Montag, 3. Mai 2021

Quo vadis Notfallmanagement?

Gisela, Conrads, Leiterin Interne Revision und Thomas Bittner, Revisor, beide Münchener Hypothekenbank eG

Seit Jahren müssen insbesondere Banken besonderes Augenmerk auf ihre Notfallpläne und Sanierungskonzepte legen und deren Umsetzung regelmäßig testen. Aufsichtsrechtlich finden sich hierzu viele Vorgaben u. a. in verschiedenen EBA-Guidelines, den MaRisk und dem KWG. Seit 2017 regeln auch die bankaufsichtlichen Anforderungen an IT (BAIT) die Notfallplanung und -umsetzung im IT-Umfeld, denn Notfälle haben zunehmend auch Bedeutung in der IT.

Wurden bis Ende 2019 sowohl die Notfall- und Sanierungspläne als auch deren Tests eher als „Trockenübung“ ohne reale Auswirkung verstanden, haben diese Pläne seit Beginn der Corona-Pandemie zu Beginn des Jahres 2020 eine ganz neue Bedeutung bekommen. Spätestens seit Anfang März 2020 redet man nicht mehr nur von „Notfallübungen“, sondern bewertet regelmäßig, ob ein „Notfallszenario“ vorliegt oder eher eine „Störung des Betriebsablaufs“.

Digitalisierung, Homeoffice-Verfügbarkeiten, Online-Konferenzen und Online-Aktionärs- oder Vertreterversammlungen wurden u. a. aufgrund der Bundesvorgaben praktisch über Nacht zur obersten Priorität in der Wirtschaft. Dies führt dazu, dass insbesondere im IT und Datenschutzbereich die Risiken zunehmen und die bestehenden Rahmenbedingungen für Notfallpläne bzw. das Business-Continuity-Management (BCM) kurzfristig auf deren Wirksamkeit hin überprüft werden mussten. Wichtig sind in diesem Zusammenhang die Ziele und Rahmenbedingungen, die z. B. das IT-Notfallmanagement mit sich bringt. Die BAIT sehen hier in Kapitel 10 (Konsultation der BAIT vom 26.10.2020) vor, dass in den IT-gestützten Geschäftsprozessen vor allem auf Basis der Ziele des IT-Notfallmanagements folgende zwei zentrale Kennzahlen berücksichtigt werden müssen:

Wiederherstellungszeit
Akzeptabler Transaktionsverlust

Diese beiden Kennzahlen zeigen dem geneigten Leser, dass diese Risiken in einem ganzheitlichen Managementprozess zu identifizieren und zu bewerten sind, denn ohne IT funktionieren dann auch weitere Geschäftsprozesse nicht und dann kommt das BCM mit vordefinierten Vorsorge- und Notfallmaßnahmen zum Tragen.

Aber in 2020 mussten auch die bestehenden Business-Continuity-Konzepte (BCM) innerhalb der Unternehmen daraufhin überprüft werden, ob sie den Anforderungen überhaupt gerecht werden und alle Aspekte einer Pandemie tatsächlich berücksichtigen. Damit rücken aufsichtsrechtliche Vorgaben aber nicht in den Hintergrund, denn diese regeln, dass Notfallpläne nicht nur das eigene Unternehmen berücksichtigen sollen, sondern auch Dienstleister, sofern diese wesentliche Beiträge für die jeweiligen Prozesse beisteuern. Einzelne Beispiele in der Wirtschaft haben gezeigt, wie die Abhängigkeit von Dienstleistern dazu führt, dass zwar innerhalb des eigenen Unternehmens lediglich eine „Störung“ vorlag, aber der Pandemie-bedingte „Lieferverzug“ eines Anbieters dennoch nahezu zum „Totalausfall“ mit gravierenden Auswirkungen auf die wirtschaftliche Situation des auslagernden Unternehmens geführt hat.

Auch wenn die (aufsichts-)rechtlichen Vorgaben für das Notfallmanagement im Vergleich zu anderen aufsichtlichen Anforderungen eher allgemein gehalten und auf Basis des Proportionalitätsansatzes der jeweiligen internen Bedürfnisse umzusetzen sind, hat die Corona-Pandemie gezeigt, dass die Dokumentation entsprechender Konzepte hilft, im Notfall einen klaren Kopf zu behalten und strukturierte Prozesse in Gang setzen zu können. Eine einhundertprozentige „Vorausschau“ auf alle möglichen Aspekte und Eventualitäten wird man dabei jedoch nie sicherstellen können und sollte im Sinne effizienter Prozesse auch nicht das Ziel der Überlegungen sein.

Ergänzend können auch die in dem vom BMI herausgegebenen „Leitfaden zum Schutz kritischer Infrastrukturen – Risiko- und Krisenmanagement“ enthaltenen Hinweise von Betreibern kritischer Infrastrukturen eingesetzt werden, um umfassende Risikobilder der eigenen Einrichtung zu erstellen und darauf aufbauend gezielte Schutzmaßnahmen umzusetzen.

Ob die dokumentierten Notfallpläne tatsächlich wirksam sind, ist gemäß MaRisk und BAIT im Rahmen von Notfallübungen und Notfall-Simulationen regelmäßig zu testen. Folgende Aspekte sollten dabei Berücksichtigung finden:

Anwendung von Notfallplänen, Prozesslandkarten, PDCA-Zyklus, Notfallhandbuch.
Prozessorientierte Betrachtung von Auslagerungen und Weiterverlagerungen, was gilt es zu beachten?
Testen und prüfen zeitkritischer Prozesse und der Wirksamkeit des Notfallkonzepts.
Häufige Schwachstellen bei der Aktualisierung des Notfallmanagements.

Aus Sicht der Autoren hat die Pandemie gezeigt, dass es durchaus Sinn macht, zukunftsorientiert auch Szenarien zu beleuchten, zu testen und zu dokumentieren, von denen man hofft, dass diese nie eintreten. Dies ist vergleichbar mit der Versicherung, die man abschließt und nach 20 Jahren (hoffentlich) immer noch nicht in Anspruch genommen hat.

Um die Thematik zukunftsorientiert zu vertiefen und auf Notfälle noch besser vorbereitet zu sein, bietet das Finanz Colloquium Heidelberg laufend (Online-)Schulungen an, die sich mit dem Notfallmanagement bzw. der integrierten Dienstleistersteuerung beschäftigen. Diese Schulungen bieten neben der Auslegung aktueller aufsichtsrechtlicher Anforderungen aus Sicht von Prüfern der Aufsicht auch aktuelle Erkenntnisse und Praxistipps erfahrener „Anwender“ aus den Bereichen Interne Revision, IT oder BCM. Best Practice-Ansätze für die Zusammenarbeit zwischen der 2nd. und 3rd. Line im Rahmen einer angemessenen Dienstleistersteuerung und Einbeziehung in die Notfallpläne werden ebenfalls in Seminaren vorgestellt.

PRAXISTIPPS

Innerhalb der Organisation sind die jeweiligen Zuständigkeiten für das Notfallmanagement festzulegen und regelmäßig bezüglich der Verfügbarkeit zu prüfen.
Grundlage für ein funktionierendes Notfallmanagement ist die angemessene Dokumentation der Notfallpläne und -prozesse.
Im Sinne eines unternehmensweiten Notfallmanagements sind auch Schnittstellen und Abhängigkeiten festzuhalten und die Notfallkonzepte bei organisatorischen Veränderungen anzupassen.
Regelmäßige Tests sind weder als „Pflicht“ oder „Spiel“ zu sehen. Stattdessen sollten diese als Chance genutzt werden, um im Notfall tatsächlich gut vorbereitet zu sein und Schwachstellen im Konzept bzw. der Kommunikation zu beheben und als Lessons Learned vor dem Ernstfall umzusetzen.

Beitragsnummer: 17100

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Die Bank als Hauptangriffsziel von Cyberkriminellen

Die Angriffsvektoren, die Cyberkriminelle vor allem im Hinblick auf Banken nutzen, sind vielfältig - Ein Überblick

20.03.2024

DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

26.02.2024

Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024