Beispiele für Notfallpläne: Eine Schritt-für-Schritt-Anleitung, die Ihrem Unternehmen hilft, sich auf das Unerwartete vorzubereiten

Unternehmen werden oft danach beurteilt, wie sie mit Ereignissen umgehen, die außerhalb ihrer Kontrolle liegen. Zum Beispiel kann Ihre Reaktion auf eine disruptive Technologie oder der Umgang mit einer plötzlichen Veränderung auf dem Markt über Erfolg oder Misserfolg entscheiden.

Contingency Planning ist die Kunst der Vorbereitung auf das Unerwartete. Aber wo fangen Sie an und wie unterscheiden Sie zwischen den Bedrohungen, die Ihrem Unternehmen wirklich schaden könnten, und denen, die nicht so kritisch sind?

Hier finden Sie einige wichtige Definitionen, Best Practices und aussagekräftige Beispiele, die Ihnen bei der Erstellung von Notfallplänen für alle Eventualitäten in Ihrem Unternehmen helfen.

Geschäftliche Pläne für unvorhersehbare Ereignisse, auch als Geschäftskontinuitätspläne oder Notfallpläne bekannt, sind Aktionspläne, die Unternehmen dabei helfen, nach einer unbeabsichtigten Unterbrechung den normalen Geschäftsbetrieb wieder aufzunehmen. Unternehmen erstellen Notfallpläne, um auf eine Vielzahl von Bedrohungen vorbereitet zu sein, darunter Naturkatastrophen, ungeplante Ausfallzeiten, Datenverluste, Netzwerkverletzungen und plötzliche Veränderungen der Kundennachfrage.

Ein guter Ausgangspunkt ist eine Reihe von „Was wäre wenn“-Fragen, die verschiedene Worst-Case-Szenarien aufzeigen, für die Sie einen Plan benötigen. Einige Beispiele:

• Was passiert, wenn ein kritisches Asset ausfällt und es zu Verzögerungen in der Produktion kommt?
• Was ist, wenn Ihre drei besten Ingenieure alle gleichzeitig kündigen?
• Was wäre, wenn das Land, in dem Ihre Mikroprozessoren hergestellt werden, plötzlich überfallen wurde?

Gute Notfallpläne priorisieren die Risiken, denen ein Unternehmen ausgesetzt ist, delegieren die Verantwortung an Mitglieder der Einsatzteams und erhöhen die Wahrscheinlichkeit, dass sich das Unternehmen nach einem negativen Ereignis vollständig erholt.

1. Erstellen Sie eine Liste der Risiken und priorisieren Sie diese nach Wahrscheinlichkeit und Schweregrad.

In der ersten Phase des Notfallplanungsprozesses erstellen die Stakeholder eine Liste potenzieller Risiken, denen das Unternehmen ausgesetzt ist, und führen für jedes einzelne Risiko eine Risikoanalyse durch. Die Teammitglieder besprechen mögliche Risiken, analysieren die Auswirkungen jedes einzelnen Risikos und schlagen Vorgehensweisen vor, um ihre allgemeine Notfallbereitschaft zu erhöhen. Es ist nicht notwendig, für jede Bedrohung, der Ihr Unternehmen ausgesetzt ist, einen Risikomanagementplan zu erstellen. Es reicht aus, wenn Ihre Entscheidungsträger die Bedrohungen als sehr wahrscheinlich einstufen und davon ausgehen, dass sie sich auf die normalen Geschäftsprozesse auswirken könnten.

2. Erstellen einer Business-Impact-Analyse (BIA)

Die Business-Impact-Analyse (BIA) ist ein entscheidender Schritt, um zu verstehen, wie die verschiedenen Geschäftsfunktionen eines Unternehmens auf unerwartete Ereignisse reagieren werden. Eine Möglichkeit, dies zu tun, besteht darin, zu prüfen, welchen Anteil am Unternehmensumsatz der gefährdete Geschäftsbereich erwirtschaftet. Wenn die BIA einen hohen Prozentsatz anzeigt, wird das Unternehmen höchstwahrscheinlich die Erstellung eines Notfallplans für dieses Geschäftsrisiko priorisieren wollen.

3. Erstellen eines Plans

Für jede potenzielle Bedrohung, der Ihr Unternehmen ausgesetzt ist und die sowohl eine hohe Eintrittswahrscheinlichkeit als auch eine hohe potenzielle Auswirkung auf den Geschäftsbetrieb hat, können Sie diese drei einfachen Schritte befolgen, um einen Plan zu erstellen:

• Identifizieren Sie Auslöser, die einen Plan in die Tat umsetzen: Wenn sich beispielsweise ein Hurrikan nähert, zu welchem Zeitpunkt löst der Sturm dann Ihre geplante Vorgehensweise aus? Wenn der Sturm 50 Meilen entfernt ist? Oder vielleicht 100 Meilen? Ihre Teams benötigen klare Anweisungen, damit sie wissen, wann sie mit der Ausführung der ihnen zugewiesenen Maßnahmen beginnen sollen.
• Entwickeln Sie eine angemessene Reaktion: Die Bedrohung, auf die Ihr Unternehmen vorbereitet war, ist eingetreten und die Teams treten in Aktion. Alle Beteiligten benötigen klare, zugängliche Anweisungen, leicht verständliche Protokolle und eine Möglichkeit, mit anderen Stakeholdern zu kommunizieren.
• Klares und gerechtes Delegieren der Verantwortung: Wie jede andere Initiative erfordert auch die Maßnahmenplanung für unvorhersehbare Ereignisse ein effektives Projektmanagement, um erfolgreich zu sein. Eine bewährte Möglichkeit, dies zu beheben, ist die Erstellung eines RACI-Diagramms. RACI steht für „responsible, accountable, consulted and informed“ – zu Deutsch also „verantwortlich, rechenschaftspflichtig, konsultiert und informiert“. Es handelt sich dabei um einen weit verbreiteten Prozess, der Teams und Einzelpersonen hilft, Verantwortung zu delegieren und in Echtzeit auf Krisen zu reagieren.

4. Akzeptanz des gesamten Unternehmens sichern – und im Hinblick auf die Kosten realistisch sein

Manchmal ist es schwierig zu rechtfertigen, warum man Ressourcen in die Vorbereitung auf etwas stecken sollte, das vielleicht nie eintritt. Aber wenn uns die Ereignisse der letzten Jahre eines gelehrt haben, dann, dass es von unschätzbarem Wert ist, über solide Notfallpläne zu verfügen.

Denken Sie an die Probleme in der Lieferkette und die kritischen Engpässe, die durch die Pandemie verursacht wurden, oder an das Chaos in den globalen Lieferketten, das durch die Invasion Russlands in der Ukraine entstanden ist. Wenn es darum geht, Führungskräfte von der Wichtigkeit eines starken Plan B zu überzeugen, ist es wichtig, das Gesamtbild zu betrachten – nicht nur die Kosten des Plans, sondern auch die potenziellen Kosten, die entstehen, wenn kein Plan vorliegt.

5. Regelmäßiges Prüfen und Neubewerten Ihrer Pläne

Märkte und Branchen unterliegen einem ständigen Wandel. Das bedeutet, dass die Realität zum Zeitpunkt, an dem ein Plan für unvorhersehbare Ereignisse getriggert wird, ganz anders aussehen kann als die Realität zu dem Zeitpunkt, als der Plan erstellt wurde. Pläne sollten mindestens einmal jährlich getestet und neue Risikobewertungen durchgeführt werden.

Hier sind einige Beispielszenarien, die zeigen, wie sich verschiedene Arten von Unternehmen auf Risiken vorbereiten würden. Der hier beschriebene dreistufige Prozess kann verwendet werden, um Vorlagen für Notfallpläne für alle Bedrohungen zu erstellen, denen Ihr Unternehmen ausgesetzt ist.

Ein Netzwerkbetreiber, der mit einem massiven Ausfall konfrontiert ist

Was wäre, wenn Ihr Kerngeschäft für Ihre Kunden so wichtig wäre, dass selbst eine Ausfallzeit von nur wenigen Stunden zu Umsatzeinbußen in Millionenhöhe führen könnte? Viele Internet- und Mobilfunknetze stehen jedes Jahr vor dieser Herausforderung. Hier ist ein Beispiel für einen Notfallplan, der ihnen helfen würde, sich auf dieses Problem vorzubereiten:

1. Bewerten Sie den Schweregrad und die Wahrscheinlichkeit des Risikos: Eine kürzlich von Open Gear durchgeführte Studie (Link befindet sich außerhalb von ibm.com) zeigte, dass nur 9 % der globalen Unternehmen Netzwerkausfälle in einem durchschnittlichen Quartal vermeiden. In Verbindung mit dem, was über diese Angriffe bekannt ist – dass sie Schäden in Millionenhöhe verursachen und die Reputation eines Unternehmens unermesslich schädigen können – müsste dieses Risiko in Bezug auf den potenziellen Schaden, den es dem Unternehmen zufügen könnte, sowohl als sehr wahrscheinlich als auch als sehr schwerwiegend eingestuft werden.
2. Identifizieren Sie den Auslöser, der Ihren Plan in die Tat umsetzt: Auf welche Anzeichen hätten Entscheidungsträger in diesem Beispiel achten müssen, um zu erkennen, dass ein wahrscheinlicher Ausfall bevorstand? Dazu können Sicherheitsverletzungen, drohende Naturkatastrophen oder andere Ereignisse gehören, die in der Vergangenheit zu Ausfällen geführt haben.
3. Entwickeln Sie die richtige Strategie: Die Führungskräfte des Unternehmens sollten für jede Service- und Datenkategorie, mit der ihr Unternehmen konfrontiert ist, ein angemessenes Recovery Time Objective (RTO) und Recovery Point Objective (RPO) festlegen. Die Reaktionszeit wird in der Regel anhand einer einfachen zeitlichen Metrik wie Tagen, Stunden oder Minuten gemessen. RPO ist etwas komplizierter, da es die Bestimmung des Mindest-/Höchstalters von Dateien umfasst, die schnell von Backup-Systemen wiederhergestellt werden können, um den normalen Betrieb des Netzwerks wiederherzustellen.

Ein Lebensmittelvertriebsunternehmen, das mit einem unerwarteten Engpass fertig werden muss

Wenn Ihr Kerngeschäft über komplexe Lieferketten verfügt, die sich über verschiedene Regionen und Länder erstrecken, ist die Überwachung der geopolitischen Bedingungen an diesen Orten von entscheidender Bedeutung, um den Zustand Ihres Geschäftsbetriebs aufrechtzuerhalten. In diesem Beispiel sehen wir uns einen Lebensmittelhändler an, der sich darauf vorbereitet, dass eine dringend benötigte Zutat aufgrund der Unbeständigkeit in einer für seine Lieferkette wichtigen Region knapp wird:

1. Bewerten Sie den Schweregrad und die Wahrscheinlichkeit des Risikos: Die Führungskräfte des Unternehmens folgen den Nachrichten in der Region, in der sie den Zutat beschaffen, und machen sich Sorgen über die Möglichkeit politischer Unruhen. Da sie diesen Inhaltsstoff für die Herstellung eines ihrer meistverkauften Produkte benötigen, werden sowohl die Wahrscheinlichkeit als auch der potenzielle Schweregrad dieses Risikos als hoch eingestuft.
2. Identifizieren Sie den Auslöser, der Ihren Plan in die Tat umsetzen wird: In der Region bricht ein Krieg aus, alle Ein- und Ausreisehäfen werden geschlossen und der Transport innerhalb des Landes über Luft, Straßen und Eisenbahnen stark eingeschränkt. Der Transport ihrer Zutaten wird schwierig sein, bis die Stabilität in der Region wiederhergestellt ist.
3. Die richtige Antwort finden: Die Führungskräfte des Unternehmens erstellen einen Notfallplan mit zwei Ansätzen, um dieses Problem zu bewältigen. Zuerst suchen sie proaktiv nach alternativen Lieferanten dieser Zutat in Regionen, die nicht so anfällig für Volatilität sind. Die Umstellung auf diese Lieferanten kann teurer sein und es dauert einige Zeit, zu ihnen zu wechseln, aber wenn man die Gesamtkosten einer allgemeinen Produktionsunterbrechung berücksichtigt, die im Kriegsfall auftreten würde, sind die Kosten es wert. Zweitens suchen sie nach einer Alternative zu dieser Zutat, die sie in ihrem Produkt verwenden können.

Ein soziales Netzwerk, das einen Verstoß gegen den Datenschutz seiner Kunden erlebt

Die Manager eines großen sozialen Netzwerks kennen ein Cybersicherheitsrisiko in ihrer App, an dessen Behebung sie arbeiten. Falls das Unternehmen gehackt wird, bevor es das Problem behebt, besteht die Gefahr, dass vertrauliche Kundendaten in die falschen Hände geraten:

1. Bewertung der Schwere und Wahrscheinlichkeit des Risikos: Sie stufen die Wahrscheinlichkeit dieses Ereignisses als hoch ein, da sie als soziales Netzwerk häufig Ziel von Angriffen sind. Sie stufen auch den potenziellen Schaden für das Unternehmen als hoch ein, da jeder Verlust vertraulicher Kundendaten zu Gerichtsverfahren führen kann.
2. Identifizieren Sie den Auslöser, der Ihren Plan in Aktion setzt: Ingenieure machen die Führungskräfte des sozialen Netzwerks darauf aufmerksam, dass ein Angriff erkannt wurde und dass die vertraulichen Informationen ihrer Kunden gefährdet wurden.
3. Erstellen Sie die richtige Antwort: Das Netzwerk schließt einen Vertrag mit einem speziellen Reaktionsteam ab, das ihnen im Falle eines Angriffs zu Hilfe kommt und sie bei der Sicherung ihrer Informationssysteme und der Wiederherstellung der App-Funktionalität unterstützt. Außerdem ändern sie ihre IT-Infrastruktur, um die Sicherheit der Kundendaten zu erhöhen. Schließlich arbeiten sie mit einer renommierten PR-Firma zusammen, um einen Plan für die Kontaktaufnahme und die Übermittlung von Nachrichten zu erstellen, um Kunden im Falle einer Gefährdung personenbezogener Daten zu beruhigen.

Wenn der Geschäftsbetrieb durch ein negatives Ereignis gestört wird, sorgt eine gute Notfallplanung für eine strukturierte und disziplinierte Reaktion eines Unternehmens. Während einer Krise fühlen sich Entscheidungsträger und Mitarbeiter oft von der Flut von Ereignissen, die sich ihrer Kontrolle entziehen, überfordert. Ein gründlicher Notfallplan hilft dabei, das Vertrauen wiederherzustellen und den Betrieb wieder zu normalisieren. 

Hier sind einige Vorteile, die Unternehmen von starken Notfallplänen erwarten können:

• Verbesserte Wiederherstellungszeiten: Unternehmen mit guten Plänen erholen sich schneller von einem Störfall als unvorbereitete Unternehmen.
• Reduzierte Kosten – finanziell und reputationsrelevant: Gute Notfallpläne minimieren sowohl finanzielle Schäden als auch Reputationsschäden für ein Unternehmen. Zum Beispiel könnte eine Datenschutzverletzung in einem sozialen Netzwerk, bei der Kundendaten kompromittiert werden, zu Klagen führen, aber auch langfristigen Schaden anrichten, wenn Kunden beschließen, das Netzwerk zu verlassen, weil sie dem Unternehmen nicht mehr vertrauen, dass es ihre personenbezogenen Daten sicher aufbewahrt.
• Mehr Zuversicht und bessere Moral: Viele Unternehmen nutzen Notfallpläne, um Mitarbeitern, Aktionären und Kunden zu zeigen, dass sie jede mögliche Eventualität, die ihr Unternehmen betreffen könnte, durchdacht haben, und ihnen so das Vertrauen zu vermitteln, dass das Unternehmen ihre Interessen im Blick hat.

Die IBM Maximo Application Suite ist eine integrierte, cloudbasierte Lösung, durch die Unternehmen schnell auf sich ändernde Bedingungen reagieren können. Durch die Kombination der Leistungsfähigkeit von künstlicher Intelligenz (KI), Internet der Dinge (IoT) und fortschrittlicher Analytik ermöglicht es Unternehmen, die Leistung ihrer wertvollsten Assets zu maximieren, ihre Lebensdauer zu verlängern und Kosten und Ausfallzeiten zu minimieren.