Das kri­tische Potenzial von Geschäftsprozessen

Im zweiten Teil der Serie “Not­fall­ma­nagement” geht es darum, die Geschäfts­pro­zesse im Unter­nehmen her­aus­zu­finden, die als besonders kri­tisch anzu­sehen sind. Was bedeutet dabei kri­tisch und wie kann man dies ermitteln?

Was bedeutet “kri­tisch” und kann man dies ermitteln?

“Kri­tisch” im Sinne des Not­fall­ma­nage­ments bedeutet “zeit­kri­tisch”, also dass dieser Prozess eine schnellere Wie­der­auf­nahme der Tätigkeit nach einem Ausfall erfordert, da sonst ein hoher Schaden für das Unter­nehmen zu erwarten ist. Der hohe Schaden kann sowohl aus finan­zi­ellen Ver­lusten, Ver­stößen gegen Gesetze oder Ver­träge, aus Image­schäden oder wei­teren Scha­dens­sze­narien ent­stehen. Ein als “unkri­tisch” ein­ge­stufter Geschäfts­prozess bedeutet nicht, dass dieser unwichtig ist, sondern lediglich, dass er eine geringere Prio­rität in der Wie­der­her­stellung haben sollte.

Um die “kri­ti­schen” Geschäfts­pro­zesse zu iden­ti­fi­zieren und später geeignete Stra­tegien und Vor­sor­ge­maß­nahmen für Scha­dens­er­eig­nisse aus­ar­beiten zu können, müssen zunächst die Aus­wir­kungen von Stö­rungen, Unter­bre­chungen oder gar der Verlust von Geschäfts­pro­zessen ermittelt werden. Die kri­ti­schen Geschäfts­pro­zesse werden in der Regel zur Erbringung der wich­tigsten Dienst­leis­tungen und Erzeugung der Pro­dukte bei­tragen, doch sollte der reine Fokus aus­schließlich auf diese Pro­zesse ver­mieden werden. Zu diesem Zeit­punkt spielt lediglich die Frage eine Rolle, welche Kon­se­quenzen zu erwarten sind.

Hierzu wird eine so genannte Business Impact Analyse (BIA) durch­ge­führt. Eine BIA ist ein Ver­fahren, um die Wie­der­an­lauf­punkte der Geschäfts­pro­zesse, eine Prio­ri­sierung für den Wie­der­anlauf und damit die Kri­ti­ka­lität der Geschäfts­pro­zesse fest­zu­legen und die benö­tigten Res­sourcen zu identifizieren.

Gibt es den “wahren” Weg zur Bestimmung der Kritikalität?

Es exis­tieren viele Methoden und Wege, eine Business Impact Analyse durch­zu­führen. Der eine „wahre“ Weg oder “Best Practice” exis­tiert nicht. Wie die benö­tigten Ergeb­nisse ermittelt werden, kann jedes Unter­nehmen für sich selbst ent­scheiden. Trotzdem hat sich ein Standard-Vor­­­gehen etabliert.

Die Bestimmung der Kri­ti­ka­lität: ein prag­ma­ti­scher Ansatz

Wie kann nun ein Unter­nehmen ermitteln, welche Geschäfts­pro­zesse aus seiner Sicht “kri­tisch” sind? Fol­gendes sys­te­ma­ti­sches Vor­gehen hat sich in der Praxis bewährt, ergänzt um typische Fra­ge­stel­lungen, die es beim jewei­ligen Schritt zu beant­worten gilt:
 

Abbildung:  © Thomas Lohre / www.datev.de

1. Kon­zeption der Business Impact Analyse
   a) Gibt es Unter­neh­mens­be­reiche, die per se nicht kri­tisch sind? (Wie z.B. Per­sonal, Einkauf, etc.?)
   b) Sind bereits Pro­zess­in­for­ma­tionen vor­handen? (Falls nicht, müssen die Pro­zesse erst noch erhoben werden. Faust­formel: nicht mehr als 10 Pro­zesse pro Bereich.)
   c) Fest­legung der Impact Kate­gorien (finan­zielle Schäden, Image, Recht­liche und regu­la­to­rische Rah­men­be­din­gungen, Steue­rungs­fä­higkeit, Gefährdung der Gesundheit von Personen)
   d) Fest­legung der Vor­ge­hens­weise zur Daten­er­hebung (Workshop, Interview, Fra­ge­bogen, Kombination)
2. Durch­führung der Business Impact Analyse: Erhebung der not­wen­digen Infor­ma­tionen ent­spre­chend der fest­ge­legten Vorgehensweise
3. Nach­be­reitung der Business Impact Analyse
   a) Aus­wertung der Ergebnisse
   b) Fest­legung, ab wann Pro­zesse kri­tisch und damit zu betrachten sind

 Im nächsten Teil der Arti­kel­serie geht es um das “Not­fall­vor­sor­ge­konzept”, also darum, wie kri­tische Geschäfts­pro­zesse gegen Not­fälle abge­si­chert werden können.

Die bisher erschienen Bei­träge zur Serie Notfallmanagement:

Teil 1: “6 Schritte im Unter­nehmen”

Teil 3: “Not­fall­vor­sorge”

Teil 4: “Not­fall­be­wäl­tigung”

Teil 5: “Tests und Übungen”

Teil 6: “Kon­ti­nu­ier­liche Ver­bes­serung”

Bild:  © Jens Bre­dehorn / pixelio.de