Private Fachhochschule für Wirtschaft und Technik Vechta / Diepholz / Oldenburg

Analyse der operationellen Risiken durch den Einsatz individueller Datenverarbeitung in Kreditinstituten

Fabian Kurz

Inhaltsverzeichnis

1 Einleitung ... 1

1.1 Einführung in die Thematik ... 1
1.2 Ziel und Struktur der Arbeit ... 2

2 Operationelle Risiken ... 4

2.1 Definition und Einordnung des Risikobegriffs in das Risikomanagement ... 4
2.1.1 Risikobegriff ... 4
2.1.2 Risikomanagement ... 6
2.2 Definition und Begriffserklärung operationeller Risiken ... 9
2.2.1 Operationelle Risiken ... 9
2.2.2 Operationelle Risiken in Kreditinstituten ... 14
2.2.3 Abgrenzung zu weiteren Risikoarten in Kreditinstituten ... 17
2.3 Identifikation operationeller Risiken ... 20
2.3.1 Aspekte der Risikoidentifikation ... 20
2.3.2 Kollektionsmethoden ... 22
2.3.3 Suchmethoden ... 24
2.3.4 Derivative Analysemethoden ... 26
2.4 Quantifizierung operationeller Risiken ... 27

3 Individuelle Datenverarbeitung ... 32

3.1 Definition individueller Datenverarbeitung ... 32
3.1.1 Entwicklung durch Dienstleister ... 32
3.1.2 Entwicklung durch Fachbereiche ... 33
3.2 Gründe zur Erstellung individueller Datenverarbeitung ... 36
3.3 Anwendungsbereiche ... 38
3.3.1 Allgemein ... 38
3.3.2 Anwendungsgebiete in Kreditinstituten ... 40

4 Risikobetrachtung individueller Datenverarbeitung in Kreditinstituten ... 42

4.1 Risiken aus individueller Datenverarbeitung in Kreditinstituten ... 42
4.1.1 Risiken unter Betrachtung von Aspekten zur Datensicherheit ... 42
4.1.2 Risiken unter Betrachtung externer Vorschriften ... 44
4.1.3 Risiken unter Betrachtung von Kostengesichtspunkten ... 45
4.2 Identifikation ... 47
4.2.1 Identifikation individueller Datenverarbeitung ... 47
4.2.2 Identifikation des Risikos aus individueller Datenverarbeitung ... 49
4.3 Messbarkeit operationeller Risiken aus individueller Datenverarbeitung ... 54
4.3.1 Messgegenstand ... 54
4.3.2 Quantitative Analyse ... 56
4.3.3 Qualitative Analyse ... 59
4.4 Management operationeller Risiken aus individueller Datenverarbeitung ... 60

5 Fazit ... 64

Literaturverzeichnis ... 66

Anhangsverzeichnis ... 71

1 Einleitung

1.1 Einführung in die Thematik

Vor dem Hintergrund der Terroranschläge auf das New Yorker Finanzzentrum am 11. September 2001 sind operationelle Risiken stärker in den Fokus der Risikoanalysten gerückt, da diese hohen negativen Einfluss auf die Liquidität des internationalen Bankensystems feststellten.¹ Deutlich wurde dieses Risiko auch bei den Angriffen auf die Londoner Untergrundbahn am 07. Juli 2005. Operationelle Risiken sind erst jetzt zur zweitwichtigsten Risikokategorie nach dem Kreditrisiko avanciert, obwohl sie unmittelbar mit der Gründung von Kreditinstituten entstehen und noch vor Marktoder Kreditrisiken existent sind.² Sie fassen neben Risiken aus externen Ereignissen auch Prozess-, Personen- und Systemrisiken zusammen, denen auch aus Informationstechnologie (IT) hervorgehende Gefahren zuzuordnen sind. Die zunehmende Bedeutung der IT in Kreditinstituten erhöht gleichzeitig damit verbundene operationelle Risiken.³

Da durch verstärkten Wettbewerbsdruck auch die Kreditinstitute gezwungen sind, schneller mit neuen Produkten an den Markt zu gehen, wird im Bereich von Finanzinnovationen – zeit- und kostenbedingt – verstärkt auf professionelle Softwareentwicklung zugunsten individueller Softwarelösungen verzichtet. Diese individuelle Datenverarbeitung (IDV) kann Schwächen der professionellen Variante ausgleichen und stellt eine wichtige Komponente für die Befriedigung individueller Informationsbedürfnisse dar.⁴ Stetig komplexer werdende Finanzstrukturen, zunehmende Volumina derivativer⁵ Finanzprodukte und die durch internationale Vernetzung der Finanzmärkte ansteigende Schwankung der Marktparameter (Volatilität) erfordern einen verantwortungsvollen und bewussten Risikoumgang.⁶ Da gerade in diesen Bereichen dem Einsatz von IDV eine besondere Bedeutung zukommt, sind die hieraus entstehenden operationellen Risiken speziell vor dem Hintergrund der Eigenkapitalanforderungen aus Basel II zu analysieren. Auch IT-Risiken müssen ab Inkrafttreten der Verordnungen des BASEL COMMITTEE OF BANKING SUPERVISION Ende des Jahres 2006 mit Eigenkapital unterlegt werden. Dies führt dazu, dass der Einsatz eines diesbezüglich gut funktionierenden Risikomanagements einen direkten Wettbewerbsvorteil darstellt.⁷

Während die Aufmerksamkeit bereits auf die professionelle Softwareentwicklung gerichtet ist, die einen Teil der IT-Risiken darstellt, steht die Betrachtung der Risiken aus IDV gänzlich am Anfang und ist bisher literarisch nicht behandelt worden. Die Analyse dieser sensiblen Unternehmensdaten stellt demnach eine hohe Herausforderung vor aktuellem Hintergrund dar und verbindet sowohl technische als auch fachliche Aspekte. Risiken managen heißt auch gleichzeitig Chancen managen.⁸ Die Untersuchung positiver Effekte der IDV gegenüber professioneller Datenverarbeitung erfolgt in dieser Arbeit sekundär, sollte aber in weitere Überlegungen einbezogen werden.

1.2 Ziel und Struktur der Arbeit

Ziel der vorliegenden Arbeit ist es, einen Vorstoß in die komplexe und aktuelle Thematik der operationellen Risiken aus dem Einsatz von IDV zu wagen und durch Aufzeigen potentieller Gefahren das Risikobewusstsein der Mitarbeiter in den Fachbereichen, den EDV-Bereichen, der Revision und den Führungsebenen zu schaffen, um das aktive Managen dieser Risikoart zu ermöglichen. Es wird nicht der Anspruch auf eine allgemeingültige Bewertung und Eliminierung der operationellen Risiken aus dem Einsatz von IDV erhoben, die direkt in bereits vorhandene Überlegungen vor dem Hintergrund von Basel II übernommen werden können. Vielmehr sollen Wege zur Identifikation und Bewertung von IDV und abhängigen Risiken in Kreditinstituten eröffnet werden, die eine Grundlage für weitere hierauf ausgerichtete Untersuchungen und Maßnahmen darstellen.
Hierzu werden in Abschnitt 2 der Arbeit die Themenbereiche der operationellen Risiken, deren Einordnung in den Risikomanagementprozess und die Ableitung der Begrifflichkeiten für Kreditinstitute behandelt. Es erfolgt zunächst eine differenzierte Betrachtung operationeller Risiken durch die Aufspaltung in Prozess-, Personen- und Systemrisiken sowie in Risiken aus externen Ereignissen, die in einen Gesamtzusammenhang mit Markt- und Kreditrisiken gebracht werden. Anschließend werden mehrere theoretische und praktische Methoden zur Identifikation vorgestellt, die sich anhand ihrer Zielrichtung unterscheiden. Die darauf folgende Darstellung zur Quantifizierung operationeller Risiken beschäftigt sich schwerpunktmäßig mit mathematischen Modellen, die eine Trennung in Verlusthäufigkeit und Verlusthöhe vornehmen, um daraus den Value at Risk (VaR) zu berechnen.

[...]

1 Vgl.: BRÖSEL, G. (2004), S. 186.
2 Vgl.: STICKELMANN, K. (2002), S. 4.
3 Vgl.: BRÖSEL, G. (2004), S. 188.
4 Vgl.: HERKNER, T. (1991), S. 3.
5 Derivate Finanzprodukte sind aus den klassischen Basisinstrumenten des Zins- und Kreditgeschäfts abgeleitete Produkte, wie Futures, Optionen oder Swaps.
6 Vgl.: BIERMANN, B. (2002), S. 104.
7 Vgl.: SCHÄFFTER, M. (2004), http://www.geldinstitute.de/download/DL_00000051.pdf, S. 1.
8 Vgl.: ROMEIKE, F. (2005), S. 17.