Reputationsrisiko: Solides Risikomanagement erforderlich Ein Framework für aktives Management von Reputationsrisiken

Seit der Veröffentlichung der SREP-Guidelines am 19. Dezember 2014 stieg die Bedeutung des Reputationsrisikos (RepRisk) stetig. Für Banken ist es demnach höchste Zeit, solide Frameworks für die Handhabung von Reputationsrisiken zu schaffen. Dieser Artikel liefert einen pragmatischen Ansatz für die Einbettung des Reputationsrisikos in die tägliche Praxis des Risikomanagements und dessen Organisation.

Einleitung:  Warum ist RepRisk-Management so wichtig?

Obwohl die Auswirkungen eines Reputationsverlusts immens sein können, steckt das aktive Management von Reputationsrisiken im Vergleich zu anderen Risikoarten immer noch in den Kinderschuhen.

Nicht zuletzt deshalb wurde der aufsichtsrechtliche Druck zur Umsetzung des  Reputationsrisikomanagements in letzter Zeit verstärkt. Die SREP-Richtlinien der EBA (Supervisory Review and Evaluation Process; EBA/GL/2014/13) erwähnen  das Reputationsrisiko im Rahmen der Bewertung von operationellen Risiken und ordnen  die Bewertung des Reputationsrisikos als essenziellen Teil des Risikomanagements ein.

Daher ist es an der Zeit zu handeln: Reputationsrisiken müssen sorgfältig bewertet, überwacht und gesteuert werden. Insbesondere zumal die EBA angekündigt hat, die entsprechende Umsetzung in den Instituten in naher Zukunft durch die zuständigen Behörden prüfen zu lassen.

Definition:  Was ist Reputationsrisiko?

Vereinfacht gesagt ist Reputation die Art und Weise, wie ein Institut von relevanten Stakeholdern wie Kunden, Mitarbeitern, Aktionären, Ratingagenturen oder der Öffentlichkeit hinsichtlich seiner Kompetenz, Integrität und Vertrauenswürdigkeit wahrgenommen wird.[1] Ferner beschreiben Aufsichtsbehörden Reputationsrisiken als aktuelle oder zukünftige Risiken für die Erträge, Eigenmittel oder Liquidität eines Instituts, die aus einem Reputationsschaden resultieren. Entsprechend haben diese ernst zu nehmende Auswirkungen auf die Ertragslage von Banken.

Ähnlich wie bei Rechts-, Compliance- oder Cyberrisiken wurden Reputationsrisikoaspekte bislang unter operationellem Risiko (OpRisk) zusammengefasst. In Anbetracht der in den letzten Jahren zunehmenden Bedeutung dieser Risiken haben Banken und Aufsichtsbehörden damit begonnen, diese Risikoarten als eigenständig anzuerkennen, die entsprechend überwacht und gesteuert werden müssen.

It takes 20 years to build a reputation and five minutes to ruin it. If you think about that, you’ll do things differently.

Warren Buffett

Vergangene Ereignisse zeigen zahlreiche Beispiele für Reputationsrisiken: Eines der bekanntesten ist sicherlich das einer deutschen Großbank, die kürzlich aufgrund ihrer Handelsgeschäfte mit Grundnahrungsmitteln unter öffentlicher Kritik stand. Die Weitergabe von Kundendaten an deutsche Steuerbehörden, die zu einem gravierenden Reputationsproblem für einige, für ihre Verschwiegenheit bekannte, ausländische (vor allem Schweizer) Banken wurde, ist ein weiteres Beispiel.

Tatsächlich sind Banken mit einer langen Liste an möglichen Ursachen für Reputationsrisiken konfrontiert, die in der Regel mit massiven Auswirkungen auf das Geschäft (bspw. weniger Refinanzierungsmöglichkeiten oder eingeschränkte Neugeschäftsmöglichkeiten) einhergehen. Je nach Grad der Intensität des Reputationsrisikoereignisses kann dieses zu einer ernst zu nehmenden Stresssituation führen. Vertrauen – möglicherweise ein Synonym für Reputation – ist ein entscheidender Faktor für die Refinanzierung, wie der Fall der Lehman-Brothers-Pleite zeigte. Ist der Ruf erst einmal beschädigt, wird es immer schwieriger, sich davon zu erholen. Es beginnt ein Teufelskreis.

Gegenmaßnahmen zur Umkehrung negativer Auswirkungen erfordern immense Anstrengungen sowie ein beträchtliches Budget. Daher ist es ratsam, eine schlechte Wahrnehmung von Anfang an zu vermeiden bzw. das Risiko zu reduzieren. Anders gesagt: Pro-aktive Reputationsrisikosteuerung ist essentiell.
Aufgrund des aktuellen Fokus werden Kapitalallokationsmechanismen (wie sie generell auch für operationelle Risiken angewandt werden) sicherlich bald zum Thema der internationalen Aufsichtsbehörden.

Identifizierung und Bewertung

Um die kostenintensive Wiederherstellung des guten Rufs zu vermeiden, ist es für Institute notwendig, einen effektiven Prozess zur Steuerung von Reputationsrisiken aufzubauen. Herkömmliche, für klassische Risikoarten verwendete Quantifizierungsprozesse sind nicht ohne Weiteres auf Reputationsrisiken anwendbar. Aufgrund des Mangels an Daten und Erfahrung sowie der äußerst komplexen Unterscheidung der Reputationsrisiken von anderen Risikoarten haben sich bislang noch keine ausgefeilten Quantifizierungsmethoden etabliert.

Daher liegt der Schwerpunkt nicht auf der Bewertung von Risiken, sondern auf der Verringerung der Reputationsrisikogefährdung durch Umsetzung von Risikominderungsmaßnahmen und der Bewältigung der Restrisiken durch Aufbau eines angemessenen Risikopuffers. Entscheidend ist dabei die Definition einer Identifizierungs- und Bewertungsstrategie, um entscheiden zu können, ob das Reputationsrisikopotenzial gemindert oder durch Risikovorsorge abgedeckt werden sollte.

Zur Identifizierung des Reputationsrisikopotenzials lohnt sich ein Blick auf typische Risikotreiber wie soziale Standards, das Finanzergebnis, die Qualität interner Prozesse oder die Kundenzufriedenheit, um nur einige Beispiele zu nennen. Es ist empfehlenswert, regelmäßig eine Gefahrenanalyse durchzuführen, um Bedrohungen innerhalb und außerhalb der eigenen Organisation frühzeitig zu identifizieren.

Natürlich ist Reputation stark mit den (sozialen) Medien, der Berichterstattung dieser sowie der daraus resultierenden externen Wahrnehmung verknüpft. Demzufolge sind getrennte Identifizierungsansätze erforderlich:

  • Outside-in (z. B. Kundenbefragung, externe Reputationsrisikostudien oder ­Datenbanken)
  • Inside-out (z. B. interne Expertenmeinungen)

Bei der Inside-out-Betrachtung ermitteln die Institute das Reputationsrisikopotenzial der eigenen Geschäftsbereiche und -einheiten. Dafür ist es erforderlich, im Rahmen von regelmäßigen Self-Assessments die aktuelle Bedrohungslage zu erheben und diese bereichsindividuell und expertenbasiert zu bewerten. Privatkundenbereiche sind Reputationsrisiken anders ausgesetzt als Investmentbanking- oder Controllingbereiche.

Das interne Reputationsrisikopotenzial kann auf Grundlage eines definierten Frameworks bewertet werden (Abbildung 1). Dieses Framework ist als Werkzeug zur Identifizierung, Klassifizierung und Einstufung der möglichen Reputationsgefahren in unterschiedliche Dimensionen innerhalb der Organisation geeignet.

reputationsrisikoAbbildung 1: zeb.RepRisk.Cube als Bewertungstool für Reputationsrisiken

Sobald diese Gefahren identifiziert wurden, ist es unabdingbar, die Risiken im bankweiten Tagesgeschäft zu berücksichtigen. Daher muss das Reputationsrisiko als integrierter Bestandteil der gesamten Organisation definiert und die heute bestehenden Kontrollsysteme um Reputationsrisikoaspekte erweitert werden.

Wie zuvor erwähnt sind hierbei im Gegensatz zu anderen Risikoarten keine bewährten Methoden zur Quantifizierung von Reputationsrisiken vorhanden. Nichtsdestotrotz kann das beschriebene Framework für eine allgemeine und expertenbasierte Bewertung des Risikopotenzials herangezogen werden. Es beinhaltet den geschätzten GuV-Effekt sowie die geschätzte Eintrittswahrscheinlichkeit des jeweiligen Reputationsrisikos. Auf Grundlage dieser Parameter lässt sich ein einfacher Quantifizierungsansatz wählen, indem der geschätzte GuV-Effekt mit der Eintrittswahrscheinlichkeit multipliziert wird. Für interne Steuerungszwecke kann mithilfe dieses Ansatzes eine mögliche Kapitalallokation über alle Geschäftsbereiche und andere Abteilungen hinweg abgeleitet werden.

Umgang mit identifizierten Reputationsrisiken

Sobald das Reputationsrisikopotenzial identifiziert und bewertet wurde, muss eine adäquate Behandlung der Risiken erfolgen, hierzu muss eine bewusste Entscheidung getroffen werden, ob das Risiko eingegangen werden soll oder nicht. Mit einer Schwerpunktsetzung auf Corporate Social Responsibility ist es möglich, das Image zu pflegen, während das Reputationsrisiko gemindert wird. Dieser Aspekt ist eng mit der Thematik der Schaffung einer gesunden Risikokultur innerhalb einer Organisation verknüpft.

Ergänzend kann der sogenannte indikatorbasierte Ansatz zur Überwachung identifizierter Reputationsrisikotreibern eingesetzt werden. Dabei werden ausgewählte Indikatoren (z. B. die Anzahl der negativen Berichte/Meldungen über das Institut im vergangenen Monat) einzeln bewertet und zu einem gemeinsamen Index zusammengefasst. Durch eine laufende Überwachung des Indexes wird der Grad an Reputation im Zeitablauf vergleichbar.

Zudem sollte das Stresstestkonzept um ein Reputationskrisenszenario erweitert sowie der Einfluss von Reputationsverlusten (im engeren Sinne Geschäfts- und Liquiditätsrisiken) bei bestehenden Stressszenarien berücksichtigt werden.

In Anbetracht von Waren Buffets Kommentar, ist es unvermeidlich für Banken, strukturierte Entscheidungsprozesse für Krisenfälle (u.a. Einbeziehung von Topmanagement und Public Relations) im Rahmen eines Notfallplans aufzubauen. Geschwindigkeit durch schlanke Entscheidungsprozesse kann entscheidend sein. Ein speziell eingerichteter Krisenstab sollte die Stakeholderkommunikation managen und etwaige Gegenmaßnahmen einleiten.

Governance

Gemäß der SREP-Richtlinien (unter 6.4 Assessment of operational risk) sind Reputationsrisiken eng mit operationellen Risiken verbunden. Zudem ist die Unterscheidung der beiden Risikoarten nicht immer eindeutig. Aus diesem Grund sollten Banken prüfen, ob die Integration des RepRiskManagements in die bestehenden OpRisk-Strukturen effizient ist.

reputationsrisikoAbbildung 2: Prozessuale und organisatorische Integration von Reputationsrisiken

Durch die Integration des RepRisk- und OpRisk-Managements (Ansätze 2 und 3) können Institute von Synergieeffekten profitieren und bestehendes Wissen weiterentwickeln. Mit dem Reputationsrisiko als Teil der übergreifenden Risikostrategie von Instituten ist der Grundstein für die Schaffung eines Risikobewusstseins gelegt. Empfehlenswert ist die Erstellung von Governance-Richtlinien mit einer eindeutigen Definition von Reputationsrisiken sowie Leitsätzen. Bei der  Ausgestaltung der Richtlinien sollte insbesondere darauf geachtet werden, dass klare Zuständigkeiten sichergestellt werden und dass sich zwischen Management und Reputationsrisikokontrolle keine Interessenkonflikte bilden (Aufgabentrennung).

Zusätzlich zu einer soliden (Reputations-)Risikokultur ist es erforderlich, eine Kontrollfunktion zu etablieren. Während die Identifizierung und Bewertung von Reputationsrisiken gemeinsam mit den Geschäftseinheiten und dem Risikomanagement vorgenommen wird, ist für die Überwachung ein unabhängiger Bereich verantwortlich (i.d.R. das Risikocontrolling).

Des Weiteren müssen die Abteilungen Public Relations bzw. Unternehmenskommunikation in die Schaffung eines effektiven Reputationsrisikomanagments einbezogen werden. Die Schnittstellen zwischen den beteiligten Abteilungen/Bereichen sind zumeist neu zu definieren, da sie in der Vergangenheit eine eher untergeordnete Rolle spielten. Die Verzahnung von Entscheidungen, resultierenden Maßnahmen und deren Kommunikation spart Zeit und führt zu einem besseren gemeinsamen Verständnis.

Obwohl es sich bei Reputationsrisiken um einen relativ neuen und kaum erforschten Risikomanagementbereich handelt, verringert der Einsatz von bestehenden Governance-Strukturen des OpRisk-Managements die (organisatorische) Komplexität. Die Integration zahlt sich in vielerlei Hinsicht aus: Institute sind nicht nur für weitere aufsichtsrechtliche Anforderungen gerüstet, sondern profitieren auch von einem solideren Rahmenwerk für das Risikomanagement und einem stärkeren Bewusstsein für Reputationsaspekte im Tagesgeschäft.

Fazit

Die Veröffentlichung der finalen SREP-Richtlinien war der erste Schritt der Aufsicht zu einer stärkeren Berücksichtigung von Reputationsrisiken. Nun liegt es in der Hand der Institute, Prozesse aufzusetzen und Erfahrungen zu sammeln, um Reputationsrisiken aktiv zu managen.

Aufgrund der Herausforderungen bei der Quantifizierung und der  schweren Differenzierung von anderen Risikoarten ist der Fokus auf Reputationsrisikominderung unerlässlich. Voraussetzung hierfür ist ein klar definiertes Framework zur Identifizierung, Bewertung und Minderung sowie ein klares Bewusstsein für Reputationsrisiken bzw. eine gesunde Risikokultur. Bei einer bestehenden OpRisk-Organisation können Institute von bereits in der Vergangenheit bewährten Strukturen profitieren: Dieser pragmatische Ansatz sichert ein solides Reputationsrisikomanagement und hilft bei der Erfüllung zukünftiger aufsichtsrechtlicher Anforderungen.

 

[1] Schierenbeck, H./Grüter, M. D./Kunz, M. J. (2004): Management von Reputationsrisiken in Banken, WWZ-Forschungsbericht, Basel 2004.

Mit BankingHub keinen Trend verpassen

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach.

Senden Sie mir den BankingHub Newsletter zu. Ich bin ausdrücklich damit einverstanden, den Newsletter zu erhalten und weiß, dass ich mich jederzeit problemlos wieder abmelden kann.

John E. Tyralla

Senior Manager Office Hamburg

Martin Weinberger

Manager Office München

Autoren

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit BankingHub immer auf dem Laufenden!

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach. Sie können den Newsletter jederzeit wieder kündigen.