Treiber und Hemmnisse für die Einführung von Risikomanagement und Business Continuity Management (BCM)
Die systematische Identifikation und Bewertung von Risiken sowie die Umsetzung risikomindernder Maßnahmen sind wesentliche Bausteine eines Managementsystems. Es gilt, Unternehmen bei dem Ziel zu unterstützen, mögliche Gefahren durch ein strukturiertes Risikomanagement zu identifizieren, zu analysieren und zu bewerten sowie Störungen, Notfälle oder Krisen mit Hilfe eines Business Continuity Managements (BCM) zu meistern.
Dabei lassen sich oftmals erst im Nachgang einer Krise und nach Rückkehr in den Normalbetrieb die gewonnenen Erkenntnisse strukturiert aufbereiten. Diese Aufbereitung und das zur Verfügung stellen des relevanten Wissens in Richtung Präventionsmaßnahmen, Risikobeurteilung sowie Notfall- und Kontinuitätsmanagement ermöglichen erst ein umfassendes und integrales Sicherheitshandeln in der Organisation.
Die Auseinandersetzung mit Risiken und der Umgang mit Notfallsituationen haben gerade in der jetzigen Zeit der Pandemiebewältigung in den Organisationen an Bedeutung gewonnen. Was sind also Treiber und Hemmnisse für die Einführung und den Betrieb eines Business Continuity Management Systems (BCMS)?
Hierbei lassen sich folgende Themenkomplexe identifizieren:
Treiber für die Einführung eines BCMS:
- Rechtliche Vorgaben: Regulierung, behördliche oder gesetzliche Vorgaben verschiedenster Ausprägung
- Kundenanforderungen: Durch Kundenwünsche festgelegte Anforderungen, teils branchenspezifisch
- Geschäftsführung, Management: Wunsch der Geschäftsführung/des Inhabers nach einem robusten, resilienten Unternehmen (s. a. KontraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), Organisationshaftung)
- Organisation: interner Wettbewerb z. B. durch Positionierung eines Standorts als Referenz
- Externes Ereignis oder Notfall/Krise als Anstoß basierend auf Krisenerfahrungen aus der Vergangenheit (z. B. Hochwasser, Cybercrime) umgesetzt werden.
Hemmnisse für die Einführung eines BCMS:
- Fehlende Risikokultur: Sicherheitsparadoxon, Unkalkulierbarkeit von Notfällen und Krisenszenarien
- Fehlende Unterstützung von Geschäftsführung/Management: Schwierigkeiten bei der Vermittlung der Notwendigkeit entsprechender Systeme (z. B. monetärer Beitrag zum Betriebsergebnis)
- Fehlende Akzeptanz der Mitarbeiter: Mangelndes Risikobewusstsein bei handelnden Akteuren, Abstraktionsschwierigkeiten
- Fehlende Ressourcen: Risikomanagement und BCM wird zwar gefordert, finanzielle oder personelle Ressourcen werden dafür aber nicht bereitgestellt
- Fehlendes Know-How: z. B. Teilweise fehlende Standardisierung
- Mangelnde Integration mit anderen Managementsystemen: Nutzung von Synergie-Effekten auf Basis der ISO-High Level-Struktur (HLO), z. B. zum ISO 9001 und ISO 27001