Menü

Krisensicher durch Business Continuity Management

Business Continuity Management

Die aktuelle Corona-Lage zeigt es noch einmal deutlich: Krisen können für Unternehmen schnell existenzbedrohend sein. Moderne Geschäftsprozesse werden unter anderem durch Outsourcing, Outtasking und die Globalisierung immer komplexer und damit anfälliger für Störungen. Es ist wichtig, eine Fortsetzung dieser Prozesse nach temporärer Nichtverfügbarkeit von Ressourcen abzusichern oder deren zügige Wiederaufnahme nach einem derartigen Ereignis zu gewährleisten. Die Auslöser für Ausfälle sind vielfältig. Dazu gehören beispielsweise Stromausfälle, Brände, Naturkatastrophen und Pandemien. Das Business Continuity Management ist ein Ansatz, der hier zum Tragen kommen kann.

Was ist Business Continuity Management (BCM)?

Notfälle kommen meist ohne Vorwarnung. Dabei ist es entscheidend, auf den Ernstfall vorbereitet zu sein. Kurzfristige Schadensbegrenzungsmaßnahmen bringen dagegen deutlich weniger. Das Business Continuity Management (dt.: Betriebliches Kontinuitätsmanagement) setzt genau hier an. Zu den Kernfunktionen gehören die Risikofrüherkennung, die Identifizierung von Schadenspotenzialen und die Umsetzung von Maßnahmen, die beispielsweise die Erholung nach Betriebsunterbrechungen erleichtern.

In seinen Grundzügen ist das BCM an den beispielsweise aus dem Qualitätsmanagement bekannten PDCA-Zyklus angelehnt. Besonders wichtig sind daher die Bereiche Planung, Prüfung, Training sowie die ständige Verbesserung der ablaufenden Prozesse. Das BCM ist keine Alternative zum Risikomanagement. Vielmehr sollte es als ergänzende Vorkehrung betrachtet werden.

Bereits im Vorfeld gilt es, die strategischen Vorgehensweisen für den Ernstfall zu definieren. Für die organisatorischen Maßnahmen stützt man sich nicht nur auf empirische Daten, um diversen Szenarien entgegentreten zu können. Vielmehr berücksichtigt man insbesondere unternehmensspezifische Informationen, da es eine Notfallplanung „von der Stange“ nicht gibt, beziehungsweise diese auch nicht zielführend wäre. Einen Vorteil bringt das auch für die Mitarbeiter: Trotz der krisenbedingten und in der Regel stressigen Umstände können sie dennoch gezielt und strukturiert arbeiten. Außerdem werden die unvermeidbar entstehenden Auswirkungen im Krisenfall minimiert. Dies lässt sich wiederum als Argument in Verhandlungen mit Zulieferern, Dienstleistern oder anderen Parteien einbringen und stärkt deren Vertrauen in das Unternehmen.

Grundlagen des BCM: BIA und Risikoanalyse

Grundlage für das Business Continuity Management ist ISO 22301. Dort sind die Anforderungen an ein BCM formuliert. Außerdem hilft ISO 22313 bei der Implementierung eines BCM. Bereits vorhandene Managementsysteme, beispielsweise nach ISO 9001, erleichtern dies noch einmal. Unabhängig von ihrer Größe und der Branche, in der sie operieren, können Unternehmen mithilfe des BCM die Auswirkungen für kritische Geschäftsprozesse und Ressourcen minimieren. Soll ein Business Continuity Managementsystem eingeführt werden, müssen eingangs zwei Untersuchungen stattfinden: Die Business Impact Analyse (BIA) und die Risikoanalyse. Die BIA eruiert, welche Geschäftsprozesse essenziell für das Fortbestehen des Geschäftsbetriebs sind. Sie ermittelt darüber hinaus, welche finanziellen und immateriellen Auswirkungen sich auf der Zeitschiene (Dauer des Ausfalls) ergeben, falls diese ausfallen sollten. Aufgrund ihrer Relevanz müssen diese Prozesse besonders abgesichert werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt beispielhaft acht Schritte, in die man eine BIA untergliedern kann:

  • Stammdaten und Geschäftsprozesse werden gesammelt.
  • Essentielle Einheiten und Prozesse werden deklariert.
  • Materielle, finanzielle, immaterielle und zeitliche Auswirkungen eines Prozessausfalls werden analysiert.
  • Die maximal tolerierbare Ausfallzeit, Wiederanlaufzeit und das Wiederanlauf-Niveau für jeden Geschäftsprozess werden ermittelt.
  • Eine Feinabstimmung für die Wiederanlaufparameter der Prozesse unter Berücksichtigung von Abhängigkeiten wird durchgeführt („Prozesskettenanalyse“)
  • Geschäftsprozesse werden aufgrund ihrer Kritikalität und Priorisierung geordnet.
  • Die benötigten Ressourcen für kritische Geschäftsprozesse werden für Normal- und Notbetrieb erhoben.
  • Die Wiederanlauf- und Wiederherstellungszeiten für die benötigten Ressourcen werden ermittelt.

Eine Risikoanalyse dient dem Zweck, die Ursachen zu finden, die eine Unterbrechung von Geschäftsprozessen verursachen können, und die damit verbundenen Risiken zu bewerten.

Klassischerweise läuft eine Risikoanalyse folgendermaßen ab: Gefährdungen, die für die Institution, den Prozess oder die Ressource relevant sind, werden identifiziert und einer Risikobewertung unterzogen. Die Auswirkungen eines Schadens die eventuell auftreten können und deren Eintrittswahrscheinlichkeit sind dabei ausschlaggebende Variablen, anhand derer die Risiken bewertet werden. Das Einschätzen der Risikowahrscheinlichkeit ist subjektiv, da meist keine empirischen Daten vorliegen. Das Miteinbeziehen von vergangenen Ereignissen ist nur bedingt sinnvoll, da sich Rahmenbedingungen kontinuierlich ändern.

Bei aller Vorsicht ist es dennoch unmöglich, alle möglicherweise auftretenden Risiken zu identifizieren. Davon sollte also abgesehen werden. Effizienter ist es, sich bei der Analyse auf eine realistische Menge an Risiken zu fokussieren.

Empfehlenswert ist es weiterhin, sich diesbezüglich mit dem internen Risikomanagement als auch mit korrespondierenden Managementsystemen (beispielsweise QM, ISMS) abzustimmen.

6 Tipps zur Einführung eines Business Continuity Managements

Die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS) empfiehlt, sechs Schritte vor dem Einführen eines BCMs zu befolgen:

  1. Am Anfang stehen eine umfassende Analyse aller wesentlichen Risiken und Geschäftsprozesse mittels einer BIA (Business Impact Analyse) sowie eine individuelle Risikobewertung (Risk Assessment).
  2. Eine implementierte BCM-Organisation mit klar definierten und bekannten Aufgaben, Rollen, Verantwortlichkeiten.
  3. Umfassende Notfallpläne, die erkannte Risiken abdecken.
  4. Test- und Übungspläne und deren laufende praktische Durchführung unter Einbeziehung der wesentlichen internen und externen Partner in den Geschäftsprozessen.
  5. Konsequente Aktualisierung und Weiterentwicklung des Business Continuity Managements auf Basis der erhaltenen Ergebnisse.
  6. Die Nutzung der bewährten ISO-Norm für ein Business Continuity Management, um einen umfassenden, ganzheitlichen Managementansatz im Fokus zu haben.

Krisen können vielfältig sein und lassen sich im Vorfeld nie in vollem Umfang absehen und einkalkulieren. Dies zeigt sich gerade auch in der aktuellen Corona-Pandemie. Dennoch kann die Identifikation kritischer Geschäftsprozesse und wesentlicher Risiken sowie die Erstellung und Pflege von Notfallplänen einen entscheidenden Beitrag für die Existenzsicherung von Organisationen leisten. Erfolgt die Umsetzung im Rahmen eines systematischen, normenbasierten BCM, erhöht sich die Chance, gut durch die Krise zu kommen, deutlich.

EFQM Modell 2020

E-Training Business Continuity Management – Einstieg und Umsetzung
Im E-Training erhalten Sie einen grundlegenden und praxisorientierten Einblick in die verschiedenen Handlungsfelder des BCM.

Mehr Details