Operationelle Risiken in Banken

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

SymbolverzeichnisVI

1. Einleitung
1.1 Problemstellung
1.2 Ziel der Arbeit
1.3 Gang der Untersuchung

2. Begriffliche Grundlagen von Risiko
2.1 Betrachtungsweisen von Risiko
2.2 Risiko als Abweichung von einer Erwartung
2.3 Risiko als negative Abweichung

3. Kategorisierung von Risiken in Banken
3.1 Marktrisiken
3.2 Kreditrisiken
3.3 Operationelle Risiken
3.3.1 Interne Risiken
3.3.1.1 Personalrisiken
3.3.1.2 Prozess- und Strukturrisiken
3.3.1.3 System- und Technologierisiken
3.3.2 Externe Risiken

4. Verfahren zur Identifikation operationeller Risiken
4.1 Risikoinventur
4.2 Schadensfalldatenbanken
4.3 Simulationsansätze
4.4 Frühwarnsysteme

5. Quantifizierungsmethoden für operationelles Risiko
5.1 Top-Down Verfahren
5.1.1 Der Basisindikatoransatz
5.1.1.1 Identifikation und Messung des Risikos
5.1.1.2 Kritische Würdigung des BIA
5.1.2 Der Standardansatz
5.1.2.1 Identifikation und Messung des Risikos
5.1.2.2 Kritische Würdigung des STA
5.2 Bottom-Up
5.2.1 Operational Value-at-Risk
5.2.1.1 Begrifflichkeit des Value-at-Risk ,
5.2.1.2 Datenbasis des OpVaR
5.2.1.3 Modellierung der Verteilungen
5.2.1.4 Erstellung der Gesamtverlustverteilung
5.2.1.5 Berechnung des OpVaR
5.2.1.6 Identifikation und Messung des Risikos
5.2.1.7 Kritische Würdigung des OpVaR
5.2.2 Conditional Operational Value-at-Risk
5.2.2.1 Formale Darstellung des COVaR
5.2.2.2 Modellierung des Maximalschadens
5.2.2.3 Kritische Würdigung des COVaR

6. Schlussbetrachtung und Ausblick

Anhang 1: Der Fall Barings Brothers & Co. Ltd (1995)

Anhang 2: Results from the 2008 Loss Data Collection Exercise for Operational Risk

Anhang 3: Bericht über die Industrieaktion AMA operationelles Risiko

Anhang 4: Quantifizierung operationeller Risiken

Anhang 5: The Correlation Problem in Operational Risk

Literaturverzeichnis

Verzeichnis verwendeter Gesetzestexte

Abbildungsverzeichnis

Abbildung 1: Risikobetrachtungsweisen

Abbildung 2: Bankrisiken

Abbildung 3: Ursachen operationeller Risiken

Abbildung 4: Szenariotrichter

Abbildung 5: -Faktoren in Abhängigkeit des Geschäftsfeldes

Abbildung 6: Häufigkeitsverteilung

Abbildung 7: Verlusthöhenverteilung

Abbildung 8: Quantilstransformation

Abbildung 9: Gesamtverlustverteilung

Abbildung 10: Mögliche Randverteilung des OpVaR

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Risiken einzugehen ist das Tagesgeschäft von Kreditinstituten. Sie werden ganz bewusst mit dem Ziel der Gewinngenerierung eingegangen. Der ökonomische Erfolg der Unternehmung Bank^[1] hängt hierbei entscheidend von der Fähigkeit des Instituts ab, Risiken richtig und vollständig zu erfassen, sie messbar zu machen, um aus dieser Messung eine möglichst genaue Beurteilung der vorliegenden Situation zu erlangen. Anhand dieser Beurteilung muss entschieden werden, ob respektive in welchem Umfang eine Risikoübernahme für das Institut leistbar ist. Ist eine Übernahme von Risiken für neue Projekte möglich beziehungsweise bereits anhand von Zusagen erfolgt, ist die wichtigste Aufgabe der Bank, eine adäquate Risikovorsorge zu treffen. Für Kredit^[2] - und Marktpreisrisiken^[3] ist diese Vorsorge selbstverständlich und schon lange gängige Praxis^[4]. Die angewendeten Verfahren sind in diesem Bereich sehr detailliert ausgearbeitet und es besteht weitestgehend Einigkeit über grundsätzliche Fragen der Definition, Abgrenzung und Quantifizierung. Dennoch findet eine stetige Weiterentwicklung dieser Methoden statt. Im Gegensatz dazu sind die Quantifizierungsverfahren für operationelle Risiken deutlich weniger weit entwickelt, obwohl Kreditinstitute sich diesen in zunehmendem Ausmaß ausgesetzt sehen. Nicht nur aufgrund von aufsichtsrechtlichen Anforderungen rücken sie in den letzten Jahren in den Focus der Betrachtung; auch ökonomische Gesichtspunkte sind in zunehmendem Maß ausschlaggebend^[5].

1.1 Problemstellung

Die Erfassung, Messung und Bewertung von operationellen Risiken gestaltet sich gegenüber Markt- und Kreditrisiken deutlich komplexer und schwieriger. Der Grund hierfür liegt im Wesentlichen in ihrer Beschaffenheit. Äußere Einflüsse, kriminelle Handlungen oder Kompetenzüberschreitungen des eigenen Personals sind nicht selten der Grund für erhebliche Verluste^[6]. Hier kann beispielsweise auf den ehemaligen Wertpapierhändler der Société Générale Jerome Kerviel verwiesen werden, welcher Firmengelder in Höhe von 4,9 Milliarden Euro verspekulierte. Auch der Zusammenbruch der Barings Bank im Jahre 1995, welche aufgrund von Fehlspekulationen des Händlers Nick Leeson rund 619 Millionen Britische Pfund verlor und insolvent wurde, kann als Beispiel für operationelle Verluste angeführt werden^[7].

Die Probleme, denen sich Kreditinstitute bei operationellen Risiken auch vor dem Hintergrund der neuen Eigenkapitalvorschriften des Baseler Ausschusses ausgesetzt sehen, sind vielschichtig. Für sie bestehen hinsichtlich dieser Risiken Identifikations-, Steuerungs-, Management- und auch Bewertungsprobleme. Insbesondere ist hier aber die abschließende Bewertung des Risikos wichtig. Anhand dieser Bewertung müssen Art und Umfang der Sicherheitsvorkehrungen festgelegt werden, um das Kreditinstitut vor möglicherweise existenzbedrohenden Verlusten zu bewahren.

1.2 Ziel der Arbeit

Ziel dieser Arbeit ist zunächst deskriptiv aufzuzeigen, wie die vom Baseler Ausschuss vorgegebenen bzw. bezüglich ihrer qualitativen Anforderungen skizzierten Messmethoden operationelles Risiko identifizieren und messen. Darauf aufbauend soll konzeptionell und kritisch hinterfragt werden, ob die beschrittenen Wege der Identifikation und Messung zum einen bezüglich des Risikoverständnisses, das sie implizieren, sinnvoll sind und zum anderen, ob aus dieser Messung eine adäquate Risikovorsorge und somit auch eine dem Risiko entsprechende aufsichtsrechtliche Abbildung hergeleitet werden kann. Ebenfalls soll aufgezeigt werden, ob und gegebenenfalls wie Banken ihre Eigenkapitalunterlegung von operationellen Risiken beeinflussen können, um abschließend zu bewerten, ob hierdurch allein aufgrund der entstehen können.

1.3 Gang der Untersuchung

Ausgehend von dem Gesamtterminus „operationelle Risiken“, der diese Arbeit prägt, wird zunächst im folgenden zweiten Abschnitt der Begriff „Risiko“ näher untersucht. Es wird aufgezeigt, welche Betrachtungsweisen für Risiko möglich sind und wie diese sich voneinander abgrenzen lassen. Ferner wird erläutert, welche Wahrnehmung von Risiko im Bankbetrieb sinnvoll ist und welches Verständnis von Risiko daher die Basis für eine Risikomessung bilden sollte.

Im dritten Abschnitt werden operationelle Risiken näher beleuchtet und in eine Systematik bankbetrieblicher Risiken eingebettet. Ziel ist es aufzuzeigen, wie operationelle Risiken abgegrenzt und definiert werden. Aufgrund der Schwerpunktsetzung auf der aufsichtsrechtlichen Abbildung von Risiken basiert die Kategorisierung auf den Eigenkapitalrichtlinien des Baseler Ausschuss für Bankenaufsicht.

Wie eine Identifikation von operationellen Risiken als Grundlage für eine Messung erfolgen kann, wird im vierten Abschnitt thematisiert, indem vier verschiedene Verfahren vorgestellt werden, die eine Identifikation von operationellen Risiken in Unternehmen ermöglichen. Anschließend werden im fünften Abschnitt Quantifizierungsmethoden für operationelles Risiko kritisch untersucht. Hierbei wird grundlegend in zwei unterschiedliche Arten von Risikomessverfahren unterschieden, wobei die Detailtiefe der Messung bei diesen konkurrierenden Verfahren als Abgrenzung dient. Grundlage für die erfolgte Auswahl der Quantifizierungsverfahren bildet ebenfalls der Baseler Ausschuss, welcher mögliche Verfahren anbietet beziehungsweise qualitative Anforderungen an bankspezifisch modellierte Verfahren stellt.

2. Begriffliche Grundlagen von Risiko

Bevor „operationelle Risiken“ im Laufe dieser Arbeit detailliert erörtert und beschrieben werden, ist es sinnvoll und notwendig, den Begriff „Risiko“^[8] losgelöst vom Gesamtterminus genauer zu beleuchten^[9]. Im Anschluss an diese Risikobetrachtung erscheint es für den weiteren Gang der Untersuchung zweckmäßig, herauszuarbeiten, was in Kreditinstituten als Risiko wahrgenommen wird und in welche Komponenten sich Risiko zerlegen lässt.

2.1 Betrachtungsweisen von Risiko

In der Betriebswirtschaftslehre ist der Begriff des Risikos nicht eindeutig definiert. Er wird in verschiedenen Disziplinen der Forschung oftmals mit unterschiedlichen Bedeutungsinhalten gefüllt und variiert daher je nach Fragestellung^[10]. Nach Ansicht des Autors kann beim Risikobegriff im Wesentlichen zwischen zwei verschiedene Betrachtungsweisen - wie dies Abbildung 1 verdeutlicht - differenziert werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Risikobetrachtungsweisen (Quelle: Eigene Darstellung)

Risiko - in Form von Unsicherheit über zukünftige Ereignisse - lässt sich in eine ex-ante und eine ex-post Betrachtungsweise gliedern, wobei der Zeitpunkt der Entscheidung das Kriterium zur Abgrenzung darstellt^[11]. Ex-ante, also im Vorfeld einer Entscheidungssituation, lässt sich Unsicherheit noch weiter in Ungewissheits- und Risikosituationen untergliedern^[12]. Ungewissheit besteht demnach, wenn die verschiedenen möglichen Umweltzustände sowie deren Eintrittswahrscheinlichkeiten durch hohen Informationsmangel gekennzeichnet sind^[13]. Bei Risikosituationen hingegen können Eintrittswahrscheinlichkeiten, seien sie subjektiv, objektiv^[14] oder empirisch belegt, für verschiedene, bereits eindeutig festgelegte Umweltzustände, angenommen werden^[15]. Diese ex-ante Sichtweise von Risiko ist in der Literatur auch als „ursachenbezogene Betrachtungsweise“ bekannt^[16].

Nachdem eine Entscheidung gefallen ist, besteht in einer ex-post Betrachtungsweise die Möglichkeit, dass sich die Erwartungen eines Entscheidungsträgers nicht erfüllen, respektive sich die finanzielle Position entgegen den Erwartungen verändert. Hierbei umfasst die „Entscheidung“ alles, was das Subjekt in die nun vorherrschende Situation gebracht hat. Denkbar wäre hier beispielsweise die Entscheidung für eine Investition, die Unterlassensalternative, ein Wertpapierportefeuille oder auch die Eröffnung eines neuen Geschäftsfeldes in einem Unternehmen. Erkennbar wird somit die Wahrnehmung von Risiko als mögliche Abweichung von einer Erwartung. Dieses Verständnis ist in der Literatur auch als ergebnisorientierter oder wirkungsbezogener Ansatz bekannt^[17]. Aufgrund dessen, dass operationelle Risiken selten mit bewussten Entscheidungen einhergehen, respektive eindeutig abgeschätzt werden können, wird die ex-ante Betrachtung im Folgenden ausgeklammert. Die ex-post Sichtweise des Risikos als mögliche Abweichung von einer Erwartung wird daher - aufgrund ihrer Relevanz für die Messung von operationellen Risiken - im folgenden Abschnitt näher erläutert.

2.2 Risiko als Abweichung von einer Erwartung

Risiko als die Möglichkeit einer Abweichung von einem erwarteten Wert zu qualifizieren, ist in der betriebswirtschaftlichen Forschung weit verbreitet^[18] und wird oftmals auch als „Risiko im weiteren Sinne“ bezeichnet.^[19] Grundsätzlich wird allerdings eine positive Abweichung (Upside Risk) nicht als Risiko, sondern vielmehr als Chance erachtet^[20]. Die Möglichkeit einer sich ergebenden Chance - in Form von über den Erwartungen liegenden Erträgen beziehungsweise geringeren Verlusten - ist für die in dieser Arbeit diskutierte Thematik und die sich daraus ergebende Problematik der Risikobetrachtung nicht relevant und wird daher auch nicht weiter verfolgt. Eine negative Abweichung von einer Zielgröße (Downside Risk) kann hingegen je nach Ausmaß der Abweichung gravierende Folgen nach sich ziehen. Aus diesem Grund liegt der Focus in der nun folgenden Risikobetrachtung - was auch mit dem intuitiven Verständnis von Risiko kongruent ist - auf einer negativen Abweichung von einem vorher festgelegten Referenzwert^[21]. Dies wird auch als „Risiko im engeren Sinne“ bezeichnet^[22].

2.3 Risiko als negative Abweichung

Aufgrund dessen, dass Risiken in Banken thematisiert werden, erscheint es sinnvoll, die negative Abweichung von einem Referenzwert in eine erwartete sowie unerwartete Komponente aufzuteilen. Dies lässt sich damit begründen, dass Banken aufgrund ihrer Tätigkeit breit diversifizierte Risiken besitzen und nicht davon ausgehen, dass keine Verluste auftreten. Vielmehr antizipieren sie in ihren Portefeuilles Verluste, die aufgrund von Marktschwankungen oder auch Kreditausfällen entstehen. Oftmals basieren Erwartungswerte auf historischen Daten, welche anhand einer Extrapolation in die Zukunft fortgeschrieben werden. Diesen antizipierten Teil der Verluste nennt man auch materielles Risiko^[23]. Es stellt daher aufgrund der Erwartungshaltung des Instituts auch in letzter Konsequenz kein Risiko mehr dar^[24]. Diese erwarteten Verluste sind üblicherweise bereits in den Standardrisikokosten des Instituts enthalten. Risiko im eigentlichen Sinne besteht somit für Banken erst, wenn die negative Abweichung das materielle Risiko übersteigt. Diese unerwartete Komponente wird auch als formales Risiko bezeichnet^[25]. Problematisch erscheint die Bestimmung des formalen Risikos jedoch für operationelle Risiken, da diese nicht unmittelbar an bestimmte Geschäfte gebunden sind und somit eine Erwartungshaltung erschweren. Welche Möglichkeiten der Risikomessung den Kreditinstituten trotz aller Schwierigkeiten zur Verfügung stehen, wird im fünften Kapitel dieser Arbeit beleuchtet. Als Grundlage hierfür soll zunächst eine Darstellung von Bankrisiken dienen, die insbesondere auf eine Abgrenzung und Kategorisierung von operationellen Risiken abzielt.

3. Kategorisierung von Risiken in Banken

Im Folgenden werden Risiken, welche für Kreditinstitute bestehen, näher beschrieben und erläutert. Insbesondere wird hierbei auf die Kategorisierung des Basler Ausschusses für Bankenaufsicht abgezielt, die in den Eigenkapitalrichtlinien aus dem Jahr 2004 vorgenommen wurde. Diese Richtlinien haben die „Stärkung der Solidität und Stabilität des internationalen Bankensystems“^[26] zum Ziel und wurden durch die Solvabilitätsverordnung^[27] in deutsches Recht implementiert. Die nachfolgende Abbildung 2 verdeutlicht die durch den Baseler Ausschuss vorgenommene Kategorisierung von Bankrisiken^[28]:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Bankrisiken

(Quelle: Eigene Darstellung)

Die Beschränkung des Gesamtbankrisikos auf lediglich Markt-, Kredit- und operationelle Risiken findet jedoch in der Literatur keinen allgemeinen Konsens. So kategorisiert z. B. Kunze in allgemeine Bankrisiken und bankspezifische Risiken. Dabei zählen zu allgemeinen Bankrisiken operationelle und strategische Risiken, während bankspezifische Risiken aus der Summe von Kredit-, Markt- und Liquiditätsrisiken bestehen^[29]. Van Greuning und Bratanovic gliedern Bankrisiken hingegen in 4 Oberkategorien. Sie unterteilen in Financial Risk, Operational Risk, Business Risk und Event Risk^[30]. Aufgrund des Schwerpunktes dieser Arbeit auf der aufsichtsrechtlichen Abbildung von Risiken wird hier nicht näher auf weitere Literaturansichten eingegangen und vielmehr auf die Kategorisierung des Basler Ausschusses abgestellt. Die im Einzelnen mit Eigenkapital zu unterlegenden Risiken werden im Folgenden näher erläutert und beschrieben.

3.1 Marktrisiken

Marktrisiken müssen genau wie Kredit- und operationelle Risiken mit Eigenkapital unterlegt werden. Zu Marktrisiken sind alle Risiken zu zählen, die durch Marktpreisschwankungen an Finanzmärkten entstehen. Hierbei entscheidet die persönliche Positionierung eines handelsaktiven Kreditinstituts maßgeblich über potenzielle Gewinne oder Verluste^[31]. Gemäß der SolvV werden Marktrisiken in Währungs-, Rohwaren-, Zins-, Aktien- und Optionsrisiken unterteilt^[32]. Zwischen

diesen Risiken verläuft die Trennung oftmals fließend und nicht eindeutig. Offene Marktpositionen können dabei mehrere Risiken gleichzeitig aufweisen. So weist z.B. die Haltung einer Option auf eine japanische Aktie sowohl ein Währungs-, Zins- und Aktienkursrisiko als auch ein Optionsrisiko auf. Auch können Korrelationen zwischen den Einzelrisiken bestehen, die diese Position innehat^[33]. Zur Quantifizierung der Eigenmittelunterlegung von Marktrisiken werden in größeren und handelsaktiven Kreditinstituten überwiegend bankeigene Modelle oftmals anhand eines Value-at-Risk^[34] verwendet^[35].

3.2 Kreditrisiken

Kreditrisiken werden auch als Ausfall^[36] - oder Adressenrisiken^[37] bezeichnet. Sie beschreiben die Möglichkeit, dass ein Kreditnehmer, auch als Kontrahent oder Gegenpartei bezeichnet, seine vertraglich zugesicherten Verpflichtungen nicht mehr erfüllen will oder kann^[38]. Das Risiko besteht demnach bei Krediten primär darin, dass Rückzahlungen nicht, nicht vollständig oder nicht zum vereinbarten Zeitpunkt erfolgen und ein Schaden für das Kreditinstitut entsteht ^[39].

Das Kreditrisiko kann in drei unterschiedliche Risikoarten separiert werden, die sich auf unterschiedliche Zeitpunkte beziehungsweise Zeitperioden bei einer Kreditvergabe beziehen^[40].

Vor Kreditvergabe, also ex-ante, besteht ein Informationsrisiko des potenziellen Gläubigers^[41]. Dies kann sich dadurch äußern, dass aufgrund von unvollständiger, falscher oder fehlender Informationen über den zukünftigen Schuldner eine Kreditvergabe genehmigt wird, obwohl das Kreditinstitut bei detaillierterem Kenntnisstand keinen Kredit gewährt hätte.

Ex-interim, also während der Kreditlaufzeit, besteht für das Kreditinstitut ein Delegationsrisiko^[42]. Es ist durch die Möglichkeit gekennzeichnet, dass aus Sicht des Kreditinstitutes eine Abweichung zwischen ursprünglich geplanter und tatsächlich durchgeführter Geschäftspolitik entsteht. Diese Problematik ist in der einschlägigen Literatur auch als Moral Hazard bekannt^[43]. Hierunter wird in Bezug auf das Kreditrisiko eine Referenzpolitik verstanden, die sich zum Nachteil der Bank, aber zum Vorteil des Kreditnehmers entwickeln kann. Delegations- und Informationsrisiko entspringen ebenso wie der Moral Hazard der Prinzipal-Agent-Theory^[44].

Ex-post, also nach Beendigung des Kreditvertrages, besteht bei nicht ordnungsgemäßer Vertragserfüllung ein Betroffenheitsrisiko für das Kreditinstitut. Dabei wird die Quantifizierung eines möglichen Schadens während der Vertragslaufzeit im Wesentlichen durch die Umweltentwicklung und die Investitionsentscheidungen des Schuldners sowie nach Ende der Vertragslaufzeit durch die im Vorfeld festgelegten Haftungsregeln determiniert.

3.3 Operationelle Risiken

Operationelle Risiken sind die ältesten Risiken im Bankbetrieb; bereits im Vorfeld einer Transaktion am Finanzmarkt oder einer Kreditvergabe unterliegt das Kreditinstitut operationellen Risiken^[45]. Es ist daher verwunderlich, das operationelles Risiko erstmals mit der am 26. Juni 2004 erfolgten Veröffentlichung der „Internationale Konvergenz der Kapitalmessung und Eigenkapitalanforderungen - Überarbeitete Rahmenvereinbarung“ des Baseler Ausschuss für Bankenaufsicht positiv wie folgt definiert wurde ^[46]:

„ Operationelles Risiko ist die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken. “ ^[47]

Anhand dieser Definition wird operationelles Risiko in bankinterne und bankexterne Risiken untergliedert.

3.3.1 Interne Risiken

Als interne Risiken werden alle Risken verstanden, die aus internen Begebenheiten des Kreditinstituts resultieren, sodass in den folgenden Ausführungen alle externen Einflüsse ausgeklammert werden. Anhand der Definition des Baseler Ausschusses kann eine weitere Unterteilung von internen Risiken in Personal-, Prozess- und Struktur- sowie Systemund Technologierisiken vorgenommen werden^[48].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Ursachen operationeller Risiken (Quelle: Eigene Darstellung)

3.3.1.1 Personalrisiken

Das Personal ist aufgrund des Tätigkeitsfeldes einer Bank im Finanzdienstleitungsbereich besonders wichtig, da Mitarbeiter die primären „Produktionsfaktoren“ eines Kreditinstituts darstellen und in fast jeden Geschäftsprozess des Unternehmens eingebunden sind, sei es z. B. bei der Beratung von Kunden, der Entscheidung über eine Kreditvergabe oder der Erfassung von Risiken. Aufgrund dieses personalintensiven Tätigkeitsfeldes sind Personalrisiken sehr umfangreich und breit gefächert^[49]. Sie können beispielsweise in der Höhe der Personalfluktuation, der Auswahl neuen Personals, der Aus- und Weiterbildung der vorhandenen Mitarbeiter, des zu bewältigenden Arbeitspensums oder auch der kulturellen Hintergründe und damit einhergehenden Kommunikationsschwierigkeiten begründet sein^[50]. Insbesondere bestehen Personalrisiken im Fehlverhalten der Mitarbeiter, welches sich in fahrlässiges sowie vorsätzliches Fehlverhalten unterteilen lässt.

Unter fahrlässigem Fehlverhalten kann z.B. unsachgemäße Beratung, fehlerhafte Aufgabenerfüllung, Nachlässigkeit oder Irrtum subsumiert werden^[51]. Unter vorsätzlichem Fehlverhalten lassen sich illegale Handlungen zusammenfassen, wie z.B. Betrug, Diebstahl, Erpressung oder Veruntreuung^[52]. Dabei besteht die Möglichkeit, sich gegen diese Risken mit Versicherungen zu schützen, die zumindest einen Teil des entstandenen Schaden ersetzten^[53]. Zu beachten ist jedoch, dass das anbietende Unternehmen einen Risikoaufschlag als eigenen Gewinn erhebt, der durch die Bank bezahlt werden muss. In der Literatur wird aber davon ausgegangen, dass die Versicherungsprämie geringer ist als die eigenen Opportunitätskosten der Eigenmittelunterlegung dieser Risiken^[54]. Problematisch ist daher nur, dass eine Versicherung nicht für jede Art von Risiko angeboten wird^[55].

3.3.1.2 Prozess- und Strukturrisiken

Prozess- und Strukturrisiken sind die zweite Kategorie interner Risiken, die sich aus der Definition des Baseler Ausschusses ableiten lassen. Darunter können als Prozessrisiken standardisierte Arbeitsabläufe^[56], Arbeitsanweisungen und deren Kontrollen^[57] oder nicht vorhandene bzw. unzureichende Notfallpläne zusammengefasst werden. Üblicherweise sollen standardisierte Prozesse helfen, Fehler und damit operationelles Risiko zu vermindern respektive ganz zu vermeiden. Festgelegte Prozesse in einer Bank können jedoch zu Risiken werden, wenn Kontrollen fehlen oder mangelnde Sicherheit im Umgang mit diesen bestehen^[58]. Insbesondere ist hier anzumerken, dass der Prozess der Kontrolle^[59] selbst ein Prozess ist, der fehlerhaft ausgeübt werden kann und somit selbst zum Prozessrisiko wird. Auch fehlerhafte oder unzureichende Arbeitsanweisungen können Gründe für Prozess- und Strukturrisiken sein^[60].

Ebenfalls besteht die Möglichkeit, dass aus der Struktur von Geschäftsbereichen Risiken entstehen können. Hier lässt sich beispielhaft auf das Problem des Outsourcings abstellen. Die Auslagerung von internen Geschäftsprozessen und demnach die Verlagerung des operationellen Risikos auf einen Dienstleister birgt nicht unerhebliche Gefahren^[61]. In diesem Fall wird ein internes Risiko gegen ein neues externes Risiko eingetauscht, welches unmittelbar mit der Qualität des angebotenen Produkts des Dienstleisters korreliert. Es ist daher abzuwägen, ob dieser Tausch sowohl ökonomisch als auch unter Risikogesichtspunkten sinnvoll ist^[62].

3.3.1.3 System- und Technologierisiken

Unter dieser Kategorie sind alle technischen Risiken zu subsumieren, die - gerade in Hinblick auf die rasante technische Entwicklung - stetig an Aktualität und Wichtigkeit zunehmen^[63]. Hierzu zählen insbesondere Kommunikations- und Informationstechnologien. Die immer größer werdende Abhängigkeit von Informationstechnologie - Systemen spiegelt sich in einem stetig zunehmenden Anteil an der Wertschöpfungskette eines Kreditinstituts wider^[64]. Risiken können hier entstehen, wenn die Soft- oder Hardware eines Unternehmens Fehler aufweist oder veraltet ist und demnach auch nicht (mehr) sicher angewendet werden kann^[65]. Auch die falsche Implementierung von neuer Soft- oder Hardware kann aufgrund von Kompatibilitätsgründen oder Schnittstellenproblematiken zwischen unterschiedlichen Systemen zu Risiken führen. Diesem Umstand wurde vom Baseler Ausschuss durch eine eigene Risikokategorie Rechnung getragen. Ein gutes Change-Management kann versuchen, die negativen Einflüsse auf das operative Geschäft auf ein Minimum zu reduzieren^[66].

3.3.2 Externe Risiken

Externe Risiken zählen zu den am schwierigsten zu bestimmenden und zu quantifizierenden Risiken in Kreditinstituten. Sie treten im Umfeld der Bank auf und lassen so gut wie keine Einflussnahme auf die Risikoquellen zu. Der Baseler Ausschuss hat hier keine weitere Unterteilung vorgesehen. Sinnvoll wäre aber - aus Sicht des Autors -, Risiken höherer Gewalt von solchen zu trennen, die aufgrund von betrügerischen Handlungen und mutwilliger Sachbeschädigung entstehen. Zu Risiken höherer Gewalt zählen Katastrophen wie z.B. Überschwemmungen, Erdbeben, Flugzeugabstürze oder Stürme. Zu Risiken betrügerischer Handlungen können beispielsweise Hackerangriffe, Diebstähle oder Fälschungen gezählt werden. Als mutwillige Sachbeschädigung sind Terrorangriffe oder auch Vandalismus anzuführen.

Zudem sollte eine weitere Abgrenzung zu externen Schadensereignissen erfolgen. In dieser Kategorie müssten alle anderen Ereignisse subsumiert werden, wie beispielsweise Schäden durch Outsourcing^[67], politische Entwicklungen und Rahmenbedingungen, Probleme mit externen Dienstleistern, Produktfehler oder auch Rechtsrisiken^[68]. Möglichkeiten, diese Risiken zu identifizieren und somit frühzeitig Schäden gegenzusteuern, werden im folgenden vierten Kapitel vorgestellt.

4. Verfahren zur Identifikation operationeller Risiken

Zur Identifikation von operationellen Risiken stehen den Unternehmen diverse Möglichkeiten offen. Grundlage hierfür sollte das Vorliegen eines Risikomanagementprozesses sein, welcher als Basis ein äußeres Rahmenwerk sowie eine klar definierte Strategie beschreibt^[69]. In diesem Rahmenwerk sollten Identifikation, Bewertung, Steuerung, Reporting sowie eine daran anknüpfend adäquate Überwachung der einzelnen Unterpunkte festgelegt sein^[70]. Dies gilt insbesondere für Institute, die fortgeschrittene Messkonzepte zur Berechnung der Eigenkapitalunterlegung verwenden möchten und dazu verpflichtet sind, ein „Framework“^[71] aufzustellen^[72]. Da das Hauptaugenmerk dieser Arbeit auf der Messung und somit der Bewertung der operationellen Risiken liegt, wird im Weiteren auf die Konzeption eines Managementprozesses^[73] sowie deren Teilaspekte Steuerung^[74], Überwachung^[75] und Reporting^[76] nicht näher eingegangen. Im Gegensatz dazu ist die Identifikation des Risikos als Ausgangspunkt für eine Bewertung zwingend notwendig. Das frühzeitige Erkennen von Risikopotenzial legt den Grundstein für den Erfolg des Managementprozesses, da Risiken, welche nicht identifiziert und erkannt werden, weder gesteuert noch bewertet werden können^[77].

Eine adäquate und somit hinreichende Identifikation gestaltet sich allerdings aufgrund der Beschaffenheit und Komplexität sehr schwierig. Gründe für Verluste aus operationellen Risiken sind sehr vielschichtig, sodass Unternehmen zeitgleich unterschiedliche Wege gehen müssen, um umfassende Einblicke in konkrete Risikopotenziale zu erlangen. Hier sollten neben bereits eingetretenen Verlusten insbesondere auch beinahe Verluste und potenzielle Risiken im Focus der Betrachtung liegen^[78]. Daneben stellt auch die Abgrenzung von operationellen Risiken zu Markt- oder Kreditrisiken für die Institute eine große Herausforderung dar^[79]. Schadensereignisse lassen sich oftmals nur sehr schwer eindeutig zuordnen oder sind auf den ersten Blick nicht als operationell begründet zu erkennen. Eine ursachenbezogene Betrachtungsweise als neue Dimension im Risikomanagement von Banken ist somit notwendig.

Auch muss der Prozess der Risikoidentifikation auf den konkreten Einzelfall und damit auf die vorhandenen Geschäftsbereiche des Unternehmens abgestimmt werden und mit der MaRisk^[80] als gesetzliche Grundlage in Einklang gebracht werden.

Im Folgenden werden vier unterschiedliche Methoden der Risikopotenzialidentifikation vorgestellt, die zu den gängigsten und gebräuchlichsten gehören^[81].

4.1 Risikoinventur

Die Risikoinventur, auch als Self oder Risk assessments bekannt, kann im Unternehmen als ex-ante Analysemethode verwendet werden. Die Risikoinventur versucht durch eine systematische Beurteilung von Standardprozessen, Datenverarbeitungssystemen und Mitarbeitern mögliche Risikoexpositionen im Vorfeld zu verstehen und zu eruieren^[82]. Bei dieser Beurteilung wird anhand von unterschiedlichen Szenarien simuliert, wie sich zukünftige und zufällige Ereignisse auswirken könnten. Durch die gewonnenen Daten können Ursachen von möglichen Schadensfällen genauer bestimmt und somit Schwachpunkte in internen Unternehmensprozessen erkannt werden, denen gezielt entgegengewirkt werden kann. Zusätzlich können auch externe Berater zur Erhöhung der Objektivität und Präzisierung der Szenarien herangezogen werden. Die Risikoinventur kann anhand von Fragebögen, Einzelinterviews, Intranetlösungen oder Workshop durchgeführt werden^[83]. Hier werden die Mitarbeiter zum einen unmittelbar in die Erfassung von Risiken mit einbezogen und zum anderen wird das Bewusstsein für die latent vorhandenen bankimmanenten Risiken sensibilisiert. Zudem wird eine Unternehmenskultur, die auf Risikoreduktion ausgerichtet ist, gefördert^[84].

4.2 Schadensfalldatenbanken

Schadensfalldatenbanken können sich - neben der Anfertigung anhand einer Risikoinventur - auf interne Daten der Bank oder externe Daten einer gleichen bzw. vergleichbaren Branche^[85] beziehen. Bei der internen Datenbank werden tatsächlich im Institut aufgetretene Schadensfälle in eine zentrale Stelle des Risikocontrollings übermittelt, um sie dort zu sammeln und weiterzuverarbeiten. Dabei ist die Qualität der Dokumentation von entscheidender Bedeutung, um Risikokonzentrationen herausfiltern und diesen entgegenwirken zu können^[86]. Somit ist es sinnvoll und notwendig, die zu erfassende Informationstiefe für Schadensfälle vorher festzulegen. Als Parameter wäre z.B. Schadenshöhe, Geschäftsfeld, Ursache oder Datum zu erfassen. Bei der Festlegung der Parameter gilt es darauf zu achten, dass Informationstiefe und Kosten positiv miteinander korrelieren. Das Unternehmen muss daher den erwarteten Nutzen den Kosten gegenüberstellen^[87].

Zudem können externe Datenbanken helfen, im eigenen Unternehmen Risiken zu reduzieren. Die Erfassung von Schadensfällen wird hierbei von anderen Unternehmen der Branche vollzogen und über ein Datenkonsortium dem Kreditinstitut anonymisiert zur Verfügung gestellt. Hier sind als bekannteste Datenkonsortien GOLD^[88] und ORX^[89] zu nennen. Ebenfalls besteht die Möglichkeit externe Daten käuflich zu erwerben, um auch Schadensfälle von anderen Unternehmen in das eigene Risikocontrolling mit einbeziehen zu können. Vorraussetzung ist jedoch eine Datenkonsistenz zwischen den einzelnen Datenbanken, um die neue Datenbasis auch zielgerichtet nutzen zu können^[90].

4.3 Simulationsansätze

Eine dritte Möglichkeit operationelle Risiken zu erfassen oder abzuschätzen, besteht darin, zukunftsorientierte fiktive Schadensszenarien zu modellieren und somit Verluste zu antizipieren, die eventuell in Zukunft auftreten können. Im Mittelpunkt steht hierbei die Modellierung von Zusammenhängen zwischen Ursache und Wirkung, die aufgrund von zufälligen Ereignissen oder vermuteten Zukunftsentwicklungen entstehen können. Die so genannte What-if- Analyse ist als Szenarioanalyse^[91] eine der einfachsten Formen von Simulationsansätzen. Hier können z.B. Worst Case Szenarien der Kategorie „low frequency/ high impact“^[92] modelliert werden, um zu sehen, an welcher Stelle das Risikomanagement Schwächen aufweist und um herauszufiltern, wie diese im Ernstfall abzuschwächen oder sogar ganz zu beheben sind.

[...]

---

^[1] Der Begriff Bank und Kreditinstitut wird in dieser Arbeit synonym verwendet. Detailliert zur Unterscheidung und Abgrenzung: Vgl. Büschgen (1998), S. 11 ff.

^[2] Vgl. zur Modellierung von Kreditrisiken Eller (1999) sowie zu Kreditportfolios Hagenstein/Mertz/Seifert (2006).

^[3] Vgl. zur Analyse und Quantifizierung von Marktrisiken Eller (1998) sowie zum Value-at-Risk bei Marktrisiken Fricke (2006).

^[4] Eine Definition sowie Abgrenzung der genannten Risiken erfolgt in Abschnitt 3.

^[5] Vgl. Kunze (2007), S. 1 - 2.

^[6] Einen guten Überblick über Fälle operationellen Risikos geben Brandner et al. (2008) S. 346 - 414; Peachey (2002), S. 334 - 344.

^[7] Der Fall der Barings Bank wird im Anhang 1 näher erläutert.

^[8] Griechisch für Gefahr, Klippe.

^[9] Vgl. weiterführend zur Herkunft des Wortes Risiko, Keller (2004), S. 60 - 65.

^[10] Vgl. Piaz (2002), S. 10; Kunze (2007), S. 13.

^[11] Die Möglichkeit der Sicherheit wird im Folgenden ausgeklammert. Dies lässt sich damit begründen, dass sobald Sicherheit über zukünftige Ereignisse angenommen werden kann, eine eindeutige Entscheidungsfolge bereits determiniert ist und somit kein Risiko besteht. Aus diesem Grund erscheint dem Autor eine weitere Betrachtung nicht sinnvoll.

^[12] Vgl. Schmitz/Wehrheim (2006), S. 15. Als Standardtheorie für Entscheidungen unter Risiko gilt die Erwartungsnutzentheorie (Bernoulli-Prinzip): vgl. weiterführend Bitz (1998), S. 916 - 936; Hartmann (2004), S. 15 - 24.

^[13] Vgl. Oehler/Unser (2002), S. 11. In Abgrenzung hierzu werden in der Literatur Ungewissheitssituationen auch dahingehend bestimmt, dass die Umweltzustände bekannt sind, nicht jedoch deren Eintrittswahrscheinlichkeiten. Vgl. Bitz (1993), S. 645; Piaz (2002), S. 11; Hofmann (2002), S. 5.

^[14] Z.B. durch hinreichendes Wiederholen eines Zufallexperimentes.

^[15] Vgl. Bitz (1993), S. 645; Knight (2006), S. 197 ff.

^[16] Vgl. Kunze (2007), S. 14.

^[17] Vgl. Kunze (2007), S. 15; Hofmann (2002), S. 5.

^[18] Vgl. Knight (2006), S. 233 f. Er definiert daher Upside und Downside Risk.

^[19] Vgl. Schäl (2011), S. 13; Büschgen (1998), S. 865.

^[20] Vgl. Büschgen (1998), S. 865.

^[21] Vgl. Bitz (1993), S. 642; Albrecht (2003), S. 8; Oehler/Unser (2002), S. 21.

^[22] Vgl. Büschgen (1998), S. 865.

^[23] Vgl. Büschgen (1998), S. 866.

^[24] Vgl. Kunze (2007), S. 17; Schäl (2011), S. 14.

^[25] Vgl. Büschgen (1998), S. 866.

^[26] Baseler Ausschuss für Bankenaufsicht (2004), S. 2.

^[27] Im Folgenden SolvV genannt.

^[28] Vgl. Baseler Ausschuss für Bankenaufsicht (2004), S. 14.

^[29] Vgl. Kunze (2007), S. 20.

^[30] Vgl. Van Greuning/Bratanovic (2003), S. 3.

^[31] Vgl. Schmitz/Wehrheim (2006), S. 36.

^[32] Vgl. §§ 294 - 312 SolvV.

^[33] Zinssenkungen wirken sich oft positiv auf Aktienkurse aus. Vgl. Piaz (2002), S. 17.

^[34] Im Folgenden VaR genannt. Siehe nähere Darstellung des VaR in Kapitel 5.2.1.1.

^[35] Vgl. Gruber (2007), S. 259.

^[36] Vgl. Albrecht (2003), S. 3.

^[37] Vgl. § 8 SolvV.

^[38] Vgl. Wiedemann (2008), S. 139. Oehler/Unser (2002), S. 196 - 197.

^[39] Vgl. Hagn/Walther (2006), S. 239.

^[40] Vgl. hierzu und im Folgenden Oehler/Unser (2002), S. 194 - 205.

^[41] Vgl. weiterführend Bitz/Terstege (2009), S. 42 - 48.

^[42] Vgl. weiterführend Bitz/Terstege (2009), S. 32 - 41.

^[43] Der Moral Hazard ist ursprünglich ein Begriff aus der Versicherungswirtschaft, der eine Verhaltensänderung aufgrund einer Versicherung beschreibt.

^[44] Vgl. hierzu erstmals Jensen/Meckling (1976). Die Grundzüge der Theorie gehen auf den Nobelpreisträger Ronald Coase zurück. Vgl. Coase (1937). Einen einführenden Überblick geben Endres/Martiensen (2007).

^[45] Vgl. Haackert (2009), S. 18.

^[46] Bis 2004 lag lediglich eine Negativdefintion vor. Das Gesamtrisiko wurde um das Markt-, Kredit- und Zinsänderungsrisiko vermindert und die verbleibenden Risiken wurden als „sonstige Risiken“ qualifiziert, die explizit das Betriebs-, Rechts- und Reputationsrisiko beinhalteten, sich jedoch keineswegs darauf beschränkten.

^[47] Baseler Ausschuss für Bankenaufsicht (2004), S. 157.

^[48] Institutsspezifisch sollte noch weiter untergliedert und insbesondere auf die jeweiligen Rahmendaten und die Geschäftsfelder der Bank abgestimmt werden. Vgl. Wiedemann (2008), S. 231.

^[49] Vgl. Minz (2004), S. 21.

^[50] Vgl. Piaz (2002), S. 57.; Van den Brink (2001), S. 4.

^[51] Vgl. Hofmann (2002), S. 9.

^[52] Vgl. Kunze (2007), S. 40; Schäl (2003), S. 4.

^[53] Vgl. Minz (2004), S. 21; Lammers (2005), S. 75.

^[54] Vgl. Kaufmann/Dröse (2000), S. 791.

^[55] Vgl. Lammers (2005), S. 75.

^[56] Vgl. Van den Brink (2001), S. 10.

^[57] Vgl. Hofmann (2002), S. 10.

^[58] Vgl. Minz (2004), S. 23.

^[59] Das Vier-Augen Prinzip sei hier beispielhaft genannt.

^[60] Vgl. Hofmann (2002), S. 8.

^[61] Vgl. Lammers (2005), S. 74.

^[62] Vgl. Minz (2004), S. 20.

^[63] Vgl. Piaz (2002), S. 48.

^[64] Vgl. Romeike/Hager (2009), S. 373.

^[65] Vgl. Simon (2002), S. 131.

^[66] Vgl. Van den Brink (2001), S. 8.

^[67] Outside resource using.

^[68] Beispiele entnommen aus Baseler Ausschuss für Bankenaufsicht (2004), Anhang 7, S. 255 - 256.

^[69] Vgl. Hackert (2009), S. 20.

^[70] Vgl. Deutsche Bundesbank (2005), S. 10.

^[71] Vgl. weiterführend Kaiser/Köhne (2007), S. 57 ff.

^[72] Grundlage hierfür bildet, unabhängig vom gewählten Ansatz, die „SPOR“. Vgl. Baseler Ausschuss für Bankenaufsicht (2003).

^[73] Vgl. weiterführend Lammers (2005), S. 38 - 43; Kaiser/Köhne (2007a), S. 55 - 63.

^[74] Vgl weiterführend Schäl (2011), S. 191 - 231.

^[75] Vgl. weiterführend Kunze (2007), S. 103 - 258.

^[76] Vgl. weiterführend Kaiser/Köhne (2007a), S. 52 - 55.

^[77] Vgl. Hackert (2009), S. 21.

^[78] Vgl. Kaiser/Köhne (2007), S. 45.

^[79] Vgl. Kunzelmann/Quick (2008), S. 17.

^[80] Mindestanforderungen an das Risikomanagement.

^[81] Vgl. für weitere Identifikationsmöglichkeiten Minz (2004), S. 45 - 132.

^[82] Vgl. Österreichische Nationalbank (2005), S. 26.

^[83] Vgl. Kunzelmann/Quick (2008), S. 17 - 18; Schäl (2003), S. 9 - 11.

^[84] Vgl. Minz (2004), S. 87.

^[85] Z.B. Kreditinstitut und Versicherungsunternehmen.

^[86] Vgl. Kunzelmann/Quick (2008), S. 17.

^[87] Vgl. Österreichische Nationalbank (2005), S. 29 - 31.

^[88] Global Operational Loss Database.

^[89] Operational Risk eXchange association.

^[90] Vgl. Österreichische Nationalbank (2005), S. 31.

^[91] Siehe hierzu weiterführend und vertiefend Van den Brink (2006).

^[92] Z.B. externe Ereignisse.