Mit Krisen befasst sich niemand gern. Doch wenn es um die Fortführung der Geschäftstätigkeit in einem wie auch immer gearteten Krisenfall geht, müssen Unternehmen sich auch den unangenehmen Fragen zuwenden. Eine dieser unangenehmen Fragen kann lauten: Wie lange dauert es im Fall der Business Discontinuity, bis wir zahlungsunfähig sind? Die Vorbereitung auf diese und ähnliche Fragen ist keine Zeitverschwendung, allein schon, weil sie oft bereits Schwächen in den Prozessen aufdeckt.
Die theoretische Aufbereitung aller Business-Continuity-Belange – und dies betrifft nicht nur die IT – ist zwar notwendig, aber nicht ausreichend, um eine Krise erfolgreich bewältigen zu können. Dem theoretischen – sehr oft akademisch geführten – Teil muss unbedingt der realitätsnahe, praxisorientierte praktische Teil folgen, bei welchem der Krisenleiter und sein Krisenstab anhand von Szenarien seine Kenntnisse und Kompetenzen unter hohem Zeitdruck in einer ungeklärten Situation und mit knappen Ressourcen erweitern und überprüfen lassen kann.
Business Continuity Management (BCM) ist der Aufbau eines leistungsfähigen Notfall- und Krisenmanagements zwecks systematischer Vorbereitung auf die Bewältigung von Schadenereignissen, so dass wichtige Geschäftsprozesse selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens trotz Schadensereignis gesichert bleibt.
Notfallplan auf Unternehmen abstimmen
Das BCM bezeichnet zusammenfassend eine Managementmethode, die anhand eines Lebenszyklus-Modells die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhersehbar erschwerten Bedingungen absichert. Es besteht eine enge Verwandtschaft mit dem Risikomanagement. In den deutschsprachigen Ländern wird das BCM bisweilen als verwandt mit der Informationssicherheit, der IT-Notfallplanung und dem Facility Management angesehen. Verbindungen bestehen auch zum Gedankengut der Corporate Governance.
Um bei Vorfällen beziehungsweise im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden. Es ist primär festzustellen, welche Prozesse unbedingt aufrechterhalten werden müssen sowie welche Massnahmen dafür notwendig sind.
Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden. Eine Massnahme im Zuge einer Business Continuity Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen weiteren Aspekten beschäftigen.
Ziel des Business Continuity Managements ist die Generierung und Proklamation von Prozessdefinitionen und Dokumentation eines betriebsbereiten und dokumentierten Notfallvorsorge-Plans, der exakt auf das individuelle Unternehmen abgestimmt ist, sowie die Sensibilisierung aller Mitarbeitenden auf das Thema «wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation».
Umfassende Unterlagen
Um ein effektives Führungssystem in Krisen aufzubauen, sind zahlreiche Analysen vorzunehmen, Unterlagen zu beschaffen, Prozesse und Krisenorganisation zu definieren und Führungseinrichtungen bereitzustellen.
Die Geschäftsprozesse und Wertschöpfungsketten werden von ihren Eignern systematisch von oben nach unten oder von unten nach oben analysiert, die kritischen Prozesse und deren unterstützenden Ressourcen werden herauskristallisiert, die Risikoanalyse mit potenziellem Schadensausmass und Eintretenswahrscheinlichkeit wird in einer Risikomatrix zusammengestellt, betriebsinterne und -externe Risiken werden in einem Risikoregister aufgeführt, Risiken werden transferiert oder mit mehr oder weniger aufwändigen Massnahmen gänzlich eliminiert oder lediglich reduziert oder das (Rest-)Risiko wird durch die Verantwortlichen aktiv übernommen.
Notfall- und Krisenhandbücher beschreiben ausführlich, wann denn eine Störung, ein Notfall, eine Krise oder sogar eine Katastrophe vorliegt, wie die Alarmierung des Krisenstabes vorgenommen wird, in welchen Fällen gemäss welcher Checkliste vorgegangen werden soll und welche Sofortmassnahmen in welchen Situationen zu ergreifen sind. Die Aufzählung ist hier noch nicht beendet.
Von der Theorie zur Praxis
All diese Unterlagen sind genau soviel wert, wie sie aktualisiert gehalten werden (beispielsweise Prozessabläufe, Namens- und Telefonlisten, Vorfälle und Fastunfälle), wie sie im entscheidenden Moment in der richtigen Form am richtigen Ort verfügbar sind und wie sie von den Verantwortlichen in Krisensituationen angewandt werden können.
In diesen Punkten stellen wir im Rahmen unserer Beratungs- und Lehrtätigkeit sehr oft fest, dass ...
... der «akademische Teil» des Business Continuity Managements oft akribisch genau und umfassend geführt wird, die Unterlagen in einem dicken Ordner im Regal aller Mitglieder des Krisenstabes und auf dem Intranet zur Verfügung stehen,
... man offensichtlich ellenlange Auseinandersetzungen und Definitionen betreffend den einschlägigen Begrifflichkeiten wie Stör-, Not- und Krisenfall, Business Continuity Management respektive Planning, Business Impact Analysis, Disaster Recovery Planning, Business Recovery, Business Resumption etc. vorgenommen hat,
... der Krisenstab zwar namentlich bestimmt ist, jedoch noch nie in seiner Zusammensetzung anhand eines Krisenszenarios das Führungssystem als Ganzes mit den Führungsprozessen, Führungseinrichtungen und Führungskompetenzen eintrainiert hat,
... der Führungsrhythmus, der Problemlösezyklus oder der Stabarbeitsprozess theoretisch bestens bekannt ist, diese Kenntnisse jedoch auf mögliche Vorfälle nicht anzuwenden weiss,
... Mitarbeitende zu Mitgliedern oder sogar zum Krisenleiter erkoren wurden, die sich teilweise oder gänzlich nicht eignen, unter hohem Zeitdruck in einer ungeklärten Lage mit dürftigen Informationen und unzureichenden Ressourcen die richtigen Aktivitäten nach einer tiefgreifenden Analyse vorzunehmen und die wenigen Ressourcen effizient einzusetzen. Oder die sich nachhaltig wehren, Unangenehmes vorausdenken zu wollen, um nicht nur auf Ereignisse zu reagieren, sondern auf verschiedene Lageentwicklungen aktiv agieren zu können.
Realitätsnahe Aus- und Weiterbildung
Mit anfänglich kurzen Krisenstabsübungen, die einzelne Sequenzen des Führungsrhythmus abbilden, kann der Krisenstab Schritt für Schritt mit den notwendigen Führungstätigkeiten vertraut gemacht werden. Diese Übungen beinhalten beispielsweise die Alarmierung des Krisenstabes, das Ergreifen von Sofortmassnahmen, das Erkennen von Krisen aus vorliegenden Stör- und Notfällen, das Entwickeln von unternehmensspezifischen Krisenszenarien, tiefgreifende Situationsanalysen, die effiziente Gliederung des Stabes und weiterer Ressourcen, Informationsbeschaffung und Beurteilung der Situation bis hin zur Entschlussfassung und Auftragserteilung.
Dieses ‹Einturnen› an den einschlägigen Krisenszenarien aus dem Bereich der Naturkatastrophen, des technischen und menschlichen Versagens sowie der Gewaltandrohungen und –anwendungen in den dafür vorgesehenen Räumlichkeiten muss sukzessive in inhaltlich komplexere und zeitlich länger andauernde Krisenübungen überführt werden. Erst dann zeigen sich die Kompetenzen des verantwortlichen Krisenleiters, seines Stellvertreters und seines Stabes bezüglich Durchhaltevermögen, effektiver Umsetzung der Aktivitäten, zeitgerechten Handelns etc.
Wichtige Erkenntnisse aus Vorfällen und Übungen ziehen
Im Nachfolgenden sind ein paar Learnings von Krisenmanagern aufgeführt, welche nach eigenen Aussagen diese Erkenntnisse nur auf Grund von realitätsnah durchgeführten Krisenstabsübungen gewinnen konnten:
- Der Krisenmanager muss die Krise als Ganzes managen und darf sich nicht in Details verlieren. Dabei muss er sich auf sein eingespieltes Team verlassen können. Ständig wechselnde Mitgliedschaften verunmöglichen ein teamorientiertes und vernetztes Arbeiten.
- Wer bei der Situationsanalyse das Potenzial der anwesenden Krisenstabsmitglieder aus Zeitgründen nicht einbeziehen will, läuft Gefahr, wesentliche Elemente der Situation nicht zu erkennen. Diese «Zeiteinsparung» rächt sich in den folgenden Führungsaktivitäten durch meist sehr hohen Zeitaufwand.
- Sofortmassnahmen sind ohne den Entschluss zu präjudizieren zu treffen. Massnahmen, die Entscheide vorwegnehmen, ohne die Lage ausreichend beurteilt zu haben, können die Handlungsfreiheit und einen effizienten Ressourceneinsatz drastisch einschränken.
- Zu viele Sofortmassnahmen führen dazu, dass diese nicht mehr rechtzeitig ausgelöst und umgesetzt werden können. Beim Eintreten eines Ereignisses scheint es oft, dass alles wichtig ist und alles gleichzeitig erledigt werden muss. Der Krisenstab muss die Fähigkeit haben, nur diejenigen Massnahmen sofort zu ergreifen, die wirklich notwendig sind, um zum gewünschten Zeitgewinn zu führen.
- Der Präsenz der obersten Verantwortungsträger des Unternehmens, sei es am Schadensplatz oder als moralische Stütze des Krisenstabes, hat eine sehr hohe Bedeutung. Die psychologische Wichtigkeit dieser Besuche steigt mit zunehmender Dauer der Krise.
- Nur bei länger dauernden Krisenübungen erkennt man die Notwendigkeit von Ablöseplänen, um den Ruhe- und Verpflegungsbedürfnissen der stark beanspruchten Mitglieder des Krisenstabes gerecht zu werden. Dies setzt eine gute Personalplanung und Ausbildung der Stellvertretungen voraus.
- Wer immer nur auf Situationen reagiert, wird die Krise über längere Zeit nicht bewältigen können. Erst wer vorausdenkt, was sich alles noch ereignen kann, kann vorbereitende Massnahmen treffen. Das Konzept mit «Warnlinien» und «Schlüsselereignissen» ist äusserst zweckmässig, um zeitgerecht auf bevorstehende Ereignisse agieren zu können.
- Eine Krise bewältigen zu können bedeutet, nicht nur zu reagieren, sondern den möglichen Krisen einen Schritt voraus zu sein, so dass beim Eintritt des Ereignisses die Massnahmen schon definiert sind.
- Professionelle Kommunikation nach aussen und nach innen ist die halbe Bewältigung der Krise. Wer meint, dies zeitgerecht und professionell mit einem einzigen Krisenstabsmitglied bewältigen zu können, verschätzt sich gewaltig.
- Bereits in der naturgemäss hektischen Anfangsphase muss der Krisenstab durch die Bildung einer Taskforce der Weiterführung beziehungsweise der Wiederherstellung des Geschäftsbetriebes eine besonders hohe Priorität einräumen.
- Wer sich auf einen einzigen Krisenstabsraum fixiert und nicht vorsieht, dass der Krisenstab irgendwo mit einfachsten Mitteln beispielsweise ohne Strom oder ohne Informationssysteme eine Krise managen muss, hat sich nicht auf den schlimmsten Fall vorbreitet. Die Vorbereitungen sind entsprechend auf diesen Fall auszurichten.
Der Autor
Cornel Furrer ist COO und Managing Consultant bei der Swiss Infosec AG (Bern, Zürich und Sursee LU).
