Die Geschwindigkeit des Zusammenbruchs der Silicon Valley Bank war erschreckend. Es war klar, dass erst im 3. Quartal 2022 an Business Continuity gedacht wurde. Einige machten die freie Stelle des Chief Risk Officers für den Zusammenbruch verantwortlich. Andere schoben es auf die unüberlegte Transparenz, die der CEO am 9. März angeboten hatte. Unabhängig davon hatten sich die Bank, ihr Vorstand und ihr Führungsteam nicht auf eine effektive Reaktions- und Krisenkommunikationsstrategie vorbereitet. Die Geschäftskontinuität dient der Vorbeugung von und der Reaktion auf Unterbrechungen als Teil eines umfassenderen Managements von Betriebsrisiken und Unternehmensrisiken. Die Überwachung von Schlüsselkontrollen, die eine Unterbrechung verhindern, ist von entscheidender Bedeutung, um eine rechtzeitige Reaktion zu ermöglichen und eine effektive Kommunikation mit allen Beteiligten zu gewährleisten. Ein wichtiger Punkt ist, dass zu den Kontrollen Analysen der Auswirkungen auf das Geschäft, Pläne und Übungen sowie Kontrollen gehören, die von der Geschäftsleitung und anderen Risikodisziplinen durchgeführt werden.

Ein Fall für integriertes Risikomanagement

Im Fall der SVB hätten Kontrollen im Zusammenhang mit finanziellen Risikomodellen und dem Liquiditätsrisiko sowie die Überwachung des Markt- und Kundenverhaltens wesentlich sein müssen. Doch indem die Bank die Kontrollen einzeln betrachtete, gelang es ihr nicht, die Zusammenhänge zu erkennen. Mit einem integrierten Risikomanagement hätten die Verantwortlichen diskutieren können, wie die Schlüsselkontrollen versagten, welche Schlüsselrisiken sich verwirklichten und wie das Team zusammengebracht werden konnte, um Märkte, Investoren und Kunden zu beruhigen.

War diese Situation nicht der Zweck der Gesetzgebung zur operationellen Resilienz?

Großbritannien hat ein Gesetz zur operationellen Resilienz eingeführt, um systemische Störungen in der Finanzindustrie im eigenen Land zu verhindern, was die Gesetzgebung in anderen Ländern (einschließlich der USA) beeinflusst hat. Sollten diese „Op-Res“-Vorschriften nicht verhindern, dass so etwas passiert? Ja… und nein. Das Konzept der operationellen Resilienz, das den Schmerz der Kunden in den Mittelpunkt der Resilienzbemühungen eines Unternehmens stellt, konzentriert sich auf die Unterbrechung der internen Prozesse und Ressourcen. In den meisten Unternehmen werden die verschiedenen Risikodisziplinen nicht zusammengeführt, um alle Kontrollen und Strategien zu identifizieren, die zu einer Insolvenz führen könnten, einschließlich plausibler Szenarien, in denen der Kunde die Störung verursacht. Auch diese Situation zeigt, wie wichtig es ist, dass Menschen, Prozesse und Technologien durch ein integriertes Risikomanagement miteinander verbunden werden.

Welche Rolle spielt die Geschäftskontinuität in einer Bankenkrise?

Bei der Beantwortung dieser Frage gibt es vier Punkte zu beachten:

  1. Business Continuity (und operative Resilienz) wird auch weiterhin dafür verantwortlich sein, dem Unternehmen zu helfen, seine Anfälligkeit für Unterbrechungen zu verstehen und daran zu arbeiten, es widerstandsfähiger zu machen. Es stimmt, dass ein Großteil der Aufmerksamkeit auf Unterbrechungen gerichtet ist, die durch den Verlust von Prozessfähigkeit und abhängigen Ressourcen verursacht werden. Aber da Business Continuity so viele Teile eines Unternehmens betrifft – insbesondere die Elemente der Go-to-Market-Strategie des Unternehmens – sind Business Continuity-Experten gut positioniert, um Bereiche zu identifizieren, in denen Kontrollen zu fehlen scheinen oder versagen. Um es mit den Worten der U.S. Transportation Security Agency zu sagen: „Wenn Sie etwas sehen, sagen Sie etwas.“
  2. Wenn sie gut gemacht ist, hilft Business Continuity dem Unternehmen, den Markt, seine Kunden und deren Erwartungen zu verstehen, unabhängig von den Umständen.
  3. Ein Kernelement eines führenden Business Continuity-Programms ist eine starke Reaktionsfähigkeit, die oft als Krisen- (oder Ereignis-) Management bezeichnet wird. Krisenmanagement ist nicht nur für die Reaktion auf eine Naturkatastrophe oder einen Cyberangriff gedacht. Es kann bei jeder Art von Vorfall – ob groß oder klein – eingesetzt werden, um die Auswirkungen zu bewältigen und die Rückkehr des Unternehmens zur Normalität zu beschleunigen.
  4. Eine Erweiterung des Krisenmanagements ist die Krisenkommunikation. Business Continuity-Experten arbeiten oft mit ihren Marketing- und Kommunikationskollegen zusammen, um die wichtigsten Zielgruppen zu verstehen, die während einer Krise angesprochen werden müssen, wie man sie am besten erreicht und was man in den verschiedenen Szenarien sagen sollte.

Ohne Insider-Informationen ist es schwer zu sagen, wie das Business-Continuity-Programm der SVB mit den ersten drei Aufzählungspunkten zusammenhing. Aber die Geschwindigkeit des Zusammenbruchs der SVB ist ein Beweis dafür, dass diese drei Bereiche mangelhaft waren. Was jedoch den vierten Punkt betrifft, so war die Krisenkommunikation sichtlich mangelhaft. Die SVB-Führung gab über ihre Website eine etwas technische Antwort in Form eines PDFs heraus, in der sie sich zu ihrer Reaktion und der Notwendigkeit einer Kapitalbeschaffung äußerte. Dies warf zwei Fragen auf:

  1. Obwohl die Situation transparent war, wurde in der Antwort die Durchführbarkeit der geplanten Reaktionsstrategien mit Vorbehalten wie „möglicherweise“ und „wahrscheinlich“ versehen, was nicht gerade vertrauenserweckend wirkte.
  2. Die Antwort der SVB-Führung wurde auf ihrer Website veröffentlicht. Trotz der weit verbreiteten Diskussionen und Debatten über die drohende Krise auf Social-Media-Plattformen wie Twitter (die vielleicht sogar den Bank-Run ausgelöst haben), gab es nur sehr wenig koordinierte Kommunikation in den sozialen Medien von SVB.

Bei der Krisenkommunikation geht es um die Führung:

  • Kommunikation mit allen Zielgruppen
  • Eine klare und angemessene Botschaft verfassen
  • Ansprache der richtigen Zielgruppe über das Mittel, das am besten ankommt (z.B. soziale Medien)

Wer trägt die Schuld?

Sollte dies ein Weckruf für Business Continuity sein? Diese Situation hat eindeutig gezeigt, dass eine bessere Krisenkommunikation notwendig ist. Aber diese Krise hätte durch Business Continuity allein nicht verhindert werden können. Die Geschäftskontinuität spielte eine Rolle und hätte wahrscheinlich mehr tun sollen, insbesondere im Bereich der Krisenkommunikation, aber dies war eher ein Weckruf für einen integrierten Risikomanagementansatz. Das Versäumnis, die Punkte miteinander zu verbinden, führte zum Untergang der SVB. Also, wer ist schuld? Zu den Kandidaten gehören:

  • Die Federal Reserve (die die Zinssätze festlegt)
  • Die VCs (die den Run auf das Kapital ausgelöst haben)
  • Kalifornische Regulierungsbehörden
  • Ein Blogger namens Byrne Hobart (der das Problem angesprochen hat)
  • Externe Prüfung
  • Silicon Valley Bank

Sie entscheiden.

Wenn Sie mehr über betriebliche Resilienz erfahren möchten, laden Sie unser E-Book, Operational Resilience: Navigating the Global Regulatory Landscapeund die Software Business Continuity & Resilience von Riskonnect.