Integrierte Unternehmenssteuerung

Integriertes Non-Financial Risk – ein Erwachsenenpuzzle

Die Herausforderung, ein stimmiges Gesamtwerk zu schaffen.

Nach vielen Jahren kleinteiliger Regulierung stehen Aufsicht und Institute vor der Herausforderung, ein stimmiges Gesamtwerk zu schaffen.

Dass nichtfinanzielle Risiken (NFR) seit der 2008er-Finanzkrise an Bedeutung gewonnen haben, sollte für die Finanzdienstleistungsindustrie kein Geheimnis mehr sein. Zwar sind die astronomischen Strafzahlungen wegen fragwürdiger Geschäftspraktiken in der Vergangenheit mittlerweile vom Richtertisch, jedoch sind allein im Jahr 2020 weltweit über 12 Milliarden Euro durch Banken an Strafe wegen Compliance-Verstößen beglichen worden. Zurecht als „Land der Superlative“ bekannt, nimmt die USA quasi konkurrenzlos den ersten Platz in dieser fragwürdigen Disziplin ein: zwölf wesentliche Strafzahlungen von insgesamt fast 9,4 Milliarden Euro stehen 2020 für die Staaten auf der Uhr. (Quelle: https://finbold.com/bank-fines-2020/)

Aber hierfür wird 2020 wohl nicht in die Geschichtsbücher eingehen. Unser Jahresrückblick ist vielmehr durch die Herausforderungen der Covid-19-Pandemie bestimmt. Bei Banken waren hier insbesondere das Auslagerungsmanagement, das Business Continuity Management (BCM) und die Informationssicherheit gefragt, um den operativen Betrieb am Laufen zu halten. Wie eine Studie der globalen externen Datenbank ORX zeigt, sind die NFRs in diesen Bereichen infolge der Pandemie signifikant gestiegen (Quelle: orxcovidriskreview-therisksofthecrisisjune2020.pdf).

Als ob all diese Risiken und Herausforderungen nicht genug wären, werden Institute auf der Ertragsseite durch die Minimalzinspolitik der Notenbanken und durch Challenger-Banken herausgefordert. Da heißt es „Kosten sparen“, „effizienter werden“. „Einfacher gesagt als getan bei all diesen ständig wachsenden regulatorischen Anforderungen“, mag da so mancher Manager denken. In diesem Zusammenhang glimmt jedoch ein Licht am Ende des Tunnels: Im November 2020 wurde ein Ende der Arbeiten an den Basel-III-Reformen verkündet. Stattdessen möchte man sich in der Schweiz auf das Überprüfen der Umsetzung und Effektivität der Reformen konzentrieren, auch im Kontext von Covid-19 (Quelle: https://www.bis.org/press/p201130.htm).

Infografik

In welche Richtung weitere Aktivitäten in Basel gehen können, wird klar, wenn man sich die jüngsten Publikationen, wie die „Revisions to the principles for the sound management of operational risk“ (Quelle: https://www.bis.org/bcbs/publ/d508.pdf) des BCBS ansieht. Diese gewinnen auch im Kontext der Anforderungen an die „Operational Resilience“ an Relevanz.

Ein Fall für ein integriertes NFR

Bis dato waren Aufsicht und entsprechend auch Institute mit den Detailanforderungen an einzelne Risikoarten und deren 2nd-Line-of-Defense (LoD)- Funktionen beschäftigt. Umfang- und aufwandsreiche Dokumentation, Prozesse und Berichte von Compliance, OpRisk, Auslagerungsmanagement und Co. sind die Folge.

Nicht nur zunehmend von der Aufsicht eingefordert, sondern ökonomisch sinnvoll ist es nun, die einzelnen Puzzleteile des NFR-Managements zu einem konsistenten Gesamtbild zusammen zu fügen, die Risikosteuerung zu optimieren und Synergien zu heben.

Was tun?

In der Praxis hat sich ein Vorgehen in fünf Handlungsfeldern als erfolgreich erwiesen:

1. Taxonomie

Getrieben durch unterschiedliche regulatorische Vorgaben und Schwerpunkte im Vorgehen der 2nd LoDs werden Begriffe uneinheitlich verwendet – man nutzt die gleichen Begriffe und versteht sich dennoch nicht. Um dem ein Ende zu bereiten, müssen Begriffe einheitlich definiert und zueinander ins Verhältnis gesetzt werden – insbesondere auch zum Nutzen der „Anwender“ in der 1st LoD, den Marktbereichen.

2. Aufbau- und Ablauforganisation

Zunächst muss das Mandat für das Schaffen der funktionsübergreifenden Standardisierungsmaßnahmen geklärt werden, denn sonst muss sich immer „der andere“ anpassen. Danach sollten Rollen und Verantwortlichkeiten der 1st und 2nd LoD jeweils pro Verteidigungslinie dort zusammengelegt werden, wo inhaltliche Überschneidungen vorliegen. Insbesondere in den Marktbereichen der 1st LoD schlummern oft Synergiepotenziale.

3. Risikoidentifikations- und Überwachungsinstrumente

Die einzelnen Risikofunktionen haben in ihren Prozesskreisläufen in der Regel die Schritte Identifikation, Bewertung und Überwachung. Hierfür wird man je unterschiedlicher Risikoart in den Geschäftsbereichen vorstellig, um mit der eigenen Methode Informationen zu erheben und damit Risiken zu bewerten und zu überwachen. Wenn sich dann die Kolleginnen und Kollegen die Klinke in die Hand geben und die gleiche Frage zweimal hintereinanderstellen, hält sich die Begeisterung der Geschäftsbereiche meist in Grenzen. Eine Verzahnung der Methoden birgt daher enorm viel Synergiepotenzial, ohne dass dabei Informationen verloren gehen.

4. Datenbanken, IT-Systeme, Automatisierung

Spiegelbildlich zeigen sich Synergiepotenziale bei der Verwendung von Tools und Datenbanken. Die Effizienzgewinne beim Nutzen gemeinsamer Daten und Automatisierung von aufwändigen Prozessen hängen jedoch stark von der gemeinsamen Taxonomie und methodologischer Harmonisierung ab. GRC Tools versprechen hier viel und können einen Beitrag zur Methodenintegration leisten. Oftmals sind Potenziale mittels Automatisierung und zentraler Datenhaltung auch schon – zum Teil in einem Zwischenschritt – erfolgsversprechend.

5. Internes und externes Reporting

Aufsichtsrat, Vorstand und andere Entscheidungsträger werden dankbar sein: Durch die Konsolidierung der einzelnen Berichterstattungen wird nicht nur gut bezahlte Arbeitszeit gespart, sondern auch eine effektive Steuerung der Risiken ermöglicht. Am Ende interessiert es die Entscheidungstragenden nur, wo das Feuer am heißesten brennt und wie man es löscht. Eine gemeinsame Datenbasis hilft zudem den manuellen Abstimmungsaufwand bei der Berichterstattung zu minimieren.

Es spricht also vieles dafür, als Bank eine Risikofunktionslandkarte, das heißt die Sicht auf NFR-Risikoarten und die verantwortlichen 2nd LoDs bzw. Funktionen vor sich ausbreiten und sich einen Überblick zu verschaffen. Da von solcherlei Vorhaben viele Parteien betroffen sind, empfiehlt es sich, zunächst darüber Klarheit zu erlangen, welche Ziele man mit einem integrierten NFR-Ansatz verfolgen möchte und die relevanten Stakeholder hinter einem gemeinsamen Mission Statement zu versammeln. Dem CRO bzw. dem CRO-Dezernat kommt hier eine zentrale Rolle zu. Perspektivisch werden die NFR weiter an Bedeutung gewinnen und es liegt in der Verantwortung des CRO, diese Risiken vollumfänglich, effizient und konsistent transparent zu machen und zu überwachen. Die hierfür notwendigen „Puzzlearbeiten“ sollten besser früher als später beginnen.

 

Weiterlesen

Integrierte Unternehmenssteuerung

Thema vertiefen

Optimierung der Banksteuerung

Ist Ihre Bank auch mit einem konstant steigenden Kostendruck in der Unternehmenssteuerung konfrontiert? In Bereichen wie Finance, Risk, Regulatorik oder auch Compliance? Denken Sie darüber nach, die Möglichkeiten der Digitalisierung und der Prozessoptimierung für Ihre Bank zu nutzen, wissen aber noch nicht genau, wie solch eine Risikosteuerung aussehen könnte?

Wir beraten Sie zu allen Fragen der Banksteuerung gerne und schauen dabei ganzheitlich und aus einer Hand auf Ihre:

  • System- und Datenlandschaft
  • Prozesse, Modelle und Verfahren
  • Risikomanagement
  • Regulatorische Anforderungen
  • Organisation und Mitarbeiterausstattung
  • Sourcing-Strategie inklusive (Software-) Providermanagement

Unsere Bank-Experten zeigen Ihnen anhand konkreter Use-Cases am Markt bewährte Lösungen und Best-Practices für die Gesamtbanksteuerung auf, welche wir gemeinsam individuell für Ihre Bedürfnisse adaptieren können. Alternativ stellen wir Ihnen auch komplett neue und vielversprechende Methoden aufstrebender Player wie z. B. FinTechs vor, welche in der Unternehmenssteuerung unterstützen können.

Thema vertiefen

Gerade gelesen

Weitere Artikel zum Thema

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.

Schließen