Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag für die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Aber was sind nun die interested parties, deren Anforderungen das BCMS so ausdrücklich mitbestimmen. Hier liefert der ISO 22301 keine Antwort. Laut Definition unter terms and definitions 3.21 sind interested party oder stakeholder
“person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity.”

Wenn jeder, der durch Entscheidungen oder Handlungen betroffen ist oder sich auch nur betroffen fühlt, in die Notfallplanung eingebunden werden soll, können wir kollektiv einpacken. Hier öffnet der Standard nun einen Ausweg. In dem einzigen Passus des ISO 22301 zu interested parties heißt es dazu (identisch im ISO 22313):

4.2 Understanding the needs and expectations of interested parties
4.2.1 General
When establishing its BCMS, the organization shall determine
a) the interested parties that are relevant to the BCMS, and
b) the requirements of these interested parties (i.e. their needs and expectations whether stated, implied or obligatory).

Aber was ist nun relevant für das BCMS? Liegt es allein in der „Kompetenz“ der Organisation, zu bestimmen, was für sie von Relevanz ist? Wozu dann der immense Aufwand, der sich ergibt, wenn man in die Guideline des ISO 22313 schaut? Dort werden die interested parties 75 mal erwähnt, ohne dass wir einer Klärung näher kommen.

Wo der ISO 22301 einer Klärung ausweicht, quillt der ISO 22313 über. Mit demselben Effekt! Hier drängt sich nunmehr der begründete Verdacht auf, dass wir es bei den interested parties mit einem reinen Füllbegriff zu tun haben, der Aktivität von Seiten des Anwenders einfordert, wo man selber nicht spezifizieren kann, was man fordert, aber irgendwie das Gefühl hat, hier müsste noch was kommen.

ISO 22313 definiert die interested parties anders als der ISO 22301 s.o., wodurch alles aber noch wabernder wird. ISO 22313, cl. 3.19
interested party:
person or group of people that holds a view that may affect the organization. Was sollen wir mit einer Ansicht anfangen, die die Organisation betreffen kann. Flächendeckender kann kein bull shit sein (sorry, cz).
Also gehen wir den Spuren nach, die uns der ISO 22313 weist.
Unter 4. Context of the organization lernen wir unter 4.1 erst einmal, dass es interested parties im Innen- wie im Außenverhältnis gibt. BCM soll uns zeigen, was getan werden muss, „to protect its people, premises, technology, information, supply chain, interested parties and reputation, before an incident occurs.”
Das macht uns natürlich neugierig. 4.2.1 Understanding the organization fordert, nicht nur die Belange und Notwendigkeiten der interested parties zu berücksichtigen, die gegeben sind, sondern auch diejenigen, die man bestenfalls nur ableiten kann. Hierzu heißt es verschlungen:
“Die Organisation soll alle interested parties identifizieren, die von Relevanz für Ihr BCMS sind, und, basierend auf deren Bedürfnissen und Erwartungen, deren Anforderungen bestimmen. Dabei ist es wichtig, nicht nur die obligatorischen und aufgestellten Anforderungen zu identifizieren, sondern auch alle Anforderungen, die nur impliziert sind.”
Hierbei sollen, wie es im Kommentar des 22313 heißt, nicht nur die Berücksichtigung finden, ohne deren Unterstützung die Organisation schlicht untergehen würde, sondern auch diejenigen, die gar nicht wissen, wie sie ihre Ansprüche artikulieren und einfordern können: ”whereas an interested party in most situations is not able to specify requirements or impose obligations”.
Das macht das Verständnis der interested parties voll umfassend, aber was hilft es einem, wenn nun wirklich alles gemeint sein kann. Wohl gemerkt, die nachfolgende Graphik 4 aus dem ISO 22313 zeigt nur Beispiele.

Im nachfolgenden Absatz 4.2.2 werden die relevanten Anforderungen der interested parties sogar neben die gesetzlichen und regulatorischen Anforderungen gestellt. Der einzige Schluss, den wir hieraus ableiten können ist der, dass es sich nicht um die gesetzliche Grundlage oder den aufsichtsrechtlichen Rahmen handeln kann, durch die der Tätigkeit der Organisation Grenzen gesetzt werden, sondern dass es sich allenfalls um interested parties handeln kann, die ihre Anforderungen zur Not rechtlich geltend machen können. Alles andere ergibt in diesem Kontext keinen Sinn.
Betrachten wir als nächstes den Scope des BCMS. Auch hier fällt mir als erstes ein eklatanter Widerspruch ins Auge. 4.3.2 Scope of the BCMS fordert unter a) ensure that the organization’s products and services, activities, resources, partnerships, supply chains, and interested parties relationships included within the scope are clearly distinguishable. Hier wird Wert darauf gelegt, dass Partnerschaften, Lieferketten und interessierte Parteien, klar unterscheidbar sind.
Ebenfalls in 4.3.2, nur ein paar Absätze weiter, werden dann alle wieder unter die interested parties eingereiht:
“The scope should be consistent with the protection and preservation of the organization’s integrity and its relationships with interested parties (e.g. key suppliers, outsourcing partners, the organization’s supply chain vendors, customers and the community in which it operates).
Wie gesagt, die Reihe der Allgemeinplätze und Widersprüche ließe sich bei 75 Nennungen im Standard lange fortsetzen. Interessanter ist aber, wie man als Praktiker im BCMS mit diesen Anforderungen umgeht, die sich zumeist nur als Platzhalter erweisen. Ein tieferer Sinn erscheint mir jedenfalls nicht ergründbar.
Also zurück von der Anleitung des 22313 zu den harten Anforderungen des 22301. Ziffer 4.2.1 fordert, dass die Organisation bestimmen soll (shall determine), welche interested parties relevant für das BCMS sind, und was die Anforderungen dieser interessierten Parteien sind.
Wenn es an der Organisation liegt, diese Festlegung zu treffen, sollte man im deutschen lieber anstelle der 1:1 Übersetzung der interessierten Parteien (das können in der Tat ebenso viele sein, wie desinteressierte Parteien…))), von den Vertretern berechtigter Interessen sprechen. Klingt zwar formalistisch, trifft den Kern jedoch besser. Dies gibt der Organisation die Kompetenz zu entscheiden, welchem dritten man zubilligt, ein berechtigtes Interesse an den Produkten und Dienstleistungen und an der Art ihrer Erstellung und Gewährleistung zu haben.
Diese als solche anerkannten Vertreter berechtigter Interessen sollte dann auch in der BCM Policy der Organisation benannt sein. Dies würde dann auch logisch die Anforderung aus Ziffer 5.3 ISO 22301 erfüllen helfen, dass nämlich die BCMS Policy, sofern dies angemessen erscheint, den Vertretern berechtigter Interessen zugänglich gemacht wird. Jede natürliche oder juristische Person, die in der BCMS Policy genannt wird, muss selbstredend über die Policy und die sie betreffende Passage in Kenntnis gesetzt werden. Man kann jetzt aber plausibilisieren und jedem Auditor gegenüber ableiten, wieso man aus einer undefinierbaren Anzahl interessierter Parteien eine definiert Liste von Vertreter berechtigter Interessen herausgearbeitet und in sein Business Continuity Management System eingebunden hat.