شاخص ریسک کلیدی (Key Risk Indicator)
شاخص ریسک کلیدی (Key Risk Indicators) که به طور مخفف به آن KRI گفته می شود، بخش اساسی از مولفه های داده ای هر چارچوب مدیریت ریسک عملیاتی است و به نظر می رسد مفهوم آن بسیاری از شرکت ها را سردرگم نموده است. اگر برای این مفهوم از عبارت IRKs) Indicators of Risks which are Key) یعنی شاخص های ریسک هایی که کلیدی هستند و یا IKRs (Indicators of Key Risks) به معنای شاخص هایی از ریسک های کلیدی، استفاده می گردید به احتمال زیاد این سردرگمی ها کاهش می یافت. به عبارت دیگر، KRI ها قطعاً شاخص هایی برای ریسک های کلیدی می باشند و نه شاخص های”کلیدی” برای ریسک ها، زیرا در غیر این صورت، این اشتباه سبب ایجاد شاخص های بسیاری می گردید.
در بسیاری از موارد، سازمان ها چند صد شاخص را شناسایی کرده و با استفاده از این شاخص های کلیدی در تلاشند تا کسب و کار خود را مدیریت کنند. با این حال، این که آیا هر کسب و کاری واقعاً می تواند این تعداد شاخص، از ریسک های کلیدی را داشته باشد و واقعاً آنها را مدیریت کند و یا تعدادی از ریسک های کلیدی که منجر به ایجاد این چند صد شاخص می شود را داشته باشد، بسیار سوال برانگیز است.
برخی از سازمان های نیز تلاش کرده اند تا تعداد اندکی از شاخص ها را تعیین کنند که به آنها در مورد عملکرد خوب سازمان، گزارش دهند. این رویکرد، پزشکی را به ذهن متبادر می کند که فقط با بررسی فشار خون، ضربان نبض و گوش دادن به صدای قلب، سعی می کند وضعیت سلامتی فرد را ارزیابی کند. واضح است که این امر نقطه خوبی برای شروع است، اما قطعاً برای گرفتن تصمیم نهایی، مناسب نخواهد بود.
شاخص های ریسک های کلیدی در چارچوب ریسک عملیاتی
شاخص ها، یکی از چهار عنصر داده ای در چارچوب ریسک عملیاتی هستند. شاخص های ریسک هایی که کلیدی هستند می توانند علائم هشدار دهنده اولیه را فراهم کنند تا پیش از وقوع یک تهدید برای کسب وکار، بتوان آن را مدیریت نمود. به این شاخص ها به طور معمول شاخص های پیشرو یا پیش نگر گفته می شود که سطح ریسک و كنترل فعلی را نمایش می دهند.
شاخص های ریسک های عملیاتی کلیدی
شاخص ریسک کلیدی (KRI) یکی از متداول ترین روش های اندازه گیری مقادیر واقعی علل ریسک، رویدادهای ریسک و پیامدهای ریسک می باشند. KRI متغیری است که مبنای قابل اعتمادی را برای برآورد زیان مربوط به ریسک، فراهم می کند. مهمترین چالش تعیین KRI ها این است که ریسک های کیفی با شناسایی توابع ریاضی، کمّی شوند.
شاخص ریسک کلیدی در حال تبدیل شدن به ابزاری با اهمیت فزاینده در چارچوب سیستم های مدیریت ریسک عملیاتی می باشد. همانطور که سازمان ها روابط پیچیده بین علت و معلول را بیشتر درک می کنند، KRI ها نیز به عنوان شاخص های پیش بینی کننده ریسک های بالارونده، رویدادهای ریسکی و همچنین زیان های احتمالی، بیشتر مورد استفاده قرار می گیرند. شاخص های ریسک و عملکرد کلیدی در تمام خطوط کسب و کار عملیاتی، بینشی را برای نظارت بر وضعیت ریسک یک سازمان فراهم می کنند. KRI ها را می توان هم با استفاده از عملکرد و هم پایگاه داده رویداد های زیان، اندازه گیری کرد. لیکن استفاده از شاخص های ریسک به منظور اندازه گیری اختلالات عملکرد عملیاتی (operational performance) با رویدادهای زیان، متفاوت است. KRI ها با ضرر و زیان خاصی مرتبط نیستند اما نشان دهنده انحراف عملکرد عملیاتی در خطوط مختلف کسب و کار می باشند.
با توجه به اینکه یک داده می تواند به علت، رویداد و یا پیامد اشاره داشته باشد، بنابراین به سه دسته تقسیم بندی می شوند، که شاخص ریسک کلیدی قصد دارد مقادیر آنها را اندازه گیری کند. نوسانات در عملکرد عملیاتی، می تواند نشانه یک رویداد ریسک یا علتی برای یک رویداد جدید یا حتی یک پیامد باشد. رویدادهای ریسک عملیاتی با ضعف های کنترل داخلی یا عدم انطباق با رویه های داخلی موجود مرتبط هستند. آنها در همه حوزه های یک سازمان یافت می شوند و عمدتا ناشی از اقدامات درهم تنیده افراد، سیستم های فن آوری، فرآیندها و برخی از رویدادهای غیر قابل پیش بینی بیرونی هستند. در نتیجه، بیشتر ریسک های عملیاتی به طور مستقیم یا غیرمستقیم از طریق شاخص های کلیدی عملکرد (KPI) اندازه گیری می شوند.
شاخص های ریسک های کلیدی در چارچوب ریسک عملیاتی استفاده می شود تا بتوان همچون یک پزشک، انگشت خود را روی نبض تغییرات در محیط ریسک قرار داد. با استفاده از معیارهای تعیین شده، می توان عوامل بیرونی و داخلی ریسک و محیط کنترلی را پایش نمود.
چالش موجود این است که یک معیار مناسبی سنجیده شود که واقعاً سطح ریسک را اندازه گیری کند. بیشتر معیارها فقط چیزی را می شمرند و نباید با شاخص ریسک کلیدی (KRI) واقعی اشتباه گرفته شوند. با این حال شاید بهتر باشد تا زمانی که این شاخص ها ارزش خود را اثبات نکرده اند، معیارهای جمع آوری شده به عنوان “شاخص (indicator)” به جای KRI در نظر گرفته شود. به عنوان مثال، تعداد معاملات ناموفق در روز، یک معیار است. با این حال، این معیار به تنهایی افزایش یا کاهش سطح ریسک را نشان نمی دهد مگر اینکه با سایر معیارهای مرتبط مانند حجم، ترکیب شود. بنابراین شاخصی که درصد معاملات ناموفق را در حجم کل معاملات اندازه گیری می کند، شاخص مفیدی است و ممکن است یک KRI صحیح باشد.
انتخاب شاخص های ریسک های کلیدی
بسیاری از حوزه های عملکردی ریسک عملیاتی هنگامی که آنها برای اولین بار درخواست KRI می کنند، با دریایی از معیارها روبرو هستند. این معیارها برای یافتن مناسب ترین شاخص ها نیاز به فیلتر و ارتقا دارند. تکمیل برنامه خودارزیابی ریسک و کنترل (RCSA) قبل از جستجوی KRI مفید است تا جستجو فقط در معیارهایی که مربوط به ریسک های شناسایی شده در RCSA هستند، محدود شود. RCSA به مدیر ریسک عملیاتی کمک می نماید تا شناسایی کند که کدام یک از ریسک ها در حال حاضر بالا و یا پایین هستند، اما در صورت خراب شدن محیط کنترلی، خطر آسیب از جانب آنها وجود دارد. وی سپس می تواند بررسی کند که کدام کنترل ها در رتبه بندی ریسک نقش دارند و چگونه ممکن است توسط KRI کنترل شود.
پس از شناسایی ریسک های لازم برای نظارت، می توان اصول SMART را در انتخاب یا ایجاد KRI مناسب، به کار گرفت. اصول SMART نشان می دهد که در انتخاب یک KRI می بایست موارد زیر در نظر گرفته شود:
- خاص (Specific)
- قابل اندازه گیری (Measurable)
- قابل دستیابی (Attainable)
- مربوط بودن (Relevant)
- به موقع بودن(Timely)
هر چند که در عمل یافتن شاخص هایی که همه این معیارها را داشته باشند کار دشواری می باشد لیکن ممکن است استفاده از شاخص های نماینده به صورت موقت یا حتی دائمی ضروری باشد. پس از مشخص کردن اینکه چه داده هایی باید جمع آوری شود، مدیر ریسک عملیاتی باید آستانه ها، مقیاس ها و فرایندهای گزارشگری مناسب را تعیین کند.
استانداردهای شاخص های ریسک های کلیدی
هر KRI باید پایش شود و حداقل استانداردهای KRI باید توسط بخش ریسک عملیاتی تعیین شود. جمع آوری KRI ها می تواند یک کار دشوار و فشرده باشد و بسیاری از شرکت ها از سیستم های فناوری برای استخراج خودکار معیارها و قرار دادن آنها برای تجزیه و تحلیل، استفاده می نمایند. برای هر KRI، ویژگی ها و استانداردهای خاصی باید تعیین شود ، از جمله:
- نام شاخص؛
- ریسک مورد پایش قرار گیرنده توسط شاخص؛
- روش محاسبه؛
- مالک KRI؛
- آستانه پرچم قرمز ، یا آستانه های قرمز، زرد، سبز یا زیاد، متوسط، کم؛
- دوره گزارشگری؛
چالش های شاخص های ریسک های کلیدی
بزرگترین چالش KRI ها یافتن شاخص مناسب است. اگر چه روشهای مناسبی برای جمع اوری KRI در حال ظهور است اما در این خصوص اتفاق نظر وجود ندارد. همچنین جمع آوری داده هایی که در مدیریت ریسک عملیاتی بسیار مفید هستند، اغلب چالش برانگیز می باشند. انیشتین دراین زمینه گفته است که: “همه چیزهایی که قابل شمارش هستند مهم نیستند و همه چیزهایی که مهم می باشند قابل شمارش نیستند.”
با وجودی که انجمن بانکی آمریکا و انجمن مدیریت ریسک (RMA) در مورد KRI های مناسب، توصیه ها و پیشنهاداتی داشته است، با این حال، این KRI های توصیه شده، صدها یا حتی هزاران مورد هستند و هر سازمانی به دنبال حداقل تعداد KRI های جادویی می باشد که بتواند سلامت ریسک عملیاتی را نشان دهد.
بدون محک زدن یک KRI در صنعت، آن را فقط می توان با خودش و در همان سازمان مقایسه نمود. این امر می تواند منجر به احساس امنیت کاذب در شاخصی شود که میزان آن ثابت مانده است، اما در واقع ممکن است به این دلیل باشد که کنترل در حال پایش، پایین تر از استاندارد صنعت، کار می کند.
همانطور که قبلاً ذکر شد این روش خوبی است که KRI ها با ریسک ها و کنترلهایی که در فرآیند RCSA شناسایی شده و به عنوان مورد کلیدی در مدیریت ریسک عملیاتی شناخته می شوند، مرتبط گردد. یک برنامه کامل KRI به اعتبار سنجی، بازخورد مداوم و استانداردهای قوی نیاز دارد.