Business Impact Analysen sind mit großem Aufwand auf Seiten des BCM und der Fachbereiche verbunden – lohnt sich diese große Investition oder geht es nicht auch einfacher?
Die Business Impact Analyse (BIA), ein Kernelement des BCM-Lebenszyklus, kommt immer stärker in die Kritik. Ziel der Business Impact Analyse ist die Identifikation der kritischen Geschäftsprozesse einer Organisation. Der BCM Standard ISO 22301:2019 fordert einen “Prozess umzusetzen und aufrecht zu erhalten, um die Prioritäten und Anforderungen für die Aufrechterhaltung der Betriebsfähigkeit zu ermitteln.”
Hierzu werden die Auswirkungen einer Störung über einen bestimmten Zeitablauf auf die Geschäftsprozesse ermittelt und auf dieser Basis die Wiederherstellungszeiten sowie Mindestkapazitäten für die kritischen Geschäftsprozesse festgelegt.
In der Praxis ist dies ein aufwändiger Prozess, verbunden mit zahlreichen Workshops und Interviews mit Prozessverantwortlichen, aufwändiger Datenerfassung in spezialisierten BCM-Tools oder alternativ in zahllosen Office-Dokumenten. Am Ende des Prozesses stehen die Management-Präsentationen mit der Vorstellung hart erarbeiteter BIA-Ergebnisse. Die Ergebnispräsentationen beinhalten dann die Darstellung der kritischen Geschäftsprozesse des Unternehmens, die wiederum keinen Überraschungseffekt bei den Entscheidern auslösen. “Das hätte ich Ihnen auch ohne die aufwändige Analyse sagen können”, mag dann noch eine harmlose Anmerkung zum Vorgehen sein.
Warum also nicht einen Workshop mit der Unternehmensleitung durchführen, die kritischen Geschäftsprozesse auf Basis des geballten versammelten Know-Hows festlegen und zur Notfallplanung übergehen? Dies entspricht, etwas verkürzt formuliert, der empfohlenen Vorgehensweise der BIA-Kritiker.
Sollten wir jetzt unsere hart erarbeitetes, mühevoll implementiertes und in BCM-Standards betoniertes Vorgehen zu den Akten legen und beschwingt den Rotstift bei der BIA anlegen?
Kritiker haben natürlich nicht immer recht, aber die Kritik hat fast immer einen validen Angriffspunkt. Die Business Impact Analyse nimmt in der Praxis oftmals einen großen Anteil des Aufwands bei der Implementierung und dem Betrieb des BCM in Anspruch. Zeit und Kapazität die dann möglicherweise für die Erstellung tragfähiger Notfallpläne und deren Tests und Übungen fehlt. Im Notfall hat noch keine BIA einen kritischen Geschäftsprozess wieder ans Laufen gebracht – stattdessen sind dies die Notfallpläne und -checklisten mit konkreten Handlungsanleitungen zum Vorgehen.
Die Business Impact Analyse hat jedoch einen entscheidenden Ergebnistyp, der sie vor dem Untergang retten kann: die Transparenz über kritische Unternehmensprozesse, interne und externe Prozess- und Ressourcenabhängigkeiten, bislang versteckte Risiken und gut verborgene IT-Anwendungen , individuelle Datenverarbeitung oder gar IT-Systeme.
Oftmals führt die Business Impact Analyse mit der Anforderung einer geschäftsprozessorientierten Sichtweise zur Wiederbelebung des längst frustriert beerdigten Geschäftsprozessmanagements. Das Wissen der verschiedenen Disziplinen im Unternehmen wird zusammengeführt. Die Übersicht der IT-Anwendungen aus der IT kann mit den in der BIA erhobenen Daten abgeglichen werden. Und siehe da, es werde Licht in der Schatten-IT. Geschäftskritische Web-Anwendungen und individuelle Datenverarbeitungskunstwerke (IDV) werden über die BIA sichtbar und den Prozessen zugeordnet. Prozessabhängigkeiten von Dienstleistern werden transparent und im digitalisierten Office zeigt sich, dass manche Prozessschritte doch immer noch auf physische Dokumente zurückgreifen müssen, geliefert über die Postdienste der Verwaltung. Alle diese Erkenntnisse sind in einem Management-Workshop nicht zu erzielen und von großer Bedeutung, nicht nur für das BCM, sondern viele andere Disziplinen im Unternehmen. Was läuft also falsch in der BIA? Warum ist die Kosten / Nutzen-Relation oftmals so verheerend schlecht?
Ein Grund hierfür kann in der mangelnden Vorbereitung der BIA liegen. Die sorgfältige Konfiguration der BIA mit der Festlegung und ausführlichen Beschreibung der Bewertungsmaßstäbe für die Schadensbewertung gehört zur BIA-Konfiguration. Vorbereitete Kalkulationsgrundlagen für finanzielle Schadensgrößen aus dem Controlling (Mengen, Umsätze, Deckungsbeiträge etc.), IT-Anwendungs-, Dienstleister- und Dokumentenverzeichnisse erhöhen die Qualität der BIA-Ergebnisse und senken den Erhebungsaufwand deutlich. Vorbereitende Workshops und Abstimmungen mit dem Controlling, Risikomanagement, Auslagerungsmanagement und der IT sichern die Wiederverwendung von Daten zwischen den Disziplinen und damit die Entlastung der Fachbereiche durch Mehrfacherhebung der gleichen Daten. Die Fokussierung der BIA auf potentiell kritische Geschäftsprozesse durch die nachvollziehbare Definition und Abstimmung eines BIA-Scope reduziert ebenfalls Zeit- und Erhebungsaufwände für das BCM und die Fachbereiche. Eine Kombination aus Workshops und Interviews mit den Fachbereichen entlastet diese in der Erhebungsphase.
Der BCM-Verantwortliche hat mit der BIA die große Chance, sein BCM in den Fachbereichen persönlich “zu verkaufen” und die relevanten Ansprechpartner persönlich kennenzulernen. Alleine dies ist ein starkes Argument für die Durchführung einer BIA mittels Workshops und Interviews.
Die Kritik an der Business Impact Analyse muss ernst genommen werden. Durch eine gute Vorbereitung und Durchführung kann die BIA aus meiner Sicht auch einer kritischen Kosten-Nutzen-Betrachtung bestehen. Nach der erstmaligen Durchführung der BIA im Rahmen der BCM-Implementierung sollte der laufende Aktualisierungsaufwand jedoch deutlich sinken. Dies machen gut organisierte Change Management Prozesse für die BIA-Daten (Bsp. Geschäftsprozesse, IT-Anwendungen, Dienstleister etc.), ein integrierter Datenhaushalt mit den anderen Disziplinen und geschulte Verantwortliche in den Fachbereichen möglich. Schwerpunkt der Zeit- und Kapazitätsaufwände sollten in der Betriebsphase des BCM bei der Validierung und Aktualisierung der Notfallkonzepte und -pläne liegen. Die Aktualisierung der BIA ist zwar wichtig, die Aktualisierung und Validierung der Notfallpläne hingegen ist kritisch für das Überleben in einem Notfall.
Matthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschafts-wissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.