BCM — Business Continuity Management
Evidence & Nachweise
Strukturierte Nachweisführung für das Business Continuity Management: Audit-Trail, Prüfpfad und Aufsichtsdokumentation.
BCM-Dokumentenstruktur
Die BCM-Dokumentation ist hierarchisch aufgebaut und bildet einen geschlossenen Regelkreis:
Ebene 1: Strategie
BCM-Policy (Vorstandsbeschluss), BCM-Rahmenwerk, Risikoappetit, Ziele
Ebene 2: Planung
BIA-Dokumentation, Risikoanalyse, Notfallhandbuch, Kommunikationsmatrix
Ebene 3: Durchführung
Übungspläne, Testprotokolle, Krisenstab-Protokolle, Maßnahmenverfolgung
Ebene 4: Prüfung
Audit-Berichte, Management-Review, Lessons Learned, Kennzahlen
Prüfpfad (Audit-Trail)
Jedes BCM-Dokument muss folgende Anforderungen erfüllen (DORA Art. 11, MaRisk BTO 1.3):
- · Versionierung mit Datum und Autor (lückenlose Änderungshistorie)
- · Freigabeprozess mit dokumentierter Genehmigung (Vorstand / BCM-Beauftragter)
- · Prüfpfad von der Policy bis zum einzelnen Nachweis (Rückverfolgbarkeit)
- · Aufbewahrungsfrist: Mindestens 5 Jahre (DORA), dauerhaft für Prüfzwecke empfohlen
- · Zugriffsberechtigungen: Rollenbasiert mit Lese-/Schreibrechten
Nachweiskatalog für die Aufsicht
Folgende Nachweise sollten für Prüfungen durch die BaFin und interne Revision vorgehalten werden:
DORA Art. 11(3)
IKT-Contingency-Richtlinie
Aktuelle Version, Freigabe, letztes Review-Datum
DORA Art. 7
BIA-Dokumentation
Kritische Funktionen, RTO/RPO, Ressourcen
DORA Art. 24-25
Testprogramm & Übungen
Jahresplan, Protokolle, Lessons Learned
DORA Art. 19
Vorfallmeldungen
Meldungen an BaFin, Fristen-Nachweis