Das Synergiepotential. Risikomanagement und Sicherheitsmanagement in Kreditinstituten


Masterarbeit, 2019
110 Seiten, Note: 1,0

Leseprobe

Inhaltsverzeichnis

1 Einleitung
1.1 Problemstellung und Relevanz der Thematik
1.2 Zielsetzung und Methodik
1.3 Aufbau und Gang der der Arbeit

2 Risikomanagement, operationelles Risikomanagement und Sicherheitsmanagement in Kreditinstituten
2.1 Der Wertbeitrag von Risikomanagement und Sicherheitsmanagement in Kreditinstituten
2.2 Risikomanagement in Kreditinstituten
2.2.1 Der Risikobegriff – Definition
2.2.2 Risiko-Architektur in Kreditinstituten
2.3 Operationelles Risikomanagement in Kreditinstituten
2.3.1 Operationelles Risiko – Definition
2.3.2 Abgrenzung von operationellen Risiken zu anderen Risiken
2.3.3 Rechtliche Anforderungen an das operationellen Risikomanagement
2.3.4 Ausgestaltung des Managements operationeller Risiken
2.4 Sicherheitsmanagement in Kreditinstituten
2.4.1 Der Sicherheitsbegriff – Definition
2.4.2 Rechtliche Anforderungen an das Sicherheitsmanagement
2.4.3 Ausgestaltung des Sicherheitsmanagements in Kreditinstituten
2.5 Querbezüge zwischen Risiko- und Sicherheitsmanagement

3 Beschreibung und Bewertung von Synergiepotentialen
3.1 Der Synergie-Begriff – Definition
3.2 Kategorisierung von Synergieeffekten
3.3 Messung und Bewertung von Synergien

4 Empirische Untersuchung zu Umsetzung und Bewertung des Synergiepotentials zwischen operationellem Risikomanagement und Sicherheitsmanagement
4.1 Methodisches Vorgehen der empirischen Untersuchung
4.2 Inhaltliche Umsetzung der empirischen Untersuchung
4.3 Schlussfolgerungen basierend auf der empirischen Untersuchung

5 Bewertung des Synergiepotentials zwischen operationellem Risikomanagement und Sicherheitsmanagement
5.1 Synergiepotential durch einen Wissenstransfer
5.2 Synergiepotential durch eine Prozessintegration
5.3 Synergiepotential durch Integration der Methodiken
5.4 Synergiepotential durch organisatorische Integration
5.4.1 Aktuelle Organisation und organisationstheoretische Grundlagen
5.4.2 Formen der organisatorischen Integration
5.4.3 Synergien und Dyssynergien im Hinblick auf die Organisation

6 Empfehlungen zur Integration von operationellem Risikomanagement und Sicherheitsmanagement
6.1 Zusammenfassende Bewertung des Synergiepotentials zwischen operationellem Risikomanagement und Sicherheitsmanagement in Kreditinstituten
6.2 Kritische Würdigung
6.3 Modell zur Bewertung von unternehmensinternem Synergiepotential

7 Fazit

Abkürzungsverzeichnis

Literaturverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Die vorliegende Masterarbeit untersucht den optimalen Grad der Integration zwischen dem operationellen Risikomanagement und dem Sicherheitsmanagement in Kreditinstituten. Die Masterarbeit liefert erstmalig eine strukturierte und holistische Untersuchung des Synergiepotentials zwischen dem operationellen Risikomanagement und dem Sicherheitsmanagement. In der vorhandenen Literatur wurde dieser Aspekt bisher nur in Fragmenten oder verkürzt und abstrakt betrachtet. Die Bewertung des Synergiepotentials basiert auf einer theoretischen und einer empirischen Untersuchung (sieben Experteninterviews), welche durch die Übertragung und Anwendung (Transformation) theoretischer Betrachtungen ergänzt und validiert werden. Es wird gezeigt, dass die Verknüpfung von Risiko- und Sicherheitsmanagement einen positiven Wertbeitrag für Kreditinstitute liefern kann, aber ein zu hohes Maß an Integration nachteilig wirkt. Einen besonderen Stellenwert haben dabei der Informationsaustausch und die inhaltliche Abstimmung zwischen den beiden betrachteten Fachbereichen. Der Verfasser hat zudem ein eigenes allgemeingültig anwendbares Modell entwickelt, um das Synergiepotential bei der Integration von Organisationseinheiten innerhalb eines Unternehmens strukturiert zu bewerten.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Das einleitende Kapitel ordnet die Relevanz des Themas ein, stellt die Zielsetzung und Methodik vor und gibt einen Überblick über den Aufbau dieser Arbeit.

1.1 Problemstellung und Relevanz der Thematik

„Die Gestaltung eines synergetischen Risikomanagement-Systems ist eine anspruchsvolle Aufgabe.“ 1

Sicherheit hat in den letzten Jahren immer mehr an Bedeutung gewonnen: Ob bei der Terrorismusabwehr und in Bezug auf die öffentliche Sicherheit, also auch in Bezug auf Kreditinstitute und deren Bedeutung für die gesamte Volkswirtschaft. Gleichzeitig sind die regulatorischen Anforderungen an das betriebliche Risikomanagement gewachsen, vor allem auch für Kreditinstitute – Banken und Sparkassen.2

Die Relevanz der Thematik zeigt sich auch in besonders öffentlichkeitswirksamen Schadensfällen. So entstand der Wells Fargo durch Scheingeschäfte von Beschäftigten zwischen 2011 und 2016 ein finanzieller Schaden von über 290 Mio. USD.3 Weitere spektakuläre Schadensfälle wurden durch sog. rogue trader also Händler, die illegal und betrügerisch agieren, verursacht. So hat ein Händler der UBS mit internen Betrugshandlungen einen Verlust von 2 Mrd. USD verschuldet, ein Händler der Société Générale hat durch nicht genehmigte Termingeschäfte einen Spekulationsverlust von knapp 5 Mrd. EUR verursacht hat und 1995 führten solche ungenehmigten Spekulationsgeschäfte eines Mitarbeiters zum Zusammenbruch der Barings Bank, der bis dahin ältesten Investmentbank Großbritanniens.4

Aber auch Sicherheitsrisiken können sich in hohem Maße auf Kreditinstitute auswirken. Im Januar 2013 bspw. gruben mehrere Täter einen 45 m langen Tunnel und verschafften sich so Zugang zu einem Tresor der Berliner Volksbank, wo hunderte Schließfächer aufgebrochen wurden. Viele der Kunden hatten keine Versicherung und haben die Volksbank mit entsprechender Berichterstattung in den Medien verklagt.5 Jürgen Schneider hat in den 1990er Jahren mehrere Banken um viele Millionen betrogen und der folgende „ peanuts -Vergleich“ durch Hilmar Kopper hat der Deutschen Bank – als damals größten Kreditgeber Schneiders – einen erheblichen Reputationsschaden eingebracht.6 In den letzten Jahren rücken auch Cyber-Risiken vermehrt in den Vordergrund. Möglicherweise unterstützt durch Sicherheitslücken konnten bei einem Hackerangriff Zahlungen von etwa 100 Mio. USD zu Lasten der Zentralbank von Bangladesch auf Privatkonten in der Republik der Philippinen und Sri Lanka transferiert werden.7

Neben der betriebswirtschaftlichen Komponente sind Sicherheit und Verfügbarkeit des Bankensektors auch aus staatlicher Perspektive von großer Bedeutung, was sich daran zeigt, dass der Sektor Finanz- und Versicherungswesen als kritische Infrastruktur der Bundesrepublik Deutschland eingestuft wurde.8

Sicherheitsrisiken sind eine Teilmenge der operationellen Risiken, während auch die operationellen Risiken nur einen Teil der gesamten Risiken von Wirtschaftsunternehmen darstellen. Trotz dieser inhaltlichen und definitorischen Nähe zwischen operationellen Risiken und Sicherheitsrisiken, werden diese selten von der gleichen Organisationseinheit gesteuert, sondern meist eher getrennt voneinander bearbeitet.9

Die optimale Ausgestaltung der Verknüpfung von Risikomanagement und Sicherheitsmanagement in Wirtschaftsunternehmen ist in der Literatur noch nicht eingehend untersucht worden, während die wissenschaftliche Behandlung beider Teildisziplinen jeweils für sich sehr umfassend ist. Allein die Identifizierung der Verbindungen und Abhängigkeiten zwischen dem Sicherheitsmanagement und dem operationellem Risikomanagement im Unternehmen ist aus Sicht des Verfassers nicht umfassend bewertet und untersucht worden.

Nicht nur in der Fachliteratur ist die Herausbildung von Silos mit der Betrachtung nur der einzelnen Spezialdisziplin festzustellen, sondern auch in der betrieblichen Praxis.10 Es ist fraglich, ob durch eine engere Verzahnung der betrachteten Managementdisziplinen Synergien und Vereinfachungen erreicht werden können.11

1.2 Zielsetzung und Methodik

„In seinem Leben sieht sich der Mensch andauernd mit Zielen konfrontiert, seien sie nun selbstgesetzt oder von anderen vorgegeben.“ 12

In dieser Masterarbeit soll das Synergiepotential zwischen operationellem Risikomanagement und Sicherheitsmanagement untersucht werden. Die Untersuchung wird auf Kreditinstitute eingegrenzt.

Das Synergiepotential bezieht sich auf die Entwicklung und Möglichkeit von Synergieeffekten, die in der Ist-Situation noch nicht vorhanden sind. Dabei können die tatsächlich eintretenden Veränderungen sowohl positiv als auch negativ sein. Anders formuliert, sind Synergien und Dyssynergien möglich. Wie noch gezeigt wird, ergeben sich diese Synergien oder Dyssynergien aus einer Form der Integration, welche verschiedene Aspekte betreffen kann.

In dieser Arbeit werden sowohl positive als auch negative Synergieeffekte betrachtet, woraus sich folglich die dargestellten Hypothesen (vgl. Tabelle 1) ergeben.

Tabelle 1: Hypothesen der vorliegenden Masterarbeit (eigene Darstellung)

Abbildung in dieser Leseprobe nicht enthalten

Die Eingrenzung auf Kreditinstitute ist erfolgt, da sowohl Sicherheits- als auch Risikomanagement in Wirtschaftsunternehmen teilweise sehr unterschiedlich abgegrenzt und umgesetzt werden.13 In Kreditinstituten wird das operationelle Risikomanagement, auch aufgrund der gesetzlichen Vorgaben, gleichförmig umgesetzt und angesichts der ähnlichen Geschäftsfelder bezieht sich ebenso das Sicherheitsmanagement auf ähnliche Grundfragen. Durch die Eingrenzung der Arbeit auf Kreditinstitute wird somit die Komplexität verringert und die Anwendungsfelder werden vergleichbarer.

Die vorliegende Arbeit wird methodisch als Kombination einer theoretischen und empirischen Arbeit durchgeführt. In einem kompilatorischen Teil soll zunächst ein Überblick über das Sicherheitsmanagement und das operationelle Risikomanagement sowohl allgemein als auch spezifisch für Kreditinstitute erarbeitet werden. Die Beziehung zwischen den beiden vorgenannten Themengebieten zueinander wird in einer empirischen Untersuchung näher beleuchtet. Zudem soll in dieser Arbeit ein konzeptioneller Beitrag für die Bewertung von unternehmensinternen Synergiepotentialen geleistet werden.14

Die Methodik in Bezug auf den empirischen Teil dieser Arbeit wird im Abschnitt 4.1 Methodisches Vorgehen dargestellt. Da aufgrund der vorgegebenen Rahmenbedingungen eine repräsentative empirische Arbeit als zu umfangreich erscheint, soll aber dennoch nicht auf empirische Grundlagen verzichtet werden. Demnach sind Leitfadeninterviews bei verantwortlichen Beschäftigten in ausgewählten Kreditinstituten und bei anderen Experten vorgesehen. Mit diesem Vorgehen sollen Erkenntnisse zur Umsetzung von operationellem Risikomanagement und Sicherheitsmanagement in Kreditinstituten gewonnen und ein Bezug zur Praxis hergestellt werden.

Die Interviews als Methode der qualitativen Forschung sollen die erforderliche Nähe zum Hauptuntersuchungsgegenstand ermöglichen und einen direkten Zugang zu den betroffenen Subjekten herstellen. Mit dieser holistischen Herangehensweise können Verzerrungen durch zu theoretische Vorannahmen oder zu standardisierte Instrumente vermieden werden.15

1.3 Aufbau und Gang der der Arbeit

„Die Form von Studienarbeiten wird durch deren Aufbau und Gliederung […] wesentlich bestimmt.“ 16

Konzeptionell ist die vorliegende Arbeit in sieben Kapitel gegliedert. Während die Problemstellung im ersten Kapitel beleuchtet wurde und darüber hinaus die Zielsetzung und das methodische Vorgehen dargelegt wurde, sind im folgenden zweiten Kapitel die einzelnen betrachteten Management-Disziplinen definiert, abgegrenzt und deren Umsetzung in Kreditinstituten dargestellt. Somit werden in diesem zweiten Kapitel die Grundlagen gelegt, um das Potential für Synergien alsdann bewerten zu können.

Im Anschluss daran erfolgt im dritten Kapitel neben der Begriffsdefinition der Synergie ein Vergleich zu anderen Anwendungsgebieten. Dies ist notwendig, um zu verdeutlichen, was im Weiteren unter Synergiepotential zu verstehen ist und wie dieses Potential identifiziert werden kann.

Im vierten Kapitel wird die empirische Untersuchung vorgestellt, welche die Erkenntnisse der grundsätzlich theoretischen Arbeit validieren soll. Der Verfasser legt besonderen Wert auf die Verknüpfung zwischen Theorie und Praxis, um die Anwendbarkeit der Ergebnisse nachweisen zu können.

Im fünften Kapitel werden schließlich die einzelnen Aspekte, welche für die Bewertung des Synergiepotentials relevant sind, systematisch untersucht. Dies erfolgt auf Grundlage der zuvor durchgeführten theoretischen wie empirischen Untersuchung.

Im sechsten Kapitel werden die maßgeblichen Erkenntnisse zusammengefasst und kritisch gewürdigt. Zudem wird ein Modell zur strukturierten Untersuchung des Synergiepotentials in anderen Anwendungsfällen entwickelt. Abschließend wird im letzten Kapitel eine kurze, resümierende Rückschau vorgenommen.

2 Risikomanagement, operationelles Risikomanagement und Sicherheitsmanagement in Kreditinstituten

Um die Grundlagen für die Untersuchung der Hypothese zu schaffen werden im folgenden Kapitel die Managementdisziplinen Risikomanagement, operationelles Risikomanagement und Sicherheitsmanagement in Grundzügen vorgestellt.

2.1 Der Wertbeitrag von Risikomanagement und Sicherheitsmanagement in Kreditinstituten

„Das effiziente Management sämtlicher Risiken sollte zwingend zu den Kernkompetenzen einer Bank gehören.“ 17

Das Geschäftsmodell von Kreditinstituten beruht auf der Transformation und der Kontrolle von Risiken. Kreditinstitute sind Risikointermediäre, d.h. sie nehmen ihren Kunden bestimmte Risiken ab, um diese an Dritte weiter zu veräußern oder sie zu behalten und zu optimieren.18 Dabei verwundert es nicht, dass Banken und Finanzdienstleister selbst einer ganzen Palette von Risiken ausgesetzt sind und damit die Qualität des Risikomanagements für die Institute eine besondere Bedeutung hat.19

In diesem Abschnitt wird untersucht, welchen Beitrag das Risiko- und Sicherheitsmanagement zum Unternehmenserfolg leisten. Dafür bietet sich das Modell der Wertkette von Porter an. Demnach besteht jedes Unternehmen aus einer Ansammlung von Tätigkeiten, die in Primäraktivitäten und unterstützende Aktivitäten unterteilt werden können und gemeinsam ein wertvolles Produkt oder eine Dienstleistung schaffen. Nach diesem Modell sind sowohl Risiko- als auch Sicherheitsmanagement unterstützende Aktivitäten und haben ebenso wie die primären Aktivitäten Einfluss auf die Gewinnspanne, auch wenn keine direkten Erträge erwirtschaftet werden.20

In einer Abwandlung des Modells werden zusätzlich als Abgrenzung zu den Unterstützungsprozessen noch Führungsprozesse definiert und die beiden genannten Managementdisziplinen auch als Führungsprozess eingestuft.21

Konkret ausgedrückt ist Sicherheit als Grundlage für die Geschäftstätigkeit eine wichtige Aufgabe in Kreditinstituten, nicht nur zum Schutz von Beschäftigten, Kunden und Sachwerten vor Unfällen, Angriffen oder Schäden, sondern auch mit Bezug auf die Reputation des jeweiligen Kreditinstitutes. Gewalttaten zum Nachteil von Kreditinstituten, wie z. B. Überfälle, Geiselnahmen, Einbrüche, Diebstähle, Bombendrohungen, Brandanschläge oder Angriffe auf die Informationstechnik stellen eine hohe Belastung für die Betroffenen dar, unter Umständen sogar für ganze Branchen oder Regionen.22

Porter nennt insbesondere bei Banken Sicherheit als eines der Signalkriterien, das für die Kunden ein Wertsignal für Qualität und Leistungsfähigkeit eines Unternehmens widerspiegelt.23 Das Risikomanagement greift den Aspekt von Kontrolle und Sicherheit auf und verfolgt das Ziel, risikobewusst Werte zu schaffen. Konkret bedeutet dies, dass nicht das Ziel verfolgt wird, alle Risiken komplett zu beseitigen, sondern das Risikoniveau zur Sicherung von Erfolg und Existenz zu optimieren und zu kontrollieren.24

Der Wert von Sicherheitsmaßnahmen bzw. des Risikomanagements liegt folglich in dem Nutzen, den diese Aktivitäten für das Unternehmen darstellen.25 Sicherheits- und Risikomanagement können demnach dazu beitragen, dass bestimmte Geschäfte erst ermöglicht werden.26

2.2 Risikomanagement in Kreditinstituten

In diesem Abschnitt wird zunächst ein Überblick über das Risikomanagement insgesamt geschaffen, bevor konkret auf das operationelle Risikomanagement als Teilmenge eingegangen wird.

2.2.1 Der Risikobegriff – Definition

„Sucht man nach Bestimmungen des Risikobegriffs, gerät man sofort in dichten Nebel und gewinnt den Eindruck, daß die Sicht nicht weiter reicht als bis zur eigenen Stoßstange.“ 27

Das Wort Risiko wird im Duden definiert, als „mit einem Vorhaben o. Ä. verbundenes Wagnis, möglicher negativer Ausgang bei einer Unternehmung, Möglichkeit des Verlustes, Misserfolges.“28 Es stammt wahrscheinlich vom italienischen risico ab und wurde zur Bezeichnung von wirtschaftlichen Wagnissen genutzt.29

Mittlerweile wird der Risikobegriff interdisziplinär genutzt und es gibt keine Definition des Risikos, die wissenschaftlichen Ansprüchen genügen würde.30 So benötigt Luhmann mehr als 30 Seiten Text, um das Risiko allein aus soziologischer Sicht abzugrenzen.31

Nach dem im Katastrophenmanagement vorherrschenden Verständnis wird Risiko als Kombination aus der Wahrscheinlichkeit eines Ereignisses i. S. einer Gefährdung und seinen negativen Konsequenzen definiert. Dabei liegt der Schwerpunkt entweder auf der Ungewissheit über die zukünftige Entwicklung z. B. bei dem Risiko eines Unfalls oder auf den potentiellen Konsequenzen bei Schadenseintritt.32 Je nach Perspektive werden die Elemente, die gegenüber einer Gefahr exponiert sind, als Schutzgüter oder als Risikoelemente bezeichnet.33

Die dargestellten Elemente Konsequenzen eines Ereignisses und die Unsicherheit ihres Eintreffens ausgedrückt als Schadenshöhe und Eintrittswahrscheinlichkeit können bei sehr vielen Definitionen des Risikobegriffs als die beiden konstitutiven Merkmale identifiziert werden. Voraussetzung für diese Betrachtung ist die Auffassung, dass die Zukunft verändert, d. h. gestaltet werden kann und damit unerwünschte Ereignisse durch vorsorgendes Handeln vermieden werden können.34

Abbildung in dieser Leseprobe nicht enthalten35 36

Abbildung 1: Häufig genutzte Darstellung von Risiko (eigene Darstellung)

Der Risikobegriff hat enge Bezugsgrößen zu den Begriffen Gefahr und Sicherheit. So kann die Gefahr als Teilaspekt des Risikos gefasst werden und Sicherheit als Abwesenheit von Gefahren.37 Risiko wird teilweise auch als Risikodreiklang aus Schadenspotential, Schwachstellenpotential und Bedrohungspotential definiert. Das Schwachstellenpotential entspricht dabei dem reziproken Sicherheitsniveau, d. h. wenn Sicherheitsmaßnahmen 80% der Schwachstellen abdecken, beträgt das Schwachstellenpotential 20%.38

Im Sicherheitsmanagement wird das Risiko teilweise eingeschränkter definiert, als potenzielle Möglichkeit, dass eine oder mehrere Schwachstellen bei Wert- oder Schutzobjekten ausgenutzt werden und in der Folge ein materieller oder immaterieller Schaden entsteht. Diese Risikobetrachtung i. S. eines Netto-Risikos ist stark an dem Schutzinteresse ausgerichtet und begreift Risiko in unerwünschten Handlungen bzw. Ereignissen.39

Bezogen auf das Risikoverhalten in Unternehmen bezieht sich Risiko auch auf die Unmöglichkeit von perfekt rationalen Entscheidungen und ebenso auf die Unmöglichkeit zukünftige Entwicklungen genau vorherzusehen. Damit wird jede Entscheidung und jede Kommunikation zum Risiko, da sie sich im Nachhinein als falsch oder zumindest suboptimal herausstellen können. Selbst die Untätigkeit ist keine Lösung für dieses Dilemma.40

In dem letztgenannten Kontext ist der Begriff Risiko auch eng verknüpft mit Wissen (über die Zukunft). Dabei wird in der Wissenschaft zwischen explizitem Wissen, welches reproduzierbar und schriftlich fixiert ist, und implizitem Wissen, welches intuitiv ist und durch Erfahrungen, Wahrnehmungen und Vorstellungen erworben wurde, unterschieden.41

Der Umgang mit Risiken wird auf Grundlage von Wissen bemessen, ausgerichtet und falls notwendig korrigiert. Jedoch gewinnt das Nichtwissen zunehmend an Bedeutung. Mittlerweile wird dieses Nichtwissen als Phänomen wahrgenommen, das von unbeabsichtigtem Nichtwissen bis zum bewussten Nicht-Wissen-Wollen reicht. Dabei hat sich gezeigt, dass mehr Wissen und breiteres Wissen nicht grundsätzlich dazu führen, das Nicht-Wissen zu eliminieren. Dabei ist zu beachten, dass die Potentiale, die stetig ansteigende Mengen an verfügbaren Daten, Informationen und Wissen mit sich bringen, auch negative Seiten haben, z. B. in der Gefahr Nichtwissen progressiv zu reproduzieren oder tatsächlich die Entscheidungs- und Handlungsmöglichkeiten zu reduzieren. Auch beinhaltet die bloße Verfügbarkeit von Daten nicht zwangsläufig ihre Nutzbarkeit bzw. Anwendung.42

2.2.2 Risiko-Architektur in Kreditinstituten

„Banken sind die Nervenzentren der Gesellschaft und zahlreichen Bedrohungen ausgesetzt.“ 43

Ein Kreditinstitut ist auch dadurch gekennzeichnet, dass es als Finanzintermediär am Markt tätig ist, z.B. zwischen Kapitalgebern und Kapitalnehmern. Dabei bietet die Bank eine Transformationsleistung an und geht dabei bewusst, d. h. betriebsbedingt Risiken ein. Die volkswirtschaftliche Funktion von Kreditinstituten und ihren Finanzprodukten kann wie folgt dargestellt werden:

- Losgrößentransformation (einem Millionenkredit steht eine große Anzahl von Spareinlagen gegenüber),
- Fristentransformation (kurzfristigen Spareinlagen stehen Kredite mit langer Laufzeit gegenüber),
- Risikotransformation (unsichere Kredite werden in sichere Einlagen verwandelt),
- Sonstige Leistungen (Versicherungen, Bausparverträge, Akkreditive, etc.).44

Als typische Risiken von Finanzinstituten können das Kreditrisiko, das Marktrisiko, das Liquiditätsrisiko und das Unternehmensrisiko genannt werden. Die Kreditrisiken bestehen hauptsächlich aus den Ausfallrisiken, den Bonitätsrisiken und den Gegenparteirisiken. Das Marktrisiko besteht z. B. aus Zinsänderungsrisiken, Aktienkursrisiken oder Wechselkursrisiken. Dem Unternehmensrisiko können z. B. strategische (Geschäfts-) risiken oder operationelle Risiken zugeordnet werden. Die Liquiditätsrisiken bestehen aus Refinanzierungsrisiken, Terminrisiken und Abrufrisiken. Letztere sind unerwartet abgerufene Kreditzusagen oder der übermäßige Abruf von Einlagen (z. B. im Rahmen eines sog. bank run).45

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Systematisierung der bankbetrieblichen Risikoarten (Rolfes, 2008, S. 9)

Abbildung in dieser Leseprobe nicht enthalten

Eine regelmäßig durchführte internationale Befragung von Banken zeigt eindrucksvoll, wie schnell sich die Bewertung der Hauptrisiken für die Kreditwirtschaft ändern kann. So ist in der zuletzt durchgeführten Umfrage aus 2015 das Sicherheitsrisiko aus kriminellen Angriffen46 als zweithöchstes Risiko eingeschätzt worden, während dieses Risiko im Vorjahr noch auf Platz 9 rangierte. Aber auch die (mangelnde) Qualität des Risikomanagements wurde als Risiko genannt (Platz6). Das Hauptrisiko im Jahr 2015 wurde bei der Befragung in einer konjunkturellen Abkühlung gesehen, also im Zusammenhang mit wirtschaftlichen Risiken und der Ertragssituation.47

Die o. g. Betrachtung soll zeigen, dass Kreditinstitute – wie alle anderen Wirtschaftsunternehmen auch – Geschäftsrisiken tragen müssen, die insbesondere auch von vielfältigen Umwelteinflüssen abhängig sind. Zudem sind vglw. strenge regulatorische Vorgaben zu beachten, die vom jeweiligen Kreditinstitut auch negativ (als Risiko) bewertet werden können. In diesem Zusammenhang sind auch Systemrisiken zu berücksichtigen, welche die allgemeine Gefahr eines generellen Vertrauensverlustes oder Marktversagens beinhalten. Strategische Risiken bestehen im Hinblick auf (Fehl-) Entscheidungen der Geschäftsleitung zur Ausrichtung des Instituts.48

Maßgeblich für Kreditinstitute ist die Einsicht, dass das Eingehen von Risiken erforderlich ist, um Profite erwirtschaften zu können. Operationelle Risiken, die im folgenden Abschnitt eingehend betrachtet werden, sind anders zu bewerten. Diese Risiken kommen teilweise von außen und führen grundsätzlich nicht zu höheren Ertragschancen.49

Damit wird deutlich, dass ein erfolgreich agierendes Institut alle vorhandenen Risiken kontrollieren und steuern muss. Das Risikomanagement kann dabei ganz allgemein als das systematische Denken und Handeln im Umgang mit Chancen und Gefahren betrachtet werden.50

Im Rahmen des Risikomanagements werden Risiken identifiziert, beurteilt, gesteuert und über sie wird berichtet. Diese vier Elemente aus Risikoidentifikation, Risikobeurteilung, Risikosteuerung und Risikoberichterstattung sind universell, d. h. für alle Risikoarten einsetzbar.51

Die operationellen Risiken sind als Teilmenge aller zu steuernden Risiken für Kreditinstitute generell eine wesentliche Risikoart, aber nur in Einzelfällen – abhängig vom Geschäftsmodell – die betragsmäßig größte Risikoart.52 Im folgenden Abschnitt wird das operationelle Risikomanagement in Kreditinstituten dargestellt.

2.3 Operationelles Risikomanagement in Kreditinstituten

Das operationelle Risikomanagement ist für Kreditinstitute verbindlich umzusetzen. Im folgenden Abschnitt werden die zentralen Aspekte dieser Managementdisziplin aufgezeigt.

2.3.1 Operationelles Risiko – Definition

Operational Risk is everything which is not credit and market [risk].“53

Diese etwas kurz gegriffene Definition macht deutlich, dass operationelle Risiken eine Teilmenge aller Risiken ausmachen und es sich somit um eine spezifische Risikoart handelt. Das gängige Verständnis von operationellen Risiken definiert diese als die Gefahr von Verlusten, die aus unzulänglichen oder fehlgeschlagenen internen Prozessen, Systemen oder Menschen sowie aus externen Ereignissen resultieren. Dabei werden oft auch explizit das strategische Risiko und das Reputationsrisiko ausgeschlossen. Durch die allgemeine ursachenbasierte Definition ergeben sich gegenüber einer effektbasierten Abgrenzung Überschneidungen zu anderen Risiken.54

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Mögliche Definition des operationellen Risikos (Basler Ausschuss für Bankenaufsicht, 2006, S. 163, Tz. 644, www.bis.org)

Die Definition von operationellen Risiken ist im Vergleich zu anderen Risikoarten sehr weit gefasst, was dazu führt, dass operationelle Risiken inhärent mit allen Geschäftsaktivitäten verbunden sind. Folglich sind die Art und Höhe der operationellen Risiken auch stark vom Geschäftskonzept und Unternehmensprofil des jeweiligen Instituts abhängig, genauso wie von der Effektivität der Steuerung dieser Risiken. Zudem wirkt sich auch die Unternehmenskultur auf die operationellen Risiken aus. Für gewinnorientiert agierende Unternehmen wie Banken und Sparkassen ist zudem ein relevantes Merkmal, das operationelle Risiken nicht durch einen Zusammenhang zwischen Risiko und Ertrag gekennzeichnet sind, also höhere Risiken keine größeren Ertragschancen generieren und deshalb bewusst eingegangen werden.55

Eine verpflichtend zu nutzende Definition für operationelle Risiken gibt es nicht, so dass Kreditinstitute durchaus auch eigene Definitionen wählen können. Dieser Spielraum wird auch genutzt, da einzelne Institute bspw. Reputationsrisiken bei der Definition operationeller Risiken explizit ausschließen, während wiederum andere diese mit einbeziehen.56

Das operationelle Risiko zeichnet sich durch seine Endogenität aus. Das bedeutet, dass die Risiken maßgeblich von den Strukturen, den Prozessen und der Kultur des Unternehmens abhängen. Damit lassen sich die operationellen Risiken auch durch interne Risiken maßgeblich beeinflussen.57 Die Anlage A zeigt die typische Verlustverteilung von operationellen Risiken sowie die Rolle des erwarteten sowie unerwarteten Verlustes.

Unabhängig von der ursachenbasierten Definition ist für die Risikosteuerung die Wirkung der Ursache bzw. des Risikos entscheidender, so dass als Folgerisiken aus dem eigentlichen Schadenereignis, betriebliche Risiken, Reputationsrisiken, Liquiditätsrisiken, finanzielle Risiken kategorisiert werden können.58 Die für das Institut maßgeblichen Risiken, die sich aus der negativen Wirkung der „Ursachen“ ergeben sollen also begrenzt werden. Am Beispiel des Überflutungsrisikos kann dies erläutert werden: Die Ursachenkategorie des operationellen Risikos ist ein externes Ereignis. Die Wirkung könnte sein, dass das Rechenzentrum der Bank mangels ausreichender Schutzmaßnahmen überflutet wird, ausfällt und wichtige Prozesse des Instituts nicht abgewickelt werden können. Die weiteren Folgewirkungen könnten Schadenersatzansprüche von Kunden und/oder eine negative Berichterstattung sein. Diese Systematik wird auch mit Risikoursache, Risikoereignis und Risikoeffekt beschrieben.59

2.3.2 Abgrenzung von operationellen Risiken zu anderen Risiken

„Praktiker gehen davon aus, dass 35% aller Wertberichtigungen und Abschreibungen ursächlich auf Operationelle Risiken zurückgeführt werden können.“ 60

Die Abgrenzung von operationellen Risiken zu anderen Risiken z. B. dem Kreditausfallrisiko ist deshalb für Kreditinstitute besonders relevant, da bei einer Erfassung eines Risikos unter mehreren Risikoarten die Gefahr einer mehrfachen Unterlegung mit Eigenkapital erfolgt, was aus betriebswirtschaftlicher Sicht vermieden werden soll.61 Diese Abgrenzungsschwierigkeiten ergeben sich sozusagen per Definition aus der Wahl einer ursachenbezogenen Abgrenzung von operationellen Risiken.62

Die Abbildung 4 verdeutlicht die Abgrenzungsproblematik. Wenn bspw. durch einen Bearbeitungsfehler bei der Besicherung eines Kredits ein Schaden (hier: Kreditausfall) entsteht, ist dies ein operationelles Risiko und kein Kreditrisiko.63

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Ursachenbezogene Abgrenzung zwischen Risikoarten (eigene Darstellung, vgl. Abenthum, 2012, S. 10)

Sicherheitsrisiken i. S. der Gefahr von Schadensfällen im Bereich Schutz und Sicherheit sind in der dargestellten Abgrenzung nicht enthalten, da diese Risiken eindeutig dem operationellen Risiko zuzuordnen sind.

Das Rechtsrisiko kann sowohl eine vorgelagerte als auch eine nachgelagerte Ursache für den Eintritt eines operationellen Schadens darstellen. Eine klare Abgrenzung von rechtlichen Risiken zu operationellen Risiken ist nicht darstellbar, auch weil beide Risikoarten in einem engen Bezug zueinander stehen.64 Ebenso wie bei den rechtlichen Risiken kann eine enge Verbindung zwischen operationellen Risiken und sich daraus ergebenden Reputationsschäden bestehen. Kreditinstitute müssen Reputationsrisiken, wie bereits dargestellt, nicht als operationelle Risiken erfassen, sondern können diese z. B. auch als Teil des Geschäftsrisikos mit aufnehmen.65

Das Geschäftsrisiko, welches aus dem strategischen und dem politischen Risiko besteht, ist von der Definition des operationellen Risikos meist explizit ausgenommen. Diese Risikoart wird durch mangelhafte, schlecht vorbereitete oder falsche strategische Beurteilungen der Unternehmensleitung verursacht oder entsteht durch eine unvorteilhafte Veränderung des wirtschaftlichen oder politischen Umfeldes. Das Geschäftsrisiko ist von der Definition des operationellen Risikos ausgenommen, weil es aus bewussten Entscheidungen des verantwortlichen Managements resultiert.66

Die korrekte Abgrenzung der Risikoarten ist vor allem aus wirtschaftlichen Gründen wichtig, da eine Doppelerfassung von Risiken zu einer doppelten Unterlegung mit Eigenkapital und damit zu erhöhten Kosten führen kann.67

2.3.3 Rechtliche Anforderungen an das operationellen Risikomanagement

„Aufsichtsrechtliche Vorschriften zwingen Finanzinstitute dazu,Operationelles Risikomanagement zu betreiben.“ 68

Das Management operationeller Risiken ist für Kreditinstitute obligatorisch, wäre aber auch aus rein betriebswirtschaftlichen Gründen zu empfehlen.69 Im folgenden Abschnitt werden die gesetzlichen Anforderungen dargestellt, um zu verdeutlichen, welche Maßnahmen rechtlich vorgeschrieben sind und welche Maßnahmen zusätzlich erfolgen können.

Ausgangspunkt für die gesetzliche Pflicht zur Implementierung des operationellen Risikomanagements ist der in das Kreditwesengesetz (KWG) eingefügte § 25a. Damit wird die Unternehmensleitung gezwungen, ein unternehmensweites Früherkennungssystem für Risiken einzuführen.70 Das KWG verlangt in § 25a als Teil einer ordnungsgemäßen Geschäftsorganisation ein angemessenes und wirksames Risikomanagement, um die eigene Risikotragfähigkeit laufend sicherzustellen. Zudem ist bspw. die Festlegung einer Risikostrategie oder die Einrichtung interner Kontrollsysteme vorgeschrieben.71 Die entsprechenden Vorgaben aus dem KWG sind international auf der sog. Basler Ebene und auf europäischer Ebene durch die Richtlinien RL2006/48/EG und RL2006/49/EG definiert worden und sollen international eine gleichmäßige Umsetzung des Risikomanagements ermöglichen.72

Die Mindestanforderungen für das Risikomanagement (MaRisk) sind für Kreditinstitute als verbindliche Präzisierung des § 25a KWG verbindlich und enthalten weitere Vorgaben, um operationelle Risiken zu vermeiden. Maßgeblich ist der Abschnitt BTR 4, der ausschließlich Vorgaben zum Management operationeller Risiken beinhaltet (vgl. Anlage B).73

Das Dokument Principles for the Sound Management of Operational Risk war auch Grundlage für die Erstellung der MaRisk und enthält elf Grundsätze, die neben der Prozessbeschreibung für das Risikomanagement auch die Verantwortlichkeiten vorgeben. Dabei ist zu beachten, dass diese Vorgaben nicht direkt bindend sind.74

Weitere wichtige Vorgaben sind die Anforderungen, dass Aussagen über den Risikoappetit und die Risikotoleranz zu treffen sind, dass operationelle Risiken in geschäftspolitische Entscheidungen einzubinden sind und dass der Vorstand in die Überwachung des Managements operationeller Risiken einzubinden ist. Außerdem werden die Bedeutung der Governance-Struktur und der Management-Verantwortung herausgestellt.75

Die Regelungen zum Umgang mit operationellen Risiken sind zwar bereits sehr umfangreich, aber lassen immer noch sehr viel Spielraum und es bleiben zahlreiche Fragestellungen offen. So ist es nicht verwunderlich, dass die gesetzlichen Vorschriften innerhalb des vorgegebenen gesetzlichen Rahmens von den Finanzinstituten unterschiedlich umgesetzt werden. Eine Standardisierung ist nur in einigen Teilgebieten erkennbar, auch weil das operationelle Risikomanagement sehr stark von der Art des jeweiligen Bankgeschäfts und des individuellen Risikoprofils abhängt.76

Die rechtlichen Anforderungen sind für die weitere Betrachtung relevant, weil sie einer rein wirtschaftlichen und effizienzbasierten Betrachtung ggf. entgegenstehen. Im Ergebnis kann der Synergie-Gedanke nicht für sich stehen, sondern muss mit den bestehenden rechtlichen Anforderungen zwingend kompatibel sein.

2.3.4 Ausgestaltung des Managements operationeller Risiken

„Die konkrete Ausgestaltung des ORM ist in der Praxis unterschiedlich und hängt stark von der Art der Geschäftstätigkeit und der Größe des Finanzinstituts ab.“ 77

Bereits im Jahr 2006 kam Schierenbeck zu dem Schluss, dass das operationelle Risiko als entscheidende Risikoart einer Bank im Rahmen der Gesamtbanksteuerung eine zu geringe Aufmerksamkeit erhalten würde. Das operationelle Risiko könne sogar höhere Risiken ausmachen als das gut gemanagte Marktrisiko und bei Großbanken sogar die Hälfte des Gesamtbankrisikos betragen.78

Ein angemessenes ORM-Rahmenwerk ist folglich erforderlich, um ein funktionierendes Management der operationellen Risiken zu ermöglichen. Es ist darauf zu achten, das operationelle Risikomanagement in die Gesamtbanksteuerung zu integrieren.79

Die Risikostrategie soll den strategischen übergeordneten Umgang mit Risiken darlegen und zwar in Bezug auf die Wirtschafts-, Ertrags- und Finanzlage des Unternehmens. Die Risikostrategie soll ebenso Angaben zu der Ausgestaltung der Risikosteuerung enthalten, ist vorzugsweise auf Vorstandsebene anzusiedeln und soll neben einem allgemeinen Teil, einen qualitativen sowie quantitativen Teil enthalten.80

Das Management operationeller Risiken kann als Kreislauf mit fünf Schritten erfolgen: Risikoidentifikation, Risikobeurteilung, Risikosteuerung, Berichterstattung und Risikoüberwachung (Abbildung 5).81

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: ORM-Kreislauf (S Rating und Risikosysteme GmbH, 2019, s-rating-risikosysteme.de/OpRisk-Pool)

Teilweise wird die Risikoberichterstattung erst nach der Risikosteuerung angeordnet. Da der Prozess aber i. d. R. jährlich neu beginnt, sind die Reihenfolge und eine unterschiedliche Abgrenzung der einzelnen Prozessschritte in der Praxis wenig relevant.82

Die Risikoidentifikation kann mit unterschiedlichen Methoden erfolgen und die Verwendung von Risikokategorien unterstützt eine strukturierte Vorgehensweise. Auch die Wertkettenanalyse nach Porter (vgl. Abschnitt 2.1) kann als Instrument genutzt werden.83 Als weitere Methoden kommen beispielsweise auch Szenarioanalysen oder Stresstests in Frage.84 Kreditinstitute führen jährlich eine systematische Erhebung und Bewertung ihrer operationellen Risiken durch. Dies erfolgt durch strukturierte Interviews oder in Workshops mit den operativen Organisationseinheiten, welche die jeweiligen Risiken verantworten.

Nur bei kleineren Instituten werden diese Analysen durch die zentrale ORM-Einheit und den Vorstand zentral durchgeführt. Üblicherweise erfolgt die Risikoidentifikation dezentral in den einzelnen Geschäftsbereichen, unterstützt durch eine zentrale Steuerungseinheit. Die Ergebnisse werden anschließend für das Gesamtinstitut zusammengeführt.85

Sicherheitsrisiken als Risiken aus externen Ereignissen sind neben Naturgefahren, Unfällen oder Brandrisiken z. B. folgende Vorfälle: Raub, Diebstahl, Einbruch, externer Betrug, Computer- und Internetkriminalität, gewalttätige Übergriffe oder Terrorangriffe.86

Die Risikobewertung erfolgt meist durch Einschätzung über das potentielle Schadensausmaß eines Risikos und der geschätzten Eintrittswahrscheinlichkeit. Dabei ist darauf hinzuweisen, dass diese Einschätzungen selten objektiv erfolgen können und in der Unternehmenspraxis häufig subjektive Urteile notwendig sind, die meist in Gruppen erarbeitet werden.87 Die Risikoinventur und die Risikolandkarte sind häufig genutzte Methoden zur ex-ante Bewertung von Risiken. Beide vorgenannten Methoden erlauben eine strukturierte und vollständige Bewertung der Risiken. Die Risikoinventur, die auch in den MaRisk explizit gefordert wird, wird oft mit einem Fragenkatalog strukturiert und erlaubt eine qualitative Einschätzung der Risiken. Die Risikolandkarte zielt hingegen auf eine quantitative, bereichsübergreifende Darstellung aller relevanten operationellen Risiken und fokussiert vor allem auf übergreifende, sog. Schnittstellen-Risiken.88

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Risikobewältigungsstrategien (eigene Darstellung, vgl. Gleißner, 2017, S. 288; vgl. Petzel, 2002, S. 104)

Die Risikosteuerung umfasst Maßnahmen, um das Ursprungs-Risiko auf ein akzeptiertes Maß – das Restrisiko – zu verringern (vgl. Abb. 6). Diese Risikobewältigungsmaßnahmen sind im Allgemeinen die Risikodiversifizierung, -vermeidung, -verminderung (auch Risikominimierung) oder -überwälzung (auch: Risikotransfer oder Risikoteilung). Die Akzeptanz des Restrisikos wird in der Literatur auch als Risikobewältigung betrachtet, obwohl dies streng genommen nach dem Wortsinn nicht der Fall ist.89

Die Maßnahmen im Rahmen der Risikosteuerung bzw. Risikobewältigung können auch als Sicherheitsmaßnahmen verstanden werden. Die Diversifizierung nutzt Ausgleichseffekte im Unternehmen und versucht die Gesamtrisikoposition zu verändern. Die Risikovermeidung könnte im Rückzug aus einem bestimmten Geschäftsfeld bestehen. Die Risikominderung versucht die Eintrittswahrscheinlichkeit oder die Schadenshöhe durch erhöhte Sicherungsmaßnahmen zu verringern. Die Überwälzung kann durch Versicherungen, andere Finanzinstrumente oder durch die Vertragsgestaltung erfolgen.90

Das Risikoreporting ist eng mit der Risikoüberwachung verknüpft. Die Berichterstattung erfolgt intern regelmäßig auf unterschiedlichen Hierarchie-Ebenen und durch Ad-hoc-Berichte bei Schadensfällen, die eine festgelegte Schwelle überschreiten. Auch eine externe Berichterstattung z. B. in Form des Geschäftsberichts ist zu berücksichtigen. Interne Berichte enthalten Informationen zu Limitüberschreitungen, zu den Ergebnissen aus Szenario- und Selbsteinschätzungs-Analysen, zu der Entwicklung von Risiken oder zu den getroffenen Maßnahmen. Auch Beinahe-Verluste sind Teil der Berichterstattung.91

Die Risikoüberwachung erfolgt prozessabhängig eingebettet in die Prozesse selbst oder prozessunabhängig, z. B. durch Kontrollen der internen Revision oder von externen Prüfern. Bankenaufsichtliche Prüfungen sind ebenso ein Instrument der Risikoüberwachung für operationelle Risiken.92 Im Sinne des sog. Three Lines of Defence -Modells93 erfüllt die zentrale Risikomanagementeinheit, ggf. zusammen mit dem Qualitätsmanagement- bzw. Compliance-Bereich, die zweite Verteidigungslinie und die interne Revision die dritte Verteidigungslinie.94

Während das operationelle Risiko in fast allen Bereichen eines Institutes vorhanden ist, wird es meist auch von den betroffenen Bereichen dezentral verantwortet und zentral von einer steuernden Stelle (meist im Bereich Organisation) koordiniert. Der Ressourceneinsatz für diese Steuerungs- und Managementfunktion ist in der Mehrzahl der Kreditinstitute mit 0,1 bis 0,2 Vollzeitstellen (FTE, Full Time Equivalent) relativ gering, was durch die Vielzahl der kleinen und mittleren Kreditinstitute in Deutschland zu erklären ist. In großen Instituten ist der Ressourceneinsatz deutlich höher. Zu den Aufgaben gehören unter anderem die Aufstellung und Pflege des ORM-Rahmenwerks, die zentrale Erfassung und Analyse von Schäden und Risiken sowie die Erarbeitung von Handlungsvorschlägen zur Risikosteuerung.95

Für die Eigenmittelunterlegung der operationellen Risiken nutzen fast alle deutschen Kreditinstitute den Basisindikatoransatz (97%), welcher die tatsächlich identifizierten Risiken unberücksichtigt lässt, sondern sich am Bruttoertrag des Instituts bemisst.96

2.4 Sicherheitsmanagement in Kreditinstituten

Das Sicherheitsmanagement ist in Kreditinstituten sehr vielschichtig. Im folgenden Abschnitt werden die zentralen Aspekte dieser Managementdisziplin aufgezeigt.

2.4.1 Der Sicherheitsbegriff – Definition

„Trotz der Allgegenwart des Sicherheitsbegriffs ist seine Bedeutung vager denn je.“ 97

Auch für Sicherheit gilt, dass es mannigfache unterschiedliche Definitionen und Begriffsabgrenzungen gibt, zumal der Begriff unterschiedliche Bedeutungsdimensionen auf sich vereint: Kaufmann beschreibt mit Schutz, Zuverlässigkeit, Gewissheit, Vertrauen und Gefahrlosigkeit insgesamt fünf semantische Hauptdimensionen von Sicherheit, die sich jeweils auf Personen oder auf Dinge und Zustände anwenden lassen.98 Zudem wird der Begriff auch nach den Dimensionen aus dem Englischen in Safety und Security unterteilt.99 In der Sicherheitsforschung wird überdies auch oft zwischen militärischer, ziviler, öffentlicher und privater Sicherheit unterscheiden.100

Krell führt den Sicherheitsbegriff bis auf die Römer und ihr Verständnis von securitas zurück, nimmt Bezug auf Hobbes und seine Beschreibung der staatlichen Gewalt, um dann auf die Entwicklung der sozialen Sicherheit im 20. Jahrhundert und die nationale Sicherheit überzuleiten.101

In der praktischen Umsetzung der Unternehmenssicherheit variiert der Begriff Sicherheit in Abhängigkeit von der Perspektive zwischen Safety und Security. Dabei umfasst Safety die Anlagen- und Betriebssicherheit, den Arbeits-, Brand- und Umweltschutz. Bei Security wird hingegen die Verhinderung bzw. Verringerung von Schäden durch vorsätzliche und bewusste Handlungen betrachtet, die gegen gesetzliche oder unternehmensinterne Vorschriften verstoßen. Häufig besteht die Zuständigkeit der eigentlichen Funktion der Unternehmenssicherheit in der präventiven sowie reaktiven Perspektive von Security -Aufgaben und nicht in der Verantwortung für Safety -Aspekte.102

Sicherheit als Teil der Betriebswirtschaftslehre ist stark mit den Aspekten Wissen und Gewissheit verknüpft. Bei Entscheidungen in Sicherheit herrscht eine vollständige Information über die konstitutiven Elemente einer Entscheidung, z. B. die Handlungsmöglichkeiten, die Umweltsituationen, die Handlungsfolgen oder die Ziele. Demgegenüber sind bei Entscheidungen in Unsicherheit103 oder Risiko-Entscheidungen nur mit einer gewissen Wahrscheinlichkeit vorhersagbar.104 Die Perspektive der Gewissheit ist auf allen Ebenen des unternehmerischen Handelns von Bedeutung, kann aber auch auf die Unternehmenssicherheit bezogen werden. Dies kann in der Formulierung Sicherheit der Sicherheit deutlich gemacht werden. Die Zuverlässigkeit und Vorhersehbarkeit von zukünftigen Ereignissen und Entwicklungen bezieht sich auch auf die Verlässlichkeit des Schutzes vor Gefahren.105

Das unterschiedliche Begriffsverständnis von Sicherheit liegt darin begründet, dass es sich um einen evaluativen Begriff handelt, der bestimmte Werte beschreibt und daher generell umstritten ist. Es geht nicht um den eigentlichen Begriff, sondern die dahinter stehenden Werte und Inhalte. Durch die Definition und Festlegung, was Sicherheit ist, wird gleichzeitig auch bestimmt, welche Gefahren wahrgenommen werden und in welche Bereiche investiert wird.106 Damit wird die Definition von Sicherheit auch zum ausschlaggebenden Faktor für die Sicherheitskultur.

Im Kontext dieser Arbeit kann Sicherheit als der Schutz vor Gefahren i. S. einer relativen Abwesenheit von Gefahren für bestimmte Schutzobjekte betrachtet werden. Diese Definition macht auch deutlich, dass Sicherheit niemals absolut bestehen kann.107 Zumindest für Hochrisiko-Systeme wird dies in der Literatur durch die These des normalen, unausweichlichen Unfalls symbolisiert.108

Die Sicherheit von Unternehmen kann als umfassende Freiheit von Gefährdungen aller Art betrachtet werden,109 wird aber wohl mehr dem Bemühen nach einer kontrollierten Unsicherheit entsprechen.110 Das Sicherheitsmanagement ist dabei sowohl Managementdisziplin als auch Organisationseinheit. Das Verständnis von der Abgrenzung der Sicherheitsaufgaben und der organisatorischen Zuordnung ist – wie die Definition von Sicherheit selbst auch – heterogen. Für diese Arbeit wird das Sicherheitsmanagement als der Bereich gefasst, der sich mit der Bewältigung von Gefährdungen im Bereich der physischen Sicherheit befasst. Die IT-Sicherheit, Safety-Aufgaben, das Betriebskontinuitätsmanagement und der Compliance-Bereich werden teilweise von anderen Organisationseinheiten verantwortet.111

2.4.2 Rechtliche Anforderungen an das Sicherheitsmanagement

„Für ein Kreditinstitut ist die Sicherheit bei der Abwicklung der Bankgeschäfte schon immer eine wichtige Aufgabe gewesen.“112

Die Kenntnis über die rechtlichen Anforderungen ist für die Prüfung der Hypothesen dieser Arbeit von Bedeutung, weil diese Vorgaben einer rein wirtschaftlichen und effizienzbasierten Betrachtung ggf. entgegenstehen könnten. Ebenso ist selbstverständlich, dass die zu betrachteten rechtlichen Anforderungen von der Abgrenzung des Sicherheitsmanagements im Unternehmen entscheidend abhängen. Dies wird dadurch verdeutlicht, dass der Brandschutz meist nicht im Security-Bereich angeordnet ist, aber mit umfangreichen rechtlichen Anforderungen unterlegt ist. Ähnliches gilt für die Funktion des Datenschutzes innerhalb des Unternehmens.

[...]


1 Brühwiler, 2017, www.risknet.de/synergien-im-risikomanagement-schaffen/.

2 vgl. Abschnitte 2.3.3 und 2.4.2.

3 vgl. Buchmüller & Sturm, 2018, S. 719, Rn. 1807.

4 vgl. Abenthum, 2012, S. 5.

5 vgl. Demling & Witte, 2014, www.spiegel.de/Tunnelraub in Berliner Bank Opfer sind wütend.

6 vgl. Heise, 2009, www.focus.de/fjuergen-schneider-die-peanuts-pleite.

7 vgl. Buchmüller & Sturm, 2018, S. 718, Rn. 1807.

8 vgl. Bundesministerium des Innern, 2013, S. 4, www.kritis.bund.de/UP_KRITIS_Fortschreibungsdokument.

9 vgl. Brühwiler, 2017, risknet.de/synergien-im-risikomanagement-schaffen.

10 vgl. Anlage F, S. F.2 ff.

11 vgl. Brühwiler, 2017, risknet.de/synergien-im-risikomanagement-schaffen.

12 Frank, 2012, S. 5.

13 Dies ist allein durch sehr unterschiedliche Geschäftsfelder zu erklären. Das Sicherheitsbedürfnis und die Risikosituation sind zwischen bspw. einem Atomkraftwerk und einer Online-Partnerbörse in keiner Weise vergleichbar.

14 vgl. Abschnitt 6.3.

15 vgl. Schütz & Röbken, 2016, S. 27.

16 Disterer, 2019, S. 109.

17 Schierenbeck, 2006, S. V.

18 vgl. Krumnow, 2000, S. 685 f.

19 vgl. Bundesanstalt für Finanzdienstleistungsaufsicht, 2018, www.bafin.de/Risikomanagement.

20 vgl. Porter, 2014, S. 64 ff.

21 vgl. Diederichs, 2017, S. 221.

22 vgl. Arbeitskreis „Sicherheitsvorkehrungen in Kreditinstituten, 2005, S. 17.

23 vgl. Porter, 2014, S. 201.

24 vgl. Diederichs, 2017, S. 11.

25 vgl. Paulus, 2010, S. 32.

26 Die Rolle als business enabler tritt nach der Erfahrung des Verfassers zunehmend in den Vordergrund.

27 Luhmann, 2003, S. 15.

28 Dudenredaktion, 2018, S. 795.

29 vgl. Dudenredaktion, 2015, S. 700.

30 vgl. Krings & Glade, 2017, S. 47; vgl. Luhmann, 2003, S. 14.

31 vgl. Luhmann, 2003, S. 9 - 30.

32 vgl. United Nations International Strategy for Disaster Reduction, 2009, S. 11, www.drdm.gov.sc.

33 vgl. ebenda, S. 3 und 6.

34 vgl. Renn, Schweizer, Dreyer & Klinke, 2007, S. 20.

35 vgl. United Nations International Strategy for Disaster Reduction, 2009, S. 11, www.drdm.gov.sc.

36 vgl. van den Brink, 2011, S. 115.

37 vgl. Krings & Glade, 2017, S. 47.

38 vgl. Müller, 2018, S. 214 f.

39 vgl. Müller, 2018, S. 214.

40 vgl. Luhmann, 2003, S. 203.

41 vgl. Weichselgartner & Karutz, 2017, S. 70.

42 vgl. Weichselgartner & Karutz, 2017, S. 72 f.

43 Proissl, 2015, www.trend.at/welche-risiken-banken-haben.

44 vgl. Hartmann-Wendels, Pfingsten & Weber, 2019, S. 12 ff,

45 vgl. Rolfes, 2008, S. 8 f.

46 Als Beispiele wurden Geldwäsche, Steuerhinterziehung und Cyberangriffe genannt.

47 vgl. Centre for the Study of Financial Innovation, 2015, S. 5, www.csfi.org/Banking-Banana-Skins-2015.

48 vgl. Rolfes, 2008, S. 9.

49 vgl. Abenthum, 2012, S. 33; vgl. Rolfes, 2008, S. 3.

50 vgl. Gleißner, 2017, S. 21.

51 vgl. Diederichs, 2017, S. 91 ff.

52 vgl. Anlage F, S. F.13.

53 Chapelle, 2019, S. XX (Introduction).

54 vgl. Abenthum, 2012, S. 7; vgl. Abschnitt 2.3.2.

55 vgl. Abenthum, 2012, S. 32 f.

56 vgl. Abenthum, 2012, S. 7.

57 vgl. Grüter, 2017, S. 6.

58 vgl. Grüter, 2017, S. 7 ff.

59 vgl. Abenthum, 2012, S. 24 ff.

60 Reif, Schäl & Weingessel, 2006, S. 278.

61 vgl. Abenthum, 2012, S. 9.

62 vgl. ebenda, S. 7.

63 vgl. ebenda, S. 9.

64 vgl. Abenthum, 2012, S. 11.

65 vgl. ebenda, S. 15.

66 vgl. Grüter, 2017, S. 10 ff.; vgl. Abenthum, 2012, S. 13 f.

67 vgl. Abenthum, 2012, S. 16 ff.

68 ebenda, S. 6.

69 vgl. ebenda.

70 vgl. Bretz, 2007, S. 5.

71 vgl. Anlage B, S. B.4.

72 vgl. Abenthum, 2012, S. 43.

73 vgl. Buchmüller & Koschate, 2017, Rn. 647.

74 vgl. Bank for International Settlements, 2011, S. 11 ff, www.bis.org/publ/bcbs195.pdf; vgl. Abenthum, 2012, S. 51.

75 vgl. Abenthum, 2012, S. 53 f.

76 vgl. ebenda, S. 3.

77 Abenthum, 2012, S. 57.

78 vgl. Schierenbeck, 2006, S. V.

79 vgl. Abenthum, 2012, S. 57.

80 vgl. Abenthum, 2012, S. 59 ff.

81 vgl. ebenda, S. 74 ff.

82 vgl. Diederichs, 2017, S. 91 ff.

83 vgl. ebenda, S. 104 ff.

84 vgl. Abenthum, 2012, S. 74 ff.

85 vgl. Bundesanstalt für Finanzdienstleistungsaufsicht, 2009, S. 10, www.bafin.de/studie_oprisk.

86 vgl. Abenthum, 2012, S. 164 f.

87 vgl. Diederichs, 2017, S. 137.

88 vgl. Huber, 2011, S. 152 ff.

89 vgl. Gleißner, 2017, S. 288; vgl. Abenthum, 2012, S. 137; vgl. Diederichs, 2017, S. 172.

90 vgl. Gleißner, 2017, S. 288.

91 vgl. Abenthum, 2012, S. 143 f.

92 vgl. Abenthum, 2012, S. 143.

93 Das Modell der drei Verteidigungslinien ist ein Konzept zur systematischen Verteilung der Verantwortung im Unternehmen und wird auch konkret auf das Risikomanagement bezogen.

94 vgl. Gleißner, 2017, S. 418.

95 vgl. Bundesanstalt für Finanzdienstleistungsaufsicht, 2009, S. 4 f., www.bafin.de/studie_oprisk_ bia.

96 vgl. Buchmüller & Sturm, 2018, S. 688, Rn. 1753; Neben dem Basisindikatoransatz stehen noch der Standardansatz und der Advanced Measurement Approach zur Verfügung, bei denen die Eigenmittelunterlegung risikobezogen erfolgen kann.

97 Daase, 2010, S. 1, www.sicherheitskultur.org/WorkingPapers/01-Daase.pdf.

98 vgl. Kaufmann, 2003, S. 96.

99 vgl. Kestermann, 2017, S. 193 f.

100 vgl. Gerhold, 2014, S. 10.

101 vgl. Krell, 1979, S. 2 f.

102 vgl. Kestermann, 2017, S. 193 f.

103 Synonym: Entscheidungssituationen unter Unwissen.

104 vgl. Bardmann, 2000, S. 298.

105 vgl. Krell, 1979, S. 3.

106 vgl. Daase, 2010, S. 1, www.sicherheitskultur.org/WorkingPapers/01-Daase.pdf.

107 vgl. Krell, 1979, S. 3.

108 vgl. Perrow, 1992, S. 16 f.

109 vgl. Adams, 1990, S. 13.

110 vgl. Teufel & Schlienger, 2000, S. 18.

111 vgl. Abschnitt 2.4.3.

112 Arbeitskreis „Sicherheitsvorkehrungen in Kreditinstituten“,2005, S. 17.

Ende der Leseprobe aus 110 Seiten

Details

Titel
Das Synergiepotential. Risikomanagement und Sicherheitsmanagement in Kreditinstituten
Hochschule
Hochschule für Wirtschaft und Recht Berlin  (Fachbereich 5 - Polizei und Sicherheitsmanagement)
Note
1,0
Autor
Jahr
2019
Seiten
110
Katalognummer
V504011
ISBN (eBook)
9783346076151
Sprache
Deutsch
Schlagworte
Synergiepotential, Risikomanagement, Sicherheitsmanagement, Effizienz, Banken, ORM, Security Management, operational Risk Management, Synergie, Kreditinstitute, Verbundeffekte
Arbeit zitieren
Dirk Leonhardt (Autor), 2019, Das Synergiepotential. Risikomanagement und Sicherheitsmanagement in Kreditinstituten, München, GRIN Verlag, https://www.grin.com/document/504011

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Das Synergiepotential. Risikomanagement und Sicherheitsmanagement in Kreditinstituten


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden