a Scrum.
O ITIL Accredited Training Organization logo é uma marca comercial registrada da AXELOS Limited, usada sob a permissão da AXELOS Limited. Todos os direitos reservados.
ITIL® é uma marca comercial registrada da AXELOS Limited, usada sob a permissão da AXELOS Limited. Todos os direitos reservados.
O Swirl logo™ é uma marca comercial registrada da AXELOS Limited, usada sob a permissão da AXELOS Limited. Todos os direitos reservados.
COBIT® é uma marca registrada da ISACA. Site oficial www.isaca.org.
PMP®, CAPM® e PMI-ACP® são uma marcas registradas do Project Management Institute. Site oficial www.pmi.org.
DTPC® é uma marca registrada da CertiProf, LLC. Todos os direitos reservados.
A International Organization for Standardization (ISO) é uma organização não governamental que reúne institutos de normas nacionais de 156 países.
A ISO é proprietária das normas ISO/IEC 20000 e 27002.
