Business Continuity: Planungshilfe für kleine Unternehmen

Warum man einen Business-Continuity-Plan braucht

Ein BC-Plan sorgt nicht nur dafür, dass das Geschäft weiterlaufen, man den Kunden dienen und Einkünfte während einer Unterbrechung erzielen kann, sondern er erhöht auch die Chancen, dass das Unternehmen die Katastrophe erfolgreich übersteht und langfristig überlebt. Unternehmen müssen einen BC-Plan bereit haben, um auf eine Reihe von Bedrohungen vorbereitet zu sein. Dazu gehören zum Beispiel

• Naturkatastrophen
• Terrorangriffe
• Ausfälle der Infrastruktur
• Personalprobleme
• Arbeitsunterbrechungen
• Datenkorruption
• Diebstahl
• Unterbrechungen der Supply Chain

Neben der Aufrechterhaltung des Geschäftsablaufs brauchen Unternehmen BC-Pläne eventuell auch aus Versicherungs- oder Compliance-Gründen.

Wie unser BC-Formular zeigt, kann ein BC-Plan auch die interne und externe Kommunikation verbessern, Auszeiten reduzieren sowie die Mitarbeiter und Führungskräfte auf eine Katastrophe vorbereiten. Er verhilft allen Mitarbeitern zu einem besseren Verständnis des Geschäfts und seiner Bereiche und zeigt Wege auf, Mängel abzubauen – sowohl große als auch kleine.

Ein Plan für die Wiederaufnahme eines Geschäfts ist ähnlich angelegt wie ein BC-Plan, außer dass er nicht das Schwergewicht auf die Einführung von Verfahren legt, mit denen ein Geschäft während einer Unterbrechung oder Katastrophe am Leben erhalten und fortgeführt wird. Ein Plan für die Wiederaufnahme eines Geschäfts zielt mehr auf zwei Punkte ab: präventive Maßnahmen und – wie schon der Name sagt – konkrete Schritte der Wiederaufnahme.

Business Continuity Planning (BCP) für kleine Unternehmen

Für kleine Unternehmen enthält der Prozess der Business Continuity Planning (BCP) mehrere Schritte. Zu ihnen gehören die folgenden:

• Projekteinführung
• Risk Assessment
• Business Impact Assessment
• Strategieentwicklung
• Entwicklung des Business-Continuity-Plans
• Testen und Wartung des Business-Continuity-Plan
• Kommunikation im Notfall
• Bewusstsein und Training
• Koordination mit öffentlichen Behörden

Diese Schritte sind vergleichbar mit dem Business-Continuity-Prozess in größeren Unternehmen. Der einzige Unterschied besteht darin, dass der BCP-Prozess für kleine Unternehmen je nach Größe und Komplexität des Unternehmens vereinfacht werden kann.

Für viele kleine Unternehmen stellen die oben geschilderten Aktivitäten des Business Continuity Planning eine beträchtliche Herausforderung dar, besonders unter den Gesichtspunkten von Zeit, Geld und Ressourcen. Um den Prozess einfacher zu gestalten, haben kleine Unternehmen verschiedene Optionen wie zum Beispiel BCP-Tools oder -Software, BC-Formulare, Checklisten oder das Hinzuziehen von Consultants. Jede dieser Optionen kann zu einem Plan und seinen damit verbundenen Elementen führen. Kleine Unternehmen greifen wegen ihrer Einfachheit oft auf diese Hilfsmittel zurück, um schneller zu einem Resultat zu kommen.

Für die Entwicklung eines erfolgreichen BC-Plans empfehlen wir die folgenden Schritte:

• Sicherstellen, dass man die richtigen Informationen besitzt. Der BC-Plan muss nicht hunderte von Seiten lang sein: Er muss nur die richtigen Informationen enthalten – aktuell und genau. Ein einseitiger Plan mit den richtigen Informationen kann wertvoller als ein umfangreiches Dokument sein, das niemand nutzt.
• Als Ergänzung zu unserem BC-Plan kann eventuell die Web-Seite ready.gov dienen, die Informationen über einen Notfall-Plan enthält.
• Bestehende Standardisierungen können einen nützlichen Startpunkt darstellen. Fast zwei Dutzend Standards für Business Continuity stehen weltweit zur Verfügung. In den USA bestehen zur Zeit verschiedene Optionen, darunter der aktuelle landesweite Standard NFPA 1600, während der englische Standard BSI BS 25999 lautet. Interessant ist auch das FFIEC Business Continuity Handbook, das im Banken- und Finanzsektor verwendet wird.
• Man sollte den Inhalt des BC-Plans auf wirkliche Desaster-Reaktionen begrenzen.
• Schließlich den Plan erstellen. Sobald der Plan vollständig ist, sollte man ihn zwei Mal pro Jahr ausprobieren, um die dokumentierten Verfahren in ihrem angegebenen Ablauf zu überprüfen.
• Flexibel sein. Ein einziges Musterformular wird eventuell nicht komplett anwendbar für alle Abteilungen und Standorte eines Unternehmens sein.

Wie das Musterformular für Business Continuity organisiert ist

Als nächstes überprüfen wir Struktur und Inhalt des Musterformulars für einen Business-Continuity-Plan und verweisen auf hauptsächliche Probleme und anstehende Aktivitäten.

1. Wenn man mehrere Kontaktpersonen für den Notfall festgelegt hat, stellt man ihre Kontaktinformationen an den Anfang des Plans in den entsprechenden Bereich, so dass man später im Bedarfsfall nicht wertvolle Sekunden verschwenden muss, um sie in dem längeren Dokument zu suchen.
2. Seite zur Revisionskontrolle. Dies macht Seite zwei des Plans aus und berücksichtigt den Change-Management-Prozess.
3. Zweck und Umfang. Hierzu werden Details dargestellt sowie Hypothesen, Beschreibungen des Teams, eine Liste der verwendeten Begriffe und weitere Hintergrundinformationen.
4. Anleitungen zur Benutzung des Plans. Informationen zur Verfügung stellen darüber, wann und wie der Plan aktiviert wird, einschließlich des Zeitrahmens für einen Ausfall, wer einen Notstand deklariert und wer kontaktiert werden sollte.
5. Policy-Informationen. Hier sollten Standarddokumente als Referenzen benutzt werden.
6. Aktivitäten und Management im Notfall. Spezifische Situationen, in denen der Plan und Antwortprozesse aktiviert werden.
7. Plan-Überprüfung und -Wartung. Beschreibt, wie oft und von wem der Plan überprüft und erneuert wird.
8. Checklisten und Fließdiagramme. Angenommen, ein Vorfall ist eingetreten, dann sind die Schritte festzulegen, um auf ihn zu reagieren. Dies kann in der Form von Checklisten geschehen – nützlich, um bei festgelegten und ausgeführten Aufgaben auf dem Laufenden zu bleiben – oder mit Fließdiagrammen, die eine sehr gute Übersicht über Aktivitäten und Recovery
9. Bekanntmachung eines Vorfalls, der die IT in Mitleidenschaft zieht. Man muss Informationen einsammeln, bevor offiziell ein Notfall erklärt wird. Dies schließt Daten zur Schadensbewertung und Reports aus erster Hand von Mitarbeitern und erste Reaktionen ein. Man sollte so schnell wie möglich Meetings mit den entscheidenden Team-Mitgliedern bei einem Notfall einberufen, um noch vor der Herausgabe einer Mitteilung die Fakten zu klären.
10. Über Aktionen entscheiden. In diesem Bereich geht es um die Aufnahme von Aktionen, wenn das Management offensichtlich eine Katastrophe erklären muss. Eine Schadensbewertung kann vor oder nach dieser Erklärung gestartet werden – je nachdem wie die Unternehmensführung entscheidet.
11. Business Recovery Phase. Dieser Bereich stellt Anleitungen für die Wiederherstellung zur Verfügung, indem Anwendungen und Daten zu einem alternativen Ort umgeleitet werden und verwandte Aktivitäten ergriffen werden.
12. Anhänge. Detaillierte Anhänge finden sich am Ende des Formulars. Zu ihnen gehören Listen und Kontaktdetails für alle Notfall-Teams, primäre und alternative Hersteller, alternative Arbeitsplätze und andere relevante Informationen. Es ist sehr wichtig, diese Informationen auf dem Laufenden zu halten.

Wie man einen Business-Continuity-Plan pflegt

Nachdem ein BC-Plan entwickelt worden ist, sehen leider viele Unternehmen das bereits als Ende der Maßnahme: Nur wenige von ihnen investieren in Übungen, um sicherzustellen, dass ihre Pläne funktionieren und aktuell bleiben. Um das meiste aus seinem Business-Continuity-Plan herauszuholen, sollte man seine Aufrechterhaltung in die täglichen Arbeiten und Aktivitäten integrieren. Man sollte den Plan als ein lebendes Dokument behandeln, das regelmäßige Überprüfung und Modernisierung verdient.

Ein Business-Continuity-Plan muss immer als Ganzes überprüft werden. Man sollte einen Zeitplan aufstellen und befolgen, um diesen Prozess besser in die Hand zu bekommen und weniger abschreckend zu machen. Am besten startet man bei jenen Teilen des Plans, die am wahrscheinlichsten im nächsten Jahr geändert werden müssen.

Diese umfassen höchstwahrscheinlich die Namen und Kontaktdetails des Notfall-Teams des Unternehmens sowie Listen der geschäftskritischen Ausrüstung und Anwendungen, der Hersteller und Lieferanten, wichtige Aufzeichnungen und maßgebliche Geschäftsdokumente, Komponenten der Produktion, Organisationscharts, Mindestanforderungen zur Wiederaufnahme des Betriebs, Notfallvorräte sowie Mitarbeiter- und Kontaktdetails.

Einführung eines Managementsystems für Business Continuity

Eine andere Strategie, um den Business-Continuity-Plan auf dem Laufenden zu halten, besteht in der Einführung eines Business Continuity Management System (BCMS), das routinemäßig und alltäglich ausgeführte Aktivitäten bestimmt, die für Business Continuity essentiell sind. Viele Handlungen fallen in den Zuständigkeitsbereich eines BCMS, einschließlich Budgets, Projektplanung und -management, Kommunikation, Ressourcenmanagement, Aktivitäten zur Performance-Bewertung, Zeitpläne und Prognosen.

Man kann ein BCMS auch dazu verwenden, eine Reihe von projektbasierten Aktivitäten für Unterhalt und Wartung des BC-Plans zu starten und zu unterstützen. Diese umfassen laufende Bewertungen sowie Business-Impact- und Risk-Analysen, Entwicklung und Dokumentierung des Business-Continuity-Plan, Vorbereitung und Durchführung von BC-Übungen, Planung und Durchführung von Trainings für das Notfall-Team, Formulieren und Aufzeichnen von Taktiken für Incident Response und Definieren der eigenen Business-Continuity-Strategien.

Eine Anzahl von Standards sind entstanden, die sich um die Anforderungen an Management-Systeme im Umfeld von störenden Ereignissen und Recovery kümmern. Im Vordergrund dabei steht ISO 22301:2012, häufig ergänzt durch eine Reihe anderer ISO 223XX-Standards und Richtlinien für Business-Impact-Analysen, Supply Chain Continuity, Vorbereitung auf Vorfälle und mehr.

Es gibt außerdem länderspezifische Business Continuity Standards von Institutionen wie der International Organization for Standardization, der National Fire Protection Association oder der Financial Industry Regulatory Authority.