Key Risk Indicators (KRI) und Key Performance Indicators (KPI) sind wichtige Meßgrößen in einem Business Continuity Management System. Beide Indikatoren messen allerdings völlig unterschiedliche Dinge.

Key Risk Indicators sind im Management operationeller Risiken stark verbreitetet. Die Indikatoren dienen der Früherkennung der Veränderung von Risiken. Im Rahmen eines Frühwarnsystems sollen schwache Signale frühzeitig erkannt werden und dem Eintreten von Ereignissen vorgebeugt werden können. Die KRI sind Risiken aus dem Risikokatalog und Prozessen zugeordnet. Beispiel für ein KRI ist im Personalbereich die Fluktuationsrate. Diese wird in den meisten Unternehmen erhoben und teilweise sogar automatisiert gemessen und analysiert. Das gleiche gilt für interne und externe Betrugsfälle, die an Versicherungen gemeldet werden müssen oder Schäden, die im Rahmen von Basel II in einer Schadensfalldatenbank ohnehin gesammelt werden. Andere KRIs werden im OpRisk in Form regelmäßiger durchgeführter Befragungen (zum Beipiel über online-Questionnaires) erhoben.

Durch das Festlegen von indivduellen Schwellenwerten für KRIs können Ampelsysteme implementiert werden, die in einem Managementreport eine schnellen Überblick über den Stand der aktuellen Risikolandschaft geben.

Fortgeschrittene OpRisk-Systeme unterstützen die Datensammlung über Schnittstellen und die Analyse sowie das Reporting von KRIs.

Eine Sammlung von KRIs für Banken im Rahmen des Management operationeller Risiken hat Ludmilla Moshvyn in ihrer Dissertation “Key Risk Indicators im Management operationeller Risiken” zusammengetragen (Link zum Buch am Ende des Artikels).

Das BCM braucht also an dieser Stelle das Rad nicht neu zu erfinden, sondern kann auf der Methodik des opRisk aufsetzen. Nicht verheimlicht werden sollte allerdings an dieser Stelle, dass das Konzept und vor allem die Umsetzung eines KRI-Systems mit zu den schwierigen und aufwändigen Parts des opRisk Managements zählen.

Ebenfalls ist die Erhebung BCM-relevanter KRIs oftmals schwierig bis unmöglich. Am weitesten fortgeschritten sind die Messmöglichkeiten im IT-Umfeld. Gerade der Availability-Management Prozess im Rahmen von ITIL sowie die ISO-Norm ISO 20000 bieten hierfür eine gute Grundlage. Im Availability Management sind wichtige Indikatoren für IT-Services wie

• Downtime (MTRS) und Uptime/Availability
• Mean time between failures (MTBF)
• Time between incidents
• Impact by user minute lost etc.

definiert. Automatisierte IT-Monitoringverfahren erlauben die weitgehend automatisierte Erhebung und Speicherung dieser Daten für Analyse- und Reportingzwecke.

Im Non-IT-Bereich ist die Datenerhebung für BCM-KRIs ungleich schwieriger. Im Gegensatz zu Risiken im OpRisk-Bereich liegen für BCM-relevante Risiken zumeist keine Schadenshistorien in Schadensfalldatenbanken vor. Hier muß dann auf interne Erhebungen (Ausfall der Stromversorgung, Ausfall von Dienstleister-Services, Unterbrechungen von Telekommunikations-Services etc.) oder externe Indikatoren (Bsp. Pandemie-Warnstufen des WHO) zurückgegriffen werden.

Key Performance Indicators messen demgegenüber den Reifegrad des BCM. Hier kann zum Beipiel entlang des BCM Lifecycle BS 25999 der Reifegrad des Unternehmens bzw. von Abteilungen und Bereichen gemessen und bewertet werden.

Beispiele für derartige KPIs für das BCM habe ich in meinem Vortrag “Audit des BCM”, der im Downloadbereich verfügbar ist, angegeben.

Zu den BCM-KPIs zählen beispielhaft:

– Anzahl in BCM geschulter und ausgebildeter Personen

– Anzahl und Typ der durchgeführten Tests und Simulationen

– Aktualisierungsstand von BIA, Planung und Risikoanalyse.

Mit Hilfe dieser KPIs kann der Stand des BCM erhoben und gegen einen optimalen Reifegrad gemessen werden. In einem Managementreport kann der Stand einzelner Bereiche / Abteilungen anhand der KPIs aufgezeigt werden und der Handlungsbedarf abgeleitet. Für interne und externe Revisoren und Prüfer wird der Stand des BCM objektiviert, indem das Zielmodell spezifiziert wird und das Unternehmen gegen dieses Zielmodell gemessen wird.

Dies entspricht auch dem aktuellen Prüfungsansatz des BaFin im Finanzdienstleistungsbereich: weg von der regelbasierten Aufsicht zu einer prinzipien-orientierten Aufsicht, wie dies die aktuellen MaRisk widerspiegeln. Die Finanzdienstleister sind hierdurch gefordert, zunächst ein für ihre spezifische Risikosituation angemessenes Regelwerk selbst zu entwickeln an dem sie sich dann messen (lassen).