Download - BCM Stakeholder Management
Die Schwierigkeit, alle BCM-Stakeholder "bei Laune" zu halten
Management der Interested party“ im BCM
zu halten
Management der „Interested party im BCM
BCI-Kongress 2012, Stuttgart 6. September 2012
Matthias Hämmerle MBCI, 10.06.2012,
Stakeholder Management im BCM
„Das Geheimnis des Erfolges ist, den Standpunkt des anderen zu verstehen“
Henry Ford
2
Agenda
• Wer sind die internen und externen Stakeholder des BCM?• Welche unterschiedlichen, teils widersprüchliche Anforderungen haben Sie an
das BCM?das BCM?• Wie kann diesen unterschiedlichen Anforderungen gerecht werden, ohne die
Kernaufgaben aus dem Auge zu verlieren?• Welche Kommunikationsmedien stehen dem BC Manager hierfür zur• Welche Kommunikationsmedien stehen dem BC Manager hierfür zur
Verfügung?• Welche Fallstricke lauern und gibt es Patentrezepte?
Viele Fragen, auf die der Vortrag eine Antwort versucht, ohne diese immer als Patentrezept finden.
Aber auch geteiltes Leid ist halbes Leid.
3
BCM Stakeholder Management
Anforderungen an das Stakeholder ManagementAManagement der AnforderungenB Management der AnforderungenBLessons learned - Do´s and Don´tsC
4
BCM Stakeholder Management
Anforderungen an das Stakeholder ManagementAManagement der AnforderungenB Management der AnforderungenBLessons learned - Do´s and Don´tsC
5
BCM-Stakeholder haben im neuen Standard ISO 22301 mehr Bedeutung erhalten
Einer der wesentlichen Änderungen gegenüber BS 25999 ist die Rolle der interestedEiner der wesentlichen Änderungen gegenüber BS 25999 ist die Rolle der „interestedparty“ im BCM-Lifecycle gegenüber Stakeholder im BS 25999
BS 25999-1, -2 ISO 22301, ISO 22313
Stakeholder als Rolledefiniert
“interested party” als Rolledefiniert (weite Definition)
Aber nur an wenigen Stellendes Standards werdenkonkrete Anforderungen
( ) Eigener Abschnitt
“Understanding the needs and expectations of g
definiert(Scope und Incident Response, stakeholder
pinterested parties” Anforderungen an das
Stakeholder Managementmanagement imBS 25999-1)
Stakeholder Management über den gesamten BCM Lifecycle definiert
6
Interested parties im PDCA-Cycle des ISO 22301 und ISO 22313
C ti l i t f b i ti itContinual improvement of business continuitymanagement systems (BCMS)
Establish(Plan)
Interestedparties
Interestedparties
Implementand operate
Maintain andimprove and operate
(Do)improve
(Act)
Monitor andreview
(Check)
Requirementsfor business
continuity
Managedbusinesscontinuity
7Quelle: ISO 22313
Gliederung ISO 22301 und ISO 22313 Draft
„Interested parties“ werden in den neuen ISO-Standards wesentlich mehr Bedeutung zugemessen als im BS 25999 (expliziter Gliederungspunkt)
8
edeutu g uge esse a s S 5999 (e p te G ede u gspu t)
Quelle: ISO 22313 Draft 1/2012
„Interested parties“ im ISO 22313 DraftDefinition von „interested parties“ im BCM
When establishing its BCMS, the organization should ensure that the needs and requirements of interested parties are taken into consideration.
ISO 223134.2 Understanding
consideration. The organization should identify all interested parties that are of relevance to its BCMS and based on their needs and expectations, determine their requirements. It is important to identify not only Understanding
the needs and expectations of interested parties
obligatory and stated requirements but also any that are implied.
NOTE When establishing the BCM, the organization needs to be aware of not only ‘those groups without whose support the organization would cease to exist’, the Stanford Research parties g p pp g ,Institute’s definition of stakeholders, but additionally those who have an interest in the organization, such as the media, the public nearby, competitors and so on. Furthermore a stakeholder may have defined requirements that must be taken into account, whereas an interested party in most situations is not able to specify requirements or impose obligations.
„Interested parties“ werden bewusst breiter als „stakeholder“ definiert;
9
Die Anforderungen sind zu antizipieren, wenn nicht explizit formuliert
„Interested parties“ im ISO 22313 Draft 1-2012
10
„Interested parties“ im ISO 22313 DraftAnforderungen an „interested parties“ im BCM
ISO 22313
When planning and implementing the BCMS, it is important to identify actions that are appropriate in relation to interested parties but differentiate between the different categories ForISO 22313
4.2 Understanding the needs and expectations of
parties but differentiate between the different categories. For example, it is likely to be appropriate to communicate with all interested parties following a disruptive incident but it may not be appropriate to communicate with all interested parties during all stages expectations of
interested parties
of the business continuity programme referred to in 8.1.1. .
„Interested parties“ sind differenziert zu behandeln
11
„Interested parties sind differenziert zu behandeln
„Interested parties“ im ISO 22301“It is not the intent of this International Standard to imply uniformity in the structure of a Business Continuity Management System (BCMS) but for an organization to design aBusiness Continuity Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs and that meets its interested parties’ requirements.”
ISO 22301
Scope of the BCMS take into account interested parties’ needs and interests, such as customers, investors, shareholders, the supply chain, public and/or community input and needs, expectations and interests (as appropriate),
Policy
p ( pp p ),
The BCMS policy shall be available to interested parties, as appropriate
The organization shall establish, implement, and maintain procedure(s) forCommunication p ( )– internal communication amongst interested parties and
employees within the organization– external communication with customers, partner entities,
local community and other interested parties including
12
local community, and other interested parties, includingthe media
„Interested parties“ im ISO 22301BIA und Incident Management
ISO 22301Business impact identifying dependencies and supporting resources for panalysis
y g p pp gthese activities, including suppliers, outsource partners and other relevant interested parties
Incident response structure
The response structure shall communicate with interested parties and authorities, as well as the media
The organization shall establish, implement and maintain Warning and procedures for internal communication within the organization and receiving, documenting and responding to communication from interested parties
gcommunication
13
„Interested parties“ im ISO 22301Planung, Tests und Management Review
ISO 22301Business continuity plans
The business continuity plans shall collectively contain details on how and under what circumstances theplans details on how and under what circumstances the organization will communicate with employees and their relatives, key interested parties and emergency contacts
Exercising and testing The organization shall conduct exercises and tests that taken together over time validate the whole of its business continuity arrangements, involving relevant interestedpartiesp
The organization shall communicate the results of Management review management review to relevant interested partiesManagement review
14
BCM Stakeholder Management
Anforderungen an das Stakeholder ManagementAManagement der AnforderungenB Management der AnforderungenBLessons learned - Do´s and Don´tsC
15
Stakeholder-Management im BCMIdentifikation und Management der interested parties im BCM
Stakeholder-Management in drei Schritten
Identifikation,2D k t ti d
3Identifikation der1 Identifikation, Abstimmung der Anforderungen
Dokumentation und Umsetzung
Identifikation der „interested parties“ des BCM
W l h Id tifik ti d Dokumentation der Welcheunternehmensinternenund unternehmensexternen
Identifikation derAnforderungen und Erwartungen
Festlegung der
Dokumentation derwichtigstenSchnittstellen mit den Lieferbeziehungen in unternehmensexternen
interested parties gibt esfür das BCM?
Festlegung dergegenseitigenLieferungen und Leistungen
gder BCM-Policy
Integration in die BCM-Kommunikation (Bsp.
Ziel ist die Festlegung der jeweiligen Schnittstellen zu den identifizierten
Festlegung derKommunikation
BCM-Reporting)
16
Ziel ist die Festlegung der jeweiligen Schnittstellen zu den identifizierten Stakeholdern
Zwiebelmodell „Interested parties“ des BCMWer sind die interested parties des BCM?
U-extern
Sourcing-
Presse, MedienKunden
U-intern
ÖffentlichkeitKunden, Partner,Service Provider
AnliegerS i
Lieferanten Angehörige
Presse, Kommunikaton
Sourcing-Mgt.
BCMRollen
AnliegerService Provider Mitarbeiter
BaFin,
VO, GF
AR
Revision
Behörden
Aktionäre
,BubaAR
ShareholderBehörden,
AufsichtsorganeW-Prüfer
17
Interested parties im BCMEine unvollständige Auflistung von interested parties
18
Indirekte Beziehungen zu StakeholdernHäufig bestehen nur indirekte Beziehungen vom BCM zur „interested party“, wie zum Beispiel bei der Kommunikation zur Presse über die Presseabteilungg
19
Interested parties im Regel- und NotbetriebDie interested parties unterscheiden sich im Notfall vom Regelbetrieb
Regelbetrieb Notfall, Krise
BCM-Organisation Schnittstellenbereiche (IT, Risiko-
und Sicherheitsmgt. etc.)
Management, Anteilseigner Krisenstab Presse und Kommunikation
U-Intern
BCM im Supply Chain Management: kritische Supplier
Betroffene Kunden, Zulieferer, Dienstleister
Versicherungen
KundenZulieferer
Dienstleister
Presse, Medien über Presseinformationen, Geschäftsbericht etc.
Angehörige Anrainer Presse, Medien
Öffentlichkeit
Aufsichtsbehörden Sicherheitsorganisationen Relevante Behörden
(Gesundheitsamt etc.)
BehördenOrganisationen
20
Klassifizierung von Schnittstellen zu StakeholdernFestlegung der Form der Kommunikation
Informationsbereitstellungzum Beispiel als Teil des BCM Berichtswesens (Policyzum Beispiel als Teil des BCM-Berichtswesens (Policy, Konzepte, Pläne etc.) oder Alarmierung und Eskalation
Abstimmung
Ausgestaltung von Schnitt-
stellen zu
zum Beispiel Abstimmung von BCM-Konzepten, BC-Plänenetc.
VorgabenStakeholdern Vorgabenzum Beispiel Vorgaben zu Methoden und Verfahren, Templates etc.
Entscheidungen, Genehmigungen, Freigaben
21
Balancierung der unterschiedlicher Interessen Unterschiedliche Interessen und Vorgehen erkennen und klären Beispiele
BCM Bereichsübergreifende
Wertschöpfungsketten
Prozessmanagement Detaillierte Prozessmodelle
Wertschöpfungsketten Produktkatalog
BCM IT-Servicekatalog
IT Verfügbarkeitsanforderungen
für Anwendungen, Systeme, g yInfrastruktur
BCM Sourcing-MgtBCM Berücksichtigung der
Anforderungen aus demBCM in den SLA
Sourcing-Mgt. Zügige
Vertragsverhandlungen
22
BCM in den SLA
RASCI zur Abstimmung und Dokumentation der Schnittstellen mit interested parties Beispiel
Erstellt von: Datum:
M t A dit
BCM Verantwortungen (RASCI) - Prozess "Business Impact Analyse"
BCMFachbereiche,
T ht ll h ft
entr
ales
BC
M
BC
M
Bea
uftr
agte
BC
M-
agez
entr
um
Leite
r Fa
chbe
reic
hPr
ozes
s-Ex
pert
en
isen
-Man
ager
ust.
Vors
tand
esam
tvor
stan
dB
ank-
Kris
enst
ab
erne
Rev
isio
n
WP
Management AuditBCM Tochtergesellschaft, Niederlassung
Rollen
Aktivitätbzw. Ergebnis
Ze
B L F
Kri Zu Ge K
Inte
Business Impact AnalyseInitiierung der Aktualisierung bzw. Durchführung von Business Impact Analysen
R
Durchführung bzw. Aktualisierung der BIA der Bereiche, Tochtergesellschaften, Niederlassungen
S R A C
Freigabe der BIA-Ergebnisse A I
Festlegung der kritischen Prozesse A I
Abstimmung der sich aus der BIAAbstimmung der sich aus der BIA ergebenden Anforderungen mit allen relevanten Organisationseinheiten (Bsp. IT, Verwaltung) der Bereiche
S R A
D hfüh
23
R = ResponsibleA = AccountableS = Support C = Consulted I = Informed
DurchführungsverantwortungGenehmigung, Freigabe, EntscheidungBeratung, UnterstützungFachverantwortungInformationsrecht
Definition der Liefer- und LeistungsbeziehungenWer liefert was an wen, in welchem Rhythmus und welcher Form
Beispiel
ITVon
Beispiel
Phase
BIA IT-Servicekatalog IT
An Soll-Verfügbarkeiten für
BIA Ist-Verfügbarkeiten für IT-Services und Service-Provider
IT-Services und IT-Serviceprovider
GAP-Analyse der Service-Verfügbarkeiteng
Workarounds für IT-Services
Orga Geschäftsprozesse Orga Kritikalität vonOrga Geschäftsprozesse, Produkte, Wertschöpfungsketten
Orga Kritikalität von Geschäftsprozessen
Prozess-Ressourcen
Risk Assessment
RiskMgt.
Risikoszenarien Risikoeinschätzungen Schadensfälle
RiskMgt.
Risk Assessments fürGebäude, Personal, IT-Services
24
Schadensfälleg Vorsorgemaßnahmen
Power / Interest Grid für das Stakeholder ManagementManagement der Schnittstellen zu den interested parties
+
KeepSatisfied
ManageClosely
ßt,
Einf
luß
Monitor Keep Informed
Mac
ht
Monitor Keep Informed
-
25Interesse- +
-
BCM Stakeholder Management
Anforderungen an das Stakeholder ManagementAManagement der AnforderungenB Management der AnforderungenBLessons learned - Do´s and Don´tsC
26
Do´s and Don´tsLessons Learned des Stakeholder-Management für BCM
Oftmals sind Voraussetzungen für das BCM nicht ideal:
“Nein” sagen können
gGeschäftsprozesse, IT-Servicekatalog, SLA´s.
BCM kann nicht alle “Sünden der Vergangenheit” behebenwollen.
Schnittstellen frühzeitigklären
Die frühzeitige Klärung dér Schnittstellen hilftMißverständnissen, Doppelarbeit und Inkompatibilitätenvorzubeugen.
Schnittstellenbi dli h
Nur verbindlich und einvernehmlich geklärte und dokumentierte Schnittstellen helfen weiter. Zum Beispiel
verbindlichdokumentieren
pals Teil der Policy bzw. des verbindlichen BCM-Regelwerks.
27
Do´s and Don´tsLessons Learned des Stakeholder-Management für BCM
Viele Schnittstellen zu interested parties sind keine“über die Ecken” denken (und handeln)
pdirekten Schnittstellen vom BCM, sondern indirekt überandere Bereiche, wie Presse&Kommunikation oderOutsourcing Management.
An interested parties in Krisensituationendenken
Viele interested parties sind nur in Notfall- / Krisensituationen relevant. Hierzu gehören Behörden, Sicherheitsorganisationen, aber auch Angehörige und A i B it i R lb t i b i bi ddenken
Interested parties in die Information und
Anrainer. Bereits im Regelbetrieb einbinden.
Informations- und Kommunikationsmittel und -wege mitden interested parties abstimmen. AlleInformation und
Kommunikationeinbauen
pKommunikationsmittel differenziert nutzen (Intranet, Berichte, Jour Fixes etc.).
28
Fragen und Diskussion
Vielen Dank!
Matthias Hämmerle MBCIBusiness Continuity Manager
29