Herausforderung „BCM-Übungsrahmenplanung“ –Weniger ist manchmal Mehr
Die Anforderungen an Häufigkeit, Umfang und Variabilität von BCM-Tests und Übungen steigen laufend, getrieben insbesondere durch Kunden, Prüfer, Audits sowie Regulatorik. Mehr Tests und Übungen in kürzerer Zeit und dies auch noch verbunden mit höheren Anforderungen an Inhalte, Variabilität der Szenarien und Dokumentation erfordern eine gut durchdachte und stringent durchgeführte BCM Test- und Übungsrahmenplanung.
Die Fachbereiche haben heftig durchgeatmet, als Business Impact Analyse und Erstellung der Notfallplanungen abgeschlossen sind. Endlich wieder mehr Zeit für das Tagesgeschäft und die zahlreichen anderen dringenden Projekte! Doch das Erwachen ist aus diesen süßen Träumen ist heftig, wenn offensichtlich wird, dass mit der Durchführung der Tests und Übungen zur Validierung der Notfallplanung eine neue und herausfordernde Regelaufgabe entstanden ist. Auditoren und Prüfer lassen sich heute nicht mehr mit „Schrankware“ umfangreicher Notfalldokumente beeindrucken, sondern überprüfen den Reife- und Umsetzungsgrad des BCM schnell und zielgerichtet mittels Durchschau der – hoffentlich vorhandenen – Test- und Übungsdokumentationen. Hieraus lässt sich sehr schnell erkennen, ob das BCM ein reiner „Papiertiger“ oder gelebte Praxis ist. Die aktuellen Konsultationen der Mindestanforderungen für das Risikomanagement (MaRisk) des BaFin fordern für Finanzdienstleister sogar, dass für alle kritischen Geschäftsprozesse alle Szenarien in einem Jahr überprüft werden. Dies legt die Messlatte für die Planung und Durchführung von Tests und Übungen deutlich höher. Ohne eine vorausschauende Gesamtplanung mit einer stringenten Überwachung ist dieses Programm nicht zu bewältigen.
Doch wie können diese gestiegenen Anforderungen umgesetzt werden, ohne das Tagesgeschäft lahm zu legen und ohne dass der Business Continuity Manager als Überbringer der schlechten Nachrichten „vom Hof gejagt“ wird?
Effizienz, Effektivität, Standardisierung und strukturierte Planung sind auch bei dieser Herausforderung der Schlüssel zur Zielerreichung.
Ziel der Test- und Übungsrahmenplanung ist die Planung der Tests und Übungen für die kritischen Geschäftsprozesse, deren Ressourcen (Personal, Gebäude, IT, Technik, Dienstleister) auf Basis der relevanten BCM Szenarien Personal-, Gebäude-, IT-, Technik- und Dienstleisterausfall über eine Zeitperiode von drei Jahren (rollierende Test- und Übungsrahmenplanung). Die Test- und Übungsrahmenplanung hat demzufolge gleich mehrere Dimensionen: Zeit (Termin, Dauer), Geschäftsprozesse, Prozess-Ressourcen, Szenarien sowie Übungstypen. Hinzu kommt die Abbildung verschiedener Versionen der Planung und deren Abgleich mit dem Ist-Stand der tatsächlich durchgeführten Tests und Übungen. Wer schon einmal versucht hat, diese Anforderungen in einem einfachen zweidimensionalen Excel-Diagramm abzubilden, und das auch noch revisionssicher, der weiß, was eine „Kopfnuss“ ist. Hier macht der Einsatz eines spezialisierten Tools absolut Sinn.
Grundlage der Test- und Übungsrahmenplanung sind zunächst die kritischen Geschäftsprozesse und deren in der BIA zugeordneten Prozess-Ressourcen. Während in der IT die IT-Systeme im Fokus der Tests und Übungen hat, sind es im BCM die Geschäftsprozesse. In der Business Impact Analyse wurden für jeden der kritischen Geschäftsprozesse die erforderlichen Ressourcen Personal, Gebäude/Arbeitsplätze, IT, Technik und Dienstleister identifiziert. Ein Ausfall einer oder mehrerer dieser kritischen Prozess-Ressourcen kann zu einer Unterbrechung des Geschäftsprozesses führen. Für jeden Geschäftsprozess ergeben sich die relevanten Test- und Übungs-Szenarien aus den jeweils zugeordneten Personal-, Gebäude-, IT-, Technik- und Dienstleisterressourcen. Da nicht jeder Geschäftsprozess jede der Ressourcen benötigt, sind auch nicht immer alle dieser Szenarien relevant.
Da aber auf der anderen Seite Test- und Übungs-Szenarien auf mehrere kritische Geschäftsprozesse zutreffen, macht es Sinn einen Test oder eine Übung gleich mit mehreren Geschäftsprozessen durchzuführen. Aus der Business Impact Analyse ist zum Beispiel ersichtlich, welcher Dienstleister für welche Geschäftsprozesse kritische Leistungen erbringt. So kann zum Beispiel der Ausfall eines Dienstleisters mit mehreren betroffenen Geschäftsprozessen gemeinsam geübt werden. Dies hilft die Anzahl der durchzuführenden Tests und Übungen deutlich zu senken.
Eine weitere wichtige Einflussgröße der Planung ist die Wahl des Übungstyps und der Umfang der Tests und Übungen. Große Übungen mit zahlreichen Teilnehmern und einer längeren Dauer, von zum Beispiel einem ganzen Arbeitstag, erfordern umfangreiche Vorbereitungs-, Durchführungs- und Nacharbeiten. Allein die Terminfindung kann schon zu einem komplizierten Unterfangen werden. Eine Organisation kann in der Regel nur eine begrenzte Zahl dieser komplexen Tests und Übungen im Jahr bewältigen. Auf der anderen Seite kann mittels kleinerer einfacher Tests und Übungen eine hohe Test- und Übungsfrequenz und damit eine größere Abdeckung des Test- und Übungsbedarfs erreicht werden. Solche „Quick-Checks“ können in maximal ein bis zwei Stunden durchgeführt werden und erfordern keine große Vorbereitung. Beispiele für derartige „Quick-Checks“ sind:
- einstündige Schreibtischübungen ausgewählter Szenarien aus der Notfallplanung zur Validierung der Notfallpläne („walk-through“)
- Alarmierungsübungen zur Verifizierung der Kontaktdaten in Call-Trees
- Validierung einzelner Workarounds und Prozeduren aus den Notfallkonzepten- und -planungen (Bsp. Workarounds für IT-Anwendungen)
- Tests von Personalvertretungen (Bsp. erforderliche Zugriffs- und Zutrittsberechtigungen und Verfügbarkeit von Prozessdokumentationen)
- Gebäuderäumungsübungen für einzelne Brandabschnitte oder Gebäudeabschnitte
- Überprüfung der Kontaktdaten der Ansprechpartner für Störungen und Notfälle von Dienstleistern durch einen Anruf sowie eine E-Mail beim Dienstleister
- Überprüfung der schnellen Verfügbarkeit von Notfallplänen über verschiedene Medien (Online, Papier).
Hierzu ein kleines Praxisbeispiel: ich bin mit meinem Kunden über der Notfallplanung gesessen. Wir kamen dann zum Abschnitt mit den Kontaktdaten des Dienstleisters. Ich habe dann spontan vorgeschlagen, direkt dort anzurufen und mal zu schauen, ob und wen wir in die Leitung bekommen. Nach einem kurzen Schreckmoment beim Kunden haben wir zum Hörer gegriffen. Ein erfolgreicher Anruf bei dem Verantwortlichen, ein nettes Gespräch und Kennenlernen sowie ein bisschen Dokumentation danach, schon hatten wir wieder eine kleine Übung vollbracht. Ein kleiner Zahlendreher in den Kontaktdaten und wir hätten im Notfall Mühe gehabt, unseren kritischen Dienstleister zu erreichen. Tests und Übungen müssen nicht immer groß und aufwändig sein, denn die Fehler liegen oftmals im kleinen Detail verborgen.
Nach einer gewissen Einübungsphase und mit Hilfe einer gut strukturierten Dokumentationsvorlage für die Test- und Übungsdokumentation (Bsp. Ankreuzen statt Fließtext) werden die Fachbereiche so in die Lage versetzt, zunehmend selbständig Tests und Übungen durchzuführen und zu dokumentieren. Hierdurch kann die 2nd Line des BCM erheblich entlastet werden. Diese kann sich auf die Großübungen, Koordination der bereichsübergreifenden Tests- und Übungen sowie die Rahmenplanung und Überwachung konzentrieren. Weniger kann daher auch bei Tests und Übungen manchmal mehr sein im Sinne der Zielerreichung.
Ich freue mich auf Ihre Rückmeldungen und Erfahrungen zu diesem Thema.
One Response
Ein Pingback