Der Cockpit-Ansatz im Detail

Kennzahlen zu messen und als Zahl schwarz auf weiß zu haben ist nur die halbe Miete. Nehmen wir an, die Performance Ihres Incident Management Prozesses ist aktuell 3. Ist das gut? Im Soll? Schlecht? Oder besteht gar sofortiger Handlungsbedarf, weil die Krise schon an die Tür klopft? Wie Sie mit Kennzahlen gekonnt umgehen, zeigen wir Ihnen hier!

Beim Umgang mit KPIs fühlt man sich schnell an den Mathelehrer erinnert, der auf eine Zahl als Antwort grundsätzlich konterte: „5 was? Äpfel? Birnen? Tomaten?“ Ja, dieser schnippische Kommentar hat wohl viele von uns zur Weißglut gebracht. Heute wissen wir, dass der Mathelehrer sich zwar dumm gestellt, aber auch Recht hatte. Denn was hat er da genau gefordert? Kontext!

Doch selbst wenn wir jeder Zahl ihren Kontext mitgeben, ist das Ergebnis wohl unbequem, denn da stehen dann viele Zahlen schwarz auf weiß, wie in einer gefürchteten unformatierten Exceltapete.

 

Ein Beispiel gefällig? Priorisieren Sie das nötige Troubleshooting auf den ersten Blick:

DE/NUE 13-05-2020 07:23:33 PENDING 21654 1/2
DE/STR 13-05-2020 07:23:43 UNKNOWN 84073 2/8
FR/LYS 13-05-2020 07:23:41 DOWN 79234 n/a
PL/WAW 13-05-2020 07:23:33 OK 12579 1/3
SE/ARN 13-05-2020 07:23:34 OK 15846 1/3
SE/GOT 13-05-2020 07:23:36 PENDING 83513 n/a
US/NYC 13-05-2020 07:23:38 WARNING 94314 4/3
US/LAX 13-05-2020 07:23:31 CRITICAL 87654 3/3
DC/DC1 13-05-2020 07:23:40 PENDING 99653 1/8
DC/DC2 13-05-2020 07:23:33 PENDING 99646 n/a

 

Ein Mensch kann da kaum den Überblick behalten. Gehen wir also einen Schritt weiter in Richtung Überblick. Stellen wir uns ein Unternehmen mit einigen Standorten weltweit vor, welches eine eigene IT betreibt, und spicken wir mal in diese IT. Die Administratoren haben einige große Monitore an ihrer Wand, auf denen sie permanent den Status der verschiedensten Systeme überwachen können. Das ist nicht grundsätzlich anders als die kleine fiktive Tabelle oben, aber geht dann doch einen entscheidenden Schritt weiter. Ist der Tunnel nach Warschau gerade „down“? Die Zeile war eben noch signalrot, aber das Problem konnte direkt gelöst werden und sie ist wieder grün. Reicht der Festplattenplatz auf dem Storage noch? Ja, die Zeile ist auch grün. Dafür wird offenbar die Leitungsperformance in New York schlechter, der Indikator ist von grün auf gelb umgesprungen. Möglich, dass sich da gerade alle Kollegen einloggen. Wenn sich das in den nächsten paar Minuten nicht erholt, muss jemand die Lage analysieren und ggf. eingreifen.

Nebenan bei den Kollegen vom First Level Support zeigt der nächste große Bildschirm für alle sichtbar die Länge der Warteschlange. Aktuell ist es ruhig, sodass auch Zeit bleibt, ein paar Rechner zu installieren. Sobald die Anrufer aber länger als 30 Sekunden warten müssen, wird der „Wartezeitbalken“ erst grau, dann rot, und der Teamleiter kann weitere Kollegen in die Telefonie holen. Zu wem gerade keine Anrufe geroutet werden, sieht man natürlich auch auf dem Monitor.

Beide Systeme, sowohl das Monitoringsystem der Administratoren als auch das Call-Center-System, sind so konfiguriert, dass Grenzwerte für einzelne Messpunkte angegeben wurden. In welchem Rahmen muss sich die Latenz des Pings nach New York bewegen, damit der Wert grün erscheint? Ab wann muss gelb angezeigt werden? Und wann rot? Dabei sind solche Grenzwerte nicht generisch, sondern können pro beurteiltem Sachverhalt anders sein. Wenn die Konzernzentrale in Nürnberg Daten mit dem Standort in München austauscht, geht das natürlich erheblich schneller, als wenn Nürnberg Daten nach New York schickt. Die Warnschwellen sind da also entsprechend unterschiedlich definiert.

Von farbigen Kennzeichnungen ins echte Cockpit

Die farbliche Kennzeichnung der einzelnen Zeilen ist auf jeden Fall schon hilfreicher als die Zahlenwerte allein, weil die Farbe schneller wahrgenommen werden kann. Es gibt aber eine noch bessere Darstellung. Werfen Sie dazu einen Blick in Ihr Auto: Dort werden oft Drehzahl, Tankinhalt und Kühlwassertemperatur nicht als ein fester Wert dargestellt, sondern mit einem Zeiger vor einer Skala. Obendrein ist ein roter Bereich optisch hervorgehoben, damit Sie – auch wenn Sie kein Automechaniker oder Rennfahrer sind – sofort beurteilen können, dass der aktuelle Wert zu hoch ist. Diese Anzeigen sind stets aktuell und sehr dynamisch. Sie können also nicht nur erkennen, wenn es schon zu spät ist, sondern sehen vorher schon, dass Handlungsbedarf bestehen wird. Mein Auto warnt mich immer zusätzlich zu der Zeigervariante auch noch im Bordcomputer, wenn der Tankinhalt nur noch für ca. 80km reicht.

Solche Anzeigen mit einem Zeiger vor einer Skala lassen uns also

  1. den aktuellen Wert erkennen,
  2. ob der Wert in der Mitte oder eher am Rand eines Bereichs liegt und
  3. durch die Bewegung die aktuelle Entwicklung des Wertes.

Daraus können Sie weit mehr ableiten, als aus einer reinen Zahl und somit ist so eine Darstellung ideal für eine Beurteilung. Wenn dann noch ein Schleppzeiger hinzukommt, der in der Lage ist, das letzte Maximum anzuzeigen…

Die Aussagekraft willkürlicher Kennzahlen

Die ideale Darstellung haben Sie jetzt vor Augen. Welche Messwerte sind wirklich hilfreich und wie kommen Sie an die ran?

Sie ahnen es bereits Eine allgemeingültige Antwort gibt es nicht, denn auch das hängt wieder vom Kontext Ihrer Organisation ab.

Mit folgenden Fragen kommen Sie zu Ihren persönlichen Kennzahlen:

  • Was können und müssen Sie managen?
  • Welche Datenlage brauchen Sie dazu?
  • Welche einzelnen Datenpunkte messen Sie ?

Beispiele Awareness

Schauen wir uns das am Beispiel „Awareness“ an und gehen wir davon aus, dass Ihre Mitarbeiter nicht nur über mögliche Risiken informiert sind, sondern auch dauerhaft aufmerksam darauf reagieren sollen. Eingangs gibt es dazu oft Awarenessschulungen und wenn alle daran teilgenommen haben, liegt die Quote bei 100%. Die ist ein erster Messwert zur Awareness, der sich aus (Anzahl der Teilnehmer an der Schulung) geteilt durch (Anzahl der Mitarbeiter im Scope) errechnet. Im Cockpit sind Sie damit garantiert im grünen Bereich, der Zeiger schlägt an der Kante an. Mehr als 100% geht nicht.

 

Über die Zeit jedoch lässt die Aufmerksamkeit nach. Die Inhalte der Schulung werden langsam vergessen, es ist ja auch nie etwas passiert und es schleichen sich langsam wieder Fehler ein. Der bisher einzige Messwert zur Awareness, die Teilnahmequote an der Initialschulung, steht weiterhin statisch bei 100%, trotzdem kommt es vermehrt zu diesen Fehlern. Dazu hat Ihr ISMS Sie bisher nicht gewarnt, weil die Teilnahmequote an der Initialschulung der einzige Messwert war und der sich nicht verändert hat.

 

Was könnten Sie also zusätzlich messen, um einen realistischeren Wert zu erhalten und auch ganz im Sinne der Business Continuity frühzeitig gegensteuern zu können? Ein mögliches KPI ist die Anzahl der Incidents, die durch Unwissenheit, also durch einen Mangel an Aufmerksamkeit, verursacht wurden. Hier ist 0 der Zielwert. Solange der Wert bei 0 bleibt, ist alles okay. Vermutlich werden Sie auch schnell noch einen dritten Wert hinzunehmen, um zu überwachen, ob neue Mitarbeiter innerhalb weniger Wochen nach Arbeitsbeginn die Schulung erhalten haben. Und es ergibt sich dann noch der Bedarf, die Schulung für die bestehenden Mitarbeiter in regelmäßigen Abständen zu wiederholen, um die Awareness konstant auf einem hohen Level zu halten. Der aus diesen Überlegungen resultierende Messwert, wie lange die letzte Maßnahme im Schnitt her ist, verändert sich dabei über die Zeitdauer und erinnert Sie so daran, neue Schulungstermine zu planen.

Audits: Dos and Dont`s

Ein Audit kann für alle Beteiligten schwierig sein. Das muss aber nicht so sein! Um aus der oft stressigen Situation “Audit” das Beste zu machen, sollten Sie vor allem eines nicht vergessen: Jeder Teilnehmer kommt mit seinem ganz persönlichen Hintergrund zum Audit und so ist dies eine Situation voller Diversität. Wie das geht? Zeigen wir Ihnen hier!

Um Ihr Unternehmen im Rahmen des Audits einen Schritt in Richtung surviveANDprosper gehen zu lassen, müssen alle an einem Strang ziehen. Dabei bringt jeder Teilnehmer seine eigene Persönlichkeit, seinen beruflichen und kulturellen Hintergrund, seine Erfahrungen, seine aktuelle Situation und last but not least seine Kommunikationskenntnisse mit.

Was gilt es in einem Audit zu tun, und was gilt es zu lassen?

 

Für Auditees – Do´s

  • Kommen Sie pünktlich und vorbereitet zum Audit.
  • Seien Sie ehrlich.
  • Wenn Sie Fragen oder Sachverhalte nicht verstehen, fragen Sie direkt nach, um Missverständnisse zu vermeiden.
  • Benutzen Sie eine allgemeine und einfache Sprache, jedoch keinen „Slang“. Denken Sie dabei daran, dass Ihre Gesprächspartner und der Auditor möglicherweise nicht aus Ihrem eigenen Fachbereich kommen und somit Ihre Fachsprache ggf. nicht verstehen.
  • Denken Sie an Pausen 😊
  • Sorgen Sie schon vor dem Audit dafür, dass alle Beteiligten wissen, was von ihnen erwartet wird. Dazu gehört auch, welche Ausrüstung mitzubringen ist (z. B. Laptop, Sicherheitsschuhe, notwendige Schlüssel für eine Begehung).
  • Stellen Sie im Vorfeld sicher, dass Sie Zugriff auf alle im Audit benötigten Informationen und Systeme haben, wie z. B. auf Prozesse, Netzwerkpläne, Ticketsysteme, Richtlinien, Dokumente etc.
  • Und wenn es gerade nicht gut läuft? Geben Sie Fehler zu und betrachten Sie diese als Chance für weitere Verbesserung Ihres Managementsystems.

 

Für Auditees – Dont´s

  • Greifen Sie den Auditor nicht persönlich an, selbst wenn Sie absolut nicht seiner Meinung sind. Im Zweifel nehmen Sie seine Meinung hin und bewerten diese im Nachgang.
  • Ziehen Sie keine „Auditshow“ ab. Zeigen Sie die Realität so wie sie ist.
  • Suchen Sie keinen Schuldigen, wenn es zu Abweichungen kommen sollte, sondern gehen Sie konstruktiv mit Fehlern um. Finger-pointing hilft Ihnen nicht weiter.

 

Für Auditoren – Do´s

  • Kündigen Sie ein Audit immer vorab an.
  • Bedenken Sie, dass Ihre Anwesenheit gerade beim Erstaudit eine Ausnahmesituation für Ihre Gesprächspartner darstellt. Geben Sie ihnen Zeit zum warm-up.
  • Führen Sie das Audit innerhalb der geplanten Zeit durch.
  • Seien Sie immer fair. Sie sind verantwortlich für die wahrheitsgemäße und genaue Berichterstattung.
  • Achten Sie darauf, immer die richtige Person zu fragen. Das ist derjenige, der die Verantwortung für das trägt, was Sie gerade auditieren wollen. Geben Sie dem Befragten Zeit, um Ihre Frage zu verstehen und zu beantworten. Hören Sie aufmerksam zu!
  • Erklären Sie vor allem bei Begehungen, was genau Sie sehen möchten.
  • Zeigen Sie sich aufmerksam und flexibel. Wenn es sein muss, bleiben Sie hartnäckig, bis Sie Klarheit haben.
  • Bleiben Sie höflich und zurückhaltend, aber gleichzeitig bestimmt im Auftreten. Sie sind weder der „Feind“, noch der alles akzeptierende „Kumpel“.
  • Wenn Sie zu einer Fragestellung keine Probleme finden, gehen Sie weiter.
  • Loben Sie – gerne auch im Auditbericht – wenn Ihnen besonders gute Lösungen auffallen.

 

Für Auditoren – Dont´s

  • Auditieren Sie nicht Ihre eigene Arbeit, auch nicht als interner Auditor.
  • Ergreifen Sie in Diskussionen keine Partei. Sie sollten immer unabhängig auftreten.
  • Ziehen Sie keine voreiligen Schlüsse, sondern bleiben Sie dran, bis Sie belastbare Nachweise haben.
  • Geben Sie offen zu, wenn Sie zu einem Detail (z. B. einer technischen Spezifikation) keine tiefe Kenntnis haben. Ehrlichkeit schafft Vertrauen.
  • Greifen Sie keine Person an. Beispiel: „Das haben Sie falsch verstanden!“ vs. „Wie haben Sie diesen Punkt interpretiert?“
  • Stellen Sie keine Kettenfragen bzw. zu viele Fragen auf einmal.

Objectives and Key Results als Thema der Zielvereinbarung

Zielvereinbarungen sind ein gängiges Mittel in Unternehmen, um die Leistungen der Mitarbeiter zu messen. Doch oft bringen solche Zielvereinbarungen nicht den gewünschten Effekt. Sie werden schwammig formuliert, geraten wegen des stressigen Tagesgeschäfts in Vergessenheit oder werden erst so spät umgesetzt, dass das Ziel gar nicht mehr relevant ist.

Mit Objective Key Results steht Ihnen eine Methode zur Verfügung, die solche Probleme vermeidet. Der Ansatz bietet den Vorteil, dass die Wirksamkeit der Zielerreichung in kürzeren Abständen gemessen wird. Üblich ist ein Quartals-Zyklus. So können die Ergebnisse kurzfristig bewertet werden und eventuell notwendige Ziel-Anpassungen schnell vorgenommen werden. Wie OKRs richtig angewendet werden können? Zeigen wir Ihnen hier!

OKR – der Aufbau

Legen Sie zuerst die Ziele (Objectives) und den Zielhorizont fest.

Beispiel Objective aus dem Marketing:

Bis zum 20.12.2020 wurden 200 neue Leads generiert.

 

Von diesem übergeordneten Ziel leiten Sie nun wiederum kleiner „Aufträge“, die sogenannten Key Results ab. Ganz wichtig: Geben Sie nicht die Maßnahmen vor, die getroffen werden müssen, um das Ziel zu erreichen! Mit den „Aufträgen“ lenken Sie Ihren Mitarbeiter in Richtung der Zielerreichung, lassen ihm oder ihr bei der Umsetzung konkreter Maßnahmen aber freie Hand.

Beispiel Key Result aus dem Marketing:

Q1: 50 Leads im Bereich Social Media Marketing

Mit diesen Vorgaben kann der Mitarbeiter nun selbst entscheiden, welche Maßnahmen getroffen werden müssen, um das Key Result zu erreichen. Die Key Results beziehen sich auf einen Zeithorizont von einem Quartal. Das gibt Ihnen die Möglichkeit auch unterjährig genau zu erkennen, wie wahrscheinlich die Zielerreichen ist. Und noch wichtiger: Sie können frühzeitig eingreifen, sollte sich abzeichnen, dass das Ziel nicht erreicht werden kann.

Lassen Sie sich den Status der Key Results quartalsmäßig von dem entsprechenden Verantwortlichen berichten. Nutzen Sie den kurzfristigen Turnus um sich immer wieder flexibel an die aktuelle Situation anzupassen und laufen Sie nicht stur einem Ziel hinterher.

WICHTIG: Wurden die Ziele nicht zum gesetzten Termin erreicht, nicht einfach den Zieltermin verlängern! Gehen Sie in die Ursachenanalyse. Vielleicht macht es zu diesem Zeitpunkt die Situation schon geändert und das alte Key Result macht gar keinen Sinn mehr.

Interne Auditoren als Treiber der organisationalen Resilienz

Audits sind in den meisten Unternehmen eher unbeliebt. Nicht nur, weil das Gefühl überprüft zu werden grundsätzlich unangenehm ist. Sondern auch, weil Audits häufig viel Zeit in Anspruch nehmen und interne Ressourcen bindet, die im Tagesgeschäft dringend gebraucht werden.

Es gibt aber viele gute Gründe, die eigenen Prozesse und Regelungen im Unternehmen kritisch unter die Lupe zu nehmen. Das können Sie durch eigene interne Audits angehen. Dadurch können Sie der Geschäftsführung nämlich einen aktuellen Statusbericht über die Leistungsfähigkeit des Unternehmens zukommen zu lassen, Anfragen von Behörden (z.B. Datenschutzaufsicht) beantworten oder einem Kunden Nachweise zum Beispiel zur Informationssicherheit liefern.

Es ist verständlich, dass es sich niemand leisten möchte, jede Menge Audits durchzuführen, um am Ende festzustellen, dass manche Bereiche doppelt und dreifach geprüft wurden und die wirklich relevanten Themen durchgerutscht sind. Wie Sie Audits durchführen können, die einen wirklichen Mehrwert erzeugen? Wir zeigen es Ihnen!

Wenn Sie Ihr Auditmanagement systematisch angehen, ist schon viel gewonnen. Wobei systematisch nicht starr bedeutet!

Auditplanung bedeutet für uns

  • den wichtigsten Prozessen und Themen die meiste wertvolle Zeit zu geben.
  • Audits so vorzubereiten, dass sie die richtigen Ergebnisse liefern können und
  • Verbesserungen so zu steuern, dass sich Ihr Unternehmen langfristig verbessern kann –für mehr Erfolg!

 

Wie sollten Sie beim Aufbau eines Auditprogramm beachten?

  • Geben Sie an welche Kriterien Sie über die Audits abprüfen möchten, z.B. die einzelnen Anforderungen von Normen oder Verträgen
  • Teilen Sie die verschiedenen Audits nach Auditmethoden ein, z.B. Dokumenten-Audit, Prozess-Audit, System-Audit und visuelle Prüfung
  • Berücksichtigen Sie verschieden Standorte und Abteilungen
  • Planen Sie die internen Audits über einen Zeitraum von 3 Jahren und gleichen Sie falls möglich dem Zyklus externer Audits an
  • Wenn sich besondere Themen aus der Risikobewertung ergeben oder Schwachstellen in den Audits aufgedeckt wurden, das Auditprogramm anpassen. Es haben ich damit neue Prioritäten für die Planung ergeben.

Was gehört in einen Auditplan und einen Auditbericht?

  • Information zur auditierten Organisation
  • Audit-Art
  • Audit-Ziele
  • Audit-Scope (Umfang)
  • Audit-Kriterien
  • Audit-Methoden
  • Informationen zur Stichprobennahme
  • Termine, Orte, Zeitplan
  • Audit-Team
  • Teilnehmer der auditierten Organisation
  • Sprache
  • Besonderheiten der Logistik, Begehung von Betriebsstätten und Informationssicherheit

 

Priorisieren Sie Auditergebnisse, damit die Maßnahmen zur Beseitigung der Schwachstellen (Abweichungen) und Empfehlungen systematisch geplant werden können.

Wie können Auditergebnisse zur kontinuierlichen Verbesserung des Unternehmens genutzt werden?

 

Zum einen müssen Maßnahmen gesteuert werden und bleiben so lange in Bearbeitung, bis Sie sich vergewissern konnten dass die Maßnahme(n) wirksam waren. Wirksam sind sie dann, wenn die gefundene Schwachstelle nicht nur „gestopft“, sondern nach Möglichkeit auch verhindert wurde, dass diese Schwachstelle wieder auftritt.

Zum anderen sind die Auditergebnisse ein wertvoller Input zur Managementbewertung. Es sollen Entscheidungen getroffen werden zur Risikosituation, zu Ressourcen und Prioritäten. Damit sich das Unternehmen verbessert, resilienter wird.

WICHTIG: Berücksichtigen Sie die Ergebnisse aus Audits, um auch immer wieder Ihr Auditprogramm zu überprüfen. Eventuell sind Anpassungen erforderlich.

 

Sie haben Anmerkungen oder Fragen? Kontaktieren Sie uns!

Bitte aktivieren Sie JavaScript in Ihrem Browser, um dieses Formular fertigzustellen.
Vor- und Nachname