Betriebskontinuität managen und mögliche Krisen bewältigen

Unter Business Continuity Management (BCM) versteht man die Massnahmen und Tätigkeiten zur Fortführung kritischer Geschäftsprozesse im Not- und Schadensfall. Es geht dabei um weit mehr als einen Notfallplan. Durch vorbeugende Massnahmen können günstige Voraussetzungen geschaffen werden, um eine Krise mit möglichst geringen Schäden zu überstehen. Die Vorteile des BCM sind:

• Man kennt seine kritischen Geschäftsprozesse.
• Schäden können durch Prävention re­duziert werden.
• Nach oder während eines Ereignisses geht es darum, Ausfallzeiten zu minimieren.
• Vermeidung von Image- und Reputa­tionsschäden.
• Erfüllen von rechtlichen Anforderungen (Compliance).
• Trifft das Ereignis alle Organisationen, kann man sich mit einem BCM einen Wettbewerbsvorteil verschaffen.

Individuelle Vorsorge

Wieso soll man sich aber mit einem Fall beschäftigen, der sowieso nicht eintreten soll? Wir ziehen zum Velo- und Skifahren einen Helm an, zum Autofahren den Sicherheitsgurt, und wir schliessen für alles Mögliche eine Versicherung ab. Es wäre fahrlässig, als Verantwortlicher für eine Organisation sich nicht damit zu ­be­schäftigen, welche Optionen man hat, wenn ein Schadensereignis eintritt. Aufgrund der erarbeiteten Erkenntnisse kann man oft mit wenig Aufwand günstigere Voraussetzungen schaffen, um eine Krise ohne grossen Schaden zu überstehen oder mindestens zu über­leben.

Auch vorgefertigte Notfallpläne «ab der Stange» sind als Vorbereitung nicht immer ausreichend. Wenn das Wetter unsicher ist, nehmen wir einen Schirm oder wetterfeste Kleidung mit. Je nachdem was wir vorhaben, ist das eine oder das andere die passende Lösung, falls das unerwünschte Ereignis eintritt. Die kritischen Tätigkeiten, die von einem Ereignis betroffen sein können, sind nicht in allen Organisationen dieselben. Auch die Massnahmen sind meist nicht identisch. Das Vertrauen in ein System und dessen Wirksamkeit ist höher, wenn man es selbst aufgebaut hat. Man kann natürlich aus Beispielen lernen und externe Unterstützung beiziehen.

Das Handeln in schwierigen Situationen muss geübt werden. Am besten funktioniert ein System, wenn Sofortmassnahmen reflexartig ausgeführt werden können. Im Judo lernt man zuerst, reflex­artig richtig zu fallen. Auch in einer Organisation sollte man Reflexe trainieren.

Einfache Absprachen innerhalb der Geschäftsleitung genügen nicht. Business Continuity Management hat eine strategische, taktische und operative Ebene. Es müssen Vorkehrungen und Handlungsanweisungen auf allen Ebenen festgelegt und geübt werden. Es geht darum, die ­Resilienz der Organisation als System zu erhöhen. Die ganze Organisation muss mitmachen.

Es ist nie zu spät

Es ist immer von Vorteil, verschiedene Perspektiven zu betrachten. Beim BCM geht man von den kritischen Tätigkeiten aus, also was muss ich mindestens noch leisten können, um die Aufträge zu er­füllen? Es geht um einen extremen Fall und um Massnahmen, die einen vor dem Schlimmsten bewahren. Ein BCM ist ein wichtiger Pfeiler eines Risikomanagementsystems.

Auch wenn Unternehmen bereits in der Krise stecken, lohnt es sich noch, sich um einen systematischen Ansatz zu kümmern. Es ist nie zu spät. Natürlich sind in der Krise für den Moment kaum vorbeugende Massnahmen möglich. Dass man sich systematisch überlegt, wie man aus der Situation wieder herauskommt, ist aber sicher empfehlenswert. Gerade in schwierigen Zeiten hilft ein bewährtes, methodisches Vorgehen, Sicherheit und Zuversicht zu geben. In der Krise muss man nicht krampfhaft nach Beispielen suchen, man erlebt sie und die Notwendigkeit für Massnahmen steht ausser Zweifel.

BCM – kein isoliertes System

Man kann sicher ruhiger schlafen, wenn man ein BCM aufgebaut und ausgetestet hat. Man muss sich jedoch bewusst sein, dass sich das Umfeld ändert und auch die Organisation selbst. Es können sich auch neue Möglichkeiten ergeben, um im Ereignisfall weniger Schaden zu nehmen. Denken Sie nur an das mobile Arbeiten oder an Besprechungen über Video. Es ist also notwendig, sein BCM in sinnvoll geplanten Abständen zu überprüfen, um es zu verbessern. Wenn ein Ereignis eingetreten ist, gilt es, daraus Lehren zu ziehen und sich zu verbessern. Zudem kann man auch aus dem Unglück anderer lernen. Verbesserungen sind erfolgreich, wenn man sich der bewährten Plan-Do-Check-Act-Methode bedient.

Die für den Eintrittsfall besonderen, geplanten Massnahmen sind in dafür gedachten Verfahren beschrieben (zum Beispiel im Notfallhandbuch). Damit Business Continuity Management erfolgreich ist, müssen vorbeugende Massnahmen umgesetzt werden, dazu gehört zum Beispiel das sogenannte Supply Chain Management, bei dem es darum geht, die Risiken in der Lieferantenkette zu minimieren. Die Umsetzung dieser Massnahmen muss in den Prozessen erkennbar sein. Die Notfallorganisation sollte sich zum Normalbetrieb klar abgrenzen und auch wieder aufgehoben werden, wenn der Normalzustand wieder erreicht wird. Das BCM kann nicht vollständig isoliert sein. Es erleichtert das Vorgehen ungemein, wenn man über ein funktionierendes und dokumentiertes Managementsystem verfügt. Damit verfügt man über ein geeignetes Kommunikationsmittel und es vereinfacht das Identifizieren der kritischen Prozesse und das Aufzeigen von Massnahmen.

Für das Business Continuity Management kann man sich zertifizieren lassen. Dafür vorgesehen ist die Norm ISO 22301; sie liegt seit 2019 in einer überarbeiteten Version vor. Im Zusammenhang mit ISO/IEC 27001 (Informationssicherheit) befasst sich ISO/IEC 27031:2011 mit dem Thema der Business Continuity. Diese richtet sich besonders an Organisationen im Bereich der Informationstechnologie und der Telekommunikation.

Fragestellungen

• Wie stark wird unsere Produktivität in einem Schadenszenario beeinträchtigt?
• Wie reagieren unsere Kunden und Stakeholders bei einem Produktions-/Dienstleistungsausfall?
• Welches ist unsere maximal tolerierbare Ausfallzeit?
• Wie können wir kritische Prozesse aufrechterhalten?
• Welche rechtlichen Anforderungen könnten verletzt werden?
• Wie können Verluste und Auswirkungen minimiert werden?
• Ab wann kann man wieder zum Normalfall zurückkehren?

Wenn Unternehmen auf diese Fragen spontan keine Antwort haben, werden sie sicher vom Business Continuity Management profitieren können.

Einsatz der Notfallpläne

Es kommt meist so weit, weil man das Ereignis nicht voraussieht oder es falsch einschätzt. Es gehört auch zum BCM, im Sinne eines Frühwarnsystems, Indikatoren zu verfolgen, um genügend früh reagieren zu können, damit der Schaden klein bleibt. Wenn ich auf der Autobahn in der Ferne viele Bremslichter sehe, kann ich reagieren und eine Kollision vermeiden. Bin ich abgelenkt und erkenne das Hindernis zu spät, sind die Folgen unangenehm. Man unterscheidet oft zwischen Störung, Notfall, Krise und Katastrophe:

Störung

Es läuft nicht alles wie vorgesehen, innerhalb des Normalbetriebes behebbar, es sind keine Notfallpläne notwendig.

Notfall

Erhebliche Unterbrechung eines zeitkritischen Geschäftsprozesses, Notfallpläne werden eingesetzt.

Krise 

Instabiler Zustand, bei dem eine abrupte oder deutliche Veränderung droht, die dringende Aufmerksamkeit und Massnahmen erfordert, um Leben, Vermögenswerte, Eigentum oder die Umwelt zu schützen. Massive Unterbrechung eines kritischen Geschäftsprozesses, es liegen keine Notfallpläne vor oder diese greifen nicht wie geplant. Die Krise kann grösstenteils innerhalb der Organisation selbst behoben werden.

Katastrophe 

Ein Grossschadensereignis, mit gross­flächigen Auswirkungen auf Menschen, Werte und Sachen. Eine Katastrophe kann nicht allein durch eine Organisation behoben werden. Eine Katastrophe wird in der Organisation als Krise behandelt.

Die Implementierung 

Der Aufbau und die Umsetzung des Business Continuity Managements erfolgen in aufeinander abgestimmten Schritten. Durch das methodische Vorgehen kommt man rasch zu einem guten Basissystem, das fortlaufend verbessert werden kann. Es sollte nicht das Ziel sein, auf Anhieb ein perfektes System aufzubauen, das kann es, wenn überhaupt, sowieso nur für kurze Zeit sein. Es ist viel wichtiger, zu ­beginnen und aus den Erfahrungen und Übungen zu lernen und das System zu verbessern. Das System muss sich in der Organisation entwickeln.

Wesentliche Elemente des BCM

BAO (Besondere Aufbau­organisation)

Um in der besonderen Situation einer Krise bestehen zu können, empfiehlt es sich, eine sogenannte besondere Auf­bauorganisation (BAO) vorzusehen. Im Normalzustand sollte man einen Notfall­beauftragten bezeichnen und ihm entsprechende Aufgaben zuteilen. Für die Notfallbewältigung begünstigen ein ­Krisenentscheidungsgremium, ein Krisenstab und Notfallteams die Umsetzung der Massnahmen.

BIA (Business-Impact-Analyse)

In der Business-Impact-Analyse werden die Auswirkungen auf die Geschäftsprozesse betrachtet. Durch die Identifikation der zeitkritischen Geschäftsprozesse können die Prioritäten und Anforderungen für die Aufrechterhaltung der Betriebsfähigkeit bestimmt werden. Berücksichtigt werden: Kontext der Organisation, interessierte Parteien, unterstützende Tätigkeiten, der Zeitrahmen (maximal vertretbare Störungsdauer) und die Ressourcen. Dabei sind auch Abhängigkeiten und Wechselwirkungen zu betrachten. In der anschliessenden Risikoanalyse werden die Ursachen ermittelt, um wirksame Gegenmassnahmen zu finden.

Der Faktor Zeit

Ein grosser Nutzen aus dem Aufbau des BCM-Systems entsteht durch die Analyse der Zeitverhältnisse. Dabei unterscheidet man verschiedene Zeiträume, die in der Bewertung des Risikos und bei der Festlegung der Massnahmen eine Rolle spielen.

RTO (Recovery Time Objective)

Geforderte Wiederanlaufzeit: Zeitraum nach einem Zwischenfall, innerhalb dessen ein Produkt fortgeführt oder eine Dienstleistung wieder aufgenommen wird oder eine Tätigkeit fortgeführt wird oder Ressourcen wiederhergestellt werden.

RTA (Recovery Time Achievable)

Erreichbare Wiederanlaufzeit: Wie lange dauert es vom Zeitpunkt des Ausfalls, bis die Notfall-Lösung produktiv ist.

MTPD (Maximum Tolerable Period of Disruption)

Maximal tolerierbare Ausfallzeit: Die Zeitdauer nach Eintreten eines Notfalls, nach der das Unternehmen ohne Ein­leitung von Massnahmen einen bestandsgefährdenden Schaden erleiden würde. Der MTPD wird über eine Business-Impact-Analyse ermittelt. 

Mit einem BCM kann erreicht werden, dass die Produktivität durch ein Ereignis nicht auf null sinkt und die Wiederherstellungszeit verkürzt werden kann.

Fazit

Es lohnt sich auf jeden Fall, sich mit dem Business Continuity Management zu ­beschäftigen. Die Widerstandsfähigkeit der Organisation wird dadurch verstärkt. Durch das systematische Vorgehen lernt man viel über die Organisation, was nicht nur in der Krise einen Nutzen bringt. 

Wenn Sie noch kein BCM haben, machen Sie einen ersten Schritt, benutzen Sie unsere Checkliste für eine Standortbestimmung. Das ist sicher auch nützlich, wenn Sie bereits ein System aufgebaut haben.

Weiterbildungsangebote zum Thema: Lehrgang Quality System Manager; Qualitätsmanagement für Führungskräfte. Weitere Informationen unter: https://akademie.svti-gruppe.ch

Informationen und Hilfsmittel (kostenfreie Checkliste und Formulare) zum Business Continuity Management sind auf www.safetycenter.ch/cs/Thema-BCM erhältlich.