Diese Perspektive bietet einen Überblick über die Professional Practice 5 (PP5) des Business Continuity Institute – die Implementierung, d.h. die professionelle Praxis, die „die vereinbarten Strategien und Taktiken durch den Prozess der Entwicklung des Business Continuity Plan (BCP) ausführt“. Als Teil des Lebenszyklus der Business Continuity-Planung werden die Implementierungsaktivitäten nach der Strategieauswahl in PP4 fortgesetzt, mit dem Ziel, Business Continuity-Pläne zu dokumentieren, die die Organisation bei der Wiederherstellung auf strategischer, taktischer und operativer Ebene unterstützen.

PP5 ÜBERBLICK

PP5 bietet Praktikern im Bereich Business Continuity Anleitungen zu zwei Themen, die sich speziell auf die Dokumentation der Business-Continuity-Pläne der Organisation beziehen. Erstens bieten die Good Practice Guidelines (GPGs) eine detaillierte Beschreibung eines Business Continuity Plans, einschließlich allgemeiner Grundsätze sowie Konzepte und Annahmen für die Dokumentation von Plänen. Zweitens bietet PP5 eine Anleitung zur Entwicklung eines Business-Continuity-Plans sowie zur Verwaltung des Plans nach seiner Erstellung. Lassen Sie uns einen tieferen Blick in jeden Bereich werfen.

Der Business Continuity Plan
Die GPGs legen den Grundstein für eine effektive Plandokumentation, indem sie definieren, was ein Business Continuity Plan eigentlich ist. Das Hauptziel eines Business Continuity Plans ist es, wie in den GPGs beschrieben, „die Prioritäten, Verfahren, Verantwortlichkeiten und Ressourcen zu identifizieren und zu dokumentieren, um die Organisation bei der Bewältigung eines störenden Ereignisses zu unterstützen und gleichzeitig Kontinuitäts- und Wiederherstellungsstrategien auf einem vorher festgelegten Serviceniveau zu implementieren“. Die GPGs beschreiben die Zielgruppe des Plans und erinnern den Praktiker daran, die Pläne direkt, anpassungsfähig, prägnant und relevant zu halten. Um genauer zu definieren, wie ein Plan innerhalb einer Organisation funktionieren soll, empfehlen die GPGs die Erstellung von Business Continuity Plänen auf strategischer, taktischer und operativer Ebene. Dies ist vergleichbar mit den Ansätzen, die im Rahmen der Analyse der Auswirkungen auf das Geschäft und der Strategieentwicklung beschrieben wurden. Während das Modell der strategischen, taktischen und operativen Ebene auf die meisten Organisationen angewendet werden kann, empfehlen die GPGs, die Gesamtstruktur einer Organisation zu verwenden, um den Ansatz auf der Grundlage der einzigartigen Größe und Struktur einer bestimmten Organisation anzupassen. Bei der Anwendung auf Implementierungsaktivitäten umfassen diese Ebenen:

  • Strategische Pläne – Ein Plan auf strategischer Ebene ist nach der Definition der GPGs „ein Plan auf hoher Ebene, der festlegt, wie strategische Fragen, die sich aus einem größeren Zwischenfall ergeben, von der obersten Führungsebene angegangen und bewältigt werden sollen“. Mit anderen Worten: Diese Pläne gehen von einer eher makroökonomischen Sichtweise der Organisation aus und sollen eine Orientierung für die langfristige Richtung oder das „große Ganze“ bieten.
  • Taktische Pläne – Pläne auf taktischer Ebene, wie sie von den GPGs definiert werden, „koordinieren und verwalten die Wiederherstellung eines bestimmten Teils einer Organisation“. Mit anderen Worten, diese Pläne sind eher prozessorientiert und konzentrieren sich auf die Wiederherstellung einer Gruppe von miteinander verbundenen Aktivitäten, die einen wichtigen Output liefern.
  • Operative Pläne – Pläne auf operativer Ebene, wie sie von den GPGs definiert werden, „sorgen für die Wiederherstellung der in der BCP abgedeckten Geschäftsaktivitäten“. Mit anderen Worten: Operative Pläne gehen von einer eher mikroskopischen Sicht auf das Unternehmen aus. Während sich die Pläne auf taktischer Ebene auf einen Prozess beziehen, der aus mehreren Aktivitäten besteht, beziehen sich die operativen Pläne auf eine bestimmte Geschäftsaktivität.

Entwicklung und Verwaltung von Plänen
Während im ersten Abschnitt von PP5 definiert wird, was ein Business Continuity Plan ist, wie er auf verschiedenen Ebenen innerhalb eines Unternehmens angewendet werden kann und warum er für das Unternehmen wichtig ist, gibt der zweite Abschnitt Hinweise zur Dokumentation der Pläne. In den GPGs wird hervorgehoben, dass der Praktiker die Pläne auf strategischer Ebene dokumentieren kann, bevor die oberste Führungsebene eine Wiederherstellungsstrategie auswählt (aufgrund der hochrangigen Natur der Pläne). Die taktischen und operativen Pläne erfordern jedoch vor der Planentwicklung festgelegte Wiederherstellungsstrategien, da die Pläne aus spezifischen Schritten bestehen, die beschreiben, wie bestimmte Strategien implementiert werden und wie mit diesen Strategien gearbeitet wird, bis die Organisation zur Normalität zurückkehrt. Darüber hinaus wird in den GPGs beschrieben, welche spezifischen Informationen die Pläne abdecken sollten, einschließlich, aber nicht beschränkt auf Folgendes:

  • Zweck und Umfang
  • Zielsetzungen und Annahmen
  • Struktur für das Management von Vorfällen
  • Verantwortlichkeiten/Mitgliedschaft im Reaktionsteam
  • Aktivierung planen
  • Kontaktinformationen (für interne/externe Interessengruppen)
  • Orte für Teamtreffen
  • Kommunikation (für interne/externe Interessengruppen)
  • Schlüsselinformationen (z.B. Details zu den von der Organisation priorisierten Aktivitäten und Zeitrahmen)
  • Aktionslisten und Verfahren

Die übrigen Abschnitte von PP5 enthalten zusätzliche Anleitungen zur Dokumentation strategischer, taktischer und operativer Pläne, einschließlich Anleitungen zur Art der Informationen, die je nach Planebene zu sammeln sind, sowie Anleitungen zur Strukturierung von Wiederherstellungsmaßnahmen für die verschiedenen Planebenen.

Die folgende Tabelle zeigt, wie genau PP5 die in ISO 22301 beschriebenen Anforderungen widerspiegelt:

PP5 WERT

Definiert die Zusammensetzung von Plänen auf allen Ebenen
Ein großer Teil des Wertes von PP5 liegt in der Definition der Planinhalte auf strategischer, taktischer und operativer Ebene und in der Frage, wie jeder dieser Plantypen auf Organisationen unterschiedlicher Größe angewendet werden kann. Durch die Bereitstellung eines Überblicks auf hoher Ebene und des Umfangs der Zielsetzung jeder Art von Plan kann der mit der Planerstellung beauftragte Praktiker Pläne entwickeln, die für den beabsichtigten Zweck und die Zielgruppe den richtigen Detaillierungsgrad aufweisen. Diese Anleitung ist wichtig, da die Führungsebene keine Schritt-für-Schritt-Verfahren zur Wiederherstellung einer bestimmten Geschäftsaktivität wünscht. Umgekehrt wird ein strategischer Plan auf hoher Ebene einem Abteilungsleiter, der mit der Wiederherstellung einer bestimmten Geschäftstätigkeit beauftragt ist, nicht helfen. Indem er den gewünschten Planinhalt auf jeder der drei Ebenen zusammenfasst, stellt der Praktiker sicher, dass alle Pläne für den beabsichtigten Zweck und die Zielgruppe relevant sind.

Identifiziert die Art von Plänen, die für verschiedene Organisationen geeignet sind
Wie bereits erwähnt, sind strategische, taktische und operative Pläne für die meisten Organisationen geeignet, und die GPGs bieten Anleitungen für die Umsetzung jedes der drei Pläne in verschiedenen Arten von Organisationen. Diese Informationen sind wertvoll, da sie die Relevanz des Plans und die Angemessenheit der Wiederherstellungsverfahren auf der Grundlage einzigartiger Geschäftsanforderungen gewährleisten. Ein kleines Unternehmen mit nur einem Standort kann beispielsweise alle relevanten Informationen in einem einzigen Plan erfassen, während ein großes multinationales Unternehmen möglicherweise viele verschiedene Pläne auf allen Ebenen benötigt, um den angemessenen Detailgrad zu erfassen. Solange ein Unternehmen die richtigen Aktivitäten und Schwerpunkte auf strategischer, taktischer und operativer Ebene erfasst, bieten die GPGs ein gewisses Maß an Flexibilität.

Zeigt die Grundlagen des Planinhalts
Vielleicht ist eines der wichtigsten Dinge, zu deren Klärung PP5 beiträgt, welche Art von Informationen ein Plan enthalten sollte. Die GPGs bieten einen Rahmen für den Mindestinformationsbedarf. Diese Anforderungen an den Inhalt eines Plans spiegeln die ISO 22301 (Abschnitt 8.4.4) fast identisch wider. Der Abschnitt über die Entwicklung und Verwaltung von Plänen (siehe oben) sorgt für ein gewisses Maß an Standardisierung bei allen Plänen, unabhängig davon, ob sie auf strategischer, taktischer oder operativer Ebene angesiedelt sind. Diese Standardisierung stellt sicher, dass die Pläne direkt, anpassungsfähig, prägnant und relevant sind, was notwendig ist, um sicherzustellen, dass die Pläne zum Zeitpunkt einer Störung nutzbar sind.

PP5 FALLSTUDIE

Unternehmen X ist ein großes multinationales Unternehmen mit Hauptsitz in den Vereinigten Staaten, das Reinigungsgeräte und Lösungsmittel für gewerbliche Reinigungsunternehmen anbietet. Das Unternehmen hat Produktionsstätten in Mexiko, den Vereinigten Staaten, Deutschland und Indien. Kürzlich verlangte einer seiner größten Kunden, dass Unternehmen X im Rahmen einer Vertragserneuerung den Nachweis eines Business-Continuity-Programms erbringt. Als Reaktion auf die Forderung des Kunden begann Unternehmen X mit der Implementierung eines Business-Continuity-Programms.

Nachdem bestimmt worden war, welche Abteilungen und Prozesse betroffen waren, eine Analyse der Auswirkungen auf das Geschäft und eine Risikobewertung durchgeführt und geeignete Reaktions- und Wiederherstellungsstrategien ermittelt worden waren, begann das Unternehmen mit der Dokumentation von Plänen zur Aufrechterhaltung des Geschäftsbetriebs. Aufgrund der Struktur des Unternehmens stellte das Unternehmen fest, dass es Pläne auf strategischer, taktischer und operativer Ebene umsetzen muss. Krisenmanagementpläne würden auf allen drei Ebenen existieren, mit einem strategischen Plan für das Corporate Crisis Management Team (CMT), taktischen Plänen für die CMTs auf Standortebene und operativen Plänen für die einzelnen Department Recovery Teams.

Der strategische Plan für das CMT des Unternehmens konzentrierte sich auf die großen Risiken, die bei der Analyse der Auswirkungen auf das Geschäft und der Risikobewertung aufgedeckt wurden, und darauf, wie das CMT des Unternehmens die Wiederherstellung seiner kritischen Produkte und Dienstleistungen im Falle einer größeren Störung priorisiert. Unternehmen X hat zum Beispiel ein Produkt, das fast 40 % des Gesamtumsatzes ausmacht. Das CMT des Unternehmens hat dieses Produkt als Hauptschwerpunkt für die Wiederherstellung festgelegt, während andere Produkte auf der Grundlage der zuvor festgelegten Prioritäten und Zeitpläne erst in zweiter Linie wiederhergestellt werden. Der strategische Plan dokumentiert die Wiederherstellungsprioritäten als Hilfe für das Corporate CMT bei der Entscheidungsfindung während eines Störfalls, der das Unternehmen als Ganzes betrifft.

Die taktischen Pläne für die CMTs der Standorte konzentrierten sich auf die Bereitstellung von Leitlinien und angemessenen Ressourcen für die Reaktion und Wiederherstellung von Geschäftsprozessen und Abteilungen. Die CMTs der Standorte fungieren als Bindeglied zum Corporate CMT, wenn zusätzliche Unterstützung benötigt wird. Der taktische Plan unterstützt die CMTs der Standorte bei der Wiederherstellung der einzelnen Abteilungen. Im Falle einer größeren oder schwerwiegenderen Störung würden die Standort-CMTs Ressourcenanfragen im Namen des Standorts und der Abteilungen an das Corporate CMT weiterleiten und die Ressourcen an die Abteilungen zurückgeben. Das folgende Diagramm zeigt diese Beziehung zwischen dem CMT des Standorts und den Wiederherstellungsteams der Abteilungen.

Die operativen Pläne für die Wiederherstellungsteams der Abteilungen konzentrieren sich auf die Wiederherstellung einer bestimmten Abteilung und der ihr untergeordneten Geschäftsaktivitäten. Während eines Störfalls geben die Einsatzpläne den Abteilungen Verfahren an die Hand, mit denen sie Informationen und Ressourcenanfragen an die CMTs des Standorts weiterleiten können. Die CMTs des Standorts leiten im Gegenzug die Prioritäten und Ressourcen für die Wiederherstellung an die Abteilung weiter. Die Einsatzpläne beantworten auch zwei wichtige Fragen:

  1. Wie stellt die Abteilung ihre zeitkritischsten Geschäftsaktivitäten wieder her, wenn es zu einer Störung der Mitarbeiter, des Arbeitsplatzes, der Technologie oder der Zulieferer kommt; und
  2. Wie kann die Abteilung mit diesen Wiederherstellungsstrategien und Ressourcen arbeiten, bis sie zur Normalität zurückkehren kann?

Das Ergebnis der Strukturierung der Pläne auf strategischer, taktischer und operativer Ebene ist, dass Unternehmen X nun in der Lage ist, auf eine Störung auf jeder Ebene des Unternehmens mit Zuversicht zu reagieren. Auf der Grundlage der GPG-Anleitung führen direkte, anpassungsfähige, prägnante und relevante Pläne die Benutzer erfolgreich durch eine Reaktion und Wiederherstellung.

ABSCHLIESSENDE GEDANKEN

Die Entwicklung und Verwaltung von Business-Continuity-Plänen auf allen Ebenen ist ein entscheidender Bestandteil der Implementierung eines erfolgreichen Business-Continuity-Programms. PP5 vermittelt den Lesern ein umfassendes Verständnis dafür, was ein Business Continuity-Plan umfassen sollte und wie Pläne für Unternehmen jeder Art und Größe entwickelt und verwaltet werden können.