22 Jahre BCM-Beratung

Unser Vorgehensmodell für Business Continuity Management basiert auf unseren langjährigen Projekterfahrungen, den Best-Practice-Modellen der Branche, namentlich GPG (BCI) und den aktuellen, internationalen Standards.

BCM-Beratung

Business Continuity Management (BCM) hat das Ziel, unternehmensgefährdende Risiken und deren Auswirkungen zu analysieren, zu minimieren und vor ihrem Eintritt effektive Gegenmaßnahmen zu implementieren - einen "Plan B" zu haben. BCM erhöht die Widerstandsfähigkeit des Unternehmens, verbessert das Image und sichert den Fortbestand - und das auf eine möglichst effektive und effiziente Art und Weise. Unser Vorgehensmodell Business Continuity basiert auf unseren langjährigen Projekterfahrungen, den Best-Practice-Modellen der Branche, namentlich GPG (BCI), und den aktuellen, internationalen Standards.

BCM-methode

  BCM-Initiierung

Die Initiierungsphase eines BCM-Projekts ist ein sehr wichtiger Bestandteil bei der Durchführung des Projekts und späteren Etablierung des Prozesses. In dieser Phase gilt es, die Ziele, den Umfang und die notwendigen Ressourcen klar zu definieren. In dieser Phase wird die BC-Policy und das BC-Handbuch entwickelt.

  Analyse und Konzept

In der Phase "Analyse und Konzept" geht es darum, die Ziele und Lösungsoptionen für die Wiederanlaufplanung festzulegen. Dies ist notwendig, um die knappen finanziellen und personellen Ressourcen für die richtigen Geschäftsprozesse, Organisationen und Infrastrukturen einzusetzen.

Business-Impact-Analyse / Bedrohungsanalyse
Die erste Aufgabe des Projekt-Teams ist die Durchführung einer Business-Impact-Analyse (BIA). Die BIA liefert als Ergebnis eine Aufstellung der Prozesse, Systeme und Ressourcen, die für das Überleben des Unternehmens kritisch und für den Wiederanlauf notwendig sind. Darüber hinaus werden die maximal vertretbaren Ausfallzeiten ermittelt.

Die Bedrohungsanalyse ermittelt im Anschluss die Risiken und deren Eintrittswahrscheinlichkeiten für die kritischen Prozesse und Systeme.
Business-Continuity-Lösungskonzept
Die aus der BIA gewonnenen Erkenntnisse erlauben die Definition eines angemessenen Business-Continuity-Konzepts, mit einem optimalen Verhältnis aus Risiko-Minimierung und Kosten / Nutzen der vorgeschlagenen Optionen.

 Implementierung

Nachdem die Strategie festgelegt wurde, beschäftigt sich die Implementierungsphase mit der organisatorische Struktur und Umsetzung der Maßnahmen zur Prävention und Notfallvorsorge.

Organisation
Für den Notfall ist eine eigenständige Organisationsstruktur (Schattenorganisation) zu etablieren. Ziel dieser Organisationsform ist die eindeutige, schnelle Entscheidungsfindung in kritischen Situationen auf Basis weniger Hierarchiestufen. Ferner wird für diese Notfall-Organisation ein eigenständiges Eskalationsverfahren definiert.

BCM-Prozesse
Um die nach Abschluss des Projekts ständig anfallenden Aufgaben in den Regelbetrieb übergeben zu können, sind die im BC-Handbuch definierten Steuerprozesse zu implementieren.

Risikomindernde Maßnahmen
In diesem Bereich geht es um die Umsetzung der risikomindernden Maßnahmen. Diese können in organisatorischen Veränderungen liegen, aber auch konkrete Investitionen in die Infrastruktur bedingen. Zum einen sollen Schadenseintritte vermieden werden (Prävention), zum anderen soll Vorsorge für die Zeit nach einem Notfall-Eintritt getroffen werden (z. B. Aufbau einer Ausweichlokation, Notlieferabkommen, ...).

 Planung

Die Entwicklung von Plänen für die Bewältigung von Notfällen ist eine der wichtigsten Aufgaben beim Aufbau eines Business-Continuity-Managements. Ein wesentliches Ziel des BCM-Prozesses sind funktionierende Pläne, die wir wie folgt unterscheiden:

  • Strategische Pläne 

  • Taktische Pläne 

  • Operative Pläne

Strategische Pläne
Die strategischen Pläne dienen zur Steuerung des Unternehmens in einer Krise. Zu diesen Plänen zählen:

  • Krisenorganisationshandbuch 

  • Krisenreaktionsplan 

  • Krisenkommunikationsplan

Taktische Pläne
Die taktischen Pläne koordinieren die Wiederanlaufaktivitäten und sonstigen Tätigkeiten auf der Ebene des Lagezentrums.

Operative Pläne
Die Busines-Continuity-Pläne (BCP) beschreiben die notwendigen Überbrückungsmaßnahmen bei Ausfall eines Geschäftsprozesses und die notwendigen Maßnahmen zur Aufnahme des Notbetriebs.

 Validierung

Die Teststrategie definiert die Testtiefe (Testklasse), die Testkomponenten und die Teststruktur. Die Testplanung legt einen konkreten Zeitplan für die Durchführung der Tests fest. Für Tests ab der Testklasse "Funktionaler Test" wird ein Testkonzept erstellt.

Das erfolgreiche Durchlaufen einer niedrigen Testklasse (z. B. Basistest) ist Voraussetzung für die Durchführung eines Tests einer höheren Testklasse (z. B. Anwendungstest). Wir unterscheiden folgende Testklassen:

  • Schreibtischtests

  • Funktionale Tests

  • Prozessketten-Tests

  • Simulationsübungen

  • Vollübungen

Schreibtischtests
Diese Tests sind die einfachsten und am häufigsten durchgeführten Tests. Der Autor und die im Plan genannten Notfall-Teams prüfen die Inhalte und die Aktualität der Inhalte am Schreibtisch.

Funktionale Tests
Diese Testklasse überprüft einzelne BCPs und/oder Ausweichressourcen. Während eines solchen Tests sollen die definierten Prozeduren für den Wiederanlauf und den Notbetrieb getestet werden. Dies umfasst auch die Überprüfung der technischen Infrastruktur an der Ausweichlokation und die Einhaltung der Wiederanlaufzeiten.

Prozessketten-Tests
Bei Prozessketten-Tests werden die Notfallmaßnahmen für einen Geschäftsprozess End-to-End überprüft. Dabei werden auch die bestehenden gegenseitigen Abhängigkeiten zwischen den Notfallmaßnahmen der betreffenden IT-Komponenten sowie die Anforderungen an deren zeitliche Abfolge innerhalb der Prozesskette berücksichtigt und entsprechend überprüft.

Simulationsübungen
Für diese Übungsklasse werden Drehbücher geschrieben, aus denen der zeitliche Ablauf und die simulierte Krisensituation hervorgehen. Abhängig von dem simulierten Ereignis können diese Übungen einige Stunden, aber auch Tage umfassen. Eine Simulationsübung wird in der Regel für die strategischen und taktischen Pläne durchgeführt.

Vollübungen
Übungen dieser Klasse umfassen alle Notfall-Teams, einschließlich Krisenstab und Lagezentrum. Mit den Vollübungen soll der Nachweis erbracht werden, dass sowohl technische als auch organisatorische Notfallprozesse unter realistischen Bedingungen funktionieren.

 Initialtest

Vor der Überführung des BCM-Projekts in den Betrieb ist ein erster Initialtest durchzuführen. Den Umfang des Tests bestimmt die zuvor festgelegte Teststrategie (Szenarientest, Überbrückungs- und Ausweichtest, Infrastrukturtest, Kommunikationstest). Wichtig für den Initialtest ist, dass alle Planungsaktivitäten im Zusammenhang mit dem Test durchgeführt werden:

  • Testziele festlegen

  • Testvorarbeiten planen

  • Testdurchführung planen

  • Testauswertung und -nachbereitung planen

Kontakt