Die ISO 22301 ist die internationale Norm für das Managementsystem für Business Continuity (BCMS) — also das strukturierte System, mit dem ein Unternehmen sicherstellt, dass es kritische Funktionen auch nach einem erheblichen Zwischenfall aufrechterhalten oder schnell wiederherstellen kann.
Wenn Sie dieses System eingeführt haben oder gerade dabei sind, es aufzubauen, werden Sie früher oder später mit Audits konfrontiert: dem internen Audit und dem Zertifizierungsaudit. In diesem Artikel erkläre ich Ihnen Schritt für Schritt, was bei jedem Audit geprüft wird, wie der Ablauf aussieht und wie Sie sich optimal vorbereiten.
Was ist ein BCMS und warum wird es auditiert?
Ein Managementsystem für Business Continuity (BCMS) nach ISO 22301 ist kein einzelnes Dokument und kein einmaliges Projekt. Es ist ein lebendiger Managementrahmen, der folgende Elemente umfasst:
- Die Business Impact Analysis (BIA) — Analyse der Auswirkungen auf das Unternehmen bei Ausfall kritischer Prozesse
- Die Risikobeurteilung für Bedrohungen und Schwachstellen
- Die Business Continuity Plans (BCP) — konkrete Pläne zur Aufrechterhaltung des Betriebs
- Die Tests und Übungen, die sicherstellen, dass die Pläne funktionieren
- Den Prozess der kontinuierlichen Verbesserung
Das Audit dient dazu, unabhängig zu überprüfen, ob all diese Elemente tatsächlich vorhanden, wirksam und normkonform sind — nicht nur auf dem Papier, sondern in der betrieblichen Praxis.
Was prüft der Auditor? Die 6 Hauptbereiche
Unabhängig davon, ob es sich um ein internes oder ein Zertifizierungsaudit handelt, konzentriert sich die Prüfung auf folgende Bereiche:
| Prüfbereich | Was wird geprüft |
|---|---|
| Kontext und Führung | Geltungsbereich des BCMS, Führungsengagement, Business-Continuity-Politik, Rollen und Verantwortlichkeiten |
| Business Impact Analysis (BIA) | Identifizierung kritischer Aktivitäten, RTO (Recovery Time Objective), RPO (Recovery Point Objective), Ressourcenbedarf |
| Risikobeurteilung | Methodik, Identifizierung von Bedrohungen und Schwachstellen, Behandlungsmaßnahmen |
| Business Continuity Plans (BCP) | Vollständigkeit der Pläne, Eskalationsverfahren, Kommunikationsprotokolle, alternative Ressourcen |
| Tests und Übungen | Nachweise über durchgeführte Tests, Szenarien, Ergebnisse, Korrekturmaßnahmen |
| Kontinuierliche Verbesserung | Nichtkonformitäten aus früheren Audits, Korrekturmaßnahmen, Managementbewertung |
Internes Audit vs. Zertifizierungsaudit: Die Unterschiede
Das interne Audit
Das interne Audit wird von Ihrem eigenen Unternehmen — oder einem beauftragten externen Auditor — durchgeführt, bevor die Zertifizierung beantragt wird. Es hat mehrere Funktionen:
- Es überprüft, ob das BCMS alle Anforderungen der ISO 22301 erfüllt
- Es identifiziert Lücken und Nichtkonformitäten, bevor der externe Auditor kommt
- Es ist gemäß der Norm selbst verpflichtend — ein BCMS ohne interne Audits ist nicht normkonform
Lesen Sie dazu den vollständigen Leitfaden zu internen ISO-Audits, in dem ich die Methodik, die Dokumentation und häufige Fehler detailliert erläutere.
Das Zertifizierungsaudit (in 2 Phasen)
Das Zertifizierungsaudit wird von einer von ENAC akkreditierten Zertifizierungsstelle durchgeführt. Es gliedert sich in zwei klar getrennte Phasen:
Phase 1 — Dokumentenprüfung: Der Auditor prüft die Dokumentation des BCMS: die Business-Continuity-Politik, den Geltungsbereich, die BIA, die Risikobeurteilung, die BCPs und die Aufzeichnungen der internen Audits. Ziel ist es, die Reife des Systems zu bewerten und zu entscheiden, ob Phase 2 sinnvoll ist. Sie findet häufig remote statt.
Phase 2 — Vor-Ort-Audit: Der Auditor kommt in Ihr Unternehmen. Er führt Interviews mit dem Management und den für Continuity-Prozesse verantwortlichen Personen, prüft Nachweise (Testberichte, Übungsprotokolle, Korrekturmaßnahmen) und bewertet, ob das BCMS in der Praxis wirksam funktioniert.
Ein ISO-22301-Audit bewertet nicht, ob Sie einen Plan haben. Es bewertet, ob Sie nachweisen können, dass der Plan funktioniert.
Ángel Ortega Castro
Die Rolle der von ENAC akkreditierten Zertifizierungsstelle
Nicht jede Organisation, die Zertifizierungen ausstellt, hat dieselbe Glaubwürdigkeit. In Spanien verleiht ENAC (Entidad Nacional de Acreditación) die offizielle Akkreditierung an Zertifizierungsstellen — analog zu den nationalen Akkreditierungsstellen anderer EU-Länder (DAkkS in Deutschland, COFRAC in Frankreich usw.).
Nur eine von ENAC akkreditierte Zertifizierungsstelle kann ISO-22301-Zertifikate mit internationaler Anerkennung ausstellen. Das ist entscheidend, wenn Sie das Zertifikat für öffentliche Ausschreibungen oder bei internationalen Kunden verwenden möchten.
Wie Sie die richtige Zertifizierungsstelle auswählen, erkläre ich im Artikel ISO-Zertifizierungsstellen: Auswahl und ENAC-Akkreditierung.
Nichtkonformitäten: Typen und Umgang
Nichtkonformitäten sind Abweichungen von den Anforderungen der Norm. Es gibt zwei Typen:
Wesentliche Nichtkonformitäten (Major): Eine Anforderung der Norm ist vollständig nicht erfüllt oder es gibt systemische Mängel, die die Wirksamkeit des BCMS grundlegend in Frage stellen. Sie müssen zwingend behoben werden, bevor das Zertifikat ausgestellt wird.
Geringfügige Nichtkonformitäten (Minor): Ein einzelner Mangel oder eine Abweichung, die das System insgesamt nicht gefährdet. Sie werden im Zertifizierungsbericht dokumentiert und müssen im nächsten Überwachungsaudit oder innerhalb der vereinbarten Frist behoben sein.
Darüber hinaus können Auditoren Empfehlungen oder Verbesserungsmöglichkeiten aufzeigen — das sind keine formalen Nichtkonformitäten, aber Hinweise, die Sie ernst nehmen sollten.
Wie Sie sich auf ein Audit vorbereiten
- Stellen Sie sicher, dass die BIA aktuell ist und alle kritischen Aktivitäten abdeckt
- Vergewissern Sie sich, dass die BCPs schriftlich fixiert, getestet und genehmigt sind
- Dokumentieren Sie alle Tests und Übungen mit Datum, Szenario, Ergebnis und Korrekturmaßnahmen
- Führen Sie mindestens ein internes Audit mit formaler Dokumentation durch
- Stellen Sie sicher, dass die Managementbewertung durchgeführt und dokumentiert wurde
- Prüfen Sie, ob alle Mitarbeiter, die in den Plänen erwähnt werden, über ihre Rolle informiert sind
Der Drei-Jahres-Zyklus der ISO-22301-Zertifizierung
Die ISO-22301-Zertifizierung hat eine Gültigkeitsdauer von drei Jahren. In dieser Zeit finden folgende Audits statt:
Jahr 1: Erstzertifizierungsaudit (Phase 1 + Phase 2). Das Zertifikat wird ausgestellt, wenn keine wesentlichen Nichtkonformitäten bestehen oder diese fristgerecht behoben wurden.
Jahr 2: Erstes Überwachungsaudit. Eine kürzere Prüfung — in der Regel 1 bis 2 Tage —, die sicherstellt, dass das BCMS weiterhin aktiv und wirksam ist. Geringfügige Nichtkonformitäten aus der Erstzertifizierung müssen behoben sein.
Jahr 3: Zweites Überwachungsaudit. Analog zum ersten Überwachungsaudit.
Jahr 4 (Rezertifizierung): Das Zertifikat läuft ab. Ein vollständiges Rezertifizierungsaudit ist erforderlich, um den Drei-Jahres-Zyklus neu zu starten.
Wichtig: Zwischen den formalen Audits läuft das BCMS weiter. Sie müssen interne Audits durchführen, die Managementbewertung aktualisieren und die Pläne testen. Ein BCMS, das nur vor dem externen Audit "aufgeweckt" wird, besteht das Audit selten.
ISO 22301 und ISO 27001: Was sich unterscheidet
Viele Unternehmen fragen mich, ob sie ISO 22301 zusammen mit ISO 27001 zertifizieren lassen sollten. Die Normen ergänzen sich: ISO 27001 fokussiert auf Informationssicherheit, ISO 22301 auf die Betriebskontinuität. Es gibt erhebliche Überschneidungen — vor allem in der Risikobeurteilung und im Incident Management —, sodass ein integriertes Managementsystem Aufwand und Kosten reduzieren kann.
Wenn Sie planen, beide Normen zu implementieren, ist es ratsam, die BIA und die Risikobeurteilung von Anfang an so zu gestalten, dass sie beide Anforderungen abdecken.
Fazit: Ein Audit ist keine Bedrohung, sondern eine Bestätigung
Ein gut aufgestelltes BCMS besteht ein ISO-22301-Audit nicht trotz des Audits, sondern wegen ihm. Der externe Blick des Auditors identifiziert blinde Flecken, die intern oft nicht sichtbar sind, und die formale Zertifizierung gibt Kunden, Partnern und Auftraggebern die Gewissheit, dass Ihr Unternehmen Krisen systematisch meistert.
Wenn Sie Unterstützung bei der Implementierung von ISO 22301 oder der Vorbereitung auf das Zertifizierungsaudit benötigen, können wir das gerne in einem ersten Gespräch besprechen. Schauen Sie sich auch den Bereich Compliance und Normierung an oder nehmen Sie direkt Kontakt auf.