Kaum ein Tag vergeht ohne Nachrichten über Cyberangriffe auf Unternehmen, über Brände, die ganze Unternehmen lahmlegen, oder über Firmen, die aufgrund gestörter Lieferketten und fehlender Teile die Produktion stilllegen müssen. Von drohenden Strommangellagen ist zu hören, und der Ausfall von Arbeitskräften ist seit Covid-19 ebenso keine Theorie mehr. Auch wenn der Staat wie während der Pandemie viele Risiken abfedert, liegt es doch in der Eigenverantwortung jedes KMU, sich auf den Tag X vorzubereiten.
BCM als Plan B
Diese Krisenvorbereitung kann man im Rahmen des klassischen Risk Managements vornehmen, nämlich die Risiken identifizieren sowie Schadenausmass und Eintrittswahrscheinlichkeit bewerten. Also Plan A. Plan B wiederum ist ein Vorsorgesystem in Form des Business-Continuity-Managements (BCM). Es beinhaltet alle Massnahmen, die es ermöglichen, im Fall des doch eintretenden Schadens den Betrieb aufrechtzuerhalten oder eine schnelle Wiederaufnahme zu ermöglichen.
«Letztlich geht es beim betrieblichen Kontinuitätsmanagement im Sinne einer Überlebensgarantie um die Ereignisbewältigung inklusive Bewältigung des Restrisikos», sagt Uwe Müller-Gauss, Inhaber von Müller-Gauss Consulting, Verfasser von zahlreichen Publikationen zum Thema Sicherheit und Risikomanagement sowie Dozent für Risikomanagement und BCM. «Die Bewältigung dieses Restrisikos, aber auch die Bewertung der Risiken bezüglich der Entdeckungszeit und des Umgangs im Ereignisfall führen direkt zum zwingend nötigen BCM», so Müller-Gauss.
KMU haben BCM in ihrer DNA verankert
Trotz der Wichtigkeit des Themas zögern viele KMU. Müller-Gauss glaubt, viele KMU scheuten angesichts umfassender Standards den Aufwand für etwas, das sie von jeher jeden Tag leben. «Banken und Versicherungen sind seitens des Regulators angehalten, ein wirkungsvolles BCM-System aufzubauen. Unternehmergeführte KMU hingegen haben meines Erachtens das BCM-Gedankengut bereits vom Start weg in ihrer DNA verankert», sagt der Experte.
Eine sorgfältige und umsichtige Unternehmerin kenne jederzeit ihre Risiken und insbesondere das Risiko, das für sie das Aus bedeuten könnte. Entsprechend bereite sie sich mit Notfallplänen darauf vor, meint Müller-Gauss und ergänzt: «Vielleicht ist das BCM-System in einem KMU weniger strukturiert oder dokumentiert. Es erfüllt daher kaum die einschlägigen Normen, aber es ist sicherlich effizient und effektiv.»
Für die Einführung eines BCM empfiehlt Müller-Gauss KMU denn auch, sich auf das Wichtigste zu konzentrieren: «Es genügt, wenn der Unternehmer mit den Prozessverantwortlichen die kritischen Prozesse und die zugrunde liegenden Ressourcen inklusive der kritischen externen Dienstleister identifiziert. Damit wird auch ein gemeinsames BCM-Verständnis geschaffen.» Danach gelte es, die Überlebensstrategie mit der grundsätzlichen Vorgehensweise zur Aufrechterhaltung einer kontinuierlichen Geschäftstätigkeit festzulegen und für die Prozesse Notfallpläne, sogenannte Business Continuity Plans, zu erstellen: «In ihnen wird das Vorgehen bei einem Ausfall von externen Dienstleistern und Lieferanten, aber auch der Ausfall der IT oder einzelner Applikationen beschrieben.»
Risiken bleiben Risiken
Auch wenn Risiken Risiken bleiben und – wie erhofft – nicht eintreten, lohne sich das BCM für KMU. Zwar sei der Aufbau mit zeitlichem Aufwand und mit Investitionen verbunden, die nach Ansicht von Müller-Gauss jedoch überschätzt werden. Dafür aber würden die Strukturen des Unternehmens stabilisiert. Die Sensibilisierung der Stakeholder für eine verantwortliche Unternehmensführung wachse, und das Vertrauen von Kunden, Partnern und Mitarbeitenden in das Unternehmen werde gestärkt. «Und Kontinuität der Geschäftstätigkeit bedeutet nachhaltige Erfolgssicherung für alle», sagt Müller-Gauss.
Dieser Artikel ist unter dem Titel «Die Risiken angehen statt verdrängen» erstmals erschienen im Risk Management Special der «Handelszeitung» vom 7.7.2022