Was passiert, wenn eine Bank ihren Kunden aufgrund einer technischen Störung kein Online-Banking anbieten kann, unerwarteter Personalausfall den normalen Geschäftsbetrieb beeinträchtigt, oder das Rechenzentrum wegen eines Hackerangriffs lahmliegt? Solche Vorfälle müssen für Finanzinstitute nicht automatisch zum Horrorszenario werden: Smartes Notfallmanagement auf Grundlage einer digitalen Business Impact Analyse hilft Banken dabei, kritische Geschäftsprozesse und Ressourcen stets im Blick zu behalten und im Ernstfall passende Gegenmaßnahmen zu ergreifen.
Banken nehmen aufgrund ihrer einflussreichen Rolle im Wirtschafts- und Finanzsystem eine Sonderstellung am Markt ein. Ein vorausschauendes Notfallmanagement ist für sie besonders wichtig, um ihre aufsichtsrechtlichen Pflichten zu erfüllen und den gesetzlichen Bestimmungen nachzukommen. Aber auch im Wettbewerb um die Kunden gilt es, Ausfallzeiten möglichst gering zu halten und Sicherheit für die sensiblen Daten zu gewährleisten. Um angemessen auf kritische Situationen reagieren zu können, muss ein Finanzinstitut seine Kernprozesse und die Auswirkungen von Ausfällen daher genau kennen.
Die Business Impact Analyse: Grundlage des Notfallkonzepts
Die Business Impact Analyse (BIA) ist das Fundament eines erfolgreichen Notfallmanagements. Mit ihrer Hilfe werden die Konsequenzen von Störungen oder dem Ausfall von Geschäftsprozessen für die Institution ermittelt. So können kritische Geschäftsprozesse identifiziert und geeignete Vorsorgemaßnahmen für Schadensereignisse ausgearbeitet werden.
Notfallmanagement oder auch Business Continuity Management (BCM) unterstützt Banken dabei Strategien zu entwickeln, die eine Fortführung des weiteren Geschäftsbetriebs auch unter erschwerten Bedingungen – vom Serverausfall bis zur Naturkatastrophe – ermöglichen. Im BCM ist die BIA ein wichtiges Werkzeug zur Erstellung eines wirksamen Notfallkonzepts. Erst auf Basis der BIA kann eine Risikoanalyse zur Einschätzung der Risiken für Prozesse und Ressourcen durchgeführt werden. Aufbauend auf diesen Analysen wird eine Kontinuitätsstrategie ausgearbeitet, die alternative Prozessabläufe für die Durchführung von Notfallmaßnahmen aufzeigt.
Grundlage adäquater Notfallmaßnahmen für den Bankbetrieb ist § 25 a des Kreditwesengesetzes (KWG), der unter anderem die „Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme“ vorsieht. Auf dieser Basis konkretisieren die Mindestanforderungen an das Risikomanagement (MaRisk) im Abschnitt AT 7.3 Notfallkonzept die Anforderungen.
Wie wird der Business Impact von Prozessausfällen analysiert?
Es gibt verschiedene Wege, eine BIA durchzuführen. Da es nach wie vor viele Unsicherheiten beim Thema Notfallmanagement gibt ist es ratsam, dass sich Banken an einem bewährten Umsetzungsrahmen, wie den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren. Der vom BSI entwickelte IT-Grundschutz sieht mehrere, aufeinander abgestimmte Planungsschritte auf dem Weg vor.
- Auswahl der Geschäftsprozesse und Organisationseinheiten
Nur Geschäftsprozesse, die für die Unternehmensziele und Wertschöpfung wesentlich sind, werden in den weiteren Analysen berücksichtigt. - Schäden analysieren
Für jeden der ausgewählten Geschäftsprozesse wird untersucht, welchen Schaden der Ausfall einzelner Geschäftsprozesse verursachen kann. - Wiederanlaufparameter festlegen
Anhand des zeitlichen Schadenverlaufs und der zu erwartenden Schadenshöhe werden die Wiederanlaufparameter (maximal tolerierbare Ausfallzeit, Wiederanlaufzeit, Wiederanlauf-Niveau) für jeden Geschäftsprozess festgelegt. - Prozessabhängigkeiten berücksichtigen
Die Wiederanlaufparameter werden entsprechend angepasst, wenn Abhängigkeiten zwischen Geschäftsprozesse oder strategische Geschäftsziele dies erfordern. - Priorisierung der Geschäftsprozesse anhand ihrer Kritikalität
Anhand der Ergebnisse der Schadensanalyse und der ermittelten Parameter werden die Kritikalität der Prozesse und die Prioritäten für deren Wiederanlauf festgelegt. - Erhebung der Ressourcen für Normal- und Notbetrieb
Es wird bestimmt, welche Ressourcen die kritisch bewerteten Prozesse im Normal- und im Notbetrieb benötigen. - Kritikalität und Wiederanlaufzeiten der Ressourcen bestimmen
Zuletzt werden Kritikalität und Wiederanlaufzeiten für die Ressourcen ermittelt, die von den kritischen Prozessen verwendet werden.
Banken müssen aufgrund aufsichtsrechtlicher Vorgaben die BIA regelmäßig durchführen; in der Praxis mindestens einmal im Jahr, wenn kein anlassbezogener Grund vorliegt, der die Durchführung weiterer BIA erfordert. Denn nicht nur die technischen Prozessvoraussetzungen befinden sich im ständigen Wandel. Auch organisatorische Gegebenheiten, personelle Zuständigkeiten und damit die Prozessverantwortung ändern sich immer wieder. Um den regulatorischen Anforderungen zu entsprechen und für einen potenziellen Notfall gerüstet zu sein, sind daher regelmäßige Aktualisierungen notwendig.
So unterstützt Technologie Banken bei der Business Impact Analyse
Qualität und Effizienz einer BIA sind davon abhängig, wie vollständig und schnell die erforderlichen Informationen geliefert werden. Eine umfangreiche Prozessanalyse durchzuführen ist zeit- und ressourcenaufwändig, da viele Geschäftsbereiche einbezogen und zahlreiche, größtenteils manuell durchgeführte Schritte abgearbeitet werden müssen. Word- und Excel-Dokumente, die in vielen Finanzinstituten nach wie vor nach dem Laufzettel-Prinzip zur Erfassung und Bewertung von Prozessen eingesetzt werden, stoßen dabei oft an ihre Grenzen, werden unübersichtlich und verlangsamen den Ablauf.
Mit Hilfe einer für die BIA konzipierten IT-Anwendung zur Workflowunterstützung ist es wesentlich einfacher möglich, die Daten zur Bewertung der relevanten Prozesse der Geschäftsbereiche anzufordern, diese auszuwerten und den Fortschritt im Blick zu behalten. So kann ein großer Teil des Prozessablaufs automatisiert und die Durchführung der Prozessbeurteilung überwacht werden.
Business Impact Analyse: Digitale Prozesseinschätzung sichert gute Ergebnisse
Nehmen wir folgendes Szenario an: Jährlich wird jeder Fachbereich des Finanzinstituts aufgefordert, eine BIA durchzuführen. Innerhalb dieser Analyse muss jeder Fachbereich seine kritischen Prozesse bewerten und deren Risikoklasse bestimmen. Zusätzlich müssen die für diesen Prozess relevanten Ressourcen (Personen, Gebäude, Arbeitsmittel und Infrastruktur/Applikationen) zugeordnet werden. Das Ergebnis muss im Anschluss der BCM-Koordination der Bank übermittelt werden. Diese überprüft die übermittelte Analyse und gibt den Prozess frei oder zur Klärung an einen anderen Fachbereich weiter. Wie kann dieser umfangreiche Ablauf, orientiert an den Empfehlungen des IT-Grundschutzes, digital abgebildet werden?
1. Geschäftsprozesse für die Analyse anlegen und auswählenEine digitale Anwendung zur BIA ermöglicht es Geschäftsprozesse neu anzulegen und bestehende zu bearbeiten oder zu löschen. Alle für das Finanzinstitut wichtigen, wertschöpfenden Prozesse sollten hier als Ausgangsbasis für die Analyse erfasst sein.
2. Schadensanalyse durchführen
Einmal jährlich wird der Fachbereich an die Bearbeitung eines Geschäftsprozesses per Wiedervorlage erinnert. Beginnend mit der Risikobewertung klärt der zuständige Mitarbeiter die Frage: Welche Schäden entstehen, wenn der betreffende Geschäftsprozess ausfällt? Dazu macht er Angaben zur finanziellen Auswirkung, zu möglichen Verstößen gegen Gesetze oder Vorschriften, eventuellen Reputationsschäden und zur Beeinträchtigung der Aufgabenerfüllung.
Nach der IT-Grundschutz-Vorgehensweise werden hier Schadenskategorien ("niedrig", "normal", "hoch", "sehr hoch") eingesetzt, um das Schadensausmaß zu bestimmen. Dabei definiert jede Bank selbst, welches Schadensereignis welcher Schadenskategorie zugeordnet wird.
3. Wiederanlaufparameter des Prozesses festlegen
In diesem Schritt werden die Zeiten und Ressourcen erfasst, die benötigt werden, um einen Prozess wiederherzustellen.
Mit der Prozess- und Ressourcenübersicht der Anwendung erhält der Prozessverantwortliche einen Überblick über alle Informationen zu den im System hinterlegten Prozessen. So kann er auf einen Blick sehen, welche Prozesse für das weitere BCM relevant sind. Auch Erkenntnisse aus früheren Analysen stehen dem Mitarbeiter zur Verfügung.
Sind Risikobewertung und Ressourcenanalyse mit den notwendigen Daten befüllt, werden Kritikalität und maximal tolerierbare Wiederanlaufzeit automatisch von der Anwendung mit den definierten Service Level Agreements (SLA) verglichen.
6. Erhebung der Ressourcen für Normal- und Notbetrieb
Ermittelt das Tool im Zuge der BIA für einen Prozess eine kritische Ressource, so ist ein Notfallplan zum Wiederanlauf des Prozesses zu definieren. Für diesen Notfallplan muss eine Zuordnung von Ressourcen (IT-Infrastruktur, Personal, Standorte etc.) erfolgen.
7. Kritikalität und Wiederanlaufzeiten der Ressourcen bestimmen
Eine Übersicht über alle erfassten Ressourcen ermöglicht sowohl eine einfache Pflege und Zuordnung zu den relevanten Prozessen als auch ein einfaches Management von konkurrierenden SLA.
Nach einer erfolgreichen Prüfung durch alle relevanten Stakeholder werden die erhobenen Daten aus der BIA systemisch an das Notfallmanagement zur weiteren Verarbeitung weitergegeben.
Fazit
Um im Notfall bestmöglich reagieren zu können, müssen Banken die kritischen Geschäftsprozesse und Ressourcen sowie die Auswirkungen nach Unterbrechungen stets im Blick behalten. Gerade bei der Durchführung einer BIA ist die enge Zusammenarbeit zwischen den Geschäftsbereichen für ein schnelles und qualitativ hochwertiges Ergebnis wesentlich.
Eine spezialisierte Softwarelösung unterstützt Banken dabei, indem sie die für eine BIA notwendigen Datenmengen beherrschbar macht und das Aufgabenmanagement und damit die Zusammenarbeit zwischen den vielen Stakeholdern erleichtert. Medienbrüche gehören damit der Vergangenheit an. Dass die Prozesse nach Dateneingabe automatisch eingestuft und die Mitarbeiter durch die Anwendung geführt werden, beschleunigten die Durchführung der BIA. So bildet eine digitale BIA-Anwendung eine Grundlage für ein leistungsfähiges Notfallmanagement, das letztlich nicht nur den Anforderungen aus Compliance und Governance zugutekommt, sondern auch Kostenvorteile im Wettbewerb um den Kunden mit sich bringt.
Quellen:
Teaser: MIND_AND_I - 801354732 - iStock.
Screenshots der Anwendung: knowis AG.