In den meisten Banken wird das öffentliche Erscheinungsbild durch den Vorstand und unterstützende Bereiche wie die Unternehmenskommunikation aktiv gestaltet. In der Regel gibt es aber nur wenige Methoden und Prozesse, die vorgeben, wie mit drohenden oder schlagend gewordenen Reputationsrisiken umgegangen werden soll. Institutionalisierte Schnittstellen zum Risikocontrolling fehlen meistens. Daher sollte ein präventives und reaktives Reputationsrisikomanagement besser in die bestehenden Prozesse integriert werden.
Aufsichtsrechtliche Anforderungen
Während Reputationsrisiken bislang lediglich als eher optionale Komponente der Säule 2 gesehen wurden, rücken sie zunehmend in das Blickfeld der Aufsichtsbehörden. Dies liegt vornehmlich daran, dass Reputationsrisiken andere Risikoarten in ihrer Wirkung verstärken können und aufgrund ihres möglichen Einflusses auf die Liquiditätsbeschaffung einer Bank sogar für das Finanzsystem als Ganzes kritisch werden können.
Der Baseler Ausschuss für Bankenaufsicht fordert in seinem jüngsten Ergänzungspapier zum Basel II-Rahmenwerk die explizite Einbindung der Reputationsrisiken in den bankweiten Risikomanagementprozess. Insbesondere werden die Identifikation und Bewertung sowie die Integration in die Risikotragfähigkeitsbetrachtung erwartet.
Ferner sollen Reputationsrisiken im Neuproduktprozess betrachtet werden. Die Wechselwirkungen mit anderen Risikoarten (insbesondere Kreditrisiken) sowie die aus dem Eintritt von Reputationsrisiken resultierenden Folgerisiken - beispielsweise auf die Liquidität - sollen unter anderem im Rahmen eines Stresstestings untersucht werden.
Nach Verabschiedung der Ergänzungen zu Basel II wurden beziehungsweise werden analoge Änderungen an den EU-Richtlinien sowie der nationalen Umsetzung (SolvV und MaRisk) planmäßig in 2009 und 2010 vorgenommen.
Einige vermeintlich zum Reputationsrisikomanagement verfasste Publikationen beschäftigen sich in Wirklichkeit mit dem Reputationsmanagement. Zur klaren Definition von Rollen und Verantwortlichkeiten ist eine klare Trennung dieser Themen empfehlenswert. Als Teil der Unternehmensstrategie sollte die Geschäftsleitung die angestrebte Reputation, gegebenenfalls in Dimensionen wie Produktqualität, Kundendienst, Preis sowie Umwelt- und Sozialstandards gegliedert, operational definieren. Diese Ziele werden üblicherweise durch Marketingkampagnen, Corporate-Social-Responsibility-Projekte, Presseerklärungen und ähnliche Instrumente implementiert. Solche Aktivitäten können Reputationsmanagement genannt werden und sind meist bei einer Kommunikationsabteilung sowie anderen Stabsstellen (etwa Vorstandsstab) angesiedelt.
Reputationsrisiken liegen vor, wenn das angestrebte beziehungsweise erreichte Reputationsniveau gefährdet ist. Daher beschäftigt sich das Reputationsrisikomanagement mit der Identifikation und Bewertung von Ereignissen, welche die Reputation gefährden. Auf deren Reporting aufbauend werden Maßnahmen zur Beseitigung der Gefährdungen beziehungsweise zur Abmilderung deren Wirkungen bei Eintritt eingeleitet.
Reputationsrisiken äußern sich primär in zurückgehender Kundenbindung und -zufriedenheit, schwierigerer Neukundengewinnung, sinkendem Umsatz und höheren Refinanzierungskosten - bis hin zu Situationen, in denen die Beschaffung neuer Mittel nicht möglich ist. Dies kann einen unmittelbaren Einfluss auf den Aktienkurs einer börsennotierten Bank haben. Darüber hinaus gibt es negative interne Wirkungen wie niedrige Mitarbeiterzufriedenheit, höhere Fluktuation, geringere Identifikation mit dem Unternehmen und sinkender Attraktivität für neue Mitarbeiter.
Eigenständige Risikoart?
Zunächst muss festgelegt werden, ob Reputationsrisiken als Teil von operationellen Risiken, als Folgerisiken anderer Risikoarten oder als eigenständige Risikoart angesehen wird. Zahlreiche Beispiele großer Betrugsfälle, längerer IT-Ausfälle und gehäuften Fehlberatungen von Kunden demonstrieren, dass gravierende Reputationsverluste aus operationellen Risiken resultieren. Aber auch aus anderen Risikoarten (beispielsweise außergewöhnlich hohe Abschreibungen aufgrund der Sub-prime-Krise) können Reputationsrisiken auslösen. Ferner gibt es Reputationsverluste, bei denen es schwierig - wenn nicht gar unmöglich - ist, eine andere Risikoart als Ursache auszumachen. Hierzu gehören beispielsweise Äußerungen von Vorständen in der Öffentlichkeit, die negativ aufgenommen werden oder Geschäftsentscheidungen, die zu Negativpresse führen (beispielsweise die Entscheidung, Tochtergesellschaften in Krisenregionen zu eröffnen oder Dienstleistungen auszulagern, was mit Stellenabbau verbunden ist).
Schließlich gibt es sogar Fälle, in denen schlagend gewordene Reputationsrisiken als Auslöser anderer Risikoarten angesehen werden können (beispielsweise Liquiditätsengpässe aufgrund von Vertrauensverlust). Abbildung 2 veranschaulicht die Zusammenhänge zwischen Reputationsrisiken und anderen Risikoarten. Es erscheint somit angebracht - auch im Lichte der aufsichtsrechtlichen Handhabung im Ba-sel-II-Ergänzungspapier und in den MaRisk - Reputationsrisiken als eigenständige Risikoart zu handhaben, jedoch die Wechselwirkungen mit den übrigen Risikoarten im Auge zu behalten. Oft besteht die Steuerung von Reputationsrisiken nämlich nicht (nur) in einer professionellen Kommunikation, sondern im Abstellen der Ursache einer anderen Risikoart (beispielsweise durch Vermeiden von Fehlberatungen durch Vertriebsschulungen).
Kernbausteine eines Reputationsrisikomanagements
Abbildung 3 zeigt die Kernelemente eines umfassenden RepRisk-Managements, die sukzessive aufgebaut und verfeinert werden sollten. Industriestandards haben sich hierzu noch nicht herausgebildet, jedoch sind entsprechende Entwicklungsrichtungen erkennbar.
Zunächst müssen Reputationsrisiken im Rahmen der Gesamt-Risikostrategie berücksichtigt werden. Eine Verbindung zur Geschäftsstrategie sowie den anderen Risikoarten ist hierbei wesentlich. Hierzu gehört die Festlegung von Rollen und Verantwortlichkeiten, des (zukünftig) zur Verfügung stehenden Instrumentariums sowie einer Risikotoleranz, die aufgrund des Charakters dieser Risikoart eher qualitativ ausgedrückt werden wird. Die aus Gründen der Konsistenz mit anderen Risikoarten sowie der Zusammenführung zu einem ökonomischen Kapital über alle Risikoarten hinweg erwünschte quantitative Messung beziehungsweise Limitierung ist für Reputationsrisiken bislang nur sehr schwer möglich, daher können ersatzweise qualitative Risikobegrenzungen durch Anweisungen, Notfallpläne, Schulungen zum Einsatz kommen.
Anschließend sollte eine adäquate Aufbau- und Ablauforganisation im Gesamtrisikokontext geschaffen werden. Wichtig ist, alle relevanten Bereiche in einen effizienten Informationsfluss einzubeziehen. Dabei sollten insbesondere Kompetenzen hinsichtlich Risikosteuerung, Kommunikation sowie den zugrunde liegenden Geschäftsaktivitäten zusammenwirken. Aufgrund der Interdependenzen mit anderen Risikoarten erscheint die Ansiedlung der Methodenentwicklung, Datenaggregation sowie Koordination einzelner Maßnahmen im Risikocontrolling - gegebenenfalls in einer gemeinsamen Einheit mit operationellen Risiken - zielführend.
Risikokomitee hilfreich
Die eigentliche Steuerung der Reputationsrisiken erfolgt hingegen in den Unternehmensbereichen, entsprechenden Kommunikationseinheiten sowie Spezialabteilungen/Querschnittsfunktionen. Ein Risikokomitee ist zu diesem Zweck ebenfalls hilfreich, um bereichsübergreifende Themen zu adressieren. Reputationsrisiken, die in einem bestimmten Bereich des Unternehmens verursacht werden, beeinflussen nämlich im Regelfall das Gesamtunternehmen und bedürfen somit einer übergeordneten Betrachtung. Ferner können hier Interdependenzen mit anderen Risikoarten thematisiert werden.
Am Anfang des Risikomanagement-Kreislaufes steht die Risikoidentifikation. Hierbei geht es darum, mögliche Bedrohungen zu erkennen. Dabei sollten sowohl konkrete Geschäfte und Produkte (Neu- wie auch Bestandsgeschäft) als auch übergreifende Themenfelder berücksichtigt werden. Im nächsten Schritt - der oft zeitgleich mit der Identifikation stattfindet - erfolgt eine Bewertung des Risikos. Wie erwähnt gestaltet sich die Quantifizierung von Reputationsrisiken eher schwierig. Dies sollte aber Banken sowohl betriebswirtschaftlich als auch aufsichtsrechtlich nicht davon abhalten, zumindest eine qualitative Bewertung der Reputationsrisiken vorzunehmen, um somit eine Entscheidungsbasis für die Notwendigkeit von Risikosteuerungsmaßnahmen zu haben und diese priorisieren zu können. Hierzu können qualitative Assessments, gegebenenfalls mit getrennter Betrachtung von Auswirkungshöhe und Eintrittswahrscheinlichkeit verwendet werden.
Ergänzende Szenarioanalyse
Für besonders relevante Risiken bietet sich ergänzend eine Szenarioanalyse an, welche aufgrund des höheren Informationsgehalts auch die Maßnahmenplanung erleichtert. Diese Methoden haben sich bereits für die Steuerung operationeller Risiken bewährt, sodass gegebenenfalls auf vorhandenen Instrumenten und Erfahrungen aufgebaut werden kann und somit Synergien genutzt werden können. Als Möglichkeit der quantitativen Bewertung der Reputationsrisiken können neben entsprechend sophistizierten Szenarioanalysen auch Eventstudien zum Einsatz kommen. Hier wird der Einfluss von reputationswirksamen Ereignissen auf den Börsenkurs (bereinigt um andere Effekte) des Unternehmens untersucht. Diese Analyse kann auch für Vorfälle bei Wettbewerbern angewandt und auf das eigene Unternehmen übertragen werden.
Ergänzend bietet sich die Einrichtung eines Frühwarnsystems (auch in Zusammenhang mit KonTraG) an, um regelmäßige Informationen über Veränderungen des Risikoprofils zu generieren. Hierbei geht es darum, Indikatoren zu definieren und regelmäßig zu erheben, deren Veränderung gegenüber einer Benchmark eine Zunahme des Risikos signalisieren. Die Erkenntnisse aus der Bewertung und dem Frühwarnsystem gegebenenfalls ergänzt um Informationen zu eingetretenen oder beinahe eingetretenen Verlusten aus Reputationsrisiken, bilden die Basis für das Risikoreporting.
Auf Basis des Risikoreportings erfolgt die Risikosteuerung. Die Steuerung der Reputationsrisiken hat eine präventive und eine reaktive Komponente. Die Prävention besteht beispielsweise darin, riskante Geschäfte erst gar nicht abzuschließen. Hierzu gehört die Berücksichtigung im Neuprodukt/-marktumfeld. Die reaktive Komponente fußt zunächst auf professioneller Kommunikation sowie Krisenmanagement. Alle Stakeholder müssen zielgruppenadäquat informiert werden. A lerdings ist insbesondere bei wiederholtem Auftreten von Reputationsrisiken neben der Kommunikation auch eine Veränderung von Geschäftsprozessen, Produkten et cetera erforderlich. Schließlich dient die Risikoüberwachung dazu, die Effektivität der eingeleiteten Maßnahmen zu beurteilen und gegebenenfalls nachzusteuern.
Reputationsrisikomanagement-Framework implementieren
Bei der Entwicklung eines entsprechenden Instrumentariums kann teilweise auf bestehende Verfahren der Unternehmenskommunikation (wie Issue Management) und des Risikomanagements (zum Beispiel Self-Assessment) zurückgegriffen werden. Aufgrund der engen Verbindung zu den operationellen Risiken bietet sich die Nutzung von Synergieeffekten durch Verwendung entsprechend modifizierter Methoden und Prozesse zur Steuerung dieser Risikoart an. Für die Einführung und den Ausbau eines Reputationsrisikomanagements bietet sich ein Phasenmodell an. Die Grundlage für die erste Phase bilden die vorhandenen institutsinternen Risikoidentifikations- und Bewertungsmethoden, die um die Betrachtung von Reputationsrisiken als Folgerisiko ergänzt werden.
In der zweiten Phase wird ein vollständiges Risikomanagement- und -controllingframework eingeführt. Dieses berücksichtigt in Ergänzung zur ersten Phase auch Reputationsrisiken als eigenständige Risikoart und reicht methodisch weiter als in Phase 1 beschrieben (etwa durch eigenständige Assessments des Reputationsrisikos sowie Integration in den Neuproduktprozess). Die dritte Phase betrachtet schließlich alle Wirkungszusammenhänge aus Reputationsrisiken, beispielsweise durch ungünstigere Konditionen der Liquiditätsbeschaffung oder entgangenem Neugeschäft.
Steuerungsrahmen implementieren
Reputationsrisiken sind für alle Unternehmen zunehmend bedeutsam. Aufgrund der besonders sensiblen und auf Vertrauen basierenden Kundenbeziehung (oft langfristig angelegt und darüber hinaus aufgrund des finanziellen Charakters in besonderem Maße schutzbedürftig) einer Bank ist diese Risikoart aus betriebswirtschaftlichen Gründen besonders wichtig. Die Finanzmarktkrise hat die Wichtigkeit der Reputation der Banken und die Schwierigkeit, diese wiederzugewinnen, nur zu gut verdeutlicht. Darüber hinaus wird zunehmend auch von Seiten der Aufsichtsbehörden eine explizite Behandlung der Reputationsrisiken gefordert. Trotz der Schwierigkeiten, Reputationsrisiken quantitativ zu bewerten, sollten Banken sukzessive einen Steuerungsrahmen konzipieren und implementieren, um geeignete Gegensteuerungsmaßnahmen ableiten zu können.
Literaturhinweise
Basel Committee for Banking Supervision, Enhancements to the Basel II framework, July 2009.
Kaiser, Th., "The rules of honour", OpRisk & Compliance, June 2008.
Kaiser, Th., "Reputationsrisikomanagement in Versicherungsunternehmen", Versicherungswirtschaft, 15. Juni 2008.
Kaiser, Th. (Hrsg.), Wettbewerbsvorteil Risikomanagement. Erfolgreiche Steuerung der Strategie-, Reputations- und operationellen Risiken, Berlin 2007.
Kaiser, Th., M. Köhne, Operationelle Risiken in Finanzinstituten. Eine praxisorientierte Einführung, Wiesbaden 2007.
Schierenbeck, H., M. Grüter, M. Kunz, Management von Reputationsrisiken in Banken, Basel 2004.