GRC-KPIs, die Führung versteht: Von „Kontrollen“ zu „Steuerungsimpulsen“

GRC-KPIs, die Führung versteht: Von „Kontrollen“ zu „Steuerungsimpulsen“

GRC-KPIs sind in vielen Unternehmen ein Dauerbrenner – und trotzdem bleibt ein unangenehmes Gefühl: Wir messen viel, aber es verändert zu wenig. Es gibt Dashboards, Ampeln, Kontrollquoten, Reifegradwerte, Audit-Feststellungen, Maßnahmenlisten. Und dennoch fragen Führungskräfte irgendwann (zu Recht): „Was soll ich damit konkret entscheiden?“ Spätestens an diesem Punkt wird sichtbar, ob KPI-Reporting eine reine „Pflichtlage“ ist oder ein echtes Steuerungsinstrument.

Der Kern des Problems liegt selten in fehlenden Daten. Er liegt in der Logik dahinter. Viele GRC-KPIs sind so gebaut, dass sie zeigen, ob etwas existiert oder ob etwas erledigt wurde. Das ist nicht wertlos – aber es ist nur die erste Stufe. Führung braucht nicht primär ein Bild davon, dass Kontrollen „irgendwie laufen“. Führung braucht ein Bild davon, wo das Unternehmen gerade verwundbar ist, was die wahrscheinlichsten Ausfall- oder Schadensszenarien sind und welche Entscheidungen die Situation spürbar verbessern. Genau an dieser Stelle kippt das Reporting häufig: Es ist entweder zu technisch, zu detailliert oder zu sehr auf „Kontroll-Abarbeitung“ fokussiert. Dann wird es zwar geliefert, aber nicht genutzt.

Wenn Sie GRC-KPIs so gestalten wollen, dass Führung sie wirklich versteht und nutzt, hilft ein einfacher Perspektivwechsel: Weg von „Kontrollen zählen“ hin zu „Steuerungsimpulse erzeugen“. Ein Steuerungsimpuls ist eine Information, die eine Entscheidung wahrscheinlicher macht. Nicht irgendwann, sondern jetzt. Und er ist so formuliert, dass man mit gesundem Menschenverstand darauf reagieren kann. Das klingt banal, ist aber in der Praxis eine ziemlich harte Qualitätsanforderung.

Um das greifbar zu machen, schauen wir zuerst auf das typische Missverständnis: Viele KPI-Setups sind aus dem Audit heraus gedacht. Audit fragt nach Nachweisen, nach Existenz, nach Wirksamkeit. Also bauen Teams Kennzahlen, die in Audits gut aussehen: Anteil abgeschlossener Maßnahmen, Anzahl durchgeführter Reviews, Quote erfüllter Kontrollen, Anzahl Policies, Anzahl Schulungen, Anzahl Findings. Das ist verständlich – und für Rechenschaft auch wichtig. Es ist aber nicht automatisch Führungstauglich, weil es selten die Frage beantwortet: „Wenn ich nur eine Sache priorisieren kann, welche ist es – und warum?“

Führung denkt in knappen Fenstern. Sie hat keine Zeit, zehn Diagramme zu interpretieren, nur um am Ende „zur Kenntnis“ zu nehmen. Ein Reporting, das wirkt, muss deshalb in der Lage sein, aus einer Kontrollwelt eine Entscheidungswelt zu machen. Es muss die Brücke schlagen zwischen dem, was gemessen wird, und dem, was gesteuert werden muss.

Ein guter Einstieg ist, sich die drei KPI-Kategorien anzusehen, die in vielen Organisationen durcheinander geraten. Erstens: Aktivitäts-KPIs (wir haben etwas getan). Zweitens: Ergebnis-KPIs (es hat eine Wirkung gezeigt). Drittens: Risikopuls-KPIs (das Risiko steigt oder sinkt, und zwar spürbar). Viele Dashboards sind voll mit Aktivitäts-KPIs, haben ein paar Ergebnis-KPIs und fast keine Risikopuls-KPIs. Das Resultat: Es sieht nach viel Arbeit aus, aber es ist schwer zu entscheiden, ob das Unternehmen dadurch wirklich stabiler wird.

Aktivitäts-KPIs sind nicht falsch. „Kontrollen durchgeführt“ oder „Maßnahmen abgeschlossen“ können wertvoll sein. Der Fehler liegt darin, sie als Endpunkt zu behandeln. Wenn eine Maßnahme abgeschlossen ist, ist die nächste Frage: Hat sie das Risiko reduziert? Wenn eine Kontrolle durchgeführt wurde, ist die nächste Frage: Was war das Ergebnis? Gab es Abweichungen? Haben wir daraus gelernt? Wenn diese Anschlussfragen nicht sichtbar sind, bleibt Führung im Nebel. Dann wird GRC zu einer Excel-Übung – nicht, weil Excel schlecht ist, sondern weil das Reporting keinen Steuerungsnutzen erzeugt.

Wie kommt man raus? Nicht, indem man 30 neue Kennzahlen erfindet. Sondern indem man wenige Kennzahlen so designt, dass sie Entscheidungen erzwingen oder zumindest erleichtern. Das erreichen Sie, wenn Sie pro KPI konsequent vier Dinge klären: Wofür ist die Kennzahl da? (Entscheidung), welche Schwelle ist relevant? (Trigger), welche Ursache steckt typischerweise dahinter? (Interpretation) und welche Maßnahme folgt daraus? (Handlung). Ohne diese vier Elemente ist eine KPI oft nur Statistik.

Nehmen wir ein Beispiel, das fast jeder kennt: „Anteil geschlossener Audit-Feststellungen“. Viele Teams berichten das regelmäßig. Führung nickt. Fertig. Das ist ein Aktivitäts-KPI. Er sagt: Es wird abgearbeitet. Was er nicht sagt: Ob die Abarbeitung die größten Risiken adressiert oder nur die einfachsten Tickets schließt. Eine Führungstaugliche Version wäre: „Anteil überfälliger Feststellungen mit hoher Auswirkung auf kritische Services“ – und dahinter ein kurzer Satz: „Wenn dieser Wert über X liegt, steigt die Wahrscheinlichkeit eines Ausfalls oder eines relevanten Kontrollversagens.“ Das ist plötzlich kein Abarbeitungsreport mehr, sondern ein Risikosignal. Und es zwingt zu Priorisierung.

Ein weiteres typisches Beispiel: „Kontrollen zu 95% erfüllt“. Das klingt gut – bis man fragt, welche 5% fehlen. Wenn die fehlenden 5% zufällig die Kontrollen betreffen, die Ihre kritischen Dienstleister oder Ihre Wiederherstellbarkeit absichern, ist die Zahl wertlos. Dann ist das KPI-Design das Problem. Eine bessere Kennzahl ist nicht „Erfüllungsquote“, sondern „Kontrolllücken in kritischen Pfaden“. Kritische Pfade sind die Abläufe, die im Ernstfall zählen: Incident-Kette, Change-Kette, Provider-Eskalation, Wiederherstellung. Wenn dort etwas fehlt, ist das ein Steuerungsimpuls. Wenn irgendwo anders ein Formalpunkt fehlt, ist das eher Hygiene. Führung muss den Unterschied sehen.

Ein sehr praktischer Weg, um KPIs „führungsfähig“ zu machen, ist, sie an Services zu hängen statt an Kontrollen. Führung versteht Services: Was muss laufen, was ist kritisch, wo ist die Abhängigkeit. Wenn Sie Kennzahlen pro kritischem Service oder pro Service-Cluster berichten, wird das Gespräch sofort konkreter. Statt „Wir haben 300 Kontrollen“ sagen Sie: „Unsere drei kritischsten Services haben aktuell zwei relevante Schwachstellen: Provider-Eskalation ist nicht getestet, und der Wiederanlauf ist nicht unter realistischen Bedingungen geübt.“ Das ist ein Satz, der Entscheidungen triggert. Und er ist in der Sprache des Geschäfts.

Damit sind wir bei einer zweiten, häufig unterschätzten Ursache für schwache KPIs: fehlende Schwellen und fehlende Konsequenz. Viele Dashboards zeigen Trends, aber keine Trigger. Wenn alles nur „Information“ ist, wird nichts entschieden. Ein Steuerungsimpuls braucht eine Schwelle, ab der man reagieren muss. Nicht jede Kennzahl muss harte Schwellen haben. Aber die wenigen, die wirklich kritisch sind, sollten sie haben. Und diese Schwellen sollten nicht theoretisch sein, sondern an Betriebserfahrung geknüpft: Ab wann steigt die Incident-Dauer spürbar? Ab wann wird ein Dienstleister-Problem zum Business-Problem? Ab wann sind Maßnahmen so überfällig, dass sie strukturelle Steuerungsschwäche zeigen?

Viele Teams vermeiden Schwellen, weil sie Angst vor „rot“ haben. Das ist menschlich, aber es ist gefährlich. Ein Reporting ohne Rot ist oft kein Reporting, sondern Beruhigung. Führung weiß das. Und wenn Führung spürt, dass Berichte „glatt“ sind, sinkt Vertrauen. Reife entsteht nicht dadurch, dass alles grün ist. Reife entsteht dadurch, dass man Probleme sichtbar macht und eine nachvollziehbare Reaktion zeigt.

Eine sehr praxistaugliche KPI-Logik ist deshalb die Kombination aus Risikopuls und Handlungsstatus. Ein Risikopuls-KPI zeigt, ob Verwundbarkeit steigt oder sinkt. Ein Handlungsstatus-KPI zeigt, ob das Unternehmen reagiert. Beispiel: Risikopuls „Anzahl kritischer Services mit ungetestetem Notbetrieb“ (oder „mit nicht validiertem Wiederanlauf“). Handlungsstatus „Anteil dieser Lücken mit geplantem Testtermin und Owner“. Führung sieht damit sofort: Wo ist das Problem – und ist es im Griff? Das ist der Unterschied zwischen Statistik und Steuerung.

Wichtig ist auch, die KPIs nicht zu breit zu bauen. Viele Dashboards scheitern daran, dass sie „alles“ abbilden wollen. Führung braucht aber eine Top-Liste. In der Praxis funktionieren oft fünf bis acht Kernkennzahlen besser als 30. Und diese Kernkennzahlen sollten so formuliert sein, dass sie in einem Satz beantwortbar sind. Wenn Sie eine Kennzahl nicht in einem Satz erklären können, ist sie meist zu kompliziert oder zu weit weg vom Betrieb.

Was könnten solche Kernkennzahlen in einem modernen GRC-Kontext sein? Ohne in eine Kennzahlen-Bibel abzurutschen, lassen sich ein paar Kategorien nennen, die in vielen Organisationen schnell Wirkung erzeugen, weil sie direkt an Resilienz und Steuerung hängen: Stabilität kritischer Services, Incident-Fähigkeit, Lieferkettensteuerung, Change-Qualität und Evidenzfähigkeit. Jede Kategorie lässt sich mit ein bis zwei Kennzahlen abbilden, wenn man sie richtig schneidet.

Bei kritischen Services ist eine starke Kennzahl nicht „Anzahl Risiken“, sondern „Anteil kritischer Services mit offenen High-Impact-Risiken ohne entschiedenes Behandlungskonzept“. Das zwingt zur Entscheidung: akzeptieren, reduzieren, transferieren oder stoppen. Bei Incident-Fähigkeit ist eine starke Kennzahl nicht „Anzahl Incidents“, sondern „Median-Zeit bis zur Einstufungsentscheidung“ oder „Anteil relevanter Incidents mit vollständiger End-to-end-Dokumentation“. Das zeigt, ob Ihre Organisation nicht nur reagiert, sondern steuerungsfähig ist. Bei Lieferkette ist eine starke Kennzahl nicht „Anzahl Lieferantenbewertungen“, sondern „Anteil kritischer Provider ohne aktuellen Review im definierten Takt“ oder „Anteil kritischer Provider ohne getesteten Eskalationsweg“. Das ist unmittelbar steuerungsrelevant. Bei Change-Qualität ist eine starke Kennzahl nicht „Anzahl Changes“, sondern „Anteil Changes an kritischen Services ohne dokumentierten Risiko-Check und Rollback-Plan“. Und bei Evidenzfähigkeit ist eine starke Kennzahl nicht „Dokumente vorhanden“, sondern „Audit-Stichprobenquote bestanden“ – also: In wie vielen Stichproben war der Nachweis in drei Minuten auffindbar und eindeutig?

Diese letzte Kennzahl – Auffindbarkeit – wird oft unterschätzt, obwohl sie in Audits eine enorme Rolle spielt. Viele Unternehmen haben die Inhalte, aber nicht die Struktur. Wenn Nachweise verstreut sind, wird jede Prüfung zäh. Ein KPI, der die Nachweisqualität über Stichproben misst, ist deshalb ein echter Steuerungsimpuls: Er zeigt nicht nur, ob etwas existiert, sondern ob es im Ernstfall schnell verfügbar ist. Und das ist nicht nur für Prüfer relevant. Es ist auch im Incident relevant, wenn Entscheidungen getroffen werden müssen und man nicht erst suchen will, welche Regel, welche Freigabe oder welcher Kontaktweg gilt.

Ein weiterer Punkt, der KPIs oft schwach macht, ist das Fehlen eines sauberen Bezugs zu Verantwortlichkeiten. KPIs sind nicht neutral. Sie erzeugen Verhalten. Wenn niemand „Owner“ für die Kennzahl ist, wird sie zur Deko. Wenn aber klar ist, wer sie verantwortet, und wenn diese Person (oder Rolle) auch die Möglichkeit hat, Maßnahmen auszulösen, wird daraus Steuerung. Das ist eine kleine, aber entscheidende Designregel: Jeder Steuerungsimpuls braucht einen Empfänger, der handeln kann. Sonst bleibt er eine schöne Grafik.

In vielen Organisationen hilft es, KPIs nicht nur als Zahlen zu berichten, sondern als kurze Management-Erzählung, die denselben Aufbau hat. Das ist keine Storytelling-Show, sondern eine Struktur, die Menschen entlastet. Sie können sich für jeden Berichtsblock an drei Fragen orientieren: Was hat sich seit dem letzten Mal relevant verändert? Was ist das Risiko oder die Verwundbarkeit dahinter? Welche Entscheidung oder Priorisierung schlagen wir vor? Wenn Sie Ihre KPIs in diese drei Fragen einbetten, wird Führung automatisch in einen Entscheidungsmodus gebracht. Ohne dass Sie „überzeugen“ müssen.

Natürlich gibt es eine Grenze: KPIs dürfen nicht zu „politisch“ werden. Wenn Kennzahlen als Druckmittel wahrgenommen werden, kippt die Kultur. Dann wird getrickst, geschönt oder umgangen. Deshalb ist es wichtig, dass KPI-Design transparent ist und dass Führung klar signalisiert: Rot ist nicht Bestrafung, Rot ist Priorisierung. Das klingt nach Kultur, ist aber sehr konkret. Wenn Teams erleben, dass rote Kennzahlen zu sinnvollen Ressourcenentscheidungen führen (z. B. Zeit für Tests, klare Prioritäten bei Maßnahmen, Unterstützung bei Provider-Eskalation), dann steigt die Qualität von selbst. Wenn Teams erleben, dass Rot nur Ärger erzeugt, wird alles grün. Und dann verlieren Sie die Steuerungsfähigkeit.

Ein praktischer Zwischenschritt, wenn Sie Ihre KPIs umbauen wollen, ist ein kurzer „KPI-Entschlackungs-Workshop“. Nicht als großes Programm, sondern als 60–90 Minuten mit den relevanten Stakeholdern. Sie nehmen Ihr aktuelles Dashboard und beantworten für jede Kennzahl zwei Fragen: „Welche Entscheidung soll damit getroffen werden?“ und „Was wäre die konkrete Reaktion, wenn der Wert schlecht ist?“ Wenn Sie diese Fragen nicht beantworten können, ist die Kennzahl Kandidat zum Streichen oder Umformulieren. In der Praxis verschwinden so schnell 30–50% der Kennzahlen, ohne dass Informationsqualität sinkt. Im Gegenteil: Das Reporting wird klarer, weil es nicht mehr alles gleichzeitig sein will.

Wenn Sie dann die verbleibenden Kennzahlen neu formulieren, lohnt es sich, sie in eine „Steuerungs-Logik“ zu bringen. Ganz dezent kann das so aussehen: Jede Kennzahl bekommt einen Satz Kontext und eine klare Schwelle. Beispiel: „Anteil kritischer Provider ohne Review in den letzten 90 Tagen“ – Kontext: „Steuerungstakt nicht eingehalten, erhöhtes Blindflug-Risiko.“ Schwelle: „Über 10% = Eskalation in das nächste Management-Review.“ Das ist nicht kompliziert. Aber es ist konsequent. Und es macht aus einer Zahl eine Führungshandlung.

Am Ende geht es bei GRC-KPIs nicht darum, möglichst wissenschaftlich zu messen. Es geht darum, die Realität eines komplexen Betriebs so zu verdichten, dass gute Entscheidungen wahrscheinlicher werden. Das ist eine sehr praktische Disziplin. Und sie ist oft die größte Hebelwirkung, die man in GRC haben kann, weil gute Kennzahlen nicht nur Auditfähigkeit verbessern, sondern Priorisierung, Kommunikation und Verantwortlichkeit im Alltag stabilisieren.

Wenn Sie also das Gefühl haben, dass Ihr GRC-Reporting zwar „voll“ ist, aber nicht zieht, dann ist das kein Grund, noch mehr Daten zu sammeln. Es ist ein Grund, die Logik zu ändern: von Kontrolle zu Steuerung, von Aktivität zu Wirkung, von Ampel zu Entscheidung. In dem Moment, in dem Führung aus Ihren KPIs konkrete Prioritäten ableitet, ist GRC nicht mehr Begleitmusik – sondern Teil der Führungsarbeit.