Die interne Kommunikation dient als Instrument für die Koordination der Teilaufgaben, die im Falle einer Unternehmung anfallen. Weist dieses Instrument grobe Mängel auf, so entsteht ein Risiko, die Aufgaben nicht fachgerecht und nicht in der verlangten Qualität erledigen zu können. Dieses Risiko kann durch eine, in regelmässigen Abständen stattfindenden, Selbstreflektion aufgedeckt werden und im Falle einer Umsetzung verringert werden. Ein immer andauerndes Wiederholen einer solchen Analyse ist notwendig, um auf die im Wandel der Organisation entstandenen neuen Elemente eingehen zu können. Ein Vermindern der internen Reibungsverluste, wo sich auch die interne Kommunikation ansiedelt, gilt als gleichwertiger Grundsatz für die Optimierung der Organisation, wie die stetige Verbesserung gegenüber den Anspruchsgruppen ausserhalb des Unternehmens. Werden die Empfehlungen dieser Analyse umgesetzt, so kann von einem bedeutsam hohen Grad der Steigerung bei der Mitarbeitermotivation, im Prozessmanagement und in der Kundenzufriedenheit ausgegangen werden, was sich  indirekt oder direkt in den Finanzkennzahlen der Unternehmung bemerkbar macht. Die vorliegende Facharbeit liefert der Firma Supravision AG eine  Ausgangslage, um die Wirksamkeit ihrer internen Kommunikation zu erhöhen, was einer Optimierung der Aufgabenkoordination gleichkommt. Diese vertiefte  Analyse soll, in Form eines Massnahmenkataloges, die genannte Unternehmung in der Umsetzung unterstützen, indem auf sie zugeschnittene Massnahmen  ausgearbeitet wurden, die auf Realisierbarkeit und Messbarkeit ausgerichtet sind. Folgende Massnahmen sind prioritär zu behandeln:


1. Sensibilisierung der informationsverantwortlichen Personen auf das Thema der internen Kommunikation.
2. Kommunikation der Strategie bis auf Stufe Mitarbeiter. Jeder sollte das Ziel kennen, um es nicht zu verfehlen.
3. Standardisieren und eingliedern des Informationsprozesses in die bereits bestehende Prozesslandschaft.
4. Überwachung der Umsetzung der verabschiedeten Massnahmen.


Die folgende Arbeit bietet jedoch nicht ausschliesslich Grundlagen für das Erkennen von Sparpotenzial in den erwähnten Bereichen, sondern soll ergänzend den Mensch als Individuum ins Rampenlicht rücken. Teile der Analyse können mit den angewendeten Techniken sachlich analysiert werden, andere Teile bestehen aus Softfaktoren, die einer gewissen Subjektivität unterworfen sind. Dennoch sind es genau diese Softfaktoren, die oftmals zu wenig analysiert werden und demnach einen kleineren Stellenwert besitzen. Diesem Stellenwert entsprechend fliessen diese Softfaktoren weniger in die Entscheidungen der Unternehmensleitungen mit ein. Zu beachten ist, dass nur durch eine Weiterentwicklung der Mitarbeiter, sich die Unternehmung auch in Richtung Spitze der Branche bewegen kann.

Diese Arbeit geht den neu auftretenden Risiken des seit dem 01.11.2015 aufgebauten IT Service Desk auf den Grund. Die Risiken wurden auf der Grundlage einer Stakeholder und deren Zielanalyse mit der Methodik einer Prozess Failure Mode and Effects Analysis (FMEA) erhoben. Um die Prozess FMEA zu erstellen, musste vorgängig die Grundlage in Form eines Prozesskatalogs aufgebaut werden. Diese folgt dem Framework IT Infrastructure Library (ITIL) und auf die Unternehmung angepasst. Die zwei Risiken mit der höchsten Bewertung wurden anhand der Methodik Use Cases untersucht und Massnahmen zu Umsetzung vorgeschlagen.
Nach der Analyse der beiden Top Risiken wurde ein Gedankenkonstrukt herauskristallisiert, dass sich die Mitarbeiter von IT Operations in einer Sicherheit wiegen, vor einem Datendiebstahl oder einem schwerwiegenden Datenverlust sicher zu sein. Als zweites Top Risiko wurde die Fehlinterpretation eines Systemevents identifiziert. Daraus fruchtet eine fehlende oder nicht zielführende Massnahmenergreifung.
Die beiden Risiken wurden in einem Massnahmenpaket zusammengefasst. Dieses Massnahmenpaket beinhaltet ein Kontrollsystem, dass ein Gedankenkonstrukt der allgemeinen Risikoverdrängung auflösen sollte. Die Hauptsäulen dieses Kontrollsystems setzen sich aus den Tätigkeiten „Business Continuity Management (BCM) Know How Aufbau“ für die Kader der IT Leitung sowie eine Erstellung von einem IT BCM Konzepts zusammen. Flankierend soll die Thematik in zukünftige IT Providerverträge eingebunden werden. Einen durch den Rechtsdienst geprüften Grundlagentext ist bereits vorhanden. Als weitere flankierende Massnahme soll die Thematik des BCM halbjährlich als fixes Traktandum in den Provider Meetings behandelt werden. Ausserhalb des Kontrollsystems, jedoch absolut Grundlegend ist die fachliche Weiterbildung der IT Operations Mitarbeiter. Durch diese Weiterbildung wird zum einen sichergestellt, dass die qualitativ- technische Prozessqualität stetig steigen wird und zum anderen die qualitativ- soziologische Prozessqualität ebenfalls einen Aufwärtstrend erlebt, da durch die steigende Prozesssicherheit, sich die Mitarbeiter vermehrt auf den zwischenmenschlichen Umgang fokussieren können.

Die Dachunternehmung Magazine zum Globus AG verfügt über eine Vielzahl von kleinen und mittelgrossen IT Systemen (ca. 50). Mit jedem dieser Systemlieferanten gilt es, periodisch einen Betriebsvertrag zu entwerfen und diesen zu einem erfolgreichen Abschluss zu bringen.
Im Bewusstsein, dass mit schlecht verhandelten Verträgen sehr viel Ressourcen aller Art gefährdet sein können, ist es auch von hoher Wichtigkeit, ein möglichst rechtssichereres und Unternehmensinteressen vertretendes Vertragskonstrukt zu verhandeln.
Das „Risk based Contract Tool“ ist ein Werkzeug, das durch eine einfache Handhabung und mit geringem Zeitaufwand zu einem IT Betriebsvertragsentwurf führt. In der aktuellen Version werden die Risikokennzahlen der einzelnen Fragestellungen auf der Modulebene zusammengeführt. Das Modul mit der übergeordneten Kennzahl steuert die dem Modul zugeordneten Vertragstextbausteinen an. Mit diesem Werkzeug gelingt es den vertraglichen Weg entlang der Line des Risikomanagement Prozesses der ISO 31000: 2009 zu begleiten.
Dank einer sorgfältigen Risikoidentifikation, einer Auswahl von 21 Fokusbereichen und jeweils 2 Fragestellungen pro Fokusbereich kann ein überaus breites Spektrum des IT Betriebes abgedeckt werden. Dies erspart dem Benutzer wertvolle Zeit. Nach einer kurzen Anpassung einiger Parameter für die Vertragsgestaltung kann mit der Risikobeurteilung begonnen werden.
Die Risikobeurteilung erfolgt durch die Beantwortung der 42 Fragestellungen in den Bereichen Allgemein, IT Infrastruktur, Applikation, IT Services, IT Change Management, IT Security und IT Business Continuity Management und gibt einem die Möglichkeit dank 3 vordefinierten freien Textfeldern jedem Vertrag eine persönliche Note zu geben. Jede dieser Fragestellungen ist einer Kategorisierung zugeteilt. Eine Kategorie dient dazu, das potentielle Schadensausmass zu beurteilen. Eine weitere dient zur Ermittlung einer möglichen Schadenseintrittswahrscheinlichkeit. Mit diesem Vorgehen kann sichergestellt werden, dass ein Themengebiet doch mit einem breiten Spektrum (3 Fokusbereiche) betrachtet wird und nebenher auch noch einen qualifizierte Trennung zwischen Eintrittswahrscheinlichkeit und Schadensausmass durchführbar ist. Jede Frage wird nach einem der Parameter gesetzten Antwort im Hintergrund mit hoch, mittel oder niedrig bewertet. Aufgrund dieser Parameter werden im Hintergrund Kennzahlen gesetzt. Durch eine Verhältnisberechnung (und nicht absoluten Berechnung) aller Kennzahlen kann sichergestellt werden, dass nicht ein absoluter Schwellwert, sondern ein variabler Schwellwert zur Anwendung kommt. Die Berechnung dieser Risikomodulkennzahlen ist durch die Methode einer Verhältnisrechnung somit zutreffend, auch wenn nicht alle Fragestellungen beantwortet werden.
Das Ergebnis ist ein in Textform aufbereiteter Vorschlag für eine angemessene Risikobewältigung. Nach einer kurzen Durchsicht und eventuell kleinen Anpassungen ist der Benutzer bereit, um in die nächste Vertragsverhandlung einzusteigen.

Das Zitat von Max Frisch stellt die Herausforderung jeder Krisenorganisation sehr bildhaft dar:
„Eine Krise ist ein produktiver Zustand. Man muss ihr nur den Beigeschmack der Katastrophe nehmen (Miersch, 2008, Zugriff vom 08.08.2017).“
Krisenmanagement ist keine exakte Wissenschaft. Jede Unternehmung hat andere Herausforderungen und Gefahrenpotentiale in ihrem Risikokatalog aufgelistet. Dennoch haben die meisten Krisen eines gemeinsam. Die zuständigen Personen innerhalb der Krisenorganisationen werden zeitlich, fachlich und nicht selten auch physisch an Ihre Leistungsgrenzen gebracht. So auch die Fachpersonen der Kommunikationsabteilungen.
Um sich besser auf den fachlichen und sachlichen Teil der anfallenden Aufgaben vorbereiten zu können, wurde das „training tool for crisis communication“ (TT4CC) entwickelt.
In diesem Werkzeug wird eine sehr einfache Szenariodarstellung durch die Bedienung von mehreren Dropdown Feldern ermöglicht. Durch die anschliessende Operationalisierung der definierten Szenarien können verschiedene Handlungsfelder vorgeschlagen werden. Durch vordefinierte Bestandteile wie zum Beispiel Stakteholder Analyse, Textbausteine und Adressen, wird auf Knopfdruck ein Rohgerüst für ein Kommunikationskonzept in Form von einem Word Export im Corporate Design generiert. Anhand dieses Exports können die Übungsergebnisse wie auch krisenorganisatorische Handlungsfelder zur Diskussion gestellt werden.
Die Szenario Erstellung baut zum einen auf dem St. Galler Management Modell, wie auch auf den von Magazine zum Globus AG vordefinierten Schutzzielen auf. Das TT4CC zeichnet sich mit der Einfachheit in der Bedienung wie auch mit der hohen Parametrisierungsfähigkeit aus. Dies hat zur Folge, dass es grundsätzlich für jedes Unternehmen adaptierbar ist und mit kurzer Vorlaufzeit vollständig eingesetzt werden kann.
Auch wenn durch die Verwendung des TT4CC im Übungsfall eine Zeitersparnis gewonnen werden kann, ist es dennoch wichtig, sich im Vorfeld der Übung genügend Zeit zu nehmen und das Werkzeug auf seine Bedürfnisse einzustellen und vorzubereiten. Je mehr Zeit Sie in die Vorbereitung, zum Beispiel in das verfassen der Textbausteine investieren, je passender und wirkungsvoller wird sich auch das Ergebnis während der Übung präsentieren.

Bestimmt fragen sich einige Leute, was eine Business Impact Analyse mit Notfall und Krisenmanagement zu tun hat. Wenn Sie sich diese Frage wirklich gestellt haben, so fordere ich Sie auf, sich einmal zu fragen aus welchen Bestandteilen sich ihre Ablauforganisation in Ihrem Unternehmen zusammenstellt. Spielen dabei nicht die IT Systeme wie auch Ihre Business Prozesse eine existenzielle Rolle? In Grosskonzernen hat die Digitalisierung bereits früh begonnen und wird bis zum heutigen Tag vorangetrieben. Doch eine interessante Studie, die unter anderem von Price Waterhouse Coopers (PWC) in Auftrag gegeben wurde zeigt auf, dass 76% der befragten Führungspersonen an eine noch stärkere digitalisierte Zukunft im KMU Bereich glaubt (Ko-Publikation von PwC Schweiz, Google Switzerland GmbH und digitalswitzerland, S.17). Folglich lässt sich daraus schliessen, dass auch das KMU Segment in Zukunft alles daran setzen wird, seine Prozesse weiter zu digitalisieren. Nun sind wir bereits bei der Beantwortung der obigen Fragestellung. Denken wir über die Auswirkungen im Ereignisfall nach, so sind wir bereits voll im Thema der IT Business Analyse angelangt.
Mit der Erstellung eines IT RMIS (IT System Risikomanagementinformationssystem), habe ich einen Versuch gewagt, gewisse Komponenten einer typischen Business Analyse dynamisch vereinfacht und dennoch aussagekräftig aufzubauen und darzustellen. So erlaubt dieses IT RMIS zum einen eine Bewertung der einzelnen IT Systemen, nach zuvor definierten Gefahrenbereiche. In einem Folgeschritt werden genau diese systemspezifischen Risikowerte über eine Prozesslandkarte des Unternehmens gelegt und so eine Aussage über die IT technische Kritikalität eines jeden Prozess es möglich gemacht.
Durch die grafische Aufarbeitung der Analyse kann auf einen Blick erkannt werden, welche Prozessschritte oder ganze Prozesse stark mit den IT technischen Risiken behaftet ist. Zusätzlich zu den Prozessen werden auch kritische IT Systeme erkannt und der Risikobereich gem. dem magischen Dreieck (Qualität – Zeit – Ressourcen) ausgemacht.
Mit diesen beiden Analyseergebnissen sind Sie als KMU in der Lage, die wichtigsten Schritte einer Business Impact Analyse geführt zu durchzuführen.