BaFin veröffentlicht vier neue Konsultationsverfahren u.a. zu den MaRisk

Die am 26. April vom BaFin auf deren Webseite veröffentlichten Überarbeitungen betreffen

  • die MaRisk
  • die MaComp
  • das Merkblatt zu AR- und VR-Mitgliedern
  • das Provisionsabgabe- und VergĂŒnstigungsverbot.

Der fĂŒr das BCM maßgebliche Abschnitt AT 7.3 in den MaRisk ist im Konsultationspapier unverĂ€ndert aus der aktuell gĂŒltigen Fassung ĂŒbernommen. Hieraus ergeben sich fĂŒr das BCM keine direkten Implikationen aus der Neufassung. Die vorgesehenen Anpassungen der MaRisk sind im Konsultationspapier dokumentiert.

http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2012/meldung_120426_konsultationen.html

Katastrophenforscher: “Die Welt hat aus dem Titanic-Untergang nichts gelernt”

Katastrophenforscher Martin Voss von der Katstrophenforschungssstelle an der FU Berlin zur TechnikglĂ€ubigkeit der Menschen, um Katastrophen beherrschen zu können. “Statt unser Weltbild in Frage stellen zu lassen, bauen wir nur bessere Schiffe, höhere Deiche oder wollen uns mit FrĂŒhwarnsystemen schĂŒtzen.”, so Martin Voss in dem Artikel, der in welt online veröffentlicht wurde. Doch er sieht momentan ein Umdenken. Katastrophen sind laut Voss in der Regel in der Kausalkette auf Menschen und nicht die Natur zurĂŒckzufĂŒhren. Dann nĂ€mlich, wenn zum Beispiel durch Erdbeben und Tsunami gefĂ€hrdete Gebiete durch Menschen besiedelt werden. Diese Aussage wiederum passt sehr gut zu den Ergebnissen des UN-Berichts “World Urbanization Prospects: The 2011 Revision”, aus dem ich in einem Artikel vor Kurzem die wichtigen Erkenntnisse fĂŒr das Katastrophenmanagement zusammengefasst habe: die risikogefĂ€hrdeten Regionen werden ĂŒberdurchschnittlich stark besiedelt. 890 Millionen Menschen leben in stark durch Naturkatastrophen gefĂ€hrdeten Regionen und deren Zahl nimmt stĂ€ndig zu.

Welt online

BCM – eine Datensammlung auf dem Weg zu einer Strategie

Ein Gastbeitrag von Torsten Zacher

Ist BCM nur eine Datensammlung zur ErfĂŒllung von externen Anforderungen oder schafft es durch einen strategischen Umgang mit den Prozessen einen Mehrwert?

Einleitung

Das Business Continuity Managements erhebt eine Vielzahl von Informationen. Im Rahmen der Business Impact Analyse werden vielfĂ€ltige Anforderungen an die VerfĂŒgbarkeit von Ressourcen gestellt. Auf dieser Basis werden GeschĂ€ftsfortfĂŒhrungsplĂ€ne zur BewĂ€ltigung von NotfĂ€llen und Krisen erstellt.

Wie wird aber weiter mit den Daten umgegangen? Wie nehmen EntscheidungstrĂ€ger das Thema wahr? Weiterlesen…

A long way to a risk-aware culture

“Focus on enterprise-wide risk management has grown, but most executives feel their companies still have a long way to go in building an effective, risk-aware culture.”, so eines der zentralen Ergebnisse der Studie zu Risk Management der Harvard Business Review sponsored by Zurich.

[Risk Management in a Time of Global Uncertainty (pdf)]

Welche Risiken sehen die Unternehmen fĂŒr 2012? Die aktuelle Studie des BCI zu den Top-Risiken

Das Business Continuity Institute BCI hat im Dezember 2011 458 Organisationen aus 49 LĂ€ndern und 15 Branchen zu der EinschĂ€tzung von 28 Risiken befragt. In den Ergebnissen der Studie “Horizon Scan 2012” ĂŒber alle Branchen und LĂ€nder hinweg rangieren die Risiken

  • ungeplante IT- und Telekommunikations-AusfĂ€lle
  • Datenverlust
  • Cyber Attacken

an der Spitze der eingeschĂ€tzten Bedrohungen. Im verarbeitenden Gewerbe wird das Risiko einer Lieferunterbrechung vor allen anderen Risiken gesehen. Japan und Thailand habe die Bedeutung dieser Risiken in 2011 sehr deutlich werden lassen. Neben dem Ausfall von IT und Telekommunikation spielt das Risiko von Produktfehlern im produzierenden Gewerbe eine besonders bedeutende Rolle. WĂ€hrend Behörden eher Unwetter und den Ausfall Personal befĂŒrchten.

[BCI Horizon Scan 2012 (pdf)]

Betriebsunterbrechungen, Naturkatastrophen und wirtschaftliche Risiken sind weltweit die grĂ¶ĂŸten Gefahren fĂŒr Unternehmen

Die Industrieversicherungssparte der Allianz AGCS hat in einer Studie, die welt online exklusiv vorliegt, weltweit die grĂ¶ĂŸten Gefahren fĂŒr Unternehmen erhoben. Neben den ökonomischen Risiken, die weltweit vorn liegen, werden die Gefahren von Betriebsunterbrechungen und Naturkatastrophen hoch eingeschĂ€tzt. Die Top 5 -Risiken fĂŒr Deutschland sind

  1. Ökonomische Risiken
  2. Betriebsunterbrechung (inkl. Unterbrechung der Lieferketten)
  3. KomplexitÀtsrisiken
  4. Reputationsrisiken
  5. Legale / regulatorische Risiken.

KomplexitĂ€tsrisiken (Planungs-, Konstruktionsfehler, erhöhte KomplexitĂ€t von Projekten und Organisationen) kommen nur in Deutschland unter die TOP 5 Risiken. DafĂŒr wird in Deutschland die Gefahr von Naturkatastrophen nicht so hoch eingeschĂ€tzt wie zum Beispiel in den NachbarlĂ€ndern Frankreich und Großbritannien. Die Gefahr von Betriebsunterbrechungen rangiert weltweit unter die TOP 3 Risiken.

[Studienergebnisse der AGCS (pdf)]

World Risk Report 2011: welche LÀnder sind durch Naturkatastrophen am stÀrksten gefÀhrdet

Das WorldRiskIndex Projekt der UniversitĂ€t der UN in Bonn hat mit dem WorldRiskIndex ein Verfahren entwickelt, mit dem die GefĂ€hrdung von LĂ€ndern durch Naturkatastrophen eingeschĂ€tzt werden kann. In den Index geht auf der einen Seite die Eintrittswahrscheinlichkeit einer Naturkatastrophe ein, auf der anderen Seite aber auch die FĂ€higkeit des Landes mit der Folgen einer Naturkatastrophe umzugehen. Im WorldRiskReport 2011 wurden die Risiken von 173 LĂ€ndern weltweit analysiert. Auf dem WorldRiskIndex ganz oben stehen LĂ€nder aus Asien und Lateinamerika. Vanuatu, Tonga und die Philippinen fĂŒhren den Index der LĂ€nder mit den höchsten Risiken an. Die verwundbarsten LĂ€nder liegen jedoch in Afrika und Asien (Afghanistan, Niger, Tschad). Deutschland liegt auf Rang 150, am sichersten scheint man in Quatar aufgehoben zu sein (Rang 173).

BSI stellt webbasiertes Grundschutztool GSTOOL 5.0 vor

Das Bundesamt fĂŒr Sicherheit in der Informationstechnik BSI hat das GSTOOL fĂŒr die neue Version 5.0 völlig neu programmieren lassen. Das GSTOOL ist jetzt webbasiert, plattformunabhĂ€ngig und basiert auf einer Oracle-Datenbank. Das BSI stellt die neue Lösung auf dem  IT-Grundschutztag am 12.10.2011 im Rahmen der IT-Security Messe (it-sa) in NĂŒrnberg vor. Neben der Vorstellung des Tools gibt es Berichte der Beta-Tester sowie interessante FachvortrĂ€ge. Anmeldungen zum IT-Grundschutztag sind auf der Internetseite des BSI möglich.

Wie objektiv kann die EinschÀtzung von Risiken sein?

Auch wenn das quantitative Risikomanagement rational und objektiv erscheint, ist letztendlich die EinschĂ€tzung von Risiken doch stark subjektiv geprĂ€gt. Im Lesezeichen “So vermeiden Sie Katastrophen” hatte ich auf den Beitrag von Tinsley, Dillon und Madsen im Harvard Business manager hingewiesen, in dem beschrieben wird, wie uns Effekte der selektiven Wahrnehmung der Chance berauben Katastrophen rechtzeitig wahrzunehmen. In seinem Beitrag “Illusion der Risikokontrolle” beschreibt Dipl. Psych. Johannes Wadle auf RiskNET  anhand praktischer Beispiele wie subjektiv am Ende doch die EinschĂ€tzung von Risiken ist. Am Beispiel des Risikos beim Fliegen durch einen Absturz ums Leben zu kommen zeigt Wadle auf, dass das Risiko von verschiedenen Personen völlig unterschiedlich wahrgenommen wird und in der Konsequenz zu anderem Verhalten fĂŒhrt (Flugangst und Vermeidung von FlĂŒgen im Gegensatz zum GefĂŒhl der Sicherheit beim Fliegen). Was lernen wir hieraus? Die Messung von Eintrittswahrscheinlichkeiten und Schadensfolgen ist eine wichtige Grundlage fĂŒr das Management von Risiken. Subjektive Wahrnehmungsfehler können jedoch zu falschen Konsequenzen und damit zu Katastrophen fĂŒhren, wenn zum Beispiel Fehler mehrfach ohne Folgen bleiben bis sie dann eines Tages zur Katastrophe fĂŒhren. Diese subjektiven Wahrnehmungsfehler zu erkennen und zu korrigieren ist mit Aufgabe des Managements von Risiken. Gerade im Business Continuity Mangement fĂŒhrt dies manchmal zur Situation, dass der Business Continuity Manager auf UnverstĂ€ndnis oder gar Ablehnung im Unternehmen stösst, wenn er auf Risiken hinweist, die bislang nicht gesehen werden (wollten oder konnten). Eine kleine Hilfe fĂŒr den BC Manger ist in diesen Situationen zu wissen, dass es keine böse Absicht ist, oder gar gegen ihn persönlich gerichtet ist, sondern verbreitete psychologische Wahrnehmungsfehler, die dazu gefĂŒhrt haben, dass Risiken nicht als solche wahrgenommen wurden. Aus Japan kam der Trend zur Fehlerkultur. Auch hinsichtlich der Risikokultur können wir aus den tragischen Ereignissen in Japan lernen, wo Fehler in der Erkennung von Risiken durch einen großen Tsunami nach dem Motto “was nicht sein darf, kann nicht sein”, verbunden mit einer mangelnder Aufsicht, zum Tod vieler Menschen gefĂŒhrt hat.

Lesezeichen: “So vermeiden Sie Katastrophen”, HBM 06/2011

Katastrophen werden in der Regel durch zahlreiche kleine Fehler vorher angekĂŒndigt. Wer auf diese “schwachen Signale” achtet, kann Krisen vermeiden. Dies ist das Thema des sehr lesenswerten Artikels zum Risikomanagement im Harvard Business Manager. An den Beispielen “Ölkatastrophe von BP im Golf von Mexiko”, “Antennenprobleme beim iPhone4”, “Gaspedal Toyota in den USA”, “Jetblue” sowie psychologischer Studien zeigen die Autoren auf, dass es vor Eintreten der Krise zahlreiche schwache Signale gegeben hat, die die Krise angekĂŒndigt haben. Effekte der selektiven Wahrnehmung des Menschen, die “Normalisierung” und “Outcome Bias” verhindern, dass wir diese Signale richtig deuten. Die Autoren geben uns sieben Strategien an die Hand, um diese Wahrnehmungsfehler vermindern zu können.

Das Konzept der schwachen Signale ist schon etwas Ă€lter. Ansoff hat bereits in den siebziger Jahren das Konzept der “weak signals” im Rahmen der RisikofrĂŒherkennung beschrieben. Der Artikel ĂŒbertrĂ€gt die Erkenntnisse auf aktuelle Beispiele und gibt konkrete Handlungsempfehlungen. Ein klarer Lesetipp fĂŒr alle Risiko- und BC Manager.