Operative Belastbarkeit wird in der britischen Finanzdienstleistungsbranche immer mehr zu einem vertrauten Begriff. Die britischen Aufsichtsbehörden haben bereits zahlreiche Leitlinien herausgegeben – und weitere werden erwartet, da die Anforderungen weiter verfeinert werden.

Hier finden Sie eine Zusammenfassung der neuesten Anforderungen der Aufsichtsbehörden an die operative Widerstandsfähigkeit von Unternehmen in der Finanzdienstleistungsbranche.

Was ist operationelle Widerstandsfähigkeit?

Der Begriff „operationelle Widerstandsfähigkeit“ wird von den Regulierungsbehörden – Bank of England, Prudential Regulation Authority (PRA) und Financial Conduct Authority (FCA) – als die Fähigkeit definiert, operationellen Störungen vorzubeugen, sich anzupassen, darauf zu reagieren, sich zu erholen und daraus zu lernen.

Das Programm zur operativen Widerstandsfähigkeit wurde 2018 initiiert, als die Regulierungsbehörden ein gemeinsames Diskussionspapier zu diesem Thema veröffentlichten. Damals waren die Aufsichtsbehörden besorgt, dass die Unternehmen nicht ausreichend auf die Folgen einer bedeutenden Störung wie einer Cyberattacke oder eines groß angelegten technologischen Wandels vorbereitet waren.

Diesem Papier folgten mehrere weitere Papiere, die zusätzliche Details und Empfehlungen zur Erreichung der operativen Widerstandsfähigkeit im Allgemeinen bieten. Diese Papiere enthielten auch spezielle Hinweise zum Outsourcing und zur Verwaltung von Dritten. Diese Informationen sind besonders wichtig, wenn es darum geht, betriebliche Ausfallsicherheit zu erreichen, da Outsourcing ein Unternehmen allen Schwachstellen eines jeden Dritten aussetzt.

Die in dem ursprünglichen Diskussionspapier genannten Bedrohungen sind nach wie vor aktuell. Seitdem haben die Aufsichtsbehörden den Digital Operations Resilience Act – DORA – erlassen, der die Anforderungen an die Informations- und Kommunikationstechnologie (IKT) auf die Dienstleister ausweitet, die die Funktionen unterstützen, die für die wichtigen Geschäftsdienste eines Unternehmens entscheidend sind. Unternehmen haben bis 2025 Zeit, den DORA zu erfüllen.

Vier Ziele des Frameworks

Vier Ziele eines Operational Resilience Framework Die Regulierungsbehörden nennen vier Hauptziele für einen Rahmen zur Förderung der operativen Widerstandsfähigkeit:

  1. Minimieren Sie jeglichen Schaden für die Verbraucher.
  2. Gewährleisten Sie die Sicherheit und Solidität von Unternehmensdienstleistungen in Organisationen.
  3. Sorgen Sie für finanzielle Stabilität auf dem gesamten Markt.
  4. Abschwächen oder Minimieren von Marktstörungen.

Einhaltung des Operational Resilience Framework

Die Regeln für die betriebliche Ausfallsicherheit sind flexibel, so dass Unternehmen den besten Ansatz für ihre eigenen Produkte und die Größe des Unternehmens wählen können. Allerdings sind alle Finanzdienstleister dazu verpflichtet:

  • Identifizieren Sie ihre wichtigen Dienstleistungen, die einen erheblichen internen oder externen Einfluss auf das Unternehmen haben.
  • Legen Sie Toleranzen für die Auswirkungen jedes wichtigen Geschäftsdienstes fest, indem Sie das maximale Ausmaß der Unterbrechung bestimmen, das die Kunden bereit wären, in Kauf zu nehmen.
  • Ordnen Sie den Services unterstützende Ressourcen zu, um Menschen, Prozesse, Technologie, Einrichtungen und Dritte mit jedem Geschäftsservice zu verbinden.
  • Führen Sie Szenario-Tests mit Diensten und Ressourcen durch, um das Vertrauensniveau in die Ausfallsicherheit von Geschäftsdiensten zu validieren.
  • Wenden Sie die Erkenntnisse aus Stresstests und tatsächlichen Erfahrungen an , um Abhilfemaßnahmen zu entwickeln.
  • Erstellen Sie einen Kommunikationsplan – intern und extern – für den Fall, dass ein Ereignis eintritt.
  • Führen Sie eine jährliche Selbstbeurteilung durch, die der Vorstand abzeichnet.

Technologie zur Vereinfachung der Einhaltung von Vorschriften für die betriebliche Ausfallsicherheit

Technologie zur Vereinfachung der Einhaltung von Vorschriften für die betriebliche AusfallsicherheitUm die oben genannten Anforderungen an die betriebliche Ausfallsicherheit erfolgreich zu erfüllen, muss eine erhebliche Menge an Informationen gesammelt, nachverfolgt und analysiert werden – insbesondere bei größeren Unternehmen.

Die Dokumentation kritischer Geschäftsdienste, die Zuordnung von Verantwortlichkeiten und das Testen der Ausfallsicherheit kann für Unternehmen mit komplexen Geschäftsmodellen und Beziehungen zu Dritten zeitaufwändig, störend und teuer sein.

Eine Technologie, die Risikomanagement- und Compliance-Aktivitäten und -Daten im gesamten Unternehmen integriert, ist unerlässlich für die Rationalisierung von Prozessen, die Zentralisierung von Daten und die Schaffung eines klaren Überblicks über den Projektstatus. Und das ist sehr schwierig – wenn nicht gar unmöglich – zu erreichen, wenn mehrere Tabellenkalkulationen verwendet werden, die verschiedenen Unternehmensbereichen gehören.

Alle, die im Bereich Risikomanagement tätig sind, sollten sich darauf vorbereiten, ihre bestehenden Systeme und Prozesse für das Management operationeller Risiken zu überprüfen, um Verbesserungen zu erzielen, die die operationelle Widerstandsfähigkeit unterstützen. Welche Verbesserungen werden notwendig sein, um die Anforderungen an die operationelle Widerstandsfähigkeit zu erfüllen – und verfügen Sie über die entsprechenden Instrumente?

Wenn Sie mehr über Themen erfahren möchten, die für FCA-regulierte Unternehmen von Bedeutung sind, laden Sie unser E-Book herunter, Aufbau operativer Widerstandsfähigkeit in Finanzdienstleistungenund erfahren Sie mehr über Riskonnect’s Operational Resilience Software.