Die Business Impact Analyse – Schlüsselkomponente im Aufbau eines BCM-Systems
Das Business Continuity Management (BCM) ist ein Prozess zur Sicherstellung der Funktionsfähigkeit organisationskritischer Geschäftsprozesse, Fachverfahren und Ressourcen sowie die Wiederherstellung dieser im Not- und Krisenfall innerhalb einer definierten Wiederanlaufzeit. Dabei wird das Unternehmen in die Lage versetzt, schnell auf Ereignisse zu reagieren und mögliche Schäden zu minimieren. Wenngleich das BCM eine Reihe von Aktivitäten umfasst, ist die Business Impact Analyse (BIA) von zentraler Bedeutung.
Warum, erfahren Sie in diesem Artikel.
Die Business Impact Analyse ist ein wichtiger Schritt bei der Entwicklung eines BCM-Systems
Eine Business Impact Analyse (BIA) ist ein Prozess zur Identifizierung und Bewertung der Auswirkungen von Störungen auf die Geschäftstätigkeit eines Unternehmens. Sie ist wichtige Komponente eines umfassenden Business-Continuity-Management-Systems (BCMS), das sicherstellen soll, alle notwendigen Verfügbarkeitsanforderungen und Abhängigkeiten im Rahmen der Geschäftstätigkeit zu ermitteln.
Während einer BIA werden die kritischen Geschäftsprozesse und Ressourcen identifiziert und bewertet, um zu bestimmen, welche Auswirkungen ein Ausfall auf das Unternehmen haben könnte. Dies kann finanzielle Auswirkungen, den Verlust von Kunden oder Geschäftspartnern, rechtliche Konsequenzen und mögliche Image-Schäden des Unternehmens umfassen.
Die BIA ist ein wichtiger Schritt bei der Entwicklung eines BCM-Systems, da sie es einem Unternehmen ermöglicht, Prioritäten zu setzen und Ressourcen angemessen zuzuweisen. So wird sichergestellt, dass die kritischen Geschäftsfunktionen schnell wiederhergestellt werden können, wenn ein Notfall eintritt.
Herausforderungen einer Business Impact Analyse
Als grundlegendes Instrument des BCMS birgt die Durchführung dieser Analyse einige Fallstricke. Aus der Erfahrung heraus lässt sich ableiten, dass eine unzureichend durchgeführte BIA dazu führen kann, dass das BCMS nicht in der Lage ist, die Institution vollständig auf existentiell-gefährdende Ereignisse vorzubereiten oder unter Umständen sogar falsche Prozesse und Abteilungen vorbereitet. Eine fehlerhafte BIA kann dazu führen, dass man glaubt, auf ein drohendes Ereignis vorbereitet zu sein, jedoch im Ernstfall feststellt, dass die Vorbereitung unvollständig war. In diesem Fall muss man schnell reagieren, um das Ereignis zu bewältigen. Daher ist es von bedeutendem Wert, bei der Durchführung der BIA die folgenden Punkte im Hinterkopf zu behalten.
- Informationsbeschaffung
Die Beschaffung von Daten, wie zum Beispiel über Geschäftsprozesse und Ressourcen, kann schwierig sein, da diese Informationen oft in verschiedenen Abteilungen und Systemen des Unternehmens verteilt sind. - Datenaktualität
Die Aktualität der Daten ist wichtig, da sich die Geschäftsprozesse und Ressourcen im Laufe der Zeit ändern können. Daher müssen die Daten regelmäßig aktualisiert werden, um sicherzustellen, dass die Analyse auf dem neuesten Stand ist. - Subjektivität
Die Bewertung der Auswirkungen von Störungen auf die Geschäftstätigkeit durch die Prozessverantwortlichen im Rahmen der BIA-Interviews/-Workshops kann subjektiv sein, da verschiedene Personen unterschiedliche Ansichten und Wissensstände dazu haben, welche Geschäftsprozesse und Ressourcen am wichtigsten sind. - Komplexität
Die Durchführung einer BIA kann sehr komplex sein, insbesondere bei großen Unternehmen mit vielen Geschäftsprozessen und Ressourcen. Es kann beschwerlich sein, alle relevanten Faktoren in Betracht zu ziehen und eine umfassende Analyse durchzuführen. - Zeit- und Ressourcenbedarf
Eine BIA erfordert Zeit und Ressourcen, um durchgeführt zu werden. Die Schwierigkeit, die notwendigen Ressourcen für eine BIA aufzubringen, kann die Durchführung der Analyse erheblich verzögern und zu potenziell negativen Auswirkungen auf das Unternehmen führen. Eine gründliche Vorbereitung und Planung sind unerlässlich, um sicherzustellen, dass die BIA zeitnah abgeschlossen werden kann und alle relevanten Aspekte berücksichtigt werden. - BIA als Showstopper
Viele Unternehmen schaffen es nicht über die BIA hinauszukommen und die nächsten Schritte im BCM-Prozess zu konzipieren und umzusetzen. Dies liegt oftmals an der falschen Wahl der Methodik und des zu großen Prozess-Scopes, wodurch sich die BIA über mehrere Monate streckt. Ein Risiko dabei ist, dass die Akzeptanz der betroffenen und beteiligten Stakeholder und Prozessverantwortlichen schwinden kann, was wiederum zu erhöhten Aufwänden für Sensibilisierungsmaßnahmen führen kann.
Diese Herausforderungen sollten bei der Durchführung einer BIA berücksichtigt werden, um sicherzustellen, dass die Analyse möglichst genau und aussagekräftig ist. Zwar sind die Herausforderungen nicht unbedingt einfach zu bewältigen, sie stellen jedoch auch Chancen dar und können Synergiepotenzial mit anderen Managementsystemen heben.
Datenmanagement als Voraussetzung
Unter allen Herausforderungen ist die solide Datengrundlage von entscheidender Bedeutung für eine objektive Beurteilung der Business Impacts und damit für den Erfolg der BIA. Ein gutes Datenmanagement kann die Informationsbeschaffung deutlich vereinfachen. Es ermöglicht eine schnellere und effektivere Durchführung der BIA, senkt den Zeit- und Ressourcenbedarf und erleichtert die mathematische Berechnung von Kennzahlen in manchen Fällen. Es ist jedoch von großer Wichtigkeit, dass die Daten aktuell und korrekt sind, damit eine fundierte Analyse möglich ist.
Diese Informationen können außerdem sehr hilfreich für andere Managementsysteme sein, wie z. B. das Prozessmanagement. Zudem liegt eine Chance in der Beschaffung von Informationen darin, dass bekanntes Know-how zu Geschäftsprozessen, funktionalen Abläufen und Ressourcen bereits bei den involvierten Fachkräften innerhalb der Wertschöpfungskette des Unternehmens vorhanden ist. Dieses Wissen gilt es aufzugreifen und für die Ableitung der Kennzahlen zu nutzen. Ein weiterer wichtiger Faktor ist das Vertrauen in die Informationen der Ansprechpersonen, von denen die Daten geliefert werden. Obwohl man mit Erfahrung die Daten beurteilen kann, bleibt man immer auf die Richtigkeit der Informationen angewiesen.
Tolerierbare Ausfallzeit bzw. Untragbarkeitsniveau werden bestimmbar
Je nach Branche, in der die BIA durchgeführt wird, kann die minimal tolerierbare Ausfallzeit (MTA) präzise berechnet werden. Insbesondere in produktionsorientierten Unternehmen, bei denen jeder Prozess festgelegte Kapazitäten aufweist, kann die MTA genau ermittelt werden. Darüber hinaus ermöglicht die Untersuchung der Auswirkungen verschiedener Business-Continuity-Lösungen eine präzisere Analyse der Veränderungen der Zeiten.
In nicht produktionsorientierten Unternehmen oder in Institutionen, bei denen die einzelnen Prozesse nicht klar definierte Kapazitäten aufweisen, kann auf klassische kritikalitätsevaluierende Ansätze zurückgegriffen werden. Hierbei werden Experteninterviews durchgeführt, um festzustellen, wann das Untragbarkeitsniveau in den verschiedenen Schadenskategorien erreicht wird. Bei der Anwendung dieser Methode ist es von höchster Bedeutung, die Interviewpartner nicht subjektiv zu beeinflussen, um eine fundierte Entscheidungsfindung zu ermöglichen.
Fazit
Zusammenfassend lässt sich sagen, dass die BIA mit verschiedenen Methodiken durchgeführt werden kann. Dabei hat jede Variante seine spezifischen Herausforderungen und Chancen, welche es im Vorfeld abzuwägen gilt, damit die passende Methodik für den jeweiligen Unternehmenskontext gewählt werden kann. Denn im Kern der BIA geht es nicht um eine langwierige Analyse, die möglicherweise zu Awareness-Problemen führen kann, sondern um die Ermittlung des Business Impacts bei Ausfall kritischer Geschäftsprozesse und der notwendigen Verfügbarkeitsanforderungen. Nur dann kann in den darauffolgenden Schritten ein BCMS effizient umgesetzt werden.