Business Continuity und Facility Management - Sind Sie fit für ausserordentliche Ereignisse?

Verschiedene Entwicklungen der letzten Jahre, insbesondere im Bereich Abhängigkeit von IT-Systemen und -Infrastrukturen, Unwetter, Anschläge und Pandemien, haben auf die Verletzlichkeit von Unternehmen, deren Infrastruktursysteme und -anlagen hingewiesen. Die Sensibilisierung für derartige Ereignisse und ihre möglichen Auswirkungen hat stark zugenommen. Für die Bewältigung von unvorhergesehenen Ereignissen ist es entscheidend, dass alle wichtigen Akteure koordiniert vorgehen und die nötigen Vorkehrungen vorgängig festgelegt, abgestimmt und umgesetzt sind (Business Continuity Plan).

  PDF Download Fach-Publikationen
 

  Screenshots von Vorlagen und Tools
 

  Beratung oder Fragen? Schreiben Sie uns.

BCM Szenarien und Anwendungsbereiche

Unternehmen sollten alle potentiell relevanten Szenarien berücksichtigen, welche für sie zu einer Krise führen können. Dabei wird unter einer „Krise“ eine Bedrohungssituation verstanden, welche kritische Entscheidungen erfordert und mit den ordentlichen Führungsmitteln und Entscheidungskompetenzen nicht bewältigt werden kann.

Somit bildet die Bewältigung von „Störungen“ kein Bestandteil eines BCM. Diese können und müssen im Rahmen des Tagesgeschäfts bewältigt werden.

Beispiele für Krisensituationen sind:

• „Unfallartige” Ereignisse wie z.B. Brand oder Explosion
• Anschläge, Sabotage
• Naturkatastrophen wie z.B. Überschwemmung, Flut oder Erdbeben
• Ausfall von Personal, z.B. aufgrund einer Pandemie
• Ausfall der Gebäudetechnik und/ oder der Energieversorgung (z.B. Elektrizität)
• Ausfall von IT Systemen oder Infrastrukturen (Hardware- oder Software-Fehler)
• Ausfall von Kommunikationssystemen oder Telecom-Providern
• Ausfall von externen Lieferanten (vgl. Outsourcing).

Im Rahmen des BCM sind die relevanten Risiken bzw. Krisentypen durch die Unternehmen jeweils gemäss Impact (Schweregrad) des Eintretens eines Ereignisses zu identifizieren bzw. zu definieren und zu beurteilen. 

Die Konsequenz solcher Ereignisse kann beispielsweise sein, dass Mitarbeitende und/ oder Infrastruktur (v.a. Führungsinfrastruktur, Telekommunikation, Gebäude bzw. Arbeitsplätze) für unternehmenskritische Funktionen nicht mehr einsatzfähig sind. Ebenso können Probleme bei den IT-Dienstleistungen oder Infrastruktur-Anbietern (Facility Management) dazu führen, dass kritische Services zu nicht tolerierbaren Ausfällen der Verfügbarkeit führen.

Das BCM hat zum Ziel, die Einhaltung gesetzlicher, regulatorischer, vertraglicher und interner Vorschriften auch im Krisenfall bestmöglich sicherstellen. Es leistet damit einen wesentlichen Beitrag zur Existenzsicherung im Krisenfall.

„Business Continuity Management ist sinngemäss vergleichbar mit einer Krankenkasse. Man hofft diese möglichst wenig oder nie benutzen zu müssen. Bei einer plötzlichen, schweren Krankheit ist man jedoch froh, rechtzeitig vorgesorgt zu haben.“

BCM Definition und Umfang

Unter Business Continuity Management (BCM) ist ein unternehmsweiter Ansatz zu verstehen, mit dem sichergestellt werden soll, dass die kritischen Geschäftsfunktionen im Fall interner oder externer Ereignisse aufrechterhalten oder zeitgerecht wiederhergestellt werden können. BCM zielt damit u.a. auf eine Minimierung der finanziellen, rechtlichen und reputationsmässigen Auswirkungen solcher Ereignisse.

Insgesamt soll BCM die Fortführung bzw. zeitgerechte Wiederaufnahme der Geschäftstätigkeit in Krisensituationen sicherstellen. BCM bezieht sich deshalb grundsätzlich auf alle Geschäfts- und Organisationsbereiche eines Unternehmens. Zu unterscheiden sind die Business Recovery Planung im Vorfeld und das Krisenmanagement im Anwendungsfall.

In der Business Continuity Strategie definiert ein Institut seine grundsätzliche Vorgehensweise im Falle eines Ausfalls kritischer Ressourcen. Dabei werden im Rahmen einer Business Impact Analyse geschäftskritische Ressourcen und Prozesse identifiziert, inkl. einer Festlegung adäquater Wiederanlaufzeiten und Verfügbarkeiten. 

Die Business Continuity Strategie bildet die Basis für die Business Continuity Pläne. Diese definieren (im Sinne von vorbereiteten Massnahmenplänen, Checklisten und Arbeitshilfen) das Vorgehen für eine zeitgerechte und geordnete Wiederaufnahme der Geschäftstätigkeit. Die Business Continuity Strategie kann integraler Bestandteil der Unternehmensstrategie eines Unternehmens sein. Falls einzelne Restrisiken bewusst in Kauf genommen werden, so muss die Strategie explizit darüber Auskunft geben.

Der Aufbau und Betrieb eines Business Continuity Managements umfassen folgende Bereiche:

• Definition und Festlegung des Umfangs des BCM
• Verankerung des BCM in der Unternehmensorganisation auf der Basis eines BCM Leistungsauftrags mit verbindlichen Aufträgen für den Head of BCM und die Business Prozess Owners.
• Schaffung einer der Unternehmensorganisation angepassten Governance-Struktur
• Definition der BCM Rollen und Verantwortlichkeiten
• Definition von Krisenszenarien und deren Auswirkungen auf die Ressourcen (Personal, IT, Facility Management) des Unternehmens (Planungsgrundlage)
• Identifikation der geschäftskritischen Ressourcen und Prozesse sowie Analyse der Auswirkung von Ausfällen im Rahmen der Business Impact Analyse (BIA)
• Definition der Business Continuity Strategie zum grundsätzlichen Umgang mit dem Ausfall der einzelnen Ressourcen der Geschäftsarchitektur
• Erstellung der Business Continuity Pläne, die eine Wiederherstellung der geschäftskritischen Prozesse und Ressourcen in einer Krisensituation ermöglichen sollen
• Durchführung von Business Continuity Reviews und Business Continuity Tests der Business Continuity Pläne und der Krisenmanagementorganisation
• Berichterstattung, Kommunikation und Schulung.

Die BCM-Komponenten

Eine Krisensituation ist gekennzeichnet durch den vollständigen oder teilweisen Ausfall von Ressourcen bzw. durch die Unterbrechung einzelner oder mehrerer Business-kritischer Prozesse. Dabei ist grundsätzlich das Vorhandensein folgender Ressourcen Voraussetzung zur Durchführung von Prozessen:

• Mitarbeitende
• Gebäude und Infrastruktur
• Informations- und Kommunikationstechnologie
• Daten
• externe Zulieferer.

Dementsprechend wird empfohlen, im Rahmen der Business Recovery Planung in erster Linie Ausfälle dieser Ressourcen zu berücksichtigen.

BCM sollte insbesondere folgende Komponenten umfassen:

1) BCM Leistungsauftrag (Weisung)

Von Verwaltungsrat bzw. der Geschäftsleitung unterzeichneter und genehmigter BCM Leistungsauftrag mit klar definierten Aufträgen für den Head of BCM sowie die Business Prozess Owners.

2) Business Impact Analyse

Identifikation der geschäftskritischen Prozesse sowie der zugrundeliegenden kritischen Ressourcen, Identifikation und Beschreibung der Auswirkungen eines Ausfalls einer oder mehrerer kritischer Ressourcen (Schadenausmasse).

3) Business Continuity Strategie

Definition der grundsätzlichen Vorgehensweise bei einem Ausfall von kritischen Ressourcen, Grundsatzentscheide über die Bereitstellung von Ersatzressourcen und Ausweichstrategien/ -lösungen. 

4) Business Continuity Plan (BCP)

Umfassende Massnahmenpläne zur Sicherstellung einer kontinuierlichen Geschäftstätigkeit bzw. zur zeitgerechten Wiederaufnahme Business-kritischer Prozesse. Detaillierte Planung der Vorgehensweise und Verantwortlichkeiten bei Ausfall Business-kritischer Ressourcen. 

5) Krisenmanagement-Organisation (Krisenstab)

Die Organisation des Krisenmanagements hat zum Ziel, ein Krisenmanagement bereitzustellen, mit dem das Unternehmen Krisensituationen wirksam bewältigen kann.

6) Business Continuity Testing / Krisenstabsübung

Überprüfung der Business Continuity Pläne auf Aktualität, Umsetzung und Wirksamkeit in regelmässigen Intervallen. Beübung der Mitglieder im Krisenstab im Rahmen ihrer Führungsverantwortung in ausserordentlichen Situationen. 

7) BCM-Reporting

Berichterstattung über BCM Aktivitäten und den Stand der Vorbereitungen zur Krisenbewältigung des Unternehmens (an Verwaltungsrat und Geschäftsleitung).

8) BCM Training

Fachliche BCM Ausbildung der Mitarbeitenden, die Aufgaben im Bereich BCM übernommen haben.

9) BCM Kommunikation (Krisen-Kommunikation)

Massnahmen der internen und externen Kommunikation im Krisenfall.

Die Business Impact Analyse (BIA)

Jeder Geschäftsbereich sollte seine kritischen Ressourcen und Prozesse bestimmen. Im Rahmen einer Auswirkungsanalyse werden für die geschäftskritischen Prozesse die jeweiligen Auswirkungen eines kompletten oder teilweisen Ausfalls der entsprechenden Ressourcen beurteilt.

Diese Beurteilung schliesst auch gegenseitige Abhängigkeiten zwischen den Geschäftsbereichen (vor-/nachgelagerte Prozesse) und Abhängigkeiten von externen Anbietern (Outsourcing) mit ein.

Diese Analyse soll zum Ergebnis haben:

• den gewünschten Wiederherstellungsgrad der geschäftskritischen Prozesse
• eine maximale Zeitspanne bis zur Wiederherstellung der geschäftskritischen Prozesse
• den Mindestumfang der (Ersatz-)Ressourcen (Gebäude, Mitarbeitende, IT/Daten, externe Anbieter), die im Krisenfall verfügbar sein müssen, um den gewünschten Wiederherstellungsgrad zu erreichen.

Die Häufigkeit der Aktualisierung der Business Impact Analyse richtet sich insbesondere nach der Risikosituation des jeweiligen Unternehmens.

Die Business Continuity Strategie

Die Business Continuity Strategie legt das grundlegende Vorgehen fest, mit dem das Unternehmen seine in der Business Impact Analyse festgelegten Recovery-Ziele für die zugrunde gelegten Szenarien und deren Auswirkungen auf die Ressourcen erreichen will. Diese Strategie soll in schriftlicher Form vorliegen.

Der Business Continuity Plan

Der Business Continuity Plan beschreibt die für die Wiederherstellung bzw. die Fortsetzung der geschäftskritischen Prozesse (inkl. Einhaltung gesetzlicher, regulatorischer, vertraglicher und interner Vorschriften) notwendigen Vorgehensweisen, Ersatzlösungen und die dafür mindestens benötigten Ersatzressourcen.

Entsprechende Pläne sollten mindestens enthalten:

• Beschreibung des Anwendungsfalls (auslösendes Szenario), Vorgehensweise bzw. Massnahmenkatalog mit Prioritäten, notwendige Ersatzressourcen sowie Krisenorganisation mit Zuständigkeiten und Kompetenzen.
• Es sollten regelmässige Zeiträume vorgegeben werden, innerhalb derer die Business Continuity Pläne zu aktualisieren sind. Wesentliche Änderungen im Geschäftsbetrieb können ebenfalls eine Überarbeitung der Pläne erforderlich machen.

Die Business Continuity Reviews

Business Continuity Reviews beinhalten eine Bestandsaufnahme der von den einzelnen Geschäftsbereichen erstellten BCM Dokumentation und eine Bewertung, ob die Dokumente den definierten Prüfkriterien entsprechen. Es wird empfohlen, konsistente Prüfkriterien sowie einen klaren Prozess zur Überwachung und Behebung offener Punkte zu definieren.

Die Business Continuity Tests / Krisenstabsübung

Mit Business Continuity Tests wird die Umsetzung von Business Continuity Plänen und die Fähigkeit der Krisenmanagement-Organisation ausgetestet bzw. überprüft. Schwerpunkte sowie Kadenz der einzelnen Tests sind in Abhängigkeit der Risikobeurteilung (vgl. Business Impact Analyse) vorzunehmen. Durch Aggregation der Testergebnisse einzelner Organisationseinheiten kann die Fähigkeit des Instituts zur Bewältigung von Krisensituationen beurteilt werden.

Es wird empfohlen, die einzelnen Testaktivitäten in Form einer systematischen Testplanung zu koordinieren, die Berichterstattung einheitlich zu regeln sowie einen Prozess für die Überwachung und Behebung von Schwachstellen festzulegen.

Krisenmanagement - Krisenstab

Ziel ist es, ein Krisenmanagement bereitzustellen, mit dem das Unternehmen Krisensituationen wirksam und zeitgerecht bewältigen kann. In Krisensituationen, die kritische Entscheidungen verlangen und welche mit ordentlichen Massnahmen und Entscheidungskompetenzen nicht bewältigt werden können, wird der Krisenstab (bzw. werden die Krisenstäbe) einberufen. 

Dieser übernimmt das Management der Krisenbewältigung bis zur Wiederherstellung eines ordnungsgemässen Zustands.

Es wird empfohlen, Auslösung, Zuständigkeiten und Kompetenzen des Krisenstabs vorgängig klar zu regeln und die Krisenorganisation auf Geschäftstätigkeit und geographische Struktur des Instituts auszurichten. Besonderer Wert ist auf die bestmögliche Sicherstellung der Erreichbarkeit der Verantwortungsträger auch in Krisensituationen zu legen.

Krisenkommunikation - Reputation Management

Krisenkommunikation spielt in der Krisenbewältigung eine bedeutende Rolle. Der systematischen und sorgfältigen Vorbereitung von Kommunikationskonzepten und -plänen (interne und externe Kommunikation) im Krisenfall ist deshalb besondere Beachtung zu schenken. Dabei geht es im Speziellen um die Wahrung eines hohen Grades an Professionalität und um die Aufrechterhaltung von Glaubwürdigkeit und Vertrauen der Dialogpartner.

Kommunikationspläne müssen Erreichbarkeiten im Krisenfall beinhalten (Liste mit Namen und Telefonnummern von Aufsichtsbehörden, Mitarbeitenden, Medien, Kunden, Gegenparteien, Dienstleistern etc.). Einer allfälligen internationalen Dimension ist mit speziellen Kommunikationsmassnahmen Rechnung zu tragen.

Fazit

Implementiert ein Unternehmen ein Business Continuity Management mit der Definition von BCM Strategien und ausserordentlichen Prozessen sowie benötigen Ressourcen richtig in die Prozesslandschaft und als Führungsaufgabe des Managements, verfügen die Geschäftsleitung und der Verwaltungsrat über zwei wertvolle Führungsinstrumente zur Existenzsicherung im Krisenfall.

Wertorientierte Unternehmensführung bedeutet Chancen und Risiken richtig und umfassend abzuwägen und sich rechtzeitig auf ausserodentliche Ereignisse fit zu machen. 

Darauf basiert letztendlich der unternehmerische Erfolg.