Business Continuity Plan

Ein Business Continuity Plan (BCP) ist ein dokumentiertes Regelwerk, das beschreibt, wie ein Unternehmen kritische Geschaeftsprozesse bei schwerwiegenden Stoerungen — etwa Lieferanteninsolvenzen, Naturkatastrophen oder Cyberangriffen — aufrechterhaelt oder schnell wiederherstellt. Im Einkaufskontext ist der BCP das zentrale Instrument, um Versorgungsunterbrechungen beherrschbar zu machen.

Detaillierte Erklaerung

Der internationale Standard ISO 22301 (Business Continuity Management Systems) gibt den Rahmen fuer Aufbau, Implementierung, Betrieb und Verbesserung eines Business-Continuity-Managementsystems (BCMS) vor. Er fordert unter anderem eine Business Impact Analysis (BIA), in der kritische Prozesse und ihre maximal tolerierbare Ausfallzeit (MTPD — Maximum Tolerable Period of Disruption) bestimmt werden, sowie konkrete Wiederherstellungsplaene (Recovery Procedures) fuer jedes Risikoszenario.

Aufbau eines einkaufsrelevanten BCP:

Ein vollstaendiger BCP fuer den Beschaffungsbereich umfasst typischerweise vier Bausteine:

1. Risikoidentifikation und -bewertung: Welche Materialien und Lieferanten sind kritisch? Fuer jedes A-Teil und jeden Engpasslieferanten werden Ausfallszenarios dokumentiert: Lieferanteninsolvenz, Produktionsbrand beim Lieferanten, politische Handelsbeschraenkungen, Transportunterbrechungen (Hafen, Strasse, Schiene). [[risikomanagement]] und BCP greifen hier ineinander.

2. Recovery-Strategien je Szenario: Fuer jedes Szenario wird eine primeare Reaktionsstrategie festgelegt — Aktivierung eines [[second-source]]-Lieferanten, Nutzung von Sicherheitsbestaenden, Produktionsverlagerung, Spot-Market-Beschaffung. Die Strategie muss so konkret sein, dass sie ohne langen Entscheidungsprozess aktiviert werden kann.

3. Notfallkontaktliste und Eskalationspfade: Wer entscheidet bei Ausfall eines A-Lieferanten? Welche Vollmachten gelten fuer Notfallbestellungen? Welche Kommunikationskanaele werden genutzt, wenn ERP-Systeme ausgefallen sind? Diese Infrastruktur muss vorab definiert und regelmaessig aktualisiert werden.

4. Test und Uebung: ISO 22301 fordert regelmaessige Tests der BCP-Massnahmen. Tabletop-Exercises (simulierte Krisengespraeche) und partielle Liveuebungen (tatsaechliche Aktivierung eines Alternativlieferanten) stellen sicher, dass der Plan im Ernstfall funktioniert und Mitarbeitende die Ablaeufe kennen.

BCP und Sicherheitsbestandslogik: Ein BCP ohne ausreichende Sicherheitsbestaende ist ein Papiertiger. Die MTPD eines kritischen Teils bestimmt, wie viel Pufferbestand gehalten werden muss, um waehrend der Lieferantenwechselzeit keine Produktionsunterbrechung zu erleiden. Bei einer Umstellungszeit von sechs Wochen und einem Tagesverbrauch von 200 Einheiten bedeutet das mindestens 8.400 Einheiten Sicherheitsbestand — eine Investitionsentscheidung mit direkter Bilanzwirkung.

Regulatorischer Kontext: Fuer Unternehmen in regulierten Branchen (Automotive, Pharma, Aerospace) verlangen Kunden und Zertifizierungsstellen zunehmend den Nachweis eines funktionierenden BCMS. TISAX (Automotive-Informationssicherheit) und ISO 9001:2015 enthalten implizite BCP-Anforderungen. Das LkSG verlangt ausserdem, dass Unternehmen auf erkannte Risiken mit Praevention und Abhilfemassnahmen reagieren — ein BCP unterstuetzt die Nachweisfuehrung.

Praxisbeispiel

Ein mittelstaendischer Hersteller von Hydraulikpressen in Sueddeutschland bezieht Stahlplatinen von einem einzigen osteuropaeischen Walzwerk. Im Fruehjahr 2025 fuehrt ein Grossbrand im Walzwerk zu einem dreimonatigen Produktionsstopp. Unternehmen mit einem vorbereiteten BCP aktivieren innerhalb von 48 Stunden ihre dokumentierte Notfallstrategie: Spot-Market-Beschaffung ueber einen Stahlhaendler in Deutschland, temporaere Toleranz bei Dickenvarianzen innerhalb der Zeichnungsspezifikation, und parallele Notfallqualifizierung eines zweiten Walzwerks in Polen.

Unternehmen ohne BCP reagieren ad hoc — mit Lieferverzoegerungen von vier bis sieben Wochen, Konventionalstrafen bei Kunden und Mehrkosten durch Premiumpreise im Spotmarkt. Der direkte Kostennachteil betraegt bei einem mittelstaendischen Betrieb schnell sechsstellige Betraege.

Typische Fehler & Verhandlungskontext

BCP nur auf dem Papier: Plaene, die seit drei Jahren nicht getestet wurden, sind in Krisenzeiten wertlos. Ohne regelmaessige Uebung fehlt das Muskelgedaechtnis. ISO 22301 schreibt Uebungsintervalle vor — in der Praxis werden sie oft uebersprungen.

Fehlende Lieferanten-Seite: Viele BCPs decken nur interne Prozesse ab, nicht aber die Lieferantenseite. Strategische Lieferanten sollten im Rahmen des [[partnerschaftliches-lieferantenmanagement]] dazu angehalten werden, eigene BCPs vorzulegen und in Audits nachzuweisen.

Sicherheitsbestaende falsch kalkuliert: MTPD-basierte Bestandskalkulation erfordert realistische Annahmen ueber Lieferantenwechselzeiten. Diese werden haeufig unterschaetzt — insbesondere bei Teilen mit langen Qualifizierungsprozessen (z. B. sicherheitsrelevante Komponenten in der Medizintechnik oder im Automotive-Bereich).

Keine Verhandlungsreserven fuer Notfaelle: BCP-Massnahmen wie Spot-Beschaffung oder Notfallqualifizierung kosten mehr als regulaere Beschaffung. Budgets und Vollmachten fuer Ausnahmesituationen muessen vorab genehmigt sein, damit Einkaufsleiter im Krisenfall handlungsfaehig sind, ohne lange Genehmigungsschleifen zu durchlaufen.

Verhandlungskontext: Ein BCP staerkt die Verhandlungsposition gegenueber dem Lieferanten: Wer glaubwuerdig demonstrieren kann, dass er einen Alternativlieferanten aktivieren kann, hat einen echten Hebel in Preis- und Konditionenverhandlungen. Ohne diese Alternative ist der Einkaeuf r strukturell in einer schwachen Position.

Verwandte Begriffe

• [[versorgungssicherheit]] — Oberziel, das der BCP operationalisiert
• [[risikomanagement]] — Methodischer Rahmen fuer BCP-Risikoidentifikation
• [[second-source]] — Kernstrategie der BCP-Lieferantenabsicherung
• [[dual-sourcing]] — Strukturelle BCP-Massnahme fuer kritische Materialien
• [[single-source-management]] — Szenario mit hoechstem BCP-Bedarf
• [[lieferantenkonzentration]] — Risikofaktor, den BCP adressieren muss