Was ist ein Business Continuity Management?

Es gibt viele und sehr elaborierte Erklärungsansätze für das, was ein Business Continuity Management (BCM) ist und warum ein Unternehmen sich ein solches leisten sollte.

Aber sind wir mal ehrlich, im Grunde ist es ganz einfach und kann auf eine Formel gebracht werden:

Ein BCM ist ein Managementsystem, das Unternehmen dabei hilft die, Geschäftstätigkeit auch im Angesicht von Notfällen und Krisen – wenngleich leistungsgemindert – aufrechtzuerhalten. Somit trägt ein BCM direkt zur Wertschöpfung bei.

Die Notwendigkeit eines BCM ergibt sich aus der Tatsache, dass die Geschäftstätigkeit – und damit die Wertschöpfung – ständig durch interne und externe Faktoren negativ beeinflusst wird.
Von Letzteren gibt es viele! Seien es Gesetzesverschärfungen – Datenschutz gem. DS-GVO ist für 2018 nur das prominenteste Beispiel -, Naturgewalten, dolose Handlungen, Marken- und Produktpiraterie, Spionage.

All diese Faktoren gilt es im Blick zu haben und geeignete Vorkehrungen zu treffen, damit Ihre Wertschöpfung nicht bzw. nicht nachhaltig gestört wird.

Business Continuity, aber wie?

Aber wie soll das konkret funktionieren, fragen Sie sich jetzt? Vielleicht denken Sie auch, dass ist ja gar nicht möglich. Ich kann mich doch gar nicht gegen alles schützen! Was kostet denn das? Außerdem muss ich doch Risiken eingehen, ansonsten verdiene ich kein Geld! Ich kann mich doch nicht in einer Festung verschanzen! Betreffen mich die Risiken überhaupt? Bisher ist doch noch nie was passiert.

Sie haben natürlich vollkommen Recht damit, dass Sie Risiken eingehen müssen und sich nicht verschanzen können, wenn Sie erfolgreich sein wollen. Aber so ganz ohne Plan B, also wie ein Förster – so eine militärische Weisheit – auf das Gefechtsfeld gehen, sollte man auch nicht gleich, oder?

Schlau wäre es einen Mittelweg zwischen Verschanzen und Schutzlosigkeit zu wählen und sich zu fragen:

Wie schaffe ich es erfolgreich zu sein, notwendige Risiken einzugehen und mich trotzdem angemessen zu schützen?

Bei der Beantwortung dieser Frage kann Ihnen ein BCM behilflich sein. Einem BCM liegt ein ganzheitlicher und integrativer Ansatz zugrunde.
Der BCM-Scope umfasst sämtliche Themen, die zu einem Erliegen der Geschäftstätigkeit führen können.
Am deutlichsten wird dieser Ansatz in der sogenannten ÖNORM (Österreichischer BCM-Standard) ausgeführt. Dort wird das BCM als Business Continuity und Corporate Security Management apostrophiert. Denn im Grunde geht es beim BCM ja darum, einen Zustand der Sicherheit für das Unternehmen zu erreichen.

Letztendlich und nicht zuletzt aufgrund dessen, ist ein BCM also mehr als nur eine reine Blaulicht-Organisation (reaktive Notfallmanagement), nämlich ein Integratives Sicherheitsmanagementsystem (Vgl. hierzu: https://www.osyscon.de/category/sicherheitsmanagement/).

Der Umfang und die inhaltliche Ausgestaltung sowie die Integration vorhandener Sicherheitsdisziplinen richtet sich nach Ihrer Geschäftstätigkeit und Branche sowie Ihres Risikoappetits.

BCM-Methode

Da ein BCM zum Ziel hat, Ihre Unternehmung kontinuierlich abzusichern, können Sie ein BCM auch nicht kaufen! Ein BCMS muss im Unternehmen Implementiert und die Methoden und Verfahren etabliert und kontinuierlich aktualisiert, angepasst und weiterentwickelt werden. Kurzum: ein BCM muss im Unternehmen gelebt werden. Dieser Prozess wird als BCM-Lebenszyklus oder BCM-Regelkreis bezeichnet.

Dieser unterteilt sich in sechs Arbeitspakete bzw. -schritte:

  1. Unternehmensweite BCM-Zieldefinition
  2. Analyse der Geschäftstätigkeit: also die Ermittlung (zeit-)kritischer Geschäftsprozesse anhand eines einheitlichen Bewertungsmaßstab inklusive benötigter Ressourcen (Business Impact Analyse) und die Risikoanalyse (RIA)
  3. Entwicklung von Kontinuitätsstrategien: Entwicklung und Festlegung spezifischer Strategieoptionen und konkreter Maßnahmen bzgl. relevanter Ausfallszenarien
  4. Entwicklung und Implementierung von Notfallplänen: Geschäftsfortführungspläne, Wiederherstellungspläne, Wiederanlaufpläne; Notfall- und Krisenstab (Aufbau- und Ablauforganisation inkl. Rollen & Verantwortlichkeiten)
  5. Überprüfung und Validierung des BCMS: Koordinierte Durchführung von Übungen, Tests, Audits und Reviews (intern/extern) sowie Self-Assessments (Vgl. u.a: http://notfall-uebungen.de)
  6. Etablierung des BCMS als Kernbestandteil der Unternehmenskultur: Schaffung von Motivation und Awareness sowie Sensibilisierung von Führungskräften und Mitarbeiter , aber auch von Geschäftspartnern und externen Dienstleistern

BCM in der Praxis – Anspruch und Wirklichkeit

Jetzt werden Sie sich vielleicht fragen, wenn ich die oben genannten Aktivitäten alle durchführe, und das nicht nur einmal, sondern ständig, was hat das mit Angemessenheit zu tun? Das produziert doch nur Kosten und ist sowieso nur ein Bürokratischer-Tiger!

Auch hier muss ich Ihnen – leider – insofern recht geben als die Gefahr, dass der Bürokratische-Tiger oft sogar noch ein zahnloser ist und nur Geld verschlingt, tatsächlich gegeben ist. Das hat aber ursächlich nichts mit dem BCM an sich zu tun, sondern mit dessen Umsetzung.

In der Praxis kommt allzuoft die Planungsphase zu kurz. Das führt im schlimmsten Fall dazu, dass Aktivitäten redundant durchgeführt, Synergien nicht genutzt, der Arbeitsschutz oder vorbeugende Brandschutz nicht integriert werden; die obligatorische Dokumentenprüfung unvollständig ist, der Betriebsrat, der Datenschützer, die IT und andere relevante Stakeholder nicht integriert wurden; last but not least aber auch daran, dass unrealistische Ziele gesteckt wurden.

Die Folgerung kann also nicht sein, dass ein BCM nur Kosten und Papier produziert und deshalb Unsinn ist, sondern dass bei der Entscheidung für ein BCM der Schwerpunkt auf der Planungsphase liegen muss.
Jede sinnvolle Planung ist mit Fakten untermauert, diese gilt es als erstes zu ermitteln. Was habe ich schon, was machen wir bereits wie in Punkto Sicherheit, wer ist dafür verantwortlich, warum machen wir das eigentlich und wozu etc.

Nur auf Basis einer ordentlichen Lagefeststellung können Sie auch eine angemessene und relevante Lagebeurteilung durchführen, die strategische Ausrichtung des BCMS bestimmen und schließlich konzertiert, koordiniert und planvoll in den BCM-Lebenszyklus einsteigen.

Dann werden Sie auch merken, dass ein BCM kein zahnloser Bürokratie-Tiger zu sein braucht und Ihr eingesetztes Personal nicht durch sinnloses Laufen im Hamsterrad die Kostenspirale nach oben treibt, sondern seine Arbeitskraft sinnvoll in Ihren BCM-Lebenszyklus investiert und dadurch kontinuierlich Ihre Geschäftstätigkeit sichert und somit einen Beitrag zur Wertschöpfung leistet.

Was wir für Sie tun können?

Wenn Sie Fragen haben oder eine Beratung in Anspruch nehmen wollen, dann kontaktieren Sie uns.

Unsere Berater sind Spezialisten für Sicherheitsmanagement und blicken auf langjährige Erfahrungen in der militärischen Sicherheit und der aktiven Arbeit in entsprechenden Sicherheitsorganisationen sowie der Unternehmensberatung über Branchengrenzen hinaus auf strategischer, taktischer und operativer Ebene.

Stefan Lorenz ist der Geschäftsführer der OSYSCON GmbH und seit mehr als 5 Jahren im IT-Sicherheitsumfeld und dem IT-Service tätig.

Schreiben Sie einen Kommentar

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen