Die meisten Unternehmen bauen ihre Risikomanagement- und Resilienz-Frameworks auf einer einfachen Prämisse auf: Bedrohungen identifizieren, bewerten und kontrollieren. Sie entwickeln einen Business-Continuity-Plan für den Fall, dass wichtige Systeme oder Prozesse ausfallen. Über viele Jahre hinweg hat dieser Ansatz seinen Zweck erfüllt.
Doch das heutige Betriebsumfeld ist geprägt von vernetzten Risiken, miteinander verflochtenen Lieferketten, integrierter Technologie und Abhängigkeiten von Drittanbietern, was bedeutet, dass Störungen selten isoliert auftreten. Sie wirken sich kaskadenartig auf Teams, Partner und Systeme aus, sodass ein auf Einzelereignisse ausgerichtetes Risiko- und Resilienzmanagement nicht mehr ausreicht. Dieses volatile und komplexe Umfeld hat Unternehmen dazu veranlasst, ihre Vorbereitung und Reaktion zu stärken.
Der Aufbau eines integrierteren Modells, in dem Risiko und Resilienz als einheitliche Fähigkeit agieren, hilft Teams dabei, Lücken zu identifizieren, die Leistung unter Druck aufrechtzuerhalten und sich an Veränderungen anzupassen.
Das Management von Risiken durch Kontrollen und Kontinuitätsplanung bleibt unerlässlich, aber Unternehmen müssen dieses Fundament um Vorausschau, Anpassungsfähigkeit und die Ausrichtung an der langfristigen Strategie erweitern.
Dieser Wandel führt Unternehmen weg von isolierten Ansätzen hin zu einem resilienzorientierten Modell, das den fortlaufenden Betrieb auch bei Störungen unterstützt.
Von der Risikoprävention zur Anpassung in der Krise
Obwohl der Fokus auf der Risikoprävention wichtig bleibt, kann nicht jedes Risiko vorhergesagt, quantifiziert oder verhindert werden.
Ihr Unternehmen muss darauf vorbereitet sein zu reagieren, wenn Kontrollen versagen, Annahmen hinfällig werden oder unvorhergesehene Risikoereignisse eintreten. Dies definiert das Risikomanagement neu: von „Wie verhindern wir, dass dies passiert?“ hin zu „Wie reagieren wir, passen uns an und führen den Betrieb fort, wenn es passiert?“
In der Praxis führt dies zu einer Reihe unterschiedlicher Fähigkeiten:
- Antizipieren, wie sich Risiken kaskadenartig durch das Unternehmen ziehen
- Erschütterungen abfangen, ohne sofort zu scheitern
- Anpassung in Echtzeit
- Priorisierung unter Druck bei gleichzeitiger Aufrechterhaltung kritischer Dienste
- Erkennen und Nutzen von Chancen in Krisenzeiten
Diese Fähigkeiten bilden den Kern eines resilienten Unternehmens.
Unternehmen stehen in einem Umfeld von Polykrisen vor kaskadenartigen Störungen
Systemische Störungen gestalten die Art und Weise, wie Risiken gemanagt werden, zunehmend neu. Lieferketten, Systeme und Abhängigkeiten von Drittanbietern sind heute eng miteinander verknüpft, was bedeutet, dass Störungen selten begrenzt bleiben. Stattdessen wirken sie sich kaskadenartig auf Funktionen und Partner aus, oft zur gleichen Zeit. Dies wird gemeinhin als Polykrise bezeichnet, bei der sich mehrere überschneidende Störungen gegenseitig verstärken, anstatt isoliert aufzutreten.
„Ein Cyber-Vorfall betrifft nicht mehr nur die IT. Er kann Betriebsschließungen, regulatorische Verstöße, Reputationsschäden und den Verlust von Talenten auslösen. Ebenso beeinflussen Klimaereignisse die Lieferkette, die Verfügbarkeit von Versicherungen und die Sicherheit der Belegschaft.“
— Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare
Traditionelle Risiko-Frameworks wurden für begrenztere Einzelereignisse konzipiert. Risikokategorien hatten klare Verantwortliche, definierte Kontrollen und strukturierte Berichtslinien. Wenn eine einzelne Störung auftrat, waren die Reaktionswege klar. Wenn mehrere Störungen gleichzeitig auftreten, sind diese Strukturen voneinander getrennt und die Auswirkungen breiten sich über die Geschäftsbereiche aus.
Diese Trennung wird noch gravierender, wenn Risiko-, Resilienz- und Betriebsteams unabhängig voneinander reagieren, ohne ein gemeinsames Verständnis der Situation zu haben. Ein geopolitischer Schock kann beispielsweise Kraftstoffknappheit auslösen, Lieferketten unterbrechen, Kosten erhöhen, den Umsatz senken und die Stabilität der Belegschaft unter Druck setzen.
„Risikomanagement ist nicht nur eine Frage von: Wie verhindern wir, dass Dinge schiefgehen? Sondern vielmehr: Wie stellen wir sicher, dass das Unternehmen immer noch funktioniert, wenn mehrere Dinge gleichzeitig schiefgehen?“
— Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare
Auch die Erwartungen der Führungsebene haben sich gewandelt. Vorstände konzentrieren sich darauf, wie schnell und effektiv das Unternehmen auf Störungen reagiert, ob kritische Dienste unter Druck fortgeführt und angepasst werden können und wie viel Wert das Unternehmen bewahrt.
Regulierungen zwingen Unternehmen dazu, Risiko und Resilienz zu verknüpfen
Regulatorische Anforderungen konzentrieren sich zunehmend darauf, dass Unternehmen den Betrieb aufrechterhalten, Drittanbieter managen und auf Störungen als vernetztes und koordiniertes System reagieren.
In verschiedenen Rechtsordnungen erwarten Regulierungsbehörden, dass Sie operationelles Risiko, Business Continuity und die Überwachung von Drittanbietern miteinander verknüpfen. In Australien legt APRA CPS 230 Erwartungen an die durchgängige operationelle Resilienz fest, einschließlich Service-Mapping, Impact-Toleranzen und der Überwachung kritischer Anbieter. In Neuseeland konzentriert sich die Financial Markets Authority auf operationelle Resilienz und die rechtzeitige Benachrichtigung über Vorfälle. In der EU legt DORA Anforderungen für das IT-Risikomanagement, Resilienztests und Risikokontrollen für Drittanbieter fest.
Auch außerhalb von Finanzdienstleistungen sind diese Richtungen von Bedeutung. Unternehmen sollten ihre Risikomanagement- und Resilienzprozesse in ein einziges Betriebsmodell integrieren. Dies stärkt ihre Fähigkeit, Produkte und Dienstleistungen während Störungen bereitzustellen, sich bei veränderten Bedingungen oder kaskadenartigen Auswirkungen anzupassen und Lernprozesse in ihre Risiko- und Resilienzabläufe einzubauen.
Basierend auf branchenübergreifender Erfahrung hebt David Turner, CEO bei Risk New Zealand, gängige Praktiken von Unternehmen hervor, die ihre Resilienz stärken:
- Häufigeres Testen von Kontinuitätsplänen, wobei die Frequenz von jährlichen oder 18-monatigen Zyklen auf vierteljährliche oder halbjährliche Übungen erhöht wird
- Ausweitung von Monitoring und Assurance auf die gesamte Lieferkette, einschließlich Abhängigkeiten von Dritt- und Viertanbietern
- Formalisierung der Nachfolgeplanung für kritische Rollen sowie Stärkung von Cross-Training und Wissensaustausch
- Planung für systemische Störungen durch strukturierte Szenariotests und Notfallplanung
- Ausbau von Aus- und Weiterbildung, um das Bewusstsein für Risiko und Resilienz auf allen Ebenen zu schärfen
Resilienzstandards setzen auf einen integrierten Ansatz
Internationale Standards bieten Unternehmen nun Orientierung bei der Verknüpfung von Risikomanagement, Business Continuity und organisationaler Resilienz zu einem effektiven Strategie- und Betriebsmodell:
- ISO 31000 – Leitlinien für das Risikomanagement: Legt fest, wie Sie Risiken im gesamten Unternehmen identifizieren, bewerten und steuern
- ISO 22301 – Business Continuity Management Systeme: Definiert, wie Sie für Störungen planen, Business-Impact-Analysen durchführen und kritische Dienste wiederherstellen
- ISO 22316 – Organisationale Resilienz (Prinzipien und Attribute): Skizziert, wie Führung, Kultur und Anpassungsfähigkeit die langfristige Resilienz stärken
- ISO 22332 – Leitfaden für organisationale Resilienz: Bietet Anleitung zur Einbettung von Resilienz in Strategie, Betrieb und Entscheidungsfindung
Wichtig ist, dass diese Standards einen vernetzten Ansatz zwischen Unternehmensstrategie und -zielen vorschlagen, um sicherzustellen, dass integrierte Risiko- und Resilienzansätze mit dem Erfolg des Unternehmens im Einklang stehen.
Operationelle Resilienz vs. Organisationale Resilienz
Resilienz im Unternehmen hat zwei unterschiedliche Schwerpunkte: 1) Operationelle Resilienz – Aufrechterhaltung kritischer Dienste, Abläufe und Infrastrukturen während Störungen, und 2) Organisationale Resilienz – die Fähigkeit des gesamten Unternehmens, Störungen zu antizipieren, sich anzupassen und daran zu wachsen.
Die Elemente der jeweiligen Bereiche lassen sich wie folgt zusammenfassen:
| OPERATIONELLE RESILIENZ | ORGANISATIONALE RESILIENZ |
|
|
Elemente der operationellen Resilienz müssen vorhanden sein und effektiv funktionieren, um einen erfolgreichen Ansatz für die organisationale Resilienz zu unterstützen.
„Operationelle Resilienz schützt den Betrieb von heute, während organisationale Resilienz die Relevanz von morgen schützt.“
— Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare
Führungskräfte und Manager benötigen eine klare Strategie, Prozesse, Rollen und Verantwortlichkeiten sowohl für die operationelle als auch für die organisationale Resilienz, um sicherzustellen, dass sie zum richtigen Zeitpunkt die richtigen Entscheidungen treffen und die notwendigen Maßnahmen ergreifen. Dies ermöglicht es, die der Strategie zugrunde liegenden Annahmen zu testen, zu identifizieren, wo Störungen diese durchbrechen könnten, und Chancen zur Anpassung oder Neupositionierung zu nutzen.
Die menschliche Seite der Resilienz
Technologie, Prozesse und Governance bilden nur einen Teil der Gleichung. Resilienz hängt von Menschen ab, die schnelle und fundierte Entscheidungen treffen, Prioritäten ändern und Ressourcen verlagern können, wenn eine Störung eintritt.
Diese Fähigkeit entsteht nicht zufällig. Sie wird von oben nach unten geformt. Die Führung gibt den Ton an, wie ernst Resilienz genommen wird, wie und wann Entscheidungen getroffen werden und wie viel Autonomie Teams bei der Reaktion auf Störungen haben. Wenn Führungskräfte Resilienz priorisieren, klare Erwartungen kommunizieren und entschlossenes Verhalten vorleben, überträgt sich dies auf das gesamte Unternehmen, von den Führungsteams bis hin zur Frontline.
„Das Risikomanagement bewegt sich derzeit zu langsam, und diese Langsamkeit schafft ihre eigenen Risiken. Wir brauchen schneller denkende Menschen und schnelleres Handeln. Wir müssen das Betriebsumfeld unseres Unternehmens gut genug kennen, um dies zu ermöglichen.“
— David Turner, CEO, Risk New Zealand
Sie können sich nicht allein auf Strukturen verlassen. Menschen bestimmen, wie effektiv Ihr Unternehmen reagiert, wenn eine Störung eintritt.
Unternehmen, die Resilienz in den täglichen Betrieb integrieren, befähigen ihre Risiko- und Resilienz-Teams, über die bloße Aufrechterhaltung von Kontrollen und Plänen hinauszugehen. Diese Teams testen, wie Prozesse unter Stress funktionieren, hinterfragen Annahmen und kommunizieren Erkenntnisse, die schnellere und bessere Entscheidungen unterstützen.
Dies erfordert mehr als technisches Fachwissen in Risiko-Frameworks und Business-Continuity-Plänen. Stellen Sie sicher, dass Ihre Teams funktionsübergreifend arbeiten, an Szenariotests teilnehmen, sich schnell an veränderte Umstände anpassen und sich an den Geschäftszielen ausrichten können. Dies ermöglicht es ihnen, Entscheidungen zu beeinflussen, Beziehungen über Funktionen hinweg aufzubauen und Unterstützung für Resilienzinitiativen zu sichern.
Auch die Nachfolgeplanung und das Wissensmanagement erfordern Aufmerksamkeit. Die Abhängigkeit von Schlüsselpersonen setzt Unternehmen weiterhin unnötigen Risiken aus. Dokumentation allein reicht nicht aus. Ungetestete Prozesse und statische Playbooks bieten wenig Schutz, wenn sich die Bedingungen ändern.
Resilienz wird gestärkt, wenn Wissen und Lernerfahrungen über Teams hinweg verbreitet werden, anstatt bei Einzelpersonen zu verbleiben oder in Systemen verschlossen zu sein.
Resilienz durch Vorausschau und informative Signale aufbauen
Bei Resilienz geht es nicht nur darum, wie Ihr Unternehmen auf Störungen reagiert, sondern auch darum, wie frühzeitig Sie diese erkennen können. Der Unterschied zwischen einer Störung, die bewältigt wird, und einer, die eskaliert, liegt oft in der Geschwindigkeit und Qualität von Vorausschau und Signalen.
Traditionelle Risiko- und Resilienzmanagementprozesse konzentrieren sich stark auf periodische Bewertungen und strukturierte Szenarioanalysen. Diese bleiben zwar wichtig, sind aber oft zu statisch, um sich schnell entwickelnde oder vernetzte Risiken zu erfassen.
Zukunftsorientiertes Risiko- und Resilienzmanagement verlagert die Aufmerksamkeit von dem, was in der Vergangenheit passiert ist, auf das, was sonst noch passieren könnte. Dies erfordert ein strukturiertes Horizon Scanning – nicht als theoretische Übung, sondern als kontinuierlicher Prozess der Überwachung externer und interner Signale und Indikatoren.
Die Szenarioanalyse spielt eine entscheidende Rolle dabei, Erkenntnisse in Taten umzusetzen. Indem Unternehmen testen, wie sich verschiedene Arten von Störungen entfalten könnten, können sie Druckpunkte identifizieren, Annahmen hinterfragen und die potenziellen geschäftlichen Auswirkungen verstehen, bevor Ereignisse eintreten.
Entwickeln Sie Ihre regelmäßigen Risikobewertungen weiter, um neu entstehende Risiken zu identifizieren und zu bewerten. Dieser Ansatz beinhaltet die Identifizierung von Abhängigkeiten sowie von Signalen und Indikatoren, um die Qualität der Erkenntnisse zu verbessern und ein frühzeitiges Eingreifen zu unterstützen.
Der Wert dieses Ansatzes liegt nicht nur in einem besseren Bewusstsein. Er reduziert unerwartete Risiken und verbessert die Qualität und Geschwindigkeit der Entscheidungsfindung bei Störungen. Unternehmen, die in Vorausschau investieren, minimieren Überraschungen, reagieren früher und begrenzen das Ausmaß und die Auswirkungen von Störungen auf das Geschäft.
Dies verlagert das Risiko- und Resilienzmanagement von der periodischen Analyse hin zu einem kontinuierlichen Bewusstsein, bei dem Signale in Echtzeit überwacht und darauf reagiert wird, anstatt sich ausschließlich auf geplante Überprüfungen und Aktualisierungen zu verlassen.
Entwicklung Ihrer Risikoprozesse zu einer resilienzorientierten Fähigkeit
Der Wechsel von der Verwaltung von Risikoregistern und Business-Continuity-Plänen in isolierten Funktionen hin zu einer integrierten, auf Risiko und Resilienz ausgerichteten Fähigkeit erfordert mehrere Änderungen im Unternehmen.
Agnès de Calbiac, Head of Enterprise Risk and Assurance bei Southern Cross Healthcare, skizziert vier praktische Schritte, die Sie unternehmen können:
- Nutzen Sie Szenarioplanung, um frühzeitig zu erkennen, wo Ihre Strategie scheitern könnte. Dies hilft Ihnen, früher zu handeln und bessere Investitionsentscheidungen zu treffen, bevor Risiken eskalieren.
- Verknüpfen Sie Risikoaktivitäten in Ihrem gesamten Unternehmen. Dies verbessert die Abstimmung von Teams, Daten und Prioritäten und klärt die Entscheidungsbefugnisse während eines Vorfalls.
- Kartieren und stresstesten Sie wichtige Abhängigkeiten. Dies hilft Ihnen zu verstehen, wie sich Störungen über Lieferanten, Partner und Ihre Belegschaft ausbreiten, anstatt nur einzelne Kontrollen zu betrachten.
- Betrachten Sie Störungen als Lernchancen. Dies ermöglicht eine kontinuierliche Verbesserung durch Übungen, Überprüfungen und Anpassungen für die Zukunft.
Stärkung der operationellen Resilienz durch integriertes Risikomanagement
Ein unzusammenhängender Ansatz für Risiko und Resilienz hinterlässt Lücken und Schwachstellen während Störungsereignissen. Die Zusammenführung beider Bereiche führt zu effektiveren Plänen und Prozessen, die auf gemeinsamen Daten und Erkenntnissen basieren und dann für eine schnelle Reaktion und Entscheidungsfindung eingesetzt werden können.
Im ersten Teil der Webinar-Reihe „Resilience Reset“ mit Riskonnect hob Agnès de Calbiac drei gängige Szenarien hervor, in denen die Integration von Risiko und Resilienz die Ergebnisse verbessert.
Cyberangriff
Nehmen wir einen Ransomware-Angriff. Ein kontrollorientierter Risikoansatz betont die Prävention durch Firewalls, Zugriffskontrollen und Authentifizierung, während sich Resilienz-Bemühungen auf die Wiederherstellung nach einem Systemausfall konzentrieren. Wenn diese Bemühungen getrennt bleiben, entstehen bei Vorfällen Lücken und die Reaktion verlangsamt sich.
Ein integrierter Ansatz bereitet Sie sowohl auf die Prävention als auch auf die Kontinuität vor. Sie konzipieren Systeme so, dass sie sicher ausfallen („fail-safe“), halten kritische Dienste auf einem reduzierten, aber funktionsfähigen Niveau aufrecht und legen klare Entscheidungsbefugnisse im Voraus fest. Selbst wenn ein Angriff Ihre Kontrollen durchbricht, können Sie Ihre Kunden weiterhin bedienen und betriebliche Störungen begrenzen.
Störung der Lieferkette
Nehmen wir einen Fertigungsbetrieb, der stark von Kraftstoff abhängig ist. Ein geopolitisches Ereignis treibt die Kraftstoffpreise in die Höhe und schränkt die Verfügbarkeit ein, was sowohl die Kosten als auch die Lieferkapazität unter Druck setzt. Ein traditioneller Risikoansatz steuert das finanzielle Risiko durch Hedging, Festpreise oder Lieferantenwechsel, lässt aber die Produktion verwundbar, wenn die Transportkapazitäten knapp werden.
Eine resilienzorientierte Reaktion schafft Flexibilität in Beschaffung, Produktion und Logistik. Sie diversifizieren die Lieferoptionen, passen die Produktionsplanung an und priorisieren kritische Ergebnisse unter Einschränkungen. Zusammen helfen diese Maßnahmen Ihnen, die Lieferfähigkeit aufrechtzuerhalten und gleichzeitig die Kostenauswirkungen zu kontrollieren.
Abhängigkeit von Schlüsselpersonen
Ein leitender Ingenieur verfügt über tiefes Fachwissen über ein kritisches System. Eine traditionelle Risikoreaktion verlässt sich auf die Dokumentation, doch schriftliche Unterlagen erfassen selten, wie sich Systeme unter Druck verhalten oder wie Probleme in der Praxis gelöst werden.
Ein integrierter Ansatz verbreitet Wissen durch strukturiertes Cross-Training, Simulationen und praktische Übungen. Sie bereiten mehrere Teammitglieder darauf vor, das System unter Stress zu bedienen und wiederherzustellen, wodurch die Abhängigkeit von einer einzelnen Person verringert und die tägliche Leistung gestärkt wird.
Was ändert sich durch die Integration?
In all diesen Szenarien verbessert die Integration Ihre Reaktion. Sie halten den Service während einer Störung aufrecht, treffen unter Druck schnellere Entscheidungen und reduzieren finanzielle sowie betriebliche Auswirkungen, während weniger gut vorbereitete Unternehmen mit Verzögerungen, Umsatzverlusten und Kundenstörungen konfrontiert sind.
Argumente für die Integration von Risiko und Resilienz in Ihrem Unternehmen
Die Integration von Risiko und Resilienz erfordert Zeit und eine starke Unterstützung durch die Führungsebene. Der Wert wird deutlich, wenn man untersucht, wie sich Störungen auf den Betrieb und die Geschäftsergebnisse auswirken. Sie können damit beginnen, die Geschäftsführung einzubinden und die Diskussion auf die Risiken zu konzentrieren, die durch traditionelle, isolierte Ansätze entstehen. Dazu gehören die Konzentration auf Einzelereignisrisiken, die übermäßige Abhängigkeit von präventiven Kontrollen, die Abhängigkeit von Schlüsselpersonen und betriebliche Schwachstellen während Ausfallzeiten, die eine schnelle Reaktion und Wiederherstellung nach Störungen einschränken.
Vorstände und Führungskräfte benötigen die Gewissheit über die Leistungsfähigkeit kritischer Abläufe bei Störungen, darüber, wie schnell wesentliche Geschäftsdienste wiederhergestellt werden können und wie das Unternehmen agiert, wenn Kontrollen versagen oder Kapazitäten knapp werden.
Beginnen Sie damit, die Integrationspunkte zwischen den Risiko- und Resilienzfunktionen und -prozessen in Ihrem Unternehmen zu kartieren. Identifizieren Sie, welche Daten benötigt werden, wie sie geteilt werden, wo funktionale Grenzen Reaktionen auf aufkommende Störungen verzögern und wo isolierte oder fragmentierte Verantwortlichkeiten und Entscheidungsfindungen Resilienzinitiativen schwächen.
Bringen Sie Stakeholder frühzeitig zusammen, um ein gemeinsames Verständnis der strategischen und operativen Risiken zu schaffen. Verknüpfen Sie Diskussionen mit Unternehmenszielen und Geschäftsprioritäten, die bereits in der Entscheidungsfindung der Geschäftsführung verankert sind, einschließlich Business Continuity, organisationaler und finanzieller Stabilität, Reputationsschutz und nachhaltiger Wettbewerbsposition.
Wenn sich Unternehmen einer Abstimmung zwischen Risiko- und Resilienzfunktionen annähern, nimmt die Interaktion zwischen den Teams stetig zu, Prozesse verbessern sich und gemeinsame Daten erhöhen die Sichtbarkeit aufkommender Risiken und unterstützen eine fundierte Entscheidungsfindung. Dies wiederum verbessert Ihre Fähigkeit, den Geschäftsbetrieb und die Leistung auch bei Störungen aufrechtzuerhalten.
Risikomanagement und Resilienz als Disziplinen entwickeln sich ständig weiter. Änderungen in Regulierungen, internationalen Standards und Leitlinien sowie führende Unternehmen treiben den Wandel voran: weg von der bloßen Verwaltung von Risikoregistern und Business-Continuity-Plänen hin zum Aufbau eines Unternehmens, das Risiken antizipiert und managt, sich anpasst und unter Stress erfolgreich ist. Dies erreichen sie, indem sie ihr Risikomanagement mit einer resilienzorientierten Fähigkeit kombinieren.
Erhalten Sie weitere Einblicke, wie Sie Risiko- und Kontinuitätsplanung integrieren können, um die Resilienz zu steigern. Sehen Sie sich unser On-Demand-Webinar mit David Turner, CEO, Risk New Zealand, und Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare, an.
