Zum Oldenbourg Wissenschaftsverlag

economag.de Nr 10/2009

Editorial

Was Manager über Arabien wissen sollten

Titelthema

Eine Hand kann nicht klatschen
Auf Socken zum Dinner

Betriebswirtschaftslehre

Von Umsetzern und ewigen Planern
Wirtschaftsspionage, Großbrand, Unwetter
Nicht nur Bodybuilder
1000 Prozent Ersparnis

Auf eine Tasse mit Michael Bloss

Deutschland AG 2.0

Ein Kessel Buntes

Schreib mal wieder
.
.
Literatur
Dieser Titel bei Oldenbourg
.
economag. 2.0
RSS-Feed abonnieren
.
Titelbild zum Beitrag: Wirtschaftsspionage, Großbrand, Unwetter

Betriebswirtschaftslehre

.

Wirtschaftsspionage, Großbrand, Unwetter

Unternehmenssicherheit als Managementaufgabe

Zu jeder Zeit sind Unternehmen einem vielfältigen Risiko ausgesetzt. Die Konkurrenz kann unrechtmäßig Patente kopieren. Maschinen können durch Brand Unternehmen oder die Umwelt gefährden, das Gleiche gilt für heftige Unwetter oder andere Naturkatastrophen. Die Sicherheit des Unternehmens ist folglich von hoher Relevanz und daher Managementaufgabe. Zwei Schweizer Experten zeigen wie mit Hilfe eines Prozessmodells die Unternehmenssicherheit gewährleistet werden kann.

Von Dr. Stephan Gundel und Lars Mülli, Gruner AG, Basel

.

PDFDiesen Beitrag als PDF.

.

Aus der betriebswirtschaftlichen Theorie resultiert spätestens seit Philip Kotlers Ausführungen zum modernen Marketing in den 1960er Jahren die Erkenntnis, dass sich Unternehmensaktivitäten konsequent an den Bedürfnissen und Wünschen der Nachfrager orientieren sollten. In Verbindung mit der 1954 von Maslow eingeführten Bedürfnispyramide, nach der Menschen ein sicheres Umfeld als Basis eines zufriedenen Lebens erachten, bedingt dies eine sichere und zuverlässige Leistungserbringung als Voraussetzung für unternehmerischen Erfolg. Darüber hinaus ist der Schutz materieller und immaterieller Wirtschaftsgüter des Unternehmens gerade in Märkten mit hoher Wettbewerbsintensität von immenser Bedeutung, da die Wettbewerbsfähigkeit ansonsten schnell eingeschränkt werden kann, etwa wenn Geschäftsprozesse nicht aufrecht erhalten werden oder proprietäres, also unfreies Wissen verloren geht. 

Der Gewährleistung eines sicheren Unternehmensbetriebs auf operativer Ebene ist somit durch das Management hohe Bedeutung beizumessen. Dabei müssen sowohl Gefährdungen

  • aus höherer Gewalt (Naturgefahren) und
  • aus menschlichem und technischem Versagen (Safety) als auch
  • aus kriminellen Handlungen gegen das Unternehmen (Security)

berücksichtigt werden. Das Wesen der Unternehmenssicherheit zielt darauf ab, den als maßgebend identifizierten Gefährdungen durch geeignete Maßnahmen zu begegnen, um das unternehmerisch gewünschte Maß an Sicherheit zu gewährleisten. Dieses angestrebte Sicherheitsniveau hängt neben dem ordnungs- oder haftungsrechtlichen Regelrahmen, in dem das Unternehmen sich bewegt, im Wesentlichen von den Unternehmens- und Umwelteigenschaften (etwa der Wettbewerbsintensität) ab.

Unternehmenssicherheit - eine Definition

Unternehmenssicherheit beinhaltet die bewusste Akzeptanz, Verhinderung und Bekämpfung der Gefährdungen oder Risiken, die den operativen Betrieb des Unternehmens beeinträchtigen oder sogar unterbrechen können und aus den Unternehmenseigenschaften und der Unternehmensumwelt resultieren. Das gewünschte Sicherheitsniveau wird durch die Ergreifung geeigneter, unternehmensinterner Maßnahmen erreicht. Strategische Risiken und Finanzrisiken sind nicht Gegenstand der Unternehmenssicherheit.

Die Unternehmenssicherheit kann als Bestandteil des ganzheitlichen Risikomanagements angesehen werden, da sie die Betrachtung strategischer und finanzieller Risiken, häufig Hauptfokus des Risikomanagements, um die Handhabung operativer Risiken vervollständigt. In der Unternehmenspraxis wird dieser Aspekt leider häufig entweder vernachlässigt, wie insbesondere die hohen, jährlich entstehenden Schäden durch Wirtschaftskriminalität und Wirtschaftsspionage bei deutschen Unternehmen zeigen, oder falsch angegangen - wie beispielsweise die wenig zielgerichteten Überwachungsaktionen eigener Mitarbeiter oder Dritter etwa bei der Deutschen Bahn AG, dem Lebensmitteldiscounter Lidl oder der Deutschen Bank. Wesentlich ist daher, durch strukturiertes und zielgerichtetes Vorgehen das unternehmerisch gewünschte Maß an Sicherheit tatsächlich zu erreichen. Aufgrund der Komplexität und Vielseitigkeit sowohl der relevanten Gefährdungen als auch der denkbaren Sicherheitsmaßnahmen und ihrer Vor- und Nachteile muss dabei zumeist auf spezialisiertes internes oder externes Know-how zurückgegriffen werden. Für die Resultate der einschlägigen Aktivitäten ist aber im Falle von Misserfolg immer auch das Management verantwortlich - die sog. Bespitzelungsaffäre bei der Deutschen Bahn AG kostete nicht nur den Leiter der Konzernsicherheit, sondern auch den Vorstandsvorsitzenden sein Amt.

Unternehmenssicherheit im Prozess gewährleisten

Die Gewährleistung der Unternehmenssicherheit ist eine komplexe und herausfordernde Aufgabe und muss auf Ebene jedes Unternehmens individuell betrachtet werden. Notwendig ist eine strukturierte, stufengerechte Herangehensweise, die Interaktionen zwischen Gefährdungen, Maßnahmen und der Unternehmensumwelt frühzeitig und ausreichend berücksichtigt. Grundlage der Erarbeitung eines unternehmensspezifischen Sicherheitskonzepts bildet daher das nachfolgend aufgeführte Prozessmodell der Unternehmenssicherheit.

Unternehmenssicherheit beginnt mit zwei, eng miteinander verbundenen Prozessen. Einerseits müssen zunächst die unternehmensbezogenen Gefährdungen analysiert werden, die sowohl von externen als auch internen Einflussfaktoren abhängen, um ein möglichst vollständiges Bild der spezifischen Bedrohungslage zu erhalten (Schritt 1). Diese Gefährdungsanalyse darf nicht nur den gegenwärtigen Status quo beinhalten, sondern muss auch mögliche zukünftige Ereignisse und Gefährdungsszenarien berücksichtigen. Andererseits müssen durch die betroffenen Unternehmen Schutzziele definiert werden, die das gewünschte Sicherheitsniveau reflektieren und wiedergeben, welches Sicherheitsniveau grundsätzlich angestrebt werden soll (Schritt 2). Bei dieser Festlegung sind die betroffenen Entscheidungsträger aber keineswegs vollständig frei, da neben unternehmensbezogenen auch unterschiedliche externe Einflussfaktoren (gesetzliche Anforderungen, Auflagen von Versicherungen oder Geschäftspartnern etc.) berücksichtigt werden müssen. Diese Schutzziele können sowohl qualitativer als auch quantitativer Art sein; wichtig ist jedoch in jedem Fall, dass sie sich auf die in Schritt 1 identifizierten Gefährdungen beziehen. Im Rahmen der Schutzzieldefinition ergeben sich häufig Überschneidungen zu anderen Zielsetzungen des Unternehmens, insbesondere zu jenen aus einem möglicherweise bereits implementierten Qualitätsmanagementsystem (QMS).

Zwischen den Schritten 1 und 2 besteht eine wechselseitige Abhängigkeit, da die Festlegung der Schutzziele von den bei der Gefährdungsanalyse erlangten Erkenntnissen stark beeinflusst wird, andererseits aber auch das Analysefeld für unternehmensbezogene Gefährdungen mitbestimmt. In der Regel werden diese beiden Schritte daher in einem iterativen Verfahren gemeinsam durchgeführt werden müssen.

Aufbauend auf der Analyse der unternehmensbezogenen Gefährdungen und der Definition des gewünschten Sicherheitsniveaus erfolgt die Ermittlung, vor allem aber Bewertung der unternehmensbezogenen Risiken anhand der Schutzziele (Schritt 3). Zu diesem Zweck werden aus den relevanten Gefährdungen Risiken gebildet, die sich aus der Multiplikation der Eintrittswahrscheinlichkeit bzw. Häufigkeit eines Ereignisses mit ihrem Ausmaß bei Eintritt, das wiederum im Zusammenhang mit den definierten Schutzzielen stehen sollte, ergeben. Darauf aufbauend kann anhand unterschiedlicher Verfahren bestimmt werden, ob Risiken ohne Maßnahmen akzeptiert werden, ob risikomindernde Maßnahmen durchgeführt werden oder ob die Risiken so hoch sind, dass die zugrundeliegenden Tätigkeiten oder Prozesse nicht oder nur andersartig durchgeführt werden können.

In Schritt 4 werden geeignete, risikoreduzierende Sicherheitsmaßnahmen abgeleitet, die baulicher, technischer oder organisatorischer Natur sein können. Im Rahmen der Maßnahmenplanung sind die gesetzlichen Rahmenbedingungen, die verfügbaren Ressourcen und die Interdependenzen zwischen den Einzelmaßnahmen zu berücksichtigen. Zudem müssen die ermittelten Kosten der Maßnahmen mit ihrem Nutzen verglichen werden, um finanzielle Ressourcen zielgerichtet einsetzen zu können. Neben der Ermittlung von Gefährdungen, Schutzzielen und Risiken stellt die Maßnahmenplanung daher den Kern des Sicherheitskonzepts dar. Nach der Maßnahmenplanung erfolgt die Maßnahmenumsetzung (Schritt 5). Dabei muss anhand einer Implementierungsstrategie aufgezeigt werden, in welcher Reihenfolge und in welcher Form Sicherheitsmaßnahmen umgesetzt werden sollen. In diesem Rahmen ist auch zu prüfen, ob durch die vorgesehenen Maßnahmen nicht neue Gefährdungen entstehen (sog. Maßnahmenverträglichkeit). Wesentlicher Punkt ist weiterhin der Aufbau und die Implementierung einer Sicherheitsorganisation, welche für die weitere Betreuung der Sicherheitsmaßnahmen und die organisatorische Ereignisprävention zuständig ist.

Mit der Umsetzung der Sicherheitsmaßnahmen ist ein wichtiger Schritt zur Erhöhung der Unternehmenssicherheit vollzogen. Um das gewünschte Sicherheitsniveau dauerhaft zu halten, ist ergänzend die Aufrechterhaltung und permanente Überprüfung der Unternehmenssicherheit notwendig (Schritt 6), um die Instandhaltung baulich-technischer Maßnahmen zu gewährleisten, eventuelle Schwachstellen baulich-technischer oder organisatorischer Art möglichst frühzeitig identifizieren und Sicherheitslücken schließen zu können. Dabei sind regelmäßige Schulungen und Übungen zur Überprüfung der organisatorischen Sicherheitskonzepte ebenso bedeutsam wie die Auswertung von Geschehnissen und somit das Lernen aus sicherheitsrelevanten Ereignissen.

Handlungsfeld der Unternehmenssicherheit ist schließlich das Krisenmanagement im Ereignisfall, das der Bewältigung von Ereignissen dient. Es gehört bei genauer Betrachtung zwar in die Maßnahmenplanung und Umsetzung (Schritte 4 und 5), unterscheidet sich aufgrund der besonderen Anforderungen bei einem sicherheitskritischen Ereignis allerdings sehr stark von den anderen, überwiegend präventiv ausgerichteten baulich-technischen und organisatorischen Maßnahmen der Unternehmenssicherheit. Von hoher Relevanz ist in diesem Zusammenhang die Erarbeitung und ereignisgerechte Aufbereitung einer Notfall- bzw. Krisenplanung. Die Erfahrungen mit dem Krisenmanagement dienen häufig auch einer Revision der Maßnahmenplanung, wenn die Untauglichkeit bestehender oder das Fehlen notwendiger Maßnahmen im Rahmen der Ereignisbewältigung offensichtlich werden.

Unternehmenssicherheit schafft hohen Nutzen

Maßnahmen der Unternehmenssicherheit sind mit Kosten verbunden und binden daher finanzielle Ressourcen. Eine Vernachlässigung der Unternehmenssicherheit aus wirtschaftlichen Gründen ist aber mittel- bis langfristig keinesfalls im Interesse des Unternehmens. Neben der bereits anfangs erwähnten Bedürfnisstruktur der Nachfrager, die erfahrungsgemäß dauerhaft weder ein zu geringes Sicherheitsniveau noch eine restriktive, unternehmerische Sicherheitspolitik tolerieren, sind ordnungsrechtliche Sanktionen ebenso wie Haftungsansprüche nach sicherheitskritischen Ereignissen zu berücksichtigen. Vor allem kann ein angemessenes, unternehmensspezifisches Sicherheitskonzept aber dazu beitragen, direkte Sach- und Vermögensschäden sowie indirekte, langfristige Schäden nach Ereignissen zu minimieren oder sogar vollumfänglich zu verhindern.

 

Autoren

Dr. Stephan Gundel ist stellvertretender Leiter der Abteilung Sicherheit, Gefahrenabwehr bei der Gruner AG in Basel. Lars Mülli ist Leiter der Abteilung Brandschutz und Entrauchung der Gruner AG.

.
.
.