*Autor: Joseph Nduhiu
Die Fähigkeit, den Geschäftsbetrieb auf absehbare Zeit aufrechtzuerhalten, ist aus finanzieller Sicht eine wichtige Metrik. Aus der Risikomanagement-Perspektive müssen jedoch alle Dimensionen des strategischen und operativen Frameworks eines Unternehmens analysiert werden, um...:
Der letzte Punkt hat mit Unternehmensresilienz zu tun und ist daher genau das Thema, dem wir uns hier widmen.
Die ISO-Norm ISO 22316 definiert Unternehmensresilienz als die Fähigkeit eines Unternehmens, die Auswirkungen eines sich verändernden Umfelds abzufedern und sich daran anzupassen.
Bei Unternehmensresilienz geht es nicht nur um Disaster Recovery, also die Wiederherstellung nach Katastrophen wie Bränden oder Cyberangriffen. Sie beinhaltet vielmehr auch die Widerstandsfähigkeit gegenüber internen wie externen Ereignissen, die die Mission des Unternehmens gefährden könnten. Kein Unternehmen ist vor solchen Ereignissen gefeit – denken wir nur an COVID-19, Klimawandel, künstliche Intelligenz – die einzeln oder zusammen die Existenz eines Unternehmens gefährden können.
Unternehmensresilienz ist eine Fähigkeit, die von der Spitze der Unternehmensführung aus angegangen werden muss. Sie erfordert Grundprinzipien und Mechanismen, die das gesamte Betriebsmodell des Unternehmens durchziehen, für die angemessene Ressourcen bereitgestellt und die auf ihre Wirksamkeit hin überwacht werden müssen.
Sehen wir uns diese drei Perspektiven näher an, um festzustellen, was ein Unternehmen haben muss, um nicht nur auf dem Papier, sondern auch in der Praxis resilient zu sein.
Wenn Vorstand und Unternehmensleitung den Weg abstecken, den das Unternehmen zum Erreichen seiner Ziele einschlagen muss, ist es dafür unerlässlich, den geschäftlichen Kontext zu kennen. Dabei werden häufig Techniken wie SWOT- und PESTEL-Analysen eingesetzt, da das Umfeld eine große Rolle dabei spielt, ob Ziele angesichts sich wandelnder Bedingungen erreicht werden können.
Strategische Resilienz beginnt damit, dass die Unternehmensleitung wirkungsvolle Entscheidungen zur Prioritätensetzung in Bezug auf Resilienz trifft:
Aus der Governance-Perspektive betrachtet, sollten Richtlinien zur Verankerung von Resilienz in der Organisationsstruktur und im Betriebsmodell des Unternehmens festgelegt und kommuniziert werden. Zudem müssen Risiken für die Unternehmensresilienz ermittelt, bewertet, kontrolliert und regelmäßig überprüft werden. Der jüngste globale Risikobericht des Weltwirtschaftsforums zeigt die Verflechtung der am höchsten eingestuften Risiken, wie im folgenden Diagramm dargestellt:
Globale Risikolandschaft 2023 laut dem Bericht des Weltwirtschaftsforums
Für die Resilienzplanung müssen Führungskräfte über die richtigen Fähigkeiten, Kenntnisse und Verhaltensweisen verfügen, damit sie den Rest des Unternehmens motivieren können, in schwierigen Zeiten an einem Strang zu ziehen. Die strategische Reaktion auf Risiken, die die Resilienz des Unternehmens beeinträchtigen können, sollte auf einer Leadership-Kultur basieren, die bereit ist, sich engagiert und sinnvoll auf alle anstehenden Veränderungen vorzubereiten.
Und sollten diese Risiken dann wirklich eintreten, muss die Führungsriege des Unternehmens bei der Problembewältigung in der vordersten Reihe stehen. Zeiten voller Ungewissheit und Beeinträchtigungen sind günstige Momente für Führungskräfte, um Mitarbeitern und Stakeholdern strategische Resilienz zu demonstrieren, indem sie:
Resilienz muss bei der Planung und Verwaltung von Geschäftsfunktionen berücksichtigt werden. Eine Business Impact-Analyse, die die oben erwähnte Risikobewertung unterstützt, kann Unternehmen bei folgenden Aufgaben helfen:
Wenn man sich an einem Framework wie ISO 22301 für Business Continuity orientiert, kann dies die Unternehmensresilienz verbessern, sodass das Unternehmen bei einer Störung weiterhin Produkte und Services mit einer akzeptablen, vordefinierten Kapazität bereitstellen kann.
Im Zusammenhang mit Unternehmensdaten, auf denen die Prozesse und Funktionen basieren, liefert die Business Impact-Analyse wichtige Ergebnisse in Form zweier Schlüsselmetriken:
Die RTO-Metrik gibt die angestrebte Zeitdauer an, nach der die Unternehmensdaten und die zugehörigen Systeme wieder verfügbar sein müssen. So müssen beispielsweise Systeme, die Geschäftstransaktionen verwalten, innerhalb von Minuten wieder verfügbar sein. Bei Systemen für eher untergeordnete Funktionen darf das etwas länger dauern.
Die RPO-Metrik besagt, in welchem Maß ein Verlust von Unternehmensdaten in Abhängigkeit von der Zeit toleriert werden kann.
Euer Unternehmen sollte beispielsweise keine Daten verlieren, die zu Umsatzeinbußen, Rechtsstreitigkeiten oder behördlichen Strafen führen könnten. Akzeptabel wäre dagegen der Verlust von Daten, die sich aus alternativen Quellen wie Datensicherungen oder manuellen Aufzeichnungen leicht wiederherstellen lassen.
RTO und RPO (Bildquelle)
Die Zuordnung dieser Metriken zu Geschäftsprozessen und Funktionen sorgt für Klarheit bei der Planung des Ressourcenbedarfs für Resilienz und der damit verbundenen Geschäftskosten.
Werden zu wenig Ressourcen zugewiesen (weil man sich z. B. nur auf das Backup eines Cloud-Serviceanbieters verlässt oder nur einen Mitarbeiter für eine geschäftskritische Funktion hat), kann sich dies bei einer Störung als ineffektiv erweisen, da sich das Unternehmen bei einem Ereignis von signifikantem Ausmaß dann schwer tut, angemessen zu reagieren.
Im Gegenzug kann sich eine zu hohe Ressourcenzuweisung (z. B. das Hosten derselben Geschäftsanwendungen bei mehreren Cloud-Anbietern) als verschwenderisch herausstellen, besonders, wenn die Zuweisung auf das Worst-Case-Szenario ausgelegt ist, sowie neue Probleme durch den damit notwendigen Verwaltungsaufwand schaffen. Hier ist es wichtig, das richtige Gleichgewicht zu finden und es anhand der sich entwickelnden Bedingungen im Umfeld laufend zu überprüfen.
Strategien und Pläne rund um Resilienz zeigen nur dann Wirkung, wenn sie im Arbeitsalltag umgesetzt werden. Die Unternehmensführung sollte bei Resilienzstrategien alle Ebenen des Unternehmens berücksichtigen, und die operativen Teams sollten in die Überprüfung und Umsetzung der Pläne einbezogen werden, damit die Kontinuität gewährleistet wird.
Bei der Implementierung auf der operativen Ebene sollten alle Dimensionen des Geschäftsmodells berücksichtigt werden, einschließlich der folgenden:
Die heutige, von der Risikolandschaft gezeichnete Realität stellt sich so dar, dass kein Unternehmen, ob groß oder klein, vor Störungen gefeit ist. Unsere 2023 durchgeführte globale Studie „Digitale Resilienz zahlt sich aus“ zeigt folgende Vorteile für moderne, resiliente Unternehmen:
Diese Unternehmen haben entscheidende Fähigkeiten wie Transparenz, Erkennung, Untersuchung, Reaktion und Zusammenarbeit aufgebaut, die zusammen strategische, taktische und operative Anforderungen abdecken und zu mehr Anpassungsfähigkeit an Veränderungen im Umfeld führen. Resiliente Unternehmen überstehen Störungen nicht nur, sondern florieren sogar!
Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.