Business Continuity Management bei Finanzdienstleistern

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungs- und Symbolverzeichnis

1 Einleitung

2 Einführung
2.1 Definition Risiko
2.2 Definition Risikomanagement
2.3 Definition Business Continuity Management
2.4 Definition Finanzdienstleister

3 Gesetzliche Anforderungen und Standards
3.1 Gesetzliche Anforderungen
3.1.1 Allgemeine gesetzliche Anforderungen
3.1.2 Anforderungen an Finanzdienstleistungs- und Kreditinstitute
3.1.3 Anforderungen an Versicherungen
3.2 Standards
3.2.1 ISO/IEC 27001:2005
3.2.2 ISO/IEC 24762
3.2.3 BSI 100-4
3.2.4 BS25999:1-2006
3.2.5 BS 25999:2-2007
3.2.6 PAS 77

4 Phasen des Business Continuity Management nach BS 25999:1-2006
4.1 Programm Management
4.1.1 Bevollmächtigung von Verantwortlichen
4.1.2 Implementierung der BC im Unternehmen
4.1.3 Fortlaufendes Management
4.1.4 Dokumentation des BCM
4.2 Verständnis des Geschäfts
4.2.1 Business Impact Analyse
4.2.2 Identifizierung kritischer Geschäftsprozesse
4.2.3 Kontinuitätsanforderungen
4.2.4 Evaluierung der Gefährdung bei kritischen Geschäftsprozessen
4.3 Kontinuitäts-Strategien
4.3.1 Strategiemöglichkeiten
4.3.2 Personal und Stakeholder
4.3.3 Gebäude und Räumlichkeiten
4.3.4 Technologie
4.3.5 Informationen
4.3.6 Vorräte und Lieferanten
4.3.7 Katastrophenschutz
4.3.8 Legitimierung
4.4 Entwicklung und Implementierung von BCM-Plänen und -Lösungen
4.4.1 Organisation der Störfall-Reaktion
4.4.2 Inhalte der Pläne
4.4.3 Störfallmanagement-Plan
4.4.4 Geschäftsfortführungs-Pläne
4.5 Übungen, Wartung und Revision
4.5.1 Übungen
4.5.2 Wartung
4.5.3 Revision
4.6 Aufbau und Verankerung einer BCM-Kultur
4.6.1 Awareness
4.6.2 Kompetenzerwerb

5 Fazit

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Beispiel Risikoportfolio

Abbildung 2: Strategien zur Risikobeeinflussung - 3R-S-Modell

Abbildung 3: Der Business Continuity Management Lebenszyklus

Abbildung 4: PDCA-Modell

Abbildung 5: Rollen und Verantwortlichkeiten

Abbildung 6: Bedrohungen

Abbildung 7: BCG-Matrix

Abbildung 8: Geschäftsprozesse nach Porter

Abbildung 9: RPO und RTO

Abbildung 10: Von der Störung zum Notfall

Abbildung 11: Zeitverlauf eines Notfalls

Tabellenverzeichnis

Tabelle 1: Abgrenzung der Ungewissheitskategorien

Tabelle 2: Tabelle zur BCG-Matrix

Tabelle 3: Business Impact Analyse

Tabelle 4: Verfahren der Risikoidentifikation- und -bewertung

Abkürzungs- und Symbolverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Jede Unternehmung geht bereits mit den Vorbereitungen einer Geschäftsgründung Risiken ein, um mit den eingesetzten Investitionen einen Mehrwert zu erlangen. Somit ist unternehmerische Tätigkeit stets mit Unsicherheiten verbunden. Ziel eines Unternehmens ist es - vor allem kurzfristig - einen Gewinn zu erwirtschaften und - dann langfristig - die Existenz am Markt zu sichern.

Aufgrund der Forderungen vom Gesetzgeber, von den Share- und Stakeholdern sowie auch aus eigenem Interesse hat die Unternehmensleitung zunehmend versucht, den diffusen Risiken Herr zu werden und etablierte ein Risikomanagementsystem. Ziel des Risikomanagements ist es, die Chancen und Risiken zielgerecht zu erkennen und sie gemäß der Eintrittswahrscheinlichkeit und der quantitativen Auswirkungen auf den Unternehmenswert zu bewerten. Eine Kombination der Standardstrategien - Vermeidung von Risiken, Übertragung von Risiken und Verminderung von Risiken - wurde auf ein tolerierbares Maß verringert, sodass das Restrisiko vom Unternehmen selbst getragen wurde. Diese klassische Betrachtung stellt sich allerdings in Hinblick auf die Kombination aus einer geringen Wahrscheinlichkeit des Risikoeintritts und dem hohen Potenzial an verursachten Schäden sehr problematisch dar, da diese existenzbedrohenden Fälle in der Realität vorkommen.

In der vergangenen Zeit wurde vielen Unternehmen bei extremen Einwirkungen klar, dass deren Existenzsicherung bezüglich Risiken vernachlässigt worden ist. Als schmerzhaftes Beispiel ist der Terroranschlag zu nennen, bei dem der American Airlines Flug 11 um 8:46 Uhr am 11. September 2001 in den Nordturm des World Trade Centers in New York eingeschlagen ist.^[1] Das Risiko eines solchen Anschlags für einen einzelnen Betrieb ist marginal, allerdings trotzdem

nicht zu vernachlässigen. Ein funktionierendes Business Continuity Management System verhilft, eine solche existenzielle Krise zu bewältigen und das Fortbestehen am Markt zu gewährleisten. Hier ist es irrelevant, wodurch die Krise herbeigeführt worden ist. Denkbare Szenarien sind Verbrechen (terroristische Anschläge, Hackerangriffe, Sabotage oder Diebstahl), Umweltbedrohungen (Erdbeben, Tornados, Feuer oder Wasser), der Ausfall von Mitarbeitern aufgrund einer Pandemie, der Ausfall der Infrastruktur (Energieversorgung, Transport/Verkehr), Bedrohungen der IT (defekte Datenspeicher, Rechner- und Netzwerkausfälle) oder Abhängigkeiten von Dritten (Kommunikation, externe Dienstleister).

In Deutschland herrscht diesbezüglich ein auffälliger Nachholbedarf - auch in Hinblick auf das gestiegene Bewusstsein in der Politik, das sich in der Gesetzgebung wieder findet und Rahmenbedingungen einer Notfallplanung in Unternehmen einfordert. Bislang haben laut einer Schätzung des Business Continuity Instituts nur zehn Prozent aller Großunternehmen ein Kontinuitätsmanagement errichtet. In mittelständischen Unternehmen besitzen sogar nur einzelne Betriebe ein Business Continuity Management System.^[2] Dabei soll es nur 23 % der Unternehmen, die von einem größeren Schaden betroffen waren, gelingen, langfristig ihre volle Leistungsfähigkeit wiederherzustellen. Mehr als drei Viertel dieser Unternehmen melden innerhalb von drei Jahren Insolvenz an oder werden übernommen.^[3]

2 Einführung

2.1 Definition Risiko

Unternehmerisches Handeln ist durch die Ungewissheit der zukünftigen Entwicklungen stets mit Risiken verbunden. Abhängig vom Umfang und Bereich der Risiken, dem ein Unternehmen ausgesetzt ist, kann ein solches Risiko den Ertrag verringern oder sogar existenzbedrohend sein.

„Unterdem unternehmerischen Risiko versteht man die Gefahr, dass aufgrund von nicht beachteten oder falsch eingeschätzten Störfaktoren das Ergebnis von den Erwartungen bzw. von den Zielen abweichen wird."^[4]

Eine Abweichung vom Erwartungswert kann sowohl negativ als auch positiv ausfallen. So bedeutet ein einzugehendes Risiko auch immer eine Chance, die genutzt werden kann.

Risiko kann mathematisch definiert werden als der Erwartungswert, der sich aus der Kombination der beiden Größen Wahrscheinlichkeit des Schaden verursachenden Ereignisses und des Schadenausmaßes ergibt:

„Risiko = Wahrscheinlichkeit x Ausmaß"^[5]

In Bezug auf die normative Entscheidungstheorie wird rationales Verhalten des Entscheiders zugrunde gelegt, wobei Entscheidungen abhängig vom Informationsstand und von der persönlichen Risikopräferenz getroffen werden (zwischen risikoavers und risikofreudig). Dadurch fallen Entscheidungen im konkreten Fall bei gleichem Informationsstand unterschiedlich aus und werden zusätzlich durch externe Rahmenbedingungen, wie z. B. durch Gesetze, beeinflusst.^[6]

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Abgrenzung der Ungewissheitskategorien^[7]

Unter rationalem Handeln im ökonomischen Kontext in der modernen Portfoliotheorie von Markowitz wird verstanden, dass eine Transaktion nur dann durchgeführt wird, wenn sie bei gleichem Risiko die höchste zu erwartende Rendite in Aussicht stellt oder bei gleicher erwarteter Rendite das geringste Risiko verspricht und dementsprechend auf der Effizienzlinie liegt.^[8]

Im Rahmen der Entscheidungstheorie können Entscheidungen mit Hilfe von verschiedenen Entscheidungsregeln getroffen werden. Diese Regeln (Bayes-Regel, die ji,a-Regel, das Bernoulli-Prinzip und das Laplace-Prinzip) können in Abhängigkeit von den Umweltzuständen und der Eintrittswahrscheinlichkeit genutzt werden (siehe Tabelle 1: Abgrenzung der Ungewissheitskategorien)

Risiken können in folgende klassische Risikokategorien aufgeteilt werden:

Marktrisiken sind Risiken, die in den Märkten auftreten können, in denen das Unternehmen tätig ist. Hierbei sind Beschaffungsmärkte (wie zum Beispiel Rohstoffmarkt, Arbeitsmarkt, in dem Personal nachgefragt wird), Absatzmärkte und Finanzmärkte zu nennen. Es können auch Risiken hinzugezählt werden, die durch Entwicklungen in gesellschaftlichen, technologischen, ökologischen und politischen Bereichen entstehen. Aus aktuellem Anlass wäre hier die Situation am US-amerikanischen Immobilienmarkt zu nennen. Hier wurden Subprime Darlehen von Hypotheken an Kunden mit schlechter Bonität und keinem oder geringem Eigenkapital vergeben. Durch variable Zinssätze haben Banken versucht, das Risiko zu begrenzen, sodass dieser Anteil von 19 % in 2004 auf 57 % in 2005 gestiegen ist.^[9] Dabei erhöhte das Federal Open Market Committee des Federal Reserve System die US-amerikanischen Leitzinsen von 1,00 % (26.06.2003)^[10] auf 5,25 % (29. 06. 2006)^[11], womit die Zinsraten für viele Hypothekenschuldner nicht mehr finanzierbar waren. Die Folge war häufige Versteigerung von Häusern, wodurch die Immobilienpreise immens sanken. Dies bedingte nun Abschreibungen in Höhe von 80 Milliarden US-Dollar bei Banken.^[12]

Strategische Risiken sind Risiken, die sich auf die Strategien des Unternehmens beziehen. Als Beispiel sei die Einführung des Phaeton von Volkswagen zu nennen. Hier bestand das Risiko, dass sich das Management des Unternehmens für die Marktentwicklungsstrategie aus den Produkt/Markt-Strategien nach Ansoff entschieden hat, um neue Käuferschichten zu erschließen. Mit dem Phaeton sollte 2002 bei der Automobilmarke VW im Geschäftsbereich Personenkraftfahrzeuge das Hochpreissegment angesprochen werden, doch der gewünschte Erfolg blieb aus.

Managementrisiken sind Risiken, die auf das Versagen des Managementsystems, das ein Unternehmen errichtet hat, zurückzuführen sind. Hierunter fallen sowohl Schwächen im Planungs- und Kontrollsystem als auch das Fehlverhalten der Unternehmensführung. Eine der bekanntesten Insolvenzen, die durch Fehlverhalten des Managements verursacht worden sind, ist der Konkurs von Enron. Im börsennotierten Energiekonzern wurden systematisch Scheingeschäfte durchgeführt, durch die ein überhöhter Konzerngewinn ausgewiesen worden ist.^[13] Am 02. 12. 2001 beantragte das Unternehmen Insolvenz, worauf innerhalb von wenigen Tagen die Enron-Aktionäre 60 Milliarden US-Dollar verloren und 4.500 Mitarbeitern gekündigt wurde. Infolgedessen wurde der Sarbanes-Oxley Act vom US-Kongress verabschiedet und vom amerikanischen Präsidenten George W. Bush am 30. 07. 2002 in Kraft gesetzt, das verschiedene Aspekte der Corporate Governance, Compliance und der Berichterstattungspflichten von Publikumsgesellschaften regelt.^[14]

Finanzielle Risiken sind Risiken, die sich auf die Finanzziele des Unternehmens beziehen. Im Vordergrund geht es hier um die Rentabilität und Liquidität einer Unternehmung. Als Beispiel kann hier das Risiko von Wechselkursen genannt werden. Bei einem Kontrakt in einer Fremdwährung - abhängig von der Entwicklung des Wechselkurses - sinken oder steigen die Verbindlichkeiten gegenüber Dritten in der eigenen Währung.

Operative Risiken sind Risiken, die aus der laufenden Geschäftstätigkeit in den unterschiedlichen Geschäftsbereichen resultieren.

„Operations! risk is defined as the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk."^[15]

Es handelt sich hierbei also um Systeme und Prozesse, die nicht effizient durchgeführt werden oder um das Fehlverhalten von Personen. Beispielhaft ist hier der Bankrott der Barings Bank im Jahre 1995 aufzuführen, der durch fehlerhafte Kontrollen der Aktivitäten des Händlers Nick Leeson verursacht wurde. Er war zuerst für die Abwicklung und Kontrolle des Handels in Singapur zuständig und wurde später Händler. Dadurch kontrollierte er seine Handelsgeschäfte, sodass interne Kontrollen versagten.^[16]

2.2 Definition Risikomanagement

Unter dem klassischen Risikomanagement werden sämtliche Aktivitäten, Prozesse, Strukturen und Instrumente verstanden, die der Bewältigung der Risiken eines Unternehmens dienen.^[17] Der Prozess des Risikomanagements ist in folgende Phasen aufgeteilt:

1. Risikoidentifikation und -analyse
2. Risikobewertung und -klassifizierung
3. Risikosteuerungsmaßnahmen
4. Risikoüberwachung und -reporting

Bei der Identifikation der Risiken wird eine Abgrenzung von Bereichen vorgenommen, in denen Risiken erscheinen können. In der Risikobewertung wird anhand des Schadenpotenzials und der Eintrittswahrscheinlichkeit eine Kategorisierung der Risiken vorgenommen. Hierzu wird sich häufig eines Risikoportfolios bedient.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Beispiel Risikoportfolio^[18]

In der Risikosteuerung wird entschieden, wie mit den verschiedenen Risiken umgegangen wird. Es stehen hier die Standardstrategien Risikovermeidung, Risikotransfer, Risikoverminderung und das Selbsttragen bzw. Risikoakzeptanz zur Verfügung (siehe Abbildung 2: Strategien zur Risikobeeinflussung - 3R-S-Modell). In der Phase „Risikoüberwachung und Risikoreporting" geht es um das Überwachen, die Früherkennung und das Mitteilen von Risiken, damit beispielsweise eine Risikostrategie für neu aufgetretene Risiken von den Risikoverantwortlichen beschlossen und umgesetzt werden kann.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Strategien zur Risikobeeinflussung - 3R-S-Modell^[19]

2.3 Definition Business Continuity Management

Business Continuity Management ist ein Prozess, der sowohl strategische als auch operationale Rahmenbedingungen schafft und:

proaktiv die Widerstandsfähigkeit eines Unternehmens gegen Beeinträchtigungen bei der Verfolgung ihrer Kernziele verbessert, einem Unternehmen nach einem Störfall ein etabliertes Verfahren zur Wiederherstellung der Versorgung der wichtigsten Produkte und Dienstleistungen zu einem vereinbarten Niveau innerhalb einer vereinbarten Zeit bietet, eine bewährte Möglichkeit zur Bewältigung von Störfällen und zum Schutz der Reputation des Unternehmens und deren Marken bietet.^[20]

2.4 Definition Finanzdienstleister

Für eine hoch entwickelte Volkswirtschaft besitzt die Geld- und Kreditwirtschaft eine essenzielle Bedeutung, sodass dem Bankensystem mit der Funktion als Kapitalsammelstelle und Finanzierungsinstitut eine signifikante Rolle zukommt. In der Versicherungswirtschaft werden zahlreiche Risiken materiell abgesichert, sodass dieser Unternehmenszweig die günstige und effektive Absicherung gegen Risiken in einem Kollektiv ermöglicht, wodurch sich private und industrielle Werte entwickeln können.

Als Finanzdienstleister sind folgende Unternehmen zu nennen:

Kreditinstitute bzw. Banken, die Bankgeschäfte gewerbsmäßig anbieten, zu denen das Einlagengeschäft, das Pfandbriefgeschäft, das Kreditgeschäft, das Diskontgeschäft, das Finanzkommissionsgeschäft, das Depotgeschäft, das Garantiegeschäft, das Girogeschäft, das Emissionsgeschäft und das E-Geld-Geschäft gehören.^[21] Ende 2007 gibt es in Deutschland 2.277 Kreditinstitute mit 39.838 Zweigstellen.^[22]

Finanzdienstleistungsinstitute, die Finanzdienstleistungen für andere gewerbsmäßig anbieten, aber keine Kreditinstitute sind. Zu deren Geschäftstätigkeit gehören die Anlagevermittlung, die Anlageberatung, der Betrieb eines multilateralen Handelssystems, das Platzierungsgeschäft, die Abschlussvermittlung, die Finanzportfolioverwaltung, der Eigenhandel, die Drittstaateneinlagenvermittlung, das Finanztransfergeschäft, das Sortengeschäft, das Kreditkartengeschäft und das Eigengeschäft.^[23]

Versicherungsunternehmen, die gegen die Zahlung einer Versicherungsprämie durch den Versicherungsnehmer im Fall des (Nicht-)Eintritts eines bestimmten Ereignisses eine bestimmte Zahlung leisten. In der deutschen Versicherungswirtschaft versammeln sich Ende 2005 1.591 Versicherungsunternehmen

(Lebensversicherungsunternehmen, Pensions- und Sterbekassen, Krankenversicherungsunternehmen sowie Schaden- und Unfallversicherungsunternehmen) und 42 Rückversicherungsunternehmen,^[24] durch die etwa 700.000 Menschen^[25] beschäftigt sind.

3 Gesetzliche Anforderungen und Standards

3.1 Gesetzliche Anforderungen

Im Vergleich zu anderen Themengebieten gibt es kein einzelnes Business Continuity Gesetz, in dem die Grundlagen und Methoden des Business Continuity Managements geregelt sind. Allerdings gibt es unterschiedliche Gesetze und Verordnungen, in denen Kontinuitätsanforderungen verlangt werden oder aus denen sich die Notwendigkeit eines Business Continuity Managements ableiten lässt.

3.1.1 Allgemeine gesetzliche Anforderungen

Durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das am 05. 03. 1998 im Deutschen Bundestag verabschiedet worden ist und am 01. 05. 1998 in Kraft getreten ist, hat der Gesetzgeber (Aktien-) Unternehmen verpflichtet, ein Früherkennungssystem für Risiken zu etablieren. Diese Unternehmen haben im Lagebericht „auf die Risiken der künftigen Entwicklung einzugehen"^[26] und somit die Unternehmensrisiken im Lagebericht des Jahresabschlusses zu publizieren. Das Gesetz erweitert bzw. ändert hauptsächlich das Aktiengesetz, das die Pflichten und Rechte der auf Aktien basierenden Kapitalgesellschaften beinhaltet und das Handelsgesetzbuch, das die Rechtsverhältnisse von Kaufleuten regelt.

In § 91 Abs. 2 des AktG wird der Vorstand einer Aktiengesellschaft verpflichtet, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden".^[27] Da der

Gesetzgeber keine konkreten Vorgaben fordert, ist die Erstellung einer Dokumentation unentbehrlich, in der die organisatorischen Regelungen und Maßnahmen zur Einrichtung eines Risikomanagementsystems und eines Business Continuity Management Systems aufgenommen werden. Die Ausdehnung auf Unternehmen anderer Rechtsformen ist anzunehmen.^[28]

Im Handelsgesetzbuch wird der Abschlussprüfer gemäß § 317 Abs. IV dazu verpflichtet, zu beurteilen, ob der Vorstand der börsennotierten Aktiengesellschaft die geforderten Maßnahmen in geeigneter Form getroffen hat und das Überwachungssystem die Aufgaben erfüllen kann. In der Beurteilung des Abschlussprüfers im Rahmen des Prüfungsergebnisses hat dieser auch zu bewerten, ob die Risiken der zukünftigen Entwicklung zutreffend im Lagebericht dargestellt sind.^[29] Der Abschlussprüfer hat ebenfalls Stellung zu nehmen, ob der Fortbestand und die künftige Entwicklung des Unternehmens gewährleistet sind. Zudem hat er von Tatsachen zu berichten, die den Bestand des geprüften Unternehmens gefährden oder seine Entwicklung wesentlich beeinträchtigen können.^[30] Im allgemeinen Teil der MaRisk werden einerseits die Risikotragfähigkeit und andererseits ein Risikomanagement verlangt, in dem angemessene Risikostrategien festgelegt werden und ein internes Kontrollsystem entsprechend des Risikopotenzials aufzubauen ist.^[31] Weiterhin sollen im internen Kontrollsystem organisatorische Regelungen getroffen sowie Risikosteuerungs- und -controllingprozesse eingerichtet werden.^[32] Zur Nachvollziehbarkeit sind Geschäfts-, Kontroll-und Überwachungsunterlagen anzufertigen und aufzubewahren.^[33]

3.1.2 Anforderungen an Finanzdienstleistungs- und Kreditinstitute

Mit dem Kreditwesengesetz bzw. dem Gesetz über das Kreditwesen bildet

der Gesetzgeber eine Gesetzesgrundlage zur Regulierung von

Finanzdienstleistungs- und Kreditinstituten. Damit wird die Sicherung der

Finanz- und Kreditmärkte und schlussendlich auch der Schutz der

Volkswirtschaft verfolgt. Die Bundesanstalt für

Finanzdienstleistungsaufsicht übt die Aufsicht über die Finanzdienstleistungs- und Kreditinstitute aus und ist mit der Aufgabe betraut, Missständen im Kredit- und Finanzdienstleistungswesen entgegenzuwirken. Dazu gehören auch Missstände, welche die Sicherheit der den Instituten anvertrauten Vermögenswerte gefährden, die ordnungsmäßige Durchführung der Bankgeschäfte oder Finanzdienstleistungen beeinträchtigen oder erhebliche Nachteile für die Gesamtwirtschaft herbeiführen können.^[34]

Ein Institut muss gemäß § 25a Abs. I KWG über eine adäquate Geschäftsorganisation verfügen, die insbesondere ein angemessenes und wirksames Risikomanagement erfordert. Explizit wird ein Notfallkonzept verlangt.

Mit den Mindestanforderungen an das Risikomanagement (MaRisk) hat die Bundesanstalt für Finanzdienstleistungsaufsicht die Vorgaben für die Ausgestaltung des Risikomanagements des § 25a Abs. I KWG konkretisiert. Die bis dahin bestehenden Mindestanforderungen an das Handelsgeschäft (MaH), an das Kreditgeschäft (MaK) und an die Innenrevision (MaI) wurden dadurch ersetzt. Somit wurden die EU-Richtlinien (Capital Requirements Directive), die auf den Basel II-Anforderungen basierten, ins nationale Recht umgesetzt. Zusätzlich wurden die „Sound practices on the Management and Supervision of Operational Risk", die das Basel Committee on Banking Supervision erarbeitet hat, in das MaRisk integriert.^[35] Diese zielen besonders auf das Risikomanagement von operationellen Risiken ab - im Gegensatz zu den Basel II-Anforderungen, die hauptsächlich auf die Kapitalanforderungen gerichtet sind.^[36] Im allgemeinen Teil (AT) der MaRisk wird ein wirksames Notfallkonzept, das regelmäßig geprüft wird, gefordert:

„Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen."^[37]

Unter Textziffer 2 wird der Umfang des Notfallkonzepts konkretisiert:

„Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen."^[38]

Für Kredit- und Finanzdienstleistungsinstitute, die nicht in der Rechtsform einer Kapitalgesellschaft betrieben werden, gelten die Vorschriften analog zu denen der großen Kapitalgesellschaften. Diese haben außerdem einen Lagebericht nach den für große Kapitalgesellschaften geltenden Bestimmungen aufzustellen.^[39]

3.1.3 Anforderungen an Versicherungen

Analog zum Kreditwesengesetz bildet das Versicherungsaufsichtsgesetz bzw. das Gesetz über die Beaufsichtigung der Versicherungsunternehmen die Gesetzesgrundlage des Gesetzgebers zur Regulierung von Versicherern. Das VAG enthält auch Regelungen zur Zulassung zum Versicherungsgeschäft, zulässige Rechtsformen für Versicherer, vorzulegende Unterlagen und Geschäftspläne sowie Grundsätze für die Jahresabschlüsse. Die Bundesanstalt für Finanzdienstleistungsaufsicht übt ebenfalls die Aufsicht über Versicherungsunternehmen aus und ist mit der Aufgabe betraut, Missständen im Bereich von Versicherungen entgegenzuwirken.

Mit der am 15. November 2007 vom Deutschen Bundestag verabschiedeten neunten Novelle des Versicherungsaufsichtsgesetzes, die am 01. Januar 2008 in Kraft getreten ist, wurde zeitgleich in § 64a explizit eine ordnungsgemäße Geschäftsorganisation verlangt. Die ordnungsgemäße Geschäftsorganisation fordert einerseits die Einhaltung vom Gesetzen, andererseits die Einhaltung von aufsichtsbehördlichen Anforderungen.

„Eine ordnungsgemäße Geschäftsorganisation setzt neben einer dem Geschäftsbetrieb angemessenen ordnungsgemäßen

Verwaltung und Buchhaltung insbesondere ein angemessenes Risikomanagement voraus."^[40]

Mit dem „Entwurf eines Rundschreibens Aufsichtrechtliche Mindestanforderungen an das Risikomanagement (MaRisk VA)", das am 30. 04. 2008 vom Bundesamt für Finanzdienstleistungsaufsicht herausgegeben wurde, möchte die BaFin Versicherungsunternehmen und Pensionsfonds einen Rahmen für die Ausgestaltung des Risikomanagements aufzeigen, bei dem § 64 a VAG konkretisiert wird. Mit den MaRisk VA sollen die deutschen Versicherer auf Solvency II vorbereitet werden. Mit Solvency II soll die Eigenmittelanforderung von Versicherungsunternehmen risikoadäquat erfolgen und eine Harmonisierung der Aufsicht in den europäischen Staaten vollzogen werden. Punkt 9 des Entwurfs der MaRisk VA konkretisiert die Vorgaben an Business Continuity:

„Unternehmen haben fürNotfälle und Krisen Vorsorge (Notfallplanung) zu treffen, in denen die Kontinuität der wichtigsten Unternehmensprozesse und -systeme nicht mehr gewährleistet ist und die normalen Organisations-/Entscheidungsstrukturen nicht mehr ausreichen, um sie zu beherrschen. Ziel der Notfallplanung ist die Fortführung derGeschäftstätigkeit mit Hilfe von definierten Verfahren und der Schutz von Personen und Sachen sowie Vermögen im Sinne der Wertschöpfung."^[41]

Dabei wird nicht nur das Aufstellen eines Notfallmanagements verlangt, sondern auch dessen Effektivität in Form von regelmäßiger Revision:

„Die Notfallplanung ist regelmäßig hinsichtlich Wirksamkeit und Angemessenheit zu überprüfen."^[42]

Dieses Dokument befindet sich noch in der Entwurfsphase, und Stellungnahmen der Interessenvertreter, wie z. B. vom Gesamtverband der Deutschen Versicherungswirtschaft, der Altersgemeinschaft für betriebliche Altersversorgung und Pensionskassen konnten bis zum 30. Juni 2008 beim BaFin eingereicht werden, sodass Änderungen denkbar sind. Insgesamt wird der Entwurf des MaRisk-Rundschreibens, das neben der Notfallplanung noch weitere Themen, wie z. B. die Gesamtverantwortung der Geschäftsleitung, die Risikostrategie, organisatorische Rahmenbedingungen, das interne Steuerungs- und Kontrollsystem, die interne Revision und Funktionsausgliederungen behandelt, von den Interessenvertretern begrüßt. Dementsprechend kann erwartet werden, dass nur geringe Änderungen am Dokument durchgeführt werden. Dies betont daher die Relevanz eines Business Continuity Managements bei Versicherungen.

[...]

---

^[1] Vgl. Schmilewki 03. 09. 2006 - 9/11 - fünf Jahre danach

^[2] Vgl. Buck 13. 06. 2007 - Mittelständische Unternehmen sind kaum auf Krisen und Katastrophen vorbereitet

^[3] Vgl. Götz 2007 - Business-Continuity-Management in Banken, S. 70 - 71

^[4] Thommen, Achleitner 2006 - Allgemeine Betriebswirtschaftslehre S. 1013

^[5] Romeike 2004 – Lexikon Risiko-Management, S. 102

^[6] Vgl. Kuhn 2006 – Operationelle Risiken im Kontext der Gesamtbanksteuerung, S. 10

^[7] Vgl. Kuhn 2006 – Operationelle Risiken im Kontext der Gesamtbanksteuerung, S. 10

^[8] Vgl. Kaiser, Köhne 2004 – Operationelle Risiken in Finanzinstituten, S. 5

^[9] Vgl. Gottschalck, Lange 16. 03. 2007 - Kredit-Karussell außer Kontrolle

^[10] Vgl. Pieper 27. 06. 2003 - Der Euro bleibt unter Druck, S. 30

^[11] Vgl. Häring 03. 07. 2006 - Volkswirte warnen EZB vor Übereifer, S. 1

^[12] Vgl. Jordan, Karp 08. 01. 2008 - Finanzkrise, S. 25

^[13] Vgl. Ogger 30. 04. 2003 - Die Bilanzfälscher

^[14] Vgl. Bertschinger, Schaad 2002 – Der amerikanische Sarbanes-Oxley Act

^[15] Basel Committee on Banking Supervision of the Bank for International Settlements -International Convergence of Capital Measurement and Capital Standards, S. 137

^[16] Vgl, Hechenblaikner 2006 - Operational Risk in Banken, S. 15 - 16

^[17] Vgl. Thommen, Achleitner 2006 - Allgemeine Betriebswirtschaftslehre, S. 1014

^[18] Vgl. Thommen, Achleitner 2006 – Allgemeine Betriebswirtschaftslehre, S. 1019

^[19] Vgl. Wiedemann, Minz et al. 2003 – Operationelle Risiken, S. 102

^[20] British Standard Institution 30. 11. 2006 - Business continuity management BS 25999- 1:2006, Punkt 3.1

^[21] Vgl. § 1 Abs. I KWG

^[22] Vgl. Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht 2007 - Jahresbericht 2007, S. 39

^[23] Vgl. § 1 Abs. Ia KWG

^[24] Vgl. Statistisches Bundesamt 2007 - Statistisches Jahrbuch für die Bundesrepublik Deutschland 2007, S. 449

^[25] Vgl. Gesamtverband der Deutschen Versicherungswirtschaft e. V. 2007 - Jahrbuch 2007, S. 59

^[26] § 289 Abs. I HGB

^[27] § 91 Abs. II AktG

^[28] Vgl. IDW (1999), S. 1-2 und 6 (IDW 340)

^[29] Vgl. § 322 Abs. 6 HGB

^[30] Vgl. § 321 Abs. 1

^[31] Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht 30. 10. 2007 -Mindestanforderungen an das Risikomanagement, AT 1 Punkt 1

^[32] Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht 30. 10. 2007 -Mindestanforderungen an das Risikomanagement, AT 4

^[33] Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht 30.10.2007 - Mindestanforderungen an das Risikomanagement, AT 6

^[34] Vgl. § 6 Abs. I und Abs. II KWG

^[35] Vgl. Auer 2008 - Operationelles Risikomanagement bei Finanzinstituten, S. 37

^[36] Vgl. Auer 2008 - Operationelles Risikomanagement bei Finanzinstituten, S. 61

^[37] Bundesanstalt für Finanzdienstleistungsaufsicht 30. 10. 2007 - Mindestanforderungen an das Risikomanagement, AT 7.3 Punkt 1

^[38] Bundesanstalt für Finanzdienstleistungsaufsicht 30. 10. 2007 - Mindestanforderungen an das Risikomanagement, AT 7.3 Punkt 2

^[39] Vgl. § 340a Abs. 1 HGB

^[40] § 64a Abs. 1 Satz 3 VAG

^[41] Bundesanstalt für Finanzdienstleistungsaufsicht – Entwurf MaRisk VA Punkt 9.1

^[42] Bundesanstalt für Finanzdienstleistungsaufsicht – Entwurf MaRisk VA Punkt 9.3