KPMG hat im zweiten Quartal 2019 unter einigen führenden deutschen Finanzinstituten eine Befragung durchgeführt, um Entwicklungen am Markt zu untersuchen, die seit einer früheren Studie aus dem Jahre 2016 umgesetzt wurden. Hierbei wurden insbesondere die Themen angesprochen, zu denen gemäß der Studienergebnisse aus dem Jahr 2016 Weiterentwicklungen angekündigt waren bzw. die aktuell im Fokus der Diskussionen in der Branche stehen.
Die Studienergebnisse basieren auf dem Rücklauf von 25 Instituten. Sieben der Teilnehmer gehören zu den zehn größten Banken in Deutschland (gemäß Bilanzsumme per 31.12.2018). Die Institute verteilen sich über alle Sektoren der deutschen Bankenlandschaft.
Non-Financial Risk / Risikoarten und -kategorien
Die Landkarte der Risiken in Banken wird zusehends differenzierter. Risikoarten, die in der Studie aus dem Jahr 2016 noch gar nicht präsent waren (wie beispielsweise Step-in Risk), sind in einigen Instituten bereits als wesentliche Risiken im Rahmen der Risikoinventur identifiziert worden.
Abb. 01: Welche Risikoarten bzw. -kategorien wurden im Rahmen der letzten Risikoinventur eigenständig (nicht nur im Rahmen der übergeordneten Risikoart) als wesentlich/nicht wesentlich klassifiziert bzw. aktuell nicht betrachtet? [Quelle: KPMG]
Risikokultur als Ausgangspunkt guten NFR-Managements
Das Thema Risikokultur betrifft nicht ausschließlich, jedoch in besonderem Maße, Non-Financial Risk (NFR). Sie spielt insbesondere eine wesentliche Rolle bei der Bewältigung von Conduct Risks. Die Hauptverantwortung für das Thema Risikokultur liegt aus der Sicht fast aller Studienteilnehmer im CRO-Bereich.
Die Erhebung einer Ist-Risikokultur ist entscheidend, um Veränderungsbedarfe identifizieren und gezielt umsetzen zu können. Befragungen von bzw. Interviews mit Führungskräften bzw. Mitarbeitern sind die verbreitetsten Methoden. Mehr als ein Drittel der Befragten erwähnt zudem die Beobachtung der Interaktion von Entscheidungsträgern (wie sie beispielsweise von der niederländischen Zentralbank eingesetzt wird).
Abb. 02: Wie ermitteln Sie den Ist-Zustand der Risikokultur und deren Veränderung? [Quelle: KPMG]
Der selbst eingeschätzte Reifegrad des Risikokultur-Rahmenwerks verteilt sich ungefähr gleichmäßig auf die Kategorien "in den Anfängen", "im fortgeschrittenen Stadium" und "etabliert". Lediglich die ebenfalls zur Auswahl stehende Kategorie "vorbildlich" wurde von keinem Studienteilnehmer gewählt.
Veränderungen der Corporate Governance
Corporate Governance als übergeordnetes Thema und Governance im Risikokontext sind wesentliche Entwicklungsfelder bei Banken. Die Risk Governance für Non-Financial Risk stellt dabei aufgrund des großen Spektrums der Einzelrisiken und dem eher geringen Reifegrad eine besondere Herausforderung dar.
Moderne Organisationsformen, wie sie von einzelnen Banken bereits umgesetzt werden (Stichwort "agile"), werden aus Sicht der NFR ambivalent betrachtet. Zwar erwartet die Mehrzahl der Studienteilnehmer bessere Einblicke in Veränderungsprozesse (und kann somit das Risikoprofil besser einschätzen). Auch erhoffen sich einige Banken die Auflösung des Silodenkens durch agile Strukturen. Im Gegenzug wird aber die Möglichkeit der steigenden Fehlerzahl durch verkürzte Entwicklungszyklen (durch Konzepte wie "fail fast" bzw. "minimum viable product") als kritisch eingeschätzt.
Abb. 03: Welche Implikationen haben agile Strukturen in Banken auf das NFR-Management? [Quelle: KPMG]
Im Umfeld der 2nd LoD (Compliance, IT Security, BCM etc.) experimentieren einige Banken mit neuen, oft übergreifenden Governance-Strukturen. Solche Governance-Strukturen werden weit überwiegend positiv interpretiert. Lediglich vereinzelt wird eine Integration in Compliance bzw. der Bedeutungsgewinn spezialisierter 2nd-LoD-Funktionen kritisch betrachtet.
Achtzig Prozent der befragten Institute haben bereits eine Organisationseinheit eingerichtet, in der Überwachungsfunktionen für NFR-Themen gebündelt werden bzw. planen deren Einführung. Somit ist der Grundstein für eine integrierte Betrachtung der vielfältigen Einzelthemen gelegt.
Das Themenspektrum, das durch eine NFR-Koordinationseinheit abgedeckt wird, weist eine hohe Variation auf. OpRisk als übergreifende Risikoart ist naturgemäß der Nukleus der Aktivitäten. RepRisk sowie ICT-Risiken (im weiteren Sinne) sind Spitzenreiter, während Rechtsrisiken (i. w. S.) und Personalrisiken (i. w. S.) mit deutlichem Abstand folgen. Neuere Risikoarten sind noch wenig in diese Überlegungen eingebunden.
Risikoreporting als Basis der Risikosteuerung
Seit der Studie von 2016 ist die Liste der Risikokategorien, die in den Risikobericht auf Vorstandsebene einfließen, deutlich gewachsen. In vielen Fällen (wie beispielsweise Cyber Risk und Legal Risk) hat sich der Anteil der Banken, bei denen über diese Risikokategorien explizit berichtet wird, verdoppelt. Auch neuere Risikokategorien wie Step-in Risk und ESG Risks werden vereinzelt schon in den Risikobericht aufgenommen.
Banken haben i. d. R. hohe Summen in die Verbesserung des Risikoreportings im Zuge der Anforderungen aus BCBS 239 ("Risk Data Aggregation") investiert. Dies scheint einige Probleme der NFR-Belange jedoch nicht umfassend gelöst zu haben. Im Kontext des Risikoreportings werden von der Mehrzahl der Befragten inkonsistente Methoden sowie mangelhafte Datenverfügbarkeit und qualität als Herausforderungen angesehen.
Schwerpunkte der Weiterentwicklung des NFR-Frameworks
Alle in der Studie von 2016 genannten Schwerpunkte der Weiterentwicklung des NFR-Frameworks sind in der Branche weiterhin relevant. Dies spricht möglicherweise dafür, dass der erforderliche Grad der Änderungen höher als antizipiert ist und somit Veränderungsprozesse noch nicht abgeschlossen sind. Den größten Bedeutungszuwachs hat die Verzahnung der verschiedenen Risiko-Frameworks der Einzelkategorien erfahren. Während dieses Thema 2016 nur von einem Viertel der Befragungsteilnehmer genannt wurde, ist dieses nun der Spitzenreiter mit mehr als drei Vierteln. Auch Risikoidentifikation, -bewertung und steuerung konnten deutlich an Bedeutung gewinnen.
Abb. 04: Welche Schwerpunkte setzen Sie bei der Weiterentwicklung des Frameworks für Non-Financial Risks?
Schlussfolgerungen
Die Studie hat bestätigt, dass das Thema Non-Financial Risk weiterhin eine dynamische Entwicklung durchläuft. Die Komplexität der NFR-Disziplin steigt dabei weiter durch neue Risikokategorien/-arten. Eine koordinierte Vorgehensweise zum Umgang mit diesen Aspekten wird von vielen Banken schrittweise eingeführt. Digitalisierung, agile Strukturen etc. beeinflussen das NFR-Risikomanagement ebenfalls stark. Eine angemessene Risikokultur ist dabei entscheidend für den Erfolg des Risikomanagements. Die Risikosteuerung wird zunehmend als vornehmliche Aufgabe gesehen: "Risk Management is about managing risks!". Hinderungsgründe sind Probleme im Risikoreporting, welches unter inkonsistenten Methoden und schlechter Datenqualität leidet. Die Weiterentwicklung der NFR-Rahmenwerke sollte somit erkannte Defizite adressieren und die Rolle der NFR-Funktion als wertstiftende Einheit weiterentwickeln.
Autor:
Prof. Dr. Thomas Kaiser, Center for Financial Studies, House of Finance, Goethe Universität, Frankfurt am Main sowie Director, Advisory, KPMG AG Wirtschaftsprüfungsgesellschaft