Die Notwendigkeit des Managements operationeller Risiken ist akuter denn je", behauptet das Institute of Operational Risk (IOR) in seinem White Paper "Operational Resilience".

Der Leitfaden soll Risikofachleuten helfen, die Praxis des operationellen Risikomanagements in ihren Unternehmen zu verbessern. Er beschreibt die Grundsätze der operationellen Widerstandsfähigkeit und enthält eine Reihe von bewährten Praktiken, Beispielen und Vorschlägen für deren Verwirklichung. In diesem kurzen Blog gehen wir auf einige der wichtigsten Erkenntnisse aus dem Leitfaden ein:

Operative Widerstandsfähigkeit ist ein Ergebnis, kein Risiko

Operative Resilienz wird definiert als "die Fähigkeit einer Organisation, kritische Abläufe durch Störungen hindurch aufrechtzuerhalten", und sie wurde in der Vergangenheit proaktiv durch das Rahmenwerk für operatives Risikomanagement (ORMF) einer Organisation und reaktiv durch Kontinuitätsmanagement, Reaktion auf Zwischenfälle und Krisen- oder Wiederherstellungsplanung gesteuert. Diese sind, so das IOR, "rückwärtsgewandt und konzentrieren sich auf die Wiederherstellung nach spezifischen Einzelereignissen mit hohen Auswirkungen (z. B. Stromausfall, Cybervorfall). Die operationelle Widerstandsfähigkeit ist das Ergebnis der Wirksamkeit dieser Risikomanagementaktivitäten, so dass ihr Management eine Koordinierung und ein gemeinsames Verständnis aller Aktivitäten erfordert."

Was ist der beste Ansatz für Ihr Unternehmen?

Das IOR vertritt den Standpunkt, dass die operationelle Resilienz eine Komponente des ORMF ist und innerhalb dieses Rahmens verwaltet werden sollte, erkennt jedoch an, dass insbesondere in größeren Unternehmen Teams oder Funktionen für die operationelle Resilienz unabhängig vom operationellen Risiko und den unterstützenden Rahmenwerken (IT, Cyber, Business Continuity, Incident Management usw.) eingerichtet worden sein können. Bei der Entscheidung, was für Ihr Unternehmen am besten geeignet ist, schlägt das IOR vor, Folgendes in Betracht zu ziehen:

  • Größe und Umfang der Organisation
  • Die Bandbreite der angebotenen Dienstleistungen
  • Relativer Reifegrad des bestehenden proaktiven und reaktiven Risikomanagementrahmens

Betrachten Sie das Risiko durch eine "Dienstleistungs"-Brille

Dem IOR zufolge "erfordert die operationelle Resilienz, dass Organisationen das Risiko durch eine Dienstleistungsbrille betrachten und nicht nur durch das System, das Geschäft oder den operativen Bereich. Dies erfordert zwar ein Umdenken, aber die operationelle Resilienz ist ein Ergebnis und kein Risiko. Daher sollten die Hauptaktivitäten zur Bewältigung der Risiken, die insgesamt die operationelle Resilienz bestimmen, den bestehenden Risikomanagementprozessen folgen und bestehende Rahmenwerke nutzen, soweit dies praktikabel ist.

Da die Zusammenarbeit die Steuerung der operationellen Resilienz verbessern kann, ist es ratsam, alle Geschäftsdienstleistungen zu identifizieren und sie als "eine Dienstleistung, die eine Organisation für einen externen Endnutzer erbringt" zu definieren, die als wichtig erachtet wird, wenn "ihre Unterbrechung die (finanzielle oder operationelle) Lebensfähigkeit einer Organisation wesentlich beeinträchtigen, den Kunden erheblichen Schaden zufügen oder ihre Fähigkeit beeinträchtigen würde, die vom Vorstand genehmigte Strategie umzusetzen".

Prozesse abbilden, Auswirkungen von Dienstleistungen messen

Warum sollten Prozesse abgebildet werden? Laut IOR ermöglicht sie die Identifizierung und das Management der wichtigsten operativen Risiken (Menschen, Prozesse und Systeme), die mit der Erbringung einer Dienstleistung verbunden sind. "Wenn Unternehmen verstehen, wie ein Dienst erbracht wird und wie er gestört werden könnte, können sie angemessene Maßnahmen ergreifen, um den Ausfall eines Dienstes zu verhindern, und so durch die Rationalisierung bestehender silobasierter Kontrolltätigkeiten einen Mehrwert schaffen.

Da das Mapping wahrscheinlich ein umfangreiches Unterfangen sein wird, rät das IOR, sich auf den Inhalt des Risikoregisters einer Organisation zu beziehen, was dazu beitragen wird, sich auf die größten Risiken und ihre Auswirkungen (und nicht auf ihre Wahrscheinlichkeit) zu konzentrieren.

Was die Messung anbelangt, so besteht keine Verpflichtung, die Auswirkungen anhand bestimmter Messgrößen zu quantifizieren. Es sollte daran erinnert werden, dass Resilienz "dynamisch ist und die Maßnahmen daher möglichst datengesteuert sein sollten und in der Lage sein sollten, so nah wie möglich an der Echtzeit gemessen zu werden, um ein schnelles Handeln zu unterstützen, wenn ein betriebliches Ereignis eintritt, das die Leistungserbringung beeinträchtigt."

Einstellung der Aufpralltoleranz

In Abschnitt 5 des Whitepapers zur operationellen Ausfallsicherheit wird die Ermittlung und Festlegung von Toleranzen für die Auswirkungen auf wichtige Geschäftsdienste beschrieben. "Die Toleranz wird in der Regel in Form von Ausfallzeiten ausgedrückt (dies ist für britische Finanzdienstleistungsunternehmen obligatorisch), kann aber auch in Kombination mit anderen relevanten Metriken verwendet werden (z. B. Anzahl der betroffenen Kunden oder Produktionsvolumen). Die IOR rät, dass Toleranzen an oder vor dem Punkt festgelegt werden sollten, an dem eine Störung ein untragbares Risiko verursachen würde - Schaden für Verbraucher/Marktteilnehmer, finanzieller Schaden für die Organisation selbst oder ihre Betriebslizenz.

Testen, Überwachen und Kontrollieren der betrieblichen Ausfallsicherheit

Das Institut empfiehlt, operationelle Resilienzszenarien in der gleichen Weise zu entwerfen und zu testen, wie dies für operationelle Risiken der Fall ist. Die Ergebnisse werden sich zwar unterscheiden, sind aber für Governance und Compliance sowie zur Unterstützung strategischer und operativer Entscheidungen nützlich.

Es wird vorgeschlagen, dass die operationelle Widerstandsfähigkeit im Rahmen der bestehenden Foren für das operationelle Risikomanagement und die Berichterstattung berücksichtigt wird. "...das übergeordnete Ziel sollte sein, vorhandene Informationen zu nutzen und, wo immer möglich, nicht zu kompliziert zu sein. Ziel ist es, aufkommende Risiken zu identifizieren, die sich auf die Fähigkeit einer Organisation auswirken könnten, IBS zu liefern (oder im Falle eines Ausfalls innerhalb der Auswirkungstoleranz zu bleiben), und gegebenenfalls Maßnahmen zu ergreifen, um sie zu mindern."

Da es beim Management der operationellen Resilienz darum geht, Veränderungen zu erwarten und auf externe Ereignisse zu reagieren, sollte die Überwachung dies berücksichtigen:

  • Interdependenz und Verbindungen zwischen Systemen und Diensten
  • 3rd Teilabhängigkeiten und Outsourcing
  • Das äußere Umfeld

Berücksichtigung bestehender Risikomanagementprozesse

Die IOR rät, in erster Linie auf bestehende Risikomanagementpraktiken zurückzugreifen, da diese einen Großteil der Daten sowie der proaktiven und reaktiven Praktiken enthalten, die für das Management der betrieblichen Widerstandsfähigkeit erforderlich sind.

Es kann auch nützlich sein, sich daran zu erinnern, dass Rom nicht an einem Tag erbaut wurde. Operationale Resilienz "ist eine sich entwickelnde Disziplin, und die Rahmenbedingungen und Richtlinien für das operative Resilienzmanagement sollten so gestaltet sein, dass sie eine flexible Entscheidungsfindung unterstützen und anpassungsfähig sind, um auf neue Bedrohungen, Probleme und Vorschriften reagieren zu können."