Schlüsselrolle Non-Financial-Risk-Management

Im Blickpunkt: Ein neuer Anlauf zur Konvergenz

Von Matthias Rode

Beitrag als PDF (Download)

Status quo

Deutsche Finanzinstitute stehen oftmals vor großen Herausforderungen. Investoren erwarten Rendite auf das eingesetzte Kapital, Kunden möchten Produkte mit geringen Risiken und Serviceleistungen zu niedrigen Preisen, die Politik und Zentralbanken setzen auf eine möglichst hohe Kreditvergabe, die unter anderem durch die Niedrig-/Nullzinspolitik forciert wird. Und zu guter Letzt fordern die Regulatoren einen möglichst holistischen Umgang mit Risiken. Daneben befindet sich die Finanz­industrie derzeit in einem tiefgreifenden, strukturellen Umbruch und hinterfragt ihre Geschäftsmodelle. Resultate sind jedoch kaum sichtbar. Unterdessen werden in den Gremien von Regulierungsbehörden viele neue Anforderungen und komplexe Rahmenbedingungen für die Marktteilnehmer und die Finanzmärkte diskutiert. Die neuen Märkte müssen vereinfachte Strukturen haben und transparenter, standardisierter, fokussierter und regulierter sein, wobei sich die Anzahl der Teilnehmer konsolidieren soll. In dieser Situation kommt dem effektiven und effizienten Umgang eines Instituts mit seinen finanziellen als auch nichtfinanziellen Risiken eine Schlüsselrolle zu. Effektivität und Effizient im Risikomanagement sind weiter sehr stark gefordert.

Non-Financial-Risk-Management (NFRM)

Über einen langen Zeitraum haben sich Finanzinstitute allein auf das Risikomanagement zur Identifizierung, Analyse und Bewertung von Finanztransaktionen konzentriert, also auf die Kredit-, Markt- und Liquiditätsrisiken. Verluste wurden zu einem großen Teil auf Kreditausfälle, Marktturbulenzen und erhöhte Refinanzierungskosten zurückgeführt. Für Banken sowie deren Aufsichtsbehörden standen das Management von Kredit-, Markt- und Liquiditätsrisiken im Vordergrund. Seit der Finanzkrise 2008 hat sich die Situation jedoch stark verändert. Marktmanipulationen, fehlerhafte Beratung und betrügerische Handlungen haben zu schwerwiegenden Verlusten und substantiellen Strafzahlungen für die Industrie geführt. Expertenschätzungen gehen von Strafzahlungen von weit mehr als 500 Milliarden Euro in den vergangenen sieben Jahren aus. Dabei wurden qualitative Folgeschäden wie Reputationsschäden nicht berücksichtigt. Ein Großteil dieser Verluste resultierte insbesondere aus Risiken, die im klassischen Financial-Risk-Management nicht abgedeckt werden. Hierzu zählen neben dem bisher am umfassendsten gemanagten Operational Risk unter anderem Conduct-Risk, Compliance-Risk, Regulatory Risk, Cyber-Risk, Culture-Risk und Reputational Risk. Zusammenfassend bezeichnet man diese Risiken als Non-Financial Risk (NFR).

Das Thema NFRM beinhaltet das Management operativer Risiken (Prozesse, IT), geht jedoch inhaltlich sehr viel weiter

Bereits vor vielen Jahren haben Finanzinstitute notwendige Strukturen für das Operational-Risk-Management (ORM) als Teil des Basel-Frameworks eingeführt. Somit läge die Vermutung nahe, dass dies auch NFR umfassen sollte. Jedoch ist ORM bisher quantitativ (ohne Steuerungsmöglichkeiten) mit Fokus auf Daten, Prozesse und Technologie aufgebaut worden. Damit sollen bestehende regulatorische Anforderungen hinreichend abgedeckt und die damit verbundenen Kapitalanforderungen quantifiziert werden. Es ist somit unwahrscheinlich, dass bestehende ORM-Strukturen in Gänze die kommenden Anforderungen eines aktiven NFRM abdecken können. Inhaltliche Feinheiten wie Risikobewusstsein, Kulturrisiko oder Notwendigkeiten zum Risikomanagement als Business-Support sind in den ORM-Ansätzen ausgeblendet worden. Auf der anderen Seite können Teile des bestehenden ORM-Frameworks für NFR angewendet oder darauf übertragen werden. Im Gegensatz zu den Operational Risks werden die meisten NFR bisher selten aktiv gemanagt. Dies liegt unter anderem daran, dass sich diese Risiken schwerer identifizieren und quantifizieren lassen als Financial Risks oder Operational Risks. Aktive Kontrolle und Management von NFR sind jedoch von elementarer Bedeutung, um Kosten und Eigenkapitalbelastungen zukünftig unter Kontrolle zu halten und das Institut im Markt besser zu positionieren. An dieser Stelle ist anzumerken, dass ORM als Teil des Basel-Frameworks in seiner Typologie in den letzten zwölf Jahren nicht aktualisiert worden ist. Seit 2017 werden jedoch NFR-Themen in Arbeitsgruppen detailliert besprochen. Wir gehen in diesem Zusammenhang von einer mittelfristigen Aktualisierung für den ORM-Teil des Frameworks aus. Dabei dürfte sich die Erweiterung aus unserer Sicht in Richtung NFR entwickeln.

Die Bedeutung von NFRM für Finanzdienstleister

Integrierte NFR-Strukturen helfen, Risiken umfassender zu verstehen und zu steuern, Kosten zu senken und perspektivisch die Eigenkapitalanforderungen zu reduzieren. In den vergangenen Jahren haben Banken weltweit hohe Verluste realisiert und Strafen gezahlt. Dies ist aufgrund wiederkehrend eintretender Risiken aus Schwachstellen und Vorfällen in diversen NFR-Kategorien erfolgt, die nicht originär durch ORM abgedeckt worden sind. Da die Risiken nicht Teil eines Risk-Frameworks waren, sind sie teilweise nicht korrekt identifiziert, quantitativ betrachtet oder aktiv überwacht worden. Somit sollten Banken auch ein großes Eigeninteresse haben, diese Risiken in den Griff zu bekommen und proaktiv zu managen. Auch Aufsichtsbehörden und Regulatoren sind die Verluste aufgrund dieser Schwachstellen deutlich bewusst geworden. Eine unzureichende Risikoüberwachung hat zu extrem kritischen Situationen mit potentiellen Ansteckungseffekten in der Branche geführt. Aufsichtsbehörden und Regulatoren arbeiten mit Hochdruck daran, die Transparenz in diesen Risikoarten zu erhöhen. So wurde von Seiten einiger Banken im letzten EBA-Stresstest erstmals eine Schätzung von Verlusten und Strafzahlungen, resultierend aus Conduct-Risks, gefordert. Die bisherige Intransparenz hat außerdem zu hohen Aufschlägen bei den Kapitalanforderungen der Banken geführt. Und solange Banken nicht nachweisen können, dass sie relevante Risiken durch entsprechende Definitionen, Kon­trollen, proaktive Überwachung sowie Mechanismen zur Risikoprävention nachhaltig unter Kontrolle haben, wird sich an dieser Situation nichts ändern. Banken und Behörden werden deshalb nach Wegen suchen müssen, die beschriebenen Herausforderungen effektiv und möglichst effizient zu meistern.

Die kritischen Erfolgsfaktoren bei der Implementierung von NFRM

Für die Umsetzung eines NFRM-Ansatzes sind die mit Abstand kritischsten Erfolgsfaktoren die Organisationskultur und das Verständnis von Kulturrisiko, welche es anzupassen gilt. Die Organisationskultur sowie eine adäquate Governance-Struktur und der „Tone from the Top“ sind von zentraler Bedeutung bei der Transformation hin zu aktivem NFR-Management. Darüber hinaus ist eine ganzheitliche und umfassende Betrachtung von NFR wichtig. Diese beginnt in der Regel bei der kritischen Prüfung des bestehenden Geschäftsmodells und setzt sich dann in der Festlegung von Risikokapazität und -appetit fort. Die Analyse des Geschäftsmodells umfasst hierbei auch explizit Entscheidungen, bestimmte Geschäfte und damit verbundene Risiken konsequent zu eliminieren. Auch ist es enorm wichtig, bisher stark qualitativ wahrgenommene NFR mit einem methodischen Ansatz standardisiert zu quantifizieren. Die Quantifizierung von NFR ist eine große Herausforderung. Allerdings sind in diesem Bereich schon gute Ergebnisse erzielt worden. Diese haben zu konkreten Reduzierungen von Eigenkapitalanforderungen aufgrund verbesserter Transparenz der NFR-Strukturen geführt. Ohne das detaillierte Verständnis des Geschäftsmodells wäre eine korrekte Identifikation und Zuordnung von NFR-Risiken schwierig – und ohne Messbarkeit der Risiken auch jegliche Überwachung. Mit einem strategischen Zielbild von NFRM und einem einheitlichen NFR-Vokabular – basierend auf einer konkreten, homogenen NFR-Taxonomie – ist es dann möglich, eine stufenweise Transformation der Ist-Situation hin zu integriertem NFRM zu starten. Vergangene Erfahrungen haben gezeigt, dass die Transformation aufgrund der hohen Komplexität in sich abgeschlossenen Einzelprojekten entlang einer klar definierten und priorisierten Roadmap erfolgen und eine Umsetzung immer in modularer Weise stattfinden sollte. Versuche, ein NFRM-Framework in einem großangelegten Gesamtprojekt umzusetzen, sind bisher kaum von Erfolg gekrönt.

Ausgewählte Herausforderungen für Banken in der Nutzung von NFRM-Frameworks

Ein NFRM-Framework besteht aus einer Vielzahl von Komponenten, die miteinander in teils enger Verbindung stehen. Es gilt zunächst, wie oben beschrieben, einen Kulturwandel innerhalb der Organisation anzustoßen und firmenpolitische Herausforderungen zu adressieren. Des Weiteren muss zwingend die Governance für das Thema NFRM geklärt sein. Nachgelagert zu den genannten Punkten bestehen die größten Herausforderungen in einer Einbettung von modernen Technologien. Der Einsatz von Machine-Learning, Predictive Analytics oder von durch künstliche Intelligenz unterstützte Überwachung in existierenden aufbauorganisatorischen 3-Lines-of-Defense-Strukturen sowie die Anpassung des internen Kontrollrahmens stehen zur Diskussion. Geschäftsstrategie, Organisationskultur und Personal wie auch Prozesse und Technologie sollten weitestgehend Hand in Hand gehen, um die Vorteile eines integrierten Ansatzes realisieren zu können.

Startpunkte für die Einführung von NFRM

Taktisch können, wie oben ausgeführt, verschiedene Komponenten und Module eines NFRM-Frameworks genutzt werden, um akute Herausforderungen im Risikomanagement zu adressieren. Die Vorteile eines umfassend integrierten NFRM-Frameworks in Bezug auf Effektivität und Kosten werden so jedoch nur in Teilen genutzt und das Erkennen von Chancen in neuen Produkten und Märkten gehemmt. Strategisch sollte eine NFRM-Transformation neben der Kulturfrage immer mit der Analyse und Beschreibung des Geschäftsmodells beginnen und dementsprechend der Risikoappetit abgeleitet werden. Zusammen ergeben beide Punkte die Grundlage für die Identifikation und Beschreibung der inhärenten Risiken des Geschäftsmodells. Damit werden wichtige Informationen zur Gewichtung der Risiken für das Topmanagement bereitgestellt. Parallel sollte frühzeitig erwogen werden, wie moderne Technologien an welchen Stellen in komplexen Risikostrukturen genutzt werden können.

Derzeitige Marktentwicklungen zu NFRM

Im Allgemeinen ist ein sehr heterogener Markt unabhängig von der Ausrichtung eines Instituts oder regionaler oder globaler Verankerung zu beobachten. Ein Großteil der Institute sieht perspektivisch den Bedarf, NFR als strategische Komponente des Risikomanagements zu etablieren und hat inzwischen Überlegungen dazu angestellt. Darüber hinaus werden NFR-relevante Komponenten wie Taxonomie, Organisation, Kontrollansätze und Risikobewertungen mittlerweile in Teilen implementiert, oder sie befinden sich in der Umsetzung. Weniger Bewegung erfolgt hingegen beim konsequenten Einsatz moderner NFRM-Technologien zur Prävention oder einer notwendigen detaillierten Geschäftsmodellanalyse inklusive quantifizierter Darlegung des Risikoappetits. Derzeit wird kundenseitig meist dann nach Unterstützung gesucht, wenn es um die Moderation eines Dialogs mit Regulatoren, der Aufsicht und anderen Banken geht, um die jeweiligen Sichtweisen, Erwartungen und Erfahrungen auszutauschen. Auch sind kundenseitig Aktivitäten bei der Entwicklung von Zielbildern für ein integriertes Risk-Management sowie der Definition und Priorisierung der erforderlichen Umsetzungsmaßnahmen sichtbar. Umfassende Transformationsprojekte sind derzeit noch eine Ausnahme.

Wrap-up: Potentielle Auswirkungen eines korrekt implementierten NFRM-Frameworks auf Profitabilität

Ein Institut, das in der Lage wäre, alle Risiken umfassend und auf Basis eines validen Geschäftsmodells schnell und richtig zu identifizieren und zu managen, könnte dadurch ein Mehr an Geschäft generieren sowie Geschäftsausfälle besser vermeiden. In Anbetracht der eingangs erwähnten aufgelaufenen enormen Verluste und Strafzahlungen in der Vergangenheit können durch ein effektives NFRM-Framework Kosten in signifikanter Höhe vermieden sowie die aufsichtsrechtlichen Kapitalanforderungen reduziert werden. Zur Zukunft von NFRM stellt sich – speziell aufgrund aufsichtsrechtlicher und regulatorischer Entwicklungen – nicht mehr die Frage, „ob“ dieser Ansatz kommen wird, sondern „wie und wann“.

mattrode@deloitte.de