Ein richtig gestaltetes Risiko-Framework unterstützt die Risikodiskussion in Ihrem Unternehmen. Es kombiniert Kennzahlen, die es erlauben, Risiko-Wahrscheinlichkeit, Risiko-Auswirkungen und Risiko-Kontrollmaßnahmen abzuschätzen.
Hier sind die Hauptthemen dieses Artikels:
KRIs unterscheiden sich nicht stark von KPIs; die Risikomanagement-Frameworks unterscheiden sich nicht stark von der Balanced Scorecard. Beginnen wir damit, Best Practices für Key Risk Indicators zu besprechen.
Die Idee des Risikos
Was ist ein Risiko und wie kann man es messen und kontrollieren? Intuitiv versteht man, dass ein Risiko im Zusammenhang mit einer Gefahr/Bedrohung steht, die mit einer bestimmten Wahrscheinlichkeit eintreten und zu einer Art negativen Folge führen könnte. Diese Wahrnehmung ist im Allgemeinen richtig, mit einer Ausnahme: Ein Risiko muss für ein Unternehmen nicht immer eine Bedrohung sein, es kann auch eine Chance sein.
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Die ältere Definition von Risiko in der ISO lautete „eine Chance oder die Wahrscheinlichkeit eines Verlustes“, während die neueste ISO 31000:2009 Risiko als „die Auswirkung von Ungewissheit auf Ziele“ definiert.
Mit anderen Worten, die moderne Definition von Risiko erkennt an, dass es bei Risikos nicht nur um Bedrohungen, sondern auch um Chancen geht.
Der Verlust Ihres wichtigsten Mitarbeiters kann einerseits eine Bedrohung darstellen, andererseits können Sie aber auch einen neuen Mitarbeiter finden, der neue Fähigkeiten und Ideen in Ihr Unternehmen bringt. Es hängt alles vom Geschäftskontext (Geschäftsziele) ab.
Was sind Key Risk Indicators?
Wie ihr Name schon sagt, sind KRIs Kennzahlen, die Schlüssel für den Risikomanagementprozess sind.
- „Schlüssel“ bedeutet, dass es nicht Hunderte von KRIs geben kann – wenn Sie also 100+ KRIs haben, dann sind es höchstwahrscheinlich nur Risikokennzahlen.
Die meisten der Prinzipien, die wir für KPIs (Key Performance Indicators) diskutiert haben, gelten auch für KRI:
- Sie müssen einen angemessenen geschäftlichen Kontext haben,
- Sie müssen messbar sein,
- Es muss eine Person geben, die für den KRI verantwortlich ist,
- Das Team sollte an der Entwicklung beteiligt sein, usw.
Dennoch empfehle ich, den Artikel zu lesen: 12 Schritte KPI-System. Ersetzen Sie beim Lesen „KPI“ durch „KRI“, und Sie können dieselben Ideen und Empfehlungen ohne Probleme verwenden.
Für den Moment reicht es aus, KRI als jene Risikokennzahlen zu definieren, die ein wichtiger Teil Ihres Risikomanagementportfolios sind. Wie aus der Definition des Risikos in der ISO-Norm hervorgeht, hängt die letztendliche Entscheidung darüber, was ein Risiko ist und was nicht, von den Zielen eines Unternehmens ab, seien Sie also vorsichtig beim kopieren von KRIs von anderen.
Der Unterschied zwischen KRI und KPI
In der Literatur werden KPIs und KRIs teilweise stark unterschieden, wobei die ersten für die Unternehmensleistung und die zweiten für das -risiko zuständig sind. Als Beispiel für einen typischen KPI, bei dem es sich nicht um einen KRI handelt, sei „Nettogewinn“ genannt.
- „Der Nettogewinn ist ein KPI, weil er uns nichts über das Risikoniveau oder die Risikokontrolle sagt! – schlagen oft Autoren vor.
Die Sache ist die, dass der „Nettogewinn“ an sich weder etwas über die Leistung noch über die Art und Weise aussagt, wie man sie steigern will!
Um den „Nettogewinn“ nutzen zu können, müssen wir ihn in einen angemessenen geschäftlichen Kontext stellen, Schwellenwerte, Ausgangs- und Zielmarken hinzufügen und einige relevante Aktionspläne hinzufügen:
- KPI: „Reingewinn“
- Aktuelles Niveau: $ 200k
- Basislinie: $ 205k
- Ziel: $ 300k
- Bremslicht: rot
- Aktionsplan: „Wir sind wegen des alten Verkaufsteams gescheitert! Neues Verkaufsteam einstellen!“
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Sehen Sie sich diesen KPI an! Sieht er jetzt nicht aus wie ein KRI? Sicher, wir haben keine Kennzahlen für Wahrscheinlichkeit und Auswirkung, aber wir können sie leicht hinzufügen…
Ein weiterer Gedanke, der die Idee der ähnlichen Natur von KRIs und KPIs unterstützt:
- KPIs müssen auf die Geschäftsstrategie abgestimmt werden; und wie hat man diese Strategie festgelegt? Haben wir nicht die SWOT-Methode (wobei T für Threats = Bedrohungen steht) verwendet, um eine Hypothese (Risikoanalyse) und mögliche Lösungen (Risikokontrolle) aufzustellen?
Ich übertreibe hier natürlich, aber ich persönlich sehe keinen fundamentalen Unterschied. Ich bin bereit, darüber in den Kommentaren zu diskutieren. Natürlich sind KRIs „risikoorientierter“, aber bei Bedarf kann ein KRI in einen KPI umgewandelt werden und umgekehrt.
Risiken auf KRI abbilden. Key Risk Indicators definieren.
Hier kommt ein interessanter Teil. Lassen Sie uns über Risikomanagement sprechen. Beim Risikomanagement geht es um das Management der Kette von:
- Detektieren/Vorhersagen von Bedrohungen/Chancen
- Abschätzen der Wahrscheinlichkeit, dass sie eintreten werden (ihre Wahrscheinlichkeit)
- Kontrolle der Auswirkungen/Ergebnisse
In der Regel können wir nicht alle diese Aspekte des Risikos in einer KRI abbilden, so dass wir meist 3 Kennzahlen benötigen:
- Kennzahl, die die Wahrscheinlichkeit misst
- Kennzahl, die die Auswirkungen misst
- Kennzahl, die den Aktionsplan misst
Für einen KRI wie „Schlechte Betreuung der Mitarbeiter“ hätten wir zum Beispiel:
- Zeitaufwand für die Betreuung pro Woche, Stunden. Diese Kennzahl schätzt die Risikowahrscheinlichkeit ein, je weniger Stunden für das Mentoring anderer angewendet werden, desto wahrscheinlicher ist dieses Risiko für das Unternehmen.
- Mitarbeiterengagement-Index, %. Diese Kennzahl hilft, die Auswirkungen schlechter Kommunikation zu verstehen. Weniger Betreuung bedeutet weniger Engagement von Seiten der Mitarbeiter.
- Aktionsplan: Verbesserung der Betreuungsverfahren. Eine relevante Kennzahl könnte so etwas wie „Führungsschulung, Stunden“ sein. Wir müssen den Managern ein richtiges Führungsparadigma beibringen, das Betreuung enthält.
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Welche dieser Kennzahlen ist ein KRI? Ich würde sagen, dass das Kennzahl-Paar „Wahrscheinlichkeit“ und „Auswirkung“ den KRI bildet, während sich die Kennzahl „Aktionsplan“ auf die Verfahren zur Risikokontrolle bezieht.
Vorlage für einen KRI
Hier ist eine Vorlage, die man für einen Key Risk Indicator verwenden kann.
Risiko-Vorlage:
| Risikokennzahlen | Risikokontrollplan | Aktionskennzahl | |
|---|---|---|---|
| Risiko-Identifikation: ______________ |
Wahrscheinlichkeitskennzahl: ________ Auswirkungskennzahl: _________ |
Aktion 1: _________ Aktion 2: _________ |
Kennzahl 1: _________ Kennzahl 2: _________ |
Das oben besprochene Beispiel wird wie folgt aussehen:
| Risikokennzahlen | Risikokontrollplan | Aktionskennzahl | |
|---|---|---|---|
| Risikoidentifikation: „Schlechte Betreuung der Mitarbeiter“ |
Wahrscheinlichkeitskennzahl: Zeitaufwand für Betreuung pro Woche, Stunden Auswirkungskennzahl: Index des Mitarbeiterengagements, % |
Aktion 1: Betreuungsverfahren verbessern |
Kennzahl 1: Führungstraining bestanden, Stunden. |
Früh-/Spät-KPIs vs. Wahrscheinlichkeit/Auswirkungs-KRIs
Wenn wir eine Geschäftsstrategie entwerfen, empfehlen wir immer sicherzustellen, dass es folgendes gibt:
- Frühindikatoren, die auf die Geschäftsziele ausgerichtet sind,
- Spätindikatoren, die auf die Geschäftsziele ausgerichtet sind, und einen
- Aktionsplan.
Vergleichen Sie dies mit der „Wahrscheinlichkeit“, der „Auswirkung“ und dem „Kontrollplan“ und Sie werden verstehen, was ich meine.
Eine richtig beschriebene Strategie sieht der richtig durchgeführten Risiko- und Kontrollbewertung sehr ähnlich.
Wie erscheinen die Risiken auf der Karte? Berichtskultur.
Da Geschäftsziele Projektionen einer richtig definierten Strategie sind, sind Risiken Projektionen einer richtig durchgeführten Risikoanalyse.
- Der grundlegende Schritt besteht darin, mit einer klassischen Risikobewertung zu beginnen, Ursachendiagramme zu zeichnen, ein Brainstorming möglicher Probleme durchzuführen und als Ergebnis eine Liste der Risiken zusammenzustellen.
- Der wichtigste Schritt ist es, in Ihrem Unternehmen eine richtige Berichtskultur zu implementieren. Die Mitarbeiter sollten nicht nur über offensichtliche Probleme berichten, die bereits aufgetreten sind, sondern auch über Situationen, in denen sie das Glück hatten, das Problem zu vermeiden, es aber hätte passieren können. Solche Berichte ermöglichen es Ihnen, Risiken zu erkennen, an die Sie vorher vielleicht nicht gedacht haben.
Etablierung einer ähnlichen Kultur wie bei der NASA: Wenn das Problem einmal aufgetreten ist, wird eine sorgfältige Untersuchung über mögliche Gründe durchgeführt, warum es aufgetreten ist, auch wenn es sich nicht wiederholt.
Anwendung des Risikobewertungs- und Kontrollmodells
Das oben beschriebene Risikobewertungsmodell ist nichts Neues, aber Sie brauchen es genauso wie eine Strategiekarte im Unternehmensleistungsmanagement. Konkrete Zahlen können knifflig sein und geben Ihnen keine spezifischen Informationen. Warum haben Sie dann dieses Modell?
- Da die Strategiekarte bei der Strategiediskussion hilft, muss das Risikobewertungsmodell/die Scorecard eine Grundlage für weitere Diskussionen im Zusammenhang mit der Risikoidentifikation und -kontrolle sein.
Auf diese Weise werden Sie die Risikokontrolle in die DNA des Unternehmens implementieren. Das ist viel besser als die regelmäßige formelle Berichterstattung von KRIs, die nichts mit echten Problemen zu tun hat.
Die Liste der populärsten KRIs
Mit einem kostenlosen BSC Designer-Konto haben Sie Zugriff auf mehrere Risiko-Scorecards mit insgesamt 89 KRIs.
Um auf diese Risiko-Scorecards zuzugreifen, folgen Sie diesen Schritten:
- Melden Sie sich für ein kostenloses Konto bei BSC Designer Online an
- Wählen Sie Neu > Neue Scorecard
- Klicken Sie auf den Menüpunkt Weitere Vorlagen… und scrollen Sie nach unten zum Abschnitt KRIs
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Sehen Sie diese Risikokennzahlen nicht als ein Muss für Ihr Unternehmen. Wie bei den KPIs müssen KRIs auf den Geschäftskontext abgestimmt sein. Wenn nicht, dann werden Sie Risiken, die in Ihrem Unternehmen niemals auftreten werden, bewerten und versuchen, diese zu managen.
GRC-Software: KRIs in BSC Designer
Wie wir im Artikel zu Corporate Governance besprochen haben, besteht keine besondere Notwendigkeit für eine separate GRC-Software.
Risikokennzahlen sind nach wie vor Kennzahlen. Sie können mit der von Ihnen verwendeten Software zur Ausführung der Strategie automatisiert werden.
Im Folgenden erkläre ich, wie die Benutzer von BSC Designer ihre KRIs verfolgen können.
Risiken auf dem Dashboard visualisieren
Scorecard für digitale Transformation.- Wechseln Sie zur Registerkarte Dashboard
- Klicken Sie auf die Schaltfläche Hinzufügen
- Wählen Sie Initiativen als Typ für das Diagramm aus
- Wählen Sie das Wurzelelement als Datenquelle aus
- Wählen Sie Risiko in der Auswahlliste für die Art der Initiative aus
Risikoindikator definieren
Wählen Sie eine Kennzahl und wählen Sie „Risiko“ als Maßeinheit:
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Definieren Sie einen Plan zur Risikominderung:
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Definieren Sie die Risiko-Wahrscheinlichkeit:
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Risikoauswirkungen definieren:
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. In diesem Fall kann BSC Designer notwendige Daten auf dem Risikodiagramm visualisieren:
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Der Hauptvorteil besteht darin, dass die Kennzahlen auf die Ziele der Strategiekarte abgestimmt werden können:
BSC Designer für den sofortigen Zugriff auf 31 Scorecard- und KPI-Vorlagen an. Haupterkenntnisse
- Risiko ist nicht nur eine Bedrohung, sondern auch eine Geschäftsgelegenheit
- KRIs in den richtigen geschäftlichen Kontext stellen
- Einführung einer angemessenen Berichterstattungskultur
- Risiko-Scorecard als Grundlage für die Risikodiskussionen verwenden
BSC Designer ist eine Balanced Scorecard-Software, die Unternehmen dabei hilft, ihre Strategien besser zu formulieren und den Prozess der Strategieumsetzung mit Kennzahlen greifbarer zu machen.