BaFin veröffentlicht vier neue Konsultationsverfahren u.a. zu den MaRisk

Die am 26. April vom BaFin auf deren Webseite veröffentlichten Überarbeitungen betreffen

  • die MaRisk
  • die MaComp
  • das Merkblatt zu AR- und VR-Mitgliedern
  • das Provisionsabgabe- und Vergünstigungsverbot.

Der für das BCM maßgebliche Abschnitt AT 7.3 in den MaRisk ist im Konsultationspapier unverändert aus der aktuell gültigen Fassung übernommen. Hieraus ergeben sich für das BCM keine direkten Implikationen aus der Neufassung. Die vorgesehenen Anpassungen der MaRisk sind im Konsultationspapier dokumentiert.

http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2012/meldung_120426_konsultationen.html

Katastrophenforscher: “Die Welt hat aus dem Titanic-Untergang nichts gelernt”

Katastrophenforscher Martin Voss von der Katstrophenforschungssstelle an der FU Berlin zur Technikgläubigkeit der Menschen, um Katastrophen beherrschen zu können. “Statt unser Weltbild in Frage stellen zu lassen, bauen wir nur bessere Schiffe, höhere Deiche oder wollen uns mit Frühwarnsystemen schützen.”, so Martin Voss in dem Artikel, der in welt online veröffentlicht wurde. Doch er sieht momentan ein Umdenken. Katastrophen sind laut Voss in der Regel in der Kausalkette auf Menschen und nicht die Natur zurückzuführen. Dann nämlich, wenn zum Beispiel durch Erdbeben und Tsunami gefährdete Gebiete durch Menschen besiedelt werden. Diese Aussage wiederum passt sehr gut zu den Ergebnissen des UN-Berichts “World Urbanization Prospects: The 2011 Revision”, aus dem ich in einem Artikel vor Kurzem die wichtigen Erkenntnisse für das Katastrophenmanagement zusammengefasst habe: die risikogefährdeten Regionen werden überdurchschnittlich stark besiedelt. 890 Millionen Menschen leben in stark durch Naturkatastrophen gefährdeten Regionen und deren Zahl nimmt ständig zu.

Welt online

BCM – eine Datensammlung auf dem Weg zu einer Strategie

Ein Gastbeitrag von Torsten Zacher

Ist BCM nur eine Datensammlung zur Erfüllung von externen Anforderungen oder schafft es durch einen strategischen Umgang mit den Prozessen einen Mehrwert?

Einleitung

Das Business Continuity Managements erhebt eine Vielzahl von Informationen. Im Rahmen der Business Impact Analyse werden vielfältige Anforderungen an die Verfügbarkeit von Ressourcen gestellt. Auf dieser Basis werden Geschäftsfortführungspläne zur Bewältigung von Notfällen und Krisen erstellt.

Wie wird aber weiter mit den Daten umgegangen? Wie nehmen Entscheidungsträger das Thema wahr? Weiterlesen…

A long way to a risk-aware culture

“Focus on enterprise-wide risk management has grown, but most executives feel their companies still have a long way to go in building an effective, risk-aware culture.”, so eines der zentralen Ergebnisse der Studie zu Risk Management der Harvard Business Review sponsored by Zurich.

[Risk Management in a Time of Global Uncertainty (pdf)]

Welche Risiken sehen die Unternehmen für 2012? Die aktuelle Studie des BCI zu den Top-Risiken

Das Business Continuity Institute BCI hat im Dezember 2011 458 Organisationen aus 49 Ländern und 15 Branchen zu der Einschätzung von 28 Risiken befragt. In den Ergebnissen der Studie “Horizon Scan 2012” über alle Branchen und Länder hinweg rangieren die Risiken

  • ungeplante IT- und Telekommunikations-Ausfälle
  • Datenverlust
  • Cyber Attacken

an der Spitze der eingeschätzten Bedrohungen. Im verarbeitenden Gewerbe wird das Risiko einer Lieferunterbrechung vor allen anderen Risiken gesehen. Japan und Thailand habe die Bedeutung dieser Risiken in 2011 sehr deutlich werden lassen. Neben dem Ausfall von IT und Telekommunikation spielt das Risiko von Produktfehlern im produzierenden Gewerbe eine besonders bedeutende Rolle. Während Behörden eher Unwetter und den Ausfall Personal befürchten.

[BCI Horizon Scan 2012 (pdf)]

Betriebsunterbrechungen, Naturkatastrophen und wirtschaftliche Risiken sind weltweit die größten Gefahren für Unternehmen

Die Industrieversicherungssparte der Allianz AGCS hat in einer Studie, die welt online exklusiv vorliegt, weltweit die größten Gefahren für Unternehmen erhoben. Neben den ökonomischen Risiken, die weltweit vorn liegen, werden die Gefahren von Betriebsunterbrechungen und Naturkatastrophen hoch eingeschätzt. Die Top 5 -Risiken für Deutschland sind

  1. Ökonomische Risiken
  2. Betriebsunterbrechung (inkl. Unterbrechung der Lieferketten)
  3. Komplexitätsrisiken
  4. Reputationsrisiken
  5. Legale / regulatorische Risiken.

Komplexitätsrisiken (Planungs-, Konstruktionsfehler, erhöhte Komplexität von Projekten und Organisationen) kommen nur in Deutschland unter die TOP 5 Risiken. Dafür wird in Deutschland die Gefahr von Naturkatastrophen nicht so hoch eingeschätzt wie zum Beispiel in den Nachbarländern Frankreich und Großbritannien. Die Gefahr von Betriebsunterbrechungen rangiert weltweit unter die TOP 3 Risiken.

[Studienergebnisse der AGCS (pdf)]

World Risk Report 2011: welche Länder sind durch Naturkatastrophen am stärksten gefährdet

Das WorldRiskIndex Projekt der Universität der UN in Bonn hat mit dem WorldRiskIndex ein Verfahren entwickelt, mit dem die Gefährdung von Ländern durch Naturkatastrophen eingeschätzt werden kann. In den Index geht auf der einen Seite die Eintrittswahrscheinlichkeit einer Naturkatastrophe ein, auf der anderen Seite aber auch die Fähigkeit des Landes mit der Folgen einer Naturkatastrophe umzugehen. Im WorldRiskReport 2011 wurden die Risiken von 173 Ländern weltweit analysiert. Auf dem WorldRiskIndex ganz oben stehen Länder aus Asien und Lateinamerika. Vanuatu, Tonga und die Philippinen führen den Index der Länder mit den höchsten Risiken an. Die verwundbarsten Länder liegen jedoch in Afrika und Asien (Afghanistan, Niger, Tschad). Deutschland liegt auf Rang 150, am sichersten scheint man in Quatar aufgehoben zu sein (Rang 173).

BSI stellt webbasiertes Grundschutztool GSTOOL 5.0 vor

Das Bundesamt für Sicherheit in der Informationstechnik BSI hat das GSTOOL für die neue Version 5.0 völlig neu programmieren lassen. Das GSTOOL ist jetzt webbasiert, plattformunabhängig und basiert auf einer Oracle-Datenbank. Das BSI stellt die neue Lösung auf dem  IT-Grundschutztag am 12.10.2011 im Rahmen der IT-Security Messe (it-sa) in Nürnberg vor. Neben der Vorstellung des Tools gibt es Berichte der Beta-Tester sowie interessante Fachvorträge. Anmeldungen zum IT-Grundschutztag sind auf der Internetseite des BSI möglich.

Wie objektiv kann die Einschätzung von Risiken sein?

Auch wenn das quantitative Risikomanagement rational und objektiv erscheint, ist letztendlich die Einschätzung von Risiken doch stark subjektiv geprägt. Im Lesezeichen “So vermeiden Sie Katastrophen” hatte ich auf den Beitrag von Tinsley, Dillon und Madsen im Harvard Business manager hingewiesen, in dem beschrieben wird, wie uns Effekte der selektiven Wahrnehmung der Chance berauben Katastrophen rechtzeitig wahrzunehmen. In seinem Beitrag “Illusion der Risikokontrolle” beschreibt Dipl. Psych. Johannes Wadle auf RiskNET  anhand praktischer Beispiele wie subjektiv am Ende doch die Einschätzung von Risiken ist. Am Beispiel des Risikos beim Fliegen durch einen Absturz ums Leben zu kommen zeigt Wadle auf, dass das Risiko von verschiedenen Personen völlig unterschiedlich wahrgenommen wird und in der Konsequenz zu anderem Verhalten führt (Flugangst und Vermeidung von Flügen im Gegensatz zum Gefühl der Sicherheit beim Fliegen). Was lernen wir hieraus? Die Messung von Eintrittswahrscheinlichkeiten und Schadensfolgen ist eine wichtige Grundlage für das Management von Risiken. Subjektive Wahrnehmungsfehler können jedoch zu falschen Konsequenzen und damit zu Katastrophen führen, wenn zum Beispiel Fehler mehrfach ohne Folgen bleiben bis sie dann eines Tages zur Katastrophe führen. Diese subjektiven Wahrnehmungsfehler zu erkennen und zu korrigieren ist mit Aufgabe des Managements von Risiken. Gerade im Business Continuity Mangement führt dies manchmal zur Situation, dass der Business Continuity Manager auf Unverständnis oder gar Ablehnung im Unternehmen stösst, wenn er auf Risiken hinweist, die bislang nicht gesehen werden (wollten oder konnten). Eine kleine Hilfe für den BC Manger ist in diesen Situationen zu wissen, dass es keine böse Absicht ist, oder gar gegen ihn persönlich gerichtet ist, sondern verbreitete psychologische Wahrnehmungsfehler, die dazu geführt haben, dass Risiken nicht als solche wahrgenommen wurden. Aus Japan kam der Trend zur Fehlerkultur. Auch hinsichtlich der Risikokultur können wir aus den tragischen Ereignissen in Japan lernen, wo Fehler in der Erkennung von Risiken durch einen großen Tsunami nach dem Motto “was nicht sein darf, kann nicht sein”, verbunden mit einer mangelnder Aufsicht, zum Tod vieler Menschen geführt hat.

Lesezeichen: “So vermeiden Sie Katastrophen”, HBM 06/2011

Katastrophen werden in der Regel durch zahlreiche kleine Fehler vorher angekündigt. Wer auf diese “schwachen Signale” achtet, kann Krisen vermeiden. Dies ist das Thema des sehr lesenswerten Artikels zum Risikomanagement im Harvard Business Manager. An den Beispielen “Ölkatastrophe von BP im Golf von Mexiko”, “Antennenprobleme beim iPhone4”, “Gaspedal Toyota in den USA”, “Jetblue” sowie psychologischer Studien zeigen die Autoren auf, dass es vor Eintreten der Krise zahlreiche schwache Signale gegeben hat, die die Krise angekündigt haben. Effekte der selektiven Wahrnehmung des Menschen, die “Normalisierung” und “Outcome Bias” verhindern, dass wir diese Signale richtig deuten. Die Autoren geben uns sieben Strategien an die Hand, um diese Wahrnehmungsfehler vermindern zu können.

Das Konzept der schwachen Signale ist schon etwas älter. Ansoff hat bereits in den siebziger Jahren das Konzept der “weak signals” im Rahmen der Risikofrüherkennung beschrieben. Der Artikel überträgt die Erkenntnisse auf aktuelle Beispiele und gibt konkrete Handlungsempfehlungen. Ein klarer Lesetipp für alle Risiko- und BC Manager.