Business Continuity Management (BCM) – auch Betriebliches Kontinuitätsmanagement (BKM) – steckt den Rahmen zur Ermittlung des Risikos einer Organisation ab, internen und/oder externen Bedrohungen ausgesetzt zu sein. Ziel der Implementierung und des Betriebs eines Business Continuity Management System (BCMS) ist es, ein Unternehmen und seine Manager in die Lage zu versetzen, wirksam auf Bedrohungen wie Naturkatastrophen oder Datenverletzungen, aber auch Rohstoffknappheit oder plötzliche Marktschwankungen zu reagieren. Mehr dazu im Interview mit BCM-Experte Frank Machhalz.
Zum Schutz der Geschäftsinteressen eines Unternehmens und zur Erhöhung der Sicherheit in einer Krisensituation umfasst ein BCMS folgende Bereiche:
- Disaster Recovery
- Business Recovery
- Krisenmanagement
- Incident Management
- Notfallmanagement und Notfallplanung
Der internationalen Norm ISO 22301 folgend, betont ein Business Continuity Management System die Bedeutung von:
- Verständnis der Anforderungen an Kontinuität und Bereitschaft sowie der Notwendigkeit, Richtlinien und Ziele für das Management von Geschäftskontinuität festzulegen
- Implementierung und Betrieb von Kontrollen und Maßnahmen zur Steuerung der allgemeinen Kontinuitätsrisiken eines Unternehmens
- Überwachung und Überprüfung der Leistung und Effektivität des BCMS
- kontinuierliche Verbesserung basierend auf objektiven Messungen
ISO 22301 ist in der Fassung DIN EN ISO 22301:2020-06 (Sicherheit und Resilienz – Business Continuity Management System – Anforderungen (ISO 22301:2019); Deutsche Fassung EN ISO 22301:2019) beim Beuth Verlag erhältlich.
Die gegenwärtige Corona-Pandemie scheint die Auseinandersetzung mit dem Thema regelrecht zu beflügeln. DQS im Dialog hat mit dem BCM-Experten und DQS-Auditor Frank Machalz über Aspekte des Risikomanagements und den Sinn einer Zertifizierung von BCM gesprochen.
Interview: Zertifizierung BCM - Business Continuity Management
Etwas provokant gefragt, Herr Machalz: BCM - Ist das nur ein aktueller Hype?
Sicherlich sind Organisationen auf Grund der aktuellen Situation stärker als bisher für die Aufrechterhaltung ihres Geschäftsbetriebes unter verschiedenen äußeren und inneren Einflüssen sensibilisiert. Und wenn es denn zu einer vorübergehenden Einstellungsnotwendigkeit gekommen ist, natürlich auch für die möglichst rasche Wiederaufnahme des Geschäftsbetriebs.
Das Thema an sich ist jedoch nicht neu. Vielmehr gehörte es schon immer zum angemessenen Risikomanagement jedes Unternehmens und sogar jeder Person. Keiner von uns nimmt doch in der Regel im täglichen Leben aktiv lebensverkürzende Maßnahmen vor. Vielmehr versuchen wir doch, möglichst lange und vor allem auch gesund am Leben zu bleiben.
In Bezug auf Organisationen als Legal Entity ist dies ja nicht anders. Jedoch stehen hier solche Maßnahmen nicht im Belieben der jeweiligen – in der Regel beim jeweiligen Unternehmen „nur“ angestellten – obersten Führungskraft oder anderer Manager. Diese haben vielmehr auf Grund der für sie in Bezug auf die Organisation bestehenden rechtlichen Rahmenbedingen eine unmittelbare Schadensabwendungspflicht. Diese Pflicht enthält eben auch eine angemessene Risikovorsorge, auch unter Berücksichtigung sich ändernder Rahmenbedingen.
Wird damit eine ISO-Zertifizierung für BCM zur Pflicht?
Nein, natürlich nicht. ISO-Normen und auf deren Grundlage erfolgte Zertifizierungen sind und bleiben freiwillige Standards. Von keiner Organisation wird zwingend erwartet, das sie sich nach ISO 22301 zertifizieren lässt.
Unabhängig von einer Zertifizierung des Business Continuity Managements stellen aber viele Unternehmen aktuell fest, dass sie sich mit der Thematik der Aufrechterhaltung bzw. schnellstmöglichen Wiederaufnahme ihres Geschäftsbetriebes bisher oft eher akademisch-theoretisch haben beschäftigen müssen.
Dieser Erkenntnis folgt dann oft (in Anlehnung an einen bekannten Werbeslogan…) die Frage: „Gibt es da nichts von …“. Es beginnt also die Suche nach bereits vorhandenen Lösungsansätzen. Mit dem ersten Lesen der ISO 22301 tritt dann der „aha“ Effekt ein. Der Rest kommt wie der Glanz beim Schuhputzen dann von allein.
Der Standard ISO 22301 ist jedenfalls ein guter Leitfaden für jede Organisation, welche Aspekte bei der Implementierung und Aufrechterhaltung eines BCM in die Geschäftsprozesse sinnvollerweise berücksichtigt werden sollten.
Inwieweit eine Begutachtung und Zertifizierung des implementierten BCMS durch einen unabhängigen Dritten notwendig ist, entscheidet jede Organisation für sich. Aktuell ist jedoch ein deutlicher Trend am Markt zu verzeichnen, dass schon auf Grund der starken Vernetzung von Unternehmen gegenseitig der Nachweis eines vorhandenen, nach ISO 22301 zertifizierten BCMS als Grundlage der Anbahnung bzw. Fortführung von Geschäftsbeziehungen erwartet wird.
Nutzt das Zertifikat bei der Abwehr von Ansprüchen im Zusammenhang mit einer negativen Geschäftsentwicklung?
Ja, auf jeden Fall. Üblicherweise ist ja die oberste Leitung eines Unternehmens nicht auch zugleich einer deren Stakeholder. So ist z.B. der Geschäftsführer einer GmbH nicht zugleich auch deren Gesellschafter, der oder die sich „nur“ mit Kapital an der Gesellschaft beteiligen. Im Gesellschaftsrecht ist in diesem Zusammenhang auch der Begriff der „Fremdorganschaft“ gebräuchlich.
BCM Zertifizierung: Wird im Markt zunehmend erwartet.
Damit besteht also für den Personenkreis der Manager – oder der obersten Leitung, um einen Begriff aus der ISO-Welt zu verwenden – ein regelmäßiger Rechtfertigungsdruck, wie sie mit materiellen und immateriellen Gütern der Gesellschafter umgehen. Und: welche Maßnahmen der Gewinnmaximierung und der Risikominimierung einschließlich Kapitalverlust bis hin zur Insolvenz sie vorgenommen haben. Es besteht also, wie schon erwähnt, eine Schadensabwendungspflicht.
Mit einem zertifizierten Managementsystem – und damit dessen nachgewiesener und bestätigter praktischen Anwendung – entfällt ggf. der Vorwurf des vorsätzlichen und möglicherweise sogar generell des schuldhaften Fehlverhaltens gegenüber diesem Personenkreis. Eventuelle Ersatzforderungen der Stakeholder wegen schuldhaft fehlerhafter Geschäftsführung und nicht ausreichender Risikovorsorge haben dann keine Grundlage mehr.
BCM Zertifizierung: Kann sich positiv auf die Gestaltung von D&O-Versicherungen auswirken.
Auch im Zusammenhang von bestehenden Directors-and-Officers-Versicherungen, sogenannten D&O-Versicherungen bzw. Vermögensschadenshaftpflichtversicherungen können solche Zertifizierungen sowohl für den gewährten Versicherungsschutz als auch für die Beitragsgestaltung von Vorteil sein und zum Vertrauen von Institutionen zum Unternehmen und seinen Managern beitragen.
Von welchen angemessenen Aufwänden für eine Organisation sollte ausgegangen werden?
Das ist abhängig von dem bereits vorhandenen Reifegrad ihres Managementsystems. Und der ist natürlich u.a. auch durch das Vorhandensein von ISO-Zertifizierungen beeinflusst.
ISO-Normen, das bedeutet ja mittlerweile auch High Level Structure (HLS). Und da auch ein Business Contiunity Management System HLS-tauglich ist, bestehen gute Voraussetzungen, weil man auf bereits vorhandenen Strukturen und diesbezüglichem Organisationswissen aufbauen kann.
Was sind die Besonderheiten des BCMS zu anderen ISO-Managementsystemnormen?
Das BCMS hat gegenüber anderen ISO-Normen einen spezifischen Fokus auf die unternehmerischen Prozesse:
- Welche Prozesse der Organisation sind für die Aufrechterhaltung von Geschäftsprozessen, bzw. für deren möglichst rasche Wiederaufnahme relevant?
- Welche Maßnahmen sind erforderlich, um diese Prozesse möglichst störungsfrei zu gestalten?
Viele ISO-Normen haben darüber hinaus ein gesondertes Kapitel „Notfallplanung / Notfallvorsorge“. Hier kommt dem Business Continuity Management System die Rolle und Aufgabe eines Art Submanagements zu, indem diese Teile der ISO-Norm dann vertieft unter BCMS-Aspekten geprüft und bewertet werden. Das wäre im Übrigen auch möglich, wenn man sich nicht gleich für eine weitere Zertifizierung auch nach ISO 22301 entscheidet.
Managementsysteme nach dem Standard DIN EN ISO 27001 (Informationssicherheitsmanagement) enthalten ebenfalls bereits einige Teilaspekte eines BCMS. So ist die dortige Schutzbedarfsanalyse (SBA) in Bezug auf IT-Anwendungen mit der Business Impact Analyse (BIA) nach ISO 22301 vom methodischen Ansatz her vergleichbar. Die gegebenenfalls bereits vorhandene SBA kann daher Bestandteil der BIA sein.
Das klingt nicht gerade trivial oder leicht zu bewerkstelligen. Wo gibt es Unterstützung für Unternehmen?
Wie auch bei anderen ISO-Normen für Managementsysteme stehen dem geneigten Unternehmen auch hier eine Reihe von Unterstützungsmöglichkeiten zur Verfügung. Die meisten dieser Möglichkeiten eint, dass sie zwar möglicherweise umsonst, aber regelmäßig nicht kostenlos sind.
Eine preiswerte, aber recht erfolgversprechende Methode zum Beispiel für BCM-Beauftragte ist zunächst die Literaturrecherche. Auch hier empfiehlt sich der Erwerb der Norm und das Lesen auch deren Anhangs. Dieser ist nämlich bereits eine kleine Kommentierung und Praxisleitfaden. In diesem Zusammenhang sind auch der Leitfaden zur Anfertigung einer BIA (ISO 22317) oder ISO/TS 22318 (Sicherheit und Schutz des Gemeinwesens – Business Continuity Management Systems – Richtlinien für die Lieferkettenkontinuität) zu erwähnen.
Auch die Nutzung von Schulungsangeboten ist eine gute und bewährte Möglichkeit, um Wissenslücken zu schließen. Hier empfiehlt sich gleich zu Beginn eine Inhouseschulung zu diesem Thema. Denn damit sind zugleich die ersten Normanforderungen in ISO 22301 (z.B. Schulung, Bewusstsein, Kompetenz) erfüllt. Zudem kommt es in einer Workshop-Atmosphäre meist gleich zu ersten organisationsspezifischen Umsetzungen, anders als in einer offenen Schulung eines Anbieters.
Zertifizierungsorganisationen dürfen zwar nicht beraten, können aber mit ihren Instrumenten wie zum Beispiel Deltaaudits, Audits von Teilprozessen der Norm oder Audits zur Systembereitschaft die Einführung eines systemreifen Business Continuity Management Systems aktiv begleiten.
Last not least gibt es auch auf integrierte Risikomanagementsysteme mit BCMS spezialisierte Beratungsorganisationen. Hier lohnt sich auf Grundlage einer eigenen vorherigen Bedarfsanalyse die gemeinsame Erarbeitung eines normenbasierten Maßnahmenkataloges, mit konkreten Pflichtenzuweisungen und Klärung wer was macht und ggf. welche Zeit und Kosten entstehen. Zum Teil bieten diese auch Schulungen an, sodass man auch hier zu den o.g. Synergieeffekten kommen kann.
Herr Machalz, vielen Dank für das Gespräch.
Mehr zum Thema im Blogbeitrag: Business Continuity Management – Ein Managementsystem für Ausfallsicherheit
Die DQS - der richtige Partner an Ihrer Seite
Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihres Unternehmens. Unsere Audits sind eine individuelle Auseinandersetzung mit Ihren Unternehmenszielen und Prozessen. Wir richten den Blick auf Verbesserungspotenzial und regen zum Perspektivenwechsel an. Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden.
BCM Zertifizierung: Wenn auch Sie Erfahrungen mit einem Business Continuity Management System (BCMS) sammeln oder dieses als Bestandteil Ihres integrierten Managementsystems ausbauen und zertifizieren lassen möchten, sprechen Sie uns an.
DQS Newsletter
Dr. Thijs Willaert
Dr. Thijs Willaert ist Global Director Sustainability Services. In dieser Funktion verantwortet er das gesamte Dienstleistungsportfolio der DQS rundum ESG. Zu seinem Interessensgebiet gehören unter anderem nachhaltige Beschaffung, menschenrechtliche Sorgfaltspflichten und ESG-Audits.