Ein weiteres wichtiges Element eines integrierten Krisenmanagements ist die Verzahnung mit dem Notfallmanagement. Notfallmanagement und Reputationsrisiko-Management haben zwar unterschiedliche Wurzeln. Während das Notfallmanagement beziehungsweise Business Continuity Management aus der IT und der Unternehmenssicherheit stammt, orientiert sich das (Reputations-)Risiko-Management zumeist am Geschäftsmodell. Beide Disziplinen weisen Unterschiede auf, profitieren jedoch auch stark voneinander.
In Bezug auf das Reputationsrisiko-Management empfiehlt es sich daher, Methoden des Notfallmanagements und Business Continuity Managements zu integrieren. Notfallpläne bzw. Reaktionspläne, die das Reputationsrisiko berücksichtigen, sind in der Krise eine gute Arbeitsgrundlage für Mitarbeiter, die mit der internen und externen Kommunikation betraut sind; regelmäßige Übungen erleichtern den Umgang mit den Plänen und sensibilisieren Entscheidungsträger.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Anforderungen an das Notfall- und Krisenmanagement
Die regulatorischen Anforderungen an ein angemessenes Notfall- und Krisenmanagement ergeben sich bei Finanzdienstleistern aus diversen Richtlinien und Vorgaben seitens der nationalen und internationalen bankenrechtlichen Aufsicht.
Auf internationaler Ebene formuliert zum einen die European Banking Authority (EBA) bestimmte Richtlinien, welche aus den „Guidelines on Internal Governance“ (GL) hervorgehen. Besondere Relevanz für die Banken haben die Arbeitspapiere (z.B. BCBS 292) des „Basel Committee on Banking Supervision“ (BCBS) der europäischen Bankenaufsicht. Diese Richtlinien werden durch die Bundesanstalt für Finanzdienstleistungen (BaFin) in nationale Vorgaben umgesetzt. Das Kreditwesengesetz (KWG) fordert, dass Kreditinstitute im Rahmen einer ordnungsgemäßen Geschäftsorganisation ein angemessenes Notfallkonzept, insbesondere für IT-Systeme, festlegen (§25a Abs. 1, Satz 3, Nr. 3 KWG). Nach den Mindestanforderungen an das Risikomanagement (MaRisk AT 7.3.) ist für zeitkritische Aktivitäten und Prozesse Vorsorge in Form eines Notfallkonzeptes zu treffen.
Es fehlt folglich nicht an regulatorischen Vorgaben und Anforderungen speziell für Finanzdienstleister. In der Realität kann zunehmend festgestellt werden, dass es sich bei Schadensszenarien nicht nach dem „ob“, sondern vielmehr um das „wann“ dreht, dass etwas passiert. Und die Realität hat bei den jüngsten Ereignissen gezeigt (z. B. beim sogenannten „Abgas-Skandal“), dass diese zumeist mit erheblichem Reputationsschaden verbunden sind.
Krisenhafte Erscheinungen bei Unternehmen können Auswirkungen auf die von den Stakeholdern wahrgenommene Reputation des Hauses haben. Integraler Bestandteil der Krisenbewältigung ist also die parallele Berücksichtigung der Reputationswirkungen. Hierbei wird eine auf die Bedürfnisse der wesentlichen Stakeholder abgestimmte Kommunikation aufgebaut. Federführend eingebunden werden müssen hierfür mindestens die Hauptansprechpartner („Key Account Manager“) z. B. für Markt-, Interbanken-, Regulierungs- und Pressekontakte. Bei Bedarf sollten weitere Gruppen hinzukommen.
Dabei ist das Leitbild einer offenen Kommunikation empfehlenswert sowie ein stetiger, aktiver und zielgruppengerechter Informationsaustausch mit den Stakeholdergruppen. Gerade auch kritische Informationen sollten (auf vertraulicher Ebene) mit den wesentlichen Stakeholdern zur Festigung der Vertrauensbasis ausgetauscht werden.
Speziell in der Krisenphase können Unternehmen durch diese Maßnahmen Verbündete gewinnen und krisenverstärkende Handlungen von Stakeholdern reduzieren. Zudem können Unternehmen die Deutungshoheit bei öffentlich kontrovers diskutierten Sachverhalten erlangen, indem sie die Kommunikation aktiv gestaltet und nicht anderen Akteuren überlassen.
Organisatorische Verankerung
Erfolgreiches (Reputations-)Krisenmanagement kann nur dann funktionieren, wenn die Prozesse permanent trainiert werden, wenn die relevanten internen und externen Akteure bereits vor der Krise bekannt sind und ein funktionierender Krisenstab existiert. Er ist und bleibt das zentrale Instrument bei der Krisenbewältigung im Unternehmen. Die Kommunikation in der Krise muss als integraler Bestandteil des Krisenmanagements betrachtet werden und trägt dazu bei, das Vertrauen in der öffentlichen Wahrnehmung zu bestätigen oder wiederherzustellen. Das Notfallmanagement sollte Aspekte des Reputationsrisikos integrieren. Im Sinne eines gesamtheitlichen Ansatzes ist ein „Zusammenwachsen“ beider Disziplinen anzustreben und in die Unternehmens- sowie Risikokultur zu integrieren.
*Dieser Beitrag gibt die Meinung der Autoren wieder und repräsentiert nicht notwendigerweise die Position der IKB Deutsche Industriebank AG
