El 70 % de las organizaciones experimentaron al menos dos eventos de riesgo críticos en el último año, mientras que más del 40 % experimentaron al menos tres y casi el 20 % sufrieron seis o más incidentes, según un informe de 2023 de Forrester y Dataminr.

Con el aumento del riesgo empresarial, la gestión de riesgos empresariales (ERM) es más importante que nunca. Desarrollar indicadores clave de riesgo, o KRI, puede fortalecer la ERM.

Los KRI rastrean la posible ocurrencia de ciertos eventos de riesgo. Cuando se activan, pueden alertar a la administración y otros interesados sobre una amenaza potencial que tendría un impacto significativo en las operaciones comerciales, como el incumplimiento de marcos de seguridad como SOC 2.®

¿Listo para aprender más? A continuación, profundizamos en los conceptos básicos de los KRI, cómo establecerlos y consejos para mantenerlos a lo largo del tiempo.

¿Qué son los indicadores clave de riesgo?

Los indicadores clave de riesgo (KRI) son una forma de medir proactivamente los riesgos que una empresa puede enfrentar. Sirven como señales de advertencia temprana de crisis próximas, lo que puede proporcionar al equipo de gestión de una organización tiempo para crear un plan de acción para mitigar el impacto potencial de ese riesgo o prevenir su ocurrencia.

Los KRI también están vinculados al apetito de riesgo, que establece un umbral para el nivel de exposición al riesgo que una empresa asumirá para alcanzar sus objetivos. Los KRI pueden alertar a la dirección sobre cualquier amenaza o vulnerabilidad próxima que podría superar ese umbral.

Los KRI no están destinados a rastrear todos los riesgos específicos que su empresa pueda enfrentar. En cambio, están destinados a rastrear los tipos de riesgos más importantes que podrían poner en peligro los objetivos y prioridades principales de su empresa.

Indicadores clave de rendimiento vs indicadores clave de riesgo

Tanto los indicadores clave de riesgo como los indicadores clave de rendimiento (KPI) son métricas que ayudan a las empresas a tomar decisiones informadas y a planificar con precisión para el futuro. Sin embargo, los KRI y los KPI difieren en lo que miden. Echemos un vistazo más de cerca a estas dos métricas a continuación.

Indicadores clave de rendimiento

Los KPI se utilizan para medir el rendimiento de la empresa en relación con una meta u objetivo durante un período de tiempo. Pueden usarse para mirar hacia el futuro o hacia el pasado, dependiendo del tipo.

• Los KPI principales evalúan los resultados de ciertas acciones y procesos para indicar el progreso de una empresa hacia el logro de sus objetivos comerciales. Los ejemplos incluyen la satisfacción del cliente y el porcentaje de crecimiento en nuevos mercados.
• Los KPI rezagados evalúan los resultados de acciones y procesos pasados, como lanzamientos de productos y eventos, para determinar si la empresa alcanzó sus objetivos. Ejemplos incluyen ingresos anuales y crecimiento en ventas anuales.

Indicadores Clave de Riesgo

Los ICR se utilizan para indicar riesgos potenciales que pueden afectar la capacidad de la empresa para alcanzar sus objetivos principales. Los ICR pueden ayudar a una empresa a cumplir con sus KPI al reducir riesgos significativos que puedan poner en peligro las operaciones comerciales y las iniciativas de crecimiento.

Por ejemplo, si una empresa establece un KPI para medir el rendimiento del sistema de TI, entonces un ICR complementario podría medir el número de fallos en las copias de seguridad del sistema o incidentes críticos. Si alguno de estos ICR supera su umbral, los interesados podrían ser alertados y tener tiempo para mitigar el riesgo antes de que el rendimiento del sistema de TI se vea afectado.

Desafíos en el desarrollo de indicadores clave de riesgo

Aunque los ICR cuentan con una amplia gama de beneficios que incluyen la capacidad de abordar proactivamente los riesgos de una organización, las empresas también enfrentan una serie de desafíos cuando se trata de establecer y monitorear los ICR.

En una encuesta reciente realizada durante un seminario web por los CEO de Nymro Clinical Consulting Services y Cyntegrity, el 22% de los líderes empresariales dijo que encontrar el método adecuado para calcular los ICR es su principal desafío.

Otros desafíos comunes que enfrentan las empresas al utilizar ICR incluyen:

• Falta de incorporación de KPI con ICR
• Monitoreo ineficiente de ICR debido a la falta de recursos o herramientas como la automatización
• Dificultades para acceder a datos cualitativos objetivos para identificar tendencias de riesgo
• No asociar acciones con umbrales de riesgo

Cómo desarrollar ICR

Antes de que tu empresa pueda comenzar a beneficiarse de los ICR, necesitarás hacer un poco de trabajo previo. A continuación, describimos los pasos para el diseño de ICR.

1. Entender tus objetivos clave

Un ICR es una métrica para rastrear la posible ocurrencia de ciertos eventos de riesgo que tendrán un efecto adverso en los objetivos de tu empresa.

Así que, antes de comenzar a desarrollar ICR efectivos, es esencial que entiendas los objetivos más importantes de tu empresa. Por ejemplo, un objetivo principal podría ser aumentar las ganancias aumentando los ingresos y disminuyendo los costos. Hay varios riesgos que puedes mapear a este objetivo principal, como recesiones económicas o ineficiencias operativas.

2. Identificar riesgos prioritarios

Los riesgos que representan la mayor amenaza para tus objetivos de negocio—con una alta probabilidad de ocurrir y un resultado potencialmente dañino—son los que estás buscando incluir al establecer los ICR.

Aquí hay algunas formas de identificar riesgos relevantes:

• Realiza una evaluación de riesgos para identificar los riesgos que tendrán los mayores impactos en tus objetivos y metas generales.
• Revisa tu registro de riesgos para identificar ciertos riesgos que están sujetos a rápidos cambios en el nivel de riesgo, lo que indica que podrían beneficiarse de la alerta temprana de un ICR.
• Mantén tus objetivos comerciales principales en primer plano mientras diseñas tus Indicadores Clave de Riesgo (KRI, por sus siglas en inglés), lo que te ayudará a priorizar los riesgos más importantes.
• Considera los riesgos que se encuentran por encima o por debajo de tu umbral de apetito de riesgo, ya que probablemente necesitarán una supervisión adicional.
• Realiza una auditoría interna para evaluar tus controles internos frente a un marco mientras te preparas para estar listo para la auditoría.

3. Seleccionar KRIs

Hay dos métodos principales para elegir KRIs: enfoques de arriba hacia abajo y de abajo hacia arriba.

• Enfoque de arriba hacia abajo: La alta dirección selecciona los KRIs para toda la organización. Este enfoque puede ser útil para alinearse con los KPIs estratégicos y puede ayudar a la organización a comprender el impacto del riesgo y cómo puede afectar los objetivos comerciales.
• Enfoque de abajo hacia arriba: Las unidades de negocio a lo largo de la organización seleccionan y monitorean KRIs que se mapean a sus procesos operativos. El enfoque de abajo hacia arriba asegura que los riesgos se rastreen a un nivel más granular y fomenta la aceptación de los departamentos.

Ya sea que optes por un enfoque de arriba hacia abajo o de abajo hacia arriba, una vez que se hayan identificado los riesgos de máxima prioridad, puedes comenzar a diseñar KRIs. Para los KRIs iniciales, puede ser útil comenzar con dos o tres indicadores para tus principales riesgos.

Al configurar los KRIs, mantén las cosas simples enfocándote en tus riesgos prioritarios. Incluye a expertos en la materia relevantes de tu organización para ayudar a identificar algunos indicadores clave que te ayudarán a rastrear adecuadamente los riesgos.

Recuerda que las características clave de un buen KRI son:

• Medible: Los KRIs son cuantificables por porcentajes, números, etc.
• Predictivo: Los KRIs se pueden usar como un sistema de alerta temprana.
• Informativo: Los KRIs se utilizan para moldear la toma de decisiones.
• Comparable: Los KRIs se pueden comparar internamente y con los estándares de la industria.

4. Establecer umbrales para KRIs

Una vez que hayas identificado KRIs, establece valores de tolerancia superior e inferior para rastrear contra cada riesgo. Cada vez que un riesgo se mueva más allá de estos umbrales de aceptación, debes alertar a los principales interesados y asignar tareas de seguimiento para mitigar ese riesgo.

Estos valores de tolerancia pueden cambiar a medida que se capturan datos, por lo que no dediques demasiado tiempo a perfeccionarlos al principio. Para comenzar, puedes usar normas de la industria o criterios internos para establecerlos y asegurarte de que estén aprobados por tu junta directiva u otro liderazgo clave.

Cuando tengas confianza en los datos recopilados de tus indicadores iniciales, puedes expandir el programa de KRI a diferentes departamentos comerciales.

5. Mantener los KRIs a lo largo del tiempo

Una vez que los KRIs estén en su lugar, necesitan ser monitoreados y rastreados regularmente, ya sea en tiempo real o con una verificación trimestral.

La automatización puede ayudar a simplificar este proceso, pero también puede considerar nombrar a personas clave para rastrear manualmente ciertos indicadores que tengan sentido para tu organización.

Además, puedes usar los primeros períodos de recopilación de datos como una forma de verificar si tu configuración de umbral de riesgo es correcta. Esto ayudará a garantizar que las alertas futuras estén configuradas correctamente y prevenir falsas alarmas.

Es importante documentar e informar todas las ocurrencias de riesgo relacionadas con tus KRIs. Esto debe incluir un proceso formal para alertar a los principales líderes cuando los niveles de tolerancia del indicador sean altos.

Ejemplos de indicadores clave de riesgo

Aunque puede asignar KRIs a cualquier aspecto de su negocio, los tipos comunes de KRI incluyen indicadores operativos, financieros, tecnológicos y relacionados con las personas.

KRIs operativos

Los KRIs operativos están estrechamente relacionados con el riesgo operativo. Ejemplos incluyen:

• Ineficiencias de proceso
• Fallos internos
• Cambios en el liderazgo

KRIs financieros

Los KRIs financieros son comúnmente utilizados por bancos y firmas de contabilidad. Ejemplos incluyen:

• Recesión económica
• Cambios regulatorios
• Adquisiciones
• Cambios en el presupuesto

KRIs tecnológicos

Los KRIs tecnológicos son utilizados por empresas de diversas industrias. Ejemplos incluyen:

• Fallos del sistema
• Incidentes de violación de datos
• Cambios regulatorios

KRIs de personas

Estos KRIs son frecuentemente utilizados por departamentos de recursos humanos o empresas que manejan personal y reclutamiento. Ejemplos incluyen:

• Alta rotación
• Baja satisfacción de los empleados
• Baja conversión de reclutamiento

KRIs de ciberseguridad

Los indicadores clave de riesgo de ciberseguridad pueden ser utilizados por cualquier empresa para medir, monitorear y gestionar su riesgo de ciberseguridad. El riesgo de ciberseguridad se relaciona con la pérdida de confidencialidad, integridad o disponibilidad de la información, datos o sistemas de información (o control) como resultado de ataques digitales. Ejemplos incluyen:

• Número de incidentes cibernéticos
• Número de registros de datos expuestos
• Tiempos de respuesta a incidentes cibernéticos

KRIs de seguridad de la información

Los KRIs de seguridad de la información pueden ser utilizados por cualquier empresa para medir, monitorear y gestionar su riesgo de seguridad de la información. El riesgo de seguridad de la información es el riesgo para las operaciones organizacionales, los activos organizacionales y las personas debido al potencial de acceso no autorizado, uso, divulgación, interrupción, modificación o destrucción de información y/o sistemas de información. Ejemplos incluyen:

• Solicitudes de inicio de sesión fallidas
• Porcentaje de sistemas en uso que ya no son compatibles
• Aumento de ataques al firewall

KRIs de AML

Los indicadores clave de riesgo de antilavado de dinero son comúnmente utilizados por instituciones financieras y otras reguladas para ayudarlas a cumplir con la legislación de AML y financiación antiterrorista. Ejemplos incluyen:

• Tamaño del negocio
• Número de transacciones
• Ubicación
• Tipos de productos y servicios vendidos a los clientes
• Tipo de cliente

Plantilla de indicadores clave de riesgo

Los KRIs son una herramienta importante de gestión de riesgos operativos para la identificación y mitigación de riesgos. Ahora que comprende cómo desarrollar indicadores clave de riesgo, es hora de mapear su propio conjunto de KRIs. Hemos creado esta sencilla plantilla de KRI para ayudarle a pensar en los riesgos de su empresa.

Ayudando a su empresa a prepararse mejor para el futuro con KRIs

Establecer KRIs es un aspecto importante de cualquier estrategia de gestión de riesgos empresariales.

Los indicadores clave de riesgo son una herramienta invaluable para las empresas con visión de futuro para comprender completamente su perfil de riesgo, gestionar las amenazas futuras y actuar rápidamente para mitigar posibles interrupciones.

También se pueden mapear fácilmente con estándares de seguridad y requisitos regulatorios para ayudar a su empresa a mantenerse en cumplimiento con marcos como SOC 2 y HIPAA.

La implementación de KRI es solo uno de los enfoques para incorporar la prevención de riesgos en su negocio. Hemos creado una guía visual para inspirar a su empresa a adoptar un enfoque más centrado en la ciberseguridad.