Montag, 3. Mai 2021

Quo vadis Notfallmanagement?

Gisela, Conrads, Leiterin Interne Revision und Thomas Bittner, Revisor, beide Münchener Hypothekenbank eG

 

Seit Jahren müssen insbesondere Banken besonderes Augenmerk auf ihre Notfallpläne und Sanierungskonzepte legen und deren Umsetzung regelmäßig testen. Aufsichtsrechtlich finden sich hierzu viele Vorgaben u. a. in verschiedenen EBA-Guidelines, den MaRisk und dem KWG. Seit 2017 regeln auch die bankaufsichtlichen Anforderungen an IT (BAIT) die Notfallplanung und -umsetzung im IT-Umfeld, denn Notfälle haben zunehmend auch Bedeutung in der IT. 

 

Wurden bis Ende 2019 sowohl die Notfall- und Sanierungspläne als auch deren Tests eher als „Trockenübung“ ohne reale Auswirkung verstanden, haben diese Pläne seit Beginn der Corona-Pandemie zu Beginn des Jahres 2020 eine ganz neue Bedeutung bekommen. Spätestens seit Anfang März 2020 redet man nicht mehr nur von „Notfallübungen“, sondern bewertet regelmäßig, ob ein „Notfallszenario“ vorliegt oder eher eine „Störung des Betriebsablaufs“

 

Digitalisierung, Homeoffice-Verfügbarkeiten, Online-Konferenzen und Online-Aktionärs- oder Vertreterversammlungen wurden u. a. aufgrund der Bundesvorgaben praktisch über Nacht zur obersten Priorität in der Wirtschaft. Dies führt dazu, dass insbesondere im IT und Datenschutzbereich die Risiken zunehmen und die bestehenden Rahmenbedingungen für Notfallpläne bzw. das Business-Continuity-Management (BCM) kurzfristig auf deren Wirksamkeit hin überprüft werden mussten. Wichtig sind in diesem Zusammenhang die Ziele und Rahmenbedingungen, die z. B. das IT-Notfallmanagement mit sich bringt. Die BAIT sehen hier in Kapitel 10 (Konsultation der BAIT vom 26.10.2020) vor, dass in den IT-gestützten Geschäftsprozessen vor allem auf Basis der Ziele des IT-Notfallmanagements folgende zwei zentrale Kennzahlen berücksichtigt werden müssen:

  • Wiederherstellungszeit
  • Akzeptabler Transaktionsverlust 

Diese beiden Kennzahlen zeigen dem geneigten Leser, dass diese Risiken in einem ganzheitlichen Managementprozess zu identifizieren und zu bewerten sind, denn ohne IT funktionieren dann auch weitere Geschäftsprozesse nicht und dann kommt das BCM mit vordefinierten Vorsorge- und Notfallmaßnahmen zum Tragen.

 

Aber in 2020 mussten auch die bestehenden Business-Continuity-Konzepte (BCM) innerhalb der Unternehmen daraufhin überprüft werden, ob sie den Anforderungen überhaupt gerecht werden und alle Aspekte einer Pandemie tatsächlich berücksichtigen. Damit rücken aufsichtsrechtliche Vorgaben aber nicht in den Hintergrund, denn diese regeln, dass Notfallpläne nicht nur das eigene Unternehmen berücksichtigen sollen, sondern auch Dienstleister, sofern diese wesentliche Beiträge für die jeweiligen Prozesse beisteuern. Einzelne Beispiele in der Wirtschaft haben gezeigt, wie die Abhängigkeit von Dienstleistern dazu führt, dass zwar innerhalb des eigenen Unternehmens lediglich eine „Störung“ vorlag, aber der Pandemie-bedingte „Lieferverzug“ eines Anbieters dennoch nahezu zum „Totalausfall“ mit gravierenden Auswirkungen auf die wirtschaftliche Situation des auslagernden Unternehmens geführt hat.

 

Auch wenn die (aufsichts-)rechtlichen Vorgaben für das Notfallmanagement im Vergleich zu anderen aufsichtlichen Anforderungen eher allgemein gehalten und auf Basis des Proportionalitätsansatzes der jeweiligen internen Bedürfnisse umzusetzen sind, hat die Corona-Pandemie gezeigt, dass die Dokumentation entsprechender Konzepte hilft, im Notfall einen klaren Kopf zu behalten und strukturierte Prozesse in Gang setzen zu können. Eine einhundertprozentige „Vorausschau“ auf alle möglichen Aspekte und Eventualitäten wird man dabei jedoch nie sicherstellen können und sollte im Sinne effizienter Prozesse auch nicht das Ziel der Überlegungen sein. 

 

Ergänzend können auch die in dem vom BMI herausgegebenen „Leitfaden zum Schutz kritischer Infrastrukturen – Risiko- und Krisenmanagement“ enthaltenen Hinweise von Betreibern kritischer Infrastrukturen eingesetzt werden, um umfassende Risikobilder der eigenen Einrichtung zu erstellen und darauf aufbauend gezielte Schutzmaßnahmen umzusetzen.

 

Ob die dokumentierten Notfallpläne tatsächlich wirksam sind, ist gemäß MaRisk und BAIT im Rahmen von Notfallübungen und Notfall-Simulationen regelmäßig zu testen. Folgende Aspekte sollten dabei Berücksichtigung finden:

 

  • Anwendung von Notfallplänen, Prozesslandkarten, PDCA-Zyklus, Notfallhandbuch.
  • Prozessorientierte Betrachtung von Auslagerungen und Weiterverlagerungen, was gilt es zu beachten?
  • Testen und prüfen zeitkritischer Prozesse und der Wirksamkeit des Notfallkonzepts.
  • Häufige Schwachstellen bei der Aktualisierung des Notfallmanagements.

  

Aus Sicht der Autoren hat die Pandemie gezeigt, dass es durchaus Sinn macht, zukunftsorientiert auch Szenarien zu beleuchten, zu testen und zu dokumentieren, von denen man hofft, dass diese nie eintreten. Dies ist vergleichbar mit der Versicherung, die man abschließt und nach 20 Jahren (hoffentlich) immer noch nicht in Anspruch genommen hat.

 

Um die Thematik zukunftsorientiert zu vertiefen und auf Notfälle noch besser vorbereitet zu sein, bietet das Finanz Colloquium Heidelberg laufend (Online-)Schulungen an, die sich mit dem Notfallmanagement bzw. der integrierten Dienstleistersteuerung beschäftigen. Diese Schulungen bieten neben der Auslegung aktueller aufsichtsrechtlicher Anforderungen aus Sicht von Prüfern der Aufsicht auch aktuelle Erkenntnisse und Praxistipps erfahrener „Anwender“ aus den Bereichen Interne Revision, IT oder BCM. Best Practice-Ansätze für die Zusammenarbeit zwischen der 2nd. und 3rd. Line im Rahmen einer angemessenen Dienstleistersteuerung und Einbeziehung in die Notfallpläne werden ebenfalls in Seminaren vorgestellt.


PRAXISTIPPS

  • Innerhalb der Organisation sind die jeweiligen Zuständigkeiten für das Notfallmanagement festzulegen und regelmäßig bezüglich der Verfügbarkeit zu prüfen.
  • Grundlage für ein funktionierendes Notfallmanagement ist die angemessene Dokumentation der Notfallpläne und -prozesse.
  • Im Sinne eines unternehmensweiten Notfallmanagements sind auch Schnittstellen und Abhängigkeiten festzuhalten und die Notfallkonzepte bei organisatorischen Veränderungen anzupassen.
  • Regelmäßige Tests sind weder als „Pflicht“ oder „Spiel“ zu sehen. Stattdessen sollten diese als Chance genutzt werden, um im Notfall tatsächlich gut vorbereitet zu sein und Schwachstellen im Konzept bzw. der Kommunikation zu beheben und als Lessons Learned vor dem Ernstfall umzusetzen.

Beitragsnummer: 17100

Produkte zum Thema:

Produkticon
Prüfung der Internen Revision durch die Bankenaufsicht

790,00 € exkl. 19 %

09.06.2021

Produkticon
MaRisk: Prüfungserkenntnisse aus Praxisfällen

119,00 € inkl. 7 %

Beiträge zum Thema:

Beitragsicon
BAIT 2021

Bedingt durch die Überführung der europäischen Anforderungen aus den EBA Leitlinien in nationales Recht, wurden der BAIT drei weitere Kapitel hinzugefügt. Operative Informationssicherheit, IT-Notfallmanagement sowie Kundenbeziehungen mit Zahlungsdienstnutzern.

25.01.2021

Beitragsicon
Auslagerung in die Cloud – Eine Herausforderung, die sich lohnt!

Cloud-Auslagerungen sind mit Herausforderungen verbunden, die sich aber lohnen!

06.05.2021

Beitragsicon
Vorbereitung auf Sonderprüfungen

Mit routinemäßigen Prüfungen des Geschäftsbetriebs nach § 44 Abs. 1 Satz 2 KWG muss sich jedes Kreditinstitut – früher oder später – auseinandersetzen. Umso wichtiger ist es, dass zum einen die Hausaufgaben vor Prüfungsbeginn gemacht werden. Und zum anderen, dass alle Beteiligten sich auf die stärkere emotionale und zeitliche Belastung einstellen und von ihren Führungskräften unterstützt werden.

03.05.2021


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.