Zur Notwendigkeit einer integrierten Governance
Viele Banken stehen vor der Herausforderung, eine Vielzahl von Risiken effektiv zu steuern, um regulatorische Anforderungen zu erfüllen. Ein ganzheitlicher Ansatz zur Steuerung, Überwachung und Verwaltung von Unternehmensprozessen und der darin enthaltenen Risiken ist daher von immenser Bedeutung. Ein solcher Ansatz zielt darauf ab, verschiedene Governance-Disziplinen in einem einheitlichen Rahmen zusammenzuführen. Durch diese Integration werden Synergien geschaffen, Redundanzen vermieden und eine einheitliche Risikokultur im gesamten Institut gefördert. Das Gelingen der integrierten Governance in Instituten hängt maßgeblich von zwei fundamentalen Elementen ab: Einer konsistenten OpRisk-Methodik und einheitlichen Prozesslandkarte (inklusiver der Prozesswesentlichkeit). Diese beiden Bausteine bilden die Basis, auf der die verschiedenen Disziplinen harmonisiert und effektiv integriert werden können.
Einheitliche OpRisk-Methodik
Die OpRisk-Methodik bildet das Herzstück in der integrierten Governance. Sie sorgt dafür, dass Risiken in allen Disziplinen konsistent identifiziert, bewertet, gesteuert und überwacht werden. Auch wenn nicht alle operationellen Risiken im Rahmen einer geschäftsprozessbezogenen Betrachtung vollständig analysiert und gesteuert werden können, ist es entscheidend, dass alle Risiken einer einheitlichen OpRisk-Methodik unterworfen werden.
Zusammenführung von Bottom-Up- und Top-Down-Risiken
Ein zentraler Aspekt eines effektiven Risikomanagements innerhalb der integrierten Governance ist die Zusammenführung der bottom-up erhobenen operationellen Risiken mit den in der Top-Down-Analyse definierten Risiken.
Diese Integration gewährleistet, dass sowohl die spezifischen, detaillierten Risiken aus den Geschäftsprozessen als auch die identifizierten, abstrakteren Risiken, die nicht unmittelbar mit den täglichen Prozessen verbunden sind, umfassend und einheitlich in der gesamten Organisation gemanagt werden.
Im Bottom-Up-Ansatz werden operationelle Risiken direkt in (z.B. IKS) bzw. an (z.B. ISMS/IRM) den Geschäftsprozessen identifiziert und erhoben. Diese detaillierten, prozessspezifischen Risiken werden auf operativer Ebene durch Mitarbeiter (Prozessverantwortliche) erkannt und in den Teilrisikoinventaren der Funktionsträger der zweiten Verteidigungslinie erfasst. Beispiele hierfür sind Risiken, die mit spezifischen Prozessen, Systemen oder externen Abhängigkeiten verbunden sind.
Im Top-Down-Ansatz identifizieren Risikoverantwortliche übergeordnete operationelle Risiken, die das gesamte Institut betreffen können. Diese Analyse basiert auf übergreifenden Szenarien und Annahmen. Besonders bei Risiken wie Personalrisiken, Verhaltensrisiken, Rechtsrisiken etc., die nicht direkt über Geschäftsprozesse erfasst werden können, ist die Top-Down-Analyse unverzichtbar. Diese Szenarien müssen weiterhin unabhängig von den Bottom-Up-Detail-Risikoerhebungen ermittelt werden und sollten dann durch die Informationen aus den Geschäftsprozessen angereichert werden.
Konsolidierung der Risiko-Szenarien
Die detailliert erhobenen Risiken aus den Geschäftsprozessen werden in die übergeordneten Risiko-Szenarien integriert, die im Rahmen der Top-Down-Analyse definiert wurden. Diese Szenarien bieten einen Rahmen, in dem die spezifischen Risiken eingeordnet und bewertet werden können.
Umgekehrt werden die wesentlichen Risiken, die durch die Top-Down-Analyse identifiziert wurden, mit den spezifischen Informationen aus der Bottom-Up-Erhebung angereichert. Dies ermöglicht eine präzisere Bewertung und eine gezielte Steuerung dieser Risiken.
Bewertung und Priorisierung
Die zusammengeführten Risiken werden dann nach einheitlichen Bewertungsparametern analysiert & bewertet. Dabei wird geprüft, welche der Bottom-Up-Risiken die in der Top-Down-Analyse identifizierten Szenarien beeinflussen oder verstärken könnten.
Einheitliche Prozesslandkarte und Prozesswesentlichkeit
Effizienz und Konsistenz durch integrierte Governance
Eine integrierte Governance umfasst verschiedene Disziplinen, die unmittelbar oder mittelbar risikomanagementrelevant sind. Diese Disziplinen erstellen in der Regel selbst Risikoinformationen, steuern Risiken oder liefern anderen Disziplinen grundlegende Informationen für diese Tätigkeiten. Insbesondere die unmittelbar risikorelevanten Disziplinen spielen eine zentrale Rolle in der Bottom-Up-Analyse: Sie arbeiten eng zusammen, wobei jede Disziplin spezifische Bewertungsparameter und Informationen ermittelt, die wiederum von anderen Disziplinen genutzt werden können. Dies schafft ein Netzwerk wechselseitiger Abhängigkeiten und Informationsflüsse, dass die Effizienz und Effektivität des Risikomanagements erheblich steigert.
Die Prozesslandkarte eines Instituts dient hierbei als visuelle und strukturelle Grundlage, die alle Geschäftsprozesse in einer Bank erfasst und strukturiert. Sie schafft Klarheit und Transparenz, indem sie alle Geschäftsprozesse standardisiert und in einer kohärenten Struktur abbildet.
Diese einheitliche Darstellung gewährleistet prozessübergreifende Konsistenz, was bedeutet, dass alle risikoorientierten Disziplinen auf denselben grundlegenden Prozessen basieren und dadurch einheitlich zusammenarbeiten können.
Prozesswesentlichkeit und ihre (beispielhafte) Rolle im geschäftsprozessbezogenen IKS
Die Prozesswesentlichkeit spielt eine zentrale Rolle sowohl im Internen Kontrollsystem (IKS) als auch im Auslagerungsmanagement. Sie bildet zugleich die Grundlage für eine effiziente Ausgestaltung des Notfallmanagements im Rahmen der Ermittlung der Zeitkritikalität von Geschäftsprozessen und auch der Bestimmung kritischen oder wichtigen Funktionen gemäß DORA:
Ihre zentrale Ermittlung in der Prozesslandkarte der Bank gewährleistet somit eine einheitliche Grundlage für verschiedene Zwecke im Risikomanagement und darüber hinaus.
Exkurs: Abgrenzung der Prozesswesentlichkeit
„Kritikalität“ gemäß Business Continuity Management
Prozesswesentlichkeit und Kritikalität gemäß Business Continuity Management (BCM) sind eng miteinander verwandte, aber unterschiedlich fokussierte Aspekte im Rahmen des Managements von Geschäftsprozessen.
Die „Prozesswesentlichkeit“ bezieht sich auf die Bedeutung und Relevanz eines Prozesses im Gesamtkontext der Unternehmensziele und der Geschäftstätigkeit der Bank. Ein Prozess ist als wesentlich anzusehen, wenn er direkt zur Erreichung eines maßgeblichen Unternehmensziels beiträgt.
Auf der anderen Seite fokussiert sich die „Kritikalität“ im Kontext des BCM darauf, wie empfindlich ein Prozess gegenüber Ausfällen ist und wie schnell ein Prozess nach einem Ausfall wiederhergestellt werden muss, um negative Auswirkungen zu minimieren. Die Kritikalität eines Prozesses misst also die Dringlichkeit der Wiederherstellung im Falle eines Ausfalls und basiert auf der maximal tolerierbaren Ausfallzeit eines Prozesses.
Während die Prozesswesentlichkeit also weitgehend auf die grundsätzliche Bedeutung eines Prozesses für das Erreichen der Unternehmensziele abzielt, betrachtet die Kritikalität im BCM insbesondere den Zeitfaktor und die Reihenfolge der Wiederherstellung im Falle eines Ausfalls, um die Kontinuität der Geschäftsaktivitäten sicherzustellen und finanzielle Verluste, Reputationsschäden oder rechtliche Konsequenzen zu vermeiden.
Diese unterschiedlichen Blickwinkel sorgen dafür, dass jedes Konzept spezielle Steuerungs- und Managementaktivitäten erfordert und dass beide in einem ausgereiften Risikomanagement- und Kontinuitätsplanungsansatz adäquat berücksichtigt werden müssen.
Ganz grundsätzlich kann man jedoch festhalten, dass in der Teilmenge der nicht wesentlichen Prozesse keine kritischen Prozesse identifizierbar sein sollten, da die Prozesse im Normallfall (Betrieb) keinen hohen Wertbeitrag leisten – mit der Folge, dass deren Ausfall keinen nennenswerten Schaden mit sich bringt. Die Teilmenge der wesentlichen Prozesse wiederum umspannt kritische Prozesse, welche mittels des Instruments der Business Impact Analyse identifiziert werden.
Kurzum: Nicht wesentliche Prozesse sind nicht kritische im Sinne des Notfallmanagements. Wesentliche Prozesse können, müssen aber nicht, zugleich kritische Prozesse sein.
„Schutzbedarf der Informationen“
Der „Schutzbedarf der Informationen“ und die „Prozesswesentlichkeit“ sind beide fundamentale, aber unterschiedlich gelagerte Aspekte im Management und in der Bewertung von Geschäftsprozessen innerhalb der Bank. Während sich die Prozesswesentlichkeit auf die Relevanz und Bedeutung eines Prozesses in Bezug auf die Geschäftsziele und die generelle Performance der Bank konzentriert, adressiert der Schutzbedarf der Informationen die Notwendigkeit, die Integrität, Verfügbarkeit und Vertraulichkeit der in einem Prozess verarbeiteten Informationen sicherzustellen.
Die „Prozesswesentlichkeit“ bewertet, wie zentral ein Geschäftsprozess für die Erreichung der Unternehmensziele und für den Gesamterfolg der Bank ist.
Auf der anderen Seite ist der „Schutzbedarf der Informationen“ davon getrieben, wie schützenswert die in einem Prozess verarbeiteten oder erzeugten Informationen für die Bank sind, und welchen potenziellen Schaden ein unbefugter Zugriff, eine Beeinträchtigung der Integrität oder ein Verlust dieser Informationen bedeuten könnten.
Die Informationen verdienen eine separate Bewertung und werden als eigenes Bewertungsobjekt betrachtet, um sicherzustellen, dass die speziellen Risiken, die mit ihnen verbunden sind, angemessen gemanagt werden.
Ein hoher Schutzbedarf der Informationen infiziert den Prozess nicht notwendigerweise mit einer entsprechenden Wesentlichkeit, da ein Prozess, auch wenn er nicht als besonders wesentlich eingestuft wird, dennoch kritische oder sensible Informationen verarbeiten kann, die höchsten Schutz benötigen.
Umgekehrt kann ein als wesentlich eingestufter Prozess Informationen verarbeiten, die einen geringeren Schutzbedarf aufweisen.
Dies unterstreicht die Notwendigkeit, Prozesse und Informationen getrennt zu bewerten, um sicherzustellen, dass sowohl die Prozesse, die für die Geschäftsziele von zentraler Bedeutung sind, als auch die Informationen, die aufgrund ihrer Natur und ihres Inhalts besonders schutzbedürftig sind, jeweils angemessen geschützt und gemanagt werden.
Verknüpfung der Prozesswesentlichkeit mit dem IKS:
Es wurde bereits dargestellt, dass die Prozesswesentlichkeit bestimmt werden sollte, ohne dabei Risiken im Geschäftsprozess zu berücksichtigen. Der zentrale Punkt ist, dass die Wesentlichkeit eines Prozesses davon abhängt, welchen positiven Beitrag er zur Zielerreichung einer Bank leistet, also welchen Wert er erzeugt, wenn er korrekt durchgeführt wird.
Die Einbeziehung von Risiken in die Bewertung der Prozesswesentlichkeit wäre problematisch, da Risiken potenzielle Störungen darstellen, die den Prozess bzw. die Erreichung des Prozessziels behindern könnten. Risiken machen einen Prozess nicht „wertvoller“: Platt gesagt, würde dies bedeuten, dass ein schlechter Prozess, der durch viele Risiken beeinträchtigt ist, als der „wertvollste“ Prozess angesehen werden müsste. Ein solcher Ansatz würde die eigentlichen Ziele und den Wert des Prozesses verzerren und nicht mehr den erwarteten Nutzen widerspiegeln, sondern eher die Wahrscheinlichkeit von Störungen.
Korrekt ist es, in einem zweischrittigen Verfahren die Risiken in den Geschäftsprozessen erst an zweiter Stelle zu identifizieren, zu analysieren und zu bewerten. Abhängig vom ermittelten Bruttorisiko sollte ein abgestuftes Verfahren zur Steuerung dieser Risiken etabliert werden – unter Berücksichtigung sowohl der Prozesswesentlichkeit als auch der identifizierten Risiken.
Dieses Verfahren hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) u.a. bereits in seinem Standard BSI 200-4 „vorausgedacht“: In diesem Standard wird zunächst die Business Impact Analysis (BIA) durchgeführt. Die BIA ist eine reine Schadensbetrachtung, die das Schadenspotenzial eines Prozessausfalls ohne Einbeziehung von Wahrscheinlichkeiten betrachtet – also keine vollständige Risikoanalyse im klassischen Sinne. In Schritt 2 folgt die Risikoanalyse (RIA), die nur für kritische Prozesse durchgeführt wird. Hier erfolgt die Ergänzung der Risikobetrachtung, indem Wahrscheinlichkeiten einbezogen werden.
Integrierte Governance als Schlüssel zur effizienten Risikosteuerung
Die Implementierung einer integrierten Governance stellt für Banken eine entscheidende Grundlage dar, um den Anforderungen an das Risikomanagement gerecht zu werden und gleichzeitig interne Effizienz und Konsistenz sicherzustellen.
Ein zentrales Element dieser Governance ist die Prozesswesentlichkeit, die als verbindendes Glied zwischen verschiedenen Disziplinen wie dem Internen Kontrollsystem (IKS), dem Auslagerungsmanagement und dem Notfallmanagement dient. Die Prozesswesentlichkeit gewährleistet, dass wesentliche Geschäftsprozesse nicht nur hinsichtlich ihrer operationellen Risiken, sondern auch in Bezug auf ihre Bedeutung für die strategischen Ziele und die Wertschöpfung der Bank bewertet werden.
Durch die harmonisierte Erfassung der Prozesswesentlichkeit können Synergien zwischen unterschiedlichen Disziplinen geschaffen werden, da diese auf einer gemeinsamen Prozesslandschaft basieren und ihre Analysen und Maßnahmen darauf abstimmen können.
Dies fördert nicht nur eine konsistente Risikosteuerung, sondern optimiert auch die Nutzung von Ressourcen und trägt somit zur Wirtschaftlichkeit bei.
Die Integration von Bottom-Up- und Top-Down-Ansätzen zur Risikobewertung sorgt dafür, dass sowohl detaillierte, prozessspezifische Risiken als auch bankweite, übergreifende Risiken in einer ganzheitlichen Betrachtung zusammengeführt werden.
Diese Governance-Struktur stärkt nicht nur die regulatorische Compliance, sondern erhöht auch die organisatorische Widerstandsfähigkeit und Effizienz. Durch die enge Verzahnung von Funktionen, die auf einer gemeinsamen Datengrundlage basieren, wird es der Bank ermöglicht, Risiken nicht nur zu verwalten, sondern proaktiv zu steuern.
Darüber hinaus stellt die integrierte Governance sicher, dass wirtschaftliche Aspekte in den Entscheidungsprozessen immer berücksichtigt werden, was langfristig zu einer nachhaltigeren und wirtschaftlicheren Unternehmensführung beiträgt.