SlideShare uma empresa Scribd logo

Audit des BCM

haemmerle-consulting
haemmerle-consulting

Self Assessment und Audit des BCM

1 de 5
Baixar para ler offline
17 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Business-Continuity Management und Wissen BCM in der Supply Chain Was für die „Just-in-Time“-Produktion gilt, hat mittlerweile auch Einzug in Dienstleistungen und IT- Prozesse gehalten: die Abhängigkeit von einer Lieferkette (Supply-Chain). Erdbeben, Vulkanausbrüche (und in der Folge Aschewolken), Überschwemmungen, Tornados und politische Unruhen sind nur einige Beispiele, die in den letzten Jahren für erhebliche Verzögerungen, Liefereng- pässe und -ausfälle gesorgt haben. 73  % der Teilnehmer der Supply-Chain-Resi- lience-Studie 2012 des Business Continuity Institute haben angegeben, in den vorausgegangenen 12 Monaten mindestens eine Störung in der Lieferkette gehabt zu ha- ben, die zu Unterbrechungen im Unternehmen geführt hat [1] – 23 % der Befragten berichteten sogar über mehr als fünf Störungen im Betrachtungszeitraum. Als Haupt- ursachen der Unterbrechungen wurden IT-Ausfälle (52 % vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) und Service-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz- dienstleistungsbereich wurden IT- und Telekommummu- nikations-Ausfälle (45 %), Verletzung der Datensicherheit (13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet- terereignisse (11 %) als wesentliche Ursachen benannt. Liefernetzwerke Lieferketten gliedern sich in die vorgelagerte Lieferkette, die konzern- und unternehmensinterne Lieferkette sowie die dem Unternehmen nachgelagerte Lieferkette zum Kunden – eine ganzheitliche Betrachtung umfasstzudemsowohldasmehrstufigeLiefernetzwerkauf Zuliefererseite als auch das mehrstufige Liefernetzwerk zum Kunden. Für das BCM ist die Funktionsfähigkeit die- ser gesamten Konstruktion essenziell – bricht auch nur ein Glied in dieser Kette, kann dies zum Gesamtausfall führen. Auch im Dienstleistungsbereich hat sich aus öko- nomischen Gründen die Zergliederung der Produktion Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt Immer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio- naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerke gegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondern auch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nicht zuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutet dies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zu erweitern. in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt: Unternehmensintern werden Services durch Shared- Service-Center für den gesamten Konzern zentral erbracht – zunächst vornehmlich für IT-Dienstleistungen haben sie sich mittlerweile für viele administrative Funktionen durchgesetzt (z. B. Personalverwaltung, Rechnungswesen etc.). Im Ergebnis entstehen – zum Teil hochkomplexe – unternehmensinterne Lieferungs- und Leistungsbezie- hungen, die in Form von Service-Level-Agreements (SLA) vereinbart werden. Zudem hat sich auch eine Auslagerung von Sup- portprozessen im Rahmen des Outsourcings etabliert – etwa beim IT-Betrieb, der Telekommunikation (VoIP) oder sogar zentralen Wertschöpfungsprozessen wie Zahlungs- verkehr, Wertpapierabwicklung, Schadensbearbeitung, Reklamationen an spezialisierte Dienstleister et cetera. Auch die Lieferkette zum Kunden entwickelt sich immer stärker zum verzweigten Netzwerk von Servicepart- nern – so sind etwa Prüfungs- und Beratungsleistungen für den B2B-Geschäftsabschluss häufig unabdingbar oder im Finanzwesen Intermediäre zwischengeschaltet, große Kapitalmarkttransaktionen nur in Konsortien abbildbar. Der Wertschöpfungsprozess ist auf das reibungslose Zusammenwirken aller dieser Rollen angewiesen! Und das schwächste Glied dieser Kette bestimmt letztlich die Robustheit (Resilience) des Ganzen. Complianceanforderungen In bestimmten Branchen sind bereits gesetzliche oder regulatorische Anforderungen einschlägig. Beispiels- weise ist für Finanzdienstleister – auch in ihrer besonderen Bedeutung als Teil der kritischen Infrastruktur („Kritis“ – www.kritis.bund.de) – die Sicherstellung der Lieferkette entsprechend geregelt: Das Kreditwesengesetz (§ 25a KWG, vgl. [2]) erfasst im Rahmen der besonderen organi-
18 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 satorischen Pflichten von Instituten auch die ordnungs- gemäße Geschäftsorganisation bei „wesentlichen Ausla- gerungen“ – Institute müssen für diese wesentlichen Aus- lagerungen risikoorientiert „angemessene Vorkehrungen treffen,umübermäßigezusätzlicheRisikenzuvermeiden“ (siehe www.juris.de/purl/gesetze/KredWG_!_25a). Das Risikomanagement eines auslagernden Fi- nanzinstituts muss die ausgelagerten Aktivitäten und Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla- gerung ist im Rahmen einer Risikoanalyse zu bestimmen. Konkreter wird das in den „Mindestanforderungen an das Risikomanagement für Banken“ (MaRisk BA [3]) im „Allgemeinen Teil“ AT 9, für Investmentgesellschaften und Versicherer erfolgt dies in spezifischen Regelungen (InvMaRisk, MaRisk VA). Eine Auslagerung im Sinne der MaRisk liegt vor, „wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienst- leistungen oder sonstiger institutstypischen Dienstleis- tungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden“ – Auslagerungen im Sinne der MaRisk erfassen demzufolge nur einen Ausschnitt der Lieferkette eines Finanzdienstleisters. Nicht berücksichtigt sind alle Leistungen, die ein Institut nicht selbst erbringen würde, also etwa nicht-bankfachliche Dienstleistungen und Un- terstützungsprozesse (z. B. Datenerfassung). Sich bei der Notfallvorsorge für die gesamte Lie- ferkette (End to End) auf die wesentlichen Auslagerungen bestimmter Compliance-Kriterien zu beschränken, greift in der Regel zu kurz. Erst eine Business-Impact-Analyse (BIA) im Rahmen mit der expliziten Prüfung der Liefer- ketten verschafft eine solide Grundlage für das SCCM. Standards und Good Practices Passende Normen für das SCCM findet man so- wohl in Regelungen für das BCM als auch spezifischen Werken für das Outsourcing (s. u., vgl. Tab. 1). Good Practices des BCM liefern auf europäischer Ebene in erster Linie die „BCI Good Practice Guidelines 2010“ (bestellbar über www.thebci.org) – dieses ansonsten sehr gute BCM- Hilfsmittel bildet externe Dienstleister zwar als Ressource im BCM-Lebenszyklus ab, gibt aber leider keine spezi- fischen Hilfestellungen für das SCCM. Branchenspezifische Regelungen auf deutscher, europäischer und internationaler Ebene ergänzen diese Standards – hierzu gehören beispielsweise die europawei- ten Regelungen zum Outsourcing für Finanzdienstleister, namentlich die „EBA Guidelines on Internal Governance“ [4] und die „CEBS Guidelines on Outsourcing“ [5]. Ein hilfreicher Standard für die Ausgestaltung der Zusammenarbeit mit internen und externen Partnern ist zudem der BS 11000 „Collaborative business relation- ships“ (www.bsigroup.de): Der weltweit erste Collabo- ration-Standard enthält ein gesamthaftes Framework zur Beschreibung der wesentlichen Funktionen, die in der in- ternen und externen Zusammenarbeit mit Dienstleistern, Lieferanten und Kunden zu beachten sind. Acht Kapitel beschreiben den gesamten Lebenszyklus der Zusammen- arbeit (Awareness, Knowledge, Internal Assessment, Part- ner Selection, Working Together, Value Creation, Staying Together, Exit Strategy) – BCM und Exit-Strategien werden vor allem in den Vorgehensmodellen des Teil 2 „Guide to implementing“ behandelt. BCM-Normen BS 25999-1 und BS 25999-2 weisen noch einen starken Innenbezug auf die Organisation auf: In allen Phasen des BCM-Lebenszyklus sind Anforderungen an die Einbeziehung der kritischen Dienstleister und Zulieferer beschrieben, besonders hinsichtlich der Identifikation kritischer Dienstleister im Rahmen der BIA und des BCM- Audits der Dienstleister. Die beiden British Standards werden durch den im Mai 2012 veröffentlichten ISO-Standard 22301 „Societal security – Business continuity management systems – Requirements“ abgelöst. Er macht bereits durch seinen Titel deutlich, dass hier dem Umfeld der Organi- sation eine wesentlich höhere Bedeutung zugemessen wird: ISO 22301 führt hierzu die Rolle der „Interested Party“ ein, die alle Stakeholder des Unternehmens und die Lieferkette umfasst. Interested Parties finden in allen Phasen des BCM Berücksichtigung – und so schafft der Standard zumindest einen Anforderungskatalog für das SCCM. Die konkrete Ausgestaltung des „wie“ bleibt jedoch der noch zu veröffentlichenden ISO 22313 „Business continuity management systems – Guidance“ vorbehalten. Von deutscher Seite liefert das Bundesamt für Sicherheit in der Informationstechnik mit seinem BSI 100-4 einen Standard für das Notfallmanagement [6]. Für Behörden ist er verbindlich und bildet für deutsche Un- ternehmen generell eine gute Umsetzungsanleitung für das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenes Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigen Punkten, die bei der Vertragsgestaltung zu beachten sind sowie die Berücksichtigung des Outsourcing bei der Not- fallkonzeption. SCCM-Erläuterungen Ein umfassendes SCCM-Framework liefert das „Public Document“ des British Standards Institute Business-Continuity Management und Wissen
19 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 PD 25222:2011 „Business conti- nuity management – Guidance on supply chain continuity“ (bestellbar über http://shop.bsigroup.com). Dieses erläuternde Dokument de- finiert einleitend die wesentlichen SCCM-Begrifflichkeiten und stellt die Bedeutung des Continuity- Managements für die Sicherung der Liefernetzwerke dar. Für die SCCM- Umsetzung gibt es einen konkreten Handlungsrahmen vor, der sich am BCM-Lifecycle des BS 25999 und der Good-Practice-Guidelines des BCI orientiert. So lässt sich SCCM sehr gut in ein bestehendes BCM-System einbinden. Das Konzept sieht die fol- genden Schritte in der Umsetzung vor: Management-Buy-in, Analyse der Supply-Chain (Festlegung des Scopes, Verständnis der Supply- Chain, Identifikation der kritischen Dienstleister), Festlegung von Strategien, Weiterentwicklung und laufender Betrieb sowie die Entwicklung einer lang-fris- tigen Resilience-Strategie. Framework fürs SCCM Nachfolgend wird basierend auf dem BCM-Lifecycle ein metho- disches Vorgehen zur SCCM-Imple- mentierung skizziert (vgl. Abb. 1). DieOrientierungamBCMerleichtert die Integration in ein bestehendes Business-Continuity-Management- System und ermöglicht die einfache Transformation in den PDCA-Zyklus der Zertifizierungs-Standards. SCCM-Programm-Manage- ment und Awareness Gegenstand des SCCM-Pro- gramm-Managements sind die Im- plementierung einer Organisation, von Prozessen für das SCCM sowie einer angemessenen Governance- Struktur – dokumentiert in einer SC- Abbildung 1: SCCM-Lifecycle auf Basis des BCM-Zyklus CM-Policy. SCCM entsteht nicht auf der „grünen Wiese“, daher ist die De- finition der Schnittstellen zu angren- zenden Bereichen elementar: Hierzu gehören beispielhaft Einkaufsab- teilungen, Vertriebsorganisation, Recht und Risikomanagement. Die Anbindung an die Unternehmens- strategie und das Commitment des Managements ist über eine SCCM- Policy sicherzustellen. Die zentralen Prozesse des SCCM bestehen aus den „technischen Disziplinen“ Analyse der Supply-Chain, Supply-Chain- Strategie, Implementierung sowie „Tests, laufende Aktualisierung und Monitoring“ (vgl. Abb. 1). Zudem sinddieEinbindungindieUnterneh- menskultur und Awareness-Bildung für das SCCM als dauerhafter Prozess vorzusehen – letztlich bedeutet dies, dass alle relevanten Rollen die Be- deutung des SCCM kennen und in ihren Entscheidungsprozessen mit berücksichtigen. Analyse der Supply-Chain Diese Phase ist der wesent- liche Ausgangspunkt zur Umsetzung eines SCCM; ihre Ziele sind die IdentifikationkritischerDienstleister sowie die Analyse der Risiken für die Supply-Chain im Rahmen eines laufenden Risk-Assessments. Bei der Identifikation der kritischen Dienst- leister in der Wertschöpfungskette ist die BCM-Business-Impact-Analyse (BIA) eine wesentliche Informa- tionsquelle, da in ihrem Rahmen die kritischen Zusammenhänge der Wertschöpfungskette erhoben werden. Neben der Analyse der Abhängigkeiten der Prozesse von Dienstleistern ermittelt die BIA auch die maximal zu akzeptierenden Ausfallzeiten für die Ressourcen (Recovery-Time-Objective, RTO). Die BIA kann für das SCCM daher die Zeitkritikalität für die Prozesse bezogen auf die Dienstleister liefern (vgl. Abb. 2). Neben der BIA sind jedoch auch weitere Kriterien heranzuzie- hen – die „Supply Chain Resilience Tabelle 1: Relevante Normen und Standards zum SCCM Norm Inhalte zum Supply Chain Continuity Management BS 2599-1, BS 25999-2 • BCM-Standard (zertifizierbar) • British Standards BSi • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle ISO 22301 • BCM-Standard (zertifizierbar) • ISO • Supply-Chain wird in der Rolle „Interested Party“ durchgehend berücksichtigt BSI-Standard 100-4 • BCM-Standard (nicht zertifizierbar) • Bundesamt für Sicherheit in der Informationstechnik BSI • Outsourcing wird in einem eigenen Kapitel “Outsourcing und Notfallmanagement” behandelt BCI Good Practice Guidelines 2010 • Good Practices für BCM des Business Continuity Institute BCI • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle BSI 11000 • Collaborative business relationships • BCM-Standard (zertifizierbar) • British Standards BSi • Risiko- und Business-Continuity- Management im gesamten Lebenszyklus des Partner- Management PD 25222:2011 • Good Practice Supply Chain Continuity Mgt. (nicht zertifizierbar) • British Standards BSi • Supply-Chain wird in der Rolle „Interested Party“ durchgehend berücksichtigt
20 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Business-Continuity Management und Wissen Abbildung 2: Dependenzenana- lyse im Rahmen der Business-Impact- Analyse des BCM (das Recovery- Time-Object – ROT – bezeichnet die maximal tolerier- bare Ausfallzeit) Survey 2011“ des BCI hat hier die folgenden Punkte identifiziert: Reputational Impact (57 %), Financial Impact of Non-Supply over a Period of Time (54 %), Regulatory Impact (50 %), Availability of other Suppliers (50 %), Spend (49 %), Location of Supplier (43 %), Key People / Knowledge involved (41 %), Bespoke Nature of Product / Service supplied (37 %), Speed of change to alternative Supplier (35 %), Interdependencies with other Suppliers (28 %), Maturity of the Industry (21 %). Im Rahmen eines Risk- Assessments sind überdies die wesentlichen Risiken auf die Wert- schöpfungskette zu analysieren und, sofern erforderlich, zu mitigieren (vgl. Tab. 2). Ungeplante ITK-Aus- fälle (52  %) und Wetterereignisse (48 %)warennachErkenntnissender Teil-nehmer der „BCI Supply Chain Resilience Studie 2012“ die Haupt- ursachen für Unterbrechungen in der Lieferkette. Mit großem Abstand folgten Serviceausfälle von Dienst- leistern (32 %). Branchenspezifisch zeigt die Studie jedoch ein anderes Bild für die Ursachen: Im Finanz- Tabelle 2: Risiken der Supply-Chain Risikokategorien Ausprägungen Rechtsrisiken •  Betriebsschließungen •  Einstweilige Verfügungen Politische Risiken •  Politische Instabilität / Unruhen •  Grenzschließungen •  Zölle und Tarife •  Aus- und Einfuhrbestimmungen •  Gesetzesänderungen Betriebswirtschaftliche •  Insolvenz des Lieferanten Risiken •  Übernahmen / Zusammenschlüsse •  Änderungen im Produktionsprogramm •  Lieferunterbrechung in der davorliegenden   Lieferkette (Tier Two) Technische Risiken •  Technische Störungen / Ausfälle •  IT-Ausfälle •  Mitarbeiterausfälle •  Qualitätsprobleme / Produktrückruf •  Kontamination Umweltrisiken •  Naturkatastrophen •  Klima / Wetter •  Pandemien / Epidemien •  Unterbrechung von Transport / Verkehr Soziale Risiken •  Streik •  Sabotage •  Kriminelle Handlungen, Terrorismus, Piraterie dienstleistungsbereich waren bei- spielsweise ungeplante IT-Ausfälle, Datenverlust und Dienstleisteraus- fälle die Top-3-Risiken, während sich in der Produktion vor allem Wechselkurse,EnergieundWetterals Ursachen gezeigt haben. Zur Mahnung: 61 % der Unterbrechungen in der Lieferkette wurden der Studie zufolge durch ei- nen Tier-1-Dienstleister verursacht, 32 % durch Tier-2-Dienstleister und 7 % auf der dritten Ebene der Dienst- leisterbeziehungen. Es reicht also nicht aus, nur die direkt beauftragten Dienstleister in seine Risikobetrach- tung einzubeziehen. SSCM-Strategien FürRisikostrategienimSSCM bestehen die folgenden Optionen: Akzeptieren der Risiken (z. B. bei geringen Risiken), Vermindern der Risiken durch Maßnahmen, Übertragen der Risiken (auf Versicherungen oder Dienstleister) sowie Vermeidung der Risiken (z. B. durch Verzicht auf Produkte oder Dienst- leistungen). Anforderungen des SCCM müssen bereits sehr früh bei der Vertrags- gestaltung mit Dienstleistern be- rücksichtigt werden. Hierzu zählen Anforderungen an die Ausgestaltung des BCM des Dienstleisters, eine Ab- stimmung von Notfall- und Krisen- managementkonzepten, Prüf- und Einsichtrechte für das BCM sowie gewünschte Zertifizierungen. Zudem sind Berichts- und Meldewesen für die laufende Dienstleisterbeziehung, aber auch für Notfälle und Krisen beim Dienstleister und Auftraggeber festzulegen – hierzu zählt nicht zu- letzt die Definition von Eskalations- stufen (z. B. Störung, Notfall, Krise), da diese nicht einheitlich verwendet werden (vgl. Kap. 10 in [6]).
21 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Implementierung Grundlage für den Übergang eines SCCM in den laufenden Betrieb sind die in der SCCM-Policy geregel- ten Vorgaben für Organisation und Prozesse. Zum laufenden Betrieb ge- hört die Umsetzung der festgelegten SCCM-StrategienfürdieDienstleister, das laufende SCCM-Berichtswesen sowie regelmäßige Überprüfungen/ Audits bei den Dienstleistern (vgl. Tab. 3). Die beispielsweise im Finanz- dienstleistungsbereich regulatorisch vorgeschriebene Abstimmung der Notfallkonzepte gehört ebenso dazu wie Einrichtung, Pflege und Tests von Alarmierungs- und Kommunikati- onswegen bei Störungen, Notfällen und Krisen. Eine Abstimmung der Notfallkonzeptemussgegebenenfalls auf mehreren Ebenen erfolgen – ihr UmfanghängtvonderKritikalitätdes Dienstleisters ab. Test, Aktualisierung, Monitoring Die Funktionsfähigkeit der SCCM-Konzepte lässt sich letzt- lich erst durch Tests und Übungen überprüfen und nachweisen – diese sollten sowohl Notfälle beim Dienst- leister,NotfällebeimAuftraggeberals auch Katastrophen mit gemeinsamer Betroffenheit umfassen. Alarmie- rungs- und Eskalationsverfahren sowie die hierfür eingesetzten Tools sollte man regelmäßig testen und auf Aktualität der Kontaktdaten hin prüfen. Regelmäßige „Jour Fixes“ mit den kritischen Dienstleistern fördern zudem die Zusammenarbeit und das gemeinschaftliche Denken und Handeln. Audits von Wirtschafts- prüfungsgesellschaften und Bera- tungsunternehmen oder auch Zer- tifizierungen nach internationalen Standards geben darüber hinaus Hinweise auf den Reifegrad des BCM-Systems von Dienstleistern. Sie ersetzen jedoch nicht die bila- terale Zusammenarbeit, da solche Audits und Zertifizierungen in der Regel keine konkreten Hinweise auf die spezifischen Auswirkungen von Ausfällen auf die eigene Dienstleis- tungsbeziehung geben. Fazit Supply-Chain-Continuity- Management (SCCM) ist eine junge Disziplin, die angesichts des zuneh- menden Outsourcings in allen Bran- chen eine wachsende Bedeutung gewinnt. Viele Ereignisse der letzten Jahre (z. B. Fukushima, Thailand- Überschwemmungen, Aschewol- ken) haben die Notwendigkeit der Weiterentwicklung dieses Themas für alle Branchen aufgezeigt. Teils erfordern bereits gesetzliche und regulatorische Normen seine Orga- nisationundentsprechendeProzesse – auch bei externen Audits gerät SCCM zunehmend in den Fokus der Prüfungen. Standards und Good Practices für seine konkrete Umset- zung liegen jedoch erst rudimentär vor und müssen aus der Praxis heraus fortentwickelt werden.      ■ Matthias Hämmerle übernimmt bei der Automation Consulting Group (ACG) GmbH in Frankfurt ab Januar 2013 die Leitung des neu gegründeten „Com- petence Center Business Continuity Management“.Dr.Klaus-RainerMüller, der bisher auch für BCM verantwortlich war, spezialisiert sich künftig auf die Themen IT-Sicherheit, Sourcing und Provider-Management. Tabelle 3: Abstimmung des SSCM mit Dienst- leistern Alarmierung und •  Abstimmung von Begrifflichkeiten: Eskalation Definition von „Störung“, „Problem“, „Ausfall“, „Notfall“, „Krise“, „K-Fall“ •  Dokumentation der Ansprechpartner und Kommunikationsdaten • Festlegung der Meldewege • De-Eskalation Krisenmanagement • Abstimmung der Krisenstabsorganisationen • Festlegung gegenseitiger Teilnahme oder Informationsaustausch Notfallkonzepte • Beidseitige Abstimmung der Notfallkonzepte (Handlungsoptionen und -verfahren) Geschäftsfortführungs- • Abstimmung von Notfallplänen und Wiederanlaufpläne Test- und Übungspläne • Abstimmung der Test- und Übungspläne (inhaltlich und zeitlich) • Abstimmung von Begrifflichkeiten Literatur [1] Business Continuity Institute (BCI), Supply Chain Resilience 2012, www.thebci.org/index. php?option=com_content&view=ar ticle&id=341&Itemid=201 [2] Sonja Mohr, Outsourcing nach Bankenart, § 25a KWG als Grund- lage für sichere IT-Dienstleistungen, <kes> 2005# 6, S. 85 [3] Bundesanstalt für Finanzdienst- leistungsaufsicht(BaFin),Mindestan- forderungen an das Risikomanage- ment (MaRisk BA), www.bafin.de/ SharedDocs/Veroeffentlichungen/ DE/Rundschreiben/rs_1011_ba_ma- risk.html [4] European Banking Authority (EBA), Guidelines on Internal Gover- nance (GL 44), www.eba.europa.eu/ Publications/Guidelines.aspx [5] Committee of European Banking Supervisors (CEBS), Guidelines on Outsourcing, www.eba.europa.eu/ getdoc/f99a6113-02ea-4028-8737- 1cdb33624840/GL02Outsourcing- Guidelines-pdf.aspx [6] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Stan- dard 100-4: Notfallmanagement, www.bsi.bund.de/ContentBSI/Pu- blikationen/BSI_Standard/it_grund- schutzstandards.html

Recomendados

BCM Standards 11.2014
BCM Standards 11.2014BCM Standards 11.2014
BCM Standards 11.2014haemmerle-consulting
 
BCM Standards und Good Practices
BCM Standards und Good PracticesBCM Standards und Good Practices
BCM Standards und Good Practiceshaemmerle-consulting
 
Iso 22301 - der neue Standard für Business Continuity Management
Iso 22301 - der neue Standard für Business Continuity ManagementIso 22301 - der neue Standard für Business Continuity Management
Iso 22301 - der neue Standard für Business Continuity Managementhaemmerle-consulting
 
Standards und good practices 20160325
Standards und good practices 20160325Standards und good practices 20160325
Standards und good practices 20160325haemmerle-consulting
 
kes BCM in der Supply Chain
kes BCM in der Supply Chainkes BCM in der Supply Chain
kes BCM in der Supply Chainhaemmerle-consulting
 
BCM Strategien
BCM StrategienBCM Strategien
BCM Strategienhaemmerle-consulting
 
BCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilftBCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilftTorsten Glunde
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 

Recomendados

BCM Standards 11.2014
BCM Standards 11.2014BCM Standards 11.2014
BCM Standards 11.2014haemmerle-consulting
 
BCM Standards und Good Practices
BCM Standards und Good PracticesBCM Standards und Good Practices
BCM Standards und Good Practiceshaemmerle-consulting
 
Iso 22301 - der neue Standard für Business Continuity Management
Iso 22301 - der neue Standard für Business Continuity ManagementIso 22301 - der neue Standard für Business Continuity Management
Iso 22301 - der neue Standard für Business Continuity Managementhaemmerle-consulting
 
Standards und good practices 20160325
Standards und good practices 20160325Standards und good practices 20160325
Standards und good practices 20160325haemmerle-consulting
 
kes BCM in der Supply Chain
kes BCM in der Supply Chainkes BCM in der Supply Chain
kes BCM in der Supply Chainhaemmerle-consulting
 
BCM Strategien
BCM StrategienBCM Strategien
BCM Strategienhaemmerle-consulting
 
BCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilftBCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilftTorsten Glunde
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 
Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health CheckTALOSCommunications
 
Die Nachfolgeregelung
Die NachfolgeregelungDie Nachfolgeregelung
Die NachfolgeregelungWM-Pool Pressedienst
 
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdfIdeenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdfaloahe2
 
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzialDienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzialHans Ulrich Wiedmer
 
Revidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzRevidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzTALOSCommunications
 
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 UmsetzungCWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 UmsetzungCWMC - Christian Wild Management Consultants
 
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato SystemsBITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systemsarvato AG
 
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsBITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsHeiko Wrage
 
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdfTotal-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdfhuoYan2
 
Geldinstitute - Bank Referenz
Geldinstitute - Bank ReferenzGeldinstitute - Bank Referenz
Geldinstitute - Bank ReferenzWolfgang Schmidt
 
[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & CompliancePROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcmICV_eV
 
Code of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei VersicherungsunternehmenCode of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei VersicherungsunternehmenPPI AG
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...Symposia 360°
 
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem RolloutCWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem RolloutCWMC - Christian Wild Management Consultants
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...NETWAYS
 
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)Agenda Europe 2035
 
World Disasters Report 2014
World Disasters Report 2014World Disasters Report 2014
World Disasters Report 2014haemmerle-consulting
 
BCI Counting The Cost
BCI Counting The CostBCI Counting The Cost
BCI Counting The Costhaemmerle-consulting
 

Mais conteúdo relacionado

Semelhante a Audit des BCM

Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health CheckTALOSCommunications
 
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdfIdeenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdfaloahe2
 
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzialDienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzialHans Ulrich Wiedmer
 
Revidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzRevidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzTALOSCommunications
 
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato SystemsBITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systemsarvato AG
 
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsBITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsHeiko Wrage
 
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdfTotal-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdfhuoYan2
 
Geldinstitute - Bank Referenz
Geldinstitute - Bank ReferenzGeldinstitute - Bank Referenz
Geldinstitute - Bank ReferenzWolfgang Schmidt
 
05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcmICV_eV
 
Code of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei VersicherungsunternehmenCode of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei VersicherungsunternehmenPPI AG
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...Symposia 360°
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...NETWAYS
 
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)Agenda Europe 2035
 

Semelhante a Audit des BCM (20)

Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health Check
 
Die Nachfolgeregelung
Die NachfolgeregelungDie Nachfolgeregelung
Die Nachfolgeregelung
 
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdfIdeenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
 
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzialDienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
 
Revidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzRevidiertes Geldwaeschereigesetz
Revidiertes Geldwaeschereigesetz
 
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 UmsetzungCWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
 
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
 
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato SystemsBITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systems
 
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsBITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
 
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdfTotal-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
 
Geldinstitute - Bank Referenz
Geldinstitute - Bank ReferenzGeldinstitute - Bank Referenz
Geldinstitute - Bank Referenz
 
[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance
 
05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm
 
Code of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei VersicherungsunternehmenCode of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei Versicherungsunternehmen
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
 
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem RolloutCWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
 
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
 
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
 

Mais de haemmerle-consulting

World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014haemmerle-consulting
 
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 ÜberblickMunich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblickhaemmerle-consulting
 
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013haemmerle-consulting
 
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per KontinentSchäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinenthaemmerle-consulting
 
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattleThe hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattlehaemmerle-consulting
 
Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"haemmerle-consulting
 
Kochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newsKochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newshaemmerle-consulting
 

Mais de haemmerle-consulting (20)

World Disasters Report 2014
World Disasters Report 2014World Disasters Report 2014
World Disasters Report 2014
 
BCI Counting The Cost
BCI Counting The CostBCI Counting The Cost
BCI Counting The Cost
 
BCM Glossary by BCI
BCM Glossary by BCIBCM Glossary by BCI
BCM Glossary by BCI
 
World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014
 
Symantec Intelligence Report 2013
Symantec Intelligence Report 2013Symantec Intelligence Report 2013
Symantec Intelligence Report 2013
 
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 ÜberblickMunich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblick
 
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013
 
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per KontinentSchäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinent
 
Global Climate Risk Index 2014
Global Climate Risk Index 2014Global Climate Risk Index 2014
Global Climate Risk Index 2014
 
Supply chain-resilience-2013-en
Supply chain-resilience-2013-enSupply chain-resilience-2013-en
Supply chain-resilience-2013-en
 
BCAW 2013 poster english
BCAW 2013 poster englishBCAW 2013 poster english
BCAW 2013 poster english
 
Tests und übungen
Tests und übungenTests und übungen
Tests und übungen
 
BCM Planung
BCM PlanungBCM Planung
BCM Planung
 
BCM Lifecycle
BCM LifecycleBCM Lifecycle
BCM Lifecycle
 
Krisenmanagement Case Study
Krisenmanagement Case StudyKrisenmanagement Case Study
Krisenmanagement Case Study
 
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattleThe hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattle
 
BCI Supply Chain Resilience 2012
BCI Supply Chain Resilience 2012BCI Supply Chain Resilience 2012
BCI Supply Chain Resilience 2012
 
BCM Stakeholder Management
BCM Stakeholder ManagementBCM Stakeholder Management
BCM Stakeholder Management
 
Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"
 
Kochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newsKochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm news
 

Audit des BCM

  • 1. 17 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Business-Continuity Management und Wissen BCM in der Supply Chain Was für die „Just-in-Time“-Produktion gilt, hat mittlerweile auch Einzug in Dienstleistungen und IT- Prozesse gehalten: die Abhängigkeit von einer Lieferkette (Supply-Chain). Erdbeben, Vulkanausbrüche (und in der Folge Aschewolken), Überschwemmungen, Tornados und politische Unruhen sind nur einige Beispiele, die in den letzten Jahren für erhebliche Verzögerungen, Liefereng- pässe und -ausfälle gesorgt haben. 73  % der Teilnehmer der Supply-Chain-Resi- lience-Studie 2012 des Business Continuity Institute haben angegeben, in den vorausgegangenen 12 Monaten mindestens eine Störung in der Lieferkette gehabt zu ha- ben, die zu Unterbrechungen im Unternehmen geführt hat [1] – 23 % der Befragten berichteten sogar über mehr als fünf Störungen im Betrachtungszeitraum. Als Haupt- ursachen der Unterbrechungen wurden IT-Ausfälle (52 % vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) und Service-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz- dienstleistungsbereich wurden IT- und Telekommummu- nikations-Ausfälle (45 %), Verletzung der Datensicherheit (13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet- terereignisse (11 %) als wesentliche Ursachen benannt. Liefernetzwerke Lieferketten gliedern sich in die vorgelagerte Lieferkette, die konzern- und unternehmensinterne Lieferkette sowie die dem Unternehmen nachgelagerte Lieferkette zum Kunden – eine ganzheitliche Betrachtung umfasstzudemsowohldasmehrstufigeLiefernetzwerkauf Zuliefererseite als auch das mehrstufige Liefernetzwerk zum Kunden. Für das BCM ist die Funktionsfähigkeit die- ser gesamten Konstruktion essenziell – bricht auch nur ein Glied in dieser Kette, kann dies zum Gesamtausfall führen. Auch im Dienstleistungsbereich hat sich aus öko- nomischen Gründen die Zergliederung der Produktion Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt Immer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio- naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerke gegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondern auch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nicht zuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutet dies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zu erweitern. in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt: Unternehmensintern werden Services durch Shared- Service-Center für den gesamten Konzern zentral erbracht – zunächst vornehmlich für IT-Dienstleistungen haben sie sich mittlerweile für viele administrative Funktionen durchgesetzt (z. B. Personalverwaltung, Rechnungswesen etc.). Im Ergebnis entstehen – zum Teil hochkomplexe – unternehmensinterne Lieferungs- und Leistungsbezie- hungen, die in Form von Service-Level-Agreements (SLA) vereinbart werden. Zudem hat sich auch eine Auslagerung von Sup- portprozessen im Rahmen des Outsourcings etabliert – etwa beim IT-Betrieb, der Telekommunikation (VoIP) oder sogar zentralen Wertschöpfungsprozessen wie Zahlungs- verkehr, Wertpapierabwicklung, Schadensbearbeitung, Reklamationen an spezialisierte Dienstleister et cetera. Auch die Lieferkette zum Kunden entwickelt sich immer stärker zum verzweigten Netzwerk von Servicepart- nern – so sind etwa Prüfungs- und Beratungsleistungen für den B2B-Geschäftsabschluss häufig unabdingbar oder im Finanzwesen Intermediäre zwischengeschaltet, große Kapitalmarkttransaktionen nur in Konsortien abbildbar. Der Wertschöpfungsprozess ist auf das reibungslose Zusammenwirken aller dieser Rollen angewiesen! Und das schwächste Glied dieser Kette bestimmt letztlich die Robustheit (Resilience) des Ganzen. Complianceanforderungen In bestimmten Branchen sind bereits gesetzliche oder regulatorische Anforderungen einschlägig. Beispiels- weise ist für Finanzdienstleister – auch in ihrer besonderen Bedeutung als Teil der kritischen Infrastruktur („Kritis“ – www.kritis.bund.de) – die Sicherstellung der Lieferkette entsprechend geregelt: Das Kreditwesengesetz (§ 25a KWG, vgl. [2]) erfasst im Rahmen der besonderen organi-
  • 2. 18 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 satorischen Pflichten von Instituten auch die ordnungs- gemäße Geschäftsorganisation bei „wesentlichen Ausla- gerungen“ – Institute müssen für diese wesentlichen Aus- lagerungen risikoorientiert „angemessene Vorkehrungen treffen,umübermäßigezusätzlicheRisikenzuvermeiden“ (siehe www.juris.de/purl/gesetze/KredWG_!_25a). Das Risikomanagement eines auslagernden Fi- nanzinstituts muss die ausgelagerten Aktivitäten und Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla- gerung ist im Rahmen einer Risikoanalyse zu bestimmen. Konkreter wird das in den „Mindestanforderungen an das Risikomanagement für Banken“ (MaRisk BA [3]) im „Allgemeinen Teil“ AT 9, für Investmentgesellschaften und Versicherer erfolgt dies in spezifischen Regelungen (InvMaRisk, MaRisk VA). Eine Auslagerung im Sinne der MaRisk liegt vor, „wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienst- leistungen oder sonstiger institutstypischen Dienstleis- tungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden“ – Auslagerungen im Sinne der MaRisk erfassen demzufolge nur einen Ausschnitt der Lieferkette eines Finanzdienstleisters. Nicht berücksichtigt sind alle Leistungen, die ein Institut nicht selbst erbringen würde, also etwa nicht-bankfachliche Dienstleistungen und Un- terstützungsprozesse (z. B. Datenerfassung). Sich bei der Notfallvorsorge für die gesamte Lie- ferkette (End to End) auf die wesentlichen Auslagerungen bestimmter Compliance-Kriterien zu beschränken, greift in der Regel zu kurz. Erst eine Business-Impact-Analyse (BIA) im Rahmen mit der expliziten Prüfung der Liefer- ketten verschafft eine solide Grundlage für das SCCM. Standards und Good Practices Passende Normen für das SCCM findet man so- wohl in Regelungen für das BCM als auch spezifischen Werken für das Outsourcing (s. u., vgl. Tab. 1). Good Practices des BCM liefern auf europäischer Ebene in erster Linie die „BCI Good Practice Guidelines 2010“ (bestellbar über www.thebci.org) – dieses ansonsten sehr gute BCM- Hilfsmittel bildet externe Dienstleister zwar als Ressource im BCM-Lebenszyklus ab, gibt aber leider keine spezi- fischen Hilfestellungen für das SCCM. Branchenspezifische Regelungen auf deutscher, europäischer und internationaler Ebene ergänzen diese Standards – hierzu gehören beispielsweise die europawei- ten Regelungen zum Outsourcing für Finanzdienstleister, namentlich die „EBA Guidelines on Internal Governance“ [4] und die „CEBS Guidelines on Outsourcing“ [5]. Ein hilfreicher Standard für die Ausgestaltung der Zusammenarbeit mit internen und externen Partnern ist zudem der BS 11000 „Collaborative business relation- ships“ (www.bsigroup.de): Der weltweit erste Collabo- ration-Standard enthält ein gesamthaftes Framework zur Beschreibung der wesentlichen Funktionen, die in der in- ternen und externen Zusammenarbeit mit Dienstleistern, Lieferanten und Kunden zu beachten sind. Acht Kapitel beschreiben den gesamten Lebenszyklus der Zusammen- arbeit (Awareness, Knowledge, Internal Assessment, Part- ner Selection, Working Together, Value Creation, Staying Together, Exit Strategy) – BCM und Exit-Strategien werden vor allem in den Vorgehensmodellen des Teil 2 „Guide to implementing“ behandelt. BCM-Normen BS 25999-1 und BS 25999-2 weisen noch einen starken Innenbezug auf die Organisation auf: In allen Phasen des BCM-Lebenszyklus sind Anforderungen an die Einbeziehung der kritischen Dienstleister und Zulieferer beschrieben, besonders hinsichtlich der Identifikation kritischer Dienstleister im Rahmen der BIA und des BCM- Audits der Dienstleister. Die beiden British Standards werden durch den im Mai 2012 veröffentlichten ISO-Standard 22301 „Societal security – Business continuity management systems – Requirements“ abgelöst. Er macht bereits durch seinen Titel deutlich, dass hier dem Umfeld der Organi- sation eine wesentlich höhere Bedeutung zugemessen wird: ISO 22301 führt hierzu die Rolle der „Interested Party“ ein, die alle Stakeholder des Unternehmens und die Lieferkette umfasst. Interested Parties finden in allen Phasen des BCM Berücksichtigung – und so schafft der Standard zumindest einen Anforderungskatalog für das SCCM. Die konkrete Ausgestaltung des „wie“ bleibt jedoch der noch zu veröffentlichenden ISO 22313 „Business continuity management systems – Guidance“ vorbehalten. Von deutscher Seite liefert das Bundesamt für Sicherheit in der Informationstechnik mit seinem BSI 100-4 einen Standard für das Notfallmanagement [6]. Für Behörden ist er verbindlich und bildet für deutsche Un- ternehmen generell eine gute Umsetzungsanleitung für das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenes Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigen Punkten, die bei der Vertragsgestaltung zu beachten sind sowie die Berücksichtigung des Outsourcing bei der Not- fallkonzeption. SCCM-Erläuterungen Ein umfassendes SCCM-Framework liefert das „Public Document“ des British Standards Institute Business-Continuity Management und Wissen
  • 3. 19 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 PD 25222:2011 „Business conti- nuity management – Guidance on supply chain continuity“ (bestellbar über http://shop.bsigroup.com). Dieses erläuternde Dokument de- finiert einleitend die wesentlichen SCCM-Begrifflichkeiten und stellt die Bedeutung des Continuity- Managements für die Sicherung der Liefernetzwerke dar. Für die SCCM- Umsetzung gibt es einen konkreten Handlungsrahmen vor, der sich am BCM-Lifecycle des BS 25999 und der Good-Practice-Guidelines des BCI orientiert. So lässt sich SCCM sehr gut in ein bestehendes BCM-System einbinden. Das Konzept sieht die fol- genden Schritte in der Umsetzung vor: Management-Buy-in, Analyse der Supply-Chain (Festlegung des Scopes, Verständnis der Supply- Chain, Identifikation der kritischen Dienstleister), Festlegung von Strategien, Weiterentwicklung und laufender Betrieb sowie die Entwicklung einer lang-fris- tigen Resilience-Strategie. Framework fürs SCCM Nachfolgend wird basierend auf dem BCM-Lifecycle ein metho- disches Vorgehen zur SCCM-Imple- mentierung skizziert (vgl. Abb. 1). DieOrientierungamBCMerleichtert die Integration in ein bestehendes Business-Continuity-Management- System und ermöglicht die einfache Transformation in den PDCA-Zyklus der Zertifizierungs-Standards. SCCM-Programm-Manage- ment und Awareness Gegenstand des SCCM-Pro- gramm-Managements sind die Im- plementierung einer Organisation, von Prozessen für das SCCM sowie einer angemessenen Governance- Struktur – dokumentiert in einer SC- Abbildung 1: SCCM-Lifecycle auf Basis des BCM-Zyklus CM-Policy. SCCM entsteht nicht auf der „grünen Wiese“, daher ist die De- finition der Schnittstellen zu angren- zenden Bereichen elementar: Hierzu gehören beispielhaft Einkaufsab- teilungen, Vertriebsorganisation, Recht und Risikomanagement. Die Anbindung an die Unternehmens- strategie und das Commitment des Managements ist über eine SCCM- Policy sicherzustellen. Die zentralen Prozesse des SCCM bestehen aus den „technischen Disziplinen“ Analyse der Supply-Chain, Supply-Chain- Strategie, Implementierung sowie „Tests, laufende Aktualisierung und Monitoring“ (vgl. Abb. 1). Zudem sinddieEinbindungindieUnterneh- menskultur und Awareness-Bildung für das SCCM als dauerhafter Prozess vorzusehen – letztlich bedeutet dies, dass alle relevanten Rollen die Be- deutung des SCCM kennen und in ihren Entscheidungsprozessen mit berücksichtigen. Analyse der Supply-Chain Diese Phase ist der wesent- liche Ausgangspunkt zur Umsetzung eines SCCM; ihre Ziele sind die IdentifikationkritischerDienstleister sowie die Analyse der Risiken für die Supply-Chain im Rahmen eines laufenden Risk-Assessments. Bei der Identifikation der kritischen Dienst- leister in der Wertschöpfungskette ist die BCM-Business-Impact-Analyse (BIA) eine wesentliche Informa- tionsquelle, da in ihrem Rahmen die kritischen Zusammenhänge der Wertschöpfungskette erhoben werden. Neben der Analyse der Abhängigkeiten der Prozesse von Dienstleistern ermittelt die BIA auch die maximal zu akzeptierenden Ausfallzeiten für die Ressourcen (Recovery-Time-Objective, RTO). Die BIA kann für das SCCM daher die Zeitkritikalität für die Prozesse bezogen auf die Dienstleister liefern (vgl. Abb. 2). Neben der BIA sind jedoch auch weitere Kriterien heranzuzie- hen – die „Supply Chain Resilience Tabelle 1: Relevante Normen und Standards zum SCCM Norm Inhalte zum Supply Chain Continuity Management BS 2599-1, BS 25999-2 • BCM-Standard (zertifizierbar) • British Standards BSi • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle ISO 22301 • BCM-Standard (zertifizierbar) • ISO • Supply-Chain wird in der Rolle „Interested Party“ durchgehend berücksichtigt BSI-Standard 100-4 • BCM-Standard (nicht zertifizierbar) • Bundesamt für Sicherheit in der Informationstechnik BSI • Outsourcing wird in einem eigenen Kapitel “Outsourcing und Notfallmanagement” behandelt BCI Good Practice Guidelines 2010 • Good Practices für BCM des Business Continuity Institute BCI • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle BSI 11000 • Collaborative business relationships • BCM-Standard (zertifizierbar) • British Standards BSi • Risiko- und Business-Continuity- Management im gesamten Lebenszyklus des Partner- Management PD 25222:2011 • Good Practice Supply Chain Continuity Mgt. (nicht zertifizierbar) • British Standards BSi • Supply-Chain wird in der Rolle „Interested Party“ durchgehend berücksichtigt
  • 4. 20 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Business-Continuity Management und Wissen Abbildung 2: Dependenzenana- lyse im Rahmen der Business-Impact- Analyse des BCM (das Recovery- Time-Object – ROT – bezeichnet die maximal tolerier- bare Ausfallzeit) Survey 2011“ des BCI hat hier die folgenden Punkte identifiziert: Reputational Impact (57 %), Financial Impact of Non-Supply over a Period of Time (54 %), Regulatory Impact (50 %), Availability of other Suppliers (50 %), Spend (49 %), Location of Supplier (43 %), Key People / Knowledge involved (41 %), Bespoke Nature of Product / Service supplied (37 %), Speed of change to alternative Supplier (35 %), Interdependencies with other Suppliers (28 %), Maturity of the Industry (21 %). Im Rahmen eines Risk- Assessments sind überdies die wesentlichen Risiken auf die Wert- schöpfungskette zu analysieren und, sofern erforderlich, zu mitigieren (vgl. Tab. 2). Ungeplante ITK-Aus- fälle (52  %) und Wetterereignisse (48 %)warennachErkenntnissender Teil-nehmer der „BCI Supply Chain Resilience Studie 2012“ die Haupt- ursachen für Unterbrechungen in der Lieferkette. Mit großem Abstand folgten Serviceausfälle von Dienst- leistern (32 %). Branchenspezifisch zeigt die Studie jedoch ein anderes Bild für die Ursachen: Im Finanz- Tabelle 2: Risiken der Supply-Chain Risikokategorien Ausprägungen Rechtsrisiken •  Betriebsschließungen •  Einstweilige Verfügungen Politische Risiken •  Politische Instabilität / Unruhen •  Grenzschließungen •  Zölle und Tarife •  Aus- und Einfuhrbestimmungen •  Gesetzesänderungen Betriebswirtschaftliche •  Insolvenz des Lieferanten Risiken •  Übernahmen / Zusammenschlüsse •  Änderungen im Produktionsprogramm •  Lieferunterbrechung in der davorliegenden   Lieferkette (Tier Two) Technische Risiken •  Technische Störungen / Ausfälle •  IT-Ausfälle •  Mitarbeiterausfälle •  Qualitätsprobleme / Produktrückruf •  Kontamination Umweltrisiken •  Naturkatastrophen •  Klima / Wetter •  Pandemien / Epidemien •  Unterbrechung von Transport / Verkehr Soziale Risiken •  Streik •  Sabotage •  Kriminelle Handlungen, Terrorismus, Piraterie dienstleistungsbereich waren bei- spielsweise ungeplante IT-Ausfälle, Datenverlust und Dienstleisteraus- fälle die Top-3-Risiken, während sich in der Produktion vor allem Wechselkurse,EnergieundWetterals Ursachen gezeigt haben. Zur Mahnung: 61 % der Unterbrechungen in der Lieferkette wurden der Studie zufolge durch ei- nen Tier-1-Dienstleister verursacht, 32 % durch Tier-2-Dienstleister und 7 % auf der dritten Ebene der Dienst- leisterbeziehungen. Es reicht also nicht aus, nur die direkt beauftragten Dienstleister in seine Risikobetrach- tung einzubeziehen. SSCM-Strategien FürRisikostrategienimSSCM bestehen die folgenden Optionen: Akzeptieren der Risiken (z. B. bei geringen Risiken), Vermindern der Risiken durch Maßnahmen, Übertragen der Risiken (auf Versicherungen oder Dienstleister) sowie Vermeidung der Risiken (z. B. durch Verzicht auf Produkte oder Dienst- leistungen). Anforderungen des SCCM müssen bereits sehr früh bei der Vertrags- gestaltung mit Dienstleistern be- rücksichtigt werden. Hierzu zählen Anforderungen an die Ausgestaltung des BCM des Dienstleisters, eine Ab- stimmung von Notfall- und Krisen- managementkonzepten, Prüf- und Einsichtrechte für das BCM sowie gewünschte Zertifizierungen. Zudem sind Berichts- und Meldewesen für die laufende Dienstleisterbeziehung, aber auch für Notfälle und Krisen beim Dienstleister und Auftraggeber festzulegen – hierzu zählt nicht zu- letzt die Definition von Eskalations- stufen (z. B. Störung, Notfall, Krise), da diese nicht einheitlich verwendet werden (vgl. Kap. 10 in [6]).
  • 5. 21 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Implementierung Grundlage für den Übergang eines SCCM in den laufenden Betrieb sind die in der SCCM-Policy geregel- ten Vorgaben für Organisation und Prozesse. Zum laufenden Betrieb ge- hört die Umsetzung der festgelegten SCCM-StrategienfürdieDienstleister, das laufende SCCM-Berichtswesen sowie regelmäßige Überprüfungen/ Audits bei den Dienstleistern (vgl. Tab. 3). Die beispielsweise im Finanz- dienstleistungsbereich regulatorisch vorgeschriebene Abstimmung der Notfallkonzepte gehört ebenso dazu wie Einrichtung, Pflege und Tests von Alarmierungs- und Kommunikati- onswegen bei Störungen, Notfällen und Krisen. Eine Abstimmung der Notfallkonzeptemussgegebenenfalls auf mehreren Ebenen erfolgen – ihr UmfanghängtvonderKritikalitätdes Dienstleisters ab. Test, Aktualisierung, Monitoring Die Funktionsfähigkeit der SCCM-Konzepte lässt sich letzt- lich erst durch Tests und Übungen überprüfen und nachweisen – diese sollten sowohl Notfälle beim Dienst- leister,NotfällebeimAuftraggeberals auch Katastrophen mit gemeinsamer Betroffenheit umfassen. Alarmie- rungs- und Eskalationsverfahren sowie die hierfür eingesetzten Tools sollte man regelmäßig testen und auf Aktualität der Kontaktdaten hin prüfen. Regelmäßige „Jour Fixes“ mit den kritischen Dienstleistern fördern zudem die Zusammenarbeit und das gemeinschaftliche Denken und Handeln. Audits von Wirtschafts- prüfungsgesellschaften und Bera- tungsunternehmen oder auch Zer- tifizierungen nach internationalen Standards geben darüber hinaus Hinweise auf den Reifegrad des BCM-Systems von Dienstleistern. Sie ersetzen jedoch nicht die bila- terale Zusammenarbeit, da solche Audits und Zertifizierungen in der Regel keine konkreten Hinweise auf die spezifischen Auswirkungen von Ausfällen auf die eigene Dienstleis- tungsbeziehung geben. Fazit Supply-Chain-Continuity- Management (SCCM) ist eine junge Disziplin, die angesichts des zuneh- menden Outsourcings in allen Bran- chen eine wachsende Bedeutung gewinnt. Viele Ereignisse der letzten Jahre (z. B. Fukushima, Thailand- Überschwemmungen, Aschewol- ken) haben die Notwendigkeit der Weiterentwicklung dieses Themas für alle Branchen aufgezeigt. Teils erfordern bereits gesetzliche und regulatorische Normen seine Orga- nisationundentsprechendeProzesse – auch bei externen Audits gerät SCCM zunehmend in den Fokus der Prüfungen. Standards und Good Practices für seine konkrete Umset- zung liegen jedoch erst rudimentär vor und müssen aus der Praxis heraus fortentwickelt werden.      ■ Matthias Hämmerle übernimmt bei der Automation Consulting Group (ACG) GmbH in Frankfurt ab Januar 2013 die Leitung des neu gegründeten „Com- petence Center Business Continuity Management“.Dr.Klaus-RainerMüller, der bisher auch für BCM verantwortlich war, spezialisiert sich künftig auf die Themen IT-Sicherheit, Sourcing und Provider-Management. Tabelle 3: Abstimmung des SSCM mit Dienst- leistern Alarmierung und •  Abstimmung von Begrifflichkeiten: Eskalation Definition von „Störung“, „Problem“, „Ausfall“, „Notfall“, „Krise“, „K-Fall“ •  Dokumentation der Ansprechpartner und Kommunikationsdaten • Festlegung der Meldewege • De-Eskalation Krisenmanagement • Abstimmung der Krisenstabsorganisationen • Festlegung gegenseitiger Teilnahme oder Informationsaustausch Notfallkonzepte • Beidseitige Abstimmung der Notfallkonzepte (Handlungsoptionen und -verfahren) Geschäftsfortführungs- • Abstimmung von Notfallplänen und Wiederanlaufpläne Test- und Übungspläne • Abstimmung der Test- und Übungspläne (inhaltlich und zeitlich) • Abstimmung von Begrifflichkeiten Literatur [1] Business Continuity Institute (BCI), Supply Chain Resilience 2012, www.thebci.org/index. php?option=com_content&view=ar ticle&id=341&Itemid=201 [2] Sonja Mohr, Outsourcing nach Bankenart, § 25a KWG als Grund- lage für sichere IT-Dienstleistungen, <kes> 2005# 6, S. 85 [3] Bundesanstalt für Finanzdienst- leistungsaufsicht(BaFin),Mindestan- forderungen an das Risikomanage- ment (MaRisk BA), www.bafin.de/ SharedDocs/Veroeffentlichungen/ DE/Rundschreiben/rs_1011_ba_ma- risk.html [4] European Banking Authority (EBA), Guidelines on Internal Gover- nance (GL 44), www.eba.europa.eu/ Publications/Guidelines.aspx [5] Committee of European Banking Supervisors (CEBS), Guidelines on Outsourcing, www.eba.europa.eu/ getdoc/f99a6113-02ea-4028-8737- 1cdb33624840/GL02Outsourcing- Guidelines-pdf.aspx [6] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Stan- dard 100-4: Notfallmanagement, www.bsi.bund.de/ContentBSI/Pu- blikationen/BSI_Standard/it_grund- schutzstandards.html