Medir el desempeño puede no ser suficiente (parte 2)
| Autor | L.C.P. Gabriel Navarro Aldape |
| Cargo | Socio Responsable de la Práctica de Administración de Riesgos y Mejora del Desempeño, Despacho Fernando Navarro y Pañeda Sucs., S.C. Miembro de la Comisión de Consultoría del IMCP |
| Páginas | 61-61 |
61
contaduriapublica.org.mx
CONSULTORÍA
MEDIR EL DESEMPEÑO PUEDE NO SER
SUFICIENTE (PARTE 2)
L.C.P. Gabriel Navarro Aldape
Socio Responsable de la Práctica de Administración de Riesgos y Mejora del Desempeño, Despacho Fernando
Navarro y Pañeda Sucs., S.C. Miembro de la Comisión de Consultoría del IMCP
En el artículo anterior hablamos de los KPI (Indicadores Clave de
Desempeño) y de los KRI (Indicadores Clave de Riesgo), de su im-
portancia en las organizaciones, su principal diferencia y la efectividad
que proporciona a los equipos directivos el prevenir por medio de la
gestión de riesgos.
En esta ocasión nos enfocaremos en un ambiente de constante inno-
vación y cambio como es el de la Tecnología de Información (TI), lo
cual genera nuevos riesgos: ¿qué KRI son adecuados para las TI? Cómo
aprovechar los KRI para mejorar el negocio?
Como todo ejercicio de identificación de riesgos debemos empezar
por priorizar con base en la relevancia que los eventos puedan tener
con respecto a la consecución de objetivos estratégicos y operativos; un
benchmark siempre puede ser útil; sin embargo, nada como un traje a
la medida.
Al momento de realizar la identificación de riesgos es importante ligar
estos eventos con las principales iniciativas estratégicas de la organiza-
ción, lo cual dará a los ejecutivos una clara visión de cómo los riesgos de
TI y Seguridad de información afectan al desempeño del negocio.
Al momento de establecer los KRI, deben considerarse tres puntos
esenciales:
Relevancia. Cada empresa y unidad de negocio son distintas, por ende, lo
que es relevante para cada una, también; en consecuencia, es importante
asegurarse de que el indicador mida lo que importa para cada una.
Medible, simple y sencillo. Al responsable no debe tomarle mucho
tiempo obtener la información de una o varias fuentes para calcular el
indicador.
Predictivo. Por naturaleza debe ser predictivo y mantenerse en el contex-
to del negocio para la determinación de resultados.
Algunos ejemplos de KRI para TI son:
Operaciones de TI:
Rotación del personal clave de TI.
Implementación de cambios de emergencia.
Número de empleados con accesos de administrador.
Número de equipos con software no autorizado.
Número de equipos con configuraciones fuera de política.
Seguridad de la información:
Número de vulnerabilidades altas o críticas en servidores y apli-
caciones.
Número de vulnerabilidades que generan comportamientos no
deseados en el software “exploits”.
Porcentaje de vulnerabilidades recurrentes.
Vulnerabilidades altas o críticas sin solución del proveedor.
Número de ingresos al sistema desde ubicaciones desconocidas.
Porcentaje de aplicaciones, servidores, sistemas y funciones de ne-
gocio no evaluadas en los últimos 18 meses.
Continuidad de negocio:
Costo promedio por incidente.
Número de incidentes al año.
Porcentaje de funciones críticas de negocio sin plan de recupera-
ción de desastres.
Porcentaje de procesos con plan de recuperación de desastres
desactualizados o sin simulacro ejecutado por más de un año.
Auditorías:
Porcentaje de excepciones identificadas.
Porcentaje de incremento y tendencia de observaciones de
auditoría.
Tiempo promedio de atención de observaciones.
Número de observaciones críticas y de incumplimiento de polí-
ticas por trimestre.
Es muy importante que al definir los KRI el equipo ejecutivo precise con
claridad el riesgo a medir, utilice la información de riesgos para ajustar los
KPI con el objetivo de incrementar el valor al negocio, y desarrolle con-
ciencia de las actividades o eventos que pueden impactar los resultados y
planes establecidos.
¿Pero cómo vincular la gestión de riesgos de TI con el desempeño de la
organización? Esto es algo fundamental para ser, realmente, efectivos.
Por ejemplo, podemos tomar el riesgo de privacidad de datos, el cual
tiene un impacto en los KPI de satisfacción del cliente y reputación de
la empresa o el riesgo de disponibilidad de los sistemas que tiene un im-
pacto en el KPI de la excelencia operativa. La clave es empezar con KRI
creíbles y concretos que impactan directamente los KPI de negocio con
el fin de obtener “KPI ajustados al riesgo”.
Un KPI ajustado al riesgo ayuda a entender, a la alta dirección, cómo
los riesgos afectan el rendimiento del negocio y, en consecuencia, a una
toma de decisiones informadas, estratégicas y eficaces que impulsen el
valor del negocio.
Por lo tanto, medir el desempeño ya no es suficiente, ahora debe
considerarse el riesgo y generar los “KPI ajustados al riesgo”, herra-
mientas efectivas para la consecución de objetivos y generación de
valor en las empresas.
Para continuar leyendo
Solicita tu prueba