1. Die Schwierigkeit, alle BCM-Stakeholder "bei Laune"
zu halten
Management der „Interested party“ im BCM
Interested party
BCI-Kongress 2012, Stuttgart 6. September 2012
Matthias Hämmerle MBCI, 10.06.2012
,
2. Stakeholder Management im BCM
„Das Geheimnis des Erfolges
ist, den Standpunkt des
anderen zu verstehen“
Henry Ford
2
3. Agenda
• Wer sind die internen und externen Stakeholder des BCM?
• Welche unterschiedlichen, teils widersprüchliche Anforderungen haben Sie an
das BCM?
• Wie kann diesen unterschiedlichen Anforderungen gerecht werden, ohne die
Kernaufgaben aus dem Auge zu verlieren?
• Welche Kommunikationsmedien stehen dem BC Manager hierfür zur
Verfügung?
• Welche Fallstricke lauern und gibt es Patentrezepte?
Viele Fragen, auf die der Vortrag eine Antwort versucht, ohne diese immer als
Patentrezept finden.
Aber auch geteiltes Leid ist halbes Leid.
3
4. BCM Stakeholder Management
A Anforderungen an das Stakeholder Management
B Management der Anforderungen
C Lessons learned - Do´s and Don´ts
4
5. BCM Stakeholder Management
A Anforderungen an das Stakeholder Management
B Management der Anforderungen
C Lessons learned - Do´s and Don´ts
5
6. BCM-Stakeholder haben im neuen Standard ISO 22301 mehr
Bedeutung erhalten
Einer der wesentlichen Änderungen gegenüber BS 25999 ist die Rolle der „interested
interested
party“ im BCM-Lifecycle gegenüber Stakeholder im BS 25999
BS 25999-1, -2 ISO 22301, ISO 22313
Stakeholder als Rolle “interested party” als Rolle
definiert definiert (weite Definition)
( )
Aber nur an wenigen Stellen Eigener Abschnitt
des Standards werden “Understanding the needs
konkrete Anforderungen
g and expectations of
p
definiert interested parties”
(Scope und Incident Anforderungen an das
Response, stakeholder Stakeholder Management
management im über den gesamten BCM
BS 25999-1) Lifecycle definiert
6
7. Interested parties im PDCA-Cycle des ISO 22301 und ISO 22313
Continual i
C ti l improvement of b i
t f business continuity
ti it
management systems (BCMS)
Interested Establish Interested
parties (Plan) parties
Maintain and Implement
improve and operate
(Act) (Do)
Requirements Monitor and Managed
for business review business
continuity (Check) continuity
Quelle: ISO 22313
7
8. Gliederung ISO 22301 und ISO 22313 Draft
„Interested parties“ werden in den neuen ISO-Standards wesentlich mehr
Bedeutung zugemessen als im BS 25999 (expliziter Gliederungspunkt)
edeutu g uge esse a s S 5999 (e p te G ede u gspu t)
Quelle: ISO 22313 Draft 1/2012
8
9. „Interested parties“ im ISO 22313 Draft
Definition von „interested parties“ im BCM
When establishing its BCMS, the organization should ensure that the
needs and requirements of interested parties are taken into
consideration.
The organization should identify all interested parties that are of
ISO 22313
relevance to its BCMS and based on their needs and expectations,
4.2
determine their requirements. It is important to identify not only
Understanding
the needs and obligatory and stated requirements but also any that are implied.
expectations of
interested NOTE When establishing the BCM, the organization needs to be aware of not only ‘those
parties g p
groups without whose support the organization would cease to exist’, the Stanford Research
pp g ,
Institute’s definition of stakeholders, but additionally those who have an interest in the
organization, such as the media, the public nearby, competitors and so on. Furthermore a
stakeholder may have defined requirements that must be taken into account, whereas an
interested party in most situations is not able to specify requirements or impose obligations.
„Interested parties“ werden bewusst breiter als „stakeholder“ definiert;
Die Anforderungen sind zu antizipieren, wenn nicht explizit formuliert
9
11. „Interested parties“ im ISO 22313 Draft
Anforderungen an „interested parties“ im BCM
When planning and implementing the BCMS, it is important to
identify actions that are appropriate in relation to interested
ISO 22313 parties but differentiate between the different categories For
categories.
4.2 example, it is likely to be appropriate to communicate with all
Understanding interested parties following a disruptive incident but it may not be
the needs and
appropriate to communicate with all interested parties during all stages
expectations of
interested of the business continuity programme referred to in 8.1.1. .
parties
„Interested parties“ sind differenziert zu behandeln
parties
11
12. „Interested parties“ im ISO 22301
“It is not the intent of this International Standard to imply uniformity in the structure of a
Business Continuity Management System (BCMS), but for an organization to design a
(BCMS)
BCMS that is appropriate to its needs and that meets its interested parties’ requirements.”
ISO 22301
take into account interested parties’ needs and interests,
Scope of the BCMS such as customers, investors, shareholders, the supply
chain, public and/or community input and needs,
expectations and interests ( appropriate),
p (as pp p ),
The BCMS policy shall be available to interested parties,
Policy as appropriate
The organization shall establish, implement, and maintain
Communication p ( )
procedure(s) for
– internal communication amongst interested parties and
employees within the organization
– external communication with customers, partner entities,
local community and other interested parties, including
community, parties
the media
12
13. „Interested parties“ im ISO 22301
BIA und Incident Management
ISO 22301
Business impact
p identifying dependencies and supporting resources for
y g p pp g
analysis these activities, including suppliers, outsource partners and
other relevant interested parties
Incident response The response structure shall communicate with interested
structure parties and authorities, as well as the media
Warning and
g The organization shall establish, implement and maintain
procedures for internal communication within the
communication
organization and receiving, documenting and responding to
communication from interested parties
13
14. „Interested parties“ im ISO 22301
Planung, Tests und Management Review
ISO 22301
Business continuity The business continuity plans shall collectively contain
plans details on how and under what circumstances the
organization will communicate with employees and their
relatives, key interested parties and emergency contacts
The organization shall conduct exercises and tests that
Exercising and testing taken together over time validate the whole of its business
continuity arrangements, involving relevant interested
p
parties
The organization shall communicate the results of
Management review management review to relevant interested parties
14
15. BCM Stakeholder Management
A Anforderungen an das Stakeholder Management
B Management der Anforderungen
C Lessons learned - Do´s and Don´ts
15
16. Stakeholder-Management im BCM
Identifikation und Management der interested parties im BCM
Stakeholder-Management in drei Schritten
1 2 3
Identifikation der Identifikation,
Dokumentation und
D k t ti d
„interested parties“ Abstimmung der
Umsetzung
des BCM Anforderungen
W l h
Welche Id tifik ti
Identifikation d
der Dokumentation der
unternehmensinternen Anforderungen und wichtigsten
und Erwartungen Schnittstellen mit den
unternehmensexternen Festlegung der Lieferbeziehungen in
g
interested parties gibt es gegenseitigen der BCM-Policy
für das BCM? Lieferungen und Integration in die BCM-
Leistungen Kommunikation (Bsp.
Festlegung der BCM-Reporting)
Kommunikation
Ziel ist die Festlegung der jeweiligen Schnittstellen zu den identifizierten
Stakeholdern
16
17. Zwiebelmodell „Interested parties“ des BCM
Wer sind die interested parties des BCM?
U-extern
Lieferanten Angehörige
Kunden, Partner, Öffentlichkeit
Service Provider Presse,
Kunden Medien
U-intern
Service
S i Sourcing- Anlieger
Provider Mgt. Mitarbeiter
Presse,
BCM Kommunikaton
Rollen
VO, GF Revision
Aktionäre
BaFin,
,
AR Buba Behörden,
Behörden
Shareholder Aufsichtsorgane
W-Prüfer
17
19. Indirekte Beziehungen zu Stakeholdern
Häufig bestehen nur indirekte Beziehungen vom BCM zur „interested party“, wie zum Beispiel bei
der Kommunikation zur Presse über die Presseabteilung
g
19
20. Interested parties im Regel- und Notbetrieb
Die interested parties unterscheiden sich im Notfall vom Regelbetrieb
Regelbetrieb Notfall, Krise
BCM-Organisation Management, Anteilseigner
U-Intern Schnittstellenbereiche (IT, Risiko- Krisenstab
und Sicherheitsmgt. etc.) Presse und Kommunikation
Kunden BCM im Supply Chain Betroffene Kunden, Zulieferer,
Zulieferer Management: kritische Supplier Dienstleister
Dienstleister Versicherungen
Presse, Medien über Angehörige
Öffentlichkeit Presseinformationen, Anrainer
Geschäftsbericht etc. Presse, Medien
Aufsichtsbehörden Sicherheitsorganisationen
Behörden Relevante Behörden
Organisationen (Gesundheitsamt etc.)
20
21. Klassifizierung von Schnittstellen zu Stakeholdern
Festlegung der Form der Kommunikation
Informationsbereitstellung
zum Beispiel als Teil des BCM Berichtswesens (Policy
BCM-Berichtswesens (Policy,
Konzepte, Pläne etc.) oder Alarmierung und Eskalation
Abstimmung
zum Beispiel Abstimmung von BCM-Konzepten, BC-Plänen
Ausgestaltung etc.
von Schnitt-
stellen zu
Vorgaben
Stakeholdern
zum Beispiel Vorgaben zu Methoden und Verfahren, Templates
etc.
Entscheidungen, Genehmigungen, Freigaben
21
22. Balancierung der unterschiedlicher Interessen
Unterschiedliche Interessen und Vorgehen erkennen und klären Beispiele
BCM Prozessmanagement
Bereichsübergreifende Detaillierte Prozessmodelle
Wertschöpfungsketten
Produktkatalog
BCM IT
IT-Servicekatalog Verfügbarkeitsanforderungen
für Anwendungen, Systeme,
g y
Infrastruktur
BCM Sourcing-Mgt.
Sourcing-Mgt
Berücksichtigung der Zügige
Anforderungen aus dem Vertragsverhandlungen
BCM in den SLA
22
23. RASCI zur Abstimmung und Dokumentation der Schnittstellen mit
interested parties Beispiel
BCM Verantwortungen (RASCI) - Prozess "Business Impact Analyse"
Erstellt von: Datum:
Fachbereiche,
BCM Tochtergesellschaft,
T ht ll h ft Management
M t Audit
A dit
Niederlassung
erne Revision
isen-Manager
esamtvorstan
Zu Vorstand
entrales BCM
Lagezentrum
Fachbereich
Beauftragte
Krisenstab
Rollen
Experten
Prozess-
Bank-
Leiter
BCM-
BCM
WP
d
Aktivität
ust.
bzw. Ergebnis
K
B
Inte
Ge
F
Ze
Kri
Business Impact Analyse
Initiierung der Aktualisierung bzw.
Durchführung von Business Impact R
Analysen
Durchführung bzw. Aktualisierung der BIA
der Bereiche, Tochtergesellschaften, S R A C
Niederlassungen
Freigabe der BIA-Ergebnisse A I
Festlegung der kritischen Prozesse A I
Abstimmung der sich aus der BIA
ergebenden Anforderungen mit allen
S R A
relevanten Organisationseinheiten (Bsp. IT,
Verwaltung) der Bereiche
R = Responsible Durchführungsverantwortung
D hfüh
A = Accountable Genehmigung, Freigabe, Entscheidung
S = Support Beratung, Unterstützung
C = Consulted Fachverantwortung
I = Informed Informationsrecht
23
24. Definition der Liefer- und Leistungsbeziehungen
Wer liefert was an wen, in welchem Rhythmus und welcher Form
Beispiel
Phase Von An
IT IT-Servicekatalog IT Soll-Verfügbarkeiten für
BIA Ist-Verfügbarkeiten für IT- IT-Services und IT-
Services und Service- Serviceprovider
Provider GAP-Analyse der Service-
g
Verfügbarkeiten
Workarounds für IT-
Services
Orga Geschäftsprozesse
Geschäftsprozesse, Orga Kritikalität von
Produkte, Geschäftsprozessen
Wertschöpfungsketten Prozess-Ressourcen
Risk Risk Risikoszenarien Risk Risk Assessments für
Assessment Mgt. Risikoeinschätzungen Mgt. Gebäude, Personal, IT-
Services
Schadensfälle
Vorsorgemaßnahmen
g
24
25. Power / Interest Grid für das Stakeholder Management
Management der Schnittstellen zu den interested parties
+
Keep Manage
Satisfied Closely
Macht Einfluß
t, ß
Monitor Keep Informed
-
- Interesse +
25
26. BCM Stakeholder Management
A Anforderungen an das Stakeholder Management
B Management der Anforderungen
C Lessons learned - Do´s and Don´ts
26
27. Do´s and Don´ts
Lessons Learned des Stakeholder-Management für BCM
Oftmals sind Voraussetzungen für das BCM nicht ideal:
g
Geschäftsprozesse, IT-Servicekatalog, SLA´s.
“Nein” sagen können
BCM kann nicht alle “Sünden der Vergangenheit” beheben
wollen.
Die frühzeitige Klärung dér Schnittstellen hilft
Schnittstellen frühzeitig Mißverständnissen, Doppelarbeit und Inkompatibilitäten
klären vorzubeugen.
Nur verbindlich und einvernehmlich geklärte und
Schnittstellen dokumentierte Schnittstellen helfen weiter. Zum Beispiel
p
verbindlich
bi dli h als Teil der Policy bzw. des verbindlichen BCM-
dokumentieren Regelwerks.
27
28. Do´s and Don´ts
Lessons Learned des Stakeholder-Management für BCM
Viele Schnittstellen zu interested parties sind keine
p
“über die Ecken” direkten Schnittstellen vom BCM, sondern indirekt über
denken (und handeln) andere Bereiche, wie Presse&Kommunikation oder
Outsourcing Management.
Viele interested parties sind nur in Notfall- /
An interested parties in Krisensituationen relevant. Hierzu gehören Behörden,
Krisensituationen Sicherheitsorganisationen, aber auch Angehörige und
denken Anrainer. B it i R
A i Bereits im Regelbetrieb einbinden.
lb t i b i bi d
Interested parties in die Informations- und Kommunikationsmittel und -wege mit
Information und den interested parties abstimmen. Alle
p
Kommunikation Kommunikationsmittel differenziert nutzen (Intranet,
Berichte, Jour Fixes etc.).
einbauen
28
29. Fragen und Diskussion
Vielen Dank!
Matthias Hämmerle MBCI
Business Continuity Manager
BCM-News
www.bcm-news.de
admin@bcm-news.de
29