Die fünf Showstopper für eine Business Impact Analyse

Die Durchführung der Business Impact Analyse ist die aufwändigste Phase bei der Implementierung eines BCM. Die Fachbereiche müssen eingebunden werden, viele Daten erhoben und dokumentiert werden, Abhängigkeiten analysiert und Entscheidungen getroffen werden. Obwohl dies umfangreiche Aktivitäten sind, sollte eine BIA innerhalb eines überschaubaren und möglichst kurzen Zeitraums abgeschlossen sein. Denn sonst holen die laufenden Änderungen in der Organisation die erreichten Ergebnisse wieder ein. Mit dem Ergebnis, dass das Implementierungsprojekt fortwährend Schleifen in der BIA-Phase dreht und nicht zu den nächsten entscheidenden Phasen Strategie, Planung und Tests kommt. Ein häufiger Grund für endlose BIA-Projekte ist “Verzetteln”, mangelnder Pragmatismus und die leichtfertige Übernahme von Aufgaben.

Fünf häufige Showstopper sind

  1. Der Versuch Prozessmanagement zu betreiben:
    es liegen für die BIA keine dokumentierten Prozesse vor oder das neue Prozessmodell ist seit Jahren in Arbeit. In einem BIA-Projekt wird es nicht gelingen “by the way” Prozessmodellierung mit zu betreiben. Insbesondere, wenn andere Projekte sich daren bereits die Zähne ausgebissen haben. Für die BIA reicht die Definition der Hauptaufgaben je Organisationseinheit aus. Maximal 10 bis 15 je Bereich. Die Abhängigkeiten erheben wir dann im Rahmen der BIA. Wenn das Prozessmodell des Unternehmens dann einmal steht, sollten die beiden Modelle konsolidiert werden.
  2. die Versuchung IT-Architekturmanagement zu betreiben:
    In der BIA benötigen wir die IT-Anwendungsebene, um den Link zwischen den Prozessen / Hauptaufgaben und der IT abzubilden. Schwierig genug eine abgestimmte IT-Anwendungsliste (IT-Services) zu generieren, mit der die Fachabteilungen und die IT leben können. In der BIA geht die Fachabteilung vereinfachend davon aus, dass die IT-Anwendungen / IT-Services voll funktionsfähig zur Verfügung gestellt werden. Das heisst mit den aktuellen und korrekten Daten, den Vor- und Schnittstellenprogrammen, den Batch-Programmen und der IT-Infrastruktur bestehend aus Servern und Netzwerk. Im Rahmen des ITSCM werden die Abhängigkeiten von der Ebene der IT-Anwendungen auf die darunter liegenden Schichten der IT-Architektur abgebildet und Kritikalitäten vererbt.
  3. die Versuchung Risikomanagement zu betreiben:
    Das Risikomanagement ist in vielen Unternehmen bereits etabliert. Im BCM werfen wir mit unserer Brille einen Blick auf die Risiken des Unternehmens, die zu einer Geschäftsunterbrechung führen können. Das Ziel des BCM ist es, Notfallpläne für das Eintreten dieser Risiken zu entwickeln. Die quantitative Sicht auf die Risiken zur Ermittlung der Eigenkapitalvorsorge liegt weiterhin im klassischen Risikomanagement. BCM kann hier unterstützen, wird das Risikomanagement aber nicht ersetzen.
  4. Methodenverliebtheit und fehlender Pragmatismus:
    Es lassen sich viele tolle und komplexe Methoden zur Impact-Analyse und Festlegung der kritischen Prozesse erfinden. Monte-Carlo-Simulationen und komplizierte Scoring-Verfahren lassen eine BIA schön kompliziert aussehen – und täuschen darüber hinweg, dass es am Ende des Tages doch nur Experteneinschätzungen sind, da uns Erfahrungswerte fehlen. Komplizierte Methoden machen die bIA für die Fachbereiche aufwändiger und unverständlicher. Dem Management die Ergebnisse und die Herleitung in kurzer Zeit zu vermitteln ist beinahe unmöglich. Keep it as simple as possible!
  5. Gutmütigkeit und fehlende Härte:
    “das kann das BCM ja gerade mal mitmachen”, ist ein häufiger und sehr gefährlicher Satz. Eine saubere Abgrenzung zu den angrenzenden Bereichen ist elementar wichtig. Dies benötigt zuweilen Härte und führt zu Konflikten. Aber ansonsten machen wir im BCM einfach mal (IT-) Risikomanagement, Safety & Security, Umzugs- und Facility Management und viele weitere Themen einfach mal mit – ohne aber das Personal, Budget und die Zeit hierfür zu bekommen. Uns unser eigentliches Thema bleibt auf der Strecke liegen. Gehen Sie auf die anderen Bereiche zu, bleiben Sie aber hart und kompromisslos, wenn es an die Übernahme deren Aufgaben geht.

Welche Showstopper haben Sie in Ihren Projekten erlebt? Ich freue mich auf Ihre Kommentare!

Rainer Hübert: Warum die Business Impact Analyse (BIA) nicht funktioniert

Das Business Continuity und Resiliency Journal hat zusammen mit continuitycentral einen Wettbewerb “Business Continuity Paper of the Year 2012” ausgeschrieben. Rainer Hübert, MBCI aus Hannover, hat dafür einen Artikel “Why the Business Impact Analysis does not work” eingereicht, der als einer der sechs besten Beiträge des Wettbewerbs im Journal veröffentlicht wurde, wie continuitycentral berichtete: http://www.continuitycentral.com/feature0974.html.

Wer Herrn Hübert seine Email-Adresse schickt (rh@rex-systems.de), dem sendet er diesen Artikel gerne zu.

Rainer Hübert ist übrigens offenbar nicht der Einzige, der so denkt.

Hier ein weiterer Beitrag, der ähnlich argumentiert:

http://www.ez-planner.net/the-bia-survey-an-effort-in-futility

 

Anmerkungen der Redaktion:

Die Thesen von Rainer Hübert in diesem Artikel werden sicherlich nicht von jedem BCMer geteilt. Wir freuen uns auf Ihre Kommentare und eine interessante Diskussion hierzu in den BCM-News zu diesem Artikel.

Kommentar: Die Verführungen eine Business Continuity Managers

Business Continuity Manager sind auch nur Menschen und auch in diesem Job lauern Verführungen, die den BC Manager leicht vom rechten Weg abbringen können. Das beginnt mit der Business Impact Analyse. Auf den Geschäftsprozessen soll sie basieren. Und natürlich Wertschöpfungsketten durch die gesamte (nationale und internationale) Organisation unter Einbeziehung der Dienstleister berücksichtigen. Geschäftsprozesse? Ein alter Hut, möchte man denken. Weiterlesen…

Literatur: A Practical Approach to Business Impact Analysis

Die Business Impact Analyse BIA ist eines der Herzstücke im Business Continuity Management. Wenngleich die Ziele und Ergebnistypen einer BIA in den BCM Standards wie BS 25999-1 und -2 klar definiert sind, der Weg zum Ziel ist nicht so eindeutig und “viele Wege führen nach Rom”. Für die BIA gibt es keinen “best practice” oder  “one fits all”-Ansatz. Abhängig von der Größe und Komplexität einer Organisation, der zur Verfügung stehenden Mittel für Mitarbeiter, Technologie und Zeit für die Durchführung einer BIA, können die methodischen Ansätze, die zum Ziel führen ganz unterschiedlich aussehen. Insofern lernt man bei der Business Impact Analyse nie aus. Zahlreiche, zum Teil heftig geführte Diskussionen in Online-Foren, zum Beispiel um die exakte Deutung der Begrifflichkeiten RTO und MTPoD zeigen, dass auch noch weitere methodische Entwicklungsarbeit bei der BIA notwendig ist. Wer sich also mit Lesestoff zu dem aus meiner Sicht spannendsten und interessantesten Part des BCM versorgen möchte, kann jetzt beim BSI das neue Buch von Ian Charters “A Practical Approach to Business Impact Analysis” erwerben.

Über Leserkommentare zum Buch würde ich mich sehr freuen.

Nachtrag:

Das Buch gibt es als Download- und Paperback-Version. Ein erster Blick in das Buch weckt die Neugierde: da scheint wirklich ein rundes Werk zur BIA vorzuliegen. Also Lektüre für das nahe Wochenende.

Effizienzsteigerung durch Selbstbeschränkung

(Gastbeitrag von Dr. Christian Zänker)

Die Umsetzung des Business Continuity Managements leidet oftmals an mangelnder Effizienz, weil seine Schnittstellen unzureichend genutzt und nicht eindeutig definiert sind.  Ungeklärte Verantwortlichkeiten und Kompetenzen zwischen den Steuerungsfunktionen im Unternehmen führen zu Reibungsverlusten und beeinträchtigen die Qualität der erhobenen Daten und der auf ihrer Basis ermittelten Anforderungen. Weiterlesen…