Von Sonia Dribek-Pfleger und Dr. Lorenz Schendel
Während die individuellen Frameworks der nicht-finanzielle Risiken (NFR) mit zunehmenden regulatorischen Anforderungen (z.B. DORA), aktuellen Herausforderungen (Pandemie, Cyber, KI, geopolitische Krisen) und zugleich gewachsenen und dezentral arbeitenden Teams immer detaillierter und umfangreicher werden, leidet zunehmend der Gesamtüberblick über die nicht-finanziellen Risiken. Doch um von der regulatorischen Pflichterfüllung zu einer effizienten Risikosteuerung zu gelangen, ist oftmals ein Schritt zurück und die Verbindung der jeweiligen Themen erforderlich. In diesem Artikel zeigen wir sowohl pragmatische Ansätze für erste Schritte als auch ein langfristiges Zielbild zur ganzheitlichen Steuerung der nicht-finanziellen Risiken auf, mit dem Ziel, Konsistenz zwischen den verschiedenen NFR-Daten herzustellen, das NFR-Risikoprofil transparent zu machen und durch eine Fokussierung auf die wesentlichen Risiken hin zu einer effizienten Risikosteuerung zu kommen.
Ausgangssituation und Herausforderungen
Historisch gewachsen werden verschiedene NFR aufbauorganisatorisch in unterschiedlichen Bereichen bearbeitet. Ein zentraler Datenhaushalt liegt oft nicht vor, genauso wie ein zentrales NFR-Berichtswesen oft noch nicht vorhanden ist. Durch diese silohafte individuelle Betrachtung leidet vor allem die Effizienz, und bei den Fachbereichen (1. LoD) entsteht der Eindruck, dass ähnliche oder sogar gleiche Risiken von verschiedenen Teams erhoben werden. Ein Mehrwert wird dadurch oft nicht gesehen, nur eine Mehrbelastung – was meistens sowohl zu einer geringeren Datenqualität, Inkonsistenzen in den Bewertungen sowie zu einer Verschlechterung der Risikokultur führt.
Das Ziel liegt also in der Konsolidierung und Harmonisierung verschiedener Frameworks. Damit können die Aufwände bei der Erhebung und Steuerung der Risiken minimiert, die Fachbereiche besser mitgenommen und Inkonsistenzen aufgedeckt werden. Das erhöht nicht nur die Datenqualität, sondern ermöglicht auch eine bessere Vergleichbarkeit der Risiken und damit auch zielgerichteter eine aktive Risikosteuerung der nicht-finanziellen Risiken.
Eine zentrale Herausforderung sind die meistens aufbauorganisatorisch verteilten Verantwortlichkeiten. Wenn NFR-Themen bereits in einem Bereich gebündelt sind, können Zielkonflikte zumindest reduziert werden. Trotzdem ist das übergreifende Commitment auf Vorstandsebene essenziell. Eine weitere Herausforderung ist die typischerweise heterogene und umfangreiche Systemlandschaft, die oft noch um manuelle Prozesse (z.B. Meldung von Incidents via Mail-Template) ergänzt wird. Ähnliche Komplexitäten ergeben sich bei den zugrunde liegenden Daten und bestehenden Berichten, die sich typischerweise sowohl in Punkto der Granularität (z.B. Tausende stark strukturierte IKT-Daten vs. wenige individuelle mit Freitexten beschriebene Compliance-Fälle) als auch in Punkto der zu betrachteten Metriken (Quantifizierungsmethodik, Zeithorizont, …) sowie der zugrunde liegenden Struktur (prozessbasiert, aufbauorganisatorisch basiert oder basierend auf der Risikotaxonomie) stark unterscheiden.
Verzahnung von Daten und Prozessen
Als Startpunkt können Datenhaushalte, die auf der gleichen Ebene erhoben werden (z.B. Prozesslevel oder Abteilungslevel), direkt und automatisiert miteinander verknüpft werden. Weitere verschiedene Datentöpfe können in einem ersten Schritt manuell mit technisch einfachen Ansätzen (z.B. Excel, PowerBI) verbunden werden. Oftmals lassen sich dann durch geringfügige Anpassungen an der Datenerhebung für die Zukunft Quick Wins realisieren (beispielsweise Ergänzung des Prozesses im Rahmen der Datenerhebung), sodass zukünftig ein höherer Automatisierungsgrad möglich ist. In zahlreichen Fällen ergeben sich bei dieser manuellen Übung auch schon Ansatzpunkte, wie zukünftig verschiedene Risikosteuerungskreisläufe miteinander verzahnt werden könnten, um Aufwände zu reduzieren und Konsistenz der Daten gleich im Rahmen der Erhebung sicherzustellen. Die konsequente Nutzung einer einheitlichen Risikotaxonomie ist hier von großer Bedeutung, um die Zuordnung zu erleichtern und Redundanzen zu vermeiden.
Je nach Umfang des jeweiligen Risikosteuerungskreislaufes, organisatorischer Einbettung der Risikosteuerung und Institutsgröße ergeben sich dabei unterschiedliche Ansätze, wie eine effiziente Verbindung über definierte Schnittstellen, eine zentrale Koordination oder eine vollständige Verzahnung umgesetzt werden können (siehe Abb. 1).
Abbildung 1: Drei Möglichkeiten zur Verzahnung von Risikosteuerungskreisläufen
Im langfristigen Zielbild sollte eine möglichst hohe Vereinheitlichung in Bezug auf die Erhebungsebene, die verwendete Taxonomie (z.B. mehrstufig, um verschiedene Anforderungen abzudecken), Skalen (einheitliche Risikomatrix), Bewertungsmethoden (z.B. VaR), Betrachtungshorizonte und -Stichtage stehen. Optimal unterstützt wird dies durch eine flexible GRC-Software, die eine direkte Verknüpfung der Datentöpfe technisch erlaubt. Dank des modularen Aufbaus der Software ist ein sukzessives Ausrollen und eine schrittweise Erweiterung möglich.
Reporting: Konsistenz, Transparenz und Effizienz
Ein zentrales Ergebnisobjekt ist ein ganzheitlicher NFR-Report – sowohl auf Institutsebene, aber vor allem auch tiefer gelegt, zum Beispiel auf Abteilungs- oder Prozessbündelebene. Im langfristigen Zielbild eignet sich ein automatisiertes Dashboard, das den Gesamtüberblick mit Deep-Dive-Möglichkeiten kombiniert und auf einem zentralen Datenhaushalt basiert. Eine pragmatische und effiziente Erstumsetzung kann auch PowerPoint/PowerBI-basiert auf Basis der ersten manuell verknüpften Daten erfolgen.
Inhaltlich erfüllt dieser NFR-Report (siehe Abb. 2 für beispielhafte Darstellung) mehrere Zwecke:
Transparenz: Die gesammelte Darstellung der verschiedenen NFR-Daten und -Inventare schafft auf Ebene der dezentralen Risikobeauftragten eine Transparenz über die vorhandenen Risiken, die vorher in der Regel nicht vorhanden ist. Die Umsetzung im Projekt zeigt, dass dies sehr positiv von den Fachbereichen aufgenommen wird und somit insbesondere auch die Risikokultur verbessert.
Konsistenz: Der teilautomatisierte Vorababgleich zwischen verschiedenen NFR-Daten und der mit den dezentralen Risikobeauftragten gemeinsame Abgleich von Auffälligkeiten ermöglicht zunächst eine Identifikation von Inkonsistenzen und anschließend eine Behebung, sodass eine verbesserte Datenqualität in den individuellen NFR-Daten resultiert.
Effizienz: Eine gebündelte Darstellung auf wenigen Seiten des gesamten Risikoprofils einer Abteilung oder eines Prozessbündels ermöglicht eine effizientere Bearbeitung sowohl seitens der Fachbereiche als auch für das NFR-Risikocontrolling.
Abbildung 2: Dashboard zur Risikobewertung eines Beispielinstituts
Als Reportingzyklus bietet sich eine Aktualisierung zwei Mal im Jahr an. Einmal zur Vorbereitung des jährlichen Risikoassessmentzyklus, um als Input für die individuellen Workshops zur Risikoidentifikation und -bewertung mit den dezentralen Risikobeauftragten zu dienen, sowie ein weiteres Mal im Nachgang an den Assessmentzyklus zur Ergebnisdarstellung des Risikoprofils.
Fazit und Ausblick
Als CRO erhält man diverse NFR-bezogene Reports, die teils sehr umfangreich und granular sind. Eigentlich sind somit alle relevanten Informationen vorhanden, aber auf die effiziente Nutzung kommt es an. Es kann schwerfallen, die übergreifenden wesentlichen Punkte und insbesondere die Ursachen und Zusammenhänge nachzuvollziehen. Ein übergreifender NFR-Report dient hier als erste Anlaufstelle, um dann durch die regulären Reports in die Details einzutauchen. Auch wenn das langfristige Zielbild mit einer vollständigen Verknüpfung der Daten und einer zentralen Datenbasis je nach Institut nicht oder zumindest nicht leicht umsetzbar ist, so zeigt sich doch, dass eine strukturierte Herangehensweise an ein ganzheitliches NFR-Management generell sinnvoll ist. Eine Verbesserung der Datenqualität stellt sich schnell ein, die Effizienz bei der täglichen Arbeit und die Risikosteuerungsmöglichkeiten werden spürbar verbessert – sowohl im Risikocontrolling als auch in den Fachbereichen, wie die Projekterfahrung zeigt. Mit dem Ziel der Effizienz, Transparenz und Aufwandsreduktion erhält die Arbeit von Risikocontrolling auch zunehmend mehr Wertschätzung seitens der Fachbereiche, da ein individueller Mehrwert gesehen wird. Dadurch verbessert sich auch die Risikokultur und die Zusammenarbeit zwischen Risikocontrolling und den Fachbereichen. Mit einem effizienten Management des aktuellen NFR-Frameworks ist auch die ideale Grundlage gelegt zur Meisterung potenzieller zukünftiger Herausforderungen im NFR, und der Fokus auf die wesentlichen Risiken in der Organisation wird gewährleistet.