Integriertes Non-Financial Risk – ein Erwachsenenpuzzle

Die Herausforderung, ein stimmiges Gesamtwerk zu schaffen.

Banken Digitalisierung IT
veröffentlicht am 27.04.2021 | Lesezeit: ca. 5 Minuten

Nach vielen Jahren kleinteiliger Regulierung stehen Aufsicht und Institute vor der Herausforderung, ein stimmiges Gesamtwerk zu schaffen.

Dass nichtfinanzielle Risiken (NFR) seit der 2008er-Finanzkrise an Bedeutung gewonnen haben, sollte für die Finanzdienstleistungsindustrie kein Geheimnis mehr sein. Zwar sind die astronomischen Strafzahlungen wegen fragwürdiger Geschäftspraktiken in der Vergangenheit mittlerweile vom Richtertisch, jedoch sind allein im Jahr 2020 weltweit über 12 Milliarden Euro durch Banken an Strafe wegen Compliance-Verstößen beglichen worden. Zurecht als „Land der Superlative“ bekannt, nimmt die USA quasi konkurrenzlos den ersten Platz in dieser fragwürdigen Disziplin ein: zwölf wesentliche Strafzahlungen von insgesamt fast 9,4 Milliarden Euro stehen 2020 für die Staaten auf der Uhr. (Quelle: Finbold)

Aber hierfür wird 2020 wohl nicht in die Geschichtsbücher eingehen. Unser Jahresrückblick ist vielmehr durch die Herausforderungen der Covid-19-Pandemie bestimmt. Bei Banken waren hier insbesondere das Auslagerungsmanagement, das Business Continuity Management (BCM) und die Informationssicherheit gefragt, um den operativen Betrieb am Laufen zu halten. Wie eine Studie der globalen externen Datenbank ORX zeigt, sind die NFRs in diesen Bereichen infolge der Pandemie signifikant gestiegen (Quelle: orxcovidriskreview-therisksofthecrisisjune2020.pdf).

Als ob all diese Risiken und Herausforderungen nicht genug wären, werden Institute auf der Ertragsseite durch die Minimalzinspolitik der Notenbanken und durch Challenger-Banken herausgefordert. Da heißt es „Kosten sparen“, „effizienter werden“. „Einfacher gesagt als getan bei all diesen ständig wachsenden regulatorischen Anforderungen“, mag da so mancher Manager denken. In diesem Zusammenhang glimmt jedoch ein Licht am Ende des Tunnels: Im November 2020 wurde ein Ende der Arbeiten an den Basel-III-Reformen verkündet. Stattdessen möchte man sich in der Schweiz auf das Überprüfen der Umsetzung und Effektivität der Reformen konzentrieren, auch im Kontext von Covid-19 (Quelle: https://www.bis.org/press/p201130.htm).

Infografik

In welche Richtung weitere Aktivitäten in Basel gehen können, wird klar, wenn man sich die jüngsten Publikationen, wie die „Revisions to the principles for the sound management of operational risk“ (Quelle: https://www.bis.org/bcbs/publ/d508.pdf) des BCBS ansieht. Diese gewinnen auch im Kontext der Anforderungen an die „Operational Resilience“ an Relevanz.

Ein Fall für ein integriertes NFR

Bis dato waren Aufsicht und entsprechend auch Institute mit den Detailanforderungen an einzelne Risikoarten und deren 2nd-Line-of-Defense (LoD)- Funktionen beschäftigt. Umfang- und aufwandsreiche Dokumentation, Prozesse und Berichte von Compliance, OpRisk, Auslagerungsmanagement und Co. sind die Folge.

Nicht nur zunehmend von der Aufsicht eingefordert, sondern ökonomisch sinnvoll ist es nun, die einzelnen Puzzleteile des NFR-Managements zu einem konsistenten Gesamtbild zusammen zu fügen, die Risikosteuerung zu optimieren und Synergien zu heben.

Was tun?

In der Praxis hat sich ein Vorgehen in fünf Handlungsfeldern als erfolgreich erwiesen:

1. Taxonomie

Getrieben durch unterschiedliche regulatorische Vorgaben und Schwerpunkte im Vorgehen der 2nd LoDs werden Begriffe uneinheitlich verwendet – man nutzt die gleichen Begriffe und versteht sich dennoch nicht. Um dem ein Ende zu bereiten, müssen Begriffe einheitlich definiert und zueinander ins Verhältnis gesetzt werden – insbesondere auch zum Nutzen der „Anwender“ in der 1st LoD, den Marktbereichen.

2. Aufbau- und Ablauforganisation

Zunächst muss das Mandat für das Schaffen der funktionsübergreifenden Standardisierungsmaßnahmen geklärt werden, denn sonst muss sich immer „der andere“ anpassen. Danach sollten Rollen und Verantwortlichkeiten der 1st und 2nd LoD jeweils pro Verteidigungslinie dort zusammengelegt werden, wo inhaltliche Überschneidungen vorliegen. Insbesondere in den Marktbereichen der 1st LoD schlummern oft Synergiepotenziale.

3. Risikoidentifikations- und Überwachungsinstrumente

Die einzelnen Risikofunktionen haben in ihren Prozesskreisläufen in der Regel die Schritte Identifikation, Bewertung und Überwachung. Hierfür wird man je unterschiedlicher Risikoart in den Geschäftsbereichen vorstellig, um mit der eigenen Methode Informationen zu erheben und damit Risiken zu bewerten und zu überwachen. Wenn sich dann die Kolleginnen und Kollegen die Klinke in die Hand geben und die gleiche Frage zweimal hintereinanderstellen, hält sich die Begeisterung der Geschäftsbereiche meist in Grenzen. Eine Verzahnung der Methoden birgt daher enorm viel Synergiepotenzial, ohne dass dabei Informationen verloren gehen.

4. Datenbanken, IT-Systeme, Automatisierung

Spiegelbildlich zeigen sich Synergiepotenziale bei der Verwendung von Tools und Datenbanken. Die Effizienzgewinne beim Nutzen gemeinsamer Daten und Automatisierung von aufwändigen Prozessen hängen jedoch stark von der gemeinsamen Taxonomie und methodologischer Harmonisierung ab. GRC Tools versprechen hier viel und können einen Beitrag zur Methodenintegration leisten. Oftmals sind Potenziale mittels Automatisierung und zentraler Datenhaltung auch schon – zum Teil in einem Zwischenschritt – erfolgsversprechend.

5. Internes und externes Reporting

Aufsichtsrat, Vorstand und andere Entscheidungsträger werden dankbar sein: Durch die Konsolidierung der einzelnen Berichterstattungen wird nicht nur gut bezahlte Arbeitszeit gespart, sondern auch eine effektive Steuerung der Risiken ermöglicht. Am Ende interessiert es die Entscheidungstragenden nur, wo das Feuer am heißesten brennt und wie man es löscht. Eine gemeinsame Datenbasis hilft zudem den manuellen Abstimmungsaufwand bei der Berichterstattung zu minimieren.

Es spricht also vieles dafür, als Bank eine Risikofunktionslandkarte, das heißt die Sicht auf NFR-Risikoarten und die verantwortlichen 2nd LoDs bzw. Funktionen vor sich ausbreiten und sich einen Überblick zu verschaffen. Da von solcherlei Vorhaben viele Parteien betroffen sind, empfiehlt es sich, zunächst darüber Klarheit zu erlangen, welche Ziele man mit einem integrierten NFR-Ansatz verfolgen möchte und die relevanten Stakeholder hinter einem gemeinsamen Mission Statement zu versammeln. Dem CRO bzw. dem CRO-Dezernat kommt hier eine zentrale Rolle zu. Perspektivisch werden die NFR weiter an Bedeutung gewinnen und es liegt in der Verantwortung des CRO, diese Risiken vollumfänglich, effizient und konsistent transparent zu machen und zu überwachen. Die hierfür notwendigen „Puzzlearbeiten“ sollten besser früher als später beginnen.

 

Weiterlesen

Finance und Risk

Thema vertiefen

Thema vertiefen

Gerade gelesen

Integriertes Non-Financial Risk

Die Herausforderung, ein stimmiges Gesamtwerk zu schaffen.

Weitere Artikel zum Thema

CSRD-Wesentlichkeitsanalyse bei Banken

Tipps aus der Praxis für die Nachhaltigkeitsberichterstattung

Krisenbewältigung im Immobilienmarkt

Wie Banken zu mehr Liquidität beitragen können

Fehler in KYC-Prozessen

Wo Fehler entstehen und wie Compliance-Verantwortliche ihnen begegnen können

Geldwäsche-Verdacht: Neues Gesetz

Ein neues Bundesamt soll die notwendigen Schlüsselkompetenzen bündeln.

Das bringt die 8. MaRisk-Novelle

Die Umsetzung von Credit-Spread - und Zinsänderungsrisiken im Fokus der deutschen Aufsicht

RiskTechs: Potenzial für die Risiko-IT

Wie Risikomanager mit neuen Lösungen steigende Herausforderungen bewältigen können.

Suche
Schliessen
© {{year}} KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.