The Need To Establish Business Continuity Governance: An Overview Of BCI Professional Practice 1

Dieser Artikel gibt einen Überblick über GPG Berufliche Praxis 1 (PP1) - Politik und ProgrammmanagementEr beschreibt die Bedeutung und die Empfehlungen für die Schaffung einer Grundlage für ein wiederholbares und skalierbares Business-Continuity-Programm.

PP1 ÜBERBLICK

PP1 umreißt eine Reihe von Aktivitäten, die Organisationen vor der Durchführung von Business-Continuity-Planungsaktivitäten (Analyse der Auswirkungen auf das Geschäft bis hin zu Übungen) durchführen sollten:

EINE POLITIK DER BETRIEBSKONTINUITÄT FESTLEGEN die "interessierten Parteien die Grundsätze vermittelt, die die Organisation anstrebt", indem sie den Zweck und die Ziele des Business Continuity-Programms umreißt. Eine aussagekräftige Erklärung zu den Programmrichtlinien sollte kurz und prägnant sein und gleichzeitig die notwendigen Programmdetails enthalten, an denen die Leistung gemessen werden kann. PP1 schlägt vor, dass die Richtlinien die Grundsätze der Organisation darstellen Definition der GeschäftskontinuitätUmfang des Programms, beteiligte Parteien und Art der Verwaltung des Programms.
EINEN PROGRAMMUMFANG FESTLEGEN die definiert, "was [das Programm] schützen soll und wie groß der Schaden, der Verlust oder die Unterbrechung sein darf, die das Unternehmen realistischerweise überleben kann". Häufig entscheiden sich Unternehmen dafür, ihr Business-Continuity-Programm zunächst auf einen Teilbereich des Unternehmens zu konzentrieren (im Gegensatz zum gesamten Unternehmen), wobei die Geschäftsleitung in der Regel die wichtigsten Produkte oder Dienstleistungen auswählt, die das Unternehmen anbietet (z. B. Einnahmen generierende, nach außen gerichtete). Ein gut ausgearbeitetes Scope Statement dokumentiert klar, was im Programm enthalten ist und was nicht (Ausschlüsse). Auf diese Weise können die Ressourcen auf das Wichtigste und Zeitkritischste konzentriert werden, und es wird vermieden, dass Planungsaktivitäten (z. B. die Planentwicklung) außerhalb der genehmigten Programmgrenzen stattfinden.
GOVERNANCE DEFINIEREN das ein von der obersten Führungsebene unterstütztes Programm einrichtet. Dies trägt dazu bei, dass das Management die Programmumsetzung kontinuierlich vorantreibt und die Programmleistung und -ergebnisse überwacht/bewertet. Die erforderliche Unterstützung durch das Management kann die Genehmigung des erforderlichen Budgets oder der Investitionen, die Bereitstellung von angemessenem Personal, die Teilnahme an gut sichtbaren Programmaktivitäten und die regelmäßige Überprüfung der Programmergebnisse umfassen.
EIN BCM-PROGRAMM EINFÜHREN das nachhaltig und wiederholbar ist und auf einem vom Management genehmigten Umfang und Zielen basiert. Im Rahmen der Programmimplementierung sollten die Fachleute das Onboarding der Stakeholder durchführen (z. B. Präsentation, einführende Programmbegehung oder Tabletop), Programmelemente ausführen (z. B. Geschäftsauswirkungsanalyse, Planentwicklung und Testaktivitäten), das Bewusstsein der Mitarbeiter schärfen und eine kontinuierliche Verbesserung durch Anwendung von Projekt-/Programmmanagementtechniken sicherstellen.
ROLLEN UND VERANTWORTLICHKEITEN ZUWEISEN an Personen, die in der Lage sind, das Business-Continuity-Programm gemäß den Erwartungen des Managements ordnungsgemäß umzusetzen und aufrechtzuerhalten. Im Rahmen des Personaleinführungsprozesses muss die Unternehmensleitung sicherstellen, dass die zugewiesenen Mitarbeiter über die erforderlichen Kompetenzen für ihre Rolle innerhalb des Business Continuity-Programms verfügen; ist dies nicht der Fall, müssen die Mitarbeiter die erforderlichen internen oder externen Schulungen absolvieren.
TECHNIKEN DES PROJEKT- UND PROGRAMMMANAGEMENTS ANWENDEN um eine konsistente Projektumsetzung zu ermöglichen, die den Erwartungen des Managements entspricht und die genehmigten Zeit- und Budgetvorgaben einhält. Um dies zu erreichen, sollten die Mitarbeiter eine Liste von Elementen des Programmmanagements erstellen, wie z. B. Ziel, Umfang, Zeitplan, Aufgaben, Personal, Ressourcen und Meilensteine, und sicherstellen, dass diese Elemente vor Projektbeginn ordnungsgemäß ermittelt werden. Sobald die Projekte abgeschlossen und das Programm vollständig implementiert ist, müssen die Mitarbeiter den Zyklus der kontinuierlichen Verbesserung fortsetzen, um die Effektivität des Programms zu gewährleisten, was durch regelmäßige Selbstbeurteilungen, Audits oder Benchmarking-Studien geschehen kann.
VERWALTUNG AUSGELAGERTER TÄTIGKEITEN UND KONTINUITÄT DER LIEFERKETTE Minimierung der Auswirkungen auf das Unternehmen bei einem Zwischenfall, der einen Dritten betrifft, von dem das Unternehmen abhängig ist. Unternehmen können (und sollten) eingehende Anbieter/Lieferanten vorqualifizieren, indem sie das Business-Continuity-Programm und die Dokumentation des Anbieters/Lieferanten prüfen und bewerten, und sie sollten die Service-Level-Vereinbarungen und Wiederherstellungsstrategien der Anbieter regelmäßig überwachen, um sicherzustellen, dass sie den internen Erwartungen entsprechen.
VERWALTUNG DER PROGRAMMDOKUMENTATION damit die Dokumente konsistent und einfach zu verwenden sind. Je nach Größe der Organisation entscheiden sich einige Praktiker für die Verwendung von Software zur Pflege der internen Business-Continuity-Dokumentation (z. B. BIAs und Pläne). Unabhängig von der Methode sollten Organisationen sicherstellen, dass die gesamte erforderliche Dokumentation entwickelt wird, allen Beteiligten zugänglich ist und regelmäßig überprüft/aufgefrischt wird.

PP1 WERT

PP1 enthält eine Reihe von Grundelementen, die notwendig sind, um die Business Continuity mit der Unternehmensstrategie in Einklang zu bringen. PP1 trägt auch zu einem wiederholbaren Planungsprozess bei, um Business-Continuity-Ergebnisse zu erzielen, die mit den Bedürfnissen und Erwartungen der Stakeholder übereinstimmen.

Ohne die PP1-Ergebnisse würde dem Business Continuity-Programm der Fokus und die Priorität fehlen, und es ist wahrscheinlich, dass die Programmteilnehmer nicht genau wüssten, welche Aufgaben sie haben und wie sie sich am besten in die Planungsarbeit einbringen können.

PP1 Wertübersicht:

EINE RICHTLINIE, DIE DAS GESCHÄFTSKONTINUITÄTSPROGRAMM AN DEN BESTEN PRAKTIKEN DER BRANCHE AUSRICHTET. Branchenexperten entwickeln Best Practices und Standards (z. B. BCI Good Practices und ISO 22301) auf der Grundlage gemeinsamer Praktiken und Richtlinien für verschiedene Branchen, Länder und organisatorische Aspekte. Praktiker, die die Best Practices für die Programmentwicklung befolgen, tragen dazu bei, dass das Business-Continuity-Programm des Unternehmens gängige und bewährte Branchenstrategien sowie die sich entwickelnde Bedrohungs- und Planungsumgebung widerspiegelt.
EINE RICHTLINIE GIBT DEM KUNDEN/AUFTRAGGEBER SICHERHEIT. Viele Unternehmen verlangen von ihren Anbietern und Lieferanten ein etabliertes Business-Continuity-Programm, um die Kontinuität von Anbietern und Lieferanten zu gewährleisten. Eine etablierte Programmrichtlinie bietet der Organisation eine einheitliche und präzise Zusammenfassung ihres Programms, die Kunden oder Klienten als Referenz zur Verfügung gestellt werden kann.
EINE RICHTLINIE GEWÄHRLEISTET DIE KOHÄRENZ DES PROGRAMMS. Große Unternehmen entscheiden sich oft für ein großes, engagiertes internationales Business-Continuity-Team oder für den Einsatz lokaler/regionaler Support-Mitarbeiter zur Unterstützung bei der Einführung des Programms. Eine klare Grundsatzerklärung legt die Erwartungen an alle Mitarbeiter und Programmteilnehmer im Unternehmen fest, sorgt für eine einheitliche Programmdurchführung und kommuniziert die Ziele, Antriebskräfte und Erwartungen des Managements. Darüber hinaus sind gut etablierte Programmaktivitäten, Projektmanagementstrategien sowie Rollen und Verantwortlichkeiten ebenfalls hilfreich.
EINE RICHTLINIE GEWÄHRLEISTET DIE WIEDERHOLBARKEIT DES PROGRAMMS. Eine gut ausgearbeitete Grundsatzerklärung, die den Umfang, die Teilnehmer und die Aktivitäten des Programms klar definiert, verhindert, dass die Geschäftsleitung das Programm Jahr für Jahr neu definiert und erfindet. Während sich das Programm selbst ändern sollte, um veränderten organisatorischen Prioritäten oder Bedrohungen Rechnung zu tragen, bietet eine dokumentierte Richtlinie der Unternehmensleitung eine Grundlage, die sie bei Bedarf überprüfen und ändern kann.
EINE POLITIK DIE FÜHRUNGSKRÄFTE EINBEZIEHT UND IHRE UNTERSTÜTZUNG GEWINNT. Die Zustimmung des Managements ist entscheidend, wenn es darum geht, Programmverbesserungen voranzutreiben und laufende Änderungen in Angriff zu nehmen, um den sich verändernden Bedrohungsumgebungen gerecht zu werden und gleichzeitig interne und externe Verpflichtungen zu erfüllen. Die Zustimmung des Managements trägt auch dazu bei, das Bewusstsein der Organisation zu schärfen und die Programmaktivitäten voranzutreiben. Die Verabschiedung einer vom Management genehmigten Richtlinie trägt dazu bei, die Dynamik zu erhalten und die Planungsstrategien mit den Prioritäten des Unternehmens in Einklang zu bringen.

PP1 FALLSTUDIE

Wenn Unternehmen beschließen, ein Business-Continuity-Programm zu implementieren, neigen viele dazu, sich sofort auf die taktischen Programmelemente zu stürzen (z. B. die Durchführung einer Analyse der Auswirkungen auf das Geschäft und die Entwicklung von Plänen) und dabei die Notwendigkeit zu ignorieren, zunächst ein solides Programmfundament zu schaffen, auf dem diese Programmelemente aufbauen können. Obwohl die taktischen Elemente oft am sichtbarsten sind, gibt es mehrere Gründe, warum eine Organisation sich die Mühe machen sollte, die in PP1 gegebenen Hinweise zu befolgen.

Die folgende Fallstudie veranschaulicht, warum es für Unternehmen von Vorteil ist, ein wiederholbares Programm und eine Richtlinie zu erstellen, bevor sie sich direkt an die Implementierung taktischer Elemente des Business Continuity Lifecycle machen.

Der Vorstand von Unternehmen X hat dem Unternehmen die Anweisung erteilt, ein Business-Continuity-Programm einzuführen. Um der Richtlinie nachzukommen, beauftragte das Unternehmen eine interne Ressource als Business-Continuity-Koordinator mit der Einleitung dieses Prozesses. Nach der Lektüre einer Reihe von Webartikeln beschloss der Koordinator, zunächst eine Analyse der Auswirkungen auf den Geschäftsbetrieb durchzuführen und einen Geschäftskontinuitätsplan zu erstellen. Nachdem die Dokumentation des Plans fertiggestellt war, stellte der Koordinator fest, dass es einige große Probleme gab:

Sie wusste nicht, ob die Organisation die Erwartungen des Managements wirklich erfüllen könnte, wenn es tatsächlich zu einer Störung käme.
Sie erkannte, dass es sich bei ihren Bemühungen um eine punktuelle Bewertung handelte, und wusste nicht, wie die Bemühungen nach dem ersten Versuch weitergehen würden
Sie war der Meinung, dass die Organisation nicht viel besser dastand als vor ihren Bemühungen, da sie keine Ressourcen in tatsächliche Wiederherstellungsmöglichkeiten investiert hatte (z. B. einen alternativen Arbeitsplatz oder IT-Wiederherstellung).
Die Personen, die sich ursprünglich an den Bemühungen beteiligen sollten, nahmen nicht teil, da sie an untergeordnete Ebenen der Organisation delegiert wurden.

Aufgrund dieser Bedenken begann die Business-Continuity-Koordinatorin, weitere Nachforschungen anzustellen und mit Branchengruppen zu sprechen. Durch diese zusätzlichen Nachforschungen wurde ihr klar, dass sie kein Programm erstellt hatte, bevor sie geschäftskontinuitätsspezifische Aktivitäten durchführte. Daher erzielte sie nicht die Ergebnisse, die sie zu erreichen hoffte. Die Koordinatorin ging daraufhin einen Schritt zurück und führte die folgenden Maßnahmen durch:

Sie entwickelte und präsentierte ihre Geschäftskontinuitätspolitik, die veröffentlicht und im Unternehmen bekannt gemacht wurde, und erhielt dafür die Zustimmung der obersten Führungsebene.
Entwicklung von Standardarbeitsanweisungen, die den Prozess beschreiben, mit dem sie die Aktivitäten zur Aufrechterhaltung des Geschäftsbetriebs umsetzt, um sicherzustellen, dass der Prozess immer wieder durchgeführt wird
Gründung eines Lenkungsausschusses, der Beiträge zum Umfang des Programms und zu den Toleranzen für Ausfallzeiten lieferte, Ergebnisse und Investitionen überprüfte und genehmigte, die Führung übernahm und das richtige Maß an Beteiligung und Unterstützung sicherstellte

Im Anschluss an diese Maßnahmen stellte der Koordinator fest, dass das Programm auf die strategischen Ziele der Organisation abgestimmt war, von den entsprechenden Führungsebenen der Organisation unterstützt wurde und die Erwartungen interner und externer Stakeholder bei einem tatsächlichen Störfall tatsächlich erfüllen konnte.

SCHLUSSFOLGERUNG

Die in den BCI-Praxisleitfäden enthaltenen Anleitungen helfen Praktikern beim Verständnis und bei der Umsetzung des Programms und gewährleisten gleichzeitig die Übereinstimmung mit den internationalen Normen der ISO 22301.

Bereit zum Gespräch?

Verbinden Sie sich mit uns.

Teilen Sie dies, wählen Sie Ihre Plattform!

Verwandte Beiträge

Was ist Business Continuity - und was kann es für Sie tun?

Business Continuity und ESG: Warum es Zeit ist, zusammenzuarbeiten

Beziehungen im Risiko: Die Verbindung zwischen Geschäftskontinuität und ESG

Bereit zum Gespräch?

Verbinden Sie sich mit uns.