Bei einem größeren Asset Manager spielt aufgrund der komplexen Prozess- und Unternehmensstrukturen beim Risk Management auf der Unternehmensebene das Operational Risk Management oder kurz OpRisk häufig eine wichtigere Rolle als die klassischen Finanzrisiken.
Bei Aquila Capital hatte ich die Gelegenheit, das OpRisk Management von Anfang an aufzubauen und entsprechend dem Wachstum des Unternehmens weiterzuentwickeln. Als abzudeckende Schwerpunkte manifestieren sich dabei neben klassischen Themen wie Rechtsrisiken, Key Person Risk oder technischen Unterbrechungen in zunehmendem Maße die Cyber– und Informationsrisiken. Zudem gewinnen ESG-Themen vermehrt an Aufmerksamkeit.
Grundsätzlich haben wir wie so häufig auch hier eine prozessuale und eine technische Ebene zu betrachten.
In Bezug auf erstere haben wir über den Aufbau eines Rahmenwerkes im Kontext des IKS zu sprechen. Hinzu kommt die Begleitung interner und externer Audits sowie die Durchführung der notwendigen Schulungen.
Wie sich herausstellt, sind vielfältige thematische Überlappungen mit anderen Governance-Themen wie ESG, IT-Sicherheit, Informationssicherheit, Compliance oder Outsourcing zu berücksichtigen. Auf diese Weise vermeidet man Redundanzen und schafft effiziente und vom Umfang her angemessene interne Kontrollmechanismen.
Für die technische Ebene kam aufgrund der rasanten Entwicklung der Unternehmensgruppe in den ersten Jahren nur ein Make-Ansatz in Frage. Auf diese Weise konnten Anpassungen schnell umgesetzt werden.
Technischer Kern des ORM war ein zentralisiertes Lifecycle Management für OpRisk-Meldungen. Aufgrund gewisser Nebenbedingungen verfolgten wir zunächst einen vereinfachten Ansatz. Er bestand aus einer Erfassung auf einer Intranetseite und einem dahinter liegenden Prozess, welcher die Daten strukturiert in einer Datenbank ablegte. Zugleich generierte dieser Prozess die notwendigen Meldungen, die alle Beteiligten über den Vorgang unterrichteten.
Die Weiterverarbeitung der Daten erfolgte dann im Risk Management mit einer individuell entwickelten Applikation. Updates konnten hier erfasst und Analysen durchgeführt werden. Exporte für das Berichtswesen waren ebenfalls Bestandteil der Lösung.
Im Rahmen zunehmend komplexerer Anforderungen an das OpRisk-Management wurde später ein Relaunch der technischen Infrastruktur durchgeführt. Die gesamte Logik wurde nunmehr in in einem Low Code Framework implementiert, die Datenbank durch eine Cloud-Lösung ersetzt und eine Nutzersteuerung über Active Directory implementiert.
Damit wurde es möglich, die inzwischen beträchtlich gewachsene Nutzerbasis technisch mit den Vorgängen ihres jeweiligen Verantwortungsbereiches zu identifizieren. Die Aufgaben der laufenden Fallüberarbeitung wanderten damit wie erwünscht zu den dezentralen Verantwortlichen. Ein Alert-System wurde implementiert, und zentrale Funktionalitäten zur Prozessüberwachung wurden als Cloud-Applikation umgesetzt.