How-To: Effectively Scope Your Business Continuity Program

Zu Beginn der Entwicklung eines Business-Continuity-Programms kann eine sorgfältige, pragmatische Planung den Unterschied zwischen einem schnellen und angemessenen Erfolg und einem nicht enden wollenden Planungsaufwand mit geringen Möglichkeiten ausmachen. Anstatt sich jedoch die Zeit zu nehmen, den Umfang und die Prioritäten der Business-Continuity-Maßnahmen sorgfältig festzulegen (und die entsprechenden Ressourcen bereitzustellen), verfolgen Unternehmen bei der Planung häufig einen "Alles-oder-Nichts"-Ansatz - sie planen für jedes "Kästchen im Organigramm", jede Einrichtung, jede Anwendung und jede Ressource. Viele Unternehmen erkennen nicht, dass die Geschäftskontinuität zunächst auf die kritischsten/zeitsensiblen Produkte und Dienstleistungen eines Unternehmens ausgerichtet sein kann und oft auch sein sollte und erst im Laufe der Zeit auf andere Teile des Unternehmens ausgedehnt wird.

Ein angemessener Umfang ermöglicht es einer Organisation, effizient für einen Störfall zu planen. Darüber hinaus kann ein Unternehmen bei der anfänglichen Implementierung von Business Continuity Prioritäten für kritische Produkte und Dienstleistungen setzen und das Programm im Laufe der Zeit auf weniger kritische Bereiche ausweiten. Im Idealfall legt ein Unternehmen den Umfang der Geschäftskontinuität auf der Grundlage der folgenden Faktoren fest, die im weiteren Verlauf dieses Beitrags noch detaillierter erläutert werden:

Anforderungen der Stakeholder
Produkte und Dienstleistungen
Risikoappetit

Anforderungen verstehen
Am wichtigsten ist, dass ein effektiv geplantes Business-Continuity-Programm die Anforderungen der Interessengruppen berücksichtigt. Zu den Stakeholdern gehören Kunden, Aufsichtsbehörden, das Management und andere interessierte Parteien. Jede Stakeholder-Gruppe hat Erwartungen, und um effektiv zu sein, sollte die Geschäftskontinuität eine Organisation vor der Verletzung dieser Erwartungen schützen. Daher sollte eine Organisation ihr Business-Continuity-Programm so gestalten, dass es sie vor den Auswirkungen einer Verletzung wichtiger Anforderungen schützt, wie z. B.:

Vertragliche Verpflichtungen (Service Level Agreements)
Regulatorische Anforderungen
Kundenversprechen
Verpflichtungen der Mitarbeiter
Gesundheits-/Sicherheitsanforderungen

Obwohl die Anforderungen aufgrund einer Reihe von Faktoren sehr unterschiedlich sind, ist es für eine Organisation äußerst schwierig, Prioritäten zu setzen, geschweige denn ein effektives Business-Continuity-Programm aufzubauen und aufrechtzuerhalten, wenn sie ihre Anforderungen nicht kennt. Sobald die Anforderungen bekannt sind, kann ein Unternehmen spezifische und angemessene Ziele für die Geschäftskontinuität dokumentieren.

Definieren Sie Produkte und Dienstleistungen
Nachdem eine Organisation ihre Verpflichtungen verstanden und Ziele für die Geschäftskontinuität festgelegt hat, kann sie mit dem Scoping fortfahren, indem sie ihre Produkte und Dienstleistungen (vorteilhafte Ergebnisse, die eine Organisation ihren Kunden, Empfängern und interessierten Parteien zur Verfügung stellt - ISO 22301) für jede relevante Stakeholder-Gruppe versteht und bewertet. Die Definition von Produkten und Dienstleistungen ist ein effektiver Weg, um den Scoping-Aufwand auf strategischer Ebene zu bewältigen, denn Produkte und Dienstleistungen sind für Management, Mitarbeiter, Aufsichtsbehörden und Kunden gleichermaßen leicht verständlich. Sie schaffen Wert! Nachdem eine Organisation eine Bestandsaufnahme ihrer Produkte und Dienstleistungen vorgenommen hat, muss sie feststellen, ob eine Unterbrechung jedes einzelnen Produkts und jeder einzelnen Dienstleistung dazu führen würde, dass die Anforderungen der Organisation und/oder die Ziele der Geschäftskontinuität (wie oben beschrieben) nicht mehr erfüllt werden können oder unannehmbare Konsequenzen nach sich ziehen würden. Diejenigen Produkte und Dienstleistungen, deren Unterbrechung zu verpassten Verpflichtungen oder inakzeptablen Folgen führen würde, sollten zusammen mit allen unterstützenden Abteilungen, Aktivitäten und Ressourcen in den Anwendungsbereich aufgenommen werden.

Sobald die Organisation eine Liste von Produkten und Dienstleistungen festgelegt hat, die in den Geltungsbereich fallen, kann und sollte sie das Organigramm aufrufen und damit beginnen, die Abteilungen oder Geschäftsbereiche diesen Produkten und Dienstleistungen zuzuordnen (wobei zu beachten ist, dass nicht jede Abteilung einbezogen werden kann). Diese Übung ermöglicht es einer Organisation, die kritischen Geschäftsbereiche zu verstehen und nach Prioritäten zu ordnen, die durch Business Continuity abgedeckt werden müssen, und gibt auch Aufschluss über die Zeit und die Ressourcen, die für die Implementierung von Business Continuity erforderlich sind. Nach Abschluss dieser Übung sollte eine Organisation ein Verständnis für die in Frage kommenden Produkte und Dienstleistungen sowie eine Liste oder "Karte" der Abteilungen haben, die diese Produkte und Dienstleistungen unterstützen oder bereitstellen.

Die folgende Grafik veranschaulicht die Beziehung zwischen Produkten und Dienstleistungen, Abteilungen, Aktivitäten und Ressourcen. Hinweis: Avalution empfiehlt die Identifizierung von Aktivitäten und Ressourcen während der Analyse der Auswirkungen auf die Geschäftstätigkeitnicht während des Scopings.

Definition der Risikobereitschaft
Zu diesem Zeitpunkt des Scopings sollte eine Organisation ein klares Verständnis der Anforderungen und Ziele der Geschäftskontinuität sowie eine erste Bestandsaufnahme der in Frage kommenden Produkte, Dienstleistungen und Abteilungen haben.

Die letzte Aktivität im Scoping-Prozess ist die Festlegung der Risikobereitschaft einer Organisation (die Auswirkungen, die eine Organisation nicht zu tolerieren bereit ist oder die als inakzeptabel angesehen werden). Um einen Konsens zu diesem Thema zu erreichen, sollte eine Organisation die Informationen aus den beiden vorangegangenen Aktivitäten nutzen und der Geschäftsleitung die potenziellen Auswirkungen präsentieren, die mit der Unfähigkeit verbunden sind, Produkte und Dienstleistungen im Rahmen des Scopings zu liefern. Die Unternehmensleitung sollte daraufhin angeben, welche Auswirkungen inakzeptabel sind und wie viel Ausfallzeit die Organisation zu tolerieren bereit ist.

Obwohl die potenziellen Auswirkungen je nach Unternehmen und Branche variieren, sind die folgenden Kategorien ein guter Ausgangspunkt für das Verständnis und die Definition der potenziellen Auswirkungen eines Störfalls:

Regulatorische Auswirkungen
Rechtliche und/oder vertragliche Auswirkungen
Auswirkungen auf die Kunden
Finanzielle Auswirkungen
Operative Auswirkungen
Auswirkungen auf die Reputation

Auf der Grundlage von Leitlinien der Geschäftsleitung kann eine Organisation ihre Risikobereitschaft formell definieren und dokumentieren, indem sie Kriterien verwendet, die Auswirkungen beschreiben, die nicht akzeptabel sind. Ausfallzeiten im Zusammenhang mit Produkten und Dienstleistungen, Abteilungen und Ressourcen, die die Risikobereitschaft einer Organisation überschreiten können, sollten in den Anwendungsbereich des Business Continuity-Programms fallen.

Schlussfolgerung
Auf der Grundlage von Anforderungen und Verpflichtungen, der Bedeutung der Produkte und Dienstleistungen des Unternehmens und einer dokumentierten Risikobereitschaft kann ein Unternehmen eine formelle Erklärung zum Umfang dokumentieren, in der die Grenzen der Bemühungen um Business Continuity festgelegt werden.

Unternehmen entwickeln oder versuchen oft, Business-Continuity-Programme aufrechtzuerhalten, ohne den Umfang des Programms formal zu verstehen oder zu definieren. Dies führt zu einer Vielzahl von Problemen, wie z. B. der falschen Zuweisung von Ressourcen, schlecht definierten Bereitschaftszielen, der Unfähigkeit, Wiederherstellungsstrategien aufrechtzuerhalten, und Schwierigkeiten bei der Durchsetzung von Richtlinien. Ein effektives Scoping sorgt nicht nur für eine Fokussierung, sondern formalisiert auch die Ziele der Geschäftskontinuität, definiert die Produkte und Dienstleistungen, die in den Anwendungsbereich fallen, und erleichtert die Vereinbarung über die Risikobereitschaft.

Einfach ausgedrückt: Ein effektives Scoping ist eine der sichersten Methoden, um ineffektive Business-Continuity-Programme zu verhindern (oder zu beheben) und den Umfang eines Programms mit den Erwartungen der Stakeholder in Einklang zu bringen.

Geschäftskontinuität und IT-Disaster-Recovery-Planung ist alles, was wir tun. Wenn Sie Hilfe beim Aufbau oder der Verbesserung Ihres Business-Continuity-Programms suchen, können wir Ihnen helfen.

Bereit zum Gespräch?

Verbinden Sie sich mit uns.

Teilen Sie dies, wählen Sie Ihre Plattform!

Verwandte Beiträge

Was ist Business Continuity - und was kann es für Sie tun?

Business Continuity und ESG: Warum es Zeit ist, zusammenzuarbeiten

Beziehungen im Risiko: Die Verbindung zwischen Geschäftskontinuität und ESG

Bereit zum Gespräch?

Verbinden Sie sich mit uns.