,

Corona-Krise: Wenn ein Virus das Business Continuity- und Krisenmanagement im Unternehmen auf den Plan ruft

Regulatory Change Management (RCM) als Wettbewerbsvorteil für Banken und Versicherungen. Ein Beitrag von Ronny Müller, Andreas Buchtel, Markus Müller, Jörg Erbach, Christian Grötsch und Dr. Carola Rinker.


Ende 2019 berichteten Medien das erste Mal vom Ausbruch des Corona-Virus‘ in China. Gefahren, die durch das Virus für die Welt entstehen konnten, waren damals kaum abschätzbar und gefühlt bekamen die Nachrichten aus China auch nicht die notwendige Aufmerksamkeit – weder in den Medien noch in der Politik. Wieso auch? Die „Probleme“ in China waren weit weg, eine Ausbreitung würde bestimmt irgendwie verhindert oder eingedämmt werden und vermeintlich tat ja auch die Regierung alles Mögliche, um eine Ausbreitung zu verhindern. Kurze Zeit später hat COVID-19 mit enormer Geschwindigkeit fast die ganze Welt erreicht. Die Epidemie ist zur Pandemie geworden.

Um die Ausbreitung der Epidemie im eigenen Land zu verzögern oder dieser entgegenzuwirken und dadurch besser auf eine erhebliche Zahl von Infizierten vorbereitet zu sein, bilden Regierungen Krisenstäbe und aktivieren Notfallpläne, die unter anderem vorsehen, dass Grenzen geschlossen werden, Krankenhäuser zusätzliches Personal rekrutieren und dass Schulen und Kindergärten für Wochen schließen. Finanzielle Unterstützung wurde für Unternehmen und Branchen, die wegen der Ausbreitung des Virus‘ und dessen Folgen vor existenziellen Bedrohungen stehen, zugesagt. Auch das Finanzsystem hat bereits finanzielle Unterstützungen zugesagt bekommen. Es wird vieles dafür getan, um eine Panik an Börsen und Finanzmärkten zu verhindern – mehr oder weniger erfolgreich.

Unternehmen in einer Art „Krisen-Schreckens-Überraschungs-Modus“

Alle Maßnahmen sollen helfen, den Auswirkungen des globalen Pandemie-Ereignisses Corona entgegenzuwirken oder zumindest dessen Impact auf nationale Volkswirtschaften, Arbeitsmärkte und Gesundheitssysteme abzumildern. Was uns noch vor wenigen Wochen weit weg erschien, ist Realität im eigenen Land und hat sich zu einer Krise ausgewachsen. Sie hält Europa und die Welt, deren Bewohner und global verflochtene Unternehmen in einer Art „Krisen-Schreckens-Überraschungs-Modus“. Was vor einiger Zeit noch Theorie von Pessimisten war, wird uns wahrscheinlich noch länger vor große soziale und wirtschaftliche Herausforderungen stellen und einige Branchen vielleicht zum Umdenken bewegen und Veränderungen ihrer Lieferketten, aber auch im Business Continuity Management (BCM) hervorrufen.

Wie können sich Unternehmen hierzulande auf solche Ereignisse vorbereiten? Wie können im Unternehmen existenzielle Geschäftsabläufe und Prozesse sichergestellt werden, wenn zum Beispiel eine große Zahl von Mitarbeitern erkrankt oder zu Hause bleiben muss? Ursachen mit dem gleichen Effekt können aber auch nicht gewährleistete Kinderbetreuung oder der Ausfall des öffentlichen Nahverkehrs in Städten sein. Büros, Geschäfte oder Produktionshallen wären dann menschenleer und von ihnen abhängige Betriebsabläufe und Lieferketten (wie aktuell bspw. an der Verfügbarkeit besonders nachgefragter Produkte wie Desinfektionsmittel allerorts zu sehen) unterbrochen. Die Krise bietet jedoch auch die Chance, Home-Office sowie Vereinbarkeit von Familie und Beruf zu verbessern. Ganz abgesehen davon, dass sie die Digitalisierung in Deutschland durch den nun vorherrschenden externen Schock enorm beschleunigt wird.

Implementierung eines Notfallmanagement

Gut vorbereitet zu sein, ist ein entscheidender Faktor, um den Fortbestand eines Unternehmens bei Extrem-Ereignissen wie Krisen und Katastrophen zu sichern. Erreicht werden kann dies mit der Implementierung eines Notfallmanagement oder Business Continuity Managements, auch Betriebliches Kontinuitätsmanagement genannt, sowie eines unternehmensweiten Krisenmanagements. Während beim Krisenmanagement der systematische Umgang mit Krisen im Vordergrund steht, also Identifikation und Analyse von Krisensituationen, die Entwicklung von Strategien zur Bewältigung einer Krise sowie die Einleitung und Nachverfolgung von Gegenmaßnahmen, steht beim Business Continuity Management (BCM) die Fortführung von zeitkritischen Geschäftsprozessen, Produktherstellung und Dienstleistungen nach einer Geschäftsunterbrechung im Vordergrund.

Unter BCM versteht man einen ganzheitlichen Managementprozess, mit dessen Hilfe potenzielle Auswirkungen, die eine Bedrohung für das Unternehmen darstellen, erkannt werden können. Durch das BCM wird eine Grundstruktur für mehr Stabilität und die Fähigkeit zu einer wirksamen Reaktion zum Schutz der Interessen der wichtigsten Stakeholder, des Ansehens des Markennamens und der wertschöpfenden Tätigkeiten nachhaltig sichergestellt.

Kurz gesagt: BCM hat die Geschäftsprozesse, Produkte und Dienstleistungen im Unternehmen zu identifizieren, die bei einer Geschäftsunterbrechung signifikante Auswirkungen für das Unternehmen haben oder haben können. Das können hohe finanzielle Auswirkungen, der Reputationsverlust sowie rechtlich und regulatorische beziehungsweise vertragliche Auswirkungen und Haftungsthemen sein. Um diese identifizierten (zeit-)kritischen Geschäftsprozesse, Produkte und Dienstleistungen sowohl im Krisen-Modus fortführen zu können als auch nach einer Geschäftsunterbrechung wieder auf einem definierten Niveau anlaufen zu lassen, entwickelt das BCM Strategien und Notfallpläne. Diese Strategien können je nach Unternehmen und Branche völlig verschieden sein.

Effizienz-Dreieck aus Regulatorik, Umsetzung und Fortführungsstrategie (zeit)kritischer Prozesse und Ressourcen.

Notbetrieb zeitkritischer Geschäftsprozesse herstellen

Zum Beispiel verteilen die Deutsche Bank oder die spanischen Banken BBVA und Santander ihre Mitarbeiter auf verschiedene Standorte, nachdem einzelne Beschäftigte positiv auf das Virus getestet wurden. Auch die Europäische Zentralbank EZB meldete bereits relativ früh einen ersten Corona-Fall und die Europäische Bankbehörde EBA nimmt die Notfallpläne der Banken unter die Lupe.

Notfallpläne beinhalten unter anderem Sofortmaßnahmen und Verfahrensanweisungen, die dazu dienen, den Notbetrieb zeitkritischer Geschäftsprozesse herzustellen und die Rückführung in den Normalbetrieb einzuleiten. Gerade in unüberschaubaren Zeiten zeigt sich, wie gut Notfallpläne sind und vor allem, ob sie wirksam greifen. Daher macht es Sinn, sich auf spezielle Ereignisse wie Pandemien oder Epidemien vorzubereiten. Dies sollte die Sensibilisierung der Mitarbeiter betreffen und natürlich auch die Einhaltung von Hygienevorschriften.

Viele Unternehmen, bei denen BCM seit vielen Jahren implementiert wurde, haben sich schon vor längerer Zeit in eine Art „Habachtstellung“ begeben. Sie haben mit einem geeigneten Monitoring begonnen, die eventuellen Auswirkungen auf das eigene Unternehmen zu identifizieren, zu bewerten und entsprechende Maßnahmen zu planen, zu prüfen und zu verbessern, um bei Eintritt eines besonderen Ereignisses vorbereitet zu sein. Einige Unternehmen, die für sich spezielle Pandemiepläne erstellt haben, können in Corona-Zeiten auf dokumentierte Verfahren und Checklisten zurückgreifen. Vorbereitung ist hierbei der Schlüssel zu schnellen Entscheidungen und zur Umsetzung effizienter Maßnahmen. Einen Notfallplan für das BCM-relevante Szenario „Personalausfall“ ersetzt der Pandemieplan allerdings nicht.

Hilfreiche Informationen zum Aufbau und der Gliederung solcher Pandemiepläne kann man zum Beispiel auf der Internetseite des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe BBK finden.

Globaler Shutdown nicht ausgeschlossen

Verfolgt man die Berichterstattung zur Corona-Krise gewinnt man den Eindruck, dass die Pandemie nicht in kurzer Zeit vorbei ist. Die bisher ergriffenen Maßnahmen, um das Virus einzudämmen, wirken bereits sehr einschränkend auf die Bevölkerung. Es gibt erste Modellrechnungen, die verraten wie streng und wie lange die Maßnahmen ergriffen werden müssen. Die Wissenschaftssendung „Quarks“ stellt in einem Video anschaulich dar, was eigentlich los ist.

Faktisch besteht für viele Staaten zunächst das größte Problem in der Kapazitätsgrenze der nationalen Gesundheitssysteme. Die einzige Option dem entgegenzuwirken, ist – neben einer massiven Kapazitätserweiterung, die kurzfristig nur begrenzt möglich ist – die Verhinderung eines exponentiellen Anstiegs der Erkrankungen. Dies versuchen Regierungen durch restriktive Maßnahmen umzusetzen, die von Kontaktbeschränkungen bis hin zu Ausgangssperren und Quarantänen gehen können. Eine Auswirkung dieser Maßnahmen könnte dabei der nationale oder globale Shutdown ganzer Volkswirtschaften sein. Das ruft das Krisen- und Notfallmanagement der Unternehmen auf den Plan, deren Aufgabe es ist, das Fortbestehen des Unternehmens durch geeignete Geschäftsfortführungsstrategien (GFP) für die wichtigsten Unternehmenszweige und -aktivitäten sicherzustellen. Insbesondere ist hierbei die Kritische Infrastrukturen, kurz: KRITIS, von besonderer Bedeutung und einer damit verbundenen Anforderung auch im Krisen-Modus zur Verfügung zu stehen.

Nach Eintritt von besonderen Ereignissen wird dem Management schnell bewusst, wie wichtig BCM ist. Aktuell zeigt sich dabei zum Teil erstmals, wie hilfreich Regulatorik als wertvoller Forecarst bei der Krisenbewältigung sein kann. Das meist unbeliebte und als Anhang der Regulatorik verstandene Thema der Geschäftsfortführungsplanung (GFP) stellt nun eine nützliche Hilfe bei der Bewältigung derartiger Krisen dar und kann dem Unternehmen die Geschäftsfortführung und sein Fortbestehen am Markt sichern. Gerade Unternehmen, die Akteure der globalen Finanzmärkte sind und unter starker regulatorischer Aufsicht stehen, aber auch Betreiber von kritischen Infrastrukturen, sollten sowohl über ein gut funktionierendes und etabliertes BCM als auch über ein Krisenmanagement verfügen.

Ganz neu und überraschend sollte das Thema Business Continuity Management (BCM) dabei für kein Unternehmen sein. Die Regulatorik schreibt für Unternehmen der Finanz- und Versicherungsbranche bereits seit vielen Jahren verbindliche Regelungen vor. Beispielsweise werden in den durch die BaFin erlassenen Mindestanforderungen an das Risikomanagement bei Banken, in AT 7.3 der MaRisk, die Anforderung an ein Notfallkonzept beschrieben. Weitere regulatorischen Anforderungen für Banken, die auch das BCM betreffen, werden zudem in der BAIT (Bankaufsichtlichen Anforderungen an die IT) und in EBA-Guidelines definiert. Für Versicherungen wurden diese unter anderem in der MaGo (Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen) und der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) spezifiziert.

Strenge Regeln im Handelsraum

Dass das Corona-Virus auch die regulatorischen Aufsichtsbehörden beschäftigt, wurde unter anderem durch die Meldung der BaFin vom 13. März 2020 deutlich. Hierzu äußerten sich die Aufsichtsbehörden im Rahmen des Fachgremiums MaRisk bereits zur „Vereinbarkeit von Handelstätigkeiten außerhalb der Geschäftsräume und krisenbedingten Regelungen zum Risikomanagement im Handelsbereich“. Die Mindestanforderungen an das Risikomanagement (MaRisk) beinhalten in BTO 2.2.1 Tz. 3 MaRisk Vorschriften zu Handelsgeschäften, die außerhalb der Geschäftsräume abgeschlossen werden (Außer-Haus-Geschäfte). Die Regelung legt dar, dass Handelsgeschäfte außerhalb der Geschäftsräume nur zulässig sind, wenn dies vom Institut klar geregelt und jedes Geschäft sauber dokumentiert ist. Es kann zu organisatorischen und oder technischen Problemen führen, wenn Handelstätigkeiten kurzfristig und ausnahmsweise außerhalb der Geschäftsräume, etwa im Home-Office, ausgeübt werden sollen. Die strengen Regeln im Handelsraum vorübergehend krisenbedingt für eine Home-Office-Regelung zu lockern, wäre aus Sicht der Aufsicht vom Wortlaut der MaRisk gedeckt und bankaufsichtlich vertretbar, wenn nicht sogar – als Teil eines Notfallkonzepts im Sinne von AT 7.3. – in Krisensituationen erforderlich.

Gerade für die Banken hat die zunehmende Regulierung unter anderem die Einführung eines robusten Business- und-IT-Service-Continuity-Managements (BCM / ITSCM) gefordert. Notfallplanung zeichnete sich in der Vergangenheit oft noch primär durch die Erstellung regulatorisch geforderter Dokumente aus. Spätestens seit die Aufsicht in der Zeit der Erkenntnis um globale systemische Risiken nicht mehr durch niedergeschriebene Konzepte allein zu beruhigen ist, mussten viele Banken erkennen, dass eine angemessene und wirksame Notfallplanung viel mehr ist. Hierdurch werden nicht nur die zentralen BCM-Verantwortlichen und dezentralen BCM-Beauftragten in Bankhäusern vor Herausforderungen gestellt.

Neben den BCM-Verantwortlichen, BCM-Beauftragten und Multiplikatoren sind es vor allem die Mitarbeiter des operativen Tagesgeschäfts, auf die es ankommt. Schließlich kann eine angemessene und wirksame Notfallplanung nur dann sichergestellt werden, wenn jeder Mitarbeiter der Bank Sorge dafür trägt und zeitkritische Geschäftsprozesse im Notfall weitergeführt werden können. Die Evaluierung dessen, was zeitkritisch ist, welche Prozesse im Notfall ausgesetzt werden können, welche technischen und organisatorischen Anforderungen für die Weiterführung der wichtigsten Prozesse im Notbetrieb vorgehalten werden müssen und die dazugehörige Dokumentation ist letztlich nur Papier, wenn Mitarbeiter ihre Rollen und Aufgaben in einem tatsächlichen Notfall oder einer Krise nicht kennen oder umsetzen können.

Um im Notfall die Zusammenarbeit aller Mitarbeiter gewährleisten zu können, organisieren die zentralen BCM-Verantwortlichen in den Banken regelmäßige Schulungen und Awareness-Trainings. Zudem validieren sie ihrerseits dokumentierte Methoden und Verfahren für den Notfall in simulierten Tests und Übungen mit Mitarbeitern des operativen Geschäfts. Die dabei erforderliche übergreifende Zusammenarbeit zwischen inländischen Bereichen, Niederlassungen außerhalb Deutschlands und die Abstimmung mit Support-Funktionen, wie etwa dem IT-Bereich, bringt eine gewisse Herausforderung mit sich. Die Erfahrung zeigt jedoch, dass sich durch Kommunikation und Zusammenarbeit Prozesse im Notfall verbessern. Außerdem führt dieses Vorgehen oftmals auch zur Hinterfragung gewachsener Strukturen, wodurch eine Effizienzsteigerung im regulären Tagesgeschäft herbeigeführt werden kann.

Generierung von Mehrwert durch Schaffung von Synergien

Für die erfolgreiche Steuerung ist nicht nur die interne Zusammenarbeit essentiell. Auch der Austausch zwischen Banken ist von großer Bedeutung. Daher bietet auch der Frankfurter Arbeitskreis „Business und IT Continuity Risk“ (BITCoR) zwischen den Banken seit 2016 einen kontinuierlichen Austausch. So wird ermöglicht, Wissen und Erfahrungen auszutauschen. Dem Best-Practice-Ansatz folgend ergibt sich eine bankenübergreifende Plattform, über die der Austausch von Know-how stattfindet, eigene Ansätze vorgestellt und qualifiziertes Feedback anderer Business Continuity Manager, BCM-Verantwortlicher und Spezialisten eingeholt werden können. Besonders die zunehmende Herausforderung der Verzahnung von Krisen- und Notfallmanagement mit der Etablierung geeigneter Geschäftsfortführungsstrategien und der Ausfallsicherheit fundamentaler IT macht den fachlichen Austausch unabdingbar. Der BCM- und ITSCM-Austausch ist bislang einzigartig und wird von den teilnehmenden Vertretern begrüßt.

Business Continuity Management steht für einen kontinuierlichen Verbesserungsprozess, der mit viel Engagement durch die zentrale Gestaltung vorangetrieben wird und sich in seinem Reifegrad weiterentwickelt. Ein fachlicher und bankenübergreifender Austausch ist also unabdingbar. Derart implementiert ist BCM weit mehr als die Erfüllung regulatorischer Anforderungen. Es bietet zugleich das Potenzial für Verbesserungen aus der jeweiligen Bank heraus und erfasst damit weit mehr als Prozesse und IT. Im Zentrum stehen die Mitarbeiter, die Motor und Garant einer funktionierenden Notfallvorsorge und – noch wichtiger – des dauerhaften Unternehmenserfolgs sind.

Spätestens hier setzt der tatsächliche Mehrwert eines guten Regulatory Change Management (RCM) ein. Denn häufig entstehen neue oder veränderte regulatorische Vorgaben nicht aus der Luft, sondern Politik und Aufsichtsbehörden reagieren auf tatsächliche Fälle und „Gaps“. So gesehen kann das risikobasierte, unternehmensindividuelle Managen regulatorischer Veränderungen nicht nur ein „hinter dem Regulator herlaufen“ bedeuten, sondern in einem Lifecycle-Konzept (vgl. Compliance­ Berater, Ausgabe 04/2020 und 05/2020) als ergänzender Risiko-Frühwarnindikator für Sachverhalte dienen, die das Unternehmen selbst vielleicht noch gar nicht identifiziert hat oder identifizieren konnte.

Die Pandemieplanung im Unternehmen

Das Krisen- und Notfallmanagement zum Corona-Virus ist hierfür ein sehr gutes Beispiel. Die Pandemie durch einen fiktiven Virus „Modi-SARS“ wurde bereits in der „Risikoanalyse Bevölkerungsschutz Bund“ (Stand: 10. Dezember 2012, S.55ff.) thematisiert. Besonders dann, wenn die Pandemieplanung im Unternehmen noch nicht so ausgeprägt ist, wie sie eigentlich sein sollte, dürfte dies für Unternehmen in weniger stark regulierten Branchen zunehmend auf Austausch und bestehende Konzepte, aber auch auf externe Beratung angewiesen sein. Anzumerken ist, dass „Corona“ bereits 2012/2013 in der Risikoanalyse des Bevölkerungsschutz Bund (Deutscher Bundestag Drucksache 17/12051, 17. Wahlperiode, 03.01.2013 [Zugeleitet mit Schreiben des Bundesministeriums des Innern vom 21. Dezember 2012 gemäß § 18 Absatz 1 und 2 des Gesetzes über den Zivilschutz und die Katastrophenhilfe des Bundes], Unterrichtung durch die Bundesregierung, Bericht zur Risikoanalyse im Bevölkerungsschutz 2012) Erwähnung gefunden hat.

Hierzu wird unter anderem ein Pandemie-Szenario „Pandemie durch Virus ‚Modi-SARS‘“ durchgespielt. Dort heißt es: „Das vorliegende Szenario beschreibt ein außergewöhnliches Seuchengeschehen, das auf der Verbreitung eines neuartigen Erregers basiert. Dem Szenario ist der zwar hypothetische Erreger ‚Modi-SARS‘ zu Grunde gelegt, dessen Eigenschaften im Informationsblatt (siehe Anhang) beschrieben sind und der sehr eng an das SARS-Virus angelehnt ist. Die Vergangenheit hat gezeigt, dass Erreger mit neuartigen Eigenschaften, die ein schwerwiegendes Seuchenereignis auslösen, plötzlich auftreten können (zum Beispiel SARS-Coronavirus [CoV], H5N1-Influenzavirus, Chikungunya-Virus, HIV). Ein aktuelles Beispiel für einen neu auftretenden Erreger ist ein Coronavirus (‚novel Coronavirus‘), welches nicht eng mit SARS-CoV verwandt ist. Dieses Virus wurde seit Sommer 2012 bei sechs Patienten nachgewiesen, von denen zwei verstorben sind. Ein Patient wurde in Deutschland behandelt und konnte als geheilt entlassen werden. […] Mittel zur Eindämmung sind beispielsweise Schulschließungen und Absagen von Großveranstaltungen. Neben diesen Maßnahmen, die nach dem Infektionsschutzgesetz angeordnet werden können, gibt es weitere Empfehlungen, die zum persönlichen Schutz, zum Beispiel bei beruflich exponierten Personen beitragen, wie die Einhaltung von Hygieneempfehlungen. Die antiepidemischen Maßnahmen beginnen, nachdem zehn Patienten in Deutschland an der Infektion verstorben sind. Die Anordnung der Maßnahmen geschieht in den Regionen zuerst, in denen sich Fälle ereignen. […] Generell werden Maßnahmen zwischen Tag 48 und Tag 408 als effektiv beschrieben. Hieraus ergibt sich mit wirksamen antiepidemischen Maßnahmen in einer Bevölkerung, bei der keine Immunität gegen das Virus vorhanden ist (voll suszeptibel), folgender Verlauf […]“.

 

Change-Management, interne Einbindung, MaRisk, EBA-GL, Kultur, etc.

Nicht auf alles kann man bis ins letzte Detail vorbereitet sein, denn der globale Wandel schreitet immer schneller voran. Das stellt viele Unternehmen vor neue Herausforderungen und dies wird gerade in solchen Zeiten deutlich. Jeder sollte die Ereignisse aufmerksam beobachten und seine Schlüsse ziehen, um mit den gewonnenen Erkenntnissen im Nachgang zur Krise eine Verbesserung für die eigene Geschäftspolitik und in Zukunft den Umgang mit derartigen Ereignissen mit dem eigenen Personal zu finden. Alles ist eng voneinander abhängig und kann nicht einzeln betrachtet werden. Ziel sollte es sein, die Risikopolitik, das BCM und ITSCM sowie das Auslagerungs-/Vertrags-/Compliance-Management und vor allem das Personal-Management im eigenen Unternehmen vor dem Hintergrund des Szenarios „Pandemie“ enger zu verzahnen und modular(er) aufzustellen.

 

Lesen Sie auch

Fachbeiräte