Merken Recht / Normen - Business Continuity Management

Business Continuity Management (BCM)

Wie sich Unternehmen für Krisen wappnen

Beim BCMS geht es um das systemische, proaktive Vorgehen mit dem Ziel wertschöpfende Geschäftsprozesse im Krisenfall aufrechtzuerhalten.

Risikomanagement im BCMS

Das Risikomanagement ist grundsätzlich eine systematische Methodologie, die Wahrscheinlichkeit des Verlustes gewünschter Zustände ermittelt. Ein Risiko ist ein potenzielles Problem.

Das betriebliche Risikomanagement bewegt sich auf den unterschiedlichsten Ebenen und Sparten der Organisation. Ein gutes Risikomanagement betrachtet die Organisation nicht nur als Ganzes sondern zerlegt sie in einzelne Objekte oder Objektgruppen und bewertet deren Risiken. Da die Objekte der Organisation nützlich sind bezeichnet man sie auch als Assets. Dabei unterscheidet man zwischen primären und unterstützenden (supporting) Assets.

Die primären Assets sind organisationsindividuell, es sind die Kerngeschäftsprozesse und deren benötigte Informationen. Es ist das Organisationswissen und wird demnach in jeder Organisation unterschiedlich bewertet. Bei der Bewertung spielen neben eigenen Interessen insbesondere die sogenannten interessierten Parteien wie Kunden, Mitarbeiter, Sponsoren, Gesetzgeber usw. eine wichtige Rolle.

Betrieben wird die Organisation von den unterstützenden Assets wie Personal, Organisationseinheiten, Gebäudeinfrastruktur, Software, Hardware, technische Netze und sonstige Objekten.
Primäre und unterstützende Assets gehören zusammen, der Einsatz der unterstützenden Assets ergibt sich in der Regel aus der Bewertung der primären Kernprozesse und deren Informationen.

Was braucht die Organisation, um das Kerngeschäft aufrechtzuerhalten? Aus der Beantwortung dieser Frage ergibt sich die Wertigkeit der Prozesse. Es gibt die unterschiedlichsten Methoden zur Bestimmung der Wertigkeit, letztendlich dienen alle dazu, die „wertvollsten“ Assets zu bestimmen. Der Ausfall eines Assets, der der Organisation am meisten schadet, hat heuristisch gesehen den höchsten Wert.

Im zweiten Schritt ist zu untersuchen, wie hoch die Frequenz eines möglichen Ausfalls eines Assets ist. Auf diese Weise kommt man, je nach Gruppierung der Assets, zu einer sehr umfangreichen Menge von Szenarien. Bis hierher spricht man auch von Risiko Assessment.

Aktionen definieren

Bild 1. Sicherheit als „Werterhaltung“

Im nächsten Schritt erfolgt die sogenannte Risikobehandlung. In der Organisation werden Strategien entwickelt und umgesetzt. Sie sollen verhindern, dass die analysierten und bewerteten Szenarien eintreten.

Die Analyse, Bewertung, Behandlung, Monitoring und Review der Ergebnisse und ggf. anschließende Verbesserungen ist ein typischer Managementregelkreis, wie etwa den PDCA-Zyklus nach Deming. Die Risikoszenarien lassen sich in Risikoportfolios darstellen.

Bild 2. Steuerungsobjekte

In diesem Quadranten von Wert und Wahrscheinlichkeit ist das Tagesgeschäft mit Aktionen zur Aufrechterhaltung der „höchstwahrscheinlich“ extern und intern einwirkenden Einflüsse eingetragen (Bild 2). So wird es Test- oder systematische Wartungsaktionen geben, die permanent das allgemeine Tagesgeschäft gewährleisten. Andere Dinge werden aufgrund des hohen Risikos nicht umgesetzt oder einem Spezialisten übergeben. Durch die eingeleiteten Aktionen wird das Risiko tragbar. Mit Hilfe der Aktionen werden die Szenarien unter den Grenzwert (Linie) gebracht werden.
Was ist aber mit den unwahrscheinlichen, hoch schädlichen Ereignissen? Insbesondere mit diesen Risikoszenarien zum Kerngeschäft beschäftigt sich das BCMS. Diese Szenarien sind in der Regel unwahrscheinlich und lösen einen erheblichen Schaden für die Organisation aus.

BCMS-Szenarien als Teil des Risikomanagements

Im Gegensatz zum „normalen Risikomanagement“, das permanente risikoreduzierende Aktionen benötigt, ist der Teil des BCM-Risikomanagements überwiegend mit Planung und Testen potenziell ausfallender Assets beschäftigt, die bei einem Ausfall einen erheblichen Schaden für die Organisation verursachen würden.

Im Rahmen des BCMS-Risikomanagements wird in der Regel nur der Ausfall einzelner Assets oder Subsysteme der Organisation geplant oder getestet. Aufgrund der hohen Komplexität aller potenziellen Risikoszenarien ist eine flächendeckende Bearbeitung kaum möglich. Auch die proaktive Umsetzung von gegenwirkenden Aktionen wird in der Regel das Budget einer jeden Organisation sprengen. Permanent gegenwirkende Aktionen sind nicht möglich.

Sollte aber ein BCM-Fall eintreffen, ist die BCM-Organisation in der Lage, mit Hilfe der „Planspiele“, der Erkenntnisse des normalen Incident Management und einer hoffentlich exzellent vorbereiteten Organisation dem Impact zu begegnen, die betroffenen Personen zu retten, den aufgetretenen Schaden schnellstmöglich zu stoppen, Notlösungen für den Betrieb der kritischen Geschäftsprozesse zu implementieren und mittelfristig den Geschäftszweig bzw. das Geschäft in alter Qualität herzustellen.

---

Inhaltsverzeichnis

• 1: Business Continuity Management (BCM)
• 2: Systematischer Ansatz eines BCM
• 3: BCM nach ISO 22301
• 4: Risiko Management und Business Continuity Management
• 5: Zusammenhang zu anderen ISO-Normen
• 6: Notwendigkeit eines BCMS in zertifizierten Unternehmen (ISO 9001, ISO 27001, ISO 31000)
• 7: Stolperfallen und Erfolgsfaktoren

Thomas Sterzenbach