Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

Umfangreiche Sammlung an Dokumentvorlagen zum BSI 200-4 CD

Der völlig neu überarbeitete Standard BSI 200-4 Business Continuity Management befindet sich auf dem Weg zur zweiten Community Draft-Fassung, in der die vorliegenden Rückmeldungen durch das BSI eingearbeitet werden.

Als Ergänzung zum Standard gibt es eine umfangreiche Vorlagensammlung, die jetzt auch vollständig öffentlich zur Verfügung steht. Die Vorlagen unterstützen den gesamten BCM-Lifecycle in allen Phasen über die Erstellung der Leitlinie, Business Impact Analyse, Notfallplanung, Tests und Übungen sowie Outsourcing. Neu hinzugekommen ist ein BIA-Auswertungsbogen, der noch als Testversion zur Verfügung gestellt wird. Die Vorlagen sind offen und Office-kompatibel, so dass sie an die individuellen Bedürfnisse auch angepasst werden können. Die Vorlagensammlung wird vom BSI auf der Webseite 200-4 Hilfsmittel zur Verfügung gestellt

Webinar “die fünf Todsünden einer BIA”

Die Business Impact Analyse ist eine wesentliche Grundlage im Business Continuity Management für die Notfallvorsorge. Sie ist eine große Chance, birgt aber zugleich auch einige Risiken. Der Aufwand für eine BIA ist vor allem auch für die Fachbereiche hoch, daher sollten in der BIA keine methodischen Fehler begangen werden. In diesem kostenlosen Webinar geht es um fünf Todsünden, die bei einer BIA begangen werden können.

Das Webinar beinhaltet einen F&A-Teil, in dem Sie Ihre Fragen zum Thema BIA stellen können.

Die Durchführung des Webinars erfolgt in zoom. Eine Anmeldung mittels des beigefügten Links ist erforderlich:

https://us02web.zoom.us/webinar/register/6615890343766/WN_cnnRS44rQe2gY0fAiZaaWw

Webinar “die fünf Todsünden einer BIA”

Die Business Impact Analyse ist eine wesentliche Grundlage im Business Continuity Management für die Notfallvorsorge. Sie ist eine große Chance, birgt aber zugleich auch einige Risiken. Der Aufwand für eine BIA ist vor allem auch für die Fachbereiche hoch, daher sollten in der BIA keine methodischen Fehler begangen werden. In diesem kostenlosen Webinar geht es um fünf Todsünden, die bei einer BIA begangen werden können.

Das Webinar beinhaltet einen F&A-Teil, in dem Sie Ihre Fragen zum Thema BIA stellen können.

Termin: Freitag, 29. Mai 2020 09:30 Uhr bis 11:00 Uhr.

Die Durchführung des Webinars erfolgt in zoom. Eine Anmeldung mittels des beigefügten Links ist erforderlich:

https://us02web.zoom.us/webinar/register/6615890343766/WN_cnnRS44rQe2gY0fAiZaaWw

Implementierung von Business Continuity Management bei begrenzten Ressourcen

Viele Unternehmen schrecken vor der Implementierung von Business Continuity Management zurück, weil sie die Ressourcen für ein solches Vorhaben nicht einsetzen können oder wollen. Die Implementierung eines vollumfänglichen Business Continuity Management ist auch tatsächlich ein Vorhaben, das bei der Implementierung und dem Betrieb erhebliche personelle und finanzielle Ressourcen binden kann. Aus diesem Grund auf die Implementierung eines BCM ganz zu verzichten, ist jedoch eine falsche und gefährliche Entscheidung. Die Geschäftsleitung verstößt damit im Übrigen auch gegen gesetzliche Vorgaben für das Risikomanagement aus dem Aktiengesetz und GmbHG. Auch Kunden fordern zunehmend bei Vertragsabschluss eine Notfallvorsorge und ein Krisenmanagement. “Doing the right things”, ist  ein wichtiger betriebswirtschaftlicher Grundsatz für die Effektivität des Handelns. Übertragen auf die Implementierung von BCM bedeutet dies, mit begrenzten Ressourcen die größtmögliche Wirkung zu erzielen. Hierzu müssen die geschäftskritischen Produkte und Prozesse des Unternehmens identifiziert werden. In der strategischen BIA erfolgt dies aus einer Top-Level-Sicht des Unternehmens:

  • welches sind die Produkte und Services des Unternehmens, die nicht unterbrochen werden dürfen?
  • welches sind die Kunden, deren Versorgung die höchste Priorität haben?
  • welches sind die kritischen Geschäftsprozesse zur Erstellung dieser Produkte und Services?
  • Welches sind die kritischen IT-Anwendungen,  Dienstleister und weitere Ressourcen, die zur Erstellung dieser Services benötigt werden?

Diese Fragen werden in einem Workshop mit der Geschäftsleitung geklärt. Die Festlegungen hieraus legen den Scope des BCM fest. Durch die Konzentration auf “bestandsgefährdende” Produkte und Prozesse kann der Scope für das BCM im ersten Schritt sehr eng gezogen werden. Durch die nachfolgende taktische und operative BIA wird diese strategische BIA verprobt und vertieft.

Durch die “Konzentration auf das Wesentliche” kann auch mit begrenzten Ressourcen ein Business Continuity Management implementiert werden. In den weiteren Schritten der Implementierung wird der Scope dann sukzessive erweitert und vertieft. Die Methoden und Verfahren sind hierfür bereits aus der initialen Implementierung erprobt und bewährt. Wichtig ist es, den ersten Schritt zu machen.

Elevator Pitch für die BIA-Ergebnispräsentation

Die vorhergehenden Beiträge im Management-Meeting, in dem Sie die Ergebnisse der Business Impact Analyse vorstellen sollen, haben mal wieder überzogen und Ihnen bleiben  noch fünf Minuten bis das Management unwiderruflich das Notizbuch zuklappt. Geht nicht? Geht doch!

BIA Results

Die Ergebnisse der strategischen und taktischen BIA lassen sich kompakt auf einer Seite darstellen. In einer Darstellungsform, die dem Management geläufig ist. Dies fördert zudem die Akzeptanz und damit auch die Awareness beim Management für unser geliebtes BCM.

In der Kürze liegt die Würze – wie Sie sehen auch bei diesem Beitrag 😉

Sackgasse BIA?!

Sackgasse BIA? – was für eine Frage, wo doch gerade dieser schöne neue ISO-Standard für die BIA veröffentlicht wurde (ISO/TS 22317:2015). Um es gleich vorwegzuschicken, ich gehöre nicht zu der Fraktion, die die BIA als Zeitverschwendung betrachten. Im Gegenteil, ich halte die Business Impact Analyse für die wesentliche Phase im BCM-Lebenszyklus, um die nachfolgenden Phasen Taktik / Strategie, Notfallplanung sowie Tests und Übungen effektiv und effizient durchführen zu können. Ob eine BIA zum Katalysator oder Bremsklotz im BCM-Lebenszyklus wird, entscheidet der Anwender und nicht die BIA selbst. Weiterlesen…

die BIA – wo ist bloß der Beginn des roten Fadens?

Eigentlich könnte man meinen, zur Business Impact Analyse ist alles gesagt und geschrieben. Es gilt also nur noch nach Best Practices mit bewährten Templates an die Arbeit zu gehen. Leider zeigt es sich in vielen Projekten immer wieder, dass es gar nicht so einfach ist, den Beginn des roten Fadens für die BIA zu finden. Ja natürlich, für Geschäftsprozesse soll die BIA gemacht werden. So weit so gut. Was aber, wenn die Geschäftsprozesse gar nicht beschrieben sind oder in einer viel zu hohen Detaillierungsebene. Soll die BIA für alle Prozesse gemacht werden, und wenn nicht, welche Geschäftsprozesse können erst mal – oder vielleicht ganz – außen vor gelassen werden? Die ideale Welt für das BCM gibt es nun mal fast nur in der Theorie und den BCM-Standards. Der größte Fehler ist jetzt jedoch, mit großem Tatendrang einfach einmal mit irgendwelchen Prozessen anzufangen. Leider verbaut man sich mit diesem vermeintlich pragmatischen und ungestümen Vorgehen so manche tolle Chance, die sich aus der BIA ergibt. So zum Beispiel die Abhängigkeitsanalyse zwischen den Prozessen. Sind im Unternehmen keine durchgehenden Wertschöpfungsketten beschrieben, eröffnet gerade die BIA die Chance, sich diesem Ziel ein großes Stück zu nähern. Voraussetzung hierfür ist jedoch,  dass in der BIA für die Geschäftsprozesse Vorgänger- und unterstützende Geschäftsprozesse angegeben werden können. Und hierzu benötigt es eine Liste der Prozesse. Die Prozesse in der Prozessliste sollten sich auf einer vergleichbaren Detaillierungsebene befinden und so benannt und beschrieben sein, dass ein einheitliches Verständnis über die Prozessinhalte und Prozessgrenzen besteht. Um jetzt nicht in ein aufwändiges Prozessmanagement abzugleiten, verbunden vielleicht sogar noch mit einer Toolauswahl für das Prozessmanagement, ist Pragmatismus angesagt. Das Vorgehen kann zum Beispiel darin bestehen, von den potentiell kritischen Fachabteilungen sich die maximal fünf bis zehn wichtigsten Aufgaben nennen zu lassen. Eine kleine Beschreibung der Aufgaben nach dem EVA-Prinzip (Eingabe – Verarbeitung – Ausgabe) definiert die Aufgabeninhalte und Schnittstellen. Diese Aufgaben “mutieren” dann in der BIA zu Prozessketten, indem die jeweiligen Vorgänger- und Unterstützungsaufgaben je Aufgabe abgefragt werden. Und schon ist man den Wertschöpfungsketten ein gutes Stück näher gekommen. Die zusätzliche Arbeit für die Erstellung dieser Aufgabenlisten lohnt sich in jedem Fall. Der Anfang vom Faden für die BIA ist damit gefunden und an diesem lässt es sich jetzt gut weiterhangeln, bis aus dem Faden ein Pullover gestrickt ist. Grobmaschig, aber erst einmal wärmend. Um die Details kann sich jetzt das Prozessmanagement kümmern und im nächsten BIA-Aktualisierungslauf werden die Maschen enger geknüpft. Rom ist auch nicht an einem Tag erschaffen worden – aber es gab ein klares Schnittmuster für den Aufbau der Stadt und der Verkehrswege nach dem vorgegangen wurde.

Die Business Impact Analyse für den Fachbereich IT

Geht man mit der Business Impact Analyse durch die Fachbereiche im Unternehmen landet man früher oder später bei der IT. Dieses “früher oder später” wird zentrales Thema dieses Beitrags sein. Die IT stellt mit den IT-Services wesentliche geschäftskritische Ressourcen für die Geschäftsprozesse zur Erbringung der Produkte und Services. des Unternehmens Auf der anderen Seite ist der Fachbereich IT auch eine Organisationseinheit mit Prozessen und Ressourcen. Weiterlesen…

ISO-Standard 22317 für die Business Impact Analyse auf der Zielgeraden

Das Technical Committee TC 292 der ISO-Organisation erarbeitet derzeit den offiziellen Standard für die Business Impact Analyse als Teil des gesamten Arbeitspakets an neuen Standards rund um den ISO 22301. Parallel entsteht auch der Standard für die Supply Chain Continuity ISO 22318. Der Standard ISO 22317 Business Impact Analysis liegt mittlerweile als verabschiedete Draft-Version (ISO Status 30-60) vor.

Der Standard besteht aus den drei Hauptteilen

  • Voraussetzungen für die Durchführung einer BIA
  • Durchführung der Business Impact Analyse
  • BIA-Aktualisierungen

sowie den Anhängen:

  • BIA als Teil des ISO 22301 BC Management Systems
  • BIA Terminologie
  • Datenerhebungsmethoden für die BIA
  • Weitere Mehrwerte des BIA Prozesses für das BCM.

Der Prozessaufbau für die BIA sieht die folgenden Schritte vor:

  1. Priorisierung der Produkte und Services durch das Top-Management
  2. Priorisierung von Prozessen
  3. Priorisierung von Aktivitäten
  4. Analyse und Konsolidierung der BIA-Ergebnisse
  5. Einholung des Einverständnisses des Top Managements für die BIA-Ergebnisse.

Das Ziel der BIA “… is to prorize the various organizational components so that product and Service delivery can be resumed in a predertermined order following a disruptive incident to the satisfaction of interested parties.”

Durchgehend wird vom zentralen Ziel der Priorisierung gesprochen. Wie diese Priorisierung en Detail erfolgt, ist im Standard nicht vorgegeben. Das Vorgehen folgt dem BIA-Konzept der BCI Good Practice Guidelines (GPG) des Business Continuity Institut (BCI) mit einer strategischen BIA mit dem Top-Management zur Festlegung der Rahmenvorgaben für die Wiederherstellung von Produkten und Services sowie der taktischen und operativen BIA zur Ermittlung der Anforderungen der Prozesse und Ressourcen. MTPD, RTO und RPO werden im Standard nur kurz referenziert, aber nicht inhaltlich ausgeführt. Wer sich in der BIA bereits am GPG orientiert, ist auch hinsichtlich des Standards gut unterwegs.

Für die Impact-Kategorien werden Beispiele an die Hand gegeben:

für die Produkt- und Service-Priorisierung durch das Top-Management:

  • Financial
  • Reputational
  • Legal and regulatory
  • contractual
  • Business objectives

für die Priorisierung der Aktivitäten ergänzend:

  • Operational (backlog of workload, Impact to interrelated aacticities)
  • Welfare (physical or mental harm to staff or visitors).

In der BIA auf Prozessebene werden

  • Abhängigkeiten zwischen Produkten, Services, Prozessen und Aktivitäten identifiziert
  • die Auswirkungen (Impact) über die Zeit ermittelt
  • Prozesse priorisiert.

In der BIA auf Aktivitätenebene werden die erforderlichen Ressourcen erhoben:

  • Mitarbeiter, Qualifikationen, Rollen
  • Gebäude
  • Einrichtungen, Ausrüstung
  • Dokumente
  • Finanzen
  • IT und Telekommunikation
  • Dienstleister, Versorger, Auslagerungen
  • Abhängigkeiten von anderen Prozesse und Aktivitäten
  • Werkzeuge, Ersatzteile
  • Einschränkungen hinsichtlich Logistik oder Regulatorik.

Auf Basis der BIA-Ergebnisse mit den Anforderungen an die Wiederherstellung erfolgt die Entwicklung der BCM-Strategien für

  • Arbeitsplätze
  • Dienstleister
  • IT
  • Mitarbeiter
  • Technische Ausrüstung und Material.

Der Standard unterscheidet zwischen der Initialen BIA und der nachfolgenden (“typischerweise jährlichen”) BIA-Aktualisierung. Für die initiale BIA wird angenommen, dass Informationen schlecht oder gar nicht verfügbar sind. In den nachfolgenden Aktualisierungen der BIA kann der Fokus dann verstärkt auf organisatorische Änderungen und Risikoakzeptanz gelegt werden.

Meine persönlichen Anmerkungen:

Beim ersten Lesen des Standards war ich positiv überrascht, dass MTPD, RTO und RPO fast gar keine Erwähnung im Standard finden. Statt mit Begrifflichkeiten zu hantieren, wird tatsächlich der Fokus auf das zu erzielende Ergebnis einer BIA gelegt: die priorisierten Prozesse und Ressourcen. Aus meiner Sicht eine positive Ausrichtung. Die Ausgestaltung der Methodik obliegt den Unternehmen und kann damit größen- und risikoorientiert adjustiert werden. Der Standard gibt den erforderlichen Rahmen hierfür vor. Nicht mehr und nicht weniger.

Das lässt uns mit positiver Spannung auf den neuen Standard für Supply Chain Continuity warten.

BCI-Studie “Counting The Cost” – Berücksichtigung der Kosten in der BIA

Im Rahmen der Business Continuity Awareness Week 2014 hat das Business Continuity Institute BCI in einer Meta-Analyse die Kosten von Geschäftsunterbrechungen aus mehreren Quellen zusammengetragen. Wie immer bei solchen Zahlenwerken ist zu hinterfragen, woher sie kommen und wie sie zu interpretieren sind, bevor man sie verwendet. So wird in diesem Dokument die Behauptung wiederholt, dass 40 bis 60 Prozent der Unternehmen ohne Notfallplan nach einem Notfall nicht wieder öffnen. So schön und plakativ werbend diese Aussage für BCM ist, eine gesicherte und seriöse Quelle konnte für diese Aussage leider noch nicht identifiziert werden. Trotzdem gibt diese Zusammenstellung an Studienergebnissen einen guten Überblick über die Höhe von Ausfallkosten, Kostenarten sowie Ursachen, ergänzt um Branchenvergleiche. In einer Business Impact Analyse können Sie jedoch zu völlig anderen Größenordnungen kommen. Dies ist ganz stark davon abhängig, wie der finanzielle Schaden einer Geschäftsunterbrechung berechnet wird. So macht es zum Beispiel einen enormen Unterschied, ob Personalausfallkosten mit einbezogen werden und zu welchen kalkulatorischen Stunden- bzw. Tagessätzen dies erfolgt. Alternativ können zum Beispiel auch nur GuV-relevante Kostenfaktoren in die Schadenermittlung einbezogen werden. Die absoluten Werte sind in diesem Falle wesentlich geringer. Bei einer Business Impact Analyse ist weniger entscheidend, ob alle möglichen Kostenfaktoren mit einbezogen werden, sondern eine einheitliche und stringente Definition der zu berücksichtigenden Kosten, damit die Vergleichbarkeit gewährleistet wird:

  • Ursachen der Kosten / Kostenträger (Unternehmen, Konzern, intern, extern)
  • Kostenarten (GuV-Kosten, Opportunitätkosten)
  • Kalkulationssätze (Personal, IT)
  • Berücksichtigung von Opportunitätskosten
  • Berücksichtigung möglicher Versicherungsleistungen oder Schadenersatz
  • Direkte und indirekte Kostenwirkungen.

Entscheidend in der BIA ist die Vergleichbarkeit der Impact-Einschätzungen zwischen den Prozessen. Schätzen die Prozessexperten auf unterschiedlicher Basis mit unterschiedlichen Prämissen und Kalkulationssätzen sind die Ergebnisse der BIA für die Prozesse nicht vergleichbar und die Ergebnisse der großen Mühen faktisch wertlos. Wichtig ist es daher auch, nicht nur absolute Werte zu erheben, sondern auch die jeweilige Herleitung mit den verwendeten Prämissen zu dokumentieren. Damit bleibt die Herleitung auch für spätere Aktualisierungen und bei Personalwechseln nachvollziehbar. Ansonsten setzt das große Rätselraten ein, wie denn die Zahlen zustande gekommen sein könnten. Dies wirft kein gutes Licht auf das BCM.