Die Business Impact Analyse (BIA) ist ein zentraler Aspekt des sogenannten Business-Continuity-Plans, weil sie dazu dient, potenzielle Krisenauswirkungen auf das Unternehmen vorab zu erfassen. Für ein erfolgreiches Risikomanagement sind dabei vor allem wechselseitige Abhängigkeiten und Verknüpfungen innerhalb des Betriebs zu berücksichtigen.
Eine Definition der Business Impact Analyse
Die Business Impact Analyse ist ein unverzichtbarer Teil der Fortsetzung des normalen Geschäftsbetriebs unter widrigen beziehungsweise anomalen Umständen. Sie beinhaltet eine explorative Komponente, um Schwachstellen aufzudecken, sowie eine Planungskomponente zum Erarbeiten von Risiko-Minimierungs-Strategien. Das Ergebnis dieser Analyse bildet der sogenannte Business-Impact-Analyse-Report, welcher potenzielle Risiken für die untersuchte Organisation erfasst.
Eine der grundlegenden Annahmen der Business Impact Analyse ist, dass zwar jede Komponente in einer Organisation mit der Funktion einer anderen Komponente zusammenhängt, aber einige davon eher verzichtbar sind als andere. Letztere erfordern daher einen höheren finanziellen Aufwand, um Ausfälle zu vermeiden oder sie auszugleichen. So kann ein Unternehmen seinen Geschäftsbetrieb wahrscheinlich normal aufrechterhalten, wenn nur die Mensa geschlossen werden muss. Ganz anders sieht das aber aus, wenn das Informationssystem zusammenbricht.
Business Impact Analyse vs. Risikobewertung
Sowohl die BIA als auch die Risikobewertung gehören zum Business-Continuity-Plan. Eine Business Impact Analyse wird normalerweise vor der Risikobewertung durchgeführt. Sie konzentriert sich auf mögliche Auswirkungen, die Störungen auf wichtige Geschäftsprozesse haben und versucht, finanzielle und nicht finanzielle Aufwände zu beziffern, indem sie essenzielle Teile des Unternehmens betrachtet.
Eine Risikobewertung dient zur Erkennung potenzieller Gefahren, wie zum Beispiel großer Unwetter, Feuer, Erdbeben, dem Ausfall von Zulieferern oder Versorgungssystemen. Im nächsten Schritt evaluiert sie die gefährdeten Bereiche. Zu diesen zählen Immobilien, Mitarbeiter, IT, die Versorgungskette, Vertragsverpflichtungen und der Ruf des Unternehmens. Schwachstellen, die bestimmte Bereiche außerordentlich gefährden, werden geprüft. Eventuell wird auch eine Schadensminderungsstrategie entwickelt, um desaströsen Auswirkungen entgegenzuwirken.
In der Phase der Risikobewertung können Resultate der Business Impact Analyse mit diversen Katastrophenszenarien abgeglichen werden. Das wiederum ermöglicht die Priorisierung potenzieller Störungen, womit die BIA auch zur Rechtfertigung von Investitionen in die Bereiche der Schadensminderung und -vorbeugung sowie Recovery-Strategien dient.
Die Vorgehensweise
Das Format und den genauen Inhalt der Business Impact Analyse gestaltet jedes Unternehmen individuell. Dennoch werden bei der Umsetzung fast immer dieselben Schritte durchlaufen:
- Sammeln von Informationen
- Evaluieren der Informationen
- Zusammenfassung der Ergebnisse
- Präsentation
Einen BIA-Report zu erstellen, kann intern oder mit externen Ressourcen erfolgen. So oder so ist die Zusammenarbeit mit internen Angestellten unverzichtbar, weil sie über wertvolles Wissen für den ersten Schritt verfügen. In diesem gilt es nämlich, bestehende Geschäftsprozesse und Zusammenhänge einzelner Bereiche und Funktionen zu identifizieren.
Gesammelt werden können die Informationen durch automatisierte Umfragen oder persönliche Interviews. Das macht es leichter, Geschäftsfunktionen gemäß ihrer Wichtigkeit einzuordnen und finanzielle sowie nicht finanzielle Auswirkungen eines möglichen Ausfalls abzuschätzen. Folgende Fragen sind dabei hilfreich:
Inwieweit sind unterschiedliche Abteilungen von bestimmten Geschäftsprozessen und Systemen abhängig?
- Welche Risiken bringen die identifizierten Schwachstellen mit sich?
- Wer kümmert sich um Service-Level-Agreements?
- Welche und wie viele Angestellte braucht es an einem Recovery-Standort?
- Welche Art von Ausrüstung/Ressourcen werden bei einem Ausfall benötigt?
- Wie sind Liquidität und Bargeld-Management in der Recovery-Phase zu handhaben?
Sammeln von Informationen
Sobald die obigen Fragen beantwortet wurden, ist es viel einfacher, die Daten für die Business-Impact-Analyse zu sammeln. In den meisten Fällen geht es um diese Informationen:
- Name und genaue Beschreibung des Prozesses
- Zuständige Abteilung
- Technische und menschliche Ressourcen, die involviert sind
- Liste aller Inputs und Outputs des Prozesses
- Liste aller von Outputs abhängigen Abteilungen
- Maximale Ausfallzeit ohne merkliche Auswirkungen
- Finanzielle und betriebliche Folgen bei einem Ausfall
- Rechtliche/externe Folgen bei einem Ausfall
- Beschreibung ehemaliger Ausfälle und die damit zusammenhängenden Folgen
- Beschreibung von Arbeitsverlagerungen oder Recovery-Prozeduren
Evaluieren der Informationen der Business Impact Analyse
Im nächsten Schritt gilt es die gesammelten Informationen durch Wirtschaftsprüfer zu validieren und analysieren. Im Rahmen der manuellen oder computergestützten Datenanalyse kommt es darauf an, die Systeme, Funktionen, Ressourcen und Mitarbeiter herauszustellen, die für den kontinuierlichen Geschäftsverlauf nötig sind. Hier stellt sich auch heraus, in welchem Zeitrahmen die ausgefallenen Funktionen wiederherzustellen sind, um Auswirkungen wie Imageschäden, verspätete Lohnzahlungen, Kundenunzufriedenheit oder Strafgelder weitestgehend zu vermeiden.
Business Impact Analyse: Zusammenfassen und präsentieren
Die letzten beiden Schritte umfassen die anschauliche Zusammenfassung und Präsentation der Ergebnisse des BIA-Reports. Im Bericht können Diagramme und Charts zur Visualisierung enthalten sein, sowie Illustrationen von potenziellen Verlusten und Recovery-Empfehlungen. Um die Aussagen fundiert zu gestalten, sind bestenfalls Informationen zum Vorgehen inklusive detaillierter Umfrageergebnissen im Anhang beizufügen.