Mit der Digitalisierung und gestiegenem Margendruck rücken nicht-finanzielle Risiken zunehmend in den Vordergrund. Unterschiedliche bzw. intransparente Taxonomien und Vorgehensweisen zeigen in der Praxis, dass hier ein Effizienzpotenzial liegt, aber auch die Aufsicht nimmt sich dieses Themas zunehmend an.
Nachdem einige Konkurrenten Verluste durch Sicherheitslücken hatten, schlägt ein Mitarbeiter vor, die Einführung eines neues Multi-Faktor-Identifikationsverfahren firmenweit einzuführen. Ein anderer plädiert dafür, intern eine Sicherheitssoftware zu identifizieren, da die Komplexität in der Bedienung die Kunden verschrecke. Parallel ergibt eine §44er-IT-Prüfung diverse Befunde in den internen Benutzerberechtigungen. Neben den diversen anderen Projekten blicken der Leiter IT, Compliance und die Marktbereiche schon wieder auf die diversen internen, jährlich anstehenden Assessments und auch Aufsicht und Vorstand wollen über eine Priorisierung/ Darstellung gemäß der vorgegebenen Guidelines informiert werden.
Banker und Banken fühlen sich als Getriebene. Wieso sollten Sie jetzt noch ein abstraktes Thema wie ein Non-Financial Risk -Management (NFR) zusätzlich angehen? Die kurze Antwort: Weil mit einer Bearbeitung gemäß der Struktur im NFR Entscheidungen transparenter und nachhaltbarer werden und Themen effizienter bearbeitet werden. Man erspart sich viel Arbeit und gewinnt Reputation gegenüber verschiedenen Stakeholdern (Kunden, Aufsicht, Management).
Digitalisierung als Antrieb
Mit bekannten Produkten bzw. auf existierenden Märkten können keine großen Margen erzielt werden. Innovation und Differenzierung enden jedoch nicht am Markt, sondern existieren auch in der internen Steuerung. Mit der Digitalisierung werden nicht nur Prozesse standardisiert und beschleunigt, sondern es wird auch eine Agilität von (Produkt-)Bausteinen erreicht, die ebenfalls zum Wandel von Kontrollsystemen führen müssen. Innerhalb von kürzeren und schwerer vergleichbaren Produktlebenszyklen kompensiert die Skalierung und damit hohes Volumen die geringere Marge mit entsprechend hohen Anforderungen an die (nun automatisierten) Kontroll- und Steuerungsmechanismen.
Dass sich eine stärker automatisierte, d.h. algorithmisierte Bank nicht mehr aus dem Bauch heraus steuert, wird von der Aufsicht auch wahrgenommen. Sie wendet die Prüfungsansprüche für den ICAAP bezüglich finanzieller Risiken zunehmend auch für nicht-finanzielle Risiken an.
NFR nur OpRisk 2.0?
Während für finanzielle Risiken lange Erfahrungen und Vergleichsdaten existieren und Limitsysteme sowie Abgrenzungen und Steuerungen erprobt wurden, wurde das operationelle Risiko in Basel II zunächst als Restkategorie gesehen. Obwohl man später Ereignisse und Ursachen in Kategorien eingeteilt hat, ist weder die Vollständigkeit noch eine Vermeidung der Doppelzählung von Ereignissen und Szenarien sichergestellt. Da von verschiedenen Ebenen wie Ursachen (z.B. BSI Katalog, Naturereignisse), Prozess (defekte) oder Ressourcen (z.B. HR) gefragt wird, werden mögliche Ereignisse in Assessments einerseits mehrfach und aus verschiedenen Perspektiven oder auch gar nicht erfasst. Nicht nur die Marktbereiche wundern sich über die Weiterverwendung sehr ähnlicher Fragen im BCM, IT-Risiko und im OpRisk-Self-Assessment, sondern auch dem Management werden verschiedene Berichte präsentiert, deren Gesamtaussage und Empfehlungscharakter schwer abzulesen ist.
Der versicherungstechnische Ansatz (Schadenshöhe und Wahrscheinlichkeit) und die Nähe von Indikatoren zu optimierten Prozessen und Ansätzen (Six Sigma etc.) können zwar sinnvoll kombiniert werden, aber nur dann, wenn man in der Taxonomie weiß, von was für Begriffen bzw. Ereignissen man spricht. Analog zum Shift von der Messung und Limitierung eines Verlust VaRs auf Gesamtbankebene, haben sich verschiedene Arten von Daten und Risikotreibern entwickelt (z.B. IT-Risiken vs. strategische oder Modellrisiken), die ebenso auch eine Methodenvielfalt mit sich bringen.
Die Risikoinventur basiert in der Regel auf der finanziellen Vermögenslage und wird auf entsprechende Schäden angewendet. Sollte sie nicht auch für die nicht-finanziellen Vermögensgegenstände einer Bank durchgeführt werden?
Dezentral etablierte, unterschiedliche Mechanismen der Steuerung (IT-Sicherheit vs. Compliance vs. Projektrisiken) können dabei wiederverwendet werden. Es sollte nur eine Überführung in ein Gesamtkonzept, d.h. Daten, Methoden, Prozesse & Organisation, vorgenommen werden, da sonst eine effektive Entscheidung für das Management, also z.B. Abwägen verschiedener Auswirkungen, Definition eines Risikoappetits, gar nicht mehr möglich ist.
Warum sollte man das jetzt tun?
Die Transparenz ist nicht nur für ein entscheidungsrelevantes Reporting hilfreich, auch Maßnahmen können sinnvoll abgewogen werden und eine Methodik der Messung kann erst in der Abgrenzung entstehen. Wenn die Wertschöpfungsketten extern zerlegt werden, man aber intern noch nicht mal sagen kann, wie die Risiken auf mögliche Schäden wirken, kann man Entscheidungen (z.B. Umfang der IT Sicherheit und an welchen Stellen) kaum abwägen und nachvollziehbar treffen.
Ein konsistentes Berichtswesen hilft nicht nur zur Erfüllung von BCBS 239, was das nicht für alle Institute gleichermaßen relevant ist, sondern es werden operativ auch Doppelbefragungen reduziert und Inkonsistenzen vermieden. Eine im Gegensatz zu den relevanten Benchmarks schlechte Governance wird zunehmend auch über SREP Aufschläge bestraft. Durch neue Schadensfälle erweitert sich der Fokus der Aufsicht auf neue Subrisikoarten (z.B. Conduct Risk vor ein paar Jahren, jetzt Cyber Risk & IT-Sicherheit, später vielleicht noch mehr Projektrisiken). Auch hier drohen nicht nur im Rahmen von Szenariovorgaben der Aufsicht unnötige Doppelanrechnungen oder Kapitalzuschläge, sofern man nicht zeigen kann wie man diese Risiken im Griff hat. Wie ich meine Risikoposition dann ‘hedge‘ oder auch absichere durch bestimmte Ablaufpläne in Krisenszenarien ohne effektiv vorab viele Zusatzkosten zu investieren, ist auch erst auf Basis der Transparenz im NFR-Management sicherzustellen.
Fazit: Wie soll ich als NFR-Manager mit dem Thema umgehen?
Ob aus dem OpRisk (Modelle vs. Prozesse), Compliance (Jurist vs. betriebswirtschaftlicher Banker) oder IT-Bereich (Run bzw. Techniker vs. Change-Architekt) kommend: In jedem Bereich gibt es verschiedene Schwerpunkte der Erfahrungen und Hintergründe, die Aspekte des breiten Themas für einen eher zugänglich machen, während andere schwerer zugänglich sind und sich ergänzen können.
Am Anfang jedes erfolgreichen Projektes steht der Wille, gemeinsam die Veränderung herbeizuführen, trotz (notwendigerweise) verschiedener Rollen und Hintergründe, die man einbringt.
Dem Management wird mit der Kombination folgender Expertisen geholfen:
- Digitalisierung, zum Verständnis wie sich Geschäftsmodelle verändern
- Erfahrungen in verschiedenen Verfahren operationeller Effizienz, zur Steuerung der Zielorientierung des Vorhabens
- allgemeine Umsetzungskompetenz in technischen Systemen (IT Management)
Innerhalb der Bank werden Mitarbeiter aus verschiedenen Bereichen (z.B. Compliance, IT, Risikomanagement) gemeinsam den Mehrwert für die Bank dann passend für das Institut umsetzen können.
Ob es dann zu einer Anwendung moderner Mess- und Steuerungsansätze, wie neuronaler Netze auf Basis verbesserter Datengrundlagen (inzwischen auch in der BaFin Perspektiven 2018-1 vertreten), kommen kann, hängt von dem persönlichen Ambitionsniveau der Bank ab. Ohne die Fähigkeit, eine Aussage im NFR zu den ICAAP Themen Risikodefinition bzw. -identifikation, Risikoappetit, Risikostrategie, Risikomessung und -abgrenzung sowie der Szenariofähigkeit zu treffen, wird man wohl 2020 kaum eine Prüfung des Risikomanagements einwandfrei überstehen.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.