Sackgasse BIA?!

Sackgasse BIA? – was für eine Frage, wo doch gerade dieser schöne neue ISO-Standard für die BIA veröffentlicht wurde (ISO/TS 22317:2015). Um es gleich vorwegzuschicken, ich gehöre nicht zu der Fraktion, die die BIA als Zeitverschwendung betrachten. Im Gegenteil, ich halte die Business Impact Analyse für die wesentliche Phase im BCM-Lebenszyklus, um die nachfolgenden Phasen Taktik / Strategie, Notfallplanung sowie Tests und Übungen effektiv und effizient durchführen zu können. Ob eine BIA zum Katalysator oder Bremsklotz im BCM-Lebenszyklus wird, entscheidet der Anwender und nicht die BIA selbst. Weiterlesen…

ISO Standard 22317 Business Impact Analyse ist veröffentlicht

Der ISO Standard für die Business Impact Analyse ist von der ISO am 17. September offiziell veröffentlicht worden. Die ISO 22317:2015 beschreibt die Vorgehensweise für die Durchführung einer BIA. Der Standard orientiert sich grundsätzlich an der Vorgehensweise der Good Practice Guidelines des BCI, lässt aber genügend Spielraum für individuelle Anpassungen.

die BIA – wo ist bloß der Beginn des roten Fadens?

Eigentlich könnte man meinen, zur Business Impact Analyse ist alles gesagt und geschrieben. Es gilt also nur noch nach Best Practices mit bewährten Templates an die Arbeit zu gehen. Leider zeigt es sich in vielen Projekten immer wieder, dass es gar nicht so einfach ist, den Beginn des roten Fadens für die BIA zu finden. Ja natürlich, für Geschäftsprozesse soll die BIA gemacht werden. So weit so gut. Was aber, wenn die Geschäftsprozesse gar nicht beschrieben sind oder in einer viel zu hohen Detaillierungsebene. Soll die BIA für alle Prozesse gemacht werden, und wenn nicht, welche Geschäftsprozesse können erst mal – oder vielleicht ganz – außen vor gelassen werden? Die ideale Welt für das BCM gibt es nun mal fast nur in der Theorie und den BCM-Standards. Der größte Fehler ist jetzt jedoch, mit großem Tatendrang einfach einmal mit irgendwelchen Prozessen anzufangen. Leider verbaut man sich mit diesem vermeintlich pragmatischen und ungestümen Vorgehen so manche tolle Chance, die sich aus der BIA ergibt. So zum Beispiel die Abhängigkeitsanalyse zwischen den Prozessen. Sind im Unternehmen keine durchgehenden Wertschöpfungsketten beschrieben, eröffnet gerade die BIA die Chance, sich diesem Ziel ein großes Stück zu nähern. Voraussetzung hierfür ist jedoch,  dass in der BIA für die Geschäftsprozesse Vorgänger- und unterstützende Geschäftsprozesse angegeben werden können. Und hierzu benötigt es eine Liste der Prozesse. Die Prozesse in der Prozessliste sollten sich auf einer vergleichbaren Detaillierungsebene befinden und so benannt und beschrieben sein, dass ein einheitliches Verständnis über die Prozessinhalte und Prozessgrenzen besteht. Um jetzt nicht in ein aufwändiges Prozessmanagement abzugleiten, verbunden vielleicht sogar noch mit einer Toolauswahl für das Prozessmanagement, ist Pragmatismus angesagt. Das Vorgehen kann zum Beispiel darin bestehen, von den potentiell kritischen Fachabteilungen sich die maximal fünf bis zehn wichtigsten Aufgaben nennen zu lassen. Eine kleine Beschreibung der Aufgaben nach dem EVA-Prinzip (Eingabe – Verarbeitung – Ausgabe) definiert die Aufgabeninhalte und Schnittstellen. Diese Aufgaben “mutieren” dann in der BIA zu Prozessketten, indem die jeweiligen Vorgänger- und Unterstützungsaufgaben je Aufgabe abgefragt werden. Und schon ist man den Wertschöpfungsketten ein gutes Stück näher gekommen. Die zusätzliche Arbeit für die Erstellung dieser Aufgabenlisten lohnt sich in jedem Fall. Der Anfang vom Faden für die BIA ist damit gefunden und an diesem lässt es sich jetzt gut weiterhangeln, bis aus dem Faden ein Pullover gestrickt ist. Grobmaschig, aber erst einmal wärmend. Um die Details kann sich jetzt das Prozessmanagement kümmern und im nächsten BIA-Aktualisierungslauf werden die Maschen enger geknüpft. Rom ist auch nicht an einem Tag erschaffen worden – aber es gab ein klares Schnittmuster für den Aufbau der Stadt und der Verkehrswege nach dem vorgegangen wurde.

Personalausfall – der schlafende Riese

BCM-Szenarien wie IT-Ausfall, Gebäude- und / oder Arbeitsplatzausfall sind in der Notfallvorsorge mittlerweile selbstverständlich. Das Szenario “Personalausfall” gehört in der Theorie gleichwertig mit zu den elementaren Risikoszenarien wie auch der Ausfall kritischer Dienstleistungen / Dienstleister. In der Praxis kommt das Szenario Personalausfall in allen Phasen des BCM-Lebenszyklus leider oftmals zu kurz. Und das, obwohl uns auch die praktische Realität zum Beispiel in Form zahlreicher streikbedingter Personalausfälle bei Bahn, Kitas und Geldtransporteuren die Notwendigkeit einer angemessenen Vorsorge für Personalausfälle aufzeigt. SARS, Vogelgrippe, EHEC/HUS und jetzt aktuell MERS finden vermeintlich im fernen Asien statt. Norovirus, auch “Kreuzfahrer-Virus”,  trifft vermeintlich nur Kreuzfahrer – aktuell gibt es eine Lebensmittelwarnung wegen Noroviren in gefrorenen Erdbeeren bei Aldi Nord. Masern-Epidemien betreffen nicht nur die Kinder, wenn Heerscharen von Elternteilen für die Pflege zu Hause bleiben müssen. Doch wenn das Szenario “Personalausfall” zuschlägt ist jede Vorbereitung Gold wert. Hinzu kommt dass das Szenario Personalausfall BCM und Krisenmanagement gerne über Tage, Wochen oder gar Monate auf Trab hält. Eine zweistündige Krisenstabsübung lässt die Anforderungen an ein solches Szenario nur erahnen. Alleine, wenn der Krisenstab in den Drei-Schichtbetrieb gehen soll … Weiterlesen…

Die Business Impact Analyse für den Fachbereich IT

Geht man mit der Business Impact Analyse durch die Fachbereiche im Unternehmen landet man früher oder später bei der IT. Dieses “früher oder später” wird zentrales Thema dieses Beitrags sein. Die IT stellt mit den IT-Services wesentliche geschäftskritische Ressourcen für die Geschäftsprozesse zur Erbringung der Produkte und Services. des Unternehmens Auf der anderen Seite ist der Fachbereich IT auch eine Organisationseinheit mit Prozessen und Ressourcen. Weiterlesen…

ISO-Standard 22317 für die Business Impact Analyse auf der Zielgeraden

Das Technical Committee TC 292 der ISO-Organisation erarbeitet derzeit den offiziellen Standard für die Business Impact Analyse als Teil des gesamten Arbeitspakets an neuen Standards rund um den ISO 22301. Parallel entsteht auch der Standard für die Supply Chain Continuity ISO 22318. Der Standard ISO 22317 Business Impact Analysis liegt mittlerweile als verabschiedete Draft-Version (ISO Status 30-60) vor.

Der Standard besteht aus den drei Hauptteilen

  • Voraussetzungen für die Durchführung einer BIA
  • Durchführung der Business Impact Analyse
  • BIA-Aktualisierungen

sowie den Anhängen:

  • BIA als Teil des ISO 22301 BC Management Systems
  • BIA Terminologie
  • Datenerhebungsmethoden für die BIA
  • Weitere Mehrwerte des BIA Prozesses für das BCM.

Der Prozessaufbau für die BIA sieht die folgenden Schritte vor:

  1. Priorisierung der Produkte und Services durch das Top-Management
  2. Priorisierung von Prozessen
  3. Priorisierung von Aktivitäten
  4. Analyse und Konsolidierung der BIA-Ergebnisse
  5. Einholung des Einverständnisses des Top Managements für die BIA-Ergebnisse.

Das Ziel der BIA “… is to prorize the various organizational components so that product and Service delivery can be resumed in a predertermined order following a disruptive incident to the satisfaction of interested parties.”

Durchgehend wird vom zentralen Ziel der Priorisierung gesprochen. Wie diese Priorisierung en Detail erfolgt, ist im Standard nicht vorgegeben. Das Vorgehen folgt dem BIA-Konzept der BCI Good Practice Guidelines (GPG) des Business Continuity Institut (BCI) mit einer strategischen BIA mit dem Top-Management zur Festlegung der Rahmenvorgaben für die Wiederherstellung von Produkten und Services sowie der taktischen und operativen BIA zur Ermittlung der Anforderungen der Prozesse und Ressourcen. MTPD, RTO und RPO werden im Standard nur kurz referenziert, aber nicht inhaltlich ausgeführt. Wer sich in der BIA bereits am GPG orientiert, ist auch hinsichtlich des Standards gut unterwegs.

Für die Impact-Kategorien werden Beispiele an die Hand gegeben:

für die Produkt- und Service-Priorisierung durch das Top-Management:

  • Financial
  • Reputational
  • Legal and regulatory
  • contractual
  • Business objectives

für die Priorisierung der Aktivitäten ergänzend:

  • Operational (backlog of workload, Impact to interrelated aacticities)
  • Welfare (physical or mental harm to staff or visitors).

In der BIA auf Prozessebene werden

  • Abhängigkeiten zwischen Produkten, Services, Prozessen und Aktivitäten identifiziert
  • die Auswirkungen (Impact) über die Zeit ermittelt
  • Prozesse priorisiert.

In der BIA auf Aktivitätenebene werden die erforderlichen Ressourcen erhoben:

  • Mitarbeiter, Qualifikationen, Rollen
  • Gebäude
  • Einrichtungen, Ausrüstung
  • Dokumente
  • Finanzen
  • IT und Telekommunikation
  • Dienstleister, Versorger, Auslagerungen
  • Abhängigkeiten von anderen Prozesse und Aktivitäten
  • Werkzeuge, Ersatzteile
  • Einschränkungen hinsichtlich Logistik oder Regulatorik.

Auf Basis der BIA-Ergebnisse mit den Anforderungen an die Wiederherstellung erfolgt die Entwicklung der BCM-Strategien für

  • Arbeitsplätze
  • Dienstleister
  • IT
  • Mitarbeiter
  • Technische Ausrüstung und Material.

Der Standard unterscheidet zwischen der Initialen BIA und der nachfolgenden (“typischerweise jährlichen”) BIA-Aktualisierung. Für die initiale BIA wird angenommen, dass Informationen schlecht oder gar nicht verfügbar sind. In den nachfolgenden Aktualisierungen der BIA kann der Fokus dann verstärkt auf organisatorische Änderungen und Risikoakzeptanz gelegt werden.

Meine persönlichen Anmerkungen:

Beim ersten Lesen des Standards war ich positiv überrascht, dass MTPD, RTO und RPO fast gar keine Erwähnung im Standard finden. Statt mit Begrifflichkeiten zu hantieren, wird tatsächlich der Fokus auf das zu erzielende Ergebnis einer BIA gelegt: die priorisierten Prozesse und Ressourcen. Aus meiner Sicht eine positive Ausrichtung. Die Ausgestaltung der Methodik obliegt den Unternehmen und kann damit größen- und risikoorientiert adjustiert werden. Der Standard gibt den erforderlichen Rahmen hierfür vor. Nicht mehr und nicht weniger.

Das lässt uns mit positiver Spannung auf den neuen Standard für Supply Chain Continuity warten.

BCI-Studie “Counting The Cost” – Berücksichtigung der Kosten in der BIA

Im Rahmen der Business Continuity Awareness Week 2014 hat das Business Continuity Institute BCI in einer Meta-Analyse die Kosten von Geschäftsunterbrechungen aus mehreren Quellen zusammengetragen. Wie immer bei solchen Zahlenwerken ist zu hinterfragen, woher sie kommen und wie sie zu interpretieren sind, bevor man sie verwendet. So wird in diesem Dokument die Behauptung wiederholt, dass 40 bis 60 Prozent der Unternehmen ohne Notfallplan nach einem Notfall nicht wieder öffnen. So schön und plakativ werbend diese Aussage für BCM ist, eine gesicherte und seriöse Quelle konnte für diese Aussage leider noch nicht identifiziert werden. Trotzdem gibt diese Zusammenstellung an Studienergebnissen einen guten Überblick über die Höhe von Ausfallkosten, Kostenarten sowie Ursachen, ergänzt um Branchenvergleiche. In einer Business Impact Analyse können Sie jedoch zu völlig anderen Größenordnungen kommen. Dies ist ganz stark davon abhängig, wie der finanzielle Schaden einer Geschäftsunterbrechung berechnet wird. So macht es zum Beispiel einen enormen Unterschied, ob Personalausfallkosten mit einbezogen werden und zu welchen kalkulatorischen Stunden- bzw. Tagessätzen dies erfolgt. Alternativ können zum Beispiel auch nur GuV-relevante Kostenfaktoren in die Schadenermittlung einbezogen werden. Die absoluten Werte sind in diesem Falle wesentlich geringer. Bei einer Business Impact Analyse ist weniger entscheidend, ob alle möglichen Kostenfaktoren mit einbezogen werden, sondern eine einheitliche und stringente Definition der zu berücksichtigenden Kosten, damit die Vergleichbarkeit gewährleistet wird:

  • Ursachen der Kosten / Kostenträger (Unternehmen, Konzern, intern, extern)
  • Kostenarten (GuV-Kosten, Opportunitätkosten)
  • Kalkulationssätze (Personal, IT)
  • Berücksichtigung von Opportunitätskosten
  • Berücksichtigung möglicher Versicherungsleistungen oder Schadenersatz
  • Direkte und indirekte Kostenwirkungen.

Entscheidend in der BIA ist die Vergleichbarkeit der Impact-Einschätzungen zwischen den Prozessen. Schätzen die Prozessexperten auf unterschiedlicher Basis mit unterschiedlichen Prämissen und Kalkulationssätzen sind die Ergebnisse der BIA für die Prozesse nicht vergleichbar und die Ergebnisse der großen Mühen faktisch wertlos. Wichtig ist es daher auch, nicht nur absolute Werte zu erheben, sondern auch die jeweilige Herleitung mit den verwendeten Prämissen zu dokumentieren. Damit bleibt die Herleitung auch für spätere Aktualisierungen und bei Personalwechseln nachvollziehbar. Ansonsten setzt das große Rätselraten ein, wie denn die Zahlen zustande gekommen sein könnten. Dies wirft kein gutes Licht auf das BCM.

Die fünf Showstopper für eine Business Impact Analyse

Die Durchführung der Business Impact Analyse ist die aufwändigste Phase bei der Implementierung eines BCM. Die Fachbereiche müssen eingebunden werden, viele Daten erhoben und dokumentiert werden, Abhängigkeiten analysiert und Entscheidungen getroffen werden. Obwohl dies umfangreiche Aktivitäten sind, sollte eine BIA innerhalb eines überschaubaren und möglichst kurzen Zeitraums abgeschlossen sein. Denn sonst holen die laufenden Änderungen in der Organisation die erreichten Ergebnisse wieder ein. Mit dem Ergebnis, dass das Implementierungsprojekt fortwährend Schleifen in der BIA-Phase dreht und nicht zu den nächsten entscheidenden Phasen Strategie, Planung und Tests kommt. Ein häufiger Grund für endlose BIA-Projekte ist “Verzetteln”, mangelnder Pragmatismus und die leichtfertige Übernahme von Aufgaben.

Fünf häufige Showstopper sind

  1. Der Versuch Prozessmanagement zu betreiben:
    es liegen für die BIA keine dokumentierten Prozesse vor oder das neue Prozessmodell ist seit Jahren in Arbeit. In einem BIA-Projekt wird es nicht gelingen “by the way” Prozessmodellierung mit zu betreiben. Insbesondere, wenn andere Projekte sich daren bereits die Zähne ausgebissen haben. Für die BIA reicht die Definition der Hauptaufgaben je Organisationseinheit aus. Maximal 10 bis 15 je Bereich. Die Abhängigkeiten erheben wir dann im Rahmen der BIA. Wenn das Prozessmodell des Unternehmens dann einmal steht, sollten die beiden Modelle konsolidiert werden.
  2. die Versuchung IT-Architekturmanagement zu betreiben:
    In der BIA benötigen wir die IT-Anwendungsebene, um den Link zwischen den Prozessen / Hauptaufgaben und der IT abzubilden. Schwierig genug eine abgestimmte IT-Anwendungsliste (IT-Services) zu generieren, mit der die Fachabteilungen und die IT leben können. In der BIA geht die Fachabteilung vereinfachend davon aus, dass die IT-Anwendungen / IT-Services voll funktionsfähig zur Verfügung gestellt werden. Das heisst mit den aktuellen und korrekten Daten, den Vor- und Schnittstellenprogrammen, den Batch-Programmen und der IT-Infrastruktur bestehend aus Servern und Netzwerk. Im Rahmen des ITSCM werden die Abhängigkeiten von der Ebene der IT-Anwendungen auf die darunter liegenden Schichten der IT-Architektur abgebildet und Kritikalitäten vererbt.
  3. die Versuchung Risikomanagement zu betreiben:
    Das Risikomanagement ist in vielen Unternehmen bereits etabliert. Im BCM werfen wir mit unserer Brille einen Blick auf die Risiken des Unternehmens, die zu einer Geschäftsunterbrechung führen können. Das Ziel des BCM ist es, Notfallpläne für das Eintreten dieser Risiken zu entwickeln. Die quantitative Sicht auf die Risiken zur Ermittlung der Eigenkapitalvorsorge liegt weiterhin im klassischen Risikomanagement. BCM kann hier unterstützen, wird das Risikomanagement aber nicht ersetzen.
  4. Methodenverliebtheit und fehlender Pragmatismus:
    Es lassen sich viele tolle und komplexe Methoden zur Impact-Analyse und Festlegung der kritischen Prozesse erfinden. Monte-Carlo-Simulationen und komplizierte Scoring-Verfahren lassen eine BIA schön kompliziert aussehen – und täuschen darüber hinweg, dass es am Ende des Tages doch nur Experteneinschätzungen sind, da uns Erfahrungswerte fehlen. Komplizierte Methoden machen die bIA für die Fachbereiche aufwändiger und unverständlicher. Dem Management die Ergebnisse und die Herleitung in kurzer Zeit zu vermitteln ist beinahe unmöglich. Keep it as simple as possible!
  5. Gutmütigkeit und fehlende Härte:
    “das kann das BCM ja gerade mal mitmachen”, ist ein häufiger und sehr gefährlicher Satz. Eine saubere Abgrenzung zu den angrenzenden Bereichen ist elementar wichtig. Dies benötigt zuweilen Härte und führt zu Konflikten. Aber ansonsten machen wir im BCM einfach mal (IT-) Risikomanagement, Safety & Security, Umzugs- und Facility Management und viele weitere Themen einfach mal mit – ohne aber das Personal, Budget und die Zeit hierfür zu bekommen. Uns unser eigentliches Thema bleibt auf der Strecke liegen. Gehen Sie auf die anderen Bereiche zu, bleiben Sie aber hart und kompromisslos, wenn es an die Übernahme deren Aufgaben geht.

Welche Showstopper haben Sie in Ihren Projekten erlebt? Ich freue mich auf Ihre Kommentare!

BIA – die Suche nach dem “wunden Punkt”

Methodische Diskussionen verstellen manchmal den Blick, wozu eine Business Impact Analyse (BIA) dient. Im Kern geht es um die Identifikation der “wunden Punkte” eines Unternehmens. Wie bei einem Organismus gibt es in Unternehmen einige Stellen, an denen die Verwundbarkeit extrem groß ist. Boxer versuchen den Gegner ganz bewusst an bestimmten Stellen zu treffen, die zum sofortigen k.o. des Gegners führt. Eine dieser Stellen liegt im Bereich des Kinns. Bei einem Kinnhaken wird das Gehirn mit maximaler Wucht gegen die Schädeldecke gedrückt, der Gegner geht unmittelbar zu Boden, der Kampf ist zu Ende.

Die internen und externen Leistungsprozesse eines Unternehmens sind hochgradig vernetzt. Auch kleine und scheinbare unbedeutende Unternehmensressourcen können zu einem dieser “Kinnhaken” für ein Unternehmen werden. Diese “wunden Punkte” können innerhalb eines Unternehmens in Gestalt von Prozessen / Prozessschritten, Mitarbeitern, IT-Services, Gebäuden, Anlagen und Betriebsmittel vorliegen. An der Schnittstelle zur Umwelt des Unternehmens liegen die “wunden Punkte” häufig bei Dienstleistern, Zulieferprodukten und in den Vertriebs- und Absatzkanälen.

In Produktionsabläufen sind diese kritischen und sensiblen Stellen leichter zu identifizieren. Ein Auto kann noch so perfekt produziert sein, ohne ein Schließsystem ist es einfach nicht verkäuflich. Der Ausfall des Herstellers für Autoschlösser Kiekert im Jahr 1998 liegt zwar bereits lange Zeit zurück, ist aber ein sehr eindrückliches Beispiel, wie ein derartiger “Kinnhaken” zum k.o. und damit dem Produktionsausfall führen kann.

Die immer stärkere internationale Vernetzung der Produktions- und Dienstleistungsprozesse, wie auch die deutliche Zunahme der Prozessgeschwindigkeiten führt zu mehr Effizienz und einem höheren Abwicklungsvolumen. Die Arbeitsteilung führt allerdings auf der anderen Seite zu einer deutlichen Erhöhung der Anzahl an “wunden Punkten”. Und diese “wunden Punkte” sind viel besser versteckt. Ein Drittel der Ausfälle in der Lieferkette sind auf Ursachen in der nachgelagerten Lieferkette zum direkten  Lieferanten (>= Tier 2-Lieferanten) zurückzuführen, so das Ergebnis der Supply Chain Resilience Study 2012 des Business Continuity Institute BCI. Diese kritischen Stellen auszumachen um entsprechende Vorsorgemaßnahmen treffen zu können erfordert viel detektivisches Gespür und einen ganz langen Atem. Die Identifikation der kritischen Prozesse innerhalb eines Unternehmens ist dagegen ein Kinderspiel. Auf diese Herausforderungen wird sich das Business Continuity Management in Zukunft immer stärker ausrichten müssen. Die methodischen Werkzeuge müssen für diese Aufgabenstellungen weiterentwickelt werden. Insbesondere funktioniert dies jedoch nur, wenn das BCM nicht isoliert betrieben wird, sondern eng mit den anderen Unternehmensprozessen verzahnt wird. Im Supply Chain Continuity Management sind dies beispielsweise die Einkaufsprozesse. Erst das Verständnis BCM als integralen Bestandteil der Leistungsprozesse zu begreifen führt zu einer erhöhten Widerstandskraft “Resilience” und dem Schutz “wunder Punkte” im Unternehmen. BCM ist sozusagen die “Deckung des Boxers” für das Unternehmen.