Aufrufe
vor 5 Jahren

die bank 02 // 2017

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MANAGEMENT NON-FINANCIAL

MANAGEMENT NON-FINANCIAL RISKS Risikoüberwachung noch nicht ausgereift Non-Financial Risks führen in Einzelfällen bereits zu größeren Verlusten als die klassischen finanziellen Risiken und bedürfen deshalb einer gesonderten Behandlung. Gründe hierfür sind u. a. die stärkere Nutzung und Abhängigkeit von IT-Systemen, aggressive Geschäftsstrategien aufgrund des aktuell ungünstigen Geschäftsumfelds (Niedrigzinspolitik) sowie die weiter zunehmende Nutzung von Social Media und die damit verbundene schnellere Verbreitung von Nachrichten. Das Risikomanagement in Banken konzentrierte sich lange Zeit primär auf die finanziellen Risiken, d. h. Liquiditäts-, Kredit- und Marktrisiko. In jüngerer Zeit hat sich diese Sichtweise allerdings mehr und mehr erweitert. Die eingetretenen Verluste und Rückstellungen für Kompensations- und Strafzahlungen aus Rechtsstreitigkeiten haben bei manchen Banken die Abschreibungsbeträge für Kreditausfälle übertroffen. Es wird daher kaum verwundern, dass dem Management von nicht-finanziellen Risiken heute eine weit größere Bedeutung zukommt. Eine Umfrage unter führenden deutschen Finanzinstituten hat sich zum Ziel gesetzt, den Umsetzungsgrad und die Weiterentwicklung von Non-Financial-Risk-Rahmenwerken zu analysieren. Von den befragten Banken wird die Hälfte direkt von der EZB beaufsichtigt. Sechs der Teilnehmer zählen zu den zehn größten Banken in Deutschland (gemäß Bilanzsumme per 31. Dezember 2015). Die Bedeutung der Non-Financial Risks lässt sich an den eingetretenen Verlusten und der Berücksichtigung im regulatorischen und ökonomischen Kapital festmachen. Aufgrund der Dominanz von vergangenheitsbezogenen Daten in den meisten Modellen ist der Effekt dort nachlaufend. Der Anteil der Non-Financial Risks an den Gesamtverlusten liegt bei der Hälfte der Institute über 10 Prozent; in Einzelfällen werden mehr als 50 Prozent erreicht. Die RWA liegen bei einem Drittel der Banken über 10 Prozent, wobei Anteile von bis zu 30 Prozent erreicht werden. Der Anteil der Non-Financial Risks am ökonomischen Kapital ist oft höher als bei den RWA; in der Spitze werden bis zu 50 Prozent erreicht. Dies liegt sicherlich einerseits an der breiteren Definition der Risikoarten im ökonomischen Kapital, andererseits an den eingesetzten Verfahren. Zukünftig ist zu erwarten, dass aufgrund von Säule II (namentlich des Supervisory Review and Evaluation Process – SREP) mehr ökonomisches Kapital für Non-Financial Risks vorgehalten werden muss. Dementsprechend sollten Puffer geschaffen werden, die bislang nicht berücksichtigte Non-Financial Risks ausgleichen können. Etwa die Hälfte der Institute erwartet einen Anstieg der RWA, in Einzelfällen eine Erhöhung um mehr als 50 Prozent. Drei Viertel der Studienteilnehmer erwarten insgesamt eine steigende Bedeutung der Non-Financial Risks in den kommenden ein bis drei Jahren. 95 Prozent der befragten Institute planen eine Weiterentwicklung ihres Non-Financial Risk Frameworks. Angegebene Schwerpunkte der Weiterentwicklung sind die Themen Risikokultur, Governance und Risikoreporting. Die Themen Risikosteuerung sowie Verzahnung bzw. Abgrenzung der unterschiedlichen Risk Frameworks für einzelne Unterkategorien der Non-Financial Risks stehen laut Umfrage weniger stark im Fokus. Wie zu erwarten war, sehen die Institute als Motivation für die Weiterentwicklung vor allem die Umsetzung gestiegener regulatorischer Anforderungen. Detailbetrachtung der Unterrisikokategorien Non-Financial Risks setzen sich aus vier Risikoarten – operationelle Risiken, Reputationsrisiken, Geschäftsrisiken und strategische Risiken – zusammen, wobei operationelle Risiken auf zahlreiche Unterrisikokategorien heruntergebrochen werden können. Spezifische Risikomanagementprozesse sind für die operationellen Risiken (übergreifend für sämtliche Unterkategorien) durchgehend und in gut Drei Viertel der Fälle für Reputationsrisiken etabliert. Geschäftsrisiken sowie einzelne länger etablierte Unterkategorien wie etwa Auslagerungsrisiken sind in der Hälfte der Institute Gegenstand spezifischer Risikomanagementprozesse. Bislang weniger etablierte, jedoch bedeutsam gewordene Unterkategorien wie Conduct Risk und Human Resources Risk werden nur in drei bis fünf Fällen separat gesteuert ÿ 1. Das Berichtswesen reflektiert die Bedeutung der Non-Financial Risks noch nicht durchgängig. OpRisk ist die einzige Risikokategorie, die in allen Risikobe- 22 02 // 2017

MANAGEMENT 1 | Risikokategorien und Risikomanagement-Prozesse Reputational Risk 11 5 richten aufgeführt ist. Die übrigen Risikoarten sind nur teilweise enthalten. Risikokategorien mit eigenständigen Risikosteuerungsprozessen werden nur in ungefähr der Hälfte der Fälle berichtet. Ein Ad-hoc-Berichtswesen für Non-Financial Risks ist nicht durchgehend vorhanden. Quelle: KPMG. Strategic Risk Operational Risk (General) Business Risk Compliance Risk Information Security Risk IT Failure Risk Outsourcing Risk Business Continuity Risk Conduct Risk Cyber Risk Data Protection Risk Fraud Risk HR Risk Legal Risk Model Risk Project Risk Regulatory Risk Tax Risk Andere 0 3 2 1 3 4 4 2 1 1 3 2 2 2 3 2 1 3 3 3 2 4 10 5 8 6 9 6 5 6 8 6 7 7 20 3 Risikogovernance Mit dem „Three Lines of Defence“-Konzept wird eine saubere Trennung der Rollen und Verantwortlichkeiten befördert. Die Verantwortung für die Risikosteuerung liegt in den meisten Instituten bei den Geschäftseinheiten, teilweise in Kombination mit Spezialbereichen wie beispielsweise Recht und Compliance. Auffällig ist die Ansiedlung der primären Risikosteuerungsverantwortung beim Risikocontrolling in bis zu einem Viertel der Fälle, je nach Risikokategorie, welches mit der Unabhängigkeit der Risikocontrolling-Funktion schwer vereinbar ist. Die Risikoüberwachung liegt erwartungsgemäß überwiegend im Bereich des CRO (Chief Risk Officer), teilweise in Kombination mit den Bereichen des COO (Chief Operating Officer) und CEO (Chief Executive Officer). In Einzelfällen ist die Verortung der Risikoüberwachung noch nicht definiert. Non-Financial Risks müssen über aussagekräftige Risikostrategien und klar definierte Vorgaben zum Risikoappetit greifbar gemacht werden. Insbesondere operationelle Risiken wurden in der Vergangenheit oft als Säule-I- Risikoart gesehen und somit zu viel Fokus auf die Berechnung der Kapitalanforderungen und zu wenig auf die Steuerung gelegt. Eigenständige Teilstrategien sind für operationelle Risiken (übergreifend) in der Hälfte und für die anderen Kategorien in etwa einem Viertel der Fälle vorhanden. Etwa ein Viertel der Institute integriert Non-Financial Risks in die Gesamtrisikostrategie, anstatt separate Teilstrategien zu entwickeln. Der Risikoappetit wird oft als Mischung aus qualitativen und quantitativen Elementen definiert. Nur eine sehr kleine Zahl der Institute bricht den Risikoappetit für Non-Financial Risks auf Geschäftseinheits-/Abteilungsebene herunter ÿ 2. Eine Weiterentwicklung der Non-Financial Risk Frameworks sollte neben der Berücksichtigung aufsichtsrechtlicher Vorgaben betriebswirtschaftlich motiviert sein (Verlustvermeidung, Effizienzsteigerung etc.). Eine Vereinheitlichung von Methoden über Unterkategorien hinweg ist der Schlüssel zu qualitativ höherwertigen Steuerungsinformationen so- 0 Eigenständiger Risikomanagement-Prozess und Bestandteil des CRO-Berichts Eigenständiger Risikomanagement-Prozess und kein Bestandteil des CRO-Berichts 02 // 2017 23

die bank