Business Continuity Management (BCM) zielt darauf ab, Unternehmen nach abrupten Störungen/Notfällen oder Katastrophen die Fähigkeit zu erhalten, Produkte und Dienstleistungen weiterhin in akzeptablen vordefinierten Mengen zu liefern.¹

BCM ist damit neben dem Risikomanagement, Security-Management, Emergency-Management und dem Krisenmanagement ein Teilbereich der Resilienz eines Unternehmens, sich in einem sich verändernden Umfeld anpassen und gegen die möglichen Auswirkungen eines Ereignisses wehren zu können.²

Krisen und Katastrophen mit ihren schwerwiegenden Auswirkungen und Folgen zeigen sich insbesondere im Zusammenhang mit Naturkatastrophen, z. B. Erdbeben, Tsunamis, Vulkanausbrüchen, Flutereignissen, Waldbränden. Hierzu gehören aber auch Epidemien und Pandemien wie die zurzeit grassierende COVID-19-Pandemie, die weltumspannend Staaten, Bürger, aber auch Unternehmen massiv beeinträchtigt und zu erheblichen finanziellen und personellen Verlusten führt.

BCM definiert verschiedene Bedrohungsstufen in Bezug auf ihre Ausmaße und die damit verbundenen Auswirkungen. Die Skala reicht von Störungen über Notfälle und Krisen bis hin zu Katastrophen. Diese Begriffe geben an, auf welcher Ebene reagiert werden muss, wenn ein Ereignis eintritt, und wer für die Bewältigung des Ereignisses verantwortlich ist.

Bei einer Störung z. B. funktionieren Prozesse oder Ressourcen einer Institution nicht wie vorgesehen. Die dadurch entstehenden Schäden sind im Verhältnis zum Gesamtjahresergebnis eines Unternehmens als gering einzustufen. Sie werden in der Regel durch eine im allgemeinen Tagesgeschäft integrierte Störungsbehebung beseitigt. Gelingt es aber nicht, zeitnah die betroffenen Prozesse und Ressourcen wiederherzustellen, kann der Geschäftsbetrieb erheblich beeinträchtigt werden und dies zu hohen Schäden führen. Dies erfordert eine gesonderte Notfallbewältigungsorganisation, um alle notwendigen Maßnahmen bis hin zur Wiederherstellung des Normalbetriebs zu koordinieren und zu veranlassen.

Im Rahmen einer Krise oder gar einer Katastrophe können sich die Störungen/Notfälle so ausweiten, das die Existenz des Unternehmens und/oder die Gesundheit seiner Mitarbeiter gefährdet ist. Oft sind derartige Krisen bzw. Katastrophen von einer solchen Dimension, dass die Auswirkungen nur mit sehr hohem Aufwand innerhalb des Unternehmens oder – im Falle einer Katastrophe – nur mithilfe von außen bewältigt werden können. Unter einer Katastrophe versteht man ein Großschadensereignis, das zeitlich und/oder örtlich kaum begrenzbar ist und große Auswirkungen auf Menschen, Sachen und Werte hat oder haben kann. Eine Katastrophe geht häufig einher mit einem anhaltenden Mangel an notwendigen Ressourcen. Sie ist meist nicht durch das betroffene Unternehmen behebbar.

Um auf solche Ereignisse vorbereitet zu sein, ist es notwendig, vor einem derartigen Ereignis im Rahmen einer Gefährdungsanalyse (Threat-Analyse) mögliche Gefährdungen und Gefahren zu ermitteln um dann mithilfe der Business-Impact-Analyse (BIA) deren potenzielle direkten und indirekten Folgeschäden für ein Unternehmen durch den damit verbunden Ausfall eines oder mehrerer Geschäftsprozesse zu ermitteln und zu analysieren. Mit diesem Wissen ist es möglich, einen Business-Continuity-Managementprozess zu etablieren.

Im vorliegenden Artikel sollen die notwendigen Schritte für ein funktionierendes BCM dargestellt werden, um sodann aus Sicht der Sachversicherung mögliche Implikationen zu erörtern. Des Weiteren werden Hinweise für die Beurteilung der Qualität eines BCM in einem Unternehmen sowie für das Sachversicherungs-Underwriting gegeben.

BCM

BCM ist ein Konzept, dessen Kernaufgabe darin besteht, Geschäftsfunktionen in einem Notfall, einer Krise oder einer Katastrophe abzusichern und die möglichen Folgeschäden durch die damit einhergehende Betriebsunterbrechung zu minimieren. BCM befasst sich mit der Frage, wie in einem solchen Fall mit verringerten Ressourcen ein für den Unternehmenserfolg kritischer Geschäfts-/Produktionsprozess aufrechterhalten werden kann, sodass es möglichst nicht zu einer existenzbedrohenden Situation für das betroffene Unternehmen kommt.

BCM umfasst die folgenden Komponenten:

• einen Business-Continuity-Plan (BCP), den sog. Notfallplan, in dem alle Sofortmaßnahmen nach Eintritt eines Notfalls, einer Krise oder einer Katastrophe beschrieben werden
• einen Krisenmanagementplan, in dem die wichtigsten Maßnahmen beschrieben werden, die der Krisenstab bei der Krisenbewältigung zu veranlassen hat, und
• den Business-Recovery-Plan (BRP) bzw. Disaster-Recovery-Plan (DRP), der alle Wiederanlaufmaßnahmen des Unternehmens nach einem Ausfall oder einer Unterbrechung der Geschäftsprozesse beschreibt.

BCM erfordert eine proaktive Untersuchung von Ausfällen kritischer Abläufe und Prozesse in einem Unternehmen. Um die möglichen Worst-Case-Szenarien zu ermitteln, müssen sowohl die internen Faktoren wie Organisation, Infrastruktur, Informations- und Entscheidungsprozesse als auch externe Faktoren wie Kunden, Lieferanten, Umwelt, Naturgefahren, Epidemien etc. betrachtet werden. Dabei beseitigt BCM weder die Ursachen für den Schadenfall, noch verhindert es den Eintritt eines Störfalls/einer Krise/einer Katastrophe. BCM soll vielmehr die Voraussetzungen und Maßnahmen schaffen, um eine Beeinträchtigung der Geschäftsfähigkeit zu vermeiden oder zumindest zu reduzieren.

Kostenbetrachtungen stehen beim BCM nicht im Vordergrund. Mit der Aufrechterhaltung des Geschäftsbetriebs sind i. d. Regel erhöhte Kosten verbunden, um das mögliche Schadenausmaß zu reduzieren. Das BCM ist somit integraler Bestandteil des Unternehmensmanagements und erfordert die volle Aufmerksamkeit und Unterstützung der Unternehmensleitung.

Aufgrund seiner Bedeutung sind auch in gesetzlichen Regelungen, wie z. B. Solvency II und KRITIS, eine Reihe von BCM-Grundlagen beschrieben.

Die Aufstellung eines BCM ist komplex und mit erheblichen Aufwendungen verbunden ist. Es muss individuell und ganzheitlich auf die bestehenden Eigenheiten des jeweiligen Unternehmens zugeschnitten sein. Eine Schwierigkeit dabei ist, dass Eintrittswahrscheinlichkeiten für Notfälle, Krisen oder Katastrophen nicht bekannt sind und damit letztlich im Rahmen von BCM-Entscheidungen nur ein qualitativer Ansatz verbleibt, verbunden mit subjektiven und individuellen Entscheidungen.

Um Unternehmen beim Aufbau ihres BCM-Programms zu unterstützen, existieren in verschiedenen Ländern eine Reihe von Normen, aber auch eine Vielzahl von Anleitungen von Unternehmensverbänden und Risikomanagement-Institutionen. Zu nennen sind hier für Deutschland der BCM-Standard BSI 100-4, der einen systematischen Ansatz für den Aufbau eines Notfallmanagements beschreibt, um die Kontinuität des Geschäftsbetriebs sicherzustellen.³ Einen anerkannten internationalen Standard stellt ISO 22301:2019 dar, der die Anforderungen an ein BCM spezifiziert.⁴

Wesentliche Teilbereiche eines BCM Konzepts

Im Rahmen der Aufstellung eines BCM für ein Unternehmen kommt der bereits oben erwähnten Risikoanalyse (Threat-Analyse), der Business-Impact-Analyse sowie dem Business-Continuity-Plan eine wesentliche Bedeutung zu.

Risikoanalyse

In der Risikoanalyse werden die möglichen Gefährdungen, die zu einer Unterbrechung des Geschäftsprozesses führen können, ermittelt und die damit verbundenen Risiken bewertet. Ziel hierbei ist es, die bestehenden Risiken transparent zu machen, um ggf. geeignete Strategien und Maßnahmen zu entwickeln, diese Risiken im Vorfeld zu reduzieren sowie Szenarien zu identifizieren, um individuelle Notfallpläne zu entwickeln.

Dabei kommen die klassischen Instrumentarien des Risikomanagements wie Risikoidentifizierung, Risikobewertung, Erarbeitung von Schadenszenarien, Identifizierung von Risikostrategieoptionen (Risikotransfer, Risikoübernahme, Risikovermeidung und -reduktion) zur Anwendung. Mögliche Fragestellungen in diesem Zusammenhang sind:

• Welche Auswirkungen hätte ein Schadenfall auf das Unternehmen?
• Welche Folgen hätte der Ausfall kritischer Funktionen im Unternehmen?
• Wie lange können Ausfallzeiten im Geschäftsbetrieb gegenüber Kunden, Partnern, Märkten verkraftet werden?
• Wie würde sich ein Ausfall von x Tagen/Monaten auf Kunden, Mitarbeiter und Lieferanten auswirken?
• Welche existierenden Lösungen gibt es bereits im Unternehmen, um ggf. einen Ausfall zu minimieren?
• Welche Abhängigkeiten von Lieferanten/Kunden bestehen und welche Folgen würde deren Ausfall nach sich ziehen?
  • Identifizierung der Kernzulieferer und -kunden (z. B. Grad der Abhängigkeit vom Gesamtumsatz/der Gewinnerwirtschaftung)
  • Welche Ausweichmöglichkeiten bestehen auf andere Zulieferer/Kunden?
  • Können Produktionsprozesse auf andere Betriebe/Dritte verlagert werden und wenn ja in welchem Umfang?
  • Welche Vertragsstrafen bestehen?

Wesentliche Bewertungsparameter für die Auswirkungen definierter Ausfallszenarien sind:

• Eintrittswahrscheinlichkeit
• Umfang der Schadensfolgen
• Abhängigkeiten der Geschäftsprozesse (Wechsel-/Rück-/wirkungen, u. a. auch Infrastruktur, Energieversorgung)
• Kosten-/Nutzenanalyse

Größte Herausforderung im Zusammenhang mit einer Threat-Analyse sind:

• Ermittlung und Validierung des Worst-Case-Szenarios
• Berechnung und Validierung von Wechselwirkungen
• Berechnung und Validierung von Rückwirkungsschäden
• Abschätzung der Dauer bis zur Funktionsfähigkeit der Alternativen
• Abschätzung der Abhängigkeiten auf Maschinenebene (techn. Risiken)

Business-Impact-Analyse (BIA)

Ziel der Business-Impact-Analyse (BIA) ist die Sammlung und Identifizierung von Prozessen und Funktionen innerhalb einer Organisation, um die den Prozessen zugrunde liegenden Ressourcen zu erfassen. Sie beschreibt und bewertet, was geschieht, wenn eine bestimmte Geschäftsfunktion oder ein bestimmter Produktionsablauf ausfällt:

• Herausfiltern der kritischen Aktivitäten und Geschäftsprozesse (Fertigungsprozesse, Zulieferer, IT, Infrastruktur) sowie deren Einflussparameter hinsichtlich ihrer Wichtigkeit und Tragweite
• Wie entwickelt sich der jeweilige Schaden und seine Schadenfolgen für die einzelnen Geschäftsbereiche (z. B. zu erwartender monetärer Schaden)?
• Welche Geschäftsprozesse sind abzusichern und welche können vernachlässigt werden, d. h., wie lange kann der Betrieb ohne existenziellen Schaden weiterarbeiten?
• Wie lange würde es dauern, den Betrieb wieder zum Laufen zu bringen?
• Welche Ressourcen werden zu welchem Zeitpunkt benötigt, um den Geschäftsbetrieb aufrechtzuerhalten (Identifizierung der notwendigen Ressourcen)?
• Ermittlung des zu erwartenden Schadens in Abhängigkeit vom Umsatz/Gewinn unter Berücksichtigung der Eintrittswahrscheinlichkeit und der Schadenschwere

Hierbei werden die möglichen Schadenauswirkungen betrachtet und entsprechend ihres Schweregrads bewertet:

• finanzielle Auswirkungen
• Beeinträchtigung der Aufgabenerfüllung
• Verstoß gegen Gesetze, Vorschriften und Verträge
• negative Innen- und Außenwirkung (Imageschaden) und
• Beeinträchtigung der persönlichen Unversehrtheit

Ergebnisse der BIA sind

• die Ermittlung der kritischen Geschäftsprozesse und die dafür benötigten Ressourcen sowie die wechselseitige Abhängigkeit von Geschäftsprozessen/Unternehmensbereichen sowie
• ein Verständnis des Ausmaßes der Schäden, die daraus entstehen könnten (und der Wahrscheinlichkeit, dass sie entstehen werden),
• Schätzung der Wiederanlaufzeiten kritischer Geschäftsprozesse,
• notwendige Notfallmaßnahmen sowie
• BCM-Strategien für die jeweiligen Ausfallszenarien.

Business-Continuity-Plan (BCP)

Im Rahmen des BCP werden die notwendigen Pläne, z. B. der Notfallplan, Krisenmanagementplan, Business-Recovery-Plan usw. beschrieben. Sie enthalten schadenbegrenzende Maßnahmen und Vorkehrungen, die notwendig sind, um kritische Geschäftsprozesse und Mindest-Servicelevels aufrechtzuerhalten und Stillstandszeiten auf ein erträgliches Maß zu reduzieren. In diesem Zusammenhang zu nennen sind:

• Welche Maßnahmen sind sinnvoll (Entwicklung von Alternativkonzepten)?
• Wie ist das Kosten-Nutzen-Verhälntis für die möglichen Lösungen?
• Passen die möglichen Lösungen für den betreffenden Standort/Bereich/Prozess?

Im Rahmen des BCP wird zudem behandelt:

• die Aufstellung und das Training von Notfall-Response-Teams zur Bewältigung der Krisensituation (die Größe ist abhängig von Organisation, Funktion und Struktur des Unternehmens)
• die Aufstellung interner Kommunikationsstellen für die Alarmierung sowie weitere Schnittstellen zu Kunden, Mitarbeitern, Lieferanten, Geschäftspartnern und Versicherern sowie
• die Aufstellung eines externen Kommunikationsteams zur Information von Kunden, Behörden, Presse über notwendige Notfallprozesse, z. B. Abwicklung von Bestellungen, zu erwartende Lieferfristenengpässe
• die Bereithaltung wichtiger Geschäftspapiere, z. B. von Banken, Versicherungen, Verträgen, Abrechnungen, Akten usw., sowie
• alternative Ausweichmöglichkeiten zur Weiterführung der Geschäftsprozesse, z. B. Gebäude, Anlagen, Maschinen, Energie, Netzwerke, Supply Chain usw.

Folgende Fragestellungen sind zu betrachten:

• Welche Möglichkeiten stehen dem Betrieb zur Verfügung?
• Wie realistisch ist die Umsetzung dieser Maßnahmen für den Betrieb?
• Erweiterung der Produktion auf bisher freie Tage/Schichten
• Verlagern der Produktion auf andere Standorte
• Lohnfertigung
• sonstige Notfallmaßnahmen
• Wie wirksam sind die einzelnen Schutz-/Notfallmaßnahmen?
• Welche Kosten werden durch die jeweiligen Maßnahmen verursacht?
• Wer sind die verantwortlichen Personen und was sind deren Pflichten und Weisungs-/Entscheidungsbefugnisse?
• Wie sieht die Kommunikationsstrategie im Notfall gegenüber Zulieferern, Kunden, Mitarbeitern und Märkten aus?

BCM auf dem neuesten Stand halten

Um im Schadenfall schnell und adäquat reagieren zu können, ist es notwendig, dass das bestehende BCM den jeweiligen Gegebenheiten einer Organisation angepasst ist. Hierzu ist es erforderlich, dass

• der erarbeite BCM-Plan regelmäßig auf seine Funktionsfähigkeit überprüft wird,
• die angenommenen Schadensszenarien sowie die bestehenden Notfallmaßnahmen/-strategien regelmäßig auf ihre Aktualität überprüft werden,
• die bestehenden Pläne im Rahmen von gewonnenen Erkenntnisse durch Schadenfälle oder Erfahrungen anderer Unternehmen kontinuierlich verbessert und angepasst werden,
• BCM-Pläne an veränderte Geschäftsorganisation, Randbedingungen und Geschäftsprozesse angepasst werden,
• alle Mitarbeiter über die Notwendigkeit und Mitarbeit im Notfallmanagement regelmäßig informiert und ggf. geschult werden,
• die BCM-Teams eine mögliche Notfallsituation regelmäßig üben, um im Ernstfall direkt richtig und routiniert handeln zu können,
• der erarbeitete BCM-Plan möglichst durch eine kompetente dritte Stelle auf seine Schlüssigkeit auditiert und ggf. nachgebessert wird,
• Änderungen in den Zuständigkeiten sowie von Personen im Rahmen des BCM berücksichtigt werden, ausscheidende Teammitglieder unverzüglich ersetzt sowie neue Teammitglieder trainiert werden.

Betriebsunterbrechungsversicherung und BCM

BCM und BU verfolgen das gleiche Ziel: die Reduzierung negativer Auswirkungen von Schadenereignissen, die ein Unternehmen treffen können. Die Unterschiede sind aber:

Es ist anzumerken, dass nicht alle ein Unternehmen treffende Schäden durch eine Versicherung abgedeckt werden. Man sollt sich bspw. die Frage stellen, was eine bestehende Versicherung hilft, wenn man seinen Markt/seine Kunden verloren hat.

Ein bestehendes BCM ist sowohl für den Versicherungsnehmer als auch den Versicherer hilfreich und gibt sowohl für die Auswahl notwendiger Versicherungsprodukte als auch bei der Festlegung des notwendigen Versicherungsrahmens wertvolle Hinweise, wie:

• Ermittlung einer notwendigen Betriebsunterbrechungsversicherungssumme/Höchstentschädigung unter Zugrundelegung des Worst-Case-Szenarios
• Ermittlung von Szenarien/Schäden, die nicht über eine Versicherung abgedeckt werden können (d. h., sie sollten durch BCM verhindert oder zumindest vermindert werden)
• Ermittlung von Maßnahmen und Alternativmöglichkeiten, um auf einen möglichen Schaden vorbereitet zu sein und diesen zu begrenzen
• Unterstützung des Versicherers bei der Ermittlung des größtmöglichen Schadenszenarios (Probable Maximum Loss (PML)/Maximum Foreseeable Loss (MFL))
• Unterstützung des Versicherungsnehmers sowie des Versicherers zur Ermittlung der BU-Anfälligkeit eines Betriebs (Betriebsunterbrechungsanalyse)
• Gibt es Hinweise für die Notwendigkeit sowie den Umfang einer Betriebsunterbrechungsversicherung?
• Festsetzung der notwendigen/tatsächlich erforderlichen BU-Versicherungssumme während der Haftzeit (Nettogewinn, fortlaufende fixe Kosten, Schadenminderungskosten)
• Feststellung der realistischen und notwendigen Haftzeit
• Feststellung des notwendigen Limits für Auswirkungs-, Rückwirkungs- und Wechselwirkungsschäden
• Ermittlung der ggf. zusätzlichen Mehrkosten und Erstrisikopositionen (z. B. Zugangsbeschränkungen, behördliche Wiederaufbaubeschränkungen, Ausfall der öffentlichen Versorgung)

Ein vorhandenes BCM-System führt aber nicht, wie oft angenommen, zu einer Senkung des Betriebsunterbrechungs-PML’s/MFL’s, beeinflusst aber im Schadenfall die Eintrittswahrscheinlichkeit, dass es zu einem PML/MFL-Ereignis kommt. BCM ist untrennbar mit der Betriebsunterbrechungsversicherung verbunden. Da BCM auch die künftige Geschäftsentwicklung eines Unternehmens miteinbezieht, hilft es, die richtige Betriebsunterbrechungsversicherungssumme sowie Haftzeit in der Betriebsunterbrechungsversicherung festzusetzen und damit eine Unterversicherung zu vermeiden. Weiterhin liefert es auch Hinweise, welche möglichen vorbeugenden Maßnahmen getroffen werden können, um ein mögliches Schadensszenario zu vermeiden oder dessen Auswirkungen zumindest abzumindern.

Ein BCM bietet aber genauso wenig wie eine Betriebsunterbrechungsversicherung Gewähr, dass sich nach einem Schadenfall ein Unternehmen wirtschaftlich wieder erholt.

Kumul

Mögliche Kumulsituationen sind für einen Versicherer ein Bedrohungspotenzial. Daher unternehmen Versicherer sowie Rückversicherer nicht unerhebliche Anstrengungen, durch Analysen und Betrachtungen mögliche Kumulszenarien von Schadenfällen zu ermitteln, die mehrere Versicherungsnehmer/-policen betreffen und somit zu einer Vergrößerung des zu zahlenden Schadenaufwands führen können.

Solche Haftungskumule können sich aus verschiedenen Situationen für einen Versicherer ergeben, sei es, dass sich weitere Haftungsansprüche aus Störungen in der Zuliefererkette oder bei Kunden ergeben oder dass aus regionalen oder sogar weltweiten Schäden eine Vielzahl von Versicherungspolicen gleichzeitig betroffen werden.

Solche Szenarien ergeben sich bspw. aus Naturgefahrenereignissen, in denen ganze Landstriche betroffen sind, oder beim Ausfall von Infrastruktureinrichtungen (z. B. Ausfall der Energie, Wasserversorgung) oder aber aus der Tatsache, dass bei einem Versicherer verschiedene Versicherungspolicen eines Versicherungsnehmers bestehen, die durch ein Schadenereignis gleichzeitig betroffen werden, z. B. neben der Sachpolice die Haftpflicht-, D&O-, Cyber- oder sonstige weitere Versicherungspolicen.

Hier kann das BCM eines Versicherungsnehmers zumindest in Teilbereichen die Kumulhaftungsabschätzung des Versicherers unterstützen.

Underwriting-Überlegungen

Ein BCM liefert für einen Underwriter vielfältige Anhaltspunkte für die Abschätzung des Haftungspotenzials bei einer vorliegenden Betriebsunterbrechungsversicherung, denn es werden Gefahrenpotenziale sowie ihre Auswirkungen in vielfältiger Hinsicht betrachtet. Daher ist es für einen Underwriter hilfreich, die Qualität eines BCM in einem zu versichernden Unternehmens zu bewerten und ggf. positiv im Underwriting zu berücksichtigen.

Ein „gutes“ BCM lässt sich anhand der Beantwortung folgender Fragen vermuten:

• Ist BCM im Unternehmen implementiert und fester Bestandteil der Unternehmenspolitik/-strategie?
• Liegt die BCM-Verantwortung bei der Geschäftsleitung/dem Topmanagement?
• BCM-Awareness umfasst alle Managementebenen
• Ist BCM systematisch in das Management von Projekten, Restrukturierungen, Änderungen der Geschäftsprozesse eingebunden?
• Ist ein BCM-Team benannt sowie ihre Rollen, Verantwortungen und Befugnisse definiert?
• Ist der BCM-Plan aktuell, wird er regelmäßig überprüft/getestet und an die zurzeit vorhanden Geschäftsprozesse angepasst?
• Sind die Schlüsselbereiche eines Unternehmens sowie die kritischen Prozesse (inkl. supply-demand chain) identifiziert und Rückwirkungsereignisse erfasst?
• Sind Wechselwirkungen im BCM miteingebunden?
• Sind kritische Zulieferer und Kunden identifiziert und mögliche Alternativen beschrieben?
• Sind die möglichen Schadensszenarien beschrieben und deren Auswirkungen auf die Organisation sowie die Geschäftsprozesse beschrieben?
• Sind kritische Infrastrukturausfälle (Klima, Strom, Wasser, IT, Telekommunikation, techn. Gase u. Ä.) und entsprechende Notfallmaßnahmen mitberücksichtigt und beschrieben?
• Bestehen für die unternehmenseigene oder ausgelagerte IT sowie Telekommunikation Back-up-Strategien (Hardware, Software, Daten)?
• Sind kritische Personalsituationen beleuchtet und entsprechende Notfallmaßnahmen berücksichtigt (Ausfall von Personal durch Streik, Epidemien, Kündigung von Schlüsselpersonen, Tod, Unfall, Erpressung, Veruntreuung etc.)?
• Sind die politischen, gesetzlichen und wirtschaftlichen Rahmenbedingungen mitberücksichtigt?
• Sind die möglichen Notfallmaßnahmen beschrieben und Alternativmaßnahmen sowie Redundanzen vorhanden?
• Ist eine externe sowie interne Krisenkommunikationsstrategie sowie Vorgehensweise festgelegt und erprobt?
• Ist der BCM-Plan von einer dritten Seite auditiert und als schlüssig befunden worden?

Zu weiteren ergänzenden Hinweisen zum Underwriting bei einer Betriebsunterbrechungsversicherung siehe die Gen Re Publikationen: Betriebsunterbrechungen richtig versichern⁵ und Sach-BU-Versicherung: Quo vadis⁶.

Zusammenfassung

BCM ist ein Konzept zur Absicherung von Geschäftsfunktionen gegen gravierende Krisen und zur Minimierung der Folgeschäden von Betriebsunterbrechungen. Es beantwortet die Frage, wie im Notfall mit verringerten Ressourcen ein für den Unternehmenserfolg kritischer Geschäfts-/Produktionsprozess aufrechterhalten werden kann, sodass es nicht zu einer existenzbedrohenden Situation für das betroffene Unternehmen kommt.

BCM-Pläne sind sehr individuell und müssen sorgfältig an die spezifischen Abläufe und Umgebungsbedingungen eines Unternehmens angepasst werden. Daher ist ein einheitlicher Bewertungsmaßstab für die Aktualität und Wirksamkeit eines BCM-Plans schwer.

Liegt ein BCM vor, wird es das betreffende Unternehmen in einem Schadenfall gut unterstützen, die richtigen Gegenmaßnahmen zu treffen, so schnell wie möglich die Geschäftsprozesse wieder zu etablieren oder aufrechtzuerhalten. Es liefert dabei für das Unternehmen wertvolle Hinweise für die sinnvolle Ausgestaltung seiner Versicherungspolice, z. B. einer Betriebsunterbrechungsversicherung, und unterstützt den Versicherer im Rahmen seines Underwritings.

Die Pandemie COVID-19 hat gezeigt, wie gut viele einzelne Unternehmen auf eine solche Krise vorbereitet waren und inwieweit sie in der Lage waren, ihre Geschäftsprozesse im Notfall aufrechtzuerhalten und damit ihre Kundenbeziehungen und Marktanteile zu sichern.

Die derzeitige Krise bietet aber auch den Unternehmen Gelegenheit zu überprüfen, wie gut ihre BCM-Vorbereitungen waren und mögliche Schwachstellen zu erkennen – und damit die Möglichkeit, ihre Resilienzen für zukünftige Krisen und Schadenfälle durch Nachjustierungen zu stärken.