Enviar pesquisa
Carregar
Audit des BCM
•
1 gostou
•
2,404 visualizações
haemmerle-consulting
Seguir
Self Assessment und Audit des BCM
Leia menos
Leia mais
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 5
Baixar agora
Baixar para ler offline
Recomendados
BCM Standards 11.2014
BCM Standards 11.2014
haemmerle-consulting
BCM Standards und Good Practices
BCM Standards und Good Practices
haemmerle-consulting
Iso 22301 - der neue Standard für Business Continuity Management
Iso 22301 - der neue Standard für Business Continuity Management
haemmerle-consulting
Standards und good practices 20160325
Standards und good practices 20160325
haemmerle-consulting
kes BCM in der Supply Chain
kes BCM in der Supply Chain
haemmerle-consulting
BCM Strategien
BCM Strategien
haemmerle-consulting
BCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilft
Torsten Glunde
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Matthias Leisi
Recomendados
BCM Standards 11.2014
BCM Standards 11.2014
haemmerle-consulting
BCM Standards und Good Practices
BCM Standards und Good Practices
haemmerle-consulting
Iso 22301 - der neue Standard für Business Continuity Management
Iso 22301 - der neue Standard für Business Continuity Management
haemmerle-consulting
Standards und good practices 20160325
Standards und good practices 20160325
haemmerle-consulting
kes BCM in der Supply Chain
kes BCM in der Supply Chain
haemmerle-consulting
BCM Strategien
BCM Strategien
haemmerle-consulting
BCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilft
Torsten Glunde
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Matthias Leisi
Compliance Organisation Health Check
Compliance Organisation Health Check
TALOSCommunications
Die Nachfolgeregelung
Die Nachfolgeregelung
WM-Pool Pressedienst
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
aloahe2
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Hans Ulrich Wiedmer
Revidiertes Geldwaeschereigesetz
Revidiertes Geldwaeschereigesetz
TALOSCommunications
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC - Christian Wild Management Consultants
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systems
arvato AG
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
Heiko Wrage
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
huoYan2
Geldinstitute - Bank Referenz
Geldinstitute - Bank Referenz
Wolfgang Schmidt
[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm
ICV_eV
Code of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei Versicherungsunternehmen
PPI AG
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
Symposia 360°
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC - Christian Wild Management Consultants
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
NETWAYS
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Agenda Europe 2035
World Disasters Report 2014
World Disasters Report 2014
haemmerle-consulting
BCI Counting The Cost
BCI Counting The Cost
haemmerle-consulting
Mais conteúdo relacionado
Semelhante a Audit des BCM
Compliance Organisation Health Check
Compliance Organisation Health Check
TALOSCommunications
Die Nachfolgeregelung
Die Nachfolgeregelung
WM-Pool Pressedienst
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
aloahe2
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Hans Ulrich Wiedmer
Revidiertes Geldwaeschereigesetz
Revidiertes Geldwaeschereigesetz
TALOSCommunications
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC - Christian Wild Management Consultants
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systems
arvato AG
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
Heiko Wrage
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
huoYan2
Geldinstitute - Bank Referenz
Geldinstitute - Bank Referenz
Wolfgang Schmidt
[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm
ICV_eV
Code of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei Versicherungsunternehmen
PPI AG
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
Symposia 360°
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC - Christian Wild Management Consultants
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
NETWAYS
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Agenda Europe 2035
Semelhante a Audit des BCM
(20)
Compliance Organisation Health Check
Compliance Organisation Health Check
Die Nachfolgeregelung
Die Nachfolgeregelung
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Revidiertes Geldwaeschereigesetz
Revidiertes Geldwaeschereigesetz
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Geldinstitute - Bank Referenz
Geldinstitute - Bank Referenz
[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance
05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm
Code of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei Versicherungsunternehmen
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Mais de haemmerle-consulting
World Disasters Report 2014
World Disasters Report 2014
haemmerle-consulting
BCI Counting The Cost
BCI Counting The Cost
haemmerle-consulting
BCM Glossary by BCI
BCM Glossary by BCI
haemmerle-consulting
World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014
haemmerle-consulting
Symantec Intelligence Report 2013
Symantec Intelligence Report 2013
haemmerle-consulting
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblick
haemmerle-consulting
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013
haemmerle-consulting
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinent
haemmerle-consulting
Global Climate Risk Index 2014
Global Climate Risk Index 2014
haemmerle-consulting
Supply chain-resilience-2013-en
Supply chain-resilience-2013-en
haemmerle-consulting
BCAW 2013 poster english
BCAW 2013 poster english
haemmerle-consulting
Tests und übungen
Tests und übungen
haemmerle-consulting
BCM Planung
BCM Planung
haemmerle-consulting
BCM Lifecycle
BCM Lifecycle
haemmerle-consulting
Krisenmanagement Case Study
Krisenmanagement Case Study
haemmerle-consulting
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattle
haemmerle-consulting
BCI Supply Chain Resilience 2012
BCI Supply Chain Resilience 2012
haemmerle-consulting
BCM Stakeholder Management
BCM Stakeholder Management
haemmerle-consulting
Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"
haemmerle-consulting
Kochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm news
haemmerle-consulting
Mais de haemmerle-consulting
(20)
World Disasters Report 2014
World Disasters Report 2014
BCI Counting The Cost
BCI Counting The Cost
BCM Glossary by BCI
BCM Glossary by BCI
World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014
Symantec Intelligence Report 2013
Symantec Intelligence Report 2013
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblick
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinent
Global Climate Risk Index 2014
Global Climate Risk Index 2014
Supply chain-resilience-2013-en
Supply chain-resilience-2013-en
BCAW 2013 poster english
BCAW 2013 poster english
Tests und übungen
Tests und übungen
BCM Planung
BCM Planung
BCM Lifecycle
BCM Lifecycle
Krisenmanagement Case Study
Krisenmanagement Case Study
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattle
BCI Supply Chain Resilience 2012
BCI Supply Chain Resilience 2012
BCM Stakeholder Management
BCM Stakeholder Management
Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"
Kochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm news
Audit des BCM
1.
17 © SecuMedia Verlags-GmbH
· 55205 Ingelheim · <kes> 2012# 6 Business-Continuity Management und Wissen BCM in der Supply Chain Was für die „Just-in-Time“-Produktion gilt, hat mittlerweile auch Einzug in Dienstleistungen und IT- Prozesse gehalten: die Abhängigkeit von einer Lieferkette (Supply-Chain). Erdbeben, Vulkanausbrüche (und in der Folge Aschewolken), Überschwemmungen, Tornados und politische Unruhen sind nur einige Beispiele, die in den letzten Jahren für erhebliche Verzögerungen, Liefereng- pässe und -ausfälle gesorgt haben. 73 % der Teilnehmer der Supply-Chain-Resi- lience-Studie 2012 des Business Continuity Institute haben angegeben, in den vorausgegangenen 12 Monaten mindestens eine Störung in der Lieferkette gehabt zu ha- ben, die zu Unterbrechungen im Unternehmen geführt hat [1] – 23 % der Befragten berichteten sogar über mehr als fünf Störungen im Betrachtungszeitraum. Als Haupt- ursachen der Unterbrechungen wurden IT-Ausfälle (52 % vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) und Service-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz- dienstleistungsbereich wurden IT- und Telekommummu- nikations-Ausfälle (45 %), Verletzung der Datensicherheit (13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet- terereignisse (11 %) als wesentliche Ursachen benannt. Liefernetzwerke Lieferketten gliedern sich in die vorgelagerte Lieferkette, die konzern- und unternehmensinterne Lieferkette sowie die dem Unternehmen nachgelagerte Lieferkette zum Kunden – eine ganzheitliche Betrachtung umfasstzudemsowohldasmehrstufigeLiefernetzwerkauf Zuliefererseite als auch das mehrstufige Liefernetzwerk zum Kunden. Für das BCM ist die Funktionsfähigkeit die- ser gesamten Konstruktion essenziell – bricht auch nur ein Glied in dieser Kette, kann dies zum Gesamtausfall führen. Auch im Dienstleistungsbereich hat sich aus öko- nomischen Gründen die Zergliederung der Produktion Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt Immer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio- naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerke gegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondern auch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nicht zuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutet dies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zu erweitern. in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt: Unternehmensintern werden Services durch Shared- Service-Center für den gesamten Konzern zentral erbracht – zunächst vornehmlich für IT-Dienstleistungen haben sie sich mittlerweile für viele administrative Funktionen durchgesetzt (z. B. Personalverwaltung, Rechnungswesen etc.). Im Ergebnis entstehen – zum Teil hochkomplexe – unternehmensinterne Lieferungs- und Leistungsbezie- hungen, die in Form von Service-Level-Agreements (SLA) vereinbart werden. Zudem hat sich auch eine Auslagerung von Sup- portprozessen im Rahmen des Outsourcings etabliert – etwa beim IT-Betrieb, der Telekommunikation (VoIP) oder sogar zentralen Wertschöpfungsprozessen wie Zahlungs- verkehr, Wertpapierabwicklung, Schadensbearbeitung, Reklamationen an spezialisierte Dienstleister et cetera. Auch die Lieferkette zum Kunden entwickelt sich immer stärker zum verzweigten Netzwerk von Servicepart- nern – so sind etwa Prüfungs- und Beratungsleistungen für den B2B-Geschäftsabschluss häufig unabdingbar oder im Finanzwesen Intermediäre zwischengeschaltet, große Kapitalmarkttransaktionen nur in Konsortien abbildbar. Der Wertschöpfungsprozess ist auf das reibungslose Zusammenwirken aller dieser Rollen angewiesen! Und das schwächste Glied dieser Kette bestimmt letztlich die Robustheit (Resilience) des Ganzen. Complianceanforderungen In bestimmten Branchen sind bereits gesetzliche oder regulatorische Anforderungen einschlägig. Beispiels- weise ist für Finanzdienstleister – auch in ihrer besonderen Bedeutung als Teil der kritischen Infrastruktur („Kritis“ – www.kritis.bund.de) – die Sicherstellung der Lieferkette entsprechend geregelt: Das Kreditwesengesetz (§ 25a KWG, vgl. [2]) erfasst im Rahmen der besonderen organi-
2.
18 © SecuMedia
Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 satorischen Pflichten von Instituten auch die ordnungs- gemäße Geschäftsorganisation bei „wesentlichen Ausla- gerungen“ – Institute müssen für diese wesentlichen Aus- lagerungen risikoorientiert „angemessene Vorkehrungen treffen,umübermäßigezusätzlicheRisikenzuvermeiden“ (siehe www.juris.de/purl/gesetze/KredWG_!_25a). Das Risikomanagement eines auslagernden Fi- nanzinstituts muss die ausgelagerten Aktivitäten und Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla- gerung ist im Rahmen einer Risikoanalyse zu bestimmen. Konkreter wird das in den „Mindestanforderungen an das Risikomanagement für Banken“ (MaRisk BA [3]) im „Allgemeinen Teil“ AT 9, für Investmentgesellschaften und Versicherer erfolgt dies in spezifischen Regelungen (InvMaRisk, MaRisk VA). Eine Auslagerung im Sinne der MaRisk liegt vor, „wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienst- leistungen oder sonstiger institutstypischen Dienstleis- tungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden“ – Auslagerungen im Sinne der MaRisk erfassen demzufolge nur einen Ausschnitt der Lieferkette eines Finanzdienstleisters. Nicht berücksichtigt sind alle Leistungen, die ein Institut nicht selbst erbringen würde, also etwa nicht-bankfachliche Dienstleistungen und Un- terstützungsprozesse (z. B. Datenerfassung). Sich bei der Notfallvorsorge für die gesamte Lie- ferkette (End to End) auf die wesentlichen Auslagerungen bestimmter Compliance-Kriterien zu beschränken, greift in der Regel zu kurz. Erst eine Business-Impact-Analyse (BIA) im Rahmen mit der expliziten Prüfung der Liefer- ketten verschafft eine solide Grundlage für das SCCM. Standards und Good Practices Passende Normen für das SCCM findet man so- wohl in Regelungen für das BCM als auch spezifischen Werken für das Outsourcing (s. u., vgl. Tab. 1). Good Practices des BCM liefern auf europäischer Ebene in erster Linie die „BCI Good Practice Guidelines 2010“ (bestellbar über www.thebci.org) – dieses ansonsten sehr gute BCM- Hilfsmittel bildet externe Dienstleister zwar als Ressource im BCM-Lebenszyklus ab, gibt aber leider keine spezi- fischen Hilfestellungen für das SCCM. Branchenspezifische Regelungen auf deutscher, europäischer und internationaler Ebene ergänzen diese Standards – hierzu gehören beispielsweise die europawei- ten Regelungen zum Outsourcing für Finanzdienstleister, namentlich die „EBA Guidelines on Internal Governance“ [4] und die „CEBS Guidelines on Outsourcing“ [5]. Ein hilfreicher Standard für die Ausgestaltung der Zusammenarbeit mit internen und externen Partnern ist zudem der BS 11000 „Collaborative business relation- ships“ (www.bsigroup.de): Der weltweit erste Collabo- ration-Standard enthält ein gesamthaftes Framework zur Beschreibung der wesentlichen Funktionen, die in der in- ternen und externen Zusammenarbeit mit Dienstleistern, Lieferanten und Kunden zu beachten sind. Acht Kapitel beschreiben den gesamten Lebenszyklus der Zusammen- arbeit (Awareness, Knowledge, Internal Assessment, Part- ner Selection, Working Together, Value Creation, Staying Together, Exit Strategy) – BCM und Exit-Strategien werden vor allem in den Vorgehensmodellen des Teil 2 „Guide to implementing“ behandelt. BCM-Normen BS 25999-1 und BS 25999-2 weisen noch einen starken Innenbezug auf die Organisation auf: In allen Phasen des BCM-Lebenszyklus sind Anforderungen an die Einbeziehung der kritischen Dienstleister und Zulieferer beschrieben, besonders hinsichtlich der Identifikation kritischer Dienstleister im Rahmen der BIA und des BCM- Audits der Dienstleister. Die beiden British Standards werden durch den im Mai 2012 veröffentlichten ISO-Standard 22301 „Societal security – Business continuity management systems – Requirements“ abgelöst. Er macht bereits durch seinen Titel deutlich, dass hier dem Umfeld der Organi- sation eine wesentlich höhere Bedeutung zugemessen wird: ISO 22301 führt hierzu die Rolle der „Interested Party“ ein, die alle Stakeholder des Unternehmens und die Lieferkette umfasst. Interested Parties finden in allen Phasen des BCM Berücksichtigung – und so schafft der Standard zumindest einen Anforderungskatalog für das SCCM. Die konkrete Ausgestaltung des „wie“ bleibt jedoch der noch zu veröffentlichenden ISO 22313 „Business continuity management systems – Guidance“ vorbehalten. Von deutscher Seite liefert das Bundesamt für Sicherheit in der Informationstechnik mit seinem BSI 100-4 einen Standard für das Notfallmanagement [6]. Für Behörden ist er verbindlich und bildet für deutsche Un- ternehmen generell eine gute Umsetzungsanleitung für das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenes Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigen Punkten, die bei der Vertragsgestaltung zu beachten sind sowie die Berücksichtigung des Outsourcing bei der Not- fallkonzeption. SCCM-Erläuterungen Ein umfassendes SCCM-Framework liefert das „Public Document“ des British Standards Institute Business-Continuity Management und Wissen
3.
19 © SecuMedia Verlags-GmbH
· 55205 Ingelheim · <kes> 2012# 6 PD 25222:2011 „Business conti- nuity management – Guidance on supply chain continuity“ (bestellbar über http://shop.bsigroup.com). Dieses erläuternde Dokument de- finiert einleitend die wesentlichen SCCM-Begrifflichkeiten und stellt die Bedeutung des Continuity- Managements für die Sicherung der Liefernetzwerke dar. Für die SCCM- Umsetzung gibt es einen konkreten Handlungsrahmen vor, der sich am BCM-Lifecycle des BS 25999 und der Good-Practice-Guidelines des BCI orientiert. So lässt sich SCCM sehr gut in ein bestehendes BCM-System einbinden. Das Konzept sieht die fol- genden Schritte in der Umsetzung vor: Management-Buy-in, Analyse der Supply-Chain (Festlegung des Scopes, Verständnis der Supply- Chain, Identifikation der kritischen Dienstleister), Festlegung von Strategien, Weiterentwicklung und laufender Betrieb sowie die Entwicklung einer lang-fris- tigen Resilience-Strategie. Framework fürs SCCM Nachfolgend wird basierend auf dem BCM-Lifecycle ein metho- disches Vorgehen zur SCCM-Imple- mentierung skizziert (vgl. Abb. 1). DieOrientierungamBCMerleichtert die Integration in ein bestehendes Business-Continuity-Management- System und ermöglicht die einfache Transformation in den PDCA-Zyklus der Zertifizierungs-Standards. SCCM-Programm-Manage- ment und Awareness Gegenstand des SCCM-Pro- gramm-Managements sind die Im- plementierung einer Organisation, von Prozessen für das SCCM sowie einer angemessenen Governance- Struktur – dokumentiert in einer SC- Abbildung 1: SCCM-Lifecycle auf Basis des BCM-Zyklus CM-Policy. SCCM entsteht nicht auf der „grünen Wiese“, daher ist die De- finition der Schnittstellen zu angren- zenden Bereichen elementar: Hierzu gehören beispielhaft Einkaufsab- teilungen, Vertriebsorganisation, Recht und Risikomanagement. Die Anbindung an die Unternehmens- strategie und das Commitment des Managements ist über eine SCCM- Policy sicherzustellen. Die zentralen Prozesse des SCCM bestehen aus den „technischen Disziplinen“ Analyse der Supply-Chain, Supply-Chain- Strategie, Implementierung sowie „Tests, laufende Aktualisierung und Monitoring“ (vgl. Abb. 1). Zudem sinddieEinbindungindieUnterneh- menskultur und Awareness-Bildung für das SCCM als dauerhafter Prozess vorzusehen – letztlich bedeutet dies, dass alle relevanten Rollen die Be- deutung des SCCM kennen und in ihren Entscheidungsprozessen mit berücksichtigen. Analyse der Supply-Chain Diese Phase ist der wesent- liche Ausgangspunkt zur Umsetzung eines SCCM; ihre Ziele sind die IdentifikationkritischerDienstleister sowie die Analyse der Risiken für die Supply-Chain im Rahmen eines laufenden Risk-Assessments. Bei der Identifikation der kritischen Dienst- leister in der Wertschöpfungskette ist die BCM-Business-Impact-Analyse (BIA) eine wesentliche Informa- tionsquelle, da in ihrem Rahmen die kritischen Zusammenhänge der Wertschöpfungskette erhoben werden. Neben der Analyse der Abhängigkeiten der Prozesse von Dienstleistern ermittelt die BIA auch die maximal zu akzeptierenden Ausfallzeiten für die Ressourcen (Recovery-Time-Objective, RTO). Die BIA kann für das SCCM daher die Zeitkritikalität für die Prozesse bezogen auf die Dienstleister liefern (vgl. Abb. 2). Neben der BIA sind jedoch auch weitere Kriterien heranzuzie- hen – die „Supply Chain Resilience Tabelle 1: Relevante Normen und Standards zum SCCM Norm Inhalte zum Supply Chain Continuity Management BS 2599-1, BS 25999-2 • BCM-Standard (zertifizierbar) • British Standards BSi • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle ISO 22301 • BCM-Standard (zertifizierbar) • ISO • Supply-Chain wird in der Rolle „Interested Party“ durchgehend berücksichtigt BSI-Standard 100-4 • BCM-Standard (nicht zertifizierbar) • Bundesamt für Sicherheit in der Informationstechnik BSI • Outsourcing wird in einem eigenen Kapitel “Outsourcing und Notfallmanagement” behandelt BCI Good Practice Guidelines 2010 • Good Practices für BCM des Business Continuity Institute BCI • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle BSI 11000 • Collaborative business relationships • BCM-Standard (zertifizierbar) • British Standards BSi • Risiko- und Business-Continuity- Management im gesamten Lebenszyklus des Partner- Management PD 25222:2011 • Good Practice Supply Chain Continuity Mgt. (nicht zertifizierbar) • British Standards BSi • Supply-Chain wird in der Rolle „Interested Party“ durchgehend berücksichtigt
4.
20 © SecuMedia
Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Business-Continuity Management und Wissen Abbildung 2: Dependenzenana- lyse im Rahmen der Business-Impact- Analyse des BCM (das Recovery- Time-Object – ROT – bezeichnet die maximal tolerier- bare Ausfallzeit) Survey 2011“ des BCI hat hier die folgenden Punkte identifiziert: Reputational Impact (57 %), Financial Impact of Non-Supply over a Period of Time (54 %), Regulatory Impact (50 %), Availability of other Suppliers (50 %), Spend (49 %), Location of Supplier (43 %), Key People / Knowledge involved (41 %), Bespoke Nature of Product / Service supplied (37 %), Speed of change to alternative Supplier (35 %), Interdependencies with other Suppliers (28 %), Maturity of the Industry (21 %). Im Rahmen eines Risk- Assessments sind überdies die wesentlichen Risiken auf die Wert- schöpfungskette zu analysieren und, sofern erforderlich, zu mitigieren (vgl. Tab. 2). Ungeplante ITK-Aus- fälle (52 %) und Wetterereignisse (48 %)warennachErkenntnissender Teil-nehmer der „BCI Supply Chain Resilience Studie 2012“ die Haupt- ursachen für Unterbrechungen in der Lieferkette. Mit großem Abstand folgten Serviceausfälle von Dienst- leistern (32 %). Branchenspezifisch zeigt die Studie jedoch ein anderes Bild für die Ursachen: Im Finanz- Tabelle 2: Risiken der Supply-Chain Risikokategorien Ausprägungen Rechtsrisiken • Betriebsschließungen • Einstweilige Verfügungen Politische Risiken • Politische Instabilität / Unruhen • Grenzschließungen • Zölle und Tarife • Aus- und Einfuhrbestimmungen • Gesetzesänderungen Betriebswirtschaftliche • Insolvenz des Lieferanten Risiken • Übernahmen / Zusammenschlüsse • Änderungen im Produktionsprogramm • Lieferunterbrechung in der davorliegenden Lieferkette (Tier Two) Technische Risiken • Technische Störungen / Ausfälle • IT-Ausfälle • Mitarbeiterausfälle • Qualitätsprobleme / Produktrückruf • Kontamination Umweltrisiken • Naturkatastrophen • Klima / Wetter • Pandemien / Epidemien • Unterbrechung von Transport / Verkehr Soziale Risiken • Streik • Sabotage • Kriminelle Handlungen, Terrorismus, Piraterie dienstleistungsbereich waren bei- spielsweise ungeplante IT-Ausfälle, Datenverlust und Dienstleisteraus- fälle die Top-3-Risiken, während sich in der Produktion vor allem Wechselkurse,EnergieundWetterals Ursachen gezeigt haben. Zur Mahnung: 61 % der Unterbrechungen in der Lieferkette wurden der Studie zufolge durch ei- nen Tier-1-Dienstleister verursacht, 32 % durch Tier-2-Dienstleister und 7 % auf der dritten Ebene der Dienst- leisterbeziehungen. Es reicht also nicht aus, nur die direkt beauftragten Dienstleister in seine Risikobetrach- tung einzubeziehen. SSCM-Strategien FürRisikostrategienimSSCM bestehen die folgenden Optionen: Akzeptieren der Risiken (z. B. bei geringen Risiken), Vermindern der Risiken durch Maßnahmen, Übertragen der Risiken (auf Versicherungen oder Dienstleister) sowie Vermeidung der Risiken (z. B. durch Verzicht auf Produkte oder Dienst- leistungen). Anforderungen des SCCM müssen bereits sehr früh bei der Vertrags- gestaltung mit Dienstleistern be- rücksichtigt werden. Hierzu zählen Anforderungen an die Ausgestaltung des BCM des Dienstleisters, eine Ab- stimmung von Notfall- und Krisen- managementkonzepten, Prüf- und Einsichtrechte für das BCM sowie gewünschte Zertifizierungen. Zudem sind Berichts- und Meldewesen für die laufende Dienstleisterbeziehung, aber auch für Notfälle und Krisen beim Dienstleister und Auftraggeber festzulegen – hierzu zählt nicht zu- letzt die Definition von Eskalations- stufen (z. B. Störung, Notfall, Krise), da diese nicht einheitlich verwendet werden (vgl. Kap. 10 in [6]).
5.
21 © SecuMedia Verlags-GmbH
· 55205 Ingelheim · <kes> 2012# 6 Implementierung Grundlage für den Übergang eines SCCM in den laufenden Betrieb sind die in der SCCM-Policy geregel- ten Vorgaben für Organisation und Prozesse. Zum laufenden Betrieb ge- hört die Umsetzung der festgelegten SCCM-StrategienfürdieDienstleister, das laufende SCCM-Berichtswesen sowie regelmäßige Überprüfungen/ Audits bei den Dienstleistern (vgl. Tab. 3). Die beispielsweise im Finanz- dienstleistungsbereich regulatorisch vorgeschriebene Abstimmung der Notfallkonzepte gehört ebenso dazu wie Einrichtung, Pflege und Tests von Alarmierungs- und Kommunikati- onswegen bei Störungen, Notfällen und Krisen. Eine Abstimmung der Notfallkonzeptemussgegebenenfalls auf mehreren Ebenen erfolgen – ihr UmfanghängtvonderKritikalitätdes Dienstleisters ab. Test, Aktualisierung, Monitoring Die Funktionsfähigkeit der SCCM-Konzepte lässt sich letzt- lich erst durch Tests und Übungen überprüfen und nachweisen – diese sollten sowohl Notfälle beim Dienst- leister,NotfällebeimAuftraggeberals auch Katastrophen mit gemeinsamer Betroffenheit umfassen. Alarmie- rungs- und Eskalationsverfahren sowie die hierfür eingesetzten Tools sollte man regelmäßig testen und auf Aktualität der Kontaktdaten hin prüfen. Regelmäßige „Jour Fixes“ mit den kritischen Dienstleistern fördern zudem die Zusammenarbeit und das gemeinschaftliche Denken und Handeln. Audits von Wirtschafts- prüfungsgesellschaften und Bera- tungsunternehmen oder auch Zer- tifizierungen nach internationalen Standards geben darüber hinaus Hinweise auf den Reifegrad des BCM-Systems von Dienstleistern. Sie ersetzen jedoch nicht die bila- terale Zusammenarbeit, da solche Audits und Zertifizierungen in der Regel keine konkreten Hinweise auf die spezifischen Auswirkungen von Ausfällen auf die eigene Dienstleis- tungsbeziehung geben. Fazit Supply-Chain-Continuity- Management (SCCM) ist eine junge Disziplin, die angesichts des zuneh- menden Outsourcings in allen Bran- chen eine wachsende Bedeutung gewinnt. Viele Ereignisse der letzten Jahre (z. B. Fukushima, Thailand- Überschwemmungen, Aschewol- ken) haben die Notwendigkeit der Weiterentwicklung dieses Themas für alle Branchen aufgezeigt. Teils erfordern bereits gesetzliche und regulatorische Normen seine Orga- nisationundentsprechendeProzesse – auch bei externen Audits gerät SCCM zunehmend in den Fokus der Prüfungen. Standards und Good Practices für seine konkrete Umset- zung liegen jedoch erst rudimentär vor und müssen aus der Praxis heraus fortentwickelt werden. ■ Matthias Hämmerle übernimmt bei der Automation Consulting Group (ACG) GmbH in Frankfurt ab Januar 2013 die Leitung des neu gegründeten „Com- petence Center Business Continuity Management“.Dr.Klaus-RainerMüller, der bisher auch für BCM verantwortlich war, spezialisiert sich künftig auf die Themen IT-Sicherheit, Sourcing und Provider-Management. Tabelle 3: Abstimmung des SSCM mit Dienst- leistern Alarmierung und • Abstimmung von Begrifflichkeiten: Eskalation Definition von „Störung“, „Problem“, „Ausfall“, „Notfall“, „Krise“, „K-Fall“ • Dokumentation der Ansprechpartner und Kommunikationsdaten • Festlegung der Meldewege • De-Eskalation Krisenmanagement • Abstimmung der Krisenstabsorganisationen • Festlegung gegenseitiger Teilnahme oder Informationsaustausch Notfallkonzepte • Beidseitige Abstimmung der Notfallkonzepte (Handlungsoptionen und -verfahren) Geschäftsfortführungs- • Abstimmung von Notfallplänen und Wiederanlaufpläne Test- und Übungspläne • Abstimmung der Test- und Übungspläne (inhaltlich und zeitlich) • Abstimmung von Begrifflichkeiten Literatur [1] Business Continuity Institute (BCI), Supply Chain Resilience 2012, www.thebci.org/index. php?option=com_content&view=ar ticle&id=341&Itemid=201 [2] Sonja Mohr, Outsourcing nach Bankenart, § 25a KWG als Grund- lage für sichere IT-Dienstleistungen, <kes> 2005# 6, S. 85 [3] Bundesanstalt für Finanzdienst- leistungsaufsicht(BaFin),Mindestan- forderungen an das Risikomanage- ment (MaRisk BA), www.bafin.de/ SharedDocs/Veroeffentlichungen/ DE/Rundschreiben/rs_1011_ba_ma- risk.html [4] European Banking Authority (EBA), Guidelines on Internal Gover- nance (GL 44), www.eba.europa.eu/ Publications/Guidelines.aspx [5] Committee of European Banking Supervisors (CEBS), Guidelines on Outsourcing, www.eba.europa.eu/ getdoc/f99a6113-02ea-4028-8737- 1cdb33624840/GL02Outsourcing- Guidelines-pdf.aspx [6] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Stan- dard 100-4: Notfallmanagement, www.bsi.bund.de/ContentBSI/Pu- blikationen/BSI_Standard/it_grund- schutzstandards.html
Baixar agora