Eine Katastrophe hat viele Gesichter: IT-Attacken, Stromausfall, Einbruch, Hochwasser oder ein einfacher Brand – das alles sind Ereignisse, die Geschäftsprozesse zum Erliegen bringen können. Über die Implementierung eines Business Continuity Managements (BCM) sprach PROTECTOR mit <link 41 - internal-link "Opens internal link in current window">Frank Romeike</link>, Risikomanagement-Experte, Lehrbeauftragter und Fachautor.
PROTECTOR: Wenn Risikomanager über Business Continuity sprechen – haben die da nicht etwas falsch gemacht, weil das Risiko eingetreten ist?
Frank Romeike: Nein, sie haben etwas falsch gemacht, wenn sie nicht über Business Continuity reden. Beim Thema Risikomanagement und im betrieblichen Kontinuitätsmanagement geht es um präventive und reaktive Elemente. Sprich darum, Unternehmen robuster zu machen.
BCM ist als "Geschäftsaufrechterhaltung und Fortsetzungsplanung" integraler Bestandteil eines präventiven, unternehmensweiten Risikomanagements. Leider sieht die Praxis häufig anders aus. BCM, Risikomanagement, IT-Security, Krisenmanagement und -kommunikation finden auf isolierten Inseln statt, ohne über den Tellerrand zu blicken.
Ein in das Risikomanagement integriertes BCM muss sicherzustellen, dass alle wichtigen Geschäftsprozesse in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens gesichert bleibt.
PROTECTOR: Welche Branchen sind Ihrer Meinung nach durch eine Betriebsunterbrechung besonders gefährdet?
Frank Romeike: Eine exponierte Verwundbarkeit sehe ich vor allem bei Unternehmen in der Automobilindustrie, die auf Single-Sourcing setzen. So setzte Toyota vor Fukushima bei vielen Komponenten oder Baugruppen auf einen Single-Sourcing-Ansatz. Das Unternehmen versuchte, weitere Skaleneffekte dadurch zu realisieren, derartige Beziehungen über die gesamte Breite des Produktsortiments in unterschiedlichen Märkten zu etablieren.
Das Tõhoku-Erdbeben hat die damit verbundenen Risiken transparent gemacht. Bei einer Störung in dieser Versorgungskette sind keine kurzfristigen Alternativen einsetzbar. Gravierend wird es vor allem dann, wenn ein Single-Sourcing-Lieferant, beispielsweise durch Insolvenz, längerfristig ausfällt.
PROTECTOR: Sind all die Unternehmen, die auf Single-Sourcing setzen, auch gleichermaßen für das Thema sensibilisiert?
Frank Romeike: Nein, wir hatten für eine Studie "Chancen-/ Risiko-Radar 2013" über 580 Risikoma-nagement-Experten aus unterschiedlichen Branchen befragt. Die Ergebnisse waren eindeutig. Bei der Mehrheit der Studienteilnehmer überwiegen eigene historische Erfahrungen als Hauptmotiv für das Etablieren eines BCM oder Risikomanagements.
Oder anderes formuliert: Man hatte sich in der Vergangenheit schon einmal die Finger verbrannt und daraus gelernt.
Ein weiterer Trend für eine stärkere Sensibilisierung ist ein zunehmender Druck von Kunden auf Lieferanten. Einkaufsbedingungen verlangen immer häufiger ein präventives BCM und Risikomanagement. Denn das Risiko des Lieferanten ist auch das Risiko des Kunden.
PROTECTOR: Wenn BC-Pläne erstellt werden – welches Ziel sollte ein BCM haben?
Frank Romeike: Ziel der BC-Pläne ist es sicherzustellen, dass für das Erreichen der Strategie wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur kurzzeitig unterbrochen werden und damit in der Konsequenz die Robustheit des Unternehmens erhöht wird.
Und aus dem BC-Plan resultieren Konzepte, Handlungsanweisungen, Prozesse und Checklisten, die konkrete Maßnahmen beschreiben, die eine Wiederanlauffähigkeit gewährleisten.
PROTECTOR: Und in welchen Schritten sollte man dazu vorgehen?
Frank Romeike: Sinnvoll ist ein vierstufiges Vorgehen. In einem ersten Schritt werden die kritischen Geschäftsfunktionen, Prozesse sowie die Infrastruktur identifiziert. In einem zweiten Schritt werden die Störfaktoren – sprich potenziellen Risiken – identifiziert, die einen Einfluss auf die Geschäftsfortführung haben. In diesem Kontext sind vor allem Abhängigkeiten im Unternehmen und außerhalb zu berücksichtigen. Das ist ein interdisziplinärer und höchst aufwendiger Prozess, bei dem die Auswahl der richtigen Methoden wichtig ist.
In einem dritten Schritt geht es um geeignete präventive und reaktive Maßnahmen, um die Kontinuität aufrechtzuerhalten oder Ereignisse zu vermeiden. Hier spielen vor allem Frühwarninformationen eine wichtige Rolle. In einem vierten Schritt werden Notfallprozesse definiert, die einen möglichst schnellen Wiederanlauf erlauben.
PROTECTOR: Dann steht das BCM allerdings erst auf dem Papier. Wie oft muss ich die Notfallpläne üben?
Frank Romeike: Lehre bildet Geister; doch Übung macht den Meister. Die Frequenz der Übungen hängt von der Kritikalität der Geschäftsprozesse und Funktionen ab. Wichtig ist aber vor allem, dass Unternehmen in eine gelebte Risikokultur investieren. Dann gehen BCM und Risikomanagements ins Blut über – und im Krisenfall weiß jeder, was er zu tun hat.
Eine bürokratische und regulatorische Risikobuchhaltung führt meistens eher zum Gegenteil: einer Delegation von Verantwortung und Chaos im Krisenfall.
PROTECTOR: Besteht allerdings nicht auch die Gefahr, dass man sich in dem Wust der möglichen Risiken und Maßnahmen verzettelt?
Frank Romeike: Das passiert in der Praxis immer wieder, weil man sich nicht auf die Kernthemen konzentriert. Daher ist es wichtig, dass in einem ersten Schritt die kritischen Erfolgsfaktoren und Prozesse identifiziert werden. Um mit Einstein zu antworten: Mache die Dinge so einfach wie möglich – aber nicht einfacher.
PROTECTOR: Wie weit geht überhaupt ein BCM? Ist es – beispielsweise bei international verflochtenen Konzernen – nicht ein Ding der Unmöglichkeit, alle Tochterunternehmen da miteinzubeziehen? Sollte man "länderweise" vorgehen?
Frank Romeike: Nein, eine Konzentration auf einzelne Länder ist wenig zielführend, da in internationalen Konzernen die Risiken gerade in der Verflechtung zwischen den einzelnen Ländern oder vor allem in den Logistikketten liegen.
Die Antwort muss lauten: Konzentriere Dich auf die wesentlichen Prozesse und Funktionen, die einen Einfluss auf die Robustheit des Unternehmens haben und die Risikotragfähigkeit wesentlich beeinflussen können.
Nicht selten sehe ich hingegen in der Praxis 3.000 Risiken und 5.000 Controls oder Maßnahmen. Das ist Unsinn, wenig zielführend und führt zu einer langweiligen Risikobuchhaltung.
PROTECTOR: BCM ist ja aber nicht für Konzerne elementar. Stichwort Mittelstand: Gibt es hier ein Bewusstsein für das Thema?
Frank Romeike: Das Bewusstsein oder Nicht-Bewusstsein ist völlig unabhängig von der Unternehmensgröße. Es gibt multinationale Konzerne und auch mittelständische Unternehmen, die weder das Thema Risikomanagement noch das Thema BCM ernst nehmen – hier fehlt eine entsprechend Risikokultur.
Diese Unternehmen werden dann aufwachen, wenn es zu einer größeren Störung kommt. Bei nicht wenigen Unternehmen endet dieses Aufwachen dann allerdings mit einem Herzstillstand.
Demgegenüber gibt es am Markt viele große und kleine Unternehmen, die eine ausgeprägte Risikokultur leben und über einen hohen Reifegrad beim betrieblichen Kontinuitäts- und Risikomanagement verfügen.
PROTECTOR: Wenn die Unternehmensgröße nichts mit dem Problembewusstsein zu tun hat, wie sieht es denn im internationalen Vergleich aus? Ist Deutschland, was BCM angeht, gut aufgestellt?
Frank Romeike: Deutschland würde ich im oberen Drittel sehen. Leider neigen wir in Deutschland nicht selten dazu, die regulatorische Umsetzung in den Mittelpunkt zu stellen und Regularien und Standards perfekt umzusetzen.
Ich würde mir beim Thema BCM und Risikomanagement mehr Eigenmotivation und Pragmatismus wünschen. Ein Pragmatiker lässt sich von den tatsächlichen Gegebenheiten leiten und pocht nicht auf Grundsätze, Regularien und Prinzipien.
[Das Interview ist in der Zeitschrift PROTECTOR, Ausgabe 1-2/2015, S. 14-15, erschienen. Die Veröffentlichung auf RiskNET erfolgt mit freundlicher Genehmigung der Redaktion der Zeitschrift PROTECTOR, den Originalbeitrag finden Sie hier
