To BIA or not to BIA: That is the Question !

Den Business Impact analysieren oder nicht, das ist die Frage ! Oder ist sie es eher nicht? …

BCM dient ebenso wie ITSCM zur Absicherung eines Unternehmens und gehört nicht zu dessen Kerngeschäft. Somit trägt es nicht zur direkten Wertschöpfung bei. Dementsprechend gilt es, das Kontinuitätsmanagement so effizient und effektiv wie möglich zu gestalten. Hinzu kommt, dass Notfälle und Krisen die Ausnahmen und nicht die Regel sind bzw. sein sollten. Vielleicht lässt sich ja sogar auf die BIA verzichten?

Unter dem Aspekt der Wirtschaftlichkeit muss herausgefunden werden, wie unternehmenskritisch die erbrachten Leistungen oder Produkte und die hierzu erforderlichen Geschäftsprozesse sind, um sie dementsprechend abzusichern, Schwerpunkte setzen zu können und sich auf das Wesentliche zu konzentrieren. Die Kritikalität einer Leistung oder eines Produktes und damit die des Geschäftsprozesses im Zeitverlauf, d. h. sein zeitabhängiger Schutzbedarf,  lässt sich im Rahmen der BIA ermitteln: durch seinen Wertschöpfungsbeitrag und seine Bedeutung in Hinblick auf Unternehmensstrategie, Image und Bezugsgruppen, zu denen auch Kunden, der Gesetzgeber und Aufsichtsbehörden gehören. Beispielhaft veranschaulichen lässt sich dies durch den Schaden, der entsteht, wenn eine Leistung nicht mehr erbracht, oder ein Produkt nicht mehr hergestellt werden kann. Das auslösende Ereignis, d. h. die Ursache hierfür spielt bei der BIA keine Rolle.

Bei der Ermittlung des Business Impacts und für eine effiziente Vorgehensweise hilfreich sind die Zahlen aus den verschiedenen Controlling-Bereichen. So sind z. B. Umsatz, Wertschöpfungsbeitrag und Stückzahl sowie der Deckungsbeitrag je Kunde bzw. Kundengruppe bekannt. Wer die Pareto-Regel anwendet, erkennt oftmals Relationen, z. B. dass rund 80% des Deckungsbeitrags von ca. 20% der Produkte bzw. Services oder der Kunden kommen. So lässt sich mittels der BIA das Kerngeschäft identifizieren, das für das Unternehmen ertragsstark und damit kritisch ist.

Gegenüber dem Business Impact ergeben sich die Risiken anhand konkreter Bedrohungen. Ermittelt werden sie in der Risikoanalyse. Auch hier wird betrachtet, welcher Schaden in welcher Höhe entsteht, jedoch bezogen auf eine konkrete Bedrohung, d. h. Ursache. Zur Herstellung der Vergleichbarkeit der Risikowerte, die in der Risikoanalyse ermittelt werden, sollte dabei unterschieden werden zwischen Brutto- und Nettorisiko [1]. Da Unternehmen über ein Risikomanagement verfügen, liegt es nahe, darauf aufzubauen. Doch macht die Risikoanalyse die BIA verzichtbar?

Trotz Risikoanalyse ist die BIA üblicherweise erforderlich. Andernfalls bleiben die Auswirkungen von Bedrohungen, die noch nicht auftraten, nicht bekannt sind, nicht im Fokus liegen oder eine sehr kleine Eintrittswahrscheinlichkeit haben, außen vor. Da die Eintrittswahrscheinlichkeit von Ereignissen jedoch meist retrospektiv ist und Ereignisse erstmals oder trotz äußerst geringer Eintrittswahrscheinlichkeit sehr zeitnah auftreten können, hilft die BIA, den Blick auf den Schutzbedarf und die Folgen eines Ausfalls zu richten – unabhängig von der konkreten Ursache. Zudem beinhaltet die BIA bzw. sollte beinhalten den zeitlichen Verlauf der Folgen sowie die Erhebung von Abhängigkeiten, d. h. eines Teils des Interdependenznetzes [1]. Außerdem müssen im Rahmen der BIA und beim BCM Sicherheitsaspekte mit betrachtet werden.

 

Literatur:

[1] Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010

4 Responses

  1. K-R Mueller

    Dass dieser Artikel zu Kommentaren anregt, freut mich.

    Um Missverständnissen vorzubeugen, möchte ich Folgendes anmerken:

    In dem Artikel kann ich nicht erkennen, dass in ihm – wie im Kommentar von Herrn Hübert behauptet wird – z. B. postuliert wird, dass sich Geschäftsprozesse “aussschließlich der Bereitstellung einer spezifischen Leistung widmen und bei anderen Leistungen nicht benötigt werden”. Zudem lässt die Erwähnung des Interdependenznetzes in dem Artikel diesen Schluss nach meinem Verständnis erst recht nicht zu.

    Der Artikel spricht sich auch nicht dagegen aus, dass “nahezu alle Prozesse eines Unternehmens für die Bereitstellung wichtiger Dienstleistungen zumindest mittelbar erforderlich sind.” Denn andernfalls wären sie ja überflüssig. Die entscheidende Frage ist jedoch, inwieweit und in welchem Umfang sie in einem Notfall wann erforderlich sind. (siehe “zeitabhängiger Schutzbedarf”)

    Die Aussage im Kommentar “Risikoanalyse und BIA sind sogar im BCM-Lifecycle Konzept zwei verschiedene Aufgabenstellungen” bestätigt nach meinem Verständnis die Ausführungen des Artikels.

  2. Profilbild von Matthias HämmerleMatthias Hämmerle

    Zum Kommentar von Rainer Hübert möchte ich anmerken:
    die Unterscheidung von kritischen und nicht kritischen Prozesse im Rahmen des BCM ist sehr wohl möglich. Es lassen sich hierfür messbare Kriterien wie Wertschöpfungsbeitrag bzw. finanzieller Impact, regulatorische Notwendigkeit oder Auswirkungen auf Image und Reputation festlegen. Prozesse der Personalentwicklung sind, um nur ein Beispiel zu nennen, von geringerer Zeitkritikalität für die Wiederherstellung als Prozesse des Zahlungsverkehrs in einer Bank. Und darum geht es im BCM in erster Linie: welche der Prozesse des Unternehmens benötige ich mit welcher Dringlichkeit und in welcher Form (Notbetrieb) nach einem Notfall wieder. Dabei gibt es eindeutig Prozesse mit einer hohen Zeitkritikalität und Prozesse mit niedriger Zeitkritikalität. Bei dieser “Hitliste der Prozesse für die Wiederherstellung” sind selbstverständlich Prozessabhängigkeiten zu berücksichtigen.Hierbei gibt es Vorgänger- oder Supportprozesse, die für die Leistungserbringung zwingend auch im Notfall erforderlich sind, oder aber auch nicht. Diese gilt es im Rahmen einer BIA nachvollziehbar zu identifizieren. Zudem wird in einer BIA der Umfang des Notbetriebs identifiziert und festgelegt. Hier geht es um die Frage, welche Personalkapazitäten und Arbeitsplätze werden nach dem Notfall und im Rahmen des Wiederanlaufs für die kritischen Prozesse benötigt. Eine Ableitung der Kritikalität von Prozessen aus dem Leistungen und Produkten eines Unternehmens ist ebenfalls grundsätzlich (!) möglich. Für Produktionsunternehmen mit Produktionslinien ist dies allerdings deutlich transparenter als für Dienstleistungsunternehmen. Ein produktionsunternehmen wird nach einem Notfall entscheiden, welche Produktionslinie mit welcher Priorität wieder aufgenommen wird und ob Produkte zunächst ganz aus dem Programm genommen werden. Hierfür gibt es praktische Beispiele, in denen ich in meinen Vorträgen berichte (Bsp. BCM-Fallstudie “Hansgrohe”). Den Produktkatalog für ein Finanzdienstleistungsunternehmen zu erstellen ist schon eine Herausforderung an sich und führt oftmals zu umfänglichen und nicht überschneidungsfreien Produktkatalogen, mit denen eine solche Ableitung für Prozesse tatsächlich nicht möglich ist. Der Weg direkt über die Geschäftsprozesse / Wertschöpfungsketten ist dann zielführender und stabiler, da sich Geschäftsprozesse weniger oft ändern als Produktkataloge.

  3. Rainer Hübert

    Dieser Text geht aus von der Annahme, dass es Geschäftsprozesse im Unternehmen gibt, die sich aussschließlich der Bereitstellung einer spezifischen Leistung widmen und bei anderen Leistungen nicht benötigt werden, und dass diese Beziehung eineindeutig ermittelt werden kann. Dies trifft im Ausnahmefall für einzelne Produktionsprozesse zu, aber im Allgemeinen sind alle Prozesse in einem Unternehmen miteinander verwoben und mehr oder weniger an allen Leistungsbereitstellungen beteiligt.

    Aus diesem Grund ist der Rückschluss von „wichtigen“ Leistungen und Produkte auf „kritische“ Prozesse irreführend, da – mit wenigen Ausnahmen im unmittelbaren Produktionsumfeld – nahezu alle Prozesse eines Unternehmens für die Bereitstellung wichtiger Dienstleistungen zumindest mittelbar erforderlich sind.

    Die Bedeutung (und damit die Kritikalität) einer Leistung oder eines Produktes für ein Unternehmen lässt sich im Rahmen einer ABC-Analyse einfach ermitteln. Das ist gängige Praxis in Marketing- und Controllingabteilungen. Es lässt sich daraus aber kein Rückschluss auf die Kritikalität der mit dieser Leistungserbringung verbundenen Prozesse ziehen, da eine diskriminierende Ableitung von kritischen und nicht-kritischen Prozessen aus der ABC-Analyse von Leistungen und Produkten nicht möglich ist. Auch umgekehrt unterscheiden Prozesse nicht zwischen kritischen und unkritischen Leistungen, für die sie erbracht werden.

    Risikoanalyse und BIA sind sogar im BCM-Lifecycle Konzept zwei verschiedene Aufgabenstellungen. Sie ergänzen einander, aber können und sollen sich nicht gegenseitig ersetzen. Die Risikonanalyse hat Risiken zum Gegenstand, die BIA Kritikalitäten. Das sind zwei völlig unterschiedliche Dinge, die natürlich auch völlig unterschiedliche Werkzeuge zu deren Ermittlung, Betrachtung und Analyse erfordern. Im sogenannten All-Hazard Ansatz wird international die Bedeutung einer Risikoanalyse für das Business Continuity sowieso schon zunehmend relativiert.

  4. T Schildbach

    Ich stimme vielleicht einigen Aussagen nicht unbedingt zu, allerdings finde ich den Ansatz wertvoll. Was will oder soll die BIA, welche Daten sind “sammelwert”, welche Synergien gibt es mit anderen Disziplinen, was ist der Geschaeftswert und die Verbindung dazu.
    Diese Fragen werden u.U. nicht gestellt und entsprechend das Einsammeln von Daten nicht zeitlich und mengenmaessig nicht optimiert. Das Ergebnis koennte eine wenig effektive und effiziente BIA sein, deren Datenmenge und Qualitaet sich nur bedingt zur Motivation der Folgeschritte und Beteiligten eignet.

Schreibe einen Kommentar

Zur Werkzeugleiste springen