Revision der Business Continuity

Ordnungsmerkmale

erschienen in: <kes> 2003^#3, Seite 18

Rubrik: Management und Wissen

Schlagwort: Business Continuity

Schlagwort-2: Revision

Zusammenfassung: Im Sinne einer umfassenden Business-Continuity-Planung, die alle Geschäftsprozesse umfasst, ist auch die Revision gefragt. Hierbei hilft ein strukturiertes Vorgehen nach einer anerkannten Methodik.

Autor: Von Alexander Leberl, Salzburg (AT)

Oft sieht sich die IT-Revision mit Prüfzielen wie Ausfallsicherheit oder Verfügbarkeit konfrontiert, die sich entweder aus dem Internen Kontrollsystem (IKS) ableiten lassen oder von weitsichtigen Managern für prüfrelevant erklärt wurden. Verwendete Checklisten spiegeln vielfach eine oft praktizierte Aufgabenteilung wider: Die IT-Revision "kümmert" sich um die technologischen Gegebenheiten, während die organisatorischen und auch geschäftsstrategischen Aspekte von denjenigen zu prüfen beziehungsweise zu gewährleisten sind, die sie "erfunden" haben: Führungskräfte und Fachverantwortliche innerhalb der Organisation. Darin liegt jedoch ein Verstoß gegen das Prinzip "keiner darf sich selbst prüfen". Die IT-Revision sollte vielmehr ihre Rolle als unabhängige Kontrollinstanz auf das komplette Spektrum der Maßnahmen zur Business Continuity ausweiten – die geeigneten Fragestellungen für den Revisor sind Thema dieses Beitrags.

In den letzten zehn Jahren hat sich der Begriff Business Continuity Planning (BCP) vom Disaster Recovery der Informationstechnik kräftig weiterentwickelt. Das kommerzielle Hauptgewicht basiert heute auf den kritischen Geschäftsprozessen, die im Falle eines Unfalls wiederhergestellt werden müssen, um das Überleben der Organisation zu sichern. Die Informationstechnik ist folglich nur eine der kritischen Abhängigkeiten, was konsequenterweise auch für die Revision von operativer Bedeutung ist.

BCP ist nicht länger ein Luxus, sondern ein wesentliches Element des Risikomanagementprogramms. Für viele Organisationen ist die Entscheidung in BCP zu investieren von der Gesetzgebung, Dritten (z. B. Versicherern) oder dem Auftreten eines (Beinahe-)Unfalles vorgegeben worden. Die auferlegte Änderung in der Verantwortlichkeit hat Unternehmen verpflichtet ihre Geschäftsprozesse den gesetzlichen Gegebenheiten anzupassen und sie entsprechend zu sichern. Viele Organisationen führen jedoch ältere Leitprogramme fort, ignorieren Business-Continuity-Investitionen oder schieben sie ins Ungewisse. Ein solches Verhalten lässt die Vermutung zu, dass man das dahinter liegende Risiko nicht angemessen berücksichtigt.

Statische Wartungsintervalle und dynamische Auslöser eines Business-Continuity-Plans
Business-Continuity-Komponente	statischer Review-Zyklus in Monaten			dynamische Review- Auslöser
Business-Continuity-Komponente	3	6	12	dynamische Review- Auslöser
Teil 1: Beschreibung Überblick			X	Strategieänderungen
Teil 2: Wartung und Test			X	strategische oder organisatorische Änderungen, IT-Service-Level-Agreements
Teil 3: Aktivierung und Durchführung			X	strategische oder organisatorische Änderungen
Teil 4: Eskalations-Prozeduren			X	Strategieänderungen und geänderte Geschäftsprozesse
Teil 5: Notfall-Evakuierungs-Prozedur			X	organisatorische und strukturelle Änderungen (Gebäude, ...)
Teil 6: Recovery Team Prozedur			X	strategische oder organisatorische Änderungen
Kontaktlisten			X	Personaländerungen, Wechsel von Externen
Ressourcen-Listen
Gebäude		X		Organisatorische oder strukturelle Änderungen (Gebäude, ...)
Informationstechnik		X		Software-/Hardware-Änderungen, Netzwerkwechsel, Service-Level-Agreement-Änderungen
Personal	X			Personalwechsel, organisatorische Änderungen
Drittanbieter / Zulieferer		X		Erneuerung von Verträgen oder Service Level Agreements

Business Continuity (BC) umfasst in der Beschreibung des Disaster Recovery Journal ( [externer Link] www.drj.com) die folgenden Bereiche:

Planung des Geschäftrückganges: der operationale Bereich der Business Continuity,
Disaster-Recovery-Planung: der technische Bereich der Business Continuity und in der Vorplanung/Vorbereitung notwendig, um das Risiko von Verlusten durch technischen Ausfall der Geschäftprozesse zu minimieren,
Krisenmanagement: Organisation in einem Krisenfall, mit dem Ziel Schäden zu vermeiden und die weitere Funktion der Firma zu gewährleisten.

Um in einem Krisen- oder Unfallszenario eine realistische Hoffnung aufs Überleben zu ermöglichen, muss BCP Gefahren-, Notfall- und Wiederanlaufplanung umfassen. Es sollte Teil einer breiteren Planungsstruktur darstellen. Daher muss auch die Prüfung bereits bei der Business-Continuity-Kultur beginnen. Dies zu implementieren ist keine leichte Aufgabe, besonders wenn die Organisation traditionsgemäß Business Continuity als Risikobehandlung in der Informationstechnik und nicht als organisationsweites Anliegen gesehen hat.

Viele Unternehmen tun sich schwer, eine Business-Continuity-Kultur zu entwickeln, da die Vorstellung vorherrscht, dass dieser Prozess zu teuer sei, zu viel Zeit koste und zu viele Ressourcen verbraucht, die anderweitig Einkommen für die Organisation erwirtschaften könnten. Dem Management muss jedoch klar sein, dass eine frühzeitige Sicherung kritischer Geschäftsvorfälle die Überlebenschance bei einem Unfall nicht nur verbessert, sondern überhaupt erst ermöglicht.

Sobald ein Geschäftsvorfall in der BCP als kritisch erkannt worden ist, kann er von organisatorischen Prozessen unterstützt und das Ausfallrisiko durch geeignete Maßnahmen entschärft werden. Bereits hier kann die Revision ansetzen, denn der Schlüssel für die Entwicklung einer Business-Continuity-Kultur ist die Gestaltung und die Weiterentwicklung durch das ausführende Management. Mögliche Fragestellungen wären:

Existiert eine Business Continuity Policy?
Werden im Bereich Business Continuity Investitionen vorgenommen?
Welche Ressourcen sind dem Bereich Business Continuity zuzuordnen?
Existiert ein fundiertes Ausbildungsprogramm?

Es scheint, dass es nur wenige Untersuchungen in Organisationen zu dem Thema Business Continuity gibt. Eine viel größere Anzahl von Analysen findet man im Bereich Disaster Recovery. Laut einer Umfrage der Gartner Group investieren Rechenzentren im Durchschnitt zwei Prozent ihres Budgets in Disaster Recovery. Weiterhin berichtet Gartner, dass die zentralistische Verarbeitung abnimmt und somit die dezentralen Systeme auf dem Vormarsch sind und "die Proportion der gesamten IT-Aufwendungen für die Absicherung von Systemen den Durchschnitt aller IT-Investitionen bereits unterschritten hat." Bezeichnend ist, dass viele Organisationen anscheinend nicht verstehen, welche ungleich höheren Risiken in dezentralen Systemen vorhanden sind – besonders angesichts einer zunehmenden Zahl von Geschäften über E-Commerce.

BCP-Methodik

Prüfrelevant wäre die Verwendung einer anerkannten BCP-Methodik, um eine strukturierte Annäherung sicherzustellen und einen konsistenten Entwicklungs-/Implementierungsprozess des BCP zu gewährleisten. Zwei international anerkannte "Professional Associations" haben Standards für Business Continuity entwickelt, einerseits das US-amerikanische Disaster Recovery International Institute ( [externer Link] www.DRII.org) und zum anderen das britische Business Continuity Institute ( www.theBCI.org). Während sich die Methodiken für BCP geringfügig unterscheiden, sind die inhaltlichen Punkte fast identisch. Das DRII umreißt die Vorgehensweise wie folgt:

Projekt-Anstoßphase: Lernziele und Annahmen
Funktionsanforderung: Tatsachensammlung, Alternativen und Entscheidungen durch das Management
Design- und Entwicklungsphase: Entwurf eines Konzeptes
Implementierungsphase: Erstellen des Konzeptes
Test- und Prüfphase: Vorimplementierung und Prüfung auf Umsetzbarkeit
Wartungs- und Überarbeitungsphase: Aktualisieren des Konzepts
Ausführungsphase: Wiederanlaufoperationen im Bedarfsfall

Für die Revision ist es wichtig zu prüfen, ob diese Phasen eingehalten wurden und ein Kreislauf von Wartung und Weiterentwicklung vorliegt. Ein wichtiger Bestandteil ist die Verantwortlichkeit für die einzelnen Bereiche. Mit der Verantwortlichkeit der Überprüfung dieser Punkte steht und fällt letztlich der Business-Continuity-Plan. Die einzelnen durch die Revision zu prüfenden Punkte für die jeweiligen Phasen folgen.

Projekt-Anstoßphase

Gibt es ein klar definiertes Ziel?
Werden bei der Entwicklung des BCP die empfohlenen Standards eingehalten?
Wird sich an das firmeninterne Reporting-System gehalten? Wenn nicht, wie wird das Reporting gehandhabt?

Funktionsanforderung

Diese Phase ist sehr kritisch für die Entwicklung des BCP, da Geschäftsprozesse und ihre Abhängigkeiten analysiert werden sollen. Hierbei müssen beispielsweise in der Informationstechnik Schlüsselpositionen und strategische Teilhaber einbezogen werden, um lebenswichtige Prozesse zu kennzeichnen. Im Weiteren zeigt die Analyse Auswirkungen, welche die Organisation nach einem Unfall treffen können.

Sind die organisatorischen Gefahren formuliert und aufgezeigt?
Sind die kritischen Geschäftsprozesse gekennzeichnet und gibt es eine Reihenfolge, in welcher diese bei einer Störung wieder aufgenommen werden können?
Ist die Maximum Allowed Downtime (MAD) quantifiziert worden?
Ist die Art und Quantität der Betriebsmittel (z. B. Infrastruktur, Tische, Drucker usw.) im Zusammenhang mit den Geschäftsprozessen dokumentiert?
Sind dabei auch Personal-Ressourcen ausreichend berücksichtigt?
Sind die Auswirkungen, sofern im Detail möglich, für den Schadensfall dokumentiert?
Wird sich an das firmeninterne Reporting-System gehalten? Wenn nicht, wie wird das Reporting gehandhabt?

Design und Entwicklungsphase

Wenn ein Unternehmen nach einem Unfall überleben soll, muss die richtige Recovery-Strategie gewählt werden. Ist die falsche BCP-Strategie gewählt, wird der Plan von falschen Voraussetzungen ausgehend entwickelt und ist somit im Schadensfall nutzlos. Diese Phase teilt sich in die zwei Bereiche Geschäftslogistik (Human Resources usw.) und Informationstechnik (Netzwerk, Mainframes, Desktop-PCs usw.).

Wird im Falle eines Schadenseintritts das Überleben der Organisation gewährleistet?
Ist ein Recovery Time Objective (RTO) bestimmt worden?
Sind logistische Gegebenheiten (Entfernung, Rüstzeiten, Infrastruktur usw.) hinreichend berücksichtigt?
Ist ausreichendes Fachwissen verfügbar?
Wird sich an das firmeninterne Reporting-System gehalten? Wenn nicht, wie wird das Reporting gehandhabt?

Implementierungsphase

Das Ziel dieser Phase ist es, die Wiederanlaufprozesse zu entwickeln und zu dokumentieren und die Maßnahmen des BCP im Falle einer Störung in einer Form sicherzustellen, die für die Ausführung unter Notfallbedingungen angebracht ist.

Sind die passenden Hilfsmittel für die Erstellung und Wartung des Plans gewählt?
Sind die Recovery-Maßnahmen (mit Verlauf und Antwortzeiten) dokumentiert?
Ist eine (hinreichend potente) Alarmbereitschaft implementiert?
Existieren Alarmlisten? Wer informiert wen?
Gibt es einen Eskalationsprozess?
Gibt es Listen mit den Schlüsselpositionen und Verantwortlichkeiten und sind diese jedem zugänglich?

Test und Prüfphase

Es sind strukturierte und wirkungsvolle Übungen zu erarbeiten, um das Funktionieren des Plans sicherzustellen.

Sind sämtliche Recovery-Prozeduren komplett und einsetzbar?
Liegen Kompetenz des Personals und Geschwindigkeit des Wiederherstellungsprozesses im Soll?
Sind die Betriebsmittel (Infrastruktur, Daten, Teildienste usw.) im Zeitlimit erreichbar und uneingeschränkt einsetzbar?
Sind alle manuellen Recovery-Prozeduren aktuell und funktionsfähig?
Ist eine Ausfallüberwachung und -dokumentation eingeführt worden?
Hat (regelmäßiges) Training stattgefunden?
Sind Teststrategien und -methoden vorhanden und werden sie genutzt?
Sind Protokolle und Auswertungen von durchgeführten Tests vorhanden?

Wartungs- und Überarbeitungsphase

Nicht zuletzt muss das BCP in einem Zustand schneller Ausführbarkeit gehalten werden. Dieser wird als ein wesentlicher Bestandteil des Risikomanagementprogramms betrachtet. Eine entsprechende Überzeugung muss auch beim Management ausgebildet sein, um zu erkennen, dass es eine Notwendigkeit gibt, Prozesse aufzubauen und zu finanzieren, die sicherstellen, dass die Notfallplanung in einem für die Organisation optimalen Zustand verbleibt.

Stehen Verantwortlichkeiten für das Beibehalten der verschiedenen BCP-Strategien innerhalb der Organisation fest?
Sind Wartungsauslöser definiert, sodass organisatorische, Funktions- und Strukturveränderungen den Verantwortlichen mitgeteilt werden?
Ist eine Versionierung des BCP eingeführt worden, um sicherzustellen, dass man immer auf dem neuesten Stand ist?

Alexander Leberl ist Geschäftsführer bei der emax-it GmbH ( [externer Link] www.emax-it.com).