Hoe bepaal je Key Risk Indicatoren, KRI's?

Volg naast KPI's ook KRI's, risico's met een directe impact op je doelstelling: in vier stappen naar goede KRI's.

Een serie blogs over succesmanagement.

Risicomanagement begint steeds meer een geïntegreerd onderdeel in organisaties te worden. Risico's worden in kaart gebracht om ze te beheersen (risicomanagement) en om te helpen prioriteren wat het meest belangrijk is (risicogestuurd werken).

De laatste jaren groeit echter de behoefte om risico's niet alleen te beheersen, maar ook om ze beter te zien aankomen. Vooral om te zien of de kans op optreden stijgt aan de hand van indicatoren. Bijvoorbeeld: Als de salarisontwikkeling bij de politie achterblijft, stijgt de kans op corruptie. Als de omzet van een Schouwburg achterblijft, neemt het risico toe dat een gemeente het jaar erop het verlies kan bijstorten.

Door Geert Haisma. Hij is directeur Fully in Control en al 25 jaar gericht op nieuwe ontwikkelingen die doelbereiking effectief en succesvol kunnen maken. Hij is verbonden aan Universiteit Twente en moderator van de public peer group van het Controllers Netwerk.

Zo zijn er tal van risico's waarvan is te voorspellen dat de kans op optreden stijgt of daalt. Het zijn de meetbare indicatoren bij een risico die daar iets over zeggen, zoals hierboven de salarisontwikkeling en de omzetontwikkeling. Dit noemen we de Key Risk Indicatoren (KRI). Samen met Key Performance Indicatoren (KPI) helpen zij pro-actief te sturen in de driehoek van Succesmanagement om succesvol doelen te bereiken.

Hoe bepaal je een KRI?

Stap 1: Definieer het risico

Allereerst heb je natuurlijk een risico nodig waar de KRI iets over kan zeggen. Een risico bestaat uit een bron (mensen, systemen, interne activiteiten, externe activiteiten). En net als dat Kritische Succes Factoren (KSF) bepalen welke activiteiten worden uitgevoerd, zo helpen Kritische Risico Factoren (KRF) om te bepalen welke risico’s van toepassing zijn op een bron.

Stap 2: Criteria voor een KRI

Om een KRI te bepalen die iets zegt over een risicom, kunnen een aantal criteria worden gebruikt. De belangrijkste zijn:

  • Aangetoonde relatie
    Uit onderzoek of logica volgt een verband (uit onderzoek blijkt dat er een verband bestaat tussen beloning politiemensen en corruptie, uit logica volgt dat als de omzet achter loopt er een verlies kan ontstaan als niet voldoende op kosten wordt bijgestuurd).
  • (Periodiek) meetbaar
    De gegevens voor de KRI zijn (eenvoudig) periodiek beschikbaar (CBS cijfers salarisontwikkeling, financiële administratie)
  • Verifieerbaar
    De gegevens voor de KRI moeten eenduidig kunnen worden vastgesteld (CBS is onafhankelijk en administratie is betrouwbaar door toezicht accountant).

Stap 3: Verzamel data

De laatste stap is om periodiek (periode kan per risico verschillen) gegevens te verzamelen, om een inschatting te kunnen maken of de kans op het optreden van een risico zal stijgen of dalen. Voor de salarisontwikkeling is het zinvol, om per jaar de gegevens te betrekken omdat dit normaal gesproken maar een keer per jaar wijzigt. Voor de omzetontwikkeling kunnen per kwartaal of maandelijks gegevens worden opgevraagd, om in te schatten of de kans op optreden toeneemt en mogelijk aanvullende maatregelen moeten worden getroffen.

Stap 4: Monitoring (Dashboard)

De laatste stap is om de risico's te monitoren op basis van de KRI's in een dashboard. Voor een gedeelte kan dit de (overwegend subjectieve) risico-assessments vervangen door een objectiever en datagestuurd signaleringsmechanisme. Dit zal in de meeste organisaties leiden tot vroegtijdiger en beter inzicht in de risico’s die op de organisatie afkomen.

Het is vanzelfsprekend niet zinvol om deze methodiek op alle risico's los te laten. De methodiek van KRI's en het monitoren in een dashboard is vooral zinvol voor de Key Risico's die directe impact hebben op een doelstelling of activiteit.

Alle blogs van Geert Haisma voor u op een rij gezet.

(foto: Clark Young, Unsplash)