Business Continuity Management (BCM) stellt sicher, dass kritische Funktionen einer Organisation betriebsfähig bleiben, um die Auswirkungen von Unterbrechungen auf Interessengruppen zu minimieren. Lassen Sie uns die praktischen Schritte zur Implementierung von Business Continuity Management im Kontext der strategischen Planung erkunden.
Business Continuity Management. Ein Ansatz für das Business Continuity Management gemäß ISO 22301 umfasst:
- Identifizieren von kritischen Geschäftselementen
- Analyse von Bedrohungen und Risiken
- Erstellen von Präventions- und Reaktionsplänen, einschließlich Schulungen und Simulationen
- Verfolgen und Lernen aus Vorfällen
Um diese Elemente in die strategische Planung zu integrieren:
- Wir werden eine wertbasierte Zerlegungsmethode anwenden
- Strategien und Pläne mit Leistungskennzahlen quantifizieren
- Handlungsfähige Aufzeichnungen in Form von Initiativen, Risiken und Kommentaren führen
Identifikation der Kritischen Geschäftselemente
Unser Ziel ist es, wichtige Geschäftselemente zu identifizieren, die für die Geschäftskontinuität entscheidend sind. Wir verwenden die folgenden Perspektiven als Ausgangspunkt:
- Informationssysteme
- Einrichtungen und Standorte
- Partner und Interessengruppen
- Personalwesen
- Physische Vermögenswerte
- Finanzielle Ressourcen
Business Continuity Management. Sobald die Elemente und Unterelemente definiert sind, können wir ihre Anfälligkeit für Risikoevents quantifizieren, indem wir Wiederherstellungszeitziele (RTO) festlegen.
Für das Wiederherstellungszeitziel definieren wir:
- Maßeinheiten (z.B. Stunden oder Tage)
- Die „Basislinie“ als die katastrophale Wiederherstellungszeit
- Das „Ziel“ als die gewünschte Wiederherstellungszeit
- Den aktuellen Wert als die geschätzte Wiederherstellungszeit basierend auf vorhandenen Technologien und Richtlinien
Business Continuity Management. Mit diesen Daten können wir die Leistung jedes Geschäftselements in Bezug auf Anfälligkeit oder Bereitschaft im Falle eines Notfalls berechnen.
In diesem Kontext:
- Ein niedrigerer Wert (z.B. schnellere Wiederherstellungszeit) führt zu höherer Leistung
- Die Leistungsfunktion sollte nicht linear sein; der ausgedehnte Bereich neben der „katastrophalen“ Basislinie sollte die rote Zone sein
Business Continuity Management. In BSC Designer:
- Definieren Sie die erforderliche Wiederherstellungsbasislinie, das Ziel und den aktuellen Wert auf der Registerkarte Daten.
- Verwenden Sie die Funktion „Exponentieller Abfall“, um eine Leistungsfunktion mit einer relativ kleinen grünen Zone für Wiederherstellungszeiten nahe dem Ziel und einer signifikanten roten Zone für längere Wiederherstellungszeiten zu erstellen.
Die Software ermöglicht die Verfolgung von RTOs für jedes Geschäftselement im Laufe der Zeit.
Bedrohungs- und Risikoanalyse
Analysieren Sie potenzielle Bedrohungen, indem Sie diese Perspektiven als Ausgangspunkt verwenden:
- Betrieblich
- Technologisch
- Wirtschaftlich
- Belegschaft
- Sicherheit und Schutz
- Umwelt
- Ruf
- Rechtlich
Für jede relevante Bedrohung führen Sie eine Zerlegung in spezifische Risiken durch und führen Sie eine Business Impact Analysis (BIA) durch.
Business Continuity Management. Zum Beispiel können Sie technologische Bedrohungen in ‚Cybersecurity-Bedrohungen‘ und weiter in einen ‚Ransomware-Angriff‘ aufschlüsseln.
Das Risiko kann in diesem Fall durch eine einfache Risikobewertungsformel quantifiziert werden, wie zum Beispiel Wahrscheinlichkeit multipliziert mit Auswirkung. Verschiedene Wege zur Definition von Risiken wurden in einem separaten Artikel diskutiert.
Reaktionsszenarien
Entwickeln Sie Reaktionsszenarien für Bedrohungen mit den höchsten Risikobewertungsnoten.
Ein typisches Szenario umfasst:
- Geschäftskontinuitätspläne (Prävention, Reaktion, Wiederherstellung)
- Kommunikationsplan
- Schulungs- und Testpläne
Diese Pläne können quantifiziert werden durch:
Regelmäßige Aktualisierungskennzahl
Schulungsabdeckung
Simulationen / Übungen Erfolg
Business Continuity Management. Betrachten Sie ‚Szenario 1 – Ransomware-Angriff‘, das unterteilt ist in:
- Geschäftskontinuitätspläne
- Schulung und Test
Der Abschnitt ‚Geschäftskontinuitätspläne‘ umfasst mehrere Initiativen:
- Präventionsstrategie
- Reaktionsstrategie
- Wiederherstellungsstrategie
- Kommunikationspläne
Innerhalb der ‚Kommunikationspläne‘ quantifiziert die Kennzahl ‚Plan regelmäßig überarbeitet‘ die Häufigkeit der Aktualisierungen. Der Kennzahlinhaber erhält regelmäßige Erinnerungen, die Kommunikationspläne zu überarbeiten, um sicherzustellen, dass Ansprechpartner und deren Details aktuell bleiben.
Business Continuity Management. Um die Effektivität der ‚Reaktionsstrategie‘-Initiative zu validieren, quantifizieren wir sie mit dem Indikator ‚Simulationen / Übungen‘.
Der Abschnitt ‚Schulung und Test‘ umfasst die Initiative ‚Phishing-Angriff-Training und Simulation‘ sowie zwei Kennzahlen:
- Schulungsabdeckung
- Simulationen / Übungen
Während diese Kontinuitätspläne als Initiativen präsentiert werden, ist eine weitere Aufschlüsselung möglich. Wir können sie in spezifischere Unterziele und Kennzahlen unterteilen.
Zuordnen von Vorfällen oder Störungen
Um aktive Vorfälle abzubilden, fügen Sie Störungsdetails und eine Ursachenanalyse hinzu.
Um die Auswirkungen zu quantifizieren, können wir den gewichteten Impact-Bewertungsindex verwenden, der aus folgenden Komponenten besteht:
Finanzielle Auswirkungen
Auswirkungen auf Kundenbeziehungen (quantifiziert als Prozentsatz der betroffenen Kunden)
Auswirkungen auf den Betrieb (quantifiziert als Prozentsatz der betroffenen kritischen Abläufe)
Rechtliche und Compliance-Auswirkungen (quantifiziert durch Geldbußen und andere rechtliche Konsequenzen)
Langfristige Auswirkungen auf den Ruf (quantifiziert als Prozentsatz der über einen Zeitraum von einem Jahr aufgrund der Krise verlorenen Kunden)
Business Continuity Management. Nach der Lösung eines Vorfalls:
- Aktualisieren Sie das Abschlussdatum im Element ‚Störungsdetails und Analyse‘
- Ändern Sie den Status auf ‚Abgeschlossen‘
- Erfassen Sie die gewonnenen Erkenntnisse und Verbesserungsinitiativen
- Verschieben Sie die Gruppe ‚Vorfälle 1‘ in den Abschnitt ‚Vergangene Vorfälle‘.
Vererbung und Aktualisierungsintervalle für Indikatoren
Je nach Art der Quantifizierung müssen Indikatoren im Business-Continuity-Scorecard auf verschiedene Weise konfiguriert werden.
Metriken Erben Vorherige Werte (Geerbt)
Indikatoren, die das RTO (Recovery Time Objective) quantifizieren, sind so eingestellt, dass sie geerbte Werte verwenden. In der Praxis bedeutet dies, dass das für das aktuelle Jahr definierte RTO automatisch für das nächste Jahr übernommen wird, es sei denn, es wird neu definiert. Das Aktualisierungsintervall für diese Indikatoren ist auf jährliche oder halbjährliche Aktualisierungen festgelegt.
Auch die Indikatoren zur Quantifizierung der BIA (Business Impact Analysis) sind so konfiguriert, dass sie geerbte Werte verwenden. Die Aktualisierungsintervalle können in diesem Fall entsprechend der erwarteten Dynamik der Bedrohung angepasst werden, wobei monatliche Intervalle für dynamischere Bedrohungen und vierteljährliche/jährliche Intervalle für stabile Bedrohungen verwendet werden.
Business Continuity Management. Metriken, die vorherige Werte (Eingegebene Werte) nicht wiederverwenden
Metriken zur Quantifizierung von Geschäftskontinuitätsplänen, wie ‚regelmäßig überarbeitete Pläne‘, ‚Trainingsabdeckung‘ und ‚Simulationsübungen‘, sind für quartalsweise oder jährliche Aktualisierungsintervalle konfiguriert. Die Vererbungsoption ist in diesem Fall als ‚Eingegebene Werte verwenden‚ konfiguriert, was bedeutet, dass wir den vorherigen Wert für die nächste Periode nicht wiederverwenden.
Zum Beispiel, wenn Pläne für das laufende Jahr als überarbeitet markiert sind, müssten wir für das nächste Jahr die Pläne erneut überarbeiten und den Zustand der entsprechenden Metrik aktualisieren.
Metriken Ohne Geplantes Update
Schließlich wird das Aktualisierungsintervall der Metriken, die zur Bewertung der Auswirkungen von Vorfällen verwendet werden, als ‚Niemals‚ konfiguriert, was darauf hinweist, dass wir daran interessiert sind, nur den aktuellen Zustand des Indikators zu erfassen, ohne die Absicht, seine Entwicklung im Laufe der Zeit zu überwachen.
Verknüpfung nach Kontext und Daten
Das grundlegende Konzept des Business Continuity Managements beinhaltet die Herstellung von Verbindungen zwischen:
- Kritischen Geschäftselementen
- Bedrohungen und Risiken
- Szenarien
- Tatsächlichen Vorfällen
Durch die Schaffung dieser Verbindungen rüsten wir unser Team mit allen notwendigen Details aus, um effektiv auf Bedrohungen zu reagieren und aus Vorfällen zu lernen.
Um dieses Konzept in der strategischen Planung umzusetzen, verknüpfen wir alle genannten Elemente durch den Kontext. So können wir von tatsächlichen Vorfällen zu den entsprechenden Szenarien navigieren und bei Bedarf Bedrohungen und Risikoanalysen erkunden.
Business Continuity Management. Um den Kontext im BSC Designer herzustellen:
- Kopieren Sie das Quellobjekt (z. B. relevantes Szenario) in die Zwischenablage.
- Wählen Sie das Zielobjekt aus (z. B. Vorfall, der vom Szenario abgedeckt wird).
- Fügen Sie aus der Zwischenablage ein und wählen Sie zwischen ‚Verknüpfung nach Kontext‘ oder ‚Verknüpfung nach Daten‘.
Kontextuelle Verbindungen werden auf der Registerkarte ‚Kontext‘ für beide Elemente verfügbar sein.
Um zwischen den Elementen zu navigieren, doppelklicken Sie auf die relevante Verbindung.
Mit derselben Logik können Reaktionsstrategien mit dedizierten Strategie-Scorecards auf Vorfälle, Risikoanalysen und kritische Geschäftselemente abgestimmt werden.
Eine Strategie-Scorecard für Krisenreaktion: COVID-19 als Beispiel
Die Geschäftskontinuitätsstrategie stellt die allgemeine Bereitschaft einer Organisation für ein Krisenereignis sicher. Abhängig vom Ausmaß der Krise kann eine spezifische Reaktionsstrategie entwickelt werden. Die COVID-19-Pandemie war ein solches Beispiel, bei dem eine solche Strategie half, die Bemühungen zu fokussieren und die strategische Ausrichtung sicherzustellen.
Lassen Sie uns die COVID-19-Strategie als Beispiel für eine Krisenreaktionsstrategie überprüfen. Die Strategie-Scorecard folgte dem klassischen Balanced-Scorecard-Ansatz:
Covid-19 Strategie-Scorecard. In der Perspektive Lernen und Wachstum konzentrieren wir uns auf die Fähigkeiten und die Infrastruktur, die zur Umsetzung der Geschäftskontinuitätsstrategie benötigt werden:
- Schulung der Mitarbeiter zu COVID-19 (gemessen durch Frühindikator „Durchdringung des Bewusstseinsprogramms, %“ und Spätindikator „% der tatsächlich umgesetzten Praktiken„)
- Durchführung globaler Szenarioplanung (mit einigen spezifischen abgestimmten Initiativen)
- Abstimmung der IT-Systeme auf die Herausforderungen der Fernarbeit
- Einführung der Mitarbeiter in die Prinzipien der Fernarbeit
In der internen Perspektive formulieren wir die Ziele im Zusammenhang mit den internen Geschäftssystemen, die helfen werden, die Geschäftskontinuitätsstrategie effektiv umzusetzen:
- Schutz der Belegschaft
- Stabilisierung der Lieferkette
- Information der Interessengruppen
- Implementierung von Fernarbeit (einschließlich Strategiebesprechungen für ein verteiltes Team)
In der Perspektive der Interessengruppen konzentrieren wir uns auf die Bedürfnisse unserer Interessengruppen (Mitarbeiter, Kunden, Partner). Hierzu gehören Ziele wie:
- Abschätzung der Auswirkungen auf den Gesundheitsbedarf
- Abschätzung der Auswirkungen auf den Bildungsbedarf
- Abschätzung der Auswirkungen auf den täglichen Bedarf
Ein weiterer wichtiger Interessengruppen ist die Gemeinschaft und ihre Bedürfnisse. Wenn Sie eine spezielle Scorecard für gemeinnützige Organisationen haben, finden Sie dort ein ähnliches Ziel.
Die Vorlage für die Geschäftskontinuitätsstrategie enthält mehrere Initiativen, die mit dem Ziel „Bedürfnisse der Gemeinschaft“ abgestimmt sind. Diese Initiativen beschreiben mögliche Wege, wie eine Organisation beitragen kann:
- Umwidmung von Produktionslinien. Zum Beispiel beginnt Inditex, Eigentümer der Einzelhandelskette Zara, mit der Herstellung von Krankenhauskitteln.
- Umwidmung von Produkten und Dienstleistungen. Beispielsweise spendet Decathlon Schnorchelmasken an Krankenhäuser. Die Splendid der MSC Group wurde in ein Hospitalschiff umgewandelt.
- Beitrag zur sozialen Distanzierung. Zum Beispiel erlaubt die Tschechische Post das Versenden von kostenlosem Einschreiben über ihre „Datová schránka“ während der Dauer des ausgerufenen Notstands.
Aufgrund von Reisebeschränkungen haben viele Unternehmen von persönlichen Veranstaltungsformaten auf Online-Veranstaltungen umgestellt. Während die Kosten für Streaming-Plattformen niedriger sind, müssen Organisationen um die Aufmerksamkeit der Teilnehmer kämpfen. In diesem Artikel teilen wir unseren Ansatz zu Online-Veranstaltungen, der sich als stabil in Bezug auf Kundenengagement und langfristige Geschäftsauswirkungen erwiesen hat.
Schließlich kartieren wir in der Finanzperspektive die relevanten finanziellen Ziele und erwarteten Ergebnisse. In diesem Fall sprechen wir über:
- Auswirkungen auf den Umsatz
- Anwendbare Versicherungspolicen
Nutzen Sie Business Continuity Management Vorlage
BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:
- Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
- Verwenden Sie die
Business Continuity Management Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen. - Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.
Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!
Alexis ist ein Senior Strategy Consultant und CEO bei BSC Designer mit über 20 Jahren Erfahrung in der strategischen Planung. Alexis hat das „5-Schritte-Strategie-Implementierungssystem“ entwickelt, das Unternehmen bei der praktischen Umsetzung ihrer Strategien unterstützt. Er ist regelmäßiger Redner auf Industriekonferenzen und hat über 100 Artikel über Strategie und Leistungsmanagement veröffentlicht, darunter das Buch „10-Step KPI System“. Seine Arbeit wird häufig in der akademischen Forschung zitiert.