Verordnung über die betriebliche Resilienz: Von der Pflicht zur Kür

Betriebliche Resilienz: Arbeiter, die an einem Konferenztisch zusammenarbeiten

ServiceNow-Kunden in verschiedensten Branchen messen der betrieblichen Resilienz wachsende Bedeutung bei. Die zunehmende Regulierung in diesem Bereich ist auf die zunehmende Komplexität von Risiken zurückzuführen – von immer neuen Cyberbedrohungen über Unterbrechungen globaler Lieferketten bis hin zu geopolitischen Spannungen.

Infolgedessen wurden in den letzten zehn Jahren weltweit unterschiedliche Verordnungen und Frameworks zur Stärkung der betrieblichen Resilienz eingeführt, um diese Herausforderungen anzugehen.

In einigen dieser neuen Verordnungen, wie dem Rundschreiben 2023/1 der FINMA, dem Operational Resilience Framework des Vereinigten Königreichs, der EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) und den Technology Risk Management Guidelines der Monetary Authority of Singapore, geht es um mehr als nur Compliance – sie sind Teil umfassenderer Bemühungen zur Sicherung kritischer Betriebsabläufe in einer Welt, die aufgrund ihrer immer stärkeren Vernetzung erheblich krisenanfälliger geworden ist.

Im Folgenden erfahren Sie, wie Sie neue Chancen erschließen können, indem Sie bei der betrieblichen Resilienz einen transformativen Ansatz verfolgen.

Die regulatorische Landschaft

In den letzten Jahren sind einschlägige Verordnungen in Kraft getreten, um die Tätigkeiten von Unternehmen auf nationaler und internationaler Ebene mithilfe von Leitlinien und Sanktionen in die richtigen Bahnen zu lenken. Mit Wirkung vom 17. Januar 2025 gilt die EU-Verordnung DORA für alle Finanzunternehmen und Lieferanten innerhalb der Europäischen Union. Sie zielt darauf ab, einen besseren Schutz der Kunden und eine größere Stabilität des Finanzmarktes zu gewährleisten.

In der Schweiz traten im Januar 2024 das neue schweizerische Versicherungsaufsichtsgesetz und die Aufsichtsverordnung für Versicherungsvermittlerinnen und -vermittler in Kraft, um das Risikomanagement und die Resilienz zu stärken. Sie verpflichten registrierte Versicherungsunternehmen dazu, bei der eidgenössischen Finanzmarktaufsicht FINMA Unterlagen einzureichen, um nachzuweisen, dass sie die gesetzlichen Anforderungen erfüllen.

Weitere Vorschriften treten dieses Jahr in Kraft. Finanzinstitute im Vereinigten Königreich haben beispielsweise bis zum 31. März Zeit, um das Operational Resilience Framework zu implementieren. Dazu müssen sie demonstrieren, dass sie umfassende Maßnahmen für die betriebliche Resilienz implementiert haben – von der Risikoidentifizierung über die betriebliche Kontinuitätsplanung bis hin zur Reaktion auf Incidents.

Unternehmen müssen eine ganze Reihe von Anforderungen erfüllen, die von der Einhaltung verbindlicher Verordnungen wie DORA bis hin zur Orientierung an prinzipienbasierten Leitlinien mit einem gewissen Interpretationsspielraum erfordern (z. B. UK FCA/PRA) reichen. Dabei gibt es zahlreiche Möglichkeiten, durch Compliance auch die Geschäftsergebnisse zu verbessern.

Chancen erschließen durch Resilienz

Unternehmen verwenden in der Regel ein Berichterstellungs-Framework, um die Einhaltung von Vorschriften sicherzustellen. Das kann jedoch zu einer Mentalität der Prinzipienreiterei führen, bei der sie die eigentliche Absicht einer Initiative aus den Augen verlieren und sich ausschließlich auf die Erfüllung der Anforderungen einer bestimmten Regulierungsbehörde konzentrieren. Infolgedessen kommt es häufig zu Doppelarbeit in Unternehmen, da mehrere Teams gebildet werden, um Vorschriften zu erfüllen, die alle dasselbe Ziel haben.

Unternehmen, die noch einen Schritt weiter gehen möchten, können erhebliche Vorteile in den Bereichen Resilienz und Effizienz erzielen, indem sie wichtige Fragen wie die folgenden beantworten:

Wie lassen sich die Auswirkungen auf die Kunden minimieren?
Wie können wir gleichbleibend hohe Servicelevels sicherstellen?
Wie legen wir eine gemeinsame Taxonomie für die Verwaltung der Resilienz im gesamten Unternehmen fest und vermeiden überflüssige Arbeit?

Wenn Unternehmen den Schwerpunkt vom bloßen „Abhaken“ von Regeln dahin verlagern, wie sie Unsicherheiten besser standhalten und ihre Kunden effektiver bedienen können, bieten ihnen die Vorschriften für betriebliche Resilienz echte Chancen.

Im Folgenden erhalten Sie drei Tipps, um Ihre Denkweise zu ändern und über die „Erbsenzählerei“ hinauszugehen.

Mehr auf Wirkung setzen

Betrachten Sie Compliance aus einem anderen Blickwinkel, und konzentrieren Sie sich auf die positiven Auswirkungen, die Sie erzielen können, wenn Sie Ihre Betriebsabläufe resilienter gestalten. Nutzen Sie wertvolle Chancen wie Prozessverbesserungen und Effizienzsteigerungen, um das Geschäftswachstum zu fördern.

Wenn Sie Ihren Kunden beispielsweise versprechen, Hypothekenanträge innerhalb von zwei Tagen zu bearbeiten, ist es von entscheidender Bedeutung für die Kundenzufriedenheit, dass Sie diese Frist auch einhalten.

Beginnen Sie damit, Ihre Produkte oder Services zu bewerten und sich zu überlegen, wie lange Anwender vernünftigerweise ohne sie auskommen können. So erhalten Sie einen akzeptablen Zeitrahmen für Ihre Kunden, zum Beispiel im Fall von planmäßigen Wartungsarbeiten oder unerwarteten Ausfällen. Diese Bewertung der Belastungstoleranz führen Sie natürlich nicht nur aufgrund von gesetzlichen Anforderungen durch, sondern vor allem, um einen optimalen Kundenservice sicherzustellen und das Risiko von Kundenunzufriedenheit und -abwanderung zu reduzieren.

Für einen abteilungsübergreifenden Ansatz sorgen

In manchen Unternehmen ist eine bestimmte Person oder ein dediziertes Team für die Compliance verantwortlich, zum Beispiel der Leiter für Regulierungsangelegenheiten oder die DORA-Abteilung. In anderen übernimmt das IT-Team oder der Chief Financial Officer diese Verantwortung, je nach Anwendungsbereich der Verordnung.

Daraus kann jedoch schnell reine Datenerfassungsarbeit werden, bei der die Verantwortlichen Informationen aus dem Rest des Unternehmens sammeln und standardisieren, um sie an die Regulierungsbehörde weiterzuleiten.

Aber wenn man bedenkt, dass Resilienz im gesamten Unternehmen erforderlich ist und jede Abteilung wissen muss, wie und wann sie zu reagieren hat, wird deutlich, dass eigentlich alle Geschäftsbereiche Verantwortung übernehmen müssen.

Kommunikation auf allen Ebenen ist entscheidend, um betriebliche Resilienz zu erreichen – von der besseren Vernetzung von Teams bis hin zur Einbindung aller Stakeholder. Sie ist nicht die Aufgabe einer einzigen Person oder eines bestimmten Teams. Es liegt in der Verantwortung jedes Mitarbeiters, die Resilienz des Unternehmens zu gewährleisten.

Die Struktur Ihres Unternehmens bewerten

Wie sich die Unternehmensstruktur auf die Resilienz auswirkt, ist eine entscheidende Frage, wenn Sie Ihren Betrieb zukunftssicher machen wollen.

Welche Workflows interagieren miteinander und an welchen Punkten? Könnte ein Prozess optimiert werden, um den Betrieb im Falle eines Incidents effizienter wiederherzustellen? Sind die richtigen Abteilungen miteinander vernetzt, um Produkte oder Services für Ihre Kunden verfügbar zu halten? Wurde dokumentiert und vermittelt, welche Investitionen erforderlich sind, um die Resilienz im Unternehmen zu stärken?

Es ist zwar alles andere als einfach, die Struktur eines Unternehmens zu ändern, doch ist dies ein wichtiger Schritt auf dem Weg zu besserer betrieblicher Resilienz. Diesen Weg müssen Sie nicht alleine gehen. Ihnen stehen Partner zur Seite, die Ihnen helfen, Ihr Unternehmen aus einer neuen Perspektive zu betrachten, und Sie hinsichtlich Verbesserungen beraten.

Erfahren Sie, wie ServiceNow Ihrem Unternehmen helfen kann, durch betriebliche Resilienz neue Chancen zu erschließen.