BCM – eine Datensammlung auf dem Weg zu einer Strategie

Abgelegt in: 1 Antwort

Ein Gastbeitrag von Torsten Zacher

Ist BCM nur eine Datensammlung zur Erfüllung von externen Anforderungen oder schafft es durch einen strategischen Umgang mit den Prozessen einen Mehrwert?

Einleitung

Das Business Continuity Managements erhebt eine Vielzahl von Informationen. Im Rahmen der Business Impact Analyse werden vielfältige Anforderungen an die Verfügbarkeit von Ressourcen gestellt. Auf dieser Basis werden Geschäftsfortführungspläne zur Bewältigung von Notfällen und Krisen erstellt.

Wie wird aber weiter mit den Daten umgegangen? Wie nehmen Entscheidungsträger das Thema wahr?

BCM Datensammlung und Wahrnehmung im Unternehmen

Nur diese Daten aufzunehmen und die Geschäftsfortführungspläne erfolgreich zu testen reicht meiner Meinung nach nicht aus.

Das Thema BCM wird häufig nicht ausreichend ernst genommen. Notfälle und Krisen passieren glücklicherweise selten, so das die wenigsten in ihrer Karriere jemals persönlich betroffen werden. Logische Folge hiervon sind zwei zentrale Herausforderung, um das Thema BCM in der Unternehmung zu implementieren.

  • Zum einem ist die Verantwortung innerhalb der Hierarchieebenen zwar beim Top Management angesiedelt, wird aber nicht ausreichend wahrgenommen und nach unten weiterdelegiert. Dennoch ist die Verantwortung für das Thema BCM immer bei den Entscheidungsträgern der ersten und zweiten Ebene zu sehen.
  • Zum anderen ist die organisatorische Verankerung des Themas BCM meist suboptimal gelöst. Gemäß aktuellen Umfragen ist das Thema in unterschiedlichen Organisationseinheiten, wie z.B. IT, Organisation, Corporate Security oder Facility Management angesiedelt. An dieser Stelle kann der Business Continuity Manager im klassischen Sinn keine Macht aufbauen; dieses geht nur über die vielen Hierarchieebenen. Je größer ein Unternehmen ist, desto schwerfälliger ist die Umsetzung. So wird jede Führungskraft und/oder jede Organisationseinheit animiert, seine eigene, persönliche Vorstellung durchsetzen zu wollen.

Vorteilhafter ist die Ansiedlung direkt in der Nähe des Vorstandes. Ein direkter, ungefilterter Berichtsweg an den Vorstand sollte gegeben sein.

Diese Punkte erschweren die erfolgreiche Implementierung des BCM. BIA- bzw. GFP-Berichte werden teilweise zu bereitwillig unterschrieben. Im operativen Aufnahmeprozess sind die Entscheidungsträger richtigerweise nicht involviert.

Daher muss deutlicher werden, dass das BCM allgemein ein strategisches Thema ist und damit die Verantwortung immer bei den Entscheidungsträgern ist und nicht delegierbar werden kann.

Wenn sich die Entscheidungsträger ihrer Verantwortung bewusst sind, stärkt dieses das die Umsetzung des BCMs.

Daher muss es allen Beteiligten, insbesondere den Entscheidungsträgern, klar sein, wie mit dem Thema BCM und den einzelnen Prozessen neben dem Normalbetrieb in einem Notfall oder auch einer Krise umzugehen ist. Es muss eine Strategie für die einzelnen Prozesse beschlossen werden. Dabei ist eine Risikoanalyse inklusive Kosten-Nutzen-Analyse mit einzubeziehen. So wird eine größtmögliche Transparenz, insbesondere für die verantwortlichen Entscheidungsträger, geschaffen.

Identifizierte Abweichungen

Im Rahmen des BCM werden viele Anforderungen aufgenommen. Die Anforderungen stellen erst einmal ein Wunschdenken der betroffenen Organisationseinheiten dar.  Diese „gewünschten“ Anforderungen sollten nun mit den im Unternehmen „tatsächlich“ vorhandenen Realitäten abgeglichen werden. Erfahrungsgemäß ist dieser Soll-Ist Vergleich im Unternehmen relativ unbequem. Hierdurch werden bisher nicht betrachtete Risiken, die bisher stillschweigend akzeptiert worden, aufgezeigt. Die Entscheidungsträger werden zu einer Entscheidung „gezwungen“. In vielen Unternehmen wird diese Entscheidung „vertagt“, da die Beseitigung der GAP’s teilweise hohe Kosten verursacht. Ein taktisches „Aussitzen“ wird damit erschwert.

Wie können die Entscheidungsträger abgeholt werden, die bisher keine Entscheidung getroffen haben?

Exkurs Operationelle Risiken

In Kreditinstituten ist die Umsetzung des Themas Operationelle Risiken (OpRisk) meist weiter vorangeschritten.

OpRisk verwendet auf den ersten Blick ähnliche Methoden, ist aber auf Grund der starken aufsichtsrechtlichen Regelungen in ein Korsett gepresst. Eine gemeinsame Erhebung ist sehr aufwendig und sehr komplex und kann dadurch nur für die Spezialisten zu verstehen sein und damit zu intransparent für die Entscheidungsträger sein.

Eine gewisse Differenzierung sollte daher zwischen OpRisk und BCM existieren.

Eine Gemeinsamkeit kann sein, dass bei beiden Themen eine Strategie entwickelt werden sollte.  Hier können Synergieeffekte generiert werden, ohne dass es zu Kompetenzgerangel über die Methodenhoheit kommen muss.

Beide Themen, das OpRisk und das BCM, zeigen Risiken in unterschiedlicher Form auf. Ökonomisch ist es nicht sinnvoll, alles ist eins zu eins abzusichern. Aber die Entscheidungsträger müssen sich klar über den Umgang mit den Risiken äußern.

Daher ist es sinnvoll, eine Strategie, die in Anlehnung an OpRisk gebildet werden sollte, zu entwickeln.

Die klassischen OpRisk Strategien lauten:

  • Akzeptieren,
  • Reduzieren,
  • Transferieren,
  • Vermeiden.

Entwicklung BCM Strategien

In Anlehnung an die OpRisk Strategien können folgende vier BCM Strategie entwickelt werden:

  1. BCM Anforderung an die Ressourcen umsetzen,
  2. Anpassung Kritikalität BCM Prozess,
  3. Alternative Workarounds schaffen,
  4. Risikoakzeptanz: Abweichung zwischen dem Soll und Ist Verfügbarkeit (GAP) akzeptieren.

Die Strategie ist nur für Prozesse zu bilden, bei denen folgende Bedingungen erfüllt sind:

  • die Ressource wird im Notbetrieb benötigt,
  • eine Abweichung (GAP) vorhanden ist und
  • der Prozess durch die Organisationseinheit als zeitkritisch bewertet worden ist.

Die Strategie wird auf Prozessebene gebildet.

Die Bedeutung der Strategieoptionen lautet:

  1. BCM Anforderung an die Ressourcen umsetzen:
    Die Ist-Verfügbarkeit wird gemäß der Verfügbarkeitsanforderung des Prozesses (Kritikalität) angepasst (Kritikalität > Ist Verfügbarkeit).
  2. Anpassung Kritikalität BCM Prozess:
    Die Kritikalität des Prozesses wird gemäß dem Ist-Zustand durch Neubewertung des Prozesses angepasst (Ist Verfügbarkeit> Kritikalität).
  3. Alternative Workarounds schaffen:
    Kritikalität Prozess und Ist bleiben unverändert. Der zeitliche GAP zwischen den Verfügbarkeitsanforderungen wird jedoch durch einen alternativen Workaround überbrückt.
  4. Risikoakzeptanz:
    Kritikalität Prozess und Ist bleiben unverändert. Die zeitliche Abweichung zwischen den Verfügbarkeitsanforderungen wird durch die Organisationseinheit akzeptiert.

Insbesondere ist der Weg zu dieser Strategie zu revisionssicher dokumentieren. Es bietet sich an dieser Stelle an, bereits vorgenommene Risikoanalyse zu integrieren. Des Weiteren ist eine Kosten-Nutzen-Rechnung aufzustellen.

Vorteilhaft ist es, dieses in einem BCM Tool direkt beim Prozess abzubilden. Im weiteren Verlauf des Controlling Regelkreises können die gewählten Strategien kritisch hinterfragt werden und Übungsszenarien abgeleitet werden.

Bei der Strategie Risikoakzeptanz wir der Prozess im Notfall oder Krise nicht oder nur eingeschränkt zur Verfügung. Dieses ist bei den Übungen und Test zu berücksichtigen.

Auswirkungen der Strategie

Die Strategie ist zentrales Element für das weitere Vorgehen für alle Punkte des Thema Business Continuity Management. Alle weiteren Maßnahmen lassen sich ableiten.

Für spätere Umsetzung einer höheren zeitlichen Verfügbarkeit ist hiermit die Risikoanalyse und Kosten-Nutzen-Analyse bereits vorgenommen worden. Auf dieser Basis ist für die dezentralen Ansprechpartner die Planung für eine Erweiterung der Verfügbarkeit vorzunehmen.

Was bedeutet aber die Risikoakzeptanz in einem Notfall oder Krise? Betriebswirtschaftlich ist die Risikoakzeptanz sinnvoll. Eine regelmäßige Überprüfung unter Berücksichtigung der Top down Vorgaben des Vorstandes, den Erfahrungen aus den Übungen und Test und den Risikoanalysen muss vorgenommen werden.

Erfahrungen

Erste Erfahrungen mit der Strategie sind, dass tatsächlich viele alternative Workarounds existieren, die bisher in den Geschäftsfortführungsplänen tendenziell eine geringere Berücksichtigung gefunden haben.

Akzeptanz des GAP´s ist die vorherrschende Strategie, dieses ist auch so erwartet worden. In Zeiten der noch immer nicht überwundenen Bankenkrisen und dem damit verbundenen Sparzwang werden keine Mittel für die weitere Optimierung der Absicherung im Notbetrieb bereitgestellt.

Die Kritikalität der Prozesse wird hierbei kritisch hinterfragt, wenige Prozesse werden zeitunkritischer eingestuft. Insbesondere werden Feinstellschrauben für die Ressourcen bearbeitet, so dass eine differenzierte Betrachtung für den Notbetrieb vorgenommen wird. Gerne wurden anfänglich pauschal alle Ressourcen für den Notbetrieb als zeitkritisch eingestuft.

Fazit

Durch eine Strategie auf Prozessbasis entstehen Vorteile:

  • Es wird neben der reinen Erhebung der Zeitkritikalitäten ein strategischer Umgang der Entscheidungsträger aufgenommen.
  • Eindeutige Adressierung der Verantwortung an die Entscheidungsträger.
  • Es findet eine Entscheidung unter den Aspekten Risiko und Kosten-Nutzen-Analyse statt.
  • Durch die Strategie wird zusätzlich die Zeitkritikalität eines Prozesses und der Ressourcen verifiziert.
  • Es findet eine differenzierte Betrachtung insbesondere bei den Ressourcen statt, da nicht jede Ressource eine identische Zeitkritikalität besitzt.
  • Alternative Workarounds werden generiert und zukünftig im Geschäftsfortführungsplan dargestellt.
  • Rahmenbedingungen im Unternehmen werden auf Prozessbasis festgelegt.

Disclaimer

Der Artikel spiegelt ausschließlich die persönliche Meinung des Autors wider.

Geschrieben von

Herausgeber der BCM-News, der Marktübersicht für BCM-Tools (www.bcm-tools.com) und des BCM-Forums (www.bcm-net.de).
Unternehmensberater für Business Continuity Management und Informationssicherheit (www.haemmerle-consulting.de)

    One Response

    1. Christian Zänker

      Ich stimme Torsten Zacher zu: BCM ist organisatorisch, wenn auch nicht suboptimal, jedoch zu tief aufgehängt, so dass in der Regel kein direkter Zugang zum verantwortlichen Vorstand gegeben ist. Die Idee einer Stabstelle BCM kenne ich seit über zehn Jahren – habe sie nur noch nirgends realisiert gesehen.

      Der Umgang der Geschäftsführung /der Entscheidungsträger mit dem Thema BCM war schon immer zwiespältig. Man weiß um die Vorgaben der Aufsichtsbehörden auf der einen und der Renditeziele auf der andern Seite – und laviert. Da helfen auch keine gutgemeinten Awareness-Maßnahmen. Die können eher nach hinten losgehen: „wenn die Zeit dafür haben…“

      Torsten Zacher weist in seinem Beitrag zwar auf den Hebel hin, nimmt ihn aber nicht auf: die starken aufsichtsrechtlichen Regelungen für das Risikomanagement! Der Vorstand verantwortet und haftet für die Risiken. Und BCM ist Teil des übergeordneten Risikomanagements. Es dient der Schadensreduzierung bei Ausfall der geschäftskritischen Prozesse durch Einführung von Continuity und Recovery Maßnahmen.

      Die Umsetzung dieser Anforderungen aus der BIA in den SLA muss bewertet werden. Woraus lassen sich denn sonst die GAPs ableiten? Diese GAPs müssen nicht nur als Restrisiko akzeptiert werden – das ist mir zu unverbindlich! Diese GAPs muss die verantwortliche Geschäftsbereichsleitung in seine Verantwortung nehmen und abzeichnen, wenn sie nicht bereit ist, die notwendigen Maßnahmen zur Beseitigung der Risiken zu beauftragen / budgetieren. Diese GAPs sind objektive Risiken, die an das Risikomanagement zurückgemeldet werden und – optimaler Weise – Bestandteil des Risikoreportings an Vorstand und Aufsichtsrat werden.

      Leider beantwortet Torsten Zacher die selbstgestellte Frage, was Risikoakzeptanz in einem Notfall oder einer Krise bedeutet, nicht wirklich. Seine Antwort: „Betriebswirtschaftlich ist die Risikoakzeptanz sinnvoll“ erschließt sich mir nicht. Aber wir wollen hier ja auch diskutieren, und das heißt Argumente finden und austauschen.

    Schreibe einen Kommentar