BCM Mindeststandards für Versicherungsunternehmen in der Schweiz Checkliste für die Umsetzung und Kontrolle (Revision)

Ähnliche Dokumente
Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen

Business Continuity Management (BCM) für Versicherungsunternehmen. Schweiz Mindeststandards und Empfehlungen

Reglement Prüfungsausschuss. Bernerland Bank AG. Gültig ab 20. Juli 2015

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

Geschäftsordnung der unabhängigen Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten

BCM Grundlagen Veranlassung, Zielsetzungen, Vorgehen CENTRIS AG 0

Geschäftsordnung der unabhängigen Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten

vom 5. November 2014 (Stand am 1. Januar 2015)

Rundschreiben 2008/10 Selbstregulierung als Mindeststandard. Von der Eidg. Finanzmarktaufsicht als Mindeststandard anerkannte Selbstregulierung

IT Notfallhandbuch: Das große Missverständnis

BERICHT ZUR AUFSICHTSRECHTLICHEN PRÜFUNG FÜR VERSICHERUNGSGRUPPEN/-KONGLOMERATE [BEAUFSICHTIGTE VERSICHERUNGSGRUPPE/- KONGLOMERAT]

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

BERICHT ZUR AUFSICHTSRECHTLICHEN PRÜFUNG FÜR VERSICHERUNGSUNTERNEHMEN [BEAUFSICHTIGTES VERSICHERUNGSUNTERNEHMEN]

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Teil 1: Neues Obligationenrecht. Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec.

Ergänzende Angaben in der Berichterstattung zur Rechnungsprüfung

Stellungnahme. zur Konsultation 17/2009 Mindestanforderungen an. Compliance und die weiteren Verhaltens-, Organisations- und

Verantwortlichen Aktuars aus der Sicht

Norm Revision ISO 9001:2015. Konsequenzen für Unternehmung, Prozesseigner und Auditoren

Internes Kontrollsystem und Risikobeurteilung in der IT

Reglement Internes Kontrollsystem (IKS)

Gewährsartikel: «Wildcard» für die Regulierung durch die FINMA?

Risiko-Reporting in der Lebensversicherung. Was sollte man reporten und warum? SAV-Kolloquium, 1. Juni 2012 Dr. Markus Engeli, Swiss Life AG

Reglement über die konsolidierte Aufsicht

Management Lösungen für Krise, Unfall oder Katastrophe

Corporate Governance, Risikomanagement und internes Kontrollsystem bei Versicherern

Betriebliches Notfallmanagement Business Continuity Management

vom 14. Mai 2004 (Stand am 1. Mai 2013)

Anhang zur Jahresrechnung

Corporate Governance Regeln bei Versicherungsunternehmen

ERFA-Nachmittag IKS Sicht Gemeindeinspektorat

Business Continuity Management

Vorbereitetsein. ist Macht. Elastizität. BK Strategie. Business Kontinuität Krisenmanagement. Reputation. Identifizierung der Bedrohungen

Anhang zur Jahresrechnung

Konzernsteuerungssysteme Revision IKS - Compliance

Rundschreiben 2017/xx Corporate Governance Versicherer. Corporate Governance, Risikomanagement und internes Kontrollsystem bei Versicherern

Prüfbericht über die Revision zu den ISDS-Konzepten

IKT-Schlüsselprojektprüfungen der EFK und HERMES. Martin Schwaar Prüfungsexperte für IKT-Schlüsselprojekte des Bundes

Rundschreiben 2018/3 Outsourcing Banken und Versicherer

4.3 Planung (Auszug ISO 14001:2004+Korr 2009) Die Organisation muss (ein) Verfahren einführen, verwirklichen und aufrechterhalten,

Management Review Bericht. Praxisbeispiel der Bigla Office AG

Anleitung zur Qualitätssicherung bei kleinen und mittelgrossen Revisionsunternehmen

STANDARD Systematische Qualitätssicherung

Inhaltsverzeichnis. I. Anerkennung von Selbstregulierung Rz 1. II. Adressaten des Rundschreibens Rz 2. III. Prüfung Rz 3 2/10

BCM Business Continuity Management

DAS MODELL DER DREI VERTEIDIGUNGSLINIEN ZUR STEUERUNG DES RISIKOMANAGEMENTS IM UNTERNEHMEN

Wegleitung. Zweck. Geltungsbereich. zum Validierungsbericht für den Genehmigungsantrag für interne Modelle. Ausgabe vom 17.

ARIF / März 2016 Seite 1 von 5

Vernehmlassung zum Entwurf des EBK-RS Interne Überwachung und Kontrolle

Komplexe Entscheidungen fällen. Matthias Jurt Krisenmanager SBB Stabschef Krisenstab SBB

Der Entstehungsprozess der Selbstregulierung im Hypothekarbereich

VORSORGE in globo M. Spreitenbach. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2016

Informatiksicherheitsverordnung

Betreff: Stellungnahme zur Anhörung der Teilrevision der Finanzmarktinfrastrukturverordnung-FINMA

MATH Semesterarbeit Forschungsbericht Anderes

Notfall- und Krisenmanagement in Unternehmen

EFFIZIENTES KONTROLLSYSTEM ALS INTEGRIERTER BESTANDTEIL DER CORPORATE GOVERNANCE. 7. November 2017 SWISS GRC DAY Daniel Fuchs, Leiter Risk Control

Krisenfest. durch Business Continuity Management nach ISO Klaus Weitmann, Auditor, Quality Austria und CIS

Arbeitsunterlagen Strategie

Management- und Organisationsberatung. Business Continuity Management (BCM)

Compliance- Richtlinie. für mags Mönchengladbacher Abfall-, Grün- und Straßenbetriebe

Konzept für eine Balanced Scorecard in der Heimstätte Bärau

Verantwortlichkeit der Geschäftsleitung einer Schweizer Bank im Lichte einer verschärften Enforcement-Politik der FINMA

Prüfungsauftrag für das staatlich beaufsichtigte Revisionsunternehmen

Band AH, Kapitel 3: Hilfsmittel zum HV-Kompendium. AH 3.2: Kriterienkatalog für die Beurteilung des Restrisikos

Anforderungen an die Revisionsstelle

Bericht der Revisionsstelle an den Stiftungsrat

K.0 Problemprotokoll Bewertungsvorgang

Richtlinie für Transparenz bei Verwaltungskommissionen

FINANZIELLE BERICHTERSTATTUNG AG FÜR DIE NEUE ZÜRCHER ZEITUNG

Mission 21 - Evangelisches Missionswerk Basel. Basel. Bericht der Revisionsstelle an die Synode zur konsolidierten Jahresrechnung 2016

Reglement des Prüfungsausschusses (Audit Committee) der VAT Group AG. jjj

HERZLICH WILLKOMMEN. Revision der 9001:2015

1 Allgemeine Bestimmungen

Ziel. Prinzip. Vorgehensweise

Verordnung über die Informationssicherheit (ISV)

Vorwort zur dritten Auflage... V Abbildungsverzeichnis... XIII Die Autoren... XIV

Statuten der Stiftung Pro Juventute

STATUTEN DER STIFTUNG PRO JUVENTUTE

Berichterstattung zum Konzernbericht von Versicherungsgruppen und Versicherungskonglomeraten

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Die steuerliche Blaupause Steuerrisiken und Steuerplanung

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

QS 1 QS-Initialisierung. QS 3 Ergebnisprüfung vorbereiten. QS 4 Ergebnis prüfen. Prüfprotokoll. QS 5 Durchführungsentscheidung

Organisationsreglement

ESPRIX 2016 / ESPRIX C2E A - Leitfaden für Bewerber Seite 1

FINANZIELLE BERICHTERSTATTUNG AG FÜR DIE NEUE ZÜRCHER ZEITUNG

Bericht der Revisionsstelle an den Stiftungsrat

Organ-Verantwortlichkeiten

Register I. Leitfaden zu den Kompetenznachweisen Praxis

Finanzmarktprüfverordnung

verhaltenskodex Der vorliegende Verhaltenskodex fordert Verantwortlichkeit, damit unsere Werte beachtet, umgesetzt und gelebt werden.

als Steuerungsinstrument Björn Schneider Berlin, 29. November 2016

verhaltenskodex Der vorliegende Verhaltenskodex fordert Verantwortlichkeit, damit unsere Werte beachtet, umgesetzt und gelebt werden.

Journey to the. Cloud

AUFSICHTSKONZEPT BEREICH REGULATORY AUDIT

Transkript:

BCM Mindeststandards für Versicherungsunternehmen in der Schweiz Der Schweizerische Versicherungsverband SVV hat das Dokument Business Continuity Management (BCM) für Versicherungsunternehmen in der Schweiz Mindeststandards und Empfehlungen erstellt. Die darin enthaltenen Mindeststandards wurden von der FINMA abgenommen und sind für alle von der FINMA beaufsichtigten Versicherungsunternehmen zur zwingenden aufsichtsrechtlichen Mindestanforderung erklärt worden. Der Umfang und Detailierungsgrad bei der Umsetzung muss den Anforderungen des jeweiligen Unternehmens Rechnung tragen. Die Checkliste soll deshalb lediglich als allgemeine Hilfestellung für die Umsetzung und Kontrolle (Revision) der BCM Mindeststandards dienen. Die in der Spalte Erläuterungen und mögliche Beispiele aufgenommenen Abbildungen und Texte sind als Beispiele und Erklärungshilfen zu verstehen. Diese Checkliste ist ein Hilfsmittel und hat keinerlei rechtlichen oder zwingenden Charakter. Schweizerischer Versicherungsverband SVV Conrad-Ferdinand-Meyer-Strasse 14 Postfach CH-8022 Zürich Zentrale +41 44 208 28 28 Fax +41 44 208 28 00 www.svv.ch

Vorwort zur aufsichtsrechtlichen Basisprüfung durch eine externe Revisionsstelle Die BCM Mindeststandards wurden von der Finma im Sinne von Art. 7 Abs. 3 FINMAG anerkannt. Die Mindeststandards bilden einen integralen Bestandteil des Finma- Rundschreiben 2008/10 Selbstregulierung als Mindeststandard. Die durch die Revisionsaufsichtsbehörde RAB bewilligten Prüfgesellschaften prüfen die Einhaltung der als Mindeststandard anerkannten Selbstregulierung nach Massgabe des Finma-RS 2013/3 Prüfwesen und halten das Ergebnis im Prüfbericht fest. Das FINMA-RS 2013/3 Prüfwesen sieht die Möglichkeit vor, dass sich die externe Prüfgesellschaft bis zu einem gewissen Umfang auf Arbeiten der Internen Revision abstützen darf. Die externe Prüfgesellschaft beurteilt die Prüfung der internen Revision in Bezug auf Qualität und Aussagekraft. Zusätzlich besteht die Vorgabe, dass sich die externe Prüfgesellschaft in einem Prüfgebiet nicht in zwei aufeinanderfolgenden Prüfzyklen auf die Arbeiten der internen Revision abstützen darf. Der SVV empfiehlt seinen Mitgliedern, die Prüfungsplanung zwischen der internen und der externen Revision vorgängig abzusprechen. Die Prüfung von Sachverhalten, die ein vertieftes, spezifisches Unternehmensknowhow voraussetzen, dürfte durch die interne Revision effizienter ausgeführt werden können. Es ist empfehlenswert, mit der externen Revisionsstelle einen Rotationsplan der zu prüfenden Prüfgebiete zu vereinbaren. 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 2/12

1. Business Impact Analyse Im Rahmen der Business Impact Analyse müssen zeitkritische und wichtige Geschäftsprozesse und deren Ressourcen identifiziert und ausgewiesen werden. 1.1 Wurden die wichtigen Geschäftsprozesse (oder Geschäftsbereiche) für die geplante BIA ausgewählt? 1.2 Wurden die mutmasslich zeitkritischen Geschäftsprozesse (oder Geschäftsbereiche) für die geplante BIA ausgewählt? Wichtige Geschäftsprozesse sollten aufgenommen werden, damit ihre Kritikalität später festgestellt und dokumentiert werden kann (auch wenn sie im Moment als nicht zeitkritisch erscheinen). Mutmasslich deshalb, weil die Kritikalität auf der Zeitachse erst bei der Impact Analyse definitiv festgestellt wird. Zeitkritisch heisst, die Prozesse haben für das Unternehmen eine sehr kurze, maximal tolerierbare Ausfallzeit (MTA). 1.3 Sind alle Geschäftsprozesse der Wertschöpfungskette (oder kundenrelevante Geschäftsbereiche) berücksichtigt? Im vorliegenden Fall sollten mindestens 6 BIA für die 6 Wertschöpfungsprozesse (rot) und für wichtige und/oder mutmasslich zeitkritische Führungs-/Supportprozesse durchgeführt werden. Wenn keine Prozessorganisation existiert, kann dies auch auf der Basis der Aufbauorganisation/Organigramm (Bereiche, Abteilungen) geschehen. 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 3/12

Für diese zeitkritischen Geschäftsprozesse müssen die Auswirkungen eines kompletten oder teilweisen Ausfalls der benötigten Ressourcen beurteilt werden, als Grundlage für notwendige Überbrückungs- und Wiederherstellungsmassnahmen. 1.4 Wurden für die evaluierten Geschäftsprozesse die Auswirkungen eines Ausfalls auf der Zeitachse ermittelt? Die Kritikalität (Auswirkungen eines Ausfalls) sollte für jeden Prozess z.b. von 1=keine wesentlichen Auswirkungen bis 5=unternehmenskritisch (könnte Verlust der Geschäftstätigkeit bedeuten) auf der Zeitachse definiert werden. Die Zeitachse und Prozesskritikalität sind für jedes Unternehmen individuell festzulegen. Die Metrik der Kritikalitätsbeurteilung (Stufen 1 bis 5 und die Zeitachse) muss den Gegebenheiten des Betriebes angepasst sein. Die Analyse berücksichtigt insbesondere die Konsequenzen auf Betrieb, Finanzen, Reputation und Compliance. 1.5 Wurden die Auswirkungen/Konsequenzen auf folgende Bereiche geprüft? Pro Geschäftsprozess sollten die folgenden Auswirkungen/Konsequenzen ermittelt werden: den Betrieb der Unternehmung (Operation) die Finanzen (Ertrag und Kosten) die Reputation (Image) die Compliance (gesetzliche und/oder vertragliche Implikationen) In der Regel sollte die kritischste Auswirkung die Gesamtkritikalität des Geschäftsprozesses bestimmen (Ergebnis für Punkt 1.4). 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 4/12

Die Beurteilung muss auch die relevanten Abhängigkeiten zwischen den Geschäftsprozessen berücksichtigen (Prozessabhängigkeiten). 1.6 Wurden die wesentlichen zwingenden Abhängigkeiten (Vorgänger-Prozesse und die Nachfolge-Prozesse) der evaluierten Geschäftsprozesse ermittelt? Die Business Impact Analyse ist mindestens alle 3 Jahre durchzuführen und bei Bedarf zu überprüfen (zum Beispiel neue Geschäftsfelder oder Einsatz neuer Technologien). Kontrolle der wesentlichen Abhängigkeiten verschiedener interner Geschäftsprozesse untereinander. 1.7 Wird mindestens alle 3 Jahre ein Reassessment der BIA durchgeführt? Mindestens die Unterbreitung der bestehenden BIA an die Prozessverantwortlichen, damit überprüft wird, ob Veränderungen aufgenommen werden müssen. Ein schriftliches Feedback der Prozessverantwortlichen liegt vor. 1.8 Wird bei neuen Produkten oder wesentlichen Veränderungen der Prozesse geprüft, ob eine Anpassung der BIA notwendig ist? zum Beispiel wenn neue Geschäftsfelder bearbeitet werden, oder wenn bestehende massgeblich verändert werden. 1.9 Wird bei der Einführung neuer Techniken geprüft, ob eine Anpassung der BIA notwendig ist? zum Beispiel bei der Einführung von neuen IT-Anwendungen oder wenn die IT-Anwendungen grundlegenden Veränderungen unterzogen wurden. 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 5/12

2. Business Continuity Strategie Die Business Continuity Strategie - definiert die maximal tolerierbaren Ausfallzeiten; 2.1 Wird die maximal tolerierbare Ausfallzeit für das Gesamtunternehmen durch die Strategie festgelegt? 2.2 Werden die maximal tolerierbaren Ausfallzeiten für speziell zeitkritische Geschäftsprozesse festgelegt? Die Business Continuity Strategie - bezeichnet aufgrund der Business Impact Analyse diejenigen Geschäftsbereiche, die dem Business Continuity Management zugewiesen sind; Die generell tolerierbare Ausfallzeit (MTA) wäre hier z.b. mit grundsätzlich 2 Arbeitstagen als Strategie definiert. Dabei ist für den Geschäftsprozess A eine schärfere MTA von maximal 1 Tag zu beachten. Für Geschäftsprozesse mit einer Kritikalität von 1 Monat oder mehr reicht eine summarische Betrachtung und «best effort» im Ereignisfall als Vorgabe in der BC Strategie. 2.3 Werden die Geschäftsprozesse bezeichnet, die vom BCM speziell bearbeitet werden müssen? zum Beispiel für die Geschäftsprozesse A, B, C. Für die übrigen Geschäftsprozesse reicht eine summarische Betrachtung im Rahmen des BCM. Die Business Continuity Strategie - legt die grundsätzlichen Lösungsansätze (Handlungsoptionen) im Ereignisfall fest; 2.4 Sind, wo notwendig, grundsätzliche Lösungsansätze vorgegeben? zum Beispiel für den Einsatz von Schlüsselpersonen (bspw. Rahmenbedingungen durch das HR) oder betreffend Zuteilung von Ausweicharbeitsplätzen (bspw. Wer entscheidet über die Zuteilung im Ereignisfall). 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 6/12

Die Business Continuity Strategie - legt den Umfang der Business Continuity Massnahmen für die Bereiche Personal, Facilities, Technik/Telekommunikation/Informatik und externe Dienstleister fest. 2.5 Ist der grundsätzliche Umfang von Massnahmen im Bereich der Ressourcen Personal, Facilities, Technik/Telekommunikation/Informatik und externe Dienstleister wo notwendig definiert? Zum Beispiel könnte für alle nicht zeitkritischen Geschäftsprozesse (D und E) oder in der BIA nicht aufgenommene Geschäftsprozesse definiert sein, welche grundsätzlichen Optionen je Ressourcenbereich Personal, Facilities, Technik/Telekommunikation/Informatik und externe Dienstleister berücksichtigt werden oder berücksichtigt werden sollen. Die Akzeptanz von Auswirkungen ohne vorbereitete Überbrückungs- und Wiederherstellungsmassnahmen kann ebenfalls eine Option darstellen. Dies ist in der Business Continuity Strategie entsprechend zu dokumentieren. 2.6 Sind die Geschäftsprozesse ohne vorbereitete Business Continuity Massnahmen bezeichnet? Zum Beispiel: Für die Geschäftsprozesse D und E und alle in der BIA nicht aufgenommenen Geschäftsprozesse müssen keine Business Continuity Massnahmen vorbereitet werden. Solche werden wenn nötig erst im Ereignisfall angeordnet und umgesetzt. 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 7/12

3. Business Continuity Massnahmen Basierend auf der Business Impact Analyse und im Rahmen der Vorgaben aus der Business Continuity Strategie wird mit den Business Continuity Massnahmen beschrieben, wie das Unternehmen Business Continuity wahrnimmt. Die Business Continuity Massnahmen definieren - das Vorgehen und - die Mittel zur Überbrückung und Wiederherstellung der zeitkritischen oder wichtigen Geschäftsprozesse und die dazu notwenigen Ressourcen (Personal, Facilities, Technik/Telekommunikation/Informatik, externe Dienstleister). 3.1 Sind die notwendigen Business Continuity Massnahmen für die Geschäftsprozesse gemäss Business Continuity Strategie definiert? 3.2 Sind Vorgehen und Mittel zur Überbrückung und Wiederherstellung der zeitkritischen Geschäftsprozesse und die dazu notwendigen Ressourcen (Personal, Facilities, Technik/Telekommunikation/Informatik, externe Dienstleister) definiert? Zum Beispiel Geschäftsprozess A: Massnahmen für die Überbrückung von Personal, Facilities, Technik/Telekommunikation/Informatik, externe Dienstleister sind so vorbereitet, dass sie jederzeit eingesetzt und getestet werden könnten. Zum Beispiel Geschäftsprozess B und C: Massnahmen für die Überbrückung von Personal, Facilities, Technik/Telekommunikation/Informatik, externe Dienstleister sind so definiert und dokumentiert, dass an Hand eines Schreibtischtests verifiziert werden könnte, ob in der geforderten Zeit gemäss BIA eine Überbrückung möglich wäre. Zum Beispiel Geschäftsprozesse D, E und übrige: Massnahmen für die Überbrückung von Personal, Facilities, Technik/Telekommunikation/Informatik, externe Dienstleister sind summarisch beschrieben und es dürfte angenommen werden, dass in der geforderten Zeit gemäss BIA eine Überbrückungslösung gefunden werden könnte. 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 8/12

Die betroffenen Geschäftsbereiche und ihre Mitarbeitenden sind über die Business Continuity Massnahmen zu informieren (zum Beispiel kritische Geschäftsprozesse über notwendige Ausweicharbeitsplätze) und, wo notwendig, auszubilden (zum Beispiel beim Einsatz von technischen Ausweichsystemen. 3.3 Sind die für speziell zeitkritische Geschäftsprozesse verantwortlichen Mitarbeitenden instruiert und vorbereitet, welche Massnahmen im Ereignisfall umgesetzt werden müssen? 3.4 Sind die für zeitkritische Geschäftsprozesse verantwortlichen Mitarbeitenden informiert, wer im Ereignisfall was zu tun hätte? zum Beispiel für Geschäftsprozess A zum Beispiel für Geschäftsprozesse B und C 3.5 Sind die Mitarbeitenden über allgemeine Business Continuity Massnahmen informiert? Zum Beispiel über das Verhalten im Ereignisfall, Mitnahme der Notebooks für Heimarbeit bei einer Evakuation, Notfall-Nummern, etc. 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 9/12

4. Übungen und Tests Mit Übungen und Tests werden die Umsetzbarkeit und die Fähigkeit zur Ereignisbewältigung trainiert und überprüft. Die Periodizität für die Durchführung der Übungen und Tests der definierten Massnahmen (zum Beispiel Wiederanlauf kritischer IT-Systeme) ist vorzugeben. 4.1 Ist definiert, welche Gremien der Ereignisbewältigung Übungen durchzuführen haben? Es kann ein Krisenstab, eine Notfallorganisation, ein Notfallteam oder auch eine Task-Force sein, 4.2 Ist definiert, wie oft diese Übungen stattzufinden haben? der oder die jährlich oder alle zwei/drei Jahre eine Übung zur Bewältigung ausserordentlicher Ereignisse durchführt. Abhängig von Grösse, Komplexität und Risikoprofil der Unternehmung und wenn es unter «5. Operationalisierung und Führung» so definiert wurde, kann die Geschäftsleitung das verantwortliche Gremium sein und auf explizite Übungen verzichtet werden. 4.3 Ist definiert, welche Geschäftsprozesse ihre Business Continuity-Massnahmen zu testen haben? 4.4 Ist definiert, wie oft diese stattzufinden haben? Das können speziell zeitkritische Geschäftsprozesse sein (zum Beispiel Geschäftsprozess A) oder speziell zeitkritische Ressourcenbereiche (zum Beispiel Bereiche der Haustechnik oder der Telekommunikation/Informatik). Testergebnisse sind zu protokollieren und entsprechende Erkenntnisse in den Business Continuity Massnahmen zu berücksichtigen. 4.5 Werden Ergebnisse aus Übungen aufgezeichnet und allfällige Verbesserungsmassnahmen definiert? 4.6 Werden Verbesserungsmassnahmen aus Übungen in Pendenzen- oder Aktivitätenlisten aufgenommen? 4.7 Werden Ergebnisse aus Business Continuity Tests aufgezeichnet und allfällige Verbesserungsmassnahmen aufgenommen? 4.8 Werden Verbesserungsmassnahmen aus Business Continuity Tests in Pendenzen- oder Aktivitätenlisten aufgenommen? 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 10/12

5. Operationalisierung und Führung Das Business Continuity Management muss im Unternehmen verankert (zum Beispiel in der Unternehmensstrategie oder in der Geschäftspolitik) und in der Governance Struktur des Unternehmens entsprechend berücksichtigt sein. 5.1 Ist das Business Continuity Management im Unternehmen zum Beispiel in der Unternehmensstrategie oder in der Geschäftspolitik verankert? 5.2 Ist festgelegt, welche Geschäftseinheit im Unternehmen für Business Continuity verantwortlich ist? Verankert heisst, Business Continuity wird zum Beispiel in der Strategie oder im Risikomanagement des Unternehmens erwähnt und als Bestandteil des operativen Geschäfts oder des Risikomanagements verlangt. Wie und wo ist das Business Continuity Management im Unternehmen eingegliedert. Das kann zum Beispiel im Risikomanagement, in der Informatik, im Facility-Management sein oder BCM kann eine eigenständige Geschäftseinheit sein. Es muss eine geeignete Organisation für Business Continuity Funktionen und Gremien zur Ereignisbewältigung (zum Beispiel Krisen- oder Notfall-Management) definiert sein. 5.3 Ist eine geeignete Organisation für Business Continuity Funktionen und sind Gremien zur Ereignisbewältigung definiert? Das Business Continuity Management soll die Überlebensfähigkeit und die Aufrechterhaltung sowie Weiterführung der Geschäftstätigkeit bei ausserordentlichen Ereignissen und Situationen sichern. Die dafür notwendige Organisation muss der Unternehmung angepasst definiert sein. Das können mehrere Gremien auf verschiedenen Stufen sein, zum Beispiel Notfallteam(s), Notfallorganisation, Krisenstab, eine Task Force oder die Geschäftsleitung. 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 11/12

Die Rollen, Verantwortlichkeiten und Kompetenzen dieser Funktionen und Gremien müssen ebenfalls bestimmt sein. Gleichzeitig sind die Ressourcen zu planen und die notwendige Ausbildung für diese Funktionen sicherzustellen. 5.4 Welche Person ist für das Business Continuity Management verantwortlich? Diese Person sollte namentlich bekannt sein. Sie muss sich um die Belange und Anforderungen von Business Continuity Management im Unternehmen kümmern. 5.5 Hat der BCM Verantwortliche eine Funktionsbeschreibung mit Aufgaben, Kompetenzen und Verantwortlichkeiten? 5.6 Sind die verantwortlichen Funktionsträger entsprechend ihrer Funktionsbeschreibung ausgebildet? Die Periodizität und der Umfang der internen Berichterstattung (zum Beispiel Reporting an die Geschäftsleitung) müssen geregelt sein. 5.7 Ist definiert, wer oder welches Organ die Vorgaben für das Business Continuity Management und die Ergebnisse verabschiedet? zum Beispiel Ergebnisse wie BIA und Vorgabe, wie die Business Continuity Strategie. Die kann bspw. ein bestehendes Gremium der permanenten Organisation sein (Konzernleitung, Geschäftsleitung, Risk-Komitee, etc.) 5.8 Ist definiert, wem wie häufig und in welchem Umfang Business Continuity Management Arbeiten und Ergebnisse berichtet werden müssen? 5.9 Ist definiert, wem wie häufig und in welchem Umfang Ereignisse oder Fast-Ereignisse berichtet werden müssen? Kontaktstelle SVV Alex Schönenberger alex.schoenenberger@svv.ch Copyright Alle Inhalte dieser Checkliste, insbesondere die Abbildungen, sind geschützt. Sie dürfen nur mit Genehmigung des Schweizerischen Versicherungsverbands SVV weiterverwendet werden. Quellennachweis Abbildungen: Albert Andrist, Schweiz. Mobiliar Versicherungsgesellschaft AG 1. Oktober 2016 BCM Mindeststandards für Versicherungsunternehmen in der Schweiz 12/12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback