279 Katastrophenvorsorge

So viele Unternehmen scheinen mir von der aktuellen Krise kalt erwischt worden zu sein. Als Ergebnis werden dann – hoppla di hopp – die Mitarbeiter nach Hause geschickt und gehofft, dass die schon irgendwie von dort irgendwas schaffen können. Oder die Firma wird weitgehend angehalten und verbrennt nun Geld.

Auf Katastrophen kann man sich vorbereiten. Eine Katastrophe ist ein plötzlich eintretender Event, der das Überleben der Firma gefährdet. Ich komme aus der IT, dort ist das eine eigene Disziplin. Sehr ähnliche Herangehensweisen bieten sich aber auch für alle anderen Branchen an. Und genau darum geht es heute.

Für das LeadershipStars MONTHLY Programm habe ich gerade ein komplettes Modul dazu entwickelt, welches sehr detailliert durch einen Prozess und die dahinterliegenden Gedanken und Ideen führt. Als Beispiele baue ich dort eine Maschinenbaufirma auf, um zu zeigen, dass das kein IT-Thema ist.

Der Prozess besteht auf mehreren Schritten und will regelmäßig durchlaufen werden. Katastrophenvorsorge ist keine einmalige Aktion. Der entwickelte Prozess und die Pläne wollen permanent aktuell gehalten werden. Auch müssen sie auch veränderte Rahmenbedingungen angepasst werden. Einmal im Jahr ist eine gute Startfrequenz, viel weniger ist nicht zu empfehlen.

Ich nutze die IT-Begriffe, um die jeweiligen Managements und Pläne zu beschreiben, die gelten aber eben auch für nicht IT-Unternehmen.

Business Continuity Management

Der gesamte Prozess wird Business Continuity genannt und hat den Zweck, das Unternehmen auch im Katastrophen-fall (über-)lebensfähig zu halten. Das will vorbereitet sein, wenn die Katastrophe zugeschlagen hat, ist es sehr oft viel zu spät.

Das BC-Management erstellt einen

Business Continuity Plan

Dieser Plan ist mehr eine Gedankenstütze, eine Vorbereitung und eine Denkübung, da die Katastrophe mit Sicherheit immer etwas anders eintritt, als in den Plänen vorgesehen.

Diese Pläne sollten mindestens diese Punkte abdecken:

  • The Customers, Vendor and other Stakeholders need to be informed. And kept calm.
  • The Employees need to be informed. They can see what happened and you don’t want the best of them immediately resigning, as they believe their employer is dead now.
  • Finance must be under control! Owners, banks and insurances are now important to deal with.
  • High likely some governmental agencies, Fire department, city government, you name it, need to be informed.
  • Cache management is crucial! If you state, we buy things new in case of a disaster, then there is no time no playing around with compliance and controlling processes. And for sure someone needs to take care, that the money is there

Nun geht es um die Katastrophenvorsorge, auch die will strategisch und vor allem mit System angegangen werden.

Business Impact Analysis

Es startet mit der Business Impact Analysis. Am Ende wird ein Gefahrenkatalog mit den dazugehörigen Risk-Sets stehen. Das Ziel ist hier, die Mengen von Informationen, Ängsten, Befürchtungen und Ideen zu strukturieren und damit handhabbar zu machen.

Auch diese Grossaufgabe lässt sich in fünf Schritten Prozessieren:

  • Gefahrenliste aufstellen: Welche Gefahren können für das Unternehmen gesehen werden? Dies ist zunächst eine Sammel-Übung.
  • Überlebensfähigkeit: Wie lange würde das Unternehmen denn das Eintreten einer Gefahr überleben?
  • Risiken: Zu jeder Gefahr gibt einen Stz von Risiken, die zum Eintreten der Gefahr führen (Gefahr = Verlust der Fabrik, Risiko = Brand). Jedes Risiko wird beschrieben und mit einer Eintrittswahrscheinlichkeit versehen. Dazu kommt noch eine Risikoauswirkung (Risiko = Stromausfall, Eintrittswahrscheinlichkeit = niedrig, Risikoauswirkung = keine, weil der betrachtete Teil eine funktionierende Notstromversorgung hat). Auch werden jetzt die ersten Risiken markiert, die lebensbedrohlich für das Unternehmen sein können.
  • Linderungskosten: Welches Risiko ließe sich mit wie viel Geld wie weit lindern? Diese Betrachtung wird natürlich nur für die wichtigen Risiken gemacht.
  • Risikobewertung: Am Ende werden die Risiken in eine der vier Klassen einsortiert:
    1. Zu klären: Besonders am Anfang dieses Prozesses müssen oft Schleifen gedreht werden, um Sachverhalte zu klären. Unklares kann nicht sauber entschieden werden.
    2. Zu lindern: Sowohl die Eintrittswahrscheinlichkeit als auch die Auswirkungen vieler Risiken lassen sich beeinflussen. Das BC-Management kann entscheiden, welche Risiken wie gelindert werden.
    3. Akzeptieren: Viele Risiken können einfach akzeptiert werden.
    4. Vorbereiten: Manchmal ist das Risiko nicht akzeptierbar, jedoch sind die Linderungskosten viel zu hoch. Hier hilft nur eine gute Vorberatung.

Nach der Business Impact Analyse startet das BC-Management die nachfolgenden Prozesse zu Klärung, Linderung oder Vorbereitung der Risiken. Letztes wird in der IT „Desaster Recovery“ genannt.

Wie wichtig das Thema ist, spüren viele unvorbereitet Unternehmen gerade am eigenen Leib. Nun rächt sich, dass das wichtige ständig dem dringlichen untergeordnet wurde. Gerade jetzt haben ja viele Verantwortliche die nötige Zeit, endlich das wichtige nachzuholen.

Bleiben Sie in Führung!

OLAF KAPINSKI