Inventinve FRC – NFRM: Nicht-finanzielle Risiken – Incident Management

Capgemini Invent adressiert die CxO Daten-Strategie und unterstützt seine Kunden bei der datengetriebenen Wertschöpfung.

Mit Inventive Finance, Risk & Compliance (Inventive FRC) meistern wir die Herausforderungen der Finanz-, Risiko- und Compliance-Funktion im Finanz-Sektor. Dieser Blog-Artikel fokussiert auf NFRM.

Incident Management oder auch Störungs-Management im Sinne des Non-Financial Risk Managements (NFRM) umfasst die Identifizierung, Erfassung und Analyse von Risiken und der Festlegung entsprechend abgeleiteter Maßnahmen. Die Etablierung eines effektiven Incident Managements verkürzt Reaktionszeiten beim Umgang mit Risiken, verhilft Schwachstellen proaktiv entgegen zu wirken und vermeidet das Auftreten weiterer Störungen (Incidents) aus bekannten Quellen. Detaillierterdient es der Identifizierung von möglichen Risikoquellen (z.B. Implementierung eines neuen Produkts, Outsourcing von Dienstleistungen, externe Störungen usw.), der Aufzeichnung notwendiger Daten und den anschließenden Risikobewertungen in allen betroffenen Abteilungen. Kurz gesagt sorgt ein solides Incident Management für ein wirksameres Non-Financial Risk Management. Darüber hinaus kann mit der Nutzung neuer Technologien die Effizienz und Effektivität der Prozesse zusätzlich erhöht werden.

Die Verfügbarkeit benötigter Daten ist eine wichtige Grundlage für ein effektives Incident Management.

Basierend auf unserer europaweit aufgebauten Projekterfahrung haben sich folgende Kernbausteine ergeben, die ein effektives und effizientes Incident Management wirksam unterstützen:

• Einheitliche Taxonomie: Entwicklung einer disjunkten Risikotaxonomie zu konkreten Risikoereignissen und eines effektiven Prozesses zur Identifizierung von Risiken. Dabei sollte darauf geachtet werden, dass die Taxonomie an externen Quellen ausgerichtet ist. Damit wird die Integration externer Daten in die interne (Störungs-)Datenbank erleichtert.
• Führung und Organisationsaufbau: Etablierung einer klaren Struktur mit ausdrücklichen Zuständigkeiten und Verantwortlichkeiten entsprechend dem Three-Lines-of-Defense-Modell. Dabei sollten insbesondere die Verantwortlichkeiten zwischen der ersten und der zweiten Linie im Organisationaufbau deutlich formuliert und abgegrenzt und zudem ein permanentes Kontrollteam eingerichtet werden, welches die ausgeübten Tätigkeiten und Kontrollen der ersten beiden Verteidigungslinien überprüft. Das Kontrollteam berichtet seine Ergebnisse auch an die erste und zweite Verteidigungslinie. Folglich ist das Kontrollteam von entscheidender Bedeutung für eine ununterbrochene Überwachung der Betriebsrisiken und fördert nachträglich eine solide Risikokultur.
• Personen und Kultur: Umsetzung einer Kultur, in der die Bedeutung des Managements nichtfinanzieller Risiken in dem Maß anerkannt wird, dass alle in der Organisation sich der durch ihre Tätigkeiten verursachten Risiken bewusst sind, gleich ob direkt oder indirekt davon betroffen. Eine der bewährten Praktiken zur Förderung der Risikokultur ist die Einrichtung einer entsprechenden Risikokulturinstanz in der Organisation. Diese Instanz sollte durch die Risiko-, Rechts-, Compliance- und Personalabteilung unterstützt werden. Darüber hinaus sollte die Kultur einen Wissensaustausch begünstigen, bewährte Praktiken wirksam einsetzen und das aktive Infragestellen bereits bestehender Verfahren fördern.
• Technologie und Tools: Implementierung von, ggf. durch neue Technologien gestützten, Tools zur Untersuchung historischer Daten zu Schäden sowie zur Identifizierung möglicher Zusammenhänge und Muster. Neue Technologien unterstützen auch die Vorhaltung eines umfassenderen Risikoinventars und die bessere Integration externer Daten (z. B. der Daten aus ORX).

Aufbauend auf den beschriebenen Kernbausteinen wird das Incident Management durch die Implementierung von bewährten Best Practices verbessert: 

• Identifizierung und Dokumentation von Risiken – Bei der Identifizierung einer Störung muss eine möglichst vollständige Erfassung des zugrundeliegenden Sachverhalts sichergestellt werden. Der Identifizierungsprozess sollte dazu durch entsprechende Führung und Organisation unterstützt werden., Eine gute Risikokultur und die Sicherstellung des benötigten Know-hows im Team verstärkt zusätzlich dessen Wirksamkeit. Abschließend erleichtert eine gut ausgebaute Risikotaxonomie eine eindeutige und angemessene Kategorisierung.
• Bewertung und Dokumentation von Ursachen – Alle identifizierten Störungen müssen bis zu ihrer Ursache analysiert werden. Das Speichern dieser Informationen zu Ursachen in einer zentralen Datenbank begünstigt eine schnelle und effiziente Erstanalyse und bietet auch deshalb die Möglichkeit, die Häufigkeit von Störungen proaktiv zu vermindern. Zudem können Störungsursachen gezielt priorisiert und behoben werden.
• Dokumentation der (möglichen) Auswirkungen einzelner Störungen – Die Auswirkung jeder einzelnen Störung auf das Unternehmen wird ausführlich dokumentiert. Dies führt zu einer Form messbarer Ergebnisse, z. B. um diese vergleichbar zu machen und das Monitoring des korrespondierenden Action Plans zu verbessern.
• Erstellung eines Maßnahmenplans – Die grundlegende Behebung von Störungen in der Vergangenheit schafft das Fundament für die zukünftige Vermeidung möglicher Störungen. Ausgehend von der einer (möglichen) Auswirkung zugrundeliegenden Ursache sollten die Verbesserungsmaßnahmen definiert werden. Ein Schwerpunkt sollte dabei auf nicht erfolgreiche Kontrollen und Prozesse gelegt werden.. Maßnahmen können dabei von der Automatisierung fehlerbehafteter Prozesse bis zur Infragestellung von Bonuszahlungen bei wiederholt auftretenden Störungen reichen.

Incident Management unter Einsatz moderner Anwendungen

Ein robustes Tool für das Incident Management unterstützt die oben genannten bewährten Praktiken und bietet ein Dashboard mit individuell anpassbaren Auswertungen zur Nachverfolgung und Meldung von Störungen. Automatisch erstellte E-Mails umfassen Eskalations- und Sicherheitsprozesse. Zur weiteren Verbesserung der Identifizierung und Dokumentation sowie der Bewertung von Störungen besteht die Möglichkeit, Big Data mit autonomen oder halbautonomen Analyseverfahren zu kombinieren. Dies kann durch Verarbeitung natürlicher Sprache und optischer Zeichenerkennung weiter aufgewertet werden. Maschinelles Lernen, APIs, Wissensdatenbanken und das Festhalten von Service-Level-Vereinbarung sollten ebenfalls ermöglicht werden. Gerne bringen wir unsere entsprechenden Erfahrungen bei Ihnen ein.

Freuen Sie sich auf weitere Informationen zum Incident Management mit Capgemini Invent!

Erfahren Sie außerdem mehr unter Inventive Finance, Risk & Compliance sowie Operational Risk.

Vielen Dank an den Co-Autoren Crispijn Groeneveld.