Key Risk Indicators

Conocimiento para clientes

Un cambio confiable
Beneficios sostenibles
Abril, 2019
1
 ¿Para qué sirve establecer
Key Risk Indicators (KRI) en las
compañías?

© 2019 Deloitte
Prevención del riesgo utilizando KRI´s
¿Qué es KRI?
01 Los indicadores clave de riesgo (KRI) son una
herramienta importante dentro de la gestión del
riesgos y se utilizan para mejorar el monitoreo y la
mitigación de los mismos y facilitar la presentación
de informes de riesgos. Los KRI operacionales y de
compliance son medidas que permiten a los gerentes
de riesgos identificar pérdidas potenciales antes de
que sucedan. Las métricas actúan como indicadores
de cambios en el perfil de riesgo de una empresa.
Los KRI efectivos deberían ser:
02 • Medible: las métricas deben ser cuantificables
(por ejemplo, número, recuento, porcentaje,
volumen en dólares, etc.).
• Predecible: proporciona señales de alerta
temprana.
• Comparable: seguimiento en un período de
tiempo (tendencias).
• Informativo: mide el estado del riesgo y el control.
Importancia de los KRI
03 Los KRI desempeñan un papel importante en la
gestión de riesgos al predecir áreas potenciales de
alto riesgo y permitir una acción oportuna.
Los KRI permiten a las empresas:
• Identificar la exposición actual al riesgo y las
tendencias de riesgo emergentes.
• Resalta las debilidades de control y permite el
fortalecimiento de controles deficientes.
• Facilitar el informe de riesgos y el proceso de
escalamiento.
• La gestión del riesgo operacional, financiero y
de compliance agrega valor a la empresa.
04 Importancia de los KRI
Los principales KRI son medidas que se consideran
predictivas por naturaleza. Se derivan de métricas
que pueden ayudar a predecir las ocurrencias
futuras.
 La prevención implementando
Key Risk Indicators (KRI)

© 2019 Deloitte
Aspectos de los KRI´s que ayudan a la prevención

1 Identificación de KRI
 Identificar métricas existentes.
 Evaluar las existentes y mejorar las métricas.
2 Selección del KRI
 Identificar KRI a través de unidades de negocios de
inter-comparación de control de riesgos (RCSA).
 Centrarse en los indicadores que siguen los cambios
en el perfil de riesgo o la efectividad del entorno de
control.
 Concéntrese en los riesgos significativos y sus
causas, y considere los indicadores históricos y
prospectivos.
 Seleccione los KRI que sean coherentes, significativos y
predictivos (indicadores adelantados).
 Reúna una buena combinación de indicadores principales y
rezagados para una gestión de riesgos efectiva.
 No seleccione demasiados KRI que:
 Son demasiado difíciles de administrar (rastrear).
 Podría volverse inmanejable.
 Seleccione solo los que proporcionan información útil.

3
 Considere valores y números absolutos,
proporciones, porcentajes, antigüedad, etc.
 Los datos sobre KRI deben recopilarse de forma
sistemática y coherente para que sean significativos,
por ejemplo, mensualmente.
Establecer umbrales
 Determinar y validar los niveles o umbrales de activación.
 Basado en la tolerancia de la industria o la aceptación interna.
 La junta directiva debe aprobar los umbrales.
 Debe coincidir con la declaración de apetito de riesgo.

4 Seguimiento
 Los KRI deben informarse regularmente cuando tienen cambios significativos y superan los umbrales establecidos, para asegurar el
reporte oportuno a la Gerencia y la Junta.
 Varios KRI tendrán diferentes niveles de escalada. En caso de duda, escale más alto pero no arroje demasiada información sobre la
administración / junta porque se sentirán abrumados. (establezca comité de riesgos)
 Informe sobre el KRI a los jefes de las unidades de negocio.
 Informe sobre la gestión de riesgos al comité de riesgos y, cuando corresponda, a toda la junta.
 Esto puede ayudar a mejorar la estructura de gobierno corporativo.
Aspectos de los KRI´s que ayudan a la prevención
5 Planes de mitigación de riesgos
 Establecer planes de mitigación de riesgos (RMP) para
6 Roles y responsabilidades
Auditoría interna
los aquellos KRIs de alto riesgo.  Incorporar la evaluación de KRIs en el plan de
 Los KRIs con alta gravedad o alta frecuencia de auditoría.
ocurrencia necesitan tener RMP para mitigar el riesgo y  Evaluar la efectividad (Diseño y Eficacia) del control
mejorar los controles. para KRI
 Determine qué es alto riesgo al evaluar los niveles de
control. Gestión de riesgos
 Haga un seguimiento de los RMP para garantizar que  Crear un marco y proporcionar capacitación
se mejoren los controles y se mitigue el riesgo. Informe  Orientación y desafío del proceso de selección de KRI
sobre los RMP a la gerencia / junta, y establezca las  Informes / escalada de infracciones
fechas de finalización del objetivo.  Identificar tendencias
Unidades de negocios
 Identificar KRI
 Establecer umbrales
 Monitorear posiciones
 Escalar infracciones de los límites a la gestión.
 Ejemplo de KRIs

© 2019 Deloitte
 Ejemplo de KRI Reportes Fraudulentos - Proceso: Gestión Contable y Financiera
Riesgo KRI Descripción Tendencia Umbral
Reportar estados financieros Calidad y Oportunidad en el suministro Descripción: Mide la oportunidad en la Positivo-valores 90
fraudulentamente a causa de de la información contable por parte entrega de información con la calidad mayores al límite de
errores y falta de confiabilidad en de áreas de la organización requerida por parte de las diferentes control indican mejor
las cifras de información contable y áreas de la entidad, para la producción comportamiento
financiera que no reflejen la de los diferentes informes elaborados por
realidad económica de la entidad. Resultados Financieros.
Fórmula: (Entrega de información
oportuna por parte de las áreas *0,50) +
(Entrega de información con calidad por
parte de las áreas *0,50)
Reporte: Mensual
KRI Reportes Financieros
95
93 93

90 90 90 90 • Revisión de las causas de la tendencia que ocasionó

estar fuera de los límites del umbral.
• Establecer planes de acción frente a las causas
Umbral KRI
identificadas.
85
• Reportar a la alta dirección en caso de identificar causas
criticas .
• Registrar en la Bitácora las anomalías presentadas y
llevar la tendencia e históricos.
ENERO FEBRERO MARZO ABRIL
Contáctenos
Deloitte su asesor

Jorge Hernandez
Socio Director
Risk Advisory
jorgehernandez@deloitte.com

Mauricio Roa
Socio
Risk Advisory
mroa@deloitte.com

Andrés Velasco Pacheco

Gerente
Risk Advisory
anvelasco@deloitte.com

© 2019 Deloitte
Deloitte se refiere a una o más de las firmas miembro de Deloitte Touche Tohmatsu Limited (“DTTL”), una compañía privada del
Reino Unido limitada por garantía ("DTTL"), su red de firmas miembro, y a sus entidades relacionadas. DTTL y cada una de sus
firmas miembro son entidades legalmente separadas e independientes. DTTL (también denominada “Deloitte Global”) no presta
servicios a clientes. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y de sus firmas
miembro puede verse en el sitio web www.deloitte.com/about.

Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos, legal y servicios
relacionados a organizaciones públicas y privadas de diversas industrias. Deloitte presta sus servicios a cuatro de cada cinco de
las empresas listadas en el ranking Fortune Global 500®, a través de una red global de firmas miembro en más de 150 países,
brindando sus capacidades de clase mundial y servicios de alta calidad a clientes, suministrando el conocimiento necesario para
que los mismos puedan hacer frente a sus más complejos retos de negocios. Para conocer más acerca de cómo los más de
225.000 profesionales generan un impacto que trasciende, conéctese con nosotros a través de Facebook, LinkedIn o Twitter.

Esta comunicación contiene únicamente información general, ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o sus
entidades relacionadas (colectivamente, la "Red Deloitte") están, por medio de la presente comunicación, prestando asesoría o
servicios profesionales. Previo a la toma de cualquier decisión o ejecución de acciones que puedan afectar sus finanzas o
negocios, usted deberá consultar un asesor profesional cualificado. Ninguna entidad de la Red Deloitte se hace responsable por
pérdidas que pueda sufrir cualquier persona que tome como base el contenido de esta comunicación.
10