Zum Hauptinhalt springen

BPM-Risikokennzahlen

Key Risk Indicators (KRI)

BPM-Risikokennzahlen sind Frühwarnsignale im Prozessmanagement. Während herkömmliche Prozesskennzahlen die Leistung messen (wie schnell, wie teuer?), messen Risikokennzahlen die Anfälligkeit eines Prozesses für Störungen, Verluste oder Compliance-Verstöße.

Hier ist eine Übersicht der wichtigsten KRIs:

Die drei Säulen der Prozessrisiken

Risikokennzahlen im BPM lassen sich meist in drei Kategorien unterteilen:

A. Operative Risiken (Stabilität, Execution Risks)

Diese KRIs zeigen an, ob der Prozess technisch oder organisatorisch kurz vor dem Scheitern steht. Hier geht es um menschliches Versagen, Systemausfälle oder mangelhafte Prozesslogik.

  • Ressourcen-Überlastungsquote: Prozentsatz der Mitarbeiter, die dauerhaft über 90 % Kapazität arbeiten. (Risiko: Burnout, Fehlerhäufung, Prozessstillstand bei Krankheit).
  • System-Verfügbarkeit (Kritische IT): Ausfallzeiten der IT-Systeme, die für den Kernprozess notwendig sind.
  • Abbruchquote (Process Abandonment): Anteil der Instanzen, die gestartet, aber nie beendet wurden (Risiko: Unzufriedene Kunden, verlorene Umsätze).
  • SLA-Unterschreitungs-Trend: Geschwindigkeit, mit der sich die Anzahl der gerissenen Service-Level-Agreements erhöht.
  • Fehlbedienungsrate: Anteil der Prozessschritte, die aufgrund falscher Eingaben korrigiert werden mussten.

B. Compliance- & Rechtsrisiken (Sicherheit, Governance Risks)

Diese Kennzahlen messen die Anfälligkeit für rechtliche Probleme oder interne Richtlinienverstöße. Messen die Einhaltung von Gesetzen, Richtlinien und internen Kontrollen.

  • Kontroll-Lücken-Quote: Prozentsatz der Prozesse, in denen definierte Pflichtkontrollen (z. B. 4-Augen-Prinzip) technisch umgangen werden können.

  • Überfällige Prozess-Reviews: Anzahl der Modelle im Repository, deren fachliche Prüfung seit mehr als X Monaten aussteht (Risiko: Arbeiten nach veralteten/falschen Regeln).

  • Berechtigungs-Wildwuchs: Anzahl der Nutzer mit Administrator-Rechten oder kritischen Berechtigungskombinationen (Segregation of Duties - SoD).

  • Audit-Findings-Dichte: Anzahl der bei internen Revisionen gefundenen Abweichungen pro Prozessbereich.

    Audit-Feststellungen: Anzahl der kritischen Anmerkungen durch die interne Revision pro Prozess.

  • Datenschutz-Vorfälle: Anzahl der Meldungen über mögliche Datenpannen innerhalb eines Prozesses.

C. Qualitäts- & Fehlerrisiken (Auswirkung, Output Risks)

Hier geht es um Risiken, die das Endergebnis und damit den Unternehmenserfolg gefährden.

  • Nacharbeits-Volumen (Rework): Zeitanteil, der für die Korrektur von Fehlern aufgewendet wird (Risiko: Explodierende Prozesskosten).
  • Stammdaten-Fehlerquote: Anteil fehlerhafter Datensätze am Prozess-Input (Risiko: „Garbage In, Garbage Out“ – der gesamte Prozessoutput wird unbrauchbar).
  • Beschwerde-Häufung (Spike): Plötzlicher Anstieg von Reklamationen in einem spezifischen Prozessschritt.