Download - BCM Grundlagen - centrisag.ch
vertraulich, nur für den internen Gebrauch
14.12.2016 CENTRIS AG 0
BCM GrundlagenVeranlassung, Zielsetzungen, Vorgehen Leiter Strategie und Governance, Stefan Krapl
vertraulich, nur für den internen Gebrauch
Veranlassung
14.12.2016 CENTRIS AG 1
• Die FINMA/SVV verlangt von Versicherern die Einhaltung von Mindestanforderungen zu Business Continuity Management (BCM)
• Aus Sicht der für Business Continuity Management relevanten Unternehmensressourcen erbringt Centris einen Teil der «Externen Services»
• Centris als Service Provider ist interessiert ihre Kunden in der Nachweiserbringung der Überlebensfähigkeit zu unterstützen
• Durch ein gemeinsames Verfahren können die Grundlagen harmonisiert und über das IKS & Compliance Reporting von Centris die Nachweise gegenüber den Prüfstellen der Kunden nachgewiesen werden
Der Verwaltungsrat erteilt Centris den Auftrag, mit allen im VR vertretenen Kunden, eine Workshop Serie zur effizienten Abstimmung der BCM Themenfelder durchzuführen.
Auslöser Veranlassung
Umsetzung der Mindeststandards des Schweizerischen Versicherungs-verbandes (SVV) für das Business Continuity Management (BCM) bis am 31. Juli 2017
vertraulich, nur für den internen Gebrauch
BCM Kundenworkshops
14.12.2016 CENTRIS AG 2
• Centris als Service Provider bietet ihren im Verwaltungsrat vertretenen Kunden an, die BCM Themenfelder in einer Serie von gemeinsamen Workshops aufeinander abzustimmen.
• Das Vorgehen über gemeinsame Workshops ermöglicht eine effiziente Abstimmung vom Aufbau eines gemeinsamen Verständnisses, über den Aufbau der BCM Organisation bis hin zur Erbringung von FINMA/SVV Nachweisen.
• Die Workshops werden moderiert sowie als Themen Dokumentation bereit gestellt. Die Workshops beinhalten in der Regel:
• Einleitung in das Thema
• Methodischer Aufbau/Ansätze (durch unabhängigen BCM Experten)
• Centris spezifische Umsetzung (aus Sicht «Externe Services» für Versicherer)
• Diskussion im Plenum
• An die Workshops werden die von den Kunden nominierten Personen eingeladen, wobei immer mehrere Vertreter möglich sind.
• Die Teilnahme an den Workshops ist freiwillig und kostenpflichtig.
BCM Workshops Zielsetzungen
vertraulich, nur für den internen Gebrauch
BCM (Auszug aus Kundenworkshops)
14.12.2016 CENTRIS AG 3
FINMA/SVV fordern die Einhaltung der BCM Mindeststandards per 31. Juli 2017.Zielsetzung ist die Abstimmung der BCM Roadmap zwischen Kunden und Centris, Diskussion und Abgleich gewählter BCM Standards und Terminologie, die Abstimmung der Aufgaben zwischen Versicherern & Centris. Die Centris wird auf den Plan zum Wirksamkeitsnachweis, die Inhalte und die gegenseitigen Pflichten (IKS) informieren.
Unterlagen: Präsentation von Centris zu BCM Grundlagen
BCM Grundlagen
Die Business Services von Centris sind Teil der kritischen «Externen Services» von Versichern und müssen in deren Business Impact Analyse und BCM Strategie berücksichtigt werden. Centris erläutert im Workshop die Schutzziele (RTO und RPO) sowie Prioritäten im Wiederanlauf der Business Services. Auf dieser Grundlagen können die BIA und BCM Strategie von Kunden und Centris abgeglichen werden.
Unterlagen: Präsentation von Centris zu BIA, BCM Schutzzielen und BCM Strategie
BCM BIA & Strategie
Im Krisenfall ist die Organisation und Kommunikation zwischen Kunden und Centris ein elementarer Erfolgsfaktor. Zielsetzung im Workshop ist der Aufbau einer gemeinsamen BCM Organisation und Kommunikationsmittel für den Krisenfall. Die BCM Organisation kann Bestandteil der periodischen Überprüfung des BCM Reifegrades sein.
Unterlagen: Präsentation von Centris zu BCM Organisation, Krisenorganisation
BCM Organisation
Bei der Entscheidung zur Auslösung der Krisenorganisation werden nach Beurteilung des Lagebildes die vorbereiteten Notfallpläne aktiviert. Durch die Abstimmung der Wirkungsketten und Notfallpläne können die BCM Dokumentationen und Nachweise transparent dargelegt und zertifiziert werden.
Unterlagen: Präsentation von Centris zu Notfallszenarien
BCM Notfallpläne
InhalteBCM Workshops
vertraulich, nur für den internen Gebrauch
BCM Kundenworkshops
14.12.2016 CENTRIS AG 4
Inhalte
Die Absicherung der Business Services für den Krisenfall erfolgt bei Centris über den Aufbau eines Ausweichrechenzentrums. Die BCM relevanten Leistungen werden als Business Service Option erbracht und sind in SLA/Verträgen zu vereinbaren. Centris erläutert in diesem Workshop die Inhalte und Parameter neuen SLA/Verträge zum BCM.
Unterlagen: Entwürfe BCM SLA, Verträge
BCM SLA / Verträge
Centris für Business Continuity Managements einen IKS und BCM Prüfkatalog erstellen und in den Revisionen und Audits prüfen lassen. Damit wird BCM Teil der Inhalte des Compliance Boards und Kunden erhalten entsprechende Nachweise in Form von ISAE-Berichten*.Mittels Durchführung von Selektiven BCM Tests (aus dem BCM Prüfkatalog) können Kunden sich von der Einhaltung der Vorgaben überzeugen.
Unterlagen: BCM Prüfkatalog
• Unterlagen:
BCM Tests
Centris erläutert die Resultate und Berichte der verschiedenen IKS & Compliance Berichte als Grundlage für die Nachweise zur FINMA/SVV und ihren akkreditierten Prüfstellen.
Unterlagen: Nachweise ISAE-Bericht ISAE 3000
BCM Reporting & Nachweise
BCM Workshops
*ISAE: International Standard on Assurance Engagements. Bei Centris seit 2008 im Compliance Board etabliert.
vertraulich, nur für den internen Gebrauch
BCM Roadmap im Kontext IKS/Compliance
14.12.2016 CENTRIS AG 5
BCM Roadmap
Q3 Q4 Q1 Q2 Q3 Q4
2016 2017
IKS & Compliance
14.09.VR
Wirksamkeits-Nachweis
BCMWorkshops
25.11.Compliance
Board (Info zu BCM)
BCMGrundlagen
BCMSLA/Verträge
BCMTests
BCMReporting & Nachweise
BCMOrganisation
BCMNotfallpläne
BCMBIA & Strategie
Workshop-orientierte Themenbehandlung mit Kunden
Kunden-information
BCMIKS-Prüfkatalog
undBCM-Prüfkatalog
BCM-SOLLISO27K-Audit
JuliIKS BCM
(ISAE-Bericht BCM)
24.11.Compliance
Board (Info zu BCM)
BCMISO27K-Audit
SQS
SeptemberReifegradnachweiszu FINMA/SVV für
Centris-Kunden
BCMISO22301-
Zertifizierung(2018)
Information Prüfstellen Centris-Kunden
Zertifizierungsweg
Weg zum Nachweis gegenüber Behörden
Berichtwesen IKSKunden und Revision
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 6
FINMA/SVV fordern die Einhaltung der BCM Mindeststandards per 31. Juli 2017.
Business Continuity Management (BCM) deckt den ganzen Zyklus von der Katastrophenverhinderung bis zur Wiederherstellung ab. Es stellt sicher, dass die Geschäftsprozesse eines Unternehmens mit einer grösstmöglichen Verfügbarkeit aller lebenswichtigen Ressourcen (Technologie, Prozesse, Gebäude, Mitarbeiter) und mit einem Minimum von Störfällen abgewickelt werden kann. Im Krisenfall sind durch das BCM zwei Fokusthemen zu bewältigen:
Wiederherstellung der Geschäftsprozesse durch Wiederinstandstellung der ausgefallenen Ressourcen
Überbrückung der Geschäftsprozesse während der Krise unter Berücksichtigung der ausgefallenen Ressourcen (Notbetrieb oder >).
Anforderung Überlebensfähigkeit
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 7
Krisen-/Desaster-Management: Die Centris aber auch ihre Kunden erarbeiten für weitreichende Schadensereignisse
Das Business Continuity Management muss im Unternehmen verankert (Unternehmensstrategie) und in der Governance-Struktur des Unternehmens entsprechend berücksichtigt sein
Es muss eine geeignete Organisation für Business ContinuityFunktionen und Gremien zur Ereignisbewältigung (zum Beispiel Krisen- oder Notfall-Management) definiert sein.
Die Rollen, Verantwortlichkeiten und Kompetenzen dieser Funktionen und Gremien müssen ebenfalls bestimmt sein. Gleichzeitig sind die Ressourcen zu planen und die notwendige Ausbildung für diese Funktionen sicherzustellen.
Die Periodizität und der Umfang der internen Berichterstattung (zum Beispiel Reporting an die Geschäftsleitung) müssen geregelt sein.
Auslöser Gestaltungsbereich und der Leistungsauftrag
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 8
Das Business Continuity Management muss die Überlebensfähigkeit und die Weiterführung der Geschäftstätigkeit glaubhaft bei ausserordentlichen Ereignissen sichern. Mit Krise sind Ereignisse gemeint, die zum Zusammenbruch der Geschäftstätigkeit führen können.
Das BCM zielt auf eine Minimierung der finanziellen und reputationsbezogenen Auswirkungen bei solchen Situationen ab.
Gesamtverantwortung hat der Verwaltungsrat.
Der VR Centris bewilligte das BCM-Projekt.
Risikopotentiale Anwendung und Gesamtverantwortung
Cyber Angriffe
Pandemie
Naturkatastrophen
Terrorismus
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 9
Centris und voraussichtlich ihre Kunden werden unter «präventiv» / «ereignisorientiert» Ihre BCM-Strategie und die daraus abgeleitete Handlungsfähigkeit auf ihre Wirksamkeit hin nachweisen müssen (Annahme Compliance). Dazu bereiten wir uns wie folgt vor:
BCM Existenz-Nachweis
BCM-Strategie BCM Risikobasierendes Assetmanagement & BIA BCM Krisenorganisation
BCM Wirksamkeits-Nachweis
BCM-ÜBUNG zur Krisenorganisation BCM-Wiederanlauffähigkeit (Tests)
BCM Compliance-Nachweis (Revision)
IKS/BCM-Kontrollen zu Kunden und Allianzen bspw. AWRZ ISO/BCM-Zertifiziert (ISO27001 oder ISO22301)
Aufsichtskategorie - Systemrelevanz Kontroll- & Nachweisfähigkeit
intensiv und laufend
eng und laufend
präventiv
ereignisgesteuert
themenbasiert
zahlenbasiert
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 10
Planvorgehen Abgrenzung Kunden und Centris
Projekt BCM
Kunden müssen ab 7.2017 ihre Überlebensfähigkeit an FINMA/SVV nachweisen können
Centris baut BCM-Service aus und liefert Nachweis an ihre Kunden und deren Abschlussprüfer gemäss Art. 728 OR
CentrisKunden
Versicherer liefert NachweisIKS ( ISAE-Nachweis)
Operationalisierung und Kontrolle
BIA
Strategie
Umsetzung
Übungen & Tests
IKS – Prüfkatalog / -Bericht
Projekt BCM
Operationalisierung und Kontrolle
Zertifizierung(small-)ZertifizierungAnnahme: analog EDÖB - Datenannahmestelle kann es sein, dass die Kunden eine verkürzte Zertifizierung / Prüfung durch eine akkreditierte Stelle erbringen müssen (einmalig oder wiederkehrend).
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 11
Kontrolle Abgrenzung Kunden und Centris
FINMA macht deutlich, dass sie Ihre Aufgaben wahrnimmt / durchsetzt und VOR-Ort-Kontrollen durchführt.
FINMA verteilt Banken Noten und publiziert diese. Es ist wahrscheinlich, dass die Versicherungen je Aufsichtskategorie gleich behandelt werden. Adäquat EDÖB mit Datenannahmestelle (DAS).
Krankenversicherungen folglich auch die Centris als Ihr IT-Provider gem. Art. 728 OR (IKS) werden vor die selben Anforderungen gestellt.
Vor-Ort-Kontrollen bei Banken und Versicherungen existieren und werden durchgeführt.
In der Regel werden sie im Rahmen einer Jahresplanung durchgeführt. Es können aber aufgrund besonderer Ereignisse weitere, ausserplan-mässige Prüfungen hinzukommen.
Eine Kontrolle dauert i.d.R. wenige Tage bis mehrere Wochen, falls eine vertiefte Beurteilung notwendig ist.
Die Umsetzung / Durchführung ab 7.2017 ist noch unklar
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 12
Aufsichtstätigkeit Nachweis der Handlungsfähigkeit BCM
Kontrollart Einschätzung Nachweise Einschätzung
Vor-Ort-KontrolleFINMA/SVV-Prüfer kommen selbst vorbei
Nachweise IKS(BCM-Tests)
Wahrscheinlich über einen längeren Zeitraum, da Prüfstellen Zeit dafür brauchen. Oder in Kombination mit den ordentlichen ISO-Audits (ISO27K o.ä.)
durch akkreditierte PrüfstelleFINMA/SVV setzen eine akkreditierte Prüfstelle ein
Prüfkatalog an VersichererFINMA/SVV verschicken einen Prüfkatalog den die Versicherer ausgefüllt zurück senden
Prüfkatalog (Nachweise im Anhang)
Sehr wahrscheinlich, da die Umsetzung zur Selbstregulierung schnell und umfassed überprüft werden kann (indikativ)
Grundsätzlich hängt die Intensität der Überwachung von der Aufsichtskategorie des jeweiligen Instituts ab –die FINMA behält es sich jedoch vor, Hinweisen auf besondere Ereignisse situationsbezogen nachzugehen. Ein weiteres Instrument ist die Aufsichtsprüfung, die von externen Prüfgesellschaften als verlängerter Arm der FINMA vorgenommen wird.
Die Compliance von Centris geht zudem davon aus, dass adäquat zur EDÖB / Datenannahmestelle die FINMA resp. die SVV die Prüfungen an akkreditierte und unabhängige Prüfstellen vergeben und diese dann dort überwacht. Bei Unregelmässigkeiten oder bei bestimmten Ereignissen wird FINMA selbst aktiv – terminliche Auflagen usw.
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 13
Aufsichtstätigkeit Nachweis der Handlungsfähigkeit BCM
Nachweise zur Wirksamkeit
mittels Abgabe eines ISAE-Berichtes bestätigt die Centris die Existenz und die Wirksamkeit einer BCM-Lösung
ISO27K-Zertifikat d.h. die Fähigkeit der SLA-Einhaltbarkeit für Wiederanlauffristen
Krisenorganisation und org. / techn. Verfahren
ISAE-Bericht legt alle durchgeführten BCM-Kontrollen mit dem AWRZ-Betreiber (Tests (RTO/RPO) und bestimmte ITGC-Kontrollen)
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 14
Service für Kunden Prüfungs- & Berichtwesen bei Centris mit Fokus Kunden
1
2 Kunde profitiert vom IKS-Service der Centris, das auf anerkannte Prüfverfahren, Standards und Berichtwesen aufbaut und jährlich die Ergebnisse mit Vertretern der Revisionsstelle unserer Kunden abstimmt.
3
1
2
3
Kunde ist ausschliesslich auf seine Geschäftsprozesse fokussiert d.h. zu seinen Partnerorganisationen und Versicherten.
Die IKS / ISAE-Nachweise zur Existenz und Wirksamkeit sind wichtige Voraussetzungen bei den Kontrollen durch Behörden oder akkreditierten Prüfstellen. Der Kunde kann Unterstützung bei der Centris bei seinen Prüfungen anfordern.
Wir in der Compliance verstehen unter IKS seit 2008 einen etablierten Service, der von unseren Kunden geschätzt wird und von den Abschlussprüfern unserer Kunden akzeptiert ist.
vertraulich, nur für den internen Gebrauch
WS_1 BCM-Grundlagen
14.12.2016 CENTRIS AG 15
Centris Zielsetzung und Aufgabe Kunden/Centris
Die Kunden müssen selbständig ihre Überlebens-fähigkeit nachweisen können
Centris unterstützt ihre Kunden dabei, indem sie ihre Vorlagen, BCM-Lösung und Erfahrung einbringt und die Kunden mittels Workshops begleitet
Zielsetzung ist die Harmonisierung / Abstimmung der BCM Roadmap zwischen Kunden und Centris, Diskussion und Abgleich gewählter BCM Standards und Terminologie, der Aufgaben zwischen Versicherern & Centris.
16
IKS-orientierte Kundeneinbindung erfolgt über das BCM-Projekt
Centris trägt keine Verantwortung für ein BCM bei Kunden, die Pflicht zur Selbstregulierung haben die
Kunden. Dabei unterstützt Centris ihre Kunden, indem sie zu ihrem Verantwortungsbereich sämtliche
Kontrollen und Nachweise zur Wirksamkeit erbringt, so dass ihre Kunden für die Abschlussprüfungen
bei sich, diese mit den eigenen Nachweisen vervollständigen und ihren Prüfstellen oder Behörden
aushändigen können. Die Nachweiserbringung erfolgt gemäss dem Reglement zum Compliance Board
in Form eines ISAE-Bericht (International Standard on Assurance Engagements).
Die Wirksamkeitsnachweise de Centris an ihre Kunden und Abschlussprüfer werden gemäss dem IKS-Reglement mittels dem ISAE-Berichtwesen erbracht. Die Berichtstruktur sieht 2 Teile vor und
fokussiert auf Kontrollen zwischen den Partnerorganisationen.