Aufrufe
vor 5 Jahren

die bank 11 // 2016

  • Text
  • Banken
  • Diebank
  • Mitarbeiter
  • Unternehmen
  • Deutschen
  • Deutlich
  • Anforderungen
  • Entwicklung
  • Deutschland
  • Insbesondere
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT

ó BETRIEBSWIRTSCHAFT Prozesse zur Identifikation der Haupttreiber und Bewertung Zunächst müssen die Haupttreiber sowie die Bedeutung der Stakeholder festgelegt werden. Hierzu eignet sich ein Workshop mit den am RepRisk-Prozess beteiligten Bankmitarbeitern. Einzelne Banken haben bereits Personen benannt, die sich um die jeweiligen Stakeholder kümmern („Stakeholder-Verantwortliche“). Es bietet sich an, diese Personen mit der Bewertung der Relevanz der Haupttreiber für ihre Stakeholder zu betrauen. Die für die 2nd Line of Defence für RepRisk zuständige Einheit (in manchen Banken liegt die Verantwortung nicht im Risikocontrolling, sondern bei Compliance, Unternehmenskommunikation oder anderen Stellen) sollte hierbei koordinierend mitwirken und über die Stakeholder hinweg die Konsistenz sicherstellen. Alle getroffenen Annahmen sollten in einem regelmäßigen Prozess, beispielsweise jährlich, überprüft werden. Nach Abschluss der vorbereitenden Arbeiten kann die eigentliche RepRisk-Bewertung beginnen. Je nach organisatorischem Aufbau, Ressourcenverfügbarkeit und Zielsetzung können verschiedene Durchführungsformen gewählt werden. Hierzu zählt die Verwendung von Fragebögen oder die Durchführung von Interviews bzw. Workshops. Beteiligte Organisationseinheiten bzw. Personen können sein: 2nd Line of Defence für RepRisk, Senior Management, Stakeholder-Verantwortliche, dezentrale RepRisk- Manager, Themenspezialisten etc. Wie im Weiteren in zwei Beispielen illustriert, kann die Bewertung wie folgt geschehen. Für Stakeholder j ergibt sich der Score aus Nachstehendem: Dabei werden die qualitativen Ausprägungen StakeholderBedeutung j , Relevanz i,j (des Haupttreibers i für Stakeholder j) und Ausprägung i (Stärke des Haupttreibers i für ein konkretes RepRisk- Ereignis) durch numerische Werte ersetzt. Der Gesamtscore ergibt sich als Summe der Scores über alle Stakeholder. Zu Vergleichszwecken bietet sich an, die Scores als Prozentsatz des Maximalscores (wenn alle Bestandteile der Formel den Höchstwert annehmen) auszudrücken (sowohl auf Ebene der Stakeholder-Ergebnisse als auch übergreifend). Die Bewertung kann einerseits turnusmäßig (bspw. im Rahmen eines jährlichen RepRisk-Assessments oder einer jährlichen Szenarioanalyse) oder anlassbezogen (Ad-hoc-Bewertung eines aktuellen RepRisk-Ereignisses) erfolgen. 2 Beispielhafte Modellparametrisierung für eine international tätige Universalbank Stakeholder Stakeholder- Bedeutung Kernkompetenz Mögliche Verwendung der Haupttreiber Der RepRisk-Score kann einerseits ex ante in der Risikobewertung (im Rahmen eines Self-Assessment bzw. einer Szenarioanalyse) eingesetzt werden, um abstrakte RepRisk-Ereignisse/ -Kategorien qualitativ zu bewerten. Dies kann dazu dienen, präventive Maßnahmen gemäß dem mutmaßlich größten Nutzen einzusetzen. In der Ex-post-Sicht kann er andererseits mit ein Entscheidungskriterium dafür sein, ob der Krisenstab für ein akutes RepRisk-Ereignis einberufen werden soll bzw. in welchem Ausmaß sonstige reaktive Maßnahmen (bspw. gezielte Kommunikation mit den relevanten Stakeholdern) eingeleitet werden sollten. Ein besonderer Anwendungsfall der Ex-ante-Bewertung ist der Stresstest. In den MaRisk werden regelmäßige und anlassbezogene Stresstests (Ad-hoc-Stresstests) für die wesentlichen Risikoarten verlangt, die Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten widerspiegeln. RepRisk ist bei den meisten Banken als wesentliches Risiko definiert, entsprechend muss auch diese Risikoart hier einbezogen werden. In einigen Banken werden Ad-hoc-Stresstests vom Stresstesting Committee, deren Mitgliedern oder aber direkt vom Top- und Senior-Management initiiert. Sie werden meist von internen oder externen Vorfällen getriggert, die Auswirkungen auf die Bank haben könnten wie z. B. Brexit oder negative Zinsen. Ad-hoc-Stresstests beziehen sich meist auf Inter-Stresstests über alle Risikoarten. Ein Szenario wird in der Bank durchgespielt und die Auswirkungen über alle Risikoarten werden untersucht. Die Bearbeitungszeit für diese Ad-hoc-Stresstests ist unterschiedlich, teilweise aber sehr gering – oft nur wenige Tage. Im Gegensatz zur turnusmäßigen Ermittlung der Top-RepRisks der Bank besteht hier also teilweise nur eine sehr kleine Zeitspan- Verantwortlichkeit Haupttreiber Vertrauen/ Integrität Attraktivität Kunden Hoch Hoch* Mittel Mittel Hoch Mitarbeiter/ Bewerber Mittel Niedrig Mittel Hoch Mittel Aufsicht Hoch Hoch Hoch Mittel Niedrig Eigentümer Mittel Hoch Hoch Mittel Mittel *Beispielhafte Erläuterung: Für den Stakeholder Kunde ist die Kernkompetenz ein Haupttreiber von hoher Bedeutung. 40 diebank 11.2016

BETRIEBSWIRTSCHAFT ó ne für eine Bewertung. Nur falls das Institut bereits ein entsprechendes Szenario in der Top-Risk-Ermittlung bewertet oder eingeordnet hat, ist schnell eine Aussage möglich. Sonst übliche Verfahren wie Senior-Management-Interviews oder Risk Assessments mit mehreren Beteiligten sind aufgrund des Zeitmangels und des bankübergreifenden Charakters meist keine Alternative. Entsprechend kann die Bank auf das hier dargestellte Verfahren zurückgreifen. Mit der regelmäßig aktualisierten Parametrisierung der Stakeholder-Haupttreiber-Beziehung ist eine (qualitative) Bewertung möglich. Auch kann hiermit ggf. ein wesentlicher Beitrag des RepRisks zum Stress Testing durch ein analytisches Verfahren schnell ausgeschlossen werden, sodass in diesem Fall keine weiterführenden Untersuchungen hinsichtlich dieser Risikoart erforderlich sind. Anwendung der Methode auf Praxisbeispiele Für die folgenden Beispiele beschränken wir uns auf die folgenden vier Haupttreiber: ó ó Kernkompetenz (In welchem Umfang ist die Kernkompetenz der Bank betroffen?) ó ó Verantwortlichkeit (In welchem Umfang fällt das Problem in den eigenen Verantwortungsbereich der Bank?) ó ó Vertrauen/Integrität (In welchem Umfang sind das Vertrauensniveau und die Integrität betroffen?) ó ó Attraktivität (Inwieweit sind die Marke und das Ansehen der Bank sowie ihrer Produkte betroffen?) sowie auf folgende vier Stakeholder: ó ó Kunden ó ó Mitarbeiter/Bewerber ó ó Aufsicht ó ó Eigentümer Fiktiv betrachten wir zwei verschieden aufgestellte Banken: 1. Eine große, private, international tätige Universalbank, die in ihrem Marktauftritt vor allem mit Professionalität wirbt, und 2. eine öffentlich-rechtliche Regionalbank mit starker lokaler Verwurzelung, die in erster Linie für Bodenständigkeit und Überschaubarkeit / Sicherheit steht. Für die Universalbank ergäbe sich beispielhaft die aus ” 2 ersichtliche Parametrisierung. Demgegenüber könnte für die Regionalbank die Parametrisierung ” 3 angenommen werden. Ein RepRisk-Ereignis, das in der Vergangenheit bei Bekanntwerden alle im Beispiel betrachteten Stakeholder betroffen und immer das Interesse der Öffentlichkeit auf sich gezogen hat, ist sicherlich ein Datenschutzskandal, insbesondere in der Bankenbranche. Bei einer in der Presse aufgezeigten Sicherheitslücke in Bezug auf Kundendaten z. B. im Zahlungsverkehr, kann davon ausgegangen werden, dass alle Haupttreiber negativ beeinflusst werden. Die Frage ist letztendlich, in welchem Umfang dies der Fall ist. Für eine große private internationale Universalbank könnte sich aus einer fiktiven Perspektive folgendes Ergebnis herausstellen: Nach einem Datenschutzskandal ist im Beispiel mindestens der Haupttreiber Kernkompetenz mit „hoch“ zu bewerten. Kommt im Worst Case noch hinzu, dass die Bank durch eigenes Verschulden für die Sicherheitslücke verantwortlich ist, wird der Einflussfaktor Verantwortlichkeit hoch ausfallen. Wiederholt sich der Vorfall und hat die Bank, zumindest für die Öffentlichkeit betrachtet, nicht aus ihren Fehlern gelernt, wird auch das Vertrauensniveau maßgeblich in Mitleidenschaft gezogen. In der Summe sind mindestens drei Haupttreiber im Fall eines Datenskandals mit hoch einzustufen, wie ” 4 zeigt. Im vorliegenden Beispiel wären in jedem Fall die Stakeholder Kunden sowie Aufsicht besonders stark betroffen. Folglich wäre für diese Fälle ein vorab definierter reaktiver Krisenplan zu empfehlen und insbesondere ein Krisenkommunikationsplan, zugeschnitten auf die jeweiligen Stakeholder sowie die Ex-ante-Definition von eventuellen weiteren Maßnahmen. Gemäß einem einfach zu implementierenden Scoring-Modell ergäbe sich eine Gesamtwertung von 42 Prozent ” 5. Ein geringeres Ergebnis würde sich zeigen, wenn die Bank durch einen externen Hacker-Angriff neben anderen betroffenen Finanzinstituten in Pressemitteilungen erwähnt werden würde. In diesem Fall könnte man annehmen, dass die Treiber Verantwortlichkeit und Vertrauen / Integrität eher geringer eingeschätzt werden. Nichtsdestotrotz ist dieses Szenario in die qualitative Analyse aufzunehmen, präventive Maßnahmen müssen definiert werden. Im zweiten Fall – der hypothetischen öffentlichen Regionalbank – könnte sich folgendes Bild ergeben: Anzunehmen wäre, dass bei gleichem Ereignis (Datenleck im Zahlungsverkehr) ebenfalls 3 Beispielhafte Modellparametrisierung für eine öffentlich-rechtliche Regionalbank Stakeholder Stakeholder- Bedeutung Kernkompetenz Verantwortlichkeit Haupttreiber Vertrauen/ Integrität Attraktivität Kunden Mittel Hoch Niedrig Mittel Hoch Mitarbeiter/ Bewerber Mittel Niedrig Mittel Hoch Niedrig Aufsicht Niedrig Mittel Mittel Mittel Niedrig Eigentümer Hoch Hoch Hoch Mittel Mittel 11.2016 diebank 41

die bank