News

Betriebliches Kontinuitätsmanagement

BCM basierend auf der ISO 22301

Stefan Spörrer [COMPLAVIS GmbH]31.07.2014, 15:34

Am 14. Mai 2012 hat die Internationale Organisation für Normung (ISO) die neue Norm ISO 22301 für das Business Continuity Management (BCM) veröffentlicht. Hiermit steht erstmalig eine weltweit gültige und zertifizierbare Norm für das betriebliche Kontinuitätsmanagement zur Verfügung.

Unternehmer haben die Verantwortung für ihre Organisation, die Betriebskontinuität beim Eintritt potenzieller Gefahren sicherzustellen. BCM soll neben dem Rahmen für die Identifizierung möglicher Schäden auch für die organisatorischen Möglichkeiten sorgen, um mit diesen Gefahren im Worst Case umgehen zu können. Mit der Einführung und Umsetzung eines BCM ist gewährleistet, dass die Interessen sowohl von Stakeholdern, der allgemeinen Reputation, der Marke, der Mitarbeiter als auch wertschöpfender Aktivitäten geschützt werden.

Unternehmerische Tätigkeit ist immer mit Unsicherheiten verbunden. Die totale Sicherheit kann nie das originäre Ziel eines Unternehmens sein, da ein Unternehmen ohne die Übernahme von Risiken nicht existieren könnte. Ziel eines Unternehmens kann es daher nicht sein, das maximale, sondern vielmehr ein unter betriebswirtschaftlichen Gesichtspunkten optimales Sicherheitsniveau anzustreben [vgl. Romeike/Hager 2013].

Romeike vergleicht einen effizienten Risikomanagement-Prozess mit Netzwerkstrukturen, die anpassungsfähig und flexibel sind, gemeinsame Ziele haben, Hierarchien vermeiden, zudem skalierbar und außerordentlich überlebensfähig sind [vgl. Romeike/Hager 2013]. Das strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risikoprozesses. Es beinhaltet vor allem die Formulierung von Risikomanagement-Zielen in Form einer "Risikopolitik" sowie die Definitionen der Aufbau- und Ablauforganisation des Risikomanagements. Das operative Risikomanagement beinhaltet den Prozess der systematischen und der laufenden Risikoanalyse der Geschäftsabläufe.  Risikomanagement wird in Ansätzen in vielen Unternehmen gelebt. Auch wenn die Themen möglicherweise unter anderen Begriffen bekannt sind.

Empirische Studien zeigen, dass vor allem Ausfälle in der Informationstechnologie (IT) sich direkt in den Kosten eines Unternehmens niederschlagen. Systemreparaturen kosten – basierend auf einer Marktforschungsstudie von Coleman Parks – Unternehmen durchschnittlich rund  263.347 Euro. Dies entspricht etwa 13,5 Prozent des jährlichen IT-Budgets. Über 17,7 Milliarden Euro Umsatz büßen allein europäische Firmen jährlich wegen fehlerhafter Systeme ein. Vor allem beim Data Recovery, der Wiederherstellung wichtiger Unternehmensdaten, geht unnötig viel wertvolle Zeit verloren, die durch optimierten Datenschutz, insbesondere bei der Datenwiederherstellung, eingespart werden könnte. Je länger die Ausfallzeiten sind, desto höher sind trivialerweise die damit verbundenen Kosten. Im Durchschnitt verzeichnen die europäischen Unternehmen 14 Stunden Ausfallzeit in der Informationstechnologie. Das sind insgesamt knapp eine Million Stunden in Gesamteuropa. Zudem generieren die Unternehmen bei Stillstand "unternehmenswichtiger Systeme" beinahe ein Drittel weniger Umsatz. Auch nach einer Datenwiederherstellung inklusive Hochfahren der IT-Systeme und abgeschlossener Wiederherstellung der Funktionsfähigkeit gehen zusätzliche 4,2 Stunden pro Unternehmen und somit 630.000 Stunden europaweit an produktiver Arbeit verloren [vgl. Schmitz 2010].  

Präventive Maßnahmen im Bereich Business Continuity sollen helfen, Betriebsstörungen effektiv zu reduzieren. Dazu zählen unter anderem Naturkatastrophen, IT-Ausfälle und Streiks. Betriebsstörungen umfassen auch Krankheitsausfälle oder lokale Ereignisse, die zum Beispiel die Lieferkette beeinträchtigen. Nicht selten verlieren Unternehmen ihre Kunden und das Vertrauen der Lieferanten, weil sie nicht in der Lage sind, angemessen auf unerwartete Betriebsstörungen zu reagieren.

Business Continuity Management stellt eine Rahmenstruktur bereit, die es ermöglicht, potenzielle Bedrohungen für die Organisation zu identifizieren. Es sollen Kapazitäten aufgebaut werden, um geeignete Maßnahmen zum Schutz der Interessen der Geschäftspartner und der eigenen Reputation umzusetzen. Auf Bedrohungen soll angemessen reagiert werden können, um diesen effektiv entgegen zu wirken.

Die ISO-Norm 22301 mit insgesamt zehn Kapiteln ersetzt den bis dato einzigen zertifizierbaren und originär für Großbritannien gedachten Standard BS 25999-2. Die ISO 22301 ist auf alle Organisationen jeder Größe weltweit anwendbar. Das gilt sowohl für den öffentlichen als auch für den privaten Sektor. Der Managementprozess für Ausfallsicherheit nach der ISO 22301 soll die damit verbundenen Risiken minimieren.

Weiterführende Literaturhinweise:

  • Romeike, F./Hager, P. (2013): Erfolgsfaktor Risk Management 3.0 – Methoden, Beispiele, Checklisten: Praxishandbuch für Industrie und Handel, 3. Auflage, Wiesbaden 2013.
  • Schmitz, H. (2010): CC2: Ausfall der IT-Systeme – wertvolle Arbeitszeit (www.cczwei.de).


Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie, 158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie

158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2

Business Continuity Management (BCM) bzw. Betriebskontinuitätsmanagement (BKM) beschreibt die Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse, deren Unterbrechung einem Unternehmen ernsthafte Schäden oder vernichtende Verluste zufügen würden, zu schützen sowie alternative Abläufe der Prozesse zu ermöglichen. Das Ziel besteht somit in der Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit unter Beachtung etwaiger Risiken mit hohem Schadensausmaß.

Die Publikation richtet sich vor allem an Geschäftsführer, IT-Verantwortliche und Risikomanager in mittelständischen Unternehmen.

[ Bildquelle: oben: © Ivelin Radkov - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Garantenpflicht

Haftung eines Risikomanagers

Redaktion RiskNET16.07.2018, 19:30

Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 17.07.2009 (Az 5 StR 394/08) einen Leiter einer Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von...

Studie

Qualitative Evaluationsstudie

Risikomodellierung, Predictive Analytics und Big Data

Frank Romeike | Stefan Trummer19.06.2018, 08:07

Das Banken- und Versicherungsumfeld ist seit vielen Jahren im Umbruch. Dazu haben in nicht unerheblichem Maße die Aufsichtsbehörden und Standardsetter beigetragen. Wurden bis Mitte der 2000er...

Interview

Mundus vult decipi

Was tun mit Fake News?

Redaktion RiskNET06.06.2018, 14:24

Wahrheit oder Lüge? Wer kann das in unseren digitalen Zeiten noch beantworten? Umso wichtiger sind klare Parameter und ein methodisch sauberes Vorgehen, um Fake News zu enttarnen. Dafür plädiert...

Kolumne

Machine Learning-basierte Klassifikation von Marktphasen

Krisen frühzeitig identifizieren

Dimitrios Geromichalos [RiskDataScience]23.05.2018, 12:30

Wie in der Vergangenheit immer wieder beobachtet werden konnte, verhalten sich Märkte oftmals irrational und zeichnen sich – neben dem "Normal-Zustand" – durch Phasen im Krisen- und...

Kolumne

Geopolitik und Ökonomie

Über den Einfluss politischer Krisen

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.16.05.2018, 11:45

Mehr als sonst ist in den Börsenkommentaren in diesem Jahr nicht nur von ökonomischen Faktoren die Rede. Immer mehr Raum wird den politischen Krisenherden in der Welt eingeräumt. Da geht es um Iran...