Über die Gemeinsamkeiten, Unterschiede und Schnittstellen zwischen Business Continuity Management und Risikomanagement wird derzeit heftig diskutiert. Wichtig bei dieser fruchtbaren – manchmal aber auch furchtbaren -Diskussion, ist aus meiner Sicht die Gemeinsamkeiten und Unterschiede der beiden Disziplinen herauszuarbeiten um Synergien identifizieren zu können. Eine augenfällige Schnittstelle ist die Phase Risiko-Analyse oder Risk-Assessment im BCM-Lifecycle (RIA). Hier steckt das Risikomanagement bereits in der Begrifflichkeit und die Schnittstellen zum Risikomanagement sind offensichtlich. Gibt es in der RIA des BCM also Unterschiede zum Risikomanagement bei der Behandlung operationeller Risiken (OpRisk) oder wird hier Doppelarbeit betrieben – auf dem Rücken der Fachabteilungen?  Das Management operationeller Risiken baut auf einem Katalog bekannter Risikoszenarien auf. In branchenbezogenen und/oder branchenübergreifenen Szenariosammlungen finden sich Hunderte von Risikoszenarien, die Ursachen für Risikoereignisse und die potentiell zu Schadensfällen werden können. In Schadenfalldatenbanken werden bereits über Jahre eingetretene Schadensfälle gesammelt mit Informationen über die jeweiligen Ursachen und Schadensfolgen der Schadensereignisse. Auf Basis dieser gesammelten Daten können dann statistische Eintrittwahrscheinlichkeiten und Schadenshöhen für die Schadenszenarien ermittelt werden. Eine beliebte Ergebnisdarstellung ist die Risikomatrix, die Eintrittwahrscheinlichkeit und Schadenhöhe der Szenarien in Bezug setzt. Auf Basis dieser Ergebnisse können schadensmindernde Vorsorgemaßnahmen entschieden und durchgeführt sowie Eigenkapital gemäß Basel II (später Basel III) für die Risiken hinterlegt werden. Auch das Business Continuity Management hat die Vorsorge in Form der Notfallvorsorge und Notfallplänen zum Ziel. Jedoch werden im BCM nicht alle möglichen Schadenszenarien betrachtet, sondern nur Szenarien, die eine Geschäftsunterbrechung zur Folge haben können, d.h. Extremszenarien oder worst-case-Szenarien. Da im BCM die Wirkung der Szenarien auf die Geschäftsprozesse entscheidend ist, hat sich eine Wirkungs-bezogene Definition der Szenarien durchgesetzt (Ausfall Personal, Gebäude, Betriebsmittel, IT, Dienstleister etc.). Hinzu kommt, dass durch das seltene Auftreten dieser Ereignisse keine Datenbasis für Eintrittswahrscheinlichkeiten vorliegt. Dies ist auch unerheblich, da für geschäftsunterbrechende Szenarien immer vorgesorgt werden muß, unabhängig von der Wahrscheinlichkeit des Eintretens. Bei der Notfallvorsorge geht es in erster Linie darum, mögliche Szenarien zu identifizieren, die zu einer Geschäftsunterbrechung führen können. Wie so oft lassen sich diese unterschiedlichen Blickrichtungen von Risikomanagement und BCM im Englischen sprachlich schärfer differenzieren zwischen “probability” für die Betrachtung der Eintrittswahrscheinlichkeiten im Risikomanagement und “possibility” für die Betrachtung der möglichen Ursachen für Geschäftsunterbrechungen im BCM.

Diese Ausführungen sollen jetzt allerdings nicht zu dem vorschnellen Schluß verleiten, daß BCM und Risikomanagement zwei voneinander unabhängige Disziplinen sind. Im Gegenteil, viele methodischen Vorgehensweisen und Instrumente sind adaptierbar. Dies ist auch dringend notwendig, um gegenüber den Fachabteilungen nicht doppelgleisig auftreten zu müssen und den Nutzen beider Risikobetrachtungen argumentieren zu können. Beide Disziplinen müssen sauber miteinander verzahnt werden, nachdem Ziele, Methoden und vorgehen auf Schnittstellen und Synergien überprüft wurden. Viel Dialog wird hierzu in Zukunft noch notwendig sein. Packen wir es an …