A B C D E F G H I J K L M N O P R S T U V W Z

KPI

Key Performance Indicators (KPI) für das BCM. Wie misst man den Reifegrad und die Funktionsfähigkeit des Business Continuity Managements?

Der Reifegrad eines Business Continuity Management Systems lässt sich gut anhand der einzelnen Phasen des BCM Lifecycle messen. Für jede Phase kann der Reifegrad mittels Prüffragen erhoben und zum Beisiel in Form des Capability Maturity Model (CMM) in fünf Reifegraden abgebildet werden (1- initial; incomplete; 2 – managed; 3 – defined; 4- quantitatively managed; 5- Optimizing).

Beispiele für Fragen zum Reifegrad:

  • Policy und Programm-Management
    • gibt es eine vom Vorstand unterschriebene Policy?
    • gibt es definierte Verantwortlichkeiten für das BCM?
    • sind ausreichend Budget und Ressourcen für das BCM verfügbar?
    • Werden Gesetze, Normen, Standards, vertragliche Anforderungen berücksichtigt?
  • Einbettung in das Unternehmen
    • werden die Anforderungen des BCM bei Entscheidungen berücksichtigt?
    • Ist den Mitarbeitern mit einer Rolle  im BCM diese bekannt?
  • Analyse
    • Werden die kritischen Geschäftsprozesse in Form einer BIA ermittelt?
    • Wird die BIA regelmäßig aktualisiert?
    • Werden die kritischen Prozess-Ressourcen erhoben?
  • Design
    • Gibt es Notfallkonzepte für die BCM-Szenarien?
    • Gibt es Notfallplanungen für die kritischen Prozesse und deren Ressourcen?
  • Implementierung
    • Sind die Maßnahmen zur Notfallvorsorge umgesetzt und funktionsfähig?
  • Validierung
    • Finden regelmäßig Tests und Übungen statt?
    • Werden die Erkenntnisse aus Test und Übungen für korrigierende Maßnahmen verwendet?

Die Funktionsfähigkeit der Notfallvorsorgemaßnahmen im BCM lassen sich nur durch Ernstfälle (nicht angestrebt) und ersatzweise durch Tests und Übungen validieren. Hierfür steht die Phase “Validierung” im BCM Lifecycle.

Bei Tests und Übungen wird ermittelt

  • ob die Notfallkonzepte geeignet sind (Bsp. Erreichbarkeit Ausweich-Arbeitsplätze)
  • angestrebte Wiederanlaufzeiten erreicht werden (Vergleich RTO gegen Ist-Zeiten für Prozesse und Ressourcen, isb. IT)
  • die Notfallpläne richtig und ausreichend und zweckmäßig sind
  • die Erreichbarkeit im Rahmen der Alarmierung funktioniert

0 Responses

Schreibe einen Kommentar