KPI

Key Performance Indicators (KPI) fĂŒr das BCM. Wie misst man den Reifegrad und die FunktionsfĂ€higkeit des Business Continuity Managements?

Der Reifegrad eines Business Continuity Management Systems lĂ€sst sich gut anhand der einzelnen Phasen des BCM Lifecycle messen. FĂŒr jede Phase kann der Reifegrad mittels PrĂŒffragen erhoben und zum Beisiel in Form des Capability Maturity Model (CMM) in fĂŒnf Reifegraden abgebildet werden (1- initial; incomplete; 2 – managed; 3 – defined; 4- quantitatively managed; 5- Optimizing).

Beispiele fĂŒr Fragen zum Reifegrad:

  • Policy und Programm-Management
    • gibt es eine vom Vorstand unterschriebene Policy?
    • gibt es definierte Verantwortlichkeiten fĂŒr das BCM?
    • sind ausreichend Budget und Ressourcen fĂŒr das BCM verfĂŒgbar?
    • Werden Gesetze, Normen, Standards, vertragliche Anforderungen berĂŒcksichtigt?
  • Einbettung in das Unternehmen
    • werden die Anforderungen des BCM bei Entscheidungen berĂŒcksichtigt?
    • Ist den Mitarbeitern mit einer Rolle  im BCM diese bekannt?
  • Analyse
    • Werden die kritischen GeschĂ€ftsprozesse in Form einer BIA ermittelt?
    • Wird die BIA regelmĂ€ĂŸig aktualisiert?
    • Werden die kritischen Prozess-Ressourcen erhoben?
  • Design
    • Gibt es Notfallkonzepte fĂŒr die BCM-Szenarien?
    • Gibt es Notfallplanungen fĂŒr die kritischen Prozesse und deren Ressourcen?
  • Implementierung
    • Sind die Maßnahmen zur Notfallvorsorge umgesetzt und funktionsfĂ€hig?
  • Validierung
    • Finden regelmĂ€ĂŸig Tests und Übungen statt?
    • Werden die Erkenntnisse aus Test und Übungen fĂŒr korrigierende Maßnahmen verwendet?

Die FunktionsfĂ€higkeit der Notfallvorsorgemaßnahmen im BCM lassen sich nur durch ErnstfĂ€lle (nicht angestrebt) und ersatzweise durch Tests und Übungen validieren. HierfĂŒr steht die Phase “Validierung” im BCM Lifecycle.

Bei Tests und Übungen wird ermittelt

  • ob die Notfallkonzepte geeignet sind (Bsp. Erreichbarkeit Ausweich-ArbeitsplĂ€tze)
  • angestrebte Wiederanlaufzeiten erreicht werden (Vergleich RTO gegen Ist-Zeiten fĂŒr Prozesse und Ressourcen, isb. IT)
  • die NotfallplĂ€ne richtig und ausreichend und zweckmĂ€ĂŸig sind
  • die Erreichbarkeit im Rahmen der Alarmierung funktioniert