Anforderungen an die Bewertung von Tests und Übungen
Ein Gastbeitrag für die BCM-News von Torsten Zacher
Einleitung
Gemäß der MaRisk AT 7.3 ist die Wirksamkeit und der Angemessenheit des Notfallkonzeptes regelmäßig durch Notfalltests zu überprüfen.
Die zwei Begriffe Angemessenheit und Wirksamkeit spielen hierbei in Verbindung mit den Tests eine entscheidende Rolle.
Das KWG ergänzt im § 25c hierbei noch, dass den jeweils Verantwortlichen über die Ergebnisse der Notfalltest berichtet wird.
Die Begriffe Angemessenheit und Wirksamkeit bilden die Grundlage der Bewertung, die im ersten Teil des Artikels vorgestellt werden. Im zweiten Teil wird auf die Notwendigkeit einer Bewertung, deren Zielgruppen und den positiven Nutzen eingegangen. Im dritten Teil wird eine mögliche Bewertung inklusive Inhalten vorgestellt. Es sind Bewertungen je Test und eine Jahresbewertung zu differenzieren.
Angemessenheit
Im Rahmen der Einführung eines BCM haben Banken aufgrund der offenen Formulierungen in der MaRisk viele Freiheiten. Dies bedeutet aber, dass die Ziele des BCM selber zu definieren sind. Daher ist zuerst die Angemessenheit zu definieren. Die Angemessenheit ist der strategische Umgang mit dem Thema Notfallplanung und formuliert die Ziele aus.
Die Transparenz über diese Ziele ist für die operative Umsetzung ein wichtiger Erfolgsfaktor. Allgemein ist Transparenz beim Thema Notfallmanagement ein zentraler Erfolgsfaktor.
Die Umsetzung der definierten „Angemessenheit“ sollte unter Berücksichtigung eines Standards erfolgen.
Wirksamkeit
Die ISO 9000:2000 verwendet den Begriff Wirksamkeit für den Vergleich von Realität und Plan.
Generell sind für das Thema BCM zwei Grundaussagen über den Nachweis der Wirksamkeit zu treffen.
Der erste Punkt betrifft die Wiederanlaufzeit in den Notbetrieb; also ob im Ernstfall diese einzuhalten ist. Die z.B. RTO ist in jedem (Teil-) Testprotokoll zu dokumentieren und durch das zentrale BCM zu aggregieren und zu reporten. Über die umfangreichen Prozesskettentests ist die Einhaltung z.B. der gesamt RTO an die Geschäftsleitung zu reporten. Alternativ können andere zeitlichen Messungen (MAO, MTPD) vorgenommen werden. Entscheidend sind klare, eindeutige unternehmensintern abgestimmte Definitionen, z.B. ab wann die Zeit läuft.
Die zweite Aussage befasst sich mit dem im Notbetrieb möglichen Durchsatz; also wie viel Geschäftsvorgänge im Notfall abgearbeitet werden können. Hier können verschiedene Kennzahlen gewählt werden. Beispielsweise der in der ISO 22301 genannte MBCO (minimum business continuity objektive). Dieser wird als minimum service level (MSL) beschrieben und ist mit dieser Bezeichnung auch für Personen außerhalb der BCM-Welt verständlich und daher gut zu verwenden. Der MSL ist letztendlich eine Vorgabe der Geschäftsleitung. Die Einhaltung ist eine existenzielle Anforderung. Die Tests werden in der Regel nicht als Ernstfall- oder Vollübung durchgeführt. Daher ist die MSL von den Experten zu schätzen.
Als qualitative Informationen gehören damit auch in den Management review die Einschätzung der Tests, ob mit den gegebenen Mitteln die Notfallstrategie umgesetzt werden kann.
Hier liegen in der Regel interne SLA vor, also letztendlich die operative Umsetzung der Vorgaben von der Geschäftsleitung.
Operative Umsetzung der strategischen Anforderungen
Grundannahme ist, dass das Unternehmen eine Strategie und auch gem. ISO 22301 eine BCM-Strategie besitzt. Ohne zentrale Vorgaben, was die Angemessenheit unternehmensintern bedeutet, wird eine Messung der Wirksamkeit erschwert. Ein reines bottum-up im BCM kann strategische Vorgaben einer Unternehmensleitung nur eingeschränkt berücksichtigen, hier muss es top-down Vorgaben geben. Dieser Handlungsspielraum ist spätestens im „objectives“ des BCM zu beschreiben.
Durch die BIA werden alle relevanten Daten für das Notfallmanagement erhoben. Auf dieser Basis werden die Geschäftsfortführungspläne erstellt.
Zusätzlich fließen die strategischen Vorgaben in die Notfallpläne mit ein, die eine Zielvorgabe der Geschäftsleitung sind.
Gegen diese strategischen Vorgaben wird die Wirksamkeit des Notfallkonzeptes durch Tests gemessen. Die Tests müssen angemessen dokumentiert, aggregiert und reportet werden. Jeder Test sollte messen, ob die derzeitige Ist-Umsetzung gemäß dem Testszenario angemessen ist. Bei jedem Test sollte das Testziel definiert sein.
Notwendigkeit des Reportings
Warum sollte sich jedes Unternehmen die Mühe machen, die eingereichten Testprotokolle einzeln zu bewerten?
Gemäß der MaRisk AT 7.3 sind die Wirksamkeit und die Angemessenheit des Notfallkonzeptes regelmäßig durch Notfalltests zu überprüfen. Jeder Test ist ein Puzzleteil, um den Nachweis für die Funktionsfähigkeit des Notfallmanagements zu erbringen.
Das KWG fordert zusätzlich ein Reporting an die Verantwortlichen.
Um das KWG respektive die MaRisk zu konkretisieren und umzusetzen sind Standards, wie z.B. der ISO 22301 hilfreich. Viele, insbesondere international tätige Unternehmen, werden ihr BCM in Anlehnung an diesen Standard aufbauen. Tests sind in der ISO 22301 gem. Kapitel 8.5 exercising and testing durchzuführen. Es sollen Tests stattfinden, die
a) are consistent with the scope and objectives of the BCMS,
b) appropriate scenarios that are well planed with clearly aims and objectives,
…
e) produce formalized post exercice reports that contains outcomes, recommandations and actions to implemant improvements,
f) are reviewed within the context of promoting continual improvement, and
…
Dieses zeigt, dass die Tests mit dem „Geltungsbereich“ und den „Zielvorgaben“ des BCMS widerspruchsfrei übereinstimmen sollen.
Eine Übereinstimmung zur MaRisk AT 7.3 betreffend der Wirksamkeit und Angemessenheit ist gegeben.
Tests sollten in ausreichender quantitativer und qualitativer Anzahl vorliegen, die zumindest für Kreditinstitute aufgrund der hohen aufsichtsrechtlichen Anforderungen gefordert werden. An dieser Stelle sollte nicht unerwähnt bleiben, dass generelle Aussagen über die Quantität und die Qualität der Tests in der Definition der Angemessenheit festzulegen sind. Über diese strategischen Ziele ist Transparenz innerhalb des Unternehmens herzustellen.
Zusätzlicher Nutzen ist der Abgleich der Anforderungen an Tests der dezentralen Bereiche (Anzahl der Tests, Testszenarien usw.) gegenüber den Vorgaben der zentralen BCM Stelle.
Reporting-Inhalte
Im Rahmen der Jahrestestplanung werden Anforderungen an Notfalltests gestellt. Diese Anforderungen sind quantitativ und qualitativ durch die dezentralen Fachbereiche umzusetzen. Diese Umsetzung ist regelmäßig zu überprüfen und bei negativen Abweichungen nach zu justieren sowie die Fachbereiche zur erfolgreichen Umsetzung zu unterstützen. Gut durchgeführte Tests sind unbedingt lobend zu würdigen. Dies wird in diesem Artikel nicht weiter erläutert, sollte aber selbstverständlich sein, die gute, in den Fachbereichen geleistete Arbeit entsprechend zu würdigen und die Motivation zu erhöhen.
Mögliche Reporting-Inhalte für eine Einzelbewertung von Tests sind in der folgenden Tabelle dargestellt.
Hiermit sollen die Anforderungen an die ISO 22301, Kapitel 8.5 Exercising and testing erfüllt werden. Es wird ein formales Reporting nach den Tests gefordert, der die Ergebnisse kontrolliert, Handlungsempfehlungen gibt und Maßnahmen, die einen Verbesserungsprozess einleiten.
Es sollten sinnvolle Kennzahlen ausgewählt werden, die einen hohen Bezug zum BCM aufweisen. Qualitative Zahlen, wenn auch teilweise nur durch Expertenschätzung gebildet, sind „Zahlenfriedhöfen“ vorzuziehen. Die Aussagekraft über die Wirksamkeit des BCM ist hierbei maßgeblich.
Art | Beschreibung |
---|---|
Quantitativ | • Bewertung der vorgenommenen Anzahl von Teil-Tests (Soll – Ist Vergleich). • RTO, wie lange dauert es, um in den Notbetrieb zu gelangen? Diese Aussage sollte unter zu Hilfenahme der Zeitmessung erfolgen. • ... |
Qualitativ | • Bewertung der qualitativen Ergebnisse/Dokumentation. • Ist das Testziel ausreichend und angebracht? • Ist das Testszenario angemessen? • Minimum Service Level bedeutet, wie viele Geschäftsvorgänge im Notfall abgearbeitet werden können. Diese Zahl ist in Relation prozentual zum Normalbetrieb zu schätzen. Erste Versuche zeigen, dass die Fachbereiche sehr gut in der Lage sind, diesen Wert zu schätzen. • Fließen Erfahrungen aus vorherigen Tests mit ein? Insbesondere, wenn sich aus vorherigen Tests Verbesserungsmaßnahmen ergeben. • ... |
Beurteilung | Bewertung, ob die Anforderungen des Testplans ausreichend umgesetzt wurden. Sind die Erwartungen des zentralen BCM erfüllt. ... |
Empfehlung | Alle Bereiche erhalten eine Empfehlung, die Tests und Übungen verstärkt durchzuführen. Ist die Qualität und Quantität zur Erfüllung der MaRisk, der schriftlich fixierten Ordnung und den BCM-Standards ausreichend. Welche Maßnahmen sind einzuleiten? ... |
Eine größtmögliche Transparenz über die Bewertungskriterien ist herzustellen. Daher ist es sinnvoll, diese Kriterien mit der Bewertung zu veröffentlichen.
Die Bewertung sollte in Anlehnung an Audit Kriterien durchgeführt werden. Beurteilungen von Tests durch die zentrale Einheit sind immer auch interne Audits.
Für eine Jahresbewertung spielt als qualitativer Faktor die Einhaltung des Jahrestestplanes eine Rolle. Die Testplanung entspricht in der Regel einem Dreijahresplan. Der Fortschritt und die Einhaltung des Planes sind zu berichten. Jedes geforderte Testszenario sollte in diesem Zeitraum getestet werden. Der Fortschritt ist jährlich zu dokumentieren und zu bewerten.
Als wichtigste qualitative, jährliche Bewertung wird von der zentralen BCM Stelle beurteilt, ob die Tests gegenüber der MaRisk (der schriftlich fixierten Ordnung und/oder der ISO 22301) konform sind.
Anmerkung: Hierfür bedarf es im zentralen BCM ausreichender personeller Ressourcen mit hoher Qualifikation.
Zielgruppen des Reportings
Es gibt interne und externe Zielgruppen des Reportings.
Zur internen Zielgruppe zählen vom Vorstand über die verantwortlichen Bereichsleitungen bis zu den Mitarbeitern, die im dezentralen BCM tätig sind. Das Reporting muss der Zielgruppe entsprechend angemessen sein.
Zur externen Zielgruppe zählt für Kreditinstitute insbesondere die Bankenaufsicht. Eine weitere Zielgruppe sind die Wirtschaftsprüfer, die sich jährlich im Rahmen der Jahresabschlussprüfung verstärkt mit dem BCM auseinandersetzen dürfen.
Generell sollte jeder durchgeführte Test messen, ob das BCM der Unternehmung wirksam ist. Unmittelbar werden die strategischen Vorgaben der Unternehmensleitung auf deren operative Umsetzung qualitativ und quantitativ gemessen. Durch die Bewertung der Tests werden die operativen Umsetzungen geprüft, ob die strategischen Vorgaben angemessen umgesetzt werden.
Zusätzlich wird die Umsetzung im Unternehmen transparent dargestellt. Das Top-Management erhält ein Feedback zur aktuellen Umsetzung der Notfallplanung, die letztendlich in den Standards wie z.B. der ISO 22301 in Kapitel 9.3 „Management review“ und im KWG § 25c gefordert wird.
Die dezentral verantwortlichen Top-Manager erhalten so über den Umsetzungsstand ein unmittelbares Feedback und die dezentralen BCM Koordinatoren, ob die tägliche, operative Tätigkeit im Sinne des Unternehmens angemessen ist.
Die Wirtschaftsprüfer und die Bankaufsicht informieren sich regelmäßig über die Funktionsfähigkeit des Notfallmanagements. Testprotokolle werden eingefordert. Mit einer internen, von der zentralen Stelle vorgenommenen Bewertung zeigt das Unternehmen eine größtmögliche Transparenz über das Funktionieren des Notfallmanagements.
Der kontinuierliche Verbesserungsprozess kann durch die Ergebnisse der Tests und der Bewertung durch die zentrale Stelle optimal angestoßen werden. Damit wird ein weiterer Punkt im BCM PDCA Zyklus erfüllt.
Vergleich KWG § 25c Absatz 4a Nummer 5 / MaRisk AT 7.3 und ISO 22301
Das KWG fordert in § 25c, dass für Notfälle in zeitkritischen Aktivitäten und Prozessen angemessene Notfallkonzepte nach § 25a Absatz 1 Satz 3 Nummer 5, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass regelmäßig Notfalltests zur Überprüfung der Angemessenheit und Wirksamkeit des Notfallkonzeptes durchgeführt werden und über die Ergebnisse den jeweils Verantwortlichen berichtet wird.
Dieses ist in Ergänzung zur MaRisk zu sehen, die fordert den Nachweis der Angemessenheit der Notkonzepte durch Tests. Die Angemessenheit ist durch das Unternehmen zu definieren und ist eine strategische Vorgabe und formuliert die BCM Ziele.
Das KWG fordert explizit ein Reporting an die Verantwortlichen. Gemäß § 25a sind die Geschäftsleiter für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich
Die ISO 22301 fordert die Formulierung von BCM-„objectives“. Die Unternehmensleitung ist hierfür verantwortlich.
Eine weitere Gemeinsamkeit ist die Forderung des ISO 22301, dass Tests messbare Ergebnisse liefern. Die Wirksamkeit ist ein Vergleich der Realität und Plan und liefert ein messbares Ergebnis. KWG/MaRisk und ISO komplettieren sich.
Fazit
Eine Bewertung der Tests und die Transparenz an die Erwartungen/Strategie an das unternehmensinterne BCM schafft ein Instrument, um die Erfüllung des KWG und der MaRisk zu messen.
Allgemeine Grundbedingung für die erfolgreiche Implementierung des Notfallmanagements ist die Transparenz über die Strategie. Damit werden die dezentralen Fachbereiche in die Lage versetzt, diese zu operationalisieren.
Der Schwerpunkt der Bewertung liegt auf dem Abgleich der strategischen Vorgaben und der operativen Umsetzung durch eine leistungsstarke zentrale BCM Einheit.
Hierzu sollten sinnvolle Kennzahlen betrachtet werden, die einen hohen Bezug zum BCM aufweisen und keine Zahlenfriedhöfe.
Die aufsichtsrechtlichen Vorgaben des KWG und der MaRisk im Vergleich zur ISO 22301 weisen hierbei eine hohe Korrelation auf. Die Erfüllung der Anforderungen des ISO 22301 sollten insbesondere für das Testen die aufsichtsrechtlichen Anforderungen erfüllen und dienen zusätzlich den Wirtschaftsprüfern als Nachweis eines funktionsfähigen BCMs.
Disclaimer
Der Artikel spiegelt ausschließlich die persönliche Meinung und Erfahrungen des Autors wider.
Torsten Zacher
0 Responses