Anforderungen an das externe Reporting des Notfallmanagements

Im nachfolgenden Gastbeitrag geht der Autor Torsten Zacher auf die Anforderungen an das externe Reporting des Notfallmanagements ein. Torsten Zacher beleuchtet die unterschiedlichen Quellen der Anfragen sowie die rechtlichen und regulatorischen Rahmenbedingungen für das Reporting.

Ausgangslage

Kreditinstitute erhalten in letzter Zeit vermehrt Anfragen zu einem Reporting über die Notfallkonzepte. Diese werden mit der Wesentlichkeit der Auslagerung begründet. In einigen Fällen wird keine Begründung angegeben.

Ein kurzer Blick auf die Anforderungen lässt schnell erkennen, dass diese auf inhomogenen rechtlichen Anforderungen basieren. Doch welche Folgen ergeben sich hieraus für das externe BCM-Reporting? Welche Informationen muss das anfragende Unternehmen erhalten?

Wie kann der Begriff des Outsourcings in diesem Rahmen definiert werden?

Welchen Input kann die MaRisk, insb. die AT 9 und das KWG geben und was sagen die Standards BSI 100-4 und die ISO 22301 zu den Anfragen? Dieses wird im folgenden Artikel untersucht.

Im ersten Schritt sollten die verschiedenen Anfragen kategorisiert werden, um zu definieren, wie die anfragenden Unternehmen angemessen informiert werden und es wird der Begriff definiert, was eine Auslagerung ist.

Es werden nur die Anforderungen an das Reporting untersucht und nicht weitere Forderungen, die sich aus der MaRisk, der ISO 22301 usw. ergeben. Unter anderem wird auf Themen wie Prüfrechte nicht weiter eingegangen.

Kategorisierung der Anfragen

Zum weiteren besseren Verständnis werden folgenden Anfragen kategorisiert[1]:

Nr. Begründung Anforderung Rechtliche Basis MaRisk Bewertung (AT9)
1 keine spezifischen Anforderungen kein vorliegender spezifischer Geschäftsvertrag,
  • in der Regel aufgrund Anforderungen des Wirtschaftsprüfers
  • des Geschäftspartners und
  • der eingängigen Gesetze (AktG, GmbHG, KonTraG, usw.), insbesondere der Sorgfaltspflicht und des Risikomanagements
keine Auslagerung im Sinne der MaRisk AT 9
2 Anfragen gem. KWG § 25a allgemeine Auslagerung, jedes Kreditinstitut hat gem. KWG § 25a Auslagerungen zu überwachen keine wesentliche Auslagerung im Sinne der MaRisk AT 9
3 Risikomanagement gem. MaRisk AT 9 (KWG § 25b ) Kreditinstitut hat unter Risikoaspekten die Auslagerung als wesentlich gem. KWG/MaRisk bewertet; an diese Auslagerungen gelten höhere Anforderungen an die Überwachung und Prüfrechte wesentliche Auslagerung im Sinne der MaRisk AT 9
4 SLA/zeitkritische Prozesse gem. MaRisk AT 7.3 Erfordernis der abgestimmten Notfallkonzepte.Detaillierter Vertrag mit zugrundeliegendem SLA. Konkretes Reporting aufgrund der Vertragsinhalte konkrete vertragliche Vereinbarung, Wesentlichkeit kann vorliegen

Tabelle 1: Kategorisierung der Anfragen

Die Tabelle zeichnet die Sicht der externen Unternehmen. Die ersten drei Anfragen sind konkrete rechtliche Anforderungen. Für alle Anfragen auf Basis des KWG § 25b können hierüber hinaus weitere Anforderungen an Prüfrechte gestellt werden.

Das Reporting sollte im letzten Punkt konkret in einem Vertragswerk vereinbart werden.

Die Anfragen, die auf Anforderungen der Risikomanagements (1-3) basieren, sind meistens nicht trennscharf von der MaRisk AT 7.3 (Tabelle Punkt 4) abgegrenzt. Häufig wird bei Anfragen konkret nach weitergehenden Informationen zu den Notfallkonzepten gefragt.

Rechtliche Grundlagen sind identifiziert, doch was bedeutet in diesem Zusammenhang Outsourcing? Häufig wird ja argumentiert, dass der Geschäftspartner kein Anrecht auf Informationen und ein Reporting hat, da ja kein Vertrag, insbesondere kein Service Level Agreement, vorliegt.

Definition der Auslagerung/Outsourcings

Outsourcing wird aus den englischen Begriffen out und source („von außerhalb beziehen“) abgeleitet.

Es wird also eine Leistung von außerhalb der Unternehmung bezogen. Wenn der Unternehmensprozess ohne diese externe Leistung nicht ausgeführt werden kann, hat das auslagernde Unternehmen eine Sorgfaltspflicht, dieses Risiko angemessen zu steuern. Hierzu muss unbedingt ein regelmäßiges Reporting stattfinden.

Im Sinne der MaRisk liegt eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutsspezifischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden.

Der Begriff Outsourcing ist durch diese Definitionen bewusst weit gefasst.

MaRisk AT 9 und KWG § 25 a und b

Um die anfragenden Unternehmen besser zu verstehen, ist es notwendig, Teile der MaRisk AT 9 und dem KWG § 25 a und b zu analysieren.

Sowohl die ersten beiden Positionen (Nr. 1 und 2) in der Tabelle 1 als auch Nummer 3 basieren auf dem klassischen Risikomanagement und der Sorgfaltspflicht der Geschäftsleiter. In der MaRisk AT 9 in Verbindung mit dem KWG § 25 b werden konkrete Anforderungen für wesentliche Auslagerungen an diese Sorgfaltspflichten definiert. Diese Regelungen sind sehr umfassend. Die ersten beiden Positionen (Nr. 1 und 2) können unter dieser Nummer 3 subsumiert werden, da das Auslagerungscontrolling durchgeführt werden muss.

Die MaRisk zielt in der AT 9 Outsourcing auf das Risikomanagement ab; die (wesentlichen) ausgelagerten Aktivitäten und Prozesse sind angemessen zu steuern und zu überwachen. Hierzu müssen die ausgelagerten Tätigkeiten in das Risikomanagement des auslagernden Instituts einbezogen werden.

Für alle anderen Auslagerungen ist der § 25 a Abs. 1 KWG maßgeblich. Es werden die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gefordert. Insbesondere umfasst die Ordnungsmäßigkeit ein angemessenes und wirksames Risikomanagement. Das Risikomanagement inkludiert immer die Notfallkonzepte.

Für beide Fälle steht fest, dass das laufende Auslagerungscontrolling auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien umfasst. Ein regelmäßiges Reporting, auch über die Wirksamkeit und die Angemessenheit des Notfallkonzeptes ist hieraus ableitbar. Basisinformationen zum Notfallmanagement müssen immer berichtet werden.

Um mögliche Reportinginhalte zu identifizieren, ist in den gängigen BCM-Standards zu recherchieren.

BSI 100-4

Der BSI 100-4 nennt in Kapitel 10 einige Punkte zu den Themen Outsourcing und Notfallmanagement sowie Informations- und Reportinginhalte:

  • „Die eigene Institution benötigt Informations- und Prüfungsrechte beim Outsourcing-Dienstleister, damit die Interne Revision oder durch die Institution benannte externe Prüfer dort Revisionen durchführen können.
  • Die Meldepflichten des Dienstleisters sind festzulegen und zu konkretisieren. So sind beispielweise Änderungen im Notfallmanagement, in den Notfallkonzepten oder bei den Ansprechpartnern, die die ausgelagerten Prozesse betreffen, dem Auftraggeber mitzuteilen. Dieses gilt auch für den umgekehrten Fall.
  • Der Dienstleister muss regelmäßig über den aktuellen Stand und Vorkommnisse berichten, wie Ergebnisse von Revisionen oder aufgetretene Probleme mit Bezug zum Notfallmanagement.
  • Der Auftragnehmer sollte Daten über die Dienstleistungsgüte kontinuierlich bereitstellen (z. B. aus dem Help-Desk) oder dem Auftraggeber entsprechende Rechte zum Monitoring einräumen.
  • Der Dienstleister ist verpflichtet, den Auftraggeber über Entwicklungen bei sich zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Prozesse beeinträchtigen könnten,
  • […]“

Festzuhalten ist, dass der BSI 100-4 mögliche Reportinginhalte liefert.

ISO 22301

Wenn sich das Unternehmen einem Standard wie dem ISO 22301 verpflichtet, haben die Unternehmen aus diesem Grund allein Auskünfte zu erteilen. Alle Anfragen laufen unter dem Begriff der „interested parties“. Der ISO Standard erwartet, dass über die „interested parties“ eine tiefergehende Analyse stattfindet.

Jedes Unternehmen das eine Dienstleistung bereitstellt, muss sich aus eigenem Antrieb Gedanken machen, was die „interested parties“ benötigen, so auch zum Thema Reporting.

Damit ist jede mögliche Anfrage im Rahmen einer tiefergehenden Analyse bereits abgedeckt und zwar bevor diese gestellt wird. Diese Analyse ist aktiv von jedem Unternehmen durchzuführen, die sich der ISO 22301 verschrieben haben.

Die ISO 22301 erwartet zusätzlich eine gewisse Messbarkeit beim Thema BCM. Ein rein qualitatives Reporting ist daher auf Dauer nicht ausreichend.

Mögliche Inhalte, die sich aufgrund der Analyse ergeben können, liefert der BSI 100-4.

Würdigung

Aufgrund der vorliegenden Rechtslage, insbesondere der allgemeinen Sorgfaltspflicht und des Risikomanagements, müssen Unternehmen über ausgelagerte Prozesse umfassend informiert werden. Das Risikomanagement bezieht sich auf alle geschilderten Fälle.

Folgende Abhängigkeiten können für erhöhte Anforderungen an die Reportinginhalte identifiziert werden:

  • Reifegrad des BCM
  • Größe des Unternehmens das die Dienstleistung ausführt
  • Systemrelevanz der Banken
  • Unternehmen der kritischen Infrastruktur (KRITIS)

Anmerkung: Insbesondere sind bei Verwendung der ISO 22301 durch die Geschäftsleitung die „objectives“ für Reportinginhalte festzulegen.

In einem frühen Stadium eines Reifemodells des BCM ist ein Basisreporting mit geringem Umfang akzeptabel.

Reportinginhalte

Möglichen Input für ein Reporting für den Passus Notfallmanagement liefert der BSI 100-4. Der BSI 100-4 fordert für den Fall einer Auslagerung viele Informationsrechte vom Dienstleister.

Anmerkung: Eine Unterscheidung nach den verschiedenen Reifegraden findet nicht statt.

Gliederung Reporting:

  • Einleitung
    • Ausrichtung nach Standard (für Unternehmen mit internationalem Hintergrund ISO 22301), wenn vorhanden Zertifizierungsnachweis
    • Ergebnisse aus den Prüfungen/Audits
    • Revisionsfeststellungen
    • Veränderungen der Abläufe, die ausgelagerte Prozesse betreffen
    • Ausfallszenarien
    • Kritikalitätsstufen
  • Ansprechpartner
  • Störungen und Notfälle
    • Reaktiv abgewickelte Notfälle
    • Besondere Vorkommnisse und Ereignisse
  • Tests und Übungen
    • Durchgeführte BCM Übungen
    • Alarmierungsübungen
    • Gebäuderäumungen
  • Präventive Notfalldokumentation/Schriftlich fixierte Ordnung
  • Daten zur Dienstleistungsgüte
    • quantitative Faktoren zur Steuerung, SLA Einhaltungen usw.
  • Ausblick

Dieses Reporting sollte als Standard für Anfragen jeglicher Art zum Thema Outsourcing (Notfallmanagement) zur Verfügung stehen.

Zusätzlich sollte jedes Unternehmen die qualitativen Faktoren zur Dienstleistersteuerung nicht vernachlässigen.

  • Qualitative Faktoren
    • Expertenwissen Dienstleister
    • Kontinuität der Ansprechpartner
    • Fachwissen/Erfahrungen eigene Mitarbeiter
    • Abhängigkeit vom Dienstleister
    • Umgang mit Reklamationen
    • Betriebsklima
    • Strategiewechsel Insourcer
    • (schlechte) Presse des Insourcers

Diese qualitativen Faktoren werden im Zuge einer systematischen Dienstleistersteuerung erhoben. Jeder gute Dienstleister sollte diese Informationen bereitstellen.

Die Einsichtnahme vertraulicher Dokumente (beispielsweise in Geschäftsfortführungspläne) „vor Ort“ runden das Reporting ab.

Im Falle der Auslagerung von zeitkritischen Aktivitäten und Prozessen müssen Kreditinstitute gemäß MaRisk AT 7.3 nachweisen, dass die Notfallkonzepte abgestimmt sind. Hier sollten auch die RTO, MBCO und RPO der ausgelagerten Prozesse beschrieben werden.

Empfehlung

Wenn die Unternehmen das laufende Auslagerungscontrolling konsequent durchführen, ist ein umfassendes Standardreporting auch zum Thema Notfallmanagement notwendig. Anfragen hierzu basieren aufgrund der Anforderungen an die Sorgfaltsplicht der jeweiligen Unternehmensleitungen und der Verpflichtung, dem Risikomanagement nachzukommen.

Es gilt hierbei der Grundsatz, je größer das eigene Unternehmen und vielschichtiger die Geschäfte mit anderen Unternehmen sind, desto aufwendiger ist das Reporting zum Thema Notfallmanagement.

Für wesentliche Auslagerungen sollten besondere Prüfrechte vereinbart sein.

Sind dem Dienstleister diese Kunden wichtig, wird auch ein entsprechendes Reporting aufgebaut.

Jedes Unternehmen sollte ein Standardreporting über die Umsetzung des BCM besitzen. Darüber hinaus sind allgemeine Informationen zur BIA/GFP und zu Tests und Übungen aufzunehmen. Die Vertragspartner erhalten somit ausreichend Kennzahlen, um ihren eigenen Verpflichtungen an das Risikomanagement und der Sorgfaltspflicht nachzukommen. Zusätzlich sollten qualitative Faktoren berichtet werden.

Für den Nachweis der abgestimmten Notfallkonzepte (Tabelle 1; Nr. 4) ist zusätzlich ein weitergehendes Reporting zu erstellen. Insbesondere sind hier die Zeitkritikalitäten von besonderer Bedeutung, die verbindlich vertraglich vereinbart werden sollten.

Weitere Reportinginhalte stehen in Abhängigkeit zu den vertraglichen Regelungen.

Empfehlenswert ist, dass das eigene Unternehmen möglichst standardisierte Verträge inklusive Standardreporting anbieten, um geringstmögliche Aufwände bei der Erstellung zu generieren. Die Reportinginhalte können identisch sein.

Fazit

Es werden sich Aufgrund der recht weiten Definition von Outsourcing viele Anfragen zu den Notfallkonzepten ergeben. Die rechtliche Notwendigkeit für ein Reporting ist gegeben. Die Anforderungen ergeben sich aufgrund der allgemeinen Sorgfaltspflicht und des Risikomanagements und beinhalten selbstverständlich Informationen zum Notfallmanagement.

Auf den ersten Blick erscheint dieses Reporting aufwendig. Es ist daher umso wichtiger, ein Standardreporting zu etablieren. Damit lassen sich die internen Aufwände minimieren und die Vertragspartner werden gemäß den Anforderungen an die allgemeine Sorgfaltspflicht fundiert informiert. So kann das Unternehmen, dass Outsourcing anbietet, Kompetenz nachweisen.

Disclaimer

Der Artikel spiegelt ausschließlich die persönliche Meinung und Erfahrungen des Autors wider.


[1] Anfragen Aufgrund von Neugeschäft werden an dieser Stelle nicht betrachtet.

0 Responses

Schreibe einen Kommentar