Andreas Hessel, CISO, BCM-Manager, Risikomanager, Informationssicherheit, SaarLB

Die Möglichkeit einer Pandemie und deren Auswirkungen auf Unternehmen wurden seit etlichen Jahren in Fachkreisen immer wieder diskutiert. Insbesondere auf der Managementebene wurde das Risiko einer Pandemie in der Regel aber nicht ernst genommen. In den wenigsten Unternehmen gab es in der Vergangenheit belastbare Pandemiepläne. Weder Wirtschaftsprüfer noch die BaFin haben dieses Risiko in den letzten Jahren tatsächlich bei ihren Prüfungen des Notfallmanagements thematisiert. Umso wichtiger ist es jetzt, die Lehren aus den letzten Monaten zu ziehen und in das Notfall- bzw. Krisenmanagement zu integrieren. Wir sollten uns daher weniger um die Definition dieser Begriffe, sondern umso mehr um die Praxis kümmern. Dazu gehören insbesondere die Erkenntnisse in Bezug auf die Kommunikation im Unternehmen als auch die Kommunikation zu Dienstleistern und Behörden. Ebenso gilt es, die Verschiebung der Risiken hin zu Personal- bzw. Prozessausfällen genauer zu analysieren. Denn die nächste Pandemie kommt bestimmt und der nächste Notfall auch. 

Seminartipps

• Notfallmanagement AKTUELL, 12.04.2021, Zoom
• Prüfung Notfallmanagement, 19.10.2021, Köln

Kommunikation, Awareness und Führung in der Krise.

Das Krisenmanagement in der Pandemie ist geprägt von unvorhersehbaren Umständen. Es gab zu Beginn der Pandemie in der Regel keine passenden Wiederanlauf- oder Geschäftsfortführungspläne, die man hätte aus der Schublade ziehen können. Ebenso wenig wurde diese Situation in der Vergangenheit regelmäßig geübt. Streng genommen gab es bei Ausbruch der Pandemie auch keinen Not- oder Krisenfall. Es bestand im Wesentlichen die Möglichkeit einer Betriebsschließung und eines großflächigen Personalausfalls. Es galt also, das Unternehmen in kürzester Zeit auf den Worst Case vorzubereiten und insbesondere alle Stakeholder „ins Boot“ zu bekommen. In diesen Situationen sind Soft Skills, wie Empathie, Überzeugungskraft und Entscheidungswille von großer Bedeutung für das erfolgreiche Krisenmanagement. Was das für Ihre Praxis bedeutet, erfahren Sie in unserer Veranstaltung.

Risikoorientierte Einbindung von Auslagerungsdienstleistern in das Notfallmanagement.

Das Risikomanagement von Dienstleistern hat sich gerade durch die neuen BAIT stark verändert. Im Vordergrund des Risikomanagements steht nicht mehr die Frage nach Auslagerung oder sonstigem Fremdbezug. Im Vordergrund stehen die Risiken, die sich durch Dienstleister für das Institut tatsächlich ergeben. Ob diese Risiken aus der Informationssicherheit, der Compliance oder auch aus betriebswirtschaftlicher Sicht resultieren ist für das Risikomanagement nicht von Bedeutung. Das Notfallmanagement benötigt verlässliche Risikoeinstufungen für die Dienstleister aus dem Risikomanagement. Nur so können die Daten aus der Business Impact Analyse (BIA), als auch die Daten aus den Wiederanlauf- und Geschäftsfortführungsplänen evaluiert werden. Auf dieser Basis können sachgerechte und risikoorientierte Übungen mit den Dienstleistern abgeleitet werden. Dazu müssen die Fachbereiche, das Auslagerungsmanagement, das Informationssicherheitsmanagement, Compliance und das Risikomanagement zusammenarbeiten. 

Notfallmanagement ist kein Papiertiger. Notfallmanagement ist ein Prozess. Die Corona-Krise zeigt, wie wichtig sachgerechte und risikoorientierte Notfallprozesse für den Fortbestand eines Unternehmens sind. Diese Erfahrungen gilt es zu nutzen und in ein risikoorientiertes gesamtheitliches Notfallmanagement zu integrieren. 

PRAXISTIPPS

• Die risikoorientierte Einbindung von Dienstleistern in das Notfallmanagement setzt ein funktionierendes Risikomanagement voraus. Hierbei gilt es, schnellstmöglich auch die „Lessons Learned“ aus der aktuellen Krisensituation in das Notfallmanagement einfließen zu lassen. Das heißt ganz konkret, dass alle Stakeholder sich ihrer Verantwortung im Notfallmanagement bewusst werden müssen. Dazu bedarf es einer entsprechenden Awareness im gesamten Unternehmen. Das BCM muss hier ggf. neue Wege beschreiben und aktiv auf das Management und die Fachbereiche zugehen.
• Notfall- und Krisenmanagement müssen verstärkt das Szenario Personalausfall im Unternehmen „stressen“. Denn die Aufsicht und die Wirtschaftsprüfer werden nach der Pandemie den Fokus genau auf dieses Szenario legen. Umfragen der Aufsicht in Bezug auf den Umgang mit der Pandemie aus dem letzten Jahr weisen schon in diese Richtung. In der aktuellen Krisensituation hat sich gezeigt, dass das Szenario Personalausfall sehr komplex ist, gerade auch im Hinblick auf die Dienstleistersteuerung. Hier gilt es, flexible Prozesse zur Steuerung von Mitarbeiterkapazitäten im gesamten Unternehmen zu etablieren. 
• Das Risikomanagement ist ein zentraler Unternehmensprozess, der auch die „Leitplanken“ für das Notfallmanagement setzt. Denn nur, wenn die Risiken eines Dienstleisters bekannt sind, können risikoorientierte und sachgerechte Notfallpläne sowie zielführende Übungen mit dem Dienstleister durchgeführt werden. Dazu müssen allerdings Methoden zur Erhebung von Risiken und deren Bewertung im Unternehmen umgesetzt werden. Diese sollten wiederum sachgerecht sein und nicht über das Ziel hinausschießen. Gesunder Pragmatismus ist hier gefordert.
• Standards wie der neue BSI-Standard 200-4 BCM, liefern wertvolle Unterstützung beim Aufbau eines risikoorientierten Notfallmanagements. Insbesondere liefern die Kapitel zum Outsourcing und zur Notfallkommunikation konkrete Handlungsempfehlungen für die Praxis.

Informationen aus der Praxis für die Praxis, zusammengefasst in einer ebenso spannenden wie interessanten Veranstaltung rund um das Notfallmanagement.