ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Helhetlig og Integrert RisikoLedelse(HIRL) = ERM
ERM-Praksis – Andre praktiske moduler-
Modul KPIer og KRIer
ERM-Praksis
Proaktiv ERMFor mer om proaktiv risikostyring trykk linken. ERM og organisasjonenFor mer om ERM og organisasjonen trykk linken. Mål og strategierFor mer om mål og strategier trykk linken. ERM-planFor mer om ERM-planen trykk linken. ERM-kontekstFor mer om ERMkonteksten trykk linken. ERM-kategorierFor mer om Risikokategorier trykk linken. ERM og overvåkingFor mer om ERM og overvåking trykk linken. ERM og kommunikasjonFor mer om ERM og kommunikasjon trykk linken. ERM-iverksettelsestipsFor mer om ERM-iverksettelsestips trykk linken.
Forskjellige praktiske moduler/guiderFor mer om de forskjellige modulene trykk linken. |
ERM-Praksis –
Forskjellige praktiske ERM-moduler/-guider
ERM-Praksis – Andre praktiske moduler –
Modul KPIer og KRIer
Innholdsfortegnelse:
1. Key Performance Indicators (KPIer) 1.1 Hva er en Key Performance Indicator? 1.2 Fordelene ved å måle Key Performance Indicators (KPIer) 1.3 Key Performance Indicators (KPIer) og Critical Sucess Factors (CSFer) 1.4 Å fastsette Key Performance Indicators (KPIer) og Critical Success Factors (CSFer)- kritiske suksessfaktorer 1.5 Visuelle Key Performance Indicators (KPIer) 1.6 Eksempler på Key Performance Indicators (KPIer)2. Key Risk Indicators (KRIer) 2.1 Hva er Key Risk Indicators (KRIer)? 2.2 Hva kjennetegner gode KRIer? 2.3 De viktigste typene av KRIer 2.4 Er KRIer et nytt konsept? 2.5 Hvordan differensieres KRIer fra KPIer? 2.6 Hvorfor bruke Key Risk Indicators (KRIer)? 2.7 Typer av Key risk indikatorer (KRIer) 2.8 Noen eksempler på Key Risk Indicators (KRIer) 2.8.1 Andre 2.9 Etablering av retningslinjer for KRIer 2.9.2 Hvilke utviklingshensyn? 2.10 Etablere et system for tidlig varsling 2.11 Nøkkel suksessfaktorer 2.12 Fordeler og ulemper 2.12.1 Fordeler 2.12.2 Ulemper 2.13 Oppsummering 3. Utvikle og implementere Key Risk Indicators og ERM-rapportering
4. Hvordan Key Risk Indicators kan skjerpe fokuset
|
Key Risk Indicators (KRIer) fungerer som ”føre var” signaler som angir hvordan risikoen sannsynligvis vil påvirke forretningsresultater.
Key Risk Indikators (KRIer) er beregninger som brukes av ledelsen til å vise hvor risikabel en aktivitet er. For eksempel et prosjekt eller en investering. De kalles nøkler fordi de advarer mot de mest åpenbare områdene der problemer kan oppstå. KRIer hjelper til med å flagge advarsler om en mulig negativ påvirkning som følge av en aktivitet i fremtiden.
I kontrast er Key Performance Indicators (KPIer) prestasjonsberegninger utformet for å rapportere resultater når hendelser allerede har skjedd.
Begge er kraftige verktøy, men KRIer har fordelen av å være mer fremtidsrettet og gir en indikasjon på handling som må tas.
KRIer og KPIer bør utfylle hverandre, men begge er justert etter den strategiske visjonen til organisasjonen og med KRIer samlet inn på et mer regelmessig grunnlag for å gi ledelsen varsler før noen risiko utvikler seg til å bli et problem.
1 |
Key Performance Indicators (KPIer)? |
1.1 Hva er en Key Performance Indicator?
En nøkkelprestasjonsindikator er en finansiell og ikke-finansiell måling som brukes for å hjelpe en organisasjon til å måle fremgangen mot et stadfestet organisatorisk mål eller målsetting.
1.2 Fordelene ved å måle Key Performance Indicators (KPIer)
|
1.3 Key Performance Indicators (KPIer) og Critical Sucess Factors (CSFer)
Critical Success Factors (CSFer) – kritiske suksessfaktorer blir brukt i betydelig grad for å presentere eller identifisere viktige faktorer organisasjonen bør fokusere på for å være vellykket. Som en definisjon, refererer kritiske suksessfaktorer til «det begrensede antall områder hvor tilfredsstillende resultater vil sikre en vellykket konkurransedyktig prestasjon for den enkelte, en avdeling eller organisasjon».
|
En kritisk suksessfaktor (CSF) er noe som må være på plass for å oppnå dette målet, for eksempel lansering av et nytt produkt eller tjeneste.
For eksempel:
KPI = Antall nye kunder.
CSF = Installasjon av et callsenter for å håndtere kundene.
En plan skal være utformet og implementert på en måte som vurderer/måler et miljø for vekst og lønnsomhet, samt tar hensyn til følgende typiske kritiske suksessfaktorer:
|
1.4 Å fastsette Key Performance Indicators (KPIer) og Critical Success Factors (CSFer)- kritiske suksessfaktorer
Selv om det kan være mange kritiske suksessfaktorer i en organisasjon, er sjansene store for at det kun er en eller to i hver avdeling.
Antallet Key Performance Indicators (KRIer) kan konstant bli produsert i hele organisasjonen. De organisasjonene med størst suksess avgrenser KPIer til en håndfull.
KPIer er målbare prestasjonsmål. Dette innholder spørsmålet «Hvor mange mål bør en organisasjon ha?». Mens det er mye debatt om dette, er en ting kjent, enkeltpersoner synes å bli mindre effektive når de prøver å sjonglere med mer enn 10. Det er ofte sagt at 7 er optimalt. Så hvis syv er optimal, kan da en leder virkelig håndtere mer enn 20 KPIer?
Mange hevder at for å være effektive, bør ikke noen del av organisasjonen ha mer enn mellom 5 og 8 KPIer.
1.5 Visuelle Key Performance Indicators (KPIer)
En Key Performance Indicator (KPI) kan effektivt brukes som en visuell indikator som kommuniserer mengden av framgangen mot et mål. Bruk av instrumentbord, intranett sammendragssider og grafikk.
Ved å bruke grafiske fremstillinger av KPIer kan organisasjonen enkelt visualisere svarene på følgende typer spørsmål:
|
1.6 Eksempler på Key Performance Indicators (KPIer)
Typiske Key Performance Indicators inkluderer:
|
Eksempel på personalavdelingens Key Performance Indicators (KPIer)
|
2 |
Key Risk Indicators (KRIer) |
De fleste organisasjoner finner utviklingen av effektive KRI å være en sentral utfordring. I finansinstitusjoner finnes det mange kredittrisikoer- og markedsrisikoindikatorer, mange med rammer fastsatt innenfor eksisterende økonomiske lovgivning. Imidlertid å sammenfatte disse dataene og utvikle operasjonelle risikoindikatorer er ikke lett.
Omvendt kan andre organisasjoner fra andre bransjer være i besittelse av en masse forretningsmessig- og kvalitativ informasjon som de har fått gjennom balansert målstyring og kvalitetsinitiativer. Imidlertid ligger deres vanskeligheter i å utvikle KRIer for
finansiell eller teknologisk risiko.
Alle selskapene har den vanskelige oppgaven med å utvikle en KRI som kan gi effektiv og tidlig varsling om potensielle fremtidige problemer. Det er på området for prognostisering av tap som KRI mest sannsynlig kan gi fortjeneste, men de fleste organisasjoner har ennå ikke mestret teknikken med å sette opp effektive KRI systemer som kan gjøre dette.
KRIer forutser ikke bare dommedagsprofetier ved enhver anledning, men kan også gi tilbakemelding på områder for forbedring. Å ha nyttig og aktuell informasjon til rådighet kan gjøre underverk med å generere ideer om hvordan du kan forbedre organisasjonen og nå målsettingene.
2.1 Hva er Key Risk Indicators (KRIer)?
|
2.2 Hva kjennetegner gode KRIer?
|
2.3 De viktigste typene av KRIer
|
2.4 Er KRIer et nytt konsept?
|
2.5 Hvordan differensieres KRIer fra KPIer?
|
2.6 Hvorfor bruke Key Risk Indicators (KRIer)?
|
2.7 Typer av Key risk indikatorer (KRIer)
Key risk indikatorer omfatter forskjellige typer målinger.
KRIer kan deles inn i seks ulike kategorier:
|
2.8 Noen eksempler på Key Risk Indicators (KRIer)
|
2.8.1 Andre
|
2.9 Etablering av retningslinjer for KRIer
2.9.1 Hvordan utvikle KRIer?
|
2.9.2 Hvilke utviklingshensyn?
2.10 Etablere et system for tidlig varsling
|
2.11 Nøkkel suksessfaktorer
|
2.12 Fordeler og ulemper
2.12.1 Fordeler
|
2.12.2 Ulemper
|
2.13 Oppsummering
|
Men fremfor alt:
|
3 |
Utvikle og implementere Key Risk Indicators og ERM-rapportering |
Implementering av KRIer i organisasjonen krever noen refleksjoner for å gjøre prosessen meningsfull og bidra til suksess.
Nøkkelen er å identifisere, kontrollere, samle og, aller viktigst, koordinere det hele.
Identifisere: Hvilke strategier er justert etter organisasjonens mål og stimulerer organisasjonen videre? Hvilke økonomiske data har organisasjonen allerede som kan være sammenstilt og oppsummert. Hvilke data som ikke er av finansiell art kan høstes? Samle og bekrefte (verifisere): Hvor pålitelige er dataene? Trenger innsamlingsmekanismene å bli oppgradert eller bli håndhevet gjennom bedre IT- systemer eller bedre opplæring av de ansatte? Koordinere/sammenfatte: Hvilke data er mer meningsfulle når de kombineres med annen data? Kan disse samles i en enkel “trafikklys” (rød, gul, grønn) rapport som angir en oppfordring til at handling er nødvendig? ”Trafikklys” rapportering er en effektiv metode for KRI overvåking. Den gir sammenslåing av data i en nøkkelrapport til ledelsen. KRIer blir flagget rødt, oransje eller grønt for å angi resultatene som er oppnådd/ikke oppnådd og/eller den tidsmessige respons som kreves. Kvaliteten på KRIer er også viktig. Risikoindikatorer er i sin natur indikatorer. De kan være proaktive tegn på potensielle problemer som krever undersøkelse, eller reaktive tegn på at risikoen er blitt virkelighet og bør bli håndtert umiddelbart. KRIer kan bare være nyttige hvis de er presise og aktuelle. Tross alt er det ikke vits å følge opp en risiko som egentlig ikke er der, eller når den har allerede har snudd fra å være en risiko til å bli et problem. |
3.1 Rollen til risikomåling og rapportering i ERM
Et av de viktigste formålene med ERM er å fremme åpenhet om risikoer og muligheter, både i form av intern og ekstern rapportering. Å etablere et robust ERM-måle-og rapporteringssystem er derfor avgjørende for ERM-suksess. Det gamle ordtaket «det som blir målt blir administrert” gjelder også i ERM. Implementeringen av ERM som en prosess involverer kjerneprosessen:
3.1.1 Trinn 1: Å fastlegge ERM-konteksten
Først må organisasjonen etablere et sundt grunnlag for hele ERM-programmet:
|
Styret og ledelsen gir det som ofte omtales som «tonen fra toppen«. Dette inkluderer å utvikle et ERM rammeverket, tildeling av tilstrekkelige ressurser, og engasjere seg i risikopolicy diskusjoner. Organisasjonens risikoappetitt blir også klart definert i risikopolicyer og grenseverdier (toleransegrenser). Utdanning og læring er en annen viktig komponent, som inkluderer opplæringsprogrammer og organisatoriske prosesser som deler beste praksis og ”leksjoner lært”. For å motivere til ønsket atferd, bør insentivsystemer inneholde effektiviteten av ERM-programmet og risikojusterte lønnsomhetsberegninger.
3.1.2 Trinn 2: Kjerneprosessen (risikoidentifisering, risikoanalyse, risikoevaluering, risikotiltak og risikorapportering)
ERM-prosessen bør integrere ulike risikovurderinger for å utvikle en omfattende tilstand. ”Top-down” risikovurderinger av strategisk og forretningsmessig risiko. De kan bli hentet fra ledergruppen gjennom én-til-en intervjuer og/eller lettere gruppediskusjoner. ”Bottom-up” risikovurderinger av finansiell og operasjonell risiko kan utvikles gjennom standardiserte maler eller programmer. I tillegg bør risikovurderingene fra uavhengige kilder – revisorer og reguleringsmyndigheter – inngå i den samlede beholdningen. Merk at den informasjon som er utviklet i vurderingsfasen (risikoidentifisering, risikoanalysering og risikoevaluering og prioritering) i stor grad er subjektiv og kvalitativ av natur.
Når det gjelder risikotiltak, målinger, beregninger og rapportering så er det i disse trinnene mer objektiv og kvantitativ informasjon som blir utviklet. Informasjonen omfatter sentrale risikoindikatorer (KRIer) for forretningsmessig risiko, kredittrisiko, markedsrisiko og operasjonell risiko. For å vurdere trender og nivåer, blir disse KRIene sporet opp imot policygrenser (toleransegrenser). For eksempel innen markeds- og kredittrisikoeksponering, eller prestasjonskrav innen toleranse for feil, eller nedetid for IT- systemer. Eksterne data bør også være integrert for å gi ytterligere kontekst for interne KRIer. Eksterne data kan inkludere rentetrender, konkurrerende eller bransjesammenligningsdata Til slutt blir ERM-rapporteringen gitt til ledelsen og styret, samt eksterne interessenter gjennom regulatoriske registreringer og offentlige dokumenter.
3.1.3 Trinn 3: Risikoredusering – håndtering og overvåking
Den viktigste fasen av ERM er risikoredusering, dvs. håndtering og overvåking. Dette inkluderer løsningen på viktige problemer. Dessuten må ERM-programmet være verdiskapende for å ha innvirkning på beslutningsprosessen som øker den risikojusterte lønnsomheten i organisasjonen. ERM-programmet – inkludert produktenes prissetting, kundeadministrasjon, forretningsutvikling, forvaltning av kapital, og risikotransfer, integrerer ERM og sentrale pådrivere for organisasjonens prestasjon. Det overordnede målet er å ta mer informerte beslutninger basert på ERM. Disse beslutningene kan inkludere og redusere risikotoleransen (-grensen). Under vanskelige markedsforhold kan den implementere en exit- strategi for å minimalisere tap på en dårlig investering, eller bidra med mer kapital til en attraktiv organisasjon med attraktiv risikojustert lønnsomhet.
Disse tre stadiene av ERM-prosessen bør ikke settes i verk på en sekvensiell måte for hele organisasjonen. En sekvensiell tilnærming der et selskap bruker det første året til å etablere ERM grunnlaget (konteksten), andre året til å identifisere, analysere og evaluere risikoene, er både uproduktivt og uhåndterlig. For eksempel har noen organisasjoner brukt et år eller mer på å gjennomføre risikovurderinger (risk assesment; identifisering, analyse, evaluering og prioritering) før utviklingen av KRI. I mellomtiden kan de kvalitative risikovurderinger (risk assesment) ikke valideres med kvantitative data, og oppgaven med å utforme KRI for hundrevis av identifiserte risikoer og prosesser er skremmende. Ledelsen bør i stedet fokusere på organisasjonens mest kritiske risikofaktorer og anvende den generelle ERM-prosessen til dem. En annen tilnærming er å starte med slutten, og først bestemme hvilke typer beslutninger og handlinger som ERM-prosessen må støtte. Derfra kan ledelsen arbeide bakover og utvikle de aktuelle KRIer, ERM-konteksten, kjerneprosessen og risikoreduksjon, risikohåndtering og oppfølging.
3.2 Kilder og karakteristika for effektive Key risk indicators (KRIer)
Utviklingen av effektive KRIer er en viktig utfordring for de fleste organisasjoner. Finansinstitusjonene har som regel en overflod av kredittrisiko- og markedsrisikoindikatorer, men de blir utfordret i å aggregere disse dataene samt utvikle operasjonelle risikoindikatorer.
På den andre siden har ikke-finansielle institusjoner betydelige forretnings- og kvalitets- informasjon, hentet fra balansert målstyring og kvalitetsinitiativer, imidlertid har de store utfordringer med å utvikle KRIer for finansiell risiko eller teknologi risiko. Alle organisasjoner står overfor utfordringen med å utvikle nøkkelindikatorer som effektivt kan gi ”føre var” varsler om potensielle fremtidige tap Mens utviklingen av effektive KRIer er en betydelig utfordring, er det noen lett tilgjengelige kilder som KRIer kan utledes ifra.
Gitt de ulike kilder for KRIer bør målet være å utvikle et høy kvalitativt sett med KRIer, snarere enn et stort antall KRIer.
Disse kildene inkluderer:
|
Nedenfor er noen viktige kjennetegn ved effektive KRIer:
|
3.3 ERM-rapportering – viktige spørsmål og attributter/egenskaper
Over tid kan en organisasjon utvikle hundrevis eller kanskje tusenvis av KRIer og risikovurderinger. Da står organisasjonen overfor en annen utfordring – utvikling av et effektiv ERM-rapporingssystem. Ved utforming av format og innhold av en ERM-rapport, og funksjonaliteten til et ERM-rapporteringssystem, er det viktig å starte med å se på de fem grunnleggende spørsmålene som et ERM-rapporteringssystemet skal adresse:
|
For en typisk organisasjon, kan det ta dager, uker eller måneder å besvare disse spørsmålene for organisasjonen som helhet. Det grunnleggende problemet er at selv i 2015 er dagens tilnærminger til risikorapportering en «risikomåling av siloer«, der ledelsen er utstyrt med statiske rapporter som gir risikoinformasjon for ulike risikoer separat. Dessuten krever statiske rapporter betydelig manuelt arbeid, noe som resulterer i mer dataproblemer og mindre tid til risikoanalyse og håndtering og overvåking.
Med et effektivt og dynamisk ERM-rapporteringssystem, må ledelsen være i stand til å svare på alle fem av disse spørsmålene i løpet av femten minutter. Et ERM-rapporteringssystem bør gi ledelsen en rapportering om kritiske risikoer og muligheter for hele organisasjonen, og en detaljoversiktrapport slik at alle viktige risikoer og muligheter kan overvåkes samtidig.
De viktigste egenskapene til et ERM-rapporteringssystemet omfatter:
|
3.4 ERM- implementeringen – Unngå vanlige fallgruver
Tidligere begynte de viktigste spørsmålene som toppledere spurte vedrørende ERM med hva. Hva er ERM (helhetlig og integrert risikoledelse)? Hva er beste praksis? Hvilke spesifikke bransjekrav?
I dag begynner de viktigste spørsmålene med hvordan. Hvordan implementere et ERM-program? Hvordan utvikle konkrete ERM-verktøy? Hvordan integrere ERM i forretningsprosesser?
I ERM-implementeringen er det fem grunnleggende fallgruver som organisasjonene bør unngå.
Disse fallgruvene, og strategier for å overvinne dem, er som følger:
|
3.5 Sjekkliste for handling
Noen av ressursene nedenfor kan være nyttige i å hjelpe til med å lage organisasjonens egen KRI liste.
|
3.6 Hva organisasjonen bør gjøre og ikke bør gjøre
3.6.1 Bør gjøre
|
3.6.2 Ikke bør gjøre
|
3.7 Rollen til KRIer i ERM
Key Risk Indicators (KRIer) spiller en avgjørende rolle i ethvert ERM- rammeverk. Et verktøy for å overvåke kontroller, risikodrivkrefter og eksponeringer kan gi innsikt i potensielle risikohendelser. For eksempel der egenvurderinger regelmessig blir benyttet til å identifisere risikoer og kontroller, kan KRIer overvåke dem i regelmessige intervaller. KRIer kan også være et middel til å uttrykke risikoappetitt. KRIers mest praktiske formål er i forbindelse med et system av toleranseterskler (toleransegrenser), når en KRI viser til brudd med den tilhørende toleranseterskelen (grenseverdien), og det utløser en gjennomgåelse, eskalering eller handling fra ledelsens sin side.
Som hovedregel bør KRIer overvåkes tettere i de daglige operasjonene enn i de høyere delene av ledelsen. I mangel av noen større risikoendringer kan månedlige sammendrag av de viktigste tiltakene være tilstrekkelig som en oppdatering av risikoprofilen til ledelsen. Dette er imidlertid lettere sagt enn gjort, og en av de aktuelle utfordringer for operasjonell risikoledelse er hvordan organisasjonen kan strukturere rapportering til ledelsen slik at den kan være så nyttig som mulig. Spesielt der KRIer er bekymringsfulle, er de fleste beregninger forretningsmessig spesifikke eller prosessorienterte og vanskelig å aggregere. Selv beregninger som er felles for mange områder i en organisasjon, for eksempel omsetning, opplæring og andre personalmessige beregninger, kan spore risiko bra i relativt små driftsenheter, men spores svært dårlig når det måles på organisasjonsnivå.
3.8 Forretningsverdien av KRIer
Ingen organisasjon vil gjøre en fremtidsrettet vurdering av sine kvartalsvise finansielle data ut ifra én dags omsetning. På samme måte må organisasjoner innse at spådommer om risiko ikke kan være basert på en enkelt statisk beregning. Organisasjonsenheter må forstå at beregning/måling av risiko er en langsiktig prosess, og at operasjonell risiko bare kan måles ved hjelp av et langsiktig perspektiv.
Å forsikre seg om at organisasjonsenheter forstår hvordan arbeid med KRIer foregår vil hjelpe dem med å ta en proaktiv tilnærming med håndteringen av risiko og mulighet samtidig som det gir bedre data til støtte i beslutningsprosessen. KRIer skal bistå organisasjonen i å identifisere hull i kontrollfunksjonene som ikke presterer som forventet, inkludert nødvendige tildeling av menneskelige og andre ressurser.
4 |
Hvordan Key Risk Indicators kan skjerpe fokuset |
4.1 Innledning
Styrene har blitt mer bevisst på sitt ansvar knyttet til effektivt tilsyn av ledelsens gjennomføring av ERM-prosessen og ORM-prosessene. Dette skyldes delvis betydelig ytre press som nylig har utviklet seg, som presser på et ERM-system og tilsyn med oppside/ nedside risiko i forkant av mange styrers agenda og ledelsens handlingsplaner. For eksempel, New York Stock Exchange fattet i 2004 reglene for ledelsen som krevde revisjonskomiteer for børsnoterte bedrifter på New York børsen for å kontrollere ledelsens tilsynsprosesser med hensyn til oppside/nedside risiko.
I 2008 begynte Standard & Poor’s eksplisitt å vurdere organisasjonens ERM-system og ERM-prosess i sytten nye næringer, som en ekstra komponent av deres kredittverdighetsanalyse. I 2009 utvidet ”The Securities and Exchange Commission (SEC)” fullmakts- og åpenhetsplikter for å øke informasjonen til investorer om styrets rolle i tilsyn/oversyn med oppside/nedside risikoer.
Federal Financial Reform lover fra 2010 gir nå mandater til komiteer for oppside/nedside risiko for styrer av finansinstitusjoner og andre enheter overvåket av Federal Reserve.
Mange organisasjoner omfavner en ERM-tilnærming for å overvåke oppside/nedside risikoer og ledelsesteam leder denne innsatsen ved å bruke rammeverk som f.eks. ISO:31000:2009 og COSO’s 2004 Enterprise Risk Management – Integrated Framework (COSO ERM Framework), til å hjelpe dem i styrke sin ERM-prosess og sine ORM-prosesser
Mange organisasjoner søker å utvikle en ERM-prosess som gir ledelsen og styret rik informasjon om potensielle hendelser som kan påvirke organisasjonen, spesielt oppside/ nedside risikoer, som de kan overvåke fortløpende. Mens de fleste organisasjoner overvåker en rekke nøkkelindikatorer (KPIer), gir ofte disse indikatorene innsikt om hendelser som allerede har berørt organisasjonen. I økende grad ser styret og toppledelsen etter å utvikle beregninger eller indikatorer som bidrar til bedre å overvåke potensielle fremtidige endringer i forhold som påvirker risikoene/mulighetene eller nye framvoksende oppside/nedside risikoer, slik at ledelsen og styrene er i stand til mer proaktivt å identifisere potensielle konsekvenser for organisasjonens portefølje av oppside/nedside risiko. Ved å gjøre det slik, gjør dette ledelsen og styret i stand til å være i en bedre posisjon til å håndtere hendelser som kan oppstå i fremtiden på et mer betimelig og strategisk grunnlag. Denne sistnevnte type målinger eller indikator er ofte omtalt som Key Risk Indicators (KRI)
4.2 Å skille Key Performance Indicators (KPIer) fra Key Risk Indicators (KRIer)
Det er viktig å skille nøkkelprestasjonsindikatorer (KPIer) fra nøkkelrisikoindikatorer (KRIer). Både toppledelsen og styret gjennomgår regelmessig summerte data som inkluderer utvalgte nøkkelprestasjonstall utviklet for å få en overordnet oversikt over organisasjonens prestasjon og dens viktigste operasjonelle enheter. Disse rapportene er ofte nesten utelukkende fokusert på den historiske utviklingen av organisasjonen og dens sentrale enheter og operasjoner. For eksempel, rapporteres ofte månedlig, kvartalsvis, og oftere salgstrender, kundeforsendelser, feil, og andre prestasjonsparametre som er relevante for organisasjonen. Det er viktig å erkjenne at disse målingene ikke kan gi et tilstrekkelig ”føre var signal» av en oppside/ nedside risiko som utvikler seg fordi KPIene fokuser mest på resultater som allerede har oppstått.
Mens KPIer er viktig for vellykket styring av en organisasjon ved å identifisere dårlige sider ved virksomheten samt de deler av virksomheten som fortjener økte ressurser og energi, drar ledelse og styrer også nytte av et sett med KRIer som gir indikatorinformasjon til rett tid om nye oppside/ nedside risikoer.
Målinger av hendelser eller triggerpunkter som kan signalisere problemstillinger/muligheter som utvikles internt i driften av organisasjon eller potensiell oppside/ nedside risiko som vokser frem ifra eksterne hendelser, for eksempel makroøkonomiske endring som påvirker etterspørselen etter organisasjonens produkter eller tjenester, som kan gi omfattende informasjon til ledelsen og styrene for vurdering når de gjennomføre strategiene for organisasjonen.
Key Risk Indicators (KRIer) er beregninger/målinger brukt av organisasjoner for å gi et tidlig signal om økt risiko-/mulighetseksponering på ulike områder av organisasjonen. I noen tilfeller, kan de representere nøkkeltall som ledelsen på tvers av organisasjonen samler som indikatorer på utviklingen av risiko, og potensielle muligheter, noe som signaliserer behovet for tiltak som må tas. Andre kan være mer forseggjorte og innebærer aggregering av flere individuelle indikatorer for oppside/ nedside risiko til en multi-dimensjonal målestørrelse om kommende hendelser som kan føre til nye risikoer og muligheter. Et eksempel knyttet til tilsynet av kundefordringer hjelper til med og illustrerer forskjellen i KPIer og KRier.
En Key Performance Indicator (KPI) for kundekreditt vil trolig inkludere data om kundetap og avskrivninger. Denne KPIen, selv om den er viktig, gir innsikt om en hendelse som allerede har skjedd (f.eks., at en kunde ikke betaler i henhold til salgsavtalen eller kontrakten). En KRI kan utvikles til å hjelpe og forutse potensielle fremtidige kunderproblemer slik at kredittfunksjonen kunne være mer proaktiv i å adressere kundens betalingstrender før risikohendelser oppstår. En relevant KRI for dette eksemplet kan være analyse av rapporterte økonomiske resultater fra selskapets 25 største kunder eller generelle utfordringer innen industrien for å se hvilke trender som kan vokse frem blant kunder som kan signalisere utfordringer knyttet til å få inn penger fra kundene i fremtidige perioder.
Målsetting
Håndtere innsamlingen av kundefordringer for å redusere tap for avskrivninger.
|
4.3 Utvikling av effektive Key Risk Indicators
Et mål om å utvikle et effektivt sett med KRIer er å identifisere relevante beregninger/målinger som gir nyttig innsikt om potensielle oppside/ nedside risikoer som kan ha betydning for oppnåelse av organisasjonens mål. Derfor starter valget og utformingen av effektive KRIer med en god forståelse av organisasjonens mål og risiko-/mulighetsrelaterte hendelser som kan påvirke oppnåelse av disse målene. Kobling av topp oppside/ nedside risikoer mot kjernestrategier bidrar til å finne den mest relevante informasjonen som kan tjene som en effektiv ledende indikator for en oppside/ nedside risiko som øker.
I den enkle illustrasjonen nedenfor, har ledelsen en målsetting om å oppnå større lønnsomhet ved å øke inntekter og redusere kostnader. De har identifisert fire strategiske tiltak som er kritiske for å nå disse målsettingene. Flere potensielle oppside/ nedside risikoer er identifisert som kan ha en innvirkning på ett eller flere av fire sentrale strategiske tiltak. Å kartlegge hovedrisikofaktorer for strategiske kjernetiltak setter ledelsen i en posisjon til å begynne å identifisere de mest kritiske beregninger/målinger som kan fungere som ledende KRIer for å hjelpe dem i å overvåke gjennomføringen av strategiske kjernetiltak. Som vist nedenfor, har KRIer blitt identifisert for hver kritisk oppside/ nedside risiko. Kartlegging av KRIer for kritiske risiko- /mulighetsfaktorer og kjernestrategier reduserer sannsynligheten for at ledelsen blir distrahert av andre opplysninger som kan være mindre relevant til oppnåelsen av organisasjonens målsetting.
|
En effektiv metode for å utvikle KRIer begynner med å analysere en risiko-/ mulighetshendelse som har påvirket organisasjonen i fortiden (eller i dag) og deretter jobbe bakover for å finne mellomliggende og bakenforliggende årsakshendelser som førte til tapet eller tapt mulighet. Målet er å utvikle sentrale KRIer som gir verdifull ledende indikasjoner på at risikoene/mulighetene kan være økende. Jo nærmere KRIen er til årsakssammenhengen til risiko-/mulighetshendelsen, desto mer sannsynlig vil KRIen gi ledelsen tid til proaktivt å iverksette tiltak for å svare på risiko-/ mulighetshendelsen. Denne prosessen kan fremstilles visuelt på følgende måte.
4.4 KRIer gir muligheter for proaktiv strategisk ERM
Et godt utformet ERM-system gir informasjon som tillater ledelsen å forstå om sentrale strategiske målsettinger blir nådd og for å identifisere muligheter for å tilpasse strategier
og taktikk for å dra nytte av endringene i omgivelsene som kan utnyttes til fordel for organisasjonen og dens interessenter.
Ledelsen velger innledende strategier på et tidspunkt. Ettersom tiden går, begynner utvalget av usikkerhet å øke, noe som truer en vellykket gjennomføring av disse strategiene.
For å hjelpe til med å overvåke oppside/ nedside risikoer som utspiller seg på grunn av denne usikkerheten, har ledelsen identifisert ulike KRIer som de overvåker ettersom de utøver de utvalgte strategiske tiltakene. På forhånd har ledelsen forhåndsbestemt visse nivåer eller terskler for hver KRI som vil utløse tiltak av ledelsen for å justere sine strategier proaktivt for å håndtere risikoen/muligheten tilsvarende. Når strategiene er revidert, etableres nye KRI triggerpunkter med handlingsplaner utpekt på forhånd.
Denne strategisk bruk av KRIer øker sannsynligheten for at målene og målsettingene fastsatt av ledelsen oppnås på grunn av at oppside/ nedside risikoer og de relaterte strategiene håndteres mer proaktivt når relevante KRIer har blitt identifisert.
4.5 Kilder til informasjon når organisasjonen utvikler KRIer
Nesten alle organisasjoner besitter eksisterende beregninger/målinger av oppside/ nedside risiko som har utviklet seg over tid. Disse beregningene/målingene bør være nøye evaluert vedrørende effekten og fortsette å være bli brukt hvis de viser seg å være verdifulle i å synliggjøre potensielle nye oppside/ nedside risikoer. Imidlertid vil det trolig være nødvendig å forsterke disse eksisterende KRIer med nye beregningene.
KRI identifiseringsprosessen kan dra nytte av eksperter på forskjellige områder i organisasjonen, ettersom disse personene kan være i den beste posisjonen til å vite hvor det finnes stresspunkter (Dvs. roten til årsakshendelser og moderate hendelser) i enhetene de leder eller prosesser de fører tilsyn med. Deres innspill bidrar til å sikre at viktige risiker/muligheter ikke blir oversett og at KRIer som blir utformet for å fremheve disse risikoene/mulighetene eller trender er mest sannsynlig å være effektive i å kommunisere en tidlig indikasjon på nødvendige tiltak. En advarsel å merke seg er at disse personene kan være forutinntatt mot eksisterende risiko-/mulighetsberegninger /-målinger som allerede er i bruk, og at de er komfortable med, på bekostning av eventuelle forbedrede målinger/beregninger som krever ytterligere analyser og validering før de blir adoptert.
Et annet viktig element i å utforme effektive KRIer innebærer bekreftelse at alle parter som er involvert i innsamling og aggregering av KRI data er klare på definisjoner av individuelle dataelementer samles inn og enhver konvertering eller standardiseringsmetodikk som skal benyttes. Uten tillit til homogeniteten/likheten av KRI målingstilnærmingen, vil den aggregerte informasjonen mangle robusthet og føre med seg støy i den betydelige beslutningsprosessen. For eksempel, hvis kundens økonomiske betingelser skal bli samlet inn på tvers av forretningsenhetene som en KRI, vil det være viktig å definere nøye hvordan dette skal måles/beregnes. I dette scenariet må følgende spørsmål adresseres. Bør alle kunder bli likt vektet? Bør kundestørrelse/-volum av forretningsvirksomheten være en faktor? Hvor mye tid må det gå før en kunde anses å være i en vanskelig finansielle tilstand? Deles noen kunder av mer enn én forretningsenhet? I så fall, hvilken enhet treffer avgjørelsen?
Et viktig element i enhver KRI er kvaliteten på tilgjengelige data som brukes til å overvåke en spesifikk oppside/ nedside risiko. Oppmerksomhet må vies kilden til informasjonen, enten internt til organisasjonen eller fra en ekstern part. Kilder til informasjon eksisterer sannsynlig som kan hjelpe til med et informert valg av hvilken KRIer som velges. For eksempel kan interne data bli tilgjengelig fra tidligere hendelser (både positive og negative) som kan være informative om potensielle fremtidige eksponeringer. Imidlertid er interne data vanligvis ikke tilgjengelig for mange oppside/ nedside risikoer, spesielt de som ikke har vært et tema tidligere. Og ofte har risikoer sannsynligvis en betydelig effekt som kan oppstå fra eksterne kilder, som f.eks. endringer i økonomiske forhold, rentefot som endres, eller nye regulatoriske krav eller lovverk. Dermed oppdager mange organisasjoner at relevante KRIer ofte er basert på eksterne data, gitt at mange bakenforliggende årsakshendelser og moderate hendelser som påvirker strategier oppstår utenfor organisasjonen.
Eksterne kilder som handelspublikasjoner og tapsregistre utarbeidet av uavhengige informasjonsleverandører kan være nyttige for å identifisere potensielle oppside/ nedside risikoer som ennå ikke har vært opplevd av organisasjonen. Diskusjoner med nøkkelinteressenter som kunder, ansatte og leverandører kan gi viktig innsikt i risikoen/muligheten de står overfor som til slutt kan skape oppside/ nedside risiko for organisasjonen. En forsiktig forståelse av regulatoriske og juridiske krav som må være oppfylt er sannsynligvis nyttig i påvente av potensielle oppside/ nedside risikoer og hendelser som var forut for dem.
KRI data hentet fra eksterne og/eller uavhengige parter gir fordelen av objektivitet. Eksterne/uavhengige parter er ikke nødvendigvis ikke tilknyttet organisasjonen, men er fjernet fra organisasjonens enhet som KRI er målt i. Nesten helt sikkert, vil ”trade-offs” være nødvendig på dette området. De personer som har ansvaret for løpende håndtering av en spesiell oppside/ nedside risiko er den minst objektive kilden (men noen ganger kan være den eneste tilgjengelige kilden for data som kreves for å produsere KRI det dreier seg om).
En forsiktig validering av eksterne kilder er ønskelig for å styrke tilliten til den endelige effektiviteten av KRI bygget på disse dataene. Det er usannsynlig at en enkelt KRI i tilstrekkelig grad vil fanger opp alle fasetter av en utviklende oppside/ nedside risiko eller trend. Av denne grunn er det nyttig å analysere en samling av KRIer samtidig for å hjelpe til med å danne en bedre forståelse av risikoen/muligheten som overvåkes. Når det er sagt, vil sannsynligvis noen KRIer trolig ha en overlegen prognostisert makt over andre beregninger/målinger av oppside/ nedside risiko og det vil være viktig å veie hver bit av informasjon for å gjenspeile prestasjonen i fortiden for å prognostisere en hendelse (både positiv og negativ).
Noen har nevnt denne prosessen som en aggregering av en mosaikk med informasjon som kollektivt best kan gi tidlig varsling av potensielle utviklinger av trusler/muligheter over tid. Realistisk, må betydelige skjønn og erfaring bringes på banen for denne prosessen for å trekke ut de mest meningsfulle slutninger. Ettersom bruken av KRIer utvikler seg i en organisasjon, vil muligheter for gjør disse vurderingene trolig gi forbedringer i KRI prestasjonen.
De følgende punkter oppsummerer sentrale elementer av godt utformede KRIer.
|
En effektiv måte å komme i gang er å ta de øverste 5-10 mest vesentlige oppside/ nedside risikoer som organisasjonen står overfor, og gi hver eier av oppside/ nedside risiko (personen med primære håndteringssansvar for en gitt risiko) i oppgave å identifisere én eller to KRIer Ofte vil det i begynnelsen være forvirring om forskjellen mellom Key Performance indikatorer som i dag måles og KRIer. Det vil være viktig å gi et eksempel eller to for å hjelpe eiere av oppside/ nedside risiko å gjøre/forstå dette skillet.
4.6 KRI kommunikasjon og rapportering: Rollen til styret, ledelsen og eierne av oppside/ nedside risiko
Det som er vesentlig i en iverksettelse av ERM-prosessen, er utviklingen og implementering av et sett med KRIer som det kreves følsomhet for organisasjonens kultur og et sterkt budskap om betydningen av denne oppgaven fra toppledelsen og styret. Det er nødvendig at disse individene selger dette inn til de som har den daglige ledelsen og ansvaret for ulike oppside/ nedside risikoer.
Den primært begunstigede av KRIer vil være eierne av oppside/ nedside risiko selv. De vil ha et sett med prognostiserte verktøy som bør tillate dem bedre å håndtere sine forretningsenheter for å møte mål og målsettingene for den aktuelle enheten. Toppledelse og styrene trenger ikke å vite, heller ikke er de nødvendigvis i en posisjon til å sette pris på, alle KRIer som benyttes i organisasjonen, men det bør forventes at de forstår og blir holdt oppdatert på KRIer knyttet til organisasjonens viktigste oppside/ nedside risikoer. Personen som er ansvarlig med tilsynet av ERM-prosessen kan arbeide nært sammen med eierne til risikoene/mulighetene for å identifisere hensiktsmessig triggerpunkter og tiltak eller tiltaksplaner som bør bli igangsatt i tilfelle disse punktene er nådd. Unntaksrapporter kan utvikles på regelmessig basis, der tidspunktet trolig vil variere som en funksjon av nivået mottakeren i organisasjonen er på.
Toppledelsen må kanskje gjennomgå KRI data for risikoer og muligheter med betydelig potensial for påvirkning på organisasjon. Likeledes kan styrene kun kreve oppdateringer av de mest betydelige KRI data for å være sikre på at ERM-prosessenn fungerer slik den er utviklet og godkjent. Rapporter fra kontrollpanelet som visuelt viser KRI data som overstiger etablerte terskler/toleransegrenser kan både gi en intuitiv og effektiv tilnærming for å gi denne informasjonen til styrer. I tillegg kan den enkle bruken av farger som viser statusen på visse KRIer raskt gi viktige signaler om hvilke KRIer som krever ledelsen oppmerksomhet. Grønn, gul og rød er felles valg for å vise forhold knyttet til å møte planlagte mål, henholdsvis faren for ikke å ha møtt planlagte mål, og ikke møte planlagte mål.
Det er også viktig å vurdere hyppigheten av rapportering av KRIer. Den aktuelle tidshorisont er avhengig av primære brukere av en bestemt KRIer. For operative ledere, er”real-time” rapportering attraktiv. For toppledelsen kan f.eks., en mindre hyppig (f.eks.. månedlig) statusrapport å være tilstrekkelig, der en samling av KRIer som fremhever potensielle avvik fra målene til enheten/organisasjonsnivået være et sannsynlig mål.
På styrenivå, er rapporteringen ofte aggregert for å tillate en mer strategisk vurdering av data. Det er viktig å huske at en KRI ikke håndterer oppside/ nedside risiko, og det kan føre til en falsk følelse av sikkerhet hvis den er dårlig utformet. Ideelt sett, er en aktiv vurdering av «intelligensevnen» av hver KRI en fortfarende fasett av organisasjonens ERM- prosess.
Når det første settet av KRIer har blitt utformet og tatt i bruk, er det avgjørende at overvåkingen skjer for å validere effektivitet av disse. Selv godt utformet og effektive KRIer kan miste verdi ettersom organisasjonens mål og strategier tilpasser seg stadig skiftende omgivelser. Det er en veldig reell fare, når et nettverk av KRIer er blitt etablert, at ledelsen vier sine ressurser andre steder i organisasjonen og ignorerer behovet for å raffinere og erstatte eksisterende beregninger/målinger for oppside/ nedside risiko for bedre å fange opp relevante data for det nye miljøet. Som en del av den første utviklingen og posisjoneringsfase, bør oppmerksomheten være på prosessen som vil følge til kontinuerlig å følge opp KRIers ytelse/bidrag.
4.7 The Value Proposition (verdiøkningen) av Key Risk Indicators
Utviklingen av KRIer kan gi relevant og tidsriktig informasjon til både styret og toppledelsen, som er vesentlig for effektiv tilsyn med mulighet/trussel. Effektive KRIer blir oftest funnet når de er utviklet av team som inkluderer profesjonelt personal som forstår muligheter/trusler og forretningsenheters ledere med en dyp forståelse av kjernevirksomheten og strategier for forretningsvirksomheten til potensiell oppside/ nedside risiko. Ideelt sett blir KRIer utviklet i samspill med strategiske planer for de enkelte forretningsenhetene og innlemmer akseptabelt avvik fra planen som faller innenfor den samlede. risikoappetitten i organisasjonen.
Effektive KRIer kan gi verdi for organisasjonen på forskjellige måter.
Potensiell verdi kan utledes fra hver av de følgende bidrag:Appetitt:KRIer krever bestemmelse av egnede terskler/toleransegrenser for tiltak på ulike nivåer innenfor organisasjonen. I dagligvarekjede for eksempel kan arbeidsledighets KRIen ha et forhåndsbestemt nivå som organisasjonens appetitt for risiko er assosiert til utvidelses- strategien når den blir overskredet. Ved å kartlegge KRI målinger/beregninger for identifisert risikoappetitt og toleranse nivåer, kan KRIer være et nyttig verktøy for bedre artikulering av risikoappetitten som best representerer organisasjonens tenkemåte. Identifisering: KRIer kan være utformet for å varsle ledelsen om utviklingstrekk/trender som kan påvirke oppnåelse av organisasjonens målsettinger eller kan indikere tilstedeværelsen av nye muligheter. I dagligvarekjeden, hvis detaljhandelsbelegget øker betraktelig, kan det tyde på en mulighet for mer utbygging.
Tiltak: KRIer kan iverksette tiltak for å redusere utviklingen av risiko ved å fungere som utløsermekanismer for organisasjonens enheter som overvåker bestemte KRIer. I tillegg, kan KRIer tjene som kontroller ved å definere toleransegrenser for visse handlinger. I dagligvarekjeden kan det være et punkt der ledigheten når et slik høyt nivå at risikoen for å ekspandere overskrider organisasjonens appetitt, og at KRI nivået derfor vil utløse en revisjon av strategien for butikkekspansjon.
Rapportering: Ved utformingen, kan KRIer gi målbare data som bidrar til aggregering. Sammendragsrapporter kan raskt formidles til aktuelle toppledere og styremedlemmer med tilsynsansvar.
Compliance (etterlevelse av krav) anstrengelser: For organisasjoner underlagt regulatorisk tilsyn, kan KRIer være nyttig i å demonstrere samsvar med etablerte krav på områder som kapitaldekning eller reservernivåer. KRIer utviklet for å bistå styret og toppledelsen i å møte trender i potensielle risikorelaterte hendelser kan tilføre stor verdi for hele organisasjonens tilsynsinnsats ved å posisjonere styret og ledelse slik at de proaktivt kan justere strategier i forkant av eller som svar på hendelser (både positive som negative). Det finnes flere eksempler på fordeler som kan oppnås:
Bedre ytelse: Bruken av KRIer til å forutse nye oppside/ nedside risikoer og endringer i risiko 7 mulighet over tid kan redusere tap, identifisere muligheter for strategiske utnytting, og potensielt redusere kapitalkostnadene ved redusere oppfatninger av risiko hos kapitaltilbydere.
Bedre Prosesser: KRier holder løftet med å hjelpe til med å redusere driftsforstyrrelser, forsyningskjedestyring, og forbedrer kundens opplevelser ved potensielt å unngå visse beslutninger som uventet skaper risiko knyttet til disse prosessene.
Bedre arbeidsmiljø: Bruken av KRIer kan føre til færre episoder av krisehåndtering, der vanlige oppgaver må settes til side for fulltidsbruk på saker som utvikler seg. Dette åpner for en mer stabil og velfungerende organisasjon. Sagt annerledes, et robust sett med KRIer bør bidra til å redusere sannsynligheten for overraskelser og posisjonere ledelsen og styrer til en proaktiv versus reaktiv holdning. |
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Kursguidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2000-2015 VIG CONSULTING
Legg igjen en kommentar