DIGITALISIERUNG Methoden
DIGITALISIERUNG Methoden zur Adressierung der Schwachstellen des RCSAs Die Liste der Schwachpunkte des RCSAs und ihrer Gegenmaßnahmen übersteigt den Rahmen dieses Beitrags (für eine detailliertere Darstellung sei auf die Fußnote 3 verwiesen). Aus diesem Grund sollen hier lediglich zwei kombinierbare Methoden besprochen werden, die einerseits hinsichtlich der aufgeführten Problematiken wirksam und andererseits bezüglich der fortschreitenden Digitalisierung des Risikomanagements sinnvoll erscheinen. Das erste in diesem Zusammenhang zu nennende Instrument ist der Risk Scoping Questionnaire (RSQ). Der RSQ kommt idealerweise bei der Entscheidung über den richtigen Rahmen eines RCSAs (das sog. Scoping) zum Einsatz, was oft einer der ersten Schritte ist. Hierbei wird unter anderem bestimmt, welche Risikoarten relevant erscheinen, und folglich, welche Experten für eine fachgerechte Einschätzung hinzuzuziehen sind. Einige Finanzinstitute, die keinen RSQ verwenden, überlassen dies unter anderem den Risikoverantwortlichen, die dann – ggf. unterstützt von Richtlinien – selbst über den Einbezug der richtigen SpezialistInnen bestimmen. Abhängig von Erfahrung, Motivation und Zeitdruck kann dies allerdings zu inkonsistenten Entscheidungen führen, was diesen Ansatz anfällig für den Einbezug von zu wenigen Spezialisten macht. Grund hierfür kann beispielsweise fehlendes Fachwissen zu bestimmten Risikoarten sein, weswegen ihre Relevanz nicht erkannt wird. Übergreifend betrachtet, birgt dies das Risiko eines unscharfen und unzuverlässigen Risikoprofils, das auch offen für eine systematische Unterschätzung von Risikoarten aufgrund von fehlendem Training ist. Allerdings kann Unsicherheit der Risikoverantwortlichen ebenfalls dazu führen, dass unabhängig von der Sachlage alle Spezialisten involviert werden, was die Gefahr von Risikomanagement „von allem und nichts“ nach Power birgt. Andere Institute bevorzugen dagegen, einen festen und breiten Kreis an Spezialisten in jedes RCSA einzubeziehen, der die gesamte Risikotaxonomie der Bank abdecken kann. Dies kann den Gesamtprozess erheblich verlangsamen, und auch dieses Vorgehen birgt das Risiko eines zu granularen RCSA-Ansatzes. Der RSQ zielt darauf ab, beide Szenarien zu vermeiden. Dazu nutzt er eine Reihe von Filterfragen, die darüber bestimmen, welche SpezialistInnen zugezogen werden. Beispielsweise ist der Einbezug von Modellrisikoexperten nur dann sinnvoll, wenn ein Produkt, das im Rahmen eines RCSAs behandelt wird, in relevanter Weise in Beziehung zu den Modellen der Bank steht. Für Nicht-Experten kann dies jedoch schwer zu beurteilen sein. Mit einer Reihe von leicht verständlichen Filterfragen jedoch, die den Einbezug des Modellrisikoexperten ein- oder ausschließen, können Banken wichtige Entscheidungen hinsichtlich dieser Einbeziehung standardisieren und 44 04 | 2022
SCHWERPUNKT DIGITALISIERUNG OPRISK-FORUM FAZIT Es kann davon ausgegangen werden, dass das durch die Covid-19-Pandemie induzierte Work from Home (WFH) wahrscheinlich eher negative Auswirkungen auf die Art und Weise hat, wie Banken nichtfinanzielle Risiken erkennen, bewerten und steuern. Grund hierfür ist, dass WFH negativ auf Schwachpunkte des RCSAs einwirkt, das ein wesentliches Instrument des nichtfinanziellen Risikomanagements ist. Die Kombination des RSQs mit dem Risikoregister kann allerdings eine wichtige Rolle bei der Mitigation dessen spielen und den RCSA- Prozess darüber hinaus konsistenter und effizienter gestalten. Abgesehen davon erscheinen diese Methoden auch aus strategischer Sicht empfehlenswert, da sie den Grundstein für eine weitgehende Automatisierung des RCSA-Prozesses legen, was insbesondere im Zug der fortschreitenden Digitalisierung sinnvoll erscheint. automatisieren. Auf diese Weise werden SpezialistInnen involviert, wo sie gebraucht werden, und somit sowohl ein zu granularer als auch ein zu oberflächlicher Ansatz vermieden. Das zweite Instrument ist das Risikoregister. Risikoregister sind Verzeichnisse aller relevanten Risiken eines Finanzinstituts, in die beispielsweise Informationen aus Risikodatenbanken sowie Verlustdatenbanken einfließen können. Durch die Kombination des Risikoregisters mit dem RSQ können Finanzinstitute einen Vorbefüllungsmechanismus im RCSA-Prozess etablieren. Unter Vorbefüllung wird das automatisierte Einsetzen von Daten in Tools und/oder Systeme verstanden, die im RCSA Prozess verwendet werden. Diese automatische Vorbefüllung kann an die Beantwortung von Fragen im RSQ geknüpft werden. Als konkretes Beispiel könnte eine „Ja“-Antwort auf die hypothetische RSQ-Frage „Beinhaltet dieses Produkt direkte Kommunikation mit Kunden?“ die automatische Befüllung des RCSA-Tools mit generischen Risikobeschreibungen wie „Risiko der Verletzungen von Datenschutz-Anforderungen“ auslösen. Neben den Risikobeschreibungen können auch andere relevante Schlüsselinformationen wie typische Ursachen angezeigt werden und so eine erste Diskussionsbasis mit einem Informationssicherheitsexperten bieten, der durch den RSQ veranlasst, zu konsultieren ist. Die Kombination des Registers mit dem RSQ erhöht sowohl die Konsistenz als auch die Effizienz des RCSA-Prozesses. Darüber hinaus unterstützen beide Instrumente langfristig das Risikobewusstsein in der Organisation, da sich die Risikoverantwortlichen an die relevanten Fragen für die verschiedenen Risikoarten gewöhnen und durch das Register konkrete Beispiele kennenlernen. Auch die negativen Einflüsse, die durch WFH zu erwarten sind, werden durch beide Methoden abgemildert. Einerseits kann davon ausgegangen werden, dass der RSQ-Ansatz soziales Faulenzen verringert, da ExpertInnen gezielt für spezifische Aufgaben eingebunden werden. Ihr individueller Beitrag für diese Aufgaben ist wichtig, transparent und direkt auf sie zurückführbar, was dem Auftreten von sozialem Faulenzen entgegenwirkt. Wird beispielsweise ein Modellrisikospezialist – durch den RSQ ausgelöst – in ein RCSA eingebunden, ist sowohl evident, dass ein Modellrisiko vorliegen könnte und dass dieser Spezialist verantwortlich dafür ist, dies genauer einzuschätzen. Diese klare Verantwortlichkeit kann auch hilfreich dafür sein, negativen Auswirkungen des Konformitätsdrucks entgegenzuwirken und Spezialisten noch mehr dazu zu motivieren, die adäquate Berücksichtigung ihrer Expertenmeinung im RCSA sicherzustellen. Andererseits kann der Vorbefüllungsmechanismus dazu beitragen, den Einfluss der oben erwähnten Urteilsverzerrungen zu verringern. Vor allem Availability- und Conformation Bias könnten reduziert werden, da das Durcharbeiten der vorbefüllten Risiken die Verfügbarkeit weniger aktueller Informationen erhöht und die Teilnehmenden auch mit Daten konfrontiert, die ihren bestehenden Ansichten widersprechen. Autor Jonas Hampl ist Senior Business Risk and Controls Analyst der Danske Bank und Experte für Risikobewertung im Neuproduktprozess sowie Risikokultur. 1 Vgl. Bloom N, Liang, J., Roberts J. and Ying Z.J., 2015, „Does Working from Home Work? Evidence from a Chinese Experiment”, The Quarterly Journal of Economics, 130(1), February, pp 165–218. 2 Beispielsweise Kniffin, K. M., Narayanan, J. et al.,2020. „COVID-19 and the Workplace: Implications, Issues, and Insights for Future Research and Action”, American Psychologist, 76(1), pp 63–77. 3 Vgl. dazu: Hampl, J. and Sax, J., 2021, „Old but gold? Mastering the RCSA despite Covid-19” in Kaiser, T. (Hg) „Non-Financial Risk Management: Emerging stronger after COVID-19”; Risk Books, London, pp 209- 236. 4 Power, M., 2004, „The Risk Management of Everything”, The Journal of Risk Finance, 5(3), pp 58–65 und Power, M., 2009, „The Risk Management of Nothing”, Accounting, Organization and Society, 34(6–7), pp 849–55. Der Autor dankt Johanna Cecilia Sax für ihre Unterstützung bei der Erstellung dieses Beitrags. Der Beitrag beruht auf einem Kapitel aus dem Buch „Non-Financial Risk Management. Emerging stronger after Covid-19”, edited by Thomas Kaiser, 2021. Unsere Leser können bei der Redaktion eine umfangreiche Liste mit Literaturempfehlungen der Autoren zu diesem Thema anfordern. 04 | 2022 45
