Supply Chain Resilience Survey des Business Continuity Institute

Das Business Continuity Institute BCI führt gemeinsam mit Zurich Insurance bereits die achte Umfrage zur Sicherheit von Lieferketten durch. Die vergangenen Studien haben interessante Ergebnisse erbracht:

Some of the findings from the 2015 Supply Chain Resilience Report published by the BCI were that three quarters of respondents (74%) had experienced at least one supply chain disruption and that half of those disruptions occurred below the tier 1 supplier.”

Die Teilnahme an der Umfrage ist anonym und es gibt einen Amazon Gutschein in Höhe von 100 GBP zu gewinnen. Hier der Link zur Teilnahme an der Umfrage.

Anforderungen an die Good Practice Guidelines für das Business Continuity Management

Das Business Continuity Institute BCI startet die Überarbeitung der Good Practice Guidelines für das BCM. Der GPL ist bereits in mehreren Iteration überarbeitet worden und stellt eine sehr gute Grundlage für das Vorgehen bei der Implementierung des BCM dar. Die Good Practice Guidelines sind auch in deutscher Sprache verfügbar und können auf der Webseite des BCI bezogen werden.

Die Welt dreht sich weiter und auch die Anforderungen an das Business Continuity Management wandeln sich. Welches sind Ihre Anforderungen und Wünsche an einen überarbeiteten Good Practice Leitfaden für das BCM?

Hier sind meine Wünsche:

1. Skalierbares Vorgehensmodell

Das Vorgehensmodell zur Implementierung und Betrieb des BCM sollte für Organisationen aller Größenordnungen und Branchen gut anwendbar sein. Der Leitfaden sollte insbesondere auch kleinen und mittelständischen Unternehmen Hilfestellung für eine erste Umsetzung geben, quasi “BCM light”. Oftmals ist die Einführung von BCM durch die Anforderung eines Kunden für ein Produkt oder einen Service getrieben.

2. Definition der Schnittstellen zu den anderen Disziplinen

Das Business Continuity Management hat sehr viele Schnittstellen zu anderen Disziplinen. Hierzu gehören insbesondere das Risikomanagement, die IT mit IT Service Continuity und Informationsicherheit, Facility Management, Objekt- und Personensicherheit sowie das Krisenmanagement. Ein Good Practice Leitfaden für das BCM sollte dem Nutzer helfen, diese Schnittstellen im Unternehmen zu erkennen und den Nutzen der Zusammenarbeit herausarbeiten. In einer engen Zusammenarbeit mit diesen Disziplinen können Synergieeffekte in der Methodik und Umsetzung erzielt werden. Es gibt zum Beispiel keine Notwendigkeit, dass das BCM ein Parallel-Universum für das Risikomanagement aufbaut, wenn es bereit etablierte Methoden und Verfahren gibt, die genutzt werden können.

3. Übergreifenden Prozess zur Erkennung und Eskalation von Störungen und Notfällen

Störungen und Notfälle können an ganz verschiedenen Stellen im Unternehmen auftreten. Ein einheitlicher Prozess für die Erkennung und Eskalation von Störungen und Notfällen über alle Disziplinen hinweg, hilft die Ereignisse frühzeitig identifizieren und einschätzen zu können. Die Gesamtlänge kann schneller erkannt und überblickt werden.

4. Berücksichtigung von Cyber-Risiken

Cyber-Risiken gehen zu den größten Bedrohungen für Unternehmen. Diese non-physical Risks sollten in einem Leitfaden daher neben den klassischen BCM-Risiken berücksichtigt werden

5. Krisenmanagement

Gehört nun Krisenmanagement zu BCM oder ist es eine eigene Diszipli? Wie auch immer, ohne Krisenmanagement funktioniert Business Continuity Management nicht. Daher ist eine Integration dieser Disziplinen Voraussetzung für ein funktionierendes BCM.

6. Fachbegriffe auf ein Mindestmaß reduzieren und eindeutig definieren

Im BCM gibt es eine Flut von Fachbegriffen und Abkürzungen, die jeden Einsteiger überfordern. Zudem sind ein Teil dieser Begriffe nicht eindeutig definiert. Weniger ist an dieser Stelle mehr.

7. Hilfsmittel und Templates als Unterstützung für die Umsetzung

Für Einsteiger sollte es einen Satz von Vorlagen und Templates geben, mit denen ein schneller Start in die BCM-Implementierung möglich ist. Zum Beispiel für die Business Impact Analyse, Notfallpläne sowie Tests und Übungen. Analog der Umsetzungshilfen des BSI für den BSI 100-4. Die BCM Community kann bestimmt einen ganzen Schatz an Hilfsmitteln zusammentragen.

So, das war meine spontane Wunschliste. Ich freue mich auf Ihre Wunschliste in den Kommentaren zu diesem Beitrag.

Business Continuity Management neu denken

Im Lauftraining haben wir unsere Lieblingsrunde. Wir kennen die Steigungen und Gefälle, haben unsere Wegmarken zu Orientierung und Motivation sowie Zwischenzeiten für das Benchmarking. Manchmal sollte mal allerdings einfach seine Lieblingsrunde in umgekehrter Richtung laufen, um wirklich zu wissen wo man steht und um Routine zu vermeiden. Welchen Bezug hat dies zum Business Continuity Management? Weiterlesen…

BCM-Wiki

BCM-Barometer 2016 erschienen

Die BCM Academy GmbH hat auch dieses Jahr wieder das BCM-Barometer erstellt, die branchenumfassende deutschlandweite Umfrage zum Business Continuity Management. 2015 wurde die Umfrage erstmalig erstellt und erlaubt jetzt erste Aussage zu Trends im BCM. Daneben wurden neue Fragen mit aufgenommen.

Die Ergebnisse der Umfrage sind kostenfrei unter dem Link http://www.bcmacademy.de/de/bcm-barometer erhältlich.

„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Auf dem Online-Drehkreuz 3GRC für Governance Risk & Compliance ist heute mein Artikel “Tear down the wall” – integrierte Umsetzung des Sicherheitsmanagements erschienen. An einem praktischen Beispiel wird die Notwendigkeit der Integration der verschiedenen Disziplinen des Sicherheitsmanagements eines Unternehmens beschrieben. Noch arbeiten oftmals die Disziplinen Business Continuity Management, Informationssicherheit, physische und personelle Sicherheit, Datenschutz und Risikomanagement eher neben- als miteinander. Hierdurch werden wichtige Synergieeffekte verschenkt und ein einheitliches übergreifendes Sicherheitsniveau kann nicht geschaffen werden. Ich freue mich über Ihre Rückmeldungen und Meinungen.

Webinare im Rahmen der Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai 2016 findet die jährliche Business Continuity Awareness Week des Business Continuity Institute statt. Neben Postern und Studien zum kostenlosen Download gibt es auch in diesem Jahr wieder ein umfangreiches Programm an kostenfreien Webinaren zu verschiedenen Themen rund um das Thema Business Continuity Management. Das Programm ist jetzt veröffentlicht und kann unter diesem Link abgerufen werden.

Haben Sie Pläne zur Sensibilisierung der Mitarbeiter für das BCM?

Wie wäre es mit einem Artikel in der Mitarbeiterzeitschrift, einem Aushang mittels eines der Poster oder einem Beitrag bei den Einführungsveranstaltungen für neue Mitarbeiter?

Dies ist auch eine gute Gelegenheit, in Kooperation mit den Kollegen von der Informations-Sicherheit, dem Risikomanagement oder Facility Management die gemeinsamen Ziele und Schnittstellen für die Unternehmenssicherheit aufzuzeigen. Gemeinsam im Team geht die Arbeit leichter.

Wer sind die “interested parties” aus ISO 22301

Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag für die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Die zehn Schritte zum Business Continuity Management

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte führen dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope für das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte für die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten für Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.

Poster für die Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai findet dieses Jahr wieder die Business Continuity Awareness Week “BCAW” statt. Die Woche ist dazu da, das Bewusstsein für Business Continuity Management in den Organisationen zu stärken. Das Business Continuity Institute bietet in dieser Woche auf der Webseite BCAW2016 zahlreiche hochwertige und kostenfreie Webinare internationaler Referenten zu BCM an. Zur Unterstützung der Awareness-Kampagne gibt es auch in diesem Jahr wieder Poster. Diese können kostenfrei in unterschiedlichen Formaten von der Seite heruntergeladen werden und dürfen Büros und Gänge schmücken.

BCAW_A44-1

Implementierung von Business Continuity Management bei begrenzten Ressourcen

Viele Unternehmen schrecken vor der Implementierung von Business Continuity Management zurück, weil sie die Ressourcen für ein solches Vorhaben nicht einsetzen können oder wollen. Die Implementierung eines vollumfänglichen Business Continuity Management ist auch tatsächlich ein Vorhaben, das bei der Implementierung und dem Betrieb erhebliche personelle und finanzielle Ressourcen binden kann. Aus diesem Grund auf die Implementierung eines BCM ganz zu verzichten, ist jedoch eine falsche und gefährliche Entscheidung. Die Geschäftsleitung verstößt damit im Übrigen auch gegen gesetzliche Vorgaben für das Risikomanagement aus dem Aktiengesetz und GmbHG. Auch Kunden fordern zunehmend bei Vertragsabschluss eine Notfallvorsorge und ein Krisenmanagement. “Doing the right things”, ist  ein wichtiger betriebswirtschaftlicher Grundsatz für die Effektivität des Handelns. Übertragen auf die Implementierung von BCM bedeutet dies, mit begrenzten Ressourcen die größtmögliche Wirkung zu erzielen. Hierzu müssen die geschäftskritischen Produkte und Prozesse des Unternehmens identifiziert werden. In der strategischen BIA erfolgt dies aus einer Top-Level-Sicht des Unternehmens:

  • welches sind die Produkte und Services des Unternehmens, die nicht unterbrochen werden dürfen?
  • welches sind die Kunden, deren Versorgung die höchste Priorität haben?
  • welches sind die kritischen Geschäftsprozesse zur Erstellung dieser Produkte und Services?
  • Welches sind die kritischen IT-Anwendungen,  Dienstleister und weitere Ressourcen, die zur Erstellung dieser Services benötigt werden?

Diese Fragen werden in einem Workshop mit der Geschäftsleitung geklärt. Die Festlegungen hieraus legen den Scope des BCM fest. Durch die Konzentration auf “bestandsgefährdende” Produkte und Prozesse kann der Scope für das BCM im ersten Schritt sehr eng gezogen werden. Durch die nachfolgende taktische und operative BIA wird diese strategische BIA verprobt und vertieft.

Durch die “Konzentration auf das Wesentliche” kann auch mit begrenzten Ressourcen ein Business Continuity Management implementiert werden. In den weiteren Schritten der Implementierung wird der Scope dann sukzessive erweitert und vertieft. Die Methoden und Verfahren sind hierfür bereits aus der initialen Implementierung erprobt und bewährt. Wichtig ist es, den ersten Schritt zu machen.