Los datos de riesgo proporcionan a las organizaciones la oportunidad de aprovechar la información que ayudará a impulsar un programa de gestión de riesgos operativos (GRO) más robusto, integrado en un marco eficaz de gestión de riesgos empresariales (GRE). Por lo tanto, el imperativo para los profesionales del riesgo -y el desafío, a medida que aumenta el volumen de datos empresariales- es extraer los datos correctos y lograr que los interesados adecuados participen en la definición de las métricas de riesgo operativo más útiles para respaldar las estrategias comerciales.

En “Indicadores y métricas utilizados en la gestión de riesgos empresariales” (Departamento de Informática y Cibernética Económica, Academia de Estudios Económicos de Bucarest) se sugiere que el uso de métricas en la GRE permitirá a cada empresa “tener una visión holística de los eventos potenciales que pueden afectar el logro de los objetivos de la organización”.

Con una visión completa, la dirección tendrá los conocimientos necesarios para tomar decisiones empresariales informadas por datos. Las decisiones estratégicas críticas no se tomarán “a ciegas”.

Existen muchos beneficios derivados del uso de métricas. Los citados en el documento “Indicadores y métricas utilizados en la gestión de riesgos empresariales” incluyen:

  • Identificación temprana de tendencias y problemas
  • Una fuente de información crítica para los controles
  • Un medio para reconocer mejoras o signos de empeoramiento en las situaciones
  • Ayuda a la toma de decisiones basada en la información
  • Apuntala la gestión proactiva
  • Mejora las estimaciones y los resultados futuros
  • Evalúa el éxito y el fracaso
  • Mejora la satisfacción de las partes interesadas

¿Qué métricas para una gestión eficaz del riesgo?

Entonces, ¿qué métricas deberían utilizar los profesionales del riesgo? Los profesionales del riesgo a menudo consideran tres tipos principales de indicadores:

Indicadores Clave de Riesgo (ICR) – estos son típicamente indicadores predictivos, que proporcionan una señal de alerta de que un evento no deseado se está volviendo más probable o que su impacto potencial está aumentando. Después del evento, también pueden indicar que los riesgos han ocurrido y revelar el alcance de su impacto.

Indicadores Clave de Desempeño (ICD) – estas métricas están relacionadas con factores internos en contraposición a las circunstancias externas del mercado, e indican el éxito o el progreso demostrable hacia el logro del resultado deseado.

Pueden utilizarse de manera afirmativa para demostrar el logro de objetivos, pero también para señalar la evolución temprana de eventos de riesgo.

Indicadores Clave de Control (ICC) – también conocidos como Indicadores de Efectividad de Control, estas métricas revelan el grado en que un control está funcionando para cumplir sus objetivos, por ejemplo, prevenir pérdidas, en cualquier momento dado. Si los controles no funcionan como se anticipaba, entonces la probabilidad o el impacto del riesgo pueden cambiar. Como tales, los ICC son a menudo predictivos, aunque también pueden proporcionar una detección temprana de riesgos que comienzan a desarrollarse.

Los KRI no deben confundirse con los KPI

El documento “Indicadores y métricas utilizados en la gestión de riesgos empresariales” destaca que los gestores de riesgos deberían poder distinguir entre ICR e ICD. Afirma que “los indicadores clave de desempeño se centran especialmente en el rendimiento histórico de la empresa o sus operaciones clave y son importantes para una gestión exitosa. Por otro lado, los ICR proporcionan indicadores en tiempo real que ofrecen información sobre riesgos emergentes… Los ICD nos indican si alcanzaremos nuestros objetivos y los ICR nos ayudan a comprender los cambios en el perfil de riesgo, el impacto y la probabilidad de alcanzar nuestros objetivos. Si se hace la distinción entre los dos tipos de indicadores clave, tendremos muy claro qué tipos de preguntas queremos responder a través de estos indicadores y cómo definiremos estos indicadores para mejorar la calidad de la gestión y la claridad de los resultados.”

Sin duda, los ICR, ICD e ICC están todos conectados. El personal de riesgos debe apreciar cómo o por qué los indicadores están correlacionados con los perfiles de riesgo cambiantes para que las métricas sean efectivas. En esencia, los indicadores dan una “imagen” de una organización y las métricas proporcionan un medio para evaluar si la actividad de GRE va por el camino correcto.

Métricas: ni muchas ni pocas

¿Cuántas métricas proporcionan el mayor beneficio? Si hay demasiadas, se dedicará tiempo a gestionarlas que de otro modo se habría empleado en otras tareas críticas. Y demasiada información puede ser perjudicial – los profesionales del riesgo pueden tener dificultades para distinguir la información crítica, obteniendo así poco valor de las métricas en uso. Sin embargo, muy pocas métricas pueden no generar información suficiente para que los datos sean significativos.

Mientras se busca el equilibrio adecuado, es de suma importancia que las métricas utilizadas sean relevantes, medibles, fáciles de monitorear, auditables y comparables.

En última instancia, quizás las preguntas clave que los profesionales del riesgo deberían hacerse son: “¿Estoy viendo mejoras en el negocio? ¿Están las prioridades del negocio alineadas con los riesgos cambiantes o emergentes? ¿Se están mitigando los riesgos y evitando las pérdidas?” Al responder afirmativamente, las métricas, articuladas en conjunto, están haciendo su trabajo, generando datos que pueden aprovecharse para definir controles más sólidos e informar la toma de decisiones alineada con la estrategia empresarial.