„Es ist unmöglich, ein Auto zu fahren, ohne Zugang zu Metriken über Faktoren wie Geschwindigkeit oder Temperatur zu haben. In ähnlicher Weise benötigt das Management Metriken, um eine effektive Entscheidungsfindung zu unterstützen und sicherzustellen, dass sie die Organisation von Gefahren für ihre strategischen und operativen Ziele ablenken.“ Der Leitfaden Key Risk Indicators Operational Risk Sound Practice Guidance des Institute of Risk schlägt vor, dass Manager zwar Indikatoren und Metriken kennen – sie verwenden sie täglich, um ihre Aufgaben zu erfüllen und Entscheidungen zu treffen -, dass sie jedoch Indikatoren für operationelle Risiken als erschwingliches Mittel zur Überwachung der Risikoexposition nutzen sollten. Ein verbessertes Risikobewusstsein und die Grundlage für „gut informierte Entscheidungen zum operativen Risikomanagement“ sind das Ergebnis eines gut organisierten Rahmens für das operative Risikomanagement (der „heilige Gral“ für bewährte Verfahren im operativen Risikomanagement).

KRIs als Instrument der Business Intelligence

Das IOR ist der Ansicht, dass Key Risk Indicators (KRIs) als Indikatoren für operationelle Risiken betrachtet werden sollten, denen eine Organisation in hohem Maße ausgesetzt ist und die die Erreichung der operationellen Ziele gefährden können oder die außerhalb der Risikobereitschaft liegen. Indikatoren können auch verwendet werden, um die positiven Aspekte hervorzuheben, wie z.B. eine wirksame interne Kontrolle, wenn sie innerhalb definierter Schwellenwerte liegen, und um dem Vorstand und den Stakeholdern zu versichern, dass die Risiken angemessen verwaltet werden. Um in einem solchen Kontext effektiv zu ermitteln, welche operationellen Risiken „Schlüsselrisiken“ sind, verweist das IOR Risikofachleute auf seinen Leitfaden zur Selbstbewertung der Risikokontrolle (Risk Control Self Assessment, RCSA), den Sie hier herunterladen können. Schlüsselrisiken sind die Risiken mit den höchsten inhärenten und/oder verbleibenden Risikowerten. Als Business-Intelligence-Tool können die Indikatoren helfen:

  • Risikoüberwachung, -bewertung und -modellierung
  • Die Implementierung eines Rahmens für die Risikobereitschaft
  • Corporate Governance und Sicherheit

Wünschenswerte Eigenschaften von KRI

Im Anschluss an ein Kapitel, das sich mit der Frage befasst, wofür Indikatoren verwendet werden können, wird in den Leitlinien zu den wichtigsten Risikoindikatoren dargelegt, welche Eigenschaften die Indikatoren haben sollten. Bei der Auswahl wirksamer Indikatoren für das operationelle Risiko wird empfohlen, dass sie relevant, messbar, zukunftsorientiert (führend), leicht zu erheben und zu überwachen, vergleichbar und prüfbar sein sollten. In dem Papier wird detailliert dargelegt, warum diese Merkmale wichtig sind und welche Faktoren in jedem einzelnen Fall aus der Perspektive der bewährten Verfahren zu berücksichtigen sind.

Schwellenwerte und Grenzen festlegen

Der Leitfaden erläutert die Prozesse, die für die Auswahl einer Reihe von Indikatoren – unter Berücksichtigung der Vor- und Nachteile eines Top-Down- oder Bottom-Up-Ansatzes – und für die Festlegung geeigneter Schwellenwerte und Grenzen verwendet werden können. „Es muss betont werden, dass es sich bei den Indikatoren um Näherungswerte handelt und das Ziel nicht darin besteht, den Indikator, sondern die operationellen Risiken zu steuern. Ein Verstoß gegen einen Indikator ist ein Signal für potenzielle Bedrohungen, die auf uns zukommen… Grenzen und Schwellenwerte sollten die Umsetzung der Erklärung zur Risikobereitschaft widerspiegeln, die kaskadenförmig in der Organisation umgesetzt wird.“ Als Referenz finden Sie eine separate Anleitung in den Sound Practice Guidance on Operational Risk Appetite des IOR. Wenn die Schwellenwerte festgelegt sind, müssen die Unternehmen Reaktionen auf die Verletzung der Schwellenwerte festlegen. Die ‚Auslösebedingungen‘ bestimmen, welche Maßnahmen zu ergreifen sind und wer in jedem Fall dafür verantwortlich ist. Zusätzlich zur Verknüpfung mit der Risikobereitschaft eines Unternehmens wird empfohlen, dass die Auslöser mit dem „Grad der Ausgereiftheit des Warnsystems verknüpft werden sollten und den Ressourcenaufwand (Menschen, Systeme und Kosten) berücksichtigen müssen, der für die Implementierung ausgefeilterer Strukturen erforderlich ist.“

Verwaltung von Risikoindikatoren und Berichterstattung

Ich möchte Sie darauf hinweisen, dass viel Arbeit verloren geht, wenn Sie nicht genügend Zeit und Ressourcen für die Verwaltung und Berichterstattung der wichtigsten Risikoindikatoren aufwenden. Es wird empfohlen, zumindest jährliche Überprüfungen vorzunehmen, um die Relevanz zu gewährleisten. Die optimale Häufigkeit hängt jedoch von der Art des Unternehmens, seinem Umfang und seiner betrieblichen Komplexität ab. Operationelle Risiken sind Veränderungen unterworfen, so dass ein System für die Hinzufügung oder Änderung operationeller Schlüsselrisikoindikatoren eingeführt werden sollte, zusammen mit klar definierten Verfahren und Governance-Prozessen zur Kontrolle der Festlegung oder Änderung von Schwellenwerten oder Grenzwerten. Was die Berichterstattung betrifft, so lautet der wichtigste Ratschlag, dass „Berichte über operationelle Risikoindikatoren nach Möglichkeit gemeinsam mit der Zielgruppe entwickelt werden sollten, um ein Höchstmaß an Verständnis und Benutzerfreundlichkeit zu gewährleisten“ – vom Vorstand und der obersten Abteilungsleitung bis hin zu den Geschäftseinheiten oder Teams und den entsprechenden Unterstützungsfunktionen. Eine zentrale Koordinierung ist von Vorteil, um Konsistenz und die Möglichkeit zu gewährleisten, Berichte zu vergleichen oder sie für die Geschäftsleitung zusammenzufassen. Es wird ausführlich beschrieben, wie Indikatorenberichte benutzerfreundlich, in klarer Sprache und mit nützlichen visuellen Hilfsmitteln präsentiert werden können, und es werden Beispiele für Berichte gegeben. Zugegeben, eine effektive Verwaltung von Risikoindikatoren und die Erstellung von Berichten kann zeitaufwändig sein, aber nach Ansicht des IOR sind die daraus resultierenden Vorteile es wert: „Ohne Zugang zu den entsprechenden Risikokennzahlen ist das Management praktisch blind“.