Risikomanagement in der Krise

Die derzeitige COVID-19 Pandemie offenbart große Schwächen im Risikomanagement zahlreicher Organisationen. Während das World Economic Forum in seinen jährlich erscheinenden Global Risk Reports regelmäßig vor Risiken aufgrund von Pandemien warnte, spielten diese im Risikomanagement – wenn überhaupt – nur eine untergeordnete Rolle. 

Auch das Business Continuity Management (BCM) konnte Unternehmen häufig nur eingeschränkt Lösungen bei der Bewältigung der COVID19-Krise anbieten. Die Ausrichtung der “Notfallsysteme & Notfallpläne” fokussiert in vielen Fällen ausschließlich auf den Umgang mit IT-Ausfällen (Stichwort: IT Disaster Recovery). Die ganzheitliche Betrachtung einer Pandemie mit ihren gewaltigen Auswirkungen auf Unternehmen, Gesellschaft und Politik über Kontinente hinweg, gab es jedoch weder im Business Continuity Management noch im Risikomanagement.

Zurzeit liegt der Fokus in Unternehmen noch auf der operativen Bewältigung der aktuellen Krise. Sobald sie sich jedoch wieder in einigermaßen sicherem Fahrwasser befinden, wird die Überprüfung und Aktualisierung des Krisenmanagements in den Vordergrund rücken. Waren wir als Unternehmen im Hinblick auf die Herausforderungen der Pandemie richtig aufgestellt, haben wir die richtigen Maßnahmen getroffen und vor allem was müssen wir tun, damit wir für die nächste Krise gewappnet sind? Wie können wir die Resilienz unseres Unternehmens stärken? 

Wer sich mit diesen Fragen im Unternehmen ernsthaft beschäftigt, wird nicht darum herumkommen, sich intensiv mit den “blinden Flecken” im Risikomanagement und Business Continuity Management auseinanderzusetzen.

Das unternehmensweite Risikomanagement wird sich künftig breiter aufstellen müssen, so dass Risiken aus den Bereichen Umwelt und Gesundheit aber auch aus den globalen Lieferketten in der Analyse eine stärkere Rolle spielen. Das Ziel ist, schnell, zielgerichtet und konsequent bei Eintritt dieser Risiken zu reagieren. Dazu ist es erforderlich, dass die primär subjektiven Risikoeinschätzungen mit objektiven Daten aus internen wie externen Quellen hinterlegt werden. Die Erarbeitung von Risikoszenarien und die Durchführung von Risikosimulationen – insbesondere für Risiken mit einer geringen Eintrittswahrscheinlichkeit und einer hohen Schadenshöhe – bilden die Grundlage für die Entwicklung von Strategien und Plänen zur Bewältigung zukünftiger Krisen. 

Die Weiterentwicklung im Risikomanagement wirkt sich auch direkt auf das Business Continuity Management aus und erfordert eine stärkere Verzahnung beider Disziplinen. Die Ergebnisse der Risikobewertung bilden in Kombination mit der Ableitung geeigneter Risikostrategien die Basis für die im BCM ausgearbeiteten, konkreten Maßnahmen zur Sicherstellung des Fortbestands des Unternehmens im Krisenfall. Dabei darf sich das BCM nicht nur auf IT-Ausfälle ausrichten, sondern muss analog zum Risikomanagement auch Szenarien aus den Bereichen Umwelt, Gesundheit und Liefer- und Absatzketten explizit miteinbeziehen. BCM stellt somit einen integralen Bestandteil des aktiven, ganzheitlichen Risikomanagements in Unternehmen dar.

Die enge Verzahnung von Risikomanagement und Business Continuity Management erfordert eine innovative Softwarelösung wie die GRC Software BIC GRC Solutions, die alle relevanten Risikoinformationen in einer Plattform vereint. Erst ein ganzheitlicher Blick auf die Risikosituation des Unternehmens ermöglicht die Entwicklung nachhaltiger Strategien für den erfolgreichen Umgang mit künftigen “Black Swan” Ereignissen. Verfügbare Risikoinformationen werden in den BIC GRC Solutions transparent aufbereitet, auf Basis von Risikoszenarien mittels Simulation und Stress Testing validiert und Steuerungsmaßnahmen unter Berücksichtigung des Business Continuity Managements abgeleitet. BCM widmet sich anschließend in den BIC GRC Solutions der konkreten Ausgestaltung und Umsetzung der vereinbarten Maßnahmen. 

Durch die Integration von Risikomanagement und Business Continuity Management wird die Resilienz der Unternehmen deutlich gestärkt. Entscheidungsträger im Unternehmen erhalten aus einem integrierten, ganzheitlichen Risikomanagement alle relevanten Risikoinformationen und können so in Krisensituationen jederzeit schnell und konsequent auf Herausforderungen reagieren. Zielgerichtes Handeln ist jetzt gefordert, denn die nächste Krise kommt bestimmt.