Business Continuity Management Notfallvorsorge und Krisenmanagement Präsentation für Focus Event 2013 Meet & Explore @ Frankfurt School 24. Juni 2013 Matthias Hämmerle ACG Automation Consulting Group GmbH Lyoner Straße 11a 60528 Frankfurt am Main Telefon 069 665 65-0 Fax 069 665 65-222 www.acg-gmbh.de
Vorstellung Matthias Hämmerle MBCI Jahrgang 1963 Diplom Ökonom (Uni Stuttgart Hohenheim) Member des Business Continuity Institute (MBCI) Gründer und Herausgeber der bcm-news (www.bcm-news.de) Dozent und Trainer für BCM und ITSCM Veröffentlichungen zu Risikomanagement, BCM und ITSCM Leitende Funktionen in der Organisation, IT und BCM / ITSCM bei Finanzdienstleistungsunternehmen (Helaba, Deutsche Leasing AG, Santander Direkt Bank) Unternehmensberater in leitenden Funktionen (u.a. KPMG, zeb/it) Seit Januar 2013 Leiter Competence Center Business Continuity Management bei der ACG Consulting Group GmbH ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 2
Agenda Was wir Ihnen präsentieren wollen Case Study BCM Normen, Standards und Good Practices BCM Lifecycle Kurzvorstellung ACG ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 3
Warum Business Continuity Management? Es ist wahrscheinlich, dass etwas Unwahrscheinliches passiert." Aristoteles ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 4
Fallstudie BCM Dornbracht der mittelständische Weltmarktführer 250 200 150 Der Umsatz wurde in 12 Jahren verfünffacht (Mio. ) Der Familienbetrieb ist Weltmarktführer Gegründet 1950 in Iserlohn 600 Mitarbeiter aktuell Familienbetrieb in 3. Generation Weltmarktführer für Premium-Armaturen für Bad und Küche 2008 30 Prozent Marktanteil Großkunden weltweit und Großprojekte (Hotels) 100 50 0 1996 2008 Bildquelle: Dornbracht ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 5
Fallstudie BCM Am 22. Juli 2009 das Unwahrscheinliche ein In der benachbarten Chemiefabrik WEKA in Iserlohn bricht in der Nacht ein Feuer aus Mehr als 200 Feuerwehrleute kämpfen über neun Stunden gegen die Flammen Ein Mitarbeiter von WEKA verliert in dem Brand sein Leben Das gesammte WEKA-Gelände wird ein Raub der Flammen Drei Lösemitteltanks explodieren, die Flammen schlagen mehr als hundert Meter in die Höhe, es herrschen Temperaturen von über 1.000 Grad Celsius Durch die Explosionen greift das Feuer auf das benachbarte Wohnhaus und die direkt angrenzende Armaturenfabrik Dornbracht über Rund ein Viertel des Werks von Dornbracht wird durch das Feuer zerstört ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 6
Fallstudie BCM Das Herzstück der Produktion- über Nacht zerstört Das Herzstück der Produktion die Galvanik wird bei dem Feuer zerstört Das Herzstück der Produktion und die Kernkompetenz die Galvanik wurde bei dem Brand zerstört Es kommt hierdurch zur Beeinträchtigung der Produktion und der Lieferfähigkeit Ersatzteilversorgung und Kundendienst arbeiten im Notbetrieb Die Kommunikationseinrichtungen wurden durch die Löscharbeiten beschädigt und das Unternehmen ist nur noch eingeschränkt für die Kunden erreichbar Quelle: Internetauftritt Dornbracht ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 7
Fallstudie BCM Ein Unglück kommt selten alleine Die Versicherung verweigert die Zahlungen, es kommt zum Gerichtsverfahren Bei dem Brand ist ein Schaden in Höhe von 125 Millionen Euro entstanden (fast der Jahresumsatz!) Der Brandfall war in einem Konsortium mit mehreren Versicherungen abgesichert Chartis weigerte sich den Anteil von 25 Prozent zu zahlen: Die Nachbarschaft des Chemieunternehmens sei nicht angegeben gewesen Es sei Styropor verbaut gewesen Es kommt zum Gerichtsverfahren über zwei Instanzen Das OLG Hamm spricht 2010 Dornbracht die Ansprüche an die Versicherung zu Quelle: Pressemitteilung RA Luther ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 8
Fallstudie BCM Die Folgen des Notfalls für Dornbracht sind nachhaltig Das Unglück hat einen nachhaltigen Einfluß auf die geschäftliche Entwicklung von Dornbracht 250 200 150 100 50 0 Umsatzentwicklung (Mio. Euro) 1996 2008 2009 2010 2011 2012 Die Kernmitarbeiter konnten gehalten werden, aber 70 Leiharbeitnehmer verloren ihre Stelle Der Weltmarktanteil reduzierte sich von 30 auf 25 Prozent Großkunden verloren Vertrauen in die Lieferfähigkeit Die schlechte Konjunktur hat den Wiederaufbau zusätzlich erschwert Die Entwicklung neuer Märkte ist durch den Wiederaufbau liegengeblieben 13 Monate nach dem Großbrand musste WEKA Insolvenz anmelden Der Versicherer Allianz leistete keine Zahlung an WEKA wegen der Ergebnisse einer Prüfung auf Obliegenheitsverletzungen ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 9
BCM Risiken IT-Ausfall RZ-Ausfall nach Unwetter ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 10
BCM Risiken IT-Ausfall IT-Ausfall bei der RBS / Ulster Bank im Juni 2012 ACG 2013 M. Hämmerle BCM in der Supply Chain 12.06.2013 11
BCM Risiken Stromausfall Hurrikan Sandy, New York Oktober 2012 Quelle: New York magazine ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 12
BCM Risiken Personalausfall Epidemien, Pandemien ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 13
BCM Risiken Personalausfall Lieferkette Supply Chain ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 14
BCM Risiken Business Continuity Management wozu? menschliches Versagen kriminelle Handlungen Lieferanten- Ausfall Produktion, Anlagen Supply Chain Stromausfall Unterbrechung Transportwege Gebäude, Arbeitsplätze Logistik, Epidemie Pandemie IT-Störung IT, Daten, Dokumente Natur- Ereignisse Mitarbeiter ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 15
Agenda Was wir Ihnen präsentieren wollen Case Study BCM Normen, Standards und Good Practices BCM Lifecycle Kurzvorstellung ACG ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 16
BCM-Standards Gesetze, Standards, Good Practices für BCM Gesetzliche und regulatorische Anforderungen Internationale und nationale Standards Good Practices ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 17
Gesetzliche und regulative Anforderungen Für das BCM relevante Normen AktG 91, 93, 116 Aktiengesetz Norm Inhalte zum Business Continuity Management (Auszüge) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden ( 91) Sorgfaltspflicht der Vorstandsmitglieder ( 93) Sorgfaltspflicht der Aufsichtsratsmitglieder ( 116) GmbHG 43 GmbH Gesetz Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden MaRisk BA AT 7.3 Mindestanforderungen an das Risikomanagement Rundschreiben des BaFin Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept) Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen. ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 18
BCM-Standards BSI 100-4 Notfallmanagement BSI 100-4 Herausgeber Bundesamt für Sicherheit in der Informationstechnik Deutsch Veröffentlichung: 2008 Bezug kostenfrei über die Homepage des BSI www.bsi.bund.de Inhalte Initiierung des Notfallmanagements (Organisation, Rollen) Notfallmanagement-Prozess Konzeption einer Business Impact Analyse Tests und Übungen Krisenmanagement Gliederungsbeispiele für Notfallhandbuch und Geschäftsfortführungsplan Zertifizierung Keine Zertifizierung nach BSI 100-4 möglich ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 19
BCM-Standards ISO 22301 BCMS Requirements ISO/IEC 22301 Herausgeber International Organization for Standardization ISO Englisch Technical Committee ISO/TC 223 Veröffentlichung: 15. Mai 2012 Inhalte Teil einer ISO-Familie zu Societal Security Anforderungen an ein BCMS Leadership, Planning, Support, Operation, Performance evaluation, Improvement Zertifizierung Zertifizierung nach ISO 22301 möglich ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 20
Normen, Standards und Good Practices bci Good Practice Guidelines 2013 bci Good Practice Guidelines 2013 Herausgeber Business Continuity Institute bci (UK) Englisch (GPG 2013), Deutsch (GPG 2008) Bezug über die Homepage des bci, Preis: 23 Euro, www.thebci.org Inhalte 6 Phasen des BCM Lebenszyklus: Management Practices Policy & Programm Management Einbettung in die Unternehmenskultur Technical Practices Analyse Design Implementierung Validierung ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 21
Agenda Was wir Ihnen präsentieren wollen Case Study BCM Normen, Standards und Good Practices BCM Lifecycle Kurzvorstellung ACG ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 22
BCM-Lifecycle Der BCM Lifecycle nach BCI Good Practice Der BCM Lebenszyklus Überschrift Management Practices Text Policy und Programm Management Einbindung des BCM im Unternehmen (Awareness) Technische Practices Analyse Business Impact Analyse Risiko Assessment Design Überschrift Notfallkonzepte und -strategien Text Störungs- und Krisenmanagement Implementierung Notfallplanung Validierung Tests und Übungen Audit ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 23
BCM-Lifecycle Prozessbasierte Business Impact Analyse Kritische Termine Vorgänger- Prozess Kritikalität Prozess Kritikalität Nachfolge- Prozess Dienstleister Kritikalität Kritikalität Kritikalität Kritikalität Kritikalität Dokumente Mitarbeiter Gebäude IT- Anwendung Standort Kritikalität Kritikalität IT-System ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 24
BCM-Szenarien BCM-Lifecycle Risk Assessment Wirkungen / Ursachen Ausfall Personal (Ausfall vieler Mitarbeiter und/oder Schlüsselpersonal) Dauer 0,5 Tage 1-2 Tage 3-5 Tage > 1 Woche Streik; Krankheit (Bsp. Norovirus, Lebensmittelvergiftung); Verkehrsbehinderungen Epidemie; Pandemie; Streik Epidemie; Pandemie; Streik Epidemie; Pandemie Ausfall Gebäude / Arbeitsplätze (Gebäudeteile oder das gesamte Gebäude können oder dürfen nicht genutzt werden) Gebäudeevakuierung wegen Bombendrohung, Bombenfund; Ausfall Gebäudetechnik (Strom, Wasser, Klima, Toiletten etc.); Beschädigung oder Zerstörung des Gebäudes (Bsp. Brand, Wasserschaden, Ausfall Gebäudetechnik) Beschädigung oder Zerstörung des Gebäudes (Bsp. Brand, Wasserschaden, Ausfall Gebäudetechnik); Kontamination (Bsp. Asbest); Großschadensereignis (Flugzeugabsturz, Explosion etc.) Beschädigung oder Zerstörung des Gebäudes (Bsp. Brand, Wasserschaden, Ausfall Gebäudetechnik); Kontamination (Bsp. Asbest); Großschadensereignis (Flugzeugabsturz, Explosion etc.) Beschädigung oder Zerstörung des Gebäudes (Bsp. Brand, Wasserschaden, Ausfall Gebäudetechnik); Kontamination (Bsp. Asbest); Großschadensereignis (Flugzeugabsturz, Explosion etc.) Ausfall IT- und Telekommunikations- Services (Nicht-Verfügbarkeit kritischer ITK- Services) Ausfall von Hardware; Softwarefehler; Verlust oder Inkonsistenzen der Daten; Störung oder Ausfall IT- Dienstleister; Virenattacke, -befall Ausfall von Hardware; Softwarefehler; Verlust oder Inkonsistenzen der Daten; Störung oder Ausfall IT- Dienstleister Beschädigung oder Zerstörung wesentlicher IT- Komponenten und / oder Datenbestände (Techn. Defekt, Brand, Softwarefehler, Fehlbedienung); Ausfall IT-Dienstleister Beschädigung oder Zerstörung wesentlicher IT-Komponenten und / oder Datenbestände (Techn. Defekt, Brand, Softwarefehler, Fehlbedienung); Ausfall IT-Dienstleister Ausfall externer Dienstleister (Nicht-Verfügbarkeit kritischer Services von Dienstleistern) Notfall/Krise beim Dienstleister Notfall/Krise beim Dienstleister Notfall/Krise beim Dienstleister Notfall/Krise beim Dienstleister; Insolvenz des Dienstleisters ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 25
BCM-Lifecycle BCM-Strategien Beispiel Gebäude / Arbeitsplatz Ausfall Gebäude / Arbeitsplätze Verlagerung Arbeitsplatz Verlagerung Prozess Reduzieren Aussetzen Prozess 1 (50 AP, RTO=1) Ausweich-AP dediziert Home Office Arbeitsplätze Notbetrieb (20) Maximal 1 Tag (RTO =1) Prozess 2 (20 AP, RTO=5) Ausweich-AP shared Remote Arbeitsplätze Notbetrieb (15) Maximal 5 Tage (RTO =5) Prozess 3 (60 AP, RTO=2) Anderer Standort Arbeitsplätze Notbetrieb (20) Maximal 2 Tage (RTO =2) Prozess 4 (20 AP, RTO=5) Outsourcing Arbeitsplätze Notbetrieb (10) Maximal 5 Tage (RTO =5) ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 26
BCM Lifecycle Notfall- und Krisenmanagement Notfallund Krisenmanagement Präventives Krisen- und Notfallmanagement Business Continuity Management Krisenmanagement-Organisation Krisenkommunikations-Konzept Krisenhandbuch Care-Konzept Tests und Übungen Krisen- und Notfallbewältigung Alarmierung und Eskalation Lagebeurteilung und Entscheidung Geschäftsfortführungsplanung Krisenkommunikation Care-Giving Dokumentation Krisenfrüherkennung durch Krisenfrühwarnsysteme ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 27
BCM Lifecycle Eskalations- und Entscheidungsprozesse ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 28
BCM Lifecycle Tests und Übungen Übung macht den Meister ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 29
BCM Lifecycle Tests und Übungen Test- und Übungsart Beschreibung Beispiele Gebäuderäumungsübung Alarmierungs- und Kommunikationsübung Krisenstabsübung Test der Ausweicharbeitsplätze Test techn. und org. Vorsorgemaßnahmen Gebäudeevakuierungsübung Bezug der Sammelplätze Test des Alarmierungsverfahrens und -systeme Erreichbarkeit der Teilnehmer Überprüfung der Kommunikationsverfahren und -systeme Funktionsfähigkeit Krisenstab Funktionsfähigkeit Lagezentrum Überprüfung der Zuordnung der Ausweicharbeitsplätze Funktionsfähigkeit der Ausweicharbeitsplätze Verfügbarkeit der technischen und organisatorischen Infrastruktur an den Ausweicharbeitsplätze Überprüfung der Funktionsfähigkeit technischer und organisatorischer Notfallvorsorgemaßnahmen (Bsp. :Umschaltungen, Notstrom etc.) Angekündigte oder unangekündigte Räumung eines Gebäudes oder von Gebäudeteilen Überprüfung der Kontaktdaten Testanrufe Durchspielen einer Lage GFP-Überprüfung Begehung Test einzelner Vorsorgemaßnahmen und workarounds aus den GFP Plan-Review Table Top Test des GFP Durchgehen des GFP Szenarioübung Überprüfung des Notfallkonzepts auf Basis eines Szenarios (Bsp. Stromausfall, Gebäudeausfall, IT-Ausfall) Durchspielen eines Szenarios mit Einspielungen und Beobachtern Ernstfallübung Simulation unter Einbezug von Externen (Dienstleister, Feuerwehr, Behörden etc.) Szenarioübung mit Dienstleistern, Feuerwehr etc. ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 30
Reifegrad, Nutzen BCM Lifecycle Wirksamkeit durch Laufende Weiterentwicklung Nutzen: Wirksamkeit, Resilienz Zeit ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 31
Agenda Was wir Ihnen präsentieren wollen Case Study BCM Normen, Standards und Good Practices BCM Lifecycle Kurzvorstellung ACG ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 32
Wer sind wir? ACG Automation Consulting Group GmbH Gründung: 1985 in Frankfurt am Main Handelsregister: HRB 26209 Stammkapital: 520.000 Euro Unternehmensverbindung: keine - unabhängig Geschäftsführer: Gerhard Neidhöfer, Carsten Tusch Beschäftigte: 75 Anzahl Kunden: über 150 Anzahl Projekte: über 1.500 1986 1990 1995 2000 03 04 06 12 1985 Gründung ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 33
Wer sind wir? ACG BCM-Servicebausteine im Überblick ACG BCM-Tool Trainings BCM Krisenmgt. BCM Implementierung BCM- Statuscheck Test und Übungen Fachliche Unterstützung Notfall und Krisenmanagement ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 34
Leistungsportfolio BCM ACG-Leistungen für Ihre Anforderungen Ihre Anforderungen Sie wollen wissen, wo Sie mit dem BCM stehen? Sie wollen Ihr BCM neu aufstellen? Sie benötigen Verstärkung oder Fachexpertise? Sie wollen Ihr Notfall- u. Krisenmanagement optimieren? Sie benötigen ein BCM- Tool? ACG BCM-Statuscheck ACG BCM-Implementierung ACG BCM-Fachexpertise BCM-Trainings ACG Notfall- und Krisenmanagement ACG BCM-Tool Kompetente und renommierte Berater, Referenzen, Branchenexpertise ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 35
Wer sind unsere Kunden? Ein Auszug aus der Kundenliste Allianz Dresdner Bauspar Alte Leipziger AOK BASF Bayerische Landesbank BHF-Bank BHW BKK-Landesverband B+S Card Service Citibank Commerzbank COR&FJA DAK DePfa Bank Deutsche Bundesbank Deutsche Telekom DekaBank Dresdner Bank DVB Bank dwpbank DZ Bank DZ Privatbank EDEKA Südwest Fiducia IT Finanz Informatik Fresenius First Data International GKV-Spitzenverband Helaba HUK-COBURG IBM ITSG KfW Bankengruppe KKH Landesbank BW Landesbank Rheinland-Pfalz Lufthansa MDKen Postbank Systems PROVINZIAL Nord R+V Versicherungen RWE Systems Siemens SIZ Sparda Verband SV Informatik T-Systems Thomas Cook Union Investment VW Bank Westdeutsche Landesbank Westfälische Provinzial ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 36
Was bieten wir? Branchenkompetenz Banken, Sparkassen Versicherungen Gesundheitswirtschaft Öffentliche und private Banken Landesbanken Sparkassen Banken im Geno-Verbund IT-Dienstleister Spezialinstitute Öffentliche u. private Versicherungen Versicherungen der Sparkassen- Finanzgruppe Versicherungen im Geno-Verbund IT-Dienstleister Spezialinstitute Gesetzliche Kranken- und Pflegeversicherungen Medizinischer Dienst der GKV IT-Dienstleister der GKV Kernbanksteuerung Kredit Wertpapier Zahlungsverkehr Basel II/III, IAS, IFRS Meldewesen Integrationen, Migrationen Projektmanagement Bestandsführungssysteme Inkasso/Exkasso Betriebliche Altersvorsorge Solvency II Vertriebssysteme Integrationen, Migrationen Projektmanagement Zusatzbeitrag Versorgungsmanagement Fusionssynergien Controlling Nutzwert-/Kostenanalyse Integrationen, Migrationen Projektmanagement ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 37
Leistungsportfolio BCM Ihr Ansprechpartner für BCM Matthias Hämmerle MBCI Leiter Competence Center Business Continuity Management Lyoner Straße 11a 60528 Frankfurt am Main mhaemmerle@acg-gmbh.de www.acg-gmbh.de Telefon 069 66565-160 Telefax 069 66565-360 Matthias Hämmerle leitet seit Januar 2013 das Competence Center BCM der ACG Consulting Group GmbH. Er beschäftigt sich seit Jahren intensiv mit diesem Themengebiet und hat bereits zahlreiche Unternehmen bei der Implementierung und Optimierung des BCM sowie bei der Bewältigung von Notfällen und Krisen unterstützt. 2007 wurde Matthias Hämmerle vom Business Continuity Institute BCI auf Grund seiner Erfahrung der Member- Status zuerkannt. Er ist Gründer und Herausgeber der BCM-News (www.bcm-news.de), dem führenden deutschsprachigen Informationsportal für BCM, ist als Dozent an Hochschulen tätig und veröffentlicht regelmäßig in Fachpublikationen. ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 38
Damit Sie Zeit für das Wesentliche haben ACG Automation Consulting Group GmbH Lyoner Straße 11a 60528 Frankfurt am Main Telefon +49 69 665 65-0 www.acg-gmbh.de Matthias Hämmerle Telefon +49 69 665 65-0160 mhaemmerle@acg-gmbh.de ACG 2013 M. Hämmerle Business Continuity Management 24.06.2013 39