Die Aggregationsproblematik im Risikomanagement am Beispiel operationeller Risiken

   II

  Inhaltsverzeichnis  

  Abkürzungsverzeichnis  IV

  Abbildungsverzeichnis  V

Tabellenverzeichnis VI   

  Symbolverzeichnis  VII

1  Einleitung und Gang der Untersuchung  1

2  Grundlagen und Definitionen  4

2.1  Operationelle Risiken  4

2.1.1  Der allgemeine Risikobegriff  4

2.1.2  Definition operationeller Risiken  6

2.1.3  Risikosystematisierung auf Basis der Definition operationeller  

  Risiken  8

2.1.4  Arten operationeller Risiken  10

2.2  Das Value-at Risk-Konzept und der Operational Value-at Risk  13

2.3  Risikoaggregation  16

2.3.1  Aufgabe und Zweck der Risikoaggregation  16

2.3.2  Einordnung der Risikoaggregation in den Risikomanagement  

  Prozess  18

2.3.3  Hindernisse bei der Aggregation von operationellen Risiken  21

2.3.3.1  Identifizierungs und Entdeckungsprobleme im Vorfeld  

  der Aggregation  21

2.3.3.2  Quantifizierungsprobleme der zu aggregierenden Risiken  23

3  Methoden zur Aggregation operationeller Risiken und deren Eignung  27

3.1  Problem der Auswahl eines geeigneten Verfahrens zur Aggregation  27

3.2  Allgemeine Methodenübersicht und Systematisierung  27

3.2.1  Arten von Vorgehensweisen und Datengrundlagen  27

3.2.2  Methodeneinordnung  28

3.3  Untersuchung und Vergleich der Eignung ausgewählter Verfahren zur  

  Aggregation operationeller Risiken  34

3.3.1  Kriterien zur Beurteilung der Methoden  34

3.3.2  Untersuchung der Methoden  39

3.3.2.1  Einfache Indikator-Ansätze  39

3.3.2.1.1  Vorstellung der Ansätze  39

3.3.2.1.2  Beurteilung  41

3.3.2.2  Nutzwertanalyse auf Basis von Key Risk Indikatoren  45

3.3.2.2.1  Vorstellung des Ansatzes  45

3.3.2.2.2  Beurteilung  47

3.3.2.3  Baumanalyse auf Basis von Experteneinschätzungen  50

3.3.2.3.1  Vorstellung des Ansatzes  50

3.3.2.3.2  Beurteilung  52

   III

3.3.2.4  Bestimmung des OVaR mit Hilfe der Monte-Carlo  

  Simulation  55

3.3.2.4.1  Allgemeine Vorbemerkungen zu  

  Simulationsverfahren  55

3.3.2.4.2  Vorstellung des Ansatzes  56

3.3.2.4.3  Beurteilung  60

3.3.3  Abschließende Gegenüberstellung und Beurteilung der  

  untersuchten Methoden unter Berücksichtigung der Ziele einer  

  Risikoaggregation  64

4  Zusammenfassung und Ausblick  69

  Literaturverzeichnis  73

Anhang   80

  – IV –  

  Abkürzungsverzeichnis  

  a.a.O. Am angegebenen Ort  

  AG Aktiengesellschaft  

  Basel II Entwürfe des Baseler Komitees für Bankenaufsicht betreffend  

  der Unterlegung von (operationellen) Risiken mit Eigenkapital  

  BIA Basic Indicator Approach, Basisindikatoransatz  

  BIS Bank for International Settlements  

  CAPM Capital Asset Pricing Modell  

  Diss. Dissertation  

  et al. et alii  

  EVT Extreme Value Theory, Extremwerttheorie  

  GmbH Gesellschaft mit beschränkter Haftung  

  Hrsg. Herausgeber  

  IMA Internal Measurement Approach, Interner Bemessungsansatz  

  IT Informationstechnologie  

  KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich  

  KRI Key Risk Indicator  

  LDA Loss Distribution Approach, Verlustverteilungsansatz  

  MCS Monte-Carlo-Simulation  

  o.J. ohne Jahr  

  o.O. ohne Ort  

  o.V. ohne Verfasser  

  OVaR Operational Value-at-Risk  

  RM Risikomanagement  

  SAA Störablaufanalyse  

  SFDB Schadensfalldatenbank  

  SIA Standardised (Indicator) Approach, Standardverfahren  

  VaR Value-at-Risk  

   V

  Abbildungsverzeichnis  

  Abb 2 1: Risiko und Ungewissheit  4

  Abb 2 2: Systematisierung der Unternehmensrisiken  8

  Abb 2 3: Arten operationeller Risiken eines Unternehmens  10

  Abb 2 4: Dichtefunktion der Normalverteilung bei 99 iger Konfidenz  15

  Abb 2 5: Verteilung der Verluste aus operationellen Risiken und  

  Bestimmung des OVaR  16

  Abb 2 6: Der Risikomanagement-Prozess  18

  Abb 2 7: Risk Map und Risikobewältigungsstrategien  20

  Abb 2 8: Fehlerquellen in der Risikoidentifikation  22

  Abb 2 9: Titanic-Beispiel  23

  Abb 2 10: Folgewirkungen von Risikoereignissen (Risikoereigniskette)  25

  Abb 3 1: Übersicht und Systematisierung von Risikoaggregationsmethoden  

  und Instrumenten  32

  Abb 3 2: Arten von Schnittstellenbeziehungen  36

  Abb 3 3: Beziehungsgefüge der Beurteilungskriterien  38

  Abb 3 4: Nutzwertanalyse-Schema für die Beurteilung von Key Risk  

  Indikatoren  46

  Abb 3 5: Beispiel einer Risikobewertung anhand einer Störablaufanalyse  51

  Abb 3 6: Bestimmung der Bandbreiten  57

  Abb 3 7: Vorgehensweise der Monte-Carlo Simulation  58

   VI

  Tabellenverzeichnis  

  Tab 2 1: Operationelle Risikokategorisierung  13

  Tab 3 1: Bestimmung des zu unterlegenden Eigenkapitals je Geschäftsfeld  

  im Standardansatz  40

  Tab 3 2: Gegenüberstellung der untersuchten Methoden anhand der  

  aufgestellten Beurteilungskriterien  64

  Tab 3 3: Eignung der untersuchten Verfahren für die Ziele der  

  Risikoaggregation  67

– VII –

Symbolverzeichnis

( α

− ) 1 Konfidenzniveau des Value-at-Risk

– 1 –

1 Einleitung und Gang der Untersuchung

Das Betreiben eines Geschäftes oder einer Unternehmung ist untrennbar mit dem Eingehen von Risiken verbunden. 1 Unternehmerisches Risiko besteht darin, in dynamischen Märkten und in einer dynamischen Umwelt Entscheidungen auf Basis von unvollkommenen Informationen treffen zu müssen. 2 Derartige Risiken (z.B. das Misserfolgsrisiko bei der Entwicklung und Einführung eines neuen Produktes) werden von einem Unternehmen in der Regel nach Abwägung von Risiken und Chancen bewusst eingegangen. 3 Dabei ist aber auch zu berücksichtigen, dass ein Unternehmen im Sinne einer Bestandssicherung insgesamt nicht mehr Risiken eingehen darf, als es durch das ihm zur Verfügung stehende Kapital tragen kann. 4 Insofern ist die Kenntnis der Gesamtrisikoposition als anzunehmender, bei ungünstiger Entwicklung auf ein Unternehmen zukommender monetärer Schaden von überaus großer Bedeutung. Die Bestimmung der Gesamtrisikoposition ist im Rahmen des Risikomanagementprozesses Aufgabe der Risikoaggregation. In der Praxis stellt sich die Aggregation von Einzelrisiken zu einer Gesamtposition jedoch als „methodisch relativ schwierig“ 5 dar. Dennoch wurden mittlerweile für viele Arten (bewusst von einem Unternehmen eingegangener) Risiken, wie z.B. den Marktpreisrisiken, geeignete Mess und Aggregationsverfahren entwickelt, die auch „in ihrer Anwendung bereits ein allgemeines Quali-tätsniveau erreicht [haben], das nur noch marginal verbessert werden kann“ 6 .

Neben diesen mehr oder weniger bewusst eingegangen Risiken bestehen für ein Unternehmen aber auch zahlreiche andere, insbesondere operationelle Risiken. Operationelle Risiken betreffen ein Unternehmen schon unmittelbar nach seiner Gründung, bevor die normale Geschäftstätigkeit überhaupt aufgenommen wurde. 7 Diesen operationellen Risiken kann man sich auch folglich (wenn man von der Liquidation des Unternehmens absieht) nicht vollständig durch ein bewusstes Dafür oder DagegenEntscheiden entziehen. Viel mehr kann man ihnen nur entge-gentreten, indem man sich ihre Existenz bewusst macht und versucht, Ursachen aufzudecken, diese soweit wie möglich zu reduzieren und die Auswirkungen der Risiken für das Unternehmen zu begrenzen. Das Management operationeller Risi-ken ist aufgrund ihrer hohen Komplexität jedoch ungleich schwerer als das ande-

1 Vgl.Gleißner, W./Meier, G./Lienhard, H., Risikobewältigung, 2000, S. 317.

2 Vgl. Adam, D., Planung und Entscheidung, 1996, S. 39.

3 Ebenda.

4 Vgl. Gleißner, W., leistungsfähiges RM, 2002, S. 5.

5 Gleißner, W./Meier, G., Risikoaggregation, 1999, S. 926.

6 Buhr, R., Betriebsrisiken, 2000, S. 202; Vgl. auch Boos, K.-H./Schulte-Mattler, H., Basel II, 2001, S. 549.

7 Vgl. auch Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 790.

– 2 –

rer Risiken, und wurde in der Vergangenheit insbesondere von Banken stark ver-

nachlässigt. 8 So schrieb PARSLEY:„Banks measure credit and market risk because

they can, not because these are the biggest risks they face. Operational risk is

larger, more dangerous and no-one knows exactly what to do about it.” 9

Spektakuläre Verlustfälle bekannter Unternehmen (z.B. der Zusammenbruch der Barings Bank und der Beinahe-Zusammenbruch der Metallgesellschaft) 10 in der jüngeren Vergangenheit als Folge des Eintritts operationeller Risiken bestätigen diese Einschätzung. Ebenso wird daraus deutlich, dass die unzureichende Berücksichtigung operationeller Risiken im Rahmen des Risikomanagements kein reines Bankenproblem ist. Daher müssen Unternehmen, nicht zuletzt auch wegen gesetzlicher und bankenaufsichtsrechtlicher Vorgaben (KonTraG, Basel II), ihre Bemühungen in diesem Bereich verstärken.

Dieses aktuelle betriebswirtschaftliche Problem stellt die Motivation der vorliegenden Arbeit dar. Sie hat zum Ziel, die Hindernisse und Schwierigkeiten im Rahmen der Aggregation von Risiken, insbesondere operationeller Risiken, aufzudecken und zu erläutern. Darüber hinaus soll ein geeignetes Verfahren identifiziert werden, mit dessen Hilfe eine Aggregation operationeller Risiken für Unternehmen ermöglicht wird. Dafür sind in Kapitel 2 ausgehend vom allgemeinen Risikobegriff zunächst operationelle Risiken zu definieren und aufgrund ihres Wesens von anderen Risikokategorien abzugrenzen (Abschnitt 2.1.2). Dabei soll auch die Einordnung der operationellen Risiken in eine Systematik verschiedener Unternehmensrisiken erfolgen (Abschnitt 2.1.3). Um ihre Komplexität und Vielfalt zu verdeutlichen, werden ebenso die Arten operationeller Risiken vorgestellt (Abschnitt 2.1.4). Daran anschließend erfolgt eine kurze Einführung in das ValueatRisk-Konzept, welches sich schon als eine Art Industriestandard für die Mes-sung und Bewertung von Markt- und Kreditrisiken etabliert hat, 11 und dessen Einsatz in der Literatur auch für operationelle Risiken diskutiert wird. 12 Dieses Konzept wird daher auch für die weitere Untersuchung im Rahmen dieser Arbeit von Bedeutung sein (Abschnitt 2.2). In einem weiteren Schritt ist dann die Risikoaggregation selbst zu thematisieren (Abschnitt 2.3). Zuerst werden dabei Aufgaben und Ziele der Risikoaggregation beschrieben (Abschnitt 2.3.1). Auf Basis

8 Vgl. Jovic, D./Piaz, J.-M., Erfolgsfaktor, 2001, S. 923.

9 Parsley, M., Final Frontier, 1996, S. 74.

10 Vgl. dazu u.a. Brandner, A./Bruckner, B./Kanneberger, C. et al., Finanzdienstleistung, 2002, S. 352-367.

11 Vgl. u.a. Jorion, P., Value at Risk, 2001, Preface xxii-xxv; Schierenbeck, H., Bankmanagement, 1999, S. 16 f.

12 Vgl. u.a. Buhr, R., Betriebsrisiken, 2000, S. 202 f.

– 3 –

dieser Aufgaben und Ziele erfolgt die Einordnung der Risikoaggregation in den Risikomanagementprozess (Abschnitt 2.3.2). Daran anschließend werden die Hindernisse, die für die Aggregation operationeller Risiken bestehen, erläutert (2.3.3).

Auf Basis dieser Informationen und Erkenntnisse soll dann in Kapitel 3 ein geeignetes Verfahren für die Aggregation operationeller Risiken identifiziert werden. Dafür ist es in einem ersten Schritt notwendig, eine Übersicht über die in der Literatur diskutierten Methoden 13 zu verschaffen (Abschnitt 3.2). Die Methoden werden dazu kurz vorgestellt und anhand verschiedener Ansatz und Vorgehenskriterien systematisiert. Aus der sich ergebenden Systematik werden dann einige Verfahren ausgewählt, die als Vertreter für verschiedene Ansatz und Vorgehensweisen näher zu untersuchen sind. Für die Untersuchung werden in einem zweiten Schritt einige als relevant erachtete Kriterien aufgestellt, auf die bei der Beurteilung der Methoden einzugehen ist (Abschnitt 3.3.1). Im folgenden dritten Schritt werden dann die Vorgehensweisen der ausgewählten Verfahren ausführlicher erläutert und anschließend anhand der aufgestellten Kriterien bezüglich ihrer grundsätzlichen Eignung zur Aggregation operationeller Risiken beurteilt (3.3.2). Den vierten und letzten Schritt der Untersuchung stellt die Zusammenfassung dieser Ergebnisse dar, wobei eine Einschätzung erfolgt, in welchem Maße die näher beleuchteten Verfahren zur Erreichung der Ziele und Zwecke einer Risikoaggregati-on beitragen können (Abschnitt 3.3.3). In einer Schlussbetrachtung (Kapitel 4) werden die im Laufe dieser Arbeit gewonnen Erkenntnisse noch einmal zusam-mengefasst und darüber hinaus ein Ausblick auf die weitere Entwicklung bei der Aggregation operationeller Risiken versucht.

13 Die Begriffe „Methode“ und „Verfahren“ werden im Rahmen dieser Arbeit synonym verwendet.

– 4 –

2 Grundlagen und Definitionen

2.1 Operationelle Risiken

2.1.1 Der allgemeine Risikobegriff

Um operationelle Risiken für Unternehmen zu definieren und abzugrenzen, ist zunächst auf den allgemeinen Risikobegriff einzugehen. Das deutsche Wort „Risiko“ leitet sich über das italienische „Rischio“ (Gefahr, Wagnis) vom lateinischen „riscare“, einem Begriff aus der Seefahrt für das „Umschiffen einer Klippe“, ab. Über die verschiedenen wissenschaftlichen Disziplinen und deren spezielle Sichtweisen hinweg lassen sich eine Vielzahl von Definitionen zum Risikobegriff finden. 14 Die Begriffsauffassungen in der Betriebswirtschaftslehre lassen sich dabei im Wesentlichen in ursachenbezogene und wirkungsbezogene Ansätze einteilen. 15

Ursachenbezogene Ansätze beziehen sich insbesondere auf den Informationsstand betreffend zukünftiger Ereignisse oder Zustände in einer Entscheidungssituation. 16 So wird in Abgrenzung von „Sicherheit“ über die Zukunft zwischen den Ausprägungen „Risiko“ und „Ungewissheit“ als Formen von Unsicherheit unterschieden. 17

Die „Unsicherheit“ bezeichnet dabei das umgangssprachliche Risiko im weiteren Sinne. 19 Nach ADAM ist dieses Risiko jedoch nur (entscheidungs-)relevant, wenn

14 Für eine ausführliche Diskussion der verschiedenen Risikodefinitionen aus den einzelnen wissenschaftlichen Disziplinen siehe z.B.: Peter, C. F., Unternehmerisches Risikomanagement, 2002, S.2124 und Banse, G./Bechmann, G., Interdisziplinäre Risikoforschung, 1998, S. 29-61.

15 Vgl. Fürer, G., Risk Management, 1990, S.42 f. und Piaz, J.-M., Operational Risk Management, 2002, S.12.

16 Vgl. Ueckermann, H., Risikopolitik, 1993, S. 23.

17 Vgl. Garz, H./Günther, S./Moriabadi, C., Portfolio-Management, 1998, S.22. 18 Quelle: In Anlehnung an Perridon, L./Steiner, M., Finanzwirtschaft, 1999, S. 98 und Piaz, J.-M., Operational Risk Management, 2002, S. 10 f.

19 Vgl. Perridon, L./Steiner, M., Finanzwirtschaft, 1999, S.98

– 5 –

man in einer Entscheidungssituation vor dem Problem steht, dass eine einmal gewählte Handlungsalternative nicht mehr oder nur verbunden mit Zusatzkosten revidiert werden kann (mangelnde Planelastizität). 20 „Risiko“ im engeren Sinne oder auch „Unsicherheit 1. Ordnung“ liegt vor, wenn sich einer künftigen Situation objektive oder subjektive Wahrscheinlichkeiten bezüglich des Eintritts verschiedener Ausprägungen zuordnen lassen. Dagegen spricht man von „Ungewissheit“ bzw. „Unsicherheit 2. Ordnung“, wenn für eine zukünftige Situation keine Eintrittswahrscheinlichkeiten zu bestimmen sind. 21

Wirkungsbezogene Ansätze zur Risikodefinition beziehen sich auf die mögliche Abweichung von einem geplanten Ziel oder einer Erwartung. 22 Im weiteren Sinne von Risiko kann diese Abweichung sowohl positiv als auch negativ sein. 23 Somit erfolgt aber noch keine Bewertung der Zieldivergenz. Die Folgen einer negativen Abweichung sind begrifflich als „Schäden“ aufzufassen und vom Risiko an sich zu trennen. 24 In einer engeren Risikodefinition wird daher nur die negative Abweichung betrachtet. 25 Eine positive Zielabweichung wird dagegen als „Chance“ bezeichnet. 26 Im weiteren Verlauf dieser Arbeit wird aufgrund des Wesens operationeller Risiken der engeren Risikodefinition gefolgt. Dies trägt sowohl der deutschen Gesetzgebung (KonTraG) 27 als auch den Entwürfen der Baseler Bankenaufsicht (Basel II), einer Kommission der „Bank for International Settlements (BIS)“, Rechnung. Das KonTraG verpflichtet die Vorstände von Aktiengesellschaften 28 , „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ 29 . Basel II fordert von Banken die Unterlegung operationeller Risiken mit Eigenkapital. 30 Dies impliziert das Ziel eines Schutzes vor bzw. der Verminderung der Folgen von negativen Ereignissen (Schäden). Somit wird hier

Risiko definiert als „ein Ausdruck für die Gefahr, dass das effektive Ergebnis vom

20 Vgl. Adam, D., Planung und Entscheidung, 1996, S. 215 f.

21 Vgl. Piaz, J.-M., Operational Risk Management, 2002, S.10 f.

22 Vgl. Fürer, G., Risk Management, 1990, S.42 f. und Piaz, J.-., Operational Risk Management, 2002, S.12.

23 Vgl. Kromschröder, B./Lück, W., Unternehmensüberwachung, 1998, S. 1573.

24 Vgl. Theil, M., Informationssysteme, 1995, S. 10 f.

25 Vgl. Kromschröder, B./Lück, W., Unternehmensüberwachung, 1998, S. 1573.

26 Vgl. Ackermann, K.-F., Personalbereich, 1999, S. 48.

27 Vgl. dazu Kromschröder, B./Lück, W., Unternehmensüberwachung, 1998, S. 1573. 28 Ebenso ist dies über die Sorgfaltspflicht von Geschäftsführern auch auf andere Unternehmensformen übertragbar (z.B. § 43 I GmbHG). Vgl. dazu Krystek, Ulrich, Neue Gesetze, 1999, S. 146. Für eine, Übersicht in wie weit das KonTraG auf nichtbörsennotierte AGs und GmbHs übertragbar ist, siehe Saitz, B./Braun, F., KonTraG, 1999, S. 27-39.

29 AktG § 91 Abs. 2 30 Vgl. BIS, Operational Risk, 2001, S. 1.

– 6 –

gewünschten oder geplanten negativ abweicht“ 31 . Erwartete negative Ergebnis-

abweichungen (erwartete Schäden) sind nach dieser Definition kein „Risiko“, da über sie mehr oder weniger gesicherte Informationen existieren und sie schon in Planungen miteinbezogen werden können. 32

2.1.2 Definition operationeller Risiken

Obwohl operationelle Risiken für Unternehmen nichts Neues sind 33 , gibt es bisher keine einheitliche Definition. Besonders im Bankenbereich ist in den letzten Jahren eine Vielzahl von Definitionen mit den verschiedensten Ansatzpunkten entstanden. 34 Diese Definitionen lassen sich grundsätzlich in indirekte und direkte Ansätze unterscheiden. 35 In einem weit verbreiteten indirekten Ansatz definiert z.B. PARSLEY operationelle Risiken als alle Risiken, die nicht Markt oder Kredit-risiken sind. 36 KÜCHLE und MÜLLER definieren ähnlich: „Überall dort, wo Risiken nicht schon durch die bestehenden Systeme des Risikomanagements adäquat abgedeckt werden, können sie als operationelle Risiken schlagend werden.“ 37 Diese indirekten Definitionsansätze sind zwar einfach, aber durchaus nicht unproblematisch. Zum einen sind sie direkt abhängig von den Definitionen der Markt- und Kreditrisiken und bleiben dabei sehr ungenau bezüglich der Vielfalt und Vielzahl der zu den operationellen Risiken gehörenden Einzelrisiken. 38 Zum anderen führen im Betrieb evolutorisch immer enger definierte und quantifizierte Markt- und Kreditrisiken zu einem automatischen Anwachsen der auf diese Art als „sonstige Risiken“ dargestellten operationellen Risiken. 39 Als Folge der mangelnden Unterteilung und Beschreibung werden diesen Risiken so kaum Verantwortungen und Kompetenzen zugeordnet. 40 Schließlich ist noch festzuhalten, dass nicht alle „sonstigen Risiken“ operationelle Risiken, sondern diese nur eine Teilmenge der sonstigen Risiken sind. Dies ist besonders für Banken in Hinblick auf die von Basel II geforderte Eigenkapitalunterlegung der operationellen Risiken problematisch. 41

31 Geiger, H., Risikopolitik 1, 1999, S. 556.

32 Vgl. Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 791.

33 Vgl. Jovic, D./Piaz, J.-M., Erfolgsfaktor, 2001, S. 923.

34 Vgl. King, J. L., Operational Risk, 2001, Preface und Geiger, H., Regulating and Supervising, 2000, S. 4.

35 Vgl. Geiger, H., Regulating and Supervising, 2000, S. 4 f.

36 „The pat definition of operational risk is simply any risk of earnings volatility that is not market or credit related“. Parsley, M., Final Frontier, 1996, S. 74.

37 Küchle, O./Müller, C., Umsetzung, 2001, S. 54 f.

38 Vgl. Beeck, H./Kaiser, T., Quantifizierung, 2000, S.637.

39 Vgl. Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 792 40 Ebenda 41 Vgl. Stickelmann, K., Abgrenzung, 2002, S. 10-15 und ISDA, Regulatory Approach, 2000, S.7.

– 7 –

Daher scheint eine direkte Definition nicht nur wünschenswert, sondern auch nötig. Ein Vergleich der direkten Definitionen verschiedener Aufsichtsbehörden, Banken und Beratungsunternehmen hat ergeben, dass die meisten Ansätze die Begriffe „Prozesse und Verfahren“, „Menschen und menschliche Fehler“, „interne Steuerung und Kontrolle“, „interne und externe Vorkommnisse“, „direkte und indirekte Verluste“, „Versagen“, „Technologie“ sowie „Systeme“ beinhalten. 42 Die Other Risks Technical Working Group, Bestandteil des Baseler Komitees, stellte daher fest, dass aufgrund der sich abzeichnenden Annäherung die folgende Definition oder enge Varianten derselben bei einem großen Teil der Banken („Common industry definition“) zum Einsatz kommt: [Operationelles Risiko ist] „das Risiko eines direkten oder indirekten Verlustes als Folge der Unangemessenheit oder des Versagens interner Prozesse, Menschen, und Systeme oder von externen Ereignissen.“ 43 In der neuesten Fassung der Definition wurde jedoch der Passus „direkte oder indirekte [Verluste]“ gestrichen. Dies soll die Eindeutigkeit der Definition erhöhen 44 , da ihre Auslegung rechtliche Risiken umfasst, strategische und Reputationsrisiken jedoch explizit ausschließt. 45 Der Definition soll prinzipiell auch im Rahmen dieser Arbeit gefolgt werden, da sie nach Meinung des Verfassers ebenso auf einen Großteil der Nichtbank-Unternehmen übertragbar ist. 46 Jedoch wird sie insofern ergänzt und spezifiziert, dass nur „unerwartete“ Verluste als Risiko angesehen werden, da erwartete Verluste den Charakter kalkulierbarer Kosten haben. 47 Die Arbeitsdefinition lautet demnach:

BEECK und KAISER weisen darauf hin, dass bei Gebrauch dieser Definition eine Unterscheidung von operationellen Risiken im weiteren und engeren Sinne zu berücksichtigen ist. Operationelles Risiko i.e.S. beinhaltet nicht das Geschäftsrisiko als negative Abweichung des Unternehmenswertes vom erwarteten Wert in

42 Vgl. Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 792.

43 BIS, Operational Risk, 2001, S. 18. Übersetzung durch den Verfasser.

44 Vgl. Stickelmann, K., Abgrenzung, 2002, S. 16.

45 Vgl. BIS, New Accord, 2003, S.120.

46 Anders z.B. Schierenbeck, der operationelle Risiken als die Summe operativer und strategischer Risiken definiert: Vgl. Schierenbeck, H., Bankmanagement, 1999, S. 295.

47 Vgl. Kuhn, L., Risikophasenmodell, 2002, S. 167 und Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 791 f.

48 Ergänzte Definition nach BIS, New Accord, 2003, S. 120. Übersetzung durch den Verfasser. Ähnlich Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 792.

– 8 –

Folge der Veränderung des Geschäftsvolumens oder von Margen. 49 Daher sei auch hier die Definition in ihrer engeren Auslegung verstanden.

2.1.3 Risikosystematisierung auf Basis der Definition operationeller Risiken Ebenso wie die Definition operationeller Risiken fällt auch deren Kategorisierung und somit die Abgrenzung zu anderen Risikoarten schwer. Eine universal einsetzbare Systematisierung gibt es nicht, sondern vielmehr ist jede Systematik jeweils im Kontext des Blickwinkels auf die Risikoarten zu verstehen. 50 Die Systematisierung der Unternehmensrisiken erfolgt daher hier vor dem Hintergrund der gewählten Definition operationeller Risiken. Im Einzelnen werden strategische, Liquiditäts und Reputationsrisiken sowie Erfolgsrisiken in Form von Gegenpartei-, Markt- und operationellen Risiken unterschieden. Abbildung 2.2 stellt die Bezie-hungen der einzelnen Risikoarten dar:

49 Vgl. Beeck, H./Kaiser, T., Quantifizierung, 2000, S.637-638.

50 Vgl. u.a. Jovic, D., Eigenkapitalallokation, 1999, S. 30; Schierenbeck, H., Bankmanagement, 1999, S. 4-9; Piaz, J.-M., Operational Risk Management, 2002, S.14.

51 Quelle: Modifiziert und ergänzt entnommen aus Hofmann, M., Identifizierung, 2002, S. 13.

– 9 –

Erfolgsrisiken sind Risiken, die im Eintrittsfall den Erfolg eines Unternehmens mindern oder sogar zu Verlusten führen. 52 Gegenparteirisiken beschreiben die Gefahr wertmäßiger Verluste als Folge des Ausfalls oder der (negativen) bonitätsmäßigen Veränderung von Gegenparteien oder Geschäftspartnern. 53 Sie werden daher oftmals auch als Kredit- oder Ausfallrisiken bezeichnet. 54 Sie können aber auch als Länderrisiken durch hoheitliche Maßnahmen ausländischer Staaten (Transferrisiken) schlagend werden. 55 Marktrisiken bestehen als Gefahr von für das Unternehmen negativen Veränderungen der Marktparameter, wie z.B. Rohstoffpreisen, Zinssätzen, Aktien- und Wechselkursen. 56 Operationelle Risiken als dritte Form der Erfolgsrisiken bestehen wie oben beschrieben als Verlustgefahr aus nicht angemessenen oder versagenden Prozessen, Systemen, menschlichem Verhalten und/oder externen Ereignissen. Als solche sind sie deutlich von Markt- und Kreditrisiken verschieden und oft deren Ursache. 57 Auf die einzelnen Arten wird in Abschnitt 2.1.4 noch näher eingegangen.

Liquiditätsrisiken sind nach SCHIERENBECK in Abgrenzung zu den Erfolgsrisiken in erster Linie Fristigkeitsrisiken. Sie bestehen als Gefahr, dass eine Bank (oder allg. Unternehmung) die nötige Liquidität aufgrund von zeitlich unausgeglichenen Zahlungsströmen nicht sichern kann. Liquiditätsrisiken können zum einen unmittelbare Folge von Erfolgsrisiken sein und zum anderen auch mittelbar als Liquiditätsanpassungs-, Termin- oder Abrufrisiken auftreten. 58

Strategische Risiken bestehen als Gefahr von Verlusten oder Unternehmenswertminderungen in Folge von ungünstigen bzw. nachteiligen ManagementEntscheidungen oder falscher bzw. nicht ordnungsgemäßer Umsetzung von Ent-scheidungen. 59 Ursache dafür kann sowohl die Veränderung der Bedingungen, unter denen eine Entscheidung getroffen wurde, als auch die Fehleinschätzung der Bedingungen sein. 60 Strategische Entscheidungen bilden den Rahmen und das Umfeld für das zukünftige operative Geschäft und daher kann solch eine falsche „Weichenstellung“ ebenfalls die Erfolgs- und Liquiditätsrisiken beeinflussen.

52 Vgl. Schierenbeck, H., Bankmanagement, 1999, S. 5.

53 Vgl. Brasch, H.-J./Nonnenmacher, D. J. F., Credit Risk, 2000, S. 409 f.

54 Vgl. Piaz, J.-M., Operational Risk Management, 2002, S.17.

55 Vgl. Brasch, H.-J./Nonnenmacher, D. J. F., Credit Risk, 2000, S. 410.

56 Vgl. Jorion, P., Value at Risk, 2001, S. 15 und Piaz, J.-M., Operational Risk Management, 2002, S.16.

57 Vgl. Piaz, J.-M., E-Commerce, 2001, S. 1232.

58 Vgl. Schierenbeck, H., Bankmanagement, 1999, S. 57. Siehe dort auch für eine nähere Definition der einzelnen Liquiditätsrisiken. Insbesondere das Abrufrisiko ist vorwiegend banken-spezifisch.

59 Vgl. Hussain, A., Operational Risk, 2000, S. 80.

60 Vgl. Münchbach, D., Private Banking, 2001, S. 14.

– 10 –

Das Reputationsrisiko leitet sich als indirekte Wirkung von Schadensfällen aus den vorhergehenden Risikokategorien ab. 61 Es kann definiert werden als das Risi-

ko eines Schadens, der zusätzlich zu einem direkt entstehenden Schaden als Folge

der negativen öffentlichen Meinung auf das laufende Geschäft einwirkt. 62 Die

Schäden können in zwei Arten unterschieden werden: Kundenabgänge aufgrund von Fehlern des Unternehmens sowie der Verlust potenzieller Kunden, die wegen der schlechten Reputation des Unternehmens erst gar keine Geschäftsbeziehung mehr anstreben. 63

Die eindeutige und überschneidungsfreie Abgrenzung der einzelnen Risikokategorien wird jedoch insofern erschwert, als zuzuordnende Risikoereignisse gleichzeitig Anteile an mehreren Arten von Risiken haben können. 64 In solch einem Fall sind die einzelnen Anteile zu bestimmen und voneinander zu trennen. 65

2.1.4 Arten operationeller Risiken

Nach der in dieser Arbeit gewählten Definition ist eine Unternehmung operationellen Risiken ausgesetzt, die ihre Ursachen in Prozessen, Systemen, Menschen und externen Ereignissen haben können. 66 Dabei werden hier die Risiken durch Menschen, die im Unternehmen beschäftigt sind, als „Risiken durch Personal“ bezeichnet. Risiken durch Andere werden den externen Risiken zugeordnet. Abbildung 2.3 stellt die einzelnen Risikoarten und ihre Wirkrichtung auf das Unternehmen dar.

61 Vgl. Cruz, M. G., Modeling, 2002, S. 287.

62 Vgl. Jorion, P., Value at Risk, 2001, S. 470 i.V.m. Hussain, A., Operational Risk, 2000, S. 88. 63 Vgl. Brink, G. J. v. d., Betriebsrisiko, 2001, S. 4.

64 Vgl. Beeck, H./Kaiser, T., Quantifizierung, 2000, S.638.

65 Ebenda.

66 Vgl. Abschnitt 2.1.2

– 11 –

Prozessrisiken können z.B. durch eine unzweckmäßig gestaltete Ablauforganisation entstehen. 67 Standardisierte Prozesse und Prozeduren werden mit dem Ziel der Optimierung (in Bezug auf Effektivität und Effizienz) von Handlungen und Abläufen in Unternehmen eingeführt. 68 Dies und dazugehörende Kontrollen sollen gerade auch Risiken vermeiden. Aber aus den Prozessen und Prozeduren selbst können Risiken erwachsen, wenn sie fehlerhaft gestaltet bzw. implementiert sind oder fehlerhaft ausgeführt werden. 69 So eine fehlerhaft durchgeführte Prozedur wäre z.B. die Installation eines passwortgeschützten Rechnersystems, wenn die zugehörigen Passwörter auf einem Notizzettel am Bildschirm haften würden oder auf andere Weise frei zugänglich wären.

Systemrisiken in Unternehmen sind in der heutigen Zeit vorwiegend Risiken des Informations- und Kommunikationssystems. 70 Sie können ihre Ursache in unangemessener oder versagender Hard und Software, in mangelnder Datenqualität, in Fehlern zugrundeliegender Modelle und Fehlern in Anwendung bzw. Handha-bung derselben haben. 71 BRINK unterteilt die Risiken im Zusammenhang mit Informationssystemen in allgemeine, anwendungsbezogene und anwenderbezogene Risiken. Allgemeine Risiken bestehen z.B. als Gefahr eines unrechtmäßigen Zugriffs auf die Systeme eines Unternehmens durch Hacker. Ein anwendungsbezogenes Risiko ist dagegen beispielsweise der Verlust von Daten durch Speicherung auf defekten Datenträgern. Anwenderbezogene Risiken stehen in enger Beziehung zu den „Risiken durch Personal“, die weiter unten diskutiert werden. Als Beispiel wäre hier die inkonsistente oder falsche Eingabe von Daten in ein System zu nennen, die zu Fehlsteuerungen oder Fehlentscheidungen führt. 72

Risiken durch Personal haben ihre Ursache in quantitativen oder qualitativen Ungleichgewichten beim Einsatz von Mitarbeitern. 73 Ein quantitatives Ungleichgewicht liegt bei Über oder Unterbesetzung vor und kann sich als Risikofaktor in demotivierenden Arbeitsanforderungen einerseits bzw. in Überforderung, Unge-nauigkeit und Stress andererseits konkretisieren. 74 Qualitative Ungleichgewichte liegen vor, wenn entweder „die fachliche Qualifikation oder die charakterliche

67 Vgl. Jovic, D., Eigenkapitalallokation, 1999, S. 39.

68 Vgl. u.a. Adam, D., Produktion, 1998, S. 142.

69 Vgl. Brink, G. J. v. d., Betriebsrisiko, 2001, S. 10 f.

70 Daher wird in der Literatur häufig von Risiken durch Technologie und Systeme oder aber ITSystem-Risiken gesprochen. Vgl. u.a. Hussain, A., Operational Risk, 2000, S. 83 f.; Münch-bach, D., Private Banking, 2001, S. 33 f. und Brink, G. J. v. d., Betriebsrisiko, 2001, S. 7-11. 71 Vgl. Piaz, J.-M., Operational Risk Management, 2002, S.57.

72 Vgl. Brink, G. J. v. d., Betriebsrisiko, 2001, S. 7.

73 Vgl. Jovic, D., Eigenkapitalallokation, 1999, S. 39.

74 Ebenda.