Von Norbert Gittfried

Die proaktive Überwachung von finanziellen Risikopositionen inklusive einer quantitativen Steuerung der Risikovorsorge ist zentraler Bestandteil der regulatorisch geforderten Kapitaladäquanz und damit im Bankwesen Standard. Die Entwicklung des Kreditrisikos eines Kreditportfolios etwa wird entlang quantitativer Zielkorridore überwacht und fortlaufend prognostiziert. Sofern erforderlich, werden vorausschauende Maßnahmen zur Risikovorsorge veranlasst, um die antizipierte Risikoexposition der Bank innerhalb des Zielkorridors zu halten.

Risikoexpositionen im Bereich der nichtfinanziellen Risiken (NFR) hingegen werden von vielen Banken zum heutigen Zeitpunkt nur begrenzt quantitativ gesteuert, wie die Umfrage „Risikoappetit“ aufzeigt. Meist dominieren qualitative Entscheidungskriterien und Überwachungsmodelle. Vor dem Hintergrund einer wachsenden Volatilität der Risikolandschaft stoßen diese zunehmend an ihre Grenzen.

Auch seitens der Aufsichtsbehörden werden konkretere Erwartungen an die übergreifende Steuerung nichtfinanzieller Risiken formuliert. Die Europäische Zentralbank (EZB) etwa fordert eine holistische Überwachung aller nichtfinanziellen Risiken und betont die zentrale Notwendigkeit von Risikoappetitframeworks für eine effektive, proaktive Risikosteuerung. Vor diesem Hintergrund wurde in der Umfrage „Risikoappetit“ eine Standortbestimmung vorgenommen. Mehr als 90 % der befragten Banken bestätigen, über Strukturen für Risikoappetit-Frameworks für NFR zu verfügen.

Die zentrale Steuerung und gruppenweite Konsolidierung von Risikoappetit-Frameworks ist eine Kernherausforderung der Banken, deren Umsetzung vor allem durch bereichsspezifische, nebeneinander be­stehende Risikoappetit-Frameworks erschwert wird. Dem treten die Institute hauptsächlich mit drei Maßnahmen entgegen: Vorgabe eines gruppenweiten Risikoappetit-Frameworks, enge Einbeziehung der Konzerneinheiten bei Gestaltung und Anpassung des Risikoappetit-Frameworks sowie Überprüfung der Einhaltung von Risikoappetitvorgaben auf regionaler Ebene.

In vielen Instituten lässt sich die Rollenverteilung hinsichtlich Festlegung und fortlaufender Steuerung des Risikoappetits noch klarer definieren. Zudem ist es möglich, bestehende Mandate, z. B. von Risikocontrolling und Compliance, besser voneinander abzugrenzen. In den meisten Banken liegt die Dokumentation zum Risikoappetit-Framework fragmentiert vor – und häufig verteilt auf Risiko- und Geschäftsstrategiedokumente, Methodenkonzepte und Risikoberichte.

Die meisten befragten Institute haben qualitative Risikoappetitstatements definiert, um relevante Produkte, Transaktionen, Geschäftsbeziehungen oder IT-Anwendungen, von denen z. B. ein höheres Geldwäsche- oder IT-Sicherheitsrisiko ausgeht, zu untersagen oder unter Risikovorbehalt zu stellen. Qualitative Risikoappetitstatements sind vor allem für Risikotypen wie Financial Crime Risk, Conduct Risk, Information Security Risk und Outsourcing & Vendors Risk weit verbreitet.

Weniger als die Hälfte der befragten Banken steuert NFR mit quantitativen Methoden – das heißt auf Basis gestaffelter Ziel-, Eskalations- oder Maximalwerte. Die häufigsten qualitativ gesteuerten Risikotypen sind Information Security Risk, Outsourcing & Vendors Risk, Business Continuity Risk und Financial Crime Risk.

Zahlreiche Institute ergreifen mehrere unterschiedliche Maßnahmen zur übergreifenden NFR-Steuerung. Die wichtigsten sind übergreifende Abstimmung von und regelmäßiger Austausch zu risikorelevanten Themen, risikotypenübergreifende Harmonisierung von Methoden sowie Konsolidierung der Berichterstattungen für einzelne Risikotypen zu einem gesamthaftem NFR-Reporting.