Compañía
Quiénes somosSeguridad y confianzaEmpleoLicencias académicasContacto
Partners
Conviértete en partnerLocalizador de partner
Recursos
BlogCentro de recursosPrograma de certificacionesEn los mediosComunidados de prensa
ES
FR
logo_FEDER español
gss-logo-header
DEMO
Riesgos

Indicadores clave en un programa de riesgos

César Alonso
🕑 4 minutos de lectura

Tabla de contenidos

¿Qué son los indicadores de riesgos?

Los indicadores de riesgo clave, conocidos como KRI (Key Risk Indicator), sirven para determinar el nivel de riesgo que tiene una organización ante una determinada amenaza o evento que pueda ocurrir e impactarle. El indicador de riesgo debe estar definido en base al apetito de riesgos de la organización.

¿Cuál es el objetivo de los indicadores de riesgos?

El objetivo del KRI debe ser alertar al gestor de riesgos de un cambio en la tendencia de la amenaza, de forma que se puedan iniciar acciones para su tratamiento o prevención.

A partir de un mapa de riesgos corporativos completo y actualizado de forma recurrente, los indicadores de riesgo deben servir para alertar cuando un riesgo varía fuera de los límites aceptables.

Habitualmente en los mapas de riesgos se tienen decenas de amenazas consideradas y que afectan a todas las áreas de la compañía. Dentro de este mapa se deben tener identificados los riesgos clave para la organización. Cada uno de los riesgos clave debe tener su indicador de riesgo definido.

Se podría tener un KRI de cada amenaza identificada en el mapa corporativo de riesgos, pero al tener un número normalmente alto, podríamos perder el foco en los riesgos más relevantes para la organización y que el objetivo de los KRI se diluyera.

¿Cómo se pueden definir los indicadores de riesgos?

El KRI o indicador de riesgo se puede definir de varias formas, en función del aspecto que más nos interese de la amenaza. La gran mayoría de las metodologías de análisis de riesgos se basan en la evaluación de la probabilidad de ocurrencia de la amenaza y el impacto que pueda causar en la entidad una vez que se materializa. Los KRI se podrán definir, por lo tanto, atendiendo a ambos aspectos:

  • Asociados a la probabilidad, para medir cambios en el cálculo de la probabilidad, ya que, probablemente, la organización quiera evitar a toda costa que el evento ocurra, por ejemplo, incumplimientos legales.
  • Asociados al impacto, para medir cambios en el valor del impacto de la amenaza. Se utiliza cuando la organización no puede permitirse que la amenaza degrade sus procesos de negocio, por ejemplo, los desastres naturales.
  • Una posibilidad adicional es definir el KRI directamente al valor del riesgo que tiene la amenaza. Se utiliza cuando nos importa tanto evitarlo como eludir su impacto, por ejemplo, los ciberataques a los sistemas informáticos.
  • Por último, se podría asociar el KRI a la eficacia de las medidas, salvaguardas o controles que la organización ha implantado para evitar que las amenazas se materialicen o para contrarrestar sus efectos una vez que ocurran. Un cambio en el nivel de eficacia de estas medidas podría hacer que la organización quede expuesta a la amenaza.

Todo KRI debe tener incluido en su definición al menos un umbral de alerta, de forma que, si se supera, por exceso o por defecto según aplique, o simplemente si se alcanza, el gestor de riesgo sepa que la situación debe ser analizada y como consecuencia de este análisis puede ser que tengan que iniciarse acciones relativas a los controles vinculados a la amenaza.

El KRI puede tener más de un umbral cuando se quiere medir una situación intermedia marcada por el apetito de riesgo, entre la exposición al riesgo y el excesivo control del mismo, por el desaprovechamiento de recursos que esta situación pudiera provocar.

Para que el conjunto de KRI definidos funcione, no sólo hay que establecer qué se va a medir en relación con la amenaza asociada y los umbrales vinculados. Al menos, se debe asignar un responsable, una periodicidad de medida y especificar el origen de la información.

El responsable de riesgos tiene como función conseguir que se tengan todos los datos en cada periodo de medida marcado, así como analizar los valores en caso de que se traspasen los umbrales establecidos.

gss-mockup-image-RIESGOS

Mapa de riesgos de GlobalSuite®

En GlobalSuite Solutions ofrecemos el asesoramiento y el soporte necesarios para la implementación desde cero de un mapa de riesgos corporativo que proporcione a la compañía información sobre tu situación frente a los riesgos que puedan impactar en la consecución de tus objetivos de negocio. Dentro del proyecto se identifican los riesgos clave para la organización y se proponen los indicadores de riesgo que te ayuden en la gestión de riesgos.

Además, contamos con el software GlobalSuite® Risk Management, íntegramente desarrollado por nuestro equipo, que permite la implantación, gestión y mantenimiento del mapa de riesgos en todo tipo de organizaciones y sectores. Contar con un software que te ayude a automatizar la gestión de dicho sistema supondrá múltiples beneficios para tu compañía a la hora de trabajar en la implantación de la gestión de riesgos en tu organización.

Security

Risk management

Business continuity

Compliance management

Privacy Data Protection

Audit Management

Nuestra solución todo en uno

Compartir:

César Alonso
. Director del departamento de Consultoría de GlobalSuite Solutions. Ingeniero industrial por la Universidad Politécnica de Madrid (UPM), CISA, CISM, PMP, Lead Auditor ISO 27001, ISO 20000 e ISO 22301, ITIL Foundations v3 y cuenta con la certificación GlobalSuite® Expert.

Más artículos