Kategorie: Sicherheitsmanagement

16 Jan 2018

Was ist ein Business Continuity Management?

Es gibt viele und sehr elaborierte Erklärungsansätze für das, was ein Business Continuity Management (BCM) ist und warum ein Unternehmen sich ein solches leisten sollte.

Aber sind wir mal ehrlich, im Grunde ist es ganz einfach und kann auf eine Formel gebracht werden:

Ein BCM ist ein Managementsystem, das Unternehmen dabei hilft die, Geschäftstätigkeit auch im Angesicht von Notfällen und Krisen – wenngleich leistungsgemindert – aufrechtzuerhalten. Somit trägt ein BCM direkt zur Wertschöpfung bei.

Die Notwendigkeit eines BCM ergibt sich aus der Tatsache, dass die Geschäftstätigkeit – und damit die Wertschöpfung – ständig durch interne und externe Faktoren negativ beeinflusst wird.
Von Letzteren gibt es viele! Seien es Gesetzesverschärfungen – Datenschutz gem. DS-GVO ist für 2018 nur das prominenteste Beispiel -, Naturgewalten, dolose Handlungen, Marken- und Produktpiraterie, Spionage.

All diese Faktoren gilt es im Blick zu haben und geeignete Vorkehrungen zu treffen, damit Ihre Wertschöpfung nicht bzw. nicht nachhaltig gestört wird.

Business Continuity, aber wie?

Aber wie soll das konkret funktionieren, fragen Sie sich jetzt? Vielleicht denken Sie auch, dass ist ja gar nicht möglich. Ich kann mich doch gar nicht gegen alles schützen! Was kostet denn das? Außerdem muss ich doch Risiken eingehen, ansonsten verdiene ich kein Geld! Ich kann mich doch nicht in einer Festung verschanzen! Betreffen mich die Risiken überhaupt? Bisher ist doch noch nie was passiert.

Sie haben natürlich vollkommen Recht damit, dass Sie Risiken eingehen müssen und sich nicht verschanzen können, wenn Sie erfolgreich sein wollen. Aber so ganz ohne Plan B, also wie ein Förster – so eine militärische Weisheit – auf das Gefechtsfeld gehen, sollte man auch nicht gleich, oder?

Schlau wäre es einen Mittelweg zwischen Verschanzen und Schutzlosigkeit zu wählen und sich zu fragen:

Wie schaffe ich es erfolgreich zu sein, notwendige Risiken einzugehen und mich trotzdem angemessen zu schützen?

Bei der Beantwortung dieser Frage kann Ihnen ein BCM behilflich sein. Einem BCM liegt ein ganzheitlicher und integrativer Ansatz zugrunde.
Der BCM-Scope umfasst sämtliche Themen, die zu einem Erliegen der Geschäftstätigkeit führen können.
Am deutlichsten wird dieser Ansatz in der sogenannten ÖNORM (Österreichischer BCM-Standard) ausgeführt. Dort wird das BCM als Business Continuity und Corporate Security Management apostrophiert. Denn im Grunde geht es beim BCM ja darum, einen Zustand der Sicherheit für das Unternehmen zu erreichen.

Letztendlich und nicht zuletzt aufgrund dessen, ist ein BCM also mehr als nur eine reine Blaulicht-Organisation (reaktive Notfallmanagement), nämlich ein Integratives Sicherheitsmanagementsystem (Vgl. hierzu: https://www.osyscon.de/category/sicherheitsmanagement/).

Der Umfang und die inhaltliche Ausgestaltung sowie die Integration vorhandener Sicherheitsdisziplinen richtet sich nach Ihrer Geschäftstätigkeit und Branche sowie Ihres Risikoappetits.

BCM-Methode

Da ein BCM zum Ziel hat, Ihre Unternehmung kontinuierlich abzusichern, können Sie ein BCM auch nicht kaufen! Ein BCMS muss im Unternehmen Implementiert und die Methoden und Verfahren etabliert und kontinuierlich aktualisiert, angepasst und weiterentwickelt werden. Kurzum: ein BCM muss im Unternehmen gelebt werden. Dieser Prozess wird als BCM-Lebenszyklus oder BCM-Regelkreis bezeichnet.

Dieser unterteilt sich in sechs Arbeitspakete bzw. -schritte:

  1. Unternehmensweite BCM-Zieldefinition
  2. Analyse der Geschäftstätigkeit: also die Ermittlung (zeit-)kritischer Geschäftsprozesse anhand eines einheitlichen Bewertungsmaßstab inklusive benötigter Ressourcen (Business Impact Analyse) und die Risikoanalyse (RIA)
  3. Entwicklung von Kontinuitätsstrategien: Entwicklung und Festlegung spezifischer Strategieoptionen und konkreter Maßnahmen bzgl. relevanter Ausfallszenarien
  4. Entwicklung und Implementierung von Notfallplänen: Geschäftsfortführungspläne, Wiederherstellungspläne, Wiederanlaufpläne; Notfall- und Krisenstab (Aufbau- und Ablauforganisation inkl. Rollen & Verantwortlichkeiten)
  5. Überprüfung und Validierung des BCMS: Koordinierte Durchführung von Übungen, Tests, Audits und Reviews (intern/extern) sowie Self-Assessments (Vgl. u.a: http://notfall-uebungen.de)
  6. Etablierung des BCMS als Kernbestandteil der Unternehmenskultur: Schaffung von Motivation und Awareness sowie Sensibilisierung von Führungskräften und Mitarbeiter , aber auch von Geschäftspartnern und externen Dienstleistern

BCM in der Praxis – Anspruch und Wirklichkeit

Jetzt werden Sie sich vielleicht fragen, wenn ich die oben genannten Aktivitäten alle durchführe, und das nicht nur einmal, sondern ständig, was hat das mit Angemessenheit zu tun? Das produziert doch nur Kosten und ist sowieso nur ein Bürokratischer-Tiger!

Auch hier muss ich Ihnen – leider – insofern recht geben als die Gefahr, dass der Bürokratische-Tiger oft sogar noch ein zahnloser ist und nur Geld verschlingt, tatsächlich gegeben ist. Das hat aber ursächlich nichts mit dem BCM an sich zu tun, sondern mit dessen Umsetzung.

In der Praxis kommt allzuoft die Planungsphase zu kurz. Das führt im schlimmsten Fall dazu, dass Aktivitäten redundant durchgeführt, Synergien nicht genutzt, der Arbeitsschutz oder vorbeugende Brandschutz nicht integriert werden; die obligatorische Dokumentenprüfung unvollständig ist, der Betriebsrat, der Datenschützer, die IT und andere relevante Stakeholder nicht integriert wurden; last but not least aber auch daran, dass unrealistische Ziele gesteckt wurden.

Die Folgerung kann also nicht sein, dass ein BCM nur Kosten und Papier produziert und deshalb Unsinn ist, sondern dass bei der Entscheidung für ein BCM der Schwerpunkt auf der Planungsphase liegen muss.
Jede sinnvolle Planung ist mit Fakten untermauert, diese gilt es als erstes zu ermitteln. Was habe ich schon, was machen wir bereits wie in Punkto Sicherheit, wer ist dafür verantwortlich, warum machen wir das eigentlich und wozu etc.

Nur auf Basis einer ordentlichen Lagefeststellung können Sie auch eine angemessene und relevante Lagebeurteilung durchführen, die strategische Ausrichtung des BCMS bestimmen und schließlich konzertiert, koordiniert und planvoll in den BCM-Lebenszyklus einsteigen.

Dann werden Sie auch merken, dass ein BCM kein zahnloser Bürokratie-Tiger zu sein braucht und Ihr eingesetztes Personal nicht durch sinnloses Laufen im Hamsterrad die Kostenspirale nach oben treibt, sondern seine Arbeitskraft sinnvoll in Ihren BCM-Lebenszyklus investiert und dadurch kontinuierlich Ihre Geschäftstätigkeit sichert und somit einen Beitrag zur Wertschöpfung leistet.

Was wir für Sie tun können?

Wenn Sie Fragen haben oder eine Beratung in Anspruch nehmen wollen, dann kontaktieren Sie uns.

Unsere Berater sind Spezialisten für Sicherheitsmanagement und blicken auf langjährige Erfahrungen in der militärischen Sicherheit und der aktiven Arbeit in entsprechenden Sicherheitsorganisationen sowie der Unternehmensberatung über Branchengrenzen hinaus auf strategischer, taktischer und operativer Ebene.

08 Jan 2018

Sicherheitsmanagement

Was ist Sicherheitsmanagement?

Wer sich mit dem Thema Sicherheitsmanagement auseinandersetzt stellt schnell fest, dass es offensichtlich unterschiedliche Sicherheiten in einem Unternehmen gibt: das IT-Sicherheitsmanagement, das Informationssicherheitsmanagement, die physische Sicherheit, die Arbeitssicherheit, die Standortsicherheit, die Rechtssicherheit und funktional betrachtet kommen weitere hinzu wie das Risikomanagement, das Notfall- und Krisenmanagement, das Business Continuity Management (BCM), das Datenschutzmanagement und im weitesten Sinn auch das Qualitätsmanagement, es sichert schließlich die Qualität der Produkte oder der Dienstleistung.

Aber sind das wirklich verschiedene Sicherheiten? Was ist Sicherheit überhaupt und wozu brauche ich ein Sicherheitsmanagement?

Sicherheit ist definiert als ein Zustand, der frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird. Der Begriff geht zurück auf das lateinische Wort securitas bzw. securus, das soviel bedeutet wie: sorglos . Es setzt sich zusammen aus sed “ohne“ und cura (Für-)Sorge.

Management stammt ebenfalls aus dem Lateinischen und ist eine Komposition aus dem Wort manus „Hand“ und agere „führen“: „an der Hand führen“ also. Es umfasst jede zielgerichtete und nach ökonomischen Prinzipien ausgerichtete menschliche Handlungsweise der Leitung.

Qua Definition gibt es also keine verschiedenen Sicherheiten im Unternehmen, sondern nur eine Sicherheit. Diese ist ein Zustand, der entweder frei von unvertretbaren Risiken ist oder als gefahrenfrei betrachtet wird; ein Zustand, den es durch zielgerichtete und an ökonomischen Prinzipien ausgerichtete Handlungen herzustellen bzw. kontinuierlich aufrechtzuerhalten gilt.

Sicherheit aus einer Hand

Betrachten wir die Auflistung der unterschiedlichen Sicherheiten bzw. der verschiedenen Sicherheitsmanagementsysteme, die eingangs aufgezählt wurden, so kann konstatiert werden, das Unternehmen mit unterschiedlichen Managementsystem daran arbeiten, einen Zustand von Sicherheit herzustellen respektive aufrechtzuerhalten.

All zu oft kommt es dabei vor, dass sich abgeschottete Silos in Unternehmen herausbilden oder herausgebildet haben, in den grundsätzlich gleiche und/oder ähnliche Tätigkeiten mit derselben Zielsetzung durchgeführt werden. Aufgrund unterschiedliche Bewertungsmaßstäbe, die in den unterschiedlichen Managementsystemen angewendet werden, erhält die Unternehmensleitung oft divergierende Ergebnisse. Am Ende des Tages ist man also trotz viel Aufwand nicht schlauer als zuvor. Haben wir nun den erstrebten Zustand, nämlich Sicherheit, erreicht?

Beim Militär gibt es eine Führungs-Devise: Greife niemals mit gespreizten Fingern an, sondern mit der geballten Faust.

Auch wenn diese Devise im ersten Moment martialisch klingt, bedient sie sich eines prägnanten und passenden Bildes für die Situation im unternehmerischen Sicherheitsmanagement.

Die offene Hand mit ihren gespreizten Fingern steht für die einzelnen Sicherheitsmanagement-Disziplinen. Sie weisen an ihren Kuppen die maximale Entfernung zueinander auf, obwohl sie alle zur selben Hand gehören. In diesem Zustand spätestens verfehlt die Hand ihre Schutzfunktion. Ein schützender Schlag, ohne sich die Finger zu brechen, ist so, so gut wie unmöglich.

Zwar stehen bei der Faust auch die Finger für die einzelnen Sicherheitsmanagementsysteme, an deren Kuppen sich der jeweiligen Owner befindet. Im Gegensatz zur gespreizten Hand, verschmelzen die Finger funktional, unter Beibehaltung ihrer Prädestination, zur schützenden Faust, die nun aber jederzeit einen schützenden Schlag ausführen kann, ohne sich die Finger zu brechen. Sicherheit aus einer Hand also.

Integratives Sicherheitsmanagement

Der Gedanke, Sicherheit aus einer Hand, findet sich normativ bereits in wichtigen Standards des Sicherheitsmanagements, den sogenannten ISO Normen, die nach der High Level Struktur nach Annex SL aufgebaut sind.

Gemein ist ihnen, dass sie sich – legt man den P-D-C-A Zyklus zugrunde – konzeptionell nur in der DO-Phase (Betrieb) voneinander unterscheiden. Alle weiteren Phasen sind strukturell gleich aufgebaut.

Ein Sicherheitsmanagementsystem muss immer auf den Kontext des Unternehmens passgenau zugeschnitten werden, dazu wird das Kommitment des Vorstandes bzw. der Unternehmensleitung, eine zielorientierte Planung sowie ein angemessener Support benötigt (Plan).

Gerade heutzutage muss die Performance des Sicherheitsmanagementsystems kontinuierlich überwacht, gemessen und bewertet werden. Wenn man so will, einen Abgleich des SOLL-IST Zustandes (Check).

Schließlich muss das gemessene gap, also die Nichtkonformität, durch Korrekturmaßnahmen kontinuierlich verbessert werden (Act).

Ein Integratives Sicherheitsmanagementsystems greift diesen Gedanken der High Level Struktur auf. Statt mit gespreizten Fingern den Risiken zu begegnen, werden die Synergien in den Phasen Plan, Check und Act genutzt. Ein Verantwortlicher für das Thema Sicherheit wird inauguriert (Bsp. der Sicherheitsmanager oder der Risikomanager), dessen Aufgabe darin besteht,

  • den Zustand Sicherheit für das Unternehmen in Zusammenarbeit mit der Unternehmensleitung anhand der strategischen Ausrichtung zu definieren,
  • dessen Umsetzung zu planen und auszugestalten, die Sicherheitsdisziplinen mit angemessenen Ressourcen im ökonomischen Sinn zu unterstützen, um den Betrieb der Sicherheitsdisziplinen zu gewährleisten,
  • über die Umsetzung zu wachen, sie zu messen und zu bewerten
  • und last – but not least – den kontinuierliche Verbesserungsprozess zu initiieren und aufrechtzuerhalten.

Und was sind die Vorteil des Sicherheitsmanagements aus einer Hand?

Die Vorteile des Integrativen Sicherheitsmanagements aus einer Hand sind,

  1. dass alle Aktivitäten mit der Zielrichtung Sicherheit herzustellen und aufrechtzuerhalten unter einer Verantwortlichkeit gebündelt werden und das Management Review vereinheitlicht wird,
  2. dass alle Aktivitäten der Sicherheitsdisziplinen auf ein Ziel orientiert werden und einheitliche Bewertungsmaßstäbe für die Messung und Bewertung der Performance etabliert werden,
  3. dass Synergien genutzt und Redundanzen vermieden werden und dadurch Kosteneinsparungen realisiert werden können.

Haben wir Ihr Interesse geweckt? Dann vereinbaren Sie einen unverbindlichen Beratungstermin oder geben Sie uns Ihr Feedback auf: www.osyscon.de/blog/

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen