Suchen

Business Continuity Management (BCM) Mit Plan und Test durch die Krise

| Autor / Redakteur: Sven Philipp Dahlen / Peter Schmitz

Ereignisse wie der Ausbruch des Corona-Virus beweisen, dass Krisen und ihre Folgen schwer vorhersehbar sind. Hier setzt Business Continuity Management (BCM) an. Ein BCM-System, das sicherstellt, dass die kritischsten Geschäftsprozesse auch im Notfall funktionieren, kann entscheiden, ob ein Unternehmen seine Marktposition nach der Ausnahmesituation halten kann; aber nur wenn man konsequent testet.

Firmen zum Thema

Kontinuierliches Testen ist für ein funktionierendes Business Continuity Management (BCM) unerlässlich. Wer nicht ausreichend testet, riskiert die Resilienz seines Unternehmens.
Kontinuierliches Testen ist für ein funktionierendes Business Continuity Management (BCM) unerlässlich. Wer nicht ausreichend testet, riskiert die Resilienz seines Unternehmens.
(Bild: gemeinfrei / Pixabay )

In Krisen wird die Wichtigkeit eines funktionierenden Business Continuity Management (BCM) besonders deutlich. Ob eine Organisation aber wirklich vorbereitet und handlungs-, funktions- sowie widerstandsfähig ist, lässt sich ausschließlich durch konsequentes Testen und mit analysieren der Ergebnisse überprüfen. Geschieht das nicht, besteht für Unternehmen eine wesentlich höhere Gefahr, bei einem Ausfall keine geeigneten Mittel und Methoden vorhalten zu können, die Aktionsfähigkeit zu verlieren.

Not- und Ausfälle managen

Da der Aufbau und die Umsetzung eines BCM gerade für kleinere Unternehmen eine Herausforderung ist, haben spezialisierte Beratungsunternehmen BCM als Service in ihrem Portfolio. Mit dem nötigen Fachwissen ausgestattet kann ein externer Partner die Implementierung und Aufrechterhaltung eines BCM-Systems gewährleisten. Echtzeitunterstützung beim Testen und bei realen Störungen steigert den Nutzen und die Akzeptanz des BCM-Programmes im gesamten Unternehmen.

Tests und Übungen fördern das Bewusstsein für den Umgang mit Ausfallsituationen und stärken die Zusammenarbeit innerhalb der BCM-Organisation. Ist das Zusammenwirken innerhalb und zwischen den BC-Teams (Wiederanlaufteams) sowie zwischen den BC-Teams und dem Krisenstab im Ernstfall schon eingespielt, ist es schnell möglich, eine klare Kommunikation aufzubauen, adressatengerecht zu kommunizieren und Unsicherheit etwa mit BC-Plänen (Notfallplänen) zu umgehen.

Vorbereitung für strukturierte Überprüfung

Fest steht: Eine zuverlässige Aussage über die Wiederanlauf- und Widerstandsfähigkeit eines Unternehmens ist ohne ausreichende Prüfung der Notfallressourcen und der Ressourcen zur Wiederherstellung sowie den damit verbundenen Plänen des BCM unmöglich. BCM testet immer mit dem Ziel, BC-Pläne (Wiederanlaufpläne), Prozesse und Rollen der BCM-Organisation strukturiert zu überprüfen.

Die Vorbereitung dafür umfasst die Entwicklung einer Teststrategie über Testplanung und Testkonzepte bis zum eigentlichen Testen. Aus Nachbereitung und Analyse der Ergebnisse gewinnt ein Unternehmen solide Erkenntnisse über Stärken und Schwächen im Umgang mit Ausfällen. Auf dieser Basis lassen sich Maßnahmen zur Minimierung oder auch Eliminierung der Risiken ableiten, über deren Verwendung die Entscheidungsträger bestimmen.

Strategie steigert Effektivität des Testens

Die Abläufe beständig zu testen, ist Basis für ein zielführendes BCM. Daher sollten Unternehmen für die effektive Umsetzung, Validierung und Verifizierung von Tests und Übungen eine Teststrategie entwickeln. Gut beraten sind Organisationen dabei, ein standardisiertes Verfahren für langfristiges nachhaltiges Testen und Üben festzulegen. Die Strategie sollte in vollem Umfang die Tests aller BC-Pläne umfassen, die für den Wiederanlauf von zeitkritischen Geschäftsprozessen nötig sind, Aktivitäten, die zu einem definierten Zeitpunkt erfolgen müssen, damit dem Unternehmen nur im akzeptablen Rahmen Schaden entsteht. Eine Teststrategie schafft einen Rahmen, in dem Tests mit einem überschaubaren Risiko durchgeführt werden können. Eine Strategie enthält immer ein zeitliches sowie quantitatives und qualitatives Zielbild. Maßnahmen basierend auf Erkenntnissen aus vollumfänglichen und komplexen Tests ermöglichen dann die rechtzeitige Bereitstellung von benötigten Ressourcen.

Systematisch vorgehen

Um eine effektive und nachhaltige Notfallplanung aufzubauen, muss das Testen von Verfahren und Prozessen systematisch erfolgen. Bestandteil einer Testplanung muss sein, dass die Testabfolge in einem jährlichen Plan festgelegt wird. Eine Teststrategie beinhaltet dabei auch eine schrittweise Erhöhung der Testkomplexität bei gleichzeitiger Optimierung bestehender Strukturen. Damit Unternehmen beim Testen den Spagat zwischen Unter- und Überforderung der BCM-Organisation schaffen, sind die Tests in ihrer Komplexität zu steigern. Dies wird durch Testklassen möglich.

Funktionale Tests (Functional Test) sind die erste Stufe, die einzelnen BC-Pläne flächendeckend zu testen. Hierbei werden Erkenntnisse pro zeitkritischen Geschäftsprozess und innerhalb eines jeweiligen BC-Teams gewonnen. Die Erkenntnisse fließen in Planung und Durchführung der Testklasse Full Exercise ein. Zur Sicherstellung der Erkenntnisse sind ab dieser Testklasse Beobachter einzusetzen.

Mit Volltest (Full Exercise) werden die BC-Pläne miteinander vernetzt getestet. Diese Testklasse ist wichtig, um die Zusammenarbeit zwischen den einzelnen BC-Teams untereinander sowie mit dem Krisenstab und den benötigten Ressourcen zu prüfen. Bei einem Full Exercise werden Erkenntnisse über Grenzen der Ressourcenverfügbarkeit und über Schwachstellen der Kommunikation und Zusammenarbeit gewonnen. Zudem wird festgestellt, ob die Infrastruktur in einem geeigneten Maß zur Verfügung steht. Wurde die BCM-Organisation erfolgreich getestet kann die Live Exercise durchgeführt werden.

Als Echtzeittest (Live Exercise) wird eine vernetzte Übung wie in der Full Exercise verstanden, jedoch findet die Übung im aktiven Tagesgeschäft statt. Das heißt, das im Vorfeld das Unternehmen die Rahmenbedingungen geschaffen hat, um ein Risiko für alle Stakeholder auszuschließen oder auf ein akzeptables Niveau zu minimieren. Bei diesem Test ist eine Einbindung aller Interessensgruppen unerlässlich.

Für die Testklassen ab Functional Test muss wegen des Abstimmungsaufwands, zur Risikoeinschätzung und zur Risikoübernahme ein Testkonzept erstellt werden, das Abhängigkeiten und Risiken aufzeigt. Darin werden vor der Planung jedes Einzeltests die benötigten Ressourcen festgelegt und die Risiken definiert.

Detailplanung schafft Übersichtlichkeit

Für eine detaillierte Planerstellung ist es hilfreich, organisatorische Vorkehrungen und Sicherheitsmaßnahmen zu treffen. Es ist empfehlenswert, dass unternehmensintern interdisziplinär Abstimmungen erfolgen – etwa zwischen der testenden Einheit und den Ressourcen bereitstellenden Einheiten. Auch eine Einbindung von Lieferanten, Dienstleistern und Behörden kann je nach Testszenario zielführend sein. Die Durchführung folgt dann den im Testkonzept angegebenen Informationen und definierten Rahmenbedingungen.

Nachbereitung ermöglicht Lernkurve und risikofreie Anpassung

Nacharbeiten sind auch notwendig, um den Lernerfolg zu dokumentieren. Mittels Hot-Debriefings, die nach dem Test mit allen Testmitarbeitern durchgeführt werden, können akute Optimierungspotenziale und Schwierigkeiten in Testnachweisen festgehalten werden. Debriefings für Functional Tests stellen sicher, dass die wichtigsten Ergebnisse und Erfahrungen zur kontinuierlichen Verbesserung der Testsystematik erfasst werden. Anhand der Ergebnisse der Debriefings, des Beobachterprotokolls und der Rückinformationen aus den beteiligten Einheiten entsteht eine Dokumentation aller Stärken und Schwächen.

Fazit: Testen sichert im Zweifel die Existenz

Kontinuierliches Testen ist für ein funktionierendes BCM unerlässlich. Ist es bereits zu einem Ausfall gekommen, sind benötigte Ressourcen entweder nicht mehr zu beschaffen oder so teuer geworden, dass sie wirtschaftlich nicht mehr in Betracht kommen. Außerdem sind Unternehmen ohne das Testen schwerlich in der Lage, bei Ausfallsituationen zügige Entscheidungen zu treffen und umzusetzen, da Erfahrungswerte, Erkenntnisse sowie standardisierte Abläufe fehlen. Um durch falsches Testen den Zweck von BCM nicht zu gefährden – und somit die unternehmerische Existenz – sollten Organisationen das Thema mit der nötigen Dringlichkeit behandeln.

Über den Autor: Sven Philipp Dahlen ist Senior Consultant bei der Controllit AG.

(ID:46545789)