BCM-News Daily Digest

BCM-News Daily Digest

BCM-News Daily Digest

  • Leichtathletik-Verband: Hacker lesen medizinische Sportlerdaten
    Ein halbes Jahr nach dem Angriff auf die Datenbank der Welt-Anti-Doping-Agentur WADA ist die russische Hackergruppe "Fancy Bears" auch in einen Server des Leichtathletik-Weltverbandes IAAF eingedrungen. Dabei seien am 21. Februar offenbar personenbezogene Daten von Athleten, die medizinische Ausnahmegenehmigungen beantragt hätten, bei einem nicht autorisierten äußeren Zugriff auf das IAAF-Netzwerk ausgelesen worden. Das teilte der Weltverband am Montag in einem Statement mit.
  • 36.6 million data records breached in 33 data breaches in India last year – The Resilience Post
    Nearly 36.6 million data records were compromised in India last year in 33 data breaches – a 14% rise as compared to 2015, a new report said on Monday. According to global digital security firm Gemalto's 'Breach Level Index', identity theft and unauthorised access to financial data were the leading type of data breaches, accounting for 73% of all data theft.
  • BCI updates Business Continuity Glossary
    For many years the Business Continuity Institute has maintained a dictionary of business continuity terms. This has now been revised by merging it with DRJ's Business Continuity Glossary and the glossary from the BCI's Good Practice Guidelines.
  • ISO 22316 organizational resilience standard now available
    ISO's Technical Committee ISO/TC 292 has published its latest security and resilience international standard, ISO 22316:2017, 'Organizational resilience. Principles and attributes'. This short standard, with just ten pages of content, establishes the principles for organizational resilience and identifies the attributes and activities that support an organization in enhancing its resilience.

BCM-News Daily Digest

BCM-News Daily Digest

BCM-News Daily Digest

BCM-News Daily Digest

Risiken beim Outsourcing erkennen, steuern und minimieren

Das Risikomanagement beim Fremdbezug von Leistungen ist eines der Themen, die uns in Zukunft weiter intensiv beschäftigen werden. Kein Unternehmen kann und will heute mehr alle Leistungen rund um die Produkt- und Serviceerstellung selbst erbringen. Das Outsourcing ermöglicht die Konzentration auf die Kernkompetenzen und schafft Kostenvorteile durch Skaleneffekte bei Dienstleistern und Zulieferern. Auf der anderen Seite der Medaille stehen die Risiken durch das Outsourcing. Schon der Ausfall eines Lieferanten von Bauteilen im Wert weniger Euros bringt komplette Lieferketten zum Stillstand. Im Finanzdienstleistungsbereich ist das Outsourcing daher ein zunehmend wichtiges Thema bei Prüfungen durch die Aufsichtsorgane BaFin und Bundesbank. Die aktuelle Konsultation zu den Bankaufsichtlichen Anforderungen an die IT “BAIT” zur Konkretisierung der MaRisk machen dies deutlich. Die Auslagerungssteuerung ist eines von acht Themen dieses Rundschreibens.

In einem zweiteiligen Beitrag auf  der Plattform 3GRC habe ich einige Grundlagen zum Supply Chain Continuity Management zusammengefasst:

Supply Chain Resilience – Absicherung der kritischen Lieferketten

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Ich freue mich auf Ihr Feedback.

BCM-News Daily Digest

Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT” (BAIT)

Die BAIT (Bankaufsichtliche Anforderungen  an die IT) konkretisieren die Anforderungen der MaRisk an die Ausgestaltung der Informationstechnologie durch BaFin und Deutsche Bundesbank.

Die Konkretisierungen umfassen die Themen

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  • IT-Betrieb (inkl. Datensicherung)
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen.

Das Rundschreiben, das nunmehr im Entwurf zur Konsultation vorliegt, adressiert die Geschäftsleitung der Kreditinstitute und soll die Anforderungen der MaRisk konkretisieren. Die Anforderungen der MaRisk bleiben hiervon unberührt. Daneben bleiben die Institute verpflichtet, “bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards und sowie grundsätzlich auf den Stand der Technik abzustellen.”

Die Konsultationsphase endet am 5. Mai 2017.

BCM-News Daily Digest

Ermittlung der finanziellen Folgeschäden in der BIA – Herausforderungen und Lösungsansätze

Ermittlung von Folgeschäden in der Business Impact Analyse
Die Ermittlung der finanziellen Folgewirkungen des Ausfalls von Geschäftsprozessen ist ein elementarer Bestandteil der Business Impact Analyse (BIA) im Business Continuity Management (BCM).
Die Impact-Analyse – Folgeschadenabschätzung – dient dazu, Geschäftsprozesse abhängig von den jeweiligen Schadensfolgen bei einem Ausfall für die Wiederherstellung zu priorisieren. Hierdurch sollen monetäre und nicht-monetäre Schäden durch Geschäftsprozessunterbrechungen minmiert werden. Neben den finanziellen Folgeschäden zählen zu den betrachteten Schadenskategorien beispielhaft

• Verstöße gegen rechtliche und regulatorische Anforderungen

• Bruch vertraglicher Vereinbarungen

• Image- und Reputationsschäden

• Verlust der Steuerungsfähigkeit

• Beeinträchtigung von Safety und Security.

Die Ermittlung der finanziellen Folgeschäden durch die Unterbrechung von Geschäftsprozessen zählt regelmäßig zu einer der größten Herausforderungen bei der Durchführung der BIA. Die Fachbereiche tun sich schwer in der Ermittlung dieser monetären Größe. Dies liegt zum Einen daran, daß sich der finanzielle Impact über den Zeitablauf einer Prozessunterbrechung gar nicht so einfach ermitteln lässt. Die Betrachtung eines Notfall-Szenarios ist sehr abstrakt und gehört nicht zum normalen Denkmuster. Welche Annahmen sollen getroffen werden hinsichtlich, Zeitpunkt, Umfang und Rahmenbedingungen des Notfalls? Die Schadensfolgen des Ausfalls eines Wertpapierhandelsprozesses in einem stabilen Marktumfeld sehen beispielsweise völlig anders aus, als in einem volatilen oder gar chaotischen Markt. Weiterhin gibt es viele produktspezifische Fragestellungen wie zum Beispiel der Umgang mit Verträgen, die im ersten Jahr zu Anfangsverlusten führen – zum Beispiel durch Vertriebsaufwände – und erst in den Folgejahren Erträge für das Unternehmen erzielen. Wie soll der finanzielle Impact für diese Deckungsbeitragsverläufe kalkuliert werden – zum Teil über Laufzeiten von mehreren Jahrzehnten? Eine Prozessunterbrechung würde in diesem Falle bei einer Betrachtungperiode von 12 Monaten gar zu Gewinnen führen und der Geschäftsprozess nicht wiederhergestellt werden.
Zum Anderen erweckt die Festlegung monetärer Folgeschäden, vielleicht noch mit Nachkommastellen versehen, eine Genauigkeit, die in dieser Form gar nicht erreicht werden kann – und auch nicht benötigt wird. Dieser vermeintliche Anspruch an Genauigkeit in der Darstellung verunsichert die Fachbereiche zusätzlich. Dies gilt insbesondere für die Fachbereiche, die es gewohnt sind zahlenbasiert mit einer hohen Genauigkeit zu arbeiten (Bsp. Controlling und Rechnungswesen).

Welchen Anforderungen muss die Ermittlung des finanzieller Impacts genügen?

• um die Vergleichbarkeit von Impact-Bewertungen über die Prozesse sicherzustellen, muss der Impact für alle Prozesse nach identischen Prämissen und Verfahren bewertet werden (zum Beispiel die Berücksichtigung und finanzielle Bewertung von Personalausfallkosten bei einer Prozessunterbrechung)

• Die Prämissen müssen im Vorfeld der BIA möglichst exakt definiert werden (worst case- Betrachtung, Kunden- und Marktumfeld, zu berücksichtigende Kosten und Erträge, Umgang mit Opportunitätskosten)

• Fachbereiche müssen auf Basis dieser Prämissen die finanziellen Folgeschäden möglichst einfach ermitteln können

• Das Ergebnis der Schadensermittlung muss plausibel und nachvollziehbar (auch für Dritte) sein

• Für Geschäftsprozesse, die unterstützend wirken, muss ein Verfahren zur Vererbung der Schadenswirkungen festgelegt werden.

Wie sind diese Anforderungen zu erreichen?
Der größte Erfolgsfaktor für qualitativ hochwertige BIA-Ergebnisse liegt in einer guten Vorbereitung und Konfiguration der BIA. Die Prämissen für Bewertungen müssen eindeutig festgelegt und für die Durchführung der BIA dokumentiert werden. Für die Ermittlung des finanziellen Impacts ist eine Auseinandersetzung mit den betriebswirtschaftlichen Eckdaten des Unternehmens zwingend notwendig. Mengengerüste zu den Produkten und Services, Kosten- und Ertragsstrukturen sowie Deckungsbeitragsverläufe einzelner Produktkategorien und Services sind die Grundlage zur Ermittlung finanzieller Impacts. Ideal wäre natürlich eine Prozesskostenrechnung – leider immer noch häufiger Vision als Realität. Jetzt ist der Wirtschaftswissenschaftler im Business Continuity Manager gefordert! Aber wir sind ja vielseitig aufgestellt.
Der Geschäftsbericht ist ein zunächst ein guter Ausgangspunkt für diese betriebswirtschaftliche Analyse. Wichtige Eckdaten finden sich in Bilanz und Gewinn- und Verlustrechnung sowie Anhang. Der Schlüssel zu einer guten BIA ist jedoch die interdisziplinäre Zusammenarbeit mit dem Risikomanagement und Controlling, geht es doch um nichts Anderes als die Durchführung von Stresstests für den Ausfall von Produkten und Services. Beiden genannten Disziplinen ist die Durchführung von Stresstests nicht fremd. Wahrscheinlich liegen bereits viele Zahlen für die BIA-spezifischen Stresstests vor und können wiederverwendet werden.
Mit den Spezialisten kann die Frage beantwortet werden, welche finanzielle Schäden dem Unternehmen beim Ausfall eines Produkts oder Services drohen und welche Prämissen für die Ermittlung definiert werden müssen.
Diese vorgefertigten Kalkulationsmodelle sind dann Grundlage für die konkrete Ermittlung der finanziellen Folgeschäden durch die Prozessverantwortlichen. Im Idealfall kann die Ermittlung des finanziellen Impacts so weit vorkonfiguriert werden, dass die Zuordnung der Produkte und Services zum Geschäftsprozess für die Kalkulation der finanziellen Schäden ausreichend ist. Auch die konsistente Bewertung über alle Prozesse ist so gewährleistet und das zentrale Kalkulationsmodell kann bei Bedarf aktualisiert und erweitert werden, ohne erneut eine komplette BIA mit den Fachbereichen durchführen zu müssen. Für unterstützende Geschäftsprozesse erfolgt die Ermittlung der Schadensgrößen dann mittels Vererbung über die identifizierten Prozessabhängigkeiten.
Dieses Vorgehen führt zu einem erhöhten Aufwand in der Vorbereitungsphase und Konfiguration der BIA. Lohn der Mühe ist jedoch eine einfachere und konsistente Ermittlung in der BIA-Erhebung mit den Fachbereichen und die Option einer ständigen Optimierung und Verbesserung der Kalkulationsgrundlage.