Besser gewappnet für die Krise durch Business Continuity Management

Naturkatastrophen, wirtschaftliche Instabilität oder eine Pandemie: Gründe für Geschäftsunterbrechungen gibt es viele. Mögliche Folgen stellen Unternehmen vor die Herausforderung, diese Bedrohungen unter extremen Druck und veränderten Bedingungen zu mindern. Die Zertifizierungsgesellschaft DNV GL untersuchte in einer Umfrage unter knapp 1200 Kunden den Reifegrad von Business-Continuity-Programmen sowie den Nutzen und Beitrag verschiedener Managementsysteme zur Krisenbewältigung.

Schwerpunkt war die Frage, ob Unternehmen resilient genug sind, um eine Krise zu managen. 70 % der Unternehmen antworteten auf die Frage, ob das eigene Unternehmen von einem ISO-basierten Managementsystem in der Pandemiekrise profitiert hat, dass ihnen mindestens ein Standard geholfen hat, wirksam zu reagieren. Dies unterstreicht die Vorteile von Managementsystemen nach ISO-Standards wie etwa ISO 9001, ISO 14001, ISO 45001 und ISO 22301. 60 % der Befragten haben von ihrem zertifizierten Qualitätsmanagement nach ISO 9001 profitiert, 35 % von ihrem Umweltmanagementsystem und 35 % von ihrem Arbeits- und Gesundheitsschutzmanagementsystem.

Erfreulich ist, dass viele Unternehmen bereits klassische Maßnahmen zu Business Continuity umsetzen und entsprechende Schritte implementiert haben. Demnach haben 70 % bereits Business-Impact-Analysen durchgeführt, 76 % Risikobewertungsverfahren, 66 % haben spezifische Business-Continuity-Strategien/-lösungen definiert und 60 % verfügen über formell dokumentierte Business-Continuity-Pläne. Dies liegt vermutlich an der Umsetzung verschiedener ISO-Standards, die alle durch die HLS-Anforderungen (High Level Structure) von den Unternehmen verlangen, dass sie Risiken identifizieren, analysieren und behandeln.

Etablierte Managementsysteme, die auf ISO-Standards basieren, hinterfragen immer wieder die Ist-Situation gegenüber dem Soll und identifizieren potenzielle Probleme. Es geht immer darum, die jeweiligen Geschäftsbereiche systematisch zu analysieren, Maßnahmen zu planen und regelmäßig zu überprüfen, um kontinuierliche Geschäftsfähigkeit zu ermöglichen. Dasselbe gilt für Krisensituationen: Hier muss vorab geklärt werden, welche potenziellen Krisensituationen können ein Unternehmen treffen. Welche Konsequenzen haben die Krisen für die Geschäftstätigkeit des Unternehmens und wie wahrscheinlich ist das Eintreffen? Darauf aufbauend werden Maßnahmen geplant, wie mit Betriebsunterbrechungen umzugehen ist und wie sie bestmöglich vermieden werden können. Wie wird im Falle des Eintretens eines Notfalls betrieblicher Schaden durch vorausschauende Planung abgewendet?

Business Continuity nach
ISO 22301:2019

Die ISO 22301 legt die Struktur und Anforderungen für die Implementierung und Aufrechterhaltung eines Business Continuity Management System (BCMS) fest. Nach ISO 22301 ist Business Continuity die Fähigkeit einer Organisation während einer Unterbrechung die Lieferung von Produkten und Dienstleistungen innerhalb eines akzeptablen Zeitrahmens mit vordefinierter Kapazität fortzusetzen. Immer mit dem Ziel, die Infrastruktur und Ressourcen vor ungeplanten Unterbrechungen zu schützen oder diese wieder zeitnah bereit zu stellen und so die Funktion wichtiger Geschäftsprozesse zu gewährleisten.

Befragt nach den Vorteilen eines BCMS, nennen die Unternehmen drei Punkte am häufigsten: Effektivere Erfüllung von Kundenanforderungen und -erwartungen sowie Kundenzufriedenheit, Verbesserung der kontinuierlichen Betriebs- und Geschäftsfähigkeit und eine verbesserte Systematik zur Identifizierung und Beherrschung von Risiken. Darauf folgen das Commitment und die Unterstützung der obersten Leitung, die Einhaltung von rechtlichen Verpflichtungen sowie das Erreichen der strategischen Zielausrichtungen.

In der Praxis hat sich beim Aufbau eines BCMS eine Vorgehensweise nach dem PDCA-Prinzip (Plan, Do, Check, Act) aller Managementsysteme bewährt. Ausgangspunkt ist die Kontextanalyse der internen und externen Einflussfaktoren sowie der Stakeholder-Erwartungen. Die Planungsphase ist von der sogenannten Business Impact Analyse (BIA) und der Risikoermittlung geprägt. Die BIA, ob formell oder nicht, hat das Ziel, die potenziellen Auswirkungen einer Unterbrechung kritischer Geschäftsabläufe infolge einer Katastrophe, eines Unfalls oder eines Notfalls zu bestimmen und zum Beispiel zu bewerten: Was ist, wenn ein operativer Standort nicht zur Verfügung steht? Und was ist, wenn ein Lieferant seinen Betrieb einstellt?

Schwachstellen erkennen und Risiken minimieren

Ein Schwerpunkt der BIA ist das Identifizieren von Schwachstellen und die Planung von Strategien zur Risikominimierung: Wo sind die Schwachstellen meines Standorts? Habe ich Prozesse so gestaltet, dass Risiken reduziert werden können? Habe ich meine Lieferanten in all ihren geschäftlichen Dimensionen überprüft, bevor ich eine Vereinbarung eingegangen bin?

In der Umsetzungsphase müssen Zuständigkeiten etwa für ein Krisenteam sowie Prozesse zur Beherrschung von Krisensituationen, Business-Continuity-Pläne für alle potenziellen Krisensituationen definiert und eingeführt werden. Ein erster Anhaltspunkt, wo ein Unternehmen heute mit seinen Business-Continuity-Aktivitäten steht, kann durch eine einfache Selbstbewertung gegeben werden – etwa mit einem Online-Self-Assessment, basierend auf weltweiten Best Practices und den Anforderungen der ISO 22301. Anwender müssen Fragen zu Themen wie Führung, Risikomanagement, Produktlebenszyklus, Kommunikation oder Managementsystemen beantworten und erhalten dann einen Statusbericht über ihr BCMS. Nach erfolgreicher Einführung kann das BCMS auch zertifiziert werden.

DNV GL SE
Brooktorkai 18
20457 Hamburg
Tel. +4940361490
www.dnvgl.de

Bild: DNV GL

Beatrice Maier

Principal Consultant
DNV GL –
Business Assurance
www.dnvgl.de