Wenn Risiken Realität werden

Eine Katastrophe hat viele Gesichter: Eine IT-Attacke, ein Stromausfall, ein Einbruch, ein Hochwasser, ein Ausfall eines Zulieferers, eine Attacke auf das Logistiksystem oder ein Brand in der Produktionshalle. Das alles sind Ereignisse, die Geschäftsprozesse in allen Branchen zum Erliegen bringen können. Das Ziel eines Business Continuity Managements (BCM) ist es sicherzustellen, dass für das Erreichen der Geschäftsstrategie sowie der unternehmerischen Ziele wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur kurzzeitig unterbrochen werden und damit in der Konsequenz die "Lebenserwartung" des Unternehmens erhöht wird. Daher spricht man auch von einer "Geschäftsaufrechterhaltungs- und Fortsetzungsplanung". Und aus dem BC-Plan resultieren Konzepte, Handlungsanweisungen, Prozesse und Checklisten, die konkrete Maßnahmen beschreiben, die eine Wiederanlauffähigkeit gewährleisten.

Auch die Europäische Kommission hat jüngst mit dem "Digital Operational Resilience Acts" (DORA) einen wichtigen Impuls zur Stärkung der operationellen Resilienz von Finanzunternehmen veröffentlicht, mit dem vor allem auch kritische Drittdienstleister auf dem Gebiet der der Informations- und Kommunikationstechnologien (IKT) konsequent überwacht werden sollen. Mit einem EU-weit einheitlichen Rechtsrahmen soll die digitale Betriebsstabilität erhöht werden. Hierzu zählen neben einem IKT-Risikomanagement vor allem auch Anforderungen an ein wirksames Business Continuity Management. DORA ist ein zentraler Treiber der von der EU formulierten "Digital Finance Strategie". 

Hierbei sind die regulatorischen Initiativen als zusätzlicher Motivator zu verstehen. Denn auch unabhängig hiervon sollte BCM immer integraler Bestandteil eines präventiven und unternehmensweiten Risikomanagements sein. Ohne eine methodisch fundierte Risikoanalyse kann ein BCM nicht wirksam umgesetzt werden, da die kritischen Risikoszenarien und geschäftskritischen Prozesse nicht bekannt sind. Jedoch zeigt die Praxis nicht selten, dass Risikomanagement, BCM, IT-Security, Krisenmanagement und -kommunikation auf isolierten Inseln stattfindet, ohne einen ganzheitlichen Blick auf das Thema "Risiko".

In dem Beitrag "Sicherung globaler Wertschöpfungsnetze durch wirksames Risikomanagement und BCM" wird dargestellt, dass ein wirksames BCM immer integraler Bestandteil eines präventiven Risikomanagements sein sollte. Wir leben in einer Welt, die sich kontinuierlich verändert, insgesamt instabiler wird (siehe "failed states", vgl. Chomsky 2006) und in der Veränderungen schwieriger antizipierbar werden. Ereignisse verlaufen völlig unerwartet und normale "Ursache-Wirkungs-Ketten" bilden die Systemkomplexität nur noch begrenzt ab. In dem Akronym VUCA  wird dieser Zustand mit Volatility bezeichnet. Auch nimmt die Vorhersehbarkeit und Berechenbarkeit von Ereignissen rapide ab. Prognosen und Erfahrungen aus der Vergangenheit verlieren als Grundlage für die Gestaltung von Zukunft zunehmend ihre Gültigkeit und Relevanz. Für viele Unternehmen und Branchen besteht eine große Unsicherheit, wohin die Reise geht. Dies wird in der VUCA-Welt mit Uncertainty bezeichnet. Außerdem ist unsere Welt komplex und wird in der Folge globaler Wertschöpfungsnetzwerke immer komplexer. Es vermischen sich die verschiedenen Ebenen und machen Zusammenhänge unübersichtlicher. Entscheidungen werden zu einem nicht mehr steuerbaren Geflecht aus Reaktion und Gegenreaktion. Dies wird im Akronym VUCA mit Complexity bezeichnet. Fehlt schließlich noch das A für Ambiguity. Hiermit ist Mehrdeutigkeit gemeint. "Best practice" und Patentrezepte haben ausgedient, denn es gibt nicht die eine Wahrheit. Nur noch selten ist etwas eindeutig oder ganz exakt bestimmbar. Die Anforderungen an Organisationen und Führung von heute sind widersprüchlicher und paradoxer denn je.

Diese Entwicklungen zeigen die steigende Bedeutung präventiver und wirksamer Risikomanagement-Systeme und eines fokussierten BCM.