Mit der Einführung von ISO 22301 (Gesellschaftliche Sicherheit – Anforderungen – Business Continuity Management System) wird Business Continuity enger an die umfassendere Disziplin des Risikomanagements angeglichen. Ein wichtiger Beitrag zu dieser Angleichung ist die Anforderung der Norm, die „Risikobereitschaft“ des Unternehmens zu verstehen (ein Begriff, der in BS 25999 nicht verwendet wird).

Die Definition der Risikobereitschaft in ISO 22301 (Abschnitt 3.49) ist die „Höhe und Art des Risikos, das eine Organisation bereit ist, einzugehen oder zu behalten“. Der Standard nimmt in zwei Abschnitten Bezug auf die Risikobereitschaft:

Darüber hinaus verweisen die Autoren des Leitfadens zur ISO 22301 mit dem Titel ISO DIS 22313 in dem Abschnitt, der sich mit der Festlegung des Kontextes für das Business Continuity Management System befasst, einmal zusätzlich auf die Risikobereitschaft:

Für diejenigen, die eine Anpassung an oder eine Zertifizierung nach ISO 22301 anstreben, müssen Business Continuity-Experten (oder diejenigen, die mit der Business Continuity-Planung beauftragt sind) das Konzept der Risikobereitschaft verstehen und die oben genannten Anforderungen erfüllen.

Bitte beachten Sie: Ziel dieses Artikels ist es nicht, ein detailliertes, theoretisches Verständnis der Risikobereitschaft zu vermitteln, da dies bereits in anderen Whitepapers und Informationsquellen geschieht. Vielmehr soll das Konzept für Business Continuity-Experten vorgestellt werden und Einblicke in die Nutzung und „Umsetzung“ dieses Konzepts in unserem Beruf bieten.

Die Beziehung zwischen Risikobereitschaft und Business Continuity
Wir glauben, dass die Verfasser der ISO 22301 das Konzept der Risikobereitschaft („Höhe und Art des Risikos, das eine Organisation bereit ist einzugehen oder zu behalten“) aus zwei wichtigen Gründen in einen Standard für ein Business Continuity Management System integriert haben:

  1. Unternehmen sollten die Risikobereitschaft als allumfassend betrachten und alle Risikobereiche einbeziehen, einschließlich der Risiken im Zusammenhang mit der Aufrechterhaltung des Geschäftsbetriebs, die mit Störfällen verbunden sind; und
  2. Die Nutzung der Risikobereitschaft, um ein Business-Continuity-Management-System angemessen einzugrenzen und zu unterstützen, hilft dabei, Business Continuity auf die Unternehmensstrategie und andere Risikomanagementmaßnahmen abzustimmen, so dass sich Business Continuity besser in das allgemeine Risikomanagement integrieren lässt.

Darüber hinaus wird die Risikobereitschaft, wenn sie richtig gemacht wird, zu einem wichtigen Bestandteil des Umfangs und der Ziele eines Business Continuity Management-Systems (und kann sich mit diesem erheblich überschneiden).

Schlüssel zur Bestimmung der Risikobereitschaft
Wie bereits erwähnt, gibt es viele Informationsquellen, die das Konzept der Risikobereitschaft und den besten Ansatz zur Bestimmung der Risikobereitschaft eines Unternehmens beschreiben. Riskonnect hat diese Quellen analysiert, um besser zu verstehen, wie wir unsere Kunden am effektivsten bei der Bestimmung und Dokumentation ihrer Risikobereitschaft in Bezug auf die Planung der Geschäftskontinuität unterstützen und das Konzept in unser eigenes Geschäftskontinuitätsprogramm integrieren können (da wir in unserem Unternehmen aktiv von BS 25999-2 auf ISO 22301 umstellen). Eine der wertvollsten Quellen, die wir ausfindig gemacht haben, ist ein vom Institute for Risk Management (IRM) veröffentlichtes White Paper, in dem eine Reihe von „Design“-Faktoren vorgestellt werden, die die Autoren als entscheidend für die Bestimmung der Risikobereitschaft ansehen. Drei dieser Design-Faktoren oder Überlegungen, die unserer Meinung nach zum besseren Verständnis und zur Bestimmung der Risikobereitschaft beitragen, werden im Folgenden umschrieben:

  1. Die Risikobereitschaft einer Organisation ist – oder sollte – messbar sein
  2. Die Annehmbarkeit von Risiken sollte einen zeitlichen Aspekt haben, um eine regelmäßige Überprüfung zu gewährleisten (angesichts organisatorischer und umweltbedingter Veränderungen).
  3. Risikoakzeptanz sollte nichts mit einer Lockerung der Kontrollen (Risikobehandlung) zu tun haben

Vor diesem Hintergrund sollten Unternehmen unserer Meinung nach bei der Festlegung ihrer Risikobereitschaft auch andere Informationsquellen als die Geschäftsleitung berücksichtigen:

  • Jahresberichte und Jahresabschlüsse
  • Kundenverträge
  • Regulatorische Anforderungen
  • Strategische Unternehmenspläne
  • Marketing-Materialien
  • Protokoll der Vorstandssitzung

Wir werden zwar nicht weiter auf die Bestimmung der Risikobereitschaft eingehen, aber wer zusätzliche Informationen sucht, sollte sich die folgenden Informationen ansehen:

Beispiel – Risikobereitschaft bei Riskonnect
Bei der Umstellung von BS 25999-2 auf ISO 22301 mussten wir verstehen, wie sich die Risikobereitschaft auf unser Business Continuity Management System bezieht, da dies eine neue formalisierte Anforderung ist, die für die Zertifizierung erforderlich ist. Anhand der im vorangegangenen Abschnitt dieses Artikels beschriebenen Anleitung und Vorgehensweise haben wir unsere Risikobereitschaft wie folgt zusammengefasst:

Im Jahr 2012 sind wir bereit, ein begrenztes Maß an Ausfallzeiten zu tolerieren, solange dies nicht zu Folgendem führt:

  1. Beschädigter Ruf bei unseren Kunden, der zu einer breiteren, negativen Marktwahrnehmung führt
  2. Nicht eingehaltene Service Level Agreements für The Planning Portal und Riskonnect
  3. Finanzieller Verlust von mehr als $50.000
  4. Projektverzögerungen von mehr als drei Tagen aufgrund von Ressourcenunterbrechungen und Datenverlusten

Um unser bestehendes Business-Continuity-Programm mit dieser Erklärung zur Risikobereitschaft in Einklang zu bringen, beabsichtigt das Management von Riskonnect, unser Business-Continuity-Management-System personell und finanziell so auszustatten, dass Ausfallzeiten auf möglichst effiziente und pragmatische Weise minimiert werden.

Wie bereits in diesem Artikel erwähnt, stimmt diese Aussage mit den Überlegungen zum IRM-Design überein, insbesondere:

  • Sie ist auf unsere Produkte und Dienstleistungen sowie auf die strategischen Prioritäten unseres Unternehmens abgestimmt und damit auch auf den Umfang unseres Business Continuity Management Systems.
  • Es bietet quantifizierbare Methoden zur Risikomessung
  • Sie vermerkt ein Zeitelement (2012)
  • Sie stellt fest, dass unser Managementteam ein gewisses Maß an Risiko in Kauf nimmt, wodurch Ressourcen frei werden, um unser Geschäft, unsere Dienstleistungen und unsere Technologie zu verbessern und in unsere Mitarbeiter zu investieren.
Planen Sie Ihre Demo

Schlussfolgerungen
Die Risikobereitschaft ist ein wichtiges Konzept, das strategische, operative und taktische Elemente umfasst – die sich alle auf die erfolgreiche Implementierung und kontinuierliche Verbesserung eines Business Continuity Management-Systems auswirken. Die Berücksichtigung der Risikobereitschaft im Rahmen der Business Continuity-Planung ermöglicht eine engere Abstimmung zwischen Business Continuity und dem Risikomanagement, so dass sich die Business Continuity-Bemühungen in erster Linie auf die Risiken konzentrieren können, die die Geschäftsleitung in Bezug auf wichtige Produkte, Dienstleistungen, Geschäftsprozesse und Ressourcen nicht akzeptieren will (die alle von einer Organisation im Rahmen ihrer Risikobereitschaft klar dokumentiert werden sollten). Das Verständnis der Grenzen – basierend auf einem akzeptablen Risikoniveau – führt zu einer gezielten und klaren Planung, die zu einem höheren Maß an Effektivität und Effizienz beim Schutz der zeitkritischen oder kritischen Aktivitäten eines Unternehmens führt.

Darüber hinaus sollte die Berücksichtigung der Risikobereitschaft im Rahmen der Business Continuity-Planung dem Management helfen, die Business Continuity in Bezug darauf zu sehen, wie sie bereits über das breitere Thema der Risiken für das Unternehmen denken, wobei das Risiko von Störfällen nur ein Faktor ist, der zu berücksichtigen ist. Die Ausrichtung der Business Continuity-Bemühungen auf die Denkweise des Managements (auf strategischer Ebene) sollte zu einem stärkeren, klareren Nutzenversprechen für die Bereitschaftsbemühungen beitragen, was eine langfristige Unterstützung und Beteiligung des Managements ermöglichen sollte.

Aufgrund der in diesem Artikel beschriebenen Vorteile ist Riskonnect der Ansicht, dass das Konzept der Risikobereitschaft eine willkommene Ergänzung der ISO 22301 ist und dass Business Continuity-Experten mehr darüber erfahren müssen, um sich aktiv an einem umfassenderen Risikomanagement zu beteiligen.