Business Continuity Management bei Pandemien

INHALTSVERZEICHNIS

II. ABKÜRZUNGSVERZEICHNIS

III. ABBILDUNGSVERZEICHNIS

1 Einleitung
1.1 Diseconomies of risk und zeitgemäße Antworten
1.2 Übersicht zu den einzelnen Kapiteln

2 Business Continuity Management
2.1 Antriebskräfte zur Implementierung
2.2 Integration des BCM in andere Managementprozesse
2.3 Phasen eines idealtypischen BCM-Planungsprozesses
2.3.1 Initiierungsphase
2.3.2 Analysephase
2.3.3 Designphase
2.3.4 Implementierungsphase
2.4 Laufendes BCM vor dem Notfall

3 Pandemien
3.1 Zur Entstehung von Pandemien
3.2 Annahmen eines möglichen Pandemieszenarios

4 BCM in den verschiedenen Stadien einer Pandemie
4.1 Temporale Betrachtung
4.2 Präpandemische Phase
4.2.1 Analyse
4.2.1.1 Identifikation von kritischen Prozessen, Modulen und Bedrohungen
4.2.1.2 Demand Impact Analysis
4.2.2 Design
4.2.2.1 Maßnahmen zur Sicherung der Module
4.2.2.2 Krisenbedingte Initiativen
4.2.3 Implementierung
4.3 Pandemiephase
4.3.1 Phase 5 – Aktivierung
4.3.2 Phase 6 – Akute Krisensituation
4.4 Postpandemische Phase

5 Fazit
5.1 Kritische Würdigung
5.2 Die Krise als Chance

IV. LITERATURVERZEICHNIS
A. Verzeichnis der nicht-elektronischen Quellen
B. Verzeichnis der elektronischen Quellen

II. ABKÜRZUNGSVERZEICHNIS

Abbildung in dieser Leseprobe nicht enthalten

III. ABBILDUNGSVERZEICHNIS

Abbildung 1: Eine mögliche Schnittstellenplanung zwischen RM und BCM

Quelle: Eigene Darstellung

Abbildung 2: Kausalbeziehungen innerhalb eines Störprozesses

Quelle: Eigene Darstellung

Abbildung 3: Laufendes BCM vor Eintritt eines Notfalls

Quelle: Eigene Darstellung

Abbildung 4: Der BCM-Prozess in den verschiedenen Stadien einer Pandemie

Quelle: Eigene Darstellung [WHO-Einteilung in Anlehnung an WHO Phaseneinteilung (2005)]

Abbildung 5: Das Model einer Wertkette

Quelle: Porter, M. E. (1999), S.66

Abbildung 6: Top Earnings Drivers by Industry

Quelle: Monahan, S., Laudicina, P., Attis, D. (2003), “National Association of Corporate Treasurers and FM Global”, S. 11

Abbildung 7: Demand Impact Analysis

Quelle: Eigene Darstellung

Abbildung 8: Modell einer Vertreterregelung

Quelle: Eigene Darstellung

Abbildung 9: Monitoring interner und externer Entwicklungen

Quelle: Eigene Darstellung

1 Einleitung

1.1 Diseconomies of risk und zeitgemäße Antworten

Die Managementtheorien des letzten Jahrzehnts verfolgen nahezu alle die Steigerung der Erträge durch eine gezielte Erhöhung der Effizienz. Ansätze wie „Just-In-Time“, „Global Sourcing”, “Vendor-managed-inventory” und “Outsourcing” sowie der zunehmende Einfluss der Informationstechnologie auf die Geschäftsprozesse erhöhten die Ertragspotentiale der Unternehmen weltweit. Gleichzeitig steigerte diese Entwicklung jedoch auch deren Verwundbarkeit und Größtrisikopotentiale überproportional, was als „diseconomies of risk“ bezeichnet wurde.^[1] Dies bewegte Gesetzgeber und Unternehmenslenker zunehmend, den alten und neuen Risiken der unternehmerischen Tätigkeit in Form eines Risikomanagements (RM) entgegenzutreten, welches „den Fortbestand eines Unternehmens durch Absicherung der Unternehmensziele gegen störende Ereignisse sichern“ soll.^[2]

Der erwartete Schaden eines identifizierten Risikos soll dabei durch den klassischen Mix aus Risikomeidung, -minderung und -transfer auf ein akzeptables Niveau reduziert werden, das als verbleibendes Netto- oder Restrisiko selbst getragen werden kann.

Dieses Vorgehen stößt jedoch bei Bedingungsrisiken mit hohem Schadenpotential und einer geringen Eintrittswahrscheinlichkeit (High-Impact-Low-Frequency, H.I.L.F.-Risiken), wie Terrorismus oder nuklearen Zwischenfällen, an Grenzen. Da Bedingungsrisiken aus nicht gestaltbaren Rahmenbedingungen des Unternehmens resultieren, ist eine Einflussnahme auf die Eintrittswahrscheinlichkeit sowie die bewusste Meidung des Risikos auszuschließen. Somit reduzieren sich die Möglichkeiten auf wirkungsbezogene Maßnahmen zur Risikominderung sowie den Risikotransfer. Letzterer erfordert jedoch eine exakte Bewertung des erwarteten Schadens, was aufgrund des Mangels an Erfahrungswerten (Low Frequency) schwierig ist. Folglich lassen sich kaum Zessionare finden, die diese Risiken zu einem angemessenen Preis übernehmen würden. Ohnehin nicht transferierbar sind dabei qualitative Risiken, die den Verlust menschlichen Lebens, der Reputation des Unternehmens oder eine drohende Schließung des Geschäftsbetriebes beinhalten.

Daher wird es im Ernstfall unabwendbar, das gesamte qualitative und quantitative Schadenpotential allein mit den wirkungsbezogenen Maßnahmen der Risikominderung zu bewältigen.

Business Continuity Management (BCM) ist ein ganzheitlicher Managementprozess, welcher durch Planung präventiver Maßnahmen, gezielte Vorbereitung eines Notfall- und Krisenmanagements sowie unverzüglicher Wiederherstellung unterbrochener Prozesse die Stabilität einer Organisation in Notlagen gewährleisten und eine Unterbrechung des Geschäftsbetriebs trotz widriger Umstände vermeiden soll.^[3] Dieser Ansatz wurde in unternehmerischem Kontext Mitte der 1980er Jahre in den USA zum ersten Mal unter dem Namen „Disaster Recovery“ bekannt und sollte dem Risiko eines Ausfalls der Informationstechnologie, das mit zunehmender Abhängigkeit der unternehmerischen Prozesse zu einem schwer beherrschbaren Potential herangewachsen war, begegnen. Erst Mitte der 1990er Jahre führte eine Reihe von Katastrophen dazu, diese Notfallplanung auf weitere Risiken auszuweiten. Als am 11. September 2001 zwei Flugzeuge in die Zwillingstürme des World Trade Centers stürzten, hatte keines der dort ansässigen Unternehmen einen Notfallplan für ein solches Szenario entwickelt. Dass dennoch einige Unternehmen wie Morgan Stanley, Cantor Fitzgerald oder American Express innerhalb weniger Stunden wieder den Geschäftsbetrieb fortsetzen konnten, verdanken sie der Vorbereitung auf verschiedene Zwischenfälle, die neben einem Ausfall der IT beispielsweise auch den Verlust von Betriebsgebäuden als mögliches Szenario in Betracht zogen.^[4]

Die veränderte Risikowahrnehmung nach dem 11. September 2001 verstärkte in den folgenden Jahren weltweit die Bemühungen zur Entwicklung diverser Ansätze und Richtlinien, in welcher Form BCM gestaltet werden müsse, um vergleichbaren Risiken adäquat begegnen zu können.^[5] In Ermangelung eines einheitlichen Standards weisen diese jedoch zum Teil grundlegende Unterschiede im Bezug auf Vollständigkeit und Detaillierungsgrad auf, was den Erfolg stark vom zugrunde gelegten Ansatz abhängig macht.

Mit der seit 2003 verstärkten Diskussion um Pandemien, der weltweiten Ausbreitung einer Infektionskrankheit, rückt nun ein weiteres Risiko in den Fokus der unternehmerischen Planung, das neue Anforderungen an die bestehenden Ansätze stellt. Diese konzentrieren sich bisher immer auf eine häufig unvorhersehbare, zu einem bestimmten Zeitpunkt eintretende Zerstörung meist lokaler Infrastrukturen und deren daraufhin notwendige Wiederherstellung innerhalb einer vorgegebenen Zeit. Die pandemische Bedrohung ist jedoch durch einen sich langsam anbahnenden und lang anhaltenden Notfallzeitraum gekennzeichnet, welcher vorrangig Ressourcen zerstört bzw. in ihrer Verfügbarkeit einschränkt und sich nicht auf das Unternehmen beschränkt, sondern nahezu alle Bereiche der Erde umfasst. Aufgrund seiner Komplexität, seines Schadenpotentials und der für bisherige Überlegungen neuartigen Notfallstruktur könnte das Risiko einer Pandemie zu einer Feuerprobe für das Business Continuity Management und die bisherigen Ansätze zu dieser Thematik werden.

1.2 Übersicht zu den einzelnen Kapiteln

Das vorliegende Buch untersucht auf Basis der bisher am weitesten verbreiteten Ansätze, wie BCM im Hinblick auf eine Pandemie erfolgen müsste, um das Ziel – Kontinuität der betrieblichen Kernfunktionen – sicherzustellen.

Dazu werden im 2. Kapitel zunächst die weniger offensichtlichen Beweggründe zur Implementierung eines BCM sowie dessen Schnittstellen zu anderen Managementprozessen dargestellt. Danach werden die verschiedenen Ausführungen und Richtlinien aus Europa, den Vereinigten Staaten, Japan, China und Südostasien zu einem generellen Vorgehen im Rahmen eines „idealtypischen BCM-Planungsprozesses“ sowie dem kontinuierlichen BCM vor einem Notfall verdichtet.

Das 3. Kapitel führt die Pandemie als Risiko ein und beschreibt die Wege ihrer Entstehung als Grundlage für internationale Einteilungen zur Einstufung der jeweiligen Gefährdung. Das Kapitel endet mit den aktuellen Annahmen zur Szenario-Entwicklung einer Pandemie in der Gegenwart.

Im 4. Kapitel wird der zuvor entwickelte „idealtypische BCM-Planungsprozess“ ohne Beschränkung auf eine bestimmte Branche an allgemein gültigen Modellen konkretisiert. Besonderheiten, die im Bezug auf die im 3. Kapitel gezeigten Annahmen als notwendig erscheinen, werden dabei ergänzt und entsprechend erläutert.

Das Buch schließt mit einem Fazit, welches sowohl eine kritische Würdigung der Eignung des BCM zur Bewältigung einer Pandemie als auch für bisher unbekannte Risiken beinhaltet. Abgerundet wird das Fazit durch die Klärung der Fragen, wie es möglich und weshalb es notwendig ist, die in der Krise einer Pandemie inhärente Chance zu nutzen und so möglicherweise wirtschaftlich gestärkt daraus hervorzugehen.

2 Business Continuity Management

2.1 Antriebskräfte zur Implementierung

Scheint es auch im ersten Moment selbstverständlich, dass Unternehmenslenker auch ohne gesetzliche Verpflichtungen wie dem § 91 Abs. 2 AktG alles daran setzen den Fortbestand ihres Unternehmens gegen existenzbedrohende Ereignisse zu schützen, so zeigt sich in der Realität, gerade bei der Trennung von Eigentum und Leitung eines Unternehmens, dass die Motivatoren zur Sicherung des Fortbestandes in erster Linie extrinsischer Natur sind. Zwar haben Ereignisse wie terroristische Angriffe, extreme Naturkatastrophen und die wiederholte Gefahr von Seuchen in der jüngeren Vergangenheit bei vielen Unternehmen die Sensibilität für derartige Risiken erhöht, „der größte Antrieb in BC zu investieren, ist (jedoch) tatsächlich die Einhaltung von Vorschriften.“^[6] Eine Tendenz, die bereits aus dem Risikomanagement bekannt ist, wenngleich in Umfragen die Erfüllung externer Vorgaben als Antrieb für die Implementierung eines BCM im Verhältnis zu einer Vielzahl von Pullfaktoren wie dem Schutz von Mitarbeitern oder der Steigerung der Produktivität nur mit 16 % bewertet wurde.^[7] Für einige Unternehmen mit besonderer Bedeutung oder Gefahrenpotential für die Gesellschaft haben Gesetzgeber und Aufsichtsorgane die Vorbereitung auf Störungen der Betriebstätigkeit bereits explizit vorgeschrieben. Hierzu gehören neben der Finanzdienstleistungsbranche, die mehr als 1700 der Störfallverordnung unterliegenden Industrieanlagen sowie alle an der NYSE gelisteten Unternehmen.^[8]

Doch der Druck von außen nimmt auch für diejenigen Unternehmen stetig zu, die nicht zu einer regulierten Branche gehören.

So fordern Versicherer zunehmend die Einrichtung eines BCM als Vorraussetzung für die Übernahme von Betriebsunterbrechungsrisiken und einige lassen sich dieses sogar von einem Wirtschaftsprüfer testieren.^[9] Auch auf Seiten der Kapitalgeber wird BCM verstärkt gefordert. So verteuern sich im Zuge der Baseler Eigenkapitalverordnung beispielsweise die Kredite für ungesicherte Unternehmen, und Ratingagenturen wie AM Best vergeben Ratings im Investmentgradebereich nur noch, wenn ein Unternehmen zeigen kann, dass es Katastrophenereignisse zu meistern imstande ist, wobei sich die Szenarien auf zurückliegende Perioden von teilweise 250 Jahren beziehen.^[10] Im speziellen Falle von Pandemien dürfte sich dieser Effekt bei Banken und Versicherern noch verstärken, wenn sich die Erkenntnis durchsetzt, dass die Pandemie als Kumulrisiko betrachtet werden kann. So würde bei einem Krankenversicherer schon der lokale Ausbruch einer ansteckenden Krankheit zu einem erhöhten Schadenbedarf durch Ansteckung innerhalb des versicherten Kollektivs führen. Da die Kapitalanlagen für diese Risiken nach dem in der Anlageverordnung^[11] vorgeschriebenen Grundsatz der Belegenheit im gleichen Land bestehen müssen, würde ein gleichzeitig steigendes Marktrisiko diesen Effekt aktivseitig noch verstärken. Gleiches gilt für Banken im Rahmen des Kontrahentenrisikos aus bestehenden Kreditforderungen und dem Marktrisiko der Kapitalanlagen.

Nicht zuletzt versetzt gerade bei gewerblichen Kunden der verstärkte Einsatz von BCM als Wettbewerbsvorteil konkurrierende Unternehmen bei der Akquise von Neukunden in Zugzwang.^[12] Der für 2007 erwartete zweite Teil des britischen BCM-Standards BS25999 könnte diesen äußeren Druck auf die Unternehmen noch weiter verstärken, da dann voraussichtlich ein europäischer Standard verfügbar ist, anhand dessen unabhängige Prüfer das BCM eines Unternehmens einheitlich zertifizieren können.^[13]

2.2 Integration des BCM in andere Managementprozesse

Unternehmerisches Handeln wird zwangsläufig immer von diversen Gefahren, also dem Risiko einer negativen Abweichung von der erwarteten Entwicklung, begleitet.^[14] Diese können unterschiedlichster Natur sein und bei ihrem Eintreten Ausmaße von Bagatellschäden bis zur Existenzzerstörung annehmen. Wenn ein Ereignis eingetreten ist, das existenzbedrohende Ausmaße anzunehmen imstande ist, spricht man sowohl in der Medizin als auch in der Betriebswirtschaft von einem Notfall.^[15] Ein solcher Notfall erfordert zur Verhinderung einer Verschlechterung der Situation immer ein schnelles und wirksames Eingreifen, das so genannte Notfallmanagement.^[16]

Sind die geeigneten Sofortmaßnahmen nicht offensichtlich, so kann es für die Beteiligten schwierig werden, wirksam zu reagieren. Häufig kann durch falsches Handeln die Situation dramatisch verschlimmert werden, bis sie subjektiv als „Katastrophe“ wahrgenommen wird. Das Gefühl, mit einem Notfall oder einer gefährlichen Situation aus der Ermangelung wahrgenommener Handlungsmöglichkeiten heraus nicht richtig umgehen zu können, wird allgemein als Krise bezeichnet. Krisenmanagement steht für einen Prozess der Analyse der gegenwärtigen Situation mit dem Ziel Handlungsalternativen zu identifizieren und Gegenmaßnahmen zu beschließen. Es handelt sich dabei also in erster Linie um einen Prozess zur Entscheidungsfindung.^[17]

Unabhängig davon wie gut oder schlecht es den Beteiligten gelingt einen Notfall zu managen, bedeutet das bloße Eintreten des Notfalls oft schon den Verlust oder die Verletzung von menschlichem Leben, finanziellen oder substantiellen Vermögenswerten, Reputation und Ansehen sowie eine erhebliche Störung des gewöhnlichen Arbeitsablaufes mit zunehmender Verschlimmerung im Zeitablauf. Das Risikomanagement hat die Aufgabe „Risiken, die die Vermögens-, Finanz- oder Ertragslage eines Unternehmens (…) gefährden könnten“ zu identifizieren, zu quantifizieren und wirtschaftlich sinnvoll abzusichern.^[18] Auf diese Weise sollen Notfälle gar nicht erst entstehen und das Notfall- und Krisenmanagement muss nicht zum Einsatz kommen.

Da dies jedoch, wie bereits in der Einleitung gezeigt, nicht immer möglich bzw. aus wirtschaftlichen Gründen gewünscht ist, verbleiben dennoch Risiken, die, sofern sie schlagend werden, in einem ernsthaften Notfall resultieren. Das dann wieder notwendige Notfallmanagement kann jedoch im Vorfeld gestärkt und strategisch vorbereitet werden, indem das erwartete Szenario bereits am Reißbrett durchgespielt und Strategien sowie Gegenmaßnahmen detailliert ausgearbeitet und vorbereitet werden. Business Continuity Management schlägt somit die Brücke vom Risiko- zum Krisenmanagement und versucht nicht in erster Linie, Notfälle zu vermeiden, sondern das Unternehmen sicher durch den Notfall zu navigieren, ohne dass die Geschäftprozesse durch diesen unterbrochen werden. Die Notwendigkeit der schnellen Entscheidungsfindung durch das Krisenmanagement wird durch die vorbereitete Verfügbarkeit von Sofortmaßnahmen zeitlich nach hinten verlagert.

Die Positionierung und die Hierarchie des BCM zum eventuell im Unternehmen bereits bestehenden und in seinen Aufgaben sehr ähnlichen Risikomanagement werden von den Vertretern der verschiedenen Disziplinen sehr kontrovers diskutiert. So wurde RM beispielsweise als reine Funktion zur Identifikation und Bewertung der Risiken innerhalb der Analyse des BCM bezeichnet.^[19] Es ist jedoch der Trend zu beobachten, BCM als Teil des RM zu definieren. Bezeichnete das Business Continuity Institute BCM in seiner Version der „Good Practice Guidelines“ von 2002 aufgrund der vielfältigen Verflechtungen noch als „unifying process“, der auch das RM subsumiert, so fehlt diese Grafik in der Version von 2005.^[20] Der Baseler Ausschuss für Bankenaufsicht hingegen fügte dem Consultative Paper der „High Level Principles for Business Continuity“ in der Endfassung von 2006 den Passus „a significant component of operational risk management“ hinzu.^[21] Letzteres könnte aus der Beobachtung resultieren, dass sich zwar nahezu alle im Rahmen des BCM abgedeckten Risiken von der Definition des operationellen Risikos als „Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen oder in Folge externer Ereignisse eintreten“, erfassen lassen, darüber hinaus jedoch noch eine große Anzahl solcher operationeller Risiken nicht vom BCM behandelt werden.^[22] Zur Klärung soll bereits an dieser Stelle die Terminologie von Haller eingeführt werden, welche den „Störprozess“ auf fünf Grundelemente reduziert. „Er enthält die Elemente der Störquelle, der Störungsart, des Störungsobjektes und der gestörten Vollzugsprozesse, die in ihrer Gesamtwirkung die Zielabweichungen bewirken.“^[23]

Während das operationelle Risikomanagement auf die Störquellen fokussiert ist, versucht BCM eine Störung des Vollzugsprozesses zu vermeiden. Zwischen diesen beiden Punkten liegen mehrere Stufen mit je einer Kombination aus Störungsart und Störungsobjekt, die in Form von Folgeschäden verknüpft sind. Dieser grundlegende Unterschied im Ansatz bewirkt die teilweise Überschneidung der dabei abgedeckten Risiken bzw. Störquellen, da nicht jedes Risiko imstande ist, einen Vollzugsprozess zu stören bzw. zu unterbrechen.^[24] Somit wäre es sogar möglich, dass RM und BCM aus zwei Richtungen denselben Schadenprozess zu reduzieren versuchen. Beispielsweise können die Verluste aus dem Risiko eines Hurricanes vom Risikomanagement durch Risikominderung und -transfer auf ein finanziell tragbares Nettorisiko reduziert werden. Da die Geschäftsprozesse durch die eingeschränkte Nutzbarkeit von Räumlichkeiten und öffentlichen Verkehrsmitteln dennoch unterbrochen wären, könnte dies im Rahmen des BCM Anlass zur Entwicklung entsprechender Maßnahmen und Notfallpläne geben. Zur nachhaltigen Sicherung eines Unternehmens sind ein abgestimmtes Zusammenspiel dieser sich gegenseitig ergänzenden Managementprozesse sowie eine exakte Schnittstellenplanung zur Vermeidung von Redundanzen erforderlich.

Abbildung 1 verdeutlicht anhand eines Ablaufdiagramms eine mögliche Schnittstellenplanung zwischen RM und BCM.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Eine mögliche Schnittstellenplanung zwischen RM und BCM.

Quelle: Eigene Darstellung

Die Vielfältigkeit der möglichen Szenarien erfordert bei der Entwicklung konkreter Maßnahmen neben Risiko-, Notfall- und Krisenmanagement, Schnittstellen mit diversen weiteren Managementprozessen. So wird bei der Planung von Sofortmaßnahmen für ein Schadenereignis das Facility Management oder das Umweltmanagement und zur Sicherung der Ressourcen das Supply Chain Management und das Personalwesen (HRM) in Verbindung mit dem Gesundheits- und Sicherheitsmanagement, sowie dem Arbeitsschutz in die Planung integriert.^[25] Die Sicherung von bestehendem Wissen und Daten ist Aufgabe des Wissensmanagements sowie der Informationssicherheit (IT Security).

Die entwickelten Maßnahmen münden in einen Business Continuity Plan (BCP), der, auch bekannt als Business Recovery Plan, Desaster Recovery Plan, Business Contingency Plan, Business Process Contingency Plan, Business Resumption Plan oder Continuity of Operations Plan, die Ergebnisse der Planung strukturiert darstellt.^[26] Dies erfordert im weiteren Verlauf eine Verknüpfung mit zusätzlichen Managementprozessen. So wird im Rahmen der Aktualisierung der Pläne beispielsweise eine Einbettung in das Änderungsmanagement (Change Management) wichtig. Die Rolle der Unternehmenskommunikation wird spätestens bei Eintritt eines Notfalls deutlich und muss gleichermaßen Berücksichtigung finden.

In Literatur und Praxis stößt man darüber hinaus unweigerlich auf weitere Ansätze wie Business Continuity Planning, Business Contingency Planning, Incident Management oder Special Situation Management.^[27] Diese Begriffe werden jedoch größtenteils synonym verwendet und dienen in erster Linie diversen kommerziellen Anbietern auf diesem Gebiet, um sich vom Wettbewerb abzuheben. Teilweise ebenfalls synonym, manchmal abgegrenzt als die technische Seite des BCM werden weiterhin die Begriffe Disaster Recovery Planning, Business Resumption Planning, Corporate Contingency Planning, Business Interruption Planning oder Disaster Preparedness angeführt.^[28]

2.3 Phasen eines idealtypischen BCM-Planungsprozesses

Wenngleich auch in Deutschland bislang kein allgemein gültiger Standard für Business Continuity Management erarbeitet wurde, bestehen doch weltweit diverse Überlegungen und Ansätze zu Aufbau und Ablauf desgleichen. Das vorliegende Kapitel fasst die Ansätze und Empfehlungen des Business Continuity Institute (England), des British Standard Institute (England), des Disaster Recovery Institute International (USA), der ASIS International (USA), der National Fire Protection Agency (USA), des Baseler Ausschusses für Bankenaufsicht (Schweiz), der Monetary Authority of Singapore, der Hong Kong Monetary Authority, der Bank of Japan sowie des U.S. Homeland Security Council des Weißen Hauses in ihren wesentlichen Punkten zusammen. Die Ergebnisse einzelner Unterpunkte werden zusätzlich durch die Ausführungen verschiedener Autoren validiert bzw. ergänzt.

2.3.1 Initiierungsphase

In welcher Form ein BCM-Prozess abläuft, hängt entscheidend davon ab, ob ein ähnlicher Bereich, wie z. B. das RM, bereits im Unternehmen existiert und ob das BCM selbst noch implementiert werden muss. Ist letzteres der Fall, sind Führungskräfte geneigt, BCM als Projekt aufzusetzen, um den Kosten- und Zeitrahmen überschaubar zu halten. Dies hat jedoch häufig zur Folge, dass das „Projekt“ mit einem Notfallplan als beendet angesehen wird und dieser in der Folge zu einem unbrauchbaren Stück Papier veraltet, welches im Notfall wertlos sein wird.^[29] Deshalb sollte ein als Projekt gestartetes BCM in ein Programm überführt werden, welches einen fortlaufenden Prozess garantiert. Die ersten Schritte sind jedoch stets identisch und sollen als zentrale Bestandteile jedes Projektmanagements hier nur kurz erwähnt werden. Es müssen Verantwortlichkeiten und Budgets sowie der Zeithorizont für wichtige Meilensteine festgelegt und schriftlich fixiert werden.^[30] Von Beginn an sollte wenigstens ein Mitglied der Geschäftsleitung die Verantwortung für das BCM übernehmen, um sicherzustellen, dass Entscheidungen auf angemessenem Level getroffen werden können.^[31] Inhalt und Umfang (Scope) sowie Zielerwartungen müssen definiert und je nach Größe und Komplexität des Unternehmens für das „Projekt“ benötigte Ressourcen jeglicher Art ermittelt und beschafft werden. Um ein einwandfreies Reporting zu gewährleisten, müssen die Kommunikationswege und -inhalte festgelegt und die Ergebnisse in einem Projektplan dokumentiert werden.^[32] Dem bloßen Projektansatz vorzuziehen wäre jedoch die organisatorische Berücksichtigung einer festen BC-Stelle im Unternehmen und ein Einbinden in die bestehenden Managementprozesse, da sich BCM nur als fest verankerter Bestandteil des täglichen Geschäfts in die Kultur einer Unternehmung integrieren und zu nachhaltigen Ergebnissen führen kann.^[33]

2.3.2 Analysephase

Die Analysephase beschäftigt sich zunächst ausschließlich mit der Unternehmung an sich, „ohne Bezug zu einer Unterbrechungsursache“^[34] herzustellen. In der Organisationsanalyse oder auch Business Area Analysis (BAA) werden die Ziele und Verpflichtungen der Unternehmung sowie die Ausrichtung der Geschäftspläne für die nächsten Jahre untersucht und im Anschluss Kernprodukte und Dienstleistungen benannt, mit denen diese Ziele erreicht werden sollen. Dabei ist zu beachten, dass Kunden möglicherweise neben der reinen Verfügbarkeit der Produkte weitere Leistungsanforderungen wie die Erreichbarkeit, Geschwindigkeit, Reputation und Qualität mit allen bekannten Ausprägungen wie Verlässlichkeit, Pünktlichkeit und Lieferservice an den Output des Unternehmens haben.

Eine detaillierte Prozessanalyse identifiziert alle Aktivitäten und unterstützenden Prozesse, die für eine Bereitstellung des Outputs notwendig sind.^[35] Diese müssen in kritische und unkritische Prozesse unterteilt werden, wobei kritisch bedeutet, dass ein Ausfall dieses Prozesses verhältnismäßig schnell zu einem hohen Schaden führen würde.^[36] Ein wichtiger Bestandteil ist dabei die Identifikation sämtlicher Ressourcen, die in Form von Personal, Gebäuden, speziellem Wissen, Informationen, Infrastrukturen, Geräten, Roh-, Hilfs- und Betriebsstoffen usw. benötigt werden, sowie Mengen und Zeitrahmen in denen sie verfügbar sein müssen.^[37] Diese Ressourcenliste muss sowohl für den Normalbetrieb als auch in Form einer absoluten Mindestmenge für einen zeitlich determinierten Notbetrieb erstellt werden, sofern dieser als ausreichend angesehen wird.

Die Folgeschädenanalyse oder Business Impact Analysis (BIA) untersucht mit Hilfe von Workshops, Fragebögen und Interviews die Auswirkungen des Ausfalls eines Prozesses auf nachgelagerte Prozesse.^[38] So wird für jeden Prozess die maximal tolerierbare Ausfallzeit (MAO) und ein Mindestmaß an Leistung für einen Notbetrieb bestimmt. Da die MAO saisonale oder periodische Schwankungen aufweisen kann, ist stets das Worst Case-Szenario anzunehmen.^[39] In Abstimmung mit der Geschäftsleitung (GL) wird festgelegt, zu welchem Zeitpunkt nach einem Ereignis (RPO) oder innerhalb welcher Zeitspanne (RTO)^[40] ein Prozess wieder hergestellt sein muss. Aus der Zeit einer rein informationstechnischen Betrachtungsweise des BCM stammen noch häufig anzutreffende Differenzierungen, nach denen sich das RTO auf die Wiederherstellung eines Prozesses bzw. einer Infrastruktureinheit und das RPO auf den Zeitpunkt einer Wiederherstellung von Daten bezieht.

Gleichzeitig wird versucht, die Unterbrechungen der Prozesse monetär zu bewerten, wobei die Einführung von eigenen Maßzahlen hilfreich sein kann. Einige Unternehmen entwickelten hierzu beispielsweise spezielle Berechnungen eines Betriebsunterbrechungswertes (BIV) oder einer Betriebsunterbrechungszeit (BIT), die beide einen potentiellen Schaden in Dollar ausdrücken.^[41]

Punktuelle Schwachstellen und „Flaschenhälse“, deren Ausfall einen oder mehrere Prozesse unterbrechen würde (Single points of failure) und Abhängigkeiten von externen Prozessen anderer Anbieter (Dienstleister, Outsourcer etc.) sind dabei für die weitere Planung besonders zu untersuchen.^[42] Anhand ihrer RPOs und RTOs können die zuvor als kritisch eingestuften Prozesse nach ihrer Dringlichkeit in eine Reihenfolge gebracht werden, die im Notfall die Priorisierung zum Wiederanlauf bestimmt. Der Begriff Wiederanlauf (WDA) steht dabei für die Phase des Übergangs in den Notbetrieb und Wiederherstellung (WDH) bezeichnet die Phase der vollständigen Rückkehr zum ursprünglichen Normalbetrieb.

Risikoidentifikation und Risikobewertung stellen in den meisten Ansätzen den letzten Punkt der Analyse dar.^[43] Sofern bereits ein RM vorhanden ist, muss an dieser Stelle in besonderem Maße auf die Schnittstellenplanung geachtet werden, um redundante Arbeitsschritte zu vermeiden.^[44] Auf Basis der in der BIA ermittelten kritischen Prozesse ist zu prüfen, welche Risiken in der Lage wären, diese zu unterbrechen. Der daraus resultierende Schaden kann als BIV oder BIT berechnet und bewertet werden. Die erwarteten Häufigkeiten sind für das BCM nur von Interesse, um die Maßnahmenplanung auf Basis eines Kosten/Nutzen-Prinzips gestalten zu können und dienen nicht wie im RM einer Vorselektion, ob ein Risiko besichert werden sollte oder nicht. Den Fokus bilden nach wie vor die gestörten Vollzugsprozesse und nicht die Störquellen. Die Risikoanalyse des BCM stellt somit einen sehr fokussierten Ausschnitt der im RM üblicherweise praktizierten Analysemethoden dar.

[...]

---

^[1] Vgl. Haller, M., Wehowsky, S. (2001), S. 3, Haller, M. (2006)

^[2] Romeike, F. / Müller-Reichart, M. (2005), S. 397

^[3] Vgl. Monahan, S., Laudicina, P., Attis, D. (2003), S. 11, HKMA (2002), S. 8, Basel Committee on Banking Supervision (2006), S. 1, BCI (2005), S. 5

^[4] Vgl. Stohr, E.A. / Rohmeyer, P. (2004), S. 1

^[5] Vgl. Bank of Japan (2003), S. 2, HKMA (2002), S. 3, 1.2.1

^[6] AT&T/Cisco (2005), S. 3

^[7] Vgl. BCI/IMP Events (2005), Table 7

^[8] Vgl. für Finanzdienstleistungsunternehmen: MaRisk AT 7.3 Tz.1 und 2, Anlage1,

für Unternehmen, die der Störfallverordnung unterliegen: Zwölfte Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes (BImSchV 12 2000), für Unternehmen an der NYSE: U.S. Securities and Exchange Commission, NYSE Rule 446

^[9] Vgl. o.V., Handelsblatt, (2006), AT&T / Cisco (2005), S.2

^[10] Vgl. Shah, Hemant/Nakada, Peter (1999) zitiert nach: AM Best „Exposing Catastrophe Risk“ (1999), S.2, vgl. auch IAS-Stiftung (2006), S. 3

^[11] Vgl. Verordnung über die Anlage des gebundenen Vermögens von Versicherungsuntern. (2004)

^[12] Vgl. BCI (2005), S. 6

^[13] Vgl. Sharp, John (o.J.)

^[14] „Risiko“ wird im Rahmen dieser Arbeit, mit Ausnahme des Kapitels 5.2, immer als Risiko im engeren Sinne, also als rein negative Abweichung vom Erwartungswert, verstanden.

^[15] Vgl. Universität Mainz (2006), Nr.15.9.1, Brauner, C. (2001), S. 13

^[16] Vgl. Brauner, C. (2001), S. 13

^[17] Vgl. Brauner, C. (2001), S. 13

^[18] RiskNet (2006), Glossar

^[19] Vgl. McCrackan, A. (2004)

^[20] Vgl. BCI (2005) und BCI-GPG (2002), S. 3

^[21] Vgl. Basel Committee on Banking Supervision (2005), S. 7 und Basel Committee on Banking Supervision (2006), S. 7

^[22] Baseler Ausschuss für Bankenaufsicht (2004), S. 157, Bundesministerium der Finanzen (2006), S. 231, §269(1)

^[23] Haller, M., Wehowsky, S. (2001), S. 4

^[24] Siehe hierzu auch Abb.2: „Kausalbeziehungen innerhalb eines Störprozesses“ auf Seite 28.

^[25] Vgl. von Rössing (2005), S. 37

^[26] Vgl. SearchSecurity (2006), DRJ/DRII (o.J.), BCI (2002), S. 231

^[27] Vgl. Brauner, C. (2001), S. 7

^[28] Vgl. BCI (2002), S. 233, DRJ/DRII (o.J)

^[29] Vgl. Auf der Heide, E. (1989), S. 23-24

^[30] Vgl. DRII (2004), Subject Area 1

^[31] Vgl. Emergency Preparedness (2004), S. 82 Nr.6.49, Basel Committee on Banking Supervision (2005), S. 12, HKMA (2002), 2.1.1, MAS (2003), S. 6, IMF 2006, S. 14-15, ASIS (2005), S. 10

^[32] Vgl. Duncan, W. R. (1996), S.107-110, DRII (2003), step 6

^[33] Vgl. MAS (2003), S. 7, BCI (2005), S. 5

^[34] BCI (2005), S. 21

^[35] Vgl. Emergency Preparedness (2004), 6.57, BSI (2006), S.18, 7.1.2, BCI (2005), S. 19

^[36] Vgl. von Rössing, R. (2005), S. 74

^[37] Vgl. NFPA (2004), 5.5.2 (1) und (2), BCI (2005), S. 26

^[38] Vgl. ASIS (2005), S. 12, Ernst & Young (2006), S. 6

^[39] Vgl. BCI (2005), S. 24

^[40] Vgl. Bank of Japan (2003), S.9

^[41] Vgl. Zsidisin, G. A./ Ragatz, G. L. (2003), S. 14

^[42] Vgl. MAS (2003), 2.5.2

^[43] Vgl. BCI (2005), S. 28, BSI (2006), S. 20

^[44] Vgl. Abb.1 auf Seite 18.