BCM Stakeholder Management

Die Schwierigkeit, alle BCM-Stakeholder "bei Laune" zu halten

Management der Interested party“ im BCM

zu halten

Management der „Interested party im BCM

BCI-Kongress 2012, Stuttgart 6. September 2012

Matthias Hämmerle MBCI, 10.06.2012,

Stakeholder Management im BCM

„Das Geheimnis des Erfolges ist, den Standpunkt des anderen zu verstehen“

Henry Ford

2

Agenda

• Wer sind die internen und externen Stakeholder des BCM?• Welche unterschiedlichen, teils widersprüchliche Anforderungen haben Sie an

das BCM?das BCM?• Wie kann diesen unterschiedlichen Anforderungen gerecht werden, ohne die

Kernaufgaben aus dem Auge zu verlieren?• Welche Kommunikationsmedien stehen dem BC Manager hierfür zur• Welche Kommunikationsmedien stehen dem BC Manager hierfür zur

Verfügung?• Welche Fallstricke lauern und gibt es Patentrezepte?

Viele Fragen, auf die der Vortrag eine Antwort versucht, ohne diese immer als Patentrezept finden.

Aber auch geteiltes Leid ist halbes Leid.

3

BCM Stakeholder Management

Anforderungen an das Stakeholder ManagementAManagement der AnforderungenB Management der AnforderungenBLessons learned - Do´s and Don´tsC

4



5

BCM-Stakeholder haben im neuen Standard ISO 22301 mehr Bedeutung erhalten

Einer der wesentlichen Änderungen gegenüber BS 25999 ist die Rolle der interestedEiner der wesentlichen Änderungen gegenüber BS 25999 ist die Rolle der „interestedparty“ im BCM-Lifecycle gegenüber Stakeholder im BS 25999

BS 25999-1, -2 ISO 22301, ISO 22313

Stakeholder als Rolledefiniert

“interested party” als Rolledefiniert (weite Definition)

Aber nur an wenigen Stellendes Standards werdenkonkrete Anforderungen

( ) Eigener Abschnitt

“Understanding the needs and expectations of g

definiert(Scope und Incident Response, stakeholder

pinterested parties” Anforderungen an das

Stakeholder Managementmanagement imBS 25999-1)

Stakeholder Management über den gesamten BCM Lifecycle definiert

6

Interested parties im PDCA-Cycle des ISO 22301 und ISO 22313

C ti l i t f b i ti itContinual improvement of business continuitymanagement systems (BCMS)

Establish(Plan)

Interestedparties

Interestedparties

Implementand operate

Maintain andimprove and operate

(Do)improve

(Act)

Monitor andreview

(Check)

Requirementsfor business

continuity

Managedbusinesscontinuity

7Quelle: ISO 22313

Gliederung ISO 22301 und ISO 22313 Draft

„Interested parties“ werden in den neuen ISO-Standards wesentlich mehr Bedeutung zugemessen als im BS 25999 (expliziter Gliederungspunkt)

8

edeutu g uge esse a s S 5999 (e p te G ede u gspu t)

Quelle: ISO 22313 Draft 1/2012

„Interested parties“ im ISO 22313 DraftDefinition von „interested parties“ im BCM

When establishing its BCMS, the organization should ensure that the needs and requirements of interested parties are taken into consideration.

ISO 223134.2 Understanding

consideration. The organization should identify all interested parties that are of relevance to its BCMS and based on their needs and expectations, determine their requirements. It is important to identify not only Understanding

the needs and expectations of interested parties

obligatory and stated requirements but also any that are implied.

NOTE When establishing the BCM, the organization needs to be aware of not only ‘those groups without whose support the organization would cease to exist’, the Stanford Research parties g p pp g ,Institute’s definition of stakeholders, but additionally those who have an interest in the organization, such as the media, the public nearby, competitors and so on. Furthermore a stakeholder may have defined requirements that must be taken into account, whereas an interested party in most situations is not able to specify requirements or impose obligations.

„Interested parties“ werden bewusst breiter als „stakeholder“ definiert;

9

Die Anforderungen sind zu antizipieren, wenn nicht explizit formuliert

„Interested parties“ im ISO 22313 Draft 1-2012

10

„Interested parties“ im ISO 22313 DraftAnforderungen an „interested parties“ im BCM

ISO 22313

When planning and implementing the BCMS, it is important to identify actions that are appropriate in relation to interested parties but differentiate between the different categories ForISO 22313

4.2 Understanding the needs and expectations of

parties but differentiate between the different categories. For example, it is likely to be appropriate to communicate with all interested parties following a disruptive incident but it may not be appropriate to communicate with all interested parties during all stages expectations of

interested parties

of the business continuity programme referred to in 8.1.1. .

„Interested parties“ sind differenziert zu behandeln

11

„Interested parties sind differenziert zu behandeln

„Interested parties“ im ISO 22301“It is not the intent of this International Standard to imply uniformity in the structure of a Business Continuity Management System (BCMS) but for an organization to design aBusiness Continuity Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs and that meets its interested parties’ requirements.”

ISO 22301

Scope of the BCMS take into account interested parties’ needs and interests, such as customers, investors, shareholders, the supply chain, public and/or community input and needs, expectations and interests (as appropriate),

Policy

p ( pp p ),

The BCMS policy shall be available to interested parties, as appropriate

The organization shall establish, implement, and maintain procedure(s) forCommunication p ( )– internal communication amongst interested parties and

employees within the organization– external communication with customers, partner entities,

local community and other interested parties including

12

local community, and other interested parties, includingthe media

„Interested parties“ im ISO 22301BIA und Incident Management

ISO 22301Business impact identifying dependencies and supporting resources for panalysis

y g p pp gthese activities, including suppliers, outsource partners and other relevant interested parties

Incident response structure

The response structure shall communicate with interested parties and authorities, as well as the media

The organization shall establish, implement and maintain Warning and procedures for internal communication within the organization and receiving, documenting and responding to communication from interested parties

gcommunication

13

„Interested parties“ im ISO 22301Planung, Tests und Management Review

ISO 22301Business continuity plans

The business continuity plans shall collectively contain details on how and under what circumstances theplans details on how and under what circumstances the organization will communicate with employees and their relatives, key interested parties and emergency contacts

Exercising and testing The organization shall conduct exercises and tests that taken together over time validate the whole of its business continuity arrangements, involving relevant interestedpartiesp

The organization shall communicate the results of Management review management review to relevant interested partiesManagement review

14



15

Stakeholder-Management im BCMIdentifikation und Management der interested parties im BCM

Stakeholder-Management in drei Schritten

Identifikation,2D k t ti d

3Identifikation der1 Identifikation, Abstimmung der Anforderungen

Dokumentation und Umsetzung

Identifikation der „interested parties“ des BCM

W l h Id tifik ti d Dokumentation der Welcheunternehmensinternenund unternehmensexternen

Identifikation derAnforderungen und Erwartungen

Festlegung der

Dokumentation derwichtigstenSchnittstellen mit den Lieferbeziehungen in unternehmensexternen

interested parties gibt esfür das BCM?

Festlegung dergegenseitigenLieferungen und Leistungen

gder BCM-Policy

Integration in die BCM-Kommunikation (Bsp.

Ziel ist die Festlegung der jeweiligen Schnittstellen zu den identifizierten

Festlegung derKommunikation

BCM-Reporting)

16

Ziel ist die Festlegung der jeweiligen Schnittstellen zu den identifizierten Stakeholdern

Zwiebelmodell „Interested parties“ des BCMWer sind die interested parties des BCM?

U-extern

Sourcing-

Presse, MedienKunden

U-intern

ÖffentlichkeitKunden, Partner,Service Provider

AnliegerS i

Lieferanten Angehörige

Presse, Kommunikaton

Sourcing-Mgt.

BCMRollen

AnliegerService Provider Mitarbeiter

BaFin,

VO, GF

AR

Revision

Behörden

Aktionäre

,BubaAR

ShareholderBehörden,

AufsichtsorganeW-Prüfer

17

Interested parties im BCMEine unvollständige Auflistung von interested parties

18

Indirekte Beziehungen zu StakeholdernHäufig bestehen nur indirekte Beziehungen vom BCM zur „interested party“, wie zum Beispiel bei der Kommunikation zur Presse über die Presseabteilungg

19

Interested parties im Regel- und NotbetriebDie interested parties unterscheiden sich im Notfall vom Regelbetrieb

Regelbetrieb Notfall, Krise

BCM-Organisation Schnittstellenbereiche (IT, Risiko-

und Sicherheitsmgt. etc.)

Management, Anteilseigner Krisenstab Presse und Kommunikation

U-Intern

BCM im Supply Chain Management: kritische Supplier

Betroffene Kunden, Zulieferer, Dienstleister

Versicherungen

KundenZulieferer

Dienstleister

Presse, Medien über Presseinformationen, Geschäftsbericht etc.

Angehörige Anrainer Presse, Medien

Öffentlichkeit

Aufsichtsbehörden Sicherheitsorganisationen Relevante Behörden

(Gesundheitsamt etc.)

BehördenOrganisationen

20

Klassifizierung von Schnittstellen zu StakeholdernFestlegung der Form der Kommunikation

Informationsbereitstellungzum Beispiel als Teil des BCM Berichtswesens (Policyzum Beispiel als Teil des BCM-Berichtswesens (Policy, Konzepte, Pläne etc.) oder Alarmierung und Eskalation

Abstimmung

Ausgestaltung von Schnitt-

stellen zu

zum Beispiel Abstimmung von BCM-Konzepten, BC-Plänenetc.

VorgabenStakeholdern Vorgabenzum Beispiel Vorgaben zu Methoden und Verfahren, Templates etc.

Entscheidungen, Genehmigungen, Freigaben

21

Balancierung der unterschiedlicher Interessen Unterschiedliche Interessen und Vorgehen erkennen und klären Beispiele

BCM Bereichsübergreifende

Wertschöpfungsketten

Prozessmanagement Detaillierte Prozessmodelle

Wertschöpfungsketten Produktkatalog

BCM IT-Servicekatalog

IT Verfügbarkeitsanforderungen

für Anwendungen, Systeme, g yInfrastruktur

BCM Sourcing-MgtBCM Berücksichtigung der

Anforderungen aus demBCM in den SLA

Sourcing-Mgt. Zügige

Vertragsverhandlungen

22

BCM in den SLA

RASCI zur Abstimmung und Dokumentation der Schnittstellen mit interested parties Beispiel

Erstellt von: Datum:

M t A dit

BCM Verantwortungen (RASCI) - Prozess "Business Impact Analyse"

BCMFachbereiche,

T ht ll h ft

entr

ales

BC

M

BC

M

Bea

uftr

agte

BC

M-

agez

entr

um

Leite

r Fa

chbe

reic

hPr

ozes

s-Ex

pert

en

isen

-Man

ager

ust.

Vors

tand

esam

tvor

stan

dB

ank-

Kris

enst

ab

erne

Rev

isio

n

WP

Management AuditBCM Tochtergesellschaft, Niederlassung

Rollen

Aktivitätbzw. Ergebnis

Ze

B L F

Kri Zu Ge K

Inte

Business Impact AnalyseInitiierung der Aktualisierung bzw. Durchführung von Business Impact Analysen

R

Durchführung bzw. Aktualisierung der BIA der Bereiche, Tochtergesellschaften, Niederlassungen

S R A C

Freigabe der BIA-Ergebnisse A I

Festlegung der kritischen Prozesse A I

Abstimmung der sich aus der BIAAbstimmung der sich aus der BIA ergebenden Anforderungen mit allen relevanten Organisationseinheiten (Bsp. IT, Verwaltung) der Bereiche

S R A

D hfüh

23

R = ResponsibleA = AccountableS = Support C = Consulted I = Informed

DurchführungsverantwortungGenehmigung, Freigabe, EntscheidungBeratung, UnterstützungFachverantwortungInformationsrecht

Definition der Liefer- und LeistungsbeziehungenWer liefert was an wen, in welchem Rhythmus und welcher Form

Beispiel

ITVon

Beispiel

Phase

BIA IT-Servicekatalog IT

An Soll-Verfügbarkeiten für

BIA Ist-Verfügbarkeiten für IT-Services und Service-Provider

IT-Services und IT-Serviceprovider

GAP-Analyse der Service-Verfügbarkeiteng

Workarounds für IT-Services

Orga Geschäftsprozesse Orga Kritikalität vonOrga Geschäftsprozesse, Produkte, Wertschöpfungsketten

Orga Kritikalität von Geschäftsprozessen

Prozess-Ressourcen

Risk Assessment

RiskMgt.

Risikoszenarien Risikoeinschätzungen Schadensfälle

RiskMgt.

Risk Assessments fürGebäude, Personal, IT-Services

24

Schadensfälleg Vorsorgemaßnahmen

Power / Interest Grid für das Stakeholder ManagementManagement der Schnittstellen zu den interested parties

+

KeepSatisfied

ManageClosely

ßt,

Einf

luß

Monitor Keep Informed

Mac

ht

Monitor Keep Informed

-

25Interesse- +

-



26

Do´s and Don´tsLessons Learned des Stakeholder-Management für BCM

Oftmals sind Voraussetzungen für das BCM nicht ideal:

“Nein” sagen können

gGeschäftsprozesse, IT-Servicekatalog, SLA´s.

BCM kann nicht alle “Sünden der Vergangenheit” behebenwollen.

Schnittstellen frühzeitigklären

Die frühzeitige Klärung dér Schnittstellen hilftMißverständnissen, Doppelarbeit und Inkompatibilitätenvorzubeugen.

Schnittstellenbi dli h

Nur verbindlich und einvernehmlich geklärte und dokumentierte Schnittstellen helfen weiter. Zum Beispiel

verbindlichdokumentieren

pals Teil der Policy bzw. des verbindlichen BCM-Regelwerks.

27

Do´s and Don´tsLessons Learned des Stakeholder-Management für BCM

Viele Schnittstellen zu interested parties sind keine“über die Ecken” denken (und handeln)

pdirekten Schnittstellen vom BCM, sondern indirekt überandere Bereiche, wie Presse&Kommunikation oderOutsourcing Management.

An interested parties in Krisensituationendenken

Viele interested parties sind nur in Notfall- / Krisensituationen relevant. Hierzu gehören Behörden, Sicherheitsorganisationen, aber auch Angehörige und A i B it i R lb t i b i bi ddenken

Interested parties in die Information und

Anrainer. Bereits im Regelbetrieb einbinden.

Informations- und Kommunikationsmittel und -wege mitden interested parties abstimmen. AlleInformation und

Kommunikationeinbauen

pKommunikationsmittel differenziert nutzen (Intranet, Berichte, Jour Fixes etc.).

28

Fragen und Diskussion

Vielen Dank!

Matthias Hämmerle MBCIBusiness Continuity Manager

[email protected]

29

Date post:	19-Jun-2015
Category:	Business
Upload:	haemmerle-consulting
View:	1,250 times
Download:	7 times