2

Inhaltsverzeichnis

Seite   

Inhaltsverzeichnis   2

Abbildungsverzeichnis   4

Tabellenverzeichnis   5

Abk  ürzungs- und Symbolverzeichnis  6

1  Einleitung  8

2  Einführung  10

2.1  Definition Risiko  10

2.2  Definition Risikomanagement  14

2.3  Definition Business Continuity Management  16

2.4  Definition Finanzdienstleister  17

3  Gesetzliche Anforderungen und Standards  19

3.1  Gesetzliche Anforderungen  19

3.1.1  Allgemeine gesetzliche Anforderungen  19

3.1.2  Anforderungen an Finanzdienstleistungs- und  

Kreditinstitute   21

3.1.3  Anforderungen an Versicherungen  23

3.2  Standards  25

3.2.1  ISO/IEC 27001:2005  25

3.2.2  ISO/IEC 24762  26

3.2.3  BSI 100-4  26

3.2.4  BS25999:1-2006  27

3.2.5  BS 25999:2-2007  27

3.2.6  PAS 77  27

4  Phasen des Business Continuity Management nach BS 25999:1-  

2006   28

4.1  Programm Management  29

4.1.1  Bevollmächtigung von Verantwortlichen  30

4.1.2  Implementierung der BC im Unternehmen  32

4.1.3  Fortlaufendes Management  32

4.1.4  Dokumentation des BCM  32

4.2  Verständnis des Geschäfts  34

4.2.1  Business Impact Analyse  36

4.2.2  Identifizierung kritischer Geschäftsprozesse  40

4.2.3  Kontinuitätsanforderungen  41

3

4.2.4  Evaluierung der Gefährdung bei kritischen  

Gesch  äftsprozessen  41

4.3  Kontinuitäts-Strategien  43

4.3.1  Strategiemöglichkeiten  44

4.3.2  Personal und Stakeholder  44

4.3.3  Gebäude und Räumlichkeiten  46

4.3.4  Technologie  47

4.3.5  Informationen  48

4.3.6  Vorräte und Lieferanten  48

4.3.7  Katastrophenschutz  51

4.3.8  Legitimierung  51

4.4  Entwicklung und Implementierung von BC-MPlänen und -  

L  ösungen  51

4.4.1  Organisation der Störfall-Reaktion  52

4.4.2  Inhalte der Pläne  53

4.4.3  Störfallmanagement-Plan  54

4.4.4  Geschäftsfortführungs-Pläne  56

4.5  Übungen, Wartung und Revision  57

4.5.1  Übungen  58

4.5.2  Wartung  60

4.5.3  Revision  60

4.6  Aufbau und Verankerung einer BC-MKultur  61

4.6.1  Awareness  62

4.6.2  Kompetenzerwerb  62

5  Fazit  64

Literaturverzeichnis   66

4

Abbildungsverzeichnis   

Seite   

Abbildung  1: Beispiel Risikoportfolio  

Abbildung  2: Strategien zur Risikobeeinflussung - 3R-S-Modell  

Abbildung  3: Der Business Continuity Management Lebenszyklus  

Abbildung  4: PDCA-Modell  

Abbildung  5: Rollen und Verantwortlichkeiten  

Abbildung  6: Bedrohungen  

Abbildung  7: BCG-Matrix  

Abbildung  8: Geschäftsprozesse nach Porter  

Abbildung  9: RPO und RTO  

Abbildung  10: Von der Störung zum Notfall  

Abbildung  11: Zeitverlauf eines Notfalls  

5

Tabellenverzeichnis   

Seite   

Tabelle 1:  Abgrenzung der Ungewissheitskategorien  11

Tabelle 2:  Tabelle zur BCG-Matrix  35

Tabelle 3:  Business Impact Analyse  39

Tabelle 4:  Verfahren der Risikoidentifikation- und -bewertung  42

6

Abkürzungs- und Symbolverzeichnis

AktG Aktiengesetz

AT Allgemeiner Teil der MaRisk

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht

BCG Boston Consulting Group

BCM Business Continuity Management

BIA Business Impact Analyse

BSI Bundesamt für Sicherheit in der Informationstechnik

BT Besonderer Teil der MaRisk

FMEA Fehlermöglichkeits- und Einflussanalyse

HAZOP Hazard and Operability Study

HGB Handelsgesetzbuch

ICB IPMA Competence Baseline

IEC International Electrotechnical Commission

IPMA International Project Management Association

ISO International Organization for Standardization

KWG Gesetz über das Kreditwesen (Kreditwesengesetz)

MaH

MaIR

MaK Mindestanforderungen an das Kreditgeschäft der Kreditinstitute

MaRisk Mindestanforderungen an das Risikomanagement

7

MaRisk

VA

PDCA Plan, Do, Check, Act

PMBOK Guide to the Project Management Body of Knowledge Guide

PRINCE2 Project in Controlled Environments

RPO Recovery Point Objective

RTO Recovery Time Objective

SWOT Strenghts, Weaknesses, Opportunities, Threats

VAG

8

1 Einleitung

Jede Unternehmung geht bereits mit den Vorbereitungen einer Geschäftsgründung Risiken ein, um mit den eingesetzten Investitionen einen Mehrwert zu erlangen. Somit ist unternehmerische Tätigkeit stets mit Unsicherheiten verbunden. Ziel eines Unternehmens ist es - vor allem kurzfristig - einen Gewinn zu erwirtschaften und - dann langfristig - die Existenz am Markt zu sichern.

Aufgrund der Forderungen vom Gesetzgeber, von den Share- und Stakeholdern sowie auch aus eigenem Interesse hat die

Unternehmensleitung zunehmend versucht, den diffusen Risiken Herr zu werden und etablierte ein Risikomanagementsystem. Ziel des Risikomanagements ist es, die Chancen und Risiken zielgerecht zu erkennen und sie gemäß der Eintrittswahrscheinlichkeit und der quantitativen Auswirkungen auf den Unternehmenswert zu bewerten. Eine Kombination der Standardstrategien - Vermeidung von Risiken, Übertragung von Risiken und Verminderung von Risiken - wurde auf ein tolerierbares Maß verringert, sodass das Restrisiko vom Unternehmen selbst getragen wurde. Diese klassische Betrachtung stellt sich allerdings in Hinblick auf die Kombination aus einer geringen Wahrscheinlichkeit des Risikoeintritts und dem hohen Potenzial an verursachten Schäden sehr problematisch dar, da diese existenzbedrohenden Fälle in der Realität vorkommen.

In der vergangenen Zeit wurde vielen Unternehmen bei extremen Einwirkungen klar, dass deren Existenzsicherung bezüglich Risiken vernachlässigt worden ist. Als schmerzhaftes Beispiel ist der Terroranschlag zu nennen, bei dem der American Airlines Flug 11 um 8:46 Uhr am 11. September 2001 in den Nordturm des World Trade Centers in New York eingeschlagen ist. ¹ Das Risiko eines solchen

Anschlags für einen einzelnen Betrieb ist marginal, allerdings trotzdem

¹ Vgl. Schmilewki 03. 09. 2006 - 9/11 - fünf Jahre danach

9

nicht zu vernachlässigen. Ein funktionierendes Business Continuity Management System verhilft, eine solche existenzielle Krise zu bewältigen und das Fortbestehen am Markt zu gewährleisten. Hier ist es irrelevant, wodurch die Krise herbeigeführt worden ist. Denkbare Szenarien sind Verbrechen (terroristische Anschläge, Hackerangriffe, Sabotage oder Diebstahl), Umweltbedrohungen (Erdbeben, Tornados, Feuer oder Wasser), der Ausfall von Mitarbeitern aufgrund einer Pandemie, der Ausfall der Infrastruktur (Energieversorgung, Transport/Verkehr), Bedrohungen der IT (defekte Datenspeicher, Rechner- und Netzwerkausfälle) oder Abhängigkeiten von Dritten (Kommunikation, externe Dienstleister).

In Deutschland herrscht diesbezüglich ein auffälliger Nachholbedarf - auch in Hinblick auf das gestiegene Bewusstsein in der Politik, das sich in der Gesetzgebung wieder findet und Rahmenbedingungen einer Notfallplanung in Unternehmen einfordert. Bislang haben laut einer Schätzung des Business Continuity Instituts nur zehn Prozent aller Großunternehmen ein Kontinuitätsmanagement errichtet. In mittelständischen Unternehmen besitzen sogar nur einzelne Betriebe ein Business Continuity Management System. ² Dabei soll es nur 23 % der Unternehmen, die von einem größeren Schaden betroffen waren, gelingen, langfristig ihre volle Leistungsfähigkeit wiederherzustellen. Mehr als drei Viertel dieser Unternehmen melden innerhalb von drei Jahren Insolvenz an oder werden übernommen. 3

² Vgl. Buck 13. 06. 2007 - Mittelständische Unternehmen sind kaum auf Krisen und Katastrophen vorbereitet

³ Vgl. Götz 2007 - Business-Continuity-Management in Banken, S. 70 - 71

10

2 Einführung

2.1 Definition Risiko

Unternehmerisches Handeln ist durch die Ungewissheit der zukünftigen Entwicklungen stets mit Risiken verbunden. Abhängig vom Umfang und Bereich der Risiken, dem ein Unternehmen ausgesetzt ist, kann ein solches Risiko den Ertrag verringern oder sogar existenzbedrohend sein.

„Unter dem unternehmerischen Risiko versteht man die Gefahr, dass aufgrund von nicht beachteten oder falsch eingeschätzten Störfaktoren das Ergebnis von den Erwartungen bzw. von den Zielen abweichen wird.“ 4

Eine Abweichung vom Erwartungswert kann sowohl negativ als auch positiv ausfallen. So bedeutet ein einzugehendes Risiko auch immer eine Chance, die genutzt werden kann.

Risiko kann mathematisch definiert werden als der Erwartungswert, der sich aus der Kombination der beiden Größen Wahrscheinlichkeit des Schaden verursachenden Ereignisses und des Schadenausmaßes ergibt:

5 „Risiko = Wahrscheinlichkeit x Ausmaß“

In Bezug auf die normative Entscheidungstheorie wird rationales Verhalten des Entscheiders zugrunde gelegt, wobei Entscheidungen abhängig vom Informationsstand und von der persönlichen Risikopräferenz getroffen werden (zwischen risikoavers und risikofreudig). Dadurch fallen Entscheidungen im konkreten Fall bei gleichem Informationsstand

⁴ Thommen, Achleitner 2006 - Allgemeine Betriebswirtschaftslehre S. 1013 ⁵ Romeike 2004 - Lexikon Risiko-Management, S. 102

11

unterschiedlich aus und werden zusätzlich durch externe

Rahmenbedingungen, wie z. B. durch Gesetze, beeinflusst. 6

Unter rationalem Handeln im ökonomischen Kontext in der modernen Portfoliotheorie von Markowitz wird verstanden, dass eine Transaktion nur dann durchgeführt wird, wenn sie bei gleichem Risiko die höchste zu erwartende Rendite in Aussicht stellt oder bei gleicher erwarteter Rendite das geringste Risiko verspricht und dementsprechend auf der Effizienzlinie liegt. 8

Im Rahmen der Entscheidungstheorie können Entscheidungen mit Hilfe von verschiedenen Entscheidungsregeln getroffen werden. Diese Regeln (Bayes-5HJHO GLHH —-Regel, das Bernoulli-Prinzip und das Laplace-Prinzip) können in Abhängigkeit von den Umweltzuständen und der Eintrittswahrscheinlichkeit genutzt werden (siehe Tabelle 1: Abgrenzung der Ungewissheitskategorien)

Risiken können in folgende klassische Risikokategorien aufgeteilt werden:

⁶ Vgl. Kuhn 2006 - Operationelle Risiken im Kontext der Gesamtbanksteuerung, S. 10

⁷ Vgl. Kuhn 2006 - Operationelle Risiken im Kontext der Gesamtbanksteuerung, S. 10

⁸ Vgl. Kaiser, Köhne 2004 - Operationelle Risiken in Finanzinstituten, S. 5

12

x Marktrisiken sind Risiken, die in den Märkten auftreten können, in denen das Unternehmen tätig ist. Hierbei sind Beschaffungsmärkte (wie zum Beispiel Rohstoffmarkt, Arbeitsmarkt, in dem Personal nachgefragt wird), Absatzmärkte und Finanzmärkte zu nennen. Es können auch Risiken hinzugezählt werden, die durch Entwicklungen in gesellschaftlichen, technologischen, ökologischen und politischen Bereichen entstehen. Aus aktuellem Anlass wäre hier die Situation am US-amerikanischen Immobilienmarkt zu nennen. Hier wurden Subprime Darlehen von Hypotheken an Kunden mit schlechter Bonität und keinem oder geringem Eigenkapital vergeben. Durch variable Zinssätze haben Banken versucht, das Risiko zu begrenzen, sodass dieser Anteil von 19 % in 2004 auf 57 % in 2005 gestiegen ist. ⁹ Dabei erhöhte das Federal Open Market Committee des Federal Reserve System die US-amerikanischen Leitzinsen von 1,00 % (26.06.2003) ¹⁰ auf 5,25 % (29. 06. 2006) ¹¹ , womit die Zinsraten für viele Hypothekenschuldner nicht mehr finanzierbar waren. Die Folge war häufige Versteigerung von Häusern, wodurch die Immobilienpreise immens sanken. Dies bedingte nun Abschreibungen in Höhe von 80 Milliarden US-Dollar bei Banken. 12

x Strategische Risiken sind Risiken, die sich auf die Strategien des Unternehmens beziehen. Als Beispiel sei die Einführung des Phaeton von Volkswagen zu nennen. Hier bestand das Risiko, dass sich das Management des Unternehmens für die

Marktentwicklungsstrategie aus den Produkt/Markt-Strategien nach Ansoff entschieden hat, um neue Käuferschichten zu erschließen. Mit dem Phaeton sollte 2002 bei der Automobilmarke VW im Geschäftsbereich Personenkraftfahrzeuge das Hochpreissegment angesprochen werden, doch der gewünschte Erfolg blieb aus.

⁹ Vgl. Gottschalck, Lange 16. 03. 2007 - Kredit-Karussell außer Kontrolle

¹⁰ Vgl. Pieper 27. 06. 2003 - Der Euro bleibt unter Druck, S. 30

¹¹ Vgl. Häring 03. 07. 2006 - Volkswirte warnen EZB vor Übereifer, S. 1

¹² Vgl. Jordan, Karp 08. 01. 2008 - Finanzkrise, S. 25

13

x Managementrisiken sind Risiken, die auf das Versagen des Managementsystems, das ein Unternehmen errichtet hat, zurückzuführen sind. Hierunter fallen sowohl Schwächen im Planungs- und Kontrollsystem als auch das Fehlverhalten der Unternehmensführung. Eine der bekanntesten Insolvenzen, die durch Fehlverhalten des Managements verursacht worden sind, ist der Konkurs von Enron. Im börsennotierten Energiekonzern wurden systematisch Scheingeschäfte durchgeführt, durch die ein überhöhter Konzerngewinn ausgewiesen worden ist. ¹³ Am 02. 12. 2001 beantragte das Unternehmen Insolvenz, worauf innerhalb von wenigen Tagen die Enron-Aktionäre 60 Milliarden US-Dollar verloren und 4.500 Mitarbeitern gekündigt wurde. Infolgedessen wurde der Sarbanes-Oxley Act vom US-Kongress verabschiedet und vom amerikanischen Präsidenten George W. Bush am 30. 07. 2002 in Kraft gesetzt, das verschiedene Aspekte der Corporate Governance, Compliance und der

Berichterstattungspflichten von Publikumsgesellschaften regelt. 14

x Finanzielle Risiken sind Risiken, die sich auf die Finanzziele des Unternehmens beziehen. Im Vordergrund geht es hier um die Rentabilität und Liquidität einer Unternehmung. Als Beispiel kann hier das Risiko von Wechselkursen genannt werden. Bei einem Kontrakt in einer Fremdwährung - abhängig von der Entwicklung des Wechselkurses - sinken oder steigen die Verbindlichkeiten gegenüber Dritten in der eigenen Währung.

x Operative Risiken sind Risiken, die aus der laufenden Geschäftstätigkeit in den unterschiedlichen Geschäftsbereichen resultieren.

¹³ Vgl. Ogger 30. 04. 2003 - Die Bilanzfälscher

¹⁴ Vgl. Bertschinger, Schaad 2002 - Der amerikanische Sarbanes-Oxley Act

Es handelt sich hierbei also um Systeme und Prozesse, die nicht effizient durchgeführt werden oder um das Fehlverhalten von Personen. Beispielhaft ist hier der Bankrott der Barings Bank im Jahre 1995 aufzuführen, der durch fehlerhafte Kontrollen der Aktivitäten des Händlers Nick Leeson verursacht wurde. Er war zuerst für die Abwicklung und Kontrolle des Handels in Singapur zuständig und wurde später Händler. Dadurch kontrollierte er seine Handelsgeschäfte, sodass interne Kontrollen versagten. 16

2.2 Definition Risikomanagement

Unter dem klassischen Risikomanagement werden sämtliche Aktivitäten, Prozesse, Strukturen und Instrumente verstanden, die der Bewältigung der dienen. ¹⁷ Der Prozess des Risiken eines Unternehmens

Risikomanagements ist in folgende Phasen aufgeteilt:

1. Risikoidentifikation und -analyse

2. Risikobewertung und -klassifizierung 3. Risikosteuerungsmaßnahmen 4. Risikoüberwachung und -reporting

Bei der Identifikation der Risiken wird eine Abgrenzung von Bereichen vorgenommen, in denen Risiken erscheinen können. In der

¹⁵ Basel Committee on Banking Supervision of the Bank for International Settlements -International Convergence of Capital Measurement and Capital Standards, S. 137

¹⁶ Vgl, Hechenblaikner 2006 - Operational Risk in Banken, S. 15 - 16

¹⁷ Vgl. Thommen, Achleitner 2006 - Allgemeine Betriebswirtschaftslehre, S. 1014