Risikodaten bieten Organisationen die Möglichkeit, Informationen zu nutzen, die zur Entwicklung eines robusteren operativen Risikomanagement-Programms (ORM) beitragen, das in ein effektives Enterprise Risk Management (ERM)-Rahmenwerk eingebettet ist. Für Risikofachleute besteht daher die Notwendigkeit – und angesichts der zunehmenden Menge an Unternehmensdaten auch die Herausforderung – die richtigen Daten zu extrahieren und die relevanten Interessengruppen einzubinden, um zu definieren, welche operativen Risikokennzahlen am nützlichsten sind, um Geschäftsstrategien zu unterstützen.

In „Indikatoren und Kennzahlen im Enterprise Risk Management“ (Abteilung für Informatik und Wirtschaftskybernetik, Bukarester Akademie für Wirtschaftswissenschaften) wird vorgeschlagen, dass der Einsatz von Kennzahlen im ERM jedem Unternehmen ermöglicht, „eine ganzheitliche Sicht auf die potenziellen Ereignisse zu haben, die die Erreichung der Unternehmensziele beeinflussen können“.

Mit einer umfassenden Übersicht verfügt das Management über die erforderlichen Erkenntnisse, um datengestützte Geschäftsentscheidungen zu treffen. Kritische strategische Entscheidungen werden nicht „blind“ getroffen.

Die Verwendung von Kennzahlen bietet viele Vorteile. Die in dem Papier „Indikatoren und Kennzahlen im Enterprise Risk Management“ genannten umfassen:

  • Frühzeitige Erkennung von Trends und Problemen
  • Eine Quelle wichtiger Informationen für Kontrollen
  • Ein Mittel zur Erkennung von Verbesserungen oder Anzeichen einer Verschlechterung von Situationen
  • Hilfe für informationsbasierte Entscheidungsfindung
  • Untermauert das proaktive Management
  • Verbessert zukünftige Schätzungen und Leistungen
  • Bewertet Erfolg und Misserfolg
  • Verbessert die Zufriedenheit der Stakeholder

Welche Metriken für ein effektives Risikomanagement?

Welche Kennzahlen sollten Risikofachleute also nutzen? Risikomanager berücksichtigen oft drei primäre Indikatortypen:

Key Risk Indicators (KRIs) – dies sind typischerweise prädiktive Indikatoren, die ein rotes Signal geben, dass ein unerwünschtes Ereignis wahrscheinlicher wird oder sein Auswirkungspotenzial zunimmt. Nach einem Ereignis können sie auch anzeigen, dass Risiken eingetreten sind und das Ausmaß ihrer Auswirkungen offenbaren.

Key Performance Indicators (KPIs) – diese Kennzahlen beziehen sich auf interne Faktoren im Gegensatz zu externen Marktumständen und zeigen Erfolg oder nachweisbaren Fortschritt bei der Erreichung des gewünschten Ergebnisses an.

Sie können affirmativ verwendet werden, um die Erreichung von Zielen zu demonstrieren, aber auch um die frühe Entwicklung von Risikoereignissen zu signalisieren.

Key Control Indicators (KCIs) – auch als Kontrolleffektivitätsindikatoren bezeichnet, zeigen diese Kennzahlen das Ausmaß an, in dem eine Kontrolle ihre Ziele erreicht, beispielsweise zur Verlustvermeidung, zu einem bestimmten Zeitpunkt. Wenn Kontrollen nicht wie erwartet funktionieren, können sich Risikowahrscheinlichkeit oder -auswirkung ändern. Als solche sind KCIs oft prädiktiv, können aber auch eine frühe Erkennung von sich entwickelnden Risiken ermöglichen.

KRIs dürfen nicht mit KPIs verwechselt werden

Das Papier „Indikatoren und Kennzahlen im Enterprise Risk Management“ betont, dass Risikomanager in der Lage sein sollten, zwischen KRIs und KPIs zu unterscheiden. Es heißt darin: „Key Performance Indicators konzentrieren sich besonders auf die historische Leistung des Unternehmens oder seiner Schlüsseloperationen und sind wichtig für erfolgreiches Management. Andererseits bieten KRIs Echtzeit-Indikatoren, die Informationen über aufkommende Risiken liefern… KPIs sagen uns, ob wir unsere Ziele erreichen werden, und KRIs helfen uns, Änderungen im Risikoprofil, die Auswirkungen und die Wahrscheinlichkeit der Zielerreichung zu verstehen. Wenn die Unterscheidung zwischen den beiden Arten von Schlüsselindikatoren getroffen wird, wird sehr klar sein, welche Arten von Fragen wir durch diese Indikatoren beantworten wollen und wie wir diese Indikatoren definieren, um die Managementqualität und die Klarheit der Ergebnisse zu verbessern.“

Zweifellos sind KRIs, KPIs und KCIs alle miteinander verbunden. Risikopersonal sollte verstehen, wie oder warum Indikatoren mit sich ändernden Risikoprofilen korrelieren, damit Kennzahlen effektiv sein können. Im Wesentlichen geben Indikatoren ein „Bild“ einer Organisation und Kennzahlen bieten ein Mittel zur Bewertung, ob ERM-Aktivitäten auf dem richtigen Weg sind.

Metriken – nicht zu viel, nicht zu wenig

Wie viele Kennzahlen bieten den größten Nutzen? Wenn es zu viele sind, wird Zeit für deren Verwaltung aufgewendet, die ansonsten für andere kritische Aufgaben genutzt worden wäre. Und zu viele Informationen können nachteilig sein – Risikofachleute könnten Schwierigkeiten haben, kritische Informationen zu unterscheiden und somit wenig Wert aus den verwendeten Kennzahlen ziehen. Zu wenige Kennzahlen hingegen generieren möglicherweise nicht genügend Informationen, damit die Daten aussagekräftig sind.

Während es gilt, die richtige Balance zu finden, ist es von größter Bedeutung, dass die verwendeten Kennzahlen relevant, messbar, leicht zu überwachen, prüfbar und vergleichbar sind.

Letztendlich sind vielleicht die wichtigsten Fragen, die sich Risikofachleute stellen sollten: „Sehe ich Verbesserungen im Geschäft? Sind die Geschäftsprioritäten auf sich ändernde oder neu entstehende Risiken abgestimmt? Werden Risiken gemindert und Verluste vermieden?“ Wenn diese Fragen bejaht werden können, erfüllen die Kennzahlen zusammengenommen ihre Aufgabe und generieren Daten, die genutzt werden können, um stärkere Kontrollen zu definieren und Entscheidungen zu treffen, die mit der Unternehmensstrategie in Einklang stehen.