SlideShare ist ein Scribd-Unternehmen logo
1 von 5
Downloaden Sie, um offline zu lesen
17
© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#
6
Business-Continuity
Management und Wissen
BCM in der Supply Chain
Was für die „Just-in-Time“-Produktion gilt, hat
mittlerweile auch Einzug in Dienstleistungen und IT-
Prozesse gehalten: die Abhängigkeit von einer Lieferkette
(Supply-Chain). Erdbeben, Vulkanausbrüche (und in der
Folge Aschewolken), Überschwemmungen, Tornados und
politische Unruhen sind nur einige Beispiele, die in den
letzten Jahren für erhebliche Verzögerungen, Liefereng-
pässe und -ausfälle gesorgt haben.
73 
% der Teilnehmer der Supply-Chain-Resi-
lience-Studie 2012 des Business Continuity Institute
haben angegeben, in den vorausgegangenen 12 Monaten
mindestens eine Störung in der Lieferkette gehabt zu ha-
ben, die zu Unterbrechungen im Unternehmen geführt
hat [1] – 23 % der Befragten berichteten sogar über mehr
als fünf Störungen im Betrachtungszeitraum. Als Haupt-
ursachen der Unterbrechungen wurden IT-Ausfälle (52 %
vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) und
Service-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz-
dienstleistungsbereich wurden IT- und Telekommummu-
nikations-Ausfälle (45 %), Verletzung der Datensicherheit
(13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet-
terereignisse (11 %) als wesentliche Ursachen benannt.
Liefernetzwerke
Lieferketten gliedern sich in die vorgelagerte
Lieferkette, die konzern- und unternehmensinterne
Lieferkette sowie die dem Unternehmen nachgelagerte
Lieferkette zum Kunden – eine ganzheitliche Betrachtung
umfasstzudemsowohldasmehrstufigeLiefernetzwerkauf
Zuliefererseite als auch das mehrstufige Liefernetzwerk
zum Kunden. Für das BCM ist die Funktionsfähigkeit die-
ser gesamten Konstruktion essenziell – bricht auch nur ein
Glied in dieser Kette, kann dies zum Gesamtausfall führen.
Auch im Dienstleistungsbereich hat sich aus öko-
nomischen Gründen die Zergliederung der Produktion
Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt
Immer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio-
naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerke
gegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondern
auch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nicht
zuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutet
dies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zu
erweitern.
in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt:
Unternehmensintern werden Services durch Shared-
Service-Center für den gesamten Konzern zentral erbracht
– zunächst vornehmlich für IT-Dienstleistungen haben
sie sich mittlerweile für viele administrative Funktionen
durchgesetzt (z. B. Personalverwaltung, Rechnungswesen
etc.). Im Ergebnis entstehen – zum Teil hochkomplexe
– unternehmensinterne Lieferungs- und Leistungsbezie-
hungen, die in Form von Service-Level-Agreements (SLA)
vereinbart werden.
Zudem hat sich auch eine Auslagerung von Sup-
portprozessen im Rahmen des Outsourcings etabliert –
etwa beim IT-Betrieb, der Telekommunikation (VoIP) oder
sogar zentralen Wertschöpfungsprozessen wie Zahlungs-
verkehr, Wertpapierabwicklung, Schadensbearbeitung,
Reklamationen an spezialisierte Dienstleister et cetera.
Auch die Lieferkette zum Kunden entwickelt sich
immer stärker zum verzweigten Netzwerk von Servicepart-
nern – so sind etwa Prüfungs- und Beratungsleistungen
für den B2B-Geschäftsabschluss häufig unabdingbar oder
im Finanzwesen Intermediäre zwischengeschaltet, große
Kapitalmarkttransaktionen nur in Konsortien abbildbar.
Der Wertschöpfungsprozess ist auf das reibungslose
Zusammenwirken aller dieser Rollen angewiesen! Und
das schwächste Glied dieser Kette bestimmt letztlich die
Robustheit (Resilience) des Ganzen.
Complianceanforderungen
In bestimmten Branchen sind bereits gesetzliche
oder regulatorische Anforderungen einschlägig. Beispiels-
weise ist für Finanzdienstleister – auch in ihrer besonderen
Bedeutung als Teil der kritischen Infrastruktur („Kritis“
– www.kritis.bund.de) – die Sicherstellung der Lieferkette
entsprechend geregelt: Das Kreditwesengesetz (§ 25a
KWG, vgl. [2]) erfasst im Rahmen der besonderen organi-
18 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#
6
satorischen Pflichten von Instituten auch die ordnungs-
gemäße Geschäftsorganisation bei „wesentlichen Ausla-
gerungen“ – Institute müssen für diese wesentlichen Aus-
lagerungen risikoorientiert „angemessene Vorkehrungen
treffen,umübermäßigezusätzlicheRisikenzuvermeiden“
(siehe www.juris.de/purl/gesetze/KredWG_!_25a).
Das Risikomanagement eines auslagernden Fi-
nanzinstituts muss die ausgelagerten Aktivitäten und
Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla-
gerung ist im Rahmen einer Risikoanalyse zu bestimmen.
Konkreter wird das in den „Mindestanforderungen an
das Risikomanagement für Banken“ (MaRisk BA [3]) im
„Allgemeinen Teil“ AT 9, für Investmentgesellschaften
und Versicherer erfolgt dies in spezifischen Regelungen
(InvMaRisk, MaRisk VA).
Eine Auslagerung im Sinne der MaRisk liegt vor,
„wenn ein anderes Unternehmen mit der Wahrnehmung
solcher Aktivitäten und Prozesse im Zusammenhang mit
der Durchführung von Bankgeschäften, Finanzdienst-
leistungen oder sonstiger institutstypischen Dienstleis-
tungen beauftragt wird, die ansonsten vom Institut selbst
erbracht würden“ – Auslagerungen im Sinne der MaRisk
erfassen demzufolge nur einen Ausschnitt der Lieferkette
eines Finanzdienstleisters. Nicht berücksichtigt sind alle
Leistungen, die ein Institut nicht selbst erbringen würde,
also etwa nicht-bankfachliche Dienstleistungen und Un-
terstützungsprozesse (z. B. Datenerfassung).
Sich bei der Notfallvorsorge für die gesamte Lie-
ferkette (End to End) auf die wesentlichen Auslagerungen
bestimmter Compliance-Kriterien zu beschränken, greift
in der Regel zu kurz. Erst eine Business-Impact-Analyse
(BIA) im Rahmen mit der expliziten Prüfung der Liefer-
ketten verschafft eine solide Grundlage für das SCCM.
Standards und Good Practices
Passende Normen für das SCCM findet man so-
wohl in Regelungen für das BCM als auch spezifischen
Werken für das Outsourcing (s. u., vgl. Tab. 1). Good
Practices des BCM liefern auf europäischer Ebene in erster
Linie die „BCI Good Practice Guidelines 2010“ (bestellbar
über www.thebci.org) – dieses ansonsten sehr gute BCM-
Hilfsmittel bildet externe Dienstleister zwar als Ressource
im BCM-Lebenszyklus ab, gibt aber leider keine spezi-
fischen Hilfestellungen für das SCCM.
Branchenspezifische Regelungen auf deutscher,
europäischer und internationaler Ebene ergänzen diese
Standards – hierzu gehören beispielsweise die europawei-
ten Regelungen zum Outsourcing für Finanzdienstleister,
namentlich die „EBA Guidelines on Internal Governance“
[4] und die „CEBS Guidelines on Outsourcing“ [5].
Ein hilfreicher Standard für die Ausgestaltung der
Zusammenarbeit mit internen und externen Partnern ist
zudem der BS 11000 „Collaborative business relation-
ships“ (www.bsigroup.de): Der weltweit erste Collabo-
ration-Standard enthält ein gesamthaftes Framework zur
Beschreibung der wesentlichen Funktionen, die in der in-
ternen und externen Zusammenarbeit mit Dienstleistern,
Lieferanten und Kunden zu beachten sind. Acht Kapitel
beschreiben den gesamten Lebenszyklus der Zusammen-
arbeit (Awareness, Knowledge, Internal Assessment, Part-
ner Selection, Working Together, Value Creation, Staying
Together, Exit Strategy) – BCM und Exit-Strategien werden
vor allem in den Vorgehensmodellen des Teil 2 „Guide to
implementing“ behandelt.
BCM-Normen
BS 25999-1 und BS 25999-2 weisen noch einen
starken Innenbezug auf die Organisation auf: In allen
Phasen des BCM-Lebenszyklus sind Anforderungen an die
Einbeziehung der kritischen Dienstleister und Zulieferer
beschrieben, besonders hinsichtlich der Identifikation
kritischer Dienstleister im Rahmen der BIA und des BCM-
Audits der Dienstleister.
Die beiden British Standards werden durch den
im Mai 2012 veröffentlichten ISO-Standard 22301
„Societal security – Business continuity management
systems – Requirements“ abgelöst. Er macht bereits durch
seinen Titel deutlich, dass hier dem Umfeld der Organi-
sation eine wesentlich höhere Bedeutung zugemessen
wird: ISO 22301 führt hierzu die Rolle der „Interested
Party“ ein, die alle Stakeholder des Unternehmens und
die Lieferkette umfasst. Interested Parties finden in allen
Phasen des BCM Berücksichtigung – und so schafft der
Standard zumindest einen Anforderungskatalog für das
SCCM. Die konkrete Ausgestaltung des „wie“ bleibt
jedoch der noch zu veröffentlichenden ISO 22313
„Business continuity management systems – Guidance“
vorbehalten.
Von deutscher Seite liefert das Bundesamt für
Sicherheit in der Informationstechnik mit seinem BSI
100-4 einen Standard für das Notfallmanagement [6]. Für
Behörden ist er verbindlich und bildet für deutsche Un-
ternehmen generell eine gute Umsetzungsanleitung für
das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenes
Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigen
Punkten, die bei der Vertragsgestaltung zu beachten sind
sowie die Berücksichtigung des Outsourcing bei der Not-
fallkonzeption.
SCCM-Erläuterungen
Ein umfassendes SCCM-Framework liefert das
„Public Document“ des British Standards Institute
Business-Continuity
Management und Wissen
19
© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#
6
PD 25222:2011 „Business conti-
nuity management – Guidance on
supply chain continuity“ (bestellbar
über http://shop.bsigroup.com).
Dieses erläuternde Dokument de-
finiert einleitend die wesentlichen
SCCM-Begrifflichkeiten und stellt
die Bedeutung des Continuity-
Managements für die Sicherung der
Liefernetzwerke dar. Für die SCCM-
Umsetzung gibt es einen konkreten
Handlungsrahmen vor, der sich am
BCM-Lifecycle des BS 25999 und der
Good-Practice-Guidelines des BCI
orientiert. So lässt sich SCCM sehr
gut in ein bestehendes BCM-System
einbinden.
Das Konzept sieht die fol-
genden Schritte in der Umsetzung
vor:
	Management-Buy-in,
	Analyse der Supply-Chain
	 (Festlegung des Scopes,
	 Verständnis der Supply-
	 Chain, Identifikation der
	 kritischen Dienstleister),
	Festlegung von Strategien,
	Weiterentwicklung und
	 laufender Betrieb sowie die
	Entwicklung einer lang-fris-
	 tigen Resilience-Strategie.
Framework fürs SCCM
Nachfolgend wird basierend
auf dem BCM-Lifecycle ein metho-
disches Vorgehen zur SCCM-Imple-
mentierung skizziert (vgl. Abb. 1).
DieOrientierungamBCMerleichtert
die Integration in ein bestehendes
Business-Continuity-Management-
System und ermöglicht die einfache
Transformation in den PDCA-Zyklus
der Zertifizierungs-Standards.
SCCM-Programm-Manage-
ment und Awareness
Gegenstand des SCCM-Pro-
gramm-Managements sind die Im-
plementierung einer Organisation,
von Prozessen für das SCCM sowie
einer angemessenen Governance-
Struktur – dokumentiert in einer SC-
Abbildung 1:
SCCM-Lifecycle
auf Basis des
BCM-Zyklus
CM-Policy. SCCM entsteht nicht auf
der „grünen Wiese“, daher ist die De-
finition der Schnittstellen zu angren-
zenden Bereichen elementar: Hierzu
gehören beispielhaft Einkaufsab-
teilungen, Vertriebsorganisation,
Recht und Risikomanagement. Die
Anbindung an die Unternehmens-
strategie und das Commitment des
Managements ist über eine SCCM-
Policy sicherzustellen. Die zentralen
Prozesse des SCCM bestehen aus den
„technischen Disziplinen“ Analyse
der Supply-Chain, Supply-Chain-
Strategie, Implementierung sowie
„Tests, laufende Aktualisierung und
Monitoring“ (vgl. Abb. 1). Zudem
sinddieEinbindungindieUnterneh-
menskultur und Awareness-Bildung
für das SCCM als dauerhafter Prozess
vorzusehen – letztlich bedeutet dies,
dass alle relevanten Rollen die Be-
deutung des SCCM kennen und in
ihren Entscheidungsprozessen mit
berücksichtigen.
Analyse der Supply-Chain
Diese Phase ist der wesent-
liche Ausgangspunkt zur Umsetzung
eines SCCM; ihre Ziele sind die
IdentifikationkritischerDienstleister
sowie die Analyse der Risiken für
die Supply-Chain im Rahmen eines
laufenden Risk-Assessments. Bei der
Identifikation der kritischen Dienst-
leister in der Wertschöpfungskette ist
die BCM-Business-Impact-Analyse
(BIA) eine wesentliche Informa-
tionsquelle, da in ihrem Rahmen
die kritischen Zusammenhänge
der Wertschöpfungskette erhoben
werden. Neben der Analyse der
Abhängigkeiten der Prozesse von
Dienstleistern ermittelt die BIA auch
die maximal zu akzeptierenden
Ausfallzeiten für die Ressourcen
(Recovery-Time-Objective, RTO).
Die BIA kann für das SCCM daher
die Zeitkritikalität für die Prozesse
bezogen auf die Dienstleister liefern
(vgl. Abb. 2).
Neben der BIA sind jedoch
auch weitere Kriterien heranzuzie-
hen – die „Supply Chain Resilience
Tabelle 1:
Relevante
Normen und
Standards zum
SCCM
Norm Inhalte zum Supply Chain
Continuity Management
BS 2599-1,
BS 25999-2
•	 BCM-Standard (zertifizierbar)
•	 British Standards BSi
•	 Betrachtung kritischer Dienstleister
	 als Ressource im BCM-Lifecycle
ISO 22301
•	 BCM-Standard (zertifizierbar)
•	 ISO
•	 Supply-Chain wird in der Rolle
	 „Interested Party“ durchgehend
	 berücksichtigt
BSI-Standard
100-4
•	 BCM-Standard
	 (nicht zertifizierbar)
•	 Bundesamt für Sicherheit in 	
	 der Informationstechnik BSI
•	 Outsourcing wird in einem eigenen
	 Kapitel “Outsourcing und
	 Notfallmanagement” behandelt
BCI
Good Practice
Guidelines 2010
•	 Good Practices für BCM des
	 Business Continuity Institute 	
	 BCI
•	 Betrachtung kritischer Dienstleister
	 als Ressource im BCM-Lifecycle
BSI 11000
•	 Collaborative business
	 relationships
•	 BCM-Standard (zertifizierbar)
•	 British Standards BSi
•	 Risiko- und Business-Continuity-
	 Management im gesamten
	 Lebenszyklus des Partner-
	 Management
PD
25222:2011
•	 Good Practice Supply Chain 	
	 Continuity Mgt.
	 (nicht zertifizierbar)
•	 British Standards BSi
•	 Supply-Chain wird in der Rolle
	 „Interested Party“ durchgehend
	 berücksichtigt
20 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#
6
Business-Continuity
Management und Wissen
Abbildung 2:
Dependenzenana-
lyse im Rahmen der
Business-Impact-
Analyse des BCM
(das Recovery-
Time-Object – ROT
– bezeichnet die
maximal tolerier-
bare Ausfallzeit)
Survey 2011“ des BCI hat hier die
folgenden Punkte identifiziert:
	Reputational Impact (57 %),
	Financial Impact of
	 Non-Supply over a Period
	 of Time (54 %),
	Regulatory Impact (50 %),
	Availability of other
	 Suppliers (50 %),
	Spend (49 %),
	Location of Supplier (43 %),
	Key People / Knowledge
	 involved (41 %),
	Bespoke Nature of Product / 	
	 Service supplied (37 %),
	Speed of change to
	 alternative Supplier (35 %),
	Interdependencies with
	 other Suppliers (28 %),
	Maturity of the Industry
	 (21 %).
Im Rahmen eines Risk-
Assessments sind überdies die
wesentlichen Risiken auf die Wert-
schöpfungskette zu analysieren und,
sofern erforderlich, zu mitigieren
(vgl. Tab. 2). Ungeplante ITK-Aus-
fälle (52 
%) und Wetterereignisse
(48 %)warennachErkenntnissender
Teil-nehmer der „BCI Supply Chain
Resilience Studie 2012“ die Haupt-
ursachen für Unterbrechungen in
der Lieferkette. Mit großem Abstand
folgten Serviceausfälle von Dienst-
leistern (32 %). Branchenspezifisch
zeigt die Studie jedoch ein anderes
Bild für die Ursachen: Im Finanz-
Tabelle 2:
Risiken der
Supply-Chain
Risikokategorien	Ausprägungen
Rechtsrisiken	 •  Betriebsschließungen
	 •  Einstweilige Verfügungen
Politische Risiken	 •  Politische Instabilität / Unruhen
	 •  Grenzschließungen
	 •  Zölle und Tarife
	 •  Aus- und Einfuhrbestimmungen
	 •  Gesetzesänderungen
Betriebswirtschaftliche	 •  Insolvenz des Lieferanten
Risiken	 •  Übernahmen / Zusammenschlüsse
	 •  Änderungen im Produktionsprogramm
	 •  Lieferunterbrechung in der davorliegenden
	   Lieferkette (Tier Two)
Technische Risiken	 •  Technische Störungen / Ausfälle
	 •  IT-Ausfälle
	 •  Mitarbeiterausfälle
	 •  Qualitätsprobleme / Produktrückruf
	 •  Kontamination
Umweltrisiken	 •  Naturkatastrophen
	 •  Klima / Wetter
	 •  Pandemien / Epidemien
	 •  Unterbrechung von Transport / Verkehr
Soziale Risiken	 •  Streik
	 •  Sabotage
	 •  Kriminelle Handlungen, Terrorismus, Piraterie
dienstleistungsbereich waren bei-
spielsweise ungeplante IT-Ausfälle,
Datenverlust und Dienstleisteraus-
fälle die Top-3-Risiken, während
sich in der Produktion vor allem
Wechselkurse,EnergieundWetterals
Ursachen gezeigt haben.
Zur Mahnung: 61 % der
Unterbrechungen in der Lieferkette
wurden der Studie zufolge durch ei-
nen Tier-1-Dienstleister verursacht,
32 % durch Tier-2-Dienstleister und
7 % auf der dritten Ebene der Dienst-
leisterbeziehungen. Es reicht also
nicht aus, nur die direkt beauftragten
Dienstleister in seine Risikobetrach-
tung einzubeziehen.
SSCM-Strategien
FürRisikostrategienimSSCM
bestehen die folgenden Optionen:
	Akzeptieren der Risiken
	 (z. B. bei geringen Risiken),
	Vermindern der Risiken
	 durch Maßnahmen,
	Übertragen der Risiken
	 (auf Versicherungen oder
	 Dienstleister) sowie
	Vermeidung der Risiken
	 (z. B. durch Verzicht auf
	 Produkte oder Dienst-
	leistungen).
Anforderungen des SCCM müssen
bereits sehr früh bei der Vertrags-
gestaltung mit Dienstleistern be-
rücksichtigt werden. Hierzu zählen
Anforderungen an die Ausgestaltung
des BCM des Dienstleisters, eine Ab-
stimmung von Notfall- und Krisen-
managementkonzepten, Prüf- und
Einsichtrechte für das BCM sowie
gewünschte Zertifizierungen. Zudem
sind Berichts- und Meldewesen für
die laufende Dienstleisterbeziehung,
aber auch für Notfälle und Krisen
beim Dienstleister und Auftraggeber
festzulegen – hierzu zählt nicht zu-
letzt die Definition von Eskalations-
stufen (z. B. Störung, Notfall, Krise),
da diese nicht einheitlich verwendet
werden (vgl. Kap. 10 in [6]).
21
© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#
6
Implementierung
Grundlage für den Übergang
eines SCCM in den laufenden Betrieb
sind die in der SCCM-Policy geregel-
ten Vorgaben für Organisation und
Prozesse. Zum laufenden Betrieb ge-
hört die Umsetzung der festgelegten
SCCM-StrategienfürdieDienstleister,
das laufende SCCM-Berichtswesen
sowie regelmäßige Überprüfungen/
Audits bei den Dienstleistern (vgl.
Tab. 3). Die beispielsweise im Finanz-
dienstleistungsbereich regulatorisch
vorgeschriebene Abstimmung der
Notfallkonzepte gehört ebenso dazu
wie Einrichtung, Pflege und Tests von
Alarmierungs- und Kommunikati-
onswegen bei Störungen, Notfällen
und Krisen. Eine Abstimmung der
Notfallkonzeptemussgegebenenfalls
auf mehreren Ebenen erfolgen – ihr
UmfanghängtvonderKritikalitätdes
Dienstleisters ab.
Test, Aktualisierung,
Monitoring
Die Funktionsfähigkeit der
SCCM-Konzepte lässt sich letzt-
lich erst durch Tests und Übungen
überprüfen und nachweisen – diese
sollten sowohl Notfälle beim Dienst-
leister,NotfällebeimAuftraggeberals
auch Katastrophen mit gemeinsamer
Betroffenheit umfassen. Alarmie-
rungs- und Eskalationsverfahren
sowie die hierfür eingesetzten Tools
sollte man regelmäßig testen und
auf Aktualität der Kontaktdaten hin
prüfen. Regelmäßige „Jour Fixes“
mit den kritischen Dienstleistern
fördern zudem die Zusammenarbeit
und das gemeinschaftliche Denken
und Handeln.
Audits von Wirtschafts-
prüfungsgesellschaften und Bera-
tungsunternehmen oder auch Zer-
tifizierungen nach internationalen
Standards geben darüber hinaus
Hinweise auf den Reifegrad des
BCM-Systems von Dienstleistern.
Sie ersetzen jedoch nicht die bila-
terale Zusammenarbeit, da solche
Audits und Zertifizierungen in der
Regel keine konkreten Hinweise auf
die spezifischen Auswirkungen von
Ausfällen auf die eigene Dienstleis-
tungsbeziehung geben.
Fazit
Supply-Chain-Continuity-
Management (SCCM) ist eine junge
Disziplin, die angesichts des zuneh-
menden Outsourcings in allen Bran-
chen eine wachsende Bedeutung
gewinnt. Viele Ereignisse der letzten
Jahre (z. B. Fukushima, Thailand-
Überschwemmungen, Aschewol-
ken) haben die Notwendigkeit der
Weiterentwicklung dieses Themas
für alle Branchen aufgezeigt. Teils
erfordern bereits gesetzliche und
regulatorische Normen seine Orga-
nisationundentsprechendeProzesse
– auch bei externen Audits gerät
SCCM zunehmend in den Fokus
der Prüfungen. Standards und Good
Practices für seine konkrete Umset-
zung liegen jedoch erst rudimentär
vor und müssen aus der Praxis heraus
fortentwickelt werden.      ■
Matthias Hämmerle übernimmt bei der
Automation Consulting Group (ACG)
GmbH in Frankfurt ab Januar 2013
die Leitung des neu gegründeten „Com-
petence Center Business Continuity
Management“.Dr.Klaus-RainerMüller,
der bisher auch für BCM verantwortlich
war, spezialisiert sich künftig auf die
Themen IT-Sicherheit, Sourcing und
Provider-Management.
Tabelle 3:
Abstimmung des
SSCM mit Dienst-
leistern
Alarmierung und	 •  Abstimmung von Begrifflichkeiten:
Eskalation	 	 Definition von „Störung“, „Problem“, „Ausfall“,
	 	 „Notfall“, „Krise“, „K-Fall“
	 •  Dokumentation der Ansprechpartner und
	 	 Kommunikationsdaten
	 •	 Festlegung der Meldewege
	 •	 De-Eskalation
Krisenmanagement	 •	 Abstimmung der Krisenstabsorganisationen
	 •	 Festlegung gegenseitiger Teilnahme oder
		Informationsaustausch
Notfallkonzepte	 •	 Beidseitige Abstimmung der Notfallkonzepte
	 	 (Handlungsoptionen und -verfahren)
Geschäftsfortführungs-	 •	 Abstimmung von Notfallplänen
und Wiederanlaufpläne
Test- und Übungspläne	 •	 Abstimmung der Test- und Übungspläne
	 	 (inhaltlich und zeitlich)
	 •	 Abstimmung von Begrifflichkeiten
Literatur
[1]	
Business Continuity Institute
(BCI), Supply Chain Resilience
2012, www.thebci.org/index.
php?option=com_content&view=ar
ticle&id=341&Itemid=201
[2]	
Sonja Mohr, Outsourcing nach
Bankenart, § 25a KWG als Grund-
lage für sichere IT-Dienstleistungen,
<kes> 2005#
6, S. 85
[3]	
Bundesanstalt für Finanzdienst-
leistungsaufsicht(BaFin),Mindestan-
forderungen an das Risikomanage-
ment (MaRisk BA), www.bafin.de/
SharedDocs/Veroeffentlichungen/
DE/Rundschreiben/rs_1011_ba_ma-
risk.html
[4]	
European Banking Authority
(EBA), Guidelines on Internal Gover-
nance (GL 44), www.eba.europa.eu/
Publications/Guidelines.aspx
[5]	Committee of European Banking
Supervisors (CEBS), Guidelines on
Outsourcing, www.eba.europa.eu/
getdoc/f99a6113-02ea-4028-8737-
1cdb33624840/GL02Outsourcing-
Guidelines-pdf.aspx
[6]	Bundesamt für Sicherheit in der
Informationstechnik (BSI), BSI-Stan-
dard 100-4: Notfallmanagement,
www.bsi.bund.de/ContentBSI/Pu-
blikationen/BSI_Standard/it_grund-
schutzstandards.html

Weitere ähnliche Inhalte

Ähnlich wie Audit des BCM

Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health CheckTALOSCommunications
 
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdfIdeenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdfaloahe2
 
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzialDienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzialHans Ulrich Wiedmer
 
Revidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzRevidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzTALOSCommunications
 
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato SystemsBITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systemsarvato AG
 
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsBITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsHeiko Wrage
 
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdfTotal-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdfhuoYan2
 
Geldinstitute - Bank Referenz
Geldinstitute - Bank ReferenzGeldinstitute - Bank Referenz
Geldinstitute - Bank ReferenzWolfgang Schmidt
 
05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcmICV_eV
 
Code of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei VersicherungsunternehmenCode of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei VersicherungsunternehmenPPI AG
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...Symposia 360°
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios  by Michael K...Nagios Conference 2007 | Business Process Monitoring mit Nagios  by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...NETWAYS
 
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)Agenda Europe 2035
 

Ähnlich wie Audit des BCM (20)

Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health Check
 
Die Nachfolgeregelung
Die NachfolgeregelungDie Nachfolgeregelung
Die Nachfolgeregelung
 
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdfIdeenwerkstatt_Quarterly_2022_36_DE.pdf
Ideenwerkstatt_Quarterly_2022_36_DE.pdf
 
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzialDienste und it governance in der bundesverwaltung bedarf nutzen potenzial
Dienste und it governance in der bundesverwaltung bedarf nutzen potenzial
 
Revidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzRevidiertes Geldwaeschereigesetz
Revidiertes Geldwaeschereigesetz
 
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 UmsetzungCWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
 
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
[DE] ECM für Finanzdienstleister - Trends im Markt für Enterprise Content Man...
 
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato SystemsBITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systems
 
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsBITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
 
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdfTotal-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
Total-Rewards-Webinar_-_COVID-19_und_Compensation_Benefits_25.06_final_.pdf
 
Geldinstitute - Bank Referenz
Geldinstitute - Bank ReferenzGeldinstitute - Bank Referenz
Geldinstitute - Bank Referenz
 
[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance
 
05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm05 vater cib 2013 präsentation richtlinie wcm
05 vater cib 2013 präsentation richtlinie wcm
 
Code of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei VersicherungsunternehmenCode of Conduct Datenschutz bei Versicherungsunternehmen
Code of Conduct Datenschutz bei Versicherungsunternehmen
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
 
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem RolloutCWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
CWMC Insights 2020|05 - MES Betrieb nach stufenweisem Rollout
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
[DE] Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme ...
 
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios  by Michael K...Nagios Conference 2007 | Business Process Monitoring mit Nagios  by Michael K...
Nagios Conference 2007 | Business Process Monitoring mit Nagios by Michael K...
 
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
Dipl.-Ing. Harald Brandstätter (CSC Computer Sciences Consulting)
 

Mehr von haemmerle-consulting

World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014haemmerle-consulting
 
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 ÜberblickMunich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblickhaemmerle-consulting
 
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013haemmerle-consulting
 
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per KontinentSchäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinenthaemmerle-consulting
 
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattleThe hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattlehaemmerle-consulting
 
Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"haemmerle-consulting
 
Kochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newsKochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newshaemmerle-consulting
 

Mehr von haemmerle-consulting (20)

World Disasters Report 2014
World Disasters Report 2014World Disasters Report 2014
World Disasters Report 2014
 
BCI Counting The Cost
BCI Counting The CostBCI Counting The Cost
BCI Counting The Cost
 
BCM Glossary by BCI
BCM Glossary by BCIBCM Glossary by BCI
BCM Glossary by BCI
 
World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014World Economic Forum Global Risks 2014
World Economic Forum Global Risks 2014
 
Symantec Intelligence Report 2013
Symantec Intelligence Report 2013Symantec Intelligence Report 2013
Symantec Intelligence Report 2013
 
Munich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 ÜberblickMunich RE Naturkatastrophen 2013 Überblick
Munich RE Naturkatastrophen 2013 Überblick
 
Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013Weltkarte der Naturkatastrophen 2013
Weltkarte der Naturkatastrophen 2013
 
Schäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per KontinentSchäden aus Naturkatastrophen 2013 per Kontinent
Schäden aus Naturkatastrophen 2013 per Kontinent
 
Global Climate Risk Index 2014
Global Climate Risk Index 2014Global Climate Risk Index 2014
Global Climate Risk Index 2014
 
Supply chain-resilience-2013-en
Supply chain-resilience-2013-enSupply chain-resilience-2013-en
Supply chain-resilience-2013-en
 
BCAW 2013 poster english
BCAW 2013 poster englishBCAW 2013 poster english
BCAW 2013 poster english
 
Tests und übungen
Tests und übungenTests und übungen
Tests und übungen
 
BCM Planung
BCM PlanungBCM Planung
BCM Planung
 
BCM Lifecycle
BCM LifecycleBCM Lifecycle
BCM Lifecycle
 
Krisenmanagement Case Study
Krisenmanagement Case StudyKrisenmanagement Case Study
Krisenmanagement Case Study
 
The hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattleThe hard realities of earthquake recovery for seattle
The hard realities of earthquake recovery for seattle
 
BCI Supply Chain Resilience 2012
BCI Supply Chain Resilience 2012BCI Supply Chain Resilience 2012
BCI Supply Chain Resilience 2012
 
BCM Stakeholder Management
BCM Stakeholder ManagementBCM Stakeholder Management
BCM Stakeholder Management
 
Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"Umfrageergebnisse "BC Manager Agenda 2012"
Umfrageergebnisse "BC Manager Agenda 2012"
 
Kochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newsKochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm news
 

Audit des BCM

  • 1. 17 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Business-Continuity Management und Wissen BCM in der Supply Chain Was für die „Just-in-Time“-Produktion gilt, hat mittlerweile auch Einzug in Dienstleistungen und IT- Prozesse gehalten: die Abhängigkeit von einer Lieferkette (Supply-Chain). Erdbeben, Vulkanausbrüche (und in der Folge Aschewolken), Überschwemmungen, Tornados und politische Unruhen sind nur einige Beispiele, die in den letzten Jahren für erhebliche Verzögerungen, Liefereng- pässe und -ausfälle gesorgt haben. 73  % der Teilnehmer der Supply-Chain-Resi- lience-Studie 2012 des Business Continuity Institute haben angegeben, in den vorausgegangenen 12 Monaten mindestens eine Störung in der Lieferkette gehabt zu ha- ben, die zu Unterbrechungen im Unternehmen geführt hat [1] – 23 % der Befragten berichteten sogar über mehr als fünf Störungen im Betrachtungszeitraum. Als Haupt- ursachen der Unterbrechungen wurden IT-Ausfälle (52 % vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) und Service-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz- dienstleistungsbereich wurden IT- und Telekommummu- nikations-Ausfälle (45 %), Verletzung der Datensicherheit (13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet- terereignisse (11 %) als wesentliche Ursachen benannt. Liefernetzwerke Lieferketten gliedern sich in die vorgelagerte Lieferkette, die konzern- und unternehmensinterne Lieferkette sowie die dem Unternehmen nachgelagerte Lieferkette zum Kunden – eine ganzheitliche Betrachtung umfasstzudemsowohldasmehrstufigeLiefernetzwerkauf Zuliefererseite als auch das mehrstufige Liefernetzwerk zum Kunden. Für das BCM ist die Funktionsfähigkeit die- ser gesamten Konstruktion essenziell – bricht auch nur ein Glied in dieser Kette, kann dies zum Gesamtausfall führen. Auch im Dienstleistungsbereich hat sich aus öko- nomischen Gründen die Zergliederung der Produktion Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt Immer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio- naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerke gegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondern auch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nicht zuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutet dies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zu erweitern. in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt: Unternehmensintern werden Services durch Shared- Service-Center für den gesamten Konzern zentral erbracht – zunächst vornehmlich für IT-Dienstleistungen haben sie sich mittlerweile für viele administrative Funktionen durchgesetzt (z. B. Personalverwaltung, Rechnungswesen etc.). Im Ergebnis entstehen – zum Teil hochkomplexe – unternehmensinterne Lieferungs- und Leistungsbezie- hungen, die in Form von Service-Level-Agreements (SLA) vereinbart werden. Zudem hat sich auch eine Auslagerung von Sup- portprozessen im Rahmen des Outsourcings etabliert – etwa beim IT-Betrieb, der Telekommunikation (VoIP) oder sogar zentralen Wertschöpfungsprozessen wie Zahlungs- verkehr, Wertpapierabwicklung, Schadensbearbeitung, Reklamationen an spezialisierte Dienstleister et cetera. Auch die Lieferkette zum Kunden entwickelt sich immer stärker zum verzweigten Netzwerk von Servicepart- nern – so sind etwa Prüfungs- und Beratungsleistungen für den B2B-Geschäftsabschluss häufig unabdingbar oder im Finanzwesen Intermediäre zwischengeschaltet, große Kapitalmarkttransaktionen nur in Konsortien abbildbar. Der Wertschöpfungsprozess ist auf das reibungslose Zusammenwirken aller dieser Rollen angewiesen! Und das schwächste Glied dieser Kette bestimmt letztlich die Robustheit (Resilience) des Ganzen. Complianceanforderungen In bestimmten Branchen sind bereits gesetzliche oder regulatorische Anforderungen einschlägig. Beispiels- weise ist für Finanzdienstleister – auch in ihrer besonderen Bedeutung als Teil der kritischen Infrastruktur („Kritis“ – www.kritis.bund.de) – die Sicherstellung der Lieferkette entsprechend geregelt: Das Kreditwesengesetz (§ 25a KWG, vgl. [2]) erfasst im Rahmen der besonderen organi-
  • 2. 18 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 satorischen Pflichten von Instituten auch die ordnungs- gemäße Geschäftsorganisation bei „wesentlichen Ausla- gerungen“ – Institute müssen für diese wesentlichen Aus- lagerungen risikoorientiert „angemessene Vorkehrungen treffen,umübermäßigezusätzlicheRisikenzuvermeiden“ (siehe www.juris.de/purl/gesetze/KredWG_!_25a). Das Risikomanagement eines auslagernden Fi- nanzinstituts muss die ausgelagerten Aktivitäten und Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla- gerung ist im Rahmen einer Risikoanalyse zu bestimmen. Konkreter wird das in den „Mindestanforderungen an das Risikomanagement für Banken“ (MaRisk BA [3]) im „Allgemeinen Teil“ AT 9, für Investmentgesellschaften und Versicherer erfolgt dies in spezifischen Regelungen (InvMaRisk, MaRisk VA). Eine Auslagerung im Sinne der MaRisk liegt vor, „wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienst- leistungen oder sonstiger institutstypischen Dienstleis- tungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden“ – Auslagerungen im Sinne der MaRisk erfassen demzufolge nur einen Ausschnitt der Lieferkette eines Finanzdienstleisters. Nicht berücksichtigt sind alle Leistungen, die ein Institut nicht selbst erbringen würde, also etwa nicht-bankfachliche Dienstleistungen und Un- terstützungsprozesse (z. B. Datenerfassung). Sich bei der Notfallvorsorge für die gesamte Lie- ferkette (End to End) auf die wesentlichen Auslagerungen bestimmter Compliance-Kriterien zu beschränken, greift in der Regel zu kurz. Erst eine Business-Impact-Analyse (BIA) im Rahmen mit der expliziten Prüfung der Liefer- ketten verschafft eine solide Grundlage für das SCCM. Standards und Good Practices Passende Normen für das SCCM findet man so- wohl in Regelungen für das BCM als auch spezifischen Werken für das Outsourcing (s. u., vgl. Tab. 1). Good Practices des BCM liefern auf europäischer Ebene in erster Linie die „BCI Good Practice Guidelines 2010“ (bestellbar über www.thebci.org) – dieses ansonsten sehr gute BCM- Hilfsmittel bildet externe Dienstleister zwar als Ressource im BCM-Lebenszyklus ab, gibt aber leider keine spezi- fischen Hilfestellungen für das SCCM. Branchenspezifische Regelungen auf deutscher, europäischer und internationaler Ebene ergänzen diese Standards – hierzu gehören beispielsweise die europawei- ten Regelungen zum Outsourcing für Finanzdienstleister, namentlich die „EBA Guidelines on Internal Governance“ [4] und die „CEBS Guidelines on Outsourcing“ [5]. Ein hilfreicher Standard für die Ausgestaltung der Zusammenarbeit mit internen und externen Partnern ist zudem der BS 11000 „Collaborative business relation- ships“ (www.bsigroup.de): Der weltweit erste Collabo- ration-Standard enthält ein gesamthaftes Framework zur Beschreibung der wesentlichen Funktionen, die in der in- ternen und externen Zusammenarbeit mit Dienstleistern, Lieferanten und Kunden zu beachten sind. Acht Kapitel beschreiben den gesamten Lebenszyklus der Zusammen- arbeit (Awareness, Knowledge, Internal Assessment, Part- ner Selection, Working Together, Value Creation, Staying Together, Exit Strategy) – BCM und Exit-Strategien werden vor allem in den Vorgehensmodellen des Teil 2 „Guide to implementing“ behandelt. BCM-Normen BS 25999-1 und BS 25999-2 weisen noch einen starken Innenbezug auf die Organisation auf: In allen Phasen des BCM-Lebenszyklus sind Anforderungen an die Einbeziehung der kritischen Dienstleister und Zulieferer beschrieben, besonders hinsichtlich der Identifikation kritischer Dienstleister im Rahmen der BIA und des BCM- Audits der Dienstleister. Die beiden British Standards werden durch den im Mai 2012 veröffentlichten ISO-Standard 22301 „Societal security – Business continuity management systems – Requirements“ abgelöst. Er macht bereits durch seinen Titel deutlich, dass hier dem Umfeld der Organi- sation eine wesentlich höhere Bedeutung zugemessen wird: ISO 22301 führt hierzu die Rolle der „Interested Party“ ein, die alle Stakeholder des Unternehmens und die Lieferkette umfasst. Interested Parties finden in allen Phasen des BCM Berücksichtigung – und so schafft der Standard zumindest einen Anforderungskatalog für das SCCM. Die konkrete Ausgestaltung des „wie“ bleibt jedoch der noch zu veröffentlichenden ISO 22313 „Business continuity management systems – Guidance“ vorbehalten. Von deutscher Seite liefert das Bundesamt für Sicherheit in der Informationstechnik mit seinem BSI 100-4 einen Standard für das Notfallmanagement [6]. Für Behörden ist er verbindlich und bildet für deutsche Un- ternehmen generell eine gute Umsetzungsanleitung für das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenes Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigen Punkten, die bei der Vertragsgestaltung zu beachten sind sowie die Berücksichtigung des Outsourcing bei der Not- fallkonzeption. SCCM-Erläuterungen Ein umfassendes SCCM-Framework liefert das „Public Document“ des British Standards Institute Business-Continuity Management und Wissen
  • 3. 19 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 PD 25222:2011 „Business conti- nuity management – Guidance on supply chain continuity“ (bestellbar über http://shop.bsigroup.com). Dieses erläuternde Dokument de- finiert einleitend die wesentlichen SCCM-Begrifflichkeiten und stellt die Bedeutung des Continuity- Managements für die Sicherung der Liefernetzwerke dar. Für die SCCM- Umsetzung gibt es einen konkreten Handlungsrahmen vor, der sich am BCM-Lifecycle des BS 25999 und der Good-Practice-Guidelines des BCI orientiert. So lässt sich SCCM sehr gut in ein bestehendes BCM-System einbinden. Das Konzept sieht die fol- genden Schritte in der Umsetzung vor: Management-Buy-in, Analyse der Supply-Chain (Festlegung des Scopes, Verständnis der Supply- Chain, Identifikation der kritischen Dienstleister), Festlegung von Strategien, Weiterentwicklung und laufender Betrieb sowie die Entwicklung einer lang-fris- tigen Resilience-Strategie. Framework fürs SCCM Nachfolgend wird basierend auf dem BCM-Lifecycle ein metho- disches Vorgehen zur SCCM-Imple- mentierung skizziert (vgl. Abb. 1). DieOrientierungamBCMerleichtert die Integration in ein bestehendes Business-Continuity-Management- System und ermöglicht die einfache Transformation in den PDCA-Zyklus der Zertifizierungs-Standards. SCCM-Programm-Manage- ment und Awareness Gegenstand des SCCM-Pro- gramm-Managements sind die Im- plementierung einer Organisation, von Prozessen für das SCCM sowie einer angemessenen Governance- Struktur – dokumentiert in einer SC- Abbildung 1: SCCM-Lifecycle auf Basis des BCM-Zyklus CM-Policy. SCCM entsteht nicht auf der „grünen Wiese“, daher ist die De- finition der Schnittstellen zu angren- zenden Bereichen elementar: Hierzu gehören beispielhaft Einkaufsab- teilungen, Vertriebsorganisation, Recht und Risikomanagement. Die Anbindung an die Unternehmens- strategie und das Commitment des Managements ist über eine SCCM- Policy sicherzustellen. Die zentralen Prozesse des SCCM bestehen aus den „technischen Disziplinen“ Analyse der Supply-Chain, Supply-Chain- Strategie, Implementierung sowie „Tests, laufende Aktualisierung und Monitoring“ (vgl. Abb. 1). Zudem sinddieEinbindungindieUnterneh- menskultur und Awareness-Bildung für das SCCM als dauerhafter Prozess vorzusehen – letztlich bedeutet dies, dass alle relevanten Rollen die Be- deutung des SCCM kennen und in ihren Entscheidungsprozessen mit berücksichtigen. Analyse der Supply-Chain Diese Phase ist der wesent- liche Ausgangspunkt zur Umsetzung eines SCCM; ihre Ziele sind die IdentifikationkritischerDienstleister sowie die Analyse der Risiken für die Supply-Chain im Rahmen eines laufenden Risk-Assessments. Bei der Identifikation der kritischen Dienst- leister in der Wertschöpfungskette ist die BCM-Business-Impact-Analyse (BIA) eine wesentliche Informa- tionsquelle, da in ihrem Rahmen die kritischen Zusammenhänge der Wertschöpfungskette erhoben werden. Neben der Analyse der Abhängigkeiten der Prozesse von Dienstleistern ermittelt die BIA auch die maximal zu akzeptierenden Ausfallzeiten für die Ressourcen (Recovery-Time-Objective, RTO). Die BIA kann für das SCCM daher die Zeitkritikalität für die Prozesse bezogen auf die Dienstleister liefern (vgl. Abb. 2). Neben der BIA sind jedoch auch weitere Kriterien heranzuzie- hen – die „Supply Chain Resilience Tabelle 1: Relevante Normen und Standards zum SCCM Norm Inhalte zum Supply Chain Continuity Management BS 2599-1, BS 25999-2 • BCM-Standard (zertifizierbar) • British Standards BSi • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle ISO 22301 • BCM-Standard (zertifizierbar) • ISO • Supply-Chain wird in der Rolle „Interested Party“ durchgehend berücksichtigt BSI-Standard 100-4 • BCM-Standard (nicht zertifizierbar) • Bundesamt für Sicherheit in der Informationstechnik BSI • Outsourcing wird in einem eigenen Kapitel “Outsourcing und Notfallmanagement” behandelt BCI Good Practice Guidelines 2010 • Good Practices für BCM des Business Continuity Institute BCI • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycle BSI 11000 • Collaborative business relationships • BCM-Standard (zertifizierbar) • British Standards BSi • Risiko- und Business-Continuity- Management im gesamten Lebenszyklus des Partner- Management PD 25222:2011 • Good Practice Supply Chain Continuity Mgt. (nicht zertifizierbar) • British Standards BSi • Supply-Chain wird in der Rolle „Interested Party“ durchgehend berücksichtigt
  • 4. 20 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Business-Continuity Management und Wissen Abbildung 2: Dependenzenana- lyse im Rahmen der Business-Impact- Analyse des BCM (das Recovery- Time-Object – ROT – bezeichnet die maximal tolerier- bare Ausfallzeit) Survey 2011“ des BCI hat hier die folgenden Punkte identifiziert: Reputational Impact (57 %), Financial Impact of Non-Supply over a Period of Time (54 %), Regulatory Impact (50 %), Availability of other Suppliers (50 %), Spend (49 %), Location of Supplier (43 %), Key People / Knowledge involved (41 %), Bespoke Nature of Product / Service supplied (37 %), Speed of change to alternative Supplier (35 %), Interdependencies with other Suppliers (28 %), Maturity of the Industry (21 %). Im Rahmen eines Risk- Assessments sind überdies die wesentlichen Risiken auf die Wert- schöpfungskette zu analysieren und, sofern erforderlich, zu mitigieren (vgl. Tab. 2). Ungeplante ITK-Aus- fälle (52  %) und Wetterereignisse (48 %)warennachErkenntnissender Teil-nehmer der „BCI Supply Chain Resilience Studie 2012“ die Haupt- ursachen für Unterbrechungen in der Lieferkette. Mit großem Abstand folgten Serviceausfälle von Dienst- leistern (32 %). Branchenspezifisch zeigt die Studie jedoch ein anderes Bild für die Ursachen: Im Finanz- Tabelle 2: Risiken der Supply-Chain Risikokategorien Ausprägungen Rechtsrisiken •  Betriebsschließungen •  Einstweilige Verfügungen Politische Risiken •  Politische Instabilität / Unruhen •  Grenzschließungen •  Zölle und Tarife •  Aus- und Einfuhrbestimmungen •  Gesetzesänderungen Betriebswirtschaftliche •  Insolvenz des Lieferanten Risiken •  Übernahmen / Zusammenschlüsse •  Änderungen im Produktionsprogramm •  Lieferunterbrechung in der davorliegenden   Lieferkette (Tier Two) Technische Risiken •  Technische Störungen / Ausfälle •  IT-Ausfälle •  Mitarbeiterausfälle •  Qualitätsprobleme / Produktrückruf •  Kontamination Umweltrisiken •  Naturkatastrophen •  Klima / Wetter •  Pandemien / Epidemien •  Unterbrechung von Transport / Verkehr Soziale Risiken •  Streik •  Sabotage •  Kriminelle Handlungen, Terrorismus, Piraterie dienstleistungsbereich waren bei- spielsweise ungeplante IT-Ausfälle, Datenverlust und Dienstleisteraus- fälle die Top-3-Risiken, während sich in der Produktion vor allem Wechselkurse,EnergieundWetterals Ursachen gezeigt haben. Zur Mahnung: 61 % der Unterbrechungen in der Lieferkette wurden der Studie zufolge durch ei- nen Tier-1-Dienstleister verursacht, 32 % durch Tier-2-Dienstleister und 7 % auf der dritten Ebene der Dienst- leisterbeziehungen. Es reicht also nicht aus, nur die direkt beauftragten Dienstleister in seine Risikobetrach- tung einzubeziehen. SSCM-Strategien FürRisikostrategienimSSCM bestehen die folgenden Optionen: Akzeptieren der Risiken (z. B. bei geringen Risiken), Vermindern der Risiken durch Maßnahmen, Übertragen der Risiken (auf Versicherungen oder Dienstleister) sowie Vermeidung der Risiken (z. B. durch Verzicht auf Produkte oder Dienst- leistungen). Anforderungen des SCCM müssen bereits sehr früh bei der Vertrags- gestaltung mit Dienstleistern be- rücksichtigt werden. Hierzu zählen Anforderungen an die Ausgestaltung des BCM des Dienstleisters, eine Ab- stimmung von Notfall- und Krisen- managementkonzepten, Prüf- und Einsichtrechte für das BCM sowie gewünschte Zertifizierungen. Zudem sind Berichts- und Meldewesen für die laufende Dienstleisterbeziehung, aber auch für Notfälle und Krisen beim Dienstleister und Auftraggeber festzulegen – hierzu zählt nicht zu- letzt die Definition von Eskalations- stufen (z. B. Störung, Notfall, Krise), da diese nicht einheitlich verwendet werden (vgl. Kap. 10 in [6]).
  • 5. 21 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012# 6 Implementierung Grundlage für den Übergang eines SCCM in den laufenden Betrieb sind die in der SCCM-Policy geregel- ten Vorgaben für Organisation und Prozesse. Zum laufenden Betrieb ge- hört die Umsetzung der festgelegten SCCM-StrategienfürdieDienstleister, das laufende SCCM-Berichtswesen sowie regelmäßige Überprüfungen/ Audits bei den Dienstleistern (vgl. Tab. 3). Die beispielsweise im Finanz- dienstleistungsbereich regulatorisch vorgeschriebene Abstimmung der Notfallkonzepte gehört ebenso dazu wie Einrichtung, Pflege und Tests von Alarmierungs- und Kommunikati- onswegen bei Störungen, Notfällen und Krisen. Eine Abstimmung der Notfallkonzeptemussgegebenenfalls auf mehreren Ebenen erfolgen – ihr UmfanghängtvonderKritikalitätdes Dienstleisters ab. Test, Aktualisierung, Monitoring Die Funktionsfähigkeit der SCCM-Konzepte lässt sich letzt- lich erst durch Tests und Übungen überprüfen und nachweisen – diese sollten sowohl Notfälle beim Dienst- leister,NotfällebeimAuftraggeberals auch Katastrophen mit gemeinsamer Betroffenheit umfassen. Alarmie- rungs- und Eskalationsverfahren sowie die hierfür eingesetzten Tools sollte man regelmäßig testen und auf Aktualität der Kontaktdaten hin prüfen. Regelmäßige „Jour Fixes“ mit den kritischen Dienstleistern fördern zudem die Zusammenarbeit und das gemeinschaftliche Denken und Handeln. Audits von Wirtschafts- prüfungsgesellschaften und Bera- tungsunternehmen oder auch Zer- tifizierungen nach internationalen Standards geben darüber hinaus Hinweise auf den Reifegrad des BCM-Systems von Dienstleistern. Sie ersetzen jedoch nicht die bila- terale Zusammenarbeit, da solche Audits und Zertifizierungen in der Regel keine konkreten Hinweise auf die spezifischen Auswirkungen von Ausfällen auf die eigene Dienstleis- tungsbeziehung geben. Fazit Supply-Chain-Continuity- Management (SCCM) ist eine junge Disziplin, die angesichts des zuneh- menden Outsourcings in allen Bran- chen eine wachsende Bedeutung gewinnt. Viele Ereignisse der letzten Jahre (z. B. Fukushima, Thailand- Überschwemmungen, Aschewol- ken) haben die Notwendigkeit der Weiterentwicklung dieses Themas für alle Branchen aufgezeigt. Teils erfordern bereits gesetzliche und regulatorische Normen seine Orga- nisationundentsprechendeProzesse – auch bei externen Audits gerät SCCM zunehmend in den Fokus der Prüfungen. Standards und Good Practices für seine konkrete Umset- zung liegen jedoch erst rudimentär vor und müssen aus der Praxis heraus fortentwickelt werden.      ■ Matthias Hämmerle übernimmt bei der Automation Consulting Group (ACG) GmbH in Frankfurt ab Januar 2013 die Leitung des neu gegründeten „Com- petence Center Business Continuity Management“.Dr.Klaus-RainerMüller, der bisher auch für BCM verantwortlich war, spezialisiert sich künftig auf die Themen IT-Sicherheit, Sourcing und Provider-Management. Tabelle 3: Abstimmung des SSCM mit Dienst- leistern Alarmierung und •  Abstimmung von Begrifflichkeiten: Eskalation Definition von „Störung“, „Problem“, „Ausfall“, „Notfall“, „Krise“, „K-Fall“ •  Dokumentation der Ansprechpartner und Kommunikationsdaten • Festlegung der Meldewege • De-Eskalation Krisenmanagement • Abstimmung der Krisenstabsorganisationen • Festlegung gegenseitiger Teilnahme oder Informationsaustausch Notfallkonzepte • Beidseitige Abstimmung der Notfallkonzepte (Handlungsoptionen und -verfahren) Geschäftsfortführungs- • Abstimmung von Notfallplänen und Wiederanlaufpläne Test- und Übungspläne • Abstimmung der Test- und Übungspläne (inhaltlich und zeitlich) • Abstimmung von Begrifflichkeiten Literatur [1] Business Continuity Institute (BCI), Supply Chain Resilience 2012, www.thebci.org/index. php?option=com_content&view=ar ticle&id=341&Itemid=201 [2] Sonja Mohr, Outsourcing nach Bankenart, § 25a KWG als Grund- lage für sichere IT-Dienstleistungen, <kes> 2005# 6, S. 85 [3] Bundesanstalt für Finanzdienst- leistungsaufsicht(BaFin),Mindestan- forderungen an das Risikomanage- ment (MaRisk BA), www.bafin.de/ SharedDocs/Veroeffentlichungen/ DE/Rundschreiben/rs_1011_ba_ma- risk.html [4] European Banking Authority (EBA), Guidelines on Internal Gover- nance (GL 44), www.eba.europa.eu/ Publications/Guidelines.aspx [5] Committee of European Banking Supervisors (CEBS), Guidelines on Outsourcing, www.eba.europa.eu/ getdoc/f99a6113-02ea-4028-8737- 1cdb33624840/GL02Outsourcing- Guidelines-pdf.aspx [6] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Stan- dard 100-4: Notfallmanagement, www.bsi.bund.de/ContentBSI/Pu- blikationen/BSI_Standard/it_grund- schutzstandards.html