«Es imposible conducir un coche sin tener acceso a métricas sobre factores como la velocidad o la temperatura. Del mismo modo, los directivos necesitan métricas para apoyar una toma de decisiones eficaz y asegurarse de que alejan a la organización de las amenazas a sus objetivos estratégicos y operativos.» La Guía de Buenas Prácticas sobre Indicadores Clave de Riesgo Operativo del Instituto del Riesgo sugiere que, aunque los directivos no son ajenos a los indicadores y las métricas -los utilizan a diario para asumir sus responsabilidades y ayudar a la toma de decisiones-, deberían aprovechar los indicadores de riesgo operativo como medio asequible de controlar la exposición al riesgo. Tanto la mejora de la concienciación sobre el riesgo como la base de «decisiones bien informadas sobre la gestión operativa del riesgo» serán el resultado de un marco de gestión del riesgo operativo bien organizado (el «santo grial» de las mejores prácticas de gestión del riesgo operativo).
Los KRI como herramienta de inteligencia empresarial
La opinión del IOR es que los Indicadores Clave de Riesgo (KRI) deben tratarse como indicadores aplicados a los riesgos operativos a los que una organización puede estar muy expuesta, que pueden poner en peligro el cumplimiento de los objetivos operativos o quedar fuera del apetito de riesgo. Los indicadores también pueden utilizarse para destacar los aspectos positivos, como un control interno eficaz cuando están dentro de los umbrales definidos, y para ofrecer garantías de que los riesgos se están gestionando adecuadamente al consejo y a las partes interesadas. En este contexto, para identificar eficazmente qué riesgos operativos son «clave», el IOR indicaría a los profesionales del riesgo que consulten su guía de Autoevaluación del Control del Riesgo (RCSA), que puede descargarse. Los riesgos clave serán aquellos con las mayores puntuaciones de exposición al riesgo inherente y/o residual. Como herramienta de inteligencia empresarial, los indicadores pueden servir de apoyo:
- Seguimiento, evaluación y modelización de riesgos
- La implantación de un marco de apetito por el riesgo
- Gobierno corporativo y garantía
Características deseables del KRI
Tras un capítulo dedicado a para qué pueden utilizarse los indicadores, la guía sobre Indicadores Clave de Riesgo esboza cuáles deben ser las características deseables de los indicadores. A la hora de seleccionar indicadores de riesgo operativo eficaces, se aconseja que sean pertinentes, mensurables, prospectivos (líderes), fáciles de recopilar y controlar, comparables y auditables. El documento detalla por qué son importantes estas características y, en cada caso, los factores a considerar desde la perspectiva de las mejores prácticas.
Establecer umbrales y límites
Las directrices explican los procesos que pueden utilizarse para seleccionar un conjunto de indicadores -considerando los pros y los contras de adoptar un enfoque descendente o ascendente- y para establecer umbrales y límites adecuados. «Hay que subrayar que, como los indicadores son aproximaciones, el objetivo no es gestionar el indicador, sino las exposiciones al riesgo operativo. El incumplimiento de un indicador es una señal de posibles amenazas futuras… Los límites y umbrales deben reflejar la aplicación de la declaración de apetito por el riesgo en cascada en la organización.» A modo de referencia, en la Guía de Buenas Prácticas sobre el Apetito de Riesgo Operacional del IOR se ofrecen orientaciones separadas. Una vez fijados los umbrales, las organizaciones deben determinar las respuestas ante su incumplimiento. Las «condiciones desencadenantes» determinan qué medidas deben tomarse y quién es responsable de hacerlo en cada caso. Además de estar vinculados al apetito de riesgo de una organización, la recomendación es que los desencadenantes estén relacionados con «el grado de sofisticación requerido en el sistema de alerta y deben tener en cuenta la sobrecarga de recursos (personas, sistemas y costes) necesaria para implantar estructuras más sofisticadas».
Gestión de indicadores de riesgo y elaboración de informes
Como advertencia, se perderá mucho esfuerzo si no se dedica tiempo y recursos suficientes a la gestión y notificación de los indicadores clave de riesgo. Como mínimo, se sugieren revisiones anuales, como medio de garantizar la pertinencia, aunque la frecuencia óptima vendrá determinada por la naturaleza de una empresa y su escala y complejidad operativa. Los riesgos operativos estarán sujetos a cambios, por lo que debe implantarse un sistema para añadir o modificar los indicadores clave de riesgo operativo, junto con procesos de procedimiento y gobernanza claramente definidos para controlar la fijación o modificación de los niveles de umbral o límite. En cuanto a la elaboración de informes, el consejo más importante es que «siempre que sea posible, los informes de los indicadores de riesgo operativo deben elaborarse conjuntamente con el público al que van dirigidos, para garantizar la máxima comprensión y facilidad de uso»: desde el consejo de administración y la alta dirección de división hasta la unidad de negocio o los equipos y niveles de función de apoyo correspondientes. La coordinación central es ventajosa para garantizar la coherencia y la capacidad de comparar informes o agregarlos para la alta dirección. Se ofrece información detallada sobre cómo presentar los informes de indicadores de forma sencilla, con un lenguaje claro y con ayudas visuales útiles, junto con ejemplos de informes. Hay que admitir que la gestión eficaz de los indicadores de riesgo y la elaboración de informes pueden llevar mucho tiempo, pero según el IOR, los beneficios resultantes merecen la pena: «La dirección está efectivamente ciega sin acceso a los indicadores de riesgo adecuados».
