Das Risikomanagement ist ein integraler Bestandteil zur Vermeidung von regulatorischen, finanziellen und Reputationsrisiken. Der Mehrwert dieser, typischerweise als Kostenstelle gefรผhrten, Abteilung ist allerdings nicht immer so leicht zu quantifizieren wie etwa bei einem Profit-Center. In den vergangenen Jahren nahmen aber vor allem Schรคden und damit verbundene Strafzahlungen im Bereich IT-Sicherheit, Geldwรคsche und Datenschutz zu. Dabei summierten sich die Zahlungen laut FINANCE auf mehrere Milliarden US-Dollar. Betroffen waren sowohl kleine als auch multinationale Finanzinstitute. Neben dem finanziellen Schaden kann der Reputationsschaden zu lรคngerfristigen Wettbewerbsnachteilen fรผhren.
Nach der Finanzkrise 2007 sind es im Verhรคltnis zu rechtlichen und finanziellen Risiken besonders die operationalen Risiken, die einen erheblichen Stellenwert erhalten. Abhรคngig von der Grรถรe eines Finanzinstitutes, kann ein operationales Risiko-Rahmenwerk nรคherungsweise 35 bis 60 Risikotypen umfassen. Bei der Allianz Global Investors (AllianzGI) wird jedem dieser Risikotypen ein Risikoverantwortlicher der ersten โVerteidigungslinieโ zugewiesen. Das Risikomanagement รผbernimmt beratende und รผberwachende Tรคtigkeiten in der zweiten Verteidigungslinie, wรคhrend die Revision als dritte Verteidigungslinie agiert.
Die grรถรten Risiken 2021
Die Allianz Global Corporate & Specialty hat 2700 Risikomanager aus 92 Lรคndern befragt. Das Ergebnis: โBusiness Interruptionโ (Betriebsunterbrechung), โPandemic Outbreakโ (Pandemie) und โCyber Incidentsโ (Cybervorfรคlle) sind die Top-Risiken 2021. Zwei der Top-Risiken sind in der Corona-Pandemie deutlich spรผrbar. COVID-19 hat viele Finanzhรคuser und vor allem das Business Continuity Management herausgefordert.
Durch definierte Wiederherstellungszeiten zur Aufrechterhaltung des Geschรคftsbetriebes hat die AllianzGI Mitarbeiter bereits vor der Krise einen Remote-Zugang ermรถglicht. So konnte beim Ausbruch des Coronavirus ein schneller รbergang ins Homeoffice an allen 26 Standorten ermรถglicht werden. Dies resultierte auch aus dem globalen und abteilungsรผbergreifenden Fokus des Risikomanagements, das unabhรคngig von COVID-19 eine Notwendigkeit zur standortunabhรคngigen Arbeit erkannt hat.
Doch die Pandemie erstreckt sich entlang der gesamten Wertschรถpfungskette, die in groรen Teilen von Dienstleistern unterstรผtzt wird. Daher sollten die Anforderungen an Notfallplรคne bei Dienstleistern nicht hinter den eigenen Standards zurรผckbleiben. Nur so kรถnnen Personalengpรคsse sinnvoll und strukturiert adressiert werden. Auรerdem sollten lรคnderspezifische Klumpenrisiken frรผh identifiziert und in Notfallplรคnen berรผcksichtigt werden.
Fester Bestandteil der Wertschรถpfungskette
Grundsรคtzlich haben Dienstleister einen groรen Stellenwert im Risikomanagement. Durch Digitalisierung und die Nutzung komparativer Kostenvorteile ist der Dienstleister-Markt sowie das globale Outsourcing fรผr viele Finanzhรคuser fester Bestandteil der Wertschรถpfungskette. Wichtig ist dabei eine sorgfรคltige Gestaltung des gesamten Lebenszyklus einer Dienstleisterbeziehung. Dazu gehรถren unter anderem die Due Diligence, um Risiken einer Partnerschaft zu antizipieren und zu รผberwachen sowie ein โExit-Planโ.
Dieser sollte auch dann einen fortlaufenden Betrieb ermรถglichen, wenn Schwierigkeiten beim Erbringen der Dienstleistung auftreten oder neue Geschรคftswege eingeschlagen werden. Ferner liegen Cloud-Dienste im Trend. Diese werden ebenfalls aktuellen und zukรผnftigen Regularien unterliegen, wie der Europรคischen Wertpapier- und Marktaufsichtsbehรถrde (ESMA).
Zusรคtzlich wird in diesem Bereich spezielles Know-how benรถtigt, um die Flexibilitรคt und Skalierbarkeit der Cloud-Dienste effektiv zu nutzen, ohne von Kosten oder Sicherheitslรผcken รผberrascht zu werden. Maรnahmen fรผr das Top-Risiko โCyber Incidentsโ und der oft damit verbundenen Verletzung des Datenschutzes fokussieren sich zunรคchst auf die Vermeidung von Vorfรคllen. Allerdings ist es ratsam, Maรnahmen zur Begrenzung mรถglicher Schรคden durch Angriffe gleichwertig auszubauen. Heute ist eine erfolgreiche Cyber-Attacke kein Einzelfall mehr und sollte daher entsprechende Berรผcksichtigung in jedem Notfallplan und im Maรnahmenkatalog finden. Sollte ein Angreifer beispielweise Zugriff auf ein internes System erlangen, kann der Schaden unter anderem durch frรผhzeitige Identifizierung, Isolierung, Beschrรคnkung der Zugriffsrechte und Wiederherstellungsplรคne beschrรคnkt werden.
Wie kann eine Risikoeinschรคtzung erfolgen?
Risiken sollten immer ganzheitlich betrachtet werden, das heiรt eine Risikoanalyse erfolgt pro Risikotyp. Fรผr jeden Typ werden inhรคrente Risiken und das residuale Risiko im Detail analysiert. Dabei flieรen sowohl subjektive Einschรคtzungen der Risiken durch Fachexperten als auch immer mehr datenbasierte Analysen ein. Der Weg zu objektiveren Einschรคtzungen erhรถht die Qualitรคt der Risikobeurteilung und liefert somit eine belastbare Abschรคtzung zur Risikotragfรคhigkeit. Als Datenquellen dienen historische Daten zu Schadensereignissen sowie Feststellungen aus internen sowie externen Quellen branchennaher Unternehmen. Ebenso kรถnnen etwa bekannte Compliance-Verstรถรe berรผcksichtigt werden. So lassen sich das interne Kontrollumfeld validieren und Vergleichsgrรถรen fรผr etwaige Schรคden pro Risikotypen herleiten.
Die Ergebnisse pro Risikotyp mรผnden in Fokusbereiche, fรผr die eine Priorisierung fรผr weitere detaillierte Analysetรคtigkeiten erstellt werden. Bei diesen sogenannten Deep Dives arbeitet das Risikomanagement eng mit den Risikoverantwortlichen der ersten โVerteidigungslinieโ zusammen, um das Kontrollumfeld zu verbessern und somit potenzielle Schadensfรคlle zu verringern. Daneben finden fรผr alle Risikotypen quartalsweise Meetings mit den jeweiligen Verantwortlichen statt, in denen Schadensereignisse und Risikoindikatoren besprochen werden. Alle diese Schritte dienen dazu, ein holistisches operationales Risikomanagement abzubilden, um mรถglichst frรผhzeitig Risiken antizipieren und mitigeren zu kรถnnen.
Timo Maus ist Assistant Vice President und Risk Manager - Operational and Business Risk bei Allianz Global Investors. Nach seinem Studium in Finance & Strategic Management an der Copenhagen Business School sammelte Timo Maus wertvolle Einblicke durch seine frรผheren Funktionen als Management Consultant, Business Manager bei HSBC und Financial & Risk Controller bei Nordea. Bei der Allianz Global Investors arbeitet er nun als globaler Risiko Manager operationaler Risiken.