BCM – eine Datensammlung auf dem Weg zu einer Strategie

Ein Gastbeitrag von Torsten Zacher

Ist BCM nur eine Datensammlung zur ErfĂŒllung von externen Anforderungen oder schafft es durch einen strategischen Umgang mit den Prozessen einen Mehrwert?

Einleitung

Das Business Continuity Managements erhebt eine Vielzahl von Informationen. Im Rahmen der Business Impact Analyse werden vielfĂ€ltige Anforderungen an die VerfĂŒgbarkeit von Ressourcen gestellt. Auf dieser Basis werden GeschĂ€ftsfortfĂŒhrungsplĂ€ne zur BewĂ€ltigung von NotfĂ€llen und Krisen erstellt.

Wie wird aber weiter mit den Daten umgegangen? Wie nehmen EntscheidungstrÀger das Thema wahr?

BCM Datensammlung und Wahrnehmung im Unternehmen

Nur diese Daten aufzunehmen und die GeschĂ€ftsfortfĂŒhrungsplĂ€ne erfolgreich zu testen reicht meiner Meinung nach nicht aus.

Das Thema BCM wird hĂ€ufig nicht ausreichend ernst genommen. NotfĂ€lle und Krisen passieren glĂŒcklicherweise selten, so das die wenigsten in ihrer Karriere jemals persönlich betroffen werden. Logische Folge hiervon sind zwei zentrale Herausforderung, um das Thema BCM in der Unternehmung zu implementieren.

  • Zum einem ist die Verantwortung innerhalb der Hierarchieebenen zwar beim Top Management angesiedelt, wird aber nicht ausreichend wahrgenommen und nach unten weiterdelegiert. Dennoch ist die Verantwortung fĂŒr das Thema BCM immer bei den EntscheidungstrĂ€gern der ersten und zweiten Ebene zu sehen.
  • Zum anderen ist die organisatorische Verankerung des Themas BCM meist suboptimal gelöst. GemĂ€ĂŸ aktuellen Umfragen ist das Thema in unterschiedlichen Organisationseinheiten, wie z.B. IT, Organisation, Corporate Security oder Facility Management angesiedelt. An dieser Stelle kann der Business Continuity Manager im klassischen Sinn keine Macht aufbauen; dieses geht nur ĂŒber die vielen Hierarchieebenen. Je grĂ¶ĂŸer ein Unternehmen ist, desto schwerfĂ€lliger ist die Umsetzung. So wird jede FĂŒhrungskraft und/oder jede Organisationseinheit animiert, seine eigene, persönliche Vorstellung durchsetzen zu wollen.

Vorteilhafter ist die Ansiedlung direkt in der NĂ€he des Vorstandes. Ein direkter, ungefilterter Berichtsweg an den Vorstand sollte gegeben sein.

Diese Punkte erschweren die erfolgreiche Implementierung des BCM. BIA- bzw. GFP-Berichte werden teilweise zu bereitwillig unterschrieben. Im operativen Aufnahmeprozess sind die EntscheidungstrÀger richtigerweise nicht involviert.

Daher muss deutlicher werden, dass das BCM allgemein ein strategisches Thema ist und damit die Verantwortung immer bei den EntscheidungstrÀgern ist und nicht delegierbar werden kann.

Wenn sich die EntscheidungstrÀger ihrer Verantwortung bewusst sind, stÀrkt dieses das die Umsetzung des BCMs.

Daher muss es allen Beteiligten, insbesondere den EntscheidungstrĂ€gern, klar sein, wie mit dem Thema BCM und den einzelnen Prozessen neben dem Normalbetrieb in einem Notfall oder auch einer Krise umzugehen ist. Es muss eine Strategie fĂŒr die einzelnen Prozesse beschlossen werden. Dabei ist eine Risikoanalyse inklusive Kosten-Nutzen-Analyse mit einzubeziehen. So wird eine grĂ¶ĂŸtmögliche Transparenz, insbesondere fĂŒr die verantwortlichen EntscheidungstrĂ€ger, geschaffen.

Identifizierte Abweichungen

Im Rahmen des BCM werden viele Anforderungen aufgenommen. Die Anforderungen stellen erst einmal ein Wunschdenken der betroffenen Organisationseinheiten dar.  Diese „gewĂŒnschten“ Anforderungen sollten nun mit den im Unternehmen „tatsĂ€chlich“ vorhandenen RealitĂ€ten abgeglichen werden. ErfahrungsgemĂ€ĂŸ ist dieser Soll-Ist Vergleich im Unternehmen relativ unbequem. Hierdurch werden bisher nicht betrachtete Risiken, die bisher stillschweigend akzeptiert worden, aufgezeigt. Die EntscheidungstrĂ€ger werden zu einer Entscheidung „gezwungen“. In vielen Unternehmen wird diese Entscheidung „vertagt“, da die Beseitigung der GAP’s teilweise hohe Kosten verursacht. Ein taktisches „Aussitzen“ wird damit erschwert.

Wie können die EntscheidungstrÀger abgeholt werden, die bisher keine Entscheidung getroffen haben?

Exkurs Operationelle Risiken

In Kreditinstituten ist die Umsetzung des Themas Operationelle Risiken (OpRisk) meist weiter vorangeschritten.

OpRisk verwendet auf den ersten Blick Ă€hnliche Methoden, ist aber auf Grund der starken aufsichtsrechtlichen Regelungen in ein Korsett gepresst. Eine gemeinsame Erhebung ist sehr aufwendig und sehr komplex und kann dadurch nur fĂŒr die Spezialisten zu verstehen sein und damit zu intransparent fĂŒr die EntscheidungstrĂ€ger sein.

Eine gewisse Differenzierung sollte daher zwischen OpRisk und BCM existieren.

Eine Gemeinsamkeit kann sein, dass bei beiden Themen eine Strategie entwickelt werden sollte.  Hier können Synergieeffekte generiert werden, ohne dass es zu Kompetenzgerangel ĂŒber die Methodenhoheit kommen muss.

Beide Themen, das OpRisk und das BCM, zeigen Risiken in unterschiedlicher Form auf. Ökonomisch ist es nicht sinnvoll, alles ist eins zu eins abzusichern. Aber die EntscheidungstrĂ€ger mĂŒssen sich klar ĂŒber den Umgang mit den Risiken Ă€ußern.

Daher ist es sinnvoll, eine Strategie, die in Anlehnung an OpRisk gebildet werden sollte, zu entwickeln.

Die klassischen OpRisk Strategien lauten:

  • Akzeptieren,
  • Reduzieren,
  • Transferieren,
  • Vermeiden.

Entwicklung BCM Strategien

In Anlehnung an die OpRisk Strategien können folgende vier BCM Strategie entwickelt werden:

  1. BCM Anforderung an die Ressourcen umsetzen,
  2. Anpassung KritikalitÀt BCM Prozess,
  3. Alternative Workarounds schaffen,
  4. Risikoakzeptanz: Abweichung zwischen dem Soll und Ist VerfĂŒgbarkeit (GAP) akzeptieren.

Die Strategie ist nur fĂŒr Prozesse zu bilden, bei denen folgende Bedingungen erfĂŒllt sind:

  • die Ressource wird im Notbetrieb benötigt,
  • eine Abweichung (GAP) vorhanden ist und
  • der Prozess durch die Organisationseinheit als zeitkritisch bewertet worden ist.

Die Strategie wird auf Prozessebene gebildet.

Die Bedeutung der Strategieoptionen lautet:

  1. BCM Anforderung an die Ressourcen umsetzen:
    Die Ist-VerfĂŒgbarkeit wird gemĂ€ĂŸ der VerfĂŒgbarkeitsanforderung des Prozesses (KritikalitĂ€t) angepasst (KritikalitĂ€t > Ist VerfĂŒgbarkeit).
  2. Anpassung KritikalitÀt BCM Prozess:
    Die KritikalitĂ€t des Prozesses wird gemĂ€ĂŸ dem Ist-Zustand durch Neubewertung des Prozesses angepasst (Ist VerfĂŒgbarkeit> KritikalitĂ€t).
  3. Alternative Workarounds schaffen:
    KritikalitĂ€t Prozess und Ist bleiben unverĂ€ndert. Der zeitliche GAP zwischen den VerfĂŒgbarkeitsanforderungen wird jedoch durch einen alternativen Workaround ĂŒberbrĂŒckt.
  4. Risikoakzeptanz:
    KritikalitĂ€t Prozess und Ist bleiben unverĂ€ndert. Die zeitliche Abweichung zwischen den VerfĂŒgbarkeitsanforderungen wird durch die Organisationseinheit akzeptiert.

Insbesondere ist der Weg zu dieser Strategie zu revisionssicher dokumentieren. Es bietet sich an dieser Stelle an, bereits vorgenommene Risikoanalyse zu integrieren. Des Weiteren ist eine Kosten-Nutzen-Rechnung aufzustellen.

Vorteilhaft ist es, dieses in einem BCM Tool direkt beim Prozess abzubilden. Im weiteren Verlauf des Controlling Regelkreises können die gewĂ€hlten Strategien kritisch hinterfragt werden und Übungsszenarien abgeleitet werden.

Bei der Strategie Risikoakzeptanz wir der Prozess im Notfall oder Krise nicht oder nur eingeschrĂ€nkt zur VerfĂŒgung. Dieses ist bei den Übungen und Test zu berĂŒcksichtigen.

Auswirkungen der Strategie

Die Strategie ist zentrales Element fĂŒr das weitere Vorgehen fĂŒr alle Punkte des Thema Business Continuity Management. Alle weiteren Maßnahmen lassen sich ableiten.

FĂŒr spĂ€tere Umsetzung einer höheren zeitlichen VerfĂŒgbarkeit ist hiermit die Risikoanalyse und Kosten-Nutzen-Analyse bereits vorgenommen worden. Auf dieser Basis ist fĂŒr die dezentralen Ansprechpartner die Planung fĂŒr eine Erweiterung der VerfĂŒgbarkeit vorzunehmen.

Was bedeutet aber die Risikoakzeptanz in einem Notfall oder Krise? Betriebswirtschaftlich ist die Risikoakzeptanz sinnvoll. Eine regelmĂ€ĂŸige ÜberprĂŒfung unter BerĂŒcksichtigung der Top down Vorgaben des Vorstandes, den Erfahrungen aus den Übungen und Test und den Risikoanalysen muss vorgenommen werden.

Erfahrungen

Erste Erfahrungen mit der Strategie sind, dass tatsĂ€chlich viele alternative Workarounds existieren, die bisher in den GeschĂ€ftsfortfĂŒhrungsplĂ€nen tendenziell eine geringere BerĂŒcksichtigung gefunden haben.

Akzeptanz des GAPÂŽs ist die vorherrschende Strategie, dieses ist auch so erwartet worden. In Zeiten der noch immer nicht ĂŒberwundenen Bankenkrisen und dem damit verbundenen Sparzwang werden keine Mittel fĂŒr die weitere Optimierung der Absicherung im Notbetrieb bereitgestellt.

Die KritikalitĂ€t der Prozesse wird hierbei kritisch hinterfragt, wenige Prozesse werden zeitunkritischer eingestuft. Insbesondere werden Feinstellschrauben fĂŒr die Ressourcen bearbeitet, so dass eine differenzierte Betrachtung fĂŒr den Notbetrieb vorgenommen wird. Gerne wurden anfĂ€nglich pauschal alle Ressourcen fĂŒr den Notbetrieb als zeitkritisch eingestuft.

Fazit

Durch eine Strategie auf Prozessbasis entstehen Vorteile:

  • Es wird neben der reinen Erhebung der ZeitkritikalitĂ€ten ein strategischer Umgang der EntscheidungstrĂ€ger aufgenommen.
  • Eindeutige Adressierung der Verantwortung an die EntscheidungstrĂ€ger.
  • Es findet eine Entscheidung unter den Aspekten Risiko und Kosten-Nutzen-Analyse statt.
  • Durch die Strategie wird zusĂ€tzlich die ZeitkritikalitĂ€t eines Prozesses und der Ressourcen verifiziert.
  • Es findet eine differenzierte Betrachtung insbesondere bei den Ressourcen statt, da nicht jede Ressource eine identische ZeitkritikalitĂ€t besitzt.
  • Alternative Workarounds werden generiert und zukĂŒnftig im GeschĂ€ftsfortfĂŒhrungsplan dargestellt.
  • Rahmenbedingungen im Unternehmen werden auf Prozessbasis festgelegt.

Disclaimer

Der Artikel spiegelt ausschließlich die persönliche Meinung des Autors wider.

One Response

  1. Christian ZĂ€nker

    Ich stimme Torsten Zacher zu: BCM ist organisatorisch, wenn auch nicht suboptimal, jedoch zu tief aufgehĂ€ngt, so dass in der Regel kein direkter Zugang zum verantwortlichen Vorstand gegeben ist. Die Idee einer Stabstelle BCM kenne ich seit ĂŒber zehn Jahren – habe sie nur noch nirgends realisiert gesehen.

    Der Umgang der GeschĂ€ftsfĂŒhrung /der EntscheidungstrĂ€ger mit dem Thema BCM war schon immer zwiespĂ€ltig. Man weiß um die Vorgaben der Aufsichtsbehörden auf der einen und der Renditeziele auf der andern Seite – und laviert. Da helfen auch keine gutgemeinten Awareness-Maßnahmen. Die können eher nach hinten losgehen: „wenn die Zeit dafĂŒr haben…“

    Torsten Zacher weist in seinem Beitrag zwar auf den Hebel hin, nimmt ihn aber nicht auf: die starken aufsichtsrechtlichen Regelungen fĂŒr das Risikomanagement! Der Vorstand verantwortet und haftet fĂŒr die Risiken. Und BCM ist Teil des ĂŒbergeordneten Risikomanagements. Es dient der Schadensreduzierung bei Ausfall der geschĂ€ftskritischen Prozesse durch EinfĂŒhrung von Continuity und Recovery Maßnahmen.

    Die Umsetzung dieser Anforderungen aus der BIA in den SLA muss bewertet werden. Woraus lassen sich denn sonst die GAPs ableiten? Diese GAPs mĂŒssen nicht nur als Restrisiko akzeptiert werden – das ist mir zu unverbindlich! Diese GAPs muss die verantwortliche GeschĂ€ftsbereichsleitung in seine Verantwortung nehmen und abzeichnen, wenn sie nicht bereit ist, die notwendigen Maßnahmen zur Beseitigung der Risiken zu beauftragen / budgetieren. Diese GAPs sind objektive Risiken, die an das Risikomanagement zurĂŒckgemeldet werden und – optimaler Weise – Bestandteil des Risikoreportings an Vorstand und Aufsichtsrat werden.

    Leider beantwortet Torsten Zacher die selbstgestellte Frage, was Risikoakzeptanz in einem Notfall oder einer Krise bedeutet, nicht wirklich. Seine Antwort: „Betriebswirtschaftlich ist die Risikoakzeptanz sinnvoll“ erschließt sich mir nicht. Aber wir wollen hier ja auch diskutieren, und das heißt Argumente finden und austauschen.

Schreibe einen Kommentar

Zur Werkzeugleiste springen