GFP-Anwenderleitfaden*

IBCRM e.V Autoren: Thorsten Scheibel, Claudia Krüger, Stefanie Fekonja, Max Kaiser, Matthias Hämmerle.

Aufklappmenü:

1. Resilience und Business Continuity Management

Resilience umfasst die Bestandteile Strategieentwicklung, Prozess- & Organisationsentwicklung, Risk Governance, Risikomanagement sowie Business Continuity Management (BCM).
Das BCM stellt somit einen Teil zur Unternehmensresilience dar (siehe Bild 1). Die Erstellung der Geschäftsfortführungspläne (auch Business Continuity Pläne, gelbe Markierung in Bild 1) ist dabei ein wesentlicher Bestandteil, auf den in den folgenden Kapiteln eingegangen.

Bild 1: Einordnung der BIA in den Kontext Unternehemsresilience

2.Geschäftsfortführungsplan (GFP) Anwenderleitfaden

2.1 Was verbirgt sich hinter dem GFP-Anwenderleitfaden

Der GFP-Anwenderleitfaden hat zum Ziel eine praxisnahe Unterstützung bei der Erstellung von Geschäftsfortführungsplänen zu liefern. Die Geschäftsfortführungsplanung stellt dabei die Basis für eine schnelle und effektive Reaktion auf Notfälle dar und ermöglicht einen Notbetrieb der zeitkritischen Geschäftsprozesse. Der Anwenderleitfaden hilft bei der Erstellung, indem er einen schnellen Überblick ermöglicht, durch eine einfache Darstellung der Inhalte, Abläufe und Anforderungen an eine Geschäftsfortführungsplanung. Zudem werden Hilfsmittel für eine pragmatische Umsetzung zur Verfügung gestellt.

2.2 Was ist Ihr Nutzen?

Sie stehen vor der Herausforderung, erstmalig eine Geschäftsfortführungsplanung durchführen zu müssen oder wollen ihre bestehende Planung weiterentwickeln?
Folgende Vorteile bietet Ihnen dafür der Anwenderleitfaden:

  • Profitieren Sie von jahrelanger Praxiserfahrung von Business Continuity Managern unterschiedlicher Branchen.
  • Angegebene Tipps helfen Ihnen mögliche “Anfangsfehler” zu vermeiden.
  • Keine Fokussierung auf eine spezielle Norm, sondern der pragmatische Querschnitt aus der Praxis für die Praxis. Dennoch steht der Anwenderleitfaden im Einklang mit gängigen Normen wie der ISO 22301.
  • Fokussierung auf das Wesentliche mit dem Motto “weniger ist mehr”.
  • Bereitstellen von direkt anwendbaren Hilfsmitteln.
  • Ein Leitfaden immer auf dem aktuellen Stand, dadurch, dass Sie Ihre Erfahrungen direkt einbringen können und diese regelmäßig eingearbeitet werden (siehe Kap. 2.3).

2.3 Wie kann ich mich einbringen?

Im Sinne der kontinuierlichen Verbesserung setzen wir auf Ihren Beitrag zu Erfahrungen mit den vorgeschlagenen Beschreibungen und Hilfsmitteln. Die Veröffentlichung und Anpassung bestehender Leitfäden wird jährlich auf der Konferenz des IBCRM e.V. vorgestellt. Im Rahmen der Präsentation werden Rückmeldungen der Teilnehmer eingefangen und in den Leitfaden eingearbeitet. Das Ergebnis wird auf der Webseite des IBCRM e.V. veröffentlicht.

3. Hintergrundinformationen

3.1 Was ist ein Geschäftsfortführungsplan (GFP) und wofür wird er benötigt?

Im GFP wird das Vorgehen bei einem Ausfall von kritischen Ressourcen (Gebäude, IT, Betriebsmitteln, Personal oder Vertragsbeziehungen) beschrieben. Mit seiner Hilfe wird die Fortführung zeitkritischer Geschäftsprozesse bei Ausfall von Ressourcen gesichert. Der GFP oder auch Notfallplan oder Business Continuity Plan stellt damit das Kernstück des BCM dar.
GFPs werden für zeitkritische Geschäftsprozesse im Scope des BCM erstellt. GFPs können die Notfallplanungen für

  • Geschäftsprozesse
  • Produkte und Services
  • Organisationseinheiten
  • Standorte

umfassen.
Dabei können GFPs aus einem oder mehreren Einzeldokumenten bestehen, die miteinander verlinkt sind. Die Aufteilung der Dokumente orientiert sich an dem jeweiligen Anwenderkreis in einem Notfall. Anwender sollten hierbei möglichst spezifisch auf ihre Bedürfnisse zugeschnittene Dokumente erhalten, um die Dokumente möglichst kompakt und zielgerichtet einsetzbar zu halten. Hierzu dient auch die Darstellung von Verfahrensabläufen in Form von Checklisten, wie sie beispielhaft in der Vorlage GFP im Anhang dargestellt ist.

3.2 Verbindung BIA und GFP

In der Business Impact Analyse (BIA) werden die zeitkritischen Geschäftsprozesse ermittelt, die im Notfall aufrechterhalten werden müssen, um größeren Schaden für das Unternehmen abzuhalten. Zudem werden die Ressourcen erhoben, die zur Aufrechterhaltung des Notbetriebs der zeitkritischen Geschäftsprozesse erforderlich sind sowie die Zeit in der der Prozess mit den jeweiligen Ressourcen verfügbar sein muss. Diese Informationen aus der BIA bilden die Grundlage für die Geschäftsfortführungsplanung. Im GFP werden zur Aufrechterhaltung der zeitkritischen Geschäftsprozesse sowie für die jeweiligen nötigen Ressourcen entsprechende Workarounds festgelegt.

3.3 Erfordernisse und Voraussetzungen

Für die Erstellung der Geschäftsfortführungsplanung sind die in der BIA gewonnenen Informationen eine wesentliche Grundlage.
Hierzu zählen insbesondere die Informationen:

  • identifizierte zeitkritische Geschäftsprozesse
  • Wiederanlaufanforderungen dieser Geschäftsprozesse
  • Anforderungen an die Ressourcen im Notbetrieb

Während die BIA auf der einen Seite die Anforderungen an die Geschäftsprozesse im Notbetrieb definiert, sind im Rahmen der Geschäftsfortführungsplanung auf der anderen Seite Strategien und Verfahren als Ausweich- und Ersatzlösungen für den Ausfall dieser Ressourcen zu beschreiben. Ziel ist die Herstellung eines Notbetriebs mit alternativen Verfahren (“workarounds”). Zudem sind in der Geschäftsfortführungsplanung Alarmierungs-, Eskalations- und Kommunikationsverfahren zu beschreiben. Diese stellen sicher, dass die erforderlichen Personen und Interessengruppen informiert sind und die erforderlichen Entscheidungen schnell getroffen werden können.
Die Geschäftsfortführungsplanung erfordert detaillierte Kenntnisse der Prozessabläufe und kann daher nur in enger Zusammenarbeit mit den Prozessverantwortlichen erstellt werden. Die Geschäftsfortführungsplanung bildet die Grundlage für Tests und Übungen. In den Tests und Übungen werden die beschriebenen Verfahren verifiziert und optimiert sowie die Beteiligten in den Verfahren unterwiesen und trainiert. Die Geschäftsfortführungsplanung bildet damit ein wichtiges Bindeglied zwischen der BIA und den Tests und Übungen.

3.4 Kritische Erfolgsfaktoren

Die Geschäftsfortführungsplanung dient bei Eintritt eines Notfalls der Steuerung von

  • Einleitung von Sofortmaßnahmen
  • Alarmierung und Eskalation
  • Einleitung und Aufrechterhaltung des Notbetriebs
  • Interne und externe Notfallkommunikation
  • Wiederanlauf in den Normalbetrieb.

Die Geschäftsfortführungsplanung muss diese Punkte beinhalten, aber immer noch in einem Notfall sowie für Tests und Übungen schnell und zielgerichtet nutzbar sein.
Die Geschäftsfortführungsplanung sollte sich daher auf diese Inhalte konzentrieren und auf nicht notfall-relevante Inhalte (wie zum Beispiel ausführliche Darstellungen der BIA-Ergebnisse) verzichten.
Bewährt hat sich ein szenariobasierter Aufbau der Geschäftsfortführungsplanung, da häufig der Eintritt eines Notfallszenarios zu bewältigen ist.
Zu diesen Notfallszenarien zählen:

  • Ausfall von Gebäuden und Gebäudeteilen
  • Ausfall von Personal
  • Ausfall von IT
  • Ausfall von Betriebsmitteln (techn. Anlagen, Produktionsmaschinen, techn. Arbeitsplatzausstattung, Versorgungen)
  • Ausfall von Dienstleistungen

Treten Szenarien in einer Kombination auf, sind die Pläne zu kombinieren.
Eine Geschäftsfortführungsplanung nimmt Notfallszenarien gedanklich vorweg und beschreibt die erforderlichen Maßnahmen und Verfahren für diese Szenarien. In der Praxis halten sich Notfälle jedoch leider nicht an vordefinierte Notfallpläne, sondern “entwickeln ein Eigenleben”. Bei der Aktivierung von Geschäftsfortführungsplänen ist daher darauf zu achten, ob die vorgesehenen Maßnahmen der aktuellen Situation angemessen sind. Gegebenenfalls ist die Notfallplanung an die Situation anzupassen (Beispiel: Teil-Ausfall eines Gebäudes).
Der Aufbau der Geschäftsfortführungsplanung in Form von Checklisten erleichtert die strukturierte Abarbeitung der definierten Verfahrensschritte ohne wichtige Punkte zu vergessen. In der Vorlage im Anhang ist daher eine Checkliste für die Darstellung von Notfallchecklisten enthalten.

3.5 Wie wird der GFP-Anwenderleitfaden angewendet?

Der GFP-Anwenderleitfaden inkl. Vorlagen bietet vor allem eine praxisnahe Unterstützung bei der Konzeptionierung und Erstellung von GFPs im Unternehmen. Daher legt das IBCRM e.V. großen Wert auf die direkte Anwendbarkeit der beschriebenen Schritte und Templates, ohne viel zusätzlichen Aufwand z.B. in Form von externer Beratung erforderlich zu machen. Damit unterscheidet sich dieser GFP-Anwenderleitfaden von bestehenden Leitfäden, welche zumeist einen gröberen Detailgrad aufweisen.

Die Bestandteile des GFP-Anwenderleitfadens sind modular und je nach Reifegrad flexibel im Unternehmen einzusetzen, anzupassen und zu erweitern. Bei der Konzeption und Erstellung des GFP sind individuelle Unternehmensanforderungen sowie rechtliche und regulatorische Erfordernisse zu berücksichtigen.

Der GFP-Anwenderleitfaden ist ein lebendes Hilfsmittel des IBCRM e.V. Das bedeutet die Inhalte werden sich im Laufe der Zeit durch Vereinsmitglieder oder andere interessierte Kreise weiterentwickeln. Konzeptionelle Änderungen, die sich daraus ergeben, können damit auch zu einer kontinuierlichen Verbesserung in Ihrer Geschäftsfortführungsplanung beitragen.

3.6 Rahmenbedingungen (Recht, Normen, Standards, Kunden) Industrie, Banken, Versicherungen, gängige Normen

Bei der Konzeptionierung und Erstellung der GFPs gibt es Rahmenbedingungen zu beachten, welche sich durch Recht & Regulatorik, Normen und Standards sowie industrie- und unternehmensspezifische Anforderungen ergeben. Das jeweilige Unternehmen sollte sich daher im Voraus bewusst machen, ob und welche

  • verbindlichen Auflagen (rechtlich & regulatorisch) bestehen
  • weiteren Normen und Standards, Good/Best Practices in Betracht gezogen werden sollten

Bei diesen Überlegungen der Rahmenbedingungen ist zwischen zwingend verpflichtenden und freiwilligen Auflagen bzw. Anforderungen zu unterscheiden. Denn rechtliche und regulatorische Anforderungen sind zwar unumgänglich, jedoch bleibt auch hier ein gewisser Gestaltungsspielraum.
Folgend finden Sie beispielhaft eine Liste von Anforderungen, die Sie zur Bewertung benötigen werden.

Good oder Best Practices dienen als Hilfestellung bei der Umsetzung von Anforderungen und sind oftmals für deren Erfüllung ausreichend.

Sofern eine Zertifizierung angestrebt wird, sind Anforderungen aus der jeweils zu zertifizierenden Norm besonders hervorzuheben, da diese erfüllt und die Nachweise gegenüber dem Auditor erbracht werden müssen.

4. GFP-Anwenderleitfaden

Zur Erstellung des GFPs sind auf Basis der Informationen aus der BIA und der Risikoanalyse folgende Schritte zu durchlaufen:

  • Relevante Bestandteile für den Geschäftsfortführungsplan abstimmen
  • Ergänzende Informationen zur Aufrechterhaltung des Geschäftsbetriebs erheben und abstimmen
  • Inhalte des GFP prüfen und freigeben lassen
  • Relevanten Personenkreis zum GFP informieren und Ihnen den Zugang ermöglichen

Im Folgetext ist das Vorgehen zu den oben genannten Schritten beschrieben.

4.1 Identifikation der Anforderungen aus der BIA an den GFP

Grundlagen für die Erstellung der Geschäftsfortführungsplanung sind die Ergebnisse der Business Impact Analyse.
Zu diesen Ergebnissen zählen insbesondere

  • zeitkritische Geschäftsprozesse mit Wiederanlaufanforderungen
  • kritische Ressourcen je zeitkritischem Geschäftsprozess mit den jeweiligen Wiederanlaufanforderungen sowie Mindest-Anforderungen an den Notbetrieb:
    • Personal
    • IT
    • Arbeitsplätze
    • techn. Ausstattung, Betriebsmittel
    • Dienstleistungen und Dienstleister

Die Unterbrechung zeitkritischer Geschäftsprozesse resultiert in der Regel aus einem Ausfall einer oder mehreren der kritischen Prozess-Ressourcen.
Die Geschäftsfortführungsplanung berücksichtigt diese Anforderungen, indem eine Geschäftsfortführungsplanung für jede der kritischen Geschäftsprozesse erstellt wird. Da nicht jede mögliche Ursache eines Ressourcenausfalls in Form von Geschäftsfortführungsplänen berücksichtigt werden kann, werden in der Planung nicht ursachenbezogene, sondern wirkungsbezogene Szenarien betrachtet.
Zu diesen wirkungsbezogenen Szenarien zählen insbesondere
der Ausfall kritischer

  • Standorte, Gebäude, Gebäudeteile, Arbeitsplätze
  • Mitarbeiterressourcen/Personal
  • IT
  • techn. Ausstattung, Betriebsmittel
  • Dienstleistungen, Dienstleister

Im Ergebnis ist in der Geschäftsfortführungsplanung jede kritische Prozess-Ressource szenariobasiert zu betrachten.
Ziel der Geschäftsfortführungsplanung ist es, Ersatzlösungen und Notfallverfahren für den Ausfall der Ressource zu identifizieren und zu beschreiben.
Gibt es keine Ersatzlösung für eine kritische Prozess-Ressource und kann diese auch aus technischen und / oder wirtschaftlichen Gründen nicht geschaffen werden, so ist das hieraus folgende Risiko in das Risikomanagement des Unternehmens aufzunehmen. In diesen Fällen ist in der Geschäftsfortführungsplanung insbesondere die interne und externe Notfallkommunikation zu berücksichtigen.

4.2 Identifikation von BCM-Strategien für die BCM-Szenarien

Für die kritischen Ressourcen sind in einem ersten Schritt strategische Optionen für den Ausfall zu identifizieren.

Beispiele für strategische Optionen:

Für jede kritische Ressource eines Geschäftsprozesses sind die relevanten strategischen Optionen zu prüfen und die geeigneten Optionen auszuwählen.
Die Geschäftsfortführungsplanung konkretisiert im nächsten Schritt die Verfahren zur Umsetzung der gewählten strategischen Optionen in einem Notfall.

4.3 Aufbau und Inhalte der Geschäftsfortführungsplanung abstimmen

Die Geschäftsfortführungsplanung kann bei kleineren Organisationen aus einem Dokument oder bei größeren Organisationen aus mehreren zusammenhängenden Dokumenten bestehen.
GFPs können in verschiedenen Dimensionen erstellt und zusammengefasst werden:

  • für kritische Geschäftsprozesse
  • für Organisationseinheiten mit kritischen Geschäftsprozessen
  • für Produkte / Servicesfür Produkterstellungsprozesse, Produktionsprozesse, Fertigungslinien
  • für Standorte.

Die Geschäftsfortführungsplanung sollte mindestens folgende Inhalte umfassen:

  • Alarmierungsverfahren und Kontaktdaten
  • Eskalationsverfahren Störung / Notfall / Krise
  • Kompetenzen zur Aktivierung und Umsetzung von GFPs
  • Notfallprozeduren zur Aktivierung des Notbetriebs
  • Notbetriebsprozesse, Wegfall von Aktivitäten im Notbetrieb
  • interne und externe Kommunikation
  • Notfallprozeduren für die Rückkehr in den Normalbetrieb, Nacharbeiten.

Die Inhalte können in einem oder mehreren Dokumenten der Geschäftsfortführungsplanung abgebildet sein.

  • Kritische Erfolgsfaktoren für die Geschäftsfortführungsplanung sind
  • Verfügbarkeit der GFPs im Notfall (zum Beispiel durch eine mehrfach redundante Ablage physisch und digital)
  • leichte Nutzbarkeit auch in Stress-Situationen (zum Beispiel durch Abbildung der Verfahren als Checklisten)
  • Benennung von verantwortlichen Rollen ohne namentliche Personen (da diese im Notfall ggf. nicht verfügbar sind)
  • Konzentration auf das Wesentliche für sachverständige Mitarbeite
  • Leichtes Auffinden der wesentlichen Inhalte und Weglassen unwesentlicher Inhalte (Bsp. vollständige BIA)
  • Ergänzung durch Formulare und Checklisten für die Nutzung im Notfall
  • regelmäßige Überprüfung und Aktualisierung (zum Beispiel durch Tests und Übungen, walk-throughs etc.).

4.4 Qualitätssicherung und Freigabe der Inhalte des GFP

Bevor die Freigabe der Geschäftsfortführungsplanung (GFP) erfolgen kann, ist eine Qualitätssicherung durchzuführen inkl. Prüfung der Funktionsfähigkeit. Die Funktionsfähigkeit der Geschäftsfortführungsplanung wird angenommen, wenn alle erforderlichen technischen und organisatorischen Maßnahmen, die im Plan angegeben sind bereits umgesetzt und einsatzbereit sind. Der Nachweis zur Funktionsfähigkeit wird nach Freigabe der GFP über Tests erprobt. Die Qualitätssicherung wird über eine andere Person durchgeführt als die Person, die den Plan erstellt hat. Zur Prüfung der Qualität der GFP und zum Nachweis, dass die Qualitätssicherung erfolgt ist, kann eine Checkliste verwendet werden. Ein Beispiel dafür findet sich im Anhang. Die finale Freigabe der Geschäftsfortführungsplanung erfolgt nach Abschluss der Qualitätssicherung und sollte idealerweise von einer weiteren neutralen Person über eine Unterschrift erfolgen. Die Freigabe bestätigt die angenommene Funktionsfähigkeit der Planung.

4.5 GFP bekanntgeben

Das Notfallteam ist über den Inhalt der GFP zu informieren. Die Informationsweitergabe erfolgt idealerweise in persönlichen Terminen. Die Planung wird zudem über Tests und Übungen trainiert so dass die Inhalte neben dem Verstehen auch angewendet werden können. Das Vorgehen zu Tests und Übungen wird in einem separaten Leitfaden behandelt.
Die GFP hat dem Notfallteam zugänglich zu sein. Das kann z.B. auf einem festgelegten BCM-Laufwerk sein sowie in gedruckter Form sowie auf USB Sticks. Es hat sich bewährt mindestens zwei unterschiedliche Speicherorte zu verwenden.

4.6 Kontinuierliche Verbesserung

Die kontinuierliche Verbesserung ist ein integraler Bestandteil eines jeden Managementsystems. Das Ziel ist es, den Reifegrad zu erhöhen, indem die Erkenntnisse aus der Erstellung der GFP sowie den Übungen und Tests eingearbeitet werden. Aus den identifizierten Verbesserungspotentialen werden konkrete Maßnahmen abgeleitet, welche wiederum mit Zuständigkeiten und Terminen hinterlegt werden. Verbesserungen fließen in die zukünftigen GFP-Erstellungszyklen ein.

Hinweis: Öffnet sich derzeit nicht im InternetExplorer oder Microsoft Edge.

Hinweis: Öffnet sich derzeit nicht im InternetExplorer oder Microsoft Edge.

*Inhalte und Meinungen in diesem Dokument geben ausschließlich die Ansichten des IBCRM e.V. bzw. dessen Autoren wieder.