Vom schwierigen Verhältnis zwischen Business Continuity Management und Organizational Resilience

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Die Wogen haben sich mittlerweile etwas geglättet und wir machen immer noch Buisness Impact Analysen und schreiben Notfallpläne. Ob uns diese mühevollen Aktivitäten jedoch der Vision “Organizational Resilience” näher bringen und Business Continuity Manager gar die richtigen Personen hierfür sind, dies ist noch nicht so richtig geklärt. Immerhin gibt es für beide – oder die eine? – Disziplin zwei Standards: ISO 22301 für Business Continuity und  den draft ISO 22316 für Organizational Resilience. Das Business Continuity Institute BCI (genauer: Tim Janes Hon vom BCI Board)  hat sich jetzt die Mühe gemacht, in einem Statement das Verhältnis zwischen BCM und Organizational Resilience zu klären. In sechs Punkten geht er auf die Terminologie-Debatte ein. Punkt 1: “Business continuity is not the same as organizational resilience”. BCM ist nur ein (wesentlicher?) Bestandteil, um Organizational Resilience zu erlangen, ist doch ein Zusammenwirken vieler Management-Disziplinen hierfür erforderlich.David Honour, Herausgeber von Continuity Central, hat in seinem Beitrag nun die sechs Punkte des BCI kritisch gewürdigt.

Für mich ist diese Diskussion wiederum ein deutliches Zeichen der Positionierungssuche der jungen Disziplin Business Continuity Management. Die Methoden und Verfahren sind mittlerweile etabliert, doch die Verankerung im Management mag nicht so recht gelingen. BCM ist für das Management nicht sexy, zu technokratisch und der Return on Invest nicht nachvollziehbar. Organizational Resilience vermag diese Lücke zu schließen und einen Stellenwert wie das Qualitätsmanagement in Unternehmen bekommen. Damit das BCM hierbei nicht untergeht muss sich die Disziplin weiterentwickeln. Vom “technokratischen Business Impact Monster” zur effizienten und effektiven Managementdisziplin mit “Quick wins”, wie wir Berater dies gerne nennen. Und diese liegen in einer schnellen Reaktionsfähigkeit auf aktuelle Bedrohungen, wozu insbesondere neben den klassischen BCM-Bedrohungsszenarien auch Cyber Attacken und Repuationsrisiken gehören. Diese Handlungsfähigkeit lässt sich nicht im BCM-Silo erreichen. Viele verschiedene Disziplinen müssen zusammenwirken. Informationssicherheitsmanagement, ITSCM und IT DR, Krisenmanagement, Krisenkommunikation, physische Sicherheit und personelle Sicherheit sowie Risikomanagement gehören zu diesen Disziplinen genau so wie das Social Media Management. Nur im Zusammenwirken dieser Disziplinen wird Organizational Resilience gelingen. Und damit gebe ich dem Statement des BCI vollkommen recht. Doch was mir hierbei zu kurz kommt: die BCM Disziplin muss sich für diesen Schritt fit machen und in die nächste Evolutionsstufe begeben sowie die Schnittstellen zu den anderen Disziplinen aktiv aufbauen. Dabei muss die BCM-Methodik agil und auch für kleine und mittelständische Unternehmen einfach anwendbar gemacht werden. Alleine die bestehende widersprüchliche und komplizierte BCM-Begriffswelt macht dies zur Herausforderung. Ich plädiere für ein interdiziplinäres agiles BCM 2.0 mit definierten offenen Schnittstellen. Dann kommt auch die Akzeptanz im Management und bei den anderen Disziplinen von alleine.

Wir können dieses Thema sehr gerne im BCM-Forum “die Zukunft des BCM” weiter diskutieren und ich freue mich über jeden Mitstreiter und konstruktiven Kritiker.