To BIA or not to BIA: That is the Question !

Den Business Impact analysieren oder nicht, das ist die Frage ! Oder ist sie es eher nicht? …

BCM dient ebenso wie ITSCM zur Absicherung eines Unternehmens und gehört nicht zu dessen Kerngeschäft. Somit trägt es nicht zur direkten Wertschöpfung bei. Dementsprechend gilt es, das Kontinuitätsmanagement so effizient und effektiv wie möglich zu gestalten. Hinzu kommt, dass Notfälle und Krisen die Ausnahmen und nicht die Regel sind bzw. sein sollten. Vielleicht lässt sich ja sogar auf die BIA verzichten?

Unter dem Aspekt der Wirtschaftlichkeit muss herausgefunden werden, wie unternehmenskritisch die erbrachten Leistungen oder Produkte und die hierzu erforderlichen Geschäftsprozesse sind, um sie dementsprechend abzusichern, Schwerpunkte setzen zu können und sich auf das Wesentliche zu konzentrieren. Die Kritikalität einer Leistung oder eines Produktes und damit die des Geschäftsprozesses im Zeitverlauf, d. h. sein zeitabhängiger Schutzbedarf,  lässt sich im Rahmen der BIA ermitteln: durch seinen Wertschöpfungsbeitrag und seine Bedeutung in Hinblick auf Unternehmensstrategie, Image und Bezugsgruppen, zu denen auch Kunden, der Gesetzgeber und Aufsichtsbehörden gehören. Beispielhaft veranschaulichen lässt sich dies durch den Schaden, der entsteht, wenn eine Leistung nicht mehr erbracht, oder ein Produkt nicht mehr hergestellt werden kann. Das auslösende Ereignis, d. h. die Ursache hierfür spielt bei der BIA keine Rolle.

Bei der Ermittlung des Business Impacts und für eine effiziente Vorgehensweise hilfreich sind die Zahlen aus den verschiedenen Controlling-Bereichen. So sind z. B. Umsatz, Wertschöpfungsbeitrag und Stückzahl sowie der Deckungsbeitrag je Kunde bzw. Kundengruppe bekannt. Wer die Pareto-Regel anwendet, erkennt oftmals Relationen, z. B. dass rund 80% des Deckungsbeitrags von ca. 20% der Produkte bzw. Services oder der Kunden kommen. So lässt sich mittels der BIA das Kerngeschäft identifizieren, das für das Unternehmen ertragsstark und damit kritisch ist.

Gegenüber dem Business Impact ergeben sich die Risiken anhand konkreter Bedrohungen. Ermittelt werden sie in der Risikoanalyse. Auch hier wird betrachtet, welcher Schaden in welcher Höhe entsteht, jedoch bezogen auf eine konkrete Bedrohung, d. h. Ursache. Zur Herstellung der Vergleichbarkeit der Risikowerte, die in der Risikoanalyse ermittelt werden, sollte dabei unterschieden werden zwischen Brutto- und Nettorisiko [1]. Da Unternehmen über ein Risikomanagement verfügen, liegt es nahe, darauf aufzubauen. Doch macht die Risikoanalyse die BIA verzichtbar?

Trotz Risikoanalyse ist die BIA üblicherweise erforderlich. Andernfalls bleiben die Auswirkungen von Bedrohungen, die noch nicht auftraten, nicht bekannt sind, nicht im Fokus liegen oder eine sehr kleine Eintrittswahrscheinlichkeit haben, außen vor. Da die Eintrittswahrscheinlichkeit von Ereignissen jedoch meist retrospektiv ist und Ereignisse erstmals oder trotz äußerst geringer Eintrittswahrscheinlichkeit sehr zeitnah auftreten können, hilft die BIA, den Blick auf den Schutzbedarf und die Folgen eines Ausfalls zu richten – unabhängig von der konkreten Ursache. Zudem beinhaltet die BIA bzw. sollte beinhalten den zeitlichen Verlauf der Folgen sowie die Erhebung von Abhängigkeiten, d. h. eines Teils des Interdependenznetzes [1]. Außerdem müssen im Rahmen der BIA und beim BCM Sicherheitsaspekte mit betrachtet werden.

 

Literatur:

[1] Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010