Die Ermittlung Ihrer Risikofaktoren mithilfe einer Bow-Tie-Analyse ist ein wichtiger Bestandteil beim Aufbau Ihres Risikomanagement-Rahmenwerks (wie in diesem Artikel unserer Risk Management Blueprint-Reihe beschrieben). Nun wenden wir uns einer wichtigen Folgefrage zu: Wie können Sie diese Faktoren überwachen, bevor sie zu Vorfällen werden? 

Die Antwort liegt in der Entwicklung effektiver risikomanagementbezogener Kennzahlen, „Key Risk Indicators (KRI)“, die als Frühwarnsignale für bevorstehende Risiken dienen. Während sich viele Unternehmen auf nachlaufende Indikatoren konzentrieren, die vergangene Ereignisse messen, ermöglichen Ihnen führende KRIs eine proaktive Überwachung von Risikotreibern, sodass Sie Zeit haben, einzugreifen, bevor Probleme auftreten.

In diesem Artikel erfahren Sie, wie Sie KRIs entwickeln und implementieren können, die das Risikoprofil Ihres Unternehmens wirklich widerspiegeln und eine fundierte Entscheidungsfindung unterstützen.

Was ist ein Key Risk Indicator?

KRIs dienen als Indikatoren für die Ursachen von Risiken und sind auf alle Arten von operationellen Risiken anwendbar. Eine der wichtigsten Arten von wirksamen KRIs konzentriert sich auf Anomalien – Situationen, die von erwarteten Mustern abweichen. Dieses Prinzip ist jedem bekannt, der schon einmal Sicherheitshinweise wie „Wenn Sie etwas sehen, sagen Sie etwas.“ in öffentlichen Verkehrsmitteln gesehen hat. In Ihrem Unternehmen bietet die Entwicklung von Kennzahlen, die abnormale Verhaltensweisen, Transaktionen oder Bedingungen hervorheben, eine wirksame Frühwarnung vor potenziellen Risiken.

Beispiel: Bei der Betrugserkennung dienen abnormale Transaktionsmuster als Frühindikatoren. Kreditkartenunternehmen wenden diesen Ansatz seit Jahrzehnten an und kennzeichnen ungewöhnliche Ausgabemuster als potenzielle Anzeichen für Betrug, bevor erhebliche Verluste entstehen. In ähnlicher Weise können Abweichungen von normalen Handelsaktivitäten im Handelsgeschäft auf potenzielles Fehlverhalten hinweisen.


Der sechsstufige KRI-Entwicklungsprozess

Die Erstellung eines effektiven KRI-Programms erfordert einen systematischen Ansatz. Auch wenn dies mit Aufwand verbunden ist, lohnen sich die gewonnenen Erkenntnisse für Ihre wichtigsten Risiken in jedem Fall. Hier ist ein sechsstufiger Prozess, der Sie bei der Umsetzung unterstützt:

1. Identifizieren Sie die wichtigsten Risiken Ihres Unternehmens

Konzentrieren Sie sich zunächst auf Ihre größten Risiken, also diejenigen, die sich erheblich auf die Ziele Ihres Unternehmens auswirken könnten. Der Versuch, jedes mögliche Risiko zu überwachen, wäre unpraktisch und ineffizient. Wenn Sie bereits eine Risiko- und Kontrollselbstevaluation durchgeführt haben, wie in einem früheren Artikel beschrieben, haben Sie einen klaren Ausgangspunkt für diesen Schritt.

2. Verstehen Sie die Ursachen und Grundursachen

Identifizieren Sie für jedes Hauptrisiko die primären Treiber und Grundursachen. Hier erweist sich die Bow-Tie-Analyse aus unserem vorherigen Artikel als unschätzbar wertvoll, da sie einen systematischen Ansatz zur Erfassung von Risikogründen bietet. Denken Sie daran, sich besonders auf Bereiche zu konzentrieren, in denen Ihr Unternehmen in der Vergangenheit Schwierigkeiten hatte, da diese Ihre größten Verbesserungsmöglichkeiten darstellen. Konzentrieren Sie Ihre Überwachung vor allem auf das, was Sie verbessern können, und nicht nur auf das, was Sie bereits gut machen.

3. Recyceln Sie vorhandene Kennzahlen

Bevor Sie neue Kennzahlen entwickeln, schauen Sie sich an, was Sie bereits messen. Ihre vorhandenen Key Performance Indicators (KPIs) und Key Control Indicators (KCIs) können oft als effektive KRIs dienen. Zur Einordnung der drei Kennzahlentypen: Key Performance Indicators (KPIs) messen die Zielerreichung eines Prozesses oder Bereichs. Key Control Indicators (KCIs) überwachen die Wirksamkeit einzelner Kontrollmaßnahmen – etwa die Quote vollständig durchgeführter Vier-Augen-Prüfungen oder die Aktualität von Berechtigungsreviews. Key Risk Indicators (KRIs) wiederum sind Frühwarnindikatoren für aufkommende Risiken. Der entscheidende Zusammenhang: Wenn ein KPI nachlässt oder ein KCI Schwäche zeigt, wird daraus unmittelbar ein KRI – denn beide signalisieren eine erhöhte Risikowahrscheinlichkeit. 

  • Fehlgeschlagene Leistungsindikatoren: Wenn KPIs gelb oder rot werden, werden sie zu KRIs. Eine nachlassende Leistung ist ein Zeichen für bevorstehende Probleme.
  • Fehlgeschlagene Kontrollindikatoren: Wenn wichtige Kontrollen schwach sind, erhöhen sie direkt die Risiken, die sie eigentlich mindern sollen.

Wenn Ihre IT-Abteilung beispielsweise bereits die Reaktionszeiten des Systems als Leistungsindikator überwacht, signalisiert eine nachlassende Leistung nicht nur Probleme bei der Kundenerfahrung, sondern ist auch ein Frühindikator für potenzielle Systemausfallrisiken.

Dieser Recycling-Ansatz – die Wiederverwendung Ihrer KPIs und KCIs als KRIs – bietet einen schnellen Gewinn für Ihr KRI-Programm, da Sie bereits gesammelte Daten nutzen und den Implementierungsaufwand reduzieren können.

4. Identifizieren Sie fehlende Kennzahlen

Identifizieren Sie nach der Überprüfung der vorhandenen Kennzahlen etwaige Lücken in Ihrer Überwachung. Gibt es wichtige Risikofaktoren, die noch nicht gemessen werden? Entwickeln Sie bei Bedarf zusätzliche Kennzahlen, um eine umfassende Abdeckung Ihrer wichtigsten Risikofaktoren sicherzustellen. Überlegen Sie für jede fehlende Kennzahl, welche Daten den zugrunde liegenden Risikofaktor effektiv ersetzen könnten.

5. Entwerfen Sie Ihren Implementierungsansatz

Sobald Sie wissen, was Sie messen möchten, legen Sie fest, wie diese Kennzahlen in der Praxis umgesetzt werden sollen:

  • Datenquellen: Woher stammen die Informationen?
  • Berichtsfrequenz: Wie oft sollte jede KRI gemessen und berichtet werden?
  • Governance-Struktur: Wer überprüft die KRIs und ergreift Maßnahmen, wenn Schwellenwerte überschritten werden?
  • Schwellenwerte: Welche Werte weisen auf einen normalen Betrieb, erhöhte Wachsamkeit und erforderliche Maßnahmen hin?

Wenden Sie hier die goldene Regel der Risikoberichterstattung (wie in diesem Artikel beschrieben) an: Der Wert der gemeldeten Informationen sollte immer die Kosten für die Erfassung übersteigen. Einige theoretisch nützliche Kennzahlen sind möglicherweise zu kostspielig oder zu komplex, um in der Praxis umgesetzt zu werden. Konzentrieren Sie sich auf diejenigen, die mit den geringsten Kosten die größten Erkenntnisse liefern.

6. Validierung durch Backtesting

Überprüfen Sie schließlich regelmäßig, ob Ihre KRIs tatsächlich zur Vermeidung von Vorfällen beitragen. Sehen Sie sich Fälle an, in denen KRIs auf aufkommende Probleme hingewiesen haben, die erfolgreich behoben wurden. Untersuchen Sie auch Vorfälle, die ohne vorherige Warnung durch Ihre KRIs aufgetreten sind, da diese auf Lücken in Ihrem Überwachungsansatz hinweisen.

Dieser kontinuierliche Verbesserungszyklus, wie in Artikel 1 unserer Risk Management Blueprint-Reihe gezeigt, stellt sicher, dass Ihr KRI-Programm auch bei Weiterentwicklungen Ihres Unternehmens und seines Risikoumfelds wirksam bleibt.


Vier Kategorien von Key Risk Indicators

Die Verwendung von vier großen Kategorien von KRIs hilft dabei, einen umfassenden Satz von Frühindikatoren bereitzustellen. Die ersten beiden Kategorien gelten in der Regel für das gesamte Unternehmen, während die beiden letzteren eher bottom-up und prozessspezifisch sind. Jede der folgenden Kategorien wird anhand eines Beispiels aus der Perspektive der Informationssicherheit veranschaulicht.

1. Expositionsindikatoren: Überwachung Ihrer Risikoumgebung

Diese Indikatoren verfolgen Veränderungen in Ihrem externen Umfeld, die Ihre Risikoexposition erhöhen könnten. Beispiele hierfür sind:

  • Geopolitische Veränderungen: Wahlen, Regierungswechsel oder politische Veränderungen
  • Regulatorische Veränderungen: Neue Anforderungen oder Prioritäten bei der Durchsetzung
  • Marktbedingungen: Wirtschaftsindikatoren oder Veränderungen im Wettbewerbsumfeld
  • Warnungen vor Extremereignissen: Prognosen zu Naturkatastrophen oder Pandemiewarnungen

Ein Beispiel für Informationssicherheitsrisiken wäre die Verfolgung der Anzahl von Benutzerinnen und Benutzern mit Super-Admin-Zugriff, die über Ihre definierten Normen hinausgeht. Diese Kennzahl verdeutlicht das erhöhte Risiko aufgrund unnötiger Zugriffsrechte und folgt dem Grundsatz, dass Informationen nur bei Bedarf weitergegeben werden sollten.

2. Stretch-Indikatoren: Messung der organisatorischen Belastung

Diese Kennzahlen verfolgen, wie stark Ihr Unternehmen belastet ist, da eine Überlastung der Ressourcen oft mit einem erhöhten Risiko einhergeht. Sie lassen sich in drei Hauptunterkategorien einteilen:

  • Personelle Überlastung: offene Stellen, Fluktuationsraten oder Überstunden
  • Systemüberlastung: Kapazitätsauslastung, Reduzierung der Pufferkapazität und Systemleistungskennzahlen
  • Infrastrukturüberlastung: Wartungsrückstände, Verzögerungen bei Renovierungen und veraltete Geräte

In einer IT-Abteilung ist ein klassischer Belastungsindikator die Anzahl der Änderungsanfragen pro Mitarbeiterin/Mitarbeiter. Mit steigender Anzahl dieser Anfragen steigt in der Regel auch die Wahrscheinlichkeit von Fehlern bei der Umsetzung. In ähnlicher Weise geht im Kundenservice ein Anstieg der Fallzahlen pro Mitarbeiterin/Mitarbeiter oft Qualitätsproblemen und Kontrollausfällen voraus.

3. Fehlerindikatoren: Überwachung von Leistung und Kontrollen

Diese Indikatoren verfolgen Fehler in Ihren Leistungskennzahlen oder Kontrollfunktionen. Beispiele hierfür sind:

  • Verlängerung der IT-Reaktionszeit 
  • Verschlechterung der Kundendienstqualität
  • Rückstand bei der Abstimmung von Finanztransaktionen
  • Fehlende Validierungen

Im Bereich der Informationssicherheit wäre ein Beispiel hierfür die überfällige Umsetzung von Empfehlungen aus Penetrationstests. Wenn Aktionspläne aus Sicherheitstests nicht umgesetzt werden, deutet dies auf schwache Kontrollen und eine erhöhte Anfälligkeit hin.

4. Kausale Indikatoren: Verfolgung der zugrunde liegenden Ursachen

Diese Kennzahlen überwachen direkt die Ursachen bestimmter Risiken.

Beispiele für die Informationssicherheit sind Kennzahlen, die die Risikobewusstseinskultur verfolgen, wie z. B. die Einhaltung von Sicherheitsrichtlinien durch Mitarbeiterinnen und Mitarbeiter oder die Ergebnisse von Phishing-Simulationstests. Das Nachverfolgen von wiederholten Auffälligkeiten in Sicherheitstests kann Bereiche aufzeigen, in denen zusätzlicher Schulungs- und Sensibilisierungsbedarf besteht.


Entwurf effektiver Key-Risk Indicators

Die Wirksamkeit Ihres KRI-Programms hängt nicht nur davon ab, was Sie messen, sondern auch davon, wie Sie Ihre Indikatoren gestalten und implementieren. Diese Grundsätze helfen Ihnen bei der Erstellung von KRIs, die einen echten Mehrwert bieten:

Der „Minimum Meaningful”-Ansatz

Bei der Festlegung der Anzahl der zu implementierenden KRIs sollten Sie sich an den Grundsatz des „Minimum Meaningful” halten – also die geringste Anzahl von Indikatoren, die Ihre Risikofaktoren umfassend abdecken. In der Regel bedeutet dies:

  • Ein KRI pro signifikanter Ursache für jedes Schlüsselrisiko
  • Ein KRI pro bedeutendem Einflussfaktor
  • Unabhängigkeit zwischen den Indikatoren, um Redundanzen zu minimieren
  • Dieser Ansatz reduziert die Informationsflut und stellt gleichzeitig sicher, dass Sie die wesentlichen Risikotreiber erfassen. Denken Sie daran, dass das Sammeln und Analysieren von Kennzahlen Ressourcen erfordert. Konzentrieren Sie sich daher auf diejenigen, die die größten Erkenntnisse liefern.

Vermeiden Sie die Durchschnittsfalle

Achten Sie bei der Gestaltung von KRIs darauf, sich nicht auf Durchschnittswerte zu verlassen. Nehmen wir das Beispiel einer Verteilung der Kundenzufriedenheitswerte über mehrere Servicezentren hinweg. Während der Durchschnittswert akzeptabel erscheinen mag, könnten einzelne Standorte entweder außergewöhnlich gut oder schlecht abschneiden. Wenn Sie sich nur auf den Durchschnitt konzentrieren, entgehen Ihnen die wertvollen Informationen, die in diesen Abweichungen enthalten sind.

Der wahre Wert von KRIs liegt in der Identifizierung von Anomalien – sowohl positiven als auch negativen. Positive Ausreißer können auf Best Practices hinweisen, die auch anderswo umgesetzt werden könnten, während negative Ausreißer Bereiche aufzeigen, in denen Handlungsbedarf besteht. Legen Sie Schwellenwerte fest, die diese Abweichungen erfassen, anstatt sich auf die durchschnittliche Leistung zu konzentrieren.

Diagramm der Ausreißer


Exkurs: Die Risikotragfähigkeit als KRI für ihr gesamtes Risikomanagementsystem

Die Risikotragfähigkeit (RTF) stellt den übergeordneten Key Risk Indicator für die Gesamtheit aller Risiken dar und bildet das zentrale Bindeglied zwischen Risikoinventar, Bewertung, Aggregation und unternehmerischer Steuerung. Sie beschreibt die Fähigkeit des Unternehmens, potenzielle Verluste aus Risiken zu absorbieren, ohne die Erreichung strategischer Ziele oder den Fortbestand zu gefährden. Methodisch ergibt sich die RTF aus dem Vergleich der verfügbaren Risikodeckungsmasse (z. B. Eigenkapital, Liquiditätsreserven oder andere definierte Deckungsgrößen) mit dem aggregierten Risikogesamtpotenzial. Letzteres sollte idealerweise nicht additiv, sondern unter Berücksichtigung von Wechselwirkungen und Korrelationen zwischen einzelnen Risiken ermittelt werden. In der Praxis hat sich hierfür die Aggregation mittels statistischer Verfahren, insbesondere Monte-Carlo-Simulationen, bewährt. Auf Basis hinterlegter Eintrittswahrscheinlichkeiten und Schadensverteilungen einzelner Risiken wird eine Vielzahl von Szenarien simuliert, aus denen sich eine Wahrscheinlichkeitsverteilung des Gesamtrisikoumfangs ableiten lässt. Dadurch wird die Risikolage realitätsnäher abgebildet und die RTF als belastbarer, entscheidungsrelevanter KRI für das gesamte Risikomanagementsystem nutzbar gemacht. 

Weitere Informationen zur Risikoaggregation finden sie in unserem nachfolgenden Artikel


Ableitung von Risikotoleranz und Risikoappetit aus der Risikotragfähigkeit

Aufbauend auf der Risikotragfähigkeit lassen sich Risikotoleranz und Risikoappetit als steuerungsrelevante Kenngrößen ableiten und operationalisieren. Während der Risikoappetit definiert, welcher Anteil der Risikodeckungsmasse bewusst zur Erreichung unternehmerischer Ziele eingesetzt werden darf, beschreibt die Risikotoleranz die akzeptierte Bandbreite von Abweichungen innerhalb dieses Rahmens. Als KRI auf Gesamtunternehmensebene kann dies beispielsweise über die Auslastung der Risikodeckungsmasse erfolgen, indem das aggregierte Risikogesamtpotenzial ins Verhältnis zur verfügbaren Deckungsmasse gesetzt wird. Schwellenwerte – etwa für eine niedrige, erhöhte oder kritische Auslastung – machen Risikoappetit und Risikotoleranz mess- und überwachbar und ermöglichen eine klare Ampellogik im Management-Reporting. Damit werden Risikoappetit und Risikotoleranz nicht als abstrakte Leitbilder verstanden, sondern als quantifizierte, kontinuierlich überwachte Steuerungsgrößen, die direkt aus der Risikotragfähigkeit abgeleitet sind und das gesamte Risikomanagementsystem konsistent rahmen.


Implementierung eines KRI-Governance-Rahmens

Selbst die am besten konzipierten KRIs bieten ohne einen robusten Governance-Rahmen, der Erkenntnisse in Maßnahmen umsetzt, nur wenig Nutzen. Implementieren Sie diese Schlüsselelemente, um sicherzustellen, dass Ihr KRI-Programm Ergebnisse liefert:

Farbcodiertes Schwellenwert-Rahmenkonzept

Etablieren Sie einen einheitlichen Ansatz für die Interpretation von KRIs in Ihrem gesamten Unternehmen:

  • Grüner Status: Beibehaltung des aktuellen Ansatzes (Status quo)
  • Gelber Status: Erhöhen Sie die Wachsamkeit und Überwachung, wenn Sie sich der Gefahrenzone nähern.
  • Roter Status: Ergreifen Sie Maßnahmen, da das Risiko Ihre definierte Risikobereitschaft und Toleranz überschritten hat.

Dieses farbcodierte System bietet eine klare, visuelle Darstellung des Risikostatus, die zu angemessenen Reaktionen führt. Wichtig ist, dass für jede Farbe vordefinierte Reaktionsprotokolle bestehen, um Unsicherheiten bei der Vorgehensweise zu vermeiden, wenn sich die Indikatoren ändern.

Diese Schwellenwerte sollten mit der Risikobereitschaft und Toleranz Ihres Unternehmens übereinstimmen, wie in unserem Artikel über Risikobereitschaft erläutert. Wie wir dort dargelegt haben, definiert Ihre Risikobereitschaft nicht nur, wie viel Risiko Sie eingehen möchten, sondern auch das Ausmaß des Restrisikos, das Sie zu akzeptieren bereit sind.


Verantwortlichkeit und Notfallplanung

Legen Sie für jeden KRI Folgendes fest:

  • Eine Indikatorverantwortliche oder einen Indikatorverantwortlichen, die bzw. der für die Datenerfassung, -analyse und -berichterstattung zuständig ist
  • Eine Risikoverantwortliche oder einen Risikoverantwortlichen, die bzw. der für Maßnahmen bei Überschreitung der Schwellenwerte verantwortlich ist
  • Notfallpläne, die Reaktionsmöglichkeiten für den gelben und roten Status beschreiben

Dieses Rahmenwerk zur Rechenschaftspflicht stellt sicher, dass steigende Risikostufen angemessene Reaktionen auslösen und nicht nur Berichte generieren. Die Vorbereitung von Notfallplänen im Voraus ermöglicht ein schnelleres und effektiveres Eingreifen, wenn Risiken eskalieren.


Dokumentation und Berichterstattung

Führen Sie eine umfassende Dokumentation Ihres KRI-Programms, einschließlich:

  • Definitionen der Indikatoren und Berechnungsmethoden
  • Datenquellen und Erfassungsprotokolle
  • Schwellenwerte und Begründungen
  • Governance-Struktur und Verantwortlichkeiten
  • Historische Leistungs- und Trendanalysen

Die Dokumentation unterstützt die Überprüfbarkeit und liefert gleichzeitig wertvolle Informationen für die Entscheidungsfindung. Durch regelmäßige Berichterstattung an wichtige Stakeholder wird sichergestellt, dass Risikoerkenntnisse in strategische und operative Entscheidungen einfließen und damit die Rolle des Drei-Linien-Modells erfüllen, welches wir in unserem fünften Artikel erläutert haben.

Effektive Key Risk Indicators verwandeln das Risikomanagement von einer reaktiven Aufgabe in eine proaktive Disziplin. Durch die Überwachung der Risikotreiber und nicht nur ihrer Ergebnisse kann Ihr Unternehmen aufkommende Probleme erkennen, bevor sie sich zu Vorfällen entwickeln. Dieses Frühwarnsystem ermöglicht es Ihnen, so früh wie möglich einzugreifen und sowohl die Wahrscheinlichkeit als auch die Auswirkungen von Ereignissen zu reduzieren.

„Wenn Sie Ihr KRI-Programm umsetzen, bedenken Sie, dass sein wahrer Wert nicht in den Kennzahlen selbst liegt, sondern in den Maßnahmen, die sie anstoßen. KRIs sollten die Entscheidungsfindung auf allen Ebenen Ihrer Organisation unterstützen – von der strategischen Planung bis hin zu operativen Reaktionen. Indem Sie Ihre Indikatoren mit klaren Schwellenwerten für Maßnahmen und Verantwortlichkeitsstrukturen verknüpfen, stellen Sie sicher, dass Risikoerkenntnisse in konkrete Verbesserungen von Resilienz und Leistung umgesetzt werden.“

Sind Sie bereit, Ihre eigenen KRIs zu entwickeln und zu überwachen?

Wenden Sie sich an unsere Risikomanagement-Spezialistinnen und -Spezialisten, um praktische, auf Ihre spezifischen Bedürfnisse zugeschnittene Beratung zu erhalten.

Dieser Artikel wurde verfasst von

Entdecken Sie die weiteren Beiträge unserer Risk Management Blueprint-Reihe