A fool is still a fool – also with a (BCM-)Tool? (Teil 1)

Abgelegt in: 1 Antwort

Gilt diese Aussage auch für das BCM? Sicherlich. Ein Tool alleine schafft noch kein angemessenes BCM. Doch wer Methodik und Erfahrung mit einem geeigneten BCM-Tool kombiniert, kann Compliance schaffen, sich die Arbeit erleichtern und in der Notfallbewältigung schneller sein …

Wie der Name Business Continuity Management schon sagt, geht es um die Aufrechterhaltung des Geschäftsbetriebs – und zwar aus der Geschäftsperspektive. Die themenspezifischen Grundsteine dafür haben meist die Organisationseinheiten für das Facility Management und für die IT-Services gelegt: Das Facility Management, weil Rettungs- und Räumungspläne vorgeschrieben sind, der Geschäftsbereich IT-Services, weil die Abhängigkeiten von den IT-Services und deren Ausfälle schon vor langer Zeit die Notwendigkeit von IT Service Continuity aufzeigten, verstärkt durch verschiedene gesetzliche Vorgaben.

Dementsprechend haben IT-Geschäftsbereiche Notfallvorsorgehandbücher erstellt. Dabei haben sie erkannt, dass es an vielen Stellen Daten zu erfassen gilt, die sich zudem häufig ändern: seien es die Kontaktdaten von Mitarbeitern oder externen Ansprechpartnern, von Anwendungen oder Systemen, von der Besetzung des Krisenstabs und viele weitere Daten. Diese befinden sich an verschiedenen Stellen eines Notfallhandbuchs. Tippfehler und unterschiedliche Bezeichnungen für das gleiche Datenobjekt führen außerdem schnell zu Inkonsistenzen. Dies macht die Pflege aufwändig und ist im Notfall zumindest nicht förderlich. Ein Tool musste her. Gesagt, getan: es entstanden Tools, die sich an den Anforderungen der IT orientierten.

Obwohl aus Sicht eines Unternehmens naheliegend, erkannten sie die Notwendigkeit eines BCM meist erst danach, teils aus dem Unternehmen heraus, teils durch externen Anstoß, wie z. B. bei Finanzinstituten und Versicherungen durch Gesetze und MaRisk. Denn schließlich gehört BCM nicht zum Kerngeschäft und erwirtschaftet keine Erträge, sondern ist – wie das Thema Sicherheit – eine Notwendigkeit zur Absicherung des Unternehmens. Daher gilt es, effizient vorzugehen und sich auf das Wesentliche zu konzentrieren. BCM-Policy und BIA liefern hier – aufbauend z. B. auf Controlling-Daten – die erforderlichen Ausgangsinformationen.

Wer ein BCM durchgängig und strukturiert aufbaut, erkennt frühzeitig die Notwendigkeit eines Tools. Im ersten Schritt ist es dann jedoch oftmals doch kein „echtes“ BCM-Tool, sondern es sind EXCEL-Sheets oder eine einfache kleine Datenbank. In diesen lassen sich die Abhängigkeiten z. B. bei Prozessen und Ressourcen sowie untereinander nur schwierig und rudimentär darstellen. Für manche kleine Firma mag ein solches Tool dennoch ausreichend sein. Für andere ergibt sich die Qual der Wahl, wie die Marktübersicht über die BCM-Tools unter bcm-news: BCM-Tools, aber auch die Liste in der Zeitschrift <kes> [1] zeigen.

BCM-Officer stellen an derartige Tools vielfältige Anforderungen. So soll das Tool in der Lage sein, zum einen „alle“ BCM-relevanten Informationen aufzunehmen: von den vielfältigen Daten bis hin zu den Notfallbehandlungsplänen. Zum anderen soll es aber aufgrund der Ersterfassungs- und der Pflegeaufwände, die vom Detaillierungsgrad abhängen, nicht überdimensioniert sein. Daten sollen – im Gegensatz zu den dazugehörigen BCM-Anforderungen an Daten – redundanzfrei, also als Single Source vorhanden sein.

Das BCM-Tool soll für das Unternehmen, seine Größe und seine Anforderungen „maßgeschneidert“ sein bzw. sich entsprechend „customizen“ lassen, um die Aufwände in vertretbaren Grenzen zu halten. Außerdem sollen spätere Anforderungen nach strukturellen Änderungen im Aufbau des BCM sowie nach neuen Datenfeldern oder einem erweiterten Datenmodell leicht – und am besten durch den BCM-Officer selbst – vornehmbar sein.

Hinter dem zuvor genannten „alle BCM-relevanten Informationen“ verbirgt sich Vielerlei: Auf struktureller Seite beginnend bei der BCM-Policy über die Ergebnisse der Business Impact Analysis und der Risk Analysis über Richtlinien, standardisierte Vorlagen und Notfallbehandlungspläne bis hin zu Maßnahmen und Berichten. Die Daten umfassen u. a. organisatorische Daten, Daten von Prozessen und Ressourcen sowie Tests und Übungen. Hierbei gilt es stets, auch das Thema Sicherheit im Auge zu behalten ([2], [3]).

Teil 2 folgt am 4. Juni 2012

 

Literatur / Quellen:

[1] Christian Senger, Tools fürs BCM, <kes>, 1 / 2012

[2] Klaus-Rainer Müller, CIA ist immer dabei, IT Director, 1-2/2012

[3] Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010

Geschrieben von

Als Autor von Fachbüchern und zahlreichen Artikeln bin ich Ihnen – zumindest namentlich – vielleicht bereits bekannt. Doch welche Vita verbirgt sich hinter diesem Namen?
Studium und Promotion machten mich bereits früh mit der IT vertraut. Meine berufliche Laufbahn startete ich im Bereich der Softwareentwicklung und –Spezifikation als Gruppenleiter. Als Ingenieur hatte ich gelernt, dass methodisches Vorgehen ein entscheidender Erfolgsfaktor ist, wenn Fehler vermieden und Aufgaben ohne unnötige Iterationen richtig und effizient gelöst werden sollen. Dies zumal dann, wenn die Aufgabenstellung – wie bei Software – komplex ist. Daher führte ich in meiner damaligen Entwicklergruppe das Software-Engineering ein. In meinem weiteren beruflichen Werdegang stellten sich die gemachten Erfahrungen beim Einstieg in ein internationales Softwarehaus als tragfähige Basis heraus. Zu Entwicklung und Spezifikation von Software kamen Teilprojektleitung, (Krisen-)Projekt-management, Test- und Qualitätsmanagement sowie Beratung und Prüfung, aber auch die Rollen Key Account Manager und Career Manager hinzu.
Bei der ACG Automation Consulting Group GmbH in Frankfurt (www.acg-gmbh.de), einer Unternehmensberatung für Organisation und Informationsverarbeitung, übernahm ich den Fachbereich Qualitäts- und Sicherheitsmanagement. Heute verantworte ich hier das Fach Competence Center Unternehmenssicherheit. Als Senior Management Consultant berate ich das Management zu den Themenfeldern (IT-)Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, IT-Service und IT Service Level Management sowie Sourcing.
Um die genannten Themen effizient, durchgängig und integrativ behandeln zu können, entwickelte ich in meiner Freizeit eine Vorgehensweise, in die meine langjährigen Praxis- und Beratungserfahrungen eingeflossen sind. Diese veröffentlichte ich gegen Ende des letzten Jahr-hunderts ;-). Die Anfrage des Vieweg-Verlags und mein Faible für’s Schreiben führten zur detaillierteren Veröffentlichung dieser Vorgehensweise in Buchform. Leserinnen und Lesern meiner Bücher „IT-Sicherheit mit System“ (4. Auflage, 2011) und „Handbuch Unterneh-menssicherheit“ (2. Auflage, 2010) sind die Sicherheitspyramide bzw. Sicherheitsmanagementpyramide sowie die Kontinuitäts- und die Risiko(management)pyramide bekannt.
Wenngleich diese Managementdisziplinen auch einzeln betrachtet werden können, habe ich sie aufgrund der vielfältigen Abhängigkeiten und zur Steigerung der Effizienz nicht nur im Handbuch Unternehmenssicherheit zusammengeführt. Die ganzheitliche Betrachtungsweise der Unternehmenssicherheit führt darüber hinaus zur Konsolidierung und Integration von Prozessen und Ressourcen unterschiedlicher Organisationseinheiten von der Arbeits-, Betriebs-, IT- und Gebäudesicherheit über BCM und ITSCM bis hin zum Risikomanagement für das Unternehmen und seine IT.
Ein weiteres Ergebnis meiner Autorentätigkeit ist das Buch „IT für Manager“, bei dessen Haupttitel – warum auch immer – inzwischen Verwechslungsgefahr besteht ;-).

One Response

Ein Pingback

  1. A fool is still a fool – also with a (BCM-)Tool? (Teil 2) » Continuity Management News

Schreibe einen Kommentar