die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
ó BANKING Im Gegensatz
ó BANKING Im Gegensatz zu Financial Risks stellen in der Regel weder Kapital- noch Liquiditätspuffer eine effektive Maßnahme zur Risikobegrenzung dar. Non-Financial Risks müssen vor allem wirkungsvoll identifiziert, gesteuert und überwacht werden. Banken begegnen beispielsweise IT-Risiken, indem sie eine angemessene IT-Strategie und Schutzmaßnahmen implementieren. Das Eintreten eines Non-Financial Risks kann nicht nur zu bedeutenden finanziellen Verlusten führen, sondern auch zu Insolvenzen und unfreiwilligen Übernahmen durch andere Institute (wie es bereits vereinzelt vorgekommen ist). Was weiterhin verschiedene Non-Financial Risks vereint, ist zum einen die starke wechselseitige Abhängigkeit zwischen diesen Risikoarten (z. B. führen operationelle Risiken ggf. zu Reputationsrisiken, welche sich letztendlich in einem Geschäftsrisiko niederschlagen können) wie auch eine geringe Anzahl zur Verfügung stehender Daten. Informationen über Non-Financial Risks sind oft spärlich, unvollständig und subjektiv. Die finanziellen Auswirkungen eines Non-Financial Risks treffen die Bank meist erst mit mehreren Jahren Verspätung und dann über einen langen Zeitraum hinweg. Es ist oft schwierig, die Auswirkungen einzelnen Ereignissen zuzuschreiben. Daher basieren Non-Financial Risks viel mehr auf qualitativen Informationen und Einschätzungen. Governance bei Non-Financial Risks Das Modell der „three lines of defence“, das spätestens seit Veröffentlichung der Guideline „Corporate governance principles for banks“ (BCBS 2015) im Juli 2015 verstärkt in den Fokus gerückt ist, ist von fundamentaler Bedeutung für das Management von Non-Financial Risks. Es fordert, dass alle Rollen und Verantwortungsbereiche - bei angemessener Unabhängigkeit voneinander - über alle Funktionen einer Bank hinweg klar definiert sind. Die „first line of defence“ umfasst die Entscheidungsfindung im Bezug auf Risikobereitschaft und Risikominderung. Die „second line of defence“ unterstützt das Risikomanagement, indem sie Methoden, Prozesse und Tools bereitstellt. Sie hinterfragt die Abläufe der „first line of defence“. Zunehmend bedeutet die „second line of defence“ auch Risikomanagement auf Portfolioebene sowie Analyse von Risikokonzentrationen und bereichssowie abteilungsübergreifender Risiken. Die „third line of defence“ liegt bei der internen Revision sowie bei externen Prüfern und dem Prüfungsausschuss des Aufsichtsrats. Ihre Aufgabe besteht - unter anderem - darin, die Angemessenheit der Prozesse und Richtlinien sowie ihrer Umsetzung zu beurteilen. Im Gegensatz zu den eher auf wenige Bereiche fokussierten Financial Risks sollte die „first line of defence“ für Non-Financial Risks breit gestreut über alle Bereiche einer Bank verteilt sein (einschließlich Bereichen wie Compliance oder interne Revision, die auch selbst von Non-Financial Risks betroffen sein können, z. B. durch Datenmissbrauch durch Mitarbeiter). Bestimmte Unterkategorien von Non-Financial Risks werden bereits oft von bankweiten Spezialbereichen gesteuert (z. B. Rechtsrisiken, Datensicherheit sowie physische Sicherheit). Die „second line of defence“ für Non-Financial Risks besteht nicht nur aus der zentralen Risikomanagement-Funktion, sondern auch aus einer breiten Zahl an Unternehmensfunktionen, die sich mit speziellen Unterkategorien befassen (z. B. die Compliance-Funktion oder die Rechtsabteilung). Relativ oft findet unter solchen Unternehmensfunktionen weder ein hinreichender Informationsaustausch mit den jeweiligen Nachbarabteilungen noch mit der zentralen Risikomanagement-Abteilung statt. Die zentrale Risikomanagement-Abteilung hat in der Regel weder eine ausreichende Anzahl an Ressourcen, um mit Non-Financial Risks angemessen umgehen zu können, noch entsprechen die vorhandenen Ressourcen den nötigen Anforderungen (die mehr auf der qualitativen als auf der quantitativen Seite liegen). Sowohl die Tätigkeiten der „first line of defence“ als auch die der „second line of defence“ müssen koordiniert und zielgerichtet sein, um eine wirkungsvolle Maßnahme gegen Non-Financial Risks darzustellen. Aktuell stellen viele größere international tätige Banken ihre „three lines of defence“ neu auf. Dies ist zu einem Teil einer ineffizienten Organisationsweise der verschiedenen involvierten Abteilungen geschuldet, wie auch zum anderen einer lückenhaften Abdeckung der spezifischen Risikokategorien. Ferner sollen hiermit Überschneidungen der first und second line of defence innerhalb einzelner Bereiche abgebaut werden. Zu guter Letzt sollte die „third line of defence“, also primär die interne Revision, ihre Kapazitäten dahingehend erweitern, dass sie in der Lage ist, in Zukunft umfassender mit Non-Financial Risks umgehen zu können. Ein erfolgreiches Management der Non-Financial Risks setzt eine Zusammenarbeit von Top-down- und Bottom-up-Elementen voraus. Als Teil der Top down-Sicht muss die Geschäftsführung in der Lage sein, die Bedeutung von Non-Financial Risks vollständig zu verstehen und zunächst eine Risikokultur zu etablieren, die in die Risikostrategie der Bank eingebettet ist. Effektive Anreizsysteme wie auch Sanktionen sollten eingeführt werden, um die Durchsetzung der Prinzipien zu unterstützen, die in der Risikostrategie und Risikokultur definiert sind. „Tone from the top“ ist in Debatten aus gutem Grund ein häufig genutzter Begriff. Anreizsysteme und Management-Tools haben sich für Financial Risks etabliert, sind aber - wie auch die Limitsysteme - nicht immer passend für Non-Financial Risks. Einerseits ist das Messen von Non-Financial Risks im besten Fall eine komplizierte Aufgabe. Andererseits benötigen Risikominderungsaktivitäten typischerweise viel mehr Zeit um den Nachweis zu erbringen, 22 diebank12.2015
BANKING ó dass sie wirksam gegen Non-Financial Risks sind, als entsprechende Maßnahmen für Financial Risks. Daher sind sie schwer zu beurteilen. Deshalb müssen hier qualitativere, robustere Techniken angewandt werden. Eine Voraussetzung für effektives Management von Non-Financial Risks ist eine ausreichende Personalausstattung mit qualifizierten Ressourcen. Es muss berücksichtigt werden, dass eine große Vielfalt an Spezialwissen erforderlich ist, um mit verschiedenen Themen wie IT-Sicherheit, Betrugsmanagement sowie strategischen Herausforderungen wie dem Demographiewandel umgehen zu können, wie auch den wechselnden Erwartungen von NGOs aus aller Welt. Die Unternehmensführung muss berücksichtigen, wie sensibel und teilweise vertraulich die Ursachen von Non-Financial Risks sind. Zum Beispiel haben Veränderungen in der Bankstrategie (wie z. B. die Übernahme einer anderen Bank aus einem anderen Land oder mit einem anderen Geschäftsmodell) normalerweise eine große Auswirkung auf das Non-Financial Risks-Profil. Daher ist es von größter Bedeutung, im Umgang mit Non-Financial Risks geschulte Personen schon in einer sehr frühen Phase in solche Vorhaben mit einzubeziehen. Risikomanagementprozess für Non-Financial Risks Die Identifikation von Non-Financial Risks sollte mit einer Risikoinventur beginnen. Alle Bereiche der Bank (einschließlich Back-office und Stabsfunktionen) sollten in diese Aufgabe mit eingebunden werden. Risiken und auch die Abhängigkeiten zwischen Risikokategorien sollten auf breiter Basis betrachtet werden. Dabei sollte nicht nur auf historische Daten zurückgegriffen werden, sondern auch durch Unterstützung von Expertenmeinungen Bedrohungen identifiziert werden, die sich noch nicht materialisiert haben, zum Beispiel durch die Analyse externer Verlustdaten. Banken sollten klare Kategorisierungen von Non-Financial Risks abhängig von ihren jeweiligen Geschäftsmodellen und Geschäftsumfeldern, in denen sie tätig sind, festlegen. Diese Kategorien sollten folgende Voraussetzungen erfüllen: 1. Sie unterstützen eine effektive Risikosteuerung mit einem Schwerpunkt auf der Ursache-Wirkungs-Beziehung. 2. Eine klare Zuordnung von Aufgaben und Verantwortlichkeiten („three lines of defence“) kann abgeleitet werden. 3. Sie erfüllen die regulatorischen Anforderungen (z. B. Ereigniskategorien für operationelles Risiko, SREP-Schwerpunkte). 4. Sie ermöglichen idealerweise den Aufbau einer homogenen Datenbasis, welche soweit möglich die Modellierung von Risiken unterstützt. Natürlich ist eine Sammlung von bereits aufgetretenen Ereignissen auch Teil der Risikoidentifikation (sowohl innerhalb der entsprechenden Institutionen als auch innerhalb des relevanten Markts). Diese sollte sich nicht ausschließlich auf direkte Verluste konzentrieren, die sich in der GuV niederschlagen, sondern genauso Verluste erfassen, die zwar verhindert wurden, aber einen direkten Verlust hätten verursachen können (Beinaheverluste) sowie reine Reputationsverluste, die keine identifizierbare Auswirkung auf die GuV haben. gelmäßig von Aufsichtsbehörden und anderen Fachleuten in Frage gestellt. Auch die Schaffung von Anreizen in Verbindung mit der Verteilung des operationellen Risikokapitals ist kritisch. Reputationsrisiken und strategische Risiken werden nur von einer sehr geringen Anzahl an Banken regelmäßig quantifiziert. In den meisten Fällen verlässt man sich ausschließlich auf Expertenschätzung. Obwohl die Quantifizierung nicht die Kernaufgabe in Bezug auf Non-Financial Risks ist, müssen Banken analysieren, wie man diese Risiken sowohl in ökonomische Kapitalplanungen als auch in Stresstests mit einbezieht. Die Analyse kann zeigen, dass bestimmte Non-Financial Risks bereits implizit in ökonomische Kapitalmodelle mit einbezogen sind. Natürlich nutzen Banken, die zur Verwendung des Fortgeschrittenen Messumsatzes (AMA) zugelassen wurden, diese Modelle – in leicht abgewandelter Form –, um ihre ökonomischen Kapitalzahlen für das operationelle Risiko zu ermitteln. Einige Nicht-AMA-Banken nutzen ähnliche Modelle nur für die ökonomische Kapitalrechnung. Die übrigen Banken verlassen sich auf einfachere Ansätze (z. B. den Standard- oder Basisindikatoransatz), um das notwendige Kapital für operationelles Risiko abzuleiten. Das Reputationsrisiko ist aktuell für die große Mehrheit von Banken kein Kernbestandteil des ökonomischen Kapitals. Manche von ihnen nutzen einen Puffer, um zusätzliches Kapital für solche Risikotypen beiseitezulegen. Geschäftsrisiko wird häufig durch Ansätze wie Earnings-at-Risk gemessen, während stratefl Eine Voraussetzung für effektives Management ist eine ausreichende Personalausstattung mit qualifizierten Ressourcen. Risk Assessments für Non-Financial Risks Risk Assessments für Non-Financial Risks basieren auf einer Vielfalt an Methoden und Prozessen. Non-Financial Risks werden im Moment überwiegend nicht als geeignet für eine weitergehende quantitative Analyse angesehen. Obwohl operationelle Risiken schon seit über zehn Jahren von einzelnen Banken quantifiziert werden, wird die Verlässlichkeit und Stabilität dieser Methoden, z. B. fortgeschrittene Messansätze zur Berechnung des regulatorischen Eigenkapitalbedarfs, immer noch re- 12.2015diebank 23
