Risk Governance: Self-Assessment

Die Risk Governance und der Risikoappetit eines Kreditinstituts rücken sichtbar in den Fokus der Aufsicht. Bereits im Juni 2016 hatte der Single Supervisory Mechanism (SSM) einen Bericht zur Governance und Risikobereitschaft veröffentlicht. Der Bericht bemängelte die Governance in europäischen Kreditinstituten und stellte unter anderem fest, dass Kreditinstitute keine hinreichenden Rahmenwerke für die Formulierung und die Überwachung des Risikoappetits besitzen. Seitdem hat die deutsche Aufsicht den Begriff des Risikoappetits in die MaRisk aufgenommen, und die EBA hat im September 2017 eine Guideline zur Internal Governance finalisiert (EBA/GL/2017/11). Zudem werden das Riskmanagement-Framework und der Risikoappetit im Rahmen des SREP-Prozesses im Prüffeld Interne Governance durch die Aufsicht jährlich einer Prüfung unterzogen (EBA/GL/2018/03).

Ausgangssituation Risk Governance

In dem Artikel „Effektivere Risk Governance durch ein Risk Appetite Framework“ ist beschrieben worden, wie ein betriebswirtschaftlich sinnvolles und regulatorisch adäquates Risk Appetite Framework zu konzipieren und in die Steuerungsprozesse einzubetten ist. Im vorliegenden Artikel soll nun dargestellt werden, wie sich im Sinne eines „Self-Assessments“ die Risk Governance eines Instituts strukturiert bewerten lässt.

Das Prüfungs-Framework konzentriert sich dabei auf die fachliche Einordnung des Risikoappetits in das Risikomanagementsystem (RMS) und das interne Kontrollsystem (IKS), kein Bestandteil ist dagegen die Überprüfung des internen Revisionssystems. Primäres Ziel des Self-Assessments ist die Identifikation von Schwachstellen, um z. B. frühzeitig Maßnahmen vor dem nächsten SREP-Prüfungsprozess zu ergreifen. Hierzu wird eine ganzheitliche Sichtweise auf die Risk Governance und den Risikoappetit eingenommen, um die adäquate Wirkungsweise in der Gesamtbank zu überprüfen.

Risk Appetite Framework als wesentliche Voraussetzung für eine effektive Risk Governance

Ein Risk Appetite Framework ist eine wesentliche Voraussetzung für eine effektive Risk Governance, da es den strategischen, organisatorischen, methodischen und verhaltenstechnischen Rahmen schafft. In diesem Rahmen dürfen sich die Gesamtbank und ihre Mitarbeiter bewegen.

Die schlichte Formulierung eines Zusatzdokuments „Risk Appetite Framework“ neben der Risikostrategie ist jedoch nicht ausreichend, um die aufsichtsrechtlichen Vorgaben einzuhalten. Die Vorstellungen der Aufsicht bezüglich eines Risk Appetite Framework lassen sich dabei u. a. den überarbeiteten SREP Guidelines (EBA/GL/2018/03) entnehmen. In den Guidelines wirken diese Vorstellungen eher zusammenhanglos niedergeschrieben, lassen sich jedoch vier Dimensionen zuordnen. Diese Themengebiete sollten durch ein Risk Appetite Framework verzahnt werden. Folgend werden je Themengebiet Anforderungen exemplarisch genannt:

  • Strategy: Risikostrategie und Risikoappetit sind konsistent auszugestalten
  • Organization: „Management-Body“ ist verantwortlich für die Formulierung des Risikoappetits
  • Behavior: Risikostrategien und Risk Appetite Framework sind an alle Mitarbeiter zu kommunizieren
  • Instruments/Methods: Risikoappetit berücksichtigt alle materiellen Risiken und beinhaltet Risikolimite und Schwellenwerte

Gemäß den Vorstellungen der Aufsicht stellt das Risk Appetite Framework das Bindeglied zwischen diesen einzelnen Dimensionen der Risiko-Governance dar. Es gibt somit inkl. des Risk Appetite Frameworks 5 Dimensionen, die in einem Prüfungs-Framework zu überprüfen sind:

Grafische Darstellung der Dimensionen einer Risk GovernanceAbbildung 1: Dimensionen einer Risk Governance

Self-Assessment-Prüfungs-Framework

Das Prüfungs-Framework umfasst 14 Prüffelder, die die zuvor skizzierten Dimensionen der Risk Governance abdecken:

Grafische Übersicht zu Risk Governance: Prüfungsdimensionen und PrüfungsfelderAbbildung 2: Übersicht Prüfungsdimensionen und Prüfungsfelder

Das Augenmerk des Self-Assessment liegt typischerweise auf den folgenden Aspekten in den verschiedenen Prüfungsdimensionen:

  1. Strategy: Eine Ableitung der Risikostrategie sollte im Einklang mit der Geschäftsstrategie und den Unternehmenszielen erfolgen. Hierbei ist eine integrative Verzahnung des Risikoappetits in die jeweiligen Strategien und die Sanierungsplanung anzustreben.
  2. Organization: Gemäß dem Aktiengesetz umfasst die Leitungsaufgabe des Vorstands die Verpflichtung zur Schaffung einer Organisationsstruktur, mit der Unternehmenszweck und Unternehmensgegenstand erfüllt werden können. Im Rahmen seiner Organisationspflicht hat der Vorstand für eine gesetzmäßige, satzungskonforme und möglichst effiziente Organisationsstruktur Sorge zu tragen. Der konkrete Organisationsgrad hängt von Art, Größe und Komplexität des Unternehmens ab. Die Festlegung und Wirksamkeit des Risikomanagementsystems und des internen Kontrollsystems (Three Lines of Defense) sind dabei wesentlicher Bestandteil der Verantwortung des Vorstands. Der Risikoappetit muss für eine effektive Governance innerhalb der festgelegten „Organisationsstruktur“ gesteuert werden können.
  3. Behavior:Die Unternehmens- und Risikokultur umfasst die Einstellung der Mitarbeiter und die Verhaltensweisen im Umgang mit Risikosituationen. Sie ist durch den Vorstand „tone from the top“ über Verhaltensanforderungen festzulegen und vorzuleben. Dies erfolgt zumeist über einen „Code of Conduct“, an dem sich das Risikobewusstsein im Unternehmen und somit auch die Formulierung des Risikoappetits orientieren. Individuelle Verstöße gegen den Risikoappetit sind dabei über die Vergütungspolitik zu sanktionieren.
  4. Instruments/Methods: Die Formulierung des Risikoappetits sollte szenarienbasiert bzw. unter Betrachtung verschiedener Szenarien erfolgen. Der Vorstand sollte hierbei den Risikoappetit formulieren, um sich gegen ein von ihm bestimmtes Negativszenario abzusichern. Der Appetit ist dabei für die relevanten Finanzressourcen festzulegen. Zudem muss der Risikoappetit in ein konsistentes Limitsystem übergeleitet werden. Methodische Rahmenwerke wie ICAAP, ILAAP und Stresstestverfahren sind dabei aufeinander abzustimmen.
  5. Risk Appetite Framework: Das Risk Appetite Framework ist das eigentliche Herzstück einer effektiven Risk Governance. Es verzahnt die vier oben genannten Bestandteile und soll eine stringente, einheitliche Einbettung des Risikoappetits in die Gesamtbanksteuerung sicherstellen – somit wird es zu einer Art Glaubensbekenntnis des Risikomanagements.

Je Prüfungsdimension sollte ein Dreiphasenmodell für die Standortbestimmung der Bank hinsichtlich ihrer Risk Governance durchlaufen werden. In der ersten Phase erfolgen eine Dokumentenprüfung und die Durchführung von Interviews. Als Ergebnis wird der Status quo gemeinsam festgehalten. Im Anschluss erfolgt eine Bewertung entlang der Prüfungsfelder. Abschließend wird das Verbesserungspotenzial bezüglich der Ausgestaltung der Risk Governance abgeleitet. Die Ableitung erfolgt methodisch/fachlich, organisatorisch/prozessual und hinsichtlich der Dokumentation. zeb bietet dabei umfangreiche Erfahrungen in der Entwicklung und Umsetzung der ganzheitlichen Verzahnung einer Risk Governance.

Die Bewertung der Prüfungsdimension erfolgt anhand einer bei Prüfbeginn gemeinsam festgelegten Bewertungsskala. Die Bewertungs- bzw. Ordinalskala misst dabei die Einhaltung regulatorischer Anforderungen zwischen null (regulatorisches Mindestmaß nicht erfüllt) und drei (deutliche Übererfüllung der regulatorischen Anforderungen). Alle Prüfergebnisse der Dimensionen lassen sich in eine Gesamtbewertung überführen. Die regulatorische Bewertungsskala kann hierbei um eine Skala zur Bewertung gegenüber dem Marktstandard erweitert werden.

Fazit

Die Durchführung eines Self-Assessments zur Beurteilung der Risk Governance kann einen fundamentalen Vorteil im SREP-Prozess oder bei anstehenden aufsichtlichen Governance-Prüfungen bieten. Die Bewertung gegenüber regulatorischen Anforderungen und Marktbeobachtungen erhöht die Transparenz und kann kurzfristige Verbesserungen in der Ausgestaltung der Risk Governance ermöglichen.

Aktuell sind viele Kreditinstitute vor allem mit der konzernweiten Formulierung des Risk Appetite Framework und Statement und ihrer konsistenten methodischen Ableitung zum ICAAP und ILAAP beschäftigt. Langfristig wird jedoch eine ganzheitliche Verzahnung der verschiedenen Bestandteile der Risk Governance über den Risikoappetit notwendig werden. Dies wird die Gesamtbanksteuerung prägen und auch transparenter gestalten. Auf diese Weise entsteht der eigentlich aufsichtlich geforderte Managementrahmen gemäß SREP.

Abkürzungsverzeichnis:

EBA – European Banking Authority
GL – Guideline
ICAAP – Internal Capital Adequacy Assessment Process
IKS – Internes Kontrollsystem
ILAAP – Liquidity Adequacy Assessment Process
RMS – Risikomanagementsystem
SREP – Supervisory Review and Evaluation Process
SSM – Single Supervisory Mechanism

Sprechen Sie uns gerne an!

Simon Christmann

Senior Manager Office Münster
Jens Kuttig / Autor BankingHub

Jens Kuttig

Senior Partner Office Amsterdam

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach