Non-Financial Risk

Warum unkonventionelle Gefahren für Banken heute größer sind denn je. Und wie sich die Branche dagegen schützen kann

Vier Konfliktlinien kennzeichnen gegenwärtig unsere Gesellschaft und damit auch unser Wirtschafts- und Finanzsystem: Nachhaltigkeit und Digitalisierung als zwei große Transformationsprozesse sowie die gesellschaftspolitischen Umwälzungen durch Ukraine-Krieg und Corona-Pandemie. Alle vier liefern Beispiele für neue Risikopotenziale, die nicht aus klassischen Finanzgeschäften des Bankensektors stammen. Die Branche spricht von sogenannten NFRs. Laut einer aktuellen Studie von KPMG haben viele Häuser beim Risikomanagement dieser Faktoren noch Optimierungspotenzial.

Psychologie des Risikos

Als Non-Financial Risks (NFRs) werden alle Risikofaktoren bezeichnet, die nicht in den klassischen Finanzgeschäften einer Bank, also in z. B. in der Kreditvergabe und Wertpapierhandel gründen. Hierzu gehören die Bereiche Recht und Regulatorik, Cybersicherheit und IT und das operative Geschäft – aber auch Softfacts wie etwa Reputation und Außendarstellung einer Bank.

Die aktuelle Benchmark Studie „Non-Financial Risk“ (2022) von KPMG kommt zu dem Ergebnis, dass Banken durchschnittlich nur zehn bis 15 Prozent ihres Risikomanagementbudgets für NFRs aufwenden. Sie basiert auf dem Rücklauf von 28 deutschen Instituten und deckt 100 Prozent der Top zehn und 80 Prozent der Top 20 Häuser ab.

Die Gründe dafür haben eine psychologische Dimension: Das Augenmerkt der Häuser richtet sich traditionell auf die Geschäftsbereiche mit großem Gewinnpotenzial. Dass hier auch hohe Risiken liegen, ist allgemein anerkannt. Doch je komplexer unsere Welt, der Markt und seine Mechanismen und Technologien werden, desto größer sind auch die Gefahren aus nicht-herkömmlichen Geschäftsbereichen.

Neue Welt, neue Szenarien

Im juristischen Bereich etwa ist eine neue Entwicklung zu beobachten: Umweltschutzorganisationen gehen bei sogenannten Klima-Klagen wie gegen den Shell-Konzern 2021verstärkt dazu über, auch die Kreditgeber der jeweiligen Unternehmen vor Gericht zu zerren. Auch wenn eine solche Klage kaum Erfolgschancen hätte: Stünde mit einem Kreditinstitut erstmals auch der Gläubiger eines Mineralölkonzerns vor Gericht, wäre der Imageverlust mit Sicherheit riesig.

Die Corona-Pandemie und der Angriff Russlands auf die Ukraine sind zwei weitere Beispiele für kulturelle bzw. politische Faktoren, die unsere Wirtschaft überraschend getroffen haben: Eine globale Energiekrise, Lieferkettenprobleme und Rohstoffmangel verursachten eine Wirtschaftskrise, die immer auch die Banken als Geldgeber der Unternehmen trifft. Aufgrund der Sanktionen gegen russische Firmen und Privatkapital sollte die Branche derzeit zudem sehr vorsichtig bei der Wahl ihrer Geschäftspartner sein.

Auch mit der Digitalisierung gehen Risiken einher: Viele Institute nutzen erfolgreich Public Cloud Services zugunsten ihrer Kosteneffizienz, Skalierbarkeit und Consumer Centricity. Da die Datenverarbeitung der drei Marktführer Amazon, Google und Microsoft unter US-Recht fällt, kann es zum Beispiel im Falle des Zugriffs US-amerikanischer Strafverfolgungsbehörden auf die Daten europäischer Kunden zu Verstößen gegen EU-Datenschutzbestimmungen kommen.

Einen Sonderfall innerhalb der NFRs bilden die Operativen Risiken. Sie sind die einzigen aus dem nicht-finanziellen Sektor, die bei den Instituten als Risikofaktoren etabliert sind. Dennoch ging der DWP Bank durch eine handwerkliche Panne bei der Transaktion von Exchange Traded Commodities (ETC) im vergangenen Winter nahezu ihr gesamter Jahresgewinn von 60 Millionen Euro verloren. Obwohl Banken das operative Geschäft als Risikoquelle identifiziert und anerkannt haben, verstehen sie derartige Ereignisse als Einzelfälle. Sie täten sich leichter, wenn sie operative Fehler mathematisch nüchtern als statistische Realität betrachteten, die zwar selten aber dennoch regelmäßig auftreten – und gegen die es die gleichen Absicherungsmaßnahmen gibt wie gegen geplatzte Kredite.

Gefahr erkannt – Gefahr gebannt

Die wichtigste Maßnahme zur Risikovermeidung ist die Wahrnehmung dieser Faktoren. Die aktuelle KPMG-Studie zeigt: 75 Prozent der Institute haben eine NFR-Funktion mit zentraler Managementverantwortung. 70 Prozent davon bezeichnen wiederum die Integration von NF-Risiken in den Controllingprozess als hoch oder sehr hoch. Dem gegenüber steht jedoch ein Viertel aller Banken, das nicht über eine NFR-Funktion verfügt und daher die Berücksichtigung von NFRs nur zu 20 Prozent als hoch oder sehr hoch bezeichnet. Sollte es an einer internen NFR-Funktion mit zentraler Verantwortlichkeit mangeln, empfiehlt sich dringend die Implementierung einer solchen. Am besten mit einem Head of NFR direkt nach dem CRO (Chief Risk Officer) nach Vorbild der großen internationalen Häuser.

Weiterführende Maßnahmen im NFR-Management sind die Entwicklung eines NFR-Rahmenwerks parallel zu entsprechenden 2nd-Line-of-Defense-Funktionen (2nLoD) etabliert. Darüber hinaus können GRC-Software (Governance Risk & Control), Künstliche Intelligenz oder Machine Learning das Mittel der Wahl sein. Auch wenn es immer Sonderfälle geben wird, bei denen auch das beste Risikomanagement machtlos ist: Je höher Akzeptanz und Integration von NFR-Faktoren, desto geringer die Wahrscheinlichkeit, dass durch sie Schaden entsteht.

Marktkommentar von Markus Quick (KPMG) | KPMG-Studie „Non-Financial Risk 2022“