Operational Resilience in Finanzinstituten

Operational Resilience ist ein neues Konzept gegenüber Operational Risk Management, welches von der Widerstandsfähigkeit von ökologischen Systemen gegenüber Schocks übernommen wurde und eine Wiederherstellung der ökonomischen Betriebsfähigkeit unter der Annahme beschreibt, dass gemäß eines seltenen, aber plausiblen Szenarios einmal in der Zukunft eine Disruption eingetreten sein wird. Im Kern ist Operational Resilience damit der Antagonist zu einer Kontrollillusion, alles ex ante absehen, kalkulieren und schützen zu können. Während das traditionelle Operational Risk Management von einer Ex-ante-Definition einer „Risk Policy“ und dem nachgelagerten Reporting von eingetretenen Ereignissen ausgeht, beginnt Operational Resilience bei der Annahme, dass „irgendwann“ einmal eine Disruption der Betriebsfähigkeit eingetreten sein wird. Dies spiegelt sich in neuen aufsichtsrechtlichen Ansätzen wider, wobei die Frage nach den heutigen Kosten für Maßnahmen gegen „irgendwann“ zu erwartende Vorkommnisse unbeantwortet bleibt.

Da es die Beschreibung von Operational Resilience als Wiederherstellung der Betriebsfähigkeit im Falle einer Disruption offen lässt, was eine Disruption sein soll, bietet sich erster Zugang durch drei Beispiele an, welche verschiedene Perspektiven abdecken. Zum einen kann aus Statistiken der finanziellen Verluste von Operational-Risk-Events geschlossen werden, dass auch bei „seltenen“ Ereignissen mit großen Schäden die aggregierten Schäden pro Magnitude keinesfalls abnehmen. Zum anderen bedingen konkrete Betriebsunterbrechungen nicht immer finanzielle Schäden, können aber gerade auch nach langjährigem „erfolgreichem“ Betrieb eintreten. Und schließlich führt die Digitalisierung zu neuen Rahmenbedingungen, welche in Zukunft zu Disruptionen führen können, da auch diese „digital“ sind: Systeme laufen so lange, bis einmal eine Unterbrechung eintritt.

In der modernen – und von Anwendungen in der Industrie geprägten – Risk Science hat sich die Definition von „Risiko“ von einer Sicht der statistischen Wahrscheinlichkeitsrechnung mit dem Ansatz von Verlustwahrscheinlichkeit mal möglicher Verlusthöhe hin zur Betonung des Effekts der Unsicherheit einer Zielerreichung verschoben. Während die ursprüngliche Perspektive von der Beschreibung wiederholter bzw. wiederholbarer Spiele herrührt, stellt ein modernes Risikokonzept die Unsicherheit (von Menschen als Beobachter) bezüglich der Zukunft und Entscheidungen unter Unsicherheit in den Vordergrund. Damit wird die menschliche „Strength of Knowledge“ zum Schlüssel für das Verständnis von „Risiko“ – insbesondere je seltener und eben unsicherer mögliche Ereignisse in der Zukunft werden, welche negative Konsequenzen haben. Dieser Ansatz schlägt die Brücke für einen formalen Zugang zur „Operational Resilience“ als Vermeidung von allen solchen möglichen seltenen, aber plausiblen künftigen Disruptionen.

Unter der Prämisse der Berechnung von Risikokapital fokussierte sich das Risikomanagement bei Banken oft auf solche statistischen Verteilungsfunktionen, welche eine möglichst „einfache“ Berechnung erlauben, aber meist Ereignisse in den „Heavy Tails“ von gemessenen Verteilungen unterschätzen. Gerade diese „Großschäden“ sind aber aus der Sicht einer Operational Resilience maßgeblich. Zum einen wurde in den vergangenen Jahren dazu die „Extreme Value Theory“ eingeführt und zum anderen stellt ein – recht einfaches, aber statistisch nicht unproblematisches – „Power Law“ oft eine gute Beschreibung von gemessenen Verteilungen gerade im Bereich der „Heavy Tails“ dar. Somit kann eine Beschreibung mittels Power Law eine Brücke bilden, um zumindest die Ausläufer von Risikoverteilungen mit Großschäden phänomenologisch zu beschreiben und zudem eine Verbindung zu theoretischen Ansätzen herzustellen, welche solche Power Laws als Zeichen für eine „Überlastung“ eines Systems beschreiben.

Lange wurde einfach angenommen, dass eine Diskussion über „Risiken“ von kommerziellen Entscheidungen und Handlungen ein Kennzeichen der Moderne wären und (zumindest) das Wahrscheinlichkeitskalkül von wiederholten Spielen vom Beginn des 18. Jahrhunderts voraussetzten. Eine kritische Betrachtung der Historie enthüllt aber, dass es zwar den Begriff „Risiko“ erst ab dem Mittelalter gab, ein adäquates Verständnis aber schon seit dem Anfang des römischen Kaiserreichs vorhanden war. Dabei entwickelten die spätantiken und mittelalterlichen Kaufleute schon recht früh sehr „modern“ anmutende Instrumente zum Umgang mit risikoreichen Geschäften insbesondere im Fern- bzw. Seehandel. Dagegen führte die aus wiederholten Spielen abgeleitete Wahrscheinlichkeitsrechnung eher zu einem Glauben an ein mechanistisches Weltbild, welches den früheren Kaufleuten fremd gewesen wäre. Erst in den letzten Jahren hat sich der Begriff „Risiko“ wieder breiter entwickelt.

In Kontext von Operational Resilience besteht oft eine Tendenz, dies entweder primär als eine technische Fragestellung zu sehen oder noch sekundär die unternehmensinterne Governance – die Struktur von ex ante definierten Prozessen, Protokollen und „Lines of Reporting“ – einzubeziehen. Die Menschen treten in einer solchen Sichtweise in den Hintergrund. Letztlich sind es aber gerade die Menschen, welche aus ihren Erfahrungen heraus Operational Resilience definieren, in der Situation einer Disruption den Betrieb wiederherstellen, sich über die Illusion von „korrekt definierten“ Prozessen klar werden müssen und von abstrahierten Musterlösungen auf die Vielschichtigkeit der Realität umzudenken haben. Während es in krisenerfahrenen Gesellschaften und in sogenannten High-Risk-Industrien entweder konkrete Erlebnisse oder aber vorbereitende Trainings für Krisen und Disruptionen gibt – ein Beispiel kann das „Crisis Resource Management“ der Verkehrsluftfahrt und der Notfallmedizin sein –, gibt es in Dienstleistungsbereichen inkl. der Finanzindustrie aufgrund der regulatorischen Rahmenbedingungen einen Fokus auf Definitionen von Arbeitsanweisungen statt auf ein Training für den „seltenen, aber plausiblen“ Fall von ungeplanten Ereignissen.

Im industriellen Umfeld – von sogenannten High-Risk-Industrien wie Verkehrsflugverkehr über kritische Supply-Chain-Strukturen für Produzenten und Konsumenten bis hin zu hochgradig spezialisierten Dienstleistern wie der medizinischen Notfallversorgung – ist eine Operational Resilience in den letzten Jahrzehnten zum Standard im Tagesgeschäft geworden. Im Vergleich dazu können Finanzinstitute viel von diesen vorhandenen Implementierungen lernen, aber auch die Grenzen und individuellen Unterschiede erkennen. Dabei lassen sich die pragmatischen Methoden in drei Kategorien unterteilen: eine eher „statische“ Redundanz mit Puffern in Netzwerken, eine Flexibilität aufgrund einer Diversität von Kapazitäten, eine „dynamische“ Adaption mit einer Anpassung durch Lernen sowie eine Transformation unter neuen Rahmenbedingungen. Dabei sollte aber Abstand von einer (zu) schlagwortartigen Verwendung genommen werden, da alle diese Ansätze konkrete Rahmenbedingungen haben und sich über lange Jahre in den jeweiligen Industrien iterativ entwickelt haben, sodass eine Übertragung von einem tiefen Verständnis der Rahmenbedingungen abhängt.

Das Unvorhersehbare kann man nicht messen. Dennoch sind für eine Operational Resilience „seltene, aber plausible“ Szenarien aufzubauen, welche Disruptionen zumindest ansatzweise simulieren können. Mit Bestandsaufnahmen (Assessments), Analysen von Entwicklungen anhand von Modellen, Suche nach Frühwarnanzeichen oder realitätsnahen Übungen kann zumindest ein Eindruck verschafft werden, wo heute schon Probleme und Lücken zu erkennen sind. Dies schließt unentdeckte objektive Schwachstellen niemals aus und darf daher auch nicht zu einem falschen subjektiven Sicherheitsgefühl führen. Da Operational Resilience auf der Prämisse einer schon eingetretenen Disruption die Sicht auf die nachfolgende Wiederherstellung der Betriebsfähigkeit aufbaut, liegt dabei der Fokus nicht primär auf der Technik und deren vorab geplanten Business-Continuity-Maßnahmen, sondern auf dem Zusammenspiel der dann handelnden Personen, der Kommunikation und der Vermeidung von Missverständnissen in Notsituationen.

Auch wenn der Begriff „Digitalisierung“ mittlerweile inflationär verwendet wird, hat die Entwicklung von „digitalen“ Technologie, Prozessen und Geschäftsmodellen dazu geführt, dass im 21. Jahrhundert die Struktur von Unternehmen vielfältiger geworden ist. Die alte Frage nach den „Grenzen einer Firma“ lässt sich heute zwar theoretisch gut beschreiben, führt im konkreten Einzelfall aber zu einer komplizierten Landkarte von horizontalen und vertikalen Leistungsbeziehungen. Aus der Sicht einer Operational Resilience müssen die Vorteile eines vielfältigen Leistungsbezugs sorgfältig gegen mögliche Abhängigkeiten und neue Risiken abgewogen werden. Dazu ist eine transdisziplinäre Sichtweise notwendig, welche von Geschäftsprozessen über IT-Betriebsstrukturen bis zu IT-Komponenten reicht.

Bei der Betrachtung von arbeitsteiligen Beziehungen zwischen Unternehmen – ein Pfeiler jeder modernen Marktwirtschaft mit der ständigen Suche nach einer besseren, wenn auch niemals besten Allokation von Ressourcen – ist es die Frage nach Abhängigkeiten, welche für eine Operational Resilience relevant sind. Eine bestmögliche Allokation von Ressourcen bezieht sich eben nicht nur auf „laufende“ Betriebs- oder Finanzierungskosten, sondern auch auf die Vorkehrungen gegen mögliche „disruptive“ Ereignisse. Setzt man eine solche Balance voraus, welche immer individuell gesucht und gefunden werden muss, dann sind gerade Lieferbeziehungen gegeneinander abzuwägen: egal ob „intern“ und nach informellen Absprachen produziert wird, Leistungen extern „im Auftrag“ gefertigt, IT-Services zu Outsourcingprovidern ausgelagert oder hochgradig standardisierte Services aus der „Cloud“ eingekauft werden. Für alle Lieferbeziehungen über die Grenzen des Unternehmens müssen die – mit kommerziellen Verträgen verbundenen – Abhängigkeiten bewertet werden, um die Balance zwischen kostenseitigem Optimum und einem langfristig resilienten Betrieb zu finden.

Die größte Herausforderung für eine Operational Resilience liegt im „Futur II“. Denn entgegen aller Intuition soll den – nach bestem Wissen – geplanten Vorkehrungen gegen Risiken dann – noch einmal – eine Operational Resilience für den Fall zur Seite gestellt werden, dass einmal eine Disruption eingetreten sein wird. Dies geht gerade davon aus, dass alle Operational-Risk-Vorkehrungen „irgendwann“ gescheitert sein werden und dann eben das Futur II sozusagen zuschlägt. Natürlich wissen wir alle im tiefsten Inneren, dass alle Vorkehrungen gegen Disruptionen irgendwann einmal Makulatur sein werden – doch dies einzugestehen ist schwierig. Wenn wir aber einsehen, dass alle menschliche Planung „irgendwann“ an ihre Grenzen stößt, so erfordert dies eine „kontrafaktische“ Betrachtung, dass trotz aller besten und sorgfältigsten Vorkehrungen es in der Zukunft zu einer Disruption gekommen sein wird (eben das leidige Futur II). Dieser Blick auf die unvorhersehbare Zukunft entgegen allen Planungen erfordert einen unvoreingenommenen Blick auf „seltene, aber plausible“ Disruptionen.

Gerade bei der Frage nach einer „Cyber Resilience“ besteht die Versuchung, dies rein technologisch zu beantworten. Letztlich sind aber in der Regel die meisten Cyberattacken auch als schwerwiegende Ausfälle im Kontext von menschlichem Handeln zu sehen: von Unachtsamkeit und Überforderung im Umgang mit Technologie bis zu kriminellen Personen in Unternehmen und internen Wegbereitern für externe Angriffe. Bei jeder Form der Cyber-Security-Maßnahmen handelt es sich immer um ein Hase-und-Igel-Spiel zwischen Abwehrbemühungen und kreativen Versuchen, neue Angriffsvektoren ausfindig zu machen. So wichtig daher eine „Cyber Resilience“ ist, so notwendig ist es auch zuzugestehen, dass in der Realität Angriffe auf IT-Systeme Teil des Alltags sind. Daher sind es die Menschen, welche eine Attacke erkennen, dann reagieren und ggf. im Anschluss die Betriebsfähigkeit wiederherstellen müssen. Parallel spielen aber Abhängigkeiten in verknüpften IT-Systemen und noch mehr deren Änderungen (durch Menschen) eine entscheidende Rolle, da es bei einem disruptiven IT-Ausfall müßig wäre, zwischen internem Problem und externem Angriff zu unterscheiden, wohingegen die Wiederherstellung der Betriebsfähigkeit darzustellen ist.

Die Diskussion um Klimarisiken ist keine generische Fragestellung von Banken und Finanzinstituten, sondern eine essenzielle Frage der Menschheit im 21. Jahrhundert. Auf einem viel unbedeutenderen Niveau sind drei Punkte im Kontext einer Operational Resilience wichtig. Zum einen stellen Klimarisiken heute ein grundsätzliches physikalisches, wirtschaftliches und gesellschaftliches Risiko dar, welches auch für Banken und Finanzinstitute relevant ist – direkt oder durch die Kundenbasis. Zum anderen können Disruptionen infolge der globalen Erwärmung und der Reaktion der Gesellschaft durchaus auch Banken und Finanzinstitute betreffen. Und schließlich ergeben sich aus der aktuellen Entwicklung auch rechtliche Risiken für Banken und Finanzinstitute, welche sich durchaus „disruptiv“ auswirken können.

Wie können Banken und Finanzinstitute sich für eine Operational Resilience aufstellen? Diese Frage zielt sowohl auf mögliche operative Ansätze als auch die Frage der intertemporalen Finanzierung von Maßnahmen, welche sich erst „irgendwann“ einmal auszahlen werden. Bei einer übergreifenden Betrachtung zeigt sich, dass insbesondere die Perspektive der Endkunden entsprechende Ansatzpunkte für „resiliente“ Alternativen bietet, auch wenn dies einen Verlust der exklusiven Kundenbeziehung aus Sicht einer Bank bedeuten mag. Für die operative Umsetzung in einzelnen Instituten lassen sich vier Stufen formulieren, welche von einer bewussten Aufgabe der Kontrollillusion und dem Aufbau einer Fehlertoleranz bis zu Vorbereitung der handelnden Personen (Wissen, Fähigkeiten, Training) und schließlich einer „Feuerwehr“ für Operational Resilience gehen.

Wie kann eine Operational Resilience im digitalen Zeitalter aussehen? Dies ist fast schon eine Fangfrage, da Technik gerade nicht durch ein Mehr an Technik kontrolliert werden kann. Ebenso muss Technik immer ex ante programmiert worden sein, was schnell an die Grenzen stößt, wenn künftige Risiken oder Disruptionen unvorhersehbar sind. Die limitierte Strength of Knowledge schränkt einfache Fortschreibungen aus der Vergangenheit („wiederholte Spiele“) ein. Dies lässt erkennen, dass gerade im digitalen Zeitalter der Mensch zum Schlüssel einer erfolgreichen Operational Resilience wird. Auch wenn eher technische Grundlagen (wie Redundanz, Adaptivität, Flexibilität, Transformation) immer eine Basis bilden, ist die Befähigung der Menschen (durch Wissen, Training, Kommunikation) die notwendige Ausgestaltung. Und schließlich wird eine Operational Resilience im digitalen Zeitalter auch einen „Mut zur Zukunft“ brauchen, denn ohne diesen wird sich niemand auf den Weg in das Unvorhersehbare machen.