Kategorien
Digitale Transformation Implementierung Regulierung & Compliance Risiko

Integrierte Analysen nicht-finanzieller Risiken – Potentiale einer vernetzten Betrachtung

Nicht-finanziellen Risiken stehen im Fokus der Risikoanalyse. Lesen Sie in diesem Beitrag, wie Sie derartige Risiken vernetzt betrachten können und wie Ihnen eine vernetze Analyse mittels Wirkungsketten hilft, ein umfassendes und integriertes Bild zu entwickeln.

Einleitung

Die Vernetzung unserer Welt nimmt immer weiter zu. Lieferketten und globale Märkte haben die Abhängigkeiten und Verbindungen in den Geschäftsprozessen erhöht. Die fortschreitende Digitalisierung liefert uns Informationen (Daten), die uns helfen können, die bereits bestehenden Abhängigkeiten zu verstehen.

Die nicht-finanziellen Risiken sind in den letzten Jahren mehr und mehr in den Fokus gerückt. Insbesondere Risiken aus Ereignissen, die selten auftreten, aber dann einen großen und teilweise existenzbedrohenden Charakter haben (HILFE – High Impact Low Frequency Events). Diese Risiken bedürfen einer besonderen Betrachtung (siehe (1)).

Raus aus den Silos – Verbindung sehen und managen

Das einzige solide Fundament für ein aktives Management der nicht-finanziellen Risiken ist ein fundiertes Verständnis der Ursprünge und Auswirkungen der Ereignisse. Kommunikation wird erst durch die Einbettung des Ereignisses in seine Wirkungszusammenhänge möglich.

Aktives Management von nicht-finanziellen Risiken erfolgt über Maßnahmen. Aber was sind die effizienten Maßnahmen? Teilweise tragen Maßnahmen, die direkt bei dem Risiko oder dem Risikoereignis ansetzen, nur wenig zur Reduktion des Risikos bei. Die Analyse und Dokumentation der Ursprünge von Risiken geben Aufschluss darüber wo Maßnahmen wirksam werden können. Man umgeht damit die Gefahr einer – langfristig oft wirkungsfreien – Symptombehandlung.

Die nicht-finanziellen Risiken habe sich aus spezifischen Risikoarten (IT-Risiko, Compliance-Risiko, …) heraus entwickelt. Der Entwicklungsgrad in den spezifischen NFR-Risikoarten ist sehr unterschiedlich, denn stark regulierte Risikoarten (wie z.B. IT-Risiko) sind in der Regel weiterentwickelt als weniger regulierte Risikoarten (z.B. Personen-Risiko). Wichtig ist, dass sich das Management und das Reporting aus den Risikoarten heraus entwickelt. Den Verbindungen von Risikoereignissen über die Grenzen einer Risikoart hinaus wird selten Rechnung getragen.

Lösungsansatz: Verbindung der Risikoarten und Ihrer Risikoereignisse über Wirkungsketten

Graphen sind ein hervorragendes Instrument zur Modellierung zusammenhängender Ereignisse. Die beiden wichtigsten Punkte, wenn es um die Dokumentation von Zusammenhängen geht, die Graphen von Text oder Listen unterscheiden, ist die Möglichkeit, A) zu visualisieren und B) zu analysieren.

Beispiel ESG

ESG ist ein Thema mit enormen Auswirkungen auf den Finanzsektor. Der langfristige Einfluss geht mit einem vielschichtigen Risikoprofil einher. Das ESG-Risikomanagement zielt darauf ab, diese Risiken abzudecken. Obwohl wir das ESG-Risiko als eine nicht-finanzielle Risikokategorie betrachten, können selbst die einzelnen Buchstaben in Unterrisiken unterteilt werden. Eine Möglichkeit, das ESG-Risiko zu strukturieren, besteht darin, die Umweltrisiken in physische Risiken und Übergangsrisiken weiter zu unterteilen.

Die Wirkungsgrafik veranschaulicht den Einfluss der veränderten Wahrnehmung des grauen Finanzwesens (Grey Finance[1]) mit den Ausgangspunkten (im Sinne der Graphentheorie in einem gerichteten Graphen – Quellen) sozialer Wandel und Infragestellung des kohlenstoffintensiven Industriemodells. Das Institut erleidet einen Reputationsverlust und einen Verlust in seinem Anleihenportfolio, allerdings nur, wenn die institutsspezifische Schwachstelle „Anlagekonzentration in kohlenstoffintensiven Finanzierungen“ aktiv ist.

Abbildung 1: Wirkungsgraph ESG © ifb SE

Die Knoten im gerichteten Graphen sind in fünf Knotentypen unterteilt: Risikoereignisse (rot), Ereignisse (blau-grün), Schwachstellen (golden), negative Auswirkungen (dunkelblau) und nicht-finanzielle Risikokategorien (hellblau). Zusätzlich werden die Kanten mit den folgenden Schlüsselwörtern versehen: „wirkt auf“, „löst aus“, „ist erforderlich“ sowie „ist Teil“ und „ist Teilrisiko“. Die Kanten „wirkt auf“, „löst aus“ und „ist erforderlich“ verbinden Risikoereignisse, Ereignisse und Schwachstellen, während „ist Teil“ und „ist Teilrisiko“ die oben genannten nicht-finanziellen Risikokategorien verbindet und somit eine Brücke zwischen der Taxonomie und dem Wirkungsdiagramm schlägt.

Abbildung 2: Symbole in einem Wirkungsgraphen © ifb SE

Eine detaillierte Beschreibung der verschiedenen Knotentypen (siehe (2)) und der ifb NFR Taxonomie (siehe (1)) gibt es in „The Digital Journey of Banking and Insurance, Volume I-III“.

Analysemöglichkeiten

In Abbildung 3 ist der oben beschriebene Beispielgraph in einem Analysetool dargestellt. Das Analyse Tool ermöglicht die Zusammenhänge in dem Graphen weiter zu analysieren.

Abbildung 3: Symbole in einem Wirkungsgraphen © ifb SE

In der folgenden Abbildung (Abbildung 4) sind die Möglichkeiten des Vorgänger- und Nachfolgeranalyse illustriert. Dabei sind die Anfangspunkte (Quellen) und den Endpunkte (Senken) von besonderer Bedeutung.

Abbildung 4: Predecessor and successor analysis of ESG graph (tool view) © ifb SE

Risikotreiber (Quellen)

Jeder Wirkungsgraph (Wirkungskette) hat seine Ausgangspunkte. Da wir Wirkungsgraphen von links nach rechts entwerfen, sind diese in der Regel die am weitesten links liegenden Knoten und haben nur ausgehende Kanten. Diese Knoten lösen zunächst die nachfolgenden Knoten aus und sind daher von besonderer Bedeutung und können als Risikotreiber betrachtet werden. Darüber hinaus sind Schwachstellen die Voraussetzung dafür, dass Knoten Nachfolgeknoten auslösen können. Diese Klasse von Knoten hat nur ausgehende Kanten und gehört dementsprechend ebenfalls zu den Risikotreibern.

Negative Auswirkungen (Senken)

Die Endknoten der Wirkungsgraphen haben nur eingehende Kanten und können als endgültige Konsequenzen betrachtet werden. In vielen Fällen enden Wirkungsgraphen in den vier Knoten der Kategorie „negative Auswirkungen“: Reputation, Vermögens-, Finanz- sowie Ertragslage.

Graphen Aggregation

Wie bereits erwähnt, spielen die Quellen und Senken in Wirkungsgraphen eine besondere Rolle. Außerdem ordnen wir die Knoten den Risikokategorien zu, um Verbindungen zwischen den Risikokategorien innerhalb und zwischen verschiedenen Szenarien zu berücksichtigen. Daher haben wir einen Algorithmus implementiert, der diese wichtigen Informationen aggregiert.

Der Algorithmus identifiziert den angeklickten Knoten und traversiert die Pfade vorwärts und rückwärts, bis die Senken und Quellen gefunden sind. Darüber hinaus werden alle Risikokategorien, die den auf den relevanten Pfaden liegenden Knoten zugeordnet sind, identifiziert und visualisiert. Dieser Algorithmus kann sowohl auf den globalen Graphen (viele verschiedene Szenarien, die ebenfalls Verbindungen haben können) als auch auf einzelne Szenarien angewendet werden.

Abbildung 5: Management aggregation of ESG graph (tool view) © ifb SE

Abbildung 5 zeigt das Ergebnis des Algorithmus, der alle für die Managementaggregation relevanten Aspekte berücksichtigt: den angeklickten Knoten in der Mitte, die Risikotreiber auf der linken Seite, die endgültigen Folgen auf der rechten Seite und die betroffenen Risikokategorien oben.

Reporting

Das Risikoereignis ist das Schlüsselelement des Ansatzes zur Entwicklung eines angemessenen Rahmens für das Risikomanagement von nichtfinanziellen Risiken. Die Berichterstattung verfolgt zwei Ziele: A) Beschreibung und Veranschaulichung des Bedrohungsgrads eines Risikoereignisses (und wenn möglich, Schätzung der Verlusthöhe und der Wahrscheinlichkeiten des Risikoereignisses), B) Einbettung des Risikoereignisses in den Kontext seiner Umgebung (die anderen Risikoereignisse).

Dieser Berichtsansatz ist in Abbildung 6 dargestellt. Die drei Kästchen oben rechts zeigen den Zusammenhang zwischen den Risikoereignissen in der gemeldeten Risikokategorie. Zunächst werden die auslösenden Risikokategorien dargestellt (der Zusammenhang ergibt sich aus den zugehörigen Knoten). Der mittlere Kasten zeigt den Status der Risikoereignisse, die der Risikokategorie direkt zugeordnet sind. Der rechte Kasten zeigt die weiteren verknüpften Risikokategorien (wiederum abgeleitet aus den Risikoereignissen). 

Abbildung 6: Reporting © ifb SE

Zusammenfassung

Ein Management des NFRs bleibt ineffizient, wenn es auf die Zusammenhänge in den einzelne Risikoarten beschränkt ist (Silobetrachtung). Häufig liegen die Risikotreiber außerhalb der einzelnen Risikoart und sind somit dem Management und der Steuerung entzogen. Die Wirksamkeit der Steuerung und des Managements ist eingeschränkt, wenn man die Betrachtung auf eine Risikoart beschränkt.  

Wirkungsgraphen können die Abhängigkeiten visualisieren und helfen Zusammenhänge zu kommunizieren. Die Wirkungsgraphen sind eine Form der Darstellung, die Verbindungen zwischen den Risikoarten ermöglichen. So können Maßnahmen und die Überwachung der Effizienz der Maßnahmen im Gesamtkontext betrachtet und priorisiert werden.

Das Datenmanagement in NFR befindet sich noch in einem frühen Stadium. Auch hier haben die meisten Ansätze einen silohaft verengten Blick auf die einzelnen Risikoarten. Ähnlich wie Taxonomien und Ontologien in Wissensgraphen, die Verbindungen zwischen den Daten schaffen, können Wirkungsgraphen/ Wirkungsketten die Datensilos verbinden und übergreifende sowie umfassende Betrachtungen und Auswertungen ermöglichen.


Den Artikel haben Volker Liermann und Marian Tieben gemeinsam erstellt. Marian Tieben ist Consultant bei der ifb group.


Weitere und detaillierte Ausführungen finden sich in der Buch Serie „The Digital Journey of Banking and Insurance, Volume II“ in dem Artikel „Use Case: NFR—Using GraphDB for Impact Graphs“.


[1] Gray Finance ist der von den Vereinten Nationen verwendete Begriff für die Finanzierung umweltschädlicher Industrien (kohlenstoffintensive oder graue Industrien).

Partner, Head of Global Business Development

Volker Liermann, Partner der ifb group, war über zwei Jahrzehnte im Bankensektor tätig, wobei er sich vor allem auf Risikomanagement Themen konzentrierte. Während seiner gesamten Laufbahn hat er sich auf die Entwicklung integrierter und umfassender Rahmenwerke konzentriert, die Unternehmen dabei helfen, Risiken auf strategischer und taktischer Ebene von Geschäftsbereichen und Abteilungen vorherzusagen. Er hat sich auch auf die Entwicklung von Rahmenwerken zur Integration von Stresstests und aufsichtsrechtlichen Stresstests konzentriert. In den letzten Jahren hat sich sein Schwerpunkt auf Digitalisierung, maschinelles Lernen und digitale Prozesse verlagert, einschließlich Verbesserungen im klassischen finanziellen und nicht-finanziellen Risikomanagement. Er hat einen Hintergrund in Wirtschaftswissenschaften und einen Abschluss in Mathematik von der Universität Bonn.