News

Betriebliches Kontinuitätsmanagement

BCM basierend auf der ISO 22301

Stefan Spörrer [COMPLAVIS GmbH]31.07.2014, 15:34

Am 14. Mai 2012 hat die Internationale Organisation für Normung (ISO) die neue Norm ISO 22301 für das Business Continuity Management (BCM) veröffentlicht. Hiermit steht erstmalig eine weltweit gültige und zertifizierbare Norm für das betriebliche Kontinuitätsmanagement zur Verfügung.

Unternehmer haben die Verantwortung für ihre Organisation, die Betriebskontinuität beim Eintritt potenzieller Gefahren sicherzustellen. BCM soll neben dem Rahmen für die Identifizierung möglicher Schäden auch für die organisatorischen Möglichkeiten sorgen, um mit diesen Gefahren im Worst Case umgehen zu können. Mit der Einführung und Umsetzung eines BCM ist gewährleistet, dass die Interessen sowohl von Stakeholdern, der allgemeinen Reputation, der Marke, der Mitarbeiter als auch wertschöpfender Aktivitäten geschützt werden.

Unternehmerische Tätigkeit ist immer mit Unsicherheiten verbunden. Die totale Sicherheit kann nie das originäre Ziel eines Unternehmens sein, da ein Unternehmen ohne die Übernahme von Risiken nicht existieren könnte. Ziel eines Unternehmens kann es daher nicht sein, das maximale, sondern vielmehr ein unter betriebswirtschaftlichen Gesichtspunkten optimales Sicherheitsniveau anzustreben [vgl. Romeike/Hager 2013].

Romeike vergleicht einen effizienten Risikomanagement-Prozess mit Netzwerkstrukturen, die anpassungsfähig und flexibel sind, gemeinsame Ziele haben, Hierarchien vermeiden, zudem skalierbar und außerordentlich überlebensfähig sind [vgl. Romeike/Hager 2013]. Das strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risikoprozesses. Es beinhaltet vor allem die Formulierung von Risikomanagement-Zielen in Form einer "Risikopolitik" sowie die Definitionen der Aufbau- und Ablauforganisation des Risikomanagements. Das operative Risikomanagement beinhaltet den Prozess der systematischen und der laufenden Risikoanalyse der Geschäftsabläufe.  Risikomanagement wird in Ansätzen in vielen Unternehmen gelebt. Auch wenn die Themen möglicherweise unter anderen Begriffen bekannt sind.

Empirische Studien zeigen, dass vor allem Ausfälle in der Informationstechnologie (IT) sich direkt in den Kosten eines Unternehmens niederschlagen. Systemreparaturen kosten – basierend auf einer Marktforschungsstudie von Coleman Parks – Unternehmen durchschnittlich rund  263.347 Euro. Dies entspricht etwa 13,5 Prozent des jährlichen IT-Budgets. Über 17,7 Milliarden Euro Umsatz büßen allein europäische Firmen jährlich wegen fehlerhafter Systeme ein. Vor allem beim Data Recovery, der Wiederherstellung wichtiger Unternehmensdaten, geht unnötig viel wertvolle Zeit verloren, die durch optimierten Datenschutz, insbesondere bei der Datenwiederherstellung, eingespart werden könnte. Je länger die Ausfallzeiten sind, desto höher sind trivialerweise die damit verbundenen Kosten. Im Durchschnitt verzeichnen die europäischen Unternehmen 14 Stunden Ausfallzeit in der Informationstechnologie. Das sind insgesamt knapp eine Million Stunden in Gesamteuropa. Zudem generieren die Unternehmen bei Stillstand "unternehmenswichtiger Systeme" beinahe ein Drittel weniger Umsatz. Auch nach einer Datenwiederherstellung inklusive Hochfahren der IT-Systeme und abgeschlossener Wiederherstellung der Funktionsfähigkeit gehen zusätzliche 4,2 Stunden pro Unternehmen und somit 630.000 Stunden europaweit an produktiver Arbeit verloren [vgl. Schmitz 2010].  

Präventive Maßnahmen im Bereich Business Continuity sollen helfen, Betriebsstörungen effektiv zu reduzieren. Dazu zählen unter anderem Naturkatastrophen, IT-Ausfälle und Streiks. Betriebsstörungen umfassen auch Krankheitsausfälle oder lokale Ereignisse, die zum Beispiel die Lieferkette beeinträchtigen. Nicht selten verlieren Unternehmen ihre Kunden und das Vertrauen der Lieferanten, weil sie nicht in der Lage sind, angemessen auf unerwartete Betriebsstörungen zu reagieren.

Business Continuity Management stellt eine Rahmenstruktur bereit, die es ermöglicht, potenzielle Bedrohungen für die Organisation zu identifizieren. Es sollen Kapazitäten aufgebaut werden, um geeignete Maßnahmen zum Schutz der Interessen der Geschäftspartner und der eigenen Reputation umzusetzen. Auf Bedrohungen soll angemessen reagiert werden können, um diesen effektiv entgegen zu wirken.

Die ISO-Norm 22301 mit insgesamt zehn Kapiteln ersetzt den bis dato einzigen zertifizierbaren und originär für Großbritannien gedachten Standard BS 25999-2. Die ISO 22301 ist auf alle Organisationen jeder Größe weltweit anwendbar. Das gilt sowohl für den öffentlichen als auch für den privaten Sektor. Der Managementprozess für Ausfallsicherheit nach der ISO 22301 soll die damit verbundenen Risiken minimieren.

Weiterführende Literaturhinweise:

  • Romeike, F./Hager, P. (2013): Erfolgsfaktor Risk Management 3.0 – Methoden, Beispiele, Checklisten: Praxishandbuch für Industrie und Handel, 3. Auflage, Wiesbaden 2013.
  • Schmitz, H. (2010): CC2: Ausfall der IT-Systeme – wertvolle Arbeitszeit (www.cczwei.de).


Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie, 158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie

158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2

Business Continuity Management (BCM) bzw. Betriebskontinuitätsmanagement (BKM) beschreibt die Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse, deren Unterbrechung einem Unternehmen ernsthafte Schäden oder vernichtende Verluste zufügen würden, zu schützen sowie alternative Abläufe der Prozesse zu ermöglichen. Das Ziel besteht somit in der Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit unter Beachtung etwaiger Risiken mit hohem Schadensausmaß.

Die Publikation richtet sich vor allem an Geschäftsführer, IT-Verantwortliche und Risikomanager in mittelständischen Unternehmen.

[ Bildquelle: oben: © Ivelin Radkov - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Methoden im Risikomanagement

Komplex oder kompliziert – das ist die Frage

Frank Romeike | Herbert Saurugg06.10.2017, 11:02

Nachdem wir immer wieder auf die fälschliche Verwendung des Begriffs "Komplexität" stoßen, möchten wir mit diesem Beitrag eine einfach verständliche Erklärung liefern, was unter Komplexität...

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...

Kolumne

Blickpunkt

Digital, digitaler, am digitalsten

Redaktion RiskNET06.09.2017, 10:09

Als im Jahr 1761 das französische Schiff "Utile" vor der Insel Tromelin im indischen Ozean sank, rettete sich eine Gruppe von Sklaven auf das Eiland. Die nur rund 1,7 Kilometer lange und...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...