Was ist eigentlich normal? – Als „normal“ wird das Übliche oder auch das der Vorstellung entsprechende bezeichnet. Auch nennt man etwas als „normal“, wenn es einer Norm entspricht. Eine Norm wird allgemein als etwas sehr Starres angesehen, eine Krise ist jedoch alles andere als das. Sie ist vor allem dynamisch, entwickelt sich ständig weiter und scheint nicht mit einer starren Lösung bewältigbar zu sein. Wie kann also eine Norm in einer Krise verwendet werden? Und warum sollte eine funktionierende Norm für das Business Continuity Management (BCM) als Grundlage genutzt werden?
Eine Norm kann bei der Bewältigung einer Krise helfen, vor allem, wenn sie wie die DIN EN ISO 22301 sehr flexibel gestaltet ist. Sie bietet ein Rahmenwerk, um in Krisen belastbare Strukturen aufzubauen, welche für die Krisenbewältigung notwendig sind. Zudem ist auch die Vorsorge ein wesentlicher Beitrag, den die DIN EN ISO 22301 für das BCM vorsieht, um so Krisen sogar vorzubeugen und Risiken zu reduzieren.
Vergleicht man die Verwendung von Normen für das BCM mit dem Bau eines Hauses, wird deutlich, dass vor allem ein Fundament notwendig ist. Dies besteht bspw. aus einer vorhandenen Finanzierung, der Bereitstellung von Ressourcen und einer Risikoanalyse, um Krisenpotentiale zu erkennen. Ein gutes Fundament für das BCM stellt die DIN EN ISO 22301 dar. Sie befasst sich mit der Erstellung eines Business Continuity Management Systems (BCMS) bestehend aus den in der Abbildung dargestellten Abschnitten.
Wesentlich für ein BCMS nach der DIN EN ISO 22301 ist demnach die Erstellung einer Politik als Grundlage für die Ausrichtung des Business Continuity Managements (BCM). Weitergehend wird eine Business Impact Analyse durchgeführt, um Risiken und deren Auswirkungen zu erkennen. Mit Hilfe der Notfallvorsorge wird die Reduzierung dieser Risiken und die Steigerung der Resilienz des Unternehmens im Allgemeinen angestrebt. Das Notfallhandbuch dient als Grundlage der Bewältigung von Krisen und Ereignisse und liefert bspw. Sofortmaßnahmen, die für möglichst viele unterschiedliche Risiken angewendet werden können. Das BCMS kann durch Audits zertifiziert werden. Abschließend ist eine Verbesserung des Systems durchzuführen, welche den Kreislauf des BCMS schließt.
Für das BCM ist neben der DIN EN ISO 22301 eine ganze Normenfamilie vorhanden. Die ISO/ TS 22317 befasst sich bspw. mit der Business Impact Analyse und die ISO 22313 befasst sich mit der Leitlinie (nach der neuen Version der DIN EN ISO 22301 von 2019 als Politik bezeichnet) als Bestandteile des BCMS. Durch diese Normenfamilie sind vielfältige Detailnormen vorhanden, die aufeinander aufbauen und je nach Unternehmen für die Erstellung des BCM hinzugezogen werden können. Alle diese Normen basieren auf Erfahrungen von Experten und Unternehmen und können damit das BCM trotz der Dynamik einer Krise unterstützen.
Die angesprochene Zertifizierung des BCM kann mithilfe der ISO 22325 durchgeführt werden. Diese beinhaltet ein Bewertungssystem für das Krisen- und Notfallmanagement, welches vier Level aufzeigt, die jeweils die Qualität des BCM wiedergeben. Die Zertifizierung in der Praxis wird vor allem in Europa noch nicht konsequent gelebt, da die Anfälligkeit der Unternehmen gegenüber unterschiedlichen Risiken geringer ausfällt als in solchen Ländern, in denen vermehrt Naturkatastrophen auftreten können. In letztgenannten Ländern sind Unternehmen daher häufiger im Bereich BCM zertifiziert. Jedoch ist auch in Deutschland ein Trend hinsichtlich vermehrter Zertifizierungen zu erkennen, welche vermutlich bedingt durch die Erfahrungen durch die Corona-Pandemie (Covid-19) noch weiter zunehmen wird. Vor allem im Frühjahr 2020 kam es häufig zu Lieferengpässen, die nicht nur einen finanziellen Schaden, sondern im Vergleich zwischen den Unternehmen auch einen Reputationsschaden verursachen können, wenn eines der Unternehmen weiterhin Waren erhält und ausliefern kann, ein anderes wegen dem Ausfall der Lieferanten jedoch nicht.
Als Tipp für die Zertifizierung ist hilfreich zu wissen, dass es im BCM nicht ausreicht, nur ein Zertifikat als Nachweis zu haben, sondern, dass die Planungen im Krisenfall auch funktionieren sollen. Als Vorbereitung auf eine Zertifizierung ist daher auch der Austausch mit Menschen sinnvoll, welche eine externe Sichtweise auf das Unternehmen haben und somit Schwachstellen im BCM aufdecken können. Ein Blick über den Tellerrand ist in jedem Fall ratsam.
Als praktischen Tipp für die Umsetzung von Normen ist festzuhalten, dass Normen einen Anhaltspunkt bieten und daher eine sinnvolle Grundlage bei der Erstellung eines BCM sind. Weitere Informationen zu der Anwendung der Business Impact Analyse finden Sie in unserem Blog. Brauchen Sie Hilfe bei der Umsetzung eines Business Continuity Management Systems in ihrem Unternehmen, dann sprechen Sie uns gerne an!
