Betriebliches Kontinuitätsmanagement (BCM) (final)
Der Eintritt eines Stör- oder Schadenfalles stellt für Unternehmen eine umfassende Belastung dar. Dies ist für Veranstaltungen und Veranstalter nicht anders als für andere Industriebereiche.
Im Gegensatz aber zu anderen Industrien, in denen das Kontinuitätsmanagement ein regelmäßiger Teil des allgemeinen Managementprozesses ist, reduziert sich die Betrachtung von Ereignissen im Rahmen der Sicherheitsplanung für Veranstaltungen häufig auf die Bewältigung von Notfällen, die im Rahmen der Risikoanalyse als mögliches Szenario akzeptiert wurden.
Kontinuitätsmanagement beschäftigt sich jedoch auch mit den sogenannten „worst cases“ – als Mittel zur Erkennung von Anfälligkeiten und Schwachstellen.
Darüber hinaus beschäftigt sich die Kontinuitätsplanung insbesondere mit der Frage des Geschäfts (=Veranstaltungs-)fortbestandes trotz eines eingetretenen Schadens sowie der Rückkehr zur Normalität.
Einleitung
Betriebliches Kontinuitätsmanagement ist ein Schlüsselkonzept für die Bewältigung negativen Ereignissen wie Notfällen und / oder Krisen. Dies gilt auch für Veranstaltungen. Das Kontinuitätsmanagement stellt sicher, dass Abläufe robust und Organisationen resilient genug sind, um Kaskadeneffekte durch negative Ereignisse abzufedern – basierend auf dem Grundgedanken: „Sicherheit bedeutet, Schäden bewältigen zu können“ - es geht also um den Aufrechterhaltung der Funktionsfähigkeit eines Unternehmens / einer Veranstaltung trotz des Eintritts eines negativen Ereignisses.
Kontinuitätsmanagement ist ein ganzheitlicher Prozess,
- der potentielle Bedrohungen für eine Organisation / Veranstaltung und
- deren Einfluss auf die Geschäftstätigkeit identifiziert
- mit dem Ziel, eine organisationale Widerstandsfähigkeit aufzubauen
- mit der Fähigkeit, schnell auf Ereignisse zu reagieren [Business Continuity Institute].
Im Gegensatz zum Risikomanagement besteht die Aufgabe des Kontinuitätsmanagements nicht in der
Minimierung der Eintrittswahrscheinlichkeit, sondern in der systematischen Vorbereitung auf die Bewältigung von Schäden (präventive Schadenbewältigung).
Deshalb ist die zugrunde liegende Fragestellung nicht, ob ein Schaden eintritt, sondern welche Auswirkungen er hat, wenn er eintritt.
Eine Betrachtung von Worst Case Szenarien wird in der Praxis jedoch häufig gescheut, da diese fälschlicherweise als Eingeständnis mangelnder Sicherheit interpretiert werden. Insbesondere die Worst Case Szenarien sind aber ein wichtiges Instrument zur Aufdeckung organisationaler Schwächen und helfen,
Aussagen in Bezug auf das eigene Sicherheitsverständnis zu treffen.
Beispiel 1 | Praxisbeispiel Das Szenario „Zusammenbruch einer Bühne“ wird aufgrund der geringen Eintrittswahrscheinlichkeit regelmäßig nicht im Rahmen der Notfallplanung vorbereitet – die Maßnahmen des allgemeinen Sicherheitsmanagements (z.B: Abnahmen des Fliegenden Baus, Einhaltung der Vorgaben des Baubuchs incl. Nebenbestimmungen) gelten als ausreichend, um dieses Szenario als „nicht eintrittswahrscheinlich“ zu beurteilen. Ein eintrittswahrscheinliches Risiko, dass eine Bühne zusammenbricht, ist nicht akzeptabel.
Eine Betrachtung dieses Szenarios als „worst case scenario“ kann jedoch helfen, grundlegende Fragen beantworten, z.B.
Die Fragen, die sich in der Abarbeitung eines solchen Worst Case Scenarios ergeben, sind vielfältig und können hilfreichen Aufschluss geben über die allgemeine Fähigkeit der Organisation, mit Stör- und Schadenereignisses, insbesondere auch ungeplanten umzugehen. Darüber hinaus ergibt sich die Notwendigkeit, über angegliederte Prozesse (Pressearbeit / interne Strukturen) zu sprechen und Entscheidungen im Hinblick auf das eigene Sicherheitsbedürfnis zu treffen|} Kontinuitätsmanagement für VeranstaltungenZiel der Kontinuitätsplanung ist der Aufbau resilienter Systeme, die im Falle eines Schadeneintritts nicht kollabieren, sondern in einen anderen Betriebsmodus wechseln können (auch bei einem noch so spektakulären Ereignis ist es wichtig, dass das Büro besetzt bleibt, dass regelmäßige Abläufe aufrechterhalten werden, dass Ansprechbarkeit gegeben ist etc.). Hierzu ist es nötig, Anfälligkeiten aufzuzeigen – das heisst, es ist zu prüfen welche Relevanz ein Ereignis hat (ein Stromausfall am Nachmittag hat in Bezug auf die Sicherheitsbeleuchtung eine geringere Relevanz als ein Stromausfall am Abend). Anfälligkeiten sind vielfältig und nicht immer direkt zu erkennen - Faktoren, die eine Veranstaltung anfällig machen können, sind z.B.
Ein Aufdecken dieser Anfälligkeiten – oftmals bereits im Rahmen der allgemeinen Risikoanalyse - kann helfen, einen Rahmen für den Aufbau organisationaler Resilienz zu schaffen, der nicht nur eine effektive Schadenbewältigung unter Berücksichtigung der Sicherheit aller Beteiligten garantiert, sondern auch die Fortführung des Unternehmens / der Veranstaltung sicherstellt (vgl. BS 25999; ISO 22301; ESTALL 2012, 62). Während sich die Risikoanalyse für Veranstaltungen oftmals nur auf die Veranstaltung selbst konzentriert, werden im Rahmen des Kontinuitätsmanagements potentielle Anfälligkeiten auch in der eigenen Organisation oder in der Zusammenarbeit mit stakeholdern (z.B. externen Dienstleistern) gesucht. Insbesondere Aspekte des Transports und der Logistik sind häufig vernachlässigte potentielle Schwachstellen mit hoher Auswirkung auf die Gesamtveranstaltung. Zu betrachten sind regelmäßig alle Bereiche des Sicherheitsmanagement (KEMP 2010; 254 nach YONES 2007): Technologie
Personen
Prozesse
Ökonomie
Schadenrelevanzanalyse / Business Impact Analysis (BIA)Ein wesentlicher erster Schritt im Rahmen des Kontinuitätsmanagements ist die Schadenrelevanzanalyse (Business Impact Analysis) (vgl. BARNES 2011, 166ff.). Hierbei werden quantitative und qualitative Einflussgrößen bestimmt, welche die potentiellen Effekte und Verluste beim Eintritt von Störungen oder Schäden beschreiben. Hierzu gehören im Veranstaltungskontext nicht nur Notfälle im Hinblick auf mögliche Personenschäden, sondern zum Beispiel auch der Ausfall relevanter Infrastrukturen (Ver-/Entsorgung, Bühnen etc.) oder auch der Ausfall von Personal. Ereignisse sind nicht immer im gleichen Maße relevant:
Auf der großen Zufahrtstrasse zur Veranstaltung kommt es zu einem schweren Unfall verbunden mit einer längeren Sperrung. Die Anreise des Ordnungsdienstes ist betroffen, ein Großteil der Kräfte kann das Veranstaltungsgelände nicht erreichen. Während es Veranstaltungen gibt, die den Ausfall (oder die späte Ankunft) des Ordnungsdienstes relativ problemlos kompensieren können (geringe Anzahl, kein Gefährdungspotential etc.), gibt es Veranstaltungen, die möglicherweise nicht beginnen können, bevor nicht alle Fluchtwege, alle Einlässe etc. besetzt sind. Die Relevanz eines verzögerten Einlasses ist dabei ebenfalls individuell zu bewerten: vom Unmut des Publikums über längere Wartezeiten bis hin sich verschiebenden oder auch nicht eingehaltenen TV Übertragungszeiten . Auf einer Veranstaltung fällt der Strom aus – dies ist mehr oder weniger relevant abhängig von
usw.
Um die Relevanz zu bewerten, müssen alle Geschäftsprozesse dahingehend überprüft werden, welche Konsequenzen ihr Ausfall haben würde in Bezug auf:
Sind alle Auswirkungen herausgearbeitet, müssen die folgenden Fragen beantwortet werden:
Maximal Tolerierbare Ausfallzeit (MTA)Bei der Wiederaufnahme oder Wiederherstellung gestörter Prozesse (z.B. der Stromversorgung) ist die Zeit ein wichtiger Faktor. Die Maximale Tolerierbare Ausfallzeit beschreibt den Zeitrahmen, in dem die Aktivität wieder anlaufen muss, bevor der Ausfall dem Unternehmen (oder der Veranstaltung) nachhaltig schadet. Prozessen, die nur kurzfristig ausfallen dürfen, muss daher entweder bei der Wiederherstellung oder aber schon früher in Bezug auf die Ausfallsicherung eine höhere Priorität eingeräumt werden, als denen, auf die eine Zeit lang verzichtet werden kann.
KontinuitätsplanDie Kontinuitätsplanung verläuft in den selben Phasen wie die Notfallplanung (vgl vbg 2012; 34) Vorbereitung Aufbauorganisation: Festlegung von Rollen und Verantwortlichkeiten, Rechten und Pflichten, Benennung der Beteiligten Ablauforganisation:
Bewältigen
Nachbereiten
Der Kontinuitätsplan muss kontinuierlich überarbeitet, angepasst und auf andere Pläne, bspw. Crowd Management, Notfallplan, Pläne der anderen Akteure abgestimmt werden. Dabei muss der Plan allen Beteiligten gegenüber kommuniziert und von diesen auch akzeptiert sein – zu betonen ist hierbei die Notwendigkeit einer strategischen Implementation von Sicherheitskulturen durch entsprechende Ausbildung und Trainings statt einer bloßen Papier- und Konzeptkultur (KEMP 2010; 256). Ein Schlüssel zur Kontinuität und damit die schnelle Rückkehr in den Normalbetrieb liegt in den involvierten Personen. KEMP weist damit daraufhin, dass es insbesondere die persönlichen Anpassungsfähigkeiten der Mitarbeiter sind, die geschult und nicht vor lauter Prozessplanung übersehen werden dürfen. Die organisationale Flexibilität in Bezug auf die Anpassung an sich verändernde Bedingungen ist ein Schlüssel für die schnelle Bewältigung eines Ereignisses.
Literatur
|