Die Prozessorientierung des BCMS ist eines seiner wesentlichen Merkmale als Managementsystem. Mit nichts jedoch kann man BCM Manager und Umsetzungsverantwortliche so sehr ins Grübeln, wenn nicht sogar zur Verzweiflung bringen, wie mit der Frage, was denn eigentlich in der ISO 22301 unter Prozess verstanden wird: process und/oder activity?

Dabei sollte dies doch eigentlich aus dem Inhalt klar werden, denn der Standard spricht 57 mal von process/es und 48 mal von activity/ies. Aber bereits der Blick ins Glossar bringt zwar jeden Tierfreund zum schmunzeln, führt einen aber nicht unbedingt weiter. Die Katze, die sich in den Schwanz beißt:

3.1 activity

process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products and services

3.40

process

set of interrelated or interacting activities which transforms inputs into outputs

Activity ist ein process or set of processes und process ist ein set of interrelated or interacting activities – man könnte die Reihe endlos fortsetzen.

Um an dieser Stelle weiter zu kommen, empfiehlt sich ein Blick in den ISO 9001 Qualitätsmanagementsysteme als „Mutter aller Managementsystem Standards“.

„0.2 Prozessorientierter Ansatz

… Damit eine Organisation wirksam funktionieren kann, muss sie zahlreiche miteinander verknüpfte Tätigkeiten bestimmen, leiten und lenken. Eine Tätigkeit oder eine Gruppe von Tätigkeiten, die Ressourcen verwendet und die ausgeführt wird, um die Umwandlung von Eingaben in Ergebnisse zu ermöglichen, kann als Prozess angesehen werden. Oft bildet das Ergebnis des einen Prozesses die direkte Eingabe für den nächsten.

Die Anwendung eines Systems von Prozessen in einer Organisation, um das gewünschte Ergebnis zu erzeugen, gepaart mit dem Erkennen und den Wechselwirkungen dieser Prozesse sowie deren Management, kann als „prozessorientierter Ansatz“ bezeichnet werden.“

DIN EN ISO 9001:2008

Die processes, die dafür sorgen, dass durch definierte Tätigkeiten Ressourcen verarbeitet werden, um ein vorgegebenes Ergebnis zu erzielen, wären somit Steuerungsprozesse, die dem Management erlauben, die operativen Prozesse zu leiten und zu lenken. Das Zusammenwirken dieser Steuerungsprozesse in einem Management(prozess)system ist der Kern des prozessorientierten Ansatzes. Er wird durch den P-D-C-A Zyklus oder Denim Kreis veranschaulicht. Edwards Demingwar es auch, der den Kern des Prozessansatzes prägnant formulierte: „Ifyoucan’tdescribewhatyouaredoingas a process, youdon’tknowwhatyou’redoing.“

Die activities oder Tätigkeiten wären demgegenüber als operative Prozesse zu verstehen, deren Umsetzung benötigt wird, um die vorgegebenen Ziele zu erreichen, um Produkte herzustellen oder Services zu erbringen, oder anders ausgedrückt als Prozesse der Wertschöpfungskette, deren Realsierung mit Hilfe der processes / Steuerungsprozesse gemanaged wird.

Was bedeutet das nun aber für das Business Continuity Managementsystem der ISO 22301? Wieso wird im englischen Original die Unterscheidung zwischen process und activity getroffen? Wieso lässt sich das alles nicht unter Geschäftsprozesse zusammenfassen, die doch durch das BCMS abgesichert werden sollen?

Hier hilft nur, sich auf die Systematik des Standards einzulassen und explizit darauf zu achten, in welchem Zusammenhang von processes / Steuerungsprozessen und activities / operativen Prozessen gesprochen wird.

Der 22301 spricht von Management, Governance, Continuity, Recovery, aber auch von BIA oder Audit processes. Im Zusammenhang mit BCMS als Managementsystem wird immer mit Begriffen wie: policy, objectives, targets, controls, processes und procedures argumentiert. Es geht um die Steuerung einer methodischen und zielgerichteten Vorgehensweise.

So erhebt der 22301 auch die Forderung an das Management (cl. 5.2), die Anforderungen aus dem BCMS in den Steuerungsprozessen der Organisation sicherzustellen und nicht in seinen operativen Prozessen. Dies wird leider immer wieder durcheinander geworfen. Wie sollte man auch in einer Prozessbeschreibung oder in Aris die Anforderungen aus dem BCMS für die operativen Prozesse integrieren? Dies wird nirgendwo gefordert. Sehr wohl kann man natürlich BCM und Notfallprozesse gesondert beschreiben und modellieren.

Ebenso sind activities keine Prozessteilschritte! Dies hat nichts mit der alten Notfallplanstruktur zu tun, in der sich Pläne aus Blöcken und Blöcke aus Aktivitäten zusammensetzen. Processes und activities fußen auf Verfahren / procedures und können in einzelne Aufgaben / task runtergebrochen werden. Ich bitte meine Abschweifung zu entschuldigen, aber mit diesen Mutmaßungen wird man vor allem als Trainer für den ISO 22301 und früher BS25999 immer wieder konfrontiert.

Die Business Impact Analyse zum Beispiel ist definiert als Steuerungsprozess, der mittels bestimmter Verfahren / procedures, die operativen oder Wertschöpfungsprozesse analysiert. Ihr liegt eine Methodik, Vorgehensweise und Instrumentarium zugrunde, zu Ergebnissen zu kommen. „This process shall include assessing the impacts of disrupting activities that support the organization’s products and services.“ (cl. 8.2.2)

Die Schadensauswirkungen können wiederum die Ressourcen betreffen, die der operative Prozess zu seiner Umsetzung benötigt. Hierzu gehören unter anderem auch wieder Steuerungsprozesse: „processes, systems, information, people, assets, outsource partners and other resources that support them“. (cl. 8.2.3)

Im Skope des BCMS stehen bewusst die „products and services and all related activities“ (cl. 4.3.2). Deswegen muss man auch, um die Organisation zu verstehen, folgendes identifizieren und dokumentieren:

„the organization’s activities, functions, services, products, partnerships, supply chains, relationships with interested parties, and the potential impact related to a disruptive incident“ (cl. 4.1)

Ziel des Business Continuity als Steuerungsprozess sind der Schutz, die Aufrechterhaltung und Wiederherstellung der prioritären operativen Prozesse und der von ihnen benötigten Ressourcen. (cl. 8.3.1) durch hierfür geeignete Verfahren die zu entwickeln, einzuführen und aufrechtzuerhalten sind (P-D-C-A):

„The organization shall document procedures (including necessary arrangements) to ensure continuity of activities and management of a disruptive incident.“ (cl. 8.4.1)