I KRI, Key Risk Indicator o indici di rischio aiutano le aziende a identificare e conoscere pericoli e debolezze e sono fondamentali all’interno di una più ampia gestione e controllo dei rischi. Ogni azienda, piccola o grande, ha bisogno di un sistema per proteggere se stessa da rischi operativi, reputazionali e finanziari. L’analisi dei rischi è possibile attraverso una comprensione approfondita delle possibili minacce all’azienda, la corretta identificazione e un monitoraggio assiduo.
I KRI hanno caratteristiche predittive e di allerta ma quali sono le differenze con le metriche di valutazione come i KPI o indicatori di prestazione? Esiste una relazione tra KRI e KPI in grado di aumentare efficacia e valore per l’azienda?
Cosa sono i KRI
Gli indicatori di rischio sono indici definiti predittori poiché sono in grado di effettuare previsioni di eventi negativi. La loro funzione permette di monitorare e di allertare i responsabili aziendali quando c’è una esposizione al rischio. In questo modo, è possibile intervenire in modo tempestivo di fronte ad una crisi. Sono anche definiti misurabili (in percentuale o in numeri).
Una funzione che consente, a sua volta, una valutazione e un monitoraggio continuo per essere degli alert efficaci.I KRI di natura finanziaria aiutano a quantificare il rischio di mercato, le modifiche normative o il rischio competitivo; monitorare e controllare i rischi, quindi, attraverso attività e processi di gestione completa del rischio stesso a partire dalla sua identificazione, valutazione e controllo.
In linea generale, un indicatore di rischio può essere qualsiasi metrica utilizzata per identificare un cambiamento dell’esposizione al rischio nel tempo. Diventano KRI quando tracciano un rischio critico, cosa che fanno particolarmente bene grazie proprio al loro valore predittivo.
La propensione al rischio
Il rischio rappresenta sia un pericolo che un’opportunità, e può, potenzialmente, ridurre o accrescere il valore dell’impresa. Un approccio strutturato di risk management consente di affrontare efficacemente gli eventi minacciosi. Fornisce sia strumenti di stima della probabilità di accadimento che dell’impatto atteso sulla base di scenari diversi. Questo appunto, permette di migliorare le capacità dell’azienda di generare valore. La realizzazione di un sistema di indicatori di rischio è sempre un’azione vincente poiché propone un sistema di alert, di simulazioni, di valutazioni e di azioni tattiche basate su dati certi e oggettivi in grado di fornire informazioni chiare ed esaustive.
Perché i KRI sono importanti?
Senza KRI ogni organizzazione aumenta la probabilità di essere esposta ad eventi che potrebbero danneggiare le proprie attività. La sfida per le aziende non consiste solo nell’identificare quali indicatori di rischio siano fondamentali, ovvero i più importanti, ma anche nel garantire al proprio interno una chiara comprensione di questi stessi indicatori.
Le organizzazioni devono comunicare l’avviso di rischio in modo tale che tutti i membri all’interno ne comprendano chiaramente il significato e possano agire e reagire di conseguenza. Ad esempio, forniscono un benchmarking del rischio per avere una migliore prospettiva e permettono la creazione di un processo di gestione del rischio.
Le caratteristiche dei KPI
Le caratteristiche di un KPI devono includere:
- I dettagli su persone, processi, tecnologie, strutture e tutti gli altri elementi aziendali fondamentali per il funzionamento in continuità e il successo di una organizzazione.
- la classifica degli attributi di business in termini di criticità per l’azienda.
- la classifica delle vulnerabilità e delle minacce in termini di potenziali danni per le aziende.
- la classifica delle minacce potenziali o probabili in base all’impatto operativo e finanziario sull’azienda e sulla capacità di mitigare l’evento.
- metriche per identificare quando e come un rischio identificato diventa una seria minaccia per gli attributi critici dell’organizzazione.
Inoltre, gli attributi chiave devono essere collegati ai rischi più significativi. In pratica, ne devono evidenziare i problemi di maggior interesse. I KPI devono essere approvati dai responsabili aziendali e devono essere oggetto di revisione o aggiornamento continuo.
In conclusione, devono essere: misurabile, predittivi, facile da monitorare, verificabili e comparabili o confrontabili.
Indicatori di crescita, di ritardo e attuali
I KRI possono fornire informazioni sullo stato attuale del rischio, su eventi che potrebbero verificarsi in futuro oppure su eventi accaduti nel passato. Vengono, quindi, classificati come:
- Indicatori principali o emergenti legati al verificarsi di un rischio futuro.
- Indicatori attuali dove il rischio è presente.
- Indicatori passati ma che potrebbero ripetersi.
Le sfide nella misurazione dei KRI
La creazione degli indicatori KRI non è sempre semplice. Dalla loro definizione, infatti, dipende l’accuratezza delle informazioni che poi vanno ad individuare le stesse criticità. Tra gli errori più comuni fin dalle prime fasi di realizzazione ci sono, ad esempio, una scarsa comprensione o comunicazione tra i team e i responsabili aziendali che rischia di distorcere informazioni utili e necessarie per la corretta individuazione delle minacce. Per ovviare a questo problema è importante creare metriche che siano sia misurabili che comprensibili per tutti, ad esempio, presentando i KRI attraverso l’utilizzo di una dashboard.
Allo stesso tempo, è importante collegare in modo realistico gli attributi aziendali critici agli scenari di rischio più probabili. Infine, è necessario dopo una attenta monitorizzazione stabilire le azioni di risposta da intraprendere se si verificano delle deviazioni dalle metriche KRI iniziali.
KRI E KCI
I KCI o Key Control Indicators fanno riferimento invece, a una metrica che consente di monitorare nel continuo l’efficacia dei controlli. Sono utilizzati per definire i controlli a livello aziendale e monitorare il conseguimento degli obiettivi prefissati. Sono i responsabili a definire le relative tolleranze per i controlli prima della misurazione stessa.
L’Institute of Operational Risk afferma che la differenza tra rischio, efficacia del controllo e gli indicatori di performance è in gran parte concettuale. Lo stesso insieme di dati può indicare cose diverse a diversi utilizzatori di tali dati, il che implica che la natura di un indicatore cambia a seconda del suo utilizzo.
KRI e KPI: la differenza
Nonostante si parli spesso di differenze minime, gli indicatori di rischio sono spesso confusi con gli indicatori di prestazione o KPI. Questi ultimi sono metriche che regolano le prestazioni aziendali. In pratica, aiutano un’organizzazione a valutare i progressi verso gli obiettivi dichiarati. Un esempio che viene riproposto spesso è quello relativo all’utile netto. L’utile netto, infatti, è un KPI ma non un KRI perché non dice nulla sul livello di rischio o sul controllo del rischio. Come affermato in precedenza, i KRI forniscono metriche relative ai rischi e al loro potenziale impatto sulle prestazioni aziendali. Sono alert per il monitoraggio, l’analisi, la gestione e la mitigazione dei rischi.
Al contrario, i KPI vanno a dimostrare quanto bene l’organizzazione si stia comportando rispetto ai suoi stessi scopi e obiettivi, ad esempio vendite, ricavi o nella soddisfazione del cliente. Come i KRI, gli indicatori di prestazione possono essere applicati alle persone, ai processi e alle tecnologie.
Per fare un esempio, mentre gli indicatori di performance stabiliscono se la produzione di un prodotto importante viene mantenuta a livelli sufficienti per tenere il passo con la domanda, i KRI stabiliscono metriche che mostrano quando i livelli di produzione scendono al di sotto di livelli inaccettabili o pericolosi. Un ulteriore esempio è la misurazione della piena occupazione necessaria per ottenere prestazioni aziendali ottimali e una metrica che identifica quando l’assenteismo dei dipendenti oltre un certo livello può rappresentare un rischio.
Vuoi approfondire le tue conoscenze o avere maggiori informazioni? Compila il form in basso