Richtig mit Gefahren umgehen

Die Haupterkenntnisse der Theory of Constraints (TOC) konzentrieren sich darauf, das gegenwärtige Geschäft zu verbessern. Die TOC hat viel zum ersten Teil der SWOT-Analyse beigetragen, nämlich Stärken, Schwächen und Chancen. Was noch fehlt, ist ein Beitrag zur frühzeitigen Identifizierung von Bedrohungen und zur Entwicklung der besten Vorgehensweise zu ihrer Bewältigung. Der Umgang mit Bedrohungen geht weniger darum, neue Initiativen zu ergreifen, um immer mehr Erfolg zu erzielen, sondern vielmehr darum, Schäden durch unvorhergesehene Veränderungen oder Ereignisse zu verhindern. Bedrohungen können sowohl von innerhalb der Organisation kommen, wie z. B. ein schwerwiegender Fehler in einem der Produkte des Unternehmens, als auch von außen, wie z. B. das Auftreten einer disruptiven Technologie. Die TOC verfügt definitiv über die Werkzeuge, um Prozesse zur Identifizierung aufkommender Bedrohungen zu entwickeln und die richtige Vorgehensweise zu ihrer Bewältigung zu finden.

Das letzte Mal habe ich 2015 über die Identifizierung von Bedrohungen geschrieben, aber die Zeit bringt neue Gedanken und neue Möglichkeiten, sowohl das Problem als auch die Lösungsrichtung auszudrücken. Die Bedeutung des Themas bedarf kaum einer Erklärung, aber es ist dennoch kein großes Thema für das Management. Risikomanagement deckt nur einen Teil der potenziellen Bedrohungen ab, normalerweise nur für sehr große geplante Vorhaben. Meine Schlussfolgerung ist, dass Manager problematische Themen ignorieren, wenn sie keine klare Lösung erkennen.

Es gibt nur wenige Umgebungen, in denen erhebliche Anstrengungen für dieses Thema aufgewendet werden. Länder und ihre Armee und Polizei haben spezielle dedizierte Unterorganisationen namens "Geheimdienst" geschaffen, um klar definierte Sicherheitsbedrohungen zu identifizieren. Während die meisten Organisationen verschiedene Kontrollmechanismen verwenden, um einige spezifische vorhersehbare Bedrohungen wie Alarmsysteme, grundlegende Datensicherheit und Buchungsmethoden zur Erkennung von unerklärlichen Geldtransfers zu bewältigen, werden viele andere Bedrohungen nicht angemessen kontrolliert.

Die Natur eines jeden Kontrollmechanismus besteht darin, eine Bedrohung zu identifizieren und entweder davor zu warnen oder sogar automatische Schritte zur Neutralisierung des Risikos einzuleiten. Meine Definition eines "Kontrollmechanismus" lautet: "Ein reaktiver Mechanismus zur Bewältigung von Unsicherheit durch Überwachung von Informationen, die auf eine bedrohliche Situation hinweisen, und ergreifen entsprechender Korrekturmaßnahmen."

Obwohl das Thema nicht im TOC Body of Knowledge (BOK) auftaucht, sind einige grundlegende Erkenntnisse der TOC relevant für die Entwicklung einer Lösung für einen strukturierten Prozess, der sich mit der Identifizierung des Auftretens von Bedrohungen befasst. Ein weiterer Prozess ist erforderlich, um die Maßnahmen zur Neutralisierung der Bedrohung zu planen, vielleicht sogar um sie in eine Chance zu verwandeln.

Ein solcher Prozess ist viel besser vorbereitet, wenn die Bedrohung bereits im Voraus als wahrscheinlich erkannt wird. Zum Beispiel sollte die Qualitätssicherung neuer Produkte spezielle Prüfungen umfassen, um zu verhindern, dass ein neues Produkt mit einem Defekt auf den Markt gebracht wird, was zur Rückrufaktion aller verkauften Einheiten führen würde. Wenn ein Produkt als gefährlich eingestuft wird, ist die Bedrohung zu groß, um sie zu tolerieren. In weniger schädlichen Fällen sind der finanzielle Verlust sowie der Schaden für den zukünftigen Ruf immer noch hoch. Dennoch ist eine solche Bedrohung für nahezu jedes Unternehmen möglich. Die frühzeitige Identifizierung, bevor der große Schaden entsteht, ist von großer Bedeutung.

Die Hauptschwierigkeit bei der Identifizierung von Bedrohungen besteht darin, dass jede Bedrohung in der Regel unabhängig von anderen Bedrohungen ist, sodass die Vielfalt potenzieller Bedrohungen groß ist. Es könnte sein, dass dieselben Richtlinien und Verhaltensweisen, die eine interne Bedrohung verursacht haben, auch weitere Bedrohungen verursachen. Aber der Zeitpunkt des Auftretens jeder potenziellen aufkommenden Bedrohung kann weit voneinander entfernt sein. Zum Beispiel kann Misstrauen zwischen der Top-Managementebene und den Mitarbeitern zu erheblichen Qualitätsproblemen führen, die zu Klagen führen. Es könnte auch zum Leck vertraulicher Informationen und zum massenhaften Verlassen der Organisation führen, wodurch ihre Kernkompetenzen verloren gehen. Allerdings ist nicht genau vorherzusagen, welche Bedrohung zuerst auftreten wird.

Es ist wichtig, zwischen der Notwendigkeit zu unterscheiden, aufkommende Bedrohungen zu identifizieren und mit ihnen umzugehen, und der Notwendigkeit, das Auftreten von Bedrohungen zu verhindern. Sobald eine Bedrohung identifiziert und bewältigt wurde, wäre es äußerst vorteilhaft, die zugrunde liegende Ursache zu analysieren und einen Weg zu finden, um solche Bedrohungen in Zukunft zu verhindern.

 

Herausforderung Nr. 1: Frühe Identifizierung aufkommender Bedrohungen

Schritt 1:

Erstellen Sie eine Liste von Kategorien erwarteter Bedrohungen.

Die Idee besteht darin, dass jede Kategorie durch ähnliche Signale gekennzeichnet ist, die durch Ursache-Wirkungs-Logik abgeleitet werden können und mit Hilfe eines dedizierten Kontrollmechanismus überwacht werden können. Buffer Management ist ein solcher Kontrollmechanismus zur Identifizierung von Bedrohungen für die perfekte Lieferung auf dem Markt.

Ein weiteres Beispiel ist die Identifizierung von "schwer zu erklärenden" Geldtransaktionen, die auf illegale oder unbefugte finanzielle Handlungen bestimmter Mitarbeiter hinweisen könnten. Buchhaltungstechniken werden verwendet, um schnell auf solche verdächtigen Transaktionen hinzuweisen. Eine wichtige Kategorie von Bedrohungen besteht aus vorübergehenden Ausfällen und Verlusten, die das Unternehmen gemeinsam in den Bankrott treiben könnten. Daher sollte ein finanzieller Puffer aufrechterhalten werden, sodass das Eindringen in die "Red-Zone" besondere Vorsicht und eine intensive Suche nach Cash-In-Möglichkeiten auslöst.

Es sollten auch andere Kategorien erstellt werden, einschließlich ihrer Liste von Signalen. Dazu gehören Qualität, Mitarbeitermoral und Reputationsschäden auf dem Markt, beispielsweise durch zu geringes Tempo bei innovativen Produkten und Dienstleistungen.

Heutzutage wird viel weniger in Kategorien externer Bedrohungen investiert. Die eine Kategorie von Bedrohungen, die in der Regel überwacht wird, ist der Zustand der direkten Wettbewerber. Es gibt jedoch mindestens zwei weitere wichtige Kategorien, die ständig überwacht werden müssen: regulatorische und wirtschaftliche Maßnahmen, die sich auf bestimmte Märkte auswirken könnten, sowie das Aufkommen schnell aufstrebender Konkurrenz. Letzteres umfasst den Aufstieg einer disruptiven Technologie, den Eintritt eines neuen Riesenwettbewerbers und eine überraschende Veränderung des Geschmacks des Marktes.

Schritt 2:

Für jede Kategorie wird eine Liste von sorgfältig zu überwachenden Signalen erstellt.

Jedes Signal sollte mit ausreichendem Vertrauen auf das Auftreten einer Bedrohung hinweisen. Ein Signal ist eine Wirkung, die in der Realität bemerkt werden kann und die durch Ursache-Wirkungs-Analyse logisch mit dem tatsächlichen Auftreten der Bedrohung verbunden werden kann. Eine solche Ursache könnte eine andere Wirkung sein, die von der Bedrohung verursacht wird, oder eine Ursache der Bedrohung. Eine "Red-Order" wird beispielsweise durch eine lokale Verzögerung oder eine Kombination mehrerer Verzögerungen verursacht, die zur Verzögerung des Auftrags führen können.

Was externe Bedrohungen betrifft, gehe ich davon aus, dass Signale hauptsächlich in den Nachrichtenkanälen, sozialen Netzwerken und anderen Internetveröffentlichungen zu finden sind. Dies erschwert die Identifizierung der richtigen Signale aus der Flut von veröffentlichten Berichten. Daher sind Fokussierungstechniken erforderlich, um nach Signalen zu suchen, die auf bevorstehende Veränderungen hinweisen.

Schritt 3:

Die kontinuierliche Suche nach Signalen erfordert einen formalen Prozess für regelmäßige Signalkontrollen.

Dieser Prozess muss definiert und implementiert werden, einschließlich der Benennung der verantwortlichen Personen. Buffer Management wird effektiver eingesetzt, wenn das computergesteuerte System den relevanten Personen die sortierten offenen Aufträge entsprechend ihrem Pufferstatus anzeigt. Ein Alarmsystem, das vor einer Feuergefahr oder einem Einbruch warnt, muss einen sehr klaren und lauten Klang haben, um sicherzustellen, dass jeder sich der möglichen Gefahr bewusst ist.

 

Herausforderung Nr. 2: Effektiver Umgang mit aufkommenden Bedrohungen

Die Idee hinter jedem Kontrollmechanismus besteht darin, dass es bereits bestimmte Richtlinien gibt, welche Maßnahmen zuerst ergriffen werden müssen, sobald die Signale, die aufgrund der erhaltenen Signale eingegangen sind, darauf hinweisen. Bei einer internen Bedrohung ist die Dringlichkeit einer sofortigen Reaktion offensichtlich. Nehmen wir an, es gibt Signale, die Verdachtsmomente aufkommen lassen, jedoch keinen endgültigen Beweis dafür liefern, dass ein bestimmter Mitarbeiter das Vertrauen der Organisation verraten hat. Ein schnelles Verfahren muss bereits vorhanden sein, mit einer klar definierten Handlungsrichtlinie, um den Verdacht formell zu untersuchen, wobei die Unschuldsvermutung nicht vergessen werden darf. Wenn die Signale auf eine Bedrohung eines schwerwiegenden Defekts in einem neuen Produkt hinweisen, müssen die Verkäufe dieses Produkts vorübergehend eingestellt werden, bis der Verdacht widerlegt ist. Wenn der Verdacht bestätigt wird, muss eine gezielte Analyse durchgeführt werden, um zu entscheiden, was weiter zu tun ist.

Externe Bedrohungen sind schwer zu identifizieren und noch schwieriger zu bewältigen. Die Suche nach Signalen, die auf das Auftreten von Bedrohungen hinweisen, ist keine einfache Aufgabe. Die Bewertung der aufkommenden Bedrohung und der alternativen Möglichkeiten, damit umzugehen, würden stark von einer logischen Ursache-Wirkungs-Analyse profitieren. Hier sollte ein flexiblerer Prozess etabliert werden.

In früheren Beiträgen habe ich bereits die mögliche Nutzung einer Erkenntnis erwähnt, die von allen Geheimdienstorganisationen entwickelt wurde: die kluge Unterscheidung zwischen zwei verschiedenen Prozessen:

1. Sammeln relevanter Daten, in der Regel gemäß klaren Fokussierungsrichtlinien.
2. Forschung und Analyse der erhaltenen Daten.

Natürlich wird die Ausgabe des Forschungs- und Analyseprozesses den Entscheidungsträgern übergeben, um über die Maßnahmen zu entscheiden. Eine solche generische Struktur scheint für die Bedrohungskontrolle nützlich zu sein.

 

Herausforderung Nr. 3: Umgang mit unvorhergesehenen Bedrohungen

Wie können Bedrohungen, die wir nicht antizipieren, kontrolliert werden?

Wir können wahrscheinlich das erste Auftreten einer solchen Bedrohung nicht verhindern. Aber der tatsächliche Schaden des ersten Auftretens könnte begrenzt sein. In einem solchen Fall besteht der Schlüsselpunkt darin, das neue unerwünschte Ereignis als potenziell viel schädlicher zu identifizieren. Mit anderen Worten: aufgrund des ersten Auftretens die volle Tragweite der Bedrohung zu antizipieren.

Der Titel dieses Artikels verwendet das Beispiel einer ernsthaften externen Bedrohung namens "Cyber". Bis vor kurzem befand sich diese Bedrohung außerhalb des Paradigmas sowohl von Einzelpersonen als auch von Organisationen. Als die Überraschung, von Hackern getroffen zu werden und ernsthafte Schäden zu verursachen, bekannt wurde, entstand der Bedarf an einer umfassenden Cyber-Kontrolle. Wie angedeutet, ist Bedrohungskontrolle viel breiter und größer als nur Cyber.

Eine Erkenntnis, die dazu führen könnte, die Fähigkeit zur Identifizierung aufkommender neuer Bedrohungen zu entwickeln, wenn sie noch relativ gering sind, besteht darin, die Auswirkungen einer "Überraschung" zu verstehen. Das Überraschtsein sollte als Warnsignal behandelt werden, dass wir einem ungültigen Paradigma ausgesetzt waren, das bestimmte Möglichkeiten in unserer Realität ignoriert. Der praktische Weg, ein solches Paradigma zu erkennen, besteht darin, Überraschungen als Warnsignale zu behandeln. Dieses Lernen enthüllt sowohl die potenziellen Ursachen für die Überraschung als auch andere unvorhergesehene Ergebnisse.

Meine Schlussfolgerung ist, dass die Bedrohungskontrolle ein absolut erforderlicher formaler Mechanismus für jede Organisation ist. Es sollte nützlich sein, auf den Schultern von Dr. Goldratt zu stehen, die Denkwerkzeuge zu verstehen, die er uns zur Verfügung gestellt hat, und sie zu nutzen, um einen praktischen Prozess aufzubauen, um unsere Organisationen sicherer und erfolgreicher zu machen.

Originaler Beitrag auf Englisch: https://elischragenheim.com/2019/06/08/threat-control-not-just-cyber/