close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

APRIL 2015 - image

EinbettenHerunterladen
Im Notfall hilft nur ein
gut verzahntes «Business
Continuity Management»
Kaspar Schiltz
Dr. rer.publ. HSG
Mandatsleiter Wirtschaftsberatung
kaspar.schiltz@mattig.ch
tungen usw. Dank guter Versicherungs­
abdeckung waren die wirtschaftlichen
Schäden zwar weit weniger verheerend
als z.B. jene des Taifuns «Haiyan» vom
November 2013 auf den Philippinen, wo
(Klein)Unternehmen und Private kaum
versichert waren. Trotzdem weisen sol­
che Elementarereignisse eindringlich auf
eine zunehmend wichtigere Frage hin:
Wie können Unternehmen sicherstellen,
dass erfolgsrelevante Kernprozesse auch
im Katastrophenfall (Elementarereignis,
Stromausfall, Sabotage, terroristischer
Angriff usw.) weitergeführt bzw. mög­
lichst schnell wieder aufgenommen
werden können?
Kaspar Schiltz
Mit Hilfe eines Business Continuity
Managements (BCM) lassen sich wich­
tige unternehmerische Kernprozesse
sicherstellen, so dass der Betrieb z.B.
nach einer Naturkatastrophe möglichst
schnell weitergeführt bzw. wieder aufge­
nommen werden kann. Um die Vorteile
eines BCM bestmöglich zu nutzen, sollte
es in bestehende Führungssysteme wie
Qualitätsmanagement (QM) und Risiko­
management (RM) integriert bzw. mit
diesen verknüpft werden.
Im vergangenen Juni wurden wir
mit aufsehenerregenden Bildern aus
den Überschwemmungsgebieten in
Deutschland konfrontiert. Die Aufnah­
men gefluteter Städte, wo teilweise nur
noch die oberen Stockwerke der Häuser
aus dem Wasser ragten, führten uns die
Not der betroffenen Menschen vor Au­
gen. Erst auf den zweiten Blick offenbar­
ten sich die Folgen für die betroffenen
Unternehmen: Sachschäden, Produkti­
onsausfälle, Unterbruch der Dienstleis­
Derlei Probleme lassen sich im Rah­
men eines Business Continuity Ma­
nagements (BCM) lösen. Dieses zieht
allerdings eine oft vergessene An­
schlussfrage nach sich: Wie kann das
BCM in andere Führungssysteme wie
Qualitätsmanagement (QM) und Risiko­
management (RM) integriert bzw. mit
diesen verknüpft werden? Allzu oft
werden diese Führungssysteme parallel
betrieben, ohne die Schnittmengen und
Differenzen systematisch zu analysie­
ren. In der Folge werden einige mögliche
Integrationsansätze skizziert.
Elemente des BCM
Die Notwendigkeit eines BCM sowohl
für Produktions- als auch für Dienstleis­
tungsunternehmen ergibt sich aus dem
Ziel, bei einem unvorhergesehenen Er­
eignis die kritischen Geschäftsprozesse
weiter führen oder zumindest schnellst­
möglich wieder aufnehmen zu können,
so dass der Schaden auf ein vertretbares
Mass reduziert wird. Beispiele für kriti­
sche Prozesse sind z.B. der elektroni­
sche Zahlungsverkehr einer Bank, die
Sicherheitsmechanismen eines Chemie­
werks oder das IT-basierte Dispositions­
system einer Speditionsfirma. Mit dem
ISO-Standard 22301:2012 existiert seit
dem Jahr 2012 eine international an­
erkannte Richtlinie für den Aufbau und
die Umsetzung eines BCM; zuvor galt
der britische Standard BS 25999. Beide
Normen schlagen ein ähnliches Gerüst
vor: Aufbauend auf dem so genannten
Plan-Do-Check-Act-Zyklus soll das Un­
ternehmen ein BCM
– …planen (plan): Aus einer Analyse der
Stakeholder-Bedürfnisse, der Ziele und
Erfolgspositionen des Unternehmens
sowie der personellen Ressourcen wer­
den die organisatorische Verankerung
und die Verantwortlichkeiten des BCM
abgeleitet; hier zeigen sich Brücken
zum strategischen Management.
– …umsetzen (do): In der Business Impact Analysis (BIA) werden Auswir­
kungen externer Ereignisse (Szenarien
zu Naturkatastrophen, Stromausfällen
usw.) auf Geschäftsprozesse sowie die
damit verbundenen Schäden ermittelt.
Für die zugrunde gelegte Risikobeur­
teilung (Risk Assessement, RA) ver­
weist der BCM-Standard auf die ISONorm 31000. Hier sehen wir eine erste
Schnittstelle zum Risikomanagement;
in der resultierenden Business Continuity Strategy (BCS) werden das gene­
relle Vorgehen für die Wiederaufnahme
kritischer Prozesse beschrieben und
die konkreten Schritte in so genannten
Business Continuity Procedures (BCP)
festgehalten.
– …überprüfen (check): Eine regelmässi­
ge Überprüfung des BCM, z.B. durch
Simulationen von Katastrophenfällen,
zeigt Schwachstellen in den BCP oder
auch deren ungenügende Kenntnis
seitens des Personals auf.
– …verbessern (act): Die erkannten
Schwachstellen sollten sich in einer
kontinuierlichen Verbesserung des
BCM niederschlagen – somit findet
sich eine Grundidee des betrieblichen
Qualitätsmanagements auch im BCM
wieder.
CH-D Wirtschaft 2/2014
Begriffe im Zusammenhang mit dem BCM
Business Continuity
Management (BCM)
Führungssystem, das zum Ziel hat, die Unterbrechung
kritischer Geschäftsprozesse infolge eines unerwarteten
Ereignisses zu verhindern oder den Schaden infolge
einer Unterbrechung zu minimieren.
Risikomanagement
(RM)
Führungssystem, das zum Ziel hat, die gesamte Risiko­
landschaft des Unternehmens zu erfassen und geeigne­
te Massnahmen zur Risikobewältigung zu definieren.
Business Impact
Analysis (BIA)
Analyse zur Bestimmung des Schadenspotenzials infol­
ge einer Unterbrechung von Geschäftsprozessen durch
unerwartete Ereignisse. Ergebnis ist die Identifizierung
der kritischen Geschäftsprozesse.
Kritische Geschäfts­
prozesse
Geschäftsprozesse, deren Unterbrechung einen signi­
fikanten oder existenzbedrohenden Schaden für das
Unternehmen bewirkt (finanzielle Einbussen, Reputati­
onsschaden, juristische Folgen).
Business Continuity
Strategy (BCS)
Generelles Vorgehen zur Weiterführung oder Wiederauf­
nahme kritischer Geschäftsprozesse.
Business Continuity
Procedures (BCP)
Konkrete Anweisungen und Massnahmen, welche die
BCS in direkt umsetzbare Vorgaben für den einzelnen
Mitarbeitenden übersetzen.
BCM als Management-Aufgabe
Bereits aus dieser kurzen Auflistung der
BCM-Kernelemente werden die Schnitt­
mengen mit anderen Führungssystemen
klar ersichtlich: Nur auf Grundlage der
im strategischen Management getroffe­
nen Basisentscheide können wir bestim­
men, welche Funktionen und Bereiche
des Unternehmens kritisch sind – ob
z.B. die telefonische Erreichbarkeit, eine
ununterbrochene
Internetverbindung,
die Produktion in einer Zweigstätte zu
jedem Zeitpunkt unentbehrliche oder
«nur» normale Geschäftsprozesse sind.
Beim nächsten Strategie-Review lohnt
es sich also, die Unternehmensbereiche
oder Dienstleistungsportfolios bezüg­
lich «Unverzichtbarkeit» zu prüfen. Eine
kritische Überprüfung und kontinuier­
liche Verbesserung des BCM kann nur
gelingen, wenn es nachhaltig in der
Unternehmenskultur verankert ist. Im
Zusammenhang mit dem Qualitätsmanagement (QMS) und der internen
Unternehmenskommunikation ist zu
fragen: Kennen die einzelnen Mitarbei­
tenden ihre Verantwortung im Katast­
rophenfall? Besteht eine positive Feh­
lerkultur, die es ermöglicht, kritische
Situationen (near miss, Beinahefehler)
zu rapportieren? Sind die BCP so kon­
zipiert, dass sie im Ernstfall praktikabel
sind (z.B. Notfall-Telefonnummern nicht
nur im Intranet aufgeschaltet, sondern
auch in Papierform am Arbeitsplatz vor­
handen)? Werden die Erkenntnisse aus
der BCM-Überprüfung konsequent und
stufengerecht an die Geschäftsleitung
weitergeleitet? Somit müssen allgemeine
CH-D Wirtschaft 2/2014
Prinzipien des QMS ins BCM einflies­
sen, anderseits aber auch Rückmeldun­
gen aus dem BCM ins QMS integriert
­werden.
BCM und RM: eine enge Beziehung
Die wohl grösste Schnittmenge besteht
zwischen BCM und RM. Beide Füh­
Schnittmengen des BCM
rungssysteme befassen sich mit dem
Eintreten sowie den negativen Auswir­
kungen ungewisser Ereignisse. Werden
im Rahmen der BIA die Auswirkungen
verschiedener Szenarien auf Geschäfts­
prozesse untersucht, können wir auf
Erkenntnisse des RM zurückgreifen:
Beschreibung und Schadensausmass
einzelner Risiken liefern uns Hinweise
zum Schadenpotenzial und damit zur
Identifikation der kritischen Prozesse.
Allerdings ist sowohl hinsichtlich der
Risikoidentifikation als auch der Risiko­
bewältigung zu beachten, dass wir im
BCM einen engeren bzw. leicht ver­
schobenen Fokus haben: Das RM strebt
erstens nach Identifikation von Risiken
aller Eintretenswahrscheinlichkeiten und
Schadenshöhen (z.B. Auslieferung eines
fehlerhaften Produkts, das Schadens­
ersatzklagen und Reputationsschäden
nach sich zieht) sowie zweitens nach
der Reduktion von entweder Eintretens­
wahrscheinlichkeit oder Schadenshöhe
der Risiken, wobei gewisse «Restrisi­
ken» akzeptiert werden müssen.
Im BCM fokussieren wir auf genau
jene Restrisiken, die zwar eine tiefe
Eintretenswahrscheinlichkeit, aber ein
enormes Schadensausmass aufweisen.
Die Bewältigung (in Form der BCP) zielt
stets auf eine Reduktion der Schadens­
höhe, kann aber nicht die Eintretens­
wahrscheinlichkeit mindern, also bei der
Ursache des Risikos ansetzen – da es
sich meist um nicht beeinflussbare Ex­
tremereignisse handelt (z.B. Ausfall der
Sicherheitssysteme durch Erdbeben).
Allerdings können BCS und BCP wiede­
rum in das RM einfliessen, wenn bereits
im allgemeinen RM-Konzept die Grund­
elemente des BCM aufgeführt sind und
auf Stufe einzelner, im RM definierter
Massnahmen ein konkreter Verweis auf
BCS oder BCP anzeigt, ob Planungen
für den Eintritt des Restrisikos getroffen
wurden.
BCM wiederum sollte an die bestehen­
den Führungssysteme angeknüpft wer­
den, indem Erkenntnisse aus dem RM
übernommen oder die im QMS vorge­
sehenen Kommunikationsstrukturen für
die Krisenkommunikation im Katastro­
phenfall adaptiert werden. Klar ist, dass
wir das BCM nicht als vorübergehende
Mode abstempeln und ignorieren kön­
nen: Bereits heute müssen sich zahlreiche
Zulieferer grosser Unternehmen hinsicht­
lich ihres BCM zertifizieren lassen, und
die Eidgenössische Bankenkommission
etwa schreibt die Implementierung eines
BPM gemäss internationalen Standards
für alle Banken und Effektenhändler vor.
Autor
Keine Aufblähung der Führungs­
strukturen
Es zeigt sich also, dass ein BCM zwar
seiner eigenen Logik folgt, die Schnitt­
mengen mit anderen Führungssystemen
aber beträchtlich sind. Diese Erkenntnis
muss nun aber weder zur Schaffung
neuer Gremien, noch zur Abfassung
ellenlanger Handbücher führen. Viel­
mehr sind die Berührungspunkte zu
ermitteln und die einzelnen Führungs­
systeme um ausgewählte BCM-Themen
zu ergänzen: Sei es im Rahmen eines
Strategiereviews die Frage nach den
absolut unverzichtbaren Leistungen des
Unternehmens, sei es die Integration der
BCM-Überprüfung in die periodische
Aktualisierung des QMS. Auf Ebene des
Kaspar Schiltz, Dr. rer. publ. HSG ist Berater bei der Treuhand- und Revisionsge­
sellschaft Mattig-Suter und Partner in Schwyz. Er befasst sich mit strategischen
Fragen, Finanzplanungen sowie der Implementierung von RisikomanagementSystemen bei Unternehmen, NPOs und Gemeinden. Sein besonderes Augen­
merk gilt der Suche nach pragmatischen Lösungen, die den Bedürfnissen des
Kunden angepasst sind.
Die Treuhand- und Revisionsgesellschaft Mattig-Suter und Partner zählt mit ihren
europaweit über 130 Mitarbeitenden (davon mehr als 90 am Hauptsitz in Schwyz
sowie an den Sitzen Pfäffikon SZ, Brig, Altdorf und Zug) zu den renommiertesten
Zentralschweizer Treuhandfirmen. Seit über 50 Jahren lebt das Unternehmen
mit dem Wandel im Dienste seiner Kunden und ihres Erfolgs. Mattig-Suter und
Partner ist aktiv in den Geschäftsfeldern Finanz- und Rechnungswesen, Wirt­
schaftsprüfung, Wirtschaftsberatung, Steuerberatung sowie Rechtsberatung.
kaspar.schiltz@mattig.ch
www.mattig.ch
CH-D Wirtschaft 2/2014
Document
Kategorie
Internet
Seitenansichten
4
Dateigröße
105 KB
Tags
1/--Seiten
melden