Kategorien
Digitale Transformation Regulierung & Compliance Risiko

NFR-Steuerung am Beispiel Personenrisiko

Einführung in die nicht-finanziellen Risiken (NFR)

Traditionell konzentriert sich das Risikomanagement in Banken auf Risiken, die sich direkt auf Banktransaktionen beziehen. Hier ist die Rede von den sogenannten finanziellen Risiken. Dazu gehören z. B. Kredit-, Marktpreis- und Liquiditätsrisiken. Es liegt in ihrer Natur, dass Risiken bewusst eingegangen werden und sich am Risikoappetit des Instituts orientieren, um mittels dieser Risikoübernahme Erträge zu generieren.

Auf der anderen Seite gibt es die operationellen Risiken (OpRisk). Diese setzen jedoch nicht zwingend eine mit einer durch das Eingehen der Risiken verbundene Gewinnerzielungsabsicht voraus. Hier können wir beispielsweise das IT-Risiko nennen, das gesteuert werden muss. Die OpRisks bilden auch einen Teil des Basel-Frameworks.

Seit einigen Jahren ist ein neuer Begriff in der Finanzindustrie aufgetaucht, der in der Zukunft eine Schlüsselrolle spielen wird: Nicht-finanzielle Risiken (NFR). Diese Art von Risiken reicht über die Grenzen der OpRisks hinaus. Die klassischen – und auch aufsichtsrechtlich definierten – operationellen Risiken verursachen Schäden hauptsächlich innerhalb ihrer Risikoart. Nicht-finanzielle Risiken sind dagegen Auslöser für sich materialisierende finanzielle Risiken oder aber materialisieren sich in anderen Risiken (z. B. Reputationsrisiken). Aus diesem Grund dürfen NFR nicht unterschätzt werden. Sie zeichnen sich aus durch Ereignisse, die zwar selten eintreten, dann allerdings oft existenzgefährdend sind – sogenannter High Impact Low Frequency Events (HILFE).

In diesem Artikel werden wir Ihnen das ifb-Framework zur Steuerung der NFR kurz vorstellen, welches wir anhand eines Beispiels des Personenrisikos – ein Teil der NFR – konkretisieren werden.

ifb NFR Framework

Die Steuerung von nicht-finanziellen Risiken ist herausfordernd, da viele zu betrachtende Risikoereignisse eine geringe Eintrittswahrscheinlichkeit haben. Vernachlässigbar sind sie allerdings nicht, denn sie können, wenn sie denn eintreten, weitreichende Folgen haben. Daher entsteht der Bedarf (insbesondere für  Finanzinstitute), ein einheitliches und umfassendes Framework für NFR zu entwickeln. Neue Methoden sollen ereignis- und szenario-orientierte Analysen ermöglichen und Änderungen der Bedrohungslage messbar machen.

In dieser Richtung hat ifb ein Framework zur Steuerung der NFR entwickelt, welches sich in alle Aspekte des Risikokreislaufes integriert und dessen Fundament aus folgenden „Kernbausteinen“ besteht:

NFR-Taxonomie: Eine einheitliche und überschneidungsfreie Taxonomie der Risikoarten. Diese Struktur erlaubt uns ein umfassendes Bild aller NFR zu bekommen. Zu unserer Taxonomie zählen neben dem Personenrisiko auch das IT-Risiko, das strategische Risiko, das Modellrisiko, das ESG-Risiko, das Risiko durch Dritte, das regulatorische Risiko, und weitere. Zusammen mit dem Risikoappetit bildet sie die Grundlage für eine Risikostrategie.

Wirkungsketten: Eine nachvollziehbare Darstellung der Wechselwirkung zwischen Ereignissen, Schwachstellen, Risikoereignissen, Risikoarten und sich materialisierenden Risiken. Die Kombination der Wirkungsketten zeigt einen vollständigen Szenarioraum auf, in dem die wesentlichen Abhängigkeiten, Konsequenzen und Zusammenhänge aufgezeigt werden. Durch die Darstellung in Wirkungsketten können so unterschiedliche Szenarien mit jeweils unterschiedlichen Auslösern zusammenfasst werden. So erhält man eine ganzheitliche Sicht auf das Problem, kann identifizieren, in welchen Bereichen ein Handlungsbedarf bzw.- option besteht, und kann in der Bewertung der Bedrohungslage sämtliche Zusammenhänge berücksichtigen.

Indikatoren: Ermöglichen einen konsolidierten Überblick über die Bedrohungssituation. Das wesentliche Merkmal eines Indikators ist seine Messbarkeit. Nur auf Basis dieser Messungen (aus internen Daten sowie der Nutzung von Machine Learning) kann das Management des Risikos und seiner Veränderungen ernsthaft erfolgen.

Reporting: Ein adressatengerechtes Reporting des Risikostatus, der Risikoentwicklung und -prognose wird in die bestehenden Reportingstrukturen integriert. Hierbei wird u.a. immer eine entsprechende Zusammenfassung der Risikotreiber und der realisierten Auswirkungen  aufgezeigt.

Das Zusammenspiel diese  Kernbausteine bietet für Finanzinstitute die Chance, proaktiv  ihren Schwachstellen entgegenzuwirken und ihre Reaktionszeit auf Bedrohungen zu verkürzen. Die nicht-finanziellen Risiken können rechzeitig und zielgerecht gesteuert werden.

Abbildung 1: Unterstützung aller Schritte im Risikokreislauf durch das NFR-Framework von ifb

Signifikanz der Betrachtung des Personenrisikos und seine Messung

„Culture eats strategy for breakfast“. Dieses berühmte Zitat von Peter Drucker zeigt die Wichtigkeit der Organisationskultur für den Erfolg des Unternehmens. Unter Organisationskultur sind mehrere Aspekte, wie u.a. die Zusammenarbeit und der Umgang der Angestellten untereinander, die Führungsweisen, die Kommunikation und die Arbeitsumgebung zu verstehen. Eine gute Unternehmenskultur leistet einen großen Beitrag, wenn es um die Erreichung der angestrebten Ziele sowie die erfolgreiche Durchführung von Veränderungen (u.a. Agile-, Digitalisierungs- und/oder Innovations-Transformationen) geht. In diesem Kontext spielen die Mitarbeiter*innen eine Schlüsselrolle und stehen für Erfolg und Misserfolg des Unternehmens.

So kann es Jahre dauern, einen guten geschäftlichen Ruf aufzubauen, aber schon einzelne Vorfälle unprofessionellen Verhaltens können all diese Bemühungen gefährden und den Ruf und/oder den Umsatz des Unternehmens gravierend beschädigen. Um solche Risiken – die mit den Mitarbeiter*innen verknüpft sind – im Blick zu behalten und ihnen gegebenenfalls entgegenzuwirken, ist ein angemessenes Management des Personenrisikos wichtig und sogar erforderlich.

Als Personenrisiko sind in unserer Taxonomie diejenigen Risiken definiert, die mittelbar oder unmittelbar durch das Verhalten, die Kommunikation oder Eigenschaften von Mitarbeiter*innen verursacht werden, die somit also in der jeweiligen Einzelperson begründet sind.

Folgende Kategorisierung innerhalb des Personenrisikos sind daraus entstanden:

  • Change- and Run-Risiko: Unter diesem Risikotyp versteht man primär die Konsequenzen, welche aus der Auslastung oder den nicht ausreichenden Qualifikationen der Mitarbeiter*innen resultieren.
  • Conduct Risk Unter dem Verhaltensrisiko sind die Risiken zu verstehen, die mit der Art und Weise zusammenhängen, wie Organisationen und ihre Mitarbeiter*innen mit Kunden und den Finanzmärkten im weiteren Umfeld umgehen.
  • Kommunikationsrisiko: Hierbei handelt es sich um das Risiko, welches Ereignisse berücksichtigt, die die den Austausch von Botschaften oder Informationen zwischen Personen behindern kann.
  • Risiko der Unzufriedenheit am Arbeitsplatz: Dieses Risiko kann so verstanden werden, wie sich die Mitarbeiter*innen als Teil der Organisation, der Abteilung und des Teams fühlen. Unzufriedenheit senkt die Produktivität von Mitarbeiter*innen und Teams.

Die deutlichste Konsequenz von Unzufriedenheit am Arbeitsplatz ist die Kündigung von betroffenen Mitarbeiter*innen. Die anderen, oben genannten Risikokategorien, können aber ebenfalls einen direkten oder indirekten Einfluss auf die Kündigung von Mitarbeiter*innen haben.

Abbildung 2: Zusammenhang zwischen dem Kündigungsrisiko und den Personenrisiken

Das Kündigungsrisiko spielt eine wichtige Rolle in der Analyse und Steuerung des Personenrisikos. Eine Kündigung kann zu Einschränkungen im Geschäftsbetrieb und anderen erheblichen Problemen, wie z. B. zur Realisierung von Skill-Risiken, führen. Am offensichtlichsten zu beziffern sind die Kosten, die durch die Rekrutierung und Schulung neuer Mitarbeiter*innen entstehen. Aber es gibt auch viele Folgen, deren Kosten nicht exakt zu quantifizieren sind, z. B. der Verlust von Know-How, die Reduzierung von Netzwerkeffekten usw. Nichtsdestoweniger können (und sollen) alle Konsequenzen in die Risikobewertung einbezogen werden.

Stellen wir uns folgende Situation vor: Ein Mitarbeiter, der in einer Schlüsselrolle im direkten Kontakt mit den Kunden arbeitet, erledigt immer rechtzeitig seine Aufgaben, kann aber keine Antwort an den Kunden im Bezug auf Ihre Anliegen liefern, bevor sein Vorgesetzter die bereits erledigten Tasks genauer analysiert und die Freigabe erteilt hat. Dadurch, dass sein Terminkalender immer voll ist, erfolgt diese zusätzliche Prüfung meistens nicht zeitnah und der Mitarbeiter gerät bei der Abarbeitung weiterer Aufgaben unter Zeitdruck, was negativen Stress erzeugt. Die Wiederholung und/oder die nie angegangene Änderung solcher unangenehmer Situationen könnte ihn dazu bringen die Firma zu verlassen. Diese Situation kann diverse negative Konsequenzen auf das Unternehmen haben, vor allem: Verlust von Know-How eines Mitarbeiters in einer Schlüsselrolle, der sich gut mit der Kultur und den Prozessen in der Firma auskennt und zusätzliche Rekrutierungs- und ggf. auch Schulungskosten.

Die Darstellung dieser Situation in einer Wirkungskette könnte so aussehen:

Abbildung 3: Wirkungskette

Das ist nur eines der vielen möglichen Szenarien, welche die Kündigung von Mitarbeiter*innen behandeln. Alle Szenarien, miteinander verknüpft, stellen den Szenarioraum dar, aus dem das kumulierte Gesamtrisiko für eine Organisationseinheit abgeleitet werden kann.

Zusätzlich zur Erfassung der Kündigungsszenarien in Wirkungsketten haben wir Indikatoren erhoben. Ein nachvollziehbares Beispiel eines Indikators zur Messung und Steuerung des Kündigungsrisiko ist der Zufriedenheitsindex. Dieser Wert ist sehr hilfreich, um zu analysieren, ob die Mitarbeiter*innen zufrieden sind oder ob etwas schiefläuft. So kann das Unternehmen versuchen, die Situation zu ändern, bevor es zu spät ist. Dieser Index kann anhand unterschiedlicher Methoden und Zeiträume gemessen werden wie z.B. anhand der verfügbaren Angestellten-Informationen im HR, Mitarbeiterbefragungen oder auch mit der Hilfe von Machine Learning.

Mit der Verknüpfung von Wirkungsketten und Indikatoren können wir die Zusammenhänge transparent machen und es ist nachvollziehbar, welche Einflüsse auf welche Indikatoren wirken. Die Auswertung der Indikatoren kann auf der Wirkungskette angezeigt werden, z.B. als gewichtetes „Ampelsystem“ (siehe nebenstehende Abbildung). So kann das Kündigungsrisiko quantifiziert, prognostiziert und mit entsprechenden Maßnahmen minimiert werden.

Abbildung 4: Verknüpfung Indikatoren und Wirkungsketten mit Vorwarnungssystem

Fazit

Ein ganzheitliches Risikomanagement wird immer relevanter (für Finanzinstitute). Aktuell werden neben den finanziellen Risiken und den operationellen Risiken auch die nicht-finanziellen Risiken (NFR) eine maßgebliche Rolle spielen. Zusätzlich zu den finanziellen Risiken ist die Einbindung aller nicht-finanziellen Risiken hierfür essenziell. Diese sind nicht neu, doch aufgrund ihrer Komplexität konnten sie in der Vergangenheit nicht fundiert eingeschätzt werden. Ein gutes Framework macht die Komplexität handhabbar und ermöglicht die Steuerung der NFR. In unserem Artikel haben wir uns das Personenrisiko herausgepickt, da es für alle Unternehmen ein wichtiges NFR ist. Neben der Definition und der Kategorisierung des Personenrisikos haben wir die Relevanz des Kündigungsrisikos und dessen Steuerbarkeit gezeigt. Wir können das nachfolgend zusammenfassen:

Das Verhalten der Angestellten und die Organisationskultur sind wesentliche Elemente für ein solides Unternehmen. Auch deswegen ist es relevant, die Risiken, die mittelbar oder unmittelbar mit den Angestellten verknüpft sind, zu beobachten und zu steuern. Am Beispiel des Personenrisikos haben wir kurz aufgezeigt, wie das von ifb entwickelte NFR-Framework angewendet werden kann: Entlang der Taxonomie werden wesentliche Risiken identifiziert und die jeweilige Bedrohungslage wird mithilfe von Kennzahlen und Wirkungsketten transparent gemacht. So lässt sich gut nachvollziehbar der Schwerpunkt auf diejenigen Bedrohung(en) setzen, die das Unternehmen konkreter angehen und dementsprechend vermeiden möchte.  In diesem Fall haben wir uns auf das Kündigungsrisiko konzentriert und seine Auslöser messbar und somit steuerbar gemacht.

Eine detaillierte Ausführung der Messbarkeit vom Kündigungsrisiko (auch mit Einsatz von maschinellem Lernen) wird im Herbst 2021 als ein Kapitel in unserem Buch „The Digital Journey of Banking and Insurance, Volume III – Data Storage, Data Processing and Data Analysis“ erscheinen.

Haben wir Ihr Interesse geweckt und Sie möchten mehr über die Nutzung von Wirkungsketten in Ihrem Unternehmen oder die Möglichkeit, Mitarbeiterzufriedenheit zu messen, erfahren? Sprechen Sie uns gern jederzeit an, oder besuchen Sie unsere Seite zum Thema NFR-Framework.

Dieser Artikel wurde gemeinsam mit Arne Schmüser – ifb-Ansprechpartner für das Thema NFR – geschrieben.

Senior Consultant

Farah Skaf arbeitet seit 2019 im Team Strategy, Architecture & Culture. Sie hat einen Master in Strategie und Verwaltung von Unternehmen und ist als Business Manager zertifiziert. Sie berät unsere Bankkunden zu Themen rund um Strategie, Organisation und Enterprise Architecture. Transformation, Agile Methoden und Kultur liegen ebenfalls in ihrem Interessenbereich.