Ein Stör- oder Schadensfall stellt für jedes Unternehmen eine große Belastung dar.
Betriebliches Kontinuitätsmanagement ist ein Schlüsselkonzept für die Bewältigung negativer Ereignisse wie Schäden / Notfälle und/oder Krisen.
Das Kontinuitätsmanagement stellt sicher, dass Abläufe robust und Organisationen resilient genug sind, um Kaskadeneffekte durch negative Ereignisse abzufedern – basierend auf dem Grundgedanken: „Sicherheit bedeutet, Schäden bewältigen zu können“. Es geht also um die Aufrechterhaltung der Funktionsfähigkeit eines Unternehmens trotz des Eintritts eines negativen Ereignisses.
Kontinuitätsmanagement ist ein ganzheitlicher Prozess, der potenzielle Bedrohungen für eine Organisation und deren Einfluss auf die Geschäftstätigkeit analysiert
- mit dem Ziel, eine organisationale Widerstandsfähigkeit aufzubauen
- mit der Fähigkeit, schnell auf Ereignisse reagieren zu können.
Im Gegensatz zum Risikomanagement besteht die Aufgabe des Kontinuitätsmanagements nicht in der Minimierung der Eintrittswahrscheinlichkeit, sondern in der systematischen Vorbereitung auf die Bewältigung von Schäden.
Deshalb ist die zugrunde liegende Fragestellung nicht, ob ein Schaden eintritt, sondern welche Auswirkungen er hat, wenn er eintritt.
Beispiel: Sollte in einem Unternehmen der Strom ausfallen, wird nicht im Hinblick auf die Frage geprüft, wie wahrscheinlich der Stromausfall ist, sondern welche Konsequenzen er hat.
Darauf basierend wird entschieden, welche Maßnahmen getroffen werden müssen, um die Auswirkungen des Ausfalls zu minimieren.
Eine Analyse von Extrem-Szenarien wird von vielen Unternehmen jedoch häufig gescheut, da diese fälschlicherweise als Eingeständnis mangelnder Sicherheit interpretiert werden.
Doch ganz besonders die Auswertung kritischer Situationen ist ein wichtiges Instrument zur Aufdeckung organisationaler Schwächen und hilft, Aussagen in Bezug auf das eigene Sicherheitsverständnis zu treffen.
Ein Aufdecken dieser Anfälligkeiten kann helfen, einen Rahmen für den Aufbau organisationaler Resilienz zu schaffen, der nicht nur eine effektive Schadenbewältigung unter Berücksichtigung der Sicherheit aller Beteiligten garantiert, sondern auch die Fortführung des Unternehmens sicherstellt.
Um die Relevanz von Ausfällen zu bewerten, müssen alle Geschäftsprozesse dahingehend überprüft werden, welche Konsequenzen ihr Ausfall haben würde in Bezug auf:
Ziele des Unternehmens: Dies ist nicht immer nur der Produktionsablauf selbst, sondern kann auch die Etablierung neuer Betriebsabläufe sein, die Bindung eines Geschäftspartners oder auch der angestrebte Verdienst
Produkte / Angebote / Dienstleistungen welche sind unverzichtbar für den betrieblichen Ablauf? Wo können Kompromisse geschlossen werden?
Wer sind die Partner des Unternehmens? Was passiert, wenn diese ausfallen / nicht liefern können etc.? Welche Ressourcen werden mindestens benötigt?
Zeitliche Abläufe und Fristen: wie viel Zeit hat / braucht das Unternehmen, um was wieder herzustellen? Wie hoch ist die maximal tolerierbare Ausfallzeit? Welche Verzögerungen ergeben sich und was sind die Konsequenzen dieser Verzögerungen?
Bei der Wiederaufnahme oder Wiederherstellung gestörter Prozesse (z.B. der Stromversorgung) ist die Zeit ein wichtiger Faktor. Die maximal tolerierbare Ausfallzeit beschreibt den Zeitrahmen, in dem die Aktivität wieder anlaufen muss, bevor der Ausfall dem Unternehmen nachhaltig schadet.
Prozessen, die nur kurzfristig ausfallen dürfen, muss daher entweder bei der Ausfallsicherung oder danach bei der Wiederherstellung eine höhere Priorität eingeräumt werden.
Wurden alle Sicherheitsrisiken erfasst, muss eine Kontinuitätsplanung erstellt werden. Dabei sind folgende Faktoren ausschlaggebend:
Aufbauorganisation: Festlegung von Rollen und Verantwortlichkeiten, Rechten und Pflichten, Benennung der Beteiligten
Ablauforganisation:
- Identifizierung kritischer Prozesse und Anfälligkeiten
- Identifizierung der Konsequenzen einer Störung und deren Relevanz
- Identifizierung der maximal tolerierbaren Ausfallzeit und Konsequenzen der Nichteinhaltung
- Identifizierung von Stakeholdern und Informationsquellen
- Quantifizierung Verfügbarkeit personeller und materieller Ressourcen
- Bewältigen
- Feststellen der Schadenschwere
- Ersatzbeschaffung, Kompensation, Überbrückung etc.
- Nachbereiten
- Dokumentieren
- Evaluieren
- Verbessern
Der Kontinuitätsplan muss kontinuierlich überarbeitet, angepasst und auf Notfallpläne sowie evtl. bestehende Pläne von Geschäftspartnern abgestimmt werden.
Dabei muss der Plan allen Beteiligten gegenüber kommuniziert und von diesen auch akzeptiert sein – anzustreben ist hierbei die Notwendigkeit einer strategischen Implementation von Sicherheitskulturen durch entsprechende Ausbildung und Trainings statt einer bloßen Papier- und Konzeptkultur. Ein Schlüssel zur Kontinuität und damit die schnelle Rückkehr in den Normalbetrieb liegt in den involvierten Personen. Insbesondere die persönliche Anpassungsfähigkeit der Mitarbeiter ist es, die geschult und nicht vor lauter Prozessplanung übersehen werden darf.
Die organisationale Flexibilität in Bezug auf die Anpassung an sich verändernde Bedingungen ist ein Schlüssel für die schnelle Bewältigung eines Krisen-Ereignisses.
Gerne berate ich Sie dazu persönlich.
Ihr Unternehmensberater Oliver Biegel