These are my standards. If you don’t like them, I have others!
mit diesem Zitat von Marx beginnt der absolut lesenswerte Artikel von Steven Ross über BCM-Standards auf searchcompliance.com.
- Welches ist der richtige BCM-Standard?
- Stellen BCM-Standards funktionsfähige BCM-Pläne sicher?
- Was ist der Nutzen einer Zertifizierung nach einem BCM-Standard?
Die klassischen Fragen, mit denen wir uns auseinandersetzen müssen, wenn es um die Nutzung von Standards im BCM geht. In den Diskussionen über BCM-Standards verweise ich dann gerne auf die Qualitätsmanagementstandards ISO 9000ff. Die Umsetzung der Standards stellt sicher, dass die Qualität definiert, gemessen, überprüft und doumentiert wird. Ob das streng nach ISO 9000ff produzierte Produkt aber dann auch den Qualitätsansprüche in den Augen der Kunden und Nutzer entspricht, steht auf einem ganz anderen Blatt. Haben Sie nicht auch schon einmal ein Produkt reklamiert, das von einem vielfach ISO-zertfizierten Unternehmen hergestellt wurde?
So auch bei den BCM-Standards. Sie geben uns ein Good-Practice Framework für die Arbeit. Quasi eine Checkliste um an alle wichtigen Punkte zu denken und um ein gemeinsames Verständnis und eine Sprachregelung im Unternehmen zu erhalten. Auch für die notwendige Management-Attention sind Standards hilfreich. Dass regelmäßig BCM-Tests und Übungen durchgeführt werden, ist zum Beispiel Teil jeden BCM-Standards. Dass diese Tests und Übungen einen vernünftigen Scope und angemessene Ziele und Inhalte haben, muss das BC-Management sicherstellen, damit wäre ein Standard alleine überfordert.
Einen sehr wichtigen und zentralen Aspekt der Standards arbeitet Steven Ross in seinem Artikel deutlich heraus: die Zertifizierung nach BCM-Standards erleichtert den Nachweis eines intakten Business Continuity Managementsystems gegenüber Kunden und weiteren Stake- und Shareholdern des Unternehmens / der Organisation.
Alleine die Option, zu einem früheren oder späteren Zeitpunkt eine Zertifizierung des BCM durchführen zu können, ohne Dokumentationen und Vorgehensweisen grundlegend überarbeiten zu müssen, spricht für die Umsetzung des BCM auf Basis eines zertifizierbaren Standards.
Jetzt aber viel Freude beim Lesen!
Der Artikel von Steven Ross ist in der Tat lesenswert, allerdings kann ich seinen Aussagen/Schlussfolgerungen aus folgenden Gründen nicht völlig zustimmen:
Die angesprochene “Vielfalt” unterschiedlicher und sogar konkurrierender Standards (seine Aussage) relativiert er ja selbst bei den Kurzbeschreibungen zu Beginn seines Artikels, in denen immer wieder der BS 25999 als “Basis” genannt wird. Also hat ein Interessent gar nicht so viel Abwägungen zu treffen. Auf die geplante Schaffung eines entsprechenden ISO Standards geht er leider genausowenig ein wie auf die asiatischen BCM Standards.
Der Kernpunkt für mich ist allerdings, dass er die inhaltliche Validität von Notfallplänen in direkten Zusammenhang mit Standards bringt. Hier fehlt mir eindeutig der Hinweis, dass es sich um die Standardisierung von Management Systemen handelt und nicht um die (inhaltliche) Standardisierung von Dokumenten !!
Wichtig ist für mich der ganzeitliche prozessorientiert Ansatz (auch davon erwähnt er kaum etwas), der erst eine valide Basis von Informationen und Daten sowie deren nachhaltige Qualität und Akutalität bei der Umsetzung und Dokumentation von Notfallmaßnahmen und -plänen ermöglicht.
Ich bin eindeutig der Ansicht, dass Standards wichtig und notwendig sind, um eine Vergleichbarkeit des ANSATZES nicht der individuellen INHALTE sicherzustellen. Wie ich die einzelnen Szenarien definiere, um die für das jeweilige Unternehmen relevanten Risiken möglichst beherrschbar zu machen, obliegt natürlich dem Autor der Pläne selbst. Aber – und das ist auch wichtig zu erwähnen – werden von einem externen Auditor auch die inhaltliche Konsistenz überprüft, z.B. durch Einsicht des Testkonzeptes und der Testprotokolle, verglichen mit der Zielsetzung und der Analyseergebnisse.
Fakt ist doch, dass Standards nicht das (Nach)-Denken abnehmen sollen und können, aber sie erleichtern eindeutig die Planungs- und Umsetzungsschritte. Auch hier gilt im übertragenen Sinne das vielleicht bekannte Sprichwort: “A fool with a tool is still a fool.”
In diesem Sinne wünsche ich allen viel Erfolg bei der Planung, Umsetzung und Pflege von Business Continuity Management Systemen und natürlich möglichst keine “echten Einsätze” :-)))
Uwe Naujoks