Artikel in der Dezember 2012 Ausgabe der kes

1. Management und Wissen Business-Continuity
BCM in der Supply Chain
Immer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio-
naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerke
gegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondern
auch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nicht
zuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutet
dies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zu
erweitern.
Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt
Was für die „Just-in-Time“-Produktion gilt, hat in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt:
mittlerweile auch Einzug in Dienstleistungen und IT- Unternehmensintern werden Services durch Shared-
Prozesse gehalten: die Abhängigkeit von einer Lieferkette Service-Center für den gesamten Konzern zentral erbracht
(Supply-Chain). Erdbeben, Vulkanausbrüche (und in der – zunächst vornehmlich für IT-Dienstleistungen haben
Folge Aschewolken), Überschwemmungen, Tornados und sie sich mittlerweile für viele administrative Funktionen
politische Unruhen sind nur einige Beispiele, die in den durchgesetzt (z. B. Personalverwaltung, Rechnungswesen
letzten Jahren für erhebliche Verzögerungen, Liefereng- etc.). Im Ergebnis entstehen – zum Teil hochkomplexe
pässe und -ausfälle gesorgt haben. – unternehmensinterne Lieferungs- und Leistungsbezie-
hungen, die in Form von Service-Level-Agreements (SLA)
73 der Teilnehmer der Supply-Chain-Resi-
% vereinbart werden.
lience-Studie 2012 des Business Continuity Institute
haben angegeben, in den vorausgegangenen 12 Monaten Zudem hat sich auch eine Auslagerung von Sup-
mindestens eine Störung in der Lieferkette gehabt zu ha- portprozessen im Rahmen des Outsourcings etabliert –
ben, die zu Unterbrechungen im Unternehmen geführt etwa beim IT-Betrieb, der Telekommunikation (VoIP) oder
hat [1] – 23 % der Befragten berichteten sogar über mehr sogar zentralen Wertschöpfungsprozessen wie Zahlungs-
als fünf Störungen im Betrachtungszeitraum. Als Haupt- verkehr, Wertpapierabwicklung, Schadensbearbeitung,
ursachen der Unterbrechungen wurden IT-Ausfälle (52 % Reklamationen an spezialisierte Dienstleister et cetera.
vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) und
Service-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz- Auch die Lieferkette zum Kunden entwickelt sich
dienstleistungsbereich wurden IT- und Telekommummu- immer stärker zum verzweigten Netzwerk von Servicepart-
nikations-Ausfälle (45 %), Verletzung der Datensicherheit nern – so sind etwa Prüfungs- und Beratungsleistungen
(13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet- für den B2B-Geschäftsabschluss häufig unabdingbar oder
terereignisse (11 %) als wesentliche Ursachen benannt. im Finanzwesen Intermediäre zwischengeschaltet, große
Kapitalmarkttransaktionen nur in Konsortien abbildbar.
Liefernetzwerke Der Wertschöpfungsprozess ist auf das reibungslose
Zusammenwirken aller dieser Rollen angewiesen! Und
Lieferketten gliedern sich in die vorgelagerte das schwächste Glied dieser Kette bestimmt letztlich die
Lieferkette, die konzern- und unternehmensinterne Robustheit (Resilience) des Ganzen.
Lieferkette sowie die dem Unternehmen nachgelagerte
Lieferkette zum Kunden – eine ganzheitliche Betrachtung Complianceanforderungen
umfasst zudem sowohl das mehrstufige Liefernetzwerk auf
Zuliefererseite als auch das mehrstufige Liefernetzwerk In bestimmten Branchen sind bereits gesetzliche
zum Kunden. Für das BCM ist die Funktionsfähigkeit die- oder regulatorische Anforderungen einschlägig. Beispiels-
ser gesamten Konstruktion essenziell – bricht auch nur ein weise ist für Finanzdienstleister – auch in ihrer besonderen
Glied in dieser Kette, kann dies zum Gesamtausfall führen. Bedeutung als Teil der kritischen Infrastruktur („Kritis“
– www.kritis.bund.de) – die Sicherstellung der Lieferkette
Auch im Dienstleistungsbereich hat sich aus öko- entsprechend geregelt: Das Kreditwesengesetz (§ 25a
nomischen Gründen die Zergliederung der Produktion KWG, vgl. [2]) erfasst im Rahmen der besonderen organi-
© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 17

2. Management und Wissen Business-Continuity
satorischen Pflichten von Instituten auch die ordnungs- Ein hilfreicher Standard für die Ausgestaltung der
gemäße Geschäftsorganisation bei „wesentlichen Ausla- Zusammenarbeit mit internen und externen Partnern ist
gerungen“ – Institute müssen für diese wesentlichen Aus- zudem der BS 11000 „Collaborative business relation-
lagerungen risikoorientiert „angemessene Vorkehrungen ships“ (www.bsigroup.de): Der weltweit erste Collabo-
treffen, um übermäßige zusätzliche Risiken zu vermeiden“ ration-Standard enthält ein gesamthaftes Framework zur
(siehe www.juris.de/purl/gesetze/KredWG_!_25a). Beschreibung der wesentlichen Funktionen, die in der in-
ternen und externen Zusammenarbeit mit Dienstleistern,
Das Risikomanagement eines auslagernden Fi- Lieferanten und Kunden zu beachten sind. Acht Kapitel
nanzinstituts muss die ausgelagerten Aktivitäten und beschreiben den gesamten Lebenszyklus der Zusammen-
Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla- arbeit (Awareness, Knowledge, Internal Assessment, Part-
gerung ist im Rahmen einer Risikoanalyse zu bestimmen. ner Selection, Working Together, Value Creation, Staying
Konkreter wird das in den „Mindestanforderungen an Together, Exit Strategy) – BCM und Exit-Strategien werden
das Risikomanagement für Banken“ (MaRisk BA [3]) im vor allem in den Vorgehensmodellen des Teil 2 „Guide to
„Allgemeinen Teil“ AT 9, für Investmentgesellschaften implementing“ behandelt.
und Versicherer erfolgt dies in spezifischen Regelungen
(InvMaRisk, MaRisk VA). BCM-Normen
Eine Auslagerung im Sinne der MaRisk liegt vor, BS 25999-1 und BS 25999-2 weisen noch einen
„wenn ein anderes Unternehmen mit der Wahrnehmung starken Innenbezug auf die Organisation auf: In allen
solcher Aktivitäten und Prozesse im Zusammenhang mit Phasen des BCM-Lebenszyklus sind Anforderungen an die
der Durchführung von Bankgeschäften, Finanzdienst- Einbeziehung der kritischen Dienstleister und Zulieferer
leistungen oder sonstiger institutstypischen Dienstleis- beschrieben, besonders hinsichtlich der Identifikation
tungen beauftragt wird, die ansonsten vom Institut selbst kritischer Dienstleister im Rahmen der BIA und des BCM-
erbracht würden“ – Auslagerungen im Sinne der MaRisk Audits der Dienstleister.
erfassen demzufolge nur einen Ausschnitt der Lieferkette
eines Finanzdienstleisters. Nicht berücksichtigt sind alle Die beiden British Standards werden durch den
Leistungen, die ein Institut nicht selbst erbringen würde, im Mai 2012 veröffentlichten ISO-Standard 22301
also etwa nicht-bankfachliche Dienstleistungen und Un- „Societal security – Business continuity management
terstützungsprozesse (z. B. Datenerfassung). systems – Requirements“ abgelöst. Er macht bereits durch
seinen Titel deutlich, dass hier dem Umfeld der Organi-
Sich bei der Notfallvorsorge für die gesamte Lie- sation eine wesentlich höhere Bedeutung zugemessen
ferkette (End to End) auf die wesentlichen Auslagerungen wird: ISO 22301 führt hierzu die Rolle der „Interested
bestimmter Compliance-Kriterien zu beschränken, greift Party“ ein, die alle Stakeholder des Unternehmens und
in der Regel zu kurz. Erst eine Business-Impact-Analyse die Lieferkette umfasst. Interested Parties finden in allen
(BIA) im Rahmen mit der expliziten Prüfung der Liefer- Phasen des BCM Berücksichtigung – und so schafft der
ketten verschafft eine solide Grundlage für das SCCM. Standard zumindest einen Anforderungskatalog für das
SCCM. Die konkrete Ausgestaltung des „wie“ bleibt
jedoch der noch zu veröffentlichenden ISO 22313
Standards und Good Practices „Business continuity management systems – Guidance“
vorbehalten.
Passende Normen für das SCCM findet man so-
wohl in Regelungen für das BCM als auch spezifischen Von deutscher Seite liefert das Bundesamt für
Werken für das Outsourcing (s. u., vgl. Tab. 1). Good Sicherheit in der Informationstechnik mit seinem BSI
Practices des BCM liefern auf europäischer Ebene in erster 100-4 einen Standard für das Notfallmanagement [6]. Für
Linie die „BCI Good Practice Guidelines 2010“ (bestellbar Behörden ist er verbindlich und bildet für deutsche Un-
über www.thebci.org) – dieses ansonsten sehr gute BCM- ternehmen generell eine gute Umsetzungsanleitung für
Hilfsmittel bildet externe Dienstleister zwar als Ressource das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenes
im BCM-Lebenszyklus ab, gibt aber leider keine spezi- Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigen
fischen Hilfestellungen für das SCCM. Punkten, die bei der Vertragsgestaltung zu beachten sind
sowie die Berücksichtigung des Outsourcing bei der Not-
Branchenspezifische Regelungen auf deutscher, fallkonzeption.
europäischer und internationaler Ebene ergänzen diese
Standards – hierzu gehören beispielsweise die europawei- SCCM-Erläuterungen
ten Regelungen zum Outsourcing für Finanzdienstleister,
namentlich die „EBA Guidelines on Internal Governance“ Ein umfassendes SCCM-Framework liefert das
[4] und die „CEBS Guidelines on Outsourcing“ [5]. „Public Document“ des British Standards Institute
18 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6

3. PD 25222:2011 „Business conti- Inhalte zum Supply Chain
Norm
nuity management – Guidance on Continuity Management
supply chain continuity“ (bestellbar BS 2599-1,
• BCM-Standard (zertifizierbar) • Betrachtung kritischer Dienstleister
als Ressource im BCM-Lifecycle
über http://shop.bsigroup.com). BS 25999-2 • British Standards BSi
Dieses erläuternde Dokument de-
• BCM-Standard (zertifizierbar) • Supply-Chain wird in der Rolle
finiert einleitend die wesentlichen ISO 22301 „Interested Party“ durchgehend
• ISO
SCCM-Begrifflichkeiten und stellt berücksichtigt
die Bedeutung des Continuity- • BCM-Standard • Outsourcing wird in einem eigenen
BSI-Standard (nicht zertifizierbar) Kapitel “Outsourcing und
Managements für die Sicherung der • Bundesamt für Sicherheit in Notfallmanagement” behandelt
100-4
Liefernetzwerke dar. Für die SCCM- der Informationstechnik BSI
Umsetzung gibt es einen konkreten BCI • Good Practices für BCM des • Betrachtung kritischer Dienstleister
Good Practice Business Continuity Institute als Ressource im BCM-Lifecycle
Handlungsrahmen vor, der sich am BCI
Guidelines 2010
BCM-Lifecycle des BS 25999 und der
• Collaborative business • Risiko- und Business-Continuity-
Good-Practice-Guidelines des BCI relationships Management im gesamten
BSI 11000
orientiert. So lässt sich SCCM sehr • BCM-Standard (zertifizierbar) Lebenszyklus des Partner-
• British Standards BSi Management
gut in ein bestehendes BCM-System Tabelle 1:
• Good Practice Supply Chain • Supply-Chain wird in der Rolle Relevante
einbinden. PD Continuity Mgt. „Interested Party“ durchgehend Normen und
25222:2011 (nicht zertifizierbar) berücksichtigt Standards zum
• British Standards BSi
Das Konzept sieht die fol- SCCM
genden Schritte in der Umsetzung
vor:
Management-Buy-in, CM-Policy. SCCM entsteht nicht auf Identifikation der kritischen Dienst-
Analyse der Supply-Chain der „grünen Wiese“, daher ist die De- leister in der Wertschöpfungskette ist
(Festlegung des Scopes, finition der Schnittstellen zu angren- die BCM-Business-Impact-Analyse
Verständnis der Supply- zenden Bereichen elementar: Hierzu (BIA) eine wesentliche Informa-
Chain, Identifikation der gehören beispielhaft Einkaufsab- tionsquelle, da in ihrem Rahmen
kritischen Dienstleister), teilungen, Vertriebsorganisation, die kritischen Zusammenhänge
Festlegung von Strategien, Recht und Risikomanagement. Die der Wertschöpfungskette erhoben
Weiterentwicklung und Anbindung an die Unternehmens- werden. Neben der Analyse der
laufender Betrieb sowie die strategie und das Commitment des Abhängigkeiten der Prozesse von
Entwicklung einer lang-fris- Managements ist über eine SCCM- Dienstleistern ermittelt die BIA auch
tigen Resilience-Strategie. Policy sicherzustellen. Die zentralen die maximal zu akzeptierenden
Prozesse des SCCM bestehen aus den Ausfallzeiten für die Ressourcen
„technischen Disziplinen“ Analyse (Recovery-Time-Objective, RTO).
Framework fürs SCCM der Supply-Chain, Supply-Chain- Die BIA kann für das SCCM daher
Strategie, Implementierung sowie die Zeitkritikalität für die Prozesse
Nachfolgend wird basierend „Tests, laufende Aktualisierung und bezogen auf die Dienstleister liefern
auf dem BCM-Lifecycle ein metho- Monitoring“ (vgl. Abb. 1). Zudem (vgl. Abb. 2).
disches Vorgehen zur SCCM-Imple- sind die Einbindung in die Unterneh-
mentierung skizziert (vgl. Abb. 1). menskultur und Awareness-Bildung Neben der BIA sind jedoch
Die Orientierung am BCM erleichtert für das SCCM als dauerhafter Prozess auch weitere Kriterien heranzuzie-
die Integration in ein bestehendes vorzusehen – letztlich bedeutet dies, hen – die „Supply Chain Resilience
Business-Continuity-Management- dass alle relevanten Rollen die Be-
System und ermöglicht die einfache deutung des SCCM kennen und in
Abbildung 1:
Transformation in den PDCA-Zyklus ihren Entscheidungsprozessen mit
SCCM-Lifecycle
der Zertifizierungs-Standards. berücksichtigen. auf Basis des
BCM-Zyklus
SCCM-Programm-Manage- Analyse der Supply-Chain
ment und Awareness
Diese Phase ist der wesent-
Gegenstand des SCCM-Pro- liche Ausgangspunkt zur Umsetzung
gramm-Managements sind die Im- eines SCCM; ihre Ziele sind die
plementierung einer Organisation, Identifikation kritischer Dienstleister
von Prozessen für das SCCM sowie sowie die Analyse der Risiken für
einer angemessenen Governance- die Supply-Chain im Rahmen eines
Struktur – dokumentiert in einer SC- laufenden Risk-Assessments. Bei der
© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 19

4. Management und Wissen Business-Continuity
Risikokategorien Ausprägungen dienstleistungsbereich waren bei-
spielsweise ungeplante IT-Ausfälle,
Rechtsrisiken • Betriebsschließungen
• Einstweilige Verfügungen Datenverlust und Dienstleisteraus-
Politische Risiken • Politische Instabilität / Unruhen fälle die Top-3-Risiken, während
• Grenzschließungen sich in der Produktion vor allem
• Zölle und Tarife Wechselkurse, Energie und Wetter als
• Aus- und Einfuhrbestimmungen
• Gesetzesänderungen Ursachen gezeigt haben.
Betriebswirtschaftliche • Insolvenz des Lieferanten
Risiken • Übernahmen / Zusammenschlüsse Zur Mahnung: 61 % der
• Änderungen im Produktionsprogramm Unterbrechungen in der Lieferkette
• Lieferunterbrechung in der davorliegenden
Lieferkette (Tier Two) wurden der Studie zufolge durch ei-
Technische Risiken • Technische Störungen / Ausfälle nen Tier-1-Dienstleister verursacht,
• IT-Ausfälle 32 % durch Tier-2-Dienstleister und
• Mitarbeiterausfälle 7 % auf der dritten Ebene der Dienst-
• Qualitätsprobleme / Produktrückruf
• Kontamination
leisterbeziehungen. Es reicht also
Umweltrisiken • Naturkatastrophen
nicht aus, nur die direkt beauftragten
• Klima / Wetter Dienstleister in seine Risikobetrach-
• Pandemien / Epidemien tung einzubeziehen.
• Unterbrechung von Transport / Verkehr
Tabelle 2:
Soziale Risiken • Streik
Risiken der
Supply-Chain
• Sabotage
• Kriminelle Handlungen, Terrorismus, Piraterie SSCM-Strategien
Für Risikostrategien im SSCM
Survey 2011“ des BCI hat hier die Maturity of the Industry bestehen die folgenden Optionen:
folgenden Punkte identifiziert: (21 %).
Reputational Impact (57 %), Akzeptieren der Risiken
Financial Impact of Im Rahmen eines Risk- (z. B. bei geringen Risiken),
Non-Supply over a Period Assessments sind überdies die Vermindern der Risiken
of Time (54 %), wesentlichen Risiken auf die Wert- durch Maßnahmen,
Regulatory Impact (50 %), schöpfungskette zu analysieren und, Übertragen der Risiken
Availability of other sofern erforderlich, zu mitigieren (auf Versicherungen oder
Suppliers (50 %), (vgl. Tab. 2). Ungeplante ITK-Aus- Dienstleister) sowie
Spend (49 %), fälle (52 und Wetterereignisse
%) Vermeidung der Risiken
Location of Supplier (43 %), (48 %) waren nach Erkenntnissen der (z. B. durch Verzicht auf
Key People / Knowledge Teil-nehmer der „BCI Supply Chain Produkte oder Dienst-
involved (41 %), Resilience Studie 2012“ die Haupt- leistungen).
Bespoke Nature of Product / ursachen für Unterbrechungen in
Service supplied (37 %), der Lieferkette. Mit großem Abstand Anforderungen des SCCM müssen
Speed of change to folgten Serviceausfälle von Dienst- bereits sehr früh bei der Vertrags-
alternative Supplier (35 %), leistern (32 %). Branchenspezifisch gestaltung mit Dienstleistern be-
Interdependencies with zeigt die Studie jedoch ein anderes rücksichtigt werden. Hierzu zählen
other Suppliers (28 %), Bild für die Ursachen: Im Finanz- Anforderungen an die Ausgestaltung
des BCM des Dienstleisters, eine Ab-
stimmung von Notfall- und Krisen-
Abbildung 2:
Dependenzenana- managementkonzepten, Prüf- und
lyse im Rahmen der Einsichtrechte für das BCM sowie
Business-Impact-
Analyse des BCM gewünschte Zertifizierungen. Zudem
(das Recovery- sind Berichts- und Meldewesen für
Time-Object – ROT
die laufende Dienstleisterbeziehung,
– bezeichnet die
maximal tolerier- aber auch für Notfälle und Krisen
bare Ausfallzeit) beim Dienstleister und Auftraggeber
festzulegen – hierzu zählt nicht zu-
letzt die Definition von Eskalations-
stufen (z. B. Störung, Notfall, Krise),
da diese nicht einheitlich verwendet
werden (vgl. Kap. 10 in [6]).
20 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6

5. Implementierung Alarmierung und • Abstimmung von Begrifflichkeiten:
Eskalation Definition von „Störung“, „Problem“, „Ausfall“,
Grundlage für den Übergang „Notfall“, „Krise“, „K-Fall“
• Dokumentation der Ansprechpartner und
eines SCCM in den laufenden Betrieb Kommunikationsdaten
sind die in der SCCM-Policy geregel- • Festlegung der Meldewege
ten Vorgaben für Organisation und • De-Eskalation
Prozesse. Zum laufenden Betrieb ge- Krisenmanagement • Abstimmung der Krisenstabsorganisationen
• Festlegung gegenseitiger Teilnahme oder
hört die Umsetzung der festgelegten Informationsaustausch
SCCM-Strategien für die Dienstleister, Notfallkonzepte • Beidseitige Abstimmung der Notfallkonzepte
das laufende SCCM-Berichtswesen (Handlungsoptionen und -verfahren)
sowie regelmäßige Überprüfungen/ Geschäftsfortführungs- • Abstimmung von Notfallplänen
Audits bei den Dienstleistern (vgl. und Wiederanlaufpläne
Tabelle 3:
Tab. 3). Die beispielsweise im Finanz- Test- und Übungspläne • Abstimmung der Test- und Übungspläne Abstimmung des
(inhaltlich und zeitlich) SSCM mit Dienst-
dienstleistungsbereich regulatorisch
• Abstimmung von Begrifflichkeiten leistern
vorgeschriebene Abstimmung der
Notfallkonzepte gehört ebenso dazu
wie Einrichtung, Pflege und Tests von Regel keine konkreten Hinweise auf
Alarmierungs- und Kommunikati- die spezifischen Auswirkungen von Literatur
onswegen bei Störungen, Notfällen Ausfällen auf die eigene Dienstleis-
und Krisen. Eine Abstimmung der tungsbeziehung geben. [1] Business Continuity Institute
Notfallkonzepte muss gegebenenfalls (BCI), Supply Chain Resilience
auf mehreren Ebenen erfolgen – ihr Fazit 2012, www.thebci.org/index.
Umfang hängt von der Kritikalität des php?option=com_content&view=ar
Dienstleisters ab. Supply-Chain-Continuity- ticle&id=341&Itemid=201
Management (SCCM) ist eine junge
Test, Aktualisierung, Disziplin, die angesichts des zuneh- [2]
Sonja Mohr, Outsourcing nach
Monitoring menden Outsourcings in allen Bran- Bankenart, § 25a KWG als Grund-
chen eine wachsende Bedeutung lage für sichere IT-Dienstleistungen,
Die Funktionsfähigkeit der gewinnt. Viele Ereignisse der letzten <kes> 2005#6, S. 85
SCCM-Konzepte lässt sich letzt- Jahre (z. B. Fukushima, Thailand-
lich erst durch Tests und Übungen Überschwemmungen, Aschewol- [3] Bundesanstalt für Finanzdienst-
überprüfen und nachweisen – diese ken) haben die Notwendigkeit der leistungsaufsicht (BaFin), Mindestan-
sollten sowohl Notfälle beim Dienst- Weiterentwicklung dieses Themas forderungen an das Risikomanage-
leister, Notfälle beim Auftraggeber als für alle Branchen aufgezeigt. Teils ment (MaRisk BA), www.bafin.de/
auch Katastrophen mit gemeinsamer erfordern bereits gesetzliche und SharedDocs/Veroeffentlichungen/
Betroffenheit umfassen. Alarmie- regulatorische Normen seine Orga- DE/Rundschreiben/rs_1011_ba_ma-
rungs- und Eskalationsverfahren nisation und entsprechende Prozesse risk.html
sowie die hierfür eingesetzten Tools – auch bei externen Audits gerät
sollte man regelmäßig testen und SCCM zunehmend in den Fokus [4]
European Banking Authority
auf Aktualität der Kontaktdaten hin der Prüfungen. Standards und Good (EBA), Guidelines on Internal Gover-
prüfen. Regelmäßige „Jour Fixes“ Practices für seine konkrete Umset- nance (GL 44), www.eba.europa.eu/
mit den kritischen Dienstleistern zung liegen jedoch erst rudimentär Publications/Guidelines.aspx
fördern zudem die Zusammenarbeit vor und müssen aus der Praxis heraus
und das gemeinschaftliche Denken fortentwickelt werden. ■ [5] Committee of European Banking
und Handeln. Supervisors (CEBS), Guidelines on
Outsourcing, www.eba.europa.eu/
Audits von Wirtschafts- Matthias Hämmerle übernimmt bei der getdoc/f99a6113-02ea-4028-8737-
prüfungsgesellschaften und Bera- Automation Consulting Group (ACG) 1cdb33624840/GL02Outsourcing-
tungsunternehmen oder auch Zer- GmbH in Frankfurt ab Januar 2013 Guidelines-pdf.aspx
tifizierungen nach internationalen die Leitung des neu gegründeten „Com-
Standards geben darüber hinaus petence Center Business Continuity [6] Bundesamt für Sicherheit in der
Hinweise auf den Reifegrad des Management“. Dr. Klaus-Rainer Müller, Informationstechnik (BSI), BSI-Stan-
BCM-Systems von Dienstleistern. der bisher auch für BCM verantwortlich dard 100-4: Notfallmanagement,
Sie ersetzen jedoch nicht die bila- war, spezialisiert sich künftig auf die www.bsi.bund.de/ContentBSI/Pu-
terale Zusammenarbeit, da solche Themen IT-Sicherheit, Sourcing und blikationen/BSI_Standard/it_grund-
Audits und Zertifizierungen in der Provider-Management. schutzstandards.html
© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012 # 6 21