vertraulich, nur für den internen Gebrauch BCM Grundlagen Veranlassung, Zielsetzungen, Vorgehen 14.12.2016 CENTRIS AG Leiter Strategie und Governance, Stefan Krapl 0 vertraulich, nur für den internen Gebrauch Veranlassung Auslöser Veranlassung • Die FINMA/SVV verlangt von Versicherern die Einhaltung von Mindestanforderungen zu Business Continuity Management (BCM) Umsetzung der Mindeststandards des Schweizerischen Versicherungsverbandes (SVV) für das Business Continuity Management (BCM) bis am 31. Juli 2017 • Aus Sicht der für Business Continuity Management relevanten Unternehmensressourcen erbringt Centris einen Teil der «Externen Services» • Centris als Service Provider ist interessiert ihre Kunden in der Nachweiserbringung der Überlebensfähigkeit zu unterstützen • Durch ein gemeinsames Verfahren können die Grundlagen harmonisiert und über das IKS & Compliance Reporting von Centris die Nachweise gegenüber den Prüfstellen der Kunden nachgewiesen werden Der Verwaltungsrat erteilt Centris den Auftrag, mit allen im VR vertretenen Kunden, eine Workshop Serie zur effizienten Abstimmung der BCM Themenfelder durchzuführen. 14.12.2016 CENTRIS AG 1 vertraulich, nur für den internen Gebrauch BCM Kundenworkshops BCM Workshops Zielsetzungen • Centris als Service Provider bietet ihren im Verwaltungsrat vertretenen Kunden an, die BCM Themenfelder in einer Serie von gemeinsamen Workshops aufeinander abzustimmen. • Das Vorgehen über gemeinsame Workshops ermöglicht eine effiziente Abstimmung vom Aufbau eines gemeinsamen Verständnisses, über den Aufbau der BCM Organisation bis hin zur Erbringung von FINMA/SVV Nachweisen. • Die Workshops werden moderiert sowie als Themen Dokumentation bereit gestellt. Die Workshops beinhalten in der Regel: • Einleitung in das Thema • Methodischer Aufbau/Ansätze (durch unabhängigen BCM Experten) • Centris spezifische Umsetzung (aus Sicht «Externe Services» für Versicherer) • Diskussion im Plenum • An die Workshops werden die von den Kunden nominierten Personen eingeladen, wobei immer mehrere Vertreter möglich sind. • Die Teilnahme an den Workshops ist freiwillig und kostenpflichtig. 14.12.2016 CENTRIS AG 2 vertraulich, nur für den internen Gebrauch BCM (Auszug aus Kundenworkshops) BCM Workshops BCM Grundlagen Inhalte FINMA/SVV fordern die Einhaltung der BCM Mindeststandards per 31. Juli 2017. Zielsetzung ist die Abstimmung der BCM Roadmap zwischen Kunden und Centris, Diskussion und Abgleich gewählter BCM Standards und Terminologie, die Abstimmung der Aufgaben zwischen Versicherern & Centris. Die Centris wird auf den Plan zum Wirksamkeitsnachweis, die Inhalte und die gegenseitigen Pflichten (IKS) informieren. Unterlagen: Präsentation von Centris zu BCM Grundlagen BCM BIA & Strategie Die Business Services von Centris sind Teil der kritischen «Externen Services» von Versichern und müssen in deren Business Impact Analyse und BCM Strategie berücksichtigt werden. Centris erläutert im Workshop die Schutzziele (RTO und RPO) sowie Prioritäten im Wiederanlauf der Business Services. Auf dieser Grundlagen können die BIA und BCM Strategie von Kunden und Centris abgeglichen werden. Unterlagen: Präsentation von Centris zu BIA, BCM Schutzzielen und BCM Strategie BCM Organisation Im Krisenfall ist die Organisation und Kommunikation zwischen Kunden und Centris ein elementarer Erfolgsfaktor. Zielsetzung im Workshop ist der Aufbau einer gemeinsamen BCM Organisation und Kommunikationsmittel für den Krisenfall. Die BCM Organisation kann Bestandteil der periodischen Überprüfung des BCM Reifegrades sein. Unterlagen: Präsentation von Centris zu BCM Organisation, Krisenorganisation BCM Notfallpläne Bei der Entscheidung zur Auslösung der Krisenorganisation werden nach Beurteilung des Lagebildes die vorbereiteten Notfallpläne aktiviert. Durch die Abstimmung der Wirkungsketten und Notfallpläne können die BCM Dokumentationen und Nachweise transparent dargelegt und zertifiziert werden. Unterlagen: Präsentation von Centris zu Notfallszenarien 14.12.2016 CENTRIS AG 3 vertraulich, nur für den internen Gebrauch BCM Kundenworkshops BCM Workshops BCM SLA / Verträge Inhalte Die Absicherung der Business Services für den Krisenfall erfolgt bei Centris über den Aufbau eines Ausweichrechenzentrums. Die BCM relevanten Leistungen werden als Business Service Option erbracht und sind in SLA/Verträgen zu vereinbaren. Centris erläutert in diesem Workshop die Inhalte und Parameter neuen SLA/Verträge zum BCM. Unterlagen: Entwürfe BCM SLA, Verträge BCM Tests BCM Reporting & Nachweise Centris für Business Continuity Managements einen IKS und BCM Prüfkatalog erstellen und in den Revisionen und Audits prüfen lassen. Damit wird BCM Teil der Inhalte des Compliance Boards und Kunden erhalten entsprechende Nachweise in Form von ISAE-Berichten*. Mittels Durchführung von Selektiven BCM Tests (aus dem BCM Prüfkatalog) können Kunden sich von der Einhaltung der Vorgaben überzeugen. Unterlagen: BCM Prüfkatalog Centris erläutert die Resultate und Berichte der verschiedenen IKS & Compliance • Unterlagen: Berichte als Grundlage für die Nachweise zur FINMA/SVV und ihren akkreditierten Prüfstellen. Unterlagen: Nachweise ISAE-Bericht ISAE 3000 *ISAE: International Standard on Assurance Engagements. Bei Centris seit 2008 im Compliance Board etabliert. 14.12.2016 CENTRIS AG 4 vertraulich, nur für den internen Gebrauch BCM Roadmap im Kontext IKS/Compliance BCM Roadmap 2016 2017 Q3 Q4 14.09. VR IKS & Compliance Q1 Q2 Q3 Information Prüfstellen Centris-Kunden WirksamkeitsNachweis 25.11. Compliance Board (Info zu BCM) Juli IKS BCM (ISAE-Bericht BCM) BCM IKS-Prüfkatalog und BCM-Prüfkatalog BCM-SOLL ISO27K-Audit Q4 September Reifegradnachweis zu FINMA/SVV für Centris-Kunden 24.11. Compliance Board (Info zu BCM) Zertifizierungsweg BCM ISO27K-Audit SQS Weg zum Nachweis gegenüber Behörden Kundeninformation BCM Workshops BCM BCM BCM Grundlagen BIA & Strategie Organisation BCM Notfallpläne BCM SLA/Verträge Workshop-orientierte Themenbehandlung mit Kunden 14.12.2016 CENTRIS AG BCM Tests BCM Reporting & Nachweise Berichtwesen IKS Kunden und Revision 5 BCM ISO22301Zertifizierung (2018) vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Anforderung Überlebensfähigkeit FINMA/SVV fordern die Einhaltung der BCM Mindeststandards per 31. Juli 2017. Business Continuity Management (BCM) deckt den ganzen Zyklus von der Katastrophenverhinderung bis zur Wiederherstellung ab. Es stellt sicher, dass die Geschäftsprozesse eines Unternehmens mit einer grösstmöglichen Verfügbarkeit aller lebenswichtigen Ressourcen (Technologie, Prozesse, Gebäude, Mitarbeiter) und mit einem Minimum von Störfällen abgewickelt werden kann. Im Krisenfall sind durch das BCM zwei Fokusthemen zu bewältigen: Wiederherstellung der Geschäftsprozesse durch Wiederinstandstellung der ausgefallenen Ressourcen Überbrückung der Geschäftsprozesse während der Krise unter Berücksichtigung der ausgefallenen Ressourcen (Notbetrieb oder >). 14.12.2016 CENTRIS AG 6 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Auslöser 14.12.2016 Gestaltungsbereich und der Leistungsauftrag Krisen-/Desaster-Management: Die Centris aber auch ihre Kunden erarbeiten für weitreichende Schadensereignisse Das Business Continuity Management muss im Unternehmen verankert (Unternehmensstrategie) und in der GovernanceStruktur des Unternehmens entsprechend berücksichtigt sein Es muss eine geeignete Organisation für Business Continuity Funktionen und Gremien zur Ereignisbewältigung (zum Beispiel Krisen- oder Notfall-Management) definiert sein. Die Rollen, Verantwortlichkeiten und Kompetenzen dieser Funktionen und Gremien müssen ebenfalls bestimmt sein. Gleichzeitig sind die Ressourcen zu planen und die notwendige Ausbildung für diese Funktionen sicherzustellen. Die Periodizität und der Umfang der internen Berichterstattung (zum Beispiel Reporting an die Geschäftsleitung) müssen geregelt sein. CENTRIS AG 7 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Risikopotentiale Cyber Angriffe Pandemie Naturkatastrophen Terrorismus Anwendung und Gesamtverantwortung Das Business Continuity Management muss die Überlebensfähigkeit und die Weiterführung der Geschäftstätigkeit glaubhaft bei ausserordentlichen Ereignissen sichern. Mit Krise sind Ereignisse gemeint, die zum Zusammenbruch der Geschäftstätigkeit führen können. Das BCM zielt auf eine Minimierung der finanziellen und reputationsbezogenen Auswirkungen bei solchen Situationen ab. Gesamtverantwortung hat der Verwaltungsrat. Der VR Centris bewilligte das BCM-Projekt. 14.12.2016 CENTRIS AG 8 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Aufsichtskategorie - Systemrelevanz Kontroll- & Nachweisfähigkeit Centris und voraussichtlich ihre Kunden werden unter «präventiv» / «ereignisorientiert» Ihre BCM-Strategie und die daraus abgeleitete Handlungsfähigkeit auf ihre Wirksamkeit hin nachweisen müssen (Annahme Compliance). Dazu bereiten wir uns wie folgt vor: intensiv und laufend eng und laufend präventiv ereignisgesteuert BCM Existenz-Nachweis BCM-Strategie BCM Risikobasierendes Assetmanagement & BIA BCM Krisenorganisation BCM Wirksamkeits-Nachweis themenbasiert BCM-ÜBUNG zur Krisenorganisation BCM-Wiederanlauffähigkeit (Tests) zahlenbasiert BCM Compliance-Nachweis (Revision) IKS/BCM-Kontrollen zu Kunden und Allianzen bspw. AWRZ ISO/BCM-Zertifiziert (ISO27001 oder ISO22301) 14.12.2016 CENTRIS AG 9 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Planvorgehen Projekt BCM Abgrenzung Kunden und Centris Kunden müssen ab 7.2017 ihre Überlebensfähigkeit an FINMA/SVV nachweisen können Centris baut BCM-Service aus und liefert Nachweis an ihre Kunden und deren Abschlussprüfer gemäss Art. 728 OR Projekt BCM BIA Versicherer liefert Nachweis Strategie IKS ( ISAE-Nachweis) Umsetzung Übungen & Tests Operationalisierung und Kontrolle Operationalisierung und Kontrolle Kunden Centris IKS – Prüfkatalog / -Bericht (small-)Zertifizierung 14.12.2016 Zertifizierung CENTRIS AG Annahme: analog EDÖB - Datenannahmestelle kann es sein, dass die Kunden eine verkürzte Zertifizierung / Prüfung durch eine akkreditierte Stelle erbringen müssen (einmalig oder wiederkehrend). 10 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Kontrolle Abgrenzung Kunden und Centris FINMA macht deutlich, dass sie Ihre Aufgaben wahrnimmt / durchsetzt und VOR-Ort-Kontrollen durchführt. Vor-Ort-Kontrollen bei Banken und Versicherungen existieren und werden durchgeführt. In der Regel werden sie im Rahmen einer Jahresplanung durchgeführt. Es können aber aufgrund besonderer Ereignisse weitere, ausserplanmässige Prüfungen hinzukommen. FINMA verteilt Banken Noten und publiziert diese. Es ist wahrscheinlich, dass die Versicherungen je Aufsichtskategorie gleich behandelt werden. Adäquat EDÖB mit Datenannahmestelle (DAS). Krankenversicherungen folglich auch die Centris als Ihr IT-Provider gem. Art. 728 OR (IKS) werden vor die selben Anforderungen gestellt. Eine Kontrolle dauert i.d.R. wenige Tage bis mehrere Wochen, falls eine vertiefte Beurteilung notwendig ist. Die Umsetzung / Durchführung ab 7.2017 ist noch unklar 14.12.2016 CENTRIS AG 11 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Aufsichtstätigkeit Nachweis der Handlungsfähigkeit BCM Kontrollart Einschätzung Vor-Ort-Kontrolle FINMA/SVV-Prüfer kommen selbst vorbei durch akkreditierte Prüfstelle FINMA/SVV setzen eine akkreditierte Prüfstelle ein Prüfkatalog an Versicherer FINMA/SVV verschicken einen Prüfkatalog den die Versicherer ausgefüllt zurück senden Nachweise Einschätzung Nachweise IKS(BCM-Tests) Wahrscheinlich über einen längeren Zeitraum, da Prüfstellen Zeit dafür brauchen. Oder in Kombination mit den ordentlichen ISO-Audits (ISO27K o.ä.) Prüfkatalog (Nachweise im Anhang) Sehr wahrscheinlich, da die Umsetzung zur Selbstregulierung schnell und umfassed überprüft werden kann (indikativ) Grundsätzlich hängt die Intensität der Überwachung von der Aufsichtskategorie des jeweiligen Instituts ab – die FINMA behält es sich jedoch vor, Hinweisen auf besondere Ereignisse situationsbezogen nachzugehen. Ein weiteres Instrument ist die Aufsichtsprüfung, die von externen Prüfgesellschaften als verlängerter Arm der FINMA vorgenommen wird. Die Compliance von Centris geht zudem davon aus, dass adäquat zur EDÖB / Datenannahmestelle die FINMA resp. die SVV die Prüfungen an akkreditierte und unabhängige Prüfstellen vergeben und diese dann dort überwacht. Bei Unregelmässigkeiten oder bei bestimmten Ereignissen wird FINMA selbst aktiv – terminliche Auflagen usw. 14.12.2016 CENTRIS AG 12 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Aufsichtstätigkeit Nachweis der Handlungsfähigkeit BCM Nachweise zur Wirksamkeit mittels Abgabe eines ISAEBerichtes bestätigt die Centris die Existenz und die Wirksamkeit einer BCM-Lösung 14.12.2016 CENTRIS AG ISO27K-Zertifikat d.h. die Fähigkeit der SLAEinhaltbarkeit für Wiederanlauffristen Krisenorganisation und org. / techn. Verfahren ISAE-Bericht legt alle durchgeführten BCMKontrollen mit dem AWRZBetreiber (Tests (RTO/RPO) und bestimmte ITGCKontrollen) 13 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Service für Kunden Prüfungs- & Berichtwesen bei Centris mit Fokus Kunden 1 Kunde ist ausschliesslich auf seine Geschäftsprozesse fokussiert d.h. zu seinen Partnerorganisationen und Versicherten. 2 Kunde profitiert vom IKS-Service der Centris, das auf anerkannte Prüfverfahren, Standards und Berichtwesen aufbaut und jährlich die Ergebnisse mit Vertretern der Revisionsstelle unserer Kunden abstimmt. 3 1 2 3 Die IKS / ISAE-Nachweise zur Existenz und Wirksamkeit sind wichtige Voraussetzungen bei den Kontrollen durch Behörden oder akkreditierten Prüfstellen. Der Kunde kann Unterstützung bei der Centris bei seinen Prüfungen anfordern. 14.12.2016 Wir in der Compliance verstehen unter IKS seit 2008 einen etablierten Service, der von unseren Kunden geschätzt wird und von den Abschlussprüfern unserer Kunden akzeptiert ist. CENTRIS AG 14 vertraulich, nur für den internen Gebrauch WS_1 BCM-Grundlagen Centris Zielsetzung und Aufgabe Kunden/Centris Die Kunden müssen selbständig ihre Überlebensfähigkeit nachweisen können Centris unterstützt ihre Kunden dabei, indem sie ihre Vorlagen, BCM-Lösung und Erfahrung einbringt und die Kunden mittels Workshops begleitet Zielsetzung ist die Harmonisierung / Abstimmung der BCM Roadmap zwischen Kunden und Centris, Diskussion und Abgleich gewählter BCM Standards und Terminologie, der Aufgaben zwischen Versicherern & Centris. 14.12.2016 CENTRIS AG 15 IKS-orientierte Kundeneinbindung erfolgt über das BCM-Projekt Centris trägt keine Verantwortung für ein BCM bei Kunden, die Pflicht zur Selbstregulierung haben die Kunden. Dabei unterstützt Centris ihre Kunden, indem sie zu ihrem Verantwortungsbereich sämtliche Kontrollen und Nachweise zur Wirksamkeit erbringt, so dass ihre Kunden für die Abschlussprüfungen bei sich, diese mit den eigenen Nachweisen vervollständigen und ihren Prüfstellen oder Behörden aushändigen können. Die Nachweiserbringung erfolgt gemäss dem Reglement zum Compliance Board in Form eines ISAE-Bericht (International Standard on Assurance Engagements). Die Wirksamkeitsnachweise de Centris an ihre Kunden und Abschlussprüfer werden gemäss dem IKSReglement mittels dem ISAE-Berichtwesen erbracht. Die Berichtstruktur sieht 2 Teile vor und fokussiert auf Kontrollen zwischen den Partnerorganisationen. 16 vertraulich, nur für den internen Gebrauch www.centris.ch 14.12.2016 CENTRIS AG 17
© Copyright 2024 ExpyDoc
