Betriebliches Kontinuitätsmanagement

Betriebskontinuitätsmanagement (BKM) (englisch business continuity management) bzw. Geschäftsfortbestandsmanagement (BFM) bezeichnet in der Betriebswirtschaftslehre die Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse – deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden – zu schützen bzw. alternative Abläufe zu ermöglichen.^[1] Ziel ist somit die Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß.

BKM bezeichnet zusammenfassend eine Managementmethode, die anhand eines Lebenszyklus-Modells die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhersehbar erschwerten Bedingungen absichert. Es besteht eine enge Verwandtschaft mit dem Risikomanagement. In den deutschsprachigen Ländern wird das BKM bisweilen als verwandt mit der Informationssicherheit, der IT-Notfallplanung und dem Facilities Management angesehen. Verbindungen bestehen auch zum Gedankengut der Corporate Governance.

Historisch nachgewiesen ist der militärische Ursprung in der chinesischen Literatur (Sun Tzu, um 500 v. Chr., vgl. kommentierte Übersetzung "The Art of War", Hrsg. Lionel Giles, The British Museum 1910), später bei deutschsprachigen Militärtheoretikern wie Clausewitz. Die fortdauernde Planung, Umsetzung und der erfolgreiche Abschluss eigener Pläne trotz Feindeinwirkung und Störung wurde mit Einsetzen der industriellen Revolution auf das betriebliche Geschehen übertragen.

Kennzeichnend für den Übergang von der militärischen Begrifflichkeit zur zivilen Nutzung sind u. a. (USA) civil defence, homeland security, (D) Zivilverteidigung, Katastrophenschutz. Die Entwicklung des BKM erfolgte ab ca. 1950 vornehmlich in den USA, jedoch unter Nutzung der Grundlagen aus Europa. Ab ca. 1980 veränderte sich die Wahrnehmung in Richtung der Informationstechnologie, deren zunehmende Bedeutung im Unternehmen zu einem besonderen Risikofaktor wurde. Die Sicherstellung des IT-Betriebs erfolgt durch IT Disaster Recovery, deutsch "IT-Notfallplanung".

In der jüngeren Vergangenheit wurde der Begriff des BKM erneut auf den Gesamtbetrieb erweitert, u. a. durch Gesetzgebung wie den (USA) Sarbanes-Oxley Act 2002 und den (GB) Civil Contingencies Act 2004. Implizit ist das BKM u. a. nach (D) Kontroll- und Transparenzgesetz 1998, (D, A) Kodizes für Corporate Governance. Ergänzend erfolgt die Beschreibung des BKM durch mehrere Normen und Industriestandards, beispielsweise (international) ISO 17799, (USA) NFPA 1600, (AU, NZ) BCM Better Practice Guidelines, (GB) BS 7799: 2002 (2), (A) ÖNORM A 7799, Veröffentlichungen des Basler Ausschusses hinsichtlich der Zweiten Basler Eigenkapitalverordnung, (D) Mindestanforderungen an das Risikomanagement für Kreditinstitute (MaRisk).

Methode und Rahmen des BKM sind im sog. "Good Practice Guide" veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird. Zentrale Kompetenzen für Praktiker sind in den (GB, USA) "Joint Standards" geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 "Notfallmanagement" als Ergänzung zum IT-Grundschutz das Thema BKM erstellt.

Um bei Vorfällen (siehe auch Incident Management) beziehungsweise im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden.

Es ist primär festzustellen,

• welche Prozesse unbedingt aufrechterhalten werden müssen sowie
• welche Maßnahmen dafür notwendig sind.

Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden. Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.

Technische Betrachtung

Business Continuity Management ist der Aufbau eines leistungsfähigen Notfall- und Krisenmanagements zwecks systematischer Vorbereitung auf die Bewältigung von Schadenereignissen, so dass wichtige Geschäftsprozesse selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.

Ziel des Business-Continuity-Managements ist die Generierung und Proklamation von Prozessdefinitionen und Dokumentation eines betriebsbereiten und dokumentierten Notfallvorsorgeplans, der exakt auf das individuelle Unternehmen abgestimmt ist, sowie die Sensibilisierung aller Mitarbeiter auf das Thema "wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation".

Katastrophenszenarien

Die Art von Ereignissen (Incidents) lässt sich in verschiedene Sparten unterteilen:

• IT/System-Ausfall
• Gebäudeausfall
• Ausfall von Personal (bspw. Pandemie)
• Ausfall von Lieferanten/Partnern

Je nach Ereignis, wird das Unternehmen mit einem spezifischen Katastrophenszenario reagieren. Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem Systemausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal. Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken. Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmassnahmen zu behandeln. Als Beispiel sind etwa verstärkte Hygienemassnahmen bei Ankündigung einer Pandemie zu nennen.

Gesellschaftliche Sicherheit

Im September 2007 wurde durch das ISO TC 223 "Societal Security" der internationale Standard ISO/PAS 22399 "Societal security - Guideline for incident preparedness and operational continuity management" veröffentlicht. Er wurde von allen 50 darin vertretenen Staaten verabschiedet und basiert konkret auf den Best Practices (bzw. Standards) aus fünf Nationen: dem amerikanischen NFPA 1600, dem britischen BS 25999-1:2006, dem australischen HB 211:2004, dem israelischen INS 24001:2007 sowie japanischen Vorschriften. Das Akronym IPOCM steht dabei für Incident Preparedness and Operational (Business) Continuity Management. IPOCM wird dabei als Erweiterung des BKM verstanden. Während BKM Unternehmen fokussiert, bezieht IPOCM darüber hinaus sowohl private als auch öffentliche Organisationen sowie Verwaltungen mit ein und legt den Fokus auf die Aufrechterhaltung bzw. den Wiederaufbau lebenswichtiger Infrastrukturen unabhängig von der Art des Ereignisses.

Literatur

• Martin Wieczorek, Uwe Naujoks, Bob Bartlett (Hrsg.): Business Continuity. Notfallplanung für Geschäftsprozesse. Springer, Berlin u. a. 2002, ISBN 3-540-44285-5 (Xpert.press).
• Rolf von Rössing: Betriebliches Kontinuitätsmanagement. MITP, Bonn 2005, ISBN 3-8266-1459-3.
• Ulf Hinterscheid: Ansätze zur Bewältigung existenzbedrohender Unternehmensrisiken. Sicherung globaler Wertschöpfungsprozesse durch betriebliche Kontinuität. Pro BUSINESS, Berlin 2008, ISBN 978-3-86805-183-4 (Zugleich: Wuppertal, Univ., Diss, 2008).

Weblinks

• Fallstudie zu Tivoli Business Continuity Process Manager Tool
• Compliance-Seite mit nützlichen Informationen zu BCM
• Marktübersicht BCM-Tools

Einzelnachweise

1. ↑ Hiles, Barnes (2001).