BaFin veröffentlicht ersten Entwurf der überarbeiteten MaRisk für Banken

Abgelegt in: Antworten

Das BaFin hat am 09. Juli 2010 den ersten Entwurf zur neuerlichen Überarbeitung der MaRisk für Banken veröffentlicht.

Der für das Business Continuity Management maßgebliche AT 7.3 ist in diesem ersten Entwurf unangetastet geblieben. Hier sind demzufolge keine (größeren) Änderungen zu erwarten. Dies wäre auch überraschend gewesen.

Interessant aus BCM-Sicht sind jedoch auch die Änderungen, die in diesem Entwurf vorgenommen wurden. Insbesondere die Änderungen in AT 4.2 “Strategien” halte ich für bemerkenswert. Betont wird noch einmal, dass der “Inhalt der Geschäftsstrategie allein in der Verantwortung der Geschäftsleitung liegt”. Die Inhalte der Geschäftsstrategie sind daher auch nicht Gegenstand von Prüfungen. Sehr wohl aber der prozessuale Rahmen für die Erstellung der Geschäftsstrategie, bestehend aus “Planung, Anpassung, Umsetzung und Beurteilung”. Nichts anderes als der uns aus dem BCM-Standard BS 25999-2 und anderen ISO-Standards wohlbekannte PDCA (Plan-Do-Check-Act) Zyklus. Für das BCM lässt sich aus der stärkeren Fokussierung der Aufsicht auf die Prozesse für die Geschäfts- und Risikostrategie und der eindeutigen Zuordnung der Verantwortung für die Inhalte der Strategien zu der Geschäftsleitung eine äquivalente Betrachtung ableiten.

Die inhaltlicher Verantwortung für die Festlegung des Risikos, das im BCM getragen wird, liegt bei der Geschäftsleitung. Dies beinhaltet beispielsweise die Festlegung der zeitkritischen Prozesse, für die Notfallkonzepte und Notfallplanungen erstellt werden (Risikoakzeptanzniveau). Die Geschäftsleitung kann hier, je nach Risikoappetit, risikofreudig oder eher risikoavers entscheiden. Von zentraler Bedeutung und Gegenstand der aufsichtlichen Prüfungen sind jedoch die Prozesse des BCM. Hierzu zählen beispielsweise die Prozesse

  • zur Ermittlung der zeitkritischen Prozesse (Business Impact Analyse)
  • zur Identifikation der relevanten Risiken (Risikoanalyse)
  • zur Festlegung der verfügbaren Notfallstrategien
  • zur Erstellung der Notfallkonzepte und Geschäftsfortführungs- und Wiederanlaufpläne
  • zur Überprüfung der Wirksamkeit der Maßnahmen in Form von Tests und Übungen.

Hinzu kommt die Festlegung der Organisation des BCM mit der Definition der Rollen, Aufgaben und Kompetenzen zum Beispiel in Form einer BCM-Policy.

Diese Prozesse müssen nicht nur vorhanden, sondern für ein externes oder internes Audit auch angemessen dokumentiert sein. Die Einhaltung der Prozesse und Aktualisierung muß in der BCM-Organisation zum Beispiel durch eine zentrale BCM-Verantwortung sichergestellt sein.

Standards helfen bei der Definition und Dokumentation der Prozesse. Im BCM sind dies insbesondere die Standards BS 25999-1, -2 und der deutsche Standard für Notfallmanagement BSI 100-4. Die in diesen Standards beschriebenen BCM-Prozesse bilden den PDCA-Zyklus, wie in den MaRisk gefordert, vollständig ab. Eine sehr gute Hilfe für die Implementierung der BCM-Prozesse sind auch die Good Practice Guidelines des BCI, die gerade in einer überarbeiteten neuen Version erschienen sind. Leider nicht mehr kostenlos für Nicht-Mitglieder, aber allemal das Geld wert.

US-Standard für Organizational Resilience veröffentlicht

Abgelegt in: 1 Antwort

ASIS International, die Non-profit-Organisation für Security hat den amerikanischen Standard für Organizational Resilience veröffentlicht. “ASIS Organizational Resilience: Security, Preparedness, and Continuity Management Systems – Requirements with Guidance for Use American National Standard”, so der offizielle Langtitel. Weiterlesen…

DQS zertifiziert BCM nach BS 25999 und SS540

Abgelegt in: Antworten

Die DQS Deutsche Gesellschaft zur Zertifizierung von Managementsystemen meldet zwei internationalen Zertifizierungen von Business Continuity Managementsystemen.

Es handelt sich hierbei um den führenden malayischen Telekommunikationsanbieter Maxis Communication Berhad, der nach dem internationalen BCM-Standard BS 25999-2 zertifiziert wurde. Die Single Health Gruppe aus Singapore wurden nach dem BCM-Standard SS540 zertifiziert.

Dies meldet DQS in einer aktuellen Pressemeldung.

BaFin veröffentlich MaRisk für Versicherungen MaRisk (VA)

Abgelegt in: Antworten

Das BaFin hat die MaRisk VA  veröffentlicht.

Die “Mindestanforderungen an das Risikomanagement” (MaRisk  VA) legen den seit dem 01. Januar 2008 geltenden § 64a Versicherungsaufsichtsgesetz “Gesetz über die Beaufsichtigung der Versicherungsunternehmen”(VAG) für die Aufsicht verbindlich aus, der Mindeststandards für eine ordnungsgemäße Geschäftsorganisation und vor allem für ein angemessenes Risikomanagement vorsieht.

Die Anforderungen an das Notfallmanagement sind in Abschnitt 9 geregelt:

1    Unternehmen haben Vorsorge (Notfallplanung) zu treffen für Störfälle, Notfälle und Krisen, in denen die Kontinuität der wichtigsten Unternehmensprozesse und –systeme nicht mehr gewährleistet ist und die normalen Organisations-/Entscheidungsstrukturen nicht mehr ausreichen, um sie zu beherrschen.

Ziel der Notfallplanung ist die Fortführung der Geschäftstätigkeit mit Hilfe von definierten Verfahren und der Schutz von Personen und Sachen sowie Vermögen im Sinne der Wertschöpfung.

2    Die Notfallplanung ist regelmäßig hinsichtlich Wirksamkeit und Angemessenheit zu überprüfen.

3    Die Notfallplanung muss den beteiligten Geschäftsbereichen zur Verfügung gestellt werden.

Die Versicherungen verfügen somit ebenfalls wie die Finanzdienstleister über konkretisierte Regelungen, die Basis für Prüfungen des Risikomanagements sein werden.

Die MaRisk für Finanzdienstleister befinden sich derzeit in Überarbeitung beim BaFin.

Neuer Termin für Notfallmanagement Standard BSI 100-4

Abgelegt in: Antworten

RechtDer neue Notfallmanagement-Standard BSI 100-4 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird voraussichtlich im Januar 2007 in einer Entwurfsfassung veröffentlicht. Darüber informierte heute das BSI in der Veranstaltung “Forum Notfallmanagement”.

Hier können Sich sich online in einen Verteiler des BSI eintragen, um über das Erscheinen informiert zu werden.