شاخص کلیدی ریسک (Key Risk Indicators یا KRI) یکی از اجزای مهم در چارچوب مدیریت ریسک عملیاتی است؛ با این حال، مفهوم آن برای بسیاری از سازمان‌ها ابهام‌آمیز به نظر می‌رسد. شاید اگر به جای KRI از اصطلاحاتی مانند IRKs (Indicators of Risks which are Key) به معنای شاخص‌های ریسک‌های کلیدی یا IKRs (Indicators of Key Risks) یعنی شاخص‌هایی از ریسک‌های کلیدی استفاده می‌شد، این ابهام کمتر می‌گردید. به بیان ساده، KRIها شاخص‌هایی برای ریسک‌های کلیدی هستند، نه شاخص‌های “کلیدی” برای همه ریسک‌ها؛ زیرا در غیر این صورت منجر به ایجاد تعداد زیادی شاخص بی‌اثر خواهد شد.

در عمل، برخی سازمان‌ها صدها شاخص را شناسایی کرده و تلاش می‌کنند با تکیه بر آن‌ها ریسک‌ها را مدیریت کنند. با این حال، جای سؤال است که آیا واقعاً هر سازمان می‌تواند چنین تعداد بالایی از شاخص کلیدی ریسک داشته باشد و آن‌ها را به‌طور مؤثر مدیریت کند، یا اینکه تعداد محدودی ریسک کلیدی وجود دارد که منشأ این حجم از شاخص‌ها هستند.

برخی دیگر از سازمان‌ها رویکردی متفاوت در پیش گرفته و تنها تعداد محدودی شاخص را انتخاب کرده‌اند تا تصویری از وضعیت عملکرد خود ارائه دهند. این رویکرد شبیه پزشکی است که تنها با اندازه‌گیری فشار خون، شمارش نبض و گوش دادن به صدای قلب، وضعیت سلامت فرد را ارزیابی کند. هرچند این داده‌ها نقطه شروع مناسبی به شمار می‌روند، اما به‌تنهایی برای تصمیم‌گیری نهایی کافی نخواهند بود.

شاخص کلیدی ریسک در چارچوب ریسک عملیاتی

شاخص‌ها یکی از چهار مؤلفه داده‌ای در چارچوب ریسک عملیاتی به شمار می‌روند. شاخص کلیدی ریسک می‌توانند به‌عنوان علائم هشدار اولیه عمل کرده و این امکان را فراهم کنند که پیش از تبدیل‌شدن یک تهدید به بحران برای کسب‌وکار، مدیریت و کنترل شود. این شاخص‌ها معمولاً به‌عنوان شاخص‌های پیشرو یا پیش‌نگر شناخته می‌شوند و سطح ریسک و وضعیت کنترل‌های موجود را نشان می‌دهند.

شاخص های شاخص کلیدی ریسک

شاخص کلیدی ریسک (KRI) یکی از پرکاربردترین ابزارها برای پایش علل، رویدادها و پیامدهای ریسک است. این شاخص‌ها به‌عنوان متغیرهایی قابل اعتماد، مبنای مناسبی برای برآورد زیان‌های ناشی از ریسک فراهم می‌کنند. مهم‌ترین چالش در تعریف KRI، تبدیل ریسک‌های کیفی به داده‌های کمی از طریق شناسایی روابط و توابع ریاضی است.

امروزه شاخص کلیدی ریسک جایگاه ویژه‌ای در سیستم‌های مدیریت ریسک عملیاتی دارد. هرچه سازمان‌ها شناخت دقیق‌تری از روابط علت و معلول به دست آورند، KRIها نقش پررنگ‌تری در پیش‌بینی ریسک‌های نوظهور، رویدادهای احتمالی و زیان‌های بالقوه ایفا می‌کنند. همچنین، ترکیب شاخص کلیدی ریسک با شاخص‌های کلیدی عملکرد (KPI) در حوزه‌های مختلف کسب‌وکار، دیدگاهی ارزشمند برای پایش مستمر وضعیت ریسک سازمان به وجود می‌آورد.

اندازه‌گیری KRIها می‌تواند بر اساس داده‌های عملکردی یا پایگاه داده‌های رویدادهای زیان صورت گیرد. باید توجه داشت که KRIها با پایش مستقیم زیان‌ها تفاوت دارند، زیرا وابسته به یک زیان خاص نیستند، بلکه نشان‌دهنده انحرافات احتمالی در عملکرد عملیاتی هستند. داده‌های مورد استفاده در KRI ممکن است به علت، رویداد یا پیامد ریسک اشاره داشته باشند و این شاخص تلاش می‌کند این ابعاد را کمی‌سازی کند.

تغییرات در عملکرد عملیاتی می‌تواند نشانه بروز یک ریسک جدید، علت یک رویداد یا پیامد آن باشد. ریسک‌های عملیاتی معمولاً ناشی از ضعف کنترل‌های داخلی، عدم رعایت رویه‌ها یا عوامل بیرونی غیرقابل پیش‌بینی هستند و در تمام بخش‌های سازمان رخ می‌دهند. در بسیاری از موارد، این ریسک‌ها را می‌توان به‌طور مستقیم یا غیرمستقیم از طریق KPIها نیز سنجید.

KRIها در چارچوب مدیریت ریسک عملیاتی مانند ابزاری برای پایش مستمر محیط ریسک عمل می‌کنند. با تعیین معیارهای مشخص، می‌توان تغییرات ناشی از عوامل داخلی، محیطی و کنترلی را ردیابی کرد.

با این حال، چالش اصلی، انتخاب معیارهایی است که واقعاً سطح ریسک را نشان دهند. بسیاری از معیارها تنها داده‌های خام هستند و نباید با شاخص کلیدی ریسک اشتباه گرفته شوند. تا زمانی که ارزش و اعتبار یک معیار اثبات نشده، بهتر است صرفاً به‌عنوان داده یا شاخص عمومی در نظر گرفته شود. برای مثال، تعداد معاملات ناموفق در یک روز تنها یک داده خام است و به‌تنهایی نمی‌تواند سطح ریسک را نشان دهد. اما اگر این معیار با حجم کل معاملات مقایسه و درصد معاملات ناموفق محاسبه شود، آنگاه می‌تواند به یک KRI معتبر تبدیل گردد.

انتخاب شاخص کلیدی ریسک

بسیاری از واحدهای مرتبط با ریسک عملیاتی در نخستین مرحله تعریف شاخص کلیدی ریسک (KRI) با حجم گسترده‌ای از معیارها روبه‌رو می‌شوند. این معیارها نیاز به پالایش و انتخاب دقیق دارند تا تنها شاخص‌های مؤثر و کاربردی شناسایی و ارتقا یابند. اجرای برنامه خودارزیابی ریسک و کنترل (RCSA) پیش از جستجوی شاخص کلیدی ریسک بسیار سودمند است، زیرا باعث می‌شود تمرکز صرفاً بر معیارهایی قرار گیرد که با ریسک‌های شناسایی‌شده در RCSA ارتباط مستقیم دارند.

RCSA به مدیر ریسک عملیاتی کمک می‌کند تشخیص دهد کدام ریسک‌ها در وضعیت بالا یا پایین قرار دارند و در صورت تضعیف محیط کنترلی، احتمال بروز مشکل از آن‌ها بیشتر است. در ادامه، مدیر می‌تواند بررسی کند کدام کنترل‌ها در رتبه‌بندی ریسک مؤثر هستند و چگونه با استفاده از شاخص کلیدی ریسک می‌توان آن‌ها را پایش کرد.

پس از شناسایی ریسک‌هایی که نیازمند نظارت هستند، می‌توان از اصول SMART برای انتخاب یا طراحی شاخص کلیدی ریسک مناسب استفاده نمود. این اصول عبارتند از:

• خاص (Specific)
• قابل اندازه‌گیری (Measurable)
• قابل دستیابی (Attainable)
• مرتبط بودن (Relevant)
• به‌موقع بودن (Timely)

یافتن شاخص‌هایی که تمام این ویژگی‌ها را به‌طور کامل داشته باشند دشوار است، اما می‌توان از شاخص‌های نماینده به‌صورت موقت یا حتی دائمی بهره گرفت. در نهایت، پس از تعیین داده‌های موردنیاز، مدیر ریسک عملیاتی باید آستانه‌ها، مقیاس‌ها و فرآیندهای مناسب گزارش‌دهی را نیز مشخص کند.

استانداردهای شاخص کلیدی ریسک

هر شاخص کلیدی ریسک (KRI) باید به‌صورت منظم مورد پایش قرار گیرد و حداقل استانداردهای آن توسط واحد ریسک عملیاتی مشخص شود. فرآیند جمع‌آوری شاخص کلیدی ریسک معمولاً زمان‌بر و پیچیده است، به همین دلیل بسیاری از سازمان‌ها از سیستم‌های فناوری برای استخراج خودکار داده‌ها و آماده‌سازی آن‌ها جهت تحلیل استفاده می‌کنند.

برای هر شاخص کلیدی ریسک لازم است مجموعه‌ای از ویژگی‌ها و معیارها به‌طور شفاف تعریف شود، از جمله:

• نام شاخص
• ریسکی که شاخص آن را پایش می‌کند
• روش محاسبه
• مالک یا مسئول KRI
• آستانه هشدار (پرچم قرمز) یا سطوح مختلف آستانه مانند قرمز، زرد، سبز یا زیاد، متوسط، کم
• دوره گزارش‌دهی

تعریف دقیق این ویژگی‌ها باعث می‌شود شاخص کلیدی ریسک کاربردی‌تر بوده و امکان مقایسه‌پذیری و تحلیل دقیق‌تری در مدیریت ریسک عملیاتی فراهم شود.

چالش های شاخص کلیدی ریسک

بزرگ‌ترین چالش در زمینه شاخص کلیدی ریسک، شناسایی شاخص‌های مناسب است. اگرچه روش‌های مختلفی برای گردآوری شاخص کلیدی ریسک در حال توسعه هستند، اما همچنان اجماع کاملی در این خصوص وجود ندارد. همچنین، جمع‌آوری داده‌هایی که نقش حیاتی در مدیریت ریسک عملیاتی دارند، معمولاً فرآیندی دشوار و پرچالش است. انیشتین در این رابطه گفته است: «همه چیزهایی که قابل شمارش‌اند مهم نیستند و همه چیزهای مهم الزاماً قابل شمارش نیستند.»

انجمن بانکی آمریکا و انجمن مدیریت ریسک (RMA) پیشنهادهایی درباره شاخص کلیدی ریسک ارائه کرده‌اند، اما این شاخص‌ها ممکن است به صدها یا حتی هزاران مورد برسند. در عمل، سازمان‌ها معمولاً به دنبال مجموعه‌ای محدود از KRIهای مؤثر هستند که بتوانند وضعیت ریسک عملیاتی را به‌درستی نمایش دهند.

از آنجا که شاخص کلیدی ریسک بدون معیار مقایسه صنعتی تنها در چارچوب همان سازمان قابل ارزیابی است، تکیه صرف بر مقایسه داخلی می‌تواند منجر به احساس امنیت کاذب شود. ممکن است یک شاخص پایدار به نظر برسد، اما دلیل آن پایین بودن سطح کنترل‌ها در مقایسه با استانداردهای صنعت باشد.

بنابراین، بهترین رویکرد این است که شاخص‌ها با ریسک‌ها و کنترل‌هایی که در فرآیند RCSA شناسایی و به‌عنوان عوامل کلیدی مدیریت ریسک عملیاتی تعیین شده‌اند، همسو شوند. یک برنامه جامع برای شاخص کلیدی ریسک نیازمند اعتبارسنجی مداوم، بازخورد مستمر و رعایت استانداردهای سخت‌گیرانه است.

تفاوت شاخص کلیدی ریسک (KRI) با KPI در چیست؟

وقتی شرکت‌ها تصمیم به پایش عملکرد می‌گیرند، معمولاً بدون استثنا سراغ اندازه‌گیری نتایج می‌روند. این رویکرد اشتباه است، زیرا نتایج تنها نشان می‌دهند چه اتفاقی رخ داده، نه علت آن. شما می‌توانید یا خود نتایج را بسنجید یا اقداماتی را که به آن نتایج منجر می‌شوند.

شاخص کلیدی ریسک ابزاری است برای تمرکز بر پیامدهای کلی و نهایی. این شاخص نباید برای ردیابی مستقیم اقدامات یا فعالیت‌ها به کار رود، چرا که درآمد، سود یا تعداد مشتریان تنها پیامد چندین فعالیت مختلف هستند و اقدام خاصی را بازتاب نمی‌دهند.

گاهی این خطای رایج از نگاه مدیریتی ناشی می‌شود. به‌عنوان مثال، مدیرکل یک باشگاه هاکی بیشتر به نتایج (مثل برد یا باخت) علاقه دارد، اما مربی نیاز دارد اقداماتی مانند افزایش تعداد شوت‌ها، پاس‌ها و دفاع مؤثر بازیکنان را بررسی کند. این اقدامات با شاخص کلیدی عملکرد سنجیده می‌شوند، در حالی که شاخص کلیدی ریسک همان پیروزی است. اگر شاخص‌های عملکردی بهبود یابند، احتمال دستیابی به شاخص کلیدی ریسک بیشتر خواهد شد.

یکی از پرسش‌های متداول این است که «آیا باید این KPI را در داشبورد مدیریتی بیاورم؟». پاسخ با قاعده IPA مشخص می‌شود. هر KPI برای حضور در داشبورد باید اهمیت، قابلیت بهبود و اختیار لازم برای اقدام را داشته باشد.

در نهایت، داشبورد مدیریتی باید ساده، شفاف و کاربردی باشد. هر متریک باید پاسخی روشن به این پرسش بدهد: «آیا همین حالا باید اقدامی انجام دهم؟». برای سنجش این موضوع باید هر شاخص کلیدی عملکرد را پیش از صرف وقت آزمایش کنیم. این همان جایی است که قاعده IPA اهمیت پیدا می‌کند و کمک می‌کند تمایز میان KPIها و شاخص کلیدی ریسک روشن‌تر شود.

قاعده IPA چیست؟

🔹 اهمیت (Important): آیا این KPI واقعاً مهم است؟ بهترین راه بررسی اهمیت آن این است که بپرسید: اگر عملکرد این KPI ضعیف شود، چه کسی ناراضی خواهد شد یا شکایت می‌کند؟ اگر هیچ فرد یا بخشی از سازمان نسبت به افت آن واکنشی ندارد، بهتر است این شاخص فوراً حذف شود.

🔹 بهبود بالقوه (Potential Improvement): آیا این شاخص قابلیت بهبود دارد؟ آیا ارزش دارد برای اصلاح آن اقدام کنید؟ اگر پاسخ منفی است، نگه داشتن آن در داشبورد مدیریتی بی‌فایده خواهد بود.

🔹 اختیار (Authority): آیا شما ابزارها و اختیارات لازم برای بهبود این KPI را دارید؟ اگر امکان تأثیرگذاری مستقیم بر نتایج وجود نداشته باشد، پایش آن سودی نخواهد داشت. با این حال، اگر اختیار نسبی دارید و می‌توانید به افراد یا واحدهایی که تأثیر مستقیم دارند کمک کنید، می‌توانید این KPI را موقتاً در داشبورد نگه دارید.

جمع‌بندی

شاخص کلیدی ریسک (KRI) ابزاری حیاتی برای پایش ریسک‌های سازمان است و نقش یک هشداردهنده مؤثر را ایفا می‌کند. هر شاخص کلیدی ریسک باید کوچک، هدفمند و دقیقاً مرتبط با ریسک‌های کلیدی طراحی شود تا بتواند تصویر واقعی از وضعیت ریسک ارائه دهد. استفاده بی‌رویه از شاخص‌های متعدد و پراکنده ارزش چندانی ندارد؛ در مقابل، تمرکز بر یک مجموعه محدود از شاخص کلیدی ریسک که معتبر، قابل اتکا و قابل اقدام باشند، بهترین رویکرد مدیریتی است. در نهایت، هر شاخص کلیدی ریسک زمانی ارزشمند خواهد بود که بتواند به مدیران و واحدهای عملیاتی در تصمیم‌گیری سریع و پیشگیری از تشدید ریسک کمک کند.