- I -

Inhaltsverzeichnis

Seite   

Abk  ürzungsverzeichnis  III

Abbildungsverzeichnis.   IV

Tabellenverzeichnis   V

Formelverzeichnis.   V

1  Einleitung.  1

1.1  Einführung in die Thematik.  1

1.2  Ziel und Struktur der Arbeit  2

2  Operationelle Risiken  4

2.1  Definition und Einordnung des Risikobegriffs in das Risikomanagement.  4

2.1.1  Risikobegriff.  4

2.1.2  Risikomanagement  6

2.2  Definition und Begriffserklärung operationeller Risiken  9

2.2.1  Operationelle Risiken  9

2.2.2  Operationelle Risiken in Kreditinstituten  14

2.2.3  Abgrenzung zu weiteren Risikoarten in Kreditinstituten.  17

2.3  Identifikation operationeller Risiken.  20

2.3.1  Aspekte der Risikoidentifikation.  20

2.3.2  Kollektionsmethoden  22

2.3.3  Suchmethoden  24

2.3.4  Derivative Analysemethoden  26

2.4  Quantifizierung operationeller Risiken.  27

3  Individuelle Datenverarbeitung.  32

3.1  Definition individueller Datenverarbeitung  32

3.1.1  Entwicklung durch Dienstleister.  32

3.1.2  Entwicklung durch Fachbereiche.  33

3.2  Gründe zur Erstellung individueller Datenverarbeitung  36

3.3  Anwendungsbereiche.  38

3.3.1  Allgemein.  38

3.3.2  Anwendungsgebiete in Kreditinstituten  40

- II -

4  Risikobetrachtung individueller Datenverarbeitung in Kreditinstituten  42

4.1  Risiken aus individueller Datenverarbeitung in Kreditinstituten  42

4.1.1  Risiken unter Betrachtung von Aspekten zur Datensicherheit  42

4.1.2  Risiken unter Betrachtung externer Vorschriften  44

4.1.3  Risiken unter Betrachtung von Kostengesichtspunkten.  45

4.2  Identifikation  47

4.2.1  Identifikation individueller Datenverarbeitung  47

4.2.2  Identifikation des Risikos aus individueller Datenverarbeitung  49

4.3  Messbarkeit operationeller Risiken aus individueller Datenverarbeitung.  54

4.3.1  Messgegenstand  54

4.3.2  Quantitative Analyse.  56

4.3.3  Qualitative Analyse  59

4.4  Management operationeller Risiken aus individueller Datenverarbeitung  60

5  Fazit.  64

Literaturverzeichnis   66

Anhangsverzeichnis   71

- III - Abkürzungsverzeichnis

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht DV Datenverarbeitung EDV elektronische Datenverarbeitung GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme IDV individuelle Datenverarbeitung IT Informationstechnologie KWG Kreditwesengesetz LDCE Loss Database Collection Exercise MaH Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute ORC Operational Risk Counter OTC Over-the-Counter VaR Value at Risk VBA Visual Basic for Applications WpHG Wertpapierhandelsgesetz

- IV -

Abbildungsverzeichnis   

Seite   

Abbildung  1: Ursache-Wirkungs-Profil des Risikobegriffs.  

Abbildung  2: Phasen des Risikomanagements  

Abbildung  3: Operationelle Risiken.  

Abbildung  4: Risikostruktur in Kreditinstituten.  

Abbildung  5: Beispiel einer Poissonverteilung  

Abbildung  6: Beispiel einer logarithmischen Normalverteilung  

Abbildung  7: Anteil IDV-Anwendungen (schematische Darstellung)  

Abbildung  8: Entscheidungsbaum zur Kategorisierung von IDV  

- V - Tabellenverzeichnis

Seite

Tabelle 1: Methoden zur Identifikation operationeller Risiken .......................... 21 Tabelle 2: Risikokalkulator zur Bewertung von Risiken aus IDV ...................... 59

Formelverzeichnis

Seite

Formel 1: Poissonverteilung ............................................................................ 29 Formel 2: Logarithmische Normalverteilung .................................................... 30 Formel 3: Erwarteter Verlust auf Basis durchschnittlicher

Verzögerungszeiten und Handelsvolumen je Handelssystem ......... 58

- 1 - 1 Einleitung

1.1 Einführung in die Thematik

Vor dem Hintergrund der Terroranschläge auf das New Yorker Finanzzentrum am 11. September 2001 sind operationelle Risiken stärker in den Fokus der Risikoanalysten gerückt, da diese hohen negativen Einfluss auf die Liquidität des internationalen Bankensystems feststellten. ¹ Deutlich wurde dieses Risiko auch bei den Angriffen auf die Londoner Untergrundbahn am 07. Juli 2005. Operationelle Risiken sind erst jetzt zur zweitwichtigsten Risikokategorie nach dem Kreditrisiko avanciert, obwohl sie unmittelbar mit der Gründung von Kreditinstituten entstehen und noch vor Markt-oder Kreditrisiken existent sind. ² Sie fassen neben Risiken aus externen Ereignissen auch Prozess-, Personen- und Systemrisiken zusammen, denen auch aus Informationstechnologie (IT) hervorgehende Gefahren zuzuordnen sind. Die zunehmende Bedeutung der IT in Kreditinstituten erhöht gleichzeitig damit verbundene operationelle Risiken. 3

Da durch verstärkten Wettbewerbsdruck auch die Kreditinstitute gezwungen sind, schneller mit neuen Produkten an den Markt zu gehen, wird im Bereich von Finanzinnovationen - zeit- und kostenbedingt - verstärkt auf professionelle Softwareentwicklung zugunsten individueller Softwarelösungen verzichtet. Diese individuelle Datenverarbeitung (IDV) kann Schwächen der professionellen Variante ausgleichen und stellt eine wichtige Komponente für die Befriedigung individueller Informationsbedürfnisse dar. ⁴ Stetig komplexer werdende Finanzstrukturen, zunehmende Volumina derivativer ⁵ Finanzprodukte und die durch internationale Vernetzung der Finanzmärkte ansteigende Schwankung der Marktparameter (Volatilität) erfordern einen verantwortungsvollen und bewussten Risikoumgang. ⁶ Da gerade in diesen Bereichen dem Einsatz von IDV eine besondere Bedeutung zukommt, sind die hieraus entstehenden operationellen Risiken speziell vor dem Hintergrund der Eigenka-pitalanforderungen aus Basel II zu analysieren. Auch IT-Risiken müssen ab Inkraft-

¹ Vgl.: BRÖSEL, G. (2004), S. 186.

² Vgl.: STICKELMANN, K. (2002), S. 4.

³ Vgl.: BRÖSEL, G. (2004), S. 188.

⁴ Vgl.: HERKNER, T. (1991), S. 3.

⁵ Derivate Finanzprodukte sind aus den klassischen Basisinstrumenten des Zins- und Kreditge-

schäfts abgeleitete Produkte, wie Futures, Optionen oder Swaps.

⁶ Vgl.: BIERMANN, B. (2002), S. 104.

- 2 - tretender Verordnungen des BASEL COMMITTEE OF BANKING SUPERVISION Ende des Jahres 2006 mit Eigenkapital unterlegt werden. Dies führt dazu, dass der Einsatz eines diesbezüglich gut funktionierenden Risikomanagements einen direkten Wettbe-werbsvorteil darstellt. 7

Während die Aufmerksamkeit bereits auf die professionelle Softwareentwicklung gerichtet ist, die einen Teil der IT-Risiken darstellt, steht die Betrachtung der Risiken aus IDV gänzlich am Anfang und ist bisher literarisch nicht behandelt worden. Die Analyse dieser sensiblen Unternehmensdaten stellt demnach eine hohe Herausforderung vor aktuellem Hintergrund dar und verbindet sowohl technische als auch fachliche Aspekte. Risiken managen heißt auch gleichzeitig Chancen managen. ⁸ Die Untersuchung positiver Effekte der IDV gegenüber professioneller Datenverarbeitung erfolgt in dieser Arbeit sekundär, sollte aber in weitere Überlegungen einbezogen werden.

1.2 Ziel und Struktur der Arbeit

Ziel der vorliegenden Arbeit ist es, einen Vorstoß in die komplexe und aktuelle Thematik der operationellen Risiken aus dem Einsatz von IDV zu wagen und durch Aufzeigen potentieller Gefahren das Risikobewusstsein der Mitarbeiter in den Fachbereichen, den EDV-Bereichen, der Revision und den Führungsebenen zu schaffen, um das aktive Managen dieser Risikoart zu ermöglichen. Es wird nicht der Anspruch auf eine allgemeingültige Bewertung und Eliminierung der operationellen Risiken aus dem Einsatz von IDV erhoben, die direkt in bereits vorhandene Überlegungen vor dem Hintergrund von Basel II übernommen werden können. Vielmehr sollen Wege zur Identifikation und Bewertung von IDV und abhängigen Risiken in Kreditinstituten eröffnet werden, die eine Grundlage für weitere hierauf ausgerichtete Untersuchungen und Maßnahmen darstellen.

Hierzu werden in Abschnitt 2 der Arbeit die Themenbereiche der operationellen Risiken, deren Einordnung in den Risikomanagementprozess und die Ableitung der Begrifflichkeiten für Kreditinstitute behandelt. Es erfolgt zunächst eine differenzierte Betrachtung operationeller Risiken durch die Aufspaltung in Prozess-, Personen- und

⁷ Vgl.: SCHÄFFTER, M. (2004), http://www.geldinstitute.de/download/DL_00000051.pdf, S. 1.

⁸ Vgl.: ROMEIKE, F. (2005), S. 17.

- 3 - Systemrisikensowie in Risiken aus externen Ereignissen, die in einen Gesamtzu-sammenhang mit Markt- und Kreditrisiken gebracht werden. Anschließend werden mehrere theoretische und praktische Methoden zur Identifikation vorgestellt, die sich anhand ihrer Zielrichtung unterscheiden. Die darauf folgende Darstellung zur Quanti-fizierung operationeller Risiken beschäftigt sich schwerpunktmäßig mit mathemati-schen Modellen, die eine Trennung in Verlusthäufigkeit und Verlusthöhe vornehmen, um daraus den Value at Risk (VaR) zu berechnen.

Abschnitt 3 geht auf den Begriff der IDV ein und nimmt eine Abgrenzung von Softwareentwicklungen durch externe Dienstleister zu entsprechenden Entwicklungen durch den Fachbereich vor. Anschließend werden die Gründe für den Einsatz von IDV in Kreditinstituten ermittelt und durch Beispiele erläutert.

Die Erkenntnisse aus den beiden vorherigen Abschnitten werden in einer die IDV betreffenden Risikobetrachtung in Abschnitt 4 zusammengeführt. Zuerst erfolgt die Darstellung aus IDV entstehender Risiken, die sich sowohl an technischen als auch fachlichen Aspekten orientiert. Danach werden die in Abschnitt 2 vorgestellten Methoden zur Identifikation auf die IDV und ihre Risiken angewendet. Anschließend werden die aus den Risiken möglicherweise resultierenden Auswirkungen ermittelt und Instrumente einer quantitativen und qualitativen Analyse angewendet, die einen Weg zur Bewertung von Risiken aus IDV aufzeigen. Abschließend wird in diesem Abschnitt die Einordnung vorgestellter Methoden in den Managementprozess vorgenommen.

Abschnitt 5 fasst die gewonnenen Kenntnisse in einem abschließenden Fazit zusammen und skizziert mögliche Fragestellungen für die weitere Betrachtung des Themas um Risiken aus dem Einsatz von IDV in Kreditinstituten.

- 4 - 2 Operationelle Risiken

2.1 Definition und Einordnung des Risikobegriffs in das Risikomanagement

2.1.1 Risikobegriff

Der Begriff Risiko kann durch seine Vielschichtigkeit nicht eindeutig definiert werden und findet in der Literatur uneinheitlich Verwendung. Erst eine grundsätzliche Differenzierung des Risikobegriffs in eine ursachenorientierte und wirkungsorientierte Definition macht eine umfassende Betrachtung möglich.

Risiko ist ursachenorientiert als Folge einer vorangegangenen Entscheidung, die einerseits vom Informationsstand und andererseits von der Risikotoleranz des Handelnden abhängt. ⁹ Die auftretenden Effekte können sowohl positive als auch bei sich nachträglich herausstellender Fehlentscheidung negative Ausprägungen aufweisen. Ursachen sind unvollständig zur Verfügung stehende Informationen, die zur Entscheidungsfindung herangezogen werden. ¹⁰ Mathematisch-betriebswirtschaftlich ist Risiko nach der Eintrittswahrscheinlichkeit eines Zustandes klassifiziert und lässt sich in unterschiedliche Erwartungstypen unterteilen. ¹¹ Der zuverlässige Eintritt eines Ereignisses oder Zustands wird als Sicherheit, der unsichere Eintritt hingegen als Risiko charakterisiert. Ist die Ermittlung einer Eintrittswahrscheinlichkeit möglich, so wird dies als Unsicherheit erster Ordnung bezeichnet. Kann einer künftigen Situation keine Wahrscheinlichkeit zugeordnet werden, so handelt es sich um Unsicherheit zweiter Ordnung. 12

Wirkungsorientiert wird Risiko als Streuung um einen Erwartungswert ¹³ differenziert, dem unterschiedliche Zielvorstellungen zugrunde liegen. ¹⁴ Statistisch wird dies als die Gefahr der zufälligen Abweichung eines tatsächlich realisierten Ergebnisses vom erwarteten Ergebnis definiert. ¹⁵ Die auftretenden Effekte können damit sowohl posi-

⁹ Vgl.: DÖHRING, J. (1996), S. 7.

¹⁰ Vgl.: PIAZ, J.-M. (2001), S. 12.

¹¹ Vgl.: BIERMANN, B. (2002), S. 105.

¹² Vgl.: PIAZ, J.-M. (2001), S. 10-11.

¹³ Vgl.: ROMEIKE, F. (2005), S. 18.

¹⁴ Vgl.: PIAZ, J.-M. (2001), S. 12.

¹⁵ Vgl.: BRÖSEL, G. (2004), S. 186.

- 5 - tiveals auch negative Ausprägungen annehmen. ¹⁶ Risiko ist in dieser allgemeinen Aussage deshalb nicht zwangsläufig negativ anzusehen. ¹⁷ Differenziert betrachtet, werden die positiven bzw. günstigeren Diskrepanzen als Chance, die negativen bzw. ungünstigeren als Risiko bezeichnet. ¹⁸ Die Ursache-Wirkungs-Zusammenhänge wer-den in Abbildung 1 veranschaulicht, wo die zu einem Zeitpunkt getroffene Entschei-dung durch die zur Verfügung stehenden Informationen und die persönliche Risiko-toleranz beeinflusst wird. Das Ergebnis kann dann positive oder negative Abwei-chungen vom ursprünglich anvisierten Ziel annehmen.

Abbildung 1: Ursache-Wirkungs-Profil des Risikobegriffs

Quelle: Eigene Darstellung in Anlehnung an PIAZ, J.-M. (2001), S. 13.

Für die Arbeitsdefinition beschränkt sich Risiko auf die Gefahr einer negativen Abweichung des tatsächlich eingetretenen oder des möglicherweise eintretenden Zu-stands vom gewünschten oder geplanten Ergebnis.

¹⁶ Vgl.: ROMEIKE, F. (2005), S. 18.

¹⁷ Vgl.: BIERMANN, B. (2002), S. 104.

¹⁸ Vgl.: BRÖSEL, G. (2004), S. 186.

- 6 - 2.1.2Risikomanagement

Risiko stellt einen nicht wünschenswerten Zustand dar ¹⁹ und ist durch geeignetes Management organisatorisch und technisch auf ein Minimum zu reduzieren bzw. in ein optimales Verhältnis zum Ertrag zu bewegen. Banken übernehmen durch ihre Geschäftstätigkeit zwangsläufig viele verschiedene Risiken. ²⁰ Das Risikomanagement gehört zu den Kernkompetenzen einer Bank ²¹ und bedeutet, die Risiken wie auch Chancen systematisch zu identifizieren, ihre Eintrittswahrscheinlichkeiten zu ermitteln und die Auswirkungen auf das Unternehmen bzw. den Unternehmenswert festzustellen. Anschließend werden geeignete Strategien bzw. Maßnahmen ergriffen ²² , so dass die Ziele Existenzsicherung, Sicherung und Erhöhung des Unternehmenserfolgs, Senkung der Risikokosten und eine angemessene Eigenkapitalausstattung erfolgreich verfolgt werden können. ²³ Der rationale Umgang mit der Risikosituation ist im Finanzdienstleistungssektor gegenüber anderen Branchen wesentlich weiter entwickelt. ²⁴ Auf der einen Seite werden die eingegangenen Risiken durch das Risikomanagement kontrolliert, gesteuert und limitiert, ²⁵ auf der anderen Seite können durch das „wohlüberlegte und bewusste Eingehen von Risiken im spekulativen Handel“ ²⁶ überproportionale Erträge generiert werden.

Abbildung 2 zeigt, dass Risikomanagement als Regelkreis zu verstehen ist, der sich in vier Phasen unterteilen lässt. Die Unternehmensziele und die Ziele des Risikomanagements finden sich in der strategischen Risikopolitik wieder und stellen Rahmenrichtlinien für weitere Schritte dar.

¹⁹ Vgl.: PIAZ, J.-M. (2001), S. 10.

²⁰ Vgl.: BIERMANN, B. (2002), S. 104.

²¹ Vgl.: SCHÄFFTER, M. (2004), http://www.geldinstitute.de/download/DL_00000051.pdf, S. 1.

²² Vgl.: ROMEIKE, F. (2005), S. 17-18.

²³ Vgl.: ROMEIKE, F. (2005), S. 23.

²⁴ Vgl.: PIAZ, J.-M. (2001), S. 12.

²⁵ Vgl.: BIERMANN, B. (2002), S. 105.

²⁶ B IERMANN, B. (2002), S. 104.

Abbildung 2: Phasen des Risikomanagements Quelle: Eigene Darstellung in Anlehnung an ROMEIKE, F. (2005), S. 26-27.

In der sich anschließenden Prozessphase der Identifikation sollen möglichst alle Gefahrenquellen, Störpotentiale und Schadenursachen vollständig und kontinuierlich erfasst werden. In die Betrachtung sind sämtliche betriebliche Prozesse und Funktionsbereiche einbezogen. ²⁷ Die Identifikation kann beispielsweise auf der Ebene der Risikoarten, der Prozesse, der Geschäftsfelder, der Applikationen sowie der IT-Infrastruktur erfolgen. Grundsätzlich sind sowohl eine Top-down-Strategie ²⁸ , die eine schnelle, meist strategischorientierte Erfassung ermöglicht, als auch ein Bottom-up-Verfahren ²⁹ , bei dem sämtliche Geschäftsbereiche und mögliche Korrelationen zwischen Einzelrisiken erfasst werden, denkbar. In der Praxis finden Kollektionsmethoden sowie kreative und analytische Suchmethoden Anwendung. ³⁰ Erstere eignen sich vorwiegend für die Ermittlung bestehender und offensichtlicher, letztere eher für

²⁷ Vgl.: ROMEIKE, F. (2005), S. 18.

²⁸ Die Top-down-Strategie ist im Fall der Risikoidentifikation als ein Verfahren zu bezeichnen, bei

dem aus globaler Unternehmenssicht Gefahrenpotentiale „von oben nach unten“ auf einzelne Ge-schäftsbereiche aufgeteilt werden.

²⁹ Bei der Bottom-up-Strategie erfolgt im Fall einer Risikoidentifikation die Erfassung einzelner Risiko-

potentiale „von unten nach oben“, die zur Bestimmung der gesamten Risikoposition auf oberster

Ebene zusammengefasst werden.

³⁰ Für eine detaillierte Auseinandersetzung mit Methoden zur Identifikation von operationellen Risiken

siehe Abschnitt 2.3.

- 8 - dieIdentifikation künftiger und bisher unbekannter Risiken bzw. Risikopotentiale. ³¹ Ein Instrument der Risikoidentifikation sind Frühwarnsysteme, die interne und ex-terne Faktoren analysieren, um Risiken möglichst rechtzeitig zu signalisieren. 32

Nach erfolgter Identifikation kann nun in der Phase der Risikobewertung eine Quantifizierung erfolgen. Der Erwartungswert wird hierbei durch die Multiplikation der Eintrittswahrscheinlichkeit mit dem Schadenmaß ermittelt. Vorraussetzung hierfür ist eine mathematisch skalierbare Größe der Risikofaktoren und keine Klasseneinteilung. ³³ Ziel der Risikobewertung ist die Ermittlung der Höhe des Gefährdungspotentials und eine Priorisierung durch Rangfolgebildung. Hierbei kommen sowohl quantitative ³⁴ als auch qualitative ³⁵ Analysemethoden zum Einsatz. 36

Eine bedeutende Rolle im Risikomanagement obliegt der Risikoidentifikation und -bewertung, da sie die Informationsgrundlage für alle folgenden risikopolitischen Entscheidungen darstellt. ³⁷ Eine objektive Quantifizierung ist allerdings nicht immer möglich, da beispielsweise die Bewertung von Imageverlusten stark auf subjektiver Einschätzung beruht. Die Anwendung mathematisch-statistischer Modelle bei operationellen Risiken ist oftmals ebenso problematisch, da keine sinnvolle Datenbasis vorliegt. Erschwerend kommt hinzu, dass zur Analyse des Gesamtrisikos sowohl positive als auch negative Ergebnisse zu berücksichtigen und zu kumulieren sind. ³⁸ In einem wohldiversifizierten Portfolio kann das Gesamtrisiko wesentlich geringer als die Summe der Einzelrisiken sein. 39

Nach Identifikation und Quantifizierung der vorhandenen und potentiellen Risiken sind im Prozess der Risikosteuerung und -kontrolle alle Maßnahmen zu treffen, um die Eintrittswahrscheinlichkeit oder das Schadensausmaß zu verringern und damit positiv auf die Risikolage des Unternehmens einzuwirken. Durch Aufgeben oder Änderung wirtschaftlicher Aktivitäten können Risiken vermieden werden. Organisatori-

³¹ Vgl.:ROMEIKE, F. (2005), S. 26-27.

³² Vgl.: ROMEIKE, F. (2005), S. 19.

³³ Vgl.: VAN DEN BRINK, G. J. (2005), S. 257.

³⁴ Zu den quantitativen Analysemethoden zählen unter anderem Value at Risk (VaR),

Sensivitätsanalysen und der Ausgaben-/Gewinn-Ansatz.

³⁵ Zu den qualitativen Analysemethoden zählen unter anderem die Nutzwertanalyse, die

Szenariotechnik und die Analyse anhand von Risikoindikatoren.

³⁶ Vgl.: ROMEIKE, F. (2005), S. 27.

³⁷ Vgl.: ROMEIKE, F. (2005), S. 19.

³⁸ Vgl.: ROMEIKE, F. (2005), S. 29.

³⁹ Vgl.: BIERMANN, B. (2002), S. 104.

- 9 - scheund technische Maßnahmen dienen hingegen zur Risikoverminderung, wäh-rend beispielsweise Versicherungen den Transfer zu Dritten ermöglichen. 40

Diese Ergebnisse fließen wieder in die strategische Betrachtung ein und führen zu einer Neudefinition der Ziele des Risikomanagements, wodurch sich der Regelkreis schließt. Für eine effiziente Ausgestaltung und Umsetzung in einen kontinuierlichen Vorgang ist eine Integration in die Unternehmensprozesse notwendig. ⁴¹ Das Risikomanagement umfasst eine Vielzahl von möglichen Risiken. Der Schwerpunkt der folgenden Auseinandersetzung beschränkt sich auf operationelle Risiken als einen Teilbereich des Risikomanagements.

2.2 Definition und Begriffserklärung operationeller Risiken

2.2.1 Operationelle Risiken

Operationelle Risiken werden in der Literatur oftmals sehr unterschiedlich definiert und bezeichnet. Dies macht ein einheitliches Verständnis und einen zielgerichteten Umgang schwierig. So sind Unstimmigkeiten zwischen den Begriffen operationelle Risiken, operationale Risiken und operative Risken zu verzeichnen. Hinzu kommt die vor allem durch englischsprachige Literatur geprägte, aber zunehmend auch in deutschsprachiger Literatur verwendete Bezeichnung Operational Risk. Operationale Risiken sind zwangsläufig mit der Ausübung wirtschaftlicher Tätigkeiten verbunden. ⁴² Operationelles Risiko ist die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Prozessen, Menschen und Systemen oder in Folge von externen Ereignissen eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken und Reputationsrisiken. ⁴³ Eine generelle synonyme Verwendung der unterschiedlichen Begriffe ist allerdings nicht sinnvoll, da operative Risiken nur einen Teil der operationellen Risiken ausmachen. Operative Risiken haben rein innerbetrieblichen Charakter und vereinen ausschließlich die als Prozessrisiko, Systemrisiko und Personenrisiko bezeichneten Bereiche. ⁴⁴ In der vorliegenden Arbeit wird ausschließlich der Begriff der operationellen Risiken verwendet, da unter ihm alle zu betrachtenden Facetten subsumiert werden können. In

⁴⁰ Vgl.: ROMEIKE, F. (2005), S. 29-30.

⁴¹ Vgl.: ROMEIKE, F. (2005), S. 25.

⁴² Vgl.: GULDIMANN, T. (1999), S. 54.

⁴³ Vgl.: BASEL COMMITTEE ON BANKING SUPERVISION (Hrsg.) (2003b), S. 120.

⁴⁴ Vgl.: PIAZ, J.-M. (2001), S. 3.

- 10 - Abbildung3 sind die aufgeführten vier Hauptbereiche und die Zusammenhänge der operationellen Risiken veranschaulichend dargestellt.

Abbildung 3: Operationelle Risiken

Quelle: Eigene Darstellung in Anlehnung an BRÖSEL, G. (2004), S. 188.

Unter den internen Faktoren subsumieren sich Abwicklungsrisiken und Faktorrisiken. Abwicklungsrisiken können direkt den als ablaufstrukturellen Risiken bezeichneten internen Prozessen zugeordnet werden. ⁴⁵ Des Weiteren ist zudem allerdings eine parallele Betrachtung neben den operationellen Risiken zu finden. ⁴⁶ Diese fokussiert das zeitliche Auseinanderfallen von Geschäftsabschluss und -abwicklung. Das Aus-einanderfallen von Lieferung und Zahlung sind ebenso Quellen für die Entstehung eines solchen möglichen Risikos. ⁴⁷ Faktorrisiken beziehen sich auf Risiken persönlicher Art und sachlich-technischer Art, die sich üblicherweise kostensteigernd auswirken und somit zu den Erfolgsrisiken zählen. Sie begründen sich zum einen in dem Unterschied zwischen in der Planung veranschlagten und den tatsächlich eingetretenen Kosten und zum anderen in zu gering vorgehaltenen Faktormengen, die sowohl zu zusätzlichen Kosten bei der Beschaffung als auch zu Opportunitätskosten durch entgangene Geschäfte führen können. Zu viel vorgehaltene Kapazitäten hingegen führen zu Leerkosten. 48

⁴⁵ Vgl.: BRÖSEL, G. (2004), S. 188.

⁴⁶ Vgl.: PIAZ, J.-M. (2001), S. 15.

⁴⁷ Vgl.: PIAZ, J.-M. (2001), S. 20.

⁴⁸ Vgl.: BRÖSEL, G. (2004), S. 188.

- 11 - Diehier aufgeführten Risiken treten meist in unterschiedlichen Kombinationen auf, so dass nur schwer auf das einzelne Risiko geschlossen werden kann. Die Kenntnis ist allerdings von hoher Bedeutung, da sonst keine effektive Absicherung einer Risiko-position erfolgen kann. 49

Die Gefahr des Versagens interner Prozesse entsteht durch nicht richtig aufgestellte oder nicht richtig ausgeführte Prozesse. Das Auftreten dieser Prozessrisiken ist ursächlich durch mangelndes Management begründet. Diese werden insbesondere durch unklare Verantwortlichkeiten in Matrix-Organisationen begünstigt. ⁵⁰ Weitere Ursachen für nicht ordnungsgemäße Ausführung richtig implementierter Prozesse sind auf Fehleingaben oder Kommunikationsfehler zurückzuführen. ⁵¹ Auch bei ausgelagerten Prozessen muss nicht zwangläufig eine gleichzeitige Risikominderung eintreten. Hierbei erfolgt vielmehr eine Risikoverschiebung. Technische Verflechtungen und einhergehende Know-how-Verluste in dem eigenen Unternehmen erhöhen die Abhängigkeit vom Partner oder Dienstleister. 52

Bei der Einordnung der Abwicklungsrisiken herrscht Uneinigkeit. Sie können entstehen, wenn ein Geschäft abgeschlossen wird, jedoch weder die technische Voraussetzung für eine ordnungsgemäße Abwicklung noch das entsprechende Know-how vorhanden ist. ⁵³ B RÖSEL versteht hingegen unter Abwicklungsrisiken die Zusammenfassung von

’ Organisationsrisiken,

’ Haftungsrisiken und ’ Vertragsrisiken.

Organisationsrisiken ergeben sich aus der aufbau- und ablauforganisatorischen und damit arbeitsteiligen Gliederung. Haftungsrisiken resultieren aus Verpflichtungen beispielsweise nach dem Wertpapierhandelsgesetz (WpHG) ⁵⁴ und der Prospekthaf-

⁴⁹ Vgl.:BIERMANN, B. (2002), S. 108.

⁵⁰ Vgl.: JÖRG, M. (2002), S. 11.

⁵¹ Vgl.: JÖRG, M. (2002), S. 12.

⁵² Vgl.: JÖRG, M. (2002), S. 13.

⁵³ Vgl.: BIERMANN, B. (2002), S. 107.

⁵⁴ Das WpHG bildet die rechtlichen Grundlagen für den Wertpapierhandel an der Börse und ordnet

damit das Wertpapiergeschäft, welches der Überwachung durch die BaFin unterliegt. Hieraus kön-nen Schadensersatzansprüche aus der Verletzung der Pflicht zur Information oder aufgrund feh-

lerhafter Beratung entstehen.

- 12 - tung ⁵⁵ ,wohingegen die Gefahr von Vertragsrisiken aus fehlerhaft oder missverständ-lich formulierten Verträgen hervorgeht. ⁵⁶ Da eine sehr enge Berührung mit internen Prozessen stattfindet, werden Abwicklungsrisiken künftig auch diesem Bereich zuge-ordnet.

Die sich aus der Ressource Mensch ergebenden Personenrisiken lassen sich in

’ qualitative und quantitative Personalverfügbarkeit und

’ interne rechtswidrige und nicht autorisierte Handlungen

unterteilen. Mängel in der Aufgabenerfüllung können durch mangelhafte Qualifikation aufgrund fehlender Sachkenntnis und unzureichender Berufserfahrung sowie durch Überlastung oder Unterforderung bedingt sein. Eine nicht optimale Arbeitsauslastung führt zu hohen Fluktuationsquoten, die einen Verlust des intellektuellen Kapitals zur Folge haben. ⁵⁷ Zu dieser Risikokategorie werden Kompetenzüberschreitungen, illegale Transaktionen, unautorisiertes Handeln und rechtswidrige interne Aktivitäten gezählt. Illegale Transaktionen, bei denen geltende Geschäftsbedingungen, Gesetze oder andere Richtlinien verletzt werden, können operationelle Schäden in Form von Sanktionszahlungen nach sich ziehen. Diese Risikokategorie lässt sich durch Betrug, Unterschlagung, Veruntreuung und Diebstahl ergänzen. 58

Vor dem Hintergrund der Entwicklungen in den Bereichen eCommerce und hochtechnisierter IT-Systeme bekommen Systemrisiken, die in Verbindung mit Informations- und Kommunikationstechnologie betrachtet werden, eine ganz neue Dimension. Bei den operationellen Risiken in diesem Segment ergibt sich eine grundsätzliche Unterscheidung in

’ Risiken aus der Nutzung von IT-Systemen und in

’ Risiken, die durch die veränderte elektronische Kommunikation entstehen. 59

Zu Risiken aus dem Umgang mit bzw. der Nutzung von IT-Systemen werden Hard-und Softwarefehler gezählt. Während Hardwarefehler sich in Form von Systemunter-

⁵⁵ DieProspekthaftung regelt die Haftung der Emittenten und der Konsortialbanken für die Richtigkeit

der Angaben in Verkaufsprospekten. Bei nachweislich falschen Angaben hat der Käufer Anspruch

auf Rückerstattung des Kaufpreises, entstandener Transaktionskosten und durch Veräußerung

entstandener Verluste.

⁵⁶ Vgl.: BRÖSEL, G. (2004), S. 188.

⁵⁷ Vgl.: JÖRG, M. (2002), S. 21.

⁵⁸ Vgl.: JÖRG, M. (2002), S. 22-23.

⁵⁹ Vgl.: JÖRG, M. (2002), S. 16.