Entwicklung und Ausblick in regulatorischer und praktischer Perspektive
Unternehmensrisiko im wirtschaftlich-gesellschaftlichen Kontext
Seit Beginn der europäischen Finanzmarktharmonisierung sind Unternehmensrisiken nicht mehr ausschliesslich Gegenstand interner Steuerung, sondern integraler Bestandteil eines dicht harmonisierten aufsichtsrechtlichen Rahmens. Sie werden nicht mehr isoliert nach einzelnen Risikoarten betrachtet, sondern kumulativ, Governance-getrieben und prozessorientiert reguliert.
Im Folgenden wird die historische Entwicklung entlang der jeweils im regulatorischen Fokus stehenden Risikokategorien dargestellt und in einen praktischen Kontext für Finanzmarktteilnehmer eingeordnet. Dies bildet die Basis für eine anschliessende Prognose zur Entwicklung von Risikomanagement im Lichte absehbarer Trends gefolgt von daraus ableitbaren Herausforderungen und Chancen für den europäischen Finanzmarkt.
Vor der Finanzkrise (bis ca. 2007) - von finanziellen Einzelrisiken zur organisationsbezogenen Risikosteuerung
In der frühen Phase der europäischen Finanzmarktregulierung stand das Unternehmensrisiko primär im Zeichen klassischer finanzieller Risiken. Kredit- und Marktrisiken bildeten im Bankbereich den regulatorischen Schwerpunkt, ergänzt durch grundlegende Liquiditätsüberlegungen. Im Fondsbereich konzentrierte sich die Aufsicht auf Verwahr-, Bewertungs- und Abwicklungsrisiken sowie auf den Schutz der Anlegerinteressen. Governance- und Organisationsrisiken waren zwar implizit Teil der Aufsicht, wurden jedoch nicht als eigenständige Risikodimension wahrgenommen, sondern eher als formale Ordnungsvoraussetzungen. Exemplarisch für Liechtenstein wurde Risikomanagement in Umsetzung der OGAW-Vorgaben über UCITSG/ UCITSV sowie bankaufsichtsrechtliche Anforderungen im damaligen BankG primär quantitativ verstanden und weniger als integriertes Steuerungssystem.
Post-Finanzkrise (ab 2008) – Integration der systemischen Perspektive mit Schwerpunkten Governance und Kapitalstärkung
Die Finanzkrise ab 2008 markierte einen fundamentalen Wendepunkt. In dieser Phase wurde deutlich, dass Unternehmensrisiken nicht allein aus Marktbewegungen resultieren, sondern massgeblich durch Mängel in Risikovorsorge, Governance und Risikokultur sowie strukturelle Schwächen innerhalb der Institute verstärkt werden können.
Der regulatorische Fokus verlagerte sich entsprechend auf systemische Risiken, Kapital- und Liquiditätsrisiken sowie auf Governance- und Organisationsrisiken. Leitungsorgane wurden explizit für die Festlegung des Risikoappetits und die Überwachung der Risikosteuerung verantwortlich gemacht. Im regulatorischen Kontext wurde Risiko nun als organisationsübergreifendes Phänomen verstanden, das durch mangelhafte Steuerung, Anreizsysteme und Kontrollversagen verstärkt wird.
Im europäischen Kontext fand diese Entwicklung ihren Ausdruck insbesondere in der Weiterentwicklung der Bankengesetzgebung und der zugehörigen Verordnung als Umsetzung der CRR/CRD-Vorgaben. Im Fondsbereich wurde mit der Einführung des AIFMG ein eigenständiger aufsichtsrechtlicher Rahmen für alternative Investmentfondsmanager geschaffen.
Risikomanagement wurde ab dieser Phase zu einer klar definierten Leitungs- und Dauerpflicht. Zentral war dabei die Etablierung der Three-Lines-of-Defence-Logik sowie klar definierte Verantwortlichkeiten auf Ebene des Verwaltungs-/Aufsichtsrates, der Geschäftsleitung sowie bei den Risikomanagement-, Revisions- und Compliance-Verantwortlichen.
Konsolidierung (ab 2014) – Erweiterung um Nicht-finanzielle Risiken
In der Zeit nach der unmittelbaren Krisenbewältigung verlagerte sich der regulatorische Schwerpunkt zunehmend auf nicht-finanzielle Risiken. Operationelle Risiken traten als eigenständige Risikokategorie hervor, insbesondere Risiken aus Prozessen, IT-Systemen, menschlichem Fehlverhalten und externen Ereignissen.
Parallel dazu gewannen Compliance- und Rechtsrisiken erheblich an Bedeutung. Besonders prägend war in diesem Zeitraum die stärkere Fokussierung auf Geldwäscherei- und Terrorismusfinanzierungsrisiken. In Liechtenstein wurde diese Entwicklung beispielsweise über das Sorgfaltspflichtgesetz und die Sorgfaltspflichtverordnung konkretisiert. AML/CFT-Risiken wurden nun ausdrücklich als unternehmensweit zu steuernde Risiken verstanden, die eng mit Geschäftsmodell, Kundenstruktur und internationaler Ausrichtung verbunden sind.
Auch Outsourcing- und Drittparteienrisiken rückten in dieser Phase stärker in den Fokus, da die zunehmende Spezialisierung und Auslagerung wesentliche Abhängigkeiten schufen, die bislang nur unzureichend abgebildet waren.
In der aufsichtsbehördlichen Umsetzung fand dies ihren Niederschlag in der Konkretisierung der Anforderungen über Erweiterungen im Sorgfaltspflichtkatalog, eine stärkere aufsichtsrechtliche Erwartung an unternehmensweite Risikoanalysen sowie eine zunehmende Detailtiefe der Prüf- und Aufsichtsaspekte bei Outsourcing und Funktionsauslagerungen. Unternehmensrisiko wurde erstmals klar als Querschnittsthema verstanden.
Komplettierung (ab 2020) – Nachhaltigkeit, Daten und Reputation
Mit Beginn der 2020er-Jahre erweiterte sich das regulatorische Risikoverständnis erneut. Nachhaltigkeitsrisiken wurden explizit als relevante Unternehmens- und Finanzrisiken anerkannt. Mit der Sustainable-Finance-Agenda der EU wurden Nachhaltigkeitsrisiken ausdrücklich als relevante Unternehmens- und Finanzrisiken definiert. Die SFDR verpflichtete Finanzmarktteilnehmer ab 2021 zu detaillierten Offenlegungen auf Unternehmens- und Produktebene, es entstand ein neuer Regulierungsstrang: Sustainable Finance.
Für die Praxis bedeutet dies, dass Nachhaltigkeit kein Zusatzthema, sondern Teil der Produktgovernance ist und fehlerhafte oder unzureichende Angaben Haftungs-, Reputations- und Aufsichtsrisiken nach sich ziehen können.
Datenmanagement und interne Kontrollen gewinnen erheblich an Bedeutung und mit der Digitalisierung stiegen operationelle Risiken (Ausfälle, Cyber, Daten, Drittanbieter).
In dieser Phase wurden Reputationsrisiken zu einem zentralen Verstärker anderer Risikokategorien. Fehlerhafte oder unvollständige Nachhaltigkeitsangaben können nicht nur aufsichtsrechtliche Massnahmen zur Folge haben, sondern auch das Vertrauen von Investoren und Geschäftspartnern nachhaltig beeinträchtigen.
Für Finanzmarktteilnehmer bedeutete dies, dass Nachhaltigkeitsrisiken integraler Bestandteil von Productgovernance, Risikomanagement und internen Kontrollsystemen wurden.
Neuausrichtung (ab 2024) – Resilienz und Cryptorisiken
Mit der fortschreitenden Digitalisierung des Finanzsektors verschob sich der Fokus erneut. IT- und Cyberrisiken entwickelten sich von einer ursprünglichen Unterkategorie operationeller Risiken zu einem eigenständigen, strategisch relevanten Risikokomplex.
Aus Risikomanagementsicht ist ein weiterer Aspekt bemerkenswert: die Hinwendung zur Resilienz, also der Akzeptanz, dass Schadensfälle über Mitigation nicht absolut abwendbar sind, sondern eine integrative Sicht und rechtzeitige, angemessene Reaktion selbst, die Antwort auf ein zunehmend dynamisches und komplexes Umfeld sein müssen.
Mit Einführung der DORA-Verordnung wird digitale operationelle Resilienz zum expliziten aufsichtsrechtlichen Ziel, wobei nicht nur interne Systeme, sondern auch Abhängigkeiten von externen IT- und Cloud-Dienstleistern in den Blick genommen werden. Konzentrations- und Abhängigkeitsrisiken gelten dabei als potenziell systemrelevant, insbesondere für kleinere, international vernetzte Finanzplätze wie Liechtenstein.
Dominierende Risikokategorien sind dabei ICT- und Cyberrisiken, Konzentrations- und Abhängigkeitsrisiken, Drittparteien- und Cloud-Risiken sowie Geschäftsfortführungs- und Krisenrisiken.
Mit DORA wird das operationelle Risiko neu definiert: nicht als Reihe von Einzelfehlern, sondern als Frage der systemischen Resilienz. Der Fokus liegt auf Prävention, Reaktionsfähigkeit und Wiederherstellung – auch unter Einbeziehung externer Dienstleister.
Im europäischen Kontext ergänzt DORA bestehende nationale Outsourcing-Regime und verlangt von den Finanzmarktteilnehmern und deren Providern strukturierte ICT-Risikoanalysen, testbare Notfall- und Wiederanlaufkonzepte, sowie die integrierte Steuerung unternehmensinterner aber auch -übergreifender Prozesse und Systeme.
Aktuelle Phase (ab 2026) – Harmonisierung und Neujustierung
In naher Zukunft zeichnen sich folgende Entwicklungen ab:
Die weitere Harmonisierung im regulatorischen Bereich (CRR III/CRD VI sowie AIFMD II) werden mehr Daten- und Nachweisanforderungen mit sich bringen und Standardisierung und Detailtiefe erhöhen.
Mit DORA wird digitale Resilienz zu einem dauerhaften Prüfgegenstand, die Aufsicht rückt IKT-Dienstleister stärker ins Zentrum, was zu einer Marktbereinigung in diesem Providerfeld sowie eventuell damit verbundenen Kostensteigerungen führen wird.
Die EU hat ein umfassendes AML-Paket mit zugehöriger Verordnung mit Anwendung ab Juli 2027 beschlossen. Damit wird sich der Risikokatalog in diesem Bereich in den Kategorien der regulatorischen Risiken und Sorgfaltspflichtrisiken deutlich erweitern.
Nachhaltigkeits- und Data Governance-Risiken bleiben relevant, müssen aber anhand SFDR in der Praxis stärker über Datenqualität, Kontrollen und Haftungsvermeidung gesteuert werden. Das bedeutet in der Folge weniger Marketing- dafür mehr Risikomanagement-Relevanz.
Digitale Assets kommen als weiteres Risikoregulativ hinzu. MiCA ist seit 2024 stufenweise anwendbar und bringt neue Anforderungen für Emittenten und Krypto-Dienstleister mit Governance-, Kapital-, IT- und Compliance-Implikationen.
Game-Changer am Horizont – Klimawandel, Geopolitik und Künstliche Intelligenz
Der Klimawandel wird Art und unmittelbare Auswirkung physischer Klimarisiken in allen Unternehmen nachhaltig verändern. Mit CRD VI wird seitens der europäischen Aufsicht bereits klar auf die Verantwortung von Geschäftsleitung und Aufsichtsgremien hingewiesen, die physischen Klimarisiken und deren Auswirkung in Geschäftspolitik, Governance und Risikomanagement zu berücksichtigen. Um dieser Verantwortung gerecht zu werden (Sorgfaltspflicht-Relevanz!), müssen im Risikomanagement geeignete Verfahren eingesetzt und adäquate Massnahmen zur Resilienzsteigerung eingeleitet werden. Dies bedeutet in der Praxis anhand vorhandener öffentlich verfügbarer Daten (Hochwasser, Starkregen, Lawinen, Felsstürze, Hitzetage etc.) Szenarien zu entwickeln. Deren Auswirkungen, wie zum Beispiel die Werthaltigkeit von Sicherheiten in Gefährdungsgebieten oder die Stressresistenz in der Anlagepolitik, sind zu bewerten sowie in der Liquiditäts- und Kapitalvorsorge entsprechend zu berücksichtigen.
Die geopolitischen Umbrüche werden Handelsbeziehungen, Volkswirtschaften und Märkte nachhaltig verändern. Damit zeigen sich auch neue Herausforderungen an Risikoquantifizierung und Mitigation auf der Basis neuer Stress-Szenarien. Kumulative Wirkungen von schnellen und markanten Marktverschiebungen können grosse Gruppen von Marktteilnehmern, darunter auch systemrelevante Unternehmen, vor geschäftsgefährdende Herausforderungen stellen. Auf europäischer Ebene befassen sich Expertenpanels bereits mit neuen Vorgaben zu Risikobewertungskategorien und -verfahren und deren Ermittlung und Meldung über Aufsichtsbehörden, um systemischen Risken im Sinne der Finanzmarktstabilität angemessen begegnen zu können.
Die Künstliche Intelligenz wird Risikomanagement-Tools sowie das entsprechende Know-how direkt an den Manager-Desktop bringen. Datenbeschaffung, Plausibilisierung und Szenariobewertungen können über selbstlernende Systeme auch kleineren und mittleren Marktteilnehmern die Möglichkeit bieten, die Risiken ihres individuellen Geschäftsmodells aktiv zu managen. Durch die neue Qualität und auch Quantität von entscheidungsrelevanten und zeitnah verfügbaren Informationen können sowohl finanzielle als auch operationale Risiken rechtzeitig erkannt und entsprechend eingegrenzt werden. Das Management ganzer Wertschöpfungsketten, inklusive der Einbindung von Partnern und Providern, wird technisch und funktional umsetzbar und so die Resilienz insgesamt steigern. Im Tagesgeschäft der Finanzunternehmen und -intermediäre zeigen sich demgegenüber aber auch verstärkt neue Gefahrenpotenziale aus der Entwicklung der künstlichen Intelligenz auf - Stichwort Deep-Fake. Diese erfordern sowohl neue Ansätze der Wissenschaft als auch ein besonderes Augenmerk seitens der RisikomanagerInnen in der Praxis.
Fazit
Die zeitliche Entwicklung des Unternehmensrisikos in der Finanzwirtschaft zeigt eine klare Linie: von der Dominanz klassischer Finanzrisiken über Governance- und Compliance-Fragestellungen hin zu einem umfassenden, multidimensionalen Risikoverständnis. Damit ist Unternehmensrisiko heute nicht mehr nur Ausdruck regulatorischer Pflichten, sondern eine zentrale Führungs- und Managementaufgabe, die über Stabilität, Reputation und langfristige Handlungsfähigkeit entscheidet.
Für die Finanzmarktteilnehmer gilt es, Wettbewerbsfähigkeit und Marktattraktivität zu erhalten bzw. zu steigern, indem Unternehmensrisiken frühzeitig erkannt, angemessen integriert und strategisch adressiert werden. Risikomanagement wird damit endgültig zur zentralen Managementdisziplin.
Dem Finanzplatz Europa bietet sich die Chance, über Risikomanagement-Exzellenz die Werte „Kompetenz“ und „Vertrauen“ kontinuierlich zu stärken und sein Ansehen regional sowie vor allem international zu steigern und dadurch zusätzliche Marktpotenziale zu erschliessen.
Dr. Günter Unterleitner
SynoFin Risikomanagement Service AG
Geschäftsführer