News

Betriebliches Kontinuitätsmanagement

BCM basierend auf der ISO 22301

Stefan Spörrer [COMPLAVIS GmbH]31.07.2014, 15:34

Am 14. Mai 2012 hat die Internationale Organisation für Normung (ISO) die neue Norm ISO 22301 für das Business Continuity Management (BCM) veröffentlicht. Hiermit steht erstmalig eine weltweit gültige und zertifizierbare Norm für das betriebliche Kontinuitätsmanagement zur Verfügung.

Unternehmer haben die Verantwortung für ihre Organisation, die Betriebskontinuität beim Eintritt potenzieller Gefahren sicherzustellen. BCM soll neben dem Rahmen für die Identifizierung möglicher Schäden auch für die organisatorischen Möglichkeiten sorgen, um mit diesen Gefahren im Worst Case umgehen zu können. Mit der Einführung und Umsetzung eines BCM ist gewährleistet, dass die Interessen sowohl von Stakeholdern, der allgemeinen Reputation, der Marke, der Mitarbeiter als auch wertschöpfender Aktivitäten geschützt werden.

Unternehmerische Tätigkeit ist immer mit Unsicherheiten verbunden. Die totale Sicherheit kann nie das originäre Ziel eines Unternehmens sein, da ein Unternehmen ohne die Übernahme von Risiken nicht existieren könnte. Ziel eines Unternehmens kann es daher nicht sein, das maximale, sondern vielmehr ein unter betriebswirtschaftlichen Gesichtspunkten optimales Sicherheitsniveau anzustreben [vgl. Romeike/Hager 2013].

Romeike vergleicht einen effizienten Risikomanagement-Prozess mit Netzwerkstrukturen, die anpassungsfähig und flexibel sind, gemeinsame Ziele haben, Hierarchien vermeiden, zudem skalierbar und außerordentlich überlebensfähig sind [vgl. Romeike/Hager 2013]. Das strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risikoprozesses. Es beinhaltet vor allem die Formulierung von Risikomanagement-Zielen in Form einer "Risikopolitik" sowie die Definitionen der Aufbau- und Ablauforganisation des Risikomanagements. Das operative Risikomanagement beinhaltet den Prozess der systematischen und der laufenden Risikoanalyse der Geschäftsabläufe.  Risikomanagement wird in Ansätzen in vielen Unternehmen gelebt. Auch wenn die Themen möglicherweise unter anderen Begriffen bekannt sind.

Empirische Studien zeigen, dass vor allem Ausfälle in der Informationstechnologie (IT) sich direkt in den Kosten eines Unternehmens niederschlagen. Systemreparaturen kosten – basierend auf einer Marktforschungsstudie von Coleman Parks – Unternehmen durchschnittlich rund  263.347 Euro. Dies entspricht etwa 13,5 Prozent des jährlichen IT-Budgets. Über 17,7 Milliarden Euro Umsatz büßen allein europäische Firmen jährlich wegen fehlerhafter Systeme ein. Vor allem beim Data Recovery, der Wiederherstellung wichtiger Unternehmensdaten, geht unnötig viel wertvolle Zeit verloren, die durch optimierten Datenschutz, insbesondere bei der Datenwiederherstellung, eingespart werden könnte. Je länger die Ausfallzeiten sind, desto höher sind trivialerweise die damit verbundenen Kosten. Im Durchschnitt verzeichnen die europäischen Unternehmen 14 Stunden Ausfallzeit in der Informationstechnologie. Das sind insgesamt knapp eine Million Stunden in Gesamteuropa. Zudem generieren die Unternehmen bei Stillstand "unternehmenswichtiger Systeme" beinahe ein Drittel weniger Umsatz. Auch nach einer Datenwiederherstellung inklusive Hochfahren der IT-Systeme und abgeschlossener Wiederherstellung der Funktionsfähigkeit gehen zusätzliche 4,2 Stunden pro Unternehmen und somit 630.000 Stunden europaweit an produktiver Arbeit verloren [vgl. Schmitz 2010].  

Präventive Maßnahmen im Bereich Business Continuity sollen helfen, Betriebsstörungen effektiv zu reduzieren. Dazu zählen unter anderem Naturkatastrophen, IT-Ausfälle und Streiks. Betriebsstörungen umfassen auch Krankheitsausfälle oder lokale Ereignisse, die zum Beispiel die Lieferkette beeinträchtigen. Nicht selten verlieren Unternehmen ihre Kunden und das Vertrauen der Lieferanten, weil sie nicht in der Lage sind, angemessen auf unerwartete Betriebsstörungen zu reagieren.

Business Continuity Management stellt eine Rahmenstruktur bereit, die es ermöglicht, potenzielle Bedrohungen für die Organisation zu identifizieren. Es sollen Kapazitäten aufgebaut werden, um geeignete Maßnahmen zum Schutz der Interessen der Geschäftspartner und der eigenen Reputation umzusetzen. Auf Bedrohungen soll angemessen reagiert werden können, um diesen effektiv entgegen zu wirken.

Die ISO-Norm 22301 mit insgesamt zehn Kapiteln ersetzt den bis dato einzigen zertifizierbaren und originär für Großbritannien gedachten Standard BS 25999-2. Die ISO 22301 ist auf alle Organisationen jeder Größe weltweit anwendbar. Das gilt sowohl für den öffentlichen als auch für den privaten Sektor. Der Managementprozess für Ausfallsicherheit nach der ISO 22301 soll die damit verbundenen Risiken minimieren.

Weiterführende Literaturhinweise:

  • Romeike, F./Hager, P. (2013): Erfolgsfaktor Risk Management 3.0 – Methoden, Beispiele, Checklisten: Praxishandbuch für Industrie und Handel, 3. Auflage, Wiesbaden 2013.
  • Schmitz, H. (2010): CC2: Ausfall der IT-Systeme – wertvolle Arbeitszeit (www.cczwei.de).


Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie, 158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2Stefan Spörrer: Business Continuity Management - ISO 22301 und weitere Normen im Rahmen der Informationstechnologie

158 Seiten, Kölner Wissenschaftsverlag, Köln 2014, ISBN-13: 978-3-942720-50-2

Business Continuity Management (BCM) bzw. Betriebskontinuitätsmanagement (BKM) beschreibt die Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse, deren Unterbrechung einem Unternehmen ernsthafte Schäden oder vernichtende Verluste zufügen würden, zu schützen sowie alternative Abläufe der Prozesse zu ermöglichen. Das Ziel besteht somit in der Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit unter Beachtung etwaiger Risiken mit hohem Schadensausmaß.

Die Publikation richtet sich vor allem an Geschäftsführer, IT-Verantwortliche und Risikomanager in mittelständischen Unternehmen.

[ Bildquelle: oben: © Ivelin Radkov - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Wechselkursrisiko

"Friedhofsruhe" an den Devisenmärkten?

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.10.04.2019, 12:11

In letzter Zeit habe ich mich häufiger gefragt, ob der Devisenmarkt noch richtig tickt. In der Vergangenheit waren die Wechselkurse stets eine Art Seismograf für die Stimmung und die Erwartungen der...

News

Ausstellung über Emil J. Gumbel

Statistiker der Extreme

Redaktion RiskNET02.04.2019, 07:54

Geboren in München 1891 in ein wohlhabendes liberal-jüdisches Elternhaus, verlebte Gumbel eine für das aufgeschlossene Münchner Lehel typische Kindheit. Nach seiner Schulzeit in St. Anna und am...

Interview

Kybernetik des Menschen lesen

Profiling und die sichtbaren Verhaltensweisen

Redaktion RiskNET27.03.2019, 11:22

Sabrina Rizzo ist ausgewiesene Expertin für "Business und Private Profiling". Das heißt, sie kann Menschen lesen. Eine verkrampfte Hand, ein kleines Zucken im Gesicht oder das Hochziehen...

Interview

Interview Munich Re

Cybercrime, Cyberwar bis Cyber-Terrorismus

Redaktion RiskNET25.02.2019, 13:11

Cyber-Attacken nehmen zu, werden raffinierter und kosten Unternehmen inzwischen Milliarden. Die Bandbreite an Risiken ist groß und erstreckt sich von Cybercrime über Cyberwar bis zum...

Kolumne

Risikoanalyse

Italiens Banken und Target-2

Markus Krall [goetzpartners]15.02.2019, 17:40

Das systemische Risiko heißt so, weil seine Auswirkungen die Stabilität des gesamten Finanz- und Wirtschaftssystems betreffen können. In der Vergangenheit war es in aller Regel so, dass systemische...