Vor lauter Bäumen den Wald nicht mehr sehen – so mag es einigen Unternehmen in Bezug auf Standards und Zertifizierungen im Bereich Notfall- und Krisenmanagement, Risikomanagement und Business Continuity Management (BCM) gehen. Wir stellen euch ein paar bekannte Normen vor und geben einen kurzen Überblick zu den Vor- und Nachteilen solcher Standards und Zertifizierungen.
In den letzten zehn Jahren hat BCM im Unternehmensbereich erheblich an Bedeutung gewonnen, weshalb sich auch gleichzeitig eine dynamische Weiterentwicklung der Anforderungen, Methoden und Prozesse sowie Schnittstellen zu anderen Disziplinen gezeigt hat. Mittlerweile existieren zahlreiche Standards von verschiedenen Normungsinstituten. Gemeinsam ist ihnen das Ziel, als Leitfaden zur Errichtung und Etablierung erfolgreicher Managementsysteme zu dienen und dadurch die Resilienz von Unternehmen zu stärken.
ISO-Standards sind weit verbreitet
Als Internationale Organisation für Normung (ISO) hat der weltweit grösste Entwickler und Herausgeber internationaler Normen gleich mehrere Standards verabschiedet, welche die Stärkung der Resilienz einer Organisation zum Ziel haben. Die in den Standards spezifizierten Anforderungen sind allgemein gehalten und somit auf Organisationen jeglicher Art, unabhängig von Grösse und Branche, anwendbar. Wir stellen euch nachfolgend drei ISO-Standards vor, welche Organisationen darin unterstützen können, die eigene Resilienz zu stärken:
ISO 22301 – Business Continuity Management (BCM)
Der Standard ISO 22301 ist der erste, weltweit gültige Standard für Business Continuity Management. Er spezifiziert die Anforderungen, wie ein Kontinuitätsmanagement einzurichten, zu betreiben und kontinuierlich zu verbessern ist und verfolgt das Ziel, Organisationen bei der Risikoreduktion von Betriebsunterbrechungen jeglichen Ursprungs zu unterstützen. Die Erstausgabe wurde 2012 verabschiedet und 2019 überarbeitet.
ISO 31000 Risikomanagement
Der Fokus von ISO 31000 liegt auf dem Risikomanagement. Die Norm deckt im Gegensatz zu anderen Normen, welche sich oft auf ein spezifisches Gebiet wie das der Informationssicherheit (z.B. ISO 27001) fokussieren, alle Risiken und deren Bewältigung in einer Organisation ab. So wird ein Risikomanagementprozess etabliert, um Risiken unternehmensweit zu identifizieren, zu analysieren und zu behandeln. Im Gegensatz zu anderen ISO-Normen kann die ISO 31000 nicht zur Zertifizierung eines Risikomanagementsystems herangezogen werden, da sie nur Richtlinien – und keine Anforderungen – enthält. Die Erstausgabe wurde 2009 verabschiedet und 2018 überarbeitet.
ISO 45001 Arbeitsschutzmanagementsystem (AMS)
Für den Bereich Notfall- und Krisenmanagement in Organisationen von Bedeutung ist die 2018 erstmals veröffentlichte ISO-Norm 45001, welche Mindestanforderungen an ein Arbeitssicherheits- und Gesundheitsschutzmanagementsystem festlegt. Sie ersetzt die Occupational Health and Safety Assessment Series (OHSAS 18001). Ziel ist es, Sicherheitsrisiken zu erkennen und zu minimieren. Zudem sollen Gesetze bezüglich Arbeitssicherheit und Gesundheitsschutz eingehalten werden und im Endeffekt Unfälle und Berufskrankheiten verhindert werden. Es bleibt abzuwarten, wie diese Norm akzeptiert wird, da es in diesem Bereich von Berufsverbänden oder Gewerbeaufsichtsämtern bereits verschiedene AMS gibt, welche kostenlos zertifiziert werden können.
Die Auswahl an Zertifizierungen und Frameworks ist gross
Neben den bekannten ISO-Normen existieren zahlreiche weitere Standards und Frameworks, teilweise auch nur auf nationaler Ebene. Im Bereich Notfall- und Krisenmanagement gibt es beispielsweise den Standard 100-4 des deutschen Bundesamtes für Sicherheit in der Informationstechnik sowie den Standard 17091 der British Standards Institution, wobei bei beiden der Fokus eher einer IT-Orientierung unterliegt. Im Bereich Risikomanagement bietet das übergreifende Rahmenwerk für unternehmensweites Risikomanagement des Commitee of Sponsoring Organizations of the Treadway Commission (COSO RM) Unterstützung. COSO hat seinen Ursprung im Bereich Finanzberichterstattungen und Compliance, hat sich mit den neuen Versionen aber zu einem Rahmenwerk für unternehmensweites Risikomanagement entwickelt. Dies gilt auch für Rahmenwerke oder Initiativen wie COBIT (for Risk), M_o_R, ISACA, CISR oder OCEG, welche den Bereich Governance, Risk & Compliance (GRC) unterstützen sollen. Der teilweise starke IT-Fokus lässt sich dadurch erklären, dass die IT heute nicht mehr nur ein Supportprozess, sondern vielerorts ein (strategischer) Enabler darstellt und deshalb für ein ganzheitliches GRC berücksichtigt werden muss.
Vor- und Nachteile von Zertifizierungen
Eine Zertifizierung belegt, dass ein Unternehmen die Anforderungen eines anerkannten Standards erfüllt. Doch welche Vorteile bringt ein solcher Nachweis genau?
- Gütezeichen: Zertifizierungen können Transparenz schaffen und als Qualitätssiegel einen gewissen Wettbewerbsvorteil ermöglichen
- Förderung der Selbstkontrolle und Unterstützung beim Aufbau eines Rahmenwerks zur kontinuierlichen Verbesserung organisationsinterner Prozesse
- Unterstützung bei der Einhaltung gesetzlicher und regulatorischer Vorgaben
- Erleichterter Marktzugang: Teilweise sind gewisse Zertifizierungen vorgeschrieben – z.B. um bei (Bundes-)Ausschreibungen teilzunehmen
Nebst diesen Vorteilen gilt es, sich auch der negativen Aspekte von Zertifizierungen bewusst zu sein:
- Förderung der Bürokratie
- Vermittlung eines falschen Eindrucks: Eine Zertifizierung garantiert nicht, dass die definierten Rahmenbedingungen auch wirklich gelebt werden
- Keine Rückschlüsse über die Beziehungsqualität der Organisation gegenüber ihren Stakeholdern
- Zielkonflikt: Hinter vielen Zertifizierungsstellen stehen Geschäftsmodelle, welche eine völlig interessensunabhängige Behandlung gefährden können
Eine abschliessend richtige Antwort, wie sinnvoll Zertifizierungen sind, gibt es wohl kaum. Es bleibt situativ abzuwägen, welchen Sinn und Zweck mit einer Zertifizierung verfolgt werden soll. Hier ist auch entscheidend zu prüfen, welche Zertifizierung für die eigene Organisationsgrösse sinnvoll ist. Richtig eingesetzt und wenn das definierte Rahmenwerk wirklich gelebt wird, können Zertifizierungen sicherlich einen Mehrwert bringen. Wie gross dieser effektiv ist, hängt im Endeffekt von Fall zu Fall ab. Wenn man die gestiegene Vielfalt an Zertifizierungen, Normen und Standards in den letzten Jahren beobachtet, lässt sich wohl abschliessend festhalten, dass solche Nachweise immer mehr nachgefragt und eingesetzt werden.
Bei der Erlangung solcher Standards bzw. Zertifizierungen kann eine Softwarelösung wie e-mergency® Unterstützung bieten, in dem gemäss Standard definierte Prozesse im Tool abgebildet und umgesetzt werden können. e-mergency® kann deshalb Organisationen für den Bereich Notfall- und Krisenmanagement in ihrem Ziel, ein ganzheitliches Managementsystem zur Stärkung der eigenen Resilienz aufzubauen, unterstützen.
Verwendete Literatur:
International Organization for Standardization (2019). Business Continuity: ISO 22301. Genf: International Organization for Standardization.
Osterhage, W. W. (2016). Notfallmanagement in Kommunikationsnetzen. Berlin Heidelberg: Springer.
The Committee of Sponsoring Organization (2004). Unternehmensweites Risikomanagement – Übergreifendes Rahmenwerk. Jersey City: The Committee of Sponsoring Organization.
Brauweiler, J., Zenker-Hoffmann, A., Will, M. (2019). Arbeitsschutzmanagementsysteme nach ISO 45001:2018: Grundwissen für Praktiker. Wiesbaden: Springer.
Illetschko, S., Käfer, R., Spatzierer, K. (2014). Risikomanagement: Praxisleitfaden zur integrativen Umsetzung. München: Carl Hanser Verlag.
Kontakt
Demo-Version
Angebot
Blog
