Business Impact Analysis (BIA)
Business Impact Analysis (BIA) ist ein unverzichtbarer Bestandteil des Planung einer Organisation für Business Continuity, also der Fortsetzung des Geschäftsbetriebs unter widrigen Umständen. Sie enthält eine explorative Komponente zum Aufdecken von Schwachstellen und eine Planungskomponente zum Entwickeln von Strategien zur Risiko-Minimierung. Das Ergebnis der Analyse ist der sogenannte Business Impact Analysis Report, der die potenziellen Risiken für die untersuchte Organisation beschreibt. Eine der grundlegenden Annahmen bei BIA ist, dass jede Komponente einer Organisation zwar von der Funktion jeder anderen Komponente abhängig ist, aber einige davon weniger verzichtbar sind als andere. Letztere erfordern daher mehr finanziellen Aufwand, um Ausfällen vorzubeugen oder sie auszugleichen. Ein Unternehmen kann zum Beispiel in der Lage sein, den Geschäftsbetrieb mehr oder weniger normal aufrecht zu erhalten, wenn die Cafeteria geschlossen werden muss. Es würde aber gänzlich ins Stocken geraten, wenn das Informationssystem zusammenbricht.
Als Teil eines Plans für Disaster Recovery wird BIA in der Regel die Kosten identifizieren, die sich durch Ausfälle ergeben. Beispiele hierfür wären Cashflow-Einbußen, Ersetzen von Ausstattung, für das Aufarbeiten des Arbeitsrückstands anfallende Gehälter, Gewinneinbußen und dergleichen. Ein BIA-Bericht quantifiziert die Bedeutung von geschäftlichen Komponenten und schlägt eine angemessene Maßnahmen-Allokation zu deren Schutz vor. Die möglichen Ausfälle werden dabei im Hinblick auf ihre Auswirkungen auf Sicherheit, Finanzen, Marketing, Compliance und Qualitätssicherung bewertet. Wo es möglich ist, wird die Auswirkung für Vergleichszwecke in Geldeinheiten ausgedrückt. Ein Unternehmen kann zum Beispiel nach einem schweren Ausfall dreimal so viel für Marketing aufwenden müssen wie normalerweise, um das Vertrauen seiner Kunden zurück zu gewinnen.
Die BIA sollte auch die langfristigen Auswirkungen eines Desasters ermitteln und dabei helfen, Prioritäten, Recovery-Strategien, Zeitaufwände und Ressourcenanforderungen zu bestimmen.
BIA vs. Risikobewertung
Die Business Impact Analysis und die Risikobewertung sind zwei wichtige Bestandteile eines Business-Continuity-Plans. Eine BIA erfolgt meist vor der Risikobewertung. Die BIA konzentriert sich auf die Auswirkungen, die eine Störung auf wichtige Geschäftsprozesse hat und versucht, die finanziellen und nicht-finanziellen Aufwände zu beziffern. Dabei betrachtet die BIA die wichtigsten Teile eines Unternehmens. Eine BIA kann als Startpunkt für eine DR-Strategie dienen und die RTOs und RPOs sowie benötigten Ressourcen für Business Continuance überprüfen.
Eine Risikobewertung erkennt potenzielle Gefahren, wie beispielsweise Hurrikane, Erdbeben, Feuer, Ausfall von Zulieferern, Ausfall von Versorgungssystemen oder Cyber-Attacken. Die Risikobewertung evaluiert die gefährdeten Bereiche, die von einem Störfall bedroht würden. Zu diesen gehören Mitarbeiter, Immobilien, die Versorgungskette, IT, der Ruf des Unternehmens und Vertragsverpflichtungen. Schwachstellen, die einen Bereich besonders gefährdet machen, werden überprüft. Eine Schadensminderungsstrategie kann entwickelt werden, um die Wahrscheinlichkeit zu reduzieren, dass ein Desaster signifikante Auswirkungen hat.
Während der Phase der Risikobewertung lassen sich die Resultate der BIA mit verschiedenen Desasterszenarien abgleichen. Daraufhin können potenzielle Störungen priorisiert werden, basierend auf der Wahrscheinlichkeit eines Störfalls und seiner Auswirkungen auf die Geschäftsprozesse. Mit einer BIA lassen sich Investitionen in Schadensminderung und Vorbeugung sowie Recovery-Strategien rechtfertigen.
Wie man eine BIA umsetzt
Es gibt keine formellen Standards für eine BIA und die Methodologie kann je nach Unternehmen variieren. Eine BIA ist generell ein mehrstufiger Prozess, der folgende Schritte umfasst:
- Informationen sammeln.
- Die gesammelten Informationen evaluieren.
- Ein Report mit Ergebnissen zusammenstellen.
- Die Resultate dem Management präsentieren.
Ein Unternehmen kann eine BIA auch an externe Ressourcen abgeben oder interne wie externe Mitarbeiter in diesem Projekt integrieren.
Eine detaillierte Umfrage hilft dabei, wichtige Geschäftsprozesse, Ressourcen, Beziehungen und andere Informationen zu identifizieren, die dabei helfen, mögliche Auswirkungen eines Störfalls zu bewerten. Eine Schulung für involvierte Mitarbeiter ist sinnvoll, um das nötige Wissen darüber weiterzugeben. Informationen lassen sich auf unterschiedliche Weise zusammentragen, unter anderem durch persönliche Interviews oder automatisierte Umfragen.
Zu den gesammelten Informationen können Beschreibungen genereller Aktivitäten einzelner Abteilungen, subjektive Rankings der Wichtigkeit bestimmter Prozesse oder Namen von Personen und Unternehmen, die von normalen Betriebsprozessen abhängig sind, zählen. Darüber hinaus kommen noch Schätzungen über Auswirkungen auf spezielle Geschäftsfunktionen und die nicht-finanziellen Auswirkungen bei Verlust dieser Funktion hinzu. Zudem werden Informationen zu wichtigen Informationssystemen und deren Nutzern, Mitarbeitern, die für ein Restore benötigt werden sowie zum Zeitaufwand und den einzelnen Schritten des Recoverys hinzu.
Fragen, die in dieser Phase gestellt werden sollten umfassen:
- Wie sehen wechselseitige Abhängigkeiten von Systemen, Geschäftsprozessen und Abteilungen aus?
- Wie signifikant sind die Risiken von Problemstellen?
- Wer ist für SLAs verantwortlich?
- Welche Mitarbeiter und wie viel Platz benötigt man am Recovery-Standort?
- Benötigt man spezielle Ressourcen oder Kommunikationsausrüstung?
- Wie müssen Bargeldmanagement und Liquidität für ein Recovery gestaltet sein?
Darüber hinaus sollte eine BIA-Umfrage unbedingt folgende Informationen abfragen:
1 Der “funktionale Elternteil” des Prozesses. Das können Abteilungen oder Standorte sein.
2 Prozessname und detaillierte Beschreibung des Prozesses.
3 Liste aller In- und Outputs des Prozesses.
4 Die maximale Ausfallzeit bestimmen, in der noch keine Auswirkungen zu bemerken sind.
5 Beschreibung der finanziellen und betrieblichen Auswirkungen während eines Ausfalls.
6 Menschliche und technologische Ressourcen bestimmen, die den Prozess unterstützen. Dazu gehören unter anderem Computer, Netzwerk, Büros oder Mitarbeiter.
7 Auswirkungen auf Kunden von nach außen und innen gewendeten Prozessen sowie eine Liste der Abteilungen, die von den Prozess-Outputs abhängig sind.
8 Erklärung von rechtlichen und behördlichen Auswirkungen, die während eines Ausfalls entstehen können.
9 Beschreibung früherer Ausfälle und der damit verbundenen Auswirkungen.
10 Beschreibung von Behelfsprozeduren oder von Arbeitsverlagerung an andere Abteilungen oder externe Mitarbeiter.
Eine BIA für IT kann mit der Identifizierung von Anwendungen beginnen, die essentielle Geschäftsfunktionen unterstützen. Des Weiteren umfasst sie Informationen zu Wechselbeziehungen zwischen Systemen, möglichen Problemstellen und zu Kosten eines Systemausfalls. Die Analysephase betrachtet Risiken und priorisiert Verfügbarkeitsanforderungen sowie RTO und RPO.
Sind alle Informationen zusammengetragen, beginnt die Prüfungsphase in Absprache mit Wirtschaftsführern, die die Ergebnisse validieren können. Mittels einer Tabelle lassen sich Informationen organisieren und speichern, wie beispielsweise Interviewdetails, Geschäftsprozessbeschreibungen, Kostenschätzungen, erwartete Recovery-Zeiten und Ausstattungsverzeichnisse. Ein Diagramm wichtiger Geschäftsprozesse und Systeme sowie eine Workflow-Analyse können sinnvoll sein. Ein vorläufiger Report sollte die Möglichkeit für Feedbacks geben, bevor der finale Report angefertigt und abgegeben wird.
Die BIA-Resultate analysieren
Das Ziel der BIA ist es, die wichtigsten Geschäftsfunktionen und Systeme und die Mitarbeiter und Ressourcen für einen optimalen Geschäftsbetrieb zu identifizieren. Des Weiteren bestimmt die BIA den Zeitrahmen, in dem die Geschäftsfunktionen weitgehend normal wiederhergestellt werden müssen. Die Analyse kann manuell oder computergestützt erstellt werden.
Es ist allerdings anspruchsvoll, die Umsatzauswirkungen einer Geschäftsfunktion und die Langzeitauswirkungen auf den Marktanteil, das Geschäftsimage und die Kunden zu beziffern. Zu den Auswirkungen, die man beachten sollte, zählen verspätete Lohnzahlungen oder Einkommen, erhöhte Arbeitskosten, Bußgelder, Vertragsstrafen und Kundenunzufriedenheit.
Der BIA-Report umfasst eine kurze Zusammenfassung, Informationen zur Methodologie, detaillierte Ergebnisse verschiedener Geschäftsabteilungen sowie Charts und Diagramme, um potenzielle Verluste zu illustrieren, und Empfehlungen fürs Recovery. Der Report priorisiert die wichtigsten Geschäftsfunktionen, überprüft die Auswirkungen von Geschäftsausfällen und spezifiziert die rechtlichen und behördlichen Anforderungen. Darüber hinaus legt er tolerierbare Ausfallzeiten und Verluste fest und listet RTOs und RPOs auf. Darüber hinaus kann der Report Aktivitäten aufzählen, die für einen Restore notwendig sind.
Die Geschäftsleitung prüft den Report, um dann einen BC-Plan und eine DR-Strategie aufzusetzen. Die BIA sollte periodisch aktualisiert und überprüft werden, da sich auch die Geschäftsabläufe periodisch ändern können. Ein kostenloses Template für die Business Impact Analyse finden Sie hier.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!