70% der Organisationen erlebten im vergangenen Jahr mindestens zwei kritische Risikoereignisse, während über 40% mindestens drei erlebten und fast 20% sechs oder mehr Vorfälle erlitten, laut einem Bericht von Forrester und Dataminr aus dem Jahr 2023.

Mit dem Anstieg des Unternehmensrisikos ist das Enterprise Risk Management (ERM) wichtiger denn je. Die Entwicklung von Key Risk Indikatoren, oder KRIs, kann das ERM stärken.

KRIs verfolgen das mögliche Auftreten bestimmter Risikoereignisse. Wenn sie ausgelöst werden, können sie das Management und andere Stakeholder auf eine potenzielle Bedrohung aufmerksam machen, die erhebliche Auswirkungen auf die Geschäftstätigkeit hätte, wie z. B. die Nichteinhaltung von Sicherheitsrahmenwerken wie SOC 2.®

Bereit, mehr zu erfahren? Unten gehen wir auf die Grundlagen von KRIs ein, wie man sie aufstellt und Tipps zum langfristigen Erhalt von KRIs.

Was sind Key Risk Indikatoren?

Key Risk Indikatoren (KRIs) sind eine Möglichkeit, Risiken, denen ein Unternehmen ausgesetzt sein könnte, proaktiv zu messen. Sie dienen als Frühwarnsystem für bevorstehende Krisen und geben dem Management einer Organisation Zeit, einen Aktionsplan zu erstellen, um die potenziellen Auswirkungen dieses Risikos zu mindern oder dessen Eintreten zu verhindern.

KRIs sind auch an die Risikobereitschaft gebunden, die eine Schwelle für das Risikolevel festlegt, das ein Unternehmen zur Erreichung seiner Ziele eingehen wird. KRIs können die Führung über bevorstehende Bedrohungen oder Schwachstellen informieren, die diese Schwelle überschreiten könnten.

KRIs sollen nicht jedes spezifische Risiko verfolgen, dem Ihr Unternehmen ausgesetzt sein könnte. Stattdessen sollen sie die wichtigsten Risikotypen verfolgen, die die primären Ziele und Prioritäten Ihres Unternehmens gefährden könnten.

Key Performance Indikatoren vs Key Risk Indikatoren

Sowohl Key Risk Indikatoren als auch Key Performance Indikatoren (KPIs) sind Metriken, die Unternehmen helfen, fundierte Entscheidungen zu treffen und genau für die Zukunft zu planen. KRIs und KPIs unterscheiden sich jedoch darin, was sie messen. Schauen wir uns diese beiden Metriken genauer an.

Key Performance Indikatoren

KPIs werden verwendet, um die Leistung des Unternehmens im Vergleich zu einem Ziel oder einer Zielvorgabe über einen bestimmten Zeitraum zu messen. Sie können zur Voraus- oder Rückschau verwendet werden, je nach Typ.

• Führende KPIs bewerten die Ergebnisse bestimmter Aktionen und Prozesse, um den Fortschritt eines Unternehmens bei der Erreichung seiner Geschäftsziele anzuzeigen. Beispiele sind die Kundenzufriedenheit und das prozentuale Wachstum in neuen Märkten.
• Nacheilende KPIs bewerten die Ergebnisse vergangener Maßnahmen und Prozesse, wie Produkteinführungen und Veranstaltungen, um festzustellen, ob das Unternehmen seine Ziele erreicht hat. Beispiele beinhalten den Jahresumsatz und das Wachstum der jährlichen Verkäufe.

Schlüssselrisikoindikatoren

KRIs werden verwendet, um potenzielle Risiken anzuzeigen, die die Fähigkeit des Unternehmens beeinträchtigen können, seine Kernziele zu erreichen. KRIs können einem Unternehmen helfen, seine KPIs zu erfüllen, indem sie bedeutende Risiken reduzieren, die den Geschäftsbetrieb und Wachstumsinitiativen gefährden können.

Zum Beispiel, wenn ein Unternehmen eine KPI zur Messung der IT-Systemleistung festlegt, könnte ein ergänzendes KRI die Anzahl der Systemausfall-Sicherungen oder kritischen Vorfälle messen. Wenn eines dieser KRIs seinen Schwellenwert überschreitet, könnten Interessengruppen alarmiert werden und hätten Zeit, das Risiko zu mindern, bevor die IT-Systemleistung beeinträchtigt wird.

Herausforderungen bei der Entwicklung von Schlüsselrisikoindikatoren

Während KRIs eine Vielzahl von Vorteilen bieten, einschließlich der Fähigkeit, die Risiken einer Organisation proaktiv anzugehen, stehen Unternehmen auch vor einer Reihe von Herausforderungen bei der Festlegung und Verfolgung von KRIs.

In einer kürzlich durchgeführten Umfrage während eines Webinars der CEOs von Nymro Clinical Consulting Services und Cyntegrity gaben 22% der Unternehmensleiter an, dass die Ermittlung der richtigen Methode zur Berechnung von KRIs ihre größte Herausforderung darstellt.

Weitere häufige Herausforderungen, denen Unternehmen bei der Nutzung von KRIs begegnen, sind:

• Das Versäumnis, KPIs mit KRIs zu verknüpfen
• Ineffiziente Verfolgung von KRIs aufgrund mangelnder Ressourcen oder Tools wie Automatisierung
• Schwierigkeiten beim Zugang zu objektiven qualitativen Daten zur Identifizierung von Risikotrends
• Keine Zuordnung von Maßnahmen zu Risikogrenzwerten

Wie man KRIs entwickelt

Bevor Ihr Unternehmen von KRIs profitieren kann, müssen Sie einige Vorarbeiten leisten. Wir führen Sie durch die Schritte zur Entwicklung von KRIs.

1. Verstehen Sie Ihre Hauptziele

Ein KRI ist eine Metrik zur Verfolgung des potenziellen Auftretens bestimmter Risikoevents, die sich nachteilig auf die Ziele Ihres Unternehmens auswirken.

Bevor Sie also effektive KRIs entwickeln können, ist es unerlässlich, dass Sie die wichtigsten Ziele Ihres Unternehmens verstehen. Zum Beispiel könnte ein Kernziel sein, die Gewinne durch Steigerung der Einnahmen und Senkung der Kosten zu erhöhen. Es gibt mehrere Risiken, die Sie diesem Kernziel zuordnen können, wie wirtschaftliche Abschwünge oder betriebliche Ineffizienzen.

2. Prioritätsrisiken identifizieren

Die Risiken, die die größte Bedrohung für Ihre Geschäftsziele darstellen und eine hohe Wahrscheinlichkeit haben, einzutreten und möglicherweise schädliche Auswirkungen zu haben, sind diejenigen, die Sie bei der Festlegung von KRIs berücksichtigen sollten.

Hier sind einige Möglichkeiten, relevante Risiken zu identifizieren:

• Führen Sie eine Risikobewertung durch, um die Risiken zu identifizieren, die die größten Auswirkungen auf Ihre Gesamtziele und erreichungen.
• Überprüfen Sie Ihr Risikoregister, um auf bestimmte Risiken aufmerksam zu werden, die schnellen Risikoänderungen unterliegen und daher von einer KRI-Vorwarnung profitieren könnten.
• Halten Sie Ihre wichtigsten Geschäftsziele im Vordergrund, wenn Sie Ihre KRIs entwerfen. Dies hilft Ihnen, die wichtigsten Risiken zu priorisieren.
• Berücksichtigen Sie Risiken, die oberhalb oder unterhalb Ihrer Risikotoleranz-Schwelle liegen, da diese wahrscheinlich eine zusätzliche Überwachung benötigen.
• Führen Sie ein internes Audit durch, um Ihre internen Kontrollen nach einem Rahmenwerk zu bewerten, während Sie sich auf die Audit-Bereitschaft vorbereiten.

3. Auswahl der KRIs

Es gibt zwei Hauptmethoden zur Auswahl von KRIs: Top-down- und Bottom-up-Ansätze.

• Top-down-Ansatz: Die Führungsebene wählt KRIs für die gesamte Organisation aus. Dieser Ansatz kann hilfreich sein, um sich an strategischen KPIs auszurichten und kann das Verständnis der Organisation für die Auswirkungen von Risiken und deren Einfluss auf Geschäftsziele fördern.
• Bottom-up-Ansatz: Geschäftseinheiten in der gesamten Organisation wählen und überwachen KRIs, die ihren operativen Prozessen zugeordnet sind. Der Bottom-up-Ansatz stellt sicher, dass Risiken auf einer granularen Ebene verfolgt werden und fördert die Akzeptanz in den Abteilungen.

Unabhängig davon, ob Sie sich für einen Top-down- oder Bottom-up-Ansatz entscheiden, können Sie nach der Identifizierung der wichtigsten Risiken mit der Gestaltung von KRIs beginnen. Für anfängliche KRIs kann es hilfreich sein, mit zwei oder drei Indikatoren für Ihre wichtigsten Risiken klein anzufangen.

Wenn Sie KRIs einrichten, halten Sie es einfach, indem Sie sich auf Ihre Prioritätsrisiken konzentrieren. Ziehen Sie relevante Fachleute aus Ihrer Organisation hinzu, um einige wichtige Indikatoren zu identifizieren, die Ihnen helfen, Risiken richtig zu verfolgen.

Denken Sie daran, dass die Hauptmerkmale eines guten KRI sind:

• Messbar: KRIs sind durch Prozentsätze, Zahlen usw. quantifizierbar.
• Prädiktiv: KRIs können als Frühwarnsystem verwendet werden.
• Informativ: KRIs werden verwendet, um Entscheidungen zu beeinflussen.
• Vergleichbar: KRIs können intern und mit Branchenstandards verglichen werden.

4. Festlegung von Schwellenwerten für KRIs

Sobald Sie KRIs identifiziert haben, legen Sie obere und untere Toleranzwerte fest, um jedes Risiko zu verfolgen. Jedes Mal, wenn ein Risiko diese Akzeptanzschwellen überschreitet, sollten Sie wichtige Stakeholder benachrichtigen und Folgeaufgaben zur Minderung des Risikos zuweisen.

Diese Toleranzwerte können geändert werden, wenn Daten erfasst werden, sodass Sie nicht zu viel Zeit damit verbringen sollten, sie anfangs zu perfektionieren. Zu Beginn können Sie Branchenstandards oder interne Kriterien verwenden, um sie festzulegen und sicherzustellen, dass sie von Ihrem Vorstand oder anderen wichtigen Führungskräften genehmigt werden.

Wenn Sie sich sicher sind, dass die Daten von Ihren anfänglichen Indikatoren korrekt erfasst werden, können Sie das KRI-Programm auf verschiedene Geschäftsbereiche ausweiten.

5. KRIs im Laufe der Zeit beibehalten

Sobald KRIs implementiert sind, müssen sie regelmäßig überwacht und verfolgt werden, sei es in Echtzeit oder mit vierteljährlichen Überprüfungen.

Automatisierung kann diesen Prozess vereinfachen, aber Sie können auch in Betracht ziehen, wichtige Personen zu benennen, die bestimmte Indikatoren manuell verfolgen, wenn dies für Ihre Organisation sinnvoll ist.

Zusätzlich können Sie die ersten Datenerhebungsperioden verwenden, um zu überprüfen, ob Ihre Risikogrenzwerteinstellungen korrekt sind. Dies wird dazu beitragen, sicherzustellen, dass zukünftige Warnungen korrekt konfiguriert sind und Fehlalarme vermieden werden.

Es ist wichtig, alle risikobezogenen Vorkommnisse im Zusammenhang mit Ihren KRIs zu dokumentieren und zu melden. Dies sollte einen formellen Prozess beinhalten, um die Führungsebene zu benachrichtigen, wenn die Indikator-Toleranzniveaus hoch sind.

Beispiele für Schlüsselrisikoindikatoren

Während Sie KRIs auf jeden Aspekt Ihres Unternehmens abbilden können, umfassen die gängigen KRI-Typen betriebliche, finanzielle, technologische und personalbezogene Indikatoren.

Betriebliche KRIs

Betriebliche KRIs stehen in engem Zusammenhang mit dem betrieblichen Risiko. Beispiele umfassen:

• Prozessineffizienzen
• Interne Ausfälle
• Führungswechsel

Finanzielle KRIs

Finanzielle KRIs werden häufig von Banken und CPA-Firmen verwendet. Beispiele umfassen:

• Wirtschaftlicher Abschwung
• Regulatorische Änderungen
• Übernahmen
• Budgetänderungen

Technologische KRIs

Technologische KRIs werden von Unternehmen branchenübergreifend verwendet. Beispiele umfassen:

• Systemausfälle
• Vorfälle mit Datenverletzungen
• Regulatorische Änderungen

Personal-KRIs

Diese KRIs werden häufig von Personalabteilungen oder Unternehmen, die sich mit Personalvermittlung und -rekrutierung befassen, verwendet. Beispiele umfassen:

• Hohe Fluktuation
• Geringe Mitarbeiterzufriedenheit
• Geringe Recruiting-Konversionsrate

Cybersecurity-KRIs

Cybersecurity-Schlüsselrisikoindikatoren können von jedem Unternehmen verwendet werden, um das Cybersecurity-Risiko zu messen, zu überwachen und zu managen. Cybersecurity-Risiko bezieht sich auf den Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen, Daten oder Informations- (oder Steuerungs-)Systemen als Ergebnis digitaler Angriffe. Beispiele umfassen:

• Anzahl von Cybervorfällen
• Anzahl exponierter Datensätze
• Cyber-Vorfallreaktionszeiten

Informationssicherheits-KRIs

Informationssicherheits-KRIs können von jedem Unternehmen verwendet werden, um das InfoSec-Risiko zu messen, zu überwachen und zu managen. InfoSec-Risiko ist das Risiko für organisatorische Abläufe, organisatorische Vermögenswerte und Einzelpersonen aufgrund der potenziellen unbefugten Zugriff, Nutzung, Offenlegung, Störung, Veränderung oder Zerstörung von Informationen und/oder Informationssystemen. Beispiele umfassen:

• Gescheiterte Anmeldeversuche
• Prozentsatz der verwendeten Systeme, die nicht mehr unterstützt werden
• Zunahme der Angriffe auf Firewalls

AML-KRIs

Anti-Geldwäsche-Schlüsselrisikoindikatoren werden häufig von Finanz- und anderen regulierten Instituten verwendet, um ihnen zu helfen, AML- und Anti-Terrorismus-Finanzierungsgesetze einzuhalten. Beispiele umfassen:

• Größe des Unternehmens
• Anzahl der Transaktionen
• Standort
• Arten von Produkten und Dienstleistungen, die an Kunden verkauft werden
• Kundentyp

Schlüsselrisikoindikator-Vorlage

KRIs sind ein wichtiges Instrument des betrieblichen Risikomanagements zur Risikoidentifikation und Risikominderung. Da Sie nun verstehen, wie man Schlüsselrisikoindikatoren entwickelt, ist es an der Zeit, Ihre eigenen KRIs zu erstellen. Wir haben diese einfache KRI-Vorlage erstellt, um Ihnen zu helfen, die Risiken Ihres Unternehmens zu durchdenken.

Ihr Unternehmen besser auf die Zukunft vorbereiten mit KRIs

Die Etablierung von KRIs ist ein wichtiger Aspekt jeder unternehmensweiten Risikomanagementstrategie.

Schlüsselrisikoindikatoren sind ein unschätzbares Werkzeug für zukunftsorientierte Unternehmen, um ihr Risikoprofil vollständig zu verstehen, bevorstehende Bedrohungen zu managen und schnell zu handeln, um potenzielle Störungen zu mildern.

Sie können auch leicht auf Sicherheitsstandards und gesetzliche Anforderungen abgebildet werden, um Ihrem Unternehmen zu helfen, den Rahmenwerken wie SOC 2 und HIPAA compliant zu bleiben.

Die Implementierung von KRIs ist nur einer der Ansätze, um Risikoprävention in Ihr Unternehmen zu integrieren. Wir haben eine visuelle Anleitung erstellt, um Ihr Unternehmen dazu zu inspirieren, einen risikoorientierteren Sicherheitsansatz zu übernehmen.