Unternehmen mit effektivem Business Continuity Managementsystem (BCMS) haben die Pläne für den Wiederanlauf der Betriebsprozesse bereits in der Schublade
BCMS-zertifizierte Unternehmen können nach der Krise schneller ihre Prozesse wieder hochfahren, was sich positiv auf ihre Wettbewerbsposition auswirkt, glaubt Jens Harmeier. Der QMS-Fachmann und Autor erläutert im Interview, wie ein BCMS arbeitet, welche Verbesserungen die Überarbeitung der ISO 22301 gebracht hat und was ein Unternehmen leisten muss, um den Standard zu implementieren.
Michael Bechtel (qm-aktuell): Ein BCMS verspricht, Unternehmen besser durch Krisenzeiten zu bringen. Wird ein ISO-22301-zertifiziertes Unternehmen die Corona-Krise glimpflicher überstehen?
Jens Harmeiner: Sicher ist die Corona-Krise einmalig, wie es jede Krise ist. Trotz ihrer Einmaligkeit hat diese Krise aber einen entscheidenden Vorteil: Sie führte lediglich zu einem temporären Herunterfahren der Kapazitäten. Anders als bei Kriegen oder Naturkatastrophen bleiben jetzt die kritischen Vermögenswerte wie Gebäude, Betriebsmittel und die logistische Infrastruktur erhalten. So ist es möglich, mit einem entsprechenden Sicherheits- und Hygienekonzept die Produktion zügig und flexibel wieder hochzufahren, sobald die Politik dafür grünes Licht gibt. Diese Unternehmen können dann nach der Krise zeitnah wieder den Normalbetrieb aufnehmen.
Michael Bechtel (qm-aktuell): Was hat ein BCMS-zertifiziertes Unternehmen seit den ersten Nachrichten aus Wuhan und den ersten Stellungnahmen der WHO womöglich anders gemacht?
Jens Harmeiner: Natürlich hätten derartige Meldungen wohl auch ein BCMS-zertifiziertes Unternehmen überrascht. Allerdings wäre es besser als andere gerüstet gewesen, um auf diese Krise zu reagieren. So fordert die neue ISO 22301 ein umfangreiches Notfallkonzept: Dies beginnt mit der Durchführung von Business Impact Analysen. Deren Aufgabe besteht darin, die kritischen Betriebsprozesse, Ressourcen und Kenngrößen, also Prioritäten und Anforderungen für deren Wiederanlauf, zu ermitteln. Es folgt dann eine Risikobewertung der kritischen Prozesse und Ressourcen. Im Anschluss daran erarbeitet das Unternehmen geeignete BC-Strategien und –Lösungen, deren Umsetzung dann mithilfe von speziellen BC-Plänen und –Verfahren erfolgt. Darunter fallen Sofortmaßnahmen, eine Notfallorganisation, die interne und externe Krisenkommunikation aber auch Rückführungspläne zu Prozessen, die die Wiederherstellung der normalen Betriebstätigkeit unterstützen. Die Mitarbeiter sind entsprechend zu schulen und zu unterweisen. Schließlich fordert die Norm ein Übungsprogramm, um die Effektivität der Strategien und Lösungen zur Aufrechterhaltung der Betriebsfähigkeit regelmäßig zu überprüfen.
Michael Bechtel (qm-aktuell): Im Herbst 2019 hat die ISO turnusmäßig eine revidierte Fassung des Standards ISO 22301 veröffentlicht und im Februar 2020 den Leitfaden ISO 22313:2020. Hat das Update den BCM-Standard verbessert oder nur begrifflich und formal verändert?
Jens Harmeiner: Obwohl das jüngste Update der Norm nicht zu revolutionären Veränderungen geführt hat, gab es doch einige erwähnenswerte Änderungen und Neuerungen. So wurde die Anzahl der Begriffe fasst halbiert. Auch die Entfernung einer Vielzahl von redundanten Textpassagen führte zu mehr Klarheit. Eine Neufassung verschiedener Begriffe verbesserte die Lesbarkeit der Norm. Neben diesen begrifflichen und formalen Anpassungen erfolgt jetzt eine stärkere Fokussierung auf die relevanten Anforderungen eines ganzheitlichen BCMS. Deutlicher herausgearbeitet wurde eine klare Trennung von planenden Aktivitäten einerseits und ihrer operativen Umsetzung andererseits. Die Struktur der ISO 22301, die sich bereits vor der Revision an der High-Level-Structure orientierte, wurde hingegen beibehalten. Auch bleibt der Anwendungsbereich nicht auf bestimmte Branchen begrenzt. Fazit: Die Norm wurde entschlackt und ermöglicht nun eine pragmatischere und flexiblere Anwendung.
Michael Bechtel (qm-aktuell): Welches sind die wichtigsten neuen Anforderungen der Standards? Welche Herausforderungen birgt eine Rezertifizierung?
Jens Harmeiner: Insgesamt wurden die Vorgaben in der neuen ISO 22301 deutlich verschlankt; die Norm enthält jetzt vor allem weniger Dokumentationsanforderungen. Gänzlich neue Anforderungen wurden aber nicht aufgenommen, mit einer Ausnahme: So wird jetzt im Normabschnitt 6 zur Planung eines BCMS verlangt, dass notwendige Änderungen am BCMS identifiziert und in geplanter Weise umzusetzen sind. Für Unternehmen, die bereits nach ISO 22301 zertifiziert sind, gilt eine dreijährige Übergangsfrist zur Anpassung ihres BCMS, die am 31.10.2019 begann. Dies bedeutet, dass ISO-Zertifikate längstens bis zum 31.10.2022 ihre Gültigkeit behalten. Für ein Unternehmen, das sein BCMS „lebt“ und kontinuierlich verbessert, dürfte die Anpassung ihres BCMS an die neue Norm keine große Herausforderung sein. Dennoch sollten auch BCMS-zertifizierte Unternehmen davon ausgehen, dass auch zukünftig die Störanfälligkeit von Betriebsprozessen weiter steigen dürfte. Gründe dafür sind immer komplexere Prozesse, eine starke Abhängigkeit von IT-Systemen in der Industrie 4.0, die Einbindung von immer mehr Lieferanten, steigende Kundenanforderungen und eine Zunahme von rechtlichen Vorgaben.
Michael Bechtel (qm-aktuell): Wie arbeitet in der Praxis ein lebendiges BCMS, wie hält es die Unternehmensumwelt im Blick, wie stellt es das Unternehmen auf mögliche neue Krisenszenarien ein?
Jens Harmeiner: Eine wichtige Aufgabe des BCMS ist ein regelmäßiges intensives Monitoring von potenziellen Notfall- und Krisensymptomen, um diese frühzeitig zu erkennen und schwerwiegende Auswirkungen möglichst zu verhindern. Wie bereits erwähnt, ist das Üben und Testen von diversen Krisensituationen ein wichtiges Element der Norm. Dabei geht es darum, die im BCMS festgelegten Regelungen z.B. mithilfe von Simulationen oder Ernstfallübungen vor Ort unter realitätsnahen Bedingungen zu trainieren. Auch die Pflege der BCM-Dokumentation ist unerlässlich: Was nützen Telefonnummern im Krisenfall, die nicht aktuell sind? Darüber hinaus fordert die neue ISO 22301, dass die Leistung und Wirksamkeit des BCMS regelmäßig gemessen und bewertet wird, um Schwachstellen beseitigen zu können. Dazu sind aus dem Qualitätsmanagement bekannte Instrumente wie interne Audits und Managementbewertungen einzusetzen. Ferner geht es darum, auf der Grundlage dieser Bewertungen kontinuierliche Verbesserungen am System vorzunehmen. Ziel all dieser Anstrengungen ist es, die Mitarbeiter im Unternehmen für Not- und Störfälle zu sensibilisieren, denn die nächste Krise kommt bestimmt.
Kontakt: Jens Harmeier, harmeier@arcor.de