03.05.2021Fachbeitrag

Business Continuity Management: gut gewappnet gegen Krisen

BCM bezeichnet einen Managementprozess, der Risiken, Bedrohungen und Schwachstellen Ihres Unternehmens identifiziert.

Für jedes Unternehmen ist es wichtig, dass die Prozesse reibungslos funktionieren – vor allem die kritischen Geschäftsprozesse. Durch Lieferantenausfälle, Cyberangriffe oder Stromausfälle können die Prozesse unterbrochen werden, was finanzielle, wenn nicht sogar existenzgefährdende Folgen mit sich ziehen kann. Ziel und Nutzen eines Business Continuity Management Systems ist es, die Funktionsfähigkeit der kritischen Geschäftsprozesse, das Tagesgeschäft – trotz Krisensituation – sicherzustellen. Verschiedene Richtlinien wie die DIN EN ISO 22301:2019 zum BCM oder der BSI-Standard 100-4 Notfallmanagement vom Bundesamt für Sicherheit in der Informationstechnik geben der Organisation und der Umsetzung einen Rahmen vor. 

Managementprozess BCM

Business Continuity Management (BCM) bezeichnet einen Managementprozess, der Risiken, Bedrohungen und Schwachstellen Ihres Unternehmens identifiziert. BCM bietet einen Rahmen für den Aufbau der organisatorischen Widerstandsfähigkeit, d. h. der Fähigkeit, effizient auf bestimmte Bedrohungen zu reagieren anhand von Business Continuity Plänen. Abgesehen davon, dass Organisationen mit einem funktionierenden BCM-System wesentlich bessere Chancen auf Wiederherstellung haben, stellt BCM auch eine gesetzliche und regulatorische Anforderung dar. Im Falle eines Vorfalls ist die Führungsebene dafür verantwortlich, den Schutz ihrer Mitarbeiter, ihrer Organisation und ihrer Vermögenswerte zu gewährleisten.

Ziele des BCM

Das grundlegende Ziel des BCMs ist die Sicherstellung und Weiterführung des Tagesgeschäfts bei Schadensereignissen oder eine schnelle Aufnahme und Fortführung des Betriebes nach einem Ausfall anhand von Business Continuity Plänen. Das Ziel vereint die Bereiche der Prävention und der Reaktion auf Krisensituationen, die sich auf das Unternehmen und seine wirtschaftliche Tätigkeit auswirken.

Treiber und Vorteile

Mit Hilfe von BCM können Störungen, Notfälle und Krisen organisiert und effizient gemeistert werden und die Risiken vorausschauend analysiert, bewertet und minimiert werden. Welche Treiber und Vorteile des BCMs lassen sich also identifizieren und spielen für die Einführung des BCMs in einem Unternehmen eine Rolle?

  • Rechtliche Vorgaben: Vorgaben verschiedener Art, welche Behörden, Gesetzgeber und Versicherer an das Unternehmen stellen;
  • Management und Geschäftsführung des Unternehmens: Bestrebung der Geschäftsführung nach einem resilienten Unternehmen, das auch in Krisensituationen wirtschaftlich standhält und wettbewerbsfähig bleibt;
  • Organisation: die Optimierung innerhalb der eigenen Organisation, auf bedeutende Vorfälle zu reagieren und geeignete Maßnahmen zu implementieren;
  • Externe Ereignisse und Krisen: Vorbereitung und Präventivmaßnahmen gegen unvermeidbare Bedrohungen wie Hochwasser, technische Gefahren wie Stromausfall oder Sabotage;
  • Image und Reputation: Bessere Verhandlungsposition gegenüber Finanzdienstleistern und Stärkung des Vertrauens gegenüber interessierten Parteien.

Die Vorteile eines etablierten und prozessorientierten Business Continuity Managements liegen auf der Hand: präventive Risikoanalyse und Überwachung, Umgang mit Notfallsituationen, Erhöhung der Widerstandfähigkeit des Unternehmens.

Gerade in der heutigen Zeit der Pandemie haben sich die Business Continuity Management Ansätze als besonders effizient erwiesen und an Bedeutung gewonnen.

Allerdings können viele Unternehmen auch bestimmte Hemmnisse auf dem Weg der Einführung des BCM erfahren und begegnen.

Eine Frage der Kultur

Einige Faktoren, die von außen oder auch intern auf die Organisation einwirken, können die Einführung und Umsetzung des funktionierenden Business Continuity Management Systems verhindern oder beeinträchtigen.

  • Fehlende Unterstützung seitens der Geschäftsführung/des Managements: Komplikationen bei der Beurteilung des Business Continuity Managements als ein notwendiger und unternehmensrelevanter Prozess;
  • Fehlende Akzeptanz durch die Mitarbeiter: Die Erreichung der BCM Themen erweist sich als schwierig bei den dazu zuständigen Bereichen im Unternehmen;
  • Fehlende Ressourcen: obwohl die Notwendigkeit des BCM vorliegt, werden keine monetären und personelle Ressourcen für die Umsetzung zur Verfügung gestellt;
  • Fehlendes Know-how: die Einführung und Umsetzung des BCM beruht auf dem Know-how der Akteure und bedarf bestimmte Standardisierungen im Unternehmen;
  • Fehlende Risikokultur: mangelnde Awareness zu Risiken, Notfällen und Krisen.

BCM nach DIN EN ISO 22301

Die DIN EN ISO 22301 stellt einen weltweit ersten internationaler Standard für Business Continuity Management dar. Mit diesem Standard werden die Anforderungen spezifiziert, welche die Planung, Einrichtung, den Betrieb, die Überwachung und Überprüfung, und stetige Verbesserung eines dokumentierten Kontinuitätsmanagementsystem ermöglichen und somit dem Unternehmen helfen, sich auf die Risiken, Notfälle und Betriebsunterbrechungen vorzubereiten und diese zu meistern.

Die spezifizierten Anforderungen sollen in Organisationen jeglicher Art angewendet werden können und enthalten die Anleitung zur Anwendung im Allgemeinen. Daher sind sie auch in kleinen und mittleren Unternehmen gut umsetzbar.

Praktikable Anwendung für KMU

Wie gehen die kleinen und mittleren Unternehmen die Umsetzung der Einführung des BCM zielgerichtet und effizient an?

Pläne und Vorkehrungen für das Business Continuity Managements basieren auf der Business Impact Analyse (BIA). Die Business Impact Analyse ermittelt Geschäftsprozesse, welche für die Aufrechterhaltung des Geschäftsbetriebs kritisch sind. Die Bezeichnung „kritisch“ im Sinne der BIA bedeutet „zeitkritisch“ und weist auf die Prozesse hin, deren schnelle Wiederaufnahme erforderlich ist, um einen hohen Schaden für Ihr Unternehmen zu vermeiden. Mittels der BIA können zudem die Folgen eines Ausfalls dieser Tätigkeiten identifiziert werden.

Im Zuge der BIA sollten Tätigkeiten ermittelt werden, welche die Bereitstellung von Produkten und Dienstleistungen unterstützen. Die Auswirkungen dieser Tätigkeiten sollten über einen bestimmten Zeitraum analysiert werden. Daraufhin sollte eine Zeit festgelegt werden, in der die Auswirkung der Nicht-Wiederaufnahme von Tätigkeiten für Ihr Unternehmen inakzeptabel werden würde. Tätigkeiten mit hoher Priorität erhalten einen individuellen Zeitraum für die Wiederaufnahme einer festgelegten Mindestkapazität. Zudem sollten in der Analyse die benötigten Ressourcen zur Unterstützung der priorisierten Tätigkeiten und die Abhängigkeit und Wechselbeziehungen der Geschäftsprozesse mit hoher Priorität bestimmt werden.

Zu den adäquaten BCM-Maßnahmen gehört gemäß DIN EN ISO 22301 die Konzeption eines Business Continuity Plans. Im Allgemeinen umfasst dieser alle Ressourcen, Dienstleistungen und Aktivitäten, die zur Gewährleistung der Kontinuität der Geschäftsfunktionen erforderlich sind.

Um die Thematik des BCMs in einem Unternehmen anzugehen und zu spezifizieren, bietet es sich an, einige Fragen im Vorfeld zu stellen und zu beantworten:

  1. Welche Geschäftsaktivität/Ressource ist essenziell zur Aufrechterhaltung des Geschäftsbetriebes?  
  2. Welcher Ausfall einer Geschäftsaktivität oder Wegfall einer Ressource hätte Auswirkungen auf die Aufrechterhaltung des Geschäftsbetriebs?  
  3. Welche Geschäftsaktivität oder welche Ressource müsste angegriffen werden, um den größtmöglichen Schaden zu erzielen?  
  4. Welche Maßnahmen sind integriert oder müssten integriert werden, damit das Ausfallrisiko für die Geschäftsaktivität/Ressource minimiert wird?  

 

Zurück zur Themenwoche Cybersecurity im Mittelstand

 

 

Mehr zu diesen Themen