Notfallplanung (nicht nur) für Geldinstitute MaRisk – Neue Anforderungen

Ordnungsmerkmale

erschienen in: <kes> 2006#6, Seite 31

Rubrik: Management und Wissen

Schlagwort: Notfallplanung

Zusammenfassung: Wenngleich nur für Kreditinstitute verpflichtend, können doch spezifische Regelungen des Bankensektors auch anderen Bereichen wichtige Impulse geben. Die jüngsten "Mindestanforderungen für das Risikomanagement" (MaRisk) zeigen hier beispielsweise einen Methodenwechsel hin zu ganzheitlicher Notfallvorsorge.

Autor: Von Klaus Bockslaff, Küsnacht (CH) und Denis Standhardt, Bochum

Die Bundesanstalt für Finanzdienstleistungsaufsicht (www.BaFin.de) hat in den neuen Mindestanforderungen für das Risikomanagement (MaRisk) die bisherigen Mindestanforderungen an das Kreditgeschäft (MaK), die Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH) und die Mindestanforderungen an die Ausgestaltung der internen Revision (MaIR) zusammengefasst (vgl. [externer Link] www.bundesbank.de/bankenaufsicht/bankenaufsicht_marisk.php). Bei der grundsätzlichen Erneuerung wurden einzelne Bereiche weiter konkretisiert; unter anderem werden neue Anforderungen an die Ausgestaltung der Notfallplanung gestellt.

Die Forderung "für Notfälle in allen kritischen Aktivitäten und Prozessen … Vorsorge zu treffen" impliziert gleichzeitig den Wechsel vom Bottom-up- zum Top-Down-Ansatz, bei dem die zu minimierende Schadenauswirkung im Fokus steht. Bei der Gestaltung der Notfallplanung kommt es somit auf die Berücksichtigung aller zeitkritischen Risiken an, denen eine Bank ausgesetzt ist. Dabei sind insbesondere auch Risiken außerhalb der klassischen IT-Risiken und der Vorsorge gegen kriminelle Angriffe einzubeziehen. Der Blick in die Praxis zeigt, dass diese Anforderungen nur in sehr wenigen Fällen schon erfüllt sind.

Das klassische Notfallmanagement ist in Banken und Sparkassen dadurch gekennzeichnet, dass in ihm für eine Reihe von als besonders gefährlich angesehenen Situationen die Maßnahmen beschrieben werden, die im Ereignisfall umgesetzt werden sollen. Ein besonderer Schwerpunkt liegt dabei auf kriminellen Aktionen, etwa Banküberfall oder Geiselnahme sowie Naturereignissen. Häufig werden IT-Notfallpläne ergänzend hierzu in der IT-Abteilung eigenständig erarbeitet und unterhalten. Die Beratungspraxis zeigt, dass so häufig zwei getrennte Organisationen entstehen, die nicht aufeinander abgestimmt sind.

[Illustration]
Der traditionelle Ansatz zum Risikomanagement geht von einzelnen Gefährdungen aus.

Dieser traditionelle Ansatz ging von einer Betrachtung einzelner Gefährdungsursachen als Risiko aus. Dabei stand die Vermeidung und Minimierung von Einzelrisiken im Vordergrund. Die jetzige Fassung enthält im allgemeinen Teil (AT) 7.3 "Notfallkonzept" eine Reihe von detaillierten Vorschriften, die zum Teil auf den vorangegangenen Regelungen aufbauen, im Wesentlichen aber weit darüber hinausgehen. Insgesamt ergeben sie einen recht vollständigen Anforderungskatalog an eine moderne Notfallplanung, deren Ziel nunmehr die Begrenzung von Schäden und schnelle Wiederaufnahme von Geschäftsprozessen ist:

Praktische Umsetzung

Im Gegensatz zu einigen Kommentaren, die davon sprachen, dass die MaRisk keine wesentlichen neuen Anforderungen an die Notfallplanung enthalten würden, sehen die Autoren in der MaRisk einen vollständigen Methodenwechsel: Statt dem bisherigen starken Fokus auf die IT und auf einzelne weitere Ereignisse stehen nun die "kritischen Prozesse" des Instituts im Vordergrund der Betrachtung.

Der alte Bottom-up-Prozess wird somit durch einen modernen Top-Down-Ansatz ersetzt. Auf der Basis einer systematischen und wiederkehrenden Analyse sollen "kritische" Geschäftsvorgänge identifiziert werden, deren Ausfall zu einer existenzbedrohenden Situation für die betroffene Organisation führen kann. Die Ermittlung der kritischen Prozesse sollte mit einer definierten und nachvollziehbaren Bewertungsmethode erfolgen.

Dabei sind auch ausgelagerte Vorgänge zu berücksichtigen. Dies betrifft vor allem Mehrmandantendienstleister wie zum Beispiel IT-Dienstleister und Werttransportunternehmen. Dazu beschloss das Fachgremium MaRisk des BaFin im Mai 2006, dass ein auslagerndes Institut kein eigenständiges Notfallkonzept für die ausgelagerten Funktionen ausarbeiten muss, sofern das Auslagerungsunternehmen seinerseits über Notfallkonzepte verfügt, die im Rahmen der Jahresabschlussprüfung geprüft werden und deren Prüfungsberichte den auslagernden Instituten zur Verfügung gestellt werden (s. a. S. 84). Damit könne sich der Prüfer einen Eindruck von der Qualität der Notfallkonzepte des Outsourcers verschaffen.

[Illustration]
Ein moderner Ansatz zum Risikomanagement ist zielorientierter, die konkrete rsache von Ausfällen dabei zweitrangig.

Für ein einzelnes Institut ist es in der Tat schwierig, die Notfallplanung beispielsweise eines IT-Dienstleisters zu prüfen. Die grundsätzliche Verantwortlichkeit für die ausgelagerten Dienstleistungen, die im Bankensektor im Gesetz über das Kreditwesen (§ 25a Abs. 2 KWG) festgeschrieben ist (vgl. <kes> 2005#6, S. 85), kann mit diesen praktischen Erwägungen aber nicht aufgehoben werden – gleichermaßen dürften in anderen Bereichen allgemeine Verpflichtungen zu sorgsamer Geschäftsführung eine gewisse Prüfpflicht nach sich ziehen.

Zudem befreit auch die Notfallplanung eines Dienstleisters den Auftraggeber nicht davon, im eigenen Hause selbst Vorkehrungen für den Ausfall eines Outsourcers zu treffen. Viele Unternehmensprozesse hängen letztlich von der Funktionsfähigkeit von IT-Dienstleistern ab. Fällt dieser aus, so muss das auslagernde Institut, völlig losgelöst von der Notfallplanung des IT-Dienstleisters, Vorsorge treffen, dass seine eigenen kritischen Unternehmensprozesse – notfalls auch ohne IT – fortgeführt und anschließend der Normalbetrieb wiederhergestellt werden kann.

Es wird weder im Sinne der MaRisk, noch des Bank-Vorstandes oder eines anderen auslagernden Unternehmens sein, dass dieses für die Dauer eines IT-Dienstleisterausfalls quasi "Betriebsferien" machen muss. Zudem stellt sich die Frage, nach welchem Standard der Prüfer "im Rahmen der Jahresabschlussprüfung" das Notfallkonzept des Auslagerungsunternehmens prüft. Erfahrungen aus der Vergangenheit stimmen da nicht optimistisch.

Reduktion schafft Klarheit

In der praktischen Umsetzung bei der Erstellung einer Notfallplanung sollten nur die wesentlichen Szenarien explizit Berücksichtigung finden. Diese Beschränkung dient einerseits der Übersichtlichkeit, andererseits trägt sie der Tatsache Rechnung, dass eine Gefahrensituation häufig anders abläuft als ein vorgedachtes Szenario. Die Realität zeichnet sich oft vor allem dadurch aus, dass sich das eigentliche Gefahrenpotenzial durch eine Kumulierung verschiedener Ursachen ergibt. Durch die Reduzierung der Szenarienzahl wird eine Lähmung des Notfallmanagements vermieden und ein grundsätzliches Vorgehen implementiert. Für die selektierten Szenarien sind Maßnahmenpläne und Checklisten zu erstellen, die eine gute Vorbereitung gewährleisten.

Darüber hinaus empfehlen die Autoren die Entwicklung eines allgemeinen, nicht-szenariospezifischen Vorgehens für alle diejenigen Situationen, die entweder nicht selektiert wurden oder aber im Voraus nicht denkbar waren. Dieses allgemeine Vorgehen sollte wesentliche Schritte umfassen, die in jedem (Not-)Fall zu beachten sind. Zur Schadensreduzierung sind dabei sowohl präventive Maßnahmen zur Schadensfallvermeidung einzubeziehen als auch solche Vorkehrungen, die für den Ereignisfall vorbereitet werden, um schnell und angemessen regieren zu können. Dabei wird ausdrücklich unterschieden zwischen der Fortführung des Geschäftsbetriebes und der Wiederherstellung des Normalbetriebes.

Fazit

[Illustration]
Organisation der Krisenstäbe: Der Krisenmanagement-Beauftragte (KMB) ist die zentrale Stelle im Konzern; ihm stehen verschiedene Fachstäbe zur Seite.

Ziel der Planung ist ein einheitliches System, das alle Bereiche einer Bank oder anderen Organisation abdeckt, um in einem möglichen Krisenfall eindeutige Verantwortung und Zuständigkeiten zu erreichen. Dies umfasst die IT genauso wie alle anderen Unternehmensbereiche. Dazu gehört auch die Definition einer stringenten Krisenmanagementorganisation, für die ein zentraler Krisenstab eingerichtet werden sollte, der im Notfall die Führung der organisationsweiten Krisenbewältigung und die Koordination der beteiligten internen und externen Stellen übernimmt. Unterstützt werden kann dieser in der operativen Problemlösung durch verschiedene untergeordnete Fachstäbe, zum Beispiel für den IT-Bereich oder die Kommunikation.

Bei der Umsetzung der zu entwickelnden Strukturen ist vorrangig auf die maximal erreichbare Nutzbarkeit der Unterlagen im Krisenfall (Usability) zu achten. Dazu werden die Vorgaben und Maßnahmen so detailliert wie nötig, aber eben auch so knapp wie möglich beschrieben. Sie sollten zudem so gestaltet sein, dass Nutzer im Krisenfall "intuitiv" die richtigen Informationen bekommen. Die entwickelte Notfallplanung sollte dabei die Entscheidungsfreiheit und auch Kreativität des Krisenstabes nicht einschränken. Vielmehr soll sie als Entscheidungshilfe dienen, die im Krisenfall die Vollständigkeit der abzuhandelnden Maßnahmen garantiert und zudem die unter einem enormen Handlungs- und Entscheidungsdruck stehenden Mitglieder des Krisenstabes bei der Beschlussfassung unterstützt.

Dr. jur. Klaus Bockslaff LL.M ist Geschäftsführer der Verismo GmbH, Küsnacht (CH). Denis Standhardt ist Diplom-Logistiker und als Consultant bei der Verismo GmbH tätig ([externer Link] www.verismo.ch).