Seien wir doch mal ehrlich: Die Prozesslandkarte einer Bank, Versicherung oder Kapitalverwaltungsgesellschaft als „hippes Instrument der Unternehmenssteuerung“ zu bezeichnen, ist doch verwegen, oder? Welcher Entscheider ist heutzutage bereit, ein Projektbudget für die Aufnahme und Dokumentation von Unternehmensprozessen zu genehmigen? „Hauptsache, der Laden läuft, und jeder weiß, was zu tun ist“ scheint in manchen Unternehmen immer noch die Devise zu sein. Doch mit der EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz (DORA) wird sich die Meinung über die Bedeutung einer umfassenden und aussagekräftigen Prozesslandkarte ändern müssen.
Warum?
- Erstens: Weil die Dokumentation der Geschäftsprozesse gemäß dem Verordnungsgeber ein notwendiger Teil des Managementrahmens für die Steuerung von Risiken der Informations- und Kommunikationstechnik (IKT) ist.
- Zweitens: Weil sich das Unternehmen seiner Abhängigkeit von IKT-Systemen, Anwendungen und IKT-Drittdienstleistern bewusst machen muss, damit es seine Konzentrationsrisiken begrenzen und sein Business Continuity Management zielgerichteter abstimmen kann.
Während der erste Grund bei Entscheidern und Projektmitarbeitern lediglich an das Pflichtbewusstsein appelliert, sollte der zweite Grund die Bedeutung funktionierender IKT-Systeme und IKT-Lieferketten für die Existenzsicherung eines Finanzunternehmens transparent machen.
Kommen wir zum ersten Grund:
Gemäß Artikel 8 Absatz 1 DORA erwartet der Verordnungsgeber von Finanzunternehmen, alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, sämtliche Informationsassets (die Sammlung zu schützender materieller oder immaterieller Informationen) und alle IKT-Assets (die vom Finanzunternehmen genutzte Hard- und Software) zu ermitteln, zu klassifizieren und zu dokumentieren.
Im Zusammenhang mit Absatz 6, der ein Inventar über diese Assets verlangt, wird klar, dass es hier um eine Prozess- und Rollenbeschreibung geht, die einen konkreten Bezug zu den Soft- und Hardwarekomponenten herstellt, die zu deren Ausführung erforderlich sind.
Des Weiteren enthält Absatz 5 dieses Artikels die Verpflichtung, alle Prozesse zu ermitteln und zu dokumentieren, die von IKT-Drittdienstleistern abhängen. Insbesondere sind Vernetzungen mit IKT-Drittdienstleistern zu ermitteln, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen. Auch dafür verlangt Absatz 6 ein Inventar der identifizierten Abhängigkeiten. Welchen Beitrag leistet die Umsetzung dieser Anforderungen im Hinblick auf den zweiten Grund, der für eine Prozesslandkarte spricht? Das geht aus dem folgenden Schaubild hervor:
Nach der Ermittlung und Dokumentation aller IKT-gestützten Geschäftsprozesse sind diejenigen Prozesse zu kennzeichnen, die unter Berücksichtigung der Definition in Artikel 3 Absatz 1 Nr. 22 DORA als kritisch oder wichtig angesehen werden müssen. Diese Klassifizierung bedeutet nichts anderes als: Wenn der als kritisch oder wichtig gekennzeichnete Prozess vorübergehend nicht mehr ausgeführt werden kann, verliert das Unternehmen entweder sehr viel Geld oder es gefährdet seine aufsichtsrechtliche Lizenz.
Im nächsten Schritt zieht man das Assetinventar heran, das schon von den BAIT, VAIT, KAIT und ZAIT gefordert war und meist in einer Configuration Management Data Base (CMDB) dokumentiert ist. Die darin verzeichneten IKT-Assets werden den Prozessen zugeordnet, die davon abhängig sind. Ist diese Aufgabe erledigt, liegt schon die erste wertvolle Erkenntnis für die Betriebsstabilität des Finanzunternehmens vor, nämlich die Antwort auf die Frage:
Welche IKT-Systeme und Anwendungen müssen möglichst stabil und unterbrechungsfrei laufen, damit die aufsichtliche Lizenz und die Ertragslage unseres Finanzunternehmens nicht gefährdet werden können?
Im letzten Schritt werden die IKT-Drittdienstleister und deren Subunternehmer den Prozessen zugeordnet, an denen sie mitwirken. Und auch hier kann nun eine wichtige Frage beantwortet werden: Welche IKT-Drittdienstleister leisten einen so großen Beitrag zur Wertschöpfung eines Finanzunternehmens, dass sie besonders eng überwacht und kurzfristig realisierbare Alternativdienstleister bereitgehalten werden müssen? Hierbei müssen eng miteinander verbundene Dienstleister unbedingt als Leistungseinheit betrachtet werden, um das unternehmensinterne IKT-Konzentrationsrisiko gemäß Artikel 29 DORA beurteilen zu können.
Alle hier genannten Erkenntnisse, mit denen die Existenz eines Finanzunternehmens gesichert werden soll, fangen mit der Prozesslandkarte und der Kennzeichnung ihrer kritischen oder wichtigen Prozesse an. Ist die Prozesslandkarte nicht doch ein „hippes Instrument der Unternehmenssteuerung“?
Gerne stehen wir Ihnen zur Verfügung, um Sie bei der Umsetzung aller Themengebiete rund um DORA zu unterstützen.