Vom schwierigen Verhältnis zwischen Business Continuity Management und Organizational Resilience
Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Die Wogen haben sich mittlerweile etwas geglättet und wir machen immer noch Buisness Impact Analysen und schreiben Notfallpläne. Ob uns diese mühevollen Aktivitäten jedoch der Vision “Organizational Resilience” näher bringen und Business Continuity Manager gar die richtigen Personen hierfür sind, dies ist noch nicht so richtig geklärt. Immerhin gibt es für beide – oder die eine? – Disziplin zwei Standards: ISO 22301 für Business Continuity und den draft ISO 22316 für Organizational Resilience. Das Business Continuity Institute BCI (genauer: Tim Janes Hon vom BCI Board) hat sich jetzt die Mühe gemacht, in einem Statement das Verhältnis zwischen BCM und Organizational Resilience zu klären. In sechs Punkten geht er auf die Terminologie-Debatte ein. Punkt 1: “Business continuity is not the same as organizational resilience”. BCM ist nur ein (wesentlicher?) Bestandteil, um Organizational Resilience zu erlangen, ist doch ein Zusammenwirken vieler Management-Disziplinen hierfür erforderlich.David Honour, Herausgeber von Continuity Central, hat in seinem Beitrag nun die sechs Punkte des BCI kritisch gewürdigt.
Für mich ist diese Diskussion wiederum ein deutliches Zeichen der Positionierungssuche der jungen Disziplin Business Continuity Management. Die Methoden und Verfahren sind mittlerweile etabliert, doch die Verankerung im Management mag nicht so recht gelingen. BCM ist für das Management nicht sexy, zu technokratisch und der Return on Invest nicht nachvollziehbar. Organizational Resilience vermag diese Lücke zu schließen und einen Stellenwert wie das Qualitätsmanagement in Unternehmen bekommen. Damit das BCM hierbei nicht untergeht muss sich die Disziplin weiterentwickeln. Vom “technokratischen Business Impact Monster” zur effizienten und effektiven Managementdisziplin mit “Quick wins”, wie wir Berater dies gerne nennen. Und diese liegen in einer schnellen Reaktionsfähigkeit auf aktuelle Bedrohungen, wozu insbesondere neben den klassischen BCM-Bedrohungsszenarien auch Cyber Attacken und Repuationsrisiken gehören. Diese Handlungsfähigkeit lässt sich nicht im BCM-Silo erreichen. Viele verschiedene Disziplinen müssen zusammenwirken. Informationssicherheitsmanagement, ITSCM und IT DR, Krisenmanagement, Krisenkommunikation, physische Sicherheit und personelle Sicherheit sowie Risikomanagement gehören zu diesen Disziplinen genau so wie das Social Media Management. Nur im Zusammenwirken dieser Disziplinen wird Organizational Resilience gelingen. Und damit gebe ich dem Statement des BCI vollkommen recht. Doch was mir hierbei zu kurz kommt: die BCM Disziplin muss sich für diesen Schritt fit machen und in die nächste Evolutionsstufe begeben sowie die Schnittstellen zu den anderen Disziplinen aktiv aufbauen. Dabei muss die BCM-Methodik agil und auch für kleine und mittelständische Unternehmen einfach anwendbar gemacht werden. Alleine die bestehende widersprüchliche und komplizierte BCM-Begriffswelt macht dies zur Herausforderung. Ich plädiere für ein interdiziplinäres agiles BCM 2.0 mit definierten offenen Schnittstellen. Dann kommt auch die Akzeptanz im Management und bei den anderen Disziplinen von alleine.
Wir können dieses Thema sehr gerne im BCM-Forum “die Zukunft des BCM” weiter diskutieren und ich freue mich über jeden Mitstreiter und konstruktiven Kritiker.
“The best way to achieve corporate resilience is to prove it with a real-life incident that activates the BC plan and forces employees to respond to the event. If employees are able to use the plan to resume business operations to more or less normal levels, resilience has been achieved.”
Auch so kann Resilience interpretiert werden. Wenn der Plan einmal mehr oder weniger funktioniert hat, ist die Organisation resilient – na ja.
Quelle: http://searchdisasterrecovery.techtarget.com/answer/How-does-corporate-resilience-differ-from-business-continuity?utm_campaign=sdr_storage&utm_medium=social&utm_source=twitter&utm_content=1456157096
Die Organizational Resilience ist eine dieser Wortschöpfungen, mit denen ich nach wie vor nichts anfangen kann. Belastbare Organisationsstrukturen sind eine Zielprojektion, von der niemand sich auch nur traut zu sagen, wann sie auf einem zuverlässigen Niveau erreicht sein kann. Aber – bitte – nicht in Befolgung der schädlichen 80:20 Regel! Ich betone dies ausdrücklich, da Matthias Hämmerle die “quick wins” ins Spiel gebracht haben, die mit effektivem Management und schon gar nicht mit einem Qualitätsmanagementsystem vereinbar sind. Die quick wins dienen einzig und allein dazu, einem Vorstand, der in der Regel nur formal die Verantwortung für ein BCMS annimmt, einen schnellen Erfolg für schnelles Geld schmackhaft zu machen: Beratergold!
Belastbare Organisationsstrukturen sind etwas anderes. Hier kommen wir näher an die Vorgaben für Interne Governance-Systeme heran. Hier bietet es sich an, die Qualitätsmanagementsysteme, die alle nach dem gleichen P-D-C-A Zyklus aufgebaut sind und der Zielprojektion eines kontinuierlichen Verbesserungsprozesses dienen, zu integrieren. ISO 9001 Qualitätsmangement, ISO 22301 BCMS, ISO 27001 ISMS, lassen sich mit einander verzahnen (sodass die Zahnräder ineinandergreifen) und mit dem Risikomanagement nach ISO 31000 oder besser noch ISO 27005 in Verbindung setzen, so dass hier wirklich Synergieeffekte erzielt werden können.
Aber hierzu müssen erst einmal die Schnittstellen definiert und geöffnet werden, was Matthias Hämmerle richtig herausstellt. Dazu müssen aber auch erst einmal die organisationsinternen Barrieren, die Bereichsgrenzen und Kompetenzstreitigkeiten überwunden werden. Wenn es gelingt, die querschnittlichen Steuerungseinheiten in ein Governance-Modell zu integrieren, hat man erst einmal die Basis gelegt, auf der eine Organizational Resilience möglich werden kann.
Entscheidend ist dabei, den Vorstand oder die Leitungsebene in die Verantwortung zu nehmen. Und weil die Verantwortlichkeit des Vorstandes nun mal eindeutig über die Risiken der Organisation festgemacht ist, besteht m.E. nur die Möglichkeit, über das Riskomanagement und ein turnusmässiges kennzahlen-basiertes Reporting die relevanten Querschnittsfunktionen in einer übergeordnete Sicherheitsarchitektur zu verankern. Hier kann jede sich auf seine Stärken konzentrieren und mit seinen Kompetenzen einbringen.