betriebliches Kontinuitätsmanagement (BCM)

Das betriebliche Kontinuitätsmanagement oder “Business continuity management” (BCM) beschreibt die geplante Steuerung der Unternehmensfortführugng im Krisenfall.

Das betriebliche Kontinuitätsmanagement ist Bestandteil des betrieblichen Risikomanagements. Unternehmen mit einem zertifizierten Managementsystem, z.B. nach DIN ISO 9001:2015, haben bereits erste Schritte in Richtung eines Risikomanagementsystems unternommen. So beschreibt zum Beispielt Kapitel 6.1.1 der DIN ISO 9001, dass “die Organisation Risiken und Chancen bestimmen muss, die unerwünschte Auswirkungen auf das Managementsystem haben.” Das Kapitel 6.1.2 bescheibt, dass “die Organisation Maßnahmen zum Umgang mit Risiken und Chancen planen muss.”

Die DIN ISO 22301 als weitere internationale Norm legt die Anforderungen an ein betriebliches Krisenmanagementsystem fest.

Unterbrechungen des Betriebsablaufes können vielfältige und schwerwiegende Auswirkungen auf das Unternehmen haben. Deshalb istt es ratsam, das Unternehmen frühzeit derartige Betriebsunterbrechungen analysieren und Maßnahmen zur Vermeidung oder reduzierung der Folgen festlegen.

Business Impact Analyse

Im Rahmen der Business Impact Anylayse werden sowohl mögliche Risiken identifiziert, die zu einer Unterbrechung des Betriebsablaufes führen können, wie auch die möglichen Auswirkungen einer solchen Unterbrechung.

Risikoanalyse

Die Risikoanalyse dient dazu, möglichst umfassend die Risikoursachen zu identifizieren und zu beschreiben, die zu einer Betriebsunterbrechung führen können.

Zunächst ist zu bedenken, dass es eine Vielzahl an Risiken gibt, die zu einer Betriebsunterbrechung führen können. Zusätzlich ist zu berücksichtigen, dass die so identifizierten Risiken in unterschiedlich starker Ausprägung auftreten können.  Über so genannte Ursache-Wirkungsbezeihungen kann das auftreten eines Risikos eine Vielzahl  weiterer Risiken und Schäden nach sich ziehen. (So ist Hochwasser oder eine Überschwemmung an sich schon eine gravierende Gefahr. Die Folgeschäden durch das Hochwasser, zum Beispiel austretende Gefahrstoffe oder Verunreinigungen können jedoch zu einer noch viel gravierenderen Gefahr werden.)  Deshalb ist auch die Analyse möglicher Wirkungsketten bei der Analyse mit zu betrachten.

Die mögliche Risikoursachen können nach verschiedenen Kriterien kategorisiert werden.

Natürliche Risikoursachen:

  • meteorologsiche Risiken: Sturm, Orkan, Starkregen, Flut, Hochwasser, Überschwemmung, Schneesturm,…
  • geologische Risiken: Erdbeben, Erdrutsche,..
  • biologische Risiken: Pandemien, Seuchen,  Lebensmittel, Trinkwasserverschmutzung,…

Durch Menschen verursachte Risikoursachen:

  • Unfälle: Arbeitsunfälle
  • beabsichtiggte Störungen: Sabbotage, Streik, Demonstrationen, Bombendrohung, Geiselnahme, Überfälle, Einbrüche, Diebstähle, Terrorangriffe, Cyberangriffe (siehe auch technische Risiken),
  • Kriege:

technische Risikoursachen:

  • Informationstechnologie: Serverausfall, Ausfall Netzwerkverbindung (intern, Extern), Ausfall Internetverbindung, Fehlerhafte Datensicherung, Virenbefall, Verschlüsselungstrojaner, Hackerangriffe, Softwarefehler,..
  • Ausfall der Versorung mit:  Strom, Gas, Wasser, Dampf, Internet,…
  • Feuer / Explosion:  Brand (innerbetrieblich oder von außerhalb), Explosion (durch eigene Chemikalien, durch Gas, durch Produktionsstörung)
  • Ausfall von Anlagen:  Ausfall von Produktionsanlagen (Maschinen), Ausfall von Versorgungsanlagen (Heizungsanlage), Ausfall von Entsorgungsanlagen (Kläranlage), Ausfall der Rauchgas-Reinigung,..

personelle Ursachen:

  • Ausfall von Schlüsselpersonen: durch Krankheit, Unfall, Tot,
  • Weggang von Wissensträgern: Kündigung

wirtschaftliche Ursachen:

  • Finanzwirtschaftliche Ursachen: Zahlungsausfälle, Liquiditätsengpässe, Insolvenz
  • Leistungswirtschaftliche Ursachen:  Ausfall von wesentlichen Kunden, Ausfall von wesentlichen Lieferanten, Ausfall von Transporteuren.

Vorgehensweise bei der Risikoanalyse

Die Analyse möglicher Risiken oder Risikoursachen sollte möglichst systematisch erfolgen. Dabei haben sich folgende Vorgehensweisen etabliert:

  • strukturorientiert: Anhand von Unternehmensstruktur in Form von Abteilungen und Gebäuden
  • prozessorientiert: Anhand von Unternehmensprozesses

Beide Vorgehensweisen sollten parallel angewendet werden, die beide Ansätze teilweise auch unterschiedliche Ergebnisse liefern.

strukturorientierte Risikoanalyse

prozessorientierte Risikoanalyse

Bei der strukturorientierten Risikoanalyse werden Risiken pro Struktureinheit ermittelt. Struktureinheiten können Abteilungen sein, Struktureinheiten können jedoch auch Gebäude und Anlage sein.

Zunächst werden dei verschiedenen Struktureinheiten aufgelistet, die analysiert werden sollten. Die Analyse der Risiken sollte dann immer mit den jeweils verantwortlichen Personen erfolgen.

Beispiele für Abteilungen:  Einkauf, Produktion, Vertrieb, Labor, Personalwesen, Geschäftsleitung

Beispiel für Gebäude:  Verwaltungsgebäude, Porduktionshalle 1, Lagerhalle 2, Kesselhaus,…