Betriebliches Kontinuitätsmanagement

BCM basierend auf der ISO 22301


Betriebliches Kontinuitätsmanagement: BCM basierend auf der ISO 22301 News

Am 14. Mai 2012 hat die Internationale Organisation für Normung (ISO) die neue Norm ISO 22301 für das Business Continuity Management (BCM) veröffentlicht. Hiermit steht erstmalig eine weltweit gültige und zertifizierbare Norm für das betriebliche Kontinuitätsmanagement zur Verfügung.

Unternehmer haben die Verantwortung für ihre Organisation, die Betriebskontinuität beim Eintritt potenzieller Gefahren sicherzustellen. BCM soll neben dem Rahmen für die Identifizierung möglicher Schäden auch für die organisatorischen Möglichkeiten sorgen, um mit diesen Gefahren im Worst Case umgehen zu können. Mit der Einführung und Umsetzung eines BCM ist gewährleistet, dass die Interessen sowohl von Stakeholdern, der allgemeinen Reputation, der Marke, der Mitarbeiter als auch wertschöpfender Aktivitäten geschützt werden.

Unternehmerische Tätigkeit ist immer mit Unsicherheiten verbunden. Die totale Sicherheit kann nie das originäre Ziel eines Unternehmens sein, da ein Unternehmen ohne die Übernahme von Risiken nicht existieren könnte. Ziel eines Unternehmens kann es daher nicht sein, das maximale, sondern vielmehr ein unter betriebswirtschaftlichen Gesichtspunkten optimales Sicherheitsniveau anzustreben [vgl. Romeike/Hager 2013].

Romeike vergleicht einen effizienten Risikomanagement-Prozess mit Netzwerkstrukturen, die anpassungsfähig und flexibel sind, gemeinsame Ziele haben, Hierarchien vermeiden, zudem skalierbar und außerordentlich überlebensfähig sind [vgl. Romeike/Hager 2013]. Das strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risikoprozesses. Es beinhaltet vor allem die Formulierung von Risikomanagement-Zielen in Form einer "Risikopolitik" sowie die Definitionen der Aufbau- und Ablauforganisation des Risikomanagements. Das operative Risikomanagement beinhaltet den Prozess der systematischen und der laufenden Risikoanalyse der Geschäftsabläufe.  Risikomanagement wird in Ansätzen in vielen Unternehmen gelebt. Auch wenn die Themen möglicherweise unter anderen Begriffen bekannt sind.

Empirische Studien zeigen, dass vor allem Ausfälle in der Informationstechnologie (IT) sich direkt in den Kosten eines Unternehmens niederschlagen. Systemreparaturen kosten – basierend auf einer Marktforschungsstudie von Coleman Parks – Unternehmen durchschnittlich rund  263.347 Euro. Dies entspricht etwa 13,5 Prozent des jährlichen IT-Budgets. Über 17,7 Milliarden Euro Umsatz büßen allein europäische Firmen jährlich wegen fehlerhafter Systeme ein. Vor allem beim Data Recovery, der Wiederherstellung wichtiger Unternehmensdaten, geht unnötig viel wertvolle Zeit verloren, die durch optimierten Datenschutz, insbesondere bei der Datenwiederherstellung, eingespart werden könnte. Je länger die Ausfallzeiten sind, desto höher sind trivialerweise die damit verbundenen Kosten. Im Durchschnitt verzeichnen die europäischen Unternehmen 14 Stunden Ausfallzeit in der Informationstechnologie. Das sind insgesamt knapp eine Million Stunden in Gesamteuropa. Zudem generieren die Unternehmen bei Stillstand "unternehmenswichtiger Systeme" beinahe ein Drittel weniger Umsatz. Auch nach einer Datenwiederherstellung inklusive Hochfahren der IT-Systeme und abgeschlossener Wiederherstellung der Funktionsfähigkeit gehen zusätzliche 4,2 Stunden pro Unternehmen und somit 630.000 Stunden europaweit an produktiver Arbeit verloren [vgl. Schmitz 2010].  

Präventive Maßnahmen im Bereich Business Continuity sollen helfen, Betriebsstörungen effektiv zu reduzieren. Dazu zählen unter anderem Naturkatastrophen, IT-Ausfälle und Streiks. Betriebsstörungen umfassen auch Krankheitsausfälle oder lokale Ereignisse, die zum Beispiel die Lieferkette beeinträchtigen. Nicht selten verlieren Unternehmen ihre Kunden und das Vertrauen der Lieferanten, weil sie nicht in der Lage sind, angemessen auf unerwartete Betriebsstörungen zu reagieren.

Business Continuity Management stellt eine Rahmenstruktur bereit, die es ermöglicht, potenzielle Bedrohungen für die Organisation zu identifizieren. Es sollen Kapazitäten aufgebaut werden, um geeignete Maßnahmen zum Schutz der Interessen der Geschäftspartner und der eigenen Reputation umzusetzen. Auf Bedrohungen soll angemessen reagiert werden können, um diesen effektiv entgegen zu wirken.

Die ISO-Norm 22301 mit insgesamt zehn Kapiteln ersetzt den bis dato einzigen zertifizierbaren und originär für Großbritannien gedachten Standard BS 25999-2. Die ISO 22301 ist auf alle Organisationen jeder Größe weltweit anwendbar. Das gilt sowohl für den öffentlichen als auch für den privaten Sektor. Der Managementprozess für Ausfallsicherheit nach der ISO 22301 soll die damit verbundenen Risiken minimieren.

Weiterführende Literaturhinweise:

  • Romeike, F./Hager, P. (2013): Erfolgsfaktor Risk Management 3.0 – Methoden, Beispiele, Checklisten: Praxishandbuch für Industrie und Handel, 3. Auflage, Wiesbaden 2013.
  • Schmitz, H. (2010): CC2: Ausfall der IT-Systeme – wertvolle Arbeitszeit (www.cczwei.de).


Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie, 158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie

158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2

Business Continuity Management (BCM) bzw. Betriebskontinuitätsmanagement (BKM) beschreibt die Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse, deren Unterbrechung einem Unternehmen ernsthafte Schäden oder vernichtende Verluste zufügen würden, zu schützen sowie alternative Abläufe der Prozesse zu ermöglichen. Das Ziel besteht somit in der Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit unter Beachtung etwaiger Risiken mit hohem Schadensausmaß.

Die Publikation richtet sich vor allem an Geschäftsführer, IT-Verantwortliche und Risikomanager in mittelständischen Unternehmen.

[ Bildquelle Titelbild: oben: © Ivelin Radkov - Fotolia.com ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.