Key Risk Indicators (KRI)

Messbare Indikatoren zur Operationalisierung des Risikoappetits, mit Schwellenwerten und Eskalations-Mechanismen für proaktive Risiko-Steuerung.

Definition

Key Risk Indicators (KRI) sind messbare Indikatoren, die zur Operationalisierung des Risikoappetits und zur Frühwarnung bei Risikoveränderungen dienen. Sie machen Risiken sichtbar, ermöglichen Schwellenwert-basierte Eskalation und liefern die Datengrundlage für Risiko-Steuerung auf allen Ebenen.

KRIs sind die operative Brücke zwischen strategischem Risikoappetit und Tagesgeschäft. Sie werden in COSO ERM, ISO 31000 und FINMA-Rundschreiben als Standardinstrument anerkannt.

KRI vs. KPI

Dimension	KRI (Risk Indicators)	KPI (Performance Indicators)
Fokus	Risiko-Exposition	Leistungs-Erreichung
Frage	Wie risikoexponiert sind wir	Wie gut sind wir
Beispiele	Vorfälle, Limitenverletzungen	Umsatz, Marktanteil
Zielwert	Innerhalb Toleranz	Über Zielwert
Eskalation	Bei Schwellenwert-Überschreitung	Bei Zielwert-Unterschreitung

In der Praxis überschneiden sich KRIs und KPIs (z.B. Kundenzufriedenheit kann KPI sein und Reputations-KRI). Wichtig ist die bewusste Differenzierung.

Eigenschaften eines guten KRI

Vorhersagekraft

Frühwarnung statt Nachlauf-Indikator.
Anstieg vor Schadenseintritt.
Beispiel: Phishing-Klickrate ist KRI für Cyber-Vorfälle, Anzahl Datenlecks ist Nachlauf-Indikator.

Messbarkeit

Objektive, reproduzierbare Daten.
Quelle und Berechnungsmethode dokumentiert.
Datenqualität gesichert.

Verbindung zum Risikoappetit

KRI operationalisiert ein RAS-Element.
Schwellenwerte aus RAS abgeleitet.

Schwellenwerte

Grün, Gelb, Rot als Standard.
Eskalations-Mechanismen je Stufe.
Verantwortlichkeit je Stufe.

Zeitnahe Verfügbarkeit

Echtzeit oder regelmässig (täglich, wöchentlich, monatlich).
Datenfrische dokumentiert.

Aktionsfähigkeit

Bei Verletzung sind Massnahmen möglich.
KRIs ohne mögliche Aktion sind sinnlos.

Kosten-Nutzen-Verhältnis

KRI-Messung kostet Aufwand.
Erwartete Risikoreduktion rechtfertigt Kosten.

KRI-Kategorien

Operationelle KRIs

Anzahl operationelle Vorfälle.
Fehlerquoten in Prozessen.
Ausfallzeiten von Systemen.
Lieferanten-Ausfälle.
Qualitätsmängel.

Finanzielle KRIs

Liquiditätspuffer.
Kreditausfälle.
Currency Exposure.
Marktrisiko-VaR.
Konzentrationsrisiken.

Compliance-KRIs

Sanktionslisten-Treffer.
AML-Verdachtsmeldungen.
Korruptionsvorfälle.
Datenschutzverstösse.
Trainings-Abdeckung.

Cyber-KRIs

Cybervorfälle nach Schweregrad.
Phishing-Klickraten.
Patch-Status kritischer Systeme.
Penetration-Test-Ergebnisse.
Drittparteien-Sicherheits-Findings.

HR-KRIs

Fluktuation in Schlüsselrollen.
Krankenstand.
Mitarbeitendenbefragungs-Indikatoren.
Beschwerde-Quoten.
Diversitäts-Quoten.

ESG-KRIs

CO2-Emissionen.
Arbeitsunfälle.
Wasser- und Energie-Verbrauch.
Lieferketten-Compliance.
Diversitäts-Indikatoren.

Reputations-KRIs

Media-Sentiment.
NPS und Kundenzufriedenheit.
Beschwerden.
ESG-Ratings.
Whistleblowing-Meldungen.

Rechtsgrundlage

Best Practice

COSO ERM: KRI als Standardinstrument.
ISO 31000: Risk Indicators in der Risk Management Process.
Swiss Code of Best Practice: Risiko-Reporting.

Regulatorisch

FINMA-Rundschreiben Operationelle Risiken: KRI-Anforderungen.
Solvency II: ORSA mit KRIs.
Basel III: Risk Indicators in der Kapitaladäquanz.

Aktienrecht

OR Art. 716a Abs. 1 Ziff. 3: Risiko-Management.
OR Art. 961c: Risikobeurteilung im Anhang.

Praxis Schweiz

Banken und Versicherungen

Hochformalisierte KRI-Sets mit FINMA-konformen Schwellenwerten. Tägliche oder wöchentliche Reporting-Frequenz. Verbindung zu Eigenkapital und Vergütung.

Industrie und Handel

Operationelle KRIs (Qualität, Lieferketten, Cyber) sind etabliert. ESG-KRIs wachsen. Compliance-KRIs zunehmend. Reporting monatlich oder quartalsweise.

KMU

Pragmatische KRI-Sets mit 5 bis 10 Top-Indikatoren. Excel-basierte Dashboards. Externe Beratung für die Strukturierung.

Stiftungen und Vereine

KRIs auch hier sinnvoll, insbesondere für Anlage- und Reputations-Risiken.

Kaskadierung von KRIs

KRIs werden kaskadiert von strategischer zu operativer Ebene:

VR-Ebene (Top-KRIs)

15 bis 30 Indikatoren.
Strategische Risiko-Sicht.
Quartalsweise Reporting.

Geschäftsleitungs-Ebene

Detailliertere KRIs.
Monatliche Reporting.
Operative Sicht.

Funktions-Ebene

Spezifische KRIs je Funktion.
Wöchentliche oder tägliche Reporting.
Detail-Sicht für operative Steuerung.

Reporting und Dashboards

Heat Maps

Übersicht aller KRIs in einer Matrix.
Farb-Codierung nach Schwellenwert.
Trend-Pfeile.

Trend-Analyse

Zeitreihen über Monate oder Jahre.
Saisonale Anpassung.
Vergleich mit Vorperioden.

Verletzungs-Tracking

Liste der KRI-Verletzungen.
Status der Reaktion.
Zeit-zu-Behebung.

Storytelling

KRIs in Risiko-Narrativen einbetten.
Verbindung zu strategischen Themen.
Konsequenzen-Diskussion.

Verbindung zur Vergütung

Best Practice ist die Verbindung zu Bonus und LTI:

Bonus-Malus bei KRI-Verletzungen.
ESG- und Compliance-KRIs in LTI-Strukturen.
Risk-Adjusted-Performance bei Investment-Funktionen.
Claw-Back-Klauseln bei materiellen Vorfällen.

Bei FINMA-beaufsichtigten Instituten ist Risk-Adjusted Vergütung regulatorisch verlangt.

VR-Verantwortung

Der VR muss:

KRI-Set für seine Aufsichtsfunktion verabschieden.
KRI-Dashboards quartalsweise würdigen.
Schwellenwert-Verletzungen behandeln.
Anpassungen bei strategischen Veränderungen prüfen.
Datenqualität und Reporting-Disziplin einfordern.
Verbindung zur Vergütung prüfen.
Audit Committee mit der Vorbereitung beauftragen.

Häufige Fehler

Nachlaufende statt vorausschauende KRIs.
Zu viele KRIs ohne Priorisierung.
Fehlende Schwellenwerte oder Eskalations-Mechanismen.
Unklare Verantwortlichkeit für Reaktion bei Verletzung.
Fehlende Datenqualität.
KRIs ohne Verbindung zum Risikoappetit.
Vernachlässigung qualitativer und kultureller KRIs.
Verharmlosung von Verletzungen in Reporting.
Fehlende periodische Review der KRI-Liste.
KRIs ohne Aktion oder Konsequenz.

Aktuelle Trends

AI- und ML-basierte KRI-Generierung mit Datenmustern.
Echtzeit-Dashboards mit operativer Steuerung.
ESG- und Klima-KRIs als wachsender Bereich.
Cyber-KRIs mit Threat Intelligence Integration.
Kultur-KRIs mit Mitarbeitendenbefragungs-Daten.
Predictive KRIs mit prognostischer Komponente.

Abgrenzung

KPI misst Leistung, KRI misst Risiko.
Risikoappetit wird durch KRIs operationalisiert.
Compliance Monitoring nutzt KRIs als Instrument.
IKS-Indikatoren sind eng verwandt, fokussieren auf Kontroll-Wirksamkeit.
ESG-Indikatoren sind teilweise KRIs.

Häufige Fragen

Was sind Key Risk Indicators?

Key Risk Indicators (KRI) sind messbare Indikatoren zur Operationalisierung des Risikoappetits. Sie machen Risiken sichtbar, ermöglichen Schwellenwert-basierte Eskalation und liefern Datengrundlage für Risiko-Steuerung. KRIs sind Frühwarnindikatoren, die Veränderungen im Risikoprofil zeigen, bevor Schäden eintreten. Sie sind die operative Brücke zwischen strategischem Risikoappetit und Tagesgeschäft.

Wie unterscheiden sich KRIs von KPIs?

KPIs (Key Performance Indicators) messen Leistung und Zielerreichung (Umsatz, Kundenzufriedenheit, Marktanteil). KRIs messen Risiken und Risikoveränderungen (Cyber-Vorfälle, Kreditausfälle, Compliance-Verstösse, Liquiditätsabflüsse). Beide nutzen Zeitreihen und Schwellenwerte. KPIs antworten auf "Wie gut sind wir?", KRIs antworten auf "Wie risikoexponiert sind wir?".

Welche Eigenschaften muss ein guter KRI haben?

Vorhersagekraft (Frühwarnung statt Nachlauf-Indikator), Messbarkeit (objektive Daten), Verbindung zum Risikoappetit, Schwellenwerte mit Eskalation (Grün, Gelb, Rot), zeitnahe Verfügbarkeit, klare Verantwortlichkeit, Aktionsfähigkeit bei Verletzung, Kosten-Nutzen-Verhältnis. Schlechte KRIs sind nachlaufend, schwer messbar oder ohne Konsequenz.

Welche KRIs sind branchenübergreifend relevant?

Operationelle KRIs (Vorfälle, Fehlerquoten, Ausfallzeiten), finanzielle KRIs (Liquiditätspuffer, Kreditausfälle, Currency Exposure), Compliance-KRIs (Sanktionslisten-Treffer, AML-Verdachtsmeldungen, Korruptionsvorfälle), Cyber-KRIs (Vorfälle, Phishing-Klickraten, Patch-Status), HR-KRIs (Fluktuation, Krankenstand), ESG-KRIs (CO2, Unfälle, Diversität), Reputations-KRIs (Sentiment, Beschwerden).

Wie viele KRIs braucht eine Organisation?

Faustregel: 15 bis 30 Top-KRIs auf VR-Ebene, kaskadiert in detailliertere KRIs auf Geschäftsleitungs- und Funktionsebene. Zu viele KRIs überlasten und verwässern Aufmerksamkeit, zu wenige geben unzureichende Sichtbarkeit. Risikobasierte Priorisierung mit Verbindung zum RAS. Periodische Review der KRI-Liste empfohlen, neue Risiken aufnehmen, irrelevante streichen.

Welche Rolle hat der Verwaltungsrat?

Der VR muss KRI-Set für seine Aufsichtsfunktion verabschieden, KRI-Dashboards quartalsweise würdigen, Schwellenwert-Verletzungen behandeln, Anpassungen bei strategischen Veränderungen prüfen. Das Audit Committee bereitet vor. Reife Organisationen haben dichte KRI-Daten als Grundlage für VR-Diskussionen. Bei FINMA-beaufsichtigten Instituten sind KRIs regulatorisch erwartet.

Wie verbinden sich KRIs mit Vergütung?

Best Practice ist die Verbindung von KRI-Performance mit Vergütung: Bonus-Malus bei Verletzungen, ESG- und Compliance-KRIs in LTI-Strukturen, Risk-Adjusted-Performance bei Investment-Funktionen. Ohne Konsequenz bleiben KRIs Papier. Bei FINMA-beaufsichtigten Instituten ist Risk-Adjusted Vergütung regulatorisch verlangt.

Welche Fehler treten häufig auf?

Häufig sind nachlaufende statt vorausschauende KRIs, zu viele KRIs ohne Priorisierung, fehlende Schwellenwerte oder Eskalation, unklare Verantwortlichkeit, fehlende Datenqualität, KRIs ohne Verbindung zum Risikoappetit, Vernachlässigung qualitativer und kultureller KRIs, Verharmlosung von Verletzungen, fehlende periodische Review, KRIs ohne Aktion oder Konsequenz.