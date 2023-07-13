Unternehmen müssen einen Plan haben, um wieder in die Spur zu kommen, wenn die täglichen Abläufe durch eine Katastrophe unterbrochen werden. Contingency Pläne, die auch als „Business Continuity Plan“, „Pläne zur Notfallabwehr“ und „Wiederherstellungspläne“ bezeichnet werden, helfen Unternehmen bei der Wiederherstellung nach einer Unterbrechung.
Ganz gleich, ob es um die Vorbereitung für einen weltweiten Ausbruch eines tödlichen Virus, um Krisenmanagement im Zusammenhang mit einem Data Breach oder um den Verlust eines wichtigen Kunden geht: Contingency Pläne helfen Unternehmen dabei, sich nach einem negativen Ereignis zu erholen.
Unternehmen entwickeln viele Arten von Strategien für die Wiederherstellung nach allen möglichen Ereignissen – angefangen beim Unternehmenszusammenschluss eines wichtigen Konkurrenten bis hin zur Insolvenz der Bank, über die den Mitarbeitenden ihr Gehalt ausgezahlt wird. In Indien war die Regierung damit beschäftigt, einen Contingency Plan auszuarbeiten, als sich eine Monsunzeit ankündigte, die trockener als erwartet sein würde.¹ Gleichzeitig arbeitete eine große Bank in Hongkong an einem Plan B für den Fall, dass aufgrund der jüngsten geopolitischen Entwicklung eine Reihe neuer Sanktionen verhängt würde.²
Hier sind fünf Schritte, mit denen Firmen effektive geschäftliche Pläne für unvorhersehbare Ereignisse erstellen.
Die Maßnahmenplanung für unvorhersehbare Ereignisse beginnt mit einer Risikobewertung, um die potenziellen Auswirkungen des jeweiligen Risikos abzuschätzen. In der Regel führen Geschäftsführer und Mitarbeiter eine Risikoanalyse durch.
Die Teammitglieder beginnen mit einem Brainstorming, in dem sie über potenzielle Risiken, Vorgehensweisen und die generelle Bereitschaft der Firma sprechen. In dieser Phase ist es wichtig, sich über den Umfang des Projekts im Klaren zu sein und alle relevanten Stakeholder dazu aufzufordern, sich zu beteiligen. Unternehmen müssen nicht für jede Bedrohung, der sie ausgesetzt sind, einen Plan für das Risikomanagementplan erstellen, sondern nur für diejenigen, die als sehr wahrscheinlich gelten und das Potenzial haben, die Geschäftsabläufe zu stören.
Eine effektive Business-Impact-Analyse (BIA) ist entscheidend, um verschiedene Geschäftsfunktionen und deren Reaktion auf nicht erwartete Ereignisse zu verstehen. Während beispielsweise ein Engpass bei Mikroprozessoren für einen Teil eines Unternehmens, der sich mit der Herstellung von Spielekonsolen befasst, verheerend sein kann, hat er wahrscheinlich nur geringe oder gar keine Auswirkungen auf die Personalabteilung desselben Unternehmens.
Um beurteilen zu können, wie dringlich die Erstellung eines Aktionsplans für diese bestimmte Bedrohung ist, müsste das Unternehmen wissen, wie viel Umsatz aus dem Teil des Geschäfts generiert wird, das durch den Engpass zwischen Mikroprozessoren bedroht wird. Wenn Spielekonsolen einen Großteil ihres Umsatzes ausmachen, werden sie bald einen starken Plan umsetzen.
Eine gut durchdachte BIA hilft den Stakeholdern, Risiken zu bewerten und besser zu verstehen, welche Teile ihres Geschäfts für den täglichen Betrieb am kritischsten sind.
Nachdem sie die Risiken, mit denen ihre Firma konfrontiert ist, konfrontiert, die Wahrscheinlichkeit und den Schweregrad eines jeden Risikos ermittelt und eine BIA durchgeführt haben, können Führungskräfte mithilfe eines einfachen Prozesses in drei Schritten einen Backup-Plan entwickeln.
Bestimmung der Trigger, die den Plan in Gang setzen: Angenommen, ein Hurrikan steht bevor. Zu welchem Zeitpunkt wird dann durch den herannahenden Sturm der Plan für unvorhersehbare Ereignisse getriggert? Wenn der Sturm 50 Meilen entfernt ist? Oder vielleicht 100 Meilen? Führungskräfte müssen klare Entscheidungen treffen, damit die Teams, die sie mit der Ausführung betrauen, wissen, wann sie mit den entsprechenden Arbeiten beginnen müssen.
Entwickeln Sie eine angemessene Reaktion: Die Bedrohung, auf die sich das Unternehmen vorbereitet hat, tritt ein. Die Teams müssen genau wissen, was von ihnen erwartet wird, damit eine schnelle Wiederherstellung auf Unternehmensseite erfolgen kann. Sie brauchen klare, leicht zugängliche Anweisungen, leicht zu befolgende Protokolle und einen Weg, über den alle miteinander kommunizieren können.
Klares und gerechtes Delegieren der Verantwortung: Wie jede andere Initiative erfordert auch die Maßnahmenplanung für unvorhersehbare Ereignisse ein effektives Projektmanagement, um erfolgreich zu sein. Im Falle einer existenziellen Bedrohung wie einer Naturkatastrophe muss jeder, der an der Wiederherstellung des Unternehmens beteiligt ist, seine Rolle kennen und entsprechend geschult sein.
So wäre es beispielsweise im Brandfall nicht fair, von Mitarbeitenden, die nicht in der Brandbekämpfung geschult sind, zu erwarten, dass sie einen Schlauch in die Hand nehmen. Mit dem richtigen Training könnten diese Personen jedoch das Personal durchzählen oder von Etage zu Etage gehen, um sicherzustellen, dass andere Mitarbeitende evakuiert wurden.
Eine Möglichkeit, den Workflow im Team beim Entwerfen eines Plans zu verbessern, ist die Erstellung eines RACI-Diagramms. RACI steht für „responsible, accountable, consulted and informed“ – zu Deutsch also „verantwortlich, rechenschaftspflichtig, konsultiert und informiert“. Es handelt sich dabei um einen weit verbreiteten Prozess, der Teams und Einzelpersonen hilft, Verantwortung zu delegieren und in Echtzeit auf Krisen zu reagieren.
Auch wenn es schwer sein kann, zu rechtfertigen, wie wichtig es ist, Finanzmittel für etwas zu investieren, das möglicherweise nie eintreten wird, haben uns die letzten Jahre doch gezeigt, wie wertvoll eine gute Maßnahmenplanung für unvorhersehbare Ereignisse ist. Man denke bloß an all die Lieferkettenprobleme, kritischen Engpässe bei persönlicher Schutzausrüstung und das finanzielle Chaos, die bzw. das durch die Pandemie ausgelöst wurden. Was wäre anders gelaufen, wenn Unternehmen bereits effektive Pläne für unvorhersehbare Ereignisse gehabt hätten?
Kosten und Unsicherheit sind große Hindernisse, wenn es darum geht, Führungskräfte von der Wichtigkeit einer Investition in die Maßnahmenplanung für unvorhersehbare Ereignisse zu überzeugen. Da alle Kosten für Pläne für unvorhersehbare Ereignisse bloß geschätzt werden – schließlich gibt es keine Möglichkeit, genau zu wissen, wie sich Ereignisse auf ein Unternehmen auswirken werden –, sind jene Personen, die die Entscheidungen treffen, verständlicherweise zögerlich.
Dieses Problem wird in verschiedenen Branchen auf unterschiedliche Art und Weise angegangen. Im Bausektor ist es üblich, 10 % des Gesamtbudgets eines Projekts für unvorhergesehene Ausgaben einzuplanen. Andere Branchen nutzen andere Methoden.
Bei einer vielfach eingesetzten Methode werden die Risiken anhand eines Prozentsatzes bewertet, der die Wahrscheinlichkeit ihres Eintretens angibt. Wenn bei dieser Methode ein 25-prozentiges Risiko besteht, dass ein Ereignis eintritt, das Wiederherstellungskosten in Höhe von 200.000 USD verursacht, muss das Unternehmen gemäß seinem Plan für unvorhersehbare Ereignisse 25 Prozent dieser Kosten – hier also 50.000 USD – zurückstellen.
Märkte und Branchen unterliegen einem ständigen Wandel. Das bedeutet, dass die Realität zum Zeitpunkt, an dem ein Plan für unvorhersehbare Ereignisse getriggert wird, ganz anders aussehen kann als die Realität zu dem Zeitpunkt, als der Plan erstellt wurde. Nach den Terroranschlägen des Jahres 9/11 waren beispielsweise viele der Pläne der US-Regierung plötzlich irrelevant, da sie bereits Jahrzehnte zuvor erstellt worden waren.
Um eine ähnliche Diskrepanz zwischen Plänen und Bedrohungen zu vermeiden, müssen Unternehmen ihre Pläne ständig prüfen und neu bewerten. Die Leitlinien von IBM schreiben beispielsweise vor, dass Pläne mindestens einmal jährlich geprüft und bei Bedarf verbessert werden sollen. Wenn neue Risiken entdeckt werden und deren Bewertung und Wahrscheinlichkeit als hoch genug eingestuft werden, können die alten Pläne ganz über Bord geworfen werden.
Wenn Unternehmen von einer unerwarteten Unterbrechung betroffen sind, gibt ein starker Plan für unvorhersehbare Ereignisse dem Wiederherstellungsprozess die dringend benötigte Struktur. Ausfälle verursachen Chaos – Entscheidungsträger und auch die Mitarbeitenden wissen dann oft nicht, was passiert ist und wie sie am besten darauf reagieren sollen. Wenn sie einen starken Plan zur Hand haben, kann das dabei helfen, das Vertrauen wiederherzustellen und die nächsten Schritte aufzuzeigen.
Hier sind einige Vorteile, die Führungskräfte erwarten können, wenn sie starke Pläne für unvorhersehbare Ereignisse erstellen:
Unternehmen, die solide Pläne erstellen, erholen sich schneller von einem Ausfall als Unternehmen, die dies nicht tun. Wenn ein negatives Ereignis eintritt, ist das Risiko für das Unternehmen, seine Kunden und seine Mitarbeitenden umso geringer, je schneller sich die Firma erholt und zur Normalität zurückkehrt.
Ein guter Contingency Plan minimiert den Schaden für ein Unternehmen – sowohl in Bezug auf seinen Ruf als auch mit Blick auf die Finanzen. So wird ein Data Breach zwar zweifellos den Ruf einer Bank schädigen und ihre Geschäftsergebnis schmälern, allerdings wird die Art und Weise, wie die Bank darauf reagiert, eine entscheidende Rolle dabei spielen, ob ihre Kunden weiterhin mit ihr Geschäfte machen.
Viele Unternehmen nutzen einen starken Plan für unvorhersehbare Ereignisse, um Mitarbeitenden und Kunden zu zeigen, dass sie die Vorbereitung ernst nehmen. Indem sie für eine breite Palette potenzieller Schadensereignisse planen, können Führungskräfte Investierenden, Kunden und Workern zeigen, dass sie die notwendigen Schritte zur Risikominimierung unternommen haben.
Viele Pläne legen den Fokus auf Naturkatastrophen wie Überschwemmungen, Erdbeben oder Brände. Andere befassen sich mit Dat Breaches, unerwarteten Netzwerkausfällen oder dem Verlust von wichtigen Mitarbeitenden, beispielsweise eines CEO oder Gründers. Im Folgenden finden Sie einige Beispiele für Pläne für unvorhersehbare Ereignisse, die sich auf ganz unterschiedliche Szenarien in verschiedenen Branchen beziehen.
Schweregrad und Wahrscheinlichkeit des Risikos: Die Hersteller haben die Nachrichten in einer Region verfolgt, aus der sie bestimmte Teile für Luftfahrzeuge beziehen, und haben die Wahrscheinlichkeit von Unterbrechungen dort als „hoch“ eingestuft. Sie suchen zunächst nach einem anderen Anbieter, stellen jedoch schnell fest, dass es Monate oder gar Jahre dauern wird, einen anderen Anbieter zu finden. Da das Teil für die Konstruktion all ihrer Luftfahrzeuge benötigt wird, bewerten sie den Schweregrad dieser Unterbrechung ebenfalls als „hoch“.
Trigger: Anbieter machen den Hersteller darauf aufmerksam, dass ihnen das benötigte Teil aufgrund eines disruptiven geopolitischen Ereignisses im Herkunftsland bald ausgehen wird.
Antwort: Der Hersteller beginnt mit der Suche nach einem neuen Anbieter für das dringend benötigte Teil in einem stabileren Land.
Schweregrad und Wahrscheinlichkeit des Risikos: Die Führungskräfte einer Bank wissen von einer Sicherheitslücke in ihrer App und arbeiten an einem entsprechenden Fix. Wenn die App gehackt wird und ihre Informationssysteme beeinträchtigt sind, verlieren sie wahrscheinlich wichtige Kundendaten. Sie stufen die Wahrscheinlichkeit dieses Ereignisses als „hoch“ ein, da sie als Finanzinstitut ein begehrtes Ziel sind.
Sie wissen auch aus der Beobachtung ähnlicher Situationen bei ihren Konkurrenten, dass die Gefahr einer Unterbrechung ihrer Geschäftstätigkeit bei einem solchen Ereignis groß ist. Sie bewerten den Schweregrad des Risikos also ebenfalls als „hoch“.
Trigger: Die IT-Abteilung macht die Führungskräfte der Bank darauf aufmerksam, dass die App der Bank gehackt wurde und die Daten ihrer Kunden nicht mehr sicher sind.
Antwort: Die App wird sofort abgeschaltet und Kunden werden darüber informiert, dass ihre Daten beeinträchtigt sind. Sie werden über die Maßnahmen informiert, die die Bank ergreift, um sicherzustellen, dass sie Zugang zu ihrem Geld haben und dass ihre personenbezogenen Daten für niemanden im Dark Web verfügbar sind. Ein Bereitschaftsteam von speziell geschulten Sicherheitsexperten wird hinzugezogen, um die Systeme der Bank wiederherzustellen und Kundeninformationen zu sichern.
Schweregrad und Wahrscheinlichkeit des Risikos: Die Führungskräfte der Anlage wissen, dass bei schweren Überschwemmungen ungeklärtes Wasser in die Straßen und in die öffentlichen Wasserläufe der Stadt gelangen könnte. Sowohl der Schweregrad dieses Risikos als auch seine Wahrscheinlichkeit werden angesichts des drohenden Sturms als „hoch“ eingestuft.
Trigger: Der Hurrikan bewegt sich auf die Stadt zu und nähert sich ihr bis auf weniger als 100 Meilen mit Windgeschwindigkeiten, die über dem als „sicher“ eingestuften Schwellenwert liegen. Der Plan für unvorhersehbare Ereignisse der Anlage wird umgesetzt.
Antwort: Alle erforderlichen Worker werden rund um die Uhr in die Anlage zurückgerufen und es werden Maßnahmen ergriffen, um so viel Wasser wie möglich aufzubereiten, bevor der Hurrikan eintrifft. Der Plan sieht vor, dass die verbleibenden Mengen in Haltetanks gepumpt werden, die so konzipiert sind, dass sie einem Hurrikan standhalten. Wenn sich die Windgeschwindigkeiten auf eine bestimmte Geschwindigkeit erhöhen, wird die Anlage abgeschaltet und alle Worker werden evakuiert.
