2. Phasen zur Durchführung einer
Business Impact Analyse
Scope und Konzeption Erhebung Analyse und Entscheidung
Festlegung des Konzeption der Business Qualitäts- Identifikation GAP-Analyse
Umfangs der BIA Impact Impact Analyse sicherung, und Festlegung zwischen SOLL
Bewertung Dokumentation der kritischen und IST Wieder-
Anforderung Geschäfts- anlaufzeit der
Konzeption an Ressourcen Abnahme der prozesse kritischen
der Daten- für den BIA-Ergebnisse Ressourcen
erhebung Notbetrieb
und
- speicherung
2
3. Scope- und Konzeptionsphase der BIA
Konzeption der Impact-Bewertung sowie der Datenerhebung, -erfassung
Impact Bewertung erfassung
Inhalte • Konzeption der Impact-Analyse
• Festlegung der Impact-Kategorien und deren Definition / Beschreibung
• Festlegung des Betrachtungshorizonts und der Betrachtungszeitpunkte
• F l
Festlegung d Ebene der zu betrachtenden Geschäftsprozesse (Bsp. Hauptprozess-
der Eb d b h d G häf (B H
oder Teil- bzw. Kernprozessebene)
• Ressourcen-Kataloge (IT-Anwendungskatalog, Dienstleisterliste,Gebäudekatalog etc.)
• Konzeption der Datenerhebung
• Form der Erhebung (Workshop, Interview, Fragebogen, Mischformen)
• Inhalte des Fragebogens
• Konzeption der Datenerfassung (Datenspeicherung und –auswertung)
Ergebnisse
g • Aufbau und Inhalte der Impact-Analyse
p y
• In der BIA zu betrachtende Geschäftsprozesse
• Fragebogen (BIA-Questionnaire) und Ausfüllanleitung
• Workshop-, Interviewplan
• QS Methoden
QS-Methoden
3
4. Erhebungssphase der BIA
Impact Analyse
Impact-Analyse
Inhalte • Planung und Durchführung der Impact-Analyse für die relevanten
Organisationseinheiten, Produkte, Geschäftsprozesse
• Auftakt-Workshop mit den Leitern der Organisationseinheiten
• B
Benennung der verantwortlichen Ansprechpartner für die zu betrachtenden
d t tli h A h t fü di b t ht d
Organisationseinheiten / Geschäftsprozesse (Bsp. BC-Beauftragte)
• Durchführung der Erhebung mittels Interviews, Workshops, Online-Questionnaires
Ergebnisse • Projektplan für Information und Kommunikation
• Interview- Workshopplan bzw. Roll Out-Plan für Questionnaires
• Ausgefüllte BIA-Fragebögen für die relevanten Geschäftsprozesse
4
5. Betrachtungszeitraum und Schadens-Kategorien
• In der Impact-Analyse (Schadens-Analyse) werden die potentiellen Schäden bei Unterbrechung eines
Geschäftsprozesses über definierte Betrachtungsperioden in Schadenskategorien analysiert
• Durch die Reduktion auf Betrachtungszeitpunkte und Schadenskategorien wird der Erhebungsaufwand
deutlich reduziert
5
6. Schadensszenarien im Rahmen der Business Impact Analyse
• Die Auswirkungen einer Geschäfts- oder Prozessunterbrechung werden differenziert in
Schadensszenarien betrachtet
• Hierbei werden monetäre und nicht-monetäre Auswirkungen einbezogen
Wirkung Schadensszenarien Beschreibung und Beispiele
monetär Finanzielle Auswirkungen • GuV-wirksame Kosten (Bsp. Zinsaufwendungen,
Vertragsstrafen etc.)
g )
• GuV-wirksame Erlösschmälerungen
• Nicht GuV-wirksame Kosten (Bsp.
Mitarbeiterausfall)
Nicht- Imageschaden • Schäden an Image und Reputation des
monetär Unternehmens (Bsp. Negative Presseberichte,
Vertrauensverlust am Markt)
Nicht- Verstoß gegen Gesetze, • Verstöße gegen Gesetze, Verordnungen,
monetär Vorschriften und Verträge aufsichtsrechtliche Anforderungen
Nicht- Beeinträchtigung der • Negative Auswirkungen auf
monetär Steuerungsfähigkeit Managementprozesse (Bsp.
Risikomanagement)
6
7. Definition von Schadenskategorien für Schadensszenarien
Beispiel für das Schadensszenario „Finanzielle Auswirkungen“
Finanzielle Auswirkungen
Schadenskategorie Beschreibung und Beispiele
(4) „sehr hoch“ Der finanzielle Schaden ist für das Unternehmen existenzbedrohend
(3) „hoch“ Bedeutende finanzielle Schäden, die aber noch nicht existenzbedrohend
sind
(2) „normal“ Tolerable finanzielle Schäden
(1) „niedrig“ Keine oder geringe finanzielle Schäden
7
8. Impact-Bewertung eines Prozesses über vier Schadensszenarien
Als Ergebnis liegen Schadensverläufe je Prozess für jede der Impact Kategorien vor, die
Grundlage für die Festlegung der zeitkritischen Prozesse sind
g g g
Bewertung jedes Prozesses je
Prozesse Schadensszenarien
Schadensszenario
• Finanzielle
Auswirkungen
• Imageschaden
• Verletzung
gesetzlicher bzw.
regulatorischer
Anforderungen
• Beeinträchtigung der
Steuerungsfähigkeit
8
9. Zu analysierende Zusammenhänge in der BIA
Kritische Termine
Kritikalität Kritikalität
Vorgänger- Nachfolge-
Prozess
Prozess Prozess
Kritikalität Kritikalität Kritikalität Kritikalität Kritikalität
IT-
Dienstleister Dokumente Mitarbeiter Gebäude
Anwendung
Kritikalität Kritikalität
Standort IT-System
9
10. Für die Prozesse werden die Anforderungen an die Ressourcen für
den Notbetrieb und Rückführung in den Normalbetrieb ermittelt
Kapazität
Ereignis
Nach-arbeiten
100 %
Normal- Normal-
betrieb betrieb
Notbetrieb
Zeit
10
11. Erhebung der Daten mittels eines BIA-Questionnaires
Themen- Frageninhalte
bereich
Allgemein Prozessbezeichnung, Ansprechpartner
Prozess- Standorte, Prozessverantwortliche,
Basis- Prozessbeschreibung, Beteiligte, Lieferanten, Empfänger,
information Häufigkeiten und Mengen, Prozesskennzahlen
kritische Termine, vorgelagerte Prozesse
Impact Ein- Finanzielle Auswirkungen, Imageschaden,
schätzung Verletzung gesetzl./regulatorischer Anforderungen,
Beeinträchtigung der Steuerungsfähigkeit
IT-Ressourcen IT-Services,
Daten, Datenverlustzeit
Mitarbeiter- In MAK, nach Standorten, im Normal- bzw. Notbetrieb,
Ressourcen Fachliche Anforderungen an Mitarbeiter
p
Arbeitsplätze Arbeitsplätze im Normal- bzw. Notbetrieb, Sonder-Ausstattung
p , g
Externe Externe Dienstleister im Normal- bzw. Notbetrieb
Dienstleister
Physische Anforderungen an Dokumente im Normal- bzw. Notbetrieb
Dokumente
11
12. Identifikation der Anforderungen an Notbetrieb und Wiederanlauf
Ressource Normal 0,5 1 2 3 4 5 10 15 20 30
- AT
betrieb
Mitarbeiter und Arbeitsplätze
Mitarbeiter (MaK) 12 0 2 2 3 3 3 5 8 10 12
Arbeitsplätze 12 0 2 2 2 2 2 5 8 10 12
IT und technische Anforderungen
d h i h f d
SAP X X X X X X X X
Lotus Notes X X X X X X X X X
Faxgerät X X X X X X X X X
Vorgängerprozesse
Vorgängerprozess 1 X X X X X X X X X
Externe Dienstleister
Creditreform X X X X X X X
12
13. Erhebungssphase der BIA
Qualitätssicherung, Dokumentation und Abnahme der BIA-Ergebnisse
Inhalte • Plausibilisierung und Qualitätssicherung der BIA-Ergebnisse
• Vollständigkeit
g
• Nachvollziehbarkeit der Impact-Einschätzungen (Bsp. Dokumentation der
Parameter für die Einschätzung)
• Sicherstellung übergreifender Fragestellungen (Bsp. Vorgängerprozesse)
• Besprechung der Inhalte mit den BIA-Verantwortlichen
BIA Verantwortlichen
• Präsentation der Ergebnisse für die Leiter der Organisationseinheiten
Ergebnisse • Qualitätsgesicherte und abgenommene BIA-Ergebnisse
• Ergebnis-Präsentation und –dokumentation der BIA-Ergebnisse
13
14. Analyse- und Entscheidungsphase der BIA
Identifikation und Festlegung der kritischen Geschäftsprozesse
Inhalte • Identifikation der kritischen Geschäftsprozesse
• anhand von Rahmenparametern für Impact-Höhe und Betrachtungszeitraum
• Vergleich der Impacts von Geschäftsprozessen in einem Portfolio
• Einzelentscheidungen über Geschäftsprozesse (Opt-in, Opt-out)
• Entscheidung über die als kritisch zu bewertenden Geschäftsprozesse durch das
Management
Ergebnisse • Dokumentierte Entscheidung über die kritischen Geschäftsprozesse
14
15. Ermittlung des Maximalwerts je Geschäftsprozess für die
Portfoliobildung
Impact-Bewertungen je Prozess Kritikalitäts-Prozess
Portfolio
4
3
2
1
0,5 1 2 3 4 5 10 15 20 30
15
16. Mit Hilfe des Risikoakzeptanzniveaus werden die kritischen
Prozesse identifiziert
4
Kritische
Prozesse
3 (1,2,3,6)
2
1
0,5 1 2 3 4 5 10 15 20 30
16
17. Analyse- und Entscheidungsphase der BIA
GAP-Analyse der Anforderungen kritischer Geschäftsprozesse an Ressourcen
Inhalte • Identifikation der Anforderungen der kritischen Geschäftsprozesse an die Ressourcen
(Bsp. IT Anwendungen Ausweicharbeitsplätze,
(Bsp IT-Anwendungen, Ausweicharbeitsplätze Dienstleister etc )
etc.)
• Identifikation der bestehenden Verfügbarkeiten der Ressourcen (SLA, OLA)
• Evaluierung der Optionen zur Schließung vorhandener GAPs (organisatorisch,
technisch, vertraglich)
• Kosten / Nutzen Analyse
Kosten- Nutzen-Analyse
• Entscheidung über Maßnahmen
Ergebnisse • Investitionsentscheidungen und Investplan
• Maßnahmenkatalog
17
18. Konsolidierung der Anforderungen aus der BIA
Geschäftsprozess 1
Geschäftsprozess 2
Geschäftsprozess 3
Ressource 0,5 1 2 3 4 5 10 15 20 30
SAP X
Geschäftsprozess 1 X X X X X X X X
Geschäftsprozess 2 X X X X X X X X X X
Geschäftsprozess 3 X X X X X X X X X
Soll-RTO*) SAP = 0,5 Tage
*) RTO= Rcovery Time Objective / max. tolerierbare Ausfallzeit
18