Business Continuity Management (BCM)
ZAHLEN | DATEN | FAKTEN
Krisenfestigkeit durch organisationale Resilienz
Business Continuity Management beschreibt die aktive Planung, Steuerung und Sicherung des langfristigen Fortbestandes und Erfolges eines Unternehmens.
Grundlagen
»Business Continuity Management (BCM)« beschreibt die aktive Planung, Steuerung und Sicherung des langfristigen Fortbestandes und Erfolges eines Unternehmens durch die Realisierung organisationaler Resilienz gegen geschäftsschädliche Ereignisse.
Geschäftsschädliche Ereignisse können technischer, ökologischer, ökonomischer oder sozialer Natur sein. Die Vielfältigkeit möglicher Gefahren für den Erfolg und Fortbestand von Unternehmen zeigen folgende Beispiele:
- Naturkatastrophen (Erdbeben, Dürre),
- Wirtschaftskrisen,
- Brände oder Explosionen,
- Störung Infrastruktur (Stromausfall),
- gesellschaftliche Unruhen, Streiks,
- politische Umbrüche,
- Epidemien oder Pandemien,
- Unfälle oder Anschläge,
- Cyberangriffe, Produktpiraterie,
- Disruption Geschäftsmodell,
- Produktfehler.
Um die Vielfältigkeit und Komplexität von Gefahren zu beherrschen ist ein strukturiertes, systematisches und an die individuellen Rahmenbedingungen eines Unternehmens angepasstes BCM erforderlich.
Business Continuity Management unterscheidet sich von einem wertorientierten Risikomanagement durch seine konkret an der Erhaltung der operativen Betriebstätigkeit ausgerichtete Zielsetzung. Gegenstand eines wertorientierten Risikomanagements ist die Optimierung des finanziellen Ertrag-Risiko-Profils mit einem für die Eigentümer akzeptablen Insolvenzrisiko und akzeptabler Ertragsvolatilität [8]. Der Schwerpunkt liegt deshalb häufig auf der Analyse, Kontrolle und Steuerung finanzieller Risiken in Bezug auf den Kapitalertrag [4, 8, 9]. BCM beinhaltet dagegen eine konkrete, detaillierte Planung und Steuerung von Aktivitäten als Reaktion auf Notfälle und Krisenereignisse sowie Aktivitäten zur Wiederherstellung der Betriebstätigkeit nach Schadensereignissen. Im BCM wird ein wertorientiertes Risikomanagement um ein detailliertes Krisen- und Sanierungsmanagement erweitert und operationalisiert. BCM umfasst damit folgende Bestandteile (Abbildung 2):
- Risikomanagement,
- Krisenmanagement,
- Sanierungsmanagement.
Ziele
Ziel des BCM ist die nachhaltige Sicherung von Fortbestand und Erfolg eines Unternehmens in einer Realität mit nicht vermeidbaren Geschäftsstörungen und Schadensereignissen.
Um dieses übergeordnete Ziel zu erreichen, muss die Organisation robust und widerstandsfähig gegenüber Krisen, Schadensereignissen und Störungen sein. Eine solche organisationale Resilienz setzt die praktische Umsetzung von Maßnahmen zu Vermeidung, Reduzierung oder möglichst schnellen und effizienten Behebung negativer Auswirkungen von Schadensereignissen voraus. Entsprechend lassen sich zur Erreichung des übergeordneten BCM-Zieles drei Teilziele nennen, die in der folgenden Reihenfolge anzustreben sind:
- Vermeidung von Schäden
- Reduzierung von Schäden
- Behebung von Schäden
BCM soll somit organisationale Resilienz durch den Aufbau von drei Schutzzonen (»Firewalls«) realisieren, um den überlebenswichtigen Unternehmenskern (Kernprozesse) robust und widerstandsfähig gegenüber negativen Ereignissen zu machen, Abbildung 3.
Nutzen
Der Nutzen von BCM liegt in der Vermeidung oder zumindest Reduzierung von finanziellen, ökologischen und sozialen Schäden für Inhaber, Mitarbeiter und Geschäftspartner eines Unternehmens.
Der Nutzen ergibt sich beispielsweise in Form von vermiedenen Kosten für Betriebsunterbrechungen, Schadensbeseitigung, Haftung oder vermiedenen Umsatzverlusten. Darüber hinaus ergibt sich noch ein humanitärer bzw. sozialer Nutzen, der sich jedoch nur schwer mit betriebswirtschaftlichen Zahlen ausdrücken lässt. Dieser besteht unter anderem in der Sicherheit von Arbeitsplätzen, Einkommen sowie Gesundheit und Zufriedenheit von Mitarbeitern und Inhabern.
Zusätzlich hat BCM aber auch bei nicht eingetretenen Risiken einen Nutzen für Unternehmen. Durch die im Rahmen von BCM durchgeführten Geschäfts- und Prozessanalysen sowie deren Dokumentation werden Transparenz und Wissen im Unternehmen erzeugt. Dadurch können Potenziale zur Verbesserung der Effektivität und Effizienz von Prozessen und Abläufen im laufenden Tagesgeschäft sichtbar werden.
Durch den Nachweis eines wirksamen BCM können zudem laufende Kosten für Versicherungen oder Kredite gesenkt werden, so dass auch ohne Eintritt eines Schadensereignisses Einsparungen realisiert werden können.
Hemmnisse
Nachteilig ist der mit dem BCM verbundene Aufwand. Der Aufwand ergibt sich insbesondere aus dem Zeitaufwand für Analysen, Dokumentationen oder Überprüfungen sowie den für externe Unterstützung anfallenden Kosten.
Wesentliche Hemmnisse bei der praktischen Umsetzung von BCM sind Zeitmangel im Tagesgeschäft und die fehlende Einsicht in die Notwendigkeit von BCM-Aktivitäten. Im betrieblichen Alltag fokussieren sich die Aufmerksamkeit und Ressourcen meist nur auf die akuten und tatsächlich vorhandenen Probleme. Die Betrachtung von theoretisch möglichen Ereignissen in der Zukunft, die unter Umständen sogar nur eine geringe Eintrittswahrscheinlichkeit haben, wird oft als nicht so wichtig oder sogar als Zeitverschwendung bewertet. Häufig kann nur der Eintritt eines Schadensereignisses diese Einstellung ändern. BCM setzt somit eine vorausschauende und strategische Überzeugung sowie verfügbare Kapazitäten, Mittel und Fähigkeiten im Unternehmen voraus.
Die ausführliche Auseinandersetzung mit negativen Szenarien kann ggf. Ängste bei den Teilnehmern hervorrufen und fördern. Andererseits bietet nur diese Auseinandersetzung die Chance, sich vor den Risiken zu schützen. Zudem können Unternehmen, welche besser als andere auf Krisen vorbereitet sind, gestärkt daraus hervorgehen und damit einen gewichtigen Wettbewerbsvorteil gewinnen.
Risiken für Unternehmen
Solange Schadensereignisse und Störungen der Betriebstätigkeit noch nicht eingetreten sind, stellen diese für Unternehmen lediglich ein Risiko dar. Ein Risiko beschreibt ein theoretisches, mit bestimmter Wahrscheinlichkeit und Schadenswirkung in der Zukunft mögliches Ereignis.
Sowohl die Wahrscheinlichkeit als auch das Ausmaß und die Wirkung von Schadensereignissen sind durch Vorbereitung auf diese und Maßnahmen im Vorfeld beeinflussbar. Hierfür müssen jedoch mögliche Risiken zunächst identifiziert, analysiert und hinsichtlich der Relevanz für das Unternehmen bewertet werden.
Tabelle 1 zeigt die von Unternehmen in einer aktuellen Umfrage der Allianz-Versicherung für 2020 prognostizierten wichtigsten Geschäftsrisiken. Neben dem globalen Ranking ist auch der Anteil der Nennungen durch die Befragten sowie das Ranking der Top 10 Risiken von deutschen Unternehmen aufgeführt.
Ein Vergleich der jährlich durchgeführten Umfragen zu den wichtigsten Risiken zeigt, dass sich das Ranking im Zeitablauf verändert hat. Ebenso lassen sich Unterschiede zwischen Ländern und Wirtschaftssektoren erkennen. Risiken sind also betriebsspezifisch und im zeitlichen Kontext zu bewerten.
Zudem zeigt die aktuelle Corona-Pandemie, dass die Einschätzung von Risiken durch Unternehmen nicht der Realität entsprechen muss. Eine falsche oder fehlende Bewertung eines Risikos kann letztendlich die Existenz eines Unternehmens gefährden. Mögliche Folgen von Risikofehleinschätzungen oder fehlender Krisenvorbereitung werden aktuell in vielen Unternehmen deutlich und zeigen die Notwendigkeit eines BCM.
Praktische Umsetzung
Die sinnvolle praktische Umsetzung eines BCM muss sich an den betriebsspezifischen Rahmenbedingungen ausrichten. Hierbei sind unter anderem zunächst folgende Fragen zu klären:
- Welche externen Anforderungen (Gesetzgeber, Kapitalgeber, Öffentlichkeit) sollen bzw. müssen bei der Gestaltung eines BCM berücksichtigt werden?
- Welche internen Anforderungen (Ziele Unternehmensleitung) werden an das BCM gestellt?
- Wie hoch wird die Notwendigkeit und Bedeutung eines BCM für das Unternehmen bewertet?
- Welche Ressourcen (Mittel, Fähigkeiten) stehen im Unternehmen für BCM zur Verfügung?
Durch die Beantwortung dieser Fragen lässt sich entscheiden, ob die praktische Umsetzung eines BCM in Form eines formalen und zertifizierten Managementsystems oder in vereinfachter, betriebsspezifischer Form ohne Zertifizierung erfolgen soll.
Für die Realisierung eines BCM als normiertes Managementsystem existiert als international anerkanntes Regelwerk die ISO 22301, in der aktuellen Version von 2019 [10]. Die Norm beschreibt die Anforderungen an die Gestaltung eines BCM-Systems in Unternehmen für eine anerkannte Zertifizierung.
Unabhängig vom Formalisierungsgrad sind zur praktischen Umsetzung von BCM folgende Aufgaben bzw. Schritte zu erfüllen:
- Initiierung von BCM
- Identifikation Risiken
- Analyse Risiken
- Bewertung Risiken
- Planung Maßnahmen
- Umsetzung Maßnahmen
- Überwachung und Verbesserung BCM
Sofern noch kein BCM im Unternehmen vorhanden ist, gilt es als erstes die Einführung eines BCM zu initiieren. Dies muss durch die Geschäftsführung erfolgen, welche die Ziele, Zuständigkeiten und verfügbare Ressourcen für das BCM definiert. Die Einführung sollte als Unternehmensprojekt erfolgen an dessen Ende die erste vollständige Dokumentation sowie Übergabe und Integration des BCM in die Aufbau- und Ablauforganisation des Unternehmens als Ergebnis steht.
Nach der Initiierung eines BCM Projektes gilt es, auf Basis einer betriebsspezifischen Prozess- und Risiko-Landkarte die kritischen, überlebenswichtigen Kernprozesse und die für das Unternehmen relevanten Risiken zu identifizieren. Dieser Schritt dient dazu, sich auf die richtigen und wichtigen Dinge zu konzentrieren und die Effektivität und Effizienz des BCM zu verbessern. Der Aufwand für die nachfolgende detaillierte Analyse und Bewertung von Risiken wird hierdurch maßgeblich beeinflusst.
Nach dem die wichtigsten Unternehmensprozesse sowie betriebsspezifischen Risiken identifiziert wurden, werden konkrete Szenarien für Schadensereignisse beschrieben und deren Auswirkungen auf Prozesse und Unternehmen im Detail analysiert. Wichtig ist hierbei insbesondere die Analyse von Ausmaß und Dauer von Betriebsunterbrechungen (BU-Analyse) in Abhängigkeit von den beschriebenen Schadensereignissen. Bei der Schadensanalyse lassen sich grundsätzlich Maximalschadensszenarien (PML – Probable Maximum Loss) und wahrscheinliche Schadensszenarien (EML – Estimated Maximum Loss) unterscheiden.
Für jedes beschriebene Schadensszenario ist eine Bewertung der Eintrittswahrscheinlichkeit sowie des betriebswirtschaftlichen Schadensausmaßes vorzunehmen. Bei der betriebswirtschaftlichen Schadensbewertung spricht man auch von der sogenannten Business Impact Analyse (BIA).
Aufbauend auf den Erkenntnissen von Analyse und Bewertung konkreter Schadensszenarien erfolgt eine zielgerichtete Planung von Maßnahmen. Dabei wird zunächst geprüft, welche Möglichkeiten zur präventiven Vermeidung oder Reduzierung bestehen und ob die Kosten hierfür im Verhältnis zum Nutzen stehen. Aufgrund der ermittelten Wahrscheinlichkeit und betriebswirtschaftlichen Kosten, liegt hierzu eine fundierte Entscheidungsbasis vor.
Für die »Rest-Risiken«, bei denen eine präventive Vermeidung oder Reduzierung nicht möglich oder nicht betriebswirtschaftlich sinnvoll ist, müssen Reaktionspläne erstellt werden. Dies sind Notfall-, Krisen-, Sanierungs- und Wiederanlaufpläne für konkret beschriebene Schadensereignisse. Ziel dieser Pläne ist es, die Betriebsunterbrechungszeit und Wiederherstellungskosten zu minimieren und das Schadensausmaß auf ein möglichst geringes Maß zu senken. Der dann noch verbleibende finanzielle Schaden kann ggf. ergänzend über Versicherungen abgesichert werden.
Die Ergebnisse und die Umsetzung der beschlossenen Maßnahmen sind im Rahmen eines kontinuierlichen BCM zyklisch zu überprüfen und falls erforderlich Korrekturen durchzuführen. Auch die Grundannahmen der Identifikation, Analyse und Bewertung sind in bestimmten Zeitabständen zu überprüfen, da sich die angenommenen Bedingungen verändern können. Umgesetzte Maßnahmen sowie Krisen- und Notfallpläne sind zudem auf ihre Wirksamkeit zu prüfen, was zum Beispiel durch Krisen-/Notfallübungen erfolgen kann.
Aktuelle Situation / Handlungsfelder
BCM ist ein relativ junges Managementfeld, das erstmals 2012 als ISO-Managementsystem ISO 22301 international anerkannten Status bekommen hat.
Im Gegensatz zu einem allgemeinen Risikomanagement gemäß ISO 31000, detailliert und operationalisiert ein BCM konkrete Maßnahmen um die Betriebstätigkeit bei Eintritt von Schadensereignissen aufrecht zu erhalten bzw. wiederherzustellen. Wie wichtig dies ist, zeigen die vielen Insolvenzen und Einstellungen der Betriebstätigkeit nach Großschäden oder als Folge der Corona-Pandemie.
Während ein allgemeines Risikomanagement in Unternehmen sehr verbreitet ist, lässt sich das hier beschriebene BCM insbesondere in kleinen und mittelständischen Unternehmen (KMU) bisher nur selten vollumfänglich finden.
Studien und Veröffentlichungen haben häufig ein »wertorientiertes Risikomanagement«, zum Inhalt, das stark auf finanzielle Ziele und Risiken ausgerichtet ist [2, 3, 9]. Dies zeigt sich auch darin, dass Aufgaben hierzu im Schwerpunkt durch das Controlling oder Rechnungswesen wahrgenommen werden. Diese Funktionen verfügen erfahrungsgemäß nicht über ein detailliertes Prozess- und Fachwissen in den für ein BCM maßgeblichen, existenziellen Kernprozessen der betrieblichen Wertschöpfung (Beschaffung, Produktion, Vertrieb, Kundendienst). Dies ist jedoch für eine realistische und praxisgerechte Einschätzung, Analyse und Bewertung von Risiken sowie die erfolgreiche Planung und Umsetzung von BCM-Maßnahmen von besonderer Bedeutung.
Als zuständiger Funktionsbereich für ein BCM bietet sich insbesondere das Industrial Engineering an. Dessen Aufgaben umfassen die Analyse, Planung, Gestaltung und Optimierung von Management-, Kern- und Unterstützungsprozessen im Rahmen des betrieblichen Produktivitätsmanagements [7]. Damit verfügt dieser Bereich über die benötigten Kompetenzen, das notwendige praktische Prozesswissen und die erforderlichen Daten für die praktische Umsetzung von BCM.
Ausblick
Die Corona-Pandemie zeigt, dass Unternehmen mit Krisen und existenzbedrohenden Ereignissen konfrontiert werden.
Durch die Globalisierung, digitale Vernetzung sowie politischen, gesellschaftlichen und ökologischen Wandel, haben sich die Risiken für Unternehmen verändert und werden dies in Zukunft auch weiterhin tun (z. B. Klimawandel und Digitalisierung).
Unternehmen müssen sich diesen Veränderungen und daraus ergebenden Risiken stellen und ihnen mit organisationaler Resilienz begegnen, wenn sie ihre Existenz nachhaltig sichern wollen.
BCM kann als Teil eines ganzheitlichen, nachhaltigen Produktivitätsmanagements [5, 6] angesehen werden. Durch BCM wird die Unternehmensproduktivität stabilisiert und trotz auftretender Störgrößen langfristig und damit nachhaltig gesichert. Dies ist deshalb von Bedeutung, weil Konjunkturzyklen, Krisen und ein Wandel des technischen, wirtschaftlichen und sozialen Umfeldes immer wieder auftreten und stabile Phasen nur noch von zunehmend begrenzter Dauer sind. BCM kann in diesem Umfeld den Unternehmen Sicherheit, Stabilität, Orientierung und damit Widerstandsfähigkeit (Resilienz) geben. Die aktuellen Entwicklungen deuten darauf hin, dass dies in Zukunft für Unternehmen an Bedeutung gewinnen wird.
Literaturhinweise
[1] Allianz (2020). Allianz Risk Barometer – Identifying The Mayor Business Risks for 2020. Abgerufen am 30.04.20 unter: www.agcs.allianz.com/content/dam/onemarketing/agcs/agcs/reports/Allianz-Risk-Barometer-2020.pdf
[2] BDI (2011). Risikomanagement 2.0 – Ergebnisse und Empfehlungen aus seiner Befragung in mittelständischen deutschen Unternehmen. Abgerufen am 30.04.20 unter: www.risknet.de
[3] Funk RMCE GmbH et.al. (2011). Risikomanagement im Mittelstand – Benchmarkstudie zu Stand und Perspektiven des Risikomanagements in Unternehmen. Abgerufen am 29.04.20 unter: www.funk-gruppe.de/de/news/mediathek/studien/studie-risikomanagement-im-mittelstand/
[4] Dörner D, Horvath P (2000). Praxis des Risikomanagements. Schäffer-Poeschel-Verlag Stuttgart, 2000
[5] Eisele O, Jeske T (2019) Ganzheitliches Produktivitätsmanagement in der vernetzten Produktion. In: Riedel R (Hrsg) Die hybride Fabrik – menschliche und künstliche Intelligenz im Einklang. VPP2019 – Vernetzt planen und produzieren. Wissenschaftliche Schriftreihe des Institutes für Betriebswissenschaften und Fabriksysteme, Sonderheft 25, Tagungsband. TU Chemnitz, Chemnitz
[6] Eisele O (2019) Nachhaltiges Produktivitätsmanagement – Mehr Klimaschutz und Wohlstand. Zahlen | Daten | Fakten. ifaa – Institut für angewandte Arbeitswissenschaft. www.arbeitswissenschaft.net/zdf-nachhaltiges-produktivitaetsmanagement
[7] Eisele O (2020) New Industrial Engineering – Garant für den Betriebserfolg in neuen Arbeitswelten. Zahlen | Daten | Fakten. ifaa – Institut für angewandte Arbeitswissenschaft. www.arbeitswissenschaft.net/ZDF_New_IE
[8] Gabler Online-Wirtschaftslexikon (2020) Risikomanagement – Definition: Was ist »Risikomanagement?«. Abgerufen am 15.05.2020 unter: wirtschaftslexikon.gabler.de/definition/risikomanagement-42454
[9] Gossler, Golbert & Wolters Gruppe (2016): Mittelstand zögert bei der Einführung von Risikomanagement – Risikomanagement-Studie 2016. Abgerufen am 05.05.20 unter: www.smr-gmbh.de/pdf/Risikomanagement-Studie_2016.pdf
[10] ISO 22301 (2019): Security and resilience – Business continuity management systems – Requirements
Unsere Empfehlungen
Gute Zeiten, schlechte Zeiten, neue Zeiten!
Zahlen/Daten/FaktenFlexibilität in Krisenzeiten: Bedarfs- und gesundheitsgerechte Schichtplangestaltung als Maßnahme
Resilienzkompass – Praxishilfe zur Resilienzförderung
BroschürenPraxishilfe zur Förderung der individuellen und organisationalen Resilienz in Unternehmen aus dem BMBF-Projekt STÄRKE.
Wissensvermittlung organisationale Resilienz
PräsentationenWas verstehen wir unter dem Konzept „organisationale Resilienz“? Erfahren Sie hier, welche resilienzförderlichen Maßnahmen es gibt.
Nachhaltigkeit in Zahlen
Zahlen/Daten/FaktenIn dem Faktenblatt werden die Grundlagen, die globale, nationale und betriebliche Situation und das Management von Nachhaltigkeit dargestellt.
Ihr Ansprechpartner
Dipl.-Wirt.Ing.
Olaf Eisele
Wissenschaftlicher Mitarbeiter
Telefon: +49 211 542263-36