Business Continuity Management – Kontinuitätsmanagement für alle Situationen
Was ist Business Continuity Management?
Business Continuity Management, kurz BCM oder auf Deutsch “betriebliches Kontinuitätsmanagement”, ist ein ganzheitlicher Managementansatz.
Ziel ist es, sich auf mögliche Störungen, Risiken oder Krisen vorzubereiten und sicherzustellen, dass der Betriebsablauf gewährleistet werden kann. Es soll also die Widerstandsfähigkeit verbessert und gleichzeitig sichergestellt werden, dass Geschäftsprozesse auch unter widrigen Bedingungen fortgesetzt werden können.
Welche Vorteile bringt Business Continuity Management?
Privat, aber auch beruflich, sind wir jederzeit gewohnt, dass technische Geräte funktionieren. Aber schon wenn es einmal zu etwas Banalem wie einem kurzfristigen Strom- oder Internetausfall kommt, sind wir der Situation ausgeliefert.
Erst dann wird den meisten bewusst, wie verwundbar IT-Systeme und Prozesse wirklich sind und wie sie den Betriebsablauf massiv beeinflussen können. Dazu kommen weitere Risiken wie etwa Cyberattacken, menschliches Versagen oder äußere Einflüsse wie Naturkatastrophen. Business Continuity Management hilft, sich gegen solche unvorhergesehenen Risiken und Krisen zu wappnen. Die Vorteile haben wir hier zusammengefasst:
Risikominimierung:
BCM hilft Unternehmen potenzielle Risiken und Bedrohungen vorausschauend zu erkennen und bewerten und damit auch präventive Maßnahmen zu ergreifen.
Ausfälle und Umsatzeinbußen vermeiden:
Kommt es zu Störungen im Betriebsablauf und Unterbrechung von essenziellen Unternehmensprozessen, ist dies häufig mit Umsatz- oder Absatzeinbußen verbunden. BCM kann hier ebenfalls vorbeugen oder Ausfälle und deren Auswirkungen reduzieren.
Imageschäden vermeiden:
Kommt es zu Ausfällen Kund:innen und Lieferketten betreffend, kann auch das Image des Unternehmens Schaden nehmen – auch das sorgt für Umsatzeinbußen, die durch ein funktionierendes Business Continuity Management verhindert werden können.
Einhaltung regulatorischer Anforderungen:
Verschiedene Branchen verfügen über regulatorische Vorschriften, die BCM verpflichtend machen. Sind Unternehmen zur Geschäftskontinuität verpflichtet, können Bußgelder und ausbleibende Verträge sowie Aufträge vermieden werden.
Voraussetzungen für Marktteilnahme:
BCM ist in manchen Branchen, beispielsweise dem Finanzsektor, häufig eine Voraussetzung für die erfolgreiche Zusammenarbeit. Es hilft, das Vertrauen von potenziellen Partner:innen und Kund:innen in den eigenen Betrieb zu steigern.
Stressreduktion für Mitarbeitende:
Durch Schulungen, Prozesse und Pläne für Krisenfälle kann das Stressniveau für Mitarbeitende signifikant reduziert werden. Es steigert die Effizienz im Ernstfall und senkt gleichzeitig die emotionale Belastung für Einzelne.
BCM – die gesetzlichen Grundlagen und Regularien
Obwohl jedes Unternehmen von einem etablierten Business Continuity Management profitieren kann, sind einige mehr als andere dazu verpflichtet, sich mit dem Thema auseinanderzusetzen. Es gibt Normen und Zertifizierungen für BCM, die Anforderungen stellen und Prozesse vorgeben.
ISO 22301:
Die internationale Norm ISO 22301 ist eine Zertifizierung für das Business Continuity Management System (BCMS). Sie bildet einen theoretischen Rahmen und stellt Anforderungen an den gesamten Prozess. Ziel ist es, BCM und das dazugehörige System fest in der Organisationskultur zu verankern. Die ISO 22301 keine verpflichtende Zertifizierung, schafft aber einen Qualitätsstandard und zugleich Vertrauen bei Partner:innen und Kund:innen.
BSI-Standard 200-04:
Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat für Deutschland einen Standard für Business Continuity Management entwickelt. Konkret bietet der Standard 200-4 eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Organisation aufzubauen und zu etablieren. Es geht vor allem um die Schnittstellen von BCM und Informationssicherheit und Krisenmanagement, wie Cyberattacken und Sicherheitsvorfälle und auch Sicherheitsmaßnahmen zur Vorsorge. Der BSI Standard ist keine Zertifizierung und nicht verpflichtend, bietet aber einen Einstieg und Orientierung in der Thematik, als auch einen normativen Anforderungskatalog für fortgeschrittene Anwender:innen.
Branchenstandards:
In einigen Branchen (Finanzwesen, Gesundheit, Energieversorgung) oder für die Betreiber von kritischer Infrastruktur können eigene Vorschriften und Richtlinien gelten, die Unternehmen oder Organisationen dazu verpflichten Business Continuity Management zu implementieren. Auch einige Dienstleistungsverträge können Passagen zu BCM enthalten, die als Voraussetzung für eine Kooperation gewertet werden können.
Die Phasen im Business Continuity Management – der BCM Lifecycle
Der typische BCM-Prozess umfasst sechs Phasen: zwei Managementphasen und vier Umsetzungsphasen. Zusammen bilden sie ein zyklisches Modell. Dieser Lebenszyklus fördert einen durchgängigen und vorausschauenden Ansatz, um Resilienz aufzubauen und zu erhalten
Managementphase 1: Policy- und Programmmanagement
Im ersten Schritt der Managementphase muss ein BCM-Plan für das Unternehmen aufgestellt werden – berücksichtigt werden müssen zum einen rechtliche oder regulatorische Umstände, als auch die individuellen Anforderungen des Unternehmens. Die Policy sollte verständlich und möglichst kompakt gehalten sein und auch auf Punkte wie Ziele, Motivation und Verantwortlichkeiten klären. Sie gilt als Fundament des BCM, darauf entwickeln die BCM-Verantwortlichen eine ausgearbeitete Fassung mit Rahmenbedingungen, Prozess- und Aufgabenbeschreibungen, um die Umsetzung vorzubereiten.
Managementphase 2: Verankerung
Business Continuity Management kann nur erfolgreich sein, wenn es in den Unternehmensalltag erfolgreich integriert wird. Das bedeutet Teilhabe und Unterstützung durch alle Hierarchieebenen vom Management bis hin zum Praktikanten. Die zweite Managementphase dient dazu, den BCM-Lifecycle in das Geschäft zu verankern und Bewusstsein für Business Continuity Management zu erhöhen. Etwa durch Schulungen für Mitarbeitende, als auch die Vorbereitung von Prozessen und Checklisten. Ziel ist es, die Widerstandsfähigkeiten der Organisation zu erhöhen.
Umsetzungsphase 1: Business Impact Analyse und Risikobewertung
Die Analysephase ist eine der wichtigsten im BCM-Lebenszyklus. Alle Geschäftsprozesse werden auf potenzielle Risiken und Gefährdungen untersucht. Erfasst werden nicht nur interne Vorfälle wie technische Ausfälle oder menschliches Versagen, sondern auch äußere Einflüsse wie etwas Naturkatastrophen. Die Business Impact Analysis (BIA) bewertet die möglichen Auswirkungen dieser Risiken auf die Geschäftsprozesse. Die Ergebnisse werden dann genutzt, um Schwachstellen zu erkennen und zu beseitigen oder alternative Möglichkeiten für zu risikoreiche Ressourcen zu finden.
Umsetzungsphase 2: Design – Entwicklung von Notfallplänen
Basierend auf den Ergebnissen der BIA werden in der Designphase Lösungen für die kritischen und risikoreichen Situationen ermittelt. Gezeichnet werden verschiedene Schadenszenarien wie Gebäudevorfälle, Personalausfälle, IT-Ausfälle oder Unterbrechungen in der Lieferkette oder bei Dienstleistenden. Die möglichen Lösungen bestehen aus organisatorischen und technischen Maßnahmen, die proaktiv oder reaktiv eingesetzt werden, um den Schaden zu minimieren. Dazu gehören etwa Kommunikationsverfahren, die Klärung von Verantwortlichkeiten oder die Sicherung von Ressourcen. Am Ende werden Lösungsoptionen für mögliche Standorte zusammengefasst und mit Kosten-Nutzen-Analyse präsentiert.
Umsetzungsphase 3: Implementierung
Die Notfallpläne, oder auch Business Continuity Pläne (BCP), sollten jetzt zum Einsatz kommen. In der Implementierungsphase werden Maßnahmen zur Risikominderung umgesetzt. Abhängig von der Größe des Unternehmens gibt es einen gemeinsamen Plan oder verschiedene Pläne für Standorte oder Szenarien.
Die Pläne enthalten Informationen wie Priorisierungen, Verantwortlichkeiten, Prozesse und Ressourcen für den Umgang mit Risiken und auch Vorkehrungen für den Krisenfall mit Krisenstab und operativen Krisenteams.
Umsetzungsphase 4: Validierung
Die letzte Phase ist die Validierungsphase, bestehend aus drei Bereichen: Testen bzw. Üben, Pflege und Überprüfung.
Es muss sichergestellt werden, dass die Notfallpläne funktionieren und Mitarbeitende mit dem Vorgehen vertraut sind. Mögliche Tests umfassen die Simulation von Notfallszenarien oder auch funktionale Systemtests.
Die Pflege betrifft die regelmäßige Überprüfung und Aktualisierung der betreffenden Dokumente rund um Business Continuity Management.
Die Überprüfung dient hauptsächlich der Qualitätssicherung: durch Self-Assessments oder externe Audits und Zertifizierungen, Kontrollen durch BCM-Manager:innen, die Überprüfungen von Dienstleistenden oder Lieferanten und auch des Managements.
Die Zukunft des Business Continuity Management
Wir leben in einer Zeit, in der eine technische Revolution die nächste jagt. Künstliche Intelligenz, Cloud-Computing, die stetige Weiterentwicklung von Vernetzung und Digitalisierung, sozialen Medien und Industrie 4.0 bringen nicht nur Vorteile, sondern auch Risiken.
Die Zunahme von Cyberattacken, aber auch der Einsatz von moderner Technologie in Kriegsführung und Terrorismus führen zu erhöhten Risiken für die gesamte Gesellschaft und natürlich auch für Organisationen und Unternehmen.
Es ist daher auch zukünftig unbedingt zu empfehlen, sich mit Risikomanagement und IT-Sicherheit auseinanderzusetzen und sich gegen Risiken abzusichern. Ein funktionierendes Business Continuity Management hilft diese Risiken für das eigene Unternehmen zu erkennen und die Auswirkungen zu minimieren und sich auf verschiedene Eventualitäten vorzubereiten.