WIXLIB

Was ist Business ContinuityManagement (BCM)und welchen Nutzen hat es?Januar 2016BCM ist ein ganzheitlicherProzess, der Unternehmendabei hilft, potentielleBedrohungen und derenEinfluss auf ihreGeschäftsprozesse zuidentifizieren. Es stellt einRahmenwerk für die eigeneWiderstandsfähigkeit gegenRisiken bereit und bietet dieMöglichkeit, die Interessender Stakeholder, dieReputation, die Marke unddie Wertschöpfung zuschützen.BUSINESS CONTINUITY MANAGEMENTDie Fähigkeit, Geschäftsprozesse ohneUnterbrechung fortführen zu können, ist fürUnternehmen im global vernetzten Wettbewerbsumfeld des 21. Jahrhunderts vonherausragender Bedeutung. Durch eine Steigerung ihrer Resilienz können UnternehmenReputationsschäden und finanzielle Verlusteim Krisenfall abwenden und somit die eigeneWettbewerbsfähigkeit men, Geschäftsprozesse gegen Risiken abzusichern. Ein effizientes Business ContinuityManagement System wird dabei kontinuierlich en am Geschäftsmodell gerecht zuwerden und neue Risiken einzubeziehen.Unternehmen bieten ihre Dienstleistungen undProdukteineinerimmervolatilerenGeschäftsumwelt an. Hoch komplexe Lieferketten,Outsourcing von Unternehmensbereichen, Just-InTime Produktion sowie die Digitalisierung derProduktion haben die Kontrollmöglichkeiten überdie eigene Wertschöpfung erschwert. Parallel zudieser Entwicklung sehen sich Unternehmen mitkomplexen Bedrohungen wie Cyber-Angriffen, demAusfall von Schlüssellieferanten oder Energieengpässen im Zuge der Energiewende konfrontiert.Welche Fragen sollten Sie sich stellen? Welchen Nutzen kannUnternehmen bringen?BCMmeinem Was macht ein funktionsfähiges BCM aus? Wie geht mein Unternehmen bei derImplementierung vor? Welche Services bietet mir PwC? Welche zukünftigen Herausforderungen undTrends haben Unternehmen zu erwarten?1

Nutzen von BCM für mein UnternehmenWelchenNutzen kann BCMmeinemUnternehmenbringen?Durch ein erfolgreich etabliertes Business ContinuityManagement (BCM) ist es Unternehmen ngen und deren Auswirkungen auf diebetriebliche Wertschöpfung umzugehen. Die Vorbereitung auf eine Störung erfolgt präventiv �tsstrategien,ausdenenoperativeNotfallpläne abgeleitet werden. Diese werdenregelmäßig überprüft und angepasst und sind somitstets aktuell. Durch Simulationsmaßnahmen undeinem Training der Belegschaft stellt BCM sicher,dass die Maßnahmen im Ernstfall funktionieren.Ein Notfall bzw. eine Krise tritt in der Regel plötzlichund unerwartet ein. Jedes Unternehmen kann früheroder später von einem Notfall oder einer Kriseheimgesucht werden. Erfolgreiche Unternehmenbeschäftigen sich daher intensiv mit dem ThemaBusiness Continuity Management. Sie antizipierenden Eintritt von Krisen bzw. Notfällen und könnensich durch organisatorische Maßnahmen konkret aufbestimmte Szenarien vorbereiten. ement die Widerstandsfähigkeit und somitder Fortbestand des Unternehmens sichergestelltwerden.Durch ein effizientes Business e Kosten einsparen, da sie mithilfe zesse und Ressourcen identifizierthaben und so einen konkreten Absicherungs-umfangdefinieren können. Eine willkürliche Erstellung vonNotfallplänen, wie sie z.B. meist im Umfeld des ITBetriebs zu finden ist, wird durch eine gezielteBegrenzung auf die 20% bis 25% kritischeAnwendungen ersetzt.Des Weiteren ermöglicht die Priorisierung derGeschäftsprozesse gemäß der Auswirkungsanalyse(BIA) im Krisenfall einen Wiederanlauf in pfänger wird zuerst wieder bedient.Mittels proaktiv festgelegter Handlungsmaßnahmenfür den Krisenfall ist es Mitarbeitern im Ernstfallmöglich, gezielt und strukturiert zu handeln.Unüberlegte Entscheidungen und Handlungen,insbesondere in zeitkritischen Situationen und unterenormer emotionaler Belastung, können ohne einendefinierten Krisenmanagementprozess signifikanteFolgen nach sich ziehen. Eine professionelleKrisenkommunikation erlaubt es Unternehmen, diePresse, soziale Medien sowie interne und externeStakeholder-Gruppen zu steuern, anstatt von diesengesteuert zu werden.2

Was macht einfunktionsfähigesBCM aus?Drei Erfolgsfaktoren von BCM aus Sicht einesBCM PraktikersEin gutes BCM ist dadurch gekennzeichnet, dass esunternehmens- und branchenspezifisch nationaler Standards entwickelt, implementiertund aufgebaut ist.International geltend und von hoher Bedeutung istder Standard ISO 22301:2012, welcher denbritischen, veralteten Standard BS25999 ersetzt. InDeutschland hat das Bundesamt für Sicherheit in derInformationstechnik (BSI) den Standard BSI 100-4Notfallmanagement veröffentlicht. Zusätzlich sinddie Good Practice Guidelines des British ContinuityInstituts (BCI) in diesem Kontext erwähnenswert.Während heute bereits konkrete gesetzlicheAnforderungen, z.B. in der Finanz- und Versicherungsbranche, bestehen, wird die Umsetzung vonBCM gemäß aktueller Entwicklungen für dieBetreiber kritischer Infrastrukturen, wie z.B. dieEnergiebranche, die Kommunikations-branche undteilweise auch die pharmazeutische Industrie, durchdas IT-Sicherheitsgesetz des Bundesamtes fürSicherheit in der Informationstechnik zukünftig einegesetzlich fixierte Anforderung sein.1.) Durchführung einer BIADie Business Impact Analyse identifiziert mittelsunternehmensspezifisch festgelegter Bewertungskriterien die kritischen Geschäftsprozesse. Dafürwird der Ausfall eines Geschäftsprozesses alsAnnahme zugrunde gelegt und ermittelt, ab wann derSchadensverlauf über die betrachteten Zeitperiodeneine definierte Toleranzgrenze erreicht. Nur diekritischen Geschäftsprozesse sollen über eineNotfallkonzeption abgesichert werden.1.) Erstellung einer NotfallkonzeptionEine integrierte Notfallkonzeption setzt sich aus denKontinuitätsstrategien der ressourcenbereitstellenden Prozesse (Personal, IT, Facility, etc.) und dengeschäftsprozessbezogenen Strategien zusammen.Über eine Kosten-Nutzen-Analyse wird die optimaleHandlungsoption festgelegt und im Rahmen derNotfallpläne in konkrete Arbeitsschritte zurUmsetzung im Ernstfall zerlegt.2.) Durchführung regelmäßiger ÜbungenEin gutes BCM ist gekennzeichnet durch einadressatengerechtes und regelmäßiges BCMTraining. Es sichert das Verständnis der Notfallkonzeption und Notfallpläne in der Belegschaft und beiden relevanten Krisenstabsmitgliedern. Wennzusätzlich Erkenntnisse aus den Trainings- und ggf.realen Ereignissen für die gezielte Aktualisierung,Anpassung und Weiterentwicklung von BCMverwendet werden, hat das BCM seinen höchstenReifegrad erreicht.3

Wie geht meinUnternehmenbei derImplementierungvor?Die 6 Elemente eines Business ContinuityManagement Systems (BCMS) Business Impact AnalyseIm Zuge der BIA gilt es zunächst dieGeschäftsprozesse in einheitlicher Granularitätmit ihren zugehörigen Ressourcen zu erheben.Anschließend werden Schadensperioden bewertet und vor dem Hintergrund der maximaltolerierbaren Ausfallzeit Wiederanlaufparameterbestimmt. Besonderer Beachtung bedarf es beider Vererbung von Abhängigkeiten im Rahmender Kritikalitätsbewertung. Die BIA stellt dieBasis für ein effizientes BCM dar.NotfallkonzeptionAufbauend auf den zu erhebenden und zu bewertenden Krisenszenarien müssen notwendigeRessourcen für die fünf Phasen des Wiederanlaufs (1. Sofortmaßnahmen, 2. WiederanlaufNotbetrieb, 3. Notbetrieb, 4. WiederherstellungNormalbetrieb, 5. Nachbearbeitung) festgelegtwerden. Basierend auf der Kosten-NutzenAnalyse werden anschließend Notfallpläne risenmanagementUm als Unternehmen eine Krise erfolgreichbewältigen zu können bedarf es präventiverMaßnahmen. Hierzu zählt neben der Definitionvon Rollen und Verantwortlichkeiten imKrisenfall auch die Implementierung vonAlarmierungswegenundKrisenkommunikationswegen zu Steuerung und Überwachungeiner Krise.BCM Policy & GovernanceIn einem ersten Schritt gilt es festzulegen, welcheUnternehmensbereichedurchBusinessContinuity Management abgesichert und welcheZiele erreicht werden sollen. Zu diesem Zweckwird eine BCM-Leitlinie erstellt. Außerdemmüssen die Rollen und Verantwortlichkeiten klardefiniert werden. Tests und tion regelmäßig durch Tests undÜbungen überprüft werden. Es bietet sich an,eine Jahresplanung vorzunehmen und dieLessons Learned jeder Überprüfung umgehendmit in den BCM-Ansatz aufzunehmen. Kontinuierliche VerbesserungEin effizientes Management System wirdkontinuierlich durch Self Assesments undunabhängige Audits überprüft. Auf diese Weisewerden Schwachstellen identifiziert, die im Zugeeines kontinuierlichen Verbesserungsprozessesbehoben werden. Maßnahmen und Verbesserungsaktivitäten sollten dabei fortlaufend aufihre Wirksamkeit überprüft werden.4

Unsere BCM ServicesUnser BCMServicePortfolioPwC bietet Ihnen die Durchführung vonReifegradanalysen und die Auditierung des BCMAnsatzes nach ISO 22301:2012 und BSI 100-4Notfallkonzeption an. Darüber hinaus berät undunterstützt PwC die end-to-end-Implementierungvon BCM, bestehend aus den wesentlichenElementen Policy & Governance, Business ImpactAnalyse & Risikobewertung, Notfallkonzeption &Recovery sowie Krisenmanagement.Weiterhin bietet PwC die Konzeption undModeration von Krisensimulationen an. Unser BCMService Portfolio im Überblick:Business Continuity ementsystem(BCMS)ermöglichtesUnternehmen, über einen regelmäßigen Zyklus diegeschäftskritischen Prozesse und Ressourcen zuidentifizieren und über eine Notfallkonzeptionangemessen und der aktuellen Bedrohungslageentsprechend abzusichern. Die daraus entstehendenRecovery-Pläne werden einem regelmäßigenFunktionstest unterzogen. Das BCMS ist nach demPrinzip Planung (Plan), Umsetzung (Do), Kontrolle(Check) und Verbesserung (Act) aufgebaut.5

BCM Entwicklungen und TrendsWelchezukünftigenEntwicklungenund Trends habenUnternehmen zuerwarten?Business Continuity Management stellt dieFunktionsfähigkeit und Verfügbarkeit von isikobehandlung und ein strukturiertes Notfallmanagement sicher. Um dieser Aufgabe gerecht zuwerden, müssen Änderungen der Unternehmensstrategie sowie der Geschäftsumwelt in einemiterativen Prozess mit in den Business-ContinuityAnsatz aufgenommen werden.BCM wird zukünftig verstärkt durch folgendeEntwicklungen und Trends beeinflusst: Die wachsende Bedrohung durch Cyber-Angriffeerfordert eine schnelle Reaktionsfähigkeit durchein strukturiertes Krisenmanagement Cloud Computing verändert bestehende Datensicherungskonzepte und Wiederanlaufparameter Fortschreitendes Outsourcing stellt neueAnforderungen an Kontrollmechanismen undVendor-Management-Ansätze Stark diversifizierte Lieferketten erweitern denFokus der Kontinuitätsplanung Die Leistungen der wichtigsten Zulieferer undPartnerunternehmen werden im Zuge derBusiness Impact Analyse verstärkt in dieRisikobewertung mit einbezogen Bedingt durch die Energiewende gewinnt dieNotfallkonzeption für Stromausfälle erheblich anBedeutung Neue Produktionsverfahren im Sinne vonIndustry 4.0 erhöhen den Bedarf an präventiverRisikobehandlungEin effizientes Business Continuity Managementerhöht die Widerstandskraft von Unternehmengegen aktuelle und zukünftige Risiken, um der Bedrohungslage zu entsprechen. Die globale Vernetzung über soziale Medienverschärft das Reputationsrisiko und erforderteine zielgerichtete Krisenkommunikation Gesetzliche Vorgaben beeinflussen immer wiederdie Unternehmenspraxis des BCM, zuletzt den ITSektor (IT-SiG)6