„Kaum ein Betrieb hat mit einem weltweiten Lockdown gerechnet“
Überschwemmungen, Cyber-Angriffe oder schwere Fabrikunglücke: Gründe für Geschäftsunterbrechungen gibt es viele. Um diese zu bewältigen, brauchen Unternehmen ein effektives Business Continuity Management (BCM). Wie man ein leistungsfähiges Notfallsystem aufbaut, erläutert Beatrice Maier, Principal Consultant, Lead Trainer, Auditor bei DNV GL-Business Assurance in unserem UmweltDialog-Interview. Sie ist Expertin in Sachen Krisenmanagement.
24.06.2020
UmweltDialog (UD): Deutschland profitiert wie kaum ein anderes Land von internationaler Arbeitsteilung. In der aktuellen Krisensituation werden nun Stimmen laut, die den Abbau globaler Lieferketten fordern und die Produktion ins Inland zurückholen wollen, um eine kontinuierliche Versorgung relevanter Produkte zu sichern. Wie praktikabel ist das?
Beatrice Maier: Aus meiner Sicht kommt die Industrie heutzutage nicht ohne globale Lieferketten aus. Es ist wichtig darüber nachzudenken, in welchem Ausmaß diese erforderlich sind und wie Unternehmen sich in Krisenzeiten gegenüber Produktionsausfällen absichern können. Das ist generell schon Bestandteil eines guten Business Continuity Managements. Laut der ISO 22301 muss dieses in der Lage sein, die Lieferung von Produkten und Dienstleistungen innerhalb eines akzeptablen Zeitraums mit vordefinierter Kapazität fortzusetzen.
Wie groß ist die Abhängigkeit von einzelnen Lieferanten? Können Logistikprozesse aufrechterhalten werden? Welche Rohstoffe oder Materialien können knapp werden? Im Rahmen einer Business Continuity Impact Analyse müssen Unternehmen hier vorab kritische Stellen im Unternehmen und innerhalb der Lieferketten identifizieren, die zu Unterbrechungen führen können. Wie sensibel die Lieferketten sind, auch über die Covid-Pandemie hinaus, zeigt sich jetzt wieder anhand der neu entbrannten Diskussion über ein Lieferkettengesetz.
BCM und ISO 22301 im Fokus
„Mit einem BCM soll sichergestellt werden, dass die kritischen Geschäftsfunktionen im Fall interner oder externer Ereignisse aufrechterhalten oder zeitgerecht wiederhergestellt werden können. BCM zielt damit vor allem auf eine Minimierung der Wirkungen solcher Ereignisse“, schreibt Risknet. Wie bei jedem Managementsystem müssen das BCM in die Unternehmensstrategie verankert und Verantwortlichkeiten definiert werden. Ferner gilt es, Krisenszenarien und deren Auswirkungen zu definieren. Gemäß einer Business Continuity Strategie müssen Pläne erarbeitet werden, die „eine Wiederherstellung der geschäftskritischen Prozesse und Ressourcen in einer Krisensituation ermöglichen sollen.“
Der ISO-Standard 22301 bündelt die Anforderungen, ein BCM systematisch zu implementieren und zu lenken. Auf diese Weise sind Betriebe auf Krisen und mögliche Betriebsunterbrechungen vorbereitet, können auf diese reagieren und nach einem Störungsfall die Geschäftstätigkeit fortsetzen. Die ISO 22301 deckt die Bereiche Produktion, Finanzen, Lieferkette, Gesundheit und Sicherheit ab und ist auf jede Organisation und Branche anwendbar.
UD: Wie können Managementsysteme helfen, Krisen wie die Corona-Pandemie zu steuern?
Maier: Gute Managementsysteme basieren generell darauf, dass Unternehmen ihre IST-Situation ermitteln. Wie stehe ich finanziell da? Wie sind meine Organisations- und Personalstrukturen? Wie ist es um meine Wettbewerbsfähigkeit bestellt? Wie sieht es in Sachen Umweltschutz aus? Es geht immer darum, die jeweiligen Geschäftsbereiche systematisch zu analysieren und Maßnahmen zu planen und regelmäßig zu überprüfen, mit denen vorab definierte Ziele erreicht werden.
Dasselbe gilt für Krisensituationen: Hierbei muss vorab geklärt werden, welche potenziellen Notfallsituationen ein Unternehmen treffen können. Welchen Risiken ist das Unternehmen mit welcher Wahrscheinlichkeit ausgesetzt, welche Konsequenzen haben diese für die Geschäftstätigkeit und mit welchen Maßnahmen können die Betriebsunterbrechungen vermieden werden? Wie wird im Falle des Eintretens eines Notfalls durch vorausschauende Planung betrieblicher Schaden abgewendet? Überlegungen, wie im Falle einer Pandemie vorzugehen ist, sollten bereits seit der Vogelgrippe Bestandteil eines Managementsystems sein.
Ich denke, dass nicht alle Unternehmen auf die aktuelle Krise genügend vorbereitet waren. Aber weniger im Hinblick auf den weltweiten „Lockdown“ – kaum ein Betrieb hat eine Krise dieser Größenordnung in seine Wahrscheinlichkeitsberechnung aufgenommen – als vielmehr im Hinblick auf die Weiterführung der Geschäfte zum Beispiel im Home Office und die entsprechenden Konsequenzen. Denn aus Sicht von Business Continuity schließen sich hier wichtige Fragen an: Sind Hard- und Software verfügbar, sind die IT- und Datensicherheit sowie der Schutz vor Cyber-Angriffen ausreichend?
UD: DNV GL unterstützt Unternehmen im Bereich Business Continuity auf unterschiedliche Arten. Beispielsweise bieten Sie Ihren Kunden Remote-Audits, zahlreiche Informationen über Newsletter und Webinare an oder führen (online) Workshops durch. Was machen Sie auf dem Gebiet außerdem?
Maier: Wir führen Zertifizierungen nach ISO 22301 durch. Aufgrund der aktuellen Situation machen wir das bis zu einem bestimmten Punkt auch online. Je nach Zertifikat müssen wir die Ergebnisse zu einem späteren Zeitpunkt dann vor Ort verifizieren.
Für die Kunden, die wir nicht zertifizieren, bieten wir außerdem zahlreiche Assessment-Services an, um die Stabilität ihrer Krisenmanagements zu beurteilen. Wo sind Lücken in der Ausführung? Wo müssen Pläne nachgebessert werden? Wie kommen die Unternehmen nach einer Krise wieder in den Normalbetrieb? Um ein aktuelles Beispiel zu nennen: Unternehmen müssen sich aufgrund des Corona-Virus Gedanken über ihr Infektionsrisikomanagement machen, um vorschriftsmäßig die Gesundheit von Mitarbeitern und Kunden zu schützen und ihre Geschäftstätigkeit weiterführen zu können. Hierzu bieten wir mit unserem Service „Reifegradbeurteilung des Managements von Infektionsrisiken“ eine unabhängige Beurteilung an. Neben einem ausführlichen Ergebnisbericht und der Reifegraderklärung kann das My Care-Label zur Kommunikation und zum Aufbau von Vertrauen mit Kunden und Mitarbeitern genutzt werden.
UD: Über Ihre Homepage können Interessierte außerdem ein kostenloses Online-Self-Assessment machen, das Auskunft über den Reifegrad Ihres BCM gibt. Wie funktioniert das?
Maier: Das Selbstbewertungs-Tool basiert auf weltweiten Best Practices und den Anforderungen der ISO 22301. Es ist Teil unseres Online-Self-Assessment-Portals, das verschiedene Standards abdeckt. Bei der Durchführung müssen die User Fragen zu Themen wie Führung, Risikomanagement, Produktlebenszyklus, Kommunikation oder Managementsystemen beantworten und erhalten dann einen Statusbericht über ihr BCM. Dieser kann als PDF ausgedruckt werden. Wer Interesse hat, kann im Nachgang dazu mit unseren Experten über Verbesserungspotenziale für sein BCM sprechen.
UD: Vielen Dank für das Gespräch!