Analyse

Betriebskontinuitätsmanagement für eine resiliente soziale Sicherheit in Asien und im Pazifik

Analyse

Betriebskontinuitätsmanagement für eine resiliente soziale Sicherheit in Asien und im Pazifik

Die beispiellos zunehmenden Bedürfnisse nach sozialer Sicherheit während der COVID-19-Krise haben die Leistungserbringungskanäle der Institutionen sowohl physisch als auch online überstrapaziert. Dieser Artikel befasst sich mit der Bedeutung des Betriebskontinuitätsmanagements in Anbetracht der Pandemie, indem auf guter Praxis der Institutionen der sozialen Sicherheit in Asien und im Pazifik aufgebaut wird.

Sind einerseits pandemiebedingte Anspannungen und Einschränkungen eine Risikoform, so kann der Betrieb der sozialen Sicherheit andererseits durch eine Reihe weiterer Bedrohungen, etwa Naturkatastrophen, politische Ereignisse und internationale Krisen, beeinträchtigt werden. Darüber hinaus sind aufgrund der stetig wachsenden Bedeutung der Informations- und Kommunikationstechnologie (IKT) in der Sozialversicherungsverwaltung Organisationen für neue Bedrohungen wie technisches Versagen, Datenverlust und Cyberangriffe anfällig (IVSS, 2022a). Das Betriebskontinuitätsmanagement (BCM) ermöglicht Institutionen der sozialen Sicherheit die Vorwegnahme, Vorbereitung und Abfederung der Auswirkungen dieser Risiken. Das BCM Institute definiert BCM als holistisches Managementverfahren, das potenzielle Bedrohungen und deren Auswirkungen sowie die Entwicklung von Reaktionsplänen bestimmt. Diese Rahmen ermöglichen den Organisationen das Aufbauen von Resilienz zur effektiven Wahrung der Interessen der Beteiligten. Ein sorgfältiges Management erfordert von Institutionen die Entwicklung eines Plans für Betriebskontinuität (BCP) zur Aufrechterhaltung der Leistungen bei solchen Situationen bei gleichzeitigem Schutz der Organisationsaktiva.

Die Entwicklung eines BCP folgt üblicherweise einem schrittweisen Ansatz (Schaubild 1). Das Verfahren beginnt mit einer umfassenden Geschäftsprozessanalyse (BPA), die die für die Ausübung der Geschäftsfunktionen notwendigen Arbeitsabläufe, Tätigkeiten, Personal, Systeme, Ressourcen, Kontrollen, Daten und Ausstattung abbildet. Auf die BPA folgt eine Analyse der betrieblichen Auswirkungen (BIA) zur Feststellung der für den Organisationsbetrieb wesentlichen Funktionen. Die mittels BPA und BIA erhaltene Information wird für den Entwurf von Risikominderungsverfahren eingesetzt, die für den BCP zu berücksichtigen sind. Der BCP wird geprüft und aktualisiert, bevor die Mitarbeiter geschult werden. Der BCP erfordert eine regelmäßige Prüfung, Aktualisierung und Nachschulung.

Schaubild 1. Entwicklung eines BCP
Schaubild 1. Entwicklung eines BCP

Quelle: Balibek, Storkey und Yavuz, 2021

Aufgrund der Bedeutung des BCM für die Sozialversicherungsverwaltung hat die Internationale Vereinigung für Soziale Sicherheit (IVSS) zahlreiche Ressourcen entwickelt, um die Mitgliedsinstitutionen bei der Stärkung ihrer Resilienz und der Aufrechterhaltung der Betriebskontinuität zu unterstützen. Insbesondere die demnächst erscheinenden Leitlinien der IVSS über Kontinuität und Resilienz in Dienstleistungen und Systemen der sozialen Sicherheit (IVSS, 2022c) und die Leitlinien der IVSS über Good Governance skizzieren Risikomanagementstrategien sowohl aus der Geschäfts- (Leitlinien 32–34) als auch aus der IKT‑Perspektive (Leitlinie 69) (IVSS, 2019a). Darüber hinaus legt Teil G der Leitlinien der IVSS zur Dienstleistungsqualität (IVSS, 2019c) Prinzipien der kontinuierlichen Verbesserung fest, während Teil F die Bedeutung der Entwicklung einer Dienstleistungskultur hervorhebt. Schließlich gehen Leitlinie 12 der Leitlinien der IVSS über Informations- und Kommunikationstechnologie (IVSS, 2019b) und eine neue Publikation über digitale Betriebsstabilität (IVSS, 2022a) auf IKT-bezogene Aspekte der Betriebskontinuität ein, da die allgemeine Betriebsstabilität zunehmend von der Robustheit der IKT-Dienstleistungen abhängt.

Erfahrungen im Betriebskontinuitätsmanagement in Asien und im Pazifik

Immer mehr Institutionen der sozialen Sicherheit in Asien und im Pazifik erkennen die Bedeutung des BCM für eine effektive Sozialversicherungsverwaltung. Im Virtuellen Forum über soziale Sicherheit für Asien-Pazifik und an der 16. Internationalen IVSS-Konferenz über Informations- und Kommunikationstechnologie in der sozialen Sicherheit (ICT 2022) sowie in Webinaren und anderen Aktivitäten der IVSS wurden Beispiele guter Praxis aus der Region vorgestellt. In diesem Artikel werden die Erfahrungen der Mitgliedsinstitutionen, gewonnene Erkenntnisse und Herausforderungen bei der praktischen Umsetzung des BCM aus zwei Perspektiven beleuchtet. Einerseits werden Ansätze zur Operationalisierung des BCM sowie der Zugang verschiedener Organisationen zu einigen konkreten Herausforderungen untersucht. Andererseits wird auf einige Ergebnisse eingegangen, die ein operatives BCM den Organisationen während der Pandemie eingebracht hat.

Einführung des Betriebskontinuitätsmanagements

Verschiedene Mitgliedsinstitutionen der IVSS haben die Wirksamkeit bei der Einführung des Betriebskontinuitätsmanagements bewiesen. Zwar können unterschiedliche Entwicklungsstadien bestehen, doch die in weiterer Folge dargelegte Erfahrung bietet einen hinlänglichen Nachweis für den Mehrwert durch die Einführung des BCM unabhängig vom Entwicklungsstadium.

Rentenkasse der Beamten, Oman

Die Rentenkasse der Beamten (Civil Service Employees Pension Fund – CSEPF) aus Oman hat einen dezidierten Standort für die Sicherstellung der Betriebskontinuität und die Notfallwiederherstellung eingerichtet, um ihre Tätigkeit vor Naturkatastrophen, externen Risiken und kritischem technischem Versagen zu schützen (CSEPF, 2015). Dazu berücksichtigte die CSEPF mehrere Kriterien, darunter Ort, Infrastruktur des Datacenters, Kommunikationsinfrastruktur, Arbeitsbereiche und Zugänglichkeit sowie Einsatz virtueller Maschinen, um die Verfügbarkeit der Daten zu gewährleisten. Hauptziel war die Minimierung von Dienstausfällen und Datenverlust. In der Praxis hat dies die Überwachung des Plans anhand zweier Richtwerte bedeutet: (i) die Wiederherstellungszeit (Recovery Time Objective – RTO) bzw. die notwendige Vorlaufzeit bis zur Inbetriebnahme des Systems bzw. Ablaufs, die auf einen Tag gesetzt wurde, und (ii) der Wiederherstellungspunkt (Recovery Point Objective – RPO) bzw. wieviel Daten die CESPF im – in Zeit gemessen – schlimmsten Fall womöglich zu verlieren bereit war, der auf eine Stunde gesetzt wurde. Die CSEPF führt jährliche Prüfungen zur Sicherstellung der Robustheit der Pläne für Betriebskontinuität durch. Diese Prüfungen werden durch Abschalten der Hauptstandorte realistisch ausgelegt. Ziel der Prüfung ist die Validierung des RPO und der RTO, die Feststellung von Mängeln, die Straffung des Plans für Betriebskontinuität sowie die Personalschulung.

Staatliche Behörde für Sozialversicherung, Oman

Das Betriebskontinuitäts-Managementsystem (BCMS) der Staatlichen Behörde für Sozialversicherung (Public Authority for Social Insurance – PASI) in Oman hat mögliche Gefahren festgestellt und Protokolle zur Minimierung der Auswirkungen auf Vermögenswerte, Menschen und Betrieb definiert (PASI 2015 und 2021). Zunächst hat die PASI eine umfassende Analyse der betrieblichen Auswirkungen durchgeführt, d. h. „kritische Geschäftsfunktionen identifiziert und mögliche störende Auswirkungen auf das Geschäft analysiert“ (Goh, 2021). Diese Analyse beinhaltet Richtwerte für die Wiederherstellungsdauer und den maximal akzeptablen Ausfall. Die festgestellten Risiken folgen einem 4T-Ansatz: „Tolerate, Terminate, Treat, Transfer“ (Dulden, Beenden, Behandeln, Übertragen) gemäß Leitlinie 7 Risikomanagement der Leitlinien der IVSS: Good Governance. Zu den Schlüsselpunkten des BCMS zählen: (i) ein Notfallplan zur Vermeidung von Datenverlust, (ii) ein Standort für die Notfallwiederherstellung, (iii) ein Standort für die Betriebskontinuität, (iv) ein Leitfaden für Arbeitsschutz-Systemmanagement, (v) eine Politik für Telearbeit, (vi) die Aktivierung digitaler Kommunikation, (vii) ein Gefahrenregister für Unfälle und Störfälle, (viii) ein smartes Prüfsystem zur Vermeidung von Risiken von Vor-Ort-Besichtigungen sowie (ix) regelmäßige Übungen an Standorten für Notfallwiederherstellung und Betriebskontinuität. Dieses BCMS hat sich bei der Aufrechterhaltung des planmäßigen Dienstbetriebs während der COVID-19-Pandemie bewährt.

Allgemeine Anstalt für Sozialversicherung (früher Staatliche Rentenanstalt), Saudi-Arabien

Bei der Operationalisierung ihres BCM führte die saudi-arabische Staatliche Rentenanstalt (Public Pension Agency – PPA), die heute Teil der Allgemeinen Anstalt für Sozialversicherung (General Organization for Social Insurance – GOSI) ist, zunächst eine Analyse der betrieblichen Auswirkungen durch (PPA, 2020). Anschließend entwickelte sie ein Betriebskontinuitätsprogramm mittels Vorbereitung einer unternehmensweiten Strategie sowie von Politiken, Plänen und Vereinbarungen, die ihr einen wirksamen Umgang mit verschiedenen Krisen und Notfällen ermöglichen sollte. Um den Plan effizient umzusetzen, wurde im Jahr 2013 ein Zentrum für die Notfallwiederherstellung als Backup für die Daten eingerichtet. Jedes Jahr werden zudem Informationskampagnen für das Personal der Rentenanstalt und ihrer Zweigstellen durchgeführt, mit Workshops, Informations-E-Mails und Fragebögen. Schließlich wurde außerhalb der Hauptstadt Riad ein alternatives Zentrum eingerichtet und der Plan für Betriebskontinuität erfolgreich getestet.

Betriebskontinuitätsmanagement während der Pandemie

Die hauptsächlich auf einkommensstarken Ländern konzentrierte Forschung über die breitere Regierungstätigkeit ist zum Schluss gekommen, dass die meisten Behörden vor der COVID-19-Krise eine Pandemie nicht als Risikofaktor in ihren BCP berücksichtigten. Diese konzentrierten sich dagegen auf den Schutz des Betriebs vor Systemversagen und Datenverlust sowie in eingeschränktem Maße auf personal- und nicht systembezogene Fragen. Zudem waren existierende BCP eher auf kurzfristige Betriebsunterbrechungen als auf langwierige Störungen ausgerichtet (Balibek, Storkey und Yavuz, 2021). Aus diesem Grund mussten die meisten Regierungsorganisationen ihre BCP während der Pandemie überarbeiten; die Institutionen der sozialen Sicherheit waren da keine Ausnahme.

Rentenverwaltungsamt der Malediven

Das Rentenverwaltungsamt der Malediven (Maldives Pension Administration Office – MPAO) wandelte seine IKT-Infrastruktur um, um Resilienz und Betriebskontinuität in seine Tätigkeit einzuführen (MPAO, 2022). Die Altsysteme des MPAO beruhten auf hausinterner IT-Infrastruktur, manuellen Datenbackups, Daten auf Schreibtischcomputern, manuellem Anrufmanagement, E-Mail-basierter interner Kommunikation und Zusammenarbeit sowie physischer Dokumentation. Dies erschwerte den Datenzugang und den Fortlauf der Tätigkeit bei Notfällen. Um dies zu beheben, begann 2016 das MPAO mit der Migration seiner Infrastruktur auf die Cloud. Darüber hinaus wurden Dienste zur Verbesserung der internen Zusammenarbeit bestimmt. Zu den benutzten Anwendungen zählen Cloudrun, Pub Sub, Cloud SQL, BigQuery, Bucket, Google Workspace, Workplace by Facebook, Amazon Web Services Short Messaging Service und Cloudflare. Alle Dienste sind durch automatisierte, geprüfte Backups und Notfallwiederherstellungsverfahren gesichert. Dieser weitreichende digitale Wandel war für den Schutz der Dienstleistungen des MPAO vor der Pandemie von grundlegender Bedeutung.

Allgemeine Anstalt für Sozialversicherung, Saudi-Arabien

In Saudi-Arabien führte die GOSI Telearbeit und automatisierte Dienste ein, um während der Pandemie resilient zu bleiben (GOSI, 2020). Dieser ambitionierte Plan sollte nicht nur Sicherheits- und Datenschutzrisiken angehen, sondern auch die notwendige IKT-Infrastruktur (etwa Laptops, Systeme, IT‑Support) bei weltweiter Marktknappheit aufgrund der rasant zunehmenden Nachfrage beschaffen.

Die GOSI folgte den Leitlinien der IVSS über Informations- und Kommunikationstechnologie, Leitlinie 12 Kontinuitätsmanagement für IKT-Dienstleistungen, um die Verfügbarkeit aller wesentlichen Dienste für Kunden sowie den Erhalt der Informationsverfügbarkeit auf einem angemessenen Niveau sicherzustellen. Die GOSI berief einen COVID-19-Reaktionsausschuss ein, der zur Behebung von Problemen und dem Erhalt der Betriebskontinuität wöchentlich zusammentraf. Mehrere Dienste wurden auf Online-Betrieb umgestellt, während eine neue Stelle für Personen eingerichtet wurde, die über vorgebuchte Termine eine persönliche Betreuung wünschten. Allen Mitarbeitern, die zentrale Funktionen ausübten, wurden Laptops zur Verfügung gestellt. Die Sicherstellung der Betriebskontinuität erforderte die Integration und Koordination mit mehreren externen Stellen, etwa hinsichtlich IT, Arbeitslosenversicherung, Datenaustausch und Gesundheit. Im Zuge dieses Prozesses wurden die Risikoregister für Betriebskontinuität und Informationssicherheit aktualisiert und überwacht.

Rentenkasse von Abu Dhabi, Vereinigte Arabische Emirate

Zur Minimierung von Störungen beim Ausbruch der COVID-19-Krise führte die Rentenkasse von Abu Dhabi (Abu Dhabi Pension Fund – ADPF) ein hybrides Arbeitsmodell mit einer flexiblen Kombination aus Regelungen für Arbeit vor Ort und Telearbeit ein (ADPF, 2021). Zwar hatte die ADPF gewisse Erfahrung in Telearbeit seit 2018, doch die Pandemie erforderte eine schnelle organisationsweite Ausbreitung dieser Kapazitäten unter Berücksichtigung von Fragen hinsichtlich Datenschutz, Überwachung und Zusammenarbeit. 2015 hatte die ADPF einen Dienst namens TAWASOL eingeführt, der gewerblichen Nutzern den Fernzugang zu ADPF-Lösungen und die Leistungserbringung an Kunden ermöglicht. 2018 führte die ADPF eine sichere smarte Arbeitsfläche ein, die gewerblichen Nutzern den Zugang zu Diensten der ADPF außerhalb ihrer Räumlichkeiten bietet.

Bei Ausbruch der Pandemie überarbeitete die ADPF ihre betriebliche Auswirkungsanalyse, um die wesentlichen Dienste festzustellen und die Priorität nicht wesentlicher Dienste abzustufen und so die begrenzten verfügbaren betrieblichen Ressourcen zu maximieren. Jede Abteilung wurde zur Planung ihrer Verfügbarkeit innerhalb und außerhalb der Organisationsräumlichkeiten aufgefordert. Die ADPF erweiterte ihre Infrastruktur um Automatisierungslösungen für Betriebskontinuität und Krisenmanagement, einschließlich Notfallmanagement und Massenbenachrichtigungen. Auch wurde eine Verfügbarkeit von Cyber-Assets für eventuelle Personalausfälle gepflegt. Die ADPF übernahm eine spezielle Software zur Kaskadierung strategischer Ziele in Betriebsplänen durch Befähigung des leitenden Personals zur Überwachung des organisationsweiten Fortschritts. Die bereits vorhandene Infrastruktur für Fernzugänge und die Erfahrung in der Telearbeit waren wesentlich für die Aufrechterhaltung der Dienste. Der Erfolg des BCM wird aus den Mitarbeiterbefragungen ersichtlich: 100 Prozent des Personals behauptete, die ADPF stelle die technische Infrastruktur für eine nahtlose Unterstützung der Telearbeit bereit, und 95 Prozent war der Meinung, die Arbeitsqualität sei unter der Telearbeitsregelung gleichauf mit der Arbeit vor Ort.

Ergebnisse

Tabelle 1 fasst zusammen, wie die Institutionen der sozialen Sicherheit von der Einführung des BCM profitiert haben. Auch werden die Institutionen dargestellt, die nach eigenen Angaben das Betriebskontinuitätsmanagement während eines Schocks, insbesondere der COVID-19-Pandemie, umgesetzt haben.

Tabelle 1. Erfahrungen von Institutionen, die BCM anwenden
Institution Erzielte Ergebnisse Anwendung von BCM im Zuge eines Schocks laut Eigenangabe
CSEPF, Oman
  • RTO und RPO betrugen jeweils 6 Stunden bzw. 30 Minuten, wodurch das Ziel übertroffen wurde
Nein
PASI, Oman
  • Reibungslose Aktivierung des Telearbeitssystems mittels virtueller Desktop-Infrastruktur
  • Kontinuität von über 90 Diensten während der Pandemie
Ja
PPA/GOSI, Saudi-Arabien
  • Bestehende Systeme wurden vom Hauptzentrum auf das Zentrum für Notfallwiederherstellung in 1 Stunde 53 Minuten gegenüber dem Richtwert von 2 Stunden übertragen
  • Systeme wurden vom Zentrum für Notfallwiederherstellung auf das Hauptzentrum in 1 Stunde und 3 Minuten gegenüber dem Richtwert von 2 Stunden rückübertragen
  • Während der Pandemie betrieb die PPA 28 E-Services, erhielt über 25 000 Anrufe im Kundendienst und bearbeitete 77 Millionen Anfragen für integrierte Regierungsdienste, was durch Telearbeit von 98 Prozent der Mitarbeiter ermöglicht wurde
Ja
MPAO, Malediven
  • Reibungslose Telearbeit während COVID-19 bei minimalen Folgen für die Dienste
Ja
GOSI, Saudi-Arabien
  • 100% der kritischen Systeme durch Betriebskontinuität gedeckt
  • 100% Erfolgsquote beim Übertragungstest auf das Zentrum für Notfallwiederherstellung
  • 95% Erfüllung bei externen Prüfungen
Ja
ADPF, Vereinigte Arabische Emirate
  • 99.9% Dienstverfügbarkeit
  • 83% Erfüllung der Dienstgütevereinbarungen über Störfälle bei der Informationssicherheit
  • 100% der Betriebskontinuitätsübungen ausgeführt
Nein

Wesentliche Erfolgsfaktoren

Die Erfahrung der Mitgliedsinstitutionen fördert mehrere Schlüsselfaktoren zutage, die für ein robustes, verlässliches Betriebskontinuitätsmanagement unabdingbar sind.

Ein umfassender Plan für Betriebskontinuität ist der Ausgangspunkt für ein wirksames Betriebskontinuitätsmanagement. Der Erfolg der CSEPF in Oman beruht auf einem Plan mit Schlüsselinformation über wesentliche Aufgaben, Standardbetriebsprotokolle bei unvorhergesehenen Zwischenfällen, Information über Daten- und Standortbackup sowie Standardprotokolle für die Wiederherstellung. Ebenso wichtig ist es, dass der BCP stetig weiterentwickelt und nach einem konkreten Katastrophenfall aktualisiert wird. Tatsächlich wurden der BCP und die allgemeine BCM-Strategie der CSEPF seit ihrer Einführung 2012 weiterentwickelt.

Die Planung und Verwaltung des BCP erfordert einen starken organisatorischen Rahmen. Eine angemessene Personalbesetzung ist wesentlich für das Erreichen der Ziele des BCP. So hat etwa die PASI in Oman eine mehrstufige Struktur mit klar definierten Rollen und Verantwortungen umgesetzt, angeführt von einem Lenkungsausschuss für Betriebskontinuität und Krisenfälle, der strategische Entscheidungen traf. Auf operativer Ebene wurden ein funktionales und ein IT-Team geschaffen, deren Aktivitäten von einem Koordinator geführt wurden.

Realistische Prüfungen des BCP bei gleichzeitigem Risikomanagement im Routinebetrieb sind wichtig. Alle Mitgliedsinstitutionen haben die Notwendigkeit einer regelmäßigen Prüfung des BCP auf etwaige Schwächen hervorgehoben. Die CESPF in Oman hat darauf hingewiesen, dass realistische Prüfungen ein absichtliches Herbeiführen von Hauptsystemversagen erfordern, so dass sich die Behörden auf Störungen in laufenden Systemen während der Prüfungen einstellen müssen.

Eine ständige Bewusstseinsbildung und Mitarbeiterschulung ist wesentlich für die Operationalisierung des Plans für Betriebskontinuität. Die PASI in Oman hat die Bedeutung des Betriebskontinuitätsmanagements und die entsprechenden Funktionen aller Mitarbeiter hervorgehoben. In Saudi-Arabien hat die PPA über 30 Workshops zur Förderung einer BCM-Kultur organisiert. Die Erfahrung der Nationalen Behörde für soziale Sicherheit und Beschäftigung (National Social Security Administering Body for Employment – BPJS Ketenagakerjaan) in Indonesien hebt erneut die Bedeutung der Schulung hervor: Die Hauptsorgen anlässlich der von der Behörde durchgeführten Studie über BCM in 26 Zweigstellen und 10 regionalen Geschäftsstellen waren fehlende Kenntnis der Pflichten und Verantwortlichkeiten des Personals sowie unvollständige bzw. überholte BCP-Dokumente (BPJS Ketenagakerjaan, 2020).

Eine digitale Strategie ist für ein wirksames BCM wesentlich, wie die COVID-19-Krise bestätigt hat. Die ADPF in Abu Dhabi stellte fest, dass eine wirksame interne Zusammenarbeit während der Pandemie ohne Investitionen in digitale Lösungen für Kommunikation und Leistungsmanagement nicht möglich gewesen wäre. Auch war die Verfügbarkeit einer angemessen verwalteten Cloud-Infrastruktur maßgeblich für die Fortführung der Dienste des MPAO auf den Malediven. Diese Erfahrungen wurden im Zuge eines IVSS-Webinars durch südostasiatische Institutionen der sozialen Sicherheit bestätigt. In Malaysia hat die Anstalt für soziale Sicherheit (PERKESO) die Nichtdigitalisierung von Dateien und die begrenzte Infrastruktur als wichtigste Hemmschuhe für die Operationalisierung des BCP während der Pandemie ausgemacht (PERKESO, 2020).

Schlussfolgerung

Zusammenfassend ist ein umfassendes BCM für den Aufbau eines resilienten Betriebs der sozialen Sicherheit wesentlich. Zwar ist der BCP einer Institution einzigartig, doch bei der Analyse der wirksamen BCP treten mehrere Gemeinsamkeiten auf, die wiederum den Erfolg des BCM hervorheben. Erstens sollten das volle Ausmaß der Geschäftsabläufe im Front- und Backoffice einer Institution sowie die Personal- und IKT-Ressourcen berücksichtigt werden. Bei einer Analyse der betrieblichen Auswirkungen sollten Organisationen externe Abhängigkeiten feststellen und diese in ihre Risikobewertung einbinden. Zweitens ist eine sachgemäße Schulung sowohl organisationsweit als auch an den Außenstellen unverzichtbar. Drittens ist ein BCP keine Einzelmaßnahme. Viele Institutionen beginnen in der Tat mit „einfachen“ technologiebasierten Notfallwiederherstellungsplänen, bevor sie diese auf vollumfängliche BCM ausweiten. Damit verbunden muss viertens das BCM-System ständig überprüft und aktualisiert werden, nicht nur zur Wiedergabe von Erkenntnissen nach Katastrophenfällen, sondern auch zur Einbindung fortschreitender Geschäftsabläufe und Leistungserbringungsmechanismen. Fünftens sind regelmäßige Prüfungen ein Muss – während Prüfungen verschiedene Ausfallsebenen simulieren können, sollte eine vollständige Übung in festgelegten Abständen hinsichtlich einer umfassenden Prüfung und Sicherstellung durchgeführt werden. Schließlich sollten sich BCP nicht auf kurzfristige Störungen beschränken, wie die Pandemie bewiesen hat; eine Planung längerer Zwischenfälle ist von grundlegender Bedeutung.

Die Pandemie hat das BCM der Organisationen auf den Prüfstand gesetzt. Die Hauptergebnisse sind dabei i) ein reibungsloser Übergang in ein Telearbeitsumfeld, ii) die Wiederherstellung von Kerndiensten und Leistungserbringungskanälen innerhalb der Zielfrist sowie iii) die Fähigkeit der Organisationen, mit der steigenden Leistungsnachfrage bei angemessener Kundenzufriedenheit Schritt zu halten. Eine explizite Strategie für digitale Betriebsstabilität ist aufgrund der engen Verflechtung zwischen IKT und operativen Dienstleistungen wesentlich (IVSS, 2022a), wie die Erfahrung aus der Pandemie zeigt.

Die Mitgliedsinstitutionen der IVSS haben sich bereits zur zunehmenden Verbesserung ihrer Kapazität hinsichtlich der verschiedenen Probleme im Zusammenhang mit der Einführung eines vollumfänglichen BCM verpflichtet. Die IVSS unterstützt ihre Mitglieder anhand neuer Leitlinien über Kontinuität und Resilienz in Dienstleistungen und Systemen der sozialen Sicherheit (IVSS, 2022b), die bei Institutionen in verschiedenen Entwicklungsstadien entlang ihres Wegs zu einer resilienteren Institution der sozialen Sicherheit zur Anwendung kommen können und somit die Leistungsqualität, Leistungserbringung und angemessene Reaktion bei eventuellen Systemschocks sicherstellen.

Referenzen

Allgemeine Anstalt für Sozialversicherung. 2020. Betriebskontinuität wärend der COVID-19-Pandemie (Gute Praxis in der sozialen Sicherheit). Genf, Internationale Vereinigung für Soziale Sicherheit.

Anstalt für soziale Sicherheit. 2020. Beyond the first wave of COVID-19: Lessons and challenges from SOCSO Malaysia (Präsentation in einem Webinar der IVSS). Genf, Internationale Vereinigung für Soziale Sicherheit.

Balibek, E.; Storkey, I.; Yavuz, H. 2021. Business continuity planning for government cash and debt management. Washington, DC, Internationaler Währungsfonds.

BPJS Ketenagakerjaan. 2020. Aggressive growth for sustainable protection. Jakarta, Behörde für soziale Sicherheit im Gesundheitssektor.

Goh, M. H. 2021. What is business impact analysis? Singapur, BCM Institute.

IVSS. 2019a. Leitlinien der IVSS über Good Governance (Überarbeitete Ausgabe). Genf, Internationale Vereinigung für Soziale Sicherheit.

IVSS. 2019b. Leitlinien der IVSS über Informations- und Kommunikationstechnologie (Erweiterte Ausgabe). Genf, Internationale Vereinigung für Soziale Sicherheit.

IVSS. 2019c. Leitlinien der IVSS zur Dienstleistungsqualität (Erweiterte Auflage). Genf, Internationale Vereinigung für Soziale Sicherheit.

IVSS. 2022a. Digital operational resilience: Strategies and approaches to protect social security data and operations. Genf, Internationale Vereinigung für Soziale Sicherheit.

IVSS. 2022b. Leitlinien der IVSS über Kontinuität und Widerstandsfähigkeit von Dienstleistungen und Systemen der sozialen Sicherheit (Erscheint demnächst). Genf, Internationale Vereinigung für Soziale Sicherheit.

IVSS. 2022c. IKT-Antworten auf die Coronapandemie: Beschleunigte digitale Transformation zum Aufbau besserer und resilienterer Sozialschutzsysteme (Fachausschuss für Informations- und Kommunikationstechnologie, Zusammenfassender Bericht 2020–2022, Erscheint demnächst). Genf, Internationale Vereinigung für Soziale Sicherheit.

Rentenkasse der Beamten. 2015. Aufbau eines Standorts für die Sicherstellung der Geschäftskontinuität und-wiederherstellung im Katastrophenfall (Gute Praxis in der sozialen Sicherheit). Genf, Internationale Vereinigung für Soziale Sicherheit.

Rentenkasse von Abu Dhabi. 2021. Telearbeit: Wie die Digitalisierung es der Rentenkasse von Abu Dhabi ermöglicht hat, die Pandemie zu überleben und dabei erfolgreich zu bleiben (Gute Praxis in der sozialen Sicherheit). Genf, Internationale Vereinigung für Soziale Sicherheit.

Rentenverwaltungsamt der Malediven. 2022. Building resilience and business continuity plans in social security institutions (Präsentation an der ICT 2022). Genf, Internationale Vereinigung für Soziale Sicherheit.

Staatliche Behörde für Sozialversicherung. 2015. Betriebskontinuitäts-Managementsystem (Gute Praxis in der sozialen Sicherheit). Genf, Internationale Vereinigung für Soziale Sicherheit.

Staatliche Behörde für Sozialversicherung. 2021. Einführung eines Systems für die Verwaltung der Geschäftskontinuität (Gute Praxis in der sozialen Sicherheit). Genf, Internationale Vereinigung für Soziale Sicherheit.

Staatliche Rentenanstalt. 2020. Umsetzung des Geschäftskontinuitätsplans der Staatlichen Rentenanstalt (Gute Praxis in der sozialen Sicherheit). Genf, Internationale Vereinigung für Soziale Sicherheit.