Non-Financial Risks (NFR) effektiv und integriert steuern und gleichzeitig Synergien heben

Non-Financial Risks (NFR) umfassen im Vergleich zu den bisherigen operationellen Risiken auch die aus der aufsichtsrechtlichen Definition der operationellen Risiken explizit ausgeschlossenen Risiken wie das strategische Risiko oder das Reputationsrisiko. Diese Risiken steigen aufgrund von großen aufgetretenen Schadensfällen sowie der Vielfalt an Non-Financial Risks weiter in Ihrer Bedeutung für die Institute.

Non-Financial Risks – Risiken mit kontinuierlich steigender Bedeutung

In den letzten Jahren sind vermehrt hohe und medienwirksam berichtete Verluste für Institute bekannt geworden, die zudem negative Auswirkungen auf deren Reputation hatten. Diese Verluste beinhalten u. a. durch Behörden und die Aufsicht verhängte Strafzahlungen sowie Rechtskosten wegen unzureichender Verträge oder aufgrund des Verhaltens der Bank gegenüber Kunden – das Resultat erhöhten Verkaufsdrucks.

Jene Verluste lassen sich nicht den klassischen „Financial Risks“ wie dem Kredit-, Marktpreis- oder Liquiditätsrisiko zuordnen, sondern gehören zu den als Non-Financial Risks (NFR) bezeichneten Risiken. Diese umfassen – wie eingangs beschrieben – auch die aus der aufsichtsrechtlichen Definition der operationellen Risiken explizit ausgeschlossenen Risiken wie das strategische Risiko oder das Reputationsrisiko.

Non Financial RisksAbbildung 1: Universum der Non-Financial Risks

Der Fokus des operationellen Risikomanagements lag durch die Möglichkeit der Verwendung eines internen Quantifizierungsmodells in der Vergangenheit auf der Modellierung und Verwaltung der Datengrundlage, wie bspw. den Schadensfällen und Risikopotenzialschätzungen. Folglich war die Einhaltung der regulatorischen Anforderungen das primäre Ziel. Eine aktive Steuerung und damit ein proaktives Management der NFR lag nicht im Fokus der Institute.

Darüber hinaus befindet sich das NFR-Profil der Institute im stetigen Wandel, sodass sich hierdurch die Notwendigkeit zur angemessenen und umfassenden Steuerung der NFR weiter erhöht. Dies erfolgt derzeit insbesondere durch die Digitalisierung und Automatisierung von Prozessen, wodurch zukünftig zwar weniger manuelle Bearbeitungsfehler entstehen, sich die Risiken durch Cyber-Angriffe oder Datendiebstahl jedoch erhöhen werden.

Konkretisierung der regulatorischen Vorgaben führt zu einer granularen Betrachtung der NFR

Aufgrund der unzureichenden Risikoüberwachung, die häufig die Ursache der großen Verluste der Vergangenheit war, haben auch die Regulatoren die Notwendigkeit zur Konkretisierung und Erweiterung der aufsichtsrechtlichen Anforderungen erkannt.

Die Erwartungshaltung der Aufsicht zur Transparenz der Non-Financial Risks geht aus einer Aufzählung der wesentlichen NFR insbesondere in den 2017 überarbeiteten EBA Internal Governance Guidelines hervor. Neben den finanziellen Risiken sind auch die nicht finanziellen Risiken, einschließlich „der operationellen Risiken, IT-Risiken, Reputationsrisiken, Rechtsrisiken, Wohlverhaltens-, Compliance- und strategischen Risiken“ (Tz. 136) angemessen im Rahmenwerk des Risikomanagements zu berücksichtigen. Dieser erhöhte Stellenwert zeigt sich auch in der aktuellen Novelle der MaRisk, die in Abschnitt BTR 4 eine Verzahnung der operationellen Risiken u. a. mit der Compliance, der Informationssicherheit, den Anpassungsprozessen nach AT 8 und 9 sowie dem internen Kontrollsystem fordern.

Die Vielzahl der Non-Financial Risks stellt die Institute vor wachsende Herausforderungen

Die große Spannbreite der NFR verursacht die derzeit am Markt zu beobachtende Komplexität beim Management jener Risiken und die damit verbundenen Herausforderungen einer konsistenten und redundanzfreien Identifikation, Bewertung, Steuerung sowie Berichterstattung in einem NFR-Rahmenwerk. Konkret betrifft dies folgende Aspekte:

  1. Durch die dezentrale Verantwortung für das NFR-Management ist eine Vielzahl von Stakeholdern, die an verschiedene Vorstandsmitglieder berichten, zu orchestrieren.
  2. Die Rollen und Verantwortlichkeiten für das Management der NFR sind nicht klar und eindeutig festgelegt.
  3. In den Instituten haben sich zahlreiche Risk Assessments zur Identifizierung und Bewertung von Risiken aus dem NFR-Risikouniversum etabliert, die jeweils ihre eigenen Methoden und Metriken verwenden, z. B. Schutzbedarfsanalyse, Risikoanalyse für Auslagerungen.
  4. Das NFR-Management wird als vergangenheitsorientierte und regulatorische Übung ohne Mehrwert angesehen.

Die hier dargestellten Herausforderungen verursachen hohe Ressourcenaufwände sowohl in den dezentralen Bereichen als auch im zentralen NFR-Management. Dies führt in der Konsequenz auch dazu, dass die von den dezentralen Bereichen erhaltenen Informationen zu einem NFR-Profil nicht ohne Weiteres aggregiert und an die entsprechenden Gremien gesamthaft berichtet werden können.

Eine konsequente Reaktion auf die dargestellten Herausforderungen ist erforderlich, um ein effektives NFR-Management im eigenen Institut zu etablieren, das von den dezentralen Bereichen akzeptiert wird und den Anforderungen einer konsistenten Berichterstattung an die Geschäftsführung entspricht.

Ein einheitliches Rahmenwerk erhöht die Effektivität des NFR-Managements

Bestandteile eines NFR-Rahmenwerks sind u. a. eine klare Definition und Abgrenzung der Non-Financial Risks, die Festlegung von Methoden für das Management der NFR sowie der Verantwortlichkeiten mit dem Ziel, eine „gemeinsame Sprache“ zu sprechen. Dies ermöglicht ein übergreifendes und konsistent zu berichtendes NFR-Profil, das gleichzeitig Synergien zwischen den NFR identifiziert und Aufwände reduziert. Perspektivisch kann durch das proaktive NFR-Management zudem die Eigenkapitalanforderung reduziert werden. Die wesentlichen Kernelemente für ein übergreifendes und strukturiertes NFR-Management sind aus unserer Sicht:

  1. Definition einer umfassenden NFR-Taxonomie und von Verantwortlichkeiten
  2. Verzahnung der Risk Assessments
  3. Konsistente NFR-Berichterstattung

Diese Elemente unterstützen die Etablierung eines Three-Lines-of-Defence-Modells für Non-Financial Risks, indem eine zentrale NFR-Einheit installiert wird, die sowohl die dezentralen Bereiche, in denen die NFR entstehen, als auch die Methoden der NFR-Kontrolleinheiten (z. B. Compliance) überwacht.

1. Definition einer umfassenden NFR-Taxonomie und von Verantwortlichkeiten

Ausgangspunkt eines integrierten NFR-Managements ist ein einheitliches Verständnis darüber, welche NFR basierend auf dem Geschäftsmodell relevant sind. Die Erwartungshaltung der Aufsicht ist, dass im Rahmen der Risikoinventur neben der Festlegung der NFR und der operationellen Risiken als wesentliche Risikoarten auch die institutsspezifischen Non-Financial Risks wie bspw. Prozessrisiken, Betrugsrisiken, Reputationsrisiken oder Geschäftsrisiken identifiziert und auf Wesentlichkeit analysiert werden. Diese NFR sind entsprechend zu definieren und überschneidungsfrei voneinander abzugrenzen. Insbesondere im Bereich der NFR ist die Abgrenzung ein wesentlicher Erfolgsfaktor, um Redundanzen in der Bewertung zu vermeiden und die jeweiligen verantwortlichen Bereiche für das NFR-Management klar zu definieren.

Beispiele für spezifische NFRAbbildung 2: Beispiele für spezifische NFR

2. Verzahnung der Risk Assessments

Basierend auf der NFR-Taxonomie schließt sich der Schritt der Identifizierung und Bewertung der NFR an. Hierzu ist in den Instituten in der Regel eine Reihe von Risikobewertungen mit verschiedenen Methoden und Metriken im Einsatz. Zudem sind einige dezentrale Beauftragte benannt wie bspw. OpRisk-, IKS-, BCM-, Compliance-Beauftragte, die als primäre Ansprechpersonen für die Risikobewertungen fungieren. Jedoch führen die Beauftragten Risikobewertungen zu unterschiedlichen Zeitpunkten und mit verschiedenen Methoden durch, die aber ähnliche Fragestellungen betreffen. Die Tendenz der Anzahl der Risikobewertungen in Instituten ist steigend, da bspw. auch für ESG-Risiken und Reputationsrisiken auf das bewährte Instrument eines Risk Assessment gesetzt wird. Die Durchführung der Risk Assessments sowie die Identifizierung und sinnvolle Vernetzung der dezentralen Beauftragten in den Bereichen sind wesentliche Meilensteine auf dem Weg zur Erschließung von Verschlankungspotenzialen durch ein integriertes NFR-Management.

Um dem Ziel der Methodenvernetzung näher zu kommen, sind neben der Bewertungsmethodik (z. B. Brutto- vs. Nettorisikobewertung, Extrem- vs. Normalfallbetrachtung) auch die Metriken zur Risikobewertung zu berücksichtigen. Nicht alle Non-Financial Risks (z. B. Reputationsrisiken oder IT-Risiken) können in finanziellen Größen ausgedrückt werden, deshalb sind definierte Ersatzmaßstäbe erforderlich.

Beispiel einer Bewertungsmatrix für NFR im Artikel zu "Non Financial Risks (NFR)"Abbildung 3: Beispiel einer Bewertungsmatrix für NFR

Da einige der in den Instituten vorhandenen Risk Assessments für NFR aufsichtsrechtlich gefordert und nach einem bestimmten jährlichen Turnus durchzuführen sind, z. B. bei neuen Produkten oder Auslagerungen, bringt eine Verwendung dieser Risikobewertungen als Inspirationsquelle für das NFR-Assessment oder für eine nachgelagerte Validierung der Ergebnisse durch die zentrale NFR-Einheit den größten Mehrwert. Im Gegensatz hierzu können Assessments zu IT-Risiken oder die BCM-Analyse mit spezifischen Fragen in ein NFR-Assessment integriert werden.

3. Konsistente NFR-Berichterstattung

Die derzeit silohafte Bewertung der Non-Financial Risks zusammen mit den unterschiedlichen Berichtsanforderungen der jeweils verantwortlichen Vorstandsmitglieder führt zu einer inhomogenen und teilweise nicht konsistenten Berichterstattung über das NFR-Profil.

Die zentrale NFR-Einheit sollte einen übergreifenden NFR-Bericht entwickeln, der die wesentlichen NFR-Komponenten abdeckt sowie u. a. eingetretene Schadensfälle und die Ergebnisse des NFR-Risk-Assessment mit den abgeleiteten Steuerungsmaßnahmen zusammengefasst darstellt. Eine Detailsicht der einzelnen NFR verbleibt bei der verantwortlichen dezentralen Einheit. Um auch hierbei Synergien zu heben, sollten die Berichte über das NFR-Profil in Bezug auf Berichtsinhalte, Berichtsempfänger/-in sowie Turnus der Berichterstattung abgestimmt werden.

Abgestimmte NFR-RisikoberichterstattungAbbildung 4: Abgestimmte NFR-Risikoberichterstattung

Kritische Erfolgsfaktoren für ein effektives NFR-Management

Voraussetzung für ein integriertes NFR-Management ist eine vollständige und einheitliche NFR-Taxonomie, die basierend auf dem Geschäftsmodell institutsspezifisch definiert wird. Damit einher geht die Festlegung von eindeutigen Verantwortlichkeiten für die Steuerung der NFR. Die größten Effizienzen werden in allen Bereichen des Instituts über eine Vernetzung der Vielzahl an dezentralen und themenspezifischen NFR-Risk-Assessments erreicht. Hierbei sind einheitliche Methoden und Metriken sowie die Planung der zeitlichen Abfolge der Risikobewertungen der Schlüssel zum Erfolg.

Für die Umsetzung eines Zielbilds zur effektiven Steuerung der Non-Financial Risks sind die kritischsten Erfolgsfaktoren:

  1. das gegenseitige Verständnis für die bisher angewandten Methoden zum Management der NFR,
  2. der Wille und die Bereitschaft zu Veränderung, insbesondere in Bezug auf die Akzeptanz von neu definierten Verantwortlichkeiten und Methoden
  3. die Bereitschaft, die Ergebnisse aus dem integrierten Risk Assessment für NFR zu akzeptieren und zur Steuerung zu verwenden,
  4. aufgrund der übergreifenden Auswirkungen und der Vielzahl der eingebundenen Bereiche im NFR-Management ist der „Tone from the Top“ entscheidend für den Erfolg.

Fazit zur Steuerung der Non-Financial Risks

Das NFR-Management ist durch die Vielzahl der involvierten Bereiche komplex und entwickelt sich stetig weiter. Dies erfolgt derzeit eher in Silos als koordiniert durch eine mit entsprechenden Verantwortlichkeiten ausgestattete zentrale NFR-Einheit.

Die gestiegenen regulatorischen Anforderungen haben den Grundstein für die Verzahnung der NFR gelegt. Jedoch stehen die Institute vor der Herausforderung, gesamthaft und konsistent über das institutsspezifische NFR-Profil zu berichten. Mit dieser aktiven Steuerung der NFR geht perspektivisch eine Reduzierung der Risiken sowie Kosten einher. Ein NFR-Rahmenwerk, das auf einer umfassenden NFR-Taxonomie mit klar definierten Verantwortlichkeiten, verzahnten Risk Assessments sowie einer konsistenten Berichterstattung basiert, bildet hierfür das Fundament.

Sprechen Sie uns gerne an!

Jens Kuttig / Autor BankingHub

Jens Kuttig

Senior Partner Office Amsterdam
Dr. Saskia Hohe / Autorin BankingHub

Dr. Saskia Hohe

Partnerin Office Frankfurt
Alexander Geißler / Autor BankingHub

Alexander Geißler

Senior Manager Office Frankfurt

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach