Business Continuity Management (BCM) stellt sicher, dass kritische Funktionen einer Organisation betriebsfähig bleiben, um die Auswirkungen von Unterbrechungen auf Interessengruppen zu minimieren. Lassen Sie uns die praktischen Schritte zur Implementierung von Business Continuity Management im Kontext der strategischen Planung erkunden.
Business Continuity Management. Ein Ansatz für das Business Continuity Management gemäß ISO 22301 umfasst:
- Identifizieren von kritischen Geschäftselementen
- Analyse von Bedrohungen und Risiken
- Erstellen von Präventions- und Reaktionsplänen, einschließlich Schulungen und Simulationen
- Verfolgen und Lernen aus Vorfällen
Um diese Elemente in die strategische Planung zu integrieren:
- Wir werden eine wertbasierte Zerlegungsmethode anwenden
- Strategien und Pläne mit Leistungskennzahlen quantifizieren
- Handlungsfähige Aufzeichnungen in Form von Initiativen, Risiken und Kommentaren führen
Identifikation der Kritischen Geschäftselemente
Unser Ziel ist es, wichtige Geschäftselemente zu identifizieren, die für die Geschäftskontinuität entscheidend sind. Wir verwenden die folgenden Perspektiven als Ausgangspunkt:
- Informationssysteme
- Einrichtungen und Standorte
- Partner und Interessengruppen
- Personalwesen
- Physische Vermögenswerte
- Finanzielle Ressourcen
Business Continuity Management. Sobald die Elemente und Unterelemente definiert sind, können wir ihre Anfälligkeit für Risikoevents quantifizieren, indem wir Wiederherstellungszeitziele (RTO) festlegen.
Für das Wiederherstellungszeitziel definieren wir:
- Maßeinheiten (z.B. Stunden oder Tage)
- Die „Basislinie“ als die katastrophale Wiederherstellungszeit
- Das „Ziel“ als die gewünschte Wiederherstellungszeit
- Den aktuellen Wert als die geschätzte Wiederherstellungszeit basierend auf vorhandenen Technologien und Richtlinien
Business Continuity Management. Mit diesen Daten können wir die Leistung jedes Geschäftselements in Bezug auf Anfälligkeit oder Bereitschaft im Falle eines Notfalls berechnen.
In diesem Kontext:
- Ein niedrigerer Wert (z.B. schnellere Wiederherstellungszeit) führt zu höherer Leistung
- Die Leistungsfunktion sollte nicht linear sein; der ausgedehnte Bereich neben der „katastrophalen“ Basislinie sollte die rote Zone sein
Business Continuity Management. In BSC Designer:
- Definieren Sie die erforderliche Wiederherstellungsbasislinie, das Ziel und den aktuellen Wert auf der Registerkarte Daten.
- Verwenden Sie die Funktion „Exponentieller Abfall“, um eine Leistungsfunktion mit einer relativ kleinen grünen Zone für Wiederherstellungszeiten nahe dem Ziel und einer signifikanten roten Zone für längere Wiederherstellungszeiten zu erstellen.
Die Software ermöglicht die Verfolgung von RTOs für jedes Geschäftselement im Laufe der Zeit.
Bedrohungs- und Risikoanalyse
Analysieren Sie potenzielle Bedrohungen, indem Sie diese Perspektiven als Ausgangspunkt verwenden:
- Betrieblich
- Technologisch
- Wirtschaftlich
- Belegschaft
- Sicherheit und Schutz
- Umwelt
- Ruf
- Rechtlich
Für jede relevante Bedrohung führen Sie eine Zerlegung in spezifische Risiken durch und führen Sie eine Business Impact Analysis (BIA) durch.
Business Continuity Management. Zum Beispiel können Sie technologische Bedrohungen in ‚Cybersecurity-Bedrohungen‘ und weiter in einen ‚Ransomware-Angriff‘ aufschlüsseln.
Das Risiko kann in diesem Fall durch eine einfache Risikobewertungsformel quantifiziert werden, wie zum Beispiel Wahrscheinlichkeit multipliziert mit Auswirkung. Verschiedene Wege zur Definition von Risiken wurden in einem separaten Artikel diskutiert.
Reaktionsszenarien
Entwickeln Sie Reaktionsszenarien für Bedrohungen mit den höchsten Risikobewertungsnoten.
Ein typisches Szenario umfasst:
- Geschäftskontinuitätspläne (Prävention, Reaktion, Wiederherstellung)
- Kommunikationsplan
- Schulungs- und Testpläne
Diese Pläne können quantifiziert werden durch:
Regelmäßige Aktualisierungskennzahl
Schulungsabdeckung
Simulationen / Übungen Erfolg
Business Continuity Management. Betrachten Sie ‚Szenario 1 – Ransomware-Angriff‘, das unterteilt ist in:
- Geschäftskontinuitätspläne
- Schulung und Test
Der Abschnitt ‚Geschäftskontinuitätspläne‘ umfasst mehrere Initiativen:
- Präventionsstrategie
- Reaktionsstrategie
- Wiederherstellungsstrategie
- Kommunikationspläne
Innerhalb der ‚Kommunikationspläne‘ quantifiziert die Kennzahl ‚Plan regelmäßig überarbeitet‘ die Häufigkeit der Aktualisierungen. Der Kennzahlinhaber erhält regelmäßige Erinnerungen, die Kommunikationspläne zu überarbeiten, um sicherzustellen, dass Ansprechpartner und deren Details aktuell bleiben.
Business Continuity Management. Um die Effektivität der ‚Reaktionsstrategie‘-Initiative zu validieren, quantifizieren wir sie mit dem Indikator ‚Simulationen / Übungen‘.
Der Abschnitt ‚Schulung und Test‘ umfasst die Initiative ‚Phishing-Angriff-Training und Simulation‘ sowie zwei Kennzahlen:
- Schulungsabdeckung
- Simulationen / Übungen
Während diese Kontinuitätspläne als Initiativen präsentiert werden, ist eine weitere Aufschlüsselung möglich. Wir können sie in spezifischere Unterziele und Kennzahlen unterteilen.
Kartierung von Vorfällen oder Störungen
Um aktive Vorfälle zu kartieren, fügen Sie Störungsdetails und eine Ursachenanalyse hinzu.
Um die Auswirkungen zu quantifizieren, können wir den gewichteten Impact-Bewertungsindex verwenden, der aus folgenden Bestandteilen besteht:
Finanzielle Auswirkungen
Auswirkungen auf Kundenbeziehungen (quantifiziert als Prozentsatz der betroffenen Kunden)
Auswirkungen auf den Betrieb (quantifiziert als Prozentsatz der betroffenen kritischen Abläufe)
Rechtliche und Compliance-Auswirkungen (quantifiziert durch Geldstrafen und andere rechtliche Konsequenzen)
Langfristige Reputationsauswirkungen (quantifiziert als Prozentsatz der Kunden, die über einen Zeitraum von einem Jahr aufgrund der Krise verloren gingen)
Business Continuity Management. Um diesen Index auf der BSC Designer-Plattform zu automatisieren, sollten Sie die Synchronisieren von Vorlagen-Funktion in Betracht ziehen, die es ermöglicht, die Kriterien zur Impact-Quantifizierung mit der festgelegten Vorlage synchronisiert zu halten.
Nach der Behebung eines Vorfalls:
- Aktualisieren Sie das Abschlussdatum im Element ‚Störungsdetails und Analyse‘
- Ändern Sie seinen Status auf ‚Abgeschlossen‘
- Kartieren Sie gewonnene Erkenntnisse und Verbesserungsinitiativen
- Verschieben Sie die Gruppe ‚Vorfall 1‘ in den Abschnitt ‚Vergangene Vorfälle‘.
Vererbung und Aktualisierungsintervalle für Indikatoren
Je nach Art der Quantifizierung müssen Indikatoren im Business-Continuity-Scorecard auf verschiedene Weise konfiguriert werden.
Metriken Erben Vorherige Werte (Geerbt)
Indikatoren, die das RTO (Recovery Time Objective) quantifizieren, sind so eingestellt, dass sie geerbte Werte verwenden. In der Praxis bedeutet dies, dass das für das aktuelle Jahr definierte RTO automatisch für das nächste Jahr übernommen wird, es sei denn, es wird neu definiert. Das Aktualisierungsintervall für diese Indikatoren ist auf jährliche oder halbjährliche Aktualisierungen festgelegt.
Auch die Indikatoren zur Quantifizierung der BIA (Business Impact Analysis) sind so konfiguriert, dass sie geerbte Werte verwenden. Die Aktualisierungsintervalle können in diesem Fall entsprechend der erwarteten Dynamik der Bedrohung angepasst werden, wobei monatliche Intervalle für dynamischere Bedrohungen und vierteljährliche/jährliche Intervalle für stabile Bedrohungen verwendet werden.
Business Continuity Management. Metriken, die vorherige Werte (Eingegebene Werte) nicht wiederverwenden
Metriken zur Quantifizierung von Geschäftskontinuitätsplänen, wie ‚regelmäßig überarbeitete Pläne‘, ‚Trainingsabdeckung‘ und ‚Simulationsübungen‘, sind für quartalsweise oder jährliche Aktualisierungsintervalle konfiguriert. Die Vererbungsoption ist in diesem Fall als ‚Eingegebene Werte verwenden‚ konfiguriert, was bedeutet, dass wir den vorherigen Wert für die nächste Periode nicht wiederverwenden.
Zum Beispiel, wenn Pläne für das laufende Jahr als überarbeitet markiert sind, müssten wir für das nächste Jahr die Pläne erneut überarbeiten und den Zustand der entsprechenden Metrik aktualisieren.
Metriken Ohne Geplantes Update
Schließlich wird das Aktualisierungsintervall der Metriken, die zur Bewertung der Auswirkungen von Vorfällen verwendet werden, als ‚Niemals‚ konfiguriert, was darauf hinweist, dass wir daran interessiert sind, nur den aktuellen Zustand des Indikators zu erfassen, ohne die Absicht, seine Entwicklung im Laufe der Zeit zu überwachen.
Verknüpfung durch Kontext und Daten
Das grundlegende Konzept des Business Continuity Managements beinhaltet die Herstellung von Verbindungen zwischen:
- Kritischen Geschäftselementen
- Bedrohungen und Risiken
- Szenarien
- Tatsächlichen Vorfällen
Durch die Schaffung dieser Verbindungen statten wir unser Team mit allen notwendigen Details aus, um effektiv auf Bedrohungen zu reagieren und aus Vorfällen zu lernen.
Um dieses Konzept in der strategischen Planung umzusetzen, verknüpfen wir alle genannten Elemente durch den Kontext. Auf diese Weise können wir von tatsächlichen Vorfällen zu den entsprechenden Szenarien navigieren und, falls erforderlich, Bedrohungen und Risikoanalysen erkunden.
Business Continuity Management. Um den Kontext im BSC Designer herzustellen:
- Kopieren Sie das Quellobjekt (z. B. relevantes Szenario) in die Zwischenablage.
- Wählen Sie das Zielobjekt (z. B. Vorfall, der durch das Szenario abgedeckt wird).
- Fügen Sie aus der Zwischenablage ein und wählen Sie zwischen ‚Verknüpfung durch Kontext‘ oder ‚Verknüpfung durch Daten‘.
Kontextuelle Verbindungen werden auf der Registerkarte ‚Kontext‘ für beide Elemente verfügbar sein.
Um zwischen den Elementen zu navigieren, doppelklicken Sie auf die relevante Verbindung.
Durch die Anwendung derselben Logik können Reaktionsstrategien mit dedizierten Strategien-Scorecards in Einklang gebracht werden mit Vorfällen, Risikobewertungen und kritischen Geschäftselementen.
Eine Strategie-Scorecard für die Krisenreaktion: Am Beispiel von COVID-19
Eine Strategie für Geschäftskontinuität gewährleistet die allgemeine Bereitschaft einer Organisation für ein Krisenereignis. Abhängig vom Umfang der Krise kann eine spezifische Reaktionsstrategie entwickelt werden. Die COVID-19-Pandemie war ein solches Beispiel, bei dem eine solche Strategie half, die Anstrengungen zu fokussieren und die strategische Ausrichtung sicherzustellen.
Lassen Sie uns die COVID-19-Strategie als Beispiel für eine Krisenreaktionsstrategie überprüfen. Die Strategie-Scorecard folgte dem klassischen Balanced Scorecard-Ansatz:
Covid-19 Strategy Scorecard. In der Perspektive Lernen und Wachstum konzentrieren wir uns auf die Fähigkeiten und die Infrastruktur, die zur Umsetzung der Geschäftskontinuitätsstrategie erforderlich sind:
- Schulung der Mitarbeiter zu COVID-19 (gemessen am Frühindikator „Durchdringung des Bewusstseinsprogramms, %“ und Spätindikator „% der tatsächlich umgesetzten Praktiken„)
- Durchführung globaler Szenarienplanung (mit einigen spezifischen abgestimmten Initiativen)
- Anpassung der IT-Systeme an die Herausforderungen der Fernarbeit
- Einführung der Mitarbeiter in die Prinzipien der Fernarbeit
In der internen Perspektive formulieren wir die Ziele in Bezug auf die internen Geschäftssysteme, die helfen werden, die Geschäftskontinuitätsstrategie effektiv umzusetzen:
- Schutz der Belegschaft
- Stabilisierung der Lieferkette
- Information der Stakeholder
- Umsetzung der Fernarbeit (einschließlich Strategiemeetings für ein verteiltes Team)
In der Perspektive der Stakeholder konzentrieren wir uns auf die Bedürfnisse unserer Stakeholder (Mitarbeiter, Kunden, Partner). Hier legen wir Ziele wie folgt fest:
- Antizipation der Auswirkungen auf die Gesundheitsbedürfnisse
- Antizipation der Auswirkungen auf die Bildungsbedürfnisse
- Antizipation der Auswirkungen auf die täglichen Bedürfnisse
Ein weiterer wichtiger Stakeholder ist die Gemeinschaft und ihre Bedürfnisse. Wenn Sie eine spezielle Scorecard für gemeinnützige Organisationen haben, werden Sie dort ein ähnliches Ziel finden.
Die Vorlage der Geschäftskontinuitätsstrategie-Map enthält mehrere Initiativen, die mit dem Ziel „Bedürfnisse der Gemeinschaft“ abgestimmt sind. Diese Initiativen beschreiben mögliche Wege, wie eine Organisation beitragen kann:
- Umwidmung von Produktionslinien. Zum Beispiel beginnt Inditex, Eigentümer der Einzelhandelskette Zara, mit der Herstellung von Krankenhauskitteln.
- Umwidmung von Produkten und Dienstleistungen. Zum Beispiel spendet Decathlon Schnorchelmasken an Krankenhäuser. Die MSC Group’s Splendid wurde in ein Hospitalschiff umgewandelt.
- Beitrag zur sozialen Distanzierung. Zum Beispiel ermöglicht die Tschechische Post das kostenlose Versenden von Einschreiben über ihre „Datová schránka“ während der Dauer des erklärten Notfalls.
Aufgrund von Reisebeschränkungen haben viele Unternehmen von persönlichen Veranstaltungsformaten auf Online-Events umgestellt. Während die Kosten für Streaming-Plattformen niedriger sind, müssen Organisationen um die Aufmerksamkeit der Teilnehmer kämpfen. In diesem Artikel teilen wir unseren Ansatz zu Online-Events, der sich in Bezug auf Kundenbindung und langfristige Geschäftsauswirkungen als stabil erwiesen hat.
Schließlich kartieren wir in der Finanzperspektive die relevanten finanziellen Ziele und erwarteten Ergebnisse. In diesem Fall sprechen wir über:
- Auswirkungen auf den Umsatz
- Anwendbare Versicherungspolicen
Nutzen Sie Business Continuity Management Vorlage
BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:
- Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
- Verwenden Sie die
Business Continuity Management Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen. - Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.
Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!
Alexis ist Senior Strategy Consultant und CEO bei BSC Designer mit über 20 Jahren Erfahrung in der strategischen Planung. Mit einem Hintergrund in angewandter Mathematik und Informationstechnologie bringt er eine starke analytische und systemorientierte Perspektive in die Strategie- und Leistungsmanagement ein. Alexis entwickelte das „5-Schritte-Strategie-Implementierungssystem“, das Unternehmen bei der praktischen Umsetzung ihrer Strategien unterstützt. Er ist regelmäßiger Redner auf Branchenkonferenzen und hat mehr als 100 Artikel über Strategie- und Leistungsmanagement sowie das Buch „10-Schritte-KPI-System“ geschrieben. Seine Arbeit wird häufig in der akademischen Forschung zitiert.