Non-Financial Risk – nicht so wichtig?

Frank Neumann, Leiter Risikosteuerung/Compliance, Kreissparkasse Sigmaringen

Grob vereinfacht umfasst der Bereich der Non-Financial Risk die folgenden Risikobegriffe:

• Reputationsrisiken
• sonstige operationelle Risiken
• IT-/Cyber-Risiken
• Compliance-Risiken
• strategische Risiken
• (Modellrisiken)

Erkennbar wird allein aus der Aufzählung, dass diverse Risikoarten eher weniger im traditionellen Fokus des Risikomanagements einer Bank stehen. Aus Perspektive der Bankenaufsicht ist dies kein auf Dauer haltbarer Zustand. Die Aufsicht hat daher konsequenterweise in ihren „Risiken im Fokus^[1]” 2022 mit „Cyberrisiken” und „Risiken aus unzureichender Geldwäscheprävention” zwei der sechs genannten Risiken aus diesem Bereich in den Fokus gestellt. Bereits vor der Schwerpunktsetzung verweis die Aufsicht auf die hohe Bedeutung dieser Risiken:

„Wir als Aufsicht haben ein hohes Interesse daran, dass Kreditinstitute Non-Financial Risks angemessen managen. Denn diese Risiken bedrohen einzelne Banken im Kern, aber auch die Finanzstabilität als Ganzes. Daher nehmen die Aufsichtsbehörden Non-Financial Risks immer stärker in den Fokus.^[2]“

Leider verdeutlichen die Entwicklungen der zurückliegenden Monate, z. B. Geldwäscheskandale der Credit Suisse, die hohe Managementrelevanz des Risikomanagements dieser Risikoarten.

Ein Grundproblem beim Compliance (Risk) Management ist die fragmentierte Aufgabenstrukturierung durch die aufsichtlich geforderte Benennung von „Beauftragten”. Diese grundsätzlich nachvollziehbare aufsichtliche Praxis führt dazu, dass sein zentraler vom OP Risk Controlling ausgehender ganzheitlicher Ansatz, z. B. zur Risiko(früh)erkennung und Bewertung, erheblich erschwert wird. Mit sinkender Unternehmensgröße ist häufig durch eine „Ämterhäufung” eine sinkende Professionalisierungsmöglichkeit feststellbar. Die erste Aufgabe besteht deswegen häufig darin, einen Überblick über die eingesetzten Methoden und Verfahren zu gewinnen und Wissen zu vernetzen. Folgende Kernfragen sind praxisbewährt:

• Was ist relevant? Ab wann ist es relevant?
• Wann wird es erfasst und wo? Wird kommuniziert/berichtet?
• Wird quantifiziert (z. B. zur Priorisierung)? Mit welchen Verfahren wird quantifiziert?

In diversen Studien renommierter Beratungshäuser werden neben der Grundlagenarbeit die in der Folge aufgeführten kritischen Erfolgsfaktoren für ein wirkungsvolles Risikomanagement genannt. Grundvoraussetzung und damit weniger im Zugriff des Risikomanagements, jedoch entscheidend durch die aufsichtliche Aufmerksamkeit „gefördert“, ist der „tone from the top“ – die Risikokultur. Werden bspw. Risiko-, Validierungs- und Tätigkeitsberichte als eine lästige Pflicht oder Chance der Weiterentwicklung begriffen? Wie umfassend und qualitativ hochwertig ist die Ressourcenausstattung?

Weitere kritische Erfolgsfaktoren sind:

• Vernetzung/Kongruenz der Methodiken und Betragsgrenzen in allen Beauftragtenfunktionen und dem OP Risk-Risikomanagement,
• Transparenz über Risikoeintritte, Mängel aus Kontrollen und Vor-Ort-Prüfungen, genutzte Methoden und Risikomanagementzielen der Bank,
• Sinnvolles Stresstesting/Denken in Szenarien im Sinne von Wirkungsketten,
• Betrachtung als kontinuierlichen Prozess bestehend aus Identifikation, Bewertung und Steuerung inclusive Berichtswesen.

Neben der Betrachtung im Rahmen des Risikomanagements sollte die aufsichtliche Relevanz der Themen für die originäre Arbeit im Risikomanagement bei der Entscheidung für oder gegen ein NFR-Risikomanagement sowie dessen Ausgestaltung berücksichtigt werden. Governance, Geldwäscheprävention sowie WP-Compliance sind Teile des SREP und auch Gegenstand des jährlichen Aufsichtsgesprächs. Wenn auch ggf. mit gewissem Zeitverzug – die Grundfrage bleibt: Compliance ist teuer – und Non Compliance? Nach Auffassung des Autors ist daher die Befassung mit dieser im ersten Moment für Controller untypischen Arbeitsweise von Beauftragten durchaus lohnenswert und sinnstiftend.

Non-Financial Risk können existenzbedrohend auch für klassische mittelständische KI sein. Es gibt aktuell nur bedingt etablierte Standards im Riskmanagement, die Notwendigkeit und Bedeutung hierfür steigt aber rasant. Losgelöst von aufsichtlichen Notwendigkeiten und betriebswirtschaftlicher Sinnhaftigkeit ist der Umgang mit NFR ein leicht verständlicher und gut deutbarer Spiegel der internen Risikokultur.

PRAXISTIPPS

• Risikomanagement ist Managementaufgabe – klären Sie vor einer tieferen Befassung die Bereitschaft zum Risikomanagement mit dem Management ab.
• Risikomanagement ist in weiten Teilen in der 2. Linie verortet – wie sind die Vernetzungen der Aktivitäten von ZORC und Beauftragtenwesen?
• Denken Sie in Szenarien – das macht Dinge begreifbar.
• BCM/Notfallmanagement „kommen neu ins Spiel“ mit eigenen Berichten – Einbindung sinnvoll, da hier für viele NFR bereits sinnvolle Extremszenarien gedacht werden.
• Risikoinventur/Validierungshandlungen sind sinnvoll und bilden ein gutes Bindeglied.