Gefahrenabwehr

BCM – Ein Meilenstein auf dem Weg zur Resilienz

© yeyen - Fotolia.com
Betriebsunterbrechungen in deutschen Unternehmen

Berichterstattungen in den Medien belegen, dass Betriebsunterbrechungen in deutschen Unternehmen zu enormen Reputations- als auch volkswirtschaftlichen Schäden führen können.

Die Deutsche Bahn beispielsweise bekam es im Sommer dieses Jahres stark zu spüren, in der Kritik der Öffentlichkeit zu stehen. Personalengpässe führten zu wochenlangen Zugausfällen im Großraum Mainz. Neben Ermittlungen des Eisenbahn-Bundesamtes wegen Verstoßes gegen Betriebspflichten drohte die Bundesnetzagentur ein Zwangsgeld in Höhe von 250.000 Euro gegen die Deutsche Bahn an. Zusätzlichen Druck erhielt die Deutsche Bahn aus der obersten Politik-Etage. Bundeskanzlerin Angela Merkel meldete sich zu Wort und bezeichnete die Beeinträchtigungen in Mainz als „sehr ernstes Problem“.

Prävention durch Business Continuity Management

Mithilfe der Umsetzung des BCM können sich Unternehmen auf derartige unvorhersehbare Ereignisse vorbereiten und ihre Widerstandsfähigkeit gegenüber Betriebsunterbrechungen ausbauen. Das BCM trägt dazu bei, dass zeitkritische Geschäftsprozesse nach einer Beeinträchtigung schnellstmöglich fortgeführt und in den Normalzustand zurückgeführt werden. Hierdurch werden größere Folgeschäden vermieden. Der Fortbestand des Unternehmens wird sichergestellt. 

Im Mittelpunkt des BCM stehen sämtliche Worst Case-Szenarien, die unabhängig von ihrer Ursache betrachtet werden und zu folgenschweren Betriebsunterbrechungen führen können. Vorbereitende Maßnahmen werden im Besonderen für folgende Szenarien getroffen: Personalausfall, Gebäudeausfall, Ausfall von IT-Services sowie Ausfall von externen Dienstleistern.

Die Deutsche Bahn war auf das BCM-Szenario Ausfall von Personal nicht eingestellt und daher nicht in der Lage, zeitnah weitere Mitarbeiter in Mainz einzusetzen. Präventive Maßnahmen für einen potenziellen Personalausfall hätten langfristig vorbereitet und breit angelegt werden müssen. Hierzu zählen exemplarisch Maßnahmen wie Job Rotation, Dokumentation von Wissen, der Einsatz externer Dienstleister und entsprechende Business Continuity Pläne. Letztere beschreiben, wie die als zeitkritisch identifizierten Geschäftsprozesse trotz Ausfall im erforderlichen Umfang weitergeführt werden können.   

BCM-Lifecycle – Leitfaden für die Umsetzung des BCM

Als Leitfaden für die Umsetzung von BCM im Unternehmen dient der BCM-Lifecycle, der das BCM in einer schematischen Abfolge in einen kontinuierlichen Prozess einbindet. Insgesamt enthält er sechs Praktiken: zwei Management– sowie vier Fachpraktiken, die in Zusammenarbeit mit erfahrenen BCM-Experten entwickelt und als Good Practice Guidelines veröffentlicht wurden. Die folgenden Ausführungen zeigen die verschiedenen Phasen auf, die ein Unternehmen mit dem Ziel, die Resilienz auszubauen, fortlaufend durchläuft:

Phase 1 – Policy- und Programm-Management

Das Policy- und Programm Management ist der Anfang des BCM-Lifecycles. In einer Unternehmensrichtlinie (Policy) werden die Absichten und die Ausrichtung eines effektiven BCM-Prozesses von der Unternehmensleitung festgelegt.

Phase 2 – Verankerung von Business Continuity

In der zweiten Phase werden Schritte getätigt, um das BCM nachhaltig und unter Berücksichtigung der Unternehmenskultur in die Geschäftsaktivitäten einzubinden.

Phase 3 – Analyse

Bei der Analyse wird das Unternehmen bezüglich seiner Zielsetzung, Funktionsweise und der Beschränkung des Umfelds, in dem es agiert, überprüft und bewertet. Die Analyse liefert Informationen, wie sich Unternehmen im Umgang mit schadensträchtigen Störfällen am besten vorbereiten können.

Phase 4 – Design

Unter Berücksichtigung der Policy sowie der Analyseergebnisse werden geeignete BC-Strategien und Taktiken identifiziert und festgelegt, um für ein bestimmtes Ausfallszenario einen nahezu unterbrechungsfreien Betrieb und Wiederanlauf zu ermöglichen.

Phase 5 – Implementation

In dieser Phase werden die festgelegten Strategien und Taktiken durch Aufstellung von Business Continuity Plänen realisiert.

Phase 6 – Validierung

In der letzten Phase wird durch Tests, Übungen sowie Überprüfungen bestätigt, dass die in der Policy definierten Ziele erreicht wurden und die entwickelten Business Continuity Pläne sich in der praktischen Umsetzung als geeignet erwiesen haben.

Fazit

Eine konsequente Umsetzung und Verankerung von BCM-Systemen im Unternehmen stellt einen Meilenstein auf dem Weg zur Resilienz dar. Mithilfe des BCM sind Unternehmen weniger anfällig für Störfälle, die den Geschäftsbetrieb unterbrechen könnten. Nach einem Störfall wird eine kurzfristige Wiederaufnahme der Bereitstellung von Produkten und Services gewährleistet. Zentrales Element des BCM ist die Vorbereitung auf Worst Case-Szenarien. Hierdurch  sind Unternehmen fähig, ad-hoc auf bedrohliche Ereignisse durch wirkungsvolle Sofortmaßnahmen zu reagieren.     

Praxishinweise
  • Eine Vorbereitung auf potenzielle Worst Case-Szenarien sollte von jedem Unternehmen als selbstverständlich erachtet werden. „Es kommt nicht darauf an, die Zukunft vorauszusehen, sondern auf die Zukunft vorbereitet zu sein.“ (Perikles, griech. Staatsmann, 493-429 v. Chr.)
  • Bei der Einführung und Weiterentwicklung von BCM-Systemen ist es ratsam, sich an den Good Practice Guidelines des Business Continuity Institutes zu orientieren. In diesem Management-Handbuch werden führende Berufspraktiken im Bereich BCM dargelegt.
  • Als Ergänzung sollte die seit Mai 2012 gültige BCM Norm ISO 22301 betrachtet werden. Diese bietet einen anerkannten Prozess, eine Reihe von Prinzipien und die Terminologie für ein BCM-System.
  • Ein BCM-System kann ohne Weiteres in ggf. bestehende ISO-Managementsysteme wie Informationssicherheit (ISO 27001) und Qualität (ISO 9001) integriert werden. Alle ISO-Managementsysteme weisen gemeinsame Ansätze auf und verwenden den PDCA-Zyklus (Planen / Umsetzen / Überprüfen / Handeln).
  • Die Implementierung von BCM-Systemen beschränkt sich nicht nur auf Wirtschaftsunternehmen, sondern ist flexibel anwendbar. Sowohl der öffentliche Sektor als auch ehrenamtliche und gemeinnützige Organisationen können von BCM-Methoden profitieren.

Quellen

Allianz SE (Hg.) (2013): Allianz Risk Pulse. Fokus: Unternehmensrisiken 2013, München.

Business Continuity Institute (Hg.) (2013): Good Practice Guidelines 2013. A Guide to Global Good Practice in Business Continuity, Reading.

Handelsblatt GmbH (Hg.) (2013): Bahn-Verkehr in Mainz läuft wieder. Nach Zugausfällen.

Handelsblatt GmbH (Hg.) (2013): Netzagentur droht der Bahn Zwangsgeld an. Stellwerkchaos.

Stern.de GmbH (Hg.) (2013): Bahn-Vorstand ist Mainzer Chaos „peinlich“. Bundesamt leitet Verfahren ein.

Zeit Online GmbH (Hg.) (2013): Merkel drängt Grube zu schnellen Lösungen. Deutsch Bahn.