Chief Risk Officer (CRO) in Banken, Versicherungen, Asset Managern und Immobilienunternehmen stehen unter Druck. Auf der einen Seite nehmen die regulatorischen Anforderungen und die Erwartungen interner Stakeholder an das Risikomanagement seit Jahren stetig zu. Es gilt, immer mehr Risiken und Risikotreiber zu erkennen, zu bewerten und zu steuern. Immer häufiger sind Stresstests und Analysen durchzuführen, und immer umfassender soll die Risikoorganisation über die entwickelten Aktivitäten berichten.
Auf der anderen Seite kann sich auch das Risikomanagement dem Effizienzdruck in der Finanzindustrie nicht entziehen. Es muss seine finanziellen und personellen Ressourcen kontinuierlich hinterfragen und Beiträge zu den unternehmensweiten Kostenzielen leisten. Auch eine klar erkennbare Ausweitung der regulatorischen Anforderungen reicht nicht aus, um hohe Kosten oder gar eine Aufstockung des Personals zu rechtfertigen – ein schwieriges Spannungsfeld.
Fünf Erfolgsfaktoren für das Risikomanagement der Zukunft
Daher befindet sich das Risikomanagement in vielen Finanzorganisationen in einem Transformationsprozess. Das Ziel: die Leistungsfähigkeit und Flexibilität des Risikomanagements zu steigern und gleichzeitig seine Effizienz zu erhöhen, um so den zukünftigen Anforderungen – beispielsweise bei der Berücksichtigung von ESG-Risiken und bei der Weiterentwicklung der quantitativen Risikomessung – gerecht zu werden.
Damit dieser Transformationsprozess zum Erfolg führt, gilt es insbesondere fünf Faktoren zu berücksichtigen: Die Sicherstellung der funktionalen Exzellenz, die Identifizierung und das Management neuer Risiken, der Aufbau einer effizienten und effektiven Risiko-Governance, die Nutzung der technologischen Möglichkeiten der Risiko-IT sowie die Etablierung eines stringenten Prozessmanagements:
1. Sicherstellung der funktionalen Exzellenz
Mit zunehmender Aufgabenfülle steigt auch die Bedeutung des Risikomanagements und seiner Beiträge zum Geschäftserfolg der Organisation. Die Rolle des CRO verändert sich – CROs werde vom Compliance-Hüter zum strategischen Gestalter. Um diese neue Rolle auszufüllen, müssen die für die zukünftige CRO-Funktion relevanten Themen identifiziert, neu sortiert und priorisiert werden. Hierzu ist es erforderlich, sich über die Zukunft der Risikofunktion und über die wichtigsten Punkte der CRO-Agenda im Klaren zu sein.
2. Identifizierung und Management neuer Risiken
Neue Anforderungen an das Risikomanagement werden insbesondere durch Risiken und Risikotreiber gestellt, die nicht zu den etablierten Risikoarten zählen. Zu diesen gehören vor allem nicht-finanzielle Risiken – ihre Zahl und ihre Bedeutung nehmen zu. und verlangen mitunter neue Kompetenzen, Erhebungs- und Bewertungsmethoden. Und neben operationellen, strategischen und IT-bezogenen Risiken sind es vor allem ESG-Risiken, die zu einer Erweiterung des Risikomanagements und zu zahlreichen Herausforderungen führen. Vielfach mangelt es hier an Standards und Erfahrungswerten, an konkreten regulatorischen Vorgaben sowie an Zugriffsmöglichkeiten auf valide Daten.
3. Aufbau einer effizienten und effektiven Risiko-Governance
Je größer die Beiträge des Risikomanagements zum Geschäftserfolg der Organisation sind, desto stärker muss auch die Governance der Risikofunktion am Geschäftsmodell und den zugrunde liegenden Wertschöpfungsketten orientiert sein. Aufbau- und Ablauforganisation des Risikomanagements sind stringent an den Unternehmenszielen auszurichten. Dies betrifft beispielsweise die Zentralisierung von Aufgaben im Risikomanagement, die Abgrenzung von Verantwortlichkeiten und eine Anpassung des Three-Lines-of Defense-Modells. Auch die Inhalte und die Erstellung des Risikoberichts sind zu adjustieren, damit dieser weiterhin seiner Funktion als Steuerungsinstrument nachkommen kann.
4. Nutzung der technologischen Möglichkeiten der Risiko-IT
Damit das Risikomanagement sowohl leistungsfähiger als auch effizienter wird, ist eine flexible und skalierbare IT-Risikoarchitektur unabdingbar. Diese setzt insbesondere auf Automatisierungstechnologien, Cloud-Lösungen, Vendor-Systemen, Machine Learning und Künstliche Intelligenz sowie Advanced Analytics. Da die IT-Architekturen bei Finanzdienstleistern häufig historisch gewachsen, stark heterogen und monolithisch aufgebaut sind, bedarf es eines systematischen Ansatzes zur Modernisierung der Risiko-IT-Architektur.
5. Etablierung eines stringenten Prozessmanagements
In vielen Unternehmen der Finanzbranche existiert kein effektives und effizientes Prozessmanagement bei der Identifikation, Analyse, Bewertung, Bewältigung und Kontrolle von Risiken. Stattdessen sind häufig fragmentierte Prozesse zu beobachten, die von manueller Intervention, Silodenken und Spezialistentum geprägt sind. Um den zukünftigen Anforderungen an das Risikomanagement gerecht zu werden, ist ein stringentes Prozessmanagement von zentraler Bedeutung. Denn die Anforderungen – beispielsweise an ein robustes Stresstesting-Rahmenwerk, an ein erfolgreiches Intraday Liquidity Management oder an die Operational Resilience von Finanzorganisationen – sind in den vergangenen Jahren kontinuierlich gestiegen und erfordern zunehmend ein abteilungsübergreifendes Abstimmen und Handeln.
Ausrichtung an der Wertschöpfungskette
In Deutschland haben viele große Finanzinstitute bereits mit der Transformation ihres Risikomanagements begonnen. Dagegen stehen die kleineren und mittelgroßen Institute bei der erforderlichen Neuausrichtung ihrer Risikofunktion häufig noch am Anfang.
Im Mittelpunkt der Transformation muss die konsequente Ausrichtung der Risikofunktion an der Wertschöpfungskette der eigenen Organisation stehen. Das erfordert es auch, die vorhandenen Ressourcen von einfachen, standardisierbaren Aufgaben hin zu anspruchsvollen, neuen Tätigkeiten umzuverteilen.
Nur dann wird die CRO-Funktion in der Lage sein, den weiter steigenden Anforderungen gerecht zu werden und dabei ihr Hauptziel nicht aus den Augen zu verlieren: die nachhaltige und profitable Geschäftsentwicklung des Unternehmens.
