Ein zentraler Baustein eines jeden Business Continuity Plan (BCP) ist die Bewertung der Risiken (Risk Assessment). Dazu müssen die strategisch wichtigsten Assets identifiziert, die Schwachstellen, denen diese Assets ausgesetzt sind, ermittelt und die potenziellen Auswirkungen, die ihre Nichtverfügbarkeit für das Unternehmen haben könnte, beurteilt werden. Dies wird als «Risk Heat MAP» oder Risikomatrix bezeichnet.
Beispiel für eine Risikomatrix (Risk Heat MAP)
A. Wahrscheinlichkeit und Auswirkungen
In der Risikomatrix gibt es zwei entscheidende Parameter: die Wahrscheinlichkeit, dass das jeweilige Risiko eintritt, und die Auswirkungen, die dieses Risiko auf das Unternehmen hat. Es ist sinnvoll, die Wahrscheinlichkeit in «gering», «gering bis mittel», «mittel bis hoch» und «hoch» zu kategorisieren.
- «Hoch» bezeichnet dabei ein Ereignis, das mehrmals im Jahr auftreten kann, zum Beispiel drei bis fünf Mal jährlich.
- «Mittel bis hoch» steht für eine Eintrittswahrscheinlichkeit von ein bis drei Mal jährlich.
- «Gering bis mittel» hingegen steht für eine Eintrittswahrscheinlichkeit von einmal alle drei Jahre.
- «Gering» bezeichnet ein Risiko, das einmal alle fünf bis zehn Jahre eintreten könnte.
Diese Klassifizierung erleichtert die Priorisierung von Massnahmen. Alles, was oberhalb der Zeile «mittel bis hoch» eingestuft wird, zieht eine «Risk Adaptation», d. h. eine entsprechende Reaktion, nach sich, da diese Wahrscheinlichkeit zum betreffenden Zeitpunkt so nicht hingenommen werden kann: Es müssen Massnahmen ergriffen werden, um sich zu schützen. Mit diesem Anliegen können Sie sich an Ihre Vorgesetzen oder Ihr Management wenden.
Für solch hohe Risiken sollten Szenarien definiert und die Auswirkungen der jeweiligen Szenarien bewertet werden. Je nach Unternehmen können die Grössenordnungen dieser Schätzungen variieren.
B. Umsetzung von Massnahmen
Sobald eine Klassifizierung der Risiken und eine Abschätzung der Auswirkungen der verschiedenen Szenarien erfolgt sind, sollte darauf hingewirkt werden, dass das Management einen Präventions- und Reaktionsplan verabschiedet. Zu diesem Zweck sollte man diese Risiken der Geschäftsleitung gegenüber gezielt ansprechen und dann überlegen, was man tun kann, um das jeweilige Risiko zu mindern. Dabei sollte das primäre Ziel darin bestehen, die Eintrittswahrscheinlichkeit des Risikos als solche zu verringern. Lässt sich der Eintritt des Risikos nicht vermeiden, geht es in einem zweiten Schritt darum, seine Auswirkungen so gering wie möglich zu halten.
Am Ende dieser Überlegungen stehen dann zwei Matrizen: Die aktuelle Matrix und die Restmatrix. Wenn dann alle Kontrollen implementiert und alle Massnahmen definiert sind, ergibt sich daraus eine Minderung der Risiken. Auf dieser Grundlage für Gespräche mit dem Management müssen die durch die geplanten Vorhaben verursachten Kosten dem finanziellen Nutzen gegenübergestellt werden («Return on Investment»). Wenn das Unternehmen für diese Massnahmen Mittel bereitstellt, welche Konsequenzen hat dies für das Unternehmen? Was wird geschützt?
C. DRP und CMP
Im Rahmen eines BCP sind zwei Instrumente besonders hilfreich: der «Wiederanlaufplan» (Disaster Recovery Plan; DRP) und der Krisenmanagementplan (Crisis Management Plan; CMP). Bei der bestmöglichen Bewältigung von Krisen kann das Vorhandensein dieser beiden Instrumente eine strategisch wichtige Rolle spielen. Disposer de ces deux éléments peut s’avérer stratégique afin de traverser au mieux une période délicate.
Der DRP bzw. der Wiederanlaufplan ist eine IT-spezifische Version des BCP. Er besteht aus mehreren Hauptpunkten: Il comporte plusieurs points majeurs :
- Aktionsplan der IT-Teams
- Ausweichstandort
- Hardware
- Koordination
- Netz, Infrastruktur, Workstations entsprechend den Anforderungen der Fachbereiche
- IT-Notfallplan
- Umswitchen zum Ausweichstandort
- Neustart (Chronologie) entsprechend dem erstellten Szenario.
Der CMP bzw. Krisenmanagementplan definiert die Ziele, Rollen und Aufgaben der einzelnen Personen und legt eine Kommunikationsstrategie fest. Sein Ziel ist es, alle im BCP vorgesehenen Szenarien zu berücksichtigen und operative Lösungen zur Reduzierung der personellen, fachlichen, operationellen, finanziellen, rechtlichen und organisatorischen Auswirkungen bereitzustellen. In organisatorischer Hinsicht definiert und identifiziert der CMP die internen und externen Stakeholder. Im Bereich der Krisenkommunikation hingegen stellt der CMP ein Tool dar, um ein Konzept für die Aussen- und Innendarstellung der Krise zu erstellen, einen Krisenkommunikationsstab einzurichten und einen Kommunikationsplan auszuarbeiten.
