Die Bedeutung des elektronischen Zahlungsverkehrs hat in den vergangenen Jahren rasant zugenommen. Für Banken stellt die Abwicklung des Konto- und Kartenzahlungsverkehrs eine Kernwertschöpfungskette und ein wichtiges Geschäftsfeld dar. Zugleich ist das Markumfeld komplexer geworden und verändert sich dynamisch. Gründe dafür sind technologische Innovationen, fortschreitende Digitalisierung und eine Modernisierung der Marktinfrastruktur, einhergehend mit neuen regulatorischen Anforderungen. Dabei wird „operative Resilienz“ als Teil eines robusten Risikomanagements im Zahlungsverkehr immer wichtiger.

Um den wachsenden Anforderungen gerecht zu werden, muss sich ein aktives Risikomanagement im Zahlungsverkehr kontinuierlich anpassen. Zudem rückt die operative Resilienz in den Fokus, die Fähigkeit, kritische Kernfunktionen auch im Störungsfall erbringen zu können. Das Thema beschäftigt Regulatoren und Aufsichtsbehörden wie die European Banking Authority, die Europäische Zentralbank, Bundesbank und die nationalen Aufsichtsbehörden.

Für Banken in Deutschland sind dazu fünf Kernelemente besonders wichtig: eine passende organisatorische Aufstellung mit ausreichender Personalausstattung, interne Kontrollsysteme mit klarer Risiko- und Kontrollverantwortung, eine stabile IT-Infrastruktur, ein funktionierendes Notfall-Management sowie die Etablierung einer adäquaten Risikostrategie und -kultur.

Die Gesellschaft für Risikomanagement und Regulierung (FIRM) will einen aktiven Beitrag leisten und hat daher im vergangenen Jahr einen Round Table zum Schwerpunkt Payments initiiert, der einen strukturierten Austausch zwischen Banken, Beratungsgesellschaften und Vertreter/-innen der Wissenschaft ermöglicht. Über den Jahreswechsel 2022/23 wurden Interviews mit mehreren Banken in Deutschland geführt mit Fragen zum Risikomanagement für den Zahlungsverkehr im Allgemeinen und zur operativen Resilienz im Speziellen.

Dabei waren die aktuellen Marktherausforderungen, die Aufstellung der Institute in Bezug auf Organisation, Prozesse, internes Kontrollsystem sowie IT-Infrastruktur im Zahlungsverkehr und mögliche bankinterne oder branchenübergreifende Optimierungsmaßnahmen im Fokus der Diskussion. Die wichtigsten Ergebnisse wurden in einem Positionspapier zusammengefasst und daraus Empfehlungen sowohl für interne als auch externe Handlungsfelder abgeleitet. Sie können Banken dabei helfen, ihre eigene Aufstellung zu verbessern.

Die Ergebnisse der Umfrage zeigen, dass Banken aktuell insbesondere die regulatorischen Entwicklungen im Fokus haben. Zum Beispiel die Anforderungen zu Instant Payments im aktuell laufenden Gesetzgebungsverfahren der Europäischen Kommission, die darauf abzielen, die aktive und passive Abwicklung von Echtzeitzahlungen für alle Zahlungsdienstleister und Banken in Europa verpflichtend zu machen. Auf der Agenda stehen aber auch aktuelle und künftige Anforderungen zur IT, Cyber- und Datensicherheit, unter anderem aus der DORA-Regulierung, die bis Ende 2025 umzusetzen ist.

Perspektivisch spielt auch die mögliche Einführung eines digitalen Euro eine wichtige Rolle. Darüber hinaus gilt es für die Zahlungsverkehrsspezialisten in den Banken, neue Regularien in angrenzenden, für den Zahlungsverkehr sehr relevanten Bereichen wie den digitalen Assets oder den Anforderungen aus einer Weiterentwicklung der Geldwäscheregulierung zu beobachten, zu bewerten und umzusetzen. Hinzu kommen die Probleme der Banken bei der Suche nach ausreichend und qualifiziertem Personal mit Zahlungsverkehrs-Know-how. Dabei wird das Thema der operativen Resilienz für viele Institute immer relevanter. Das Notfall-Management (Business Continuity Management), bei dem die Gefährdungsanalyse, Notfalltests und die Ableitung von Notfallplänen (Disaster Recovery Plan) zur möglichst schnellen Wiederherstellung eines funktionierenden Geschäftsbetriebs nach einer Extremsituation im Fokus stehen, ist für Banken ein selbstverständliches und regulatorisch gefordertes Element des Risikomanagements. Operative Resilienz geht jedoch über das reine Notfall-Management hinaus und hat einen stärkeren Fokus auf präventive Maßnahmen („Operational Resilience by Design“), die die Einhaltung des vorab definierten Risikoappetits möglichst sicherstellen sollen.

Aus den Ergebnissen der Befragung wurden interne und externe Handlungsfelder abgeleitet. Zu den internen zählen die Definition einer klaren Risiko-Strategie (einschließlich Risiko-Appetit), um die Richtung des gesamten Risikomanagements im Zahlungsverkehr und damit auch der operativen Resilienz vorzugeben. Dazu gehören auch die Festlegung eines adäquaten, bereichsübergreifendes Betriebsmodells inklusive der bereichs- und funktionsübergreifender Zusammenarbeit, der Aufbau eines „regulatorischen Radars“ sowie die Sicherstellung einer adäquaten und qualifizierten Personalausstattung und einer klaren Strategie zur Rekrutierung und schließlich auch die Verankerung des Risikomanagements bei Vendoren und Kooperationspartnern.

Externe Handlungsfelder sind vor allem ein Austausch zur Gefährdungs- und Bedrohungslage zwischen den Banken, um sich hinsichtlich möglicher Risiken, Notfälle und Gefährdungsszenarien in der Branche abzustimmen, etwa mit Blick auf Ursachen und die beteiligten Parteien sowie die zum Einsatz kommenden Hacker-Methoden. Auch der Austausch mit Sicherheitsbehörden und anderen Branchen mit „Null-Fehler-Toleranz“ (wie zum Beispiel der Flugindustrie) oder kritischer Infrastruktur ist sinnvoll. Zu nennen sind außerdem die Entwicklung von Branchenstandards zu operativer Resilienz im Zahlungsverkehr und von gemeinsamen Branchenlösungen für Notfallszenarien.

In jedem Fall wird das Thema operative Resilienz im Zahlungsverkehr in den kommenden Jahren weiter an Bedeutung gewinnen und ist daher für die Agenda des Bankenvorstands bzw. des Top-Managements hochrelevant. Für viele Institute bedarf es einer kritischen Überprüfung, wo sie heute stehen und wie sie das Risikomanagement im Zahlungsverkehr kontinuierlich und mit einem erhöhten Fokus auf die Stärkung der operativen Resilienz in einem herausfordernden Umfeld weiter verbessern können.