Perfomance based risk management aan de hand van KRI en KPI

Performance based risk management

Veel organisaties hebben een beleid op het gebied van risk management en ze gebruiken vaak Excel of een web gebaseerde tool om geïdentificeerde risico’s met bijbehorende beheersmaatregelen vast te leggen en te beheren.

Er zijn echter maar weinig organisaties die een directe verbinding leggen tussen hun risk management activiteiten en de vastgestelde risico bereidheid. Een manier om dit te doen is om door middel van key performance indicators risico gerelateerde trends te identificeren en dit te integreren in de (maandelijkse) rapportagecyclus. Als men dit op de juiste manier doet, zal risk management meer toegevoegde waarde hebben. Je kunt dit “prestatie gericht” risk management noemen.

In deze context betekent ‘prestatie gericht’ dat de key performance indicators gekoppeld zijn aan de risicobereidheid via vooraf vastgestelde risicotoleranties. Deze indicatoren worden gemeten en periodiek geverifieerd om vast te stellen of ze de afgesproken toleranties bereiken of zelfs overschrijden. Op deze manier kijk je of het risico zich voordoet en zet je key performance indicators om in key risk indicators, ook wel afgekort tot KRI. Deze aanpak kan worden toegepast in vele industrieën alsook bij overheids- en non-profitorganisaties.

In dit artikel heb ik een pragmatische en eenvoudige manier uiteengezet om prestatiegericht risk management te implementeren. Grote organisaties zullen waarschijnlijk een op prestaties gebaseerde risicostrategie hebben en kunnen technieken gebruiken die geavanceerder zijn dan beschreven in dit artikel. Ik zou hier graag meer over leren en ik kijk uit naar je feedback. Andere bedrijven zijn misschien minder volwassen in hun risk management technieken, dus hopelijk is dit artikel nuttig voor hen.

Risk management: context

De organisaties waar ik prestatiegericht risk management introduceerde waren middelgrote bedrijven met ongeveer 300-1000 werknemers. Het risk management was bij deze bedrijven relatief nog niet erg volwassen en risk management gerelateerde activiteiten waren over het hele bedrijf verspreid. Een gecentraliseerde risicobeheerfunctie was niet altijd aanwezig. De bestaande risk management activiteiten waren voornamelijk gericht op ‘traditionele’ activiteiten zoals interne controle activiteiten en beperkte dynamische interactie en/of betrokkenheid bij de business.

COSO ERM

Mijn implementatiebenadering is meestal gebaseerd op het COSO ERM model uit 2004. Na het definiëren van de doelen en doelstellingen van de organisatie, heb ik in samenwerking met verschillende medewerkers (op basis van interviews, maar ook jaarverslagen, auditrapporten en incidentrapporten) een risico universum gemaakt met diverse interne en externe risico’s die de organisatie kunnen bedreigen. Daarnaast heb ik waarschijnlijkheids- en impactcriteria bepaald voor het beoordelen van de risico’s. Nadat ik het risico universum had gemaakt, heb ik verschillende workshops gehouden met managers van alle afdelingen om de meest relevante risico’s die binnen hun verantwoordelijkheidsgebied vielen te identificeren. Dit resulteerde in ongeveer 50 risico’s die als basis dienden voor de risk assessment met het management team of leadership team.

Deze risk assessment resulteerde in de top risico’s. Deze top risico’s werden verder geanalyseerd op grondoorzaken, gevolgen en mate van beheersing. Om meer interactieve bijeenkomsten te hebben, heb ik ‘mini-workshops’ georganiseerd met 2-3 medewerkers waar we de risico’s via MindMapping hebben geanalyseerd. MindMapping is een grafische manier om ideeën en concepten weer te geven. Het is een visueel denkinstrument dat je informatie structureert, wat helpt bij het beter analyseren, begrijpen en bedenken van nieuwe ideeën. Mijn ervaring is dat deze interactieve techniek veel meer informatie oplevert dan bijvoorbeeld een interview.

Na het opstellen van het risk en beheersing raamwerk op basis van het bovenstaande ben ik begonnen met de belangrijkste key risk indicators (KRI’s). Alles is gedocumenteerd in Excel, dus zowel het risico beheersing raamwerk als het KRI-dashboard zijn gebaseerd op Excel.

Belangrijk is dat dit artikel niet bedoeld is om de concepten te negeren die zijn beschreven in het onlangs uitgebrachte ‘COSO ERM – Integrating with strategy and performance’ uit 2017. Het is duidelijk dat deze editie van COSO inzoomt op de relatie tussen performance en risk management en het belang benadrukt van het overwegen van risico’s in zowel het strategiebepalende proces als in het aansturen van prestaties. Het doel van mijn artikel is meer om een praktische manier te bieden om prestatiemeting te koppelen aan risk management.

KRI’s en de relatie met Key Perfomance Indicators bij risk management

Zoals hierboven aangegeven, zijn de belangrijkste key risk indicators (KRI’s) in essentie performance indicators, maar gericht op risico’s en verbonden met de risicobereidheid van het bedrijf via risicotoleranties. In dit gedeelte zal ik uitleggen hoe ik de KRI’s heb bepaald en hoe ze zijn gebruikt. Ik zal ook enkele voorbeelden geven.

Ik ben ervan overtuigd dat het meest effectief is om methoden en technieken te gebruiken die al aanwezig zijn, in plaats van nieuwe methoden te bedenken en het wiel opnieuw uit te vinden. Dit geldt ook voor KRI’s. In een van de organisaties waar ik dit heb toegepast was het gebruik van Key Performance Indicators wijdverbreid. Ik ben begonnen met enkele top risico’s en ik heb vastgesteld welke KPI verband hield met het risico en ook als KRI kon dienen. In sommige gevallen moet de KRI uiteraard helemaal opnieuw worden bepaald wanneer er geen bijbehorende KPI beschikbaar is. Het bepalen van KRI’s moet altijd in nauwe samenwerking met de risico-eigenaar gebeuren, aangezien hij/zij uiteindelijk ook de eigenaar van de KRI zal zijn.

Na het vaststellen van de KRI in overleg met de risico-eigenaar, heeft de risico-eigenaar toleranties bepaald (die uiteraard in lijn moeten zijn met de risicobereidheid). Wanneer de risicobereidheid laag is, worden de toleranties zeer strikt vastgesteld en bij een hoge risicobereidheid zijn de toleranties groter. Je kunt ook de KRI waarde markeren wanneer het een norm overschrijdt of niet (eventueel met behulp van een stoplichtsysteem) en of het verhoogd of verlaagd is en een positieve of negatieve trend vertoont (afhankelijk van de KRI). Dit is een uitstekende manier om je risicobereidheid te operationaliseren en zeer concreet en tastbaar te maken.

Maak minigrafieken

Iedereen weet dat een beeld meer zegt dan duizend woorden. Daarom is het erg nuttig om je gegevens met een grafiek weer te geven. Op deze manier zijn trends gemakkelijk te herkennen. Wanneer je ook grafieken opneemt die de toleranties laten zien, kun je direct zien of de KRI een tolerantie overschrijdt.

Voorbeeld van een KRI risk management dashboard

De volgende afbeelding toont een voorbeeld van een KRI-dashboard. Het risico is (kwantitatieve) beschikbaarheid van personeel en de bijbehorende KRI is het verloop als percentage van het totale personeelsbestand. Zoals je kunt zien, is de tolerantie ingesteld op 10% (oranje) en 12% (rood), dit moet in overeenstemming zijn met de risicobereidheid van het bedrijf. De trend maand op maand laat zien dat de KRI het hele jaar onder de norm ligt, maar een zorgwekkende stijgende trend toont die zelfs in september de norm overschrijdt.

Maak de KRI’s uitvoerbaar

Om ervoor te zorgen dat dit proces echt een meerwaarde heeft en om praktische managementinformatie te creëren, is het cruciaal om een ​​conclusie en actie aan de KRI te koppelen. Op basis van de gegevens en de bijbehorende trend moet je zoeken naar grondoorzaken die de risicoblootstelling veroorzaken. Wanneer de trend de toleranties begint te overschrijden, is het belangrijk om, in samenwerking met de risico-eigenaar, passende maatregelen te bepalen om de risicoblootstelling weer binnen aanvaardbare toleranties te brengen. Het is belangrijk op te merken dat de hoofdverantwoordelijkheid voor het beheersen van het risico uiteraard bij de risico-eigenaar ligt.

Wie gebruikt KRI’s?

Het is belangrijk om je doelgroep te kennen. Het is duidelijk dat de risk manager een van de belangrijkste gebruikers van het KRI-dashboard is als onderdeel van zijn toezichthoudende rol met betrekking tot risico’s. Maar het is ook belangrijk dat het dashboard gedeeld wordt met het management en de Raad van Bestuur. Vooral managers hebben de primaire verantwoordelijkheid om op te treden wanneer risico’s de afgesproken normen overschrijden.

Hoe verzamel je data?

Een belangrijk onderdeel van KRI’s zijn de brongegevens. Als Key Performance Indicators al in gebruik zijn, zou dit eenvoudig moeten zijn. Je maakt dan gewoon gebruik van de gegevens die al zijn vastgelegd. Wanneer je KRI’s echter helemaal opnieuw bepaalt, kan dat behoorlijk tijdrovend zijn. Je moet met de risico-eigenaar afspreken waar en hoe je de brongegevens opvraagt. Soms zijn de gegevens gemakkelijk beschikbaar via een rapport dat al is verzonden, maar in andere gevallen moet men beginnen met het vastleggen van de gegevens.

Geleerde lessen bij deze vorm van risk management

Tijdens de implementaties van prestatiegericht risk management die ik heb uitgevoerd, waren er uiteraard altijd een aantal uitdagingen. Daaruit heb ik de volgende lessen geleerd:

  • Maak SMART, maar eenvoudige KRI’s: Uiteraard moeten KRI’s specifiek, meetbaar en tijdsgebonden zijn. Maar maak het niet te ingewikkeld, aangezien gebruikers het waarschijnlijk niet altijd zullen begrijpen en het moeilijk kan zijn om relevante gegevens vast te leggen.

  • Werk samen met de risico-eigenaar en de business: het creëren van een KRI-dashboard (net als het creëren van het volledige risicobeheersing raamwerk) is uiteraard niet de exclusieve verantwoordelijkheid van de risk manager. Dit moet gebeuren in nauwe samenwerking met de risico-eigenaren en de business. Zij zijn de experts in hun vakgebied en zijn het best in staat om bedreigingen, risico’s en verzwakte beheersmaatregelen te identificeren en daardoor waardevolle input te leveren. Meer betrokkenheid van de business vergroot ook het draagvlak en het bewustzijn voor het KRI-dashboard en risk management in het algemeen.

  • Maak duidelijke afspraken met degene die de data aanlevert: Zoals aangegeven is er zonder juiste brongegevens geen gebruik van KRI’s mogelijk. Als zodanig is het cruciaal om goede afspraken te maken met de mensen die je KRI-gegevens aanleveren over de timing en wijze van levering. Je KRI-dashboard moet op tijd worden afgegeven, dus ook je brongegevens.

  • Blijf uitleggen: het concept van KRI is misschien geen rocket science, maar voor sommigen kan het moeilijk te begrijpen zijn. Wanneer je dagelijks met risicobeheersing concepten werkt, vergeet je vaak dat de gebruikers van je rapporten en dashboard dat misschien niet doen, dus uitgebreide uitleg over de KRI’s is nodig.

  • Splits de KRI’s per Business Units of afdelingen: Soms is het handig om de KRI’s per afdeling of bedrijfseenheid te splitsen om meer inzicht te krijgen en om meer gedetailleerde informatie te verstrekken aan de verantwoordelijke manager. Dit is ook relevant wanneer je je KRI’s per Business Unit rapporteert.

  • Wijs risico- en KRI-eigenaren toe: eigenaarschap is cruciaal! Zonder eigenaarschap en verantwoording is de enige eigenaar van de KRI de risico manager, terwijl het jouw doel is om de organisatie te betrekken. Als het eigenaarschap onduidelijk is, is het ook moeilijk om de juiste brongegevens voor je KRI’s op te halen.

  • Integreer je KRI’s met periodieke rapporten: om ervoor te zorgen dat het onderdeel wordt van de normale bedrijfsvoering, moet je je KRI-dashboard met andere managementrapporten integreren. Dit zorgt voor voldoende aandacht voor je KRI’s en risk management in het algemeen.

  • Besteed voldoende tijd aan de toleranties: De KRI-toleranties operationaliseren je risicobereidheid. Het is van cruciaal belang om passende toleranties vast te stellen die de risicobereidheid van het bedrijf weerspiegelen, dus hou hier goed rekening mee. Om zinvolle toleranties in te kunnen stellen, kan het handig zijn om eerst de trend van je KRI te bepalen (hoewel dit natuurlijk niet altijd mogelijk is voor nieuwe KRI’s).

KRI’s in jouw organisatie

Met de hierboven uiteengezette aanpak is het interessant om te zien hoe andere organisaties prestatiegericht risk management zouden implementeren. Overweeg de belangrijkste risico’s in jouw organisatie en bepaal een goede KRI. Zoals besproken, probeer te gebruiken wat beschikbaar is, bijvoorbeeld een Key Performance Indicator die al is vastgelegd. Voeg er realistische toleranties aan toe en maak de KRI-trend zichtbaar door een grafiek te maken op basis van historische data.

 

Benieuwd hoe het gebruik van KPI’s en KRI’s uw organisatie kan helpen met performance-based risk management? INTERMEDIATE kan helpen. Met onze uitgebreide kennis kunnen we de juiste interim professional vinden om uw organisatie te adviseren en ondersteunen. Geïnteresseerd? Neem contact met ons op: intermediate.pro/contact.

 

Deze blog is geschreven door Remco Spruyt.

Ik ben adviseur op het gebied van risk management, internal audit en interne beheersing. Gedurende mijn carrière heb ik ervaring opgedaan bij Big Four-bedrijven en andere gevestigde bedrijven, altijd op de bovengenoemde gebieden. Sinds 2016 adviseer ik op interim organisaties over het verbeteren van hun risk management activiteiten en heb ik opdrachten uitgevoerd in verschillende branches, waaronder handel, productie en telecommunicatie. Ik heb ook bij pensioenfondsen en een toezichthouder voor de financiële sector gewerkt. Neem gerust contact met mij op voor meer informatie of als je specifieke vragen hebt en dit onderwerp verder wilt bespreken.