Gastbeitrag
14.11.2019, 08:00 Uhr
Gewappnet für den Ernstfall
Das Schlagwort Resilienz ist im unternehmerischen Kontext heute allgegenwärtig: Die Zukunft wird immer schwerer konkret vorhersehbar. Resilienz erhöht die Widerstandsfähigkeit von Unternehmen gegenüber unbekannten, meist negativen Ereignissen.
Der Autor: Adrian Marti ist Senior Manager Cyber Security & Privacy bei der AWK Group. www.awk.ch
(Quelle: AWK Group)
Mit der zunehmenden Digitalisierung und Vernetzung von Unternehmen werden die Identifikation und das Beherrschen von Risiken immer komplexer. Das klassische Risikomanagement misst erkannten Risiken einen finanziellen Wert bei, indem es die Schadenshöhe und die Eintrittswahrscheinlichkeit bewertet.
Es wird versucht, den Aufwand für die im Schadensfall erforderlichen Massnahmen und die dadurch anfallenden Kosten zu optimieren. In einer vielschichtigen und volatilen Bedrohungslandschaft können aber nicht mehr alle Risiken identifiziert werden. Zusätzlich ist es aufgrund der zahlreichen Abhängigkeiten schwierig, die Folgekosten von Risiken zu quantifizieren. Das Schadensausmass verschwimmt zu einem Schadensbereich.
Leitkonzept für den Fortbestand
Resilienz hat zum Ziel, die Widerstandsfähigkeit des gesamten Unternehmens zu erhöhen, was bedeutet, die Fähigkeit von Organisationen, geschäftsgefährdende Ereignisse über einen Zeitraum tolerieren zu können und sich an sich ändernde Umstände anzupassen. In resilienten Unternehmen wird anstatt einzelner Risiken das Schadensausmass für bestimmte Risikogruppen geschätzt und mit den Kosten für die notwendigen Massnahmen verglichen. Ausgangsbasis für die Definition möglicher Risikogruppen sind die aktuelle Bedrohungslandschaft und die im Unternehmen gewonnenen Erfahrungen.
Operationelle Resilienz stellt sicher, dass die Erbringung von internen und externen Dienstleistungen auch bei Ausfällen von Teilprozessen oder Zulieferern gewährleistet werden kann. Obwohl sie sich an das Operational Risk Management anlehnt, werden nicht nur explizite Risiken behandelt. Teilweise müssen zur Steigerung der operationellen Resilienz bewusst finanzielle Ineffizienzen in Kauf genommen werden, um auch unter erschwerten Bedingungen einen stabilen Service zu erbringen, beispielsweise durch Überdimensionierung, Redundanz oder Rückfallebenen.
Erfolgsfaktoren für resiliente Unternehmen
- Kultur ist ein Grundpfeiler für Resilienz. Mitarbeitende müssen befähigt und unterstützt werden, Änderungen aktiv mitzugestalten.
- Führungsunterstützung in Verbindung mit dem Enterprise Risk Management. Besonders aufgrund der bewussten finanziellen Ineffizienzen müssen Massnahmen zur Steigerung der Resilienz durch die oberste Führung getragen werden.
- Bei sämtlichen Vorhaben muss von Anfang an auf Resilienz geachtet werden. Klare, unternehmensweite Kompetenzregelungen sind dafür von zentraler Bedeutung. Mit langen Entscheidungswegen kann Resilienz in einer Organisation oftmals nicht mehr sichergestellt werden.
- Tests, Übungen und Überprüfungen der getroffenen Massnahmen sind essenziell, um Resilienz auch im Ernstfall sicherzustellen.
Wie man widerstandsfähiger wird
Um ein Unternehmen resilient zu gestalten, muss das Unternehmen sowohl sich selbst als auch sein Umfeld verstehen. Dies wird aufgrund der zunehmenden Vernetzung und Dezentralisierung immer schwieriger. Daher ist der Ansatz einer zentralen Stelle, von der alle Resilienz ausgehen soll, immer weniger praktikabel. Vielmehr ist es notwendig, dass Resilienz zu einem Element der Unternehmenskultur wird, in der jeder Mitarbeitende seinen Beitrag leisten kann.
Aus der Praxis kennt man wiederkehrende Muster (Resilienzkonzepte), die in den verschiedenen Domänen des Operating Models eingesetzt werden können, um die Maturität der Resilienz zu erhöhen. Beispiele für einfache Konzepte sind Redundanz, Kapselung, Skalierung, Dezentralität und Autonomie. Ein resilientes Unternehmen besitzt in allen Domänen ein auf den Schutzbedarf und die Bedrohungslage abgestimmtes Maturitätsniveau. Wird eine der Domänen vernachlässigt, kann die fehlende Maturität nicht durch Reife in den anderen Domänen kompensiert werden.
Fazit
Resilienz ist kein Luxus, sondern eine Notwendigkeit für die Sicherung der Überlebensfähigkeit jedes Unternehmens. Nur Organisationen, die Resilienz in der gesamten Betriebsstruktur verankern, können im Zeitalter des digitalen Wandels erfolgreich bestehen.