Operational Resilience – Stimmen aus Basel

Oper. Resilience – Stimmen aus Basel

BCBS rückt die Widerstandsfähigkeit ins Licht des operationellen Risikomanagements

The story so far…

Als alte Seefahrernation sind die Engländer allgemein für ihren Pioniergeist bekannt. So auch, wie in diesem Falle, bei den regulatorischen Fragestellungen rund um die operationelle Widerstandsfähigkeit im Finanzmarkt. Hier waren die FCA und PRA bereits lange vor dem ersten COVID-19 Fall besorgt und man veröffentlichte schon im Juni 2018 das Diskussionspapier „Operational Resilience: Impact tolerances for important business services“. Da man mit guten Ideen selten lange allein bleibt, wurde u.A. auch die Europäische Kommission mit ihrem Konsultationsdokument „Digital Operational Resilience Framework for financial services“ aktiv, in welchem sie, aufgrund der rapiden Digitalisierung des Finanzmarktes, die Notwendigkeit der verbesserten Widerstandsfähigkeit von Informations- und Kommunikationstechnologie (ICT) betont. Zu guter Letzt hat sich nun am 6. August der Baseler Ausschuss für Bankenaufsicht (BCBS) mit einer gemeinsamen Veröffentlichung der Konsultationsversionen der “Principles for operational resilience” (POR) und der “Revision to the principles for the sound management of operational risk” (PSMOR) zu Wort gemeldet und damit einen stärkeren, internationalen Fokus auf das Management der Operationellen Risiken in diesem Zusammenhang gelegt, wobei in beiden Dokumenten auch die Bedeutung von ICT hervorgehoben wird.

Aha. Also BKM, oder wie?

BCBS definiert Operational Resilience als „die Fähigkeit kritische Operationen trotz Disruptionen durchführen zu können, was voraussetzt, dass Banken Bedrohungen erkennen, sich vor ihnen schützen, auf Ausfälle reagieren, sich anpassen und erholen können sowie, dass sie aus Ereignissen lernen“. Das Betriebliche Kontinuitätsmanagement (BKM) kümmert sich zwar um das Aufrechterhalten von zeitkritischen Operationen, greift hier aber definitionsgemäß deutlich zu kurz.

Entlang von sieben Prinzipien wird im POR beschrieben, dass es eines holistischen Gesamtansatzes bedarf, welcher die einzelnen Aspekte verschiedener Kontrollfunktionen der Bank miteinander verzahnt:

POR-Prinzip Beschreibung
1) Governance Banken sollten ihre bestehende Governance nutzen, um einen effektiven Operational-Resilience-Ansatz zu entwickeln, zu überwachen und umzusetzen. Dieser sollte es ihnen ermöglichen, auf Disruptionen zu reagieren, sich ihnen anzupassen, sich von ihnen zu erholen und von ihnen zu lernen, damit die Störungen kritischer Operationen minimiert werden.
2) Management operationeller Risiken Banken sollten ihre bestehenden Funktionen zum Management von Operationellen Risiken nutzen, um externe und interne Bedrohungen und potenzielle Ausfälle von Menschen, Prozessen und Systemen laufend zu identifizieren, Schwachstellen kritischer Operationen umgehend zu bewerten und die daraus resultierenden Risiken unter Berücksichtigung der Operational-Resilience-Erwartungen zu managen.
3) Geschäfts-kontinuitäts- planung und Tests BKM-Pläne und -Tests sollten für eine Reihe von schwerwiegenden, aber plausiblen Szenarien durchgeführt werden, um die Fähigkeit zu testen kritische Operationen bei Disruptionen durchzuführen.
4) Abbildung von Querverbindungen und Abhängigkeiten Nachdem die kritischen Operationen identifiziert wurden, sollten die relevanten internen und externen Querverbindungen und Abhängigkeiten dieser untereinander abgebildet werden, um die Operational-Resilience-Erwartungen zu definieren, die notwendig sind, um die kritischen Operationen anzubieten.
5) Management von Abhängigkeiten zu Drittpartein Banken sollten ihre Abhängigkeiten von Beziehungen, einschließlich, aber nicht beschränkt auf Beziehungen zu Dritten oder gruppeninternen Einheiten, für die Durchführung kritischer Operationen managen.
6) Incident management Banken sollten Notfall- und Sanierungspläne entwickeln und umsetzen, um Vorfälle zu managen, welche die Durchführung kritischer Operationen stören könnten. Dies sollte im Einklang mit der Risikotoleranz für Unterbrechungen geschehen, unter Berücksichtigung der Risikobereitschaft, der Risikotragfähigkeit und des Risikoprofils der Bank.
7) ICT- und Cyber- Sicherheit Banken sollten ein robustes Management von ICT- und Cyberrisiken vorweisen, welches Schutz-, Erkennungs-, Reaktions- und Wiederherstellungsprogramme einsetzt. Diese sollten regelmäßig getestet werden, ein angemessenes Situationsbewusstsein beinhalten und den Benutzern rechtzeitig relevante Informationen übermitteln, um die Durchführung der kritischen Operationen der Bank zu unterstützen und zu erleichtern.

Kernelemente und was daran neu ist

Ausgangslage ist die Frage: „Was ist schützenswert?“ Zwar geben die unterschiedlichen Kontrollfunktionen bereits Antworten, jedoch mit unterschiedlichem, meist eingeschränktem Blickwinkel. BCBS verwendet in diesem Zusammenhang den Begriff „kritische Operationen“, welche aus einer übergreifenden Gesamtperspektive betrachtet werden müssen. Bei der Identifikation bedienen sich die POR an der Methodik der Sanierungs- und Abwicklungsplanung.

Klar hervorgehoben wird auch die Bedeutung der internen und externen Querverbindungen und Abhängigkeiten. Gemeint sind damit Mitarbeiter, Technologien, Prozesse, Informationen, Gebäude, etc., die benötigt werden, um die kritischen Operationen durchzuführen und welche meist multilaterale Abhängigkeiten aufweisen. Ein fragwürdig zubereitetes Tiramisu bei der Abteilungsfeier der IT kann gegebenenfalls dazu führen, dass Mitarbeiter nicht zur Arbeit erscheinen, die für den Betrieb mehrerer Applikationen benötigt werden, die wiederum von jeweils mehreren kritischen Operationen benötigt werden, welche wiederum möglicherweise aufeinander aufbauen. Wichtig ist hierbei zu betonen, dass die POR besonderes Augenmerk auf extern bereitgestellte Abhängigkeiten legen. Aus diesem Inventar an kritischen Operationen und deren Abhängigkeiten ergeben sich Verwundbarkeiten.

BCBS betrachtet Operational Resilience im Sinne des Managements operationeller Risiken und der Spruch „you can’t manage what you can’t measure“ trifft auch hier zu. Damit die Verfügbarkeit der kritischen Operationen innerhalb der Toleranzgrenzen bleiben, müssen Metriken und Kontrollen zur Überwachung etabliert werden, deren Schwellenwerte und resultierenden Maßnahmen dem Risikoappetit und der Risikotragfähigkeit der Bank entsprechen. Man sollte sich jedoch nicht von dem Wort „operationelle Risiken“ fehlleiten lassen, denn Operational Resilience ist als multidisziplinärer Ansatz zu verstehen, bei dem die Identifikation, Bewertung und Überwachung in den jeweiligen relevanten Funktionen liegen kann (z.B. Auslagerungsmanagement bei ausgelagerten Komponenten).

Eine der Funktionen, die bei Operational Resilience naturgemäß im Fokus liegen ist das BKM. Hier wird gefordert, dass ein Set von schwerwiegenden, aber plausiblen Szenarien in Tests zum Einsatz kommt, welche bei der Identifikation von Abhängigkeiten und Verwundbarkeiten helfen sollen, aber auch zur Sicherstellung dient, dass die definierten Maßnahmen dazu führen, dass die Verfügbarkeit von kritischen Operationen nicht die abgeleiteten Toleranzgrenzen überschreitet. Auch bei den geforderten Tests wird der multidisziplinare Ansatz der POR deutlich, denn auch die weiteren relevanten Funktionen wie das Incident Management (Reaktions- und Sanierungspläne), Auslagerungsmanagement (Exitstrategien), ICT und Cyber Sicherheit müssen sich in den Tests engagieren und in den Abläufen ihrer Rolle gerecht werden.

Wie man „resilient“ wird

Man erkennt schnell, dass es sich bei Operational Resilience im Kern um ein Programm für ein flexibles, funktionsübergreifendes Reagieren auf sich materialisierende operationelle Risiken handelt. Um diesen weitreichenden und umfassenden Bemühungen genügend Gewicht zu verleihen, empfiehlt sich eine Verantwortlichkeit auf Geschäftsführerebene und die Erstellung einer entsprechenden Strategie zur Definition der Erwartungen, welche eng mit der Geschäfts- und Risikostrategie, -appetit und -tragfähigkeit abgestimmt sein sollte. In den POR in Verbindung mit den PSMOR macht das BCBS die Nähe zum Operationellen Risikomanagement deutlich, was eine Verortung des Programms im CRO-Bereich nahelegt.

Zunächst sollten sich Banken darüber Gedanken machen, inwieweit sie die bestehenden Anforderungen bereits erfüllen und ob ihre jetzige Governance den geforderten übergreifenden Ansatz abbilden kann. Die Herausforderungen bestehen insbesondere darin, eine große Anzahl von relevanten Funktionen an einen Tisch zu bringen, um ein gemeinsames Verständnis zu schaffen und den Risikomanagementprozess der Identifizierung, Überwachung, Maßnahmenergreifung und des Berichtens zu harmonisieren.

Relevanz für deutsche Banken

Zwar sind die POR auch nach finaler Veröffentlichung als solche in Deutschland nicht rechtlich bindend, jedoch kann man davon ausgehen, dass die Prinzipien in ähnlicher Weise in nationales Recht überführt werden. Davon abgesehen sollte spätestens nach den Erfahrungen, die wir alle während der letzten Monate gemacht haben, klar sein, dass unerwartete Ereignisse, wie Pandemien, eine ernsthafte Bedrohung für das Aufrechterhalten des operativen Geschäfts bedeuten können. Sicherlich blieb den allermeisten Banken das Schlimmste erspart, aber es fehlt nicht viel Fantasie, um sich auszumalen, welche Auswirkungen eine solche Krise vor nur 10 Jahren gehabt hätte, als Arbeiten von zuhause nicht ohne weiteres möglich war… In unserem Falle hat der technologische Wandel entscheidend zur Krisenbewältigung beigetragen, jedoch entstehen durch ihn neue Risiken für die Fortführung des operativen Betriebes.

Über den Schutz vor der „regulatorischen Keule“ und der verbesserten Reaktion auf Disruptionen und Krisen hinaus, birgt eine Umsetzung der Operational Resilience einige lohnende Vorteile: Zum einen bieten die Harmonisierungsbemühungen zwischen den relevanten Funktionen die Möglichkeit zur Verschlankung und Verbesserung des Managementreportings, was die Steuerbarkeit der Risiken erleichtert. Nicht nur in Bezug auf das Reporting, sondern im gesamten Aufgabenbereich der relevanten Funktionen bietet ein Operational-Resilience-Programm zudem die Möglichkeit Redundanzen zu identifizieren und Synergien zu realisieren. Da ein wesentlicher Teil der Übung die Analyse der Abhängigkeiten von kritischen Operationen ist, können Effizienzgewinne auch durch die verbesserte Allokation von Ressourcen erzielt werden.

Jedes Unternehmen ist anders. Um zu verstehen welches Potential ein Operational-Resilience-Programm für Ihr Unternehmen haben kann, sprechen Sie uns an und wir gehen gerne mit Ihnen in den Austausch.

Datenmanagement Banken (BCBS 239)

Möchten Sie einen ganzheitlichen Überblick über die BCBS 239 Compliance für Ihre Bank erhalten?

Diese Business Analytics hilft Ihnen dabei, den Compliance-Grad und den Umsetzungsstand fortlaufend zu messen und sich so im Marktvergleich einordnen zu können.

Jetzt testen