Das Format und der genaue Inhalt einer BIA variieren von Unternehmen zu Unternehmen. Bei der Umsetzung durchlaufen Sie jedoch fast immer die folgenden Schritte:
- Informationssammlung
- Evaluierung der Informationen
- Zusammenfassung der Ergebnisse
- Präsentation vor dem Management
Die Erstellung eines BIA-Reports kann intern oder mithilfe externer Ressourcen erfolgen. Die Zusammenarbeit mit internen Mitarbeitern ist jedoch unverzichtbar, da diese wertvolles Wissen für den ersten Schritt liefern. In diesem identifizieren Sie nämlich alle bestehenden Geschäftsprozesse sowie die Zusammenhänge einzelner Funktionen und Bereiche. Diese Informationssammlung erfolgt oft durch persönliche Interviews oder automatisierte Umfragen. So fällt es leichter, Geschäftsfunktionen ihrer Wichtigkeit nach einzuordnen und die finanziellen und nichtfinanziellen Auswirkungen bei einem Ausfall einzuschätzen. Für das Zusammentragen der Analysedaten ist es hilfreich, folgende Fragen im Hinterkopf zu behalten:
- Inwiefern sind unterschiedliche Abteilungen von bestimmten Systemen und Geschäftsprozessen abhängig?
- Welche Art von Risiken bringen identifizierte Schwachstellen mit sich?
- Wer ist für Service Level Agreements zuständig?
- Welche und wie viele Mitarbeiter werden an einem Recovery-Standort benötigt?
- Welche Art von Ressourcen/Ausrüstung wird bei einem Ausfall benötigt?
- Wie sollten Bargeld-Management und Liquidität in der Recovery-Phase gehandhabt werden?
Haben Sie sich mit den obigen Fragen auseinandergesetzt, erkennen Sie schneller, welche Art von Daten Sie für Ihre Business-Impact-Analyse benötigen. In den meisten Fällen gilt es, die folgenden Informationen abzufragen:
- Name des Prozesses und genaue Beschreibung
- Zuständige Abteilung und Ort
- Menschliche und technische Ressourcen, die in den Prozess involviert sind
- Liste aller In- und Outputs des Prozesses
- Liste aller Abteilungen, die von Outputs abhängig sind
- Maximale Ausfallzeit ohne merkbare Auswirkungen
- Betriebliche und finanzielle Auswirkungen bei einem Ausfall
- Externe/rechtliche Auswirkungen bei einem Ausfall (z. B. Kunden, Behörden usw.)
- Beschreibung früherer Ausfälle und die damit verbundenen Folgen
- Beschreibung von Recovery-Prozeduren oder Arbeitsverlagerungen
Im zweiten Schritt werden alle gesammelten Informationen mithilfe von Wirtschaftsprüfern validiert und anschließend analysiert. Bei der computergestützten oder manuellen Analyse der Daten kommt es darauf an, die Funktionen, Systeme, Mitarbeiter und Ressourcen herauszustellen, die für die Kontinuität des Geschäftsverlaufs notwendig sind. Hier wird auch deutlich, in welchem Zeitrahmen ausgefallene Funktionen wiederhergestellt werden müssen, damit Sie Auswirkungen wie verspätete Lohnzahlungen, Imageschäden, Strafgelder oder Kundenzufriedenheit weitestgehend vermeiden können.
In den nächsten beiden Schritten geht es um die anschauliche Zusammenfassung der Ergebnisse und die Präsentation des BIA-Reports vor der Geschäftsleitung. Der Bericht kann Charts und Diagramme zur Visualisierung beinhalten, die mögliche Verluste und Recovery-Empfehlungen illustrieren. Um die Aussagen optimal zu stützen, fügen Sie Informationen zum Vorgehen sowie detaillierte Umfrageergebnisse im Anhang hinzu. Mit der folgenden Anleitung können Sie Ihre eigene Business-Impact-Analyse-Vorlage erstellen und je nach Bedarf anpassen.