“Es imposible conducir un automóvil sin acceso a métricas sobre factores como la velocidad o la temperatura. De manera similar, la dirección requiere métricas para respaldar la toma de decisiones eficaz y para garantizar que dirigen la organización lejos de las amenazas a sus objetivos estratégicos y operativos.”

La Guía de Buenas Prácticas de Indicadores Clave de Riesgo Operativo del Instituto de Riesgo sugiere que, si bien los gerentes están familiarizados con los indicadores y las métricas -las utilizan diariamente para cumplir con sus responsabilidades y ayudar en la toma de decisiones- deberían aprovechar los indicadores de riesgo operativo como un medio asequible para monitorear la exposición al riesgo. Una mayor conciencia del riesgo y la base para “decisiones de gestión operativa de riesgos bien informadas” resultarán de un marco de gestión de riesgos operativos bien organizado (el “santo grial” para las mejores prácticas de gestión de riesgos operativos).

Los KRI como herramienta de inteligencia empresarial

La opinión del IOR es que los Indicadores Clave de Riesgo (KRI) deben tratarse como indicadores aplicados a los riesgos operativos a los que una organización podría estar altamente expuesta, que podrían poner en peligro el cumplimiento de los objetivos operativos o quedar fuera del apetito de riesgo. Los indicadores también pueden utilizarse para destacar los aspectos positivos, como el control interno efectivo cuando están dentro de los umbrales definidos, y para proporcionar garantías a la junta directiva y a las partes interesadas de que los riesgos se están gestionando adecuadamente.

En tal contexto, para identificar eficazmente qué riesgos operativos son “clave”, el IOR dirigiría a los profesionales del riesgo hacia su guía de Autoevaluación de Control de Riesgos (RCSA), disponible para descargar. Los riesgos clave serán aquellos con las puntuaciones de exposición al riesgo inherente y/o residual más altas.

Como herramienta de inteligencia empresarial, los indicadores pueden apoyar:

  • Seguimiento, evaluación y modelización de riesgos
  • La implantación de un marco de apetito por el riesgo
  • Gobierno corporativo y garantía

Características deseables del KRI

Tras un capítulo dedicado a para qué pueden utilizarse los indicadores, la guía sobre Indicadores Clave de Riesgo esboza cuáles deben ser las características deseables de los indicadores. A la hora de seleccionar indicadores de riesgo operativo eficaces, se aconseja que sean pertinentes, mensurables, prospectivos (líderes), fáciles de recopilar y controlar, comparables y auditables. El documento detalla por qué son importantes estas características y, en cada caso, los factores a considerar desde la perspectiva de las mejores prácticas.

Establecer umbrales y límites

La guía continúa explicando los procesos que se pueden utilizar para seleccionar un conjunto de indicadores -considerando los pros y los contras de adoptar un enfoque de arriba hacia abajo o de abajo hacia arriba- y para establecer umbrales y límites apropiados. “Debe enfatizarse que, dado que los indicadores son aproximaciones, el objetivo no es gestionar el indicador, sino más bien las exposiciones al riesgo operativo. Una violación de un indicador es una señal de posibles amenazas futuras… Los límites y umbrales deben reflejar la implementación de la declaración de apetito de riesgo en cascada a través de la organización.” Como referencia, se dispone de orientación separada en la Guía de Buenas Prácticas del IOR sobre el Apetito de Riesgo Operativo.

Con los umbrales establecidos, las organizaciones deben determinar las respuestas para la violación de los mismos. Las ‘condiciones de activación’ determinan qué acción se debe tomar y quién es responsable de hacerlo en cada caso. Además de estar vinculados al apetito de riesgo de una organización, la recomendación es que los disparadores deben estar conectados al ‘grado de sofisticación requerido en el sistema de alerta y deben considerar la sobrecarga de recursos (personas, sistemas y costos) necesaria para implementar estructuras más sofisticadas’.

Gestión de indicadores de riesgo y elaboración de informes

Como advertencia, se perderá una gran cantidad de esfuerzo si no se dedica suficiente tiempo y recursos a la gestión y presentación de informes de los indicadores clave de riesgo. Como mínimo, se sugieren revisiones anuales como medio para garantizar la relevancia, aunque la frecuencia óptima estará determinada por la naturaleza de un negocio y su escala y complejidad operativa.

Los riesgos operativos estarán sujetos a cambios, por lo que se debe implementar un sistema para agregar o modificar los indicadores clave de riesgo operativo, junto con procedimientos y procesos de gobernanza claramente definidos para controlar el establecimiento o cambio de niveles de umbral o límite.

Con respecto a la presentación de informes, el consejo principal es que “siempre que sea posible, los informes de indicadores de riesgo operativo deben desarrollarse en conjunto con su audiencia prevista, para garantizar la máxima comprensión y usabilidad” – desde la junta directiva y la alta dirección divisional hasta los niveles de unidades de negocio o equipos y funciones de apoyo según corresponda. La coordinación central es ventajosa para garantizar la consistencia y la capacidad de comparar informes o agregarlos para la alta dirección. Se proporcionan detalles completos sobre cómo los informes de indicadores pueden presentarse de manera fácil de usar, con un lenguaje claro y con ayudas visuales útiles, junto con ejemplos de informes.

Es cierto que la gestión e informe efectivos de indicadores de riesgo pueden consumir mucho tiempo, pero según el IOR, los beneficios resultantes valen la pena: “La dirección está efectivamente ciega sin acceso a las métricas de riesgo apropiadas”.