Zum Inhalt

BIA im BCM – Bewertung (Prozesse & Ziele)🔗

In der BIA-Bewertung analysierst du, wie kritisch ein Prozess ist und welche Wiederherstellungsziele (z. B. RTO, MTPD) für ihn gelten sollen.

Du kombinierst dabei:

  • die in der Konfiguration festgelegten Hausregeln,
  • die im Scope verknüpften Prozesse,
  • ihre Abhängigkeiten (Assets, Dienstleister, andere Prozesse).

Einstieg in die BIA-Bewertung🔗

  1. Öffne die Kachel BIA – Bewertung.
  2. Wähle den Scope, den du betrachten möchtest.
  3. Du erhältst eine Liste der im Scope verknüpften Prozesse – ggf. bereits mit Vorfilter-Einstufung (kritisch/unkritisch).

Pro Prozess kannst du nun in eine Detailansicht wechseln.

Auswirkungen über die Zeit bewerten🔗

In der Detailansicht eines Prozesses bewertest du je Schadensszenario (z. B. finanziell, rechtlich, Reputation):

  • wie sich der Schaden bei Ausfall über die definierten Zeithorizonte entwickelt,
  • ab welchem Zeitpunkt die Auswirkungen „mittel“, „hoch“ oder „sehr hoch“ werden.

Praktisches Vorgehen:

  1. Wähle das Szenario (z. B. „finanzielle Auswirkungen“).
  2. Beurteile, welcher Schaden bei den einzelnen Zeithorizonten entsteht.
  3. Trage die entsprechenden Schadenspotenziale ein.

Beispiel:

  • Bis 2 Stunden: Schaden gering
  • Ab 4 Stunden: Schaden mittel
  • Ab 8 Stunden: Schaden hoch
  • Ab 24 Stunden: Schaden sehr hoch

Die BIA-View stellt dies meist als Tabelle oder Kurve dar.

Wiederherstellungsziele festlegen (RTO, MTPD, Notbetriebsniveau)🔗

Aus der Bewertung leitest du Wiederherstellungsziele ab, insbesondere:

  • RTO (Recovery Time Objective)
    → Zeitraum, innerhalb dessen der Prozess wieder lauffähig sein muss.

  • MTPD / MTBD (Maximum Tolerable Period of Disruption)
    → maximal tolerierbare Ausfallzeit, bevor es zu existenzbedrohenden / nicht akzeptablen Schäden kommt.

  • Optional: Notbetriebsniveau
    → welches Leistungsniveau im Notbetrieb akzeptabel ist (z. B. 50 % des normalen Durchsatzes).

Diese Zielgrößen dokumentierst du pro Prozess in der BIA. Sie sind später maßgeblich für Strategien und Pläne im BCM.

Abhängigkeiten und Single Points of Failure🔗

In der BIA-Bewertung werden häufig auch Abhängigkeiten des Prozesses angezeigt:

  • verknüpfte Assets (Hardware, Software, Infrastruktur),
  • verknüpfte Dienstleister,
  • vor- und nachgelagerte Prozessketten.

Typische Aktivitäten:

  • Überprüfung, ob ein Asset oder Dienstleister ein Single Point of Failure (SPOF) ist,
  • Kennzeichnung besonders kritischer Abhängigkeiten,
  • Ableitung von Anforderungen an Redundanz oder Alternativprozesse.

Diese Informationen fließen später sowohl in das Risikomanagement als auch in die Strategien und Pläne ein.

Dokumentation und Nachvollziehbarkeit🔗

Für jede Bewertung solltest du eine Begründung hinterlegen, z. B.:

  • warum ein Prozess eine bestimmte Kritikalitätsstufe hat,
  • welche Annahmen du bzgl. Kunden, Regulatorik oder internen SLAs triffst,
  • welche Einschränkungen im Notbetrieb in Kauf genommen werden können.

Das hilft:

  • bei Audits,
  • bei späteren Überarbeitungen (z. B. nach organisatorischen Änderungen),
  • bei Übergaben an andere Verantwortliche.

Verbindung zu Vorfilter und Konfiguration🔗

  • Die Vorfilterung reduziert den Umfang, indem sie festlegt, welche Prozesse detailliert zu bewerten sind.
  • Die Konfiguration (Schadensszenarien, Zeithorizonte, Potenziale) gibt den Rahmen vor, wie bewertet wird.
  • Die Bewertung selbst ist dann der fachliche Kern, in dem du Prozess für Prozess durchgehst.

Die Ergebnisse dienen als Grundlage für den Soll-/Ist-Vergleich & das Reporting sowie für das BCM-Risikomanagement.