Montag bis Donnerstag von 08:00 bis 16:00 Uhr
Freitag von 08:00 bis 15:00 Uhr
Unternehmen und andere Organisationen sind ständig Gefahren ausgesetzt. Doch auch wenn Krisen und Störfälle sich nicht immer vermeiden lassen: Eine durchdachte Vorbereitung hilft. Mit Normen für stärkere Belastbarkeit, Risikomanagement und Business Continuity Management.
Die Fähigkeit, Veränderungen in der Umgebung aufzunehmen und sich an diese anzupassen, wird gemeinhin als Resilienz beschrieben. Ein Unternehmen (oder eine andere Organisation) soll in die Lage versetzt werden, Belastungen zu überstehen, dabei die gesteckten Ziele zu erreichen und sich vorteilhaft zu entwickeln.
Es gibt keine absolute Kennzahl oder ein bestimmtes Ziel für Resilienz. Eine Organisation kann nur relativ gesehen – mehr oder weniger – resilient (belastbar) sein. Organisationen, die stärker belastbar sind, können Bedrohungen und Chancen, die sich aus plötzlichen oder schleichenden Veränderungen ihrer Umgebung entwickeln, vorausahnen und darauf reagieren.
Die eigene Belastbarkeit zu steigern, kann ein strategisches Ziel der Organisation sein und ist das Ergebnis guter und verantwortungsvoller Unternehmensführung sowie eines wirksamen Umgangs mit Risiken.
Es gibt keinen allgemeingültigen Lösungsansatz, um die Belastbarkeit einer Organisation zu erhöhen. Zwar gibt es etablierte Führungsmethoden, die zur Belastbarkeit des Unternehmens beitragen – aber einzeln betrachtet reichen diese Methoden nicht aus, um die Belastbarkeit abzusichern. Die Belastbarkeit einer Organisation ist das Ergebnis des Zusammenspiels von Merkmalen und Maßnahmen sowie Beiträgen verschiedener Führungs-Fachgebiete. Sie werden vor allem durch drei Faktoren beeinflusst: den Umgang mit Unsicherheiten, die Art der Entscheidungsfindung und die Qualität der Zusammenarbeit in der Belegschaft.
Verpflichtet sich eine Organisation auf das Ziel, ihre Belastbarkeit zu erhöhen, erreicht sie dadurch:
Die ISO 22316 (Security and Resilience – Organizational Resilience – Principles and Attributes) kann Unternehmen dabei unterstützen, ihre Belastbarkeit zu erhöhen. Die internationale Norm enthält unter anderem:
In Abschnitt 4.1 der Norm werden die Grundsätze für einen verbesserten Stand der Belastbarkeit aufgeführt:
In einem koordinierten Ansatz soll die Organisation
Wenn eine Organisation (ein Unternehmen) sich die Grundlagen für die eigene Belastbarkeit angeeignet hat, wird sie in der Regel die Eigenschaften aufweisen, die in der Norm beschrieben sind:
Der Entwicklung und Koordination von Steuerungselementen kommt dabei besondere Bedeutung zu. Ihr Entwurf und ihre Entwicklung und Koordination sowie ihre Ausrichtung an den strategischen Zielen sind grundlegend für die Verstärkung der betrieblichen Belastbarkeit. Die Organisation sollte darstellen, dass sie
Die Bewertung stellt der Unternehmensleitung Einsichten und Informationen zur Verfügung, wie die Strategie und die Ziele der betrieblichen Belastbarkeit noch den Anforderungen der Organisation gerecht werden oder wo Chancen zur Verbesserung bestehen.
Die Unternehmensleitung muss dafür
Die Organisation soll
Im Anhang der Norm werden Steuerungselemente aufgezählt, die die Empfehlungen der Norm im Abschnitt 5.8 unterstützen.
asset management | Asset-Management |
business continuity management | Business Continuity Management |
crisis management | Krisenmanagement |
cyber security management | Management von Cybersicherheit |
communications management | Steuerung der Kommunikation |
emergency management | Gefahrenabwehr |
environmental management | Umweltmanagement |
facility management | Facility Management |
financial control | Steuerung der Finanzen |
fraud control | Betrugsprävention |
governance | Governance |
health and safety management | Management von Sicherheit und Gesundheit bei der Arbeit |
human resources management | Personalmanagement |
information security management | Informationssicherheitsmanagement |
information, communications and technology | Informations- und Kommunikationstechnologien |
physical security management | Steuerung der physischen Sicherheit |
quality management | Qualitätsmanagement |
risk management | Risikomanagement |
supply chain management | Steuerung von Lieferketten |
strategic planning | Strategische Planung |
Resilienz ist in der Definition der ISO-Normen kein unternehmerisches Steuerungselement, sondern das Ergebnis der Anwendung von Steuerungselementen, deren Anforderungen den Managementsystemnormen zu entnehmen sind. Daher reicht es nicht, die ISO 22316 anzuwenden. Sie ist nur eine Hilfsnorm, die den Zusammenhang mit Empfehlungen beschreibt. Die Liste der Steuerungselemente im Anhang A liefert den relevanten Gesamtzusammenhang für die Belastbarkeit einer Organisation.
![]() | Dr. Frank Herdmann ist seit 2010 als Inhaber der Auxilium Management Service im Change Management, Interim Management, Business Support im Transatlantikgeschäft sowie in der Unterstützung und Beratung von kleinen und mittleren Unternehmen der Privatwirtschaft und Tochterunternehmen der öffentlichen Hand tätig. Zuvor war er viele Jahre Geschäftsführer mittelgroßer Unternehmen in einem Bankkonzern und bei den deutschen Tochterunternehmen einer größeren internationalen Beratungsgruppe im Immobiliengeschäft. Bei DIN ist er stellvertretender Obmann im Arbeitsausschuss zu Grundlagen des Risikomanagements und war für diesen während der Revision der ISO 31000 Leiter der deutschen Delegation im Technischen Komitee Risk Management der ISO. Außerdem ist er im DIN Obmann im Gemeinschaftsarbeitsausschuss zu Sicherheit und Business Continuity und Mitglied der deutschen Delegation im Technischen Komitee Security and Resilience der ISO. Er ist promovierter Rechtshistoriker, Rechtsanwalt sowie Autor mehrerer Publikationen zum Compliance- und Risikomanagement. |
Publikation Beuth Praxis 2021-03
Drei Schritte zur Aufrechterhaltung der Betriebsfähigkeitab 48,00 EUR inkl. MwSt.
ab 44,86 EUR exkl. MwSt.
Publikation Beuth Praxis 2018-10
Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000ab 39,00 EUR inkl. MwSt.
ab 36,45 EUR exkl. MwSt.
Publikation Beuth Praxis 2017-03
Der Notfall als Chanceab 46,00 EUR inkl. MwSt.
ab 42,99 EUR exkl. MwSt.
Norm [AKTUELL] 2020-10
DIN EN ISO 22313:2020-10ab 158,80 EUR inkl. MwSt.
ab 148,41 EUR exkl. MwSt.
Norm [AKTUELL] 2020-06
DIN EN ISO 22301:2020-06ab 101,80 EUR inkl. MwSt.
ab 95,14 EUR exkl. MwSt.
Norm [AKTUELL] 2017-03
ISO 22316:2017-03ab 62,90 EUR inkl. MwSt.
ab 58,79 EUR exkl. MwSt.
In einem Markt mit globalen Lieferketten können sich Störfälle zu unerwarteten Gefährdungen entwickeln. Die Corona-Pandemie hat gezeigt, wie anfällig viele Unternehmen zum Beispiel im Fall eines Lockdowns sind. Auch wenn nicht alle potenziellen Risiken im Vorfeld abgewendet werden können: Ein Business Continuity Management (BCM) nach ISO 22301 erleichtert die Aufrechterhaltung der Betriebsfähigkeit im Ernstfall erheblich.
Zu den für die Belastbarkeit (Resilienz) eines Unternehmens relevanten Steuerungselementen gehört die Aufrechterhaltung der Betriebsfähigkeit durch Business Continuity Management (BCM). Die Anforderungen für das BCM ergeben sich aus der DIN EN ISO 22301:2020-06; ergänzende Empfehlungen finden sich in den Begleitnormen. Auch in kleinen und mittleren Unternehmen lassen sich die Normen ohne Weiteres umsetzen.
Seit 2012 stellt die ISO 22301 ein Rahmenwerk zur Verfügung, mit dem sich ein Business Continuity Managementsystem (BCMS) nicht nur planen, entwickeln, einführen und betreiben, sondern auch überwachen und überprüfen lässt. Die Norm war weltweit der erste Standard, der die Anforderungen beschreibt, die nötig sind, um die Aufrechterhaltung der Betriebsfähigkeit zu steuern. Im Oktober 2019 wurde sie mit der Veröffentlichung der neuen englischen Fassung aktualisiert sowie als europäische Norm – und damit auch als deutsche Norm (DIN EN ISO 22301) – übernommen.
Die Norm folgt dem PDCA-Ansatz (Plan – Do – Check – Act), der für alle ISO‑Managementsystemnormen gilt.
Auch wenn die meisten Zwischenfälle klein sind, können sie bedeutende Auswirkungen haben. Deshalb lohnt sich ein BCM zu jeder Zeit. Inzwischen gibt es ein globales Bewusstsein dafür, dass Organisationen im öffentlichen und privaten Sektor wissen müssen, wie sie sich auf unerwartete Störfälle vorbereiten und auf diese reagieren.
Für die Aufrechterhaltung der Betriebsfähigkeit stellt die Internationale Organisation für Normung (ISO) eine Dokumentenfamilie zur Verfügung. ISO 22301 ist die Basisnorm für die Aufrechterhaltung der Betriebsfähigkeit. Sie wird unterstützt von der ISO 22313 (Sicherheit und Schutz des Gemeinwesens – Business Continuity Management Systems – Leitlinie), die Leitlinien zur Implementierung der ISO 22301 enthält. Vertiefende Information und Beispiele, die ein umfänglicheres Verständnis für das BCMS enthalten, finden sich in mehreren Technischen Spezifikationen (TS). Die wichtigsten:
Der erste Schritt bei der Einführung der ISO 22301 in einem Unternehmen konzentriert sich auf vier Abschnitte der Norm, deren Anforderungen für ein wirksames Business Continuity Management System (BCMS) berücksichtigt werden müssen:
Jedes Thema in einem Unternehmen kann mit Risiken oder Chancen verbunden sein, die gegebenenfalls Maßnahmen erforderlich machen. Im Zusammenhang mit Abschnitt 6 beziehen sich Risiken und Chancen auf die Wirksamkeit des Steuerungssystems, mit dem die Betriebsfähigkeit aufrechterhalten werden soll.
Die Organisation muss die Ziele zur Aufrechterhaltung der Betriebsfähigkeit konkretisieren: Sie müssen an den maßgeblichen Funktionen des Betriebes ausgerichtet werden. Dabei wird bestimmt, was getan werden muss, welche Hilfsmittel erforderlich sind, wer verantwortlich ist und wie die Ergebnisse bewertet werden.
Werden Schwachstellen oder Chancen für die Verbesserung des BCMS identifiziert, müssen Änderungen geplant und umgesetzt werden.
Abschnitt 8 der Norm beschreibt, wie die Fähigkeiten des Unternehmens zur Steuerung der Aufrechterhaltung der Betriebsfähigkeit festgelegt und umgesetzt werden. Dafür werden vier Themen angesprochen
1. Definieren der Anforderungen und des Gefahrenpotenzials (Business Impact Analyse und Risikobeurteilung, Abschnitt 8.2)
Anforderungen und Gefahrenpotenziale werden mittels einer Business Impact Analyse (BIA) und einer Risikobeurteilung (RA) definiert.
Um die Auswirkungen von Störungen (und den Zeitrahmen, über den ihr Ausmaß bewertet wird) zu verstehen, sind Kennzahlen erforderlich. Zwei Größen müssen bestimmt werden:
Wenn jeder Aktivität ein RTO zugeordnet wird, ergibt sich eine aufsteigende RTO-Liste, die es möglich macht, die Aktivitäten mit Priorität zu identifizieren. Um gleichzeitig die materiell wichtigen Ressourcen zu bestimmen, die für die Wiederherstellung einer Aktivität erforderlich sind, ist auch jeder Ressource das RTO der Aktivität zuzuordnen.
Das im Rahmen der Risikobeurteilung identifizierte Risiko muss im Zusammenhang mit Aktivitäten und Ressourcen hoher Priorität stehen. Maßgeblich sind dabei die Gefahren, die eine betriebliche Störung zur Folge haben können. Für den Prozess der Risikobeurteilung wird auf die ISO 31000 (Risikomanagement) verwiesen.
2. Definieren der Strategien, um die Anforderungen an die Aufrechterhaltung der Betriebsfähigkeit zu erfüllen, das Gefahrenpotential zu entschärfen und Lösungen zur Umsetzung auszuwählen (Abschnitt 8.3)
Die Organisation muss Strategien und Lösungen vor, während und nach einer Störung ermitteln und auswählen. Für jede Aktivität und Ressource mit Priorität sollte geschultes und erfahrenes Personal bei der Bestimmung von geeigneten Strategien zusammenarbeiten. Für jede ausgewählte Lösung müssen die für die Umsetzung der Lösung erforderlichen Hilfsmittel ermittelt werden.
3. Umsetzen dieser Lösungen durch Steuerungsmaßnahmen mittels Planung und kompetenter Teams (Abschnitt 8.4)
Basierend auf den Strategien und Lösungen sollte die Organisation eine dokumentierte Reaktionsstruktur haben: ein Dokument, das beschreibt, wie die Organisation während einer Störung gesteuert wird.
Für sich allein sind Pläne und Methoden nutzlos. Sie müssen von Teams befolgt werden, die so aufgestellt sind, dass sie die allgemeinen Bedürfnisse der Organisation während einer Störung erfüllen können. Wesentlich für eine erfolgreiche Reaktionsstruktur ist es, sicherzustellen, dass die Teams schnell eingesetzt werden können und dass jedes Team in der Lage ist, seine Ziele zu erreichen.
Um die Kompetenz, das Selbstvertrauen und das Wissen derjenigen zu verbessern, denen bestimmte Rollen bei der Reaktion auf eine Störung und der anschließenden Wiederaufnahme des Betriebs zukommen, wird das BCM durch Übungen und Prüfungen (samt Dokumentation der Ergebnisse) verankert. Zusätzliche Handlungsempfehlungen finden sich in der ISO 22398 (Sicherheit und Schutz des Gemeinwesens – Leitfaden für das Üben und Erproben).
Bewertungen der BC-Fähigkeiten und der Teamkompetenz sollen zeigen, ob diese weiterhin geeignet, angemessen und wirksam sind. Die Erfahrungen sollen helfen, die Prozesse bei ihrer Überprüfung zu verbessern und an die Leitlinien anzupassen.Am Ende der Norm steht – wie bei allen Managementsystemnormen der ISO die Anforderung, die Leistung und die Wirksamkeit des BCMS zu bewerten, die Möglichkeiten zur Verbesserung des BCMS zu bestimmen es fortlaufend zu verbessern.
![]() | Dr. Frank Herdmann ist seit 2010 als Inhaber der Auxilium Management Service im Change Management, Interim Management, Business Support im Transatlantikgeschäft sowie in der Unterstützung und Beratung von kleinen und mittleren Unternehmen der Privatwirtschaft und Tochterunternehmen der öffentlichen Hand tätig. Zuvor war er viele Jahre Geschäftsführer mittelgroßer Unternehmen in einem Bankkonzern und bei den deutschen Tochterunternehmen einer größeren internationalen Beratungsgruppe im Immobiliengeschäft. Bei DIN ist er stellvertretender Obmann im Arbeitsausschuss zu Grundlagen des Risikomanagements und war für diesen während der Revision der ISO 31000 Leiter der deutschen Delegation im Technischen Komitee Risk Management der ISO. Außerdem ist er im DIN Obmann im Gemeinschaftsarbeitsausschuss zu Sicherheit und Business Continuity und Mitglied der deutschen Delegation im Technischen Komitee Security and Resilience der ISO. Er ist promovierter Rechtshistoriker, Rechtsanwalt sowie Autor mehrerer Publikationen zum Compliance- und Risikomanagement. |