Eine gut strukturierte, überschneidungsfreie Risikotaxonomie mag wie ein technisches Detail erscheinen, bildet in Wirklichkeit jedoch das Rückgrat eines effizienten Risikomanagements. Ohne eine klare, logisch aufgebaute Taxonomie fällt es Organisationen schwer, Risiken konsistent zu klassifizieren, Verantwortlichkeiten zuzuweisen und wirksame Kontrollen umzusetzen.
Das heutige Umfeld macht diese Herausforderung noch dringlicher. Neue Risikofelder wie Künstliche Intelligenz (KI), Umwelt-, Sozial- und Governance-Anforderungen (ESG) sowie sich wandelnde IKT- und Cybersicherheitsbedrohungen verändern die Risikolandschaft rasant.
Gleichzeitig sind regulatorische Anforderungen konkreter geworden. Mit der Veröffentlichung des Entwurfs der EBA-Regulatory Technical Standards (RTS) zur operationellen Risikotaxonomie gemäß Artikel 317(9) CRR sind Institute verpflichtet, ein harmonisiertes und international abgestimmtes Klassifikationssystem für operationelle Risikoverlustereignisse anzuwenden.
Diese Entwicklungen führen dazu, dass bestehende Taxonomien, von denen viele vor Jahren entwickelt wurden, sich überschneiden und das gesamte Spektrum moderner Risiken nicht mehr abbilden. Eine Aktualisierung ist nicht länger optional, sondern notwendig.
Die Herausforderung: Klare Struktur in einem wachsenden Risikoumfeld
Die erste Herausforderung ist strukturelle Klarheit. Eine robuste Taxonomie erfordert konsistente Ebenen, die jeweils mit der Governance und dem Betriebsmodell der Organisation abgestimmt sind:
- Oberste Risikokategorien zur groben Orientierung
- Unterkategorien, die organisatorische Verantwortlichkeiten widerspiegeln
- Detaillierte Risikotypen für konsistente Bewertung, Steuerung und Berichterstattung
Viele Institute stehen jedoch vor historisch gewachsenen, sich überschneidenden Definitionen, unklaren Abgrenzungen und fehlenden Kategorien – insbesondere bei der Integration neuer Themen wie IKT-/operationelle Resilienzrisiken, KI-Modellrisiken, ESG-Risiken sowie bereichsübergreifender Risiken wie Reputationsrisiken. Diese Lücken führen zu inkonsistenter Berichterstattung und unklaren Verantwortlichkeiten.
Hinzu kommen steigende regulatorische Erwartungen. Aufsichtsbehörden prüfen Risikotaxonomien zunehmend funktionsübergreifend, insbesondere im Bereich nicht-finanzieller Risiken (NFR) einschließlich IKT und ESG. Zukünftige Prüfungen werden voraussichtlich sowohl die Steuerung der Risiken als auch deren klare Definition innerhalb der Taxonomie bewerten. Daher müssen Institute sicherstellen, dass ihre Taxonomie umfassend, zukunftssicher und eng mit ihrer Organisationsstruktur verknüpft ist.
Die Lösung: Modernisierung und Verankerung einer praktikablen Risikotaxonomie
Die Etablierung oder Weiteentwicklung einer Risikotaxonomie – von der Konzeption bis zur Integration in das unternehmensweite Risikomanagement – umfasst vier zentrale Schritte:
- Entwicklung einer kohärenten Drei-Ebenen-Struktur
Definition von Kategorien, Unterkategorien und Risikotypen ohne Überschneidungen, unter Berücksichtigung von Verantwortlichkeiten und regulatorischen Anforderungen.
- Integration neuer und aufkommender Risiken
Einbindung von KI-, ESG- sowie IKT-/Resilienzrisiken mit klaren Definitionen und konsistenter Zuordnung zu bestehenden Kategorien.
- Verknüpfung mit der Organisationsstruktur
Abstimmung der Taxonomie mit Rollen und Verantwortlichkeiten, insbesondere entlang der First und Second Line of Defense.
- Vorbereitung auf verstärkte aufsichtsrechtliche Prüfungen
Frühzeitige Stärkung von Taxonomie und Dokumentation zur Verbesserung von Konsistenz und Prüfungsergebnissen.
Fazit
Eine zukunftssichere Risikotaxonomie ist mehr als ein Klassifikationssystem – sie ist ein strategischer Enabler für effizientes, transparentes und verlässliches Risikomanagement. Angesichts neuer Risiken und steigender regulatorischer Anforderungen müssen Organisationen ihre Taxonomien aktualisieren, um compliant, resilient und operativ wirksam zu bleiben.
Durch die Entwicklung bzw. Weiterentwicklung einer klaren Drei-Ebenen-Taxonomie und deren Abstimmung mit der Organisationsstruktur verbessern Unternehmen ihre Risikosteuerung, reduzieren Komplexität und bereiten sich gezielt auf zukünftige Prüfungen vor.
Wie Capco unterstützen kann
Capco unterstützt Kunden bei der Modernisierung, Harmonisierung und Operationalisierung ihrer Risikotaxonomien, damit diese den Anforderungen einer sich schnell verändernden Welt gerecht werden.
Wir begleiten unsere Kunden in allen Phasen – von der Konzeption über die Governance-Ausrichtung bis hin zur Integration in das Enterprise Risk Management.
Kontaktieren Sie uns für weitere Informationen.
Verwandte Inhalte
Kontakt
Wenn Sie mehr über die Zusammenarbeit mit Capco erfahren möchten und wie wir Sie bei der Bewältigung möglicher Herausforderungen unterstützen können, kontaktieren Sie unsere Expertinnen und Experten über das untenstehende Kontaktformular.