BCM Grundlagen - centrisag.ch

vertraulich, nur für den internen Gebrauch

14.12.2016 CENTRIS AG 0

BCM GrundlagenVeranlassung, Zielsetzungen, Vorgehen Leiter Strategie und Governance, Stefan Krapl


Veranlassung

14.12.2016 CENTRIS AG 1

• Die FINMA/SVV verlangt von Versicherern die Einhaltung von Mindestanforderungen zu Business Continuity Management (BCM)

• Aus Sicht der für Business Continuity Management relevanten Unternehmensressourcen erbringt Centris einen Teil der «Externen Services»

• Centris als Service Provider ist interessiert ihre Kunden in der Nachweiserbringung der Überlebensfähigkeit zu unterstützen

• Durch ein gemeinsames Verfahren können die Grundlagen harmonisiert und über das IKS & Compliance Reporting von Centris die Nachweise gegenüber den Prüfstellen der Kunden nachgewiesen werden

Der Verwaltungsrat erteilt Centris den Auftrag, mit allen im VR vertretenen Kunden, eine Workshop Serie zur effizienten Abstimmung der BCM Themenfelder durchzuführen.

Auslöser Veranlassung

Umsetzung der Mindeststandards des Schweizerischen Versicherungs-verbandes (SVV) für das Business Continuity Management (BCM) bis am 31. Juli 2017


BCM Kundenworkshops

14.12.2016 CENTRIS AG 2

• Centris als Service Provider bietet ihren im Verwaltungsrat vertretenen Kunden an, die BCM Themenfelder in einer Serie von gemeinsamen Workshops aufeinander abzustimmen.

• Das Vorgehen über gemeinsame Workshops ermöglicht eine effiziente Abstimmung vom Aufbau eines gemeinsamen Verständnisses, über den Aufbau der BCM Organisation bis hin zur Erbringung von FINMA/SVV Nachweisen.

• Die Workshops werden moderiert sowie als Themen Dokumentation bereit gestellt. Die Workshops beinhalten in der Regel:

• Einleitung in das Thema

• Methodischer Aufbau/Ansätze (durch unabhängigen BCM Experten)

• Centris spezifische Umsetzung (aus Sicht «Externe Services» für Versicherer)

• Diskussion im Plenum

• An die Workshops werden die von den Kunden nominierten Personen eingeladen, wobei immer mehrere Vertreter möglich sind.

• Die Teilnahme an den Workshops ist freiwillig und kostenpflichtig.

BCM Workshops Zielsetzungen


BCM (Auszug aus Kundenworkshops)

14.12.2016 CENTRIS AG 3

FINMA/SVV fordern die Einhaltung der BCM Mindeststandards per 31. Juli 2017.Zielsetzung ist die Abstimmung der BCM Roadmap zwischen Kunden und Centris, Diskussion und Abgleich gewählter BCM Standards und Terminologie, die Abstimmung der Aufgaben zwischen Versicherern & Centris. Die Centris wird auf den Plan zum Wirksamkeitsnachweis, die Inhalte und die gegenseitigen Pflichten (IKS) informieren.

Unterlagen: Präsentation von Centris zu BCM Grundlagen

BCM Grundlagen

Die Business Services von Centris sind Teil der kritischen «Externen Services» von Versichern und müssen in deren Business Impact Analyse und BCM Strategie berücksichtigt werden. Centris erläutert im Workshop die Schutzziele (RTO und RPO) sowie Prioritäten im Wiederanlauf der Business Services. Auf dieser Grundlagen können die BIA und BCM Strategie von Kunden und Centris abgeglichen werden.

Unterlagen: Präsentation von Centris zu BIA, BCM Schutzzielen und BCM Strategie

BCM BIA & Strategie

Im Krisenfall ist die Organisation und Kommunikation zwischen Kunden und Centris ein elementarer Erfolgsfaktor. Zielsetzung im Workshop ist der Aufbau einer gemeinsamen BCM Organisation und Kommunikationsmittel für den Krisenfall. Die BCM Organisation kann Bestandteil der periodischen Überprüfung des BCM Reifegrades sein.

Unterlagen: Präsentation von Centris zu BCM Organisation, Krisenorganisation

BCM Organisation

Bei der Entscheidung zur Auslösung der Krisenorganisation werden nach Beurteilung des Lagebildes die vorbereiteten Notfallpläne aktiviert. Durch die Abstimmung der Wirkungsketten und Notfallpläne können die BCM Dokumentationen und Nachweise transparent dargelegt und zertifiziert werden.

Unterlagen: Präsentation von Centris zu Notfallszenarien

BCM Notfallpläne

InhalteBCM Workshops


BCM Kundenworkshops

14.12.2016 CENTRIS AG 4

Inhalte

Die Absicherung der Business Services für den Krisenfall erfolgt bei Centris über den Aufbau eines Ausweichrechenzentrums. Die BCM relevanten Leistungen werden als Business Service Option erbracht und sind in SLA/Verträgen zu vereinbaren. Centris erläutert in diesem Workshop die Inhalte und Parameter neuen SLA/Verträge zum BCM.

Unterlagen: Entwürfe BCM SLA, Verträge

BCM SLA / Verträge

Centris für Business Continuity Managements einen IKS und BCM Prüfkatalog erstellen und in den Revisionen und Audits prüfen lassen. Damit wird BCM Teil der Inhalte des Compliance Boards und Kunden erhalten entsprechende Nachweise in Form von ISAE-Berichten*.Mittels Durchführung von Selektiven BCM Tests (aus dem BCM Prüfkatalog) können Kunden sich von der Einhaltung der Vorgaben überzeugen.

Unterlagen: BCM Prüfkatalog

• Unterlagen:

BCM Tests

Centris erläutert die Resultate und Berichte der verschiedenen IKS & Compliance Berichte als Grundlage für die Nachweise zur FINMA/SVV und ihren akkreditierten Prüfstellen.

Unterlagen: Nachweise ISAE-Bericht ISAE 3000

BCM Reporting & Nachweise

BCM Workshops

*ISAE: International Standard on Assurance Engagements. Bei Centris seit 2008 im Compliance Board etabliert.


BCM Roadmap im Kontext IKS/Compliance

14.12.2016 CENTRIS AG 5

BCM Roadmap

Q3 Q4 Q1 Q2 Q3 Q4

2016 2017

IKS & Compliance

14.09.VR

Wirksamkeits-Nachweis

BCMWorkshops

25.11.Compliance

Board (Info zu BCM)

BCMGrundlagen

BCMSLA/Verträge

BCMTests

BCMReporting & Nachweise

BCMOrganisation

BCMNotfallpläne

BCMBIA & Strategie

Workshop-orientierte Themenbehandlung mit Kunden

Kunden-information

BCMIKS-Prüfkatalog

undBCM-Prüfkatalog

BCM-SOLLISO27K-Audit

JuliIKS BCM

(ISAE-Bericht BCM)

24.11.Compliance

Board (Info zu BCM)

BCMISO27K-Audit

SQS

SeptemberReifegradnachweiszu FINMA/SVV für

Centris-Kunden

BCMISO22301-

Zertifizierung(2018)

Information Prüfstellen Centris-Kunden

Zertifizierungsweg

Weg zum Nachweis gegenüber Behörden

Berichtwesen IKSKunden und Revision


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 6

FINMA/SVV fordern die Einhaltung der BCM Mindeststandards per 31. Juli 2017.

Business Continuity Management (BCM) deckt den ganzen Zyklus von der Katastrophenverhinderung bis zur Wiederherstellung ab. Es stellt sicher, dass die Geschäftsprozesse eines Unternehmens mit einer grösstmöglichen Verfügbarkeit aller lebenswichtigen Ressourcen (Technologie, Prozesse, Gebäude, Mitarbeiter) und mit einem Minimum von Störfällen abgewickelt werden kann. Im Krisenfall sind durch das BCM zwei Fokusthemen zu bewältigen:

Wiederherstellung der Geschäftsprozesse durch Wiederinstandstellung der ausgefallenen Ressourcen

Überbrückung der Geschäftsprozesse während der Krise unter Berücksichtigung der ausgefallenen Ressourcen (Notbetrieb oder >).

Anforderung Überlebensfähigkeit


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 7

Krisen-/Desaster-Management: Die Centris aber auch ihre Kunden erarbeiten für weitreichende Schadensereignisse

Das Business Continuity Management muss im Unternehmen verankert (Unternehmensstrategie) und in der Governance-Struktur des Unternehmens entsprechend berücksichtigt sein

Es muss eine geeignete Organisation für Business ContinuityFunktionen und Gremien zur Ereignisbewältigung (zum Beispiel Krisen- oder Notfall-Management) definiert sein.

Die Rollen, Verantwortlichkeiten und Kompetenzen dieser Funktionen und Gremien müssen ebenfalls bestimmt sein. Gleichzeitig sind die Ressourcen zu planen und die notwendige Ausbildung für diese Funktionen sicherzustellen.

Die Periodizität und der Umfang der internen Berichterstattung (zum Beispiel Reporting an die Geschäftsleitung) müssen geregelt sein.

Auslöser Gestaltungsbereich und der Leistungsauftrag


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 8

Das Business Continuity Management muss die Überlebensfähigkeit und die Weiterführung der Geschäftstätigkeit glaubhaft bei ausserordentlichen Ereignissen sichern. Mit Krise sind Ereignisse gemeint, die zum Zusammenbruch der Geschäftstätigkeit führen können.

Das BCM zielt auf eine Minimierung der finanziellen und reputationsbezogenen Auswirkungen bei solchen Situationen ab.

Gesamtverantwortung hat der Verwaltungsrat.

Der VR Centris bewilligte das BCM-Projekt.

Risikopotentiale Anwendung und Gesamtverantwortung

Cyber Angriffe

Pandemie

Naturkatastrophen

Terrorismus


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 9

Centris und voraussichtlich ihre Kunden werden unter «präventiv» / «ereignisorientiert» Ihre BCM-Strategie und die daraus abgeleitete Handlungsfähigkeit auf ihre Wirksamkeit hin nachweisen müssen (Annahme Compliance). Dazu bereiten wir uns wie folgt vor:

BCM Existenz-Nachweis

BCM-Strategie BCM Risikobasierendes Assetmanagement & BIA BCM Krisenorganisation

BCM Wirksamkeits-Nachweis

BCM-ÜBUNG zur Krisenorganisation BCM-Wiederanlauffähigkeit (Tests)

BCM Compliance-Nachweis (Revision)

IKS/BCM-Kontrollen zu Kunden und Allianzen bspw. AWRZ ISO/BCM-Zertifiziert (ISO27001 oder ISO22301)

Aufsichtskategorie - Systemrelevanz Kontroll- & Nachweisfähigkeit

intensiv und laufend

eng und laufend

präventiv

ereignisgesteuert

themenbasiert

zahlenbasiert


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 10

Planvorgehen Abgrenzung Kunden und Centris

Projekt BCM

Kunden müssen ab 7.2017 ihre Überlebensfähigkeit an FINMA/SVV nachweisen können

Centris baut BCM-Service aus und liefert Nachweis an ihre Kunden und deren Abschlussprüfer gemäss Art. 728 OR

CentrisKunden

Versicherer liefert NachweisIKS ( ISAE-Nachweis)

Operationalisierung und Kontrolle

BIA

Strategie

Umsetzung

Übungen & Tests

IKS – Prüfkatalog / -Bericht

Projekt BCM

Operationalisierung und Kontrolle

Zertifizierung(small-)ZertifizierungAnnahme: analog EDÖB - Datenannahmestelle kann es sein, dass die Kunden eine verkürzte Zertifizierung / Prüfung durch eine akkreditierte Stelle erbringen müssen (einmalig oder wiederkehrend).


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 11

Kontrolle Abgrenzung Kunden und Centris

FINMA macht deutlich, dass sie Ihre Aufgaben wahrnimmt / durchsetzt und VOR-Ort-Kontrollen durchführt.

FINMA verteilt Banken Noten und publiziert diese. Es ist wahrscheinlich, dass die Versicherungen je Aufsichtskategorie gleich behandelt werden. Adäquat EDÖB mit Datenannahmestelle (DAS).

Krankenversicherungen folglich auch die Centris als Ihr IT-Provider gem. Art. 728 OR (IKS) werden vor die selben Anforderungen gestellt.

Vor-Ort-Kontrollen bei Banken und Versicherungen existieren und werden durchgeführt.

In der Regel werden sie im Rahmen einer Jahresplanung durchgeführt. Es können aber aufgrund besonderer Ereignisse weitere, ausserplan-mässige Prüfungen hinzukommen.

Eine Kontrolle dauert i.d.R. wenige Tage bis mehrere Wochen, falls eine vertiefte Beurteilung notwendig ist.

Die Umsetzung / Durchführung ab 7.2017 ist noch unklar


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 12

Aufsichtstätigkeit Nachweis der Handlungsfähigkeit BCM

Kontrollart Einschätzung Nachweise Einschätzung

Vor-Ort-KontrolleFINMA/SVV-Prüfer kommen selbst vorbei

Nachweise IKS(BCM-Tests)

Wahrscheinlich über einen längeren Zeitraum, da Prüfstellen Zeit dafür brauchen. Oder in Kombination mit den ordentlichen ISO-Audits (ISO27K o.ä.)

durch akkreditierte PrüfstelleFINMA/SVV setzen eine akkreditierte Prüfstelle ein

Prüfkatalog an VersichererFINMA/SVV verschicken einen Prüfkatalog den die Versicherer ausgefüllt zurück senden

Prüfkatalog (Nachweise im Anhang)

Sehr wahrscheinlich, da die Umsetzung zur Selbstregulierung schnell und umfassed überprüft werden kann (indikativ)

Grundsätzlich hängt die Intensität der Überwachung von der Aufsichtskategorie des jeweiligen Instituts ab –die FINMA behält es sich jedoch vor, Hinweisen auf besondere Ereignisse situationsbezogen nachzugehen. Ein weiteres Instrument ist die Aufsichtsprüfung, die von externen Prüfgesellschaften als verlängerter Arm der FINMA vorgenommen wird.

Die Compliance von Centris geht zudem davon aus, dass adäquat zur EDÖB / Datenannahmestelle die FINMA resp. die SVV die Prüfungen an akkreditierte und unabhängige Prüfstellen vergeben und diese dann dort überwacht. Bei Unregelmässigkeiten oder bei bestimmten Ereignissen wird FINMA selbst aktiv – terminliche Auflagen usw.


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 13

Aufsichtstätigkeit Nachweis der Handlungsfähigkeit BCM

Nachweise zur Wirksamkeit

mittels Abgabe eines ISAE-Berichtes bestätigt die Centris die Existenz und die Wirksamkeit einer BCM-Lösung

ISO27K-Zertifikat d.h. die Fähigkeit der SLA-Einhaltbarkeit für Wiederanlauffristen

Krisenorganisation und org. / techn. Verfahren

ISAE-Bericht legt alle durchgeführten BCM-Kontrollen mit dem AWRZ-Betreiber (Tests (RTO/RPO) und bestimmte ITGC-Kontrollen)


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 14

Service für Kunden Prüfungs- & Berichtwesen bei Centris mit Fokus Kunden

1

2 Kunde profitiert vom IKS-Service der Centris, das auf anerkannte Prüfverfahren, Standards und Berichtwesen aufbaut und jährlich die Ergebnisse mit Vertretern der Revisionsstelle unserer Kunden abstimmt.

3

1

2

3

Kunde ist ausschliesslich auf seine Geschäftsprozesse fokussiert d.h. zu seinen Partnerorganisationen und Versicherten.

Die IKS / ISAE-Nachweise zur Existenz und Wirksamkeit sind wichtige Voraussetzungen bei den Kontrollen durch Behörden oder akkreditierten Prüfstellen. Der Kunde kann Unterstützung bei der Centris bei seinen Prüfungen anfordern.

Wir in der Compliance verstehen unter IKS seit 2008 einen etablierten Service, der von unseren Kunden geschätzt wird und von den Abschlussprüfern unserer Kunden akzeptiert ist.


WS_1 BCM-Grundlagen

14.12.2016 CENTRIS AG 15

Centris Zielsetzung und Aufgabe Kunden/Centris

Die Kunden müssen selbständig ihre Überlebens-fähigkeit nachweisen können

Centris unterstützt ihre Kunden dabei, indem sie ihre Vorlagen, BCM-Lösung und Erfahrung einbringt und die Kunden mittels Workshops begleitet

Zielsetzung ist die Harmonisierung / Abstimmung der BCM Roadmap zwischen Kunden und Centris, Diskussion und Abgleich gewählter BCM Standards und Terminologie, der Aufgaben zwischen Versicherern & Centris.

16

IKS-orientierte Kundeneinbindung erfolgt über das BCM-Projekt

Centris trägt keine Verantwortung für ein BCM bei Kunden, die Pflicht zur Selbstregulierung haben die

Kunden. Dabei unterstützt Centris ihre Kunden, indem sie zu ihrem Verantwortungsbereich sämtliche

Kontrollen und Nachweise zur Wirksamkeit erbringt, so dass ihre Kunden für die Abschlussprüfungen

bei sich, diese mit den eigenen Nachweisen vervollständigen und ihren Prüfstellen oder Behörden

aushändigen können. Die Nachweiserbringung erfolgt gemäss dem Reglement zum Compliance Board

in Form eines ISAE-Bericht (International Standard on Assurance Engagements).

Die Wirksamkeitsnachweise de Centris an ihre Kunden und Abschlussprüfer werden gemäss dem IKS-Reglement mittels dem ISAE-Berichtwesen erbracht. Die Berichtstruktur sieht 2 Teile vor und

fokussiert auf Kontrollen zwischen den Partnerorganisationen.


14.12.2016 CENTRIS AG 17

www.centris.ch

BCM Grundlagen - centrisag.ch

Documents

Transcript of BCM Grundlagen - centrisag.ch