Business Continuity Management (gemäß ISO 22301), als Waffe gegen unvorhergesehene Umstände

/ Niederländisch / Von

Das Coronavirus hat Belgien und so ziemlich die ganze Welt im Griff. Dieser unerwartete und zunächst beispiellose Störfaktor hat das tägliche Leben von Menschen und Unternehmen drastisch erschüttert. Diese unsicheren und turbulenten Krisenzeiten bringen eine Vielzahl von Sorgen und Herausforderungen mit sich. Wir sind uns heute mehr denn je bewusst, dass wir für unvorhergesehene Umstände besser gerüstet sein müssen, um die Kontinuität unserer Geschäftsabläufe zu gewährleisten. Solche unerwarteten Situationen und Marktstörungen können in der Tat schwerwiegende Folgen für die Ergebnisse und den Ruf eines Unternehmens haben. Wie bei Covid-19 gibt es viele andere Bedrohungen, die unser Geschäft stören können, z. B. der Ausfall der IT-Infrastruktur aufgrund von Cyberangriffen, längere Stromausfälle, Terrorismus, längere Streiks, Überschwemmungen und so weiter.

Business Continuity Management umfasst einen proaktiven Ansatz, der es einer Organisation ermöglicht, sich auf potenzielle Vorfälle und Unterbrechungen ihrer Geschäftstätigkeit vorzubereiten und darauf zu reagieren. Ziel ist es, die Auswirkungen von Geschäftsunterbrechungen zu minimieren und die Kontinuität zu gewährleisten, um die Anforderungen von Kunden und anderen Beteiligten jederzeit auf einem akzeptablen Niveau zu erfüllen.

Für den strukturierten Aufbau und die Organisation des Business Continuity Management wurde von der ISO eine internationale Norm erstellt, nämlich ISO 22301:2019. Diese Norm enthält konkrete Anforderungen und ist daher zertifizierbar. Weltweit sind bereits mehrere tausend Zertifikate davon im Umlauf. Daraufhin wurde ein zusätzlicher Leitfaden (ISO 22313:2020) mit einigen Präzisierungen verfasst. Die ISO 22301 basiert auf der High Level Structure und hat damit das gleiche Format und Aussehen, wie wir es von ISO 9001 und ISO 14001 kennen. Mit anderen Worten: ein Plan-Do-Check-Act-Ansatz und ein identisches Format (Kontext, Führung, Planung, Unterstützung, Umsetzung, Bewertung und Verbesserung). Die spezifischen und wesentlichen Elemente sind im Kapitel über die Umsetzung enthalten (Kapitel 8 der Norm).

Diese lassen sich in einem Fünf-Stufen-Plan zusammenfassen:

Schritt 1 - Analyse der Auswirkungen auf das Geschäft

Es sollte eine Analyse der potenziellen qualitativen und quantitativen Auswirkungen vorgenommen werden, die ein bestimmtes Ereignis oder ein Zwischenfall auf eine Organisation haben kann. Dazu gehören die Auswirkungen auf die Finanzergebnisse und andere Geschäftsziele, die Auswirkungen auf den Ruf, der Einfluss auf den Betrieb und die Durchlaufzeiten sowie die Einhaltung rechtlicher und vertraglicher Anforderungen. Auf der Grundlage dieser Analyse lässt sich abschätzen, welche Produkte, Dienstleistungen, Prozesse und Funktionen kritisch und vorrangig sind, sowie die wichtigsten Abhängigkeiten (wie z. B. die vollständige Abhängigkeit von einem Lieferanten für einen kritischen Rohstoff). In dieser Analysephase werden auch die Zeitrahmen festgelegt, die eingehalten werden müssen. So wird beispielsweise die maximal tolerierbare Dauer der Unterbrechung (nach dieser Zeit sind die Auswirkungen nicht mehr hinnehmbar) und die notwendige Wiederherstellungszeit für die Wiederaufnahme des Betriebs festgelegt.

Schritt 2 - Risikobewertung

Zweck der Risikobewertung ist es, die Organisation in die Lage zu versetzen, ihre Risiken im Zusammenhang mit der möglichen Störung ihrer vorrangigen Tätigkeiten (wie in der Auswirkungsanalyse definiert) zu ermitteln, zu analysieren und zu bewerten.

Die Risikobewertung ist ein strukturierter Prozess, der darauf abzielt, einige grundlegende Fragen zu beantworten, wie z. B.:

  • Was könnte passieren?
  • Wie wahrscheinlich ist es, dass dies geschieht?
  • Was könnten die Folgen sein?
  • Gibt es etwas, das die Wahrscheinlichkeit des Auftretens verringern (präventiv) oder die Folgen abmildern (kurativ) könnte?

Schritt 3 - Festlegung der Kontinuitätsstrategie

Auf der Grundlage der beiden vorangegangenen Schritte sollte festgelegt werden, welche Strategien ausgewählt werden und welche Optionen vor, während und nach dem Zwischenfall oder Zwischenfall in Betracht gezogen werden sollen. Dazu gehören die Festlegung spezifischer Arbeitsmethoden, Verfahren, Back-up-Vereinbarungen, Vereinbarungen mit Dritten, Aufteilung oder Entdoppelung von Aktivitäten und Standorten, Wissensmanagement, Aufbau von Pufferbeständen, ...

Für jede der Strategien sollte festgelegt werden, welche Ressourcen sie erfordert (Menschen, finanzielle Ressourcen, IKT-Systeme, Partner, Material, ...). Die gewählten Methoden sollten implementiert und gepflegt werden, damit sie bei Bedarf aktiviert werden können.

Schritt 4 - Reagieren auf Vorfälle und Notfälle

Es sollte festgelegt werden, was geschehen soll, wenn ein Zwischenfall tatsächlich eintritt. Mit anderen Worten: Es sollten Pläne zur Aufrechterhaltung des Geschäftsbetriebs erstellt werden, in denen beschrieben wird, wie die Organisation auf die Umstände reagieren wird und welche Maßnahmen getroffen werden, um die Aufrechterhaltung des Geschäftsbetriebs zu gewährleisten.

Dazu gehört, was getan werden sollte, wie es getan werden sollte, wer was tut, wer darüber kommuniziert und mit welchen Beteiligten, ...

Schritt 5 - Organisation der Übungen und gegebenenfalls Anpassung

Es sollten Übungsprogramme erstellt und durchgeführt werden, um in regelmäßigen Abständen zu testen und zu validieren, ob die festgelegten Strategien und Pläne funktionieren und tatsächlich wirksam sind.

Und nicht zuletzt sollten die notwendigen Anpassungen vorgenommen werden, um sicherzustellen, dass das System und die zugehörigen Dokumente lebendig gehalten werden. Ein Business-Continuity-Plan, der sich nicht weiterentwickelt oder nicht ausreichend praktiziert wird, wird bald veraltet sein und kaum noch einen Mehrwert haben.

Wir sollten also besser vorbereitet sein, nur für den Fall, dass uns ein neuer Virus erwischt.

Autor: Joerdi Roels

Verwandte Beiträge