Betriebsunterbrechungen stellen weltweit das größte Risiko für Unternehmen dar. Die Widerstandsfähigkeit (Resilienz) gegenüber Störungen kann durch die Anwendung eines Business Continuity Managements (BCM) verbessert werden. Dieser Beitrag nennt Gründe für die Einführung eines BCM-Systems und zeigt Umsetzungspraktiken auf. Von der Implementierung von BCM-Systemen können nicht nur Wirtschaftsunternehmen, sondern auch der öffentliche Sektor sowie ehrenamtliche und gemeinnützige Organisationen profitieren.

Betriebsunterbrechungen in deutschen Unternehmen

Berichterstattungen in den Medien belegen, dass Betriebsunterbrechungen in deutschen Unternehmen zu enormen Reputations- als auch volkswirtschaftlichen Schäden führen können. Die Deutsche Bahn beispielsweise bekam es im Sommer letzten Jahres stark zu spüren, in der Kritik der Öffentlichkeit zu stehen. Personalengpässe führten zu wochenlangen Zugausfällen im Großraum Mainz.

Neben Ermittlungen des Eisenbahn-Bundesamtes wegen Verstoßes gegen Betriebspflichten drohte die Bundesnetzagentur ein Zwangsgeld in Höhe von 250.000 Euro gegen die Deutsche Bahn an. Zusätzlichen Druck erhielt die Deutsche Bahn aus der obersten Politik-Etage.

Bundeskanzlerin Angela Merkel meldete sich zu Wort und bezeichnete die Beeinträchtigungen in Mainz als „sehr ernstes Problem“.

Prävention durch Business Continuity Management

Mithilfe der Umsetzung des BCM können sich Unternehmen auf derartige unvorhersehbare Ereignisse vorbereiten und ihre Widerstandsfähigkeit gegenüber Betriebsunterbrechungen ausbauen. Das BCM trägt dazu bei, dass zeitkritische Geschäftsprozesse nach einer Beeinträchtigung schnellstmöglich fortgeführt und in den Normalzustand zurückgeführt werden. Hierdurch werden größere Folgeschäden vermieden. Der Fortbestand des Unternehmens wird sichergestellt. Im Mittelpunkt des BCM stehen sämtliche Worst Case-Szenarien, die unabhängig von ihrer Ursache betrachtet werden und zu folgenschweren Betriebsunterbrechungen führen können. Vorbereitende Maßnahmen werden im Besonderen für folgende Szenarien getroffen: Personalausfall, Gebäudeausfall, Ausfall von IT-Services sowie Ausfall von externen Dienstleistern.

Die Deutsche Bahn war auf das BCM-Szenario Ausfall von Personal nicht eingestellt und daher nicht in der Lage, zeitnah weitere Mitarbeiter in Mainz einzusetzen. Präventive Maßnahmen für einen potenziellen Personalausfall hätten langfristig vorbereitet und breit angelegt werden müssen. Hierzu zählen exemplarisch Maßnahmen wie Job Rotation, Dokumentation von Wissen, der Einsatz externer Dienstleister und entsprechende Business Continuity Pläne. Letztere beschreiben, wie die als zeitkritisch identifizierten Geschäftsprozesse trotz Ausfall im erforderlichen Umfang weitergeführt werden können.

BCM-Lifecycle – Leitfaden für die Umsetzung des BCM

Als Leitfaden für die Umsetzung von BCM im Unternehmen dient der BCM-Lifecycle, der das BCM in einer schematischen Abfolge in einen kontinuierlichen Prozess einbindet. Insgesamt enthält er sechs Praktiken: zwei Management- sowie vier Fachpraktiken, die in Zusammenarbeit mit erfahrenen BCM-Experten entwickelt und als Good Practice Guidelines veröffentlicht wurden. Die folgenden Ausführungen zeigen die verschiedenen Phasen auf, die ein Unternehmen mit dem Ziel, die Resilienz auszubauen, fortlaufend durchläuft:

Phase 1 – Policy- und Programm-Management:

Das Policy- und Programm-Management ist der Anfang des BCM-Lifecycles. In einer Unternehmensrichtlinie (Policy) werden die Absichten und die Ausrichtung eines effektiven BCM-Prozesses von der Unternehmensleitung festgelegt.

Phase 2 – Verankerung von Business Continuity:

In der zweiten Phase werden Schritte getätigt, um das BCM nachhaltig und unter Berücksichtigung der Unternehmenskultur in die Geschäftsaktivitäten einzubinden.

Phase 3 – Analyse:

Bei der Analyse wird das Unternehmen bezüglich seiner Zielsetzung, Funktionsweise und der Beschränkung des Umfelds, in dem es agiert, überprüft und bewertet. Die Analyse liefert Informationen, wie sich Unternehmen im Umgang mit schadensträchtigen Störfällen am besten vorbereiten können.

Phase 4 – Design:

Unter Berücksichtigung der Policy sowie der Analyseergebnisse werden geeignete BC-Strategien und Taktiken identifiziert und festgelegt, um für ein bestimmtes Ausfallszenario einen nahezu unterbrechungsfreien Betrieb und Wiederanlauf zu ermöglichen.

Phase 5 – Implementation:

In dieser Phase werden die festgelegten Strategien und Taktiken durch Aufstellung von Business Continuity Plänen realisiert.

Phase 6 – Validierung:

In der letzten Phase wird durch Tests, Übungen sowie Überprüfungen bestätigt, dass die in der Policy definierten Ziele erreicht wurden und die entwickelten Business Continuity Pläne sich in der praktischen Umsetzung als geeignet erwiesen haben.

Fazit

Eine konsequente Umsetzung und Verankerung von BCM-Systemen im Unternehmen stellt einen Meilenstein auf dem Weg zur Resilienz dar. Mithilfe des BCM sind Unternehmen weniger anfällig für Störfälle, die den Geschäftsbetrieb unterbrechen könnten. Nach einem Störfall wird eine kurzfristige Wiederaufnahme der Bereitstellung von Produkten und Services gewährleistet. Zentrales Element des BCM ist die Vorbereitung auf Worst Case-Szenarien. Hierdurch sind Unternehmen fähig, ad-hoc auf bedrohliche Ereignisse durch wirkungsvolle Sofortmaßnahmen zu reagieren.

Praxishinweise

• Eine Vorbereitung auf potenzielle Worst Case-Szenarien sollte von jedem Unternehmen als selbstverständlich erachtet werden. „Es kommt nicht darauf an, die Zukunft vorauszusehen, sondern auf die Zukunft vorbereitet zu sein.“ (Perikles, griech. Staatsmann, 493-429 v. Chr.)
• Bei der Einführung und Weiterentwicklung von BCM-Systemen ist es ratsam, sich an den Good Practice Guidelines des Business Continuity Institutes zu orientieren. In diesem Management-Handbuch werden führende Berufspraktiken im Bereich BCM dargelegt.
• Als Ergänzung sollte die seit Mai 2012 gültige BCM Norm ISO 22301 betrachtet werden. Diese bietet einen anerkannten Prozess, eine Reihe von Prinzipien und die Terminologie für ein BCM-System.
• Ein BCM-System kann ohne Weiteres in ggf. bestehende ISO-Managementsysteme wie Informationssicherheit (ISO 27001) und Qualität (ISO 9001) integriert werden. Alle ISO-Managementsysteme weisen gemeinsame Ansätze auf und verwenden den PDCA-Zyklus (Planen / Umsetzen / Überprüfen / Handeln).
• Die Implementierung von BCM-Systemen beschränkt sich nicht nur auf Wirtschaftsunternehmen, sondern ist flexibel anwendbar. Sowohl der öffentliche Sektor als auch ehrenamtliche und gemeinnützige Organisationen können von BCM-Methoden profitieren.