Unsere Kompetenzen und Expertise

Unternehmen agieren heute in einem Umfeld kontinuierlicher, multidimensionaler Störungen. Geopolitische Entwicklungen, Cyberbedrohungen und durch künstliche Intelligenz getriebene Veränderungen verändern die Funktionsweise von Wertschöpfungsketten und Geschäftsprozessen, während gleichzeitig regulatorische Anforderungen weiter steigen.

Kritische Systeme können unerwartet ausfallen, Lieferanten plötzlich nicht mehr verfügbar sein und Cybervorfälle sich rasch über vernetzte Systeme ausbreiten – oft genau dann, wenn die Abhängigkeit am grössten ist.

Dennoch bleiben die Erwartungen unverändert: Unternehmen müssen ihren Betrieb aufrechterhalten, Kunden bedienen und ihre finanzielle Stabilität auch unter Druck sichern.

Unternehmensresilienz bezeichnet die Fähigkeit, kritische Leistungen während Störungen zuverlässig zu erbringen und gleichzeitig die Organisation für eine langfristig nachhaltige Entwicklung anzupassen.  Sie verlangt eine ganzheitliche Betrachtung von Technologie, Daten, Drittparteien, Prozessen und Mitarbeitenden.

Bei KPMG unterstützen wir Unternehmen dabei, Resilienz strukturiert und praxisnah aufzubauen – mit dem Ziel, operative Störungen zu reduzieren und die Reaktionsfähigkeit in Stresssituationen zu stärken.

Operative Störungen wirken sich rasch finanziell aus – etwa durch Umsatzeinbussen, steigende Kosten, Liquiditätsdruck und regulatorische Risiken. Führende Unternehmen verstehen Resilienz daher als integrierte Fähigkeit über Betrieb, Finanzen und Governance hinweg.

Matthias Bossardt
Matthias Bossardt

Partner, Leiter Cyber & Digital Risk Consulting

KPMG Switzerland

René Koets
René Koets

Partner, Leiter Management Consulting

KPMG Switzerland

Warum Resilienz jetzt entscheidend ist

Die Regulierung verändert grundlegend, wie Unternehmen Resilienz angehen.

Anforderungen wie der Digital Operational Resilience Act (DORA) und die Network and Information Security Directive (NIS2) drängen Unternehmen dazu, über isolierte IT- oder Risikomassnahmen hinauszugehen und einen integrierten, durchgängigen Ansatz für das Management von Cyberrisiken und Cyberresilienz zu etablieren.

In der Schweiz verstärkt das FINMA-Rundschreiben 2023/1 diese Entwicklung, indem es die Erwartungen deutlich erhöht in Bezug auf:

  • die Identifikation kritischer Dienste und Funktionen
  • die Festlegung von Impact-Toleranzen
  • das Verständnis operativer Abhängigkeiten
  • die Sicherstellung der Kontinuität unter schweren, aber plausiblen Störungsszenarien

Die Botschaft der Aufsichtsbehörden ist klar: Unternehmen müssen ihre Resilienzfähigkeiten gezielt stärken, um regulatorische Anforderungen zu erfüllen.

In der Praxis bedeutet dies, dass Unternehmen:

  • ihre Business-Continuity- und Wiederanlaufkonzepte weiterentwickeln
  • wirksame Prozesse für Cybervorfallreaktion und Krisenmanagement etablieren
  • Risiken aus Drittparteien und Outsourcing proaktiv steuern
  • Resilienz regelmässig anhand realistischer Störungsszenarien testen
  • die Transparenz über Systeme, Lieferanten und operative Abhängigkeiten erhöhen
  • operative Resilienz eng mit finanziellem und regulatorischem Risikomanagement verzahnen

4 Schlüsselprozesse der Enterprise Resilience

Diese Prozesse schaffen einen strukturierten Ansatz für Resilienz und ermöglichen es Organisationen, von einem reaktiven Krisenmanagement zu einer kontrollierten und koordinierten Reaktion überzugehen.

      1. Strategische Ausrichtung
      Definieren Sie klare strategische Ziele und angestrebte Ergebnisse für das Unternehmen. Legen Sie die wesentlichen Treiber sowie die Methoden fest, mit denen Fortschritte wirksam gemessen werden können.

      2. Modellierung
      Nutzen Sie Daten, um zentrale Leistungskennzahlen zu definieren, und wenden Sie quantitative Methoden für Prognosen, Analysen und Simulationen an.

      3. Umsetzung
      Setzen Sie die definierten Ziele um und stellen Sie sicher, dass die Umsetzung mit den in der Modellierung festgelegten Kennzahlen im Einklang steht.

      4. Stärkung der Resilienz
      Identifizieren Sie strategische Optionen zur Erhöhung der Resilienz und bestimmen Sie den optimalen Ansatz auf Basis des erwarteten Nutzens und der vorhandenen Sicherheit hinsichtlich der Ergebnisse.

          Operationelle Resilienz vs. Business Continuity Management

          Operationelle Resilienz und Business Continuity Management (BCM) werden häufig gleichgesetzt, unterscheiden sich jedoch grundlegend in ihrem Fokus und Ansatz.

          BCM konzentriert sich auf die Wiederherstellung nach einer Störung. Ziel ist es, den Betrieb innerhalb eines definierten Zeitrahmens wieder aufzunehmen, unterstützt durch Disaster-Recovery-Planung.

          Operationelle Resilienz hingegen zielt darauf ab, kritische Dienste auch während einer Störung aufrechtzuerhalten.

          Sie umfasst unter anderem:

          • BCM
          • IT‑Resilienz
          • Cyber-Resilienz
          • Drittparteirisikomanagement (TPRM)
          • Krisenmanagement
          • Management operationeller Risiken

          Vereinfacht dargestellt:

          • BCM stellt die Frage: Wie stellen wir den Betrieb wieder her?
          • Operationelle Resilienz stellt die Frage: Wie stellen wir den Betrieb während einer Störung sicher?

          Dieser Perspektivwechsel verändert, wie Unternehmen Risiken steuern, Investitionen priorisieren und Entscheidungen treffen.

          Warum Resilienz finanzielle Stabilität einschliessen muss

          Operationelle Störungen führen sehr schnell zu finanziellen Auswirkungen. Umsatzausfälle, Kostensteigerungen, Liquiditätsdruck, regulatorische Risiken und Reputationsschäden können bereits innerhalb weniger Stunden nach einem schwerwiegenden Vorfall auftreten.

          Aus diesem Grund muss Resilienz über die reine Aufrechterhaltung des Betriebs hinausgehen.

          Führende Unternehmen verknüpfen daher:

          • operationelle Resilienz
          • finanzielle Resilienz
          • Governance
          • Krisenmanagement
          • strategische Entscheidungsfindung

          zu einer einzigen, integrierten, Unternehmenskompetenz.

          Wie KPMG Sie unterstützen kann

          Der Aufbau von unternehmerischer Resilienz erfordert einen integrierten Ansatz, der Betriebskontinuität, finanzielle Stabilität, Governance und Transformationsfähigkeiten miteinander verbindet.

          KPMG unterstützt Unternehmen dabei, Schwachstellen zu identifizieren, kritische Betriebsabläufe zu stärken und die Entscheidungsfindung unter Druck zu verbessern.
           

          • Identifizierung kritischer Dienste und Resilienzlücken

            Wir unterstützen Unternehmen bei der Identifizierung kritischer Geschäftsdienste, der Analyse von Abhängigkeiten sowie der Definition von Resilienzzielen im Einklang mit regulatorischen Anforderungen wie DORA, NIS2 und FINMA.

            Zudem bieten wir unabhängige Prüfungen von Resilienz-Rahmenwerken und Kontrollmechanismen an.

             

          • Stärkung von Kontinuität und Krisenreaktion

            Wir unterstützen Unternehmen dabei, ihre Fähigkeiten zur Bewältigung operativer Störungen, Cybervorfälle und Krisen zu stärken und gleichzeitig die Kontinuität kritischer Dienste sicherzustellen.

            Darüber hinaus begleiten wir Führungsteams bei der Verbesserung von Entscheidungs-prozessen und Governance in Krisensituationen.

             

          Häufig gestellte Fragen (FAQs)

          Operationelle Resilienz ist die Fähigkeit, kritische Produkte und Dienstleistungen auch während einer Störung weiterhin bereitzustellen.

          Sie ist ein zentraler Bestandteil der unternehmerischen Resilienz und fokussiert darauf, unter Stress die Kontinuität aufrechtzuerhalten und gleichzeitig operative sowie finanzielle Auswirkungen zu minimieren.

          Finanzielle Resilienz ist die Fähigkeit, finanzielle Schocks zu absorbieren – gestützt auf eine solide Liquidität, diversifizierte Ertragsquellen, wirksames Kapitalkapitalmanagement sowie eine robuste Governance.

          Das Business Continuity Management konzentriert sich primär auf die Wiederherstellung von Prozessen nach einer Störung.

          Operationelle Resilienz hingegen setzt früher an: Sie zielt darauf ab, kritische Dienste während einer Störung aufrechtzuerhalten und verfolgt einen umfassenderen, unternehmensweiten Ansatz.

          DORA verpflichtet Unternehmen dazu, das ICT-Risikomanagement zu stärken, die Kontinuität kritischer Dienste sicherzustellen, Risiken im Zusammenhang mit Drittanbietern zu steuern und regelmässige Resilienztests unter realistischen Szenarien durchzuführen.

          Auswirkungstoleranz definiert das maximale Ausmass einer Störung, das ein Unternehmen absorbieren kann, bevor ein inakzeptabler Schaden für Kunden oder das Geschäft entsteht.

          Sie dient dazu, Prioritäten zu setzen und klare Schwellenwerte für kritische Dienste festzulegen.

          Dabei handelt es sich um realistische Störungsereignisse – etwa Cyberangriffe, Systemausfälle oder Lieferkettenunterbrüche.

          Unternehmen nutzen diese Szenarien, um zu testen, ob ihre Resilienzfähigkeiten auch unter realistischen Bedingungen wirksam funktionieren.

          Der Aufbau operationeller Resilienz umfasst die Identifikation kritischer Dienste, das Verständnis von Abhängigkeiten, die Stärkung von Risiko- und Krisenmanagementfähigkeiten sowie regelmässige Tests anhand realistischer Szenarien.

          Ziel ist es, auch während einer Störung handlungsfähig zu bleiben und die Auswirkungen gezielt zu begrenzen.

          Die Verantwortung liegt in der Regel bei der Geschäftsleitung und dem Verwaltungsrat, unterstützt durch die Bereiche Risiko, Technologie und Betrieb.

          Eine klare Governance und genau definierte Rollen sind entscheidend für eine wirksame Reaktion unter Druck.

          Eine zentrale Plattform – etwa ein ERP‑System, eine Kundenplattform oder ein Produktionssystem – fällt aus. Dies führt dazu, dass der Betrieb zum Stillstand kommt oder stark eingeschränkt wird.

          Zentrale Fragestellungen

          • Was passiert, wenn ein kritisches System morgen ausfällt?

          • Welche Dienste wären zuerst betroffen?

          • Wie lange können wir unter eingeschränkten Bedingungen weiterarbeiten?

          Wo Unternehmen häufig Schwierigkeiten haben

          • Geringe Transparenz über kritische Dienste

          • Fehlende Abstimmung zwischen Business-Prioritäten und IT‑Wiederherstellung

          • Starke Abhängigkeit von einzelnen Systemen

          Was resiliente Unternehmen anders machen

          • Klar definierte Priorisierung kritischer Dienste

          • Wiederherstellung der Technologie an den geschäftlichen Auswirkungen ausrichten

          • Etablierung strukturierter Prozesse für die Reaktion auf Vorfälle und die Eskalation

          Eine Störung in der Lieferkette unterbricht die Lieferung, Produktion oder betriebliche Kontinuität.

          Zentrale Fragestellungen

          • Wie abhängig sind wir von einzelnen Lieferanten?

          • Wie schnell können wir alternative Anbieter einsetzen?

          • Welche Risiken bestehen über Tier‑1‑Lieferanten hinaus?

          Wo Unternehmen häufig Schwierigkeiten haben

          • Begrenzte Transparenz über Abhängigkeiten in der Lieferkette
          • Übermässiger Fokus auf Kostenoptimierung zulasten der Resilienz
          • Unzureichende laufende Überwachung der Risiken durch Lieferantenkonzentration

          Was resiliente Unternehmen anders machen

          • Durchgängige Abbildung kritischer Lieferantenabhängigkeiten
          • Frühzeitige Identifizierung einzelner Schwachstellen
          • Integration von Resilienz in Sourcing‑ und Beschaffungsentscheidungen

          Ein Drittanbieter erbringt Leistungen unzureichend oder fällt aus, wodurch kritische Abläufe beeinträchtigt werden.

          Zentrale Fragestellungen

          • Wer trägt die Verantwortung, wenn Probleme auftreten?
          • Haben wir operative Kontrolle oder lediglich vertragliche Absicherung?
          • Was geschieht, wenn der Anbieter vollständig ausfällt?

          Wo Unternehmen häufig Schwierigkeiten haben

          • Mangelhaftes Management von Drittparteien-, Outsourcing- und Lieferantenrisiken
          • Begrenzte operative Transparenz bezüglich externer Anbieter
          • Fehlende Ausweich- oder Ausstiegsstrategien

          Was resiliente Unternehmen anders machen

          • Klare Festlegung von Zuständigkeiten und Verantwortlichkeiten
          • Kontinuierliche Überwachung kritischer Dienstleister
          • Bereithaltung und regelmässiges Testung von Ausweich- und Ausstiegsoptionen

          Ein schwerwiegender Vorfall tritt ein, doch die Reaktion erfolgt verzögert, unklar oder inkonsistent.

          Zentrale Fragestellungen

          • Sind Entscheidungsträger darauf vorbereitet, unter Druck zu handeln?
          • Sind Eskalationswege klar definiert?
          • Kann die Führungsebene auch bei unvollständigen Informationen schnell entscheiden?

          Wo Unternehmen häufig Schwierigkeiten haben

          • Krisenpläne existieren nur auf dem Papier
          • Unklare Entscheidungsbefugnisse
          • Fehlendes realistisches Simulationsübungen für Teams

          Was resiliente Unternehmen anders machen

          • Etablierung klarer Governance-Strukturen für Krisensituationen
          • Durchführung regelmässiger Simulationsübungen
          • Abstimmung der Führungsteams vor Eintritt einer Störung

          Ihre Ansprechpersonen

          Matthias Bossardt
          Matthias Bossardt

          Partner, Leiter Cyber & Digital Risk Consulting

          KPMG Switzerland

          René Koets
          René Koets

          Partner, Leiter Management Consulting

          KPMG Switzerland

          Thomas Oschlisniok
          Thomas Oschlisniok

          Partner, Leiter Business Services Transformation

          KPMG Switzerland

          Mischa Sollberger
          Mischa Sollberger

          Partner, Global Transfer Pricing Services, Value Chain Management

          KPMG Switzerland

          Verwandte Artikel und weitere Informationen

          AI Assurance unterstützt Unternehmen dabei, vertrauenswürdige und resiliente KI zu implementieren – in Lösungen, Daten und geschäftskritische Entscheidungsprozesse.
          Weiterlesen