Key Risk und Key Performance Indicators im Corporate Security Management
In fünf Schritten zu aussagekräftigen Leistungsindikatoren
Von Dipl. Pol. Lars D. Preußer, CPP®, CCTP®, Geschäftsführender Gesellschafter der Laurentium GmbH, Berlin
Warum trifft man immer noch so viele Unternehmensvorstände und Abteilungsleiter, die nicht sagen können, was „die da in der Unternehmenssicherheit“ eigentlich machen? Schlimmstenfalls bleibt die Wahrnehmung der Corporate Security sogar auf installierte Kameras und den (externen) Wachschutz beschränkt. Und dies, obwohl die fachlichen Ansprüche, Aufgaben und von einer Unternehmenssicherheit zu managenden operativen Risiken in den vergangenen Jahrzehnten stetig zugenommen haben.
Die Gründe hierfür können selbstverständlich vielfältig sein. Übertragen wir eine solche Unkenntnis des geleisteten Wertbeitrags der Corporate Security zum Geschäftserfolg beispielhaft auf einen Konsumartikel, so wäre wohl unsere erste Reaktion, die Verantwortung für dieses Defizit dem Produzenten des Artikels selbst zuzuschreiben. Als Ursachen für den geringen Bekanntheitsgrad und die geringe Wertschätzung seines Produkts würde man, ein gutes Produkt vorausgesetzt, sehr wahrscheinlich eine mangelhafte Kommunikation, unzureichend dargestellte Preis- und Produktvorteile oder nicht zielgruppenbezogene Werbung vermuten.
Wenden wir uns wieder der Unternehmenssicherheit zu, so sind es ebendiese Unterlassungen, die es den Leitern der Corporate Security oft erschweren, sich im Vergleich und im Wettbewerb mit anderen Abteilungsleitern bei Vorstand und Geschäftsführung auf Augenhöhe zu präsentieren. Der schwierigen Nutzendarstellung der Corporate Security wird dann zu oft ausgewichen. Statt an den eigenen analytischen und kommunikativen Herausforderungen zu arbeiten, versucht die Security diese streckenweise mit dem Aufbau guter persönlicher Beziehungen in die Unternehmensleitung zu kompensieren oder hofft nach einem sicherheitsrelevanten Ereignisfall auf Ad-hoc-Budgets und Handlungsmandate. Personelle Veränderungen in Vorstand oder Geschäftsführung können dann jedoch schnell zum russischen Roulette für die Bedeutung der Unternehmenssicherheit und eine nachlassende Management Attention zum Risiko für die langfristige Umsetzung von Maßnahmen und Ressourcen werden.
Wie also zu den anderen Abteilungsleitern aufschließen, vom Taktischen in das Strategische kommen und sich langfristig die Wahrnehmung und Wertschätzung der C-Suite sichern? Der Schritt gelingt, wie bei allen angestrebten Veränderungen auch, zunächst ganz trivial mit einer schonungslosen und systematischen Bestandsaufnahme der eigenen Tätigkeit.
Soul Searching im Security Management
Um eine solche Inventur auf den Weg zu bringen, ist es zielführend, aus der Routine des täglichen Security Managements auszubrechen, sich Zeit für Grundsätzliches zu nehmen und einmal alles infrage zu stellen. Auch die Infragestellung der eigenen Daseinsberechtigung im Unternehmen sollte im Rahmen einer solchen Bestandsaufnahme kein Tabu sein. Konkret kann dies beispielsweise auch bedeuten, zu hinterfragen, ob es für das Unternehmen nicht vielleicht kosteneffizienter wäre, vereinzelte Schutzmaßnahmen auslaufen zu lassen und Sicherheitsrisiken stattdessen pauschal über Versicherungspolicen abzudecken.
Der ein oder andere Sicherheitsmanager wird feststellen, dass das eigene Portfolio von angreifbaren Argumenten getragen wird und es an mit Zahlen belegten Wirksamkeits- und Effizienznachweisen fehlt. Aber Argumente wie „haben wir schon immer so gemacht“ (eloquent: Kontinuität), „machen die anderen auch so“ (eloquent: Benchmarking) oder „ist so Standard“ (eloquent: Compliance) tragen nur bis zu dem Punkt, ab welchem diese, ggf. im Rahmen einer Budgetkürzungsrunde, kritisch hinterfragt werden.
Die Neuorientierung hin zu einer zahlenbasierten Kosten- und Leistungstransparenz im Security Management bedarf im Rahmen der eigenen Bestandsaufnahme zunächst einer soliden empirisch-statistischen Datenbasis über Risiken und einer analytischen Auseinandersetzung mit den ursprünglichen Begründungen bzw. Zielsetzungen für die verantworteten präventiven und reaktiven Schutzmaßnahmen.
Schritt 1: Datenbasis / Key Risk Indicators
Idealerweise kann man als Security Manager auf vorangegangene Risikoanalysen, Ermittlungsergebnisse, Auditberichte oder Ursachenanalysen (Root-Cause Analysis) zurückgreifen, in denen sich belastbare Kennzahlen zu Risiken und Schadensereignissen finden. Manchmal muss man als Verantwortlicher für die Unternehmenssicherheit jedoch feststellen, dass die eigenen Vorgänger nicht so sauber gearbeitet haben, wie man es sich gewünscht hätte, und die Begründung für so manches Schutz- oder Präventionsprojekt auf tönernen Füßen steht.
Unabhängig davon, ob es um Budget und Akzeptanz für eine neu aufzusetzende Sicherheitsmaßnahme oder um kritisches Hinterfragen existierender Schutzkonzepte geht, kann nur eine solide Datenbasis mit Spätindikatoren1 über die erwarteten Risiken und/oder das erlittene Schadensausmaß Abhilfe schaffen. In der Erhebung dieser statistischen Datenbasis spielen die Prozesse des Risk Monitoring und Incident Reporting die entscheidende Rolle. Sie liefern unsere Key Risk Indicators (KRI). Über diese Kennzahlen lässt sich die Kriminalitätsbelastung im Unternehmen statistisch (quantitativ und qualitativ) erfassen sowie konkret beschreiben, analysieren und bewerten. Die Fähigkeit der Unternehmenssicherheit, Risiken in ihrem geschätzten Schadensausmaß und ihrer Wahrscheinlichkeit darzustellen und tatsächliche Schadensereignisse in ihren direkten und indirekten Schadenswirkungen, Grundursachen, Täterstrukturen und Trends als harte Fakten in den Diskurs einzubringen, ist das Fundament des Corporate Security Controllings.
Bevor wir also unsere „Performance“ bzw. die unserer Maßnahmen (ver)messen können, müssen wir wissen, wogegen sich unsere Maßnahmen eigentlich richten sollen (oder sollten). Beispielhaft erfasst das globale Incident Reporting/Monitoring einer Sicherheitsabteilung Schadensfälle, die auf eine unterlassene Hintergrundüberprüfung von Geschäftspartnern und Personalzugängen zurückgehen. Zeigt sich in der Analyse der erfassten Schadensereignisse, dass dem Unternehmen innerhalb eines Zeitraums von 12 Monaten durch kriminelle Geschäftspartner und die Einstellung unseriöser Bewerbungskandidaten in insgesamt 60 Einzelfällen ein Schaden von rund 3 Millionen Euro entstanden ist, so ist dies die Datenbasis, sind dies die Key Risk Indicators, die wir als argumentatives Fundament und Ausgangspunkt für unsere Performance-Messung benötigen und suchen. Durch das Incident Reporting gemeldet (push) oder mittels Audits und Fallanalysen eingeholt (pull), müssen über den zweifelsfreien Nachweis des eindeutigen kausalen Zusammenhangs zwischen Schadensereignissen und unterlassener Hintergrundüberprüfung hinaus für das vorgenannte Beispiel folgende Kennzahlen vorliegen:
- Anzahl der Schadensereignisse
- Höhe der jeweiligen Schadenssummen (Primär- und Folgeschäden)
Schritt 2: Kontextualisierung
Können wir unsere Schadensstatistik darüber hinaus mit anderen Zahlen/Informationen sinnvoll ins Verhältnis setzen, also beispielhaft darstellen, dass insbesondere die Abteilung XY pro neuem Geschäftspartner / eingestelltem Bewerber überproportional betroffen war, der Geschäftsprozess XYZ besonders attraktiv für kriminelle Geschäftspartner zu sein scheint und unsere Fallanalyse gezeigt hat, dass es bei 80 % der Schadensereignisse vorab Anhaltspunkte zum Erkennen unlauterer Absichten gegeben hätte (preventable risk), dann haben wir eine aussagekräftige Datenbasis und somit einen guten Business Case für die Einführung von Due Diligences bzw. Pre-Employment Screenings in das Alltagsgeschäft.
Eine sinnvolle Kontextualisierung unserer KRIs ist aber nur durch die Erfassung begleitender Informationen und Fallanalysen möglich. Für die obige Darstellung müssen zum beobachteten Zeitraum auch die folgenden Informationen vorliegen:
- Geschädigte Abteilung
- Betroffener Geschäftsprozess
- Häufigkeit von vorhandenen, aber nicht erkannten Anhaltspunkten (Red Flags)
- Gesamtzahl der neuen Geschäftspartner / eingestellten Bewerber in der betroffenen Abteilung
In der Fallauswertung und Ausarbeitung zielgerichteter Präventionsmaßnahmen kann sich beispielhaft auch die Erfassung weitergehender Erkenntnisse als nützlich erweisen:
- Zeitraum zwischen Initialisierung des Geschäftsprozesses und Erkennen des Schadensereignisses (> Grad der Awareness der Risikoinhaber)
- Zeitraum zwischen Erkennen des Schadensereignisses und Reporting durch die betroffene Abteilung an die Corporate Security (> Einhalten von Reporting-Fristen und Anteil der Schadensereignisse, bei denen das Schadensvolumen ggf. nicht mehr durch reaktive Maßnahmen reduziert werden konnte)
- Implementierungsgrad von Präventivmaßnahmen nach Abteilung (> Compliance / Akzeptanz der Maßnahmen und Darstellung des Wirkungsgrads der Maßnahmen bei maximalem Umsetzungsgrad)
- Zuordnung von Schadensereignissen zu tiefer liegenden internen Ursachen (> wie z. B. Ignoranz oder zu hohe Risikoaffinität vonseiten der Risikoinhaber, falsche Incentivierung durch das Management oder mangelnde Aufsicht und Compliance)
- Zuordnung der Schadensereignisse z. B. zu Standorten, Sparten, Ländern, Zeiträumen, je 100 Mitarbeitern, Volumina der Geschäftsprozesse, unterschiedlichen Tätergruppen, tatbegleitenden oder tatbegünstigenden Umständen etc.
Schritt 3: Allgemeine Zielsetzung
Um also neue Security-Programme aufzusetzen oder existierende auf ihre Effektivität zu prüfen, müssen wir mittels einer belastbaren und plausibilisierten statistischen Datenbasis aus dem Incident Reporting unsere KRIs kennen und in einen verständlichen Gesamtzusammenhang bringen. So erhalten wir Kenntnis über die absolute und relative Höhe der Schäden in der Vergangenheit, welche Umstände tatbegünstigend gewirkt haben und welche Assets, Risikoinhaber und Prozesse besonders betroffen waren.
Ausgehend von der begründeten Annahme einer anhaltenden Kriminalitätsbelastung folgt im nächsten Schritt die Ausformulierung der Zielsetzung für die angestrebten Maßnahmen, hier für die Einführung von Due Diligences bzw. Pre-Employment Screenings. Diese könnte dem Beispiel folgend lauten: „Reduzierung von Schadensereignissen und -höhen, die durch unzureichend überprüfte (kriminelle) Geschäftspartner und (unseriöse) Bewerbungskandidaten verursacht werden“.
Für das Security Controlling und die Value Proposition der Unternehmenssicherheit ist eine derart allgemeine Zielvorgabe jedoch zu unkonkret und somit schwer messbar. Der Weg hin zu aussagekräftigen Leistungsindikatoren, die unmissverständlich die Leistung des Prozesses ausdrücken, führt über die Operationalisierung der angestrebten Zielsetzungen, also die Messbarmachung mittels messbarer Merkmale.
Schritt 4: Operationalisierung und Key Performance Indicators
Je detaillierter und konkreter wir das ausformulieren, was wir mit unseren Maßnahmen bewirken wollen, desto einfacher wird es auch, aussagekräftige KPIs zu entwickeln. Das gelingt, wenn wir vorab Erfolgsfaktoren unserer Maßnahmen benennen und eine klare Vorstellung davon haben, welche Aussagen wir mit unseren KPIs generieren wollen. Im Vordergrund steht die Fragestellung, woran die Leistung der Maßnahmen am besten gemessen werden kann und welche Daten für die eigene Ressourcensteuerung am aussagekräftigsten sind. In der Fortschreibung des eingeführten Beispiels könnte die Ursachenanalyse z. B. ergeben haben, dass einige Risikoinhaber zu risikoaffin oder ignorant handeln und zudem die Schadensereignisse zu spät an die Corporate Security gemeldet wurden und hierdurch eine schadensreduzierende Intervention nicht mehr möglich war. Neben der naheliegenden Zielsetzung der Reduzierung von Inzidenz und Schadenssumme fügen sich somit auch u. a. die Sensibilisierung der Risikoinhaber und eine Einführung von Reporting-Fristen in die Ausformulierung unserer Zielsetzung als Erfolgsfaktoren mit ein.
Die Corporate-Security-relevanten Erfolgsfaktoren bzw. Key-Performance-Indikatoren könnten also wie folgt aussehen:
- Veränderung der Schadensereignisse in Absolutzahlen (|…|) und in Prozent (%) im Vergleich zum Vorjahr und ggf. zum gesetzten Planziel
- Veränderung der Schadenssumme in absoluten Zahlen und in Prozent im Vergleich zum Vorjahr und ggf. zum gesetzten Planziel
- Veränderung des Anteils der eingetretenen Schadensereignisse an der Gesamtzahl der Geschäftsprozesse in Prozent, bei denen später in der Fallanalyse nicht erkannte Red Flags identifiziert wurden
- Veränderung der Schadenssumme als Anteil der Geschäftsprozesskosten in Prozent im Vergleich zum Vorjahr und ggf. zum gesetzten Planziel
- Prozentuale Veränderung der Schadensereignisse und Schadenssumme je 100 neue Geschäfts¬partner nach Abteilung im Vergleich zum Vorjahr und ggf. zum gesetzten Planziel
- Veränderung in der Einhaltung von Reporting-Fristen insgesamt und nach Abteilung im Vergleich zum Vorjahr und ggf. zum gesetzten Planziel
- Veränderung und Status im Implementierungsgrad von Präventivmaßnahmen nach Abteilung im Vergleich zum Vorjahr und ggf. zum gesetzten Planziel (> Korrelation von Implementierungs¬grad und Schadensreduzierung möglich)
- Anteil der Geschäftsprozesse, bei denen das Screening Red Flags übersehen hat und es zu Schadensereignissen kam (Wirkungsgrad des eigentlichen Screening-Prozesses)
- Kosten der Screening-Maßnahmen im Verhältnis zu der verhinderten Schadenssumme und dem ermöglichten Geschäftserfolg (> Return of Security Investment – RoSI)
Zuvor haben wir uns numerische und prozentuale Soll-Vorgaben gesetzt und nutzen diese zusammen mit den Zahlen des Vergleichszeitraums (hier zwölf Monate) als Benchmark für die Performance-Darstellung
- des eigenen Wertbeitrags,
- der Messung des Wirkungsgrads der implementierten Maßnahmen,
- der Akzeptanz und des Implementierungsfortschritts/Compliance,
- zeitbezogener Erfolgsfaktoren und
- der Security-Rendite (RoSI).
Die Formulierung von Planzielen zur Bemessung des eigenen Erfolgs hat jedoch auch ihre Tücken, da der direkte Einfluss der Corporate Security auf interne Prozesse beschränkt ist. Darüber hinaus bleiben Häufigkeit und Professionalität krimineller Angriffe auf die Assets eines Unternehmens zu weiten Teilen eine von den Tätern bestimmte exogene Größe, die sich diesem Einfluss mit einem unbekannten Faktor entzieht.
Während der Erfolg bei der Verhinderung von Schadensereignissen mittels rechtzeitiger Erkennung oder Intervention leicht darstellbar ist, bleibt die Wirkung der Maßnahmen auf das Verhalten externer Täter, z. B. durch Ablassen vom Unternehmen (aufgrund von Frustration oder Abschreckung), rein spekulativ. So können eine nachlassende Kriminalitätsbelastung und damit einhergehende abnehmende Schadensvolumina auch zu Fehlschlüssen über die Effektivität / Performance der umgesetzten Präventions- und Reaktionsmaßnahmen führen, insbesondere in Bezug auf den Aspekt der Abschreckung von Sicherheitsmaßnahmen.
Schritt 5: Die Botschaft und Value Proposition
Aus den genannten KPIs ließe sich eine aussagekräftige Value Proposition formulieren:
- Wertbeitrag: „Im ersten Jahr nach der Einführung der neuen (Screening-)Maßnahmen konnten sowohl die Anzahl der Schadensereignisse als auch die Schadenssumme nahezu halbiert werden. Das entspricht EUR 1,2 Mio. verhindertem Verlust und einer 0,5%igen Reduzierung aller Geschäftsprozesskosten im Unternehmen. In den ersten 12 Monaten haben wir damit die gesetzten Planziele übertroffen.“
- Wirkungsgrad: „Die Abteilungen, welche das Screening- und Sensibilisierungs-Programm bereits vollumfänglich umsetzen, verzeichnen kaum noch Verluste durch kriminelle Geschäftspartner oder unseriöse Bewerbungskandidaten. Die bisherige Ausgestaltung des Screening-Prozesses weist mit 74 % eine sehr hohe Quote bei der Erkennung von Red Flags auf. Durch weitere Fallauswertungen werden wir diese Quote in den kommenden Monaten weiter steigern können.“
- Akzeptanz und Compliance: „Wie unsere Zahlen jedoch auch zeigen, wurden bei 66 % der noch eingetretenen Schadensereignisse später in der Fallanalyse nicht erkannte Red Flags identifiziert. Dieser hohe Anteil an nicht erkannten Red Flags ist auf den niedrigen Implementierungsgrad in den Abteilungen XY und XZ zurückzuführen. Sie verzeichnen je 100 neue Geschäftspartner / Stellenbewerber weitaus überdurchschnittliche Inzidenzen. Aufgrund der niedrigen Compliance und Risikoaffinität in diesen beiden Abteilungen werden unsere Präventionsangebote selten nachgefragt. Wir bauen hier auf die Unterstützung von Corporate Audit und Compliance.“
- Zeitbezogene Erfolgsfaktoren: „Durch unsere Sensibilisierungskampagne konnte die zuvor bei durchschnittlich 13 Tagen angesiedelte Meldeverzögerung von Schadensereignissen auf durchschnittlich 4 Tage reduziert werden. Aber auch hier sehen wir dringenden Handlungsbedarf in den vorgenannten Abteilungen. Insbesondere, da das schnellere Incident Reporting eine zeitnahe Intervention und Reduzierung der Schadenshöhe ermöglicht. Der Anteil der schnellen Intervention an dem verhinderten Schadensvolumen belief sich auf 10 %.“
- Security-Rendite (Return on Security Investment): „Abzüglich des Mitteleinsatzes von EUR 400.000 für die Präventions- und Sensibilisierungsmaßnahmen trägt das Screening-Programm bereits im ersten Jahr nach Einführung 800.000,- EUR zum Unternehmenserfolg bei.“
Auch die Perspektive der Business Units darf im Zusammenhang mit der Value Proposition berücksichtigt werden. Die Bewerbung präventiver und reaktiver Schutzmaßnahmen zum Einhegen operativer Geschäftsrisiken gestaltet sich erfolgsversprechender, wenn der angestrebte Outcome in die betriebswirtschaftliche Perspektive der internen Kunden übersetzt wird. Beispielhaft: „Einsparung von Prozesskosten, Erzielung einer höheren Gewinnmarge, Vermeidung behördlicher Sanktionen, Schutz der Reputation, Zeiteinsparungen, Reduzierung von Versicherungskosten oder Steigerung der Mitarbeitermotivation.“ Mit einer solchen zielgruppenspezifischen Einbettung der eigenen Erfolgsstory in die Wahrnehmungsmuster der C-Suite durch Kontext, Korrelation und das Hervorheben des kausalen Zusammenhangs mit dem Geschäftserfolg ist es der Corporate Security möglich:
- ihren Wertbeitrag zum Unternehmen fakten- und zahlenbasiert darzustellen,
- Risikoinhabern (hier den Abteilungen) zu kommunizieren, was Security für sie konkret leistet,
- die kausalen Zusammenhänge zwischen Risiko und Verlust auf der einen und Security Management und Reduktion des Verlusts auf der anderen Seite erfahrbar zu machen,
- den Wirkungsgrad und den RoSI der Maßnahmen in den Vordergrund zu stellen,
- Compliance und Akzeptanz der Maßnahmen, aber auch Risikoappetit zu messen,
- Risiken offenzulegen und Lösungen anzubieten,
- Muster zu erkennen und Frühindikatoren zu entwickeln,
- ihre eigene Produktivitätseffizienz zu messen und
- konkrete Unterstützung, Compliance und Entscheidungen einzufordern.
Dabei müssen die Messwerte / Daten so gewählt werden, dass sie den folgenden Kriterien entsprechen:
- SMART, also
- einfach (Simple) verständlich im Zusammenhang mit dem angestrebten Outcome
- messbar (Measurable) als eindeutig und einheitlich definierte Größen in Zahlen mit einem einheitlichen Messverfahren zu erfassen
- handlungsorientiert (Actionable), helfen praktische Veränderungen herbeizuführen und Konsequenzen nach sich zu ziehen
- relevant (Relevant) für die Messung der ergriffenen Maßnahmen und erkannten Risiken
- zeitbezogen (Time-based) in Bezug auf den gewählten Vergleichs- oder Planzielzeitraum langfristig verfügbar und in einem festgelegten Messrhythmus reproduzierbar
- Unverfälscht von saisonalen Schwankungen
- Durch automatisierte Logikkontrollen geprüft
- Allgemein akzeptiert, trennscharf und gültig definiert
- Durch Maßnahmen des Informationsschutzes gesichert
- Von einem Messverantwortlichen verarbeitet, auf Frühindikatoren geprüft, mit anderen relevanten Kennzahlen in Relation gebracht, zielgruppengerecht kontextualisiert und grafisch dargestellt.
Laurentium ist eine netzwerkbasierte Boutique-Unternehmensberatung mit internationaler Ausrichtung im Bereich der Ermittlungen und Sicherheitsberatung für Großunternehmen. Laurentium hat sich seit seiner Gründung 2004 als führender strategischer Partner für das Management internationaler Konzerne etabliert und begleitet seine Kunden mit individuellen und diskreten Problemlösungen.
Quelle:
1 Ein Spätindikator (lagging indicator) ist eine Messgröße, die erst erfasst werden kann, nachdem sich eine Bedingung geändert hat (z. B. die Anzahl gestohlener Laptops in den vergangenen sechs Monaten). Weiterhin gibt es Präsensindikatoren, die sich zeitgleich mit einer Bedingung ändern und eine sofortige Reaktion ermöglichen (z. B. die umgehende Meldung und Erfassung eines jeden gestohlenen Laptops), und Frühindikatoren (leading indicator), die Veränderungen in den Bedingungen vorwegnehmen (z. B. Verdopplung der Reisetätigkeit mit Laptops und einem bekannten Zusammenhang zwischen Reisetätigkeit und dem Diebstahl von Laptops).