Los datos sobre riesgos brindan a las organizaciones la oportunidad de aprovechar la información que ayudará a impulsar un programa de gestión del riesgo operativo (ORM) más sólido, integrado en un marco eficaz de gestión del riesgo empresarial (ERM). El imperativo, por tanto, para los profesionales del riesgo -y el reto, a medida que aumenta el volumen de datos empresariales- es extraer los datos adecuados y conseguir la participación de las partes interesadas para definir qué métricas de riesgo operativo son las más útiles para apoyar las estrategias empresariales. En «Indicadores y métricas utilizados en la gestión del riesgo empresarial» (Departamento de Informática y Cibernética Económica, Academia de Estudios Económicos de Bucarest) se sugiere que el uso de métricas en la ERM permitirá a toda empresa «tener una visión holística de los posibles acontecimientos que pueden afectar a la consecución de los objetivos de la organización». Con una visión completa, la dirección dispondrá de los conocimientos necesarios para tomar decisiones empresariales basadas en datos. Las decisiones estratégicas críticas no se tomarán «a ciegas». Son muchos los beneficios que se derivan del uso de métricas. Entre las citadas en el documento «Indicadores y métricas utilizados en la gestión del riesgo empresarial» figuran:
- Identificación temprana de tendencias y problemas
- Una fuente de información crítica para los controles
- Un medio para reconocer mejoras o signos de empeoramiento en las situaciones
- Ayuda a la toma de decisiones basada en la información
- Apuntala la gestión proactiva
- Mejora las estimaciones y los resultados futuros
- Evalúa el éxito y el fracaso
- Mejora la satisfacción de las partes interesadas
¿Qué métricas para una gestión eficaz del riesgo?
Entonces, ¿qué métricas deben utilizar los profesionales del riesgo? Los profesionales del riesgo suelen tener en cuenta tres tipos de indicadores principales: Indicadores Clave de Riesgo (ICR ): suelen ser indicadores predictivos, que proporcionan una señal de alarma de que un acontecimiento no deseado es cada vez más probable o de que su potencial de impacto está aumentando. Tras el suceso, también pueden indicar que los riesgos se han producido y revelar el alcance de su impacto. Indicadores Clave de Rendimiento (KPI): estas métricas están relacionadas con factores internos, en contraposición a las circunstancias externas del mercado, e indican el éxito o el progreso demostrable hacia la consecución del resultado deseado. Pueden utilizarse afirmativamente para demostrar la consecución de objetivos, pero también para señalar la evolución temprana de acontecimientos de riesgo. Indicadores Clave de Control (ICC): también denominados Indicadores de Eficacia del Control, estas métricas revelan en qué medida está funcionando un control para cumplir sus objetivos de, por ejemplo, evitar pérdidas, en cualquier momento. Si los controles no funcionan según lo previsto, la probabilidad o el impacto del riesgo pueden cambiar. Como tales, los KCI suelen ser predictivos, aunque también pueden proporcionar una detección precoz de los riesgos que empiezan a desarrollarse.
Los KRI no deben confundirse con los KPI
El documento «Indicadores y métricas utilizados en la gestión del riesgo empresarial» destaca que los gestores de riesgos deben ser capaces de distinguir entre los KRI y los KPI. Afirma que «los indicadores clave de rendimiento se centran especialmente en el rendimiento histórico de la empresa o de sus operaciones clave y son importantes para el éxito de la gestión. Por otro lado, los KRI proporcionan indicadores en tiempo real que ofrecen información sobre los riesgos emergentes… Los KPI nos dicen si alcanzaremos nuestros objetivos y los KRI nos ayudan a comprender los cambios en el perfil de riesgo, el impacto y la probabilidad de alcanzar nuestros objetivos». Si distinguimos entre los dos tipos de indicadores clave, tendremos muy claro qué tipo de preguntas queremos responder mediante estos indicadores y cómo los definiremos para mejorar la calidad de la gestión y la claridad de los resultados». Sin duda, los KRI, los KPI y los KCI están relacionados. El personal de riesgos debe apreciar cómo o por qué se correlacionan los indicadores con los perfiles de riesgo cambiantes para que las métricas sean eficaces. En esencia, los indicadores dan una «imagen» de una organización, y las métricas proporcionan un medio de evaluar comparativamente si la actividad de ERM va por buen camino.
Métricas: ni muchas ni pocas
¿Cuántas métricas proporcionan el mayor beneficio? Si hay demasiadas, se dedicará a gestionarlas un tiempo que de otro modo se habría empleado en otras tareas críticas. Y demasiada información puede ser perjudicial: los profesionales del riesgo pueden tener dificultades para distinguir la información crítica, con lo que obtendrán poco valor de las métricas en uso. Sin embargo, unas métricas demasiado escasas pueden no generar información suficiente para que los datos sean significativos. A la hora de encontrar el equilibrio adecuado, lo más importante es que las métricas utilizadas sean relevantes, mensurables, fáciles de controlar, auditables y comparables. En última instancia, quizá las preguntas clave que deberían hacerse los profesionales del riesgo son: «¿Estoy viendo mejoras en el negocio? ¿Están alineadas las prioridades empresariales con los riesgos cambiantes o emergentes? ¿Se están mitigando los riesgos y evitando las pérdidas? Si la respuesta es afirmativa, las métricas, unidas, están haciendo su trabajo, generando datos que pueden aprovecharse para definir controles más sólidos e informar la toma de decisiones alineadas con la estrategia empresarial.