La efectividad del control de riesgos se mide con otro tipo de indicador conocido como KCI. Los KCI –Key Control Indicators– engrosan una lista de siglas utilizadas en el área de gestión de riesgos, muy cerca de los KRI –Key Risk Indicators- y los KPI –Key Performance Indicators.
Parece un tanto confuso, pero en la práctica no lo es tanto. Digamos que los KPIs es el conjunto mayor en el que encontramos dos subconjuntos: los KRIs y KCIs. Estos dos últimos comparten objetivos comunes como métricas de efectividad del control de riesgos. Sin embargo, no son iguales.
Conocer y entender las diferencias y los elementos comunes de los diferentes indicadores será factor clave en el propósito de garantizar la efectividad del control de riesgos. Esto, a su vez, hace la diferencia entre la gestión de riesgos tradicional y la gestión de riesgos empresarial.
Métricas de efectividad del control de riesgos – ¿Qué son los indicadores clave de control o KCIs?
La gestión de riegos corporativa o empresarial, a diferencia de la tradicional, se basa en el análisis de métricas de seguimiento, diseñadas para detectar, identificar y analizar cambios potenciales que sugieran variaciones importantes en los factores de riesgo.
Dentro de estas métricas tenemos los KPIs y los KRIs. Estos bien pueden ser indicadores adelantados o rezagados. Esto significa que pueden mostrar una tendencia o evidenciar un hecho ya ocurrido. En el medio, encontramos los KCIs o Indicadores Clave de Control.
Este tipo de métricas muestran la probabilidad de que un control falle. De ahí su nombre. Es con base en estos indicadores que establecemos cómo de efectivos son los controles internos de la organización.
La información suministrada por los KCIs sirve a la Alta Dirección, a los directores de área y a los profesionales del riesgo, para identificar de forma previa y proactiva, el posible impacto de un riesgo.
Veamos un ejemplo de KPI, KCI y KRI:
- Indicador KPI: Número de clientes que no han cumplido con sus obligaciones de pago.
- Indicador KCI: Número de clientes que no tienen garantías suficientes para cubrir sus obligaciones de pago.
- Indicador KRI: Número de clientes que no tienen garantías suficientes y tienen un historial de incumplimiento en el pasado.
En este ejemplo, el KPI es un indicador rezagado que nos muestra el impacto de un riesgo que ya ocurrió. Un número de clientes no pagó, y esto tendrá un impacto en las finanzas de la organización.
El indicador KRI, por el contrario es adelantado. Muestra clientes sin garantías que suelen incumplir sus obligaciones, por lo que representan un alto riesgo para la organización.
Podríamos pensar así que los indicadores KRI y los KCI cumplen la misma función. En el ejemplo, los KCI también alertan sobre un riesgo inminente. Entonces, ¿en qué se diferencian?
Indicadores KCI y KRI – ¿Cuáles son sus diferencias?
En la tarea de medir la efectividad del control de riesgos, confluyen los indicadores KCI y KRI. Los segundos –KRI– nos muestran la inminencia de que un riesgo se produzca, por medio de métricas que indican un perfil de riesgo elevado.
Esto implica que la información que nos puede mostrar un KRI está directamente vinculada con lo que exprese el KCI. Veamos un ejemplo: un indicador KRI nos dice que hay un incremento considerable en la rotación de empleados en la organización, y que este aumento hace que se pierdan profesionales clave, y con ellos experiencia, talento y conocimiento.
El KRI nos dice cuál es el problema. Pero el KCI, que debe ser mucho más específico, nos informa que existe un fallo en la supervisión del personal, la misma que hace que aumente el nivel de riesgo. En otras palabras, el KCI permite detectar que el control establecido para mitigar un riesgo ha disminuido su efectividad o básicamente ha dejado de funcionar.
Las métricas de efectividad del Control De #Riesgos son los indicadores que muestran el desempeño de la gestión y ayudan a reducir el riesgo. Conócelas aquí. #RiskManager #ISO31000 Share on XBeneficios de los KCI en la medición de la efectividad del control de riesgos
Aunque KRI y KPI no son prescindibles, sí es claro que en cuanto a la medición de la efectividad del control de riesgos las mayores ventajas las ofrecen los KCIs. Repasemos algunas de ellas:
Enfoque especializado en la función de control
La función esencial de los KCIs es asegurar que los controles internos sean efectivos y que esa efectividad se pueda monitorear y medir. Así, es posible obtener métricas precisas que muestran de forma sistemática fallos potenciales.
Mayor radio de alcance
Los KCIs son útiles para la mitigación de todo tipo de riesgos, en todos los niveles y en todas las áreas de la organización. Esto marca una diferencia notable con respecto a los KRIs que se enfocan solo en riesgos individuales.
Facilitar auditorías
Dentro de los diferentes tipos de auditorías que se practican en las organizaciones, encontramos la auditoría de controles para reducir riesgos. Por supuesto, los KCIs ayudan a los auditores proporcionando métricas claras para evaluar la efectividad del control de riesgos.
¿Cómo se miden los KCIs para garantizar la efectividad del control de riesgos?
KCI es un indicador cuantificable. Esto significa que proporciona información en valores numéricos o métricas cuantificables. Un indicador KCI usual es el del número de empleados que están cubiertos por un proceso de supervisión. Entonces, si este número de empleados representa un valor inferior al 70%, puede representar una señal de alarma. Una bandera roja.
Aunque KCI es un indicador naturalmente cuantitativo, en casos excepcionales puede ser cualitativo, cuando se basa en la percepción o la opinión que un número representativo de personas entrevistadas o encuestadas tiene sobre un proceso o procedimiento en particular, y su capacidad para generar un riesgo.
Es claro que la fuente principal de información de un KCI es el control sobre el cual mide su efectividad. También es importante tener en cuenta el objetivo esencial de un KCI: reducir o eliminar el riesgo antes de que este pueda causar daño.
Definido el KCI, el control sobre el que actuaría y el tipo de métrica que utilizará, lo que resta es identificar los umbrales, o sea, el punto desde el cual se considera que se activa una alarma y el que representa una acción más que satisfactoria del control.
Esto se relaciona con el apetito de riesgo de la organización. Finalmente, se decide la frecuencia con la que se medirá el KCI, que puede ser trimestral, mensual, semanal o incluso diaria.
Diplomado Risk Manager
Indudablemente la efectividad del control de riesgos, los diferentes tipos de indicadores y los KCIs, específicamente, son temas de alto nivel en el área de Gestión de Riesgos. Pero estos, así como los básicos y los principios y requisitos del estándar ISO 31000, son abordados durante el Diplomado Risk Manager.
Este programa de excelencia es dictado por docentes altamente cualificados y ofrece 43 herramientas de gran utilidad para la Gestión y anticipación de riegos y oportunidades, de tal forma que el alumnado tendrá una oportunidad sin igual para formar parte del equipo de gobierno y cumplimiento en su organización.
Nuestro programa de becas Excellence te ayuda a tomar este programa. Consulta si puedes beneficiarte aquí.
O toma la decisión y empieza tu carrera hacia el futuro ahora.