Die CCPA ist als EMIR-zertifizierte zentrale Gegenpartei für das Clearing aller CCP-fähigen Wertpapiergeschäfte an der Wiener Börse und aller Stromspotmarktprodukte, die an der EXAA gehandelt wurden, sowie für das Management des Abwicklungs- und Ausfallrisikos verantwortlich und trägt somit zur Marktstabilität bei. Ein Ausfall der Dienstleistungen kann sich negativ auf die Liquidität und Stabilität des Finanz- und Stromspotmarktes auswirken. Die CCPA hat daher ein solides Risikomanagementsystem implementiert, das ein wesentliches Element ihrer Geschäftstätigkeit darstellt und der Komplexität der Geschäftsprozesse und der geclearten Produkte entspricht.
Diesem Risk Management Framework entsprechend hat die CCPA organisatorische und prozessuale Maßnahmen implementiert, um die Risiken, denen sie ausgesetzt ist zu identifizieren, zu bewerten, zu steuern und zu berichten.
Diese angewandten Maßnahmen und Methoden gewährleisten den höchstmöglichen Grad an Business Continuity und Business Contingency.
Business Continuity Management
Die CCPA stellt einen wichtigen Teil der Infrastruktur am österreichischen Finanz- und am Stromspotmarkt dar und hat infolgedessen ein umfangreiches Risk Management Framework implementiert, um das operative Risiko zu minimieren:
- Präventive Maßnahmen sowie
- Planung und Prüfung von Business Contingency Maßnahmen
Das operative Risikomanagement umfasst das Management von Risiken, die aus der IT, externen Ereignissen, internen Prozessen und dem Personalwesen resultieren.
Die CCPA hat Vorkehrungen getroffen, die es ermöglichen, kritische Funktionen innerhalb von zwei Stunden wiederherzustellen, wobei die Backup-Systeme idealerweise sofort nach einem Vorfall zu arbeiten beginnen.
Darüber hinaus wird mit sehr hoher Wahrscheinlichkeit sichergestellt, dass keine Daten dauerhaft verloren gehen.
Um die Auswirkung von aufgetretenen Störfällen auf die Geschäftsprozesse zu minimieren und um eine Minimalfunktionalität kritischer Prozesse zu gewährleisten, wurde ein Business Continuity Management gemäß Art. 26 und 34 EMIR sowie Art. 17-23 RTS 153/2013 eingeführt, das laufend gewartet, getestet und verbessert wird.
Die Business-Continuity-Maßnahmen gewährleisten
- die Erhaltung der Kernprozesse der CCPA,
- die rechtzeitigen Wiederherstellung des Betriebes und
- die Einhaltung der gesetzlichen Verpflichtungen.
Um auch im Falle eines schwerwiegenden Vorfalls die wirtschaftliche Existenz der CCPA zu garantieren, wurden präventive Vorkehrungen getroffen, um die Schadenshöhe und die Wahrscheinlichkeit des Eintretens eines solchen operativen Risikos einzugrenzen. Dazu zählen Mindestanforderungen an das Clearing System, an die operative Abwicklung, an IT-Arbeitsumgebung und Anforderungen an die Information Security sowie interne Kontrollen.