Die Bilder der Überschwemmungen in Deutschland im vergangen Juni sind vielen noch in den Köpfen. Zahlreiche Aufnahmen gefluteter Städte führten uns die Not der Menschen vor Augen. Erst auf den zweiten Blick offenbarten sich die Folgen für die betroffenen Unternehmen: Sachschäden, Produktionsausfälle, Unterbruch der Dienstleistungen. Dank guter Versicherungsabdeckung waren die wirtschaftlichen Schäden zwar weit weniger verheerend als z.B. jene des Taifuns «Haiyan» im November 2013 auf den Philippinen - (Klein)Unternehmen und Private waren kaum versichert. Trotzdem weisen solche elementaren Ereignisse eindringlich auf eine zunehmend wichtigere Frage hin: Wie können Unternehmen sicherstellen, dass erfolgsrelevante Kernprozesse auch im Katastrophenfall weitergeführt bzw. möglichst schnell wieder aufgenommen werden können?
Diese Probleme lassen sich im Rahmen eines Business Continuity Managements (BCM) lösen. Und zieht gleich eine oft vergessene Anschlussfrage nach sich: Wie kann das BCM in andere Führungssysteme wie Qualitätsmanagement (QM) und Risikomanagement (RM) integriert? Allzu oft werden diese Führungssysteme parallel betrieben, ohne die Schnittmengen und Differenzen systematisch zu analysieren. In der Folge werden einige mögliche Integrationsansätze skizziert.
Wichtige Elemente des Business Continuity Management
Die Notwendigkeit eines BCM ergibt sich sowohl für Produktions- als auch für Dienstleistungsunternehmen. Tritt ein unvorhergesehenes Ereignis ein, haben beide eine schnellstmögliche Weiterführung oder Wiederaufnahme kritischer Geschäftsprozesse zum Ziel. Nur so kann der Schaden auf ein vertretbares Mass reduziert werden. Beispiele für kritische Prozesse sind: elektronischer Zahlungsverkehr einer Bank, Sicherheitsmechanismen eines Chemiewerks oder IT-basierte Dispositionssystem einer Speditionsfirma.
Mit dem ISO-Standard 22301:2012 existiert seit dem Jahr 2012 eine international anerkannte Richtlinie für den Aufbau und die Umsetzung eines BCM; zuvor galt der britische Standard BS 25999. Beide Normen schlagen ein ähnliches Gerüst vor: Aufbauend auf dem sogenannten Plan-Do-Check-Act-Zyklus soll das Unternehmen ein BCM ...
- planen (plan): Aus einer Analyse der Stakeholder-Bedürfnisse, der Ziele und Erfolgspositionen des Unternehmens sowie der personellen Ressourcen werden die organisatorische Verankerung und die Verantwortlichkeiten des BCM abgeleitet; hier zeigen sich Brücken zum strategischen Management.
- umsetzen (do): In der Business Impact Analysis (BIA) werden Auswirkungen externer Ereignisse (Szenarien zu Naturkatastrophen, Stromausfällen usw.) auf Geschäftsprozesse sowie die damit verbundenen Schäden ermittelt. Für die zugrunde gelegte Risikobeurteilung (Risk Assessement, RA) verweist der BCM-Standard auf die ISO-Norm 31000. Hier sehen wir eine erste Schnittstelle zum Risikomanagement; in der resultierenden Business Continuity Strategy (BCS) wird das generelle Vorgehen für die Wiederaufnahme kritischer Prozesse beschrieben und die konkreten Schritte in sogenannten Business Continuity Procedures (BCP) festgehalten.
- überprüfen (check): Eine regelmässige Überprüfung des BCM, z.B. durch Simulationen von Katastrophenfällen, zeigt Schwachstellen in den BCP oder auch deren ungenügende Kenntnis seitens des Personals auf.
- verbessern (act): Die erkannten Schwachstellen sollten sich in einer kontinuierlichen Verbesserung des BCM niederschlagen – somit findet sich eine Grundidee des betrieblichen Qualitätsmanagements auch im BCM wieder.
Business Continuity Management als Führungsaufgabe
Bereits aus dieser kurzen Auflistung der BCM-Kernelemente werden die Schnittmengen mit anderen Führungssystemen klar ersichtlich: Nur auf Grundlage der im strategischen Management getroffenen Basisentscheide können wir bestimmen, welche Funktionen und Bereiche des Unternehmens kritisch sind – ob z.B. die telefonische Erreichbarkeit, eine ununterbrochene Internetverbindung oder die Produktion in einer Zweigstätte zu jedem Zeitpunkt unentbehrliche oder «nur» normale Geschäftsprozesse sind. Beim nächsten Strategie-Review lohnt es sich also, die Unternehmensbereiche oder Dienstleistungsportfolios bezüglich «Unverzichtbarkeit» zu prüfen. Eine kritische Überprüfung und kontinuierliche Verbesserung des BCM kann nur gelingen, wenn es nachhaltig in der Unternehmenskultur verankert ist. Im Zusammenhang mit dem Qualitätsmanagement (QMS) und der internen Unternehmenskommunikation ist zu fragen: Kennen die einzelnen Mitarbeitenden ihre Verantwortung im Katastrophenfall? Besteht eine positive Fehlerkultur, die es ermöglicht, kritische Situationen/Beinahefehler zu rapportieren? Sind die BCP so konzipiert, dass sie im Ernstfall praktikabel sind (z.B. Notfall-Telefonnummern nicht nur im Intranet verfügbar, sondern auch in Papierform am Arbeitsplatz vorhanden)? Werden die Erkenntnisse aus der BCM-Überprüfung konsequent und stufengerecht an die Geschäftsleitung weitergeleitet? Damit müssen allgemeine Prinzipien des QMS ins BCM einfliessen und andererseits Rückmeldungen aus dem BCM ins QMS integriert werden.
Business Continuity Managements und Risikomanagement: eine enge Beziehung
Die wohl grösste Schnittmenge besteht zwischen BCM und RM. Beide Führungssysteme befassen sich mit dem Eintreten sowie den negativen Auswirkungen ungewisser Ereignisse. Werden im Rahmen der BIA die Auswirkungen verschiedener Szenarien auf Geschäftsprozesse untersucht, können wir auf Erkenntnisse des RM zurückgreifen: Beschreibung und Schadensausmass einzelner Risiken liefern uns Hinweise zum Schadenpotenzial und damit zur Identifikation der kritischen Prozesse.
Allerdings ist sowohl hinsichtlich der Risikoidentifikation als auch der Risikobewältigung zu beachten, dass wir im BCM einen engeren bzw. leicht verschobenen Fokus haben: Das RM strebt erstens nach Identifikation von Risiken aller Eintretenswahrscheinlichkeiten und Schadenshöhen (z.B. Auslieferung eines fehlerhaften Produkts, das Schadensersatzklagen und Reputationsschäden nach sich zieht) sowie zweitens nach der Reduktion von entweder Eintretenswahrscheinlichkeit oder Schadenshöhe der Risiken - wobei gewisse «Restrisiken» akzeptiert werden müssen.
Grafik: Schnittmengen des BCM
Im BCM fokussieren wir auf genau jene Restrisiken, die zwar eine tiefe Eintretenswahrscheinlichkeit, aber ein enormes Schadensausmass aufweisen. Die Bewältigung (in Form der BCP) zielt stets auf eine Reduktion der Schadenshöhe, kann aber nicht die Eintretenswahrscheinlichkeit mindern. Denn meist handelt es sich um nicht beeinflussbare Extremereignisse (z.B. Ausfall der Sicherheitssysteme durch Erdbeben). Allerdings können BCS und BCP wiederum in das RM einfliessen - insofern die Grundelemente des Business Continuity Managements bereits im allgemeinen Risikomanagement-Konzept aufgeführt sind. Und wenn auf Stufe einzelner, im RM definierter Massnahmen ein konkreter Verweis auf BCS oder BCP anzeigt, ob Planungen für den Eintritt des Restrisikos getroffen wurden.
Keine Aufblähung der Führungsstrukturen
Es zeigt sich also, dass ein Business Continuity Management zwar seiner eigenen Logik folgt, die Schnittmengen mit anderen Führungssystemen aber beträchtlich sind. Diese Erkenntnis muss nun aber weder zur Schaffung neuer Gremien noch zur Abfassung ellenlanger Handbücher führen. Vielmehr sind die Berührungspunkte zu ermitteln - und die einzelnen Führungssysteme um ausgewählte BCM-Themen zu ergänzen: Sei es die Frage nach den absolut unverzichtbaren Leistungen des Unternehmens im Rahmen eines Strategiereviews oder die Integration der BCM-Überprüfung in die periodische Aktualisierung des Qualitätsmanagements.
Auf Ebene des Business Continuity Managements wiederum sollte an die bestehenden Führungssysteme angeknüpft werden - z.B. indem Erkenntnisse aus dem Risikomanagement übernommen oder die im Qualitätsmanagement vorgesehenen Kommunikationsstrukturen für die Krisenkommunikation im Katastrophenfall adaptiert werden. Klar ist, dass wir das BCM nicht als vorübergehende Mode abstempeln und ignorieren können: Bereits heute müssen sich zahlreiche Zulieferer grosser Unternehmen hinsichtlich ihres BCM zertifizieren lassen. Gemäss internationalen Standards für alle Banken und Effektenhändler schreibt etwa die eidgenössische Bankenkommission die Implementierung eines BPM vor.
(Bildquelle Titelbild: © lagereek/iStockphoto; Bildquelle Artikelbild: www.mattig.ch)