Bitte beachten Sie: Diese archivierte Version des BaSiGo-Wikis wird nicht mehr aktualisiert. Das BaSiGo-Wiki wurde im Rahmen des BMBF-Forschungsprojektes 'Bausteine für die Sicherheit von Großveranstaltungen' (BaSiGo) entwickelt und stellt den Stand zum Projektende im Juni 2015 dar.

Betriebliches Kontinuitätsmanagement (BCM)

Aus BaSiGo - Bausteine für die Sicherheit von Großveranstaltungen
< Sicherheitsbausteine/Notfallplanung
Version vom 18. November 2014, 11:36 Uhr von Heilmann (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{DISPLAYTITLE:Betriebliches Kontinuitätsmanagement (BCM)}} Der Eintritt eins Stör- oder Schadenfalles stellt für Unternehmen eine vielseitige Belastung da…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen


Der Eintritt eins Stör- oder Schadenfalles stellt für Unternehmen eine vielseitige Belastung dar. Dies ist für Veranstaltungen und Veranstalter nicht anders als für andere Industriebereiche. Im Gegensatz zu anderen Industrien, in denen die Kontinuitätseinplanung eine regelmäßiger Teil des Managementprozesses ist, reduziert sich die Betrachtung im Rahmen von Veranstaltungen häufig auf die Notfallplanung.

Betriebliches Kontinuitätsmanagement

Betriebliches Kontinuitätsmanagement ist ein Schlüsselkonzept für die Bewältigung etwaiger Krisen aufgrund von Schadensereignissen oder Betriebsstörungen. Das Kontinuitätsmanagement stellt sicher, dass Abläufe robust und Organisationen resilient genug sind, um Kaskadeneffekte durch Störereignisse abzufedern – basierend auf dem Grundgedanken : „Sicherheit bedeutet, Schäden bewältigen zu können“.

Es geht also um den Aufrechterhaltung der Funktionsfähigkeit eines Unternehmens / einer Veranstaltung trotz des Eintritts eines Stör- oder Schadenfalles.

Kontinuitätsplanung ist ein ganzheitlicher Prozess,

  • der potentielle Bedrohungen für eine Organisation und deren Einfluss auf die Geschäftstätigkeit
  • einen Rahmen identifiziert, eine organisationale Widerstandsfähigkeit aufzubauen mit der Fähigkeit, schnell auf Ereignisse zu reagieren (Business Continuity Institute)

Im Gegensatz zum Risikomanagement besteht die Aufgabe des Kontinuitätsmanagement nicht in der Minimierung der Eintrittswahrscheinlichkeit des Gefahrenrisikos, sondern in der systematischen Vorbereitung auf die Bewältigung von Schäden (präventive Schadenbewältigung). Deshalb ist die zugrunde liegende Fragestellung nicht,

ob ein Schaden eintritt, sondern wie dieser beschaffen ist und welche Auswirkungen er hat, wenn er eintritt.

Eine solche Betrachtung von Worst Case Szenarien wird in der Praxis häufig gescheut, da diese häufig als vermeintliches Eingeständnis mangelnder Sicherheit fehlinterpretiert werden. Insbesondere die Worst Case Szenarien sind aber ein wichtiges Instrument zur Aufdeckung organisationaler Schwächen und helfen, Aussagen in Bezug auf das eigene Sicherheitsverständnis zu treffen.

Praxisbeispiel

Während ein worst case Szenario „Flugzeugabsturz in einem Veranstaltungsgelände“ sicherlich wenig Spielraum für die zeitnahe Wiederherstellung des Normalbetriebs der Veranstaltung bietet und von keinem der regelmäßig Beteiligten als vorzuplanendes Szenario bewertet werden würden, stellt sich die Frage bei einem Szenario „Zusammenbruch einer Bühne“ deutlich differenzierter. Obwohl es sich um ein eher seltenes Ereignis handelt, lassen sich anhand eines solchen Szenarios doch grundlegende Fragen beantworten, z.B.

  • bedeutet der Zusammenbruch einer Bühne (eines Fahrgeschäftes etc.) das Ende der Veranstaltung?
  • Welche Konsequenzen müssten gegeben sein, um die Veranstaltung zu beenden (Verletzte? Schwerverletzte? Tote?)
  • Sind – über die Abwicklung des konkreten Schadens im Rahmen der -> Notfallplanung hinaus – Maßnahmen, Rollen und Verantwortlichkeiten geklärt?

Die Fragen, die sich in der Abarbeitung eines solchen Szenarios ergeben, sind vielfältig und können hilfreichen Aufschluss geben über die Fähigkeit der Organisation, mit Stör- & Schadenereignisses, insbesondere auch ungeplanten umzugehen.

Kontinuitätsmanagement für Großveranstaltungen

Ziel der Kontinuitätsplanung ist der Aufbau resilienter Systeme, die im Falle eines Schadeneintritts nicht kollabieren, sondern in einen anderen Betriebsmodus wechseln können (auch bei einem noch so spekatulären Stör- oder Schadenereignisses ist es wichtig, dass das Büro besetzt bleibt, dass regelmäßige Abläufe aufrechterhalten werden etc.). Hierzu ist es nötig, potentielle Gefahren für die Organisation und die Veranstaltung und deren Relevanz zu identifizieren und darauf basierend einen Rahmen für den Aufbau organisationaler Resilienz zu schaffen, der nicht nur eine effektive Schadensbewältigung unter Berücksichtigung der Sicherheit aller Beteiligten garantiert, sondern auch die Sicherung des Unternehmens oder der Veranstaltung sicherstellt (vgl. BS 25999; ISO 22301; ESTALL 2012, 62). Betriebliche Kontinuität für Großveranstaltungen betrifft dabei alle vier Bereiche des Sicherheitsmanagement, (KEMP (2010, 254 nach YONES 2007)

Technologie

  • baulich-technische Infrastrukturen
  • zur Verfügung stehendes Werkzeug,
  • technische Redundanzen und Reparaturkapazitäten.
  • Aspekte des Transports und der Logistik, die zumeist bei vielen Veranstaltungsereignissen potentielle Schwachstellen mit hoher Auswirkungen auf die Gesamtveranstaltungen sind.

Personen

  • Ausbildung
  • klare Definition organisationaler Rollen
  • Flexibilität von Befehlsketten
  • bereits im Vorfeld erfasste persönliche Handlungsfähigkeiten und Reaktionskapazitäten einzelner Mitarbeiter, Praxiserfahrung, kommunikative Kompetenzen, Psychologie, Fähigkeit zur Antizipation und Informationsverarbeitung

Prozesse

  • Abläufe der Geschäftstätigkeit und des Besuchermanagements
  • Sicherung und Flexibilität der Produktion
  • Personalangelegenheiten,
  • Datenverarbeitung (z.B. Backups, optionale Zugriffsmöglichkeiten etc.),
  • Risikomanagement sowie Crowd Management-Maßnahmen (FRUIN 2002 [1993]).

Ökonomie

  • Budget
  • Besitz- sowie Eigentumsverhältnisse von Material, Gelände usw.
  • Fragen der Haftung, des Rechtsschutzes und der Versicherung in Bezug auf Größe bzw. Maßstab und Art der Veranstaltung.

Schadensrelevanzanalyse / Business Impact Analysis (BIA)

Ein wesentlicher erster Schritt in der Kontinuitätsplanung ist die Schadenrelevanzanalyse (Business Impact Analysis) (vgl. BARNES 2011, 166ff.). Hierbei werden quantitative und qualitative Einflussgrößen bestimmt, welche die potentiellen Effekte und Verluste beim Eintritt von Störungen oder Schäden beschreiben.

Hierzu gehören im Veranstaltungskontext nicht nur Stör- oder Schadenfälle mit Personenschäden, sondern zum Beispiel auch der Ausfall relevanter Infrastrukturen (Ver-/Entsorgung, Bühnen etc.) oder auch der Ausfall von Personal.

Es ist entscheidend, dass sich ein Unternehmen, eine Organisation oder ein Veranstalter die Punkte bewusst macht, an denen sein Projektvorhaben besonders anfällig ist (Veranstaltungen mit nur einer Bühne sind anfälliger in Bezug auf das Szenario „Zusammenbruch einer Bühne“ als Veranstaltungen mit 5 Bühnen, Veranstaltungen mit Kindern sind anfälliger schon für geringe Personenschäden, die im Rahmen anderer Veranstaltungen toleriert werden würden usw). Im Rahmen dieser Überlegungen stellen sich folgende Fragen:

  • Was ist der „worst case“?
  • Wer ist beteiligt und wer muss beteiligt werden? (stakeholder)
  • Welche Auswirkungen hat das Ereignis? (Konsequenzen und Relevanz)

Die Antworten auf diese Fragen müssen immer individuell gefunden werden.

Praxisbeispiel

Auf der großen Zufahrtstrasse zur Veranstaltung kommt es zu einem schweren Unfall verbunden mit einer längeren Sperrung. Die Anreise des Ordnungsdienstes ist betroffen, ein Großteil der Kräfte kann das Veranstaltungsgelände nicht erreichen.

Während es Veranstaltungen gibt, die den Ausfall (oder die späte Ankunft) des Ordnungsdienstes relativ problemlos kompensieren können (geringe Anzahl, kein Gefährdungspotential etc), gibt es Veranstaltungen, die möglicherweise nicht beginnen können, bevor nicht alle Fluchtwege, alle Einlässe etc. besetzt sind.

Die Relevanz eines verzögerten Einlasses ist dabei ebenfalls individuell zu bewerten: vom Unmut des Publikums über längere Wartezeiten bis hin sich verschiebenden oder auch nicht eingehaltenen TV Übertragungszeiten.

Klassisches Instrument, diese Fragen beantworten zu können, ist die Szenarienplanung. Da – gerade im Veranstaltungskontext - die Anzahl möglicher Szenarien jedoch zu hoch ist, um alle Eventualitäten zu betrachten, muss die Relevanz des Schadens herausgearbeitet werden.

Praxisbeispiel

Der Ausfall der Stromversorgung im Rahmen einer Veranstaltung kann unterschiedlich relevant sein, abhängig von:

  • der Anzahl der darauf angewiesenen Nutzer (alle – wenige)
  • der Art der darauf angewiesenen Nutzer (Softeisverkäufer – Telefonanlage - Getränkeversorgung )
  • dem Zeitpunkt des Eintretens (zum Beginn – Zum Ende der Veranstaltung)
  • den bereits vorhandenen Sicherungssysteme (Notstromversorgung)
  • usw.

Dafür müssen alle Geschäftsprozesse dahingehend überprüft werden, welche Konsequenzen ihr Ausfall haben würde in Bezug auf:

  • Ziele des Unternehmens / der Organisation,
  • Produkte / Angebote / Dienstleistungen,
  • Stakeholder,
  • zeitliche Abläufe und Fristen?

Sind alle Auswirkungen herausgearbeitet, müssen die folgenden Fragen beantwortet werden:

  • Welche Prozesse haben die höchste Priorität und müssen unbedingt aufrechterhalten werden?
  • Welche Maßnahmen sind dafür notwendig?
  • Welche Ressourcen werden dafür mindestens benötigt?

Für die Szenarienplanung bedeutet dies also, dass die systematische Auseinandersetzung mit Schadenprozessen wichtiger ist als dezidierte Vorbereitung auf ausgewählte Schadenereignisse.

Maximal Tolerierbare Ausfallzeiten (MTA)

Bei der Wiederaufnahme oder Wiederherstellung geschädigter Geschäftsprozesse (z.B. der Stromversorgung) ist die Zeit ein wichtiger Faktor. Der Begriff „Maximale Tolerierbare Ausfallzeit“ beschreibt den Zeitrahmen, in dem die Aktivität wieder anlaufen muss, bevor der Ausfall dem Unternehmen (oder der Veranstaltung) nachhaltig schadet.

Prozessen, die nur kurzfristig ausfallen dürfen, muss daher eine höhere Priorität eingeräumt werden, als denen, auf die eine Zeit lang verzichtet werden kann.

Kontinuitätsplan

Ein vollständiger Kontinuitätsplan sollte also folgende Aspekte umfassen:

  • Identifizierung kritischer Prozesse und Anfälligkeiten,
  • Identifizierung der Konsequenzen und deren Relevanz
  • Identifizierung der MTA und Konsequenzen der Nichteinhaltung
  • Identifizierung von Stakeholdern & Informationsquellen (Ansprechpartner, relevante Telefonnummern usw.),
  • Quantifizierung der personellen und materiellen Ressourcen(verfügbarkeit)

Der Kontinuitätsplan muss kontinuierlich überarbeitet, angepasst und auf andere Pläne, bspw. Crowd Management, Notfallplan, Pläne der anderen Akteure abgestimmt werden.

Dabei muss der Plan allen Beteiligten gegenüber kommuniziert und von diesen auch akzeptiert sein. Für alle Akteure muss klar sein, welche spezifischen Rollen sie übernehmen. Diese Rollen sollten bestenfalls geübt und erprobt sein.

Zu betonen ist hierbei die Notwendigkeit einer strategischen Implementation von Sicherheitskulturen durch entsprechende Ausbildung und Trainings statt einer bloßen Papier- & Konzeptkultur. KEMP (2010, 256)

Ein Schlüssel zur Kontinuität und den Umgang mit Störereignissen liegt in den involvierten Personen. KEMP weist damit daraufhin, dass es insbesondere die persönlichen Anpassungsfähigkeiten der Mitarbeiter sind, die geschult und nicht vor lauter Prozessplanung übersehen werden dürfen. Die organisationale Flexibilität in der Anpassung an sich verändernde Umweltbedingungen, ist ein Schlüssel für die Schnelligkeit einer Krisenbewältigung.

Literatur

  • BARNES, J.C. (2001): A Guide to Business Continuity Planning. John Wiley & Sons: Chichester.
  • BARNES, P. (2011): Business Impact Analysis. In: HILES, A. (Hrsg.) (2011): The Definitive Handbook of Business Continuity Management. 3. Auflage. John Wiley & Sons: Chichester.
  • BLYTH, M. (2009): Business Continuity Managemen. Building an Effective Incident Management Plan. John Wiley & Sons: Hoboken.
  • ESTALL, H. (2012): Business Continuity Management Systems. Implementation and Certification to ISO22301. BCS – The Chartered Institute for IT: Swindon.
  • FRUIN, J.J. (2002 [1993]): The Causes and Prevention of Crowd Disasters. http://www.crowdsafe.com/FruinCauses.pdf (24.06.2014).
  • KEMP, C. (2010): A Strategic Methodology for a holistic approach to disaster management in a pre-staging and post event continuum. In: KEMP, C., SMITH, P. (2010): Case Studies in Crowd Management, Security and Business Continuity. ET Press: Cambridge. S. 241-260.
  • HILES, A. (Hrsg.) (2011): The Definitive Handbook of Business Continuity Management. 3. Auflage. John Wiley & Sons: Chichester.