Pharmaunternehmen benötigen ein besonders reaktionsschnelles und professionelles Notfall- und Krisenmanagement, denn sie tragen eine besondere Verantwortung bei der Versorgung der Bevölkerung mit zum Teil lebenswichtigen Medikamenten. Mit einem angepassten und wirkungsvollen Business Continuity Management (BCM) sollten sie daher branchenspezifische Risikozonen beleuchten – und Maßnahmen umsetzen, die im Ernstfall stillstehender Linien oder ausgefallener Lieferketten zu einer schnellen Wiederherstellung der Handlungsfähigkeit führen.

Eine Sekunde kann eine viel zu lange Zeitspanne sein – etwa, wenn aufgrund eines Stromausfalls der Betrieb einer Produktionsanlage stillsteht und somit die komplette Tagesproduktion von Medikamenten vernichtet wird. Dies ist allerdings nur einer von zahlreichen Ernstfällen wie Cyberattacken, Transportstopps in der Logistik oder Verunreinigungen bereits ausgelieferter Chargen, mit deren Eintritt Pharmaunternehmen ständig rechnen müssen.

Standards geben Orientierung

Um sich gegen diese und weitere Risiken wirksam zu wappnen, sind zwei Standards hilfreich: Erstens die internationale, etablierte ISO* 22301:2019 zur Herstellung von Sicherheit und Resilienz durch den Aufbau von Business Continuity Management Systemen. Zweitens, speziell in Deutschland, der modernisierte BSI*-Standard 200-4, der das Thema in Hinblick auf die Umsetzung innerhalb der IT formalisiert. Beide Standards haben wir für eine Anwendung in der Pharmaindustrie adaptiert und dazu die erfolgskritischen Handlungsfelder für das Business Continuity Management definiert (s. Grafik).

 Grafik: Handlungsfelder des msg Global Business Continuity Management © msg industry advisors ag 

In der Umsetzung deckt unser Vorgehen alle wesentlichen Stationen von der weitgefassten Perspektive internationaler Richtlinien und Vorgaben bis hinunter zu detaillierten Aktionsplänen zur Umsetzung im Werk bzw. Werksverbund ab, den sog. Business Continuity Action Plans. Hier enthält der erste Aktionsplan eine Reihe von Vorschlägen für sofortige Maßnahmen zur Bewältigung aller Arten von Ausfällen und Unterbrechungen, unabhängig von der Art der Bedrohung oder der Ausfallursache. Die weiteren fünf Aktionsplänen führen die Schritte auf, die zur Wiederherstellung des Standorts sowie der Geschäftsfunktionen erforderlich sind, sollten diese ausfallen. Dies bezieht vor allem auf die Nichtverfügbarkeit von Technologie, Ausrüstung, Personal, Drittparteien / Lieferanten sowie Gebäuden bzw. den verhinderten Zugang zu diesen.

Im Ernstfall entfalten diese Tools ihre volle Wirksamkeit aber nur in einer Organisation, die für das Thema sensibilisiert und deren Risk- und Compliance-Verantwortliche über das notwendige Wissen zur Anwendung verfügen. Unabhängig vom Risiko- bzw. Krisenszenario erweisen sich in unseren Projekten regelmäßig die folgenden Ausgangspunkte als erfolgskritisch für ein langfristig ideal eingespieltes Business Continuity Management:

Organisation: Kräfte richtig einschätzen

Nach dem Prinzip „Vom Überblick zum Detail“ sollte es zuerst darum gehen, die Rahmenbedingungen zu schaffen, damit ein BCM bestmöglich funktioniert. Zumal auch BCM-Initiativen die Gefahr droht, in der Operationalisierung ihrer Zielsetzungen als „Handlungspapiertiger“ in den Routinen des Tagesgeschäfts unterzugehen.

"Eine BCM-Initiative darf nicht als „Handlungspapiertiger“ enden."

Um das zu vermeiden, ist eine Bewusstseinsbildung im Unternehmen unerlässlich, die mit Blick über die eignen Bereichs- und Werksgrenzen hinaus den hohen Wert einer ineinandergreifenden globalen, regionalen und lokalen Organisation anerkennt. Das erfordert in der Regel ein begleitendes Change- bzw. Transformation Management hin zu neuen Unternehmensstrukturen und -kulturen. Mit dieser Veränderungsbereitschaft wird nun der Blick auf die Ziele und vorhandenen Kräfte gerichtet, etwa über die Beantwortung der folgenden Leitfragen:

• Welche Ergebnisse / Effekte erwarten Führungskräfte und involvierte Mitarbeitende der Belegschaft konkret vom Business Continuity Management?
• Welche Definition von BCM liegt dieser Erwartungshaltung zugrunde?
• Wie soll ein entsprechendes Programm implementiert werden? Welche Personen / Rollen verantworten das Thema und dessen Umsetzung bislang in der Organisation? Lässt sich dies besser gestalten und falls ja, wie?
• Besonders wichtig und eine Anforderung der ISO 22301: Wie lauten die Minimalanforderungen an die Verfügbarkeit von Prozessen?

Standorte: Schwachpunkte und Risikotoleranz transparent machen

Der zweite wesentliche Ansatzpunkt: ein Ausleuchten der Risiken an den einzelnen Unternehmensstandorten, seien es Werke oder Geschäftsstellen. In diesem „Site Profiling“ entsteht ein klares, detailliertes Bild vom Risikopotenzial je Standort. Dies sollte auch eine Festlegung von technischen und organisatorischen Maßnahmen enthalten, was konkret geschehen muss, wenn eine Bedrohung auf eine Schwachstelle trifft. Das Zielergebnis ist in diesem Fall ein umfassendes und zugleich praxistaugliches Notfallkonzept. Dieses muss Unternehmen dazu befähigen, bei jeder Abweichung von der Routine, bei jedem Vorfall und in jeder Krise handlungsfähig zu bleiben. Je nach Standort fällt die Einschätzung bzw. Priorisierung der Risiken allerdings meist sehr unterschiedlich aus – etwa hinsichtlich der Zuverlässigkeit / Ersetzbarkeit von Lieferanten oder der Sicherheit bei Fertigungsprozessen. Diese individuelle Risikotoleranz sollte also ebenfalls konkret erfasst werden, etwa über Aspekte wie:

• Welche Prozesse soll das BCM erfassen? Wie ist deren Kritikalität einzustufen, z.B. in einem zeitlichen Spektrum (Prozessausfall in 2, 8, 24, 48 usw. Stunden behebbar)?
• Wie trägt eine Unterteilung in Prozessklassen dazu bei, die wirklich wichtigen Prozesse zu identifizieren?
• Wo gibt es „versteckte“ Prozessverknüpfungen?
• Welche Prozesse sind gar nicht relevant? Unter welchen Bedingungen könnte sich dies ändern und wie realistisch ist dies?

Bei der Unterteilung und Priorisierung der Prozesse sind zum Beispiel die Lieferketten sehr kritisch, etwa wenn Medikamente vom Hochregallager zu den Großhändlern, in die Kliniken, in die Apotheken bis zum Patienten gelangen müssen. Diese Prozesse sind allerdings meist auch nicht so kritisch, dass sie nicht einen zweistündigen Ausfall vertragen, sondern müssen vor allem nach zwei bis 24 Stunden wieder laufen. Dafür müssen allerdings die Lagerbestände und Versorgungsreichweiten entsprechend sichergestellt sein. Bei der Einstufung der Kritikalität können aber natürlich auch andere Faktoren eine Rolle spielen, etwa bei der Bewertung der Logistik-Performance: Sollten Arzneimittel z.B. mit einem 40-Tonner oder mit fünf Kleintransportern transportiert werden? Im zweiten Fall mögen die Kosten- und Umweltbilanz schlechter ausfallen, dafür sinkt das Risiko verkehrsbedingter Verzögerungen und Ausfälle.

Vom Know-how der Pharmawelt profitieren

In der Anwendung im Alltag sollten BCM-Verantwortliche in der Pharmaindustrie einen brancheneigenen Vorteil nutzen: sie sind in der Regel mit vergleichbaren Risikomanagementprozessen aus der GxP-Welt gut vertraut. Viele Unternehmen haben z.B. im Zuge der Computersystem-Validierung bereits wertvolle Erfahrungen bei der Risikodefinition und -bewertung gemacht und dies dokumentiert – und damit die oben genannte Systematik im Prinzip schon einmal angewendet.

"Die GxP-Welt liefert wertvolle Vorgehensmuster für das Business Continuity Management."

So gibt z.B. der EU-GMP-Guide (Annex 11, Kapitel 16) vor: wenn computergestützte Systeme kritische Prozesse unterstützen, sind für das Szenario eines Systemausfalls Vorkehrungen zur Sicherstellung einer fortlaufenden Prozessunterstützung zu treffen – etwa durch ein manuelles oder alternatives System. Der erforderliche Zeitaufwand zur Inbetriebnahme dieser alternativen Verfahren ist dabei jeweils für ein bestimmtes System und die unterstützten Prozesse risikoabhängig festzulegen, die Verfahren sind angemessen zu dokumentieren und zu testen. Diese Erfahrungswerte und Ergebnisse sollte man über die technologische Dimension hinaus auf die Bereiche Gebäude, Ausrüstung, Personal, Zulieferer übertragen, um somit zu einer allumfassenden Methodik für das Business Continuity Management zu gelangen.

*Abkürzungen:

ISO: International Organization for Standardization

BSI: Bundesamt für Sicherheit in der Informationstechnik