Anforderungen der BCM-Standards an die BCM-Risikoanalyse

Die BCM-Risikoanalyse stellt Unternehmen im Vergleich zu den anderen Phasen des BCM-Lebenszyklus, der Business Impact Analyse, der Notfallplanung sowie den Tests und Übungen oftmals vor neue methodische und organisatorische Fragestellungen. Das Verständnis, ob, wann und wie eine Risikoanalyse im Business Continuity Management durchgeführt werden soll hat sich im Entwicklungsverlauf der BCM-Disziplin gewandelt und auch innerhalb der BCM-Verantwortlichen gibt es heute unterschiedliche Sichtweisen auf dieses spannende Thema. Der BS 25999, Vorläufer des aktuellen ISO-Standards 22301, verweist bei der Risikoanalyse noch auf die Pflichtelemente des ISO 27001. In der Fassung von 2012 verweist der ISO 22301 dann bei der Umsetzung des Risikomanagements auf die ISO 31000 und definiert darüber hinaus nur sehr rudimentäre Anforderungen an das Risikomanagement aus BCM-Sicht. Dies lässt die BCM-Verantwortlichen mit zahlreichen Fragezeichen zurück.

In meinem Beitrag auf 3GRC habe ich die Anforderungen der Standards an die BCM-Risikoanalyse näher betrachtet und gegenübergestellt.

Wie wahrscheinlich ist das Unwahrscheinliche?

Business Continuity Management (BCM) ist eine Disziplin des Risikomanagements. Es ist daher naheliegend, für die Risikoanalyse im BCM auf die klassischen und bewährten Methoden und Verfahren dieser Disziplin zurückzugreifen. Zu diesen klassischen Vorgehensweisen gehört die Betrachtung eines Risikos unter den beiden Gesichtspunkten Eintrittswahrscheinlichkeit und Schadenshöhe. Als Ergebnis lassen sich Risiken sehr anschaulich in einer Risikomatrix darstellen und es lassen sich erwartete Schadenshöhen zum Beispiel für die finanzielle Risikovorsorge berechnen. Beim BCM stößt dieses Vorgehen jedoch an seine Grenzen, denn wir betrachten im BCM Risiken mit geringer Eintrittswahrscheinlichkeit dafür aber existentiellen Schadenshöhen. Die Eintrittswahrscheinlichkeit des Risikos spielt bei der Notfallvorsorge für BCM-Risiken keine Rolle, denn ein Schaden, wann immer er eintritt, würde die Existenz des Unternehmens bedrohen. Es ist zum Beispiel unerheblich für die (IT-) Notfallplanung, wann und wie oft eine Cyber-Attacke auf die IT-Infrastruktur zu erwarten ist, denn eine entsprechende Vorsorge der IT und des BCM für den Fall einer Cyber-Attacke ist für ein Unternehmen notwendig zur Aufrechterhaltung der kritischen Geschäftsprozesse. Ob und wie die Eintrittswahrscheinlichkeit doch noch ihren Weg ins BCM finden kann, behandelt mein aktueller Beitrag auf 3GRC.

BCI Supply Chain Resilience Survey 2018 gestartet

Auch in diesem Jahr führt das Business Continuity Institute BCI in Zusammenarbeit mit Zurich Insurance bereits zum zehnten Mal die Umfrage zur Supply Chain Resilience durch.

Die Umfrage beinhaltet Fragen zu Ursachen und Wirkungen von Unterbrechungen der Lieferketten.

Die kurze Umfrage kann online durchgeführt werden.

Die Ergebnisse des Supply Chain Resilience Report 2017 sind online auf den Seiten des BCI verfügbar.

Körperliche Dokumente im Notfallkonzept

In sehr vielen Unternehmen sind heute elektronische Archivsysteme im Einsatz und die überwiegende Anzahl der Daten liegen ohnehin in elektronischer Form vor. Man sollte also davon ausgehen können, dass Papierarchive und Aktentransporte von und zu den Mitarbeitern wie Schreibmaschinen und Faxgeräte eher zu den historischen Unternehmenseinrichtungen der Vergangenheit zählen. Bei genauerer Betrachtung, zum Beispiel im Rahmen einer Business Impact Analyse, stellt man dann jedoch  häufig erstaunt fest, dass der Postdienst für das Funktionieren der Geschäftsprozesse weiter unerlässlich ist, wie auch die Archive im Keller. Woran liegt dies und was bedeutet dies für das Business Continuity Management? Auch wenn die Daten elektronisch vorliegen, arbeiten viele Mitarbeiter dennoch nach wie vor mit Papier und Akten. Es können handschriftliche Notizen oder Schriftverkehr bei der Bearbeitung zur Akte ergänzt werden und mancher Mitarbeiter bevorzugt einfach die Arbeit mit dem Papier zusätzlich zum Bildschirm. Neben diesen, im Notfall verzichtbaren Dokumenten, gibt es jedoch auch unverzichtbare körperliche Dokumente. Hierzu zählen zum Beispiel Urkunden wie Fahrzeugscheine oder Grundschuldbriefe wie auch Altakten, die nicht elektronisch archiviert wurden. Diese Dokumente sind in einem Notbetrieb häufig unverzichtbar und bei Verlust durch Brand, Diebstahl oder Wasserschaden nur sehr aufwändig wiederherstellbar. Für das Business Continuity Management bedeutet dies, in der Business Impact Analyse ein wachsames Auge auch auf notwendige körperliche Dokumente zu haben und diese mit aufzunehmen. Ein Blick in die Archive und Poststellen schärft den Blick und hilft kritische Dokumente zu identifizieren. Im Rahmen des Risk Assessment sollte dann analysiert werden, ob diese Dokumente ausreichend gegen Verlust und Zerstörung abgesichert sind. Hierzu zählt der vorbeugende Brandschutz in den Archiven wie auch Risiken beim Transport und der dezentralen Lagerung der Dokumente ausserhalb gesicherter Archive. Bei der Erstellung der Notfallkonzepte spielen diese Dokumente wiederum eine zentrale Rolle. Bei dokumentenbasierten Prozessen muss die Postverteilung mit in das Notfallkonzept einbezogen werden. Eine Verlagerung dieser Prozesse in das Home Office ist aus Gründen der Logistik, des Datenschutzes und der Informationssicherheit nicht möglich. Auch müssen für Verlust oder fehlender Zugriff auf die Dokumente, zum Beispiel bei Gebäudeevakuierungen, entsprechende Notbetriebs- und Wiederherstellungskonzepte für diese Dokumente erstellt werden.

Häufig werden diese Aspekte mit Blick auf bestehende elektronische Archivierungslösungen und Bereitstellung der Daten über IT-Anwendungen schnell unterschätzt. Es lohnt sich daher, im Rahmen der Business Impact Analyse auch einen analytischen Blick auf kritische körperliche Dokumente zu werfen, um im Notfall dann nicht böse überrascht zu werden.

Bildquelle: fotolia #118549806 | Urheber: rdnzl

Risiken beim Outsourcing erkennen, steuern und minimieren

Das Risikomanagement beim Fremdbezug von Leistungen ist eines der Themen, die uns in Zukunft weiter intensiv beschäftigen werden. Kein Unternehmen kann und will heute mehr alle Leistungen rund um die Produkt- und Serviceerstellung selbst erbringen. Das Outsourcing ermöglicht die Konzentration auf die Kernkompetenzen und schafft Kostenvorteile durch Skaleneffekte bei Dienstleistern und Zulieferern. Auf der anderen Seite der Medaille stehen die Risiken durch das Outsourcing. Schon der Ausfall eines Lieferanten von Bauteilen im Wert weniger Euros bringt komplette Lieferketten zum Stillstand. Im Finanzdienstleistungsbereich ist das Outsourcing daher ein zunehmend wichtiges Thema bei Prüfungen durch die Aufsichtsorgane BaFin und Bundesbank. Die aktuelle Konsultation zu den Bankaufsichtlichen Anforderungen an die IT “BAIT” zur Konkretisierung der MaRisk machen dies deutlich. Die Auslagerungssteuerung ist eines von acht Themen dieses Rundschreibens.

In einem zweiteiligen Beitrag auf  der Plattform 3GRC habe ich einige Grundlagen zum Supply Chain Continuity Management zusammengefasst:

Supply Chain Resilience – Absicherung der kritischen Lieferketten

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Ich freue mich auf Ihr Feedback.

Business Continuity Institute veröffentlicht aktuelle Supply Chain Continuity Studie

Das Business Continuity Institute BCI hat heute im Rahmen der BCI World Conference in Zusammenarbeit mit Zurich die aktuelle Supply Chain Continuity Studie veröffentlicht:

“One in three organizations has experienced cumulative losses of over €1 million during the last year as a result of supply chain disruptions. That is according to the Supply Chain Resilience Report published by the Business Continuity Institute and supported by Zurich Insurance Group.

The report showed that, despite a decrease in the percentage of organizations that experienced at least one disruption (70% from 74%), those organizations suffered more of them, with the percentage of organizations that experienced at least eleven disruptions during the year increasing from 7% to 22%.”

Wer sind die “interested parties” aus ISO 22301

Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag für die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Poster fĂĽr die Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai findet dieses Jahr wieder die Business Continuity Awareness Week “BCAW” statt. Die Woche ist dazu da, das Bewusstsein für Business Continuity Management in den Organisationen zu stärken. Das Business Continuity Institute bietet in dieser Woche auf der Webseite BCAW2016 zahlreiche hochwertige und kostenfreie Webinare internationaler Referenten zu BCM an. Zur Unterstützung der Awareness-Kampagne gibt es auch in diesem Jahr wieder Poster. Diese können kostenfrei in unterschiedlichen Formaten von der Seite heruntergeladen werden und dürfen Büros und Gänge schmücken.

BCAW_A44-1

Wachsende Bedeutung von “non property damage risks”

Risiken, die keine physischen Schäden verursachen, aber trotzdem zu finanziellen Schadensfolgen für das Unternehmen führen, nehmen zu. Zu diesen Risiken gehören zum Beispiel Schäden durch Cyber Attacken oder geo-politische Risiken. Die finanziellen Schäden in Folge von Reputations- und Imageverlusten übersteigen mittlerweile die direkten Kosten durch Cyber Attacken. Dies ist ein Ergebnis des Allianz Risk Barometer 2015. Über 500 Risikomanager in mehr als 40 Ländern wurden für die Studie befragt. Geschäftsunterbrechungen auf Grund von physischen Schäden wie Feuer, Explosion oder Naturkatastrophen sowie Unterbrechungen der Lieferkette dominieren jedoch nach wie vor die Risikolandschaft. Insbesondere die stark wachsende internationale Vernetzung der Wirtschaft schlägt sich in den Risiken nieder. Der legendäre “umgefallene Sack Reis in China” kann mittlerweile auch hierzulande über die eng verflochtenen Lieferketten einen Tsunami auslösen. Business Continuity Management und Transparenz der Lieferkette um diese Risiken zu reduzieren ist trotzdem bei vielen Unternehmen noch Fehlanzeige. “Collaboration between different areas of the company – such as purchasing, logistics, product development and finance – is necessary in order to develop robust processes which identify break points in the supply chain. Supply chain performance management analysis can enable early warning systems to be created, ” so Volker Muench, Global Practice Group Leader, AGCS Property Underwriting in der Studie. Und da waren sie wieder, die Silos, die es aufzubrechen gilt.

Was bedeutet dies für das Business Continuity Management? Die klassischen BCM-Risikoszenarien wie Ausfall von Gebäuden, Personal oder IT bleiben von Relevanz. Weitere Szenarien, die non property damage risks abbilden, müssen im Business Continuity Management stärker berücksichtigt werden. Die Frage ist, wie muss eine Business Impact Analyse und eine Notfallplanung aussehen, die eine angemessene Reaktion ermöglicht. Fakt ist, dass die Anforderungen an Reaktions- und Wiederanlaufzeiten bei diesen Risiken deutlich kürzer werden, als wir sie häufig für die klassischen BCM-Szenarien in der Business Impact Analyse abbilden. Kritischer Erfolgsfaktor für die Bewältigung dieser Szenarien ist eine schnelle Reaktion und Kommunikation – sowohl intern als auch intern. Aspekte, die auch in Tests und Übungen für das BCM und Krisenmanagement berücksichtigt werden müssen. Übungen, die eine Cyber-Attacke simulieren, zeigen diesen Effekt allen Beteiligten deutlich auf. Dynamik, Zeit- und Entscheidungsdruck sind ungleich höher als bei den klassischen BCM-Szenarien. Da hilft nur üben, denn leider ist die Wahrscheinlichkeit von einer Cyber-Attacke getroffen zu werden sehr hoch und  sei es nur wie im Falle des Ludwigsluster Wurstfabrikanten, dessen Mail-Adresse zum Versand von Malware missbraucht wurde. Empörte und hilflose Opfer des Cryptolockers legten daraufhin durch Anfragen und Beschwerden die Infrastruktur des Unternehmens für mehrere Stunden lahm.

Vom schwierigen Verhältnis zwischen Business Continuity Management und Organizational Resilience

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…