Suche senden
Hochladen
kes BCM in der Supply Chain
•
0 gefällt mir
•
1,916 views
haemmerle-consulting
Folgen
Artikel in der Dezember 2012 Ausgabe der kes
Weniger lesen
Mehr lesen
Business
Melden
Teilen
Melden
Teilen
1 von 5
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Geldinstitute - Bank Referenz
Geldinstitute - Bank Referenz
Wolfgang Schmidt
Audit des BCM
Audit des BCM
haemmerle-consulting
BCM Planung
BCM Planung
haemmerle-consulting
Von unentscheidbaren Entscheidungen, Komplexität und Haltung – Führen unter U...
Von unentscheidbaren Entscheidungen, Komplexität und Haltung – Führen unter U...
Hinz.Wirkt!
Standards und good practices 20160325
Standards und good practices 20160325
haemmerle-consulting
Citrix Provisioning Server die mächtige Komponente im Rechenzentrum
Citrix Provisioning Server die mächtige Komponente im Rechenzentrum
Digicomp Academy AG
Cloud Computing und Service Management: Was verändert sich?
Cloud Computing und Service Management: Was verändert sich?
Digicomp Academy AG
Wiki1
Wiki1
PilarMato6
Empfohlen
Geldinstitute - Bank Referenz
Geldinstitute - Bank Referenz
Wolfgang Schmidt
Audit des BCM
Audit des BCM
haemmerle-consulting
BCM Planung
BCM Planung
haemmerle-consulting
Von unentscheidbaren Entscheidungen, Komplexität und Haltung – Führen unter U...
Von unentscheidbaren Entscheidungen, Komplexität und Haltung – Führen unter U...
Hinz.Wirkt!
Standards und good practices 20160325
Standards und good practices 20160325
haemmerle-consulting
Citrix Provisioning Server die mächtige Komponente im Rechenzentrum
Citrix Provisioning Server die mächtige Komponente im Rechenzentrum
Digicomp Academy AG
Cloud Computing und Service Management: Was verändert sich?
Cloud Computing und Service Management: Was verändert sich?
Digicomp Academy AG
Wiki1
Wiki1
PilarMato6
Habilidad para reconocer y resolver problemas en forma efectiva (líderes de hoy)
Habilidad para reconocer y resolver problemas en forma efectiva (líderes de hoy)
Misael Sierra
Opción2
Opción2
Edgar Linares
Hundimiento del petrolero Prestige
Hundimiento del petrolero Prestige
jenniferscarlatti10
Propuesta pedagógicas
Propuesta pedagógicas
hvliliana
CONSULTA POPULAR 2011
CONSULTA POPULAR 2011
Fernando Cáceres
Projet carrières
Projet carrières
VeroniqueGallant2
Corrida de toros
Corrida de toros
Javier Martín Camacho
Revue programme
Revue programme
Association de Lutte Contre le Sida
Dominio
Dominio
nacho2asi
Sida Solidarité Magazine N°4
Sida Solidarité Magazine N°4
Association de Lutte Contre le Sida
HERRI PROGRAMA ZORROTZA
HERRI PROGRAMA ZORROTZA
Zorrotzainfo
Proyecto discapacidades
Proyecto discapacidades
Fernando Cáceres
Rapport d'activité 2013
Rapport d'activité 2013
Association de Lutte Contre le Sida
Rapport d'activité de l'ALCS 2010
Rapport d'activité de l'ALCS 2010
Association de Lutte Contre le Sida
Institut de Formation des Entraineur de Rugby spiral day 2013
Institut de Formation des Entraineur de Rugby spiral day 2013
NIER Olivier
Opinionway-Fiducial - Les Français et la présidentielle 2012
Opinionway-Fiducial - Les Français et la présidentielle 2012
contactOpinionWay
Emigracion
Emigracion
CARLOS SOSA
Sida Solidarité Magazine N°13
Sida Solidarité Magazine N°13
Association de Lutte Contre le Sida
BCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilft
Torsten Glunde
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Matthias Leisi
BCM Standards 11.2014
BCM Standards 11.2014
haemmerle-consulting
Compliance Organisation Health Check
Compliance Organisation Health Check
TALOSCommunications
Weitere ähnliche Inhalte
Andere mochten auch
Habilidad para reconocer y resolver problemas en forma efectiva (líderes de hoy)
Habilidad para reconocer y resolver problemas en forma efectiva (líderes de hoy)
Misael Sierra
Opción2
Opción2
Edgar Linares
Hundimiento del petrolero Prestige
Hundimiento del petrolero Prestige
jenniferscarlatti10
Propuesta pedagógicas
Propuesta pedagógicas
hvliliana
CONSULTA POPULAR 2011
CONSULTA POPULAR 2011
Fernando Cáceres
Projet carrières
Projet carrières
VeroniqueGallant2
Corrida de toros
Corrida de toros
Javier Martín Camacho
Revue programme
Revue programme
Association de Lutte Contre le Sida
Dominio
Dominio
nacho2asi
Sida Solidarité Magazine N°4
Sida Solidarité Magazine N°4
Association de Lutte Contre le Sida
HERRI PROGRAMA ZORROTZA
HERRI PROGRAMA ZORROTZA
Zorrotzainfo
Proyecto discapacidades
Proyecto discapacidades
Fernando Cáceres
Rapport d'activité 2013
Rapport d'activité 2013
Association de Lutte Contre le Sida
Rapport d'activité de l'ALCS 2010
Rapport d'activité de l'ALCS 2010
Association de Lutte Contre le Sida
Institut de Formation des Entraineur de Rugby spiral day 2013
Institut de Formation des Entraineur de Rugby spiral day 2013
NIER Olivier
Opinionway-Fiducial - Les Français et la présidentielle 2012
Opinionway-Fiducial - Les Français et la présidentielle 2012
contactOpinionWay
Emigracion
Emigracion
CARLOS SOSA
Sida Solidarité Magazine N°13
Sida Solidarité Magazine N°13
Association de Lutte Contre le Sida
Andere mochten auch
(18)
Habilidad para reconocer y resolver problemas en forma efectiva (líderes de hoy)
Habilidad para reconocer y resolver problemas en forma efectiva (líderes de hoy)
Opción2
Opción2
Hundimiento del petrolero Prestige
Hundimiento del petrolero Prestige
Propuesta pedagógicas
Propuesta pedagógicas
CONSULTA POPULAR 2011
CONSULTA POPULAR 2011
Projet carrières
Projet carrières
Corrida de toros
Corrida de toros
Revue programme
Revue programme
Dominio
Dominio
Sida Solidarité Magazine N°4
Sida Solidarité Magazine N°4
HERRI PROGRAMA ZORROTZA
HERRI PROGRAMA ZORROTZA
Proyecto discapacidades
Proyecto discapacidades
Rapport d'activité 2013
Rapport d'activité 2013
Rapport d'activité de l'ALCS 2010
Rapport d'activité de l'ALCS 2010
Institut de Formation des Entraineur de Rugby spiral day 2013
Institut de Formation des Entraineur de Rugby spiral day 2013
Opinionway-Fiducial - Les Français et la présidentielle 2012
Opinionway-Fiducial - Les Français et la présidentielle 2012
Emigracion
Emigracion
Sida Solidarité Magazine N°13
Sida Solidarité Magazine N°13
Ähnlich wie kes BCM in der Supply Chain
BCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilft
Torsten Glunde
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Matthias Leisi
BCM Standards 11.2014
BCM Standards 11.2014
haemmerle-consulting
Compliance Organisation Health Check
Compliance Organisation Health Check
TALOSCommunications
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC - Christian Wild Management Consultants
CSR in der Automotive Supply Chain - Eine Übersicht über die Standards in der...
CSR in der Automotive Supply Chain - Eine Übersicht über die Standards in der...
DFGE Institute for Energy - Ecology - Economy
Regelkonforme Assekuranz
Regelkonforme Assekuranz
metafinanz Informationssysteme GmbH
Tekom ft 2012 schaffner beschaffungsmanagement
Tekom ft 2012 schaffner beschaffungsmanagement
Michael Schaffner (Prof. Dr.-Ing.)
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
Symposia 360°
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung...
GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung...
Gesamtverband der Deutschen Versicherungswirtschaft e.V.
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Hans Ulrich Wiedmer
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
NETWAYS
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC - Christian Wild Management Consultants
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
Axel Oppermann
BCM Stakeholder Management
BCM Stakeholder Management
haemmerle-consulting
Faktenbasierte Verbesserungen – Prozessanalyse mit BPMN 2.0
Faktenbasierte Verbesserungen – Prozessanalyse mit BPMN 2.0
MINAUTICS
Standardsoftware in der Versicherungsbranche - Betrachtung eines Paradigmenwe...
Standardsoftware in der Versicherungsbranche - Betrachtung eines Paradigmenwe...
GFU Cyrus AG
CWMC Insights 2020|03 - MES Auswahl
CWMC Insights 2020|03 - MES Auswahl
CWMC - Christian Wild Management Consultants
Verbesserung des Risikomanagements für Medizinprodukte
Verbesserung des Risikomanagements für Medizinprodukte
Denis Werner
Ähnlich wie kes BCM in der Supply Chain
(20)
BCBS 239 - Data Vault hilft
BCBS 239 - Data Vault hilft
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
BCM Standards 11.2014
BCM Standards 11.2014
Compliance Organisation Health Check
Compliance Organisation Health Check
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CSR in der Automotive Supply Chain - Eine Übersicht über die Standards in der...
CSR in der Automotive Supply Chain - Eine Übersicht über die Standards in der...
Regelkonforme Assekuranz
Regelkonforme Assekuranz
Tekom ft 2012 schaffner beschaffungsmanagement
Tekom ft 2012 schaffner beschaffungsmanagement
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung...
GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung...
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BCM Stakeholder Management
BCM Stakeholder Management
Faktenbasierte Verbesserungen – Prozessanalyse mit BPMN 2.0
Faktenbasierte Verbesserungen – Prozessanalyse mit BPMN 2.0
Standardsoftware in der Versicherungsbranche - Betrachtung eines Paradigmenwe...
Standardsoftware in der Versicherungsbranche - Betrachtung eines Paradigmenwe...
CWMC Insights 2020|03 - MES Auswahl
CWMC Insights 2020|03 - MES Auswahl
Verbesserung des Risikomanagements für Medizinprodukte
Verbesserung des Risikomanagements für Medizinprodukte
Mehr von haemmerle-consulting
World Disasters Report 2014
World Disasters Report 2014
haemmerle-consulting
BCI Counting The Cost
BCI Counting The Cost
haemmerle-consulting
BCM Glossary by BCI
BCM Glossary by BCI
haemmerle-consulting
World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014
haemmerle-consulting
Symantec Intelligence Report 2013
Symantec Intelligence Report 2013
haemmerle-consulting
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblick
haemmerle-consulting
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013
haemmerle-consulting
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinent
haemmerle-consulting
Global Climate Risk Index 2014
Global Climate Risk Index 2014
haemmerle-consulting
Supply chain-resilience-2013-en
Supply chain-resilience-2013-en
haemmerle-consulting
BCM Standards und Good Practices
BCM Standards und Good Practices
haemmerle-consulting
BCAW 2013 poster english
BCAW 2013 poster english
haemmerle-consulting
Tests und übungen
Tests und übungen
haemmerle-consulting
BCM Lifecycle
BCM Lifecycle
haemmerle-consulting
BCM Strategien
BCM Strategien
haemmerle-consulting
Krisenmanagement Case Study
Krisenmanagement Case Study
haemmerle-consulting
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattle
haemmerle-consulting
BCI Supply Chain Resilience 2012
BCI Supply Chain Resilience 2012
haemmerle-consulting
Iso 22301 - der neue Standard für Business Continuity Management
Iso 22301 - der neue Standard für Business Continuity Management
haemmerle-consulting
Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"
haemmerle-consulting
Mehr von haemmerle-consulting
(20)
World Disasters Report 2014
World Disasters Report 2014
BCI Counting The Cost
BCI Counting The Cost
BCM Glossary by BCI
BCM Glossary by BCI
World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014
Symantec Intelligence Report 2013
Symantec Intelligence Report 2013
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblick
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinent
Global Climate Risk Index 2014
Global Climate Risk Index 2014
Supply chain-resilience-2013-en
Supply chain-resilience-2013-en
BCM Standards und Good Practices
BCM Standards und Good Practices
BCAW 2013 poster english
BCAW 2013 poster english
Tests und übungen
Tests und übungen
BCM Lifecycle
BCM Lifecycle
BCM Strategien
BCM Strategien
Krisenmanagement Case Study
Krisenmanagement Case Study
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattle
BCI Supply Chain Resilience 2012
BCI Supply Chain Resilience 2012
Iso 22301 - der neue Standard für Business Continuity Management
Iso 22301 - der neue Standard für Business Continuity Management
Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"
kes BCM in der Supply Chain
1.
Management und Wissen
Business-Continuity BCM in der Supply Chain Immer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio- naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerke gegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondern auch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nicht zuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutet dies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zu erweitern. Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt Was für die „Just-in-Time“-Produktion gilt, hat in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt: mittlerweile auch Einzug in Dienstleistungen und IT- Unternehmensintern werden Services durch Shared- Prozesse gehalten: die Abhängigkeit von einer Lieferkette Service-Center für den gesamten Konzern zentral erbracht (Supply-Chain). Erdbeben, Vulkanausbrüche (und in der – zunächst vornehmlich für IT-Dienstleistungen haben Folge Aschewolken), Überschwemmungen, Tornados und sie sich mittlerweile für viele administrative Funktionen politische Unruhen sind nur einige Beispiele, die in den durchgesetzt (z. B. Personalverwaltung, Rechnungswesen letzten Jahren für erhebliche Verzögerungen, Liefereng- etc.). Im Ergebnis entstehen – zum Teil hochkomplexe pässe und -ausfälle gesorgt haben. – unternehmensinterne Lieferungs- und Leistungsbezie- hungen, die in Form von Service-Level-Agreements (SLA) 73 der Teilnehmer der Supply-Chain-Resi- % vereinbart werden. lience-Studie 2012 des Business Continuity Institute haben angegeben, in den vorausgegangenen 12 Monaten Zudem hat sich auch eine Auslagerung von Sup- mindestens eine Störung in der Lieferkette gehabt zu ha- portprozessen im Rahmen des Outsourcings etabliert – ben, die zu Unterbrechungen im Unternehmen geführt etwa beim IT-Betrieb, der Telekommunikation (VoIP) oder hat [1] – 23 % der Befragten berichteten sogar über mehr sogar zentralen Wertschöpfungsprozessen wie Zahlungs- als fünf Störungen im Betrachtungszeitraum. Als Haupt- verkehr, Wertpapierabwicklung, Schadensbearbeitung, ursachen der Unterbrechungen wurden IT-Ausfälle (52 % Reklamationen an spezialisierte Dienstleister et cetera. vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) und Service-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz- Auch die Lieferkette zum Kunden entwickelt sich dienstleistungsbereich wurden IT- und Telekommummu- immer stärker zum verzweigten Netzwerk von Servicepart- nikations-Ausfälle (45 %), Verletzung der Datensicherheit nern – so sind etwa Prüfungs- und Beratungsleistungen (13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet- für den B2B-Geschäftsabschluss häufig unabdingbar oder terereignisse (11 %) als wesentliche Ursachen benannt. im Finanzwesen Intermediäre zwischengeschaltet, große Kapitalmarkttransaktionen nur in Konsortien abbildbar. Liefernetzwerke Der Wertschöpfungsprozess ist auf das reibungslose Zusammenwirken aller dieser Rollen angewiesen! Und Lieferketten gliedern sich in die vorgelagerte das schwächste Glied dieser Kette bestimmt letztlich die Lieferkette, die konzern- und unternehmensinterne Robustheit (Resilience) des Ganzen. Lieferkette sowie die dem Unternehmen nachgelagerte Lieferkette zum Kunden – eine ganzheitliche Betrachtung Complianceanforderungen umfasst zudem sowohl das mehrstufige Liefernetzwerk auf Zuliefererseite als auch das mehrstufige Liefernetzwerk In bestimmten Branchen sind bereits gesetzliche zum Kunden. Für das BCM ist die Funktionsfähigkeit die- oder regulatorische Anforderungen einschlägig. Beispiels- ser gesamten Konstruktion essenziell – bricht auch nur ein weise ist für Finanzdienstleister – auch in ihrer besonderen Glied in dieser Kette, kann dies zum Gesamtausfall führen. Bedeutung als Teil der kritischen Infrastruktur („Kritis“ – www.kritis.bund.de) – die Sicherstellung der Lieferkette Auch im Dienstleistungsbereich hat sich aus öko- entsprechend geregelt: Das Kreditwesengesetz (§ 25a nomischen Gründen die Zergliederung der Produktion KWG, vgl. [2]) erfasst im Rahmen der besonderen organi- © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 17
2.
Management und Wissen
Business-Continuity satorischen Pflichten von Instituten auch die ordnungs- Ein hilfreicher Standard für die Ausgestaltung der gemäße Geschäftsorganisation bei „wesentlichen Ausla- Zusammenarbeit mit internen und externen Partnern ist gerungen“ – Institute müssen für diese wesentlichen Aus- zudem der BS 11000 „Collaborative business relation- lagerungen risikoorientiert „angemessene Vorkehrungen ships“ (www.bsigroup.de): Der weltweit erste Collabo- treffen, um übermäßige zusätzliche Risiken zu vermeiden“ ration-Standard enthält ein gesamthaftes Framework zur (siehe www.juris.de/purl/gesetze/KredWG_!_25a). Beschreibung der wesentlichen Funktionen, die in der in- ternen und externen Zusammenarbeit mit Dienstleistern, Das Risikomanagement eines auslagernden Fi- Lieferanten und Kunden zu beachten sind. Acht Kapitel nanzinstituts muss die ausgelagerten Aktivitäten und beschreiben den gesamten Lebenszyklus der Zusammen- Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla- arbeit (Awareness, Knowledge, Internal Assessment, Part- gerung ist im Rahmen einer Risikoanalyse zu bestimmen. ner Selection, Working Together, Value Creation, Staying Konkreter wird das in den „Mindestanforderungen an Together, Exit Strategy) – BCM und Exit-Strategien werden das Risikomanagement für Banken“ (MaRisk BA [3]) im vor allem in den Vorgehensmodellen des Teil 2 „Guide to „Allgemeinen Teil“ AT 9, für Investmentgesellschaften implementing“ behandelt. und Versicherer erfolgt dies in spezifischen Regelungen (InvMaRisk, MaRisk VA). BCM-Normen Eine Auslagerung im Sinne der MaRisk liegt vor, BS 25999-1 und BS 25999-2 weisen noch einen „wenn ein anderes Unternehmen mit der Wahrnehmung starken Innenbezug auf die Organisation auf: In allen solcher Aktivitäten und Prozesse im Zusammenhang mit Phasen des BCM-Lebenszyklus sind Anforderungen an die der Durchführung von Bankgeschäften, Finanzdienst- Einbeziehung der kritischen Dienstleister und Zulieferer leistungen oder sonstiger institutstypischen Dienstleis- beschrieben, besonders hinsichtlich der Identifikation tungen beauftragt wird, die ansonsten vom Institut selbst kritischer Dienstleister im Rahmen der BIA und des BCM- erbracht würden“ – Auslagerungen im Sinne der MaRisk Audits der Dienstleister. erfassen demzufolge nur einen Ausschnitt der Lieferkette eines Finanzdienstleisters. Nicht berücksichtigt sind alle Die beiden British Standards werden durch den Leistungen, die ein Institut nicht selbst erbringen würde, im Mai 2012 veröffentlichten ISO-Standard 22301 also etwa nicht-bankfachliche Dienstleistungen und Un- „Societal security – Business continuity management terstützungsprozesse (z. B. Datenerfassung). systems – Requirements“ abgelöst. Er macht bereits durch seinen Titel deutlich, dass hier dem Umfeld der Organi- Sich bei der Notfallvorsorge für die gesamte Lie- sation eine wesentlich höhere Bedeutung zugemessen ferkette (End to End) auf die wesentlichen Auslagerungen wird: ISO 22301 führt hierzu die Rolle der „Interested bestimmter Compliance-Kriterien zu beschränken, greift Party“ ein, die alle Stakeholder des Unternehmens und in der Regel zu kurz. Erst eine Business-Impact-Analyse die Lieferkette umfasst. Interested Parties finden in allen (BIA) im Rahmen mit der expliziten Prüfung der Liefer- Phasen des BCM Berücksichtigung – und so schafft der ketten verschafft eine solide Grundlage für das SCCM. Standard zumindest einen Anforderungskatalog für das SCCM. Die konkrete Ausgestaltung des „wie“ bleibt jedoch der noch zu veröffentlichenden ISO 22313 Standards und Good Practices „Business continuity management systems – Guidance“ vorbehalten. Passende Normen für das SCCM findet man so- wohl in Regelungen für das BCM als auch spezifischen Von deutscher Seite liefert das Bundesamt für Werken für das Outsourcing (s. u., vgl. Tab. 1). Good Sicherheit in der Informationstechnik mit seinem BSI Practices des BCM liefern auf europäischer Ebene in erster 100-4 einen Standard für das Notfallmanagement [6]. Für Linie die „BCI Good Practice Guidelines 2010“ (bestellbar Behörden ist er verbindlich und bildet für deutsche Un- über www.thebci.org) – dieses ansonsten sehr gute BCM- ternehmen generell eine gute Umsetzungsanleitung für Hilfsmittel bildet externe Dienstleister zwar als Ressource das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenes im BCM-Lebenszyklus ab, gibt aber leider keine spezi- Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigen fischen Hilfestellungen für das SCCM. Punkten, die bei der Vertragsgestaltung zu beachten sind sowie die Berücksichtigung des Outsourcing bei der Not- Branchenspezifische Regelungen auf deutscher, fallkonzeption. europäischer und internationaler Ebene ergänzen diese Standards – hierzu gehören beispielsweise die europawei- SCCM-Erläuterungen ten Regelungen zum Outsourcing für Finanzdienstleister, namentlich die „EBA Guidelines on Internal Governance“ Ein umfassendes SCCM-Framework liefert das [4] und die „CEBS Guidelines on Outsourcing“ [5]. „Public Document“ des British Standards Institute 18 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6
3.
PD 25222:2011 „Business conti-
Inhalte zum Supply Chain Norm nuity management – Guidance on Continuity Management supply chain continuity“ (bestellbar BS 2599-1, • BCM-Standard (zertifizierbar) • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle über http://shop.bsigroup.com). BS 25999-2 • British Standards BSi Dieses erläuternde Dokument de- • BCM-Standard (zertifizierbar) • Supply-Chain wird in der Rolle finiert einleitend die wesentlichen ISO 22301 „Interested Party“ durchgehend • ISO SCCM-Begrifflichkeiten und stellt berücksichtigt die Bedeutung des Continuity- • BCM-Standard • Outsourcing wird in einem eigenen BSI-Standard (nicht zertifizierbar) Kapitel “Outsourcing und Managements für die Sicherung der • Bundesamt für Sicherheit in Notfallmanagement” behandelt 100-4 Liefernetzwerke dar. Für die SCCM- der Informationstechnik BSI Umsetzung gibt es einen konkreten BCI • Good Practices für BCM des • Betrachtung kritischer Dienstleister Good Practice Business Continuity Institute als Ressource im BCM-Lifecycle Handlungsrahmen vor, der sich am BCI Guidelines 2010 BCM-Lifecycle des BS 25999 und der • Collaborative business • Risiko- und Business-Continuity- Good-Practice-Guidelines des BCI relationships Management im gesamten BSI 11000 orientiert. So lässt sich SCCM sehr • BCM-Standard (zertifizierbar) Lebenszyklus des Partner- • British Standards BSi Management gut in ein bestehendes BCM-System Tabelle 1: • Good Practice Supply Chain • Supply-Chain wird in der Rolle Relevante einbinden. PD Continuity Mgt. „Interested Party“ durchgehend Normen und 25222:2011 (nicht zertifizierbar) berücksichtigt Standards zum • British Standards BSi Das Konzept sieht die fol- SCCM genden Schritte in der Umsetzung vor: Management-Buy-in, CM-Policy. SCCM entsteht nicht auf Identifikation der kritischen Dienst- Analyse der Supply-Chain der „grünen Wiese“, daher ist die De- leister in der Wertschöpfungskette ist (Festlegung des Scopes, finition der Schnittstellen zu angren- die BCM-Business-Impact-Analyse Verständnis der Supply- zenden Bereichen elementar: Hierzu (BIA) eine wesentliche Informa- Chain, Identifikation der gehören beispielhaft Einkaufsab- tionsquelle, da in ihrem Rahmen kritischen Dienstleister), teilungen, Vertriebsorganisation, die kritischen Zusammenhänge Festlegung von Strategien, Recht und Risikomanagement. Die der Wertschöpfungskette erhoben Weiterentwicklung und Anbindung an die Unternehmens- werden. Neben der Analyse der laufender Betrieb sowie die strategie und das Commitment des Abhängigkeiten der Prozesse von Entwicklung einer lang-fris- Managements ist über eine SCCM- Dienstleistern ermittelt die BIA auch tigen Resilience-Strategie. Policy sicherzustellen. Die zentralen die maximal zu akzeptierenden Prozesse des SCCM bestehen aus den Ausfallzeiten für die Ressourcen „technischen Disziplinen“ Analyse (Recovery-Time-Objective, RTO). Framework fürs SCCM der Supply-Chain, Supply-Chain- Die BIA kann für das SCCM daher Strategie, Implementierung sowie die Zeitkritikalität für die Prozesse Nachfolgend wird basierend „Tests, laufende Aktualisierung und bezogen auf die Dienstleister liefern auf dem BCM-Lifecycle ein metho- Monitoring“ (vgl. Abb. 1). Zudem (vgl. Abb. 2). disches Vorgehen zur SCCM-Imple- sind die Einbindung in die Unterneh- mentierung skizziert (vgl. Abb. 1). menskultur und Awareness-Bildung Neben der BIA sind jedoch Die Orientierung am BCM erleichtert für das SCCM als dauerhafter Prozess auch weitere Kriterien heranzuzie- die Integration in ein bestehendes vorzusehen – letztlich bedeutet dies, hen – die „Supply Chain Resilience Business-Continuity-Management- dass alle relevanten Rollen die Be- System und ermöglicht die einfache deutung des SCCM kennen und in Abbildung 1: Transformation in den PDCA-Zyklus ihren Entscheidungsprozessen mit SCCM-Lifecycle der Zertifizierungs-Standards. berücksichtigen. auf Basis des BCM-Zyklus SCCM-Programm-Manage- Analyse der Supply-Chain ment und Awareness Diese Phase ist der wesent- Gegenstand des SCCM-Pro- liche Ausgangspunkt zur Umsetzung gramm-Managements sind die Im- eines SCCM; ihre Ziele sind die plementierung einer Organisation, Identifikation kritischer Dienstleister von Prozessen für das SCCM sowie sowie die Analyse der Risiken für einer angemessenen Governance- die Supply-Chain im Rahmen eines Struktur – dokumentiert in einer SC- laufenden Risk-Assessments. Bei der © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 19
4.
Management und Wissen
Business-Continuity Risikokategorien Ausprägungen dienstleistungsbereich waren bei- spielsweise ungeplante IT-Ausfälle, Rechtsrisiken • Betriebsschließungen • Einstweilige Verfügungen Datenverlust und Dienstleisteraus- Politische Risiken • Politische Instabilität / Unruhen fälle die Top-3-Risiken, während • Grenzschließungen sich in der Produktion vor allem • Zölle und Tarife Wechselkurse, Energie und Wetter als • Aus- und Einfuhrbestimmungen • Gesetzesänderungen Ursachen gezeigt haben. Betriebswirtschaftliche • Insolvenz des Lieferanten Risiken • Übernahmen / Zusammenschlüsse Zur Mahnung: 61 % der • Änderungen im Produktionsprogramm Unterbrechungen in der Lieferkette • Lieferunterbrechung in der davorliegenden Lieferkette (Tier Two) wurden der Studie zufolge durch ei- Technische Risiken • Technische Störungen / Ausfälle nen Tier-1-Dienstleister verursacht, • IT-Ausfälle 32 % durch Tier-2-Dienstleister und • Mitarbeiterausfälle 7 % auf der dritten Ebene der Dienst- • Qualitätsprobleme / Produktrückruf • Kontamination leisterbeziehungen. Es reicht also Umweltrisiken • Naturkatastrophen nicht aus, nur die direkt beauftragten • Klima / Wetter Dienstleister in seine Risikobetrach- • Pandemien / Epidemien tung einzubeziehen. • Unterbrechung von Transport / Verkehr Tabelle 2: Soziale Risiken • Streik Risiken der Supply-Chain • Sabotage • Kriminelle Handlungen, Terrorismus, Piraterie SSCM-Strategien Für Risikostrategien im SSCM Survey 2011“ des BCI hat hier die Maturity of the Industry bestehen die folgenden Optionen: folgenden Punkte identifiziert: (21 %). Reputational Impact (57 %), Akzeptieren der Risiken Financial Impact of Im Rahmen eines Risk- (z. B. bei geringen Risiken), Non-Supply over a Period Assessments sind überdies die Vermindern der Risiken of Time (54 %), wesentlichen Risiken auf die Wert- durch Maßnahmen, Regulatory Impact (50 %), schöpfungskette zu analysieren und, Übertragen der Risiken Availability of other sofern erforderlich, zu mitigieren (auf Versicherungen oder Suppliers (50 %), (vgl. Tab. 2). Ungeplante ITK-Aus- Dienstleister) sowie Spend (49 %), fälle (52 und Wetterereignisse %) Vermeidung der Risiken Location of Supplier (43 %), (48 %) waren nach Erkenntnissen der (z. B. durch Verzicht auf Key People / Knowledge Teil-nehmer der „BCI Supply Chain Produkte oder Dienst- involved (41 %), Resilience Studie 2012“ die Haupt- leistungen). Bespoke Nature of Product / ursachen für Unterbrechungen in Service supplied (37 %), der Lieferkette. Mit großem Abstand Anforderungen des SCCM müssen Speed of change to folgten Serviceausfälle von Dienst- bereits sehr früh bei der Vertrags- alternative Supplier (35 %), leistern (32 %). Branchenspezifisch gestaltung mit Dienstleistern be- Interdependencies with zeigt die Studie jedoch ein anderes rücksichtigt werden. Hierzu zählen other Suppliers (28 %), Bild für die Ursachen: Im Finanz- Anforderungen an die Ausgestaltung des BCM des Dienstleisters, eine Ab- stimmung von Notfall- und Krisen- Abbildung 2: Dependenzenana- managementkonzepten, Prüf- und lyse im Rahmen der Einsichtrechte für das BCM sowie Business-Impact- Analyse des BCM gewünschte Zertifizierungen. Zudem (das Recovery- sind Berichts- und Meldewesen für Time-Object – ROT die laufende Dienstleisterbeziehung, – bezeichnet die maximal tolerier- aber auch für Notfälle und Krisen bare Ausfallzeit) beim Dienstleister und Auftraggeber festzulegen – hierzu zählt nicht zu- letzt die Definition von Eskalations- stufen (z. B. Störung, Notfall, Krise), da diese nicht einheitlich verwendet werden (vgl. Kap. 10 in [6]). 20 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6
5.
Implementierung
Alarmierung und • Abstimmung von Begrifflichkeiten: Eskalation Definition von „Störung“, „Problem“, „Ausfall“, Grundlage für den Übergang „Notfall“, „Krise“, „K-Fall“ • Dokumentation der Ansprechpartner und eines SCCM in den laufenden Betrieb Kommunikationsdaten sind die in der SCCM-Policy geregel- • Festlegung der Meldewege ten Vorgaben für Organisation und • De-Eskalation Prozesse. Zum laufenden Betrieb ge- Krisenmanagement • Abstimmung der Krisenstabsorganisationen • Festlegung gegenseitiger Teilnahme oder hört die Umsetzung der festgelegten Informationsaustausch SCCM-Strategien für die Dienstleister, Notfallkonzepte • Beidseitige Abstimmung der Notfallkonzepte das laufende SCCM-Berichtswesen (Handlungsoptionen und -verfahren) sowie regelmäßige Überprüfungen/ Geschäftsfortführungs- • Abstimmung von Notfallplänen Audits bei den Dienstleistern (vgl. und Wiederanlaufpläne Tabelle 3: Tab. 3). Die beispielsweise im Finanz- Test- und Übungspläne • Abstimmung der Test- und Übungspläne Abstimmung des (inhaltlich und zeitlich) SSCM mit Dienst- dienstleistungsbereich regulatorisch • Abstimmung von Begrifflichkeiten leistern vorgeschriebene Abstimmung der Notfallkonzepte gehört ebenso dazu wie Einrichtung, Pflege und Tests von Regel keine konkreten Hinweise auf Alarmierungs- und Kommunikati- die spezifischen Auswirkungen von Literatur onswegen bei Störungen, Notfällen Ausfällen auf die eigene Dienstleis- und Krisen. Eine Abstimmung der tungsbeziehung geben. [1] Business Continuity Institute Notfallkonzepte muss gegebenenfalls (BCI), Supply Chain Resilience auf mehreren Ebenen erfolgen – ihr Fazit 2012, www.thebci.org/index. Umfang hängt von der Kritikalität des php?option=com_content&view=ar Dienstleisters ab. Supply-Chain-Continuity- ticle&id=341&Itemid=201 Management (SCCM) ist eine junge Test, Aktualisierung, Disziplin, die angesichts des zuneh- [2] Sonja Mohr, Outsourcing nach Monitoring menden Outsourcings in allen Bran- Bankenart, § 25a KWG als Grund- chen eine wachsende Bedeutung lage für sichere IT-Dienstleistungen, Die Funktionsfähigkeit der gewinnt. Viele Ereignisse der letzten <kes> 2005#6, S. 85 SCCM-Konzepte lässt sich letzt- Jahre (z. B. Fukushima, Thailand- lich erst durch Tests und Übungen Überschwemmungen, Aschewol- [3] Bundesanstalt für Finanzdienst- überprüfen und nachweisen – diese ken) haben die Notwendigkeit der leistungsaufsicht (BaFin), Mindestan- sollten sowohl Notfälle beim Dienst- Weiterentwicklung dieses Themas forderungen an das Risikomanage- leister, Notfälle beim Auftraggeber als für alle Branchen aufgezeigt. Teils ment (MaRisk BA), www.bafin.de/ auch Katastrophen mit gemeinsamer erfordern bereits gesetzliche und SharedDocs/Veroeffentlichungen/ Betroffenheit umfassen. Alarmie- regulatorische Normen seine Orga- DE/Rundschreiben/rs_1011_ba_ma- rungs- und Eskalationsverfahren nisation und entsprechende Prozesse risk.html sowie die hierfür eingesetzten Tools – auch bei externen Audits gerät sollte man regelmäßig testen und SCCM zunehmend in den Fokus [4] European Banking Authority auf Aktualität der Kontaktdaten hin der Prüfungen. Standards und Good (EBA), Guidelines on Internal Gover- prüfen. Regelmäßige „Jour Fixes“ Practices für seine konkrete Umset- nance (GL 44), www.eba.europa.eu/ mit den kritischen Dienstleistern zung liegen jedoch erst rudimentär Publications/Guidelines.aspx fördern zudem die Zusammenarbeit vor und müssen aus der Praxis heraus und das gemeinschaftliche Denken fortentwickelt werden. ■ [5] Committee of European Banking und Handeln. Supervisors (CEBS), Guidelines on Outsourcing, www.eba.europa.eu/ Audits von Wirtschafts- Matthias Hämmerle übernimmt bei der getdoc/f99a6113-02ea-4028-8737- prüfungsgesellschaften und Bera- Automation Consulting Group (ACG) 1cdb33624840/GL02Outsourcing- tungsunternehmen oder auch Zer- GmbH in Frankfurt ab Januar 2013 Guidelines-pdf.aspx tifizierungen nach internationalen die Leitung des neu gegründeten „Com- Standards geben darüber hinaus petence Center Business Continuity [6] Bundesamt für Sicherheit in der Hinweise auf den Reifegrad des Management“. Dr. Klaus-Rainer Müller, Informationstechnik (BSI), BSI-Stan- BCM-Systems von Dienstleistern. der bisher auch für BCM verantwortlich dard 100-4: Notfallmanagement, Sie ersetzen jedoch nicht die bila- war, spezialisiert sich künftig auf die www.bsi.bund.de/ContentBSI/Pu- terale Zusammenarbeit, da solche Themen IT-Sicherheit, Sourcing und blikationen/BSI_Standard/it_grund- Audits und Zertifizierungen in der Provider-Management. schutzstandards.html © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 21
Jetzt herunterladen