Kochbuch für eine BIA von bcm news

18
Kochbuch für eine Business Impact Analyse Business Impact Analyse BCM-News Matthias Hämmerle MBCI, 10.06.2012

Transcript of Kochbuch für eine BIA von bcm news

Page 1: Kochbuch für eine BIA von bcm news

Kochbuch für eine Business Impact AnalyseBusiness Impact Analyse

BCM-News

Matthias Hämmerle MBCI, 10.06.2012,

Page 2: Kochbuch für eine BIA von bcm news

Phasen zur Durchführung einer Business Impact Analyse

Scope und Konzeption Erhebung Analyse und Entscheidung

Festlegung des Umfangs der BIA

Konzeption derImpact

Bewertung

Konzeption

Identifikation und Festlegungder kritischen

Geschäfts-prozesse

Qualitäts-sicherung,

Dokumentation

Abnahme der

GAP-Analyse zwischen SOLL und IST Wieder-

anlaufzeit der kritischen

BusinessImpact Analyse

Anforderungan RessourcenKonzeption

der Daten-erhebung

und- speicherung

prozesseAbnahme derBIA-Ergebnisse

kritischen Ressourcen

an Ressourcenfür den

Notbetrieb

2

Page 3: Kochbuch für eine BIA von bcm news

Scope- und Konzeptionsphase der BIA

Konzeption der Impact-Bewertung sowie der Datenerhebung, -erfassungKonzeption der Impact Bewertung sowie der Datenerhebung, erfassungInhalte • Konzeption der Impact-Analyse

• Festlegung der Impact-Kategorien und deren Definition / Beschreibung• Festlegung des Betrachtungshorizonts und der Betrachtungszeitpunkte

F l d Eb d b h d G häf (B H• Festlegung der Ebene der zu betrachtenden Geschäftsprozesse (Bsp. Hauptprozess-oder Teil- bzw. Kernprozessebene)

• Ressourcen-Kataloge (IT-Anwendungskatalog, Dienstleisterliste,Gebäudekatalog etc.)• Konzeption der Datenerhebung

• Form der Erhebung (Workshop, Interview, Fragebogen, Mischformen)• Inhalte des Fragebogens

• Konzeption der Datenerfassung (Datenspeicherung und –auswertung)

Ergebnisse • Aufbau und Inhalte der Impact-Analyseg p y• In der BIA zu betrachtende Geschäftsprozesse• Fragebogen (BIA-Questionnaire) und Ausfüllanleitung• Workshop-, Interviewplan• QS-Methoden

3

QS Methoden

Page 4: Kochbuch für eine BIA von bcm news

Erhebungssphase der BIA

Impact-AnalyseImpact AnalyseInhalte • Planung und Durchführung der Impact-Analyse für die relevanten

Organisationseinheiten, Produkte, Geschäftsprozesse• Auftakt-Workshop mit den Leitern der Organisationseinheiten

B d t tli h A h t fü di b t ht d • Benennung der verantwortlichen Ansprechpartner für die zu betrachtenden Organisationseinheiten / Geschäftsprozesse (Bsp. BC-Beauftragte)

• Durchführung der Erhebung mittels Interviews, Workshops, Online-Questionnaires

Ergebnisse • Projektplan für Information und Kommunikation• Interview- Workshopplan bzw. Roll Out-Plan für Questionnaires• Ausgefüllte BIA-Fragebögen für die relevanten Geschäftsprozesse

4

Page 5: Kochbuch für eine BIA von bcm news

Betrachtungszeitraum und Schadens-Kategorien

• In der Impact-Analyse (Schadens-Analyse) werden die potentiellen Schäden bei Unterbrechung eines Geschäftsprozesses über definierte Betrachtungsperioden in Schadenskategorien analysiert

• Durch die Reduktion auf Betrachtungszeitpunkte und Schadenskategorien wird der Erhebungsaufwand deutlich reduziert

5

Page 6: Kochbuch für eine BIA von bcm news

Schadensszenarien im Rahmen der Business Impact Analyse

• Die Auswirkungen einer Geschäfts- oder Prozessunterbrechung werden differenziert in Schadensszenarien betrachtet

• Hierbei werden monetäre und nicht-monetäre Auswirkungen einbezogen

Wirkung Schadensszenarien Beschreibung und BeispieleWirkung Schadensszenarien Beschreibung und Beispiele

monetär Finanzielle Auswirkungen • GuV-wirksame Kosten (Bsp. Zinsaufwendungen, Vertragsstrafen etc.)g )

• GuV-wirksame Erlösschmälerungen• Nicht GuV-wirksame Kosten (Bsp.

Mitarbeiterausfall)

Nicht- Imageschaden • Schäden an Image und Reputation desNicht-monetär

Imageschaden • Schäden an Image und Reputation des Unternehmens (Bsp. Negative Presseberichte, Vertrauensverlust am Markt)

Nicht- Verstoß gegen Gesetze, • Verstöße gegen Gesetze, Verordnungen, monetär Vorschriften und Verträge aufsichtsrechtliche Anforderungen

Nicht-monetär

Beeinträchtigung der Steuerungsfähigkeit

• Negative Auswirkungen auf Managementprozesse (Bsp. Risikomanagement)

6

Risikomanagement)

Page 7: Kochbuch für eine BIA von bcm news

Definition von Schadenskategorien für Schadensszenarien

Beispiel für das Schadensszenario „Finanzielle Auswirkungen“

Finanzielle AuswirkungenFinanzielle AuswirkungenSchadenskategorie Beschreibung und Beispiele

(4) „sehr hoch“ Der finanzielle Schaden ist für das Unternehmen existenzbedrohend

(3) „hoch“ Bedeutende finanzielle Schäden, die aber noch nicht existenzbedrohend sind

(2) „normal“ Tolerable finanzielle Schäden

(1) „niedrig“ Keine oder geringe finanzielle Schäden

7

Page 8: Kochbuch für eine BIA von bcm news

Als Ergebnis liegen Schadensverläufe je Prozess für jede der Impact Kategorien vor, die Grundlage für die Festlegung der zeitkritischen Prozesse sind

Impact-Bewertung eines Prozesses über vier Schadensszenarien

SchadensszenarienProzesseBewertung jedes Prozesses je

Schadensszenario

g g g

• Finanzielle AuswirkungenAuswirkungen

• Imageschaden• Verletzung

gesetzlicher bzw. regulatorischer Anforderungen

• Beeinträchtigung der SteuerungsfähigkeitSteuerungsfähigkeit

8

Page 9: Kochbuch für eine BIA von bcm news

Zu analysierende Zusammenhänge in der BIA

Kritische Termine

Vorgänger- Prozess Nachfolge-

KritikalitätKritikalität

Prozess ProzessProzess

IT-AnwendungMitarbeiter GebäudeDienstleister Dokumente

Kritikalität Kritikalität Kritikalität Kritikalität Kritikalität

IT-SystemStandort

KritikalitätKritikalität

9

Page 10: Kochbuch für eine BIA von bcm news

Für die Prozesse werden die Anforderungen an die Ressourcen für den Notbetrieb und Rückführung in den Normalbetrieb ermittelt

Kapazität

Nach-arbeitenEreignis

100 %

Normal-betrieb

Normal-betrieb

Notbetrieb

Zeit

10

Page 11: Kochbuch für eine BIA von bcm news

Erhebung der Daten mittels eines BIA-Questionnaires

Themen-bereich

Frageninhalte

Allgemein Prozessbezeichnung, Ansprechpartner

Prozess-Basis-information

Standorte, Prozessverantwortliche,Prozessbeschreibung, Beteiligte, Lieferanten, Empfänger, Häufigkeiten und Mengen, Prozesskennzahlenkritische Termine, vorgelagerte Prozesse

Impact Ein-schätzung

Finanzielle Auswirkungen, Imageschaden,Verletzung gesetzl./regulatorischer Anforderungen, Beeinträchtigung der Steuerungsfähigkeit

IT-Ressourcen IT-Services,Daten, Datenverlustzeit

Mitarbeiter-Ressourcen

In MAK, nach Standorten, im Normal- bzw. Notbetrieb, Fachliche Anforderungen an Mitarbeiter

Arbeitsplätze Arbeitsplätze im Normal- bzw. Notbetrieb, Sonder-Ausstattungp p , g

Externe Dienstleister

Externe Dienstleister im Normal- bzw. Notbetrieb

Physische Anforderungen an Dokumente im Normal- bzw. NotbetriebDokumente

11

Page 12: Kochbuch für eine BIA von bcm news

Identifikation der Anforderungen an Notbetrieb und Wiederanlauf

Ressource Normal-

betrieb

0,5AT

1 2 3 4 5 10 15 20 30

Mitarbeiter und Arbeitsplätze

Mitarbeiter (MaK) 12 0 2 2 3 3 3 5 8 10 12

Arbeitsplätze 12 0 2 2 2 2 2 5 8 10 12

d h i h f dIT und technische Anforderungen

SAP X X X X X X X X

Lotus Notes X X X X X X X X X

Faxgerät X X X X X X X X X

Vorgängerprozesse

Vorgängerprozess 1 X X X X X X X X X

Externe Dienstleister

12

Creditreform X X X X X X X

Page 13: Kochbuch für eine BIA von bcm news

Erhebungssphase der BIA

Qualitätssicherung, Dokumentation und Abnahme der BIA-ErgebnisseInhalte • Plausibilisierung und Qualitätssicherung der BIA-Ergebnisse

• Vollständigkeitg• Nachvollziehbarkeit der Impact-Einschätzungen (Bsp. Dokumentation der

Parameter für die Einschätzung)• Sicherstellung übergreifender Fragestellungen (Bsp. Vorgängerprozesse)

• Besprechung der Inhalte mit den BIA-VerantwortlichenBesprechung der Inhalte mit den BIA Verantwortlichen• Präsentation der Ergebnisse für die Leiter der Organisationseinheiten

Ergebnisse • Qualitätsgesicherte und abgenommene BIA-Ergebnisse• Ergebnis-Präsentation und –dokumentation der BIA-Ergebnisse

13

Page 14: Kochbuch für eine BIA von bcm news

Analyse- und Entscheidungsphase der BIA

Identifikation und Festlegung der kritischen GeschäftsprozesseInhalte • Identifikation der kritischen Geschäftsprozesse

• anhand von Rahmenparametern für Impact-Höhe und Betrachtungszeitraum• Vergleich der Impacts von Geschäftsprozessen in einem Portfolio• Einzelentscheidungen über Geschäftsprozesse (Opt-in, Opt-out)

• Entscheidung über die als kritisch zu bewertenden Geschäftsprozesse durch das Management

Ergebnisse • Dokumentierte Entscheidung über die kritischen Geschäftsprozesse

14

Page 15: Kochbuch für eine BIA von bcm news

Ermittlung des Maximalwerts je Geschäftsprozess für die Portfoliobildung

Impact-Bewertungen je Prozess Kritikalitäts-ProzessPortfolio

3

4

1

2

0,5 1 2 3 4 5 10 15 20 30

15

Page 16: Kochbuch für eine BIA von bcm news

Mit Hilfe des Risikoakzeptanzniveaus werden die kritischen Prozesse identifiziert

KritischeProzesse

4

Prozesse(1,2,3,6)

2

3

0,5 1 2 3 4 5 10 15 20

1

30

16

Page 17: Kochbuch für eine BIA von bcm news

Analyse- und Entscheidungsphase der BIA

GAP-Analyse der Anforderungen kritischer Geschäftsprozesse an RessourcenInhalte • Identifikation der Anforderungen der kritischen Geschäftsprozesse an die Ressourcen

(Bsp IT Anwendungen Ausweicharbeitsplätze Dienstleister etc )(Bsp. IT-Anwendungen, Ausweicharbeitsplätze, Dienstleister etc.)• Identifikation der bestehenden Verfügbarkeiten der Ressourcen (SLA, OLA)• Evaluierung der Optionen zur Schließung vorhandener GAPs (organisatorisch,

technisch, vertraglich)• Kosten / Nutzen Analyse• Kosten- / Nutzen-Analyse• Entscheidung über Maßnahmen

Ergebnisse • Investitionsentscheidungen und Investplan• Maßnahmenkatalog

17

Page 18: Kochbuch für eine BIA von bcm news

Konsolidierung der Anforderungen aus der BIAGeschäftsprozess 1

Geschäftsprozess 2

Geschäftsprozess 3

Ressource 0,5 1 2 3 4 5 10 15 20 30

SAP XSAP X

Geschäftsprozess 1 X X X X X X X X

Geschäftsprozess 2 X X X X X X X X X X

Geschäftsprozess 3 X X X X X X X X X

Soll-RTO*) SAP = 0,5 Tage

18

*) RTO= Rcovery Time Objective / max. tolerierbare Ausfallzeit