Betrieb eines integrierten Governance-, Risiko- und Compliance-Systems zur Speicherung, Pflege und Verwaltung der Risikobewertungs- und -sicherungsdaten der Society
INDUSTRIE
Finanzdienstleistungen
LOCATION
Vereinigtes Königreich
ANZAHL DER BESCHÄFTIGTEN
c.3000
Der Hintergrund
Die 1864 gegründete Yorkshire Building Society ist die drittgrößte Bausparkasse in Großbritannien und hat ihren Hauptsitz in Bradford, West Yorkshire, England. Die Society beschäftigt ca. 3.000 Mitarbeiter in ganz Großbritannien.
Die Herausforderung
Als Verein auf Gegenseitigkeit ist die Yorkshire Building Society ihren 3 Millionen Mitgliedern gegenüber rechenschaftspflichtig und nicht den Aktionären. Die Aufrechterhaltung hoher Standards in den Bereichen Risikomanagement, Compliance und Governance hat daher hohe Priorität. In der gesamten Gesellschaft wurde eine Reihe unterschiedlicher Softwareanwendungen und Systeme für das Risikomanagement, die Einhaltung von Vorschriften, die Rechtsabteilung und die interne Revision verwendet. Um die strategischen Risikomanagement-Prioritäten der Organisation erfolgreich umsetzen zu können, suchte YBS eine Lösung, die als zentrales Repository für die gesellschaftsweiten Risikodaten verwendet werden konnte, damit die unzusammenhängenden Datensilos aufgelöst werden konnten. Die erfolgreiche Lösung sollte die wichtigsten Anforderungen der Bereiche Risiko, Compliance, Recht und interne Revision erfüllen. In einer Zeit, in der die regulatorischen Standards und Erwartungen im Finanzdienstleistungssektor ständig steigen, wünschte sich die Society eine Cloud-basierte Lösung, die automatische Systemaktualisierungen ermöglicht und so die IT-Mitarbeiter der Organisation entlastet.
Von der ersten Kontaktaufnahme bis zur Implementierung arbeitete das Riskonnect-Team mit uns zusammen, als Erweiterung unseres internen Teams. Von Anfang an hatten wir eine vertrauensvolle Beziehung zum Riskonnect-Team, die bis heute anhält.
Die Lösung
Nachdem die Gesellschaft die Anforderungen für jeden Geschäftsbereich definiert hatte, bewertete sie mehrere Lösungen auf dem Markt durch Demonstrationen und durch die Erstellung interner Bewertungsmatrizen. Riskonnect Operational Risk Manager (früher bekannt als Magique) und Riskonnect Audit Manager (früher bekannt als Galileo) wurden ausgewählt, nachdem sie bei der Lieferantenausschreibung am besten abgeschnitten hatten.
Die Lösung konnte die Funktionen bereitstellen, die die Society benötigte, um ihre wichtigsten Grundsätze zu erfüllen:
- Bereitstellung einer zentralen Aufzeichnung der internen Kontroll- und Sicherheitstätigkeiten, die von den Teams im Rahmen des Modells der drei Verteidigungslinien durchgeführt werden.
- die Gesellschaft in die Lage zu versetzen, gegenüber internen Stakeholdern und externen Aufsichtsbehörden ein angemessenes und effektives Risikomanagement im Einklang mit den Branchenstandards nachzuweisen.
- Betrieb eines integrierten Governance-, Risiko- und Compliance-Systems zur Speicherung, Pflege und Verwaltung der Risikobewertungs- und -sicherungsdaten der Society.
Ben Johnston, Senior Manager, kommentierte: „Das Feedback unserer Kollegen aus dem Unternehmen bestätigt unsere ursprüngliche Einschätzung, dass die Lösung intuitiv und einfach zu bedienen ist und eine großartige Erfahrung für den Endbenutzer bietet. Im Rahmen des Ausschreibungsverfahrens haben wir festgestellt, dass die Lösung für die Gesellschaft kostengünstiger ist als andere Lösungen mit ähnlichen Funktionen.“
Bessere Sichtbarkeit mit einer einzigen Ansicht des Risikouniversums
Riskonnect Operational Risk Manager hat das Verständnis des Risikoprofils der Gesellschaft erheblich erleichtert, indem es für den Prozess der Selbstbewertung der Risikokontrolle (Risk Control Self-Assessment, RCSA) verwendet wurde. Zuvor basierten die RSCA-Informationen auf MS Excel und wurden von 30 Geschäftsteams in mehreren Tabellenkalkulationen ausgefüllt. Das Enterprise Risk Team stellte diese Informationen zusammen und fasste sie manuell in einer Tabelle zusammen, um der Geschäftsleitung einen genauen und einheitlichen Überblick über die Risiken im gesamten Unternehmen zu geben. Der Prozess war zeitaufwändig. Als Gegenseitigkeitsgesellschaft ist die Yorkshire Building Society nicht den Aktionären, sondern ihren 3 Millionen Mitgliedern gegenüber rechenschaftspflichtig und die Aufrechterhaltung hoher Standards in den Bereichen Risikomanagement, Compliance und Governance hat hohe Priorität. In der gesamten Gesellschaft wurde eine Reihe unterschiedlicher Softwareanwendungen und Systeme für das Risikomanagement, die Einhaltung von Vorschriften, die Rechtsabteilung und die interne Revision verwendet. Um die strategischen Risikomanagement-Prioritäten der Organisation erfolgreich umsetzen zu können, suchte YBS eine Lösung, die als zentrales Repository für die gesellschaftsweiten Risikodaten verwendet werden konnte, damit die unzusammenhängenden Datensilos aufgelöst werden konnten. Die erfolgreiche Lösung sollte die wichtigsten Anforderungen der Bereiche Risiko, Compliance, Recht und interne Revision erfüllen. In einer Zeit, in der die regulatorischen Standards und Erwartungen im Finanzdienstleistungssektor ständig zunehmen, wollte die Society eine Cloud-basierte Lösung, die automatische Systemaktualisierungen ermöglicht und so die IT-Mitarbeiter der Organisation von der manuellen Datenerfassung und -eingabe entlastet. Riskonnect Operational Risk Manager hat die Prozesse gestrafft, da die Kollegen über die Single Sign-On-Funktionalität von der YBS-Intranetseite aus auf das System zugreifen können, um die Durchführung interner Kontrollen zu bestätigen. Alle Informationen werden in der in der Cloud gehosteten Lösung gespeichert. Dashboards und Datenberichte liefern Informationen auf der Ebene der einzelnen Abteilungen und eine einheitliche Sicht auf die Risiken in der gesamten Gesellschaft. Die Nutzung des Systems bietet Managern und Führungskräften einen einfacheren und zeitnahen Zugang, einen besseren Einblick und ein viel höheres Maß an Vertrauen in die Risikodaten und deren Genauigkeit. Die Automatisierung des RCSA-Prozesses trägt dazu bei, Risikomanagementpraktiken in der Risikokultur der Organisation zu verankern und ermöglicht es den Geschäftsteams, Risiken im Vergleich zu den Geschäftszielen zu bewerten.
Stärkere Profilierung von Risiken durch die Funktion zur Verwaltung von Risikoereignissen
Die Gesellschaft hat eine Funktion für Risikoereignisse geschaffen, die über ihr Intranet-System zugänglich ist. Jeder Kollege kann Ereignisse zu Untersuchungs- und Berichtszwecken melden, ohne dass er eine eigene Systemlizenz benötigt. Die Daten werden direkt an das Enterprise Risk Team weitergeleitet, das eine Triage vornimmt und sich bei Bedarf mit den zuständigen Abteilungen in Verbindung setzt, um sicherzustellen, dass das Ereignis effektiv verwaltet und für die aufsichtsrechtliche Berichterstattung erfasst wird. Dieser automatisierte und gestraffte Prozess wird im Laufe des Jahres 2020 eingeführt. Ziel ist es, die Aktualität der gemeldeten Ereignisse zu erhöhen und damit das effiziente Management von Risikoereignissen weiter zu verbessern.
Nahtlose Integration für ein hervorragendes Benutzererlebnis
Riskonnect Operational Risk Manager ist vollständig in Riskonnect Audit Manager integriert und bietet eine risikobasierte Lösung für die interne Revision und die Einhaltung von Vorschriften, die es ermöglicht, Daten aus dem Risikoregister der Gesellschaft für die Planung zu verwenden.
YBS ist der Ansicht, dass die Lösung intuitiv und einfach zu bedienen ist und eine hervorragende Benutzererfahrung bietet, während gleichzeitig der Zeitaufwand für die Schulung der Kollegen minimiert wird. Die Gesellschaft hat durch die Single Sign-On-Funktionalität einen schnellen und sicheren Zugriff auf die Lösungsanwendung ermöglicht.
Konsistente Prozesse in den Bereichen Risikomanagement und Compliance
Das Compliance-Team hat die Funktion zur Meldung von Risikoereignissen eingeführt, so dass jeder Kollege über das Intranet Vorfälle von Verstößen gegen Vorschriften melden kann. Ähnlich wie bei den Risikoereignissen werden Verstöße gegen Vorschriften direkt an das Compliance-Team zur Sichtung weitergeleitet.
Wenn dies im Laufe des Jahres 2020 umgesetzt wird, geht YBS davon aus, dass diese Automatisierung den mit dieser Tätigkeit verbundenen Verwaltungsaufwand verringern und sicherstellen wird, dass etwaige Verstöße gegen die Vorschriften effizient behandelt werden und eine rechtzeitige interne und externe Berichterstattung möglich ist.
Zweite Verteidigungslinie – Überwachung und Sicherheitsüberprüfungen
Die Compliance-, Prudential Risk- und Enterprise Risk-Teams verwenden die Lösung zur Durchführung von Monitoring- und Assurance-Prüfungen im Einklang mit den vom Vorstand genehmigten jährlichen Prüfplänen. Alle wichtigen Informationen im Zusammenhang mit der Überprüfung, wie z.B. Aufgabenstellung, Arbeitspapiere, Berichtsentwürfe und Abschlussberichte sowie Managementmaßnahmen, werden in der Lösung gespeichert.
Wenn eine Aktion, die mit einer Überprüfung verbunden ist, einem Manager im Unternehmen zugewiesen wird, kann das System eine E-Mail generieren. Die E-Mail enthält einen URL-Link, der den Geschäftskollegen direkt zu der Aktion im System führt. Der Manager kann die Aktion selbst überprüfen, aktualisieren und abschließen. Mit dieser Funktion können Sie sicherstellen, dass Sie jederzeit einen vollständigen Überblick über die Aktionen haben.
Strategische Planung
Die Society führt regelmäßig ein ‚Regulatory Horizon Scanning‘ durch, bei dem die zukünftigen regulatorischen Entwicklungen untersucht werden, die Maßnahmen oder eine Umsetzung erfordern. Das Compliance-Team erfasst diese Informationen im System und teilt sie mit der Geschäftsleitung. So kann die Society strategisch mit Blick auf regulatorische Änderungen planen, das Bewusstsein der Geschäftswelt schärfen und gegebenenfalls neue interne Initiativen starten.
Vom Legal Team genutzte Funktionalitäten
Yorkshire Building Society hat herausgefunden, wie die Lösung zum Nutzen ihres Rechtsteams angepasst werden kann. Angelegenheiten können nun in der Lösung protokolliert werden, und es wurde ein Workflow-Prozess eingerichtet, um neue Fälle den einzelnen Kollegen des Rechtsteams zuzuweisen. Dies ersetzt die langjährige Verwendung von Tabellenkalkulationen und gemeinsamen Ordnern, die keine Form von automatisierten Managementinformationen boten.
Service Level Agreements werden nachverfolgt und die funktionsreiche Berichtsfunktionalität sorgt für einen detaillierten Einblick in den Status jedes Falls. Es können Berichte erstellt werden, die die Anzahl der aktiven Fälle und den aktuellen Status anzeigen. Dies führt zu einem besseren Überblick über die aktiven Fälle und ermöglicht ein proaktives Management von Zeit und Ressourcen innerhalb der Abteilung.
In nur den ersten 12 Monaten der Nutzung von Riskonnect Operational Risk Manager haben wir die Sichtbarkeit der Vorteile des RCSA und der Risikomanagementaktivitäten in der gesamten Gesellschaft erhöht. Aufgrund unserer neuen automatisierten und gestrafften Prozesse sind wir von der Integrität unserer Daten überzeugt. Das Riskonnect-Team war während des gesamten Projekts ein echter Partner und wir sind wirklich gespannt darauf, was wir in Zukunft noch alles erreichen können.“
Geschäftliche Vorteile
Riskonnect Operational Risk Manager und Audit Manager ermöglichen es der Yorkshire Building Society, ihre betriebliche Effizienz durch die Automatisierung von Prozessen, die Maximierung von Ressourcen und die Beseitigung von Datensilos zu steigern. Zu den geschäftlichen Vorteilen gehören:
- Eine Verringerung des Zeitaufwands für die Verwaltung des Risikomanagements durch die Automatisierung der Datenbeschaffung, -aggregation und -berichterstattung.
- Geringere direkte und indirekte Systemkosten durch die Nutzung einer gemeinsamen Architektur.
- Verbesserte Entscheidungsfindung durch Zugang zu umfangreicheren und konsistenteren Risikodaten, die für Berichte und Analysen leicht zugänglich sind.
- Verankerung des Risikobewusstseins und der Risikomanagementpraktiken in der Unternehmenskultur durch verstärkte Sichtbarkeit von Rechenschaftspflicht und Verantwortung.
- Bereitstellung von transparenten und klaren Informationen zum Risikomanagement, die es der Gesellschaft ermöglichen, Prozesse, Kontrollen und Ressourcenmanagement zu überprüfen und zu verbessern.
- Die Cloud-basierte Lösung entlastet die IT-Abteilung, da vereinbarte Systemaktualisierungen direkt von Riskonnect ohne Betriebsunterbrechung durchgeführt werden. Eine kleine Anzahl von Systemadministratoren verwaltet lokale Konfigurationsänderungen.