Dienstag, 17. Januar 2023

Non-Financial Risk – nicht so wichtig?

Frank Neumann, Leiter Risikosteuerung/Compliance, Kreissparkasse Sigmaringen

 

Grob vereinfacht umfasst der Bereich der Non-Financial Risk die folgenden Risikobegriffe:

  • Reputationsrisiken
  • sonstige operationelle Risiken
  • IT-/Cyber-Risiken
  • Compliance-Risiken
  • strategische Risiken
  • (Modellrisiken)


Erkennbar wird allein aus der Aufzählung, dass diverse Risikoarten eher weniger im traditionellen Fokus des Risikomanagements einer Bank stehen. Aus Perspektive der Bankenaufsicht ist dies kein auf Dauer haltbarer Zustand. Die Aufsicht hat daher konsequenterweise in ihren „Risiken im Fokus[1]” 2022 mit „Cyberrisiken” und „Risiken aus unzureichender Geldwäscheprävention” zwei der sechs genannten Risiken aus diesem Bereich in den Fokus gestellt. Bereits vor der Schwerpunktsetzung verweis die Aufsicht auf die hohe Bedeutung dieser Risiken:


„Wir als Aufsicht haben ein hohes Interesse daran, dass Kreditinstitute Non-Financial Risks angemessen managen. Denn diese Risiken bedrohen einzelne Banken im Kern, aber auch die Finanzstabilität als Ganzes. Daher nehmen die Aufsichtsbehörden Non-Financial Risks immer stärker in den Fokus.[2]


Leider verdeutlichen die Entwicklungen der zurückliegenden Monate, z. B. Geldwäscheskandale der Credit Suisse, die hohe Managementrelevanz des Risikomanagements dieser Risikoarten.


Ein Grundproblem beim Compliance (Risk) Management ist die fragmentierte Aufgabenstrukturierung durch die aufsichtlich geforderte Benennung von „Beauftragten”. Diese grundsätzlich nachvollziehbare aufsichtliche Praxis führt dazu, dass sein zentraler vom OP Risk Controlling ausgehender ganzheitlicher Ansatz, z. B. zur Risiko(früh)erkennung und Bewertung, erheblich erschwert wird. Mit sinkender Unternehmensgröße ist häufig durch eine „Ämterhäufung” eine sinkende Professionalisierungsmöglichkeit feststellbar. Die erste Aufgabe besteht deswegen häufig darin, einen Überblick über die eingesetzten Methoden und Verfahren zu gewinnen und Wissen zu vernetzen. Folgende Kernfragen sind praxisbewährt:

 

  • Was ist relevant? Ab wann ist es relevant?
  • Wann wird es erfasst und wo? Wird kommuniziert/berichtet?
  • Wird quantifiziert (z. B. zur Priorisierung)? Mit welchen Verfahren wird quantifiziert?

 

In diversen Studien renommierter Beratungshäuser werden neben der Grundlagenarbeit die in der Folge aufgeführten kritischen Erfolgsfaktoren für ein wirkungsvolles Risikomanagement genannt. Grundvoraussetzung und damit weniger im Zugriff des Risikomanagements, jedoch entscheidend durch die aufsichtliche Aufmerksamkeit „gefördert“, ist der „tone from the top“ – die Risikokultur. Werden bspw. Risiko-, Validierungs- und Tätigkeitsberichte als eine lästige Pflicht oder Chance der Weiterentwicklung begriffen? Wie umfassend und qualitativ hochwertig ist die Ressourcenausstattung?


Weitere kritische Erfolgsfaktoren sind:

  • Vernetzung/Kongruenz der Methodiken und Betragsgrenzen in allen Beauftragtenfunktionen und dem OP Risk-Risikomanagement,
  • Transparenz über Risikoeintritte, Mängel aus Kontrollen und Vor-Ort-Prüfungen, genutzte Methoden und Risikomanagementzielen der Bank,
  • Sinnvolles Stresstesting/Denken in Szenarien im Sinne von Wirkungsketten,
  • Betrachtung als kontinuierlichen Prozess bestehend aus Identifikation, Bewertung und Steuerung inclusive Berichtswesen.


Neben der Betrachtung im Rahmen des Risikomanagements sollte die aufsichtliche Relevanz der Themen für die originäre Arbeit im Risikomanagement bei der Entscheidung für oder gegen ein NFR-Risikomanagement sowie dessen Ausgestaltung berücksichtigt werden. Governance, Geldwäscheprävention sowie WP-Compliance sind Teile des SREP und auch Gegenstand des jährlichen Aufsichtsgesprächs. Wenn auch ggf. mit gewissem Zeitverzug – die Grundfrage bleibt: Compliance ist teuer – und Non Compliance? Nach Auffassung des Autors ist daher die Befassung mit dieser im ersten Moment für Controller untypischen Arbeitsweise von Beauftragten durchaus lohnenswert und sinnstiftend.

 

Non-Financial Risk können existenzbedrohend auch für klassische mittelständische KI sein. Es gibt aktuell nur bedingt etablierte Standards im Riskmanagement, die Notwendigkeit und Bedeutung hierfür steigt aber rasant. Losgelöst von aufsichtlichen Notwendigkeiten und betriebswirtschaftlicher Sinnhaftigkeit ist der Umgang mit NFR ein leicht verständlicher und gut deutbarer Spiegel der internen Risikokultur.

 

PRAXISTIPPS

  • Risikomanagement ist Managementaufgabe – klären Sie vor einer tieferen Befassung die Bereitschaft zum Risikomanagement mit dem Management ab.
  • Risikomanagement ist in weiten Teilen in der 2. Linie verortet – wie sind die Vernetzungen der Aktivitäten von ZORC und Beauftragtenwesen?
  • Denken Sie in Szenarien – das macht Dinge begreifbar.
  • BCM/Notfallmanagement „kommen neu ins Spiel“ mit eigenen Berichten – Einbindung sinnvoll, da hier für viele NFR bereits sinnvolle Extremszenarien gedacht werden.
  • Risikoinventur/Validierungshandlungen sind sinnvoll und bilden ein gutes Bindeglied.


[1] Frühere Bezeichnung Aufsichtsschwerpunkte.

[2] Quelle: Steuerung von Non-Financial Risks als Managementaufgabe; Rede bei der 8. Aufsichtsrechtlichen Fachtagung der Hochschule der Deutschen Bundesbank; Prof. Dr. Joachim Wuermeling Mitglied des Vorstands der Deutschen Bundesbank; 02.10.2020.


Beitragsnummer: 21982

Beitrag teilen:

Produkte zum Thema:

Produkticon
Zertifizierter Spezialist Operationelle Risiken (FCH)

1.716,00 € exkl. 19 %

23.10.2023 - 26.10.2023

Beiträge zum Thema:

Beitragsicon
Angemessenheitsprüfungen für Methoden im Risikomanagement

Eine Routinetätigkeit? Wieviel Ehrlichkeit ist zulässig? Anmerkungen aus der Praxis zur Ausgestaltung

16.01.2023

Beitragsicon
Risikomanagement von Non-Financial Risks (NFR)

Verglichen mit den Verfahren zur Messung und Steuerung der finanziellen Risiken sind Risikomanagement-Ansätze im NFR-Bereich regelmäßig weniger fortgeschritten

19.07.2021

Beitragsicon
Neuer Standardansatz für operationelle Risiken gem. CRR III

Herausforderungen bei der Umsetzung des neuen OpRisk-Standardansatzes.

28.07.2022

Beitragsicon
Notfallmanagement 2.0

Die MaRisk/BAIT geben neue Anforderungen an das (IT-)Notfallmanagement vor. Die Maßnahmen erstrecken sich auf die zeitkritischen Geschäftsprozesse.

10.06.2022

Beitragsicon
GwG – Der risikobasierte Ansatz

Risikobasierter Ansatz: Umsetzung der neuen Geldwäscheanforderungen der BaFin-AuA-BT-KI im Zusammenspiel mit der Novellierung des GwG zum 01.08.2021

20.12.2022

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.