Diese Perspektive wirft einen Blick auf ein Element der Klausel 9.3, die Managementprüfung (ein Prozess, den Riskonnect für eines der wertvollsten Elemente der ISO 22301 hält).
ISO 22301 ist die erste Norm, die das neue ISO-Format für Managementsystemnormen verwendet, das eine beträchtliche Menge an „schablonenhaften“ Managementsysteminhalten in zehn Klauseln beinhaltet. Da dieses Format, die Sprache und viele der Anforderungen für die meisten Business Continuity-Experten neu sind, ist es wichtig, die mit einigen Inhalten und Konzepten verbundene Absicht zu überprüfen und zu berücksichtigen.
Dies ist der zweite Teil einer Serie, in der wir die Schlüsselelemente des ISO 22301 Business Continuity Management Systems erörtern, einschließlich wertsteigernder Elemente der Norm oder Anforderungen, die einer Organisation während des Zertifizierungsprozesses „in die Quere kommen“ könnten.
Heute werfen wir einen Blick auf ein Element der Klausel 9.3, die Managementprüfung (ein Prozess, den Riskonnect für eines der wertvollsten Elemente der ISO 22301 hält).
Klausel 9.3 – Überprüfung durch das Management
Die oberste Leitung muss das BCMS der Organisation in geplanten Abständen überprüfen, um seine fortwährende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.
Von Robert Burns stammt das Zitat: „Die besten Pläne von Mäusen und Menschen gehen oft schief.“ In keinem Berufszweig ist dieser Gedanke aktueller als im Bereich der Geschäftskontinuität. Was einem sofort in den Sinn kommt, ist die unvermeidliche Abweichung von einem gut ausgearbeiteten Krisenmanagement- oder Business Continuity-Plan oder das einmalige Ereignis, das selbst die gründlichsten Pläne nicht berücksichtigen. Diese Perspektive konzentriert sich auf „den anderen“ Bereich, der die Effektivität nicht nur eines Plans, sondern eines gesamten Business Continuity-Programms oder Managementsystems zum Scheitern bringen kann. Dieser schwer fassbare Bereich ist einfach die fehlende Unterstützung und/oder der fehlende Beitrag des Managements und anderer wichtiger Entscheidungsträger in jeder Organisation. Diese Perspektive soll dazu dienen, die Unterstützung des Managements und der Führungskräfte durch den Management-Review-Prozess zu vertiefen. Ohne die Unterstützung der obersten Führungsebene wird die Unterstützung für Business Continuity-Initiativen sowie die Leistung von Business Continuity-Lösungen schnell abnehmen.
Es stellt sich also die Frage, wie man die oberste Führungsebene einbindet, sich die Unterstützung für das Business Continuity Management System und seine Initiativen sichert und sicherstellt, dass die Empfehlungen ernst genommen werden, ohne dass man sich einfach dagegen wehrt, wenn die Bereitschaftsmaßnahmen mit einem Preisschild verbunden sind. Die Antwort ist scheinbar leichter gesagt als getan: Beziehen Sie – in wiederkehrender Weise – die oberste Führungsebene in den Business Continuity-Planungsprozess ein. Die Durchführung von effektiven Management-Reviews ist eine Möglichkeit, auf dieses Ziel hinzuarbeiten.
Als Schlüsselkomponente der ISO 22301 ist die Managementbewertung eine wesentliche Systemkomponente, die sicherstellt, dass das Management wichtige Aspekte der Business Continuity-Planung kennt und sich aktiv mit Problemen, Prüfungsergebnissen und Kundenfeedback (um nur einige zu nennen) auseinandersetzt, was zu einer Priorisierung von Möglichkeiten zur kontinuierlichen Verbesserung führt. Vielleicht noch wichtiger ist, dass es bei der Managementbewertung darum geht, das Bewusstsein zu schärfen, Beziehungen aufzubauen und die Business Continuity-Bemühungen als Schlüsselelement des Risikomanagementprogramms des Unternehmens zu etablieren. Alle Beteiligten sollten aus einer Management Review-Sitzung mit dem Gefühl herausgehen können, dass die Organisation besser dasteht als zu Beginn und dass die Geschäftskontinuität weiterhin eine Priorität sein wird – mit dem Fokus auf die richtigen Dinge zur richtigen Zeit – in der gesamten Organisation. Während die ISO 22301 eine ziemlich umfassende Reihe von Richtlinien auflistet, die detailliert beschreiben, was das Management im Rahmen von wiederkehrenden Managementprüfungen berücksichtigen soll, fasst die folgende Liste diese Anforderungen zusammen (paraphrasiert):
- Sicherstellen, dass das Business Continuity Management System auf die organisatorischen und strategischen Ziele abgestimmt ist
- Finden Sie Wege, um die Geschäftskontinuität einfacher und effektiver zu gestalten
- Vermeiden Sie die Verwendung von Jargon und Akronymen
- Verfolgen Sie frühere Probleme und stellen Sie sicher, dass das Management über alle Mängel informiert ist.
- Gehen Sie auf alle Rückmeldungen zu den jüngsten Vorfällen ein und analysieren Sie sie auf Verbesserungsmöglichkeiten.
Lassen Sie uns einen tieferen Blick darauf werfen.
Stellen Sie sicher, dass das Managementsystem auf die organisatorischen und strategischen Ziele abgestimmt ist
Einer der wichtigsten Aspekte bei der Durchführung einer Überprüfung des Business Continuity Managements ist es, sich an die Zielgruppe zu erinnern. Um die Effektivität einer Managementprüfung zu maximieren, sollte der Business Continuity-Experte in Bezug auf kritische Produkte und Dienstleistungen denken und die Programmergebnisse auf die allgemeine strategische Ausrichtung des Unternehmens abstimmen. Der Business Continuity-Experte sollte vermitteln, wie ein gut funktionierendes Business Continuity Management-System dazu beitragen kann, dass das Unternehmen weiterhin in der Lage ist, wichtige Produkte und Dienstleistungen zu liefern (und welche Auswirkungen es hat, wenn dies nicht der Fall ist). Es ist sehr leicht, sich in falschen Metriken zu verlieren, die außerhalb des Business Continuity-Teams keinen Wert darstellen. Auch wenn die Dokumentation von Kennzahlen zur Anzahl der BIA-Interviews oder Planaktualisierungen ihren Platz hat, ist es oft viel zu einfach, sich mit Zahlen aufzuhalten, ohne alles mit der Wiederherstellbarkeit der Kernprodukte und -dienstleistungen des Unternehmens zu verknüpfen. Am Ende der Überprüfungssitzung sollte das Management ein besseres Verständnis der Fähigkeiten des Unternehmens haben, tatsächlich auf einen Störfall zu reagieren und sich davon zu erholen, und nicht nur, welche Abteilungen oder Geschäftsbereiche ihre jährlichen Planaktualisierungen nicht abgeschlossen haben.
Weitere Informationen zu Metriken finden Sie unter: Metriken zur Geschäftskontinuität
Machen Sie Business Continuity einfacher und effektiver
Machen wir uns nichts vor, Business Continuity kann komplex sein. Die Kombination von Business Continuity und IT-Disaster Recovery kann sogar noch komplexer sein. Achten Sie bei der Entwicklung von Materialien für eine Managementbewertung darauf, die Dinge so einfach wie möglich zu gestalten. Wenn Sie ein Business-Continuity-Konzept in Alltagssprache beschreiben können, tun Sie das. Die Managementbewertung bietet eine hervorragende Gelegenheit, das Business Continuity-Programm zu verkaufen. Viele Praktiker neigen jedoch dazu, Nicht-Business Continuity-Experten mit ihrem eigenen Wissen und ihrer Expertise zu überfordern, indem sie unnötige Details liefern, die dazu führen, dass Manager schnell das Interesse verlieren. Dieselbe Mentalität lässt sich nicht nur auf eine Managementbewertung anwenden, sondern auf alle Aspekte eines gut geführten Business Continuity Management-Systems. Wenn Sie die Wahl zwischen einem 200-seitigen Wiederherstellungsplan oder einer Checkliste mit nur den wichtigsten Informationen haben, sollten Sie sich für die Checkliste entscheiden. Bei der Geschäftskontinuität sollte es darum gehen, im Falle einer Unterbrechung Ergebnisse zu erzielen. Übernehmen Sie den Slogan „mit weniger mehr erreichen“ für Ihr Programm und wenden Sie ihn auch auf den Management-Review-Prozess an.
Vermeiden Sie die Verwendung von Jargon und Akronymen
Business Continuity-Experten lieben Akronyme. BIA, RTO, RPO, MAD, MTPOD, BC, DR, ITDR, BCMS usw. Ich könnte fortfahren, aber das würde dieses Publikum wahrscheinlich langweilen… UND wenn es für mich langweilig wäre, in diesem Artikel für Business Continuity-Profis weiterhin Akronyme zu verwenden, warum überfrachten Business Continuity-Profis dann weiterhin Materialien, die für das Management bestimmt sind, mit denselben Begriffen? Das führt nur zu einem geringeren Verständnis und Interesse und schafft eine Situation, die wichtige Manager und Stakeholder möglicherweise verprellen könnte. Um die Materialien für die Überprüfung durch das Management zu vereinfachen, sollten Sie nach Möglichkeit auf Akronyme verzichten, insbesondere wenn Sie mit Führungskräften zu tun haben, deren alltägliche Aktivitäten in der Regel nichts mit Business Continuity zu tun haben. Auch hier müssen Sie sich daran erinnern, wer Ihr Publikum ist. Ein Management Review ist eine Gelegenheit, dem Management einen Einblick in das Business Continuity-Programm zu geben und die Reaktions- und Wiederherstellungsfähigkeiten des Unternehmens zu untersuchen – in IHRER Sprache. Wenn das Management nicht versteht, was Sie vermitteln, weil zu viele branchenspezifische Begriffe und Akronyme verwendet werden, ist dies ein Hindernis bei der Durchführung einer effizienten Managementbewertung und der Gewinnung weiterer Unterstützung für Business Continuity-Initiativen.
Weiterverfolgung früherer Probleme
Die Identifizierung von Verbesserungsmöglichkeiten und die Überarbeitung von Richtlinien und Verfahren ist ein wichtiger Teil des Management-Review-Prozesses. Auch wenn diese Maßnahmen wichtig sind, kann man sich leicht in einem Meer von geplanten Maßnahmen, Aktivitäten, die auf die lange Bank geschoben werden, oder veralteten und übermäßig komplexen Richtlinien und Verfahren verlieren, die sich mehr auf die Planung um der Planung willen als auf die tatsächliche Verbesserung der Widerstandsfähigkeit der Organisation zu konzentrieren scheinen. Nur weil ein Punkt vor fünf Jahren als sanierungsbedürftig identifiziert wurde, heißt das nicht, dass er immer noch abgeschlossen werden muss, um den Unternehmenszielen zu entsprechen. Management-Reviews sollten als Gelegenheit betrachtet werden, die Empfehlungen durchzugehen, zu bestimmen, welche davon tatsächlich für die Ziele und die strategische Ausrichtung des Unternehmens relevant sind, und entsprechende Änderungen vorzunehmen. Verbesserungswürdige Punkte sollten nicht nur deshalb in Betracht gezogen werden, weil sie auf der fortlaufenden Liste der Aktionspunkte stehen, sondern auch, weil die Organisation durch die Abhilfe einen greifbaren Nutzen sieht, der die wichtigsten Ziele und Vorgaben vorantreiben soll. Der Business Continuity-Experte kann bei diesem Prozess helfen, indem er die Punkte vor der Sitzung prüft und Empfehlungen ausspricht, welche Punkte für das Unternehmen von Nutzen sein könnten und welche nicht berücksichtigt werden sollten. Auf diese Weise wird die Führungsebene in die Lage versetzt, wertsteigernde Empfehlungen zu befürworten, was sich positiv auf Sie auswirkt. Und wer möchte bei einem Treffen mit der Unternehmensleitung nicht gut dastehen?
Sprechen Sie die jüngsten Vorfälle an und nutzen Sie sie, um das Bewusstsein zu schärfen
Irgendwann wird jedes Unternehmen von einer Störung betroffen sein. Sie kann so geringfügig sein wie eine erzwungene Evakuierung eines Büros oder so bedeutend wie der dreimonatige Ausfall eines Vertriebszentrums. Die Management-Review-Sitzung sollte eine Gelegenheit bieten, die Effektivität der Reaktion des Unternehmens und der Wiederherstellung nach den jüngsten Vorfällen zu erörtern. Alle Vorfälle bieten Feedback, das genutzt werden kann, um die Bedeutung und Effektivität eines Business Continuity Management Systems und seiner Strategien zu legitimieren. Management-Reviews sollten eine ehrliche Einschätzung dessen geben, was gut gelaufen ist und was nicht, und Empfehlungen für das weitere Vorgehen geben. Es liegt in der Natur der Sache, dass man sich davor scheut, die Reaktion auf einen störenden Vorfall zu untersuchen, vor allem, wenn er nicht wie geplant verlaufen ist; Schwierigkeiten sollten jedoch so behandelt werden, dass sie zu verwertbaren Ergebnissen führen. Die Management-Review-Sitzung bietet ein Forum, um diese Ergebnisse zu diskutieren. Eine tatsächliche Unterbrechung kann eine Gelegenheit bieten, das Bewusstsein zu schärfen und sicherzustellen, dass die Beteiligten den Wert eines robusten Business Continuity-Programms erkennen.
Schlussfolgerungen
Management-Reviews bieten eine hervorragende Gelegenheit, den aktuellen Status des Unternehmens zu überprüfen, verbesserungswürdige Bereiche zu identifizieren und Unterstützung für zukünftige Business Continuity-Initiativen zu gewinnen. Indem sie sich auf die Bedürfnisse des Publikums konzentrieren und sicherstellen, dass die Business Continuity-Aktivitäten auf die strategische Gesamtausrichtung des Unternehmens abgestimmt sind, kann der Business Continuity-Experte die oberste Führungsebene als Partner im Business Continuity-Planungsprozess sehen. Ihre Pläne und Initiativen müssen nicht scheitern, wenn Sie die richtigen Stakeholder einbeziehen und die Aktivitäten auf eine Weise darstellen, die für die wichtigsten Entscheidungsträger in Ihrem Unternehmen relevant ist.
Besuchen Sie auch weiterhin unseren Blog für weitere Beiträge aus der Riskonnect-Reihe Konformität mit ISO 22301.
