Cómo desarrollar indicadores clave de riesgo (KRI) para fortalecer la organización

Entre otras herramientas, los profesionales de cumplimiento y gestión anticorrupción necesitan indicadores clave de riesgo. Estos indicadores (KRI) son el tablero de mando de la gestión, y es con base en la información que aportan, que estos especialistas logran actuar de inmediato para solucionar problemas que están ocurriendo.

Pero también pueden predecir amenazas emergentes internas o de terceros y preparar a la organización para el futuro. Los indicadores clave de riesgo de permiten actuar en tiempo real y gestionar riesgos incipientes antes de que alcancen su máximo poder lesivo.

Sin embargo, es importante elegir y utilizar los indicadores clave de riesgo adecuados. ¿Cuáles son y cómo desarrollarlos?

¿Qué son los indicadores clave de riesgo?

Un indicador es una cifra, un dato o una condición que, como su nombre lo sugiere, indica algo. Los indicadores hacen ver al analista o al evaluador que algo está sucediendo o puede suceder en un futuro próximo.

Es una forma de monitorear la actividad y establecer si los controles han sido efectivos o si su efectividad está próxima a caducar. Los indicadores emiten alertas tempranas que facilitan actuar sobre riesgos o amenazas que sucederán muy pronto, o están actuando en el momento.

Un indicador clave de riesgo, por ejemplo, puede ser el número de comunicaciones reportadas en una línea dedicada o canal de denuncias. Los indicadores cumplen una función esencial en la gestión de compliance y anticorrupción. Entre otros, permite lograr objetivos como:

• Identificar nuevos riesgos o la variación en el comportamiento de uno ya evaluado (probabilidad o impacto).
• Establecer el impacto real de un riesgo en términos financieros o reputacionales.
• Elaborar comparativos de cifras periódicas, que permitan conformar una tendencia.
• Obtener un panorama real e inmediato sobre la gestión anticorrupción.
• Verificar la eficacia de los controles implementados.
• Fijar nuevos objetivos para la gestión.

¿Cómo establecer indicadores clave de riesgo adecuados?

Los indicadores de riesgo deben ser adecuados a la gestión, al nivel de exposición de riesgo de la organización, a los antecedentes históricos, al grado de regulación y control, entre otros factores para considerar.

Para establecer indicadores clave de riesgo es preciso seguir un proceso que inicia por:

1. Reunir el equipo de gestión de riesgos

Al igual que otras tareas en el área de gestión de riesgos, la definición de los indicadores clave de riesgo es una tarea de equipo. Es importante que todos aporten y que se conforme un marco de operación en el que todos actúen bajo las mismas directrices tras un objetivo común.

2. Dividir la tarea por áreas o por unidades de negocio

Identificar problemas de cumplimiento y corrupción puede requerir una dinámica diferente en el área de Recursos Humanos y otra en Adquisiciones o en Servicios Generales. Los KRI que resultan interesantes o efectivos en un punto, pueden ser irrelevantes o inocuos en otro.

3. Revisar el comportamiento de los KRI actuales

Cada uno de los grupos de trabajo establecidos revisa los indicadores de uso común en el momento, su comportamiento y su aporte a la gestión.

4. Analizar la evaluación del riesgo asociado al KRI

Los indicadores clave de riesgo, incumplimiento, fraude y soborno, son definidos como tales por el aporte que entregan a la gestión. Si se invierte tiempo y recursos en obtener una métrica es porque el resultado final lo amerita. Cada métrica se toma para descubrir si un riesgo está ocurriendo, se mantiene o deja de ocurrir. Un indicador asociado a un riesgo que cada día tiene mayor incidencia y mayor impacto, es un indicador no adecuado.

5. Identificar procesos o cambios de procesos

Los indicadores de riesgo vinculados a un proceso pierden actualidad si el proceso desaparece o sufre una modificación estructural sustancial. Los cambios inadvertidos en procesos obligan a cambiar controles y, por supuesto, indicadores.

6. Priorizar los riesgos para establecer controles

El trabajo de definición y desarrollo de indicadores clave de riesgo, como cualquier actividad en gestión de riesgos, deben enfocarse de manera prioritaria en las amenazas que mayor impacto negativo representen, o mayor probabilidad de ocurrencia.

7. Analizar y procesar los datos

El análisis de la información recopilada debe realizarse de manera metódica, sistemática y automatizada. Los KRI necesitan ser medibles, comparables y comprobables. Para ello, especialmente cuando se trata con grandes volúmenes de datos, es preciso contar con una plataforma diseñada para esta función, y mejor si es creada para la gestión anticorrupción.

8. Establecer límites mínimos y máximos

Finalmente, es preciso establecer límites para la información que arrojan los KRI. Estos limites permiten disparar las alertas que son el objetivo principal de los indicadores. Estos umbrales también pueden ser fijados por un software que determine con alto grado de confiabilidad cuál es el punto que indica una situación crítica.

¿Qué tipos de indicadores clave de riesgo existen?

A nivel general aparecen diferentes tipos de indicadores. La forma en que expresan la información, el área en la que operan o el valor que representan, son los principales criterios de clasificación:

• Cuantitativos, cuando expresan el resultado en un valor numérico absoluto.
• Cualitativos, cuando indican una condición o una característica: alto, medio, bajo, suficiente, insuficiente, notable, escaso.
• Financieros, que son los que hacen referencia a un valor monetario.
• De Recursos Humanos, cuando se refieren a grupos de personas, empleados que cumplen con características comunes, o áreas en las que se presentan problemas o conductas atribuibles a los empleados.
• Operacionales, cuando se enfocan en la medición de los resultados de procesos, procedimientos o tareas específicas.
• Tecnológicos, que pueden expresarse en medidas como gigas, bites… pero también pueden ser incidentes o eventos que sugieran o indiquen la ocurrencia de delitos, fraudes u otros problemas de corrupción.

¿Cómo desarrollar indicadores clave de riesgo realmente efectivos?

Para que los indicadores realmente sean claves, relevantes y eficaces, es recomendable:

1. Enfocarse en riesgos relevantes

Los riesgos relevantes merecen controles e indicadores igualmente relevantes. Las amenazas menores, probablemente no requieran que se desplieguen todos los procedimientos mencionados.

2. Diseñar e implementar un proceso coherente y metódico

Si cada vez que se evalúan los indicadores, su efectividad o su actualidad, es preciso reinventar un proceso, a veces pasando por largas y desgastantes reuniones de consenso, es probable que la tarea se pueda realizar apenas una vez cada cinco años. El proceso debe establecerse para ser utilizado siempre, de forma coherente, metódica y, de ser posible, automatizada. Por supuesto, esto no implica que se pueda revisar y mejorar de forma periódica.

3. Documentar la tarea

El desarrollo de indicadores clave de riesgo es una de las tareas más constructivas y edificantes en el área de gestión de riesgos. En la gestión de cumplimiento y anticorrupción estas características son aún más notorias y relevantes. Para que este aprendizaje no se pierda, y, por el contrario, se convierta en un valor diferencial para la gestión en el futuro, es importante que todos los eventos se documenten, registren y almacenen. Una plataforma con funcionalidades de gestión documental es necesaria para alcanzar el objetivo.

Software ISO 37001 de ISOTools

La gestión de riesgos en el área de cumplimiento y anticorrupción encuentra un aliado excepcional en el Software ISO 37001 de ISOTools. Es una plataforma basada en la nube con funcionalidades eficaces para el procesamiento de altos volúmenes de datos e información, y control de documentos, desde la creación hasta su archivo definitivo.

Estadísticas, mapas de calor, informes inmediatos, son, entre otros, herramientas de gran valor para la gestión de cumplimiento y anticorrupción proactiva. Conócela aquí.