BCI-Studie “Counting The Cost” – Berücksichtigung der Kosten in der BIA

Im Rahmen der Business Continuity Awareness Week 2014 hat das Business Continuity Institute BCI in einer Meta-Analyse die Kosten von Geschäftsunterbrechungen aus mehreren Quellen zusammengetragen. Wie immer bei solchen Zahlenwerken ist zu hinterfragen, woher sie kommen und wie sie zu interpretieren sind, bevor man sie verwendet. So wird in diesem Dokument die Behauptung wiederholt, dass 40 bis 60 Prozent der Unternehmen ohne Notfallplan nach einem Notfall nicht wieder öffnen. So schön und plakativ werbend diese Aussage für BCM ist, eine gesicherte und seriöse Quelle konnte für diese Aussage leider noch nicht identifiziert werden. Trotzdem gibt diese Zusammenstellung an Studienergebnissen einen guten Überblick über die Höhe von Ausfallkosten, Kostenarten sowie Ursachen, ergänzt um Branchenvergleiche. In einer Business Impact Analyse können Sie jedoch zu völlig anderen Größenordnungen kommen. Dies ist ganz stark davon abhängig, wie der finanzielle Schaden einer Geschäftsunterbrechung berechnet wird. So macht es zum Beispiel einen enormen Unterschied, ob Personalausfallkosten mit einbezogen werden und zu welchen kalkulatorischen Stunden- bzw. Tagessätzen dies erfolgt. Alternativ können zum Beispiel auch nur GuV-relevante Kostenfaktoren in die Schadenermittlung einbezogen werden. Die absoluten Werte sind in diesem Falle wesentlich geringer. Bei einer Business Impact Analyse ist weniger entscheidend, ob alle möglichen Kostenfaktoren mit einbezogen werden, sondern eine einheitliche und stringente Definition der zu berücksichtigenden Kosten, damit die Vergleichbarkeit gewährleistet wird:

  • Ursachen der Kosten / Kostenträger (Unternehmen, Konzern, intern, extern)
  • Kostenarten (GuV-Kosten, Opportunitätkosten)
  • Kalkulationssätze (Personal, IT)
  • Berücksichtigung von Opportunitätskosten
  • Berücksichtigung möglicher Versicherungsleistungen oder Schadenersatz
  • Direkte und indirekte Kostenwirkungen.

Entscheidend in der BIA ist die Vergleichbarkeit der Impact-Einschätzungen zwischen den Prozessen. Schätzen die Prozessexperten auf unterschiedlicher Basis mit unterschiedlichen Prämissen und Kalkulationssätzen sind die Ergebnisse der BIA für die Prozesse nicht vergleichbar und die Ergebnisse der großen Mühen faktisch wertlos. Wichtig ist es daher auch, nicht nur absolute Werte zu erheben, sondern auch die jeweilige Herleitung mit den verwendeten Prämissen zu dokumentieren. Damit bleibt die Herleitung auch für spätere Aktualisierungen und bei Personalwechseln nachvollziehbar. Ansonsten setzt das große Rätselraten ein, wie denn die Zahlen zustande gekommen sein könnten. Dies wirft kein gutes Licht auf das BCM.

Die fünf Showstopper für eine Business Impact Analyse

Die Durchführung der Business Impact Analyse ist die aufwändigste Phase bei der Implementierung eines BCM. Die Fachbereiche müssen eingebunden werden, viele Daten erhoben und dokumentiert werden, Abhängigkeiten analysiert und Entscheidungen getroffen werden. Obwohl dies umfangreiche Aktivitäten sind, sollte eine BIA innerhalb eines überschaubaren und möglichst kurzen Zeitraums abgeschlossen sein. Denn sonst holen die laufenden Änderungen in der Organisation die erreichten Ergebnisse wieder ein. Mit dem Ergebnis, dass das Implementierungsprojekt fortwährend Schleifen in der BIA-Phase dreht und nicht zu den nächsten entscheidenden Phasen Strategie, Planung und Tests kommt. Ein häufiger Grund für endlose BIA-Projekte ist “Verzetteln”, mangelnder Pragmatismus und die leichtfertige Übernahme von Aufgaben.

Fünf häufige Showstopper sind

  1. Der Versuch Prozessmanagement zu betreiben:
    es liegen für die BIA keine dokumentierten Prozesse vor oder das neue Prozessmodell ist seit Jahren in Arbeit. In einem BIA-Projekt wird es nicht gelingen “by the way” Prozessmodellierung mit zu betreiben. Insbesondere, wenn andere Projekte sich daren bereits die Zähne ausgebissen haben. Für die BIA reicht die Definition der Hauptaufgaben je Organisationseinheit aus. Maximal 10 bis 15 je Bereich. Die Abhängigkeiten erheben wir dann im Rahmen der BIA. Wenn das Prozessmodell des Unternehmens dann einmal steht, sollten die beiden Modelle konsolidiert werden.
  2. die Versuchung IT-Architekturmanagement zu betreiben:
    In der BIA benötigen wir die IT-Anwendungsebene, um den Link zwischen den Prozessen / Hauptaufgaben und der IT abzubilden. Schwierig genug eine abgestimmte IT-Anwendungsliste (IT-Services) zu generieren, mit der die Fachabteilungen und die IT leben können. In der BIA geht die Fachabteilung vereinfachend davon aus, dass die IT-Anwendungen / IT-Services voll funktionsfähig zur Verfügung gestellt werden. Das heisst mit den aktuellen und korrekten Daten, den Vor- und Schnittstellenprogrammen, den Batch-Programmen und der IT-Infrastruktur bestehend aus Servern und Netzwerk. Im Rahmen des ITSCM werden die Abhängigkeiten von der Ebene der IT-Anwendungen auf die darunter liegenden Schichten der IT-Architektur abgebildet und Kritikalitäten vererbt.
  3. die Versuchung Risikomanagement zu betreiben:
    Das Risikomanagement ist in vielen Unternehmen bereits etabliert. Im BCM werfen wir mit unserer Brille einen Blick auf die Risiken des Unternehmens, die zu einer Geschäftsunterbrechung führen können. Das Ziel des BCM ist es, Notfallpläne für das Eintreten dieser Risiken zu entwickeln. Die quantitative Sicht auf die Risiken zur Ermittlung der Eigenkapitalvorsorge liegt weiterhin im klassischen Risikomanagement. BCM kann hier unterstützen, wird das Risikomanagement aber nicht ersetzen.
  4. Methodenverliebtheit und fehlender Pragmatismus:
    Es lassen sich viele tolle und komplexe Methoden zur Impact-Analyse und Festlegung der kritischen Prozesse erfinden. Monte-Carlo-Simulationen und komplizierte Scoring-Verfahren lassen eine BIA schön kompliziert aussehen – und täuschen darüber hinweg, dass es am Ende des Tages doch nur Experteneinschätzungen sind, da uns Erfahrungswerte fehlen. Komplizierte Methoden machen die bIA für die Fachbereiche aufwändiger und unverständlicher. Dem Management die Ergebnisse und die Herleitung in kurzer Zeit zu vermitteln ist beinahe unmöglich. Keep it as simple as possible!
  5. Gutmütigkeit und fehlende Härte:
    “das kann das BCM ja gerade mal mitmachen”, ist ein häufiger und sehr gefährlicher Satz. Eine saubere Abgrenzung zu den angrenzenden Bereichen ist elementar wichtig. Dies benötigt zuweilen Härte und führt zu Konflikten. Aber ansonsten machen wir im BCM einfach mal (IT-) Risikomanagement, Safety & Security, Umzugs- und Facility Management und viele weitere Themen einfach mal mit – ohne aber das Personal, Budget und die Zeit hierfür zu bekommen. Uns unser eigentliches Thema bleibt auf der Strecke liegen. Gehen Sie auf die anderen Bereiche zu, bleiben Sie aber hart und kompromisslos, wenn es an die Übernahme deren Aufgaben geht.

Welche Showstopper haben Sie in Ihren Projekten erlebt? Ich freue mich auf Ihre Kommentare!

BIA – die Suche nach dem “wunden Punkt”

Methodische Diskussionen verstellen manchmal den Blick, wozu eine Business Impact Analyse (BIA) dient. Im Kern geht es um die Identifikation der “wunden Punkte” eines Unternehmens. Wie bei einem Organismus gibt es in Unternehmen einige Stellen, an denen die Verwundbarkeit extrem groß ist. Boxer versuchen den Gegner ganz bewusst an bestimmten Stellen zu treffen, die zum sofortigen k.o. des Gegners führt. Eine dieser Stellen liegt im Bereich des Kinns. Bei einem Kinnhaken wird das Gehirn mit maximaler Wucht gegen die Schädeldecke gedrückt, der Gegner geht unmittelbar zu Boden, der Kampf ist zu Ende.

Die internen und externen Leistungsprozesse eines Unternehmens sind hochgradig vernetzt. Auch kleine und scheinbare unbedeutende Unternehmensressourcen können zu einem dieser “Kinnhaken” für ein Unternehmen werden. Diese “wunden Punkte” können innerhalb eines Unternehmens in Gestalt von Prozessen / Prozessschritten, Mitarbeitern, IT-Services, Gebäuden, Anlagen und Betriebsmittel vorliegen. An der Schnittstelle zur Umwelt des Unternehmens liegen die “wunden Punkte” häufig bei Dienstleistern, Zulieferprodukten und in den Vertriebs- und Absatzkanälen.

In Produktionsabläufen sind diese kritischen und sensiblen Stellen leichter zu identifizieren. Ein Auto kann noch so perfekt produziert sein, ohne ein Schließsystem ist es einfach nicht verkäuflich. Der Ausfall des Herstellers für Autoschlösser Kiekert im Jahr 1998 liegt zwar bereits lange Zeit zurück, ist aber ein sehr eindrückliches Beispiel, wie ein derartiger “Kinnhaken” zum k.o. und damit dem Produktionsausfall führen kann.

Die immer stärkere internationale Vernetzung der Produktions- und Dienstleistungsprozesse, wie auch die deutliche Zunahme der Prozessgeschwindigkeiten führt zu mehr Effizienz und einem höheren Abwicklungsvolumen. Die Arbeitsteilung führt allerdings auf der anderen Seite zu einer deutlichen Erhöhung der Anzahl an “wunden Punkten”. Und diese “wunden Punkte” sind viel besser versteckt. Ein Drittel der Ausfälle in der Lieferkette sind auf Ursachen in der nachgelagerten Lieferkette zum direkten  Lieferanten (>= Tier 2-Lieferanten) zurückzuführen, so das Ergebnis der Supply Chain Resilience Study 2012 des Business Continuity Institute BCI. Diese kritischen Stellen auszumachen um entsprechende Vorsorgemaßnahmen treffen zu können erfordert viel detektivisches Gespür und einen ganz langen Atem. Die Identifikation der kritischen Prozesse innerhalb eines Unternehmens ist dagegen ein Kinderspiel. Auf diese Herausforderungen wird sich das Business Continuity Management in Zukunft immer stärker ausrichten müssen. Die methodischen Werkzeuge müssen für diese Aufgabenstellungen weiterentwickelt werden. Insbesondere funktioniert dies jedoch nur, wenn das BCM nicht isoliert betrieben wird, sondern eng mit den anderen Unternehmensprozessen verzahnt wird. Im Supply Chain Continuity Management sind dies beispielsweise die Einkaufsprozesse. Erst das Verständnis BCM als integralen Bestandteil der Leistungsprozesse zu begreifen führt zu einer erhöhten Widerstandskraft “Resilience” und dem Schutz “wunder Punkte” im Unternehmen. BCM ist sozusagen die “Deckung des Boxers” für das Unternehmen.

Save the date: Treffen des BCM-Grüpple Stuttgart am 11. Juni

Das BCM-Grüpple ist am 11. Juni ab 14:00 Uhr zu Gast bei ComBack in Oberreichenbach (Anfahrtsbeschreibung-CITA). Neben einer Führung durch das ehemalige  Ausweichzentrum der Landesregierung BW werden wir uns in diesem Termin inhaltlich der Business Impact Analyse widmen. Die BIA ist und bleibt eines der Kernelemente des BCM und stellt bei der Durchführung hohe Anforderungen. Wir versuchen, die Fragen und Probleme gemeinsam zu erörtern und Good Practices herauszufinden. Die Treffen des BCM-Grüpple sind offen für alle Interessierte. Bitte melden Sie sich bei admin@bcm-news oder doodle zu dem Termin an, damit wir disponieren können.

Wichtiger organisatorischer Hinweis:

Für den Zutritt ist aus Sicherheitsgründen zwingend ein Lichtbildausweis erforderlich!

Rainer Hübert: Warum die Business Impact Analyse (BIA) nicht funktioniert

Das Business Continuity und Resiliency Journal hat zusammen mit continuitycentral einen Wettbewerb “Business Continuity Paper of the Year 2012” ausgeschrieben. Rainer Hübert, MBCI aus Hannover, hat dafür einen Artikel “Why the Business Impact Analysis does not work” eingereicht, der als einer der sechs besten Beiträge des Wettbewerbs im Journal veröffentlicht wurde, wie continuitycentral berichtete: http://www.continuitycentral.com/feature0974.html.

Wer Herrn Hübert seine Email-Adresse schickt (rh@rex-systems.de), dem sendet er diesen Artikel gerne zu.

Rainer Hübert ist übrigens offenbar nicht der Einzige, der so denkt.

Hier ein weiterer Beitrag, der ähnlich argumentiert:

http://www.ez-planner.net/the-bia-survey-an-effort-in-futility

 

Anmerkungen der Redaktion:

Die Thesen von Rainer Hübert in diesem Artikel werden sicherlich nicht von jedem BCMer geteilt. Wir freuen uns auf Ihre Kommentare und eine interessante Diskussion hierzu in den BCM-News zu diesem Artikel.

Kommentar: Die Verführungen eine Business Continuity Managers

Business Continuity Manager sind auch nur Menschen und auch in diesem Job lauern Verführungen, die den BC Manager leicht vom rechten Weg abbringen können. Das beginnt mit der Business Impact Analyse. Auf den Geschäftsprozessen soll sie basieren. Und natürlich Wertschöpfungsketten durch die gesamte (nationale und internationale) Organisation unter Einbeziehung der Dienstleister berücksichtigen. Geschäftsprozesse? Ein alter Hut, möchte man denken. Weiterlesen…

BIA-Template

Die Webseite SearchDisasterRecovery.com hat einen Beispiel-Fragenkatalog für einen BIA-Fragebogen sowie ein Word-Template für einen BIA-Fragebogen zur Verfügung gestellt. Templates kann man ja grundsätzlich nie genug haben. Während ich den Fragenkatalog für die BIA-Fragen sehr umfassend und hilfreich  finde, ist das Word-Template zum Ausfüllen zu wenig strukturiert und damit auch nur sehr schwer auswertbar. Ich bin zudem kein Freund umfangreicher textlicher Beschreibungen und Erläuterungen in BIA-Fragebögen. Word und Excel bieten mittlerweile umfangreiche und leicht einsetzbare Formularfunktionen (Bsp. Drop-Down-Felder), die das Ausfüllen für den Fachbereich und die nachfolgende Auswertung durch das BCM extrem vereinfachen. Ein Gespräch, in dem der ausgefüllte Fragebogen einmal gemeinsam durchgegangen wird, ist zum Verständnis des Geschäfts ohnehin viel zielführender.

im BCM-Forum sammle ich übrigens die öffentlichen Templates, denen ich habhaft werden kann.

BIA-Tool für das iPhone, iPad und iPod touch [update]

Für die Durchführung der BIA gibt es verschiedene Lösungsansätze wie selbstgebaute Fragebögen auf Basis von Office (Word, excel etc.), webbasierte Questionnaires und Abfragemasken in BCM-Tools. Nachdem viele Lösungen, die früher nur auf dem PC nutzbar waren, mittlerweile als App in das iPhone Einzug halten, war es nur eine Frage der Zeit, bis die BIA auch als App auf das iPhone kommt. Weiterlesen…

Risiko “Weihnachten”

Die Feuerwehr meldet, dass die Anzahl der Wohnungsbrände zum Jahresende deutlich zunimmt. Mit jeder Woche kommt ein Risikofaktor “brennende Kerze” hinzu. Zudem werden die Adventskränze trocken und entzünden sich schneller. Insgesamt nimmt die Anzahl der Wohnungsbrände jedoch ab. Der Trend geht zum elektrischen Licht. Doch obwohl die Anzahl der Wohnungsbrände zurückgeht bleibt das Schadensniveau stabil. Dies liegt daran, dass die Einrichtungsgegenstände wie zum Beispiel Fernseher immer wertvoller und teurer werden. Das Risiko setzt sich eben aus Eintrittswahrscheinlichkeit und Schadenshöhe zusammen. Kann man im Haushalt den potentiellen Schaden noch relativ schnell per Augenschein ermitteln, dient im BCM die Business Impact Analyse hierzu. Die Zusammenhänge sind komplexer und neben dem finanziellen Schaden sind auch nicht-monetäre Schadensfolgen wie Image- und Reputationsschaden oder Verstösse gegen gesetzliche und aufsichtsrechtliche Bestimmungen in Unternehmen zu berücksichtigen. Eine sinkende (gefühlte) Eintrittswahrscheinlichkeit könnte dazu verleiten, das Risiko als geringer zu betrachten. Häufig stehen sinkenden Eintrittswahrscheinlichkeiten steigende Impacts zum Beispiel aus dem Unternehmens-, Umsatz und Kundenwachstum oder durch die Anschaffung teurer Anlagen (Produktionsanalgen, IT) gegenüber. Eine Business Impact Analyse deckt diese Zusammenhänge auf und ist daher elementarer Bestandteil des Risiko- und Business Continuity Managements.