Sehr geehrte Damen und Herrn:

Darf ich Sie hiermit über die Ergebnisse der von Kaldas Consulting - Zentrum für Krisen- und Konsquenzmanagement Wien, KC, in Zusammenarbeit mit dem  Studiengang für IT-Security (Fachhochschule St. Pölten) und dem Wirtschaftsforum der Führungskräfte, WdF, Industriellenvereinigung, erarbeiteten Umfrage zum Thema:

Informieren.
Diese Umfrage beleuchtet, wie es um das Bewusstsein für die Verletzlichkeit von Geschäftsprozessen im Management steht.

Kostenloser Test: Wie krisenfest ist ihr Unternehmen?

Diesen von Kaldas Consulting, KC: B. Kildow, C. Walts und I. Kaldas, und der Fachhochschule St. Pölten: S. Tjoa und J. Haag, entwickelten Test stellt Ihnen KC nun kostenlos zur Verfügung.

Zusätzlich zur Auswertung folgen – thematisch zugeordnete – Tipps, wie man sein Unternehmen besser auf kritische Ereignisse vorbereiten kann. Wenn Sie Interesse haben, bitte klicken Sie:

http://www.business-continuity.at/umfrage2010/index.php?code=2596362266

99 Führungskräfte gaben über ihren Umgang mit konkreten Bedrohungsszenarien Auskunft – und offenbarten die Schwachstellen der Kontinuitätsplanung bei Störfällen in Österreich deutlich. „Die Firma als Festung scheint die Sicherheitsüberlegungen zu dominieren“, sieht WdF-Generalsekretär Mag. Roland Graf (WdF) trotz Globalisierung einfache Denkmuster. „Von außen kommende Bedrohungen wie Post oder Eindringlinge werden gesehen, Lieferanten oder Logistik bleiben meist ausgeklammert“.
„Eine umfassende, strategische und präventive Sicherheitsplanung, wie Business Continuity Planning (BCP) dies bietet, ist daher keine Option – sondern eine Notwendigkeit für Betriebe aller Größenordnungen“ fasste Dr. Ines Kaldas (Kaldas Consulting- Zentrum für Krisen- und Konsequenzmanagment) die Ergebnisse der Umfrage zusammen. „BCP ist ein hocheffizientes Werkzeug, um sowohl einem weiten Spektrum an externen Bedrohungen (von Naturkatastrophen, menschlich verursachten Notfällen, bis hin zu neuartigen Bedrohungen, zu denen Ansteckungskrankheiten, die  sich in unserem globalisierten Umfeld rasch ausbreitenden würden oder der transnationale Terrorismus, um nur einige zu nennen) als auch allen potentiellen internen Bedrohungen zu begegnen. Der Mehrwert eines robusten BCP ist die umfassende Absicherung der Kernfunktionen eines Unternehmens. So werden Ausfallszeiten vermieden oder auf ein vorher festgelegtes Minimum beschränkt, Leben und Gesundheit abgesichert, und der Markenname geschützt“.

Bewußtsein, aber wenig Umsetzung
Die dokumentierten Schwerpunkte im Risikomanagement der teilnehmenden Firmen sind umso verwunderlicher, da 80% der Führungskräfte angaben, „sich der Folgen einer Unterbrechung der Geschäftstätigkeit bewusst zu sein“. Poststücke werden bei 70% der Firmen zentral erfasst, ehe sie an die Empfänger weitergeleitet werden. Doch schon der Schutz der Betriebsgelände (62% haben Kameras/Beleuchtung) vor Werksspionage erweist sich als nicht mehrheitlich gegeben: Zentrale Besuchererfassung bzw. Ausweisleistung ist nur in 43% der Firmen Standard. Prof. (FH) DI Johann Haag vom Studiengang IT Security der FH St. Pölten verwies auf die leichte Zugänglichkeit von Betriebsgeheimnissen.

Security: Size does (not) matter
Dabei ist das Risikobewußtsein nur teilweise an die Größe des Unternehmens gekoppelt. Während 40% aller Befragten einen Business Continuity-Plan besitzen, waren es zumindest 60% der Unternehmen mit mehr als 250 Mitarbeiter. Auch das Bewußtsein für mögliche Ausfälle von wichtigen Lieferanten (mit 28% der schlechteste Wert) ist bei Unternehmen über 1.000 Mitarbeitern mit 50% deutlich höher. Reiserichtlinien, die 65% der „Großen“ besitzen, sind allgemein kein Thema (37% Zustimmung).

Besonders auffällig war die Differenz zwischen Einschätzung der Krisenbewältigung (82% der ManagerInnen zeigten sich zuversichtlich) und den konkreten Bedrohungsszenarien.   Von den 18 möglichen Bedrohungsszenarien wurden gerade gegen sechs von einer Mehrheit aktiv Maßnahmen ergriffen. Dr. Ines Kaldas (Kaldas Consulting - Zentrum für Krisen- und Konsequenzmanagement) verwies auf eine spürbare Sorglosigkeit in diesem Zusammenhang. Wichtig zu beachten: Ein vermeintliches Standard-Werkzeug, der P.R.-Plan zur Krisenkommunikation, um neben dem finanziellen Schaden nicht auch noch an Image einzubüßen, liegt nur in 49% der Firmen vor. Selbst aktuelle Krisen führen kaum zu Nachjustierungen: Reiserichtlinien haben trotz Vulkanasche-Wolke und Entführungsrisiko in vielen Ländern nur 37%. „Krisen verursachen nicht nur die Finanzmärkte, sondern auch mangelnde Kontinuitätsplanung“, so Graf, „ein einziger Tag Stillstand kann den Gewinn eines ganzen Jahres gefährden“.

Beispiel: Existiert ein Notfallplan für die geographische Verlagerung der Geschäftstätigkeit, falls der lokale Firmensitz im Falle einer Katastrophe unzugänglich, unbenutzbar oder zerstört werden sollte?

Konkrete Bedrohungen und ihre Abwehr in Österreich:

40 % der Unternehmen verfügen über ein firmenweites BCP-Programm oder entwickeln im Moment eines

49 % der Unternehmen verfügen über einen ausgereiften Plan zur Krisenkommunikation mit Medien, falls es zu einem betrieblich kritischen Ereignis kommen sollte

28 % berücksichtigen die Möglichkeiten des Business Continuity Planning (BCP) auch innerhalb ihrer Versorgungskette oder in ihrem Auswahlverfahren

Bei 27 % der befragten Unternehmen existiert ein Notfallplan für die geografische Verlagerung der Geschäftstätigkeit, falls der Firmensitz durch eine Katastrophe unzugänglich oder zerstört werden sollte

40 % halten Kopien des BCP- und Katastrophen-Nachsorge-Plans extern und in der Firma bereit

47 % halten Kopien von kritischen Prozessbeschreibungen, Versicherungspolizzen, Verträgen, etc. auch außerhalb des UNs einsatzbereit

67 % sichern alle Computer-Files mind. täglich mit „Back ups“ und auch gleichzeitig an einer mehr als 15 Kilometer entfernten Stelle

80 % verfügen über Prozesse zur Daten-Wiederherstellung, die kritische Geschäftsfunktionen nach einer Katastrophe weiterführen bzw. wieder herstellen können

31 % lassen die Dokumente und Notfallspläne ihres Risikomanagements mind. einmal jährlich von Außenstehenden (unabhängigen Experten, etc.) bewerten und testen

46 % besitzen ein speziell designiertes Risikomanagement-Team

44 % meinen, dass ihre Mitarbeiter im Fall einer Katastrophe wissen, was zu tun sei

61 % verfügen über eine Nachfolger-/Stellvertreter-Regelung, die alle Schlüsselkräfte und Manager umfasst

37 % der Befragten verfügen über eine unternehmensinterne Reiserichtlinie (wann und wie oft sich ein Mitarbeiter bei Auslandreisen zu melden hat, etc.)

Bei 43 % tragen alle Schlüsselkräfte eine aktuelle Liste mit Notfallkontakten der Firma ständig bei sich

64 % führen regelmäßig Mitarbeiter-Informationen und Auffrischungskurse für Lebensrettung und betriebliche Sicherheit durch

Bei 43 % müssen Besucher des FG entweder den Haupteingang benutzen, einen Ausweis vorzeigen, eine Besucherkarte tragen oder werden auf dem Weg durchs Gebäude begleitet

62 % haben am Firmengelände Überwachungskameras und entsprechende Außenbeleuchtung installiert

70 % lassen alle eingehenden Briefe und Pakete an einer kontrollierenden Stelle überprüfen

80 % der Manager, Eigentümer und Aufsichtsgremien sind sich der möglichen finanziellen und sonstigen Folgen einer Unterbrechung der Geschäftstätigkeit des UN im Katastrophenfall bewusst

82 % sind zuversichtlich, dass ihr Unternehmen seine Geschäftstätigkeit fortsetzen kann, sollte es zu einem Ausfall kommen

Detailergebnisse unter: Kaldas_Business_Continuity_Management.pdf

Zusammenfassung der wichtigsten Punkte

Das Ziel eines umfassenden strategischen BCP ist es, in unserem globalisierten Umfeld die Kernfunktionen eines Unternehmens widerstandsfähig gegen ein weites Spektrum an potentiellen Bedrohungen zu machen. Das heißt konkret ein optimiertes Notfallsmanagement, das Leben und Gesundheit effizient schützt und eine unmittelbare Schadensbegrenzung beinhaltet – mit robusten BCP-Massnahmen zu integrieren, die Ausfallszeiten von vorneherein vermeiden oder minimieren. Ein solcher systematischer und standardisierter BCP Planungsprozess nach ‚International Best BCP-Practices’ zielt darauf ab, die operative Betriebstätigkeit eines Unternehmens in einem PRO-aktiven Ansatz, d.h. durch gezielte präventive Maßnahmen abzusichern, und so wirtschaftlichen Schaden oder eine Beeinträchtigung der Firmenreputation, wie jetzt so eindrucksvoll bei BP demonstriert, nachhaltig zu vermeiden.

Eine erfolgreiche BCP-Strategie kann aber nur dann garantiert werden, wenn der Wille zur Adaption vorhandener Risikomanagement (RM)-Strukturen aufgebracht wird und die Verantwortlichkeiten dafür klar geregelt sind – etwa durch ein designiertes BCP-Team. Ein solches Team und seine BCP-Strategie müssen natürlich kontinuierlich auf einem hohen Bereitschaftsniveau gehalten werden. Um dessen Mehrwert zu maximieren, zahlt sich ein ‚Blick von außen’ durch unabhängige Experten aus.

Unsere Umfrage ergab ein durchaus wachsendes Bewusstsein für die Notwendigkeit, überlebenswichtige Prozesse und Daten zu schützen. Auch Maßnahmen zur physischen Sicherheit der Mitarbeiter und Unternehmenswerte werden gesetzt. Anders bei der Sicherung essentieller RM-Unterlagen, wie Prozessbeschreibungen, Notfallsplänen, Versicherungspolizzen, etc. Kopien davon können nicht nur elektronisch, sondern auch als hard-copy an alternativen Betriebsstätten bereitgehalten werden (wobei immer berücksichtigt werden muss, vertrauliche Unterlagen ausreichend vor Verlust zu schützen). Daneben gibt es aber auch ganz einfache Lösungen, wie etwa essentielle Kontaktinformationen auf der Rückseite der Namensschilder anzubringen.

Ein Thema das so wichtig - wie zur Zeit noch unterbelichtet -  ist die Frage der BCP-Kapazitäten innerhalb der Versorgungskette. Waren traditionell Kosten und Qualität bei der Auswahl der Zulieferer Entscheidungsfaktoren, so wird die Versorgungssicherheit, d.h. die Fähigkeit auch während oder unmittelbar nach einer (internen oder externen) Krise ohne Unterbrechung liefern zu können, immer mehr zum Kriterium.

Die Sicherheit des Unternehmens, seiner Mitarbeiter und seiner Wirtschaftlichkeit lassen sich also nicht mehr innerhalb enger geographischer, administrativer oder funktionaler Grenzen definieren – werden wir PRO-aktiv!