Studie zum Reputationsrisiko-

Transkript

1 Studie zum Reputationsrisiko- management und -controlling Vorstellung der ersten Auswertung im Rahmen des OpRisk Forum 2012 Köln, 10 Mai 2012 Prof Dr Thomas Kaiser

2 Hintergrund zur Studie (1/2) Reputationsrisiken (im Folgenden RepRisk) können als das Risiko eines unerwarteten Verlusts aufgrund von Reaktionen von Stakeholdern durch veränderte Wahrnehmung des Unternehmens definiert werden Zu den Stakeholdern zählen u a Kunden, Mitarbeiter, Geschäftspartner, Aktionäre und Aufsichtsbehörden In der Regel gibt es in Banken noch keine ausgereiften Methoden und Prozesse, wie mit drohenden oder schlagend gewordenen Reputationsrisiken umgegangen werden soll Reputationsrisiken rücken im Zuge der Finanzmarktkrise immer mehr ins Augenmerk von nationalen und internationalen Aufsichtsbehörden International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 1

3 Hintergrund zur Studie (2/2) Die Studie hat zum Ziel, den Ist-Zustand sowie geplante Aktivitäten in führenden deutschen Finanzinstituten darzustellen Der Fragebogen wurde mit einzelnen Banken im Rahmen des RepRisk Forums im März 2012 im Vorfeld abgestimmt Die Studie basiert auf dem Rücklauf von 18 Instituten (von 23 angeschriebenen) 13 der Teilnehmer gehören zu den 20 größten Banken in Deutschland (gemäß Bilanzsumme 2011), die übrigen 5 sind mittelgroße Banken und Bausparkassen Aufgrund des Stichprobenumfangs wird auf eine durchgehende getrennte Auswertung nach Unternehmensgröße verzichtet Eindeutige Trends bzw wesentliche Abweichungen sind in den Rückläufen nicht erkennbar International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 2

4 Frage 1: Wie haben Sie RepRisk definiert? Als Grundlage der Behandlung von Reputationsrisiken müssen diese klar definiert und von anderen Risikoarten abgegrenzt werden Die Mehrheit h der befragten Institute t definieren i Reputationsrisiken ti i ik als eine eigenständige Risikoart Die Ursache- und dwik Wirkungsbeziehungen i 33% 67% als eigenständige Risikoart als Folgerisiko als Ursache anderer Risiken bislang nicht explizit definiert zwischen RepRisk und anderen Risikoarten sollten umfassend analysiert werden, um RepRisk effizient identifizieren und steuern zu können International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 3

5 Frage 2: Haben Sie RepRisk im Rahmen der Risikoinventur als wesentlich eingestuft? Gemäß Neufassung der MaRisk vom müssen Banken eine Risikoinventur durchführen, in welcher die Wesentlichkeit it der untersuchten Risikoarten ik festgelegt t wird Im Lichte der Finanzmarktkrise i und des damit verbundenen Vertrauensverlust in der Finanzbranche ist es nicht überraschend, dass die Mehrzahl der Banken Reputationsrisiken als wesentlich ansieht 28% 11% ja 61% nein RepRisk in Risikoinventur bislang nicht erfasst Soweit nicht bereits geschehen h sollte die Wesentlichkeit der Risikoart RepRisk untersucht und die Einstufung nachvollziehbar dokumentiert werden International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 4

6 Frage 3: Wie haben Sie RepRisk im Rahmen der Risikostrategie eingebunden? Ausgangsbasis für ein effektives Management von Risiken ist eine klare Definition der zugrundeliegenden Risikostrategie, ik t i welche wiederum mit der Geschäftsstrategie t t und den anderen Risikoarten ik eng verbunden sein sollte Die Antworten zeigen eine Tendenz, das RepRisk in die bestehende Risikostrategie zu integrieren 5 1 Konkret geplant Vorhanden RepRiskRi sollte zumindest hinreichend i h konkret in einer übergeordneten Risikostrategie gewürdigt werden Mit Ausbau des Risikocontrolling- Instrumentariums ist eine eigene Teilstrategie ggf zu einem späteren Zeitpunkt empfehlenswert Bestandteil übergeordneter Risikostrategie eigene Teilstrategie für RepRisk bislang nicht explizit eingebunden International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 5

7 Frage 4: Wie haben Sie Mitarbeiter für RepRisk sensibilisiert bzw die Risikokultur aufgebaut? Für das Management von Reputationsrisiken müssen Mitarbeiter auf allen Hierarchieebenen mitwirken Hierzu sollte eine entsprechende Risikokultur ik k aufgebaut werden bzw Mitarbeiter sensibilisiert i werden Bei den befragten Banken ist die Notwendigkeit des Aufbaus einer Risikokultur zu einem großen Teil erkannt worden und mit einer Vielzahl an Instrumenten umgesetzt worden 5 Konkret geplant Vorhanden eingeführt werden Die Wirksamkeit k it der RepRisk-Ri Kommunikation in die Bank sollte geprüft werden und ggf flankierende Maßnahmen 1 durch im Rahmen durch durch bislang nicht Rundmails / von Online-Tools andere explizit -schreiben Schulungen Methoden* adressiert * ua Intranet Beschwerdemanagement, Handbücher, entsprechende Policies, Präsentationen an das Management International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 6

8 Frage 5: Welche Stakeholder haben Sie im Rahmen des RepRisk-Frameworks priorisiert? Nur in gut der Hälfte der befragten Banken wurde eine Priorisierung der Stakeholder vorgenommen Wie zu erwarten sind in fast allen diesen Banken die Kunden hoch h priorisiert i i Die Tatsache, dass Mitarbeiter bezüglich der hoch h priorisierten Stakeholder das Schlusslicht bilden zeigt, dass Reputationsrisiken zurzeit noch im Wesentlichen auf die Außenwirkung des Unternehmens abstellen Niedrig Mittel Hoch Zur Pi Priorisierungi i der RepRisk-Steuerung Ri sollte die Wichtigkeit einzelner Stakeholder im Sinne tatsächlicher RepRisk-Einflüsse (ggf auf die P&L) untersucht werden * * Hauptsächlich Öffentlichkeit International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 7

9 Frage 6: Wie haben Sie RepRisk in Risikokomitees eingebunden? Reputationsrisiken sind von bankweiter Bedeutung Regelmäßiger Austausch einzelner Bereiche über schlagend gewordene Reputationsrisiken, ti i ik potentielle ti Risiken ik sowie mögliche Steuerungsmaßnahmen sind daher sehr hilfreich i h Mit Blick auf die zunehmende Bedeutung von Risikokonzentrationen und Abhängigkeitsstrukturen in Modellen zum ökonomischen Kapital sollte hier eine stärkere Verankerung in entsprechenden Entscheidungsgremien stattfinden Konkret 1 geplant Vorhanden * Mit Blick auf die zunehmende Bedeutung von Risikokonzentrationen und Abhängigkeitsstrukturen in Modellen zum ökonomischen Kapital sollte eine stärkere Verankerung des Themas RepRisk in entsprechenden Entscheidungsgremien stattfinden * ua Vorstand, Fraud-Komitee International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 8

10 Frage 7: Wie haben Sie das RepRisk-Controlling organisatorisch verankert? Es gibt noch keinen einheitlichen Umgang mit der Risikocontrolling-Sicht Da Reputationsrisiken häufig als Folgerisiken ik von operationellen Risiken ik entstehen, t präferieren einige i Institute t die Ansiedlung an das OpRisk, um somit durch die Ausnutzung von Synergieeffekten die organisatorische Einbindung von RepRisk möglichst schlank zu gestalten Alle geplanten organisatorischen Veränderungen zielen auf eine solche Konstellation ab 5 45% 35% 25% 15% 1 5% Konkret geplant Vorhanden Die organisatorische i Verankerung des RepRisk-Controllings sollte einerseits die Wechselwirkungen mit anderen Risikoarten berücksichtigen, andererseits Synergieeffekte zu bestehenden Strukturen nutzen durch in Verbindung In der in Verbindung eigenständige mit OpRisk Unternehmens- mit anderen Einheit kommunikation Themen * bislang nicht etabliert * ua Risikotragfähigkeit, Liquiditätsrisiko-Controlling, Compliance International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 9

11 Frage 8: Wie führen Sie Risikoidentifikation und die qualitative Bewertung durch? Die systematische Identifikation und Bewertung materieller Reputationsrisiken stellt eine wesentliche Grundlage zur effektiven Steuerung dieser Risiken ik dar Aus den Antworten t der befragten Institute t ergibt sich ein leichter Fokus auf die Self-Assessments Für einzelne Banken kann es attraktiv sein, die Identifikation und qualitative Bewertung der Reputationsrisiken zunächst eng an das Instrumentarium für operationelle Risiken anzulehnen 35% 25% 15% 1 5% * Konkret geplant Vorhanden Geeignete Verfahren zur vollständigen Identifikation materieller RepRisk sollten etabliert werden, ggf als Ergänzung bestehender Self-Assessments * ua Experteneinschätzungen, Interview mit Senior Management, Konzernrisikoinventur, Auswertung Presse und Social Media International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 10

12 Frage 9: Wie erfassen Sie Verlustereignisse aus RepRisk? Die Kenntnis über schlagend gewordene Reputationsrisiken ist eine wesentliche Einflussgröße für die Steuerung Es zeigt sich, dass die Sammlung von Ereignissen i noch im Aufbau ist Ähnlich h wie bei operationellen Risiken ik haben einige Banken auch den Nutzen externer Informationen erkannt 35% 25% 15% 1 5% Konkret geplant Schlagend gewordene RepRiskRi sollten zur systematischen Nachverfolgung und zur Nutzung der Lerneffekte gesammelt werden Vorhanden Verfügbare externe Ereignisse sollten * ebenfalls hierzu genutzt werden * ua Erfassung Presseberichte in OpRisk-Verlustdatenbank, Social Media Monitoring International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 11

13 Frage 10: Wie haben Sie Wesentlichkeitsgrenzen definiert? Eine vollständige Identifikation und Bewertung aller Reputationsrisiken ist weder möglich noch zielführend Daher bietet t sich die Verwendung von Wesentlichkeitsgrenzen it an, um eine klare Fokussierung zu ermöglichen Nur wenige Banken haben bislang Wesentlichkeitsgrenzen definiert und diese sind dann in den meisten Fällen qualitativ ausgelegt 6% Zur Vermeidung eines unnötigen 61% 33% monetär (GuV-Einfluss) qualitativ / deskriptiv bislang nicht definiert Ressourceneinsatzes sollte zumindest qualitativ beschrieben werden, welche RepRisk als wesentlich und somit als erfassungs- und steuerungswürdig eingestuft werden International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 12

14 Frage 11: Wie haben Sie ein Frühwarnsystem für RepRisk umgesetzt? Frühwarnsysteme sind von den befragten Banken bislang nicht hoch priorisiert worden Vermutlich liegt dies unter anderem an der derzeit mangelnden organisatorischen i Verankerung von RepRisk Ri im Risiko-Controlling ik Häufig fehlen auch lediglich Ressourcen in Form von Mitarbeitern um diesen Mehraufwand trotz unumstrittenen Mehrwerts zu stemmen Konkret geplant Vorhanden Frühwarnsysteme sollten auf bestehenden Informationen (Self-Assessments, Ereignisdatenbanken u ä) aufbauen und somit ggf zeitlich nachgelagert eingeführt werden durch interne Risikoindikatoren durch externe Risikoindikatoren (RepRisk-Index oä) durch andere Verfahren* bislang nicht umgesetzt * ua Neuproduktprozess, Presse Monitoring International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 13

15 Frage 12: Wie berücksichtigen Sie RepRisk in der Risikotragfähigkeit? Grundsätzlich müssen wesentliche Risiken im Risikotragfähigkeitskonzept berücksichtigt werden bzw eine Nichtberücksichtigung i hti begründet werden Am häufigsten werden Reputationsrisiken ti i ik als Bestandteil übergeordneter Puffer in der Risikotragfähigkeit berücksichtigt Die Anzahl der Institute, die RepRisk bisher nicht explizit berücksichtigen, entspricht derer, bei denen RepRisk nicht als wesentlich (oder überhaupt nicht) klassifiziert wurde 35% 25% 15% 1 5% Konkret geplant Vorhanden Im Lichte der Wesentlichkeitseinschätzung it i hät sollte geprüft werden, ob eine Betrachtung des RepRisk in der Risikotragfähigkeit möglich und zielführend ist International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 14

16 Frage 13: Wie berücksichtigen Sie RepRisk im Stress Testing? Die Berücksichtigung in den Stress Tests ist bislang kein priorisiertes Thema in den befragten Banken Da sich die Auswirkungen von Reputationsrisiken ti i ik üblicherweise i in anderen Risikoarten ik manifestieren (Geschäftsrisiko, ik Liquiditätsrisiko, operationelle Risiken), ist vermutlich eine Fokussierung auf den Einfluss der Reputationsrisiken (und somit den Stress Test-Ansätzen für diese Risikoarten) sinnvoll Konkret geplant Vorhanden Reputationsrisiken ti i ik sollten zumindest als Folgerisiken bzw als Trigger für weitere Risikoarten im Stress Testing eingebunden werden Beeinflusst wird diese Entscheidung von der institutsinternen Sichtweise des Themas RepRisk eigenständige Stresstests als Folge anderer Risikoarten als Ursache anderer Risikoarten im inversen Stresstest bislang nicht explizit eingebunden International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 15

17 Frage 14: Wie haben Sie RepRisk in die Steuerung eingebunden? Das Hauptaugenmerk beim Management der Reputationsrisiken sollte auf der Steuerung liegen Bei der Mehrzahl der Studienteilnehmer t il sind definierte i Rollen vorhanden Bei den Banken, welche Ergänzungen zum RepRisk-Ri Framework planen, fokussiert dieses auf die Erweiterung der Rolle der OpRisk-Manager, was aufgrund der geplanten Ansiedlung des Themas an das OpRisk-Controlling naheliegend ist 5 45% Die Einbindung in die Steuerung sollte 35% 25% 15% Konkret geplant Vorhanden sowohl das Bestands-/ Tagesgeschäft, Veränderungsprozesse sowie Krisenfälle berücksichtigen Dabei sollten bestehende Strukturen soweit möglich genutzt werden 1 5% durch definierte Rollen und Verantwortlichkeiten spezifischer Einheiten durch erweiterte Rolle dezentraler OpRisk-Manager durch Einbindung in Krisenmanagement bislang keine formalisierte Steuerung International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 16

18 Frage 15: In welche transaktionsbezogenen Vorhaben ist RepRisk explizit eingebunden? Die Steuerung der Reputationsrisiken kann einerseits auf Portfolioebene stattfinden, andererseits in einzelne Prozesse bzw Transaktionen eingebunden werden, um durch entsprechende Gestaltung der Geschäfte bzw Transaktionen eine risikomindernde Wirkung zu erzielen Aufgrund konkreter aufsichtsrechtlicher Anforderungen ist der beobachtete Fokus auf den Neuproduktprozess, das Kreditgeschäft und das Outsourcing naheliegend Konkret geplant Vorhanden RepRiskRi sollte in transaktionsbezogene Vorhaben/ Veränderungsprozesse soweit möglich integriert werden Ggf kann hier an bestehende Prozesse des OpRisk- Managements angedockt werden International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 17

19 Frage 16: Wie berichten Sie über RepRisk an das Senior Management? Die Ergebnisse der Identifikation und Bewertung der Reputationsrisiken und insbesondere Maßnahmen zu deren aktiven Steuerung sollten regelmäßig an den Vorstand berichtet t werden Die Berichterstattung t tt an das Senior Management erfolgt bei den befragten Banken schwerpunktmäßig als Bestandteil risikoartenübergreifender Reports Auch Ad-Hoc Reports werden häufig zur Berichterstattung von Reputationsrisiken verwendet 45% Obgleich die Anbindung an 35% risikoartenübergreifende Reports im Sinne 25% 15% Konkret geplant Vorhanden einer ganzheitlichen Risikobetrachtung sinnvoll erscheint, sollte darauf geachtet werden, dass das Thema dort ausreichend 1 Raum bekommt Ferner sollte das Ad-Hoc 5% Reporting regelmäßige Reports lediglich durch eigenständige regelmäßige Reports Bestandteil risikoartenübergreif Reports durch ad-hoc Reporting bislang kein formalisiertes Reporting ergänzen, nicht jedoch ersetzen International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 18

20 Frage 17: Werden Maßnahmen zu RepRisk nachgehalten / überwacht? Zur Erfolgskontrolle eingeleiteter Maßnahmen sowie zur Überwachung der tatsächlichen Umsetzung ist es sinnvoll, diese in einer Datenbank zu erfassen und den Lebenszyklus nachzuhalten h Aufgrund des eher geringen Reifegrads des Themas in den meisten Banken ist es überraschend, dass immerhin gut ein Drittel der Befragten Steuerungsmaßnahmen nachhalten In einem fortgeschrittenem Stadium des 5 11% 39% ja konkret k geplant nein RepRisk-Controllings und -Managements sollten geplante Maßnahmen nachgehalten und deren Wirksamkeit überprüft werden International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 19

21 Fazit Das Management und Controlling der Reputationsrisiken befindet sich in einem ähnlichen Entwicklungsstand wie es für operationelle Risiken Ende der 1990er Jahre der Fall war Governancestrukturen sind eher rudimentär und uneinheitlich und es ist noch nicht klar, welche Methoden und Prozesse am geeignetsten sind Die Studie zeigt, dass eine signifikante Zahl von Banken Reputationsrisiken bereits systematisch bearbeiten bzw dabei sind, ein entsprechendes Rahmenwerk aufzubauen Dabei zeichnet sich ab, dass Strukturen, Methoden und Prozesse des Management und Controlling operationeller Risiken in vielen Fällen eine gute Ausgangsbasis für die Entwicklung spezifischer Vorgehensweisen für Reputationsrisiken darstellen und darüber hinaus Synergieeffekte erzielt werden können Durch die im Rahmen der Anwendung der neuen Methoden und Prozesse gemachten Erfahrungen, den Austausch der Banken untereinander sowie der mittelfristig zu erwartenden Konkretisierung aufsichtsrechtlicher Erwartungen ist mit einer raschen Entwicklung des Themas zu rechnen International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 20

22 Ansprechpartner ABCD Prof Dr Thomas Kaiser Director, Risk Consulting Banking THE SQUAIRE T D Frankfurt F ThomasKaiser@kpmgcom M International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind Alle Rechte vorbehalten Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative 21