Un indicador clave de riesgo ( KRI ) es una medida que se utiliza en la gestión para indicar el riesgo de una actividad. Los indicadores clave de riesgo son métricas que utilizan las organizaciones para proporcionar una señal temprana de una mayor exposición al riesgo en diversas áreas de la empresa. Se diferencia de un indicador clave de rendimiento (KPI) en que este último es una medida de qué tan bien se está haciendo algo, mientras que el primero es un indicador de la posibilidad de un impacto adverso futuro. KRI da una advertencia temprana para identificar eventos potenciales que pueden dañar la continuidad de la actividad / proyecto.
Los KRI son un pilar del análisis de riesgo operativo .
Definiciones
- Un indicador de riesgo es un indicador que estima el potencial de alguna forma de degradación de los recursos mediante fórmulas o modelos matemáticos.
Gestión de riesgos
Gestión de riesgos de seguridad
Según el marco de Risk IT de ISACA , [2] los indicadores clave de riesgo son métricas capaces de mostrar que la organización está sujeta o tiene una alta probabilidad de estar sujeta a un riesgo que excede el apetito de riesgo definido .
Las organizaciones tienen diferentes tamaños y entornos. Entonces, cada empresa debe elegir su propio KRI, teniendo en cuenta los siguientes pasos:
- Considere las diferentes partes interesadas de la organización.
- Haga una selección equilibrada de indicadores de riesgo, que cubran indicadores de desempeño , indicadores principales y tendencias.
- Asegúrese de que los indicadores seleccionados desglosen la causa raíz de los eventos.
- Elija una probabilidad alta y relevante de predecir riesgos importantes:
- Alto impacto empresarial
- Fácil de medir
- Con alta correlación con el riesgo
- Sensibilidad
- Determinar umbrales y desencadenantes para el conjunto de KRI.
- Ubique y agregue fuentes de datos que contribuyan o alimenten datos a los activadores de KRI
- Determinar los métodos de notificación, los destinatarios y las secuencias de acción o respuesta.
La medición constante de KRI puede traer los siguientes beneficios a la organización:
- Proporcione una alerta temprana: se puede llevar a cabo una acción proactiva
- Proporcionar una visión retrospectiva de los eventos de riesgo, para que el pasado pueda aprender la lección.
- Proporcionar una indicación de que se alcanza el apetito por el riesgo y la tolerancia.
- Proporcione inteligencia procesable en tiempo real a los responsables de la toma de decisiones y los gestores de riesgos.
Los avances en el almacenamiento de datos alojados en la nube, la federación de datos y la agregación de datos han permitido que las cadenas de suministro de datos calculen en tiempo real los indicadores clave de riesgo en fuentes de datos hasta ahora no vinculadas o desconectadas. Los paneles de nivel de riesgo se pueden complementar con notificaciones automáticas de riesgo en tiempo real. Los métodos de sistemas y las herramientas que abordan la activación de notificaciones cuando se alcanzan los objetivos de los indicadores clave de riesgo han ido evolucionando. El cálculo y la habilitación de notificaciones de indicadores clave de riesgo solían ser un beneficio único de los paquetes de software empresarial. Con la evolución de las API para calcular los valores desencadenantes de los indicadores clave de riesgo en diversas fuentes de datos, el potencial de los administradores de riesgos para incluir datos externos a una empresa o externos a una base de datos empresarial ha cambiado el panorama de la gestión de riesgos.
Cualidades de buenos indicadores clave de riesgo
Algunas cualidades de un buen indicador clave de riesgo incluyen: [3]
- Capacidad para medir lo correcto (por ejemplo, apoya las decisiones que deben tomarse)
- Cuantificable (p. Ej., Daños en dólares de pérdida de beneficios)
- Capacidad para ser medido con precisión y exactitud
- Capacidad para ser validado contra la verdad básica, y el nivel de confianza que uno tiene en las afirmaciones hechas dentro del marco de la métrica.
Ver también
Referencias
- ^ Glosario de términos estadísticos de la OCDE
- ^ ISACA THE RISK IT FRAMEWORK (se requiere registro)
- ^ Sheldon, Abercrombie y Mili (2009). Metodología para evaluar los controles de seguridad en función de los indicadores clave de desempeño y la misión de las partes interesadas . Ciencias de sistemas . 42ª Conferencia Internacional de Hawái en Big Island, HI. págs. 1-10. CiteSeerX 10.1.1.502.6181 . doi : 10.1109 / HICSS.2009.308 . ISBN 978-0-7695-3450-3.CS1 maint: varios nombres: lista de autores ( enlace )