Das Risikomanagement ist ein integraler Bestandteil zur Vermeidung von regulatorischen, finanziellen und Reputationsrisiken. Der Mehrwert dieser, typischerweise als Kostenstelle geführten, Abteilung ist allerdings nicht immer so leicht zu quantifizieren wie etwa bei einem Profit-Center. In den vergangenen Jahren nahmen aber vor allem Schäden und damit verbundene Strafzahlungen im Bereich IT-Sicherheit, Geldwäsche und Datenschutz zu. Dabei summierten sich die Zahlungen laut FINANCE auf mehrere Milliarden US-Dollar. Betroffen waren sowohl kleine als auch multinationale Finanzinstitute. Neben dem finanziellen Schaden kann der Reputationsschaden zu längerfristigen Wettbewerbsnachteilen führen.
Nach der Finanzkrise 2007 sind es im Verhältnis zu rechtlichen und finanziellen Risiken besonders die operationalen Risiken, die einen erheblichen Stellenwert erhalten. Abhängig von der Größe eines Finanzinstitutes, kann ein operationales Risiko-Rahmenwerk näherungsweise 35 bis 60 Risikotypen umfassen. Bei der Allianz Global Investors (AllianzGI) wird jedem dieser Risikotypen ein Risikoverantwortlicher der ersten „Verteidigungslinie“ zugewiesen. Das Risikomanagement übernimmt beratende und überwachende Tätigkeiten in der zweiten Verteidigungslinie, während die Revision als dritte Verteidigungslinie agiert.
Die größten Risiken 2021
Die Allianz Global Corporate & Specialty hat 2700 Risikomanager aus 92 Ländern befragt. Das Ergebnis: „Business Interruption“ (Betriebsunterbrechung), „Pandemic Outbreak“ (Pandemie) und „Cyber Incidents“ (Cybervorfälle) sind die Top-Risiken 2021. Zwei der Top-Risiken sind in der Corona-Pandemie deutlich spürbar. COVID-19 hat viele Finanzhäuser und vor allem das Business Continuity Management herausgefordert.
Durch definierte Wiederherstellungszeiten zur Aufrechterhaltung des Geschäftsbetriebes hat die AllianzGI Mitarbeiter bereits vor der Krise einen Remote-Zugang ermöglicht. So konnte beim Ausbruch des Coronavirus ein schneller Übergang ins Homeoffice an allen 26 Standorten ermöglicht werden. Dies resultierte auch aus dem globalen und abteilungsübergreifenden Fokus des Risikomanagements, das unabhängig von COVID-19 eine Notwendigkeit zur standortunabhängigen Arbeit erkannt hat.
Doch die Pandemie erstreckt sich entlang der gesamten Wertschöpfungskette, die in großen Teilen von Dienstleistern unterstützt wird. Daher sollten die Anforderungen an Notfallpläne bei Dienstleistern nicht hinter den eigenen Standards zurückbleiben. Nur so können Personalengpässe sinnvoll und strukturiert adressiert werden. Außerdem sollten länderspezifische Klumpenrisiken früh identifiziert und in Notfallplänen berücksichtigt werden.
Fester Bestandteil der Wertschöpfungskette
Grundsätzlich haben Dienstleister einen großen Stellenwert im Risikomanagement. Durch Digitalisierung und die Nutzung komparativer Kostenvorteile ist der Dienstleister-Markt sowie das globale Outsourcing für viele Finanzhäuser fester Bestandteil der Wertschöpfungskette. Wichtig ist dabei eine sorgfältige Gestaltung des gesamten Lebenszyklus einer Dienstleisterbeziehung. Dazu gehören unter anderem die Due Diligence, um Risiken einer Partnerschaft zu antizipieren und zu überwachen sowie ein „Exit-Plan“.
Dieser sollte auch dann einen fortlaufenden Betrieb ermöglichen, wenn Schwierigkeiten beim Erbringen der Dienstleistung auftreten oder neue Geschäftswege eingeschlagen werden. Ferner liegen Cloud-Dienste im Trend. Diese werden ebenfalls aktuellen und zukünftigen Regularien unterliegen, wie der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA).
Zusätzlich wird in diesem Bereich spezielles Know-how benötigt, um die Flexibilität und Skalierbarkeit der Cloud-Dienste effektiv zu nutzen, ohne von Kosten oder Sicherheitslücken überrascht zu werden. Maßnahmen für das Top-Risiko „Cyber Incidents“ und der oft damit verbundenen Verletzung des Datenschutzes fokussieren sich zunächst auf die Vermeidung von Vorfällen. Allerdings ist es ratsam, Maßnahmen zur Begrenzung möglicher Schäden durch Angriffe gleichwertig auszubauen. Heute ist eine erfolgreiche Cyber-Attacke kein Einzelfall mehr und sollte daher entsprechende Berücksichtigung in jedem Notfallplan und im Maßnahmenkatalog finden. Sollte ein Angreifer beispielweise Zugriff auf ein internes System erlangen, kann der Schaden unter anderem durch frühzeitige Identifizierung, Isolierung, Beschränkung der Zugriffsrechte und Wiederherstellungspläne beschränkt werden.
Wie kann eine Risikoeinschätzung erfolgen?
Risiken sollten immer ganzheitlich betrachtet werden, das heißt eine Risikoanalyse erfolgt pro Risikotyp. Für jeden Typ werden inhärente Risiken und das residuale Risiko im Detail analysiert. Dabei fließen sowohl subjektive Einschätzungen der Risiken durch Fachexperten als auch immer mehr datenbasierte Analysen ein. Der Weg zu objektiveren Einschätzungen erhöht die Qualität der Risikobeurteilung und liefert somit eine belastbare Abschätzung zur Risikotragfähigkeit. Als Datenquellen dienen historische Daten zu Schadensereignissen sowie Feststellungen aus internen sowie externen Quellen branchennaher Unternehmen. Ebenso können etwa bekannte Compliance-Verstöße berücksichtigt werden. So lassen sich das interne Kontrollumfeld validieren und Vergleichsgrößen für etwaige Schäden pro Risikotypen herleiten.
Die Ergebnisse pro Risikotyp münden in Fokusbereiche, für die eine Priorisierung für weitere detaillierte Analysetätigkeiten erstellt werden. Bei diesen sogenannten Deep Dives arbeitet das Risikomanagement eng mit den Risikoverantwortlichen der ersten „Verteidigungslinie“ zusammen, um das Kontrollumfeld zu verbessern und somit potenzielle Schadensfälle zu verringern. Daneben finden für alle Risikotypen quartalsweise Meetings mit den jeweiligen Verantwortlichen statt, in denen Schadensereignisse und Risikoindikatoren besprochen werden. Alle diese Schritte dienen dazu, ein holistisches operationales Risikomanagement abzubilden, um möglichst frühzeitig Risiken antizipieren und mitigeren zu können.
Tipps: Sie möchten gern mehr zu Risk lesen? Dann erfahren Sie hier, welche Rolle die Bürgschaftsbanken in der Coronakrise einnehmen oder lesen Sie hier, wie das Aktivgeschäft als Potenzialträger für Ersparnis- und Kostenoptimierung dienen kann.
