Die Beteiligung des Managements ist nicht die einzige treibende Kraft für wiederholbare, organisatorische Leistungen. Kurze, prägnante Grundsatzerklärungen setzen auch Erwartungen und fördern eine konsistente Leistung. Riskonnect kommt daher zu dem Schluss, dass unabhängig von der Größe oder der Kultur eines Unternehmens eine Grundsatzerklärung ein Instrument sein kann, um die Leistung des Business Continuity-Programms zu steigern, insbesondere in Unternehmen, in denen Fachleute die Planung dezentral durchführen. Dieser Artikel beschreibt die Vorteile, die Einwände gegen und die Empfehlungen für eine organisationsweite Business Continuity Policy.
Was ist eine Geschäftskontinuitätspolitik?
Eine Business Continuity Policy ist ein Dokument, das die Erwartungen des Managements in Bezug auf die langfristige, lebenszyklusorientierte Leistung des Business Continuity Programms vermittelt. Um wirksam zu sein, sollte sie von der Geschäftsleitung unterzeichnet, kommuniziert und im gesamten Unternehmen durchgesetzt werden. Der Inhalt einer Grundsatzerklärung sollte sich nur selten ändern und so beschaffen sein, dass er bestimmte Handlungen jedes Mitarbeiters im Unternehmen im Zusammenhang mit dem Business Continuity-Programm definiert. Eine Grundsatzerklärung sollte einen Überblick über die Ziele und Erwartungen auf hoher Ebene geben. Eine wachsende Zahl von Unternehmen ergänzt eine Grundsatzerklärung auf hoher Ebene durch eine vom Management geprüfte und genehmigte Programmcharta und eine Rahmendokumentation. Die Charta und das Rahmenwerk bieten die zusätzliche Detailebene, die erforderlich ist, um zu erklären, wie das Unternehmen die wichtigsten Programmaktivitäten durchführen wird – kurz- und langfristig. Viele Unternehmen sind nach wie vor skeptisch, was die Notwendigkeit einer unternehmensweiten Richtlinie für das Business Continuity-Programm angeht. Daher ist es wichtig, die Vorteile zu verstehen, die mit der Erstellung und Genehmigung einer solchen Richtlinie verbunden sind.
Was sieht eine Police vor?
Die Wiederholbarkeit ist ein Schlüsselfaktor für jedes ausgereifte Programm und ein Grundpfeiler jedes seriösen Business Continuity-Standards. Sie ist auch ein wichtiger Motivator für die Einführung einer Business Continuity-Richtlinie für jedes Unternehmen. Eine gut formulierte Richtlinie, in der die Hauptakteure des Programms und ihre Zuständigkeiten beschrieben sind, schafft klare Erwartungen für die Mitarbeiter des Business Continuity-Programms, die Geschäftsleitung, die wichtigsten Programmmitarbeiter und alle anderen Mitarbeiter. Eine Richtlinie verhindert, dass das Programm wertvolle Zeit damit verschwendet, sich Jahr für Jahr neu zu erfinden. Stattdessen kann das Unternehmen seine Kultur und seine Abläufe an einer einzigen, einfachen und wiederholbaren Vision für die Widerstandsfähigkeit und Wiederherstellbarkeit des Unternehmens ausrichten.
Da viele Business Continuity-Programme um die Aufmerksamkeit aller anderen Prioritäten eines Unternehmens kämpfen, kann der schlimmste Feind eines Business Continuity-Programms die inkonsequente Ausführung sein. Eine konsequente Durchführung bildet die Grundlage für die Integration eines Programms in die Strategie, die Betriebsabläufe und sogar in andere Risikomanagementdisziplinen des Unternehmens. In vielen Fällen ist die Wirksamkeit eines Programms nur so stark wie sein schwächstes Glied. Ein Programm, das zum Beispiel die Dokumentation des Plans ständig aktualisiert, aber keine Übungen durchführt oder seine Mitarbeiter nicht schult, geht weiterhin unnötige Geschäftsrisiken ein. Richtlinien legen die Ziele der Organisation und des Managements fest, die wiederum die nötige Motivation für die Durchführung der erforderlichen Business Continuity-Aktivitäten und die Beseitigung solcher Risiken liefern.
Das Benchmarking von Business Continuity-Programmen ist, offen gesagt, eine Herausforderung. Beim Vergleich einer Vielzahl von Programmkapazitäten und -elementen im gesamten Unternehmen kann es schwierig sein, den Fortschritt oder die Leistung zu bewerten; die Richtlinie kann jedoch als interner Maßstab für die Überprüfung des Programms durch das Management dienen. Jedes Jahr sollte eine Richtlinie vor dem Hintergrund der strategischen Vision, die das Management für das Unternehmen und das Business Continuity-Programm festlegt, überprüft und neu bewertet werden. Dieser Prozess der Überprüfung und ggf. Aktualisierung der Richtlinie bietet einen aktuellen und messbaren Maßstab dafür, wie das Business Continuity-Programm mit den Zielen des Unternehmens übereinstimmt. Wenn das Klischee „was gemessen wird, wird auch gemacht“ bei der Geschäftsleitung Anklang findet, kann das Business Continuity-Programm seine Richtlinie nutzen, um eine messbare Bewertung der Leistung des Programms zu liefern.
Eine Geschäftskontinuitätsrichtlinie kann auch die wichtige Rolle spielen, eine Vision für die organisatorische Kontinuität und Wiederherstellbarkeit zu schaffen, wenn es nur wenige oder gar keine engagierten Mitarbeiter für das Programm gibt. Wenn die Richtlinie im gesamten Unternehmen kommuniziert wird, bietet sie einen gemeinsamen Erwartungshorizont.
Ebenso haben Branchen ohne regulatorische Anforderungen an die Geschäftskontinuität manchmal nicht denselben Anreiz, sich mit den Risiken der Geschäftskontinuität zu befassen, verglichen mit Branchen mit strengen Anforderungen. Der US-Bankensektor beispielsweise hat ein externes Mandat, die Anforderungen des FFIEC-Handbuchs zur Geschäftskontinuität zu erfüllen, und die Ergebnisse haben einige der widerstandsfähigsten Organisationen und ausgereiftesten Geschäftskontinuitätsprogramme der Welt hervorgebracht. Eine Business Continuity Policy kann der Standard und der Anreiz sein, den eine nicht regulierte Organisation braucht, um ein Programm auf das gleiche Erfolgsniveau zu bringen.
Was sind die Einwände gegen eine Police?
Einwände gegen die Entwicklung einer Business Continuity Policy sind oft kulturell bedingt. In den meisten Fällen sind die Einwände gegen die Erstellung von Richtlinien darauf zurückzuführen, dass das Unternehmen nur wenige Richtlinien für andere Geschäftsaktivitäten hat. Diese Bedenken sind verständlich in Organisationen, die keine Richtlinien in dem oben beschriebenen Format haben, oder in Kulturen, in denen Richtlinien allein nicht die Kraft haben, Veränderungen zu bewirken. In diesen Situationen können weniger formelle Methoden zur Kommunikation von Erwartungen ausreichen, auch wenn es sich nicht um eine formelle Erklärung zu den Richtlinien handelt. Eine vom Management genehmigte Anpassung an einen Standard kann die Antwort sein, oder eine weniger formelle E-Mail oder ein Brief von einem leitenden Angestellten. Alles in allem erfordert es vielleicht etwas Kreativität, aber ein von der Geschäftsleitung genehmigtes Mandat ist notwendig, um ein wiederholbares Programm aufzubauen, das die notwendigen Programmelemente konsistent ausführt, eine Leistungsmessung ermöglicht und die Programmerwartungen klar kommuniziert.
Richtlinienempfehlung
Unabhängig davon, ob ein Unternehmen in der Vergangenheit Richtlinien erstellt hat oder nicht, sollte die Unternehmensleitung die Entwicklung formeller Erwartungen an das Business Continuity-Programm in Betracht ziehen. Wenn dies richtig gemacht wird, stehen alle Interessengruppen eines Unternehmens hinter einer gemeinsamen Reihe von Erwartungen. Da nur relativ wenige Unternehmen ein Team engagierter Business Continuity-Experten beschäftigen, ist die Festlegung von Managementerwartungen für ein dezentrales Programm von entscheidender Bedeutung. Es sollte eine Richtlinie erstellt, genehmigt, häufig überprüft und allen internen Interessengruppen mitgeteilt werden, um die Priorisierung und Nachhaltigkeit eines Business Continuity-Programms zu gewährleisten, das wichtige Unternehmensinteressen schützt.
