Indicador clave de riesgo

Prácticas de garantía de continuidad operativa (OCAP)

Un indicador de riesgo clave ( KRI ) es una medida utilizada en la gestión para indicar qué tan riesgosa es una actividad. Los indicadores de riesgo clave son métricas utilizadas por las organizaciones para proporcionar una señal temprana del aumento de la exposición al riesgo en diversas áreas de la empresa. Se diferencia de un indicador clave de desempeño (KPI) en que este último pretende ser una medida de qué tan bien se está haciendo algo, mientras que el primero es un indicador de la posibilidad de un impacto adverso futuro. Los KRI dan una alerta temprana para identificar posibles eventos que puedan perjudicar la continuidad de la actividad/proyecto.

Los KRI son un pilar del análisis de riesgo operativo .

Definiciones

Según la OCDE ^[1]

Un indicador de riesgo es un indicador que estima el potencial de alguna forma de degradación de recursos utilizando fórmulas o modelos matemáticos.

Gestión de riesgos

Gestión de riesgos de seguridad

Según el marco Risk IT de ISACA , ^[2] los indicadores clave de riesgo son métricas capaces de mostrar que la organización está sujeta o tiene una alta probabilidad de estar sujeta a un riesgo que excede el apetito de riesgo definido .

Las organizaciones tienen diferentes tamaños y entornos. Por lo que cada empresa debería elegir su propio KRI, teniendo en cuenta los siguientes pasos:

• Considerar las diferentes partes interesadas de la organización.
• Hacer una selección equilibrada de indicadores de riesgo, que abarque indicadores de desempeño , indicadores principales y tendencias.
• Asegúrese de que los indicadores seleccionados profundicen en la causa raíz de los eventos.
• Elija alta relevancia y alta probabilidad de predecir riesgos importantes:
  • Alto impacto empresarial
  • Fácil de medir
  • Con alta correlación con el riesgo.
  • Sensibilidad
• Determinar umbrales y desencadenantes para el conjunto de KRI.
• Ubique e incorpore fuentes de datos que contribuyan o aporten datos a los activadores de KRI.
• Determinar los métodos de notificación, los destinatarios y las secuencias de acción o respuesta.

La medición constante del KRI puede traer los siguientes beneficios a la organización:

• Proporcionar una alerta temprana: se puede llevar a cabo una acción proactiva
• Proporcionar una visión retrospectiva de los eventos de riesgo, para que el pasado pueda aprender las lecciones.
• Proporcionar una indicación de que se alcanza el apetito y la tolerancia al riesgo .
• Proporcionar inteligencia procesable en tiempo real a los responsables de la toma de decisiones y a los gestores de riesgos.

Los avances en el almacenamiento de datos alojados en la nube, la federación de datos y la agregación de datos han permitido que las cadenas de suministro de datos calculen en tiempo real indicadores de riesgo clave en fuentes de datos que hasta ahora no estaban vinculadas o desconectadas. Los paneles de nivel de riesgo se pueden complementar con notificaciones automáticas de riesgo en tiempo real. Los métodos y herramientas de sistemas que abordan la activación de notificaciones cuando se alcanzan los objetivos para indicadores clave de riesgo han ido evolucionando. Calcular y habilitar notificaciones de indicadores de riesgo clave solía ser un beneficio único de los paquetes de software empresarial. Con la evolución de las API para calcular valores de activación para indicadores de riesgo clave a través de varias fuentes de datos, la posibilidad de que los administradores de riesgos incluyan datos externos a una empresa o externos a una base de datos empresarial ha cambiado el panorama de la gestión de riesgos.

Cualidades de buenos indicadores clave de riesgo

Algunas cualidades de un buen indicador clave de riesgo incluyen: ^[3]

• Capacidad para medir lo correcto (por ejemplo, respalda las decisiones que deben tomarse)
• Cuantificable (por ejemplo, daños en dólares de pérdida de ganancias)
• Capacidad para medirse con precisión y exactitud.
• Capacidad de ser validado frente a la verdad fundamental y nivel de confianza que se tiene en las afirmaciones realizadas en el marco de la métrica.
• Comparabilidad en el tiempo y unidades de negocio
• Evaluación del desempeño de los propietarios de riesgos

Ver también

• Comité de Organizaciones Patrocinadoras de la Comisión Treadway
• Gestión de riesgos empresariales
• ISO 31000

Referencias

1. Glosario de términos estadísticos de la OCDE
2. "ISACA THE RISK IT FRAMEWORK (se requiere registro)" (PDF) . Archivado desde el original (PDF) el 5 de julio de 2010 . Consultado el 13 de diciembre de 2010 .
3. Sheldon, Abercrombie y Mili (2009). "Metodología para la evaluación de controles de seguridad basada en indicadores clave de desempeño y misión de las partes interesadas". 2009 42ª Conferencia Internacional de Hawaii sobre Ciencias de Sistemas . vol. 42ª Conferencia Internacional de Hawái en Big Island, HI. págs. 1–10. CiteSeerX 10.1.1.502.6181 . doi :10.1109/HICSS.2009.308. ISBN  978-0-7695-3450-3.{{cite book}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )