Los indicadores clave de riesgo -o KRI- son métricas que pueden alertarte de las condiciones cambiantes.
Son tu indicación temprana de un aumento o disminución de la exposición al riesgo en diversas áreas de la empresa. Las organizaciones de todos los tamaños pueden utilizar los KRI para gestionar los riesgos de forma proactiva, en lugar de reaccionar después de que ocurra algo.
Aunque los KRI tienen un potencial real para mejorar tu programa de ERM -y el compromiso a nivel ejecutivo-, existe una falta de consenso sobre qué debe medirse o para qué deben utilizarse los KRI.

¿Por qué son importantes los indicadores clave de riesgo?

En general, los indicadores clave de riesgo son útiles porque es una imposibilidad práctica evaluar continuamente todos los riesgos de tu perfil.
Los KRI proporcionan a tu organización información valiosa sobre las amenazas internas y externas.
Te ayudan a identificar señales de alerta temprana de cambios, de modo que puedas priorizar tus esfuerzos para abordar los riesgos antes de que causen daños.

“Necesitas un indicador, algún tipo de bandera que salte y diga: ‘¡Mírame!’ algo ha cambiado”, explica Rob Quail, célebre experto en ERM e invitado destacado en la serie de seminarios web educativos Risk@Work.

Características de un buen KRI

Los KRI específicos variarán según la empresa, el sector y el perfil de riesgo.
He aquí algunas características de los indicadores clave de riesgo sólidos:

  • Relevante: Un buen KRI tendrá un vínculo claro con el negocio y un valor predictivo demostrado.
    Si el KRI aumenta, debes estar seguro de que eso indica un cambio en ese riesgo.
  • Mensurables: Los KRI deben ser mensurables y precisos.
    Deberías poder cuantificar fácilmente tus métricas sin tener que rebuscar entre un montón de ruido externo.
  • Comparable: Un buen KRI es comparable con otros KRI, puntos de referencia del sector y otras cifras que te ayudan a determinar si las condiciones han cambiado.
  • Procesables: Los buenos KRI son procesables, ya que proporcionan información que puedes utilizar para tomar decisiones y priorizar tus recursos.
  • Accesibles: Los datos deben ser fácilmente accesibles, ya sea algo que ya estés midiendo, algo que sea sencillo empezar a medir o algo que se pueda obtener de una fuente externa.
  • Coherente: Un buen KRI es fiable para que puedas seguir los cambios a lo largo del tiempo.

También es importante que tus KRI sean fáciles de entender.
“Los KRI acaban en los informes de la junta directiva”, señala Quail.
“El equipo ejecutivo tiene que entender por qué y cómo se relaciona la medida con el riesgo”.

Ejemplos de KRI comunes

Los KRI miden cosas como un cambio en el impacto, el valor o lo que se considera creíble.
También pueden medir el cambio en las circunstancias externas que supondrá una mayor amenaza para los objetivos estratégicos.
Aunque los KRI específicos de tu empresa dependerán de tu sector, cartera de productos y cartera de riesgos, he aquí algunos KRI comunes:

Financiera

Los KRI financieros externos pueden medir las condiciones económicas o los cambios normativos.
Los KRI financieros internos pueden hacer un seguimiento de los cambios en los presupuestos, los objetivos de crecimiento de ventas o los gastos.

Tecnología

Los KRI tecnológicos pueden hacer un seguimiento de la disponibilidad de los sistemas, las brechas de seguridad o el número de ciberataques durante un periodo determinado.

Operativo

Los KRI operativos miden cosas como la eficacia de los controles internos, la eficiencia de los procesos, la calidad de los productos y los cambios en los objetivos estratégicos.

Recursos humanos

Los KRI de RRHH pueden hacer un seguimiento de la rotación de personal, las tasas de conversión de contrataciones y el compromiso de los empleados.

No todos los KRI son iguales.
Reduce tu lista de KRI potenciales centrándote en los que mejor predicen el cambio y son más fáciles de medir.
La supervisión periódica de una lista seleccionada de KRI fuertes te alertará de las señales de cambio -positivas o negativas- para que puedas responder con eficacia.

Indicador clave de rendimiento vs. Indicador clave de riesgo

Tanto los indicadores clave de riesgo como los indicadores clave de rendimiento son métricas importantes para medir el progreso.
Pero sirven para fines distintos en la gestión de riesgos y no son intercambiables.
Los KPI son métricas que miden el rendimiento de una empresa, normalmente en relación con los objetivos o las iniciativas de rendimiento de la empresa.
Son medidas repetibles de los logros con un fuerte vínculo con el negocio.
Por ejemplo, una empresa puede controlar las ventas trimestrales o el total de acuerdos cerrados para medir el rendimiento en relación con los objetivos de ventas.
Los KRI, por otra parte, son sólo indicadores adelantados.
Su finalidad es ayudar a predecir si se alcanzará un KPI.
Los indicadores clave de riesgo te dicen si es más o menos probable que cumplas tus objetivos.
Ten en cuenta, sin embargo, que un KPI para un área puede convertirse en un KRI para otra debido al efecto cascada del riesgo.
Un fallo tecnológico, por ejemplo, es un KPI habitual.
Los efectos derivados de ese fallo tecnológico sobre la productividad, el compromiso de los empleados, la reputación, etc., podrían convertirlo en un KRI para esas áreas.

El papel de los KRI en la gestión del riesgo empresarial

Para que los KRI sean eficaces, deben formar parte de un programa de ERM establecido.
El apetito de riesgo, por ejemplo, es lo que establece los umbrales que determinan si un riesgo está arriba o abajo.
Conocer tu apetito de riesgo es una parte importante de un programa de ERM eficaz y a menudo se determina en un taller sobre riesgos.

“Los KRI no son ERM de nivel básico”, subraya Quail.
“Ya tienes que conocer tus riesgos, sus fuentes, y tener cierta comprensión de tu apetito por cada uno de tus objetivos estratégicos. También tienes que tener un equipo ejecutivo al que le guste la ERM lo suficiente como para querer mantener estas conversaciones.”
De hecho, la conversación es uno de los beneficios más importantes de la ERM, y los KRI pueden generar mucha conversación productiva que puede descubrir nuevas perspectivas que ayuden a identificar riesgos emergentes, volver a priorizar esfuerzos o reasignar recursos.
“Si los KRI no estimulan nuevas conversaciones, no tienen ninguna utilidad para tu organización”, dice Quail.
“Utilízalos para aumentar la comprensión de los riesgos y ayudar a la organización a tomar mejores decisiones”.

Para saber más sobre ERM, descárgate el ebook, Trazar el rumbo de la gestión de riesgos empresariales, y echa un vistazo a la solución de software ERM de Riskonnect.