Métricas imprescindibles para una gestión de riesgos empresarial eficaz

Sword GRC Blog

"La administración es ciega sin acceso a las métricas correctas"

Los datos de riesgo brindan a las organizaciones la oportunidad de aprovechar la información que ayudará a impulsar un programa de gestión de riesgos operativos (ORM) más sólido, integrado en un marco de gestión de riesgos empresariales (ERM) eficaz. Por lo tanto, el imperativo para los profesionales del riesgo, y el desafío, a medida que aumenta el volumen de datos empresariales, es extraer los datos correctos y lograr que las partes interesadas adecuadas se unan para definir qué métricas de riesgo operativo son las más útiles para respaldar las estrategias comerciales.

En “Indicadores y métricas utilizados en la gestión de riesgos empresariales” (Departamento de Informática y Cibernética Económica, Academia de Estudios Económicos de Bucarest) se sugiere que el uso de métricas en ERM permitirá a todas las empresas “tener una visión holística de los posibles eventos que puedan afectar el logro de los objetivos de la organización “.

Con una visión completa, la administración tendrá los conocimientos necesarios para tomar decisiones comerciales basadas en datos. Las decisiones estratégicas críticas no se tomarán “a ciegas”.

Hay muchos beneficios que se pueden derivar del uso de métricas. Los citados en el documento ‘Indicadores y métricas utilizados en la gestión de riesgos corporativos’ incluyen:

  • Identificación temprana de tendencias y problemas
  • Una fuente de información crítica para los controles
  • Un medio para reconocer mejoras o signos de empeoramiento en situaciones.
  • Ayuda para la toma de decisiones basada en la información
  • Es la base de la gestión proactiva
  • Mejora las estimaciones y el rendimiento futuros
  • Evalúa el éxito y el fracaso
  • Mejora la satisfacción de las partes interesadas

¿Qué métricas para una gestión de riesgos eficaz?

Entonces, ¿qué métricas deberían utilizar los profesionales del riesgo? Los profesionales del riesgo suelen considerar tres tipos de indicadores principales:

Indicadores clave de riesgo (KRI) – Estos son típicamente indicadores predictivos, que proporcionan una señal de alerta de que un evento no deseado es cada vez más probable o su impacto potencial está aumentando. Después del evento, también pueden indicar que se han producido riesgos y revelar el alcance de su impacto.

Indicadores clave de rendimiento (KPI): estas métricas están relacionadas con factores internos en contraposición a las circunstancias externas del mercado, e indican el éxito o el progreso demostrable hacia la consecución del resultado deseado.

Se pueden utilizar de forma afirmativa para demostrar el logro de los objetivos, pero también para señalar la evolución temprana de los eventos de riesgo.

Indicadores de control clave (KCI) – También conocidos como Indicadores de Efectividad del Control, estas métricas revelan hasta qué punto un control está trabajando en el cumplimiento de sus objetivos para, por ejemplo, prevenir pérdidas, en cualquier momento. Si los controles no funcionan como se anticipó, entonces la probabilidad de riesgo o el impacto pueden cambiar. Como tal, los KCI suelen ser predictivos, aunque también pueden proporcionar una detección temprana de los riesgos que comienzan a surgir.

Los KRI no deben confundirse con los KPI

El documento ‘Indicadores y métricas utilizadas en la gestión de riesgos empresariales’ destaca que los gestores de riesgos deberían poder distinguir entre KRI y KPI. Afirma que ‘los indicadores clave de desempeño se enfocan especialmente en el desempeño histórico de la empresa o sus operaciones clave y son importantes para una gestión exitosa. Por otro lado, los KRI brindan indicadores en tiempo real que ofrecen información sobre riesgos emergentes … Los KPI nos dicen si lograremos nuestros objetivos y los KRI nos ayudan a comprender los cambios en el perfil de riesgo, el impacto y la probabilidad de lograr nuestros objetivos. Si se hace la distinción entre los dos tipos de indicadores clave, tendremos muy claro qué tipo de preguntas queremos responder a través de estos indicadores y cómo definiremos estos indicadores para mejorar la calidad de la gestión y la claridad de los resultados ‘.

Sin lugar a dudas, los KRI, KPI y KCI están todos conectados. El personal de riesgos debe apreciar cómo o por qué los indicadores se correlacionan con los perfiles de riesgo cambiantes para que las métricas sean efectivas. En esencia, los indicadores brindan una ‘imagen’ de una organización y las métricas brindan un medio para evaluar si la actividad de ERM está en el camino correcto.

Métricas: ni demasiadas, ni muy pocas

¿Cuántas métricas proporcionan el mayor beneficio? Si hay demasiados, se dedicará tiempo a gestionarlos, que de otro modo se habría invertido en otras tareas críticas. Y demasiada información puede ser perjudicial: los profesionales del riesgo pueden tener dificultades para distinguir la información crítica, por lo que obtienen poco valor de las métricas en uso. Sin embargo, muy pocas métricas pueden no generar suficiente información para que los datos sean significativos.

Si bien se logra el equilibrio correcto, lo más importante es que las métricas utilizadas sean relevantes, medibles, fáciles de monitorear, auditables y comparables.

En última instancia, quizás las preguntas clave que los profesionales del riesgo deberían hacerse son: ‘¿Estoy viendo mejoras en el negocio? ¿Están las prioridades comerciales alineadas con los riesgos emergentes o cambiantes? ¿Se mitigan los riesgos y se evitan las pérdidas? ‘ Al responder afirmativamente, las métricas, reunidas juntas, están haciendo su trabajo, generando datos que se pueden aprovechar para definir controles más sólidos e informar la toma de decisiones alineada con la estrategia comercial.

Otras lecturas:

Para su referencia, la Guía de buenas prácticas del Instituto de Riesgo Operacional sobre los temas de KRI, Análisis de Escenarios, Pruebas de Estrés y Estrés Inverso, Cultura de Riesgo y más se puede descargar, de forma gratuita, aquí .

* Instituto de Riesgo Operacional: Indicadores clave de riesgo , Orientación sobre buenas prácticas operativas