Themen

Auswirkungen eines Notfalls auf das Unternehmen minimieren mit Hilfe der Business-Impact-Analyse

Ein großes unternehmerisches Risiko stellen die finanziellen und nicht greifbaren Auswirkungen dar, sollten die Kerngeschäftsprozesse des Unternehmens für einen längeren Zeitraum nicht mehr adäquat funktionieren. Dies kann eine Vielzahl von Ursachen haben, wie z. B.

  • Ausfall wichtiger Lieferanten für die Produktion aufgrund Konkurses oder Unwettern
  • Personalausfall ganzer Abteilungen aufgrund schlecht zubereitenden Kantinenessens (Eierspeisen an heißen Sommertagen)
  • Ausfall der IT-Systeme aufgrund von Hard- und Softwarefehlern

Wie können Sie die negativen Konsequenzen reduzieren?

Denn eine Absicherung des Ausfalls Ihrer Kerngeschäftsprozesse, also das womit Sie Geld verdienen, bedeutet, dass Sie

  • weiterhin Waren produzieren (Sicherung des Umsatzes)
  • weiterhin Bestellungen entgegen nehmen (Sicherung des Umsatzes und Ihrer Reputation)
  • weiterhin Ihren Kunden den Service zur Verfügung stellen (Sicherung Ihrer Reputation und Ihres Wettbewerbsvorteils)
  • Auskunftsersuchen von Behörden im Falle von Rückrufaktionen genügen (Einhaltung gesetzlicher Anforderungen)

Bis zum Ende gedacht, kann dieses Ihnen den entscheidenden Wettbewerbsvorteil bieten, da Sie auch in einer so schwierigen Situation wie oben beschrieben in der Lage sind, Ihren Geschäftsbetrieb aufrecht zu erhalten. Und das Wissen Ihre Kunden sehr zu schätzen.

Die Auswirkungsanalyse (Business-Impact-Analyse, kurz BIA) identifiziert ihre zeitkritischen Prozesse

Über eine Auswirkungsanalyse (Business-Impact-Analyse, kurz BIA) werden die Schäden über die Zeit pro Geschäftsprozess bewertet und die kritischen unterstützenden Ressourcen wie Personal, Gebäudeinfrastruktur, Lieferanten oder IT identifiziert. Dies ist kein hochmathematischer Ansatz, sondern eine mit gesundem Menschenverstand durchgeführte Analyse. Und sie lässt sich an jede Unternehmensgröße anpassen. Zusammen mit einer Risikobewertung von elementaren Gefahren lässt sich hieraus die geeignete Strategie ableiten, wie den Gefahren am Besten begegnet werden kann. Im Besten Falle lässt sich das Risiko vermeiden oder verringern. Als Alternative hilft, Notfallpläne für die kritischen Prozesse und Abteilungen zu entwickeln, so dass die Auswirkungen eines Schadensfalles abgemildert werden können.

Im Zusammenspiel mit den anerkannten internationalen Standard ISO 22301 Business Continuity Management System sowie dem deutschen Standard BSI 100-4 Notfallmanagement lässt sich mit der Business-Impact-Analyse (BIA) als Startpunkt der Notfallvorsorgestrategie ein sehr effektives Notfallmanagement aufbauen, das durch ihre präventiven Maßnahmen Ihnen Kosten spart und Ihre Kunden an Sie bindet.

Wirtschaftsprüfer fordern verstärkt die regelmäßige Durchführung einer Auswirkungsanalyse

Weiterer Vorteil der Busines-Impact-Analyse ist, dass Sie damit den Forderungen der Wirtschaftsprüfer sowie der internen Revision genüge tun, die zunehmend einen methodischen, nachvollziehbaren und dokumentierten Ansatz zur Identifizierung von Risiken und Auswirkungen bei unternehmensbedrohenden Störfällen verlangen.

Notfallmanagement kostet nur?

Erhalt der Wettbewerbsfähigkeit

Viele Unternehmen werden heutzutage von einem immer größer werdenden Druck getrieben, Complianceauflagen und regulatorische Vorgaben erfüllen zu müssen. Oft geht dies einher mit einer Umsetzung entsprechender Projekte mit der Zielrichtung, alleine der Revision oder dem Wirtschaftsprüfer zu genügen. In Gesprächen mit Kunden hat Herr Hartmut Duwald während solcher Umsetzungsprojekte die Erfahrung gewonnen, dass …

diese Kunden oft erst durch die Zuhilfenahme erfahrener, kundenorientierter Dienstleister das große Potenzial erkennen, welches in der Umsetzung solcher Vorgaben existiert. Und sie haben hieraus risikomindernde und Kosten reduzierende Maßnahmen ergreifen können.

Das Thema Notfallmanagement ist hierfür ein sehr gutes Beispiel, da es in vielen Unternehmen ein Stiefmütterchendasein führt und oft wenig professionell betrieben wird. Gründe hierfür sind vielfältig und liegen oft darin begründet, dass Notfallvorsorge zuerst erst mal Geld kostet und der Mensch geneigt ist, nicht alltägliche Risiken und deren Auswirkungen zu verdrängen.

Beispiel aus der Automobilbranche

Am Beispiel eines sehr erfolgreichen Unternehmens in der Automobilbranche (Automotive) wird dieses deutlich.

Dieses hat im Laufe der Jahre die unternehmenskritischen Geschäftsprozesse immer stärker von IT-Lösungen abhängig gemacht, um den Anforderungen an Just-in-time-Produktion zu genügen. Durch die an die Geschäftsprozess optimierte IT-Bebauungslandschaft konnte dieses Unternehmen hierdurch Wettbewerbsvorteile erlangen und seine dominierende Marktstellung nicht nur festigen sondern auch ausbauen.

Damit steigt jedoch auch das Risiko von unternehmensbedrohenden Schäden bei längerfristiger Nichtverfügbarkeit der IT von Stunden, Tagen oder Wochen (auch allgemein als Notfall, Katastrophe, Krise oder K-Fall benannt, obwohl diese Bezeichnungen nicht ganz korrekt sind). Über dieses Risiko war man sich an vielen Stellen im Unternehmen gar nicht im Klaren.

Gut gerüstet war man gegen den Ausfall einzelner Applikationen, die man über einen sehr gut funktionierenden Incident- und Problemmanagementprozess im Griff hatte. Man war sich der Schadensausmaße nur sehr grob bewusst. Die IT hatte aus ihrer Sicht eine Bewertung durchgeführt, um die finanziellen Umsatzeinbußen und die negative Imageauswirkungen beurteilen zu können. Hierauf basierte auch die Reihenfolge, welche Geschäftsprozesse zuerst bei einem Notfall wieder funktionieren mussten. Auf dieser Basis wurden zudem die Investitionsentscheidungen getätigt, um die Ausfallwahrscheinlichkeit der Applikationen zu reduzieren.

Audit der Wirtschaftsprüfer war der Auslöser

Ein Audit durch Wirtschaftsprüfer hatte dann den Finger in die Wunde gelegt. Der Vorstand beauftragte ein erfahrenes Projektteam, die Bewertung des Schadens im Rahmen einer Business-Impact-Analyse (kurz BIA) durch den Personenkreis durch führen zu lassen, der ganz offensichtlich am Besten hierzu in der Lage ist: die direkt durch den Ausfall betroffenen Fachbereiche. Die neu zu erstellende Liste sollte die Sicht auf Unternehmensebene abbilden.

Das Ergebnis der von uns durchgeführten und dokumentierten Auswirkungsanalyse (auch Business-Impact-Analyse genannt) war dann für alle Beteiligten sehr überraschend. Die neu erstellte Liste der unternehmenskritischen Anwendungen auf Basis der finanziellen und nicht-finanziellen Auswirkungen bei einem Ausfall wich stark von der ursprünglichen Liste aus IT-Sicht ab. Es konnte für jeden Einzelfall schlüssig begründet werden, warum die Sicht der Fachbereiche von dieser abwich. Es stellte sich nämlich schnell heraus, dass bei der Bewertung der IT-Abteilung maßgeblich eine Rolle spielte, welcher Fachbereich bei früheren Störfällen sich am vehementesten geäußert hatte.

Dies ist aus menschlicher Sicht sehr nachvollziehbar, schaut doch die Fachabteilung bei Störungen ihres Tagesablaufs primär auf die Auswirkungen auf ihre Abteilung und ihr Renommee. Weit weniger spielt hierbei ein Rolle, welcher Schaden dem Unternehmen im Ganzen entsteht.

Alleine die Reduzierung der Ausfallzeit in einem Notfall vermeidet Schäden von hundert Millionen Euro!

Mit der neu erstellten, sachlich nachvollziehbaren Bewertung wurde jetzt erstmalig ein Instrument geschaffen, um in einem Notfall zielgerichtet zu entscheiden, welche Geschäftsprozesse zuerst wieder bedient werden müssen. Bei Umsatzvolumen von hunderten Millionen Euro pro Tag ist dieses der entscheidende Faktor, um den Schaden für das Unternehmen zu minimieren.

Weiterhin bietet sich jetzt die Chance für die

  • zielgerichtete Investition und das Lenken von Budgets (Business Case) in Vorsorgemaßnahmen
  • für die Korrektur von Fehlinvestitionen (zu viel Aufwand für Vorsorgemaßnahmen für nicht zeitkritische Geschäftsprozesse)
  • versachlichte Diskussion zwischen Fachbereichen und IT (Service Level Management)

Fazit

Das Umsetzen regulatorischer Vorgaben ist oft der Startschuss für ein Umdenken beim Notfallmanagement innerhalb des Unternehmens. Ein wohldurchdachtes Vorgehen bei der Modernisierung des Notfallmanagements im Unternehmen führt mittelfristig zu einer Gewinnmaximierung, dem Erhalt der Wettbewerbsfähigkeit und schließlich zur Sicherung der Arbeitsplätze. Wir haben die Erfahrung und Kompetenz, Sie in all den Phasen umfassend zu beraten und zu unterstützen.

Ausrichtung ISO 22301 BCM

Professionelle Unterstützung hilft

Unternehmen müssen sich gegen Risiken schützen. Wir besitzen die Erfahrung und Kompetenz Ihr Unternehmen abzusichern. Wir verhelfen Ihnen mit maßgeschneiderten Business-Continuity-Lösungen zu einer besseren Leistungsfähigkeit und Robustheit gegen unvorhergesehene gravierende Störungen der Leistungserbringung.

Die Ausrichtung nach ISO 22301 wird als Wettbewerbsvorteil verstanden, da die Kunden verstärkt …

die Lieferanten auf eine weitere Professionalisierung ihrer Leistungserbringung auch in Ausnahmesituationen drängen.

Aufgrund steigender regulatorischer Vorgaben und des Drucks der Wirtschaftsprüfer zur Implementierung einer adäquaten Notfallvorsorge entsteht der Bedarf nach externer Expertise in der Umsetzung eines Notfallvorsorgesystems und der Zertifizierung dieses Systems auf Basis des internationalen Standards ISO 22301.

Die Interpretation der regulatorischen Vorgaben sowie deren praktikable Umsetzung Bedarf langjähriger Erfahrung.

Die Zertifizierung erfolgt in einem überschaubaren Zeitraum.

Das Know-how in der Umsetzung und Begleitung zur erfolgreichen Zertifizierung im Bereich Notfallvorsorge ist die Kernkompetenz von Hartmut Duwald Consulting.

Unser Angebot unterstützt das Management bei der erfolgreichen Zertifizierung nach ISO 22301 Business Continuity Management (BCM).

Unsere Erfolgsfaktoren

  • Wir besitzen die Erfahrung und Kompetenz Ihr Unternehmen zu schützen. Wir unterstützen Kunden im Automotivebereich und verhelfen ihnen mit maßgeschneiderten Business-Continuity-Lösungen zu einer besseren Leistungsfähigkeit und Robustheit gegen unvorhergesehene gravierende Störungen der Leistungserbringung.
  • Unser Ansatz basiert auf der Umsetzung eines Baukastensystems
    • Steuerbarkeit der Phasen leicht möglich
    • Definierte Lieferergebnisse nach der Initialisierungsphase (Erstellung des BCM-Servicekatalogs)
    • BCM-Servicekatalog kann ausgeschrieben werden (Risikominimierung für den Kunden)
    • Ausstieg jederzeit möglich
  • Wir verfügen über sehr hohe soziale Kompetenz (Steuerung von internationalen Kundenteams sowie von heterogenen Projektteams verschiedener Lieferanten).
  • Über unser Partnernetzwerk haben wir Zugriff auf das Expertenwissen in Zertifizierung nach ISO 22301, BCM (Business Continuity), ISMS (Information Security), Automotive, Rollout internationaler Projekte sowie internationaler Projektleitung.
  • Wir sind pragmatisch, flexibel und zielorientiert.
  • Wir verfügen über nachweisbare Erfahrung des Partnernetzwerks in der Umsetzung bei einem international führenden Automobilhersteller

Wir implementieren die erarbeitete Lösung nachhaltig.

Es werden insbesondere folgende Aufgaben bearbeitet

  • Phase 1 Initialisierung
    • Erarbeitung des Rahmenwerks
    • Aufnahme der Ist- und Solldaten
    • Erarbeitung eines BCM-Servicekatalogs auf Basis ISO 22301 BCM
  • Phase 2 Umsetzung und Phase 3 Zertifizierung
    • Umsetzung des BCM-Servicekatalogs auf Basis ISO 22301 BCM
  • Phase 3 Zertifizierung
    • Betriebsübergabe (Nachhaltigkeit)
    • Begleitung der Zertifizierung ISO 22301 BCM