Beurteilung von operationellen Risiken und Möglichkeiten für die Gestaltung eines Frühwarnsystems für Finanzdienstleister am Beispiel der Allianz Deutschland AG

Inhaltsverzeichnis

Darstellungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung und Zielsetzung
1.2 Vorgehensweise

2. Begriffliche und theoretische Grundlagen
2.1 Definition der Begriffe Finanzdienstleister und Allfinanz
2.1.1 Begriffliche Abgrenzung gemäß §1 KWG
2.1.2 Definition von Allfinanz
2.2 Definition des Risikobegriffs
2.3 Risikosystematisierung
2.4 Operationelle Risiken
2.4.1 Aufsichtsrechtliche Regulierung von operationellen Risiken
2.4.2 Definition und Abgrenzung operationeller Risiken
2.4.3 Kategorisierung operationeller Risiken
2.4.4 Operationelles Risikomanagement
2.4.5 Identifizierung operationeller Risiken
2.4.5.1 Prozessmapping
2.4.5.2 Interne und externe Verlustdatenbank
2.4.5.3 Self Assessment
2.4.5.4 Risikoindikatoren
2.5 Definition des Begriffes Frühwarnsystem

3. Frühwarnsysteme
3.1 Rechtliche Rahmenbedingungen
3.2 Formen und Entwicklungsstufen von Frühwarnsystemen
3.2.1 Kennzahlen- und hochrechnungsorientierte Frühwarnsysteme
3.2.2 Indikatororientierte Frühwarnsysteme
3.2.3 Strategische Systeme
3.3 Risikoindikatoren
3.3.1 Eigenschaften von Risikoindikatoren
3.3.2 Definitionsprozess von Risikoindikatoren
3.4 State of the Art der Frühwarnsysteme für operationelle Risiken bei Finanzdienstleistern

4. Der Operational Risk Counter (ORC) – Ein Frühaufklärungssystem für operationelle Risiken
4.1 Das Konzept des Operational Risk Counters
4.2 Ablaufstruktur des Operational Risk Counters
4.2.1 Ermittlung der Beobachtungsbereiche
4.2.2 Skalierung
4.2.3 Ergebnisanalyse
4.2.4 Kontrolle / Feedback

5. Business Continuity Management
5.1 Einführung in das Konzept BCM
5.2 Notwendigkeit und Vorteile des BCM
5.3 Ziele und Prinzipien des BCM
5.4 Der BCM-Prozess

6. Ausgestaltung des ORC für BCM Themenfelder innerhalb der Allianz Deutschland AG
6.1 Kennzeichnung des Unternehmens Allianz Deutschland AG
6.2 Aufbau- und Ablauforganisation des BCM innerhalb der Allianz Deutschland AG
6.3 BCM Themenfelder als Beobachtungsbereiche
6.3.1 Themenfeld IT-Systeme
6.3.2 Themenfeld Mitarbeiterressourcen und Prozessabläufe
6.3.3 Allgemeine BCM-Bereitschaft
6.4 Skalierung
6.5 Ergebnisanalyse und Kontrolle

7. Beurteilung des Einsatzes von Frühwarnsystemen für operationelle Risiken
7.1 Vorteile durch den Einsatz eines Frühwarnsystems
7.2 Probleme bzw. Nachteile von Frühwarnsystemen

8. Zusammenfassung

Anhangverzeichnis

Anhang

Literaturverzeichnis

Darstellungsverzeichnis

Darst. 1: Allfinanzmerkmale

Darst. 2: Das Ursache-Wirkungs-Profil

Darst. 3: Risikosystematisierung

Darst. 4: Vergleich der Regelungen und Empfehlungen

Darst. 5: Beschreibung des Schadensereignisses

Darst. 6: Kategorisierung der Ursachen operationeller Risiken in der Allianz Deutschland AG

Darst. 7: Operational Risk Prozess

Darst. 8: Begriffshierarchie zwischen Frühwarnung, Früherkennung und Frühaufklärung

Darst. 9: Typologisierung von Frühaufklärungsansätzen

Darst. 10: Definitionsprozess von Risikoindikatoren

Darst. 11: Grundprinzip des Operational Risk Counters

Darst. 12: Kreislaufmodell des Operational Risk Counters (I)

Darst. 13: Beispiel 1 „Makro-Perspektive“

Darst. 14: Beispiel 2 „Mikro-Perspektive“

Darst. 15: Einteilung der Zonen nach dem Ampelprinzip

Darst. 16: Kausale Zusammenhänge

Darst. 17: Kreislaufmodell des Operational Risk Counters (II)

Darst. 18: Der BCM-Lebenszyklus

Darst. 19: Übersicht BCM-Prozess

Darst. 20: Vorgehen im BCM-Prozess am Beispiel des Risikobereichs Gebäude / Infrastruktur und Versicherungsbetrieb

Darst. 21: Unternehmensportrait der Allianz Deutschland AG

Darst. 22: Aufbauorganisation des BCM innerhalb der Allianz Deutschland AG

Darst 23: Der Operational Risk Counter für das Themenfeld „IT-Systeme“

Darst. 24: Der Operational Risk Counter für das Themenfeld „Mitarbeiterressourcen und Prozessabläufe“

Darst. 25: Der Operational Risk Counter für die BCM-Bereitschaft

Darst. 26: Einteilung der Zonen nach dem Ampelprinzip

Darst. 27: Scoring-System zur Bewertung der BCM-Bereitschaft

Darst. 28: Vor- und Nachteile von Frühaufklärungssystemen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung und Zielsetzung

Operationelle Risiken bilden die ältesten Risiken der Welt. Tatsache ist, dass operationelle Risiken bereits da waren, bevor man überhaupt das erste Mal über Markt, Kreditrisiken oder auch andere Risiken nachgedacht hat. Bereits vor der Gründung eines Unternehmens geht man die ersten operationellen Risiken ein.^[1] Insbesondere vor dem Hindergrund von Basel II bzw. Solvency II wurden in den vergangenen Jahren sowohl bei Banken als auch bei Versicherungsunternehmen große Anstrengungen unternommen, um die wiederentdeckte und über Jahrzehnte in Relation zu anderen Risikoarten vernachlässigte Risikoart besser in den „Griff“ zu bekommen.

Operationelle Risiken sind die potenziellen Verluste, die in Folge der Unzulänglichkeiten oder des Versagens von internen Prozessen, Mitarbeitern und Systemen oder in Folge externer Ereignisse eintreten.^[2] Die Beherrschung operationeller Risiken ist ein sehr wesentlicher Faktor zur Sicherung des Fortbestehens eines Unternehmens im heutigen wettbewerblichen Umfeld.

Ein wichtiges Instrument zur Risikoidentifikation sind Frühwarnsysteme, mit deren Hilfe Frühwarnindikatoren – zum einen externe Größen, wie Zinsen oder Konjunkturindizes, zum anderen aber auch interne Faktoren, wie etwa Fluktuation im Management oder Forderungspositionen bzw. -ausfälle – ihren Benutzern rechtzeitig latente, d. h. verdeckt bereits vorhandene, Risiken signalisieren, sodass noch hinreichend Zeit für die Ergreifung geeigneter Maßnahmen zur Abwendung oder Reduzierung der Bedrohung zur Verfügung steht.^[3] Frühwarnsysteme verschaffen dem Unternehmen Zeit für angemessene Reaktionen und optimieren somit die Steuerbarkeit eines Unternehmens, d.h. sie tragen zur Reduzierung potenzieller „Überraschungen“ bzw. Risiken bei.

Das Ziel der vorliegenden Arbeit ist es, das Konzept und die Ablaufstruktur eines Frühwarnsystems für operationelle Risiken bei Finanzdienstleistern zu beschreiben und es in der Praxis zu verifizieren.

1.2 Vorgehensweise

Im Rahmen dieser Arbeit wird zunächst die begriffliche und theoretische Grundlegung geschaffen (Kapitel zwei). Dabei werden die für die Arbeit relevanten Begriffe des Finanzdienstleisters, die Allfinanz sowie der Risikobegriff erläutert. Darauf folgt eine Systematisierung versicherungsbetrieblicher Risiken. Nachdem die ersten Grundlagen gelegt sind, wird im Anschluss daran die Risikokategorie "operationelle Risiken" anhand der rechtlichen und betriebswirtschaftlichen Grundlagen ausführlicher betrachtet. Des Weiteren sollen hier auch verschiedene Identifizierungsmöglichkeiten der oben genannten Risikoart aufgezeigt werden. Die u.a. beschriebenen Risikoindikatoren als Identifizierungsinstrument von operationellen Risiken bilden das zentrale Element des eigentlichen Schwerpunktes der Arbeit, nämlich der Gestaltung eines Frühwarnsystems für operationelle Risiken.

Im Kapitel drei wird der Fokus auf die Frühwarnsysteme gelegt. Es werden hier Formen und Entwicklungsstufen von Frühwarnsystemen dargelegt. Ferner wird das Rahmenwerk der Risikoindikatoren anhand von deren Eigenschaften und des Definitionsprozesses erläutert. Das Kapitel schließt mit der Präsentation des Entwicklungsstandes der Frühwarnsysteme für operationelle Risiken bei Finanzdienstleistern.

Nach der Darstellung der verschiedenen Frühwarnsysteme im vorherigen Kapitel stellt der vierte Gliederungspunkt das Konzept und die Ablaufstruktur des Operational Risk Counters (ORC) eines Frühaufklärungssystems (Frühwarnsystem) für operationelle Risiken dar.

Das Kapitel fünf widmet sich dem Thema Business Continuity Management (BCM), dessen Notwendigkeit und den Vorteilen für das Unternehmen, das BCM einsetzt. Ferner sollen hier die anvisierten Ziele, die grundlegenden Prinzipien sowie der Prozess des BCM aufgezeigt werden. Das im nächsten Kapitel demonstrierte Praxisbeispiel eines Frühwarnsystems ist eben für die BCM Themenfelder innerhalb der Allianz Deutschland AG ausgestaltet. Die BCM Themenfelder bilden eine Teilmenge der operationellen Risiken.

Nachdem die Grundlagen für ein umfassendes Verständnis der Konzeption und der Ablaufstruktur des ORC sowie der BCM-Thematik gelegt sind, wird in Kapitel sechs jenes Frühwarnsystem für BCM Themenfelder innerhalb der Allianz Deutschland AG ausge-staltet.

In Kapitel sieben sollen zum einen der allgemeine Einsatz von Frühwarnsystemen für operationelle Risiken beurteilt und zum anderen die Möglichkeiten und Grenzen des in dieser Arbeit vorgestellten Operational Risk Counters aufgezeigt werden.

Den Abschluss dieser Arbeit bildet die Zusammenfassung der zentralen Punkte in Kapitel acht.

2. Begriffliche und theoretische Grundlagen

2.1 Definition der Begriffe Finanzdienstleister und Allfinanz

2.1.1 Begriffliche Abgrenzung gemäß §1 KWG

Das Gesetz über das Kreditwesen (Kreditwesengesetz, KWG) definiert in §1 ausführlich Kreditinstitute, Finanzdienstleistungsinstitute und zusätzliche Begriffe.^[4] Gemäß §1 Abs. 1a KWG sind Finanzdienstleistungsinstitute Unternehmen, die Finanzdienstleistungen für Dritte erbringen. Obwohl Finanzdienstleistungsinstitute keine Kreditinstitute sind, benötigen sie ebenso wie diese eine Erlaubnis durch das Bundesaufsichtsamt für das Kreditwesen und unterliegen einer laufenden Überwachung. Analog zu den Kreditinstituten handelt es sich bei den Finanzdienstleistungsinstituten um Unternehmen, die ihre Leistungen gewerbsmäßig^[5] oder in einem Umfang anbieten, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert. Als Finanzdienstleistungen führt § 1 Abs. 1a KWG auf:

- Anlagevermittlung
- Abschlussvermittlung
- Finanzportfolioverwaltung
- Eigenhandel
- Drittstaateneinlagenvermittlung
- Finanztransfergeschäft und Sortengeschäft.^[6]

In Abgrenzung zu den Finanzdienstleistungsinstituten betreiben Kreditinstitute folgende Bankgeschäfte:

- Einlagengeschäft
- Kreditgeschäft
- Diskontgeschäft
- Finanzkommissionsgeschäft
- Depotgeschäft
- Investmentgeschäft
- Revolvinggeschäft
- Garantiegeschäft
- Girogeschäft
- Emissionsgeschäft
- Geldkartengeschäft
- Netzgeldgeschäft^[7]

Zusätzlich zu den Kreditinstituten und Finanzdienstleistungsinstituten definiert das KWG in § 1 weitere relevante Unternehmensbegriffe. Es handelt sich hierbei um spezielle Kreditinstitute bzw. um Unternehmen, die bankähnliche Geschäfte betreiben. Hierzu gehören Finanzunternehmen, Finanzholding-Gesellschaften, gemischte Unternehmen, Unternehmen mit bankbezogenen Hilfsleistungen, Einlagenkreditinstitute, Wertpapierhandelsunternehmen sowie Wertpapierhandelsbanken.^[8]

Ursprünglich stammt der Begriff „Finanzdienstleistung“ vom englischen „Financial Services“ und beinhaltet im Allgemeinen „Dienstleistungen von Banken, Wertpapierhäusern und Versicherungen, ... welche diese den privaten Haushalten anbieten.^[9] In diesem erweiterten Sinne sollen im Rahmen dieser Arbeit unter die Finanzdienstleistungen auch die Leistungen aus Bankengeschäften, Versicherungsgeschäften sowie Finanzunternehmen subsumiert werden. Finanzdienstleister oder Finanzdienstleistungsunternehmen sind also Institute bzw. Bankbetriebe (Kreditinstitute und Finanzdienstleistungsinstitute einschließlich Wertpapierhandelsunternehmen und Wertpapierhandelsbanken), Versicherungsbetriebe sowie Finanzunternehmen. Sie versuchen, durch ihr Produkt- bzw. Leistungssortiment, das neben den Bankleistungen z.B. auch Versicherungen, Leasing, Vermögensverwaltung oder Immobilienvermittlung beinhaltet, alle finanziellen Kundenbedürfnisse zu erfüllen.

2.1.2 Definition von Allfinanz

Ein solches „breit gefächertes Angebot von Finanzprodukten mit flankierender Betreuung für Privatkunden aus einer Hand, wie es im Schlussteil des vorigen Abschnitts beschrieben wurde, entspricht dem Konzept des Allfinanz.^[10]

Die Allfinanz beschreibt also das Angebot unterschiedlicher Finanzprodukte bei gleichzeitiger Zusammenarbeit zwischen Finanzinstitutionen verschiedener Branchen. Hierzu zählen in erster Linie Geschäftsbanken, Versicherungsunternehmen, Bausparkassen, Hypothekenbanken, Kapitalanlagegesellschaften, Leasinggesellschaften, Immobilienmakler und Kreditkartenorganisationen. Wie bereits erwähnt, sind Privatkunden die primäre Zielgruppe der Allfinanz. Dabei bilden die intensive Beratung und Betreuung der Kunden die zentralen Bausteine der Konzeption.

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Vgl. Becker / Peppmeier, [Bankbetriebslehre, 2002], S. 99.

Darst. 1: Allfinanzmerkmale

Der Allfinanzgedanke in seiner Gesamtheit lässt sich am besten erfassen, indem zwei Elemente berücksichtigt werden. Zum einen ist es das Angebot (produktorientierte Ebene) und zum anderen die eventuell gemeinsame Entwicklung verschiedenartiger Finanzprodukte sowie die Zusammenarbeit zwischen unterschiedlichen Finanzinstitutionen (institutionelle Ebene). Beide Institutionen sind nicht isoliert voneinander zu betrachten, sondern bedingen sich gegenseitig. So setzt bspw. der Vertrieb von Produkten des Allfinanzpartners eine institutionelle Verbindung, z.B. in Form einer Kooperation mit diesem Partner, voraus.

Innerhalb der Produktebene weisen die Allfinanzprodukte Gemeinsamkeiten im Leistungsumfang und/oder in der Vertriebsart auf. So kann von Allfinanz gesprochen werden, wenn Banken Leistungen aus den Geschäftsfeldern anderer Institutionen und/oder Nichtbanken banknahe Leistungen in ihr Programm aufnehmen. Dies können branchenspezifische Produkte, wie Sparbücher und Zahlungsverkehr (Bankbranchen), Lebensversicherungen (Versicherungsbranche) und Immobilienvermittlung (Immobilienmaklerbranche) und branchenübergreifende Produkte, wie Sparpläne mit Versicherungsschutz oder Tilgung eines Baudarlehens mit einer Kapitallebensversicherung, sein.

Charakteristisch für die Allfinanz ist auch die Nutzung gemeinsamer Vertriebswege für den Absatz der branchenspezifischen und –übergreifenden Produkte. D.h., Allfinanzpartner vermitteln oder verkaufen die gemeinsam oder vom anderen Partner generierten Produkte.

Auf der institutionellen Ebene wird das Allfinanzkonzept an Hand der verschieden stark ausgeprägten Beziehungen zwischen den Finanzdienstleistungspartnern unterschieden. Im Wesentlichen wird zwischen Konzern, Minderheitsbeteiligung, Verbund und vertraglicher Kooperation differenziert.^[11]

2.2 Definition des Risikobegriffes

Der Terminus des Risikos wird im allgemeinen Sprachgebrauch und in der Literatur unterschiedlich definiert. Der Duden definiert „Risiko“ als Verlustmöglichkeit bei einer unsicheren Unternehmung“.^[12] In der Betriebswirtschaftslehre ist der Risikobegriff weit verbreitet und wird in den unterschiedlichen Bereichen meist mit unterschiedlichen Bedeutungsinhalten verwendet.^[13] Im wirtschaftlichen Zusammenhang bezieht sich das Risiko auf Entscheidungen mit freier Wahlmöglichkeit. Die Entscheidungen sind durch die Unsicherheit über die möglichen Konsequenzen geprägt.^[14] Sowohl in der Versicherungsbetriebswirtschaft als auch in der Bankbetriebswirtschaft wird der Begriff „Risiko“ überwiegend als Schwankung des Ergebnisses um einen Erwartungswert verstanden. Ist eine positive Zielabweichung vom Erwartungswert zu beobachten, wird dies als „Chance“ bezeichnet und üblicherweise nicht bei der Bestimmung des Risikos berücksichtigt.^[15] Negative Abweichungen wiederum werden als das eigentliche Risiko bezeichnet, wobei es sich sowohl um monetäre Verluste (buchhalterische Verluste) als auch um Gewinnreduzierungen handeln kann.^[16] Diese Überlegungen werden in der folgenden Abbildung veranschaulicht:

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Vgl. Piaz, [ORM, 2002], S. 13.

Darst. 2: Ursache-Wirkungs-Profil

Eine weitere Unterscheidung in latente und akute Risiken ist sinnvoll. Unter latenten Risiken versteht man vorhandene, aber noch nicht in Erscheinung getretene, d.h. schlagend gewordene Risiken. Dagegen sind akute Risiken direkt messbar und in ihren Auswirkungen evident.^[17]

2.3 Risikosystematisierung

Die Risikolandschaft bzw. das Risikoprofil eines Finanzdienstleisters ist mannigfaltig und hängt vom angebotenen Leistungssortiment ab. So unterscheidet sich bspw. jenes eines Bankbetriebes von dem eines Versicherungsunternehmens. Im Hinblick auf das Praxisbeispiel in der vorliegenden Arbeit soll hier der Risikosystematisierung für einen Versicherer gefolgt werden.

Die nachfolgende Grafik zeigt die zentralen Risikoarten eines Versicherungsunternehmens. Die Systematisierung der Risiken erfolgt in der Literatur auf unterschiedliche Art und Weise, deshalb kann die gewählte Darstellung nur ein Ansatz von vielen möglichen sein.^[18]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung

Darst. 3: Risikosystematisierung

Die in der Abbildung 3 dargestellten versicherungsbetrieblichen Risiken, die nicht zu den operationellen Risiken gehören, werden hier kurz erläutert. Der ausführlichen Beschreibung der operationellen Risiken widmet sich das Kapitel 2.4.

Neben dem allgemeinen unternehmerischen Risiko besteht für ein Versicherungsunternehmen die Gefahr, dass in einem bestimmten Zeitraum der Gesamtschaden die Summe der zu Verfügung stehenden Gesamtprämien (inklusive Sicherheitsmittel) übersteigt. Das so genannte versicherungstechnische Risiko wird weiter unterteilt in das Zufalls-, Änderungs- und Irrtumsrisiko.^[19]

Unter dem Marktrisiko wird das Wertänderungsrisiko von Investitionen durch unvorhergesehene Schwankungen von Zinskurven, Aktien- und Wechselkursen sowie das Risiko, das sich aus den Veränderungen des Marktwertes von Immobilien und Beteiligungen ergibt, verstanden.^[20]

Beim Ausfallrisiko handelt es sich bei Versicherungsunternehmen vor allem um den Ausfall von Forderungen, z.B. um den Ausfall eines Emittenten von Wertpapieren oder um den Ausfall von Forderungen aus Rückversicherungsbeziehungen.^[21]

Unter dem Risiko aus Asset Liability Mismatch versteht man die fehlende betragsmäßige oder zeitliche Übereinstimmung der versicherungstechnischen Verpflichtungen mit den zu deren Deckung dienenden Aktivposten.^[22]

2.4 Operationelle Risiken

2.4.1 Aufsichtsrechtliche Regulierung von operationellen Risiken

Wie bereits im Einleitungsteil der vorliegenden Arbeit erwähnt wurde, sind operationelle Risiken kein neues Feld. Sie stellen sogar die ältesten Risiken der Welt dar. Man geht sie bereits vor der Gründung eines Unternehmens ein. Denkbar ist, dass es sie schon seit der Entstehung des modernen Risikobegriffs im 15. Jahrhundert in den europäischen Volkssprachen gibt. In der Finanzdienstleistungsindustrie wurde die Aufmerksamkeit auf die operationellen Risiken erstmals durch den Zusammenbruch der Herstatt-Bank im Jahre 1974 gelenkt.^[23] Wenig später wurde 1975 als Reaktion darauf der Einlagesicherungsfonds des Bundesverbandes der deutschen Banken gegründet.

In den darauf folgenden Jahren hat sich die Finanzdienstleistungsbranche weiter stark gewandelt. Die Entwicklungen, wie die zunehmende Globalisierung, das Wachstum und die ansteigende Komplexität der Geschäfte sowie der Terrorismus und die Elementarschäden in neuen Größenordnungen waren von spektakulären Verlustereignissen begleitet. So geriet die Barings Bank durch den Betrug ihres Händlers Nick Leeson und fehlende Funktionstrennung sowie Überwachung in die Insolvenz. Weitere benannte Beispiele für Verluste aus operationellen Risiken sind u.a. Multitone Electronics (1991) in Großbritannien mit einem Verlust von GBP 284 000, die Daiwa Bank (1995) in den USA mit Verlusten in Höhe von USD 1,1 Milliarden sowie die Sumitomo Corporation (1996) mit Verlusten von ca. 1,8 Milliarden über einen Zeitraum von etwa zehn Jahren.

Darüber hinaus haben die Terroranschläge auf das World Trade Center (WTC) in New York am 11. September 2001 das mögliche Ausmaß von operationellen Risiken deutlich gemacht.^[24]

Immer deutlicher wurde die Notwendigkeit einer verschärften gesetzlichen Regulierung. Wiederum reagierte nur die Bankenbranche. Das Bundesaufsichtsamt für das Kreditwesen verfasste die so genannten Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute (MaH), die im Jahr 1995 in Kraft traten. Die MaH zielen auf die Etablierung einer Controlling-Infrastruktur für die technischen, fachlichen und organisatorischen Gesichtpunkte eines Kreditinstituts.^[25] Sie gelten für alle Kreditinstitute in Deutschland, die Handelgeschäfte betreiben, einschließlich ihrer Zweigstellen im Ausland.^[26] Neben den Marktrisiken beziehen sich die risikopolitischen Regulierungen der MaH auch auf die operationellen Risiken. Ein wichtiger Aspekt in Hinsicht auf die operationellen Risiken war die Trennung zwischen der organisatorischen und funktionalen Organisation der Handelstätigkeit und dem Front- und Backoffice.^[27] Weitere Trennungsvorschriften betrafen das Rechnungswesen, die Abwicklung und Kontrolle, das Monitoring sowie die EDV-Systeme. Ebenfalls bedeutend waren die Vorschriften für das Risikomanagement. Gefordert wurde der Aufbau eines adäquaten Systems zur Risikomessung und Überwachung, zur Analyse der Risikoverlustpotentiale und zur Risikosteuerung.^[28] In Hinsicht auf operationelle Risiken wurden die Mitarbeiterrisiken angesprochen. Die allgemeinen Anforderungen umfassten u.a. die erforderliche Qualifikation und das angemessene Verhalten von Mitarbeitern. Ferner wurden Vorschriften zur Vermeidung von Betrug getroffen.^[29]

Weitere Beachtung finden die operationellen Risiken im Gesetz über das Kreditwesen (KWG) (zuletzt in der 6. KWG-Novelle vom 01.01. 1998). Hiernach muss jedes Kreditinstitut über geeignete Regelungen zur Steuerung, Überwachung und Kontrolle der Risiken sowie über angemessene Regelungen verfügen, um die finanzielle Lage zu jedem Zeitpunkt mit hinreichender Genauigkeit bestimmen zu können.^[30] Zudem werden eine ordnungsgemäße Geschäftsorganisation und ein angemessenes internes Kontrollverfahren gefordert sowie Sicherheitsmaßnahmen für die elektronische Datenverarbeitung und gegen betrügerische Handlungen. Zuletzt lagen die Personenrisiken im Fokus des Kreditwesengesetzes, in dem die Zulassung zum Geschäftsbetrieb den Personen verweigert wird, die nicht zuverlässig sind und nicht über die erforderliche fachliche Eignung verfügen.^[31]

Eine branchenübergreifende Aufmerksamkeit erhielt das Problem der operationellen Risiken durch das am 1. Mai 1998 in Kraft getretene Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Das KonTraG erstreckt sich vor allem auf börsennotierte Unternehmen, hat jedoch auch Ausstrahlwirkungen auf andere Kapitalgesellschaften. Es bezieht sich in seinen Änderungen vornehmlich auf das Aktiengesetz, das Handelsgesetz, das Publizitätsgesetz und das Genossenschaftsgesetz^[32]. Durch das KonTraG wurde der § 91 Abs. 2 AktG eingeführt, durch den der Vorstand einer Aktiengesellschaft sich verpflichtet, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.^[33] Mit anderen Worten: der Vorstand ist verpflichtet, ein Risikomanagement-System als Frühwarnsystem in den Unternehmensablauf zu integrieren.

Die 2002 in Kraft getretenen Mindestanforderungen an das Kreditgeschäft der Kreditinstitute (MaK) setzen die positive Entwicklung zu mehr Risikobewusstsein fort.

Die bedeutendsten Quellen der aufsichtsrechtlichen Risikoregulierung in der Finanzindustrie, insbesondere für operationelle Risiken, sind der Basler Ausschuss für Bankenaufsicht^[34] sowie die EU-Kommission. Das vom Basler Ausschuss für Bankenaufsicht entworfene und weiterentwickelte Regelwerk, das in der Öffentlichkeit unter dem Begriff „Basel II“^[35] bekannt ist, gilt für Unternehmen im Finanzmarkt, während das von der EU-Kommission im Zeitablauf erst später verfolgte Projekt „Solvency II“^[36] seinen Geltungsbereich für europäische Versicherungsunternehmen hat. Beide Regelwerke zielen auf ein System, das stärker als bisher in der Lage sein soll, die tatsächlichen Risiken (umfassend^[37]), realistisch und zeitnah darzustellen und mit ausreichend Eigenkapital zu unterlegen. Ferner soll durch Solvency II eine EU-weite Harmonisierung des Aufsichtsrechts^[38] erreicht werden, das insbesondere auch die bisher bestehenden Arbitragemöglichkeiten zwischen dem Versicherungs- und Bankensektor beenden soll.

Im Jahr 1999 wurde im ersten Konsultationspapier des Basler Ausschusses angekündigt, dass auch andere Risiken „.principally operational risk“^[39] in der Eigenkapitalunterlegung berücksichtigt werden müssen. Erstmalig explizit wurden die operationellen Risiken im September 1998 im Working Paper „Operational Risk Management“ erwähnt.^[40]

Im Januar 2001 erschien das zweite Konsultationspapier, welches die Darstellung des Konzeptes anhand von drei, sich gegenseitig stützenden Säulen beinhaltet. In der ersten Säule wurde der Begriff „operationelle Risiken“ definiert. Außerdem wurden drei Berechnungsansätze für die Eigenkapitalunterlegung sowie die dazugehörenden Anforderungen für die Anwendung der jeweiligen Methode vorgestellt.^[41] Vom Einfachen zum Aufwändigeren geordnet, sind es der Basisindikatorenansatz (BIA), der Standardansatz und die so genannten ambitionierten Messansätze (Advanced measurement approaches, AMA).^[42]

Im Projekt „Solvency II“, welches zeitlich später als Basel II umgesetzt wird, wird analog ein 3-Säulen-Ansatz verfolgt. Die Definition des Begriffes „operationelle Risiken“ ist ebenfalls stark an Basel II angelehnt. Im Gegensatz zum Ansatz der Banken, in dem nur ausgewählte Einzelrisiken (Kreditausfall-; Marktpreis- und operationelles Risiko) betrachtet werden, bildet bei den Versicherungen ein Risikoverständnis, das auf der Gesamtsolvabilität^[43] des Unternehmens aufbaut, die Grundlage des künftigen Aufsichtssystems. In Säule Eins werden die Eigenmittelanforderungen zwischen einem Zielkapital, das dem ökonomischen Kapital eines Versicherers entspricht, und einem Mindestkapital unterschieden. Bei Unterschreiten des Mindestkapitals ist ein abgestufter Maßnahmenkatalog bis hin zum aktiven Eingreifen in die Unternehmensführung vorgesehen. Auf zwei Wegen soll die Erfüllung aufsichtsrechtlicher Eigenkapitalanforderungen nachgewiesen werden können. Einerseits anhand eines risikobasierten Standartansatzes, anderseits können Unternehmen mit einem entwickelten Risikomanagement auch ihre internen Modelle von der Aufsicht anerkennen lassen.^[44]

Die zweite Säule „Aufsichtsrechtliches Überprüfungsverfahren“ beinhaltet Vorschriften für die Prozesse des Risikomanagements und der Risikokontrolle durch die Aufsichtsbehörde. Der aufsichtrechtliche Überprüfungsprozess im Versicherungsbereich ähnelt dem Überprüfungsverfahren der Banken sehr. Die vier Grundsätze des Überprüfungsprozesses sind:

- die Beurteilung der Angemessenheit der Eigenkapitalausstattung
- die umfassende Beurteilung der Risiken
- Monitoring und Reporting
- die Überprüfung der internen Kontrollen^[45]

Eine präventive, qualitative und risikoorientierte Überwachung der Unternehmen soll dadurch erreicht werden. Die Aufsichtsinstanzen sollen sicherstellen, dass die ausgewählten Methoden nicht nur das Risikoprofil abdecken, sondern auch, dass sie in den Betriebsablauf und in die internen Kontrollen eingebunden sind. Eine Vor-Ort-Prüfung ermöglicht es, die Risikosituation im Unternehmen besser zu beurteilen. Die aktive Zusammenarbeit zwischen dem Risikomanagement eines Unternehmens und der Aufsichtsbehörde schafft auch Incentives für die Weiterentwicklung des Risikomanagements. Das Management hat als Aufgabe, den Risikomanagementprozess zu organisieren und seine fortlaufende Kontrolle durch geeignete Reportingprozesse zu gewährleisten. Ferner soll der Prozess Gegenstand der internen Kontrolle sein und durch eine unabhängige interne Revision periodisch überprüft werden.^[46]

Die dritte Säule „Marktdisziplin“ beabsichtigt durch verstärkte Publizitätsanforderungen zu den Bereichen Eigenkapitalvorschriften, Anwendungsbereich, Eigenkapitalstruktur, eingegangene Risiken und Eigenmitteladäquanz die Markttransparenz und damit die Marktdisziplin zu erhöhen.^[47] Die Säule „Marktdisziplin“ hat eine ergänzende Funktion im Hinblick auf die anderen Säulen. Auch hier gibt es eine deutliche Parallelität zwischen Basel II und Solvency II.

Ergänzend zu Basel II wurde vom Basler Ausschuss im Jahr 2001 eine erste Fassung der „Sound Practices for the Management an Supervision of Operational Risk“ veröffentlicht und 2003 endgefasst. Diese Praxisempfehlungen beschreiben u.a. die Rollen und Verantwortlichkeiten, den organisatorischen Aufbau sowie die qualitativen Anforderungen an das Risikomanagement. Die Umsetzung der hier formulierten Grundprinzipien des Managements und der Überwachung von operationellen Risiken wird von jedem international tätigen Kreditinstitut erwartet.^[48] Ein analoges Vorgehen ist ebenfalls bei Solvency II vorgesehen.

Abschließend werden die Anforderungen des Sarbanes-Oxley-Act (SOX) betrachtet, der von Unternehmen mit US-amerikanischem Listing zu beachten ist. Der SOX nimmt die Unternehmensleitung stärker für die Vollständigkeit, Genauigkeit und Richtigkeit der Angaben bei der periodischen Berichterstattung in die Pflicht. Im Rahmen der periodischen Unternehmensberichterstattung soll durch die Unternehmensleitung zusätzlich fortlaufend über die Funktionsfähigkeit des internen Kontrollsystems berichtet werden.^[49]

Die unten stehende Tabelle vergleicht die im Zeitablauf erläuterten aufsichtsrechtlichen Regelungen hinsichtlich der Risikokategorien^[50] und der vorgeschlagenen Maßnahmen:

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung in Anlehnung an Minz [Oprisk, 2004], S.44.

Darst. 4: Vergleich der Regelungen und Empfehlungen

2.4.2 Definition und Abgrenzung operationeller Risiken

Die Definition des Basler Ausschusses wird in der Finanzindustrie allgemein akzeptiert. Darauf basierend, formulieren die einzelnen Finanzdienstleistungsunternehmen eine eigene Definition für OpRisk. In der vorliegenden Arbeit wird im Hinblick auf das Praxisbeispiel der Definition des Committee of European Insurance and Occupational Pensions Supervisors (CEIOPS^[51]), welche sich an Basel II anlehnt, gefolgt. CEIOPS definiert operationelle Risiken wie folgt: „Operationelle Risiken sind die Gefahr von Verlusten als Folge von Unzulänglichkeiten oder des Versagens von Menschen, internen Prozessen oder Systemen sowie auf Grund externer Ereignisse. Rechtsrisiken sind eingeschlossen“.^[52] Analog zur Basel II fallen Reputationsrisiken, Risiken aus strategischen Entscheidungen sowie die im Rahmen von Versicherungsprodukten aktiv übernommenen Risiken nicht unter die operationellen Risiken.

In der Allianz Deutschland AG wird unter operationellem Risiko das „Risiko von finanziellen Verlusten für das Unternehmen, die unmittelbar aus Unzulänglichkeiten oder Fehlern, bedingt durch technische Ressourcen, Menschen, Organisation oder externe Faktoren, in Prozessen oder Kontrollen entstehen“.^[53] Inklusive Rechtsrisiken, exklusive strategische Risiken und Reputationsrisiken.^[54]

2.4.3 Kategorisierung operationeller Risiken

Operationelle Risiken können unterschiedlich strukturiert werden. In der Praxis sind die Einteilungen nach Ursachenkategorien oder Ereigniskategorien gemäß des Basler Akkords am weitesten verbreitet. Zu unterscheiden ist bei der Strukturierung der „Operational Risk“ zwischen den daraus resultierenden Verlusten den mutmaßlichen Ursachen bzw. Auslösern und den Effekten, die das Ereignis bewirkt.^[55] (Vgl. Abbildung 5):

Abbildung in dieser Leseprobe nicht enthalten

Quelle: GDV, [Versicherungsaufsicht, 2007], S.9.

Darst. 5: Beschreibung des Schadensereignisses

Die Kategorisierung operationeller Risiken nach Ursachen ist wichtig, um die Verluste aus operationellen Risiken von den Verlusten aus anderen Risikoarten (Markt- und Kreditrisiken) eindeutig unterscheiden zu können. Dabei sollen die Risikokategorien und -unterkategorien möglichst ursachenbezogen voneinander abgegrenzt werden, um die Risiken präventiv steuern zu können. Ferner kann so eine Risikoursache im Verlustfall identifiziert und objektiv eingeordnet werden. Der Basler Ausschuss bzw. Solvency II nennen in ihrer Definition vier Hauptrisikokategorien:

- interne Prozesse
- Menschen
- Systeme und
- externe Ereignisse.^[56]

Die Allianz Deutschland AG hat in ihrer Definition folgende Haupt- und Subkategorien definiert:

Abbildung in dieser Leseprobe nicht enthalten

Quelle: ADAG, [ORM 2007], S. 5.

Darst. 6: Kategorisierung der Ursachen operationeller Risiken in der Allianz Deutschland AG

Die Risikokategorie „interne Prozesse“ wird in der Allianz Deutschland AG durch die Kategorie „Organisation“ ersetzt. Das ist auch sinnvoll, denn ein Prozessfehler wird normalerweise durch einen Mangel des Personals, der Prozessorganisation, der Prozessorganisation, des IT-Systems oder durch einen externen Eingriff verursacht.^[57]

Eine Kategorisierung nach Ereignissen bietet sich an, um eine einheitliche Kategorisierung für Banken und Versicherungen zu gewährleisten, beispielsweise für Allfinanzgruppen. Gemäß Basel II sind die Hauptkategorien:

- Absichtliches Fehlverhalten (internal fraud)
- Unzulässige Handlungen durch Externe (external fraud)
- Beschäftigungsverhältnisse und Arbeitssicherheit (employment practices and workplace safety
- Geschäftspraktiken und Produkteigenschaften (clients, produkt & business practices)
- Schäden an der Betriebs- und Geschäftsausstattung (damage to physical assets)
- Betriebsunterbrechung und Versagen technischer Systeme (business disruption an system failure)
- Geschäftsprozessrisiken (execution, delivery and process management).

Eine Untergliederung sollte analog zu der Kategorisierung nach Ursachen auch vom Unternehmen definiert werden.

Letztendlich ist es die Aufgabe der Unternehmen, die einzelnen Haupt- und Subkategorien zu definieren und genau voneinander abzugrenzen, um eine Doppelerfassung von operationalen Verlusten zu vermeiden. Orientieren sollte sie sich am „best practice“ der Finanzwirtschaft.^[58]

2.4.4 Operationelles Risikomanagement

Der Managementprozess operationeller Risiken umfasst fünf Schritte. Die einzelnen Schritte des „Operational Risk Management“ zeigt die nachstehende Abbildung:

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung in Anlehnung an Basel Committee of Banking Supervision, [Sound Practices, 2003], S. 8 ff.. u. ADAG, [ORM, 2007], S. 17.

Darst. 7: Operational Risk Prozess

Die Prozessschritte, die die Zielsetzung der Arbeit nur am Rande tangieren, werden hier nur kurz erläutert.

Ziel der Risikoidentifizierung ist die strukturierte Erfassung von operationellen Risiken.

Die Basis für die Identifizierung bildet das Prozessmapping. Die Risikoidentifizierungsinstrumente sind im Wesentlichen die Verlustdatensammlung, das Self Assessment und die Risikoindikatoren.^[59]

Risikoindikatoren sind vor dem Hintergrund der Gestaltung eines indikatororientierten Frühwarnsystems von zentraler Bedeutung für die Arbeit und sollen im darauf folgenden Gliederungspunkt im Kreise des Risikoidentifizierungsinstrumentariums detailliert erläutert werden.

Nachdem die operationellen Risiken identifiziert wurden, können sie in einem weiteren Schritt quantifiziert werden. Auf Grundlage der Bewertungsergebnisse erfolgt die Eigenkapitalunterlegung. Der Baseler Ausschuss und Solvency II sehen drei methodische Ansätze zur Unterlegung operationeller Risiken mit Eigenkapital bzw. Solvenzkapital vor:

- Basisindikatoransatz
- Standardansatz
- Ambitionierte bzw. fortgeschrittene Messansätze^[60]

Die Entscheidungen, die im Rahmen der Steuerung operationeller Risiken getroffen werden, basieren auf den Informationen, die aus der Identifizierung, Bewertung und dem nachgelagerten Prozessschritt Reporting abgeleitet werden. Der Einsatz von Steuerungsmaßnahmen durch das Management zielt auf die Prävention der Risikoereignisse, die Verminderung der Auswirkungen der eingetretenen Verlustereignisse sowie auf die Überwachung und Kontrolle der potenziellen Schwachstellen. Grundsätzlich stehen für die Steuerung operationeller Risiken die Entscheidungsalternativen Vermeiden, Vermindern, Transferieren oder Akzeptieren zur Auswahl.^[61]

In der letzten Phase des Riskomanagementprozesses geht es um das Überwachen und „Reporten“ von operationellen Risiken. Durch das Monitoring kann das Management sicherstellen, dass das tatsächliche OpRisikoprofil dem gewünschten OpRisikoprofil entspricht. Das Monitoring ist ein kontinuierlicher Prozess zur Überwachung der Entwicklung des OpRisikoprofils im Zeitverlauf. Das wirksamste Instrument für eine zeitnahe Beobachtung der Risikoentwicklung ist ein Frühwarnsystem. Die zentralen Elemente eines Frühwarnsystems bilden die Risikoindikatoren der ersten Phase des operationellen Risikomanagements. Die Risikoberichterstattung soll abschließend die Risikolage der operativen Geschäfte und des Gesamtunternehmens jederzeit transparent machen.^[62]

2.4.5 Identifizierung operationeller Risiken

2.4.5.1 Prozessmapping

Wie bereits im vorigen Kapitel erwähnt, beginnt die Identifizierung operationeller Risiken mit dem Prozessmapping. Hierbei werden alle Prozesse in einem Unternehmen mit Hilfe des Produktflussmodells abgebildet. Die Prozesse werden nach einem Produkt, einer Lokation und Organisationseinheit kategorisiert. Diese Geschäftprozessmodellierung dient als Grundlage für die Verlustdatensammlung, die Durchführung des Self Assessment, den Einsatz von Risikoindikatoren und ermöglicht die Risikoquantifizierung nach Produkt, Lokation oder Organisationseinheit.^[63]

In der Allianz Deutschland AG wird das Prozessmapping durch die zentrale IT-Anwendung „Adonis“ unterstützt. Die Software „Adonis“ ist speziell für das Geschäftsprozessmanagement entwickelt worden und bietet Möglichkeiten zur Prozessdokumentation und Organisationsmanagement. Die wichtigsten Komponenten des Geschäftsprozessmanagements Toolkit sind die Modellierungskomponente, die die Werkzeuge zur Verfügung stellt, die zur Prozessabbildung benötigt werden, die Analysekomponente für Abfragungen, z.B. der Prozesse, die Simulationskomponente, mit der Simulationen von Geschäftsprozessen in Verbindung mit Organigrammen durchgeführt werden sowie die Dokumentationskomponente, die die Möglichkeit bietet, Prozesse und ihre Beschreibungen aus ADONIS „herauszugenerieren“ und auf elektronischem Weg zur Verfügung zu stellen (z.B. HTML- oder Word-Format).^[64]

2.4.5.2 Interne und externe Verlustdatenbank

Ein quantitatives Instrument zur Identifizierung operationeller Risiken ist die Verlustdatensammlung. Gemäß den aufsichtsrechtlichen Regelungen gehört das Sammeln interner Verluste zu den Anforderungen. Die systematische Sammlung von Verlustereignissen in einer Verlustdatenbank ist die Basis für die quantitative Risikoanalyse, u.a. bildet sie die Grundlage zur Berechnung der benötigten Eigenkapitalunterlegung für operationelle Risiken.^[65] Sie ermöglicht die Beschreibung von individuellen Risikoprofilen, das Nachvollziehen von Verlustfällen und die Identifizierung von Schwächen in Prozessen und Kontrollen. Ferner dient sie als Entscheidungshilfe für künftige Maßnahmen zur Risikovermeidung, der Vermeidung von künftigen Verlusten und beschleunigt die Entwicklung einer adäquaten Risikokultur und Kommunikation. Bei der Sammlung der Verlustdaten müssen die Verlustinformationen, wie Eintrittsdatum des Verlustereignisses, Datum der Schadenwahrnehmung, verursachender Unternehmensbereich, betroffener Unternehmensbereich, Risikokategorie etc. erhoben werden.^[66]

In einer Lost Data Base werden üblicherweise die sog. „high-frequency – low severity„ – Risiken^[67] (z.B. kleine Betrugsdelikte) vorhanden sein. Die sog. „low-frequency - high severity“ – Risiken^[68] (Naturkatastrophen oder Terroranschläge) werden in einer internen Verlustdatenbank selten vorhanden sein. Da sie in der Betrachtungsperiode nicht eingetreten sind. werden externe Verlustdaten benötigt. Bei der Anwendung der externen Daten müssen allerdings die Qualitätsunterschiede der Kontroll- und Überwachungssysteme sowie die Unterschiede der Sammelsysteme berücksichtigt werden.^[69]

In der Allianz Deutschland AG wird die Verlustdatensammlung durch eine internetbasierte Standardplattform eines externen Dienstleisters unterstützt.

2.4.5.3 Self Assessment

Zur qualitativen Identifikation der operationellen Risiken wird oft ein so genanntes „Self Assessment“ bzw. „Risk Assessment“ durchgeführt. Es handelt sich hierbei um eine strukturierte (in der Praxis wird es deshalb auch oft „Structered Self Assessment“ genannt) Beurteilung der operationellen Risiken in Prozessen und die Bewertung der Prozessqualität durch die Experten anhand eines Fragebogens. Die Selbsteinschätzung steht in Mittelpunkt des Self Assessments, bei dem ausgewählte Mitarbeiter, Experten und Prozessverantwortliche die Relevanz der Risikofaktoren, die Folgen des Versagens von Kontrollen sowie die Prozessqualität einschätzen. Anhand von Szenarien über mögliche Ereigniseintritte kann die Eintrittswahrscheinlichkeit und die potenzielle Auswirkung eingeschätzt werden.^[70]

In der Allianz Deutschland AG wird das „Structered Self Assessment“ regelmäßig in Workshops durchgeführt. Hierbei identifizieren die Workshopteilnehmer, bestehend aus Mitarbeitern des Riskcontrollings und Prozessverantwortlichen, operationelle Hauptrisiken sowie Prozess- und Kontrollschwächen, die bedeutende OR-Verluste zur Folge haben könnten. Zur Unterstützung der Einschätzung der Risikoprofile werden allgemein gültige und standardisierte Risikoszenarien, die auf Erfahrungswerten basieren, eingesetzt.

2.4.5.4 Risikoindikatoren

Ein weiteres qualitatives Instrument zur Identifikation von operationellen Risiken sind die Risikoindikatoren. Sie sind ein wirksames Tool, um die bedrohliche Entwicklung operationeller Risiken rechtzeitig aufzdecken und somit Verlusten vorbeugen zu können. Risikoindikatoren sind Parameter, die in die Unternehmensprozesse integriert werden und negative Risikoereignisse, die in einem Prozess auftreten, vorhersehen können. Die Beobachtungen durch die Indikatoren erfolgen zeitnah und das Management erhält relativ schnell einen sachgerechten und verlässlichen Bereicht über die Risikoentwicklung. Somit schaffen die Risikoindikatoren die Voraussetzungen für ein effektives Day-to-day Management, wobei nicht nur den Risikoereignissen vorgebeugt, sondern auch ungünstige Trends der operationellen Risikoentwicklung entdeckt werden. Um Werte eines Risikoindikators interpretieren zu können, müssen die Grenzwerte festgesetzt werden. Sobald die Grenzwerte überschritten werden, wird das Management umgehend benachrichtigt. Außerdem werden die Verantwortlichen benachrichtigt, wenn die Indikator-Werte sich stetig verschlechtern, was auf ein steigendes Risikopotential hindeuten kann.^[71] Um die oben genannten Ziele (Vorbeugung von Risikoereignissen und rechtzeitige Entdeckung von ungünstigen Trends der Risikoentwicklung) zu erreichen, muss ein Risikoindikator bestimmte Eigenschaften besitzen. Ferner wird ein Risikoindikator in einem mehrstufigen Prozess entwickelt. Die Merkmale und der Definitionsprozess von Risikoindikatoren werden in Kapitel 3.3.1 und 3.3.2 detailliert erläutert.

2.5 Definition des Begriffes Frühwarnsystem

Ein Frühwarnsystem ist ein Informationssystem, welches latente, d.h. bereits vorhandene Gefährdungen in Form von Reizen, Informationen oder Impulsen mit zeitlichem Vorlauf vor Eintritt an die Gefährdeten signalisiert.^[72] Es soll durch die rechtzeitige Reaktion ermöglichen, dass die Gefahr abgemildert oder abgewandt wird.

Das wohl am meisten verbreitete Frühwarnsystem findet sich im Bereich des Brandschutzes. Dort werden mit Hilfe von Rauchdetektoren, Sprinklern und Sirenen beim Überschreiten definierter Schwellenwerte Brände rechtzeitig gemeldet und größere Schäden somit vermieden. Weiterhin gibt es sie auch in anderen Bereichen, z.B. soziale, militärische oder ökologische Frühwarnsysteme. Im Bereich des Katastrophenschutzes basieren die Frühwarnsysteme auf einer Sammlung von Umweltdaten (etwa Temperatur oder Schwingungen), die über viele Sensoren erfasst werden. Die Messwerte der Sensoren werden fortlaufend auf Unregelmäßigkeiten überprüft. Beim Überschreiten definierter Schwellenwerte lösen sie eine automatische Reaktion aus. Dies schafft einen zeitlichen Vorlauf, um Züge stoppen, Brücken sperren und Gasleitungen abdrehen zu können.

In wirtschaftlichen Kontext zielt ein Frühwarnsystem darauf ab, negative Tendenzen frühzeitig erkennen zu können, sodass eine Umsatzminderung oder gar die Insolvenz verhindert werden.können.^[73]

3. Frühwarnsysteme

3.1 Rechtliche Rahmenbedingungen

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet seit Mai 1998 die Vorstände börsennotierter Unternehmen in Deutschland zur Einrichtung eines Überwachungssystems, um Risiken frühzeitig zu erkennen.^[74] Im Rahmen des KonTraG sieht die Novellierung des §§ 91 Abs. 2 AktG vor, dass der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten hat, damit den Fortbestand gefährdende Entwicklungen frühzeitig erkannt werden. Danach hat das Management die Aufgabe, ein Früherkennungssystem für Risiken sowie ein internes Überwachungssystem im Unternehmen einzurichten.^[75] Ferner muss die Unternehmensführung im Rahmen der Berichterstattung im Lagebericht bei der Darstellung des Geschäftsverlaufs und der Lage der Gesellschaft auch auf die Risiken der künftigen Entwicklungen eingehen (§ 289 Abs. 1 HGB).^[76] Seit 2005 ist die Risiko-Berichterstattungspflicht europaweit gesetzlich geregelt. In diesem Zusammenhang sieht ebenfalls das vom Bundeskabinett verabschiedete Bilanzrechtsreformgesetz (BilReG) vor, im Lagebericht die wesentlichen Ziele und Strategien zu beschreiben sowie die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und erläutern.^[77] Die Änderung des BilReG ergänzt das KonTraG und soll insbesondere für eine gesteigerte Transparenz der Risiko-Berichte durch angemessene Früherkennungssysteme sorgen.

3.2 Formen und Entwicklungsstufen von Frühwarnsystemen

Die ursprünglichste Form dieser Informationssysteme bilden die Frühwarnsysteme, die ihren Anwendern latente Bedrohungen rechtzeitig signalisieren sollen, damit ausreichend Zeit für die Ergreifung geeigneter Maßnahmen zur Abwendung oder Minderung der Bedrohung besteht. Im Laufe der Forschungsarbeit wurde allmählich erkannt, dass die meisten der verwendeten Instrumente (Kennzahlen, Indikatoren, schwache Signale) nicht nur bereits vorhandene Bedrohungen, sondern zugleich auch in der Lage sind, latente Chancen zu signalisieren. Mit dieser Ausweitung des Wahrnehmungsfeldes auf Chancen etablierte sich der der weiter gefasste Begriff der Früherkennung. Wird zusätzlich noch der Prozessschritt der Risiko-Steuerung und Risiko-Kontrolle berücksichtigt, d.h. die Einleitung entsprechender Gegenmaßnahmen zur Realisierung der Chancen bzw. der Abwehr/Minderung der Bedrohungen, so handelt es sich um ein Frühaufklärungssystem^[78] (vgl. Abbildung 7.)

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Vgl. Krystek, U., Müller-Stewens, G., Frühaufklärung für Unternehmen: Identifikation und Handhabung zukünftiger Chancen und Bedrohungen, Stuttgart 1993, S21, zit. nach Minz, [OpRisk, 2004], S. 108.

Darst. 8: Begriffshierarchie zwischen Frühwarnung, Früherkennung und Frühaufklärung.

Betrachtet man die historische Entwicklung der Frühaufklärung, so können drei unterschiedliche Arten bzw. Generationen von Frühaufklärungssystemen unterschieden werden:

- Kennzahlen- und hochrechungsorientierte,
- Indikatororientierte und
- Strategische Frühaufklärungssysteme.^[79]

Für einen ganzheitlichen Ansatz zur Frühaufklärung sind alle drei Stufen gleichermaßen zu berücksichtigen.

[...]

---

^[1]) Vgl. Movshyn, [ KRI, 2005], S. 5.

^[2]) Vgl. Romeike / Müller-Reichart, [Versicherungsunternehmen, 2005], S. 103.

^[3]) Vgl. Hahn / Krystek, Betriebliche und überbetriebliche Frühwarnsysteme für die Industrie, in: ZfbF 1979, S. 76 ff, in Dörner / Horváth / Kagermann, [Praxis, 2000], S. 76.

^[4]) Vgl. Becker / Peppmeier, [Bankbetrieb, 2002], 14.

^[5]) Gewerbsmäßig bedeutet, dass der Betrieb auf eine gewisse Dauer und mit der Absicht der Gewinnerzielung angelegt ist. Vgl. ebd., S. 15.

^[6]) Zur detaillierten Erläuterung der oben aufgeführten Finanzdienstleistungen siehe u.a. Becker / Peppmeier [Bankbetrieb, 2002], S. 18.

^[7]) Vgl. Bafin, [Kreditwesengesetz, 1998], S. 22-23 ; vgl. dazu auch u.a. Büschgen, [Bankbetriebslehre, 1998], S. 12 ff..

^[8] Vgl. Becker / Peppmeier, [Bankbetriebslehre, 2002], S. 17 ff.

^[9] Vgl. Nader, [Finanzdienstleistungen, 1995], S. 5.

^[10] Vgl. Grill / Paczynski [Kreditwesen, 2001], S.11.

^[11] Vgl. Becker / Peppmeier, [Bankbetriebslehre, 2002], S. 98 ff..

^[12]) O.V., [Risiko, 1990], S. 687.

^[13]) Piaz, [ORM, 2002], S. 10.

^[14]) Vgl. von Balduin, [Operational Value at Risk, 2003], S. 39.

^[15]) Vgl. Hartmann-Wendels et al.,[Bankbetriebslehre, 2000], S. 541. oder Romeike / Müller-Reichart, [Versicherungsunternehmen, 2005], S. 47 ff..

^[16]) Vgl. Büschgen, [Bankbetriebslehre, 1998], S.866.

^[17]) ADAG, [Risk Policy, 2007], S. 13.

^[18]) Der vorliegende Ansatz zur Risikosystematisierung ist angelehnt an Solvency II, die Vorschläge von IAA und IAIS und eine Empfehlung der KPMG.

^[19]) Vgl. Simon / Kucher & Partners [Versicherungstechnische Details, 2006], S. 4.

^[20]) Zur ausführlichen Erläuterung des Marktrisikos vgl. Österreichische Finanzmarktaufsicht [Marktrisiko], S.1, Romeike / Müller-Reichart [Versicherungsunternehmen, 2005], S. 114 ff.. u. Grübel et al. [Rentabilitätsrechnung], S. 629.

^[21]) Vgl. hierzu vertiefend Romeike / Müller-Reichart.,[Versicherungsunternehmen, 2005], S. 234 ff..

^[22]) Vgl. ebd. S. 111, S. 114 ff..

^[23]) Vgl. Simon, [Bewertung operationeller Risiken, 2002], S. 5.

^[24]) Zu den angegebenen und weiteren Beispielen vgl. Peachey, [Finanzdesaster, 2002], S.328-346. und Piaz, [ORM, 2002], S. 33 ff..

^[25]) Vgl. Hofmann [Identifizierung, 2002], S. 20-22.

^[26]) Vgl. BaFin, [Mindestanforderungen, 1995], Abschnitt 1.

^[27]) Vgl. BaFin, [Mindestanforderungen, 1995], Abschnitt 4.

^[28]) Vgl. BaFin, [Mindestanforderungen, 1995], Abschnitt 3.

^[29]) Vgl. BaFin, [Mindestanforderungen, 1995], Abschnitt 2.4.

^[30]) Vgl. § 25a Abs. 1 Nr. 1 KWG

^[31]) Vgl. § 33 Abs. 1 Nr. 2,3,4 KWG

^[32]) In den folgenden Ausführungen werden nur die Abwandlungen erläutert, die implizit den Themenbereich operationeller Risiken betreffen.

^[33]) § 91 Abs. 2 AktG.

^[34]) Der Baseler Ausschuss für Bankenaufsicht ist ein Ausschuss der Zentralbanken und Bankenaufsichtsinstanzen der wichtigsten Industriestaaten und wurde 1975 mit dem Ziel der Stabilisierung des internatio-

nalen Finanzsystems gegründet. Gegenwärtig sind Deutschland, Frankreich, Italien, Spanien, Belgien, die

Niederlande und Luxemburg als Mitgliedstaaten der EU und der Eurozone, Großbritannien und Schwe-

den als Mitgliedsländer der EU, nicht aber der Währungsunion sowie die Schweiz, Kanada, die USA und

Japan im Baseler Ausschuss vertreten. Ebenfalls im Ausschuss vertreten sind die Europäische Kommis-

sion und die Europäische Zentralbank. Vgl. Bruckner / Hammerschmied, [Basel II, 2003], S. 36 f.

^[35]) Zur ausführlichen Erläuterung der Inhalte des Regelwerk "Basel II" vgl. Bank for International Settlements, [International Convergence, 2004], S. 1 ff..

^[36]) Zur detaillierten Darstellung des EU-Kommissionsprojektes "Solvency II" vgl. AON Rück, [Anforderungen der Finanzaufsicht, 2004], S. 1 ff. u. Swis Re, [Solvency II, 2006], S. 1 ff..

^[37]) Gemäß Basel II sollen nur ausgewählte Einzelrisiken bei der Eigenkapitalunterlegung betrachtet werden, während unter Solvency II vielmehr ein ganzheitliches System zur Gesamtsolvabilität im Zentrum steht.

^[38]) Basel Committee on Banking Supervision, [Capital Adequacy, 1999], S. 6.

^[39]) In den vergangenen Jahren sind Kreditrisiken aus den Portefeuilles der Banken über Asset Backed Securities in die Versicherungsportefeuilles transferiert worden. Der Hintergrund sind die unter Basel II höheren Eigenkapitalanforderungen an Kreditinstitute. So wurden risikobehaftete Geschäfte in Bereiche verlagert, die geringer reguliert sind. Vgl. Romeike / Müller-Reichert [ Versicherungsunternehmen, 2005], S. 117.

^[40]) Vgl. Peemöller / Friedrich [Operationelle Risiken, 2002], S. 46.

^[41]) Vgl. Basel Committee on Banking Supervision, [Basel Capital Accord, 2001], S.94-98.

^[42] Zur detaillierten Erläuterung der Methoden zur Berechnung der Kapitalanforderungen für operationelle Risiken vgl. Basel Committee on Banking Supervision [International Convergence, 2004], S. 137 ff..

^[43] Das neue Aufsichtssystem soll risikoorientiert sein und alle Risiken differenziert erfassen. Nach der Definition des Solvency II-Projektes entspricht die Gesamtsolvabilität der Finanzsolidität eines Unternehmens unter Berücksichtigung der Bedingungen seines Geschäftsbetriebs (Produkte und Preise, Verwaltung, Qualität der Führungskräfte usw.) und seines äußeren Umfelds (Konjunkturzyklen, Wettbewerbsbedingungen, Qualität der Aktionäre usw.) vgl. Knauth / Schubert, [Paradigmenwechsel, 2003], S. 903.

^[44] Vgl. AON Rück, [Anforderungen der Finanzaufsicht, 2004], S. 11-12.

^[45] Vgl.Schubert / Grießmann, [Basel II + X, 2004], S. 1400-1401.

^[46] Vgl. Loepler, [Überprüfungsverfahren, 2001], S. 170 ff..

^[47] Vgl. Basel Committee on Banking Supervision,[Basel Capital Accord, 2001], S. 104 ff.., u. Münchener Rück, [Solvency II, o.J.], S.1

^[48] Vgl. Basel Committee on Banking Supervision, [Sound Practices, 2003].

^[49] Vgl. Henzler, [SOX, 2007], S. 3 ff...

^[50]) Zur detaillierten Kategorisierung operationeller Risiken siehe den Gliederungspunkt 2.4.3.

^[51] Das CEIOPS ist ein durch den Beschluss der EU-Kommission eingesetzter unabhängiger Ausschuss für das Versicherungswesen. Der Ausschuss hat gegenwärtig mehrere Arbeitsgruppen eingesetzt, die sich u.a. mit Solvency II beschäftigen.

^[52] GDV, [Versicherungsaufsicht, 2007], S. 8.

^[53] ADAG, [ORM 2007], S. 4.

^[54] Vgl. ebd., S. 4.

^[55] Im Einzelfall ist die Unterscheidung zwischen Ursache-Ereignis-Wirkung nicht immer einfach möglich. Das nachfolgende Beispiel soll die Schwierigkeit aufzeigen. Was sind die Ursache und was das Ereignis für die Schadenzahlung eines Wasserschadens, der durch ein offenes Fenster während eines Sturmes ausgelöst wird?

^[56] Vgl. Basel Committee on Banking Supervision, [International Convergence, 2004], S. 224-225. u. GDV, [Versicherungsaufsicht, 2007], S. 9.

^[57] Vgl. ADAG, [ORM 2007], S. 5 ff..

^[58] GDV, [Versicherungsaufsicht, 2007], S. 10.

^[59] Vgl. Movshyn, [ KRI, 2005], S. 19.

^[60] Zur detaillierten Erläuterung der Bewertungsmethoden siehe Literaturverweis in Fußnote 42.

^[61] Vgl. Baars, [ Risikomanagement, 2006], S. 167ff.

^[62] Vgl. Piaz [ORM, 2002], S. 185 mit einem Zitat von Wittmann, E, Organisation des Risikomanagement im Siemens Konzern, in: Schierenbeck,H. (Hrsg.): Risk Controlling in der Praxis, Verlag Neue Züricher Zeitung, Zürich 1999, S. 457 – 482.

^[63] Vgl. Movshyn, [ KRI, 2005], S. 20.

^[64] Allianz [Adonis ], Internes Dokument der Allianz SE, veröffentlicht im Intranet der Allianz SE.

^[65] Vgl. Quick et al, [Trends & Best Practice, 2002], S. 21.

^[66] Vgl. Peemöller / Friedrich [Operationelle Risiken, 2002], S. 59.

^[67] Schadensfälle mit einer großen Häufigkeit jedoch nur einer geringen Schadenshöhe. Vgl. Stickelmann, [Risiko, 2002], S.8.

^[68] Schadensfälle mit geringer Häufigkeit und großem Schadenausmaß. Vgl. ebd., S. 8.

^[69] Vgl. van den Brink, [Quantifizierung, 2003], S.29.

^[70] Vgl. ADAG, [ORM 2007], S. 20 ff..

^[71] Vgl. Van den Brink, [Alles im grünen Bereich, 2004], S. 1 ff..

^[72] Vgl. Risknet, Glossar, Frühwarnsystem.

^[73] Vgl. Romeike, [Frühwarnsysteme in Unternehmen, 2005], S. 22-23.

^[74] Vgl. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, [KonTraG, 1998]. S. 786.

^[75] Vgl. § 91 Abs. 2 AktG.

^[76] Vgl. § 289 Abs. 1 HGB

^[77] Vgl. Gesetz zur Einführung internationaler Rechnungslegungsstandards und zur Sicherung der Qualität der Abschlussprüfung (Bilanzrechtsreformgesetz), [BilReG, 2004], S. 3166.

^[78] Vgl. Dörner / Horváth / Kagermann, [Praxis, 2000], S. 76.

^[79] Zur Typologisierung von Frühaufklärungsansätzen vgl. Abbildung 9.