BCM Test –im Speziellen der Nachweis der Angemessenheit und Wirksamkeit des Notfallkonzeptes gem. der MaRisk für Kreditinstitute – welche Informationen benötigt das Top Management?
Ein Gast-Beitrag von Torsten Zacher für die BCM-News.
Verantwortlich für die Umsetzung des Business Continuity Management (BCM) ist das Top Management. Hier sind die BCM Standards und die KWG Novelle zu nennen. Im Rahmen dieser Verantwortung muss das Top Management ein entsprechendes Reporting erhalten. Der Artikel beschäftigt sich mit möglichen qualitativen Inhalten eines Berichts von Test speziell unter der Berücksichtigung der MaRisk AT 7.3 und dem Nachweis der Wirksamkeit und der Angemessenheit des Notfallkonzeptes, das regelmäßig durch Notfalltests zu überprüfen ist[1].
Im Entwurf des KWG § 25c Absatz 4a Nummer 5 haben „die Geschäftsleiter dafür Sorge zu tragen, das regelmäßig Notfalltest zur Überprüfung der Angemessenheit und Wirksamkeit des Notfallkonzeptes durchgeführt werden und über die Ergebnisse den jeweils Verantwortlichen berichtet werden“.[2] Die Nichteinhaltung kann gemäß KWG § 54a mit Freiheitsstrafe bis zu 5 Jahren bestraft werden.
In diesem Zusammenhang ist die Verantwortung des Top Managements für das BCM insbesondere hinzuweisen. Für die Umsetzung des Business Continuity Management Systems (BCMS) ist die Verantwortung und die Unterstützung des Top Managements ein elementarer Erfolgsfaktor. Dies wird durch die KWG Novelle unterstrichen.
Diese Verantwortung beinhaltet die regelmäßige Durchführung von Tests der Notfallkonzepte und den Nachweis über die Angemessenheit und Wirksamkeit. Daher hat das Top Management entsprechende Berichte als Nachweis empfangen.
Der Ist-Zustand ist hierbei stark durch ein quantitatives Reporting geprägt. Inhalte dieser Berichte sind selbstverständlich die Anzahl der „erfolgreich“ durchgeführten Tests.
Erfolgreich bedeutet hier, dass die definierten Testziele pro einzelnem Test erfüllt werden. Dies ist für die Durchführung auf operativer Ebene angemessen.
Das Top Management erhält ein zielgerichtetes, komprimiertes Reporting. Die ISO 22301 schreibt vor, dass Tests durchgeführt werden sollen, die mit dem Kriterium „are consistent with the scope and objectives of the BCMS“.[3] Hier zeigt sich deutlich, dass die Tests systematisch zu planen und durchzuführen sind und somit die Vorgaben der Unternehmensleitung und den Unternehmenszielen verifizieren sollen. Damit ist von der Leitungsebene eine festzulegende Notfallstrategie[4] auszuarbeiten.
Inhalte dieser Notfallstrategie in Bezug auf das Notfallkonzept können u.a. sein, dass „Geschäftsprozesse mit mindestens 50% der Leistungsfähigkeit oder des Durchsatzes funktionieren sollen“.[5]
Zentrale Inhalte zur Messung der Wirksamkeit und der Angemessenheit der Notfallkonzepte gem. der MaRisk sind der Abgleich der Vorgaben der Geschäftsleitung und deren operative Umsetzung. Ein derartiges Reporting, welches sich rein auf die quantitative Anzahl der durchgeführten Übungen bezieht, ist gemäß den Anforderungen der MaRisk (Wirksamkeit und Angemessenheit) nicht ausreichend.
Im ersten Schritt ist zu klären, was die MaRisk unten den Begriffen Wirksamkeit und Angemessenheit versteht.
Die Wirksamkeit bedeutet allgemein Leistungsgrad und Ausmaß in dem geplante Tätigkeiten verwirklicht und geplante Ergebnisse erreicht werden.
Generell sind zwei Grundaussagen über den Nachweis der Wirksamkeit zu treffen. Hier liegen in der Regel operative SLA vor, also letztendlich die Umsetzung der Vorgaben von der Geschäftsleitung.
Der erste Punkt betrifft die Wiederanlaufzeit in den Notbetrieb, also ob im Ernstfall diese einzuhalten ist. Die z.B. RTO ist in jedem (Teil-) Testprotokoll zu dokumentieren und durch das zentrale BCM zu aggregieren und zu reporten. Über die umfangreichen Prozesskettentests ist die Einhaltung z.B. der gesamt RTO an die Geschäftsleitung zu reporten. Alternativ können andere zeitlichen Messungen (MAO, MTPD) vorgenommen werden. Entscheidend sind klare Definitionen, z.B. ab wann die Zeit läuft.
Die zweite Aussage befasst sich mit dem in Notbetrieb möglichen Durchsatz, also wie viel Geschäftsvorgänge im Notfall abgearbeitet werden können. Hier können verschiedene Kennzahlen gewählt werden. Z.B. der in der ISO 22301 genannte MBCO (minimum business continuity objektive). Dieser wird als minimum service level (MSL) beschrieben, diese Bezeichnung ist auch für Personen außerhalb der BCM-Welt verständlich und daher gut zu verwenden. Dieser MSL ist letztendlich eine Vorgabe der Geschäftsleitung. Die Einhaltung ist eine existenzielle Anforderung. Die Tests werden in der Regel nicht als Ernstfall- oder Vollübung durchgeführt. Daher ist die MSL von den Experten zu schätzen.
Als qualitative Informationen gehören damit auch in den Management review die Einschätzung der Test, ob mit den gegebenen Mittel die Notfallstrategie umgesetzt werden kann.
Angemessenheit bedeutet generell Verhältnismäßigkeit sowie Eignung der ergriffenen Maßnahmen. Die Angemessenheit ist individuell zu definieren. Hier hat jedes Unternehmen in Relation zu seiner volkswirtschaftlichen Bedeutung eine „Angemessenheit“ seiner Notfallfähigkeit zu definieren. Besonders hohe Anforderungen an die Umsetzungsreife der Notfallkonzepte sind bei Stichworten wie systemrelevanten Banken oder Unternehmen der kritischen Infrastruktur (KRITIS) zu erwarten.
Für andere Unternehmen ist diese Verhältnismäßigkeit z.B. anhand der Größe, Umsatz, Produkte, Dienstleisterstruktur usw. zu definieren. Hier entscheidet letztendlich die Unternehmensstrategie, wie viel Notfallvorsorge angemessen ist. Zukünftig sollte die BCM-Strategie an dieser Stelle um den Begriff der Angemessenheit erweitert werden.
Zusammenfassung:
Das Top Management ist für das BCMS inklusive dem erfolgreichen Testen verantwortlich. Daher sind qualitative Informationen an das Management zur berichten. Vorgeschlagen wird eine zeitliche Messung, wie lange benötigt wird in den Notbetrieb zu gelangen (z.B. der RTO) und wie viel Geschäft im Notbetrieb bearbeitet werden kann (z.B. der MSL). Diese basieren auf der Notfallstrategie bzw. Vorgaben durch die Geschäftsleitung. Die Tests werden gegen diese Anforderungen durchgeführt und bewertet. Die Ergebnisse werden aggregiert an die Geschäftsleitung berichtet. Qualitative Zahlen über die Wirksamkeit sind aussagefähiger als rein quantitative Zahlen.
Über die BCM-Strategie wird auch definiert, was die Angemessenheit des Notfallkonzeptes für das eine Unternehmen bedeutet.
Disclaimer:
Der Artikel beinhaltet ausdrücklich die persönliche Meinung des Autors.
[1] MaRisk AT 7.3
[2] Drucksache 378/13, Gesetz zur Abschirmung von Risiken und zur Planung der Sanierung und Abwicklung von Kreditinstituten und Finanzgruppen, Seite 19
[3] ISO 22301 , Kapitel 8.5 Exercising and testing
[5] BSI 100-4, Kapitel 4.2.4, Zielsetzung und Anforderung an das Notfallmanagement