To BIA or not to BIA: That is the Question !

Abgelegt in: 4 Antworten

Den Business Impact analysieren oder nicht, das ist die Frage ! Oder ist sie es eher nicht? …

BCM dient ebenso wie ITSCM zur Absicherung eines Unternehmens und gehört nicht zu dessen Kerngeschäft. Somit trägt es nicht zur direkten Wertschöpfung bei. Dementsprechend gilt es, das Kontinuitätsmanagement so effizient und effektiv wie möglich zu gestalten. Hinzu kommt, dass Notfälle und Krisen die Ausnahmen und nicht die Regel sind bzw. sein sollten. Vielleicht lässt sich ja sogar auf die BIA verzichten?

Unter dem Aspekt der Wirtschaftlichkeit muss herausgefunden werden, wie unternehmenskritisch die erbrachten Leistungen oder Produkte und die hierzu erforderlichen Geschäftsprozesse sind, um sie dementsprechend abzusichern, Schwerpunkte setzen zu können und sich auf das Wesentliche zu konzentrieren. Die Kritikalität einer Leistung oder eines Produktes und damit die des Geschäftsprozesses im Zeitverlauf, d. h. sein zeitabhängiger Schutzbedarf,  lässt sich im Rahmen der BIA ermitteln: durch seinen Wertschöpfungsbeitrag und seine Bedeutung in Hinblick auf Unternehmensstrategie, Image und Bezugsgruppen, zu denen auch Kunden, der Gesetzgeber und Aufsichtsbehörden gehören. Beispielhaft veranschaulichen lässt sich dies durch den Schaden, der entsteht, wenn eine Leistung nicht mehr erbracht, oder ein Produkt nicht mehr hergestellt werden kann. Das auslösende Ereignis, d. h. die Ursache hierfür spielt bei der BIA keine Rolle.

Bei der Ermittlung des Business Impacts und für eine effiziente Vorgehensweise hilfreich sind die Zahlen aus den verschiedenen Controlling-Bereichen. So sind z. B. Umsatz, Wertschöpfungsbeitrag und Stückzahl sowie der Deckungsbeitrag je Kunde bzw. Kundengruppe bekannt. Wer die Pareto-Regel anwendet, erkennt oftmals Relationen, z. B. dass rund 80% des Deckungsbeitrags von ca. 20% der Produkte bzw. Services oder der Kunden kommen. So lässt sich mittels der BIA das Kerngeschäft identifizieren, das für das Unternehmen ertragsstark und damit kritisch ist.

Gegenüber dem Business Impact ergeben sich die Risiken anhand konkreter Bedrohungen. Ermittelt werden sie in der Risikoanalyse. Auch hier wird betrachtet, welcher Schaden in welcher Höhe entsteht, jedoch bezogen auf eine konkrete Bedrohung, d. h. Ursache. Zur Herstellung der Vergleichbarkeit der Risikowerte, die in der Risikoanalyse ermittelt werden, sollte dabei unterschieden werden zwischen Brutto- und Nettorisiko [1]. Da Unternehmen über ein Risikomanagement verfügen, liegt es nahe, darauf aufzubauen. Doch macht die Risikoanalyse die BIA verzichtbar?

Trotz Risikoanalyse ist die BIA üblicherweise erforderlich. Andernfalls bleiben die Auswirkungen von Bedrohungen, die noch nicht auftraten, nicht bekannt sind, nicht im Fokus liegen oder eine sehr kleine Eintrittswahrscheinlichkeit haben, außen vor. Da die Eintrittswahrscheinlichkeit von Ereignissen jedoch meist retrospektiv ist und Ereignisse erstmals oder trotz äußerst geringer Eintrittswahrscheinlichkeit sehr zeitnah auftreten können, hilft die BIA, den Blick auf den Schutzbedarf und die Folgen eines Ausfalls zu richten – unabhängig von der konkreten Ursache. Zudem beinhaltet die BIA bzw. sollte beinhalten den zeitlichen Verlauf der Folgen sowie die Erhebung von Abhängigkeiten, d. h. eines Teils des Interdependenznetzes [1]. Außerdem müssen im Rahmen der BIA und beim BCM Sicherheitsaspekte mit betrachtet werden.

 

Literatur:

[1] Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010

Geschrieben von

Als Autor von Fachbüchern und zahlreichen Artikeln bin ich Ihnen – zumindest namentlich – vielleicht bereits bekannt. Doch welche Vita verbirgt sich hinter diesem Namen?
Studium und Promotion machten mich bereits früh mit der IT vertraut. Meine berufliche Laufbahn startete ich im Bereich der Softwareentwicklung und –Spezifikation als Gruppenleiter. Als Ingenieur hatte ich gelernt, dass methodisches Vorgehen ein entscheidender Erfolgsfaktor ist, wenn Fehler vermieden und Aufgaben ohne unnötige Iterationen richtig und effizient gelöst werden sollen. Dies zumal dann, wenn die Aufgabenstellung – wie bei Software – komplex ist. Daher führte ich in meiner damaligen Entwicklergruppe das Software-Engineering ein. In meinem weiteren beruflichen Werdegang stellten sich die gemachten Erfahrungen beim Einstieg in ein internationales Softwarehaus als tragfähige Basis heraus. Zu Entwicklung und Spezifikation von Software kamen Teilprojektleitung, (Krisen-)Projekt-management, Test- und Qualitätsmanagement sowie Beratung und Prüfung, aber auch die Rollen Key Account Manager und Career Manager hinzu.
Bei der ACG Automation Consulting Group GmbH in Frankfurt (www.acg-gmbh.de), einer Unternehmensberatung für Organisation und Informationsverarbeitung, übernahm ich den Fachbereich Qualitäts- und Sicherheitsmanagement. Heute verantworte ich hier das Fach Competence Center Unternehmenssicherheit. Als Senior Management Consultant berate ich das Management zu den Themenfeldern (IT-)Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, IT-Service und IT Service Level Management sowie Sourcing.
Um die genannten Themen effizient, durchgängig und integrativ behandeln zu können, entwickelte ich in meiner Freizeit eine Vorgehensweise, in die meine langjährigen Praxis- und Beratungserfahrungen eingeflossen sind. Diese veröffentlichte ich gegen Ende des letzten Jahr-hunderts ;-). Die Anfrage des Vieweg-Verlags und mein Faible für’s Schreiben führten zur detaillierteren Veröffentlichung dieser Vorgehensweise in Buchform. Leserinnen und Lesern meiner Bücher „IT-Sicherheit mit System“ (4. Auflage, 2011) und „Handbuch Unterneh-menssicherheit“ (2. Auflage, 2010) sind die Sicherheitspyramide bzw. Sicherheitsmanagementpyramide sowie die Kontinuitäts- und die Risiko(management)pyramide bekannt.
Wenngleich diese Managementdisziplinen auch einzeln betrachtet werden können, habe ich sie aufgrund der vielfältigen Abhängigkeiten und zur Steigerung der Effizienz nicht nur im Handbuch Unternehmenssicherheit zusammengeführt. Die ganzheitliche Betrachtungsweise der Unternehmenssicherheit führt darüber hinaus zur Konsolidierung und Integration von Prozessen und Ressourcen unterschiedlicher Organisationseinheiten von der Arbeits-, Betriebs-, IT- und Gebäudesicherheit über BCM und ITSCM bis hin zum Risikomanagement für das Unternehmen und seine IT.
Ein weiteres Ergebnis meiner Autorentätigkeit ist das Buch „IT für Manager“, bei dessen Haupttitel – warum auch immer – inzwischen Verwechslungsgefahr besteht ;-).

    4 Responses

    1. K-R Mueller

      Dass dieser Artikel zu Kommentaren anregt, freut mich.

      Um Missverständnissen vorzubeugen, möchte ich Folgendes anmerken:

      In dem Artikel kann ich nicht erkennen, dass in ihm – wie im Kommentar von Herrn Hübert behauptet wird – z. B. postuliert wird, dass sich Geschäftsprozesse “aussschließlich der Bereitstellung einer spezifischen Leistung widmen und bei anderen Leistungen nicht benötigt werden”. Zudem lässt die Erwähnung des Interdependenznetzes in dem Artikel diesen Schluss nach meinem Verständnis erst recht nicht zu.

      Der Artikel spricht sich auch nicht dagegen aus, dass “nahezu alle Prozesse eines Unternehmens für die Bereitstellung wichtiger Dienstleistungen zumindest mittelbar erforderlich sind.” Denn andernfalls wären sie ja überflüssig. Die entscheidende Frage ist jedoch, inwieweit und in welchem Umfang sie in einem Notfall wann erforderlich sind. (siehe “zeitabhängiger Schutzbedarf”)

      Die Aussage im Kommentar “Risikoanalyse und BIA sind sogar im BCM-Lifecycle Konzept zwei verschiedene Aufgabenstellungen” bestätigt nach meinem Verständnis die Ausführungen des Artikels.

    2. Matthias Haemmerle

      Zum Kommentar von Rainer Hübert möchte ich anmerken:
      die Unterscheidung von kritischen und nicht kritischen Prozesse im Rahmen des BCM ist sehr wohl möglich. Es lassen sich hierfür messbare Kriterien wie Wertschöpfungsbeitrag bzw. finanzieller Impact, regulatorische Notwendigkeit oder Auswirkungen auf Image und Reputation festlegen. Prozesse der Personalentwicklung sind, um nur ein Beispiel zu nennen, von geringerer Zeitkritikalität für die Wiederherstellung als Prozesse des Zahlungsverkehrs in einer Bank. Und darum geht es im BCM in erster Linie: welche der Prozesse des Unternehmens benötige ich mit welcher Dringlichkeit und in welcher Form (Notbetrieb) nach einem Notfall wieder. Dabei gibt es eindeutig Prozesse mit einer hohen Zeitkritikalität und Prozesse mit niedriger Zeitkritikalität. Bei dieser “Hitliste der Prozesse für die Wiederherstellung” sind selbstverständlich Prozessabhängigkeiten zu berücksichtigen.Hierbei gibt es Vorgänger- oder Supportprozesse, die für die Leistungserbringung zwingend auch im Notfall erforderlich sind, oder aber auch nicht. Diese gilt es im Rahmen einer BIA nachvollziehbar zu identifizieren. Zudem wird in einer BIA der Umfang des Notbetriebs identifiziert und festgelegt. Hier geht es um die Frage, welche Personalkapazitäten und Arbeitsplätze werden nach dem Notfall und im Rahmen des Wiederanlaufs für die kritischen Prozesse benötigt. Eine Ableitung der Kritikalität von Prozessen aus dem Leistungen und Produkten eines Unternehmens ist ebenfalls grundsätzlich (!) möglich. Für Produktionsunternehmen mit Produktionslinien ist dies allerdings deutlich transparenter als für Dienstleistungsunternehmen. Ein produktionsunternehmen wird nach einem Notfall entscheiden, welche Produktionslinie mit welcher Priorität wieder aufgenommen wird und ob Produkte zunächst ganz aus dem Programm genommen werden. Hierfür gibt es praktische Beispiele, in denen ich in meinen Vorträgen berichte (Bsp. BCM-Fallstudie “Hansgrohe”). Den Produktkatalog für ein Finanzdienstleistungsunternehmen zu erstellen ist schon eine Herausforderung an sich und führt oftmals zu umfänglichen und nicht überschneidungsfreien Produktkatalogen, mit denen eine solche Ableitung für Prozesse tatsächlich nicht möglich ist. Der Weg direkt über die Geschäftsprozesse / Wertschöpfungsketten ist dann zielführender und stabiler, da sich Geschäftsprozesse weniger oft ändern als Produktkataloge.

    3. Rainer Hübert

      Dieser Text geht aus von der Annahme, dass es Geschäftsprozesse im Unternehmen gibt, die sich aussschließlich der Bereitstellung einer spezifischen Leistung widmen und bei anderen Leistungen nicht benötigt werden, und dass diese Beziehung eineindeutig ermittelt werden kann. Dies trifft im Ausnahmefall für einzelne Produktionsprozesse zu, aber im Allgemeinen sind alle Prozesse in einem Unternehmen miteinander verwoben und mehr oder weniger an allen Leistungsbereitstellungen beteiligt.

      Aus diesem Grund ist der Rückschluss von „wichtigen“ Leistungen und Produkte auf „kritische“ Prozesse irreführend, da – mit wenigen Ausnahmen im unmittelbaren Produktionsumfeld – nahezu alle Prozesse eines Unternehmens für die Bereitstellung wichtiger Dienstleistungen zumindest mittelbar erforderlich sind.

      Die Bedeutung (und damit die Kritikalität) einer Leistung oder eines Produktes für ein Unternehmen lässt sich im Rahmen einer ABC-Analyse einfach ermitteln. Das ist gängige Praxis in Marketing- und Controllingabteilungen. Es lässt sich daraus aber kein Rückschluss auf die Kritikalität der mit dieser Leistungserbringung verbundenen Prozesse ziehen, da eine diskriminierende Ableitung von kritischen und nicht-kritischen Prozessen aus der ABC-Analyse von Leistungen und Produkten nicht möglich ist. Auch umgekehrt unterscheiden Prozesse nicht zwischen kritischen und unkritischen Leistungen, für die sie erbracht werden.

      Risikoanalyse und BIA sind sogar im BCM-Lifecycle Konzept zwei verschiedene Aufgabenstellungen. Sie ergänzen einander, aber können und sollen sich nicht gegenseitig ersetzen. Die Risikonanalyse hat Risiken zum Gegenstand, die BIA Kritikalitäten. Das sind zwei völlig unterschiedliche Dinge, die natürlich auch völlig unterschiedliche Werkzeuge zu deren Ermittlung, Betrachtung und Analyse erfordern. Im sogenannten All-Hazard Ansatz wird international die Bedeutung einer Risikoanalyse für das Business Continuity sowieso schon zunehmend relativiert.

    4. T Schildbach

      Ich stimme vielleicht einigen Aussagen nicht unbedingt zu, allerdings finde ich den Ansatz wertvoll. Was will oder soll die BIA, welche Daten sind “sammelwert”, welche Synergien gibt es mit anderen Disziplinen, was ist der Geschaeftswert und die Verbindung dazu.
      Diese Fragen werden u.U. nicht gestellt und entsprechend das Einsammeln von Daten nicht zeitlich und mengenmaessig nicht optimiert. Das Ergebnis koennte eine wenig effektive und effiziente BIA sein, deren Datenmenge und Qualitaet sich nur bedingt zur Motivation der Folgeschritte und Beteiligten eignet.

    Schreibe einen Kommentar