freshidea - Fotolia
Resilienz: Diese Fragen sollte das Recovery-Team kennen
Die Einhaltung von Normen zur organisatorischen Resilienz, wie ISO und BSI, kann Unternehmen auf Katastrophen vorbereiten. Diese Fragen helfen, den Grad der Resilienz zu bestimmen.
In dem Maße wie Unternehmen weltweit organisatorische Resilienz (oder auch Unternehmens/Geschäftsresilienz) als Kriterium für ihre schnelle Vorbereitung auf Notfälle anwenden, ist es wichtig, die entsprechenden Programme der Unternehmen regelmäßig zu überprüfen. So stellt man sicher, dass die richtigen Themen angesprochen werden.
Erfahrene Experten für Resilienz können auf zwei Standards für organisatorische Resilienz (Widerstandsfähigkeit) von Unternehmen (Organizational Resilience oder OR) zurückgreifen, um ihre Programme zu bewerten. Der Erste ist ISO 22316:2017, Security and Resilience – Organizational Resilience – Principles and Attributes. Der Zweite ist British Standards Institution (BSI) 65000:2014, Guidance on Organizational Resilience.
Beide liefern Details und einen Rahmen, um eine Initiative für eine operative Resilienz zu entwickeln und zu installieren. Jede von ihnen kann bei der Entwicklung eines internen operativen Programms für Ausfallsicherheit helfen und als ein Audit-Tool dienen, damit die in jedem Standard festgelegten Kontrollen befolgt werden.
Es folgen zehn Fragen, um die Umsetzung eines bestehenden Programms für Unternehmensresilienz zu erleichtern. Mit ihnen kann auch ein Programmrahmen entwickelt werden, der auf Standards wie denen von ISO und BSI beruht.
Mit dem folgenden Fragebogen zur Ausfallsicherheit von Unternehmen lässt sich ein internes Programm zur Umsetzung beginnen.
1. Antizipiert das Programm mögliche Risiken, Bedrohungen und Schwachstellen?
Dieser Punkt zeigt an, dass das Programm nicht nur bestimmte Risiken und Bedrohungen identifiziert, sondern sich auch um betriebliche Schwachstellen kümmert, die die Wahrscheinlichkeit eines zukünftigen Schadens erhöhen. Daten von Risikoanalysen, Business Impact Analysis (BIA) und andere betriebliche Bewertungen können dazu dienen, den Zustand eines Unternehmens und seine Notfallbereitschaft für einen möglichen Schaden zu beurteilen.
2. Lässt sich das Programm proaktiv mit anderen Management- und Notfall-Angeboten verbinden?
Die meisten technologischen, betrieblichen und Notfallaktivitäten gehen autonom vonstatten. Indem Verbindungen zu Notfallressourcen hergestellt werden, die für jede Disziplin verfügbar sind, sollen sie miteinander in einem zusammenhängenden Rahmen verbunden werden. Kurz gesagt soll hierbei versucht werden, die einzelnen Silos zwischen den zentralen betrieblichen Einheiten aufzuheben.
Verwandte Disziplinen umfassen Reaktionen auf Vorfälle, Notfallmanagement, Betriebs- oder Gebäudemanagement und Disaster Recovery beziehungsweise Wiederherstellung von Technologien.
3. Bietet der Plan Belege für Interaktionen, die die strategischen Ziele und Vorgaben unterstützen, wie beispielsweise die gemeinsame Nutzung von Daten und gemeinsame Übungen über mehrere Abteilungen hinweg?
Mit besserer Kommunikation und mit dem Teilen von Informationen über Abteilungen hinweg können Unternehmen eine besser koordinierte Antwort auf schadhafte Ereignisse finden.
4. Sind Resilienzprinzipien Teil der gesamten Unternehmenskultur?
In einer Resilienzkultur sollte alles, was das Unternehmen tut, diese Frage beantworten: „Haben wir genug Resilienz-Fähigkeiten in den Geschäftsprozessen, in Managementaktivitäten, in Services für Angestellte und IT und in physischen und in Cyber-Security-Handlungen eingebaut?“ Im Grunde enthält alles, was das Unternehmen tut, Komponenten, die es dabei unterstützen, bei einem auftretenden Schaden betriebsbereit zu bleiben.
Unternehmen sollten alle vorhandenen Notfallkomponenten als Teil einer Antwort einsetzen und Partnerschaften mit einer oder mehreren relevanten Abteilungen innerhalb der Organisation entwerfen und installieren.
5. Wurden Richtlinien und Verfahren zur organisatorischen Resilienz entwickelt, dokumentiert, von mehreren Fachleuten überprüft und validiert und von der Geschäftsleitung genehmigt?
Ohne Handlungsanweisungen und Prozeduren sind eine OR-Umgebung sowie eine Kultur der Resilienz so gut wie unmöglich. Auditoren werden diese Dokumente als Beweis für die Kontrollen ansehen, die für die Einrichtung einer Ausfallsicherheit von Unternehmen benötigt werden.
6. Sind Supply Chains im Rahmen der Unternehmensresilienz berücksichtigt worden?
Die Covid-19-Pandemie demonstrierte deutlich die Wichtigkeit von Versorgungsketten und wie Geschäftsprozesse unterbrochen oder heruntergefahren werden, wenn diese wichtigen Geschäftsressourcen beeinträchtigt worden sind. Problemlose Supply Chains sind wichtige Elemente in einem stabilen Unternehmen. Sie müssen deshalb regelmäßig diese überprüfen und alle festgestellten Schwachstellen registrieren und entschärfen.
7. Hat das Unternehmen finanzielle und betriebliche Gesichtspunkte bei der Entwicklung von Maßnahmen fūr die Resilienz berücksichtigt?
Die Art und Weise wie das Unternehmen auf der Prozessebene funktioniert, ist entscheidend für die Entwicklung eines OR-Rahmens, den Start von Programmen gegen störende Ereignisse und für die schnellstmögliche Wiederaufnahme von geschäftlichen Aktivitäten.
8. Hat das Unternehmen Maßnahmen zur Wahrnehmung und zum Training entwickelt und gestartet?
Der Erfolg jedes OR-Programms hängt besonders von den Angestellten und ihrer Sicht ihrer Rollen und Verantwortlichkeiten während eines Störfalles ab. Aufklärungsprogramme erinnern kontinuierlich an die Bedeutung von Resilienz für das Unternehmen. Trainingsgruppen zur Einführung für neue Angestellte und zur Auffrischung für bestehende Angestellte sorgen für die notwendige Vorbereitung für alle, angemessen auf bestimmte Ereignisse zu reagieren.
9. Werden Pläne für die Resilienz und verwandte Aktivitäten regelmäßig im Unternehmen verfolgt?
Periodische Übungen sorgen dafür, dass die Pläne und ihre Abläufe von den Angestellten, die sie anwenden werden, komplett verstanden werden, dass die Pläne während eines Vorfalls wie vorgesehen funktionieren und dass sie flexibel und anpassungsfähig genug sind für eine Bandbreite von verschiedenen Situationen. Verwandte Aktivitäten umfassen Pläne und Übungen für Business Continuity und Disaster Recovery.
10. Versteht und unterstützt das Top-Management das Resilienzprogramm des Unternehmens?
Ohne die Unterstützung und Förderung (und die finanziellen Ressourcen) des Top-Managements sind Programme zur Ausfallsicherheit im Allgemeinen zum Untergang verurteilt. Top-Manager müssen Mitglieder der wesentlichen und entscheidenden Gremien für die Resilienz sein, wo ihre Führungseigenschaften dabei helfen können, dass der Geschäftsbetrieb den Resilienzvorgaben folgt.