Diferencias entre KPI y KRI (indicadores clave de riesgo) y como usarlos

Los Indicadores Clave de Riesgo son métricas poderosas, pero son más difíciles de entender que los KPIs. ¿Conviene utilizar los KPI o los KRI para medir el éxito de tu equipo de riesgos?

La respuesta corta es que se necesitan ambos. Pero como parece que todavía hay confusión entre los dos tipos de métricas y su uso, hemos querido desglosarlos en profundidad en un post.

Así que, sin más preámbulos, empecemos por ver qué son los Indicadores Clave de Riesgo, y cómo pueden ayudar a tus RiskOps, o riesgos operacionales.

¿Qué son los indicadores clave de riesgo (KRIs)?

Un indicador clave de riesgo, o KRI, es una medida que indica lo perjudicial que puede ser una actividad. Es una característica clave del análisis de RiskOps, cuyo objetivo es predecir la probabilidad de que una acción perjudique a la empresa, ya sea financieramente o debido a una mala reputación.

Esto es especialmente útil para los próximos proyectos, ya sea para asumir más transacciones, asistir a un evento público o lanzar un nuevo producto.

KRIs Vs KPIs – ¿Cuáles son las diferencias?

La diferencia clave entre un KPI y un KRI es la siguiente:

• Por un lado, los indicadores clave de rendimiento (KPI) están diseñados para medir lo bien (o mal) que van las cosas utilizando datos históricos.
• Por otro lado, los indicadores clave de riesgo (KRI), apuntan a un impacto adverso futuro.

En otras palabras, los KRI pueden utilizarse para medir el riesgo que aún no se ha producido, lo que resulta útil para desvelar nuevas oportunidades de crecimiento, o para evaluar qué procesos deben optimizarse.

Un ejemplo de KPI

Una buena forma de saber si se trata de un KPI es preguntarse si mide el rendimiento de tu equipo de riesgo. Un ejemplo de KPI sería registrar y supervisar la tasa de éxito de las devoluciones de cargos por agente.

Un ejemplo de KRI

Si los datos que se miden ayudan a anticipar un factor de riesgo, entonces es un KRI. Un ejemplo sería estimar cuántos ataques de ciberseguridad más arriesgarías al lanzar un nuevo producto.

Cómo desarrollar los indicadores clave de riesgo (KRI)

Como se ha mencionado anteriormente, los KRI nos ayudan a ver dónde podría existir el riesgo. Su uso puede ayudar en multitud de escenarios cuando se trabaja con incógnitas:

Características clave de un KRI

Un KRI debe ayudarte a responder preguntas en los siguientes escenarios:

• Anticipar nuevos factores de riesgo
• Justificar la contratación de personal adicional
• Identificar el riesgo que aún no perjudica a la empresa
• Establecer defensas antes de que surjan nuevos vectores de riesgo
• Organizar las funciones del equipo en previsión de nuevos riesgos

Selección y seguimiento de un KRI

Como puedes imaginar, hay dos cosas que necesitas para desplegarlos: una estrategia y el acceso a los datos adecuados. La parte de la estrategia tiene que ver con la selección del KRI adecuado, pero también con la comprensión de si serás capaz de medirlo.

El acceso a los datos correctos proviene de tus herramientas. ¿Son precisos tus datos? ¿Puedes cuantificar las dudas con números? ¿Y qué herramientas de supervisión, seguimiento y presentación de informes utilizas?

Utilizar los KRI para calcular los KPI (y Viceversa)

Un punto interesante es que en realidad puedes utilizar estas métricas a gran escala para centrarte en KPIs más granulares. Siguiendo nuestras características clave del KRI, podrías utilizar el costo de un ataque contra tu negocio para:

• Controlar el rendimiento del equipo por turno
• Observar el rendimiento individual de los agentes
• Medir el costo de bloquear ciertas acciones de los usuarios
• Medir el tiempo perdido por trabajar en una tarea específica

Entre las preguntas interesantes (y muy útiles que podrías responder) están:

• ¿Cuánto costo te ahorraste al concentrarte en una tarea específica?
• ¿Cuánto te costó dejar de realizar acciones que perjudicaron tu cuenta de resultados?
• ¿Cuánto te ahorras cuando un agente cumple un objetivo?

Y, sobre todo, podrías estimar el valor del riesgo oculto o invisible.

¿Cómo compartir tus KRIs?

Una vez que hayas encontrado una forma satisfactoria de calcular las métricas, depende de ti decidir el grado de transparencia con el que las presentas. Pueden ser útiles para plantearlas a la alta dirección, especialmente si se prevé un aumento drástico del riesgo.

Si se refieren a un rendimiento más personal (por ejemplo, los que se refieren a los gastos ahorrados por agente), puede que tengas que enmascarar la identidad del agente utilizando identificaciones. Demasiados datos abiertos pueden incomodar a la gente y, de hecho, desincentivar a los miembros del equipo con peor rendimiento.

Sin embargo, compartir suficientes datos con el equipo puede ayudarles a autorregularse y a ayudarse mutuamente sin necesidad de un impulso adicional por parte de la dirección.

También puedes utilizar los KRI para justificar los ascensos, las bonificaciones o la formación interna si es necesario.  También es útil para saber si debes invertir en un software específico o en una infraestructura mejorada, ya que puedes medir el retorno de la inversión con números concretos (horas ahorradas, pérdidas y ganancias, rendimiento de los empleados, etc.). 

KRIs y KPIs: Un enfoque holístico del fraude

Ahora que hemos establecido la diferencia entre los KPI y los KRI, veamos cómo se aplican a la prevención del fraude.

En el contexto de la gestión de riesgos, los KRI ayudan a los gestores a encontrar el equilibrio. Por un lado, quieren bloquear el mayor número posible de transacciones fraudulentas. Por otro lado, quieren aceptar el mayor número posible de transacciones. Si se bloquearan todas las transacciones, los índices de fraude bajarían al 0%.

Así que un KPI estándar para medir los índices de fraude sería el siguiente:

Fraude = contracargos + reembolsos / total de transacciones aceptadas en un periodo de tiempo determinado.

Pero estos resultados también deben tener en cuenta tu tasa de aceptación (proporción de transacciones aprobadas frente a las rechazadas).

Además, tener en cuenta los falsos positivos en la ecuación puede ser complicado, porque puedes perder más que el valor de una transacción. Un falso positivo puede hacer que un cliente fiel se vaya a la competencia, lo que significa que tu valor de vida del cliente (CLV) y los costos de adquisición de clientes (CAC) también se desperdician.

Así que ahora ya estamos ante una ecuación mucho más compleja:

Costo del fraude = valor de la transacción + tasas de contracargo vs. falso rechazo = valor de la transacción + CLV + CAC

Como puedes ver, el costo del fraude puede ser un KRI muy fuerte porque nos da una mejor visión de cómo el fraude afecta a varias áreas de negocio. 

Y lo que es más importante, se puede utilizar esa cifra para detectar cuando algo va mal. Si, por ejemplo, un servicio de pago se cae, deberías ver inmediatamente un cambio en los números.

6 Ejemplos de KPIs útiles contra el fraude

Para este ejemplo, veremos KPIs que son relevantes para las tiendas online y el comercio electrónico, pero muchos de ellos se pueden adaptar a cualquier tipo de transacción, ya sea un SaaS o un negocio B2B.

• Tasas de Aprobación Originales: Antes de estudiar cómo reducir el fraude, debes comprobar qué porcentaje de tus transacciones son aprobadas. Hay varias escuelas de pensamiento sobre la mejor manera de calcular esa cifra, pero es importante tener en cuenta aspectos como si los rechazos automáticos proceden del banco emisor, de la pasarela de pago o de tu propio sistema de prevención del fraude. 
• Tasas de Contracargo: Las disputas por devoluciones de cargos son la pesadilla de cualquier gestor de fraudes. Si la tendencia de los índices es superior al temido 1%, una tienda en línea puede incluso ser calificada de alto riesgo y perder la asociación con la red de tarjetas. El problema es que las tasas de contracargo tienden a calcularse de forma diferente según el procesador de la tarjeta de crédito. Es importante tener en cuenta estas diferencias a la hora de calcular tus propias tasas, e incluso puedes desglosarlas aún más si observas los métodos de pago individuales (por ejemplo, PayPal frente a WePay).
• Tiempo Medio de Revisión Manual por Agente: Una métrica que se explica por sí misma, pero que puede ser extremadamente útil para justificar un ascenso, asignar varias cargas de trabajo o iniciar una revisión del rendimiento. 
• Tasas de Abandono de Pagos: Un KPI útil para compartir con el departamento de marketing, ya que pueden utilizar las cifras para probar las campañas automáticas de correo electrónico. Para el fraude y el pago, es útil observar cuánta fricción añaden tus pasarelas de pago y herramientas de prevención al viaje del cliente. Por ejemplo, si las tasas de abandono en la caja se disparan después de implementar comprobaciones de prevención adicionales, podrías buscar soluciones de fricción dinámica (cuando las comprobaciones adicionales de KYC solo se inician después de que las puntuaciones de riesgo superen un umbral establecido).
• Costo Por Análisis: Una de las mejores formas de calcular el retorno de la inversión en tu solución de prevención del fraude, y de comprender el costo total del fraude en tu empresa. Debes incluir todos los gastos relacionados con la revisión manual y automática, los valores de vida de los clientes perdidos por los pedidos rechazados, y cuánto se ahorra cuando el sistema detecta un intento de fraude.  Esto es especialmente útil cuando se trabaja con un motor de prevención del fraude de llamadas de pago por API. Como ya hemos comentado, un modelo de garantía de cobro puede ofrecer un mejor valor sobre el papel, pero también un fuerte incentivo para ser conservador a la hora de asumir riesgos, lo que se traduce en una mayor tasa de falsos positivos (que afectaría a tus ingresos generales a largo plazo).
• Relación de Fraude a Ventas: Una métrica sencilla que es útil tanto como KPI como indicador de riesgo. Si la cifra aumenta demasiado, sabrás que tendrás que considerar otras soluciones o estrategias de prevención del fraude.

Infografía: Hoja de trucos de los KPIs de la gestión del fraude

Conclusiones clave: Ver el riesgo más allá de los índices de fraude

La pregunta clave a la que muchas empresas no responden es: ¿cómo se mide algo que no existe?

Más concretamente, ¿cómo se puede luchar contra el fraude si ni siquiera se está seguro de ser un objetivo?

No olvidemos que el objetivo final de los estafadores es que no los atrapen. Si tienen éxito, tendrás un excelente índice de fraude, pero eso no significa que no te ataquen. Por el contrario, si tu sistema de prevención del fraude es demasiado rígido y trata a todos los clientes como estafadores, perderás clientes. 

La solución es adoptar un enfoque holístico de la gestión de riesgos y RiskOps, y medir tanto las amenazas potenciales como las existentes. Aquí es precisamente donde los KRI o Indicadores Clave de Riesgo pueden ayudar.

Preguntas frecuentes

Quizá también te interese leer sobre:

• SEON: El Mejor Software de Detección de Fraude
• SEON: Guía para la Detección y Prevención de Fraude en el Comercio Electrónico
• SEON: Detección y Prevención de Fraude: Qué es y Cómo Encontrar las Funciones Adecuadas
• SEON: Uso de Reputación de IP para Detectar Usuarios de Alto Riesgo

Más información sobre:

Enriquecimiento de Datos |  Huella Digital | Detección de Fraude con Machine Learning y IA

Fuentes Externas:

• Ecommerce Nation: Cómo Calcular la Tasa de Abandono del Carrito
• Neil Patel: Cómo Calcular el Valor de la Vida Útil