Indicador clave de riesgo

Prácticas de garantía de continuidad operativa (OCAP)

Un indicador clave de riesgo ( KRI ) es una medida que se utiliza en la gestión para indicar el grado de riesgo de una actividad. Los indicadores clave de riesgo son métricas que utilizan las organizaciones para proporcionar una señal temprana de una exposición creciente al riesgo en diversas áreas de la empresa. Se diferencia de un indicador clave de rendimiento (KPI) en que este último se entiende como una medida de lo bien que se está haciendo algo, mientras que el primero es un indicador de la posibilidad de un impacto adverso futuro. Los KRI dan una advertencia temprana para identificar eventos potenciales que pueden dañar la continuidad de la actividad/proyecto.

Los KRI son un pilar del análisis de riesgo operacional .

Definiciones

Según la OCDE ^[1]

Un indicador de riesgo es un indicador que estima el potencial de alguna forma de degradación de recursos utilizando fórmulas o modelos matemáticos.

Gestión de riesgos

Gestión de riesgos de seguridad

Según el marco de Riesgo TI de ISACA , ^[2] los indicadores clave de riesgo son métricas capaces de mostrar que la organización está sujeta o tiene una alta probabilidad de estar sujeta a un riesgo que excede el apetito de riesgo definido .

Las organizaciones tienen distintos tamaños y entornos, por lo que cada empresa debe elegir su propio KRI, teniendo en cuenta los siguientes pasos:

• Considere las diferentes partes interesadas de la organización
• Realice una selección equilibrada de indicadores de riesgo, que cubra indicadores de rendimiento , indicadores principales y tendencias.
• Asegúrese de que los indicadores seleccionados lleguen a la causa raíz de los eventos.
• Elija riesgos importantes de alta relevancia y alta probabilidad de predicción:
  • Alto impacto empresarial
  • Fácil de medir
  • Con alta correlación con el riesgo
  • Sensibilidad
• Determinar umbrales y desencadenantes para el conjunto de KRI
• Localizar e integrar fuentes de datos que contribuyan o alimenten datos a los desencadenadores de KRI
• Determinar métodos de notificación, destinatarios y secuencias de acción o respuesta.

La medición constante de KRI puede traer los siguientes beneficios a la organización:

• Proporcionar una alerta temprana: se puede llevar a cabo una acción proactiva
• Proporcionar una visión retrospectiva de los eventos de riesgo, de modo que se puedan aprender lecciones del pasado.
• Proporcionar una indicación de que se han alcanzado el apetito y la tolerancia al riesgo.
• Proporcionar inteligencia procesable en tiempo real a los tomadores de decisiones y administradores de riesgos.

Los avances en el almacenamiento de datos alojados en la nube, la federación de datos y la agregación de datos han permitido que las cadenas de suministro de datos calculen en tiempo real los indicadores de riesgo clave en fuentes de datos que hasta ahora no estaban vinculadas o desconectadas. Los paneles de control de niveles de riesgo se pueden complementar con notificaciones push de riesgo en tiempo real. Los métodos y herramientas de sistemas que abordan la activación de notificaciones cuando se alcanzan los objetivos de los indicadores de riesgo clave han ido evolucionando. El cálculo y la habilitación de notificaciones de indicadores de riesgo clave solían ser un beneficio exclusivo de los paquetes de software empresarial. Con la evolución de las API para calcular valores de activación de indicadores de riesgo clave en varias fuentes de datos, la posibilidad de que los administradores de riesgos incluyan datos externos a una empresa o externos a una base de datos empresarial ha cambiado el panorama de la gestión de riesgos.

Cualidades de unos buenos indicadores clave de riesgo

Algunas cualidades de un buen indicador clave de riesgo incluyen: ^[3]

• Capacidad de medir lo correcto (por ejemplo, respalda las decisiones que deben tomarse)
• Cuantificables (por ejemplo, daños en dólares de pérdida de beneficios)
• Capacidad de ser medido con precisión y exactitud
• Capacidad de ser validado frente a la verdad fundamental y el nivel de confianza que uno tiene en las afirmaciones realizadas dentro del marco de la métrica.
• Comparabilidad en el tiempo y unidades de negocio
• Evaluación del desempeño de los propietarios de riesgos

Véase también

• Comité de Organizaciones Patrocinadoras de la Comisión Treadway
• Gestión de riesgos empresariales
• ISO 31000

Referencias

1. Glosario de términos estadísticos de la OCDE
2. "ISACA THE RISK IT FRAMEWORK (requiere registro)" (PDF) . Archivado desde el original (PDF) el 2010-07-05 . Consultado el 2010-12-13 .
3. Sheldon, Abercrombie y Mili (2009). "Metodología para evaluar controles de seguridad basados ​​en indicadores clave de rendimiento y la misión de las partes interesadas". 2009 42nd Hawaii International Conference on System Sciences . Vol. 42nd Hawaii International Conference on, Big Island, HI. págs. 1–10. CiteSeerX 10.1.1.502.6181 . doi :10.1109/HICSS.2009.308. ISBN  978-0-7695-3450-3.{{cite book}}: CS1 maint: varios nombres: lista de autores ( enlace )