8.3 Slim monitoren: gebruik indicatoren!
indicatoren
KCI
Soms stranden risicomanagementinitiatieven doordat het de organisatie te veel inspanning kost om het risicoframework met de daarin opgenomen beheersingsmaatregelen te monitoren. Monitoring gebeurt in de loop van het proces. Zo’n proces monitort u met behulp van indicatoren. Er zijn drie soorten indicatoren te onderscheiden:
- key performance indicator (KPI);
- key risk indicator (KRI);
- key control indicator (KCI).
Key performance indicator
Key performance indicators, in het Nederlands vertaald als kritische prestatie indicatoren (KPI’s), zijn variabelen of maatstaven om prestaties van organisaties te analyseren. Een KPI wordt uitgedrukt in een getal en gerelateerd aan een norm of target en meet kwantitatief of een doelstelling bereikt wordt. U kunt dan beoordelen of uw organisatie er in slaagt om de geplande strategie daadwerkelijk waar te maken of dat u moet bijsturen.
Key risk indicator
risicoprofiel
Deze indicator gebruikt u om een risicoprofiel te definiëren om eventuele veranderingen in dat profiel te monitoren. KRI’s gebruikt u om antwoord te krijgen op de vraag: verandert het risicoprofiel en zo ja, liggen die veranderingen nog binnen de door ons vastgestelde en gewenste marges. Niet elke indicator is een KRI. Een KRI moet voldoen aan de volgende criteria:
- Er is sprake van een meetbare eenheid (Indicator).
- Deze indicator geeft aan of sprake is van de blootstelling aan een risico of kan een risico voorspellen (Risico).
- De indicator heeft betrekking op een belangrijke risicobron, zoals een procedure of systeem (Key).
Criteria waaraan een Key Risk Indicator moet voldoen
Key control indicator
interne controle
De KCI gebruikt u om verschillende controleniveaus te onderscheiden en te monitoren. KCI’s geven u antwoord op de vraag: zijn de interne controlemaatregelen effectief?
KRI’s en debiteurenbeheer: een voorbeeld
incasso- maatregelen
Stel dat voor uw onderneming het risico dat debiteurenvorderingen niet tijdig worden geïncasseerd heel groot is. U heeft als beheersingsmaatregel een pakket van incassomaatregelen geïmplementeerd. Elke debiteur heeft dertig dagen de tijd om een factuur te betalen. Bij een betalingsachterstand verzendt uw financiële administratie direct een herinnering en vervolgens na twintig dagen een aanmaning, enzovoort. U kunt deze maatregelen (direct) monitoren door steekproefsgewijs te toetsen of herinneringen en aanmaningen tijdig worden verzonden. Dit kost veel tijd.
Ouderdom
Het is efficiënter als u naar de ontwikkeling van de relatieve ouderdom van de uitstaande debiteuren kijkt. Als bijvoorbeeld blijkt dat de gemiddelde ouderdom 22 dagen is en dat bij slechts 5% van het debiteurenbedrag een achterstand is, weet u (indirect) dat de getroffen beheersingsmaatregelen effectief zijn geweest. Pas als de ontwikkeling van de ouderdom buiten een tolerantie raakt, kunt u onderzoeken of een incassomaatregel niet (meer) effectief is.
Verbinden
tolerantie-grenzen
Ongetwijfeld zijn er in uw huidige managementrapportages al Key Risk Indicators (KRI’s) opgenomen (ook al noemt u dit anders). Door deze bestaande indicatoren te ‘verbinden’ met de risico’s en de beheersingsmaatregelen in uw risicoregister kunt u direct besparen op monitoractiviteiten. U moet wel tolerantiegrenzen bepalen (afgestemd op het niveau van de risicobereidheid). Ook zult u ongetwijfeld op ideeën komen voor nieuwe KRI’s en daarmee tekortkomingen in uw managementrapportages aan het licht brengen.