5.5.5. Prestatie-indicatoren (KPI’s)
Om de efficiëntie en effectiviteit van een proces te kwalificeren en waar nodig bij te sturen wordt een proces gemeten aan de hand van prestatie-indicatoren. De belangrijkste indicatoren worden KPI’s of Key Performance Indicatoren genoemd. Per KPI wordt een norm afgesproken en de rapportering gebeurt per periode, bvb maandelijks of halfjaarlijks.
KPI’s worden ook gebruikt om bij outsourcing en externe dienstverlening de kwaliteit van het uitbestede proces op te volgen. Deze KPI’s worden dan ook vaak opgenomen in de SLA.
Voorbeelden van KPI’s voor het proces risicobeheer zijn:
Aantal risico’s per maand;
Aantal openstaande risico’s per maand;
Aantal opgeloste risico’s per maand;
Doorlooptijd van een risico (van melding tot afsluiting);
Aantal informatie veiligheidsrisico’s t.o.v. het totaal aantal risico’s;
Aantal niet geregistreerde of onvolledige risico’s;
Aantal risico’s dat bij eerste melding correct verholpen is;
Aantal risico’s met juist communicatie naar betrokkenen;
Aantal geëscaleerde risico’s (functioneel en hiërarchisch);
Het vastleggen van de juiste prestatie-indicatoren is een moeilijke klus die de nodige aandacht vraagt:
een teveel aan KPI’s zal de organisatie (te) veel werk bezorgen, maar te weinig of onjuiste KPI’s schetsen geen goed beeld van de kwaliteit van het risicobeheerproces.
De doelgroep voor de rapportering bepaalt tevens het type KPI: zo zal de risicomanager of CISO belang stellen in andere prestatie-indicatoren dan bvb de directie.