Björn Seebach, Fachbereich Banksteuerung, Recht & Stäbe, Bereichsleiter Revision, FCH AG

Ein wirksames Business Continuity Management (BCM) ist von entscheidender Bedeutung, um Betriebsstörungen und -unterbrechungen zu minimieren und einen kontinuierlichen Geschäftsbetrieb sicherzustellen. In diesem Kontext liegt es regelmäßig in der Verantwortung der Internen Revision, die Effizienz des BCM in der Bank regelmäßig zu überprüfen und mithin damit sicherzustellen, dass es angemessen funktioniert und von dem Notfallmanagement kontinuierlich, hinsichtlich des Aktualisierungsbedarfs, überwacht sowie erforderlichenfalls angepasst wird.

Die Rolle der Internen Revision im BCM

Die Interne Revision spielt eine entscheidende Rolle bei der Sicherstellung der Wirksamkeit des BCM. Neben der Prüfung der grundlegenden Organisationsstruktur ist auch eine Überprüfung der Einhaltung von Vorschriften und Standards von Bedeutung. Darüber hinaus sollte die Interne Revision in Zusammenarbeit mit den Fachabteilungen das Bewusstsein für BCM in der gesamten Organisation schärfen.

Prüfungsansätze für die Interne Revision

Um die zahlreichen Anforderungen effektiv prüfen zu können, empfiehlt sich eine strukturierte Herangehensweise. Auch eine Aufteilung der Prüfungsbereiche innerhalb der Jahresplanung ist denkbar, um jeweils Schwerpunkt orientiert detailliertere Prüfungshandlungen vornehmen zu können.

Nachfolgend erhalten Sie eine mögliche Prüfungsstruktur, die an Ihre jeweilige Organisationsgröße angepasst werden kann.

BCM-Richtlinien und Strategie

Prüfung der Effektivität der BCM-Richtlinien und -Strategie der Bank, einschließlich der Sicherstellung, dass die Notfall-Strategie angemessen auf Geschäftsanforderungen und die aktuelle Bedrohungslage abgestimmt ist. Hierbei ist zu analysieren, ob Ziele, Key Risk Indicators (KRI) und Key Performance Indicators (KPI) des BCM klar definiert sind und ob die Notfall-Strategie die Integration neuer Technologien und Geschäftsmodelle ausreichend berücksichtigt.

BCM-Planung und -Umsetzung

Überprüfung des Prozesses der BCM-Planung und -Umsetzung, einschließlich der Identifizierung von potenziellen Risiken, (Weiter-) Entwicklung von Kontinuitätsplänen und Implementierung von erforderlichen Sicherungsmaßnahmen. Dabei ist sicherzustellen, dass die Planung auf einer umfassenden Risikoanalyse basiert.

BCM-Tests und Übungen

Prüfung der Sicherstellung, dass die BCM-Pläne von den Verantwortlichen regelmäßig und angemessen zufriedenstellenden Ergebnissen getestet wurden. Dabei gilt es zu überprüfen, ob die Tests realistische Notfall-Szenarien abdecken, die Reaktionsmöglichkeiten des Unternehmens auf verschiedene Arten von Störungen ausgelegt sind und ob die Tests in angemessenen Zeitabständen (wiederholt) durchgeführt werden.

Governance-Strukturen und -Prozesse

Überprüfung der Governance-Strukturen und -prozesse im Zusammenhang mit dem BCM, einschließlich der Bewertung von Rollen und Verantwortlichkeiten im Krisenmanagementteam, der Überwachung des Fortschritts bei der Umsetzung von BCM-Plänen und der Einbeziehung aller relevanten Stakeholder. Diese Prüfung stellt sicher, dass die Verantwortlichkeiten klar definiert und nachvollziehbar dokumentiert sind.

BCM-Schulungen und Awareness

Prüfungshandlungen zur Evaluierung der BCM-Schulungen und Awareness-Programme, um sicherzustellen, dass das Bewusstsein für BCM in der gesamten Organisation vorhanden ist und alle Mitarbeiter im Krisenfall effektiv handeln können. Dies beinhaltet die Überprüfung der Schulungspläne, -materialien und -methoden, um sicherzustellen, dass diese den Bedürfnissen der Mitarbeiter entsprechen und regelmäßig aktualisiert werden.

Compliance und Regulierung

Sicherstellung durch die Prüfung, dass die Bank alle aktuellen gesetzlichen und regulatorischen Anforderungen im Zusammenhang mit BCM beachtet und erfüllt. Dies schließt die Überprüfung von Verträgen mit Drittanbietern ein, die ebenfalls die von der Bank übernommenen BCM-Anforderungen gleichermaßen erfüllen müssen.

Technologische Resilienz

Prüfung, ob die IT-Infrastruktur und die Datensicherung angemessen geschützt sind, um eine kontinuierliche Verfügbarkeit und Integrität sicherzustellen.

Externe Partnerschaften und Drittanbieter

Überprüfung der Beziehungen zu Drittanbietern und externen Partnern im BCM-Kontext, einschließlich der Bewertung von Verträgen und Service Level Agreements (SLAs), um sicherzustellen, dass die Drittanbieter die von der Bank übernommenen aufsichtsrechtlichen BCM-Anforderungen gleichermaßen erfüllen und angemessen auf Krisensituationen reagieren können.

Kommunikation und Krisenmanagement

Überprüfung der Wirksamkeit der Kommunikationspläne und des Krisenmanagements im BCM, um sicherzustellen, dass die Kommunikation intern und extern im Notfall reibungslos abläuft und das Krisenmanagementteam effektiv auf aktuelle Ereignisse reagieren kann. Dabei sollte ebenfalls geprüft werden, ob eine Software für das BCM-Management eingesetzt wird und ob gewährleistet ist, dass eine Kommunikation jederzeit stattfinden kann, auch bei einem Ausfall der Infrastruktur.

Risikomanagement

Prüfung des Risikomanagements im BCM-Prozess, insbesondere die Sicherstellung, dass Risikoanalysen und -bewertungen regelmäßig aktualisiert werden. Dabei ist zu überprüfen, ob alle (auch neue) Notfall-Risiken angemessen quantifiziert und bewertet werden.

PRAXISTIPPS

• Berücksichtigen Sie die einzelnen Prüfungsaufträge bereits bei der Prüfungsplanung, um sicherzustellen, dass eine kontinuierliche Prüfung des BCM durch die Interne Revision stattfindet.
• Sorgen Sie für kontinuierliche Schulungen der Kollegen in der Internen Revision im Bereich BCM, um sicherzustellen, dass Ihr Revisionsteam stets über aktuelle Entwicklungen und Anforderungen informiert ist.
• Legen Sie besonderen Fokus auf die Überprüfung der Governance-Strukturen und -prozesse im Zusammenhang mit dem BCM, um klare Verantwortlichkeiten und eine effektive Umsetzung zu gewährleisten.