Risiken beim Outsourcing erkennen, steuern und minimieren

Das Risikomanagement beim Fremdbezug von Leistungen ist eines der Themen, die uns in Zukunft weiter intensiv beschäftigen werden. Kein Unternehmen kann und will heute mehr alle Leistungen rund um die Produkt- und Serviceerstellung selbst erbringen. Das Outsourcing ermöglicht die Konzentration auf die Kernkompetenzen und schafft Kostenvorteile durch Skaleneffekte bei Dienstleistern und Zulieferern. Auf der anderen Seite der Medaille stehen die Risiken durch das Outsourcing. Schon der Ausfall eines Lieferanten von Bauteilen im Wert weniger Euros bringt komplette Lieferketten zum Stillstand. Im Finanzdienstleistungsbereich ist das Outsourcing daher ein zunehmend wichtiges Thema bei Prüfungen durch die Aufsichtsorgane BaFin und Bundesbank. Die aktuelle Konsultation zu den Bankaufsichtlichen Anforderungen an die IT “BAIT” zur Konkretisierung der MaRisk machen dies deutlich. Die Auslagerungssteuerung ist eines von acht Themen dieses Rundschreibens.

In einem zweiteiligen Beitrag auf  der Plattform 3GRC habe ich einige Grundlagen zum Supply Chain Continuity Management zusammengefasst:

Supply Chain Resilience – Absicherung der kritischen Lieferketten

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Ich freue mich auf Ihr Feedback.

Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT” (BAIT)

Die BAIT (Bankaufsichtliche Anforderungen  an die IT) konkretisieren die Anforderungen der MaRisk an die Ausgestaltung der Informationstechnologie durch BaFin und Deutsche Bundesbank.

Die Konkretisierungen umfassen die Themen

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  • IT-Betrieb (inkl. Datensicherung)
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen.

Das Rundschreiben, das nunmehr im Entwurf zur Konsultation vorliegt, adressiert die Geschäftsleitung der Kreditinstitute und soll die Anforderungen der MaRisk konkretisieren. Die Anforderungen der MaRisk bleiben hiervon unberührt. Daneben bleiben die Institute verpflichtet, “bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards und sowie grundsätzlich auf den Stand der Technik abzustellen.”

Die Konsultationsphase endet am 5. Mai 2017.

Ermittlung der finanziellen Folgeschäden in der BIA – Herausforderungen und Lösungsansätze

Ermittlung von Folgeschäden in der Business Impact Analyse
Die Ermittlung der finanziellen Folgewirkungen des Ausfalls von Geschäftsprozessen ist ein elementarer Bestandteil der Business Impact Analyse (BIA) im Business Continuity Management (BCM).
Die Impact-Analyse – Folgeschadenabschätzung – dient dazu, Geschäftsprozesse abhängig von den jeweiligen Schadensfolgen bei einem Ausfall für die Wiederherstellung zu priorisieren. Hierdurch sollen monetäre und nicht-monetäre Schäden durch Geschäftsprozessunterbrechungen minmiert werden. Neben den finanziellen Folgeschäden zählen zu den betrachteten Schadenskategorien beispielhaft

• Verstöße gegen rechtliche und regulatorische Anforderungen

• Bruch vertraglicher Vereinbarungen

• Image- und Reputationsschäden

• Verlust der Steuerungsfähigkeit

• Beeinträchtigung von Safety und Security.

Die Ermittlung der finanziellen Folgeschäden durch die Unterbrechung von Geschäftsprozessen zählt regelmäßig zu einer der größten Herausforderungen bei der Durchführung der BIA. Die Fachbereiche tun sich schwer in der Ermittlung dieser monetären Größe. Dies liegt zum Einen daran, daß sich der finanzielle Impact über den Zeitablauf einer Prozessunterbrechung gar nicht so einfach ermitteln lässt. Die Betrachtung eines Notfall-Szenarios ist sehr abstrakt und gehört nicht zum normalen Denkmuster. Welche Annahmen sollen getroffen werden hinsichtlich, Zeitpunkt, Umfang und Rahmenbedingungen des Notfalls? Die Schadensfolgen des Ausfalls eines Wertpapierhandelsprozesses in einem stabilen Marktumfeld sehen beispielsweise völlig anders aus, als in einem volatilen oder gar chaotischen Markt. Weiterhin gibt es viele produktspezifische Fragestellungen wie zum Beispiel der Umgang mit Verträgen, die im ersten Jahr zu Anfangsverlusten führen – zum Beispiel durch Vertriebsaufwände – und erst in den Folgejahren Erträge für das Unternehmen erzielen. Wie soll der finanzielle Impact für diese Deckungsbeitragsverläufe kalkuliert werden – zum Teil über Laufzeiten von mehreren Jahrzehnten? Eine Prozessunterbrechung würde in diesem Falle bei einer Betrachtungperiode von 12 Monaten gar zu Gewinnen führen und der Geschäftsprozess nicht wiederhergestellt werden.
Zum Anderen erweckt die Festlegung monetärer Folgeschäden, vielleicht noch mit Nachkommastellen versehen, eine Genauigkeit, die in dieser Form gar nicht erreicht werden kann – und auch nicht benötigt wird. Dieser vermeintliche Anspruch an Genauigkeit in der Darstellung verunsichert die Fachbereiche zusätzlich. Dies gilt insbesondere für die Fachbereiche, die es gewohnt sind zahlenbasiert mit einer hohen Genauigkeit zu arbeiten (Bsp. Controlling und Rechnungswesen).

Welchen Anforderungen muss die Ermittlung des finanzieller Impacts genügen?

• um die Vergleichbarkeit von Impact-Bewertungen über die Prozesse sicherzustellen, muss der Impact für alle Prozesse nach identischen Prämissen und Verfahren bewertet werden (zum Beispiel die Berücksichtigung und finanzielle Bewertung von Personalausfallkosten bei einer Prozessunterbrechung)

• Die Prämissen müssen im Vorfeld der BIA möglichst exakt definiert werden (worst case- Betrachtung, Kunden- und Marktumfeld, zu berücksichtigende Kosten und Erträge, Umgang mit Opportunitätskosten)

• Fachbereiche müssen auf Basis dieser Prämissen die finanziellen Folgeschäden möglichst einfach ermitteln können

• Das Ergebnis der Schadensermittlung muss plausibel und nachvollziehbar (auch für Dritte) sein

• Für Geschäftsprozesse, die unterstützend wirken, muss ein Verfahren zur Vererbung der Schadenswirkungen festgelegt werden.

Wie sind diese Anforderungen zu erreichen?
Der größte Erfolgsfaktor für qualitativ hochwertige BIA-Ergebnisse liegt in einer guten Vorbereitung und Konfiguration der BIA. Die Prämissen für Bewertungen müssen eindeutig festgelegt und für die Durchführung der BIA dokumentiert werden. Für die Ermittlung des finanziellen Impacts ist eine Auseinandersetzung mit den betriebswirtschaftlichen Eckdaten des Unternehmens zwingend notwendig. Mengengerüste zu den Produkten und Services, Kosten- und Ertragsstrukturen sowie Deckungsbeitragsverläufe einzelner Produktkategorien und Services sind die Grundlage zur Ermittlung finanzieller Impacts. Ideal wäre natürlich eine Prozesskostenrechnung – leider immer noch häufiger Vision als Realität. Jetzt ist der Wirtschaftswissenschaftler im Business Continuity Manager gefordert! Aber wir sind ja vielseitig aufgestellt.
Der Geschäftsbericht ist ein zunächst ein guter Ausgangspunkt für diese betriebswirtschaftliche Analyse. Wichtige Eckdaten finden sich in Bilanz und Gewinn- und Verlustrechnung sowie Anhang. Der Schlüssel zu einer guten BIA ist jedoch die interdisziplinäre Zusammenarbeit mit dem Risikomanagement und Controlling, geht es doch um nichts Anderes als die Durchführung von Stresstests für den Ausfall von Produkten und Services. Beiden genannten Disziplinen ist die Durchführung von Stresstests nicht fremd. Wahrscheinlich liegen bereits viele Zahlen für die BIA-spezifischen Stresstests vor und können wiederverwendet werden.
Mit den Spezialisten kann die Frage beantwortet werden, welche finanzielle Schäden dem Unternehmen beim Ausfall eines Produkts oder Services drohen und welche Prämissen für die Ermittlung definiert werden müssen.
Diese vorgefertigten Kalkulationsmodelle sind dann Grundlage für die konkrete Ermittlung der finanziellen Folgeschäden durch die Prozessverantwortlichen. Im Idealfall kann die Ermittlung des finanziellen Impacts so weit vorkonfiguriert werden, dass die Zuordnung der Produkte und Services zum Geschäftsprozess für die Kalkulation der finanziellen Schäden ausreichend ist. Auch die konsistente Bewertung über alle Prozesse ist so gewährleistet und das zentrale Kalkulationsmodell kann bei Bedarf aktualisiert und erweitert werden, ohne erneut eine komplette BIA mit den Fachbereichen durchführen zu müssen. Für unterstützende Geschäftsprozesse erfolgt die Ermittlung der Schadensgrößen dann mittels Vererbung über die identifizierten Prozessabhängigkeiten.
Dieses Vorgehen führt zu einem erhöhten Aufwand in der Vorbereitungsphase und Konfiguration der BIA. Lohn der Mühe ist jedoch eine einfachere und konsistente Ermittlung in der BIA-Erhebung mit den Fachbereichen und die Option einer ständigen Optimierung und Verbesserung der Kalkulationsgrundlage.

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Wenn die Lieferkette an einer Stelle reißt, kommt häufig die gesamte Wertschöpfungskette für ein Produkt oder einen Service zum Stillstand. Die Vorsorge für Notfälle in der Lieferkette – das Supply Chain Continuity Management – ist daher ein elementarer Baustein für eine widerstandsfähige Lieferkette. Der vorangegangene Beitrag „Supply Chain Resilience“ behandelte die Governance, Risk und Compliance-Aspekte. Dieser Beitrag, den ich auf der Plattform GR3C veröffentlicht habe, geht vertieft auf die Rolle des Business Continuity Management zur Sicherung der Lieferketten bei Unterbrechungen ein:

Zum Beitrag auf 3GRC

SUPPLY CHAIN RESILIENCE – ABSICHERUNG DER KRITISCHEN LIEFERKETTEN

In einer arbeitsteiligen Welt ist die Auslagerung von Herstellungs- und Dienstleistungs-Prozessen an Dienstleister und Lieferanten – das Outsourcing – eine Selbstverständlichkeit geworden. Im produzierenden Bereich, wie zum Beispiel der Automobilindustrie ist der Trend zur Auslagerung großer Teile der Wertschöpfungskette schon sehr weit fortgeschritten und ausgeprägt. Einer der wichtigsten Kernkompetenzen eines Automobilherstellers ist heute das „Orchestrieren“ aller Zulieferer und Dienstleister damit die Produktion just in time funktionieren kann. Selbst die Forschung und Entwicklung für zentrale Fahrzeugkomponenten erfolgt durch die Zulieferer. Hieraus ist mittlerweile ein überaus komplexes beidseitiges Abhängigkeitsverhältnis zwischen Lieferanten, Sub-Lieferanten und den Automobilproduzenten entstanden.

Lesen Sie meine aktuelle Veröffentlichung auf 3GRC.

BCM Barometer der BCM Academy ist gestartet

Die BCM Academy erstellt auch in diesem Jahr wieder das BCM Barometer und bittet um Ihre Beteiligung bei der Umfrage:

Sehr geehrte BCM-Kolleginnen und Kollegen,

es ist schon wieder ein Jahr vorbei und ich freue mich sehr, dass ich schon angesprochen wurde, wann das neue Barometer freigeschaltet wird.

Die Antwort ist: Jetzt 🙂

Wir haben auch in diesem Jahr einige Verbesserungsvorschläge aufgenommen und hier und da nochmal “nachgefeilt”, die nächste Runde kann also starten.

Wir, die BCM Academy, möchten mit dieser Umfrage die Entwicklungen im BCM im deutschsprachigen Raum festhalten und genau wie in den Vorjahren anschließend allen BCM-Interessierten kostenfrei zur Verfügung stellen. (Das BCM Barometer des Vorjahres finden Sie kostenfrei zum Download hier: http://www.bcmacademy.de/de/bcm-barometer)

Die Erhebung ist absolut anonym, es werden keine IP-Adressen ermittelt oder gespeichert – somit ist es wichtig, dass Sie nach dem Beginn der Umfrage diese auch zu Ende bringen. Wenn Sie den Browser geschlossen haben können Sie die Umfrage nicht fortsetzen. Die Umfrage wird maximal 10 Minuten Ihrer Zeit in Anspruch nehmen.

Ihre Teilnahme selbstverständlich freiwillig und wir sind auf Sie angewiesen, insofern schon jetzt ein herzliches Dankeschön für Ihr Mitwirken.

Wir lassen die Umfrage bis zum 05.03.2017 geöffnet und veröffentlichen die Ergebnisse aufgearbeitet bis Ende April 2017 auf unserer Homepage.

—> Die Umfrage finden Sie online unter diesem Link: https://surv.es/kaiTeZQaTN4XdZ57P

Technische Empfehlungen: Neuere Versionen von Internet Explorer, Firefox sowie alle gängigen Mobile Devices. Die Anzeige passt sich der Bildschirmgröße an, so kann es zu ungewöhnlichen Umbrüchen kommen.

Für Fragen jeglicher Art sowie Feedback stehe ich sehr gerne zur Verfügung:
Telefon: 040 – 890 664 62
E-Mail: bchristiansen@bcmacademy.de

 

„Heute wegen Krise geschlossen“ – Wie sage ich es meinen Kunden?

Meine aktuelle Veröffentlichung behandelt die Krisenkommunikation speziell im Business-to-Busines-Bereich. Zahlreiche Ratgeber beschäftigen sich mit der Krisenkommunikation gegenüber Presse und Öffentlichkeit und den sozialen Medien. Der Großteil der Störungen und Ausfälle findet glücklicherweise jedoch nicht den Weg in die Öffentlichkeit. Umso bedeutender ist die schnelle und angemessene Kommunikation in diesen Situationen mit den Kunden. Über Jahre aufgabeutes Vertrauen gilt es in diesen kritischen Situationen zu erhalten. Fünf Maßnahmen zur Vorbereitung des Krisenmanagements im B2B-Bereich finden Sie in meiner aktuellen Veröffentlichung auf der Plattform 3GRC.

Anruf von Microsoft

Am Wochenende erhielten wir einen Anruf von “Microsoft”. Eine Stimme in englischer Sprache mit starkem Akzent forderte meine Frau auf, den Computer zu starten, um dann gemeinsam einen Virus zu entfernen, der sich im Computer eingenistet hätte und von Microsoft identifiziert wurde. Meine Frau hat sich dann am Telefon in ein Gespräch verwickeln lassen. Der PC sei ausgeschaltet und müsse zuerst hochgefahren werden. Nach einiger Zeit habe ich mich dann in  die Leitung geschaltet: “please hold the line, this is german Police. We are just going to locate you”. “German Police?” kam aus der Leitung zurück, “F…. your mother”. Dann war “Microsoft” blitzschnell aus der Leitung verschwunden. Bei vielen Angerufenen wird die Masche nicht funktionieren. Doch gerade ältere und im Internet unerfahrene Menschen sind gefährdet. Nachdem ein Programm zur Entfernung des vermeintlichen Virus von “Microsoft” heruntergeladen wurde, ist der PC für die Hacker offen. Passworte, Zugangsdaten für das Onlinebanking können mitgelesen, Onlinebanking-Transaktionen umgeleitet oder Daten für Lösegelderpressung verschlüsselt werden. Die Masche ist, alt, scheint aber immer noch zu funktionieren. Die Verbraucherzentrale warnt vor dieser Masche und gibt Ratschläge für den richtigen Umgang.

Allianz Risk Barometer 2017: Betriebsunterbrechungen sind das größte Risiko

Betriebsunterbrechung ist zum im fünften Jahr in Folge das größte Risiko für Unternehmen. Neue Auslöser sind auf dem Vormarsch. Gefahren wie Naturkatastrophen und Brände sind weiterhin die Ursachen, die Unternehmen am meisten fürchten, aber die Art des Risikos verschiebt sich zunehmend auf Nicht-Schaden-Ereignisse. Ein Cybervorfall oder die indirekten Auswirkungen eines terroristischen Gewaltakts sind Ereignisse, die zu großen Verlusten führen können, ohne physische Schäden zu verursachen. Eine Zunahme solcher Ereignisse wird erwartet.“, so das Ergebnis des Allianz Risk Barometer 2017. Gute Gründe also, Notfallvorsorge in Form von Business Continuity Management (BCM), IT-Service Continuity Management (ITSCM) und Krisenmanagement zu betreiben. Ein gutes Business Continuity Management in Form eines “all hazard approach” wirkt sowohl für Schaden, als auch Nicht-Schaden-Ereignisse gleichermaßen. Nicht-Schaden-Ereignisse wie Cyber-Attacken erfordern neben den klassischen BCM-Konzepten und -plänen eine enge und sorgfältige Abstimmung aller Disziplinen von den Notfallplänen über eine abgestimmte IT-Notfallvorsorge bis hin zu einem funktionierenden Krisenmanagement mit der internen und externen Krisenkommunikation. Notfallpläne in der Schublade alleine reichen für die aktuellen Anforderungen komplexer und dynamischer Szenarien nicht mehr aus. BCM, ITSCM und Krisenmanagement müssen fester Bestandteil der Unternehmensführung und -steuerung sein. Nicht umsonst steckt in jeder dieser Disziplinen das Wörtchen “…management”. Die Implementierung mag ein langer, steiniger Weg sein, doch erkennen viele Unternehmen inzwischen den Nutzen dieser Investition über die reine Notfallvorsorge hinaus. Gibt eine Versicherung nur ein etwas beruhigerendes Gefühl für das ausgegebene Geld, schaffen BCM und ITSCM demgenüber ein hohes Maß an Transparenz der komplexen Zusammenhänge von Wertschöpfungsketten und Ressourcen des Unternehmens – quasi als Nebenprodukt einer Business Impact Analyse.  Das Krisenmanagement unterstützt in Form von Krisenstabstrainings und -übungen die übergreifende Zusammenarbeit und das Verständnis für die Inhalte des “Silos” der jeweiligen Anderen. Damit zu starten, ist ein guter Vorsatz für 2017. Viele Vorsätze für das neue Jahr scheitern, weil die Ziele für das Leistungsvermögen, Zeit und Budget weit zu hoch gesteckt sind. Ich empfehle daher eine stufenweise Implementierung in überschaubaren Schritten  mit einer abgestimmten Vision, damit die Organisation in das Thema “wachsen” kann und keine Investitionsruine entsteht.

Der Allianz Risk Barometer 2017 ist auf der Webseite der AGCS verfügbar.

Be prepared

Matthias Hämmerle MBCI

Gestalten Sie die BCM-News im zehnten Jahr!

Das neue Jahr ist gestartet und die Tage vergehen schon wieder wie im Flug. Die BCM-News werden dieses Jahr schon zehn Jahre alt- unglaublich aber wahr. Auch im zehnten Jahr wird es hier wieder tagesaktuelle News und Beiträge rund um die Themen BCM, Informationssicherheit, Krisenmanagement und physische Sicherheit geben.

Bestimmen Sie mit, welche Themen in den redaktionellen Beiträgen behandelt werden sollen. Bitte geben Sie hierzu möglichst konkrete Themen und Fragestellungen in den Kommentaren zu diesem Beitrag an.Nutzen Sie die Gelegenheit und treiben Sie die BCM-News auch im zehnten Jahr als führendes Informationsportal für BCM in Deutschland weiter voran. Auch Gastbeiträge sind selbstverständlich wieder herzlich willkommen.

Ich freue mich auf Ihre Rückmeldungen.

„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Ein Mitarbeiter erhält eine an ihn persönlich adressierte Mail in der ihm ein befreundeter Geschäftspartner das Profil eines interessanten Kandidaten für eine offene Stelle im Anhang zusendet. Der Mitarbeiter öffnet den Anhang der Mail und das Schicksal nimmt seinen Lauf. Schrittweise verschlüsselt die im Anhang enthaltene Ransomware alle Dateien in den Laufwerken. Weiterlesen…