Risiken beim Outsourcing erkennen, steuern und minimieren

Das Risikomanagement beim Fremdbezug von Leistungen ist eines der Themen, die uns in Zukunft weiter intensiv beschäftigen werden. Kein Unternehmen kann und will heute mehr alle Leistungen rund um die Produkt- und Serviceerstellung selbst erbringen. Das Outsourcing ermöglicht die Konzentration auf die Kernkompetenzen und schafft Kostenvorteile durch Skaleneffekte bei Dienstleistern und Zulieferern. Auf der anderen Seite der Medaille stehen die Risiken durch das Outsourcing. Schon der Ausfall eines Lieferanten von Bauteilen im Wert weniger Euros bringt komplette Lieferketten zum Stillstand. Im Finanzdienstleistungsbereich ist das Outsourcing daher ein zunehmend wichtiges Thema bei Prüfungen durch die Aufsichtsorgane BaFin und Bundesbank. Die aktuelle Konsultation zu den Bankaufsichtlichen Anforderungen an die IT “BAIT” zur Konkretisierung der MaRisk machen dies deutlich. Die Auslagerungssteuerung ist eines von acht Themen dieses Rundschreibens.

In einem zweiteiligen Beitrag auf  der Plattform 3GRC habe ich einige Grundlagen zum Supply Chain Continuity Management zusammengefasst:

Supply Chain Resilience – Absicherung der kritischen Lieferketten

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Ich freue mich auf Ihr Feedback.

Ermittlung der finanziellen Folgeschäden in der BIA – Herausforderungen und Lösungsansätze

Ermittlung von Folgeschäden in der Business Impact Analyse
Die Ermittlung der finanziellen Folgewirkungen des Ausfalls von Geschäftsprozessen ist ein elementarer Bestandteil der Business Impact Analyse (BIA) im Business Continuity Management (BCM).
Die Impact-Analyse – Folgeschadenabschätzung – dient dazu, Geschäftsprozesse abhängig von den jeweiligen Schadensfolgen bei einem Ausfall für die Wiederherstellung zu priorisieren. Hierdurch sollen monetäre und nicht-monetäre Schäden durch Geschäftsprozessunterbrechungen minmiert werden. Neben den finanziellen Folgeschäden zählen zu den betrachteten Schadenskategorien beispielhaft

• Verstöße gegen rechtliche und regulatorische Anforderungen

• Bruch vertraglicher Vereinbarungen

• Image- und Reputationsschäden

• Verlust der Steuerungsfähigkeit

• Beeinträchtigung von Safety und Security.

Die Ermittlung der finanziellen Folgeschäden durch die Unterbrechung von Geschäftsprozessen zählt regelmäßig zu einer der größten Herausforderungen bei der Durchführung der BIA. Die Fachbereiche tun sich schwer in der Ermittlung dieser monetären Größe. Dies liegt zum Einen daran, daß sich der finanzielle Impact über den Zeitablauf einer Prozessunterbrechung gar nicht so einfach ermitteln lässt. Die Betrachtung eines Notfall-Szenarios ist sehr abstrakt und gehört nicht zum normalen Denkmuster. Welche Annahmen sollen getroffen werden hinsichtlich, Zeitpunkt, Umfang und Rahmenbedingungen des Notfalls? Die Schadensfolgen des Ausfalls eines Wertpapierhandelsprozesses in einem stabilen Marktumfeld sehen beispielsweise völlig anders aus, als in einem volatilen oder gar chaotischen Markt. Weiterhin gibt es viele produktspezifische Fragestellungen wie zum Beispiel der Umgang mit Verträgen, die im ersten Jahr zu Anfangsverlusten führen – zum Beispiel durch Vertriebsaufwände – und erst in den Folgejahren Erträge für das Unternehmen erzielen. Wie soll der finanzielle Impact für diese Deckungsbeitragsverläufe kalkuliert werden – zum Teil über Laufzeiten von mehreren Jahrzehnten? Eine Prozessunterbrechung würde in diesem Falle bei einer Betrachtungperiode von 12 Monaten gar zu Gewinnen führen und der Geschäftsprozess nicht wiederhergestellt werden.
Zum Anderen erweckt die Festlegung monetärer Folgeschäden, vielleicht noch mit Nachkommastellen versehen, eine Genauigkeit, die in dieser Form gar nicht erreicht werden kann – und auch nicht benötigt wird. Dieser vermeintliche Anspruch an Genauigkeit in der Darstellung verunsichert die Fachbereiche zusätzlich. Dies gilt insbesondere für die Fachbereiche, die es gewohnt sind zahlenbasiert mit einer hohen Genauigkeit zu arbeiten (Bsp. Controlling und Rechnungswesen).

Welchen Anforderungen muss die Ermittlung des finanzieller Impacts genügen?

• um die Vergleichbarkeit von Impact-Bewertungen über die Prozesse sicherzustellen, muss der Impact für alle Prozesse nach identischen Prämissen und Verfahren bewertet werden (zum Beispiel die Berücksichtigung und finanzielle Bewertung von Personalausfallkosten bei einer Prozessunterbrechung)

• Die Prämissen müssen im Vorfeld der BIA möglichst exakt definiert werden (worst case- Betrachtung, Kunden- und Marktumfeld, zu berücksichtigende Kosten und Erträge, Umgang mit Opportunitätskosten)

• Fachbereiche müssen auf Basis dieser Prämissen die finanziellen Folgeschäden möglichst einfach ermitteln können

• Das Ergebnis der Schadensermittlung muss plausibel und nachvollziehbar (auch für Dritte) sein

• Für Geschäftsprozesse, die unterstützend wirken, muss ein Verfahren zur Vererbung der Schadenswirkungen festgelegt werden.

Wie sind diese Anforderungen zu erreichen?
Der größte Erfolgsfaktor für qualitativ hochwertige BIA-Ergebnisse liegt in einer guten Vorbereitung und Konfiguration der BIA. Die Prämissen für Bewertungen müssen eindeutig festgelegt und für die Durchführung der BIA dokumentiert werden. Für die Ermittlung des finanziellen Impacts ist eine Auseinandersetzung mit den betriebswirtschaftlichen Eckdaten des Unternehmens zwingend notwendig. Mengengerüste zu den Produkten und Services, Kosten- und Ertragsstrukturen sowie Deckungsbeitragsverläufe einzelner Produktkategorien und Services sind die Grundlage zur Ermittlung finanzieller Impacts. Ideal wäre natürlich eine Prozesskostenrechnung – leider immer noch häufiger Vision als Realität. Jetzt ist der Wirtschaftswissenschaftler im Business Continuity Manager gefordert! Aber wir sind ja vielseitig aufgestellt.
Der Geschäftsbericht ist ein zunächst ein guter Ausgangspunkt für diese betriebswirtschaftliche Analyse. Wichtige Eckdaten finden sich in Bilanz und Gewinn- und Verlustrechnung sowie Anhang. Der Schlüssel zu einer guten BIA ist jedoch die interdisziplinäre Zusammenarbeit mit dem Risikomanagement und Controlling, geht es doch um nichts Anderes als die Durchführung von Stresstests für den Ausfall von Produkten und Services. Beiden genannten Disziplinen ist die Durchführung von Stresstests nicht fremd. Wahrscheinlich liegen bereits viele Zahlen für die BIA-spezifischen Stresstests vor und können wiederverwendet werden.
Mit den Spezialisten kann die Frage beantwortet werden, welche finanzielle Schäden dem Unternehmen beim Ausfall eines Produkts oder Services drohen und welche Prämissen für die Ermittlung definiert werden müssen.
Diese vorgefertigten Kalkulationsmodelle sind dann Grundlage für die konkrete Ermittlung der finanziellen Folgeschäden durch die Prozessverantwortlichen. Im Idealfall kann die Ermittlung des finanziellen Impacts so weit vorkonfiguriert werden, dass die Zuordnung der Produkte und Services zum Geschäftsprozess für die Kalkulation der finanziellen Schäden ausreichend ist. Auch die konsistente Bewertung über alle Prozesse ist so gewährleistet und das zentrale Kalkulationsmodell kann bei Bedarf aktualisiert und erweitert werden, ohne erneut eine komplette BIA mit den Fachbereichen durchführen zu müssen. Für unterstützende Geschäftsprozesse erfolgt die Ermittlung der Schadensgrößen dann mittels Vererbung über die identifizierten Prozessabhängigkeiten.
Dieses Vorgehen führt zu einem erhöhten Aufwand in der Vorbereitungsphase und Konfiguration der BIA. Lohn der Mühe ist jedoch eine einfachere und konsistente Ermittlung in der BIA-Erhebung mit den Fachbereichen und die Option einer ständigen Optimierung und Verbesserung der Kalkulationsgrundlage.

Allianz Risk Barometer 2017: Betriebsunterbrechungen sind das größte Risiko

Betriebsunterbrechung ist zum im fünften Jahr in Folge das größte Risiko für Unternehmen. Neue Auslöser sind auf dem Vormarsch. Gefahren wie Naturkatastrophen und Brände sind weiterhin die Ursachen, die Unternehmen am meisten fürchten, aber die Art des Risikos verschiebt sich zunehmend auf Nicht-Schaden-Ereignisse. Ein Cybervorfall oder die indirekten Auswirkungen eines terroristischen Gewaltakts sind Ereignisse, die zu großen Verlusten führen können, ohne physische Schäden zu verursachen. Eine Zunahme solcher Ereignisse wird erwartet.“, so das Ergebnis des Allianz Risk Barometer 2017. Gute Gründe also, Notfallvorsorge in Form von Business Continuity Management (BCM), IT-Service Continuity Management (ITSCM) und Krisenmanagement zu betreiben. Ein gutes Business Continuity Management in Form eines “all hazard approach” wirkt sowohl für Schaden, als auch Nicht-Schaden-Ereignisse gleichermaßen. Nicht-Schaden-Ereignisse wie Cyber-Attacken erfordern neben den klassischen BCM-Konzepten und -plänen eine enge und sorgfältige Abstimmung aller Disziplinen von den Notfallplänen über eine abgestimmte IT-Notfallvorsorge bis hin zu einem funktionierenden Krisenmanagement mit der internen und externen Krisenkommunikation. Notfallpläne in der Schublade alleine reichen für die aktuellen Anforderungen komplexer und dynamischer Szenarien nicht mehr aus. BCM, ITSCM und Krisenmanagement müssen fester Bestandteil der Unternehmensführung und -steuerung sein. Nicht umsonst steckt in jeder dieser Disziplinen das Wörtchen “…management”. Die Implementierung mag ein langer, steiniger Weg sein, doch erkennen viele Unternehmen inzwischen den Nutzen dieser Investition über die reine Notfallvorsorge hinaus. Gibt eine Versicherung nur ein etwas beruhigerendes Gefühl für das ausgegebene Geld, schaffen BCM und ITSCM demgenüber ein hohes Maß an Transparenz der komplexen Zusammenhänge von Wertschöpfungsketten und Ressourcen des Unternehmens – quasi als Nebenprodukt einer Business Impact Analyse.  Das Krisenmanagement unterstützt in Form von Krisenstabstrainings und -übungen die übergreifende Zusammenarbeit und das Verständnis für die Inhalte des “Silos” der jeweiligen Anderen. Damit zu starten, ist ein guter Vorsatz für 2017. Viele Vorsätze für das neue Jahr scheitern, weil die Ziele für das Leistungsvermögen, Zeit und Budget weit zu hoch gesteckt sind. Ich empfehle daher eine stufenweise Implementierung in überschaubaren Schritten  mit einer abgestimmten Vision, damit die Organisation in das Thema “wachsen” kann und keine Investitionsruine entsteht.

Der Allianz Risk Barometer 2017 ist auf der Webseite der AGCS verfügbar.

Be prepared

Matthias Hämmerle MBCI

Gestalten Sie die BCM-News im zehnten Jahr!

Das neue Jahr ist gestartet und die Tage vergehen schon wieder wie im Flug. Die BCM-News werden dieses Jahr schon zehn Jahre alt- unglaublich aber wahr. Auch im zehnten Jahr wird es hier wieder tagesaktuelle News und Beiträge rund um die Themen BCM, Informationssicherheit, Krisenmanagement und physische Sicherheit geben.

Bestimmen Sie mit, welche Themen in den redaktionellen Beiträgen behandelt werden sollen. Bitte geben Sie hierzu möglichst konkrete Themen und Fragestellungen in den Kommentaren zu diesem Beitrag an.Nutzen Sie die Gelegenheit und treiben Sie die BCM-News auch im zehnten Jahr als führendes Informationsportal für BCM in Deutschland weiter voran. Auch Gastbeiträge sind selbstverständlich wieder herzlich willkommen.

Ich freue mich auf Ihre Rückmeldungen.

„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Ein Mitarbeiter erhält eine an ihn persönlich adressierte Mail in der ihm ein befreundeter Geschäftspartner das Profil eines interessanten Kandidaten für eine offene Stelle im Anhang zusendet. Der Mitarbeiter öffnet den Anhang der Mail und das Schicksal nimmt seinen Lauf. Schrittweise verschlüsselt die im Anhang enthaltene Ransomware alle Dateien in den Laufwerken. Weiterlesen…

Business Continuity Institute veröffentlicht aktuelle Supply Chain Continuity Studie

Das Business Continuity Institute BCI hat heute im Rahmen der BCI World Conference in Zusammenarbeit mit Zurich die aktuelle Supply Chain Continuity Studie veröffentlicht:

“One in three organizations has experienced cumulative losses of over €1 million during the last year as a result of supply chain disruptions. That is according to the Supply Chain Resilience Report published by the Business Continuity Institute and supported by Zurich Insurance Group.

The report showed that, despite a decrease in the percentage of organizations that experienced at least one disruption (70% from 74%), those organizations suffered more of them, with the percentage of organizations that experienced at least eleven disruptions during the year increasing from 7% to 22%.”

Auf gehts zur BCI World Conference & Exhibition

Heute geht es nach London zur BCI World Conference & Exhibition. Ich bin gespannt auf zwei Tage mit interessanten Vorträgen, Treffen mit Kollegen und Ausstellern. Die Disziplin Business Continuity Management befindet sich aus meiner Sicht in einem starken Wandel. Cyber Attacken lenken den Fokus weg von den klassischen BCM-Risiken stärker auf die Informationssicherheit. Die Disziplin BCM selbst hat sich mit einem Wust an Standards, Begriffswirrwar und unnötiger Komplexität vergaloppiert und den Fokus verloren. Die Schnittstellen zu wichtigen anderen Disziplinen des Resilience Engineering sind noch nicht ausgestaltet, stattdessen herrscht Wettbewerb um die Bedeutungshoheit. Es gibt viel zu tun. Ich freue mich auf neue Inspirationen und die Sicht der BCM-Kollegen auf die Dinge. Ich werde berichten.

BCM-Wiki

Sie haben Fragen bei der Umsetzung von BCM, Krisenmanagement oder Informationssicherheit?

Sie haben sich an die Umsetzung von Business Continuity Management, Krisenmanagement oder informationssicherheit gewagt und stecken jetzt bei einer Frage fest? Im neuen Menüpunkt “BCM-Hilfe” haben Sie jetzt die Möglichkeit, Ihre Frage loszuwerden und eine Hilfestellung zu bekommen. Für Ihre Frage erstellen Sie einfach unter “BCM-Hilfe” im Ticketsystem ein Ticket. Dieses Ticket können nur Sie und ich lesen. Ich werde versuchen, ihr Ticket so schnell als möglich zu beantworten. Da ich jeden Tag unterwegs bei meinen Kunden bin, kann die Rückantwort etwas Zeit benötigen. Bitte haben Sie hierfür Verständnis.

Das neue Zivilschutzkonzept und meine persönliche Vorsorge

Das “neue” Zivilschutzkonzept hat die Medien in den vergangenen Wochen sehr bewegt. Leider ist die Kommunikation des Konzepts völlig verunglückt, weil Auszüge über die Presse vorab veröffentlicht wurden. Gerade diese vorab veröffentlichten Auszüge über die private Vorsorge, die unseren Hamster ins Rampenlicht rückten, sind der mit Abstand harmlose Teil des Konzepts. Die Empfehlungen für die persönliche Vorsorge liegen seit vielen Jahren vom BBK vor. Vielleicht ist es ein positiver Aspekt des Medien-Hype, dass diese Notfallvorsorge wieder in das Bewusstsein rückt. Einige Anbieter von Prepper-Artikeln freuen sich gerade über einen temporären Nachfrageboom. Ich gehe davon aus, dass die Konzeption Zivile Verteidigung von den Medienvertretern überwiegend gar nicht gelesen oder in der Tragweite nicht verstanden wurde. Der Wehrdienst ist rechtlich nur ausgesetzt, im Verteidigungsfall kann der Staat sehr weitreichend in die Abläufe der kritischen Infrastrukturen eingreifen und Transport- sowie Produktionsmittel beschlagnahmen genau so wie Lebensmittel und deren Herstellung sowie Distribution (Notstandsverfassung 115a bis 115l GG). Interessant ist eher der Schwenk von rein militärischen Angriffsszenarien, die die zivile Verteidigung bislang beherrschten zu “hybriden Bedrohungen” für die kritischen Infrastrukturen. Damit gemeint sind unter anderem auch Cyber-Attacken und der Ausfall oder die Störung von kritischen Infrastrukturen. Beim Studium des Konzepts wird man feststellen, dass sich die Bundesregierung vielen Aufgaben stellt, die in der Zukunft noch konzipiert und umsetzt werden müssen. Viele Sätze beginnen mit “Der Bund entwickelt ein Konzept …”. Der Handlungsbedarf des Bundes ist in diesem Konzept zumindest erkannt und benannt, auch wenn noch vieles zu  konkretisieren und umzusetzen ist. Auch die Betreiber kritischer Infrastrukturen werden deutlich adressiert:

“Jeder Betreiber soll in seinem Zuständigkeitsbereich freiwillig und eigeninitiativ Verantwortung für ein angemessenes Sicherheitsniveau übernehmen. Der Staat erteilt den Betreibern nach Einschätzung der Erforderlichkeit konkrete Auflagen zur Verbesserung der Resilienz und Sicherheit der Kritischen Infrastrukturen. Eine „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ fasst die Zielvorstellungen und den politisch-strategischen Ansatz des Bundes auf diesem Politikfeld zusammen. In einem „Rahmenkonzept Risiko- und Krisenmanagement Betreiber Kritischer Infrastrukturen“ werden Anforderungen an das Erstellen betrieblicher Risikoanalysen und die Ableitung von Sicherheitsmaßnahmen sowie zum Auf- bzw. Ausbau betrieblicher Krisenmanagementstrukturen formuliert”. Neben dem IT-Sicherheitsgesetz können auf die Betreiber also weitere Anforderungen im Risiko- und Krisenmanagement zukommen.

Neben dieser Initiative des Bundes ist die Überwindung der “Friedensdividende” auch bei Ländern und Gemeinden spürbar. Wurden vor Jahren flächendeckend die Sirenen zur Warnung der Bevölkerung demontiert, da auf elektronische Wege gesetzt wurde, verkünden Gemeinden jetzt stolz den Bau von Hochleistungssirenen. Daneben finden die elektronischen Warnsysteme “Katwarn” und “Nina“, gerade nach dem Attentat in München, zunehmend Verbreitung bei Gemeinden und in der Bevölkerung.

Die persönliche Vorsorge, in anderen Ländern eine Selbstverständlichkeit, wird hier noch mit Unverständnis und Belustigung (“Hamster”) aufgenommen. Zu sehr fehlt hier noch das Risikobewusstein bei den Bürgern und zu ausgeprägt ist das Verlassen auf Bund und Betreiber kritischer Infrastrukturen. Dabei ist die Anschaffung von Kerzen / Teelichte, einem batteriebetriebenen Radio, Batterien und Konserven keine große Sache. Alle Kollegen, die sich mit diesen Themen intensiver beschäftigen, betreiben die Vorsorge nach meiner Erfahrung berufsbedingt etwas intensiver – ohne gleich zur Gruppe der Prepper zu gehören. So findet sich in meiner Garage ein Notstromaggregat und in einem Karton schnell griffbereit Taschenlampe, Batterien, Kerzen, Zündhölzer, ein Kurbelradio, Battery-Packs mit Solarpanel zum Laden sowie Micropur-Tabletten für die Wasserentkeimung. Alles Dinge, die auch mal in den Camping-Urlaub oder die Motorradtour mitgehen. Vorsorge ist kein großer Aufwand und bei einem Stromausfall ist romantisches Kerzenlicht ganz angenehm und nützlich.

Bei Kerzenlicht empfehle ich dann die folgende Lektüre:

http://amzn.to/2cj2iqU