Biegen, nicht brechen: Wie Unternehmen operationale Resilienz aufbauen können

Die Covid-19-Pandemie stellt eine riesige Bedrohung für unsere Unternehmen und unsere Wirtschaft dar. Die Resilienz unserer Organisationen ist gefordert wie selten zuvor.

Zwar war Pandemie-Vorsorge seit den 2000er Jahren immer wieder ein Thema, aber niemand hat mit einer solchen Wucht gerechnet. Und selbst wenn jemand damit gerechnet hätte, wären die dafür notwendigen Vorsorgemassnahmen wohl kaum finanziell zu rechtfertigen gewesen. Und auch dann hätte man eine solche Situation kaum verhindern können.

Corona ist ein «Black Swan », wie ihn der Ökonom Nicolas Taleb in seinem gleichnamigen Buch beschreibt: Ein Risiko trifft ein Unternehmen aus einer völlig unerwarteten Richtung. Vorsorgemassnahem nützen in dieser Situation wenig – Unternehmen müssen sich darauf vorbereiten schnell und gezielt reagieren zu können, d.h. resilient werden.

Zwei Trends, die sich schon vor Corona abgezeichnet haben, können helfen unsere Widerstandsfähigkeit zu verbessern.

Trend 1: Ganzheitliches Denken in Governance, Risk & Compliance (GRC)

Risikomanagement darf nicht über das Unternehmen verteilt sein und sich nur auf die offensichtlichsten Risiken in Finanzen und IT fokussieren; operationelle Risiken müssen gleichberechtigt betrachtet werden. Unterbrechung der Lieferketten, Umweltskandale, Naturgewalten oder plötzliche Wechsel des Arbeitsmodells (Homeoffice) können genauso bedrohlich sein.

Abbildung 1 zeigt die verschiedenen Bedrohungen, die nur im Zusammenhang bewertet und entschärft werden können:

Oftmals werden diese Risiken und Compliance-Anforderungen isoliert betrachtet, was häufig zu überlappenden oder doppelten Massnahmen führt, Tests und Bescheinigungen (Attestations) werden in separaten Systemen durchgeführt und gespeichert, was in Komplexität, Ineffizienz und Schwerfälligkeit mündet. Koordination und Automation der Prozesse und Integration der Daten und Informationen sind erfolgskritisch.

Nachfolgende Grafik zeigt wie ganzheitliches Risiko-Management aufgebaut werden kann, dass in einem integrierten und normalisierten Kontrollframework resultiert, das sowohl Compliance als auch Governance und Risiko Management Anforderungen abdecken kann:

Trend 2: Agilität und Geschwindigkeit

Der zweite Trend, der helfen kann, die Resilienz zu verbessern, kennen wir alle aus der digitalen Transformation und IT Transformation: Agilität und Geschwindigkeit hilft im Umgang mit Komplexität.

Wie wir bereits gesehen haben, ist GRC ein komplexes Thema, das nicht als einzelnes Projekt und aus einem einzelnen Blickwinkel gelöst werden kann, sondern das Schritt für Schritt aufgebaut und zusammengeführt werden muss. Die Maturität (Abbildung 3) muss laufend erhöht werden.

Umsetzung mit ITIL 4

ITIL 4 ist der ideale Baukasten, um die Maturität der GRC-Funktion schrittweise zu verbessern.
Mit seinen vier Schwerpunkten auf liefert es ein modernes Rahmenwerk, um die Werkzeuge der digitalen Transformation wie Scrum, DevOps, Lean, Design Thinking auf digitale Services anzuwenden:

• Wert für den Kunden (in der Ausprägung Risiko-Optimierung),
• flexibler Entwicklung mit Wertstrom-Mapping,
• strategischer Steuerung
• und Beschleunigung der IT

Fazit

Im Lichte der jüngsten Entwicklungen (Covid-19, Konkurs der Wirecard, Hackerangriffe auf Twitter etc.) ist eine effektive, integrierte und agile GRC gefragt, die «operational Resilience » aufbauen und gewährleisten kann. Integrierende, moderne Frameworks wie ITIL 4 und Digitalisierungsplattformen wie ServiceNow können hierzu einen wichtigen Beitrag leisten.