Dieser Artikel bietet einen Überblick über die GPG Professional Practice 1 (PP1) – Policy and Program Management, die erste der sechs Professional Practices, und erörtert die Bedeutung und die Empfehlungen bei der Schaffung der Grundlage für ein wiederholbares und skalierbares Business Continuity-Programm.

PP1 ÜBERBLICK

PP1 skizziert eine Reihe von Aktivitäten, die Unternehmen vor der Durchführung von Business Continuity Planning-Aktivitäten (Business Impact Analysis bis hin zu Übungen) durchführen sollten:

  • Legen Sie eine GESCHÄFTSFÜHRUNGSPOLITIK fest, die „interessierten Parteien die Grundsätze vermittelt, die die Organisation anstrebt“, indem sie den Zweck und die Ziele des Programms für Geschäftskontinuität umreißt. Eine aussagekräftige Programmrichtlinie sollte kurz und prägnant sein und gleichzeitig die notwendigen Programmdetails enthalten, an denen die Leistung des Programms gemessen werden kann. PP1 schlägt vor, dass die Richtlinien die Definition von Business Continuity, den Umfang des Programms, die beteiligten Parteien und die Art und Weise, wie das Programm verwaltet wird, enthalten.
  • BESTIMMEN SIE EINEN PROGRAMMABSTAND, der definiert, „was [the program] und das maximale Ausmaß von Schäden, Verlusten oder Unterbrechungen, die das Unternehmen realistischerweise überleben kann.“ Oftmals entscheiden sich Unternehmen dafür, ihr Business Continuity-Programm zunächst auf einen Teilbereich des Unternehmens zu konzentrieren (im Gegensatz zum gesamten Unternehmen), wobei die Geschäftsleitung in der Regel die wichtigsten Produkte oder Dienstleistungen auswählt, die das Unternehmen anbietet (z. B. umsatzbringende, nach außen gerichtete). Ein gut ausgearbeitetes Scope Statement dokumentiert eindeutig, was im Programm enthalten ist und was nicht (Ausschlüsse). Auf diese Weise können Sie Ihre Ressourcen auf das konzentrieren, was am wichtigsten und zeitkritisch ist, und vermeiden, dass Planungsaktivitäten (z.B. die Entwicklung von Plänen) außerhalb der genehmigten Programmgrenzen durchgeführt werden.
  • DEFINIEREN Sie eine GOVERNANCE, die ein von der obersten Führungsebene unterstütztes Programm einrichtet. Dies trägt dazu bei, dass das Management die Programmumsetzung kontinuierlich vorantreibt und die Leistung und Ergebnisse des Programms überwacht/bewertet. Die erforderliche Unterstützung durch das Management kann die Genehmigung des notwendigen Budgets oder der Investitionen, die Bereitstellung von angemessenem Personal, die Teilnahme an gut sichtbaren Programmaktivitäten und die regelmäßige Überprüfung der Programmergebnisse umfassen.
  • IMPLEMENTIEREN SIE EIN BCM-PROGRAMM, das nachhaltig und wiederholbar ist und auf einem vom Management genehmigten Umfang und Zielen basiert. Im Rahmen der Programmimplementierung sollten die Fachleute die Einbindung der Stakeholder durchführen (z.B. durch eine Präsentation, eine Einführung in das Programm oder ein Tischgespräch), Programmelemente ausführen (z.B. eine Analyse der Auswirkungen auf das Geschäft, die Entwicklung eines Plans und Testaktivitäten), das Bewusstsein der Mitarbeiter schärfen und eine kontinuierliche Verbesserung durch die Anwendung von Projekt-/Programmmanagementtechniken sicherstellen.
  • Weisen Sie ROLLEN UND VERANTWORTLICHKEITEN Personen zu, die das Business Continuity-Programm gemäß den Erwartungen des Managements ordnungsgemäß umsetzen und aufrechterhalten können. Als Teil des Einführungsprozesses der Mitarbeiter muss das Management sicherstellen, dass die zugewiesenen Mitarbeiter über die notwendigen Kompetenzen für ihre Rolle innerhalb des Business Continuity-Programms verfügen; ist dies nicht der Fall, müssen die Mitarbeiter die notwendigen internen oder externen Schulungen absolvieren.
  • ANWENDUNG VON PROJEKT- UND PROGRAMMVERWALTUNGSTECHNIKEN , um eine konsistente Projektumsetzung zu ermöglichen, die den Erwartungen des Managements entspricht und innerhalb des genehmigten Zeitplans und Budgets bleibt. Um dies zu erreichen, sollten die Mitarbeiter eine Liste von Elementen des Programmmanagements erstellen, wie z.B. Ziel, Umfang, Zeitplan, Aufgaben, Personal, Ressourcen und Meilensteine, und sicherstellen, dass diese Elemente vor dem Projektstart ordnungsgemäß identifiziert werden. Sobald die Projekte abgeschlossen und das Programm vollständig implementiert ist, müssen die Mitarbeiter den Zyklus der kontinuierlichen Verbesserung fortsetzen, um die Effektivität des Programms zu gewährleisten, was durch regelmäßige Selbstbewertungen, Audits oder Benchmarking-Studien geschehen kann.
  • VERWALTEN SIE AUSGEWÄHLTE AKTIVITÄTEN UND DIE KONTINUITÄT DER LIEFERANTENKETTE, um die Auswirkungen eines Zwischenfalls auf die Organisation zu minimieren, wenn ein Dritter betroffen ist, auf den die Organisation angewiesen ist. Unternehmen können (und sollten) eingehende Anbieter/Lieferanten vorqualifizieren, indem sie das Business Continuity-Programm und die Dokumentation des Anbieters/Lieferanten prüfen und bewerten, und sie sollten die Service Level Agreements und Wiederherstellungsstrategien der Anbieter regelmäßig überwachen, um sicherzustellen, dass sie den internen Erwartungen entsprechen.
  • Verwalten Sie die Programmdokumentation, damit die Dokumente konsistent und einfach zu verwenden sind. Je nach Größe des Unternehmens entscheiden sich einige Praktiker für die Verwendung von Software zur Verwaltung der internen Business Continuity-Dokumentation (z.B. BIAs und Pläne). Unabhängig von der Methode sollten Organisationen sicherstellen, dass alle erforderlichen Dokumente entwickelt werden, allen beteiligten Parteien zugänglich sind und regelmäßig überprüft/aufgefrischt werden.

PP1 WERT

PP1 enthält eine Reihe grundlegender Elemente, die notwendig sind, um sicherzustellen, dass die Geschäftskontinuität mit der Unternehmensstrategie übereinstimmt. PP1 trägt auch zu einem wiederholbaren Planungsprozess bei, um Business Continuity-Ergebnisse zu erzielen, die den Bedürfnissen und Erwartungen der Stakeholder entsprechen.

Ohne die PP1-Ergebnisse würde dem Business Continuity-Programm der Fokus und die Priorität fehlen, und es ist wahrscheinlich, dass die Programmteilnehmer nur raten würden, was ihre Rolle ist und wie sie sich am besten in die Planungsbemühungen einbringen können.

PP1 Wertübersicht:

  • EINE RICHTLINIE, DIE DAS BUSINESS CONTINUITY-PROGRAMM AUF DIE BESTEN PRAKTIKEN DER BRANCHE ABSTIMMT. Branchenexperten entwickeln Best Practices und Standards (z.B. BCI Good Practices und ISO 22301) auf der Grundlage gemeinsamer Praktiken und Richtlinien für verschiedene Branchen, Länder und organisatorische Aspekte. Praktiker, die die Best Practices für die Programmentwicklung befolgen, stellen sicher, dass das Business Continuity-Programm des Unternehmens die gängigen und bewährten Strategien der Branche sowie die sich entwickelnde Bedrohungs- und Planungsumgebung widerspiegelt.
  • EINE RICHTLINIE BIETET KUNDEN/KLIENTEN SICHERHEIT. Viele Unternehmen verlangen, dass ihre Lieferanten und Zulieferer über ein etabliertes Business Continuity-Programm verfügen, um die Kontinuität von Lieferanten und Zulieferern zu gewährleisten. Eine etablierte Programmrichtlinie bietet dem Unternehmen eine konsistente und prägnante Zusammenfassung seines Programms, die Kunden oder Klienten als Referenz zur Verfügung gestellt werden kann.
  • EINE RICHTLINIE GEWÄHRLEISTET DIE KONSISTENZ DES PROGRAMMS. Große Unternehmen entscheiden sich oft dafür, ein großes, engagiertes internationales Business Continuity Team einzusetzen oder lokale/regionale Mitarbeiter zur Unterstützung bei der Einführung des Programms zu verwenden. Eine klare Grundsatzerklärung legt die Erwartungen für alle Mitarbeiter und Programmteilnehmer im Unternehmen fest, sorgt für eine konsistente Programmausführung und vermittelt die Ziele, Antriebskräfte und Erwartungen des Managements. Darüber hinaus helfen gut etablierte Programmaktivitäten, Projektmanagementstrategien sowie Rollen und Verantwortlichkeiten bei diesen Bemühungen.
  • EINE RICHTLINIE GEWÄHRLEISTET DIE WIEDERHOLBARKEIT DES PROGRAMMS. Eine gut ausgearbeitete Richtlinie, die den Umfang, die Teilnehmer und die Aktivitäten des Programms klar definiert, verhindert, dass das Management das Programm Jahr für Jahr neu definiert und erfindet. Das Programm selbst sollte sich zwar ändern, wenn sich die Prioritäten des Unternehmens oder die Bedrohungen ändern, aber eine dokumentierte Richtlinie bietet dem Management eine Grundlage, die es bei Bedarf überprüfen und ändern kann.
  • EINE POLITIK DAS MANAGEMENT EINBEZIEHT UND DESSEN UNTERSTÜTZUNG GEWINNT. Die Zustimmung des Managements ist von entscheidender Bedeutung, wenn es darum geht, Programmverbesserungen voranzutreiben und laufende Änderungen vorzunehmen, um den sich entwickelnden Bedrohungsumgebungen Rechnung zu tragen und gleichzeitig interne und externe Verpflichtungen zu erfüllen. Die Zustimmung des Managements trägt auch dazu bei, das Bewusstsein der Organisation zu schärfen und die Programmaktivitäten voranzutreiben. Die Verabschiedung einer vom Management genehmigten Richtlinie trägt dazu bei, die Dynamik zu erhalten und die Planungsstrategien mit den Prioritäten des Unternehmens in Einklang zu bringen.

PP1 FALLSTUDIE

Wenn Unternehmen beschließen, ein Business Continuity-Programm zu implementieren, neigen viele dazu, sich direkt auf die taktischen Programmelemente zu stürzen (wie z.B. die Durchführung einer Analyse der Auswirkungen auf das Geschäft und die Entwicklung von Plänen) und ignorieren dabei die Notwendigkeit, zunächst eine solide Programmgrundlage zu schaffen, auf der diese Programmelemente aufbauen können. Auch wenn die taktischen Elemente oft am sichtbarsten sind, gibt es zahlreiche Gründe, warum sich ein Unternehmen die Mühe machen sollte, die in PP1 enthaltenen Hinweise zu befolgen.

Die folgende Fallstudie veranschaulicht, warum es für Unternehmen von Vorteil ist, ein wiederholbares Programm und eine Richtlinie zu erstellen, bevor sie sich direkt an die Umsetzung taktischer Elemente des Business Continuity Lifecycle machen.

Der Vorstand von Unternehmen X hat dem Unternehmen die Anweisung erteilt, ein Business Continuity-Programm zu implementieren. Um der Richtlinie nachzukommen, beauftragte das Unternehmen eine interne Ressource als Business-Continuity-Koordinator, mit diesem Prozess zu beginnen. Nach der Lektüre einer Reihe von Webartikeln beschloss der Koordinator, zunächst eine Analyse der Auswirkungen auf den Geschäftsbetrieb durchzuführen und die Dokumentation des Business Continuity-Plans zu erstellen. Nachdem die Dokumentation des Plans fertiggestellt war, stellte der Koordinator fest, dass es ein paar große Probleme gab:

  • Sie wusste nicht, ob die Organisation die Erwartungen des Managements wirklich erfüllen könnte, wenn es tatsächlich zu einem störenden Zwischenfall käme.
  • Sie erkannte, dass es sich bei ihren Bemühungen um eine punktuelle Bewertung handelte und wusste nicht, wie die Bemühungen nach dem ersten Versuch weitergehen würden
  • Sie war nicht der Meinung, dass die Organisation tatsächlich in einer viel besseren Position war als vor ihren Bemühungen, da sie keine Ressourcen in tatsächliche Wiederherstellungsmöglichkeiten (z.B. einen alternativen Arbeitsplatz oder IT-Notfallwiederherstellung) investiert hatte.
  • Die Leute, die sie ursprünglich an den Bemühungen beteiligen wollte, haben sich nicht wirklich beteiligt, da sie an niedrigere Ebenen der Organisation delegiert haben

Aufgrund dieser Bedenken begann die Business-Continuity-Koordinatorin, weitere Nachforschungen anzustellen und mit Branchengruppen zu sprechen. Durch diese zusätzlichen Nachforschungen wurde ihr klar, dass sie vor der Durchführung von Business Continuity-spezifischen Aktivitäten kein Programm erstellt hatte. Daher erzielte sie nicht die Ergebnisse, die sie zu erreichen hoffte. Die Koordinatorin ging daraufhin einen Schritt zurück und führte die folgenden Maßnahmen durch:

  • Sie entwickelte, präsentierte und erhielt die Zustimmung der obersten Führungsebene für ihre Geschäftskontinuitätspolitik, die veröffentlicht und im Unternehmen bekannt gemacht wurde.
  • Entwicklung von Standardarbeitsanweisungen, die den Prozess beschreiben, mit dem sie die Business Continuity-Aktivitäten umsetzt, um sicherzustellen, dass der Prozess immer wieder stattfindet
  • Gründung eines Lenkungsausschusses, der Beiträge zum Umfang des Programms und zu den Toleranzen für Ausfallzeiten lieferte, Ergebnisse und Investitionen überprüfte und genehmigte, die Führung übernahm und das richtige Maß an Beteiligung und Unterstützung sicherstellte

Im Anschluss an diese Maßnahmen stellte der Koordinator fest, dass das Programm auf die strategischen Ziele des Unternehmens abgestimmt war, von den entsprechenden Führungsebenen des Unternehmens unterstützt wurde und die Erwartungen der internen und externen Stakeholder bei einem tatsächlichen Störfall tatsächlich erfüllen konnte.

SCHLUSSFOLGERUNG

Die in den BCI Good Practices enthaltenen Anleitungen helfen Praktikern beim Verständnis und der Umsetzung des Programms und gewährleisten gleichzeitig die Übereinstimmung mit den internationalen Standards der ISO 22301.