Elevator Pitch fĂŒr die BIA-ErgebnisprĂ€sentation

Die vorhergehenden BeitrĂ€ge im Management-Meeting, in dem Sie die Ergebnisse der Business Impact Analyse vorstellen sollen, haben mal wieder ĂŒberzogen und Ihnen bleiben  noch fĂŒnf Minuten bis das Management unwiderruflich das Notizbuch zuklappt. Geht nicht? Geht doch!

BIA Results

Die Ergebnisse der strategischen und taktischen BIA lassen sich kompakt auf einer Seite darstellen. In einer Darstellungsform, die dem Management gelĂ€ufig ist. Dies fördert zudem die Akzeptanz und damit auch die Awareness beim Management fĂŒr unser geliebtes BCM.

In der KĂŒrze liegt die WĂŒrze – wie Sie sehen auch bei diesem Beitrag 😉

Sackgasse BIA?!

Sackgasse BIA? – was fĂŒr eine Frage, wo doch gerade dieser schöne neue ISO-Standard fĂŒr die BIA veröffentlicht wurde (ISO/TS 22317:2015). Um es gleich vorwegzuschicken, ich gehöre nicht zu der Fraktion, die die BIA als Zeitverschwendung betrachten. Im Gegenteil, ich halte die Business Impact Analyse fĂŒr die wesentliche Phase im BCM-Lebenszyklus, um die nachfolgenden Phasen Taktik / Strategie, Notfallplanung sowie Tests und Übungen effektiv und effizient durchfĂŒhren zu können. Ob eine BIA zum Katalysator oder Bremsklotz im BCM-Lebenszyklus wird, entscheidet der Anwender und nicht die BIA selbst. Weiterlesen…

ISO Standard 22317 Business Impact Analyse ist veröffentlicht

Der ISO Standard fĂŒr die Business Impact Analyse ist von der ISO am 17. September offiziell veröffentlicht worden. Die ISO 22317:2015 beschreibt die Vorgehensweise fĂŒr die DurchfĂŒhrung einer BIA. Der Standard orientiert sich grundsĂ€tzlich an der Vorgehensweise der Good Practice Guidelines des BCI, lĂ€sst aber genĂŒgend Spielraum fĂŒr individuelle Anpassungen.

die BIA – wo ist bloß der Beginn des roten Fadens?

Eigentlich könnte man meinen, zur Business Impact Analyse ist alles gesagt und geschrieben. Es gilt also nur noch nach Best Practices mit bewĂ€hrten Templates an die Arbeit zu gehen. Leider zeigt es sich in vielen Projekten immer wieder, dass es gar nicht so einfach ist, den Beginn des roten Fadens fĂŒr die BIA zu finden. Ja natĂŒrlich, fĂŒr GeschĂ€ftsprozesse soll die BIA gemacht werden. So weit so gut. Was aber, wenn die GeschĂ€ftsprozesse gar nicht beschrieben sind oder in einer viel zu hohen Detaillierungsebene. Soll die BIA fĂŒr alle Prozesse gemacht werden, und wenn nicht, welche GeschĂ€ftsprozesse können erst mal – oder vielleicht ganz – außen vor gelassen werden? Die ideale Welt fĂŒr das BCM gibt es nun mal fast nur in der Theorie und den BCM-Standards. Der grĂ¶ĂŸte Fehler ist jetzt jedoch, mit großem Tatendrang einfach einmal mit irgendwelchen Prozessen anzufangen. Leider verbaut man sich mit diesem vermeintlich pragmatischen und ungestĂŒmen Vorgehen so manche tolle Chance, die sich aus der BIA ergibt. So zum Beispiel die AbhĂ€ngigkeitsanalyse zwischen den Prozessen. Sind im Unternehmen keine durchgehenden Wertschöpfungsketten beschrieben, eröffnet gerade die BIA die Chance, sich diesem Ziel ein großes StĂŒck zu nĂ€hern. Voraussetzung hierfĂŒr ist jedoch,  dass in der BIA fĂŒr die GeschĂ€ftsprozesse VorgĂ€nger- und unterstĂŒtzende GeschĂ€ftsprozesse angegeben werden können. Und hierzu benötigt es eine Liste der Prozesse. Die Prozesse in der Prozessliste sollten sich auf einer vergleichbaren Detaillierungsebene befinden und so benannt und beschrieben sein, dass ein einheitliches VerstĂ€ndnis ĂŒber die Prozessinhalte und Prozessgrenzen besteht. Um jetzt nicht in ein aufwĂ€ndiges Prozessmanagement abzugleiten, verbunden vielleicht sogar noch mit einer Toolauswahl fĂŒr das Prozessmanagement, ist Pragmatismus angesagt. Das Vorgehen kann zum Beispiel darin bestehen, von den potentiell kritischen Fachabteilungen sich die maximal fĂŒnf bis zehn wichtigsten Aufgaben nennen zu lassen. Eine kleine Beschreibung der Aufgaben nach dem EVA-Prinzip (Eingabe – Verarbeitung – Ausgabe) definiert die Aufgabeninhalte und Schnittstellen. Diese Aufgaben “mutieren” dann in der BIA zu Prozessketten, indem die jeweiligen VorgĂ€nger- und UnterstĂŒtzungsaufgaben je Aufgabe abgefragt werden. Und schon ist man den Wertschöpfungsketten ein gutes StĂŒck nĂ€her gekommen. Die zusĂ€tzliche Arbeit fĂŒr die Erstellung dieser Aufgabenlisten lohnt sich in jedem Fall. Der Anfang vom Faden fĂŒr die BIA ist damit gefunden und an diesem lĂ€sst es sich jetzt gut weiterhangeln, bis aus dem Faden ein Pullover gestrickt ist. Grobmaschig, aber erst einmal wĂ€rmend. Um die Details kann sich jetzt das Prozessmanagement kĂŒmmern und im nĂ€chsten BIA-Aktualisierungslauf werden die Maschen enger geknĂŒpft. Rom ist auch nicht an einem Tag erschaffen worden – aber es gab ein klares Schnittmuster fĂŒr den Aufbau der Stadt und der Verkehrswege nach dem vorgegangen wurde.

Personalausfall – der schlafende Riese

BCM-Szenarien wie IT-Ausfall, GebĂ€ude- und / oder Arbeitsplatzausfall sind in der Notfallvorsorge mittlerweile selbstverstĂ€ndlich. Das Szenario “Personalausfall” gehört in der Theorie gleichwertig mit zu den elementaren Risikoszenarien wie auch der Ausfall kritischer Dienstleistungen / Dienstleister. In der Praxis kommt das Szenario Personalausfall in allen Phasen des BCM-Lebenszyklus leider oftmals zu kurz. Und das, obwohl uns auch die praktische RealitĂ€t zum Beispiel in Form zahlreicher streikbedingter PersonalausfĂ€lle bei Bahn, Kitas und Geldtransporteuren die Notwendigkeit einer angemessenen Vorsorge fĂŒr PersonalausfĂ€lle aufzeigt. SARS, Vogelgrippe, EHEC/HUS und jetzt aktuell MERS finden vermeintlich im fernen Asien statt. Norovirus, auch “Kreuzfahrer-Virus”,  trifft vermeintlich nur Kreuzfahrer – aktuell gibt es eine Lebensmittelwarnung wegen Noroviren in gefrorenen Erdbeeren bei Aldi Nord. Masern-Epidemien betreffen nicht nur die Kinder, wenn Heerscharen von Elternteilen fĂŒr die Pflege zu Hause bleiben mĂŒssen. Doch wenn das Szenario “Personalausfall” zuschlĂ€gt ist jede Vorbereitung Gold wert. Hinzu kommt dass das Szenario Personalausfall BCM und Krisenmanagement gerne ĂŒber Tage, Wochen oder gar Monate auf Trab hĂ€lt. Eine zweistĂŒndige KrisenstabsĂŒbung lĂ€sst die Anforderungen an ein solches Szenario nur erahnen. Alleine, wenn der Krisenstab in den Drei-Schichtbetrieb gehen soll … Weiterlesen…

Die Business Impact Analyse fĂŒr den Fachbereich IT

Geht man mit der Business Impact Analyse durch die Fachbereiche im Unternehmen landet man frĂŒher oder spĂ€ter bei der IT. Dieses “frĂŒher oder spĂ€ter” wird zentrales Thema dieses Beitrags sein. Die IT stellt mit den IT-Services wesentliche geschĂ€ftskritische Ressourcen fĂŒr die GeschĂ€ftsprozesse zur Erbringung der Produkte und Services. des Unternehmens Auf der anderen Seite ist der Fachbereich IT auch eine Organisationseinheit mit Prozessen und Ressourcen. Weiterlesen…

ISO-Standard 22317 fĂŒr die Business Impact Analyse auf der Zielgeraden

Das Technical Committee TC 292 der ISO-Organisation erarbeitet derzeit den offiziellen Standard fĂŒr die Business Impact Analyse als Teil des gesamten Arbeitspakets an neuen Standards rund um den ISO 22301. Parallel entsteht auch der Standard fĂŒr die Supply Chain Continuity ISO 22318. Der Standard ISO 22317 Business Impact Analysis liegt mittlerweile als verabschiedete Draft-Version (ISO Status 30-60) vor.

Der Standard besteht aus den drei Hauptteilen

  • Voraussetzungen fĂŒr die DurchfĂŒhrung einer BIA
  • DurchfĂŒhrung der Business Impact Analyse
  • BIA-Aktualisierungen

sowie den AnhÀngen:

  • BIA als Teil des ISO 22301 BC Management Systems
  • BIA Terminologie
  • Datenerhebungsmethoden fĂŒr die BIA
  • Weitere Mehrwerte des BIA Prozesses fĂŒr das BCM.

Der Prozessaufbau fĂŒr die BIA sieht die folgenden Schritte vor:

  1. Priorisierung der Produkte und Services durch das Top-Management
  2. Priorisierung von Prozessen
  3. Priorisierung von AktivitÀten
  4. Analyse und Konsolidierung der BIA-Ergebnisse
  5. Einholung des EinverstĂ€ndnisses des Top Managements fĂŒr die BIA-Ergebnisse.

Das Ziel der BIA “… is to prorize the various organizational components so that product and Service delivery can be resumed in a predertermined order following a disruptive incident to the satisfaction of interested parties.”

Durchgehend wird vom zentralen Ziel der Priorisierung gesprochen. Wie diese Priorisierung en Detail erfolgt, ist im Standard nicht vorgegeben. Das Vorgehen folgt dem BIA-Konzept der BCI Good Practice Guidelines (GPG) des Business Continuity Institut (BCI) mit einer strategischen BIA mit dem Top-Management zur Festlegung der Rahmenvorgaben fĂŒr die Wiederherstellung von Produkten und Services sowie der taktischen und operativen BIA zur Ermittlung der Anforderungen der Prozesse und Ressourcen. MTPD, RTO und RPO werden im Standard nur kurz referenziert, aber nicht inhaltlich ausgefĂŒhrt. Wer sich in der BIA bereits am GPG orientiert, ist auch hinsichtlich des Standards gut unterwegs.

FĂŒr die Impact-Kategorien werden Beispiele an die Hand gegeben:

fĂŒr die Produkt- und Service-Priorisierung durch das Top-Management:

  • Financial
  • Reputational
  • Legal and regulatory
  • contractual
  • Business objectives

fĂŒr die Priorisierung der AktivitĂ€ten ergĂ€nzend:

  • Operational (backlog of workload, Impact to interrelated aacticities)
  • Welfare (physical or mental harm to staff or visitors).

In der BIA auf Prozessebene werden

  • AbhĂ€ngigkeiten zwischen Produkten, Services, Prozessen und AktivitĂ€ten identifiziert
  • die Auswirkungen (Impact) ĂŒber die Zeit ermittelt
  • Prozesse priorisiert.

In der BIA auf AktivitÀtenebene werden die erforderlichen Ressourcen erhoben:

  • Mitarbeiter, Qualifikationen, Rollen
  • GebĂ€ude
  • Einrichtungen, AusrĂŒstung
  • Dokumente
  • Finanzen
  • IT und Telekommunikation
  • Dienstleister, Versorger, Auslagerungen
  • AbhĂ€ngigkeiten von anderen Prozesse und AktivitĂ€ten
  • Werkzeuge, Ersatzteile
  • EinschrĂ€nkungen hinsichtlich Logistik oder Regulatorik.

Auf Basis der BIA-Ergebnisse mit den Anforderungen an die Wiederherstellung erfolgt die Entwicklung der BCM-Strategien fĂŒr

  • ArbeitsplĂ€tze
  • Dienstleister
  • IT
  • Mitarbeiter
  • Technische AusrĂŒstung und Material.

Der Standard unterscheidet zwischen der Initialen BIA und der nachfolgenden (“typischerweise jĂ€hrlichen”) BIA-Aktualisierung. FĂŒr die initiale BIA wird angenommen, dass Informationen schlecht oder gar nicht verfĂŒgbar sind. In den nachfolgenden Aktualisierungen der BIA kann der Fokus dann verstĂ€rkt auf organisatorische Änderungen und Risikoakzeptanz gelegt werden.

Meine persönlichen Anmerkungen:

Beim ersten Lesen des Standards war ich positiv ĂŒberrascht, dass MTPD, RTO und RPO fast gar keine ErwĂ€hnung im Standard finden. Statt mit Begrifflichkeiten zu hantieren, wird tatsĂ€chlich der Fokus auf das zu erzielende Ergebnis einer BIA gelegt: die priorisierten Prozesse und Ressourcen. Aus meiner Sicht eine positive Ausrichtung. Die Ausgestaltung der Methodik obliegt den Unternehmen und kann damit grĂ¶ĂŸen- und risikoorientiert adjustiert werden. Der Standard gibt den erforderlichen Rahmen hierfĂŒr vor. Nicht mehr und nicht weniger.

Das lĂ€sst uns mit positiver Spannung auf den neuen Standard fĂŒr Supply Chain Continuity warten.

BCI-Studie “Counting The Cost” – BerĂŒcksichtigung der Kosten in der BIA

Im Rahmen der Business Continuity Awareness Week 2014 hat das Business Continuity Institute BCI in einer Meta-Analyse die Kosten von GeschĂ€ftsunterbrechungen aus mehreren Quellen zusammengetragen. Wie immer bei solchen Zahlenwerken ist zu hinterfragen, woher sie kommen und wie sie zu interpretieren sind, bevor man sie verwendet. So wird in diesem Dokument die Behauptung wiederholt, dass 40 bis 60 Prozent der Unternehmen ohne Notfallplan nach einem Notfall nicht wieder öffnen. So schön und plakativ werbend diese Aussage fĂŒr BCM ist, eine gesicherte und seriöse Quelle konnte fĂŒr diese Aussage leider noch nicht identifiziert werden. Trotzdem gibt diese Zusammenstellung an Studienergebnissen einen guten Überblick ĂŒber die Höhe von Ausfallkosten, Kostenarten sowie Ursachen, ergĂ€nzt um Branchenvergleiche. In einer Business Impact Analyse können Sie jedoch zu völlig anderen GrĂ¶ĂŸenordnungen kommen. Dies ist ganz stark davon abhĂ€ngig, wie der finanzielle Schaden einer GeschĂ€ftsunterbrechung berechnet wird. So macht es zum Beispiel einen enormen Unterschied, ob Personalausfallkosten mit einbezogen werden und zu welchen kalkulatorischen Stunden- bzw. TagessĂ€tzen dies erfolgt. Alternativ können zum Beispiel auch nur GuV-relevante Kostenfaktoren in die Schadenermittlung einbezogen werden. Die absoluten Werte sind in diesem Falle wesentlich geringer. Bei einer Business Impact Analyse ist weniger entscheidend, ob alle möglichen Kostenfaktoren mit einbezogen werden, sondern eine einheitliche und stringente Definition der zu berĂŒcksichtigenden Kosten, damit die Vergleichbarkeit gewĂ€hrleistet wird:

  • Ursachen der Kosten / KostentrĂ€ger (Unternehmen, Konzern, intern, extern)
  • Kostenarten (GuV-Kosten, OpportunitĂ€tkosten)
  • KalkulationssĂ€tze (Personal, IT)
  • BerĂŒcksichtigung von OpportunitĂ€tskosten
  • BerĂŒcksichtigung möglicher Versicherungsleistungen oder Schadenersatz
  • Direkte und indirekte Kostenwirkungen.

Entscheidend in der BIA ist die Vergleichbarkeit der Impact-EinschĂ€tzungen zwischen den Prozessen. SchĂ€tzen die Prozessexperten auf unterschiedlicher Basis mit unterschiedlichen PrĂ€missen und KalkulationssĂ€tzen sind die Ergebnisse der BIA fĂŒr die Prozesse nicht vergleichbar und die Ergebnisse der großen MĂŒhen faktisch wertlos. Wichtig ist es daher auch, nicht nur absolute Werte zu erheben, sondern auch die jeweilige Herleitung mit den verwendeten PrĂ€missen zu dokumentieren. Damit bleibt die Herleitung auch fĂŒr spĂ€tere Aktualisierungen und bei Personalwechseln nachvollziehbar. Ansonsten setzt das große RĂ€tselraten ein, wie denn die Zahlen zustande gekommen sein könnten. Dies wirft kein gutes Licht auf das BCM.

Die fĂŒnf Showstopper fĂŒr eine Business Impact Analyse

Die DurchfĂŒhrung der Business Impact Analyse ist die aufwĂ€ndigste Phase bei der Implementierung eines BCM. Die Fachbereiche mĂŒssen eingebunden werden, viele Daten erhoben und dokumentiert werden, AbhĂ€ngigkeiten analysiert und Entscheidungen getroffen werden. Obwohl dies umfangreiche AktivitĂ€ten sind, sollte eine BIA innerhalb eines ĂŒberschaubaren und möglichst kurzen Zeitraums abgeschlossen sein. Denn sonst holen die laufenden Änderungen in der Organisation die erreichten Ergebnisse wieder ein. Mit dem Ergebnis, dass das Implementierungsprojekt fortwĂ€hrend Schleifen in der BIA-Phase dreht und nicht zu den nĂ€chsten entscheidenden Phasen Strategie, Planung und Tests kommt. Ein hĂ€ufiger Grund fĂŒr endlose BIA-Projekte ist “Verzetteln”, mangelnder Pragmatismus und die leichtfertige Übernahme von Aufgaben.

FĂŒnf hĂ€ufige Showstopper sind

  1. Der Versuch Prozessmanagement zu betreiben:
    es liegen fĂŒr die BIA keine dokumentierten Prozesse vor oder das neue Prozessmodell ist seit Jahren in Arbeit. In einem BIA-Projekt wird es nicht gelingen “by the way” Prozessmodellierung mit zu betreiben. Insbesondere, wenn andere Projekte sich daren bereits die ZĂ€hne ausgebissen haben. FĂŒr die BIA reicht die Definition der Hauptaufgaben je Organisationseinheit aus. Maximal 10 bis 15 je Bereich. Die AbhĂ€ngigkeiten erheben wir dann im Rahmen der BIA. Wenn das Prozessmodell des Unternehmens dann einmal steht, sollten die beiden Modelle konsolidiert werden.
  2. die Versuchung IT-Architekturmanagement zu betreiben:
    In der BIA benötigen wir die IT-Anwendungsebene, um den Link zwischen den Prozessen / Hauptaufgaben und der IT abzubilden. Schwierig genug eine abgestimmte IT-Anwendungsliste (IT-Services) zu generieren, mit der die Fachabteilungen und die IT leben können. In der BIA geht die Fachabteilung vereinfachend davon aus, dass die IT-Anwendungen / IT-Services voll funktionsfĂ€hig zur VerfĂŒgung gestellt werden. Das heisst mit den aktuellen und korrekten Daten, den Vor- und Schnittstellenprogrammen, den Batch-Programmen und der IT-Infrastruktur bestehend aus Servern und Netzwerk. Im Rahmen des ITSCM werden die AbhĂ€ngigkeiten von der Ebene der IT-Anwendungen auf die darunter liegenden Schichten der IT-Architektur abgebildet und KritikalitĂ€ten vererbt.
  3. die Versuchung Risikomanagement zu betreiben:
    Das Risikomanagement ist in vielen Unternehmen bereits etabliert. Im BCM werfen wir mit unserer Brille einen Blick auf die Risiken des Unternehmens, die zu einer GeschĂ€ftsunterbrechung fĂŒhren können. Das Ziel des BCM ist es, NotfallplĂ€ne fĂŒr das Eintreten dieser Risiken zu entwickeln. Die quantitative Sicht auf die Risiken zur Ermittlung der Eigenkapitalvorsorge liegt weiterhin im klassischen Risikomanagement. BCM kann hier unterstĂŒtzen, wird das Risikomanagement aber nicht ersetzen.
  4. Methodenverliebtheit und fehlender Pragmatismus:
    Es lassen sich viele tolle und komplexe Methoden zur Impact-Analyse und Festlegung der kritischen Prozesse erfinden. Monte-Carlo-Simulationen und komplizierte Scoring-Verfahren lassen eine BIA schön kompliziert aussehen – und tĂ€uschen darĂŒber hinweg, dass es am Ende des Tages doch nur ExperteneinschĂ€tzungen sind, da uns Erfahrungswerte fehlen. Komplizierte Methoden machen die bIA fĂŒr die Fachbereiche aufwĂ€ndiger und unverstĂ€ndlicher. Dem Management die Ergebnisse und die Herleitung in kurzer Zeit zu vermitteln ist beinahe unmöglich. Keep it as simple as possible!
  5. GutmĂŒtigkeit und fehlende HĂ€rte:
    “das kann das BCM ja gerade mal mitmachen”, ist ein hĂ€ufiger und sehr gefĂ€hrlicher Satz. Eine saubere Abgrenzung zu den angrenzenden Bereichen ist elementar wichtig. Dies benötigt zuweilen HĂ€rte und fĂŒhrt zu Konflikten. Aber ansonsten machen wir im BCM einfach mal (IT-) Risikomanagement, Safety & Security, Umzugs- und Facility Management und viele weitere Themen einfach mal mit – ohne aber das Personal, Budget und die Zeit hierfĂŒr zu bekommen. Uns unser eigentliches Thema bleibt auf der Strecke liegen. Gehen Sie auf die anderen Bereiche zu, bleiben Sie aber hart und kompromisslos, wenn es an die Übernahme deren Aufgaben geht.

Welche Showstopper haben Sie in Ihren Projekten erlebt? Ich freue mich auf Ihre Kommentare!

BIA – die Suche nach dem “wunden Punkt”

Methodische Diskussionen verstellen manchmal den Blick, wozu eine Business Impact Analyse (BIA) dient. Im Kern geht es um die Identifikation der “wunden Punkte” eines Unternehmens. Wie bei einem Organismus gibt es in Unternehmen einige Stellen, an denen die Verwundbarkeit extrem groß ist. Boxer versuchen den Gegner ganz bewusst an bestimmten Stellen zu treffen, die zum sofortigen k.o. des Gegners fĂŒhrt. Eine dieser Stellen liegt im Bereich des Kinns. Bei einem Kinnhaken wird das Gehirn mit maximaler Wucht gegen die SchĂ€deldecke gedrĂŒckt, der Gegner geht unmittelbar zu Boden, der Kampf ist zu Ende.

Die internen und externen Leistungsprozesse eines Unternehmens sind hochgradig vernetzt. Auch kleine und scheinbare unbedeutende Unternehmensressourcen können zu einem dieser “Kinnhaken” fĂŒr ein Unternehmen werden. Diese “wunden Punkte” können innerhalb eines Unternehmens in Gestalt von Prozessen / Prozessschritten, Mitarbeitern, IT-Services, GebĂ€uden, Anlagen und Betriebsmittel vorliegen. An der Schnittstelle zur Umwelt des Unternehmens liegen die “wunden Punkte” hĂ€ufig bei Dienstleistern, Zulieferprodukten und in den Vertriebs- und AbsatzkanĂ€len.

In ProduktionsablĂ€ufen sind diese kritischen und sensiblen Stellen leichter zu identifizieren. Ein Auto kann noch so perfekt produziert sein, ohne ein Schließsystem ist es einfach nicht verkĂ€uflich. Der Ausfall des Herstellers fĂŒr Autoschlösser Kiekert im Jahr 1998 liegt zwar bereits lange Zeit zurĂŒck, ist aber ein sehr eindrĂŒckliches Beispiel, wie ein derartiger “Kinnhaken” zum k.o. und damit dem Produktionsausfall fĂŒhren kann.

Die immer stĂ€rkere internationale Vernetzung der Produktions- und Dienstleistungsprozesse, wie auch die deutliche Zunahme der Prozessgeschwindigkeiten fĂŒhrt zu mehr Effizienz und einem höheren Abwicklungsvolumen. Die Arbeitsteilung fĂŒhrt allerdings auf der anderen Seite zu einer deutlichen Erhöhung der Anzahl an “wunden Punkten”. Und diese “wunden Punkte” sind viel besser versteckt. Ein Drittel der AusfĂ€lle in der Lieferkette sind auf Ursachen in der nachgelagerten Lieferkette zum direkten  Lieferanten (>= Tier 2-Lieferanten) zurĂŒckzufĂŒhren, so das Ergebnis der Supply Chain Resilience Study 2012 des Business Continuity Institute BCI. Diese kritischen Stellen auszumachen um entsprechende Vorsorgemaßnahmen treffen zu können erfordert viel detektivisches GespĂŒr und einen ganz langen Atem. Die Identifikation der kritischen Prozesse innerhalb eines Unternehmens ist dagegen ein Kinderspiel. Auf diese Herausforderungen wird sich das Business Continuity Management in Zukunft immer stĂ€rker ausrichten mĂŒssen. Die methodischen Werkzeuge mĂŒssen fĂŒr diese Aufgabenstellungen weiterentwickelt werden. Insbesondere funktioniert dies jedoch nur, wenn das BCM nicht isoliert betrieben wird, sondern eng mit den anderen Unternehmensprozessen verzahnt wird. Im Supply Chain Continuity Management sind dies beispielsweise die Einkaufsprozesse. Erst das VerstĂ€ndnis BCM als integralen Bestandteil der Leistungsprozesse zu begreifen fĂŒhrt zu einer erhöhten Widerstandskraft “Resilience” und dem Schutz “wunder Punkte” im Unternehmen. BCM ist sozusagen die “Deckung des Boxers” fĂŒr das Unternehmen.