Führt der intensive Fokus auf Markt- und Kreditrisiken im Risikomanagement von Investmentbanken zur Vernachlässigung signifikanter operationeller Risiken?

Da viele moderne Finanzunternehmen stark auf digitale Systeme, mobile Apps, Online-Portale und Technologielösungen angewiesen sind, um ihre Operationen zu betreiben, könnte ein Ausfall des operationellen Risikos ihren gesamten Betrieb vollständig zum Erliegen bringen.

In diesem Blog tauchen wir in die größten operationellen Risiken für Investmentbanken ein, untersuchen die Gründe, warum operationelle Risiken in Investmentbanken oft vernachlässigt werden, und zeigen, wie die neueste GRC-Technologie Risikoteams dabei unterstützt, einen ganzheitlichen Blick auf Risiken zu erhalten und die richtigen Kontrollen zu implementieren.

Operationelle Risiken sind eine allgegenwärtige Bedrohung für die Finanzdienstleistungsbranche, und die Folgen ihrer Ignorierung können lähmend sein. Können es sich Investmentbanken also leisten, diesen wichtigen Risikobereich zu vernachlässigen? Schließlich steht viel auf dem Spiel, und nicht nur in Bezug auf operative Ausfallzeiten, sondern schlecht gemanagte operationelle Risiken können auch direkte finanzielle Kosten, behördliche Bußgelder und rechtliche Haftung nach sich ziehen.

Kernbereiche des operationellen Risikomanagements im Investmentbanking

Investmentbanken agieren primär mit Unternehmen, staatlichen Einrichtungen und vermögenden Privatpersonen. Obwohl dies zu größeren, komplexeren Transaktionen und einem abweichenden regulatorischen Umfeld führt, spiegeln viele ihrer operationellen Risikobereiche den breiteren Finanzdienstleistungssektor wider. Das Verständnis dieser Kernbereiche des operationellen Risikos und das effektive Management dieser Risiken wird zu einem entscheidenden Faktor, der ihren Weg zum unternehmensweiten Risikomanagement beeinflusst.

Im Kontext von Finanzinstituten definiert der Basler Ausschuss für Bankenaufsicht operationelles Risiko als „Das Risiko eines Verlusts, der aus unzureichenden oder fehlgeschlagenen internen Geschäftsprozessen, Systemen, Menschen und externen Ereignissen resultiert“.

Im Gegensatz zu seinen Pendants „Kreditrisiko“ und „Marktrisiko“ sind operationelle Risiken untrennbar mit den internen Prozessen eines Unternehmens verbunden. Und da operationelle Risiken aus vielen Quellen stammen und sich in verschiedenen Formen manifestieren können, kann ein schlechtes operationelles Risikomanagement den Kern der Geschäftsabläufe stören.

Operationelles Risiko wird gewöhnlich durch vier verschiedene Wege verursacht:

Menschen: Vorsätzliches Fehlverhalten, unbeabsichtigte Fehler von Mitarbeitern, Personalverlust oder das Fehlen notwendiger Fähigkeiten und Schulungen können zu Schwachstellen führen.

Prozesse: Veraltete, ineffiziente oder schlecht dokumentierte Prozesse und Verfahren können den Betrieb stark beeinträchtigen.

Systeme: Kompromittierte Datensicherheit, Cyberangriffe, Systemausfälle, technologische Fehler, Unterbrechungen und Strom- oder Internetausfälle können den Betrieb schwer stören und finanzielle Verluste verursachen.

Externe Ereignisse: Faktoren wie regulatorische Änderungen, Wettbewerbsaktivitäten, Personalbesetzung und geopolitische Risiken sind wesentliche Einflüsse, die im Rahmen Ihres ORM-Programms berücksichtigt werden müssen.

Warum gelingt es Investmentbanken nicht, das operationelle Risiko in den Griff zu bekommen?

Viele Finanzunternehmen, einschließlich Investmentbanken, betrachten operationelle Risiken oft als „weniger greifbar“ als andere Risikoarten wie Kredit- und Marktrisiken. Da operationelle Risiken mit Menschen, Prozessen, Systemen und externen Ereignissen zusammenhängen, können sie als schwer quantifizierbar und messbar wahrgenommen werden.

Infolgedessen erhalten sie oft weniger Aufmerksamkeit vom Top-Management und bekommen nicht die gleiche Ressourcenmenge wie andere Risikoarten, obwohl sie ein integraler Bestandteil ihrer gesamten Risikomanagementstrategie sind. Viele Organisationen neigen auch dazu, das operationelle Risikomanagement als „Compliance-Anforderung“ zu betrachten.

Sie behandeln diese wesentliche Funktion als bloße „Häkchen-Setz-Übung“, anstatt sie zur Wertschöpfung durch ein umfassendes Risikomanagement-Framework zu nutzen. Doch wenn sie gut durchgeführt werden, schaffen Programme für operationelles Risikomanagement tatsächlich Mehrwert. Durch die Identifizierung ihrer Schlüsselrisikobereiche und die Implementierung geeigneter Kontrollen zur Risikominderung können Organisationen Risiken aktiv verhindern, die, wenn sie unbeachtet blieben, ihren Betrieb schwerwiegend beeinträchtigen würden.

Welche Schlüsselbereiche des operationellen Risikos sollten Investmentbanken angehen?

Systemausfallzeiten: Da die meisten Bankunternehmen auf eine Vielzahl von Systemen und Anwendungen angewiesen sind, um ihren Betrieb zu führen, ist die Bewältigung operationeller Risiken, die Systemausfälle verursachen könnten, unerlässlich. Risiken im Zusammenhang mit Strom- oder Internetausfall, Lizenzablauf und Verträgen sollten alle sorgfältig gemanagt werden.

Mitarbeiterfehler oder Fehlverhalten: Operationelle Fehler von Mitarbeitern können erhebliche Auswirkungen auf eine Organisation haben. Dieses Risiko sollte sorgfältig durch Kontrollen wie Mitarbeiterschulungen, Bindungsprogramme sowie Richtlinien- und Prozessdokumentationen gemindert werden. Bereiche des Fehlverhaltens sollten ebenfalls angemessen behandelt werden.

Betrug: Insiderbetrug wie Veruntreuung oder Insiderhandel ist eine allgegenwärtige Bedrohung, die verheerende Folgen für Investmentbanken haben kann. Organisationen können Betrugsrisiken proaktiv durch kontinuierliche Überwachung und automatisierte Kontrollen mindern. Durch die Einrichtung risikobasierter Kontrollen und Überwachungsparameter können Organisationen potenzielle Schwachstellen identifizieren und sofortige Korrekturmaßnahmen ergreifen.

Cybersicherheitsverletzungen: Investmentbanken müssen kontinuierlich auf Ransomware-Infektionen, Kontoübernahmen und Phishing-Angriffe überwachen. Diese Bedrohungen können zu Betriebsunterbrechungen, Datenlecks und kostspieligen Sanierungsmaßnahmen führen. Banken müssen robuste Cybersicherheitsmaßnahmen ergreifen, um Kundendaten und Finanzsysteme zu schützen.

Regulatorische Nichteinhaltung: Compliance ist nicht nur eine gesetzliche Anforderung; sie ist auch ein entscheidender Aspekt des operationellen Risikomanagements. Die Nichteinhaltung von Vorschriften kann schwerwiegende finanzielle und reputationelle Folgen für Investmentbanken haben. Die Implementierung von Softwaresystemen, die die Compliance-Überwachung, Berichterstattung und Aufzeichnung automatisieren, kann Prozesse optimieren und das Risiko der Nichteinhaltung reduzieren.

Wie kann GRC-Technologie Investmentbanken helfen, das operationelle Risikomanagement zu automatisieren?

Während Investmentbanken mit verschiedenen internen und externen Risikofaktoren zu kämpfen haben, hat sich die Kultivierung eines robusten operationellen Risikomanagementprogramms als Dreh- und Angelpunkt für langfristige Nachhaltigkeit und Resilienz erwiesen! GRC-Technologie bietet eine Reihe von Funktionen, um Unternehmen dabei zu unterstützen, ihre operationellen Risikomanagementprozesse zu automatisieren und einen ganzheitlichen Blick auf Risiken zu erhalten.

Organisationen können problemlos umfassende Online-Risikoregister einrichten, in denen mehrere Abteilungen Risiken direkt erfassen können und Risiken mithilfe eines konsistenten Risikoframeworks einfach kategorisiert und bewertet werden können. Risikobewertungen können online per Automatisierung durchgeführt werden, wobei alle Daten direkt in die Plattform eingespeist werden.

Unternehmen benötigen eine Risikomanagementlösung, die Risikodaten von Stakeholdern aus der gesamten Organisation sammeln und aggregieren kann. Durch den Einsatz von GRC-Software können Risikoteams problemlos ausreichende Risikodaten von Stakeholdern im gesamten Unternehmen sammeln. Jeder Mitarbeiter hat sein eigenes Dashboard, in dem er risikobezogene Aufgaben wie „Risikobewertungen“ und „Kontrollprüfungen“ durchführt. Diese Daten werden zentral erfasst, sodass Risikoteams die Wahrscheinlichkeit, Schwere und Auswirkung von Risiken leicht berechnen und Risikobewertungen erstellen können.

Transaktions- und Betriebsdaten können über API-Verbindungen aus anderen Systemen und Datenquellen in das GRC-Tool gezogen werden, wodurch Teams in der Lage sind, Schlüsselrisikokennzahlen (KRIs) festzulegen und Risikotoleranzen auf der Grundlage realer Daten zu definieren. Mit der richtigen Software kann die gesamte Organisation Risiken erfassen und die Verantwortung für Risiken übernehmen. Dies macht das Risikomanagement zugänglicher, rechenschaftspflichtiger, nachverfolgbarer und lösbarer, bietet Führungsteams sofortige Transparenz und ermöglicht es ihnen, ihre Risikobereitschaft bei Bedarf anzupassen.

Automatisch generierte Sofortberichte ermöglichen es einer Organisation zudem, ein vollständiges Bild ihres Risikoprofils zu erhalten und Details zu analysieren, um Problembereiche anzugehen.

Die Implementierung einer robusten GRC-Plattform schafft nicht nur eine risikobewusste Kultur in der gesamten Organisation, sondern eliminiert auch zeitaufwändige und alltägliche Verwaltungsaufgaben und Berichte. Dies verschafft dem Risikoteam Zeit, Risikodaten zu analysieren und Maßnahmen zur Reduzierung operationeller Risiken einzuführen sowie die Entscheidungsfindung zu unterstützen, anstatt Verwaltungsaufgaben zu erledigen.

ORM-Herausforderungen im Zusammenhang mit isolierten manuellen Prozessen

Traditionell stützt sich das Risikomanagement in den meisten Finanzinstituten weiterhin auf manuelle, tabellenbasierte Prozesse oder veraltete Plattformen, die tendenziell fragmentiert, teuer und ineffizient sind. Während ERM (Enterprise Risk Management) breitere Akzeptanz gefunden hat, agieren viele Investmentbanken immer noch in Informationssilos und verlassen sich auf eine Sammlung verschiedener Lösungen, die sich nicht integrieren lassen, wodurch dem Top-Management ein wahres Bild des Risikos im gesamten Unternehmen vorenthalten wird.

Typische Probleme bei einem manuellen, isolierten, tabellenbasierten Ansatz sind:

Schlechte Qualität der Risikodaten aufgrund mangelnder Data Governance.

Doppelte Arbeit und erhöhter Verwaltungsaufwand, da Daten oft zwischen Formularen und verschiedenen Tabellenkalkulationen übertragen werden müssen.

Zerrissene und isolierte Prozesse, da Tabellenkalkulationen nicht integriert sind, was es schwierig macht, eine konsolidierte Sicht auf Risiken über mehrere Tabellenkalkulationen und Datenquellen hinweg zu erhalten.

Kein standardisiertes Risikoframework, was es schwierig macht, die kritischsten Risiken zu priorisieren.

Zugriffsprobleme, die entstehen, wenn mehrere Mitarbeiter versuchen, auf dieselben Tabellenkalkulationen zuzugreifen, was oft zu überschriebenen Daten führt.

Mangelnde Rechenschaftspflicht, da es keine Benutzerverfolgung gibt, was es schwierig macht zu wissen, wer was geändert hat.

Zerrissene Prozesse, die es schwierig machen, Risiken mit den relevanten Kontrollen oder zugehörigen Vorfällen zu verknüpfen.

Ein Mangel an Automatisierung bedeutet, dass alle Risikobewertungen manuell versendet und nachverfolgt werden, Daten manuell übertragen werden und es keine automatisierten Benachrichtigungen und Warnungen gibt, um Probleme zu kennzeichnen oder Workflows zur Formalisierung von Prozessen und zur Risikobewältigung bis zur Lösung zu nutzen.

Zeitaufwändige und umständliche Berichterstattung, die nur eine Momentaufnahme der Ereignisse liefert.

Dieser Ansatz zur Risikosteuerung führt oft dazu, dass sich die C-Suite auf Probleme konzentriert, die kaum Auswirkungen auf die strategische und zukünftige Rentabilität der Bank haben.

Ausrichtung des Risikomanagements an strategischer Planung und Unternehmensleistung für verbesserte Aufsicht

Die Ausrichtung von Risiko und Strategie ist ein wesentlicher Aspekt eines effektiven Risikomanagements. Die strategische Planung muss in das Risikomanagement integriert werden, damit Organisationen prospektive Risiken effektiv angehen und Chancen nutzen können. Durch die Abstimmung dieser beiden Prozesse erhöhen Unternehmen die Resilienz gegenüber unvorhergesehenen Ereignissen, verbessern die Effizienz der Ressourcenallokation und fördern letztendlich die Erreichung strategischer Ziele unter verschiedenen Marktbedingungen.

GRC-Lösungen, die „Risikoelemente“ in die zu treffenden strategischen Entscheidungen einbeziehen, zeigen sehr schnell den Wert, den sie generieren können, sowohl bei Chancen als auch bei der Vermeidung kostspieliger Probleme. Die mittel- und langfristige Überlebensfähigkeit einer Entität hängt von ihrer Fähigkeit ab, Veränderungen zu antizipieren und darauf zu reagieren, nicht nur um zu überleben, sondern auch um sich zu entwickeln und zu gedeihen.

Die Riskonnect-Plattform ermöglicht es Stakeholdern aus dem gesamten Unternehmen, in den Risikomanagementprozess einzuspeisen, umfassende Daten zur Risikominderung bereitzustellen und gleichzeitig Erkenntnisse zu gewinnen, um Prozesseffizienzen und potenzielle Wachstumschancen aufzudecken.

Verluste aufgrund operationeller Ausfälle im Investmentbanking werden häufiger, und der Preis für die Übersehung operationeller Risiken ist oft höher als deren aktive Bewältigung. Wenn die Verbesserung des operationellen Risikomanagements ein zentrales Anliegen für Ihre Organisation ist, kontaktieren Sie uns für eine Demo und entdecken Sie, wie die neueste GRC-Technologie Ihre Prozesse optimieren und automatisieren könnte. Erfahren Sie mehr darüber, wie die Riskonnect GRC-Plattform Finanzdienstleistungsunternehmen hilft.