BCM-Awareness durch Übungen
BCM-Awareness oder gar BCM-Kultur sind ein Dauerthema im Business Continuity Management. Was soll erreicht werden? BCM soll wie selbstverständlich in die täglichen Entscheidungen und Handlungen einfliessen. Insbesondere bei Entscheidungen, die die Sicherheit und Überlebensfähigkeit des Unternehmens entscheiden. Wenn zum Beispiel unbewusst single points of failure geschaffen werden durch die Zusammenlegung von Standorten, Outsourcing oder Änderungen in der IT-Infrastruktur wie die Umstellung von klassischer Telefonie auf Voice over IP-Technik.
Ein zentraler Adressat bei den Bemühungen um die BCM-Awareness ist das Management. Ressourcen und Budget für das BCM gibt es nur, wenn das Management von der Sinnhaftigkeit der Investitionen in das BCM überzeugt ist. Return on Invest ist gerade in finanziell schwierigen Zeiten von noch größerer Bedeutung. Die Drohgebärden mit gesetzlichen und aufsichtsrechtlichen Auflagen werden bei Erreichen eines niedrigen Reifegrades bereits schnell zu einem stumpfen Schwert. Gefährdungen durch Fluten, Erdbeben oder Terrorismus sind in Deutschland im Vergleich zu anderen Ländern glücklicherweise gering, so dass auch hieraus wenig Motivation für eine Auseinandersetzung mit dem Thema Business Continuity Management entsteht. Dass dies in anderen Ländern vollkommen anders ist, habe ich zum Beispiel bei meinem kürzlichen Besuch in Istanbul erleben können. Die ständige Bedrohung durch ein Erdbeben und die jüngste Überschwemmungskatastrophe in Istanbul führt zu einer ständigen Beschäftigung mit dem Thema durch Unternehmen, Organisationen aber auch die Wissenschaft.
Wie können wir angesichts dieser Ausgangslage die Mitarbeiter und das Management von der Sinnhaftigkeit unseres Tuns überzeugen? Wozu führen wir aufwändige Business Impact Analysen mit den Fachabteilungen durch, investieren viel Zeit und Geld in die Erstellung von Notfall- und Krisenmanagementplänen und installieren BCM-Software zur Verwaltung der Daten?
Eine sehr wirkungsvolle Methode, das Management diese Fragestellungen nahezubringen ist die Durchführung von Simulationsübungen. Insbesondere Krisenstabsübungen, an denen das Management direkt oder indirekt beteiligt ist. Ich habe noch keine Krisenstabsübung durchgeführt, an der das Management in der anschliessenden Feedback-Runde nicht ausdrücklich festgestellt hat, ein deutlich besseres Verständnis für das BCM erhalten zu haben. Auch die Bereitschaft in weitere Übungen und BCM-Maßnahmen zu investieren steigt nach einer Krisenstabsübung deutlich. “Das wollen wir jetzt jedes Jahr machen, um uns zu verbessern” höre ich regelmäßig, auch wenn eine Krisenstabsübung für alle Beteiligten stressig ist und Geld sowie Zeit kostet.
Wo Chancen sind, gibt es auch Risiken. Dies ist das Grundgesetz des Risikomanagements. So auch hier. Eine schlecht vorbereitete und durchgeführte Krisenstabsübung kann viel BCM-Arbeit in kurzer Zeit zunichte machen. Wie können diese Risiken reduziert werden?
1. durch eine klare Zielsetzung der Übung:
Welche Inhalte sollen mit Hilfe der Übung überprüft werden?
Mögliche Übungs-Inhalte sind
- Rollen und Prozesse der Lagebeurteilung und Entscheidungsfindung im Krisenstab
- Rollen und Prozesse zur Unterstützung des Krisenstabs im Lagezentrum
- Zusammenarbeit Krisenstab und Lagezentrum
- Templates und Technik für Lagebild und Dokumentation
- Informations- und Komunikationstechnik
- Zugang und Ausstattung von Räumlichkeiten.
Persönliches Stressverhalten der Mitglieder des Krisenstabs sollte nur unter fachkundiger Betreuung der Übung überprüft und Feedback hierzu gegeben werden!
2. durch eine intensive Vorbereitung:
Krisenstabsübungen erfordern eine sorgfältige Vorbereitung. Die Krisenmanagement-Policy mit dem Alarmierungs- und Eskalationsverfahren, personelle Organisation von Krisenstab und Lagezentrum sowie die festgelegten Räumlichkeiten müssen in Form von Tabletop-Tests überprüft und gegebenenfalls aktualisiert oder überarbeitet werden.
Formulare für die Krisenstabsarbeit und die eingesetzte Technik müssen überprüft werden.
Das Szenario für die Simulationsübung muss sorgfältig ausgearbeitet werden. Es muss auf das Unternehmen zugeschnitten sein und für die Teilnehmer der Übung absolut plausibel sein. Ansonsten bleibt die Situation für die Teilnehmer synthetisch und es entsteht kein Übungseffekt. Hierzu sind die örtlichen Gegebenheiten, IT-Architektur, BIA-Ergebnisse und BC-Pläne mit einzubeziehen.
Der Termin (bei angekündigten Übungen) ist rechtzeitig vorher abzustimmen. Gerade bei einer Krisenstabübung mit Vorstandsbeteiligung ist ein halbes Jahr Vorlaufzeit für die Terminierung keine Seltenheit.
Ausgehend vom Szenario wird ein Drehbuch mit einer Vielzahl an Einspielungen (Injects) erstellt.
Die Beobachter der Übung sind festzulegen sowie die Auswertungssystematik und Übungs-Dokumentation.
Ein Briefing aller Übungsteilnehmer vor der ersten Krisenstabsübung hat sich in der Praxis sehr gut bewährt. Was sind die Ziele der Übung, wie läuft die Übung grundsätzlich ab (ohne Szenario und Injects bekanntzugeben), wie wird die Übung ausgewertet?
3. durch eine zielgerichtete Steuerung der Übung:
Die Übung wird durch die Einspielung der Injects gesteuert. Abhängig vom Übungsverlauf wird durch die Einspielungen der Schwierigkeitsgrad für die Teilnehmer erhöht oder gesenkt.
Die Aussenwelt wird dabei simuliert, so dass die Übungsteilnehmer Feedback zu ihren Entscheidungen und Aufträgen erhalten.
Beobachter in Lagezentrum und Krisenstab halten die Abläufe und die erkannten Stärken und Schwächen fest.
4. durch die Auswertung und Dokumentation der Übung:
Eine erste Feedback-Runde direkt im Anschluss an die Übung durch alle Teilnehmer hält den ersten Eindruck der Übung fest.
Die Übungsdokumentation enthält eine ausführliche Auswertung sowie Maßnahmen und Verbesserungsvorschläge.
Wie gelingt es, im Rahmen einer Krisenstabsübung Awareness für das BCM zu schaffen?
Über eine Krisenmanagement-Übung kann der Brückenschlag vom Krisenmanagement zum Business Continuity Management geschlagen werden. Der Schlüssel hierzu liegt in der Ausgestaltung des unternehmens-spezifischen Szenarios. Durch die Definition des Szenarios können die bestehenden Ergebnisse von Business Impact Analysen und Notfallpläne in die Übung einbezogen werden. Dem Lagezentrum stehen die BIA-Ergebnisse für die erste Lagebeurteilung zur Verfügung. Das Lagezentrum ist auf Basis der BIA-Ergebnisse und der BC-Planung in der Lage schnell ein aussagekräftiges Lagebild erstellen:
- welche Geschäftsprozesse sind betroffen und welche hiervon sind zeitkritisch?
- wann müssen welche zeitkritischen Prozesse wiederhergestellt werden (RTOs)?
- welches sind die kritischen Termien für die Prozesse?
- welche Ressourcen (Mitarbeiter, IT, Arbeitspätze, Dienstleister, Dokumente) werden für die Geschäftsfortführung dieser Prozesse benötigt?
- wieviele Arbeitsplätze sind betroffen und müssen ggf. wiederhergestellt werden
- wo sind die Ausweicharbeitsplätze?
- wer hat was zu tun (Notfallpläne)?
Mitglieder von Lagezentrum und Krisenstab können den Nutzen dieser BCM-Dokumentationen für das Krisenmanagement praktisch erfahren und zudem aus der Übung Rückschlüsse ziehen, wie BIA und BC-Planung für das Krisenmanagement weiter optimiert werden können.
Welche Daten aus der BIA werden für das Krisenmanagement benötigt? Wie müssen diese Daten aufbereitet sein, damit sie leicht und schnell nutzbar sein können? Wo liegen die Grenzen zum Beispiel durch eine eingeschränkte Aktualität der Daten?
Dieser Brückenschlag gelingt allerdings nur in einer unternehmensinternen maßgeschneiderten Krisenstabsübung. Computergestützte oder standardisierte Krisenmanagementtrainings sind wichtige und richtige Maßnahmen für das individuelle Training der Mitglieder von Krisenstab und Lagezentrum zum Beispiel in Vor- oder Nachbereitung einer unternehmensinternen Krisenstabsübung. Die Integration von BCM und Krisenmanagement vermögen diese Trainings allerdings nicht zu leisten und damit auch nicht den hier thematisierten Awarenesseffekt für das BCM.
0 Responses