Praxis des Non-Financial Risk Managements im Finanzsektor

Das Buch beginnt naturgemäß mit der Vergangenheit des Non-Financial Risk Management. Einerseits waren Verluste schon immer Trigger für Management-Aktivitäten – teilweise unter den Stichworten Qualitätsmanagement oder Prozessoptimierung. In Einzelthemen (bspw. Kreditkartenbetrug) erfolgte recht früh eine datengestützte, quantitative Analyse. Erst spät setzte jedoch eine systematische Auseinandersetzung in der Breite mit Verlusten aus operationellen Risiken und anderen Non-Financial Risks ein. Dies liegt teilweise an den psychologischen Effekten – der Treiber Mensch ist oft eine wesentliche Komponente in der Entstehung von Verlustereignissen. Das Aufsichtsrecht, das sich seit den frühen 2000er-Jahren zunehmend mit Non-Financial Risk beschäftigt, ist als Treiber für Investitionen nicht zu unterschätzen. Leider beginnen viele Finanzinstitute erst dann mit der Entwicklung neuer Prozesse und Verfahren, wenn dies aufsichtsrechtlich erforderlich sind (und ignorieren dabei oft den betriebswirtschaftlichen Nutzen, den solche Aktivitäten stiften können). Und schließlich lohnt ein Blick über den Tellerrand: Enterprise Risk Management ist in Industrieunternehmen seit langem etablierte Praxis. Da dieses üblicherweise einerseits vernetzt aufgebaut und andererseits eng in die Kernprozesse des Unternehmens eingebunden ist, können gerade für eher qualitative Themen wie Non-Financial Risks hiervon gute Impulse abgeleitet werden.

Das zweite Kapitel des Buchs beschäftigt sich mit Gegenwart des Non-Financial Risk Management – Rahmenwerk. Die Risikokultur sollte eine Art „Unternehmens-DNA“ darstellen, die zwar nicht ausschließlich für Non-Financial Risks relevant ist, jedoch in besonderem Maße für diese. Nur wenn risikobewusstes Verhalten internalisiert wird, kann von einem effektiven Risikomanagement ausgegangen werden. Risikostrategie und -appetit sollten die Marschrichtung für NFR vorgeben. Auch dieser Themenkomplex ist risikoartenübergreifend. Da Non-Financial Risks jedoch eher schwer mit quantitativen Metriken beherrschbar sind, ist dieses Thema besonders herausfordernd. Es müssen teilweise qualitative, jedoch trotzdem hinreichend greifbare und überprüfbare Vorgaben gemacht werden. Non-Financial Risk besteht – wie bereits erwähnt und im dritten Kapitel ausführlicher dargestellt – aus vielen Einzeldisziplinen. Diese haben oft ihre eigene Terminologie und Verfahrensweisen. Eine klare Sprachregelung, also insbesondere eine Taxonomie der NFR, ist wesentlich, um Konsistenz zu erreichen. Das erfolgreiche Management der Non-Financial Risk erfordert ein gutes Zusammenspiel zahlreicher Bereiche, Abteilungen, Beauftragten etc. Definierte Verantwortlichkeiten durch klare NFR-Risikogovernance ist daher wesentlich. Wie bereits erwähnt ist die Qualitative Identifikation und Bewertung der NFR besonders wichtig. Dies startet mit der Risikoinventur und umfasst verschiedene Spielarten von Self-Assessments (tw. Risk & Control Self Assessment, RCSA genannt). Für Einzeldisziplinen gibt es oft eigenständige Bedrohungs-, Gefährdungs- und Risiko-Analysen. Daneben gibt es auch eine Quantitative Identifikation und Bewertung der NFR. Hierzu zählen die (meist semi-quantitative) Szenarioanalyse, Modelle – bis zur Abschaffung des fortgeschrittenen Messansatzes (AMA) für regulatorisches Kapital, auch darüber hinaus für ökonomisches Kapital) – sowie verschiedene Spielarten des Stresstestings. Für systematische Analysen und Modelle sind Datenbanken und andere IT-Unterstützung für den Risikomanagement-Prozess wesentlich. Die Vielzahl an Datenquellen und die oft manuelle Erhebung derselben stellen weiterhin eine große Herausforderung dar. Risikoreporting und -steuerung der NFR stellt die eigentliche Königsdisziplin dar. Daten zu erheben und Berechnungen anzustellen sollte kein Selbstzweck (und auch nicht eine aufsichtsrechtliche Pflichtübung) sein, sondern das aktive Management der Risiken unterstützen. Daher sollte das Risikoreporting auch der Steuerung dienen und nicht als Tätigkeitsbericht verschiedener Risikocontrolling-Einheiten missverstanden werden. Die meisten Non-Financial Risks ändern sich fortlaufend und die Effektivität von Steuerungsmaßnahmen ist nicht immer im Vorhinein genau abschätzbar. Daher ist die regelmäßige Risikoüberwachung der NFR wichtig. Neben der Überwachung des Verlustprofils gehören insbesondere Risikoindikatoren zum klassischen Instrumentarium hierfür.

Das dritte Kapitel beschäftigt sich mit ebenfalls mit der Gegenwart des Non-Financial Risk Management nun jedoch mit dem Fokus auf wichtige Einzelthemen. Zunächst kann die Bedeutung von Behavioural Risk Management für NFR gar nicht hoch genug eingeschätzt werden. Einerseits entstehen die meisten Verluste aus Non-Financial Risk aus (grober) Fahrlässigkeit – teilweise auch aus Vorsatz – oder werden zumindest durch solche Faktoren begünstigt. Andererseits spielen Menschen und deren Entscheidungen eine fundamentale Rolle bei der Steuerung der Non-Financial Risks. Eine vollautomatische Risikosteuerung (wie sie teilweise für Finanzrisiken etabliert werden konnte) scheint für die allermeisten Non-Financial Risk-Themen unerreichbar zu sein. Unter den Non-Financial Risks spielen Reputationsrisiken eine besondere Rolle. Diese sind gewissermaßen Katalysatoren der Risikolandkarte – die erfolgreiche Steuerung eines Risikos kann sich über den Wirkungskanal der Reputationsrisiken als Risiko in einer anderen Risikoart (insbesondere Liquiditäts- und Geschäftsrisiken) manifestieren. Ein sehr bedeutender Themenkomplex der operationellen Risiken sind NFR im Rechtsumfeld. Hierzu zählen im Mindesten die (nicht sauber trennbaren) Fachgebiete Compliance, Conduct und Legal. Bewusste oder unbewusste Verstöße gegen geltendes Recht, aber auch gegen Marktgepflogenheiten und interne Anweisungen, haben in der Vergangenheit zu den größten Einzelverlusten geführt – und ein Ende ist nicht in Sicht. Das zweite große Feld mit steigender Bedeutung ist NFR im IT-Umfeld. Hierzu zählen insbesondere Informationssicherheitsrisiken, I(K)T-Risiken und Cyberrisiken. Auch hier ist eine klare Trennung der Einzelthemen kaum möglich. Business Continuity Management als Steuerungsmaßnahme für operationelle Risiken hat eine lange Tradition. In jüngster Zeit hat sich Operational Resilience als ganzheitliche Sicht auf das Business Continuity Management etabliert. Insbesondere im Hinblick auf aktuelle (und leider auch künftig zu erwartende) Krisen erscheint dieser Ansatz sehr wichtig zu sein. ESG-Risiken sind aus NFR-Sicht im Vergleich zu den beiden anderen genannten Risikofeldern sozusagen „Neuland“. Es zeigt sich, dass zahlreiche Verbindungen – nicht nur, aber in besonderem Maße zu Reputationsrisiken – bestehen. Aktuell fokussieren Finanzinstitute im Zusammenhang mit ESG-Risiken auf Finanzrisiken – hier besteht noch Nachholbedarf auf der Non-Financial Risk-Seite.

Das letzte Kapitel beschäftigt sich naheliegenderweise mit der Zukunft des Non-Financial Risk Management. Zunächst ist es spannend, die Einflüsse von Megatrends (Digitalisierung, ESG, Agiles Arbeiten etc.) auf das NFR-Management zu untersuchen. Hier liegen geplante Änderungen an Geschäftsmodellen und -abläufen zugrunde, die erhebliche Auswirkungen auf das NFR-Profil von Finanzinstituten haben und entsprechend gesteuert werden müssen. Strategische Risiken werden nicht einheitlich als Bestandteil der Non-Financial Risks gesehen. Gerade im Licht dieser Entwicklungen erscheint das Thema jedoch sehr wichtig zu sein – und hat wiederum zahlreiche Verflechtungen mit anderen Non-Financial Risks. Eher reaktiv zu sehen sind die Auswirkungen aktueller Entwicklungen (COVID-19, geopolitische Krisen). Auch hier kommt es – allerdings ungeplant – zu signifikanten Veränderungen der Rahmenbedingungen, unter denen Finanzinstitute sowie deren Kunden und Geschäftspartner agieren. Wie im ersten Kapitel erwähnt, spielt das Aufsichtsrecht eine große Rolle für stark regulierte Unternehmen wie Banken, Versicherungen und andere Finanzdienstleister. Daher gehört zu einer zukunftsorientierten Sicht auch ein Blick auf sich abzeichnende Änderungen an regulatorischen Vorgaben. Schlussendlich stellt sich die Frage, wie stark die Einzeldisziplinen der Non-Financial Risks miteinander verbunden werden können und ob die aktuelle Trennung zwischen Finanzrisiken einerseits und Non-Financial Risks andererseits auf Dauer sinnvoll ist. Effizienzgewinne durch integrierte Ansätze ist hier das Schlagwort.