Erstellen eines Business-Continuity-Plans

Eine gut durchdachte Business-Continuity-Strategie kann Unternehmen dabei helfen, nach einer Krise nicht nur zu überleben, sondern auch zu florieren. Operational Business Continuity ist kein Schönredner mehr, sondern ein ernsthaft zu diskutierendes Thema. Laut der Federal Emergency Management Agency (FEMA) öffnen etwa 40 % der Unternehmen nach einer Katastrophe nicht wieder.

Hier sind fünf Schritte, mit denen Sie Ihr Unternehmen vor der nächsten Krise schützen können.

Erstellung eines betrieblichen Geschäftskontinuitätsplans

Warten Sie nicht auf eine weitere Krise, bevor Sie einen Betriebskontinuitätsplan entwickeln. Ein vorhandener Plan ermöglicht eine effiziente Rückkehr an den Arbeitsplatz, wenn die Krise nachlässt. Es gibt auch Anweisungen zum Umgang mit Schäden nach der Katastrophe.

Während Organisationen diese Pläne alleine umsetzen können, hilft es oft, einen Strategieberater mit einer externen Perspektive und einem umfassenden Erfahrungsschatz darüber, wie erfolgreiche Business-Continuity-Pläne zum Tragen kommen, hinzuzuziehen.

Unternehmen, die mit solchen Plänen ausgestattet sind, sind widerstandsfähiger als Unternehmen ohne Notfallpläne und haben meiner Erfahrung nach eine bessere Chance, sich zu erholen. Außerdem neigen sie dazu, schneller wieder aufzutauchen als ihre Konkurrenten.

Was gehört also zur Erstellung eines betrieblichen Business-Continuity-Plans? Ein umfassendes Notfallplanungsprogramm wird durch drei Elemente definiert:

1. Notfallmaßnahmen
2. Krisenmanagement
3. Wiederherstellung und Wiederaufnahme des Geschäfts

Die Struktur dieses Plans sollte die folgenden fünf Kernschritte umfassen:

1. Legen Sie den Umfang des vorgeschlagenen Plans fest
   In diesem Schritt liegt das Hauptaugenmerk auf der Festlegung eines bestimmten Schwerpunkts und der Identifizierung des Krisenmanagementteams, des Technologiewiederherstellungsteams und der Geschäftswiederherstellungsteams, die an der Umsetzung des Business-Continuity-Plans arbeiten werden. Dieses Team wird dafür verantwortlich sein, verschiedene Wege zu erkunden, um zu sehen, wie das Unternehmen Mitarbeiter, Lieferanten und Kunden sowie den Geschäftsbetrieb während einer Katastrophe am besten schützen kann.
   
2. Definieren Sie die wichtigsten Geschäftsbereiche
   Aus wie vielen Abteilungen oder Bereichen besteht die Organisation? IT, Vertrieb, Buchhaltung, Personalwesen, Back Office und Front Office – jeder dieser Sektoren muss definiert und skizziert werden, damit für jeden ein Antwortprotokoll entwickelt werden kann.
   
3. Durchführung einer Business Impact Analyse (BIA)
   Eine Business Impact Analysis (BIA) wird durchgeführt, um mögliche Auswirkungen auf kritische Geschäftsabläufe vorherzusehen. Die Analyse der Auswirkungen auf das Geschäft kann erleichtert werden, indem die folgenden drei Fragen gestellt werden:
   
   • Was sind die priorisierten Aktivitäten, die für die Kernoperationen der Organisation von entscheidender Bedeutung sind?
     
   • Welche Ressourcen müssen beschafft werden, um diese priorisierten Aktivitäten wieder aufzunehmen? Dies schließt sowohl interne als auch externe Ressourcen wie Lagerbestände, Fahrzeuge und Personal ein.
     
   • Wie lange darf die Störung des Geschäftsbetriebs maximal toleriert werden? Diese spezielle Frage identifiziert den Zeitrahmen für die Wiederaufnahme der priorisierten Aktivitäten.
     
     Sobald diese Fragen beantwortet sind, ist es an der Zeit, die externen Risiken zu bewerten, die sich auf das Geschäft auswirken können. Danach ist es einfacher, die verschiedenen Arten von Katastrophen zu bewältigen, denen das Unternehmen ausgesetzt sein kann.
     
4. Entwickeln Sie Strategien basierend auf den gesammelten Informationen
   Mit den Daten, die Sie während dieses Due-Diligence-Prozesses gesammelt haben, wird es möglich, Strategien zu entwickeln, um das Unternehmen bei der Bewältigung von Notfällen zu unterstützen und den Betrieb danach effizient wieder aufzunehmen.
   Dies ist vielleicht eine der wichtigsten Phasen, da sie umfangreiche Recherchen und das Studium der Kontinuitätsstrategien anderer Organisationen erfordert. Es wird sich als unschätzbar erweisen, einen Bezugspunkt von anderen Unternehmen zu haben, insbesondere von denen, die frühere Rückschläge überstanden haben.
   
5. Erstellen Sie einen praktikablen Kontinuitätsplan, um den Betrieb aufrechtzuerhalten
   Wenn der Business-Continuity-Plan erstellt und klar geschrieben wurde, muss er unbedingt getestet werden. Dies beinhaltet die Durchführung von Übungen und simulierten Katastrophenereignissen, um Bereiche des Unternehmens zu erkennen, die weiterer Verbesserung und Planung bedürfen.
   In einer unsicheren Welt wird ein Business-Continuity-Plan einen großen Beitrag zum Schutz Ihres Unternehmens und seiner Interessen leisten.

Testen des Business Continuity Plans

Ein umfassender und erprobter Business-Continuity-Plan bereitet Sie auf das Unerwartete vor. Es hilft Ihnen, das Arbeiten aus der Ferne zu üben, in einer anderen Umgebung zu arbeiten und vielleicht ohne kritisches Personal zu arbeiten.

Das Testen hilft Ihnen, Systeme wie die Wiederherstellung Ihrer Datensicherung zu überprüfen. Darüber hinaus wird das Testen Ihres Plans Lücken oder Schwachstellen aufdecken und Ihnen unschätzbare Erkenntnisse darüber liefern, wie Sie den Plan in Zukunft am besten verfeinern und stärken können. Schließlich kann der Nachweis strenger Tests Ihrem Unternehmen helfen, eine angemessene Versicherung zu erhalten.

Wie gehen Sie also vor, um Ihren Business-Continuity-Plan zu testen?

1. Überprüfen Sie den BCP mit den Mitarbeitern
   Es ist von entscheidender Bedeutung, Ihre Mitarbeiter auf den Business-Continuity-Plan aufmerksam zu machen. Die meisten BCPs scheitern, weil die Mitarbeiter die Protokolle nicht kennen, die sie im Katastrophenfall befolgen sollen. Skizzieren Sie die Ziele der Simulationsübung und lassen Sie sie verstehen, dass dies mehr als eine Drillübung ist. Ihre Rollen und Verantwortlichkeiten müssen klar erläutert werden, um Ausreden während der Bewertung zu vermeiden. Es ist auch eine gute Idee, Partner und Anbieter in die Simulation einzubeziehen.
   
2. Entscheiden Sie sich für eine Zeit, um den Plan zu testen
   Nachdem die Mitarbeiter über ihre Rollen und Verantwortlichkeiten im Bereich Business Continuity informiert wurden, ist es an der Zeit, einen Zeitpunkt für die Durchführung der Testübung auszuwählen. Je nachdem, was das für die Umsetzung dieser Übung zuständige Team entschieden hat, kann diese Simulation zwischen einem Tag und einigen Wochen dauern. Der Schlüssel liegt nicht in der Dauer, sondern in der Messung des Bereitschaftsgrads der Organisation und der Reaktionen der Mitarbeiter.
   
   Gute Tage, um Simulationsübungen zu planen, sind Freitag und Samstag. Wenn Sie vorhaben, einfach Tischsitzungen mit Ihrer Geschäftsleitung und Ihrem Personal durchzuführen, möchten Sie diese möglicherweise an den Wochenenden durchführen. Die Überprüfungen können dann unter der Woche durchgeführt werden, ohne den normalen Geschäftsbetrieb zu stören.
   
3. Simulieren Sie eine Katastrophensituation
   Katastrophen können in jeder Form auftreten – Überschwemmungen, Tornados, Wirbelstürme, Cyberangriffe, Börsencrashs oder globale Pandemien wie der aktuelle COVID-19-Ausbruch. Wählen Sie eine davon aus und erstellen Sie eine Simulation, die Sie den Mitarbeitern präsentieren. Von ihnen wird erwartet, dass sie diese Drill-Übung so durchführen, als ob sie tatsächlich stattfindet. Ihre Antworten sollten mit dem übereinstimmen, was im Geschäftskontinuitätsplan dargelegt wurde.
   
   Verfolgen Sie die Zeit, die benötigt wird, um die Situation unter Kontrolle zu bekommen. Wenn Ihre Organisation für kritische Funktionen wie IT-Systeme von anderen Unternehmen abhängig ist, möchten Sie diese möglicherweise in diese Simulationsübung einbeziehen, damit Sie auch ihre Bereitschaft einschätzen können. Wie oft sollte eine vollständige Simulation durchgeführt werden? Mindestens einmal im Jahr. Sie können verschiedene Szenarien anwenden, um eine Vielzahl potenzieller Probleme zu testen.
   
4. Werten Sie die Testübung aus
   Wenn die Testphase vorbei ist, bringen Sie alle zu einer Evaluierungssitzung zusammen. Lassen Sie die Mitarbeiter zu Wort kommen. Hören Sie sich das gegebene Feedback an, es hilft Ihnen bei der Feinabstimmung des Business-Continuity-Plans. Bereiche, die noch poliert werden müssen, werden in den Vordergrund treten, und die Strategien, die gut funktioniert haben, werden ebenfalls hervorgehoben. Manchmal kann es notwendig sein, die Verantwortlichkeiten verschiedener Personen innerhalb des Teams zu tauschen, um ein besseres Ergebnis zu erzielen.

Best Practices für den Business-Continuity-Plan

Der Weg zur Entwicklung eines guten Business-Continuity-Plans wird durch die folgenden Best Practices ergänzt:

1. Haben Sie einen erfahrenen Sponsor
   Jedes Unternehmen, das die Erstellung eines Business-Continuity-Plans plant, tut gut daran, mit einem erfahrenen Team zusammenzuarbeiten, das den BCP erstellen, überprüfen und beim Testen helfen kann. Idealerweise muss jemand diesen gesamten Prozess leiten oder überwachen.
   
2. Wählen Sie eine strategische Richtlinie
   Eine strategische Richtlinie wird Entscheidungen leiten und als Fahrplan für das weitere Vorgehen dienen. Die Mitarbeiter müssen eine Kopie der Richtlinie zusammen mit dem vollständigen Business-Continuity-Plan erhalten, damit sie sich damit vertraut machen können. Idealerweise steht alles in einem Handbuch, das die Mitarbeiter im Rahmen ihrer Weiterbildung erhalten.
   
3. Arbeite mit einer Methodik
   Welche Systeme und Methoden werden Sie verwenden, um Ihren Business-Continuity-Plan von der Einführung bis zum Testen durchzuführen? Die Methodik sollte klar und leicht nachvollziehbar sein. Eine gute Methodik wird von den Auditoren geschätzt, die Ihren Business-Continuity-Plan bewerten. Beispielsweise ist es unerlässlich, den operativen Prozess zu verstehen, der erforderlich ist, um einen Verkauf einzuleiten, abzuwickeln und zu verwalten, damit das Unternehmen im Falle einer Geschäftsunterbrechung die entstandenen Lücken sofort identifizieren und schließen kann. Die Methodik sollte so weit wie möglich in Stein gemeißelt sein, damit alle Mitarbeiter ihre Geschäfte auf die gleiche Weise führen können, während das Management ständig daran arbeitet, den Prozess zu verfeinern, um ihn effizienter und rationalisierter zu machen.
   
4. Nutzen Sie regelmäßige Assessments
   Die einzige Möglichkeit, Ihren Business-Continuity-Plan zu bewerten, sind sorgfältig durchdachte Bewertungen. Diese Bewertungen sind eine Möglichkeit, Ihre Bereitschaft als Unternehmen einzuschätzen. Es ist gut, regelmäßige Risikobewertungen durchzuführen, vielleicht sogar einmal im Quartal. Diese müssen nicht alle Mitarbeiter einbeziehen. Sie können einfach Teamleiter aus verschiedenen Bereichen oder Abteilungen zusammenstellen.
   
5. Führen Sie häufige Tests durch
   Das Ausüben oder Testen des Plans, damit Sie wissen, wie gut er zu gegebener Zeit funktionieren wird, ist eine der bewährten Methoden, die Sie anwenden können. Führen Sie mindestens einmal im Quartal eine Reihe von Übungen mit verschiedenen Szenarien durch, um Ihre Mitarbeiter darüber auf dem Laufenden zu halten, was von ihnen bei Katastrophen erwartet wird.
   
6. Planen Sie Berichts- und Feedbacksitzungen
   Es muss auch ein Meldeprotokoll vorhanden sein. Wie erstattet das Team, das dieses Projekt koordiniert und leitet, dem Management Bericht? Nach der Entwicklung und Erprobung des Plans sollte ein Bericht an das Management gesendet werden, um den Grad der Bereitschaft der Organisation für eine Notfallsituation zusammenzufassen.

Fazit

Meiner Erfahrung nach sind Ihre Chancen auf eine effiziente Wiederherstellung und den Schutz Ihrer Mitarbeiter, Kunden und Geschäftsabläufe umso höher, je besser definiert und getestet Ihr Business-Continuity-Plan ist.

Jeder, der in der Organisation arbeitet, sollte sich des Business-Continuity-Plans und seiner Rolle bei der Wiederherstellung nach einer Katastrophe bewusst sein. Niemand ist davon ausgenommen. Die Teilnahme auf allen Ebenen ermöglicht eine schnellere Erholung und einen reibungslosen Übergang in eine neue Phase des Geschäftsbetriebs.