SlideShare ist ein Scribd-Unternehmen logo
Kochbuch für eine
Business Impact Analyse




BCM-News




Matthias Hämmerle MBCI, 10.06.2012
                      ,
Phasen zur Durchführung einer
Business Impact Analyse


     Scope und Konzeption                     Erhebung                  Analyse und Entscheidung


 Festlegung des   Konzeption der     Business         Qualitäts-      Identifikation    GAP-Analyse
Umfangs der BIA      Impact        Impact Analyse     sicherung,     und Festlegung    zwischen SOLL
                    Bewertung                       Dokumentation     der kritischen   und IST Wieder-
                                    Anforderung                        Geschäfts-       anlaufzeit der
                    Konzeption     an Ressourcen     Abnahme der        prozesse          kritischen
                    der Daten-         für den      BIA-Ergebnisse                       Ressourcen
                     erhebung        Notbetrieb
                        und
                  - speicherung




                                                                                                         2
Scope- und Konzeptionsphase der BIA




 Konzeption der Impact-Bewertung sowie der Datenerhebung, -erfassung
                Impact Bewertung                           erfassung
 Inhalte      • Konzeption der Impact-Analyse
                   • Festlegung der Impact-Kategorien und deren Definition / Beschreibung
                   • Festlegung des Betrachtungshorizonts und der Betrachtungszeitpunkte
              • F l
                Festlegung d Ebene der zu betrachtenden Geschäftsprozesse (Bsp. Hauptprozess-
                            der Eb    d     b     h  d    G   häf            (B   H
                oder Teil- bzw. Kernprozessebene)
              • Ressourcen-Kataloge (IT-Anwendungskatalog, Dienstleisterliste,Gebäudekatalog etc.)
              • Konzeption der Datenerhebung
                   • Form der Erhebung (Workshop, Interview, Fragebogen, Mischformen)
                   • Inhalte des Fragebogens
              • Konzeption der Datenerfassung (Datenspeicherung und –auswertung)
 Ergebnisse
   g          •   Aufbau und Inhalte der Impact-Analyse
                                            p       y
              •   In der BIA zu betrachtende Geschäftsprozesse
              •   Fragebogen (BIA-Questionnaire) und Ausfüllanleitung
              •   Workshop-, Interviewplan
              •   QS Methoden
                  QS-Methoden



                                                                                                     3
Erhebungssphase der BIA




  Impact Analyse
  Impact-Analyse
  Inhalte      • Planung und Durchführung der Impact-Analyse für die relevanten
                 Organisationseinheiten, Produkte, Geschäftsprozesse
                   • Auftakt-Workshop mit den Leitern der Organisationseinheiten
                   • B
                     Benennung der verantwortlichen Ansprechpartner für die zu betrachtenden
                                 d         t   tli h  A      h    t   fü di     b t   ht d
                     Organisationseinheiten / Geschäftsprozesse (Bsp. BC-Beauftragte)
                   • Durchführung der Erhebung mittels Interviews, Workshops, Online-Questionnaires
  Ergebnisse   • Projektplan für Information und Kommunikation
               • Interview- Workshopplan bzw. Roll Out-Plan für Questionnaires
               • Ausgefüllte BIA-Fragebögen für die relevanten Geschäftsprozesse




                                                                                                      4
Betrachtungszeitraum und Schadens-Kategorien

 • In der Impact-Analyse (Schadens-Analyse) werden die potentiellen Schäden bei Unterbrechung eines
   Geschäftsprozesses über definierte Betrachtungsperioden in Schadenskategorien analysiert
 • Durch die Reduktion auf Betrachtungszeitpunkte und Schadenskategorien wird der Erhebungsaufwand
   deutlich reduziert




                                                                                                      5
Schadensszenarien im Rahmen der Business Impact Analyse

 • Die Auswirkungen einer Geschäfts- oder Prozessunterbrechung werden differenziert in
   Schadensszenarien betrachtet
 • Hierbei werden monetäre und nicht-monetäre Auswirkungen einbezogen

  Wirkung Schadensszenarien                        Beschreibung und Beispiele

  monetär     Finanzielle Auswirkungen             • GuV-wirksame Kosten (Bsp. Zinsaufwendungen,
                                                     Vertragsstrafen etc.)
                                                           g             )
                                                   • GuV-wirksame Erlösschmälerungen
                                                   • Nicht GuV-wirksame Kosten (Bsp.
                                                     Mitarbeiterausfall)
  Nicht-      Imageschaden                         • Schäden an Image und Reputation des
  monetär                                            Unternehmens (Bsp. Negative Presseberichte,
                                                     Vertrauensverlust am Markt)
  Nicht-      Verstoß gegen Gesetze,               • Verstöße gegen Gesetze, Verordnungen,
  monetär     Vorschriften und Verträge              aufsichtsrechtliche Anforderungen
  Nicht-      Beeinträchtigung der                 • Negative Auswirkungen auf
  monetär     Steuerungsfähigkeit                    Managementprozesse (Bsp.
                                                     Risikomanagement)


                                                                                                   6
Definition von Schadenskategorien für Schadensszenarien


  Beispiel für das Schadensszenario „Finanzielle Auswirkungen“


  Finanzielle Auswirkungen
  Schadenskategorie      Beschreibung und Beispiele
  (4) „sehr hoch“        Der finanzielle Schaden ist für das Unternehmen existenzbedrohend

  (3) „hoch“             Bedeutende finanzielle Schäden, die aber noch nicht existenzbedrohend
                           sind
  (2) „normal“           Tolerable finanzielle Schäden

  (1) „niedrig“          Keine oder geringe finanzielle Schäden




                                                                                                 7
Impact-Bewertung eines Prozesses über vier Schadensszenarien
Als Ergebnis liegen Schadensverläufe je Prozess für jede der Impact Kategorien vor, die
Grundlage für die Festlegung der zeitkritischen Prozesse sind
        g               g g


                                                          Bewertung jedes Prozesses je
   Prozesse           Schadensszenarien
                                                                Schadensszenario



                     • Finanzielle
                       Auswirkungen
                     • Imageschaden
                     • Verletzung
                       gesetzlicher bzw.
                       regulatorischer
                       Anforderungen
                     • Beeinträchtigung der
                       Steuerungsfähigkeit




                                                                                          8
Zu analysierende Zusammenhänge in der BIA



                                                                  Kritische Termine



                                 Kritikalität             Kritikalität

                        Vorgänger-                                       Nachfolge-
                                                  Prozess
                         Prozess                                          Prozess




         Kritikalität         Kritikalität             Kritikalität              Kritikalität         Kritikalität
                                                                                                   IT-
 Dienstleister          Dokumente               Mitarbeiter              Gebäude
                                                                                                Anwendung


                                                                                 Kritikalität         Kritikalität

                                                                          Standort              IT-System



                                                                                                                 9
Für die Prozesse werden die Anforderungen an die Ressourcen für
den Notbetrieb und Rückführung in den Normalbetrieb ermittelt

Kapazität
                      Ereignis
                                               Nach-arbeiten

  100 %

            Normal-                            Normal-
            betrieb                            betrieb




                                 Notbetrieb




                                                           Zeit


                                                                  10
Erhebung der Daten mittels eines BIA-Questionnaires


 Themen-         Frageninhalte
 bereich
 Allgemein       Prozessbezeichnung, Ansprechpartner

 Prozess-        Standorte, Prozessverantwortliche,
 Basis-          Prozessbeschreibung, Beteiligte, Lieferanten, Empfänger,
 information     Häufigkeiten und Mengen, Prozesskennzahlen
                 kritische Termine, vorgelagerte Prozesse
 Impact Ein-     Finanzielle Auswirkungen, Imageschaden,
 schätzung       Verletzung gesetzl./regulatorischer Anforderungen,
                 Beeinträchtigung der Steuerungsfähigkeit
 IT-Ressourcen   IT-Services,
                 Daten, Datenverlustzeit
 Mitarbeiter-    In MAK, nach Standorten, im Normal- bzw. Notbetrieb,
 Ressourcen      Fachliche Anforderungen an Mitarbeiter
        p
 Arbeitsplätze   Arbeitsplätze im Normal- bzw. Notbetrieb, Sonder-Ausstattung
                        p                                ,                  g

 Externe         Externe Dienstleister im Normal- bzw. Notbetrieb
 Dienstleister
 Physische       Anforderungen an Dokumente im Normal- bzw. Notbetrieb
 Dokumente


                                                                                11
Identifikation der Anforderungen an Notbetrieb und Wiederanlauf


      Ressource            Normal    0,5   1   2   3   4   5   10   15   20   30
                              -      AT
                           betrieb

      Mitarbeiter und Arbeitsplätze

      Mitarbeiter (MaK)       12     0     2   2   3   3   3   5    8    10   12

      Arbeitsplätze           12     0     2   2   2   2   2   5    8    10   12

      IT und technische Anforderungen
           d    h i h     f d

      SAP                                      X   X   X   X   X    X    X    X

      Lotus Notes                          X   X   X   X   X   X    X    X    X

      Faxgerät                             X   X   X   X   X   X    X    X    X

      Vorgängerprozesse

      Vorgängerprozess 1                   X   X   X   X   X   X    X    X    X

      Externe Dienstleister

      Creditreform                                 X   X   X   X    X    X    X


                                                                                   12
Erhebungssphase der BIA




  Qualitätssicherung, Dokumentation und Abnahme der BIA-Ergebnisse
  Inhalte      • Plausibilisierung und Qualitätssicherung der BIA-Ergebnisse
                     • Vollständigkeit
                                  g
                     • Nachvollziehbarkeit der Impact-Einschätzungen (Bsp. Dokumentation der
                       Parameter für die Einschätzung)
                     • Sicherstellung übergreifender Fragestellungen (Bsp. Vorgängerprozesse)
               • Besprechung der Inhalte mit den BIA-Verantwortlichen
                                                    BIA Verantwortlichen
               • Präsentation der Ergebnisse für die Leiter der Organisationseinheiten
  Ergebnisse   • Qualitätsgesicherte und abgenommene BIA-Ergebnisse
               • Ergebnis-Präsentation und –dokumentation der BIA-Ergebnisse




                                                                                                13
Analyse- und Entscheidungsphase der BIA




  Identifikation und Festlegung der kritischen Geschäftsprozesse
  Inhalte      • Identifikation der kritischen Geschäftsprozesse
                   • anhand von Rahmenparametern für Impact-Höhe und Betrachtungszeitraum
                   • Vergleich der Impacts von Geschäftsprozessen in einem Portfolio
                   • Einzelentscheidungen über Geschäftsprozesse (Opt-in, Opt-out)
               • Entscheidung über die als kritisch zu bewertenden Geschäftsprozesse durch das
                Management
  Ergebnisse   • Dokumentierte Entscheidung über die kritischen Geschäftsprozesse




                                                                                                 14
Ermittlung des Maximalwerts je Geschäftsprozess für die
Portfoliobildung

     Impact-Bewertungen je Prozess                Kritikalitäts-Prozess
                                                         Portfolio




                                              4




                                              3




                                              2




                                              1




                                                  0,5 1   2   3   4   5   10   15   20   30




                                                                                         15
Mit Hilfe des Risikoakzeptanzniveaus werden die kritischen
Prozesse identifiziert




                                               4
                                                      Kritische
                                                      Prozesse
                                               3      (1,2,3,6)


                                               2




                                               1




                                                   0,5 1   2   3   4   5   10   15   20   30




                                                                                          16
Analyse- und Entscheidungsphase der BIA




  GAP-Analyse der Anforderungen kritischer Geschäftsprozesse an Ressourcen
  Inhalte      • Identifikation der Anforderungen der kritischen Geschäftsprozesse an die Ressourcen
                 (Bsp. IT Anwendungen Ausweicharbeitsplätze,
                 (Bsp IT-Anwendungen, Ausweicharbeitsplätze Dienstleister etc )
                                                                             etc.)
               • Identifikation der bestehenden Verfügbarkeiten der Ressourcen (SLA, OLA)
               • Evaluierung der Optionen zur Schließung vorhandener GAPs (organisatorisch,
                 technisch, vertraglich)
               • Kosten / Nutzen Analyse
                 Kosten- Nutzen-Analyse
               • Entscheidung über Maßnahmen
  Ergebnisse   • Investitionsentscheidungen und Investplan
               • Maßnahmenkatalog




                                                                                                       17
Konsolidierung der Anforderungen aus der BIA
                                            Geschäftsprozess 1



                                            Geschäftsprozess 2



                                            Geschäftsprozess 3




        Ressource                  0,5      1       2       3       4   5   10   15   20   30


        SAP                         X

        Geschäftsprozess 1                          X       X       X   X   X    X    X    X

        Geschäftsprozess 2          X       X       X       X       X   X   X    X    X    X

        Geschäftsprozess 3                  X       X       X       X   X   X    X    X    X


                                         Soll-RTO*) SAP = 0,5 Tage
       *) RTO= Rcovery Time Objective / max. tolerierbare Ausfallzeit


                                                                                                18

Weitere ähnliche Inhalte

Was ist angesagt?

Note d'info augmentation de capital
Note d'info augmentation de capitalNote d'info augmentation de capital
Note d'info augmentation de capital
Groupe Managem
 
認識高壓控管暴力
認識高壓控管暴力認識高壓控管暴力
認識高壓控管暴力
Rachel Liu
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
ISACA Chapitre de Québec
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
onepoint x weave
 
Принцип на телевизията
Принцип на телевизиятаПринцип на телевизията
Принцип на телевизиятаmtrad
 
La crise financiere internationale
La crise financiere internationaleLa crise financiere internationale
La crise financiere internationale
Tanger Outlets
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
20140410 - Cartographie applicative multi-technologies et analyse d'impact
20140410 - Cartographie applicative multi-technologies et analyse d'impact20140410 - Cartographie applicative multi-technologies et analyse d'impact
20140410 - Cartographie applicative multi-technologies et analyse d'impact
LeClubQualiteLogicielle
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
PECB
 
Ebios
EbiosEbios
Ebios
kilojolid
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
dazaiazouze
 
Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'informationGhita Benabdellah
 
Mehari
MehariMehari
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Qu’est ce que la responsabilité civile professionnelle
Qu’est ce que la responsabilité civile professionnelleQu’est ce que la responsabilité civile professionnelle
Qu’est ce que la responsabilité civile professionnelle
Philippe774
 
Fiche 1 evolution de la notion de risque
Fiche  1    evolution de la notion de risqueFiche  1    evolution de la notion de risque
Fiche 1 evolution de la notion de risque
Halim ARROUDJ
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
Harold NGUEGANG
 

Was ist angesagt? (20)

Note d'info augmentation de capital
Note d'info augmentation de capitalNote d'info augmentation de capital
Note d'info augmentation de capital
 
認識高壓控管暴力
認識高壓控管暴力認識高壓控管暴力
認識高壓控管暴力
 
Mehari
MehariMehari
Mehari
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
 
Принцип на телевизията
Принцип на телевизиятаПринцип на телевизията
Принцип на телевизията
 
La crise financiere internationale
La crise financiere internationaleLa crise financiere internationale
La crise financiere internationale
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
20140410 - Cartographie applicative multi-technologies et analyse d'impact
20140410 - Cartographie applicative multi-technologies et analyse d'impact20140410 - Cartographie applicative multi-technologies et analyse d'impact
20140410 - Cartographie applicative multi-technologies et analyse d'impact
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
Ebios
EbiosEbios
Ebios
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'information
 
Mehari
MehariMehari
Mehari
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Qu’est ce que la responsabilité civile professionnelle
Qu’est ce que la responsabilité civile professionnelleQu’est ce que la responsabilité civile professionnelle
Qu’est ce que la responsabilité civile professionnelle
 
Fiche 1 evolution de la notion de risque
Fiche  1    evolution de la notion de risqueFiche  1    evolution de la notion de risque
Fiche 1 evolution de la notion de risque
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 

Andere mochten auch

OpinionWay pour Envie : Les Français et la mission sociale des entreprises / ...
OpinionWay pour Envie : Les Français et la mission sociale des entreprises / ...OpinionWay pour Envie : Les Français et la mission sociale des entreprises / ...
OpinionWay pour Envie : Les Français et la mission sociale des entreprises / ...
contactOpinionWay
 
OpinionWay pour Paradoxopinion et la Vie - Les Catholiques pratiquants et le ...
OpinionWay pour Paradoxopinion et la Vie - Les Catholiques pratiquants et le ...OpinionWay pour Paradoxopinion et la Vie - Les Catholiques pratiquants et le ...
OpinionWay pour Paradoxopinion et la Vie - Les Catholiques pratiquants et le ...
contactOpinionWay
 
Sida Solidarité Magazine N°13
Sida Solidarité Magazine N°13Sida Solidarité Magazine N°13
Sida Solidarité Magazine N°13
Association de Lutte Contre le Sida
 
Fútbol
FútbolFútbol
Fútbol
iesbadalona7
 
Binder1
Binder1Binder1
Binder1
Faye
 
Tpm manager bite-wartungsmanagement
Tpm manager bite-wartungsmanagementTpm manager bite-wartungsmanagement
Tpm manager bite-wartungsmanagementBITE GmbH
 
Sesion 2 a
Sesion 2 aSesion 2 a
Sesion 2 a
femeza5555
 
Enlaces quimicos
Enlaces quimicosEnlaces quimicos
Enlaces quimicos
rosijuan
 
Exito
ExitoExito
Exito
RAANRABA
 
Palacio de circe
Palacio de circePalacio de circe
Palacio de circe
mteranm
 
06 manual-del-programador
06 manual-del-programador06 manual-del-programador
06 manual-del-programador
femiarca10
 
Trabajo practico de alcholismo lucas y maria
Trabajo practico de alcholismo lucas y mariaTrabajo practico de alcholismo lucas y maria
Trabajo practico de alcholismo lucas y maria
St Albans Dosmildiez
 
Email marketing y redes sociales
Email marketing y redes socialesEmail marketing y redes sociales
Email marketing y redes sociales
newsmaker2010
 
Relieve españa
Relieve españaRelieve españa
Relieve españa
Colegio Severo Ochoa
 
S Test
S TestS Test
S Test
Faye
 
Personalmanager bite kennzahlen
Personalmanager bite kennzahlenPersonalmanager bite kennzahlen
Personalmanager bite kennzahlenBITE GmbH
 
2p2[1]
2p2[1]2p2[1]
La proba
La probaLa proba
La probacescpet
 
Misión de un licenciado en filosofía2
Misión de un licenciado en filosofía2Misión de un licenciado en filosofía2
Misión de un licenciado en filosofía2
nsalvarador
 
Las mejores fotos de montañas
Las mejores fotos de montañasLas mejores fotos de montañas
Las mejores fotos de montañas
Colegio Severo Ochoa
 

Andere mochten auch (20)

OpinionWay pour Envie : Les Français et la mission sociale des entreprises / ...
OpinionWay pour Envie : Les Français et la mission sociale des entreprises / ...OpinionWay pour Envie : Les Français et la mission sociale des entreprises / ...
OpinionWay pour Envie : Les Français et la mission sociale des entreprises / ...
 
OpinionWay pour Paradoxopinion et la Vie - Les Catholiques pratiquants et le ...
OpinionWay pour Paradoxopinion et la Vie - Les Catholiques pratiquants et le ...OpinionWay pour Paradoxopinion et la Vie - Les Catholiques pratiquants et le ...
OpinionWay pour Paradoxopinion et la Vie - Les Catholiques pratiquants et le ...
 
Sida Solidarité Magazine N°13
Sida Solidarité Magazine N°13Sida Solidarité Magazine N°13
Sida Solidarité Magazine N°13
 
Fútbol
FútbolFútbol
Fútbol
 
Binder1
Binder1Binder1
Binder1
 
Tpm manager bite-wartungsmanagement
Tpm manager bite-wartungsmanagementTpm manager bite-wartungsmanagement
Tpm manager bite-wartungsmanagement
 
Sesion 2 a
Sesion 2 aSesion 2 a
Sesion 2 a
 
Enlaces quimicos
Enlaces quimicosEnlaces quimicos
Enlaces quimicos
 
Exito
ExitoExito
Exito
 
Palacio de circe
Palacio de circePalacio de circe
Palacio de circe
 
06 manual-del-programador
06 manual-del-programador06 manual-del-programador
06 manual-del-programador
 
Trabajo practico de alcholismo lucas y maria
Trabajo practico de alcholismo lucas y mariaTrabajo practico de alcholismo lucas y maria
Trabajo practico de alcholismo lucas y maria
 
Email marketing y redes sociales
Email marketing y redes socialesEmail marketing y redes sociales
Email marketing y redes sociales
 
Relieve españa
Relieve españaRelieve españa
Relieve españa
 
S Test
S TestS Test
S Test
 
Personalmanager bite kennzahlen
Personalmanager bite kennzahlenPersonalmanager bite kennzahlen
Personalmanager bite kennzahlen
 
2p2[1]
2p2[1]2p2[1]
2p2[1]
 
La proba
La probaLa proba
La proba
 
Misión de un licenciado en filosofía2
Misión de un licenciado en filosofía2Misión de un licenciado en filosofía2
Misión de un licenciado en filosofía2
 
Las mejores fotos de montañas
Las mejores fotos de montañasLas mejores fotos de montañas
Las mejores fotos de montañas
 

Ähnlich wie Kochbuch für eine BIA von bcm news

The audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionThe audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revision
Daniel Hertneck
 
Game Design Dokumentation und Projekt Management
Game Design Dokumentation und Projekt Management Game Design Dokumentation und Projekt Management
Game Design Dokumentation und Projekt Management
fg.informatik Universität Basel
 
Impact Mapping - strategische Steuerung agiler Entwicklung
Impact Mapping - strategische Steuerung agiler EntwicklungImpact Mapping - strategische Steuerung agiler Entwicklung
Impact Mapping - strategische Steuerung agiler Entwicklung
Christian Hassa
 
Twowayys agile sourcing 20200525 v linkedin
Twowayys agile sourcing 20200525 v linkedinTwowayys agile sourcing 20200525 v linkedin
Twowayys agile sourcing 20200525 v linkedin
JonasKlumski
 
Twowayys agile sourcing 20200518 v linkedin
Twowayys agile sourcing 20200518 v linkedinTwowayys agile sourcing 20200518 v linkedin
Twowayys agile sourcing 20200518 v linkedin
JonasKlumski
 
Client Vela Datenqualitätscheck
Client Vela DatenqualitätscheckClient Vela Datenqualitätscheck
Client Vela Datenqualitätscheck
Client Vela GmbH
 
Twowayys agile sourcing 20200602 v linkedin
Twowayys agile sourcing 20200602 v linkedinTwowayys agile sourcing 20200602 v linkedin
Twowayys agile sourcing 20200602 v linkedin
JonasKlumski
 
Präsentation der IBS Schreiber GmbH
Präsentation der IBS Schreiber GmbHPräsentation der IBS Schreiber GmbH
Präsentation der IBS Schreiber GmbH
IBS Schreiber GmbH
 
Tekom ft 2012 schaffner beschaffungsmanagement
Tekom ft 2012 schaffner   beschaffungsmanagementTekom ft 2012 schaffner   beschaffungsmanagement
Tekom ft 2012 schaffner beschaffungsmanagement
Michael Schaffner (Prof. Dr.-Ing.)
 
Requirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordertRequirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordert
GFU Cyrus AG
 
Call center audit marketing resultant
Call center audit marketing resultantCall center audit marketing resultant
Call center audit marketing resultant
Harald Henn
 
7 Schritte der FMEA
7 Schritte der FMEA7 Schritte der FMEA
7 Schritte der FMEA
KVP Institut GmbH
 
Project Health Check
Project Health CheckProject Health Check
Project Health Check
Gotscharek & Company GmbH
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
 
Business Process Reengineering
Business Process ReengineeringBusiness Process Reengineering
Business Process ReengineeringPatrick Fritz
 
Tisson & Company IT Management - Projektmanagement
Tisson & Company IT Management - ProjektmanagementTisson & Company IT Management - Projektmanagement
Tisson & Company IT Management - Projektmanagement
Horst Tisson
 
AIS-Präsentation: Optimierung Property und Facility Management
AIS-Präsentation: Optimierung Property und Facility ManagementAIS-Präsentation: Optimierung Property und Facility Management
AIS-Präsentation: Optimierung Property und Facility Management
AIS Management GmbH
 

Ähnlich wie Kochbuch für eine BIA von bcm news (20)

The audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionThe audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revision
 
Game Design Dokumentation und Projekt Management
Game Design Dokumentation und Projekt Management Game Design Dokumentation und Projekt Management
Game Design Dokumentation und Projekt Management
 
Virtuelle projekte
Virtuelle projekteVirtuelle projekte
Virtuelle projekte
 
Impact Mapping - strategische Steuerung agiler Entwicklung
Impact Mapping - strategische Steuerung agiler EntwicklungImpact Mapping - strategische Steuerung agiler Entwicklung
Impact Mapping - strategische Steuerung agiler Entwicklung
 
Twowayys agile sourcing 20200525 v linkedin
Twowayys agile sourcing 20200525 v linkedinTwowayys agile sourcing 20200525 v linkedin
Twowayys agile sourcing 20200525 v linkedin
 
Twowayys agile sourcing 20200518 v linkedin
Twowayys agile sourcing 20200518 v linkedinTwowayys agile sourcing 20200518 v linkedin
Twowayys agile sourcing 20200518 v linkedin
 
Client Vela Datenqualitätscheck
Client Vela DatenqualitätscheckClient Vela Datenqualitätscheck
Client Vela Datenqualitätscheck
 
Twowayys agile sourcing 20200602 v linkedin
Twowayys agile sourcing 20200602 v linkedinTwowayys agile sourcing 20200602 v linkedin
Twowayys agile sourcing 20200602 v linkedin
 
Präsentation der IBS Schreiber GmbH
Präsentation der IBS Schreiber GmbHPräsentation der IBS Schreiber GmbH
Präsentation der IBS Schreiber GmbH
 
Tekom ft 2012 schaffner beschaffungsmanagement
Tekom ft 2012 schaffner   beschaffungsmanagementTekom ft 2012 schaffner   beschaffungsmanagement
Tekom ft 2012 schaffner beschaffungsmanagement
 
Requirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordertRequirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordert
 
Call center audit marketing resultant
Call center audit marketing resultantCall center audit marketing resultant
Call center audit marketing resultant
 
7 Schritte der FMEA
7 Schritte der FMEA7 Schritte der FMEA
7 Schritte der FMEA
 
Project Health Check
Project Health CheckProject Health Check
Project Health Check
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
Business Process Reengineering
Business Process ReengineeringBusiness Process Reengineering
Business Process Reengineering
 
bzp-Strategie Check
bzp-Strategie Checkbzp-Strategie Check
bzp-Strategie Check
 
Tisson & Company IT Management - Projektmanagement
Tisson & Company IT Management - ProjektmanagementTisson & Company IT Management - Projektmanagement
Tisson & Company IT Management - Projektmanagement
 
Prozessmodellierung
ProzessmodellierungProzessmodellierung
Prozessmodellierung
 
AIS-Präsentation: Optimierung Property und Facility Management
AIS-Präsentation: Optimierung Property und Facility ManagementAIS-Präsentation: Optimierung Property und Facility Management
AIS-Präsentation: Optimierung Property und Facility Management
 

Mehr von haemmerle-consulting

Standards und good practices 20160325
Standards und good practices 20160325Standards und good practices 20160325
Standards und good practices 20160325
haemmerle-consulting
 
BCM Standards 11.2014
BCM Standards 11.2014BCM Standards 11.2014
BCM Standards 11.2014
haemmerle-consulting
 
World Disasters Report 2014
World Disasters Report 2014World Disasters Report 2014
World Disasters Report 2014
haemmerle-consulting
 
BCI Counting The Cost
BCI Counting The CostBCI Counting The Cost
BCI Counting The Cost
haemmerle-consulting
 
BCM Glossary by BCI
BCM Glossary by BCIBCM Glossary by BCI
BCM Glossary by BCI
haemmerle-consulting
 
World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014
haemmerle-consulting
 
Symantec Intelligence Report 2013
Symantec Intelligence Report 2013Symantec Intelligence Report 2013
Symantec Intelligence Report 2013
haemmerle-consulting
 
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 ÜberblickMunich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblick
haemmerle-consulting
 
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013
haemmerle-consulting
 
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per KontinentSchäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinent
haemmerle-consulting
 
Global Climate Risk Index 2014
Global Climate Risk Index 2014Global Climate Risk Index 2014
Global Climate Risk Index 2014
haemmerle-consulting
 
Supply chain-resilience-2013-en
Supply chain-resilience-2013-enSupply chain-resilience-2013-en
Supply chain-resilience-2013-en
haemmerle-consulting
 
BCM Standards und Good Practices
BCM Standards und Good PracticesBCM Standards und Good Practices
BCM Standards und Good Practices
haemmerle-consulting
 
BCAW 2013 poster english
BCAW 2013 poster englishBCAW 2013 poster english
BCAW 2013 poster english
haemmerle-consulting
 
Audit des BCM
Audit des BCMAudit des BCM
Audit des BCM
haemmerle-consulting
 
kes BCM in der Supply Chain
kes BCM in der Supply Chainkes BCM in der Supply Chain
kes BCM in der Supply Chain
haemmerle-consulting
 
BCM Planung
BCM PlanungBCM Planung
BCM Strategien
BCM StrategienBCM Strategien
BCM Strategien
haemmerle-consulting
 
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattleThe hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattle
haemmerle-consulting
 

Mehr von haemmerle-consulting (20)

Standards und good practices 20160325
Standards und good practices 20160325Standards und good practices 20160325
Standards und good practices 20160325
 
BCM Standards 11.2014
BCM Standards 11.2014BCM Standards 11.2014
BCM Standards 11.2014
 
World Disasters Report 2014
World Disasters Report 2014World Disasters Report 2014
World Disasters Report 2014
 
BCI Counting The Cost
BCI Counting The CostBCI Counting The Cost
BCI Counting The Cost
 
BCM Glossary by BCI
BCM Glossary by BCIBCM Glossary by BCI
BCM Glossary by BCI
 
World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014
 
Symantec Intelligence Report 2013
Symantec Intelligence Report 2013Symantec Intelligence Report 2013
Symantec Intelligence Report 2013
 
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 ÜberblickMunich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblick
 
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013
 
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per KontinentSchäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinent
 
Global Climate Risk Index 2014
Global Climate Risk Index 2014Global Climate Risk Index 2014
Global Climate Risk Index 2014
 
Supply chain-resilience-2013-en
Supply chain-resilience-2013-enSupply chain-resilience-2013-en
Supply chain-resilience-2013-en
 
BCM Standards und Good Practices
BCM Standards und Good PracticesBCM Standards und Good Practices
BCM Standards und Good Practices
 
BCAW 2013 poster english
BCAW 2013 poster englishBCAW 2013 poster english
BCAW 2013 poster english
 
Audit des BCM
Audit des BCMAudit des BCM
Audit des BCM
 
kes BCM in der Supply Chain
kes BCM in der Supply Chainkes BCM in der Supply Chain
kes BCM in der Supply Chain
 
BCM Planung
BCM PlanungBCM Planung
BCM Planung
 
BCM Strategien
BCM StrategienBCM Strategien
BCM Strategien
 
Krisenmanagement Case Study
Krisenmanagement Case StudyKrisenmanagement Case Study
Krisenmanagement Case Study
 
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattleThe hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattle
 

Kochbuch für eine BIA von bcm news

  • 1. Kochbuch für eine Business Impact Analyse BCM-News Matthias Hämmerle MBCI, 10.06.2012 ,
  • 2. Phasen zur Durchführung einer Business Impact Analyse Scope und Konzeption Erhebung Analyse und Entscheidung Festlegung des Konzeption der Business Qualitäts- Identifikation GAP-Analyse Umfangs der BIA Impact Impact Analyse sicherung, und Festlegung zwischen SOLL Bewertung Dokumentation der kritischen und IST Wieder- Anforderung Geschäfts- anlaufzeit der Konzeption an Ressourcen Abnahme der prozesse kritischen der Daten- für den BIA-Ergebnisse Ressourcen erhebung Notbetrieb und - speicherung 2
  • 3. Scope- und Konzeptionsphase der BIA Konzeption der Impact-Bewertung sowie der Datenerhebung, -erfassung Impact Bewertung erfassung Inhalte • Konzeption der Impact-Analyse • Festlegung der Impact-Kategorien und deren Definition / Beschreibung • Festlegung des Betrachtungshorizonts und der Betrachtungszeitpunkte • F l Festlegung d Ebene der zu betrachtenden Geschäftsprozesse (Bsp. Hauptprozess- der Eb d b h d G häf (B H oder Teil- bzw. Kernprozessebene) • Ressourcen-Kataloge (IT-Anwendungskatalog, Dienstleisterliste,Gebäudekatalog etc.) • Konzeption der Datenerhebung • Form der Erhebung (Workshop, Interview, Fragebogen, Mischformen) • Inhalte des Fragebogens • Konzeption der Datenerfassung (Datenspeicherung und –auswertung) Ergebnisse g • Aufbau und Inhalte der Impact-Analyse p y • In der BIA zu betrachtende Geschäftsprozesse • Fragebogen (BIA-Questionnaire) und Ausfüllanleitung • Workshop-, Interviewplan • QS Methoden QS-Methoden 3
  • 4. Erhebungssphase der BIA Impact Analyse Impact-Analyse Inhalte • Planung und Durchführung der Impact-Analyse für die relevanten Organisationseinheiten, Produkte, Geschäftsprozesse • Auftakt-Workshop mit den Leitern der Organisationseinheiten • B Benennung der verantwortlichen Ansprechpartner für die zu betrachtenden d t tli h A h t fü di b t ht d Organisationseinheiten / Geschäftsprozesse (Bsp. BC-Beauftragte) • Durchführung der Erhebung mittels Interviews, Workshops, Online-Questionnaires Ergebnisse • Projektplan für Information und Kommunikation • Interview- Workshopplan bzw. Roll Out-Plan für Questionnaires • Ausgefüllte BIA-Fragebögen für die relevanten Geschäftsprozesse 4
  • 5. Betrachtungszeitraum und Schadens-Kategorien • In der Impact-Analyse (Schadens-Analyse) werden die potentiellen Schäden bei Unterbrechung eines Geschäftsprozesses über definierte Betrachtungsperioden in Schadenskategorien analysiert • Durch die Reduktion auf Betrachtungszeitpunkte und Schadenskategorien wird der Erhebungsaufwand deutlich reduziert 5
  • 6. Schadensszenarien im Rahmen der Business Impact Analyse • Die Auswirkungen einer Geschäfts- oder Prozessunterbrechung werden differenziert in Schadensszenarien betrachtet • Hierbei werden monetäre und nicht-monetäre Auswirkungen einbezogen Wirkung Schadensszenarien Beschreibung und Beispiele monetär Finanzielle Auswirkungen • GuV-wirksame Kosten (Bsp. Zinsaufwendungen, Vertragsstrafen etc.) g ) • GuV-wirksame Erlösschmälerungen • Nicht GuV-wirksame Kosten (Bsp. Mitarbeiterausfall) Nicht- Imageschaden • Schäden an Image und Reputation des monetär Unternehmens (Bsp. Negative Presseberichte, Vertrauensverlust am Markt) Nicht- Verstoß gegen Gesetze, • Verstöße gegen Gesetze, Verordnungen, monetär Vorschriften und Verträge aufsichtsrechtliche Anforderungen Nicht- Beeinträchtigung der • Negative Auswirkungen auf monetär Steuerungsfähigkeit Managementprozesse (Bsp. Risikomanagement) 6
  • 7. Definition von Schadenskategorien für Schadensszenarien Beispiel für das Schadensszenario „Finanzielle Auswirkungen“ Finanzielle Auswirkungen Schadenskategorie Beschreibung und Beispiele (4) „sehr hoch“ Der finanzielle Schaden ist für das Unternehmen existenzbedrohend (3) „hoch“ Bedeutende finanzielle Schäden, die aber noch nicht existenzbedrohend sind (2) „normal“ Tolerable finanzielle Schäden (1) „niedrig“ Keine oder geringe finanzielle Schäden 7
  • 8. Impact-Bewertung eines Prozesses über vier Schadensszenarien Als Ergebnis liegen Schadensverläufe je Prozess für jede der Impact Kategorien vor, die Grundlage für die Festlegung der zeitkritischen Prozesse sind g g g Bewertung jedes Prozesses je Prozesse Schadensszenarien Schadensszenario • Finanzielle Auswirkungen • Imageschaden • Verletzung gesetzlicher bzw. regulatorischer Anforderungen • Beeinträchtigung der Steuerungsfähigkeit 8
  • 9. Zu analysierende Zusammenhänge in der BIA Kritische Termine Kritikalität Kritikalität Vorgänger- Nachfolge- Prozess Prozess Prozess Kritikalität Kritikalität Kritikalität Kritikalität Kritikalität IT- Dienstleister Dokumente Mitarbeiter Gebäude Anwendung Kritikalität Kritikalität Standort IT-System 9
  • 10. Für die Prozesse werden die Anforderungen an die Ressourcen für den Notbetrieb und Rückführung in den Normalbetrieb ermittelt Kapazität Ereignis Nach-arbeiten 100 % Normal- Normal- betrieb betrieb Notbetrieb Zeit 10
  • 11. Erhebung der Daten mittels eines BIA-Questionnaires Themen- Frageninhalte bereich Allgemein Prozessbezeichnung, Ansprechpartner Prozess- Standorte, Prozessverantwortliche, Basis- Prozessbeschreibung, Beteiligte, Lieferanten, Empfänger, information Häufigkeiten und Mengen, Prozesskennzahlen kritische Termine, vorgelagerte Prozesse Impact Ein- Finanzielle Auswirkungen, Imageschaden, schätzung Verletzung gesetzl./regulatorischer Anforderungen, Beeinträchtigung der Steuerungsfähigkeit IT-Ressourcen IT-Services, Daten, Datenverlustzeit Mitarbeiter- In MAK, nach Standorten, im Normal- bzw. Notbetrieb, Ressourcen Fachliche Anforderungen an Mitarbeiter p Arbeitsplätze Arbeitsplätze im Normal- bzw. Notbetrieb, Sonder-Ausstattung p , g Externe Externe Dienstleister im Normal- bzw. Notbetrieb Dienstleister Physische Anforderungen an Dokumente im Normal- bzw. Notbetrieb Dokumente 11
  • 12. Identifikation der Anforderungen an Notbetrieb und Wiederanlauf Ressource Normal 0,5 1 2 3 4 5 10 15 20 30 - AT betrieb Mitarbeiter und Arbeitsplätze Mitarbeiter (MaK) 12 0 2 2 3 3 3 5 8 10 12 Arbeitsplätze 12 0 2 2 2 2 2 5 8 10 12 IT und technische Anforderungen d h i h f d SAP X X X X X X X X Lotus Notes X X X X X X X X X Faxgerät X X X X X X X X X Vorgängerprozesse Vorgängerprozess 1 X X X X X X X X X Externe Dienstleister Creditreform X X X X X X X 12
  • 13. Erhebungssphase der BIA Qualitätssicherung, Dokumentation und Abnahme der BIA-Ergebnisse Inhalte • Plausibilisierung und Qualitätssicherung der BIA-Ergebnisse • Vollständigkeit g • Nachvollziehbarkeit der Impact-Einschätzungen (Bsp. Dokumentation der Parameter für die Einschätzung) • Sicherstellung übergreifender Fragestellungen (Bsp. Vorgängerprozesse) • Besprechung der Inhalte mit den BIA-Verantwortlichen BIA Verantwortlichen • Präsentation der Ergebnisse für die Leiter der Organisationseinheiten Ergebnisse • Qualitätsgesicherte und abgenommene BIA-Ergebnisse • Ergebnis-Präsentation und –dokumentation der BIA-Ergebnisse 13
  • 14. Analyse- und Entscheidungsphase der BIA Identifikation und Festlegung der kritischen Geschäftsprozesse Inhalte • Identifikation der kritischen Geschäftsprozesse • anhand von Rahmenparametern für Impact-Höhe und Betrachtungszeitraum • Vergleich der Impacts von Geschäftsprozessen in einem Portfolio • Einzelentscheidungen über Geschäftsprozesse (Opt-in, Opt-out) • Entscheidung über die als kritisch zu bewertenden Geschäftsprozesse durch das Management Ergebnisse • Dokumentierte Entscheidung über die kritischen Geschäftsprozesse 14
  • 15. Ermittlung des Maximalwerts je Geschäftsprozess für die Portfoliobildung Impact-Bewertungen je Prozess Kritikalitäts-Prozess Portfolio 4 3 2 1 0,5 1 2 3 4 5 10 15 20 30 15
  • 16. Mit Hilfe des Risikoakzeptanzniveaus werden die kritischen Prozesse identifiziert 4 Kritische Prozesse 3 (1,2,3,6) 2 1 0,5 1 2 3 4 5 10 15 20 30 16
  • 17. Analyse- und Entscheidungsphase der BIA GAP-Analyse der Anforderungen kritischer Geschäftsprozesse an Ressourcen Inhalte • Identifikation der Anforderungen der kritischen Geschäftsprozesse an die Ressourcen (Bsp. IT Anwendungen Ausweicharbeitsplätze, (Bsp IT-Anwendungen, Ausweicharbeitsplätze Dienstleister etc ) etc.) • Identifikation der bestehenden Verfügbarkeiten der Ressourcen (SLA, OLA) • Evaluierung der Optionen zur Schließung vorhandener GAPs (organisatorisch, technisch, vertraglich) • Kosten / Nutzen Analyse Kosten- Nutzen-Analyse • Entscheidung über Maßnahmen Ergebnisse • Investitionsentscheidungen und Investplan • Maßnahmenkatalog 17
  • 18. Konsolidierung der Anforderungen aus der BIA Geschäftsprozess 1 Geschäftsprozess 2 Geschäftsprozess 3 Ressource 0,5 1 2 3 4 5 10 15 20 30 SAP X Geschäftsprozess 1 X X X X X X X X Geschäftsprozess 2 X X X X X X X X X X Geschäftsprozess 3 X X X X X X X X X Soll-RTO*) SAP = 0,5 Tage *) RTO= Rcovery Time Objective / max. tolerierbare Ausfallzeit 18