Anforderungen der BCM-Standards an die BCM-Risikoanalyse

Die BCM-Risikoanalyse stellt Unternehmen im Vergleich zu den anderen Phasen des BCM-Lebenszyklus, der Business Impact Analyse, der Notfallplanung sowie den Tests und Übungen oftmals vor neue methodische und organisatorische Fragestellungen. Das Verständnis, ob, wann und wie eine Risikoanalyse im Business Continuity Management durchgeführt werden soll hat sich im Entwicklungsverlauf der BCM-Disziplin gewandelt und auch innerhalb der BCM-Verantwortlichen gibt es heute unterschiedliche Sichtweisen auf dieses spannende Thema. Der BS 25999, Vorläufer des aktuellen ISO-Standards 22301, verweist bei der Risikoanalyse noch auf die Pflichtelemente des ISO 27001. In der Fassung von 2012 verweist der ISO 22301 dann bei der Umsetzung des Risikomanagements auf die ISO 31000 und definiert darüber hinaus nur sehr rudimentäre Anforderungen an das Risikomanagement aus BCM-Sicht. Dies lässt die BCM-Verantwortlichen mit zahlreichen Fragezeichen zurück.

In meinem Beitrag auf 3GRC habe ich die Anforderungen der Standards an die BCM-Risikoanalyse näher betrachtet und gegenübergestellt.

BCM-Wiki

Warum das Produkt aus Eintrittswahrscheinlichkeit mal Schadenshöhe zu Fehlentscheidungen führt

Vor Kurzem habe ich auf der Plattform 3GRC den Artikel “Wie wahrscheinlich ist das Unwahrscheinliche” veröffentlicht. In diesem Beitrag lege ich dar, dass die Eintrittswahrscheinlichkeit eines Ereignisses keine Rolle bei der Bewertung eines Risikos spielen darf. Jetzt bin ich auf einen Artikel in der Resiliencepost gestossen, der diese Argumentation bestärkt und zudem ein sehr anschauliches Beispiel hierfür liefert. Ich habe mir daher erlaubt dieses Beispiel aus dem Artikel “zu klauen” und hier etwas modifiziert wiederzugeben.

Weiterlesen…

Wie wahrscheinlich ist das Unwahrscheinliche?

Business Continuity Management (BCM) ist eine Disziplin des Risikomanagements. Es ist daher naheliegend, für die Risikoanalyse im BCM auf die klassischen und bewährten Methoden und Verfahren dieser Disziplin zurückzugreifen. Zu diesen klassischen Vorgehensweisen gehört die Betrachtung eines Risikos unter den beiden Gesichtspunkten Eintrittswahrscheinlichkeit und Schadenshöhe. Als Ergebnis lassen sich Risiken sehr anschaulich in einer Risikomatrix darstellen und es lassen sich erwartete Schadenshöhen zum Beispiel für die finanzielle Risikovorsorge berechnen. Beim BCM stößt dieses Vorgehen jedoch an seine Grenzen, denn wir betrachten im BCM Risiken mit geringer Eintrittswahrscheinlichkeit dafür aber existentiellen Schadenshöhen. Die Eintrittswahrscheinlichkeit des Risikos spielt bei der Notfallvorsorge für BCM-Risiken keine Rolle, denn ein Schaden, wann immer er eintritt, würde die Existenz des Unternehmens bedrohen. Es ist zum Beispiel unerheblich für die (IT-) Notfallplanung, wann und wie oft eine Cyber-Attacke auf die IT-Infrastruktur zu erwarten ist, denn eine entsprechende Vorsorge der IT und des BCM für den Fall einer Cyber-Attacke ist für ein Unternehmen notwendig zur Aufrechterhaltung der kritischen Geschäftsprozesse. Ob und wie die Eintrittswahrscheinlichkeit doch noch ihren Weg ins BCM finden kann, behandelt mein aktueller Beitrag auf 3GRC.

“Risk Assessment as Part of Business Continuity Planning is Overrated”

Welche Aufgaben hat das BCM in der Phase “Risk Assessment”? Dies ist vielleicht eines der noch ungeklärten Rätsel des BCM und die Meinungen hierzu gehen sehr weit auseinander. Auf der einen Seite der Anschauungen könnte man fast von einer “feindlichen Übernahme” des opRisk (oder sogar noch weitergehender) durch das BCM sprechen, was natürlich von den Risikomanagern heftig abgewehrt wird. Schließlich blicken sie auf eine längere Tradition mit ausgefeilten Methoden und Verfahren zurück. BCMer ohne eine fundierte Grundausbildung in Statistik sollten es nicht auf eine Diskussion mit diesen geschätzten Kollegen ankommen lassen. Auf der anderen Seite der Anschauungen stellt sich demgegenüber die existentielle Frage, was vom Risk Assessment im BCM überhaupt noch übrig bleibt. Ich bin Anhänger eines pragmatischen Ansatzes, der in diesem Artikel aus meiner Sicht sehr treffend und anschaulich beschrieben ist, ganz dem Motto folgend “Entmystifizierung des Risikomanagements im BCM”:   

http://blog.infotech.com/research/risk-assessment-as-part-of-business-continuity-planning-is-overrated/

Welche Risiken sehen die Unternehmen für 2012? Die aktuelle Studie des BCI zu den Top-Risiken

Das Business Continuity Institute BCI hat im Dezember 2011 458 Organisationen aus 49 Ländern und 15 Branchen zu der Einschätzung von 28 Risiken befragt. In den Ergebnissen der Studie “Horizon Scan 2012” über alle Branchen und Länder hinweg rangieren die Risiken

  • ungeplante IT- und Telekommunikations-Ausfälle
  • Datenverlust
  • Cyber Attacken

an der Spitze der eingeschätzten Bedrohungen. Im verarbeitenden Gewerbe wird das Risiko einer Lieferunterbrechung vor allen anderen Risiken gesehen. Japan und Thailand habe die Bedeutung dieser Risiken in 2011 sehr deutlich werden lassen. Neben dem Ausfall von IT und Telekommunikation spielt das Risiko von Produktfehlern im produzierenden Gewerbe eine besonders bedeutende Rolle. Während Behörden eher Unwetter und den Ausfall Personal befürchten.

[BCI Horizon Scan 2012 (pdf)]

Vom Möglichen und Wahrscheinlichen – Schnittstellen zwischen BCM und Risikomanagement

Über die Gemeinsamkeiten, Unterschiede und Schnittstellen zwischen Business Continuity Management und Risikomanagement wird derzeit heftig diskutiert. Wichtig bei dieser fruchtbaren – manchmal aber auch furchtbaren -Diskussion, ist aus meiner Sicht die Gemeinsamkeiten und Unterschiede der beiden Disziplinen herauszuarbeiten um Synergien identifizieren zu können. Weiterlesen…

Effizienzsteigerung durch Selbstbeschränkung

(Gastbeitrag von Dr. Christian Zänker)

Die Umsetzung des Business Continuity Managements leidet oftmals an mangelnder Effizienz, weil seine Schnittstellen unzureichend genutzt und nicht eindeutig definiert sind.  Ungeklärte Verantwortlichkeiten und Kompetenzen zwischen den Steuerungsfunktionen im Unternehmen führen zu Reibungsverlusten und beeinträchtigen die Qualität der erhobenen Daten und der auf ihrer Basis ermittelten Anforderungen. Weiterlesen…

World Economic Forum veröffentlicht Global Risk Report 2009

Das WEF hat den Global Risks 2009 Report veröffentlicht. Die globale Risikolandkarte zeigt die weltweiten Riskiken in den Dimensionen “finanzieller Schaden” und “Eintrittswahrscheinlichkeit” aufgeschlüsselt nach den Risikokategorien

– Economic Risks

– Geopolitical Risks

– Environmental Risks

– Societal Risks

– Technological Risks.

Die Finanzkrise hat auch hier deutliche Spuren hinterlassen.

50 Verletzte bei Chlorgasunfall in Frankfurt

GiftBeim versehentlichen Umfüllen von Blausäure in einen Behälter mit Chlorbleichgas ist eine giftige Chlorgaswolke entstanden, die in einem Umkreis von mehreren hundert Metern wahrgenommen wurde. Das Unglück ereignete sich um 10:30 Uhr im Frankfurter Stadtteil Fechenheim auf dem Gelände der Chemiehandelsfirma Brenntag GmbH. 50 Menschen wurden verletzt und in naheliegende Kliniken gebracht. Umliegende Gebäude wurden geräumt und das Gelände von der Polizei weiträumig abgesperrt. Auf der Hanauer Landstraße kam der Verkehr für etwa zwei Stunden zum Erliegen. Auch der Schiffsverkehr wurde vorübergehend eingestellt.

Da es zum Unglückszeitpunkt windstill war, hat sich das Ausmaß des Schadens in Grenzen gehalten.

So schnell kann es gehen, und Sie haben keinen Zugang mehr zu Ihren Arbeitsplätzen!

Kennen Sie Ihre Umgebung, gibt es dort Unternehmen oder andere Einrichtungen, von denen eine Gefährdung für Sie und ihre zentrale Infrastruktur ausgehen kann?

Auch dies ist Teil einer Risikoanalyse.