Aufrufe
vor 5 Jahren

die bank 12 // 2015

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT

ó BETRIEBSWIRTSCHAFT Herausforderung für Notfallbeauftragte OUTSOURCING Kreditinstitute sind nach den Mindestanforderungen für das Risikomanagement in Kreditinstituten (MaRisk) gemäß AT 7.3 verpflichtet, für kritische Geschäftsprozesse ein Notfallkonzept einzuführen und ein Business Continuity Management System (BCMS) zu etablieren. Aufgrund komplexer Auslagerungskonstellationen liegen wichtige Geschäftsprozesse oder Teilprozesse oft nicht mehr in der Hand der Institute und erstrecken sich über eine lange Kette von Dienstleistern. Da die Verantwortung letztlich aber immer beim auslagernden Kreditinstitut bleibt, muss sichergestellt werden, dass das Notfallkonzept der Dienstleister bei kritischen Geschäftsprozessen den von der Bank definierten Mindestanforderungen entspricht und mit dem Notfallkonzept der Bank abgestimmt ist. Doch wann gilt ein Notfallkonzept als abgestimmt? Martin Rohrer | Rolf von Rössing Keywords: Notfallmanagement, MaRisk AT 7.3, Outsourcing Finanzinstitute stehen regelmäßig vor großen Herausforderungen. An sie werden Anforderungen hinsichtlich des Risikomanagements gestellt, ohne dass ausreichend beschrieben wird, wie einzelne Begriffe auszulegen bzw. anzuwenden sind. Ein Beispiel dafür ist die Anforderung für Notfallkonzepte nach MaRisk AT 7.3 TZ 1: „Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.“ Wie und in welchem Umfang eine Abstimmung erfolgen muss, und ab wann ein Prozess als kritisch gilt, wird dabei nicht näher beschrieben. Es liegt in der Verantwortung der Bank, entsprechende Regelungen umzusetzen. In diesem Zusammenhang muss AT 7.2 TZ 2 mit in Betracht gezogen werden. Hier entsteht die Forderung nach der Verwendung von anerkannten Standards bei der Ausgestaltung von IT-Systemen und den dazugehörigen Prozessen. Dies ist sinngemäß auch auf AT 7.3 anzuwenden. Als anerkannt gelten beispielhaft Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder internationale Standards nach ISO / IEC. Für den Bereich BCM sind speziell BSI 100-4 und ISO 22301 zu nennen u. a. m. Fälschlicherweise wird Notfallmanagement oft als reines IT-Thema verstanden. IT Service Continuity Management (IT- SCM) ist jedoch nur eine Teilmenge des Notfallmanagements. Diese aus den 1990er-Jahren überlieferte Sichtweise ist im deutschsprachigen Raum noch immer verbreitet, obwohl die BaFin wie auch ausländische Aufsichtsbehörden schon in den Jahren 2003 bis 2006 die Fortführung des Bankgeschäfts als zentrale Aufgabe in den Vordergrund stellten. Nicht ohne Grund unterscheidet auch die allgemeine Normung zwischen dem eigentlichen Notfallmanagement und dem IT-bezogenen Spezialfall. Anforderungen an ein Notfallkonzept Nach den Vorgaben des BSI 100-4 beinhaltet der Notfallmanagement-Prozess die Notfallvorsorge, die -bewältigung und die -nachsorge. Neben den inhaltlichen Teilen des Notfallmanagements wird zusätzlich die Aufrechterhaltung und kontinuierliche Verbesserung des Notfallmanagement-Prozesses explizit beschrieben. In jüngster Zeit wird diese Forderung durch die neue Gesetzgebung zur Informationssicherheit verstärkt, da für kritische Infrastrukturen – zu denen auch Kreditinstitute zählen können – eine Prüfung des BCM seit dem ersten Referentenentwurf des Gesetzes explizit vorgesehen ist. Grundlage für die Notfallkonzepte sind die Informationen aus der Business Impact Analyse (BIA), die auf Ebene der Geschäftsprozesse erfolgt und kritische Ressourcen wie IT-Applikationen mit einbezieht. Zeitkritische Aktivitäten müssen dabei priorisiert behandelt werden. Ein wichtiger Bestandteil ist die Erhebung, welche Prozesse oder Ressourcen ausgelagert sind und welche Auswirkungen ein Ausfall der ausgelagerten Bereiche haben kann. Basierend auf diesen Informationen kann ein risikobasierter Ansatz bei der Abstimmung der Notfallkonzepte angewendet werden, um den Fokus auf die kritischen und sehr kritischen Ressour- 44 diebank 12.2015

BETRIEBSWIRTSCHAFT ó cen zu legen. Gerade bei geringen BCM- Reifegraden muss die Einschätzung der Kritikalität häufig aufgrund der Erfahrung der handelnden Personen erfolgen, weil oft noch keine belastbaren Daten vorliegen. Abstimmung von Notfallkonzepten Für die Abstimmung von Notfallkonzepten ist es erforderlich, entsprechende Vorgaben zu definieren und dafür ein standardisiertes, den spezifischen Anforderungen der Bank angepasstes Prüfprogramm zu verwenden. Damit kann sowohl ein einheitliches Vorgehen für die Abstimmung sowie eine entsprechend hochwertige, den Anforderungen der Bankenaufsicht genügende Dokumentation vorgelegt werden. Da weder gesetzliche, regulatorische noch genormte Vorgaben zur Abstimmung von Notfallkonzepten vorliegen, können die Konformität, die Verzahnung, die Robustheit und die Weiterverlagerung an Subunternehmer wesentliche Anhaltspunkte bei der Erstellung einer Definition und eines Prüfprogramms geben. Das Thema Konformität beschäftigt sich mit den formalen Vorgaben an das Notfallmanagement. Als Ausgangsbasis sollten bei Auslagerungen trotzdem die internen Vorgaben Anwendung finden. Lautet die interne Vorgabe, dass sich das eigene Notfallkonzept an den Vorgaben des Standards BSI 100-4 orientieren muss, sollte das Notfallkonzept des Dienstleisters von ebenbürtiger Qualität sein. Nur Störung oder schon Notfall Baut der Dienstleister sein Notfallkonzept nicht nach den Vorgaben anerkannter Standards auf, ist eine detaillierte Gegenüberstellung der Anforderungen der Bank und der Inhalte des Dienstleister- Notfallkonzepts erforderlich, um strukturelle Lücken zu identifizieren und zu bewerten. Hierzu zählt auch eine formale Definition wichtiger Begriffe, um ein einheitliches Verständnis darüber zu erlangen, ob nur eine Störung oder schon ein Notfall vorliegt. Diese formalen „Kleinigkeiten“ können im Ernstfall einen wesentlichen Unterschied machen, z. B. auch, weil unterschiedliche Organe zu verständigen sind. Die Definition im Notfallkonzept kann im Nachgang wesentlichen Einfluss auf Schadensersatzansprüche haben, da ein Gericht auf die Definitionen im Notfallkonzept abstellen könnte. Dies könnte nachteilig für das Kreditinstitut ausgelegt werden. Dieses Beispiel macht deutlich, wie sehr im Nachgang einer Krisensituation mit vielfältigen Rechtsansprüchen zu rechnen ist, die sowohl von außen als auch von innen gegenüber dem Kreditinstitut geltend gemacht werden. Regelmäßig stehen dabei auch die Organe der Gesellschaft unter Beobachtung, da ihr Krisenmanagement als entscheidend für die Minderung allfälliger Schäden und Auswirkungen wahrgenommen wird. Zahlreiche Krisensituationen der Vergangenheit deuten darauf hin, dass die Kernfrage „Hatte die oberste Führung Kenntnis, und hatte sie jederzeit die Kontrolle über die Dinge?“ zumindest potenziell äußerst weitreichende Konsequenzen haben kann. Die eigentliche Ursache und die zwangsläufig bestehende Unsicherheit während einer Krise spielen im Nachgang erfahrungsgemäß eine geringere Rolle. Neben diesen Formalaspekten ist eine entsprechende Verzahnung der Notfallkonzepte des Kreditinstituts und des Dienstleisters von elementarer Bedeutung, damit eine Wiederherstellung im Notfall in angemessener Zeit und Qualität erfolgen kann und der Notbetrieb ebenfalls die Mindestanforderungen erfüllt. Dabei geht es zum einen um die Definition von spezifischen Kennzahlen wie Recovery Point Objective (RPO), Recovery Time Objective (RTO) oder Minimum Acceptable Service Level (MASL) sowie Maximum Tolerable Period of Downtime (MTPD). Das setzt jedoch voraus, dass die Bank diese Kennzahlen im Rahmen der Business Impact Analysen (BIA) und der Folgetätigkeiten ermittelt hat. Darüber hinaus bedeutet Verzahnung auch, dass entsprechende Schnittstellen zwischen fl Aufgrund komplexer Auslagerungskonstellationen liegen wichtige Geschäftsprozesse oder Teilprozesse oft nicht mehr in der Hand der Institute. dem Dienstleister und der Bank definiert und funktionsfähig sind. Die effiziente und effektive Verständigungskette ist einer der wesentlichsten Bestandteile im Notfallmanagement. Um ein Notfallkonzept tatsächlich zum Leben zu erwecken, bedarf es entsprechender Tests und Übungen. Die Robustheit eines Plans kann erst gewährleistet werden, wenn der Plan entsprechend getestet wurde. Im Rahmen eines kontinuierlichen Verbesserungsprozesses sollten Erkenntnisse aus solchen Tests in die Notfallkonzepte übernommen werden, um ein Planversagen im Notfall möglichst ausschließen zu können. In der Praxis ist zu beobachten, dass genau dieses Element eines BCM häufig nur eingeschränkt vorhanden ist. Dieser Umstand ist immer wieder Gegenstand von Prüfungsberichten der Aufsicht. Faktisch nimmt die Komplexität der Auslagerungsketten immer weiter zu. Um Skaleneffekte nutzen zu können, bedarf es einer gewissen Spezialisierung der Unternehmen, was auch die Auslagerungsunternehmen zwingt, einzelne Tätigkeiten durch Dritte durchführen zu lassen. Dies stellt die Notfallbeauftragten der Bank vor die Herausforderung, auch die 12.2015 diebank 45

die bank