Business Continuity Management (BCM) kann ein Unternehmen wirkungsvoll gegen Störfälle wie einen Ausfall der IT, Unterbrechungen der Lieferkette oder Feuer in der Produktion absichern. Doch wie hilfreich sind diese Konzepte, wenn mehrere Störfälle zur gleichen Zeit eintreten? Eine Pandemie ist der Super-Gau für Gesellschaft und Unternehmen und damit die ideale Feuerprobe für die Robustheit von Geschäftsprozessen. Unternehmen durch die Krise führen. Business Continuity Management im Härtetest einer Pandemie kombiniert die Ansätze und Empfehlungen des BCI, des BSI, der ISO, des DRII, der ASIS Int., der NFPA, des BCBS, der MAS, der HKMA, der Bank of Japan sowie des U.S. Homeland Security Council und ergänzt sie durch weiterführende Überlegungen zu einem Konzept, welches erstmalig die Besonderheiten überregionaler Krisen in die Betrachtung miteinbezieht. Diese vollständig überarbeitete Neuauflage einer Veröffentlichung aus dem Jahre 2007 ermöglicht es dem Leser auf einfache Weise in die Grundzüge des BCM einzusteigen und beschreibt mit anschaulichen Beispielen, wie sie dieses in Ihrem Unternehmen einsetzen können.

Textprobe: Kapitel 1, Einleitung: 1.1, Diseconomies of risk und zeitgemäße Antworten: Die prominentesten Managementtheorien der letzten zwei Jahrzehnte verfolgen nahezu alle Ertragssteigerungen durch eine gezielte Erhöhung der Effizienz. Ansätze wie ‘Just-In-Time’, ‘Global Sourcing’, ‘Vendor-managed-inventory’ und ‘Outsourcing’ sowie der zunehmende Einfluss der Informationstechnologie auf sämtliche Geschäftsprozesse erhöhen die Ertragspotentiale der Unternehmen weltweit. Gleichzeitig steigert diese Entwicklung jedoch auch deren Verwundbarkeit und Größtrisikopotentiale überproportional, was als ‘diseconomies of risk’ bezeichnet wurde. Dies bewegte Gesetzgeber und Unternehmenslenker zunehmend, den alten und neuen Risiken der unternehmerischen Tätigkeit in Form eines Risikomanagements (RM) entgegenzutreten, welches ‘den Fortbestand eines Unternehmens durch Absicherung der Unternehmensziele gegen störende Ereignisse sichern’ soll. Der erwartete Schaden eines identifizierten Risikos soll dabei durch den klassischen Mix aus Risikomeidung, -minderung und -transfer auf ein akzeptables Niveau reduziert werden, das als verbleibendes Netto- oder Restrisiko selbst getragen werden kann. Dieses Vorgehen stößt jedoch bei Bedingungsrisiken mit hohem Schadenpotential und einer geringen Eintrittswahrscheinlichkeit (High-Impact-Low-Frequency, H.I.L.F.-Risiken), wie Terrorismus, besonderen Naturkatastrophen oder nuklearen Zwischenfällen, an Grenzen. Da Bedingungsrisiken aus nicht gestaltbaren Rahmenbedingungen des Unternehmens resultieren, ist eine Einflussnahme auf die Eintrittswahrscheinlichkeit sowie die bewusste Meidung des Risikos auszuschließen. Somit reduzieren sich die Möglichkeiten auf wirkungsbezogene Maßnahmen zur Risikominderung sowie den Risikotransfer beispielsweise auf einen Versicherer. Dieser Transfer erfordert jedoch eine exakte Bewertung des erwarteten Schadens, was aufgrund des Mangels an Erfahrungswerten (Low Frequency) schwierig ist. Folglich lassen sich kaum Zessionare finden, die diese Risiken zu einem angemessenen Preis übernehmen würden. Ohnehin nicht transferierbar sind dabei qualitative Risiken, die den Verlust menschlichen Lebens, der Reputation des Unternehmens oder eine drohende Schließung des Geschäftsbetriebes beinhalten. Daher wird es im Ernstfall unabwendbar, das gesamte qualitative und quantitative Schadenpotential allein mit den wirkungsbezogenen Maßnahmen der Risikominderung zu bewältigen. Business Continuity Management (BCM) ist ein ganzheitlicher Managementprozess, welcher durch Planung präventiver Maßnahmen, gezielte Vorbereitung eines Notfall- und Krisenmanagements sowie unverzüglicher Wiederherstellung unterbrochener Prozesse die Stabilität einer Organisation in Notlagen gewährleisten und eine Unterbrechung des Geschäftsbetriebs trotz widriger Umstände vermeiden soll. Dieser Ansatz wurde in unternehmerischem Kontext Mitte der 1980er Jahre in den USA zum ersten Mal unter dem Namen ‘Disaster Recovery’ bekannt und sollte dem Risiko eines Ausfalls der Informationstechnologie, das mit zunehmender Abhängigkeit der unternehmerischen Prozesse zu einem schwer beherrschbaren Potential herangewachsen war, begegnen. Erst Mitte der 1990er Jahre führte eine Reihe von Katastrophen dazu, diese Notfallplanung auf weitere Risiken auszuweiten. Als am 11. September 2001 zwei Flugzeuge in die Zwillingstürme des World Trade Centers stürzten, hatte keines der dort ansässigen Unternehmen einen Notfallplan für ein solches Szenario entwickelt. Dass dennoch einige Unternehmen wie Morgan Stanley, Cantor Fitzgerald oder American Express innerhalb weniger Stunden wieder den Geschäftsbetrieb fortsetzen konnten, verdanken sie der Vorbereitung auf verschiedene Zwischenfälle, die neben einem Ausfall der IT beispielsweise auch den Verlust von Betriebsgebäuden als mögliches Szenario in Betracht zogen. Die veränderte Risikowahrnehmung nach dem 11. September 2001 verstärkte in den folgenden Jahren weltweit die Bemühungen zur Entwicklung diverser Ansätze und Richtlinien, in welcher Form BCM gestaltet werden müsse, um vergleichbaren Risiken adäquat begegnen zu können. Diese weisen jedoch zum Teil grundlegende Unterschiede im Bezug auf Vollständigkeit und Detaillierungsgrad auf, was den Erfolg stark vom zugrunde gelegten Ansatz abhängig macht. Mit der seit 2003 verstärkten Diskussion um Pandemien, der weltweiten Ausbreitung einer Infektionskrankheit, ist ein weiteres Risiko in den Fokus der unternehmerischen Planung gerückt, das neue Anforderungen an die bestehenden Ansätze stellt. Diese konzentrieren sich bisher immer auf eine häufig unvorhersehbare, zu einem bestimmten Zeitpunkt eintretende Zerstörung meist lokaler Infrastrukturen und deren daraufhin notwendige Wiederherstellung innerhalb einer vorgegebenen Zeit. Die pandemische Bedrohung ist jedoch durch einen sich langsam anbahnenden und lang anhaltenden Notfallzeitraum gekennzeichnet, welcher vorrangig Ressourcen zerstört bzw. in ihrer Verfügbarkeit einschränkt und sich nicht auf das Unternehmen beschränkt, sondern nahezu alle Bereiche der Erde umfasst. Aufgrund seiner Komplexität, seines Schadenpotentials und der für bisherige Überlegungen neuartigen Notfallstruktur könnte das Risiko einer Pandemie zu einer Feuerprobe für das Business Continuity Management und die bisherigen Ansätze zu dieser Thematik werden. 2, Business Continuity Management: 2.1, Antriebskräfte zur Implementierung: Scheint es auch im ersten Moment selbstverständlich, dass Unternehmenslenker auch ohne gesetzliche Verpflichtungen wie dem § 91 Abs. 2 AktG alles daran setzen den Fortbestand ihres Unternehmens gegen existenzbedrohende Ereignisse zu schützen, so zeigt sich in der Realität, gerade bei der Trennung von Eigentum und Leitung eines Unternehmens, dass die Motivatoren zur Sicherung des Fortbestandes in erster Linie extrinsischer Natur sind. Zwar haben Ereignisse wie terroristische Angriffe, extreme Naturkatastrophen und die wiederholte Gefahr von Seuchen in der jüngeren Vergangenheit bei vielen Unternehmen die Sensibilität für derartige Risiken erhöht, ‘der größte Antrieb in BC zu investieren, ist (jedoch) tatsächlich die Einhaltung von Vorschriften.’ Eine Tendenz, die bereits aus dem Risikomanagement bekannt ist, wenngleich in Umfragen die Erfüllung externer Vorgaben als Antrieb für die Implementierung eines BCM im Verhältnis zu einer Vielzahl von Pullfaktoren wie dem Schutz von Mitarbeitern oder der Steigerung der Produktivität nur mit 16 % bewertet wurde. Für einige Unternehmen mit besonderer Bedeutung oder Gefahrenpotential für die Gesellschaft haben Gesetzgeber und Aufsichtsorgane die Vorbereitung auf Störungen der Betriebstätigkeit bereits explizit vorgeschrieben. Hierzu gehören neben der Finanzdienstleistungsbranche, die mehr als 1.700 der Störfallverordnung unterliegenden Industrieanlagen sowie alle an der NYSE gelisteten Unternehmen. Doch der Druck von außen nimmt auch für diejenigen Unternehmen stetig zu, die nicht zu einer regulierten Branche gehören. So fordern Versicherer zunehmend die Einrichtung eines BCM als Vorraussetzung für die Übernahme von Betriebsunterbrechungsrisiken und einige lassen sich dieses sogar von einem Wirtschaftsprüfer testieren. Auch auf Seiten der Kapitalgeber wird BCM verstärkt gefordert. So verteuern sich im Zuge der Baseler Eigenkapitalverordnung beispielsweise die Kredite für ungesicherte Unternehmen, und Ratingagenturen wie AM Best vergeben Ratings im Investmentgradebereich nur noch, wenn ein Unternehmen zeigen kann, dass es Katastrophenereignisse zu meistern imstande ist, wobei sich die Szenarien auf zurückliegende Perioden von teilweise 250 Jahren beziehen. Im speziellen Falle von Pandemien dürfte sich dieser Effekt bei Banken und Versicherern noch verstärken, wenn sich die Erkenntnis durchsetzt, dass die Pandemie als Kumulrisiko betrachtet werden muss. So würde bei einem Krankenversicherer schon der lokale Ausbruch einer ansteckenden Krankheit zu einem erhöhten Schadenbedarf durch Ansteckung innerhalb des versicherten Kollektivs führen. Da die Kapitalanlagen für diese Risiken nach dem in der Anlageverordnung vorgeschriebenen Grundsatz der Belegenheit im gleichen Land bestehen müssen, würde ein gleichzeitig steigendes Marktrisiko diesen Effekt aktivseitig noch verstärken. Gleiches gilt für Banken im Rahmen des Kontrahentenrisikos aus bestehenden Kreditforderungen und dem Marktrisiko der Kapitalanlagen. Nicht zuletzt versetzt gerade bei gewerblichen Kunden der verstärkte Einsatz von BCM als Wettbewerbsvorteil konkurrierende Unternehmen bei der Akquise von Neukunden in Zugzwang. Mit dem im Mai 2012 veröffentlichten ISO 22301 gibt es den weltweit ersten internationalen Standard für Business Continuity Management, anhand dessen unabhängige Prüfer das BCM einer Organisation jeglicher Größe einheitlich zertifizieren können. ISO 22301 ersetzt den Britischen Standard BS 25999-2 aus dem Jahre 2007 und dürfte den äußeren Druck auf Unternehmen, sich systematisch gegen Betriebsunterbrechungen abzusichern, noch weiter verstärken. Bei einer Umfrage des Chartered Management Institute im Jahr 2013 bestätigten bereits 38% der befragten Manager in Großbritannien, dass der Druck zur Implementierung eines BCM-Systems von den bestehenden Kunden ausging. Für weitere 26% waren potentielle Neukunden, die den Nachweis einer robusten Organisation als Voraussetzung für den Beginn einer Geschäftsbeziehung sahen, der Anstoß zur Implementierung. Dies ist eine logische Konsequenz, wenn die Kunden selbst ein BCM-System aufgebaut haben und die jeweiligen Produkte und Leistungen als kritisch identifiziert haben. So sind staatliche Einrichtungen, welche im vereinigten Königreich zu 88% ein BCM-System besitzen, häufig ein Treiber, gefolgt von der Finanzwirtschaft und der Logistikbranche. Schlusslicht in der Absicherung der eigenen Betriebskontinuität ist gegenwärtig der Sektor ‘Manufacturing and Production’, der sich nach wie vor vorrangig auf die Verfügbarkeit seiner IT-systeme konzentriert, wobei die häufigsten Unterbrechungsursachen in diesem Sektor in der Versorgungskette zu finden sind.

• Contingency

• Betriebliches Kontinuitätsmanagement

• SARS-CoV-2

• Corona

• Coronavirus

• COVID-19

• Risikomanagement

• Pandemie

• Epidemie

• Seuche

• ISO 22301

• BCM

• Notfallplan

• Unternehmensführung

• Schutzmask

Jan-Hendrik Boerse, M.B.A, studierte an der Hochschule RheinMain und an der IPAQ Business School in Nizza Wirtschaftswissenschaften und Risikomanagement. Sowohl den Diplomstudiengang als auch den Masterstudiengang schloss er als Jahrgangsbester ab. Nach einem Förderpreis der Richard-Müller-Stiftung wurde er 2009 auch von der Betriebswirtschaftlichen Gesellschaft für seine Leistungen ausgezeichnet. Gegenwärtig verantwortet er den Bereich Unternehmensentwicklung einer internationalen Getränkegruppe und ist zudem Mitglied der Geschäftsführung in fünf Landesgesellschaften. Die Inspiration, Unternehmen gegen extreme Situationen abzusichern, entstand während seiner Tätigkeit in der Risikoberatung von Ernst & Young und wurde auch zum Thema weiterer Veröffentlichungen (z.B. Foreign Exchange and Disaster Risk Management in Microfinance Institutions). Die erste Version des vorliegenden Buches wurde von der Ratingagentur Morgen & Morgen mit dem bundesweiten Lanuvium Award für Innovation ausgezeichnet.