Must-Have-Metriken für ein effektives Enterprise Risk Management

Sword GRC Blog

"Management ist blind ohne Zugriff auf die richtigen Metriken"

Risikodaten bieten Unternehmen die Möglichkeit, Informationen zu nutzen, die dazu beitragen, ein robusteres ORM-Programm (Operational Risk Management) zu entwickeln, das in ein effektives ERM-Framework (Enterprise Risk Management) eingebettet ist. Daher ist es für Risikofachleute – und die Herausforderung, wenn das Volumen der Unternehmensdaten zunimmt – wichtig, die richtigen Daten zu extrahieren und die richtigen Stakeholder an Bord zu holen, um zu definieren, welche Kennzahlen für operationelle Risiken für die Unterstützung von Geschäftsstrategien am nützlichsten sind.

In “Indikatoren und Metriken für das Unternehmensrisikomanagement” (Abteilung für Informatik und wirtschaftliche Kybernetik, Bukarester Akademie für Wirtschaftsstudien) wird vorgeschlagen, dass die Verwendung von Metriken im WKM jedem Unternehmen eine “ganzheitliche Sicht auf die potenziellen Ereignisse” ermöglicht Dies kann sich auf die Erreichung der Ziele der Organisation auswirken. “

Mit einer vollständigen Ansicht verfügt das Management über die erforderlichen Erkenntnisse, um datenbasierte Geschäftsentscheidungen zu treffen. Kritische strategische Entscheidungen werden nicht blind gemacht.

Die Verwendung von Metriken bietet viele Vorteile. Zu den im Dokument „Indikatoren und Metriken für das Risikomanagement von Unternehmen“ genannten gehören:

  • Frühzeitiges Erkennen von Trends und Problemen
  • Eine Quelle kritischer Informationen für Kontrollen
  • Ein Mittel zum Erkennen von Verbesserungen oder Anzeichen einer Verschlechterung in Situationen
  • Hilfe für informationsbasierte Entscheidungen
  • Unterstützt proaktives Management
  • Verbessert zukünftige Schätzungen und Leistungen
  • Bewertet Erfolg und Misserfolg
  • Verbessert die Zufriedenheit der Stakeholder

Welche Metriken für ein effektives Risikomanagement?

Welche Metriken sollten Risikofachleute verwenden? Risikopraktiker betrachten häufig drei Hauptindikatortypen:

Key Risk Indicators (KRIs) – Dies sind in der Regel prädiktive Indikatoren, die darauf hinweisen, dass ein unerwünschtes Ereignis wahrscheinlicher wird oder sein Wirkungspotenzial zunimmt. Nach dem Ereignis können sie auch darauf hinweisen, dass Risiken aufgetreten sind, und den Umfang ihrer Auswirkungen offenlegen.

Key Performance Indicators (KPIs) – Diese Metriken beziehen sich auf interne Faktoren im Gegensatz zu externen Marktbedingungen und zeigen den Erfolg oder den nachweisbaren Fortschritt beim Erreichen des gewünschten Ergebnisses an.

Sie können positiv eingesetzt werden, um das Erreichen von Zielen zu demonstrieren, aber auch um die frühzeitige Entwicklung von Risikoereignissen anzuzeigen.

Key Control Indicators (KCIs) – Diese Metriken werden auch als Kontrollwirksamkeitsindikatoren bezeichnet und zeigen, inwieweit eine Kontrolle daran arbeitet, ihre Ziele zu erreichen, um beispielsweise zu jedem Zeitpunkt Verluste zu verhindern. Wenn die Kontrollen nicht wie erwartet funktionieren, können sich die Risikowahrscheinlichkeit oder die Auswirkungen ändern. Daher sind KCIs häufig prädiktiv, können jedoch auch Risiken frühzeitig erkennen, die sich zu entfalten beginnen.

KRIs dürfen nicht mit KPIs verwechselt werden

Das Papier „Indikatoren und Metriken für das Risikomanagement von Unternehmen“ hebt hervor, dass Risikomanager in der Lage sein sollten, zwischen KRIs und KPIs zu unterscheiden. Darin heißt es, dass „Key Performance Indicators sich insbesondere auf die historische Leistung des Unternehmens oder seiner Schlüsseloperationen konzentrieren und für ein erfolgreiches Management wichtig sind. Auf der anderen Seite liefern KRIs Echtzeitindikatoren, die Informationen über aufkommende Risiken liefern… KPIs sagen uns, ob wir unsere Ziele erreichen werden und KRIs helfen uns, Veränderungen im Risikoprofil, Auswirkungen und die Wahrscheinlichkeit, unsere Ziele zu erreichen, zu verstehen. Wenn zwischen den beiden Arten von Schlüsselindikatoren unterschieden wird, werden wir sehr deutlich machen, welche Arten von Fragen wir mit diesen Indikatoren beantworten wollen und wie wir diese Indikatoren definieren, um die Managementqualität und die Klarheit der Ergebnisse zu verbessern.’

Zweifellos sind KRIs, KPIs und KCIs alle miteinander verbunden. Das Risikopersonal sollte verstehen, wie oder warum Indikatoren mit sich ändernden Risikoprofilen korrelieren, damit Metriken effektiv sind. Im Wesentlichen geben Indikatoren ein „Bild“ einer Organisation und Metriken bieten ein Mittel zum Benchmarking, ob die ERM-Aktivitäten auf dem richtigen Weg sind.

Metriken – nicht zu viele, nicht zu wenig

Wie viele Metriken bieten den größten Nutzen? Wenn zu viele vorhanden sind, wird Zeit für deren Verwaltung aufgewendet, die sonst für andere kritische Aufgaben aufgewendet worden wäre. Und zu viele Informationen können sich nachteilig auswirken. Risikofachleute können Schwierigkeiten haben, kritische Informationen zu unterscheiden, und daher nur wenig Wert aus den verwendeten Metriken ziehen. Zu wenige Metriken generieren jedoch möglicherweise nicht genügend Informationen, damit die Daten aussagekräftig sind.

Während die richtige Balance gefunden wird, ist es von größter Bedeutung, dass die verwendeten Metriken relevant, messbar, leicht zu überwachen, überprüfbar und vergleichbar sind.

Letztendlich sollten sich Risikofachleute möglicherweise die wichtigsten Fragen stellen: „Sehe ich Verbesserungen im Geschäft? Sind die Geschäftsprioritäten auf sich ändernde oder aufkommende Risiken ausgerichtet? Werden Risiken gemindert und Verluste vermieden? ‘ Bei der Beantwortung der positiven Frage erledigen die zusammengesetzten Metriken ihre Arbeit und generieren Daten, die genutzt werden können, um strengere Kontrollen zu definieren und Entscheidungen zu treffen, die auf die Geschäftsstrategie abgestimmt sind.

Weiterführende Literatur:

Zu Ihrer Information können die fundierten Leitlinien des Instituts für operationelle Risiken zu den Themen KRIs, Szenarioanalyse, Stress- und Reverse-Stresstests, Risikokultur und mehr kostenlos heruntergeladen werden. Hier .

* Institut für operationelle Risiken: Wichtige Risikoindikatoren , Operational Sound Practice Guidance