Ein Beitrag von Dr. Gert Evers, controllit AG
Business Continuity Management einzuführen oder umfassend zu überarbeiten ist kein leichtes Unterfangen. Zu vielfältig sind doch die einzelnen Aktivitäten und die Abhängigkeiten der Aktivitäten untereinander. Dabei hilft es, einer klaren, definierten Vorgehensweise folgen zu können. Eine solche Vorgehensweise wurde von uns in vielen Projekten und mit Hilfe langjähriger Expertenerfahrungen entwickelt und in der Praxis erprobt.
Die BCM-Vorgehensweise baut auf 6 Stufen auf, die peu à peu zu einem umfassenden strukturierten BCM führt, so dass das Unternehmen schließlich optimal gegen große Störungen, Notfälle oder Krisen gewappnet ist.
Stufe 1: BCM Initiierung
Das BCM erfordert eine sorgfältige Vorbereitung, die zunächst damit beginnt, dass die wesentlichen Randbedingungen, Vorgaben und Ziele mit dem Top Management zu vereinbaren und von diesem zu unterzeichnen ist. Dieses Dokument ist die BCM-Policy. Die darin festgehaltenen Vereinbarungen sind die Eckpfeiler des gesamten BCMs.
Vor dem Start des eigentlichen BCMs sind die entsprechenden Vorgaben umfangreich zu verfeinern und im BCM-Handbuch festzuhalten. Dieses Dokument stellt quasi die Arbeitsanweisungen dar, mit denen die nachfolgenden Aktivitäten durchgeführt werden. Wesentlicher Inhalt des Handbuchs ist die BCM-Organisation des Unternehmens und aller darin erforderlichen Rollen. Außerdem sind alle weiteren Stufen so detailliert wie möglich beschrieben.
BCM-Vorgehensweise der Controllit AG, Hamburg
Stufe 2: Analyse und Strategie
Wie alle umfangreichen Projekte startet auch die BCM-Vorgehensweise mit einer Analyse. Die Business Impact Analyse (BIA) identifiziert die Anforderungen an das BCM. Aus einer Abschätzung potenzieller Schäden bei Ausfall von Geschäftsprozessen werden Ziele für die maximal erlaubten Ausfallzeiten abgeleitet. Diese maximal erlaubte Ausfallzeit ist die Kennzahl, mit der die Kritikalität von Geschäftsprozessen und deren erforderlichen Ressourcen und Infrastruktur charakterisiert wird.
Die nächste Analysedisziplin ist die Risikoabschätzung. Aus einem umfassenden Katalog von potenziellen Gefährdungen werden diejenigen Risiken oder Schwachstellen herauskristallisiert, die zu einem Notfall oder einer Krise führen können. Effektive Gegenmaßnahmen sollen verhindern, dass solche Risiken Realität werden und zu einem Notfall bzw. einer Krise führen. Auch im BCM gilt: Vorbeugen ist besser als heilen. Verhindern von Notfällen/Krisen ist besser als das beste Krisenmanagement!
BIA und Risikoabschätzung zeigen mögliche Notfallszenarien auf, für die eine Notfallvorsorge sinnvoll ist.
Die Anforderungsliste der maximal erlaubten Ausfallzeiten aus der BIA ist zu vergleichen mit den tatsächlichen Ausfallzeiten, die bei Eintritt eines der Notfallszenarien aktuell zu erwarten sind. Diese Betrachtung ergibt meist eine Diskrepanz, denn die Anforderungen „Soll“ sind oft höher (kürzere Ausfallzeiten) als die aktuellen Möglichkeiten „Ist“ (längere Ausfallzeiten). Um die Anforderungen an das BCM erfüllen zu können, wird eine BC-Strategie erarbeitet: Mit welchen Maßnahmen sind die Anforderungen erfüllbar und mit welchen Kosten ist jeweils zu rechnen. Dabei sind möglichst mehrere Optionen zu erarbeiten, aus denen das Top Management jeweils eine auswählt.
Da die Analyse und Strategie die Vorgabe für alle folgenden Maßnahmen sind, sind diese Aktivitäten möglichst sorgfältig durchzuführen. Es gilt die bekannte Regel: Je sorgfältiger die anfängliche Planung, desto effektiver, wirtschaftlicher und kürzer ist die weitere Durchführung.
Stufe 3: Implementierung
Während der Implementierung sind alle in der BC-Strategie ausgewählten Maßnahmen umzusetzen.
Parallel dazu ist die Krisen- und BCM-Organisation aufzubauen. Die Krisenorganisation steuert eine Notfall- bzw. Krisensituation und stellt damit die strategische und taktische Ebene dar. Die BCM-Organisation bildet die operative Ebene: Notfallteams führen die erforderlichen Wiederanlaufmaßnahmen durch und nehmen den geplanten Notbetrieb spätestens nach der maximal erlaubten Ausfallzeit auf.
Während das Krisenmanagement sowohl geplante als auch ungeplante Ausfallszenarien steuern muss, fokussiert die BCM-Organisation auf geplante Ausfallszenarien.
Stufe 4: Planung
In der Planungsphase sind Notfallpläne zu erarbeiten. Dabei sind möglichst alle erdenklichen Situationen abzudecken.
- IT- und Infrastruktur-Recovery-Pläne unterstützen den Wiederanlauf von IT, Gebäuden, Arbeitsplätzen und deren Infrastruktur.
- Business-Continuity-Pläne beschreiben die Aktivitäten der Organisationseinheiten, so dass nach dem Wiederanlauf von IT, Gebäuden, Arbeitsplätzen und deren Infrastruktur die Geschäftsprozesse des Unternehmens auch in einem Notbetrieb anforderungsgerecht durchgeführt werden.
- Der Krisenkommunikationsplan sorgt für eine effiziente Kommunikation mit allen Interessensgruppen „Stakeholder“ wie Mitarbeiter, Kunden, Lieferanten oder Öffentlichkeit.
Stufe 5: Test-Strategie
Notfälle und Krisen sind glücklicherweise sehr selten. Im BCM wird mit derartigen Szenarien alle 10 bis 30 Jahre einmal gerechnet. Vereinfacht ausgedrückt erlebt jede Person einen einzigen Notfall bzw. eine Krise in ihrem Arbeitsleben. Aus diesem Grunde ist es erforderlich, alle Vorsorgemaßnahmen wie technische Vorsorgemaßnahmen und Notfallpläne regelmäßig zu testen und zu üben.
Dabei startet man zunächst mit kleineren Tests und Übungen, die mit geringem Aufwand und geringem Risiko durchführbar sind. Selbst theoretische Tests oder umfangreiche Besprechungen von Notfallplänen decken bereits Schwachstellen auf, so dass für die praktischen Tests gute Vorarbeit geleistet wird. Mit immer fortschreitender Übung und Routine der Teilnehmer werden die Tests allmählich umfangreicher. Ziel ist, das maximal geplante Ausfallszenario üben zu können. Diese Vorgehensweise erfordert eine mittel- oder längerfristige Planung: eine Test-Strategie.
Stufe 6: Initialtest
Während die Test-Strategie eine reine Planungsaufgabe darstellt, ist in dieser Stufe ein Initialtest praktisch durchzuführen, der die Funktionsfähigkeit des BCM grundsätzlich dokumentiert. Dabei soll dieser Initialtest insbesondere die Vorgehensweise von Tests und Übungen selbst beinhalten: Zielsetzung und Planung, Durchführung und Nachbereitung und Bericht. All diese Testphasen sind explizit durchzuführen und mit entsprechenden Dokumenten zu belegen. Der Initialtest beendet die BCM-Einführung bzw. BCM-Überarbeitung.
In dem heutigen sehr agilen Umfeld ergeben sich allerdings schnell wieder Änderungen. Zusammen mit zwischenzeitlich erkanntem Verbesserungspotenzial beginnt der BCM-Prozess wieder mit der Stufe 1 und der Aktualisierung der Dokumente, Prozesse und Maßnahmen.
Mehr Informationen finden Sie unter www.controll-it.de.
Dr. Gert Evers ist Manager für Business Continuity Management (BCM, betriebliches Notfallmanagement) bei der Controllit AG in Hamburg. Seit 1999 leitet er zahlreiche Projekte zu diesen Themen und deckt dabei alle Aspekte des BCM und auch ITSCM ab, wie Leitlinie/Policy, Business Impact Analyse, Risikoanalyse, Business Continuity Strategie, Realisierung, Planung, Dokumentation, Tests und Übungen. Dr. Evers studierte ursprünglich Elektrotechnik und sammelte umfangreiche Projekterfahrung zu Netzwerkdesign, Netzwerkrealisierung, Notfall- und Krisenmanagement für IT und Geschäftsprozesse.