Business Continuity Management (BCM) spielt in der Finanzbranche eine wichtige Rolle. Um sicherzustellen, dass bestimmte Standards erfüllt werden, gibt es wie in vielen Unternehmen auch bei Worldline jährliche Audits. Das BCM fokussiert sich auf die ISO-Norm 22301, die die Anforderungen an das BCM-System definiert. Das Audit ermöglicht dem Unternehmen, Risiken und Verbesserungspotenzial zu entdecken, den nachhaltigen Erfolg des Unternehmens zu sichern und möglichst schnell zum Normalzustand zurückzukehren.

Jedes Jahr führt die BSI Group bei Worldline Financial Services (FS) ein Audit im Bereich der Geschäftskontinuität durch. Dabei werden MitarbeiterInnen, die im Rahmen der Business Continuity tätig sind, befragt. Im Jahr 2021 wurde Worldline FS erneut nach ISO 22301 zertifiziert, wobei von Seiten des Auditors besonders der Reifegrad des Business Continuity Management Systems hervorgehoben wurde. In diesem Interview erklären Aart Bitter (AB), Lead Assessor bei der BSI Group, und Natascha Hannema (NH), Head of Business Continuity Management, Resilience and Information Security bei Worldline Financial Services, die Audits und den Weg zu einem resilienten BCM-System.

Können Sie kurz erläutern, was Sie unter Business Continuity verstehen?

NH: Im Grunde genommen geht es um die Aufrechterhaltung und Sicherung des Geschäftsbetriebs. Ich vergleiche das immer mit dem Betreten eines Hauses: Schlösser an den Türen halten unerwünschte Gäste fern. Diese Schlösser stehen symbolisch für die Maßnahmen, die die Kontinuität des Geschäftsbetriebs gewährleisten sollen. In jedes Schloss passt nur ein bestimmter Schlüssel. Hier kommt die Informationssicherheit ins Spiel: Nur wer den richtigen Schlüssel besitzt, kann die Tür öffnen. Eine wichtige Möglichkeit also, Sicherheitsmaßnahmen zu implementieren und durchzusetzen.

AB: Auch vor der Pandemie haben sich Unternehmen natürlich schon mit dem Thema Business Continuity beschäftigt. Aber da brauchte es vielleicht noch eine Erklärung, was ein Auditor macht oder was BCM ist. In den letzten zwei Jahren ist sicherlich klar geworden, wie wichtig ein stabiles BCM-System ist.

Wie läuft ein Audit ungefähr ab?

AB: Beim ersten Teil des ISO-Audits dreht sich die Kernfrage immer darum, wie Unternehmen die Geschäftskontinuität aufrechterhalten oder wiederherstellen können. Dabei begutachten wir die Planung und die Organisation und prüfen, ob das gesamte System gut funktioniert und alle am BCM-Prozess Beteiligten informiert sind. Der andere Teil des Audits besteht aus Beobachtungen des Geschäftsalltags. Unser Ziel ist es, in den drei Jahren Laufzeit der Zertifizierung einen ganzheitlichen Überblick über die Organisation zu erhalten.

NH: Die Zertifizierung nimmt einen längeren Zeitraum in Anspruch. Dadurch erhalten die Prüfer ein vollständiges Bild der Organisation und können bei Bedarf auch weiter in die Tiefe gehen. Wichtig in diesem Prozess ist natürlich die Zertifizierung. Für uns gibt es aber noch einen weiteren Vorteil: wir wollen uns ständig verbessern und Betriebsblindheit aufdecken. Wenn jemand von außen auf verschiedene Themen schaut und neue Fragen stellt, weil er das Unternehmen noch nicht kennt, ergeben sich neue Optimierungspotenziale. Eine gründliche Vorbereitung ist jedoch wichtig, um sicherzustellen, dass alle Stakeholder in den Prüfungsprozess einbezogen werden, um möglichst umfassende Ergebnisse zu erhalten.

Gibt es ein klares Muster, das sich in den letzten Jahren bei Worldline gezeigt hat?

AB: Worldline hat sich als Organisation stark verändert und das BCM ist mit ihr gewachsen. Ein wichtiger Vorsprung ist, dass Worldline bereits seit der Einführung des ISO 22301-Standards an der Erstellung von Präventivplänen gearbeitet und somit schon sehr früh die Standards erfüllt wurden. Das Unternehmen und das Wissen über die Standards der Norm sind quasi gleichzeitig gewachsen. Worldline hat dabei von Anfang an klare Entscheidungen getroffen, die sich im Gerüst des BCMs widerspiegeln und von den vielen Veränderungen der Organisation unberührt bleiben. Das ist sehr interessant zu sehen.

NH: Man könnte meinen, dass Kontinuität und Wandel im Widerspruch zueinander stehen und es schwierig sein kann, seinen Fokus aufgrund vieler Veränderungen nicht zu verlieren. Oft verändern sich Dinge und Situationen so schnell, dass es schwer sein kann, mit dem Wandel mitzuhalten. Eine Norm wie ISO 22301 hilft dabei, das Wesentliche nicht aus dem Blick zu verlieren.

Wie werden die Ergebnisse des Audits Worldline-intern weiter verfolgt?

NH: Alle Erkenntnisse aus dem Audit werden in unseren Optimierungsplan aufgenommen. So können wir sicherstellen, dass die Themen im Laufe des Jahres angegangen und nachgehalten werden. Das ist auch ein wichtiger Punkt des ISO 22301-Standards: ein PDCA(Plan-Do-Check-Act)-Zyklus, d.h. Verbesserung ist ein kontinuierlicher Prozess, den wir das ganze Jahr hindurch ständig überprüfen wollen.

Was können Unternehmen tun, um ihr BCM-System stets auf dem neuesten Stand zu halten?

AB: Aus der ISO 22301 ergeben sich zwei wesentliche Punkte: kontinuierliche Bewertung und kontinuierliche Verbesserung, d.h. stetige Analyse, Korrektur und Aktualisierung. Aus der BCM-Perspektive sollten wichtige Dinge messbar gemacht und eine eigene Auditstruktur aufgebaut werden. So kann man einiges lernen – selbst wenn es zunächst „nur“ darum geht, wie man ein gutes System erstellt, das die richtigen Szenarien widerspiegelt. So kann sich das BCM-System stetig weiterentwickeln und den nachhaltigen Erfolg sichern.

NH: Ich kann mich Aart nur anschließen: Es gibt eine Reihe von Punkten, die zum Reifegrad und zur kontinuierlichen Verbesserung beitragen. Aber auch die MitarbeiterInnen spielen eine wichtige Rolle in einem Prozess, wo heutzutage technisch eigentlich alles möglich ist. Letztendlich sind es doch die Menschen, die die Prozesse leben und die Maßnahmen umsetzen. Deshalb ist es wichtig, die MitarbeiterInnen mit ins Boot zu holen. Ansonsten nutzen die besten Pläne und Zertifizierungen nichts, wenn BCM nicht gelebt wird. Deshalb halte ich es für wichtig, im engen Kontakt zu den MitarbeiterInnen zu bleiben.