Nicht-finanzielle Risiken umfassen alle Risiken, die nicht explizit finanzieller Natur sind. Ihre Kategorien sind dabei nicht immer trennscharf und erfordern zudem unterschiedliche Ansätze. Das verlangt nach einer sorgfältigen Integration.
Nicht-finanzielle Risiken, kurz NFR, haben in den letzten Jahren gegenüber den klassischen Risikoarten stark an Bedeutung gewonnen. Verstöße gegen gesetzliche, regulatorische und ethische Vorgaben, Ausfälle von IT-Services, Dienstleistern oder ganzen Lieferketten können gravierende Wirkungen auf die Reputation eines Unternehmens, aber auch den Geschäftsbetrieb selbst entfalten.
In der Folge ist in den letzten Jahren eine Reihe von zum Teil heterogenen Risikomanagementansätzen entstanden, deren Koexistenz eine Herausforderung für die Identifikation, Beurteilung, Steuerung und Überwachung sämtlicher Risiken darstellt.
Die nicht-finanziellen Risiken von Finanzinstituten können in operationelle Risiken und sonstige nicht-finanzielle Risiken unterschieden werden. Zur Kategorisierung der operationellen Risiken werden im aktuellen Entwurf der EBA/RTS/2025/03 vom 4. August 2025 folgende Level 1 Risiko-Ereignisklassen vorgeschlagen:
Die oben genannten Risiko-Ereignisklassen für die operationellen Risken entsprechen bis auf die „Zuordnung zu Drittparteien“ der bisherigen Basel II Kategorisierung für operationelle Risiken, welche bis zum 01.01.2025 im §324 der CRR verankert waren. Wesentliche Unterschiede im aktuellen Entwurf der EBA/RTS/2025/03 zu Basel II ergeben sich in der Definition der Level 2 Risiko-Ereignisklassen.
Hinsichtlich sonstiger nicht-finanzieller Risiken ist zwischen weniger bedeutenden Instituten (LSI) und bedeutenden Instituten (SI) zu unterscheiden. Die von der EZB beaufsichtigten SI müssen gemäß Rn. 152 EBA/GL/2021/05 neben den o.g. operationellen Risiken im Rahmen ihres Risikomanagements IT-Risiken, Reputationsrisiken, rechtliche Risiken, Wohlverhaltensrisiken, Compliance Risiken hinsichtlich Geldwäsche/Terrorismusfinanzierung und sonstiger Finanzkriminalität, ESG-Risiken und strategischer Risiken mitberücksichtigen. Deutsche Finanzinstitute müssen gemäß AT 2.2.2 MaRisk prüfen, welche Risiken die Vermögenslage (inklusive Kapitalausstattung), die Ertragslage oder die Liquiditätslage wesentlich beeinträchtigen können. Hierbei können deutsche LSI die EBA/GL/2021/05 weitestgehend als Best-Practice-Leitlinie nutzen, da diese lediglich in den Rn. 33 und 47 nicht von der BaFin übernommen wurde.
Genauso wie finanzielle Risiken müssen auch die nicht-finanzielle Risiken im Rahmen des Risikomanagementprozesses von Versicherungsunternehmen identifiziert, bewertet, überwacht und gesteuert werden. Zusätzlich muss über diese Risiken aussagekräftig berichtet werden.
Neben versicherungstechnischen Risiken sind operationelle Risiken eine wesentliche Risikokategorie innerhalb der nicht-finanziellen Risiken von Versicherungsunternehmen.
Operationelle Risiken sind dabei definiert als Verlustgefahren, die durch unzureichende interne Prozesse, menschliches Versagen, Systemausfälle oder externe Ereignisse entstehen. Sie schließen Rechtsrisiken ein, exkludieren jedoch Reputations- und strategische Risiken, die damit zwei weitere Risikokategorien der Non-Financial Risks bilden. Gemäß BaFin-Rundschreiben 09/2025 (VA) Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) werden darüber hinaus Nachhaltigkeitsrisiken, die sich direkt auf den eigenen Geschäftsbetrieb auswirken können, sowie IT-Risiken, unabhängig davon, ob sie aus der IT-Aufbauorganisation, den IT-Systemen oder den IT-Prozessen resultieren, explizit mit eingeschlossen. Damit wird ein Bezug zu den Anforderungen an das Management von IKT-Risiken gemäß Digital Operational Resilience Act (DORA) hergestellt und in das Risikomanagement von Versicherungsunternehmen integriert.
Gemäß Solvency II-Standardformel wird die Solvenzkapitalanforderung für das operationelle Risiko pauschal berechnet, nur wenige große Versicherungsgruppen in Deutschland verfügen über genehmigte interne Modelle zur unternehmensindividuellen Berechnung der Solvenzkapitalanforderung für das operationelle Risiko.
Nichtfinanzielle Risiken (Non-Financial Risks, NFR) gewinnen für Industrieunternehmen und den Mittelstand zunehmend an Bedeutung. Anders als Finanzrisiken, die primär Bilanz, Liquidität und Ertrag betreffen, wirken sich Non-Financial Risks auf die operationellen Abläufe, die Reputation, die Einhaltung gesetzlicher Vorschriften, die Sicherheit von Mitarbeitern und die langfristige strategische Ausrichtung eines Unternehmens aus. Ein systematisches Management dieser Risiken ist entscheidend, um Geschäftsausfälle, regulatorische Sanktionen oder Reputationsschäden zu vermeiden und die Widerstandsfähigkeit von Unternehmen in einem dynamischen Umfeld zu stärken.
Auflistung der Non-Financial Risks für Industrie & Mittelstand:
Für Industrieunternehmen und den Mittelstand lassen sich die Non-Financial Risks in operationelle Risiken und sonstige nichtfinanzielle Risiken unterteilen.
Operationelle Risiken umfassen vor allem interne und externe Betrugsfälle, Sachschäden, Unterbrechungen von Geschäftsprozessen sowie Risiken im Bereich der Arbeitssicherheit und der Prozessdurchführung. Insbesondere Lieferkettenrisiken gewinnen durch zunehmende Globalisierung und Abhängigkeit von Drittparteien an Bedeutung.
Sonstige nichtfinanzielle Risiken betreffen strategische Entscheidungen, rechtliche Verpflichtungen, Reputationsschäden, IT- und Cyberrisiken sowie regulatorische und ESG-Themen. Unternehmen müssen prüfen, inwieweit diese Risiken die Vermögenslage, Ertragskraft oder operative Leistungsfähigkeit wesentlich beeinträchtigen können.
Gesetzliche und regulatorische Rahmenwerke, die hierfür Orientierung bieten, sind unter anderem: Das Arbeitsschutzgesetz (ArbSchG) sowie branchenspezifische Arbeitssicherheitsvorschriften, das Produktsicherheitsgesetz (ProdSG) und Normen für Qualitätssicherung, das europäische Lieferkettensorgfaltspflichtengesetz (CSDDD), die Datenschutz-Grundverordnung (DSGVO) und IT-Sicherheitsgesetze für IKT-Risiken, das AktG, das HGB und die europäischen Standards zur Nachhaltigkeitsberichterstattung (ESRS).
Die Kombination aus operationellen und sonstigen nichtfinanziellen Risiken bildet die Grundlage für ein wirksames Risikomanagement in Industrie und Mittelstand. Ein strukturiertes Vorgehen ermöglicht die frühzeitige Identifikation, Bewertung und Steuerung der Risiken, sodass Unternehmen ihre Geschäftskontinuität und regulatorische Compliance nachhaltig sicherstellen können.
Unser Vorgehen bei der Umsetzung des NFR-Managements in Unternehmen unterscheidet zwei Ansätze:
Die verschiedenen NFR-Kategorien werden in ein integriertes, unternehmensweites Rahmenwerk mit einheitlichen Methoden, Kennzahlen und Berichten überführt. Die Vorteile liegen auf der Hand:
Das Vorgehen zum integrierten Risikomanagement kann dabei grob in die folgenden Schritte unterteilt werden, die je nach konkretem organisatorischem Aufbau und Geschäftsmodell unterschiedlich ausgeprägt sein können.
Der modulare NFR-Ansatz richtet die Bearbeitung gezielt auf einzelne Risikoarten aus, zum Beispiel Reputationsrisiken, ohne gleichzeitig alle NFR zu adressieren. Für die jeweils ausgewählte Risikoart werden Top-Risiken priorisiert, quantitativ bewertet und zielgerichtete Maßnahmen umgesetzt, etwa Kontrollen, Szenarien, KRIs und Prozessanpassungen. Die Maßnahmen adressieren das jeweilige NFR-Risiko unmittelbar und reduzieren die Exponierung messbar. Die Ergebnisse dienen als Bausteine für eine spätere unternehmensweite Harmonisierung von Methoden, Daten und Berichten. Metriken werden risikoartspezifisch definiert, etwa Reputationsindex oder Umsetzungsfortschritt bei Rechtsänderungen.
Kommen Sie auf uns zu. Wir begleiten Sie mit unserem kompetenten und motivierten Beratungsteam von mehr als 150 Berater:innen und mit 40 Jahren Erfahrung im Bereich Risk & Compliance bei führenden Unternehmen in der Realwirtschaft und im Finanz- und Versicherungssektor.
Non-Financial-Risk Management (Versicherungen)
Non-Financial-Risk Management (Finanzinstitute)