Erwarten Sie in Kürze Ankündigungen der FCA zu einem der aktuellsten und vorrangigen Themen – der operativen Widerstandsfähigkeit.
In Zusammenarbeit mit der Prudential Regulation Authority und der Bank of England hat die Financial Conduct Authority im Juli ein Diskussionspapier veröffentlicht, das am 5. Oktober abgeschlossen wurde. Die Finanzdienstleister wurden aufgefordert, darzulegen, wie sie mit Risiken umgehen wollen, die ihre Geschäftstätigkeit ernsthaft beeinträchtigen könnten, und wie sie die Auswirkungen auf ihre Kunden minimieren wollen.
Die Regulierungsbehörden sind der Ansicht, dass die betriebliche Ausfallsicherheit ein Risiko für die Bereitstellung wichtiger Dienstleistungen darstellt, von denen die Wirtschaft abhängt, die Lebensfähigkeit der Unternehmen bedroht und den Verbrauchern und anderen Unternehmen Schaden zufügt.
Die Aufsichtsbehörden wollen, dass die Unternehmen besser darauf vorbereitet sind, Störfälle zu überstehen, zu absorbieren und sich davon zu erholen. Sie wollen auch, dass die Unternehmen Vorfälle effektiv managen, insbesondere wenn Kunden betroffen sind.
Das Problem definieren
Operative Widerstandsfähigkeit wird definiert als „die Fähigkeit von Unternehmen und des Finanzsystems als Ganzes, Schocks zu absorbieren und sich ihnen anzupassen, anstatt zu ihnen beizutragen“. Die Regulierungsbehörden wollen, dass dies ein integraler Bestandteil der Gesamtstrategie eines Unternehmens ist, damit es weiterhin „kritische wirtschaftliche Funktionen“ für die britische Wirtschaft und seine Kunden erfüllen kann.
Die Banken sind das Hauptziel der Regulierungsarbeit in diesem Bereich, da insbesondere Ausfälle des Online-Bankings zu weitreichenden Störungen führen. Barclays und die RBS Group standen kürzlich in der Schusslinie, als Kunden während der Vorfälle im September nicht auf ihre Konten zugreifen konnten. Die Banken wurden vom Treasury Select Committee aufgefordert, vollständige Angaben zu den Ursachen der Vorfälle zu machen und zu erläutern, wie die Kunden entschädigt werden sollen.
Darüber hinaus legt der finanzpolitische Ausschuss der Bank of England Standards dafür fest, wie schnell Banken nach einem Cyberangriff in der Lage sein müssen, lebenswichtige Dienste wiederherzustellen, und er wird auch Stresstests durchführen, um zu prüfen, ob diese erfüllt werden können.
Die operative Ausfallsicherheit ist jedoch im gesamten Finanzdienstleistungssektor erforderlich, und ein Datendiebstahl, der beispielsweise einen Versicherer oder ein Kreditkartenunternehmen betrifft, würde mit der gleichen Strenge betrachtet werden.
Was ist erforderlich?
Erstens erwarten die Aufsichtsbehörden, dass die betriebliche Widerstandsfähigkeit ganz oben auf der Tagesordnung der Vorstände und leitenden Angestellten steht, zusätzlich zu ihren Beratern für betriebliche Risiken. Sie sollten auch daran arbeiten, eine „Auswirkungstoleranz“ zu vereinbaren, eine Obergrenze für die Auswirkungen auf die Geschäftsdienstleistungen, die ein Unternehmen infolge einer „schweren, aber plausiblen“ Betriebsstörung zu tolerieren bereit ist. Es wird erwartet, dass dies in Form einer Reihe von spezifischen Kennzahlen zu Dauer, Umfang oder Art einer Störung ausgedrückt wird. Die Unternehmen sollten auch:
- für störende Ereignisse planen und versuchen, sie zu verhindern
- Konzentration auf die weiterreichenden Auswirkungen von Störfällen, nicht nur auf die Wiederherstellung von Systemen und Prozessen
- Produkte und Dienstleistungen den zugrunde liegenden Systemen und Prozessen zuordnen
- die wahrscheinlichen Auswirkungen auf Kunden und Marktteilnehmer sowie auf die eigene Rentabilität des Unternehmens zu ermitteln
- die wichtigsten Geschäftsdienstleistungen zu priorisieren und die Systeme und Prozesse zu identifizieren, die diese unterstützen, unabhängig davon, ob sie intern im Unternehmen vorhanden sind oder ausgelagert wurden
- sicherstellen, dass es eine effektive Kommunikationsstrategie gibt, wenn es zu einer Störung kommt, um sowohl Mitarbeiter als auch Kunden zu unterstützen.
Alle Grundlagen abdecken
Die Regulierungsbehörden erklären, dass Störungen unvermeidlich sind, aber Unternehmen, die davon betroffen sein könnten, müssen sich vorbereiten und so widerstandsfähig wie möglich sein. Der Schutz vor und die Bewältigung von Cyberangriffen wird als der offensichtlichste Punkt auf der Checkliste des Managers für operationelle Risiken angesehen, da die Abhängigkeit von Technologie und Daten so groß ist. Aber auch ein Ausfall aus nicht böswilligen Gründen, Unwetter wie Überschwemmungen, Brände oder eine Grippepandemie könnten dazu gehören.
Die Regulierungsbehörden haben keine unmittelbaren Änderungen an den Aufsichtsprozessen vorgenommen. Aber sobald die Rückmeldungen auf das Diskussionspapier richtig ausgewertet sind, sind neue Regeln in der Tat fast sicher. Es mag die Bereitschaft bestehen, mit der Branche zusammenzuarbeiten, um die operative Widerstandsfähigkeit zu verbessern und das Feedback zu berücksichtigen, aber dieser Bereich wird auch als zu wichtig angesehen, um den gegenwärtigen Status quo beizubehalten, weshalb die Manager für operative Risiken sicherstellen müssen, dass die Aktivitäten jetzt eskalieren.