Plan Do Check Act (PDCA) - Anwendung auf die Geschäftskontinuität

Die Business-Continuity-Branche hat in letzter Zeit viel von Plan, Do, Check Act (PDCA) gehört. Nahezu jeder neue Standard folgt diesem Ansatz, von BS 25999 und NFPA 1600 (Ausgabe 2010) bis hin zum neuen amerikanischen Business-Continuity-Standard, der von ASIS erstellt wird. Es scheint jedoch viel Verwirrung darüber zu herrschen, was PDCA ist - und was es bedeutet für Geschäftskontinuität.

Das PDCA-Modell ist der Grundbaustein eines Managementsystems, das sich darauf konzentriert, die Entscheidungsfindung auf Managementebene in traditionelle Programmpraktiken zu integrieren. Die "traditionellen" Aktivitäten des Business Continuity-Programms, wie z. B. die Analyse der Auswirkungen auf das Geschäft und die Entwicklung eines Plans, fallen meist in eine der Kategorien ("do") - siehe Abbildung 1 -, aber der Wert des PDCA-Modells besteht darin, dass diese Aktivitäten durch Input und Feedback des Managements begleitet werden, wodurch eine kontinuierliche Verbesserung gewährleistet wird. In den folgenden Abschnitten werden die Komponenten eines PDCA-Ansatzes für die Geschäftskontinuität aufgeschlüsselt, wobei der Schwerpunkt auf den Aktivitäten liegt, die dem Programm Ihrer Organisation den größten Nutzen bringen.

Plan

Der "Plan"-Prozess legt Ziele, Vorgaben, Kontrollen, Prozesse und Verfahren für das Programm fest, um Ergebnisse in Übereinstimmung mit den allgemeinen Richtlinien und Zielen einer Organisation zu erzielen. In Bezug auf die Geschäftskontinuität beinhaltet dies die Definition des Programms für das Geschäftskontinuitätsmanagement, einschließlich der Festlegung von Standards, der Erstellung einer Grundsatzerklärung, der Ernennung eines Programmsponsors und eines Lenkungsausschusses sowie der Festlegung eines anfänglichen Programmumfangs und einer Risikotoleranz.

Eine der wichtigsten "Plan"-Aktivitäten besteht darin, dass die Geschäftsleitung festlegt, was sie im Rahmen ihres Business-Continuity-Programms schützen und wiederherstellen möchte. Diese werden in der Regel als "kritische Produkte und Dienstleistungen" bezeichnet. Die Formulierung der Hauptziele des Business-Continuity-Programms als wichtige organisatorische Ergebnisse trägt dazu bei, das Business-Continuity-Programm in der Sprache der Geschäftsleitung zu positionieren und so das Verständnis, die Unterstützung und die Beteiligung der Geschäftsleitung zu gewinnen.

Do

Der "Do"-Prozess implementiert und betreibt die Geschäftskontinuitätspolitik, Kontrollen, Prozesse und Verfahren. Dies umfasst eine Reihe von Maßnahmen zum Verständnis, zur Strategieentwicklung, zur Planung und zum Testen der Organisation für Business-Continuity-Ereignisse.

Wie bereits erwähnt, werden im "Do"-Prozess die üblichen Aufgaben der Geschäftskontinuität durchgeführt. Der erste Schritt im "Do"-Prozess ist die Durchführung einer Geschäftsauswirkungsanalyse (Business Impact Analysis, BIA) und einer Risikobewertung. Die Analyse der Auswirkungen auf das Geschäft ordnet kritische Produkte und Dienstleistungen den einzelnen Abteilungen und Tätigkeiten zu und versucht, Wiederherstellungsziele für jede Abteilung zu ermitteln. Der Zweck der Risikobewertung besteht darin, die Folgen von Störungsereignissen und die Eignung aktueller Kontrollen zur Verhinderung von Störungsereignissen zu beschreiben sowie Empfehlungen für Kontrollen abzugeben, die mit der Risikotoleranz des Unternehmens in Einklang stehen.

Der zweite Schritt ist die Identifizierung von Optionen zur Risikominderung, Reaktions- und Wiederherstellungsstrategien und - nach der Auswahl - die Umsetzung dieser Risikobehandlungen. Der dritte Schritt besteht in der Ausarbeitung von Planunterlagen, die so verfasst sein sollten, dass die Reaktions- und Wiederherstellungsmaßnahmen unabhängig von der Erfahrung der Person, die die Maßnahmen durchführt, wiederholt werden können. Der letzte Schritt ist die organisationsweite Schulung und Validierung von Strategien und Plänen durch Übungen sowie die Einleitung von Aktivitäten zur Programmpflege.

Siehe

Der "Check"-Prozess überwacht und überprüft die Leistung anhand der festgelegten Ziele und Richtlinien des Managementsystems und legt die Ergebnisse der Geschäftsleitung zur Überprüfung vor. Das Programm sollte einer internen Überprüfung unterzogen werden, um die Leistung des Programms anhand der vordefinierten Richtlinien und Ziele zu messen. Die Ergebnisse dieser Bewertungen sollten der Geschäftsleitung über den eingerichteten Lenkungsausschuss für Geschäftskontinuität vorgelegt werden.

Sie denken vielleicht: Die Leitung meiner Organisation trifft sich kaum, um Ziele festzulegen, geschweige denn, um sie zu überprüfen. Wenn dies in Ihrem Unternehmen der Fall ist, ist die Einführung eines Managementsystems wahrscheinlich genau die Lösung, die Sie brauchen. Anstatt lediglich Kennzahlen auf der Grundlage von BIA und Planüberprüfungen und -pflege zu präsentieren, ermöglicht der "Check"-Prozess dem Business Continuity-Programm, die Programmleistung in einer Sprache zu kommunizieren, die das Management versteht. Die Darstellung der Kontinuitätskapazitäten des Unternehmens in Bezug auf vordefinierte organisatorische Ergebnisse (kritische Produkte und Dienstleistungen) hilft dem Management zu verstehen, wie das Programm in Verbindung mit den für sie wichtigen Aspekten funktioniert. Auf diese Weise können sie auch besser erkennen, wie sich Schlüsselrisiken tatsächlich auf die Organisation auswirken würden, so dass sie die Möglichkeit haben, das Risiko zu akzeptieren oder Maßnahmen zu ergreifen.

Kurz gesagt, der "Check"-Prozess stellt sicher, dass das Management für das Programm und die gesamte Business-Continuity-Fähigkeit der Organisation verantwortlich ist.

Gesetz

Der "Act"-Prozess dient der Aufrechterhaltung und Verbesserung des Programms durch die Ergreifung von Präventiv- und Korrekturmaßnahmen auf der Grundlage der Ergebnisse der Managementüberprüfung und der Neubewertung des Anwendungsbereichs, der Geschäftskontinuitätspolitik und der Ziele. Dazu gehören die Aktualisierung und Pflege der Liste der Korrektur-/Vorbeugungsmaßnahmen (CAPA) und ein Überprüfungsprozess nach einem Vorfall sowie die Sicherstellung einer kontinuierlichen Verbesserung des Business-Continuity-Programms, um das Business-Continuity-Programm ständig an die Erwartungen des Managements anzupassen.

SOLLTE MEINE ORGANISATION DAS PDCA-MODELL ANWENDEN?

In vielen Organisationen sind die Konzepte der Managementsysteme bereits in viele bestehende Programme, wie z. B. das Qualitätsmanagement, integriert. Daher ist es wahrscheinlich, dass Ihr Führungsteam bereits mit den Konzepten von Managementsystemen vertraut ist und seine Rolle im Rahmen eines Managementsystems versteht. Durch die Implementierung eines Managementsystem-Rahmens wird die Planung der Betriebskontinuität mit allgemein verstandenen und definierten Geschäftszielen verknüpft.

Die Bemühungen um die Geschäftskontinuität werden durch managementsystemorientierte Modelle verbessert, die Fachjargon vermeiden und sich auf die Geschäftsergebnisse konzentrieren. Die Einbindung des Business-Continuity-Programms in die wichtigsten organisatorischen Ergebnisse dient dazu, sich auf die Ziele des Managements zu konzentrieren und in der Sprache des Unternehmens zu sprechen. Dadurch ist das Business-Continuity-Programm in der Lage, echte Fähigkeiten und Ergebnisse zu kommunizieren, anstatt sich auf Mikro-Business-Continuity-spezifische Projekte zu konzentrieren.

WELCHE VORTEILE BRINGT DAS PDCA-MODELL MIT SICH?

Die Implementierung eines Business-Continuity-Management-Systems bietet viele Vorteile, von denen viele bereits in diesem Artikel beschrieben wurden. Die Vorteile lassen sich jedoch in zwei Hauptvorteilen zusammenfassen: Ein Business-Continuity-Management-System zwingt das Management, für die Ergebnisse des Programms verantwortlich zu sein, und bietet einen akzeptierten Ansatz für die externe Validierung.

Der Schlüssel zu einem erfolgreichen Business Continuity Management System liegt darin, das Interesse und die Unterstützung der Geschäftsleitung zu gewinnen und zu erhalten. Der wichtigste Tipp ist jedoch, sicherzustellen, dass das Programm die Sprache der Geschäftsleitung spricht (wichtige organisatorische Ergebnisse) und die Programmleistung und -aufgaben in Bezug auf die Kontinuitätsfähigkeit dieser organisatorischen Ergebnisse zu kommunizieren. Durch diese Art der Kommunikation wird dem Management klar, dass es weiterhin an dem Programm interessiert sein muss. Das Management wird vor die Wahl gestellt, Risiken zu akzeptieren oder Maßnahmen zu ergreifen, die direkt zum Erfolg und zur Kontinuität der wichtigsten organisatorischen Ergebnisse beitragen. Ein Business-Continuity-Managementsystem erzwingt eine enge Abstimmung zwischen dem, was die Geschäftsleitung denkt, und dem, was das Business-Continuity-Programm tut und kommuniziert - es zwingt die Geschäftsleitung tatsächlich dazu, für das Programm verantwortlich zu sein.

Der zweite wichtige Vorteil der Implementierung eines Business-Continuity-Management-Systems besteht darin, dass es das Problem der "Prüfung eines Plans", mit dem viele Unternehmen konfrontiert sind, von vornherein löst. Wurde Ihr Unternehmen schon einmal um eine Kopie Ihres Geschäftskontinuitätsplans gebeten, um zu beweisen, dass Sie vorbereitet sind? Wir alle wissen, dass ein dicker Geschäftskontinuitätsplan nicht gleichbedeutend mit der Fähigkeit der Organisation ist. Leider haben Dritte oft kaum eine andere Möglichkeit, als den Plan zu überprüfen und zu bewerten. Durch die Implementierung eines Business-Continuity-Managementsystems, insbesondere eines von einer dritten Partei zertifizierten Systems, wird der Schwerpunkt von einer "Check-the-Box"-Sichtweise (Prüfung eines Plans) auf die tatsächliche Sicherstellung, dass Ihre Organisation über eine echte, nützliche und fähige Business-Continuity-Fähigkeit verfügt (Überprüfung der Leistung des Managementsystems), verlagert. Dies ermöglicht es der Organisation, die Leistung des Programms sowohl intern (gegenüber der Geschäftsleitung) als auch extern (gegenüber den wichtigsten Interessengruppen) zu validieren und zu kommunizieren - in vielen Fällen einfach durch den Nachweis der Zertifizierung!

WIE KANN MEINE ORGANISATION EIN PDCA-MODELL EINFÜHREN ODER PDCA IN EIN BESTEHENDES PROGRAMM EINBAUEN?

Die folgenden Leitlinien können Sie bei der Einführung eines Business-Continuity-Management-Systems in Ihrem Unternehmen unterstützen:

• Einrichten eines funktionsübergreifenden Management-Lenkungsausschusses
• Sprechen Sie in der Sprache, die das Management versteht
• Wie sie das Unternehmen sehen und was für sie wichtig ist
• Machen Sie Business Continuity relevant und leicht verständlich - Einfachheit ist der Schlüssel!
• Konzentration auf den organisatorischen Output (Schlüsselprodukte und -dienstleistungen)
• Festlegung von Toleranzen für Ausfallzeiten bei wichtigen Produkten und Dienstleistungen
• Erläuterung der aktuellen Leistungsfähigkeit der wichtigsten Produkte und Dienstleistungen, damit das Management Maßnahmen ergreifen oder Risiken akzeptieren kann
• Sicherstellen, dass die Ziele realistisch sind und die Unternehmensleitung bereit ist, die zur Erreichung der Ziele erforderlichen Ressourcen einzusetzen

SCHLUSSFOLGERUNGEN

Angesichts der wachsenden Beliebtheit und des anhaltenden Erfolgs von Business-Continuity-Management-Systemen erweist sich dieser Ansatz und Rahmen als die Zukunft der Geschäftskontinuität. Unternehmen, die damit zu kämpfen haben, die Aufmerksamkeit der Geschäftsleitung zu gewinnen und aufrechtzuerhalten, werden durch die Einführung eines Business Continuity Management Systems einen enormen Wert erkennen. Input und kontinuierliches Feedback werden zunehmen, ebenso wie die Entscheidungen und Ressourcen, die notwendig sind, um die Erwartungen des Managements zu erfüllen. Das Rahmenwerk für Business Continuity Management Systeme hat ein Ziel: ein funktionierendes, flexibles und effizientes Business Continuity Programm zu schaffen.