Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

144
RISK MONITORING
3.
represent meaningful drivers of exposure which can be quantified
4.
be used across the entire organization.
KRIs are a good way of meeting BEICF requirements.
K E Y I N D I C A T O R S : P E R F O R M A N C E , R I S K S
A N D C O N T R O L S
In an operational risk context, a KRI is a metric that provides information on the
level of exposure to some operational risk, at a given point in time. Preventive KRIs
measure a rise in the causes of risk, either in probability (KRI of likelihood) or in
potential impact should the risk materialize (KRI of impact). Key performance indi-
cators measure performance or target achievement, establishing how well a business
entity contains its operational risks. Examples of performance indicators are cumu-
lative hours of IT system outage, the percentage of transactions containing errors,
customer satisfaction scores, and the quality and application of service level agree-
ments (SLAs). Key control indicators (KCIs) support the effective control of informa-
tion, either in design or in performance. KCIs measure the effectiveness of a particular
control at a certain point in time and they demonstrate their worth when a key control
fails a test.
In practice, the same metrics can often be considered as performance indicators
and risk indicators, or control indicators and risk indicators, or they may share ele-
ments of all three. KPIs, KRIs and KCIs overlap in many instances, especially when
they signal breaches of minimum standards. A poor performance will often become
a source of risk; for instance, poor system performance such as repeated downtime
can signal worse to come. An example is the 24-hour meltdown of British Airways’
reservation system in May 2017, which had been preceded by six short-term interrup-
tions over the previous 12 months. In other areas, poor customer service increases the
risk of bad referrals and commercial losses, and poor performance of the finance func-
tion increases the risk of delays in the publication of information, or errors and legal
impacts.
Failing controls are even more obvious candidates for preventive KRIs: a key
control failure always constitutes a source of risk; examples include incomplete due
diligence, reduced IT testing, missing reconciliation steps and overdue maintenance.
Furthermore, the failure of a control function is jointly a KPI, a KRI and a KCI. For
example, overdue confirmation of financial transactions indicates poor back-office per-
formance (KPI), increased risk of legal disputes, processing errors and rogue trading
(KRI) and signal control failures in transactions processing (KCI).
When undertaking a KRI program, organizations should start with an inventory
of the KPIs and control tests that are already in place and could play the role of KRIs.
Many potential risk indicators will often be present but are hidden under other names.

Key Risk Indicators
145
T E N F E A T U R E S O F L E A D I N G K R I S
Leading KRIs are, in short, metrics of risk drivers. Indicators are also a type of report-
ing, hence reporting rules apply: KRIs must improve decision-making and bring more
value than they cost. More specifically, preventive KRIs should have the following ten
characteristics:
1.
Early warning devices: they signal changes in risk levels, either an increase in the
likelihood of an event, or impact, or both (like car speed, where an increase in speed
will increase both the risk of a collision and the damage if a collision occurs).
2.
Must address risks, not events: KRIs are proxies of risk drivers; indicators
addressing events are “lagging.” Lagging KRIs are signals of missing controls: once
they turn red, the answer is not to keep capturing the metrics but to put an appropriate
control in place (see the box on British road signs).
3.
Specific to each activity and risk profile: only few KRIs can be common to all
activities in the firm, and the thresholds will certainly vary with the nature of each
business and activity. Moreover, to maximize efficiency and to keep reporting short
and useful, KRIs should be filtered according to each firm’s risk profile, tracking what
a firm is not so good at rather than the non-issues.
4.
Best identified via data analysis and experience: in many aspects of operational
risk and especially for HR risks, data alone are insufficient to prove the relationship
between risk factors and events. Often, business intuition and experience are useful
guides if there is a lack of data. When data are available, they should be used to confirm
intuition and to identify other causes and other effects.
5.
Have a business owner who relies on the metric: it is good governance that KRIs
are used and owned by the business. In particular, it reinforces data quality and conti-
nuity of maintenance.
6.
Be worth more than they cost: KRIs, like many other types of reporting, may
need heavy data collection, which can be costly. You must ensure the right tradeoff
between the value of information collected and the cost of collection.
7.
Timely: monitoring KRIs (as distinct from reporting) should match the cycle of
the activity, from real time (like in IT or financial markets trading) to quarterly or even
yearly for some HR metrics. Automated KRIs are the only option for high-frequency
activities and automated data capture is a better option all around.

Download 5,45 Mb.

Do'stlaringiz bilan baham: