Die kanadische Finanzaufsichtsbehörde OSFI (Office of the Superintendent of Financial Institutions) ist die jüngste in einer langen Liste von Behörden, die neue Anforderungen an die operative Widerstandsfähigkeit veröffentlichen.

Leitlinie E-21 wurde am 22. August 2024 veröffentlicht, und das OSFI erwartet die vollständige Einhaltung durch die bundesstaatlich regulierten Finanzinstitute bis zum 1. September 2026. Zu den FRFIs gehören kanadische Banken und Versicherungsgesellschaften sowie ihre ausländischen Gegenstücke mit Niederlassungen in Kanada.

Wie bei anderen Vorschriften zur betrieblichen Widerstandsfähigkeit besteht das Ziel darin, Finanzinstituten dabei zu helfen, ihre Fähigkeit zu verbessern, negative Ereignisse zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen, während sie gleichzeitig ihre kritischen Geschäftsabläufe aufrechterhalten. Die Version der OSFI kombiniert Elemente des Unternehmensrisikomanagements mit Business Continuity, um die Widerstandsfähigkeit umfassend zu stärken.

Die Richtlinie führt zwar neue Anforderungen ein, baut aber weitgehend auf bestehenden Praktiken auf. Um die Anforderungen vollständig zu erfüllen, müssen Sie mit allen Risiko- und Widerstandsfähigkeitsteams zusammenarbeiten, um einen klaren Rahmen für das Management operationeller Risiken zu schaffen.

Die gute Nachricht ist, dass die meisten Unternehmen bereits über die grundlegenden Teile dieses Puzzles verfügen sollten. Beginnen Sie dort und nutzen Sie den Leitfaden als strukturierten Rahmen, um die Widerstandsfähigkeit zu verbessern und zu validieren.
OSFI-Leitlinie E-21 - Vier Säulen

Die vier Säulen der OSFI-Richtlinie E-21

Leitlinie E-21 legt die Erwartungen an das operationelle Risiko und die Widerstandsfähigkeit in vier Hauptbereichen fest:

Governance. Die Leitlinie stellt fest, dass die Geschäftsleitung für die Entwicklung, Umsetzung und Überwachung eines wirksamen Rahmens für das Management operationeller Risiken und eines Konzepts für die Widerstandsfähigkeit verantwortlich sein sollte, das eine klare Verantwortlichkeit, angemessene Ressourcen und eine starke Risikokultur gewährleistet. Die Geschäfts- und Zentralfunktionen müssen operationelle Risiken managen und Probleme angemessen eskalieren. Zusätzliche Richtlinien sind für die unabhängige Aufsicht und die interne Revision enthalten.

Operatives Risikomanagement. Unternehmen sollten über ein wirksames Rahmenwerk für das Management operationeller Risiken verfügen, das eine definierte Risikobereitschaft, Richtlinien, Überwachungsinstrumente und Bewertungsmethoden umfasst, um Risiken in Bezug auf Menschen, Prozesse, Systeme und externe Ereignisse zu managen. Regelmäßige Überprüfungen, Überwachungen und Berichte sollten ebenso vorhanden sein wie eine Eskalationsmöglichkeit, um die Geschäftsleitung und den Vorstand über erhebliche Bedenken zu informieren.

Operative Widerstandsfähigkeit. Unternehmen sollten kritische Vorgänge identifizieren und abbilden, Abhängigkeiten bewerten und sicherstellen, dass sie schwerwiegenden, aber plausiblen Unterbrechungen innerhalb festgelegter Toleranzen standhalten können. Regelmäßige Szenariotests, einschließlich Simulationen und Koordination mit Dritten, sollten durchgeführt werden, um die Strategien für die Widerstandsfähigkeit zu verfeinern und die Fähigkeit, Krisen effektiv zu bewältigen, zu verbessern.

Schlüsselbereiche des operationellen Risikomanagements, die die operationelle Widerstandsfähigkeit stärken. Um die betriebliche Widerstandsfähigkeit zu unterstützen, sollten Unternehmen auch die skizzierten Erwartungen für zusätzliche Risikomanagement-Disziplinen einhalten, einschließlich Business Continuity, Disaster Recovery, Krisenmanagement, Change Management, Technologie- und Cyber-Risiken, Risiken für Dritte und Datenrisiken.
Vorbereiten auf die OSFI-Richtlinie E-21

Wie Sie sich auf die OSFI-Richtlinie E-21 vorbereiten

Hier sind fünf Schritte, die Ihnen helfen, diese Anforderungen zu erfüllen:

1. Setzen Sie einen fachübergreifenden Ausschuss ein. Leitfaden E-21 betont, dass verschiedene Risikodisziplinen erforderlich sind, um die Widerstandsfähigkeit zu stärken. Beginnen Sie damit, eine Führungspersönlichkeit einzusetzen, die einen Compliance-Ausschuss leitet und die Kommunikation zwischen GRC-, IT- und Business Continuity-Teams anführt.

2. Führen Sie eine Lückenanalyse durch. Nehmen Sie den Status Ihrer aktuellen Risikoprogramme auf, indem Sie die Richtlinien und Verfahren Ihrer Programme für Betriebsrisiken, Geschäftskontinuität, Notfallwiederherstellung, Drittparteirisiken, Technologierisiken, Krisenmanagement und Data Governance anhand der neuen Anforderungen überprüfen. Analysieren Sie, welche Anforderungen bereits erfüllt sind und welche noch weiterentwickelt werden müssen, und erstellen Sie dann einen klaren Aktionsplan, indem Sie Leitfaden E-21 als Validierung verwenden.

3. Stärken Sie die Risikosteuerung und -überwachung. Legen Sie klare Rollen, Zuständigkeiten und Verantwortlichkeiten für die Geschäftsleitung, die Geschäftseinheiten und die Risikofunktionen fest. Bieten Sie Schulungen an, verbessern Sie die Risikoberichterstattung, um Klarheit zu schaffen, und geben Sie den Aufsichtsfunktionen die Möglichkeit, Praktiken zu hinterfragen und die Einhaltung Ihrer festgelegten Risikobereitschaft und -toleranzen sicherzustellen.

4. Kartieren und bewerten Sie kritische Vorgänge. Identifizieren Sie kritische Vorgänge – auch wichtige Geschäftsdienste genannt – und deren Abhängigkeiten (intern und extern), kartieren Sie Schwachstellen und legen Sie Toleranzen für Unterbrechungen fest. Sie sollten diese Bewertungen regelmäßig mit Unterstützung der Unternehmensleitung überprüfen und aktualisieren, um sie mit den sich entwickelnden Risiken und Geschäftsprioritäten in Einklang zu bringen.

5. Entwickeln und testen Sie Resilienz-Frameworks. Führen Sie einen Rahmen für die betriebliche Widerstandsfähigkeit ein oder verbessern Sie ihn, um die Kontinuität Ihrer kritischen Abläufe zu unterstützen und Business Continuity, Disaster Recovery und Krisenmanagement zu integrieren. Führen Sie Szenario-Tests und Business-Continuity-Planübungen durch, um die Effektivität Ihrer Vorbereitungen bei schweren, aber plausiblen Störungen zu testen.

Angesichts der bevorstehenden Frist im September 2026 ist es jetzt an der Zeit, Ihre Fähigkeiten zu bewerten und Ihre Strategien zu verfeinern. Ein starker, gut integrierter Ansatz für die betriebliche Widerstandsfähigkeit wird Ihnen nicht nur dabei helfen, die regulatorischen Erwartungen zu erfüllen, sondern auch Ihren Betrieb zu sichern, Ihre Stakeholder zu schützen und Ihre langfristige Stabilität zu verbessern.

Aktuelle Informationen zu neuen und bestehenden Gesetzen zur betrieblichen Ausfallsicherheit finden Sie in unserem Whitepaper, Operational Resilience: Navigating the Global Regulatory Landscape“ herunter und informieren Sie sich über die Beratungsdienste von Riskonnect für Business Continuity & Resilience zur Unterstützung bei der Einhaltung von Vorschriften.