Die Tiefenanalyse des Entwurfs für den grundlegend aktualisierten BCM-Standard ISO 22301 geht in die nächste Runde. Christian Zänker, erfahrener Analyst und Trainer für Standards, hat sich dieses Mal die Prozesse und Dokumentationsanforderungen im Entwurf vor- und bis ins Detail auseinandergenommen. Auch erfahrene Anwender können hier sicherlich neue Erkenntnisse gewinnen.

Ein Business Continuity Managementsystem (BCMS) unterscheidet sich von einem herkömmlichen Business Continuity Management (BCM) durch den Schwerpunkt, der auf Planung, Steuerung und kontinuierlichen Verbesserung des Systems liegt. Im P – D – C – A Zyklus (Plan – Do – Check – Act) nimmt das „Plan“ einen herausragenden Platz ein. Ihm sind die Clauses (cl.)

4 Context of the organization
5 Leadership
6 Planning
7 Support

zugeordnet. Dem eigentlichen Betrieb, dem „Do“, so wichtig er auch ist, ist nur die cl. 8 Operation gewidmet. Auf dieses bezieht sich das herkömmliche BCM, das dem BCM Lifecycle folgt. Eine Gleichsetzung / Vermischung beider Zyklen führt deswegen immer wieder zu Irritationen und zielsicher auf die altbekannten, ausgetretenen Holzwege.

ISO 22301 als Managementsystemstandard betont den Prozesscharakter, wobei, wie bereits in einem früheren Beitrag für die BCM News Process versus Activity zum prozessorientierten Ansatz der ISO 22301 ausgeführt unter Prozess Steuerungsprozesse verstanden werden und unter Activity operative oder Wertschöpfungsprozesse.

Die Frage, die sich stellt, und die nicht eindeutig zu beantworten ist, ist die, ob diese von der Norm geforderten processes als documented information vorgehalten werden müssen. In der Definition cl. 3.13 documented information heißt es in Note 2 „can“, was auf eine Möglichkeit hinweist, aber keine zwingende Anforderung „shall“ ist: „can refer to the management system including related processes“.
Unter allen geforderten Prozessen sind nur zwei mit dem Attribut „documented“ versehen. Die Definition unter cl. 2.2 audit bezeichnet einen „systematic, independent and documented process…“ und cl. 8.4.5 recovery fordert: „The organization shall have documented processes to restore and return business activities…“ Hier muss man die Endredaktion der Norm abwarten, ob diese beiden Attribute weiterhin Bestand haben werden.
Versuchen wir es mit einer systematischen Annäherung.
Cl. 4.4 Business continuity management system fordert ein BCMS einschließlich der benötigten Prozesse und deren Wechselwirkung (interactions). Auch hier fehlt, wie schon in der ISO 22301:2012 der Verweis auf die Einleitung der Norm cl. 0.1, in der oftmals übersehen (denn wer schaut schon in die introduction…) steht:

„A BCMS, like any other management system, includes the following components:

1. a)  a policy;
2. b)  competent people with defined responsibilities;
3. c)  management processes relating to:

policy;
planning;
implementation and operation;
performance assessment;
management review;
continual improvement;

1. d) documented information supporting operational control and enabling performance evaluation.“

Es muss in jedem Managementsystem, also auch im BCMS Prozesse geben, wie Zielvorgaben und Leitlinien erlassen werden, wie das System geplant, wie es eingeführt und betrieben, die Leistungsfähigkeit bewertet und durch das Management reviewed und kontinuierlich verbessert wird. Aber heißt der Hinweis in d), dass die dokumentierte Information, die die betriebliche Steuerung und Leistungsbewertung ermöglichen soll, auch, dass diese Prozesse selbst dokumentiert sein sollen?

Der Schluss liegt nah, denn wie soll eine betriebliche Steuerung ablaufen und die Effektivität der Umsetzung überprüft werden, wenn man die Anforderung nur vom Hörensagen oder aus traditioneller Überlieferung kennt? Aber es ist nicht explizit gefordert und in allen Auditor Kursen wird vermittelt, dass man die Umsetzung und ihre Effektivität nur gegen explizite Vorgaben und festgesetzte Kriterien prüfen kann.

Gehen wir also weiter zu cl. 6.1 actions to address risks and opportunities. Chancen und Risiken und der Umgang mit ihnen gehören zum Wesensbestandteil von Managementsystemen, wie bereits im vorangegangenen Beitrag zur neuen Norm in den BCM News vom 22.01.2019 erläutert. In cl. 6.1 wird nun explizit gefordert, dass die Organisation planen muss, wie sie diese in die BCMS Prozesse integriert und implementiert und die Effektivität dieser „actions to address risks and opportunities“ bewerten kann. Dies kann nur gehen, wenn diese Prozesse dokumentiert sind und die dokumentierte Information der Dokumentenlenkung unterliegt, um den Nachweis erbringen zu können, welche Vorgaben zu welchem Zeitpunkt galten.

Aber gehen wir weiter zu cl. 8.1 operational planning and control. Diese clause bezieht sich wieder explizit auf cl. 6.1. Noch einmal der Hinweis, cl. 6.1 bezieht sich auf die Planung des Managementsystems, cl. 8.1 auf die betriebliche Planung und Steuerung dessen, was Bezugspunkt des jeweiligen Managementsystems ist. Hier wird gefordert:

„The organization shall plan, implement and control the processes needed to meet requirements, and to implement the actions determined in 6.1 (to address risks and opportunities, cz), by:

1. a)  establishing criteria for the processes;
2. b)  implementing control of the processes in accordance with the criteria;
3. c)  keeping documented information to the extent necessary to have confidence that the processes have been carried out as planned.“

Diese Anforderung lässt sich nun wirklich nur erfüllen, wenn auch die Prozesse, über die die Organisation gesteuert wird, cl. 3.40 „process:
set of interrelated or interacting activities which transforms inputs into outputs“ als dokumentierte Information im Zugriff sind.

Und hierzu auch noch einmal cl. 7.5 Documented information, die identischer Bestandteil aller Managementsystemstandards ist, als explizite Normanforderung:

„The organization’s BCMS shall include:

1. a)  documented information required by this document;
2. b)  documented information determined by the organization as being necessary for the effectiveness of the BCMS.“

Gehen wir nun einmal der Frage nach, welche Prozesse explizit von der neuen ISO 22301:2019 gefordert werden und was Inhalt Ihrer Dokumentation sein sollte. Explizit fordert die Norm über die schon erwähnten 6 Managementsystemprozesse hinaus 10 Prozesse zu

cl. 3.2 Audit
cl. 3.17 Exercise
cl. 3.26 Measurement
cl. 3.34 Performance evaluation
cl. 4.2.2 Legal and regulatory requirements
cl. 8.2.2 Business impact analysis
cl. 8.2.3 Risk assessment
cl. 8.4.4.1 process for activating the response
cl. 8.4.4.1 process for standing down
cl. 8.4.5 Recovery.

16 Prozesse zu dokumentieren stellt einen beträchtlichen Aufwand dar, aber wenn man im Rahmen eines Audits sein Managementsystem darstellen und seine Funktionstüchtigkeit anhand von Nachweisen belegen soll, kann es zweckdienlich sein, diesen Aufwand zu betreiben. Man stelle sich nur vor, vom Auditor im Rahmen des Audits nach einem der oben genannten Prozesse befragt zu werden, ohne auf eine Prozessdokumentation zurückgreifen zu können, die man einmal erstellt und von daher im Kopf hat. Man könnte sich fühlen wie im Filmklassiker „Cleopatra“, wenn die andere Seite die Schildkröte zum Einsatz bringt…

Mit „Turtle“ vor Augen – ob man ihn nun dämlich oder drollig findet – kann jeder Auditor aus dem individuellen Auditverlauf heraus 24 Fragen zum Prozess generieren, ohne auch nur einmal auf eine vorbereitete Checkliste zu schauen, um zu prüfen, welche Frage er als nächstes stellen kann.

Eine praktikable Lösung könnte darin bestehen, in sein generisch etabliertes BCMS Rahmenwerk zusätzlich zur BCMS Leitlinie (policy), den Richtlinien und Anweisungen die geforderten 16 Prozesse in einem BCMS Prozesshandbuch zu beschreiben. Zu jedem Prozess wäre zu dokumentieren

• Input in den Prozess und erwarteter Output des Prozesses
• Der Prozessabflauf (Flow Chart) und seine Wechselwirkung mit anderen Prozessen
• Verwendete Methoden bzw. Verfahren der Prozessdurchführung
• Benötigte Ressourcen für die Prozessverarbeitung
• Leistungsindikatoren zur Überwachung und Messung des Prozessergebnisses
• Verantwortlichkeiten und Befugnisse im Rahmen der Prozessdurchführung
• Der Umgang mit erkannten Risiken und Chancen über den P – D – C – A.

Wie dies visualisiert oder ausgedrückt wird, liegt in der Entscheidung der Organisation. Sie kann ergänzend zur ISO 22301 vorgeben, welche dokumentierte Information (cl 7.5) für die Wirksamkeit des BCMS benötigt wird. Die genannten Aspekte sollten jedenfalls in angemessener und geeigneter Weise in den Dokumenten abgebildet sein. Hierdurch kann man dem Auditor bereits im Stage 1 Dokumenten Review belegen, dass die für das BCMS aufgestellten Prozessanforderungen nachvollziehbar vorgegeben wurden, so dass er sich in der Regel im Audit darauf beziehen wird, wie diese Prozessanforderung in der Praxis umgesetzt und durch dokumentierte Aufzeichnung belegt werden kann.

Welche dokumentierte Information fordert die Norm generell? Auch hier sind die Anforderungen gegenüber der noch gültigen Fassung ISO 22301:2012 von 25 Anforderungen an dokumentierte Information, Verfahren und Prozesse deutlich zurückgefahren worden.

ISO/DIS 22301:1019 fordert neben der bereits aus 0.1 zitierten Nennung von dokumentierter Information als Bestandteil des BCMS an zehn Stellen den Nachweis der Anforderungserfüllung anhand dokumentierter Information für:

3. 3.5    business continuity plan
4. 4.3    scope of the business continuity management system
5. 5.2.2  business continuity policy
6. 6.2.1 business continuity objectives
7. 7.2 evidence of competence
8. 8.1 evidence that processes being carried out as planned
9. 9.1 evidence of the results of monitoring, measurement, analisys and evaluation
10. 9.2.1 evidence of the implementation of the audit programm and the audit results
11. 9.3.3.1 evidence of the results of management reviews
12. 10.1.2 evidence of nonconformities and the resulats of any corrective action

darüber hinaus in

8. 8.4.2 documented procedures for the reponse structure
9. 8.4.3 documented procedures (and various records) for warning and communication
10. 8.4.5 documented processes to restore and return business activities (s.o.).

Die Aufnahme der Prozesse in die dokumentierte Information sollte von jeder Organisation vor dem Hintergrund der Steuerungsfähigkeit des Business Continuity Managementsystems in Betracht gezogen werden, unabhängig davon, ob man eine Zertifizierung nach ISO 22301 erwägt oder nicht. Einmal implementiert generieren sich die geforderten documented information aus dem gelebten Managementsystem heraus und geben der eigenen Organisation und nicht nur dem Auditor den Nachweis in die Zuverlässigkeit der eigenen Fähigkeiten.

Christian Zänker, 30.01.2019

Christian Zänker, bcmpartner, ist Berater für BCMS und freiberuflicher Trainer der BSI Group Deutschland in Frankfurt für ISO 22301, ISO 9001 und ISO 27001