Die Business Continuity-Branche hat in letzter Zeit viel von Plan, Do, Check Act (PDCA) gehört. Nahezu jeder neue Standard folgt diesem Ansatz, von BS 25999 und NFPA 1600 (Ausgabe 2010) bis hin zum neuen amerikanischen Business Continuity Standard, der von ASIS erstellt wird. Es scheint jedoch viel Verwirrung darüber zu herrschen, was PDCA ist – und was es für die Geschäftskontinuität bedeutet.
Das PDCA-Modell ist der Grundbaustein eines Managementsystems, das sich darauf konzentriert, die Entscheidungsfindung auf Managementebene in traditionelle Programmpraktiken zu integrieren. Die „traditionellen“ Aktivitäten des Business Continuity-Programms, wie z.B. die Analyse der Auswirkungen auf das Geschäft und die Entwicklung eines Plans, fallen meist in eine der Kategorien („do“) – siehe Abbildung 1 -, aber der Wert des PDCA-Modells liegt darin, dass diese Aktivitäten durch Input und Feedback des Managements ergänzt werden, wodurch eine kontinuierliche Verbesserung gewährleistet wird. In den folgenden Abschnitten werden die Komponenten eines PDCA-Ansatzes für Business Continuity aufgeschlüsselt, wobei der Schwerpunkt darauf liegt, welche Aktivitäten dem Programm Ihres Unternehmens den größten Nutzen bringen.
Plan
Der „Plan“-Prozess legt Ziele, Vorgaben, Kontrollen, Prozesse und Verfahren für das Programm fest, um Ergebnisse in Übereinstimmung mit den allgemeinen Richtlinien und Zielen einer Organisation zu erzielen. In Bezug auf die Geschäftskontinuität beinhaltet dies die Definition des Programms für das Business Continuity Management, einschließlich der Festlegung von Standards, der Erstellung einer Grundsatzerklärung, der Ernennung eines Programmsponsors und eines Lenkungsausschusses sowie der Festlegung eines anfänglichen Programmumfangs und einer Risikotoleranz.
Eine der wichtigsten „Plan“-Aktivitäten besteht darin, dass die Geschäftsleitung festlegt, was sie im Hinblick auf ihr Business Continuity-Programm schützen und wiederherstellen möchte. Diese werden in der Regel als „kritische Produkte und Dienstleistungen“ bezeichnet. Die Formulierung der Hauptziele des Business Continuity-Programms als wichtige organisatorische Ergebnisse trägt dazu bei, das Business Continuity-Programm in der Sprache der Geschäftsleitung zu positionieren und so das Verständnis, die Unterstützung und die Beteiligung der Geschäftsleitung zu gewinnen.
Machen Sie
Der „Do“-Prozess implementiert und betreibt die Business Continuity-Politik, Kontrollen, Prozesse und Verfahren. Dies umfasst eine Reihe von Maßnahmen, um die Organisation für Business Continuity-Ereignisse zu verstehen, zu strategisieren, zu planen und zu testen.
Wie bereits erwähnt, werden im „Do“-Prozess die üblichen Business Continuity-Aufgaben durchgeführt. Der erste Schritt im „Do“-Prozess ist die Durchführung einer Business Impact Analysis (BIA) und einer Risikobewertung. Die Analyse der Auswirkungen auf das Geschäft ordnet kritische Produkte und Dienstleistungen den einzelnen Abteilungen und Aktivitäten zu und versucht, die Wiederherstellungsziele für jede Abteilung zu ermitteln. Der Zweck der Risikobewertung besteht darin, die Folgen von Störungsereignissen und die Eignung der aktuellen Kontrollen zur Verhinderung des Störungsereignisses zu beschreiben sowie Empfehlungen für Kontrollen abzugeben, die mit der Risikotoleranz des Unternehmens in Einklang stehen.
Der zweite Schritt ist die Identifizierung von Optionen für Risikominderung, Reaktion und Wiederherstellungsstrategien und nach der Auswahl die Umsetzung dieser Risikobehandlungen. Der dritte Schritt besteht in der Ausarbeitung von Plänen, die so verfasst sein sollten, dass sie unabhängig von der Erfahrung der verantwortlichen Person wiederholbare Reaktions- und Wiederherstellungsmaßnahmen ermöglichen. Der letzte Schritt ist die organisationsweite Schulung und Validierung von Strategien und Plänen durch Übungen sowie die Einleitung von Aktivitäten zur Programmpflege.
Prüfen Sie
Der „Check“-Prozess überwacht und überprüft die Leistung im Vergleich zu den festgelegten Zielen und Richtlinien des Managementsystems und meldet die Ergebnisse dem Management zur Überprüfung. Das Programm sollte einer internen Überprüfung unterzogen werden, um die Leistung des Programms anhand der vordefinierten Richtlinien und Ziele zu messen. Die Ergebnisse dieser Bewertungen sollten der Geschäftsleitung über den eingerichteten Business Continuity Lenkungsausschuss vorgelegt werden.
Vielleicht denken Sie jetzt: Das Management meines Unternehmens trifft sich kaum, um Ziele festzulegen, geschweige denn, um sie zu überprüfen. Wenn dies in Ihrem Unternehmen der Fall ist, ist die Implementierung eines Managementsystems wahrscheinlich genau die Lösung, die Sie brauchen. Anstatt lediglich Kennzahlen auf der Grundlage von BIA und Planüberprüfungen und -pflege zu präsentieren, ermöglicht der „Check“-Prozess dem Business Continuity-Programm, die Programmleistung in einer Sprache zu kommunizieren, die das Management versteht. Die Darstellung der Kontinuitätskapazitäten des Unternehmens im Hinblick auf die Ausrichtung auf vordefinierte organisatorische Ergebnisse (kritische Produkte und Dienstleistungen) hilft dem Management zu verstehen, wie das Programm in Bezug auf die für sie wichtigen Punkte abschneidet. Auf diese Weise können sie auch besser erkennen, wie sich Schlüsselrisiken tatsächlich auf das Unternehmen auswirken würden, so dass sie das Risiko akzeptieren oder Maßnahmen dagegen ergreifen können.
Kurz gesagt, der „Check“-Prozess stellt sicher, dass das Management für das Programm und die gesamte Business Continuity-Fähigkeit des Unternehmens verantwortlich ist.
Handeln Sie
Der „Act“-Prozess pflegt und verbessert das Programm, indem er Präventiv- und Korrekturmaßnahmen ergreift, die auf den Ergebnissen der Managementüberprüfung und der Neubewertung des Umfangs, der Business Continuity-Politik und der Ziele basieren. Dazu gehören die Aktualisierung und Pflege der Liste der Korrektur-/Vorbeugungsmaßnahmen (CAPA) und ein Überprüfungsprozess nach einem Vorfall sowie die Sicherstellung einer kontinuierlichen Verbesserung des Business Continuity-Programms, um das Business Continuity-Programm ständig an die Erwartungen des Managements anzupassen.
SOLLTE MEINE ORGANISATION DAS PDCA-MODELL VERWENDEN?
In vielen Organisationen sind die Konzepte von Managementsystemen bereits in viele bestehende Programme, wie z.B. das Qualitätsmanagement, integriert. Es ist daher wahrscheinlich, dass Ihr Führungsteam bereits mit den Konzepten von Managementsystemen vertraut ist und seine Rolle innerhalb eines Managementsystems versteht. Die Implementierung eines Managementsystem-Rahmens verbindet daher die Bemühungen zur Planung der Geschäftskontinuität mit allgemein verstandenen und definierten Geschäftszielen.
Die Bemühungen um Business Continuity werden durch Managementsystem-orientierte Modelle verbessert, die Fachjargon vermeiden und sich auf die Geschäftsergebnisse konzentrieren. Indem das Business Continuity-Programm in die wichtigsten organisatorischen Ergebnisse eingebettet wird, soll es sich auf die Ziele des Managements konzentrieren und in der Sprache des Unternehmens sprechen. Dadurch ist das Business Continuity-Programm in der Lage, echte Fähigkeiten und Ergebnisse zu kommunizieren, anstatt sich auf Mikro-Business-Continuity-spezifische Projekte zu konzentrieren.
WAS SIND DIE VORTEILE DES PDCA-MODELLS?
Die Implementierung eines Business Continuity Management-Systems bietet viele Vorteile, von denen viele bereits in diesem Artikel beschrieben wurden. Die Vorteile lassen sich jedoch in zwei Hauptvorteilen zusammenfassen: Ein Business Continuity Management System zwingt das Management, für die Ergebnisse des Programms verantwortlich zu sein, und bietet einen akzeptierten Ansatz für die externe Validierung.
Der Schlüssel zu einem erfolgreichen Business Continuity Management System liegt darin, das Interesse und die Unterstützung der Geschäftsleitung zu gewinnen und zu erhalten. Der wichtigste Tipp ist jedoch, dafür zu sorgen, dass das Programm die Sprache der Geschäftsleitung spricht (wichtige organisatorische Ergebnisse) und die Leistung und Aufgaben des Programms in Bezug auf die Kontinuitätsfähigkeit dieser organisatorischen Ergebnisse zu kommunizieren. Durch diese Art der Kommunikation versteht das Management, warum es weiterhin an dem Programm interessiert sein muss. Das Management wird vor die Wahl gestellt, Risiken zu akzeptieren oder Maßnahmen zu ergreifen, die direkt zum Erfolg und zur Kontinuität der wichtigsten organisatorischen Ergebnisse beitragen. Ein Business Continuity Management System erzwingt eine enge Abstimmung zwischen dem, was das Management denkt, und dem, was das Business Continuity Programm tut und kommuniziert – es zwingt das Management tatsächlich dazu, für das Programm verantwortlich zu sein.
Der zweite wichtige Vorteil der Implementierung eines Business Continuity Management Systems ist, dass es das Problem der „Prüfung eines Plans“ löst, mit dem viele Unternehmen konfrontiert sind. Wurde Ihr Unternehmen schon einmal nach einer Kopie Ihres Business Continuity Plans gefragt, um zu beweisen, dass Sie vorbereitet sind? Wir alle wissen, dass ein dicker Business-Continuity-Plan nicht gleichbedeutend ist mit der Fähigkeit des Unternehmens. Leider haben Dritte oft kaum eine andere Möglichkeit, als den Plan zu überprüfen und zu bewerten. Durch die Implementierung eines Business Continuity Management Systems, insbesondere eines von einer dritten Partei zertifizierten Systems, wird der Schwerpunkt von einer „Check-the-Box“-Sichtweise (Prüfung eines Plans) auf die tatsächliche Sicherstellung, dass Ihre Organisation über eine echte, nützliche und fähige Business Continuity-Fähigkeit verfügt (Überprüfung der Leistung des Managementsystems), verlagert. Auf diese Weise kann die Organisation die Leistung des Programms sowohl intern (gegenüber der Geschäftsleitung) als auch extern (gegenüber den wichtigsten Interessengruppen) validieren und kommunizieren – in vielen Fällen einfach durch den Nachweis der Zertifizierung!
WIE KANN MEINE ORGANISATION EIN PDCA-MODELL EINFÜHREN ODER PDCA IN UNSER BESTEHENDES PROGRAMM EINBAUEN?
Die folgenden Richtlinien können Ihnen bei der Einführung eines Business Continuity Management-Systems in Ihrem Unternehmen helfen:
- Einrichten eines funktionsübergreifenden Management-Lenkungsausschusses
- Sprechen Sie in der Sprache, die das Management versteht
- Wie sie das Unternehmen sehen und was für sie wichtig ist
- Machen Sie Business Continuity relevant und leicht verständlich – Einfachheit ist der Schlüssel!
- Konzentrieren Sie sich auf den Output des Unternehmens (wichtige Produkte und Dienstleistungen)
- Festlegung von Toleranzen für Ausfallzeiten bei wichtigen Produkten und Dienstleistungen
- Erläutern Sie die aktuelle Leistungsfähigkeit der wichtigsten Produkte und Dienstleistungen, damit das Management Maßnahmen ergreifen oder Risiken akzeptieren kann.
- Stellen Sie sicher, dass die Ziele realistisch sind und das Management bereit ist, die zur Erreichung der Ziele erforderlichen Ressourcen aufzuwenden.
SCHLUSSFOLGERUNGEN
Mit der wachsenden Popularität und dem anhaltenden Erfolg von Business Continuity Management-Systemen erweist sich dieser Ansatz und dieses Rahmenwerk als die Zukunft der Geschäftskontinuität. Unternehmen, die damit zu kämpfen haben, die Aufmerksamkeit der Geschäftsleitung zu gewinnen und aufrechtzuerhalten, werden bei der Implementierung eines Business Continuity Management Systems einen enormen Wert erkennen. Input und kontinuierliches Feedback werden zunehmen, ebenso wie die Entscheidungen und Ressourcen, die notwendig sind, um die Erwartungen des Managements zu erfüllen. Das Rahmenwerk für Business Continuity Management Systeme hat ein Ziel: ein funktionierendes, flexibles und effizientes Business Continuity Programm zu schaffen.
