Die Erwartungen der FINMA an den Umgang mit Risikotoleranz haben sich deutlich weiterentwickelt. Für viele Institute stellt sich damit verstärkt die Frage, wie die entsprechenden Vorgaben so umgesetzt werden können, dass sie im operativen Steuerungsalltag konsistent messbar und tatsächlich entscheidungsrelevant sind. Key Risk Indicators (KRIs) nehmen dabei eine zentrale Funktion ein – nicht als reine Reporting-Grösse, sondern als Steuerungsinstrument, das Risiken frühzeitig sichtbar macht und fundierte Entscheidungen sowie wirksame Governance-Prozesse unterstützt.
Damit KRIs diese Rolle erfüllen, braucht es neben einer präzisen Herleitung und Definition auch eine klare Einbettung in Verantwortlichkeiten und Entscheidungswege. Ein KRI ist nicht einfach eine Kennzahl, sondern Teil einer Steuerungslogik: Er soll sichtbar machen, ob und wo sich ein Risiko in Richtung der definierten Toleranzgrenzen bewegt – und er muss so ausgestaltet sein, dass daraus konkrete Reaktionen entstehen können. Das betrifft nicht nur das Risk Management, sondern die Linie, die Geschäftsleitung und – je nach Eskalationsgrad – den Verwaltungsrat. Kurz: KRIs entfalten ihren Nutzen nur dort, wo sie Governance, Diskussion und Massnahmen tatsächlich verbinden.
Wo KRIs in der Praxis häufig scheitern
Ein zentrales Muster, das sich beobachten lässt, ist ein Überangebot an KRIs. Umfangreiche Dashboards vermitteln den Eindruck hoher Transparenz, führen aber faktisch zu Überforderung. Verantwortlichkeiten sind nicht klar zugeordnet, Eskalationenswege fehlen, und auf Ebene Verwaltungsrat bleibt oft unklar, welche Kennzahlen tatsächlich entscheidungsrelevant sind. Entscheidend ist daher nicht die Anzahl der KRIs, sondern ihre Fähigkeit, zentrale Risiken präzise abzubilden und konkrete Reaktionen auszulösen.
Hinzu kommt, dass viele KRIs keine echten Frühindikatoren sind. In der Praxis werden häufig Aktivitäts- oder Volumenkennzahlen gemessen, die vergangene Geschäftstätigkeit abbilden, aber kaum Hinweise auf einen sich aufbauenden Risikoanstieg liefern. Idealerweise sollte ein KRI aber bereits anschlagen, bevor sich das Risiko materialisiert hat. Genau deshalb ist die Auswahl der Messgrösse kritisch: Sie setzt am besten frühzeitig an – nicht erst am Ende der Kette, wenn die Steuerungsoptionen bereits eingeschränkt sind.
Schliesslich bleibt die Steuerungslogik oft unvollständig. Messungen werden durchgeführt und dokumentiert, doch es fehlt eine klare Antwort auf die entscheidenden Fragen: Was bedeutet ein Wert im gelben oder roten Bereich – und wer muss wie reagieren? Risikotoleranz wirkt nur, wenn sie messbar ist und wenn Limitenverletzungen zu klaren Entscheidungen führen. Wo Signale zwar berichtet, aber ohne verbindliche Reaktion bleiben, bleibt auch die Risikotoleranz faktisch „Papier“. Der Markt zeigt, dass diese Konsequenz noch nicht überall gleich stark gelebt wird – gerade deshalb rückt die Kopplung von Schwellenwerten, Eskalation und Massnahmen verstärkt in den Fokus.
Was „gute“ KRIs ausmacht – und wie sie anschlussfähig werden
Wenn KRIs wirken sollen, müssen sie konsequent vom Risiko her gedacht werden – nicht von verfügbaren Daten oder bestehenden Reports. Entscheidend ist die Kette von der Strategie, dem Risiko, über die Risikotoleranz zu den Treibern: Zuerst muss klar sein, welches Risiko und welche Toleranzgrenzen gesteuert werden sollen. Danach sind die Risikotreiber zu identifizieren, also Faktoren, die das Risiko typischerweise aufbauen (z. B. Exponierung, Prozessqualität, Konzentrationen, Ressourcenengpässe). Erst dann lässt sich eine Messgrösse bestimmen, die diesen Treiber früh sichtbar macht – idealerweise über Anteile, Trends oder Muster, nicht über isolierte absolute Zahlen, wobei man sich stehts innerhalb der vorgegebenen Strategie eines Unternehmens bewegen muss.
Ebenso zentral ist die Ausgestaltung der Schwellenwerte: Ein KRI ist nur dann steuerungsfähig, wenn klar definiert ist, ab wann eine Entwicklung nicht mehr akzeptabel ist (Ampellogik, Limiten, harte Verbote) und welche Massnahmen damit verbunden sind. Genau dieser letzte Schritt wird in der Praxis häufig unterschätzt: Ein KRI ohne definierte Reaktion ist nicht Steuerung, sondern Dokumentation. Umgekehrt entsteht ein Steuerungsinstrument dort, wo die Reaktionskette vorab festgelegt ist – von der operativen Korrektur über Eskalation bis hin zu Policy- oder Geschäftsentscheiden – inklusive klarer Zuständigkeiten je Eskalationsstufe.
KRIs müssen zudem mit Umfeld und Erwartungen mitgehen. Selbst gut hergeleitete Indikatoren verlieren an Aussagekraft, wenn sie als statisches Set verstanden werden. Marktbedingungen, Risikolage und regulatorische Anforderungen verändern sich – entsprechend müssen Schwellenwerte regelmässig überprüft und bei Bedarf angepasst werden. Dabei geht es nicht um opportunistisches „Verschieben“ von Grenzen, sondern um die Sicherstellung der Steuerungsfähigkeit: Schwellenwerte sollen früh warnen, ohne dauernd Fehlalarme auszulösen oder so tolerant zu sein, dass sie nie greifen.
Fazit
KRIs entfalten ihren Wert erst dann, wenn sie die Lücke zwischen Messung und Entscheidung schliessen. Weniger, dafür entscheidungsrelevante Indikatoren mit klarer Ownership sind wirksamer als breite Kennzahlensets ohne Steuerungslogik. Entscheidend sind Frühindikator-Qualität, belastbare Schwellenwerte und eine Governance, die bei Abweichungen konsequent reagiert. Und weil sich Umfeld und Erwartungen verändern, braucht ein KRI-Ansatz laufende Pflege: regelmässige Überprüfung, nachvollziehbare Anpassungen und eine konsequente Verankerung im Führungshandeln.