„Es ist unmöglich, ein Fahrzeug zu steuern, ohne Zugang zu Messwerten wie Geschwindigkeit oder Temperatur zu haben. Gleichermaßen benötigt das Management Kennzahlen, um effektive Entscheidungen zu treffen und sicherzustellen, dass die Organisation von Bedrohungen für ihre strategischen und operativen Ziele ferngehalten wird.“
Der Leitfaden für bewährte Praktiken zu operativen Risikoindikatoren des Institute of Risk legt nahe, dass Manager zwar mit Indikatoren und Kennzahlen vertraut sind – sie nutzen diese täglich zur Erfüllung ihrer Aufgaben und zur Entscheidungsfindung – sie sollten jedoch operative Risikoindikatoren als kostengünstiges Mittel zur Überwachung des Risikoexposures nutzen. Eine verbesserte Risikowahrnehmung und die Grundlage für „fundierte operative Risikomanagement-Entscheidungen“ werden beide aus einem gut organisierten operativen Risikomanagement-Rahmenwerk resultieren (dem „heiligen Gral“ für Best Practices im operativen Risikomanagement).
KRIs als Instrument der Business Intelligence
Die Ansicht des IOR ist, dass Schlüsselrisikoindikatoren (KRIs) als Indikatoren für operative Risiken behandelt werden sollten, denen eine Organisation möglicherweise stark ausgesetzt ist und die die Erreichung operativer Ziele gefährden oder außerhalb der Risikobereitschaft liegen könnten. Indikatoren können auch verwendet werden, um Positives hervorzuheben, wie etwa effektive interne Kontrollen, wenn sie sich innerhalb definierter Schwellenwerte befinden, und um dem Vorstand und den Stakeholdern die Gewissheit zu geben, dass Risiken angemessen gemanagt werden.
In einem solchen Kontext würde das IOR Risikofachleute zur Identifizierung der „Schlüsselrisiken“ im operativen Bereich auf seinen Leitfaden zur Risikokontroll-Selbstbewertung (RCSA) verweisen, der zum Download verfügbar ist. Schlüsselrisiken sind diejenigen mit den höchsten inhärenten und/oder residualen Risikoexposure-Bewertungen.
Als Business-Intelligence-Tool können Indikatoren Folgendes unterstützen:
- Risikoüberwachung, -bewertung und -modellierung
- Die Implementierung eines Rahmens für die Risikobereitschaft
- Corporate Governance und Sicherheit
Wünschenswerte Eigenschaften von KRI
Im Anschluss an ein Kapitel, das sich mit der Frage befasst, wofür Indikatoren verwendet werden können, wird in den Leitlinien zu den wichtigsten Risikoindikatoren dargelegt, welche Eigenschaften die Indikatoren haben sollten. Bei der Auswahl wirksamer Indikatoren für das operationelle Risiko wird empfohlen, dass sie relevant, messbar, zukunftsorientiert (führend), leicht zu erheben und zu überwachen, vergleichbar und prüfbar sein sollten. In dem Papier wird detailliert dargelegt, warum diese Merkmale wichtig sind und welche Faktoren in jedem einzelnen Fall aus der Perspektive der bewährten Verfahren zu berücksichtigen sind.
Schwellenwerte und Grenzen festlegen
Der Leitfaden erläutert weiterhin die Prozesse, die zur Auswahl einer Reihe von Indikatoren verwendet werden können – unter Berücksichtigung der Vor- und Nachteile eines Top-down- oder Bottom-up-Ansatzes – und zur Festlegung angemessener Schwellenwerte und Limits. „Es muss betont werden, dass Indikatoren nur Proxys sind; das Ziel ist nicht, den Indikator zu managen, sondern vielmehr die operativen Risikoexpositionen. Eine Überschreitung eines Indikators ist ein Signal für potenzielle bevorstehende Bedrohungen… Limits und Schwellenwerte sollten die Umsetzung der Risikobereitschaftserklärung widerspiegeln, die in der Organisation kaskadiert wird.“ Als Referenz steht ein separater Leitfaden des IOR für bewährte Praktiken zur operativen Risikobereitschaft zur Verfügung.
Mit festgelegten Schwellenwerten müssen Organisationen Reaktionen auf Schwellenwertüberschreitungen bestimmen. ‚Auslösebedingungen‘ legen fest, welche Maßnahmen zu ergreifen sind und wer in jedem Fall dafür verantwortlich ist. Zusätzlich zur Verknüpfung mit der Risikobereitschaft einer Organisation wird empfohlen, dass Auslöser mit ‚dem erforderlichen Grad an Komplexität des Warnsystems verbunden sein sollten und den Ressourcenaufwand (Personal, Systeme und Kosten) berücksichtigen müssen, der für die Implementierung komplexerer Strukturen notwendig ist.‘
Verwaltung von Risikoindikatoren und Berichterstattung
Als Warnhinweis sei angemerkt, dass ein Großteil der Bemühungen verloren geht, wenn nicht ausreichend Zeit und Ressourcen für das Management und die Berichterstattung von Schlüsselrisikoindikatoren aufgewendet werden. Es werden mindestens jährliche Überprüfungen empfohlen, um die Relevanz sicherzustellen, wobei die optimale Häufigkeit durch die Art des Unternehmens und dessen Größe und operative Komplexität bestimmt wird.
Operative Risiken unterliegen Veränderungen, daher sollte ein System zur Ergänzung oder Änderung operativer Schlüsselrisikoindikatoren implementiert werden, zusammen mit klar definierten Verfahren und Governance-Prozessen zur Kontrolle der Festlegung oder Änderung von Schwellenwerten oder Limits.
Hinsichtlich der Berichterstattung lautet der übergeordnete Rat, dass „operative Risikoindikatorenberichte nach Möglichkeit in Zusammenarbeit mit ihrem vorgesehenen Publikum entwickelt werden sollten, um maximales Verständnis und Nutzbarkeit zu gewährleisten“ – vom Vorstand und dem oberen Bereichsmanagement bis hin zu Geschäftseinheiten oder Teams und entsprechenden Unterstützungsfunktionen. Eine zentrale Koordination ist vorteilhaft, um Konsistenz und die Möglichkeit zum Vergleich oder zur Aggregation von Berichten für das obere Management sicherzustellen. Es werden vollständige Details darüber bereitgestellt, wie Indikatorenberichte benutzerfreundlich, mit klarer Sprache und nützlichen visuellen Hilfsmitteln präsentiert werden können, einschließlich Berichtsbeispielen.
Zugegebenermaßen kann ein effektives Risikoindikatoren-Management und -Reporting zeitaufwändig sein, aber laut IOR sind die resultierenden Vorteile die Mühe wert: „Das Management ist effektiv blind ohne Zugang zu den entsprechenden Risikokennzahlen“.
