close
Share with your friends

Unter Business Continuity Management (BCM) ist ein umfassender Managementprozess zu verstehen, der sich auf jene Bedrohungen konzentriert, welche die Kontinuität des Betriebs einer Organisation stören können. Die Identifizierung solcher Bedrohungen ermöglicht es der Organisation, eine Widerstandsfähigkeit zu entwickeln, die sie selbst sowie die Interessen der Stakeholder, die Marke und den Ruf schützen soll. Ziel ist somit die Sicherstellung des Fortbestands des Unternehmens im Angesicht von Risiken mit hohem Schadensausmaß.

In den vergangenen Jahren wurde die Bedeutung des Business Continuity Managements von vielen Unternehmen unterschätzt, weil die Hochkonjunktur eine Auseinandersetzung mit diesem Thema nicht erforderlich erscheinen ließ. Erst COVID-19 zeigte wieder, welche Bedeutung BCM für die Unternehmensführung in unsicheren Zeiten hat.

BCM im Kontext guter Unternehmensführung

Survival of the Fittest – schon Darwin sagte, es überlebt, wer sich Veränderungen am besten anpasst. Im übertragenen Sinn gilt das auch für moderne Unternehmen. Sie müssen die Zeichen des Wandels früh deuten, Chancen sowie Gefafren ableiten und dadurch Widerstandskraft entwickeln. Unter Business Resilience versteht man, dass stabile und agile Prozesse implementiert sind, die sich dynamisch an veränderte Bedingungen anpassen können (siehe dazu der Artikel „Ökonomische Resilienz“).

Um langfristig erfolgreich zu sein, muss ein bewusster Umgang mit Chancen und Gefahren existieren – auf operativer, strategischer und finanzieller Ebene. Durch das BCM soll sichergestellt werden, dass man auf Veränderungen rasch reagieren und dadurch Unterbrechungen der betrieblichen Abläufe vermeiden kann. Ein effektives Business Continuity Management unterstützt Unternehmen dabei, sich auf Krisen und die dadurch hervorgerufenen Risiken vorzubereiten. Deshalb ist auch das Krisen- und Notfallmanagement Bestandteil des BCM. Das BCM ist eine Governance-Funktion und sollte Risiken, die Einfluss auf die Betriebskontinuität haben, durch entsprechende Risikosteuerungsmaßnahmen abschwächen. Diese Steuerungsmaßnahmen wiederum müssen korrekt in den Governance-Systemen wie dem Risikomanagement und dem Internen Kontrollsystem abgebildet sein. Darüber hinaus muss auch die Compliance Perspektive vom BCM abgedeckt sein.

Ziel des BCM ist es, den Geschäftsbetrieb aufrechtzuerhalten, auch wenn es zu Störungen oder Unterbrechungen kommt. Hier wird auch oft vom Notbetrieb als unmittelbare Reaktion auf plötzlich auftretende Krisenereignisse und der geregelten Überleitung zum Normalbetrieb gesprochen.

Dabei geht es in erster Linie um folgende Fragen:

  • Welche Prozesse müssen unbedingt aufrechterhalten werden, um die kontinuierliche Wertschöpfungsfähigkeit zu sichern?
  • Welche Maßnahmen müssen existieren, um Gefahren so zu begegnen, dass überlebenswichtige Prozesse aufrechterhalten werden können?

Business Impact-Analyse

Die Business Impact-Analyse stellt die zentrale Aufgabe des BCM dar. Sie beginnt mit der Identifikation jener Geschäftsprozesse, die für den Betrieb und den Bestand des Unternehmens zwingend erforderlich sind. Hierbei werden Daten aus dem Prozessmanagement und auch aus dem Risikomanagement herangezogen. Während der Durchführung der Business Impact-Analyse ist der Identifikation von Abhängigkeiten besondere Aufmerksamkeit zu widmen. Oft sind es un-scheinbare Tätigkeiten oder Ressourcen, die nachgelagerte Prozesse massiv beeinträchtigen können. In Folge wird evaluiert, welche Auswirkungen der Ausfall interner oder externer Ressourcen hätte und wie lange darauf verzichtet werden könnte, ohne dass das Unternehmen in seinem Bestand unmittelbar gefährdet wird. Die Risiken aus dem Ausfall der erfolgskritischen Prozesse müssen bewertet und entsprechende Maßnahmen ergriffen werden. Besonders relevant sind Überlegungen dazu, welche Ressourcen der Prozess im Normalbetrieb und welche er im Notbetrieb benötigt. Auch für den möglichen Ausfall eines ganzen Unternehmensbereichs oder Geschäftsprozesses müssen Strategien entwickelt werden, um im Krisenfall vorbereitet zu sein und kurzfristig reagieren zu können. Aufbauend auf diesen Strategien müssen entsprechende Strukturen und Prozesse geschaffen und kommuniziert werden, die im Krisenfall bereitstehen. Im Krisenfall selbst ist es dafür in aller Regel zu spät.

Was kann der Aufsichtsrat im Zusammenhang mit dem BCM tun?

Im Rahmen seiner Aufsichts- und Überwachungsfunktion sollte der Aufsichtsrat darauf achten, dass im Unternehmen ein angemessenes BCM eingerichtet ist. Im Einzelnen könnte dies folgende Aktivitäten umfassen:

  • Hinterfragen Sie das aktuelle Business Continuity- sowie Krisen und Notfallmanagement.
  • Lassen Sie sich unter Verweis auf die Eignung und Wirksamkeit der Corporate Governance-Systeme die identifizierten Risiken und die daraus abgeleiteten Sicherungs- sowie Steuerungsmaßnahmen darlegen. 
  • Achten Sie darauf, dass die Rollen und Verantwortlichkeiten auch die Organisation des Aufsichtsrates umfassen. Ein primär Verantwortlicher für Krisenthemen sollte benannt werden. Bei größeren Aufsichtsräten kann ggf die Einrichtung eines Ausschusses sinnvoll sein.
  • Legen Sie Kommunikations- und Informationspflichten sowie Frequenzen fest. Eine höhere Frequenz der Kommunikation durch und mit dem Vorstand (zB mit wöchentlichen Informationen) kann erforderlich sein (beispielsweise auch eine eigene „Krisen-Informationsordnung“).
    Auch die Voraussetzungen für eine höhere Sitzungsfrequenz des Aufsichtsrates sollten definiert sein. Darüber hinaus muss die Vorbereitung der Kommunikation gegenüber den Aktionären/Stakeholdern berücksichtigt werden. 
  • Stellen Sie sicher, dass es zu einer laufenden Überwachung und Verbesserung des BCM kommt, in dem Sie eine Berichterstattung darüber verlangen. Regelmäßige Notfalltests sind übliche Methoden, um die Wirksamkeit des BCM zu testen und weiterzuentwickeln.
  • Wenn Sie sicher gehen wollen, dass das BCM den aktuellen Anforderungen entspricht, stellen Sie es im Rahmen einer Reifegradbeurteilung auf den Prüfstand. Dabei werden potenzielle Lücken identifiziert, Handlungsbedarfe festgestellt und priorisiert. Auf Basis der Schwachstellenanalyse können diese beseitigt werden.

Die aktuelle Situation hat es gezeigt: BCM ist wichtiger denn je. Nicht nur zur Sicherstellung der Überlebensfähigkeit des Unternehmens in Krisenzeiten, sondern auch, damit das Unternehmen die Situation strategisch nutzt und gestärkt aus der Krise hervorgehen kann.