Neben den klassischen "Financial Risks", wie etwa dem Kredit-, Marktpreis- oder Liquiditätsrisiko, gewinnen in Finanzdienstleistungsunternehmen vor allem die sog. Non Financial Risks (NFR) immer mehr an Bedeutung. Diese umfassen auch die aus der aufsichtsrechtlichen Definition der operationellen Risiken explizit ausgeschlossenen Risiken, wie beispielsweise strategische Risiken oder Reputationsrisiken.
Das Management nicht-finanzieller Risiken war noch nie so entscheidend für den Erfolg eines Unternehmens. Seit der globalen Finanzkrise haben die Märkte nicht nur eine noch nie dagewesene Ausweitung der Finanzmarktregulierung erlebt, sondern auch das Aufkommen neuer Risiken, etwa resultierend aus Cyberattacken. Auch COVID-19 war ein operationelles Risikoereignis mit vielen verschiedenen Auswirkungen für die Geschäftsfelder der Unternehmen. Als Reaktion darauf sind NFR zu einem der wichtigsten Schwerpunktbereiche für Finanzinstitute geworden, wobei einige Banken mehr als 50 % ihres ökonomischen Kapitals diesem Risikoportfolio zugewiesen haben.
Die RiskNET Redaktion hat mit profunden NFR-Experten und -Expertinnen eine Roundtable-Diskussion geführt. An der Diskussionsrunde haben Marion Bürgers (COO & Head of Business Management, Governance & Reporting des Compliance-Bereichs, HSBC Deutschland), Sebastian Fritz-Morgenthal (Executive Vice President & Head of Global Risk, Bain & Company), Marcus Haas (Advisor for Banking Supervision, Deutsche Bundesbank), Claudia Meyer (ehemalige Global Head of Operational and Reputational Risk Management, Allianz Group), und Christoph Reitze (Managing Director Non-Financial Risk, Aareal Bank) teilgenommen. Die Fragen stellten Frank Romeike (Geschäftsführender Gesellschafter und Chefredakteur RiskNET) und Thomas Kaiser (Professor an der Goethe-Universität Frankfurt und Professor Kaiser Risk Management Consulting). Alle Beteiligten sind Autoren des von Thomas Kaiser herausgegebenen Buchs "Non-Financial Risk Management: Emerging stronger after COVID-19”, Risk Books, London 2021.
RiskNET: Wie gut waren Banken durch ihre Non-Financial-Risk-Rahmenwerke auf die COVID-19-Pandemie vorbereitet? Was hat gut funktioniert, was weniger gut?
Claudia Meyer: Unsere Notfallpläne hatten bereits Pandemien bzw. die Nichtverfügbarkeit von Mitarbeiten sowie Nichtverfügbarkeit von Geschäftsräumen berücksichtigt. Der typische Notfallplan für eine Pandemie war das Arbeiten von daheim für sog. Schlüsselpersonen, jedoch nicht für jeden Mitarbeiter und auch nicht gleichzeitig weltweit für alle Geschäftsstellen sowie bei internen und externen Dienstleistern. Um das Homeoffice für alle Mitarbeiter zu realisieren, mussten zusätzliche Software (beispielsweise VPN-Token) und Hardware (Laptops und sonstige Hardware für Servicegesellschaften in den Offshore-Gebieten) für die Mitarbeiter daheim angeschafft, ebenso weitere Lizenzen für Video- und Telefonkonferenzen gekauft werden. Dies hat natürlich einige Wochen gedauert, bis die Home-Office-Quote auf über 90 Prozent steigen konnte. Durch sehr enge Zusammenarbeit mit den Servicegesellschaften, insbesondere den IT-Servicegesellschaften, wurden die Prozesse und Krisenpläne aufeinander abgestimmt. Tägliche Status Calls halfen bei der sehr schnellen und effizienten Problemlösung, so dass der Kunde möglichst wenig davon spürte. Task Force Gruppen, geleitet durch HR und Krisenmanagement, wurden gebildet, um sich um die Gesundheit der Mitarbeiter zu kümmern, wie Beschaffung von Schutzanzügen, Masken, Ausarbeitung von Hygienekonzepten sowie das Management von Büroauslastungen bis hin zu Umbauten.
Marion Bürgers: Alleine schon aufgrund der strengen regulatorischen Vorgaben, waren Banken extrem gut auf eine Pandemie vorbereitet – etwa im Gegensatz zu anderen Branchen. Geholfen haben hier beispielsweise auch die hohen Standards im Bereich der IT und des Business Continuity Managements. So konnten jahrelang getestete Disaster Recovery Sites genutzt und nicht nur bezahlt werden. Auch die in vielen Bereichen der Banken schon praktizierten Möglichkeiten des mobilen Arbeitens mussten in vielen Banken nicht komplett neu geschaffen, sondern "nur" ausgebaut und stabilisiert werden. Unterstützung hat auch die BaFin durch die schnelle Reaktion beispielsweise in Bezug auf die Regularien zur Ausübung des Handelsgeschäfts geleistet.
Christoph Reitze: Die Covid-Pandemie war sicher ein echter Belastungstest für etablierte NFR-Systeme. Und zwar weniger in ihrer vielleicht oftmals eher "regulatorisch" getriebenen Reporting- und Methoden(konsistenz)-Rolle, als denn in der ökonomisch mindestens genauso wichtigen Koordinationsrolle und als Governancemodell. Gut funktionierten die NFR Systeme immer dann, wenn kurzfristig umfassend informierte Reaktionen und Entscheidungen möglich waren. Dazu mussten oft unterschiedliche Funktionen und Bereiche eng zusammenarbeiten, was wiederum eine gleiche Sprache und eine klares Rollenverständnis im Team voraussetzt.
Sebastian Fritz-Morgenthal: Work from Home versus Work from Office bzw. Team A / Team B hat sehr gut funktioniert, in Abhängigkeit von der Infrastruktur, die unsere Leute zu Hause zur Verfügung hatten. Teams, die bereits lange Jahre im Büro zusammen gearbeitet haben, konnten dies auch virtuell sehr gut.
Hingegen war das Onboarding neuer Kolleginnen und Kollegen schwierig. Und wir mussten extrem überinvestieren und diese Menschen nach den ersten Öffnungen auch schnell ins Büro zurückholen und defacto nochmal neu "onboarden".
RiskNET: Hat COVID-19 zur Veränderung der Wahrnehmung der Wichtigkeit von NFR beigetragen? Wie konkret?
Christoph Reitze: NFR wirkte oftmals koordinierend zwischen den verschiedenen Betroffenen. Besonders gut hat diese Koordinationsrolle häufig dort funktioniert, wo bereits auch in der Vergangenheit ursachenbezogen gemeinsam Themen bewertet wurden, d. h. man eingespielt war. Dieser Wert eines "Wargaming" oder – weniger hip – einer "Szenarioanalyse" ist sicher eine der zentralen "Lessons Learned" für das NFR Management nach COVID-19.
Sebastian Fritz-Morgenthal: Die Organisation hat gelernt, dass man sich nicht auf alles vorbereiten kann, sich auf manches aber besser vorbereiten sollte. Der Wert von entsprechenden Trainings und Übungen ist massiv gestiegen. Wir haben in der First Line mit unseren Fragen, Anforderungen und Szenarien seit Ausbruch der Corona-Krise deutlich an Akzeptanz gewonnen.
Marion Bürgers: In der Vergangenheit war eine Pandemie ein Planspiel im Rahmen einer jährlichen Business-Continuity-Übung. Orientiert hat man sich dabei aber oft an der Schweine- oder Vogelgrippe, aber die wenigsten haben wahrscheinlich damit gerechnet, dass die ganze Welt für einen so langen Zeitraum betroffen sein wird. Es bleibt daher die Hoffnung, dass die Situation und der Umgang damit nicht für die Akzeptanz und Wichtigkeit von NFR so schnell in Vergessenheit gerät und zeigt, dass auch ein vermeintliches "low frequency / high impact"-Szenario durchaus eintreten kann. Sie sollte Denkanstöße geben und immer wieder in Erinnerung gerufen werden, wenn man wieder in Risikobewertungen über genau solche Wahrscheinlichkeiten diskutiert wird.
Claudia Meyer: Meines Erachtens hat COVID-19 nicht zwingend zur Veränderung der Wahrnehmung und Wichtigkeit von NFR beigetragen. COVID-19 hat dazu geführt, dass die 1st und 2nd Line Funktionen integrierter und gesamtheitlich im Sinne gesamtunternehmerisch zusammengearbeitet haben, um alle Stakeholdergruppen (insbesondere Kunden, Mitarbeiter und Aufsicht) zu bedienen. Eine gemeinsame Konzentration auf die Core Value Chain Prozesse und deren Priorisierung half bei der zeitnahen Ausführung der Notfallmaßnahmen und Kundenprozesse sowie in der Optimierung der Notfallpläne allgemein.
RiskNET: Welche Rolle haben Risikokultur und andere Behavioural Risk Management-Faktoren bei der Bewältigung der Pandemie gespielt? Was davon bleibt?
Marion Bürgers: Kommunikation, Verantwortungsübernahme, Entscheidungen treffen sind Kernbestandteile des Behavioural Risk Management und integraler Bestandteil einer vernünftigen Risikokultur. Natürlich nicht nur in Banken. Einige Banken haben dies bereits erkannt und eigene Bereiche dafür ins Leben gerufen. Dies ist (noch) keine regulatorische Anforderung, daher kann man davon ausgehen, dass diese Bereiche auch wirklich gewollt sind, um die Risikokultur und das Risikobewusstsein zu verbessern. Teilt man den Begriff in seine wesentlichen Bestandteile wird schnell klar, dass NFR vor allem geprägt ist vom Verhalten jedes Einzelnen in der Organisation, also dem Umgang mit Risiken, und dessen Management. Dazu gehört vor allem auch das Thema Führung / Leadership, denn in Zeiten der virtuellen Arbeitsumgebung hat sich gezeigt, dass hinter vielen Risiken vor allem Menschen stehen, die jene Grundzüge brauchen für die Behavioural Risk Management steht: Kommunikation, Verantwortungsübernahme und Entscheidungen.
Claudia Meyer: 1st und 2nd Line Funktionen haben die Maßnahmen auf die wichtigsten Prozesse und Stakeholder ausgerichtet und am "gleichen Strang" gezogen. Viele Abteilungen inkl. der wichtigsten Servicegesellschaften arbeiteten engmaschig "End2End" zusammen. Sog. "Turf Wars" und Silodenkweisen zwischen den Funktionen wurden hintenangestellt. Die Risikofunktion konnte ihre "Beraterrolle" im Business weiter ausbauen und Vertrauen generieren, was die zukünftige Zusammenarbeit zwischen 1st und 2nd Line weiter stärken wird und die Rolle der 2nd Line Funktionen bei Change- oder Krisenprozessen als ein aktiv gesuchter Gesprächspartner des Business in Risikofragen und Maßnahmenplanung stärken.
Christoph Reitze: Offenheit für neue Wege und die Bereitschaft, Fehler zuzulassen, Probleme klar anzusprechen und wenn nötig zeitnah gegenzusteuern waren sicher zentral, insbesondere in den ersten Tagen und Wochen. Insofern würde ich sagen ein gewisses Maß an Agilität war sicher ein Erfolgsfaktor. Andererseits ist mittelfristig aber auch die stringente Rückkehr in vollständige "new normal" Regelprozesse an vielen Stellen eine Herausforderung – nicht nur bei Fragen der bilanziellen Abbildung von Vermögensgegenständen, sondern auch in allen operativen Prozessen, die oftmals deutlich mehr "remote"-Anteile haben. Hier müssen Risiken neu gedacht und bewertet werden, aber auch Konsequenzen aus Erfahrungen gezogen werden. Beispielsweise hochmanuelle oder gar papierhafte Prozesse mit freihändigen Checklisten ohne klaren Workflow oder auch eine fehlende Systemunterstützung sind wohl zunehmend kritisch zu bewerten – auch wenn enge gefasste Kosten/Nutzen-Aspekte in der Vergangenheit oftmals "lebensverlängernd" waren.
Sebastian Fritz-Morgenthal: Die Bereitschaft, sich an globale Standards zu halten, solange lokale Besonderheiten berücksichtigt werden, ist zu Anfang der Krise deutlich gestiegen. Es wird sich zeigen, was davon bleibt, wenn diese Krise überwunden ist. In jedem Fall ist unsere Risikokultur für viele Kolleginnen und Kollegen deutlich anfassbarer geworden. Es ist nun klar, warum wir unsere Risikokultur verschriftlichen, aber auch was uns von unseren Kunden, Partnerfirmen und Mitbewerbern unterscheidet.
RiskNET: Können Banken etwas von anderen Branchen lernen, die beispielsweise über eine hoch entwickelte Risiko- und Fehlerkultur verfügen? Oder auch von Branchen, deren Kernkompetenz NFR ist, beispielsweise Rückversicherern?
Marion Bürgers: Diese Frage könnte man auch umdrehen. Vielleicht hätte es in einigen Branchen weniger kritische Auswirkungen gegeben, wenn andere Branchen es den Banken nachgemacht und beispielsweise Verwaltungstätigkeiten an die heimatlichen Schreibtische verlagert hätten.
Claudia Meyer: Was verstehen wir unter einer hoch entwickelten Risiko- und Fehlerkultur? Eine hoch entwickelte Risiko- und Fehlerkultur ist gekennzeichnet durch eine offene Kommunikation von Fehlern oder Prozessschwächen zwischen der 1st und 2nd Line of Defence und dem Willen der 1st Line, die Ursachen zu erkennen und zeitnah abzustellen. Dieses Verhalten sollte im Idealfall auch incentiviert beziehungsweise bonusrelevant für das Management der 1st Line sein. Die Etablierung einer offenen Fehlerkultur trägt dazu bei, die Prozesse weiter zu optimieren und auf die Kundenbedürfnisse weiter auszurichten. Das bedeutet auch, die Kontrollen effektiver und effizienter einzusetzen sowie bei der Veränderung von Prozessen und Einführung von Systemen das Kontrollinventar zusammen mit der Risikofunktion zu überprüfen.
Sebastian Fritz-Morgenthal: Lessons Learned sind ein sehr mächtiges Instrumentarium, die eigene (Fehler-)Kultur besser zu verstehen und zu kodifizieren. Wir haben eine entsprechende Datenbank mit internen und externen Ereignissen und daraus abgeleiteten Handlungsanweisungen und Prozessen. Diese benutzen wir dann auch im Training unserer Mitarbeiterinnen und Mitarbeiter, damit jeder weiß, warum wir bestimmte Dinge auf eine bestimmte Art und Weise tun und nicht einfach so, wie es in einem Lehrbuch oder Standardtraining zu Risikomanagement beschrieben ist.
Christoph Reitze: Banken im Allgemeinen sind sicher nicht immer führend, wenn es um Agilität, Transparenz und Systemunterstützung von Prozessen geht. Und letztlich ist dies sicher auch Ausdruck einer Risiko- und Fehlerkultur. Insofern, ja, ein Blick auf Wettbewerber und benachbarte Branchen lohnt sicher. Wobei mir spontan eher Fintechs einfallen würden als Versicherungskonzerne. Gerade die Agilität und eine schlanke Systemlandschaft können Inspiration für ausgewachsene Organisation sein.
RiskNET: Ein Blick in die Kristallkugel: Wie wird sich die Relevanz von NFR im Vergleich zu den Finanzrisiken weiterentwickeln? Und wie wachsen die Einzelthemen im NFR (wieder) zusammen?
Marcus Haas: Vieles wird davon abhängen, ob ESG-Risiken zu den "Non Financial Risk" zählen oder eher den finanziellen Risiken zugeordnet werden. Dafür müsste es aber auf der Aktiv-Seite auftauchen und Banken müssten Chancen und Gewinne sehen bei grünen Investments – anstatt regulatorischer Anforderungen.
Claudia Meyer: Die Bedeutung von NFR-Management wird weiter steigen, da neue Risikobereiche wie beispielsweise ESG und Klimaveränderungen als neue Themen sowie Compliance-, IT- und Krisenrisiken weiter an Bedeutung gewinnen. Dabei spielt die Integration dieser Risiken in das NFR-Management eine wichtige Rolle. Die Bewertung dieser Risiken sowie das Reporting und die Überwachung sollten einheitlich erfolgen, um die Risikomitigierung besser zu priorisieren und nachzuhalten.
Als Beispiel für das Zusammenwachsen der Einzelthemen sei die Integration des Business Continuity Management (BCM) in die NFR-Management-Prozesse erwähnt.
Die vom Business Continuity-Manager und Risikomanager gemeinsam identifizierten Krisenszenarien werden in den NFR-Risikokatalog integriert und für das Unternehmen bzw. für die jeweiligen Tochterunternehmen/Standorte nur einmal bewertet – sog. Risk Impact Analysis. Die Business Continuity-Maßnahmen, hergeleitet für die wesentlichen Prozesse und identifiziert in der BIA (Business Impact Analyse), werden dann gleichbedeutend als Kontrollen für die Krisenszenarien zwischen der 1st Line und dem Business Continuity-Manager festgelegt und im integrierten (Governance-Risk-Control) GRC-System dokumentiert. Der NFR-Manager überprüft regelmäßig das Design und die Wirksamkeit der Business Continuity-Tests und weiterer Kontrollen.
Sebastian Fritz-Morgenthal: Es wird immer eine ERM-/GRM-Funktion benötigt, die beim CRO angesiedelt sein muss. Diese muss sich um die dauerhafte Weiterentwicklung als auch konsistente Anwendung des Risiko-Rahmenwerks kümmern. Die Unterscheidung nach Non Financial Risk und Financial Risk wird in vielen Industrien weiter verwischen, das Verständnis der Ursachen wird (hoffentlich!) weiter steigen und damit unsere Risikomanagementansätze weiter verbessern.
Christoph Reitze: Leistbarkeit im operativen wie monetären Sinn – nach meinem Verständnis zwei der Hauptbeweggründe für eine integrierte NFR Steuerung – sind im Grunde unabhängig von der Institutsgröße zentral für den Aufrechterhalt einer fungiblen und adaptierbaren Organisation. Während bei kleineren und mittleren Unternehmen vielleicht eher Kostenaspekte im Fokus stehen, bedarf es, gerade bei größeren Häusern, einem aktiven Gegengewicht, das nach Konsolidierung strebt, um den stetig steigenden Anforderungen und damit einhergehenden Spezialisierungen Herr zu werden und so Konsistenz und Steuerungsrelevanz zu bewahren.
RiskNET: Und was wird sich auf der Methodenseite tun? Risk Analytics und Artificial Intelligence (AI) sind in aller Munde. Können wir solche Ansätze nutzen, um wirksame Frühwarnsysteme – auch für NFR – zu entwickeln?
Claudia Meyer:AI erscheint mir noch zu verfrüht, da derzeit keine oder nur eine geringe Datenlage für viele NFR Themen vorhanden ist. Szenarioanalysen-Workshops mit Experten ist hier das wichtigste Tool, um die Risiken zu analysieren und zu bewerten sowie die Maßnahmen und den Risikoappetit festzulegen.
Sebastian Fritz-Morgenthal: Dies sind Tools, die bislang eine große Rolle gespielt haben und auch in Zukunft weiter spielen werden. Allerdings müssen sie zwingend ergänzt werden um Stresstests, Szenarioanalysen und entsprechende Trainings und Übungen, um die Anwendbarkeit und Wirksamkeit unserer Risikomanagementtechniken dauerhaft zu garantieren.
Marcus Haas: Durch den neuen Standardansatz werden Modelle für OpRisk zunehmend unwichtiger werden. Zeitgleich werden Modelle vermutlich Einzug einhalten im Bereich der Bewertung von ESG-Risiken.
RiskNET: Wie wird die zukünftige Rolle des CROs aussehen? Wird der nächste CRO ein Cyber Risk-Experte, ein Jurist/eine Juristin oder ein Psychologe oder eine Psychologin sein?
Christoph Reitze: Ich finde es interessant, dass abhängig vom Geschäftsmodell zunehmend auch Lebensläufe aus dem NFR-Management aktiv für Vorstandspositionen gesucht werden. Gleichzeitig machen es aber auch regulatorische Anforderungen im "Fit and Proper"-Verfahren, wie beispielsweise eine Mindesterfahrung im operativen Kreditgeschäft, nicht unbedingt einfacher, tiefe Expertise in möglicherweise hochrelevanten Spezialthemen in die Funktion einzubringen. Insofern wird es wohl in den meisten Fällen noch eine Weile beim vielseitig interessierten Betriebswirt bleiben.
Marcus Haas: Ich gehe eher davon aus, dass es dezidierte Risikoexperten gibt, beispielsweise für Cyber, Sustainability, OpRisk, Compliance etc., deren Wissen im Risk Report zusammenkommt und an einen "klassischen" CRO geht im Sinne einer Managementposition (BWLer, Jurist)
Marion Bürgers: Es gibt dafür kein One-Size-Fits-All und keinen Stereotyp. Wichtig ist, jedes Risiko ernst zu nehmen, nicht nur jene, die sich modellieren lassen und mit denen bereits Erfahrungen in der Branche gesammelt wurde, wie beispielsweise in der Finanzkrise 2008. Es gibt keine Drehbücher, man kann nicht alles vorhersehen und einkalkulieren, Cyber Risk ist ja nur ein Teilaspekt von NFR. Psychologie spielt sicher eine große Rolle, aber insbesondere gesunder Menschenverstand, Risikobewusstsein, Empathie und auch Erfahrung sind essenzielle Bestandteile der CRO-Funktion.
Claudia Meyer: Ein CRO, beispielsweise in der Versicherungswirtschaft, wird weiterhin mehr mathematisch orientiert sein aufgrund der versicherungstechnischen und Finanzmarktorientierten Risikomodelle. Daher sollte die Rolle und Verantwortung des Head of Enterprise Risk Management oder Head of NFR-Management weiter gestärkt und ausgebaut werden. Die Etablierung sowohl eines quantitativen CROs als auch NFR-CROs auf identischer Führungsebene wäre eine mögliche Lösung. Ebenso kann es sinnvoll sein, die Compliance-Funktion mit der NFR-CRO-Funktion zusammenzuführen, da ein Großteil der operationellen/NF Risiken aus Compliance-Risiken bestehen. Damit ist es möglich, weitere Synergien und Transparenz im Risikomanagement in der 1st und 2nd Line zu realisieren.
Sebastian Fritz-Morgenthal: Die nächste CRO wird selbstverständlich eine Kernphysikerin sein. Sie kann mit Daten umgehen, hat ein gutes Verständnis von Regeln und deren Grenzen, ist an lebenslanges Lernen gewöhnt, kann gut in Teams arbeiten insbesondere auch mit Menschen kooperieren, die manchmal spezielle Charaktereigenschaften zeigen, sie kommt regelmäßig an eigene oder Team-Grenzen und hat gelernt, mit diesen Grenzen umzugehen.
Thomas Kaiser: Zusammenfassend aus dem Roundtable und den übrigen Buchbeiträgen kann festgestellt werden, dass COVID-19 das Non-Financial Risk Management nicht fundamental geändert hat, die Wahrnehmung für die Themen, die Wichtigkeit der Zusammenarbeit der "Three Lines of Defence" und der Nutzen von "tried and tested" Operational Resilience-Ansätzen jedoch erheblich gestiegen sind. In dem Zusammenhang ist insbesondere klar geworden, dass der "Faktor Mensch" entscheidend ist: eine gute Risikokultur, intrinsische und extrinsische Motivation aller Mitarbeiter und klare "Ownership" für die Risiken (mit entsprechender Verantwortungsübernahme) haben Banken deutlich besser durch die Krise gebracht. Und für diejenigen Institute mit Optimierungspotential in dieser Hinsicht sollte spätestens die Erkenntnis, dass COVID-19 weder die letzte Pandemie geschweige denn die letzte Krise insgesamt sein wird dazu animieren, ihr Non-Financial Risk Management entsprechend zu verbessern. Die komplexen Anforderungen an das Management von finanziellen und nicht-finanziellen Risiken im Zusammenhang mit ESG-Risiken dürften neben den Impulsen aus COVID-19 Ansatzpunkte hierzu liefern.
Thomas Kaiser (Ed.): Non-Financial Risk Management: Emerging stronger after Covid-19, RiskBooks, London 2021, ISBN 9781782724421
Weitere Infos