Anforderungen an die Good Practice Guidelines fĂĽr das Business Continuity Management

Das Business Continuity Institute BCI startet die Überarbeitung der Good Practice Guidelines für das BCM. Der GPL ist bereits in mehreren Iteration überarbeitet worden und stellt eine sehr gute Grundlage für das Vorgehen bei der Implementierung des BCM dar. Die Good Practice Guidelines sind auch in deutscher Sprache verfügbar und können auf der Webseite des BCI bezogen werden.

Die Welt dreht sich weiter und auch die Anforderungen an das Business Continuity Management wandeln sich. Welches sind Ihre Anforderungen und Wünsche an einen überarbeiteten Good Practice Leitfaden für das BCM?

Hier sind meine Wünsche:

1. Skalierbares Vorgehensmodell

Das Vorgehensmodell zur Implementierung und Betrieb des BCM sollte für Organisationen aller Größenordnungen und Branchen gut anwendbar sein. Der Leitfaden sollte insbesondere auch kleinen und mittelständischen Unternehmen Hilfestellung für eine erste Umsetzung geben, quasi “BCM light”. Oftmals ist die Einführung von BCM durch die Anforderung eines Kunden für ein Produkt oder einen Service getrieben.

2. Definition der Schnittstellen zu den anderen Disziplinen

Das Business Continuity Management hat sehr viele Schnittstellen zu anderen Disziplinen. Hierzu gehören insbesondere das Risikomanagement, die IT mit IT Service Continuity und Informationsicherheit, Facility Management, Objekt- und Personensicherheit sowie das Krisenmanagement. Ein Good Practice Leitfaden für das BCM sollte dem Nutzer helfen, diese Schnittstellen im Unternehmen zu erkennen und den Nutzen der Zusammenarbeit herausarbeiten. In einer engen Zusammenarbeit mit diesen Disziplinen können Synergieeffekte in der Methodik und Umsetzung erzielt werden. Es gibt zum Beispiel keine Notwendigkeit, dass das BCM ein Parallel-Universum für das Risikomanagement aufbaut, wenn es bereit etablierte Methoden und Verfahren gibt, die genutzt werden können.

3. Übergreifenden Prozess zur Erkennung und Eskalation von Störungen und Notfällen

Störungen und Notfälle können an ganz verschiedenen Stellen im Unternehmen auftreten. Ein einheitlicher Prozess für die Erkennung und Eskalation von Störungen und Notfällen über alle Disziplinen hinweg, hilft die Ereignisse frühzeitig identifizieren und einschätzen zu können. Die Gesamtlänge kann schneller erkannt und überblickt werden.

4. Berücksichtigung von Cyber-Risiken

Cyber-Risiken gehen zu den größten Bedrohungen für Unternehmen. Diese non-physical Risks sollten in einem Leitfaden daher neben den klassischen BCM-Risiken berücksichtigt werden

5. Krisenmanagement

Gehört nun Krisenmanagement zu BCM oder ist es eine eigene Diszipli? Wie auch immer, ohne Krisenmanagement funktioniert Business Continuity Management nicht. Daher ist eine Integration dieser Disziplinen Voraussetzung für ein funktionierendes BCM.

6. Fachbegriffe auf ein Mindestmaß reduzieren und eindeutig definieren

Im BCM gibt es eine Flut von Fachbegriffen und Abkürzungen, die jeden Einsteiger überfordern. Zudem sind ein Teil dieser Begriffe nicht eindeutig definiert. Weniger ist an dieser Stelle mehr.

7. Hilfsmittel und Templates als Unterstützung für die Umsetzung

Für Einsteiger sollte es einen Satz von Vorlagen und Templates geben, mit denen ein schneller Start in die BCM-Implementierung möglich ist. Zum Beispiel für die Business Impact Analyse, Notfallpläne sowie Tests und Übungen. Analog der Umsetzungshilfen des BSI für den BSI 100-4. Die BCM Community kann bestimmt einen ganzen Schatz an Hilfsmitteln zusammentragen.

So, das war meine spontane Wunschliste. Ich freue mich auf Ihre Wunschliste in den Kommentaren zu diesem Beitrag.

Business Continuity Management neu denken

Im Lauftraining haben wir unsere Lieblingsrunde. Wir kennen die Steigungen und Gefälle, haben unsere Wegmarken zu Orientierung und Motivation sowie Zwischenzeiten für das Benchmarking. Manchmal sollte mal allerdings einfach seine Lieblingsrunde in umgekehrter Richtung laufen, um wirklich zu wissen wo man steht und um Routine zu vermeiden. Welchen Bezug hat dies zum Business Continuity Management? Weiterlesen…

BCM-Wiki

BCM-Barometer 2016 erschienen

Die BCM Academy GmbH hat auch dieses Jahr wieder das BCM-Barometer erstellt, die branchenumfassende deutschlandweite Umfrage zum Business Continuity Management. 2015 wurde die Umfrage erstmalig erstellt und erlaubt jetzt erste Aussage zu Trends im BCM. Daneben wurden neue Fragen mit aufgenommen.

Die Ergebnisse der Umfrage sind kostenfrei unter dem Link http://www.bcmacademy.de/de/bcm-barometer erhältlich.

„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Auf dem Online-Drehkreuz 3GRC für Governance Risk & Compliance ist heute mein Artikel “Tear down the wall” – integrierte Umsetzung des Sicherheitsmanagements erschienen. An einem praktischen Beispiel wird die Notwendigkeit der Integration der verschiedenen Disziplinen des Sicherheitsmanagements eines Unternehmens beschrieben. Noch arbeiten oftmals die Disziplinen Business Continuity Management, Informationssicherheit, physische und personelle Sicherheit, Datenschutz und Risikomanagement eher neben- als miteinander. Hierdurch werden wichtige Synergieeffekte verschenkt und ein einheitliches übergreifendes Sicherheitsniveau kann nicht geschaffen werden. Ich freue mich über Ihre Rückmeldungen und Meinungen.

Webinare im Rahmen der Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai 2016 findet die jährliche Business Continuity Awareness Week des Business Continuity Institute statt. Neben Postern und Studien zum kostenlosen Download gibt es auch in diesem Jahr wieder ein umfangreiches Programm an kostenfreien Webinaren zu verschiedenen Themen rund um das Thema Business Continuity Management. Das Programm ist jetzt veröffentlicht und kann unter diesem Link abgerufen werden.

Haben Sie Pläne zur Sensibilisierung der Mitarbeiter für das BCM?

Wie wäre es mit einem Artikel in der Mitarbeiterzeitschrift, einem Aushang mittels eines der Poster oder einem Beitrag bei den Einführungsveranstaltungen für neue Mitarbeiter?

Dies ist auch eine gute Gelegenheit, in Kooperation mit den Kollegen von der Informations-Sicherheit, dem Risikomanagement oder Facility Management die gemeinsamen Ziele und Schnittstellen für die Unternehmenssicherheit aufzuzeigen. Gemeinsam im Team geht die Arbeit leichter.

Wer sind die “interested parties” aus ISO 22301

Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag für die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Die zehn Schritte zum Business Continuity Management

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte führen dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope für das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte für die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten für Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.

Poster fĂĽr die Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai findet dieses Jahr wieder die Business Continuity Awareness Week “BCAW” statt. Die Woche ist dazu da, das Bewusstsein für Business Continuity Management in den Organisationen zu stärken. Das Business Continuity Institute bietet in dieser Woche auf der Webseite BCAW2016 zahlreiche hochwertige und kostenfreie Webinare internationaler Referenten zu BCM an. Zur Unterstützung der Awareness-Kampagne gibt es auch in diesem Jahr wieder Poster. Diese können kostenfrei in unterschiedlichen Formaten von der Seite heruntergeladen werden und dürfen Büros und Gänge schmücken.

BCAW_A44-1

Implementierung von Business Continuity Management bei begrenzten Ressourcen

Viele Unternehmen schrecken vor der Implementierung von Business Continuity Management zurück, weil sie die Ressourcen für ein solches Vorhaben nicht einsetzen können oder wollen. Die Implementierung eines vollumfänglichen Business Continuity Management ist auch tatsächlich ein Vorhaben, das bei der Implementierung und dem Betrieb erhebliche personelle und finanzielle Ressourcen binden kann. Aus diesem Grund auf die Implementierung eines BCM ganz zu verzichten, ist jedoch eine falsche und gefährliche Entscheidung. Die Geschäftsleitung verstößt damit im Übrigen auch gegen gesetzliche Vorgaben für das Risikomanagement aus dem Aktiengesetz und GmbHG. Auch Kunden fordern zunehmend bei Vertragsabschluss eine Notfallvorsorge und ein Krisenmanagement. “Doing the right things”, ist  ein wichtiger betriebswirtschaftlicher Grundsatz für die Effektivität des Handelns. Übertragen auf die Implementierung von BCM bedeutet dies, mit begrenzten Ressourcen die größtmögliche Wirkung zu erzielen. Hierzu müssen die geschäftskritischen Produkte und Prozesse des Unternehmens identifiziert werden. In der strategischen BIA erfolgt dies aus einer Top-Level-Sicht des Unternehmens:

  • welches sind die Produkte und Services des Unternehmens, die nicht unterbrochen werden dürfen?
  • welches sind die Kunden, deren Versorgung die höchste Priorität haben?
  • welches sind die kritischen Geschäftsprozesse zur Erstellung dieser Produkte und Services?
  • Welches sind die kritischen IT-Anwendungen,  Dienstleister und weitere Ressourcen, die zur Erstellung dieser Services benötigt werden?

Diese Fragen werden in einem Workshop mit der Geschäftsleitung geklärt. Die Festlegungen hieraus legen den Scope des BCM fest. Durch die Konzentration auf “bestandsgefährdende” Produkte und Prozesse kann der Scope für das BCM im ersten Schritt sehr eng gezogen werden. Durch die nachfolgende taktische und operative BIA wird diese strategische BIA verprobt und vertieft.

Durch die “Konzentration auf das Wesentliche” kann auch mit begrenzten Ressourcen ein Business Continuity Management implementiert werden. In den weiteren Schritten der Implementierung wird der Scope dann sukzessive erweitert und vertieft. Die Methoden und Verfahren sind hierfür bereits aus der initialen Implementierung erprobt und bewährt. Wichtig ist es, den ersten Schritt zu machen.

BCM-Wiki

Umfrage: Zusammenarbeit im Rahmen von Lieferkettenunterbrechungen

Sehr geehrte Damen und Herren,

die Vermeidung und die schnellstmögliche Behebung von Lieferkettenunterbrechungen sind schon heute wesentliche Erfolgsfaktoren europäischer Unternehmen im globalen Wettbewerb. Der Ausfall wichtiger Lieferanten kann zu Produktionsausfällen mit verheerenden finanziellen Konsequenzen führen. Viele Beispiele zeigen, dass die Art und die Güte der Zusammenarbeit der beteiligten Unternehmen bei einer Unterbrechung ein zentraler Faktor dafür ist, wie schnell sich die Lieferkette erholt.

Die Forschungsgruppe Produktions- und Logistiknetzwerke an der Jacobs University Bremen untersucht im Rahmen einer Doktorarbeit, wie Unternehmen heute bei Lieferkettenunterbrechungen zusammenarbeiten.

Wir würden uns sehr freuen, wenn Sie Ihre Erfahrungen als Branchenexperte in einer kurzen Umfrage (ca. 15 Minuten) mit uns teilen würden. Den Link zur Umfrage finden Sie hier: http://ww2.unipark.de/uc/Jacobs-University-F/

Gerne stellen wir Ihnen die Ergebnisse in Form einer Benchmark-Studie im Anschluss kostenlos zur Verfügung. Dazu können Sie am Ende der Umfrage Ihre Kontaktdaten angeben. Die Analyse selbst erfolgt anonymisiert.

Vielen Dank für Ihr Mitwirken.

Mit freundlichen Grüßen

Marie Brüning

Research Associate, PhD Student

Department of Mathematics and Logistics

Wachsende Bedeutung von “non property damage risks”

Risiken, die keine physischen Schäden verursachen, aber trotzdem zu finanziellen Schadensfolgen für das Unternehmen führen, nehmen zu. Zu diesen Risiken gehören zum Beispiel Schäden durch Cyber Attacken oder geo-politische Risiken. Die finanziellen Schäden in Folge von Reputations- und Imageverlusten übersteigen mittlerweile die direkten Kosten durch Cyber Attacken. Dies ist ein Ergebnis des Allianz Risk Barometer 2015. Über 500 Risikomanager in mehr als 40 Ländern wurden für die Studie befragt. Geschäftsunterbrechungen auf Grund von physischen Schäden wie Feuer, Explosion oder Naturkatastrophen sowie Unterbrechungen der Lieferkette dominieren jedoch nach wie vor die Risikolandschaft. Insbesondere die stark wachsende internationale Vernetzung der Wirtschaft schlägt sich in den Risiken nieder. Der legendäre “umgefallene Sack Reis in China” kann mittlerweile auch hierzulande über die eng verflochtenen Lieferketten einen Tsunami auslösen. Business Continuity Management und Transparenz der Lieferkette um diese Risiken zu reduzieren ist trotzdem bei vielen Unternehmen noch Fehlanzeige. “Collaboration between different areas of the company – such as purchasing, logistics, product development and finance – is necessary in order to develop robust processes which identify break points in the supply chain. Supply chain performance management analysis can enable early warning systems to be created, ” so Volker Muench, Global Practice Group Leader, AGCS Property Underwriting in der Studie. Und da waren sie wieder, die Silos, die es aufzubrechen gilt.

Was bedeutet dies für das Business Continuity Management? Die klassischen BCM-Risikoszenarien wie Ausfall von Gebäuden, Personal oder IT bleiben von Relevanz. Weitere Szenarien, die non property damage risks abbilden, müssen im Business Continuity Management stärker berücksichtigt werden. Die Frage ist, wie muss eine Business Impact Analyse und eine Notfallplanung aussehen, die eine angemessene Reaktion ermöglicht. Fakt ist, dass die Anforderungen an Reaktions- und Wiederanlaufzeiten bei diesen Risiken deutlich kürzer werden, als wir sie häufig für die klassischen BCM-Szenarien in der Business Impact Analyse abbilden. Kritischer Erfolgsfaktor für die Bewältigung dieser Szenarien ist eine schnelle Reaktion und Kommunikation – sowohl intern als auch intern. Aspekte, die auch in Tests und Übungen für das BCM und Krisenmanagement berücksichtigt werden müssen. Übungen, die eine Cyber-Attacke simulieren, zeigen diesen Effekt allen Beteiligten deutlich auf. Dynamik, Zeit- und Entscheidungsdruck sind ungleich höher als bei den klassischen BCM-Szenarien. Da hilft nur üben, denn leider ist die Wahrscheinlichkeit von einer Cyber-Attacke getroffen zu werden sehr hoch und  sei es nur wie im Falle des Ludwigsluster Wurstfabrikanten, dessen Mail-Adresse zum Versand von Malware missbraucht wurde. Empörte und hilflose Opfer des Cryptolockers legten daraufhin durch Anfragen und Beschwerden die Infrastruktur des Unternehmens für mehrere Stunden lahm.