Risikocontrolling
Management von Non-Financial Risks
 

Das Risikomanagement in Banken konzentrierte sich traditionell auf jene Risiken, die sich direkt auf einzelne Banktransaktionen beziehen, d. h. Kredit- und Marktrisiko. Zusammen mit anderen Risiken wie dem Liquiditätsrisiko, handelt es sich um finanzielle Risiken. Für einen langen Zeitraum waren die größten Verluste, die eine Bank erleiden konnte, mit diesen Risikotypen verknüpft, wie zum Beispiel der Ausfall eines Großkunden oder Marktturbulenzen, die zur Abwertung von Beständen führen. In den letzten zwei Jahrzehnten wurden Banken immer mehr gezwungen, ihre Sichtweise zu ändern.

Kompensations- und Strafzahlungen aus Rechtsstreitigkeiten wegen Falschberatung haben kürzlich die Grenze von 10 Mrd. € pro Fall überschritten. Die eingetretenen Verluste und Rückstellungen für solche Fälle übersteigen in manchen Banken bereits die Abschreibungsbeträge für Kreditausfälle. Dies trifft auch auf schlagend gewordene operationelle Risiken aus IT-Ausfällen oder betrügerischen Handlungen zu. Zusätzlich haben solche Vorkommnisse zum Eintritt von Reputationsrisiken geführt, weshalb viele Banken ein Allzeittief ihrer Vertrauenswürdigkeit feststellen müssen. Zu guter Letzt ringen Banken mit ihren Geschäftsmodellen, entweder wegen des Niedrigzinsumfelds oder aufgrund von technologischem Innovationsdruck, mit strategischen Risiken und Geschäftsrisiken. Zusammenfassend kann man diese Risiken als Non-Financial Risks bezeichnen.

Vorstands- und Aufsichtsratsmitglieder erhalten zurzeit meist noch keinen vollständigen und lückenlosen Bericht über Non-Financial Risks. Dies liegt zum Teil an den verschiedenen Zuständigkeitsbereichen der einzelnen Unterkategorien, an abweichenden Methoden und Prozessen und nicht zuletzt auch an einem unzureichenden Fokus auf diese Risiken. Beispielsweise ist die Zahl der Mitarbeiter, die sich innerhalb einer Bank mit Non-Financial Risks befassen, meist erheblich kleiner als die entsprechende Anzahl von Mitarbeitern, die für Financial Risks zuständig sind.

Non-Financial vs. Financial Risks
Eine Möglichkeit zur Differenzierung zwischen diesen beiden Risiko-Themengebieten besteht darin, zwischen Vorgängen zu unterscheiden, die während des normalen Geschäftsablaufs auftreten (RTB – run the bank) und solchen, die den Geschäftsablauf verändern (CTB – change the bank), sowie durch Unterscheidung zwischen dem üblichen Geschäft und einem „gestörten Zustand. Während Financial Risks typischerweise aus dem normalen Geschäftsablauf resultieren (RTB), sind Non-Financial Risks dadurch charakterisiert, dass sie entweder den RTB-Prozess stören oder aus CTB-Vorgängen hervorgehen. Letztere können zum Beispiel den Umbau der IT-Architektur oder organisatorische Veränderungen wie die Erschließung neue Produkte oder Märkte betreffen. Die Risikosteuerung für Financial Risks ist sehr gut erforscht und etabliert. Im Gegensatz dazu sind die Risikosteuerung und Methoden für Non-Financial Risks oft sehr viel weniger gut entwickelt. Außerdem sind Non-Financial Risks fast immer eng verbunden mit Fehlverhalten von Bankangestellten, sowohl auf Managementebene als auch auf ausführender Ebene. Ein weiterer komplexitätssteigernder Punkt ist ein hoher Grad an Interdependenz sowohl zwischen den verschiedenen Non-Financial Risks als auch in Relation zu den Financial Risks.

Verschiedene Aufsichtsbehörden wie EBA, EZB, FCA und andere haben folgende Unterkategorien von Non-Financial Risks in den Mittelpunkt ihrer Tätigkeiten gestellt (z. B. im Zuge des aufsichtsrechtlichen Überprüfungs- und Evaluationsprozesses, SREP,  siehe EBA 2014 und EZB 2015): Rechtsrisiko, Verhaltensrisiko, IT-Risiko, Modellrisiko und Reputationsrisiko. Manche dieser Unterkategorien, besonders das IT-Risiko, haben bisher noch nicht zu sehr großen Verlusten geführt, allerdings erwartet die Branche, dass hier ein enormes Risikopotenzial existiert. Die aktuellen EZB-Untersuchungen zu Cyber Risks, u. a. aufgrund der Abhängigkeit von digitalen Technologien bei der Gestaltung von Kundenbeziehungen, deuten darauf hin. Im Gegensatz zu Financial Risks stellen in der Regel weder Kapital- noch Liquiditätspuffer eine effektive Maßnahme zur Risikobegrenzung dar. Non-Financial Risks müssen vor allem wirkungsvoll identifiziert, gesteuert und überwacht werden. Banken begegnen beispielsweise IT-Risiken, indem sie eine angemessene IT-Strategie und Schutzmaßnahmen implementieren.

Das Eintreten eines Non-Financial Risks kann nicht nur zu bedeutenden finanziellen Verlusten führen, sondern auch zu Insolvenzen und unfreiwilligen Übernahmen durch andere Institute (wie es bereits vereinzelt vorgekommen ist). Was weiterhin verschiedene Non-Financial Risks vereint, ist zum einen die starke wechselseitige Abhängigkeit zwischen diesen Risikoarten (z. B. führen operationelle Risiken ggf. zu Reputationsrisiken, welche sich letztendlich in einem Geschäftsrisiko niederschlagen können) wie auch eine geringe Anzahl zur Verfügung stehender Daten. Informationen über Non-Financial Risks sind oft spärlich, unvollständig und subjektiv. Die finanziellen Auswirkungen eines Non-Financial Risks treffen die Bank meist erst mit mehreren Jahren Verspätung und dann über einen langen Zeitraum hinweg. Es ist oft schwierig, die Auswirkungen einzelnen Ereignissen zuzuschreiben. Daher basieren Non-Financial Risks viel mehr auf qualitativen Informationen und Einschätzungen.

Governance bei Non-Financial Risks
Das Modell der „three lines of defence“, das spätestens seit Veröffentlichung der Guideline „Corporate governance principles for banks“ (BCBS 2015) im Juli 2015 verstärkt in den Fokus gerückt ist, ist von fundamentaler Bedeutung für das Management von Non-Financial Risks. Es fordert, dass alle Rollen und Verantwortungsbereiche - bei angemessener Unabhängigkeit voneinander - über alle Funktionen einer Bank hinweg klar
definiert sind.

Die „first line of defence“ umfasst die Entscheidungsfindung im Bezug auf Risikobereitschaft und Risikominderung. Die „second line of defence“ unterstützt das Risikomanagement, indem sie Methoden, Prozesse und Tools bereitstellt. Sie hinterfragt die Abläufe der „first line of defence“. Zunehmend bedeutet die „second line of defence“ auch Risikomanagement auf Portfolio-ebene sowie Analyse von Risikokonzentrationen und bereichs- sowie abteilungsübergreifender Risiken.

Die „third line of defence“ liegt bei der internen Revision sowie bei externen Prüfern und dem Prüfungsausschuss des Aufsichtsrats. Ihre Aufgabe besteht - unter anderem - darin, die Angemessenheit der Prozesse und Richtlinien sowie ihrer Umsetzung zu beurteilen.

Im Gegensatz zu den eher auf wenige Bereiche fokussierten Financial Risks sollte die „first line of defence“ für Non-Financial Risks breit gestreut über alle Bereiche einer Bank verteilt sein (einschließlich Bereichen wie Compliance oder interne Revision, die auch selbst von Non-Financial Risks betroffen sein können, z. B. durch Datenmissbrauch durch Mitarbeiter). Bestimmte Unterkategorien von Non-Financial Risks werden bereits oft von bankweiten Spezialbereichen gesteuert (z. B. Rechtsrisiken, Datensicherheit sowie physische Sicherheit).

Die „second line of defence“ für Non-Financial Risks besteht nicht nur aus der zentralen Risikomanagement-Funktion, sondern auch aus einer breiten Zahl an Unternehmensfunktionen, die sich mit speziellen Unterkategorien befassen (z. B. die Compliance-Funktion oder die Rechtsabteilung). Relativ oft findet unter solchen Unternehmensfunktionen weder ein hinreichender Informationsaustausch mit den jeweiligen Nachbarabteilungen noch mit der zentralen Risikomanagement-Abteilung statt. Die zentrale Risikomanagement-Abteilung hat in der Regel weder eine ausreichende Anzahl an Ressourcen, um mit Non-Financial Risks angemessen umgehen zu können, noch entsprechen die vorhandenen Ressourcen den nötigen Anforderungen (die mehr auf der qualitativen als auf der quantitativen Seite liegen).

Sowohl die Tätigkeiten der „first line of defence“ als auch die der „second line of defence“ müssen koordiniert und zielgerichtet sein, um eine wirkungsvolle Maßnahme gegen Non-Financial Risks darzustellen. Aktuell stellen viele größere international tätige Banken ihre „three lines of defence“ neu auf. Dies ist zu einem Teil einer ineffizienten Organisationsweise der verschiedenen involvierten Abteilungen geschuldet, wie auch zum anderen einer lückenhaften Abdeckung der spezifischen Risikokategorien. Ferner sollen hiermit Überschneidungen der first und second line of defence innerhalb einzelner Bereiche abgebaut werden. Zu guter Letzt sollte die „third line of defence“, also primär die interne Revision, ihre Kapazitäten dahingehend erweitern, dass sie in der Lage ist, in Zukunft umfassender mit Non-Financial Risks umgehen zu können.

(...)

 

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
30.11.2015
Erschienen in Ausgabe:
12/2015
 Diese Ausgabe kaufen
 Diesen Artikel kaufen
Quelle(n):

Bildquelle: fotolia.com / ©Mauricio graiki

Autor/in 
Thomas Kaiser
Prof. Dr. Thomas Kaiser ist Director der KPMG AG im Bereich Financial Services und Honorarprofessor für Risikomanagement an der Johann Wolfgang Goethe-Universität Frankfurt am Main.
Weitere interessante Artikel 
Artikel abonnieren 
die bank | Newsfeed
Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Sie erhalten jeden Monat zwei Newsletter mit aktuellen Beiträgen und News.

 Anmeldung

 Newsletter-Archiv