Risikomanagement von Non-Financial Risks (NFR)

Dominik Leichinger, Prüfungsleiter, Referat Bankgeschäftliche Prüfungen 2, Hauptverwaltung in NRW, Deutsche Bundesbank

Die in dieser Publikation vertretenen Auffassungen geben die persönliche Meinung des Autors wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde. 

Bei der Systematisierung von Risikoarten in der Finanzindustrie kann auf oberster Ebene grundsätzlich eine Abgrenzung zwischen finanziellen Risiken (Financial Risks) auf der einen Seite und nicht finanziellen Risiken (Non-Financial Risks) auf der anderen Seite vorgenommen werden. Zu den finanziellen Risiken zählen etwa Adressenausfallrisiken, Marktpreisrisiken oder auch Liquiditätsrisiken. Diesen Risikoarten ist gemein, dass Institute im Sinne der von ihnen übernommenen Transformationsfunktionen bewusst Risiken übernehmen, mit der Absicht eine positive Rendite zu erzielen. Vor dem Hintergrund, dass das Eingehen vorgenannter Risikoarten üblicherweise Kernelemente des Geschäftsmodells eines Instituts darstellen, ist es wenig verwunderlich, dass sich in der Bankenlandschaft seit längerem Industriestandards bzw. Best Practice-Ansätze zur Quantifizierung und Steuerung dieser Risikoarten etabliert haben.

Im Unterschied zu den finanziellen Risiken übernehmen Institute in der Regel keine nicht finanziellen Risiken mit der Zielsetzung eine positive Rendite zu erwirtschaften. Vielmehr sind nicht finanzielle Risiken der Geschäftstätigkeit bzw. den Geschäftsprozessen eines Instituts inhärent. Neben den wohl bekanntesten nicht finanziellen Risiken, den operationellen Risiken, sind etwa auch Reputationsrisiken oder strategische Risiken unter diese zu subsumieren. Verglichen mit den Verfahren zur Messung und Steuerung der finanziellen Risiken sind die Risikomanagement-Ansätze im Bereich der nicht finanziellen Risiken regelmäßig weniger fortgeschritten.

Eine im September 2020 veröffentlichte Studie des Centre for Banking Research (CBR) verdeutlicht das enorme Risikopotential nicht finanzieller Risiken. Allein im Zusammenhang mit Verhaltensrisiken (Conduct Risk) sind den der Studie zugrunde liegenden Instituten (20 international ausgerichtete Institute) im Untersuchungszeitraum von 2008 bis 2018 Gesamtkosten von mehr als 377 Mio. GBP entstanden.[1]

Auch die im Zuge der Corona Pandemie teils intensiv vorangetriebene Digitalisierung von Geschäftsprozessen birgt mit der damit einhergehenden stärkeren Abhängigkeit von IT-Ressourcen entsprechend höhere IT-Risiken. Nicht zuletzt zeigte sich in der Pandemie auch ein größeres Risikopotential hervorgerufen durch Cyberangriffe. Zu diesem Schluss kommt auch das Bundeskriminalamt (BKA) in einer „Sonderauswertung zu Cybercrime in Zeiten der Corona-Pandemie“ [2].

Seitens der Bankenaufsicht besteht die klare Erwartungshaltung, dass Institute sowohl finanzielle als auch nicht finanzielle Risiken angemessen in ihr Risikomanagement-Rahmenwerk integrieren. In den Leitlinien zur internen Governance (EBA/GL/2017/11) wird das Erfordernis zur Berücksichtigung von nicht finanziellen Risiken innerhalb des Risikomanagements explizit adressiert.[3]

Analog zu den finanziellen Risiken ist die stringente Zuordnung von Verantwortlichkeiten für das Risikomanagement entlang des 3-Lines-of-Defense-Konzept, auch im Kontext von nicht finanziellen Risiken, eine essentielle Voraussetzung für dessen Wirksamkeit. Des Weiteren bedeutet eine vollständige Integration von nicht finanziellen Risiken in das Risikomanagement eines Instituts, dass neben der Identifizierung und Bewertung ebenso Steuerungs- und Überwachungsmechanismen sowie nicht zuletzt auch eine entsprechende Berichterstattung aufzusetzen ist.

Darüber hinaus sollten für ein Institut wesentliche nicht finanzielle Risiken einerseits in die Risikostrategie(n) eingebettet werden und andererseits bei der Definition des Risiko-Appetits Berücksichtigung finden.

Da verschiedene nicht finanzielle Risiken, im Vergleich zu den finanziellen Risiken, schwierig zu quantifizieren sind – etwa im Falle von Reputationsrisiken – ist die Bewertung dieser Risiken für Institute mit entsprechenden Herausforderungen verbunden. In ähnlicher Weise verhält es sich mit der Festlegung von geeigneten Risikosteuerungsmerkmalen/-kennzahlen, die üblicherweise auf einer quantitativen Veränderung von Risikofaktoren aufsetzen.

PRAXISTIPPS

• Erweiterung der Risikoinventur um bisher nicht betrachtete Non-Financial Risks.
• Da mit Ausnahme der operationellen Risiken für weitere nicht finanzielle Risiken keine Eigenkapitalvorschriften in der Säule-I bestehen, sind letztere insbesondere innerhalb der ökonomischen Perspektive der Risikotragfähigkeit zu berücksichtigen.
• Mit Blick auf die Schwierigkeiten bei der Quantifizierung von nicht finanziellen Risiken ist die Einbeziehung qualitativer Faktoren für Zwecke der Risikobewertung und Ableitung von Risikosteuerungsimpulsen von hoher Bedeutung.