In Krisensituationen – aber auch schon davor – geht es im geschäftlichen Kontext letztendlich um das Treffen bestmöglicher Entscheidungen. Das Aufbrechen bestehender Grenzen zwischen unterschiedlichen Funktionen wie Krisen-, Kontinuitäts-, und Risikomanagement führt zu umfassenden Lagebildern und einer besseren Informationsgrundlage – nicht nur für Krisenmanager, sondern über alle Führungsebenen hinweg.

Ich habe im vergangenen Jahr viele Unternehmen und Organisationen besucht und festgestellt, dass deren Programme auf dem Weg zur Erfüllung gesetzlicher, politischer und geschäftlicher Anforderungen in Bezug auf die operationelle Stabilität stark unterschiedliche Reifegrade aufweisen. Die Programme variieren deutlich in Bezug auf ihre Struktur und Sponsorship, Bewertungs- und Testverfahren, Abstimmung mit anderen Disziplinen, Werkzeuge und Standardisierung der Taxonomie.
Besonders auffällig sind die Unterschiede zwischen einzelnen Industrien: Vorreiter aufgrund der klar definierten regulatorischen Anforderungen ist der Banken- und Finanzdienstleistungssektor, der Konzepte und Rahmenwerke zur Absicherung der operationellen Resilienz entwickelt hat und anwendet. Diesem nah sind Organisationen und Unternehmen der kritischen Infrastruktur. Weitere Unternehmen und damit Industrien folgen, jedoch mit einigem Abstand. Trotz aller Unterschiede im Reifegrad ist die Zielsetzung jedoch meist sehr ähnlich:

• Erhöhung funktionsübergreifender Transparenz und des Wissens;
• Angleichung von Methoden, Metriken/Definitionen, Programmplänen und Bewertungspraktiken;
• Gewährleistung einer einheitlichen Organisation
  und Prozesstaxonomie.

Diese gemeinsamen Ziele führen zu der Notwendigkeit, die Konnektivität, Interaktion und Integration des Denkens in Bezug auf bestehende Risikodaten und -programme zu verbessern, da für eine optimale Krisenreaktionen schnellere und abgestimmtere Entscheidungen erforderlich sind. Fähigkeiten und einzelne Programme wie Business Continuity, Disaster Recovery, Cybersicherheit, Krisenmanagement, Unternehmenssicherheit, Risikomanagement, Compliance etc. bestehen jedoch in der Regel eigenständig und sind nicht umfassend integriert. Im Hinblick auf die Resilienz in Krisensituationen sind Teams, Daten und Messgrößen aufeinander abzustimmen – und Silos aufzubrechen. Erfolgreiche Unternehmen bilden Resilience-Hubs oder Plattformen, um eine gemeinsame Betriebssprache zu entwickeln und die notwendigen Verwaltungs-, Schutz- und Berichtsfunktionen für ihre wichtigsten Geschäftsfelder („Critical Business Services“) zu vereinheitlichen.

Umsetzbare Erkenntnisse durch Datenautomatisierung und KI

In der Praxis bedeutet dies das Zusammenspiel proprietärer Methoden zur Risikoidentifikation mit tiefergehender Datenanalyse und -automatisierung. Die kombinierte Lösung hilft dem Unternehmen, Probleme über Personen, Prozesse, Technologien, Daten und Lieferketten hinweg zu identifizieren und zu lösen. Dabei müssen Daten aus verschiedenen Silos und Technologien innerhalb der Organisation aggregiert und in umsetzbare Erkenntnisse entwickelt werden, die zum Schutz der Organisation sowie zur Erfüllung von Markenversprechen des Unternehmens bei Geschäftsunterbrechungen genutzt werden können. Dabei sind folgende fünf Kriterien relevant:

1. Konnektivität – Eliminieren von organisatorischen Datensilos, um die Datenqualität und – effizienz zu verbessern.
2. Identifizieren und Priorisieren betrieblicher Abhängigkeiten und für die Widerstandsfähigkeit  kritischer Daten und Assets.
3. Ganzheitliches Betriebsmanagement – Visualisieren von Schwachstellen im gesamten Unternehmen und Priorisieren von Investitionen in kritische Dienste, die sich direkt auf Kunden auswirken.
4. Stresstests – Automatisieren von End-to-End-Stresstests, um eine Modellierung potenzieller geschäftlicher Auswirkungen zu entwickeln.
5. Sichtbarkeit – Weiterentwicklung von Analysen und Business-Continuity-Plänen in umsetzbare geschäftliche Erkenntnisse.

Diese Kriterien finden sich auch in der Regulatorik, beispielsweise durch die britische FCA oder den europäischen Digital Operational Resilience Act (DORA) wieder. Von gesteigerter Bedeutung sind dabei die Sorgfaltspflicht und Risikoprüfung gegenüber Dritten.
Sowohl die geforderte Überwachung Dritter – gerade bei einer hohen Anzahl von Zulieferern und Dienstleistern – als auch das Zusammenbringen von Datenpunkten aus den bestehenden Silos wird nicht ohne den Einsatz fortschrittlicher Technologien möglich sein. KI (künstliche Intelligenz) und ML (maschinelles Lernen) werden eingesetzt, um vorausschauende Analysen zu erstellen und mit „Was-wäre-wenn“-Modellen datengesteuerte Simulationen zu unterstützen.  Diese fortschrittlichen Technologien sind vor allem dann effektiv, wenn sie durch größere Mengen realer Daten ergänzt werden, die von Drittanbietern für die Überwachung von  Risiken und Gefahren bereitgestellt werden.

Verantwortung der obersten Führungsebene

Organisatorisch bilden Unternehmen die Integration von Unternehmensbereichen und Resilienzfunktionen häufig über die Einrichtung zentraler Lenkungsausschüsse ab, die – unter Einbindung der obersten Führungsebene – den „Tone from the Top“ und das Zusammenführen der Daten definieren. Die organisatorische Umsetzung allein reicht jedoch nicht aus, um in Krisensituationen zu bestehen: Der Schlüssel zu umsetzbaren Erkenntnissen liegt in der Auswertung und Aufbereitung der aggregierten Datenmengen.
Durch eine weitgehende Automatisierung stehen Informationen schneller zur Verfügung und können so das Informationsdefizit in Krisensituationen verkleinern. Die Verlagerung der Auswertung in die Cloud und die Möglichkeit der Nutzung auch auf mobilen Endgeräten erhöht die Datenverfügbarkeit und macht eine Krisenreaktion unabhängiger von der Präsenz von Führungskräften. Die gemeinsame Datengrundlage, verbunden mit einer einheitlichen Betriebssprache ermöglicht eine höhere Sichtbarkeit von Problemen und Vorfällen, sodass potenzielle Krisen bereits frühzeitig identifiziert und die Reaktion darauf angemessen vorbereitet werden kann. Die damit einhergehende Befähigung zu datenbasierten Entscheidungen über alle Hierarchieebenen hinweg erhöht die operationelle Resilienz von Organisationen und unterstützt so deren erfolgreiches Krisenmanagement.

Der Autor:

Steven Richardson ist Chief Resilience Innovation Officer bei Fusion Risk Management.

Fusion RM ist laut Gartner und Forrester Wave Marktführer für Operational Resilience und Business Continuity Software.