Integration externer Datenbanken in die aufsichtsrechtliche Erfassung von operationellen Risiken

Inhaltsverzeichnis

Kurzfassung

Abkürzungsverzeichnis

Symbolverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 Grundlagen operationeller Risiken
2.1 Definition des operationellen Risikos
2.1.1 Abgrenzung zu anderen Risikoarten
2.1.1.1 Reputationsrisiko und strategisches Risiko
2.1.1.2 Marktpreisrisiko
2.1.1.3 Adressrisiko
2.1.1.4 Liquiditätsrisiko
2.2 Kategoriesierung operationeller Risiken
2.3 Ursachen operationeller Risiken
2.4 Management operationeller Risiken
2.5 Dimensionen operationeller Risiken
2.6 Aufsichtsrechtliche Anforderungen
2.6.1 Basler Eigenkapitalverordnung
2.6.1.1 Erste Säule – Mindestanforderungen
2.6.1.2 Zweite Säule – Bankaufsichtliches Überprüfungsverfahren
2.6.1.3 Dritte Säule – Offenlegungspflicht
2.6.2 Sound Practices
2.6.3 Capital Requirements Directive
2.7 Nationale, gesetzliche und aufsichtsrechtliche Regelungen
2.8 Mindestanforderungen an das Risikomanagement

3 Ermittlung des Eigenkapitalbedarfs für operationelle Risiken
3.1 Der Basisindikatoransatz
3.2 Der Standardansatz
3.3 Der fortgeschrittene Ansatz
3.4 Würdigungen der Ansätze zur Quantifizierung operationeller Risiken

4 Integration externer Schadensdaten
4.1 Loss – Distribution Approach
4.1.1 Modell Verlusthäufigkeit
4.1.2 Modell Verlusthöhe
4.1.3 Zusammenfassung der Verlusthäufigkeits- und Verlusthöhenverteilung
4.2 Inputdaten
4.2.1 Verluste mit hoher Schadenshäufigkeit und geringer Schadenshöhe
4.2.2 Verluste mit niedriger Schadenshäufigkeit und großer Schadenshöhe
4.3 Datenquellen
4.3.1 Datenkonsortien
4.3.2 Öffentliche Datenquellen
4.4 Relevanz externer Daten

5 Zusammenfassung

Anhang
A1 Unfall in einer Filiale einer Sparkasse
A2 4,9 Millarden Euro weg – Einfach so
A3 Bernhard Madhoff, die große Lüger und die Gier
A4 OpRisk als Ursache von Verlusten im Kontext aller Risikoarten
A5 Wirkungskette zur Analyse operationeller Risiken
A6 Risikomanagement – Kreislauf im Detail
A7 Drei Säulen von Basel
A8 10 Grundsätze der Sound Practices
A9 Modularer Aufbau der MaRisk
A10 Regulatorische Geschäftsfelder
A11 Verlustereigniskategorien
A12 Qualitätskriterien für Verlustdatenbanken

Literaturverzeichnis

Kurzfassung

Ein Griff in die Kasse, Veruntreuung von Kundengeldern, falsche Sicherheitenverschlüsselung, unachtsame Erfassung von Wertpapieroders, Sabotage, Unfälle (siehe Abbildung 1 im Anhang, A1, S. 41), kriminelle Handlungen und Naturkatastrophen sind nur einige Beispiele für Risiken, die im täglichen Betriebsprozess einer Bank vorkommen können. Diese können die Geschäftsprozesse des Bankunternehmens wesentlich beeinträchtigen und vor allem zu monetären Schäden in erheblicher Höhe führen. Das kann unter Umständen sogar die Insolvenz des betroffenen Institutes auslösen, wie spektakuläre Beispiele aus der jüngsten Vergangenheit zeigen. (siehe Abbildung 2 und 3 im Anhang, A 2 und 3, S. 42 ff)

Wie solche Ereignisse in einer Bank eingeordnet werden, in welcher Form das Unternehmen solche Risiken qualifizieren und quantifizieren kann und welche Rolle die Erfahrungen anderer Institute bei der Absicherung vor Verlusten aus diesen Risiken spielt, soll in dieser Arbeit dargestellt werden.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Unfall in einer Filiale einer Sparkasse am 06.04.2010.

Abbildung 2: 4,9 Milliarden Euro weg - einfach so

Abbildung 3: Bernard M., die große Lüge und die Gier.

Abbildung 4: Systematisierung bankbetrieblicher Risken

Abbildung 5: OpRisk als Ursache von Verlusten im Kontext aller Risikoarten

Abbildung 6 Zusammenhang zwischen Risikoart, -kategorie und Einzelrisiken

Abbildung 7: Ursachen für operationelle Risiken..

Abbildung 8: Wirkungskette zur Analyse operationeller Risiken..

Abbildung 9: Risikomanagement – Kreislauf.

Abbildung 10: Risikomanagement – Kreislauf im Detail.

Abbildung 11: Bestandteile des OpRisk – Managements.

Abbildung 12: Dimensionen operationeller Risiken.

Abbildung 13: Überblick über die regulatorischen Anforderungen.

Abbildung 14: Drei Säulen von Basel II

Abbildung 15: Operational Risk Ansätze nach Basel II

Abbildung 16: Grundsätze der Sound Practices

Abbildung 17: Modularer Aufbau der MaRisk.

Abbildung 18: Regulatorische Geschäftsfelder

Abbildung 19: Verlustereigniskategorien.

Abbildung 20: Zusammenfassung der drei Messansätze..

Abbildung 21: Verteilung der Schadenhäufigkeit

Abbildung 22: Verteilung der Schadenhöhe.

Abbildung 23: Simulation des Gesamtschadens

Abbildung 24: Gesamtschadenverteilung.

Abbildung 25: Qualitätskriterien für Verlustdatenbanken

Abbildung 26: Bruttoschäden in Geschäftsfeld – Ereigniskategorie – Matrix.

Abbildung 27: Verteilungsfunktion des Gesamtschadens nach Integration externer Daten

1 Einleitung

Risiken begegnen uns im täglichen Leben in den verschiedensten Situationen. Jede Entscheidung und jedes Ereignis ist mit Vor- und Nachteilen verbunden. Besonders unternehmerisches Handeln birgt Risiken, welche Auswirkungen auf den Erfolg der Unternehmung haben. Deshalb versucht der Mensch eine bestmögliche Risikovorsorge zu treffen, um beim Eintritt eines Schadensfalls richtig reagieren zu können bzw. entsprechend abgesichert zu sein.

In der Bankindustrie werden bereits seit vielen Jahren Risiken für das Hauptbankgeschäft betrachtet, bewertet und dafür Sorge getragen, dass das Institut im Eintrittsfall ausreichend Mittel zur Verfügung stellen kann. Auch der Gesetzgeber hat deshalb weitreichende Anforderungen formuliert.

Die Risikoart „operationelle Risiken“ blieb, obwohl sie zu den ältesten Risiken der bankbetrieblichen Praxis gehört, bei den Betrachtungen lange Zeit regulatorisch unberücksichtigt. Oftmals reichte die Ertragssituation der Banken aus, um solche Risiken abzudecken. Erst gegen Ende des vergangenen Jahrtausends hat man die Tragweite möglicher operationeller Risiken im Bankbetrieb erkannt und begonnen sich damit regulatorisch und betriebswirtschaftlich auseinanderzusetzen. Bekräftigt wurden diese Überlegungen durch zahlreiche medial bekannt gewordene Ereignisse, welche bis zur Insolvenz einzelner Bankinstitute geführt haben.

Diese Arbeit soll im ersten Teil die Regelungen und Ansätze vorstellen, wie der Begriff des operationellen Risikos bankbetrieblich einzuordnen ist und wie das jeweilige Institut diese Risikoart in den Managementprozess integrieren kann. Dazu findet zunächst eine Begriffsdefinition statt und es wird erörtert, warum eine Abgrenzung zu den anderen Risikoarten notwendig ist. Im Folgenden werden die regulatorischen Anforderungen, zum Bespiel die des Basler Commitee on Banking Supervision, vorgestellt. Dabei liegt das Augenmerk auf den Möglichkeiten der Qualifizierung aber besonders auf denen der Quantifizierung dieser Risikoart.

Wie das Risikomanagement innerhalb eines Bankinstituts erfolgen kann, wurde in die deutsche Gesetzgebung übernommen bzw. für die nationalen Verhältnisse definiert. Der zweite Teil dieser Arbeit stellt die drei Ansätze zur Quantifizierung des operationellen Risikos gemäß der Solvabilitätsverordnung vor. Ausgehend vom einfachsten, für deutsche Institute verpflichtenden Ansatz soll dabei deutlich gemacht werden, dass nur durch die Anwendung des dritten Ansatzes eine risikoadäquate Steuerung im Bankunternehmen möglich ist. Des weiteren wird festgestellt, dass die Nutzung externer Schadensdaten für die erfolgreiche Quantifizierung operationeller Risiken vom Gesetzgeber gefordert wird, aber auch aus betriebswirtschaftlicher Betrachtung unabdingbar ist.

Im Dritten Kapitel wird eine Methode für einen fortgeschrittenen Messansatz vorgestellt und damit analysiert, welchen Einfluss externe Daten auf das Ergebnis des zu unterlegenden Vorsorgekapital für diese Risiken haben können. Im Anschluss wird aufgezeigt in welcher Form diese Daten integriert werden müssen.

2 Grundlagen operationeller Risiken

Der Begriff Risiko wird im allgemeinen Sprachgebrauch in den verschiedensten Variationen benutzt. Abgeleitet wird der Begriff vom italienischen Wort "risicare" für "wagen" oder "Wagnis". Er ist auch gleichzusetzen mit dem Wort "Gefahr" bzw. beschreibt die Möglichkeit, einen Verlust oder einen Misserfolg zu erleiden.^[1]

Auch in der wissenschaftlichen Literatur gibt es eine Vielzahl von Definitionen. In der Regel wird hier das Risiko in einem negativen Kontext gesehen mit dem Ziel, Fehlentscheidungen zu vermeiden. Dass ein Risiko auch positive Auswirkungen auf den Handelnden haben kann, findet dabei oft nur am Rande Würdigung.

Unternehmerisches Handeln, so auch in Institutionen der Kredit- und Bankwirtschaft, bedeutet permanent Entscheidungen zu treffen, deren Ziele und Auswirkungen in die Zukunft gerichtet sind. Das daraus resultierende zukünftige Risiko leitet sich deshalb aus dem zum Zeitpunkt der Entscheidungsfindung herrschenden Informationsstand ab. Dieses Risiko muss bereits zum Zeitpunkt einer wirtschaftlichen Entscheidung durch das Unternehmen entsprechend qualifiziert und quantifiziert werden. Nur so kann der Gefahr eines potenziellen Verlustes oder eines Versagens im Rahmen der für Banken und Kreditinstitute geltenden regulatorischen Richtlinien ökonomisch sinnvoll begegnet werden.

2.1 Definitionen des operationellen Risikos

Operationelle Risiken treten in allen Unternehmen auf und können jeden organisatorischen Bereich einer Unternehmung betreffen oder zumindest tangieren. In Finanzinstituten gehören sie, neben den klassischen Finanzrisiken wie das Kredit-, Marktpreis- und Liquiditätsrisiko, zu den wesentlichen Risikoarten.^[2]

In der Vergangenheit machten spektakuläre Verlustereignisse, die den operationellen Risiken zuzuordnen sind, nicht nur in den Medien Schlagzeilen. Im Jahr 2005 verursachte der im Corporate und Investment Banking - Bereich einer französischen Bank tätige Händler Jéróme K. einen immensen Verlust von 4,9 Milliarden Euro.^[3] Zu unerwarteten Schäden und Störungen können auch Naturkatastrophen beitragen, wie sich am Beispiel einer Ostsächsischen Sparkasse darstellen lässt, die 2002 unter den Folgen eines Hochwassers litt. Ebenso zur Kategorie der operationellen Risiken zählen Betrugsfälle, bei denen Bankangestellte „in die Kasse greifen“ oder unzureichende Sicherheitenverschlüsselung im Bereich der Kreditvergabe.

Solche, oft unvorhersehbaren Geschehnisse, können somit die Ertragslage eines Finanzinstitutes erheblich beeinträchtigen oder sogar dessen Fortbestehen gefährden.

Diese Ereignisse treten, so lange der Mensch versucht ökonomisch zu handeln, in den verschiedensten Ausprägungen auf. Jedoch ist dies erst in den vergangen zwei Dekaden, vor allem mit dem Beginn der betriebswirtschaftlichen Diskussion über die Basler Eigenkapitalvereinbarung, in das Bewusstsein der Kreditinstitute getreten. Auch das Basel Committee on Banking Supervision (Basler Ausschuss für Bankenaufsicht) konnte erst durch die Weiterentwicklung des Themas einen einheitlich definierten Umgang mit operationellen Risiken manifestieren. Erst 2003 konnte sich der Ausschuss auf eine ausformulierte Definition für diese Risikoart einigen, die von den meisten Instituten für den Umgang mit den Risiken übernommen wurde.^[4] Als Ergebnis dieser wissenschaftlichen aber auch der öffentlichen Diskussion wurde der Begriff wie folgt definiert:^[5]

"Das operationelle Risiko ist die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Mensch und Systemen oder von externen Ereignissen eintreten"

Das bedeutet, es besteht das Risiko, dass ein bestimmter Geschäftsprozess durch unvorhergesehene Ereignisse unterbrochen werden kann und somit der Bank ein Schaden entsteht. Wie bereits in den angeführten Beispielen veranschaulicht, kann das in Einzelfällen für das Institut Existenz bedrohende Ausmaße annehmen.

2.1.1 Abgrenzung zu anderen Risikoarten

Bevor der Basler Ausschuss für Bankenaufsicht seine Definition veröffentlichte, gab es selbstverständlich schon einige andere Darstellungsversuche. Die so genannte Negativ - Definition der Europäischen Kommission aus dem Jahr 1998 versuchte, die operationellen Risiken von den anderen Risikoarten der Finanzwirtschaft zu trennen.^[6] Hier wurde das operationelle Risiko als Residualgröße verstanden. Ausgehend vom Gesamtrisiko einer Bank wurden die Marktpreis-, Kredit-, Liquiditäts- und Rechtsrisiken eines Unternehmens voneinander subtrahiert. Das daraus resultierende Restrisiko wurde als operationelles Risiko verstanden. Diese indirekte Risikoermittlung birgt aber nach Expertenmeinung wesentliche Nachteile. Durch die direkte Abhängigkeit zu den anderen Risikoarten und durch die fehlende Trennschärfe der in den operationellen Risiken enthaltenen personellen, organisatorischen, technischen und externen Risikotreibern, ist eine differenzierte Qualifizierung und Quantifizierung nicht möglich.

Aus diesen Gründen, und nicht zuletzt auch, weil die Anforderungen nach Basel II vollumfänglich erfüllt sind, haben die meisten Kreditinstitute die Definition des Basler Ausschusses übernommen.^[7] Deshalb müssen zu Beginn die Definition die klassischen Risikoarten ins Bewusstsein gerufen werden.

Abbildung 4: Systematisierung bankbetrieblicher Risken^{[8] [9]}

2.1.1.1 Reputationsrisiko und strategisches Risik o

Laut Definition des Basler Ausschusses werden so genannten Reputations- und strategische Risiken explizit nicht bei der Erfassung des operationenellen Risikos berücksichtigt.^[10]

Das Reputationsrisiko umfasst im weitesten Sinne den Schaden, der durch die Abwertung des guten Rufes eines Kreditinstitutes entstehen kann. In diesem Zusammenhang muss berücksichtigt werden, dass das Reputationsrisiko zwar als direkte Folge einer anderen Risikoart auftreten kann aber aufsichtsrechtlich keine eigene Risikoart darstellt. Es wird deshalb als derivatives Risiko bezeichnet. Eine Missachtung des Reputationsrisikos kann jedoch aus ökonomischer Sicht direkt zur Verschlechterung der Gewinnmöglichkeiten eines Unternehmens führen und sollte deshalb auch bei der Erfassung operationeller Risiken nicht außer Acht gelassen werden. Die Allokation der Ursachen für dieses Risiko gestaltet sich in den meisten Fällen sehr schwierig. Wie genau das Reputationsrisiko bestimmt werden soll, ist daher eine Frage der Wirtschaftlichkeit.

Ebenfalls im Bezug auf operationelle Risiken abzugrenzen sind die strategischen Risiken, auch Geschäftsrisiken genannt. Bei der Risikobewertung nach Basel II werden diese allerdings nicht berücksichtigt.^[11] Ein strategisches Risiko hängt von den langfristigen Entscheidungen der Geschäftsführung ab und kommt bei nachteiligen Entwicklungen der wirtschaftlichen, politischen und rechtlichen Lage zum Tragen. Beispiele hierfür sind die Schäden, die durch krisenhafte Konjunkturentwicklungen im Zuge der Finanzmarktkrise in der jüngsten Vergangenheit entstanden sind.

2.1.1.2 Marktpreisrisik o

Das Marktpreisrisiko (oder Marktrisiko) bezeichnet die Gefahr von Verlusten, die sich aus Veränderungen des Marktpreises bestimmter Handelsobjekte ergeben. Dazu zählen bei Banken das Aktien-, Währungs- und Kreditkursrisiko und allen voran das bedeutendste, nämlich das Zinsänderungsrisiko. Diese Risiken gehören zu den Primärrisiken eines Kreditinstitutes.^[12]

Operationelle Risiken sind in der aufsichtsrechtlichen Definition in bestimmte Kategorien einzuordnen, die in den folgenden Kapiteln spezifiziert werden. Deshalb sind hier Überschneidungen zwischen den Risikoarten nicht denkbar. Dennoch gibt es bei der Identifizierung eines Risikos Grauzonen, die die Unterscheidung erschweren. Ein Beispiel dafür sind grundsätzliche Bewertungsfehler bei Handelstransaktionen. Treten diese erstmalig oder sporadisch auf, werden sie als Marktpreisrisiko identifiziert. Erst wenn bei diesen Fehlern eine Systematik erkannt wird, können die entstandenen Verluste in die Klasse der operationellen Risiken eingeordnet werden. Für eine eindeutige Abgrenzung ist deshalb das Vorliegen ausreichender Fakten notwendig.^[13]

2.1.1.3 Adressrisik o

Zu den Adressrisiken im Bankgeschäft zählen das (Kredit)Ausfallrisiko und das Bonitätsrisiko.

Das (Kredit)Ausfallrisiko stellt ein bedeutendes Erfolgsrisiko dar. Es beschreibt, dass ein Schuldner innerhalb einer Risikoperiode seinen Zahlungsverpflichtungen nur teilweise oder nicht mehr nachkommen kann und somit das Engagement in der Folge komplett ausfällt.^[14] Dem gegenüber ist das Bonitätsrisiko weiter gefasst. Dieses bezieht sich nicht direkt auf den Ausfall von Krediten oder anderen Risikopositionen, sondern beschreibt die Gefahr einer Verschlechterung der Kreditwürdigkeit. In Folge dessen muss die Bank eine Anpassung im Rating der Risikoposition innerhalb der verwendeten Solvenzklassen durchführen. Im Gegensatz zum Ausfall eines Engagements, bei dem zur Quantifizierung lediglich eine Wahrscheinlichkeitszahl herangezogen wird, müssen bei Bonitätsveränderungen so genannte Wahrscheinlichkeitsvektoren eingesetzt werden. Mit diesen lassen sich dann Wanderungsbewegungen innerhalb der Solvenzklassen beschreiben.^[15] Grundsätzlich lassen sich Adressrisiken in Kredit-, Struktur-, Länder-, und Kontrahentenrisiken aufteilen. Auch hier besteht die Problematik der differenzierten Abgrenzung zu den operationellen Risiken. Insbesondere wenn ex post Betrugsereignisse, interne Bearbeitungsfehler oder Schwierigkeiten in den internen Prozessabläufen die tatsächlichen Ursachen für Kreditausfälle darstellen.^[16]

2.1.1.4 Liquiditätsrisik o

Das Liquiditätsrisiko beschreibt die Gefahr, dass ein Kreditinstitut seine fälligen Zahlungsverpflichtungen nicht mehr erfüllen kann. Die Ursache hierfür ist primär auf Refinanzierungsrisiken zurück zu führen. Im Rahmen der Fristentransformation werden langfristig ausgegebene Kredite kurzfristig refinanziert, was die Gefahr birgt, dass eine entsprechende Anschlussfinanzierung nicht mehr möglich ist. Die Bank kann dann ihren kurzfristigen Zahlungsverpflichtungen nicht nachkommen und wird illiquide. Auch in diesem Bereich sind Prozess- und Systemfehler oder menschliche Fehlentscheidungen denkbar, die bei genauer Betrachtung den operationellen Risiken zuzuordnen sind.

2.2 Kategorisierungen operationeller Risiken

Nach der Abgrenzung zu den anderen wesentlichen Risikoarten wird im folgenden Abschnitt näher auf die einzelnen Kategorien der operationellen Risiken eingegangen.

Weder in der Literatur noch in der betriebswirtschaftlichen Praxis gibt es einheitliche Systematisierungen für den Begriff des operationellen Risikos.^[17] Deshalb wird hier lediglich die begriffliche Abgrenzung des Basler Ausschusses für Bankenaufsicht und dessen Gruppierungen erläutert. Eine sinnvolle Kategorisierung sollte das operationelle Risiko vollumfänglich erfassen und gleichzeitig eine trennscharfe Abgrenzung zu den anderen erläuterten Risikoarten ermöglichen.^[18] Nur so kann erreicht werden, dass verschiedene Risiken überlappungsfrei festgehalten werden und damit keine Korrelationen zu den anderen Risikoarten auftreten.

Grundsätzlich sei gesagt, dass operationelle Risiken in allen Bereichen eines Betriebes auftreten aber auch durch externe Einflüsse in das Unternehmen eingebracht werden können. Intern führen Entscheidungen von Personen wie auch die verschiedenen Systeme und Prozesse zu Fehlern, können aber unter Umständen durch das Unternehmen beeinflusst werden. Dem gegenüber sind externe Einflüsse nicht vorhersehbar und können in den vielfältigsten Ausprägungen auftreten. Sie sind deshalb schwer kalkulierbar. Es wurden aus diesem Grund Gruppierungen gewählt, die die einzelnen Erscheinungsformen dieser Risikoart nach ihrer Ursache bzw. der Entstehung kategorisieren. Damit sind systematische Identifikationsprozesse, Analysen und auch Zuweisung der Verantwortlichkeiten gewährleistet. Nach der Definition des Basler Ausschusses für Bankenaufsicht lassen sich vier Risikokategorien ableiten:^[19]

- Personenrisiken
- Prozessrisiken
- Systemrisiken
- externe Risiken

Eine genaue Beschreibung erfolgt in den folgenden Erläuterungen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Zusammenhang zwischen Risikoart, -kategorie und Einzelrisken^[20]

In Dienstleistungsbetrieben, zu denen auch Kreditinstitute zählen, muss dem Personenrisiko eine außerordentliche Bedeutung zugesprochen werden. Das Verhalten der Mitarbeiter ist in dieser personalintensiven Branche ein ausschlaggebender Faktor. Trotz der Unterstützung durch IT - Systeme trifft in letzter Instanz immer der Mensch die Entscheidungen.^[21] Zusätzlich verschärft wird dieses Risiko durch die wachsende Vernetzung der Märkte. Der daraus resultierende steigende Wettbewerbsdruck, das Aufkommen immer neuer Produkte und die ständige Anpassung der gesetzlichen, technologischen und organisatorischen Rahmenbedingungen erhöhen die Gefahr, eine Fehlentscheidung zu treffen. Weiteres Schadenspotenzial birgt Fahrlässigkeit, Unwissenheit oder sogar kriminelles Handeln eines Mitarbeiters oder eines Dritten, bspw. eines Kunden. Durch Festlegung von Prozessabläufen, schriftliche Erstellung von Arbeitsanweisungen oder Checklisten sowie durch die Implementierung von Kontrollsystemen lassen sich operationelle Risiken verringern oder sogar ausschließen. Zusätzlich können auch Mitarbeiterfluktuation, Mobbing, hohe Krankenstände oder eine Konzentration von Fachwissen auf einzelne Mitarbeiter Risiken für ein Unternehmen bedeuten.

Die Kategorie Prozesse beschreibt das Risiko der Ineffizienz oder des Scheiterns bei der Durchführung von Arbeitsabläufen. Vor allem durch den steigenden Wettbewerbsdruck und der dadurch notwendig gewordenen Verkürzung der Prozesszeiten, um Produktivitätssteigerungen zu erreichen, entstehen durch unzureichende Kontrollmechanismen, mangelnde Sicherheit oder Routine innerhalb der Prozesse wesentliche Risikopotenziale. Diese können im Nachhinein zu erheblichen unerwarteten Verlusten führen.^[22] Beispiele hierfür sind Projektrisiken, Reporting-, Transaktions- und Abwicklungsfehler. Wie auch bei den Personenrisiken werden hier zur Einschränkung der Gefahrenpotenziale ebenfalls Prozessabläufe festgelegt, Arbeitsabläufe schriftlich erfasst sowie Kontrollsysteme implementiert. Diese Eindämmung wird jedoch durch Überschneidungen mit den Risikoarten Mensch und Technologie erschwert.

Auch die Risikokategorie Systeme ist im Banken- und Sparkassensektor von Bedeutung. Die Finanzinstitute sind im wesentlichen Maße von leistungsfähigen und ausfallsicheren IT - Systemen abhängig. Jeder Systemausfall oder -fehler kann mit weit reichenden Auswirkungen verbunden sein. Ein Risiko im IT-Bereich sind Hardwarefehler, die durch Ausweichrechenzentren, redundante Datenhaltung u.v.m. eingedämmt werden können. Zum anderen stellen Softwarefehler bzw. falsche Programmierungen ein Risiko dar. Dieses lässt sich durch den Einsatz von Standardsoftware reduzieren. Außerdem setzen die Institute weit reichende IT - Sicherheitsprojekte um, damit die technologischen Risiken spezifiziert werden können.

Neben den angesprochenen internen Gefahren können unvorhersehbare externe Ereignisse Auslöser für operationelle Risiken sein. Naturkatastrophen, wie Erdbeben oder Hochwasser, Unfälle, Attentate, Sabotage aber auch ein einfacher Stromausfall oder ein Brand gehören zu den Schadensszenarien von denen ein Unternehmen betroffen sein kann.

Die Eintrittswahrscheinlichkeit solcher Szenarien ist in den meisten Fällen zwar als gering einzuschätzen, aber das Ausmaß dieser Schäden kann so extrem sein, dass als Folge die Betriebsabläufe, ja sogar das ganze Unternehmen, zusammenbrechen können.^[23] Schutz vor den finanziellen Schäden, die in Folge eines der o. g. Ereignisse eintreten können ist zumindest teilweise durch den Abschluss von Versicherungen geboten. Auch im Zusammenhang mit dem Systemrisiko bestehen Schnittstellen zu den anderen Risikoarten. Ein Feuer oder Stromausfall beispielsweise kann unter Umständen auf mangelnde Vorkehrungen bzw. Präventionsmaßnahmen in dieser Risikokategorie zurückgeführt werden.

2.3 Ursachen operationeller Risiken

Die reine Kategorisierung ist natürlich nur von statischem Charakter. Oft ist ein Schadensereignis auf eine Vielzahl von Faktoren zurückzuführen. D.h. Schäden entstehen durch ein Zusammenspiel diverser Ursachen, die wiederum zu den verschiedenen beschriebenen Kategorien zählen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Ursachen für operationelle Risiken^[24]

Der Fall Nick L. führte in der Mitte der Neunziger Jahre durch enorme Spekulationsverluste zum Zusammenbruch einer renommierten britischen Bank.^[25] Am Fall Bernhard M., dem ehemaligen Vorsitzenden der amerikanischen Technologiebörse, wird deutlich, dass auch bei Betrugsfällen aus der jüngsten Vergangenheit^[26] erst nach eingehender Analyse die Ereignisse in ihrer Gänze qualifiziert und erst noch viel später quantifiziert und damit einer Kategorie zugeordnet werden können. Deshalb muss die hauseigene Risikosteuerung mit der Ursachenforschung so früh wie möglich beginnen, um sich dann mit dem Ergebnis selbst und den daraus resultierenden Folgen zu beschäftigen (siehe Abbildung 8 im Anhang, A5, S. 52).^[27]

Da es, wie bereits erwähnt, in der Praxis oft zu einer Verkettung verschiedener Umstände kommt, gestaltet sich die Trennung zwischen Ursache, Ereignis und Wirkung natürlich sehr schwierig. Aus diesem Grund ist ein in den Betrieb gut implementiertes Management operationeller Risiken nicht nur aufsichtsrechtlich geboten sondern sollte von den Verantwortlichen des Unternehmens als betriebswirtschaftliche Notwendigkeit betrachtet werden. Damit beschäftigt sich das folgende Kapitel.

2.4 Management operationeller Risiken

Um operationelle Risiken vor ihrer Entstehung zu erkennen, ist die Einbindung eines entsprechenden Risikomanagements in die Gesamtrisikosteuerung unabdingbar. Ziel dabei sollte es sein, Verluste in Abhängigkeit gesteuerter Kosten - Nutzen - Relation zu reduzieren bzw. zu vermeiden und dadurch einen betriebswirtschaftlichen Nutzen für das Unternehmen zu generieren.^[28] Grundsätzlich basiert das Management operationeller Risiken strukturell auf den gleichen Punkten wie das für die Markt- oder Kreditrisiken. Jedoch darf die Steuerung nicht nur auf bestimmte organisatorische Einheiten konzentriert werden, weil operationelle Risiken in jedem Unternehmensbereich auftreten.^[29]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Risikomanagement - Kreislauf^[30]

In Abhängigkeit von der hauseigenen Risikostrategie oder -kultur muss das Unternehmen die gleichen Phasen des Risikomanagementprozesses (Management - Regelkreis) durchlaufen. Der Kreislauf beginnt mit der Risikoidentifikation. Aus dieser resultiert eine ausführliche Analyse und Bewertung des Risikos, der die eigentliche Steuerung und das Reporting der Risikolage folgt. Der Kreislauf wird mit einer eingehenden Kontrolle geschlossen. Zur Veranschaulichung ist eine detaillierte Darstellung des Risikomanagement - Kreislaufes als Abbildung im Anhang beigefügt (siehe Abbildung 10 im Anhang, A6, S. 53).

Im Vergleich zu den abgegrenzten Risikoarten sind die Konzepte und Methoden für das Management operationeller Risiken noch nicht so weit entwickelt. Dies liegt zum einen am universellen Charakter dieser Risikoart und zum anderen an der schwierigen Datengrundlage, die für die Entwicklung von methodischen Konzepten essentiell ist.^[31] Besonders bei dieser Risikoart sind hierfür bestimmte Voraussetzungen zu schaffen. Grundlage ist deshalb ein „Operational Risk Framework“ (ORF). Aufbauend auf diesen organisatorischen Richtlinien können dann Identifikations-, Bewertungs-, Überwachungs-, Reporting- und Steuerungsprozesse implementiert werden. Ebenso Grundvoraussetzung ist eine genaue Definition der Verantwortlichkeiten und Aufgabenabgrenzung innerhalb des gesamten Management - Kreislaufes. Andernfalls besteht latent die Gefahr einer mangelnden Überwachung, fehlender Koordination in Krisensituationen und eine zu hohen Ressourcenbindung bei Abstimmungsprozessen.^[32]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 11: Bestandteile des OpRisk - Managements^[33]

Zuletzt muss noch die Datenproblematik erörtert werden. Eine Verlustdatensammlung bildet die Basis für die Berechnung und Steuerung des Risikodeckungskapitals und ist auch für die Identifikation potenzieller Verluste notwendig. Hier werden alle wesentlichen Schadensfälle dokumentiert. Ein weiterer Teil der Verlustdatenintegration stellt das „Risk (Self) Assessment“ (RSA) dar. Die Daten von möglich eintretenden Verlustereignissen werden durch die verschiedenen Organisationseinheiten eruiert, bewertet und müssen in die Berechnung des Risikodeckungskapitals eingebunden werden. Sie bilden aber auch eine für das Unternehmen wesentliche Möglichkeit zur Risikofrüherkennung und damit die Chance, bereits vor Eintritt eines Verlustes, die Prozesse und Kontrollsysteme zu optimieren.

Die aktuelle Herausforderung für die Kreditinstitute liegt nunmehr darin, die Methoden und Prozesse für das Management operationeller Risiken in die unternehmensweiten Risiko-steuerungsinitiativen zu integrieren. Nur dann kann die Wirkung auf Basis der gewonnenen Informationen aus den Identifikation- und Bewertungsverfahren nicht nur im Bezug auf die regulatorischen Anforderungen erzielt werden, sondern auch die ökonomische Situation des Unternehmens beeinflussen. Zu diesen Auswirkungen gehören die eventuelle Reduzierung der Eigenkapitalquote, die fortschreitende Vernetzung bestehender Risikosteuerungsinitiativen und eine qualifiziertere Informationsbereitstellung für operative und strategische Entscheidungen.^[34]

[...]

---

^[1] Vgl. Duden (2000).

^[2] Vgl. Kaiser, Kasprowitz (2009), S.30.

^[3] Vgl. Buchmüller (Hrsg.) (2009), S. 38.

^[4] Vgl. Basel Committe on Banking Supervision (2003b), S.2.

^[5] Vgl. Wiedemann, Minz, Niemayer (2003), S. 17.

^[6] Vgl. Wiedemann, Minz, Niemayer (2003), S. 17 f.

^[7] Vgl. Buchmüller (Hrsg.) (2009), S. 55.

^[8] Eigene Darstellung.

^[9] Vgl. Abildung 5:OpRisk als Ursache von Verlusten im Kontext aller Risikoarten, siehe Anhang, A4, S. 51.

^[10] Vgl. Basel Committe on Banking Supervision (2003b), S. 120.

^[11] Vgl. Buchmüller (Hrsg.) (2009), S. 56.

^[12] Vgl. Rolfes (2008), S. 305.

^[13] Vgl. Buchmüller (Hrsg.) (2009), S. 58.

^[14] Vgl. Rolfes (2008), S. 10.

^[15] Vgl. Rolfes (2008), S. 11.

^[16] Vgl. Buchmüller (Hrsg.) (2009), S. 58.

^[17] Vgl. Wiedemann, Minz, Niemayer (2003), S. 19.

^[18] Vgl. Wiedemann, Minz, Niemayer (2003), S. 20.

^[19] Vgl. Wiedemann, Minz, Niemayer (2003), S. 21.

^[20] Übernommen aus Wiedemann, Minz, Niemayer (2003), S. 21.

^[21] Vgl. Wiedemann, Minz, Niemayer (2003), S. 23.

^[22] Vgl. Wiedemann, Minz, Niemayer (2003), S. 24.

^[23] Vgl. Wiedemann, Minz, Niemayer (2003), S. 23.

^[24] Mit Änderungen Übernommen aus Wiedemann (2003), S. 10.

^[25] Vgl. Auer (2008), S. 25.

^[26] Vgl. Buchmüller (Hrsg.) (2009), S. 47.

^[27] Vgl. Auer (2008), S. 25.

^[28] Vgl. Auer (2008), S. 28.

^[29] Vgl. Wiedemann, Minz, Niemayer (2003), S. 31.

^[30] Mit Änderungen übernommen aus Wiedemann, Minz, Niemayer (2003), S. 31.

^[31] Vgl. Auer (2008), S. 31.

^[32] Vgl. Kaiser, Kasprowitz (2009), S.31.

^[33] Übernommen aus Auer (2008), S. 32.

^[34] Vgl. Kaiser, Kasprowitz (2009), S.33.