Integration von Risikomanagementsystemen - Eine Analyse kritischer Erfolgsfaktoren

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung und Zielsetzung
1.2 Gang der Untersuchung

2 Definitorische Grundlagen
2.1 Risiko und Risikoarten
2.2 Risikomanagement
2.3 Risikomanagementsysteme
2.4 Integration von Risikomanagementsystemen
2.5 Konzeptionelle Vorgehensweise
2.5.1 Definition kritische Erfolgsfaktoren (KEF)
2.5.2 Konzeptionelle Vorgehensweise bei der Bestimmung der KEF

3 Analyse der Integration von Risikomanagementsystemen
3.1 Definition des Analysemodells
3.2 Externe Anforderungen
3.3 Strategie
3.4 Struktur, Personen und Managementprozesse
3.5 Technologie
3.5.1 Technologische Integration von Risikomanagementsystemen
3.5.2 Anforderungen an das Report Tool
3.5.3 Anforderungen an die Risk Engine
3.5.4 Anforderungen an das Data Warehouse
3.5.5 Allgemeine Anforderungen
3.5.6 Standard- oder Individualsoftware
3.6 Ziele der Integration

4 Identifikation kritischer Erfolgsfaktoren
4.1 Erfassung potenzieller Erfolgsfaktoren aus der Literatur
4.1.1 Erfolgsfaktoren der Informationsverarbeitung
4.1.2 Erfolgsfaktoren der Integration
4.1.3 Erfolgsfaktoren der Implementierung
4.1.4 Erfolgsfaktoren des Projekt- und Change-Managements
4.2 Auswahl relevanter Erfolgsfaktoren
4.2.1 Systematisierung der potenziellen Erfolgsfaktoren
4.2.2 Systemorientierte Erfolgsfaktoren
4.2.3 Interaktionsorientierte Erfolgsfaktoren
4.2.4 Implementierungsorientierte Erfolgsfaktoren
4.2.5 Nutzerorientierte Erfolgsfaktoren
4.3 Analyse zur Identifikation der kritischen Erfolgsfaktoren
4.3.1 Vorgehensweise bei der Analyse der Erfolgsfaktoren
4.3.2 Analyse der systemimmanenten Erfolgsfaktoren
4.3.3 Analyse der implementierungsimmanenten Erfolgsfaktoren

5 Zusammenfassung und Ausblick
5.1 Zusammenfassung der Ergebnisse
5.2 Kritische Würdigung und Ausblick

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Risikoarten

Abbildung 2: Der Prozess des Risikomanagements

Abbildung 3: Risikoaggregation

Abbildung 4: Integration von Risikomanagementsystemen

Abbildung 5: MIT-Modell

Abbildung 6: Komponenten eines integrierten Risikomanagementsystems

Abbildung 7: Systematik zur Klassifizierung von Erfolgsfaktoren

Tabellenverzeichnis

Tabelle 1: Maßnahmen zur Risikosteuerung

Tabelle 2: Erfolgsfaktoren für integrierte Risikomanagementsysteme

Tabelle 3: Kritische Erfolgsfaktoren für integrierte Risikomanagementsysteme

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung und Zielsetzung

In den letzten Jahrzehnten sind die Ansprüche an das finanzwirtschaftliche Risikomanagement immens gewachsen. Die zunehmende Globalisierung und immer komplexer werdende Finanzinstrumente haben das Handelsvolumen beträchtlich ansteigen lassen, die Märkte sind um ein Vielfaches volatiler geworden. Um den mit dieser Entwicklung einhergehenden Risiken entgegenwirken zu können, wurde in den 70er und 80er Jahren mit der Messung von Marktrisiken begonnen, das Risikomanagement versuchte, den Risiken entsprechend zu steuern. Hohe Rechenkapazitäten und neue statistisch-mathematische Erkenntnisse ermöglichten in den 90er Jahren, das Risikomanagement auch auf den Kreditbereich auszuweiten. Da das Kreditgeschäft in den 90er Jahren durch geringe Margen und ein gestiegenes Ausfallrisiko (insbesondere durch hohe Insolvenzzahlen) gekennzeichnet war, wurde die Implementierung von Kreditrisikomanagementsystemen intern stark forciert. Zusätzlich eröffnete sich durch die Einführung der Kreditderivate 1992 erstmals die Möglichkeit, Kreditrisiken ohne Einfluss auf das originäre Geschäft auf andere Marktteilnehmer zu übertragen. Wichtigste Voraussetzung für die Nutzung solcher Kreditderivate ist die eindeutige Quantifizierbarkeit des Kreditrisikos auf Einzelgeschäftsebene und auf Portfolioebene.^[1]

Dabei haben sich die Risikomanagementsysteme für Markt- und Kreditrisiken weitgehend separat entwickelt, es sind hohe Heterogenität und Separierung von Lösungen zu finden. In der Vergangenheit wurden für die unterschiedlichen Problemstellungen von den jeweiligen Experten Risikomanagementsysteme aufgebaut, die diese konkreten Probleme lösen konnten. Mögliche Zusammenhänge wurden ignoriert. Daraus resultierten separate Systeme, die als „Einzelgänge“ implementiert wurden und ihre eigene Technikumgebung hinter sich herziehen. Ein integriertes Risikomanagementsystem für das gesamte Finanzinstitut ist in den seltensten Fällen vorhanden.^[2]

Nach der Jahrtausendwende führten hohe Wertberichtigungen und Kreditausfälle nicht nur zu bank-internem Druck nach einer verbesserten Informationsversorgung, auch der externe Anpassungsdruck in Form von aufsichtsrechtlichen Vorgaben nahm zu. Neue dezentrale Strukturen, wachsende Komplexität der Prozesse und kürzere Reaktionszeiten haben die Risikolage von Finanzinstituten verschärft. Zusätzlich sind Banken zunehmendem Kostendruck ausgesetzt. Im Fokus dieser Entwicklung steht die Forderung nach einem integrierten Risikomanagementsystem, das die verschiedenen Risiken eines Finanzinstituts als Verbund erfasst und in die Portfolio- und Gesamtbanksteuerung eingebunden ist. Das Risikomanagement soll dabei nicht auf die Einhaltung der gesetzlichen Vorschriften reduziert werden, ein leistungsfähiges integriertes Risikomanagementsystem kann Kostenersparnisse mit sich bringen und damit einen Wettbewerbsvorteil darstellen.^[3]

Vor diesem Hintergrund soll die vorliegende Arbeit Faktoren identifizieren, die für den Erfolg eines integrierten Risikomanagementsystems entscheidend sind. Diese Faktoren werden nachfolgend als Erfolgsfaktoren bezeichnet. Dabei sollte die Integration nicht unabhängig von der Implementierung entsprechender Systeme betrachtet werden. Der Erfolg einer Systemintegration hängt neben dem Aufbau des Systems und den Ausgangsbedingungen auch vom konkreten Implementierungsprozess ab. Daher wird bei der Identifikation der Erfolgsfaktoren die Frage der Integration in Verbindung mit der konkreten Umsetzung der integrierten Systeme betrachtet.^[4]

1.2 Gang der Untersuchung

Nachdem in Abschnitt 1.1 die Problemstellung und Zielsetzung der vorliegenden Arbeit dargestellt wurde, werden im zweiten Kapitel die erforderlichen Grundlagen gelegt. Dazu wird zunächst der Begriff „Risiko“ definiert und die Risikoarten erläutert (2.1). Anschließend werden die Aufgaben und Prozesse des Risikomanagements dargelegt (2.2), gefolgt von einer Darstellung von Risikomanagementsystemen (2.3). Danach werden die Möglichkeiten zur Integration solcher Systeme diskutiert und das in dieser Arbeit verfolgte Konzept dargestellt (2.4). Abschließend wird der Begriff der kritischen Erfolgsfaktoren definiert und die konzeptionelle Vorgehensweise bei deren Bestimmung erläutert (2.5).

Im dritten Kapitel wird die Integration von Risikomanagementsystemen einer modellgestützten Analyse unterzogen. Diese Analyse dient als Ausgangsbasis für die Ableitung der Erfolgsfaktoren. Dazu wird zunächst das Analysemodell vorgestellt (3.1). Aufbauend auf dem Modell werden anschließend die identifizierten Subsysteme analysiert. Dazu gehören die externen Anforderungen (3.2), die Strategie der Unternehmung (3.3), die Unternehmenskultur in Form von Struktur, Personen und Managementprozessen (3.4) und die Technologie (3.5). Abschließend werden die Ziele der Integration von Risikomanagementsystemen hergeleitet (3.6).

Im vierten Kapitel erfolgt dann die Identifikation der kritischen Erfolgsfaktoren. Zunächst werden dazu potenzielle Erfolgsfaktoren aus der Literatur zusammengetragen (4.1). Dabei wird auf Literatur aus den Bereichen Informationsverarbeitung, Integration, Implementierung und Projekt- und Changemanagement zurückgegriffen. Anschließend werden die potenziellen Erfolgsfaktoren systematisiert und auf ihre Relevanz für die Integration von Risikomanagementsystemen untersucht, irrelevante Faktoren werden ausgeschlossen. Für diese Analyse wird das Modell aus Kapitel 3 zugrunde gelegt (4.2). Abschließend erfolgt dann eine Validierung der Erfolgsfaktoren anhand der Ziele der Integration. Ausgehend von der Bedeutung der Faktoren für den Erfolg der Integration wird in kritische und nicht-kritische Erfolgsfaktoren unterschieden (4.3).

Im fünften Kapitel werden die Ergebnisse der Arbeit zusammengefasst und bewertet (5.1), abschließend wird die Vorgehensweise einer kritischen Würdigung unterzogen (5.2).

2 Definitorische Grundlagen

2.1 Risiko und Risikoarten

Der Terminus „Risiko“ wird in der Literatur je nach Anwendungsgebiet unterschiedlich definiert.^[5] Für den Finanzsektor und insbesondere das Bank-Controlling definiert Schulte: „Risiko resultiert ursachenbezogen aus der Unsicherheit zukünftiger Ereignisse – wobei dies regelmäßig mit einem unvollständigen Informationsstand einhergeht – und schlägt sich wirkungsbezogen in einer negativen Abweichung von einer festgelegten Zielgröße nieder.“^[6] Diese Risikodefinition soll im Folgenden herangezogen werden. Generell kann zwischen Finanzrisiken und operationellen Risiken unterschieden werden. Die finanziellen Risiken umfassen dabei sämtliche Risiken des Wertbereiches und beziehen sich auf die Finanzströme. Die operationellen Risiken umfassen operative und strategische Risiken, d.h. primär Risiken des Betriebsbereiches. Eine grafische Darstellung der Risikoarten ist in Abbildung 1 zu finden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Risikoarten

In Anlehnung an: Schierenbeck (2003), S. 4f.

Die operativen Risiken lassen sich in technische Risiken und Verhaltensrisiken untergliedern. Technische Risiken sind primär Probleme, die innerhalb der Kommunikation oder der Informatik auftreten können. Auch Katastrophenrisiken sind hinzuzuzählen, da sie Fehler in Informatik und Kommunikation verursachen können. Die Verhaltensrisiken werden durch Betrug, Irrtum oder Fahrlässigkeit von Mitarbeitern oder Dritten verursacht oder durch Personalabwanderung. Die von den operativen Risiken abzugrenzenden strategischen Risiken umfassen Investitionsrisiken, wie den fehlerhaften Auf- und Abbau von Produkten und Geschäftsfeldern, sowie Ereignisrisiken, die rechtliche und regulatorische Aspekte einschließen.^[7]

Die finanziellen Risiken lassen sich wiederum in Marktpreisrisiken (Marktrisiken) und Gegenparteirisiken (Kreditrisiken) unterteilen. Das Marktrisiko tritt durch allgemeine Schwankungen in den Marktpreisen (Aktienkurse, Zinssätze, Devisenkurse oder Rohwarenpreise) auf und bezeichnet die Gefahr, dass aus solch einer Schwankung ein Verlust entsteht. Das Kreditrisiko setzt sich aus dem Ausfallrisiko (Default-Risk) und speziellen Aktien- und Zinsveränderungen zusammen. Solche speziellen Kursänderungen werden nicht durch allgemeine Marktschwankungen, sondern durch spezifische Merkmale eines Marktteilnehmers verursacht (beispielsweise in Folge einer Rating-Änderung), deshalb werden sie zum Kreditrisiko gezählt. Das Ausfallrisiko bezeichnet die Gefahr, dass eine Gegenpartei ihren Zahlungsverpflichtungen nicht oder nur unzureichend nachkommt.^[8]

Im Fokus der vorliegenden Arbeit steht die Integration der Finanzrisiken „Marktrisiko“ und „Kreditrisiko“. Die zusätzliche Integration von operationellen Risiken geht über den Umfang dieser Arbeit hinaus und soll im Folgenden unberücksichtigt bleiben.

2.2 Risikomanagement

Unter dem Begriff des Risikomanagements werden, allgemein formuliert, die systematische und laufende Analyse, die Beeinflussung und die Kontrolle der Risikopositionen eines Unternehmens subsumiert.^[9] Die Ziele des Risikomanagements sind die Sicherung des künftigen Unternehmenserfolgs und der Unternehmensexistenz sowie eine Minimierung der Risikokosten^[10]. Jedoch dürfen bei der Betrachtung von Risken die Chancen nicht außer Acht gelassen werden, da eine solche Vernachlässigung die für unternehmerisches Handeln notwendige Risikobereitschaft mindern könnte.^[11]

Bezüglich des Risikomanagements werden in der einschlägigen Literatur weitgehend vier Phasen oder Aufgaben unterschieden. Zunächst muss ein Risiko frühzeitig als solches identifiziert werden, d.h. alle Risikoquellen, Schadensursachen und Störpotenziale müssen vollständig erfasst werden. Die Informationsbeschaffung ist eine der schwierigsten Phasen des Risikomanagements, da die in diesem Prozessschritt gesammelten Informationen die Grundlage für alle weiteren Phasen legen.^[12] Sind die Risiken erkannt, werden sie in der zweiten Phase im Rahmen einer Risikomessung hinsichtlich ihrer Erwartungswerte quantifiziert. Der Erwartungswert ist das Produkt aus Schadensausmaß und Eintrittswahrscheinlichkeit. Ziel der Risikobewertung ist es, die Risiken hinsichtlich ihres Gefährdungspotenzials zu ordnen und in einer Risk Map^[13] abzubilden. Zur Bewertung der Risiken steht eine Vielzahl mathematisch-statistischer Modelle zur Verfügung.^[14] Dabei ist zu beachten, dass für unterschiedliche Risikoarten unterschiedliche Bewertungsmethoden verwendet werden müssen. Das Kreditrisiko wird beispielsweise für Geschäftskunden über Ratings quantifiziert, bei Privatkunden werden Scoring-Verfahren eingesetzt. Für die Marktrisikomessung existieren diverse Methoden, die jeweils auf eine Marktrisikoart spezifiziert sind.^[15]

In der dritten Phase kommt es dann zur Risikosteuerung, d.h. das Risiko wird entweder einfach übernommen (passive Steuerung) oder durch geeignete Maßnahmen verändert (aktive Steuerung). Ziel der Risikosteuerung ist die Herstellung eines ausgewogenen Verhältnisses zwischen Chance und Risiko bzw. die Risikolage des Finanzinstituts positiv zu verändern. Die fünf Möglichkeiten zur aktiven Steuerung von Risiken sind Risikovermeidung, -minderung/-limitierung, -transfer, -vorsorge oder -diversifikation. Als letzte Phase erfolgt schließlich die Risikokontrolle.^[16] In diesem Zusammenhang darf das Risikomanagement nicht als einmalige Aufgabe gesehen werden. Vielmehr ist es für einen effizienten Risikomanagementprozess erforderlich, dass er als kontinuierlicher Prozess in die Unternehmensprozesse integriert wird. Die Phasen des Risikomanagement werden daher auch häufig als Regelkreis betrachtet.^[17] Dazu lässt sich als Ausgangspunkt des Kreislaufes die Risikostrategie als fünfte Phase einführen, da durch sie die risikopolitischen Ziele festgelegt und konkretisiert werden.^[18] Die fünf Schritte des Risikomanagementprozesses sind in Abbildung 2 dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Der Prozess des Risikomanagements

In Anlehnung an: Weber, et al. (1999), S. 16; Wolf /Runzheimer (2003), S. 32; Ott (2003), S. 139.

Es lassen sich ursachenbezogene und wirkungsbezogene Maßnahmen unterscheiden. Mit ursachenbezogenen Maßnahmen soll die Eintrittswahrscheinlichkeit von Risiken minimiert werden, wirkungsbezogene Maßnahmen sollen dagegen bereits eingetretene Risiken minimieren. Tabelle 1 zeigt eine systematisierte Darstellung risikobegrenzender Maßnahmen.^[19]

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Maßnahmen zur Risikosteuerung

Quelle: Schierenbeck (2003), S. 39.

Die Risikovermeidung ist eine defensive Taktik und versucht, Einzelrisiken im Ursprung zu beseitigen. Dadurch werden aber auch die Gewinnchancen exkludiert.^[20] Folglich ist die Risikovermeidung nur anzuwenden, wenn andere Möglichkeiten zur Risikosteuerung ein zu großes Gefahrenpotenzial hinterlassen würden. Die Risikominderung oder -limitierung ist ein flexiblerer Ansatz, da hier versucht wird, Chancenpotenziale wahrzunehmen. Dabei soll die Eintrittswahrscheinlichkeit durch Schadensverhütung gesenkt werden.^[21] Beispielsweise könnten offene Währungspositionen reduziert werden.^[22] Die Risikodiversifikation basiert auf der Portfoliotheorie von Markowitz. Durch Hedging (gezielte Streuung der Anlagerisiken über Branchen, Länder und/oder Anlageformen) kann das Gesamtrisiko eines Portfolios geringer sein als die Summe der Einzelrisiken. Dieser Korrelationseffekt basiert auf der Prämisse, dass nicht vollständig korrelierende Anlagealternativen kombiniert werden.^[23] Beim Risikotransfer erfolgt eine vollständige oder teilweise Überwälzung des Risikos auf Dritte, dies lässt sich durch Versicherungen, Finanzderivate, Factoring oder Leasingverträge erreichen. Dabei bleibt das Risiko an sich bestehen, es wechselt nur der Risikoträger.^[24] Die Risikovorsorge ist schließlich eine Erweiterung der passiven Option der Risikoübernahme, es wird versucht, die Bank auf das Eintreten potenzieller Schäden vorzubereiten, beispielsweise durch die Bildung von Rückstellungen oder Dotierung von Eigenkapitalreserven.^[25]

2.3 Risikomanagementsysteme

Allgemein hat ein Informationssystem die Aufgabe, dem richtigen Empfänger die richtigen Informationen zum richtigen Zeitpunkt in adäquater Form bereitzustellen. Um dieses Ziel zu erreichen, müssen zunächst Daten erfasst und gespeichert werden, die dann zu Informationen verarbeitet werden können. Diese Informationen werden dann dem Empfänger berichtet. Durch den Einsatz von Informationstechnologie (IT) können die genannten Prozessschritte weitgehend automatisiert werden. Dabei lassen sich Adminsitrations- und Dispositionssysteme sowie Entscheidungsunterstützungssysteme unterscheiden. Während die zuerst genannten Systeme überwiegend für operative Zwecke (d.h. die Abwicklung der laufenden Geschäftsvorfälle) eingesetzt werden, unterstützen die anderen Systeme Entscheidungsträger (Unternehmensleitung) und Entscheidungsvorbereiter (Controller, Risikomanager).^[26]

Ein Informationssystem für das Risikomanagement, im Folgenden Risikomanagementsystem oder RMS genannt, ist ein rechnergestütztes, daten-, methoden-, und modellorientiertes Entscheidungsunterstützungssystem, das dem Risikomanager und anderen Benutzern Informationen bereitstellt. Dabei werden sowohl interne als auch externe Daten verarbeitet, wobei diese Daten häufig aus den Adminsitrations- und Dispositionssystemen stammen. Informationssysteme sind für das Risikomanagement von hoher Bedeutung, da insbesondere die Prozessschritte der Risikoidentifikation und -quantifizierung korrekter und adäquater Informationen bedürfen. Diese Informationen sind meist in den unterschiedlichen Unternehmensbereichen vorhanden und müssen koordiniert erfasst, gespeichert, verarbeitet und schließlich dem Risikomanagement bereitgestellt werden. Das sind die primären Aufgaben eines Risikomanagementsystems. Diese Informationen werden jedoch nicht ausschließlich vom Risikomanagement benötigt, es existiert eine Vielzahl von Empfängern. Dazu gehören alle Managementebenen, alle Controllingebenen und die operativen Geschäftseinheiten, die sich mit Risiken auseinandersetzen.^[27]

Ein solches Informations- oder Managementsystem vollkommen isoliert von anderen Bereichen und dem Umfeld einer Unternehmung zu betrachten, greift jedoch eindeutig zu kurz. So müssen Informationen beispielsweise nicht nur bereitgestellt, sondern auch von den richtigen Empfängern gelesen und korrekt interpretiert werden. Wie bereits angedeutet, muss das System in die Risikomanagementprozesse und das Finanzinstitut eingefügt werden. Anforderungen der Gesetzgeber und der internen Kunden müssen ebenfalls berücksichtigt werden. Daher wird das Risikomanagementsystem in der vorliegenden Arbeit nicht als isoliertes System, sondern als Teil eines Ganzen, d.h. des Finanzinstituts und dessen Umfeld, betrachtet.

2.4 Integration von Risikomanagementsystemen

Unter Integration versteht man grundsätzlich die Herstellung eines Ganzen, das Zusammenfügen von Objekten zu einen Ganzen oder das Einfügen von Objekten in ein größeres Ganzes.^[28] Seghezzi^[29] definiert die Integration im Rahmen von Managementsystemen als die Wahl eines allgemeinen Basissystems, in das alle Teilsysteme vollständig integriert werden. Bei integrierten Risikomanagementsystemen für Banken geht es nunmehr um die simultane Betrachtung mehrerer Risikopositionen in einer Bank. Die verschiedenen Risikopositionen werden folglich nicht mehr einzeln, sondern in einem Portfolioverbund betrachtet, d.h. die Einzelrisiken werden zu Verbundrisiken und in letzter Instanz zu einem Gesamtrisiko aggregiert.^[30]

Das Risikomanagement unterscheidet analog zur Kostenrechnung in Risikoträger, -arten und -stellen. Sieht man die gesamte Bank als Portfolio, stellen die einzelnen organisatorischen Einheiten Teilportfolios dar, in denen eigenverantwortlich Finanzpositionen gehalten werden können. Da sich alle Finanzpositionen und die mit ihnen verbundenen Risiken eindeutig bestimmten Organisationseinheiten zuordnen lassen und diese auch für die Risiken verantwortlich sind, nennt man sie Risikoträger. In der Regel existieren in einer Bank drei Risikoträger, das Handelsbuch, das Bankbuch und das Fremdwährungsbuch.^[31] Die Risikoarten, z.B. Zins-, Index- und Währungs-, Bonitäts- und Ausfallrisiken, treten in der Regel in jedem Teilportfolio auf. Diese Risikopositionen können wiederum aus mehreren Einzelrisiken bestehen, welche dann als Risikostellen bezeichnet werden.^[32]

Ein integriertes Risikomanagementsystem soll im Folgenden als Instrument der Gesamtbankensteuerung verstanden werden, daher soll anlehnend an die vorhergehende Definition eine Aggregation der Risikoträger und -arten des Finanzinstituts erfolgen. Das integrierte Risikomanagementsystem sorgt folglich für die Erfassung, Speicherung, Verarbeitung und Bereitstellung von Informationen über sämtliche Risiken einer Bank. Wie bereits in Abschnitt 2.1 erläutert, werden im Rahmen der vorliegenden Arbeit hinsichtlich der Risikoarten nur das Markt- und das Kreditrisiko betrachtet. Die dem Markt- und Kreditrisiko zuzuordnenden Risikostellen werden von den Risikoträgern entsprechend in vollem Unfang betrachtet. Des Weiteren wird von der Prämisse ausgegangen, dass ein Finanzinstitut bereits separate und eigenständige Markt- und Kreditrisikomanagementsysteme implementiert hat. Wie bereits in Abschnitt 1.1 dargestellt, sind in den meisten Fällen sowohl im Markt- als auch im Kreditrisikomanagement eigene Systeme entwickelt und implementiert worden. Diese beiden Systeme sollen nun zu einem integrierten Risikomanagementsystem zusammengeführt werden.

Bevor jedoch auf die Systemintegration eingegangen werden kann, muss betrachtet werden, wie Markt- und Kreditrisiken zu integrieren bzw. zu einem Gesamtrisiko zu aggregieren sind. Bei der Berechnung des Gesamtrisikos müssen Risikoverbundeffekte berücksichtigt werden. Es bestehen grundsätzlich zwei Integrationsmöglichkeiten. Zum einen können Kennzahlen für das Markt- und Kreditrisiko getrennt aus separatem Datenmaterial berechnet und diese danach aggregiert werden. Dieser Ansatz ist sehr problematisch, da die Berücksichtigung von Korrelationen und Abhängigkeiten zwischen den Kennzahlen schnell an die Grenzen der mathematisch-statistischen Simulationsverfahren und der Rechnerleistung kommt. Als zweite Möglichkeit bietet sich eine Betrachtung auf Basis gemeinsamer Einflussfaktoren an.^[33] Eine grafische Darstellung dieses integrativen Ansatzes findet sich in Abbildung 3.^[34]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Risikoaggregation

Quelle: Spellmann (2002), S. 337.

Es wird versucht, die Faktoren, die sowohl auf das Markt- als auch auf das Kreditrisiko Einfluss haben, gemeinsam zu erfassen. Dadurch wird das benötigte Datenmaterial reduziert. Zusätzlich kann bei der Berechung auf bekannte Rechenverfahren zurückgegriffen werden, da sich das Problem der Abhängigkeiten und Korrelationen bei dieser Alternative nur auf der Ebene der Einflussfaktoren bzw. des Datenmaterials stellt, d.h. durch die integrierte Erfassung und Berücksichtigung der gemeinsamen Einflussfaktoren wird die Aggregation zum Gesamtrisiko vereinfacht, da Korrelationen bereits auf der Ebene der Einflussfaktoren berücksichtigt werden können. Auf dieser Ebene sind weniger komplexe und weniger aufwändige Korrelationsberechnungen nötig, meist sind die bereits vorhandenen Modelle anwendbar. Daher ist die Aggregation von Markt- und Kreditrisiko zum Gesamtrisiko um ein Vielfaches leichter zu handhaben. Dafür ist aber eine integrierte Datenbasis mit granularen Daten erforderlich.^[35] Dieser Ansatz soll daher im weiteren Verlauf der Arbeit verfolgt werden.^[36]

Bei der Systemintegration können im Wesentlichen zwei Konzepte verfolgt werden, die partielle oder die systemübergreifende Integration.^[37] Bei der partiellen Integration wird ein bestehendes System als Basis verwendet, die zu integrierenden Anforderungen werden partiell in das bereits etablierte Basissystem eingefügt. Da nicht alle Elemente zusammengefasst werden, beleiben separate Systeme bestehen. So könnte beispielsweise das Marktrisikomanagementsystem als Basis verwendet werden. Die Anforderungen und Funktionalitäten des Kreditrisikomanagementsystems, die für das integrierte System relevant sind, werden in das Marktrisikomanagementsystem eingefügt. Jedoch würde das Kreditrisikomanagementsystem mit den Elementen, die aus integrativer Sicht nicht relevant sind, weiter bestehen bleiben. Das Problem dieses Ansatzes ist, dass eine solche Trennung in risikorelevant und -irrelevant nicht so einfach möglich ist. Die geforderte Integration auf Ebene der Einflussfaktoren und Daten ist problematisch, da eines der Systeme vom Risikomanagement abgetrennt wird.^[38]

Das Prinzip der systemübergreifenden Integration besteht darin, übergreifende Elemente der Managementsysteme, die eine steuernde oder systematisierende Funktion erfüllen, von Elementen zu trennen, die sich prozess- und ablauforientierten Funktionen widmen. Die systemübergreifenden Elemente zur Steuerung, Berichterstattung und Systematisierung werden aus den Einzelsystemen herausgefiltert und dann zu einem integrierten „Dachsystem“ zusammengefasst. Die fachspezifischen Elemente der Einzelsysteme „Kreditrisikomanagementsystem„ und „Marktrisikomanagementsystem“ verbleiben in Modulen der zweiten Ebene und werden ebenfalls nach inhaltlichen oder methodischen Gemeinsamkeiten untersucht. Überschneidungen werden herausgefiltert und über Querverweise verbunden. Dadurch können mögliche Zielkonflikte vor der Implementierung identifiziert und möglicherweise gelöst werden.^[39]

Die systemübergreifende Integration wird anfänglich auf hoher Abstraktionsebene durchgeführt. So können alle internen und externen Anforderungen an die ursprünglichen Kredit- und Marktrisikomanagementsysteme einfließen, was Effektivitäts- und Effizienzsteigerungen möglich macht. Die systemübergreifenden Elemente bilden dabei einen Rahmen, in dem sich die fachspezifischen Elemente bewegen.^[40] Die Vorgehensweise einer systemübergreifenden Integration ist in Abbildung 4 dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Integration von Risikomanagementsystemen

In Anlehnung an: Riemenschneider (2001), S. 60.

In der vorliegenden Arbeit soll eine systemübergreifende Integration angenommen werden. Mit diesem Ansatz lässt sich eine Integration auf Datenebene realisieren, ohne dabei eines der etablierten Systeme abschaffen zu müssen. Für das Risikomanagement bedeutet dies, dass alle Funktionalitäten, die die Berichterstattung über Risiken betreffen, in ein neues Dachsystem vereint werden. Dazu gehören die Funktionen „Risikoberichterstattung“, „Risikoberechnung“ und „Datenhaltung“. Die Teile der Integrationsbasis, die für die operationale Geschäftstätigkeit verwendet werden, bleiben als modulare Einzelsysteme bestehen, beispielsweise das Kreditbearbeitungssystem oder das Tradingsystem. Da die Aufgabe des Risikomanagements nicht alleine auf aggregierter Ebene, d.h. auf der Ebene der Gesamtbank, bewältigbar ist, bedarf es der Einbindung aller relevanten Gliederungs- und Organisationseinheiten des Finanzinstituts. Für das Risikomanagement und -reporting muss folglich in der ganzen Organisation ein integriertes Risikomanagementsystem verwendet werden, das auf eine organisationsweite, gemeinsame Datenbasis zurückgreift.^[41] Eine detaillierte Darstellung des Aufbaus eines solchen Systems aus technologischer Sicht findet sich in Abschnitt 3.5.

Wie bereits in Abschnitt 1.1 angedeutet, wird die Frage der Integration in der vorliegenden Arbeit in enger Verbindung mit der Implementierung betrachtet, da erfolgreiche Integration sowohl vom System als auch von der Implementierung des integrierten Systems abhängt.^[42]

2.5 Konzeptionelle Vorgehensweise

2.5.1 Definition kritische Erfolgsfaktoren (KEF)

Der Begriff Erfolgsfaktor wurde 1961 erstmals im Rahmen einer Arbeit über die Managementinformationskrise verwendet.^[43] Aufbauend auf diesen Ansatz entwickelte das Massachusetts Institute of Technology (MIT) die „Critical Success Factor Method“, oder die Methode der kritischen Erfolgsfaktoren (KEF).^[44] „Critical success factors thus are, for any business, the limited number of areas in which results, if they are satisfactory, will ensure successful competitive performance for the organization. They are the few key areas where things must go right for the business to flourish. (…) As a result, the critical success factors are areas of activity that should receive constant and careful attention from the management.”^[45] Rehkugler definiert daran anlehnend: “Erfolgsfaktoren sind Einflussgrößen und Bedingungen, die für Erfolg und Misserfolg unternehmerischen Handelns bestimmend sind.“^[46] Die kritischen Erfolgsfaktoren sind die Erfolgsfaktoren, die für den Erfolg von besonders großer Bedeutung sind. Hinter dem Begriff der Erfolgsfaktoren steht der Gedanke, dass trotz der Mehrdimensionalität und Mehrkausalität des Unternehmenserfolges eine kleine Anzahl zentraler Einflussgrößen existiert, die den Erfolg entscheidend bestimmen.^[47] Da diese zentralen Größen situativ geprägt sein können, rückt die Ermittelung und Analyse von Rahmenbedingungen in den Mittelpunkt.^[48]

2.5.2 Konzeptionelle Vorgehensweise bei der Bestimmung der KEF

Grundsätzlich stehen zur Umsetzung des vorliegenden Forschungsvorhabens drei Vorgehensweisen zur Verfügung, die Durchführung einer Fallstudie, eine empirische oder eine theoretische Analyse. Empirie und Fallstudie sind jedoch im speziellen Fall der Integration von Risikomanagementsystemen weniger geeignet, da eine solche Integration in der Praxis in den meisten Fällen, wenn überhaupt begonnen, nicht abgeschlossen ist.^[49] Eine empirische Studie könnte daher momentan höchstens auf Einschätzungen der Projektmitarbeiter und Berater gestützt werden. Welche Projekte erfolgreich abgeschlossen werden und welche nicht, ist momentan noch nicht mit Sicherheit festzustellen. Eine Fallstudie birgt dagegen die Gefahr der unzulässigen Verallgemeinerung.^[50] Daher soll im Folgenden der Weg der literaturgestützten theoretischen Analyse gewählt werden.^[51]

[...]

---

^[1] Vgl. Ott (2003), S. 137.

^[2] Vgl. Riemenschneider (2001), S. 44; Penzel (2004), S. 120f.

^[3] Vgl. Hemmersmeier /Romeike (2001), S. 11; Ott (2003), S. 137f.; Balgheim, et al. (2004), S. 1250.

^[4] Vgl. Riemenschneider (2001), S. 2f.

^[5] Vgl. Wolf /Runzheimer (2003), S. 29f.

^[6] Schulte (1997), S. 12.

^[7] Vgl. Schierenbeck (2003), S. 4.

^[8] Vgl. Ott (2003), S. 138-140.

^[9] Vgl. Ott (2003), S. 140.

^[10] Unter Risikokosten sind hier Versicherungskosten, Kosten der Schadenverhütung und Verwaltung zu verstehen, vgl. Wolf /Runzheimer (2003), S. 32.

^[11] Vgl. Weber (2002), S. 416f.

^[12] Vgl. Ott (2003), S. 139f.

^[13] Die Risk Map wird in der Literatur auch als Risikoportfolio, Risikolandschaft oder Risikomatrix bezeichnet, vgl. Romeike (2001), S. 14.

^[14] Eine detaillierte Darstellung der Verfahren und Methoden zur Risikomessung und -quantifizierung geht über den Umfang dieser Arbeit hinaus. Die mathematisch-statistischen Einzelheiten sind darüber hinaus für die Identifikation der Erfolgsfaktoren von Risikomanagementsystemen nicht von Bedeutung. Für weiterführende Literatur für das Rating und Scoring siehe Reichling (2003); Wambach /Rödel (2001); für das Marktrisikomanagement siehe Jorion (2001); Traber (2000).

^[15] Vgl. Romeike (2001), S. 14f.

^[16] Vgl. Schierenbeck (2003), Ott (2003), S. 140; Wolf /Runzheimer (2003), S. 32; Romeike (2001), S. 14f.; Sage (1995), S. 12-15.

^[17] Vgl. Romeike (2001), S. 14; Kanzian (2002), S. 172f.; Wolf /Runzheimer (2003), S. 32f.

^[18] Vgl. Weber (2002), S. 417f.

^[19] Vgl. Schierenbeck (2003), S. 38f.

^[20] Vgl. Haller (1986), S. 31; Diederichs (2001), S. 189f.

^[21] Vgl. Diederichs (2001), S.190-192; Wolf /Runzheimer (2003), S. 90.

^[22] Vgl. Schierenbeck (2003), S. 39.

^[23] Vgl. Wolf /Runzheimer (2003), S. 90-93.

^[24] Vgl. Diederichs (2001), S. 192f.

^[25] Vgl. Schierenbeck (2003), S. 39.

^[26] Vgl. Hemmersmeier /Romeike (2001), S. 3f.; Chowdhury /Chan (2005), S. 172f.

^[27] Vgl. Hemmersmeier /Romeike (2001), S. 5; Reitwieser (2001), S. 15-19; Haastrup (1995), S. 49-55.

^[28] Vgl. Riemenschneider (2001), S. 3.

^[29] Vgl. Seghezzi (1997), S. 14.

^[30] Vgl. Eller, et al. (2002), S. 366f.

^[31] Vgl. Lawrenz /Schwaiger (2002), S. 7f.

^[32] Vgl. Eller, et al. (2002), S. 367.

^[33] Vgl. Spellmann (2002), S. 334-337; Gramlich (2002a), S. 1f.

^[34] Für eine detaillierte Darstellung idiosynkratischer und systematischer Einflussfaktoren siehe Bäuerle (2002).

^[35] Vgl. Spellmann (2002), S. 334-337; Gramlich (2002a), S. 1-3.

^[36] Eine detaillierte Darstellung der mathematischen und statistischen Modelle und Methoden zur Berechnung und Aggregation von Einzel- und Verbundrisiken geht über den Umfang dieser Arbeit hinaus und ist für das Forschungsziel, der Ableitung von Erfolgsfaktoren, nicht relevant. Für eine weitreichende Diskussion solcher Modelle siehe Spellmann (2002); Gramlich (2002b); Schierenbeck (2003); Jarrow /Turnbull (2000).

^[37] In der Literatur wird zusätzlich die prozessorientierte Integration vorgeschlagen. Da die Risikomanagementprozesse für Markt- und Kreditrisiko jedoch weitgehend identisch sind, ist dieses Integrationskonzept für die Integration von Risikomanagementsystemen ungeeignet und wird daher im weiteren Verlauf der Arbeit vernachlässigt. Zur prozessorientierten Integration vgl. Riemenschneider (2001), S. 62-65.

^[38] Vgl. Riemenschneider (2001), S. 54.

^[39] Vgl. Riemenschneider (2001), S. 59f.

^[40] Vgl. Felix, et al. (1997), S. 70f.

^[41] Vgl. Reitwieser (2001), S. 11f.

^[42] Vgl. Riemenschneider (2001), S. 2f.

^[43] Vgl. Daniel (1961), S. 116.

^[44] Vgl. Rockart (1979).

^[45] Rockart (1979), S. 85.

^[46] Rehkugler (1989), S. 631.

^[47] Vgl. Kube (1991), S. 2f.; Alazmi /Zairi (2003), S. 199f.

^[48] Vgl. Bahlmann (1982), S. 182.

^[49] Vgl. Balgheim, et al. (2004), S. 1246f.

^[50] Vgl. Rentrop (2004), S. 7f.

^[51] Eine empirische Untersuchung, inwieweit die in dieser Arbeit theoretisch abgeleiteten Erfolgsfaktoren mit den Einschätzungen der Praxis übereinstimmen, ist dagegen zu empfehlen, sobald eine ausreichende Grundgesamtheit besteht. Eine solche Erhebung ist aber im Rahmen der vorliegenden Arbeit in Hinblick auf den Umfang nicht möglich und bietet daher Potenzial für weitere Forschungsprojekte.