2

Inhaltsverzeichnis

1.  Einleitung  1

2.  Grundlagen von Basel II.  3

2.1  Definition des operationellen Risikos  3

2.1.1  Technische Risiken  5

2.1.2  Externe Risiken  6

2.1.3  Personelle Risiken  7

2.1.4  Weitere Risiken  8

2.2  Säulenkonzept  9

2.2.1  Marktdisziplin (3. Säule)  10

2.2.2  Bankenaufsicht (2. Säule)  10

2.2.3  Eigenkapitalanforderungen (1. Säule)  11

2.2.3.1  Basisindikatoransatz.  12

2.2.3.2  Standardansatz.  13

2.2.3.3  Ambitionierte Messansätze  14

2.2.3.3.1  Der interne Bemessungsansatz.  16

2.2.3.3.2  Der Verlustverteilungsansatz  18

2.2.3.3.3  Der Scorecardansatz.  19

2.3  Zusammenfassung.  19

3.  Das IT-Risikomanagement  21

3.1  Grundlagen des IT-Risikomanagements  21

3.1.1  Vertraulichkeit.  22

3.1.2  Integrität  23

3.1.3  Verfügbarkeit  23

3.1.4  Identifikation  25

3.1.5  Authentizität  25

3.2  Einführung in das IT-Risikomanagement  26

3.3  Identifikation von IT-Risiken.  31

3.3.1  Checklisten  31

3.3.2  Methode der kritischen Erfolgsfaktoren.  32

3.3.3  Nutzwertanalyse  34

3.3.3  Früherkennungssystem  36

3

3.3.4  Fehlerbaum-Analyse  37

3.4  Analyse von IT-Risiken  40

3.4.1  Quantitative Analysemethoden  41

3.4.1.1  Einfache Schätzverfahren.  42

3.4.1.2  Operational Value-at-Risk.  42

3.4.1.3  Extremwert-Theorie  46

3.4.1.4  Fuzzy-Logic-Systeme.  47

3.4.1.5  Kausal-Methoden  49

3.4.2  Qualitative Analysetechniken  50

3.4.2.1  Szenario-Technik  50

3.4.2.2  Delphi-Methode  53

3.5  Steuerung der IT-Risiken  55

3.5.1  Risikopolitische Instrumente.  55

3.5.1.1  Risikovermeidung  57

3.5.1.2  Risikoverminderung  57

3.5.1.3  Risikoüberwälzung.  58

3.5.1.4  Risikoselbsttragung  60

3.5.2  Risikopolitische Methoden.  61

3.5.2.1  Kennzahlen und Kennzahlensysteme.  61

3.5.2.2  Katastrophenmanagement  63

3.5.2.3  Balanced Scorecard  65

3.6  Überwachung von IT-Risiken  69

3.6.1  Berichtswesen.  71

3.6.2  ABC-Analyse  73

3.6.3  GAP-Analyse  75

4.  Zusammenfassung und Ausblick  77

4

Symbolverzeichnis

AMA Advanced Measurement Approaches; Ambitionierte Bemessungsansätze AOVaR Absolute Operational Value-at-Risk α Alphafaktor BaFin Bundesanstalt für Finanzdienstleistungsaufsicht BIA Basic Indicator Approach; Basisindikatoransatz BIS Bank for International Settlements BSI Bundesamt für Sicherheit in der Informationstechnik β Betafaktor EI Exposure Indicator; Gefährdungsindikator, Wert der Schadensposition EL Expected Loss; Erwarteter Verlust IKT Informations- und Kommunikationstechnologie IMA Internal Measurement Approach; Interner Bemessungsansatz IS Informationssystem IT Informationstechnologie IV Informationsverarbeitung ITRM Informationstechnologie-Risikomanagement KEF Kritische Erfolgsfaktoren LDA Loss Distribution Approach; Verlustverteilungsansatz LGE Loss Given that Event; Prozentuale Höhe des zu erwartenden Verlustes MEKA Mindesteigenkapitalanforderung NwA Nutzwertanalyse PE Probability of Loss Event; Wahrscheinlichkeit eines Schadensfalles REK regulatorisches Eigenkapital ROVaR relativer operationeller Value-at-Risk STA Standardized Approach; Standardansatz UL Unexpected Loss; Unerwarteter Verlust VaR Value-at-Risk

5

Abbildungsverzeichnis   

Abbildung  1: Kategorisierung von operationellen Risiken  5

Abbildung  2: Säulenmodell Basel II  9

Abbildung  3: EK-Unterlegung und Anforderungen an Systeme der Basel II-Ansätze.  16

Abbildung  4: Verlustverteilung von Risiken  17

Abbildung  5: IT-Risikostrategie-Modell nach Krcmar  28

Abbildung  6: Risikoportfoliomatrix  29

Abbildung  7: Fehlerbaum-Analyse  38

Abbildung  8: Der VaR bei Normalverteilung  43

Abbildung  9: VaR-Portfolio  45

Abbildung  10: Szenario-Trichter  51

Abbildung  11: Steuerung der Reduzierung von Risiken  55

Abbildung  12: Implementierung eines Notfallplans für das Katastrophenmanagement  64

Abbildung  13: Risikomatrix eines Rechenzentrums  65

Abbildung  14: Balanced Scorecard  66

Abbildung  15: GAP-Analyse  75

Tabellenverzeichnis   

Tabelle 1:  Wirtschaftsfaktor IT-Sicherheitslösungen, weltweiter Markt (in Mio. USD)  5

Tabelle 2:  Anteilige Bedeutung des operationellen Risikos der Geschäftsfelder  13

Tabelle 3:  Gegenüberstellung der drei Ansätze  18

Tabelle 4:  Unterstützungsmatrix der kritischen Erfolgsfaktoren  33

Tabelle 5:  Nutzwertanalyse  35

Tabelle 6:  Risikopolitisches Instrumentarium  56

Tabelle 7:  Merkmale von Berichten  72

Tabelle 8:  ABC-Analyse - Rangaufstellung  73

Tabelle 9:  ABC-Analyse - Klasseneinteilung  74

Tabelle 10:  Operationelle Risiken - Detaillierte Klassifikation von Verlustereignissen  86

Tabelle 11:  Zuordnung der Geschäfsfelder beim Standardindikatoransatz  87

Tabelle 12:  Risikotypenkategorien Interner Bemessungsansatz  88

Tabelle 13:  Checkliste: Vergabe von Zutrittsberechtigungen  89

Tabelle 14:  Entwicklungsgenerationen von Frühinformationssystemen  90

Tabelle 15:  Ermittlung des Gesamtrisiko beim Value-at-Risk-Ansatz  91

Tabelle 16:  Balanced Scorecard einer Private Banking Devision  92

1

1. Einleitung

Die Informationstechnologie (IT) ist heutzutage aus dem Geschäftsfeld der Kreditinstitute nicht mehr wegzudenken. Der Einsatz von IT als Unterstützungsprozess für die Kernprozesse einer Bank ist ein wesentlicher Bestandteiler der Wertschöpfungskette geworden. Der Einsatz der Technologie erleichtert im erheblichen Umfang die anfallenden Arbeiten. Zudem werden Dienstleistungen auf technischen Systemen angeboten und neue Tätigkeitsfelder erschlossen. Die Mitarbeiter stehen jedoch auch vor neuen Herausforderungen. Kaum ein anderer Bereich ist so schnelllebig wie die IT. Die Mitarbeiter und die etablierten Prozesse innerhalb eines Hauses müssen sich dauernd neuen Gegebenheiten anpassen. Zukünftige Entwicklungen lassen sich kaum vorhersagen.

Kreditinstitute sind zunehmend abhängig von der Zuverlässigkeit, Sicherheit und Qualität der Informations- und Kommunikationstechnik (IKT). Diese Abhängigkeit stellt ein Risiko für ein funktionsfähiges Informationsmanagement dar. ¹ Das Auftreten von Managementfehlern und finanzieller Schadensereignisse bis hin zur Insolvenz einiger Unternehmen führten zu einer Überarbeitung der regulatorischen Eigenkapitalunterlegung auf internationaler Ebene für Kreditinstitute mit dem Namen Basel II. Die Diskussion über die Details der grundlegenden Umänderung der Bankenlandschaft hält bis heute an. Zudem müssen die Vorschläge des Baseler Ausschusses in europäisches und nationales Recht umgewandelt werden.

Ein zentrales Thema von Basel II ist das Risikomanagement in den Kreditinstituten. Zukünftig wird die Bankenaufsicht verstärkt diesen Teil des Managements kontrollieren. Sofern ein Kreditinstitut ein umfassendes Risikomanagement innerhalb des Hauses installiert, können finanzielle Schäden präventiv verhindert oder in der Auswirkung zumindest gemindert werden. Die Unkosten für eine solche aufwendige Installation werden insofern reduziert, dass der Baseler Ausschuss eine Ersparnis in der Eigenkapitalunterlegung von operationellen Risiken in Höhe von bis zu 25% in Aussicht stellt.

Vor diesem Hintergrund muss in den Kreditinstituten über den Einsatz eines Risikomanagementsystems extra für IT-Risiken nachgedacht werden. Daher setzt sich diese vorliegende Arbeit das Ziel, auf der Basis bisheriger Informationen von Basel II Vorschläge zu unterbrei-

¹ Vgl. Krcmar (2003), S. 358.

2

ten, welche Bestandteile eines IT-Risikomanagementsystem speziell Kreditinstitute benötigen können. Da die Inhalte von Basel II noch diskutiert werden und Details der zukünftigen An-forderungen noch unbekannt sind, kann die Vorstellung des Systems in dieser Arbeit als Orientierungshilfe angesehen werden.

Das Kapitel 2 beinhaltet zunächst die Grundlagen von Basel II. Im ersten Abschnitt werden die operationellen Risiken gemäß der Ansicht des Baseler Ausschusses definiert und anschließend kurz erläutert. Der zweite Abschnitt stellt das Säulenkonzept von Basel vor inklusive der verschiedenen Messansätze für operationelle Risiken. Gerade bei den Messarten wird in der Bankenwelt kontrovers diskutiert, so dass hier zukünftig Änderungen und Konkretisierungen zu erwarten sind.

Das Kapitel 3 stellt ein mögliches IT-Risikomanagementsystem vor. Zunächst werden die Risiken aus der Nutzung von Informationssystemen detailliert dargestellt. Im zweiten Abschnitt wird das System mit seinem groben Ablauf näher beschrieben. Die darauffolgenden Abschnitte behandeln detailliert das Risikomanagementsystem mit den einzelnen Schritten: Risikoidentifikation, Risikoanalyse, Risikosteuerung und Risikoüberwachung. Innerhalb der einzelnen Schritte werden verschiedene Möglichkeiten aufgezeigt, wie der jeweilige Prozess bestmöglich unterstützt werden kann. Zu beachten ist, dass für die verschiedenen existierenden IT-Risiken auch verschiedene Methoden für die jeweiligen Prozessschritte bestehen. Die Methoden jeweils komplett darzustellen würde den Arbeitsumfang dieser Diplomarbeit sprengen. Daher werden sie jeweils übersichtlich kurz dargestellt inklusive möglicher Querverweise zu Diskussionspunkten innerhalb der Basel-Papiere. Das vierte Kapitel schließt die- se Arbeit mit einer Zusammenfassung und einem Ausblick ab.

3

2. Grundlagen von Basel II

2.1 Definition des operationellen Risikos

Kreditinstitute werden mit einer Vielzahl von Risiken konfrontiert. Bereits bei Gründung eines Institutes muss über die operationellen Risiken nachgedacht werden, bevor überhaupt erste Kredit- und Marktrisiken entstehen. Dennoch stehen bisher nur Methoden zur Messung der Kredit- und Marktpreisrisiken im Fokus der betrieblichen Praxis. ² „Banks measure credit and market risks because they can, not because these are the biggest risks they face“ 3

Dieses Zitat verdeutlicht, warum die Banken bisher nur Kredit- und Marktpreisrisiken neben einer Vielzahl anderer bestehender Risiken gemessen haben.

Exemplarisch werden einige Beispiele für operationelle Risiken aufgeführt, denen eine Bank ausgesetzt sein kann ⁴ :

• 1985: Bank of New York Ein Hauptrechner fiel für 28 Stunden aus. Die Federal Reserve Bank stellte Überziehungsfazilitäten in Höhe von 20 Mrd. US-Dollar bereit, um Wertpapiertransaktionen abwickeln zu können.

• 1990: Federal Reserve Bank in New York Ein Stromausfall zwang die Bank, die sonst täglich für 3 Billionen US-Dollar Zahlungen abwickelt, für 6 Tage auf alternative Fazilitäten auszuweichen.

• 1995: Daiwa Bank New York Hier wurden über eine längere Zeit nicht autorisierte Handelsgeschäfte durchgeführt, so dass Verluste in Höhe von 1,1 Mrd. US-Dollar ent-standen.

• 1995: Barnings Futures Singapore Kompetenzüberschreitung und unautorisierte Handelsaktivitäten führten zu Verlusten in Höhe von 1,3 Mrd. US-Dollar, so dass die Bank schließlich Insolvenz anmelden musste.

• 1997: Morgan Grenfell Asset Management Durch Verletzung der Anlagevorschriften für Aktienfonds entstanden über 600 Mio. US-Dollar Verlust.

² Vgl. Stickelmann (2002), S. 4.

³ Vgl. Parsley (1996), S. 74 “Banken messen Kredit- und Marktrisiken, weil sie dazu in der Lage sind und nicht weil dies die größten Risiken sind, die ihnen gegenüberstehen.“.

⁴ vgl. Stickelmann (2002), S. 6 und Beeck/Kaiser (2002), S. 634.

4

Sensibilisiert durch diese und viele weitere bekannt gewordene Verlustfälle reagierten die nationalen Aufsichtsgremien und der internationale Ausschuss für Bankenaufsicht mit Sitz in Basel auf diese Entwicklung mit verstärktem Risikobewusstsein. ⁵ Der Baseler Ausschuss griff in den 90er Jahren diese Problematik auf und definierte die Risiken wie folgt: „Operationelles Risiko ist die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken.“ 6

Die Thematik dieser Diplomarbeit ist die Problematik der operationellen IT-Risiken, welche explizit durch den Einsatz von Informationssystemen in Kreditinstituten entstehen. Gerade im Finanzsektor sind die Informations- und Kommunikationssysteme fester Bestandteil der Wertschöpfungskette. Die meisten Arbeitsplätze werden von den neuen Technologien unterstützt oder gar ersetzt, so dass die Technik mittlerweile einen zentralen, kritischen Erfolgsfak-tor für die Kreditinstitute darstellt.

Neben der Informations- und Kommunikationstechnik spielt das Informationsmanagement mit den zahlreichen Analysemethoden und Steuerungsprozessen eine wichtige Rolle. Daher kann ein Finanzinstitut heute nicht mehr auf die Etablierung eines IT-Riskmanagements verzichten. Die Aufgabe eines Risikomanagements besteht darin, das Unternehmen möglichst sicher zu gestalten und für einen reibungslosen internen und externen Informationsfluss zu sorgen. In diesem Zusammenhang kann generell ausgeschlossen werden, die IKT in einem Kreditinstitut als absolut sicher zu bezeichnen, da eine Vielzahl von Gefahren bestehen und plötzlich eintretende Risiken die schon bestehenden Gefährdungspotentiale vergrößern.

Bedingt durch die Einführung eines umfassenden Risikomanagement-Systems entstehen Kosten für die Kreditinstitute, die mit dem Grad der zu erreichenden Sicherheitsstufe exponentiell steigen. ⁷ In der unten aufgeführten Tabelle wird exemplarisch gezeigt, wie stark die Kosten für IT-Sicherheitslösungen innerhalb von drei Jahren gestiegen sind.

⁵ vgl. Keck/Jovic (1999), S. 963.

⁶ vgl. Basel (2003), Absatz 607.

⁷ Vgl. Eckert/Thielmann (2002), S. 7 f.

Tabelle 1: Wirtschaftsfaktor IT-Sicherheitslösungen, weltweiter Markt (in Mio. USD).

Quelle: Eckert/Thielmann (2002), S. 8.

Um die operationellen Risiken im Detail besser untersuchen zu können, werden diese im folgenden Kontext kategorisiert und näher beschrieben. Unterschieden wird dabei zwischen technischen, personellen, externen und den sonstigen Risiken.

Abbildung 1: Kategorisierung von operationellen Risiken.

Quelle: von Balduin/Junginger/Krcmar (2002).

2.1.1 Technische Risiken

Die Arbeit der Finanzinstitute wird heutzutage stark durch die Technik determiniert. Kein Marktmitarbeiter kommt heute ohne einen Computer aus. Infolge von härteren Konkurrenz- kämpfen und somit geringeren Margen ist der Einzug von Informationstechnologie nicht auf-

6

zuhalten. Durch die Entwicklung und Implementierung komplizierter Informationssysteme (IS) und die Vernetzung von Rechnern intern (Intranet) oder extern (Internet) werden Finanzinstitute mehr und mehr von den eingesetzten IT-Lösungen abhängig. Mit dieser Abhängigkeit wachsen jedoch auch die Risiken. Strom- und Systemausfälle, Virus und Hackerangriffe oder Datenmanipulation zeigen einen kleinen Ausschnitt dessen, was in einer Bank passieren kann. Innovative Produkte wie das heute bereits allseits praktizierte E-Commerce - z.B. das Online-Banking - fördern nicht nur die Effizienz, sie sind auch verstärkt von ausfallsicherer Technik abhängig. Das exponentielle Wachstum und das exponentielle Verlustpotential stehen in Abhängigkeit zueinander und führen unter Umständen zu enormen Verlusten. ⁸ Die Auswirkungen der Innovationen sind nicht vorhersehbar oder kontrollierbar und zeigen die Grenzen der bisher bekannten Überwachungs- und Kontrollsysteme auf. 9

Zusätzlich zu den oben genannten allgemeinen Risiken existieren anwendungsbezogene Risiken, welche die Qualität der gewonnenen Informationen beeinflussen. So können durch Softwarefehler falsche Daten produziert werden, Daten gehen verloren oder werden mehrfach (redundant) abgelegt. In Reports können falsche Daten aufgenommen werden oder die Bereitstellung erfolgt verzögert. Eine weitere Klassifizierung sind die anwenderbezogenen Risiken, die eng in Zusammenhang mit den personellen Risiken stehen. In diesem speziellen Segment sind vor allem die Risiken gemeint, die aus der Kommunikation Mensch-Maschine z.B. durch fehlerhafte Eingaben entstehen. 10

2.1.2 Externe Risiken

Externe Risiken sind solche, die von außen auf das Finanzinstitut einwirken. So gibt es Rechtsrisiken, die durch Änderungen in der nationalen oder europäischen Gesetzeslage, z.B. die Regulierung der Bankenlandschaft (Basel II), beachtet werden müssen. ¹¹ Auch das Katastrophenrisiko, ausgelöst durch Feuer- oder Wassereinbruch, Naturkatastrophen, Unruhen oder Terrorattentate zählt zu diesen Risiken. 12

⁸ vgl. Piaz (2001), S. 1231.

⁹ vgl. Amsler (2000), S. 1.

¹⁰ Vgl. Brink (2001), S. 9 ff.

¹¹ vgl. Keck/Jovic (1999), S. 964.

¹² Vgl. Geiger (1999), S. 714.

7

Zu den externen Risiken zählen ebenfalls die aus den technischen Risiken bekannten Stromausfälle oder Hackerangriffe. Ein Hackerangriff betrifft zwar technische Einrichtungen eines Kreditinstitutes, wird jedoch von einer außenstehenden Person durchgeführt. Hier wird ersichtlich, dass die Risiken nicht immer klar abgrenzbar sind. Die Nicht-Vorhersehbarkeit solcher Ereignisse führt zu der Einsicht, dass diese Verluste durch angemessenes Kapital abgedeckt werden sollten.

2.1.3 Personelle Risiken

Personelle Risiken lassen sich noch in zwei weitere Kategorien unterteilen: bewusstes und unbewusstes Fehlverhalten. ¹³ Unbewusstes Fehlverhalten kann durch Konzentrationsmangel oder Überarbeitung entstehen. Zudem kann es vorkommen, dass Mitarbeiter nicht ausreichende Kenntnisse besitzen und ihre Kompetenz dadurch überschreiten. In immer kürzeren Abständen werden neue Produkttypen in Finanzinstituten entwickelt und vermarktet. Die Computersysteme ändern sich und die Mitarbeiter müssen mit neuen Programmen arbeiten. Der Arbeitgeber erwartet durch die neuen „Hilfen“ ständige Produktverbesserungen oder stetig wachsende Verkaufszahlen. Dies kann nur erreicht werden, wenn das Personal hochqualifiziert ist und regelmäßig geschult wird. Die Personalfluktuation in den Betrieben ist von Nachteil, da gerade gut ausgebildeten Mitarbeiter die Häuser verlassen und neue Mitarbeiter erst angelernt werden müssen. 14

Ein weiteres Risiko ist das bewusste Fehlverhalten von Mitarbeitern. Der Fall des Betrugs ist deshalb gefährlich, da für das Finanzinstitut in jedem Fall ein finanzieller Schaden eintritt. Zudem kann die Reputation eines Hauses und somit das Vertrauen der Anleger in das jeweilige Kreditinstitut geschädigt werden, wenn Betrugsfälle an die Öffentlichkeit gelangen. Ein Betrug ist oft dadurch möglich, dass Kontrollen fehlen, falsch angewendet oder vernachlässigt werden. ¹⁵ Möglichkeiten von Betrug sind grundsätzlich dort möglich, wo Schwachstellen ge-funden und zu Ungunsten des Unternehmens genutzt werden. Weitere bewusste Risikofakto-

¹³ Vgl.Brink (2001), S. 4.

¹⁴ vgl. Keck/Jovic (1999), S. 965.

¹⁵ Vgl. Brink (2001), S. 6.

8

ren sind das fehlende Verständnis von Teamwork, Umgehung von unternehmenspolitischen Vorschriften oder mangelnder Kundenfocus. 16

2.1.4 Weitere Risiken

Zu den zuvor vorgestellten Risiken werden weitere Risikoarten in der Fachliteratur diskutiert. Unter anderem gehören dazu die Modellrisiken, bei denen Fehler in mathematischen Modellen z.B. zur Berechnung des internen Zinsfußes zugrunde liegen. Transaktionsrisiken stellen hingegen Gefahren dar, die bei Geldtransaktionen entstehen können. Diese Risikoarten sind aber implizit in den oben genannten technischen, externen oder personellen Risiken enthalten, da die Ursachen dieser Risiken in diesen Bereichen zu finden sind und sich interdependent auf die weiteren Risiken auswirken.

Der Baseler Ausschuss nennt explizit in der Definition der operationellen Risiken die strategischen Risiken und Reputationsrisiken und schließt genau diese beiden Risikoarten dabei aus. ¹⁷ Reputationsrisiken sind Verluste, die aus der Schädigung des Rufes eines Hauses entstehen. Die Kunden sind nicht weiter gewillt, bei einem Kreditinstitut Geschäfte abzuwickeln oder kündigen vorzeitig ihre Verträge. Im Gegensatz zu den zuvor genannten Risiken sind Reputationsrisiken indirekte Verluste von Banken (sog. Sekundäreffekte). Diese sind schwer zu quantifizieren, da sich weder die Höhe noch die Dauer des Verlustes bestimmen lassen. 18

Strategische Risiken sind hingegen typische Unternehmerrisiken, die der Eigentümer automatisch übernimmt. Strategische Entscheidungen sind hoch aggregiert, bedeutsam und langfristig orientiert. Sie werden auf operationale Ziele subsummiert, so dass die globalen strategischen Risiken in den oben genannten Risiken wiederzufinden sind. Auf strategischer Ebene sich anbahnende Verluste können objektiv kaum quantifiziert werden. Diese Gründe führen dazu, dass die strategischen Risiken in Basel keine Berücksichtigung finden. 19

¹⁶ Vgl. Keck/Jovic (1999), S. 965.

¹⁷ Vgl. Basel (2003), Absatz 607.

¹⁸ Vgl. Beeck/Kaiser (2000), S. 638 und Brink (2002), S. 106.

¹⁹ Vgl. Gramlich/Gramlich (2002), S. 68 ff.

9

Im Anhang 7 des aktuellen Baseler Konsultationspapiers befindet sich eine detaillierte Übersicht über die Risikoarten, so wie sie der Baseler Ausschuss definiert. ²⁰ Diese Anlage befindet sich in dieser Diplomarbeit im Anhang Nr. 1.

2.2 Säulenkonzept

Eine risikoadäquate Eigenkapitalausstattung allein kann die Solvenz einer Bank und die Stabilität des Bankensystems in dieser zunehmend vernetzten Welt nicht länger gewährleisten. Die dauerhafte Finanzstabilität kann nur garantiert werden, wenn die Geschäftsleitung einer Bank eine bestimmte Risiko- und Ertragsstrategie einsetzt gepaart mit der Fähigkeit, die eingegangenen Risiken jederzeit steuern und tragen zu können. Aus diesem Grund sind die Entwicklung, der Einsatz und die aufsichtsrechtliche Prüfung adäquater Risikosteuerungssysteme der Banken und Sparkassen von essentieller Bedeutung. 21

Abbildung 2: Säulenmodell Basel II.

Quelle: eigene Darstellung.

Um diese Ziele zu erreichen, verfolgt der Baseler Ausschuss eine sogenannte „Drei-Säulen-Strategie“ bestehend aus Mindestkapitalanforderungen (Säule 1), einem Überprüfungsverfahren durch die Aufsichtsbehörde (Säule 2) und den unter dem Stichwort „Marktdisziplin“ zu-

²⁰ Vgl.Basel (2003), S. 229 ff.

²¹ Vgl. Heinke (2002), S. 3.

10

sammengefassten Publizitätsanforderungen (Säule 3). Diese drei Säulen stehen grundsätzlich gleichberechtigt nebeneinander und sollen sich gegenseitig verstärken. Im folgenden Abschnitt werden die drei Pfeiler der neuen Baseler Richtlinie der Wichtigkeit für diese Diplomarbeit nach aufsteigend vorgestellt.

2.2.1 Marktdisziplin (3. Säule)

Die dritte Säule Marktdisziplin hat das Ziel, die zweite und die erste Säule in ihrem Wirken zu verstärken. Die Finanzinstitute haben zukünftig die Aufgabe, auf der Grundlage eines einheitlichen Rahmens bankinterne Daten zu veröffentlichen. Die Marktteilnehmer können sich so über die Risikopositionen einer Bank informieren. Die Informationen werden zukünftig in einem konsistenten und verständlichen Schema dargestellt, wodurch die Vergleichbarkeit der Angaben verbessert wird. ²² Die Informationen umfassen sowohl Auskünfte über die Höhe und Zusammensetzung des Eigenkapitals, die Art und den Umfang der eingegangenen Risiken sowie Strategien zur Begrenzung und zum Management dieser Risikopositionen. 23

2.2.2 Bankenaufsicht (2. Säule)

Die gegenwärtige auf rein quantitativen Aspekten basierende Bankenaufsicht kann den An-forderungen heutiger komplexer Systeme nicht mehr gerecht werden. Das Bundesamt für Finanzdienstleistungsaufsicht (BaFin) hat bisher kaum die Möglichkeit, sich durch Einsichtnahme vor Ort einen Überblick über die Geschäfte und das Risikoprofil eines jeden Institutes zu verschaffen. Bei der Beurteilung ist sie weitgehend auf Informationen aus dritter Hand von Wirtschaftsprüfern angewiesen. 24

Das neue Prüfungsverfahren soll sicherstellen, dass Banken über ein angemessenes Eigenkapital für alle ihre eingegangenen Risiken verfügen. Das Verfahren soll die Banken auch darin bestärken, bessere (IT-)Risikomanagementverfahren für die Überwachung und Steuerung ihrer Risiken zu entwickeln und anzuwenden. ²⁵ Zudem soll durch die „Vor-Ort-Präsenz“ der Aufsicht ein zeitnaher Überblick über die wichtigen Geschäftsfelder und Risiken erzielt wer-

²² Vgl.Basel (2003), S. 229 ff.

²³ Vgl. Heinke (2002), S. 8.

²⁴ Vgl. Heinke (2002), S. 8.

²⁵ Vgl. Basel (2003), S. 161.

11

den, um flexibler präventiv reagieren zu können. Dabei muss die Eigenmittelausstattung nicht nur den aufsichtrechtlichen Normen, sondern vor allem dem individuellen Risikoprofil einer Bank entsprechen.

2.2.3 Eigenkapitalanforderungen (1. Säule)

Neben den Kreditrisiken und Marktpreisrisiken werden zukünftig auch die operationellen Risiken der Banken mit Eigenkapital unterlegt. Die künftigen Eigenkapitalanforderungen werden sich stärker an dem eigentlichen Risikogehalt der Bankgeschäfte orientieren. Die durchschnittliche Mindesteigenkapitalanforderung (MEKA) soll trotz der neuen Risikokategorien erhalten bleiben. ²⁶ Diese Aussage trifft für diejenigen Kreditinstitute zu, die standardisierte Risikomessmethoden zukünftig nutzen werden. Diejenigen Kreditinstitute, die fortgeschrittene Ansätze der Risikomessung für Kredit- und operationelle Risiken nutzen werden, erhalten den Anreiz einer geringeren Eigenkapitalunterlegung.

Die Mindesteigenkapitalanforderungen beruhen wie bisher auf einer Mindesteigenkapitalquote von acht Prozent bezogen auf die risikogewichteten Aktiva der Bank. Die risikogewichteten Aktiva sind dabei die Summe aller risikogewichteten Aktiva der Kreditrisiken und je das 12,5fache der Eigenkapitalanforderungen an die Marktpreisrisiken und operationellen Risiken. ²⁷ Eine anschauliche Interpretation dieser grundlegenden Relation ist auch wie folgt möglich:

0,08 * risikogewichtete Aktiva für das Kreditrisiko

+ Eigenkapitalanforderungen für das Marktpreisrisiko

≥ REK + Eigenkapitalanforderungen für das operationelle Risiko

Das Grundgerüst umfasst drei Methoden zur Berechnung der Kapitalanforderungen für operationelle Risiken, welche sich durch zunehmende Komplexität und Risikosensitivität auszeichnen: 28

• der Basisindikatoransatz (BIA)

• der Standardansatz (STA)

• die ambitionierten Messansätze (AMA)

²⁶ Vgl. Beck/Lesko/Stückler (2002), S. 67.

²⁷ Vgl. Wilkens/Entrop/Völker (2001), S. 37.

²⁸ Vgl. Basel (2003), S. 140.

12

Die Banken werden aufgefordert, sich entlang dieser drei Ansätze zu orientieren, indem sie zunehmend fortgeschrittene Systeme und Verfahren zur Messung des operationellen Risikos entwickeln und anwenden.

2.2.3.1 Basisindikatoransatz

Beim standardisierten Verfahren, dem Basisindikatoransatz, ist die Kapitalanforderung für operationelle Risiken als festgelegter Prozentsatz Alpha (α) des Bruttoertrags der letzten drei Jahre festgelegt. Der Bruttoertrag wird definiert als Zinsergebnis zuzüglich dem zinsunabhängigen Ertrag, wobei Wertberichtigungen und außerordentliche oder periodenfremde Erträge nicht berücksichtigt werden. 29

Die Eigenkapitalbelastung kann wie folgt ausgedrückt werden:

α K BIA = * GI mit:

K BIA = Eigenkapitalanforderung nach dem Basisindikatoransatz GI = durchschnittlicher jährlicher Bruttoertrag der vergangenen drei Jahre α = 15 %, wird durch den Ausschuss festgesetzt.

Um den BIA nutzen zu können, sind keine speziellen Zulassungskriterien erforderlich. Dieser Ansatz ist von jedem Kreditinstitut anwendbar. Es liegt aber keine echte Risikomessung vor. Der BIA soll lediglich eine pauschale Schätzung darstellen. ³⁰ Trotz der einfachen Anwendbarkeit obiger Formel sollen sich die Kreditinstitute an die Empfehlungen des Baseler Ausschusses zur sachgerechten Steuerung (Sound Practices) der operationellen Risiken halten. ³¹ Durch den Umgang mit diesen Arbeitspapieren erhofft sich der Ausschuss, dass Kreditinstitute bessere Risikomanagementtechniken entwickeln und entsprechend einsetzen werden.

²⁹ Vgl. Basel (2003), S. 141.

³⁰ Vgl. Schulte-Mattler (2003), S. 392.

³¹ Vgl. Stickelmann (2002), S. 22.

13

2.2.3.2 Standardansatz

Durch den Standardansatz werden die Tätigkeiten der Bank in acht Geschäftsfelder aufgeteilt, u.a. in das Privatkundengeschäft, den Zahlungsverkehr oder die Vermögensverwaltung. Eine detaillierte Übersicht befindet sich in Anlage Nr. 2. Innerhalb jedes Geschäftsfeldes dient der Bruttoertrag als allgemeiner Indikator zur Bestimmung des Geschäftsumfanges und damit verbunden der möglichen Gefährdung durch operationelle Risiken innerhalb jedes dieser Geschäftsfelder. Der für jedes Geschäftsfeld vorgegebene Indikator wird mit Werten von 12, 15 oder 18% multipliziert. 32

Quelle: Basel (2003), S. 143.

Die Gesamtkapitalanforderung kann wie folgt ausgedrückt werden: 33

∑ β = ) * ( GI K STA

− − ^{8 1 8 1} mit:

K STA = Kapitalanforderung im Standardansatz

GI1-8 = durchschnittlicher jährlicher Bruttoertrag der letzten drei Jahre, definiert wie im Basisindikatoransatz, für jedes der acht Geschäftsfelder

β1-8 = ein vom Ausschuss festgelegter Prozentsatz, der für jedes der acht Geschäftsfelder den Bruttoertrag im Verhältnis zum notwendigen Eigenkapital angibt.

³² Vgl. Schulte-Mattler (2003), S. 392.

³³ Vgl. Basel (2003), S. 143.

14

Gegenüber dem BIA sieht der Baseler Ausschuss explizite Zulassungskriterien vor. Diese lassen sich untergliedern in Anforderungen an ein wirksames Risikomanagement sowie in Anforderungen an die Messung und Validierung. ³⁴ Der Ausschuss fordert, dass speziell für den Bereich der operationellen Risiken eine Bank über ein Managementsystem verfügt. Diese Einheit ist dafür verantwortlich, Strategien zur Identifikation, Bewertung, Überwachung und Steuerung zu entwickeln. Zudem muss eine Methodik evaluiert werden zur Bewertung der Risiken. Die Ergebnisse aus dem oben genannten Prozess müssen in ein zu entwickelndes Berichtssystem implementiert werden, über das die Geschäftsleitung regelmäßig informiert wird. 35

Im Bereich der Messung und Validierung wird ein Risikomeldesystem gefordert, das hinreichend Daten liefert, um die Anforderungen an das Mindesteigenkapital zu berechnen. Diese Daten zeigen die geschäftsfeldbezogenen Verluste einer Bank. Diese Informationen werden in einer Datenbank gesammelt, die später bei einer Umsetzung des AMA als Berechnungsgrundlage benötigt wird. 36

2.2.3.3 Ambitionierte Messansätze

Der letzte und weitaus komplexere Ansatz ist das ambitionierte Messverfahren. ³⁷ Es basiert auf bankindividuell entwickelten Risikomessmethoden unter Verwendung intern erhobener Daten. Die Finanzinstitute müssen beim AMA gegenüber dem STA weit aus strengere Zulassungsbedingungen erfüllen, um zukünftig mit dem AMA arbeiten zu dürfen. 38

Damit eine Bank den AMA anwenden darf, müssen neben den bereits bekannten Kriterien des Standardansatzes weitere Kriterien erfüllt sein. Als allgemeines Kriterium gilt die Genehmigung des vom Institut entwickelten AMA durch die Aufsichtsbehörden. ³⁹ Darüber hinaus differenziert das Konsultationspapier zwischen qualitativen und quantitativen Kriterien. Die qualitativen Merkmale fordern die Existenz eines unabhängigen Managements für die operatio-

³⁴ Vgl.Stickelmann (2002), S. 28.

³⁵ Vgl. Basel (2003), S. 145.

³⁶ Vgl. Stickelmann (2002), S. 29.

³⁷ Auch internes oder fortgeschrittenes Messverfahren genannt.

³⁸ Vg. Jovic/Piaz (2001), S.928.

³⁹ Vgl. Basel (2003), S. 143.

15

nellen Risiken, welche für die Entwicklung und Verarbeitung verantwortlich sind. Die Aufsicht muss von dem angewendeten Risikomanagement-Konzept überzeugt sein. Regelmäßig sollen Szenarioanalysen und Stress-Tests entwickelt und durchgeführt werden. Sie decken unter anderem Schadensfälle mit großem Ausmaß ab, die selten vorkommen aber beträchtliche finanzielle Risiken (low frequency - high impact) verursachen können. Die Reportings solcher Ansätze sind in das operative Tagesgeschäft und in die geschäftspolitischen Entscheidungsprozesse einzubinden, so dass auch die höchsten Managementebenen in die Prozesse integriert werden. 40

Die quantitativen Zulassungskriterien bestehen unter anderen in der Anwendung der Empfehlungen zur sachgerechten Steuerung (Sound Practices) des operationellen Risikos. ⁴¹ Den Berechnungsmethoden muss ein mindestens einjähriger Zeithorizont mit einem Konfidenzniveau von mind. 99,9% zugrunde liegen. Für die Belegung dieser Daten muss eine umfassende Datenbank existieren, in die jegliche Verlustrisiken einer Bank eingetragen werden. Eine fünfjährige Historie ist Grundvoraussetzung für den Wechsel von STA auf AMA. Für die anfängliche Anwendung ist ein dreijähriges Datenfenster akzeptabel. Korrelationen zwischen Ereignissen und Geschäftsbereichen dürfen berücksichtigt werden. Die Mindesteigenkapitalanforderungen des AMA dürfen nicht weniger als 75% der Mindesteigenkapitalanforderung des Standardansatzes betragen. ⁴² Durch den Wechsel auf die AMA kann die regulatorische EK-Anforderung bestenfalls von 12% auf 9% sinken.

Der Baseler Ausschuss stellt den Kreditinstituten innerhalb des AMA drei Ansätze zur Auswahl:

• Interner Bemessungsansatz (Internal Measurement Approach, IMA)

• Verlustverteilungsansatz (Loss Distribution Approach, LDA)

• Scorecardansatz

Die nachfolgende Grafik verdeutlicht den Zusammenhang zwischen den Einsparpotentialen und den kostenintensiven Anforderungen an die Prozesse innerhalb eines Kreditinstitutes.

⁴⁰ Vgl. Stickelmann (2002), S. 36 - 37.

⁴¹ Vgl. Basel (2001b), S. 16 ff. und Basel (2003), S. 147 ff.

⁴² Vgl. Stickelmann (2002), S. 30.