Manchmal kommt beim Schreiben der Zufall zu Hilfe. Man muss dann nicht auf die aktuellen Probleme von anhaltenden Störungen der globalen Lieferketten als eine Art ökonomisches "Long-Covid" bis zu den Folgen des Angriffskriegs eines Autokraten mit einem Rückfall in überwunden geglaubte Zeiten verweisen. Manchmal reicht es aus, an einem Pfingstsamstag in einem Supermarkt einer großen Kette in Frankfurt mit Karte bezahlen zu wollen. Da stand ein Schild, dass an den Kassen ab Nr. 9 zumindest die Girocard (wieder) funktionieren würde. Meine aber nicht und die meiner Gattin von einer anderen Bank auch nicht. Natürlich - so die Aussage der Kassiererin - wäre es gestern noch gegangen; und vielleicht auch an den anderen Kassen 10 bis 12, welche aber nicht offen waren. Und hätte nicht "eigentlich" das Problem mit Kartenzahlungen an den Kassen schon allerspätestens bis Freitag gelöst sein sollen? So viel zum Thema Operational Resilience. Gut, wenn man als digitaler Dinosaurier eine eigene aufgebaut hat (also genügend Bargeld zuhause und im Portemonnaie).
Dem Thema "Operational Resilience" haben sich Bankenaufseher und Regulatoren in den vergangenen Jahren verstärkt zugewandt, wobei die Covid-19-Pandemie die Intensität der Bemühungen noch einmal stark erhöht hat. Das Grundproblem einer zu geringen Widerstandskraft gegen äußere Unwägbarkeiten ist aber nicht neu und war davor schon im Kontext von kritischen Infrastrukturen wie Elektrizitätsnetzen und von Lieferketten diskutiert worden. Davon abgrenzen sollte man die Frage der Resilienz, wie diese in der Psychologie diskutiert wird. Zur besseren Unterscheidung bietet es sich an, im Wirtschaftskontext den englischen Begriff "Operational Resilience" zu verwenden.
Das Basel Committee on Banking Supervision definierte im März 2021: "operational resilience as the ability of a bank to deliver critical operations through disruption". Etwas ausführlicher lässt sich Operational Resilience wie folgt beschreiben: Eine kritische Betriebsfähigkeit nach einer ungeplanten Unterbrechung (Disruption, Schock, Krise) wieder herzustellen, die Leistungsfähigkeit für die Kunden (!) schnellstmöglich wieder aufgebaut zu haben und aus der Störung nachfolgend lernen zu können. Damit ist Operational Resilience komplementär zum etablierten Operational-Risk-Management. Während es hier darum geht, mögliche Schadensfälle mit entsprechenden finanziellen Verlusten für ein Finanzinstitut zu antizipieren, entweder zu akzeptieren oder zu vermeiden beziehungsweise zu mitigieren, geht Operational Resilience von dem Fall aus, dass eine Disruption - trotz aller vorbeugenden Maßnahmen - bereits eingetreten sein wird. Auch wenn es etwas schulmeisterlich anmuten mag, so ist OpRisk-Management der Blick auf mögliche Zukünfte (Futur I), während Operational Resilience gleichsam hinter die Zukunft auf eine künftig eingetretene Disruption blickt (Futur II), welche es dann zu bewältigen gilt.
Dieser Blick "hinter die Zukunft" beinhaltet das Dilemma, für etwas Vorbereitungen zu treffen und Investitionen zu tätigen, das aber nur mit geringer Wahrscheinlichkeit eintreten wird, da man ja Maßnahmen getroffen hat, dass dies gerade nicht passieren sollte. Daher hat das Basel Committee on Banking Supervision in den schon angesprochenen "Principles for Operational Resilience" den Punkt der Governance als allerersten genannt. Es geht um Entscheidungen für den Fall der Fälle, welcher gar nicht eintreten sollte, aber irgendwann einmal eingetreten sein mag. Dieses Spannungsfeld zwischen verschiedenen Zeitbezügen zeigt sich auch an dem oben genannten Supermarkt-Beispiel:
Es gibt eine fallbezogene Sicht mit verärgerten Kunden an der Kasse, verärgerten Bankkunden als langjährige Kartenzahler, gegebenenfalls stehengelassene Einkaufswagen von Kunden ohne ausreichend Bargeld, Bestätigung des Gefühls der mangelnden Digitalisierung in Deutschland, sowie nur geringen Problemlösungsbestrebungen zum Nutzen der Kunden, wie zum Beispiel ein Ad-hoc-Angebot für Rechnungskauf oder eine Nutzung von SEPA Instant Payments am POS, selbst wenn dies nur durch temporäre Lösungen ermöglicht worden wäre.
Dann gibt es eine mittelfristige Sicht einer lehrbuchhaften betriebwirtschaftlichen Optimierung mit Kosteneinsparungen aufgrund von Skaleneffekten durch vereinheitlichte Terminals und Konsolidierung auf einen Provider, vermeintliche Einsparungen durch Übergangsregelungen für veraltete Hardware, aber auch einem Festhalten an "analogen" Denkstrukturen des Kartengeschäfts des vergangenen Jahrhunderts, im Vergleich zu modernen Systemen in China (QR-Code-basiert) und in der USA (Wallet-fokussiert und zum Teil mit Nutzung von Geolocation-Services).
Und es gibt eine sehr langfristige Sicht mit entsprechenden Investitionen in Operational Resilience im Hinblick auf wirklich kritische Situationen im Zahlungsverkehr, zum Beispiel nach einer großangelegten Hacker-Attacke, dem Ausfall einer kritischen, zwar redundanten, aber identischen Hardwarekomponente, oder bei einem Run auf die Geldausgabeautomaten in einer geopolitischen Krisensituation.
Aus anderen Industrien sind verschiedene technische Ansätze für eine Operational Resilience bekannt. Dies reicht unter anderem von einer Redundanz (aber mit unterschiedlichen Komponenten) über das sogenannte N-1-Konzept (dass jede, auch jede kritische Komponente eines Netzwerks, ausfallen darf, ohne dass die Betriebsfähigkeit eingeschränkt wird) bis hin zu einer eingeplanten Flexibilität (bei der zum Beispiel verschiedene Standorte in einem jeweils optimalen Betriebsmodus gefahren werden, aber grundsätzlich Überkapazitäten zur Verfügung stellen können). Die Kernfrage einer Operational Resilience ist aber nicht die spezifische technische Lösung, sondern die Frage der Entscheidung über die intertemporale Kosten-Nutzen-Allokation. Wenn ein Entscheider weiß, dass die Kunden zwar verärgert sein mögen, sich aber selbst zu helfen wissen (oder ersatzweise der Staat einspringt), und wenn sich durch den Abbau von Redundanzen und Konsolidierung konkrete Kostenvorteile erzielen lassen, dann fehlt schlicht der Anreiz, Kosten in Form von Investitionen in ein "Futur II" jenseits des persönlichen Zeithorizonts gutzuheißen.
Aber: Da wir offenkundig in einer Welt der zunehmenden Unabwägbarkeiten leben, sollten vorausschauende Unternehmen in der Operational Resilience eine wiederentdeckte Tugend sehen. Dies bedingt zwar im Hier und Jetzt zusätzliche Kosten. Doch diese werden ihre Berechtigung in Situationen zeigen, die wir zwar noch nicht absehen können, von denen wir aber grundsätzlich wissen, dass Disruptionen früher oder später eingetreten sein werden.
Auf der gesellschaftlichen Ebene bedeutet eine übergeordnete Operational Resilience, die Stärken der Marktwirtschaft zu nutzen und auch Unternehmen aus dem Markt ausscheiden zu lassen, wenn diese bei Disruptionen ihre Betriebsfähigkeit durch aufgebaute Abhängigkeiten verlieren. Dann können Alternativen im marktwirtschaftlichen Suchprozess gefunden oder im natürlichen Wettbewerb mit der Lenkungsfunktion von Gewinnen aufgebaut werden. Dies lässt sich durch einen gesellschaftlichen Rahmen unterstützen, wie dies Markus K. Brunnermeier in seinem lesenswerten Buch "Die resiliente Gesellschaft" treffend beschrieben hat. Kurzfristige Stützungsmaßnahmen helfen dabei, den Disruptionen ihre erste Schärfe zu nehmen, bedingen aber vice versa weitsichtige Unternehmen, welche diese gesellschaftliche Resilience durch eine unternehmerische Operational Resilience komplettieren.
In der Welt, in der wir nunmehr leben, werden wir uns alle zügig und konsequent mit Operational Resilience auseinandersetzen müssen: ob als Finanzdienstleister, als Unternehmen, als Infrastrukturbetreiber oder als Gesellschaft. Dabei geht es im Kern nicht um die durchaus anspruchsvolle mathematisch-statistische Behandlung, sondern es geht um Entscheidungen unter Unsicherheit in einem marktwirtschaftlichen Rahmen. Mit anderen Worten: Operational Resilience ist die altbekannte Tugend des ordentlichen Kaufmanns, auch übermorgen noch betriebsfähig zu sein und Geschäfte machen zu können. Nicht mehr und nicht weniger.
