Ist die Business Impact Analyse Zeitverschwendung?

Die Business Impact Analyse (BIA) gilt bislang als ein zentrales Kernelement im Business Continuity Management und ist Bestandteil aller gängigen BCM-Standards. Trotzdem ist es berechtigt, vermeintliche Selbstverständlichkeiten wie die BIA in Frage zu stellen. Aktuell gibt es international eine starke Diskussion um alternative Ansätze, bei denen auf eine aufwändige BIA verzichtet werden kann. Hierzu gibt es auch eine aktuelle Umfrage auf Continuity Central. Die Überprüfung der Notwendigkeit einer BIA ist eine berechtigtes Fragestellung, bindet doch die BIA einen erheblichen Teil der Zeit und des Aufwands bei der Implementierung und dem Betrieb des BCM. Die in der BIA als kritisch identifizierten Geschäftsprozesse sind selten eine große Überraschung und könnten auch ohne eine aufwändige BIA identifiziert werden.

Vorgehen für die BIA werden im deutschen Standard BSI 100-4, im ISO-Standard ISO 22301 sowie in der technischen Spezifikation ISO 22317 beschrieben. ISO 22317 basiert auf den Good Practice Guidelines des Business Continuity Institute.

Die technische Spezifikation ISO 22317:2015 Guidelines for business impact analysis sieht für die Durchführung der BIA sechs Schritten vor:

  • Projekt-Planung und Management
  • Produkt- und Service-Priorisierung durch das Management
  • Prozess-Priorisierung auf Basis einer Impact Analyse
  • Aktivitäts-Priorisierung  sowie Ressourcen Analyse
  • Analyse und Konsolidierung der BIA-Ergebnisse
  • Abnahme durch das Management.

Die Produkt- und Service Priorisierung erlaubt die Eingrenzung des Umfangs und damit des Aufwands für die BIA, indem durch das Management eine Priorisierung der Produkte und Geschäftsprozesse vorgenommen wird. Dies ist aus meiner Erfahrung ein wichtiger Stellhebel für den Aufwand der BIA, auch wenn es natürlich eine Herausforderung darstellt, das Management für diese Festlegungen abzuholen. Es ist jedoch eine sehr gute Gelegenheit, um Bewusstsein für das BCM beim Management zu schaffen und eine sehr gute Möglichkeit die BIA auf die kritischen Prozesse auszurichten und den Scope angemessen einzugrenzen. Man mag jetzt versucht sein, die nachfolgenden, zugegebenermaßen aufwändigen Schritte der BIA auszulassen und direkt in die Notfallplanung dieser durch das Management als kritisch festgelegten Geschäftsprozesse einzusteigen. Gerade die so schwierig zu bekommende Mitarbeit der Fachbereiche könnte hierdurch auch reduziert werden.

Ich führe gerade zeitgleich mehrere Business Impact Analysen in Kundenprojekten durch und mache mir natürlich auch Gedanken, wo dieser Prozess der BIA vereinfacht werden kann. Auch um schneller in die zentrale Phase der Notfallkonzepte und -planung zu kommen, in der die relevanten Ergebnistypen zur Beherrschung eines Notfalls erzeugt.

Ich komme jedoch immer wieder zur Erkenntnis, dass sich die intensive inhaltliche Beschäftigung mit den Geschäftsprozessen in der BIA lohnt. Die BC Manager haben eine einmalige Gelegenheit, das Geschäft und die Geschäftsprozesse zu verstehen. “Understanding the Business” heißt diese Phase ja nicht zu Unrecht. Auch auf Grund der Betrachtung des finanziellen Impacts musste so manche Erst-Einschätzung der Kritikalität eines Geschäftsprozesses nach oben und unten revidiert werden. Gerade die Abhängigkeits- und Ressourcenanalyse bringt sehr wichtige Erkenntnisse und Details, die für die spätere Notfallplanung erfolgskritisch sind. Ein Beispiel habe ich in meinem Beitrag über die körperlichen Dokumente im Notfallkonzept aufgezeigt. Insgesamt ergibt sich aus den Ergebnissen einer BIA ein gesamthaftes Modell der Wertschöpfungsketten eines Unternehmens, das so in der Regel im Unternehmen noch nicht vorliegt und daher übergreifenden Mehrwert erzeugt. Viele andere Bereiche wie beispielhaft IT, Revision, Risikomanagement und Prozessmanagement können Nutzen aus diesen Daten ziehen und greifen gerne auf diese Daten zu. Die Ergebnisse der BIA dienen so als gemeinsames Repository für die verschiedenen verwandten Disziplinen und ermöglicht eine abgestimmte Vorgehensweise auf gleicher Datenbasis.

Die BIA hat sich aus meiner Erfahrung daher immer gelohnt. Worauf jedoch bei der Umsetzung sehr geachtet werden sollte, ist dass die BIA nicht zum Selbstzweck mutiert und die eigentlichen Ziele nicht aus dem Auge verloren werden. Gerade der finanzielle Impact lädt Zahlen- und Excelbegeisterte gerade dazu ein, komplizierteste Modelle aufzustellen. Aufwand und Nutzen laufen dann ganz schnell auseinander. Das größte Risiko liegt in einer überkomplexeb BIA, die die Fachbereiche verschreckt und den entscheidenden nachfolgenden Phasen der Notfallplanung die Unterstützung und Kapazitäten raubt. BIA ja, aber so einfach und pragmatisch als möglich, dies ist meine Erkenntnis.

Bildquelle: fotolia #157323302 | Urheber: denisismagilov

One Response

    Ein Pingback

    1. BCM-News Daily Digest » Business Continuity Management News

    Schreibe einen Kommentar