KPI

Key Performance Indicators (KPI) fßr das BCM. Wie misst man den Reifegrad und die Funktionsfähigkeit des Business Continuity Managements?

Der Reifegrad eines Business Continuity Management Systems lässt sich gut anhand der einzelnen Phasen des BCM Lifecycle messen. FĂźr jede Phase kann der Reifegrad mittels PrĂźffragen erhoben und zum Beisiel in Form des Capability Maturity Model (CMM) in fĂźnf Reifegraden abgebildet werden (1- initial; incomplete; 2 – managed; 3 – defined; 4- quantitatively managed; 5- Optimizing).

Beispiele fĂźr Fragen zum Reifegrad:

  • Policy und Programm-Management
    • gibt es eine vom Vorstand unterschriebene Policy?
    • gibt es definierte Verantwortlichkeiten fĂźr das BCM?
    • sind ausreichend Budget und Ressourcen fĂźr das BCM verfĂźgbar?
    • Werden Gesetze, Normen, Standards, vertragliche Anforderungen berĂźcksichtigt?
  • Einbettung in das Unternehmen
    • werden die Anforderungen des BCM bei Entscheidungen berĂźcksichtigt?
    • Ist den Mitarbeitern mit einer Rolle  im BCM diese bekannt?
  • Analyse
    • Werden die kritischen Geschäftsprozesse in Form einer BIA ermittelt?
    • Wird die BIA regelmäßig aktualisiert?
    • Werden die kritischen Prozess-Ressourcen erhoben?
  • Design
    • Gibt es Notfallkonzepte fĂźr die BCM-Szenarien?
    • Gibt es Notfallplanungen fĂźr die kritischen Prozesse und deren Ressourcen?
  • Implementierung
    • Sind die Maßnahmen zur Notfallvorsorge umgesetzt und funktionsfähig?
  • Validierung
    • Finden regelmäßig Tests und Übungen statt?
    • Werden die Erkenntnisse aus Test und Übungen fĂźr korrigierende Maßnahmen verwendet?

Die Funktionsfähigkeit der Notfallvorsorgemaßnahmen im BCM lassen sich nur durch Ernstfälle (nicht angestrebt) und ersatzweise durch Tests und Übungen validieren. HierfĂźr steht die Phase “Validierung” im BCM Lifecycle.

Bei Tests und Übungen wird ermittelt

  • ob die Notfallkonzepte geeignet sind (Bsp. Erreichbarkeit Ausweich-Arbeitsplätze)
  • angestrebte Wiederanlaufzeiten erreicht werden (Vergleich RTO gegen Ist-Zeiten fĂźr Prozesse und Ressourcen, isb. IT)
  • die Notfallpläne richtig und ausreichend und zweckmäßig sind
  • die Erreichbarkeit im Rahmen der Alarmierung funktioniert