In den zehn Jahren seit der Finanzkrise haben sich die Risiken im Bankensektor grundlegend verändert. Nun gilt es, die richtige Antwort darauf zu finden – das ist nicht nur für die Banken entscheidend, sondern auch für die Wirtschaft insgesamt. Dabei prägt vor allem eine Veränderung das neue Risikoumfeld: Operative oder nichtfinanzielle Risiken haben deutlich zugenommen.In den vergangenen zehn Jahren haben Banken, Regierungen und Aufsichtsbehörden große Fortschritte gemacht. Gemeinsam haben wir den Schutz vor konventionellen Risiken verbessert – Kredit-, Markt- oder Liquiditätsrisiken. Die Banken haben ihr Eigenkapital gestärkt, die Verschuldung reduziert, Liquiditätsreserven aufgebaut und einige Derivate-Risiken auf zentrale Gegenparteien verlagert. Außerdem gibt es nun Schutzmechanismen, die verhindern sollen, dass die Pleite eines einzelnen Instituts einen Dominoeffekt auslöst. Dies ist eine der Lehren aus dem Zusammenbruch von Lehman Brothers.Aber gleichzeitig sind neue Risikoarten entstanden. Die nächste Finanzkrise wird womöglich nicht durch Kreditausfälle ausgelöst, sondern durch operationelle oder nichtfinanzielle Risiken. Diese können wiederum auf schlechte Systeme, schlechte Prozesse, Fehlverhalten oder externe Ereignisse zurückzuführen sein. Exponentiell zugenommenSolche Risiken haben exponentiell zugenommen, und das in zweierlei Hinsicht. Fehlverhalten und Gesetzesverstöße bilden den ersten Faktor. Dafür mussten die weltweit führenden Banken in den Jahren nach der Krise Straf- und Vergleichszahlungen von mehreren hundert Milliarden Euro begleichen. Die Botschaft der Aufsichtsbehörden, Gesetzgeber und der Gesellschaft ist unüberhörbar: Ein unzureichender Schutz gegen Fehlverhalten wird nicht länger toleriert. Dan Tarullo, damals noch Gouverneur der US-Notenbank Federal Reserve, hat es in seiner oft zitierten Bemerkung auf den Punkt gebracht: “Wenn Sie glauben, dass Compliance teuer ist, versuchen Sie es mal ohne.”Dazu kommen die Folgen der digitalen Revolution. Die Debatte über den Bitcoin, dessen Wert sich in diesem Jahr vervielfacht hat, ist nur ein Beispiel für die neue Realität des Bankgewerbes: Es bieten sich enorme Chancen, doch möglicherweise entstehen auch enorme Risiken. Im Jahr 2021 könnte Internetkriminalität die Weltwirtschaft Schätzungen zufolge 6 Bill. Euro kosten. Dabei haben heute 81 % der Verstöße vermeidbare Ursachen wie gestohlene Benutzerrechte und Passwörter.In diesem neuen Risikoumfeld stehen Risikomanager vor einer doppelten Herausforderung: Sie müssen ihr Unternehmen gegen klassische Risikoarten schützen und gleichzeitig die Auswirkungen nichtfinanzieller Risiken vorhersehen. Dafür sind vier Schritte notwendig.Erstens gilt es die schwer einzugrenzenden und vielschichtigen nichtfinanziellen Risiken zu erkennen. Jeder Mitarbeiter der Bank kann das Unternehmen einem erheblichen Risiko aussetzen – nicht nur durch Fehlverhalten, sondern auch bei der täglichen Nutzung von technischen Geräten. Deshalb muss jeder von uns zu einem Risikomanager werden. Das Konzept der drei Verteidigungslinien (“Three Lines of Defence”) der Deutschen Bank beruht auf dieser Strategie. Es regelt klar, wofür die Bereiche mit Kundenkontakt verantwortlich sind, wofür die unabhängigen Kontrollfunktionen und wofür die interne Revision. Die Kontrollfunktionen setzen den Rahmen und definieren die Grenzen der Risikobereitschaft. Die Verantwortung für die Risiken trägt das Kundengeschäft. Dieses Konzept mit Leben zu füllen ist unerlässlich.Zweitens hilft es im Kampf gegen nichtfinanzielle Risiken, so zu denken, als ob man eine Situation rückblickend analysieren würde. Anders als andere Risikoarten lassen sich operationelle Risiken kaum steuern, indem man auf Referenzdaten aus früheren Jahren zurückgreift. Stattdessen müssen die Risikomanager eng mit den Kollegen in kundennahen Bereichen zusammenarbeiten, um systematisch zu analysieren, wodurch die Bank Geld verlieren könnte. Dann gilt es entsprechende Schutzmaßnahmen zu entwickeln.Drittens können wir uns mit Hilfe von Robotik und künstlicher Intelligenz vor menschlichen Fehlern oder Fehlverhalten schützen. Manuelle Prozesse und nicht standardisierte Abläufe sind eine häufige Fehlerquelle. Außerdem ist die Bank Risiken von außen ausgesetzt. Diese reichen von ungeeigneten Kunden bis zu raffinierten Cyberkriminellen. So hat die Deutsche Bank zum Beispiel ihren Kundenüberprüfungsprozess (“Know Your Client”, KYC) zum Teil automatisiert, um die Fehlerquote bei dieser wichtigen Aufgabe zu senken.Viertens gilt es eine Kultur zu schaffen, in der Mitarbeiter Probleme offen ansprechen. Da nichtfinanzielle Risiken so breit gefächert sind, kann kein Maßnahmenpaket alle Eventualitäten abdecken. Eine Unternehmenskultur, in der die Mitarbeiter von sich aus über die operationellen Risiken ihrer täglichen Arbeit nachdenken und sie auch offen ansprechen, ist der wirkungsvollste Schutz. Keine PatentlösungenIm heutigen Umfeld immer komplexerer Risiken gibt es keine Patentlösungen. Da nichtfinanzielle Risiken so vielfältig sind, müssen sie auch ganzheitlich bekämpft werden. Es braucht stabile Prozesse, Investitionen in Abwehrsysteme und -technologien sowie eine entsprechende Unternehmenskultur. Unerlässlich ist außerdem eine partnerschaftliche Zusammenarbeit sämtlicher Akteure im Finanzsystem – der Aufsichtsbehörden, der Gesetzgeber und der Banken selbst. So senken wir die Wahrscheinlichkeit, dass sich die letzte Finanzkrise wiederholt, – und erhöhen gleichzeitig unsere Chancen, eine neue Krise zu verhindern.—-Balbir Bakhshi, Leiter des Bereichs nichtfinanzielle Risiken, Deutsche Bank