View
241
Download
2
Category
Preview:
DESCRIPTION
Beispielhafte Darstellung für das Vorgehen bei einer Business Imapct Analyse von bcm-news (www.bcm-news.de)
Citation preview
Kochbuch für eine Business Impact AnalyseBusiness Impact Analyse
BCM-News
Matthias Hämmerle MBCI, 10.06.2012,
Phasen zur Durchführung einer Business Impact Analyse
Scope und Konzeption Erhebung Analyse und Entscheidung
Festlegung des Umfangs der BIA
Konzeption derImpact
Bewertung
Konzeption
Identifikation und Festlegungder kritischen
Geschäfts-prozesse
Qualitäts-sicherung,
Dokumentation
Abnahme der
GAP-Analyse zwischen SOLL und IST Wieder-
anlaufzeit der kritischen
BusinessImpact Analyse
Anforderungan RessourcenKonzeption
der Daten-erhebung
und- speicherung
prozesseAbnahme derBIA-Ergebnisse
kritischen Ressourcen
an Ressourcenfür den
Notbetrieb
2
Scope- und Konzeptionsphase der BIA
Konzeption der Impact-Bewertung sowie der Datenerhebung, -erfassungKonzeption der Impact Bewertung sowie der Datenerhebung, erfassungInhalte • Konzeption der Impact-Analyse
• Festlegung der Impact-Kategorien und deren Definition / Beschreibung• Festlegung des Betrachtungshorizonts und der Betrachtungszeitpunkte
F l d Eb d b h d G häf (B H• Festlegung der Ebene der zu betrachtenden Geschäftsprozesse (Bsp. Hauptprozess-oder Teil- bzw. Kernprozessebene)
• Ressourcen-Kataloge (IT-Anwendungskatalog, Dienstleisterliste,Gebäudekatalog etc.)• Konzeption der Datenerhebung
• Form der Erhebung (Workshop, Interview, Fragebogen, Mischformen)• Inhalte des Fragebogens
• Konzeption der Datenerfassung (Datenspeicherung und –auswertung)
Ergebnisse • Aufbau und Inhalte der Impact-Analyseg p y• In der BIA zu betrachtende Geschäftsprozesse• Fragebogen (BIA-Questionnaire) und Ausfüllanleitung• Workshop-, Interviewplan• QS-Methoden
3
QS Methoden
Erhebungssphase der BIA
Impact-AnalyseImpact AnalyseInhalte • Planung und Durchführung der Impact-Analyse für die relevanten
Organisationseinheiten, Produkte, Geschäftsprozesse• Auftakt-Workshop mit den Leitern der Organisationseinheiten
B d t tli h A h t fü di b t ht d • Benennung der verantwortlichen Ansprechpartner für die zu betrachtenden Organisationseinheiten / Geschäftsprozesse (Bsp. BC-Beauftragte)
• Durchführung der Erhebung mittels Interviews, Workshops, Online-Questionnaires
Ergebnisse • Projektplan für Information und Kommunikation• Interview- Workshopplan bzw. Roll Out-Plan für Questionnaires• Ausgefüllte BIA-Fragebögen für die relevanten Geschäftsprozesse
4
Betrachtungszeitraum und Schadens-Kategorien
• In der Impact-Analyse (Schadens-Analyse) werden die potentiellen Schäden bei Unterbrechung eines Geschäftsprozesses über definierte Betrachtungsperioden in Schadenskategorien analysiert
• Durch die Reduktion auf Betrachtungszeitpunkte und Schadenskategorien wird der Erhebungsaufwand deutlich reduziert
5
Schadensszenarien im Rahmen der Business Impact Analyse
• Die Auswirkungen einer Geschäfts- oder Prozessunterbrechung werden differenziert in Schadensszenarien betrachtet
• Hierbei werden monetäre und nicht-monetäre Auswirkungen einbezogen
Wirkung Schadensszenarien Beschreibung und BeispieleWirkung Schadensszenarien Beschreibung und Beispiele
monetär Finanzielle Auswirkungen • GuV-wirksame Kosten (Bsp. Zinsaufwendungen, Vertragsstrafen etc.)g )
• GuV-wirksame Erlösschmälerungen• Nicht GuV-wirksame Kosten (Bsp.
Mitarbeiterausfall)
Nicht- Imageschaden • Schäden an Image und Reputation desNicht-monetär
Imageschaden • Schäden an Image und Reputation des Unternehmens (Bsp. Negative Presseberichte, Vertrauensverlust am Markt)
Nicht- Verstoß gegen Gesetze, • Verstöße gegen Gesetze, Verordnungen, monetär Vorschriften und Verträge aufsichtsrechtliche Anforderungen
Nicht-monetär
Beeinträchtigung der Steuerungsfähigkeit
• Negative Auswirkungen auf Managementprozesse (Bsp. Risikomanagement)
6
Risikomanagement)
Definition von Schadenskategorien für Schadensszenarien
Beispiel für das Schadensszenario „Finanzielle Auswirkungen“
Finanzielle AuswirkungenFinanzielle AuswirkungenSchadenskategorie Beschreibung und Beispiele
(4) „sehr hoch“ Der finanzielle Schaden ist für das Unternehmen existenzbedrohend
(3) „hoch“ Bedeutende finanzielle Schäden, die aber noch nicht existenzbedrohend sind
(2) „normal“ Tolerable finanzielle Schäden
(1) „niedrig“ Keine oder geringe finanzielle Schäden
7
Als Ergebnis liegen Schadensverläufe je Prozess für jede der Impact Kategorien vor, die Grundlage für die Festlegung der zeitkritischen Prozesse sind
Impact-Bewertung eines Prozesses über vier Schadensszenarien
SchadensszenarienProzesseBewertung jedes Prozesses je
Schadensszenario
g g g
• Finanzielle AuswirkungenAuswirkungen
• Imageschaden• Verletzung
gesetzlicher bzw. regulatorischer Anforderungen
• Beeinträchtigung der SteuerungsfähigkeitSteuerungsfähigkeit
8
Zu analysierende Zusammenhänge in der BIA
Kritische Termine
Vorgänger- Prozess Nachfolge-
KritikalitätKritikalität
Prozess ProzessProzess
IT-AnwendungMitarbeiter GebäudeDienstleister Dokumente
Kritikalität Kritikalität Kritikalität Kritikalität Kritikalität
IT-SystemStandort
KritikalitätKritikalität
9
Für die Prozesse werden die Anforderungen an die Ressourcen für den Notbetrieb und Rückführung in den Normalbetrieb ermittelt
Kapazität
Nach-arbeitenEreignis
100 %
Normal-betrieb
Normal-betrieb
Notbetrieb
Zeit
10
Erhebung der Daten mittels eines BIA-Questionnaires
Themen-bereich
Frageninhalte
Allgemein Prozessbezeichnung, Ansprechpartner
Prozess-Basis-information
Standorte, Prozessverantwortliche,Prozessbeschreibung, Beteiligte, Lieferanten, Empfänger, Häufigkeiten und Mengen, Prozesskennzahlenkritische Termine, vorgelagerte Prozesse
Impact Ein-schätzung
Finanzielle Auswirkungen, Imageschaden,Verletzung gesetzl./regulatorischer Anforderungen, Beeinträchtigung der Steuerungsfähigkeit
IT-Ressourcen IT-Services,Daten, Datenverlustzeit
Mitarbeiter-Ressourcen
In MAK, nach Standorten, im Normal- bzw. Notbetrieb, Fachliche Anforderungen an Mitarbeiter
Arbeitsplätze Arbeitsplätze im Normal- bzw. Notbetrieb, Sonder-Ausstattungp p , g
Externe Dienstleister
Externe Dienstleister im Normal- bzw. Notbetrieb
Physische Anforderungen an Dokumente im Normal- bzw. NotbetriebDokumente
11
Identifikation der Anforderungen an Notbetrieb und Wiederanlauf
Ressource Normal-
betrieb
0,5AT
1 2 3 4 5 10 15 20 30
Mitarbeiter und Arbeitsplätze
Mitarbeiter (MaK) 12 0 2 2 3 3 3 5 8 10 12
Arbeitsplätze 12 0 2 2 2 2 2 5 8 10 12
d h i h f dIT und technische Anforderungen
SAP X X X X X X X X
Lotus Notes X X X X X X X X X
Faxgerät X X X X X X X X X
Vorgängerprozesse
Vorgängerprozess 1 X X X X X X X X X
Externe Dienstleister
12
Creditreform X X X X X X X
Erhebungssphase der BIA
Qualitätssicherung, Dokumentation und Abnahme der BIA-ErgebnisseInhalte • Plausibilisierung und Qualitätssicherung der BIA-Ergebnisse
• Vollständigkeitg• Nachvollziehbarkeit der Impact-Einschätzungen (Bsp. Dokumentation der
Parameter für die Einschätzung)• Sicherstellung übergreifender Fragestellungen (Bsp. Vorgängerprozesse)
• Besprechung der Inhalte mit den BIA-VerantwortlichenBesprechung der Inhalte mit den BIA Verantwortlichen• Präsentation der Ergebnisse für die Leiter der Organisationseinheiten
Ergebnisse • Qualitätsgesicherte und abgenommene BIA-Ergebnisse• Ergebnis-Präsentation und –dokumentation der BIA-Ergebnisse
13
Analyse- und Entscheidungsphase der BIA
Identifikation und Festlegung der kritischen GeschäftsprozesseInhalte • Identifikation der kritischen Geschäftsprozesse
• anhand von Rahmenparametern für Impact-Höhe und Betrachtungszeitraum• Vergleich der Impacts von Geschäftsprozessen in einem Portfolio• Einzelentscheidungen über Geschäftsprozesse (Opt-in, Opt-out)
• Entscheidung über die als kritisch zu bewertenden Geschäftsprozesse durch das Management
Ergebnisse • Dokumentierte Entscheidung über die kritischen Geschäftsprozesse
14
Ermittlung des Maximalwerts je Geschäftsprozess für die Portfoliobildung
Impact-Bewertungen je Prozess Kritikalitäts-ProzessPortfolio
3
4
1
2
0,5 1 2 3 4 5 10 15 20 30
15
Mit Hilfe des Risikoakzeptanzniveaus werden die kritischen Prozesse identifiziert
KritischeProzesse
4
Prozesse(1,2,3,6)
2
3
0,5 1 2 3 4 5 10 15 20
1
30
16
Analyse- und Entscheidungsphase der BIA
GAP-Analyse der Anforderungen kritischer Geschäftsprozesse an RessourcenInhalte • Identifikation der Anforderungen der kritischen Geschäftsprozesse an die Ressourcen
(Bsp IT Anwendungen Ausweicharbeitsplätze Dienstleister etc )(Bsp. IT-Anwendungen, Ausweicharbeitsplätze, Dienstleister etc.)• Identifikation der bestehenden Verfügbarkeiten der Ressourcen (SLA, OLA)• Evaluierung der Optionen zur Schließung vorhandener GAPs (organisatorisch,
technisch, vertraglich)• Kosten / Nutzen Analyse• Kosten- / Nutzen-Analyse• Entscheidung über Maßnahmen
Ergebnisse • Investitionsentscheidungen und Investplan• Maßnahmenkatalog
17
Konsolidierung der Anforderungen aus der BIAGeschäftsprozess 1
Geschäftsprozess 2
Geschäftsprozess 3
Ressource 0,5 1 2 3 4 5 10 15 20 30
SAP XSAP X
Geschäftsprozess 1 X X X X X X X X
Geschäftsprozess 2 X X X X X X X X X X
Geschäftsprozess 3 X X X X X X X X X
Soll-RTO*) SAP = 0,5 Tage
18
*) RTO= Rcovery Time Objective / max. tolerierbare Ausfallzeit
Recommended