Die Planung der Geschäftskontinuität ist von Natur aus funktionsübergreifend und muss sich mit den Risiken für das Produkt- und Dienstleistungsangebot eines Unternehmens sowie mit den Ressourcen befassen, die zur Erfüllung der Verpflichtungen erforderlich sind. Da sich Unternehmen zunehmend auf ein globales Netzwerk von Zulieferern und Dienstleistern verlassen, sind Business Continuity-Experten dafür verantwortlich, diese Beziehungen zu verstehen und zu analysieren und die Strategiefindung zu leiten, um ihr Unternehmen zu schützen, wenn es zu einer Störung durch Dritte kommt.
Die Entwicklung und Umsetzung von Business-Continuity-Strategien und Optionen zur Risikobehandlung in Bezug auf Dritte kann ein schwieriges Unterfangen sein, da die Strategien scheinbar im Widerspruch zu den strategischen Bemühungen eines Unternehmens stehen, Lieferanten aus einer Hand zu nutzen, die Lieferketten „schlank“ zu gestalten und die Lagerbestände zu reduzieren. Business Continuity-Experten müssen der Unternehmensleitung jedoch die Informationen zur Verfügung stellen, die sie benötigt, um strategische Initiativen mit der Notwendigkeit in Einklang zu bringen, Single Points of Failure zu reduzieren und ein Unternehmen zu schützen, falls eine Ressource nicht mehr verfügbar ist.
In dieser Perspektive werden die verfügbaren Instrumente zur Identifizierung und Dokumentation von Ressourcen Dritter sowie Methoden erörtert, mit denen Risiken der obersten Führungsebene zur Überprüfung und zum Handeln vorgelegt werden können.
Identifizierung von Lieferanten und Risikoebenen
Bevor Risiken behandelt oder Kontinuitätsstrategien identifiziert und implementiert werden können, müssen Business Continuity-Experten verstehen, welche Drittparteien notwendig sind, um die Lieferung von (kritischen) Produkten und Dienstleistungen fortzusetzen, und in welchem Umfang Drittparteien bei der Ausführung von Aktivitäten, die die Lieferung dieser kritischen Produkte und Dienstleistungen unterstützen, erforderlich sind. Die Entwicklung dieses Verständnisses wird am effektivsten erreicht, indem sichergestellt wird, dass der Prozess der Geschäftsauswirkungsanalyse (BIA) eine bewährte, wirksame Methode zur Identifizierung von Dritten umfasst, die von der Organisation genutzt werden, wie sie genutzt und eingebunden werden und welche Auswirkungen eine Unterbrechung durch Dritte haben könnte. Dazu muss das Unternehmen eine BIA durchführen (falls noch nicht geschehen) oder eine bestehende BIA aktualisieren, um eine Analyse der Drittanbieter einzubeziehen.
Sobald der Business Continuity-Experte die kritischen Lieferanten identifiziert, die Nutzung verstanden und die potenziellen Auswirkungen dokumentiert hat, sollte er die bestehenden Kontrollen identifizieren und die Wahrscheinlichkeit eines Störfalls berücksichtigen, der sich auf jeden Dritten auswirken würde. In einigen Unternehmen dienen die Beschaffungsabteilung, der Einkauf oder sogar das Risikoteam für Lieferanten (oder ein vergleichbares Gremium) als umfassende Quelle für diese Informationen und können wahrscheinlich Informationen über die Kontinuität von Drittanbietern und die Wiederherstellungskapazitäten im Katastrophenfall liefern oder frühere Vorfälle beschreiben, die zu einer Unterbrechung von Produkten oder Dienstleistungen geführt haben. In kleineren Unternehmen müssen diese Informationen unter Umständen durch eine gründliche Analyse historischer Vorfälle und durch die direkte Ansprache von Drittanbietern beschafft werden. Strategische Auswirkungen (wie z.B. die finanziellen Auswirkungen) können bei dieser Untersuchung ebenfalls ermittelt werden und helfen dabei, Strategieempfehlungen für das Top-Management zu rechtfertigen.
Parallel oder unmittelbar nach der Identifizierung und Dokumentation dieser Informationen sollten Business Continuity-Experten eine formelle Risikobewertung durchführen (oder eine bestehende Risikobewertung aktualisieren), um die Wahrscheinlichkeit eines Störfalls, die potenziellen Bedrohungen, die Auswirkungen eines Verlusts und die bestehenden Kontrollen zu berücksichtigen und so den Risikograd für jeden Lieferanten zu ermitteln. Das wichtigste Ergebnis der Risikobewertung ist die Entwicklung einer Risikobewertung für jeden Lieferanten (in der Regel die Wahrscheinlichkeitsbewertung multipliziert mit der Auswirkungsbewertung oder einer ähnlichen Methode). Die Bewertungen der Auswirkungen und der Wahrscheinlichkeit sollten auf der Grundlage messbarer Kriterien definiert und im gesamten Unternehmen einheitlich angewendet werden.
Wenn die Ergebnisse der BIA und der Risikobewertungen kombiniert werden, sind Business Continuity-Experten besser in der Lage, die kritischsten Beziehungen ihres Unternehmens zu Dritten sowie die dringendsten Risiken und Chancen im Zusammenhang mit diesen Beziehungen zu verstehen. Möglicherweise muss der Praktiker zusätzliche Analysen durchführen, um festzustellen, ob die Lieferanten mit dem höchsten Risiko zusätzliche Abhilfemaßnahmen erfordern. In vielen Fällen können Unternehmen ihre Lieferanten in kritische und nicht-kritische Stufen einteilen, um die weitere Analyse zu erleichtern; Kriterien für kritische Lieferanten können beispielsweise sein, ob:
- Der betreffende Lieferant wird für die Ausführung einer Aktivität benötigt, die die Lieferung eines (kritischen) Produkts oder einer Dienstleistung im Geltungsbereich unterstützt;
- Das gelieferte Produkt oder die Dienstleistung konnte nicht von einem anderen, bereits von der Organisation genutzten Anbieter bereitgestellt werden; und
- Der Grad der Integration des Lieferanten in das Unternehmen und die Komplexität der Ersetzung des Lieferanten nach dem Eintreten eines Störfalls übersteigt ein akzeptables Niveau (das von der Unternehmensleitung festgelegt wurde).
Die Prüfung der Lieferanten mit höherem Risiko (die durch die Bewertung identifiziert wurden) und die anschließende Feststellung, ob diese Lieferanten zusätzliche Abhilfemaßnahmen benötigen, ermöglicht eine Diskussion mit der Geschäftsleitung, um festzustellen, ob zusätzliche Abhilfemaßnahmen erforderlich sind.
Denken Sie daran, dass Risiken zwar den anderen Prioritäten eines Unternehmens zuwiderlaufen können (wie z.B. hocheffiziente und kostengünstige Lieferketten), dass es aber dennoch wichtig ist, dass Business Continuity-Experten das Top-Management über bestehende Risiken informieren und beraten, um eine strategische und angemessene Entscheidungsfindung zu ermöglichen.
Präsentation der Ergebnisse
Mit der Präsentation der Ergebnisse der Analyse der Auswirkungen auf das Geschäft und der Risikobewertung durch Dritte können Business Continuity-Verantwortliche zwei Ziele erreichen:
- Information der obersten Führungsebene über Risiken und Möglichkeiten der Risikominderung im Zusammenhang mit kritischen Lieferanten und Dritten (einschließlich Schwachstellen im Zusammenhang mit Lieferanten aus einer Hand und Single Points of Failure); und
- Ermöglichen Sie eine strategische Entscheidungsfindung hinsichtlich der Risikobehandlung.
Durch die Präsentation der Ergebnisse der BIA und der Risikobewertung in einer nach Prioritäten geordneten und einfachen Art und Weise können Business Continuity-Experten der obersten Führungsebene die Informationen zur Verfügung stellen, die sie benötigen, um die zuvor besprochenen strategischen Initiativen mit den Risiken, die mit einem globalen Netzwerk von Lieferanten und Dienstleistern verbunden sind, effektiv abzugleichen. Um diese Aufgabe zu bewältigen, bedarf es einer sorgfältigen Planung, einer detaillierten Datenerfassung/-analyse und der Fähigkeit, funktionsübergreifend zu arbeiten (idealerweise findet diese Präsentation im Rahmen eines wiederkehrenden Management-Review-Prozesses statt). Bei der Präsentation dieser Informationen vor dem Topmanagement sollte darauf geachtet werden, dass die identifizierten einzelnen Schwachstellen sowie die strategischen Auswirkungen von Lieferanten, die die Lieferung mehrerer Produkte und Dienstleistungen ermöglichen, hervorgehoben werden. Die Darstellung der Lieferanten mit dem höchsten Risiko ist ein guter Ausgangspunkt.
Die Geschäftsleitung erwartet, dass die Experten für Business Continuity nicht nur eine Liste der priorisierten Risiken vorlegen, sondern auch Vorschläge zur Schließung dieser Lücken machen.
Für Business Continuity-Experten, die in großen Unternehmen tätig sind, ist es außerdem wichtig zu erkennen, dass die Teams für Beschaffungs- und Lieferantenrisiken zwar einen wichtigen Beitrag leisten und wichtige Partner in diesem Prozess sind, dass sie jedoch häufig nicht für die Dokumentation potenzieller Auswirkungen auf interne Abteilungen oder die Ermittlung von Business Continuity-Strategien für einzelne Dritte zuständig sind. Die Risikoteams für Lieferanten konzentrieren sich oft mehr auf die Minimierung finanzieller und operativer Risiken als auf die organisatorische Vorbereitung und die Geschäftskontinuität.
Schlussfolgerung
Business Continuity-Verantwortliche, die sich proaktiv darum bemühen, die mit den Beziehungen zu Dritten verbundenen Risiken zu verstehen, zu dokumentieren und zu behandeln, können die Wahrscheinlichkeit eines störenden Zwischenfalls sowie die Auswirkungen eines solchen Zwischenfalls erheblich verringern. Diese Aktivität ist ein wichtiger Bestandteil vieler Business Continuity Management Systeme, vor allem aufgrund eines zunehmend globalisierten Geschäftsumfelds, in dem viele Unternehmen auf komplexe Beziehungen zu Dritten angewiesen sind, um ihre wichtigsten Produkte und Dienstleistungen zu liefern. Business Continuity-Experten spielen eine entscheidende Rolle bei der Bewertung und dem Management des Risikos, das sich aus diesen Beziehungen ergibt, da sie dafür verantwortlich sind, das Top-Management mit den Informationen auszustatten, die es braucht, um die geschäftlichen Anforderungen mit den Risiken und Chancen abzuwägen, die sich aus den Beziehungen zu Dritten ergeben.
Business Continuity und IT Disaster Recovery Planung ist alles, was wir tun. Wenn Sie Hilfe beim Aufbau oder der Verbesserung Ihres Business-Continuity-Programms suchen, können wir Ihnen helfen.
Nehmen Sie noch heute Kontakt mit uns auf, um loszulegen. Wir freuen uns darauf, von Ihnen zu hören!
ISO Technical Specification Release:
Am 16. September 2015 hat die Internationale Organisation für Normung (ISO) eine technische Spezifikation (angelehnt an ISO 22301) veröffentlicht, die sich mit dem Thema Kontinuität in der Lieferkette befasst. Mehr dazu erfahren Sie hier:
