Was ist operationelle Resilienz und warum ist sie so wichtig?
Der britische Rahmen für operationelle Widerstandsfähigkeit (Operational Resilience, OpRes) soll sicherstellen, dass der britische Finanzdienstleistungssektor gegen eine Reihe von Problemen gewappnet ist, die sich auf die von ihm erbrachten Dienstleistungen für die britische Wirtschaft auswirken könnten. Beispiele hierfür sind Cyberangriffe, ein Technologieausfall oder eine erhebliche wirtschaftliche Unterbrechung.
Die Ereignisse der Jahre 2020-2021 sind der Beweis dafür, wie wichtig die Widerstandsfähigkeit von Unternehmen ist. OpRes baut auf vielen Rahmenwerken auf, die Banken üblicherweise verwenden, aber die Herausforderung besteht darin, sie in ein zusammenhängendes Ganzes zu integrieren und gleichzeitig sicherzustellen, dass alle informellen, aber kritischen Geschäftsprozesse ebenfalls vollständig integriert sind.
Effektive betriebliche Widerstandsfähigkeit: Mit Automatisierung Ihre Ziele erreichen
OpRes soll dazu beitragen, die Robustheit des britischen Finanzdienstleistungssektors gegenüber einer Reihe von Störungen zu verbessern, die die Integrität des Marktes für seine Nutzer beeinträchtigen könnten.
Operational Resilience bietet einen standardisierten Ansatz, der es Banken, Vermögensverwaltern und Versicherern sowie deren Aufsichtsbehörden ermöglicht, trotz unterschiedlicher Anforderungen und Ansätze einheitlich zu messen, wie robust sie sind. Er ist prinzipienbasiert, es gibt also kein Kästchen zum Ankreuzen. Stattdessen müssen die Institute ihre kritischen Geschäftsprozesse ermitteln und entscheiden, wie lange der Markt eine Unterbrechung tolerieren kann. Es gibt keinen definierten Compliance-Standard, auf den man hinarbeiten muss; stattdessen verlangen die britischen Aufsichtsbehörden von den Instituten, dass sie ihre Robustheit in einer Reihe von Punkten kontinuierlich verbessern.
Zum Beispiel: Von allen Instituten wird erwartet, dass sie im Rahmen ihrer BCM-Pläne (Business Continuity Management) Maßnahmen zur Definition ihrer wichtigsten Geschäftsprozesse und Pläne zur Aufrechterhaltung der Verfügbarkeit vorsehen.
Die Herausforderung für viele Institutionen? Die Integration einer Vielzahl bestehender Initiativen und Programme in den unternehmensweiten Rahmen der operationellen Resilienz, die wahrscheinlich über mehrere verschiedene Systeme mit unterschiedlichen Formaten und Sprachen verteilt sind. Eine weitere Herausforderung besteht darin, dass informelle Anwendungen, wie z. B. End User Computing (EUC)-Anwendungen - in der Regel Tabellenkalkulationen - Schlüsselkomponenten von Kerngeschäftsprozessen bilden, da diese möglicherweise nicht die Kontrollen und die Prüfbarkeit anderer Unternehmensanwendungen aufweisen.
Die Automatisierung kann eine Lösung für die Vereinfachung und Konsolidierung der unterschiedlichen Prozesse im Zusammenhang mit OpRes sowie für die Sicherung der kritischen EUC-basierten Prozesse sein, die die Institutionen vor Compliance-Problemen bewahren können.
Die idealen Instrumente und Ansätze
Die operative Robustheit des britischen Finanzsektors gilt als hoch, da die Aufsichtsbehörden ihre Aktivitäten im Rahmen des übergreifenden Senior Management and Certification Regime (SMCR) genauestens überprüfen .
Da viele der Kernprozesse und Anforderungen von Operational Resilience bereits vorhanden sind, besteht die größte Herausforderung darin, die Informationen zu konsolidieren und zu standardisieren, damit ein Institut trotz einer Vielzahl von Systemen, Datentypen, -formaten und -silos einen genauen und einheitlichen Überblick über das gesamte Unternehmen erhält. Der Kosten- und Ressourcendruck für eine Institution jeder Größe bedeutet, dass es schwierig ist, eine große Investition in Technologie- oder Geschäftsänderungsprojekte zu rechtfertigen, um Operational Resilience zu implementieren.
Für viele Institutionen besteht die ideale Lösung darin, eine flexible Richtlinie für die operationelle Stabilität und die Einhaltung von Vorschriften zu implementieren, die schnell und ohne Unterbrechung des Geschäftsbetriebs eingeführt werden kann und die die Schlüsselelemente Änderungskontrolle, Transparenz und Überprüfbarkeit enthält.
Die ideale Policy Engine sollte eine flexible, auf Vorlagen basierende Anwendung sein, die sich leicht an die Unterschiede zwischen den einzelnen Funktionen anpassen lässt und gleichzeitig den jeweiligen Teams hilft, die übergreifenden Unternehmensanforderungen an die Operational Resilience zu verstehen und einzuhalten. Diese Policy Engine hilft bei der Erfassung und Konsolidierung von Schlüsselelementen der OpRes-Anforderungen, einschließlich der Definitionen von Geschäftsprozessen, vereinbarter Unterbrechungszeiten sowie der Details der technologischen Infrastruktur, die dem Ganzen zugrunde liegt. Ein automatisierter Überprüfungs-, Genehmigungs- und Berichterstattungsprozess ist ebenfalls unerlässlich.
Wenn der Richtlinienprozess eingerichtet ist, kann eine regelmäßige automatische Überprüfung und Bewertung der Einhaltung der Richtlinien einer Organisation helfen, schnell und effizient sicherzustellen, dass sie die Anforderungen ihrer Richtlinien erfüllt und gleichzeitig verbesserungswürdige Bereiche identifiziert, sobald diese entstehen. Auch hier gilt, dass automatisierte Überprüfungen und Berichte den Arbeitsaufwand für die Einhaltung der Richtlinien verringern und gleichzeitig die erforderlichen Standards aufrechterhalten.
Eine Lücke, die zunehmend als kritisch erkannt wird, ist die Nutzung von EUCs zur Bereitstellung von Kerngeschäftsprozessen. Operational Resilience schreibt die Einbeziehung dieser Systeme in ein systematisches Unternehmensmanagementprogramm vor, da Finanzdienstleister diese Systeme in großem Umfang für das Portfoliomanagement, die Produktentwicklung und das allgemeine Management des Unternehmens nutzen. Im Rahmen von OpRes müssen diese EUCs identifiziert, verwaltet und kontrolliert werden, genauso wie andere Geschäftsanwendungen oder -prozesse.
Fragen zur operationellen Resilienz, die sich die Geschäftsleitung stellen sollte
- Governance: Wie groß ist die Risikobereitschaft der Organisation? Welche KPIs bieten einen vollständigen Überblick über den Reifegrad? Wer sind die verantwortlichen Personen in der ersten und zweiten Verteidigungslinie für die operative Belastbarkeit?
- Organisatorisch: Sind die Abhängigkeiten der Unternehmensdienste von diesen Vermögenswerten vollständig bekannt? Welches sind die kritischsten Anlagen? Wie verändert der Resilienzprozess die Art und Weise, wie Betrieb, Technologie und Zulieferer verwaltet werden?
- Integration: Wie werden die bestehenden Definitionen kritischer Geschäftsdienste genutzt? Welchen Einfluss hat das Unternehmen auf die Kunden und das Finanzsystem? Welches sind die kritischsten Dienste und warum?
- Messung: Wie wird der Grad der Widerstandsfähigkeit innerhalb der Organisation überwacht und gesteuert? Wann befindet sich die Organisation außerhalb der festgelegten Auswirkungstoleranzen? Welches sind die kritischsten Risiken für die Organisation?
- Vorbereitung: Wie ist die Organisation auf den Einsatz von Resilienz vorbereitet? Wie oft wird der Reaktions- und Wiederherstellungsprozess getestet?
Operational Resilience-Lösungen
Mitratech verfügt über das bewährte Instrumentarium, das für die Einhaltung der OpRes-Vorschriften erforderlich ist, und hilft Unternehmen auch bei der Erfüllung anderer gesetzlicher Anforderungen.
Verwaltung der Politik
Eine Lösung zur Verwaltung von Richtlinien wie PolicyHub von Mitratech spart Zeit und verbessert die Effizienz. Sie unterstützt die effektive Verwaltung von Richtlinien durch Automatisierung und Rationalisierung der damit verbundenen Prozesse und beseitigt die damit verbundenen Komplexitäten und Fehler. So können Sie ein ethisches und vertretbares Compliance-Programm aufbauen.
EUC/Schatten-IT-Management
Mit einem automatisierten Tool wie ClusterSeven können Sie proaktiv Änderungen an Tabellenkalkulationen von Endbenutzeranwendungen und anderen "Schatten-IT"-Datenbeständen, die im gesamten Unternehmen versteckt sind, entdecken, überwachen, überprüfen und kontrollieren. Verschaffen Sie sich einen zentralen Überblick über die unternehmensweite Nutzung kritischer Tabellenkalkulationen,bewerten und priorisieren Sie kritische Tabellenkalkulationen und schaffen SieTransparenz für das Management und die Prüfer über Ihre wichtigsten Dateien.
Management der Einhaltung von Vorschriften und Verpflichtungen
Eine Lösung für das Management von Compliance und Verpflichtungen, wie das CMO-Angebot von Mitratech, nutzt eine einfache, intuitive Schnittstelle, um Mitarbeitern und Prüfern die Möglichkeit zu geben, bei der Verwaltung von Vorfällen und Audits proaktiv vorzugehen, einschließlich der Verpflichtungen nach der Volcker-Regel, Kontrollen, Untersuchungen und der Meldung von Verstößen. Sie können Vorfälle einfach melden, Ihre Verpflichtungen verstehen und Ihre Compliance-Leistung kontinuierlich verbessern.
Verwaltung von Unternehmensinhalten
Eine ECM-Lösung wie DataStore wurde von Grund auf für Finanzdienstleister entwickelt und bietet über ein sicheres zentrales Repository die vollständige Kontrolle über die Erfassung, Indizierung, Archivierung, Abfrage, Zugänglichkeit, Bereitstellung und Aufbewahrung aller geschäftskritischen Informationen in einem Unternehmen.