Inhaltsverzeichnis
Abstract
Inhaltsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
Abkürzungsverzeichnis
1 Einleitung
2 Basel II - die drei Säulen
2.1 Grundlagen und Historie
2.2 Säule 1: Mindesteigenkapitalanforderungen
2.2.1 Kreditrisiko
2.2.2 Marktrisiko
2.2.3 Operationelles Risiko
2.3 Säule 2: Aufsichtsrechtliches Überprüfungsverfahren
2.4 Säule 3: Marktdisziplin
3 Ansätze zur Bemessung des regulatorischen Eigenkapitals für operationeile Risiken
3.1 Basic-Indicator-Approach
3.1.1 Verfahren
3.1.2 Anforderungen an die Organisation
3.2 Standardised Approach
3.2.1 Verfahren
3.2.2 Anforderungen an die Organisation
3.3 Advanced Measurement Approaches
3.3.1 Verfahren
3.3.1.1 Internal Measurement Approach
3.3.1.2 Loss Distribution Approach
3.3.1.3 Scorecard-Approach
3.3.2 Anforderungen an die Organisation
4 Management operationeller Risiken
4.1 Identifikation
4.1.1 Kollektionsmethoden
4.1.2 Kreativitätsmethoden
4.1.3 Analytische Suchmethoden
4.1.4 Derivative Identifikationsmethoden
4.2 Bewertung
4.2.1 Quantitative Bewertungsmethoden
4.2.2 Qualitative Bewertungsmethoden
4.3 Überwa chung
4.4 Steuerung
4.4.1 Vermeidung
4.4.2 Verminderung
4.4.3 Transfer
4.4.4 Akzeptanz
4.5 Kontrolle
5 Die informationstechnische Umsetzung
5 1 Aufsichtsrechtliche Anforderungen
5.2 Betriebswirtschaftliche Anforderungen
5.3 Abgeleitete Architektur
5.3.1 Dialogkomponente
5.3.2 Modellbank
5.3.3 Methodenbank
5.3.4 Simulationskomponente
5.3.5 Datenbank
5.3.5.1 Ex-post Schadensfalldaten
5.3.5.2 Ex-ante Schadensfalldaten
5.3.5.3 Integration externer Schadensdaten
5.3.5.4 Aufzeichnung von Risikoindikatoren
5.3.5.5 Verwaltung von Risikosteuerungsmaßnahmen
5.3.6 Reportbank
6 Operational Risk Management Systeme
7 Fazit und Ausblick
Literaturverzeichnis Anhang
Abbildungsverzeichnis
Abb. 1 : Aufbau der Arbeit
Abb. 2: Chronologie von Basel
Abb. 3: Management-Zyklus für operationeile Risiken
Abb. 4: Verteilung der Verluste aus operationellen Risiken
Abb. 5: Risikosteuerungsmaßnahmen
Abb. 6: Architektur des Risikomanagement-Informationssystems
Abb. 7: Snowflake Schema historische Schadensfälle
Abb. 8: Snowflake Schema Risikoprognose
Abb. 9: Snowflake Schema externe Daten
Abb. 10: Snowflake Schema Risikoindikator
Abb. 11: Snowflake Schema Risikosteuerungsmaßnahmen
Tabellenverzeichnis
Tabelle 1: Geschäftsbereiche und Geschäftsfelder
Tabelle 2: Attribute zur Schadensfallbeschreibung
Tabelle 3: Risikomanagementsysteme
Tabelle 4: Loss Types A
Tabelle 5: Business Lines B
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abstract
Das bisherige Aufsichtsrecht konzentriert sich bei der Bemessung der Risikosituation einer Bank auf Marktpreis- und Kreditrisiken. Im Zuge der Neuordnung des Bankenaufsichtsrechts durch Basel II finden auch operationeile Risiken Berücksichtigung bei der Beurteilung der Risikolage. Dabei stehen drei Ansätze mit unterschiedlichen Zulassungskriterien zur Verfügung: der Basic-Indicator-Approach, der Standardised Approach und die Advanced Measurement Approaches. Letztere sind bisher nur Vorschläge, da die Bankenaufsicht bei entsprechender Güte der bankinternen Verfahren diese zur Ermittlung des regulatorischen Eigenkapitals zulassen wird.
Eine Möglichkeit, bankintern mit operationeilen Risken umzugehen, ist ein Risikomanagementprozess aus Identifikation, Bewertung, Überwachung, Steuerung und Kontrolle operationeller Risiken. In jeder dieser Phasen stehen derzeit verschiedenste Verfahren in der Diskussion, eine fundierte Beurteilung der Verfahren steht dagegen noch aus.
Aus dem Aufsichtsrecht und den betriebswirtschaftlichen Notwendigkeiten heraus ergeben sich Anforderungen an ein Informationssystem zur Unterstützung des Managements operationeller Risiken. Während das Aufsichtsrecht sich auf Mindeststandards für die Datenqualität und die Güte der verwendeten Verfahren konzentriert, sind die ökonomischen Kriterien eher auf den Funktionsumfang und die Leistungsfähigkeit des Systems ausgelegt. Um beiden Seiten gerecht zu werden, kann ein Managementunterstützungssystem bestehend aus Dialogkomponente, Modellbank, Methodenbank, Datenbank, Reportbank und Simulationskomponente dienen. Als Datenbank wird hier eine Data Warehouse Konzeption herangezogen, um die internen und externen Daten anhand mehrerer Dimensionen auswertbar vorzuhalten und den Einsatz von Data Mining Techniken zu ermöglichen.
Der Markt für Operational Risk Management Systeme bietet ein sehr heterogenes Bild. Es existieren sehr spezialisierte und sehr umfassende Lösungen, mal werden quantitative, mal qualitative Verfahren eingesetzt. Aufgrund mangelnder Erfahrung und fehlender Daten ist eine Beurteilung der einzelnen Systeme auf ihre Nützlichkeit hin derzeit noch nicht möglich. Gerade in diesem Bereich besteht weiterer Forschungsbedarf.
1 Einleitung
Das Kemgeschäft von Banken ist die Übernahme von Risiken gegen die Zahlung einer Risikoprämie[1] In der Vergangenheit wurden primär die Kategorien der Marktpreis- und der Kreditrisiken beachtet. In Zeiten zunehmender Komplexität durch eine sich in immer kürzeren Abständen verändernde Umwelt in technischer und wirtschaftlicher Hinsicht2 rücken derzeit auch die operationeilen Risiken der Banken in den Fokus. Dabei handelt es sich um Risiken, die begründet sind in den Mitarbeitern, Geschäftsprozessen und Systemen einer Bank sowie in externen Ereignissen.
Abbildung in dieser Leseprobe nicht enthalten
Abb. 1: Aufbau der Arbeit
Als Deckungsmasse für die eingegangenen Risiken halten Banken Eigenkapital vor, um im Falle von schlagend gewordenen Risiken diese abdecken zu können. Die hier vorliegenden Arbeit wird sich bei der folgenden Betrachtung auf die operationeilen Risiken konzentrieren. Zur Bemessung der Höhe der Risikodeckungsmasse gibt es, wie in Abb. 1 verdeutlicht, grundsätzlich zwei verschiedene
Herangehensweisen mit zwei zunächst gegensätzlichen Motiven: Einerseits die regulatorische, aufsichtsrechtliche Perspektive, bei der die Sicherheit und Stabilität des Bankensystems im Vordergrund steht, andererseits die ökonomische, betriebswirtschaftliche Sichtweise. Hier wird versucht, mit gegebenem Eigenkapital einen möglichst hohen Ertrag unter Berücksichtigung der Risiken zu erwirtschaften.[3]
Durch Basel II erfahren die beiden Perspektiven, zumindest bei den fortgeschritteneren Bemessungsansätzen, eine zunehmende Konvergenz. Aus der betriebswirtschaftlichen Notwendigkeit und der aufsichtsrechtlichen Intention ergibt sich ein Risikomanagementprozess, der in weiten Teilen durch ein Informationssystem unterstützt werden kann.
Diese Arbeit wird nun zunächst die aufsichtsrechtliche Seite umreißen, indem ein Überblick über Basel II gegeben wird, um dann den Bereich der operationeilen Risiken detaillierter zu beleuchten. Dem wird in einem zweiten Schritt die ökonomische Perspektive gegenübergestellt, in diesem Rahmen wird ein Managementprozess für operationeile Risiken entwickelt.
Aus beiden Sichten lassen sich Anforderungen an ein Informationssystem zu Unterstützung des Risikomanagements ableiten, die in einen Umsetzungsvorschlag münden. Diesem Konzept werden dann abschließend in Abschnitt 6 einige derzeit marktgängige Lösungen gegenübergestellt.
2 Basel II - die drei Säulen
2.1 Grundlagen und Historie
Ziel der internationalen Bankenaufsicht ist die Sicherstellung der Stabilität des internationalen Finanzwesens. Ein Mittel, dies zu erreichen, ist eine adäquate Eigenkapitalausstattung der Finanzinstitute.4
Die Baseler Eigenkapitalübereinkunft von 1988 (Basel I) verlangte ursprünglich nur die Unterlegung von Länder- und Kreditrisiken mit Eigenkapital, wurde aber 1996 mit dem Marktrisikopapier um die Unterlegung von Marktrisiken erweitert. In Deutschland wurde das Marktrisikopapier im Rahmen der Neufassung des Grundsatzes 1 zum 1. Oktober 1998 in deutsches Recht übernommen.[5] Erstmals wurden so interne Marktrisikomodelle zur Ermittlung des Mindesteigenkapitals zugelassen, ein Novum, da erstmalig die aufsichtsrechtliche Behandlung einer Risikoposition der ökonomischen Betrachtungsweise folgte.
Zur Ermittlung des regulatorisch notwendigen Eigenkapitals zur Unterlegung von Kredit- und Länderrisiken finden jedoch undifferenzierte Gewichtungs- und Anrechnungssätze Anwendung. Diese entsprechen regelmäßig nicht dem tatsächlichen Risikogehalt der von den Banken gehaltenen Positionen, hier fallen die aufsichtsrechtliche und die ökonomische Sichtweise weit auseinander. Es werden keine Anreize zur Entwicklung und Anwendung leistungsfähiger Risikosteuerungsmethoden geschaffen, im Gegenteil: Kreditinstituten wird ein Anreiz gegeben über Arbitragetechniken die ursprünglichen Absichten der Bankenaufsicht zu konterkarieren[6].
Basel II soll einen Meilenstein auf dem Weg zu einem verstärkt marktkonformen Aufsichtskonzept darstellen, indem die einzelnen Risikoarten umfassend und differenziert behandelt werden und bei der Ermittlung des Mindesteigenkapitals verstärkt auf interne Verfahren der Kreditinstitute abgestellt wird.[7] Da in Zukunft auch das Aufsichtsrecht eine dem Risikogehalt der Positionen angemessene Eigenkapitalausstattung verlangen wird, wird das Mindesteigenkapital aus aufsichtsrechtlicher Sicht näher an das Eigenkapital aus ökonomischer Sicht heranrücken, ohne dass dabei die derzeitigen Eigenkapitalanforderungen insgesamt signifikant erhöht oder vermindert werden sollen. Da das Aufsichtsrecht durch Basel II um die Säulen „Aufsichtsrechtliches Überprüfungsverfahren“ und „Marktdisziplin“ erweitert wird, wird es zur Entwicklung einer Risiko- und Kontrollkultur sowie zur Verbesserung des Risikomanagements in Banken kommen8.
Basel II folgt einem evolutionären Ansatz und wird im Laufe der Zeit mit methodologischem Fortschritt weitere Anpassungen erfahren.
Abbildung in dieser Leseprobe nicht enthalten
Abb. 2: Chronologie von Basel II
Abb. 2 zeigt die Chronologie von Basel II. Wie oben bereits erläutert, wurde Mitte 1988 die erste Baseler Eigenkapitalvereinbarung veröffentlicht. Diese trat Ende 1992 in Kraft. Im Januar 1996 wurden die bestehenden Regelungen ergänzt um das Marktrisikopapier. Im Juni 1999 veröffentlichte der Baseler Ausschuss das erste Konsultationspapier zur Neufassung der bestehenden Eigenkapitalvereinbarung, im Januar 2001 und im März 2003 schlossen sich daran das zweite beziehungsweise das dritte Konsultationspapier an. Nach der umfangreichen Konsultationsphase soll im Herbst 2003 die endgültige Fassung von Basel II veröffentlicht werden, die Ende 2006 in Kraft treten wird.9
2.2 Säule 1: Mindesteigenkapitalanforderungen
Basel II verlangt von Banken, dass sie für eingegangene Risiken Eigenkapital Vorhalten. Wie schon in Abschnitt 2.1 dargestellt, werden derzeit nur Markt- und
Kreditrisiken mit Eigenkapital unterlegt. Neu ist die explizite Unterlegung von operationellen Risiken mit Eigenkapital.[10]
2.2.1 Kreditrisiko
Das Kreditrisiko setzt sich aus dem Ausfall- und dem Bonitätsrisiko zusammen.
Ausfallrisiko bezieht sich auf die Gefahr, dass ein Kreditnehmer die gegen ihn bestehende Forderung nicht bedienen kann, Bonitätsrisiko stellt ab auf mögliche Wanderungsbewegungen innerhalb der Solvenzklassen, einhergehend mit einer Wertänderung der Forderung.11 Zur Bemessung der Eigenkapitalunterlegung für Kreditrisiken stehen im Rahmen von Basel II drei Wege zur Verfügung: der Standardansatz sowie zwei auf internen Verfahren basierende Ansätze.[12]
Der Standardansatz basiert auf externen Ratings, wonach in Abhängigkeit vom externen Ratingscore das Risikogewicht des Kreditnehmers bemessen wird. Kreditnehmer mit einem schlechten Rating erhalten ein höheres Risikogewicht als Kreditnehmer mit einem guten Rating. Unter Berücksichtigung risikomindemder Maßnahmen wie Kreditderivaten, Garantien, anerkennungsfähigen Sicherheiten und Nettingvereinbarungen wird dann der notwendige Eigenkapitalbetrag ermittelt.
Beide IRB-Ansätze (Internal Ratings-Based) basieren, wie schon die Bezeichnung andeutet, auf den im europäischen Raum üblicheren internen Ratingverfahren der Banken. Um die internen Verfahren anwenden zu dürfen, müssen die Verfahren Anforderungen aus Säule 2 und 3 genügen. Dazu gehört die Integrität und Glaubwürdigkeit des Ratingprozesses, -systems und der geschätzten Eingangsparameter. Die Einhaltung der Anforderungen soll über die aufsichtsrechtliche Überprüfung sowie Offenlegungsverpflichtungen sichergestellt werden.
Der Baseler Ausschuss will über tendenziell geringere Eigenkapitalanforderungen bei Verwendung interner Verfahren Anreize schaffen, diese zu nutzen.
2.2.2 Marktrisiko
Marktrisiken sind die Risiken des Handelsbuches, also die Risiken aus Positionen in Finanzinstrumenten und Waren, die zu Handelszwecken oder zur Absicherung anderer Handelspositionen gehalten werden. Grundlage für ihre aufsichtsrechtliche Behandlung bildet das Marktrisikopapier von 1996.[13] Zur Einordnung von Positionen in das Bank- oder das Handelsbuch existieren detaillierte Vorschriften.
Das Marktrisiko wird unterteilt in das Zinsänderungsrisiko und das Aktienkursrisiko. Zinsänderungsrisiko ist die negative Abweichung des Wertes einer Zahlungsreihe aus einem zinstragenden Geschäft von dem erwarteten Wert, Aktienkursrisiko dagegen meint die negative Abweichung der Kurswertentwicklung eines Aktienportfolios vom erwarteten Kurswert.[14]
Auch an dieser Stelle existieren unterschiedliche Verfahren zur Ermittlung des Risikos einer Position und damit der Mindesteigenkapitalanforderungen.[15] Man unterscheidet zwischen dem systematischen Risiko und dem spezifischen Risiko einer Position. Das systematische Risiko resultiert aus Bewegungen des Gesamtmarktes, das spezifische Risiko resultiert aus der Bonität des Emittenten; Ermittlung des spezifischen Risikos sind die Risikogewichte des Bankbuches16 zu bei der übernehmen.
Nach dem Standardansatz werden die Positionen zur Ermittlung des systematischen Risikos zunächst bewertet und dann über Risikogewichte in Eigenkapitalanforderungen überführt. Die Positionsbewertung sollte vorsichtig sein und kann entweder zu Marktpreisen (Mark-to-Market) oder, wenn kein Marktpreis verfügbar ist, zu Modellpreisen (Mark-to-Model) erfolgen[17].
Die internen Verfahren sind weitaus risikosensitiver als der Standardansatz, dürfen aber nur nach Genehmigung der Aufsichtsbehörden angewandt werden, um die Eigenkapitalanforderungen zu bestimmen. Weite Anerkennung findet der
Value-at-Risk (VaR), der angibt, welcher Verlust mit einer bestimmten Wahrscheinlichkeit innerhalb einer bestimmten Frist nicht überschritten wird, wenn die Preis- oder Kursbewegungen der Vergangenheit auch für die Zukunft zu erwarten sind. Der VaR kann als einheitliches Risikomaß über alle Risikoarten und Geschäftsfelder dienen[18], im Bereich des Zinsrisikos sind aber auch noch andere Verfahren wie Zinsbindungsbilanz, Elastizitätskonzept, Durationskonzept oder auch das Barwertkonzept zu nennen[19]. Da die Kapitalanforderungen bei Anwendung interner Verfahren niedriger sein werden als bei Verwendung des Standardansatzes, werden auch hier Institute mit fortgeschrittenen internen Verfahren belohnt, allerdings werden durch die Aufsicht umfangreiche qualitative Anforderungen an die verwendeten Verfahren gestellt.[20]
2.2.3 Operationelles Risiko
Unter operationellem Risiko versteht man
„the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk.21
Diese ursachenbezogene Definition stützt sich auf vier bestimmende Faktoren:
- Interne Verfahren: fehlerhaft gestaltete Geschäftsprozesse,
- Menschen: Irrtum, Fahrlässigkeit oder Betrug von Mitarbeitern,
- Systeme: mangelhafte Zugriffssicherheit, Ausfall,
- Externe Ereignisse: Naturkatastrophen, Terroranschläge, politische militärische Ereignisse oder 22
Operationelle Risiken wurden bisher nicht explizit bei der Ermittlung des Mindesteigenkapitals berücksichtigt, sondern implizit über höhere Eigenkapitalanforderungen für Markt- und Kreditrisiken mit abgedeckt. Durch die zunehmende Güte der Verfahren zur Messung von Markt- und Kreditrisiken und damit einhergehender potentieller Minderung der Eigenkapitalanforderungen sah der Baseler Ausschuss die Notwendigkeit, die operationeilen Risiken als eigenständige Risikokategorie zu behandeln.
Obwohl operationeile Risiken in den letzten Jahren verstärkte Aufmerksamkeit erfahren haben23, befinden sich die Verfahren zur Messung noch in einem relativ frühen Entwicklungsstadium. Im Rahmen von Basel II werden derzeit drei Ansätze diskutiert: der Standardansatz, der Basis Indikator-Ansatz und die fortgeschrittenen Bemessungsansätze. Wie schon bei der Messung von Kredit- und Marktrisiko stehen den Kreditinstituten also verschieden anspruchsvolle Verfahren zur Verfügung; es gilt auch hier: je anspruchsvoller das Verfahren, desto höher die Anforderungen, die Kreditinstitute vor der Zulassung zur Anwendung erfüllen müssen.24
In Abschnitt 3 werden die Ansätze zur Bemessung des Mindesteigenkapitals für operationeile Risiken detailliert erläutert.
2.3 Säule 2: Aufsichtsrechtliches Überprüfungsverfahren
Die zweite Säule stellt die zentrale Ergänzung der beiden anderen Säulen dar und ist gegliedert in die zentralen Grundsätze des Überprüfungsverfahrens, die Einhaltung der Mindeststandards und weitere Aspekte.25 Während sich die erste Säule eher quantitativ orientiert zeigt, ist die zweite Säule eher qualitativ orientiert und will den Dialog zwischen den Instituten und den Aufsehern fördern.
Nach den zentralen Grundsätzen des Überprüfungsverfahrens müssen Banken über ein Verfahren zur Messung der Kapitaladäquanz verfügen, welches durch die Aufsicht überprüft wird. Die Aufsicht erwartet, dass die Banken mehr Eigenkapital Vorhalten, als mindestens notwendig ist und wird frühzeitig intervenieren, sollten sich Unterschreitungen der Mindesteigenkapitalanforderungen abzeichnen. Mögliche Interventionen sind beispielsweise die intensivere Überwachung der Bank, die Einschränkung der Dividendenzahlungen, die Aufforderung zur Vor- läge und Umsetzung eines Plans zur Wiederherstellung des geforderten Mindesteigenkapitals oder auch die Aufforderung zur sofortigen Bereitstellung zusätzlichen Mindesteigenkapitals.26
Die Aufsicht prüft die Einhaltung der Mindesteigenkapitalanforderungen, der Offenlegungsverpflichtungen aus der dritten Säule und der Risikomanagementstandards.
Im Rahmen der weiteren Aspekte wird die Berücksichtigung von Zinsänderungsrisiken im gesamten Bestand unter Berücksichtung impliziter Optionen angesprochen. Implizite Optionen sind in diesem Zusammenhang beispielsweise Sondertilgungsoptionen oder auch Sonderkündigungsrechte.
In Deutschland übernimmt die Bundesbank die laufende Aufsicht über die Kreditinstitute, während die Bundesanstalt für Finanzdienstleistungsaufsicht für aufsichtsrechtliche Maßnahmen zuständig ist, gestützt auf die Feststellungen der Bundesbank.27
2.4 Säule 3: Marktdisziplin
Durch Marktdisziplin, die dritte Säule der neuen Eigenkapitalvereinbarung, sollen die Marktakteure über Sanktionen des Marktes zu risikobewusstem Verhalten angehalten werden, in der Form, dass schlechter geführte Kreditinstitute vom Markt mit einer erhöhten Risikoprämie bestraft, besser geführte Institute mit einer verminderten Risikoprämie belohnt werden.28 Über die Offenlegung von internen Risikodaten soll Marktteilnehmern die Möglichkeit gegeben werden, sich ein differenziertes Bild über die Risikostruktur der Institute zu verschaffen. Schlüsselgebiete der Offenlegung sind die Ei genkapital Struktur, die Risikobeurteilungs- und Managementverfahren, die Risikopositionen und die Risikobewertung.
Veröffentlicht werden qualitative und quantitative Informationen, dabei sind die zu verwendenden Tabellen und Formblätter detailliert vorgegeben. Die veröffent- lichten Informationen sollen relevant, umfassend, verlässlich, zeitnah, vergleichbar und wesentlich sein.
Für operationeile Risiken wird das für ebendiese vorgehaltene Eigenkapital selbst je Geschäftsfeld veröffentlicht. In qualitativer Hinsicht ist das verwendete Verfahren, sofern ein fortgeschrittenes Verfahren verwendet wird, zu veröffentlichen. Das Verfahren kann als Indikator für die Qualität des Risikomanagements dienen, da an die Anwendung fortgeschrittener Verfahren umfangreiche und einheitliche Anforderungen gestellt werden.29
3 Ansätze zur Bemessung des regulatorischen Eigenkapitals für operationeile Risiken
Nachdem die vorangehenden Abschnitte einen kurzen Überblick über Basel II in der Gesamtheit gegeben haben, konzentrieren sich die nun folgenden Abschnitte auf den Teilbereich der operationeilen Risiken.
Zur Ermittlung des Mindesteigenkapitals stehen verschiedene Verfahren mit sehr unterschiedlicher Messgenauigkeit zu Verfügung. Grundsätzlich gilt, dass mit zunehmender Güte des angewandten Verfahrens die Eigenkapitalanforderungen sinken, da der Baseler Ausschuss Anreize zur Anwendung besserer Verfahren setzen möchte. Da aber mit sinkender Eigenkapitalanforderung das Risikomanagement als Ganzes kritischer für den Fortbestand des Unternehmens wird, steigen die Anforderungen an die Organisation zu Anwendung fortgeschrittener Verfahren.30
Welcher Ansatz letztlich gewählt wird, ist bei vielen Instituten jedoch noch unklar, da sich bei Proberechnungen bisher keine signifikante Kapitaleinsparung ergeben hatsomit also die Anreize in der beabsichtigten Form nicht existieren.31
Die Anforderungen an die Organisation sind im Folgenden jeweils sehr detailliert gehalten, da sich daraus Anforderungen an ein Informationssystem ableiten lassen.
3.1 Basic-Indicator-Approach
3.1.1 Verfahren
Der Basic-Indicator-Approach (BIA) stellt den einfachsten Ansatz zur Bemessung des zur Deckung der operationellen Risiken (OR) notwendigen Eigenkapitals dar. Er nutzt als Risikoindikator den Bruttoertrag[32] der Banken.[33] Das notwendige Eigenkapital wird nach der folgenden Formel berechnet:
E = a* Bruttoertrag
Der Faktor α wird durch die Aufsichtsbehörden vorgegeben und so kalibriert, dass im Mittel 12% des Eigenkapitals zur Deckung des operationeilen Risikos vorgehalten werden.
Dieses Verfahren ist sehr pauschal, es existieren keine empirischen Belege für einen Zusammenhang zwischen dem Bruttorertrag einer Bank und den Verlusten aus operationeilen Risiken. Die Bestrafung zusätzlich erwirtschafteten Ertrags steht im Widerspruch zu den geschäftspolitischen Zielen eines Kreditinstituts.[34]
3.1.2 Anforderungen an die Organisation
Der Ausschuss stellt grundsätzlich keine besonderen Anforderungen zur Anwendung dieses Ansatzes. Jedoch sind die Banken trotzdem aufgefordert, sich an den Sound Practices for the Management and Supervision of Operational Risk zu orientieren. Diese werden im Abschnitt 3.2.2 detailliert beschrieben.
Obwohl die Banken grundsätzlich frei in der Wahl des Ansatzes sind, wird von international tätigen Banken und solchen mit erheblichen operationeilen Risiken erwartet, dass sie einen der im Folgenden beschriebenen fortgeschritteneren Ansätze wählen.
3.2 Standardised Approach
3.2.1 Verfahren
Im Standardised Approach (SA) werden die Tätigkeiten der Banken in acht Geschäftsfelder gegliedert.[35] Die Gliederung ist für alle Institute identisch. Jedem Geschäftsfeld ist ein Risikoindikator zugewiesen, der, multipliziert mit dem ß-Faktor des Geschäftsfeldes, die Eigenkapitalanforderung für operationeile Risiken des Geschäftsfeldes ergibt (vgl. Tabelle 1).
Tabelle 1: Geschäftsbereiche und Geschäftsfelder 36
Abbildung in dieser Leseprobe nicht enthalten
Die gesamte Eigenkapitalunterlegung (E) berechnet sich als Summe der mit den ß-Faktoren multiplizierten Indikatoren:
E=^ßi* Indikator
1= 1
Die ß-Faktoren werden durch die Aufsichtsbehörden vorgegeben und, wie oben bereits angesprochen, so kalibriert, dass sich ein Anreiz zur Verwendung des SA anstelle des BIA ergibt.
An dieser Stelle gilt die gleiche Kritik wie am BIA. Es besteht auch auf Ebene der Geschäftsfelder kein unmittelbarer Zusammenhang zwischen dem Bruttoertrag und den Verlusten aus operationeilen Risiken.[37] Da die Höhe des ökonomischen Eigenkapitals für operationeile Risiken in der Vergangenheit über verschiedene Banken sehr stark streute, ist ein Auseinanderfallen des ökonomischen Kapitals und des regulatorischen Kapitals zu erwarten.[38]
3.2.2 Anforderungen an die Organisation
Um den Standardised Approach nutzen zu dürfen, müssen die Banken umfangreiche Voraussetzungen erfüllen. Zunächst müssen die Sound Practices for the Management and Supervision of Operational Risk im Unternehmen Anwendung finden.[39]
Demnach ist eine angemessene Risikosteuerungsumwelt aufzubauen:
Das Board of Directors[40] sollte sich der Bedeutung operationeller Risiken bewusst sein und diese als eigenständige Risikokategorie anerkennen, die der Steuerung und Kontrolle bedarf. Das Board of Directors hat das Rahmenwerk zur Steuerung und Kontrolle des operationeilen Risikos abzunehmen und einer regelmäßigen
Überprüfung zu unterziehen. Als Mindestinhalt des Rahmenwerkes fordert das Baseler Komitee eine eindeutige Definition des operationeilen Risikos sowie Prinzipien zur Identifikation, Erhebung, Überwachung, Kontrolle und Minderung von operationeilen Risiken.
Die interne Revision muss das Risikomanagement der Bank regelmäßig einer Prüfung unterziehen. Dies setzt voraus, dass die Mitarbeiter der Revision über die entsprechende Qualifikation verfügen und unabhängig operieren können. Das Board of Directors ist für die regelmäßige Durchführung verantwortlich. Die interne Revision darf nicht direkt für das OR-Management verantwortlich sein.
Die Verantwortung für die operative Durchführung des Managements operationeller Risiken liegt auf der Ebene des Senior Managements, in diesem Sinne wird das Senior Management die Richtlinien, Prozesse und Prozeduren des OR-Managements verantwortlich entwickeln und koordinieren. Dies gilt für alle Aktivitäten, Produkte, Prozesse und Systeme des Instituts. Das Rahmenwerk sollte in der gesamten Organisation Akzeptanz finden, alle Ebenen des Unternehmens sollten ihre Verantwortung im Rahmen des OR-Managements erkennen.
Weiterhin verlangen die Sound Practices im Rahmen des Risikomanagements:
Kreditinstitute haben das operationeile Risiko aller Produkte, Prozesse und Systeme zu identifizieren und zu erheben. Bevor neue Produkte, Aktivitäten, Prozesse oder Systeme eingeführt beziehungsweise unternommen werden, sollten sie auf ihre operationeilen Risiken hin untersucht werden.
Ein Prozess zur Überwachung des Risikoprofils und zur Ermittlung des materiellen Verlustpotentials ist zu implementieren, wie auch regelmäßige Risikoberichte an das Board of Directors und das Senior Management.
Banken sollten Richtlinien, Prozesse und Prozeduren haben um die materiellen operationeilen Risiken zu mindern und abzusichern. Die Möglichkeiten alternativer Risikolimitierung und Kontrolle sind von den Kreditinstituten auf ihre Anwendbarkeit hin zu überprüfen, um das Risikoprofil an die individuelle Risikofreude des Instituts anzupassen.
Kreditinstitute sollten Absicherungen und Notfallpläne bereithalten um auch im Falle extremer Verlustfälle den Betrieb aufrechterhalten zu können.
Zusätzlich ist es im Rahmen der 3. Säule (Veröffentlichungspflichten) des Baseler Akkords notwendig, anderen Marktteilnehmern die Möglichkeit zu geben, das Management operationeller Risiken zu bewerten.
Neben den Sound Practices gilt es auch, die explizit als Voraussetzung für die Anwendung des Standardised Approach genannten Anforderungen zu erfüllen, wobei gewisse Überschneidungen zu verzeichnen sind:
- Aufbau eines unabhängigen Management- und Kontrollverfahrens für operationeile Risiken (Planung, Umsetzung und Kontrolle von Messmethoden für operationeiles Risiko). - Die interne Revision muss die Verfahren regelmäßig überprüfen. - Geeignete Risikomeldesysteme mit der Fähigkeit, adäquate Berichte für die Geschäftsleitung zu erstellen, sind zu implementieren. - Die relevanten Daten sind systematisch nach Geschäftsfeldern zu erfassen. - Entwicklung von Kriterien zur Einordnung der bestehenden Geschäftsfelder in die vorgegebene Geschäftsfeldsystematik des Ausschusses.[41]
Schließlich ist zu bemerken, dass bei Anwendung des Standardised Approach zwar die internen Daten noch nicht zur Bemessung des notwendigen Eigenkapitals herangezogen werden, jedoch durch den geforderten Aufbau eines adäquaten Risikomanagementsystems der Grundstein für eine spätere Nutzung der in den nächsten Abschnitten erläuterten Advanced Measurement Approaches gelegt wird.
3.3 Advanced Measurement Approaches
Im Rahmen der Advanced Measurement Approaches (AMA) sind derzeit verschiedene Methoden in der Diskussion. Im Folgenden werden zunächst die drei im Working Paper on the Regulatory Treatment of Operational Risk aus September 2001 erläuterten Ansätze kurz exemplarisch vorgestellt und im Anschluss die generellen Anforderungen an Banken, die diese Ansätze nutzen wollen, dargestellt.
Vorweg ist zu bemerken, dass bewusst noch keine detaillierten Vorschriften bezüglich der Verfahren vorliegen, da sich die hier vorgestellten Ansätze noch in der Phase der Entwicklung beziehungsweise Erprobung befinden. Statt einer detaillierten Vorgabe liegt der Schwerpunkt auf der Bereitstellung einer funktionierenden Risikomanagementinfrastruktur, während die Bemessungsverfahren einer kontinuierlichen Weiterentwicklung unterliegen. Abschnitt 4 wird einen detaillierteren und umfassenderen Ausblick über die verschiedenen derzeit in der Literatur diskutierten Ansätze geben.
Erklärtes Ziel des Ausschusses ist der Aufbau einer industrieweiten Verlustdatenbank, um langfristig genauere Aussagen über das Ausmaß operationeller Risiken auf der Basis historischer Verlustdaten treffen zu können.
3.3.1 Verfahren
3.3.1.1 Internal Measurement Approach
Der Internal Measurement Approach (IMA) basiert auf der im Rahmen des Standardised Approach eingeführten Gliederung der Geschäftstätigkeiten der Banken.[42] Zusätzlich werden Risikotypen definiert und auf alle Geschäftsfelder angewandt. Für jede Kombination aus Geschäftsfeld und Risikotyp wird durch die Aufsichtsbehörde ein Risikoindikator (Exposure Indicator, EI) festgelegt als Näherungswert für die Gefährdungshöhe des Geschäftsfeldes durch die Risikotypen.
Anhand ihrer internen Verlustdaten werden die Banken daraufhin weitere Parameter zur Berechnung des zur Deckung der operationeilen Risiken notwendigen Eigenkapitals schätzen:
- Wahrscheinlichkeit des Schadensfalles (Probability of Loss Event, PE) - Verlust im Schadensfall (Loss Given that Event, LGE)
Mit diesen Parametern wird der erwartete Verlust (Expected Loss, EL) (je Geschäftsfeld/Risikotyp-Kombination) nach der folgenden Formel berechnet:
EL=EI * PE * LGE
Mit Hilfe des durch die Aufsichtsbehörde festgelegten γ-Faktors wird aus dem erwarteten Verlust je Geschäftsfeld die notwendige Eigenkapitaldeckung berechnet, der konstante Faktor impliziert einen linearen Zusammenhang zwischen erwarteten und unerwarteten Verlusten:[43]
Ε=γ * EL
Durch Addition der notwendigen Ei genkapital deckung über alle Geschäftsfeld/Risikotyp-Kombinationen ergibt sich daraufhin die Gesamteigenkapitalanforderung.
Zur Validierung der Daten wird der Aufsichtsbehörde nicht nur der erwartete Verlust mitgeteilt, sondern auch die weiteren Parameter im Einzelnen.
3.3.1.2 Loss Distribution Approach
Im Rahmen des Loss Distribution Approach schätzen die Banken für jede Kombination aus Geschäftsfeld und Risikotyp eine Wahrscheinlichkeitsverteilung für die Stärke von Verlustfällen und deren Eintrittsfrequenz für das nächste Jahr. Mit Hilfe dieser Daten wird dann die Wahrscheinlichkeitsverteilung des kumulierten operationeilen Verlustes berechnet. Die Kapitalanforderung ergibt sich aus der einfachen Summe des operationeilen VaR jeder Kombination aus Geschäftsfeld und Risikotyp, wobei eventuelle Korrelationen zwischen den Zellen der Matrixaus Geschäftsfeld und Risikotyp unberucksichtigt bleiben44
Liegen genügend historische Daten vor, so können die unerwarteten Verluste sofort aus den historischen Verlustfällen bestimmt werden, in dem man Verteilungsannahmen über das Ausmaß und die Eintrittswahrscheinlichkeiten von Verlusten trifft.[45]
3.3.1.3 Scorecard-Approach
Während sich die beiden oben beschriebenen Ansätze in erster Linie auf historische Daten stützen, werden beim Scorecard-Approach auch zukünftige Entwick lungen und qualitative Faktoren mit berücksichtigt, da die Linienmanager anhand von Checklisten (Scorecards) die Risiken ihrer Geschäftsfelder einschätzen. Zunächst wird ein als adäquat erachtetes Kapitalniveau ermittelt, welches dann auf Basis der geschätzten Scorewerte adjustiert wird. Die Scorecards basieren auf bestimmten Risikokennzahlen und Indikatoren, die für die Beurteilung möglicher Verluste in den Geschäftsfeldern von Bedeutung sind. Dabei folgen die Scorecards keineswegs festgelegten Regeln sondern können flexibel an die Bedürfnisse des jeweiligen Instituts angepasst werden.[46]
Die so gewonnenen Werte werden sodann in die notwendige Ei genkapital deckung umgerechnet.
3.3.2 Anforderungen an die Organisation
Bevor einer der AMA verwendet werden darf, sind umfangreiche qualitative und quantitative Anforderungen zu erfüllen.[47] Zunächst ist eine unabhängige Risikomanagementfunktion zu schaffen, die mit dem operativen Management operationeller Risiken beauftragt wird. Die Informationen aus dem Risikomanagement sind in das Tagesgeschäft zu integrieren, indem sie integraler Bestandteil des Berichtswesens werden und Verfahren zu Kapitalallokation an die Risikoinformationen geknüpft werden. Es sind Anreize zu schaffen, damit das Management operationeller Risiken einer ständigen Verbesserung unterliegt. Die Institute sollten Steuerungsverfahren entwickeln, um das Risikoprofil ihrer Tragfähigkeit und dem Risikoappetit anpassen zu können. Insgesamt ist das Risikomanagement detailliert zu dokumentieren, um eine gute Nachvollziehbarkeit gewährleisten zu können. Interne und externe Prüfer werden das Management operationeller Risiken regelmäßigen Überprüfungen unterziehen. Spezielles Augenmerk gilt dabei den Validierungsverfahren und der Transparenz der Prozesse und Datenflüsse.
Die quantitativen Kriterien geben einen Maßstab für die Güte der verwendeten Verfahren. Die Verfahren sind so zu konzipieren, dass auch die sehr unwahrscheinlichen, aber durch die Schwere der Verluste existenzgefährdenden Verlustereignisse mit abgedeckt werden. Dazu muss plausibel gemacht werden, dass die Verfahren ein Konfidenzniveau von 99,9% bei einer einjährigen Periode erreichen. Zur Bemessung der Eigenkapitalanforderung wird regelmäßig die Summe aus erwarteten Verlusten und unerwarteten Verlusten herangezogen. Korrelationen zwischen einzelnen Risikoarten oder Geschäftsfeldern werden in der Regel nicht berücksichtigt, das Gesamtrisiko ergibt sich mithin aus der Summe der Einzelrisiken; dies impliziert eine vollständige Korrelation der Einzelrisiken. Zur Bestimmung des Ausmaßes operationeller Risiken werden interne Daten, externe Daten, Szenario-Analysen sowie Verfahren zur Berücksichtigung des Internen Kontrollsystems und des Geschäftsumfeldes genutzt. Die internen Daten sollten gemäß detaillierter Richtlinien erfasst werden und sich auf die vom Ausschuss geforderten Business Line und Loss Type Kombinationen überführen lassen. Eine Datenhistorie von zunächst drei Jahren und später fünf Jahren ist Vorgabe des Baseler Ausschusses. Externe Daten werden genutzt, um Vorfälle mit geringer Wahrscheinlichkeit und großer Auswirkung, die im betrachteten Institut bisher nicht aufgetreten sind mit in die Analyse einzubeziehen. Um die Daten nutzen zu können, ist ein systematischer Prozess der Datenübernahme und Skalierung zu entwickeln. Szenario-Analysen sollen in Verbindung mit externen Daten in etwa den gleichen Zweck erfüllen, jedoch zusätzlich noch in der Organisation verfügbares Expertenwissen nutzen. Die Einbeziehung von Analysen des Kontroll- und Geschäftsumfeldes ermöglicht eine zukunftsorientierte Perspektive.
Sofern das Verfahren zum Management operationeller Risiken diese Anforderungen zur Zufriedenheit der nationalen Bankenaufsicht erfüllt und diese somit eine Zulassung erteilen, sind neben den oben erläuterten drei AMA auch Verfahren des folgenden Abschnitts verwendbar.
4 Management operationeller Risiken
Nachdem in den voranstehenden Abschnitten die aufsichtsrechtliche Behandlung von operationeilen Risiken dargestellt wurde, wird im Folgenden die rein betriebswirtschaftliche Sicht dargestellt. Während im Aufsichtsrecht die Stabilität des Bankensystems im Vordergrund steht, ist es an dieser Stelle die ertragsopti male Allokation der knappen Ressource Eigenkapital unter Berücksichtigung des dabei eingegangenen Risikos.[48] Dabei wurde in der Vergangenheit primär auf Kredit- und Marktpreisrisiken geachtet, wohingegen die operationeilen Risiken aufgrund von Quantifizierungsproblemen vielfach außen vor blieben. Da operationeilen Risiken signifikantes Schadenspotential innewohnt, kann es hierdurch zu einer suboptimalen Kapitalallokation kommen.[49] Eine Lösung dieses Problems kann das Management von operationeilen Risiken sein. Darunter wird hier die systematische und zielgerichtete Identifikation, Bewertung, Überwachung, Steuerung und Kontrolle von operationeilen Risiken verstanden.[50] Grafisch wird der Zyklus durch Abb. 3 deutlich gemacht.
Abbildung in dieser Leseprobe nicht enthalten
Abb. 3: Management-Zyklus für operation eile Risiken[51]
Zunächst werden die Risiken identifiziert, also die internen Verfahren, Menschen und Systeme sowie die Unternehmensumwelt auf Risiken hin untersucht. Dies ist Voraussetzung für die Bewertung der Risiken, hier wird die mögliche Schadens höhe und gegebenenfalls die Wahrscheinlichkeit quantifiziert. Die Bewertung muss nicht in jedem Fall über monetäre Größen erfolgen, sondern kann auch durch abstrakte Scorewerte vorgenommen werden. Die identifizierten und bewerteten Risiken sind möglichst kontinuierlich zu überwachen, um kurzfristig auf Änderungen reagieren zu können. Mögliche Handlungsoptionen zur Risikosteuerung sind Vermeidung, Verminderung, Transfer oder auch die Akzeptanz von operationeilen Risiken. Der Risikomanagementprozess und die dabei verwendeten Verfahren sind ständig zu kontrollieren, das heißt auf ihre Zuverlässigkeit hin zu untersuchen.52
Neben der Funktion als Grundvoraussetzung für eine effiziente Kapitalallokation kann das Management operationeller Risiken erhebliche zusätzliche ökonomische Vorteile bieten: So kann die Effizienz von Geschäftsprozessen gesteigert, der Kundenservice erhöht und Verlustfälle vermindert werden.53
Grundsätzlich ist das Management operationeller Risiken in die Gesamtbanksteuerung zu integrieren54 und einzubetten in die Risikostrategie und -politik der Institute. Für ein effektives und effizientes Risikomanagement ist eine funktionierende Risikomanagementorganisation aufzubauen und eine Risikomanagementkultur im Unternehmen zu schaffen.55 Diese sehr qualitativ orientierten Aspekte werden jedoch im Folgenden nicht weiter vertieft.
4.1 Identifikation
Als Grundlage des Risikomanagements dient die Identifikation der operationeilen Risiken. Voraussetzung für die Identifikation ist eine eindeutige Definition der zu identifizierenden Risiken, im Falle operationeller Risiken bietet sich die Definition des Baseler Ausschusses an. Weiterhin sollte der Zugang zu den relevanten Informationen gegeben sein und die notwendigen Mittel bereitgestellt werden.56
Die Identifikation sollte verschiedenen Postulaten genügen:
- Vollständigkeit: lückenlose Aufdeckung aktueller und potentieller Risiken, - Aktualität: schnelle und frühzeitige Erkennung von Risiken, - Kontinuierlichkeit: regelmäßige Überprüfung der Identifikation57, - Wirtschaftlichkeit: Beachtung der Kosten der Risikoidentifikation im Verhältnis zum daraus resultierenden Nutzen, - Überwindung der Widerstände in der Organisation: Minimierung des psychologischen und organisatorischen Widerstands.58
Als Ergebnis liefert die Risikoidentifikation die Risikoquellen, eine Beschreibung der Risiken. Auch Anzeichen für Risikopotentiale, sogenannte Risikoindikatoren, werden identifiziert und Zusammenhänge zwischen Ursachen, Schadensorten und Schadensfällen werden aufgezeigt.59
Da operationeile Risiken von Kreditinstituten sich auf den unterschiedlichsten Ebenen bewegen können, von stark funktionsspezifischen Risiken bis hin zu eher strategischen Risiken, ist die Komplexität der Risikoidentifikation enorm. Eine vollständige Detailanalyse wird daher in der Regel nicht wirtschaftlich begründbar sein. Die Identifikation wird daher tendenziell auf unterschiedlichen Detaillierungsebenen stattfmden: In einem ersten Schritt auf einer höheren Abstraktionsebene um Bereiche hoher Risiken für die darauf folgenden Detailanalyse festzulegen60.
Die anwendbaren Techniken zur Risikoidentifikation sind vielfältig und werden im Folgenden systematisiert als Kollektionsmethoden, Kreativitätsmethoden, analytische Suchmethoden und derivative Identifikationsmethoden. Aufgrund der Mannigfaltigkeit operationeller Risiken wird eine Kombination verschiedener Identifikationsverfahren vielfach sinnvoll sein.61
4.1.1 Kollektionsmethoden
Unter Kollektionsmethoden versteht man die Sammlung risikospezifischer Daten und die Identifikation bestehender beziehungsweise offensichtlicher Risiken.62
Checklisten sind die einfachste Form der Kollektionsmethoden, es kann sich dabei um interne Checklisten oder um Listen von Drittanbietem handeln. Sie sind lediglich als Ansatzpunkte für eine Risikoidentifikation zu werten, da die Listen nie wirklich vollständig sind und ein Trade-Off zwischen wenigen, hoch aggregierten oder vielen, kaum verdichteten Risiken besteh63
Eine weitere Möglichkeit stellen Interviews und Expertenbefragungen dar. Hierbei ist zu beachten, dass die Erfahrung und Kompetenz des Befragten Einfluss auf die Qualität der Identifikation haben. Es werden vorzugsweise Schlüsselpersonen mit der notwendigen Kompetenz und Übersicht befragt. Die Befragung kann persönlich, formal oder informell durchgeführt werden und Fragen zu Arbeitsplatz und Arbeitsumfeld sowie zum Betätigungsfeld des Experten beinhalten.
Die SWOT-Analyse (Strengths-Weaknesses-Opportunities-Threads) dient der Analyse von Stärken und Schwächen der Bank im Verhältnis zu externen Chancen und Risiken, wodurch die interne Perspektive mit der externen Perspektive kombiniert wird. Mit Hilfe dieser Technik wird anhand von Dokumenten (Bilanzen, Erfolgsrechnungen, Organigramme, Verträge), Branchenanalysen (in anderen Instituten schlagend gewordene operationeile Risiken) und Betriebsbesichtigungen (ineffiziente Abläufe) eine eher globale Risikoidentifikation durchgeführt.
Im Rahmen von Seif Assessments oder auch Risk Assessments werden mit Fragebögen und Workshops Risiken im internen Bereich identifiziert. Die Kombination von Fragebögen mit Workshops bringt mehr Risiken zu Tage als die Befragung einzelner Mitarbeiter, da sich eine Gruppe ausgewählter Personen mit einem Thema auseinandersetzt. Seif Assessments sind ein ergiebiges und viel genutztes Verfahren.64
Über generische Prozessschemata, die die Prozesse einer Bank idealtypisch abbilden, lassen sich Risiken in den real existierenden Prozessen der Bank identifizieren, indem die realen Prozesse in diese Schemata überführt werden. Die idealtypischen Prozessbeschreibungen dienen der Reduktion der Komplexität, erhöhen die Übersichtlichkeit und reduzieren den fortlaufenden Wartungs- und Pflegaufwand.65
Die Risiko-Identifikations-Matrix ist eine Ergänzung zur Auflistung von Risiken oder anderen Kollektionsverfahren. Sie verwendet Kausalzusammenhänge zwischen einzelnen Risiken und dient als Denkhilfe zur Aufdeckung neuer Risikopotentiale.66
4.1.2 Kreativitätsmethoden
Diese Kategorie von Methoden ist gerade zur Identifikation von operationeilen Risiken sehr geeignet, da auch neue, bisher nicht beachtete oder unbekannte Risikoquellen aufgedeckt werden können. Durch die Aufwändigkeit der Methoden ist es allerdings sinnvoller, sie primär in eher kritischen Untemehmensbereichen anzuwenden.67
Kreativität ist die Hervorbringung eines bisher unbekannten Aspekts durch neue Zusammenfügung vorhandener Informationen.
Eine Kreativitätsmethode ist das Brainstorming. Kreativität entsteht hier durch eine ungezwungene Atmosphäre. Spontane Äußerungen werden unkritisiert festgehalten, so dass innerhalb kurzer Zeit viele ungewohnte Risikoaspekte zusammengestellt werden. Erfolgsentscheidend ist die Zusammenstellung der Teilnehmer.68
Für das Brainwriting ist ebenfalls die Auswahl der Teilnehmer entscheidend. Die Teilnehmer halten mögliche Risikopotentiale schriftlich fest um diese dann von anderen Teilnehmern ergänzen und konkretisieren zu lassen.
Die Synektik fügt scheinbar nicht zusammenhängenden Tatbestände neu zusammen und bedient sich dafür Gleichnissen aus der Natur. Diese Methode wird sehr strukturiert in zehn definierten Teilschritten durchgeführt und hilft primär bei Analysen und Konstellationsproblemen.
Fragebögen bilden die Basis für die Delphi-Methode. Diese werden durch ein Panel von Experten beantwortet. Die Ergebnisse der Befragung werden statistisch ausgewertet und als Feedback an das Expertenpanel gegeben. Durch die bis zu dreimalige Wiederholung der Befragung werden die einzelnen Aussagen schrittweise verbessert und neue Informationen generiert.69
4.1.3 Analytische Suchmethoden
Analytische Suchmethoden nehmen aktiv auf die Problemsuche Einfluss und gestalten den Prozess der Suche.70 Risikopotentiale werden ohne Zuhilfenahme der direkt betroffenen Mitarbeiter aufgedeckt, Kreativitätsaspekte treten in den Hintergrund.
Das morphologische Verfahren zeigt Ordnungen und Strukturen auf, indem es die Beziehungen einzelner Parameter schematisch abbildet. Dazu wird das Problem zunächst in seine Parameter zerlegt und daraufhin zu jedem Parameter mögliche Lösungen gesucht. Durch die Kombination von Lösungsmöglichkeiten zu verschiedenen Parametern wird eine Vielzahl von Lösungen für das Gesamtproblem generiert. Die vertiefte Auseinandersetzung mit dem Gesamtproblem bringt wieder neue Teilaspekte zum Vorschein.
Der Fragenkatalog kann auch als analytische Suchmethode dienen und baut dann auf Checklisten, Dokumentenanalysen oder anderen Identifikationsmethoden auf. Der Risikomanager wird durch eine Reihe von tiefgreifenden Fragen auf die Risikopotentiale hingeleitet, durch geschickte Kombination, Abänderung oder Anpassung von Fragen können neue Risikopotentiale erkundet werden.
Zur Strukturierung von Problemen und zur Analyse risikobehafteter Situationen dient die Fehlermöglichkeits- und Einflussanalyse (FMEA). Allgemein läuft die
FMEA in vier Phasen ab. Im ersten Schritt wird das zu analysierende System festgelegt, die Aufteilung in einzelne Komponenten vorgenommen und die Teamzusammensetzung, das Vorgehen und der Zeitplan festgelegt. Der zweite Schritt umfasst die Fehler- beziehungsweise Risikostrukturierung für jede Komponente sowie die Auflistung aller möglichen Risikoquellen, also aller Risikoursachen und Folgewirkungen. Danach werden die Risiken bewertet und kategorisiert indem ihnen eine Risikoprioritätszahl, die gewichtete Multiplikation aus Entdeckens- und Eintrittswahrscheinlichkeit, zugewiesen wird. Im letzten Schritt werden dann die Risiken in Prioritätsstufen der Behandlung eingeteilt. Die Aussagekraft der FMEA ist umso größer, je vollständiger die Risikoquellen integriert sind. In die Analyse sollten auch Experten mit einbezogen werden. Durch die FMEA werden die vorhandenen Risiken lückenlos dokumentiert, allerdings werden Interdependenzen nicht mit einbezogen.71
Die Baumanalyse geht von einem gestörten Gesamtsystem aus. Man unterscheidet die Fehlerbaumanalyse und die Störablaufanalyse. Während die Fehlerbaumanalyse eine kausale Kette von der Fehlerwirkung zu den möglichen Ursachen aufbaut, geht die Störablaufanalyse den Weg in die andere Richtung und sucht nach den möglichen Folgen eines unerwünschten Ereignisses. Durch die Kombination der beiden Analysen kann somit ein umfassendes Risikobild geschaffen werden, das sich aus allen direkt und indirekt involvierten Risikoquellen (Ergebnis der Fehlerbaumanalyse) und allen möglichen Folgewirkungen (Resultat der Störablaufanalyse) zusammensetzt.72
4.1.4 Derivative Identifikationsmethoden
Die im Folgenden erläuterten Verfahren sind grundsätzliche eher der Bewertung von Risiken zuzuordnen, sie ermöglichen aber als Nebenprodukt die Aufdeckung von Risikopotential und werden daher als derivative Identifikationsmethoden bezeichnet.73
Mit Hilfe der Szenariotechnik werden systematisch Zukunftsbilder aus den Erkenntnissen der Gegenwart entwickelt. Dazu wird zunächst das Untersuchungsfeld und das zu beachtende Umfeld abgegrenzt. Danach werden alle notwendigen Informationen zusammengetragen und das Umfeld mittels geeigneter qualitativer und quantitativer Deskriptoren genauer charakterisiert. Unter Berücksichtigung möglicher Entwicklungspfade und Störereignisse werden dann verschiedene Szenarien entwickelt, die dann mit Konsequenzanalysen und weitergehenden Störerei gnisanaly sen interpretiert werden.[74]
Simulationsverfahren dienen der Analyse von Systemen bei verschiedenen Ausgangssituationen. Sie stützen sich auf die stochastischen Eigenschaften von Systemen und unterstellen Zufallsgesetze bei den Inputgrößen. Ein Beispiel für Simulationsverfahren ist die Monte-Carlo-Simulation. Hier wird jeder Einflussgröße ein Zufallswert zugeteilt und der zugehörige Ergebniswert errechnet. Nach einer hinreichend hohen Zahl von Durchläufen kann eine Wahrscheinlichkeitsverteilung des Ergebnisses ermittelt werden.
4.2 Bewertung
Nachdem die operationeilen Risiken mit den verschiednen Verfahren identifiziert wurden, ist die Risikobewertung die logische Konsequenz, um die Gefährdung der Unternehmensziele durch die identifizierten Risiken abschätzen zu können.[75] Durch die Bewertung lassen sich die identifizierten Risiken in Form eines Risikoportfolios mit den Dimensionen Eintrittswahrscheinlichkeit und Schadenshöhe abbilden. Anhand des Portfolios können akzeptable und nicht mehr akzeptable Risiken in Abhängigkeit von Risikoneigung und -tragfähigkeit der Organisation definiert werden, um so Handlungsfelder und -Optionen für die Risikosteuerung festzulegen[76]. Vielfach werden neben der Schadenshöhe und der Eintrittswahrscheinlichkeit noch weitere Bewertungsparameter diskutiert, wie Vorhersehbarkeit (Schadenshöhe und Wahrscheinlichkeit), Häufigkeit (Auftreten eines Risikos pro Zeiteinheit)77 und Entdeckungswahrscheinlichkeit oder auch ein gewichtetes Rating, aus dem sich die Eintrittswahrscheinlichkeit ergibt78. Im Folgenden wird die Bewertung anhand von zwei Parametern vorgenommen, der Eintrittswahrscheinlichkeit und der Schadenshöhe79.
Die Ermittlung einer Wahrscheinlichkeitsverteilung wie in Abb. 4 ermöglicht die Ableitung eines erwarteten Verlustes (Expected Loss) mit verhältnismäßig hoher Eintrittswahrscheinlichkeit und geringer Schadenshöhe und eines unerwarteten Verlustes (Unexpected Loss) mit geringerer Eintrittswahrscheinlichkeit in Verbindung mit größerer Schadenshöhe. Die sich dafür heranzuziehenden Deckungspotentiale werden in Abschnitt 4.4 noch weiter erläutert, an dieser Stelle nur soviel: Aus der Verlustverteilung kann ein Operational VaR ermittelt werden. Das ist der Verlust aus operationeilen Risiken, der mit einer bestimmten Wahrscheinlichkeit innerhalb einer gegebenen Periode nicht überschritten wird. Dieser Wert kann als Maßgröße für das zur Risikodeckung vorzuhaltende Eigenkapital dienen 80
Abbildung in dieser Leseprobe nicht enthalten
Abb. 4: Verteilung der Verluste aus operationellen Risiken[81]
Die Bewertung von Risiken ist aus theoretischer Sicht nicht unproblematisch, da gerade zukunftsbezogene Bewertungsprozesse immer subjektiv und politisch sind, daher ist bei Scheingenauigkeiten Vorsicht angebracht[82]. Die Komplexität menschlichen Verhaltens macht die definierte und quantitative Abbildung von Risiken unmöglich, auch weil die Zahl der Fehlermöglichkeiten in sozio-technisehen Systemen tendenziell unbegrenzt ist. Extreme Verluste, die bisher in der Organisation nicht aufgetreten sind, können aufgrund mangelnder historischer Daten exante nicht eingeschätzt werden; externe Verlustdaten, die diesen Mangel beheben könnten sind allerdings in der Regel nicht ohne Anpassungen übertragbar. Sofern eine Datenhistorie an Verlustfällen aus operationeilen Risiken vorliegt, kann diese nur sehr eingeschränkt als Indikator für zukünftige Entwicklungen angesehen werden. In weiten Teilen ungeklärt ist die Frage der Aggregation von Teilrisiken, im Gegensatz zu Marktpreisrisiken oder Kreditrisiken existiert bei operationeilen Risiken kein Diversifikationseffekt.
Zur Klassifizierung der Bewertungsverfahren sind grundsätzlich verschiedene Dimensionen denkbar, so werden in der Literatur Top-Down Ansätze und Bot tom-Up Ansätze unterschieden. Top-Down Ansätze sind Verfahren, die sich auf die Analyse von Controlling-Kennzahlen auf ihre historische Volatilität hin stützen, mithin von der Risikofolge auf die Risikoursache schließen. Bottom-Up Ansätze setzen eine detaillierte Prozessrisikoanalyse voraus, wobei an der Basis die Risiken identifiziert werden um daraus auf mögliche Risikowirkungen zu schließen.[83] An dieser Stelle werden die Methoden in quantitative und qualitative Verfahren gegliedert. Qualitative Verfahren stützen sich primär auf die Intuition und die Erfahrung des Bewertenden, wohingegen quantitative Techniken rechnerisch zu einer Bewertung kommen. Regelmäßig wird aufgrund der Charakteristik von operationeilen Risiken eine Kombination von qualitativen und quantitativen Verfahren angebracht sein[84].
4.2.1 Quantitative Bewertungsmethoden
Operationelle Risiken gelten im Allgemeinen als nicht vollständig quantifizierbar[85], aufgrund der Komplexität und in Folge der Unkenntnis über zukünftige Entwicklungen.[86] Bisher konzentrieren sich die Anstrengungen der Banken primär auf die Erstellung eines möglichst umfassenden Bildes der aktuellen Risikosituation durch die Sammlung von Schadensfalldaten und die Identifikation von potentiellen Risikotreibern. Die zur Quantifizierung der Risiken herangezogenen Verfahren sind vielfältig, daher wird hier nur eine Auswahl kurz beschrieben.
Die Risikobewertung anhand von historischen Verlustverteilungen basiert auf internen oder externen Verlustdaten, aus denen die Eintrittswahrscheinlichkeiten und die Tragweite der operationeilen Risiken ermittelt werden. Derzeit liegen jedoch kaum brauchbare Daten vor, aufgrund der Anforderungen des Baseler Komitees ist eine Verbesserung der Datenlage jedoch zu erwarten. Wichtig bei der Erfassung der Schadensdaten ist ein hoher Informationsgehalt, es sollten auch allgemeine deskriptive Informationen zu den Schadensfälle aufgezeichnet werden.
Durch die Modellierung des Geschäftsablaufs und Simulation anhand dieses Modells können potentielle Verluste aus operationeilen Risiken bewertet werden, ohne dabei auf historische Daten angewiesen zu sein. Als Ergebnis der Simulation erhält man wieder eine Verlustverteilung. Dieses Verfahren ist extrem aufwändig und teuer, kann aber sehr untemehmensspezifisch ausgestaltet werden.
Der Ausgaben- / Gewinn-Ansatz misst das operationeile Risiko Top-Down anhand von buchhalterischen Größen. Im Ausgaben-Ansatz werden die Kosten als Triebgröße für das operationeile Risiko der Organisation gesehen. Damit wird unterstellt, dass eine Erhöhung der Ausgaben auch eine Erhöhung des Risikos impliziert. Zu den Ausgaben zählen allerdings auch Ausgaben zur Reduzierung des operationeilen Risikos. Da der Ausgaben-Ansatz sich als unbrauchbar erwies, wurde er weiterentwickelt zum gewinnorientierten Ansatz. Auch der Basic-Indicator-Approach und der Standardised Approach sind gewinnorientierte Ansätze, die dort genannte Kritik gilt also hier ebenfalls.
Methoden der Wahrscheinlichkeitsrechnung modellieren operationeile Verlustereignisse als Zufallsverteilung. Voraussetzung dafür sind eindeutig abgegrenzte Verlustereignisse und die Verfügbarkeit von Daten in ausreichendem Umfang. Typisch für operationeile Risiken sind Verlustfälle mit relativ hoher Wahrscheinlichkeit und geringer Schadenshöhe (viele Daten) gegenüber Verlustfällen mit geringer Wahrscheinlichkeit und großer Schadenshöhe (wenig Daten). Sind ausreichend Daten vorhanden, so können historische Verteilungen ermittelt werden. Falls die Datenlage nicht gut genug ist, so wird mit Verteilungsannahmen gearbeitet.[87] In der Regel wird dabei die Verlustverteilung in zwei Verteilungen zerlegt. Die Anzahl der Verluste in einem gegebenen Betrachtungszeitraum wird durch eine Häufigkeitsverteilung modelliert. Das klassische Modell der Versicherungsmathematik nimmt eine Poisson-Verteilung an. Die Modellierung der Höhe der einzelnen Verluste erfolgt als stetige Verteilung, empirisch hat sich die Lognormalverteilung bewährt. Dabei wird angenommen, dass Schadenshöhe und häufigkeit unabhängig voneinander sind.88
Die Methode der Komplexitätstheorie nimmt an, dass Unternehmen komplexe Systeme sind, die aus interaktiven, sich nicht-linear verhaltenden Einheiten, Prozessen und Entscheidungsträgem bestehen. Diese Systeme können mit Hilfe von künstlichen Systemen simuliert werden. Das komplexe Verhalten resultiert aus der Interaktion der einzelnen Komponenten, von denen jede einzelne eigene Verhaltensregeln beachtet. Die Simulation kann durch Agenten mit autonomem Entscheidungsverhalten erfolgen. Dieses Verfahren liefert aussagekräftige Ergebnisse, steht aber noch an Anfang der Entwicklung und ist kostspielig und zeitintensiv.
Das Ergebnis der quantitativen Verfahren ist in der Regel eine Verlustverteilung, aus der ein Value-at-Risk abgeleitet werden kann. Die Quantifizierung der operationeilen Risiken mit dem VaR scheint ein probates Mittel zur Aggregation der Risiken auf Gesamtbankebene zu sein, da so eine einheitliche Risikomaßzahl über alle Risikoarten verwendet werden kann[89]. Dieses Vorgehen ist jedoch nicht unumstritten. Zunächst ist die bisher vorhandene Datenbasis als unzureichend einzustufen, des Weiteren sind keine Aussagen über neue Produktbereiche möglich. Die statistische Kennzahl VaR ist für die Unternehmensbereiche nur schwer nachvollziehbar und führt daher nicht in jedem Fall zu den gewünschten Handlungen.[90]
4.2.2 Qualitative Bewertungsmethoden
Wird die Risikolage mittels subjektiver Einschätzungen in systematischer oder unsystematischer Form eingeschätzt, so bezeichnet man dieses Vorgehen als qualitative Bewertungsmethode.[91]
Dazu gehört die Methode der Schlüsselfaktoren oder auch Risikoindikatoren (Key-Risk-Indicators). Die Schlüsselfaktoren erlauben nur allgemeine und relative Werturteile, daher sind sie nicht den quantitativen Verfahren zugeordnet. Sie zeigen Anzeichen und Symptome für mögliche Risikowirkungen und können so als Warnsignal dienen. Schlüsselfaktoren können Ausgangspunkt für tiefergehende
Analysen mit quantitativen Methoden sein. Beispiele für Risikoindikatoren sind Fluktuationsrate des Personals, Transaktionsvolumen, Mitarbeiterfortbildungen und viele mehr. Risikoindikatoren haben, je nach Güte, eine hohe Aussagekraft, sind einfach zu ermitteln und damit relativ kostengünstig.92
Die Nutzwertanalyse dient traditionell zur Bewertung von Alternativen. Leicht abgewandelt kann sie auch zur Risikobewertung herangezogen werden, indem verschiedene Faktoren gegenübergestellt, gewichtet und benotet werden. Beispielsweise ist es möglich, Risikoindikatoren als Faktoren zu sehen, die Indikatoren mit Scores zu bewerten und dann eine Gewichtung vorzunehmen. Als Ergebnis erhält man eine interne Risikomaßzahl. Dieses Vorgehen ist relativ einfach und übersichtlich, bietet aber viel Bewertungsspielraum und vermittelt eineScheingenauigkeit93
Im Rahmen der Risikoidentifikation im Abschnitt 4.1.4 wurde die Szenariotechnik bereits kurz umrissen. Dies Technik kann auch zur Bewertung herangezogen werden. Dabei werden mit Hilfe der menschlichen Intuition und Urteilsfähigkeit unterschiedliche Szenarien, in diesem Fall verschiedene Risikosituationen oder auch ein zu erwartendes Risikoexposure, entwickelt. In der Regel handelt es sich dabei um drei Szenarien, aus Sicht des Risikomanagements ist dabei in der Regel der schlechteste anzunehmende Fall interessant, das Worst-Case-Szenario. Die Risiken werden dabei in einer Risk-Assessment-Matrix abgebildet, mit Eintretenswahrscheinlichkeit und Tragweite. Die so gewonnenen subjektiven Einschätzungen können im Nachhinein mit den historischen Verlustdaten getestet werden (Back Testing). Die Szenarioanalyse liefert eine breite Einschätzung der allgemeinen Risikolage und verdeutlicht Handlungsbedarf, ist aber wieder von der Erfahrung des Bewertenden abhängig und vermittelt erneut eine Scheingenauigkeit.94
Die Baumanalysen aus Abschnitt 4.1.3 können zur Bewertung weiterverwendet werden, indem jeder Knoten des Baumes mit einer Wahrscheinlichkeit versehen wird. Die Endfolgen eines Störereignisses können durch Multiplikation der Wahr scheinlichkeit mit der Tragweite berechnet werden. Idealerweise werden die Wahrscheinlichkeiten empirisch ermittelt, da so eine Objektivierung der Ergebnisse erreicht werden kann. Damit wäre die Baumanalyse allerdings wieder den quantitativen Verfahren zuzuordnen.
Anhand von Prozessanalysen können Risiken ebenfalls bewertet werden. Die Prozesse werden in Teilprozesse zerlegt und auf Ebene der Teilprozesse wird die Eintrittswahrscheinlichkeit und die Schadenshöhe geschätzt.
4.3 Überwachung
Die Überwachung der operationeilen Risiken bezieht sich auf den kontinuierlichen Abgleich der Ist-Risikowerte mit den Sollvorgaben, die im Einklang mit den Unternehmenszielen, dem Risikoappetit und der Risikotragfähigkeit stehen. Abweichungen implizieren Steuerungsmaßnahmen, wie sie im Abschnitt 4.4 beschrieben werden.
Eine Möglichkeit der kennzahlengestützten Überwachung stellt eine erweiterte Balanced Scorecard (BSC) dar. Die BSC unterstützt das schnelle ziel- und strategieadäquate Treffen von Entscheidungen und stellt einen Ausgleich zwischen finanziellen und nicht-finanziellen Messgrößen, Frühindikatoren und Ergebnisgrößen her95, wodurch das Risikomanagement in die Gesamtbanksteuerung integriert wird.
Mit Hilfe der BSC wird die Unternehmensleitung aus verschiedenen Blickwinkeln mit gegenwarts- und zukunftsbezogenen Kennzahlen dargestellt.96 Im Grundkonzept handelt es sich dabei um vier Perspektiven: die Finanz-, Kunden-, Potenzial- und die interne Perspektive. Die BSC zeigt den Zusammenhang zwischen der Unternehmensstrategie, den daraus abgeleiteten Zielen, Kennzahlen, Vorgaben und Maßnahmen. Grundsätze der BSC sind: Berücksichtigung von Wirkungszusammenhängen, Verknüpfung mit den Finanzen sowie die Berücksichtigung von Ergebnis- und Leistungstreiberkennzahlen. Um die BSC für das Risikomanagement zu verwenden, existieren verschiedene Ansätze:
Zunächst kann die BSC um eine Perspektive, die Risikoperspektive, erweitert werden. Da die Risiken von Kreditinstituten heterogen sind und somit unterschiedlichste Kausalzusammenhänge existieren können, erweist sich die Integration in die Ursache-Wirkungsbeziehungskette als durchaus problematisch.
Ein weiterer Ansatz ist der Aufbau einer zusätzlichen BSC nur für das Risikomanagement, unter Nutzung der vier Standardperspektiven. Zu diesem Zweck werden im Rahmen der Identifikation die Risikokomponenten erarbeitet und dann mit Eintrittswahrscheinlichkeit und Schadenshöhe bewertet.
Die Balanced Scorecard Plus basiert auf einer Erweiterung der Standardperspektiven um Chancen und Risiken. Letztlich werden also zwei zusätzliche Spalten in eine bestehende BSC eingefügt.
Noch umfassender ist die Balanced Chance- and Risk-Card. Dabei werden die Wirkungszusammenhänge zwischen für den Untemehmenswert wesentlichen Erfolgsfaktoren, Chancen und Risiken identifiziert, modelliert und kommuniziert. Es handelt sich um eine Konkretisierung der herkömmlichen BSC mit den Spitzenkennzahlen Discounted Cash Flow (DCF), Economic Value Added (EVA) und Market Value Added (MVA). Wesentliche Erfolgsfaktoren können in den Finanzen, den Kunden, den Produkten, der Leistungserstellung oder beim Personal liegen. Die Chancen und Risiken werden bei den Erfolgsfaktoren erfasst. Auf Basis der Strategie werden dann Ziele und Aufgaben zur Minderung der Risiken und zur Nutzung der Chancen festgelegt. Zur Erfüllung der Aufgaben werden Instrumente bestimmt.
Die Balanced Scorecard kann also quasi als Front-end des Risikomanagements dienen und dabei Abweichungen zwischen den Zielvorgaben und den tatsächlichen Werten aufzeigen. Durch die Dokumentation von Wirkungszusammenhängen ist es möglich, Ansatzpunkte zur Verbesserung aufzuzeigen und diese in konkrete Steuerungsmaßnahmen umzusetzen.
Zur Überwachung wird somit laufend die Risikolage des Gesamtunternehmens berichtet. Weitere Informationen zur Steigerung der Aussagekraft sind Angaben über Risikophilosophie, Risikomanagementprozess und -Steuerungsinstrumente.97
Um eine leistungsfähige Risikoüberwachung zu gewährleisten wird in der Regel das bestehende Berichtswesen überarbeitet werden müssen. Dies ist eine Chance zur Vereinfachung und Vereinheitlichung von Berichten. Nicht zu vernachlässigen ist die Ausbildung der Zielgruppe der Berichte, damit diese die neu gewonnenen Informationen richtig verarbeiten können.98
4.4 Steuerung
Das Eigenkapital von Kreditinstituten dient zur Risikodeckung. Hierdurch ist die Risikotragfähigkeit der Institute begrenzt. Dies impliziert die Steuerung der Risiken durch die Untemehmensführung. Letztlich handelt es sich um ein Entscheidungsproblem: Wie kann der Ertrag des Unternehmens unter der Nebenbedingung begrenzter Risikoubernahme maximeirt werdern?99
Dies kann zum Einen geschehen durch eine effiziente Allokation des Eigenkapitals auf Unternehmensbereiche, die entweder bei gegebenem Risiko einen höheren Ertrag erwirtschaften oder bei gegebenem Ertrag ein geringeres Risiko eingehen. Hilfestellung geben bei der zentralen Vergabe von Eigenkapital risikoadjustierte Performancemaße100. Eine weitere Möglichkeit stellen dezentrale Verfahren wie interne Risikokapitalmärkte oder auch verschiedene Auktionsverfahren zur Kapitalallokation dar101. Wie in Abb. 4 auf Seite 29 zu sehen ist, werden die erwarteten als Risikokosten gesehen und die unerwarteten Verluste bis zu einer zu definierenden Schwelle als notwendige Risikodeckungsmasse. Über diese Schwelle hinausgehende Risiken sind auf Dritte zu transferieren.
Abb. 5: Risikosteuerungsmaßnahmen102
Ist das Risiko selbst Objekt der Steuerung, so kann man unterscheiden zwischen ursachenbezogenen Maßnahmen und wirkungsbezogenen Maßnahmen. Vermeidung und Verminderung setzen bei den Ursachen des Risikos an, Transfer oder Akzeptanz beschäftigen sich mit den Wirkungen von Risiken.103 Zur Entscheidungsfindung werden die zuvor identifizierten und bewerteten Risiken in ein Risikoportfolio wie in Abb. 5 mit den Achsen Tragweite und Eintrittswahrscheinlichkeit eingeordnet und die zugehörige Maßnahme unter Beachtung der Unternehmensstrategie und Risikotragfähigkeit gewählt.104
4.4.1 Vermeidung
Wird die Eintrittswahrscheinlichkeit des Risikos auf Null reduziert, so spricht man von der Vermeidung des Risikos. Dies ist regelmäßig nur bei Aufgabe des Geschäftsfeldes möglich, daher wird die Vermeidung die letzte Handlungsmöglichkeit nur bei Risiken mit hoher Tragweite und hoher Wahrscheinlichkeit eine wirkliche Handlungsoption darstellen, wenn ein Transfer nicht möglich oder zu teuer ist. Bei der Vermeidung sollte darauf geachtet werden, dass dies im Einklang mit der Untemehmensstrategie steht.105
4.4.2 Verminderung
Verminderung kann ansetzen bei der potentiellen Schadenshöhe oder auch bei der Eintrittswahrscheinlichkeit. Es kann sich dabei um technische, organisatorische oder personelle Maßnahmen handeln.106 Dabei geht es unter anderem auch um die Sensibilisierung von Mitarbeitern und Management, um eine Risiko- und Qualitätskultur zu etablieren und so die Wahrnehmung bei den Mitarbeitern zu erhöhen und die Elmsetzung von Verminderungsstrategien zu erleichtern.
Frühwarnsysteme weisen mit zeitlichem Vorsprung auf Ereignisse hin, die die Elnternehmensentwicklung mit hoher Wahrscheinlichkeit negativ beeinflussen werden. Sie geben durch den zeitlichen Vorsprung die Möglichkeit, zukünftige Entwicklungen zu antizipieren. Dazu ist es notwendig, Faktoren mit Signalcharakter aus vorhandenen Informationen herauszufiltern. Grundlage für Frühwarnsysteme ist die Indikatorhypothese, die besagt, dass Veränderungen nicht plötzlich geschehen sondern sich durch Signale ankündigen. Starke Signale können aus denn betrieblichen Funktionsbereichen selbst kommen, beispielsweise durch Kennzahlensysteme, Soll-Ist- und Abweichungsanalysen. Schwache Signale kommen aus dem Umfeld des Unternehmens, dabei kann es sich um volkswirtschaftliche, soziale und politische Indikatoren handeln. Sie liefern eher unscharfe und unpräzise Informationen. Ein wirksames Frühwarnsystem kombiniert Indikatoren mit starker und schwacher Signalwirkung.
Ähnlich wie Frühwarnsysteme funktionieren Limitsysteme: Bei Überschreiten bestimmter Schwellenwerte werden Warnungen ausgelöst oder Aktivitäten gestoppt. Hierfür müssen die Risiken bekannt sein und Vorstellungen über tolerierbare Bereiche vorliegen.
Das unbestritten wichtigste Instalment zur Minderung von Risiken ist das Interne Kontrollsystem (IKS) der Kreditinstitute. Kontrolle ist eine Überwachungshandlung, die im Arbeitsablauf auftretende Fehler verhindern und / oder auffinden soll. Interne Kontrolle ist die Gesamtheit aller Sicherungsmittel im Inneren der Organisation. Hauptbereich der Kontrolle ist die Organisationsstruktur, die Rechnungslegungsverfahren, das Vier-Augen-Prinzip und die physische Kontrolle von Aktiva und Passiva. Das IKS wirkt primär auf die Eintretenswahrscheinlichkeit und entfaltet präventive Wirkung, ist aber relativ kostenintensiv.107
Eine weitere Möglichkeit, die operationeilen Risiken zu vermindern, stellt ein funktionierendes Qualitätsmanagement dar. Die Verminderung wird erreicht über eine Qualitätsverbesserung der Leistungsprozesse. Die erhöhte Fehlerwahrnehmung und die ständige Suche nach Verbesserungsmöglichkeiten senkt die Eintrittswahrscheinlichkeit und sekundär auch die Schadenshöhe.
Diversifikation ist bei operationeilen Risiken in der Regel nicht wirkungsvoll, da eine Streuung der Geschäftsaktivitäten hier in der Regel risikoerhöhend wirkt. Gleichwohl kann, gerade bei externen Ereignissen, sehr wohl durch eine regionale, personelle oder objektbezogene Streuung eine Risikominderung herbeigeführt werden. Beispielhaft wäre hier die redundante Auslegung eines Rechenzentrums an zwei unterschiedlichen Standorten zu nennen. Im Falle der Zerstörung des einen Rechenzentrums wäre die Betriebsbereitschaft des zweiten Rechenzentrums weiterhin gegeben.
Sicherheitsvorkehrungen sind Maßnahmen zur Begrenzung und Verhütung von Schäden. Sie tragen wesentlich zur Verminderung von operationeilen Risiken bei. Unter Verhütung versteht man alle Maßnahmen zur Bekämpfung des Schadenseintritts, dazu zählen alle Verhaltens- und Sicherheitsvorschriften und auch Sicherungsmaßnahmen für sachliche Betriebsmittel. Begrenzung meint den Versuch, die Tragweite im Nachhinein herabzusetzen. Dem sind alle im Voraus festgelegten Notfallmaßnahmen zuzurechnen, ebenso wie Alarmsysteme.
Ein funktionierendes Wissensmanagement trägt ebenfalls zur Minderung operationeller Risiken bei. Die Ressource Wissen ist ein bedeutsamer Wettbewerbsfak- tor, es besteht die Gefahr von Wissensverlusten und der unzureichenden Nutzung von Wissen. Durch ein effizientes Wissensmanagement kann der Verlust von Wissen durch Personalfluktuation gemindert werden.108
4.4.3 Transfer
Der Transfer von operationeilen Risiken ist immer dann angezeigt, wenn die Risiken nicht vermindert oder vermieden werden können aber vermindert werden wollen.109 Dies ist in der Regel bei Risiken mit geringer Eintrittswahrscheinlichkeit und sehr hohem Schadenspotential der Fall, also bei seltenen aber spektakulären Verlustfällen. Das Kreditinstitut möchte den Schaden nicht selbst tragen und diesen vor Eintritt auf einen anderen Träger abwälzen. Grundsätzlich werden dazu zwei Verfahren diskutiert: die Versicherungslösung und die Verbriefung mit Platzierung am Kapitalmarkt.
Traditionell werden die Risiken auf Versicherungen transferiert. Aufgrund der Komplexität von operationeilen Risiken ist eine Versicherung zwar nur schwer möglich, trotzdem existiert derzeit eine Police am Markt. Die Financial Institutions Operational Insurance (FIORI) versichert operationeile Risiken, ist aber relativ teuer und verlangt einen hohen Selbstbehalt. Relevante Parameter zur Beurteilung von Versicherungslösungen sind die abgedeckten Risiken, die Versicherungssummen, der Selbstbehalt und die Prämie.110 Im Rahmen von Basel II bleibt die Anrechnung von Versicherungsleistungen Banken vorbehalten, die einen der AMA verwenden.111
Neu und innovativ ist der Risikotransfer auf den Kapitalmarkt durch Operational Risk Linked Bonds. Dieses Verfahren basiert auf sogenannten Katastrophen-An- leihen (Cat-Bonds). Es werden im Prinzip zukünftige Versicherungsleistungen verbrieft und am Kapitalmarkt platziert. Dazu wird ein Special Purpose Vehicle (SPV) konstruiert, das auf vertraglicher Basis gegen Zahlung einer Versicherungsprämie das Risiko eines vorab definierten Ereignisses übernimmt. Das SPV emittiert einen Cat-Bond und investiert den Betrag in risikolose Anleihen. Tritt der Schaden nicht ein, so erhält der Investor alle vereinbarten Zinszahlungen und den Nominalbetrag am Laufzeitende zurück. Wird das Risiko schlagend, so verliert der Anleger seine Investment, da das SPV seine Assets zur Befriedigung der Ansprüche des Kreditinstitutes veräußern muss. Der Anleger erhält als Gegenleistung für die Risikoübernahme eine höhere Verzinsung im Gegensatz zur risikolosen Anleihe und kann diese Art der Anleihe zur Diversifikation seines Portfolios nutzen, da Katastrophen-Anleihen nicht mit anderen Anlageformen korreliert sind.112
4.4.4 Akzeptanz
Akzeptiert das Institut die operationeilen Risiken, so trägt es die Risiken selbst. Dies wird am ehesten bei Schadensfällen mit relativ geringer Wahrscheinlichkeit und geringem Schadensausmaß der Fall sein. Dabei ist zu beachten, dass das eingegangene Risiko und das daraus resultierende Verlustpotential die Risikotragfähigkeit des Instituts nicht übersteigt, der Ausgleichspuffer muss also auf Gesamtbankebene ausreichen, um schlagend gewordene Risiken abzudecken. Man kann zwischen aktiver und passiver Akzeptanz differenzieren. Bei der aktiven Akzeptanz wird ganz bewusst eine materielle oder immaterielle Reserve geschaffen, im Falle der passiven Akzeptanz liegen die Präventionskosten deutlich über den zu erwartenden Schäden, so dass Verluste ganz bewusst in Kauf genommen und getragen werden.113
4.5 Kontrolle
Unter Kontrolle wird hier die Überprüfung und Beurteilung der vorangegangenen Phasen verstanden. Die Kontrolle ist selbst grundlegendes Element der operationeilen Risikosteuerung, sie mindert operationeile Risiken, indem sie Soll- mit Ist-Werten vergleicht. Die Herausforderung ist, zum Einen geeignete Maßstäbe zur Beurteilung zu finden und zum Anderen die Beurteilung selbst. An dieser Stelle steht im Gegensatz zu Abschnitt 4.4.2 weniger die prozessabhängige Kontrolle im Sinne des IKS im Vordergrund, sondern vielmehr die prozessunabhängige Kontrolle des Risikomanagementprozesses durch die Interne Revision.114 Ziel ist, den Zielerreichungsgrad des Risikomanagements zu ermitteln und gegebenenfalls Korrekturmaßnahmen einzuleiten. Grundlage bilden Daten aus den vorangegangenen Phasen. Die Interne Revision stellt dabei fest, ob und inwieweit die gesteckten Ziele eingehalten wurden und ob das Risikomanagement und die von der Geschäftsleitung vorgegebene Risikopolitik in Einklang miteinander stehen. Des Weiteren stehen die Effizienz der Risikomanagementorganisation, eindeutige Kompetenzregelungen und die Risikokultur auf dem Prüfstand.115
5 Die informationstechnische Umsetzung
Die obigen Abschnitte haben den Umgang mit operationeilen Risiken aus zwei verschiedenen Blickwinkeln dargestellt. Einerseits aus der aufsichtsrechtlichen Perspektive, mit Fokus auf Sicherheit und Stabilität. Anderseits aus der ökonomischen Sichtweise, in diesem Fall ist der Blick eher auf Ertrag unter Berücksichtigung von Risiko ausgerichtet.
Aus diesen beiden unterschiedlichen Ansätzen ergeben sich, implizit oder auch explizit, Anforderungen, denen ein Informationssystem116 zur Unterstützung des Risikomanagements genügen muss. Die Abschnitte 5.1 und 5.2 werden die zentralen Anforderungen herausarbeiten, um daraus dann in Abschnitt 5.3 einen Architekturvorschlag, der beiden Seiten gerecht wird, abzuleiten.
5.1 Aufsichtsrechtliche Anforderungen
Die aufsichtsrechtlichen Anforderungen leiten sich ab aus den in Abschnitt 3.3.2 genannten Anforderungen des Baseler Ausschusses zur Anwendung eines Advan- ced Measurement Approaches, da an dieser Stelle die umfangreichsten Forderungen gestellt werden.117
Aus informationstechnischer Sicht sind jedoch nicht alle Anforderungen relevant, sondern primär die Folgenden:
So ist zunächst eine geeignete Datenbasis aufzubauen, die eine Datenhistorie von zunächst drei und im weiteren Verlauf von fünf Jahren aufweist. Die Daten sind so aufzubereiten, dass sie jederzeit in die begriffliche Systematik des Baseler Ausschusses überführbar sind. Weiterhin sind externe Daten auf geeignete Art und Weise einzubinden, ebenso wie Informationen aus Szenario-Analysen und Daten über das Kontroll- und Geschäftsumfeld.
Die Risikoberichte sind in das Tagesgeschäft zu integrieren und so zu verwenden, dass die darin kommunizierten Informationen zu Handlungen führen und Auswirkungen auf die interne Kapitalallokation haben.
Die verwendeten Verfahren sind einer ständigen Überprüfung zu unterziehen und sollten ein Konfidenzniveau von 99,9% bei einer Periode von einem Jahr erreichen.
Das System sollte gut dokumentiert und damit auch transparent sein, damit es sich internen wie externen Prüfungen stellen kann.
5.2 Betriebswirtschaftliche Anforderungen
Die betriebswirtschaftlichen Anforderungen können in eher allgemeine und in spezielle Anforderungen unterteilt werden. Während sich die allgemeinen Anforderungen vom Grundsatz her an jedes moderne Managementunterstützungssystem (MUS)118 stellen lassen, befassen sich die speziellen Anforderungen mit dem gewünschten Funktionsumfang des Risikomanagementsystems.
Die möglichen allgemeinen Anforderungen an Informationssysteme sind vielfältig, daher werden hier nur die im Kontext wichtigen Kriterien genannt:
Das System sollte skalierbar und flexibel sein, um sich an neue Anforderungen durch sich ändernde Rahmenbedingungen, neue Geschäftsfelder oder neue Prozesse anpassen zu lassen119. Um dies zu gewährleisten, bietet sich ein modularer Aufbau an120.
Eine Integration in die bestehende Systemlandschaft sowie die Integration unterschiedlicher Datenquellen und räumlich verteilter Systeme ist anzustreben121 erleichtert die Einhaltung einer einheitlichen Begrifflichkeit über alle Systeme des Unternehmens, wodurch die Abstimmbarkeit erleichtert wird122.erhält die Problematik der einheitlichen Begrifflichkeit eine neue Dimension, da das zu verwendende Begriffssystem exogen durch den Baseler Ausschuss vorgegeben wird123.
Die Daten des Informationssystems sollten möglichst aktuell sein, um dem Management zeitnah entscheidungsrelevante Informationen zur Verfügung stellen zu können, dies kann ein entscheidender Beitrag zur Akzeptanz des Informations-systems sein124. Die Daten sollten sich mit leistungsfähigen Reportingtools auswerten lassen, verschiedene Sichten auf den Datenbestand und flexible, individuelle Analysen sollten intuitiv möglich sein125. Dabei müssen die Reaktionszeiten auch bei großen Datenmengen in einem akzeptablem Rahmen bleiben126.
Das Informationssystem wird von verschiedenen, sehr heterogenen Zielgruppen genutzt. So hat beispielsweise der Prüfer der Bundesbank einen anderen Informationsbedarf127 als der interne Risikomanager. Die Informationsbereitstellung sollte sich an den verschiedenen Informationsanforderungen orientieren, auf der anderen Seite aber auch die Ablaufsicherheit nicht vernachlässigen. Das bedeutet, dass Sicherheitsmechanismen zum Schutz kritischer Informationen vor unberechtigtem Zugriff und vor Manipulation existieren müssen.128
Die Vorgänge innerhalb des Systems sollten weitestgehend transparent sein, um die Nachvollziehbarkeit der Ergebnisse und der verwendeten Verfahren zu gewährleisten. Dies erhöht die Akzeptanz des Systems und gewährleistet, dass die ermittelten Ergebnisse Handlungen zur Folge haben.129
Einfache Administration ist eine Voraussetzung, um die Folgekosten gering zu halten, indem Beratungskosten für Anpassungen des Systems in Grenzen gehalten werden130. Insgesamt ist darauf zu achten, dass die Kosten sich in einem angemessenen Verhältnis zum mit dem Informationssystem erzielten Nutzen be wegen131
Die speziellen Anforderungen leiten sich ab aus den Phasen des Managements operationeller Risiken und dem Wunsch, eine größtmögliche Unterstützung durch ein Informationssystem zu gewährleisten.132
Konkret bedeutet dies, dass das System den Anwender bei der Identifikation mit verschiedenen Verfahren unterstützen sollte und ihm Denkanstöße für die Suche nach Risiken geben sollte. Dies kann in Form von vorgefertigten Fragebögen, generischen Prozessmodellen oder auch durch die Unterstützung der in Abschnitt 4.1 erläuterten Verfahren geschehen.
Zur Bewertung stehen im Idealfall verschiedene qualitative und quantitative Ver fahren133 dichtet werden. Dabei ist es möglich, von hoch verdichteten Zahlen (sowohl zu- kunftsori enti eri als auch vergangenheitsorientiert) bis auf Einzelschadensfälle beziehungsweise Einzel Schätzungen herunterzubohren und so flexibel die Wir- kungszusammenhänge zu erkunden. Die dazu notwendige Datenhistorie existiert und ist in einheitlicher, konsistenter Form untemehmensweit verfügbar. Externe Daten werden skaliert und können so, in Verbindung mit den internen historischen Daten und den qualitativen Einschätzungen, genutzt werden, um Risiken zu bewerten, die innerhalb der Organisation bisher nicht aufgetreten sind. Schnelle und flexible Simulationen sind möglich.134
Die Überwachung wird über eine regelmäßige und zeitnahe Bewertung der Risiken und über Risikoindikatoren gewährleistet, die auch Früh Warnfunktionen135 wahrnehmen. Diese Risikoindikatoren werden mit Hilfe der aufgezeichneten tatsächlichen Schadensfälle auf ihre Güte hin überprüft und so kontinuierlich verbessert.
Anhand des aktuellen Risikobildes der Organisation und mit einer Auswahl an möglichen Handlungsalternativen kann das System nun Entscheidungsunterstützung bei der Wahl einer geeigneten Steuerungsaltemative geben, um den risikoadjustierten Ertrag auf Gesamtbankebene zu optimieren.
Kontrolle im Sinne der Prüfung des Risikomanagements auf seine Güte hin kann das System insofern unterstützen, als das die Verfahren anhand der aufgezeichneten Verlustfälle auf ihre Güte hin überprüft werden können. Die Einhaltung der gesetzten Ziele kann durch ein aktuelles Berichtswesen überprüft werden, ebenso die Wirksamkeit von Steuerungsmaßnahmen.
Insgesamt sollte das Management operationeller Risiken in eine risiko- und erertragsbasierte Gesamtbanksteuerung eingebettet werden136
5.3 Abgeleitete Architektur
Das hier betrachtete System ist aufgrund seiner Ausrichtung auf die in der Hierarchie eher höher angesiedelten Stellen des Unternehmens in die Kategorie der Pla- nungs- und KontrollSysteme einzuordnen,137 innerhalb dieser wiederum den Management Support Systemen. Management Support Systeme (MSS) sind alle Einsatzformen zur informationstechnischen Unterstützung unternehmerischer Aufgaben.138 Der Aufbau des hier betrachteten Systems wird in Abb. 6 dargestellt. Letztlich ist es die Kombination eines Data Warehouse Konzepts mit den Ideen des klassischen Management Support Systems139. Dabei liefert das Data Warehouse Konzept die zentrale Datenbasis und die Data Mining Komponente. Das Management Support System trägt die Elemente Modellbank, Methodenbank, Reportbank und Dialogkomponente bei.
Die Simulationskomponente stellt im Rahmen des operationeilen Risikomanagements eine sinnvolle Ergänzung dar. Zum Einen können mit ihrer Hilfe die notwendigen stochastischen Simulationen zur Ermittlung des VaR vorgenommen werden140, zum Anderen sind mit Hilfe agentenbasierter Simulationen Analysen 141
Die Dialogkomponente integriert die Funktionen des Systems unter einer einheitlichen und einfach zu bedienenden Oberfläche und bildet die Schnittstelle zum Benutzer.142
In der Modellbank werden die benötigten Modelle verwaltet. Modelle sind in diesem Zusammenhang vereinfachte Abbilder von Realitätsausschnitten. Im konkreten Fall von operationeilen Risiken werden primär Ursache-Wirkungszusammenhänge Ziel von Modellierungsanstrengungen sein.
Abb. 6: Architektur des Risikomanagement-Informationssystems143
Methoden sind Algorithmen zur Bearbeitung von Modellen, das bedeutet zur Errechnung von Lösungen oder zur Transformation von Modellen in einen anderen Zustand. Mittels der Kombination von Modellen und Methoden kann das System dem Entscheider in Entscheidungssituationen Unterstützung bieten, somit bei der Wahl der richtigen Steuerungsaltemative helfen.
Die Datenbank ist für das Informationssystem zur Unterstützung des Risikomanagements von zentraler Bedeutung144. In ihr werden die Daten nach mehreren Dimensionen auswertbar gespeichert. Es finden vergangenheitsorientierte und zukunftsorientierte Daten Eingang, ebenso interne wie externe. Zusätzlich werden Daten aus den operativen Vorsystemen extrahiert, an dieser Stelle sind vor allem die potentiellen Risikoindikatoren zu nennen. Mit Hilfe der Data Mining Funktionalität werden Muster und Zusammenhänge in den großen Datenmengen gesucht und so in Zukunft die Risikoindikatoren beurteilt werden können.
Abbildung in dieser Leseprobe nicht enthalten
In Anlehnung an Gluchowski et al. (1997), S. 82 und Chamoni / Gluchowski (1999b), S. 12.
5.3.1 Dialogkomponente
Die Dialogkomponente ist die Schnittstelle zum Endbenutzer. Über die Dialogkomponente wird das Arbeiten mit dem Managementunterstützungssystem gesteuert und koordiniert. Die verschiedenen Möglichkeiten und Funktionen des MUS werden unter einer einheitlichen und komfortablen grafischen Oberfläche bereitgestellt. Kommunikationsdienste und Entwicklungswerkzeuge sind integriert. Die Dialogkomponente ist anpassbar an die Bedürfnisse der unterschiedlichen Nutzer, da der Anwenderkreis des Risikomanagementsystems sehr heterogen ist. Die Anpassbarkeit bezieht sich auf die Benutzerführung, die Hilfefunktionalität und auch auf die Informationsaufbereitung und die Präsentation der Ergebnisse.145 Je nach Anwenderkreis sind die Zugriffsbefugnisse auf die sensiblen Risikodaten einzurichten.146
5.3.2 Modellbank
Prospektives wie auch retrospektives Risikomanagement sollte auf einem soliden Modell basieren.147 Ein Modell ist eine zweckorientierte, vereinfachte Abbildung eines Realitätsausschnittes. In der Modellbank werden Modelle verwaltet und gespeichert.148
Modelle helfen bei der Identifikation und Bewertung von Risiken und können auch dabei helfen Risikowirkungen vorauszusagen, indem ein Verständnis für die Zusammenhänge innerhalb des Modells sowie die zutreffenden Folgen bei Eintreten bestimmter Ursachen entwickelt wird. Vor der Modellierung ist zu klären, was modelliert werden soll und in welcher Form dies geschehen soll. Zu diesem Zwecke ist herauszufmden, welche Fragen das Modell beantworten soll. Daraus lassen sich dann die wichtigen Bestandteile des Modells ableiten.
Operationelle Risiken resultieren aus Menschen, internen Verfahren und externen Ereignissen. Die Mitglieder der Organisation können durch die Aufbauorganisation vereinfacht abgebildet werden, die Verfahren und Systeme durch die Ablauf- organisation. An den Schnittstellen zur Unternehmensumwelt sind die externen Ereignisse anzusiedeln. Ein Modell des Unternehmens kann als Ausgangspunkt für Risikoanalyse und -Optimierungen dienen, indem Prozessketten und Organigramme auf risikosensitive Punkte überprüft werden. Interne und externe Schadensereignisse können dann in das Prozess- und Aufbaugefüge der Bank eingeordnet werden. Die Lokalisierung und Visualisierung erleichtert das Erkennen von Ursache-Wirkungs-Beziehungen, über die Untemehmensmodelle werden Abhängigkeiten von internen und externen Organisationseinheiten deutlich.149
Man unterscheidet verschiedene Modellkategorien:150
Terminologisch-deskriptive Modelle beschreiben die Objekte und ihre Beziehungen zueinander.
Empirisch-induktive Modelle definieren Variablen und ermitteln empirische Funktionen.
Analytisch-deduktive Modelle ermöglichen es, aus theoretischen Hypothesen und Verhaltensgleichungen Erklärungsmodelle mit Kausalfunktionen abzuleiten. In Verbindung mit Zielfunktionen und Nebenbedingungen dienen die Erklärungsmodelle als Entscheidungsmodelle.
Für jede dieser Modellkategorien gibt es Anwendungspotential im Management operationeller Risiken, so kann ausgehend von einer reinen Prozessbeschreibung (terminologisch-deskriptiv) die Definition von Risikoindikatoren vorgenommen werden. Aus den historischen Zeitreihen der Indikatoren kann mit Hilfe der Statistik eine empirische Funktion abgeleitet werden (empirisch-induktiv). Aus dieser Funktion kann dann die erwartete Höhe des operationeilen Risikos bei einer Änderung des Indikatorwertes berechnet werden. Werden die Wirkungsbeziehungen detailliert modelliert und mit der Zielfunktion des Unternehmens kombiniert, kann Risikomanagement mit Unterstützung eines Entscheidungsmodells betrieben werden.
Die Modellierung ist aufwändig, gerade bei großen Instituten können generische Prozessmodelle aber einen Ansatzpunkt bieten. Generische Prozessmodelle sind an die individuelle Situation des betrachteten Instituts anpassbar und bieten so Vereinfachungspotential bei der Modellierung 151
Ein Ansatz zur Speicherung der Modelle ist die Verwendung von objektorientierter Technologie auf Basis von Java. Dabei repräsentieren Objekte die relevanten Elemente des betrachteten Unternehmens. Die Nutzung von Java hat den Vorteil, das die Modelle unabhängig von der bestehenden Softwareumgebung verwendet werden können.152
5.3.3 Methodenbank
Methoden bieten Vorgehensweisen zur Bearbeitung der Modelle153. Sie sind „systematische Handlungsanweisungen, die in objektiver Weise zur Lösung von Aufgaben eine endliche, geordnete Anzahl von Vorschriften und Regeln festlegen“154 und werden in der Methodenbank verwaltet155.
Dazu können Verfahren des Operations Research herangezogen werden, wie Verfahren zur linearen, ganzzahligen, kombinatorischen und dynamischen Optimierung sowie Entscheidungsregeln bei Sicherheit, Risiko und Ungewissheit.156
Neben der Methode wird auch die dazugehörige Dokumentation gespeichert. Dem Benutzer sollten die Methoden nur selektiv und zum gewählten Modell passend angeboten werden.157
Konkret kann dies im Falle des Managements operationeller Risiken bedeuten, das auf Grundlage eines Entscheidungsmodells durch die passende Methode eine Risikosteuerungsempfehlung ermittelt wird.
5.3.4 Simulationskomponente
Die Simulationskomponente kann an verschiedenen Stellen Unterstützung leisten. Die Bestimmung von VaR-Werten kann über historische Simulationen oder durch Monte-Carlo-Simulationen erfolgen.158
Eine andere Art der Simulation basiert auf der Agententechnologie. In diesem Falle wird das Verhalten komplexer Systeme mittels Agenten simuliert, die miteinander interagieren können. Jeder Agent hat dabei ein eigenes Regelgefüge, dass sein Handeln steuert. Durch die Analyse des Verhaltens der Agenten lassen sich Rückschlüsse auf das Verhalten des komplexen Systems „Unternehmen“ ziehen, sofern das Unternehmen mit seinen Regeln korrekt abgebildet wurde.159
5.3.5 Datenbank
Das Management operationeller Risiken steht und fällt mit einer soliden Datenbasis.160 Die zentrale Bedeutung einer Schadensfalldatenbank wird schon daraus deutlich, dass sie Voraussetzung zur Anwendung des Standardised Approach ist161 sondern auch um die Erfassung der zukunftsbezogenen Einschätzungen bezüglich des Risikos, die Speicherung von Zeitreihen der Risikoindikatoren und die Verbindung mit Ertragsgrößen. Zusätzlich werden zur Ergänzung der internen Schadensfalldaten externe Daten herangezogen, die bisher nicht eingetretene Schadensfälle mit geringer Eintrittswahrscheinlichkeit aber großem Schadenspotential abdecken. Auch die Steuerungsmaßnahmen sollten verwaltet werden können, sei es nun die Minderung, der Transfer oder auch die Akzeptanz162 die Speicherung so vorzunehmen, dass die Auswertbarkeit nach verschiednen Dimensionen möglich ist163. Zunächst sind die vom Baseler Ausschuss starr vorgegebenen Klassifizierungen nach Business Line und Loss Type zu beachten. Diese werden regelmäßig nicht mit den Strukturen des betrachteten Instituts über- einstimmen, so dass eine entsprechende Überleitung zu realisieren ist. Neben den hier schon genannten drei Dimensionen sind noch weitere denkbar, so unter anderem die zeitliche Dimension oder eine regionale Dimension.
Die Datenbasis sollte vollständig sein, es ist sicherzustellen, dass alle Schadensfälle über einer zu definierenden Erfassungsgrenze auch wirklich in die Datenbasis eingebracht werden.164 Kleine und große Schadensfälle sind gleichermaßen zu erfassen, um eine unverzerrte Darstellung der historischen Risikolage zu erhalten. Die Schäden sind mit genügend Attributen zu speichern, damit eine Zuordnung von Risikoursache und Risikowirkung erfolgen kann. Es sind Anforderungen an die Datenqualität zu definieren, die dann bei der Aufnahme in die Datenbank einzuhalten sind. Die Datenhistorie sollte ausreichen um die Anforderungen des Baseler Ausschusses zu erfüllen, also zunächst eine dreijährige und im weiteren Verlauf eine funfjahrige Historie165 lange Historie ebenso zu Verfälschungen führen kann wie eine zu kurze Zeitreihe. Sofern möglich, sollten die Daten redundanzfrei gespeichert werden, um Mutationsanomalien zu verhindern. Bei der Schadensfallbeschreibung sind neben den rein quantitativen Daten auch die speziellen Begleitumstände zu dokumentieren. Die Datenbasis sollte möglichst detailliert sein, um eine feinere Risikoabstufung vornehmen zu können und gegebenenfalls Änderungen an den Anforderungen realisieren zu können.
Aus den gegebenen Kriterien lässt sich die Speicherung der operationeilen Risikodaten in einem Data Warehouse ableiten 166 unternehmensweites Konzept [...], dessen Ziel es ist, eine logisch zentrale, einheitliche und konsistente Datenbasis für die vielfältigen Anwendungen zur Unterstützung der analytischen Aufgaben von Fach- und Führungskräften aufzubauen, die losgelöst von den operativen Datenbanken betrieben wird.“167 Im Data Warehouse werden die Daten aus den verschiedenen, heterogenen Banksystemen zusammen mit externen Daten und den manuell erfassten Daten verwaltet, wie in
Abb. 6 zu sehen ist. Dazu müssen die Daten vereinheitlicht werden, um einen konsistenten Datenbestand bei der Übernahme der Daten sicherzustellen. Dabei kann es sich um das Handelsvolumen des Kundenhandels aus den Handelsabwicklungssystemen, um die Fluktuationsraten des Personals oder auch die Zahl der Fortbildungstage aus den personalwirtschaftlichen Systemen handeln. Die Daten sind themenorientiert auswertbar zu speichern, dies bedeutet, dass die relevanten Dimensionen bei der Speicherung beachtet werden. Im speziellen Fall sind dies die Business Line und der Loss Type aus den Baseler Anforderungen ebenso wie die interne Systematik der Bank. Wie schon oben erläutert ist eine Zeitorientierung der Datenspeicherung empfehlenswert. Die Daten sollten beständig sein, das heißt über einen langen Zeitraum vorgehalten werden168.
Bei der Sammlung der Daten sehen sich die Institute jedoch gravierenden Schwierigkeiten gegenüber.169 Bei qualitativen Daten, also den Daten, die durch subjektive Einschätzungen erhoben werden, ist eine Vergleichbarkeit der Einschätzungen nur bedingt möglich. Um eine Vergleichbarkeit herzustellen sind Einschätzungen in monetären Größen in Verbindung mit Eintrittswahrscheinlichkeiten abstrakten Scorewerten vorzuziehen. Bei der Einschätzung von Risiken muss beachtet werden, dass entsprechende Anreizsysteme existieren sollten, damit die Mitarbeiter realistische Einschätzungen treffen. Ohne Anreizsysteme kann es zum Verschweigen von Risiken kommen, da die Mitarbeiter Sanktionen befürchten.
Die Herausforderung bei quantitativen Daten ist die Zuordnung der Verantwortlichkeit für die Datenerfassung. Wird die Verantwortung auf höheren Hierarchieebenen angesiedelt, kann es schwierig werden, die Verlustfälle vollständig zu erfassen. Untere Hierarchieebenen sollten in der Thematik zunächst geschult werden, um eine vollständige und ordnungsmäßige Erfassung sicherzustellen. Tendenziell wird die Erfassung jedoch eher auf unteren Hierarchieebenen angesiedelt werden, da hier die Verlustfälle entdeckt beziehungsweise erfahren werden.
Die Daten aus den internen Vorsystemen sind von der Struktur her meist sehr unterschiedlich und weisen häufig gravierende Mängel hinsichtlich der Datenqualität auf170. Die genannten Anforderungen und Schwierigkeiten werden daher dazu führen, dass zur Integration der internen Daten ein umfangreiches Integrations- 171
Die Analyse der Daten kann über Online Analytical Processing (OLAP) oder auch durch Data Mining erfolgen.172
OLAP ist ein dynamischer Prozess, bei dem der Anwender intuitiv durch eine multidimensionale Datenstruktur navigiert. Das bedeutet, der Anwender kann den imaginären Informationswürfel pivotisieren und drehen, die Informationen auf unterschiedlichen Aggregationsstufen und -pfaden betrachten (Roll-up, Drilldown, Drill-across) oder auch kleinere Würfel oder Dimensionen herausschneiden (Slice and Dice).
Data Mining ist ein Teilprozess des Knowledge Discovery in Databases (KDD). Mittels der Data Mining Techniken wird versucht, Muster innerhalb der Daten zu entdecken. Dies kann erfolgen durch Clusterbildung, Klassifikation, Regression oder auch Abhängigkeits- und Abweichungsentdeckung. Data Mining kann also im Rahmen des Risikomanagements genutzt werden, um die historischen Schadensdaten auf bisher unentdeckte Zusammenhänge zu überprüfen, die ex-ante Schätzungen der Experten auf ihre Aussagekraft zu testen oder auch um potentielle Risikoindikatoren zu entdecken.
5.3.5.1 Ex-post Schadensfalldaten
Die Erfassung von in der Vergangenheit eingetretenen Verlustfällen aus operationeilen Risiken ist derzeit der Schwerpunkt in der wissenschaftlichen Diskussion, da ebendies die Grundlage für die Anwendung mathematisch-statistischer Verfahren zur Bewertung operationeller Risiken ist. Dabei stellt die Aufzeichnung der Schadensfälle für viele Institute schon eine erhebliche Herausforderung dar, da nicht klar ist, welche Verlustfälle nun aufgezeichnet werden müssen oder sollen, wer dafür verantwortlich ist und welche Attribute eines Schadensfalles gespeichert werden müssen.173
Ein weiteres Problem ist die Zuordnung der Schäden auf die vom Baseler Ausschuss geforderte Systematik aus Business Line / Loss Type, die in dieser Form in der Regel nicht deckungsgleich mit den Geschäftsfeldem und Begrifflichkeiten der Bank ist. Das führt dazu, dass die bestehenden Geschäftsfelder in die vorgegebene Systematik überführt werden müssen. Gleiches gilt für die Verlustfälle.174
Tabelle 2 führt exemplarisch mögliche Attribute zur Beschreibung eines eingetretenen Schadensfalles auf.
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 2: Attribute zur Schadensfallbeschreibung175
Neben der Überführung der bankinternen Systematik in die Begrifflichkeit des Baseler Ausschusses kann es weitere Probleme bei der Erfassung geben, da sich Schadensfälle aus operationeilen Risiken nicht immer eindeutig und vollständig einer Loss Type / Business Line Kombination zuordnen lassen.176
In Abb. 7 werden die relevanten Dimensionen anhand von Dimensionentabellen in einem Snowflake Schema dargestellt. Es handelt sich um die Dimensionen Zeit, Business Line und Loss Type. Innerhalb der Dimension Business Line wurden die Level 2 Business Lines eindeutig den Geschäftsfeldern der Bank zugeord-
Abbildung in dieser Leseprobe nicht enthalten
net177. In der Faktentabelle FAKTLOSSEVENTS werden die Verlustfälle mit den zuvor definierten Attributen gespeichert.
Abb. 7: Snowflake Schema historische Schadensfälle178
5.3.5.2 Ex-ante Schadensfalldaten
Die ex-ante Schadensfalldaten sind das Ergebnis der Risikoidentifikation und -bewertung. Dabei handelt es sich um Einschätzungen, in welcher Höhe innerhalb einer bestimmten Zeit Verluste aus operationeilen Risiken mit welcher Wahrscheinlichkeit anfallen. Um diese Einschätzung zu erhalten, werden die in Abschnitt 4.1 und 4.2 beschriebenen Verfahren genutzt.
Die Einschätzungen sind grundsätzlich ebenfalls in das oben erläuterte Dimensionengefüge einzuordnen, wie aus Abb. 8 deutlich wird, allerdings sind die Attribute verschieden. Je nach Art der Schätzung kann es notwendig sein, Scorewerte zu erfassen oder auch monetäre Größen in Verbindung mit Wahrscheinlichkeitsverteilungen. Die genaue Attributkombination hängt vom konkreten Einzelfall ab. Sicherlich macht es aber Sinn, die zur Einschätzung verwendeten Verfahren mit aufzuzeichnen, um so im Laufe der Zeit die tatsächlichen Schadensfälle mit den
Zu den Business Lines und Loss Events siehe Anhang A und Anhang B.
Abb. 8: Snowflake Schema Risikoprognose179
Abbildung in dieser Leseprobe nicht enthalten
Erwartungen zu vergleichen. Auf diese Weise können die Verfahren zur Risikoeinschätzung auf ihre Güte hin untersucht werden.
5.3.5.3 Integration externer Schadensdaten
Zur Berechnung des Risikokapitals ist es notwendig, Aussagen über die gesamte Verlustverteilung zu machen, wie sie in Abb. 4 auf Seite 29 zu sehen ist. Die Risiken mit sehr geringer Eintrittswahrscheinlichkeit aber sehr großem Ausmaß sind in der Vergangenheit sicherlich nicht in jedem Institut aufgetreten, somit existieren keine historischen Daten auf Ebene des Einzelinstituts. Es ist mithin angebracht, externe Daten mit in die Analyse einzubeziehen, um die Verteilungsfunktion zu vervollständigen. Dieses Vorgehen hat noch weitere positive Effekte, da die Möglichkeit besteht, Verluste anderer Institute als Anregung für tiefergehende Nachforschungen im eigenen Hause zu nutzen und so aus den negativen Erfahrungen anderer Institute zu lernen.[180]
Mögliche Quellen externer Daten sind Veröffentlichungen in der Wirtschafts- und Fachpresse, an dieser Stelle werden primär die Schäden mit sehr großem Ausmaß zu finden sein. Studien von Wirtschaftsprüfern, Untemehmensberatem oder von Aufsichtsbehörden und auch die branchenweiten Datenpools, die sich derzeit im Aufbau befinden, können genutzt werden. Um in das Data Warehouse eingebunden zu werden, sollte der externe Datenpool über eine einheitliche Definition und Begrifflichkeit verfügen und hohen Anforderungen an die Datenqualität genügen. Dies ist notwendig, damit die Daten in das institutsinteme Dimensionengefüge (siehe Abb. 9) eingebunden werden können. Werden auch Schadensfälle an den Datenpool herausgegeben, so ist sicherzustellen, dass die Anonymität des meldenden Instituts gewahrt bleibt.[181]
Abbildung in dieser Leseprobe nicht enthalten
Abb. 9: Snowflake Schema externe Daten182
Bisher noch ungelöst ist die Frage der geeigneten Größen zu Anpassung der externen Daten an das betrachtete Institut. Verschiedene Größen zur Kalibrierung werden diskutiert, beispielsweise Umsatz, Assets under Management, Bilanzsumme, Kosten, Mitarbeiterzahl, Alter der Informationstechnologie oder auch verschiedene Ertragsmaße.[183]
5.3.5.4 Aufzeichnung von Risikoindikatoren
Die in Abschnitt 4.2.2 bereits eingeführten Risikoindikatoren sind Bezugsgrößen zur Kalkulation und Analyse von Schadensfällen. Risikoindikatoren können teilweise automatisch aus den operativen Systemen des Instituts extrahiert werden und in ein Monitoringboard überführt werden.184 Risikoindikatoren sind Kennzahlen, bei deren positiver oder negativer Änderung von Auswirkungen auf das Risiko und damit auf die Höhe des Risikokapitals ausgegangen wird.
Abbildung in dieser Leseprobe nicht enthalten
Abb. 10: Snowflake Schema Risikoindikator185
Mit Hilfe von den oben bereits erwähnten Data Mining Techniken lassen sich Zusammenhänge zwischen den aufgezeichneten Indikatoren und den in der Vergangenheit aufgetretenen Schadensfällen aufzeigen und Ursache-Wirkungshypothesen generieren beziehungsweise prüfen.
Indikatoren aus dem Personalmanagement können bereichsbezogene Fluktuationsgrößen sein, ebenso wie Akademikeranteile, Krankheitsquoten oder Seminarteilnahmen.
Bezüglich der IT-Sicherheit sind beispielsweise die Anwenderbeurteilung des Systems, das Systemalter, Ausfallzeiten, Kompatibilität und Notfallplanung mögliche Indikatoren für operationeile Risiken.
In Abb. 10 wird exemplarisch die Einbindung in die Datenbank gezeigt. Ganz bewusst wird auf die Verbindung zu den anderen Dimensionen verzichtet, um diese Verbindungen im Nachhinein mit Hilfe von Data Mining Verfahren empirisch zu ermitteln.
5.3.5.5 Verwaltung von Risikosteuerungsmaßnahmen
Abbildung in dieser Leseprobe nicht enthalten
Abb. 11: Snowflake Schema Risikosteuerungsmaßnahmen186
Die Risikosteuerungsmaßnahmen müssen ebenfalls in der Datenbank mit verwaltet werden, da ansonsten bei der Risikoanalyse immer nur die Bruttorisikopositionen Berücksichtigung finden. Wie bereits in Abschnitt 4.4 erläutert, handelt es sich bei den möglichen Steuerungsoptionen um Vermeidung, Verminderung, Transfer oder Akzeptanz. Gerade bei Minderungs- und Transfermaßnahmen ist es zur Evaluation der Maßnahmen zielführend, die Maßnahme mit den dafür not- wendigen Aufwendungen bestimmten Business Line / Loss Type Kombinationen zuzuordnen und somit im Nachhinein die Beurteilung durchführen zu können.
Abb. 11 verdeutlicht, dass sich auch die Steuerungsmaßnahmen mit einer Faktentabelle in das Gefüge aus Dimensionstabellen einbinden lassen.
5.3.6 Reportbank
Ein Report ist die anschauliche und informative Darstellung des Ergebnisses einer Datenanalyse am Bildschirm oder in Papierform. Gute Reportgeneratoren erlauben die Bildung von Zwischen- oder Endsummen sowie grafische Auswertungen. Um Berichte, die wiederholt benötigt werden, nicht vor jeder Anwendung neu erstellen zu müssen, werden einmal erstellte Reports in der Reportbank gespeichert.187 Zur Erstellung der Reports sollten flexible und intuitiv zu bedienende Reportingwerkzeuge zur Verfügung stehen, dazu sollten OLAP Tools in Betracht gezogen werden. Werden die Berichte in elektronischer Form nachgefragt, zum Beispiel von den Aufsichtsbehörden, können möglicherweise zum Austausch der Informationen Technologien wie XML (extensible mark-up language) oder auch XBRL (extensible business reporting language) zum Einsatz kommen. XBRL basiert auf XML und stellt ein Datenaustauschformat für finanzielle Informationen dar. XBRL ist ein offener Standard 188
Das Reportingsystem sollte die folgenden Informationen zur Verfügung stellen:
- Schadenshöhe / erwarteter Verlust,
-Schadenshäufigkeiten,
-Schadensfallpotentiale aus Szenarioanalysen,
-Trendanalysen,
-Wirksamkeit von
-Risikosteuerungsmaßnahmen, - Risikoindikatoren mit deren Änderungen und Auswirkungen auf die Risikosituation,
-Bindung des ökonomischen Kapitals zur Unterlegung unerwarteter Verluste, 189 - risikoadjustierte Ertragsgrößen.
Insgesamt sollten diese Informationen nach den Dimensionen Produkte, Systeme,Schadensfallkategorien, Unternehmensbereiche und Prozesse auswertbar sein.
Es ist zu differenzieren zwischen dem internen Reporting und dem externen Reporting, da gerade die sensiblen Daten zur Risikolage des Instituts nur einer sehr sorgfältig auszuwählenden Zielgruppe zur Verfügung gestellt werden sollten. Das externe Reporting, mit Zielgruppen wie der Bundesbank oder auch anderen Marktakteuren, wird sich zweckmäßigerweise auf die Mindestpublikationsanforderungen des Baseler Ausschusses beschränken und somit nur das vorgehaltene Eigenkapital für operationeile Risiken je Business Line und den zur Bemessung der Eigenkapitalanforderung genutzten Ansatz veröffentlichen.
Das interne Reporting sollte den Zugriff auf die Daten und Analyseergebnisse sinnvoll beschränken, um einen Missbrauch der Daten zu verhindern. Insofern ist auch das Managementsystem für operationeile Risiken selbst wieder Ursprung operationeller Risiken.
6 Operational Risk Management Systeme
Dieser Abschnitt der Arbeit wird die soeben entwickelte Architektur mit der Realität konfrontieren, indem anhand von neun am Markt verfügbaren Produkten die Umsetzung dargestellt wird. Tabelle 3 zeigt, inwiefern sich die Elemente der in Abschnitt 5.3 vorgestellten Architektur in den einzelnen Produkten wiederfinden lassen.
Zunächst vorweg: eine Dialogkomponente weisen alle betrachteten Produkte auf, in den anderen Bereichen variiert der Leistungsumfang dagegen stark.
Agena iRisk basiert auf Bayesianischen Netzen und modelliert so die Wirkungszusammenhänge im Bereich operationeller Risiken. Um die Risiken zu bewerten bedient sich das System entweder vergangenheitsorientierter, quantitativer Daten oder qualitativer, in die Zukunft gerichteter Einschätzungen. Als Ergänzung können auch Daten aus externen Schadensfalldatenbanken herangezogen werden.190
Tabelle 3: Risikomanagementsysteme191
Algo OpRisk ist eine modular aufgebaute Lösung, die aus den Komponenten Algo OpData, AlgoOpCapital und Algo WatchDog besteht. Dabei übernimmt Algo OpData die Funktion der Datenbasis, in der die tatsächlichen Schadensfälle und auch die Risikoindikatoren abgelegt werden. Mit Hilfe von Algo OpCapital wird die Kapitalanforderung für operationeile Risiken berechnet. Zu diesem Zweck stehen vielfältige mathematische Methoden zur Verfügung, ebenso wie Möglichkeiten zur Simulation. In diesem Modul werden auch die benötigten Reports verwaltet. Algo WatchDog nutzt ebenso wie Agena iRisk Bayesianische Netze um die Wirkungszusammenhänge zu modellieren und damit Aussagen über zukünftige Risikoentwicklungen zu geben.192
Amelia OR2Q zeichnet die Risikoereignisse in einer Datenbank auf. Zur Einschätzung der zukünftigen Entwicklungen werden Risikoindikatoren genutzt, in Verbindung mit einer Beurteilung der Steuerungsmaßnahmen entsteht so ein Bild über die Risikolage der Bank. Mit Hilfe einer Analytical Engine können mathematisch-statistische Auswertungen vorgenommen werden. Diese basieren entweder auf den gesammelten Risikodaten oder auch auf Daten aus anderen Systemen, entweder bankintem oder auch extern. Diese Daten werden nicht zentral im Risikomanagementinformationssystem gespeichert, sondern über Schnittstellen ver fügbar gemacht. Um die Daten zielgruppengerecht aufbereiten zu können, steht ein Reportgenerator zur Verfügung.193
JPMorgan Horizon verfolgt einen grundsätzlich anderen Ansatz. Im Gegensatz zu den zuvor betrachteten Produkten werden hier die mathematischen Methoden und Modelle über Ursache und Wirkungen außen vor gelassen. Horizon stützt sich auf die Einschätzungen der internen Kontrollmechanismen und leitet daraus die Risikolage der Bank ab, es werden somit nur qualitative, zukunftsorientierte Daten gesammelt und dem Management dann in Form übersichtlicher Reports vermittelt. Die aus der Risikolage abgeleiteten Handlungspläne verwaltet das System ebenfalls.194
Fitch OpVantage ist dagegen ein sehr viel umfassenderes Werkzeug. Grundlage ist auch hier zunächst die Sammlung von historischen Verlustdaten aus operationeilen Risiken. Zusätzlich werden auch noch Zeitreihen potentieller Risikoindikatoren aufgebaut. Die internen Daten können bei Bedarf mit externen Daten kombiniert werden und über eine Sammlung mathematischer und statistischer Funktionen ausgewertet werden. Simulationen und Szenarioanalysen sind möglich, dabei kann auch die Wirkung der verschiedenen Steuerungsoptionen modelliert werden. Die gewonnen Informationen werden auch bei OpVantage über Re195
Pacemetrics PaceMaker ist ein sehr spezialisiertes System zur Überwachung von Prozessen. Dabei wird anhand von Indikatoren der Status von Prozessen überwacht und Störereignisse aufgezeichnet. Über die grafische Benutzungsoberfläche wird der Status der Prozesse mit Hilfe einer Ampelfunktion dargestellt, so dass die verantwortlich Fuhrungskraft GegenmaBnahmen ergreifen kann196
Die Schadensfalldatenbank ist auch bei zeb/operational.risk-manager die zentrale Komponente. Ergänzt werden die ex-post Schadensfalldaten durch ein Self-Assessment, auf diese Weise finden zukunftsorientierte Daten Eingang in die Analyse. Mittels Risikoindikatoren kann ein Frühwarnsystem aufgebaut werden.
Durch mathematische Funktionen kann die notwendige Eigenkapitalunterlegung gemäß den Anforderungen aus Basel II berechnet werden. Unterschiedliche Reports geben einen Überblick über die Risikolage der Bank.197
Der Lösungsansatz von Interexa stellt derzeit noch den Aufbau einer historischen Schadensfalldatenbank in den Vordergrund, die durch Berichte auswertbar ist. In Zukunft sollen weitere Module hinzukommen, einerseits werden dann Risikoindikatoren mit in der Datenbank abgelegt, andererseits werden Risiko-Profile mit Hilfe von Expertenschätzungen Auskunft über die zukunftsorientierte Risikolage des Unternehmens geben können.198
Eurobios setzt auf die Vorteile einer agentenbasierten Simulation. Dabei werden die Elemente des Unternehmens durch Agenten mit Verhaltensregeln repräsentiert und das Verhalten der Agenten mit verschiedenen Verhaltensregeln analysiert199
7 Fazit und Ausblick
Im Rahmen der Arbeit wurde zunächst die aufsichtsrechtliche Perspektive des Managements operationeller Risiken beschrieben, indem in einem ersten Schritt Basel II im Allgemeinen und in einem zweiten Schritt die Behandlung operationeller Risiken innerhalb von Basel II im Speziellen umrissen wurde.
Da die aufsichtsrechtliche Perspektive und die ökonomische Perspektive bei Anwendung der Advanced Measurement Approaches zunehmend konvergieren, wurden die betriebswirtschaftlichen Ansätze zum Management operationeller Risiken im Anschluss dargestellt. Sofern diese Ansätze den Ansprüchen der nationalen Bankenaufsicht, also im Falle Deutschlands der Bundesbank, genügen sind diese Ansätze auch zur Bemessung des regulatorischen Eigenkapitals zulässig.
Aus den verschiedenen Verfahren zum Management operationeller Risiken resultieren Anforderungen an ein Informationssystem, das den Risikomanager bei seiner Arbeit unterstützen kann. Um diesen Anforderungen zu genügen, ist in Abschnitt 5.3 durch Kombination bewährter Konzepten der Wirtschaftsinformatik eine Architektur entwickelt worden, die Unterstützung in allen Phasen des Risikomanagementprozesses leisten kann. Dazu wurde zunächst die Konzeption des Management Support Systems herangezogen, bestehend aus Dialogkomponente, Modellbank, Methodenbank, Datenbank und Reportbank, ergänzt durch eine Simulationskomponente. Die Dialogkomponente ist die Benutzungsoberfläche, sie integriert den Zugriff auf die vielfältigen Funktionen des Risikomanagementsystems. In der Modellbank werden die für das Risikomanagement benötigten Modelle verwaltet, dabei kann es sich um Unternehmensmodelle hinsichtlich Aufbau- und Ablauforganisation handeln oder auch um Modelle von Ursache-Wirkungsbeziehungen. Durch die Kombination von Modellen mit Methoden ist es möglich, dem Risikomanager umfassende Entscheidungsunterstützung im Rahmen der Risikosteuerung zu bieten. Als Datenbank dient ein Data Warehouse, da für das Management operationeller Risiken eine flexible, multidimensionale Auswertbarkeit der Daten vonnöten ist. Zusätzlich können auf den Datenbestand Data Mining Verfahren angewandt werden, um Zusammenhänge zwischen den Datenbeständen zu erkunden. In der Reportbank werden die Risikoberichte gespeichert. Es kann sich dabei um verschiedenste Darstellungsformen der Daten handeln. Über die
Simulationskomponente können verschiedene Ergebnisse erzielt werden: Einerseits kann sie dazu dienen, Zufallsverteilungen zur Ermittlung eines VaR zu generieren, andererseits ist es bei Anwendung von agentenbasierter Technologie möglich, das Verhalten von komplexen Systemen zu simulieren.
Dieser umfassenden Lösung wurden danach neun am Markt verfügbare Produkte gegenübergestellt. Dabei entstand ein sehr heterogenes Bild: Von sehr spezialisierten Lösungen wie Eurobios, die sich auf die Bereitstellung einer Simulationskomponente beschränkt, bis hin zu umfassenden quantitativen Lösungen wie Fitch OpVantage oder Algo OpRisk, die nahezu alle Komponenten der zuvor entwickelten Architektur abdecken.
Bisher unbeantwortet bleibt die Frage, welche Risikomanagementverfahren welche Güte besitzen, es ist nicht möglich, eine wissenschaftlich fundierte Empfehlung für oder gegen qualitative beziehungsweise quantitative Verfahren auszusprechen. An dieser Stelle, ebenso wie bei der Wahl der richtigen Risikoindikatoren, besteht auch in Zukunft noch verstärkt Forschungsbedarf.
Literaturverzeichnis
Agena Limited (o. J.)
Agena Limited: iRisk. The intelligent solution for quantifying Operational Risk. http://www.agena.co.uk/public_pages/products/iRISK.pdf, Abruf am 03.07.2003.
Aichholz (2002)
Aichholz, Steffen: Controlling Operationeller Risiken in der Landesbank Ba- den-Würtemberg - ein Umsetzungskonzept. In: Eller et al. (2002b), S. 257 - 282.
Algorithmics Incorporated (o. J.)
Algorithmics Incorporated: Algo OpRisk. The world's finest operational risk management solution for the enterprise, http://www.algorithmics.com/ solutions/oprisk/OPRisk2002_brochure.pdf, Abruf am 03.07.2003.
Anders (2001)
Anders, Ulrich: Qualitative Anforderungen an das Management operativer Risiken. In: Die Bank (2001) 6, S. 442 - 446.
Basel Committee on Banking Supervision (1996)
Basel Committee on Banking Supervision: Amendment to the capital accord to incorporate market risks. Basel 1996.
Basel Committee on Banking Supervision (2001a)
Basel Committee on Banking Supervision: The New Basel Capital Accord. Basel 2001.
Basel Committee on Banking Supervision (2001b)
Basel Committee on Banking Supervision: Consultative Document Operational Risk. Basel 2001.
Basel Committee on Banking Supervision (2001c)
Basel Committee on Banking Supervision: Working Paper on the Regulatory Treatment of Operational Risk. Basel 2001.
Basel Committee on Banking Supervision (2001d)
Basel Committee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk. Basel 2001.
Basel Committee on Banking Supervision (2001e)
Basel Committee on Banking Supervision: Working Paper on Pillar 3 - Market Discipline. Basel 2001.
Basel Committee on Banking Supervision (2002a)
Basel Committee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk. Basel 2002.
Basel Committee on Banking Supervision (2002b)
Basel Committee on Banking Supervision: Operational Risk - Rules Language. Im Entwurf. Basel 2002.
Basel Committee on Banking Supervision (2003a)
Basel Committee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk. Basel 2003.
Basel Committee on Banking Supervision (2003b)
Basel Committee on Banking Supervision: The 2002 Loss Data Collection Exercise for Operational Risk: Summary of the Data Collected. Basel 2003. Basel Committee on Banking Supervision (2003c)
Basel Committee on Banking Supervision: Consultative Document - The New Basel Capital Accord. Basel 2003.
Bauer / Günzel (2001)
Bauer, Andreas; Günzel, Holger (Hrsg.): Data-Warehouse-Systeme: Architektur, Entwicklung, Anwendung. Heidelberg 2001.
Beck et al. (2002)
Beck, Andreas; Lesko, Michael; Stockier, Ralf: Basel II - Auswirkungen auf die IT-Struktoren der Bankpraxis. In: Zeitschrift für das gesamte Kreditwesen 55 (2002)3-4, S. 153 - 159.
Beeck / Kaiser (2000)
Beeck, Helmut; Kaiser, Thomas: Quantifizierung von Operational Risk mit Value-at-Risk. In: Johanning / Rudolph (2000a), S. 633 - 653.
Ber oggi (1995)
Beroggi, Giampiero E.G.: Neue Technologien zur Unterstützung des Risikomanagements. Eine Systems Engineering Betrachtungsweise zum Entwurf von Risikoinformationssystemen. Zürich 1995.
Bichler (1997)
Bichler, Martin: Aufbau untemehmensweiter WWW-Informationssysteme. Braunschweig, Wiesbaden 1997.
Biester et al. (2002)
Biester, Nils; Latimore, Dan; Raposo, John: IBM (Hrsg.): Your Basel II implementation: Compliant or catalytic? New York 2002.
Boos/ Schulte-Mattler (2001a)
Boos, Karl-Heinz; Schulte-Mattler, Hermann: Basel II: Methoden zur Quantifizierung operationeller Risiken. In: Die Bank (2001) 8, S. 549 - 553.
Boos/ Schulte-Mattler (2001b)
Boos, Karl-Heinz; Schulte-Mattler, Hermann: Basel II: Bankenaufsichtliches Überprüfungsverfahren. In: Die Bank (2001) 9, S. 646 - 648.
Boos/ Schulte-Mattler (2001c)
Boos, Karl-Heinz; Schulte-Mattler, Hermann: Basel II: Marktdisziplin durch erweiterte Offenlegung. In: Die Bank (2001) 11, S. 795 - 799.
Brink (2001)
Brink, Gerrit van den: Operational Risk: Wie Banken das Betriebsrisiko beherrschen. Stuttgart 2001.
Brockmann et al. (2000)
Brockmann, Michael; Danschke, Rainer; Dewner, Thomas M.: Implementierung der Risikomessung und -Steuerung in einer divisional strukturierten Bank. In: Johanning / Rudolph (2000b), S. 919 - 940.
Brühwiler (2001)
Brühwiler, Bruno: Untemehmensweites Risk Management als Frühwarnsystem: Methoden und Prozesse für die Bewältigung von Geschäftsrisiken in integrierten Managementsystemen. Bern, Stuttgart, Wien 2001.
Buderath / Amling (2000)
Buderath, Hubertus; Amling, Thomas: Das Interne Überwachungssystem als Teil des Risikomanagements. In: Dömer et al. (2000), S. 129 - 151.
Buhr (2000)
Buhr, Reinhard: Messung von Betriebsrisiken - ein methodischer Ansatz. In: Die Bank (2000) 3, S. 202 - 206.
Burger / Buchhart (2002)
Burger, Anton; Buchhart, Anton: Risiko-Controlling. München, Wien 2002.
Carey (2001)
Carey, Anthony: Effective Risk Management in Financial Institutions: The Turnbull Approach. In: Balance Sheet 9 (2001) 3, S. 24 - 27.
Ceulebroeck / Wallis (2002a)
Ceulebroeck, Alex Van; Wallis, Jon: IBM (Hrsg.): All Systems Go? The Impact of Basel II on Financial Services Firms. New York 2002.
Ceulebroeck / Wallis (2002b)
Ceulebroeck, Alex Van; Wallis, Jon: IBM (Hrsg.): Adressing the Systems Architecture Implications of Basel II. New York 2002.
Chamoni / Gluchowski (1999a)
Chamoni, Peter; Gluchowski, Peter (Hrsg.): Analytische Informationssysteme: Data Warehouse, On-Line Analytical Processing, Data Mining. 2., neubearb. Auflage. Berlin, Heidelberg u.a. 1999.
Chamoni / Gluchowski (1999b)
Chamoni, Peter; Gluchowski, Peter: Analytische Informationssysteme - Einordnung und Überblick. In: Chamoni / Gluchowski (1999a), S. 3 - 26.
Deutsche Bundesbank (2002)
Deutsche Bundesbank: Geschäftsbericht 2001. Frankfurt a. M. 2002.
Deutsche Bundesbank (2003)
Deutsche Bundesbank: Bankenaufsicht - Basel II. http://www.bundesbank.de/ bank/bank_basel.php, Abruf am 10.07.2003.
Dörner et al. (2000)
Dörner, Dietrich; Horväth, Péter; Kagermann, Henning (Hrsg.): Praxis des Risikomanagements: Grundlagen, Kategorien, branchenspezifische und strukturelle Aspekte. Stuttgart 2000.
Dresel et al. (2003)
Dresel, Tanja; Dui dinger, Andreas; Zanthier, Ulrich von: Management operationeller Risiken in Kreditinstituten - Trends und Praxis. In: Zeitschrift für das gesamte Kreditwesen 56 (2003) 9, S. 468 - 472.
Eller et al. (1999)
Eller, Roland; Gruber, Walter, Reif, Markus (Hrsg.): Handbuch Bankenaufsicht und Interne Risikosteuerungsmodelle: Quantifizierung und Analyse mit bankinternen Modellen, bankaufsichtliche Anforderungen. Stuttgart 1999.
Eller et al. (2002a)
Eller, Roland; Gruber, Walter; Reif, Markus (Hrsg.): Handbuch des Risikomanagements. Analyse, Quantifizierung und Steuerung von Markt-, Kredit- und operationeilen Risiken. Stuttgart 2002.
Eller et al. (2002b)
Eller, Roland; Gruber, Walter; Reif, Markus (Hrsg.): Handbuch Operationelle Risiken: Aufsichtsrechtliche Anforderungen, Quantifizierung und Management, Praxisbeispiele. Stuttgart 2002.
Erben / Romeike (2002)
Erben, Roland F.; Romeike, Frank: Risk-Management-Informations-Systeme: Potentiale einer umfassenden FT-Unterstützung des Risk Managements. In: Pastors / PIKS (2002), S. 551 - 579.
Eurobios (o. J.)
Eurobios: Case Studies: Operational Risk Management.
http://www.eurobios.com/pages/pop_up_gb/pop_up_case_studies. asp?num=4, Abruf am 07.03.2003.
Faisst / Kovacs (2002)
Faisst, Ulrich; Kovacs, Markus: Methoden zur Quantifizierung operationeller Risiken. Universität Augsburg, Lehrstuhl für Betriebswirtschaftslehre, Wirtschaftsinformatik & Financial Engineering, Kernkompetenzzentrum IT & Finanzdienstleistungen, Diskussionspapier WI-123 2002 Faisst et al. (2002a)
Faisst, Ulrich; Huther, Andreas; Schneider, Karen: Basel II - Status, Systemanforderungen und Perspektiven, if-news Nr. 12, Newsletter der Fachgruppe Informationssysteme in der Finanzwirtschaft der Gesellschaft für Informatik e.V., Juli 2002.
Faisst et al. (2002b)
Faisst, Ulrich; Huther, Andreas; Schneider, Karen: Management operationeller Risiken - Status, Systemanforderungen und Perspektiven (Teil 1). In: Kredit & Rating Praxis (2002) 3, S. 26 - 28.
Faisst et al. (2002c)
Faisst, Ulrich; Huther, Andreas; Schneider, Karen: Management operationeller Risiken - Status, Systemanforderungen und Perspektiven (Teil 2). In: Kredit & Rating Praxis (2002) 4, S. 22 - 24.
Fischer (2001a)
Fischer, Thomas R.: Operationale Risiken im neuen Baseler Kapitalakkord. In: Zeitschrift für das gesamte Kreditwesen 54 (2001) 12, S. 662 - 665.
Fischer (2001b)
Fischer, Thomas R.: Auswirkungen aufsichtsrechtlicher Eigenmittelanforderungen auf die Risikosteuerung von Banken. In: Rolfes / Fischer (2001), S. 178 - 186.
Fischer (2002)
Fischer, Thomas R.: Auswirkungen des neuen Baseler Eigenkapitalakkordes auf die Risikosteuerung von Banken. In: Kolbeck / Wimmer (2002), S. 21 - 34. Fitch Risk (o. J.)
Fitch Risk: Operational Risk in your business equation.
http://www.fitchrisk.com/OVbro.pdf, Abruf am 03.07.2003.
Frenkel et al. (2000)
Frenkel, Michael; Hommel, Ulrich; Rudolf, Markus (Hrsg.): Risk management: challenge and opportunity. Berlin, Heidelberg, New Yorku.a. 2000.
Füser et al. (2002)
Füser, Karsten; Rödel, Kristian; David, Kang: Identifizierung und Quantifizierung von "Operational Risk". In: Finanz Betrieb (2002) 9, S. 495 - 502.
Geiger / Piaz (2001)
Geiger, Hans; Piaz, Jean-Marc: Identifikation und Bewertung operationeller Risiken. In: Schierenbeck et al. (2001), S. 789 - 802.
Giese (2002)
Giese, Guido: Kritik und Verbesserungsvorschläge für den Basel II Akkord. In: Der Schweizer Treuhänder (2002) 1-2, S. 67 - 74.
Gluchowski (1999)
Gluchowski, Peter: Data Warehouse - Konzepte, Produkte, Einsatzmöglichkeiten. In: Gabriel (1997), S. 1 - 19.
Gluchowski et al. (1997)
Gluchowski, Peter; Gabriel, Roland; Chamoni, Peter: Management Support Systeme: computergestützte Informationssysteme für Führungskräfte und Entscheidungsträger. Berlin u.a. 1997.
Göckenjahn et al. (1999)
Göckenjahn, Christian; Holdemeth, Albrecht; Seiffart, Gordon: Anforderungen an ein Risikomodell zur Gesamtbanksteuerung und dessen softwaretechnische Umsetzung. In: Eller et al. (1999), S. 343 - 362.
Hanker (1998)
Hanker, Peter: Management von Marktpreis- und Ausfallrisiken: Instrumente und Strategien zur Risikominimierung in Banken. Wiesbaden 1998.
Hansen / Neumann (2001)
Hansen, Hans R.; Neumann, Gustaf: Wirtschaftsinformatik I: 8., völlig neubearbeitete und erweiterte Auflage. Stuttgart 2001.
Hartmann (2003)
Hartmann, Wolfgang: Risikomanagement am Beispiel der Commerzbank AG. In: Zeitschrift für das gesamte Kreditwesen 56 (2003) 6, S. 291 - 295.
Helten et al. (2000)
Helten, Elmar; Bittl, Andreas; Liebwein, Peter: Versicherung von Risiken. In: Dörner et al. (2000), S. 153 - 192.
Helwig (2002)
Helwig, Christian: Das zweite Konsultationspapier der Neuen Basler Eigenkapitalvereinbarung. In: Eller et al. (2002a), S. 77 - 102.
Henn / Schäl (o. J.)
Henn, Erich Tobias; Schäl, Ingo: zeb/operational.risk-manager.
http://www.zeb. de/zeb/download/zeb_it/zeb_operational_risk_manager.pdf, Abruf am 03.07.2003.
Hofmann (2002)
Hofmann, Mathias: Identifizierung, Quantifizierung und Steuerung operationeller Risiken in Kreditinstituten. Frankfurt a. M. 2002.
Hollnagel (1995)
Hollnagel, Erik: Computer Supported Risk Management. Between Scylla an Charybdis. In: Beroggi / Wallace (1995), S. 33 - 48.
Hommel (2000)
Hommel, Ulrich: Managing Catastrophic Risk with Financial Instruments. In: Frenkel et al. (2000), S. 39 - 62.
Horváth / Gleich (2000)
Horváth, Péter; Gleich, Ronald: Controlling als Teil des Risikomanagements. In: Dörner et al. (2000), S. 99 - 126.
Interexa (o. J.)
Interexa: Operational Risk Center, http://www.interexa.de/de/orc_info2.html, Abruf am 02.07.2003.
Jameson / Walsh (2000)
Jameson, Rob; Walsh, John: Software round-up. http://www.fmancewise.com/ public/edit/riskm/oprisk/opr-softOO.htm, Abruf am 02.07.2003.
Johanning / Rudolph (2000a)
Johanning, Lutz; Rudolph, Bernd (Hrsg.): Handbuch Risikomanagement: Band 1: Risikomanagement für Markt-, Kredit und operative Risiken. Bad Soden/Ts. 2000.
Johanning / Rudolph (2000b)
Johanning, Lutz; Rudolph, Bernd (Hrsg.): Handbuch Risikomanagement. Band 2: Risikomanagement in Banken, Asset Management Gesellschaften, Versiche- rungs- und Industrieunternehmen. Bad Soden/Ts. 2000.
Jovic (1999)
Jovic, Dejan: Risikoorientierte Eigenkapitalallokation und Performancemessung bei Banken: ökonomische und regulatorische Eigenmittelunterlegung von Markt-, Kredit- und operationeilen Risiken unter Berücksichtigung der schweizerischen und internationalen Entwicklungen. Bern, Stuttgart, Wien 1999.
Jovic /Piaz (2001)
Jovic, Dean; Piaz, Jean-Marc: «Operational Risk Management« als kritischer Erfolgsfaktor für Banken. In: Der Schweizer Treuhänder (2001) 10, S. 923 - 930.
Keck / Jovic (1999a)
Keck, Walter; Jovic, Dean: Verbessertes Risk Reporting der internationalen Banken. In: Der Schweizer Treuhänder (1999) 3, S. 195 - 202.
Keck / Jovic (1999b)
Keck, Walter; Jovic, Dean: Das Management von operationeilen Risiken bei Banken. In: Der Schweizer Treuhänder (1999) 10, S. 963 - 970.
Kirchner (2002)
Kirchner, Michael: Risikomanagement: Problemaufriss und praktische Erfahrungen unter Einbeziehung eines sich ändernden unternehmerischen Elmfeldes. München, Mering 2002.
Klein (1998)
Klein, Stefan P.: Verauktionierung von Eigenkapitallimiten: Zur Eignung marktlicher Mechanismen für die dezentrale Bankgeschäftssteuerung. In: Weinhard et al. (1998), S. 309 - 323.
Kolbeck / Wimmer (2002)
Kolbeck, Christoph; Wimmer, Rudolf (Hrsg.): Finanzierung für den Mittelstand: Trends, Unternehmensrating, Praxisfälle. Wiesbaden 2002.
Kusterer (1998)
Kusterer, Frank: EBIS - Data Warehouse-Konzeptionen zur Lösung mehrdimensionaler Controllingprobleme. In: Weinhard et al. (1998), S. 431 - 442. Lam (2003)
Lam, James: A unified management and capital framework for operational risk. In: The RMA Journal (2003) 5, S. 26 - 30.
Mathmann (2003)
Mathmann, Wolfgang: Operational Risk: Effektive Risikominderung durch Versicherungen. In: Die Bank (2003) 3, S. 164 - 167.
Meister (2003)
Meister, Edgar: Operationelle Risiken - was sind Ihre Erfahrungen aus den Bankprüfungen? In: Zeitschrift für das gesamte Kreditwesen 56 (2003) 6, S. 285 -286.
Mertens / Griese (2002)
Mertens, Peter; Griese, Joachim: Integrierte Informationsverarbeitung 2: Pla- nungs- und KontrollSysteme in der Industrie. Wiesbaden 2002.
Muzzy (2003)
Muzzy, Ladd: The pitfalls of gathering operational risk data: a tightrope without a net. In: The RMA Journal (2003) 5, S. 58 - 63.
Neumann / Morlock (2002)
Neumann, Klaus; Morlock, Martin: Operations Research. 2. Auflage. München, Wien 2002.
Nolte (2000)
Nolte, Matthias: Betriebliche und technische Aspekte des unternehmensweiten Risikomanagements in Finanzinstituten. In: Schierenbeck (2000), S. 147 - 175. Oehler / Unser (2002)
Oehler, Andreas; Unser, Matthias: Finanzwirtschaftliches Risikomanagement. Berlin, Heidelberg, New York u. a. 2002.
Overbeck / Stahl (2000)
Overbeck, Ludger; Stahl, Gerhard: Backtesting: Allgemeine Theorie, Praxis und Perspektiven. In: Johanning / Rudolph (2000a), S. 289 - 320.
Pacemetrics Limited (o. J.)
Pacemetrics Limited: Pacemetrics. http://www.pacemetrics.com/
PaceMetrics.pdf, Abruf am 03.07.2003.
Pastors/PIKS (2002)
Pastors, Peter; PIKS (Hrsg.): Risiken des Unternehmens - Vorbeugen und meistern. München, Mering 2002.
Peter et al. (2000)
Peter, Andreas; Vogt, Hans-Jürgen; Kraß, Volker: Management operationeller Risiken bei Finanzdienstleistern. In: Johanning / Rudolph (2000a), S. 655 - 677.
Piaz(2001)
Piaz, Jean-Marc: Operationelle Risiken im E-Commerce. In: Der Schweizer Treuhänder (2001) 12, S. 1231 - 1236.
Piaz(2002)
Piaz, Jean-Marc: Operational risk management bei Banken. Zürich 2002.
Price / Whittey (2002)
Price, Martin; Whittey, David: OR2Q. Executive Summary for Operational Risk Qualitative and Quantitative (OR2Q). 2002.
Quick et al. (2002)
Quick, Markus; Kruse, Lars; Duldinger, Andreas: Operationelle Risiken bei Kreditinstituten: Trends & Best Practice. Berlin 2002.
Röckle (2002)
Röckle, Sven: Schadensdatenbanken als Instrument zur Quantifizierung von Operational Risk in Kreditinstituten. Sternenfels 2002.
Rolfes (1999)
Rolfes, Bernd: Gesamtbanksteuerung Stuttgart 1999.
Rolfes / Fischer (2001)
Rolfes, Bernd; Fischer, Thomas R. (Hrsg.): Handbuch der europäischen Finanzdienstleistungsindustrie. Frankfurt a. M. 2001.
Rolfes / Kirmße (2000)
Rolfes, Bernd; Kirmße, Stefan: Risikomanagement in Banken. In: Dömer et al. (2000), S. 623 - 668.
Schierenb eck (2000)
Schierenbeck, Henner (Hrsg.): Risk Controlling in der Praxis: rechtliche Rahmenbedingungen und geschäftspolitische Konzeptionen in Banken, Versicherungen und Industrie. Stuttgart 2000.
Schierenbeck et al. (2001)
Schierenbeck, Henner; Rolfes, Bernd; Schüller, Bernd (Hrsg.): Handbuch Bankcontrolling: 2., überarbeitete und erweiterte Auflage. Wiesbaden 2001. Schöning / Hofmann (2002)
Schöning, Stephan; Hofmann, Mathias: Managementaspekte operationeller Risiken. In: Zeitschrift für das gesamte Kreditwesen 55 (2002) 17, S. 882 - 888. Schulte-Mattler (2001)
Schulte-Mattler, Hermann: Das europäische Regulierungssystem für die Finanzdienstleistungsindustrie. In: Rolfes/Fischer (2001), S. 154 - 166.
Spielman / McKinney (2002)
Spielman, Craig; McKinney, Dan: JPMorgan Horizon. Leading the way to excellence. o. O. 2002.
Steinberg (1998)
Steinberg, Rainer: Rolfes, Bernd; Schierenbeck, Henner (Hrsg.): Zinsänderungsrisiko und Bankenaufsicht: Analyse und Weiterentwicklung bankenaufsichtsrechtlicher Zinsrisikonormen. Frankfurt a. M. 1998.
Stickelmann (2002)
Stickelmann, Karsten: Operationelles Risiko - Abgrenzung, Definition und Anforderungen gemäß Basel II. In: Eller et al. (2002b), S. 3 - 42.
Stocker et al. (2001)
Stocker, Georg; Naumann, Mathias; Buhr, Reinhard; Kind, Ralf; Schwertl, Markus: Qualitatives und quantitatives Controlling und Management von Operational Risk: Entwicklung eines Betriebsrisikocontrollings in der Bayerischen Landesbank. In: Zeitschrift für das gesamte Kreditwesen 54 (2001) 12, S. 677 - 687.
Veil (2003)
Veil, Michael: Komplexitätsbeherrschung im Transaction Banking. In: Die Bank (2003) 2, S. 138 - 142.
Wagner, C. (2002)
Wagner, Carsten: Risiken richtig managen. In: Bankmagazin (2002) 9, S. 28 - 29.
Wagner, P. (2002)
Wagner, Peter: Basel II: Grundlegende Neuerungen zur bankaufsichtsrechtlichen Behandlung operationeller Risiken. In: Zeitschrift für das gesamte Kreditwesen 55 (2002) 3-4, S. 160 - 164.
Weinhard et al. (1998)
Weinhard, Christof; Meyer zu Selhausen, Hermann; Morlock, Martin (Hrsg.): Informationssysteme in der Finanzwirtschaft. Berlin 1998.
Wolf /Runzheimer (2001)
Wolf, Klaus; Runzheimer, Bodo: Risikomanagement und KonTraG. Konzeption und Implementierung. 3., überarbeitete und erweiterte Aufl. Wiesbaden 2001.
Zimmermann / Jöhnk (2002)
Zimmermann, Gebhard; Jöhnk, Thorsten: Risikomanagement mit einer Balanced Scorecard - ein Überblick. In: Zeitschrift für das gesamte Kreditwesen 55 (2002) 17, S. 895 - 898.
Anhang
Anhangsverzeichnis
Anhang A: Loss Types A 1
Anhang B: Business Lines B 1
Anhang A: Loss Types
Tabelle 5: Business Lines201
In Anlehnung an Basel Committee in Banking Supervision (2003c), S. 199.
Erklärung
Ich versichere hiermit, dass ich die Diplomarbeit selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe. Alle wörtlich und sinngemäß aus veröffentlichten oder nicht veröffentlichten Schriften entnommenen Stellen sind als solche kenntlich gemacht.
Weiterhin erkläre ich, dass die Arbeit in gleicher oder ähnlicher Form noch keiner anderen Prüfungsbehörde Vorgelegen hat und noch nicht veröffentlicht worden ist.
Duisburg, den 31. Juli 2003
[...]
1 Vgl. Fischer (2001b), S. 179.
2 Vgl. Veil (2003), S. 138.
3 Vgl. Fischer (2001a), S. 179 ff.
4 Vgl. Hartmann (2003), S. 291.
5 Vgl. hierzu und zum Folgenden: Fischer (2002), S. 25.
6 Vgl. hierzu auch Biester et al. (2002), S. 1 f.
7 Vgl. hierzu und zum Folgenden: Beck et al. (2002), S. 153.
8 Vgl. Meister (2003), S. 286.
9 Vgl. Deutsche Bundesbank (2003), o. S.
10 Vgl. Beck et al. (2002), S. 153.
11 Vgl. Rolfes (1999), S. 332.
12 Vgl. hierzu und zum Folgenden: Beck et al. (2002), S. 153 ff. sowie Faisst et al. (2002a), S.2 ff.
13 Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2003c), S. 152 ff., Basel Committee on Banking Supervision (1996), S. 9 ff. und Hanker (1998), S. 162.
14 Vgl. Rolfes / KirmBe (2000), S. 629 f. und 633 ff.
15 Vgl. Beck et al. (2002), S. 154.
16 Risiken des Bankbuches sind Kreditausfallrisiken. Siehe dazu Abschnitt 2.2.1.
17 Vgl. hierzu auch Overbeck / Stahl (2000), S. 292.
18 Vgl. Rolfes / KirmBe (2000), S. 629 f.
19 Vgl. Steinberg (1998), S. 12 ff.
20 Vgl. Schulte-Mattler (2001), S. 157 ff.
21 Basel Committee on Banking Supervision (2003c), S. 120.
22 Vgl. hierzu und zum Folgenden: Wagner, P. (2002), S. 160 ff.
23 Vgl. Keck / Jovic (1999a), S. 196.
24 Vgl. Beck et al. (2002), S. 154 und Faisst et al. (2002b), S. 26 ff.
25 Vgl. hierzu und zum Folgenden: Beck et al. (2002), S. 154.
26 Vgl. hierzu auch: Boos / Schulte-Mattler (2001b), S. 646 ff. und Helwig (2002), S. 97.
27 Vgl. Deutsche Bundesbank (2002), S. 174.
28 Vgl. hierzu und zum Folgenden: Beck et al. (2002), S. 154 sowie Boos / Schulte-Mattler (2001c), S. 795 ff. und auch Helwig (2002), S. 97 ff.
29 Vgl. Basel Committee on Banking Supervision (2001e), S. 13 und Basel Committee on Banking Supervision (2003c), S. 168.
30 Vgl. Boos / Schulte-Mattler (2001a), S. 549 f. und Fischer (2001a), S. 662 ff. sowie Helwig (2002), S. 95 ff.
31 Vgl. Quick et al. (2002), S. 5.
32 Bruttoertrag = Netto-Zinsertrag + Netto-Nicht-Zinsertrag, wobei sich der Netto-Nicht-Zinsertrag aus den Netto-Provisions- und Gebiihrenertragen, dem Nettoergebnis aus Finanztransaktionen und anderen Ertragen zusammensetzt. Brutto meint in diesem Zusammenhang, dass die Verluste aus OR noch nicht von den Ertragen abgezogen werden durfen. Es wird ein Durchschnittswert der vergangenen drei Jahre gebildet. Siehe Basel Committee on Banking Supervision (2002b), S. 2, und auch Basel Committee on Banking Supervision (2003c), S. 121, ebenso wie Basel Committee on Banking Supervision (2001a), S. 94.
33 Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2001a), S. 94, Basel Committee on Banking Supervision (2001b), S. 6, Basel Committee on Banking Supervision (2001c), S. 11 und Basel Committee on Banking Supervision (2003c), S. 121, ebenso Boos / Schulte-Mattler (2001a), S. 550 und Helwig (2002), S. 95.
34 Vgl. Wagner, P. (2002), S. 162, ebenso Mathmann (2003), S. 164 und Boos / Schulte-Mattler (2001a), S. 550 sowie Giese (2002), S. 71.
35 Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2002b), S. 6 ff., Basel Committee on Banking Supervision (2001c), S. 6 ff. und auch Basel Committee on Banking Supervision (2003c), S. 122 f., ebenso Boos / Schulte-Mattler (2001a), S. 550 f. und Helwig (2002), S. 96.
36 In Anlehnung an: Basel Committee on Banking Supervision (2003c), S. 123 und Basel Committee on Banking Supervision (2001c), S. 7.
37 Vgl. Wagner, P. (2002), S. 162, ebenso Mathmann (2003), S. 164 und Boos / Schulte-Mattler (2001a), S. 551 sowie Giese (2002), S. 71.
38 Vgl. Basel Committee on Banking Supervision (2003b), S. 36.
39 Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2002a), S. 4 ff. sowie Basel Committee on Banking Supervision (2001d), S. 3 ff. und auch Basel Committee on Banking Supervision (2003a), S. 3 ff.
40 Das Basel Committee on Banking Supervision unterscheidet zwischen Board of Directors und Senior Management. Dabei geht es nicht primär um ein rechtliches Konstrukt, sondern vielmehr um die Unterscheidung von zwei Entscheidungsgremien in einer Bank. Siehe Basel Committee on Banking Supervision (2003a), S. 4.
41 Vgl. Basel Committee on Banking Supervision (2001a), S. 96 f., Basel Committee on Banking Supervision (2001b), S. 12, Basel Committee on Banking Supervision (2001c), S. 11 f. und Basel Committee on Banking Supervision (2003c), S. 124 f.
42 Vgl. hierzu und zum folgenden: Basel Committee on Banking Supervision (2001b), S. 8 ff. und Basel Committee on Banking Supervision (2001c), S. 33 f., sowie Giese (2002), S. 71 f. und Boos / Schulte-Mattler (2001a), S. 551 f und Helwig (2002), S. 96.
43 Vgl. Wagner, P. (2002), S. 163.
44 Vgl. Basel Committee on Banking Supervision (2002b), S. 34 sowie Boos / Schulte-Mattler (2001a), S. 552 f.
45 Vgl. Wagner, P. (2002), S. 163 f.
46 Vgl. Wagner, P. (2002), S. 164 und Stickelmann (2002), S. 34 f. sowie Basel Committee on Banking Supervision (2001c), S. 34 f.
47 Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2003c), S. 125 ff.
48 Vgl. Keck / Jovic (1999b), S. 964 ff.
49 Vgl. Brockmann et al. (2000), S. 920 ff.
50 Vgl. Piaz (2002), S. 75 ff., andere Begrifflichkeiten und Phasenschemata bei Oehler / Unser (2002), S. 20 f. oder auch Anders (2001), S. 443.
51 In Anlehnung an Piaz (2002), S. 73.
52 Vgl. Schöning / Hofmann (2002), S. 882 ff.
53 Vgl. Lam (2003), S. 30.
54 Vgl. Schöning / Hofmann (2002), S. 888.
55 Vgl. FUser et al. (2002), S. 496 ff.
56 Vgl. Piaz (2002), S. 75 ff. und Fuser et al. (2002), S. 496 ff.
57 Vgl. Kirchner (2002), S. 39.
58 Vgl. Wolf / Runzheimer (2001), S. 33 f.
59 Vgl. Fuser et al. (2002), S. 496 ff. sowie Piaz (2002), S. 75 ff.
60 Vgl. Carey (2001), S. 25 und Brink (2001), S. 20 ff.
61 Vgl. Piaz (2002), S. 75 ff.
62 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 81 ff.
63 Vgl. hierzu auch Burger / Buchhart (2002), S. 82 f. und Wolf / Runzheimer (2001), S. 36.
64 Vgl. auch Dresel et al. (2003), S. 470. Bei Hofmann (2002), S. 35 ff. wird der Begriff Self-Auditing verwendet.
65 Vgl. Anders (2001), S. 443.
66 Vgl. Geiger / Piaz (2001), S. 795 f.
67 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 86 ff.
68 Vgl. ebenso Burger / Buchhart (2002), S. 69 ff. und Wolf / Runzheimer (2001), S. 37.
69 Vgl. auch Wolf / Runzheimer (2001), S. 42.
70 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 88 ff.
71 Vgl. auch Wolf / Runzheimer (2001), S. 36 f. und Bruhwiler (2001), S. 14 f.
72 Vgl. auch Burger / Buchhart (2002), S. 89 ff. sowie Brink (2001), S. 44 ff.
73 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 94 ff
74 Vgl. auch Wolf / Runzheimer (2001), S. 37 f.
75 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 104 ff. und Fuser et al. (2002), S. 497 ff.
76 Vgl. Carey (2001), S. 25 f. und Abschnitt 4.4.
77 Vgl. Wolf / Runnzheimer (2001), S. 45 f.
78 Vgl. Buhr (2000), S. 203 f., ebenso Stocker et al. (2001), S. 687.
79 Vgl. Kirchner (2002), S. 39 f.
80 Vgl. Keck / Jovic (1999b), S. 965 f.
81 In Anlehnung an Keck / Jovic (1999b), S. 966.
82 Vgl. Carey (2001), S. 25 f.
83 Vgl. Peter et al. (2000), S. 659 ff.
84 Vgl. Lam (2003), S. 30.
85 Vgl. Kirchner (2002), S. 39 f.
86 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 101 ff., Piaz (2001), S. 1232 ff. sowie Jovic / Piaz (2001), S. 924 ff.
87 Vgl. auch Faisst / Kovacs (2002), S. 3.
88 Vgl. Beeck / Kaiser (2000), S. 642 ff. und Stocker et al. (2001), S. 684.
89 Vgl. Schönig / Hofmann (2002), S. 888.
90 Vgl. Anders (2001), S. 444.
91 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 125 ff. und Piaz (2001), S. 1232 ff. sowie Jovic / Piaz (2001), S. 924 ff
92 Vgl. auch Faisst / Kovacs (2002), S. 2 f. und auch Hofmann (2002), S. 29 ff.
93 Vgl. hierzu auch Buhr (2000), S. 203 f. und Stocker et al. (2001), S. 678.
94 Vgl. Anders (2001), S. 445 und Hofmann (2002), S. 55 f.
95 Vgl. Horváth / Gleich (2000), S. 114 ff.
96 Vgl. hierzu und zum Folgenden: Zimmermann / Jöhnk (2002), S. 895 ff., ebenso Burger / Buchhard (2002), S. 207 ff. und Aichholz (2002), S. 279 f. sowie Wolf / Runzheimer (2001), S. 29 ff. und Kirchner (2002), S. 65 ff.
97 Vgl. Piaz (2002), S. 185 f.
98 Vgl. Biester et al. (2002), S. 12.
99 Vgl. Hartmann (2003), S. 292 f.
100 Vgl. Jovic (1999), S. 163 ff. und Brink (2001), S. 54 ff.
101 Vgl. Brink (2001), S. 56 f. und Klein (1998), S. 4 ff.
102 In Anlehnung an Piaz (2002), S. 144.
103 Vgl. Wolf / Runzheimer (2001), S. 72 und Schönig / Hofmann (2002), S. 883 f. sowie Helten et al. (2000), S. 171.
104 Vgl. Piaz (2002), S. 142 ff.
105 Vgl. Piaz (2002), S. 148 f. und Wolf / Runzheimer (2001), S. 75 sowie Kirchner (2002), S. 45.
106 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 149 ff., Piaz (2001), S. 1234 ff. und Wolf / Runzheimer (2001), S. 75.
107 Vgl. ebenso: Schöning / Hofmann (2002), S. 883 f. und Kirchner (2002), S. 45
108 Vgl. Schöning / Hofmann (2002), S. 883 f. und Kirchner (2002), S. 45
109 Vgl. hierzu und zum Folgenden: Piaz (2002), S. 159 ff.
110 Vgl. Schöning / Hofmann (2002), S. 886 f. und Kirchner (2002), S. 45.
111 Vgl. Mathmann (2003), S. 166 f.
112 Vgl. Hommel (2000), S. 54 f., Schöning / Hofmann (2002), S. 886 f. und Kirchner (2002), S. 45.
113 Vgl. Schöning / Hofmann (2002), S. 888 und Piaz (2002), S. 164 sowie Wolf / Runzheimer (2001), S. 79 f.
114 Vgl. Buderath / Amling (2000), S. 129 f.
115 Vgl. Piaz (2002), S.169 ff.
116 Zum Begriff des Informationssystems siehe Hansen / Neumann (2001), S. 134.
117 Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2003c), S. 125 ff.
118 Zum Begriff des Managementunterstiitzungssystems siehe Hansen / Neumann (2001), S. 141.
119 Vgl. Göckenjahn et al. (1999), S. 345 ff., Lam (2003), S. 26 ff., Bichler (1997), S. 4 sowie Erben / Romeike (2002), S. 564 und auch Wagner, C. (2002), S. 28 f.
120 Vgl. Beck et al. (2002), S. 155 ff.
121 Vgl. Nolte (2000), S. 153 f., Hartmann (2003), S. 292 sowie Erben / Romeike (2002), S. 564 und auch Beck et al. (2002), S. 155 ff., ebenso Bichler (1997), S. 4.
122 Vgl. Göckenjahn et al. (1999), S. 345 ff.
123 Vgl. Basel Committee on Banking Supervision (2003c), S. 199 ff.
124 Vgl. Erben / Romeike (2002), S. 564.
125 Vgl. Faisst et al. (2002c), S. 24, Beck et al. (2002), S: 155 ff. und auch Erben / Romeike (2002), S. 564 sowie Bichler (1997), S. 4.
126 Vgl. Nolte (2000), S. 153 f. und Wagner, C. (2002), S. 28 f. sowie Beck et al. (2002), S. 155 ff.
127 Zum Begriff des Informationsbedarfs siehe Gluchowski et al. (1997), S. 23 f.
128 Vgl. Göckenjahn et al. (1999), S. 345 ff., ebenso Erben / Romeike (2002), S. 564 und Bichler (1997), S. 4.
129 Vgl. Göckenjahn et al. (1999), S. 345 ff.
130 Vgl. Faisst et al. (2002c), S. 24.
131 Vgl. Wagner, C. (2002), S 28 f.
132 Vgl. Lam (2003), S. 26 ff.
133 Vgl. Lam (2003), S. 26 ff.
134 Vgl. Erben / Romeike (2002), S. 564.
135 Vgl. Erben / Romeike (2002), S. 564.
136 Vgl. Beck et al. (2002), S. 155 ff. und Schöning / Hofmann (2002), S. 888 sowie Hartmann (2003), S. 292
137 Zum Begriff der Planungs- und Kontrollsysteme siehe Mertens / Griese (2002), S. 1 f.
138 Vgl. Mertens / Griese (2002), S. 11.
139 Vgl. Gluchowski et al. (1997), S. 82 ff.
140 Vgl. Piaz (2002), S. 96.
141 Vgl. Piaz (2002), S. 122 f.
142 Vgl. hierzu und zum Folgenden: Gluchowski et al. (1997), S. 83 ff.
143 In Anlehnung an Gluchowski et al. (1997), S. 82 und Chamoni / Gluchowski (1999b), S. 12.
144 Vgl. Ceulebroeck / Wallis (2002b), S. 20 ff.
145 Vgl. Gluchowski et al. (1997), S. 83 f.
146 Vgl. Göckenjahn (1999), S. 345 ff.
147 Vgl. hierzu und zum Folgenden: Hollnagel (1995), S. 38 ff.
148 Vgl. hierzu und zum Folgenden: Gluchowski et al. (1997), S. 84 ff.
149 Vgl. hierzu auch Aichholz (2002), S. 274 f.
150 Vgl. hierzu und zum Folgenden: Gluchowski et al. (1997), S. 84 ff., zu weiteren Klassifizierungen siehe Beroggi (1995), S. 48 ff.
151 Vgl. Anders (2001), S. 442 f.
152 Vgl. Kusterer (1998), S. 435.
153 Vgl. Gluchowski et al. (1997), S. 87.
154 Gluchowski et al. (1997), S. 88.
155 Vgl. Mertens / Griese (2002), S. 40.
156 Vgl. Neumann / Morlock (2002), S: 731 ff.
157 Vgl. Mertens / Griese (2002), S. 40 ff.
158 Vgl. Piaz (2002), S. 95 f.
159 Vgl. Piaz (2002), S. 123.
160 Vgl. hierzu und zum Folgenden: Muzzy (2003), S. 58 ff.
161 Vgl. Dresel et al. (2003), S. 469 f.
162 Vgl. Aichholz (2002), S. 265.
163 Vgl. Kusterer (1998), S. 432 ff.
164 Vgl. hierzu und zum Folgenden: Röckle (2002), S. 58 ff.
165 Vgl. Basel Committee on Banking Supervision (2003c), S. 127.
166 Vgl. hierzu und zum Folgenden: Kusterer (1998), S. 432 ff.
167 Chamoni / Gluchowski (1999b), S. 13.
168 Vgl. Chamoni / Gluchowski (1999b), S. 13 ff. sowie Gluchowski (1999), S. 4 ff.
169 Vgl. hierzu und zum Folgenden: Muzzy (2003), S. 58 ff.
170 Vgl. Ceulebroeck / Wallis (2002a), S 7.
171 Vgl. Biester et al. (2002), S. 12.
172 Vgl. hierzu und zum Folgenden: Bauer / Gunzel (2001), S. 96 ff.
173 Vgl. Beeck / Kaiser (2000), S. 647 f.
174 Vgl. Basel Committee on Banking Supervision (2003c), S. 125
175 Vgl. Aichholz (2002), S. 265 ff. sowie analog Röckle (2002), S. 76 f.
176 Vgl. Beeck / Kaiser (2000), S. 647 ff.
177 Zu den Business Lines und Loss Events siehe Anhang A und Anhang B.
178 Eigene Darstellung, in Anlehnung an Bauer /Giinzel (2001), S. 200.
179 Eigene Darstellung, in Anlehnung an Bauer /Giinzel (2001), S. 200.
180 Vgl. Aichholz (2002), S. 268.
181 Vgl. Röckle (2002), S. 84 ff.
182 Eigene Darstellung, in Anlehnung an Bauer /Giinzel (2001), S. 200.
183 Vgl. Beeck / Kaiser (2000), S. 648 f.
184 Vgl. hierzu und zum Folgenden: Aichholz (2002), S. 267 ff.
185 Eigene Darstellung, in Anlehnung an Bauer / Giinzel (2001), S. 200.
186 Eigene Darstellung, in Anlehnung an Bauer / Giinzel (2001), S. 200.
187 Vgl. Gluchowski et al. (1997), S. 95 f.
188 Vgl. Ceulebroeck / Wallis (2002b), S. 24.
189 Vgl. Aichholz (2002), S. 279.
190 Vgl. Agena Limited (o. J.), o. S. und Jameson / Walsh (2000), o. S.
191 In Anlehnung an Piaz (2002), S. 133.
192 Vgl. Algorithmics Incorporated (o. J.), S. 1 ff und Jameson / Walsh (2000), o. S.
193 Vgl. Price / Whittey (2002), S. 2 ff. sowie Jameson / Walsh (2000), o. S.
194 Vgl. Spielman / McKinney (2002), S. 1 f. und auch Jameson / Walsh (2000), o. S.
195 Vgl. Fitch Risk (o. J.), o. S.
196 Vgl. Pacemetrics Limited (o. J.), o. S.
197 Vgl. Henn / Schäl (o. J.), o. S.
198 Vgl. Interexa (o. J.), o. S.
199 Vgl. Eurobios (o. J.), o. S.
-
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen.