Informationstechnische Implikationen des Managements operationeller Risiken im Kontext von Basel II

Inhaltsverzeichnis

Abstract

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Basel II - die drei Säulen
2.1 Grundlagen und Historie
2.2 Säule 1: Mindesteigenkapitalanforderungen
2.2.1 Kreditrisiko
2.2.2 Marktrisiko
2.2.3 Operationelles Risiko
2.3 Säule 2: Aufsichtsrechtliches Überprüfungsverfahren
2.4 Säule 3: Marktdisziplin

3 Ansätze zur Bemessung des regulatorischen Eigenkapitals für operationeile Risiken
3.1 Basic-Indicator-Approach
3.1.1 Verfahren
3.1.2 Anforderungen an die Organisation
3.2 Standardised Approach
3.2.1 Verfahren
3.2.2 Anforderungen an die Organisation
3.3 Advanced Measurement Approaches
3.3.1 Verfahren
3.3.1.1 Internal Measurement Approach
3.3.1.2 Loss Distribution Approach
3.3.1.3 Scorecard-Approach
3.3.2 Anforderungen an die Organisation

4 Management operationeller Risiken
4.1 Identifikation
4.1.1 Kollektionsmethoden
4.1.2 Kreativitätsmethoden
4.1.3 Analytische Suchmethoden
4.1.4 Derivative Identifikationsmethoden
4.2 Bewertung
4.2.1 Quantitative Bewertungsmethoden
4.2.2 Qualitative Bewertungsmethoden
4.3 Überwa chung
4.4 Steuerung
4.4.1 Vermeidung
4.4.2 Verminderung
4.4.3 Transfer
4.4.4 Akzeptanz
4.5 Kontrolle

5 Die informationstechnische Umsetzung
5 1 Aufsichtsrechtliche Anforderungen
5.2 Betriebswirtschaftliche Anforderungen
5.3 Abgeleitete Architektur
5.3.1 Dialogkomponente
5.3.2 Modellbank
5.3.3 Methodenbank
5.3.4 Simulationskomponente
5.3.5 Datenbank
5.3.5.1 Ex-post Schadensfalldaten
5.3.5.2 Ex-ante Schadensfalldaten
5.3.5.3 Integration externer Schadensdaten
5.3.5.4 Aufzeichnung von Risikoindikatoren
5.3.5.5 Verwaltung von Risikosteuerungsmaßnahmen
5.3.6 Reportbank

6 Operational Risk Management Systeme

7 Fazit und Ausblick

Literaturverzeichnis Anhang

Abbildungsverzeichnis

Abb. 1 : Aufbau der Arbeit

Abb. 2: Chronologie von Basel

Abb. 3: Management-Zyklus für operationeile Risiken

Abb. 4: Verteilung der Verluste aus operationellen Risiken

Abb. 5: Risikosteuerungsmaßnahmen

Abb. 6: Architektur des Risikomanagement-Informationssystems

Abb. 7: Snowflake Schema historische Schadensfälle

Abb. 8: Snowflake Schema Risikoprognose

Abb. 9: Snowflake Schema externe Daten

Abb. 10: Snowflake Schema Risikoindikator

Abb. 11: Snowflake Schema Risikosteuerungsmaßnahmen

Tabellenverzeichnis

Tabelle 1: Geschäftsbereiche und Geschäftsfelder

Tabelle 2: Attribute zur Schadensfallbeschreibung

Tabelle 3: Risikomanagementsysteme

Tabelle 4: Loss Types A

Tabelle 5: Business Lines B

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abstract

Das bisherige Aufsichtsrecht konzentriert sich bei der Bemessung der Risikositu­ation einer Bank auf Marktpreis- und Kreditrisiken. Im Zuge der Neuordnung des Bankenaufsichtsrechts durch Basel II finden auch operationeile Risiken Berück­sichtigung bei der Beurteilung der Risikolage. Dabei stehen drei Ansätze mit un­terschiedlichen Zulassungskriterien zur Verfügung: der Basic-Indicator-Approach, der Standardised Approach und die Advanced Measurement Approaches. Letztere sind bisher nur Vorschläge, da die Bankenaufsicht bei entsprechender Güte der bankinternen Verfahren diese zur Ermittlung des regulatorischen Eigenkapitals zulassen wird.

Eine Möglichkeit, bankintern mit operationeilen Risken umzugehen, ist ein Risi­komanagementprozess aus Identifikation, Bewertung, Überwachung, Steuerung und Kontrolle operationeller Risiken. In jeder dieser Phasen stehen derzeit ver­schiedenste Verfahren in der Diskussion, eine fundierte Beurteilung der Verfahren steht dagegen noch aus.

Aus dem Aufsichtsrecht und den betriebswirtschaftlichen Notwendigkeiten heraus ergeben sich Anforderungen an ein Informationssystem zur Unterstützung des Managements operationeller Risiken. Während das Aufsichtsrecht sich auf Min­deststandards für die Datenqualität und die Güte der verwendeten Verfahren kon­zentriert, sind die ökonomischen Kriterien eher auf den Funktionsumfang und die Leistungsfähigkeit des Systems ausgelegt. Um beiden Seiten gerecht zu werden, kann ein Managementunterstützungssystem bestehend aus Dialogkomponente, Modellbank, Methodenbank, Datenbank, Reportbank und Simulationskomponente dienen. Als Datenbank wird hier eine Data Warehouse Konzeption herangezogen, um die internen und externen Daten anhand mehrerer Dimensionen auswertbar vorzuhalten und den Einsatz von Data Mining Techniken zu ermöglichen.

Der Markt für Operational Risk Management Systeme bietet ein sehr heterogenes Bild. Es existieren sehr spezialisierte und sehr umfassende Lösungen, mal werden quantitative, mal qualitative Verfahren eingesetzt. Aufgrund mangelnder Erfah­rung und fehlender Daten ist eine Beurteilung der einzelnen Systeme auf ihre Nützlichkeit hin derzeit noch nicht möglich. Gerade in diesem Bereich besteht weiterer Forschungsbedarf.

1 Einleitung

Das Kemgeschäft von Banken ist die Übernahme von Risiken gegen die Zahlung einer Risikoprämie^[1] In der Vergangenheit wurden primär die Kategorien der Marktpreis- und der Kreditrisiken beachtet. In Zeiten zunehmender Komplexität durch eine sich in immer kürzeren Abständen verändernde Umwelt in technischer und wirtschaftlicher Hinsicht² rücken derzeit auch die operationeilen Risiken der Banken in den Fokus. Dabei handelt es sich um Risiken, die begründet sind in den Mitarbeitern, Geschäftsprozessen und Systemen einer Bank sowie in externen Er­eignissen.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Aufbau der Arbeit

Als Deckungsmasse für die eingegangenen Risiken halten Banken Eigenkapital vor, um im Falle von schlagend gewordenen Risiken diese abdecken zu können. Die hier vorliegenden Arbeit wird sich bei der folgenden Betrachtung auf die ope­rationeilen Risiken konzentrieren. Zur Bemessung der Höhe der Risikodeckungs­masse gibt es, wie in Abb. 1 verdeutlicht, grundsätzlich zwei verschiedene

Herangehensweisen mit zwei zunächst gegensätzlichen Motiven: Einerseits die regulatorische, aufsichtsrechtliche Perspektive, bei der die Sicherheit und Stabili­tät des Bankensystems im Vordergrund steht, andererseits die ökonomische, be­triebswirtschaftliche Sichtweise. Hier wird versucht, mit gegebenem Eigenkapital einen möglichst hohen Ertrag unter Berücksichtigung der Risiken zu erwirtschaf­ten.^[3]

Durch Basel II erfahren die beiden Perspektiven, zumindest bei den fortgeschrit­teneren Bemessungsansätzen, eine zunehmende Konvergenz. Aus der betriebs­wirtschaftlichen Notwendigkeit und der aufsichtsrechtlichen Intention ergibt sich ein Risikomanagementprozess, der in weiten Teilen durch ein Informationssystem unterstützt werden kann.

Diese Arbeit wird nun zunächst die aufsichtsrechtliche Seite umreißen, indem ein Überblick über Basel II gegeben wird, um dann den Bereich der operationeilen Risiken detaillierter zu beleuchten. Dem wird in einem zweiten Schritt die öko­nomische Perspektive gegenübergestellt, in diesem Rahmen wird ein Manage­mentprozess für operationeile Risiken entwickelt.

Aus beiden Sichten lassen sich Anforderungen an ein Informationssystem zu Un­terstützung des Risikomanagements ableiten, die in einen Umsetzungsvorschlag münden. Diesem Konzept werden dann abschließend in Abschnitt 6 einige derzeit marktgängige Lösungen gegenübergestellt.

2 Basel II - die drei Säulen

2.1 Grundlagen und Historie

Ziel der internationalen Bankenaufsicht ist die Sicherstellung der Stabilität des internationalen Finanzwesens. Ein Mittel, dies zu erreichen, ist eine adäquate Ei­genkapitalausstattung der Finanzinstitute.⁴

Die Baseler Eigenkapitalübereinkunft von 1988 (Basel I) verlangte ursprünglich nur die Unterlegung von Länder- und Kreditrisiken mit Eigenkapital, wurde aber 1996 mit dem Marktrisikopapier um die Unterlegung von Marktrisiken erweitert. In Deutschland wurde das Marktrisikopapier im Rahmen der Neufassung des Grundsatzes 1 zum 1. Oktober 1998 in deutsches Recht übernommen.^[5] Erstmals wurden so interne Marktrisikomodelle zur Ermittlung des Mindesteigenkapitals zugelassen, ein Novum, da erstmalig die aufsichtsrechtliche Behandlung einer Ri­sikoposition der ökonomischen Betrachtungsweise folgte.

Zur Ermittlung des regulatorisch notwendigen Eigenkapitals zur Unterlegung von Kredit- und Länderrisiken finden jedoch undifferenzierte Gewichtungs- und An­rechnungssätze Anwendung. Diese entsprechen regelmäßig nicht dem tatsächli­chen Risikogehalt der von den Banken gehaltenen Positionen, hier fallen die auf­sichtsrechtliche und die ökonomische Sichtweise weit auseinander. Es werden keine Anreize zur Entwicklung und Anwendung leistungsfähiger Risikosteue­rungsmethoden geschaffen, im Gegenteil: Kreditinstituten wird ein Anreiz gege­ben über Arbitragetechniken die ursprünglichen Absichten der Bankenaufsicht zu konterkarieren^[6].

Basel II soll einen Meilenstein auf dem Weg zu einem verstärkt marktkonformen Aufsichtskonzept darstellen, indem die einzelnen Risikoarten umfassend und dif­ferenziert behandelt werden und bei der Ermittlung des Mindesteigenkapitals ver­stärkt auf interne Verfahren der Kreditinstitute abgestellt wird.^[7] Da in Zukunft auch das Aufsichtsrecht eine dem Risikogehalt der Positionen angemessene Ei­genkapitalausstattung verlangen wird, wird das Mindesteigenkapital aus aufsichts­rechtlicher Sicht näher an das Eigenkapital aus ökonomischer Sicht heranrücken, ohne dass dabei die derzeitigen Eigenkapitalanforderungen insgesamt signifikant erhöht oder vermindert werden sollen. Da das Aufsichtsrecht durch Basel II um die Säulen „Aufsichtsrechtliches Überprüfungsverfahren“ und „Marktdisziplin“ erweitert wird, wird es zur Entwicklung einer Risiko- und Kontrollkultur sowie zur Verbesserung des Risikomanagements in Banken kommen⁸.

Basel II folgt einem evolutionären Ansatz und wird im Laufe der Zeit mit metho­dologischem Fortschritt weitere Anpassungen erfahren.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Chronologie von Basel II

Abb. 2 zeigt die Chronologie von Basel II. Wie oben bereits erläutert, wurde Mitte 1988 die erste Baseler Eigenkapitalvereinbarung veröffentlicht. Diese trat Ende 1992 in Kraft. Im Januar 1996 wurden die bestehenden Regelungen ergänzt um das Marktrisikopapier. Im Juni 1999 veröffentlichte der Baseler Ausschuss das erste Konsultationspapier zur Neufassung der bestehenden Eigenkapitalvereinba­rung, im Januar 2001 und im März 2003 schlossen sich daran das zweite bezie­hungsweise das dritte Konsultationspapier an. Nach der umfangreichen Konsulta­tionsphase soll im Herbst 2003 die endgültige Fassung von Basel II veröffentlicht werden, die Ende 2006 in Kraft treten wird.⁹

2.2 Säule 1: Mindesteigenkapitalanforderungen

Basel II verlangt von Banken, dass sie für eingegangene Risiken Eigenkapital Vorhalten. Wie schon in Abschnitt 2.1 dargestellt, werden derzeit nur Markt- und

Kreditrisiken mit Eigenkapital unterlegt. Neu ist die explizite Unterlegung von operationellen Risiken mit Eigenkapital.^[10]

2.2.1 Kreditrisiko

Das Kreditrisiko setzt sich aus dem Ausfall- und dem Bonitätsrisiko zusammen.

Ausfallrisiko bezieht sich auf die Gefahr, dass ein Kreditnehmer die gegen ihn bestehende Forderung nicht bedienen kann, Bonitätsrisiko stellt ab auf mögliche Wanderungsbewegungen innerhalb der Solvenzklassen, einhergehend mit einer Wertänderung der Forderung.¹¹ Zur Bemessung der Eigenkapitalunterlegung für Kreditrisiken stehen im Rahmen von Basel II drei Wege zur Verfügung: der Standardansatz sowie zwei auf inter­nen Verfahren basierende Ansätze.^[12]

Der Standardansatz basiert auf externen Ratings, wonach in Abhängigkeit vom externen Ratingscore das Risikogewicht des Kreditnehmers bemessen wird. Kre­ditnehmer mit einem schlechten Rating erhalten ein höheres Risikogewicht als Kreditnehmer mit einem guten Rating. Unter Berücksichtigung risikomindemder Maßnahmen wie Kreditderivaten, Garantien, anerkennungsfähigen Sicherheiten und Nettingvereinbarungen wird dann der notwendige Eigenkapitalbetrag ermit­telt.

Beide IRB-Ansätze (Internal Ratings-Based) basieren, wie schon die Bezeichnung andeutet, auf den im europäischen Raum üblicheren internen Ratingverfahren der Banken. Um die internen Verfahren anwenden zu dürfen, müssen die Verfahren Anforderungen aus Säule 2 und 3 genügen. Dazu gehört die Integrität und Glaub­würdigkeit des Ratingprozesses, -systems und der geschätzten Eingangsparame­ter. Die Einhaltung der Anforderungen soll über die aufsichtsrechtliche Überprü­fung sowie Offenlegungsverpflichtungen sichergestellt werden.

Der Baseler Ausschuss will über tendenziell geringere Eigenkapitalanforderungen bei Verwendung interner Verfahren Anreize schaffen, diese zu nutzen.

2.2.2 Marktrisiko

Marktrisiken sind die Risiken des Handelsbuches, also die Risiken aus Positionen in Finanzinstrumenten und Waren, die zu Handelszwecken oder zur Absicherung anderer Handelspositionen gehalten werden. Grundlage für ihre aufsichtsrechtli­che Behandlung bildet das Marktrisikopapier von 1996.^[13] Zur Einordnung von Positionen in das Bank- oder das Handelsbuch existieren detaillierte Vorschriften.

Das Marktrisiko wird unterteilt in das Zinsänderungsrisiko und das Aktienkursri­siko. Zinsänderungsrisiko ist die negative Abweichung des Wertes einer Zah­lungsreihe aus einem zinstragenden Geschäft von dem erwarteten Wert, Aktien­kursrisiko dagegen meint die negative Abweichung der Kurswertentwicklung ei­nes Aktienportfolios vom erwarteten Kurswert.^[14]

Auch an dieser Stelle existieren unterschiedliche Verfahren zur Ermittlung des Risikos einer Position und damit der Mindesteigenkapitalanforderungen.^[15] Man unterscheidet zwischen dem systematischen Risiko und dem spezifischen Risiko einer Position. Das systematische Risiko resultiert aus Bewegungen des Gesamt­marktes, das spezifische Risiko resultiert aus der Bonität des Emittenten; Ermittlung des spezifischen Risikos sind die Risikogewichte des Bankbuches¹⁶ zu bei der übernehmen.

Nach dem Standardansatz werden die Positionen zur Ermittlung des systemati­schen Risikos zunächst bewertet und dann über Risikogewichte in Eigenkapitalan­forderungen überführt. Die Positionsbewertung sollte vorsichtig sein und kann entweder zu Marktpreisen (Mark-to-Market) oder, wenn kein Marktpreis verfüg­bar ist, zu Modellpreisen (Mark-to-Model) erfolgen^[17].

Die internen Verfahren sind weitaus risikosensitiver als der Standardansatz, dür­fen aber nur nach Genehmigung der Aufsichtsbehörden angewandt werden, um die Eigenkapitalanforderungen zu bestimmen. Weite Anerkennung findet der

Value-at-Risk (VaR), der angibt, welcher Verlust mit einer bestimmten Wahr­scheinlichkeit innerhalb einer bestimmten Frist nicht überschritten wird, wenn die Preis- oder Kursbewegungen der Vergangenheit auch für die Zukunft zu erwarten sind. Der VaR kann als einheitliches Risikomaß über alle Risikoarten und Ge­schäftsfelder dienen^[18], im Bereich des Zinsrisikos sind aber auch noch andere Verfahren wie Zinsbindungsbilanz, Elastizitätskonzept, Durationskonzept oder auch das Barwertkonzept zu nennen^[19]. Da die Kapitalanforderungen bei Anwen­dung interner Verfahren niedriger sein werden als bei Verwendung des Standard­ansatzes, werden auch hier Institute mit fortgeschrittenen internen Verfahren be­lohnt, allerdings werden durch die Aufsicht umfangreiche qualitative Anforderun­gen an die verwendeten Verfahren gestellt.^[20]

2.2.3 Operationelles Risiko

Unter operationellem Risiko versteht man

„the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk.²¹

Diese ursachenbezogene Definition stützt sich auf vier bestimmende Faktoren:

- Interne Verfahren: fehlerhaft gestaltete Geschäftsprozesse,
- Menschen: Irrtum, Fahrlässigkeit oder Betrug von Mitarbeitern,
- Systeme: mangelhafte Zugriffssicherheit, Ausfall,
- Externe Ereignisse: Naturkatastrophen, Terroranschläge, politische militärische Ereignisse oder ²²

Operationelle Risiken wurden bisher nicht explizit bei der Ermittlung des Min­desteigenkapitals berücksichtigt, sondern implizit über höhere Eigenkapitalanfor­derungen für Markt- und Kreditrisiken mit abgedeckt. Durch die zunehmende Güte der Verfahren zur Messung von Markt- und Kreditrisiken und damit einher­gehender potentieller Minderung der Eigenkapitalanforderungen sah der Baseler Ausschuss die Notwendigkeit, die operationeilen Risiken als eigenständige Risi­kokategorie zu behandeln.

Obwohl operationeile Risiken in den letzten Jahren verstärkte Aufmerksamkeit erfahren haben²³, befinden sich die Verfahren zur Messung noch in einem relativ frühen Entwicklungsstadium. Im Rahmen von Basel II werden derzeit drei An­sätze diskutiert: der Standardansatz, der Basis Indikator-Ansatz und die fortge­schrittenen Bemessungsansätze. Wie schon bei der Messung von Kredit- und Marktrisiko stehen den Kreditinstituten also verschieden anspruchsvolle Verfah­ren zur Verfügung; es gilt auch hier: je anspruchsvoller das Verfahren, desto hö­her die Anforderungen, die Kreditinstitute vor der Zulassung zur Anwendung er­füllen müssen.²⁴

In Abschnitt 3 werden die Ansätze zur Bemessung des Mindesteigenkapitals für operationeile Risiken detailliert erläutert.

2.3 Säule 2: Aufsichtsrechtliches Überprüfungsverfahren

Die zweite Säule stellt die zentrale Ergänzung der beiden anderen Säulen dar und ist gegliedert in die zentralen Grundsätze des Überprüfungsverfahrens, die Ein­haltung der Mindeststandards und weitere Aspekte.²⁵ Während sich die erste Säule eher quantitativ orientiert zeigt, ist die zweite Säule eher qualitativ orientiert und will den Dialog zwischen den Instituten und den Aufsehern fördern.

Nach den zentralen Grundsätzen des Überprüfungsverfahrens müssen Banken über ein Verfahren zur Messung der Kapitaladäquanz verfügen, welches durch die Aufsicht überprüft wird. Die Aufsicht erwartet, dass die Banken mehr Eigenkapi­tal Vorhalten, als mindestens notwendig ist und wird frühzeitig intervenieren, sollten sich Unterschreitungen der Mindesteigenkapitalanforderungen abzeichnen. Mögliche Interventionen sind beispielsweise die intensivere Überwachung der Bank, die Einschränkung der Dividendenzahlungen, die Aufforderung zur Vor- läge und Umsetzung eines Plans zur Wiederherstellung des geforderten Mindest­eigenkapitals oder auch die Aufforderung zur sofortigen Bereitstellung zusätzli­chen Mindesteigenkapitals.²⁶

Die Aufsicht prüft die Einhaltung der Mindesteigenkapitalanforderungen, der Of­fenlegungsverpflichtungen aus der dritten Säule und der Risikomanagementstan­dards.

Im Rahmen der weiteren Aspekte wird die Berücksichtigung von Zinsänderungs­risiken im gesamten Bestand unter Berücksichtung impliziter Optionen angespro­chen. Implizite Optionen sind in diesem Zusammenhang beispielsweise Sonder­tilgungsoptionen oder auch Sonderkündigungsrechte.

In Deutschland übernimmt die Bundesbank die laufende Aufsicht über die Kre­ditinstitute, während die Bundesanstalt für Finanzdienstleistungsaufsicht für auf­sichtsrechtliche Maßnahmen zuständig ist, gestützt auf die Feststellungen der Bundesbank.²⁷

2.4 Säule 3: Marktdisziplin

Durch Marktdisziplin, die dritte Säule der neuen Eigenkapitalvereinbarung, sollen die Marktakteure über Sanktionen des Marktes zu risikobewusstem Verhalten an­gehalten werden, in der Form, dass schlechter geführte Kreditinstitute vom Markt mit einer erhöhten Risikoprämie bestraft, besser geführte Institute mit einer ver­minderten Risikoprämie belohnt werden.²⁸ Über die Offenlegung von internen Risikodaten soll Marktteilnehmern die Möglichkeit gegeben werden, sich ein dif­ferenziertes Bild über die Risikostruktur der Institute zu verschaffen. Schlüsselge­biete der Offenlegung sind die Ei genkapital Struktur, die Risikobeurteilungs- und Managementverfahren, die Risikopositionen und die Risikobewertung.

Veröffentlicht werden qualitative und quantitative Informationen, dabei sind die zu verwendenden Tabellen und Formblätter detailliert vorgegeben. Die veröffent- lichten Informationen sollen relevant, umfassend, verlässlich, zeitnah, vergleich­bar und wesentlich sein.

Für operationeile Risiken wird das für ebendiese vorgehaltene Eigenkapital selbst je Geschäftsfeld veröffentlicht. In qualitativer Hinsicht ist das verwendete Verfah­ren, sofern ein fortgeschrittenes Verfahren verwendet wird, zu veröffentlichen. Das Verfahren kann als Indikator für die Qualität des Risikomanagements dienen, da an die Anwendung fortgeschrittener Verfahren umfangreiche und einheitliche Anforderungen gestellt werden.²⁹

3 Ansätze zur Bemessung des regulatorischen Ei­genkapitals für operationeile Risiken

Nachdem die vorangehenden Abschnitte einen kurzen Überblick über Basel II in der Gesamtheit gegeben haben, konzentrieren sich die nun folgenden Abschnitte auf den Teilbereich der operationeilen Risiken.

Zur Ermittlung des Mindesteigenkapitals stehen verschiedene Verfahren mit sehr unterschiedlicher Messgenauigkeit zu Verfügung. Grundsätzlich gilt, dass mit zu­nehmender Güte des angewandten Verfahrens die Eigenkapitalanforderungen sin­ken, da der Baseler Ausschuss Anreize zur Anwendung besserer Verfahren setzen möchte. Da aber mit sinkender Eigenkapitalanforderung das Risikomanagement als Ganzes kritischer für den Fortbestand des Unternehmens wird, steigen die An­forderungen an die Organisation zu Anwendung fortgeschrittener Verfahren.³⁰

Welcher Ansatz letztlich gewählt wird, ist bei vielen Instituten jedoch noch un­klar, da sich bei Proberechnungen bisher keine signifikante Kapitaleinsparung ergeben hatsomit also die Anreize in der beabsichtigten Form nicht existieren.³¹

Die Anforderungen an die Organisation sind im Folgenden jeweils sehr detailliert gehalten, da sich daraus Anforderungen an ein Informationssystem ableiten las­sen.

3.1 Basic-Indicator-Approach

3.1.1 Verfahren

Der Basic-Indicator-Approach (BIA) stellt den einfachsten Ansatz zur Bemessung des zur Deckung der operationellen Risiken (OR) notwendigen Eigenkapitals dar. Er nutzt als Risikoindikator den Bruttoertrag^[32] der Banken.^[33] Das notwendige Eigenkapital wird nach der folgenden Formel berechnet:

E = a* Bruttoertrag

Der Faktor α wird durch die Aufsichtsbehörden vorgegeben und so kalibriert, dass im Mittel 12% des Eigenkapitals zur Deckung des operationeilen Risikos vor­gehalten werden.

Dieses Verfahren ist sehr pauschal, es existieren keine empirischen Belege für ei­nen Zusammenhang zwischen dem Bruttorertrag einer Bank und den Verlusten aus operationeilen Risiken. Die Bestrafung zusätzlich erwirtschafteten Ertrags steht im Widerspruch zu den geschäftspolitischen Zielen eines Kreditinstituts.^[34]

3.1.2 Anforderungen an die Organisation

Der Ausschuss stellt grundsätzlich keine besonderen Anforderungen zur Anwen­dung dieses Ansatzes. Jedoch sind die Banken trotzdem aufgefordert, sich an den Sound Practices for the Management and Supervision of Operational Risk zu ori­entieren. Diese werden im Abschnitt 3.2.2 detailliert beschrieben.

Obwohl die Banken grundsätzlich frei in der Wahl des Ansatzes sind, wird von international tätigen Banken und solchen mit erheblichen operationeilen Risiken erwartet, dass sie einen der im Folgenden beschriebenen fortgeschritteneren An­sätze wählen.

3.2 Standardised Approach

3.2.1 Verfahren

Im Standardised Approach (SA) werden die Tätigkeiten der Banken in acht Ge­schäftsfelder gegliedert.^[35] Die Gliederung ist für alle Institute identisch. Jedem Geschäftsfeld ist ein Risikoindikator zugewiesen, der, multipliziert mit dem ß-Faktor des Geschäftsfeldes, die Eigenkapitalanforderung für operationeile Risi­ken des Geschäftsfeldes ergibt (vgl. Tabelle 1).

Tabelle 1: Geschäftsbereiche und Geschäftsfelder ³⁶

Abbildung in dieser Leseprobe nicht enthalten

Die gesamte Eigenkapitalunterlegung (E) berechnet sich als Summe der mit den ß-Faktoren multiplizierten Indikatoren:

E=^ßi* Indikator

1= 1

Die ß-Faktoren werden durch die Aufsichtsbehörden vorgegeben und, wie oben bereits angesprochen, so kalibriert, dass sich ein Anreiz zur Verwendung des SA anstelle des BIA ergibt.

An dieser Stelle gilt die gleiche Kritik wie am BIA. Es besteht auch auf Ebene der Geschäftsfelder kein unmittelbarer Zusammenhang zwischen dem Bruttoertrag und den Verlusten aus operationeilen Risiken.^[37] Da die Höhe des ökonomischen Eigenkapitals für operationeile Risiken in der Vergangenheit über verschiedene Banken sehr stark streute, ist ein Auseinanderfallen des ökonomischen Kapitals und des regulatorischen Kapitals zu erwarten.^[38]

3.2.2 Anforderungen an die Organisation

Um den Standardised Approach nutzen zu dürfen, müssen die Banken umfangrei­che Voraussetzungen erfüllen. Zunächst müssen die Sound Practices for the Ma­nagement and Supervision of Operational Risk im Unternehmen Anwendung fin­den.^[39]

Demnach ist eine angemessene Risikosteuerungsumwelt aufzubauen:

Das Board of Directors^[40] sollte sich der Bedeutung operationeller Risiken bewusst sein und diese als eigenständige Risikokategorie anerkennen, die der Steuerung und Kontrolle bedarf. Das Board of Directors hat das Rahmenwerk zur Steuerung und Kontrolle des operationeilen Risikos abzunehmen und einer regelmäßigen

Überprüfung zu unterziehen. Als Mindestinhalt des Rahmenwerkes fordert das Baseler Komitee eine eindeutige Definition des operationeilen Risikos sowie Prinzipien zur Identifikation, Erhebung, Überwachung, Kontrolle und Minderung von operationeilen Risiken.

Die interne Revision muss das Risikomanagement der Bank regelmäßig einer Prü­fung unterziehen. Dies setzt voraus, dass die Mitarbeiter der Revision über die entsprechende Qualifikation verfügen und unabhängig operieren können. Das Board of Directors ist für die regelmäßige Durchführung verantwortlich. Die in­terne Revision darf nicht direkt für das OR-Management verantwortlich sein.

Die Verantwortung für die operative Durchführung des Managements operatio­neller Risiken liegt auf der Ebene des Senior Managements, in diesem Sinne wird das Senior Management die Richtlinien, Prozesse und Prozeduren des OR-Mana­gements verantwortlich entwickeln und koordinieren. Dies gilt für alle Aktivitä­ten, Produkte, Prozesse und Systeme des Instituts. Das Rahmenwerk sollte in der gesamten Organisation Akzeptanz finden, alle Ebenen des Unternehmens sollten ihre Verantwortung im Rahmen des OR-Managements erkennen.

Weiterhin verlangen die Sound Practices im Rahmen des Risikomanagements:

Kreditinstitute haben das operationeile Risiko aller Produkte, Prozesse und Sys­teme zu identifizieren und zu erheben. Bevor neue Produkte, Aktivitäten, Prozesse oder Systeme eingeführt beziehungsweise unternommen werden, sollten sie auf ihre operationeilen Risiken hin untersucht werden.

Ein Prozess zur Überwachung des Risikoprofils und zur Ermittlung des materiel­len Verlustpotentials ist zu implementieren, wie auch regelmäßige Risikoberichte an das Board of Directors und das Senior Management.

Banken sollten Richtlinien, Prozesse und Prozeduren haben um die materiellen operationeilen Risiken zu mindern und abzusichern. Die Möglichkeiten alternati­ver Risikolimitierung und Kontrolle sind von den Kreditinstituten auf ihre An­wendbarkeit hin zu überprüfen, um das Risikoprofil an die individuelle Risiko­freude des Instituts anzupassen.

Kreditinstitute sollten Absicherungen und Notfallpläne bereithalten um auch im Falle extremer Verlustfälle den Betrieb aufrechterhalten zu können.

Zusätzlich ist es im Rahmen der 3. Säule (Veröffentlichungspflichten) des Baseler Akkords notwendig, anderen Marktteilnehmern die Möglichkeit zu geben, das Management operationeller Risiken zu bewerten.

Neben den Sound Practices gilt es auch, die explizit als Voraussetzung für die Anwendung des Standardised Approach genannten Anforderungen zu erfüllen, wobei gewisse Überschneidungen zu verzeichnen sind:

- Aufbau eines unabhängigen Management- und Kontrollverfahrens für operationeile Risiken (Planung, Umsetzung und Kontrolle von Messmethoden für operationeiles Risiko). - Die interne Revision muss die Verfahren regelmäßig überprüfen. - Geeignete Risikomeldesysteme mit der Fähigkeit, adäquate Berichte für die Geschäftsleitung zu erstellen, sind zu implementieren. - Die relevanten Daten sind systematisch nach Geschäftsfeldern zu erfassen. - Entwicklung von Kriterien zur Einordnung der bestehenden Geschäftsfelder in die vorgegebene Geschäftsfeldsystematik des Ausschusses.^[41]

Schließlich ist zu bemerken, dass bei Anwendung des Standardised Approach zwar die internen Daten noch nicht zur Bemessung des notwendigen Eigenkapi­tals herangezogen werden, jedoch durch den geforderten Aufbau eines adäquaten Risikomanagementsystems der Grundstein für eine spätere Nutzung der in den nächsten Abschnitten erläuterten Advanced Measurement Approaches gelegt wird.

3.3 Advanced Measurement Approaches

Im Rahmen der Advanced Measurement Approaches (AMA) sind derzeit ver­schiedene Methoden in der Diskussion. Im Folgenden werden zunächst die drei im Working Paper on the Regulatory Treatment of Operational Risk aus Septem­ber 2001 erläuterten Ansätze kurz exemplarisch vorgestellt und im Anschluss die generellen Anforderungen an Banken, die diese Ansätze nutzen wollen, darge­stellt.

Vorweg ist zu bemerken, dass bewusst noch keine detaillierten Vorschriften be­züglich der Verfahren vorliegen, da sich die hier vorgestellten Ansätze noch in der Phase der Entwicklung beziehungsweise Erprobung befinden. Statt einer detail­lierten Vorgabe liegt der Schwerpunkt auf der Bereitstellung einer funktionieren­den Risikomanagementinfrastruktur, während die Bemessungsverfahren einer kontinuierlichen Weiterentwicklung unterliegen. Abschnitt 4 wird einen detaillierteren und umfassenderen Ausblick über die verschiedenen derzeit in der Literatur diskutierten Ansätze geben.

Erklärtes Ziel des Ausschusses ist der Aufbau einer industrieweiten Verlustdaten­bank, um langfristig genauere Aussagen über das Ausmaß operationeller Risiken auf der Basis historischer Verlustdaten treffen zu können.

3.3.1 Verfahren

3.3.1.1 Internal Measurement Approach

Der Internal Measurement Approach (IMA) basiert auf der im Rahmen des Stan­dardised Approach eingeführten Gliederung der Geschäftstätigkeiten der Ban­ken.^[42] Zusätzlich werden Risikotypen definiert und auf alle Geschäftsfelder ange­wandt. Für jede Kombination aus Geschäftsfeld und Risikotyp wird durch die Aufsichtsbehörde ein Risikoindikator (Exposure Indicator, EI) festgelegt als Nä­herungswert für die Gefährdungshöhe des Geschäftsfeldes durch die Risikotypen.

Anhand ihrer internen Verlustdaten werden die Banken daraufhin weitere Para­meter zur Berechnung des zur Deckung der operationeilen Risiken notwendigen Eigenkapitals schätzen:

- Wahrscheinlichkeit des Schadensfalles (Probability of Loss Event, PE) - Verlust im Schadensfall (Loss Given that Event, LGE)

Mit diesen Parametern wird der erwartete Verlust (Expected Loss, EL) (je Ge­schäftsfeld/Risikotyp-Kombination) nach der folgenden Formel berechnet:

EL=EI * PE * LGE

Mit Hilfe des durch die Aufsichtsbehörde festgelegten γ-Faktors wird aus dem erwarteten Verlust je Geschäftsfeld die notwendige Eigenkapitaldeckung berech­net, der konstante Faktor impliziert einen linearen Zusammenhang zwischen er­warteten und unerwarteten Verlusten:^[43]

Ε=γ * EL

Durch Addition der notwendigen Ei genkapital deckung über alle Geschäfts­feld/Risikotyp-Kombinationen ergibt sich daraufhin die Gesamteigenkapitalan­forderung.

Zur Validierung der Daten wird der Aufsichtsbehörde nicht nur der erwartete Verlust mitgeteilt, sondern auch die weiteren Parameter im Einzelnen.

3.3.1.2 Loss Distribution Approach

Im Rahmen des Loss Distribution Approach schätzen die Banken für jede Kombi­nation aus Geschäftsfeld und Risikotyp eine Wahrscheinlichkeitsverteilung für die Stärke von Verlustfällen und deren Eintrittsfrequenz für das nächste Jahr. Mit Hilfe dieser Daten wird dann die Wahrscheinlichkeitsverteilung des kumulierten operationeilen Verlustes berechnet. Die Kapitalanforderung ergibt sich aus der einfachen Summe des operationeilen VaR jeder Kombination aus Geschäftsfeld und Risikotyp, wobei eventuelle Korrelationen zwischen den Zellen der Matrixaus Geschäftsfeld und Risikotyp unberucksichtigt bleiben⁴⁴

Liegen genügend historische Daten vor, so können die unerwarteten Verluste so­fort aus den historischen Verlustfällen bestimmt werden, in dem man Verteilungs­annahmen über das Ausmaß und die Eintrittswahrscheinlichkeiten von Verlusten trifft.^[45]

3.3.1.3 Scorecard-Approach

Während sich die beiden oben beschriebenen Ansätze in erster Linie auf histori­sche Daten stützen, werden beim Scorecard-Approach auch zukünftige Entwick lungen und qualitative Faktoren mit berücksichtigt, da die Linienmanager anhand von Checklisten (Scorecards) die Risiken ihrer Geschäftsfelder einschätzen. Zu­nächst wird ein als adäquat erachtetes Kapitalniveau ermittelt, welches dann auf Basis der geschätzten Scorewerte adjustiert wird. Die Scorecards basieren auf be­stimmten Risikokennzahlen und Indikatoren, die für die Beurteilung möglicher Verluste in den Geschäftsfeldern von Bedeutung sind. Dabei folgen die Score­cards keineswegs festgelegten Regeln sondern können flexibel an die Bedürfnisse des jeweiligen Instituts angepasst werden.^[46]

Die so gewonnenen Werte werden sodann in die notwendige Ei genkapital deckung umgerechnet.

3.3.2 Anforderungen an die Organisation

Bevor einer der AMA verwendet werden darf, sind umfangreiche qualitative und quantitative Anforderungen zu erfüllen.^[47] Zunächst ist eine unabhängige Risikomanagementfunktion zu schaffen, die mit dem operativen Management operationeller Risiken beauftragt wird. Die Informationen aus dem Risikomana­gement sind in das Tagesgeschäft zu integrieren, indem sie integraler Bestandteil des Berichtswesens werden und Verfahren zu Kapitalallokation an die Risikoin­formationen geknüpft werden. Es sind Anreize zu schaffen, damit das Manage­ment operationeller Risiken einer ständigen Verbesserung unterliegt. Die Institute sollten Steuerungsverfahren entwickeln, um das Risikoprofil ihrer Tragfähigkeit und dem Risikoappetit anpassen zu können. Insgesamt ist das Risikomanagement detailliert zu dokumentieren, um eine gute Nachvollziehbarkeit gewährleisten zu können. Interne und externe Prüfer werden das Management operationeller Risi­ken regelmäßigen Überprüfungen unterziehen. Spezielles Augenmerk gilt dabei den Validierungsverfahren und der Transparenz der Prozesse und Datenflüsse.

Die quantitativen Kriterien geben einen Maßstab für die Güte der verwendeten Verfahren. Die Verfahren sind so zu konzipieren, dass auch die sehr unwahr­scheinlichen, aber durch die Schwere der Verluste existenzgefährdenden Verlust­ereignisse mit abgedeckt werden. Dazu muss plausibel gemacht werden, dass die Verfahren ein Konfidenzniveau von 99,9% bei einer einjährigen Periode errei­chen. Zur Bemessung der Eigenkapitalanforderung wird regelmäßig die Summe aus erwarteten Verlusten und unerwarteten Verlusten herangezogen. Korrelatio­nen zwischen einzelnen Risikoarten oder Geschäftsfeldern werden in der Regel nicht berücksichtigt, das Gesamtrisiko ergibt sich mithin aus der Summe der Ein­zelrisiken; dies impliziert eine vollständige Korrelation der Einzelrisiken. Zur Be­stimmung des Ausmaßes operationeller Risiken werden interne Daten, externe Daten, Szenario-Analysen sowie Verfahren zur Berücksichtigung des Internen Kontrollsystems und des Geschäftsumfeldes genutzt. Die internen Daten sollten gemäß detaillierter Richtlinien erfasst werden und sich auf die vom Ausschuss geforderten Business Line und Loss Type Kombinationen überführen lassen. Eine Datenhistorie von zunächst drei Jahren und später fünf Jahren ist Vorgabe des Ba­seler Ausschusses. Externe Daten werden genutzt, um Vorfälle mit geringer Wahrscheinlichkeit und großer Auswirkung, die im betrachteten Institut bisher nicht aufgetreten sind mit in die Analyse einzubeziehen. Um die Daten nutzen zu können, ist ein systematischer Prozess der Datenübernahme und Skalierung zu entwickeln. Szenario-Analysen sollen in Verbindung mit externen Daten in etwa den gleichen Zweck erfüllen, jedoch zusätzlich noch in der Organisation verfüg­bares Expertenwissen nutzen. Die Einbeziehung von Analysen des Kontroll- und Geschäftsumfeldes ermöglicht eine zukunftsorientierte Perspektive.

Sofern das Verfahren zum Management operationeller Risiken diese Anforderun­gen zur Zufriedenheit der nationalen Bankenaufsicht erfüllt und diese somit eine Zulassung erteilen, sind neben den oben erläuterten drei AMA auch Verfahren des folgenden Abschnitts verwendbar.

4 Management operationeller Risiken

Nachdem in den voranstehenden Abschnitten die aufsichtsrechtliche Behandlung von operationeilen Risiken dargestellt wurde, wird im Folgenden die rein be­triebswirtschaftliche Sicht dargestellt. Während im Aufsichtsrecht die Stabilität des Bankensystems im Vordergrund steht, ist es an dieser Stelle die ertragsopti male Allokation der knappen Ressource Eigenkapital unter Berücksichtigung des dabei eingegangenen Risikos.^[48] Dabei wurde in der Vergangenheit primär auf Kredit- und Marktpreisrisiken geachtet, wohingegen die operationeilen Risiken aufgrund von Quantifizierungsproblemen vielfach außen vor blieben. Da operati­oneilen Risiken signifikantes Schadenspotential innewohnt, kann es hierdurch zu einer suboptimalen Kapitalallokation kommen.^[49] Eine Lösung dieses Problems kann das Management von operationeilen Risiken sein. Darunter wird hier die systematische und zielgerichtete Identifikation, Bewertung, Überwachung, Steue­rung und Kontrolle von operationeilen Risiken verstanden.^[50] Grafisch wird der Zyklus durch Abb. 3 deutlich gemacht.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Management-Zyklus für operation eile Risiken^[51]

Zunächst werden die Risiken identifiziert, also die internen Verfahren, Menschen und Systeme sowie die Unternehmensumwelt auf Risiken hin untersucht. Dies ist Voraussetzung für die Bewertung der Risiken, hier wird die mögliche Schadens­ höhe und gegebenenfalls die Wahrscheinlichkeit quantifiziert. Die Bewertung muss nicht in jedem Fall über monetäre Größen erfolgen, sondern kann auch durch abstrakte Scorewerte vorgenommen werden. Die identifizierten und bewer­teten Risiken sind möglichst kontinuierlich zu überwachen, um kurzfristig auf Änderungen reagieren zu können. Mögliche Handlungsoptionen zur Risikosteue­rung sind Vermeidung, Verminderung, Transfer oder auch die Akzeptanz von operationeilen Risiken. Der Risikomanagementprozess und die dabei verwendeten Verfahren sind ständig zu kontrollieren, das heißt auf ihre Zuverlässigkeit hin zu untersuchen.⁵²

Neben der Funktion als Grundvoraussetzung für eine effiziente Kapitalallokation kann das Management operationeller Risiken erhebliche zusätzliche ökonomische Vorteile bieten: So kann die Effizienz von Geschäftsprozessen gesteigert, der Kundenservice erhöht und Verlustfälle vermindert werden.⁵³

Grundsätzlich ist das Management operationeller Risiken in die Gesamtbanksteu­erung zu integrieren⁵⁴ und einzubetten in die Risikostrategie und -politik der Insti­tute. Für ein effektives und effizientes Risikomanagement ist eine funktionierende Risikomanagementorganisation aufzubauen und eine Risikomanagementkultur im Unternehmen zu schaffen.⁵⁵ Diese sehr qualitativ orientierten Aspekte werden jedoch im Folgenden nicht weiter vertieft.

4.1 Identifikation

Als Grundlage des Risikomanagements dient die Identifikation der operationeilen Risiken. Voraussetzung für die Identifikation ist eine eindeutige Definition der zu identifizierenden Risiken, im Falle operationeller Risiken bietet sich die Defini­tion des Baseler Ausschusses an. Weiterhin sollte der Zugang zu den relevanten Informationen gegeben sein und die notwendigen Mittel bereitgestellt werden.⁵⁶

Die Identifikation sollte verschiedenen Postulaten genügen:

- Vollständigkeit: lückenlose Aufdeckung aktueller und potentieller Risiken, - Aktualität: schnelle und frühzeitige Erkennung von Risiken, - Kontinuierlichkeit: regelmäßige Überprüfung der Identifikation⁵⁷, - Wirtschaftlichkeit: Beachtung der Kosten der Risikoidentifikation im Verhält­nis zum daraus resultierenden Nutzen, - Überwindung der Widerstände in der Organisation: Minimierung des psychologischen und organisatorischen Widerstands.⁵⁸

Als Ergebnis liefert die Risikoidentifikation die Risikoquellen, eine Beschreibung der Risiken. Auch Anzeichen für Risikopotentiale, sogenannte Risikoindikatoren, werden identifiziert und Zusammenhänge zwischen Ursachen, Schadensorten und Schadensfällen werden aufgezeigt.⁵⁹

Da operationeile Risiken von Kreditinstituten sich auf den unterschiedlichsten Ebenen bewegen können, von stark funktionsspezifischen Risiken bis hin zu eher strategischen Risiken, ist die Komplexität der Risikoidentifikation enorm. Eine vollständige Detailanalyse wird daher in der Regel nicht wirtschaftlich begründ­bar sein. Die Identifikation wird daher tendenziell auf unterschiedlichen Detaillie­rungsebenen stattfmden: In einem ersten Schritt auf einer höheren Abstraktions­ebene um Bereiche hoher Risiken für die darauf folgenden Detailanalyse festzulegen⁶⁰.

Die anwendbaren Techniken zur Risikoidentifikation sind vielfältig und werden im Folgenden systematisiert als Kollektionsmethoden, Kreativitätsmethoden, analytische Suchmethoden und derivative Identifikationsmethoden. Aufgrund der Mannigfaltigkeit operationeller Risiken wird eine Kombination verschiedener Identifikationsverfahren vielfach sinnvoll sein.⁶¹

4.1.1 Kollektionsmethoden

Unter Kollektionsmethoden versteht man die Sammlung risikospezifischer Daten und die Identifikation bestehender beziehungsweise offensichtlicher Risiken.⁶²

Checklisten sind die einfachste Form der Kollektionsmethoden, es kann sich dabei um interne Checklisten oder um Listen von Drittanbietem handeln. Sie sind le­diglich als Ansatzpunkte für eine Risikoidentifikation zu werten, da die Listen nie wirklich vollständig sind und ein Trade-Off zwischen wenigen, hoch aggregierten oder vielen, kaum verdichteten Risiken besteh⁶³

Eine weitere Möglichkeit stellen Interviews und Expertenbefragungen dar. Hier­bei ist zu beachten, dass die Erfahrung und Kompetenz des Befragten Einfluss auf die Qualität der Identifikation haben. Es werden vorzugsweise Schlüsselpersonen mit der notwendigen Kompetenz und Übersicht befragt. Die Befragung kann per­sönlich, formal oder informell durchgeführt werden und Fragen zu Arbeitsplatz und Arbeitsumfeld sowie zum Betätigungsfeld des Experten beinhalten.

Die SWOT-Analyse (Strengths-Weaknesses-Opportunities-Threads) dient der Analyse von Stärken und Schwächen der Bank im Verhältnis zu externen Chan­cen und Risiken, wodurch die interne Perspektive mit der externen Perspektive kombiniert wird. Mit Hilfe dieser Technik wird anhand von Dokumenten (Bilan­zen, Erfolgsrechnungen, Organigramme, Verträge), Branchenanalysen (in anderen Instituten schlagend gewordene operationeile Risiken) und Betriebsbesichtigun­gen (ineffiziente Abläufe) eine eher globale Risikoidentifikation durchgeführt.

Im Rahmen von Seif Assessments oder auch Risk Assessments werden mit Fra­gebögen und Workshops Risiken im internen Bereich identifiziert. Die Kombina­tion von Fragebögen mit Workshops bringt mehr Risiken zu Tage als die Befra­gung einzelner Mitarbeiter, da sich eine Gruppe ausgewählter Personen mit einem Thema auseinandersetzt. Seif Assessments sind ein ergiebiges und viel genutztes Verfahren.⁶⁴

Über generische Prozessschemata, die die Prozesse einer Bank idealtypisch abbil­den, lassen sich Risiken in den real existierenden Prozessen der Bank identifizie­ren, indem die realen Prozesse in diese Schemata überführt werden. Die idealtypi­schen Prozessbeschreibungen dienen der Reduktion der Komplexität, erhöhen die Übersichtlichkeit und reduzieren den fortlaufenden Wartungs- und Pflegauf­wand.⁶⁵

Die Risiko-Identifikations-Matrix ist eine Ergänzung zur Auflistung von Risiken oder anderen Kollektionsverfahren. Sie verwendet Kausalzusammenhänge zwi­schen einzelnen Risiken und dient als Denkhilfe zur Aufdeckung neuer Risikopotentiale.⁶⁶

4.1.2 Kreativitätsmethoden

Diese Kategorie von Methoden ist gerade zur Identifikation von operationeilen Risiken sehr geeignet, da auch neue, bisher nicht beachtete oder unbekannte Risi­koquellen aufgedeckt werden können. Durch die Aufwändigkeit der Methoden ist es allerdings sinnvoller, sie primär in eher kritischen Untemehmensbereichen an­zuwenden.⁶⁷

Kreativität ist die Hervorbringung eines bisher unbekannten Aspekts durch neue Zusammenfügung vorhandener Informationen.

Eine Kreativitätsmethode ist das Brainstorming. Kreativität entsteht hier durch eine ungezwungene Atmosphäre. Spontane Äußerungen werden unkritisiert fest­gehalten, so dass innerhalb kurzer Zeit viele ungewohnte Risikoaspekte zusam­mengestellt werden. Erfolgsentscheidend ist die Zusammenstellung der Teilneh­mer.⁶⁸

Für das Brainwriting ist ebenfalls die Auswahl der Teilnehmer entscheidend. Die Teilnehmer halten mögliche Risikopotentiale schriftlich fest um diese dann von anderen Teilnehmern ergänzen und konkretisieren zu lassen.

Die Synektik fügt scheinbar nicht zusammenhängenden Tatbestände neu zusam­men und bedient sich dafür Gleichnissen aus der Natur. Diese Methode wird sehr strukturiert in zehn definierten Teilschritten durchgeführt und hilft primär bei Analysen und Konstellationsproblemen.

Fragebögen bilden die Basis für die Delphi-Methode. Diese werden durch ein Pa­nel von Experten beantwortet. Die Ergebnisse der Befragung werden statistisch ausgewertet und als Feedback an das Expertenpanel gegeben. Durch die bis zu dreimalige Wiederholung der Befragung werden die einzelnen Aussagen schritt­weise verbessert und neue Informationen generiert.⁶⁹

4.1.3 Analytische Suchmethoden

Analytische Suchmethoden nehmen aktiv auf die Problemsuche Einfluss und gestalten den Prozess der Suche.⁷⁰ Risikopotentiale werden ohne Zuhilfenahme der direkt betroffenen Mitarbeiter aufgedeckt, Kreativitätsaspekte treten in den Hintergrund.

Das morphologische Verfahren zeigt Ordnungen und Strukturen auf, indem es die Beziehungen einzelner Parameter schematisch abbildet. Dazu wird das Problem zunächst in seine Parameter zerlegt und daraufhin zu jedem Parameter mögliche Lösungen gesucht. Durch die Kombination von Lösungsmöglichkeiten zu ver­schiedenen Parametern wird eine Vielzahl von Lösungen für das Gesamtproblem generiert. Die vertiefte Auseinandersetzung mit dem Gesamtproblem bringt wie­der neue Teilaspekte zum Vorschein.

Der Fragenkatalog kann auch als analytische Suchmethode dienen und baut dann auf Checklisten, Dokumentenanalysen oder anderen Identifikationsmethoden auf. Der Risikomanager wird durch eine Reihe von tiefgreifenden Fragen auf die Risi­kopotentiale hingeleitet, durch geschickte Kombination, Abänderung oder Anpas­sung von Fragen können neue Risikopotentiale erkundet werden.

Zur Strukturierung von Problemen und zur Analyse risikobehafteter Situationen dient die Fehlermöglichkeits- und Einflussanalyse (FMEA). Allgemein läuft die

FMEA in vier Phasen ab. Im ersten Schritt wird das zu analysierende System fest­gelegt, die Aufteilung in einzelne Komponenten vorgenommen und die Teamzu­sammensetzung, das Vorgehen und der Zeitplan festgelegt. Der zweite Schritt um­fasst die Fehler- beziehungsweise Risikostrukturierung für jede Komponente so­wie die Auflistung aller möglichen Risikoquellen, also aller Risikoursachen und Folgewirkungen. Danach werden die Risiken bewertet und kategorisiert indem ihnen eine Risikoprioritätszahl, die gewichtete Multiplikation aus Entdeckens- und Eintrittswahrscheinlichkeit, zugewiesen wird. Im letzten Schritt werden dann die Risiken in Prioritätsstufen der Behandlung eingeteilt. Die Aussagekraft der FMEA ist umso größer, je vollständiger die Risikoquellen integriert sind. In die Analyse sollten auch Experten mit einbezogen werden. Durch die FMEA werden die vorhandenen Risiken lückenlos dokumentiert, allerdings werden Interdepen­denzen nicht mit einbezogen.⁷¹

Die Baumanalyse geht von einem gestörten Gesamtsystem aus. Man unterscheidet die Fehlerbaumanalyse und die Störablaufanalyse. Während die Fehlerbaumana­lyse eine kausale Kette von der Fehlerwirkung zu den möglichen Ursachen auf­baut, geht die Störablaufanalyse den Weg in die andere Richtung und sucht nach den möglichen Folgen eines unerwünschten Ereignisses. Durch die Kombination der beiden Analysen kann somit ein umfassendes Risikobild geschaffen werden, das sich aus allen direkt und indirekt involvierten Risikoquellen (Ergebnis der Fehlerbaumanalyse) und allen möglichen Folgewirkungen (Resultat der Störablaufanalyse) zusammensetzt.⁷²

4.1.4 Derivative Identifikationsmethoden

Die im Folgenden erläuterten Verfahren sind grundsätzliche eher der Bewertung von Risiken zuzuordnen, sie ermöglichen aber als Nebenprodukt die Aufdeckung von Risikopotential und werden daher als derivative Identifikationsmethoden be­zeichnet.⁷³

Mit Hilfe der Szenariotechnik werden systematisch Zukunftsbilder aus den Er­kenntnissen der Gegenwart entwickelt. Dazu wird zunächst das Untersuchungs­feld und das zu beachtende Umfeld abgegrenzt. Danach werden alle notwendigen Informationen zusammengetragen und das Umfeld mittels geeigneter qualitativer und quantitativer Deskriptoren genauer charakterisiert. Unter Berücksichtigung möglicher Entwicklungspfade und Störereignisse werden dann verschiedene Sze­narien entwickelt, die dann mit Konsequenzanalysen und weitergehenden Störer­ei gnisanaly sen interpretiert werden.^[74]

Simulationsverfahren dienen der Analyse von Systemen bei verschiedenen Aus­gangssituationen. Sie stützen sich auf die stochastischen Eigenschaften von Sys­temen und unterstellen Zufallsgesetze bei den Inputgrößen. Ein Beispiel für Si­mulationsverfahren ist die Monte-Carlo-Simulation. Hier wird jeder Einflussgröße ein Zufallswert zugeteilt und der zugehörige Ergebniswert errechnet. Nach einer hinreichend hohen Zahl von Durchläufen kann eine Wahrscheinlichkeitsvertei­lung des Ergebnisses ermittelt werden.

4.2 Bewertung

Nachdem die operationeilen Risiken mit den verschiednen Verfahren identifiziert wurden, ist die Risikobewertung die logische Konsequenz, um die Gefährdung der Unternehmensziele durch die identifizierten Risiken abschätzen zu können.^[75] Durch die Bewertung lassen sich die identifizierten Risiken in Form eines Risiko­portfolios mit den Dimensionen Eintrittswahrscheinlichkeit und Schadenshöhe abbilden. Anhand des Portfolios können akzeptable und nicht mehr akzeptable Risiken in Abhängigkeit von Risikoneigung und -tragfähigkeit der Organisation definiert werden, um so Handlungsfelder und -Optionen für die Risikosteuerung festzulegen^[76]. Vielfach werden neben der Schadenshöhe und der Eintrittswahr­scheinlichkeit noch weitere Bewertungsparameter diskutiert, wie Vorhersehbar­keit (Schadenshöhe und Wahrscheinlichkeit), Häufigkeit (Auftreten eines Risikos pro Zeiteinheit)⁷⁷ und Entdeckungswahrscheinlichkeit oder auch ein gewichtetes Rating, aus dem sich die Eintrittswahrscheinlichkeit ergibt⁷⁸. Im Folgenden wird die Bewertung anhand von zwei Parametern vorgenommen, der Eintrittswahr­scheinlichkeit und der Schadenshöhe⁷⁹.

Die Ermittlung einer Wahrscheinlichkeitsverteilung wie in Abb. 4 ermöglicht die Ableitung eines erwarteten Verlustes (Expected Loss) mit verhältnismäßig hoher Eintrittswahrscheinlichkeit und geringer Schadenshöhe und eines unerwarteten Verlustes (Unexpected Loss) mit geringerer Eintrittswahrscheinlichkeit in Ver­bindung mit größerer Schadenshöhe. Die sich dafür heranzuziehenden Deckungs­potentiale werden in Abschnitt 4.4 noch weiter erläutert, an dieser Stelle nur so­viel: Aus der Verlustverteilung kann ein Operational VaR ermittelt werden. Das ist der Verlust aus operationeilen Risiken, der mit einer bestimmten Wahrschein­lichkeit innerhalb einer gegebenen Periode nicht überschritten wird. Dieser Wert kann als Maßgröße für das zur Risikodeckung vorzuhaltende Eigenkapital dienen ⁸⁰

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Verteilung der Verluste aus operationellen Risiken^[81]

Die Bewertung von Risiken ist aus theoretischer Sicht nicht unproblematisch, da gerade zukunftsbezogene Bewertungsprozesse immer subjektiv und politisch sind, daher ist bei Scheingenauigkeiten Vorsicht angebracht^[82]. Die Komplexität menschlichen Verhaltens macht die definierte und quantitative Abbildung von Ri­siken unmöglich, auch weil die Zahl der Fehlermöglichkeiten in sozio-technisehen Systemen tendenziell unbegrenzt ist. Extreme Verluste, die bisher in der Organi­sation nicht aufgetreten sind, können aufgrund mangelnder historischer Daten ex­ante nicht eingeschätzt werden; externe Verlustdaten, die diesen Mangel beheben könnten sind allerdings in der Regel nicht ohne Anpassungen übertragbar. Sofern eine Datenhistorie an Verlustfällen aus operationeilen Risiken vorliegt, kann diese nur sehr eingeschränkt als Indikator für zukünftige Entwicklungen angesehen werden. In weiten Teilen ungeklärt ist die Frage der Aggregation von Teilrisiken, im Gegensatz zu Marktpreisrisiken oder Kreditrisiken existiert bei operationeilen Risiken kein Diversifikationseffekt.

Zur Klassifizierung der Bewertungsverfahren sind grundsätzlich verschiedene Dimensionen denkbar, so werden in der Literatur Top-Down Ansätze und Bot tom-Up Ansätze unterschieden. Top-Down Ansätze sind Verfahren, die sich auf die Analyse von Controlling-Kennzahlen auf ihre historische Volatilität hin stüt­zen, mithin von der Risikofolge auf die Risikoursache schließen. Bottom-Up An­sätze setzen eine detaillierte Prozessrisikoanalyse voraus, wobei an der Basis die Risiken identifiziert werden um daraus auf mögliche Risikowirkungen zu schlie­ßen.^[83] An dieser Stelle werden die Methoden in quantitative und qualitative Verfahren gegliedert. Qualitative Verfahren stützen sich primär auf die Intuition und die Erfahrung des Bewertenden, wohingegen quantitative Techniken rechne­risch zu einer Bewertung kommen. Regelmäßig wird aufgrund der Charakteristik von operationeilen Risiken eine Kombination von qualitativen und quantitativen Verfahren angebracht sein^[84].

4.2.1 Quantitative Bewertungsmethoden

Operationelle Risiken gelten im Allgemeinen als nicht vollständig quantifizier­bar^[85], aufgrund der Komplexität und in Folge der Unkenntnis über zukünftige Ent­wicklungen.^[86] Bisher konzentrieren sich die Anstrengungen der Banken primär auf die Erstellung eines möglichst umfassenden Bildes der aktuellen Risikositua­tion durch die Sammlung von Schadensfalldaten und die Identifikation von po­tentiellen Risikotreibern. Die zur Quantifizierung der Risiken herangezogenen Verfahren sind vielfältig, daher wird hier nur eine Auswahl kurz beschrieben.

Die Risikobewertung anhand von historischen Verlustverteilungen basiert auf in­ternen oder externen Verlustdaten, aus denen die Eintrittswahrscheinlichkeiten und die Tragweite der operationeilen Risiken ermittelt werden. Derzeit liegen je­doch kaum brauchbare Daten vor, aufgrund der Anforderungen des Baseler Ko­mitees ist eine Verbesserung der Datenlage jedoch zu erwarten. Wichtig bei der Erfassung der Schadensdaten ist ein hoher Informationsgehalt, es sollten auch all­gemeine deskriptive Informationen zu den Schadensfälle aufgezeichnet werden.

Durch die Modellierung des Geschäftsablaufs und Simulation anhand dieses Mo­dells können potentielle Verluste aus operationeilen Risiken bewertet werden, ohne dabei auf historische Daten angewiesen zu sein. Als Ergebnis der Simulation erhält man wieder eine Verlustverteilung. Dieses Verfahren ist extrem aufwändig und teuer, kann aber sehr untemehmensspezifisch ausgestaltet werden.

Der Ausgaben- / Gewinn-Ansatz misst das operationeile Risiko Top-Down an­hand von buchhalterischen Größen. Im Ausgaben-Ansatz werden die Kosten als Triebgröße für das operationeile Risiko der Organisation gesehen. Damit wird unterstellt, dass eine Erhöhung der Ausgaben auch eine Erhöhung des Risikos impliziert. Zu den Ausgaben zählen allerdings auch Ausgaben zur Reduzierung des operationeilen Risikos. Da der Ausgaben-Ansatz sich als unbrauchbar erwies, wurde er weiterentwickelt zum gewinnorientierten Ansatz. Auch der Basic-Indi­cator-Approach und der Standardised Approach sind gewinnorientierte Ansätze, die dort genannte Kritik gilt also hier ebenfalls.

Methoden der Wahrscheinlichkeitsrechnung modellieren operationeile Verluster­eignisse als Zufallsverteilung. Voraussetzung dafür sind eindeutig abgegrenzte Verlustereignisse und die Verfügbarkeit von Daten in ausreichendem Umfang. Typisch für operationeile Risiken sind Verlustfälle mit relativ hoher Wahrschein­lichkeit und geringer Schadenshöhe (viele Daten) gegenüber Verlustfällen mit ge­ringer Wahrscheinlichkeit und großer Schadenshöhe (wenig Daten). Sind ausrei­chend Daten vorhanden, so können historische Verteilungen ermittelt werden. Falls die Datenlage nicht gut genug ist, so wird mit Verteilungsannahmen gear­beitet.^[87] In der Regel wird dabei die Verlustverteilung in zwei Verteilungen zer­legt. Die Anzahl der Verluste in einem gegebenen Betrachtungszeitraum wird durch eine Häufigkeitsverteilung modelliert. Das klassische Modell der Versiche­rungsmathematik nimmt eine Poisson-Verteilung an. Die Modellierung der Höhe der einzelnen Verluste erfolgt als stetige Verteilung, empirisch hat sich die Lognormalverteilung bewährt. Dabei wird angenommen, dass Schadenshöhe und häufigkeit unabhängig voneinander sind.⁸⁸

Die Methode der Komplexitätstheorie nimmt an, dass Unternehmen komplexe Systeme sind, die aus interaktiven, sich nicht-linear verhaltenden Einheiten, Pro­zessen und Entscheidungsträgem bestehen. Diese Systeme können mit Hilfe von künstlichen Systemen simuliert werden. Das komplexe Verhalten resultiert aus der Interaktion der einzelnen Komponenten, von denen jede einzelne eigene Ver­haltensregeln beachtet. Die Simulation kann durch Agenten mit autonomem Ent­scheidungsverhalten erfolgen. Dieses Verfahren liefert aussagekräftige Ergeb­nisse, steht aber noch an Anfang der Entwicklung und ist kostspielig und zeitin­tensiv.

Das Ergebnis der quantitativen Verfahren ist in der Regel eine Verlustverteilung, aus der ein Value-at-Risk abgeleitet werden kann. Die Quantifizierung der opera­tioneilen Risiken mit dem VaR scheint ein probates Mittel zur Aggregation der Risiken auf Gesamtbankebene zu sein, da so eine einheitliche Risikomaßzahl über alle Risikoarten verwendet werden kann^[89]. Dieses Vorgehen ist jedoch nicht unumstritten. Zunächst ist die bisher vorhandene Datenbasis als unzureichend ein­zustufen, des Weiteren sind keine Aussagen über neue Produktbereiche möglich. Die statistische Kennzahl VaR ist für die Unternehmensbereiche nur schwer nachvollziehbar und führt daher nicht in jedem Fall zu den gewünschten Hand­lungen.^[90]

4.2.2 Qualitative Bewertungsmethoden

Wird die Risikolage mittels subjektiver Einschätzungen in systematischer oder unsystematischer Form eingeschätzt, so bezeichnet man dieses Vorgehen als qua­litative Bewertungsmethode.^[91]

Dazu gehört die Methode der Schlüsselfaktoren oder auch Risikoindikatoren (Key-Risk-Indicators). Die Schlüsselfaktoren erlauben nur allgemeine und relative Werturteile, daher sind sie nicht den quantitativen Verfahren zugeordnet. Sie zei­gen Anzeichen und Symptome für mögliche Risikowirkungen und können so als Warnsignal dienen. Schlüsselfaktoren können Ausgangspunkt für tiefergehende

Analysen mit quantitativen Methoden sein. Beispiele für Risikoindikatoren sind Fluktuationsrate des Personals, Transaktionsvolumen, Mitarbeiterfortbildungen und viele mehr. Risikoindikatoren haben, je nach Güte, eine hohe Aussagekraft, sind einfach zu ermitteln und damit relativ kostengünstig.⁹²

Die Nutzwertanalyse dient traditionell zur Bewertung von Alternativen. Leicht abgewandelt kann sie auch zur Risikobewertung herangezogen werden, indem verschiedene Faktoren gegenübergestellt, gewichtet und benotet werden. Bei­spielsweise ist es möglich, Risikoindikatoren als Faktoren zu sehen, die Indikato­ren mit Scores zu bewerten und dann eine Gewichtung vorzunehmen. Als Ergeb­nis erhält man eine interne Risikomaßzahl. Dieses Vorgehen ist relativ einfach und übersichtlich, bietet aber viel Bewertungsspielraum und vermittelt eineScheingenauigkeit⁹³

Im Rahmen der Risikoidentifikation im Abschnitt 4.1.4 wurde die Szenariotech­nik bereits kurz umrissen. Dies Technik kann auch zur Bewertung herangezogen werden. Dabei werden mit Hilfe der menschlichen Intuition und Urteilsfähigkeit unterschiedliche Szenarien, in diesem Fall verschiedene Risikosituationen oder auch ein zu erwartendes Risikoexposure, entwickelt. In der Regel handelt es sich dabei um drei Szenarien, aus Sicht des Risikomanagements ist dabei in der Regel der schlechteste anzunehmende Fall interessant, das Worst-Case-Szenario. Die Risiken werden dabei in einer Risk-Assessment-Matrix abgebildet, mit Eintre­tenswahrscheinlichkeit und Tragweite. Die so gewonnenen subjektiven Einschät­zungen können im Nachhinein mit den historischen Verlustdaten getestet werden (Back Testing). Die Szenarioanalyse liefert eine breite Einschätzung der allge­meinen Risikolage und verdeutlicht Handlungsbedarf, ist aber wieder von der Er­fahrung des Bewertenden abhängig und vermittelt erneut eine Scheingenauig­keit.⁹⁴

Die Baumanalysen aus Abschnitt 4.1.3 können zur Bewertung weiterverwendet werden, indem jeder Knoten des Baumes mit einer Wahrscheinlichkeit versehen wird. Die Endfolgen eines Störereignisses können durch Multiplikation der Wahr scheinlichkeit mit der Tragweite berechnet werden. Idealerweise werden die Wahrscheinlichkeiten empirisch ermittelt, da so eine Objektivierung der Ergeb­nisse erreicht werden kann. Damit wäre die Baumanalyse allerdings wieder den quantitativen Verfahren zuzuordnen.

Anhand von Prozessanalysen können Risiken ebenfalls bewertet werden. Die Pro­zesse werden in Teilprozesse zerlegt und auf Ebene der Teilprozesse wird die Eintrittswahrscheinlichkeit und die Schadenshöhe geschätzt.

4.3 Überwachung

Die Überwachung der operationeilen Risiken bezieht sich auf den kontinuierli­chen Abgleich der Ist-Risikowerte mit den Sollvorgaben, die im Einklang mit den Unternehmenszielen, dem Risikoappetit und der Risikotragfähigkeit stehen. Ab­weichungen implizieren Steuerungsmaßnahmen, wie sie im Abschnitt 4.4 beschrieben werden.

Eine Möglichkeit der kennzahlengestützten Überwachung stellt eine erweiterte Balanced Scorecard (BSC) dar. Die BSC unterstützt das schnelle ziel- und strate­gieadäquate Treffen von Entscheidungen und stellt einen Ausgleich zwischen fi­nanziellen und nicht-finanziellen Messgrößen, Frühindikatoren und Ergebnisgrö­ßen her⁹⁵, wodurch das Risikomanagement in die Gesamtbanksteuerung integriert wird.

Mit Hilfe der BSC wird die Unternehmensleitung aus verschiedenen Blickwin­keln mit gegenwarts- und zukunftsbezogenen Kennzahlen dargestellt.⁹⁶ Im Grund­konzept handelt es sich dabei um vier Perspektiven: die Finanz-, Kunden-, Poten­zial- und die interne Perspektive. Die BSC zeigt den Zusammenhang zwischen der Unternehmensstrategie, den daraus abgeleiteten Zielen, Kennzahlen, Vorgaben und Maßnahmen. Grundsätze der BSC sind: Berücksichtigung von Wirkungszu­sammenhängen, Verknüpfung mit den Finanzen sowie die Berücksichtigung von Ergebnis- und Leistungstreiberkennzahlen. Um die BSC für das Risikomanage­ment zu verwenden, existieren verschiedene Ansätze:

Zunächst kann die BSC um eine Perspektive, die Risikoperspektive, erweitert werden. Da die Risiken von Kreditinstituten heterogen sind und somit unter­schiedlichste Kausalzusammenhänge existieren können, erweist sich die Integra­tion in die Ursache-Wirkungsbeziehungskette als durchaus problematisch.

Ein weiterer Ansatz ist der Aufbau einer zusätzlichen BSC nur für das Risikoma­nagement, unter Nutzung der vier Standardperspektiven. Zu diesem Zweck wer­den im Rahmen der Identifikation die Risikokomponenten erarbeitet und dann mit Eintrittswahrscheinlichkeit und Schadenshöhe bewertet.

Die Balanced Scorecard Plus basiert auf einer Erweiterung der Standardperspekti­ven um Chancen und Risiken. Letztlich werden also zwei zusätzliche Spalten in eine bestehende BSC eingefügt.

Noch umfassender ist die Balanced Chance- and Risk-Card. Dabei werden die Wirkungszusammenhänge zwischen für den Untemehmenswert wesentlichen Er­folgsfaktoren, Chancen und Risiken identifiziert, modelliert und kommuniziert. Es handelt sich um eine Konkretisierung der herkömmlichen BSC mit den Spitzen­kennzahlen Discounted Cash Flow (DCF), Economic Value Added (EVA) und Market Value Added (MVA). Wesentliche Erfolgsfaktoren können in den Finan­zen, den Kunden, den Produkten, der Leistungserstellung oder beim Personal lie­gen. Die Chancen und Risiken werden bei den Erfolgsfaktoren erfasst. Auf Basis der Strategie werden dann Ziele und Aufgaben zur Minderung der Risiken und zur Nutzung der Chancen festgelegt. Zur Erfüllung der Aufgaben werden Instrumente bestimmt.

Die Balanced Scorecard kann also quasi als Front-end des Risikomanagements dienen und dabei Abweichungen zwischen den Zielvorgaben und den tatsächli­chen Werten aufzeigen. Durch die Dokumentation von Wirkungszusammenhän­gen ist es möglich, Ansatzpunkte zur Verbesserung aufzuzeigen und diese in kon­krete Steuerungsmaßnahmen umzusetzen.

Zur Überwachung wird somit laufend die Risikolage des Gesamtunternehmens berichtet. Weitere Informationen zur Steigerung der Aussagekraft sind Angaben über Risikophilosophie, Risikomanagementprozess und -Steuerungsinstrumente.⁹⁷

Um eine leistungsfähige Risikoüberwachung zu gewährleisten wird in der Regel das bestehende Berichtswesen überarbeitet werden müssen. Dies ist eine Chance zur Vereinfachung und Vereinheitlichung von Berichten. Nicht zu vernachlässi­gen ist die Ausbildung der Zielgruppe der Berichte, damit diese die neu gewonne­nen Informationen richtig verarbeiten können.⁹⁸

4.4 Steuerung

Das Eigenkapital von Kreditinstituten dient zur Risikodeckung. Hierdurch ist die Risikotragfähigkeit der Institute begrenzt. Dies impliziert die Steuerung der Risi­ken durch die Untemehmensführung. Letztlich handelt es sich um ein Entschei­dungsproblem: Wie kann der Ertrag des Unternehmens unter der Nebenbedingung begrenzter Risikoubernahme maximeirt werdern?⁹⁹

Dies kann zum Einen geschehen durch eine effiziente Allokation des Eigenkapi­tals auf Unternehmensbereiche, die entweder bei gegebenem Risiko einen höheren Ertrag erwirtschaften oder bei gegebenem Ertrag ein geringeres Risiko eingehen. Hilfestellung geben bei der zentralen Vergabe von Eigenkapital risikoadjustierte Performancemaße¹⁰⁰. Eine weitere Möglichkeit stellen dezentrale Verfahren wie interne Risikokapitalmärkte oder auch verschiedene Auktionsverfahren zur Kapitalallokation dar¹⁰¹. Wie in Abb. 4 auf Seite 29 zu sehen ist, werden die erwarteten als Risikokosten gesehen und die unerwarteten Verluste bis zu einer zu definierenden Schwelle als notwendige Risikodeckungsmasse. Über diese Schwelle hinausgehende Risiken sind auf Dritte zu transferieren.

Abb. 5: Risikosteuerungsmaßnahmen¹⁰²

Ist das Risiko selbst Objekt der Steuerung, so kann man unterscheiden zwischen ursachenbezogenen Maßnahmen und wirkungsbezogenen Maßnahmen. Vermei­dung und Verminderung setzen bei den Ursachen des Risikos an, Transfer oder Akzeptanz beschäftigen sich mit den Wirkungen von Risiken.¹⁰³ Zur Entscheidungsfindung werden die zuvor identifizierten und bewerteten Risiken in ein Risikoportfolio wie in Abb. 5 mit den Achsen Tragweite und Eintrittswahr­scheinlichkeit eingeordnet und die zugehörige Maßnahme unter Beachtung der Unternehmensstrategie und Risikotragfähigkeit gewählt.¹⁰⁴

4.4.1 Vermeidung

Wird die Eintrittswahrscheinlichkeit des Risikos auf Null reduziert, so spricht man von der Vermeidung des Risikos. Dies ist regelmäßig nur bei Aufgabe des Geschäftsfeldes möglich, daher wird die Vermeidung die letzte Handlungsmög­lichkeit nur bei Risiken mit hoher Tragweite und hoher Wahrscheinlichkeit eine wirkliche Handlungsoption darstellen, wenn ein Transfer nicht möglich oder zu teuer ist. Bei der Vermeidung sollte darauf geachtet werden, dass dies im Ein­klang mit der Untemehmensstrategie steht.¹⁰⁵

4.4.2 Verminderung

Verminderung kann ansetzen bei der potentiellen Schadenshöhe oder auch bei der Eintrittswahrscheinlichkeit. Es kann sich dabei um technische, organisatorische oder personelle Maßnahmen handeln.¹⁰⁶ Dabei geht es unter anderem auch um die Sensibilisierung von Mitarbeitern und Management, um eine Risiko- und Quali­tätskultur zu etablieren und so die Wahrnehmung bei den Mitarbeitern zu erhöhen und die Elmsetzung von Verminderungsstrategien zu erleichtern.

Frühwarnsysteme weisen mit zeitlichem Vorsprung auf Ereignisse hin, die die Elnternehmensentwicklung mit hoher Wahrscheinlichkeit negativ beeinflussen werden. Sie geben durch den zeitlichen Vorsprung die Möglichkeit, zukünftige Entwicklungen zu antizipieren. Dazu ist es notwendig, Faktoren mit Signalcha­rakter aus vorhandenen Informationen herauszufiltern. Grundlage für Frühwarn­systeme ist die Indikatorhypothese, die besagt, dass Veränderungen nicht plötzlich geschehen sondern sich durch Signale ankündigen. Starke Signale können aus denn betrieblichen Funktionsbereichen selbst kommen, beispielsweise durch Kennzahlensysteme, Soll-Ist- und Abweichungsanalysen. Schwache Signale kommen aus dem Umfeld des Unternehmens, dabei kann es sich um volkswirt­schaftliche, soziale und politische Indikatoren handeln. Sie liefern eher unscharfe und unpräzise Informationen. Ein wirksames Frühwarnsystem kombiniert Indi­katoren mit starker und schwacher Signalwirkung.

Ähnlich wie Frühwarnsysteme funktionieren Limitsysteme: Bei Überschreiten bestimmter Schwellenwerte werden Warnungen ausgelöst oder Aktivitäten ge­stoppt. Hierfür müssen die Risiken bekannt sein und Vorstellungen über tolerier­bare Bereiche vorliegen.

Das unbestritten wichtigste Instalment zur Minderung von Risiken ist das Interne Kontrollsystem (IKS) der Kreditinstitute. Kontrolle ist eine Überwachungshand­lung, die im Arbeitsablauf auftretende Fehler verhindern und / oder auffinden soll. Interne Kontrolle ist die Gesamtheit aller Sicherungsmittel im Inneren der Organi­sation. Hauptbereich der Kontrolle ist die Organisationsstruktur, die Rechnungs­legungsverfahren, das Vier-Augen-Prinzip und die physische Kontrolle von Ak­tiva und Passiva. Das IKS wirkt primär auf die Eintretenswahrscheinlichkeit und entfaltet präventive Wirkung, ist aber relativ kostenintensiv.¹⁰⁷

Eine weitere Möglichkeit, die operationeilen Risiken zu vermindern, stellt ein funktionierendes Qualitätsmanagement dar. Die Verminderung wird erreicht über eine Qualitätsverbesserung der Leistungsprozesse. Die erhöhte Fehlerwahrneh­mung und die ständige Suche nach Verbesserungsmöglichkeiten senkt die Ein­trittswahrscheinlichkeit und sekundär auch die Schadenshöhe.

Diversifikation ist bei operationeilen Risiken in der Regel nicht wirkungsvoll, da eine Streuung der Geschäftsaktivitäten hier in der Regel risikoerhöhend wirkt. Gleichwohl kann, gerade bei externen Ereignissen, sehr wohl durch eine regio­nale, personelle oder objektbezogene Streuung eine Risikominderung herbeige­führt werden. Beispielhaft wäre hier die redundante Auslegung eines Rechenzent­rums an zwei unterschiedlichen Standorten zu nennen. Im Falle der Zerstörung des einen Rechenzentrums wäre die Betriebsbereitschaft des zweiten Rechenzent­rums weiterhin gegeben.

Sicherheitsvorkehrungen sind Maßnahmen zur Begrenzung und Verhütung von Schäden. Sie tragen wesentlich zur Verminderung von operationeilen Risiken bei. Unter Verhütung versteht man alle Maßnahmen zur Bekämpfung des Scha­denseintritts, dazu zählen alle Verhaltens- und Sicherheitsvorschriften und auch Sicherungsmaßnahmen für sachliche Betriebsmittel. Begrenzung meint den Ver­such, die Tragweite im Nachhinein herabzusetzen. Dem sind alle im Voraus fest­gelegten Notfallmaßnahmen zuzurechnen, ebenso wie Alarmsysteme.

Ein funktionierendes Wissensmanagement trägt ebenfalls zur Minderung operati­oneller Risiken bei. Die Ressource Wissen ist ein bedeutsamer Wettbewerbsfak- tor, es besteht die Gefahr von Wissensverlusten und der unzureichenden Nutzung von Wissen. Durch ein effizientes Wissensmanagement kann der Verlust von Wissen durch Personalfluktuation gemindert werden.¹⁰⁸

4.4.3 Transfer

Der Transfer von operationeilen Risiken ist immer dann angezeigt, wenn die Risi­ken nicht vermindert oder vermieden werden können aber vermindert werden wollen.¹⁰⁹ Dies ist in der Regel bei Risiken mit geringer Eintrittswahrscheinlich­keit und sehr hohem Schadenspotential der Fall, also bei seltenen aber spektakulä­ren Verlustfällen. Das Kreditinstitut möchte den Schaden nicht selbst tragen und diesen vor Eintritt auf einen anderen Träger abwälzen. Grundsätzlich werden dazu zwei Verfahren diskutiert: die Versicherungslösung und die Verbriefung mit Plat­zierung am Kapitalmarkt.

Traditionell werden die Risiken auf Versicherungen transferiert. Aufgrund der Komplexität von operationeilen Risiken ist eine Versicherung zwar nur schwer möglich, trotzdem existiert derzeit eine Police am Markt. Die Financial Instituti­ons Operational Insurance (FIORI) versichert operationeile Risiken, ist aber rela­tiv teuer und verlangt einen hohen Selbstbehalt. Relevante Parameter zur Beur­teilung von Versicherungslösungen sind die abgedeckten Risiken, die Versiche­rungssummen, der Selbstbehalt und die Prämie.¹¹⁰ Im Rahmen von Basel II bleibt die Anrechnung von Versicherungsleistungen Banken vorbehalten, die einen der AMA verwenden.¹¹¹

Neu und innovativ ist der Risikotransfer auf den Kapitalmarkt durch Operational Risk Linked Bonds. Dieses Verfahren basiert auf sogenannten Katastrophen-An- leihen (Cat-Bonds). Es werden im Prinzip zukünftige Versicherungsleistungen verbrieft und am Kapitalmarkt platziert. Dazu wird ein Special Purpose Vehicle (SPV) konstruiert, das auf vertraglicher Basis gegen Zahlung einer Versiche­rungsprämie das Risiko eines vorab definierten Ereignisses übernimmt. Das SPV emittiert einen Cat-Bond und investiert den Betrag in risikolose Anleihen. Tritt der Schaden nicht ein, so erhält der Investor alle vereinbarten Zinszahlungen und den Nominalbetrag am Laufzeitende zurück. Wird das Risiko schlagend, so ver­liert der Anleger seine Investment, da das SPV seine Assets zur Befriedigung der Ansprüche des Kreditinstitutes veräußern muss. Der Anleger erhält als Gegen­leistung für die Risikoübernahme eine höhere Verzinsung im Gegensatz zur risi­kolosen Anleihe und kann diese Art der Anleihe zur Diversifikation seines Port­folios nutzen, da Katastrophen-Anleihen nicht mit anderen Anlageformen korre­liert sind.¹¹²

4.4.4 Akzeptanz

Akzeptiert das Institut die operationeilen Risiken, so trägt es die Risiken selbst. Dies wird am ehesten bei Schadensfällen mit relativ geringer Wahrscheinlichkeit und geringem Schadensausmaß der Fall sein. Dabei ist zu beachten, dass das ein­gegangene Risiko und das daraus resultierende Verlustpotential die Risikotragfä­higkeit des Instituts nicht übersteigt, der Ausgleichspuffer muss also auf Gesamt­bankebene ausreichen, um schlagend gewordene Risiken abzudecken. Man kann zwischen aktiver und passiver Akzeptanz differenzieren. Bei der aktiven Akzep­tanz wird ganz bewusst eine materielle oder immaterielle Reserve geschaffen, im Falle der passiven Akzeptanz liegen die Präventionskosten deutlich über den zu erwartenden Schäden, so dass Verluste ganz bewusst in Kauf genommen und ge­tragen werden.¹¹³

4.5 Kontrolle

Unter Kontrolle wird hier die Überprüfung und Beurteilung der vorangegangenen Phasen verstanden. Die Kontrolle ist selbst grundlegendes Element der operatio­neilen Risikosteuerung, sie mindert operationeile Risiken, indem sie Soll- mit Ist-Werten vergleicht. Die Herausforderung ist, zum Einen geeignete Maßstäbe zur Beurteilung zu finden und zum Anderen die Beurteilung selbst. An dieser Stelle steht im Gegensatz zu Abschnitt 4.4.2 weniger die prozessabhängige Kon­trolle im Sinne des IKS im Vordergrund, sondern vielmehr die prozessunabhän­gige Kontrolle des Risikomanagementprozesses durch die Interne Revision.¹¹⁴ Ziel ist, den Zielerreichungsgrad des Risikomanagements zu ermitteln und gege­benenfalls Korrekturmaßnahmen einzuleiten. Grundlage bilden Daten aus den vo­rangegangenen Phasen. Die Interne Revision stellt dabei fest, ob und inwieweit die gesteckten Ziele eingehalten wurden und ob das Risikomanagement und die von der Geschäftsleitung vorgegebene Risikopolitik in Einklang miteinander ste­hen. Des Weiteren stehen die Effizienz der Risikomanagementorganisation, ein­deutige Kompetenzregelungen und die Risikokultur auf dem Prüfstand.¹¹⁵

5 Die informationstechnische Umsetzung

Die obigen Abschnitte haben den Umgang mit operationeilen Risiken aus zwei verschiedenen Blickwinkeln dargestellt. Einerseits aus der aufsichtsrechtlichen Perspektive, mit Fokus auf Sicherheit und Stabilität. Anderseits aus der ökonomi­schen Sichtweise, in diesem Fall ist der Blick eher auf Ertrag unter Berücksichti­gung von Risiko ausgerichtet.

Aus diesen beiden unterschiedlichen Ansätzen ergeben sich, implizit oder auch explizit, Anforderungen, denen ein Informationssystem¹¹⁶ zur Unterstützung des Risikomanagements genügen muss. Die Abschnitte 5.1 und 5.2 werden die zentra­len Anforderungen herausarbeiten, um daraus dann in Abschnitt 5.3 einen Architekturvorschlag, der beiden Seiten gerecht wird, abzuleiten.

5.1 Aufsichtsrechtliche Anforderungen

Die aufsichtsrechtlichen Anforderungen leiten sich ab aus den in Abschnitt 3.3.2 genannten Anforderungen des Baseler Ausschusses zur Anwendung eines Advan- ced Measurement Approaches, da an dieser Stelle die umfangreichsten Forderun­gen gestellt werden.¹¹⁷

Aus informationstechnischer Sicht sind jedoch nicht alle Anforderungen relevant, sondern primär die Folgenden:

So ist zunächst eine geeignete Datenbasis aufzubauen, die eine Datenhistorie von zunächst drei und im weiteren Verlauf von fünf Jahren aufweist. Die Daten sind so aufzubereiten, dass sie jederzeit in die begriffliche Systematik des Baseler Aus­schusses überführbar sind. Weiterhin sind externe Daten auf geeignete Art und Weise einzubinden, ebenso wie Informationen aus Szenario-Analysen und Daten über das Kontroll- und Geschäftsumfeld.

Die Risikoberichte sind in das Tagesgeschäft zu integrieren und so zu verwenden, dass die darin kommunizierten Informationen zu Handlungen führen und Auswir­kungen auf die interne Kapitalallokation haben.

Die verwendeten Verfahren sind einer ständigen Überprüfung zu unterziehen und sollten ein Konfidenzniveau von 99,9% bei einer Periode von einem Jahr errei­chen.

Das System sollte gut dokumentiert und damit auch transparent sein, damit es sich internen wie externen Prüfungen stellen kann.

5.2 Betriebswirtschaftliche Anforderungen

Die betriebswirtschaftlichen Anforderungen können in eher allgemeine und in spezielle Anforderungen unterteilt werden. Während sich die allgemeinen Anfor­derungen vom Grundsatz her an jedes moderne Managementunterstützungssystem (MUS)¹¹⁸ stellen lassen, befassen sich die speziellen Anforderungen mit dem ge­wünschten Funktionsumfang des Risikomanagementsystems.

Die möglichen allgemeinen Anforderungen an Informationssysteme sind vielfäl­tig, daher werden hier nur die im Kontext wichtigen Kriterien genannt:

Das System sollte skalierbar und flexibel sein, um sich an neue Anforderungen durch sich ändernde Rahmenbedingungen, neue Geschäftsfelder oder neue Pro­zesse anpassen zu lassen¹¹⁹. Um dies zu gewährleisten, bietet sich ein modularer Aufbau an¹²⁰.

Eine Integration in die bestehende Systemlandschaft sowie die Integration unterschiedlicher Datenquellen und räumlich verteilter Systeme ist anzustreben¹²¹ erleichtert die Einhaltung einer einheitlichen Begrifflichkeit über alle Systeme des Unternehmens, wodurch die Abstimmbarkeit erleichtert wird¹²².erhält die Problematik der einheitlichen Begrifflichkeit eine neue Dimension, da das zu verwendende Begriffssystem exogen durch den Baseler Ausschuss vorge­geben wird¹²³.

Die Daten des Informationssystems sollten möglichst aktuell sein, um dem Mana­gement zeitnah entscheidungsrelevante Informationen zur Verfügung stellen zu können, dies kann ein entscheidender Beitrag zur Akzeptanz des Informations-systems sein¹²⁴. Die Daten sollten sich mit leistungsfähigen Reportingtools auswerten lassen, verschiedene Sichten auf den Datenbestand und flexible, indivi­duelle Analysen sollten intuitiv möglich sein¹²⁵. Dabei müssen die Reaktionszei­ten auch bei großen Datenmengen in einem akzeptablem Rahmen bleiben¹²⁶.

Das Informationssystem wird von verschiedenen, sehr heterogenen Zielgruppen genutzt. So hat beispielsweise der Prüfer der Bundesbank einen anderen Informa­tionsbedarf¹²⁷ als der interne Risikomanager. Die Informationsbereitstellung sollte sich an den verschiedenen Informationsanforderungen orientieren, auf der anderen Seite aber auch die Ablaufsicherheit nicht vernachlässigen. Das bedeutet, dass Si­cherheitsmechanismen zum Schutz kritischer Informationen vor unberechtigtem Zugriff und vor Manipulation existieren müssen.¹²⁸

Die Vorgänge innerhalb des Systems sollten weitestgehend transparent sein, um die Nachvollziehbarkeit der Ergebnisse und der verwendeten Verfahren zu ge­währleisten. Dies erhöht die Akzeptanz des Systems und gewährleistet, dass die ermittelten Ergebnisse Handlungen zur Folge haben.¹²⁹

Einfache Administration ist eine Voraussetzung, um die Folgekosten gering zu halten, indem Beratungskosten für Anpassungen des Systems in Grenzen gehalten werden¹³⁰. Insgesamt ist darauf zu achten, dass die Kosten sich in einem angemessenen Verhältnis zum mit dem Informationssystem erzielten Nutzen be wegen¹³¹

Die speziellen Anforderungen leiten sich ab aus den Phasen des Managements operationeller Risiken und dem Wunsch, eine größtmögliche Unterstützung durch ein Informationssystem zu gewährleisten.¹³²

Konkret bedeutet dies, dass das System den Anwender bei der Identifikation mit verschiedenen Verfahren unterstützen sollte und ihm Denkanstöße für die Suche nach Risiken geben sollte. Dies kann in Form von vorgefertigten Fragebögen, ge­nerischen Prozessmodellen oder auch durch die Unterstützung der in Abschnitt 4.1 erläuterten Verfahren geschehen.

Zur Bewertung stehen im Idealfall verschiedene qualitative und quantitative Ver fahren¹³³ dichtet werden. Dabei ist es möglich, von hoch verdichteten Zahlen (sowohl zu- kunftsori enti eri als auch vergangenheitsorientiert) bis auf Einzelschadensfälle be­ziehungsweise Einzel Schätzungen herunterzubohren und so flexibel die Wir- kungszusammenhänge zu erkunden. Die dazu notwendige Datenhistorie existiert und ist in einheitlicher, konsistenter Form untemehmensweit verfügbar. Externe Daten werden skaliert und können so, in Verbindung mit den internen historischen Daten und den qualitativen Einschätzungen, genutzt werden, um Risiken zu be­werten, die innerhalb der Organisation bisher nicht aufgetreten sind. Schnelle und flexible Simulationen sind möglich.¹³⁴

Die Überwachung wird über eine regelmäßige und zeitnahe Bewertung der Risi­ken und über Risikoindikatoren gewährleistet, die auch Früh Warnfunktionen¹³⁵ wahrnehmen. Diese Risikoindikatoren werden mit Hilfe der aufgezeichneten tat­sächlichen Schadensfälle auf ihre Güte hin überprüft und so kontinuierlich verbes­sert.

Anhand des aktuellen Risikobildes der Organisation und mit einer Auswahl an möglichen Handlungsalternativen kann das System nun Entscheidungsunterstüt­zung bei der Wahl einer geeigneten Steuerungsaltemative geben, um den risiko­adjustierten Ertrag auf Gesamtbankebene zu optimieren.

Kontrolle im Sinne der Prüfung des Risikomanagements auf seine Güte hin kann das System insofern unterstützen, als das die Verfahren anhand der aufgezeichne­ten Verlustfälle auf ihre Güte hin überprüft werden können. Die Einhaltung der gesetzten Ziele kann durch ein aktuelles Berichtswesen überprüft werden, ebenso die Wirksamkeit von Steuerungsmaßnahmen.

Insgesamt sollte das Management operationeller Risiken in eine risiko- und erertragsbasierte Gesamtbanksteuerung eingebettet werden¹³⁶

5.3 Abgeleitete Architektur

Das hier betrachtete System ist aufgrund seiner Ausrichtung auf die in der Hierar­chie eher höher angesiedelten Stellen des Unternehmens in die Kategorie der Pla- nungs- und KontrollSysteme einzuordnen,¹³⁷ innerhalb dieser wiederum den Management Support Systemen. Management Support Systeme (MSS) sind alle Einsatzformen zur informationstechnischen Unterstützung unternehmerischer Aufgaben.¹³⁸ Der Aufbau des hier betrachteten Systems wird in Abb. 6 dargestellt. Letztlich ist es die Kombination eines Data Warehouse Konzepts mit den Ideen des klassischen Management Support Systems¹³⁹. Dabei liefert das Data Ware­house Konzept die zentrale Datenbasis und die Data Mining Komponente. Das Management Support System trägt die Elemente Modellbank, Methodenbank, Reportbank und Dialogkomponente bei.

Die Simulationskomponente stellt im Rahmen des operationeilen Risikomanage­ments eine sinnvolle Ergänzung dar. Zum Einen können mit ihrer Hilfe die not­wendigen stochastischen Simulationen zur Ermittlung des VaR vorgenommen werden¹⁴⁰, zum Anderen sind mit Hilfe agentenbasierter Simulationen Analysen ¹⁴¹

Die Dialogkomponente integriert die Funktionen des Systems unter einer einheit­lichen und einfach zu bedienenden Oberfläche und bildet die Schnittstelle zum Benutzer.¹⁴²

In der Modellbank werden die benötigten Modelle verwaltet. Modelle sind in die­sem Zusammenhang vereinfachte Abbilder von Realitätsausschnitten. Im konkre­ten Fall von operationeilen Risiken werden primär Ursache-Wirkungszusammen­hänge Ziel von Modellierungsanstrengungen sein.

Abb. 6: Architektur des Risikomanagement-Informationssystems¹⁴³

Methoden sind Algorithmen zur Bearbeitung von Modellen, das bedeutet zur Er­rechnung von Lösungen oder zur Transformation von Modellen in einen anderen Zustand. Mittels der Kombination von Modellen und Methoden kann das System dem Entscheider in Entscheidungssituationen Unterstützung bieten, somit bei der Wahl der richtigen Steuerungsaltemative helfen.

Die Datenbank ist für das Informationssystem zur Unterstützung des Risikomana­gements von zentraler Bedeutung¹⁴⁴. In ihr werden die Daten nach mehreren Dimensionen auswertbar gespeichert. Es finden vergangenheitsorientierte und zu­kunftsorientierte Daten Eingang, ebenso interne wie externe. Zusätzlich werden Daten aus den operativen Vorsystemen extrahiert, an dieser Stelle sind vor allem die potentiellen Risikoindikatoren zu nennen. Mit Hilfe der Data Mining Funktio­nalität werden Muster und Zusammenhänge in den großen Datenmengen gesucht und so in Zukunft die Risikoindikatoren beurteilt werden können.

Abbildung in dieser Leseprobe nicht enthalten

In Anlehnung an Gluchowski et al. (1997), S. 82 und Chamoni / Gluchowski (1999b), S. 12.

5.3.1 Dialogkomponente

Die Dialogkomponente ist die Schnittstelle zum Endbenutzer. Über die Dialog­komponente wird das Arbeiten mit dem Managementunterstützungssystem ge­steuert und koordiniert. Die verschiedenen Möglichkeiten und Funktionen des MUS werden unter einer einheitlichen und komfortablen grafischen Oberfläche bereitgestellt. Kommunikationsdienste und Entwicklungswerkzeuge sind integ­riert. Die Dialogkomponente ist anpassbar an die Bedürfnisse der unterschiedli­chen Nutzer, da der Anwenderkreis des Risikomanagementsystems sehr heterogen ist. Die Anpassbarkeit bezieht sich auf die Benutzerführung, die Hilfefunktionali­tät und auch auf die Informationsaufbereitung und die Präsentation der Ergeb­nisse.¹⁴⁵ Je nach Anwenderkreis sind die Zugriffsbefugnisse auf die sensiblen Risikodaten einzurichten.¹⁴⁶

5.3.2 Modellbank

Prospektives wie auch retrospektives Risikomanagement sollte auf einem soliden Modell basieren.¹⁴⁷ Ein Modell ist eine zweckorientierte, vereinfachte Abbildung eines Realitätsausschnittes. In der Modellbank werden Modelle verwaltet und ge­speichert.¹⁴⁸

Modelle helfen bei der Identifikation und Bewertung von Risiken und können auch dabei helfen Risikowirkungen vorauszusagen, indem ein Verständnis für die Zusammenhänge innerhalb des Modells sowie die zutreffenden Folgen bei Ein­treten bestimmter Ursachen entwickelt wird. Vor der Modellierung ist zu klären, was modelliert werden soll und in welcher Form dies geschehen soll. Zu diesem Zwecke ist herauszufmden, welche Fragen das Modell beantworten soll. Daraus lassen sich dann die wichtigen Bestandteile des Modells ableiten.

Operationelle Risiken resultieren aus Menschen, internen Verfahren und externen Ereignissen. Die Mitglieder der Organisation können durch die Aufbauorganisa­tion vereinfacht abgebildet werden, die Verfahren und Systeme durch die Ablauf- organisation. An den Schnittstellen zur Unternehmensumwelt sind die externen Ereignisse anzusiedeln. Ein Modell des Unternehmens kann als Ausgangspunkt für Risikoanalyse und -Optimierungen dienen, indem Prozessketten und Organi­gramme auf risikosensitive Punkte überprüft werden. Interne und externe Scha­densereignisse können dann in das Prozess- und Aufbaugefüge der Bank einge­ordnet werden. Die Lokalisierung und Visualisierung erleichtert das Erkennen von Ursache-Wirkungs-Beziehungen, über die Untemehmensmodelle werden Abhän­gigkeiten von internen und externen Organisationseinheiten deutlich.¹⁴⁹

Man unterscheidet verschiedene Modellkategorien:¹⁵⁰

Terminologisch-deskriptive Modelle beschreiben die Objekte und ihre Beziehun­gen zueinander.

Empirisch-induktive Modelle definieren Variablen und ermitteln empirische Funktionen.

Analytisch-deduktive Modelle ermöglichen es, aus theoretischen Hypothesen und Verhaltensgleichungen Erklärungsmodelle mit Kausalfunktionen abzuleiten. In Verbindung mit Zielfunktionen und Nebenbedingungen dienen die Erklärungs­modelle als Entscheidungsmodelle.

Für jede dieser Modellkategorien gibt es Anwendungspotential im Management operationeller Risiken, so kann ausgehend von einer reinen Prozessbeschreibung (terminologisch-deskriptiv) die Definition von Risikoindikatoren vorgenommen werden. Aus den historischen Zeitreihen der Indikatoren kann mit Hilfe der Sta­tistik eine empirische Funktion abgeleitet werden (empirisch-induktiv). Aus dieser Funktion kann dann die erwartete Höhe des operationeilen Risikos bei einer Än­derung des Indikatorwertes berechnet werden. Werden die Wirkungsbeziehungen detailliert modelliert und mit der Zielfunktion des Unternehmens kombiniert, kann Risikomanagement mit Unterstützung eines Entscheidungsmodells betrieben wer­den.

Die Modellierung ist aufwändig, gerade bei großen Instituten können generische Prozessmodelle aber einen Ansatzpunkt bieten. Generische Prozessmodelle sind an die individuelle Situation des betrachteten Instituts anpassbar und bieten so Vereinfachungspotential bei der Modellierung ¹⁵¹

Ein Ansatz zur Speicherung der Modelle ist die Verwendung von objektorientier­ter Technologie auf Basis von Java. Dabei repräsentieren Objekte die relevanten Elemente des betrachteten Unternehmens. Die Nutzung von Java hat den Vorteil, das die Modelle unabhängig von der bestehenden Softwareumgebung verwendet werden können.¹⁵²

5.3.3 Methodenbank

Methoden bieten Vorgehensweisen zur Bearbeitung der Modelle¹⁵³. Sie sind „systematische Handlungsanweisungen, die in objektiver Weise zur Lösung von Aufgaben eine endliche, geordnete Anzahl von Vorschriften und Regeln festle­gen“¹⁵⁴ und werden in der Methodenbank verwaltet¹⁵⁵.

Dazu können Verfahren des Operations Research herangezogen werden, wie Ver­fahren zur linearen, ganzzahligen, kombinatorischen und dynamischen Optimie­rung sowie Entscheidungsregeln bei Sicherheit, Risiko und Ungewissheit.¹⁵⁶

Neben der Methode wird auch die dazugehörige Dokumentation gespeichert. Dem Benutzer sollten die Methoden nur selektiv und zum gewählten Modell passend angeboten werden.¹⁵⁷

Konkret kann dies im Falle des Managements operationeller Risiken bedeuten, das auf Grundlage eines Entscheidungsmodells durch die passende Methode eine Risikosteuerungsempfehlung ermittelt wird.

5.3.4 Simulationskomponente

Die Simulationskomponente kann an verschiedenen Stellen Unterstützung leisten. Die Bestimmung von VaR-Werten kann über historische Simulationen oder durch Monte-Carlo-Simulationen erfolgen.¹⁵⁸

Eine andere Art der Simulation basiert auf der Agententechnologie. In diesem Falle wird das Verhalten komplexer Systeme mittels Agenten simuliert, die mit­einander interagieren können. Jeder Agent hat dabei ein eigenes Regelgefüge, dass sein Handeln steuert. Durch die Analyse des Verhaltens der Agenten lassen sich Rückschlüsse auf das Verhalten des komplexen Systems „Unternehmen“ zie­hen, sofern das Unternehmen mit seinen Regeln korrekt abgebildet wurde.¹⁵⁹

5.3.5 Datenbank

Das Management operationeller Risiken steht und fällt mit einer soliden Datenba­sis.¹⁶⁰ Die zentrale Bedeutung einer Schadensfalldatenbank wird schon daraus deutlich, dass sie Voraussetzung zur Anwendung des Standardised Approach ist¹⁶¹ sondern auch um die Erfassung der zukunftsbezogenen Einschätzungen bezüglich des Risikos, die Speicherung von Zeitreihen der Risikoindikatoren und die Ver­bindung mit Ertragsgrößen. Zusätzlich werden zur Ergänzung der internen Scha­densfalldaten externe Daten herangezogen, die bisher nicht eingetretene Scha­densfälle mit geringer Eintrittswahrscheinlichkeit aber großem Schadenspotential abdecken. Auch die Steuerungsmaßnahmen sollten verwaltet werden können, sei es nun die Minderung, der Transfer oder auch die Akzeptanz¹⁶² die Speicherung so vorzunehmen, dass die Auswertbarkeit nach verschiednen Dimensionen möglich ist¹⁶³. Zunächst sind die vom Baseler Ausschuss starr vorgegebenen Klassifizierungen nach Business Line und Loss Type zu beachten. Diese werden regelmäßig nicht mit den Strukturen des betrachteten Instituts über- einstimmen, so dass eine entsprechende Überleitung zu realisieren ist. Neben den hier schon genannten drei Dimensionen sind noch weitere denkbar, so unter ande­rem die zeitliche Dimension oder eine regionale Dimension.

Die Datenbasis sollte vollständig sein, es ist sicherzustellen, dass alle Schadens­fälle über einer zu definierenden Erfassungsgrenze auch wirklich in die Datenba­sis eingebracht werden.¹⁶⁴ Kleine und große Schadensfälle sind gleichermaßen zu erfassen, um eine unverzerrte Darstellung der historischen Risikolage zu erhalten. Die Schäden sind mit genügend Attributen zu speichern, damit eine Zuordnung von Risikoursache und Risikowirkung erfolgen kann. Es sind Anforderungen an die Datenqualität zu definieren, die dann bei der Aufnahme in die Datenbank ein­zuhalten sind. Die Datenhistorie sollte ausreichen um die Anforderungen des Ba­seler Ausschusses zu erfüllen, also zunächst eine dreijährige und im weiteren Verlauf eine funfjahrige Historie¹⁶⁵ lange Historie ebenso zu Verfälschungen führen kann wie eine zu kurze Zeitreihe. Sofern möglich, sollten die Daten redundanzfrei gespeichert werden, um Mutati­onsanomalien zu verhindern. Bei der Schadensfallbeschreibung sind neben den rein quantitativen Daten auch die speziellen Begleitumstände zu dokumentieren. Die Datenbasis sollte möglichst detailliert sein, um eine feinere Risikoabstufung vornehmen zu können und gegebenenfalls Änderungen an den Anforderungen re­alisieren zu können.

Aus den gegebenen Kriterien lässt sich die Speicherung der operationeilen Risikodaten in einem Data Warehouse ableiten ¹⁶⁶ unternehmensweites Konzept [...], dessen Ziel es ist, eine logisch zentrale, ein­heitliche und konsistente Datenbasis für die vielfältigen Anwendungen zur Unter­stützung der analytischen Aufgaben von Fach- und Führungskräften aufzubauen, die losgelöst von den operativen Datenbanken betrieben wird.“¹⁶⁷ Im Data Ware­house werden die Daten aus den verschiedenen, heterogenen Banksystemen zu­sammen mit externen Daten und den manuell erfassten Daten verwaltet, wie in

Abb. 6 zu sehen ist. Dazu müssen die Daten vereinheitlicht werden, um einen konsistenten Datenbestand bei der Übernahme der Daten sicherzustellen. Dabei kann es sich um das Handelsvolumen des Kundenhandels aus den Handelsab­wicklungssystemen, um die Fluktuationsraten des Personals oder auch die Zahl der Fortbildungstage aus den personalwirtschaftlichen Systemen handeln. Die Daten sind themenorientiert auswertbar zu speichern, dies bedeutet, dass die rele­vanten Dimensionen bei der Speicherung beachtet werden. Im speziellen Fall sind dies die Business Line und der Loss Type aus den Baseler Anforderungen ebenso wie die interne Systematik der Bank. Wie schon oben erläutert ist eine Zeitorien­tierung der Datenspeicherung empfehlenswert. Die Daten sollten beständig sein, das heißt über einen langen Zeitraum vorgehalten werden¹⁶⁸.

Bei der Sammlung der Daten sehen sich die Institute jedoch gravierenden Schwie­rigkeiten gegenüber.¹⁶⁹ Bei qualitativen Daten, also den Daten, die durch subjek­tive Einschätzungen erhoben werden, ist eine Vergleichbarkeit der Einschätzun­gen nur bedingt möglich. Um eine Vergleichbarkeit herzustellen sind Einschät­zungen in monetären Größen in Verbindung mit Eintrittswahrscheinlichkeiten abstrakten Scorewerten vorzuziehen. Bei der Einschätzung von Risiken muss be­achtet werden, dass entsprechende Anreizsysteme existieren sollten, damit die Mitarbeiter realistische Einschätzungen treffen. Ohne Anreizsysteme kann es zum Verschweigen von Risiken kommen, da die Mitarbeiter Sanktionen befürchten.

Die Herausforderung bei quantitativen Daten ist die Zuordnung der Verantwort­lichkeit für die Datenerfassung. Wird die Verantwortung auf höheren Hierarchie­ebenen angesiedelt, kann es schwierig werden, die Verlustfälle vollständig zu er­fassen. Untere Hierarchieebenen sollten in der Thematik zunächst geschult wer­den, um eine vollständige und ordnungsmäßige Erfassung sicherzustellen. Ten­denziell wird die Erfassung jedoch eher auf unteren Hierarchieebenen angesiedelt werden, da hier die Verlustfälle entdeckt beziehungsweise erfahren werden.

Die Daten aus den internen Vorsystemen sind von der Struktur her meist sehr un­terschiedlich und weisen häufig gravierende Mängel hinsichtlich der Datenqualität auf¹⁷⁰. Die genannten Anforderungen und Schwierigkeiten werden daher dazu führen, dass zur Integration der internen Daten ein umfangreiches Integrations- ¹⁷¹

Die Analyse der Daten kann über Online Analytical Processing (OLAP) oder auch durch Data Mining erfolgen.¹⁷²

OLAP ist ein dynamischer Prozess, bei dem der Anwender intuitiv durch eine multidimensionale Datenstruktur navigiert. Das bedeutet, der Anwender kann den imaginären Informationswürfel pivotisieren und drehen, die Informationen auf unterschiedlichen Aggregationsstufen und -pfaden betrachten (Roll-up, Drill­down, Drill-across) oder auch kleinere Würfel oder Dimensionen herausschneiden (Slice and Dice).

Data Mining ist ein Teilprozess des Knowledge Discovery in Databases (KDD). Mittels der Data Mining Techniken wird versucht, Muster innerhalb der Daten zu entdecken. Dies kann erfolgen durch Clusterbildung, Klassifikation, Regression oder auch Abhängigkeits- und Abweichungsentdeckung. Data Mining kann also im Rahmen des Risikomanagements genutzt werden, um die historischen Scha­densdaten auf bisher unentdeckte Zusammenhänge zu überprüfen, die ex-ante Schätzungen der Experten auf ihre Aussagekraft zu testen oder auch um poten­tielle Risikoindikatoren zu entdecken.

5.3.5.1 Ex-post Schadensfalldaten

Die Erfassung von in der Vergangenheit eingetretenen Verlustfällen aus operatio­neilen Risiken ist derzeit der Schwerpunkt in der wissenschaftlichen Diskussion, da ebendies die Grundlage für die Anwendung mathematisch-statistischer Verfah­ren zur Bewertung operationeller Risiken ist. Dabei stellt die Aufzeichnung der Schadensfälle für viele Institute schon eine erhebliche Herausforderung dar, da nicht klar ist, welche Verlustfälle nun aufgezeichnet werden müssen oder sollen, wer dafür verantwortlich ist und welche Attribute eines Schadensfalles gespei­chert werden müssen.¹⁷³

Ein weiteres Problem ist die Zuordnung der Schäden auf die vom Baseler Aus­schuss geforderte Systematik aus Business Line / Loss Type, die in dieser Form in der Regel nicht deckungsgleich mit den Geschäftsfeldem und Begrifflichkeiten der Bank ist. Das führt dazu, dass die bestehenden Geschäftsfelder in die vorge­gebene Systematik überführt werden müssen. Gleiches gilt für die Verlustfälle.¹⁷⁴

Tabelle 2 führt exemplarisch mögliche Attribute zur Beschreibung eines eingetretenen Schadensfalles auf.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Attribute zur Schadensfallbeschreibung¹⁷⁵

Neben der Überführung der bankinternen Systematik in die Begrifflichkeit des Baseler Ausschusses kann es weitere Probleme bei der Erfassung geben, da sich Schadensfälle aus operationeilen Risiken nicht immer eindeutig und vollständig einer Loss Type / Business Line Kombination zuordnen lassen.¹⁷⁶

In Abb. 7 werden die relevanten Dimensionen anhand von Dimensionentabellen in einem Snowflake Schema dargestellt. Es handelt sich um die Dimensionen Zeit, Business Line und Loss Type. Innerhalb der Dimension Business Line wur­den die Level 2 Business Lines eindeutig den Geschäftsfeldern der Bank zugeord-

Abbildung in dieser Leseprobe nicht enthalten

net¹⁷⁷. In der Faktentabelle FAKTLOSSEVENTS werden die Verlustfälle mit den zuvor definierten Attributen gespeichert.

Abb. 7: Snowflake Schema historische Schadensfälle¹⁷⁸

5.3.5.2 Ex-ante Schadensfalldaten

Die ex-ante Schadensfalldaten sind das Ergebnis der Risikoidentifikation und -bewertung. Dabei handelt es sich um Einschätzungen, in welcher Höhe innerhalb einer bestimmten Zeit Verluste aus operationeilen Risiken mit welcher Wahr­scheinlichkeit anfallen. Um diese Einschätzung zu erhalten, werden die in Ab­schnitt 4.1 und 4.2 beschriebenen Verfahren genutzt.

Die Einschätzungen sind grundsätzlich ebenfalls in das oben erläuterte Dimensio­nengefüge einzuordnen, wie aus Abb. 8 deutlich wird, allerdings sind die Attri­bute verschieden. Je nach Art der Schätzung kann es notwendig sein, Scorewerte zu erfassen oder auch monetäre Größen in Verbindung mit Wahrscheinlichkeits­verteilungen. Die genaue Attributkombination hängt vom konkreten Einzelfall ab. Sicherlich macht es aber Sinn, die zur Einschätzung verwendeten Verfahren mit aufzuzeichnen, um so im Laufe der Zeit die tatsächlichen Schadensfälle mit den

Zu den Business Lines und Loss Events siehe Anhang A und Anhang B.

Abb. 8: Snowflake Schema Risikoprognose¹⁷⁹

Abbildung in dieser Leseprobe nicht enthalten

Erwartungen zu vergleichen. Auf diese Weise können die Verfahren zur Risiko­einschätzung auf ihre Güte hin untersucht werden.

5.3.5.3 Integration externer Schadensdaten

Zur Berechnung des Risikokapitals ist es notwendig, Aussagen über die gesamte Verlustverteilung zu machen, wie sie in Abb. 4 auf Seite 29 zu sehen ist. Die Risi­ken mit sehr geringer Eintrittswahrscheinlichkeit aber sehr großem Ausmaß sind in der Vergangenheit sicherlich nicht in jedem Institut aufgetreten, somit existie­ren keine historischen Daten auf Ebene des Einzelinstituts. Es ist mithin ange­bracht, externe Daten mit in die Analyse einzubeziehen, um die Verteilungsfunk­tion zu vervollständigen. Dieses Vorgehen hat noch weitere positive Effekte, da die Möglichkeit besteht, Verluste anderer Institute als Anregung für tiefergehende Nachforschungen im eigenen Hause zu nutzen und so aus den negativen Erfah­rungen anderer Institute zu lernen.^[180]

Mögliche Quellen externer Daten sind Veröffentlichungen in der Wirtschafts- und Fachpresse, an dieser Stelle werden primär die Schäden mit sehr großem Ausmaß zu finden sein. Studien von Wirtschaftsprüfern, Untemehmensberatem oder von Aufsichtsbehörden und auch die branchenweiten Datenpools, die sich derzeit im Aufbau befinden, können genutzt werden. Um in das Data Warehouse eingebun­den zu werden, sollte der externe Datenpool über eine einheitliche Definition und Begrifflichkeit verfügen und hohen Anforderungen an die Datenqualität genügen. Dies ist notwendig, damit die Daten in das institutsinteme Dimensionengefüge (siehe Abb. 9) eingebunden werden können. Werden auch Schadensfälle an den Datenpool herausgegeben, so ist sicherzustellen, dass die Anonymität des mel­denden Instituts gewahrt bleibt.^[181]

Abbildung in dieser Leseprobe nicht enthalten

Abb. 9: Snowflake Schema externe Daten¹⁸²

Bisher noch ungelöst ist die Frage der geeigneten Größen zu Anpassung der ex­ternen Daten an das betrachtete Institut. Verschiedene Größen zur Kalibrierung werden diskutiert, beispielsweise Umsatz, Assets under Management, Bilanz­summe, Kosten, Mitarbeiterzahl, Alter der Informationstechnologie oder auch verschiedene Ertragsmaße.^[183]

5.3.5.4 Aufzeichnung von Risikoindikatoren

Die in Abschnitt 4.2.2 bereits eingeführten Risikoindikatoren sind Bezugsgrößen zur Kalkulation und Analyse von Schadensfällen. Risikoindikatoren können teil­weise automatisch aus den operativen Systemen des Instituts extrahiert werden und in ein Monitoringboard überführt werden.¹⁸⁴ Risikoindikatoren sind Kennzah­len, bei deren positiver oder negativer Änderung von Auswirkungen auf das Ri­siko und damit auf die Höhe des Risikokapitals ausgegangen wird.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 10: Snowflake Schema Risikoindikator¹⁸⁵

Mit Hilfe von den oben bereits erwähnten Data Mining Techniken lassen sich Zu­sammenhänge zwischen den aufgezeichneten Indikatoren und den in der Vergan­genheit aufgetretenen Schadensfällen aufzeigen und Ursache-Wirkungshypothe­sen generieren beziehungsweise prüfen.

Indikatoren aus dem Personalmanagement können bereichsbezogene Fluktuati­onsgrößen sein, ebenso wie Akademikeranteile, Krankheitsquoten oder Seminar­teilnahmen.

Bezüglich der IT-Sicherheit sind beispielsweise die Anwenderbeurteilung des Systems, das Systemalter, Ausfallzeiten, Kompatibilität und Notfallplanung mög­liche Indikatoren für operationeile Risiken.

In Abb. 10 wird exemplarisch die Einbindung in die Datenbank gezeigt. Ganz be­wusst wird auf die Verbindung zu den anderen Dimensionen verzichtet, um diese Verbindungen im Nachhinein mit Hilfe von Data Mining Verfahren empirisch zu ermitteln.

5.3.5.5 Verwaltung von Risikosteuerungsmaßnahmen

Abbildung in dieser Leseprobe nicht enthalten

Abb. 11: Snowflake Schema Risikosteuerungsmaßnahmen¹⁸⁶

Die Risikosteuerungsmaßnahmen müssen ebenfalls in der Datenbank mit verwal­tet werden, da ansonsten bei der Risikoanalyse immer nur die Bruttorisikopositio­nen Berücksichtigung finden. Wie bereits in Abschnitt 4.4 erläutert, handelt es sich bei den möglichen Steuerungsoptionen um Vermeidung, Verminderung, Transfer oder Akzeptanz. Gerade bei Minderungs- und Transfermaßnahmen ist es zur Evaluation der Maßnahmen zielführend, die Maßnahme mit den dafür not- wendigen Aufwendungen bestimmten Business Line / Loss Type Kombinationen zuzuordnen und somit im Nachhinein die Beurteilung durchführen zu können.

Abb. 11 verdeutlicht, dass sich auch die Steuerungsmaßnahmen mit einer Faktentabelle in das Gefüge aus Dimensionstabellen einbinden lassen.

5.3.6 Reportbank

Ein Report ist die anschauliche und informative Darstellung des Ergebnisses einer Datenanalyse am Bildschirm oder in Papierform. Gute Reportgeneratoren erlau­ben die Bildung von Zwischen- oder Endsummen sowie grafische Auswertungen. Um Berichte, die wiederholt benötigt werden, nicht vor jeder Anwendung neu erstellen zu müssen, werden einmal erstellte Reports in der Reportbank gespei­chert.¹⁸⁷ Zur Erstellung der Reports sollten flexible und intuitiv zu bedienende Reportingwerkzeuge zur Verfügung stehen, dazu sollten OLAP Tools in Betracht gezogen werden. Werden die Berichte in elektronischer Form nachgefragt, zum Beispiel von den Aufsichtsbehörden, können möglicherweise zum Austausch der Informationen Technologien wie XML (extensible mark-up language) oder auch XBRL (extensible business reporting language) zum Einsatz kommen. XBRL ba­siert auf XML und stellt ein Datenaustauschformat für finanzielle Informationen dar. XBRL ist ein offener Standard ¹⁸⁸

Das Reportingsystem sollte die folgenden Informationen zur Verfügung stellen:

- Schadenshöhe / erwarteter Verlust,
-Schadenshäufigkeiten,
-Schadensfallpotentiale aus Szenarioanalysen,
-Trendanalysen,
-Wirksamkeit von
-Risikosteuerungsmaßnahmen, - Risikoindikatoren mit deren Änderungen und Auswirkungen auf die Risikosituation,
-Bindung des ökonomischen Kapitals zur Unterlegung unerwarteter Ver­luste, ¹⁸⁹ - risikoadjustierte Ertragsgrößen.

Insgesamt sollten diese Informationen nach den Dimensionen Produkte, Systeme,Schadensfallkategorien, Unternehmensbereiche und Prozesse auswertbar sein.

Es ist zu differenzieren zwischen dem internen Reporting und dem externen Re­porting, da gerade die sensiblen Daten zur Risikolage des Instituts nur einer sehr sorgfältig auszuwählenden Zielgruppe zur Verfügung gestellt werden sollten. Das externe Reporting, mit Zielgruppen wie der Bundesbank oder auch anderen Marktakteuren, wird sich zweckmäßigerweise auf die Mindestpublikationsanfor­derungen des Baseler Ausschusses beschränken und somit nur das vorgehaltene Eigenkapital für operationeile Risiken je Business Line und den zur Bemessung der Eigenkapitalanforderung genutzten Ansatz veröffentlichen.

Das interne Reporting sollte den Zugriff auf die Daten und Analyseergebnisse sinnvoll beschränken, um einen Missbrauch der Daten zu verhindern. Insofern ist auch das Managementsystem für operationeile Risiken selbst wieder Ursprung operationeller Risiken.

6 Operational Risk Management Systeme

Dieser Abschnitt der Arbeit wird die soeben entwickelte Architektur mit der Rea­lität konfrontieren, indem anhand von neun am Markt verfügbaren Produkten die Umsetzung dargestellt wird. Tabelle 3 zeigt, inwiefern sich die Elemente der in Abschnitt 5.3 vorgestellten Architektur in den einzelnen Produkten wiederfinden lassen.

Zunächst vorweg: eine Dialogkomponente weisen alle betrachteten Produkte auf, in den anderen Bereichen variiert der Leistungsumfang dagegen stark.

Agena iRisk basiert auf Bayesianischen Netzen und modelliert so die Wirkungs­zusammenhänge im Bereich operationeller Risiken. Um die Risiken zu bewerten bedient sich das System entweder vergangenheitsorientierter, quantitativer Daten oder qualitativer, in die Zukunft gerichteter Einschätzungen. Als Ergänzung kön­nen auch Daten aus externen Schadensfalldatenbanken herangezogen werden.¹⁹⁰

Tabelle 3: Risikomanagementsysteme¹⁹¹

Algo OpRisk ist eine modular aufgebaute Lösung, die aus den Komponenten Algo OpData, AlgoOpCapital und Algo WatchDog besteht. Dabei übernimmt Algo OpData die Funktion der Datenbasis, in der die tatsächlichen Schadensfälle und auch die Risikoindikatoren abgelegt werden. Mit Hilfe von Algo OpCapital wird die Kapitalanforderung für operationeile Risiken berechnet. Zu diesem Zweck stehen vielfältige mathematische Methoden zur Verfügung, ebenso wie Möglich­keiten zur Simulation. In diesem Modul werden auch die benötigten Reports ver­waltet. Algo WatchDog nutzt ebenso wie Agena iRisk Bayesianische Netze um die Wirkungszusammenhänge zu modellieren und damit Aussagen über zukünf­tige Risikoentwicklungen zu geben.¹⁹²

Amelia OR2Q zeichnet die Risikoereignisse in einer Datenbank auf. Zur Ein­schätzung der zukünftigen Entwicklungen werden Risikoindikatoren genutzt, in Verbindung mit einer Beurteilung der Steuerungsmaßnahmen entsteht so ein Bild über die Risikolage der Bank. Mit Hilfe einer Analytical Engine können mathe­matisch-statistische Auswertungen vorgenommen werden. Diese basieren entwe­der auf den gesammelten Risikodaten oder auch auf Daten aus anderen Systemen, entweder bankintem oder auch extern. Diese Daten werden nicht zentral im Risi­komanagementinformationssystem gespeichert, sondern über Schnittstellen ver fügbar gemacht. Um die Daten zielgruppengerecht aufbereiten zu können, steht ein Reportgenerator zur Verfügung.¹⁹³

JPMorgan Horizon verfolgt einen grundsätzlich anderen Ansatz. Im Gegensatz zu den zuvor betrachteten Produkten werden hier die mathematischen Methoden und Modelle über Ursache und Wirkungen außen vor gelassen. Horizon stützt sich auf die Einschätzungen der internen Kontrollmechanismen und leitet daraus die Risi­kolage der Bank ab, es werden somit nur qualitative, zukunftsorientierte Daten gesammelt und dem Management dann in Form übersichtlicher Reports vermit­telt. Die aus der Risikolage abgeleiteten Handlungspläne verwaltet das System ebenfalls.¹⁹⁴

Fitch OpVantage ist dagegen ein sehr viel umfassenderes Werkzeug. Grundlage ist auch hier zunächst die Sammlung von historischen Verlustdaten aus operatio­neilen Risiken. Zusätzlich werden auch noch Zeitreihen potentieller Risikoindi­katoren aufgebaut. Die internen Daten können bei Bedarf mit externen Daten kombiniert werden und über eine Sammlung mathematischer und statistischer Funktionen ausgewertet werden. Simulationen und Szenarioanalysen sind mög­lich, dabei kann auch die Wirkung der verschiedenen Steuerungsoptionen model­liert werden. Die gewonnen Informationen werden auch bei OpVantage über Re¹⁹⁵

Pacemetrics PaceMaker ist ein sehr spezialisiertes System zur Überwachung von Prozessen. Dabei wird anhand von Indikatoren der Status von Prozessen über­wacht und Störereignisse aufgezeichnet. Über die grafische Benutzungsoberfläche wird der Status der Prozesse mit Hilfe einer Ampelfunktion dargestellt, so dass die verantwortlich Fuhrungskraft GegenmaBnahmen ergreifen kann¹⁹⁶

Die Schadensfalldatenbank ist auch bei zeb/operational.risk-manager die zentrale Komponente. Ergänzt werden die ex-post Schadensfalldaten durch ein Self-As­sessment, auf diese Weise finden zukunftsorientierte Daten Eingang in die Ana­lyse. Mittels Risikoindikatoren kann ein Frühwarnsystem aufgebaut werden.

Durch mathematische Funktionen kann die notwendige Eigenkapitalunterlegung gemäß den Anforderungen aus Basel II berechnet werden. Unterschiedliche Re­ports geben einen Überblick über die Risikolage der Bank.¹⁹⁷

Der Lösungsansatz von Interexa stellt derzeit noch den Aufbau einer historischen Schadensfalldatenbank in den Vordergrund, die durch Berichte auswertbar ist. In Zukunft sollen weitere Module hinzukommen, einerseits werden dann Risikoindi­katoren mit in der Datenbank abgelegt, andererseits werden Risiko-Profile mit Hilfe von Expertenschätzungen Auskunft über die zukunftsorientierte Risikolage des Unternehmens geben können.¹⁹⁸

Eurobios setzt auf die Vorteile einer agentenbasierten Simulation. Dabei werden die Elemente des Unternehmens durch Agenten mit Verhaltensregeln repräsentiert und das Verhalten der Agenten mit verschiedenen Verhaltensregeln analysiert¹⁹⁹

7 Fazit und Ausblick

Im Rahmen der Arbeit wurde zunächst die aufsichtsrechtliche Perspektive des Managements operationeller Risiken beschrieben, indem in einem ersten Schritt Basel II im Allgemeinen und in einem zweiten Schritt die Behandlung operatio­neller Risiken innerhalb von Basel II im Speziellen umrissen wurde.

Da die aufsichtsrechtliche Perspektive und die ökonomische Perspektive bei An­wendung der Advanced Measurement Approaches zunehmend konvergieren, wurden die betriebswirtschaftlichen Ansätze zum Management operationeller Ri­siken im Anschluss dargestellt. Sofern diese Ansätze den Ansprüchen der natio­nalen Bankenaufsicht, also im Falle Deutschlands der Bundesbank, genügen sind diese Ansätze auch zur Bemessung des regulatorischen Eigenkapitals zulässig.

Aus den verschiedenen Verfahren zum Management operationeller Risiken resul­tieren Anforderungen an ein Informationssystem, das den Risikomanager bei sei­ner Arbeit unterstützen kann. Um diesen Anforderungen zu genügen, ist in Ab­schnitt 5.3 durch Kombination bewährter Konzepten der Wirtschaftsinformatik eine Architektur entwickelt worden, die Unterstützung in allen Phasen des Risi­komanagementprozesses leisten kann. Dazu wurde zunächst die Konzeption des Management Support Systems herangezogen, bestehend aus Dialogkomponente, Modellbank, Methodenbank, Datenbank und Reportbank, ergänzt durch eine Si­mulationskomponente. Die Dialogkomponente ist die Benutzungsoberfläche, sie integriert den Zugriff auf die vielfältigen Funktionen des Risikomanagementsys­tems. In der Modellbank werden die für das Risikomanagement benötigten Mo­delle verwaltet, dabei kann es sich um Unternehmensmodelle hinsichtlich Aufbau- und Ablauforganisation handeln oder auch um Modelle von Ursache-Wirkungs­beziehungen. Durch die Kombination von Modellen mit Methoden ist es möglich, dem Risikomanager umfassende Entscheidungsunterstützung im Rahmen der Ri­sikosteuerung zu bieten. Als Datenbank dient ein Data Warehouse, da für das Ma­nagement operationeller Risiken eine flexible, multidimensionale Auswertbarkeit der Daten vonnöten ist. Zusätzlich können auf den Datenbestand Data Mining Verfahren angewandt werden, um Zusammenhänge zwischen den Datenbeständen zu erkunden. In der Reportbank werden die Risikoberichte gespeichert. Es kann sich dabei um verschiedenste Darstellungsformen der Daten handeln. Über die

Simulationskomponente können verschiedene Ergebnisse erzielt werden: Einer­seits kann sie dazu dienen, Zufallsverteilungen zur Ermittlung eines VaR zu gene­rieren, andererseits ist es bei Anwendung von agentenbasierter Technologie mög­lich, das Verhalten von komplexen Systemen zu simulieren.

Dieser umfassenden Lösung wurden danach neun am Markt verfügbare Produkte gegenübergestellt. Dabei entstand ein sehr heterogenes Bild: Von sehr speziali­sierten Lösungen wie Eurobios, die sich auf die Bereitstellung einer Simulations­komponente beschränkt, bis hin zu umfassenden quantitativen Lösungen wie Fitch OpVantage oder Algo OpRisk, die nahezu alle Komponenten der zuvor entwi­ckelten Architektur abdecken.

Bisher unbeantwortet bleibt die Frage, welche Risikomanagementverfahren wel­che Güte besitzen, es ist nicht möglich, eine wissenschaftlich fundierte Empfeh­lung für oder gegen qualitative beziehungsweise quantitative Verfahren auszu­sprechen. An dieser Stelle, ebenso wie bei der Wahl der richtigen Risikoindikato­ren, besteht auch in Zukunft noch verstärkt Forschungsbedarf.

Literaturverzeichnis

Agena Limited (o. J.)

Agena Limited: iRisk. The intelligent solution for quantifying Operational Risk. http://www.agena.co.uk/public_pages/products/iRISK.pdf, Abruf am 03.07.2003.

Aichholz (2002)

Aichholz, Steffen: Controlling Operationeller Risiken in der Landesbank Ba- den-Würtemberg - ein Umsetzungskonzept. In: Eller et al. (2002b), S. 257 - 282.

Algorithmics Incorporated (o. J.)

Algorithmics Incorporated: Algo OpRisk. The world's finest operational risk management solution for the enterprise, http://www.algorithmics.com/ solutions/oprisk/OPRisk2002_brochure.pdf, Abruf am 03.07.2003.

Anders (2001)

Anders, Ulrich: Qualitative Anforderungen an das Management operativer Ri­siken. In: Die Bank (2001) 6, S. 442 - 446.

Basel Committee on Banking Supervision (1996)

Basel Committee on Banking Supervision: Amendment to the capital accord to incorporate market risks. Basel 1996.

Basel Committee on Banking Supervision (2001a)

Basel Committee on Banking Supervision: The New Basel Capital Accord. Ba­sel 2001.

Basel Committee on Banking Supervision (2001b)

Basel Committee on Banking Supervision: Consultative Document Operational Risk. Basel 2001.

Basel Committee on Banking Supervision (2001c)

Basel Committee on Banking Supervision: Working Paper on the Regulatory Treatment of Operational Risk. Basel 2001.

Basel Committee on Banking Supervision (2001d)

Basel Committee on Banking Supervision: Sound Practices for the Manage­ment and Supervision of Operational Risk. Basel 2001.

Basel Committee on Banking Supervision (2001e)

Basel Committee on Banking Supervision: Working Paper on Pillar 3 - Market Discipline. Basel 2001.

Basel Committee on Banking Supervision (2002a)

Basel Committee on Banking Supervision: Sound Practices for the Manage­ment and Supervision of Operational Risk. Basel 2002.

Basel Committee on Banking Supervision (2002b)

Basel Committee on Banking Supervision: Operational Risk - Rules Language. Im Entwurf. Basel 2002.

Basel Committee on Banking Supervision (2003a)

Basel Committee on Banking Supervision: Sound Practices for the Manage­ment and Supervision of Operational Risk. Basel 2003.

Basel Committee on Banking Supervision (2003b)

Basel Committee on Banking Supervision: The 2002 Loss Data Collection Exercise for Operational Risk: Summary of the Data Collected. Basel 2003. Basel Committee on Banking Supervision (2003c)

Basel Committee on Banking Supervision: Consultative Document - The New Basel Capital Accord. Basel 2003.

Bauer / Günzel (2001)

Bauer, Andreas; Günzel, Holger (Hrsg.): Data-Warehouse-Systeme: Architek­tur, Entwicklung, Anwendung. Heidelberg 2001.

Beck et al. (2002)

Beck, Andreas; Lesko, Michael; Stockier, Ralf: Basel II - Auswirkungen auf die IT-Struktoren der Bankpraxis. In: Zeitschrift für das gesamte Kreditwesen 55 (2002)3-4, S. 153 - 159.

Beeck / Kaiser (2000)

Beeck, Helmut; Kaiser, Thomas: Quantifizierung von Operational Risk mit Value-at-Risk. In: Johanning / Rudolph (2000a), S. 633 - 653.

Ber oggi (1995)

Beroggi, Giampiero E.G.: Neue Technologien zur Unterstützung des Risiko­managements. Eine Systems Engineering Betrachtungsweise zum Entwurf von Risikoinformationssystemen. Zürich 1995.

Bichler (1997)

Bichler, Martin: Aufbau untemehmensweiter WWW-Informationssysteme. Braunschweig, Wiesbaden 1997.

Biester et al. (2002)

Biester, Nils; Latimore, Dan; Raposo, John: IBM (Hrsg.): Your Basel II implementation: Compliant or catalytic? New York 2002.

Boos/ Schulte-Mattler (2001a)

Boos, Karl-Heinz; Schulte-Mattler, Hermann: Basel II: Methoden zur Quantifi­zierung operationeller Risiken. In: Die Bank (2001) 8, S. 549 - 553.

Boos/ Schulte-Mattler (2001b)

Boos, Karl-Heinz; Schulte-Mattler, Hermann: Basel II: Bankenaufsichtliches Überprüfungsverfahren. In: Die Bank (2001) 9, S. 646 - 648.

Boos/ Schulte-Mattler (2001c)

Boos, Karl-Heinz; Schulte-Mattler, Hermann: Basel II: Marktdisziplin durch erweiterte Offenlegung. In: Die Bank (2001) 11, S. 795 - 799.

Brink (2001)

Brink, Gerrit van den: Operational Risk: Wie Banken das Betriebsrisiko be­herrschen. Stuttgart 2001.

Brockmann et al. (2000)

Brockmann, Michael; Danschke, Rainer; Dewner, Thomas M.: Implementie­rung der Risikomessung und -Steuerung in einer divisional strukturierten Bank. In: Johanning / Rudolph (2000b), S. 919 - 940.

Brühwiler (2001)

Brühwiler, Bruno: Untemehmensweites Risk Management als Frühwarnsys­tem: Methoden und Prozesse für die Bewältigung von Geschäftsrisiken in in­tegrierten Managementsystemen. Bern, Stuttgart, Wien 2001.

Buderath / Amling (2000)

Buderath, Hubertus; Amling, Thomas: Das Interne Überwachungssystem als Teil des Risikomanagements. In: Dömer et al. (2000), S. 129 - 151.

Buhr (2000)

Buhr, Reinhard: Messung von Betriebsrisiken - ein methodischer Ansatz. In: Die Bank (2000) 3, S. 202 - 206.

Burger / Buchhart (2002)

Burger, Anton; Buchhart, Anton: Risiko-Controlling. München, Wien 2002.

Carey (2001)

Carey, Anthony: Effective Risk Management in Financial Institutions: The Turnbull Approach. In: Balance Sheet 9 (2001) 3, S. 24 - 27.

Ceulebroeck / Wallis (2002a)

Ceulebroeck, Alex Van; Wallis, Jon: IBM (Hrsg.): All Systems Go? The Im­pact of Basel II on Financial Services Firms. New York 2002.

Ceulebroeck / Wallis (2002b)

Ceulebroeck, Alex Van; Wallis, Jon: IBM (Hrsg.): Adressing the Systems Ar­chitecture Implications of Basel II. New York 2002.

Chamoni / Gluchowski (1999a)

Chamoni, Peter; Gluchowski, Peter (Hrsg.): Analytische Informationssysteme: Data Warehouse, On-Line Analytical Processing, Data Mining. 2., neubearb. Auflage. Berlin, Heidelberg u.a. 1999.

Chamoni / Gluchowski (1999b)

Chamoni, Peter; Gluchowski, Peter: Analytische Informationssysteme - Ein­ordnung und Überblick. In: Chamoni / Gluchowski (1999a), S. 3 - 26.

Deutsche Bundesbank (2002)

Deutsche Bundesbank: Geschäftsbericht 2001. Frankfurt a. M. 2002.

Deutsche Bundesbank (2003)

Deutsche Bundesbank: Bankenaufsicht - Basel II. http://www.bundesbank.de/ bank/bank_basel.php, Abruf am 10.07.2003.

Dörner et al. (2000)

Dörner, Dietrich; Horväth, Péter; Kagermann, Henning (Hrsg.): Praxis des Ri­sikomanagements: Grundlagen, Kategorien, branchenspezifische und struktu­relle Aspekte. Stuttgart 2000.

Dresel et al. (2003)

Dresel, Tanja; Dui dinger, Andreas; Zanthier, Ulrich von: Management operati­oneller Risiken in Kreditinstituten - Trends und Praxis. In: Zeitschrift für das gesamte Kreditwesen 56 (2003) 9, S. 468 - 472.

Eller et al. (1999)

Eller, Roland; Gruber, Walter, Reif, Markus (Hrsg.): Handbuch Bankenauf­sicht und Interne Risikosteuerungsmodelle: Quantifizierung und Analyse mit bankinternen Modellen, bankaufsichtliche Anforderungen. Stuttgart 1999.

Eller et al. (2002a)

Eller, Roland; Gruber, Walter; Reif, Markus (Hrsg.): Handbuch des Risikoma­nagements. Analyse, Quantifizierung und Steuerung von Markt-, Kredit- und operationeilen Risiken. Stuttgart 2002.

Eller et al. (2002b)

Eller, Roland; Gruber, Walter; Reif, Markus (Hrsg.): Handbuch Operationelle Risiken: Aufsichtsrechtliche Anforderungen, Quantifizierung und Manage­ment, Praxisbeispiele. Stuttgart 2002.

Erben / Romeike (2002)

Erben, Roland F.; Romeike, Frank: Risk-Management-Informations-Systeme: Potentiale einer umfassenden FT-Unterstützung des Risk Managements. In: Pastors / PIKS (2002), S. 551 - 579.

Eurobios (o. J.)

Eurobios: Case Studies: Operational Risk Management.

http://www.eurobios.com/pages/pop_up_gb/pop_up_case_studies. asp?num=4, Abruf am 07.03.2003.

Faisst / Kovacs (2002)

Faisst, Ulrich; Kovacs, Markus: Methoden zur Quantifizierung operationeller Risiken. Universität Augsburg, Lehrstuhl für Betriebswirtschaftslehre, Wirt­schaftsinformatik & Financial Engineering, Kernkompetenzzentrum IT & Fi­nanzdienstleistungen, Diskussionspapier WI-123 2002 Faisst et al. (2002a)

Faisst, Ulrich; Huther, Andreas; Schneider, Karen: Basel II - Status, Systeman­forderungen und Perspektiven, if-news Nr. 12, Newsletter der Fachgruppe In­formationssysteme in der Finanzwirtschaft der Gesellschaft für Informatik e.V., Juli 2002.

Faisst et al. (2002b)

Faisst, Ulrich; Huther, Andreas; Schneider, Karen: Management operationeller Risiken - Status, Systemanforderungen und Perspektiven (Teil 1). In: Kredit & Rating Praxis (2002) 3, S. 26 - 28.

Faisst et al. (2002c)

Faisst, Ulrich; Huther, Andreas; Schneider, Karen: Management operationeller Risiken - Status, Systemanforderungen und Perspektiven (Teil 2). In: Kredit & Rating Praxis (2002) 4, S. 22 - 24.

Fischer (2001a)

Fischer, Thomas R.: Operationale Risiken im neuen Baseler Kapitalakkord. In: Zeitschrift für das gesamte Kreditwesen 54 (2001) 12, S. 662 - 665.

Fischer (2001b)

Fischer, Thomas R.: Auswirkungen aufsichtsrechtlicher Eigenmittelanforde­rungen auf die Risikosteuerung von Banken. In: Rolfes / Fischer (2001), S. 178 - 186.

Fischer (2002)

Fischer, Thomas R.: Auswirkungen des neuen Baseler Eigenkapitalakkordes auf die Risikosteuerung von Banken. In: Kolbeck / Wimmer (2002), S. 21 - 34. Fitch Risk (o. J.)

Fitch Risk: Operational Risk in your business equation.

http://www.fitchrisk.com/OVbro.pdf, Abruf am 03.07.2003.

Frenkel et al. (2000)

Frenkel, Michael; Hommel, Ulrich; Rudolf, Markus (Hrsg.): Risk management: challenge and opportunity. Berlin, Heidelberg, New Yorku.a. 2000.

Füser et al. (2002)

Füser, Karsten; Rödel, Kristian; David, Kang: Identifizierung und Quantifizie­rung von "Operational Risk". In: Finanz Betrieb (2002) 9, S. 495 - 502.

Geiger / Piaz (2001)

Geiger, Hans; Piaz, Jean-Marc: Identifikation und Bewertung operationeller Risiken. In: Schierenbeck et al. (2001), S. 789 - 802.

Giese (2002)

Giese, Guido: Kritik und Verbesserungsvorschläge für den Basel II Akkord. In: Der Schweizer Treuhänder (2002) 1-2, S. 67 - 74.

Gluchowski (1999)

Gluchowski, Peter: Data Warehouse - Konzepte, Produkte, Einsatzmöglich­keiten. In: Gabriel (1997), S. 1 - 19.

Gluchowski et al. (1997)

Gluchowski, Peter; Gabriel, Roland; Chamoni, Peter: Management Support Systeme: computergestützte Informationssysteme für Führungskräfte und Ent­scheidungsträger. Berlin u.a. 1997.

Göckenjahn et al. (1999)

Göckenjahn, Christian; Holdemeth, Albrecht; Seiffart, Gordon: Anforderungen an ein Risikomodell zur Gesamtbanksteuerung und dessen softwaretechnische Umsetzung. In: Eller et al. (1999), S. 343 - 362.

Hanker (1998)

Hanker, Peter: Management von Marktpreis- und Ausfallrisiken: Instrumente und Strategien zur Risikominimierung in Banken. Wiesbaden 1998.

Hansen / Neumann (2001)

Hansen, Hans R.; Neumann, Gustaf: Wirtschaftsinformatik I: 8., völlig neube­arbeitete und erweiterte Auflage. Stuttgart 2001.

Hartmann (2003)

Hartmann, Wolfgang: Risikomanagement am Beispiel der Commerzbank AG. In: Zeitschrift für das gesamte Kreditwesen 56 (2003) 6, S. 291 - 295.

Helten et al. (2000)

Helten, Elmar; Bittl, Andreas; Liebwein, Peter: Versicherung von Risiken. In: Dörner et al. (2000), S. 153 - 192.

Helwig (2002)

Helwig, Christian: Das zweite Konsultationspapier der Neuen Basler Eigenka­pitalvereinbarung. In: Eller et al. (2002a), S. 77 - 102.

Henn / Schäl (o. J.)

Henn, Erich Tobias; Schäl, Ingo: zeb/operational.risk-manager.

http://www.zeb. de/zeb/download/zeb_it/zeb_operational_risk_manager.pdf, Abruf am 03.07.2003.

Hofmann (2002)

Hofmann, Mathias: Identifizierung, Quantifizierung und Steuerung operatio­neller Risiken in Kreditinstituten. Frankfurt a. M. 2002.

Hollnagel (1995)

Hollnagel, Erik: Computer Supported Risk Management. Between Scylla an Charybdis. In: Beroggi / Wallace (1995), S. 33 - 48.

Hommel (2000)

Hommel, Ulrich: Managing Catastrophic Risk with Financial Instruments. In: Frenkel et al. (2000), S. 39 - 62.

Horváth / Gleich (2000)

Horváth, Péter; Gleich, Ronald: Controlling als Teil des Risikomanagements. In: Dörner et al. (2000), S. 99 - 126.

Interexa (o. J.)

Interexa: Operational Risk Center, http://www.interexa.de/de/orc_info2.html, Abruf am 02.07.2003.

Jameson / Walsh (2000)

Jameson, Rob; Walsh, John: Software round-up. http://www.fmancewise.com/ public/edit/riskm/oprisk/opr-softOO.htm, Abruf am 02.07.2003.

Johanning / Rudolph (2000a)

Johanning, Lutz; Rudolph, Bernd (Hrsg.): Handbuch Risikomanagement: Band 1: Risikomanagement für Markt-, Kredit und operative Risiken. Bad Soden/Ts. 2000.

Johanning / Rudolph (2000b)

Johanning, Lutz; Rudolph, Bernd (Hrsg.): Handbuch Risikomanagement. Band 2: Risikomanagement in Banken, Asset Management Gesellschaften, Versiche- rungs- und Industrieunternehmen. Bad Soden/Ts. 2000.

Jovic (1999)

Jovic, Dejan: Risikoorientierte Eigenkapitalallokation und Performancemes­sung bei Banken: ökonomische und regulatorische Eigenmittelunterlegung von Markt-, Kredit- und operationeilen Risiken unter Berücksichtigung der schwei­zerischen und internationalen Entwicklungen. Bern, Stuttgart, Wien 1999.

Jovic /Piaz (2001)

Jovic, Dean; Piaz, Jean-Marc: «Operational Risk Management« als kriti­scher Erfolgsfaktor für Banken. In: Der Schweizer Treuhänder (2001) 10, S. 923 - 930.

Keck / Jovic (1999a)

Keck, Walter; Jovic, Dean: Verbessertes Risk Reporting der internationalen Banken. In: Der Schweizer Treuhänder (1999) 3, S. 195 - 202.

Keck / Jovic (1999b)

Keck, Walter; Jovic, Dean: Das Management von operationeilen Risiken bei Banken. In: Der Schweizer Treuhänder (1999) 10, S. 963 - 970.

Kirchner (2002)

Kirchner, Michael: Risikomanagement: Problemaufriss und praktische Erfah­rungen unter Einbeziehung eines sich ändernden unternehmerischen Elmfeldes. München, Mering 2002.

Klein (1998)

Klein, Stefan P.: Verauktionierung von Eigenkapitallimiten: Zur Eignung marktlicher Mechanismen für die dezentrale Bankgeschäftssteuerung. In: Weinhard et al. (1998), S. 309 - 323.

Kolbeck / Wimmer (2002)

Kolbeck, Christoph; Wimmer, Rudolf (Hrsg.): Finanzierung für den Mit­telstand: Trends, Unternehmensrating, Praxisfälle. Wiesbaden 2002.

Kusterer (1998)

Kusterer, Frank: EBIS - Data Warehouse-Konzeptionen zur Lösung mehrdi­mensionaler Controllingprobleme. In: Weinhard et al. (1998), S. 431 - 442. Lam (2003)

Lam, James: A unified management and capital framework for operational risk. In: The RMA Journal (2003) 5, S. 26 - 30.

Mathmann (2003)

Mathmann, Wolfgang: Operational Risk: Effektive Risikominderung durch Versicherungen. In: Die Bank (2003) 3, S. 164 - 167.

Meister (2003)

Meister, Edgar: Operationelle Risiken - was sind Ihre Erfahrungen aus den Bankprüfungen? In: Zeitschrift für das gesamte Kreditwesen 56 (2003) 6, S. 285 -286.

Mertens / Griese (2002)

Mertens, Peter; Griese, Joachim: Integrierte Informationsverarbeitung 2: Pla- nungs- und KontrollSysteme in der Industrie. Wiesbaden 2002.

Muzzy (2003)

Muzzy, Ladd: The pitfalls of gathering operational risk data: a tightrope without a net. In: The RMA Journal (2003) 5, S. 58 - 63.

Neumann / Morlock (2002)

Neumann, Klaus; Morlock, Martin: Operations Research. 2. Auflage. Mün­chen, Wien 2002.

Nolte (2000)

Nolte, Matthias: Betriebliche und technische Aspekte des unternehmensweiten Risikomanagements in Finanzinstituten. In: Schierenbeck (2000), S. 147 - 175. Oehler / Unser (2002)

Oehler, Andreas; Unser, Matthias: Finanzwirtschaftliches Risikomanagement. Berlin, Heidelberg, New York u. a. 2002.

Overbeck / Stahl (2000)

Overbeck, Ludger; Stahl, Gerhard: Backtesting: Allgemeine Theorie, Praxis und Perspektiven. In: Johanning / Rudolph (2000a), S. 289 - 320.

Pacemetrics Limited (o. J.)

Pacemetrics Limited: Pacemetrics. http://www.pacemetrics.com/

PaceMetrics.pdf, Abruf am 03.07.2003.

Pastors/PIKS (2002)

Pastors, Peter; PIKS (Hrsg.): Risiken des Unternehmens - Vorbeugen und meistern. München, Mering 2002.

Peter et al. (2000)

Peter, Andreas; Vogt, Hans-Jürgen; Kraß, Volker: Management operationeller Risiken bei Finanzdienstleistern. In: Johanning / Rudolph (2000a), S. 655 - 677.

Piaz(2001)

Piaz, Jean-Marc: Operationelle Risiken im E-Commerce. In: Der Schweizer Treuhänder (2001) 12, S. 1231 - 1236.

Piaz(2002)

Piaz, Jean-Marc: Operational risk management bei Banken. Zürich 2002.

Price / Whittey (2002)

Price, Martin; Whittey, David: OR2Q. Executive Summary for Operational Risk Qualitative and Quantitative (OR2Q). 2002.

Quick et al. (2002)

Quick, Markus; Kruse, Lars; Duldinger, Andreas: Operationelle Risiken bei Kreditinstituten: Trends & Best Practice. Berlin 2002.

Röckle (2002)

Röckle, Sven: Schadensdatenbanken als Instrument zur Quantifizierung von Operational Risk in Kreditinstituten. Sternenfels 2002.

Rolfes (1999)

Rolfes, Bernd: Gesamtbanksteuerung Stuttgart 1999.

Rolfes / Fischer (2001)

Rolfes, Bernd; Fischer, Thomas R. (Hrsg.): Handbuch der europäischen Fi­nanzdienstleistungsindustrie. Frankfurt a. M. 2001.

Rolfes / Kirmße (2000)

Rolfes, Bernd; Kirmße, Stefan: Risikomanagement in Banken. In: Dömer et al. (2000), S. 623 - 668.

Schierenb eck (2000)

Schierenbeck, Henner (Hrsg.): Risk Controlling in der Praxis: rechtliche Rah­menbedingungen und geschäftspolitische Konzeptionen in Banken, Versiche­rungen und Industrie. Stuttgart 2000.

Schierenbeck et al. (2001)

Schierenbeck, Henner; Rolfes, Bernd; Schüller, Bernd (Hrsg.): Handbuch Bankcontrolling: 2., überarbeitete und erweiterte Auflage. Wiesbaden 2001. Schöning / Hofmann (2002)

Schöning, Stephan; Hofmann, Mathias: Managementaspekte operationeller Ri­siken. In: Zeitschrift für das gesamte Kreditwesen 55 (2002) 17, S. 882 - 888. Schulte-Mattler (2001)

Schulte-Mattler, Hermann: Das europäische Regulierungssystem für die Fi­nanzdienstleistungsindustrie. In: Rolfes/Fischer (2001), S. 154 - 166.

Spielman / McKinney (2002)

Spielman, Craig; McKinney, Dan: JPMorgan Horizon. Leading the way to ex­cellence. o. O. 2002.

Steinberg (1998)

Steinberg, Rainer: Rolfes, Bernd; Schierenbeck, Henner (Hrsg.): Zinsände­rungsrisiko und Bankenaufsicht: Analyse und Weiterentwicklung bankenauf­sichtsrechtlicher Zinsrisikonormen. Frankfurt a. M. 1998.

Stickelmann (2002)

Stickelmann, Karsten: Operationelles Risiko - Abgrenzung, Definition und An­forderungen gemäß Basel II. In: Eller et al. (2002b), S. 3 - 42.

Stocker et al. (2001)

Stocker, Georg; Naumann, Mathias; Buhr, Reinhard; Kind, Ralf; Schwertl, Markus: Qualitatives und quantitatives Controlling und Management von Ope­rational Risk: Entwicklung eines Betriebsrisikocontrollings in der Bayerischen Landesbank. In: Zeitschrift für das gesamte Kreditwesen 54 (2001) 12, S. 677 - 687.

Veil (2003)

Veil, Michael: Komplexitätsbeherrschung im Transaction Banking. In: Die Bank (2003) 2, S. 138 - 142.

Wagner, C. (2002)

Wagner, Carsten: Risiken richtig managen. In: Bankmagazin (2002) 9, S. 28 - 29.

Wagner, P. (2002)

Wagner, Peter: Basel II: Grundlegende Neuerungen zur bankaufsichtsrechtli­chen Behandlung operationeller Risiken. In: Zeitschrift für das gesamte Kre­ditwesen 55 (2002) 3-4, S. 160 - 164.

Weinhard et al. (1998)

Weinhard, Christof; Meyer zu Selhausen, Hermann; Morlock, Martin (Hrsg.): Informationssysteme in der Finanzwirtschaft. Berlin 1998.

Wolf /Runzheimer (2001)

Wolf, Klaus; Runzheimer, Bodo: Risikomanagement und KonTraG. Konzep­tion und Implementierung. 3., überarbeitete und erweiterte Aufl. Wiesbaden 2001.

Zimmermann / Jöhnk (2002)

Zimmermann, Gebhard; Jöhnk, Thorsten: Risikomanagement mit einer Balan­ced Scorecard - ein Überblick. In: Zeitschrift für das gesamte Kreditwesen 55 (2002) 17, S. 895 - 898.

Anhang

Anhangsverzeichnis

Anhang A: Loss Types A 1

Anhang B: Business Lines B 1

Anhang A: Loss Types

Tabelle 5: Business Lines201

In Anlehnung an Basel Committee in Banking Supervision (2003c), S. 199.

Erklärung

Ich versichere hiermit, dass ich die Diplomarbeit selbständig verfasst und keine ande­ren als die angegebenen Quellen und Hilfsmittel benutzt habe. Alle wörtlich und sinngemäß aus veröffentlichten oder nicht veröffentlichten Schriften entnommenen Stellen sind als solche kenntlich gemacht.

Weiterhin erkläre ich, dass die Arbeit in gleicher oder ähnlicher Form noch keiner anderen Prüfungsbehörde Vorgelegen hat und noch nicht veröffentlicht worden ist.

Duisburg, den 31. Juli 2003

[...]

---

¹ Vgl. Fischer (2001b), S. 179.

² Vgl. Veil (2003), S. 138.

³ Vgl. Fischer (2001a), S. 179 ff.

⁴ Vgl. Hartmann (2003), S. 291.

⁵ Vgl. hierzu und zum Folgenden: Fischer (2002), S. 25.

⁶ Vgl. hierzu auch Biester et al. (2002), S. 1 f.

⁷ Vgl. hierzu und zum Folgenden: Beck et al. (2002), S. 153.

⁸ Vgl. Meister (2003), S. 286.

⁹ Vgl. Deutsche Bundesbank (2003), o. S.

¹⁰ Vgl. Beck et al. (2002), S. 153.

¹¹ Vgl. Rolfes (1999), S. 332.

¹² Vgl. hierzu und zum Folgenden: Beck et al. (2002), S. 153 ff. sowie Faisst et al. (2002a), S.2 ff.

¹³ Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2003c), S. 152 ff., Basel Committee on Banking Supervision (1996), S. 9 ff. und Hanker (1998), S. 162.

¹⁴ Vgl. Rolfes / KirmBe (2000), S. 629 f. und 633 ff.

¹⁵ Vgl. Beck et al. (2002), S. 154.

¹⁶ Risiken des Bankbuches sind Kreditausfallrisiken. Siehe dazu Abschnitt 2.2.1.

¹⁷ Vgl. hierzu auch Overbeck / Stahl (2000), S. 292.

¹⁸ Vgl. Rolfes / KirmBe (2000), S. 629 f.

¹⁹ Vgl. Steinberg (1998), S. 12 ff.

²⁰ Vgl. Schulte-Mattler (2001), S. 157 ff.

²¹ Basel Committee on Banking Supervision (2003c), S. 120.

²² Vgl. hierzu und zum Folgenden: Wagner, P. (2002), S. 160 ff.

²³ Vgl. Keck / Jovic (1999a), S. 196.

²⁴ Vgl. Beck et al. (2002), S. 154 und Faisst et al. (2002b), S. 26 ff.

²⁵ Vgl. hierzu und zum Folgenden: Beck et al. (2002), S. 154.

²⁶ Vgl. hierzu auch: Boos / Schulte-Mattler (2001b), S. 646 ff. und Helwig (2002), S. 97.

²⁷ Vgl. Deutsche Bundesbank (2002), S. 174.

²⁸ Vgl. hierzu und zum Folgenden: Beck et al. (2002), S. 154 sowie Boos / Schulte-Mattler (2001c), S. 795 ff. und auch Helwig (2002), S. 97 ff.

²⁹ Vgl. Basel Committee on Banking Supervision (2001e), S. 13 und Basel Committee on Banking Supervision (2003c), S. 168.

³⁰ Vgl. Boos / Schulte-Mattler (2001a), S. 549 f. und Fischer (2001a), S. 662 ff. sowie Helwig (2002), S. 95 ff.

³¹ Vgl. Quick et al. (2002), S. 5.

³² Bruttoertrag = Netto-Zinsertrag + Netto-Nicht-Zinsertrag, wobei sich der Netto-Nicht-Zinsertrag aus den Netto-Provisions- und Gebiihrenertragen, dem Nettoergebnis aus Finanztransaktionen und anderen Ertragen zusammensetzt. Brutto meint in diesem Zusammenhang, dass die Verluste aus OR noch nicht von den Ertragen abgezogen werden durfen. Es wird ein Durchschnittswert der vergangenen drei Jahre gebildet. Siehe Basel Committee on Banking Supervision (2002b), S. 2, und auch Basel Committee on Banking Supervision (2003c), S. 121, ebenso wie Basel Committee on Banking Supervision (2001a), S. 94.

³³ Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2001a), S. 94, Basel Committee on Banking Supervision (2001b), S. 6, Basel Committee on Banking Supervision (2001c), S. 11 und Basel Committee on Banking Supervision (2003c), S. 121, ebenso Boos / Schulte-Mattler (2001a), S. 550 und Helwig (2002), S. 95.

³⁴ Vgl. Wagner, P. (2002), S. 162, ebenso Mathmann (2003), S. 164 und Boos / Schulte-Mattler (2001a), S. 550 sowie Giese (2002), S. 71.

³⁵ Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2002b), S. 6 ff., Basel Committee on Banking Supervision (2001c), S. 6 ff. und auch Basel Committee on Banking Supervision (2003c), S. 122 f., ebenso Boos / Schulte-Mattler (2001a), S. 550 f. und Helwig (2002), S. 96.

³⁶ In Anlehnung an: Basel Committee on Banking Supervision (2003c), S. 123 und Basel Committee on Banking Supervision (2001c), S. 7.

³⁷ Vgl. Wagner, P. (2002), S. 162, ebenso Mathmann (2003), S. 164 und Boos / Schulte-Mattler (2001a), S. 551 sowie Giese (2002), S. 71.

³⁸ Vgl. Basel Committee on Banking Supervision (2003b), S. 36.

³⁹ Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2002a), S. 4 ff. sowie Basel Committee on Banking Supervision (2001d), S. 3 ff. und auch Basel Committee on Banking Supervision (2003a), S. 3 ff.

⁴⁰ Das Basel Committee on Banking Supervision unterscheidet zwischen Board of Directors und Senior Management. Dabei geht es nicht primär um ein rechtliches Konstrukt, sondern vielmehr um die Unterscheidung von zwei Entscheidungsgremien in einer Bank. Siehe Basel Committee on Banking Supervision (2003a), S. 4.

⁴¹ Vgl. Basel Committee on Banking Supervision (2001a), S. 96 f., Basel Committee on Banking Supervision (2001b), S. 12, Basel Committee on Banking Supervision (2001c), S. 11 f. und Basel Committee on Banking Supervision (2003c), S. 124 f.

⁴² Vgl. hierzu und zum folgenden: Basel Committee on Banking Supervision (2001b), S. 8 ff. und Basel Committee on Banking Supervision (2001c), S. 33 f., sowie Giese (2002), S. 71 f. und Boos / Schulte-Mattler (2001a), S. 551 f und Helwig (2002), S. 96.

⁴³ Vgl. Wagner, P. (2002), S. 163.

⁴⁴ Vgl. Basel Committee on Banking Supervision (2002b), S. 34 sowie Boos / Schulte-Mattler (2001a), S. 552 f.

⁴⁵ Vgl. Wagner, P. (2002), S. 163 f.

⁴⁶ Vgl. Wagner, P. (2002), S. 164 und Stickelmann (2002), S. 34 f. sowie Basel Committee on Banking Supervision (2001c), S. 34 f.

⁴⁷ Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2003c), S. 125 ff.

⁴⁸ Vgl. Keck / Jovic (1999b), S. 964 ff.

⁴⁹ Vgl. Brockmann et al. (2000), S. 920 ff.

⁵⁰ Vgl. Piaz (2002), S. 75 ff., andere Begrifflichkeiten und Phasenschemata bei Oehler / Unser (2002), S. 20 f. oder auch Anders (2001), S. 443.

⁵¹ In Anlehnung an Piaz (2002), S. 73.

⁵² Vgl. Schöning / Hofmann (2002), S. 882 ff.

⁵³ Vgl. Lam (2003), S. 30.

⁵⁴ Vgl. Schöning / Hofmann (2002), S. 888.

⁵⁵ Vgl. FUser et al. (2002), S. 496 ff.

⁵⁶ Vgl. Piaz (2002), S. 75 ff. und Fuser et al. (2002), S. 496 ff.

⁵⁷ Vgl. Kirchner (2002), S. 39.

⁵⁸ Vgl. Wolf / Runzheimer (2001), S. 33 f.

⁵⁹ Vgl. Fuser et al. (2002), S. 496 ff. sowie Piaz (2002), S. 75 ff.

⁶⁰ Vgl. Carey (2001), S. 25 und Brink (2001), S. 20 ff.

⁶¹ Vgl. Piaz (2002), S. 75 ff.

⁶² Vgl. hierzu und zum Folgenden: Piaz (2002), S. 81 ff.

⁶³ Vgl. hierzu auch Burger / Buchhart (2002), S. 82 f. und Wolf / Runzheimer (2001), S. 36.

⁶⁴ Vgl. auch Dresel et al. (2003), S. 470. Bei Hofmann (2002), S. 35 ff. wird der Begriff Self-Auditing verwendet.

⁶⁵ Vgl. Anders (2001), S. 443.

⁶⁶ Vgl. Geiger / Piaz (2001), S. 795 f.

⁶⁷ Vgl. hierzu und zum Folgenden: Piaz (2002), S. 86 ff.

⁶⁸ Vgl. ebenso Burger / Buchhart (2002), S. 69 ff. und Wolf / Runzheimer (2001), S. 37.

⁶⁹ Vgl. auch Wolf / Runzheimer (2001), S. 42.

⁷⁰ Vgl. hierzu und zum Folgenden: Piaz (2002), S. 88 ff.

⁷¹ Vgl. auch Wolf / Runzheimer (2001), S. 36 f. und Bruhwiler (2001), S. 14 f.

⁷² Vgl. auch Burger / Buchhart (2002), S. 89 ff. sowie Brink (2001), S. 44 ff.

⁷³ Vgl. hierzu und zum Folgenden: Piaz (2002), S. 94 ff

⁷⁴ Vgl. auch Wolf / Runzheimer (2001), S. 37 f.

⁷⁵ Vgl. hierzu und zum Folgenden: Piaz (2002), S. 104 ff. und Fuser et al. (2002), S. 497 ff.

⁷⁶ Vgl. Carey (2001), S. 25 f. und Abschnitt 4.4.

⁷⁷ Vgl. Wolf / Runnzheimer (2001), S. 45 f.

⁷⁸ Vgl. Buhr (2000), S. 203 f., ebenso Stocker et al. (2001), S. 687.

⁷⁹ Vgl. Kirchner (2002), S. 39 f.

⁸⁰ Vgl. Keck / Jovic (1999b), S. 965 f.

⁸¹ In Anlehnung an Keck / Jovic (1999b), S. 966.

⁸² Vgl. Carey (2001), S. 25 f.

⁸³ Vgl. Peter et al. (2000), S. 659 ff.

⁸⁴ Vgl. Lam (2003), S. 30.

⁸⁵ Vgl. Kirchner (2002), S. 39 f.

⁸⁶ Vgl. hierzu und zum Folgenden: Piaz (2002), S. 101 ff., Piaz (2001), S. 1232 ff. sowie Jovic / Piaz (2001), S. 924 ff.

⁸⁷ Vgl. auch Faisst / Kovacs (2002), S. 3.

⁸⁸ Vgl. Beeck / Kaiser (2000), S. 642 ff. und Stocker et al. (2001), S. 684.

⁸⁹ Vgl. Schönig / Hofmann (2002), S. 888.

⁹⁰ Vgl. Anders (2001), S. 444.

⁹¹ Vgl. hierzu und zum Folgenden: Piaz (2002), S. 125 ff. und Piaz (2001), S. 1232 ff. sowie Jovic / Piaz (2001), S. 924 ff

⁹² Vgl. auch Faisst / Kovacs (2002), S. 2 f. und auch Hofmann (2002), S. 29 ff.

⁹³ Vgl. hierzu auch Buhr (2000), S. 203 f. und Stocker et al. (2001), S. 678.

⁹⁴ Vgl. Anders (2001), S. 445 und Hofmann (2002), S. 55 f.

⁹⁵ Vgl. Horváth / Gleich (2000), S. 114 ff.

⁹⁶ Vgl. hierzu und zum Folgenden: Zimmermann / Jöhnk (2002), S. 895 ff., ebenso Burger / Buchhard (2002), S. 207 ff. und Aichholz (2002), S. 279 f. sowie Wolf / Runzheimer (2001), S. 29 ff. und Kirchner (2002), S. 65 ff.

⁹⁷ Vgl. Piaz (2002), S. 185 f.

⁹⁸ Vgl. Biester et al. (2002), S. 12.

⁹⁹ Vgl. Hartmann (2003), S. 292 f.

¹⁰⁰ Vgl. Jovic (1999), S. 163 ff. und Brink (2001), S. 54 ff.

¹⁰¹ Vgl. Brink (2001), S. 56 f. und Klein (1998), S. 4 ff.

¹⁰² In Anlehnung an Piaz (2002), S. 144.

¹⁰³ Vgl. Wolf / Runzheimer (2001), S. 72 und Schönig / Hofmann (2002), S. 883 f. sowie Helten et al. (2000), S. 171.

¹⁰⁴ Vgl. Piaz (2002), S. 142 ff.

¹⁰⁵ Vgl. Piaz (2002), S. 148 f. und Wolf / Runzheimer (2001), S. 75 sowie Kirchner (2002), S. 45.

¹⁰⁶ Vgl. hierzu und zum Folgenden: Piaz (2002), S. 149 ff., Piaz (2001), S. 1234 ff. und Wolf / Runzheimer (2001), S. 75.

¹⁰⁷ Vgl. ebenso: Schöning / Hofmann (2002), S. 883 f. und Kirchner (2002), S. 45

¹⁰⁸ Vgl. Schöning / Hofmann (2002), S. 883 f. und Kirchner (2002), S. 45

¹⁰⁹ Vgl. hierzu und zum Folgenden: Piaz (2002), S. 159 ff.

¹¹⁰ Vgl. Schöning / Hofmann (2002), S. 886 f. und Kirchner (2002), S. 45.

¹¹¹ Vgl. Mathmann (2003), S. 166 f.

¹¹² Vgl. Hommel (2000), S. 54 f., Schöning / Hofmann (2002), S. 886 f. und Kirchner (2002), S. 45.

¹¹³ Vgl. Schöning / Hofmann (2002), S. 888 und Piaz (2002), S. 164 sowie Wolf / Runzheimer (2001), S. 79 f.

¹¹⁴ Vgl. Buderath / Amling (2000), S. 129 f.

¹¹⁵ Vgl. Piaz (2002), S.169 ff.

¹¹⁶ Zum Begriff des Informationssystems siehe Hansen / Neumann (2001), S. 134.

¹¹⁷ Vgl. hierzu und zum Folgenden: Basel Committee on Banking Supervision (2003c), S. 125 ff.

¹¹⁸ Zum Begriff des Managementunterstiitzungssystems siehe Hansen / Neumann (2001), S. 141.

¹¹⁹ Vgl. Göckenjahn et al. (1999), S. 345 ff., Lam (2003), S. 26 ff., Bichler (1997), S. 4 sowie Erben / Romeike (2002), S. 564 und auch Wagner, C. (2002), S. 28 f.

¹²⁰ Vgl. Beck et al. (2002), S. 155 ff.

¹²¹ Vgl. Nolte (2000), S. 153 f., Hartmann (2003), S. 292 sowie Erben / Romeike (2002), S. 564 und auch Beck et al. (2002), S. 155 ff., ebenso Bichler (1997), S. 4.

¹²² Vgl. Göckenjahn et al. (1999), S. 345 ff.

¹²³ Vgl. Basel Committee on Banking Supervision (2003c), S. 199 ff.

¹²⁴ Vgl. Erben / Romeike (2002), S. 564.

¹²⁵ Vgl. Faisst et al. (2002c), S. 24, Beck et al. (2002), S: 155 ff. und auch Erben / Romeike (2002), S. 564 sowie Bichler (1997), S. 4.

¹²⁶ Vgl. Nolte (2000), S. 153 f. und Wagner, C. (2002), S. 28 f. sowie Beck et al. (2002), S. 155 ff.

¹²⁷ Zum Begriff des Informationsbedarfs siehe Gluchowski et al. (1997), S. 23 f.

¹²⁸ Vgl. Göckenjahn et al. (1999), S. 345 ff., ebenso Erben / Romeike (2002), S. 564 und Bichler (1997), S. 4.

¹²⁹ Vgl. Göckenjahn et al. (1999), S. 345 ff.

¹³⁰ Vgl. Faisst et al. (2002c), S. 24.

¹³¹ Vgl. Wagner, C. (2002), S 28 f.

¹³² Vgl. Lam (2003), S. 26 ff.

¹³³ Vgl. Lam (2003), S. 26 ff.

¹³⁴ Vgl. Erben / Romeike (2002), S. 564.

¹³⁵ Vgl. Erben / Romeike (2002), S. 564.

¹³⁶ Vgl. Beck et al. (2002), S. 155 ff. und Schöning / Hofmann (2002), S. 888 sowie Hartmann (2003), S. 292

¹³⁷ Zum Begriff der Planungs- und Kontrollsysteme siehe Mertens / Griese (2002), S. 1 f.

¹³⁸ Vgl. Mertens / Griese (2002), S. 11.

¹³⁹ Vgl. Gluchowski et al. (1997), S. 82 ff.

¹⁴⁰ Vgl. Piaz (2002), S. 96.

¹⁴¹ Vgl. Piaz (2002), S. 122 f.

¹⁴² Vgl. hierzu und zum Folgenden: Gluchowski et al. (1997), S. 83 ff.

¹⁴³ In Anlehnung an Gluchowski et al. (1997), S. 82 und Chamoni / Gluchowski (1999b), S. 12.

¹⁴⁴ Vgl. Ceulebroeck / Wallis (2002b), S. 20 ff.

¹⁴⁵ Vgl. Gluchowski et al. (1997), S. 83 f.

¹⁴⁶ Vgl. Göckenjahn (1999), S. 345 ff.

¹⁴⁷ Vgl. hierzu und zum Folgenden: Hollnagel (1995), S. 38 ff.

¹⁴⁸ Vgl. hierzu und zum Folgenden: Gluchowski et al. (1997), S. 84 ff.

¹⁴⁹ Vgl. hierzu auch Aichholz (2002), S. 274 f.

¹⁵⁰ Vgl. hierzu und zum Folgenden: Gluchowski et al. (1997), S. 84 ff., zu weiteren Klassifizierungen siehe Beroggi (1995), S. 48 ff.

¹⁵¹ Vgl. Anders (2001), S. 442 f.

¹⁵² Vgl. Kusterer (1998), S. 435.

¹⁵³ Vgl. Gluchowski et al. (1997), S. 87.

¹⁵⁴ Gluchowski et al. (1997), S. 88.

¹⁵⁵ Vgl. Mertens / Griese (2002), S. 40.

¹⁵⁶ Vgl. Neumann / Morlock (2002), S: 731 ff.

¹⁵⁷ Vgl. Mertens / Griese (2002), S. 40 ff.

¹⁵⁸ Vgl. Piaz (2002), S. 95 f.

¹⁵⁹ Vgl. Piaz (2002), S. 123.

¹⁶⁰ Vgl. hierzu und zum Folgenden: Muzzy (2003), S. 58 ff.

¹⁶¹ Vgl. Dresel et al. (2003), S. 469 f.

¹⁶² Vgl. Aichholz (2002), S. 265.

¹⁶³ Vgl. Kusterer (1998), S. 432 ff.

¹⁶⁴ Vgl. hierzu und zum Folgenden: Röckle (2002), S. 58 ff.

¹⁶⁵ Vgl. Basel Committee on Banking Supervision (2003c), S. 127.

¹⁶⁶ Vgl. hierzu und zum Folgenden: Kusterer (1998), S. 432 ff.

¹⁶⁷ Chamoni / Gluchowski (1999b), S. 13.

¹⁶⁸ Vgl. Chamoni / Gluchowski (1999b), S. 13 ff. sowie Gluchowski (1999), S. 4 ff.

¹⁶⁹ Vgl. hierzu und zum Folgenden: Muzzy (2003), S. 58 ff.

¹⁷⁰ Vgl. Ceulebroeck / Wallis (2002a), S 7.

¹⁷¹ Vgl. Biester et al. (2002), S. 12.

¹⁷² Vgl. hierzu und zum Folgenden: Bauer / Gunzel (2001), S. 96 ff.

¹⁷³ Vgl. Beeck / Kaiser (2000), S. 647 f.

¹⁷⁴ Vgl. Basel Committee on Banking Supervision (2003c), S. 125

¹⁷⁵ Vgl. Aichholz (2002), S. 265 ff. sowie analog Röckle (2002), S. 76 f.

¹⁷⁶ Vgl. Beeck / Kaiser (2000), S. 647 ff.

¹⁷⁷ Zu den Business Lines und Loss Events siehe Anhang A und Anhang B.

¹⁷⁸ Eigene Darstellung, in Anlehnung an Bauer /Giinzel (2001), S. 200.

¹⁷⁹ Eigene Darstellung, in Anlehnung an Bauer /Giinzel (2001), S. 200.

¹⁸⁰ Vgl. Aichholz (2002), S. 268.

¹⁸¹ Vgl. Röckle (2002), S. 84 ff.

¹⁸² Eigene Darstellung, in Anlehnung an Bauer /Giinzel (2001), S. 200.

¹⁸³ Vgl. Beeck / Kaiser (2000), S. 648 f.

¹⁸⁴ Vgl. hierzu und zum Folgenden: Aichholz (2002), S. 267 ff.

¹⁸⁵ Eigene Darstellung, in Anlehnung an Bauer / Giinzel (2001), S. 200.

¹⁸⁶ Eigene Darstellung, in Anlehnung an Bauer / Giinzel (2001), S. 200.

¹⁸⁷ Vgl. Gluchowski et al. (1997), S. 95 f.

¹⁸⁸ Vgl. Ceulebroeck / Wallis (2002b), S. 24.

¹⁸⁹ Vgl. Aichholz (2002), S. 279.

¹⁹⁰ Vgl. Agena Limited (o. J.), o. S. und Jameson / Walsh (2000), o. S.

¹⁹¹ In Anlehnung an Piaz (2002), S. 133.

¹⁹² Vgl. Algorithmics Incorporated (o. J.), S. 1 ff und Jameson / Walsh (2000), o. S.

¹⁹³ Vgl. Price / Whittey (2002), S. 2 ff. sowie Jameson / Walsh (2000), o. S.

¹⁹⁴ Vgl. Spielman / McKinney (2002), S. 1 f. und auch Jameson / Walsh (2000), o. S.

¹⁹⁵ Vgl. Fitch Risk (o. J.), o. S.

¹⁹⁶ Vgl. Pacemetrics Limited (o. J.), o. S.

¹⁹⁷ Vgl. Henn / Schäl (o. J.), o. S.

¹⁹⁸ Vgl. Interexa (o. J.), o. S.

¹⁹⁹ Vgl. Eurobios (o. J.), o. S.