Von Klima-Krise über Hacker-Angriff bis zu Blackouts: Was sind für Banken die größten nicht finanziellen Risiken? Eine aktuelle Studie zeigt, wie führende Finanzinstitute die Gefahr durch nicht finanzielle Risiken beurteilen.

Bedeutung von Non-Financial Risks für Finanzinstitute

Die Bedeutung von Non-Financial Risks für Finanzinstitute nimmt zu.

Partner des Bank Blogs

Geschäfte mit großem Gewinnpotenzial bergen auch hohe Risiken. Aber auch nicht finanzielle Vorgänge können potenziell gewaltigen Schaden anrichten. Dennoch vernachlässigen viele Institute solche Non-Financial Risks (NFRs) noch immer. Das zeigt die aktuelle Benchmark-Studie „Non-Financial Risk“ von KPMG. Dabei stellen geeignete Schutzmaßnahmen keinen übermäßigen Aufwand dar.

Non-Financial Risks in der Finanzbranche

Als Non-Financial Risks werden in der Branche Risikofaktoren bezeichnet, die nicht mit den klassischen Finanzgeschäften einer Bank, also der Kreditvergabe und dem Wertpapierhandel in Zusammenhang stehen.

Diesen NFRs widmen Banken durchschnittlich nur zehn bis 15 Prozent ihres Risikomanagementbudgets – ein alarmierendes Zeichen. Denn zahlreiche Beispiele aus der Praxis zeigen, welch gravierende finanzielle Auswirkungen auch aktuelle gesellschaftspolitische Entwicklungen haben können.

Globale Evolution der Risikoszenarien

So gehen Umweltschutzorganisationen und Verbände bei sogenannten Klima-Klagen wie gegen den Shell-Konzern 2021 verstärkt dazu über, auch die Kreditgeber der jeweiligen Unternehmen vor Gericht zu zerren. Oder sie streben dies zumindest an. Steht mit einem Kreditinstitut auch der Gläubiger eines Mineralölkonzerns vor Gericht, ist der Imageverlust groß; unabhängig vom Ausgang des Verfahrens. Das wirkt sich dann schnell auch auf die Performance aus; ganz zu schweigen von der Symbolwirkung für weitere Klagen.

Die Corona-Pandemie und der Krieg in der Ukraine sind zwei weitere Beispiele für kulturelle bzw. politische Faktoren, die unsere Wirtschaft und damit den Finanzsektor völlig überraschend getroffen haben: Eine globale Rohstoffkrise, steigende Energiepreise und Inflation auf der einen, der Einbruch der asiatischen Märkte, Lieferkettenprobleme und Mangel an wichtigen (Produktions-) Gütern wie Lebensmitteln, Medikamenten, Baustoffen und Halbleitern auf der anderen Seite waren die Folgen, verbunden mit Kursverlusten und sinkenden Gewinnen der Industrie. Eine Wirtschaftskrise, die immer auch die Banken als Geldgeber der Unternehmen trifft. Aufgrund der Sanktionen der internationalen Staatengemeinschaft gegen russische Firmen und Privatkapital muss die Branche derzeit sehr vorsichtig bei der Wahl ihrer Geschäftspartner sein. Bei Verstößen drohen hohe Geldstrafen und im Extremfall gar Einschränkungen oder gar der Ausschluss von bestimmten Märkten.

Auch mit dem Branchentrend Digitalisierung gehen Risiken einher: Viele Institute nutzen erfolgreich Public Cloud Services zugunsten ihrer Kosteneffizienz, Skalierbarkeit und Consumer Centricity. Da die Datenverarbeitung der drei Marktführer Amazon, Google und Microsoft unter US-Recht fällt, kann es zum Beispiel im Falle des Zugriffs US-amerikanischer Strafverfolgungsbehörden auf die Daten europäischer Kunden zu Verstößen gegen EU-Datenschutzbestimmungen kommen. Darauf wiederum stehen immense Strafen. Ein weiteres Problem ist der besonders in Deutschland stetig wachsende Fachkräftemangel: Stößt die IT dauerhaft an ihre Personalgrenzen, bleiben Zwischenfälle wie Serverabstürze oder Sicherheitslecks kaum aus.

Sonderfall Operationelle Risiken

Einen Sonderfall innerhalb der NFRs bilden die Operationellen Risiken. Diese sind im Rahmen der regulatorischen Vorgaben für Banken seit Jahrzehnten etabliert und müssen als eigenständige Risikoart unter anderem mit Eigenkapital unterlegt werden. Veruntreuung, Datendiebstahl und das Versagen von Prozessen oder Einzelner führen immer wieder zu Schäden.

Zum Beispiel ging einer deutschen Spezialbank durch eine handwerkliche Panne bei der Transaktion von Exchange Traded Commodities (ETC) im vergangenen Winter nahezu ihr gesamter Jahresgewinn verloren.

Doch obwohl Banken das operative Geschäft als Risikoquelle identifiziert und anerkannt haben, verstehen sie derartige Ereignisse noch zumeist als skandalträchtige Einzelfälle, die so nicht hätten passieren dürfen. Auch wenn dies von Selbstkritik zeugt und es nicht am Bewusstsein für Risikocontrolling mangelt:

Noch leichter täten sich die Institute, wenn sie operative Fehler oder Versagen als statistische Realität betrachteten, auch wenn sie nur selten auftreten. State-of-the-art Ansätze im Markt schaffen hier die notwendige Transparenz des Risikoprofils und die Basis für eine aktive Steuerung dieser Risiken (im Rahmen eines definierten und nachgehaltenen Risikoappetits).

Implementierung von NFR-Frameworks

Wer Non-Financial Risks als solche wahr und ernst nimmt, befindet sich bereits auf dem richtigen Weg. Auch das zeigt die aktuelle KPMG-Studie: 75 Prozent der Institute haben eine NFR-Funktion, das heißt eine explizite Organisationseinheit mit zentraler Managementverantwortung für diese Risiken. Hier wird die Kompetenz für die Überwachung dieser Risiken – die von Rechts-, über Auslagerungs- bis zu Reputationsrisiken eine sehr hohe Spannbreite haben – gebündelt. Im Idealfall geschieht das mit einem konsistenten und effizienten Ansatz, der die Erkenntnisse einer aktiven Risikosteuerung einfließen lässt.

70 Prozent der Institute mit NFR-Funktion bezeichnen wiederum den Integrationsgrad der NFRs in ihren Controllingprozess als hoch oder sehr hoch. Dem gegenüber steht jedoch ein Viertel aller Banken, das nicht über eine NFR-Funktion verfügt und entsprechend den Integrationsgrad von NFRs nur zu 20 Prozent als hoch oder sehr hoch bezeichnet.

Die beste Risikoprävention besteht zunächst darin, bestimmte Faktoren als potenziell gefährlich anzuerkennen. Sollte es an einer internen NFR-Funktion mit zentraler Verantwortlichkeit und übergreifender Klammerfunktion mangeln, empfiehlt sich dringend die Implementierung einer solchen. Am besten mit einem „Head of NFR“, der direkt beim CRO (Chief Risk Officer) angesiedelt ist, nach Vorbild der großen internationalen Häuser.

Als weiterführende Maßnahmen im NFR-Management haben sich in der Praxis besonders die Entwicklung eines NFR-Rahmenwerks parallel zu entsprechenden 2nd-Line-of-Defense-Funktionen (2nLoD) etabliert. Ein beschleunigender Faktor kann außerdem der Einsatz übergreifender GRC-Software (Governance Risk & Control) sein. Weitere aktuelle Themen wie der Einsatz von Künstlicher Intelligenz oder Machine Learning im NFR-Umfeld haben großes Potenzial und werden derzeit noch zu wenig genutzt. Auch wenn es immer Sonderfälle geben wird, bei denen auch das beste Risikomanagement machtlos ist, wie etwa beim Zugriff der US-Justiz auf europäische Cloud-Daten: Je höher die Bereitschaft, diese Risiken transparent zu machen und einer aktiven Risikosteuerung zuzuführen, desto geringer die Wahrscheinlichkeit, dass durch solche Ereignisse ungeplanter Schaden entsteht.


Die Benchmark-Studie „Non-financial Risk“ können Sie hier kostenfrei beziehen.