Die Pandemiekrise hat dem Finanzdienstleistungssektor eine reale Stress-Testumgebung geboten, um seine Planung, Systeme und Prozesse im Hinblick auf die operative Widerstandsfähigkeit zu bewerten. Um dies zu untersuchen und zu sehen, wie sich die Institutionen bisher geschlagen haben, veranstaltete die Handelsgruppe UK Finance kürzlich ein Webinar zum Thema operative Widerstandsfähigkeit.
Es zeigte Sam Lee, Leiter Operational Risk EMEA bei Sumitomo Mitsui Banking Corp., Jay Fitzhugh, Chief Regulatory Officer bei GRC Mitratech, Andrew Rogan, Direktor für operative Resilienz bei UK Finance, und ich selbst.
Das Konzept der operative Resilienz – die Verbesserung von Systemen und Prozessen zur Aufrechterhaltung der operativen Robustheit und des Marktvertrauens – ist seit zwei bis drei Jahren weltweit ein aufkommendes Thema. Mit Plänen zur Einführung eines regulatorischen Compliance-Rahmens im ersten Quartal 2021 ist Großbritannien führend in diesem Bereich, wobei die formelle Compliance für 2024 vorgesehen ist.
Die Podiumsteilnehmer diskutierten intensiv darüber, ob COVID eine bedeutende Bewährungsprobe für die operative Resilienz gewesen sei. Aus einer Vielzahl von Gesprächen innerhalb der Branche ging hervor, dass alle der Meinung waren, COVID habe die Notwendigkeit operativer Resilienz sehr deutlich gemacht. Es habe das Profil und den Wert systematischer Resilienz geschärft, Lücken aufgezeigt und die bestehenden Rahmenwerke für operative Resilienz einer robusten Prüfung unterzogen.
Wo diese unzureichend waren, haben Unternehmen sehr schnell reagiert und die Einführung neuer Systeme und Prozesse weitaus schneller vorangetrieben als bisher. Es gab jedoch auch die Ansicht, dass COVID eher ein guter Test für das Krisenmanagement als für die operative Resilienz selbst gewesen sei.
Sam Lee war der Ansicht, dass der Schwerpunkt der operativen Resilienz darauf liegen sollte, proaktiv und vorausschauend zu handeln und gleichzeitig gegenüber den Stakeholdern Resilienz zu demonstrieren. Er war der Meinung, dass die (hervorragende) Reaktion auf COVID in erster Linie reaktiv war. Eine Lehre für die operative Resilienz wird sein, dass man bei der Auswertung der Reaktion auf COVID umsichtig vorgehen muss. Die nächste bedeutende Krise wird wahrscheinlich eine andere Reaktion erfordern als die durch die Pandemie ausgelöste.
Die Rolle des Policy Managements für die operative Ausfallsicherheit
Die Podiumsteilnehmer waren sich weitgehend einig darüber, wie Unternehmen das Thema Richtlinienmanagement gehandhabt haben. Normalerweise handelt es sich hierbei um ein konservatives Thema, bei dem die Richtlinien für viele Aspekte der Geschäftsprozesse jährlich überprüft werden. In diesem Jahr wurden viele Richtlinien wöchentlich oder monatlich überprüft, was den Unternehmen geholfen hat, den Wert klar definierter und gut verwalteter Richtlinien voll und ganz zu schätzen.
Der Aufwand für die Überprüfung, Umsetzung und Überwachung sich ständig ändernder Richtlinien hat jedoch viele manuelle Prozesse sowohl innerhalb des Unternehmens als auch in seiner Lieferkette übermäßig belastet. Alle waren der Meinung, dass automatisiertes Richtlinienmanagement und Lieferantenrisikomanagement Bereiche sind, in die 2020 in Großbritannien und den USA viel Zeit und Geld investiert wurde. Es war ein Trend, von dem alle erwarteten, dass er sich auch 2021 fortsetzen würde.
Die Herausforderung der Verhältnismäßigkeit
Das Gremium war außerdem der Ansicht, dass COVID die Frage der Verhältnismäßigkeit bei der Gestaltung der Reaktionen von Organisationen in den Vordergrund gerückt habe. Verhältnismäßigkeit – also die Frage, wie ein Problem angesichts der unterschiedlichen Größe vieler Institutionen auf verschiedene Weise angegangen werden kann – steht im Mittelpunkt des prinzipienbasierten Regulierungsansatzes des Vereinigten Königreichs. Verhältnismäßigkeit fördert Flexibilität, wodurch Organisationen verschiedene Systeme und Prozesse implementieren können, die ihren individuellen Anforderungen entsprechen. Außerdem ermöglicht sie eine größere Risikosensitivität.
Wie Sam Lee hervorhob, kann es Situationen geben, in denen beispielsweise ein kleineres Institut möglicherweise nicht in der Lage ist, herauszufinden, wer zu seinen Lieferanten der vierten Ebene gehört. Angesichts des damit verbundenen Aufwands und der Kosten sowie der wahrscheinlich begrenzten Risiken könnte das Institut zu dem Schluss kommen, dass die fehlende Transparenz in diesem Bereich ein akzeptables Geschäftsrisiko darstellt. Dies müsste jedoch innerhalb der normalen Risikoparameter liegen und genehmigt, dokumentiert, transparent und überprüfbar sein.
MRM- und EUC-Nutzung
Ein Thema, das ich während unserer Diskussion angesprochen habe, waren Anwendungen für das Modellrisikomanagement (MRM) und Endbenutzer-Computing (EUC). Modelle wurden während der Pandemie sinnvoll eingesetzt und halfen Analysten und Führungskräften dabei, die potenziellen Auswirkungen von Konjunkturabschwächungen, Impfstoffen, Inflation und Arbeitslosigkeit beispielsweise auf die Kreditvergabe, die Kreditaufnahme und die Bilanz eines Instituts zu steuern.
EUCs, insbesondere Tabellenkalkulationen, werden seit vielen Jahren in Banken intensiv für die Modellierung und andere Bereiche genutzt. Durch die zunehmende Heimarbeit hat ihre Verwendung noch weiter zugenommen. Im Vergleich zu IT-verwalteten Anwendungen mangelt esdiesen Anwendungen an Kontrollen, wodurch ein Institut einer Reihe von operativen, reputationsbezogenen und regulatorischen Risiken ausgesetzt ist.
Als Reaktion auf COVID verstärken Risiko- und Compliance-Teams ihre Bemühungen, das Management ihrer Unternehmens-IT- und EUC-Anwendungen zu integrieren, insbesondere im Bereich MRM. Ihr Ziel ist es, die Flexibilität der EUCs zu erhalten und gleichzeitig Transparenz für Stakeholder und das Management zu gewährleisten.
Das Panel schloss die Diskussionen mit einem Blick darauf ab, wie Mitratech seinen Kunden dabei half, ihre Widerstandsfähigkeit während der Pandemie zu stärken. Die wichtigsten Bereiche waren das Richtlinienmanagement, das Lieferantenrisikomanagement und das Modellrisikomanagement. Dies waren alles sehr dynamische Bereiche, in denen der Bewertungs- und Überprüfungszyklus drastisch verkürzt worden war, da sich die wirtschaftliche, personelle und rechtliche Situation aufgrund der Auswirkungen der Pandemie verändert hatte. Die Automatisierung, die diese Lösungen ermöglichten, erwies sich für viele als bahnbrechend.
Sehen Sie sich das Webinar über den unten stehenden Link an. Oder erfahren Sie hier mehr darüber, wie Sie Ihre operative Widerstandsfähigkeit verbessern können.
Entdecken Sie Mitratech GRC Management
Erfahren Sie mehr über unsere einzigartige Suite von End-to-End-Lösungen für Risiko und Compliance.
