Organisatorische Resilienz – Krisen und Veränderungen meistern

01 Juli, 2022

Unternehmen sind aktuell stärker denn je mit Einschränkungen wie unterbrochenen Lieferketten, beispielsweise durch Wirtschaftssanktionen, konfrontiert. Darüber hinaus bedrohen eine Vielzahl mittlerweile alltäglicher Risiken wie Cyber-Angriffe das Geschäft. Die Fähigkeiten einer Organisation, veränderte Umstände zu antizipieren, sich ihnen anzupassen, Störungen zu überstehen und sich schnell zu erholen – die sogenannte organisatorische Resilienz – ist längst zu einer Schlüsselkompetenz für erfolgeiche Unternehmen geworden.

Die gute Nachricht: Es gibt mittlerweile internationale Standards wie die ISO-Norm 22316, die den systematischen Aufbau organisatorischer Resilienz unterstützen. Führungskräfte kommen damit ihrer Verantwortung nach, das Ausmaß und die Folgen von Risiken, Bedrohungen und Veränderungen zu minimieren.

Das Wichtigste in 30 Sekunden

  • Organisatorische Resilienz bezeichnet die Fähigkeit von Unternehmen, sich an Krisen und neue Umstände anzupassen und disruptive Ereignisse möglichst unbeschadet zu überstehen.
  • Standards wie die ISO-Norm 22316 (Security and Resilience – Organisational Resilience – Principles and Attributes) unterstützen den systematischen Aufbau organisatorischer Resilienz.
  • In der Praxis hat sich ein dreistufiger Ansatz bewährt, um die Resilienz nachhaltig zu erhöhen. Ein initialer Check Up schafft eine Übersicht relevanter Bereiche und ihrer Beziehungen untereinander. Anschließend ermittelt eine detailliertere Diagnose den Status Quo und legt ein Zielbild für einzelne Fähigkeiten fest, bevor im dritten Schritt priorisierte Bereiche mit passenden Maßnahmen gezielt ausgebaut werden.

Erhöhen Sie die Resilienz Ihrer Organisation in drei Schritten

Unternehmen bewegen sich heute mehr denn je in einem Umfeld kontinuierlicher Veränderungen, auch bezeichnet als VUCA-Welt (Volatility, Uncertainty, Complexity, Ambiguity). Die COVID-19-Pandemie, aber auch aktuelle geopolitische Konflikte haben gezeigt, wie schnell und dramatisch sich sicher geglaubte Realitäten verändern und wie wichtig ein erfolgreiches Krisen- und Kontinuitätsmanagement ist. Doch auch abseits der Auswirkungen globaler Großereignisse gibt es zahlreiche disruptive Szenarien, die Unternehmen vor enorme Herausforderungen stellen. Dazu gehören beispielsweise Ransomware-Angriffe, Naturkatastrophen, Finanzkrisen sowie der unerwartete Verlust von Schlüsselpersonal.

Kein Wunder, dass die organisatorische Resilienz zunehmend in den Fokus der Firmen rückt. Sie bezeichnet die Fähigkeit von Organisationen, sich auf veränderte Umstände vorzubereiten und anzupassen sowie Störungen gegenüber widerstandsfähig zu sein – unabhängig davon, ob die Störung durch einen vorsätzlichen Angriff, einen Unfall, eine Naturkatastrophe oder ein sonstiges Ereignis hervorgerufen wurde. Laut dem PwC Global Crisis Survey 2021 planen sieben von zehn Organisationen, mehr in den Aufbau von Resilienz und das Aufbrechen von Silos rund um Resilienz-Funktionen zu investieren. Davon betroffen sind zahlreiche Disziplinen wie zum Beispiel das Asset-, Business Continuity- und Krisenmanagement sowie das Qualitäts-, Risiko- und Supply Chain Management.

Relevante Richtlinien und Best Practices für organisatorische Resilienz

Für die Implementierung organisatorischer Resilienz stehen mittlerweile eine Reihe internationaler Standards und Best Practices bereit, auf die sich Unternehmen stützen sollten. Dazu gehört allen voran die ISO-Norm 22316 (Security and Resilience – Organisational Resilience – Principles and Attributes). Sie ist grundsätzlich von Organisationen jeder Art und Größe anwendbar und nicht auf bestimmte Branchen oder Sektoren beschränkt. Die Norm listet eine Reihe von Prinzipien und Merkmalen organisatorischer Resilienz auf und gibt Unternehmen Richtlinien für die Evaluierung relevanter Faktoren an die Hand.

Neben dieser zentralen Norm für organisatorische Resilienz haben wir unser Resilienzmodell unter Berücksichtigung weiterer Richtlinien entwickelt. Dazu gehören beispielsweise die ISO 22301 (Societal Security Business Continuity Management Systems), ISO 31000 (Risk Management) und ISO 27001 (Information Security Management). Speziell für den Bereich Business Continuity stehen außerdem die BCI Good Practice Guidelines zur Verfügung. Für eine bessere Cyber-Resilienz sorgt die Anwendung des NIST (SP) 800 160 Standards.

Check Up: Übersicht verschaffen und Beziehungen zwischen Disziplinen ermitteln

In der Praxis hat sich ein dreistufiger Ansatz für den Aufbau von Resilienz bewährt, der von einer initialen Bestandsaufnahme über eine Resilienz-Diagnose bis zur gezielten Stärkung einzelner Fähigkeiten reicht. Im ersten Schritt geht es darum, sich einen Überblick zu relevanten Stakeholdern sowie einzelnen Resilienz-Disziplinen und ihren Ausprägungsgraden zu verschaffen. Wer leitet bestimmte Schlüsselfunktionen? Wie greifen einzelne Bereiche ineinander? Mit Hilfe von Workshops lassen sich diese Fragen schnell beantworten. So finden Unternehmen heraus, wie es zum Beispiel um ihr Business Continuity Management, Krisenmanagement und die physische Sicherheit bestimmt ist.

Wichtig ist dabei, Schnittstellen und Beziehungen zwischen einzelnen Disziplinen zu berücksichtigen. So zeigt sich zum Beispiel, in welchen Bereichen es einerseits erste Überschneidungen und Synergien gibt und wo andererseits noch ein Silo-Denken vorherrscht. Ein weiteres bewährtes Mittel für den Check Up sind Simulationen unternehmensweiter Störungen. Neben der Unternehmensleitung sollten Führungskräfte relevanter Resilienz-Funktionen in die Übungen einbezogen werden. Der praktische Umgang mit schwierigen Situationen bereitet die Mitarbeiter nicht nur auf den Ernstfall vor, sondern legt in der Regel auch Ansatzpunkte für kurzfristig umsetzbare Verbesserungen nahe.

Diagnose: Operativen Reifegrad bestimmen und Resilienz-Fahrplan entwickeln

Der zweite Schritt auf dem Weg zur resilienten Organisation zielt darauf ab, den aktuellen Zustand Ihrer organisatorischen Resilienz transparent zu machen und einen Plan zum Erreichen des angestrebten Niveaus aufzustellen. Wie resilient ist Ihr Unternehmen wirklich? Wo stehen Sie im Vergleich zu Wettbewerbern? Um ein klares Bild des Staus Quo zu bekommen, gilt es, den Resilienz-Ansatz des Unternehmens sowie die wichtigsten Richtlinien, Verfahren, Pläne und Szenario-Strategien zu überprüfen.

Mit dem PwC-eigenen Resilienzmodell bewerten wir den operativen Reifegrad anhand von acht Schlüsselelementen:

  1. Governance und Kultur
  2. Framework und Abläufe
  3. Situationswahrnehmung
  4. Schnittstellen und Integration
  5. Fähigkeiten und Leistungen
  6. Technologie und Werkzeuge
  7. Training und Awareness
  8. Kontinuierliches Monitoring

Auf Basis der Bewertung lässt sich ein Fahrplan für die praktische Umsetzung entwickeln, um die Resilienz nachhaltig zu stärken.

Resilienz boosten: Gezielter Ausbau priorisierter Schlüsselbereiche

Der dritte Schritt legt den Schwerpunkt auf die systematische Weiterentwicklung bestimmter Fähigkeiten. Zunächst geht es darum, betroffene Handlungsfelder zu priorisieren und ein Zielniveau festzulegen. Dann gilt es, mit passenden Maßnahmen die eigenen Fähigkeiten und die individuelle Resilienz gezielt weiterzuentwickeln. Um nachhaltig resilienter zu werden, sollten Organisationen die eigenen Fähigkeiten außerdem regelmäßig validieren und testen. Hierfür können Unternehmen beispielsweise die Ergebnisse von Simulationen heranziehen.

Organisatorische Resilienz ist kein Zufall. Auf Basis etablierter Standards können Unternehmen sehr zielgerichtet und effektiv ihre Fähigkeiten im Umgang mit Krisen verbessern.

Follow us

Contact us

Jane He

Jane He

Director, Forensic Services, PwC Germany

Tel.: +49 69 9585-3785

Jens Greiner

Jens Greiner

Director, Forensic Services, PwC Germany

Tel.: +49 69 9585-5831

Hide