Vom 14. bis 18. Mai fand erneut die jährliche Business Continuity Awareness Week (BCAW) statt. Organisiert wird diese Online-Veranstaltung durch das Business Continuity Institute BCI (www.thebci.org), das seit vielen Jahren on- und offline Business Continuity und Resilience fördert und entwickelt. Kostenfrei bereitgestellte Marketingmaterialien wie Poster und Logos, eine Woche gefüllt mit internationalen Webinaren rund um das Themenspektrum BCM sowie aktuelle Publikationen sollen helfen, Business Continuity Management in den Organisationen und Unternehmen weltweit bekannt und bewusst zu machen. Die BCAW ist ein tolles Medium für BCM-Verantwortliche, um sich weiterzubilden und Motivation für manch schwierige Zeit zu tanken. Das Bewusstsein für BCM in den Unternehmen wird diese Woche jedoch nicht verändern, denn die hierfür relevanten Personen werden sich kaum auf die Webseiten des BCI “verirren”.
So ist und bleibt “BCM-Awareness” ein Dauerthema auf den Hitlisten der Herausforderungen seit es die junge Disziplin gibt. Im fortwährenden Wettstreit um Budgets, Unterstützung durch das Management und die Fachbereiche hat sich die Lage leider verschärft. Die “gesetzliche und regulatorische Keule” zur Einforderung dringend benötigter Unterstützungsleistungen wird neben dem BCM noch von vielen anderen Disziplinen geschwungen, aktuell besonders stark durch den Datenschutz mit Bußgeldandrohungen in schwindelerregenden Höhen. Fachbereiche leiden häufig unter einer effizienz- und wertschöpfungsorientierten Personalbemessung, mit der die nicht zur direkten Wertschöpfung beitragenden regulatorischen Aufgaben kaum mehr leistbar sind. Auf der anderen Seite kämpfen immer mehr Disziplinen um die Kapazitäten in den Fachbereichen unter dem Leitmotiv Governance, Risiko und Compliance (GRC). Mit dem Aufhängen eines Posters wird sich für das BCM in diesem harten Wettbewerb kein Blumentopf gewinnen lassen. Statt kurzfristiger Marketing-Aktionen ist daher ein gut geplantes, beständiges BCM-Awareness- und Kommunikations-Programm gefordert. Dem BC Manager stellt sich dadurch die Aufgabe, neben seiner fachlichen Tätigkeit, Marketing- und Kommunikationskonzepte zu entwickeln und umzusetzen, um die “regulatorische Keule” sukzessive durch Überzeugung abzulösen.
Im Marketing gehört hierzu die “AIDA-Formel” zum Standard-Repertoire: Attention (Aufmerksamkeit) – Interest (Interesse) – Desire (Verlangen) – Action (Handlung) sind die einzelnen Schritte, die bis zu einem erfolgreichen Abschluss durchlaufen werden müssen. Im BCM haben wir den Vorteil, dass nicht jeder unser Produkt kaufen muss. Bei einigen Zielgruppen reicht die erste oder zweite Stufe im Kaufprozess bereits aus. Andere Zielgruppen müssen unser Produkt jedoch kaufen, das heißt Budget und Kapazitäten investieren.
Ein solches BCM-Awareness- und Kommunikations-Programm muss zunächst einmal identifizieren, welche Rollen und Personengruppen angesprochen werden sollen. Der BCM-Standard ISO 22301 spricht hier von den “interested parties”. Für diese Zielgruppen sollten jeweils spezifische Kommunikations-Maßnahmen identifiziert werden, abhängig von den Kommunikationszielen und spezifischen Informationsbedürfnissen. Welche Zielgruppen sollte ein BCM-Awareness-Programm ansprechen? Einige der wesentlichen Zielgruppen lassen sich zunächst entlang der Verteidigungslinien im Lines-of-Defense-Modell (LoD-Modell) identifizieren:
- Erste Verteidigungslinie: Fachbereichs- und Prozessverantwortliche
Mitarbeiter, die eine Rolle im BCM wahrnehmen, müssen in ihre spezifischen Aufgaben eingewiesen werden und den Gesamtkontext verstehen. Hierzu gehören Prozessverantwortliche für die Business Impact Analyse, BCM-Strategie und -Planung sowie Teilnehmer an Tests und Übungen. - Zweite Verteidigungslinie: unabhängige Risikomanagement- und Compliancefunktionen
Hierzu gehören die zentralen Funktionen des Risikomanagements, Unternehmenssicherheit, Compliance, Recht, Controlling etc.. Das BCM hat vielfältige fachliche und prozessuale Schnittstellen zu den weiteren GRC-Disziplinen. Die enge konzeptionelle, organisatorische und prozessuale Abstimmung dieser Disziplinen ist Voraussetzung für eine unternehmensübergreifende GRC-Steuerung und ermöglicht die Nutzung von Synergien. Grundlage hierfür ist die Kenntnis über Methoden und Vorgehen in den angrenzenden Fachgebieten. - Dritte Verteidigungslinie: Interne Revision
Aufgabe der internen Revision ist die Bewertung der Angemessenheit und Wirksamkeit des Business Continuity Managements. Hierzu muss die Revision das BCM natürlich bestens kennen. - Vierte Verteidigungslinie: Abschlussprüfer
BCM gehört auf Grund der gesetzlichen und regulatorischen Anforderungen zu einem Standard-Prüfungsfeld in der Abschlussprüfung. Auch diese Personengruppe hat von Beruf aus ein großes Interesse an BCM. - Fünfte Verteidigungslinie: Aufsichtsbehörden
Nicht zuletzt mit dem IT-Sicherheitsgesetz ist das BCM zu einem wichtigen Prüfungsfeld branchenspezifischer und branchenübergreifender Aufsichtsbehörden (Bsp. Bundesamt für die Sicherheit in der Informationstechnik BSI) geworden. Die Damen und Herren der Behörden verfolgen unser BCM daher mit hohem Interesse.
Darüber hinaus gibt es weitere wichtige Zielgruppen für das BCM-Awareness-Programm innerhalb und außerhalb des Unternehmens:
- Management
Die oberste Leitungsebene übernimmt in der BCM-Policy die Gesamt-Verantwortung für das Business Continuity Management System. Dies fordert von der Unternehmensführung eine fortlaufende Information über das BCM, um Entscheidungen treffen zu können. - alle Mitarbeiter
alle Mitarbeiter des Unternehmens sollten über Aufgaben, Ziele und Inhalte des BCM informiert sein. - Kunden
Im B2B-Bereich haben Kunden regulatorische Verpflichtungen und ein existentielles Interesse an der Notfallfähigkeit des Unternehmens. Sie wollen daher über das BCM informiert werden. - Dienstleister
Auch mit kritischen Dienstleistern des Unternehmens müssen Notfallkonzepte abgestimmt werden. Eine gegenseitige Information ist die Basis hierfür.
Welche Awareness- und Kommunikationsmaßnahmen stehen dem BCM zur Erreichung dieser Ziele zur Verfügung:
- Statusberichte, persönliche Kommunikation:
Präsentation und Statusberichte in Jour Fixes, BCM-Gremien, Lenkungsausschüssen etc. - BCM-Berichtswesen:
Monats-, Quartals-, und BCM-Jahresberichte, Test- und Übungsberichte, Dokumentation von BCM-Ereignissen - Unterweisungen, Schulungen, Trainings:
Durchführung von Schulungsmaßnahmen für spezifische Zielgruppen - BCM-Tests und -Übungen:
Persönliches Erleben des Mehrwerts von BCM im Rahmen von Tests und Übungen - Information und Publikationen:
Beiträge zu Methoden und Verfahren sowie Praxisbeispielen in Mitarbeiterzeitschriften, Intranet; Vorstellung bei der Einführung neuer Mitarbeiter - BCM-Awareness-Aktionen:
Awareness-Maßnahmen und -Veranstaltungen
Auf Basis der AIDA-Formel lassen sich die Anforderungen an die Kommunikation des BCM für die identifizierten Zielgruppen differenzieren und die spezifischen Maßnahmen zuordnen.
Die Grafik zeigt, wie BCM-Awareness- und Kommunikationsmaßnahmen zielgerichtet an den Bedarfen der spezifischen Zielgruppen ausgerichtet werden können.
Eine rollierende 3-Jahresplanung der Maßnahmen hilft, die Maßnahmen langfristig vorzuplanen und die Umsetzung zu steuern.
Matthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschafts-wissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.