Die Business-Impact-Analyse – Schlüsselkomponente im Aufbau eines BCM-Systems

Als grundlegendes Instrument des BCMS birgt die Durchführung dieser Analyse einige Fallstricke. Aus der Erfahrung heraus lässt sich ableiten, dass eine unzureichend durchgeführte BIA dazu führen kann, dass das BCMS nicht in der Lage ist, die Institution vollständig auf existentiell-gefährdende Ereignisse vorzubereiten oder unter Umständen sogar falsche Prozesse und Abteilungen vorbereitet. Eine fehlerhafte BIA kann dazu führen, dass man glaubt, auf ein drohendes Ereignis vorbereitet zu sein, jedoch im Ernstfall feststellt, dass die Vorbereitung unvollständig war. In diesem Fall muss man schnell reagieren, um das Ereignis zu bewältigen. Daher ist es von bedeutendem Wert, bei der Durchführung der BIA die folgenden Punkte im Hinterkopf zu behalten.

1. Informationsbeschaffung: Die Beschaffung von Daten, wie zum Beispiel über Geschäftsprozesse und Ressourcen, kann schwierig sein, da diese Informationen oft in verschiedenen Abteilungen und Systemen des Unternehmens verteilt sind.
2. Datenaktualität: Die Aktualität der Daten ist wichtig, da sich die Geschäftsprozesse und Ressourcen im Laufe der Zeit ändern können. Daher müssen die Daten regelmäßig aktualisiert werden, um sicherzustellen, dass die Analyse auf dem neuesten Stand ist.
3. Subjektivität: Die Bewertung der Auswirkungen von Störungen auf die Geschäftstätigkeit durch die Prozessverantwortlichen im Rahmen der BIA-Interviews/-Workshops kann subjektiv sein, da verschiedene Personen unterschiedliche Ansichten und Wissensstände dazu haben, welche Geschäftsprozesse und Ressourcen am wichtigsten sind.
4. Komplexität: Die Durchführung einer BIA kann sehr komplex sein, insbesondere bei großen Unternehmen mit vielen Geschäftsprozessen und Ressourcen. Es kann beschwerlich sein, alle relevanten Faktoren in Betracht zu ziehen und eine umfassende Analyse durchzuführen.
5. Zeit- und Ressourcenbedarf: Eine BIA erfordert Zeit und Ressourcen, um durchgeführt zu werden. Die Schwierigkeit, die notwendigen Ressourcen für eine BIA aufzubringen, kann die Durchführung der Analyse erheblich verzögern und zu potenziell negativen Auswirkungen auf das Unternehmen führen. Eine gründliche Vorbereitung und Planung sind unerlässlich, um sicherzustellen, dass die BIA zeitnah abgeschlossen werden kann und alle relevanten Aspekte berücksichtigt werden.
6. BIA als Showstopper: Viele Unternehmen schaffen es nicht über die BIA hinauszukommen und die nächsten Schritte im BCM-Prozess zu konzipieren und umzusetzen. Dies liegt oftmals an der falschen Wahl der Methodik und des zu großen Prozess-Scopes, wodurch sich die BIA über mehrere Monate streckt. Ein Risiko dabei ist, dass die Akzeptanz der betroffenen und beteiligten Stakeholder und Prozessverantwortlichen schwinden kann, was wiederum zu erhöhten Aufwänden für Sensibilisierungsmaßnahmen führen kann.

Diese Herausforderungen sollten bei der Durchführung einer BIA berücksichtigt werden, um sicherzustellen, dass die Analyse möglichst genau und aussagekräftig ist. Zwar sind die Herausforderungen nicht unbedingt einfach zu bewältigen, sie stellen jedoch auch Chancen dar und können Synergiepotenzial mit anderen Managementsystemen heben.

Unter allen Herausforderungen ist die solide Datengrundlage von entscheidender Bedeutung für eine objektive Beurteilung der Business Impacts und damit für den Erfolg der BIA. Ein gutes Datenmanagement kann die Informationsbeschaffung deutlich vereinfachen. Es ermöglicht eine schnellere und effektivere Durchführung der BIA, senkt den Zeit- und Ressourcenbedarf und erleichtert die mathematische Berechnung von Kennzahlen in manchen Fällen. Es ist jedoch von großer Wichtigkeit, dass die Daten aktuell und korrekt sind, damit eine fundierte Analyse möglich ist.

Diese Informationen können außerdem sehr hilfreich für andere Managementsysteme sein, wie z.B. das Prozessmanagement. Zudem liegt eine Chance in der Beschaffung von Informationen darin, dass bekanntes Know-how zu Geschäftsprozessen, funktionalen Abläufen und Ressourcen bereits bei den involvierten Fachkräften innerhalb der Wertschöpfungskette des Unternehmens vorhanden ist. Dieses Wissen gilt es aufzugreifen und für die Ableitung der Kennzahlen zu nutzen. Ein weiterer wichtiger Faktor ist das Vertrauen in die Informationen der Ansprechpersonen, von denen die Daten geliefert werden. Obwohl man mit Erfahrung die Daten beurteilen kann, bleibt man immer auf die Richtigkeit der Informationen angewiesen.

Je nach Branche, in der die BIA durchgeführt wird, kann die minimal tolerierbare Ausfallzeit (MTA) präzise berechnet werden. Insbesondere in produktionsorientierten Unternehmen, bei denen jeder Prozess festgelegte Kapazitäten aufweist, kann die MTA genau ermittelt werden. Darüber hinaus ermöglicht die Untersuchung der Auswirkungen verschiedener Business-Continuity-Lösungen eine präzisere Analyse der Veränderungen der Zeiten.

In nicht produktionsorientierten Unternehmen oder in Institutionen, bei denen die einzelnen Prozesse nicht klar definierte Kapazitäten aufweisen, kann auf klassische kritikalitätsevaluierende Ansätze zurückgegriffen werden. Hierbei werden Experteninterviews durchgeführt, um festzustellen, wann das Untragbarkeitsniveau in den verschiedenen Schadenskategorien erreicht wird. Bei der Anwendung dieser Methode ist es von höchster Bedeutung, die Interviewpartner nicht subjektiv zu beeinflussen, um eine fundierte Entscheidungsfindung zu ermöglichen.

Zusammenfassend lässt sich sagen, dass die BIA mit verschiedenen Methodiken durchgeführt werden kann. Dabei hat jede Variante seine spezifischen Herausforderungen und Chancen, welche es im Vorfeld abzuwägen gilt, damit die passende Methodik für den jeweiligen Unternehmenskontext gewählt werden kann. Denn im Kern der BIA geht es nicht um eine langwierige Analyse, die möglicherweise zu Awareness-Problemen führen kann, sondern um die Ermittlung des Business Impacts bei Ausfall kritischer Geschäftsprozesse und der notwendigen Verfügbarkeitsanforderungen. Nur dann kann in den darauffolgenden Schritten ein BCMS effizient umgesetzt werden.