Im Anschluss an Teil 1 meines kleinen Beitrages zu diesem Thema nachfolgend einige Hinweise zu den Verantwortlichkeiten:
Vor Einleitung der ersten Maßnahmen, sollten sich die Kanzleiinhaber die Fragen stellen, ob sie die Notwendigkeit der Einführung eines Business Continuity Managements sehen und „hinter diesem Vorhaben stehen“. Ansonsten sollte der nicht unerhebliche Aufwand nicht betrieben werden.
Überwiegend konnte ich bei meinen Beratungsgesprächen feststellen, dass sich die Inhaber der Kanzlei über die Gefahren einer Betriebsunterbrechnung nicht bewusst waren. Das Beispiel „der abgebrannten Kanzlei“ oder „der krankheitsbedingte Ausfall eines Großteils des Personals“ führte überwiegend zur Sensibilisierung für das Problem.
Als erste Maßnahme sollte ein Krisenteam zusammen gestellt werden, dessen Aufgabe es ist,
- den Business Continuity Plan zu erstellen,
- diesen zu implementieren,
- seine Einhaltung zu überwachen,
- die notwendigen Tests und Übungen durchzuführen
- und im Falle des Eintretens einer Krise die Verantwortung für die notwendigen Maßnahmen zu übernehmen.
Wer zu einem solchen Krisenteam gehören soll, entscheidet letztendlich die Praxis. Folgende Zusammensetzung hat sich als empfehlenswert herausgestellt:
- ein Mitglied der Kanzleileitung (notwendig für geschäftskritische Entscheidungen und Kontakt zu den Partnern)
- ein Mitarbeiter aus dem Bereich IT (notwendig für die Entwicklung /Implementierung von IT-Sicherheitsmaßnahmen)
- ein Mitarbeiter aus dem Bereich Personalverwaltung (Zugriff auf interne Personaldaten z. B. für Rufketten etc.)
- ein Mitarbeiter aus dem Bereich allgemeine Verwaltung (notwendig unter anderen auf Daten der Lieferanten, Kontakt Hausverwaltung etc. )
- ein Mitarbeiter mit Kenntnissen der allgemeinen Betriebsabläufe (soweit diese Kenntnisse nicht bereits bei den vorgenannten Personen vorhanden sind).
Es empfiehlt sich, den Kreis des Krisenteams möglichst klein zu halten, um die internen Kosten nicht ausufern zu lassen und zielführend und effizient tätig sein zu können. Soweit internes oder externes KnowHow zusätzlich benötigt wird, kann dieses hinzu gezogen werden.
Vielfach sind in der Kanzlei bereits Beschreibungen der geschäftskritischen Prozesse vorhanden, die zur Ausarbeitung des Business Continuity Plans herangezogen werden können. Da, wo dieses nicht der Fall ist, gibt die Erstellung des Planes die Möglichkeit, die geschäftskritischen Prozesse festzustellen, zu beschreiben und Schwachstellen aufzudecken.
Im nächsten Teil werde ich auf die abzusichernden Risiken näher eingehen.
Wird fortgesetzt