Algo más sobre los KRI´s

Jesús Aisa Díez

Mi colaboración con este blog  se inició este año con unos comentarios titulados “Los KRI y  las auditorías continuas”, que por la reacción de sus lectores, parece que fue en términos generales bien recibido; y aunque no es frecuente que se incluyan comentarios, para este artículo se llegó a solicitar que se diese más información sobre KRI. Gustosamente por mi parte atendiendo esa solicitud.

Antes de entrar en materia, creo conveniente incidir en un aspecto básico sobre el empleo de los indicadores de riesgo, ya que no son una herramienta exclusiva de Auditoría, sino que, como bien señala The Institute Internal Auditors al referirse al monitoreo continuo (que sí es la finalidad básica de los KRI), se define como: El proceso realizado por los responsables de la gestión para asegurar que las políticas y los procesos operativos resulten eficaces, así como para evaluar la adecuación y la eficacia de los controles. Debiendo ser realizado por los responsables de la gestión financiera u operativa, mientras que a la Auditoría le correspondería evaluar la adecuación de éstas actividades de gestión.

Adicionalmente el propio IIA entiende, como diríamos por estas latitudes, que lo “que no se nos va en lágrimas se nos puede ir en suspiros“, ya que si Auditoría interna pretende que el control interno tenga una seguridad razonable para alcanzar los objetivos definidos por COSO, la supervisión que no realicen los gestores, monitoreando la eficacia de los controles,  debería ser complementada por la función auditora, de forma que si el gestor hace una buena labor de verificación, ésta no debe ser replicada por los auditores; mientras que, en sentido inverso, ante una mala o deficiente supervisión de los gestores, la misma deberá ser completada por Auditoría en forma suficiente hasta obtener la seguridad razonable sobre la situación real existente.  

La siguiente figura, reproducida del documento del IIA Global Technology Auditing Guide 3, viene a visualizar lo anterior, ya que las líneas transversales paralelas a la base del triángulo verde siempre tendrán, medidas sobre el paralelepípedo, la misma longitud, pero el segmento que esté en el triángulo azul, el que corresponde al monitoreo de los gestores, determinará la dimensión complementaria del área auditora (triangulo verde).

                                         

Hechas estas salvedades, que entendíamos necesarias, volvamos a retomar las orientaciones para poder implementar un adecuado sistema de gestión de riesgos en base a KRI´s, los cuales, recordemos, se definen como: Valores con correlación estadística con determinados riesgos, que pueden utilizarse como sistema de alertas preventivas o tempranas. Debiendo reunir las siguientes características:

ü   Han de definirse en consenso con los responsables del negocio.

ü  Se emplearán para identificar cambios sustanciales en la exposición a los riesgos.

ü   Son un elemento clave del marco de información de los Riesgos.

ü  Han de estar plenamente integrados, independientemente de la metodología y la herramienta cuantitativa empleada.

Teniendo dos formas de evidenciarse: (i) Ex –ante: Cuando permiten identificar amenazas sin haberse producido necesariamente aún los eventos.( P.e: Riesgo de incendios o malas cosechas en base a los niveles de lluvias de los meses precedentes o riesgos de pérdidas de ingresos en función del grado de reclamaciones de los clientes por los servicios recibidos), y (ii) Ex – post: Aquellos que permiten valorar y cuantificar eventos ya ocurridos.(P.e: perdidas por deterioro u obsolescencia de los materiales almacenados según resultados de los inventarios).

En cualquier caso los componentes de los KRI´s. son tres:

(i)           Alguna determinada variable correlacionada con el riesgo a controlar,

(ii)          Unidad de medida, e

(iii)         Intervalo de valores que muestre  la posición de alarma frente al riesgo.

En el caso de la insatisfacción por los servicios prestados, citado anteriormente, el riego a controlar es la perdida de ingresos, la unidad de medida serían las quejas recibidas en el periodo, mientras que el intervalo a contemplar sería la serie histórica disponible y los objetivos estratégicos de la Organización. De forma que, si las quejas reflejaran aumentos sobre los niveles considerados habituales, sería de esperar que las ventas se viesen perjudicadas, enfrentándonos a un riesgo de pérdida de ingresos, pudiendo adoptar, a partir de evidenciar esta situación, las medidas correctoras que se considerasen pertinentes.  

Por último los KRI´s también se pueden clasificar en dos categorías: los específicos que se asocian directamente a un proceso dentro de un área de actividad en concreto, y los indicadores generales que afectan a la entidad en su conjunto y que se reflejan, por ejemplo, en el volumen de negocio, como sucede en el ejemplo citado anteriormente.

Para la construcción de un KRI se puede partir de datos históricos de pérdidas operacionales obtenidas a partir de procesos de autoevaluación de riesgos o de auditorías internas o externas. Una vez implementados los niveles semafóricos o de alerta de un KRI, los baremos  deben recalibrarse de manera periódica hasta que se garantice su efectividad.

Vista ya la parte teórica, pasemos ahora a la práctica, es decir, sabiendo lo que debemos hacer, ¿cómo empezamos?. En nuestra opinión siguiendo un esquema similar a este:

A.   Seleccionando los procesos a supervisar y definiendo los indicadores adecuados.

B.   Estableciendo la frecuencia de la medición (diaria, semanal, mensual, etc.)

C.   Evaluando los resultados facilitados por los indicadores. Interpretándolos.

En lo que respecta a los procesos a monitorear, la respuesta no parece difícil de enunciar: serán aquellos que se entiendan significativos para la consecución de los objetivos empresariales fijados.

En cuanto a la selección de los indicadores a monitorizar: los que se aprecie una mayor correlación entre sus expresiones cuantitativas o cualitativas y la aparición de las amenazas a controlar.

Lo recomendable es que no trabajemos con un solo indicador por riesgo u objetivo. Por ejemplo, si quisiéramos monitorizar la crisis económica en España, podríamos emplear el KRI del porcentaje de parados respecto de la población activa. Tal cual recoge el siguiente cuadro.

                      Pero este único indicador no sería suficiente, pues solo nos permite concluir sobre la gravedad de las consecuencias de la crisis, pero no los motivos de la misma, por lo que, de no existir otros índices, la toma de decisiones para superarla no resultará fácil.

Por ello, los especialistas macroeconómicos emplean otros KRI´s, tales como: Evolución de la prima de riesgo, Contracción del PIB, Comportamiento del sector exportador, Creación de nuevas empresas, Licencias de obras solicitadas, Déficit público, Deuda pública, Morosidad de la banca y las entidades financieras, etc, etc.

En el ámbito empresarial la situación es muy similar, debiendo considerar también que en la  implantación eficaz de un modelo de gestión de riesgos en base a KRI´s,  debemos tener en consideración que los indicadores, además:

v  Con mucha holgura, pierden totalmente su efectividad.

v  Con límites estrictos puede hacer inabarcable el trabajo.

v  Las situaciones cambiantes pueden alterarlo sustancialmente.

v  Necesitan contrastes frecuentes con otras observaciones de la realidad.

Desde nuestra perspectiva, en la implantación de un modelo de gestión de riesgos en base a indicadores, éste debiera ser contemplado de manera  evolutiva y de mejora continua, que iremos optimizando según progresemos en su desarrollo. Lo fundamental es que desde su inicio nos alerten de la posibilidad de la existencia de  amenazas, la precisión de los resultados del método aplicado ya se conseguirá poco a poco.

Sirva de ejemplo de lo que acabamos de señalar la forma en que Basilea ha ido evolucionando para el cálculo del capital económico de las entidades financieras, pasando del modelo básico inicial, al avanzado empleando modelos internos tipo VaR.

                        

                                       (Fuente: Finanzas analíticas y cuantitativas. Deloitte)

Por lo dicho anteriormente, cuando nos estemos refiriendo al empleo de KRI´s, no necesariamente debemos interpretar que debemos aplicar algoritmos complejos con los que correlacionar la variabilidad de una magnitud con la del riesgo que nos ocupe; sino que también estaremos hablando de cualesquiera señales que nos permitan intuir un cambio cualitativo en la importancia del riesgo que se encuentre supervisado. En este sentido, las clásicas “banderas rojas” contra el fraude, deben ser considerados en sentido estricto como un KRI, puesto que nos previenen, en función de determinadas casuísticas, del aumento de la probabilidad de ocurrencia de fraudes.

Resumiendo, los indicadores de riesgo representan una herramienta muy útil en la mejora del control interno de las organizaciones, consideradas estas en su sentido más amplio, pues es válida para que los responsables de los procesos conozcan los cambios que se pueden estar produciendo con futura incidencia en los objetivos perseguidos, pero también para los auditores, ya que la labor de supervisión podrá realizarse sin solución de continuidad, a través del empleo de técnicas de auditorías continuas, para lo que resultará preciso monotorizar la evolución de los indicadores que se hayan seleccionado.

Desde mi experiencia  creo que es un reto importante, pero que para la función auditora el empleo de herramientas basadas en el uso de indicadores representa una oportunidad de mejorar el valor añadido que aportamos a nuestras compañías. Os animo a que las incorporéis en vuestro trabajo.

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!