Business Continuity Management als Hands-on-Ansatz

Wie Sie Ihr Business Continuity Management schnell und pragmatisch umsetzen.

Die vergangenen zwölf Monate haben deutlich gezeigt, wie schnell unvorhergesehene Ereignisse die Geschäftsprozesse eines Unternehmens erheblich stören und ernsthafte Schäden oder vernichtende Verluste verursachen können. Lockdowns der Wirtschaft, Verpflichtung zum Homeoffice, Massenerkrankungen der Belegschaft, aber auch massive Angriffe auf die IT der Unternehmen in Form von Datenspionage oder Hackerangriffe sind nur einige Beispiele. Wer in solchen Fällen auf ein professionelles Krisenmanagement bzw. ein Betriebliches Kontinuitätsmanagement zugreifen kann, ist hier im Vorteil. “Betriebliches Kontinuitätsmanagement”, auf Englisch Business Continuity Management (BCM), hat das Ziel, Schäden von Unternehmen zu minimieren und bestmögliche Vorkehrungen für den Fall gravierender Störungen zu treffen. Das BCM-System definiert Pläne, wie der reguläre Betrieb nach störungsbedingter Unterbrechung in kürzestmöglicher Zeit wieder aufgenommen werden kann. So lassen sich Schäden reduzieren und existenzielle Bedrohungen für das eigene und verbundene Unternehmen vermeiden.

Business Continuity Management nach ISO 22301

Die internationale ISO 22301 Norm hilft, die wichtigsten Punkte für ein Business Continuity Management zu berücksichtigen. Sie schafft das Verständnis und liefert den geeigneten Rahmen für die Implementierung eines BCM-Systems in Unternehmen jeder Branche und Größe. Wie alle anderen Anforderungen an Managementsysteme fordert die ISO 22301 grundsätzliche Dinge wie Verfahren, die den systematischen Betrieb organisationsindividuell festlegen.

Der Nachteil der Einführung eines BCM-Systems nach ISO 22301 ist die Komplexität. Kernelemente wie die Business Impact Analyse (BIA) und das Risiko Assessment müssen zwingend umgesetzt werden. Erst nach der theoretischen Analyse erfolgt die praktische Umsetzung im Rahmen von Business Continuity Aktivitäten. Die meist für BCM-Systeme nach ISO 22301 erforderlichen Werkzeuge und Berater stellen zudem einen enormen Kostenfaktor dar, den so mancher Mittelständler scheut. Dadurch bleiben die Beschäftigung mit Risiken und die Einführung eines BCM leider oft komplett auf Strecke.

Business Continuity Management als pragmatischer Hands-on-Ansatz

Abgeschreckt vom Aufwand, ist gar nichts tun jedoch die falsche Strategie. Denn ein Business Continuity Management ist nahezu für jedes Unternehmen überlebenswichtig. Nüchtern betrachtet, handelt es sich beim BCM um technische, organisatorische sowie personelle Maßnahmen im Unternehmen, um nach einem Krisenfall die Fortführung des Kerngeschäftes zu sichern.

Im Grunde muss auf Managementebene “lediglich” festgelegt und niedergeschrieben werden, welche Vorkommnisse eine Beeinträchtigung des Betriebs darstellen und wie damit umgegangen werden muss. Damit wird sichergestellt, dass im realen Fall wertvolle Zeit gespart wird, weil die Planung in großen Teilen schon erledigt ist. Diese Vorarbeiten können ganz pragmatisch in einem einfachen Textdokument festgehalten werden, das anschließend gesichert abgelegt werden sollte. Für die tiefergehende Planung, Festlegung und Ausführung der Business Continuity Aktivitäten im Ernstfall gibt es IT-Systeme, die nur einen Bruchteil der professionellen BCM-Tools kosten. Idealerweise sollte solch ein System abgekoppelt von der Unternehmens-IT – also z.B. webbasiert als SaaS-Lösung – arbeiten. Das ist deshalb so wichtig, weil beispielsweise bei einem Cyberangriff zumeist die gesamte eigene IT-Infrastruktur runtergefahren wird. Als abgekoppelte IT-Lösung ist das BCM-System autark und erledigt in der Krisensituation zuverlässig seine Arbeit.

Wie Unternehmen mithilfe eines solchen pragmatischen BCM-Systems in der Krise entscheidungs- und handlungsfähig bleiben, zeigen die folgenden sechs Schritte. Diese verfolgen im Grundgedanken das Konzept des PDCA-Zyklus nach Demming (Plan-Do-Check-Act).

PDCA-Zyklus

1. Schritt: Durchdachte Krisenplanung

Ganz am Anfang steht der Plan (Plan). Dabei arbeitet man idealerweise mit verschiedensten Szenarien, die eine Krisensituation hervorrufen können. Die Zahl der möglichen Szenarien kann dabei beliebig groß sein und sollte zumindest alle halbwegs realistischen Krisensituationen abbilden. Hierzu zählen eigentlich immer IT-Pannen, Hackerangriffe, aber auch – wie im vergangenen Jahr mehrfach vorgekommen – Massenerkrankungen der Belegschaft, Umweltkatastrophen usw. Jedes Szenario erhält nun eine genaue Definition der eingebundenen Akteure sowie der notwendigen Maßnahmen im Rahmen von Reaktions- und Wiederanlaufplänen. Genaue Handlungsanweisungen legen fest, wer wann was wie zu tun hat.

2. Schritt: Die Krise feststellen

Kommt es zu einer Krisensituation, sollten die notwendigen Maßnahmen schnell griffbereit sein (Do). Webbasierte Tools haben hier den Vorteil, dass die in der Planung vorbereiteten Maßnahmen jederzeit an jedem Ort verfügbar sind. So werden die im Plan genannten Akteure mobilisiert und können umgehend ihre Arbeit aufnehmen, um sich mit notwendigen Aktionen, der Ursachenanalyse und der Wiederherstellung des Normalzustandes zu befassen. Dies kann z.B. in einem definierten Krisenstab passieren oder für kleinere Vorkommnisse auch in der Hand einzelner Personen liegen. Damit möglichst schnell mit der Bearbeitung begonnen werden kann, empfiehlt es sich, die Mobilisierung der Akteure automatisiert durchzuführen, statt auf gedruckte Listen zu setzen, da diese immer die Gefahr bergen, veraltet zu sein.

3. Schritt Handlungsanweisungen ausführen

Die bereits vorbereiteten Handlungsanweisungen helfen bei der Schritt-für-Schritt-Abarbeitung des Krisenprozesses: zum Beispiel Schritte zur Ursachenanalyse, Verfassen einer Pressemeldung oder Wiederanlaufpläne für den Betrieb. Die Beschreibung der Einzelmaßnahmen hilft auch weniger erfahrenem Personal, die anfallenden Tätigkeiten nacheinander durchzuführen und zu dokumentieren. So entsteht bereits hier automatisch ein Überblick, wer wann und mit welchem Ergebnis Maßnahmen durchgeführt hat und welche noch zu erledigen sind.

4. Schritt: Dokumentation und Informationsfluss

Neben der schnellen Reaktion und Lösung des Problems ist eine lückenlose Dokumentation der Erkenntnisse, Maßnahmen oder Hinweise besonders wichtig - nicht nur aus rechtlichen Gründen, sondern auch, um für die Zukunft die Szenarien weiter zu optimieren. Die Nachvollziehbarkeit und Auswertung der Maßnahmen zur weiteren Verbesserung decken damit den Punkt Check ab. Um diese notwendige chronologische Dokumentation bereits während der Arbeit zu erledigen können, sind sogenannte Einsatztagebücher (ETB) hilfreiche Instrumente. Diese sollten so gestaltet sein, dass ein nachträgliches Ändern der Einträge nicht möglich ist. Neben der handschriftlichen Methode eignen sich dazu Systeme, die Einträge revisionssicher speichern. Digitale Lösungen bieten häufig den Vorteil, dass die Einträge allen Beteiligten direkt zur Verfügung gestellt werden können und so den Informationsfluss in der Krise signifikant verbessern.

5. Schritt: Nachbesetzung

Sollte die Krise länger anhalten, kann eine Ablösung oder Erweiterung der aktuell Beteiligten erforderlich werden. Die frühe Beschäftigung mit dem Thema sorgt dafür, dass die Ablösung rechtzeitig eintrifft und der aktuelle Kenntnisstand geordnet übergeben werden kann. Vordefinierte Gruppen oder Schichten können helfen, diesen Prozess zu vereinfachen.

6. Schritt: Aus dem Vorfall lernen

Wenn die Krisensituation im Griff ist und die Organisation wieder ihren Normalzustand erreicht hat, erfolgt die Nachbereitung, Analyse und ggf. Optimierung. Im PDCA-Zyklus wird die letzte Phase (Act) zur Reflexion genutzt. Sollten Optimierungspotenziale erkannt worden sein, wird das entsprechende Szenario beispielsweise bei den Akteuren oder Handlungsempfehlungen geändert oder ergänzt. An dieser Stelle helfen alle während der Krise angefertigten Aufzeichnungen.

Mit Business Continuity Management “vor der Lage sein”

Vor allem bei den Blaulichtorganisationen gibt es den Ausdruck “Vor der Lage sein”. Gemeint ist, durch genügend Vorbereitung und Übung dem Geschehen immer einen Schritt voraus zu sein. Nur dann sind Unternehmen in der Lage, zu agieren, anstatt zu reagieren. Genau das kann mit dem Hands-on-Ansatz erreicht werden, der sich bei konsequenter Anwendung schnell zu einem sinnvollen Maßnahmenkatalog entwickelt, der in der Praxis direkt angewendet werden kann.

Die webbasierte Plattform für Alarm- und Krisenmanagement GroupAlarm unterstützt effektiv dabei, Krisensituationen schnell und pragmatisch in den Griff zu bekommen. Das fängt bei der Planung an und hört mit der Dokumentation auf. Damit werden im Ereignisfall finanzielle Folgen reduziert und negative Auswirkungen auf die Reputation gemindert, denn eine Krise ist meist kostenintensiver als die Gegenmaßnahmen.

Jetzt Business Continuity Management schnell und pragmatisch umsetzen!

Bildquellen: Canva Pro

Hanno Heeskens | CEO
Titelbild lizenziert durch: Canva Pro