Optimierung des Non-Financial-Risk-Managements (NFRM)

Optimierung des Non-Financial-Risk-Managements (NFRM)

Lange Zeit standen für Finanzinstitute Risiken im Zusammenhang mit Finanztransaktionen im Vordergrund. Das Risikomanagement der Unternehmen konzentrierte sich vor allem auf finanzielle Risiken wie Kredit-, Markt- und Liquiditätsrisiken, mit dem primären Ziel, Zahlungsausfällen und Marktpreisänderungen zu begegnen.
In den vergangenen Jahren hat sich die Risikolage der Finanzinstitute jedoch verändert: Diverse Compliance-Vorfälle, geänderte Kundenanforderungen, eine erhöhte Wettbewertungsintensität, die Niedrig-/Nullzinspolitik, eine Vielzahl neuer digitaler Technologien sowie gestiegene gesetzliche und regulatorische Vorgaben rücken nicht-finanzielle Risiken zunehmend in den Fokus. Hierzu gehören insbesondere operationelle Risiken (u. a. Compliance- und Rechtsrisiken, IT-Risiken und digitale Risiken) sowie Geschäftsrisiken, strategische Risiken, Reputationsrisiken und Nachhaltigkeitsrisiken.

Das Schaubild zeigt eine Übersicht der operationellen und nicht-finanziellen Risiken.

Aktuelle Entwicklungen treiben nicht-finanzielle Risiken

Diverse Compliance-Vorfälle und Rechtsstreitigkeiten, ausgelöst durch Betrug, Geldwäsche, Marktmanipulation oder fehlerhafter Beratung, führten in den vergangenen Jahren zu folgenschweren Verlusten, Kompensations- und Strafzahlungen sowie substanziellen Reputationsschäden bei diversen Finanzinstituten. Da auch die Öffentlichkeit diese Vorfälle immer stärker wahrnimmt, haben neben Compliance- und Rechtsrisiken insbesondere auch Reputationsrisiken einen neuen Stellenwert für Finanzinstitute und deren Stakeholder erreicht. Der Umgang mit Compliance- und Rechtsrisiken sowie Reputationsrisiken ist daher wichtiger denn je für die gesamte Finanzbranche geworden.

Ebenso relevant für die gesamte Branche sind die aktuellen Entwicklungen im Bereich der Digitalisierung. Die steigende Nutzung von digitalen Technologien, wie etwa Big Data, Data-Mining, Intelligent Process Automation (IPA) und künstliche Intelligenz (KI), ermöglicht neue technologiegetriebene Geschäftsmodelle. Digitale Wettbewerber wie FinTechs und InsurTechs drängen auf den Markt, um mit automatisierten Geschäftsabläufen, neuen Vertriebswegen und innovativen Produkten den geänderten Kundenanforderungen Rechnung zu tragen. Kunden streben immer mehr nach innovativen und einfachen Produkten mit digitalen Interaktionsmöglichkeiten – und das am besten mit geringen Risiken, umfangreichen Serviceleistungen und zu niedrigen Preisen.

Etablierte Finanzinstitute müssen sich dem technischen Innovationsdruck stellen und das eigene Geschäftsmodell hinterfragen. Die gesteigerte Wettbewerbungsintensität, die geänderten Kundenanforderungen sowie die derzeitige Niedrig-/ Nullzinspolitik erhöhen den Druck auf die Margen der Unternehmen und führen zwangsweise zu neuen strategischen Risiken, steigenden Geschäftsrisiken sowie einer Vielzahl an IT- und digitalen Risiken, die in komplexen Zusammenhängen miteinander stehen können. Die Konsequenz dieser Entwicklungen sind gestiegene gesetzliche und regulatorische Vorgaben in Bezug auf nicht-finanzielle Risiken. Aufsichtsrechtlich im Fokus stehen für Finanzinstitute hierbei besonders Compliance- und Rechtsrisiken, Conduct-Risk (Verhaltensrisiken), Modellrisiken, Reputationsrisiken sowie IT-Risiken und digitale Risiken (z. B. Cloud- und Cyberrisiken).

Darüber hinaus rücken zunehmend Nachhaltigkeitsrisiken, wie Klima- und ESG-Risiken (Environmental, Social and Governance), in den Fokus. Klimarisiken ergeben sich einerseits aus den direkten Folgen des Klimawandels (z. B. Zunahme von Naturkatastrophen) und andererseits aus den Ereignissen und Maßnahmen zur Umstellung auf eine möglichst CO2-neutrale Wirtschaft. ESG-Risiken beziehen sich beispielsweise auf Umweltverschmutzung, Ressourcenverschwendung, Korruption, Menschenrechtsverletzungen sowie die Nichtbeachtung von Arbeitsstandards und Arbeitnehmerrechten.

Ganzheitliche Betrachtung entscheidend

Nicht-finanzielle Risiken haben Einfluss auf die gesamte Aufbau- und Ablauforganisation des Unternehmens. Sie betreffen unzureichende Prozesse und ein mögliches Fehlverhalten von Mitarbeitern und Führungskräften ebenso wie organisatorische und strategische Veränderungen. Hierzu gehört beispielsweise der Umbau der IT-Architektur oder die Erschließung neuer Märkte oder die Einführung neuer Produkte.
Besonders zu beachten gilt die Wechselwirkung zwischen nicht-finanziellen Risiken. Schlagend gewordene operationelle Risiken, wie z. B. IT-, Compliance- oder Rechtsrisiken können zu Reputationsschäden führen, welche sich letztendlich im Geschäftsmodell oder der Geschäftsstrategie und schlimmstenfalls in einer Bestandsgefährdung niederschlagen können. Daher ist es wichtig, nicht-finanzielle Risiken stets integriert und ganzheitlich zu betrachten und zu steuern.

Herausforderungen und Probleme in der Praxis

Eine integrierte und ganzheitliche Betrachtung der nicht-finanziellen Risiken gestaltet sich in der Praxis oft schwierig. Zu den typischen Problemen und Herausforderungen im Umgang mit nicht-finanziellen Risiken gehören:

  • Keine stringente Ableitung der Risiken aus Geschäftsmodell und -strategie

  • Inkonsistente Abfrage und Bewertung der Risiken in den Fachabteilungen durch keine oder unkoordinierte zentrale Steuerung im Rahmen des Three-Lines-of-Defense-Modells

  • Kein zielgerichtetes und/oder integriertes Berichtswesen

In der Praxis erfolgt oftmals keine stringente Analyse und Ableitung der Stärken und Schwächen sowie Chancen und Risiken aus dem Geschäftsmodell bzw. der Geschäftsstrategie. Dadurch steigt die Gefahr, dass Chancen und Risiken nicht oder zu spät identifiziert werden.
Die Einbeziehung des Geschäftsmodells ist wesentlich im NFRM. Nur mit einem tiefen Verständnis und Einbeziehung des Geschäftsmodells und einer Analyse der eigenen Stärken und Schwächen ist es möglich, eine geeignete Geschäftsstrategie und eine angemessene Risikostrategie samt Risikoappetit zu definieren und letztlich neue nicht-finanziellen Risiken zielgerichtet ableiten und steuern zu können.

Auch werden nicht-finanzielle Risiken von verschiedenen Disziplinen im Unternehmen (wie z. B. Risikomanagement, Compliance, Business Continuity Management, IT-Sicherheit) häufig getrennt abgefragt und gesteuert. Durch diese „Silos“ findet die Identifikation und Bewertung der Risiken und Kontrollen in den Fachbereichen häufig inkonsistent, doppelt oder unzureichend statt. Siloabfragen und inkonsistente Methoden führen zu Mehraufwand und Unverständnis in den Fachbereichen und letztlich zu einer nicht ausreichend gelebten Risikokultur. Außerdem erhält die Geschäftsleitung meist noch keinen zielgerichteten und integrierten Bericht über nicht-finanzielle Risiken. Aufgrund der vorherrschenden Silos und der unkoordinierten Steuerung erfolgt auch die Berichterstattung ebenso wenig zielgerichtet und koordiniert.

Erfolgsfaktoren für ein ganzheitliches NFRM

Eine integrierte und ganzheitliche Betrachtung der nicht-finanziellen Risiken beginnt mit der kontinuierlichen Überprüfung des Geschäftsmodells und der Geschäftsstrategie unter Berücksichtigung aktueller Trends sowie interner und externer Rahmenbedingungen. Aktuelle Gegebenheiten, wie die Implementierung digitaler Technologien, eröffnen Chancen aber auch Risiken. Zur Optimierung des Chancen-Risiko-Verhältnisses ist die Festlegung der Risikotragfähigkeit und des Risikoappetits im Rahmen einer geeigneten Risikostrategie unabdingbar.

Chancen wie auch Risiken müssen transparent gemacht und unter Berücksichtigung der Risikostrategie und des Risikoappetits bewusst gesteuert werden. Risiken sollten sowohl quantitativ als auch qualitativ nach unterschiedlichen Risikoauswirkungen bewertet und durch den gezielten Einsatz von angemessenen Kontrollen aktiv vermindert werden. Die aktive Verminderung der Risiken trägt zu einer Reduzierung der Kapitalanforderungen bei und senkt ebenso die Wahrscheinlichkeit von Reputationsschäden oder Strafzahlungen durch potenzielle Compliance-Vorfälle.

Gemeinsame und einheitliche Ausgangsgrößen (wie Prozesslandkarten oder IT-Systeme) sowie konsistente Identifikations- und Bewertungsmethoden bezüglich Risiken und Kontrollen über unterschiedliche Disziplinen im Unternehmen hinweg sind Voraussetzungen für einen integrierten und ganzheitlichen Ansatz.
Die regelmäßigen Assessments der ersten Verteidigungslinie in Form von Risiko- und Kontrollbewertungen sollten auf allen Unternehmensebenen durchgeführt werden, d.h. sowohl auf Prozess- und IT-Ebene als auch auf Gesamtunternehmensebene. Die Steuerung der Assessments erfolgt dabei zentral und koordiniert durch die zweite Verteidigungslinie und ggf. in Abstimmung mit anderen relevanten zentralen Funktionen. Der Assessment-Durchlauf mündet letztlich in ein zielgerichtetes und integriertes Berichtswesen an die Geschäftsleitung. Der Bericht sollte die Ergebnisse der Assessments enthalten und dadurch steuerungsrelevante Informationen für die Geschäftsleitung bereitstellen. Die Interne Revision als dritte Verteidigungslinie sowie weitere Kontrollinstanzen sollten mit Stichproben ebenso in den Regelprozess mit eingebunden werden.

Identifizierung von Optimierungspotenzial

Das Optimierungspotenzial hinsichtlich des eigenen NFRM ist von Unternehmen zu Unternehmen unterschiedlich und sollte daher stets individuell beleuchtet werden. Erste Erkenntnisse hierzu lassen sich in strukturierten Workshops erarbeiten. Alternativ kann Optimierungspotenzial gezielt im Rahmen einer Vorstudie identifiziert und konzipiert werden. In beiden Fällen bildet die Ist-Analyse das Kernstück. Die Ist-Analyse umfasst die Evaluierung der vorhandenen Strategien, Prozesse, Methoden, Assessments und Systeme im Unternehmen, um im nächsten Schritt Synergien und Optimierungspotenzial ableiten zu können. Die Vorstudie geht noch einen Schritt weiter und hat letztlich das Ziel, unternehmensindividuelle Lösungsalternativen darzustellen und eine angestrebte Lösung zu erarbeiten. Die nachfolgende Abbildung stellt beispielhaft mögliche Phasen und Inhalte einer Vorstudie basierend auf unseren Erfahrungen dar.

Die Grafik zeigt mögliche Phasen und Inhalte einer Vorstudie auf.

Den genauen Umfang sowie die spezifischen Inhalte einer Vorstudie legen wir stets gemeinsam mit unseren Kunden fest. Mit unserer Erfahrung aus zahlreichen Risikomanagementprojekten im DACH-Raum unterstützen wir Sie gerne fachlich wie technisch bei der Optimierung Ihres NFRM – gerne auch im Rahmen eines ersten Workshops bei Ihnen vor Ort. Sprechen Sie uns gerne an!

Mehr zum Thema

Können wir Sie unterstützen? Kontaktieren Sie unsere Experten!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!