Vollständigkeit und Aktualität:  Die Auflistung aller betrachteten Business Impacts muss vollständig sein. Im Tagesgeschäft liegt der Fokus vor allem in den operativen Details. Der Gesamtüberblick geht so ein Stück weit verloren. Bei der strategischen Dimension der Business Impact Analyse (BIA) kommt es sehr darauf an, weder Assets noch Risiken zu übersehen. Ohne eine vollständige Auflistung aller beteiligten Prozesse ist es nicht möglich, alle Risiken und Abhängigkeiten zu beschreiben. Dabei ist es entscheidend, nicht nur die vorhandene Dokumentationslage zu betrachten, sondern auch einen Soll/Ist Abgleich zwischen Dokumentation und Realität vorzuschalten. Undokumentierte Prozesse wie z.B. „Schatten-IT“ können ein unkalkulierbares Risiko darstellen – wer diese nicht in seine Business Impact Analyse einbezieht hat weiße Flecken auf seiner Landkarte. Auch outgesourcte Prozesse müssen betrachtet werden. Gleiches gilt auch für die Aktualität. Die in der Business Impact Analyse aufgeführten Prozesse müssen aktuell sein. Je nach Entwicklungsgeschwindigkeit des Unternehmens kann es große Herausforderungen beinhalten, diesen Prozessfortschritt zu folgen. Unternehmensintern benötigt man für eine Business Impact Analyse einiges an Zulieferarbeit von den verschiedensten Schnittstellen. Sind diese Schnittstellen aus den unterschiedlichsten Gründen nicht in der Lage oder Willens die benötigten Informationen zuzuliefern, kann dies die BIA stark verzögert oder sogar scheitern.

Abhängigkeiten: Das Geflecht an wechselseitigen Abhängigkeiten von Risiken und Impacts zu durchdringen ist eine komplexe Aufgabe. Diese steht und fällt mit der Vollständigkeit der Assets. Das Herausarbeiten der Abhängigkeiten z.B. einer größeren IT-Infrastruktur erfordert tiefgehende Kenntnisse der Struktur und ist häufig nur mittels mehrerer Expertenworkshops möglich. Während bei der Entwicklung und Einführung von Strukturen die Funktion im Vordergrund steht, steht bei der Business Impact Analyse im Vordergrund, was geschieht, wenn die Funktion ausfällt. Dieser Blickwinkel ist ungewohnt – für Anwender als auch Entwickler. Erst in den letzten Jahren öffnen sich immer mehr Unternehmen für diesen Blickwinkel und führen transparente Fehlerdokumentationen ein. Auch hier müssen die Schnittstellen zu outgesourcten Prozessen betrachtet werden – die beste eigene BIA nützt wenig, wenn integrale Prozesse durch einen Ausfall von Dienstleistern beeinflusst werden. Das saubere Herausarbeiten in hoher Detailtiefe von internen und externen wechselseitigen Abhängigkeiten ist ein zeitintensiver, aber notwendiger Schritt in der BIA.

Risikobereitschaft und Risikoreduktionspläne: In einer idealisierten Betrachtung möchte man die Risikobereitschaft nahe Null ansetzen und würde für jeden denkbaren Impact einen Risikoreduktionsplan und Notfallplan entwickeln. In einer realistischen Betrachtung befindet sich das Unternehmen in einem Spannungsfeld aus den finanziellen Aufwendungen für Riskoreduktionspläne/Notfallpläne und der Schwierigkeit, Vergleichswerte für Eintrittswahrscheinlichkeiten für eine hohe Detaillierung der Risikobereitschaft zu bestimmen. Um den Aufwand der BIA nicht ausufern zu lassen, sollten standardisierte (branchenübliche) Referenzszenarien herangezogen werden. Die Risikobereitschaft des Unternehmens sollte umfassend und möglichst im größtmöglichen Konsens festgelegt und dokumentiert werden, um ein gemeinsames, gleiches mentales Verständnis bei allen Beteiligten zu erreichen.

Einbeziehen von nicht-monetären Impacts: Nicht alle Business Impacts lassen sich unmittelbar und a priori mit einem monetären Äquivalent bemessen. Impacts auf Faktoren wie Unternehmensreputation oder Kommunikationsverhalten sind schwierig vorhersagbar, manchmal nicht beeinflussbar und teilweise auch abhängig von einer Prise Glück oder Unglück. Trotzdem sollte in der Business Impact Analyse versucht werden diese möglichen Impacts zu beschreiben, um eine ganzheitliche Risikoabschätzung zu ermöglichen.

Priorisierung von Risikoreduktionsplänen und kontinuierlicher Verbesserungsprozess: Bei der Ersteinführung eines Business Continuity Managements nach ISO 22301 sollte man die mögliche Umsetzung von Risikoreduktionsplänen priorisieren, um nicht durch einen großen Investitionsaufwand die finanzielle Compliance für BCM zu reduzieren. Daher sollte man in der Business Impact Analyse dieses berücksichtigen, Maßnahmen priorisieren und einen kontinuierlichen Verbesserungsprozess starten. Bei der Priorisierung sollten nicht nur selten auftretende Risiken mit hohem Schadensausmaß, sondern auch häufig auftretende Risiken berücksichtigt werden.