Operational Resilience – das neue EZB-Fokusthema 2020

Die Bank of England definiert Operational Resilience wie folgt: „The ability of firms and the financial system as a whole to absorb and adapt to shocks, rather than contribute to them.“

Was bedeutet das für die Finanzdienstleister? Finanzdienstleister sind dazu angehalten, eine Herangehensweise zu entwickeln, die über die bisherigen Ansätze, wie traditionelle Notfallplanung oder Cyber Security, hinausgeht. Die Herausforderung besteht darin, bei Störungsereignissen, unabhängig von deren Ursache, die Geschäftsfähigkeit des Unternehmens und die wichtigsten Unternehmensdienstleistungen/Business Services aufrecht zu erhalten, insbesondere wenn Störungen zur Instabilität des Finanzsystems führen können. 

Die EZB hat das Thema als ein Schwerpunktthema für 2020 erklärt und neue Vorgaben angekündigt. Damit rückt das Thema Operational Resilience in den Fokus von künftigen Aufsichtsprüfungen.

Durch die bankenaufsichtlichen Anforderungen an die IT (BAIT) versuchte die Aufsicht, die Finanzinstitute zu stärken, indem Disziplinen wie das Business- und IT-Service-Continuity-Management, Cyber-Sicherheits-Management und Lieferantenmanagement stärker reguliert werden.

Trotz der bereits getätigten, immensen Aufwendungen der Finanzinstitute nimmt die Anzahl und die Diversität von externen Angriffen auf Services von Finanzinstituten stetig zu. Externe Bedrohungen wie durch Hackerangriffe, Naturkatastrophen (Klimawandel) oder Pandemien bedrohen nicht nur den einzelnen Finanzdienstleister, sondern das gesamte Finanzsystem.

Ziel der Operational-Resilience-Vorgaben ist es daher, die gesamte Finanzindustrie zu stärken, indem eine neue und erweiterte Perspektive, nämlich auf die zu schützenden Services einer Bank, in die bestehenden Strukturen integriert wird.

1. Operational Resilience wird stärker als alle bisherigen Standards und Vorgaben (u .a. BCM, ITSCM, Cyber-Sicherheits-Management etc.) top-down aus Gesamtunternehmens- und Finanzsystemsicht getrieben und verantwortet. 
2. Operational Resilience fordert viel mehr als vorherige Standards die externe Front-to-back-Sicht auf die wichtigsten Unternehmensdienstleistungen/Business Services. Dabei wird auch immer der Einfluss der Services auf das gesamte Finanzsystem betrachtet. 
3. Der neue Standard fordert die Festlegung messbarer KPIs und Toleranzgrenzen, deren Überschreitung definierte Maßnahmen auslösen. Ein regelmäßiges Reporting der gemessenen Abweichungen und eine aktive Maßnahmenplanung und -umsetzung müssen etabliert werden.

Wichtige Handlungsfelder für die Umsetzung von Operational Resilience liegen auf der Ebene der Führung und Strategie. Die Operational-Resilience-Strategie muss durch die Geschäftsführung verabschiedet werden und die zukünftige Unternehmensstrategie sowie Investitionsentscheidungen unterstützen bzw. beeinflussen. 

Eine weitere Handlungsebene betrifft die Unternehmensvorgaben und Frameworks. Die festgelegten KPIs/Toleranzgrenzen sowie die dazugehörigen Maßnahmen müssen in Bestehendes integriert werden und in der Unternehmenskultur verankert werden. 

Auf der Ebene des Geschäftsmodells müssen die priorisierten Unternehmensdienstleistungen/Business Services identifiziert und deren Abhängigkeiten dargestellt werden. Die zugehörigen Ressourcen (IT, Daten, Menschen, Lieferanten, Gebäude und Prozesse) müssen den Business Services zugeordnet werden, um auf dieser Ebene konkrete Maßnahmen bei gemessenen Überschreitungen von Toleranzgrenzen zu definieren.

KPMG hat folgende Leitplanken definiert, die bei der Umsetzung von Operational Resilience beachtet und immer wieder reflektiert werden sollten:

1. Top-down: Operational Resilience muss von der Führungsebene vorangetrieben und verantwortet werden. Dabei müssen die Maßnahmen und das Vorgehen mit der übergreifenden strategischen Agenda synchronisiert und abgestimmt sein. 
2. Messbar: Die Führungsebene muss klare KPIs und Toleranzgrenzen definieren und sicherstellen, dass diese systematisch gemanagt werden. Dabei muss eine regelmäßige Messung und ein integriertes Reporting gewährleistet werden.
3. Front-to-back: Operational Resilience muss „front-to-back“ verstanden und umgesetzt werden. Dabei bilden Unternehmensdienstleistungen/Business Services an externe Nutzer (Kunden, Lieferanten, Regulator etc.) den Ausgangspunkt der Betrachtungen.
4. Widerstandsfähig: Widerstandsfähigkeit (Operational Resilience) sollte ein wesentliches Kriterium sämtlicher Managemententscheidungen und Geschäftsaktivitäten sein – fest in der Unternehmenskultur verankert.
5. Vielseitig: Operational Resilience erfordert den Aufbau eines breiten Strategien-Spektrums, um vielseitig auf unterschiedlichste Ereignisse und Eventualitäten reagieren zu können. Diese Diversifizierung minimiert das Risiko vielseitiger Angriffsmöglichkeiten.

KPMG hat ein Vorgehen zur Umsetzung von Operational-Resilience-Anforderungen entwickelt und konnte dabei bereits zahlreiche Erfahrungen aus Operational-Resilience-Umsetzungsprojekten in UK einfließen lassen.

1. Maturity Assessment: Wir profitieren durch unsere Erfahrungen aus anderen regulatorischen Projekten und können, noch bevor wir mit einem umfangreichen Umsetzungsprojekt starten, in wenigen Tagen wesentliche GAPs und QuickWins identifizieren. Dieser Schritt kann auch alleinstehend durchgeführt werden und ist im gesamten Projektvorgehen optional.
2. Definition von Top-down-Prinzipien und Strategie: Der erste Schritt umfasst die Festlegung von Top-down-Leitlinien sowie die Abstimmung und Verankerung mit der gesamten Unternehmensstrategie.
3. Identifikation des Business-Service-Rahmenwerks und Priorisierung: Nach erfolgreichem Abschließen des ersten Schritts folgt die Dokumentation des Business-Service-Rahmenwerks und die Priorisierung der Services aus der Operational-Resilience-Perspektive.
4. Ressourcen-Mapping: In diesem weiteren Schritt werden die Ressourcen IT, Daten, Menschen, Lieferanten, Gebäude und Prozesse den priorisierten Business Services zugeordnet.
5. Definition KPIs, Toleranzgrenzen, Szenarien und Maßnahmen: Nachdem die Ressourcen den Business Services zugeordnet wurden, werden messbare KPIs und die dazugehörigen Toleranzgrenzen festgelegt. Darauf folgt die Definition von Szenarien und Mitigationsmaßnahmen.
6. Implementierung, Integration und Reporting; Kulturelle Verankerung: Nun folgt der abschließende Schritt, nämlich die Implementierung und Integration der festgelegten Maßnahmen in bestehende Unternehmensvorgaben. Regelmäßige Reportings müssen aufgesetzt und in die Unternehmenskultur verankert werden.
7. Test: Um sicherzustellen, dass die Umsetzung der Operational-Resilience-Vorgaben erfolgreich war, müssen Testszenarien festgelegt werden und die festgelegten Maßnahmen geprüft werden.

Aus unserer Sicht gibt es besondere Herausforderungen, die bei der Umsetzung zu beachten und zu lösen sind, unter anderem:

• Häufig fehlen klare Verantwortlichkeiten auf Führungsebene für regulatorische Sicherheitsthemen.
• Der Aufbau eines eindeutigen Business-Service-Rahmenwerks kann schwierig sein. Häufig existiert diese eindeutige externe Front-to-back-Sicht mit klaren Verantwortlichkeiten nicht.
• Die Festlegung klarer, eindeutiger Service-Verantwortlichkeiten (Single Ownership) für die identifizierten und priorisierten Business Services müssen gefunden werden.
• Die Identifikation der kritischen Business Services und das Mapping zu bestehenden Prozessen, Anwendungen, IT-Infrastrukturen und Dienstleistern ist häufig komplex. 
• Die Festlegung von praktikablen und messbaren KPIs und insbesondere die Definition von messbaren Toleranzgrenzen sowie die Implementierung eines entsprechenden Reportings stellt, unter Berücksichtigung vorhandener Kapazitäten, eine Herausforderung dar.
• Operational Resilience wird nicht auf der grünen Wiese umgesetzt, sondern muss mit den bestehenden Disziplinen (BCM, ITSCM, Cyber Security, IKK etc.) verknüpft und abgestimmt werden.

KPMG unterstützt Sie mit viel Erfahrung, Know-how und einer strukturierten Vorgehensweise dabei, diese Herausforderungen zu bestehen und die neue Anforderung erfolgreich umzusetzen.