Wozu sollte man ein Managementsystem für „Sicherheit und Resilienz“ im Unternehmen – so ist der Titel der DIN EN ISO 22301 – brauchen? Man hat die Aufgaben in der Organisation doch schon verteilt und wird im Notfall (also bei unvorhergesehenen, plötzlich auftretenden Gefährdungen von Mensch, Technik und Umwelt) dann schon ad hoc schnell und richtig zu reagieren wissen. Die Aufgaben und Zuständigkeiten ergeben sich dann gewissermaßen aus dem Kontext. So denken viele Manager. Diese Denkweise wird sich allerdings schlagartig ändern, wenn man es nicht nur mit Notfällen, sondern mit wirklichen Krisen zu tun hat: Wenn das Unternehmen als Ganzes oder Betriebsteile mit Ereignissen konfrontiert sind, deren Schadenpotenzial und Dauer auf betriebs- oder gar existenzgefährdende Weise deutlich mehr als eine schnelle Reaktion erfordern.
Dann werden sowohl eindeutige Zuständigkeiten als auch klare Aufgabenpakete und Handlungsstränge zur Notwendigkeit. Es gilt dabei: Die Aufgabe der Unternehmensführung ist es, etwaige Wagnisse und Risiken zu sehen und mit ihnen umzugehen. Und die Aufgabe der Unternehmenssteuerung ist es, das Unternehmen für möglichst viele vorstellbare Ereignisse und Wagnisse vorzubereiten und im Krisenfall jederzeit handlungsfähig zu halten.
Die eigentliche „Mutter des Gedankens“ ist das risikobasierte Denken zur Aufrechterhaltung der Betriebsfähigkeit. Es dürften sich wohl alle darüber einig sein: Das oberste Ziel jeder Unternehmensführung ist die Existenzsicherung. Wie also soll man dies nun in einer Welt sicherstellen, die es sich in den Kopf gesetzt zu haben scheint, die meisten als verlässlich betrachteten Sicherheiten reihenweise über den Haufen zu werfen? Marcus Ackermann, Spezialist für dieses aktuelle Feld bei TÜV Hessen und seiner Zertifzierungsmarke TÜV Proficert, hat hierauf eine Antwort: „Beim Business Continuity Management (BMCS) geht es weniger darum, die Betriebsprozesse absolut vor den Auswirkungen kritischer Ereignisse zu schützen, sondern jene und somit auch das ganze Unternehmen eher auf diese Ereignisse vorzubereiten. Sie ist somit die Antwort auf die Frage: Wie kann die Betriebsfähigkeit aufrechterhalten oder schnellstens wieder hergestellt werden, wenn sie durch widrige Umstände gefährdet oder eingeschränkt ist.“
Daher ist für Ackermann die Einführung und Aufrechterhaltung eines Business Continuity Management Systems gemäß der DIN EN ISO 22301 eine sinnvolle Investition, auch wenn ihr Nutzen – zum Glück – nicht jeden Tag spürbar ist. „Und gerade deshalb ist sie so wichtig“, so der Experte weiter, „denn im Fall eines Falles wird die Organisation wissen: Wir stehen der Situation nicht völlig hilflos gegenüber, sondern wissen bereits, was wann wie und von wem zu tun ist. Dadurch werden wir wahrscheinlich auch schneller als die anderen agieren und reagieren können und dadurch einen Wettbewerbsvorteil erlangen.“ Deshalb geht es erst einmal darum, die richtigen, weil zielführenden, Fragen zu stellen. Was für den einzelnen definierten Fall zielführend sein wird, ist dabei keine „Geschmacksache“. Es leitet sich vielmehr logischerweise aus den damit verbundenen Zielsetzungen ab.
Bei einem Managementsystem für die Erhaltung der Betriebsfähigkeit geht es nämlich nicht um die Frage, ob damit alle denkbaren und möglichen Probleme, Katastrophen und Krisen – schon gar nicht auf politischem oder klimatologischem Felde draußen in der Welt – vermieden oder deren Eintritt verhindert werden kann. Es geht vielmehr darum, für den Umgang mit eingetretenen Katastrophen oder Krisen überhaupt einen Werkzeugkasten zu haben. Es geht um einen Plan, der das eigene Unternehmen und idealerweise auch seine Supply Chain zum Umgang mit solchen Einflussfaktoren befähigt und in die Lage versetzt, auch nach dem Eintreten eines Notfalls oder einer Krise wieder schnell – jedenfalls schneller als andere – am Start zu sein.
Gerade für Menschen, die schon länger mit Managementsystemen zu tun haben, ist der zugrunde liegende Gedanke ja spätestens seit der Verabschiedung der ISO 9001:2015 Bestandteil des täglichen Lebens. Die Revolution, die damals stattfand, lag eben darin, dass die neue Version erstmals explizit kein formelles Risikomanagement oder einen dokumentierten Risikomanagementprozess forderte. Stattdessen wurde der „risikobasierte Ansatz“ hervorgehoben – damals vor allem in den Punkten 4.4 und 6.1 und in Fortschreibung dann eben auch in der High-Level-Structure, unter deren Dach sich nach und nach alle Novellen versammeln.
Dort wurde im Punkt 6.1. unter anderem fixiert: Fortan sollen Qualitätsmanagementsysteme sicherstellen, dass die zu zertifizierende Organisation all diejenigen Risiken und Chancen erkennen und bestimmen müsse, auf deren Basis das System „die mit ihm beabsichtigten Ergebnisse erzielen“ kann. Seitdem geht es darum, die gewünschten Auswirkungen des eigenen Handelns zu erzielen und zu verstärken – und eben auch unerwünschte Auswirkungen zu verhindern, zu verringern und idealerweise natürlich auch zu bessern in der Lage sein soll.
Wer an all das zurückdenkt, mag sich auch an die Frage erinnern, die damals im Raume stand: „Wie soll denn das gehen?“ Mit der Anwendung der im Jahr 2012 als DIN EN ISO 22301 verabschiedeten und 2019 dann aktualisierten Norm für Sicherheit und Resilienz nutzen Unternehmen ein Instrument für die Sicherung der Betriebsfähigkeit in und vor allem nach krisenhaften Situationen. Der englische Begriff „Business Continuity Management“ pointiert dabei den Managementaspekt der Norm.
Nicht nur Extremszenarien
stehen im Fokus
Die passende Orientierung gibt die Norm in der gewohnten Art in der Rubrik 4.1. „Verstehen der Organisation und ihres Kontextes“ vor. Die Organisation, so heißt es dort, müsse „aus ihrer Kenntnis ihrer Prozesse heraus“ sowohl intern als auch extern all diejenigen Themen bestimmen, die sich im Moment oder im Umfeld einer Krise als Steuerungs- und Einflussgrößen erweisen würden. „Diese Betrachtungsweise hat einen großen Vorteil: Mit ihr bezieht man nicht nur Extremszenarien hinsichtlich des maximalen wirtschaftlichen Schadens – meist ist das der komplette Stillstand des Unternehmens – in seine Überlegungen mit ein, sondern identifiziert im Rahmen einer sogenannten Business Impact Analyse auch viele andere Einflussfaktoren, die für einen reibungslosen Weiterbetrieb beziehungsweise die deutlich schnellere Wiederherstellung der Betriebsfähigkeit entscheidend sind“, betont Ackermann. „Daraus wiederum lassen sich dann ganz konkrete Maßnahmen ableiten, die umgesetzt und aufrechterhalten werden müssen, um die Resilienz des Unternehmens zu steigern.“
So definiert auch die Norm im Bereich „4.3.2 Anwendungsbereich des Business Continuity Management Systems“ eine der weiteren wesentlichen Aufgaben des BCMS und der mit ihrer Umsetzung beauftragten Einheit innerhalb der Organisation: Es ist festzulegen, welche Teile der Organisation, welche Produkte und welche Dienstleistungen im Krisenfall als prioritär betrachtet werden sollen und welche nicht – und zwar mit allen Konsequenzen. Es geht darum, den Fortbestand des Betriebes im Notfall managen zu können. Dazu gehört auch die Konzentration der Kräfte und Mittel. Und je bedeutungs- und wirkungsvoller die Entscheidungen werden, desto wichtiger wird auch die Sicherung des erforderlichen Know-hows und des Bewusstseins der analysierenden und handelnden Personen.
So schreibt die DIN EN ISO 22301 in den Punkten 7.2 Kompetenz und 7.3. Bewusstsein nicht nur vor, dass die erforderliche Kompetenz von Personen, „welche die Leistung zur Aufrechterhaltung der Betriebsfähigkeit beeinflussen“ nicht nur zu bestimmen, sondern auch dafür zu sorgen sei, dass diese Kompetenz auch erlangt und aufrechterhalten wird. Geeignete Maßnahmen können zum Beispiel sein:
- Schulung
- Mentoring
- Beauftragung kompetenter Personen oder
- Versetzung von gegenwärtig angestellten Personen
Und als wollte sie noch einmal deutlich darauf hinweisen, dass das konkrete Nachdenken über Bedrohungen der Betriebsfähigkeit kein Planspiel, sondern eine hoch ernsthafte Sache ist, pointiert die Norm im Punkt 7.3. „Bewusstsein“, dass alle beteiligten Personen sich über ihre Verantwortung bei der Zielverfolgung der Aufrechterhaltung und Sicherung der Betriebsfähigkeit bewusst sein müssen. Dazu gehört logischerweise auch: Die Angemessenheit und Wirksamkeit der Notfallprozesse muss durch regelmäßige Notfallübungen gefestigt und in ihrer Angemessenheit bestätigt und auch kontinuierlich verbessert werden.
Die Business-Impact-Analyse
ist eine Voraussetzung
Voraussetzung für die Erreichung der oben genannten Ziele eines BCMS ist auch eine Business-Impact-Analyse (BIA). Diese liefert eine bewährte und zielführende Methode und ein gutes Gerüst zur Sammlung und Identifizierung von Prozessen und Funktionen innerhalb einer Organisation – auf deren Basis die diesen Prozessen zugrundeliegenden Ressourcen erfasst werden können. So können mit der BIA
- wechselseitige Abhängigkeiten zwischen Ressourcen, Systemen, Prozessen und/oder Unternehmensbereichen aufgezeigt
- die Auswirkungen bei Ausfällen von Ressourcen, Systemen, Prozessen ermittelt
- die Kritikalität jeder Ressource, jedes Systems und jedes Prozesses für den Gesamtbetrieb bestimmt oder
- die benötigte Wiederanlaufzeit festgestellt und bewertet
werden. Zusammen mit einer Risikoanalyse bildet die BIA die Grundlage für eine Sicherheitsstrategie, die wiederum das Unternehmen in Notfällen und Krisen unterstützen kann.
Das Ergebnis der zwar sehr aufwendigen, aber tatsächlich auch sehr lohnenswerten Business Impact Analyse ist der sogenannte Business-Impact-Analyse-Report, der die potenziellen Risiken für die untersuchte Organisation beschreibt. Dieser BIA-Report liefert die Erkenntnisse über die durch die wechselseitigen Abhängigkeiten und Priorisierungen entstehenden Risiken und den daraus jeweils entstehenden Schutzbedarf für die einzelnen Elemente. Dabei liegt es im Wesen der Priorisierung: Zwangsläufig werden manche Elemente deutlich weniger verzichtbar sein als andere. Genau dieser einerseits umfassende und doch auf die Handlungsebene priorisierende Blick auf die Zusammenhänge macht die BIA zu einem wesentlichen Werkzeug zur Erlangung der erforderlichen Erkenntnisse, die im Vorfeld zur Aufrechterhaltung der Geschäftstätigkeit auch unter widrigen Umständen nötig sind.
Notfallpläne sind die Basis
für die Zeitvorteile
Aus der Festlegung des Recovery Point Objective (RPO) – also dem Zeitpunkt in der Entwicklung eines kritischen Ereignisses, ab dem die Schadensintensität als signifikant betrachtet werden muss – und auch des Recovery Time Objective (RTO), mit dem die Zeitdauer bestimmt wird, die ein Ausfall eines Systems beziehungsweise eines Prozesses und dessen Wiederherstellung höchstens in Anspruch nehmen soll beziehungsweise darf, ergeben sich die Rahmenbedingungen für die Entwicklung adäquater und maßgeschneiderter Empfehlungen für die Etablierung konkreter Notfallpläne. Und diese Pläne sind schließlich die Grundlage für die Zeitvorteile, die dann im Krisenfall mess-, bewert- und erfahrbar werden.
Genau darum geht es bei der Business Continuity laut Ackermann: „Im Vordergrund steht hier vor allem die Praktikabilität der zu entwickelnden Handlungs- und Reaktionspläne, um sich in diesem Sinne resilient aufzustellen und vor allem auch die Wiederanlaufzeiten so kurz wie möglich zu halten. Ob und inwiefern sich ein Handlungsplan für den identifizierten Stör- und Krisenfall – zum Beispiel ein Maschinen-, Standort-, Mitarbeiter- oder Lieferantenausfall – wirklich eignet, wird jeweils im Rahmen von fortlaufenden Tests bestätigt oder diese werden als Treiber für Verbesserungen und Anpassungen an sich verändernde Situationen genutzt.“ Zentrales Ziel wird dabei also immer sein, alle für die Wertschöpfung notwendigen Prozesse zu schützen, notfalls auch alternative Abläufe zu ermöglichen und nicht zuletzt die Reaktionsgeschwindigkeit und Handlungsfähigkeit der Organisation durch gute und systematische Vorbereitung erheblich zu erhöhen.
So bleibt der Schaden durch Naturkatastrophen, politische Krisen oder Pandemien begrenzt. Mehr noch, so Ackermann: „Das Vorhandensein einer regelmäßigen Risikoeinschätzung für alle Geschäftsbereiche des Unternehmens, seine Compliance mit gültigen Anforderungen und der Nachweis seiner Sicherheit und Resilienz erweist sich auf verschiedenen Ebenen als ein wirtschaftlicher Wirkfaktor und Wettbewerbsvorteil. Kunden wissen, dass sie auf das zertifizierte Unternehmen auch in Krisenfällen entweder durchgängig oder schnell wieder setzen können. Auch für Investoren kann dies wichtig sein.“
TÜV Technische Überwachung Hessen GmbH (TÜV Hessen)
Robert-Bosch-Straße 16
64293 Darmstadt
Tel. +4961516000
www.tuev-hessen.de
Elmar Stark
Bereichsleiter
Management-Systeme
TÜV Hessen
www.tuev-hessen.de
Hier finden Sie mehr über:
