Tipps für die Durchführung einer Business-Impact-Analyse
Eine Business-Impact-Analyse ist ein wichtiger Teil des Business-Continuity-Prozesses, der geschäftskritische Funktionen analysiert. Welchen Beitrag leistet DR? Ein Leitfaden.
Eine BIA (Business Impact Analysis) beschreibt die Bewertung der Folgen von Unterbrechungen des Geschäftsbetriebs. Sie ist von entscheidender Bedeutung zur Beurteilung der Rolle technischer Lösungen für Disaster Recovery (DR) bei der Abschwächung dieser Folgen, insbesondere der Kosten. Eine BIA hat mehrere entscheidende Wirkungsfelder: Sie unterstützt die Geschäftsleitung bei Entscheidungen, sie schafft ein tieferes Verständnis zum Unternehmen an sich und sie liefert Einsichten zu den Tools, Prozessen und Ergebnissen, insbesondere zu den DR-Lösungen.
Die Redaktion hat eine kostenlose Vorlage für eine Business-Impact-Analyse erstellt, die kostenlos heruntergeladen werden kann. Diese Vorlage soll die Verantwortlichen bei der Planung des Business-Continuity-Managements (BCM) unterstützt. Laden Sie die Vorlage hier herunter und drucken Sie sie aus, und lesen Sie dann die Schritt-für-Schritt-Anleitung und die Best Practices unten, um eine BIA zu erstellen.
Die Bedeutung einer BIA
Die Durchführung einer Business Impact Analysis ist eine hervorragende Möglichkeit, mehr über ein Unternehmen zu erfahren. Neben der Ermittlung von Wiederherstellungsprioritäten und Zeitrahmen kann eine BIA auch Möglichkeiten zur Prozessverbesserung aufzeigen.
Bei Benutzung der BIA-Mustervorlage lassen sich schon Erkenntnisse über die wichtigsten Komponenten und Abteilungen einer Organisation erarbeiten und erkennen, wo sie am anfälligsten ist. Die Organisation kann dann ihre verschiedenen Funktionen bewerten und nach Prioritäten ordnen. Dieser Prozess ist nicht nur im Zusammenhang mit BC/DR (Business Continuity/Disaster Recovery) wertvoll, sondern auch für die allgemeine Leistungsfähigkeit des Unternehmens. In der BIA werden auch rechtliche, wettbewerbsrechtliche, rufschädigende, regulatorische und Compliance-Anforderungen berücksichtigt.
Die Erkenntnisse einer BIA liefern die Schlüssel zur Festlegung von BC/DR-Strategien, wie sie für jedes Unternehmen wichtig sind. Mit einer BIA kann ein Unternehmen zwei Metriken untersuchen:
- Recovery Time Objective – RTO (Wiederherstellungszeit-Ziel). Das ist die maximale Zeitspanne, die für die Wiederherstellung nach einem Vorfall benötigt werden kann.
- Recovery Point Objectrive – RPO (Wiederherstellungspunkt-Ziel). Die Datenmenge, deren Verlust man sich leisten kann.
Beide Metriken werden zur Formulierung von BC/DR-Plänen verwendet. Da es sich bei der BIA um ein sich entwickelndes Dokument handelt, das in regelmäßigen Abständen überprüft werden sollte, bietet sie dem Unternehmen die Möglichkeit, sich selbst zu analysieren und Verbesserungsmöglichkeiten zu ermitteln.
Vorbereitung einer Business Impact Analysis
BIAs stellen die ersten Schritte bei der Analyse eines Unternehmens dar. Sie beschäftigen sich mit Menschen, Prozessen, Technik und Einrichtungen. Nach Abschluss einer BIA werden in einer Risikoanalyse die Risiken, Bedrohungen und Schwachstellen ermittelt, denen das Unternehmen ausgesetzt ist. Das sind im Besonderen jene Situationen, die den Geschäftsbetrieb stören könnten. Anhand der Risikoanalyse lässt sich feststellen, wie sich die ermittelten Risiken auf bestimmte Geschäftsabläufe auswirken könnten. Unter der Annahme, dass alle Geschäftsfunktionen normal ablaufen, sollte die Organisation voll funktionsfähig, wettbewerbsfähig und finanziell solide sein. Mit diesen Aktivitäten können Firmen danach streben, ungeplante Ereignisse zu verhindern und, falls sie doch eintreten, deren Folgen zu mindern.
BIAs helfen BC/DR-Fachleuten, wirtschaftliche Prioritäten des Unternehmens leichter zu identifizieren. Die Analysen liefern Informationen zu den notwendigen Ressourcen für das Erreichen dieser unternehmerischen Ziele. Für die BIA müssen zum Beispiel Fragebögen aufgebaut werden. Mit diesen werden in persönlichen Interviews Daten gesammelt. Personen mit fundierten Kenntnissen und Erfahrungen in den zu analysierenden Unternehmensbereichen sind die idealen Kandidaten für diese Interviews.
Cloud-basierte und automatisierte BC/DR-Planungs-Tools enthalten häufig Module für die BIA und die Risikoanalyse. Sie bieten zudem Funktionen zur leichteren Datenerfassung und -analyse. Es ist auch hilfreich, die Beschreibung des Vorfalls in den Interviews ebenso zu erfassen. Beispiele für solche Situationen sind die folgenden:
- Der von einer Abteilung oder einem Unternehmensbereich genutzt Teil eines Gebäudes wird zerstört/beschädigt.
- Dabei sind alle Aufzeichnungen, Dateien, Technologien, Materialien und andere unterstützende Systeme verloren gegangen.
- Einige wichtige Mitarbeiter fallen aus.
- Die Kerngeschäftsprozesse sind ab sofort und für mindestens 30 Tage beeinträchtigt.
- Die Katastrophe ereignete sich in einer Zeit, in der der Unternehmensbereich Spitzenleistungen erbracht hat.
Die Beschreibung des Vorfalls hilft dabei, die Reaktion des Befragten auf spezifische Risiken und Bedrohungen abzustimmen.
Der abschließende BIA-Bericht sollte Einzelheiten zu den RTOs für Systeme und Anwendungen, den RPOs für kritische Daten, der Nutzung von Remote-Arbeitsplätzen, der Abhängigkeit von internen und externen Systemen und Anwendungen sowie zu den finanziellen, betrieblichen und reputationsbezogenen Auswirkungen einer Unterbrechung des Geschäftsbetriebs enthalten.
Tipps zur Durchführung einer Business Impact Analysis
Die BIA dient also zur Ermittlung der Bedeutung geschäftskritischer Prozesse, zu deren Dokumentation und Priorisierung. Im Folgenden einige Tipps zur Durchführung:
- Eine Grundvoraussetzung ist die Unterstützung der Arbeiten an der Analyse durch die obersten Managementebene. Angesichts der Eigenheiten von BIAs, wie das Erkunden einzelner Prozesse, und des Zeitaufwands für die Gespräche und Messungen, ist die Zustimmung der Unternehmensleitung wichtig, damit die Finanzierung der BIA-Arbeiten und die Kooperation der Mitarbeiter sichergestellt sind.
- Ernsthaftigkeit ist essenziell. Auch wenn das Sammeln und Analysieren von BIA-Daten viel Zeit in Anspruch nehmen kann, setzen die Analysen die richtigen Informationen voraus, weshalb die Daten aktuell und genau sein sollten.
- Anwendung der aktuellen BIA-Norm. Die ISO 22317:2015, „Societal security – Business continuity management systems – Guidelines for business impact analysis (BIA)“, die 2015 von der ISO veröffentlicht wurde, enthält nützliche Hinweise zur Verbesserung des BIA-Prozesses.
- Einfach bleiben. Das Sammeln der richtigen Informationen ist wichtig; die zugehörige BIA-Vorlage bietet eine Grundlage für das Sammeln von Informationen. Wenn eine BIA-Zusammenfassung, die nur eine Seite lang ist, alle relevanten Informationen enthält, ist das akzeptabel. Es muss nicht eine BIA-Dokumentation mit Dutzenden Seiten sein.
- Überprüfen Sie die Ergebnisse mit den Abteilungen. Sobald der Plan fertiggestellt ist, sollten Sie die Ergebnisse mit den Leitern der Geschäftsbereiche und der IT-Abteilung besprechen, um die Annahmen zu überprüfen.
- Flexibilität ist Trumpf. Die BIA-Vorlage in diesem Beitrag kann so wie sie ist verwendet oder an die Anforderungen angepasst werden.
Verwendung der Vorlage für die Business Impact Analysis
Die BIA-Vorlage liefert Struktur und Inhalt für die Analyse und schließt auch Vorschläge für die wichtigsten zu behandelnden Themen und die durchzuführenden Aktivitäten ein. Tabellen helfen beim Organisieren und Verwalten der Daten. Ein automatisiertes BIA-Tool führt durch den Prozess, so dass bei den vorgegebenen Schritten eigentlich nur die Daten an den angegebenen Stellen eingegeben werden müssen:
- Name der Geschäftseinheit. Geben Sie den Namen des Geschäftsbereichs ein.
- Anzahl der Mitarbeiter. Geben Sie die Anzahl der Vollzeitbeschäftigten in der Geschäftseinheit ein, optional auch die Anzahl der Teilzeitbeschäftigten und der Auftragnehmer, falls zutreffend.
- Übergeordneter Prozess. Beschreiben Sie die Haupttätigkeiten des Geschäftsbereichs, zum Beispiel Vertrieb, Schnittstelle zu Vertragspartnern oder Verwaltung von Anlegerbeziehungen.
- Rangfolge der Prioritäten. Geben Sie eine Zahl für die subjektive Rangfolge der Wichtigkeit des Prozesses ein.
- Geben Sie einen Zeitrahmen an, zum Beispiel eine Stunde oder eine Woche. RTO-Werte geben die Zeit an, die ein übergeordneter Prozess mindestens benötigt, um nach einer Unterbrechung fast wie gewohnt weiterarbeiten zu können.
- Geben Sie einen Zeitrahmen ein, beispielsweise eine Stunde oder einen Tag. RPO-Werte geben einen Zeitpunkt an, ab dem ein Verlust von Daten des übergeordneten Prozesses nach einer Unterbrechung akzeptabel ist.
- Übergeordneter Prozess hängt ab von. Geben Sie die Namen von Organisationen, Prozessen und Technologien ein, zum Beispiel das Internet oder bestimmte Anwendungen, die der übergeordnete Prozess für den normalen Betrieb benötigt.
- Übergeordneter Prozess benötigt von. Geben Sie die Namen von Organisationen und Prozessen ein, die für den normalen Betrieb vom übergeordneten Prozess abhängen.
- (Optional) Unterprozess. Geben Sie eine Beschreibung der unterstützenden Aktivitäten ein, die die Einheit durchführt, wie beispielsweise Verkauf oder Finanzanalyse.
- (Optional) Prioritätsrangfolge. Geben Sie eine Zahl für die subjektive Rangfolge der Teilprozesse und ihre Bedeutung für die Geschäftseinheit und/oder das Unternehmen ein.
- (Fakultativ) RTO. Geben Sie einen Zeitrahmen an, innerhalb dessen der Teilprozess nach einer Unterbrechung wiederhergestellt und neu gestartet werden muss.
- (Fakultativ) RPO. Geben Sie einen Zeitrahmen an, der einen akzeptablen Verlust von Teilprozessdaten nach einer Störung kennzeichnet.
- (Optional) Teilprozess hängt ab von. Geben Sie die Namen der Organisationen, Prozesse und Technologien an, von denen der Teilprozess für den normalen Betrieb abhängt.
- (Optional) Teilprozess wird benötigt von. Geben Sie die Namen von Organisationen und Prozessen an, die für den normalen Betrieb von dem Unterprozess abhängen.
- Quantitative Auswirkung. Geben Sie einen finanziellen Betrag ein, zu Beispiel den Jahresumsatz, der durch den Prozess generiert wird, der mit dem übergeordneten Prozess verbunden ist.
- Qualitative Auswirkung. Geben Sie eine nicht finanzielle Auswirkung auf das Unternehmen an, zum Beispiel den Verlust von Reputation oder Kunden, der mit dem übergeordneten Prozess verbunden ist.
- Erforderliche Zeit zur Wiederherstellung des Personals. Geben Sie die geschätzte Zeit an, die benötigt wird, um die Mindestanzahl an Mitarbeitern zu aktivieren, die das Unternehmen für die Wiederherstellung und Wiederaufnahme des Betriebs benötigt.
- Geben Sie spezifische Maßnahmen an, die die Geschäftseinheit und/oder das Unternehmen ergreifen kann – zum Beispiel Heimarbeit oder Verlegung des Arbeitsplatzes in einen anderen Bereich – um den Geschäftsbetrieb wiederherzustellen und auf einem minimal akzeptablen Niveau fortzusetzen.
- Wiederherstellungszeit für Technologie und Dienste. Geben Sie die Systeme und Dienste an, die innerhalb eines bestimmten Zeitrahmens wiederhergestellt werden müssen.
Einordnung der Business-Impact-Analyse in die Business-Continuity-Planung
Da eine BIA die Auswirkungen von finanziellen, wettbewerblichen oder rufschädigenden Unterbrechungen und Vorfällen auf eine Organisation identifiziert, sollte sie zu den Schlüsselkomponenten des BC/DR-Plans einer Organisation gehören. Eine BIA hilft auch bei der Festlegung von Wiederherstellungsstrategien, die Unternehmen bei der Reaktion auf Katastrophen jeder Größenordnung anwenden können.
Das Template für die Analyse der Auswirkungen sollte vor einer Risikobewertung ausgefüllt werden. Die Vorlage enthält spezifische Angaben zu den Systemen, Technologien, Einrichtungen, Prozessen und Mitarbeitern einer Organisation sowie zu den Auswirkungen eines Vorfalls auf diese Bereiche. Bei der Risikobewertung werden potenzielle Risiken, Bedrohungen und Schwachstellen für das Unternehmen sowie die Wahrscheinlichkeit ihres Eintretens ermittelt.
Sobald die BIA und die Risikobewertung abgeschlossen sind, kann das Unternehmen seinen detaillierten BC/DR-Plan erstellen. Es ist wichtig, jedes Element des BC/DR-Plans zu überprüfen und zu testen und ihn bei Bedarf zu überarbeiten, da die Wiederherstellungsprozesse validiert werden müssen, um sicherzustellen, dass sie im Bedarfsfall funktionieren.
Anwendung/Implementierung
Weil die BIA die geschäftskritischen Elemente der Organisation identifiziert, bevor ein Notfall oder eine Katastrophe eintreten, trägt sie dazu bei, den Reaktionsprozess so schnell wie möglich in Gang zu setzen. Wenn man weiß, welche Elemente am schnellsten wiederhergestellt werden müssen, kann man sicherstellen, dass die Wiederherstellungsziele erreicht werden.
Falls es zu einer Störung oder Katastrophe kommt, ist es entscheidend, dass die BC/DR-Pläne zur Verfügung stehen – und zwar so, dass sie für die richtigen Mitarbeiter tatsächlich zugänglich sind und systemunabhängig vorliegen, beispielsweise als gedruckter Ablaufplan. Diese Pläne müssen selbstverständlich zuvor getestet sein, so dass die Verfahren „blind“ befolgt werden können. Dann tragen die BIA und die BC/DR-Pläne wirklich dazu bei, das Unternehmen bei der Wiederherstellung des Geschäftsbetriebs zu unterstützen. Deshalb sollten alle wichtigen BC/DR-Dokumente, einschließlich der BIA, elektronisch und in gedruckter Form leicht zugänglich sein.
Während ein Ereignis stattfindet, müssen das Krisenmanagement und die Kommunikationsteams Zugang zu allen relevanten BC/DR-Dokumenten, einschließlich der BIA, haben. Das Krisenmanagementteam muss die Befugnis haben, während des Ereignisses wichtige Entscheidungen zu treffen, während das Kommunikationsteam den Betroffenen wichtige Informationen über das Ereignis zukommen lassen muss.
Nach dem Ereignis sollte die Organisation prüfen, wie gut ihre verschiedenen Notfallteams gearbeitet haben, und einen Nachbericht erstellen, in dem beschrieben wird, was funktioniert hat und was nicht. Darin sollten auch Empfehlungen für Verbesserungen, einschließlich Aktualisierungen der BIA, enthalten sein.
Ziele einer BIA
Die BIA hilft den Mitarbeitern nicht nur zu verstehen, wie das Unternehmen funktioniert, sondern zeigt auch Lücken auf, die für Angriffe oder Missbrauch (und auch für menschliche Irrtümer) ausgenutzt werden könnten. Zu den Zielen einer BIA sollten folgende Punkte gehören:
- die Bestimmung der wichtigsten Geschäftsfunktionen und der sie unterstützenden Systeme
- die Ermittlung der finanziellen, betrieblichen, rechtlichen und rufschädigenden Kosten, wenn diese Systeme gestört oder zerstört würden
- die Berechnung von Werten für RPOs und RTOs
- die Festlegung der akzeptablen Mindestanforderungen für die Wiederherstellung
- die Treffen mit den Verantwortlichen für die kritischen Geschäftsprozesse, um sicherzustellen, dass die Informationen korrekt und auf dem neuesten Stand sind
- die Analyse von Risiken, Bedrohungen und Schwachstellen
- das Absegnen des BIA-Berichts und der Maßnahmen durch die Geschäftsführung
Vorteile einer BIA
Die Durchführung einer BIA bringt unter anderem folgende Vorteile mit sich:
- Der Prozess bringt die Unternehmensleitung dazu, über die Organisation und ihre wichtigsten Elemente zu diskutieren. Am Ende könnte ein Unternehmen Bereiche finden, in denen Verbesserungen erforderlich sind.
- Eine umfassende BIA, die mit Hilfe der BIA-Vorlage erstellt werden kann, ist ein wesentlicher Bestandteil des Entwicklungsprozesses des BC/DR-Plans.
- Die BIA liefert prägnante, relevante Informationen über die wichtigsten Geschäftsaktivitäten und -merkmale eines Unternehmens sowie über die Kosten, die entstehen, wenn diese Elemente gestört oder zerstört werden.
- Durch die Durchführung einer BIA erhöht die Organisation ihre Chancen auf eine erfolgreiche Wiederherstellung und Wiederaufnahme des Geschäftsbetriebs.
Voraussetzungen einer BIA
Eine BIA bringt den Bedarf an Personal, Unterstützung und technischen Ressourcen mit sich. Teamarbeit ist essenziell. Das beginnt bei der Person, die die Vorlage für die Analyse ausfüllt, bis hin zu den Führungskräften, die den BIA-Bericht genehmigen. Da Beiträge aus verschiedenen Abteilungen erforderlich sind, muss das BIA-Team sorgfältig darauf achten, die zutreffenden Daten rechtzeitig zu beschaffen.
In den BIAs muss hervorgehoben werden, wer welche Rolle bei den spezifischen Aktionspunkten spielt. In einem größeren Unternehmen könnte ein ganzes Krisenmanagementteam für die Wiederherstellung zuständig sein. In einem kleinen Unternehmen kann es sein, dass eine Person verschiedene Rollen ausfüllen muss. Deshalb ist es wichtig, dass alle wissen, was sie zu tun haben. Für die Kontinuität sollten die Handlungsschritte allen klar erläutert werden, damit bei Bedarf ein anderes Teammitglied einspringen kann.
BIAs können als Teil des gesamten BC/DR-Plans angelegt werden. Je nach Umfang des Tests, entsprechend der Unternehmenskultur und gemäß dem Engagement der Unternehmensleitung sollten ausgewählte Mitarbeiter in Testsituationen einbezogen werden. So sind diese darüber im Bilde, was bei einem ungeplanten Zwischenfall zu tun ist. Eine offene Kommunikation zwischen den Leitern der BC/DR-Teams und dem Rest des Unternehmens ist für die kontinuierliche Aktualisierung einer gültigen BIA unerlässlich.
Vermeidbare Fehler einer BIA
Bei Aufgaben, die so viele personelle und technische Ressourcen haben, können Fehler auftreten. Diese sind durchaus vermeidbar, zum Beispiel:
- Überstürzte Durchführung der BIA. Angesichts der Bedeutung der potenziellen Auswirkungen einer Unterbrechung auf das Unternehmen sollten sich die Mitarbeiter die Zeit nehmen, eine umfassende BIA durchzuführen.
- Einem Element zu viel Aufmerksamkeit widmen. Verbringen Sie nicht zu viel Zeit mit einer einzelnen Komponente, wobei vielleicht andere Teile des Unternehmens vernachlässigt werden.
- Verwechslung einer Risikobewertung mit einer BIA. Eine Risikobewertung beschreibt detailliert, was zu Ausfallzeiten führen könnte, während eine BIA die Auswirkungen aufzeigt. Es sollte sich um zwei getrennte Dokumente handeln.
Die hier besprochene kostenlose Vorlage soll die Verantwortlichen bei der Durchführung der BIA und der Planung des Business-Continuity-Managements (BC) unterstützen.