Gajus - stock.adobe.com
Organisatorische Resilienz schützt vor bösen Überraschungen
Der Weg zur resilienten Organisation erfordert eine genaue Kenntnis sämtlicher Betriebsabläufe und damit verbundener Risiken sowie der einschlägigen Standards von ANSI, ISO und BS.
Im Detail gibt es unterschiedliche Definitionen von „organisatorischer Resilienz“. Doch einige Konzepte und Grundeigenschaften gleichen sich, egal, welche Definition man zugrunde legt.
Resilienz bedeutet, dass eine Organisation die Auswirkungen disruptiver Ereignisse kompensieren kann, sich an die Umstände, die mit dem Ereignis verbunden sind, anpasst und dann ihre Mitarbeiter, Prozesse, Technologien und den gesamten Betrieb wieder in den Normalzustand versetzt, so dass der Geschäftsbetrieb weitergehen kann.
Um das zu erreichen, müssen Unternehmen ihr Geschäft genauso gut kennen wie Resilienzstandards. Um ein organisatorisches Resilienzmodell zu implementieren und zu validieren, sollte man einer Reihe von logisch aufeinander aufbauenden Schritten folgen.
Resilienzstandards für Unternehmen
Es gibt drei formelle Standards für die Resilienz von Organisationen:
- ASIS Interneational 1-2009 Organizational Resilience: Sicherheit, Vorbereitung und Systeme, die den Geschäftsbetrieb aufrechterhalten – Anforderungen und Umsetzungshinweise (2009)
- Britisch Standards Institution BS 65000: Leitlinien zur organisatorischen Resilienz (2014)
- Internationale Organisation für Standardisierung ISO 22316:2017: Sicherheit und Resilienz – Organisatorische Resilienz – Prinzipien und Merkmale (2017)
Jeder dieser Standards umfasst die fundamentalen Konzepte der organisatorischen Resilienz und enthält Leitlinien dazu, wie man eine Managementinitiative zu diesem Thema aufbaut und dauerhaft etabliert. Die drei Standards sind chronologisch aufgelistet. Sie reflektieren in dieser Reihenfolge, wie sich die allgemeine Herangehensweise an das Thema graduell über die Jahre verändert hat. Insbesondere hat sich weiterentwickelt, wie Organisationen organisatorische Resilienz etablieren, wie sie sie messen, überwachen, testen und verbessern.
Ein Modell organisatorischer Resilienz
Für das Thema organisatorische Resilienz wurden diverse Rahmenkonzepte entwickelt. Aus ihnen können Organisationen dann ihr eigenes Modell ableiten. Bild 1 zeigt ein solches Modell und das damit verbundene Framework.
Modell und Framework umfassen die primären Bereiche, die zur organisatorischen Resilienz gehören: Betriebsmanagement, Risiko- und Bedrohungsmanagement, Unternehmensführung, menschliches Verhalten, Organisationskultur und Geschäftsstrategien. Jeder dieser Bereiche muss sich während der Entwicklung organisatorischer Resilienz intensiv engagieren und kooperieren, denn jeder hat eine kritische Rolle.
Abbildung 1 zeigt auch sechs unentbehrliche Elemente der organisatorischen Resilienz: Business Continuity und Disaster Recovery (BC/DR) sowie Krisenmanagement, IT, Gebäudemanagement, Management der physischen Sicherheit, Finanzmanagement und Management der Lieferkette. Unterbrechungen oder Ausfall jedes einzelnen dieser Elemente können die Fähigkeit einer Organisation beeinträchtigen, sich von unerwarteten Zwischenfällen zu erholen und das normale Geschäft wieder aufzunehmen.
Um eine Organisation resilient zu gestalten, müssen die genannten Aspekte über alle Geschäftsbereiche hinweg ausbalanciert werden. Das gilt besonders für diejenigen Bereiche, die den Geschäftsbetrieb unterstützen und die Ressourcen für die Risikominderung verwalten.
Wie man organisatorische Resilienz erreicht
ISO, ASIS und BS nutzen das Modell Planen-Umsetzen-Prüfen-Handeln. Dieses Modell zeigt auch, welche Schritte in welcher Reihenfolge unternommen werden müssen, um organisatorische Resilienz zu erreichen.
Planen
Zunächst baut das leitende Management ein Resilienzteam auf und betraut es mit seinen Aufgaben. Dann sammelt die Organisation alle verfügbaren Informationen darüber, wie das Unternehmen auf allen Ebenen funktioniert. Dazu gehört eine Überprüfung von Belegschaft, Prozessen, Technologien, Liegenschaften, Kultur und Führung. Das Resilienzteam führt eine gründliche Risikoanalyse durch. Sie soll alle potentiellen Risiken, Bedrohungen und Schwachpunkte identifizieren genau wie die Aktionen, mit denen die Organisation Ereignisse abwehrt, die den Geschäftsbetrieb unterbrechen könnten.
Wurden diese Daten sowie alle erforderlichen weiteren Daten einmal gesammelt, sollte das Resilienzteam Kriterien dafür festlegen, wie das Unternehmen in eine resiliente Organisation verwandelt werden kann. Schließlich muss es einen Plan entwickeln, die festgelegten Kriterien und damit die erwünschte Resilienz zu erreichen.
Umsetzen
Nun werden aus dem Resilienzplan einzelne Handlungsschritte entwickelt. Sind diese abgeschlossen, sollte daraus eine resiliente Organisation resultieren, wie sie vom Team definiert wurde.
Jetzt folgt die Entwicklung eines Projektplans, der die nötigen auszuführenden Aktivitäten im Detail beschreibt, um Resilienz herzustellen und zu validieren. Dann werden die einzelnen Schritte durchgeführt, und schließlich prüft und bewertet man, ob die Schritte auch vollständig umgesetzt wurden. Aktivitäten wie Herstellung von Risikobewusstsein und Training, Unterrichtung der Unternehmensführung und periodische Statusüberprüfungen gehören sämtlich zur Implementierung.
Prüfen
Nach vollständiger Umsetzung der Resilienzinitiativen muss das Team sie testen und validieren. So ist sichergestellt, dass alle Verantwortlichen mit ihren Pflichten und Aktivitäten bei einem Notfall vertraut sind. Aufbauend auf den Tests überprüft und aktualisiert das Team alle Regeln und Abläufe, die sich aus den Resilienzinitiativen ergeben.
Handeln
Nach der Validierung der Resilienzaktivitäten sollte das Team die Pläne, Abläufe und Regeln bei Bedarf aktualisieren. Periodisch sollten Überprüfungen, Bewertungen und Audits vorgenommen werden. Regelmäßig sollten auch die oberste Führungsebene und die Mitarbeitenden unterrichtet werden, um die gesamte Belegschaft informiert zu halten.