„Der Bedarf an operationellem Risikomanagement ist akuter denn je“, behauptet das Institute of Operational Risk (IOR) in seinem Whitepaper ‚Operational Resilience‘. Der Leitfaden soll Risikofachleuten dabei helfen, die Praxis des Managements operationeller Risiken in ihren Unternehmen zu verbessern. Er beschreibt die Grundsätze der operationellen Widerstandsfähigkeit sowie eine Reihe von bewährten Praktiken, Beispielen und Vorschlägen zur Erreichung dieser Ziele. In diesem kurzen Blog gehen wir auf einige der wichtigsten Erkenntnisse aus dem Leitfaden ein:
Operative Widerstandsfähigkeit ist ein Ergebnis, kein Risiko
Operative Resilienz wird definiert als „die Fähigkeit einer Organisation, kritische Betriebsabläufe durch Störungen hindurch aufrechtzuerhalten“. In der Vergangenheit wurde sie proaktiv durch den Rahmen für das operative Risikomanagement (ORMF) einer Organisation und reaktiv durch Kontinuitätsmanagement, Reaktion auf Zwischenfälle und Krisen- oder Wiederherstellungsplanung verwaltet. Das IOR schlägt vor, dass diese Maßnahmen „rückwärtsgewandt sind und sich auf die Wiederherstellung nach spezifischen, risikoreichen Einzelereignissen (z.B. Stromausfall, Cybervorfall) konzentrieren. Die betriebliche Widerstandsfähigkeit ist das Ergebnis der Effektivität dieser Risikomanagement-Aktivitäten, so dass ihr Management Koordination und Verständnis in allen Bereichen erfordert.
Was ist der beste Ansatz für Ihr Unternehmen?
Das IOR vertritt den Standpunkt, dass die operationelle Widerstandsfähigkeit eine Komponente des ORMF ist und innerhalb dieses Rahmens verwaltet werden sollte. Es erkennt jedoch an, dass insbesondere in größeren Unternehmen Teams oder Funktionen für die operationelle Widerstandsfähigkeit unabhängig vom operationellen Risiko und den unterstützenden Rahmenwerken (IT, Cyber, Business Continuity, Incident Management usw.) eingerichtet worden sein können. Bei der Entscheidung darüber, was für Ihr Unternehmen am besten geeignet ist, empfiehlt das IOR, Folgendes zu berücksichtigen:
- Die Größe und der Umfang der Organisation
- Die Breite der angebotenen Dienstleistungen
- Relativer Reifegrad bestehender proaktiver und reaktiver Risikomanagement-Rahmenwerke
Betrachten Sie das Risiko durch eine „Service“-Brille
Laut IOR „erfordert die operationelle Resilienz, dass Organisationen das Risiko durch eine Dienstleistungsbrille betrachten und nicht nur durch das System, das Geschäft oder den operativen Bereich. Dies erfordert zwar ein Umdenken, aber die operationelle Widerstandsfähigkeit ist ein Ergebnis und kein Risiko. Daher sollten die wichtigsten Aktivitäten zur Verwaltung der Risiken, die insgesamt die operationelle Widerstandsfähigkeit bestimmen, den bestehenden Risikomanagement-Prozessen folgen und bestehende Rahmenwerke nutzen, sofern dies praktikabel ist.“ Da die Zusammenarbeit die Steuerung der operationellen Resilienz verbessern kann, ist es ratsam, alle Geschäftsdienstleistungen zu identifizieren und sie als „eine Dienstleistung, die eine Organisation für einen externen Endnutzer erbringt“ zu definieren, die als wichtig erachtet wird, wenn „ihre Unterbrechung die (finanzielle oder operationelle) Lebensfähigkeit einer Organisation wesentlich beeinträchtigen, den Kunden beträchtlichen Schaden zufügen oder ihre Fähigkeit beeinträchtigen würde, die vom Vorstand genehmigte Strategie umzusetzen.“
Prozesse abbilden, Auswirkungen von Dienstleistungen messen
Warum sollten Prozesse abgebildet werden? Laut IOR ermöglicht dies die Identifizierung und das Management der wichtigsten operativen Risiken (Menschen, Prozesse und Systeme), die mit der Erbringung eines Dienstes verbunden sind. „Wenn Unternehmen verstehen, wie ein Dienst erbracht wird und wie er gestört werden könnte, können sie angemessene Maßnahmen ergreifen, um einen Ausfall des Dienstes zu verhindern, und so durch die Rationalisierung bestehender silobasierter Kontrolltätigkeiten einen Mehrwert schaffen. Da das Mapping wahrscheinlich ein umfangreiches Unterfangen sein wird, rät das IOR, sich auf den Inhalt des Risikoregisters einer Organisation zu beziehen, was dazu beiträgt, sich auf die größten Risiken und ihre Auswirkungen (und nicht auf ihre Wahrscheinlichkeit) zu konzentrieren. Wenn es um die Messung geht, gibt es keine Vorschrift, die Auswirkungen anhand bestimmter Metriken zu quantifizieren. Sie sollten bedenken, dass Resilienz „dynamisch ist und die Maßnahmen daher nach Möglichkeit datengestützt sein sollten und so nah wie möglich an der Echtzeit gemessen werden können, um ein schnelles Handeln zu unterstützen, falls ein betriebliches Ereignis eintritt, das die Erbringung von Dienstleistungen beeinträchtigt.“
Einstellung der Aufpralltoleranz
In Abschnitt 5 des Whitepapers Operational Resilience wird die Bestimmung und Festlegung von Toleranzen für die Auswirkungen auf wichtige Geschäftsdienste beschrieben. „Die Toleranz wird in der Regel in Form von Ausfallzeiten ausgedrückt (dies ist für britische Finanzdienstleistungsunternehmen obligatorisch), kann aber auch in Kombination mit anderen relevanten Kennzahlen verwendet werden (z.B. Anzahl der betroffenen Kunden oder Produktionsvolumen). Die IOR rät, dass Toleranzen an oder vor dem Punkt festgelegt werden sollten, an dem eine Unterbrechung zu einem untragbaren Risiko führen würde – Schaden für Verbraucher/Marktteilnehmer, finanzieller Schaden für das Unternehmen selbst oder seine Betriebslizenz.
Testen, Überwachen und Kontrollieren von Szenarien zur betrieblichen Ausfallsicherheit
Das Institut empfiehlt, dass Szenarien für die operationelle Resilienz in der gleichen Weise entwickelt und getestet werden sollten wie für das operationelle Risiko. Die Ergebnisse werden sich zwar unterscheiden, aber sie werden für die Unternehmensführung und die Einhaltung von Vorschriften sowie zur Unterstützung der strategischen und operativen Entscheidungsfindung nützlich sein. Es wird vorgeschlagen, dass die operationelle Widerstandsfähigkeit im Rahmen der bestehenden Foren für das operationelle Risikomanagement und die Berichterstattung berücksichtigt wird. „…das übergreifende Ziel sollte sein, vorhandene Informationen zu nutzen und, wo immer möglich, nicht zu kompliziert zu sein. Das Ziel besteht darin, aufkommende Risiken zu identifizieren, die die Fähigkeit einer Organisation beeinträchtigen könnten, IBS zu liefern (oder im Falle eines Ausfalls innerhalb der Auswirkungstoleranz zu bleiben), und gegebenenfalls Maßnahmen zu ergreifen, um sie zu mindern.“ Da es beim Management der betrieblichen Widerstandsfähigkeit darum geht, Veränderungen zu erwarten und auf externe Ereignisse zu reagieren, sollte die Überwachung Folgendes berücksichtigen:
- Interdependenz und Verbindungen zwischen Systemen und Diensten
- Abhängigkeiten vom3. Teil und Outsourcing
- Das äußere Umfeld
Berücksichtigen Sie bestehende Risikomanagementprozesse
Das IOR rät, zunächst auf bestehende Risikomanagementpraktiken zurückzugreifen, da diese einen Großteil der Daten sowie der proaktiven und reaktiven Praktiken enthalten, die für das Management der betrieblichen Widerstandsfähigkeit erforderlich sind. Es kann auch nützlich sein, sich daran zu erinnern, dass Rom nicht an einem Tag erbaut wurde. Operative Resilienz „ist eine sich entwickelnde Disziplin, und die Rahmenbedingungen und Richtlinien für das Management der operativen Resilienz sollten so gestaltet sein, dass sie eine flexible Entscheidungsfindung unterstützen und anpassungsfähig sind, um auf neue Bedrohungen, Probleme und Vorschriften zu reagieren.“
