---

---

Ressourcen - der Sauerstoff Ihres Unternehmens

„Der Mensch kann ohne Essen etwa 40 Tage, ohne Trinken nahezu fünf Tage, ohne Sauerstoff nur einige Minuten überleben. Bei fehlender Sauerstoffzufuhr zum Gehirn treten bereits nach einigen Sekunden Schwindel und zunehmende Bewusstseinstrübung, nach vier Minuten bleibende Gehirnschäden auf.“ (Dr. Hans Morschitzky).

Wie lange kann ihr Unternehmen überleben, wenn Ihnen aufgrund eines schwerwiegenden Ereignisses ein zeitkritischer Prozess für zehn Minuten, eine Stunde oder sogar ganze drei Tage ausfällt?

Ab wann fehlt Ihrem Unternehmen der lebenswichtige Sauerstoff?
Die Antwort gibt eine Business-Impact-Analyse (BIA). Durch qualifizierte Zusammenstellung von Informationen zu Geschäftsprozessen und Erhebung weiterer Kerninformationen ist sie ein geeignetes Instrument, um (potenzielle) Auswirkungen auf Geschäftsprozesse, deren Wechselwirksamkeit und Wiederanlaufzeiten nach schwerwiegenden Ereignissen zu bestimmen. Sie legt fest, welche Geschäftsprozesse und Ressourcen benötig werden, um das Überleben Ihres Unternehmens zu sichern.

Neben der Dokumentation von Auswirkungen auf geschäftliche Aktivitäten, Dienstleistungen und Produkte ermittelt die BIA Kennzahlen und Zielwerte für die Betriebskontinuität, die als Grundlage für die Notfallplanung dienen. Das „Recovery Time Objective“ (RTO) legt beispielsweise die Sollzeit für die Wiederaufnahme von Geschäftsprozessen oder sonstiger Leistungserbringung fest. Die „Maximum Tolerable Period of Distribution“ (MTPD) bestimmt hingegen die maximal zulässige Dauer eines Ausfalls. Darüber hinaus werden interne und externe Abhängigkeiten erfasst.

Bei signifikanten Veränderungen in der Struktur von Geschäftstätigkeiten, wie z.B. durch Einführung eines neuen Produkts oder Herstellungsverfahrens oder einem Standortwechsel, kann die BIA als hilfreiches Werkzeug eingesetzt werden, außergewöhnliche Ereignisse bei wesentlichen Änderungen abzuwägen und ggf. deren negativen Auswirkungen zu begrenzen. Auf diese Weise wird auch bei größeren Veränderungen eine hohe Resilienz Ihres Unternehmens gewährleistet.

Bei der Durchführung einer Business-Impact-Analyse orientieren wir uns an den drei wesentlichen Schritten:

1. Die Voraussetzungen für die Durchführung einer Business-Impact-Analyse (BIA) ermitteln
2. Die Durchführung der Business-Impact-Analyse (BIA)
3. Zyklische Aktualisierung der Business-Impact-Analyse (BIA)

Voraussetzung für die Durchführung einer BIA

Eine erfolgsversprechende BIA ist im Business Continuity Management und über den gesamten Prozess hinweg mit erheblichem Aufwand verbunden. Jedoch sind Zeit und Kapazität in der Vorbereitung gut investiert. Sorgfältig gewählte Parameter, die bedarfsgerecht festgelegt und präzise beschrieben sind, sowie sinnhafte Schadensgrößen (z.B. finanzielle, reputative, regulatorische und operative) sind eine gute Grundlage. Die Hinzuziehung weiterer Experten und die Nutzung spezialisierter Software-Tools sorgen für eine hohe Qualität des BIA-Ergebnisses.

In Vorbereitung auf die zu führenden Interviews mit den geschäftlichen Fachbereichen im Rahmen der BIA sollten Dokumentationen und Informationen aus thematisch verwandten Bereichen wie dem IT-, Risiko- und dem Supply Chain Management herangezogen werden. So kann für eine erhebliche Entlastung bei der Erhebung der benötigten Daten gesorgt und Mehrfacherhebung verhindert werden. Der Einsatz unterschiedlicher Methoden zur Datenerhebung in den Fachbereichen, wie etwa Workshops, Fragebögen und Interviews, klärt über die Schritte des BCM auf und sorgt somit für Transparenz. Die Zweckmäßigkeit und das Ziel einer BIA werden ebenfalls verdeutlicht.

Ein klar definierter, durch das Management vorgegebener Umfang, der sogenannte BIA-Scope, ist im Vorfeld sehr zeitaufwändig zu ermitteln, garantiert jedoch die Fokussierung auf kritische Geschäftsprozesse und führt folglich zu allgemein weniger Erhebungsaufwand. Die Festlegung des BIA-Scope kann sich unabhängig von den Geschäftsprozessen auch an den Produkten oder Services orientieren. Zu priorisieren sind dann die Produkte und Services, die auf jeden Fall im Notfall betrieben bzw. geliefert werden müssen, weil diese für ein hohes Umsatzvolumen sorgen. Zeitsensitive Kundensegmente sind hier gesondert zu berücksichtigen.

Durchführung der Business-Impact-Analyse

Zu Beginn der Business-Impact-Analyse wurde deren Umfang festgelegt. Dieser verdeutlicht, welche Organisationseinheiten und Geschäftsprozesse als besonders zeitkritisch erachtet werden und welche im Notfall vernachlässigt werden können. Einige Bereiche des Unternehmens müssen aufgrund ihrer geringen Größe oder Relevanz nicht in der BIA berücksichtigt werden. Die verschiedenen Komponenten des Unternehmens sind zwar alle abhängig voneinander, jedoch sind einige Prozesse in einem Notbetrieb eher zu vernachlässigen bzw. verzichtbarer als andere. Für die Aufrechterhaltung des Unternehmens in einem Notbetrieb wird sich deshalb vornehmlich auf die zeitkritischen Kernprozesse konzentriert.

Die Festlegung des zu berücksichtigenden Umfangs (Produkte oder Dienstleistungen) erfolgt gemäß ISO Standard 22317 durch das Management im Rahmen einer strategischen BIA. Die für die Bereitstellung der Produkte und Dienstleistungen benötigten zeitkritischen Prozesse und deren Prozessabhängigkeiten, Maßnahmen und Wiederanlaufanforderungen werden in der taktischen BIA identifiziert.

Mit der operativen BIA werden die Anforderungen an die Ressourcen erhoben. Hierzu gehören beispielsweise:

• Anzahl benötigter Notfallarbeitsplätze
• IT-Anwendungen mit Wiederanlaufparametern
• Dienstleister
• personelle Ressourcen
• Skills und Berechtigungen
• individuelle Datenverarbeitung und physische Dokumentationen
• Infrastruktur - technische Ausstattung und Materialien

Darauf folgt die Konzeptionierungsphase für die BIA. In dieser Phase werden die Auswirkungen in Impact-Kategorien, der Ressourcenumfang sowie der Zeitraum der Betrachtung und die Geschäftsprozessebenen festgelegt. Hierbei kann auf vorhandene Ressourcenkataloge, wie z.B. der IT-Servicekatalog, oder Listen mit Dienstleistern zurückgegriffen werden.

In diesem Schritt wird der zweckmäßige Umfang und die geeignete Methodik zur Datenerhebung in den Fachbereichen gewählt. Die Festlegung von Verantwortlichkeiten sowie die Benennung von Prozesseigentümern und deren Unterrichtung ist von besonderer Wichtigkeit. Die benannten Prozess-Owner haben die Aufgabe, mit Hilfe von Fachexperten ihrer Geschäftsbereiche die Datenerhebung vollumfänglich zu ermöglichen.

Ein durch das BCM vorgefertigter, individuell auf die Bedürfnisse des Unternehmens zugeschnittener BIA-Fragebogen analysiert in einem Workshop oder Interview mit dem Fachbereich den Status Quo. Die Inhalte des Fragebogens sollten sich in Aufbau und Inhalt auf die monetäre und nicht-monetäre Relevanz der zu betrachtenden Geschäftsprozesse konzentrieren. Während des BIA-Interviews ist besonders darauf zu achten, dass den Beteiligten bewusst ist, dass ein außergewöhnliches Ereignis mit Perspektive „Worst-Case“ auf die Geschäftsaktivitäten des Fachbereichs analysiert wird.

Sobald sich hieraus alle Informationen schlüssig zusammenfinden, kann mit der Prüfung gestartet werden. Hierbei kristallisieren sich die besonderen Anforderungen für einen Notbetrieb heraus und werden dokumentiert. Durch die folgende Qualitätssicherung des BC-Managers wird der BIA-Fragebogen auf Vollständigkeit und Nachvollziehbarkeit der Einschätzungen durch den Fachbereich geprüft und übergreifende Fragestellungen, wie z. B. Vererbung der Wiederanlaufzeiten auf vorgelagerte Prozesse, konsolidiert. Die Ermittlung durch die BIA ergibt, wie hoch die Kritikalität und Wiederanlaufzeit der Ressourcen der zeitkritischen Geschäftsprozesse ist. Die Ergebnisse werden dem Management nach Fertigstellung zur Abnahme in Form eines BIA-Reports überreicht.

Das BIA-Ergebnis führt in einem gut strukturierten BIA-Prozess das Know-how der unterschiedlichen Fachbereiche zusammen und zeigt deren Ergebnisse auf. Die erhobenen Daten aus dem IT-Servicekatalog können z.B. mit den Erhebungen der IT-Anwendung und der individuellen Datenverarbeitung aus der BIA verglichen und den Geschäftsprozessen besser zugeordnet werden. Diese spezifischen IT-Anforderungen werden dann, nach der Konsolidierung, an das IT Service Continuity Management weitergebenen. Dort wird dann der ITSCM-Lifecycle gestartet. So können bestehende Abhängigkeiten von Dienstleistern und physische Dokumentationen identifiziert werden und sind mit Hilfe der BIA für das BCM und Management transparent. Dies liefert Ansatzpunkte für ein effizientes Schnittstellen-Management und die Nutzung von Synergieeffekten.

Durch die BIA wird der Soll-Zustand der Wiederanlaufzeiten von zeitkritischen Ressourcen erkennbar. Anschließend erfolgt eine Beurteilung der zur Verfügung stehenden Lösungsoptionen und risikominimierenden Maßnahmen. Diese werden in einem Lösungskonzept dargestellt.

Zyklische Aktualisierung der BIA

Die erste professionelle BIA ist mit viel Aufwand verbunden. Die detaillierte Erhebung von Daten, eine gute Vorbereitung und die Verknüpfung von Schnittstellen und anderer Informationsträger sind die Basis für eine erfolgsversprechende Umsetzung.

Bei nachfolgenden BIAs kann auf vorhandene Ergebnisse aufgesetzt oder angeknüpft werden, um ein aktualisiertes Ergebnis zu ermitteln. Folglich muss der Prozess nicht zu jedem Audit im Gesamten wiederholt werden; es ist ausreichend, die von einer organisatorischen Entwicklung betroffenen kritischen Geschäftsprozesse gründlich nachzuprüfen und andere stichprobenartig mit den vorherigen Ergebnissen zu vergleichen. Der betroffene Fachbereich sollte dabei immer eng miteinbezogen werden. Der Aktualisierungsaufwand nimmt ab, wodurch Zeit und Kapazität in den Folgejahren eingespart wird.

Fazit

Mit einer gut durchgeführten Business-Impact-Analyse wissen Sie also immer, wann und wie viel "Sauerstoff", "Wasser" und "Nahrung" Sie für den funktionierenden Betrieb Ihres Unternehmens benötigen.

Eine gut vorbereitete und professionell durchgeführte BIA, die regelmäßig an veränderte Rahmenbedingung angepasst wird, schafft verlässliche Transparenz für Ihre Unternehmensführung und die Fachbereiche. Die gewonnenen Erkenntnisse über die zeitkritischen Geschäftsprozesse, deren Verwundbarkeiten und mögliche Maßnahmen zur Erhöhung der Resilienz stellen einen bedeutenden Mehrwert der BIA dar. Da sich über den Zeitverlauf relevante Faktoren im Unternehmen verändern können, ist eine zyklische oder anlassbezogene Aktualisierung erforderlich.

Auf diese Weise haben Sie stets einen Überblick, wie lange Ihr Unternehmen ohne seinen Sauerstoff bestehen kann. Also: Wie lange überleben Sie?