“Risk Assessment as Part of Business Continuity Planning is Overrated”
Welche Aufgaben hat das BCM in der Phase “Risk Assessment”? Dies ist vielleicht eines der noch ungeklärten Rätsel des BCM und die Meinungen hierzu gehen sehr weit auseinander. Auf der einen Seite der Anschauungen könnte man fast von einer “feindlichen Übernahme” des opRisk (oder sogar noch weitergehender) durch das BCM sprechen, was natürlich von den Risikomanagern heftig abgewehrt wird. Schließlich blicken sie auf eine längere Tradition mit ausgefeilten Methoden und Verfahren zurück. BCMer ohne eine fundierte Grundausbildung in Statistik sollten es nicht auf eine Diskussion mit diesen geschätzten Kollegen ankommen lassen. Auf der anderen Seite der Anschauungen stellt sich demgegenüber die existentielle Frage, was vom Risk Assessment im BCM überhaupt noch übrig bleibt. Ich bin Anhänger eines pragmatischen Ansatzes, der in diesem Artikel aus meiner Sicht sehr treffend und anschaulich beschrieben ist, ganz dem Motto folgend “Entmystifizierung des Risikomanagements im BCM”:
Warum muessen wir immer in Silos denken? Es gibt einige Aspekte zum gegenseitigen Nutzen. Risk Management fuer die Ursache, BC fuer the Konsequenz von Stoerfaellen. Es mag ja sein, dass die Ursache fuer die Abfederung der Konsequenzen nicht wirklich von Interesse ist. Zumindest theoretisch…wobei ich mir nicht sicher bin, ob der all-hazards-approach wirklich der Weisheit letzter Schluss ist. In jedem Fall ist die Darstellung von Risiken bzw. von Restrisiken nach Risikobehandlung ein Motivator fuer ein BC Programm. Ich bin fuer einen pragmatischen Ansatz. Beide Seiten koennen voneinander profitieren.
Nachdem ich auf die BIA eingeschlagen habe (http://www.bcm-news.de/2012/05/17/rainer-huebert-warum-die-business-impact-analyse-bia-nicht-funktioniert/) ist nun der zweite Teil von Stage 1 des BCM Lifecycle dran, das Risk Assessment.
Ich war immer der Meinung, dass das Risk Assessment ein Fremdkörper im BCM-Kontext ist, da die Informationen aus dem Risk Assessment für den eigentlichen Zweck eines BCM-Programmes, die Sicherung der Leistungsfähigkeit nach einer schwerwiegenden Geschäftsunterbrechung, vollkommen irrelevant sind. Meine Theorie war immer, dass die RA nur deswegen Teil des BCM ist, weil es naheliegend ist und sich sonst niemand darum gekümmert hat: OpRisk ist auch für viele Risikomanager etwas relativ neues.
Als vor 20 Jahren der Lifecycle entwickelt wurde, waren die BCM-Afficionados die ersten und einzigen, die sich um Hagelschlag und Stromausfall, um Hochwasser und Sabotage gekümmert haben, weil es naheliegend war, einige der offensichtlichen Ursachen für die Notwendigkeit der Aktivierung von BCPs auszuschalten oder zumindest zu “managen”. Der Autor hat übrigens die Zombies vergessen …
Ein Risk Assessment ist für BCM unnötig. Das wird offensichtlich wenn man sich mal überlegt, welchen Schaden die Reaktionsfähigkeit eines Unternehmens auf eine Geschäftsunterbrechung nimmt, wenn man zwar funktionierende Notfallpläne hat, aber OpRisks gar nicht thematisiert hat. Man erkennt schnell, dass man für die Erstellung von Notfallplänen das im RA erarbeitete Wissen um Risiken überhaupt nicht verwendet.
Leider ist auch im ISO 22301 die Durchführung einer Risikoanalyse vorgeschrieben, wenn man zertifiziert werden möchte. Wer also das Zertifikat braucht oder will, kommt um die RA nicht herum. Allen anderen empfehle ich das OpRisk-Thema entweder vollkommen an eine eventuell bestehende Risikomanagementorganisation zu delegieren, oder, falls es so etwas nicht gibt, bis auf die Realisierung offensichtlicher Quick-Wins aus einer OpRisk-Betrachtung, einfach zu lassen.
Wie Matthias schon schrieb, Risikomanagement ist ein Spezialthema für Stochastiker und Ökonometriker. Wir BCM-Fachleute sollten das den Fachleuten der anderen Fakultät überlassen, oder es als das verkaufen, was wir leisten können: Oberflächliche Thematisierung des Offensichtlichen. Wirklich brauchen um unsere Ziele zu erreichen tun wir es nicht.