Wichtige Risikoindikatoren – oder KRIs – sind der Kanarienvogel unter den Metriken, die Sie auf veränderte Bedingungen aufmerksam machen können.
Sie sind ein frühzeitiger Hinweis auf eine Zunahme oder Abnahme des Risikos in verschiedenen Bereichen des Unternehmens. Organisationen jeder Größe können KRIs nutzen, um Risiken proaktiv zu managen, anstatt erst zu reagieren, wenn etwas passiert ist.
Obwohl KRIs ein echtes Potenzial zur Verbesserung Ihres ERM-Programms – und des Engagements der Führungsebene – haben, besteht kein Konsens darüber, was gemessen werden sollte oder wofür KRIs verwendet werden sollten.

Warum sind wichtige Risikoindikatoren wichtig?

Im Allgemeinen sind Schlüsselrisikoindikatoren nützlich, da es praktisch unmöglich ist, jedes Risiko in Ihrem Profil ständig zu bewerten.
KRIs liefern Ihrem Unternehmen wertvolle Informationen über interne und externe Bedrohungen.
Sie helfen Ihnen, Frühwarnsignale für Veränderungen zu erkennen, so dass Sie Ihre Bemühungen zur Bekämpfung von Risiken priorisieren können, bevor diese Schaden anrichten.

“Sie brauchen einen Indikator, eine Art Flagge, die auftaucht und sagt: ‘Seht her!’ Etwas hat sich verändert”, erklärt Rob Quail, bekannter ERM-Experte und Gast in der Risk@Work-Webinarreihe.

Merkmale eines guten KRI

Die spezifischen KRIs variieren je nach Unternehmen, Branche und Risikoprofil.
Im Folgenden finden Sie einige Merkmale starker Key Risk Indicators:

  • Relevant: Ein guter KRI hat einen klaren Bezug zum Geschäft und einen nachgewiesenen Vorhersagewert.
    Wenn der KRI ansteigt, sollten Sie sicher sein, dass dies auf eine Veränderung des Risikos hindeutet.
  • Messbar: KRIs sollten messbar und präzise sein.
    Sie sollten in der Lage sein, Ihre Metriken leicht zu quantifizieren, ohne sich durch viel externes Rauschen zu wühlen.
  • Vergleichbar: Ein guter KRI ist mit anderen KRIs, Branchen-Benchmarks und anderen Zahlen vergleichbar, mit denen Sie feststellen können, ob sich die Bedingungen geändert haben.
  • Umsetzbar: Gute KRIs sind umsetzbar und liefern Informationen, die Sie für Ihre Entscheidungen und die Priorisierung Ihrer Ressourcen nutzen können.
  • Zugänglich: Die Daten sollten leicht zugänglich sein, entweder etwas, das Sie bereits messen, etwas, das einfach zu messen wäre, oder etwas, das aus einer externen Quelle bezogen werden kann.
  • Konsistent: Ein guter KRI ist zuverlässig, so dass Sie Veränderungen im Laufe der Zeit verfolgen können.

Es ist auch wichtig, dass Ihre KRIs leicht zu verstehen sind.
“KRIs landen in den Berichten des Vorstands”, betont Quail.
“Das Führungsteam muss verstehen, warum und wie die Maßnahme mit dem Risiko zusammenhängt.”

Beispiele für gängige KRIs

KRIs messen Dinge wie eine Veränderung der Auswirkungen, des Wertes oder dessen, was als glaubwürdig angesehen wird.
Sie können auch Veränderungen der äußeren Umstände messen, die zu einer größeren Bedrohung der strategischen Ziele führen.
Die spezifischen KRIs Ihres Unternehmens hängen von Ihrer Branche, Ihrem Produktportfolio und Ihrem Risikoportfolio ab, aber hier sind einige gängige KRIs:

Finanzen

Externe finanzielle KRIs können die wirtschaftlichen Bedingungen oder regulatorische Veränderungen messen.
Interne finanzielle KRIs können Änderungen von Budgets, Umsatzwachstumszielen oder Ausgaben verfolgen.

Technologie

Technologie-KRIs können die Systemverfügbarkeit, Sicherheitsverletzungen oder die Anzahl von Cyberangriffen über einen bestimmten Zeitraum verfolgen.

Operativ

Operative KRIs messen Dinge wie die Wirksamkeit interner Kontrollen, die Effizienz von Prozessen, die Produktqualität und Veränderungen bei strategischen Zielen.

Humanressourcen

HR KRIs können die Personalfluktuation, die Umstellungsraten bei der Rekrutierung und das Engagement der Mitarbeiter verfolgen.

Nicht alle KRIs sind gleich.
Grenzen Sie Ihre Liste potenzieller KRIs ein, indem Sie sich auf diejenigen konzentrieren, die den Wandel am besten vorhersagen und am einfachsten zu messen sind.
Die regelmäßige Überwachung einer ausgewählten Liste starker KRIs wird Sie auf Anzeichen von Veränderungen – positiv oder negativ – aufmerksam machen, so dass Sie effektiv reagieren können.

Key Performance Indicator vs. Key Risk Indicator

Sowohl die wichtigsten Risikoindikatoren als auch die wichtigsten Leistungsindikatoren sind wichtige Metriken zur Messung des Fortschritts.
Sie dienen jedoch unterschiedlichen Zwecken im Risikomanagement und sind nicht austauschbar.
KPIs sind Metriken, die die Leistung eines Unternehmens messen, in der Regel im Vergleich zu den Unternehmenszielen oder Leistungsinitiativen.
Es handelt sich um wiederholbare Messgrößen, die einen starken Bezug zum Geschäft haben.
So kann ein Unternehmen beispielsweise den vierteljährlichen Umsatz oder die Gesamtzahl der abgeschlossenen Geschäfte überwachen, um die Leistung im Vergleich zu den Verkaufszielen zu messen.
KRIs hingegen sind nur Frühindikatoren.
Sie sollen dabei helfen, vorherzusagen, ob ein KPI erreicht werden wird.
Risikokennzahlen sagen Ihnen, ob Sie Ihre Ziele mit größerer oder geringerer Wahrscheinlichkeit erreichen werden.
Beachten Sie jedoch, dass ein KPI für einen Bereich aufgrund des Kaskadeneffekts von Risiken zu einem KRI für einen anderen Bereich werden kann.
Ein Technologieausfall ist zum Beispiel ein gängiger KPI.
Die nachgelagerten Auswirkungen dieses Technologieausfalls auf die Produktivität, das Engagement der Mitarbeiter, den Ruf usw. könnten ihn zu einem KRI für diese Bereiche machen.

Die Rolle von KRIs im Risikomanagement von Unternehmen

Damit KRIs effektiv sind, müssen sie Teil eines etablierten ERM-Programms sein.
Die Risikobereitschaft legt beispielsweise die Schwellenwerte fest, die bestimmen, ob ein Risiko hoch oder niedrig ist.
Die Kenntnis Ihrer Risikobereitschaft ist ein wichtiger Bestandteil eines effektiven ERM-Programms und wird oft in einem Risiko-Workshop ermittelt.

“KRIs sind keine ERM-Einstiegsmethode”, betont Quail.
“Sie müssen bereits Ihre Risiken und deren Quellen kennen und wissen, was Sie für jedes Ihrer strategischen Ziele tun können. Außerdem müssen Sie ein Führungsteam haben, das ERM genug schätzt, um diese Gespräche führen zu wollen.”
Gespräche sind in der Tat einer der wichtigsten Vorteile von ERM – und KRIs können eine Menge produktiver Gespräche auslösen, die zu neuen Erkenntnissen führen, die dabei helfen, aufkommende Risiken zu identifizieren, Anstrengungen neu zu priorisieren oder Ressourcen neu zuzuweisen.
“Wenn KRIs nicht zu neuen Gesprächen anregen, sind sie für Ihr Unternehmen völlig nutzlos”, sagt Quail.
“Nutzen Sie sie, um das Verständnis für Risiken zu verbessern und dem Unternehmen zu helfen, bessere Entscheidungen zu treffen.”

Wenn Sie mehr über ERM erfahren möchten, laden Sie das ebook Charting a Course for Enterprise Risk Management herunter und testen Sie die ERM-Softwarelösung von Riskonnect.