Interviewpartner: Matthias Rosenberg
Funktion: Geschäftsführer
Unternehmen: Controllit AG
Website: www.controll-it.de
Beschreiben Sie kurz Ihr Unternehmen. Welche Zielgruppe sprechen Sie hauptsächlich an?
Die Controllit AG versteht sich als Partner im Bereich Business Continuity Management.
Seit über 15 Jahren helfen wir unseren Kunden mit strategischen, organisatorischen und technischen Konzepten, ihre Geschäftsprozesse gegen Bedrohungen abzusichern und für Notfälle vorzusorgen. Alle erbrachten Leistungen der Controllit AG werden in Übereinstimmung mit etablierten Standards für das Business Continuity Management (ISO 22301, ISO 27031 und BSI 100-4) und den Good Practice Guidelines des Business Continuity Institutes erbracht. Wir bieten Beratung, Software und Ausbildung an.
Unsere Kunden sind Unternehmen aller Größenordnungen und Branchen im nationalen sowie im internationalen Umfeld.
Welche Rolle nimmt das Notfall- und Krisenmanagement im Rahmen eines Business Continuity Management ein?
Um diese Frage zu beantworten, möchte ich zuerst die Begrifflichkeiten kurz definieren:
Unter Notfallmanagement verstehen wir die Sofortmaßnahmen wie retten, bergen, löschen sowie bspw. den betrieblichen Katastrophenschutz, der für die Evakuierung der Gebäude sorgt. Häufig wird Notfallmanagement in Deutschland aber auch als Synonym für BCM gebraucht.
Krisenmanagement bedeutet die strategische Steuerung während eines Notfalls.
Das Business Continuity Management hat zwei Aufgaben: einerseits stellt es im Normalbetrieb die Klammer für alle Pläne, Maßnahmen und Prozesse dar, die in einer Notfallsituation Anwendung finden. Es definiert die Schnittstellen und Vorgehensweisen im Notfall. Es sorgt zudem für die regelmäßige Pflege und auch die Tests der Continuity Pläne.
Andererseits ist BCM im akuten Notfall als operativer Teil des Krisenmanagements zu sehen, in dem die Business Continuity Pläne eingesetzt werden.
Wie kann ein Unternehmen sich durch Simulationen und Fallübungen auf den Notfall vorbereiten?
Wir unterscheiden generell vier Ausfall-Szenarien: Gebäude, Personal, Dienstleistungen sowie IT und Infrastruktur. Das Szenario „IT- und Infrastruktur-Ausfall“ beinhaltet dabei nicht die Notfallübungen zur Wiederherstellung der Server und entsprechenden Daten (ITSCM), sondern es geht darum, wie Abteilungen, die ansonsten ausschließlich mit dem PC arbeiten, ihre Aufgaben ohne dieses “Hilfsmittel” erledigen können, bspw. anhand von Checklisten, Formularen, etc.
Bevor Simulationen und Notfallübungen stattfinden, wird die Besetzung des Krisenstabs, also des zentralen Entscheidungsgremiums in Notfallsituationen, festgelegt. Es folgt die Erarbeitung von Koordinations- und Krisenmanagementplänen und auch der Kriterien, die definieren, wann eine Krisensituation vorliegt und der entsprechende Prozess in Gang gesetzt werden muss.
Danach einigt man sich auf eine Teststrategie, die meist einen Zeitrahmen von 3-4 Jahren umfasst und z.B. wie folgt aussehen kann:
Im ersten Jahr findet eine sog. Desktop-Übung statt. Der Krisenstab und / oder die betroffenen Abteilungen setzen sich zusammen an einen Tisch und gehen die erarbeiteten Pläne Punkt für Punkt durch. Die Abteilungen geben Rückmeldung, was sie unter jedem einzelnen Punkt verstehen und wie sie handeln würden.
Im zweiten Jahr übt jede Abteilung separat für sich den Ablauf im Notfall und geht tatsächlich in ein Ausweichgebäude oder arbeitet für eine kurze Zeitspanne ohne PC anhand von Checklisten und Formularen weiter. Das wäre dann ein Funktionstest.
Im dritten Jahr wird eine Simulationsübung z.B. für ein einzelnes Gebäude durchgeführt. Auf Basis eines Drehbuches, mit Beteiligung des Krisenstabes und einiger Notfallteams, aber ohne alle Mitarbeiter einzubeziehen, werden die Kommunikations- und Koordinationsprozesse im Krisenfall geübt. Es wird überprüft, ob ein notfallbedingter „Umzug“ aller Mitarbeiter aus kritischen Geschäftsprozessen überhaupt logistisch und zeittechnisch machbar ist.
Im vierten Jahr findet eine Vollübung statt, von der das komplette Unternehmen betroffen ist und Krisenstab, Notfallorganisation, Facility Management, etc. in Aktion sind. Diese Übungen können – je nach Budget – auch von der Feuerwehr, Polizei, Krankenwagen oder ähnlichem unterstützt und damit realistischer gemacht werden.
Selbstverständlich werden die Übungen vorher den Mitarbeitern angekündigt und im Nachgang innerhalb des Krisenstabs und der Abteilungen reflektiert, um aus den Übungs-Erfahrungen für den Notfall zu lernen.
Welche Anforderungen stellen sich an die Mitglieder eines unternehmensweiten Krisenstabs?
Bevor die Mitglieder des Krisenstabs benannt werden, ist zu berücksichtigen, dass ein Krisenstab im Notfall ggf. bis zu 24 Stunden täglich, mehrere Tage in Folge aktiv vor Ort sein muss. Die einzelnen Positionen sind daher mit 3 Personen zu besetzen, damit im 3 x 8-Stunden-Schichtbetrieb gearbeitet werden kann und keine Überlastung einzelner Mitarbeiter auftritt.
Bei der Besetzung des Krisenstabs stehen die sozialen Kompetenzen der Mitglieder und deren Kenntnisse der internen Unternehmensprozesse im Vordergrund. Mitarbeiter, die Erfahrungen beim THW, der Feuerwehr oder militärischer Art mitbringen, sind hier von Vorteil. Wichtig ist, dass im Krisenstab Persönlichkeiten zusammen arbeiten, die weniger extrovertiert, sondern vielmehr “von ruhigem Gemüt” sind und die auch in Stresssituationen Ruhe und Weitblick behalten.
Im Idealfall wird daher der Kern-Krisenstab nicht anhand des Organigramms und der entsprechenden Hierarchieebenen von der Geschäftsführung bis hin zu den Bereichs- oder Abteilungsleitern besetzt, sondern die Mitglieder rekrutieren sich aus allen Bereichen des Unternehmens, unabhängig von der Hierarchiestufe.
Der Fokus liegt darauf, dass das so zusammengestellte Team in der Krisensituation in der Lage ist, Entscheidungen strukturiert herbeizuführen und sich bei Bedarf die erforderliche fachliche Expertise punktuell hinzuholt.
Der Begriff der “Organisationalen Resilienz” wird derzeit überall diskutiert. Was kann man darunter verstehen und wie fügt sich dieses Konzept in das BCM eines Unternehmens ein?
Individuelle Resilienz von Menschen bedeutet, dass besser mit Stress und belastenden Lebensbedingungen umgegangen werden kann.
Organisationale Resilienz beschreibt eine erhöhte Widerstandsfähigkeit, aber auch Anpassungsfähigkeit von Organisationen oder Unternehmen gegenüber sich schnell ändernden Umgebungsbedingungen.
Dabei werden die Mitarbeiter nicht mehr im Wesentlichen als zu kontrollierende Störfaktoren gesehen, sondern als die „Ressource“, die fähig ist, ein Unternehmen auch durch eine stürmische See zu geleiten.
Im BCM kümmern wir uns explizit um Notfälle und Krisen. Die Organisationale Resilienz eines Unternehmens soll jedoch auch im Tagesbetrieb wirken und das Unternehmen befähigen, Störungen oder Änderungen von z.B. Marktbedingungen schneller zu bewältigen.
Vor diesem Hintergrund ist das Konzept der “Organisationalen Resilienz” als Ergänzung zum Business Continuity Management zu sehen.
Ein Unternehmen mit einer starken organisationalen Resilienz kann man sich wie einen Ball vorstellen: dieser verformt sich leicht unter Druck und nimmt dann seinen Ursprungszustand wieder ein und hüpft weiter. Ähnlich verhält es sich mit der Organisation: sie gibt der Stresssituation nur kurz nach und federt dann zurück. D.h. sie behält langfristig ihre Struktur und ihre Prozesse bei.
Gibt es derzeit in Deutschland bestimmte Branchen oder Unternehmen, die sich besonders intensiv mit dem Thema BCM auseinandersetzen?
Wir beobachten im Moment eine starke Aktivität im Banken- und Versicherungssektor. Nach der Finanzkrise schauen die Aufsichtsbehörden doch sehr viel genauer auf die Ausgestaltung des Business Continuity Management bei diesen Unternehmen.
Das macht sich auch in unseren Projekten bemerkbar. Die gestiegenen Anforderungen in dieser Branche führen dazu, dass viele Finanzdienstleister ihre vorhandenen BCM-Konzepte und Prozesse kritisch überprüfen und den neuen Ansprüchen anpassen.
Davon betroffen sind auch die Unternehmen, die als Lieferanten Dienstleistungen für Banken und Versicherungen erbringen. Hierbei handelt es sich häufig um kleine oder mittelständische Unternehmen, die sich einen eigenen BCM-Manager gar nicht leisten können. Für diese Unternehmen bieten wir jetzt einen sog. BCM-Service an, der, ähnlich einem externen Datenschutzbeauftragten, als externer Berater ein BCM-System im Unternehmen aufsetzt und im akuten Notfall auch den Krisenstab leiten kann.
Ein kurzes Statement zum Schluss:
Deutschland ist derzeit auf einem guten Weg. Die großen Finanzdienstleister, aber auch die bekannten Unternehmen aus dem Produktionsumfeld beschäftigen sich aktiv mit dem Thema Business Continuity Management und wollen sich für den Krisenfall gut aufstellen.
Vorbilder sind für uns nach wie vor Großbritannien und die USA. Hier beschäftigen sich die “Manager von morgen” bereits im Studium intensiv mit dem Thema BCM, Organisationale Resilienz sowie dem Notfall- und Krisenmanagement.