Der ISO-Standard ISO 22301:2012 ist im Mai 2012 veröffentlicht worden. Hierbei handelt es sich um den weltweit ersten internationalen Standard für Business Continuity Management (BCM), um Organisationen zu helfen, die Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren. Der internationale Standard ersetzt den Britischen Standard BS 25999.
Der ISO-Standard 22301 spezifiziert die Anforderungen, um ein dokumentiertes Kontinuitätsmanagementsystem zu planen, einzurichten, realisieren, betreiben, überwachen, überprüfen, unterhalten und kontinuierlich zu verbessern, um sich auf Betriebsunterbrechungen präventiv vorzubereiten, auf diese zu reagieren oder um sich als Unternehmen von Betriebsunterbrechungen zu erholen.
Die in ISO 22301 spezifizierten Anforderungen sind – analog auch zur ISO 31000 – allgemein gehalten, denn sie sollen auf Organisationen (oder Teilen davon) jeglicher Art, ohne Rücksicht auf die Größe oder Branche anwendbar sein. Der Umfang der Anwendbarkeit der definierten Anforderungen hängt von den Betriebsumgebung und der Komplexität der Organisation ab.
Die ISO 22301 ist anwendbar auf alle Organisationen, die:
- ein BCM einrichten, implementieren, unterhalten und verbessern möchten;
- Konformität mit der Business-Continuity-Strategie der Organisation sicherstellen möchten;
- Konformität gegenüber Dritten, bspw. Zulieferern, belegen möchten;
- eine Zertifizierung/Registrierung ihres Business Continuity Managements durch/bei einer akkreditierten Zertifizierungsstelle suchen; oder
- eine Konformität mit diesen internationalen Standard selbst deklarieren möchten.
Für eine erfolgreiche Umsetzung eines betrieblichen Kontinuitätsmanagements definiert der ISO-Standard eine Reihe von Bausteinen. Ein erstes Modul konzentriert sich auf die Organisation.
So ist es wichtig, dass die externen und internen Sachverhalte analysiert werden, die für den Erfolg der Organisation wichtig sind (Erfolgspotenziale) und die durch eine Unterbrechung möglicherweise gefährdet werden. Hierzu gehören beispielsweise die Analyse:
- der Aktivitäten, Aufgaben, Dienstleistungen, Produkte, Partnerschaften, Lieferketten (Supply Chain), sonstigen Stakeholder sowie der potenziellen Auswirkung einer Betriebsunterbrechung;
- der Verknüpfungen zwischen der Business- Continuity-Strategie und -Politik und den Unternehmenszielen der Organisation sowie die Abhängigkeit zu anderen Regelwerken. Hierzu gehört auch eine Analyse der unternehmensübergreifenden Risikomanagementstrategie;
- des Risikoappetits sowie der Risikotragfähigkeit der Organisation;
- der Bedürfnisse und Erwartungen von relevanten Stakeholdern;
- der Compliance-Anforderungen, d. h. relevanter gesetzlicher, regulatorischer und anderer Anforderungen.
Ebenfalls Teil dieses Moduls ist die Bestimmung des Geltungsbereichs des betrieblichen Kontinuitätsmanagements. Dabei müssen die strategischen Ziele, Schlüsselprodukte und -dienstleistungen, die Risikotoleranz sowie alle regulatorischen und vertraglichen Verpflichtungen oder Verpflichtungen gegenüber Anspruchsberechtigten der Organisation berücksichtigt werden.
Im nächsten Modul der ISO 22301 geht es um die Führung. Analog zum betrieblichen Risikomanagement ist eine Vorbildfunktion des Top-Managements entscheidend für eine erfolgreiche Umsetzung („set the tone from the top“).
Das Top-Management muss die Relevanz und Verpflichtung eines BCM fortlaufend demonstrieren. Durch Führung kann das Management eine Risikokultur schaffen, so dass alle Akteure bzw. Mitarbeiter in dem Prozess involviert sind.
Das Management ist verantwortlich:
- sicherzustellen, dass das BCM kompatibel ist mit der strategischen Ausrichtung der Organisation;
- die BCM-Anforderungen in die Geschäftsprozesse der Organisation zu integrieren;
- die notwendigen Ressourcen für das BCM bereitzustellen;
- die Bedeutung eines wirksamen BCM zu kommunizieren;
- sicherzustellen, dass das BCM die erwarteten Ergebnisse erzielt;
- die kontinuierliche Verbesserung (Continuous Improvement Process, CIP) des BCM zu leiten und zu unterstützen;
- eine Business-Continuity-Strategie bzw. -Politik zu erstellen und zu kommunizieren;
- sicherzustellen, dass die BCM-Ziele und -Pläne erstellt werden;
- sicherzustellen, dass klare Verantwortlichkeiten und Befugnisse für relevante Rollen zugeordnet werden.
In einem nächsten Modul geht es um die Planung des betrieblichen Kontinuitätsmanagements. Diese Phase wird als kritisch eingestuft, da die Definition der strategischen Ziele und Leitprinzipien das Fundament für das BCM bildet. Die Business-Continuity-Ziele müssen u. a.:
- konsistent sein mir der Business-Continuity-Strategie bzw. -Politik;
- messbar sein;
- anwendbare Anforderungen beachten;
- überwacht und gegebenenfalls aktualisiert werden.
Der nächste Baustein beschäftigt sich mit der Unterstützung des BCM durch adäquate Ressourcen. Das erfolgreiche und kontinuierliche Management eines wirksamen BCM basiert auf einem soliden Fundament angemessener Ressourcen. Diese beinhalten u. a. qualifiziertes Personal, unterstützende Dienstleistungen, ein gelebtes Risikobewusstsein sowie eine adäquate Kommunikation.
In diesem Kontext spielt vor allem die interne wir auch die externe Kommunikation ein große Rolle. Auch die Anforderungen an die Erstellung, die Aktualisierung und die Kontrolle der BCM-Dokumentation sind Bestandteil dieses Moduls.
Nach der Planung des betrieblichen Kontinuitätsmanagement muss eine Organisation das BCM-System in Betrieb nehmen. Das Modul Betrieb umfasst:
Business Impact Analysis (BIA): Hierbei handelt es sich um eine Methode zur Sammlung und Identifizierung von Prozessen und Funktionen innerhalb einer Organisation, um die den Prozessen zugrundeliegenden Ressourcen zu erfassen. Des Weiteren können durch eine BIA wechselseitige Abhängigkeiten zwischen Prozessen und/oder Unternehmensbereichen aufgezeigt, die Auswirkungen bei Ausfällen von Prozessen, die Kritikalität jedes Prozesses für den Gesamtkonzern und die benötigte Wiederanlaufzeit aufgedeckt werden.
Risikobeurteilung: Die ISO 22301 nimmt Bezug auf den internationalen Risikomanagement-Standard ISO 31000. Die ISO 31000 weist drei spezifische Merkmale auf: Es handelt sich erstens um einen umfassenden Top-down-Ansatz, zweitens wird Risikomanagement als Führungsaufgabe (und nicht nur als Prozess) dargestellt und drittens handelt es sich um eine allgemein gehaltene Basis-Norm.
Business-Continuity-Strategie: Nachdem die Anforderungen über die BIA und die Risikobeurteilung erfasst worden sind, müssen Strategien entwickelt werden, um Maßnahmen zu identifizieren, welche es der Organisation erlauben, auf der Basis ihrer Risikotoleranz sowie Risikotragfähigkeit und innerhalb festgelegter Ziele für die Wiederherstellungszeit kritische Aktivitäten zu schützen und wiederherzustellen. Erfahrungen aus der Praxis zeigen deutlich auf, dass die frühzeitige Verfügbarkeit einer übergreifenden BCM Strategie sicherstellt, dass BCM Aktivitäten auf die gesamte Geschäftsstrategie ausgerichtet sind und diese unterstützen. Hierbei sollte die Business-Continuity-Strategie ein integraler Bestandteil der Unternehmensstrategie sein.
Business-Continuity-Verfahren: Die Organisation muss Verfahren dokumentieren, um die Kontinuität von Aktivitäten und das Management von Betriebsunterbrechungen sicherzustellen. Diese Verfahren müssen:
- einen angemessenen Plan für die interne und externe Kommunikation festlegen;
- spezifisch sein hinsichtlich der konkreten Schritte, die anlässlich einer Betriebsunterbrechung zu erfolgen haben;
- flexibel sein, um auf unerwartete Bedrohungen und sich verändernde interne und externe Bedingungen antworten zu können;
- auf Auswirkungen von Ereignissen fokussieren, die möglicherweise den Betrieb unterbrechen könnten;
- entwickelt werden auf der Basis der Analyse von Wechselwirkungen; und
- wirksam sein bei der Minimierung von Folgen durch die Implementierung von angemessenen Strategien zur Schadensminderung.
Üben und Testen: Um sicherzustellen, dass die Business-Continuity-Verfahren und -Prozesse mit den Business- Continuity-Zielen konsistent sind, hat die Organisation sie regelmäßig zu testen. Üben und Testen sind die Prozesse zur Bestätigung von Business-Continuity-Plänen, um zu gewährleisten, dass die gewählten Strategien sicherstellen, innerhalb der durch das Management bestimmten Zeitfenster Antworten und Wiederherstellungsergebnisse zu liefern.
Sobald das BCMS implementiert ist, verlangt ISO 22301, dass das System ständig überwacht und periodisch überprüft wird (Leistungsbewertung), um seinen Betrieb zu verbessern:
- Messen der Leistung von Prozessen, Verfahren und Funktionen, die priorisierte Aktivitäten schützen;
- Überwachung der Übereinstimmung mit dem Standard und den Business-Continuity-Zielen;
- Überwachung der historischen Erfahrungen einer mangelhaften Leistung des betrieblichen Kontinuitätsmanagements;
- Ausführung von regelmäßigen internen Audits.
Unter kontinuierlicher Verbesserung (engl.: Continuous Improvement Process, CIP) werden alle Maßnahmen zusammengefasst, die in der ganzen Organisation getroffen werden, um die Wirksamkeit (Erreichung der Ziele) und Effizienz (ein optimales Kosten/Nutzen Verhältnis) von Sicherheitsprozessen und -maßnahmen zu erhöhen.
Weiterführende Literaturhinweise:
International Organization for Standardization (2012): ISO 22301:2012 (Societal security – Business continuity management systems – Requirements), 2012. Romeike, Frank/Hager, Peter (2009): Erfolgsfaktor Risikomanagement 2.0 – Methoden, Beispiele, Checklisten – Praxishandbuch für Industrie und Handel, Wiesbaden 2009. von Rössing, Rolf (2005): Betriebliches Kontinuitätsmanagement, Bonn 2005. Wieczorek, Martin/Naujoks, Uwe/Bartlett, Bob [Hrsg.] (2002): Business Continuity. Notfallplanung für Geschäftsprozesse, Berlin u. a. 2002.