nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
Recht / Normen - Business Continuity Management

Business Continuity Management (BCM)

Wie sich Unternehmen für Krisen wappnen

Beim BCMS geht es um das systemische, proaktive Vorgehen mit dem Ziel wertschöpfende Geschäftsprozesse im Krisenfall aufrechtzuerhalten.

Risikomanagement im BCMS

Das Risikomanagement ist grundsätzlich eine systematische Methodologie, die Wahrscheinlichkeit des Verlustes gewünschter Zustände ermittelt. Ein Risiko ist ein potenzielles Problem.

Das betriebliche Risikomanagement bewegt sich auf den unterschiedlichsten Ebenen und Sparten der Organisation. Ein gutes Risikomanagement betrachtet die Organisation nicht nur als Ganzes sondern zerlegt sie in einzelne Objekte oder Objektgruppen und bewertet deren Risiken. Da die Objekte der Organisation nützlich sind bezeichnet man sie auch als Assets. Dabei unterscheidet man zwischen primären und unterstützenden (supporting) Assets.

Die primären Assets sind organisationsindividuell, es sind die Kerngeschäftsprozesse und deren benötigte Informationen. Es ist das Organisationswissen und wird demnach in jeder Organisation unterschiedlich bewertet. Bei der Bewertung spielen neben eigenen Interessen insbesondere die sogenannten interessierten Parteien wie Kunden, Mitarbeiter, Sponsoren, Gesetzgeber usw. eine wichtige Rolle.

Betrieben wird die Organisation von den unterstützenden Assets wie Personal, Organisationseinheiten, Gebäudeinfrastruktur, Software, Hardware, technische Netze und sonstige Objekten.
Primäre und unterstützende Assets gehören zusammen, der Einsatz der unterstützenden Assets ergibt sich in der Regel aus der Bewertung der primären Kernprozesse und deren Informationen.

Was braucht die Organisation, um das Kerngeschäft aufrechtzuerhalten? Aus der Beantwortung dieser Frage ergibt sich die Wertigkeit der Prozesse. Es gibt die unterschiedlichsten Methoden zur Bestimmung der Wertigkeit, letztendlich dienen alle dazu, die „wertvollsten“ Assets zu bestimmen. Der Ausfall eines Assets, der der Organisation am meisten schadet, hat heuristisch gesehen den höchsten Wert.

Im zweiten Schritt ist zu untersuchen, wie hoch die Frequenz eines möglichen Ausfalls eines Assets ist. Auf diese Weise kommt man, je nach Gruppierung der Assets, zu einer sehr umfangreichen Menge von Szenarien. Bis hierher spricht man auch von Risiko Assessment.

Aktionen definieren

Bild 1. Sicherheit als „Werterhaltung“

Im nächsten Schritt erfolgt die sogenannte Risikobehandlung. In der Organisation werden Strategien entwickelt und umgesetzt. Sie sollen verhindern, dass die analysierten und bewerteten Szenarien eintreten.

Die Analyse, Bewertung, Behandlung, Monitoring und Review der Ergebnisse und ggf. anschließende Verbesserungen ist ein typischer Managementregelkreis, wie etwa den PDCA-Zyklus nach Deming. Die Risikoszenarien lassen sich in Risikoportfolios darstellen.

Bild 2. Steuerungsobjekte

In diesem Quadranten von Wert und Wahrscheinlichkeit ist das Tagesgeschäft mit Aktionen zur Aufrechterhaltung der „höchstwahrscheinlich“ extern und intern einwirkenden Einflüsse eingetragen (Bild 2). So wird es Test- oder systematische Wartungsaktionen geben, die permanent das allgemeine Tagesgeschäft gewährleisten. Andere Dinge werden aufgrund des hohen Risikos nicht umgesetzt oder einem Spezialisten übergeben. Durch die eingeleiteten Aktionen wird das Risiko tragbar. Mit Hilfe der Aktionen werden die Szenarien unter den Grenzwert (Linie) gebracht werden.
Was ist aber mit den unwahrscheinlichen, hoch schädlichen Ereignissen? Insbesondere mit diesen Risikoszenarien zum Kerngeschäft beschäftigt sich das BCMS. Diese Szenarien sind in der Regel unwahrscheinlich und lösen einen erheblichen Schaden für die Organisation aus.

BCMS-Szenarien als Teil des Risikomanagements

Im Gegensatz zum „normalen Risikomanagement“, das permanente risikoreduzierende Aktionen benötigt, ist der Teil des BCM-Risikomanagements überwiegend mit Planung und Testen potenziell ausfallender Assets beschäftigt, die bei einem Ausfall einen erheblichen Schaden für die Organisation verursachen würden.

Im Rahmen des BCMS-Risikomanagements wird in der Regel nur der Ausfall einzelner Assets oder Subsysteme der Organisation geplant oder getestet. Aufgrund der hohen Komplexität aller potenziellen Risikoszenarien ist eine flächendeckende Bearbeitung kaum möglich. Auch die proaktive Umsetzung von gegenwirkenden Aktionen wird in der Regel das Budget einer jeden Organisation sprengen. Permanent gegenwirkende Aktionen sind nicht möglich.

Sollte aber ein BCM-Fall eintreffen, ist die BCM-Organisation in der Lage, mit Hilfe der „Planspiele“, der Erkenntnisse des normalen Incident Management und einer hoffentlich exzellent vorbereiteten Organisation dem Impact zu begegnen, die betroffenen Personen zu retten, den aufgetretenen Schaden schnellstmöglich zu stoppen, Notlösungen für den Betrieb der kritischen Geschäftsprozesse zu implementieren und mittelfristig den Geschäftszweig bzw. das Geschäft in alter Qualität herzustellen.


Inhaltsverzeichnis

Thomas Sterzenbach

Informationen zum Beitrag

Thomas Sterzenbach
Fachleiter Informationsmanagement
(IT related Certifications)
TÜV NORD CERT GmbH
Langemarckstr. 20
45141 Essen

Weiterführende Information
DIN EN ISO 9001:2015

Zum ISO 9001:2015 Special

Prozesswelt

Serie zum Thema Prozesse, veröffentlicht von QM-Experten deutscher Unternehmen gemeinsam mit der N5 GmbH und der Fachzeitschrift QZ

Zur Prozesswelt