Organisatorische und operative Resilienz: Die Unterschiede
Durch organisatorische wie auch operative Resilienz schaffen Unternehmen Schutz und Widerstandskraft gegen desaströse Ereignisse und kommen schnell wieder in den Normalbetrieb.
Resilienz – die Belastbarkeit einer IT-Landschaft in allen geschäftlichen Situationen sowie die Widerstandsfähigkeit einer IT-Landschaft bei allen Arten von Störungen vom Stromausfall bis zur Cyberattacke – ist zu einem wichtigen Element in den Bereichen Business Continuity und Disaster Recovery sowie in der Cybersicherheit geworden.
Organisatorische und operative Belastbarkeit der IT sind zwei Bereiche, die ein Unternehmen beim Einsatz der IT berücksichtigen muss, wenn es auf Dauer überleben und erfolgreich sein will.
Organisatorische Resilienz (OR) beschreibt dabei im Allgemeinen die Belastbarkeit einer gesamten Organisation bei betrieblichen Stresssituationen – einschließlich der Technologie, der Menschen, der Einrichtungen, der Geschäftsabläufe und allem, was sonst für den Betrieb eines Unternehmens erforderlich ist. Wenn jedes dieser Elemente vor störenden Ereignissen geschützt ist und Pläne zur Wiederherstellung des normalen Betriebs vorhanden sind, kann man sagen, dass eine organisatorische Widerstandsfähigkeit hergestellt wurde.
Auch die Anpassungsfähigkeit eines Unternehmens und seiner IT-Landschaft ist Teil vieler OR-Definitionen. Im Idealfall kann sich ein belastbares Unternehmen während eines störenden Ereignisses beugen und biegen und nach Ablauf des Ereignisses zum normalen Betrieb zurückkehren.
Was bedeutet operative Resilienz?
Betrachten wir nun Operational Resilience (OpR, operative Resilienz oder betriebliche Belastbarkeit): OpR stand bislang im Schatten der OR. Doch durch – im Grunde dramatische – Entwicklungen wie Cyberattacken, eine fast vollständige Abhängigkeit der Geschäftsprozesse von der Technik (bei nicht immer gleich hoher Zuverlässigkeit derselben) sowie immer mehr menschliche Fehlerquellen aufgrund immer mehr mit der IT betrauter Menschen entstand der Begriff der Operational Resilience. Wenn Sie mit dem Begriff nicht vertraut sind: Mehrere große Unternehmen haben den Begriff OpR und seine Rolle bei Business Continuity und Disaster Recovery (BC/DR) beschrieben.
Neben dem Schutz Ihres Unternehmens kann die Schaffung von organisatorischer und operativer Resilienz auch die Wahrnehmung Ihres Unternehmens in der Öffentlichkeit steigern.
Das US-amerikanische Marktforschungs- und Beratungsunternehmen Gartner beschreibt OpR als „eine Anzahl von Techniken, die es Menschen, Prozessen und Informationssystemen ermöglichen, sich an veränderte Muster anzupassen. Es ist die Fähigkeit, den Betrieb angesichts sich ändernder Geschäftsbedingungen zu verändern.“
In der britischen Norm BS 65000:2014, Guidance on organizational resilience bezeichnet das British Standards Institution (BSI, nicht zu verwechseln mit dem ähnlich abgekürzten Bundesamt) die operative Belastbarkeit als die: „Fähigkeit eines Unternehmens, inkrementelle Veränderungen und plötzliche Störungen zu antizipieren, sich darauf vorzubereiten, darauf zu reagieren und sich darauf einzustellen, um zu überleben und zu gedeihen.“
Die Internationale Organisation für Normung hat ebenfalls eine Norm über organisatorische Belastbarkeit formuliert. Diese findet sich in der ISO 22316:2017, Sicherheit und Belastbarkeit – organisatorische Belastbarkeit – Prinzipien und Attribute. Die ISO-Norm definiert einen Rahmen für Unternehmen, um sicherzustellen, dass ihre Geschäftsaktivitäten jetzt und in Zukunft geschützt und aufrechterhalten werden können.
Die Norm fokussiert sich auf die Vorbereitung von Unternehmen hinsichtlich des Erkennens potenzieller Risiken und Bedrohungen sowie auf die geeignete Reaktion und die Identifizierung und Beseitigung von Schwachstellen.
Wie man OpR einführt
Bei der operativen Resilienz wird untersucht, was ein Unternehmen tatsächlich tut und was es für diese Aktivitäten braucht. Dies unterscheidet sich von der organisatorischen Resilienz dadurch, dass OR die gesamte Organisation betrachtet, während OpR prozessorientierter ist und untersucht, wie die Geschäftsprozesse funktionieren – und was die Organisation benötigt, um diese Prozesse zu schützen.
Was brauchen Unternehmen heute, um zu funktionieren? Wie bei jeder unternehmerischen Initiative muss die Bewegung in Richtung OpR ganz oben beginnen. Die Geschäftsleitung muss sich der Bedeutung der Aufrechterhaltung einer operativen Resilienz bewusst sein. Initiativen wie die Schaffung von Richtlinien, Rahmenbedingungen und Strukturen zur Unterstützung von OpR muss das Management unterstützen.
Alle Beteiligten finden sich dann in operativen Teams wieder, die Programme, Kontrollen und Verfahren zur Herstellung von Produkten und Dienstleistungen entwickeln und implementieren.
Das britische Normungsinstitut BSI stellt ein praktisches Modell für OpR vor. Es beschreibt OpR als einen von drei Mitwirkenden an der organisatorischen Resilienz (OR). Die beiden anderen sind die Informationsresilienz und die Lieferkettenresilienz, wie Abbildung 1 zeigt.
Abbildung 1: Modell für Operative Resilienz (OpR) und Organisatorische Resilienz
Kann man annehmen, dass alle Komponenten der Betriebsstruktur eines Unternehmens ordnungsgemäß funktionieren und vor störenden Ereignissen geschützt sind, gilt OpR als etabliert.
Wenn das „Informationskapital“ des Unternehmens (also Systeme, Daten, geistiges Eigentum und Netzwerke) ordentlich funktioniert, sicher und geschützt ist und nach einer Unterbrechung sicher wiederhergestellt und in Betrieb genommen werden kann, hat ein Unternehmen seine Informationsresilienz aufgebaut.
Schlussendlich müssen die Abläufe, mit denen ein Unternehmen seine Produkte und Dienstleistungen für die Kunden herstellt und zu liefert, verfügbar sein und dürfen nicht durch interne oder externe Ereignisse beeinträchtigt werden.
Initiativen rund um BC/DR, Cybersecurity und für eine optimale Supply-Chain sind, wie in der obigen Abbildung dargestellt, die wesentlichen Bausteine der organisatorischen Resilienz. Im Idealfall greifen die Bausteine ineinander. Dadurch wird das Risiko des Auftretens von Störereignissen minimiert.
Gleichzeitig steigern die Unternehmen damit die Sicherheit und Überlebensfähigkeit jedes Bausteins und somit aller existentiell wichtigen Bereiche des Unternehmens.
Neben dem Schutz Ihres Unternehmens kann die Schaffung von organisatorischer und operativer Resilienz auch die Wahrnehmung Ihres Unternehmens in der Öffentlichkeit und insbesondere bei den Kunden steigern. Ein Unternehmen ohne Datenschutzskandal und ohne Ausfälle durch Angriffe von außen steht bei den Kunden hoch im Kurs.
Ein guter Ruf in Sachen organisatorischer Resilienz kann das Überleben eines Unternehmens über die Zeit erheblich verbessern. Einem Unternehmen, das eher in der Lage ist, Störungen zu überstehen, vertrauen Kunden eher.
Können die Kunden davon ausgehen, dass ihr Partner oder Lieferant trotz disruptiver Ereignisse in der Lage ist, seine Geschäftstätigkeit aufrechtzuerhalten, werden die resilienten Unternehmen sicherlich eher nachgefragt. Damit verbessert sich schließlich durch Operational Resilienz die Wettbewerbsposition.
