Von Naturkatastrophen bis zu Cyberangriffen: Ein starkes Business Continuity Management (BCM) ermöglicht es Unternehmen, auch in Krisenzeiten handlungsfähig zu bleiben und schnell zu reagieren.
Am 11. März 2011 bebte die Erde einige hundert Kilometer nordöstlich von Tokio, mitten im Pazifischen Ozean. Das Beben löste einen Tsunami mit einer bis zu 40 Meter hohen Flutwelle aus. Er verwüstete weite Teile Japans, zerstörte die Infrastruktur und forderte mehr als 22.000 Todesopfer. In der Folge wurde das Kernkraftwerk Fukushima schwer beschädigt. Es kam zur Kernschmelze und 150.000 Menschen wurden evakuiert.
Der Tsunami hat zahlreiche Unternehmen in Mitleidenschaft gezogen, darunter auch Produktionsstätten des Autoherstellers Toyota. Liefer- und Produktionsketten waren lange Zeit unterbrochen, da viele Fabriken schwer beschädigt wurden. Dies führte zu erheblichen Produktionsausfällen und weltweiten Lieferengpässen bei Fahrzeugen. Als Reaktion auf die Krise entwickelte Toyota ein verbessertes Business Continuity Management (BCM), das Großschadensereignisse wie einen Tsunami stärker berücksichtigt.
BCM: Mehr als nur Risikomanagement
Ein solches BCM geht weit über das klassische Risikomanagement hinaus, das primär auf die Identifikation und Reduzierung von Gefahrenpotenzialen abzielt. BCM zielt darauf ab, die Geschäftstätigkeit eines Unternehmens in Krisensituationen zu erhalten oder schnell wiederherzustellen. Dabei betrachtet BCM alle möglichen Gefahren, die den Geschäftsbetrieb stören können. Diese reichen von Hackerangriffen über Naturkatastrophen wie Überschwemmungen, Erdbeben oder Pandemien bis hin zu geopolitischen Krisen und Unterbrechungen globaler Lieferketten durch unvorhergesehene Ereignisse.
Insbesondere die wachsende Bedrohung durch den Klimawandel macht BCM für Unternehmen unverzichtbar. Extreme Wetterereignisse wie Starkregen, Hitzewellen oder Stürme werden häufiger und verursachen erhebliche Schäden. Unternehmen sind zunehmend in komplexe Lieferketten eingebunden, die durch solche Ereignisse gestört werden können. Eine betroffene Organisation muss in der Lage sein, alternative Beschaffungswege für Rohstoffe zu finden und sicherzustellen, dass seine Kommunikations- und IT-Infrastruktur den Herausforderungen standhält.
Effektive Strategien für Krisenfestigkeit
Ein effektives Business Continuity Management (BCM) integriert alle potenziellen Bedrohungsszenarien in eine umfassende Unternehmensstrategie. Der erste Schritt besteht in der Durchführung einer detaillierten Business-Impact-Analyse (BIA). Sie identifiziert und priorisiert die kritischen Geschäftsprozesse und Ressourcen, die für den Fortbestand des Unternehmens im Krisenfall unerlässlich sind.
Das Ziel sind Pläne, die es dem Unternehmen ermöglichen, auch unter schwierigen Bedingungen handlungsfähig zu bleiben. Deshalb erfordert ein umfassendes BCM-System die Einbeziehung aller Unternehmensbereiche. Es reicht nicht aus, sich nur auf die IT-Abteilung zu konzentrieren. Abteilungen wie Personal, Einkauf, Produktion und Logistik müssen ebenfalls einbezogen werden.
Ein weiterer wesentlicher Aspekt des BCM ist die kontinuierliche Schulung und Sensibilisierung der Mitarbeiterinnen und Mitarbeiter. Sie müssen genau wissen, wie sie sich im Notfall verhalten müssen, um den Geschäftsbetrieb aufrechtzuerhalten. Darüber hinaus sollten alle Notfallpläne und Kontinuitätsstrategien regelmäßig überprüft und an die aktuellen Gegebenheiten angepasst werden.
Wie die ISO 22301 die Zertifizierung erleichtert
Die ISO 22301 bietet einen global anerkannten Rahmen für die Einrichtung und den Betrieb eines Business Continuity Management Systems (BCMS). Unternehmen können die Norm als Orientierung verwenden. Damit gewährleisten sie, dass sie alle wesentlichen Aspekte der Geschäftskontinuität systematisch berücksichtigen, von der Risikoidentifikation und -bewertung bis hin zur Entwicklung und Implementierung von Notfallplänen.
Die Implementierung eines BCMS ist eine komplexe Aufgabe, die jedoch durch Synergieeffekte erleichtert werden kann. Insbesondere in der IT-Branche ist es gängige Praxis, ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einzuführen und durch externe Zertifizierungsstellen auditieren zu lassen. Ein ISMS nach ISO 27001 enthält bereits viele zentrale Elemente, die auch für ein BCMS relevant sind, insbesondere im Hinblick auf den Umgang mit IT-Ausfällen. Diese Überschneidungen ermöglichen den Rückgriff auf bestehende Sicherheitsstrukturen, so dass der Implementierungsaufwand eines BCMS geringer wird.
Diese kombinierte Implementierung erleichtert auch den Zertifizierungsprozess bei externen Audits, die effizient in einem Schritt durchgeführt werden können. Beide Managementsysteme steigern das Vertrauen der Stakeholder und sind ein Wettbewerbsvorteil. Das ist besonders in Branchen mit hohen Anforderungen an Lieferfähigkeit und Resilienz von Bedeutung.
Angesichts wachsender Herausforderungen wie Klimawandel, geopolitischer Instabilität und zunehmender Cyber-Bedrohungen wird Business Continuity Management immer wichtiger. Es versetzt Unternehmen in die Lage, in Krisensituationen handlungsfähig zu bleiben und sich rasch zu erholen. Dabei geht es nicht nur um Risikovermeidung, sondern auch um Krisenvorsorge und schnelle Reaktion. Ein gut entwickeltes BCM ist ein wichtiges Instrument, um Unternehmensrisiken zu managen, den Geschäftsbetrieb aufrechtzuerhalten und das Risiko von Schadenersatzforderungen aufgrund mangelnder Vorsorge zu senken.
Autor:
Guido Eggers ist Managing Director und Global Head Center of Excellence "Food and Sustainability" bei der DQS CFS GmbH, Leiter der Zertifizierungsstelle, Qualitätsmanagementbeauftragter, BCM-Auditor und fachlicher Prüfer. Guido Eggers begleitet Unternehmen auf ihrem Weg zu ihren Audits und Assessments rund um Nachhaltigkeits- und Lebensmittelthemen. Bei der DQS hat er seit 2019 verschiedene leitende Position inne. Zuvor war er über 30 Jahren in der Lebensmittelbranche unter anderem für die Qualitätssicherung renommierter Produzenten tätig.