The next BIG thing: Operational Resilience
Die Bankenwelt steht erneut vor großen Herausforderungen: Die Geschwindigkeit von Veränderungen nimmt stetig zu, ebenso die Komplexität.
Dadurch steigt das Risiko von Disruptionen, die den operativen Bankbetrieb beeinträchtigen und so das Geschäftsmodell eines Finanzinstituts grundsätzlich in Frage stellen können. Aktuell zeigt die Covid-19 Pandemie eindrücklich, dass Banken sich auch auf unerwartete Ereignisse vorbereiten müssen.
Die Welt dreht sich immer schneller
Die Ursachen für den Eintritt neuartiger und unerwarteter Ereignisse sind vielfältig. Die fortschreitende Digitalisierung, neue Technologien, Klimawandel, der Markteintritt von FinTechs, der Trend zu immer mehr Regulierung, geopolitische Veränderungen und die wachsende internationale Vernetzung führen dazu, dass Banken ihre Geschäftsmodelle überdenken müssen.
In der Folge werden in Banken verschiedenste strategische Optionen diskutiert und realisiert. Kooperationen mit FinTechs, die Einführung neuer Produkte wie z.B. Crypto Assets und Green Bonds, die Automatisierung von Prozessen sowie Kostensenkungen und Qualitätsverbesserungen durch Auslagerungen sind Beispiele für Maßnahmen, die in diesem Zusammenhang umgesetzt werden.
Dieser Umbruch erhöht die Wahrscheinlichkeit von unerwarteten Unterbrechungen des Geschäftsbetriebes beispielsweise durch Cyberangriffe, Technologiefehler, Pandemien oder Naturereignisse.
Das Risikomanagement in Banken wird sich neu aufstellen
Banken werden sich daher im Rahmen des Risikomanagements nicht mehr nur darauf konzentrieren können, die finanziellen Auswirkungen disruptiver Ereignisse zu reduzieren und Kapital- oder Liquiditätspuffer vorzuhalten. Sie müssen vielmehr in der Lage sein, die für ihr Geschäftsmodell kritischen Prozesse und Aktivitäten auf einer end-to-end Basis mit dem Ziel zu identifizieren, diese auch bei Eintritt eines Störereignisses prospektiv aufrecht zu erhalten. Die Fähigkeit hierzu wird als Operational Resilience bezeichnet.
Operational Resilience ist das Ergebnis eines bankweiten, vom Top-Management gesteuerten Prozesses. Die Steigerung der operationellen Widerstandsfähigkeit erfordert, über die Bank als Ganzes neu nachzudenken und wo notwendig die entsprechende Anpassung von Prozessen, Zuständigkeiten und Risikokultur einzuleiten.
Dabei gilt es, bisher häufig nur fragmentiert umgesetzte und lose gekoppelte Ansätze zum Management von Risiken, insbesondere das Management operationeller Risiken, die Notfallplanung und Tests der Notfallkonzepte, die Steuerung von Auslagerungen und Drittparteien, sowie das Management von Informations-, Kommunikations- und Technologierisiken einschließlich Cyber-Risiken zu integrieren.
Die Grundlage hierfür bildet die Erstellung sogenannter Mappings, in denen alle für die Erbringung einer wichtigen Dienstleistung benötigten Ressourcen wie Personal, Technologie, Prozesse, Daten, Gebäude sowie Infrastrukturen auch im Zusammenhang mit Drittparteien identifiziert und dokumentiert werden. Die Veranschaulichung von Abhängigkeiten und Interdependenzen erlaubt die gezielte Ermittlung von Verwundbarkeiten und darauf aufbauend die Verbesserung oder Beseitigung von kritischen Schwachstellen.
Im Zusammenhang mit der Etablierung eines geeigneten Überbaus und entsprechender Governance-Strukturen besteht die Möglichkeit, die Effektivität des Risikomanagements in einer Bank auf ein neues Niveau zu heben. Im Zielbild können sich Auswirkungen auf die Produktpalette, die Arbeitsprozesse sowie das Operating Model im Risikomanagement der Bank ergeben.
Gesetzgeber und Aufsichtsbehörden haben in jüngster Zeit verschiedene Initiativen gestartet, die global abgestimmt sind. Hier ist Ende März 2021 mit der Veröffentlichung zweier wesentlicher regulatorischer Leitplanken bemerkenswertes geschehen: Eine zentrale Rolle für weitere weltweite Regulierungsaktivitäten werden zum einen die durch den Basler Ausschuss für Bankenaufsicht veröffentlichten „Principles for Operational Resilience“ spielen. Ferner gab es neue gesetzliche Vorgaben der britischen Aufsichtsbehörden (Bank of England, Prudential Regulation Authority und Financial Conduct Authority) für britische Finanzunternehmen und diese sind ein konkretes Beispiel dafür, was in der ein oder anderen Form auch auf Banken in Deutschland zukommen wird. Darüber hinaus bereitet die EU-Kommission derzeit die Einführung des Digital Operational Resilience Acts (DORA) vor, der innerhalb der EU einen neuen gesetzlichen Rahmen zur Sicherstellung der digitalen Betriebsstabilität von Finanzunternehmen bilden soll.
Ziel ist, nach der als prioritär angesehenen Sicherstellung finanzieller Resilienz – eine wichtige Lehre aus der Finanzkrise – nunmehr die operationelle Widerstandsfähigkeit zu steigern. Denn für die Stabilität der Finanzmärkte und die Aufrechterhaltung des Vertrauens der Kunden ist es notwendig, dass Banken ihre Dienstleistungen kontinuierlich in hoher Qualität erbringen.
Banken müssen handeln
Für die Banken ergibt sich daraus eine gewisse Dringlichkeit, sich mit dem Thema ganzheitlich zu befassen und sich in die Diskussion einzubringen. Dadurch lassen sich einerseits regulatorische Maßnahmen in einem sinnvollen Rahmen halten, andererseits ein klarer Bezug zu den Marktgegebenheiten sicherstellen, d.h. Gold-plating vermeiden.
Mit unseren Beiträgen zum Thema „Operational Resilience“ möchten wir Ihnen dabei helfen, sicher durch dieses neue, dynamische und komplexe Thema zu navigieren. Welche Analysen Banken anstellen und welche konkreten Schritte Sie unternehmen sollten, diskutieren wir in den nächsten Blogposts.
Zudem werden wir uns über unser Netzwerk zu unseren deutschen und internationalen Kunden, Bankenverbänden und Aufsichtsbehörden in die Diskussion einbringen und auch hierüber im Rahmen der kommenden Blogposts berichten. Wir freuen uns auf Ihre Rückmeldungen!
Kontakt
Dirk Stemmer
Partner
Düsseldorf
