Key Risk Indicator (KRI)
Ein Key Risk Indicator (KRI) – zu deutsch: Schlüsselrisikoindikator – ist eine Kennzahl zur Messung der Wahrscheinlichkeit, dass die kombinierte Wahrscheinlichkeit eines Ereignisses und seiner Folgen die Risikobereitschaft der Organisation übersteigt. Dies könnte tiefgreifende negative Auswirkungen auf die Fähigkeit einer Organisation haben, erfolgreich zu sein.
KRIs spielen eine wichtige Rolle bei Programmen für das Risikomanagement in Unternehmen (Enterprise Risk Management, ERM). Sie können Organisationen vor potenziellen Risiken für ihr Geschäft warnen. Sie geben auch Aufschluss über mögliche Schwachstellen in den Überwachungs- und Kontrollinstrumenten einer Organisation sowie über die laufende Risikoüberwachung zwischen den Risikobewertungen.
KRIs werden oft mit wichtigen Key Performance Indicators (KPI) verwechselt. KPIs sind jedoch etwas ganz anderes als KRIs. KPIs helfen einer Organisation bei der Bewertung des Fortschritts im Hinblick auf die erklärten Ziele und dienen nicht der Frühwarnung vor Risiken.
Warum sind KRIs wichtig?
Ohne KRIs erhöht sich die Wahrscheinlichkeit, dass eine Organisation Ereignissen oder Situationen ausgesetzt ist, die ihrem Geschäft erheblich schaden könnten. KRIs dienen als Warnsignale, um Risiken rechtzeitig zu identifizieren und ihre Auswirkungen zu minimieren.
Ein KRI für ein Einzelhandelsunternehmen könnte zum Beispiel die Anzahl der Kundenbeschwerden sein. Ein Anstieg dieses KRI könnte ein frühes Anzeichen dafür sein, dass ein betriebliches Problem angegangen werden muss.
Die Herausforderung für ein Unternehmen besteht nicht nur darin, die wichtigsten Risikoindikatoren zu ermitteln, sondern auch die interne Akzeptanz seiner KRIs sicherzustellen. Die Unternehmen müssen die Risikowarnung so kommunizieren, dass alle Mitarbeiter ihre Bedeutung verstehen und entsprechend reagieren können.
Merkmale guter KRIs
Bei der Entwicklung eines KRI sind Kenntnisse über die Organisation und ihre Arbeitsweise wesentliche Ausgangspunkte. Hinzu kommen Kenntnisse über potenzielle Risiken, Bedrohungen und Schwachstellen. Ohne ein Verständnis des Unternehmens ist es schwierig zu erkennen, wo es gefährdet sein könnte und welche Maßnahmen zum Risikomanagement zu ergreifen sind.
Sobald die internen und externen Risiken identifiziert sind, werden sie den wichtigsten operativen Aspekten des Unternehmens zugeordnet, um festzustellen, wie die wichtigsten Eigenschaften gestört werden könnten. Gute, messbare KRIs umfassen die folgenden Merkmale:
- Angaben zu den Mitarbeitern, Prozessen, Technologien, Einrichtungen und anderen Merkmalen, die für den Fortbestand und den Erfolg der Organisation wichtig sind.
- Identifizierung von Risiken, Bedrohungen und Schwachstellen, denen die Organisation ausgesetzt ist, basierend auf ihrer Eintrittswahrscheinlichkeit, ihren betrieblichen und finanziellen Auswirkungen und der Fähigkeit der Organisation, das Ereignis abzumildern.
- Beziehungen zwischen den wichtigsten Geschäftsattributen und den bedeutendsten Risiken, um die wichtigsten Probleme zu identifizieren.
- Metriken, die zeigen, wann und wie ein Risiko zu einer ernsthaften Bedrohung für die wichtigsten Eigenschaften der Organisation wird.

Erstellung messbarer KRIs
Im Folgenden werden die 11 Schritte zur Erstellung messbarer KRIs beschrieben:
- Definieren Sie die Ziele. Bestimmen Sie die für die Organisation wichtigen Geschäftsattribute und die Ziele, die sie mit KRIs erreichen will.
- Identifizieren Sie Risiken. Benennen Sie alle Risiken, denen das Unternehmen ausgesetzt ist, einschließlich finanzieller, betrieblicher, Compliance- und Cybersicherheitsrisiken.
- Verknüpfen Sie Risiken und Ziele. Zeigen Sie auf, wie jedes Risiko die Fähigkeit der Organisation, ihre Ziele zu erreichen, beeinträchtigen könnte. Ordnen Sie die Risiken nach ihrer Bedeutung für die Zielerreichung ein.
- Definieren Sie KRIs. Entwickeln Sie auf der Grundlage der vorherigen Schritte messbare KRIs, um zu überwachen und zu messen, ob sich die identifizierten Risiken verwirklichen.
- Genehmigungen einholen. Holen Sie die Zustimmung der Geschäftsleitung zu den KRIs ein.
- Legen Sie Schwellenwerte fest. Legen Sie für jeden KRI messbare Werte fest, die angeben, wann ein Risiko inakzeptabel wird und eine Reaktion auslösen.
- Datenquellen finden. Bestimmen Sie die Daten, die für die Messung der KRI benötigt werden, und wie sie erhoben werden sollen. Dazu können Finanzberichte, Betriebskennzahlen und Berichte über Vorfälle gehören.
- Messsysteme einrichten. Richten Sie Systeme, Prozesse und Instrumente zur regelmäßigen Messung der KRI ein.
- Überwachen und bewerten. Überwachen Sie die KRIs kontinuierlich, um Veränderungen im Risikoniveau zu verfolgen, die Wirksamkeit der KRIs zu bewerten und notwendige Maßnahmen zu ergreifen.
- Berichterstattung. Zusammenfassung und Weitergabe von KRI-Daten und Einblicken in die Risikostufen an relevante Interessengruppen und Entscheidungsträger.
- Überprüfen und verbessern. Bewerten Sie regelmäßig die Wirksamkeit der KRIs bei der Erfassung von Risiken und überarbeiten Sie sie bei Bedarf.
Beispiele für KRIs
KRIs werden entwickelt, um die Mitarbeiter, Prozesse, Technologien, Einrichtungen und andere für den Betrieb wichtige Elemente einer Organisation zu überwachen. Sie liefern die Messpunkte für das Risikomanagement, deren Überschreitung zu einer Unterbrechung des Geschäftsbetriebs führen könnte.
Im Folgenden finden Sie Beispiele für KRIs für verschiedene Aspekte eines Unternehmens und Beispielmesspunkte:
- Verlust von Mitarbeitern. Das Geschäft einer Organisation kann negativ beeinflusst werden, wenn Mitarbeiter krank werden, eine Behinderung erleiden, eine andere Stelle annehmen oder in den Ruhestand gehen. Es ist wichtig, über KRIs zu verfügen, die die Abwesenheit von Mitarbeitern überwachen, um festzustellen, wann sie ein kritisches Niveau überschreitet. Ein Schwellenwert für diese Art der KRI-Messung könnte zum Beispiel ein Rückgang der Gesamtmitarbeiterzahl um 20 Prozent sein.
- Unzufriedenheit der Mitarbeiter. Eine unzufriedene Belegschaft kann ebenfalls negative Folgen für ein Unternehmen haben. Ein KRI kann Situationen identifizieren, die auf Unzufriedenheit der Mitarbeiter hinweisen. Ein Schwellenwert könnte darin bestehen, dass die Zahl der Mitarbeiterbeschwerden von Monat zu Monat um 15 Prozent oder mehr steigt.
- Produktion vs. Nachfrage. Wenn die Produktion eines wichtigen Produkts nicht mit der Nachfrage mithalten kann, kann ein Unternehmen sowohl finanzielle als auch Reputationsprobleme bekommen. Ein KRI identifiziert den Punkt, an dem das Produktionsniveau im Verhältnis zur Produktnachfrage zu niedrig ist. Der KRI könnte beispielsweise einen Alarm auslösen, wenn die Anzahl der pro Tag produzierten Einheiten um 20 Prozent sinkt, die Nachfrage aber konstant bleibt.
- Rückläufige Verkäufe. Wenn die Funktion oder das Design eines Produkts veraltet ist, kann der Absatz zurückgehen. Ein KRI kann verwendet werden, um auf der Grundlage von Verkaufsdaten und Marktforschung einen Risikopunkt für eine Produktüberprüfung zu ermitteln. Beispielsweise könnte ein 10-prozentiger Umsatzrückgang bei einem bestimmten Produkt diese Art von Überprüfung auslösen.
- IT-Störungen. Ein KRI sollte den optimalen Patch-Level für Cybersicherheitssysteme ermitteln. Der Schwellenwert könnte etwa so aussehen, dass die KRI einsetzt, wenn die Patches für das Cybersicherheitssystem zwei Patches hinter den geplanten und empfohlenen Werten zurückbleiben.
- Fehlgeschlagenes Backup. Wenn Sicherungssysteme ausfallen, kann es schwierig sein, Systeme, Datendateien und Datenbanken wieder auf den aktuellen Stand zu bringen. Es sollte eine KRI erstellt werden, um zu überwachen, dass die IT-Ressourcen auf dem aktuellsten Stand der Datensicherung sind. Er könnte so eingestellt werden, dass er eine Warnung sendet, wenn das Backup-Niveau unter den akzeptablen Mindestzeitrahmen fällt.
KRIs und KPIs: Was ist der Unterschied?
Wie bereits erwähnt, werden KRIs häufig mit KPIs verwechselt – also mit Kennzahlen, die Organisationen dabei unterstützen, den Fortschritt bei der Erreichung definierter Ziele zu messen. Funktional stehen sich beide Begriffe gegenüber: Während KPIs Chancen und Zielerreichung abbilden, zeigen KRIs potenzielle Risiken auf. Dennoch ergänzen sie sich oft. Die Definition des einen führt in der Praxis nicht selten zur Identifikation des anderen.
KRIs liefern Messgrößen für Risiken und deren potenzielle Auswirkungen auf die Unternehmensleistung. Sie dienen als Frühwarnsystem für die Überwachung, Analyse, Verwaltung und Minderung von Risiken.
Im Gegensatz dazu zeigen KPIs, wie gut ein Unternehmen seine Ziele erreicht, zum Beispiel in Bezug auf Umsatz, Ertrag und Kundenzufriedenheit. Wie die KRIs können auch die KPIs auf die Mitarbeiter, Prozesse und Technologien angewendet werden, die für den Erfolg eines Unternehmens entscheidend sind.
Beispiele für KPIs und ergänzende KRIs | |
Key Performance Indicator (KPI) | Zugehöriger Key Risk Indicator (KRI) |
Vollbeschäftigung ist die Voraussetzung für eine optimale Unternehmensleistung. | Die Kennzahl gibt an, wann die Abwesenheit von Mitarbeitern ein bestimmtes Maß überschreitet. |
Die Zufriedenheit der Mitarbeiter mit dem Unternehmen und ihrer Arbeit ist eine wesentliche Voraussetzung für eine erfolgreiche Leistung. | Die Metrik misst die Unzufriedenheit der Mitarbeiter und wann sie ein bestimmtes Niveau erreicht. |
Die Produktion eines wichtigen Produkts wird auf einem Niveau gehalten, das ausreicht, um die Nachfrage zu befriedigen. | Die Metrik zeigt an, wann die Produktion unter ein akzeptables Niveau fällt. |
Die bestehenden Produktdesigns sind zufriedenstellend und bieten den Kunden den erwarteten Nutzen. | Metriken, die auf rückläufigen Verkäufen und Marktforschung basieren, zeigen an, wann bestehende Designs überprüft und möglicherweise verbessert werden sollten. |
Regelmäßige Patches für Cybersicherheitssysteme sind erforderlich, um IT-Störungen zu minimieren. | Die Metrik identifiziert, wenn die optimalen Patch-Levels für Cybersicherheitssysteme nicht erreicht werden. |
Unterbrechungen des Geschäftsbetriebs werden auf ein Minimum reduziert, wenn Systeme, Dateien und Datenbanken bis zu ihrem aktuellen Wiederherstellungspunkt gesichert werden. | Die Metrik zeigt, wann IT-Ressourcen nicht auf dem aktuellsten Stand der Sicherung sind. |
Vorteile von KRIs
Im Folgenden sind einige der Vorteile aufgeführt, die KRIs Organisationen bieten:
- Frühzeitige Warnungen. KRIs weisen im Voraus auf potenzielle Risiken hin, die der Organisation schaden könnten. Dadurch können proaktive Maßnahmen ergriffen werden.
- Strategische Ziele. KRIs helfen Organisationen, sich auf ihre wichtigsten Ziele, Prioritäten und Vorgaben zu konzentrieren.
- Bessere Entscheidungsfindung. KRIs liefern zeitnahe Informationen, die das Management bei seinen Entscheidungen unterstützen.
- Risikokontrolle und -bewusstsein. KRIs geben Aufschluss über mögliche Schwachstellen in den Überwachungs- und Kontrollinstrumenten einer Organisation. Sie schärfen auch das Bewusstsein für potenzielle Risiken für das Unternehmen.
- Laufende Überwachung. KRIs geben zwischen den formellen Risikobewertungen Einblick in potenzielle Risiken und die Faktoren, die sie beeinflussen.
Herausforderungen bei der Erstellung und Messung neuer KRIs
Es reicht nicht aus, einfach KRIs zu erstellen und dann zu verschwinden. Ein gutes Risikomanagement setzt voraus, dass sie regelmäßig überwacht und überprüft werden, um Veränderungen in der Situation zu erkennen, die auf einen Wandel im Unternehmen hindeuten. Sie müssen auch auf Veränderungen des Risiko- und Bedrohungsniveaus überwacht werden, um eventuell erforderliche Abhilfemaßnahmen zu ermitteln und einzuleiten.
Herausforderungen bei der Entwicklung von KRIs ergeben sich in der Regel aus der Unfähigkeit einer Organisation, Folgendes zu tun:
- Genaue Informationen über die Organisation zu erhalten, die dazu dienen können, aufgabenkritische Aktivitäten zu identifizieren.
- Identifizierung von Risiken, Bedrohungen und Schwachstellen und anschließende Quantifizierung nach Wahrscheinlichkeit, Schweregrad und Auswirkungen.
- Die Unterstützung der Unternehmensleitung für die Verwendung von KRIs als Teil eines ERM-Programms sicherstellen.
- Realistische Verknüpfung kritischer Geschäftsattribute mit den wahrscheinlichsten Risikoszenarien.
- Erstellen Sie Metriken, die messbar und für die Geschäftsleitung verständlich sind.
- Führen Sie eine fortlaufende Aktivität zur Überwachung, Messung und Analyse von Veränderungen der Messgrößen ein.
- Festlegung von Maßnahmen, die bei Abweichungen von den KRI-Kennzahlen zu ergreifen sind.