Business Continuity Management. Die Phasen eines idealtypischen Planungsprozesses

Inhaltsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Integration des BCM in andere Managementprozesse

3 Phasen eines idealtypischen BCM-Planungsprozesses
3.1 Initiierungsphase
3.2 Analysephase
3.3 Designphase
3.4 Implementierungsphase

4 Laufendes BCM vor dem Notfall

5 Literaturverzeichnis (inklusive weiterführender Literatur)

A. Verzeichnis der nicht-elektronischen Quellen

B. Verzeichnis der elektronischen Quellen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Die Managementtheorien des letzten Jahrzehnts verfolgen nahezu alle die Steigerung der Erträge durch eine gezielte Erhöhung der Effizienz. Ansätze wie „Just-In-Time“, „Global Sourcing”, “Vendor-managed-inventory” und “Outsourcing” sowie der zunehmende Einfluss der Informationstechnologie auf die Geschäftsprozesse erhöhten die Ertragspotentiale der Unternehmen weltweit. Gleichzeitig steigerte diese Entwicklung jedoch auch deren Verwundbarkeit und Größtrisikopotentiale überproportional, was als „diseconomies of risk“ bezeichnet wurde.^[1] Dies bewegte Gesetzgeber und Unternehmenslenker zunehmend, den alten und neuen Risiken der unternehmerischen Tätigkeit in Form eines Risikomanagements (RM) entgegenzutreten, welches „den Fortbestand eines Unternehmens durch Absicherung der Unternehmensziele gegen störende Ereignisse sichern“ soll.^[2]

Der erwartete Schaden eines identifizierten Risikos soll dabei durch den klassischen Mix aus Risikomeidung, -minderung und -transfer auf ein akzeptables Niveau reduziert werden, das als verbleibendes Netto- oder Restrisiko selbst getragen werden kann.

Dieses Vorgehen stößt jedoch bei Bedingungsrisiken mit hohem Schadenpotential und einer geringen Eintrittswahrscheinlichkeit (High-Impact-Low-Frequency, H.I.L.F.-Risiken), wie Terrorismus oder nuklearen Zwischenfällen, an Grenzen. Da Bedingungsrisiken aus nicht gestaltbaren Rahmenbedingungen des Unternehmens resultieren, ist eine Einflussnahme auf die Eintrittswahrscheinlichkeit sowie die bewusste Meidung des Risikos auszuschließen. Somit reduzieren sich die Möglichkeiten auf wirkungsbezogene Maßnahmen zur Risikominderung sowie den Risikotransfer. Letzterer erfordert jedoch eine exakte Bewertung des erwarteten Schadens, was aufgrund des Mangels an Erfahrungswerten (Low Frequency) schwierig ist. Folglich lassen sich kaum Zessionare finden, die diese Risiken zu einem angemessenen Preis übernehmen würden. Ohnehin nicht transferierbar sind dabei qualitative Risiken, die den Verlust menschlichen Lebens, der Reputation des Unternehmens oder eine drohende Schließung des Geschäftsbetriebes beinhalten.

Daher wird es im Ernstfall unabwendbar, das gesamte qualitative und quantitative Schadenpotential allein mit den wirkungsbezogenen Maßnahmen der Risikominderung zu bewältigen.

Business Continuity Management (BCM) ist ein ganzheitlicher Managementprozess, welcher durch Planung präventiver Maßnahmen, gezielte Vorbereitung eines Notfall- und Krisenmanagements sowie unverzüglicher Wiederherstellung unterbrochener Prozesse die Stabilität einer Organisation in Notlagen gewährleisten und eine Unterbrechung des Geschäftsbetriebs trotz widriger Umstände vermeiden soll.^[3] Dieser Ansatz wurde in unternehmerischem Kontext Mitte der 1980er Jahre in den USA zum ersten Mal unter dem Namen „Disaster Recovery“ bekannt und sollte dem Risiko eines Ausfalls der Informationstechnologie, das mit zunehmender Abhängigkeit der unternehmerischen Prozesse zu einem schwer beherrschbaren Potential herangewachsen war, begegnen. Erst Mitte der 1990er Jahre führte eine Reihe von Katastrophen dazu, diese Notfallplanung auf weitere Risiken auszuweiten. Als am 11. September 2001 zwei Flugzeuge in die Zwillingstürme des World Trade Centers stürzten, hatte keines der dort ansässigen Unternehmen einen Notfallplan für ein solches Szenario entwickelt. Dass dennoch einige Unternehmen wie Morgan Stanley, Cantor Fitzgerald oder American Express innerhalb weniger Stunden wieder den Geschäftsbetrieb fortsetzen konnten, verdanken sie der Vorbereitung auf verschiedene Zwischenfälle, die neben einem Ausfall der IT beispielsweise auch den Verlust von Betriebsgebäuden als mögliches Szenario in Betracht zogen.^[4]

Die veränderte Risikowahrnehmung nach dem 11. September 2001 verstärkte in den folgenden Jahren weltweit die Bemühungen zur Entwicklung diverser Ansätze und Richtlinien, in welcher Form BCM gestaltet werden müsse, um vergleichbaren Risiken adäquat begegnen zu können.^[5] In Ermangelung eines einheitlichen Standards weisen diese jedoch zum Teil grundlegende Unterschiede im Bezug auf Vollständigkeit und Detaillierungsgrad auf, was den Erfolg stark vom zugrunde gelegten Ansatz abhängig macht.

Die vorliegende Arbeit untersucht auf Basis der bisher am weitesten verbreiteten Ansätze, wie BCM erfolgen müsste, um das Ziel – Kontinuität der betrieblichen Kernfunktionen – sicherzustellen.

Dazu werden zunächst die weniger offensichtlichen Beweggründe zur Implementierung eines BCM sowie dessen Schnittstellen zu anderen Managementprozessen dargestellt. Danach werden die verschiedenen Ausführungen und Richtlinien aus Europa, den Vereinigten Staaten, Japan, China und Südostasien zu einem generellen Vorgehen im Rahmen eines „idealtypischen BCM-Planungsprozesses“ sowie dem kontinuierlichen BCM vor einem Notfall verdichtet.

2 Integration des BCM in andere Managementprozesse

Unternehmerisches Handeln wird zwangsläufig immer von diversen Gefahren, also dem Risiko einer negativen Abweichung von der erwarteten Entwicklung, begleitet.^[6] Diese können unterschiedlichster Natur sein und bei ihrem Eintreten Ausmaße von Bagatellschäden bis zur Existenzzerstörung annehmen. Wenn ein Ereignis eingetreten ist, das existenzbedrohende Ausmaße anzunehmen imstande ist, spricht man sowohl in der Medizin als auch in der Betriebswirtschaft von einem Notfall.^[7] Ein solcher Notfall erfordert zur Verhinderung einer Verschlechterung der Situation immer ein schnelles und wirksames Eingreifen, das so genannte Notfallmanagement.^[8]

Sind die geeigneten Sofortmaßnahmen nicht offensichtlich, so kann es für die Beteiligten schwierig werden, wirksam zu reagieren. Häufig kann durch falsches Handeln die Situation dramatisch verschlimmert werden, bis sie subjektiv als „Katastrophe“ wahrgenommen wird. Das Gefühl, mit einem Notfall oder einer gefährlichen Situation aus der Ermangelung wahrgenommener Handlungsmöglichkeiten heraus nicht richtig umgehen zu können, wird allgemein als Krise bezeichnet. Krisenmanagement steht für einen Prozess der Analyse der gegenwärtigen Situation mit dem Ziel Handlungsalternativen zu identifizieren und Gegenmaßnahmen zu beschließen. Es handelt sich dabei also in erster Linie um einen Prozess zur Entscheidungsfindung.^[9]

Unabhängig davon wie gut oder schlecht es den Beteiligten gelingt einen Notfall zu managen, bedeutet das bloße Eintreten des Notfalls oft schon den Verlust oder die Verletzung von menschlichem Leben, finanziellen oder substantiellen Vermögenswerten, Reputation und Ansehen sowie eine erhebliche Störung des gewöhnlichen Arbeitsablaufes mit zunehmender Verschlimmerung im Zeitablauf. Das Risikomanagement hat die Aufgabe „Risiken, die die Vermögens-, Finanz- oder Ertragslage eines Unternehmens (…) gefährden könnten“ zu identifizieren, zu quantifizieren und wirtschaftlich sinnvoll abzusichern.^[10] Auf diese Weise sollen Notfälle gar nicht erst entstehen und das Notfall- und Krisenmanagement muss nicht zum Einsatz kommen.

Da dies jedoch, wie bereits in der Einleitung gezeigt, nicht immer möglich bzw. aus wirtschaftlichen Gründen gewünscht ist, verbleiben dennoch Risiken, die, sofern sie schlagend werden, in einem ernsthaften Notfall resultieren. Das dann wieder notwendige Notfallmanagement kann jedoch im Vorfeld gestärkt und strategisch vorbereitet werden, indem das erwartete Szenario bereits am Reißbrett durchgespielt und Strategien sowie Gegenmaßnahmen detailliert ausgearbeitet und vorbereitet werden. Business Continuity Management schlägt somit die Brücke vom Risiko- zum Krisenmanagement und versucht nicht in erster Linie, Notfälle zu vermeiden, sondern das Unternehmen sicher durch den Notfall zu navigieren, ohne dass die Geschäftprozesse durch diesen unterbrochen werden. Die Notwendigkeit der schnellen Entscheidungsfindung durch das Krisenmanagement wird durch die vorbereitete Verfügbarkeit von Sofortmaßnahmen zeitlich nach hinten verlagert.

Die Positionierung und die Hierarchie des BCM zum eventuell im Unternehmen bereits bestehenden und in seinen Aufgaben sehr ähnlichen Risikomanagement werden von den Vertretern der verschiedenen Disziplinen sehr kontrovers diskutiert. So wurde RM beispielsweise als reine Funktion zur Identifikation und Bewertung der Risiken innerhalb der Analyse des BCM bezeichnet.^[11] Es ist jedoch der Trend zu beobachten, BCM als Teil des RM zu definieren. Bezeichnete das Business Continuity Institute BCM in seiner Version der „Good Practice Guidelines“ von 2002 aufgrund der vielfältigen Verflechtungen noch als „unifying process“, der auch das RM subsumiert, so fehlt diese Grafik in der Version von 2005.^[12] Der Baseler Ausschuss für Bankenaufsicht hingegen fügte dem Consultative Paper der „High Level Principles for Business Continuity“ in der Endfassung von 2006 den Passus „a significant component of operational risk management“ hinzu.^[13] Letzteres könnte aus der Beobachtung resultieren, dass sich zwar nahezu alle im Rahmen des BCM abgedeckten Risiken von der Definition des operationellen Risikos als „Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen oder in Folge externer Ereignisse eintreten“, erfassen lassen, darüber hinaus jedoch noch eine große Anzahl solcher operationeller Risiken nicht vom BCM behandelt werden.^[14] Zur Klärung soll bereits an dieser Stelle die Terminologie von Haller eingeführt werden, welche den „Störprozess“ auf fünf Grundelemente reduziert. „Er enthält die Elemente der Störquelle, der Störungsart, des Störungsobjektes und der gestörten Vollzugsprozesse, die in ihrer Gesamtwirkung die Zielabweichungen bewirken.“^[15]

Während das operationelle Risikomanagement auf die Störquellen fokussiert ist, versucht BCM eine Störung des Vollzugsprozesses zu vermeiden. Zwischen diesen beiden Punkten liegen mehrere Stufen mit je einer Kombination aus Störungsart und Störungsobjekt, die in Form von Folgeschäden verknüpft sind. Dieser grundlegende Unterschied im Ansatz bewirkt die teilweise Überschneidung der dabei abgedeckten Risiken bzw. Störquellen, da nicht jedes Risiko imstande ist, einen Vollzugsprozess zu stören bzw. zu unterbrechen.^[16] Somit wäre es sogar möglich, dass RM und BCM aus zwei Richtungen denselben Schadenprozess zu reduzieren versuchen. Beispielsweise können die Verluste aus dem Risiko eines Hurricanes vom Risikomanagement durch Risikominderung und -transfer auf ein finanziell tragbares Nettorisiko reduziert werden. Da die Geschäftsprozesse durch die eingeschränkte Nutzbarkeit von Räumlichkeiten und öffentlichen Verkehrsmitteln dennoch unterbrochen wären, könnte dies im Rahmen des BCM Anlass zur Entwicklung entsprechender Maßnahmen und Notfallpläne geben. Zur nachhaltigen Sicherung eines Unternehmens sind ein abgestimmtes Zusammenspiel dieser sich gegenseitig ergänzenden Managementprozesse sowie eine exakte Schnittstellenplanung zur Vermeidung von Redundanzen erforderlich.

Abbildung 1 verdeutlicht anhand eines Ablaufdiagramms eine mögliche Schnittstellenplanung zwischen RM und BCM.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Eine mögliche Schnittstellenplanung zwischen RM und BCM.

Quelle: Eigene Darstellung

Die Vielfältigkeit der möglichen Szenarien erfordert bei der Entwicklung konkreter Maßnahmen neben Risiko-, Notfall- und Krisenmanagement, Schnittstellen mit diversen weiteren Managementprozessen. So wird bei der Planung von Sofortmaßnahmen für ein Schadenereignis das Facility Management oder das Umweltmanagement und zur Sicherung der Ressourcen das Supply Chain Management und das Personalwesen (HRM) in Verbindung mit dem Gesundheits- und Sicherheitsmanagement, sowie dem Arbeitsschutz in die Planung integriert.^[17] Die Sicherung von bestehendem Wissen und Daten ist Aufgabe des Wissensmanagements sowie der Informationssicherheit (IT Security).

Die entwickelten Maßnahmen münden in einen Business Continuity Plan (BCP), der, auch bekannt als Business Recovery Plan, Desaster Recovery Plan, Business Contingency Plan, Business Process Contingency Plan, Business Resumption Plan oder Continuity of Operations Plan, die Ergebnisse der Planung strukturiert darstellt.^[18] Dies erfordert im weiteren Verlauf eine Verknüpfung mit zusätzlichen Managementprozessen. So wird im Rahmen der Aktualisierung der Pläne beispielsweise eine Einbettung in das Änderungsmanagement (Change Management) wichtig. Die Rolle der Unternehmenskommunikation wird spätestens bei Eintritt eines Notfalls deutlich und muss gleichermaßen Berücksichtigung finden.

In Literatur und Praxis stößt man darüber hinaus unweigerlich auf weitere Ansätze wie Business Continuity Planning, Business Contingency Planning, Incident Management oder Special Situation Management.^[19] Diese Begriffe werden jedoch größtenteils synonym verwendet und dienen in erster Linie diversen kommerziellen Anbietern auf diesem Gebiet, um sich vom Wettbewerb abzuheben. Teilweise ebenfalls synonym, manchmal abgegrenzt als die technische Seite des BCM werden weiterhin die Begriffe Disaster Recovery Planning, Business Resumption Planning, Corporate Contingency Planning, Business Interruption Planning oder Disaster Preparedness angeführt.^[20]

3 Phasen eines idealtypischen BCM-Planungsprozesses

Wenngleich auch in Deutschland bislang kein allgemein gültiger Standard für Business Continuity Management erarbeitet wurde, bestehen doch weltweit diverse Überlegungen und Ansätze zu Aufbau und Ablauf desgleichen. Das vorliegende Kapitel fasst die Ansätze und Empfehlungen des Business Continuity Institute (England), des British Standard Institute (England), des Disaster Recovery Institute International (USA), der ASIS International (USA), der National Fire Protection Agency (USA), des Baseler Ausschusses für Bankenaufsicht (Schweiz), der Monetary Authority of Singapore, der Hong Kong Monetary Authority, der Bank of Japan sowie des U.S. Homeland Security Council des Weißen Hauses in ihren wesentlichen Punkten zusammen. Die Ergebnisse einzelner Unterpunkte werden zusätzlich durch die Ausführungen verschiedener Autoren validiert bzw. ergänzt.

3.1 Initiierungsphase

In welcher Form ein BCM-Prozess abläuft, hängt entscheidend davon ab, ob ein ähnlicher Bereich, wie z. B. das RM, bereits im Unternehmen existiert und ob das BCM selbst noch implementiert werden muss. Ist letzteres der Fall, sind Führungskräfte geneigt, BCM als Projekt aufzusetzen, um den Kosten- und Zeitrahmen überschaubar zu halten. Dies hat jedoch häufig zur Folge, dass das „Projekt“ mit einem Notfallplan als beendet angesehen wird und dieser in der Folge zu einem unbrauchbaren Stück Papier veraltet, welches im Notfall wertlos sein wird.^[21] Deshalb sollte ein als Projekt gestartetes BCM in ein Programm überführt werden, welches einen fortlaufenden Prozess garantiert. Die ersten Schritte sind jedoch stets identisch und sollen als zentrale Bestandteile jedes Projektmanagements hier nur kurz erwähnt werden. Es müssen Verantwortlichkeiten und Budgets sowie der Zeithorizont für wichtige Meilensteine festgelegt und schriftlich fixiert werden.^[22] Von Beginn an sollte wenigstens ein Mitglied der Geschäftsleitung die Verantwortung für das BCM übernehmen, um sicherzustellen, dass Entscheidungen auf angemessenem Level getroffen werden können.^[23] Inhalt und Umfang (Scope) sowie Zielerwartungen müssen definiert und je nach Größe und Komplexität des Unternehmens für das „Projekt“ benötigte Ressourcen jeglicher Art ermittelt und beschafft werden. Um ein einwandfreies Reporting zu gewährleisten, müssen die Kommunikationswege und -inhalte festgelegt und die Ergebnisse in einem Projektplan dokumentiert werden.^[24] Dem bloßen Projektansatz vorzuziehen wäre jedoch die organisatorische Berücksichtigung einer festen BC-Stelle im Unternehmen und ein Einbinden in die bestehenden Managementprozesse, da sich BCM nur als fest verankerter Bestandteil des täglichen Geschäfts in die Kultur einer Unternehmung integrieren und zu nachhaltigen Ergebnissen führen kann.^[25]

[...]

^[1] Vgl. Haller, M., Wehowsky, S. (2001), S. 3, Haller, M. (2006)

^[2] Romeike, F. / Müller-Reichart, M. (2005), S. 397

^[3] Vgl. Monahan, S., Laudicina, P., Attis, D. (2003), S. 11, HKMA (2002), S. 8, Basel Committee on Banking Supervision (2006), S. 1, BCI (2005), S. 5

^[4] Vgl. Stohr, E.A. / Rohmeyer, P. (2004), S. 1

^[5] Vgl. Bank of Japan (2003), S. 2, HKMA (2002), S. 3, 1.2.1

^[6] „Risiko“ wird im Rahmen dieser Arbeit, mit Ausnahme des Kapitels 5.2, immer als Risiko im engeren Sinne, also als rein negative Abweichung vom Erwartungswert, verstanden.

^[7] Vgl. Universität Mainz (2006), Nr.15.9.1, Brauner, C. (2001), S. 13

^[8] Vgl. Brauner, C. (2001), S. 13

^[9] Vgl. Brauner, C. (2001), S. 13

^[10] RiskNet (2006), Glossar

^[11] Vgl. McCrackan, A. (2004)

^[12] Vgl. BCI (2005) und BCI-GPG (2002), S. 3

^[13] Vgl. Basel Committee on Banking Supervision (2005), S. 7 und Basel Committee on Banking Supervision (2006), S. 7

^[14] Baseler Ausschuss für Bankenaufsicht (2004), S. 157, Bundesministerium der Finanzen (2006), S. 231, §269(1)

^[15] Haller, M., Wehowsky, S. (2001), S. 4

^[16] Siehe hierzu auch Abb.2: „Kausalbeziehungen innerhalb eines Störprozesses“ auf Seite 28.

^[17] Vgl. von Rössing (2005), S. 37

^[18] Vgl. SearchSecurity (2006), DRJ/DRII (o.J.), BCI (2002), S. 231

^[19] Vgl. Brauner, C. (2001), S. 7

^[20] Vgl. BCI (2002), S. 233, DRJ/DRII (o.J)

^[21] Vgl. Auf der Heide, E. (1989), S. 23-24

^[22] Vgl. DRII (2004), Subject Area 1

^[23] Vgl. Emergency Preparedness (2004), S. 82 Nr.6.49, Basel Committee on Banking Supervision (2005), S. 12, HKMA (2002), 2.1.1, MAS (2003), S. 6, IMF 2006, S. 14-15, ASIS (2005), S. 10

^[24] Vgl. Duncan, W. R. (1996), S.107-110, DRII (2003), step 6

^[25] Vgl. MAS (2003), S. 7, BCI (2005), S. 5