Ein Geschäftsprozess besteht aus einer Folge von Einzelaktivitäten, mit denen festgelegte Geschäftsziele erreicht werden sollen. Zur Wertschöpfung in einem Unternehmen (bzw. zur Aufgabenerfüllung in einer Behörde) trägt in der Regel eine Reihe von mehreren abhängigen Geschäftsprozessen bei, die zusammen eine Prozesskette bilden (z. B. Auftragseingang, Herstellung, Lieferung, Abrechnung). Ein Geschäftsprozess erhält Eingaben (= Input, z. B. Güter, Dienstleitungen, Informationen) von vorgelagerten Prozessen, verarbeitet diese in einer festgelegten Weise und liefert seine Ergebnisse (= Output) an die nachgelagerten Prozesse weiter.

Geschäftsprozesse lassen sich darüber hinaus unterscheiden in:

• Kernprozesse, die direkt zum Erreichen der Geschäftsziele beitragen (diese können strategischer oder operativer Art sein), sowie
• unterstützende Prozesse, die zwar für die Kernprozesse wichtig sind (z. B. IT-Administration, Personalmanagement), aber nur mittelbar zur Erbringung der Geschäftsziele beitragen.

Die hohe Abhängigkeit von der Informationstechnik in den meisten Unternehmen und Behörden belegt, dass unterstützende Prozesse gleichwohl zu den hochgradig kritischen Prozessen einer Einrichtung gehören können. Dies gilt insbesondere auch, weil von ihnen in der Regel mehrere Geschäftsprozesse abhängen und damit Störungen eine größere Breitenwirkung entfalten können.

Welche Informationen zu Geschäftsprozessen sollten erfasst werden?

Eine Business Impact Analyse erfordert umfassende Kenntnisse über Aufbau, Ziele und Geschäftsprozesse der betrachteten Institution. Idealerweise liegen die Informationen über die Stammdaten (Rechtsform, Organisationsstruktur, Liegenschaften) sowie eine Prozessübersicht bereits vollständig, aktuell und übersichtlich vor und müssen nur geringfügig ergänzt oder aktualisiert werden. Falls eine geeignete Dokumentation jedoch fehlt, ist darauf zu achten, dass diese die für die Notfallkonzeption erforderlichen Angaben enthält. Dies sollten zumindest die folgenden Informationen sein:

• ein eindeutiger Bezeichner für den Prozess,
• eine kurze Beschreibung,
• der benötigte Input,
• der Output,
• die Teilprozesse (falls weiter untergliedert wurde),
• die Verknüpfungen zu anderen Geschäftsprozessen (Vorgänger und Nachfolger) und die die Abhängigkeiten von unterstützenden Prozessen (IT-Dienstleistungen),
• den Grad der Abhängigkeit der Geschäftsprozesse untereinander sowie
• den Prozessverantwortlichen bzw. den Ansprechpartner für den Prozess.

Berücksichtigen Sie bei den Abhängigkeiten nicht nur interne Prozesse, sondern auch ausgelagerte Tätigkeiten. Auch der Ausfall externer Dienstleister kann sich gravierend auf eine Institution auswirken!

Wie umfangreich sollte das Geschäftsprozessmodell sein?

Jeder Geschäftsprozess kann als Abfolge von Teilprozessen verstanden und somit weiter unterteilt werden. Beispielsweise gehören zum Geschäftsprozess "Abrechnung" die Teilprozesse "Rechnung stellen" und "Zahlungseingang verbuchen" oder zum Prozess "Marketing" Aktivitäten wie "Produktbroschüren produzieren", "Kundenzufriedenheit testen" und "Vermarktungsstrategien entwickeln".

Achten Sie auf einen angemessenen Detaillierungsgrad bei dem Geschäftsprozessmodell, das Sie Ihrer Notfallplanung zugrunde legen. Wenn Sie Geschäftsprozesse zu stark untergliedern, erhalten Sie rasch eine nicht mehr zu bewältigende Flut an überflüssigen Einzelinformationen. Wenn Sie diese umgekehrt zu stark bündeln, leidet hingegen die Aussagekraft Ihres Modells. Als Faustregel empfiehlt der BSI-Standard 100-4, zwischen fünf und 15 Prozessen pro Organisationseinheit zu betrachten. Es erleichtert darüber hinaus die Business Impact Analyse, wenn Geschäftsprozesse so zugeschnitten sind, dass sie vollständig innerhalb einer Organisationseinheit und damit in einem Zuständigkeits- und Verantwortungsbereich liegen.