04125 3989923  AM ALTENFELDSDEICH 16, 25371 SEESTERMÜHE
Betrieb jederzeit sicherstellen » BCM » BCM-System

BCM-System nach ISO 22301

EIN EFFEKTIVES BUSINESS CONTINUITY MANAGEMENT-SYSTEM IST EIN ZENTRALER BESTANDTEIL DER KRISENVORSORGE VON UNTERNEHMEN.

EIN EFFEKTIVES BUSINESS CONTINUITY MANAGEMENT-SYSTEM IST EIN ZENTRALER BESTANDTEIL DER KRISENVORSORGE VON UNTERNEHMEN.

Durch ein gut durchdachtes BCM-System können Unternehmen potenzielle Risiken und Schwachstellen in ihrem Geschäftsbetrieb erkennen und passende Maßnahmen treffen, um für Notfälle gerüstet zu sein. Die Einführung eines BCM-Systems verlangt eine tiefe Analyse der Geschäftsprozesse und eine eindeutige Zuweisung von Rollen und Verantwortlichkeiten innerhalb des Unternehmens.

Die BCM-Systemarchitektur: Grundlagen und Funktionalitäten

Rahmen

Grundlagen und Funktionalitäten des BCM-Systems werden erläutert, um eine effektive Geschäftskontinuität zu gewährleisten.

Business-Continuity-Management folgt einem Kreislauf, der dem PDCA-Zyklus ähnelt. Es ist wichtig, Business Continuity fest im Unternehmen zu verankern. Dies bedeutet, dass die Geschäftsführung die erforderlichen Bedingungen schaffen und eine Continuity-Kultur im Unternehmen etablieren muss. Die oberste Leitung legt das Risikoniveau fest, das für das Unternehmen akzeptabel ist, also die sogenannte Risikotoleranz. Dadurch wird bestimmt, welche Störungen und daraus resultierenden Folgen für das Unternehmen tragbar sind und bei welchen weitere Maßnahmen notwendig sind.

Es existieren verschiedene Rahmenwerke, die oft von nationalen Institutionen herausgegeben werden. In Deutschland beispielsweise vom Bundesamt für Sicherheit in der Informationstechnik. Zudem gibt es Rahmenwerke von Institutionen wie dem Business Continuity Institute (BCI).

Die ISO 22301 stellt den internationalen Standard für Business-Continuity-Management-Systeme (BCMS) dar. Die ISO 22300 bietet durch ihre Definitionen Klarheit über verschiedene Begriffe. Die ISO 22313 dient als praktischer Leitfaden für die Implementierung eines BCMS.

Ein BCMS kann zertifiziert werden, was für Unternehmen von Vorteil sein kann, um ihren Kunden ein systematisches Continuity Management nachweisen zu können.

Betreiben ist Kernthema

Die Struktur der ISO 22301 entspricht der von der ISO festgelegten Struktur aller Managementsystemnormen (High Level Structure). Dies stellt sicher, dass die Norm mit anderen Managementsystemnormen, wie z.B. der ISO 9001 oder ISO/IEC 27001, kompatibel ist. Die Hauptthemen von Business Continuity sind hauptsächlich im Kapitel 8 "Betrieb" zu finden. Die restlichen Kapitel bilden den Rahmen und das Fundament für ein funktionierendes Continuity Management. Die Geschäftsführung oder "oberste Leitung" bestimmt, wie fest das BCMS in der Organisation verankert ist.

Einflüsse auf das BCM-System

von außen:

  • Erwartungen und/oder klare Anforderungen von Kunden

  • Gesetzliche oder behördliche Erwartungen

  • Erwartungen von Branchenverbänden oder Verbrauchergruppen

  • Erwartungen des Marktes und Verhalten von Mitbewerbern

  • Erwartungen von Investoren, Banken und Versicherungen

  • Für Störfallbetriebe Anforderungen an das Notfallmanagement

  • Erwartungen von Nachbarn und Anliegern

  • Gesellschaftliche Erwartungen z. B. an die Versorgungssicherheit

  • Politische Interessen

  • und weitere

von innen:

  • Erwartungen von Mitarbeitenden und Betriebs-/Personalräten

  • Interessen von Anteilseignern und Eigentümern

  • die Vorgaben aus Geschäftsführung und z. B. Aufsichtsräten

  • eigene Ziele und unternehmenspolitische Vorgaben

  • und weitere

Schnittstellen / Kontext

Es ist wichtig, regelmäßig zu überprüfen, welche Faktoren sich verändert haben und ob neue Faktoren hinzugekommen sind.

Für die regelmäßige Überprüfung und Ergänzung des Unternehmenskontextes müssen Verantwortlichkeiten festgelegt werden. Dies betrifft auch die Schnittstellen zum Facility Management, einschließlich IT, Einkauf, Vertragsmanagement, Rechtsabteilung, Personal, Marketing und natürlich Produktion.

Der Schwerpunkt liegt auf der Regelmäßigkeit und dem Lernen, den eigenen Horizont aus Continuity-Perspektive regelmäßig zu überprüfen. Ihre Kenntnisse werden nie vollständig sein, das müssen sie aber auch nicht.

Ein weiterer wichtiger Aspekt ist die Festlegung, für welche Bereiche, Produkte, Dienstleistungen, Standorte, Lieferketten oder Abteilungen das BCMS gelten soll. Es ist nicht immer notwendig oder machbar, das gesamte Unternehmen zu berücksichtigen. Manchmal ist es sinnvoll, zunächst mit wesentlichen Bereichen wie dem Facility Management zu beginnen, Erfahrungen zu sammeln und das BCMS dann schrittweise auszudehnen. Es ist jedoch besonders wichtig, klar zu definieren, wo die Grenzen des BCMS liegen.

Das bedeutet, genau zu bestimmen, wo Ihre Verantwortung für das Business-Continuity-Management aufhört und beispielsweise die Verantwortung von Dienstleistern oder Kunden beginnt.

Üben und lernen

Business-Continuity-Management dauerhaft in einem Unternehmen zu etablieren erfordert ausreichende Ressourcen. Dazu zählen finanzielle Mittel, beispielsweise um notwendige Redundanzen für die Unterbrechungssicherheit zu schaffen. Ebenso wichtig ist qualifiziertes Personal, das die erforderlichen Analysen durchführt, Pläne erstellt, diese prüft und Übungen sowie Tests plant und umsetzt. Die Ausbildung und das Sammeln von Erfahrungen sind dabei entscheidend. In der Praxis muss sichergestellt sein, dass Abläufe funktionieren und Pläne effektiv umgesetzt werden können.

Ein guter Plan nützt nichts, wenn er in der Realität nicht umsetzbar ist. In kritischen Momenten zählen Erfahrung und Ruhe. Es ist wichtig, genügend Zeit für Übungen, Tests und das Lernen aus Fehlern zu haben. Dies ist oft der Schlüssel zum Erfolg in kritischen Situationen.

Jeder im Unternehmen, der im Notfall eingreifen muss, sollte regelmäßig trainieren. Das betrifft nicht nur Mitarbeiter, sondern auch Vertragspartner, Freelancer und Lieferanten. Es ist auch wichtig, dass alle wissen, wie ein Business-Continuity-Fall ausgelöst wird und welche Alarm- und Informationskanäle existieren.

Es muss klar sein, welche ersten Reaktionen erwartet werden, wie koordiniert auf den Notfall reagiert wird, wer die Entscheidungen trifft und wer mit Kunden, Partnern und Angehörigen der Mitarbeiter kommuniziert.

Jeder Schritt und alle Kommunikationswege müssen den Beteiligten bekannt sein und regelmäßig geübt werden.

Normalfall und Krisenfall

Regelmäßige Kommunikation im Normalbetrieb mit Nutzern und Schnittstellen liefert wichtige Informationen für das eigene Facility und Continuity Management.

In einem Notfall oder Krisenfall gibt es spezielle Kommunikationsregeln. Es ist sinnvoll, die externe Kommunikation zu zentralisieren. Bestimmen Sie, wer mit Kunden kommuniziert, wer mit Partnern und Lieferanten. Wer informiert die Behörden oder die Medien?

Ebenso wichtig ist die interne Kommunikation und die Entscheidungsfindung. Geben Sie allen Mitarbeitern regelmäßige Updates.

In Bezug auf die Medien: Wenn Sie nicht proaktiv mit der Presse kommunizieren (zumindest bei öffentlichkeitsrelevanten Ereignissen), wird die Presse ihre Informationen von anderen Quellen beziehen. Die Medien werden ihre Informationen erhalten. Es ist also besser, wenn diese Informationen direkt von Ihnen kommen. Erstellen Sie Pressemitteilungen im Voraus und passen Sie diese in einem tatsächlichen Notfall an die aktuelle Situation an. Informieren Sie über das Geschehene, ohne zu spekulieren und vermeiden Sie Schuldzuweisungen.

Berücksichtigen Sie auch die notwendige Kommunikation mit Behörden. Einige Informationen sollten lokale Verwaltungen oder Datenschutzbehörden nicht aus den Nachrichten erfahren. Pflegen Sie gute Beziehungen in alle Richtungen, denn das ist im Notfall von unschätzbarem Wert!

Aus den Betrieb lernen

Wir reagieren auf alles, das nicht wie geplant verläuft. Was war die Ursache für diese ungeplante Änderung? Haben wir etwas übersehen? Gab es einen externen Einfluss auf das Unternehmen, den wir nicht antizipieren konnten? Oder trat eine Störung auf, die in der Risikobewertung bisher nicht ausreichend berücksichtigt wurde?

Diese Situationen sind wertvolle Lernquellen. Es ist wichtig, nicht nur unsere Pläne zu verbessern, sondern insbesondere die Prozesse und Abläufe im Unternehmen, die solche Veränderungen frühzeitig identifizieren sollen. Ein Netzwerk von Frühwarnindikatoren hilft dabei, Handlungsbedarf frühzeitig zu erkennen und proaktiv zu handeln, anstatt nur zu reagieren.

Es ist auch essenziell, alle externen Lieferanten und Dienstleister zu kennen und ihren Einfluss auf unser Business-Continuity-Management zu verstehen. Welche Veränderungen treten bei ihnen auf, die wir berücksichtigen müssen? Wie können Lieferanten und Dienstleister die Widerstandsfähigkeit unseres Unternehmens beeinflussen, sei es positiv oder negativ? Es ist sinnvoll, in unserem Lieferanten- und Dienstleistermanagement einen Indikator zu integrieren, der die Kritikalität für unser Kontinuitätsmanagement berücksichtigt.