Aufrufe
vor 1 Jahr

die bank 04 // 2022

  • Text
  • Wwwbankverlagde
  • Schwerpunkt
  • Mitarbeiter
  • Risiko
  • Befragten
  • Conduct
  • Markt
  • Auswirkungen
  • Unternehmen
  • Risiken
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MARKT SCHWERPUNKT

MARKT SCHWERPUNKT OPRISK-FORUM ell überlegen, da sie über dieses eine, mächtige(?) Instrument verfügen: ein Value-at-Risk-Modell. Zusätzlich zu dem Ansatz, den einige übergeordnete Bereiche für nichtfinanzielles Risikomanagement haben, sehen die verschiedenen Disziplinen (wie Compliance, Informationssicherheit, Business Continuity Management u. v. a. m. ) – manchmal getrieben durch sehr spezielle regulatorische Anforderungen – die Notwendigkeit, ihre eigene Version von z. B. Self Assessments zu entwickeln. Daher ist es wichtig, im Detail zu verstehen, was ein Risk & Control Self Assessment (RCSA) oder ähnliches erreichen soll, wie es sich zur Szenario-Analyse verhält und welchen zusätzlichen Nutzen (neben der Einhaltung von Vorschriften) Stresstests bieten könnten. All diese Instrumente sollen eine (qualitative oder halbquantitative) Prognose liefern. Diese sollten (unter Beachtung des Ankereffekts und anderer psychologischer Phänomene) mit den historischen Daten innerhalb (interne Verlustdaten) oder außerhalb (externe Verlustdaten) der Organisation verglichen werden. Es kann auch sinnvoll sein, die Veränderungen des Risikoprofils zu verfolgen, indem man die definierten Risiko-Indikatoren im Auge behält. Was bei finanziellen Risiken als heiliger Gral des Risikomanagements gilt, scheint bei nichtfinanziellen Risiken einen schweren Stand zu haben; mit dem bevorstehenden Wegfall der Modelle zur Berechnung des regulatorischen Eigenkapitals ist der Schwung verloren gegangen, Modelle weiterzuentwickeln, die einst für den fortgeschrittenen Messansatz (AMA) entwickelt wurden. Die Durchführung all dieser Bewertungen ist auf Daten angewiesen und erzeugt wiederum Daten, die irgendwo gespeichert werden müssen, um sie weiter zu nutzen. Hier liegt ein weiteres nichtfinanzielles Risiko innerhalb des nichtfinanziellen Risikos: Sehr oft ist diese Datenspeicherung weder sicher noch auf eine längerfristige Nutzung ausgerichtet, ganz zu schweigen von wirklich fortschrittlichen Dingen, wie dem Versuch, Informationen über verschiedene Systeme hinweg abzugleichen. Und schließlich lautet die Frage aller Fragen: „Was bedeutet das für mich (als Manager) in Bezug auf die Risikominderung?“ Die bloße Identifizierung und Bewertung von Risiken und die Speicherung der Ergebnisse in einigen mehr oder weniger professionellen Systemen – und die Erstellung des einen oder anderen Berichts – ändern nicht wirklich etwas am Risikoprofil, oder doch? Information als das neue Gold Wie bereits mehrfach erwähnt, ist das nichtfinanzielle Risiko ein sehr weites Feld. Während das traditionelle OpRisk-Management versucht hat, diese Risikoart als Ganzes zu behandeln, wird immer deutlicher, dass dies nicht wirklich zu zufriedenstellenden Ergebnissen führt, insbesondere wenn es um die Risikominderung geht. Welche Unterkategorien des nichtfinanziellen Risikos sind also Schwerpunktbereiche, die es wert sind, betrachtet zu werden? Wahrscheinlich ist es sinnvoll, diese ein wenig zu gruppieren, wobei sich eine Gruppe mit der IT im weiteren Sinne befasst, eine andere mit den Gesetzen und eine mit den Beziehungen zur Außenwelt. Die IT war bereits in der Vergangenheit wichtig, z. B. in Form von Großrechnersystemen, die alle Kontodaten speichern und Transaktionen verarbeiten. Sie hat sich aber inzwischen zum Kernstück des Bankgeschäfts entwickelt. Vor allem jüngere Kunden haben schon lange vor Covid-19 aufgehört, Bankfilialen zu besuchen. Aus Kostengründen und weil die Kunden immer mehr benutzerfreundliche Apps mit sofortigen Zahlungen und 24/7-Zugang zu Konten und Depots bevorzugen, wurden Filialen in großer Zahl geschlossen. Außerdem haben die Banken begonnen, das zu tun, was im Konsumgütermarketing zur Norm geworden ist: alle verfügbaren Kundendaten zu nutzen, um maßgeschneiderte Lösungen anzubieten. Informationen sind also das neue Gold und müssen geschützt werden, vor allem angesichts der immer strengeren Vorschriften zum Schutz der Privatsphäre. Die IT-Systeme müssen zuverlässig und robust sein und einheitlich funktionieren, anstatt auf Silo-Lösungen für einzelne Anwendungen zu basieren. Und dann ist da noch die Frage der IT-Sicherheit: Cyber-Angriffe werden immer häufiger und raffinierter und verursachen massive Schäden. Es hat sich gezeigt, dass dies kein Bereich ist, den man allein den Technikern überlassen sollte. Es gibt einfach zu viele Fälle, in denen menschliches Verhalten eine sehr wichtige Rolle bei der Bewältigung dieser Art von Risiken spielt – von der Aufklärung der Nutzer von IT- Systemen, keine Anhänge unbekannter Herkunft zu öffnen, bis hin zur frühzeitigen Identifikation von Mitarbeitern, die verärgert genug sein könnten, um mit Betrügern von außen zusammenzuarbeiten. 16 04 | 2022

MARKT Rechtliche Risiken als breites Spektrum Sehen wir uns also den zweiten, rechtsbezogenen Bereich an. Was als „… dies schließt rechtliche Risiken ein“ in der Definition des operationellen Risikos begann, hat sich zu einem viel breiteren Spektrum entwickelt. Historisch gesehen war die Compliance wahrscheinlich die erste Unterkategorie, die ausgegliedert wurde, und heute beschäftigt sie in großen Banken oft mehr Mitarbeiter als die übrigen Unterkategorien zusammen. Dann ist da noch die Frage des Verhaltens oder genauer gesagt, des Fehlverhaltens. Vergleiche mit Kunden – egal ob Privat- oder Firmenkunden –, die Opfer aggressiver Verkaufspraktiken wurden, die nicht ihren Bedürfnissen entsprachen, sind zu den größten Einzelverlusten in der Verlustdatensammlung geworden. Auch hier zeichnet sich ein Muster ab: Es ist zwar wichtig, über juristisch gut ausgebildete Mitarbeiter zu verfügen, die in der Lage sind, mit Klagen professionell umzugehen, aber es ist wohl noch wichtiger, die Ursachen dieser Risiken zu verstehen (die sich oft um eine Mischung aus unangemessenen Anreizsystemen und unverhohlener Gier drehen) und sie aus einem verhaltensbezogenen Blickwinkel heraus zu bekämpfen. Schließlich gibt es Probleme, bei denen die Beziehungen zu externen Parteien eine dominierende Rolle spielen. (Nicht, dass diese in den anderen Gruppen nicht auch wichtig wären.) Zu dieser Gruppe gehören Zulieferer (also Outsourcing im weiteren Sinne) und das Reputationsrisiko. Moral Hazard ist zu einem Schlüsselbegriff im Versicherungsgeschäft geworden, und Ähnliches kann auch für Outsourcing im wei- 04 | 2022 17

die bank