Risikodaten bieten Unternehmen die Möglichkeit, Informationen zu nutzen, die dazu beitragen, ein robusteres Programm für das operative Risikomanagement (ORM) voranzutreiben, das in ein effektives Enterprise Risk Management (ERM) eingebettet ist. Die Herausforderung für Risikoprofis besteht daher darin, die richtigen Daten zu extrahieren und die richtigen Stakeholder an Bord zu holen, um zu definieren, welche operativen Risikokennzahlen für die Unterstützung der Geschäftsstrategien am nützlichsten sind. In ‚Indicators and metrics used in enterprise risk management‘ (Department of Informatics and Economic Cybernetics, The Bucharest Academy of Economic Studies) wird vorgeschlagen, dass die Verwendung von Metriken im ERM jedes Unternehmen in die Lage versetzen wird, „einen ganzheitlichen Überblick über die potenziellen Ereignisse zu erhalten, die das Erreichen der Unternehmensziele beeinträchtigen können“. Mit einem vollständigen Überblick wird das Management über die erforderlichen Erkenntnisse verfügen, um datengestützte Geschäftsentscheidungen zu treffen. Kritische strategische Entscheidungen werden nicht mehr ‚blind‘ getroffen. Die Verwendung von Kennzahlen bringt viele Vorteile mit sich. In dem Papier ‚Indikatoren und Metriken für das Risikomanagement in Unternehmen‘ werden u.a. folgende genannt:

  • Frühzeitige Erkennung von Trends und Problemen
  • Eine Quelle wichtiger Informationen für Kontrollen
  • Ein Mittel zur Erkennung von Verbesserungen oder Anzeichen einer Verschlechterung von Situationen
  • Hilfe für informationsbasierte Entscheidungsfindung
  • Untermauert das proaktive Management
  • Verbessert zukünftige Schätzungen und Leistungen
  • Bewertet Erfolg und Misserfolg
  • Verbessert die Zufriedenheit der Stakeholder

Welche Metriken für ein effektives Risikomanagement?

Welche Metriken sollten Risikoexperten also verwenden? Risikofachleute ziehen häufig drei Arten von Indikatoren in Betracht: Wichtige Risikoindikatoren (Key Risk Indicators, KRIs) – dies sind in der Regel prädiktive Indikatoren, die darauf hinweisen, dass ein unerwünschtes Ereignis immer wahrscheinlicher wird oder dass seine Auswirkungen zunehmen. Im Nachhinein können sie auch anzeigen, dass Risiken eingetreten sind und das Ausmaß ihrer Auswirkungen offenbaren. Key Performance Indicators (KPIs) – diese Kennzahlen beziehen sich auf interne Faktoren und nicht auf externe Marktbedingungen und zeigen den Erfolg oder den nachweisbaren Fortschritt bei der Erreichung des gewünschten Ergebnisses an. Sie können positiv genutzt werden, um die Erreichung von Zielen zu demonstrieren, aber auch, um die frühe Entwicklung von Risikoereignissen aufzuzeigen. Schlüsselkontrollindikatoren (Key Control Indicators, KCIs) – auch als Indikatoren für die Wirksamkeit von Kontrollen bezeichnet, zeigen diese Kennzahlen, inwieweit eine Kontrolle zu einem bestimmten Zeitpunkt ihre Ziele, z.B. die Vermeidung von Verlusten, erreicht. Wenn die Kontrollen nicht wie erwartet funktionieren, können sich die Wahrscheinlichkeit oder die Auswirkungen eines Risikos ändern. Als solche sind KCIs oft prädiktiv, können aber auch eine frühzeitige Erkennung von Risiken ermöglichen, die sich zu entfalten beginnen.

KRIs dürfen nicht mit KPIs verwechselt werden

Das Papier ‚Indicators and metrics used in enterprise risk management‘ betont, dass Risikomanager in der Lage sein sollten, zwischen KRIs und KPIs zu unterscheiden. Darin heißt es: „Die wichtigsten Leistungsindikatoren konzentrieren sich vor allem auf die historische Leistung des Unternehmens oder seiner wichtigsten Operationen und sind für ein erfolgreiches Management wichtig. Auf der anderen Seite liefern KRIs Echtzeit-Indikatoren, die Informationen über aufkommende Risiken bieten… KPIs sagen uns, ob wir unsere Ziele erreichen werden, und KRIs helfen uns, Veränderungen im Risikoprofil, in den Auswirkungen und in der Wahrscheinlichkeit, unsere Ziele zu erreichen, zu verstehen. Wenn wir zwischen den beiden Arten von Schlüsselindikatoren unterscheiden, werden wir uns darüber im Klaren sein, welche Art von Fragen wir mit diesen Indikatoren beantworten wollen und wie wir diese Indikatoren definieren, um die Managementqualität und die Klarheit der Ergebnisse zu verbessern. Zweifellos sind KRIs, KPIs und KCIs miteinander verbunden. Das Risikopersonal sollte verstehen, wie oder warum die Indikatoren mit den sich ändernden Risikoprofilen korrelieren, damit die Metriken effektiv sind. Im Wesentlichen vermitteln die Indikatoren ein ‚Bild‘ einer Organisation und die Metriken bieten ein Mittel zum Benchmarking, ob die ERM-Aktivitäten auf dem richtigen Weg sind.

Metriken – nicht zu viel, nicht zu wenig

Wie viele Metriken bieten den größten Nutzen? Wenn es zu viele sind, wird für deren Verwaltung Zeit aufgewendet, die sonst für andere wichtige Aufgaben verwendet worden wäre. Und zu viele Informationen können sich nachteilig auswirken – Risikospezialisten haben möglicherweise Schwierigkeiten, kritische Informationen zu erkennen und können daher nur wenig Nutzen aus den verwendeten Metriken ziehen. Zu wenige Metriken hingegen können nicht genügend Informationen generieren, damit die Daten aussagekräftig sind. Bei der Suche nach dem richtigen Gleichgewicht ist es von größter Bedeutung, dass die verwendeten Kennzahlen relevant, messbar, leicht zu überwachen, überprüfbar und vergleichbar sind. Die wichtigsten Fragen, die sich Risikofachleute stellen sollten, lauten: „Erkenne ich Verbesserungen in meinem Unternehmen? Sind die geschäftlichen Prioritäten auf die sich ändernden oder neu auftretenden Risiken abgestimmt? Werden Risiken eingedämmt und Verluste vermieden? Wenn Sie diese Frage bejahen, leisten die Metriken zusammengenommen ihre Arbeit und generieren Daten, die zur Definition stärkerer Kontrollen und zur Entscheidungsfindung im Einklang mit der Geschäftsstrategie genutzt werden können.