Aus der Krise zum resilienten Unternehmen – Navigating the Avalanche

Beim Weltwirtschaftsforum in Davos stand der Begriff der „Polycrisis“ im Zentrum,  andernorts liest man von Multi- oder Permakrise. Das ist nicht neu – allerdings hat es in den vergangenen Jahren einige bemerkenswerte Entwicklungen im Krisenmanagement gegeben. Vor allem drei Trends prägen das Krisenmanagement in den kommenden Jahren.

Trend Nr. 1 – Regulierung und Standards

Trotz bestehender Normen zu verwandten Disziplinen wie Sicherheit oder Business Continuity
Management (BCM) war das Feld Krisenmanagement bislang weitgehend ohne konkrete Vorgaben oder Richtlinien – ganz im Sinne der Agilität. Auch durch das Fehlen von Standards begünstigt, sind in den vergangenen Jahren teils stark unterschiedliche Prozesse, Strukturen und Prinzipien in Unternehmen gewachsen. Derartige Unterschiede erschweren jedoch eine Vergleich- und Messbarkeit der Effektivität des Krisenmanagements. Aufgrund fortdauernder Unsicherheiten in den globalen Märkten und Lieferketten rückt die operative Resilienz von Zulieferern und Dienstleistern gegenwärtig stärker in den Fokus – somit auch deren Krisenmanagement.
Mit ISO 22361:2022 besteht erstmals eine ISO-Norm zum Krisenmanagement, das als Führungsaufgabe definiert wird. Die Anforderungen an Manager und Führungskräfte werden klar herausgestellt: nämlich nicht nur die Krise, sondern das strategische Ganze im Blick zu behalten und den Mitarbeitenden sowie externen Stakeholdern mittels klarer Kommunikation einen Weg durch die Krise aufzuzeigen. Sebastian Riedel von der Kommunikationsberatung Klenk & Hoursch zeigt anhand des Krisenszenarios Cyberangriff beispielhaft auf, wie die Krisenkommunikationsorganisation aufgebaut sein sollte und welche Fragen vor, während und nach einer Krise zu stellen sind.
Darüber hinaus steht die Resilienz kritischer Einrichtungen im Fokus der Aufsichtsbehörden, die somit indirekt Krisenmanagement adressieren, wie z. B. mit dem EU Digital Operational Resilience Act (DORA), der seit Januar 2023 in Kraft ist. Der Fokus liegt hier zwar auf der stärker regulierten Finanzindustrie und Anbietern kritischer Services wie Cloud-Dienstleistungen. Erfahrungen aus den USA und Großbritannien, wo die Regulatorik zur Operational Resilience schon länger besteht, zeigen jedoch schnelle Spill-Over-Effekte auf andere Sektoren – sei es aufgrund geänderter Anforderungen von Versicherungen oder aber auch von Geschäftspartnern.

Trend Nr. 2 – Digitalisierung

DORA macht es deutlich – es geht oft zunächst um digitale Resilienz. Dazu gehört auch ein digitales Krisenmanagement, in zweierlei Hinsicht: Zum einen sind die immer häufiger werdenden Cyberangriffe nur noch selten ein reines IT-Problem, sondern führen auch schnell zu  einem geschäftlichen Problem mit signifikanten Kosten und enormer Reichweite, sodass eine zentrale, geschäftsbereichsübergreifende Steuerung erforderlich ist. In der Praxis bedeutet das: Digitales Notfallmanagement ist gut – aber erst durch (Cyber-) Krisenmanagement sind Unternehmen in der Lage, ganzheitlich auf diese Herausforderungen zu reagieren.
Zum anderen wird auch das Krisenmanagement selbst digitaler: Der klassische „War Room“ hat zwar nicht ausgedient, in international agierenden Unternehmen sind jedoch die Mitglieder eines Krisenstabs häufig global disloziert. Klassische Anwendungen und Systeme sind da häufig nicht mehr ausreichend. Der Trend geht daher zu digitalen, cloudverfügbaren Incident Management Tools, die sowohl schnell verfügbare Daten für die Krisensteuerung aufbereiten, als auch Entscheidungen und Mitarbeiterkommunikation unterstützen können, wie Owen Miles von Everbridge in diesem Special (Seite 3, Technologiegestütztes Vorfalls- und Krisenmanagement) aufzeigt. Der daraus entstehende Informations- und Entscheidungsvorsprung kann in großflächigen Krisen den wesentlichen Wettbewerbsvorteil ausmachen und so zu einer schnelleren Erholung beitragen.

Trend Nr. 3 – Verbindung der Funktionen: Resilienz gegen volatile Krisenszenarien

Der dritte Trend ist die Etablierung umfassender Resilienzprogramme, die klassische Krisen-, Kontinuitäts-, Sicherheits- und Risikomanagementfunktionen integrieren. Diese logische Weiterentwicklung der Funktionen zielt darauf ab, nicht nur Führungsstrukturen für Krisensituationen oder bestimmte Szenarien vorzuhalten, sondern auch kleinere Organisationseinheiten so auszustatten, dass Vorfälle bereits dort gelöst werden können und gar nicht erst zu existenzbedrohenden Krisen eskalieren. Der Blick gilt insbesondere der strategischen Ausrichtung des Unternehmens, da diese auch in Krisensituationen als Leitmotiv dient, um Prioritäten festzulegen. Dadurch ergibt sich eine neue Perspektive: Statt vieler kleiner,  aber konkreter Pläne für bestimmte Szenarien kommt es in der Polykrise darauf an, auch auf überraschend auftretende Szenarien schnell und angemessen reagieren zu können. Das setzt eine im wirtschaftlichen Sinne gesunde Organisation ebenso voraus wie Robustheit und Flexibilität – anhand vordefinierter Prinzipien.
Dies erscheint zunächst als komplexe Herausforderung, lässt sich aber mit drei einfachen Fragen
zusammenfassen: Was sind die kritischen Geschäftsprozesse? Welche Toleranzen bestehen gegenüber Störungen? Und wie können Störungen erkannt und beseitigt werden?
Durch mehr Kommunikation und Abstimmung zwischen den einzelnen Funktionen entsteht im Unternehmen eine breitere Wissensbasis und ein Bewusstsein für Resilienzthemen – und so die Voraussetzung für agiles und flexibles Handeln in außergewöhnlichen Situationen. Dazu können  digitale Tools beitragen, die alle Funktionen übersichtlich zusammenbringen, wie Steve Richardson von Fusion in seinem Beitrag zeigt.
Trotz dieser Trends: Eine Ideallösung für Krisenmanagement gibt es nicht – dafür sind Krisen zu volatil und Unternehmen zu unterschiedlich. Es muss daher darum gehen, die eigenen Mitarbeiterinnen und Mitarbeiter auf möglichst vielen Führungsebenen zu befähigen, auf unvorhergesehene oder gar disruptive Ereignisse zu reagieren und so Krisen frühzeitig im Unternehmen zu navigieren und gestärkt aus der Krise hervorzugehen.

Die Autoren:

Claudia Nestler, Herausgeberin dieses Specials, ist Partnerin in Risk & Regulatory bei PricewaterhouseCoopers in Deutschland. Sie hat den Bereich Forensic Services inklusive Krisenmanagement mehr als 20 Jahre geleitet.

 

 

 

Jakob Großehagenbrock ist zertifizierter Krisen- und Business Continuity Manager bei PricewaterhouseCoopers in Deutschland. Er berät Unternehmen beim Aufbau operativer Resilienz. Zudem unterstützt er sie in akuten Krisensituationen.