Management und Wissen              Business-ContinuityBCM in der Supply ChainImmer wieder haben in den vergangenen Jahren ...
Management und Wissen          Business-Continuitysatorischen Pflichten von Instituten auch die ordnungs-                E...
PD 25222:2011 „Business conti-                                                                                Inhalte zum ...
Management und Wissen         Business-Continuity                       Risikokategorien	Ausprägungen                     ...
Implementierung                         Alarmierung und	               •  Abstimmung von Begrifflichkeiten:               ...
Upcoming SlideShare
Loading in …5
×

kes BCM in der Supply Chain

1,224 views
1,113 views

Published on

Artikel in der Dezember 2012 Ausgabe der kes

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,224
On SlideShare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

kes BCM in der Supply Chain

  1. 1. Management und Wissen Business-ContinuityBCM in der Supply ChainImmer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio-naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerkegegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondernauch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nichtzuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutetdies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zuerweitern.Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt Was für die „Just-in-Time“-Produktion gilt, hat in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt:mittlerweile auch Einzug in Dienstleistungen und IT- Unternehmensintern werden Services durch Shared-Prozesse gehalten: die Abhängigkeit von einer Lieferkette Service-Center für den gesamten Konzern zentral erbracht(Supply-Chain). Erdbeben, Vulkanausbrüche (und in der – zunächst vornehmlich für IT-Dienstleistungen habenFolge Aschewolken), Überschwemmungen, Tornados und sie sich mittlerweile für viele administrative Funktionenpolitische Unruhen sind nur einige Beispiele, die in den durchgesetzt (z. B. Personalverwaltung, Rechnungswesenletzten Jahren für erhebliche Verzögerungen, Liefereng- etc.). Im Ergebnis entstehen – zum Teil hochkomplexepässe und -ausfälle gesorgt haben. – unternehmensinterne Lieferungs- und Leistungsbezie- hungen, die in Form von Service-Level-Agreements (SLA) 73  der Teilnehmer der Supply-Chain-Resi- % vereinbart werden.lience-Studie 2012 des Business Continuity Institutehaben angegeben, in den vorausgegangenen 12 Monaten Zudem hat sich auch eine Auslagerung von Sup-mindestens eine Störung in der Lieferkette gehabt zu ha- portprozessen im Rahmen des Outsourcings etabliert –ben, die zu Unterbrechungen im Unternehmen geführt etwa beim IT-Betrieb, der Telekommunikation (VoIP) oderhat [1] – 23 % der Befragten berichteten sogar über mehr sogar zentralen Wertschöpfungsprozessen wie Zahlungs-als fünf Störungen im Betrachtungszeitraum. Als Haupt- verkehr, Wertpapierabwicklung, Schadensbearbeitung,ursachen der Unterbrechungen wurden IT-Ausfälle (52 % Reklamationen an spezialisierte Dienstleister et cetera.vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) undService-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz- Auch die Lieferkette zum Kunden entwickelt sichdienstleistungsbereich wurden IT- und Telekommummu- immer stärker zum verzweigten Netzwerk von Servicepart-nikations-Ausfälle (45 %), Verletzung der Datensicherheit nern – so sind etwa Prüfungs- und Beratungsleistungen(13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet- für den B2B-Geschäftsabschluss häufig unabdingbar oderterereignisse (11 %) als wesentliche Ursachen benannt. im Finanzwesen Intermediäre zwischengeschaltet, große Kapitalmarkttransaktionen nur in Konsortien abbildbar. Liefernetzwerke Der Wertschöpfungsprozess ist auf das reibungslose Zusammenwirken aller dieser Rollen angewiesen! Und Lieferketten gliedern sich in die vorgelagerte das schwächste Glied dieser Kette bestimmt letztlich dieLieferkette, die konzern- und unternehmensinterne Robustheit (Resilience) des Ganzen.Lieferkette sowie die dem Unternehmen nachgelagerteLieferkette zum Kunden – eine ganzheitliche Betrachtung Complianceanforderungenumfasst zudem sowohl das mehrstufige Liefernetzwerk aufZuliefererseite als auch das mehrstufige Liefernetzwerk In bestimmten Branchen sind bereits gesetzlichezum Kunden. Für das BCM ist die Funktionsfähigkeit die- oder regulatorische Anforderungen einschlägig. Beispiels-ser gesamten Konstruktion essenziell – bricht auch nur ein weise ist für Finanzdienstleister – auch in ihrer besonderenGlied in dieser Kette, kann dies zum Gesamtausfall führen. Bedeutung als Teil der kritischen Infrastruktur („Kritis“ – www.kritis.bund.de) – die Sicherstellung der Lieferkette Auch im Dienstleistungsbereich hat sich aus öko- entsprechend geregelt: Das Kreditwesengesetz (§ 25anomischen Gründen die Zergliederung der Produktion KWG, vgl. [2]) erfasst im Rahmen der besonderen organi-© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 17
  2. 2. Management und Wissen Business-Continuitysatorischen Pflichten von Instituten auch die ordnungs- Ein hilfreicher Standard für die Ausgestaltung dergemäße Geschäftsorganisation bei „wesentlichen Ausla- Zusammenarbeit mit internen und externen Partnern istgerungen“ – Institute müssen für diese wesentlichen Aus- zudem der BS 11000 „Collaborative business relation-lagerungen risikoorientiert „angemessene Vorkehrungen ships“ (www.bsigroup.de): Der weltweit erste Collabo-treffen, um übermäßige zusätzliche Risiken zu vermeiden“ ration-Standard enthält ein gesamthaftes Framework zur(siehe www.juris.de/purl/gesetze/KredWG_!_25a). Beschreibung der wesentlichen Funktionen, die in der in- ternen und externen Zusammenarbeit mit Dienstleistern, Das Risikomanagement eines auslagernden Fi- Lieferanten und Kunden zu beachten sind. Acht Kapitelnanzinstituts muss die ausgelagerten Aktivitäten und beschreiben den gesamten Lebenszyklus der Zusammen-Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla- arbeit (Awareness, Knowledge, Internal Assessment, Part-gerung ist im Rahmen einer Risikoanalyse zu bestimmen. ner Selection, Working Together, Value Creation, StayingKonkreter wird das in den „Mindestanforderungen an Together, Exit Strategy) – BCM und Exit-Strategien werdendas Risikomanagement für Banken“ (MaRisk BA [3]) im vor allem in den Vorgehensmodellen des Teil 2 „Guide to„Allgemeinen Teil“ AT 9, für Investmentgesellschaften implementing“ behandelt.und Versicherer erfolgt dies in spezifischen Regelungen(InvMaRisk, MaRisk VA). BCM-Normen Eine Auslagerung im Sinne der MaRisk liegt vor, BS 25999-1 und BS 25999-2 weisen noch einen„wenn ein anderes Unternehmen mit der Wahrnehmung starken Innenbezug auf die Organisation auf: In allensolcher Aktivitäten und Prozesse im Zusammenhang mit Phasen des BCM-Lebenszyklus sind Anforderungen an dieder Durchführung von Bankgeschäften, Finanzdienst- Einbeziehung der kritischen Dienstleister und Zuliefererleistungen oder sonstiger institutstypischen Dienstleis- beschrieben, besonders hinsichtlich der Identifikationtungen beauftragt wird, die ansonsten vom Institut selbst kritischer Dienstleister im Rahmen der BIA und des BCM-erbracht würden“ – Auslagerungen im Sinne der MaRisk Audits der Dienstleister.erfassen demzufolge nur einen Ausschnitt der Lieferketteeines Finanzdienstleisters. Nicht berücksichtigt sind alle Die beiden British Standards werden durch denLeistungen, die ein Institut nicht selbst erbringen würde, im Mai 2012 veröffentlichten ISO-Standard 22301also etwa nicht-bankfachliche Dienstleistungen und Un- „Societal security – Business continuity managementterstützungsprozesse (z. B. Datenerfassung). systems – Requirements“ abgelöst. Er macht bereits durch seinen Titel deutlich, dass hier dem Umfeld der Organi- Sich bei der Notfallvorsorge für die gesamte Lie- sation eine wesentlich höhere Bedeutung zugemessenferkette (End to End) auf die wesentlichen Auslagerungen wird: ISO 22301 führt hierzu die Rolle der „Interestedbestimmter Compliance-Kriterien zu beschränken, greift Party“ ein, die alle Stakeholder des Unternehmens undin der Regel zu kurz. Erst eine Business-Impact-Analyse die Lieferkette umfasst. Interested Parties finden in allen(BIA) im Rahmen mit der expliziten Prüfung der Liefer- Phasen des BCM Berücksichtigung – und so schafft derketten verschafft eine solide Grundlage für das SCCM. Standard zumindest einen Anforderungskatalog für das SCCM. Die konkrete Ausgestaltung des „wie“ bleibt jedoch der noch zu veröffentlichenden ISO 22313 Standards und Good Practices „Business continuity management systems – Guidance“ vorbehalten. Passende Normen für das SCCM findet man so-wohl in Regelungen für das BCM als auch spezifischen Von deutscher Seite liefert das Bundesamt fürWerken für das Outsourcing (s. u., vgl. Tab. 1). Good Sicherheit in der Informationstechnik mit seinem BSIPractices des BCM liefern auf europäischer Ebene in erster 100-4 einen Standard für das Notfallmanagement [6]. FürLinie die „BCI Good Practice Guidelines 2010“ (bestellbar Behörden ist er verbindlich und bildet für deutsche Un-über www.thebci.org) – dieses ansonsten sehr gute BCM- ternehmen generell eine gute Umsetzungsanleitung fürHilfsmittel bildet externe Dienstleister zwar als Ressource das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenesim BCM-Lebenszyklus ab, gibt aber leider keine spezi- Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigenfischen Hilfestellungen für das SCCM. Punkten, die bei der Vertragsgestaltung zu beachten sind sowie die Berücksichtigung des Outsourcing bei der Not- Branchenspezifische Regelungen auf deutscher, fallkonzeption.europäischer und internationaler Ebene ergänzen dieseStandards – hierzu gehören beispielsweise die europawei- SCCM-Erläuterungenten Regelungen zum Outsourcing für Finanzdienstleister,namentlich die „EBA Guidelines on Internal Governance“ Ein umfassendes SCCM-Framework liefert das[4] und die „CEBS Guidelines on Outsourcing“ [5]. „Public Document“ des British Standards Institute18 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6
  3. 3. PD 25222:2011 „Business conti- Inhalte zum Supply Chain Normnuity management – Guidance on Continuity Managementsupply chain continuity“ (bestellbar BS 2599-1, • BCM-Standard (zertifizierbar) • Betrachtung kritischer Dienstleister als Ressource im BCM-Lifecycleüber http://shop.bsigroup.com). BS 25999-2 • British Standards BSiDieses erläuternde Dokument de- • BCM-Standard (zertifizierbar) • Supply-Chain wird in der Rollefiniert einleitend die wesentlichen ISO 22301 „Interested Party“ durchgehend • ISOSCCM-Begrifflichkeiten und stellt berücksichtigtdie Bedeutung des Continuity- • BCM-Standard • Outsourcing wird in einem eigenen BSI-Standard (nicht zertifizierbar) Kapitel “Outsourcing undManagements für die Sicherung der • Bundesamt für Sicherheit in Notfallmanagement” behandelt 100-4Liefernetzwerke dar. Für die SCCM- der Informationstechnik BSIUmsetzung gibt es einen konkreten BCI • Good Practices für BCM des • Betrachtung kritischer Dienstleister Good Practice Business Continuity Institute als Ressource im BCM-LifecycleHandlungsrahmen vor, der sich am BCI Guidelines 2010BCM-Lifecycle des BS 25999 und der • Collaborative business • Risiko- und Business-Continuity-Good-Practice-Guidelines des BCI relationships Management im gesamten BSI 11000orientiert. So lässt sich SCCM sehr • BCM-Standard (zertifizierbar) Lebenszyklus des Partner- • British Standards BSi Managementgut in ein bestehendes BCM-System Tabelle 1: • Good Practice Supply Chain • Supply-Chain wird in der Rolle Relevanteeinbinden. PD Continuity Mgt. „Interested Party“ durchgehend Normen und 25222:2011 (nicht zertifizierbar) berücksichtigt Standards zum • British Standards BSi Das Konzept sieht die fol- SCCMgenden Schritte in der Umsetzungvor: Management-Buy-in, CM-Policy. SCCM entsteht nicht auf Identifikation der kritischen Dienst- Analyse der Supply-Chain der „grünen Wiese“, daher ist die De- leister in der Wertschöpfungskette ist (Festlegung des Scopes, finition der Schnittstellen zu angren- die BCM-Business-Impact-Analyse Verständnis der Supply- zenden Bereichen elementar: Hierzu (BIA) eine wesentliche Informa- Chain, Identifikation der gehören beispielhaft Einkaufsab- tionsquelle, da in ihrem Rahmen kritischen Dienstleister), teilungen, Vertriebsorganisation, die kritischen Zusammenhänge Festlegung von Strategien, Recht und Risikomanagement. Die der Wertschöpfungskette erhoben Weiterentwicklung und Anbindung an die Unternehmens- werden. Neben der Analyse der laufender Betrieb sowie die strategie und das Commitment des Abhängigkeiten der Prozesse von Entwicklung einer lang-fris- Managements ist über eine SCCM- Dienstleistern ermittelt die BIA auch tigen Resilience-Strategie. Policy sicherzustellen. Die zentralen die maximal zu akzeptierenden Prozesse des SCCM bestehen aus den Ausfallzeiten für die Ressourcen „technischen Disziplinen“ Analyse (Recovery-Time-Objective, RTO). Framework fürs SCCM der Supply-Chain, Supply-Chain- Die BIA kann für das SCCM daher Strategie, Implementierung sowie die Zeitkritikalität für die Prozesse Nachfolgend wird basierend „Tests, laufende Aktualisierung und bezogen auf die Dienstleister liefernauf dem BCM-Lifecycle ein metho- Monitoring“ (vgl. Abb. 1). Zudem (vgl. Abb. 2).disches Vorgehen zur SCCM-Imple- sind die Einbindung in die Unterneh-mentierung skizziert (vgl. Abb. 1). menskultur und Awareness-Bildung Neben der BIA sind jedochDie Orientierung am BCM erleichtert für das SCCM als dauerhafter Prozess auch weitere Kriterien heranzuzie-die Integration in ein bestehendes vorzusehen – letztlich bedeutet dies, hen – die „Supply Chain ResilienceBusiness-Continuity-Management- dass alle relevanten Rollen die Be-System und ermöglicht die einfache deutung des SCCM kennen und in Abbildung 1:Transformation in den PDCA-Zyklus ihren Entscheidungsprozessen mit SCCM-Lifecycleder Zertifizierungs-Standards. berücksichtigen. auf Basis des BCM-Zyklus SCCM-Programm-Manage- Analyse der Supply-Chain ment und Awareness Diese Phase ist der wesent- Gegenstand des SCCM-Pro- liche Ausgangspunkt zur Umsetzunggramm-Managements sind die Im- eines SCCM; ihre Ziele sind dieplementierung einer Organisation, Identifikation kritischer Dienstleistervon Prozessen für das SCCM sowie sowie die Analyse der Risiken füreiner angemessenen Governance- die Supply-Chain im Rahmen einesStruktur – dokumentiert in einer SC- laufenden Risk-Assessments. Bei der© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 19
  4. 4. Management und Wissen Business-Continuity Risikokategorien Ausprägungen dienstleistungsbereich waren bei- spielsweise ungeplante IT-Ausfälle, Rechtsrisiken •  Betriebsschließungen •  Einstweilige Verfügungen Datenverlust und Dienstleisteraus- Politische Risiken •  Politische Instabilität / Unruhen fälle die Top-3-Risiken, während •  Grenzschließungen sich in der Produktion vor allem •  Zölle und Tarife Wechselkurse, Energie und Wetter als •  Aus- und Einfuhrbestimmungen •  Gesetzesänderungen Ursachen gezeigt haben. Betriebswirtschaftliche •  Insolvenz des Lieferanten Risiken •  Übernahmen / Zusammenschlüsse Zur Mahnung: 61 % der •  Änderungen im Produktionsprogramm Unterbrechungen in der Lieferkette •  Lieferunterbrechung in der davorliegenden   Lieferkette (Tier Two) wurden der Studie zufolge durch ei- Technische Risiken •  Technische Störungen / Ausfälle nen Tier-1-Dienstleister verursacht, •  IT-Ausfälle 32 % durch Tier-2-Dienstleister und •  Mitarbeiterausfälle 7 % auf der dritten Ebene der Dienst- •  Qualitätsprobleme / Produktrückruf •  Kontamination leisterbeziehungen. Es reicht also Umweltrisiken •  Naturkatastrophen nicht aus, nur die direkt beauftragten •  Klima / Wetter Dienstleister in seine Risikobetrach- •  Pandemien / Epidemien tung einzubeziehen. •  Unterbrechung von Transport / Verkehr Tabelle 2: Soziale Risiken •  Streik Risiken der Supply-Chain •  Sabotage •  Kriminelle Handlungen, Terrorismus, Piraterie SSCM-Strategien Für Risikostrategien im SSCM Survey 2011“ des BCI hat hier die Maturity of the Industry bestehen die folgenden Optionen: folgenden Punkte identifiziert: (21 %). Reputational Impact (57 %), Akzeptieren der Risiken Financial Impact of Im Rahmen eines Risk- (z. B. bei geringen Risiken), Non-Supply over a Period Assessments sind überdies die Vermindern der Risiken of Time (54 %), wesentlichen Risiken auf die Wert- durch Maßnahmen, Regulatory Impact (50 %), schöpfungskette zu analysieren und, Übertragen der Risiken Availability of other sofern erforderlich, zu mitigieren (auf Versicherungen oder Suppliers (50 %), (vgl. Tab. 2). Ungeplante ITK-Aus- Dienstleister) sowie Spend (49 %), fälle (52  und Wetterereignisse %) Vermeidung der Risiken Location of Supplier (43 %), (48 %) waren nach Erkenntnissen der (z. B. durch Verzicht auf Key People / Knowledge Teil-nehmer der „BCI Supply Chain Produkte oder Dienst- involved (41 %), Resilience Studie 2012“ die Haupt- leistungen). Bespoke Nature of Product / ursachen für Unterbrechungen in Service supplied (37 %), der Lieferkette. Mit großem Abstand Anforderungen des SCCM müssen Speed of change to folgten Serviceausfälle von Dienst- bereits sehr früh bei der Vertrags- alternative Supplier (35 %), leistern (32 %). Branchenspezifisch gestaltung mit Dienstleistern be- Interdependencies with zeigt die Studie jedoch ein anderes rücksichtigt werden. Hierzu zählen other Suppliers (28 %), Bild für die Ursachen: Im Finanz- Anforderungen an die Ausgestaltung des BCM des Dienstleisters, eine Ab- stimmung von Notfall- und Krisen- Abbildung 2: Dependenzenana- managementkonzepten, Prüf- undlyse im Rahmen der Einsichtrechte für das BCM sowie Business-Impact- Analyse des BCM gewünschte Zertifizierungen. Zudem (das Recovery- sind Berichts- und Meldewesen für Time-Object – ROT die laufende Dienstleisterbeziehung, – bezeichnet die maximal tolerier- aber auch für Notfälle und Krisen bare Ausfallzeit) beim Dienstleister und Auftraggeber festzulegen – hierzu zählt nicht zu- letzt die Definition von Eskalations- stufen (z. B. Störung, Notfall, Krise), da diese nicht einheitlich verwendet werden (vgl. Kap. 10 in [6]). 20 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6
  5. 5. Implementierung Alarmierung und •  Abstimmung von Begrifflichkeiten: Eskalation Definition von „Störung“, „Problem“, „Ausfall“, Grundlage für den Übergang „Notfall“, „Krise“, „K-Fall“ •  Dokumentation der Ansprechpartner undeines SCCM in den laufenden Betrieb Kommunikationsdatensind die in der SCCM-Policy geregel- • Festlegung der Meldewegeten Vorgaben für Organisation und • De-EskalationProzesse. Zum laufenden Betrieb ge- Krisenmanagement • Abstimmung der Krisenstabsorganisationen • Festlegung gegenseitiger Teilnahme oderhört die Umsetzung der festgelegten InformationsaustauschSCCM-Strategien für die Dienstleister, Notfallkonzepte • Beidseitige Abstimmung der Notfallkonzeptedas laufende SCCM-Berichtswesen (Handlungsoptionen und -verfahren)sowie regelmäßige Überprüfungen/ Geschäftsfortführungs- • Abstimmung von NotfallplänenAudits bei den Dienstleistern (vgl. und Wiederanlaufpläne Tabelle 3:Tab. 3). Die beispielsweise im Finanz- Test- und Übungspläne • Abstimmung der Test- und Übungspläne Abstimmung des (inhaltlich und zeitlich) SSCM mit Dienst-dienstleistungsbereich regulatorisch • Abstimmung von Begrifflichkeiten leisternvorgeschriebene Abstimmung derNotfallkonzepte gehört ebenso dazuwie Einrichtung, Pflege und Tests von Regel keine konkreten Hinweise aufAlarmierungs- und Kommunikati- die spezifischen Auswirkungen von Literaturonswegen bei Störungen, Notfällen Ausfällen auf die eigene Dienstleis-und Krisen. Eine Abstimmung der tungsbeziehung geben. [1] Business Continuity InstituteNotfallkonzepte muss gegebenenfalls (BCI), Supply Chain Resilienceauf mehreren Ebenen erfolgen – ihr Fazit 2012, www.thebci.org/index.Umfang hängt von der Kritikalität des php?option=com_content&view=arDienstleisters ab. Supply-Chain-Continuity- ticle&id=341&Itemid=201 Management (SCCM) ist eine junge Test, Aktualisierung, Disziplin, die angesichts des zuneh- [2] Sonja Mohr, Outsourcing nach Monitoring menden Outsourcings in allen Bran- Bankenart, § 25a KWG als Grund- chen eine wachsende Bedeutung lage für sichere IT-Dienstleistungen, Die Funktionsfähigkeit der gewinnt. Viele Ereignisse der letzten <kes> 2005#6, S. 85SCCM-Konzepte lässt sich letzt- Jahre (z. B. Fukushima, Thailand-lich erst durch Tests und Übungen Überschwemmungen, Aschewol- [3] Bundesanstalt für Finanzdienst-überprüfen und nachweisen – diese ken) haben die Notwendigkeit der leistungsaufsicht (BaFin), Mindestan-sollten sowohl Notfälle beim Dienst- Weiterentwicklung dieses Themas forderungen an das Risikomanage-leister, Notfälle beim Auftraggeber als für alle Branchen aufgezeigt. Teils ment (MaRisk BA), www.bafin.de/auch Katastrophen mit gemeinsamer erfordern bereits gesetzliche und SharedDocs/Veroeffentlichungen/Betroffenheit umfassen. Alarmie- regulatorische Normen seine Orga- DE/Rundschreiben/rs_1011_ba_ma-rungs- und Eskalationsverfahren nisation und entsprechende Prozesse risk.htmlsowie die hierfür eingesetzten Tools – auch bei externen Audits gerätsollte man regelmäßig testen und SCCM zunehmend in den Fokus [4] European Banking Authorityauf Aktualität der Kontaktdaten hin der Prüfungen. Standards und Good (EBA), Guidelines on Internal Gover-prüfen. Regelmäßige „Jour Fixes“ Practices für seine konkrete Umset- nance (GL 44), www.eba.europa.eu/mit den kritischen Dienstleistern zung liegen jedoch erst rudimentär Publications/Guidelines.aspxfördern zudem die Zusammenarbeit vor und müssen aus der Praxis herausund das gemeinschaftliche Denken fortentwickelt werden.      ■ [5] Committee of European Bankingund Handeln. Supervisors (CEBS), Guidelines on Outsourcing, www.eba.europa.eu/ Audits von Wirtschafts- Matthias Hämmerle übernimmt bei der getdoc/f99a6113-02ea-4028-8737-prüfungsgesellschaften und Bera- Automation Consulting Group (ACG) 1cdb33624840/GL02Outsourcing-tungsunternehmen oder auch Zer- GmbH in Frankfurt ab Januar 2013 Guidelines-pdf.aspxtifizierungen nach internationalen die Leitung des neu gegründeten „Com-Standards geben darüber hinaus petence Center Business Continuity [6] Bundesamt für Sicherheit in derHinweise auf den Reifegrad des Management“. Dr. Klaus-Rainer Müller, Informationstechnik (BSI), BSI-Stan-BCM-Systems von Dienstleistern. der bisher auch für BCM verantwortlich dard 100-4: Notfallmanagement,Sie ersetzen jedoch nicht die bila- war, spezialisiert sich künftig auf die www.bsi.bund.de/ContentBSI/Pu-terale Zusammenarbeit, da solche Themen IT-Sicherheit, Sourcing und blikationen/BSI_Standard/it_grund-Audits und Zertifizierungen in der Provider-Management. schutzstandards.html© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 21

×