Wie Unternehmen planvoll Katastrophen abfedern lernen

Business Continuity Management leicht gemacht

22.05.2007 von Werner Kurzlechner
Wenn der größte anzunehmende Unfall passiert, steht die Existenz des Unternehmens auf dem Spiel. Jedenfalls dann, wenn keine Mechanismen greifen, die das Unheil abfedern. Business Continuity Management(BCM) heißt im Wirtschafts-Jargon das Geflecht aus Prozessen, das den Zusammenbruch verhindern soll. Eine anspruchsvolle Aufgabe, für die die Berater von Detecon jetzt einen Leitfaden anbieten.
BCM im Überblick.

Die Notwendigkeit für BCM ergibt sich aus einem Wust wachsender und sich rasch verändernder Bedrohungen. Die Folge: Mit schlichten Gegenmaßnahmen ist es nicht getan. Die können nämlich längst zahnlos sein, wenn der Ernstfall eintritt. Deshalb ist abzuklopfen, ob sie noch greifen.

BCM ist also ein stetiger, dynamischer Prozess. Es liegt an den Unternehmen zu entscheiden, wie viel sie dafür investieren wollen. Detecon macht in seinem Papier indes deutlich, dass es ein Minimum an BCM gibt. Wer darunter bleibt, geht Risiken ein.

Vielleicht halten sich manche Firmen auch einfach deshalb zurück, weil ihnen der Überblick fehlt. Deshalb definiert Autorin Beate Meiß erst einmal die Ziele: Transparenz, bewusste und nachvollziehbare Risiko-Abwägung und eine angemessene BCM-Budgetierung.

Der BCM-Prozess selbst läuft auf zwei Ebenen ab: einer allgemeinen, auf der sich die operativen Aktivitäten aneinander reihen, und einer übergeordneten Beobachtungs-Ebene. Dort werden die Abläufe überwacht, hier sind Monitoring und Governance angesiedelt - ohne funktioniert BCM nicht.

Zwei entscheidende Größen: RTO und RPO.

Der Basis-Prozess beginnt mit Business Impact Analysis (BIA) und Risk Assessment (RA). Ein zentrales Element dabei sind Recovery Time Objective (RTO) und Recovery Point Objective (RPO), die in Absprache mit dem Firmen-Inhaber festzusetzen sind. Beim RPO geht es um den maximalen Zeitraum zwischen letztem Daten-Update und Katastrophen-Beginn, beim RTO um die höchstens verstreichende Zeit, bis alles wieder rund läuft.

CIO, COO und CFO arbeiten zusammen

In diesem ersten Stadium schärft sich auch das Bewusstsein über die Auswirkungen verschiedener Störfälle auf das Unternehmen. Mindestens drei Felder sind zu berücksichtigen: finanzielle Einbußen, Image-Schäden und rechtliche Konsequenzen.

Sind die Risiken identifiziert und analysiert, können maßgeschneiderte Lösungen entwickelt und implementiert werden. Die Komplexität von BCM zeigt sich darin, dass verschiedenste Abteilungen zusammenarbeiten; auf Vorstandsebene wären beispielsweise COO, CFO und CIO beteiligt.

Die "BCM Guideline: BCM Process development and implementation" kann auf der Website von Detecon heruntergeladen werden.