BCM Grundlagen - centrisag.ch

of 18/18
vertraulich, nur für den internen Gebrauch 14.12.2016 CENTRIS AG 0 BCM Grundlagen Veranlassung, Zielsetzungen, Vorgehen Leiter Strategie und Governance, Stefan Krapl
  • date post

    16-Feb-2022
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of BCM Grundlagen - centrisag.ch

PowerPoint-Präsentation14.12.2016 CENTRIS AG 0
vertraulich, nur für den internen Gebrauch
Veranlassung
• Aus Sicht der für Business Continuity Management relevanten Unternehmensressourcen erbringt Centris einen Teil der «Externen Services»
• Centris als Service Provider ist interessiert ihre Kunden in der Nachweiserbringung der Überlebensfähigkeit zu unterstützen
• Durch ein gemeinsames Verfahren können die Grundlagen harmonisiert und über das IKS & Compliance Reporting von Centris die Nachweise gegenüber den Prüfstellen der Kunden nachgewiesen werden
Der Verwaltungsrat erteilt Centris den Auftrag, mit allen im VR vertretenen Kunden, eine Workshop Serie zur effizienten Abstimmung der BCM Themenfelder durchzuführen.
Auslöser Veranlassung
vertraulich, nur für den internen Gebrauch
BCM Kundenworkshops
14.12.2016 CENTRIS AG 2
• Centris als Service Provider bietet ihren im Verwaltungsrat vertretenen Kunden an, die BCM Themenfelder in einer Serie von gemeinsamen Workshops aufeinander abzustimmen.
• Das Vorgehen über gemeinsame Workshops ermöglicht eine effiziente Abstimmung vom Aufbau eines gemeinsamen Verständnisses, über den Aufbau der BCM Organisation bis hin zur Erbringung von FINMA/SVV Nachweisen.
• Die Workshops werden moderiert sowie als Themen Dokumentation bereit gestellt. Die Workshops beinhalten in der Regel:
• Einleitung in das Thema
• Centris spezifische Umsetzung (aus Sicht «Externe Services» für Versicherer)
• Diskussion im Plenum
• An die Workshops werden die von den Kunden nominierten Personen eingeladen, wobei immer mehrere Vertreter möglich sind.
• Die Teilnahme an den Workshops ist freiwillig und kostenpflichtig.
BCM Workshops Zielsetzungen
BCM (Auszug aus Kundenworkshops)
14.12.2016 CENTRIS AG 3
FINMA/SVV fordern die Einhaltung der BCM Mindeststandards per 31. Juli 2017. Zielsetzung ist die Abstimmung der BCM Roadmap zwischen Kunden und Centris, Diskussion und Abgleich gewählter BCM Standards und Terminologie, die Abstimmung der Aufgaben zwischen Versicherern & Centris. Die Centris wird auf den Plan zum Wirksamkeitsnachweis, die Inhalte und die gegenseitigen Pflichten (IKS) informieren.
Unterlagen: Präsentation von Centris zu BCM Grundlagen
BCM Grundlagen
Die Business Services von Centris sind Teil der kritischen «Externen Services» von Versichern und müssen in deren Business Impact Analyse und BCM Strategie berücksichtigt werden. Centris erläutert im Workshop die Schutzziele (RTO und RPO) sowie Prioritäten im Wiederanlauf der Business Services. Auf dieser Grundlagen können die BIA und BCM Strategie von Kunden und Centris abgeglichen werden.
Unterlagen: Präsentation von Centris zu BIA, BCM Schutzzielen und BCM Strategie
BCM BIA & Strategie
Im Krisenfall ist die Organisation und Kommunikation zwischen Kunden und Centris ein elementarer Erfolgsfaktor. Zielsetzung im Workshop ist der Aufbau einer gemeinsamen BCM Organisation und Kommunikationsmittel für den Krisenfall. Die BCM Organisation kann Bestandteil der periodischen Überprüfung des BCM Reifegrades sein.
Unterlagen: Präsentation von Centris zu BCM Organisation, Krisenorganisation
BCM Organisation
Unterlagen: Präsentation von Centris zu Notfallszenarien
BCM Notfallpläne
InhalteBCM Workshops
BCM Kundenworkshops
Inhalte
Die Absicherung der Business Services für den Krisenfall erfolgt bei Centris über den Aufbau eines Ausweichrechenzentrums. Die BCM relevanten Leistungen werden als Business Service Option erbracht und sind in SLA/Verträgen zu vereinbaren. Centris erläutert in diesem Workshop die Inhalte und Parameter neuen SLA/Verträge zum BCM.
Unterlagen: Entwürfe BCM SLA, Verträge
BCM SLA / Verträge
Centris für Business Continuity Managements einen IKS und BCM Prüfkatalog erstellen und in den Revisionen und Audits prüfen lassen. Damit wird BCM Teil der Inhalte des Compliance Boards und Kunden erhalten entsprechende Nachweise in Form von ISAE-Berichten*. Mittels Durchführung von Selektiven BCM Tests (aus dem BCM Prüfkatalog) können Kunden sich von der Einhaltung der Vorgaben überzeugen.
Unterlagen: BCM Prüfkatalog
BCM Tests
Centris erläutert die Resultate und Berichte der verschiedenen IKS & Compliance Berichte als Grundlage für die Nachweise zur FINMA/SVV und ihren akkreditierten Prüfstellen.
Unterlagen: Nachweise ISAE-Bericht ISAE 3000
BCM Reporting & Nachweise
BCM Workshops
*ISAE: International Standard on Assurance Engagements. Bei Centris seit 2008 im Compliance Board etabliert.
vertraulich, nur für den internen Gebrauch
BCM Roadmap im Kontext IKS/Compliance
14.12.2016 CENTRIS AG 5
2016 2017
IKS & Compliance
14.09. VR
Wirksamkeits- Nachweis
BCM Workshops
25.11. Compliance
Centris-Kunden
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 6
FINMA/SVV fordern die Einhaltung der BCM Mindeststandards per 31. Juli 2017.
Business Continuity Management (BCM) deckt den ganzen Zyklus von der Katastrophenverhinderung bis zur Wiederherstellung ab. Es stellt sicher, dass die Geschäftsprozesse eines Unternehmens mit einer grösstmöglichen Verfügbarkeit aller lebenswichtigen Ressourcen (Technologie, Prozesse, Gebäude, Mitarbeiter) und mit einem Minimum von Störfällen abgewickelt werden kann. Im Krisenfall sind durch das BCM zwei Fokusthemen zu bewältigen:
Wiederherstellung der Geschäftsprozesse durch Wiederinstandstellung der ausgefallenen Ressourcen
Überbrückung der Geschäftsprozesse während der Krise unter Berücksichtigung der ausgefallenen Ressourcen (Notbetrieb oder >).
Anforderung Überlebensfähigkeit
WS_1 BCM-Grundlagen
Das Business Continuity Management muss im Unternehmen verankert (Unternehmensstrategie) und in der Governance- Struktur des Unternehmens entsprechend berücksichtigt sein
Es muss eine geeignete Organisation für Business Continuity Funktionen und Gremien zur Ereignisbewältigung (zum Beispiel Krisen- oder Notfall-Management) definiert sein.
Die Rollen, Verantwortlichkeiten und Kompetenzen dieser Funktionen und Gremien müssen ebenfalls bestimmt sein. Gleichzeitig sind die Ressourcen zu planen und die notwendige Ausbildung für diese Funktionen sicherzustellen.
Die Periodizität und der Umfang der internen Berichterstattung (zum Beispiel Reporting an die Geschäftsleitung) müssen geregelt sein.
Auslöser Gestaltungsbereich und der Leistungsauftrag
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
Das BCM zielt auf eine Minimierung der finanziellen und reputationsbezogenen Auswirkungen bei solchen Situationen ab.
Gesamtverantwortung hat der Verwaltungsrat.
Risikopotentiale Anwendung und Gesamtverantwortung
WS_1 BCM-Grundlagen
BCM Existenz-Nachweis
BCM Wirksamkeits-Nachweis
BCM Compliance-Nachweis (Revision)
Aufsichtskategorie - Systemrelevanz Kontroll- & Nachweisfähigkeit
WS_1 BCM-Grundlagen
Projekt BCM
Kunden müssen ab 7.2017 ihre Überlebensfähigkeit an FINMA/SVV nachweisen können
Centris baut BCM-Service aus und liefert Nachweis an ihre Kunden und deren Abschlussprüfer gemäss Art. 728 OR
CentrisKunden
Operationalisierung und Kontrolle
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
FINMA macht deutlich, dass sie Ihre Aufgaben wahrnimmt / durchsetzt und VOR-Ort-Kontrollen durchführt.
FINMA verteilt Banken Noten und publiziert diese. Es ist wahrscheinlich, dass die Versicherungen je Aufsichtskategorie gleich behandelt werden. Adäquat EDÖB mit Datenannahmestelle (DAS).
Krankenversicherungen folglich auch die Centris als Ihr IT-Provider gem. Art. 728 OR (IKS) werden vor die selben Anforderungen gestellt.
Vor-Ort-Kontrollen bei Banken und Versicherungen existieren und werden durchgeführt.
In der Regel werden sie im Rahmen einer Jahresplanung durchgeführt. Es können aber aufgrund besonderer Ereignisse weitere, ausserplan- mässige Prüfungen hinzukommen.
Eine Kontrolle dauert i.d.R. wenige Tage bis mehrere Wochen, falls eine vertiefte Beurteilung notwendig ist.
Die Umsetzung / Durchführung ab 7.2017 ist noch unklar
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
Kontrollart Einschätzung Nachweise Einschätzung
Nachweise IKS(BCM-Tests)
Wahrscheinlich über einen längeren Zeitraum, da Prüfstellen Zeit dafür brauchen. Oder in Kombination mit den ordentlichen ISO-Audits (ISO27K o.ä.)
durch akkreditierte Prüfstelle FINMA/SVV setzen eine akkreditierte Prüfstelle ein
Prüfkatalog an Versicherer FINMA/SVV verschicken einen Prüfkatalog den die Versicherer ausgefüllt zurück senden
Prüfkatalog (Nachweise im Anhang)
Sehr wahrscheinlich, da die Umsetzung zur Selbstregulierung schnell und umfassed überprüft werden kann (indikativ)
Grundsätzlich hängt die Intensität der Überwachung von der Aufsichtskategorie des jeweiligen Instituts ab – die FINMA behält es sich jedoch vor, Hinweisen auf besondere Ereignisse situationsbezogen nachzugehen. Ein weiteres Instrument ist die Aufsichtsprüfung, die von externen Prüfgesellschaften als verlängerter Arm der FINMA vorgenommen wird.
Die Compliance von Centris geht zudem davon aus, dass adäquat zur EDÖB / Datenannahmestelle die FINMA resp. die SVV die Prüfungen an akkreditierte und unabhängige Prüfstellen vergeben und diese dann dort überwacht. Bei Unregelmässigkeiten oder bei bestimmten Ereignissen wird FINMA selbst aktiv – terminliche Auflagen usw.
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
Nachweise zur Wirksamkeit
mittels Abgabe eines ISAE- Berichtes bestätigt die Centris die Existenz und die Wirksamkeit einer BCM-Lösung
ISO27K-Zertifikat d.h. die Fähigkeit der SLA- Einhaltbarkeit für Wiederanlauffristen
Krisenorganisation und org. / techn. Verfahren
ISAE-Bericht legt alle durchgeführten BCM- Kontrollen mit dem AWRZ- Betreiber (Tests (RTO/RPO) und bestimmte ITGC- Kontrollen)
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
Service für Kunden Prüfungs- & Berichtwesen bei Centris mit Fokus Kunden
1
2 Kunde profitiert vom IKS-Service der Centris, das auf anerkannte Prüfverfahren, Standards und Berichtwesen aufbaut und jährlich die Ergebnisse mit Vertretern der Revisionsstelle unserer Kunden abstimmt.
3
1
2
3
Kunde ist ausschliesslich auf seine Geschäftsprozesse fokussiert d.h. zu seinen Partnerorganisationen und Versicherten.
Die IKS / ISAE-Nachweise zur Existenz und Wirksamkeit sind wichtige Voraussetzungen bei den Kontrollen durch Behörden oder akkreditierten Prüfstellen. Der Kunde kann Unterstützung bei der Centris bei seinen Prüfungen anfordern.
Wir in der Compliance verstehen unter IKS seit 2008 einen etablierten Service, der von unseren Kunden geschätzt wird und von den Abschlussprüfern unserer Kunden akzeptiert ist.
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
Die Kunden müssen selbständig ihre Überlebens- fähigkeit nachweisen können
Centris unterstützt ihre Kunden dabei, indem sie ihre Vorlagen, BCM-Lösung und Erfahrung einbringt und die Kunden mittels Workshops begleitet
Zielsetzung ist die Harmonisierung / Abstimmung der BCM Roadmap zwischen Kunden und Centris, Diskussion und Abgleich gewählter BCM Standards und Terminologie, der Aufgaben zwischen Versicherern & Centris.
16
IKS-orientierte Kundeneinbindung erfolgt über das BCM-Projekt
Centris trägt keine Verantwortung für ein BCM bei Kunden, die Pflicht zur Selbstregulierung haben die
Kunden. Dabei unterstützt Centris ihre Kunden, indem sie zu ihrem Verantwortungsbereich sämtliche
Kontrollen und Nachweise zur Wirksamkeit erbringt, so dass ihre Kunden für die Abschlussprüfungen
bei sich, diese mit den eigenen Nachweisen vervollständigen und ihren Prüfstellen oder Behörden
aushändigen können. Die Nachweiserbringung erfolgt gemäss dem Reglement zum Compliance Board
in Form eines ISAE-Bericht (International Standard on Assurance Engagements).
Die Wirksamkeitsnachweise de Centris an ihre Kunden und Abschlussprüfer werden gemäss dem IKS- Reglement mittels dem ISAE-Berichtwesen erbracht. Die Berichtstruktur sieht 2 Teile vor und
fokussiert auf Kontrollen zwischen den Partnerorganisationen.
vertraulich, nur für den internen Gebrauch
14.12.2016 CENTRIS AG 17