Indicadores de riesgos operativos o KRI permiten identificar, medir, monitorear y analizar riesgos operativos para gestionarlos oportunamente.
Escrita por Sr. Yuri Luna Coavoy.
En los últimos años, la gestión de los riesgos operativos en el sector financiero peruano ha madurado significativamente, lo cual ha permitido, entre otras cosas, disponer de herramientas cuantitativas que permitan monitorear, realizar seguimiento y tomar acciones para mitigar riesgos operativos. . Dichos indicadores cuantitativos son comúnmente conocidos como o KRI (key risk indicator).
Los KRI son métricas creadas para poder sintetizar objetivamente aquellos riesgos que consideramos significativos y que necesitan un tratamiento diferenciado. Estas métricas permiten llevar un registro de incidencias, monitorear su comportamiento, informar sobre su evolución, reportarlos y establecer planes de acción cuando salen de la tendencia esperada.
Beneficios de los KRI
En los inicios de la gestión de los riesgos operativos, la matriz de auto evaluación de riesgos era la herramienta que por definición era utilizada para gestionar los riesgos operativos. Sin embargo, no era funcional dado que presentaba deficiencias por demora en su actualización: para hacer una revisión y actualización de los riesgos pasaba por lo menos un semestre para poder reunirse nuevamente con el usuario y tener una versión actualizada del mismo. En pocas palabras, la gestión era poco eficiente.
Ante ello, los gestores de riesgos entendieron la necesidad e importancia de gestionar los riesgos a través de indicadores por ser más dinámica y mantener contacto permanente con la evolución de incidencias, los cuales representarían los riesgos más significativos y que requerían un tratamiento diferenciado, ya sea por la frecuencia de incidentes o el impacto en la empresa. Por esto se desarrollaron los KRI como instrumentos para realizar un seguimiento más cercado a aquellos riesgos que por su naturaleza, severidad o importancia debían ser monitoreados.
La principal ventaja de un indicador de riesgo o KRI es su efectividad para monitorear y hacer seguimiento a la evolución de los riesgos. ¿De qué forma? A través del diseño de un KRI.
Un KRI permite capturar la ocurrencia de un incidente, el cual se asocia a un riesgo identificado previamente y que es considerado alto, permitiendo con ello llevar un registro de ocurrencias y evaluar a través de su tendencia la eficacia de los controles que se disponen para mitigarlos.
¿Cómo me ayuda para gestionar los riesgos?
Imagínense que tenemos el siguiente riesgo:
“Fallas en la red debido a caídas del enlace de comunicaciones; con origen en el proveedor, ocasiona caídas continuas de la operatividad de las agencias a nivel local”
Además, el área de soporte de redes, lleva un registro de incidencias ocasionada por la caída en la red de comunicaciones.
Sin embargo, el dato obtenido “número de caídas de la red de comunicaciones” por sí solo no genera valor dado es irrelevante tener 5 como 10 caídas si esta información no es contextualizada para su análisis.
Lo que se debería tener es una bitácora de incidencias con el registro del tiempo en que la red de comunicaciones está caída, especificando hora de inicio y hora de fin, tipo de incidente, parcial o general, así como las agencias afectadas por la caída, con lo cual ya sería un dato que si aportaría mayor criterio para la evaluación.
Con esta información, se podrían crear el siguiente indicador:
KRI 1 = duración acumulada de horas de caída de red de comunicación por mes
Sin embargo, el valor numérico que represente el KRI, o valor “hora”, deja de ser útil si no se identifican umbrales que permitan conocer a partir de qué momento se necesita tomar una acción o simplemente no hacer nada. Dichos umbrales responderán al nivel de apetito de riesgo que se desea tener para poder aceptar o no determinados niveles esperados de caídas de la red de comunicaciones.
Por ejemplo:
En el gráfico adjunto, se puede ver la evolución del KRI 1 en los últimos cinco meses.
Se puede observar como en el mes 3 se activó una alerta que generó un Plan de Acción, diseñándose una Acción correctiva, el cual tuvo un efecto temporal dado que el indicador se disparó a niveles no aceptables, al llegar a las diez horas de caídas de la red de comunicaciones en el quinto mes.
Se puede observar como en el mes 3 se activó una alerta que generó un Plan de Acción, diseñándose una Acción correctiva, el cual tuvo un efecto temporal dado que el indicador se disparó a niveles no aceptables, al llegar a las diez horas de caídas de la red de comunicaciones en el quinto mes.
Esta situación demostraría que la acción implementada fue ineficiente, debiendo definir un nuevo plan de acción para mitigar el impacto sobre el negocio.
De acuerdo a lo expuesto, podemos decir que la incorporación de indicadores de riesgos a la gestión de riesgos operativos resulta de mucha utilidad. Por su versatilidad, es una herramienta que permite monitorear y hacer seguimiento a incidencias con alto impacto en el negocio y que, a su vez, validan la efectividad de las medidas de control en el tiempo, permitiendo conocer si este diseño es eficiente o requiere una revisión del mismo.
Una adecuada administración de KRI se convierte en un mecanismo útil para monitorear, realizar seguimiento, reportar e informar sobre los resultados de la gestión de los riesgos operativos ante diversos riesgos a los cuales se encuentra expuesto en la empresa.
Sr. Yuri Luna Coavoy es Gerente de Proyectos de Consultoría en PRIME Consultores y profesor en la Escuela de Postgrado de la UPC.
No hay comentarios:
Publicar un comentario