Der BCM Kompass 2018 stieß auch mit seiner 9. Auflage auf gewohnt breites Interesse bei den BCM Verantwortlichen aus 29 teilnehmenden Instituten. Das Teilnehmerfeld umfasst unter anderem sechs der deutschen Top-10-Institute nach Bilanzsumme; die Breite der teilnehmenden Institute erlaubt auch in diesem Jahr wieder interessante Auswertungen nach Vergleichsgruppen.
In den vergangenen Jahren hat sich zunehmend eine positive Wahrnehmung des BCM durchgesetzt, was auf verschiedene Faktoren zurückzuführen ist: Zum einen auf die (erfolgreiche) tatsächliche Anwendung der Notfallkonzepte, zum anderen hat sich die Business Impact Analyse (BIA) als wichtige Informationsgrundlage für viele Fragestellungen inzwischen als funktionsübergreifend genutzte Methode etabliert.
Aber auch Prüfungen der Aufsichtsbehörden trugen hierzu bei. In der Wahrnehmung von 79 Prozent der Teilnehmer haben Prüfungsumfang und -tiefe im letzten Jahr zugenommen. Damit erhöht sich dieser Wert noch einmal um 10-Prozent-Punkte im Vergleich zum Vorjahr. Dabei umfassten die Prüfungen meist auch andere 2nd-Line-/ Non-Financial Risk (NFR)-Funktionen, beispielsweise OpRisk-Management, Informationssicherheitsmanagement, Auslagerungsmanagement oder Compliance. Moniert wurde dabei häufig die mangelhafte Verzahnung der thematisch verwandten Funktionen.
Stärkere prozessuale Verzahnung oder aufbauorganisatorische Integration?
Keine ganz neue Feststellung, wie der Blick in die Historie des BCM Kompass zeigt: Bereits 2009 wurden in der ersten Auflage des BCM Kompass damals 34 Teilnehmer nach der Verzahnung der BCM-Funktion mit anderen Risikomanagement-Funktionen befragt. Über die Jahre wuchs die Anzahl der Fragen mit der Bedeutung des Themas "Verzahnung": Seit 2014 wird nicht nur das „Mit-Wem“ in der Studie betrachtet, sondern auch nach Intensität und Form der Realisierung der Verzahnung gefragt, beispielsweise durch Datenaustausch und gemeinsame Berichte.
Dabei sind anhand des Mehrjahresvergleichs interessante Feststellungen zu treffen beziehungsweise Entwicklungen zu beobachten:
- Der Kreis der NFR-Funktionen ist klar umrissen und mit dem BCM bereits seit Jahren mittel beziehungsweise überwiegend stark verzahnt. Der Verwendung unterschiedlicher interner Bezeichnungen für NFR-Funktionen Rechnung tragend, ist eine starke Verzahnung des BCM mit folgenden Funktionen umgesetzt: Informationssicherheit, IT-Risikomanagement, Auslagerungsmanagement und OpRisk-Controlling.
- Realisiert wird die Zusammenarbeit durch Datenaustausch und gemeinsam genutzte Methoden, soweit dies in Hinblick auf die Spezifika der jeweiligen Funktion sinnvoll erscheint, beispielsweise Detaillierung der erforderlichen Informationen und Datenstruktur.
- Interessant ist die wachsende Bedeutung der Prozesslandkarte als Drehscheibe eines zukunftsweisenden Non-Financial Risk-Managements. Gab vor vier Jahren nur knapp die Hälfte der Teilnehmer an, Prozesserhebungen gemeinsam mit anderen NFR-Funktionen zu nutzen, sind es im Jahr 2018 bereits über 75 Prozent. Dieser Trends spiegelt sich auch in den Kommentaren der Teilnehmer wider: Viele wünschen sich eine "stärkere Prozessorientierung" bzw. sehen in einer einheitlichen Prozesslandschaft (end-to-end) die Basis für das BCM-System.
- Abgesehen von der Prozesslandkarte stagnieren jedoch die Realisierungsformen der Verzahnung hinsichtlich ihrer gemeinsamen Nutzung – anscheinend sind die verwendeten Taxonomien zu wenig einheitlich und die Reportinhalte zu unterschiedlich. Zudem fehlt in vielen Häusern immer noch ein ganzheitlicher Blick auf das Thema.
Dieser ganzheitliche Blick wird ohne einen einheitlichen Auftritt aller NFR-Funktionen im Unternehmen auch nicht zu realisieren sein. Die unterschiedlich ausgeprägte, aber zunehmende prozessuale Verzahnung bedarf nun auch einer zum Institut passenden aufbauorganisatorischen Struktur. Dass hier unternehmerische Entwicklung und Wunsch der Aufsichtsbehörden zusammenkommen, zeigen auch die zahlreichen Anmerkungen und Kommentare der Teilnehmer. Befragt nach Trends und Herausforderungen der kommenden Jahre werden diese unter anderem in der "Umsetzung eines integrierten Risikomanagements, in dem alle Risikodisziplinen methodisch und datenbasiert miteinander verzahnt sind." [Teilnehmer BCM Kompass 2018, Landesbank] gesehen.
Einzelne Marktteilnehmer haben bereits heute zahlreiche 2nd-Line-Funktionen in einem Bereich vereint – weitere werden ihre Aufbauorganisation in den nächsten Monaten anpassen und NFR-Bereiche etablieren. Die Frage nach der Umsetzung der Verzahnung wird 2019 anders gestellt werden müssen.
Rolle des BCM bei der Beurteilung ausgelagerter Unternehmensbereiche
Ein weiteres Fokusthema des BCM Kompass 2018 ist die Einbindung von Dienstleistern in das BCM: Dieses Thema ist geprägt durch das verstärkte Interesse der Aufsicht an der Risikobeurteilung ausgelagerter Bereiche inklusive Weiterverlagerungen beziehungsweise an der Nutzung von Drittdienstleistern im Allgemeinen.
Die Studie zeigt: Eine aktive Einbindung wesentlicher Dienstleister in die Abstimmung von Notfallplänen ist derzeit nur in knapp einem Drittel der Institute umgesetzt. Nur in gut einem Fünftel der Institute erfolgen gemeinsame Tests und Übungen mit wesentlichen Dienstleistern. Ursächlich ist hierfür aussagegemäß häufig die vertragliche Ausgestaltung der Auslagerungsbeziehung. Vor dem Hintergrund der aufsichtsrechtlichen Anforderungen sind hier in nächster Zeit Überarbeitungen zu erwarten. Anders beurteilen die Teilnehmer hingegen ihre Einbindung in die Entscheidung bei (neuen) Auslagerungen: 61 Prozent der Teilnehmer sehen sich hier bereits heute gut in den Auslagerungsprozess eingebunden und wünschen sich hier keine Änderung. Abb. 01 zeigt dabei, welche Kriterien bei der Auswahl eines Dienstleisters von Bedeutung sind.
Abb. 01: Kriterien bei der Auswahl von Dienstleistern
Auch 2018 wurden neben den Fokusthemen, das heißt Verzahnung und Auslagerungen, weitere, regelmäßig wiederkehrende Themenbereiche behandelt. Hieraus lassen sich besonders gut Trendaussagen und Entwicklungen ableiten (siehe Info-Box 01 und Abb. 02).
Abb. 02: Zusammensetzung des Krisenstabs
Fazit und Ausblick
Nachdem in den letzten Jahren die prozessuale und methodische Verzahnung zugenommen hat beziehungsweise auf hohem Niveau stagniert, liegt der nächste Schritt nun – nicht zuletzt durch Druck der Aufsichtsbehörden – in einer stärkeren aufbauorganisatorischen Integration des BCM mit anderen NFR-Funktionen. Die Bildung eines NFR-Bereichs ist in einigen Instituten bereits erfolgt, andere planen eine Umsetzung in naher Zukunft. Hierdurch werden sich neue Herausforderungen auch für das BCM ergeben: Die Abgrenzung der Aufgaben der verschiedenen NFR-Funktionen untereinander und gegenüber 1st- und 3rd-Line-Funktionen, die Schaffung einer umfassenden, konsistenten NFR-Taxonomie, die Harmonisierung der Methoden zur Bewertung und Steuerung der Risiken und deren konsistente Berichterstattung und nicht zuletzt die Schaffung einer einheitlichen IT-Plattform, die diese Anforderungen bestmöglich unterstützt.
Je nach Entwicklungsstand und bisherigem Integrationsgrad der NFR-Funktionen im Institut wird dies neben den aufbauorganisatorischen Veränderungen auch konzeptionelle Vorarbeiten erforderlich machen und einer entsprechenden Umsetzung im Unternehmen bedürfen. Die Fragen für den BCM Kompass 2019 werden also auch in der 10. Auflage nicht ausgehen und man darf gespannt sein, welche Konsequenzen sich hieraus für das Business Continuity Management ergeben.
Info-Box 01: Aussagen zu weiteren Themenbereichen
Krisenstabsbesetzung
IT und PR/ Öffentlichkeitsarbeit sind die am häufigsten fest im Krisenstab vertretenen Bereiche (siehe Abb. 02). Dies ist auf deren Bedeutung und Aufgabe in einer digitalisierten und medial vernetzten Welt zurückzuführen.
Test- und Übungsarten
Die klassischen BCM-Ausfallszenarien werden in den meisten Fällen geübt. Dabei unterscheiden sich die verwendeten Test-/Übungsarten aber sehr. Von den Szenarien, die über die klassischen BCM-Ausfallszenarien hinausgehen, kommt dem Reputationsverlust die größte Aufmerksamkeit zu.
Personal- und Budgetausstattung
Der rückläufige Trend hinsichtlich zentral mit dem BCM betrauter Mitarbeiterkapazitäten (MAK) hat sich nicht fortgesetzt. Institute mit Vergleichswerten aus dem Vorjahr haben nun durchschnittlich 2,4 MAK zur Verfügung (2017: 1,5 MAK). Die Budgetausstattung hat im letzten Jahr zugenommen und die Teilnehmer erwarten eine weitere Zunahme in den nächsten Jahren. Dies gilt insbesondere für Institute der Vergleichsgruppe Zentralinstitute/ Förderbanken.
Notfallkonzepte
93 Prozent der Teilnehmer geben an, dass sie für alle oder die Mehrheit der kritischen Prozesse Notfallkonzepte hinterlegt haben. Die Mehrheit der Teilnehmer sieht Entwicklungspotenzial in den Geschäftsfortführungs- und Wiederanlaufplänen hinsichtlich Qualität und Detailgrad.
Info-Box 02: Aufsichtsrechtliche Entwicklungen
BAIT: Keine neuen Anforderungen an das BCM
Die bankaufsichtlichen Anforderungen an die IT (BAIT, Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht vom 3. November 2017) wirken auch auf das BCM – stellen aber inhaltlich keine wesentlichen Neuerungen dar. So waren beispielsweise die Ergebnisse der BIA und die Bewertung der Schutzbedarfe auch in der Vergangenheit konsistent auszugestalten.
Im Sinne einer integrierten Risikobetrachtung sind aus den BAIT unter anderem folgende Aspekte für das BCM von Interesse:
- Der Informationssicherheitsbeauftragte des Instituts ist an der Erstellung und regelmäßigen Überprüfung von Notfallkonzepten bezüglich der IT-Belange zu beteiligen (BAIT, Abschnitt 4, Ziffer 18).
- Hinsichtlich des Aspekts der Verfügbarkeit sind die Bewertungen der Schutzbedarfe (Informationsrisikomanagement, BAIT, Abschnitt 3, Ziffer 11). und die Risikobewertungen durch das BCM im Rahmen der BIA konsistent auszugestalten.
Autoren:
Christof Born, Director, Fintegral Deutschland AG
Marc Daferner, Director, Fintegral Deutschland AG
