Gesetze beeinflussen die IT immer stärker
Gesetze beeinflussen die IT immer stärker
Operationelles Rahmenwerk
Jede Firma muss ihr eigenes Bild der operationellen Risiken entwerfen und dieses dann als Prozess umsetzen. Zu bestimmen ist auch der so genannte Risiko-Appetit, gegen den die Risiken gemessen werden. Der Risiko-Appetit sagt nicht nur aus, was eine Firma an Risiken zu tragen bereit ist, sondern auch, was sie tragen kann. Insbesondere der zweite Aspekt variiert von Firma zu Firma und es ist die Aufgabe der Governance, den Risikoverlauf laufend gegen diese Messlatte zu überprüfen.
Das operationelle Rahmenwerk beinhaltet zudem die Policies, die aufzeigen, wie eine Firma die Risiken identifiziert, dokumentiert, misst, kontrolliert, überwacht, adressiert und wenn möglich mitigiert.
Der Verwaltungsrat hat die Pflicht, sich regelmässig über den Zustand des operationellen Rahmenwerkes zu informieren und wo nötig, Korrekturen an den Policies und den Prozessen einzuleiten. Die Geschäftsleitung hingegen trägt die Verantwortung für die konsistente Umsetzung des Operational Risk Framework in der ganzen Organisation. Sie hat dafür zu sorgen, dass Verfahren bestehen, um die operationellen Risiken betreffend Produkte, Prozesse und Systeme wirksam zu überwachen.
Operationelle Risiken sind in aller Regel nicht eindeutig einer Geschäftseinheit zuweisbar, sondern müssen gesamtheitlich betrachtet werden. So bewirkt beispielsweise eine Veränderung eines Geschäftsprozesses an der Kundenfront nicht nur dort eine Veränderung, sondern möglicherweise auch in nachfolgenden Bereichen wie etwa in der Abwicklung, in der Verbuchung oder in der IT.
Das operationelle Rahmenwerk beinhaltet zudem die Policies, die aufzeigen, wie eine Firma die Risiken identifiziert, dokumentiert, misst, kontrolliert, überwacht, adressiert und wenn möglich mitigiert.
Der Verwaltungsrat hat die Pflicht, sich regelmässig über den Zustand des operationellen Rahmenwerkes zu informieren und wo nötig, Korrekturen an den Policies und den Prozessen einzuleiten. Die Geschäftsleitung hingegen trägt die Verantwortung für die konsistente Umsetzung des Operational Risk Framework in der ganzen Organisation. Sie hat dafür zu sorgen, dass Verfahren bestehen, um die operationellen Risiken betreffend Produkte, Prozesse und Systeme wirksam zu überwachen.
Operationelle Risiken sind in aller Regel nicht eindeutig einer Geschäftseinheit zuweisbar, sondern müssen gesamtheitlich betrachtet werden. So bewirkt beispielsweise eine Veränderung eines Geschäftsprozesses an der Kundenfront nicht nur dort eine Veränderung, sondern möglicherweise auch in nachfolgenden Bereichen wie etwa in der Abwicklung, in der Verbuchung oder in der IT.
