Diese Perspektive wirft einen Blick auf ein Element der Klausel 9.3, die Managementbewertung (ein Prozess, den Riskonnect für eines der wertvollsten Elemente der ISO 22301 hält).

ISO 22301 ist die erste Norm, die das neue ISO-Format für Managementsystemnormen verwendet, das eine beträchtliche Menge an "schablonenhaften" Managementsysteminhalten in zehn Klauseln beinhaltet. Da dieses Format, die Sprache und viele der Anforderungen für die meisten Business Continuity-Experten neu sind, ist es wichtig, die mit einigen Inhalten und Konzepten verbundene Absicht zu überprüfen und zu berücksichtigen.

Diese Perspektive ist die zweite in einer Reihe, in der die Schlüsselelemente der ISO 22301 Business-Continuity-Management-SystemDazu gehören auch wertsteigernde Elemente der Norm oder Anforderungen, die einer Organisation während des Zertifizierungsprozesses "in die Quere kommen" könnten.

Heute werfen wir einen Blick auf ein Element von Klausel 9.3, die Managementbewertung (ein Prozess, den Riskonnect für eines der wertvollsten Elemente der ISO 22301 hält).

Klausel 9.3 - Überprüfung durch das Management
Die oberste Leitung muss das BCMS der Organisation in geplanten Abständen überprüfen, um seine fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen. 

Von Robert Burns stammt das Zitat: "Die besten Pläne von Mäusen und Menschen gehen oft schief". In keinem Berufszweig ist dieser Gedanke wichtiger als bei der Geschäftskontinuität. Was einem sofort in den Sinn kommt, ist vielleicht die unvermeidliche Abweichung von einem gut ausgearbeiteten Krisenmanagement- oder Business-Continuity-Plan oder das einmalige Ereignis, das selbst die gründlichsten Pläne nicht berücksichtigen. Diese Perspektive konzentriert sich auf "den anderen" Bereich, der die Effektivität nicht nur eines Plans, sondern eines ganzen Business-Continuity-Programms oder -Managementsystems zum Scheitern bringen kann. Dieser schwer fassbare Bereich ist einfach die fehlende Unterstützung und/oder der fehlende Beitrag der Geschäftsleitung und anderer wichtiger Entscheidungsträger in jeder Organisation. Diese Perspektive soll dazu dienen, die Unterstützung des Managements und der Führungskräfte durch den Management-Review-Prozess zu vertiefen. Ohne die Unterstützung der obersten Führungsebene wird die Unterstützung für Business-Continuity-Initiativen sowie die Leistung von Business-Continuity-Lösungen schnell abnehmen.

Es stellt sich also die Frage, wie man die oberste Führungsebene einbezieht, sich die Unterstützung für das Business Continuity Management System und seine Initiativen sichert und sicherstellt, dass die Empfehlungen ernst genommen werden, ohne dass man sich einfach dagegen wehrt, wenn die Bereitschaftsmaßnahmen mit einem Preisschild verbunden sind. Die Antwort ist scheinbar leichter gesagt als getan: Die Führungsebene muss regelmäßig in den Planungsprozess für die Betriebskontinuität einbezogen werden. Die Durchführung von effektiven Management-Reviews ist eine Möglichkeit, auf dieses Ziel hinzuarbeiten.

Als Schlüsselkomponente der ISO 22301 ist die Managementbewertung eine wesentliche Systemkomponente, die sicherstellt, dass das Management wichtige Aspekte der Business-Continuity-Planung kennt und sich aktiv mit Problemen, Prüfungsergebnissen und Kundenfeedback (um nur einige zu nennen) auseinandersetzt, was zu einer Priorisierung von Möglichkeiten zur kontinuierlichen Verbesserung führt. Vielleicht noch wichtiger ist, dass es bei der Managementbewertung darum geht, das Bewusstsein zu schärfen, Beziehungen aufzubauen und die Business Continuity-Bemühungen als Schlüsselelement des Risikomanagementprogramms der Organisation zu etablieren. Alle Beteiligten sollten aus einer Management Review-Sitzung mit dem Gefühl hervorgehen, dass die Organisation besser dasteht als zu Beginn und dass die Geschäftskontinuität weiterhin eine Priorität sein wird - mit Fokus auf die richtigen Dinge zur richtigen Zeit - in der gesamten Organisation. Während die ISO 22301 eine ziemlich umfassende Reihe von Richtlinien auflistet, die detailliert beschreiben, was das Management als Teil der wiederkehrenden Managementbewertungen zu berücksichtigen hat, fasst die folgende Liste diese Anforderungen zusammen (paraphrasiert):

  • Sicherstellen, dass das Business-Continuity-Management-System auf die organisatorischen und strategischen Ziele abgestimmt ist
  • Ermittlung von Möglichkeiten, die Geschäftskontinuität einfacher und effektiver zu gestalten
  • Vermeiden Sie die Verwendung von Jargon und Akronymen
  • Weiterverfolgung früherer Probleme und Sicherstellung, dass das Management über alle Mängel informiert ist
  • Rückmeldungen zu den jüngsten Vorfällen aufgreifen und auf Verbesserungsmöglichkeiten hin analysieren

Schauen wir uns die einzelnen Themen genauer an.

Sicherstellen, dass das Managementsystem auf die organisatorischen und strategischen Ziele abgestimmt ist
Einer der wichtigsten Aspekte bei der Durchführung eines Business Continuity Management Review ist die Erinnerung an die Zielgruppe. Um die Wirksamkeit eines Management-Reviews zu maximieren, sollte der Business Continuity-Experte in Bezug auf kritische Produkte und Dienstleistungen denken und die Programmergebnisse auf die allgemeine strategische Ausrichtung des Unternehmens abstimmen. Der Business-Continuity-Experte sollte vermitteln, wie ein gut funktionierendes Business-Continuity-Managementsystem dazu beitragen kann, dass die Organisation weiterhin in der Lage ist, wichtige Produkte und Dienstleistungen zu liefern (und welche Auswirkungen es hat, wenn dies nicht der Fall ist). Es ist sehr leicht, sich in falschen Metriken zu verlieren, die außerhalb des Business Continuity-Teams keinen Wert darstellen. Die Dokumentation von Kennzahlen, die sich auf die Anzahl der BIA-Interviews oder Planaktualisierungen beziehen, hat zwar ihre Berechtigung, aber es ist oft viel zu einfach, sich mit Zahlen zu befassen, ohne alles mit der Wiederherstellbarkeit der Kernprodukte und -dienstleistungen des Unternehmens zu verknüpfen. Am Ende der Überprüfungssitzung sollte das Management ein besseres Verständnis der Fähigkeiten der Organisation haben, auf einen Störfall zu reagieren und sich davon zu erholen, und nicht nur, welche Abteilungen oder Geschäftsbereiche ihre jährlichen Planaktualisierungen nicht abgeschlossen haben.

Weitere Informationen zu Metriken finden Sie hier: Metriken zur Geschäftskontinuität

Business Continuity einfacher und effektiver gestalten
Seien wir ehrlich: Geschäftskontinuität kann sehr komplex sein. Die Kombination aus Geschäftskontinuität und IT-Disaster Recovery kann sogar noch komplexer sein. Achten Sie bei der Ausarbeitung von Materialien für eine Managementbewertung darauf, die Dinge so einfach wie möglich zu gestalten. Wenn Sie ein Business-Continuity-Konzept in der Alltagssprache beschreiben können, tun Sie das. Die Managementbewertung bietet eine hervorragende Gelegenheit, das Business-Continuity-Programm zu verkaufen. Viele Praktiker neigen jedoch dazu, Nicht-Business-Continuity-Fachleute mit ihrem eigenen Wissen und ihrer Expertise zu überfordern, indem sie unnötige Details liefern, die dazu führen, dass Manager schnell das Interesse verlieren. Dieselbe Mentalität lässt sich nicht nur auf eine Managementbewertung anwenden, sondern auf alle Aspekte eines gut geführten Business-Continuity-Managementsystems. Wenn Sie die Wahl zwischen einem 200-seitigen Wiederherstellungsplan oder einer Checkliste mit nur den wichtigsten Informationen haben, entscheiden Sie sich für die Checkliste. Bei der Geschäftskontinuität sollte es darum gehen, im Falle einer Unterbrechung Ergebnisse zu erzielen. Übernehmen Sie den Slogan "mit weniger mehr erreichen" für Ihr Programm und wenden Sie ihn auch auf den Management-Review-Prozess an.

Vermeiden Sie die Verwendung von Jargon und Akronymen
Fachleute für Geschäftskontinuität lieben Akronyme. BIA, RTO, RPO, MAD, MTPOD, BC, DR, ITDR, BCMS usw. Ich könnte fortfahren, aber das würde dieses Publikum wahrscheinlich langweilen... UND wenn es für mich langweilig wäre, in diesem Artikel für Business-Continuity-Fachleute weiterhin Akronyme zu verwenden, warum überfrachten Business-Continuity-Fachleute dann weiterhin Materialien, die für das Management bestimmt sind, mit denselben Begriffen? Das führt nur zu einem geringeren Verständnis und Interesse und schafft eine Situation, die wichtige Manager und Stakeholder möglicherweise verprellen könnte. Zur Vereinfachung der Materialien für die Überprüfung durch das Management sollten Sie nach Möglichkeit auf Akronyme verzichten, vor allem wenn Sie mit Führungskräften zu tun haben, deren tägliche Aktivitäten in der Regel nichts mit Business Continuity zu tun haben. Auch hier müssen Sie sich vor Augen halten, wer Ihr Publikum ist. Ein Management-Review ist eine Gelegenheit, dem Management einen Einblick in das Business-Continuity-Programm zu geben und die Reaktions- und Wiederherstellungsfähigkeiten der Organisation zu untersuchen - in IHRER Sprache. Wenn das Management nicht versteht, was Sie vermitteln, weil zu viele branchenspezifische Begriffe und Akronyme verwendet werden, stellt dies ein Hindernis bei der Durchführung einer effizienten Managementbewertung und der Gewinnung kontinuierlicher Unterstützung für Business-Continuity-Initiativen dar.

Folgemaßnahmen zu früheren Themen
Die Ermittlung von Verbesserungsmöglichkeiten und die Überarbeitung von Strategien und Verfahren ist ein wichtiger Teil des Management-Review-Prozesses. Auch wenn diese Maßnahmen wichtig sind, kann man sich leicht in einem Meer von geplanten Maßnahmen verlieren, in Aktivitäten, die auf die lange Bank geschoben werden oder sich verzögern, oder in veralteten und überkomplexen Richtlinien und Verfahren, die sich mehr auf die Planung um der Planung willen zu konzentrieren scheinen, als auf die tatsächliche Verbesserung der Widerstandsfähigkeit der Organisation. Nur weil ein Punkt vor fünf Jahren als sanierungsbedürftig identifiziert wurde, heißt das nicht, dass er immer noch abgeschlossen werden muss, um den Unternehmenszielen zu entsprechen. Management-Reviews sollten als Gelegenheit betrachtet werden, die Empfehlungen durchzugehen und festzustellen, welche davon tatsächlich für die Ziele und die strategische Ausrichtung der Organisation relevant sind, und entsprechende Änderungen vorzunehmen. Verbesserungswürdige Punkte sollten nicht nur deshalb in Betracht gezogen werden, weil sie auf der fortlaufenden Liste der Aktionspunkte stehen, sondern weil die Organisation durch die Abhilfemaßnahmen einen greifbaren Nutzen erfährt, der die wichtigsten Ziele und Vorgaben unterstützt. Der Business Continuity-Experte kann bei diesem Prozess helfen, indem er die Punkte vor der Sitzung überprüft und Empfehlungen ausspricht, welche Punkte für das Unternehmen von Nutzen sein könnten und welche nicht in Betracht gezogen werden sollten. Auf diese Weise wird die Führungsebene in die Lage versetzt, wertsteigernde Empfehlungen zu befürworten, was sich positiv auf Sie auswirkt. Und wer möchte bei einem Treffen mit der Unternehmensleitung nicht gut dastehen?

Jüngste Vorfälle ansprechen und zur Bewusstseinsbildung nutzen
Irgendwann wird jedes Unternehmen von einer Störung betroffen sein. Sie kann so geringfügig sein wie eine erzwungene Evakuierung eines Büros oder so bedeutend wie der dreimonatige Ausfall eines Vertriebszentrums. Die Management Review-Sitzung sollte die Gelegenheit bieten, die Effektivität der Reaktion und Wiederherstellung der Organisation auf die jüngsten Vorfälle zu besprechen. Alle Vorfälle bieten Feedback, das genutzt werden kann, um die Bedeutung und Effektivität eines Business-Continuity-Management-Systems und seiner Strategien zu legitimieren. Management-Reviews sollten eine ehrliche Einschätzung dessen geben, was gut und was schlecht gelaufen ist, und Empfehlungen für das weitere Vorgehen geben. Es liegt in der Natur der Sache, dass man sich davor scheut, die Reaktion auf einen Störfall zu untersuchen, vor allem, wenn er nicht wie geplant verlaufen ist; Schwierigkeiten sollten jedoch so behandelt werden, dass sie zu verwertbaren Ergebnissen führen. Die Management-Review-Sitzung bietet ein Forum, um diese Ergebnisse zu diskutieren. Eine tatsächliche Unterbrechung kann eine Gelegenheit bieten, das Bewusstsein zu schärfen und sicherzustellen, dass die Beteiligten den Wert eines robusten Business-Continuity-Programms erkennen.

Schlussfolgerungen
Management-Reviews bieten eine hervorragende Gelegenheit, den aktuellen Status des Unternehmens zu überprüfen, verbesserungswürdige Bereiche zu identifizieren und Unterstützung für zukünftige Business-Continuity-Initiativen zu gewinnen. Indem sie sich auf die Bedürfnisse der Zielgruppe konzentrieren und sicherstellen, dass die Business-Continuity-Aktivitäten auf die allgemeine strategische Ausrichtung des Unternehmens abgestimmt sind, können die Business-Continuity-Experten die Führungsebene als Partner im Business-Continuity-Planungsprozess sehen. Ihre Pläne und Initiativen müssen nicht scheitern, wenn Sie die richtigen Interessengruppen einbeziehen und die Aktivitäten so darstellen, dass sie für die wichtigsten Entscheidungsträger in Ihrem Unternehmen relevant sind.

Besuchen Sie weiterhin unsere Blog für weitere Beiträge aus der Riskonnect-Reihe Konformität mit ISO 22301.

In der Zwischenzeit zögern Sie nicht Erreichen Sie uns um die Anpassung an den Standard oder die Zertifizierung zu besprechen. Wir freuen uns darauf, von Ihnen zu hören!