Jedes Un­ter­neh­men muss sich vor Kri­sen­si­tua­tio­nen schützen, um bei Be­triebs­un­ter­bre­chun­gen seine Ge­schäfts­fä­hig­keit so gut wie möglich auf­recht­zu­er­hal­ten. Und da Vor­komm­nis­se wie Na­tur­ka­ta­stro­phen, Cy­ber­an­grif­fe oder Dieb­stäh­le meist völlig über­ra­schend auftreten, ist es notwendig, schon im Vorfeld mögliche Risiken zu iden­ti­fi­zie­ren und effektive Stra­te­gien zu ent­wi­ckeln. In diesem Zu­sam­men­hang spielt die Business-Impact-Analyse (BIA) eine zentrale Rolle. Diese dient dazu, die Aus­wir­kun­gen einer Krise auf das Un­ter­neh­men in Form eines BIA-Berichts zu erfassen. Dabei ist es wichtig, Ver­knüp­fun­gen und wech­sel­sei­ti­ge Ab­hän­gig­kei­ten innerhalb der Or­ga­ni­sa­ti­on zu erkennen – die Vor­aus­set­zun­gen für ein er­folg­rei­ches Ri­si­ko­ma­nage­ment.

Was ist eine Business-Impact-Analyse?

Eine Business-Impact-Analyse ist ein sys­te­ma­ti­scher Prozess, der aus einer ex­plo­ra­ti­ven Kom­po­nen­te und einer Pla­nungs­kom­po­nen­te besteht. Die ex­plo­ra­ti­ve Kom­po­nen­te umfasst die Er­mitt­lung von po­ten­zi­el­len Risiken, denen ein Un­ter­neh­men bei Störungen des Ge­schäfts­be­triebs ge­gen­über­steht. Der Fokus liegt dabei auf den konkreten Aus­wir­kun­gen, die bestimmte Vor­komm­nis­se auf die Or­ga­ni­sa­ti­on und Bereiche wie Finanzen, Si­cher­heit, Marketing oder Qua­li­täts­si­che­rung haben. Die Pla­nungs­kom­po­nen­te besteht aus der Ent­wick­lung von Stra­te­gien, die die Risiken mi­ni­mie­ren sollen. Ergebnis der Analyse ist der BIA-Report, der neben dem Kri­sen­ma­nage­ment­plan ein wichtiger Be­stand­teil eines über­grei­fen­den Kon­ti­nui­täts­plans ist. Im Folgenden erläutern wir Vor­ge­hens­wei­se und Inhalt einer Business-Impact-Analyse im Detail.

Business-Impact-Analyse: Vor­ge­hens­wei­se

Das Format und der genaue Inhalt einer BIA variieren von Un­ter­neh­men zu Un­ter­neh­men. Bei der Umsetzung durch­lau­fen Sie jedoch fast immer die folgenden Schritte:

  1. In­for­ma­ti­ons­samm­lung
  2. Eva­lu­ie­rung der In­for­ma­tio­nen
  3. Zu­sam­men­fas­sung der Er­geb­nis­se
  4. Prä­sen­ta­ti­on vor dem Ma­nage­ment

Die Er­stel­lung eines BIA-Reports kann intern oder mithilfe externer Res­sour­cen erfolgen. Die Zu­sam­men­ar­beit mit internen Mit­ar­bei­tern ist jedoch un­ver­zicht­bar, da diese wert­vol­les Wissen für den ersten Schritt liefern. In diesem iden­ti­fi­zie­ren Sie nämlich alle be­stehen­den Ge­schäfts­pro­zes­se sowie die Zu­sam­men­hän­ge einzelner Funk­tio­nen und Bereiche. Diese In­for­ma­ti­ons­samm­lung erfolgt oft durch per­sön­li­che In­ter­views oder au­to­ma­ti­sier­te Umfragen. So fällt es leichter, Ge­schäfts­funk­tio­nen ihrer Wich­tig­keit nach ein­zu­ord­nen und die fi­nan­zi­el­len und nicht­fi­nan­zi­el­len Aus­wir­kun­gen bei einem Ausfall ein­zu­schät­zen. Für das Zu­sam­men­tra­gen der Ana­ly­se­da­ten ist es hilfreich, folgende Fragen im Hin­ter­kopf zu behalten:

  • Inwiefern sind un­ter­schied­li­che Ab­tei­lun­gen von be­stimm­ten Systemen und Ge­schäfts­pro­zes­sen abhängig?
  • Welche Art von Risiken bringen iden­ti­fi­zier­te Schwach­stel­len mit sich?
  • Wer ist für Service Level Agree­ments zuständig?
  • Welche und wie viele Mit­ar­bei­ter werden an einem Recovery-Standort benötigt?
  • Welche Art von Res­sour­cen/Aus­rüs­tung wird bei einem Ausfall benötigt?
  • Wie sollten Bargeld-Ma­nage­ment und Li­qui­di­tät in der Recovery-Phase ge­hand­habt werden?

Haben Sie sich mit den obigen Fragen aus­ein­an­der­ge­setzt, erkennen Sie schneller, welche Art von Daten Sie für Ihre Business-Impact-Analyse benötigen. In den meisten Fällen gilt es, die folgenden In­for­ma­tio­nen ab­zu­fra­gen:

  • Name des Prozesses und genaue Be­schrei­bung
  • Zu­stän­di­ge Abteilung und Ort
  • Mensch­li­che und tech­ni­sche Res­sour­cen, die in den Prozess in­vol­viert sind
  • Liste aller In- und Outputs des Prozesses
  • Liste aller Ab­tei­lun­gen, die von Outputs abhängig sind
  • Maximale Aus­fall­zeit ohne merkbare Aus­wir­kun­gen
  • Be­trieb­li­che und fi­nan­zi­el­le Aus­wir­kun­gen bei einem Ausfall
  • Externe/recht­li­che Aus­wir­kun­gen bei einem Ausfall (z. B. Kunden, Behörden usw.)
  • Be­schrei­bung früherer Ausfälle und die damit ver­bun­de­nen Folgen
  • Be­schrei­bung von Recovery-Pro­ze­du­ren oder Ar­beits­ver­la­ge­run­gen

Im zweiten Schritt werden alle ge­sam­mel­ten In­for­ma­tio­nen mithilfe von Wirt­schafts­prü­fern validiert und an­schlie­ßend ana­ly­siert. Bei der com­pu­ter­ge­stütz­ten oder manuellen Analyse der Daten kommt es darauf an, die Funk­tio­nen, Systeme, Mit­ar­bei­ter und Res­sour­cen her­aus­zu­stel­len, die für die Kon­ti­nui­tät des Ge­schäfts­ver­laufs notwendig sind. Hier wird auch deutlich, in welchem Zeit­rah­men aus­ge­fal­le­ne Funk­tio­nen wie­der­her­ge­stellt werden müssen, damit Sie Aus­wir­kun­gen wie ver­spä­te­te Lohn­zah­lun­gen, Image­schä­den, Straf­gel­der oder Kun­den­zu­frie­den­heit wei­test­ge­hend vermeiden können.

In den nächsten beiden Schritten geht es um die an­schau­li­che Zu­sam­men­fas­sung der Er­geb­nis­se und die Prä­sen­ta­ti­on des BIA-Reports vor der Ge­schäfts­lei­tung. Der Bericht kann Charts und Diagramme zur Vi­sua­li­sie­rung be­inhal­ten, die mögliche Verluste und Recovery-Emp­feh­lun­gen il­lus­trie­ren. Um die Aussagen optimal zu stützen, fügen Sie In­for­ma­tio­nen zum Vorgehen sowie de­tail­lier­te Um­fra­ge­er­geb­nis­se im Anhang hinzu. Mit der folgenden Anleitung können Sie Ihre eigene Business-Impact-Analyse-Vorlage erstellen und je nach Bedarf anpassen.

Tipp

Für die Er­stel­lung eines an­schau­li­chen BIA-Reports bietet sich die aktuelle Version des Ta­bel­len­kal­ku­la­ti­ons­pro­gramms Excel an, das Sie in Kom­bi­na­ti­on mit anderen Office-Lösungen u. a. im Microsoft-365-Business-Paket von IONOS erhalten. Dank Funk­tio­nen wie dem „Dynamic Link“ passen sich Diagramme in Power­Point-Prä­sen­ta­tio­nen au­to­ma­tisch an die Daten in ver­link­ten Excel-Dateien an.

Inhalt einer Business-Impact-Analyse: Beispiel

In der folgenden Business-Impact-Analyse-Vorlage sehen Sie vier Tabellen, die so präzise wie möglich aus­zu­fül­len sind. Je tref­fen­der Sie die Prozesse, ihre Be­zie­hun­gen und Im­pli­ka­tio­nen be­schrei­ben, desto besser greift ein Kon­ti­nui­täts­plan.

Tabelle 1: Ge­schäfts­be­rei­che und Parent-Prozesse

  • Spalte A: Ge­schäfts­be­reich – selbst­er­klä­rend
  • Spalte B: Mit­ar­bei­ter­zahl – Zahl der Voll­zeit­be­schäf­ti­gen im je­wei­li­gen Ge­schäfts­be­reich
  • Spalte C: Parent-Prozess – Be­schrei­bung der Haupt­funk­ti­on des je­wei­li­gen Ge­schäfts­be­reichs
  • Spalte D: Prio­ri­täts­ein­stu­fung – Ein­ord­nung der Funktion(en) nach Wich­tig­keit für Abläufe im je­wei­li­gen Ge­schäfts­be­reich
  • Spalte E: Recovery Time Objective – Benötigte Zeit zur Wie­der­her­stel­lung des PP nach Stö­rungs­fall
  • Spalte F: Recovery Point Objective – Genauer Zeitpunkt, zu dem PP wie­der­her­ge­stellt sein sollte
  • Spalte G: Parent-Prozess abhängig von – Namen der Or­ga­ni­sa­tio­nen/Prozesse, von die der PP abhängig ist
  • Spalte H: Parent-Prozess benötigt von – Namen der Or­ga­ni­sa­tio­nen/Prozesse, die vom PP abhängig sind

Tabelle 2: Sub-Prozesse

  • Spalte A: Sub-Prozess (SP) – Be­schrei­bung der un­ter­stüt­zen­den Funk­tio­nen, für die der jeweilige Ge­schäfts­be­reich zuständig ist
  • Spalte B: Prio­ri­täts­ein­stu­fung – Ein­ord­nung der Funktion(en) nach Wich­tig­keit für Abläufe im je­wei­li­gen Ge­schäfts­be­reich
  • Spalte C: Recovery Time Objective – Benötigte Zeit zur Wie­der­her­stel­lung des SP nach Stö­rungs­fall
  • Spalte D: Recovery Point Objective – Genauer Zeitpunkt, zu dem SP wie­der­her­ge­stellt sein sollte
  • Spalte E: Sub-Prozess abhängig von – Namen der Or­ga­ni­sa­tio­nen/Prozesse, von denen der SP abhängig ist
  • Spalte F: Sub-Prozess benötigt von – Namen der Or­ga­ni­sa­tio­nen/Prozesse, die vom SP abhängig sind
  • Spalte G: Quan­ti­ta­ti­ve Aus­wir­kun­gen – Fi­nan­zi­el­le Im­pli­ka­tio­nen, die mit dem Sub-Prozess verbunden sind, z. B. ge­ne­rier­ter Jah­res­um­satz

Tabelle 3: Zeit­be­darf für Personal-Recovery

  • Spalte A: Qua­li­ta­ti­ve Aus­wir­kun­gen – Nicht­fi­nan­zi­el­le Aus­wir­kun­gen, z. B. Image­schä­den
  • Spalten B–G: Benötigte Zeit für Recovery von Personal – Zeigt an, wie viel Zeit benötigt wird, bis Mit­ar­bei­ter zum „Business almost as usual“ übergehen können

Tabelle 4: Zeit­be­darf für Tech­no­lo­gie und Services

  • Spalte A: Recovery-Strategie – Be­schreibt die Schritte, die der Ge­schäfts­be­reich zur Wie­der­her­stel­lung des normalen Workflows un­ter­neh­men kann, z. B. Ho­me­of­fice, pro­vi­so­ri­sche Büroräume usw.
  • Spalten B–G: Benötigte Zeit für Recovery von Tech­no­lo­gie bzw. Services – Auf­lis­tung von not­wen­di­gen Netzwerk-Services oder IT-Systemen, die in einem be­stimm­ten Zeitraum wie­der­her­ge­stellt sein sollten

BIA vs. Ri­si­ko­be­wer­tung

Eine Business-Impact-Analyse ist nicht zu ver­wech­seln mit einer Ri­si­ko­be­wer­tung. Beide sind wichtige Elemente eines Kon­ti­nui­täts­plans, der u. a. auch die Kri­sen­kom­mu­ni­ka­ti­on umfasst. Eine BIA wird meistens vor einer Ri­si­ko­be­wer­tung erstellt. Sie dient als Aus­gangs­punkt für die Ge­schäfts­lei­tung, die auf Basis der fun­dier­ten BIA-Er­geb­nis­se Stra­te­gien für die Ge­schäfts­kon­ti­nui­tät aus­ar­bei­tet. Eine BIA kon­zen­triert sich also auf die Aus­wir­kun­gen, die Vorfälle auf Ge­schäfts­pro­zes­se haben, und beziffert monetäre und nicht­mo­ne­tä­re Aufwände. Die Ri­si­ko­be­wer­tung hingegen versucht bestimmte Gefahren wie Feuer, Erdbeben oder andere Na­tur­ka­ta­stro­phen zu erkennen. Dabei wird evaluiert, inwiefern Mit­ar­bei­ter, Im­mo­bi­li­en oder die Ver­sor­gungs­ket­te eines Un­ter­neh­mens von solchen Krisen gefährdet sind.

Hinweis

Da sich Ge­schäfts­pro­zes­se ändern können, stellen Sie sicher, dass auch die Business-Impact-Analyse re­gel­mä­ßig ak­tua­li­siert wird. Nur so ist es der Ge­schäfts­lei­tung möglich, im Kri­sen­fall effektiv zu handeln und Schäden zu mi­ni­mie­ren.

Reviewer

Zum Hauptmenü