Kreditinstitute müssen einen tragfähigen Risikoplan für Notfälle in Geschäftsprozessen vorweisen.
Mentalrai | Fotolia.com
Durch die zunehmende Digitalisierung und immer mehr virtuell basierte Geschäftsprozesse werden technische Infrastrukturen der Geldhäuser angreifbarer. Kreditinstitute müssen daher möglichst schnell und effektiv auf geschäftskritische Ereignisse reagieren können. Denn jeder Störfall in den Kernprozessen trifft schnell auch die Kundenbeziehungen und das operative Geschäft von Banken. Vier zentrale Komponenten, die bei Krisenfällen beeinträchtigt werden, sind IT, Infrastruktur, Personal und Dienstleister.
Störfälle im Griff behalten
Terrorismus, Datenklau oder Computerviren kommen als Störfälle laut Anna-Luise Müller, Expertin der Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT und des Kernkompetenzzentrums Finanz & Informationsmanagement, statistisch gesehen ungefähr alle drei Jahre vor. Verfügen Finanzdienstleister dann über kein funktionsfähiges Geschäftsprozessmanagement, das so genannte Business Continuity Management (BCM), mit dem alle Geschäftsaktivitäten und insbesondere Bankprozesse in einem Notfall fortgeführt werden können, werden die eigenen Geschäftstätigkeiten meist stark beeinträchtigt. Nicht nur der Zahlungsverkehr und andere operative Geschäftsvorfälle im Kundenverkehr können betroffen sein, sondern beispielsweise auch die Wertpapiersysteme einer Bank.
Finanzdienstleister sind regulatorisch dazu verpflichtet, die Geschäftsfortführung sicherzustellen. Für den deutschen Markt ist § 25a des Kreditwesengesetzes (KWG) die Grundlage dafür. Danach müssen Geldhäuser dafür Pläne und ein entsprechendes Risikomanagement vorhalten. Den regulatorischen Rahmen des BCM bilden laut Müller die MaRisk-Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin). Zudem finden verschiedene weitere Standards für das BCM Anwendung.
Die Deutsche Bank ließ im Januar 2016 beispielsweise verlauten, dass sie ihr globales BCM-Programm ständig weiterentwickelt und testet. Das Programm umfasst Kernprozeduren für verschiedene Krisenlevel, um Geschäftsvorfälle fortzuführen, unter anderem bei technischen Krisenfällen in der IT. Darüber hinaus unterliegen die BCM-Maßnahmen des Instituts regelmäßig internen wie externen Audits und bankaufsichtlichen Überprüfungen.
Konsequente Risikosteuerung nutzen
Ein durchgängig organisiertes, unternehmensweites BCM bedingt, dass Finanzhäuser geeignete Prozesse für die Risikosteuerung und das Risikocontrolling aufsetzen, wie der Springer-Autor Karl Dürselen im Buchkapitel "MaRisk der Banken und Frühwarnindikatoren" (Seite 199-201) mit Blick auf klassische Marktpreis- und Liquiditätsrisiken von Geldhäusern feststellt. Bankintern müssen ein Krisenmanagement-Team und bereichsspezifische Ansprechpartner für die BCM-Maßnahmen im jeweiligen Geschäftsbereich die operative Verantwortung in Krisenfällen tragen.
Anna-Luisa Müller von Fraunhofer empfiehlt zudem eine jährliche Analyse negativer Geschäftseinflüsse und zeitkritischer Geschäftsabläufe. Dadurch könnten "Bedrohungen für Prozesse und Ressourcen identifiziert und mögliche geschäftliche Schäden" frühzeitig abgeschätzt werden. Die Bank-IT bleibt dabei ein Hauptnerv, denn sie ist wichtiger Treiber für die Wettbewerbsfähigkeit von Kreditinstituten, wie Bankmagazin-Redakteurin Bianca Baulig im Beitrag "Warum IT für Banken so wichtig ist" schreibt. Sie macht deutlich, dass für Geldhäuser auch abseits von echten Stör- oder Krisenfällen hier noch viel zu tun bleibt. Denn ihre IT-Infrastrukturen seien historisch gewachsen. An die gegenwärtigen Anforderungen, etwa das Datenmanagement, reichten die meisten IT-Systeme derzeit nicht heran.