Über das reine Abhaken hinaus: Ein besserer Weg für das Bankenrisikomanagement

Im Bankwesen legt das Risikomanagement oft einen starken Schwerpunkt auf die Steuerung der Risiken, die aus Investitionstätigkeiten entstehen, wobei viel weniger Wert auf umfassende Governance-, Risiko- und Compliance-Praktiken (GRC) gelegt wird. GRC-Programme sind weit verbreitet, doch viele beschränken sich auf Mindestanforderungen. Sie tun gerade genug, um Compliance- und Audit-Probleme zu vermeiden, investieren aber wenig in ein solides operatives Risikomanagement.

Banken mangelt es nicht an Ressourcen oder Rahmenwerken für das Risikomanagement. Was fehlt, ist die Perspektive: ein gemeinsames Verständnis von Risiko, nicht nur als Compliance-Anforderung, sondern auch als zentrale Kraft bei der Gestaltung von Geschäftsentscheidungen.

Bankenrisikomanagement jenseits der Portfoliotheorie

Viele Banken verstehen Risiko immer noch ausschließlich als den Regler für die finanzielle Risikobereitschaft, den sie je nach Marktbedingungen nach oben oder unten anpassen können.

Wenn Risiko nur mit Erträgen verknüpft bleibt, wird es hauptsächlich durch finanzielle Gesichtspunkte gemanagt, wie z. B. seine Beziehung zu Kreditrisiken und Kapitalreserven. Diese Betrachtungsweise erweckt den falschen Eindruck, dass alle wichtigen Risiken für eine Bank offen entschieden und kontrolliert werden können. Sie schenkt Risiken wie operativer Fragilität oder Drittanbieter-Exposition nur Lippenbekenntnisse. Ein gewinnorientiertes Risikomodell berücksichtigt möglicherweise nicht die operative Fragilität oder die Drittanbieter-Exposition, neben anderen Bedrohungen.

Dort sollte eine risikoorientierte Kultur beginnen: zu erkennen, wie nicht-finanzielle Risiken die Geschäftsleistung beeinflussen. Wenn die Risikoführung keine zentrale Rolle in der Geschäftsplanung spielt, kann dieser kulturelle Wandel nicht stattfinden.

Die sich entwickelnde Rolle des CRO

Die regionale Bankenkrise 2023 verschaffte dem Chief Risk Officer (CRO) eine erhöhte strategische Sichtbarkeit. Danach geben 84 % der US-Bank-CROs an, stark in die Strategie involviert zu sein, was eine bemerkenswerte Verschiebung darstellt. Dieser Schwung könnte jedoch leicht ins Stocken geraten. Traditionell wurden CROs auf Audit und Compliance beschränkt, aber nicht immer in die Kapitalplanung oder Produktstrategie einbezogen. Institutionen müssen wachsam bleiben, um sicherzustellen, dass diese Entwicklung von Dauer ist.

GRC, das vorausschauend denkt

In vielen Banken spielt GRC eine relativ begrenzte Rolle, die sich hauptsächlich auf Audit-Trails statt auf Erkenntnisse konzentriert. Dies führt zu einer engen Ausführung: vierteljährliche Risikobewertungen, Kontrolltests und Compliance-Schulungen. Dies sind notwendige Aktivitäten, aber sie sind selten mit strategischen Fragen verbunden, wie zum Beispiel: Welche strategischen Risiken gehen Sie ein? Was könnte sie untergraben? Wer ist verantwortlich?

GRC, das nur Kästchen abhakt, vermittelt eine Illusion von Sicherheit. Ein ausgereiftes Bankenrisikomanagement bietet Kontext und Weitsicht und hinterfragt auch Annahmen.

Silicon Valley Bank: Ein Versagen im ERM

Der Zusammenbruch der Silicon Valley Bank (SVB) im Jahr 2023 war kein unvorhersehbares Ereignis; er resultierte aus der eigenen fragmentierten Aufsicht der Bank. Die Probleme der Bank – eine konzentrierte Einlagenbasis im Technologiesektor, langlaufende Wertpapiere und ein steigendes Zinsrisiko – waren alle identifizierbar. Die Risikofunktion arbeitete jedoch in Silos. Die CRO-Position war unbesetzt acht Monate lang in einer entscheidenden Zeit für die Zinssätze. Die Modellierung war über Treasury, Liquidität und Einlegerverhalten hinweg getrennt. Niemand fasste die Signale zusammen. Interne Warnungen wurden übersehen oder ignoriert, und formale Strukturen mangelten es an Integration und Eskalation.

Das schwache Enterprise Risk Management (ERM) der SVB ist eine warnende Geschichte für viele Unternehmen. Die Bank hatte formale Risikomanagementstrukturen, aber diese waren nicht unternehmensweit integriert. Laut Strategic Risk Global betrachten nur 32 % der Unternehmen ihr ERM als „ausgereift“ oder „robust.“

Die reaktive Risikokultur der SVB ließ der Führung wenig Spielraum zum Reagieren, als Liquiditätssorgen einen Bank Run auslösten. Obwohl eine proaktive Risikokultur die Risiken der SVB möglicherweise nicht vollständig beseitigt hätte, hätte sie zu einer früheren Absicherung, aggressiveren Diversifizierung oder einer Neubewertung der Liquiditätsannahmen führen können, bevor Panik aufkam.

Wie sieht ein ausgereiftes ERM aus?

Die SVB zeigte, was passiert, wenn ERM reaktiv und isoliert ist, aber wie sieht ein ausgereiftes Bankenrisikomanagement in der Praxis aus? Ein ausgereiftes ERM zeichnet sich dadurch aus, wie gut Risikoinformationen Entscheidungen prägen. Daher im Kern eines ausgereiften Modells:

  • Der CRO ist ein strategischer Berater. Ihm wird volle Transparenz und genügend Unabhängigkeit gewährt, um ehrlich zu sein.
  • Unabhängige Audit-Funktionen sind stark. Sie können Entscheidungen hinterfragen und Bedenken eskalieren.
  • Risiko lebt im Unternehmen. Es ist Teil der Produktentwicklung, Wachstumsplanung und Entscheidungsfindung.

Der CRO sollte das Wachstum unterstützen, aber nicht auf Kosten der Unabhängigkeit. Eine starke zweite Verteidigungslinie und ein Audit-Team bewahren dieses Gleichgewicht und verhindern Interessenkonflikte.

Kulturell beginnt Reife damit, wie Risiko verstanden wird. Es geht nicht darum, schlechte Nachrichten zu vermeiden; es geht darum, sie frühzeitig aufzudecken. Das geschieht, wenn:

  • Risikoteams werden bereits in der Designphase einbezogen, nicht nur bei Genehmigungen.
  • Transparenz wird gegenüber dem äußeren Schein belohnt.
  • Widerspruch wird als Sorgfalt angesehen.

Ein ausgereiftes ERM eliminiert Risiko nicht, aber es stellt sicher, dass die Reaktionen schnell und koordiniert sind.

Warum ist Reife wichtig?

Wenn Banken in die Reifung ihrer GRC- und ERM-Fähigkeiten investieren, schützen sie sich nicht nur selbst; sie erweitern ihre Fähigkeit, die richtigen Risiken einzugehen. Das führt zu vielen Vorteilen, darunter:

  • Erhöhte Risikokapazität: Wenn Risiken streng gemanagt werden, kann die Führung mit Zuversicht mehr Risiken eingehen.
  • Informiertere Entscheidungsfindung: Ein ausgereiftes ERM verschafft Führungskräften einen klareren Überblick über Risiko-Rendite-Abwägungen.
  • Größere Agilität: Mit klar definierten Kontrollen können Banken Warnsignale früher erkennen und schneller reagieren.
  • Vertrauen und Glaubwürdigkeit des Vorstands: Institutionen mit einem starken ERM genießen tendenziell mehr Vertrauen, was ihnen mehr Spielraum bei strategischen Schritten wie Expansion oder Kapitalallokation gibt.
  • Strategische Nutzung der Risikobereitschaft: Ausgereifte Organisationen optimieren aktiv ihre Risikobereitschaft, was es ihnen ermöglicht, dort zu expandieren, wo es sinnvoll ist.

Wie Software Reife unterstützt

Moderne Risikosoftware kann Finanzinstituten die nötige Transparenz verschaffen, um eine ausgereifte, risikobewusste Kultur zu unterstützen. Software hilft dabei, indem sie:

  • Risiko, Compliance, Audit und Resilienz auf einer einzigen Plattform zu vereinen, um Silos aufzubrechen
  • Dokumentation und Audit-Trails zu zentralisieren und so die Nachvollziehbarkeit und das Vertrauen für Teams und Aufsichtsbehörden zu gewährleisten
  • Frühwarnsignale über Key Risk Indicators (KRIs) bereitzustellen und so proaktive Risikoentscheidungen zu ermöglichen
  • Verantwortlichkeit durch auditierbare Workflows und Aufgabenverantwortung durchzusetzen
  • Funktionsübergreifende Erkenntnisse aufzudecken, die zeigen, wie Schwachstellen mehrere Bereiche gleichzeitig beeinflussen können
  • Eine bessere Berichterstattung an den Vorstand zu ermöglichen, mit Dashboards, die die Risikoposition direkt mit den Unternehmenszielen verknüpfen
  • Eine Eskalationskultur zu stärken, in der Risiken nicht verschwiegen, sondern sofort an die richtigen Personen weitergeleitet werden

Insgesamt ermöglicht Software eine echte unternehmensweite Risikotransparenz; nicht nur eine Liste von Risiken, sondern wie diese sich verbinden und Geschäftsziele teamübergreifend beeinflussen. Für Unternehmen, die eine risikobewusste Kultur aufbauen möchten, kann Technologie helfen, diese unternehmensweit zu integrieren.

Compliance bewahrt Sie vor Schwierigkeiten; Risikoreife fördert die Leistung. Der Unterschied kann für Ihr Unternehmen grundlegend sein. Organisationen, die ihr Bankenrisikomanagement als strategische Funktion neu definieren, sind am besten positioniert, um mit Resilienz und Agilität zu führen.

Für ein tieferes Verständnis der Rolle der Kultur im Risikomanagement laden Sie bitte das E-Book herunter, Einen Kurs für das Enterprise Risk Management festlegen, und sehen Sie sich die ERM-Softwarelösung von Riskonnect an.