Die Business-Impact-Analyse

Jedes Unternehmen muss sich vor Krisensituationen schützen, um bei Betriebsunterbrechungen seine Geschäftsfähigkeit so gut wie möglich aufrechtzuerhalten. Und da Vorkommnisse wie Naturkatastrophen, Cyberangriffe oder Diebstähle meist völlig überraschend auftreten, ist es notwendig, schon im Vorfeld mögliche Risiken zu identifizieren und effektive Strategien zu entwickeln. In diesem Zusammenhang spielt die Business-Impact-Analyse (BIA) eine zentrale Rolle. Diese dient dazu, die Auswirkungen einer Krise auf das Unternehmen in Form eines BIA-Berichts zu erfassen. Dabei ist es wichtig, Verknüpfungen und wechselseitige Abhängigkeiten innerhalb der Organisation zu erkennen – die Voraussetzungen für ein erfolgreiches Risikomanagement.

Eine Business-Impact-Analyse ist ein systematischer Prozess, der aus einer explorativen Komponente und einer Planungskomponente besteht. Die explorative Komponente umfasst die Ermittlung von potenziellen Risiken, denen ein Unternehmen bei Störungen des Geschäftsbetriebs gegenübersteht. Der Fokus liegt dabei auf den konkreten Auswirkungen, die bestimmte Vorkommnisse auf die Organisation und Bereiche wie Finanzen, Sicherheit, Marketing oder Qualitätssicherung haben. Die Planungskomponente besteht aus der Entwicklung von Strategien, die die Risiken minimieren sollen. Ergebnis der Analyse ist der BIA-Report, der neben dem Krisenmanagementplan ein wichtiger Bestandteil eines übergreifenden Kontinuitätsplans ist. Im Folgenden erläutern wir Vorgehensweise und Inhalt einer Business-Impact-Analyse im Detail.

Das Format und der genaue Inhalt einer BIA variieren von Unternehmen zu Unternehmen. Bei der Umsetzung durchlaufen Sie jedoch fast immer die folgenden Schritte:

1. Informationssammlung
2. Evaluierung der Informationen
3. Zusammenfassung der Ergebnisse
4. Präsentation vor dem Management

Die Erstellung eines BIA-Reports kann intern oder mithilfe externer Ressourcen erfolgen. Die Zusammenarbeit mit internen Mitarbeitern ist jedoch unverzichtbar, da diese wertvolles Wissen für den ersten Schritt liefern. In diesem identifizieren Sie nämlich alle bestehenden Geschäftsprozesse sowie die Zusammenhänge einzelner Funktionen und Bereiche. Diese Informationssammlung erfolgt oft durch persönliche Interviews oder automatisierte Umfragen. So fällt es leichter, Geschäftsfunktionen ihrer Wichtigkeit nach einzuordnen und die finanziellen und nichtfinanziellen Auswirkungen bei einem Ausfall einzuschätzen. Für das Zusammentragen der Analysedaten ist es hilfreich, folgende Fragen im Hinterkopf zu behalten:

• Inwiefern sind unterschiedliche Abteilungen von bestimmten Systemen und Geschäftsprozessen abhängig?
• Welche Art von Risiken bringen identifizierte Schwachstellen mit sich?
• Wer ist für Service Level Agreements zuständig?
• Welche und wie viele Mitarbeiter werden an einem Recovery-Standort benötigt?
• Welche Art von Ressourcen/Ausrüstung wird bei einem Ausfall benötigt?
• Wie sollten Bargeld-Management und Liquidität in der Recovery-Phase gehandhabt werden?

Haben Sie sich mit den obigen Fragen auseinandergesetzt, erkennen Sie schneller, welche Art von Daten Sie für Ihre Business-Impact-Analyse benötigen. In den meisten Fällen gilt es, die folgenden Informationen abzufragen:

• Name des Prozesses und genaue Beschreibung
• Zuständige Abteilung und Ort
• Menschliche und technische Ressourcen, die in den Prozess involviert sind
• Liste aller In- und Outputs des Prozesses
• Liste aller Abteilungen, die von Outputs abhängig sind
• Maximale Ausfallzeit ohne merkbare Auswirkungen
• Betriebliche und finanzielle Auswirkungen bei einem Ausfall
• Externe/rechtliche Auswirkungen bei einem Ausfall (z. B. Kunden, Behörden usw.)
• Beschreibung früherer Ausfälle und die damit verbundenen Folgen
• Beschreibung von Recovery-Prozeduren oder Arbeitsverlagerungen

Im zweiten Schritt werden alle gesammelten Informationen mithilfe von Wirtschaftsprüfern validiert und anschließend analysiert. Bei der computergestützten oder manuellen Analyse der Daten kommt es darauf an, die Funktionen, Systeme, Mitarbeiter und Ressourcen herauszustellen, die für die Kontinuität des Geschäftsverlaufs notwendig sind. Hier wird auch deutlich, in welchem Zeitrahmen ausgefallene Funktionen wiederhergestellt werden müssen, damit Sie Auswirkungen wie verspätete Lohnzahlungen, Imageschäden, Strafgelder oder Kundenzufriedenheit weitestgehend vermeiden können.

In den nächsten beiden Schritten geht es um die anschauliche Zusammenfassung der Ergebnisse und die Präsentation des BIA-Reports vor der Geschäftsleitung. Der Bericht kann Charts und Diagramme zur Visualisierung beinhalten, die mögliche Verluste und Recovery-Empfehlungen illustrieren. Um die Aussagen optimal zu stützen, fügen Sie Informationen zum Vorgehen sowie detaillierte Umfrageergebnisse im Anhang hinzu. Mit der folgenden Anleitung können Sie Ihre eigene Business-Impact-Analyse-Vorlage erstellen und je nach Bedarf anpassen.

In der folgenden Business-Impact-Analyse-Vorlage sehen Sie vier Tabellen, die so präzise wie möglich auszufüllen sind. Je treffender Sie die Prozesse, ihre Beziehungen und Implikationen beschreiben, desto besser greift ein Kontinuitätsplan.

• Spalte A: Geschäftsbereich – selbsterklärend
• Spalte B: Mitarbeiterzahl – Zahl der Vollzeitbeschäftigen im jeweiligen Geschäftsbereich
• Spalte C: Parent-Prozess – Beschreibung der Hauptfunktion des jeweiligen Geschäftsbereichs
• Spalte D: Prioritätseinstufung – Einordnung der Funktion(en) nach Wichtigkeit für Abläufe im jeweiligen Geschäftsbereich
• Spalte E: Recovery Time Objective – Benötigte Zeit zur Wiederherstellung des PP nach Störungsfall
• Spalte F: Recovery Point Objective – Genauer Zeitpunkt, zu dem PP wiederhergestellt sein sollte
• Spalte G: Parent-Prozess abhängig von – Namen der Organisationen/Prozesse, von die der PP abhängig ist
• Spalte H: Parent-Prozess benötigt von – Namen der Organisationen/Prozesse, die vom PP abhängig sind

• Spalte A: Sub-Prozess (SP) – Beschreibung der unterstützenden Funktionen, für die der jeweilige Geschäftsbereich zuständig ist
• Spalte B: Prioritätseinstufung – Einordnung der Funktion(en) nach Wichtigkeit für Abläufe im jeweiligen Geschäftsbereich
• Spalte C: Recovery Time Objective – Benötigte Zeit zur Wiederherstellung des SP nach Störungsfall
• Spalte D: Recovery Point Objective – Genauer Zeitpunkt, zu dem SP wiederhergestellt sein sollte
• Spalte E: Sub-Prozess abhängig von – Namen der Organisationen/Prozesse, von denen der SP abhängig ist
• Spalte F: Sub-Prozess benötigt von – Namen der Organisationen/Prozesse, die vom SP abhängig sind
• Spalte G: Quantitative Auswirkungen – Finanzielle Implikationen, die mit dem Sub-Prozess verbunden sind, z. B. generierter Jahresumsatz

• Spalte A: Qualitative Auswirkungen – Nichtfinanzielle Auswirkungen, z. B. Imageschäden
• Spalten B–G: Benötigte Zeit für Recovery von Personal – Zeigt an, wie viel Zeit benötigt wird, bis Mitarbeiter zum „Business almost as usual“ übergehen können

• Spalte A: Recovery-Strategie – Beschreibt die Schritte, die der Geschäftsbereich zur Wiederherstellung des normalen Workflows unternehmen kann, z. B. Homeoffice, provisorische Büroräume usw.
• Spalten B–G: Benötigte Zeit für Recovery von Technologie bzw. Services – Auflistung von notwendigen Netzwerk-Services oder IT-Systemen, die in einem bestimmten Zeitraum wiederhergestellt sein sollten

Eine Business-Impact-Analyse ist nicht zu verwechseln mit einer Risikobewertung. Beide sind wichtige Elemente eines Kontinuitätsplans, der u. a. auch die Krisenkommunikation umfasst. Eine BIA wird meistens vor einer Risikobewertung erstellt. Sie dient als Ausgangspunkt für die Geschäftsleitung, die auf Basis der fundierten BIA-Ergebnisse Strategien für die Geschäftskontinuität ausarbeitet. Eine BIA konzentriert sich also auf die Auswirkungen, die Vorfälle auf Geschäftsprozesse haben, und beziffert monetäre und nichtmonetäre Aufwände. Die Risikobewertung hingegen versucht bestimmte Gefahren wie Feuer, Erdbeben oder andere Naturkatastrophen zu erkennen. Dabei wird evaluiert, inwiefern Mitarbeiter, Immobilien oder die Versorgungskette eines Unternehmens von solchen Krisen gefährdet sind.