Mit der Einführung der ISO-Norm 22301 (Gesellschaftliche Sicherheit - Anforderungen - Managementsystem für die Geschäftskontinuität) wird die Geschäftskontinuität enger mit der umfassenderen Disziplin des Risikomanagements verknüpft. Ein wichtiger Beitrag zu dieser Angleichung ist die in der Norm enthaltene Anforderung, die "Risikobereitschaft" der Organisation zu verstehen (ein Begriff, der in BS 25999 nicht verwendet wird).

Die Definition der Risikobereitschaft in ISO 22301 (Abschnitt 3.49) lautet: "Höhe und Art des Risikos, das eine Organisation bereit ist, einzugehen oder zu behalten". Die Norm nimmt in zwei Abschnitten Bezug auf die Risikobereitschaft:

Darüber hinaus verweisen die Autoren des Leitfadens zur ISO 22301 mit dem Titel ISO DIS 22313 in dem Abschnitt, in dem es um die Festlegung des Kontextes für das Business Continuity Management System geht, einmal zusätzlich auf die Risikobereitschaft:

Für diejenigen, die eine Anpassung oder Zertifizierung nach ISO 22301 anstreben, müssen Business Continuity-Experten (oder diejenigen, die mit der Business Continuity-Planung beauftragt sind) das Konzept der Risikobereitschaft verstehen und die oben genannten Anforderungen erfüllen.

Bitte beachten Sie: Ziel dieses Artikels ist es nicht, ein detailliertes, theoretisches Verständnis der Risikobereitschaft zu vermitteln, da dies bereits in anderen Whitepapers und Informationsquellen geschieht, sondern vielmehr das Konzept für Business Continuity-Experten vorzustellen und Einblicke in die Nutzung und "Implementierung" dieses Konzepts in unserem Beruf zu geben.

Die Beziehung zwischen Risikobereitschaft und Geschäftskontinuität
Wir sind der Meinung, dass die Verfasser der ISO 22301 das Konzept der Risikobereitschaft ("Höhe und Art des Risikos, das eine Organisation bereit ist, einzugehen oder beizubehalten") aus zwei wichtigen Gründen in die Norm für ein Business Continuity Management System integriert haben:

  1. Unternehmen sollten die Risikobereitschaft als allumfassend betrachten und alle Risikobereiche einbeziehen, einschließlich der Risiken im Zusammenhang mit der Aufrechterhaltung des Geschäftsbetriebs, die mit störenden Vorfällen verbunden sind.
  2. Die Nutzung der Risikobereitschaft, um ein Business-Continuity-Managementsystem angemessen einzugrenzen und zu unterstützen, trägt dazu bei, die Business Continuity auf die Unternehmensstrategie und andere Risikomanagementmaßnahmen abzustimmen, so dass die Business Continuity besser in das allgemeine Risikomanagement integriert werden kann.

Darüber hinaus wird die Risikobereitschaft, wenn sie richtig durchgeführt wird, zu einem wichtigen Bestandteil des Umfangs und der Ziele eines Managementsystems für die Betriebskontinuität (und kann sich mit diesem erheblich überschneiden).

Schlüssel zur Bestimmung der Risikobereitschaft
Wie bereits erwähnt, gibt es viele Informationsquellen, die das Konzept der Risikobereitschaft und den besten Ansatz zur Bestimmung der Risikobereitschaft einer Organisation beschreiben. Riskonnect hat diese Quellen analysiert, um besser zu verstehen, wie wir unsere Kunden am effektivsten bei der Bestimmung und Dokumentation ihrer Risikobereitschaft in Bezug auf die Geschäftskontinuitätsplanung unterstützen und das Konzept in unser eigenes Geschäftskontinuitätsprogramm integrieren können (da wir innerhalb unserer Organisation aktiv von BS 25999-2 auf ISO 22301 umstellen). Eine der wertvollsten Quellen, die wir identifiziert haben, ist ein White Paper, das von der Institut für Risikomanagement (IRM)die eine Reihe von "Design"-Faktoren vorstellte, die die Autoren als entscheidend für die Bestimmung der Risikobereitschaft ansahen. Drei dieser Gestaltungsfaktoren oder Überlegungen, die unserer Meinung nach zum besseren Verständnis und zur Bestimmung der Risikobereitschaft beitragen, werden im Folgenden umschrieben:

  1. Die Risikobereitschaft einer Organisation ist - oder sollte - messbar sein
  2. Die Annehmbarkeit des Risikos sollte einen zeitlichen Aspekt haben, um eine regelmäßige Überprüfung zu gewährleisten (angesichts organisatorischer und umweltbedingter Veränderungen)
  3. Risikoakzeptanz sollte nichts mit einer Lockerung der Kontrollen (Risikobehandlung) zu tun haben

Unserer Meinung nach sollten Unternehmen bei der Festlegung ihrer Risikobereitschaft auch andere Informationsquellen als die Geschäftsleitung berücksichtigen:

  • Jahresberichte und Jahresabschlüsse
  • Kundenverträge
  • Regulatorische Anforderungen
  • Strategische Unternehmenspläne
  • Marketing-Materialien
  • Sitzungsprotokolle des Verwaltungsrats

Wir werden zwar nicht näher auf die Bestimmung der Risikobereitschaft eingehen, aber wer zusätzliche Informationen sucht, sollte sich die folgenden Informationen ansehen:

Beispiel - Risikoappetit bei Riskonnect
Bei der Umstellung von BS 25999-2 auf ISO 22301 mussten wir verstehen, wie sich die Risikobereitschaft auf unser Business Continuity Management System bezieht, da dies eine neue, formalisierte Anforderung ist, die für die Zertifizierung notwendig ist. Anhand der im vorangegangenen Abschnitt dieses Artikels beschriebenen Anleitung und Vorgehensweise haben wir unsere Risikobereitschaft wie folgt zusammengefasst:

Im Jahr 2012 sind wir bereit, ein begrenztes Maß an Ausfallzeiten zu tolerieren, solange dies nicht zu Folgendem führt:

  1. Rufschädigung bei unseren Kunden, die zu einer breiteren, negativen Marktwahrnehmung führt
  2. Nicht eingehaltene Dienstleistungsvereinbarungen speziell für das Planungsportal und Riskonnect
  3. Finanzieller Schaden von mehr als $50.000
  4. Projektverzögerungen von mehr als drei Tagen aufgrund von Ressourcenunterbrechungen und Datenverlusten

Um unser bestehendes Business-Continuity-Programm mit dieser Erklärung zur Risikobereitschaft in Einklang zu bringen, beabsichtigt das Management von Riskonnect, unser Business-Continuity-Managementsystem mit Personal und angemessenen Ressourcen auszustatten, um Ausfallzeiten auf möglichst effiziente und pragmatische Weise zu minimieren.

Wie bereits in diesem Artikel erwähnt, stimmt diese Aussage mit den Überlegungen zum IRM-Design überein, insbesondere:

  • Sie ist auf unsere Produkte und Dienstleistungen sowie auf die strategischen Prioritäten unseres Unternehmens abgestimmt und damit auch auf den Anwendungsbereich unseres Business Continuity Management Systems.
  • Sie bietet quantifizierbare Methoden zur Risikomessung
  • Er vermerkt ein Zeitelement (2012)
  • Er verweist darauf, dass unser Managementteam ein gewisses Risiko akzeptiert, wodurch Ressourcen zur Verbesserung unseres Geschäfts, unserer Dienstleistungen und Technologien sowie für Investitionen in unsere Mitarbeiter freigesetzt werden.
Planen Sie Ihre Demo

Schlussfolgerungen
Die Risikobereitschaft ist ein wichtiges Konzept, das strategische, operative und taktische Elemente umfasst, die sich alle auf die erfolgreiche Implementierung und kontinuierliche Verbesserung eines Business-Continuity-Management-Systems auswirken. Die Berücksichtigung der Risikobereitschaft im Rahmen der Business-Continuity-Planung ermöglicht eine engere Abstimmung der Business-Continuity-Maßnahmen mit dem Risikomanagement, so dass sich die Business-Continuity-Bemühungen in erster Linie auf die Risiken konzentrieren können, die die Geschäftsleitung in Bezug auf wichtige Produkte, Dienstleistungen, Geschäftsprozesse und Ressourcen nicht akzeptieren möchte (die alle von einer Organisation im Rahmen ihrer Risikobereitschaft klar dokumentiert werden sollten). Das Verständnis der Grenzen - auf der Grundlage eines akzeptablen Risikoniveaus - führt zu einer zielgerichteten und klaren Planung, was zu einem höheren Maß an Effektivität und Effizienz beim Schutz der zeitkritischsten oder kritischsten Aktivitäten eines Unternehmens führt.

Darüber hinaus sollte die Berücksichtigung der Risikobereitschaft im Rahmen der Business-Continuity-Planung der Unternehmensleitung helfen, die Business Continuity in Bezug auf das breitere Thema der Risiken für das Unternehmen zu betrachten, wobei das Risiko von Störfällen nur ein Faktor ist, der zu berücksichtigen ist. Die Ausrichtung der Business Continuity-Bemühungen auf die Denkweise des Managements (auf strategischer Ebene) sollte zu einem stärkeren, klareren Nutzenversprechen für die Bereitschaftsbemühungen beitragen, was eine langfristige Unterstützung und Beteiligung des Managements ermöglichen sollte.

Aufgrund der in diesem Artikel beschriebenen Vorteile ist Riskonnect der Ansicht, dass das Konzept der Risikobereitschaft eine willkommene Ergänzung der ISO 22301 ist und dass Business Continuity-Experten mehr darüber erfahren müssen, um aktiv an einem breiteren Risikomanagement teilzunehmen.