Bei einem größeren Asset Manager spielt aufgrund der komplexen Prozess- und Unternehmensstrukturen beim Risk Management auf der Unternehmensebene das Operational Risk Management häufig eine wichtigere Rolle als die klassischen Finanzrisiken.
Bei Aquila Capital hatte ich die Gelegenheit, das OpRisk Management von Anfang an aufzubauen und entsprechend dem Wachstum des Unternehmens weiterzuentwickeln. Als abzudeckende Schwerpunkte manifestieren sich dabei neben klassischen Themen wie Rechtsrisiken, Key Person Risk oder technischen Unterbrechungen in zunehmendem Maße die Cyber– und Informationsrisiken. Zudem gewinnen ESG-Themen vermehrt an Aufmerksamkeit.
Grundsätzlich haben wir wie so häufig auch hier eine prozessuale und eine technische Ebene zu betrachten.
In Bezug auf erstere haben wir über den Aufbau eines Rahmenwerkes im Kontext des IKS zu sprechen. Hinzu kommt die Begleitung interner und externer Audits sowie die Durchführung der notwendigen Schulungen.
Wie sich herausstellt, sind vielfältige thematische Überlappungen mit anderen Governance-Themen wie ESG, IT-Sicherheit, Informationssicherheit, Compliance oder Outsourcing zu berücksichtigen. Auf diese Weise vermeidet man Redundanzen und schafft effiziente und vom Umfang her angemessene interne Kontrollmechanismen.
Für die technische Ebene kam aufgrund der rasanten Entwicklung der Unternehmensgruppe in den ersten Jahren nur ein Make-Ansatz in Frage. Auf diese Weise konnten Anpassungen schnell umgesetzt werden.
Technischer Kern des ORM war ein zentralisiertes Lifecycle Management für OpRisk-Meldungen. Aufgrund gewisser Randbedingungen wurde zunächst ein vereinfachter Ansatz verfolgt, der aus einer Erfassung auf einer Intranetseite und einem dahinter liegenden Prozess bestand, welcher die Daten strukturiert in einer Datenbank ablegte und zugleich die notwendigen Meldungen generierte, die über den Vorgang unterrichteten.
Die Weiterverarbeitung der Daten erfolgte dann im Risk Management mit einer individuell entwickelten Applikation. Updates konnten hier erfasst und Analysen durchgeführt werden. Exporte für das Berichtswesen waren ebenfalls Bestandteil der Lösung.
Im Rahmen zunehmend komplexerer Anforderungen an das OpRisk-Management wurde später ein Relaunch der technischen Infrastruktur durchgeführt. Die gesamte Logik wurde nunmehr in in einem Low Code Framework implementiert, die Datenbank durch eine Cloud-Lösung ersetzt und eine Nutzersteuerung über Active Directory implementiert.
Damit wurde es möglich, die inzwischen beträchtlich gewachsene Nutzerbasis technisch mit den Vorgängen ihres jeweiligen Verantwortungsbereiches zu identifizieren und so die Aufgaben der laufenden Fallüberarbeitung zu dezentralisieren. Ein Alert-System wurde implementiert, und zentrale Funktionalitäten zur Prozessüberwachung, die im Kontext des IKS notwendig geworden waren, konnten als Cloud-Applikation umgesetzt werden, während die oben erwähnte Individualapplikation abgeschaltet werden konnte.