News

Betriebliches Kontinuitätsmanagement

BCM basierend auf der ISO 22301

Stefan Spörrer [COMPLAVIS GmbH]31.07.2014, 15:34

Am 14. Mai 2012 hat die Internationale Organisation für Normung (ISO) die neue Norm ISO 22301 für das Business Continuity Management (BCM) veröffentlicht. Hiermit steht erstmalig eine weltweit gültige und zertifizierbare Norm für das betriebliche Kontinuitätsmanagement zur Verfügung.

Unternehmer haben die Verantwortung für ihre Organisation, die Betriebskontinuität beim Eintritt potenzieller Gefahren sicherzustellen. BCM soll neben dem Rahmen für die Identifizierung möglicher Schäden auch für die organisatorischen Möglichkeiten sorgen, um mit diesen Gefahren im Worst Case umgehen zu können. Mit der Einführung und Umsetzung eines BCM ist gewährleistet, dass die Interessen sowohl von Stakeholdern, der allgemeinen Reputation, der Marke, der Mitarbeiter als auch wertschöpfender Aktivitäten geschützt werden.

Unternehmerische Tätigkeit ist immer mit Unsicherheiten verbunden. Die totale Sicherheit kann nie das originäre Ziel eines Unternehmens sein, da ein Unternehmen ohne die Übernahme von Risiken nicht existieren könnte. Ziel eines Unternehmens kann es daher nicht sein, das maximale, sondern vielmehr ein unter betriebswirtschaftlichen Gesichtspunkten optimales Sicherheitsniveau anzustreben [vgl. Romeike/Hager 2013].

Romeike vergleicht einen effizienten Risikomanagement-Prozess mit Netzwerkstrukturen, die anpassungsfähig und flexibel sind, gemeinsame Ziele haben, Hierarchien vermeiden, zudem skalierbar und außerordentlich überlebensfähig sind [vgl. Romeike/Hager 2013]. Das strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risikoprozesses. Es beinhaltet vor allem die Formulierung von Risikomanagement-Zielen in Form einer "Risikopolitik" sowie die Definitionen der Aufbau- und Ablauforganisation des Risikomanagements. Das operative Risikomanagement beinhaltet den Prozess der systematischen und der laufenden Risikoanalyse der Geschäftsabläufe.  Risikomanagement wird in Ansätzen in vielen Unternehmen gelebt. Auch wenn die Themen möglicherweise unter anderen Begriffen bekannt sind.

Empirische Studien zeigen, dass vor allem Ausfälle in der Informationstechnologie (IT) sich direkt in den Kosten eines Unternehmens niederschlagen. Systemreparaturen kosten – basierend auf einer Marktforschungsstudie von Coleman Parks – Unternehmen durchschnittlich rund  263.347 Euro. Dies entspricht etwa 13,5 Prozent des jährlichen IT-Budgets. Über 17,7 Milliarden Euro Umsatz büßen allein europäische Firmen jährlich wegen fehlerhafter Systeme ein. Vor allem beim Data Recovery, der Wiederherstellung wichtiger Unternehmensdaten, geht unnötig viel wertvolle Zeit verloren, die durch optimierten Datenschutz, insbesondere bei der Datenwiederherstellung, eingespart werden könnte. Je länger die Ausfallzeiten sind, desto höher sind trivialerweise die damit verbundenen Kosten. Im Durchschnitt verzeichnen die europäischen Unternehmen 14 Stunden Ausfallzeit in der Informationstechnologie. Das sind insgesamt knapp eine Million Stunden in Gesamteuropa. Zudem generieren die Unternehmen bei Stillstand "unternehmenswichtiger Systeme" beinahe ein Drittel weniger Umsatz. Auch nach einer Datenwiederherstellung inklusive Hochfahren der IT-Systeme und abgeschlossener Wiederherstellung der Funktionsfähigkeit gehen zusätzliche 4,2 Stunden pro Unternehmen und somit 630.000 Stunden europaweit an produktiver Arbeit verloren [vgl. Schmitz 2010].  

Präventive Maßnahmen im Bereich Business Continuity sollen helfen, Betriebsstörungen effektiv zu reduzieren. Dazu zählen unter anderem Naturkatastrophen, IT-Ausfälle und Streiks. Betriebsstörungen umfassen auch Krankheitsausfälle oder lokale Ereignisse, die zum Beispiel die Lieferkette beeinträchtigen. Nicht selten verlieren Unternehmen ihre Kunden und das Vertrauen der Lieferanten, weil sie nicht in der Lage sind, angemessen auf unerwartete Betriebsstörungen zu reagieren.

Business Continuity Management stellt eine Rahmenstruktur bereit, die es ermöglicht, potenzielle Bedrohungen für die Organisation zu identifizieren. Es sollen Kapazitäten aufgebaut werden, um geeignete Maßnahmen zum Schutz der Interessen der Geschäftspartner und der eigenen Reputation umzusetzen. Auf Bedrohungen soll angemessen reagiert werden können, um diesen effektiv entgegen zu wirken.

Die ISO-Norm 22301 mit insgesamt zehn Kapiteln ersetzt den bis dato einzigen zertifizierbaren und originär für Großbritannien gedachten Standard BS 25999-2. Die ISO 22301 ist auf alle Organisationen jeder Größe weltweit anwendbar. Das gilt sowohl für den öffentlichen als auch für den privaten Sektor. Der Managementprozess für Ausfallsicherheit nach der ISO 22301 soll die damit verbundenen Risiken minimieren.

Weiterführende Literaturhinweise:

  • Romeike, F./Hager, P. (2013): Erfolgsfaktor Risk Management 3.0 – Methoden, Beispiele, Checklisten: Praxishandbuch für Industrie und Handel, 3. Auflage, Wiesbaden 2013.
  • Schmitz, H. (2010): CC2: Ausfall der IT-Systeme – wertvolle Arbeitszeit (www.cczwei.de).


Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie, 158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie

158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2

Business Continuity Management (BCM) bzw. Betriebskontinuitätsmanagement (BKM) beschreibt die Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse, deren Unterbrechung einem Unternehmen ernsthafte Schäden oder vernichtende Verluste zufügen würden, zu schützen sowie alternative Abläufe der Prozesse zu ermöglichen. Das Ziel besteht somit in der Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit unter Beachtung etwaiger Risiken mit hohem Schadensausmaß.

Die Publikation richtet sich vor allem an Geschäftsführer, IT-Verantwortliche und Risikomanager in mittelständischen Unternehmen.

[ Bildquelle: oben: © Ivelin Radkov - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Emotionalität und Risiko

Wege zu einem intelligenten Risikomanagement

Redaktion RiskNET12.11.2018, 17:15

So ziemlich jede unternehmerische Entscheidung basiert auf einem Abwägen von Chancen und Risiken. Allerdings tendiert unser Gehirn dazu, Sinneseindrücke und Informationen möglichst einfach und...

Kolumne

Reputations-Risikomanagement

Die größten Risiken für Marken

Wolfgang Schiller [Redaktion RiskNET]07.11.2018, 07:51

Marken als Vertrauenssysteme gewinnen und binden am effizientesten Kunden als die einzigen Wertschöpfungstreiber an das Unternehmen. Sie bieten eine attraktive Plattform für die Produkte des...

News

RiskNET Summit 2018: Nachlese Tag 2

Stresstests, Handel und Attacken

Redaktion RiskNET25.10.2018, 17:05

Es gibt eine Konstante im Risikomanagement und das ist die Geopolitik. Die Überschrift könnte lauten: Die Welt befindet sich in unsicheren Zeiten – auf allen Kontinenten, um an das Thema Reisen...

News

RiskNET Summit 2018: Nachlese Tag 1

Vom Reisen in die Welt des Risikomanagements

Redaktion RiskNET24.10.2018, 20:45

Wer sich im Risikomanagement bewegt, der begibt sich auf eine Reise. Zumindest dann, wenn er die eigene Business- und Organisationswelt besser kennenlernen möchte oder sich selbst. Nur so lassen...

Interview

Errare humanum est

Risikosituationen trainieren!

Redaktion RiskNET13.10.2018, 17:45

Der Mensch nimmt, sofern er selbstbestimmt agiert (oder zumindest glaubt dies zu tun), sehr große Risiken in Kauf. Extremsportarten haben oft ein Risiko von über 10 Prozent (Beispiel: 40 Prozent...