Drei von vier Unternehmen (73%) aktualisieren ihre Business-Continuity-Pläne, um sich auf eine Krise vorzubereiten. Allerdings fühlen sich nur 5 % darauf vorbereitet, ein zukünftiges, unbekanntes und unvorhersehbares Risikoereignis zu bewerten, zu bewältigen und zu bewältigen.

Dies sind einige der Ergebnisse eines neuen Riskonnect-Berichts. Der Bericht befragte mehr als 300 Risiko- und Compliance-Experten auf der ganzen Welt zu den neuen Bedrohungen, mit denen Unternehmen heute konfrontiert sind, und dazu, wie sie ihr Risikomanagement überarbeiten, um sich auf unbekanntem Terrain zurechtzufinden.

Könnten Sie mehr tun?

Die meisten Unternehmen verlassen sich heute auf stückweise Business-Continuity-Pläne, die entweder in Silos aufgebaut sind oder die Kaskadennatur von Risiken nicht berücksichtigen. Das Problem bei diesen Ansätzen ist, dass sich Probleme, die scheinbar nichts miteinander zu tun haben oder auf eine bestimmte Abteilung beschränkt sind, zu größeren Störungen ausweiten und das Unternehmen zum Stillstand bringen können. Wenn nicht jeder im Unternehmen nach dem gleichen Schema arbeitet, sind die Pläne für die Geschäftskontinuität vergebens.

Die andere häufige Lücke in der Business Continuity-Planung ist die fehlende Abstimmung zwischen den Beteiligten hinsichtlich der Risikotoleranz. Nehmen wir an, ein Unternehmen plant für einen möglichen Ransomware-Angriff. Die Führungskräfte glauben, dass das Unternehmen das Netzwerk innerhalb weniger Tage wieder zum Laufen bringen kann. In Wirklichkeit braucht die IT-Abteilung jedoch Wochen. Das Problem: Die Beteiligten haben sich nie abgesprochen.

LESEN SIE DIESE FALLSTUDIE

Dieser Mangel an Abstimmung zwischen den wichtigsten Interessengruppen ist nur allzu häufig. Eine der Möglichkeiten, wie Unternehmen diese Herausforderung meistern können, ist die Durchführung von Risiko-Workshops. In der Tat geben 37% der Unternehmen an, dass sie heute Risikoworkshops durchführen.

Bei diesen Workshops sitzen alle relevanten Interessengruppen im selben Raum, um echte und produktive Gespräche über die Bereitschaft, die Toleranz und den Aktionsplan des Unternehmens für bestimmte Risikoereignisse zu führen. Anhand des Ransomware-Beispiels können Sie unter anderem folgende wichtige Punkte besprechen:

  • Was würde passieren, wenn das Unternehmen heute von einem Ransomware-Angriff betroffen wäre?
  • Wie viel Ausfallzeit kann toleriert werden?
  • Wie lange würde es dauern, bis Sie den Betrieb wieder aufnehmen können?
  • Würden wir in Erwägung ziehen, das Lösegeld zu zahlen – und welche Folgen hätte die Zahlung oder Nichtzahlung?
  • Wie, was und wann würden wir mit Kunden, Partnern, Mitarbeitern und Investoren kommunizieren?
  • Welche anderen Risikoereignisse könnten sich von diesem Ereignis ausbreiten und dem Unternehmen schaden?

Weitere Maßnahmen, die die befragten Unternehmen zur Vorbereitung auf Krisen ergreifen, sind:

  • Kontinuierliche Neubewertung ihres Risikoumfelds (66%)
  • Bewertung der Krisenreaktionspläne (64%)
  • Vorbereitung der Führungskräfte auf die Bewältigung unerwarteter Krisen (53%)
  • Zusammenarbeit mit abteilungsübergreifenden Interessengruppen (51%)

„Beim Risikomanagement geht es um den Umgang mit Unsicherheit. Wenn das Geschäft unsicher wird, ist es wichtig, im Kontrollturm zu sitzen, zu verstehen, was auf uns zukommt, zu wissen, was als Nächstes passieren könnte – einschließlich der peripheren Auswirkungen – und wie sich das auf das Geschäft auswirken könnte, um eine solide Grundlage für die Definition von Reaktionsstrategien zu haben. Dann können Sie diese Strategien nutzen, um sich anzupassen und zu schwenken, je nachdem, wie sich eine bestimmte Situation entwickelt.“

– Bob Bowman, Sr. Direktor, Chief Risk Officer
Risikomanagement, Enterprise Data Governance
The Wendy’s Company

Schließen Sie die Lücke, um die Widerstandsfähigkeit zu verbessern

Die Unternehmen ändern zwar endlich die Art und Weise, wie sie Risiken regeln, priorisieren und überwachen, aber die Mehrheit (63 %) hat ihre Worst-Case-Szenarien nicht simuliert, bei denen es laut den meisten Befragten um Naturkatastrophen, Cyber-Bedrohungen und geopolitische Risiken geht.

Dieses Ergebnis ist überraschend, wenn man bedenkt, wie viele „Worst-Case“-Ereignisse in den letzten Jahren eingetreten sind – die Pandemie, Unterbrechungen der Versorgungskette und Bankzusammenbrüche, um nur einige zu nennen. Unternehmen wurden von vielen störenden Ereignissen betroffen oder wurden Zeuge davon, die im Kern bekannt und vorhersehbar waren, und dennoch räumen die meisten Unternehmen einer soliden Szenarioplanung oder -prüfung keine Priorität ein.

Insbesondere der Zusammenbruch der Silicon Valley Bank war für viele Unternehmen fast ein Worst-Case-Szenario. Trotz des Ausmaßes und der globalen wirtschaftlichen Auswirkungen des Zusammenbruchs haben fast (42%) der Unternehmen, die angaben, dass der Zusammenbruch für sie relevant war, ihre Risikomanagementstrategie nicht geändert. Die Szenarioplanung ist ein wichtiger Bestandteil des Risikomanagements und muss in künftige Strategien einbezogen werden, um die Widerstandsfähigkeit zu stärken.

Erfolgreiche Business Continuity-Pläne sind keine einmalige Angelegenheit. Sie werden regelmäßig diskutiert, geübt, überarbeitet und – vor allem – unternehmensweit koordiniert. Wenn Sie das tun, haben Sie ein unschätzbares Handbuch, mit dem Sie Ihr Unternehmen genau dann am Laufen halten können, wenn Sie es am meisten brauchen.

Um einen vollständigen Überblick über die Ergebnisse der Umfrage zu erhalten, laden Sie den Bericht The New Generation of Risk herunter und testen Sie die Business Continuity & Resilience-Lösung von Riskonnect.