Risikokultur wird als Thema in Banken wichtiger
FIRM-Umfrage zeigt Perspektiven zu Schlüsselelementen des Risk Governance Framework aus der Praxis
Von Dr. Thomas Poppensieker
Börsen-Zeitung, 4.4.2023 Beim Risikomanagement standen für Banken und deren Aufsichtsbehör- den lange Zeit vor allem Kredit-, Markt- und Liquiditätsrisiken im Vordergrund. Seit der Finanzkrise 2008 hat sich dies jedoch stark geändert, und nichtfinanzielle Risiken (NFR) wie etwa Conduct, Compliance und Reputationsrisiken sind zu zentralen strategischen Schwerpunktthema für Banken und Regulatoren in Europa avanciert.
Stellenwert unbestritten
In der Folge sind die rahmengebenden NFR-Themen- und Handlungsfelder Risikokultur und Risikoappetit als Schlüsselelemente des regulatorisch für Banken geforderten Risk Governance Framework in den Fokus der Institute gerückt. Darüber hinaus hat auch der Stellenwert von NFR im aktiven operativen Risikomanagement von Banken zur granularen Steuerung von Risikoprozessen stark zugenommen. Mit anderen Worten: Um einem Risikomanager eine effektive NFR-Steuerung zu ermöglichen, ist es zwingend erforderlich, die NFR ganzheitlich in die Organisations- und Governancestruktur sowie in den Risikoappetit zu integrieren. Ein Kernelement für die grundlegende Verankerung des gewünschten Umgangs mit Risiken aller Art ist die Risikokultur. Ihr Stellenwert für ein effektives Risikomanagementsystem in der Bankenlandschaft ist unbestritten. Initiativen zur Stärkung der Risikokultur werden daher von den Instituten immer häufiger ergriffen und beziehen meist die gesamte Organisation der Institute mit ein. Für ein effektives NFR-Risikomanagement ist es erfolgskritisch, dass die drei Schlüsselelemente des Risk Governance Framework – Governance, Risikoappetit und Risikokultur – ineinandergreifen. Dazu sollten Banken bei der Entwicklung ihrer NFR-Steuerung nicht nur ihre Strukturen für finanzielle Risiken spiegeln, sondern auch dedizierte eigene Strukturen, Limits und Kontrollen definieren. Es gilt, ein einheitliches Verständnis innerhalb eines Instituts zu etablieren sowie NFR quantifizier- und damit messbar in die Bankprozesse zu integrieren. Rahmengebend dafür sind die gesteigerten regulatorischen Erwartungen sowohl seitens des Finanzstabilitätsrats (FSB) und der EU-Bankenaufsicht EBA als auch von der Finanzaufsicht BaFin direkt: Transparente Governance, ein konsequent definierter und befolgter Risikoappetit und eine detailliert ausgestaltete Risikokultur bilden das Grundgerüst der Erwartungshaltung – wenngleich Positionspapiere und Working Paper der Institutionen mit konkreten Maßnahmenvorschlägen durchaus noch weiter ins Detail gehen sollten. Somit besteht für die Banken ein doppelter Anreiz, NFR konsequent in die relevanten Elemente des Risiko- managements zu integrieren, zu messen und entlang ihrer Prozesse zu steuern: zum einen die regulatorische Erwartung, die die Erfüllung der Mindeststandards einfordert, und zum anderen – und was anreizmäßig noch wichtiger scheint – der Selbstanspruch der Institute, effektives operatives Risikomanagement entlang aller Bankprozesse möglichst wirksam und zielführend geltend zu machen.
Orientierung geschaffen
Vor diesem Hintergrund hat der NFR-Arbeitskreis des Frankfurter Instituts für Risikomanagement und Regulierung (FIRM) im Verlauf des Jahres 2022 den Status quo in den Banken bei der Umsetzung/Entwicklung der Risikokultur sowie bei der NFR-Integration in Risikoappetit und -toleranz ausgehend von zwei dedizierten Umfragen unter den FIRM- Mitgliedsinstituten vertieft untersucht. Ziel war es, den Status quo bei der inhaltlichen Ausgestaltung der Risikokultur und des Risikoappetits in den FIRM-Mitgliedsinstituten zu erheben und daraus mögliche Handlungsfelder zum Erschließen von Effektivitäts- und Effizienzpotenzialen abzuleiten. Eine Übersicht zu den gewonnenen Ergebnis- sen und Perspektiven geben die beiden Übersichtsbeiträge von Susanne Maurenbrecher und Norbert Gittfried. Mit ihrer Teilnahme an den Umfragen haben die Institute orientierungstiftende Einblicke in ihre Herangehensweise, Erwartungen und Positionierung beim NFR-Risikomanagement erlaubt. Gleichzeitig ergibt sich ein klares Bild zum Abgleich der gelebten Praxis mit regulatorischer Erwartung sowie eine Perspektive auf zielführende Handlungsansätze in naher Zukunft.
Lehren aus der Krise
Dass es Handlungsansätze braucht, steht außer Frage. Viele Banken sind im „Stresstest“ der Pandemie widerstandsfähiger gegen unerwartete Umstände geworden, insbesondere aufgrund ihres Umgangs mit NFR. Jetzt gilt es, die richtigen Schlüsse aus der bislang erfolgreichen Bewältigung der Pandemie zu ziehen, um auf die nächste Krise (bei der es sich nicht um eine Pandemie handeln muss, wie uns die aktuelle geopolitische Lage verdeutlicht) noch besser vorbereitet zu sein. Mit anderen Worten: Neue geopolitische Unwägbarkeiten machen einen konsequenten Umgang mit NFR weiterhin unabdinglich.
Die Umfrage
- Themen – Primär sollten zwei Fragen beleuchtet werden:
Wie gehen Banken aktuell an das Thema Risikokultur heran und setzen es konzeptionell um?
Wie sieht die derzeit gelebte Praxis der Risikokultur in den Kreditinstituten aus? - Der zweite Teil der Umfrage zu den Risikoappetit-Frameworks zielte vor allem ab auf eine Bestandsaufnahme zur aktuellen Handhabe und Nutzung von Risikoappetit-Frameworks NFR sowie auf die Identifizierung von Hindernissen bei deren Umsetzung.
- Teilnehmer:
Mit ca. 20 befragten Instituten in Deutschland und Österreich umfasst die Umfrage ca. 44 % der Bilanzsumme des deutschen Bankensektors und zählt acht der zehn größten Banken in Deutschland zu den Teilnehmern. Zudem bildet sie ein breites Spektrum der Bankenlandschaft ab: Ein Drittel der Institute weist eine Bilanzsumme von jeweils mehr als 200 Mrd. Euro auf, die Bilanzsummen der übrigen Institute liegen zwischen 1 Mrd. Euro und 190 Mrd. Euro (siehe Grafik). Überdies nahmen unterschiedliche Typen von Banken an der Umfrage teil – unter anderem Universal-, Landes- und Förderbanken.
Robuste Risikokultur als Erfolgsfaktor ist in der Breite der Institute präsent
Schwächen liegen noch in der konkreten operativen Einbindung
Von Dr. Susanne Maurenbrecher
Börsen-Zeitung, 4.4.2023 Eine robuste Risikokultur ist als Bestandteil von Unternehmenskultur und guter Corporate Governance ein Erfolgsfaktor – das haben viele Banken schon früh erkannt. Seit sich zudem die Regulatoren intensiv mit diesem Thema beschäftigen, ist es auch in der Breite der Branche präsent. Leitungskultur („Tone from the Top“), Verantwortlichkeiten, wirksame Kommunikation und kritischer Dialog sowie Anreize: Diese Kernbausteine der Risikokultur sind inzwischen als theoretisches Konstrukt etabliert. Mit der Umfrage „Risikokultur“ konnte ein umfassendes Bild gewonnen werden, wie Risikokultur heute in der Praxis gelebt wird.
In Leitlinien verankert
Ein Blick in die Umfrageergebnisse zeigt: Mit einer Ausnahme nutzen alle befragten Institute eine eindeutige, ausformulierte Definition der Risikokultur, häufig verortet in einer „Leitlinie Risikokultur“ (40 %) oder im Risikoappetit bzw. in der Risikostrategie (30 %). Zumeist behandelt die gewählte Definition der Risikokultur sowohl finanzielle als auch nichtfinanzielle Risiken (mehr als 95 %) und unterstreicht somit eine übergreifende Relevanz für alle Bereiche. Daraus abgeleitet ist die Risikokulturdefinition bei 20 % der Institute zudem in mehreren Leitlinien verankert. Neben der Risikokultur selbst sollten auch die dafür bestehenden Verantwortlichkeiten klar definiert sein. Als operativ verantwortlich werden am häufigsten verschiedene Risikoabteilungen genannt, die am ehesten für Definition (50 %), Dokumenta- tion (60 %), Messung (50 %) und Kommunikation/Reporting (50 %) der Risikokultur zuständig sind. Bei 20 % der Institute ist der Bereich Compliance für die Weiterentwicklung der Risikokultur (mit-)verantwortlich. Die Verantwortung für die eng mit der Risikokultur verwobene Unternehmenskultur liegt jedoch meist bei der Geschäftsleitung und beim Geschäftsleitungsstab (60 %); nur 16 % der Institute sehen hier die Risikofunktion in der Pflicht und weitere 20 % die Personalabteilung.
CRO in zentraler Rolle
Auf Geschäftsleitungsebene nimmt der CRO eine zentrale Rolle ein – auch bei der Aufgabe, die Eigenverantwortung bei den Mitarbeitenden zu festigen – und ist folglich ein primärer Stakeholder der Risikokultur: Bei 70 % der Banken ist der CRO hauptverantwortlich für die Risikokultur; zwei Drittel bezeichnen ihn als maßgeblich für den wichtigen „Tone from the Top“; und die Hälfte unterstreicht dessen Verantwortung für Definition und Kommunikation der Risikokultur. Für eine funktionierende Risikokultur bedarf es zuerst klar definierter operativer Verantwortlichkeiten. Hinzu kommen die kontinuierliche Messung, aussagefähige Reportings und effektive Kommunikation. Im Kern der Messung steht die Identifikation potenzieller Schwächen und Verbesserungspotenziale der Risikokultur – in 90 % der Institute findet eine solche Prüfung und Messung regelmäßig statt, in der Hälfte von ihnen sogar jährlich.
Messbares Zielbild fehlt
Für ein granulares Reporting fehlt in den meisten Fällen ein messbares Zielbild, denn nur ein Viertel der Banken erhebt quantifizierbare Kennzahlen; deutlich mehr erfassen lediglich Verstöße. Somit haben auch nur 40 % der teilnehmenden Institute ein KPI-basiertes Reporting. Bei der Frage zur aktuellen Ausge- staltung der Risikokultur zeigt sich, dass viele Banken die Stärken primär in der Konzeptionierung der Risikokultur sehen, vor allem deren Definition sowie die Risikostrategie und der Risikoappetit. Zudem gelten die bereichsübergreifende Umsetzung der Risikokultur und eine konstruktive Fehlerkultur mehreren Banken als eigene Stärken. Schwächen werden hingegen in der konkreten operativen Einbindung der Risikokultur konstatiert.
Nichtfinanzielle Risiken werden nur begrenzt quantitativ gesteuert
Wachsende Volatilität der Risikolandschaft zwingt zum Umdenken
Von Norbert Gittfried
Börsen-Zeitung, 4.4.2023 Die proaktive Überwachung von finanziellen Risikopositionen inklusive einer quantitativen Steuerung der Risikovorsorge ist zentraler Bestandteil der regulatorisch geforderten Kapitaladäquanz und damit im Bankwesen Standard. Die Entwicklung des Kreditrisikos eines Kreditportfolios etwa wird entlang quantitativer Zielkorridore überwacht und fortlaufend prognostiziert. Sofern erforderlich, werden vorausschauende Maßnahmen zur Risikovorsorge veranlasst, um die antizipierte Risikoexposition der Bank innerhalb des Zielkorridors zu halten. Risikoexpositionen im Bereich der nichtfinanziellen Risiken (NFR) hingegen werden von vielen Banken zum heutigen Zeitpunkt nur begrenzt quantitativ gesteuert, wie die Umfrage „Risikoappetit“ aufzeigt. Meist dominieren qualitative Entscheidungskriterien und Überwachungsmodelle. Vor dem Hintergrund einer wachsenden Volatilität der Risikolandschaft stoßen diese zunehmend an ihre Grenzen.
Aufsicht hat konkrete Idee
Auch seitens der Aufsichtsbehörden werden konkretere Erwartungen an die übergreifende Steuerung nichtfinanzieller Risiken formuliert. Die Europäische Zentralbank (EZB) etwa fordert eine holistische Überwachung aller nichtfinanziellen Risiken und betont die zentrale Notwendigkeit von Risikoappetitframeworks für eine effektive, proaktive Risikosteuerung. Vor diesem Hintergrund wurde in der Umfrage „Risikoappetit“ eine Standortbestimmung vorgenommen. Mehr als 90 % der befragten Banken bestätigen, über Strukturen für Risikoappetit-Frameworks für NFR zu verfügen. Die zentrale Steuerung und gruppenweite Konsolidierung von Risikoappetit-Frameworks ist eine Kernherausforderung der Banken, deren Umsetzung vor allem durch bereichsspezifische, nebeneinander bestehende Risikoappetit-Frameworks erschwert wird. Dem treten die Institute hauptsächlich mit drei Maßnahmen entgegen: Vorgabe eines gruppenweiten Risikoappetit-Frameworks, enge Einbeziehung der Konzerneinheiten bei Gestaltung und Anpassung des Risikoappetit-Frameworks sowie Überprüfung der Einhaltung von Risikoappetitvorgaben auf regionaler Ebene.
Klar definierte Rollen
In vielen Instituten lässt sich die Rollenverteilung hinsichtlich Festlegung und fortlaufender Steuerung des Risikoappetits noch klarer definieren. Zudem ist es möglich, bestehende Mandate, z. B. von Risikocontrolling und Compliance, besser voneinander abzugrenzen. In den meisten Banken liegt die Dokumentation zum Risikoappetit-Framework fragmentiert vor – und häufig verteilt auf Risiko- und Geschäftsstrategiedokumente, Methodenkonzepte und Risikoberichte. Die meisten befragten Institute haben qualitative Risikoappetitstatements definiert, um relevante Produkte, Transaktionen, Geschäftsbeziehungen oder IT-Anwendungen, von denen z. B. ein höheres Geldwäsche- oder IT-Sicherheitsrisiko ausgeht, zu untersagen oder unter Risikovorbehalt zu stellen. Qualitative Risikoappetitstatements sind vor allem für Risikotypen wie Financial Crime Risk, Conduct Risk, Information Security Risk und Outsourcing & Vendors Risk weit verbreitet.
Unterschiedliche Maßnahmen
Weniger als die Hälfte der befragten Banken steuert NFR mit quantitativen Methoden – das heißt auf Basis gestaffelter Ziel-, Eskalations- oder Maximalwerte. Die häufigsten qualitativ gesteuerten Risikotypen sind Information Security Risk, Outsourcing & Vendors Risk, Business Continuity Risk und Financial Crime Risk. Zahlreiche Institute ergreifen mehrere unterschiedliche Maßnahmen zur übergreifenden NFR-Steuerung. Die wichtigsten sind übergreifende Abstimmung von und regelmäßiger Austausch zu risikorelevanten Themen, risikotypenübergreifende Harmonisierung von Methoden sowie Konsolidierung der Berichterstattungen für einzelne Risikotypen zu einem gesamthaftem NFR-Reporting.