Was ist aus dem Hype-Thema “Resilience” geworden?

Es gab eine Zeit im BCM, da musste jede Veranstaltung und jeder Artikel das Wort “Resilience” im Titel tragen. Mittlerweile ist der Sturm im BCM-Wasserglas abgeebt und neue Säue wichtige BCM-Themen werden durch die BCM-Dörfer getrieben. Just in diesem Moment erscheint der Draft des neuen Standards für Organizational resilience: “BS 65000 Guidance on organizational resilience” von British Standards. Zu spät für den Hype? Ja, für den Hype schon, für die betriebliche Realität in den Organisationen mehr als rechtzeitig. Im Gegensatz zum stärker operativ ausgerichteten BCM-Standard ISO 22301 adressiert dieser Standard ganz eindeutig strategische und kulturelle Themenstellungen und damit das Top-Management. “This British Standard is intended for top management and seeks to describe organizational resilience, articulate its benefits, and describe what more resilient organizations do, what they have and what they are, before offering guidance on building a more resilient organization.”

Der Standard verschweigt nicht die Zielkonflikt zwischen Resilienz und den konkurrierenden betriebswirtschaftlichen Zielen wie Kostenoptimierung, Prozesseffizienz und -geschwindigkeit. Eine höhere Resilienz “capacity of an organization to anticipate, and respond and adapt to, incremental change and sudden shocks in order to survive and prosper” ist nicht ohne Aufwand und Kosten zu erreichen. Die Balance ist in einer Risikoabwägung durch das Management zu entscheiden, wobei es den Grad der absoluten Widerstandsfähigkeit nicht gibt. Die Belohnung für mehr Resilienz besteht aus einer höheren Anpassungsfähigkeit, einer besseren Wettbewerbsfähigkeit, höherer Effizienz und Effektivität, mehr Kohärenz sowie einer besseren Reputation der Organisation. Klingt wie Weihnachten, doch der Weg dorthin ist steinig und Resilienz liegt nicht mit einem Schleifchen verziert unterm Baum!

Das Thema Kohärenz (Zusammenarbeit / Zusammenhalt) macht dies in aller schonungslosen Klarheit deutlich:

“the protective disciplines that should be integrated should include, but not be limited to, the following:

  •  risk management;
  •  reputation management;
  •  horizon scanning;
  •  environmental management;
  •  health and safety;
  •  fraud control;
  •  business continuity;
  •  ICT continuity;
  •  information security;
  •  physical security;
  •  technical security (including cyber security);
  •  supply chain;
  •  financial control; and
  • quality management”.

Eine Aufzählung, die nicht vollständig ist und die Sie beliebig erweitern dürfen.

Hier könnte der Hund begraben liegen, warum mancher schmerzhaft die Augen geschlossen hat und sich vermeintlich gewinnbringenderen BCM-Themen mit mehr “quick wins” zugewandt hat. Schon die Zusammenarbeit zwischen einzelnen Disziplinen wie BCM und ITSCM oder BCM und Risikomanagement gleichen in der betrieblichen Realität einer Echternacher Springprozession (3 Schritte vor, zwei zurück), wenn überhaupt die Köpfe aus den vertrauten heimeligen Silos gesteckt werden.

Und doch gibt es Ansätze zur Hoffnung abseits der großen Schlagzeilen. Viele Unternehmen haben die Risiken in ihren Lieferketten erkannt und beginnen diese gezielt robuster auszugestalten. Die verheerende Flut in Thailand 2012, der Tsunami in Japan, die Brände in den Textilfabriken in Bangladesh sowie zahlreiche Rückrufe in der Automobilindustrie haben die Zerbrechlichkeit der Lieferketten demonstriert und die singuläre Ausrichtung auf das  Ziel der reinen Kostenoptimierung relativiert. BCM, Einkauf, Risikomanagement, Recht müssen mit den Lieferanten auf den verschiedenen Ebenen der Lieferkette hierzu Hand in Hand zusammenarbeiten, um mehr Robustheit in allen Stufen der Lieferkette unter wirtschaftlichen Gesichtspunkten zu erreichen.

Organisatorische Resilienz ist daher mehr ein Zielbild als ein organisatorisches Konzept, das in kurzer Zeit umgesetzt werden kann. Es lohnt sich aber aus meiner Sicht ohne Zweifel, diesen mühsamen beschwerlichen Gang zur verstärkten Integration der Disziplinen für ein gemeinsames Zielbild zu gehen und die geliebten Silos Stück für Stück einzureißen. Das Management wird diesen Standard kaum selbst lesen, die Integration der Disziplinen aber unter Effizienz-und Kostenaspekten nachhaltig einfordern. Regulatorik und Gesetzgeber werden die Integration der Methoden und Verfahren ebenfalls einfordern und in Normen verbindlich machen. Organisatorische Resilienz ist zwar aktuell weitgehend aus den BCM-Schlagzeilen verschwunden, aber wichtiger denn je. Dem Hype folgt  jetzt die harte Kärnerarbeit in der betrieblichen Praxis. Der neue Standard für Resilienz kommt hierfür zur richtigen Zeit.

Ich freue mich auf Ihre Kommentare, Anregungen und Kritik!

Wenn Sie diesen Artikel gerne in einer geschlossen Gruppe kommentieren oder diskutieren wollen, können Sie dies gerne im BCM-Forum tun (www.bcm.community).

BCM Wiki im Aufbau

Als weiteres “Schmankerl” des Leistungsangebots der BCM-News soll hier ein BCM-Wiki entstehen. Ein Anfang ist gemacht, indem die ersten BCM-Standards aufgenommen sind. Aber noch klebt das Baustellenschild an der Funktion. Das Wiki ist in der Seitenleiste unter der leistungsfähigen Suchfunktion erreichbar oder unter www.bcm-wiki.de. Ich würde mich natürlich über aktive Mitstreiter freuen, dann geht es schneller voran. Und natürlich über Ideen, Verbesserungsvorschläge und Motivation …

Zwei neue BCM-Standards bei BSI in Arbeit

Gerade erst sind die beiden ISO-Standards 22301 und 22313 erschienen. Und das Technical Committee 223 der ISO hat noch weitere Standards im Köcher wie aus dem workprogramme ersichtlich ist. Besonders gespannt bin ich auf den neuen Standard “Guidelines for exercises”. Zu diesem Thema gibt es ja bereits das Published Document 25666:2010 “Guidance on ecercising and testing for continuity and contingency programmes” des BSI. Doch auch British Standards bleibt nicht untätig und entwickelt weitere Standards zum Business Continuity Management. Die Standardisierungsorganisationen scheinen ein lukratives Betätigungsfeld identifiziert zu haben.

Die beiden beim BSI in Entwicklung befindlichen Standards sind:

BS 11200 Crisis Management

BS 45000 Organizational Resilience

Ich bin gespannt, was uns die neuen Standards bringen werden. Einen Überblick über die nationalen und internationalen Standards für das BCM zu behalten wird so langsam zur echten Herausforderung. Unter dem Menüpunkt “Know How” finden Sie auch eine Präsentation, in der ich eine Übersicht über eine Auswahl von BCM-Standards dargestellt habe.

ISO 22313 ist veröffentlicht

Ich hatte ja schon angekündigt, dass der ISO-Standard 22313 kurz vor der Veröffentlichung steht. Jetzt ist “ISO 22313 Societal security – Business continuity management systems – Guidance”, so der offizielle Titel erhältlich. Die Guidance ergänzt die bereits vorliegende Specification ISO 22301 um die Ausführungsanleitung. Sprachlich zu erkennen durch die Verwendung von “should” statt “shall”. Weitere Standards sind in der Pipeline des TC 223.

Der Standard kann bei British Standards online bezogen werden.

ISO 22313 kurz vor finaler Veröffentlichung

Der IS-Standard 22313 “Societal security — Business continuity management systems — Guidance” steht kurz vor der finalen Veröffentlichung. Im Statusreporting des Technical Committee 223 der ISO hat er jetzt den Status 60.00 “International Standard under publication” erklommen. Es gibt keine Änderungen mehr am Dokument. Der Guidance ist die “Ausführungsbestimmung” zum ISO 22301 und entspricht somit von der Struktur dem Vorgänger BS 25999-1.  Zu erkennen an der Verwendung von “should” statt “shall” wie im ISO 22301. Die Gliederungsstruktur des ISO 22313 entspricht der des ISO 22301. Im Work programme des TC 223 befinden sich noch weitere Dokumente, wie zum Beispiel ein Guideline for exercises.

ISO TC 223

BCM relevante Standards

Ich habe ein paar Informationen über BCM-Standards und Standards mit BCM-Bezug erstellt. Die Darstellung erhebt keinen Anspruch auf Vollständigkeit. Ich freue mich über Informationen zu weiteren relevanten Standards – am Besten als Kommentar zu diesem Beitrag. Links zu Standards finden sich auch im Linkverzeichnis der BCM-News (Menüpunkt “Links”).
[slideshare id=15452660&doc=bcmstandards-121202111949-phpapp02]

Internationale Rules & Regulations für BCM

Für Unternehmen und Organisationen, die international tätig sind, ist es wichtig zu wissen, welche Regeln für das BCM vor Ort gültig sind. Dies ist gar nicht so einfach festzustellen, da es viele Herausgeber von BCM Rules & Regulations gibt. Diese reichem vom Gesetzgeber, über Aufsichtsorgane bis hin zu Börsenbetreibern für die angeschlossenen Finanzdienstleister. Die Regeln verstecken sich zudem in Form von Gesetzen, Rundschreiben, verbindlichen “Empfehlungen” und Standards verschiedener Standardisierungsinsitutionen. Eine gute Quelle, um sich einen ersten Überblick zu verschaffen ist die Seite DR Rules and Regulations des Disaster Recovery Journal. Deutschland ist auf der umfangreichen Excel-Tabelle zwar noch ein weißer Fleck, doch USA und Asien werden gut abgedeckt. Durch die Angabe von Links findet der Leser schnell zur Quelle. Die Excel-Tabelle wird regelmäßig aktualisiert. Der Link zu dieser Seite findet sich auch im Link-Verzeichnis der BCM-News (Menüpunkt “Links” unter dem Punkt “BCM-Standards”, so daß Sie die Seite schnell wiederfinden.