¿Qué es un indicador de riesgo clave (KRI)?
Un indicador clave de riesgo (KRI) es una métrica para medir la probabilidad de que la probabilidad combinada de un evento y sus consecuencias excedan el apetito por el riesgo de la organización y tengan un impacto profundamente negativo en la capacidad de una organización para tener éxito.
Los indicadores clave de riesgo juegan un papel importante en los programas de gestión de riesgos empresariales. Los beneficios de los KRI incluyen los siguientes:
- aviso previo de los riesgos potenciales que podrían dañar la organización;
- conocimiento de las posibles debilidades en las herramientas de seguimiento y control de una organización; y
- Monitoreo continuo de riesgos entre evaluaciones de riesgos.
Características de los buenos KRI
Al desarrollar un KRI, el conocimiento de la organización y cómo opera, además del conocimiento de los posibles riesgos, amenazas y vulnerabilidades que enfrenta, son los puntos de partida esenciales. Sin una comprensión de la empresa, es difícil identificar dónde puede estar en riesgo.
Luego, los riesgos internos y externos se asignan a los aspectos operativos clave de la empresa para identificar cómo esos atributos clave podrían interrumpirse. Por lo tanto, las características de un KRI bueno y medible incluyen lo siguiente:
- detalles sobre las personas, los procesos, las tecnologías, las instalaciones y otros atributos corporativos más importantes para la operación continua y el éxito de la organización;
- identificación de riesgos, amenazas y vulnerabilidades que enfrenta la organización, con base en la probabilidad de que ocurran, su impacto operativo y financiero para la empresa y la capacidad de la empresa para mitigar el evento;
- clasificar los atributos del negocio en términos de su importancia para la empresa;
- clasificación de riesgos, amenazas y vulnerabilidades en términos de su daño potencial para la empresa;
- vinculación de los atributos clave del negocio con los riesgos más importantes para identificar los problemas que más preocupan a la organización;
- métricas para identificar cuándo y cómo un riesgo identificado se convierte en una amenaza seria para los atributos críticos de la organización;
- proceso continuo de revisión de los KRI y sus métricas para identificar cualquier cambio que requiera una revisión por parte de la gerencia y una posible acción; y
- aprobación de los KRI por parte de la alta dirección.
Ejemplos de KRI
Los KRI se desarrollan en relación con las personas, los procesos, la tecnología, las instalaciones y otros elementos críticos de una organización para sus operaciones. Los KRI también proporcionan los puntos de medición que, si se exceden, podrían interrumpir el negocio.
La Tabla 1 proporciona ejemplos de KRI para diferentes aspectos de una empresa y puntos de medición de muestra.
Tabla 1 – Ejemplos de KRI | |||
Situación de riesgo | KRI sugerido | Medición | |
Gente | |||
Pérdida de personal | Identificar cuándo el ausentismo de los empleados supera un cierto nivel | El recuento total de personas se reduce en un 20% o más | |
Insatisfacción de los empleados | Identificar situaciones que indiquen la insatisfacción de los empleados. | El número de quejas de los empleados aumenta un 15% o más mes a mes | |
Proceso | |||
La producción de un producto importante no puede satisfacer la demanda. | Identificar cuándo los niveles de producción alcanzan un cierto punto, según la demanda del producto. | El número de unidades producidas por día se reduce en un 20% o más | |
Los diseños de productos existentes están cada vez más desactualizados y podrían resultar en una disminución de las ventas. | Identificar un punto de riesgo, basado en las ventas y la investigación de mercado, cuando los diseños existentes deben cambiarse. | Las ventas del producto han disminuido un 20% y más respecto a los niveles anteriores. | |
Tecnología | |||
Interrupción de los sistemas de TI por ataques cibernéticos | Identificar el nivel de parche óptimo para los sistemas de ciberseguridad | El parcheo del sistema de ciberseguridad está dos parches por detrás de los niveles programados y recomendados | |
Incapacidad para recuperar sistemas, archivos de datos y bases de datos al estado actual después de un desastre debido a copias de seguridad fallidas | Métrica que demuestra que los activos de TI se encuentran en sus niveles de respaldo más actuales | Los sistemas de respaldo envían una alerta cuando los niveles de respaldo caen por debajo de los plazos mínimos aceptables |
¿Por qué son importantes los KRI?
Sin KRI, una organización aumenta la probabilidad de estar sujeta a eventos o situaciones que podrían dañar significativamente su negocio. Los KRI son las señales de alerta que garantizan que estos riesgos se identifiquen de antemano y se mitiguen.
Miremos más de cerca.
Si una organización se especializa en ventas minoristas, por ejemplo, un indicador de riesgo clave podría ser el número de quejas de los clientes. Un aumento en este KRI podría ser una indicación temprana de que es necesario abordar un problema operativo.
El desafío para una organización no es solo identificar qué indicadores de riesgo deben identificarse como clave, es decir, los más importantes, sino también garantizar la aceptación interna de sus KRI. Las organizaciones deben comunicar la advertencia de riesgo de tal manera que todos en la organización comprendan claramente su importancia y puedan responder en consecuencia.
KRI y KPI: ¿Cuál es la diferencia?
Los indicadores clave de riesgo a menudo se confunden con los indicadores clave de rendimiento (KPI), que son métricas que ayudan a una organización a evaluar el progreso hacia las metas declaradas.
Los dos términos son funcionalmente opuestos entre sí. Si bien pueden ser independientes y distintos para algunos temas, la creación de uno a menudo resulta en la creación del otro como complemento.
Como se indicó anteriormente, los KRI brindan métricas con respecto a los riesgos y su impacto potencial en el desempeño comercial. Funcionan como una capacidad de alerta temprana para monitorear, analizar, administrar y mitigar los riesgos clave.
Por el contrario, los KPI demuestran qué tan bien se está desempeñando la organización en relación con sus metas y objetivos, por ejemplo, ventas, ingresos y satisfacción del cliente. Al igual que los KRI, los indicadores clave de rendimiento se pueden aplicar a las personas, los procesos y las tecnologías que son fundamentales para el éxito de una organización.
La Tabla 2 proporciona ejemplos de indicadores clave de desempeño y sus correspondientes KRI.
Tabla 2 – Ejemplos de KPI y KRI complementarios | ||
Indicador clave de rendimiento | Indicador clave de riesgo | |
Gente | ||
Se necesita pleno empleo para un desempeño óptimo de la empresa | Métrica que identifica cuándo el ausentismo de los empleados supera un cierto nivel | |
La satisfacción de los empleados con la empresa y su trabajo es esencial para un desempeño exitoso. | Métricas que muestran la insatisfacción de los empleados y cuándo alcanza un nivel específico | |
Proceso | ||
La producción de un producto importante se mantiene a niveles suficientes para satisfacer la demanda. | Métricas que muestran cuando los niveles de producción caen por debajo de niveles inaceptables | |
Los diseños de productos existentes son satisfactorios y brindan el valor y los resultados esperados a los clientes. | Métrica, por ejemplo, basada en la disminución de las ventas y la investigación de mercado competitivo, que indica que los diseños existentes deben examinarse y posiblemente cambiarse | |
Tecnología | ||
La interrupción de los sistemas de TI debido a los ataques cibernéticos se minimiza mediante el parcheo regular de los sistemas de ciberseguridad. | Métricas que identifican cuándo no se están logrando los niveles óptimos de parche para los sistemas de ciberseguridad | |
Las interrupciones en el negocio se minimizan porque los sistemas, archivos de datos y bases de datos se están respaldando en su punto de recuperación más actual. | Métrica que demuestra cuándo los activos de TI no están en sus niveles de respaldo más actuales |
Desafíos de crear y medir nuevos KRI
No es suficiente simplemente crear KRI y alejarse. Deben ser monitoreados y revisados regularmente para identificar cualquier cambio situacional que indique un posible cambio en el negocio, así como los niveles de riesgo / amenaza, e identificar e iniciar las acciones correctivas que puedan ser necesarias.
Los desafíos asociados con el desarrollo de KRI generalmente surgen de la incapacidad de una organización para hacer lo siguiente:
- obtener información precisa sobre la organización que pueda utilizarse para identificar actividades de misión crítica;
- identificar riesgos, amenazas y vulnerabilidades y luego cuantificarlos por probabilidad, severidad e impacto;
- asegurar el apoyo de la alta dirección para el uso de KRI como parte de un programa de gestión de riesgos empresariales;
- vincular de manera realista los atributos comerciales críticos con los escenarios de riesgo más probables;
- crear métricas que sean medibles y comprensibles para la alta dirección, por ejemplo, presentando los KRI mediante un panel de control;
- establecer una actividad continua para monitorear, medir y analizar cualquier cambio en las métricas;
- Establecer acciones de respuesta a tomar si ocurren desviaciones a las métricas de KRI.