BCM Beratung

Business Continuity Management (BCM) hat das Ziel, unternehmensgefährdende Risiken und deren Auswirkungen zu analysieren, zu minimieren und vor ihrem Eintritt effektive Gegenmaßnahmen zu implementieren - einen "Plan B" zu haben.

BCM erhöht die Widerstandsfähigkeit des Unternehmens, verbessert das Image und sichert den Fortbestand - und das auf eine möglichst effektive und effiziente Art und Weise.

Unser Vorgehensmodell Business Continuity basiert auf unseren langjährigen Projekterfahrungen, den Best-Practice-Modellen der Branche, namentlich GPG (BCI) und den aktuellen, internationalen Standards.


 

 BCM Initiierung

Die Initiierungs-Phase eines BCM-Projektes ist ein sehr wichtiger Bestandteil bei der Durchführung des Projektes und späteren Etablierung des Prozesses. In dieser Phase gilt es, die Ziele, den Umfang und die notwendigen Ressourcen klar zu definieren. In dieser Phase wird die BC-Policy und das BC-Handbuch entwickelt.
 

 Analyse und Konzept

In der Phase "Analyse und Konzept" geht es darum, die Ziele und Lösungsoptionen für die Wiederanlaufplanung festzulegen. Dies ist notwendig, um die knappen finanziellen und personellen Ressourcen für die richtigen Geschäftsprozesse, Organisationen und Infrastrukturen einzusetzen.

Business Impact Analyse / Bedrohungsanalyse

Die erste Aufgabe des Projekt-Teams ist die Durchführung einer Business Impact Analyse (BIA). Die BIA liefert als Ergebnis eine Aufstellung der Prozesse, Systeme und Ressourcen, die für das Überleben des Unternehmens kritisch und für den Wiederanlauf notwendig sind. Darüber hinaus werden die maximal vertretbaren Ausfallzeiten ermittelt.

Die Bedrohungsanalyse ermittelt im Anschluss die Risiken und deren Eintrittswahrscheinlichkeiten für die kritischen Prozesse und Systeme.

Business Continuity Lösungskonzept

Die aus der BIA gewonnenen Erkenntnisse erlauben die Definition eines angemessenen Business Continuity Konzeptes, mit einem optimalen Verhältnis aus Risiko-Minimierung und Kosten / Nutzen der vorgeschlagenen Optionen.

 Implementierung

Nachdem die Strategie festgelegt wurde, beschäftigt sich die Implementierungsphase mit der organisatorische Struktur und Umsetzung der Maßnahmen zur Prävention und Notfallvorsorge.

Organisation

Für den Notfall ist eine eigenständige Organisationsstruktur (Schattenorganisation) zu etablieren. Ziel dieser Organisationsform ist die eindeutige, schnelle Entscheidungsfindung in kritischen Situationen auf Basis weniger Hierarchiestufen. Ferner wird für diese Notfall-Organisation ein eigenständiges Eskalationsverfahren definiert.

BCM-Prozesse

Um die, nach Abschluss des Projektes ständig anfallenden Aufgaben, in den Regelbetrieb übergeben zu können, sind die im BC-Handbuch definierten Steuerprozesse zu implementieren.

Risikomindernde Maßnahmen

In diesem Bereich geht es um die Umsetzung der risikomindernden Maßnahmen. Diese können in organisatorischen Veränderungen liegen aber auch konkrete Investitionen in die Infrastruktur bedingen. Zum einen sollen Schadenseintritte vermieden werden (Prävention), zum anderen soll Vorsorge für die Zeit nach einem Notfall-Eintritt getroffen werden (z.B. Aufbau einer Ausweichlokation, Notlieferabkommen,...).

 Planung

Die Entwicklung von Plänen für die Bewältigung von Notfällen ist eine der wichtigsten Aufgaben beim Aufbau eines Business Continuity Managements. Ein wesentliches Ziel des BCM-Prozesses sind funktionierende Pläne, die wir wie folgt unterscheiden:

  • Strategische Pläne

  • Taktische Pläne

  • Operative Pläne

Strategische Pläne

Die strategischen Pläne dienen zur Steuerung des Unternehmens in einer Krise. Zu diesen Plänen zählen:

  • Krisenorganisationshandbuch

  • Krisenreaktionsplan

  • Krisenkommunikationsplan 

Taktische Pläne

Die taktischen Pläne koordinieren die Wiederanlaufaktivitäten und sonstigen Tätigkeiten auf der Ebene des Lagezentrums.

Operative Pläne

Die Business Continuity Pläne (BCP) beschreiben die notwendigen Überbrückungsmaßnahmen bei Ausfall eines Geschäftsprozesses und die notwendigen Maßnahmen zu Aufnahme des Notbetriebes.

 Validierung

Die Teststrategie definiert die Testtiefe (Testklasse), die Testkomponenten und die Teststruktur. Die Testplanung legt einen konkreten Zeitplan für die Durchführung der Tests fest. Für Tests ab der Testklasse "Funktionaler Test" wird ein Testkonzept erstellt.

Das erfolgreiche Durchlaufen einer niedrigen Testklasse (z.B. Basistest) ist Voraussetzung für die Durchführung eines Tests einer höheren Testklasse (z.B. Anwendungstest). Wir unterscheiden folgende Testklassen:

  • Schreibtisch-Übungen

  • Funktionale Tests

  • Prozessketten-Tests

  • Simulationsübungen

  • Vollübungen

Schreibtisch-Übungen

Diese Tests sind die einfachsten und am häufigsten durchgeführten Tests. Der Autor und die im Plan genannten Notfall-Teams prüfen die Inhalte und die Aktualität der Inhalte am "Schreibtisch".

Funktionale Tests

Diese Testklasse überprüft einzelne BCPs und oder Ausweichressourcen. Während eines solchen Tests sollen die definierten Prozeduren für den Wiederanlauf und den Notbetrieb getestet werden. Dies umfasst auch die Überprüfung der technischen Infrastruktur an der Ausweichlokation und die Einhaltung der Wiederanlaufzeiten.

Prozessketten-Tests

Bei Prozessketten-Tests werden die Notfallmaßnahmen für einen Geschäftsprozess End-to-End überprüft. Dabei werden auch die bestehenden gegenseitigen Abhängigkeiten zwischen den Notfallmaßnahmen der betreffenden IT-Komponenten sowie die Anforderungen an deren zeitliche Abfolge innerhalb der Prozesskette berücksichtigt und entsprechend überprüft.

Simulationsübungen

Für diese Übungsklasse werden Drehbücher geschrieben, aus denen der zeitliche Ablauf und die simulierte Krisensituation hervorgehen. Abhängig von dem simulierten Ereignis können diese Übungen einige Stunden aber auch Tage umfassen. Eine Simulationsübung wird in der Regel für die strategischen und taktischen Pläne durchgeführt.

Vollübungen

Übungen dieser Klasse umfassen alle Notfallteams, einschließlich  Krisenstab und Lagezentrum. Mit den Vollübungen soll der Nachweis erbracht werden, dass sowohl technische als auch organisatorische Notfallprozesse unter realistischen Bedingungen funktionieren.

 Initialtest

Vor der Überführung des BCM-Projektes in den Betrieb ist ein erster "Initialtest" durchzuführen. Den Umfang des Testes bestimmt die zuvor festgelegte Teststrategie (Szenarientest, Überbrückungs- und Ausweichtest, Infrastrukturtest, Kommunikationstest). Wichtig für den Initialtest ist, dass alle Planungsaktivitäten im Zusammenhang mit dem Test durchgeführt werden:

  • Testziele festlegen

  • Testvorarbeiten planen

  • Testdurchführung planen

  • Testauswertung und -nachbereitung planen