Business Impact Analyse (BIA) und BCM Strategie

Die zunehmend komplexer werdenden Prozesse in den Unternehmen lassen diese zwar oftmals effizienter, dafür aber auch anfälliger für Störungen werden. Dies gilt insbesondere für IT-gestützte Prozesse, aber auch für hochgradig vernetzte Produktions- und Steuerungsprozesse. Laut der letzten BSI-Studie zum Thema Cyberkriminalität waren 2016/2017 ca. 2/3 aller befragten Unternehmen von Hackerangriffen betroffen. Bei der Hälfte dieser Angriffe waren die Angreifer erfolgreich und jede zweite dieser gelungenen Attacken führte zu Produktions- und Betriebsausfällen. Allein hieraus wird deutlich, wie wichtig ein funktionierendes Business Continuity Management wie auch Krisenmanagement für die Fortführung der Betriebsprozesse sind.

Ein wesentlicher Knackpunkt bei der Einführung oder Weiterentwicklung eines Business Continuity Management-Systems ist die Durchführung einer praktikablen Business Impact Analyse. Darauf aufbauend lässt sich eine BCM-Strategie ableiten, die dann im Unternehmen umgesetzt werden kann. Dabei kommt es jedoch oftmals zu Widerständen und einer fehlenden Motivation, die es mit Methoden des Veränderungsmanagements zu lösen gilt. Nur so kann eine nachhaltige Akzeptanz für das Gesamtthema im Unternehmen erzielt werden.

In diesem Vertiefungsseminar mit Workshopcharakter liegt der Schwerpunkt deshalb stärker auf der konkreten Umsetzung im Unternehmen. Unter Berücksichtigung des ISO-Standards 22301 werden die Themen detailliert betrachtet und in praktischen Übungen erarbeitet.

Zielgruppe:
Das Seminar richtet sich sowohl an die TeilnehmerInnen des Zertifikatslehrgangs Business Continuity Professional, BdSI sowie an Führungskräfte und Verantwortliche, wie z.B. BCM-Manager, Unternehmens- und Sicherheitsberater, Risikomanager, Koordinatoren und Projektverantwortliche sowie interne und externe Auditoren mit Bezug zum Business Continuity Management, Risiko- und Krisenmanagement.

Business Impact Analyse (BIA) & BCM Strategie

Die Business Impact Analyse sowie die BCM-Strategie werden in ihren wichtigsten Grundzügen und auf Basis internationaler Standards und Good Practices des Business Continuity Institute (BCI) bereits im Rahmen des Zertifikatslehrgangs “Business Continuity Professional, BdSI” vermittelt.

In diesem Vertiefungsseminar liegt der Schwerpunkt noch stärker auf einer bestmöglichen Umsetzung im Unternehmen. Unter Berücksichtigung des ISO-Standards 22317 für die Business Impact Analyse werden die beiden wichtigen Themenkreise von unserem Referenten detailliert betrachtet und von den Teilnehmern in zahlreichen praktischen Übungen mit erarbeitet.

Zielgruppe:
Das Seminar richtet sich sowohl an die TeilnehmerInnen des Zertifikatslehrgangs “Business Continuity Professional, BdSI” sowie an Führungskräfte und Verantwortliche, wie z.B. BCM-Manager, Unternehmens- und Sicherheitsberater, Risikomanager, Koordinatoren und Projektverantwortliche sowie interne und externe Auditoren mit Bezug zum Business Continuity Management, Risiko- und Krisenmanagement.

Ermittlung der finanziellen Folgeschäden in der BIA – Herausforderungen und Lösungsansätze

Ermittlung von Folgeschäden in der Business Impact Analyse
Die Ermittlung der finanziellen Folgewirkungen des Ausfalls von Geschäftsprozessen ist ein elementarer Bestandteil der Business Impact Analyse (BIA) im Business Continuity Management (BCM).
Die Impact-Analyse – Folgeschadenabschätzung – dient dazu, Geschäftsprozesse abhängig von den jeweiligen Schadensfolgen bei einem Ausfall für die Wiederherstellung zu priorisieren. Hierdurch sollen monetäre und nicht-monetäre Schäden durch Geschäftsprozessunterbrechungen minmiert werden. Neben den finanziellen Folgeschäden zählen zu den betrachteten Schadenskategorien beispielhaft

• Verstöße gegen rechtliche und regulatorische Anforderungen

• Bruch vertraglicher Vereinbarungen

• Image- und Reputationsschäden

• Verlust der Steuerungsfähigkeit

• Beeinträchtigung von Safety und Security.

Die Ermittlung der finanziellen Folgeschäden durch die Unterbrechung von Geschäftsprozessen zählt regelmäßig zu einer der größten Herausforderungen bei der Durchführung der BIA. Die Fachbereiche tun sich schwer in der Ermittlung dieser monetären Größe. Dies liegt zum Einen daran, daß sich der finanzielle Impact über den Zeitablauf einer Prozessunterbrechung gar nicht so einfach ermitteln lässt. Die Betrachtung eines Notfall-Szenarios ist sehr abstrakt und gehört nicht zum normalen Denkmuster. Welche Annahmen sollen getroffen werden hinsichtlich, Zeitpunkt, Umfang und Rahmenbedingungen des Notfalls? Die Schadensfolgen des Ausfalls eines Wertpapierhandelsprozesses in einem stabilen Marktumfeld sehen beispielsweise völlig anders aus, als in einem volatilen oder gar chaotischen Markt. Weiterhin gibt es viele produktspezifische Fragestellungen wie zum Beispiel der Umgang mit Verträgen, die im ersten Jahr zu Anfangsverlusten führen – zum Beispiel durch Vertriebsaufwände – und erst in den Folgejahren Erträge für das Unternehmen erzielen. Wie soll der finanzielle Impact für diese Deckungsbeitragsverläufe kalkuliert werden – zum Teil über Laufzeiten von mehreren Jahrzehnten? Eine Prozessunterbrechung würde in diesem Falle bei einer Betrachtungperiode von 12 Monaten gar zu Gewinnen führen und der Geschäftsprozess nicht wiederhergestellt werden.
Zum Anderen erweckt die Festlegung monetärer Folgeschäden, vielleicht noch mit Nachkommastellen versehen, eine Genauigkeit, die in dieser Form gar nicht erreicht werden kann – und auch nicht benötigt wird. Dieser vermeintliche Anspruch an Genauigkeit in der Darstellung verunsichert die Fachbereiche zusätzlich. Dies gilt insbesondere für die Fachbereiche, die es gewohnt sind zahlenbasiert mit einer hohen Genauigkeit zu arbeiten (Bsp. Controlling und Rechnungswesen).

Welchen Anforderungen muss die Ermittlung des finanzieller Impacts genügen?

• um die Vergleichbarkeit von Impact-Bewertungen über die Prozesse sicherzustellen, muss der Impact für alle Prozesse nach identischen Prämissen und Verfahren bewertet werden (zum Beispiel die Berücksichtigung und finanzielle Bewertung von Personalausfallkosten bei einer Prozessunterbrechung)

• Die Prämissen müssen im Vorfeld der BIA möglichst exakt definiert werden (worst case- Betrachtung, Kunden- und Marktumfeld, zu berücksichtigende Kosten und Erträge, Umgang mit Opportunitätskosten)

• Fachbereiche müssen auf Basis dieser Prämissen die finanziellen Folgeschäden möglichst einfach ermitteln können

• Das Ergebnis der Schadensermittlung muss plausibel und nachvollziehbar (auch für Dritte) sein

• Für Geschäftsprozesse, die unterstützend wirken, muss ein Verfahren zur Vererbung der Schadenswirkungen festgelegt werden.

Wie sind diese Anforderungen zu erreichen?
Der größte Erfolgsfaktor für qualitativ hochwertige BIA-Ergebnisse liegt in einer guten Vorbereitung und Konfiguration der BIA. Die Prämissen für Bewertungen müssen eindeutig festgelegt und für die Durchführung der BIA dokumentiert werden. Für die Ermittlung des finanziellen Impacts ist eine Auseinandersetzung mit den betriebswirtschaftlichen Eckdaten des Unternehmens zwingend notwendig. Mengengerüste zu den Produkten und Services, Kosten- und Ertragsstrukturen sowie Deckungsbeitragsverläufe einzelner Produktkategorien und Services sind die Grundlage zur Ermittlung finanzieller Impacts. Ideal wäre natürlich eine Prozesskostenrechnung – leider immer noch häufiger Vision als Realität. Jetzt ist der Wirtschaftswissenschaftler im Business Continuity Manager gefordert! Aber wir sind ja vielseitig aufgestellt.
Der Geschäftsbericht ist ein zunächst ein guter Ausgangspunkt für diese betriebswirtschaftliche Analyse. Wichtige Eckdaten finden sich in Bilanz und Gewinn- und Verlustrechnung sowie Anhang. Der Schlüssel zu einer guten BIA ist jedoch die interdisziplinäre Zusammenarbeit mit dem Risikomanagement und Controlling, geht es doch um nichts Anderes als die Durchführung von Stresstests für den Ausfall von Produkten und Services. Beiden genannten Disziplinen ist die Durchführung von Stresstests nicht fremd. Wahrscheinlich liegen bereits viele Zahlen für die BIA-spezifischen Stresstests vor und können wiederverwendet werden.
Mit den Spezialisten kann die Frage beantwortet werden, welche finanzielle Schäden dem Unternehmen beim Ausfall eines Produkts oder Services drohen und welche Prämissen für die Ermittlung definiert werden müssen.
Diese vorgefertigten Kalkulationsmodelle sind dann Grundlage für die konkrete Ermittlung der finanziellen Folgeschäden durch die Prozessverantwortlichen. Im Idealfall kann die Ermittlung des finanziellen Impacts so weit vorkonfiguriert werden, dass die Zuordnung der Produkte und Services zum Geschäftsprozess für die Kalkulation der finanziellen Schäden ausreichend ist. Auch die konsistente Bewertung über alle Prozesse ist so gewährleistet und das zentrale Kalkulationsmodell kann bei Bedarf aktualisiert und erweitert werden, ohne erneut eine komplette BIA mit den Fachbereichen durchführen zu müssen. Für unterstützende Geschäftsprozesse erfolgt die Ermittlung der Schadensgrößen dann mittels Vererbung über die identifizierten Prozessabhängigkeiten.
Dieses Vorgehen führt zu einem erhöhten Aufwand in der Vorbereitungsphase und Konfiguration der BIA. Lohn der Mühe ist jedoch eine einfachere und konsistente Ermittlung in der BIA-Erhebung mit den Fachbereichen und die Option einer ständigen Optimierung und Verbesserung der Kalkulationsgrundlage.

Die (un-)heimliche IT

Es war einmal eine Zeit, da hatte der IT-Bereich die absolute Hoheit über die IT-Landschaft. Es gab einen Mainframe und nur Softwareentwickler waren in der Lage, IT-Anwendungen auf dem Host zu erstellen. Dann kam der Personal Computer und mit dem PC die zunehmend intelligenter werdenden Office-Anwendungen. Anwender konnten jetzt selbst mittels Datenbanken und Tabellenprogrammen Daten verarbeiten. Die individuelle Datenverarbeitung IDV war geboren. Segen und Fluch zugleich. Die Fachbereiche können mit Hilfe der IDV schnell und pragmatisch IT-Anforderungen umsetzen, wenn zum Beispiel der IT-Bereich zu langsam, unflexibel oder zu teuer ist. Mancher Mitarbeiter setzt seine IT-Kenntnisse in komplexen Excel- und Access-Programmen um, die der Komplexität von IT-Anwendungen gleichkommen. Pragmatismus und Schnelligkeit macht bei IDV natürlich auch aus, dass auf Test, Dokumentation, Versionsführung und Benutzerberechtigungen verzichtet wird. Daher ist die IDV sowohl der IT als auch mittlerweile Prüfern und Aufsichtsbehörden ein Dorn im Auge. Zu dieser “Schatten-IT” kam in den vergangenen Jahren das Internet hinzu. Fachbereiche können selbständig, ohne den IT-Bereich einzubinden, IT-Anwendungen als Web-Anwendungen nutzen. Zudem stehen für die Datenspeicherung und den Datenaustausch zahlreiche webbasierte Lösungen wie das beliebte Dropbox zur Verfügung. Das mag im privaten Bereich komfortabel und günstig sein. Doch für Unternehmen entsteht aus dieser “Schatten-IT” ein beträchtliches Risiko. Das Risiko aus dieser “Schatten-IT” kann nicht eingeschätzt und daher auch nicht gegen Datenverlust und Ausfall abgesichert werden. Vertraulichkeit, Integrität und Verfügbarkeit können für IDV, Web-Anwendungen, Cloud-Speicherdienste sowie Kommunikations- und Dateitransferdienste nicht gewährleistet werden.

An dieser Stelle kommt die Business Impact Analyse (BIA) und die Schutzbedarfsanalyse (SBA) ins Spiel. In beiden Analysen werden die IT-Anwendungen für die Geschäftsprozesse in den Fachbereichen erhoben. Eine einmalige Chance, Licht ins Dunkel zu bringen. Ziel muss es sein, zunächst eine Bestandsaufnahme der IDV und Web-Anwendungen zu machen. Business Impact Analyse und Schutzbedarfsanalyse eröffnen einen Zugang zu diesen Themen in die Fachbereiche, ohne gleich die Keule der Revision oder Aufsicht schwingen zu müssen. Denn Ziel der BIA ist die Absicherung der  Geschäftsprozesse. Die BIA und Schutzbedarfsanalyse eröffnen so einen Weg IDV- und Web-Anwendungen aufzunehmen und diese Anwendungen hinsichtlich der Risiken für die Verfügbarkeit, Vertraulichkeit und Integrität zu kategorisieren. Auch bereits bestehende Sicherheitsmaßnahmen wie Zugriffs- und Datensicherungen, Versionierung und Plausibilisierung sollten in der Analyse mit aufgenommen werden. Diese Aufnahme aus der BIA und SBA ist die Grundlage für eine risikoorientierte  Entwicklung von Maßnahmen zur Absicherung oder Ablösung der Schatten-IT. Den Fachbereichen müssen durch die IT Lösungen an die Hand gegeben werden, die Funktionalitäten sicherzustellen aber auch gleichzeitig den umfangreichen Compliance-Anforderungen genügen.

Dies können zum Beispiel sein

  • Integration der Funktionalitäten in bestehende Standard-Anwendungen
  • Ablösung von IDV durch IT-Anwendungen und Schnittstellenprogramme
  • Geschlossene Unternehmens Cloud Lösungen
  • Sichere Dateitransfer- und Kommunikationslösungen
  • Geregelter Einkauf von Web-Anwendungen über Einkauf und IT.

Auch wenn Prüfer und Aufsicht die Schatten-IT gerne sofort abgeschafft sehen, ist doch die Umsetzung dieses Ziels oft nur schrittweise möglich. Ein wichtiger Baustein hierbei sollten Business Impact- und Schutzbedarfsanalyse sein. Sie ermöglichen einen risikoorientierten Ansatz zur Beherrschung der “Schatten-IT”. Auch hier zeigt sich wieder ein Mehrwert des Business Continuity Management über die reine Notfallvorsorge hinaus.

Business Impact – und Schutzbedarfsanalyse – Gemeinsamkeiten und Unterschiede

„Gemeinsamkeiten sucht man nicht, Gemeinsamkeiten schafft man sich“
Manfred Hinrich, deutscher Philosoph 1926-2015

1. Einleitung

Business Impact Analyse (BIA) im Business Continuity Management und Schutzbedarfsanalyse (SBA) in der Informationssicherheit weisen große Parallelen auf. Oftmals werden beide Analysen unabhängig voneinander durchgeführt und Chancen für Synergieeffekte vergeben sowie wichtige methodische Abstimmungen nicht durchgeführt. Die Ursache ist häufig die unterschiedliche Verantwortlichkeit der BIA im BCM und der SBA in der Informationssicherheit. In diesem Beitrag sollen Gemeinsamkeiten und Unterschiede der beiden Analysen dargestellt und Chancen durch eine konzeptionelle und zeitliche Abstimmung aufgezeigt werden.

2. Die Business Impact Analyse im Business Continuity Management

Im Rahmen der Business Impact Analyse (BIA) im Lebenszyklus des Business Continuity Management (BCM) werden die (zeit-) kritischen Geschäftsprozesse des Unternehmens identifiziert. Für die kritischen Geschäftsprozesse werden die erforderlichen Ressourcen identifiziert. Zu diesen Ressourcen zählen die Mitarbeiter mit entsprechendem Know How und Kapazitäten, IT-Anwendungen, Gebäude und Arbeitsplätze, Produktionsanlagen sowie Dokumente und Dienstleister. Für die kritischen Prozesse und deren Ressourcen werden die zeitlichen und kapazitativen Anforderungen an die Wiederherstellung im Notfall festgelegt. Die Anforderungen an die Wiederherstellung werden in der Folge von den Geschäftsprozessen auf die Prozess-Ressourcen vererbt. Die Business Impact Analyse wird auf der Basis von Templates oder BCM-Tools durch die Fachbereiche erhoben. Die Business Impact Analyse ist Grundlage für die BCM-Phasen „BCM-Strategien“, „BCM-Planung“ sowie „Tests und Übungen“ im BCM-Lebenszyklus.

Das Vorgehen für die BIA ist in den Standards ISO 22301:2012 oder BSI 100-4 definiert.

Auf Basis der Ergebnisse der BIA werden im IT Service Continuity Management (ITSCM) die Verfügbarkeitsanforderungen für IT-Anwendungen, IT-Systeme, Middleware, Netzwerke und -komponenten sowie IT-Infrastrukturkomponenten abgeleitet und umgesetzt. Hierzu zählen Disaster Recovery Konzepte und -pläne für IT-Services und -systeme.

Das Vorgehen für das ITSCM ist in den Standards ITIL (IT Infrastructure Library) sowie ISO 27031:2011 definiert.

3. Die Schutzbedarfsanalyse im Informationssicherheitsmanagement

Im Rahmen der Schutzbedarfsanalyse (SBA) im Informationssicherheitsmanagement wird der Schutzbedarf für die Schutzbedarfsziele Integrität, Vertraulichkeit und Authentizität für Daten, Dokumente und IT-Anwendungen ermittelt. Der ermittelte Schutzbedarf für die Informationswerte wird von den IT-Anwendungen auf die dahinter liegenden IT-Systeme, Netzwerke und -komponenten vererbt. Grundlage für die Vererbung ist die Strukturanalyse der IT-Architektur mit der Identifikation und Gruppierung der IT-Informationswerte.

Die Schutzbedarfsanalyse wird auf der Basis von Templates oder ISMS-Tools durch das Informationssicherheitsmanagement  in den Fachbereichen erhoben.

Auf Grundlage der festgelegten Schutzbedarfe für die Informationswerte werden Maßnahmen zum Schutz der Vertraulichkeit und Integrität festgelegt und umgesetzt. Dies können zum Beispiel Maßnahmen zur Verschlüsselung der Daten bei der Speicherung und dem Transport oder Berechtigungssysteme für den Zugriff auf Anwendungen und Daten sein.

Das Vorgehen zur Schutzbedarfsanalyse ist im ISO-Standard ISO 27001:2015 sowie den BSI-Standards und Grundschutzkatalogen definiert.

4. Gemeinsamkeiten und Unterschiede von BIA und SBA

Gemeinsamkeiten und Unterschiede gibt es bei BIA und SBA sowohl inhaltlich als auch im Vorgehen. Durch die Gegenüberstellung der beiden Methoden können Synergieeffekte in der Durchführung identifiziert sowie methodische Brüche vermieden werden.

BIA und SBA

Sowohl die BIA als auch die SBA basieren auf den Geschäftsprozessen mit den zugeordneten Prozess-Ressourcen. Eine Prozessdokumentation mit diesen Informationen erleichtert und beschleunigt die Durchführung sowohl der BIA als auch der SBA erheblich und stellt sicher, dass die Ergebnisse nahtlos aneinander passen. Unterschiedliche Betrachtungsebenen der Geschäftsprozesse oder einfach nur unterschiedliche Benennungen der gleichen Informationswerte (Bsp. Verschiedene Namen für die gleiche IT-Anwendung) machen eine Zusammenführung der Ergebnisse von BIA und SBA aufwändig. Denn am Ende müssen alle Schutzziele für die Informationswerte durch Maßnahmen erfüllt werden. Ideal ist ein gemeinsames Repository mit den Informationen zu Geschäftsprozessen und deren Ressourcen – das immer aktuell gepflegt ist. Auf dieses Prozess-Repository können dann Informationssicherheit, Business Continuity Management aber auch die Revision, das Interne Kontrollsystem IKS und andere Nutzer zugreifen. Eigentlich ist dies seit den Veröffentlichungen von Prof. A.W. Scheer zur Architektur Integrierter Informationssysteme ein alter Hut, doch in vielen Unternehmen nach wie vor eher Wunsch als Wirklichkeit. Obwohl diese Grundlagenarbeit ein lohnenswertes Unterfangen ist. Im schlimmsten Fall – und diesen habe ich bereits mehrfach erlebt – definiert jede dieser Disziplinen sein eigenes Prozessmodell für sich. Selbstredend, dass diese nicht zusammenpassen.

Identisch ist neben dieser Informationsbasis auch die Vorgehensweise zur Erhebung der Informationen in den Fachbereichen. Mittels Templates oder einer toolbasierten Erhebung werden die Daten für die BIA und die SBA in den Fachbereichen erhoben. Gerade in dieser Erhebungsphase lassen sich große Synergien heben. Zweifach auf die Fachbereiche zuzugehen bedeutet doppelter Aufwand auf Fachbereichseite – der Engpass schlechthin für BIA und SBA. Also, warum nicht BIA und SBA in der Erhebung zusammenlegen und nur einmal auf die Fachbereiche zugehen? Zumal für die Fachbereiche die Unterschiede zwischen BIA und SBA nicht erheblich sind. Sie verstehen nur nicht, warum man mit so ähnlichen Fragestellungen zwei Mal auf sie zukommt und Mitarbeiter mit wertvoller Zeit in Anspruch nimmt. Eine Zusammenlegung der Erhebung von BIA und SBA hat zudem den Vorteil, dass die Informationen für die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität zur gleichen Zeit vorliegen. Maßnahmen können so aufeinander abgestimmt auf- und umgesetzt werden. Die Ergebnisse können nahtlos zusammengeführt werden.

Es gibt zahlreiche Gemeinsamkeiten zwischen Business Impact Analyse und Schutzbedarfsanalyse.

Aus meiner Sicht sprechen die Argumente daher für eine methodische und zeitliche Zusammenführung von Business Impact Analyse und Schutzbedarfsanalyse. Voraussetzung ist eine Verabschiedung vom Silo-Denken und die enge Abstimmung der Methoden und Verfahren zwischen BCM, Informationssicherheitsmanagement und ITSCM.

Ich freue mich auf Ihre Erfahrungen und Kommentare

Be prepared

Matthias Hämmerle

Implementierung von Business Continuity Management bei begrenzten Ressourcen

Viele Unternehmen schrecken vor der Implementierung von Business Continuity Management zurück, weil sie die Ressourcen für ein solches Vorhaben nicht einsetzen können oder wollen. Die Implementierung eines vollumfänglichen Business Continuity Management ist auch tatsächlich ein Vorhaben, das bei der Implementierung und dem Betrieb erhebliche personelle und finanzielle Ressourcen binden kann. Aus diesem Grund auf die Implementierung eines BCM ganz zu verzichten, ist jedoch eine falsche und gefährliche Entscheidung. Die Geschäftsleitung verstößt damit im Übrigen auch gegen gesetzliche Vorgaben für das Risikomanagement aus dem Aktiengesetz und GmbHG. Auch Kunden fordern zunehmend bei Vertragsabschluss eine Notfallvorsorge und ein Krisenmanagement. “Doing the right things”, ist  ein wichtiger betriebswirtschaftlicher Grundsatz für die Effektivität des Handelns. Übertragen auf die Implementierung von BCM bedeutet dies, mit begrenzten Ressourcen die größtmögliche Wirkung zu erzielen. Hierzu müssen die geschäftskritischen Produkte und Prozesse des Unternehmens identifiziert werden. In der strategischen BIA erfolgt dies aus einer Top-Level-Sicht des Unternehmens:

  • welches sind die Produkte und Services des Unternehmens, die nicht unterbrochen werden dürfen?
  • welches sind die Kunden, deren Versorgung die höchste Priorität haben?
  • welches sind die kritischen Geschäftsprozesse zur Erstellung dieser Produkte und Services?
  • Welches sind die kritischen IT-Anwendungen,  Dienstleister und weitere Ressourcen, die zur Erstellung dieser Services benötigt werden?

Diese Fragen werden in einem Workshop mit der Geschäftsleitung geklärt. Die Festlegungen hieraus legen den Scope des BCM fest. Durch die Konzentration auf “bestandsgefährdende” Produkte und Prozesse kann der Scope für das BCM im ersten Schritt sehr eng gezogen werden. Durch die nachfolgende taktische und operative BIA wird diese strategische BIA verprobt und vertieft.

Durch die “Konzentration auf das Wesentliche” kann auch mit begrenzten Ressourcen ein Business Continuity Management implementiert werden. In den weiteren Schritten der Implementierung wird der Scope dann sukzessive erweitert und vertieft. Die Methoden und Verfahren sind hierfür bereits aus der initialen Implementierung erprobt und bewährt. Wichtig ist es, den ersten Schritt zu machen.

Elevator Pitch für die BIA-Ergebnispräsentation

Die vorhergehenden Beiträge im Management-Meeting, in dem Sie die Ergebnisse der Business Impact Analyse vorstellen sollen, haben mal wieder überzogen und Ihnen bleiben  noch fünf Minuten bis das Management unwiderruflich das Notizbuch zuklappt. Geht nicht? Geht doch!

BIA Results

Die Ergebnisse der strategischen und taktischen BIA lassen sich kompakt auf einer Seite darstellen. In einer Darstellungsform, die dem Management geläufig ist. Dies fördert zudem die Akzeptanz und damit auch die Awareness beim Management für unser geliebtes BCM.

In der Kürze liegt die Würze – wie Sie sehen auch bei diesem Beitrag 😉

Sackgasse BIA?!

Sackgasse BIA? – was für eine Frage, wo doch gerade dieser schöne neue ISO-Standard für die BIA veröffentlicht wurde (ISO/TS 22317:2015). Um es gleich vorwegzuschicken, ich gehöre nicht zu der Fraktion, die die BIA als Zeitverschwendung betrachten. Im Gegenteil, ich halte die Business Impact Analyse für die wesentliche Phase im BCM-Lebenszyklus, um die nachfolgenden Phasen Taktik / Strategie, Notfallplanung sowie Tests und Übungen effektiv und effizient durchführen zu können. Ob eine BIA zum Katalysator oder Bremsklotz im BCM-Lebenszyklus wird, entscheidet der Anwender und nicht die BIA selbst. Weiterlesen…

die BIA – wo ist bloß der Beginn des roten Fadens?

Eigentlich könnte man meinen, zur Business Impact Analyse ist alles gesagt und geschrieben. Es gilt also nur noch nach Best Practices mit bewährten Templates an die Arbeit zu gehen. Leider zeigt es sich in vielen Projekten immer wieder, dass es gar nicht so einfach ist, den Beginn des roten Fadens für die BIA zu finden. Ja natürlich, für Geschäftsprozesse soll die BIA gemacht werden. So weit so gut. Was aber, wenn die Geschäftsprozesse gar nicht beschrieben sind oder in einer viel zu hohen Detaillierungsebene. Soll die BIA für alle Prozesse gemacht werden, und wenn nicht, welche Geschäftsprozesse können erst mal – oder vielleicht ganz – außen vor gelassen werden? Die ideale Welt für das BCM gibt es nun mal fast nur in der Theorie und den BCM-Standards. Der größte Fehler ist jetzt jedoch, mit großem Tatendrang einfach einmal mit irgendwelchen Prozessen anzufangen. Leider verbaut man sich mit diesem vermeintlich pragmatischen und ungestümen Vorgehen so manche tolle Chance, die sich aus der BIA ergibt. So zum Beispiel die Abhängigkeitsanalyse zwischen den Prozessen. Sind im Unternehmen keine durchgehenden Wertschöpfungsketten beschrieben, eröffnet gerade die BIA die Chance, sich diesem Ziel ein großes Stück zu nähern. Voraussetzung hierfür ist jedoch,  dass in der BIA für die Geschäftsprozesse Vorgänger- und unterstützende Geschäftsprozesse angegeben werden können. Und hierzu benötigt es eine Liste der Prozesse. Die Prozesse in der Prozessliste sollten sich auf einer vergleichbaren Detaillierungsebene befinden und so benannt und beschrieben sein, dass ein einheitliches Verständnis über die Prozessinhalte und Prozessgrenzen besteht. Um jetzt nicht in ein aufwändiges Prozessmanagement abzugleiten, verbunden vielleicht sogar noch mit einer Toolauswahl für das Prozessmanagement, ist Pragmatismus angesagt. Das Vorgehen kann zum Beispiel darin bestehen, von den potentiell kritischen Fachabteilungen sich die maximal fünf bis zehn wichtigsten Aufgaben nennen zu lassen. Eine kleine Beschreibung der Aufgaben nach dem EVA-Prinzip (Eingabe – Verarbeitung – Ausgabe) definiert die Aufgabeninhalte und Schnittstellen. Diese Aufgaben “mutieren” dann in der BIA zu Prozessketten, indem die jeweiligen Vorgänger- und Unterstützungsaufgaben je Aufgabe abgefragt werden. Und schon ist man den Wertschöpfungsketten ein gutes Stück näher gekommen. Die zusätzliche Arbeit für die Erstellung dieser Aufgabenlisten lohnt sich in jedem Fall. Der Anfang vom Faden für die BIA ist damit gefunden und an diesem lässt es sich jetzt gut weiterhangeln, bis aus dem Faden ein Pullover gestrickt ist. Grobmaschig, aber erst einmal wärmend. Um die Details kann sich jetzt das Prozessmanagement kümmern und im nächsten BIA-Aktualisierungslauf werden die Maschen enger geknüpft. Rom ist auch nicht an einem Tag erschaffen worden – aber es gab ein klares Schnittmuster für den Aufbau der Stadt und der Verkehrswege nach dem vorgegangen wurde.

Die Business Impact Analyse für den Fachbereich IT

Geht man mit der Business Impact Analyse durch die Fachbereiche im Unternehmen landet man früher oder später bei der IT. Dieses “früher oder später” wird zentrales Thema dieses Beitrags sein. Die IT stellt mit den IT-Services wesentliche geschäftskritische Ressourcen für die Geschäftsprozesse zur Erbringung der Produkte und Services. des Unternehmens Auf der anderen Seite ist der Fachbereich IT auch eine Organisationseinheit mit Prozessen und Ressourcen. Weiterlesen…