BCM Policy: der Weg ist das Ziel

Die Erstellung und Verabschiedung einer BCM-Policy steht ganz am Anfang des BCM-Lifecycles. Ziel der Policy ist es, den Rahmen für das BCM abzustecken (“Scope, Standards, Resources”) und Verantwortlichkeiten zu definieren (“Governance”).

“The business continuity policy should provide the organization with documented principles to which it will aspire and against which its business continuity capability should be measured. The BCM policy should be owned at a high level, e.g. a board director or elected representative.” (BS 25999-1).

Dies liest sich plausibel und einfach. Doch wie bei allen neuartigen Vorhaben / Projekten liegen die größten Herausforderungen zumeist am Beginn eines Projektes. Diese Erfahrung gilt natürlich auch für die Umsetzung des BCM im Unternehmen.

“Wer das erste Knopfloch verfehlt, kommt mit dem Zuknöpfen nicht zu Rande”, ist ein Zitat von Johann Wolfgang von Goethe, das diese Herausforderungen treffend wiederspiegelt.

Es ist leider nicht damit getan, eine Best-Practice-Policy zu kopieren und genehmigen zu lassen. Vielmehr liegen die Herausforderungen zunächst darin, eine breite Awareness für das Thema zu schaffen und belastbare Macht- und Fachpromotoren auf Management-Ebene für das BCM zu gewinnen. Wie im wahren Leben sind hierfür “Zuckerbrot und Peitsche” die notwendigen Hilfsmittel.

Der Zwang entsteht aus den gesetzlichen und aufsichtlichen Verpflichtungen des Managements zu einer Risikovorsorge. Eine Analyse dieser Rahmenbedingungen für das BCM stärkt die Argumentationsbasis. Für alle Kapitalgesellschaften und GmbHs ist dies zunächst das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahre 1998. Das KonTraG hat zur Änderung des Aktiengesetzes geführt. In §91 AktG wurde folgender Absatz eingefügt:

“Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”.

Für die verschiedenen Branchen gibt es darüber hinaus spezifische Regelungen wie beipielsweise die MaRisk (Mindestanforderungen für das Risikomanagement” der Bundesanstalt für Finanzdienstleistungsaufsicht BaFin) im Finanzdienstleistungsbereich.

Oftmals gibt es auch Anmerkungen in Revisions- und Wirtschaftsprüferberichten zum Umsetzungsstand des BCM.

Und das Zuckerbrot? Bei einer erfolgreichen Umsetzung winkt eine positive Reputation bei den Mitarbeitern, Kunden, Öffentlichkeit und Prüfern. Zudem bringt das BCM Projekt oftmals insbesondere in der Business Impact Analyse einen Mehrwert durch eine Transparenz über die geschäftskritischen Prozesse und Ressourcen. Und natürlich das gute Gefühl, für einen Notfall gewappnet zu sein.

Es ist geschafft! Das Management ist überzeugt und hat die notwendigen finanziellen Mittel für das Projekt genehmigt sowie die erforderlichen Mitarbeiter für das Projekt freigestellt. Das Projekt kann starten und die Policy ist schnell erstellt!?

Die Psychologie hat dem BCM-Projektleiter allerdings noch einige Hürden mit auf den Weg gegeben: 

Wie bei jedem Projekt durchlaufen auch BCM-Projektgruppen Teambildungsprozesse. Dieser besteht idealtypisch aus vier Phasen:

Forming:

Die Teammitglieder fühlen sich unsicher, sind zurückhaltend und abwartend, es wird nach Normen und Regeln gesucht.

Storming:

Macht- und Positionskämpfe brechen aus, es entstehen Widerstände im Projekt.

Da BCM-Projekte abteilungs- und bereichsübergreifend aufgestellt sind, kann es in dieser Phase zu typischem “Kompetenzgerangel” zwischen BCM, IT, Organisation, Facility Management oder Risikomanagement kommen. All diese Bereiche haben sich ja bereits vor dem BCM-Projekt zumindest mit Ausschnitten aus dem Themenkomplex beschäftigt und eine Meinung (oder gar mehr) hierzu entwickelt. Mancher Bereich wird das BCM für sich reklamieren wollen.

Gerade hier hilft die Orientierung an einem Standard wie BS 25999. Die BCM-Projektgruppe hat einen Leitfaden (BCM-Lifecycle), an dem sie sich entlanghangeln kann. Begriffe sind inhaltlich definiert und Schnittstellen vorgezeichnet. Der Standard kommt aus offizieller kompetenter Quelle und ist objektiv.

Norming:

die Teammitglieder reden offen miteinander, für Konflikte werden Lösungen gesucht und gefunden, gemeinsame Ziele werden deutlich.

Das BCM-Projektteam hat eine gemeinsame Vorstellung entwickelt, was, wann wie gemacht werden muß. Die Rollen im Projekt sind geklärt.

Performing:

Man hilfts sich gegenseitig, Aufgaben und Kompetenzen werden sachgerecht aufgeteilt, das Projektteam arbeitet harmonisch zusammen.

Es kann also ein langer Weg sein bis einem erfolgreichen Projektstart und der erfolgreichen Erstellung der BCM-Policy als Rahmenwerk für die folgenden Schritte.

Doch ist dieser Weg wichtig, um alle Betroffenen “abzuholen” und die unterschiedlichen Interessen zu lokalisieren und zu berücksichtigen.

Oftmals ist es sinnvoll zu Projektstart eine BCM-Policy als Erstfassung zu erstellen, diese aber über die Projektlaufzeit “mitleben” zu lassen und mit der entsprechenden Erfahrung und Kenntnissen zu finalisieren.

 

0 Responses

Schreibe einen Kommentar