KPI

Key Performance Indicators (KPI) f├╝r das BCM. Wie misst man den Reifegrad und die Funktionsf├Ąhigkeit des Business Continuity Managements?

Der Reifegrad eines Business Continuity Management Systems l├Ąsst sich gut anhand der einzelnen Phasen des BCM Lifecycle messen. F├╝r jede Phase kann der Reifegrad mittels Pr├╝ffragen erhoben und zum Beisiel in Form des Capability Maturity Model (CMM) in f├╝nf┬áReifegraden abgebildet werden (1- initial; incomplete; 2 – managed; 3 – defined; 4- quantitatively managed; 5- Optimizing).

Beispiele f├╝r Fragen zum Reifegrad:

  • Policy und Programm-Management
    • gibt es eine vom Vorstand unterschriebene Policy?
    • gibt es definierte Verantwortlichkeiten f├╝r das BCM?
    • sind┬áausreichend Budget und Ressourcen f├╝r das BCM verf├╝gbar?
    • Werden Gesetze, Normen, Standards, vertragliche Anforderungen ber├╝cksichtigt?
  • Einbettung in das Unternehmen
    • werden die Anforderungen des BCM bei Entscheidungen ber├╝cksichtigt?
    • Ist den Mitarbeitern mit einer Rolle ┬áim BCM diese bekannt?
  • Analyse
    • Werden die kritischen Gesch├Ąftsprozesse in Form einer BIA ermittelt?
    • Wird die BIA regelm├Ą├čig aktualisiert?
    • Werden die kritischen Prozess-Ressourcen erhoben?
  • Design
    • Gibt es Notfallkonzepte f├╝r die BCM-Szenarien?
    • Gibt es Notfallplanungen f├╝r die kritischen Prozesse und deren Ressourcen?
  • Implementierung
    • Sind die Ma├čnahmen zur Notfallvorsorge umgesetzt und funktionsf├Ąhig?
  • Validierung
    • Finden regelm├Ą├čig Tests und ├ťbungen statt?
    • Werden die Erkenntnisse aus Test und ├ťbungen f├╝r korrigierende Ma├čnahmen verwendet?

Die Funktionsf├Ąhigkeit der Notfallvorsorgema├čnahmen im BCM lassen sich nur durch Ernstf├Ąlle (nicht angestrebt) und ersatzweise durch Tests und ├ťbungen validieren. Hierf├╝r steht die Phase “Validierung” im BCM Lifecycle.

Bei Tests und ├ťbungen wird ermittelt

  • ob die Notfallkonzepte geeignet sind (Bsp. Erreichbarkeit Ausweich-Arbeitspl├Ątze)
  • angestrebte Wiederanlaufzeiten erreicht werden (Vergleich RTO gegen Ist-Zeiten f├╝r Prozesse und Ressourcen, isb. IT)
  • die Notfallpl├Ąne richtig und ausreichend und zweckm├Ą├čig sind
  • die Erreichbarkeit im Rahmen der Alarmierung funktioniert