Sicherheits- und Notfallmanagement auf dem Prüfstand
Darf es etwas mehr sein?
Abgesehen von den Global Playern spielt das Thema Terror für deutsche Unternehmen noch eine untergeordnete Rolle. Aber auch bezüglich der vielen anderen Risikopotentiale wie Einbruch, Sabotage, Diebstahl, Wirtschaftskriminalität, Wirtschaftsspionage oder technisches Versagen verhalten sich viele Unternehmen und Sicherheitsverantwortliche bemerkenswert selbstsicher.
Selbstzweifel ist die beste Basis
Curt Emmerich, deutscher Arzt und Schriftsteller sagte einmal: „Ich war meiner Sache ganz sicher und gerade diese Sicherheit war es, der alle Zweifel entsprangen“. Ein Satz, den sich jeder Sicherheitsverantwortliche merken sollte, denn konsequentes Sicherheitsmanagement ist der ständige Prozess Bestehendes kritisch zu prüfen, zu optimieren und den Realitäten zeitnah anzupassen.
Gesetze bestimmen das Handeln
Sicherheits- und Notfallmanagement wird von gesetzlichen und wirtschaftlichen Regelwerken bestimmt. Organisationspflicht, Sorgfaltspflicht, Datenschutz, DIN ISO 27001, Arbeitsschutz, Umweltschutz, Versicherungsbedingen sind heute eng miteinander verknüpft und verpflichten zum vorbeugenden Handeln.
„Die Gefahr von Verlusten und Schäden, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten, angemessen einzuschränken oder gar zu verhindern“ – dies schreibt das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) den Unternehmen vor. Ein Satz mit weitreichender Bedeutung, dessen Realisierung mit dem Sicherheits- und Notfall-Management beginnt. Teilweise überdeckend schließen sich Risk-Management und Business-Continuity- Management an.
Die Haftungskaskade zeigt gefühlsmäßig nach oben
Bedrohungsbild, Schutzzieldefinition und Leitlinien müssen zwar auf der strategischen Ebene erarbeitet und entschieden werden. In der Regel wirkt die Haftungsverantwortung aber auf die operative Ebene. Hier erfolgt die Schwachstellenanalyse und die Risikobewertung, hier werden die Details der technischen und der baulichen Maßnahmen umgesetzt, hier werden die Verfahren und Prozesse für den Fall des Eintretens entwickelt. Hier muss der Detaillierungsgrad hoch verdichtet und gerichtsfest dokumentiert werden.
Organisationsfehler auf dieser Ebene können sich im Ereignisfall katastrophal auswirken und sind in der Regel den Sicherheitsverantwortlichen dann direkt zuzuordnen.
Verkettung unglücklicher Umstände
Eine Aussage wie: „Die Ursache war eine Verkettung unglücklicher Umstände“ deutet in der Regel auf Fehler im Sicherheitsmanagement hin und ruft automatisch Versicherung und Staatsanwaltschaft auf den Plan. Der Vorwurf Organisationsverschulden ist schnell erhoben – und trifft in der Regel auch zu.
Hier wird hinterfragt, ob Fehler bei der Bewertung von Schwachstellen und Risikopotential gemacht wurden, ob die Aufbau- und Ablauforganisation nicht stimmte oder ob fehlende, falsche oder nicht aktualisierte Leitlinien, Richtlinien, Verfahrensanweisungen oder Arbeitsanweisungen die Ursache waren.
Auch Überwachungs- und Gefahrenmeldetechnik und die Gefahrenabwehrorganisation stehen dann schnell auf dem Prüfstand. Die Liste der Mängel und Fehler kann beliebig fortgeführt werden. Die Revisionspraxis zeigt, dass bereits auf der Ebene Security- und Notfallmanagement elementare Mängel vorhanden sind. Offensichtlich bleibt ungeachtet, dass bereits auf dieser Ebene der größte Teil des Risikopotenzials im Fall des Eintretens abgefangen werden kann.
Verantwortliche in der Zwickmühle
In Zeiten eng geschnürter Budgets und breit gestreuter Sparmaßnahmen kommt auch die Sicherheit nicht ungeschoren davon.
Viele bereits verabschiedete Maßnahmen werden verschoben oder gestreckt, teilweise oder ganz gestrichen. Sicherheitsmängel werden bewusst in Kauf genommen.
Der Sicherheitsverantwortliche steckt in der Zwickmühle. Nimmt er die Sicherheitsmängel billigend in Kauf, übernimmt er ein persönliches Risiko. Zeigt er die Sicherheitsmängel auf, muss er die Notwendigkeit zu deren Beseitigung nachvollziehbar belegen und dokumentieren.
Die Risikobewertung (Risikopotenzialwert ohne Maßnahme und Risikopotenzialwert mit Maßnahmen) ist dafür ein geeignetes Mittel und dokumentiert gerichtsfest, dass Mängel erkannt, bewertet und den Verantwortlichen angezeigt wurden. Die Frage, ob es etwas mehr oder etwas weniger sein darf, ist auf das notwendige Muss relativiert.
Früh erkannt – Gefahr gebannt
In der Regel werden die Kenngrößen Eintretenswahrscheinlichkeit und Schadensausmaß zur Bewertung des Risikopotentials verwendet.
Eine wichtige Kenngröße wird oft vernachlässigt und nicht in die Bewertung einbezogen: die Entdeckungswahrscheinlichkeit. Gerade an dieser Kenngröße lässt sich die Reduzierung des Risikopotentials und somit der getätigten oder geplanten Investitionen sehr gut nachweisen.
Die Gegenüberstellung von altem und neuen Risikopotential sowie das verbleibende Restrisiko ist daher grundsätzlich zu empfehlen und belegt das Wertschöpfungspotential von Sicherheitsmaßnahmen.
Strukturiertes Notfallmanagement
Investitionen in technische, bauliche und personell-organisatorische Maßnahmen verlieren an Wirkung, wenn die Ereignis- und Notfallorganisation im Fall des Falles nicht funktioniert. Die Ereignis- und Notfallorganisation hat zwar höchste Bedeutung, zeigt aber oft gravierende Mängel.
Die Komplexität und der Detaillierungsgrad der Aufbau- und Ablauforganisation ist von Art und Größe eines Unternehmens abhängig. Der Aufwand für die durchgängige Konzipierung und Aktualisierung ist erheblich und wird aus Zeitmangel und Kostengründen oft vernachlässigt.
Die Kernanforderungen sind grundsätzlich gleich: Die damit verbundenen Sicherheits- und Ablaufprozesse müssen eindeutig und lückenlos sein; Trainings und Schulungen sind regelmäßig durchzuführen und zu dokumentieren.
Fazit: Sicherheits- und Notfallmanagement darf nicht von der Frage „etwas weniger oder etwas mehr“ bestimmt werden. Die beste Basis ist die Bereitschaft zu Selbstzweifel und systematischem Vorgehen.
Dieser Fachartikel ist im Original in der Ausgabe W&S 03/2010 nachzulesen. Autor: Volker Kraiss