Zum Hauptinhalt springen

Der Aufbau eines Business Continuity Management Systems (BCMS)

Geschrieben von In&Out AG am . Veröffentlicht in Continuity Management, Krisenmanagement, Business & IT Service Continuity Framework.

60 % der KMU überleben den Ernstfall nicht – haben Sie schon ein BCMS?

Hätten Sie gedacht, dass mehr als 60 % der KMU nach einem schweren IT-Ausfall ihre Geschäftstätigkeit nicht mehr vollständig aufnehmen können?

Gerade kleinere und mittlere Unternehmen unterschätzen häufig, wie abhängig ihre Geschäftsprozesse von stabiler IT und funktionierenden Abläufen sind. Ein Business Continuity Management System – kurz BCMS – ist daher kein «nice to have», sondern ein zentrales Steuerungsinstrument, um die Widerstandsfähigkeit des Unternehmens zu sichern.

Als Berater, der seit über 35 Jahren mit Business- und IT Service Continuity Management arbeitet, erlebe ich es immer wieder: Unternehmen, die ihr BCMS konsequent aufbauen, haben im Ernstfall nicht nur kürzere Ausfallzeiten, sondern auch ein deutlich geringeres Risiko von Reputations- und Folgeschäden.

Blogserie: Business Continuity Management

Dieser Blogartikel ist der Leitartikel einer mehrteiligen Serie der sich an Entscheidungsträger und Fachverantwortliche aus BCM, Risikomanagement, IT und anderen Unternehmensbereichen richtet. Es gibt einen Überblick, wie die einzelnen Elemente des Business Continuity Management Systems aufgebaut sind und gemeinsam zur Stärkung resilienter Geschäftsprozesse beitragen.

Dies ist Teil 1 von 9 der Serie über Business Continuity Management.

Teil 2: Business Impact Analyse: Tipps zur Erstellung einer Business Impact Analyse
Teil 3: Risikoanalyse: Checkliste zur Erstellung einer Risikoanalyse
Teil 4: BCM-Strategie: Ziele und Elemente der BCM-Strategie
Teil 5: Konzeption und Implementierung
Teil 6: Organisation und Prozesse
Teil 7: Business Continuity Pläne BCP: Die Erstellung eines Business Continuity Plans
Teil 8: Tests, Reviews und Training
Teil 9: Pflege und Aktualisierung

Warum ein BCMS Ihre Lebensversicherung ist

Das BCMS verfolgt ein klares Ziel: kritische Geschäftsprozesse müssen auch in Krisensituationen fortgeführt oder rasch wiederhergestellt werden können. Dazu gehört der Schutz von Menschen, Werten und der Reputation ebenso wie die Einhaltung rechtlicher und regulatorischer Anforderungen.

Doch ein BCMS besteht nicht allein aus Dokumenten. Entscheidend sind klare Verantwortlichkeiten, aufeinander abgestimmte Abläufe und ein kontinuierlicher Verbesserungsprozess. Nur so wird Resilienz zu einem festen Bestandteil des Unternehmensalltags.

Ohne klare Policy kein funktionierendes BCM

Die BCM-Policy ist das steuernde Grundlagendokument des gesamten Systems. Sie definiert:

  • Geltungsbereich: Welche Organisationseinheiten, Standorte und Prozesse unterliegen dem BCMS.
  • Ziele: Sicherung der Fortführung kritischer Prozesse, Einhaltung gesetzlicher und regulatorischer Anforderungen, Schutz von Menschen, Vermögenswerten und Reputation.
  • Verantwortlichkeiten: Rollen und Pflichten von Geschäftsleitung, BCM-Verantwortlichen, Fachbereichen und externen Partnern.
  • Grundprinzipien: Risikobasierter Ansatz, kontinuierliche Verbesserung, prozessorientiertes Vorgehen.
  • Verzahnung: Verbindung zum Risikomanagement, IT-Service-Continuity, Krisenmanagement und internen Kontrollsystem (IKS).
  • Überprüfung: Festgelegte Zyklen für Review, Audit und Aktualisierung.

Eine klare und freigegebene BCM-Policy sorgt dafür, dass BCM nicht als isoliertes Projekt, sondern als Unternehmensaufgabe verstanden wird. Ein mögliches Inhaltsverzeichnis einer solchen BCM-Policy finden Sie hier:

BCM PolicyHerunterladen

Vom Risiko zur Resilienz: Die Bausteine eines BCMS

Ein BCMS folgt einem klaren Zyklus, wie er in internationalen Standards wie ISO 22301 oder BSI-Standard 200-4 beschrieben ist. Dieser Zyklus beginnt mit einer Business Impact Analyse und einer Risikoanalyse, auf deren Basis Strategien und Schutzmassnahmen entwickelt werden. Daraus entstehen konkrete Notfall- und Wiederanlaufpläne, die regelmässig getestet und geübt werden. 

Diese Erfolgsfaktoren entscheiden über Erfolg oder Scheitern

Der Aufbau eines BCMS ist selten das Projekt, auf das alle gewartet haben. Häufig wird es parallel zum Tagesgeschäft umgesetzt und bleibt zunächst unsichtbar, bis es dann aber im Ernstfall den entscheidenden Unterschied macht.

Umso wichtiger ist es, den Aufbau bewusst zu steuern. Erfolgsfaktoren sind meiner Erfahrung nach das klare Commitment des Top-Managements, die Behandlung des Aufbaus als Projekt mit Tests von Beginn an, und die konsequente Integration in bestehende Managementsysteme.

Hinzu kommen regelmässige Schulungen und Sensibilisierungen, wiederkehrende Tests mit steigender Komplexität sowie eine periodische Maturitätsmessung alle zwei bis drei Jahre. So stellen Unternehmen sicher, dass ihr BCMS nicht veraltet, sondern mit den wachsenden Anforderungen Schritt hält.

Fazit

Ein BCMS ist kein einmaliges Projekt, das nach seiner Einführung abgeschlossen wäre. Es ist ein lebendes System, das fortlaufend gepflegt und weiterentwickelt werden muss. Die BCM-Policy setzt den Rahmen, der BCMS-Zyklus überführt diesen Rahmen in konkrete Massnahmen, und die regelmässige Überprüfung hält das System aktuell und wirksam.

Meine Empfehlung aus der Praxis lautet: «Warten Sie nicht, bis der nächste Ausfall kommt. Seien Sie vorbereitet, wenn das Unerwartete eintritt.»