BCM Policy: der Weg ist das Ziel

Die Erstellung und Verabschiedung einer BCM-Policy steht ganz am Anfang des BCM-Lifecycles. Ziel der Policy ist es, den Rahmen fĂŒr das BCM abzustecken (“Scope, Standards, Resources”) und Verantwortlichkeiten zu definieren (“Governance”).

“The business continuity policy should provide the organization with documented principles to which it will aspire and against which its business continuity capability should be measured. The BCM policy should be owned at a high level, e.g. a board director or elected representative.” (BS 25999-1).

Dies liest sich plausibel und einfach. Doch wie bei allen neuartigen Vorhaben / Projekten liegen die grĂ¶ĂŸten Herausforderungen zumeist am Beginn eines Projektes. Diese Erfahrung gilt natĂŒrlich auch fĂŒr die Umsetzung des BCM im Unternehmen.

“Wer das erste Knopfloch verfehlt, kommt mit dem Zuknöpfen nicht zu Rande”, ist ein Zitat von Johann Wolfgang von Goethe, das diese Herausforderungen treffend wiederspiegelt.

Es ist leider nicht damit getan, eine Best-Practice-Policy zu kopieren und genehmigen zu lassen. Vielmehr liegen die Herausforderungen zunĂ€chst darin, eine breite Awareness fĂŒr das Thema zu schaffen und belastbare Macht- und Fachpromotoren auf Management-Ebene fĂŒr das BCM zu gewinnen. Wie im wahren Leben sind hierfĂŒr “Zuckerbrot und Peitsche” die notwendigen Hilfsmittel.

Der Zwang entsteht aus den gesetzlichen und aufsichtlichen Verpflichtungen des Managements zu einer Risikovorsorge. Eine Analyse dieser Rahmenbedingungen fĂŒr das BCM stĂ€rkt die Argumentationsbasis. FĂŒr alle Kapitalgesellschaften und GmbHs ist dies zunĂ€chst das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahre 1998. Das KonTraG hat zur Änderung des Aktiengesetzes gefĂŒhrt. In §91 AktG wurde folgender Absatz eingefĂŒgt:

“Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefĂ€hrdende Entwicklungen frĂŒh erkannt werden”.

FĂŒr die verschiedenen Branchen gibt es darĂŒber hinaus spezifische Regelungen wie beipielsweise die MaRisk (Mindestanforderungen fĂŒr das Risikomanagement” der Bundesanstalt fĂŒr Finanzdienstleistungsaufsicht BaFin) im Finanzdienstleistungsbereich.

Oftmals gibt es auch Anmerkungen in Revisions- und WirtschaftsprĂŒferberichten zum Umsetzungsstand des BCM.

Und das Zuckerbrot? Bei einer erfolgreichen Umsetzung winkt eine positive Reputation bei den Mitarbeitern, Kunden, Öffentlichkeit und PrĂŒfern. Zudem bringt das BCM Projekt oftmals insbesondere in der Business Impact Analyse einen Mehrwert durch eine TransparenzÂ ĂŒber die geschĂ€ftskritischen Prozesse und Ressourcen. Und natĂŒrlich das gute GefĂŒhl, fĂŒr einen Notfall gewappnet zu sein.

Es ist geschafft! Das Management ist ĂŒberzeugt und hat die notwendigen finanziellen Mittel fĂŒr das Projekt genehmigt sowie die erforderlichen Mitarbeiter fĂŒr das Projekt freigestellt. Das Projekt kann starten und die Policy ist schnell erstellt!?

Die Psychologie hat dem BCM-Projektleiter allerdings noch einige HĂŒrden mit auf den Weg gegeben: 

Wie bei jedem Projekt durchlaufen auch BCM-Projektgruppen Teambildungsprozesse. Dieser besteht idealtypisch aus vier Phasen:

Forming:

Die Teammitglieder fĂŒhlen sich unsicher, sind zurĂŒckhaltend und abwartend, es wird nach Normen und Regeln gesucht.

Storming:

Macht- und PositionskÀmpfe brechen aus, es entstehen WiderstÀnde im Projekt.

Da BCM-Projekte abteilungs- und bereichsĂŒbergreifend aufgestellt sind, kann es in dieser Phase zu typischem “Kompetenzgerangel” zwischen BCM, IT, Organisation, Facility Management oder Risikomanagement kommen. All diese Bereiche haben sich ja bereits vor dem BCM-Projekt zumindest mit Ausschnitten aus dem Themenkomplex beschĂ€ftigt und eine Meinung (oder gar mehr) hierzu entwickelt. Mancher Bereich wird das BCM fĂŒr sich reklamieren wollen.

Gerade hier hilft die Orientierung an einem Standard wie BS 25999. Die BCM-Projektgruppe hat einen Leitfaden (BCM-Lifecycle), an dem sie sich entlanghangeln kann. Begriffe sind inhaltlich definiert und Schnittstellen vorgezeichnet. Der Standard kommt aus offizieller kompetenter Quelle und ist objektiv.

Norming:

die Teammitglieder reden offen miteinander, fĂŒr Konflikte werden Lösungen gesucht und gefunden, gemeinsame Ziele werden deutlich.

Das BCM-Projektteam hat eine gemeinsame Vorstellung entwickelt, was, wann wie gemacht werden muß. Die Rollen im Projekt sind geklĂ€rt.

Performing:

Man hilfts sich gegenseitig, Aufgaben und Kompetenzen werden sachgerecht aufgeteilt, das Projektteam arbeitet harmonisch zusammen.

Es kann also ein langer Weg sein bis einem erfolgreichen Projektstart und der erfolgreichen Erstellung der BCM-Policy als Rahmenwerk fĂŒr die folgenden Schritte.

Doch ist dieser Weg wichtig, um alle Betroffenen “abzuholen” und die unterschiedlichen Interessen zu lokalisieren und zu berĂŒcksichtigen.

Oftmals ist es sinnvoll zu Projektstart eine BCM-Policy als Erstfassung zu erstellen, diese aber ĂŒber die Projektlaufzeit “mitleben” zu lassen und mit der entsprechenden Erfahrung und Kenntnissen zu finalisieren.

 

0 Responses

Schreibe einen Kommentar