Ganz gleich, ob Sie sich auf die Auswirkungen des Winters, eine Pandemie oder andere Störungen des Geschäftsbetriebs vorbereiten – denken Sie daran, dass alles mit einem soliden Plan beginnt. Berücksichtigen Sie bei der Erstellung Ihres Business-Continuity-Plans die verschiedenen Ressourcen, die Sie benötigen, um Ihre Kunden weiterhin zu bedienen und den Geschäftsbetrieb aufrechtzuerhalten – beispielsweise durch Technologien wie Business-Continuity-Management-Software.
Beispiele für diese Ressourcen sind Internetverbindung oder Technologie, Zugang zu einer Einrichtung oder einem Büro, Ausrüstung oder Verbrauchsmaterialien – was benötigt jede Abteilung oder Geschäftsfunktion, und wie können Sie während einer Störung darauf zugreifen?
Sobald Sie einen schriftlichen Business-Continuity-Plan erstellt haben, müssen Sie diesen Plan testen, um sicherzustellen, dass er im Falle einer Störung die gewünschten Ergebnisse liefert. Mit anderen Worten: Können Sie den Betrieb aufrechterhalten und Ihre Kunden weiterhin bedienen?
Um dies zu testen, müssen Sie Ihre Mitarbeiter einbeziehen – sind sie bereit, vorbereitet und darin geschult, wie sie reagieren sollen? Überlegen Sie, wie Sie Ihren Mitarbeitern und Angestellten Anweisungen, Rollen, Verantwortlichkeiten und Informationen vermitteln werden. Beim Testen Ihrer Pläne können Sie Lücken oder Verbesserungsmöglichkeiten aufdecken – dokumentieren Sie Ihre Erkenntnisse, damit Sie diese angehen können. Und schließlich sollten Sie die aus Tests oder tatsächlichen Betriebsunterbrechungen gewonnenen Erkenntnisse in Ihre Pläne für das nächste Jahr einfließen lassen.
Marktdefinitionen
Gartner definiert Lösungen für Business Continuity Management Programme (BCMP) als „die wichtigsten Tools für die Verwaltung von Business Continuity Management (BCM)-Programmen. Sie bieten Funktionen für die Risikobewertung, die Analyse der Auswirkungen auf das Geschäft, die Abbildung von Geschäftsprozessen, Lieferanten und IT-Abhängigkeiten sowie die Planverwaltung. Einige Produkte bieten auch Funktionen für die Planumsetzung, die Ressourcenmodellierung und eine vereinfachte Unterstützung für das Krisen-/Vorfallmanagement.“
Forrester definiert BCM-Software als „Tools, die zum Erstellen, Pflegen, Testen, Kommunizieren und Ausführen von strukturierteren, aktuelleren, kollaborativeren und umsetzbareren Business-Continuity-Plänen verwendet werden“.
Warum benötigen Sie eine Software für das Business Continuity Management?
Dynamische Pläne
Heute gibt es mehr Bedrohungen für Unternehmen als je zuvor, die häufiger auftreten und weiter verbreitet sind. COVID-19 mag zwar die Diskussionen dominieren, aber das bedeutet nicht, dass alle anderen Vorfälle aufhören. Tatsächlich hat die Zahl der Störungen wie Cyberangriffe, Unwetter, IT-Ausfälle und Unterbrechungen der Lieferkette zugenommen.
Oftmals haben Vorfälle mehrere Auswirkungen gleichzeitig oder ein Ereignis löst ein anderes aus. Im Frühjahr 2021 beispielsweise wurde Texas von Eisstürmen heimgesucht, die zu einem Ausfall der Heizung und des Internets führten, was die Katastrophe noch verschlimmerte.
Die meisten Katastrophen sind dynamisch und verändern sich im Laufe der Zeit. Aufgrund der Globalisierung können die Auswirkungen weitreichend sein. Daher muss eine Organisation in der Lage sein, schnell auf Veränderungen zu reagieren, und Kontinuitätspläne müssen ebenso dynamisch sein.
Diese Vorfälle zeigen zusätzlich zur Pandemie, dass es notwendig ist, Pläne für Katastrophen unterschiedlicher Dauer zu erstellen und diese zu üben, beispielsweise Pläne für weniger als eine Woche, einen Monat, mehrere Monate oder sogar längerfristige Wiederherstellungsmaßnahmen.
Unterschiedliche Katastrophen, Szenarien und Auswirkungen erfordern viele verschiedene Arten von Plänen, die erstellt, verwaltet, umgesetzt und gepflegt werden müssen und wahrscheinlich von verschiedenen Personen oder Abteilungen innerhalb einer einzigen Organisation betreut werden.
Geschäftserwartungen
In der heutigen Geschäftswelt sind die Erwartungen der Kunden hoch. Digitales Geschäft bedeutet, dass Unternehmen rund um die Uhr tätig sind. Datenschutzgesetze und Cybersicherheitsbedrohungen haben zusätzliche Planungsanforderungen erforderlich gemacht, beispielsweise die Einbindung der Planung für Cyberangriffe in das BCM.
Erste Schritte
Technische Einrichtung
Hier finden Sie eine Übersicht über die Bereiche der BCM-Software, die Sie für Ihr Programm ausfüllen müssen. Es gibt viele verschiedene Aktivitäten und Eingaben, was zunächst abschreckend wirken kann:
Wir empfehlen, mit den Grundlagen zu beginnen: Personal, Abteilungen, Standorte, Beziehungen und Ressourcen.
Ein großer Vorteil von BCM-Software besteht darin, dass wir statt Daten in verschiedenen Dokumenten und Tabellen die Leistungsfähigkeit einer relationalen Datenbank nutzen können. Eine relationale Datenbank ermöglicht den Datenaustausch über das gesamte System (Module) hinweg, sodass wir unabhängig von Bereich, Plan oder Prozess auf die grundlegenden Daten zugreifen können.
Es gibt bestimmte Kernsysteme, mit denen eine Organisation möglicherweise eine Verbindung herstellen möchte, um die manuelle Komponente aus der Datenverwaltung zu entfernen, z. B. APIs zu Ihrem HR-Verzeichnis oder Ihrem IT-Bestand, die eine Synchronisierung dieser Informationen in Echtzeit ermöglichen.
Eine weitere Option, die Ihre Software möglicherweise bietet, ist die Einrichtung von Batch-Uploads nach einem Zeitplan.
BCM-Software bietet häufig Single-Sign-On-Funktionen, die es dem Endbenutzer erleichtern, oder Dateisynchronisierung, die die Datei oder den Ordner in der BCM-Software automatisch aktualisiert, wenn sie an anderer Stelle aktualisiert werden.
In jedem Fall hilft Ihnen die Automatisierung Ihres Datenmanagements dabei, die Relevanz Ihrer Daten aufrechtzuerhalten, was für die Widerstandsfähigkeit Ihres Unternehmens von entscheidender Bedeutung ist, da dadurch genauere Daten sowie eine einfachere Datenerfassung und -pflege gewährleistet werden.
Programmeinrichtung
Wenn Sie überlegen, wo Sie anfangen sollen, sollten Sie folgende Punkte berücksichtigen:
-
Was sind die Ziele Ihrer Organisation?
-
Wie ist der aktuelle Stand des BCM in Ihrem Unternehmen?
-
Wie können Sie den Lebenszyklus/das gewählte Rahmenwerk befolgen?
-
Gibt es regulatorische Anforderungen (z. B. MRAs) oder andere Dinge, die sofortige Aufmerksamkeit erfordern?
Sie möchten eine Software, mit der Sie selbst entscheiden können, wo Sie beginnen möchten, und die Methodik Ihrer Organisation befolgen können.
Wenn Sie sich für eine Software entscheiden, die für BCM entwickelt wurde und skalierbar ist, konfigurieren Sie die Bereiche, an denen Sie arbeiten. Verlieren Sie sich nicht in den Einstellungen. Konzentrieren Sie sich zuerst auf die Bereiche, die Aufmerksamkeit erfordern.
Als Nächstes richten Sie die Berechtigungen ein. Möglicherweise möchten Sie bestimmte Module oder Bereiche nicht anzeigen. Wenn Ihr Unternehmen größer ist, sollten Sie überlegen, ob die Software die Geschäftsbereiche segmentieren kann, aber dennoch für Verwaltungs- und Berichtszwecke einfach zusammengefasst werden kann.
Dies ist ein guter Zeitpunkt, um durch Schulungen das Bewusstsein für das Programm zu schärfen. Halten Sie kurze Sitzungen ab, um die Mitarbeiter über die Software und ihre Rollen innerhalb des Programms zu informieren.
Analyse und Risikobewertung
Ein Teil der BCM-Best Practices ist die Risikobewertung. Traditionell handelte es sich bei BCM-Risikobewertungen um Bedrohungsanalysen, die sich auf Standorte konzentrierten. Da BCM häufig in das Risikomanagement integriert ist, gibt es BCM-Software, die über die Bedrohungsanalyse hinausgeht und alle Arten von operativen Risikobewertungen wie IT, Dritte und Geschäftsprozesse unterstützt.
Einige Softwareprogramme bieten Umfragen, die Sie an die entsprechenden Fachexperten versenden können. Sie können Umfragevorlagen und eine Liste von Bedrohungen bereitstellen. Mit der Software können Sie die Antworten auswerten, indem Sie deren Formeln verwenden oder eigene Formeln erstellen und Gewichtungen hinzufügen.
BCM-Software kann auch Risikoregister erstellen und Heatmaps sowie andere Risikoberichte bereitstellen, um Prioritäten und Trends aufzuzeigen. Verwenden Sie BCM-Software, um Risiken zu vergleichen und zu analysieren, den erforderlichen Umfang an Kontrollen/Maßnahmen zu bestimmen und sicherzustellen, dass die Kontrollen umgesetzt werden.
Analyse der geschäftlichen Auswirkungen (BIA)
Die BIA wird oft als zeitaufwändig angesehen, ist jedoch ein wesentlicher Bestandteil des BCM-Lebenszyklus. Ohne ein umfassendes Verständnis der Priorität Ihrer Prozesse dauert es länger, Ihre kritischen Geschäftsprozesse fortzusetzen, wenn Sie von einer Katastrophe getroffen werden. Die BIA umfasst viele Inputs wie Prozesse, Ressourcen, Abhängigkeiten und Wechselwirkungen.
Verwenden Sie Software, um die Erfassung von BIA-Daten zu automatisieren . Einige Softwareprogramme können dies vereinfachen, indem sie einen BIA-Assistenten bereitstellen und Ihre Abhängigkeiten und Wechselbeziehungen abbilden.
Wenn Sie sich nicht sicher sind, wie Sie das Recovery Time Objective (RTO) bestimmen sollen, verwenden Sie die Software, um Ihre maximale Ausfallzeit zu ermitteln, oder lassen Sie sie die RTOs anhand einer Formel berechnen. Anschließend kann die Software Prozesse automatisch und objektiv priorisieren.
Verwenden Sie Software, um Lücken leichter zu identifizieren, beispielsweise zwischen IT-Systemen, die die RTO- oder RPO-Anforderungen eines Geschäftsprozesses nicht erfüllen.
Planung
BCM-Software ermöglicht es Administratoren in der Regel, Planungsanforderungen mithilfe von Fortschrittsverfolgung, Berichterstellung und Genehmigungsworkflows durchzusetzen.
Die Verwendung von Software bietet eine hervorragende Gelegenheit zur Standardisierung. Sie können Ihre eigene Vorlage erstellen oder die Vorlagen des Systems nutzen, um einen Plan zu erstellen. Verwenden Sie die Freigabefunktion, um Standardinformationen in allen Ihren Plänen bereitzustellen. Nehmen Sie eine Änderung in einem Plan vor, damit diese in allen Ihren Plänen übernommen wird.
Es gibt viele Arten von Plänen und Szenarien. Mit BCM-Software können Sie so viele Pläne, Szenarien, Teams und Aufgaben erstellen, wie Sie benötigen. Berechtigungen bieten eine Möglichkeit, die verschiedenen Resilienzbereiche zu segmentieren, damit diese ihre jeweiligen Pläne verwalten und pflegen können.
Geben Sie den Beteiligten Zugriff auf ihre Pläne und ermöglichen Sie ihnen, Teams und Aufgaben zu erstellen sowie erforderliche Dateien anzuhängen. Durch die Übertragung von Verantwortung werden sich mehr Menschen engagieren und BCM wird stärker in der Unternehmenskultur verankert sein. Dennoch können Sie die Erstellung von Plänen weiterhin durch die Einrichtung von Genehmigungsworkflows verwalten.
Drittanbieter-/Lieferkettenplanung
Verwenden Sie die BIA-Komponente der Software, um die mit kritischen Prozessen verbundenen Anbieter/Lieferanten zu identifizieren. Priorisieren Sie die kritischen Anbieter/Lieferanten anhand der Auswirkungen auf kritische Prozesse.
Erwägen Sie geeignete und realisierbare Strategien zur Aufrechterhaltung der Lieferkette und integrieren Sie diese in Ihre Notfallpläne, beispielsweise durch die Ermittlung alternativer Anbieter und Lieferanten.
Identifizieren Sie Lieferantenrisiken und planen Sie für den Fall eines Lieferantenausfalls durch Notfallplanung für Lieferanten.
ISO 22318 enthält Leitlinien für die Kontinuität der Lieferkette:
- Entwickeln Sie eine Strategie, die die Anforderungen an die Kontinuität der Lieferkette berücksichtigt.
- Analysieren Sie die Lieferkette mithilfe der BIA, um kritische Aktivitäten oder Prozesse zu identifizieren.
- Überlegen Sie sich geeignete und realisierbare Strategien zur Aufrechterhaltung der Lieferkette und integrieren Sie diese in Ihre Notfallpläne.
- Laufendes Leistungsmanagement zur Aufrechterhaltung eines angemessenen Niveaus des Kontinuitätsmanagements innerhalb der Lieferkette und zur Erzielung kontinuierlicher Verbesserungen
Management von Zwischenfällen
Nutzen Sie das Vorfallmanagement Ihrer BCM-Software, um Pläne oder nur den benötigten Teil davon zu aktivieren. Möglicherweise möchten Sie die Aktivierung auf der Grundlage eines Szenarios, eines Standorts, einer Anwendung oder eines Systems oder eines Prozesses vornehmen, und die Software bietet Ihnen die Möglichkeit dazu.
In einer Krisensituation müssen sich die Menschen darauf konzentrieren, wohin sie gehen, was sie tun müssen und mit wem sie kommunizieren müssen. Einige Softwareprogramme reduzieren den Plan bei seiner Aktivierung auf genau diese Komponenten, sodass jedes Teammitglied über ein Playbook verfügt, in dem es seine Aufgaben schnell einsehen kann.
Mit manchen Programmen kannst du Dateien an bestimmte Pläne, Teams, Aufgaben usw. hängen, sodass Teammitglieder wichtige Dateien leicht finden können. Mit Software kannst du Teammitglieder schnell und einfach austauschen. Da Sie möglicherweise nicht wissen, wer zum Zeitpunkt einer Katastrophe verfügbar sein wird, können Sie in der Software angeben, welche Art von Person Sie benötigen, z. B. eine Krankenschwester oder einen Ingenieur, und die Person benennen, sobald die Stellen besetzt sind. Bei einigen Softwareprogrammen können Sie Aufgaben direkt per E-Mail an das Teammitglied senden, ohne dass dieses die Software aufrufen muss. Dies kann für Führungskräfte oder Mitglieder, die kurzfristig einspringen, von Vorteil sein.
Behalten Sie den Überblick über die ausgeführten Aufgaben und den Stand Ihrer Wiederherstellung. Verwenden Sie Software, die Sie bei der Nachbetrachtung unterstützt, z. B. indem sie anzeigt, wo Sie die RTOs nicht eingehalten haben, und die Katastrophe automatisch nachverfolgt.
Krisenkommunikation
Wenn Ihre Software über ein Benachrichtigungssystem verfügt, werden Sie schnell den ROI erkennen.
Sie können das System für alle Arten von Geräten einrichten, beispielsweise für E-Mails und SMS. Nachrichten können an Mitarbeiter und externe Stakeholder wie Lieferanten und Aufsichtsbehörden gesendet werden. Die Pandemie hat uns gezeigt, dass die Kommunikation mit Mitarbeitern und externen Kontakten entscheidend für die Moral und das Vertrauen in das Unternehmen ist.
Software kann die Rückmeldung von Antworten verfolgen, und bidirektionale Kommunikationsplattformen ermöglichen es Ihnen, Fragen in Echtzeit zu beantworten. Einige Plattformen bieten eine Konferenzbrücke an.
Die Kommunikationsplanung ist ein wichtiger Bestandteil Ihres Notfallplans. Mit einem Benachrichtigungssystem können Sie Nachrichten für alle Arten von Situationen vorbereiten. Bei vielen Systemen können Sie Nachrichten versenden, indem Sie einfach im System definierte Gruppen auswählen, z. B. Abteilungen oder Standorte.
Mögliche Szenarien
- Aktiver Schütze
- Serverausfall
- Stromausfall
- Sicherheitsvorfall
- Datenverletzung
Verschiedene Notfallkommunikationsmeldungen
- Notfallzentrale aktivieren
- Die gesamte Organisation alarmieren
- Benachrichtigung an die Geschäftsleitung senden
- Informieren Sie die Betroffenen unverzüglich über einen Cybervorfall und raten Sie ihnen, Schutzmaßnahmen zu ergreifen.
BCM-Benachrichtigungen
Einige BCM-Systeme ermöglichen es Ihnen möglicherweise, Aufgaben an Teammitglieder zu senden, wenn ein Notfall aktiviert wird. Es gibt auch systemgesteuerte Benachrichtigungen, wie z. B. Erinnerungen zur Aktualisierung von Plänen und BIAs. Automatisieren Sie Aufgaben wie:
- Auslösende E-Mails
- Genehmigungsverfahren
- Terminplanung
- Aufgabe
- Weiterverfolgung
- Überwachung
Compliance und Programm-Benchmarking
Viele Systeme integrieren die bekannteren Standards und bieten Möglichkeiten zur Messung und Darstellung der Konformität.
Verwenden Sie BCM-Software, um Ihre BCM-Compliance unter einem bestimmten Rahmenwerk zu verfolgen. Nutzen Sie anschließend die Mapping-Funktionen, um den Fortschritt Ihres BCM-Programms und die tatsächliche Einhaltung des jeweiligen Standards zu bewerten. Erstellen Sie abschließend einen Auditbericht für die interne und externe Überprüfung.
Übung
Das Training ist ein wichtiger Schritt im BCM-Lebenszyklus.
Verwenden Sie BCM-Software, um:
-
Übungen planen
-
Rahmenübungen, Training und Bewusstsein
-
Dokumentübungen
-
Nachbereitungen verfolgen und verwalten
-
Demonstrieren Sie die Einhaltung der Vorschriften gegenüber internen und externen Prüfern.
Laufende BCM-Wartung
Im Geschäftsleben ändern sich die Dinge regelmäßig. Vorschriften und bewährte Verfahren erfordern jährliche Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs, darunter BIA, Risikobewertungen, Übungen und Pläne. Ohne BCM-Software können diese ständigen Wartungsarbeiten und Informationsanfragen eine gewaltige Herausforderung darstellen.
Die Geschäftsleitung und der Vorstand müssen diese Änderungen mindestens einmal jährlich genehmigen. Einige Softwareprogramme ermöglichen es der Unternehmensleitung, nur die Bereiche zu überprüfen, die sich geändert haben, oder nachverfolgte Änderungen leicht zu erkennen, da sie eine automatische Versionsverwaltung bieten.
Bei Software, die eine relationale Datenbank ist, erleichtert BCM-Software unabhängig davon, wie die Software in das System gelangt, globale Datenaktualisierungen, indem einzelne Änderungen kaskadiert im gesamten System übernommen werden.
Berichterstattung
Die Software unterstützt die Erstellung von Kennzahlen und Analysen für das Programmmanagement. Eine relationale Datenbank ermöglicht die Erstellung komplexer Berichte, die die Geschäftskontinuität im gesamten System zusammenfassen. Das manuelle Sammeln von Daten aus Dokumenten zur Erstellung von Kennzahlen ist eine große Aufgabe, die leicht zu Ungenauigkeiten führen kann.
Da BCM-Software für die Berichterstellung konzipiert ist, gibt es Standardberichte, die Sie ausführen können, auch wenn Sie sich nicht sicher sind, welche Berichte Sie benötigen.
Was-wäre-wenn-Modellierung ist eine gute Methode, um nicht nur die Auswirkungen einer bestimmten Veränderung zu erkennen, sondern auch Lücken aufzudecken, wenn verschiedene Szenarien durchgespielt werden.
Weitere Verwendungszwecke
Lieferantenmanagement
Das Lieferantenmanagement unterscheidet sich von der Lieferanten-Notfallplanung. Sie müssen Ihre Lieferanten klassifizieren und überwachen sowie über aktuelle Kontaktinformationen verfügen. Stellen Sie sicher, dass sie ihre SLA einhalten, dass Sie über ihre Kontaktinformationen verfügen und dass Sie die Vertragsablaufdaten kennen.
Bestandsverwaltung
Behalten Sie den Überblick über Hardware und Software sowie alle damit verbundenen Informationen.
Geschäftsprozesse
Eine Bestandsaufnahme der Geschäftsprozesse umfasst Abhängigkeiten und Wechselbeziehungen. Sie bietet außerdem einen Überblick über die Zuordnung von Organisation und Abhängigkeiten.
Wichtigste Erkenntnisse
-
Ist unabhängig vom BCM-Ansatz, der Methodik oder dem Reifegrad von Vorteil.
-
Verbesserung und Aufbau einer Kultur der Resilienz
-
Reife BCM-Programme
-
Macht Pläne sicherer und zugänglicher
-
Liefert zuverlässigere Daten
-
Erleichtert die Wartung und Programmverfolgung
-
Bietet Tools und Workflows für das Programmmanagement
-
Bietet eine bessere Krisenkommunikation
-
Bietet Informationen zur Geschäftskontinuität
-
Wird zur einzigen Quelle der Wahrheit für alles, was mit BCM zu tun hat.
Geschäftskontinuität ist ein kontinuierlicher Zyklus, und Agility kann Ihrem Unternehmen dabei helfen, mit einem All-in-One-Ansatz für Geschäftskontinuität seine Widerstandsfähigkeit zu erhalten: planen, schulen, testen, alarmieren und wiederherstellen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Preparis Business Continuity Software veröffentlicht. Im Oktober 2024 übernahm Mitratech Preparis, einen führenden Anbieter von Lösungen für die Geschäftskontinuitätsplanung und Notfallmaßnahmen. Der Inhalt wurde aktualisiert, um dem erweiterten Produktangebot von Mitratech, den Fortschritten in der Branche und den rechtlichen Entwicklungen Rechnung zu tragen.
