Gut verpackt: BCM

Nicht immer steht Business Continuity Management auf der „Verpackung“ – und trotzdem ist es drin. Das zu berücksichtigen, hilft, Defizite zu vermeiden. Ein Beispiel dafür ist das Risikomanagement. Denn es umfasst nicht nur die Ermittlung der Risikotragfähigkeit und des gewünschten Risikoniveaus, sondern auch deren Einhaltung. Um die Risikotragfähigkeit bzw. das geforderte Risikoniveau nicht zu überschreiten, sind Früherkennung, Überwachung und Steuerung sowie Maßnahmen zur Risikominderung erforderlich. Derartige Maßnahmen können präventiver oder auch reaktiver Natur sein. Oftmals müssen sie aus einer Kombination aus beidem bestehen, um die Handlungsfähigkeit im Notfall und den minimal erforderlichen Geschäftsbetrieb, der zudem noch zeitlich gestaffelt ist, aufrechterhalten zu können. Und damit spannt das Risikomanagement den Bogen zum BCM.

Normen und Gesetze sehen dies ähnlich. So lautet der Titel der österreichischen technischen Regel ONR 49000ff. zwar Risikomanagement für Organisationen und Systeme. Sie beschäftigt sich jedoch folgerichtig in ONR 49002-3 auch mit dem Notfall-, Krisen- und Kontinuitätsmanagement.

Nicht nur  Normen, sondern auch branchenübergreifende und branchenspezifische Gesetze sowie bei Banken und Versicherungen zusätzlich die Mindestanforderungen der BaFin verwenden den Begriff Risikomanagement oder vergleichbare Bezeichnungen. Laut Aktiengesetz, hat der Vorstand „ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Gemäß Kreditwesengesetz (KWG), müssen Institute über ein Risikomanagement einschließlich eines „angemessenen Notfallkonzepts“ verfügen. Von Kapitalanlagegesellschaften fordert das Investmentgesetz (InvG) ein Risikomanagement. Die Mindestanforderungen an das Risikomanagement, kurz MaRisk, verlangen von Instituten und von Investmentgesellschaften ein Notfallkonzept mit Geschäftsfortführungs- und Wiederanlaufplänen, also Teile eines BCM. Das Versicherungsaufsichtsgesetz (VAG) fordert von Versicherungen ein Risikomanagement. Die MaRisk für Versicherungen führt aus, dass Unternehmen durch eine Notfallplanung Vorsorge zu treffen haben.

Diese Beispiele zeigen, dass auch aus Sicht der Normierungsgremien und des Gesetzgebers sowie der BaFin das Risikomanagement auf das BCM angewiesen ist, um Risiken auf das geforderte Niveau bringen zu können. Dies erfordert zumindest ein enges Zusammenspiel zwischen dem Risikomanagement und dem BCM, das auch organisatorisch abzubilden ist.

Literatur / Quellen:

Gesetze

Aktiengesetz, 9.12.2010

Investmentgesetz, 22.6.2011

Kreditwesengesetz, 22.6.2011

Versicherungsaufsichtsgesetz, 1.3.2011

Aufsichtsbehördliche Anforderungen

InvMaRisk, BaFin, 30.06.2010

MaRisk, BaFin, 15.12.2010

MaRisk VA, BaFin, Rundschreiben 3/2009

Normen / Standards

ONR 49000ff., Risikomanagement für Organisationen und Systeme (s. a. ISO 31000, Risikomanagement)

ONR 49002-3, 01.01.2010

Bücher

Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010