SwissBanking veröffentlicht Empfehlungen für das BCM in der Schweiz

Flagge_SchweizDie Schweizerische Bankvereinigung hat im November 2007 die “Empfehlungen für das Business Continuity Management (BCM) veröffentlicht.

Die Empfehlungen treten per 1. Januar 2008 in Kraft. Den Instituten wird empfohlen, die Inhalte bis spätestens zum 31. Dezember 2009 umzusetzen.

Der Geltungsbereich der Empfehlung umfasst Banken und Effektenhändler (Institute) der Schweiz.

Es handelt sich hierbei um eine Selbstregulierung der Schweizerischen Bankiervereinigung, die grundsätzlich keinen verbindlichen Charakter hat. Dennoch wurden in dem Dokument Mindeststandards definiert, die von der Eidgenössischen Bankenkomission (EBK) als verbindlicher aufsichtsrechtlicher Mindeststandard betrachtet werden. Hierzu gehört die Durchführung einer Business Impact Analyse sowie die Definition einer Business Continuity Strategie.

Zudem werden Empfehlungen in der Schweiz mit einem hohen Verbindlichkeitsanspruch gesehen – die Schweizer verpacken dies sprachlich nur etwas vornehmer.

Die Empfehlungen basieren auf internationalen Standards für das BCM, insbesondere den “High Level Principles for Business Continuity” des Basler Ausschusses für Bankenaufsicht (Basel II) sowie PAS 56 des BSI, FSA “BCM Practice Guide” (UK), APS 232 (AUS), Fed “Sound Practices to Strenthen the Resilience of the U.S. Financial System” (USA).

Interessanterweise wird kein Bezug genommen auf die britischen Standards BS 25999-1 und -2.

Die Empfehlungen unterscheiden zwischen Störungen im normalen Geschäftsbetrieb und dem Krisenmanagement. Das BCM bezieht sich ausschliesslich auf die Krisenvorsorge und das Krisenmanagement.

Unter einer Krise wird “eine Bedrohungssituation verstanden, welche kritische Entscheidungen erfordert und mit den ordentlichen Führungsmitteln und Entscheidungskompetenzen nicht bewältigt werden kann.”

Die Krise wird weiterhin abgestuft zwischen Krise und Desaster. Ein Desaster ist “ein weitreichendes Schadensereignis, welches für das Unternehmen kritische Auswirkungen hat und das geschäftliche Werte- und Bezugssystem ausser Kraft setzt … ein Desaster wird primär durch Aktivierung der Business Recovery Pläne bewältigt.”

BCM CH Krise

Relevante Bedrohungsszenarien sind im Rahmen des BCM hinsichtlich Impact und Eintrittswahrscheinlichkeit zu beurteilen.

Zu den Komponenten eines BCM gehören:

  • Business Impact Analyse (verbindlicher Mindeststandard)
  • Business Continuity Strategie (verbindlicher Mindeststandard)
  • Business Continuity Pläne
  • Business Continuity Testing
  • Krisenmanagementorganisation
  • BCM Reporting
  • BCM Training
  • BCM Kommunikation.

Die Verantwortung für das BCM liegt bei Verwaltungsrat und Geschäftsleitung jedes einzelnen Instituts.

Die Schweizer haben mit dieser Empfehlung einen konkreten Handlungsrahmen für den schweizer Finanzdienstleistungsbereich definiert. Er basiert auf weltweit gängigen Standards und Methoden.

Bemerkenswert ist auch, daß die Durchführung einer Business Impact Analyse zum Mindeststandard erklärt wurde.

Link zur Empfehlung des SwissBanking.

Im Vergleich hierzu nehmen sich die Regelungen in den MaRisk (Mindestanforderungen an das Risikomanagement des BaFin) für den deutschen Finanzdienstleistunsgbereich bescheiden aus. Leider führt dies dazu, daß Auslegungen und Interpretationen des Regelungstextes notwendig werden. Dies kann wiederum nicht zu einheitlichen Prüfungsstandards durch die Aufsicht und Wirtschaftsprüfer führen was wiederum zu Unsicherheit in der Umsetzung bei den Instituten führt. Auch ist der verpflichtende Charakter einer Business Impact Analyse in den MaRisk nicht explizit definiert.

Der in Arbeit befindliche neue Notfallmanagement Standard des BSI 100-4 geht hierbei sogar noch ein Stück zurück und definiert die BIA als optional und damit nicht zwingend notwendig für eine Zertifizierung. Dabei lässt sich eine BIA hervorragend skalieren und an die Größe und Bedürfnisse eines Unternehmens anpassen.

Ein Blick in die “kleine Schweiz” lohnt sich auch hier wieder. Unsere Eidgenossen sind uns hier einen Schritt voraus.

0 Responses

Schreibe einen Kommentar