Bedeutung des Begriffs «operationelle Resilienz»
Die Vielfalt der operationellen Begriffe in der Sprachwelt der Regularien ist bedeutend und in aller Munde. Jüngst eröffnete die FINMA das Vernehmlassungsverfahren des Rundschreibens für operationelle Risiken. Eine Neuheit?
In Anlehnung an den Basler Standard für Bankenaufsicht werden im Rundschreiben Begriffe zum operationellen Risikomanagement mit operationeller Resilienz zusammengebracht. Nun fragt sich der Leser bestimmt, was es damit auf sich hat. Nehmen wir uns der Sache zunächst sprachlich an. Resilienz leitet sich vom lateinischen Wort «resilire» ab, was so viel bedeutet wie «zurückspringen», «abprallen». Gebräuchlich ist der Begriff vor allem in der Psychologie. Er beschreibt die psychische Widerstandskraft und die Fähigkeit, schwierige Lebenssituationen ohne anhaltende Beeinträchtigung zu überstehen. Die operationelle Resilienz bedeutet nun nichts geringeres als die Fähigkeit eines Unternehmens, seinen Geschäftsbetrieb angesichts unerwünschter Betriebsereignisse fortzuführen. Dies setzt voraus, dass das Unternehmen in der Lage ist, solche Ereignisse vorherzusehen, ihnen vorzubeugen, geeignete Massnahmen einzuleiten und sich somit den veränderten Gegebenheiten anzupassen. Die Frage ist nun aber, ob Resilienz auch zu geringeren Risiken führt? Mitnichten. Resilienz erhöht lediglich die Widerstandsfähigkeit für auftretende Ereignisse. Demgegenüber ist das fundamentale Prinzip der operationellen Resilienz «biegen, aber nicht brechen». Dies bedeutet so viel wie: Das Institut akzeptiert die Dinge so, wie sie sind, und versteht, welche Dinge geändert werden können und welche nicht. Ein Anpassen an eine ideale Scheinwelt steht nicht im Fokus.
Nutzen der operationellen Resilienz
Unterbrechungen in Systemen oder Dienstleistungen sowie die Erreichbarkeit von Instituten (z.B. die störungsfreie Funktion von Websites oder der Zugriff auf Konten via Internet) haben Einfluss auf die Einnahmen des Unternehmens und sind wichtig für das Kundenerlebnis. Solche Ereignisse können sich negativ auf den Wert des Unternehmens auswirken.
Die Vergangenheit und insbesondere die Pandemie haben gezeigt, dass Business Continuity- und Desaster Recovery-Pläne eher als «Check the box»-Aktivitäten angesehen werden und weniger als echte Instrumente des Risikomanagements. Gerade aufgrund der hohen globalen Abhängigkeiten bei der Erbringung von Dienstleistungen gehen potentiell kritische Komponenten einer «end to end»-Serviceleistung häufig vergessen. Die traditionellen Ansätze betrachten Vermögenswerte eher in Silos und ignorieren Abhängigkeiten zu bzw. Zusammenhänge mit kritischen Funktionen. Ebenso wird vom Institut bei diesen Ansätzen bei einer sich schnell ändernden Umwelt vornehmlich reaktiv gehandelt. Dies führt mitunter dazu, dass Firmen weniger flexibel auf sich wandelnde Umstände reagieren und sich langsamer der Umwelt anpassen. Fokussiert ein Unternehmen im Zusammenhang mit Betriebsstörungen bzw. Betriebsunterbrechungen auf Standardsets, suggerieren traditionelle Ansätze einen falschen Wohlfühlfaktor für das Institut.
Hat das Finanzinstitut den Überblick?
Um operationelle Resilienz zu erreichen, muss ein ganzheitlicher Ansatz angewendet werden, der für das Finanzinstitut komplex und herausfordernd sein kann. Folgende Aspekte sind zu beachten:
- Das Finanzinstitut benötigt ein Verständnis dafür, wie kritische Funktionen von den verschiedenen Bereichen - wie Technologien, Daten, Drittparteien, Standorte, das operative Geschäft oder die Mitarbeitenden - beeinflusst werden.
- Das Finanzinstitut sollte über alle Bereiche hinweg konsistent und ganzheitlich die Widerstandsfähigkeit und Kontrollen aufbauen.
- Es wird eine spezialisierte und funktionsübergreifende Expertise benötigt, um die Resilienz einer Organisation zu verstehen, zu evaluieren und zu messen.
- Im Falle eines Worst-Case-Szenarios ist die Voraussetzung für eine angemessene Widerstandsfähigkeit der Organisation eine umfangreiche Koordination, eine gut funktionierende Zusammenarbeit und eine systematische Vorbereitung.
Für die anstehende Umsetzung des neuen FINMA-Rundschreibens kommen umfassende Tätigkeiten auf die Finanzinstitute zu. Die externen Gefahren durch Pandemien, Cyberattacken, finanzielle Krisen, makroökonomische Faktoren und weitere, denen sich die Finanzinstitute durch die anhaltende Globalisierung und Vernetzung stellen müssen, führen zu einem immer höheren Risiko für die Finanzinstitute selbst und gefährden potentiell eine kontinuierliche Fortführung des Geschäftsbetriebs. Daher ist es für die Finanzinstitute fundamental, sich aus dem Inneren heraus zu stärken.