Die Standards für Organisatorische Resilienz
Im März 2017 wurde der neue ISO-Standard ISO 22316:2017 mit dem langen Titel „Security and resilience – Organizational resilience – Principles and attributes“ veröffentlicht. Erarbeitet wurde der Standard durch das Technical Committee ISO/TC 292 Security and resilience, das auch die ISO-Standards rund um den ISO 22301 Business Continuity Management verantwortet.
Neben diesem ISO-Standard gibt es bereits seit 2014 mit dem BS 65000:2014 „Guidance on organizational resilience“ einen Standard zu Resilienz von British Standards (BSI). Wir können demnach aktuell sogar auf zwei Standards zum Thema Resilienz bauen. Was ist das für ein scheinbar so bedeutendes Thema, dass sich gleich zwei Standards diesem widmen? Gibt man in Amazon den Suchbegriff „Resilienz“ für deutsche Bücher ein, erhält man bereits über 1.000 Vorschläge zur Befüllung des elektronischen Einkaufwagens.
Wer sich fremdsprachig an das Thema „Resilience“ heranwagt, hat bereits über 4.000 Bücher als Kauf-Option. Der überwiegende Teil davon sind persönliche Ratgeber zur Stärkung der Widerstandskräfte gegen Stress, Krisen, Burn Out und Depressionen. Es scheint sich auf den ersten Blick um eine wahre Wunderwaffe gegen alle Bedrohungen des Lebens zu handeln.
Was aber bringt nun professionelle Standardisierungs-Organisationen mit Zielrichtung Unternehmen, Behörden und Organisationen dazu, dieses Thema zum Standard zu erheben? In der Nummerierung steht der ISO-Standard 22316 direkt vor den beiden Guidelines 22317 (Business Impact Analysis) und 22318 (Supply Chain Continuity).
Dies lässt zunächst Resilience einfach als eine Teil-Disziplin des Business Continuity Management erscheinen. Ein Blick auf die Homepage des TC 292 zeigt jedoch schnell, dass der Leser sich von der Nummerierung dieses Standards nicht in die Irre führen lassen sollte. Das Technical Committee gliedert seine Standards in die Bereiche General, Business continuity management, Emergency Management, Supply chain security management, Protective security, Authenticity, integrity and trust for products and documents, Community resilience und Organizational resilience. Community resilience und Organizational resilience sind also „auf Augenhöhe“ mit BCM und keine Teil-Disziplin.
Konzept der Organisatorischen Resilienz
Was steckt nun tatsächlich inhaltlich im Konzept der Resilienz für Organisationen? Was bedeutet dies für das „klassische BCM“ und die anderen Safety & Security-Disziplinen? Was zeichnet resiliente Unternehmen aus und wie kommen sie dorthin?
Der englische Begriff „Resilience“ leitet sich aus dem lateinischen Begriff „resilire“ ab, gleichbedeutend mit „zurückspringen“. Der Duden definiert Resilienz als „psychische Widerstandskraft; Fähigkeit, schwierige Lebenssituationen ohne anhaltende Beeinträchtigung zu überstehen“. ISO 22316:2017 definiert Resilienz auf Organisationen übertragen als „ability of an organization to absorb and adapt in changing environment“. Aus dieser Definition werden bereits wesentliche Unterschiede zum Business Continuity Management sichtbar. Auch wenn im ISO 22301 Business Continuity Management der Begriff Resilience mehrfach Erwähnung findet, zielt BCM laut Definition des Standards auf den Umgang mit abrupten Störungen, Notfällen und Krisen ab: „… to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise“ (ISO 22301:2012 Scope). Resilienz hingegen beinhaltet darüber hinaus die Widerstandsfähigkeit gegenüber kleinen alltäglichen Störungen über akute Schocks bis hin zu inkrementellen Veränderungen (BS 65000:2014 Introduction).
Resiliente Unternehmen können Chancen und Bedrohungen aus plötzlichen und graduellen internen und externen Veränderungen besser erkennen und darauf reagieren, so der Standard. Organisatorische Resilienz ist dabei keine eigenständige Management- Disziplin, sondern entsteht aus der Integration etablierter Disziplinen. Hier lohnt sich ein intensiverer Blick in die Anlage des ISO-Standards in der beispielhaft zwanzig relevante Management-Disziplinen für das Erreichen einer Organisatorischen Resilienz beitragen. Zu den aufgeführten Disziplinen zählen alle GRC-Disziplinen, darüber hinaus aber auch Kommunikations- und Personal-Management sowie Strategische Planung, Qualitätsmanagement und Controlling.
Der Standard betont, dass der Grad von Resilienz nicht messbar ist und es kein endgültiges Ziel für das Erreichen gibt. Der ISO-Standard gliedert sich in die Beschreibung der Prinzipien sowie der Eigenschaften und der Bewertung der Faktoren für Organisatorische Resilienz.
Phasen zur Stärkung der Resilienz
An dieser Stelle möchte ich jedoch zum älteren Konkurrenzprodukt aus dem Hause BSI wechseln. Grundsätzlich unterscheidet sich die Definition und Kernaussagen nicht vom ISO-Standard. Jedoch bildet der BS 65000:2014 im Abschnitt „Building resilience“ mit einem schönen Kreislaufmodell alle wichtigen Schritte zur Umsetzung in Richtung eines resilienten Unternehmens ab.
Be informed (situational awareness):
Diese Phase beinhaltet die kontinuierliche Früherkennung von internen sowie externen Risiken und Chancen („horizon scanning“) für die identifizierten Werte des Unternehmens. Hierzu gehört auch die Kenntnis der Wechselwirkungen mit anderen Unternehmen wie Dienstleistern, Lieferanten, Mitbewerbern sowie die Auswertung von Erfolgen, Störungen, Beinahe-Notfällen, Übungen, Audits und Erfahrung anderer Unternehmen.
Set direction:
In dieser Phase ist die oberste Führungsebene des Unternehmens gefragt. Diese muss sicherstellen, dass das Unternehmen eine klare Vision für die Zukunft sowie beschriebene Werte und Prioritäten hat, die den Mitarbeitern und „interested parties“ vermittelt sind. Zur Führung gehört auch ein integriertes, transparentes und zukunftsgerichtetes Governance-System sowie klare Rollen und Verantwortlichkeiten für die unterschiedlichen Aspekte zur Erreichung organisatorischer Resilienz.
Bring coherence:
Die oberste Führungsebene muss Prioritäten zur Erreichung der Resilienz festlegen und die operativen Aktivitäten auf diese Prioritäten ausrichten. Die verschiedenen organisatorischen Silos mit den operativen Disziplinen müssen hierzu koordiniert und integriert werden. Der Standard zählt an dieser Stelle, analog ISO 22316:2017, beispielhaft 21 relevante Disziplinen auf, die zu integrieren sind.
Develop adaptive capacity:
Das Unternehmen soll in die Lage versetzt werden, auf veränderte Bedingungen durch vorgeplante und situationsabhängige Maßnahmen zu reagieren. Dies beinhaltet notwendige Anpassungen an Strukturen, Prozessen und Verhalten. Ziel ist eine flexible und agile Organisation, die in der Lage ist, aus eigenen Fehlern und Erfahrungen anderer zu lernen und innovativ mit neuen Methoden und Strukturen auf dieses Anforderungen zu reagieren.
Strengthen the organisation:
Diese Phase weist sehr starke Bezüge zum klassischen Business Continuity Management auf. Das Unternehmen sollte spezifische Maßnahmen zur Stärkung der Resilienz implementieren, um Notfälle, auftauchende Risiken und Veränderungen bewältigen zu können. Betont wird hierbei die Notwendigkeit der Anpassungsfähigkeit, wenn Notfallpläne nicht vorhanden sind oder nicht greifen. Die Resilienz soll „by design“ erhöht werden, beispielsweise durch Schaffung von Redundanz sowie angemessener Ressourcen und Kapazitäten.
Ein zweiter Schwerpunkt für die Stärkung der Widerstandsfähigkeit eines Unternehmens liegt in den Normen, Werten und Verhaltensweisen. Hierzu gehört insbesondere auch der Umgang mit Lernen aus Störungen, Fehlern, Risiken und Schwachstellen sowie klare Zuordnungen von Rollen und Verantwortlichkeiten.
Validate and review
Mittels Audits, Tests und Übungen soll die vorhandene Ausprägung der Resilienz des Unternehmens überprüft und Maßnahmen zur Verbesserung identifiziert werden.
Worin unterscheiden sich resiliente von weniger widerstandsfähigen Unternehmen?
Laut ISO 22316:2017 haben resiliente Unternehmen die folgenden Eigenschaften:
- gemeinsam geteilte Ziele und Visionen für das Unternehmen,
- Verständnis des Umfelds und Zusammenarbeit mit „interested parties“,
- Effektive starke Führung insbesondere in Zeiten von Unsicherheit und Störungen,
- eine Unternehmenskultur, die Resilienz fördert,
- das Teilen von Informationen und Wissen,
- die Verfügbarkeit von Ressourcen (Personal, Gebäude, Technologie, Finanzen, Informationen) um Schwächen zu beheben,
- Entwicklung und Zusammenarbeit der Management-Disziplinen,
- Unterstützung einer ständigen Verbesserung,
- die Fähigkeit, Veränderungen zu erkennen und das Unternehmen anzupassen.