Das Security Controlling sorgt für eine angemessene Kosten- und Leistungstransparenz.
Foto: stockpics - Fotolia.com

Sicherheitsberatung

Pragmatisches Security Controlling

Kann man Schutz und Sicherheit messen? Security Controlling ist ein Ansatz, für eine angemessene Kosten- und Leistungstransparenz zu sorgen.

Dieser Artikel beschreibt den Verlauf und ausgewählte Ergebnisse eines Forschungsprojekts, das von Sicherheitsverantwortlichen aus 20 Unternehmen des DAX 30 unterstützt wurde und das Konzept eines „Security Controllings“vorstellt. Zweck dieses Vorhabens war es, unter anderem herauszuarbeiten, wie Schutz (den man etabliert) und Sicherheit (die dadurch entsteht) gemessen und der Mehrwert der Corporate Security ermittelt werden können – und wie so ein „Security Controlling“ in DAX-Unternehmen bereits praktiziert wird.

Was ist Security Controlling?

Vereinfacht ausgedrückt geht es darum, in der betrieblichen Sicherheitsorganisation eine angemessene Kosten- und Leistungstransparenz zu gewährleisten. Für einen Chief Security Officer ist dies einerseits wichtig, um seinen Verantwortungsbereich bestmöglich managen zu können. Anderseits ist dies wichtig, wenn er seinen Stakeholdern zum Beispiel in der Unternehmensleitung aufzeigen möchte, warum er was tut, welches Ergebnis er dabei erzielt und wie sich dies auf die Geschäftsaktivitäten seines Unternehmens auswirkt.

Die Ähnlichkeiten zum Qualitätsmanagement sind offensichtlich, denn auch hier geht es um die kontinuierliche Sammlung, Dokumentation, Auswertung und Diskussion relevanter, verlässlicher und zutreffender Informationen über die geleistete Arbeit und die erzielten Ergebnisse. Doch bevor ein derartiger Prozess beginnen kann, müssen die Beteiligten und ihre Stakeholder festlegen, was sie eigentlich wissen möchten – und sich über die relevanten Zusammenhänge und Kausalnetze verständigen.

Aufbau des Forschungsprojekts

Nach einer empirischen Vorstudie fand eine Expertenbefragung (Interviews und Fragebogen) statt, an der sich Sicherheitsverantwortliche aus folgenden Unternehmen beteiligten: BASF, Beiersdorf, BMW, Daimler, Deutsche Bank, Deutsche Börse, Deutsche Lufthansa, Deutsche Post DHL, Deutsche Telekom, E.ON, Heidelbergcement, Henkel, Infineon, K+S, MAN, Merck, Metro, Munich RE, RWE, Siemens.

Im Anschluss entstanden noch drei Fallstudien, in denen unter anderem die Erkenntnisse der DPDHL AG mit der Security Scorecard der DHL und die Methodik der Siemens AG zur Sicherstellung von Projekterfolg in High Risk Areas analysiert wurden.

Erkenntnisse

Das Projekt brachte eine Vielzahl von interessanten Erkenntnissen zur Praxis der Leistungsmessung und Wertbeitragsermittlung in den 20 DAX-Unternehmen. Zunächst gibt es in den befragten Unternehmen ein – implizit – gemeinsames Verständnis davon, wie Unternehmenssicherheit „funktioniert“. Die im Rahmen der Interviews gefundenen Zusammenhänge stellt das nachfolgende Security Performance Modell dar.

Demzufolge sind die Assets des Unternehmens internen und externen Bedrohungen ausgesetzt (Input). Daher etabliert das Unternehmen ein Security Management, in dessen Kernprozess sich eine Konzeptionsphase und eine Implementierungsphase unterscheiden lassen (Throughput). Das Ergebnis dieser Arbeit sind die subjektive und objektive Sicherheit beziehungsweise die Unversehrtheit und Nutzbarkeit der Assets (Output). Der Effekt ist ein Business Enabling, das heißt trotz bestehender Bedrohungen können dank des erfolgreichen Schutzes die Geschäftsaktivitäten wie geplant stattfinden (Outcome). In der Folge erreicht das Unternehmen auch unter risikoreichen Rahmenbedingungen die Geschäftsziele (Business Success).

Weiterhin zeigte sich, dass in allen befragten Unternehmen Schutz und Sicherheit qualitativ gemessen werden – zum Beispiel im Sinne einer Einschätzung auf einer Grün-Gelb-Rot-Skala.

Daneben gibt es einige Unternehmen, die bereits seit längerer Zeit auch quantitative Messprozesse etabliert haben. Hierzu gehört unter anderem die DHL mit ihrer Security Scorecard: Dieses Instrument kommt mit vergleichsweise wenigen Kennzahlen aus, die allerdings sehr belastbar sind, weil sie aufgrund eines hohen Commitment der regionalen Security Manager regelmäßig aus Rohdaten von hoher Qualität berechnet werden können. Daher konnten sie sich als eine verlässliche Grundlage für das Monitoring und die Steuerung des globalen Sicherheitsmanagements der DHL bewähren.

Wie kann ein pragmatisches Security Controlling aussehen?

Das dargestellte Performance Modell der Unternehmenssicherheit bietet hierzu einen anschaulichen Rahmen. So war es möglich, die häufig unverbundenen Einzelelemente der Messpraxis in den 20 DAX-Unternehmen dort nach Input, Throughput und Output einzugliedern. Dabei lässt sich auch erkennen, wo noch Lücken in der Gesamtlogik geschlossen werden können. Optimierungspotenziale gibt es in vielen Unternehmen insbesondere bei den Ergebnissen der Asset Classification („Kronjuwelen“), bei der Ermittlung des Implementierungsgrads der beschlossenen Schutzkonzepte und bei der Verlässlichkeit des Incident Reporting.

Die dargestellte Systematik lässt sich gut durch eher kostenorientierte Ansätze ergänzen, die in mehreren Unternehmen und auch bei Sicherheitsberatern verfolgt werden. Ein Beispiel dafür ist eine an das Konzept der Total Cost of Ownership (TCO) angelehnte Unterscheidung und Ermittlung von direkten und indirekten Schutz- und Schadenskosten. Auch das Konzept der Lebenszykluskosten (LCC) kommt häufig zur Anwendung, insbesondere wenn es um Modernisierungsinvestitionen oder das Senken von laufenden Kosten geht. Für den Wertbeitrag der Unternehmenssicherheit zeigten sich zwei Ansatzpunkte: das Senken von Ausgaben und das Ermöglichen von Geschäftsaktivitäten und von Einnahmen.

In der Praxis der befragten Unternehmen geht man häufig beide Wege, wobei die Erläuterung des Mehrwerts der Security eher anekdotisch beziehungsweise im Rahmen des Storytelling erfolgt; hierzu berichtet man zum Beispiel in Anlehnung an das Security Performance Modell eine Success Story mit einem Spannungsbogen von den bedrohten Assets am Anfang, über die erfolgreiche Schutzarbeit bis hin zur erzielten Asset Security und dem dadurch ermöglichten Geschäftserfolg.

Hilfreich bei Budgetverhandlungen

Ähnlich wie im Qualitätsmanagement erfordert ein hilfreiches Security Controlling einerseits die Suche nach sinnvollen KPIs und andererseits auch das ausdauernde Sammeln, Auswerten, Dokumentieren und Kommunizieren von belastbaren Messergebnissen, Einschätzungen und Ereignissen. Gelingen Aufbau, Betrieb und Weiterentwicklung eines pragmatischen Security Controllings, so unterstützt dies die Sicherheitsverantwortlichen auch in den jährlichen Budgetverhandlungen. Und die sind nicht nur im DAX ein Thema, sondern auch in KMUs und inhabergeführten Familienunternehmen. Dr. Jürgen Harrer, Forschungsdirektor - Security & Management, EBS Universität für Wirtschaft und Recht, und Partner bei Kraiss Wilke

& Kollegen