Die Nachhaltigkeits- sowie die digitale Transformation, aber auch der Ukraine-Krieg oder die Corona-Pandemie bergen Gefahren abseits des klassischen Bankgeschäftes. Nicht alle Institute haben ihr Risikomanagement auf diese Non-Financial Risks optimal eingestellt, ermittelt ein aktueller KPMG-Report.
"Pandemien, Klimakrise und Bedrohungen im Cyber-Umfeld verstärken die Notwendigkeit eines flexiblen und robusten Risikomanagements", heißt es in einer aktuellen Benchmark-Studie der Beratungsgesellschaft KPMG zu Non-Financial Risks (NFR). Für die Erhebung wurden nach 2016 und 2019 auch 2022 Geldhäuser zum Umgang mit Risikopotenzialen befragt, die nicht den klassischen Bankaktivitäten wie der Kreditvergabe oder dem Wertpapiergeschäft zuzuordnen sind. Die 28 teilnehmenden Institute decken den Studienautoren zufolge 100 Prozent der Top-Ten- und 80 Prozent der Top-20-Häuser in Deutschland ab.
Insgesamt hat es die Finanzbranche mit vier zentralen NFR-Treibern zu tun: Neben der Nachhaltigkeit und der Digitalisierung zählt die Studie auch gesellschaftspolitische Umwälzungen durch den Ukraine-Krieg sowie die Corona-Pandemie dazu. Gefahrenpotenzial ergibt sich zum Beispiel in den Bereichen Recht und Regulatorik sowie Cyber-Sicherheit und IT, dem operativen Geschäft sowie der Reputation und Außendarstellung einer Bank. Trotz vieler Gefahrenquellen nutzen die befragten Finanzunternehmen durchschnittlich nur zehn bis 15 Prozent ihres Risikomanagementbudgets für NFRs. Das Gros der Ressourcen verwenden die Institute auf Geschäftsbereiche mit großem Gewinnpotenzial.
Compliance- und andere Risiken
Dabei bergen zum Beispiel sogenannte Klimaklagen durch Umweltschutzorganisationen gegen Firmenkunden von Banken nicht nur das Risiko, dass sich die Institute vor Gerichten selbst gegen Vorwürfe verteidigen müssen, sondern damit auch einen großen Imageschaden erleiden. "Im Grunde kann ein Reputationsrisiko von jedem Ereignis ausgehen. Die eigentliche Ursache ist dabei oft sekundär", schreibt Manfred Piwinger in einem Buchkapitel zum Reputationsrisiko auf Seite 1052. Das Ausmaß des Schadens sei abhängig von der öffentlichen Wahrnehmung.
Primäre Reputationsrisiken beziehen sich in den genannten Fällen auf risikorelevante Ereignisse im regulären Geschäftsbetrieb - bei der Hypovereinsbank beispielsweise auf Kreditrisiko, Marktrisiko, operationales Risiko, Liquiditätsrisiko, Geschäftsrisiko, strategisches Risiko oder andere. Abweichend hiervon werden sekundäre oder soziale Risiken mit Auswirkung auf die Reputation dem gesamten Verhaltensbereich zugeordnet - insbesondere Compliance-Risiken fallen darunter", erläutert Piwinger.
Transparenz bei Risiken schaffen
Eine betriebswirtschaftlich orientierte Risikosteuerung ist der KPMG-Studie zufolge also nur möglich, wenn die institutsspezifischen Risiken vollständig transparent und trotz individueller Geschäftsmodelle und -strategien in ihrer finanziellen Auswirkung miteinander vergleichbar sind. Doch das sei bei NFRs untereinander häufig nicht der Fall.
"Die Ursache hierfür liegt überwiegend in der nur unzureichenden Verzahnung und Abgrenzung der verschiedenen Risk Frameworks. Die Herausforderungen beginnen bereits mit der Definition der Risikoarten und dem Versuch, diese voneinander abzugrenzen und überschneidungsfrei zu gestalten", heißt es in dem Report zur Begründung.
Zentrale NFR-Funktion und -Standards
Um dieses Problem zu lösen, brauchen Banken laut Studie eine NFR-Funktion mit zentraler Managementverantwortung. 70 Prozent der befragten Geldhäuser bezeichnen die Integration von NF-Risiken in den Controlling-Prozess daher bereits als "hoch" oder "sehr hoch". Dem gegenüber verfügt allerdings ein Viertel aller Banken nicht über eine entsprechende Einheit zur Steuerung von nicht-finanziellen Risiken und stuft diese nur zu 20 Prozent als "hoch" oder "sehr hoch" ein. Im Ergebnis werde die Verantwortung häufig auf die Operational-Risk-Funktion (OpRisk) übertragen.
Neben einem zentralen Risikomanagement empfehlen die Studienautoren ein NFR-Rahmenwerk parallel zu den üblichen Risikoabwehrmechanismen - insbesondere den sogenannten bankinternen Defence-Linien. Darüber hinaus sollten die Institute weitere Risk- und Control-Tools im Bereich Governance, Künstliche Intelligenz oder Machine Learning integrieren, um das Risikomanagement zu optimieren.
Noch keine One-size-fits-all-Lösung
Allerdings gebe es in Deutschland bislang keine One-size-fits-all-Lösung, die alle NFR-Funktionen integriert. Vielmehr herrsche in der Bankenbranche eine heterogene Systemlandschaft, die zudem häufig noch von Eigenentwicklungen und MS-Office-Lösungen ergänzt werde. Als Gründe hierfür nennt der Report die fehlende Nachfrage nach einem integrierten NFR-Datenhaushalt und die nach Risikoart gesplittete Informationsverteilung, die aus dezentralen Verantwortlichkeiten hiesiger Geldhäuser resultiere.
Auf die Digitalisierungsstrategien der einzelnen Institute werden die Aufsichtsbehörden im Rahmen ihrer Analysen der individuellen Geschäftsmodelle als Kernelement des aufsichtlichen Überwachungsprozesses, auch Supervisory Review and Evaluation Process oder SREP genannt, daher ein besonderes Augenmerk richten", schreibt hierzu Anja Schulz, Inhaberin der Stiftungsprofessur für Bankenregulierung an der Hochschule für Finanzwirtschaft und Management (HFM) in Bonn, im "Bankmagazin" (Ausgabe 12 | 2022).
Internationale Lösungsansätze
Die Studienautoren raten deutschen Banken und Sparkassen, einen Blick auf internationale Entwicklungen zu werfen. Eine Benchmark-Analyse von KPMG zu Non Financial Risks, an der 16 Institutionen teilnahmen, die das regulatorische Umfeld der EU, Großbritanniens, den USA und Australiens abdecken, liefert Erkenntnisse aus ingesamt vier Bereichen:
- Governance - Das Konzept der nicht-finanziellen Risiken ist der Studie zufolge in den genannten Regionen auf organisatorischer Ebene weit verbreitet. Unter dem Dach von NFR/OpRisk gibt es die Unterteilung in allgemeine Funktionen wie Framework/Überwachung, Konsolidierung und Berichterstattung sowie spezielle Kontrollfunktionen, zu denen Technologie, Cyber und Third-Party, also Drittanbieter, gehören.
- NFR-Instrumente - Bei der Definition des Risikos werden standardmäßig die primären Metriken durch die zweite Abwerhlinie, die sogenannte Second Line of Defence, vorgeschlagen und durch den Vorstand genehmigt, berichtet die Analyse. In allen Institutionen gebe es einen Bericht zum Risikoprofil des operationellen Risikos. Ein verbreitetes Muster zur Mitigation sei die Identifikation von Schwächen und die Definition von Handlungsplänen durch die erste Abwehrlinie, die First Line of Defence. Anschließend werden diese durch die Second Line of Defence gegengeprüft.
- IT-Tools - In allen Instituten zeigt die Analyse technologische NFR/OpRisk-Anwendungen, die jedoch in der Regel nicht alle Instrumente der genutzten Risikomodelle beinhalten. "Best Practice ist, eine ganzheitliche IT-Lösungen zu verwenden, die alle zum Management des operationellen Risikos und zur internen Kontrolle erforderlichen Instrumente abdeckt", so die Studienautoren.
- Risiko-Taxonomien - Die Mehrheit der Einrichtungen habe eine spezialisierte Second-Line-of-Defence-Kontrollfunktion im NFR-Management, die die Bereiche IT und Cyber Risk, Outsourcing Risk sowie Operational Resilience umfasst.