Lade Inhalt...

Die Verlustdatensammlung für operationelle Risiken bei Banken als Bestandteil des Risikomanagementprozesses im Rahmen der "Neuen Basler Eigenkapitalvereinbarung"

Diplomarbeit 2003 103 Seiten

BWL - Investition und Finanzierung

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Aufbau der „Neuen Basler Eigenkapitalvereinbarung“
2.1 Säule 1: Eigenkapitalunterlegung
2.2 Säule 2: Aufsichtsrechtliches Überprüfungsverfahren
2.3 Säule 3: Offenlegung der Risiken gegenüber dem Markt

3 Definition und Abgrenzung operationeller Risiken
3.1 Definition und Analyse der Definition
3.2 Abgrenzung der operationellen Risiken
3.2.1 Abgrenzung zu Markt- und Kreditrisiken
3.2.2 Abgrenzung zu strategischen Risiken und Reputationsrisiken

4 Management operationeller Risiken
4.1 Erfüllung gesetzlicher Anforderungen
4.2 Betriebswirtschaftliche Gründe
4.3 Risikomanagementprozess für operationelle Risiken
4.3.1 Risikoidentifikation und – analyse
4.3.2 Risikomessung und –bewertung
4.3.3 Risikosteuerung und -bewältigung
4.3.4 Risikoüberwachung und –reporting

5 Ansätze und Methoden der Verlustdatensammlung
5.1 Ansätze bei der Kategorisierung von Verlusttypen
5.1.1 Ursachen-, ereignis- und auswirkungsbasierte Risikokategorien
5.1.2 Kritische Aspekte der Kategorisierung
5.2 Berechnungsansätze von operationellen Risiken
5.2.1 Übersicht der Messansätze von Basel II
5.2.2 Bewertung der unterschiedlichen Messansätze
5.2.3 Statistisch-mathematischer Ansatz als Best Practice
5.3 Methoden der Verlustdatensammlung
5.3.1 Risk Mapping
5.3.2 Self / Risk Assessment
5.3.3 Key Risk Indikatoren
5.3.4 Scorecards
5.3.5 Schadensfalldatenbank
5.4 Datenbeschaffung und praktische Umsetzung
5.4.1 Unterscheidung in Bottom-up und Top-down Ansätze
5.4.2 Aufbau einer Risikokultur zur Verlustdatensammlung
5.4.3 Datenquellen für die Verlustdatensammlung
6.4.4 Wichtige Kriterien für die Qualität und Verlässlichkeit der Daten
5.4.5 Anforderungen an die IT-Unterstützung
5.5 Verlustdatenüberwachung und -reporting
5.5.1 Risikocontrolling
5.5.2 Interne Revision

6 Zusammenfassung

Literaturverzeichnis

Eidesstattliche Erklärung

Abbildungsverzeichnis

Abb. 1: Die drei Säulen der „Neuen Basler Eigenkapitalvereinbarung“

Abb. 2: Risikomanagement- und Überwachungsprozess für operationelle Risiken

Abb. 3: Ursache-Ereignis-Wirkungskette von operationellen Risiken

Abb. 4: Messen von Betriebsrisiken - Best Practice heute und morgen

Abb. 5: Methodenübersicht zur Verlustdatenerfassung

Abb. 6: Abgewandeltes Risk Mapping zur Steuerung operationeller Risiken

Abb. 7: Ermittlung des Verlustpotenzials beim Self Assessment

Abb. 8: Ermittlung der Verlusthäufigkeit beim Self Assessment

Abb. 9: Qualitative und quantitative Key Risk Indikatoren

Abb. 10: Typische Schadenskomponenten der historischen Schadensfalldatenbank

Abb. 11: Thesenkreislauf für ein Anreizsystem zur Verlustdatenerfassung

Abb. 12: Konzentrationsbereiche interner Verlustdaten

Abb. 13: Mögliche Datenquellen in Abhängigkeit der Verlusthäufigkeit und -höhe

Abb. 14: Beispiel für eine modularisierte und integrierte Softwarelösung

Abb. 15: Implementierungsschritte einer Verlustdatenbank

Tabellenverzeichnis

Tabelle 1: Empfehlungen zur Aufbauorganisation im Rahmen operationeller Risiken

Tabelle 2: Systematik risikobegrenzender Maßnahmen

Tabelle 3: Bewertung der Zielerfüllung von Berechnungsmethoden hinsichtlich Kapitalhinterlegung und Risikomanagement

Tabelle 4: Beispielhaftes Risk Mapping zur ursachenorientierten Schwachstellenanalyse

Tabelle 5: Verlustverteilung in der Geschäftsfeld-Verlustereignis-Matrix nach der QIS 2

Tabelle 6: Gegenüberstellung Top-down und Bottom-up Ansatz

Tabelle 7: Matrix zur Einschätzung des Entdeckungsrisikos

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Durch den Entwurf der „Neuen Basler Eigenkapitalvereinbarung“ (abgekürzt als „Basel II“) und die Verlustfälle von Finanzdienstleistern in der jüngeren Vergangenheit rücken operationelle Risiken zunehmend in den Mittelpunkt des öffentlichen Interesses.

Gerade in den letzen Jahren haben eine Reihe von Schadensfällen eindrucksvoll gezeigt, was geschehen kann, wenn operationelle Risiken nicht erkannt und gesteuert werden. Bekannte Beispiele dafür sind der Verlust von mehr als 1,3 Mrd. USD bei Barings 1995 (durch fehlende Funktionstrennung und mangelhafte Überwachung), Verluste von mehr als 600 Mio. USD bei Morgan Grenfall Assets Management 1997 (aufgrund von Verletzungen der Anlagevorschriften) oder Verluste bei Daiwa oder Kidder Peabody.

Die in der Folge aufgetretenen Bankenzusammenbrüche unterstreichen noch einmal die Gefahren, die die weltweit vernetzten Finanzmärkte in sich bergen. In Not geratene Kreditinstitute ziehen immer wieder eine ganze Wirtschaft mit in die Schieflage.[1]

Es ist kein Zufall, dass im Management operationeller Risiken Finanzinstitute die Vorreiterrolle spielen. In keiner anderen Branche lässt sich der Zusammenhang zwischen Risiko und Wertentwicklung so direkt nachvollziehen.[2]

Für Banken genügt es nicht mehr, sich auf das Management bisheriger Risikoarten wie Markt- oder Kreditrisiken zu konzentrieren. Zukünftig müssen auch die operationellen Risiken durch einen systematischen, unternehmensweiten Risikomanagementprozess gesteuert und in das vorhandene Managementsystem integriert werden.[3]

Diese Arbeit zielt deshalb auf das grundsätzliche Ziel von Basel II ab: die Installierung und Implementierung angemessener Risikomanagementverfahren. Um operationelle Risiken berechnen und steuern zu können, muss eine umfangreiche Vorarbeit stattfinden: die Erfassung operationeller Verlustdaten im Rahmen der Risikoidentifikation und –analyse.

Deshalb kann die Verlustdatensammlung als Schlüsselelement für den Risikomanagementprozess – wie auch für die regulatorischen Eigenkapitalanforderungen – angesehen werden. Obwohl eine wachsende Anzahl von Instituten operationelle Verlustdaten sammelt und analysiert, hat sich bisher kein Standard herausgebildet.[4]

Aus dem Blickwinkel des Risikomanagements genügt es nicht, ausschließlich historische Schadensfälle (Verlustdaten ieS) zu sammeln. Die alleinige Schadensfallsammlung liefert keine Aussage über das Risiko zukünftiger Ereignisse. Um eine umfassende Risikobewertung zu erhalten, sind auch die potenziellen Verluste mit Hilfe bankeigener Risikoeinschätzungen einzubeziehen (Verlustdaten iwS).

Das Risikomanagement der Zukunft hat somit die Identifizierung operationeller Ereignisse mit einem berechenbaren Risikopotenzial zum Ziel.[5] Aus diesem Grunde beschäftigt sich diese Arbeit mit den Methoden und Vorgehensweisen zur Sammlung operationeller Verlust- und Risikodaten und fasst diese unter dem Begriff „Verlustdatensammlung“ zusammen.

Nach einer kurzen Beschreibung des Aufbaus der „Neuen Basler Eigenkapitalvereinbarung“ wird der Begriff operationelle Risiken definiert und abgegrenzt. Wesentliche gesetzliche Anforderungen und betriebswirtschaftliche Gründe verdeutlichen die Notwendigkeit der Implementierung eines Risikomanagementprozesses für operationelle Risiken.

Bei den Ansätzen und Methoden zur Verlustdatensammlung werden Kategorisierungsansätze für Verlusttypen und Berechnungsansätze für operationelle Risiken in Bezug auf die Anforderungen von Basel II vorgestellt. Danach werden die qualitativen Methoden zur risikoorientierten Verlustdatendatensammlung beschrieben. Die gesammelten Daten werden durch die Erfassung historischer Verlustdaten der Schadensfalldatenbank validiert[6] und auf eine gemeinsame Einschätzung des Verlustrisikos konsolidiert. Anschließend wird auf Aspekte der Datenbeschaffung wie die Entscheidung für einen Bottom-up oder Top-down Ansatz, der Aufbau einer Risikokultur, die Datenquellen für Verlustdaten, die Anforderungen an die Qualität und Verlässlichkeit der Daten sowie eine entsprechende IT-Unterstützung eingegangen. Die Ausführungen schließen mit einer Beschreibung der Überwachung und des Reportings operationeller Verlustdaten.

2 Aufbau der „Neuen Basler Eigenkapitalvereinbarung“

Angesichts globalisierter Finanzmärkte gibt es keine Alternative zu international abgestimmten Regeln. Der Basler Ausschuss[7] hat in einem zweiten Konsultationspapier im Januar 2001 Vorschläge zur Neufassung der Basler Eigenkapitalvereinbarung von 1988 (Basel II) unterbreitet. Im Kern geht es darum, die Kapitalanforderungen an Banken stärker als bisher vom ökonomischen Risiko abhängig zu machen und neue Entwicklungen an den Finanzmärkten sowie im Risikomanagement der Institute zu berücksichtigen.[8]

Basel II „zielt ... auf größere Sicherheit und Solidität des Finanzsystems ab, indem die internen Kontrollsysteme und die Geschäftsführung der Banken, die Überprüfung durch die Aufsicht und die Marktdisziplin einen höheren Stellenwert erhalten“[9].

Drei sich gegenseitig verstärkende Säulen (vgl. Abb. 1) sollen gemeinsam zu einem sicheren und soliden Finanzsystem beitragen.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Die drei Säulen der „Neuen Basler Eigenkapitalvereinbarung“

Die Brüsseler EU-Kommission arbeitet an einem inhaltlich sehr eng an Basel II angelehnten bankaufsichtsrechtlichen Regelwerk, dessen europäische Regelungen für alle Banken und nicht nur – wie Basel II – für die international tätigen Banken verpflichtend sein sollen.[10] Ein erster Entwurf eines EU-Arbeitspapiers inklusive einer entsprechenden Begleitunterlage wurde am 18.11.2002 veröffentlicht.

Das Inkrafttreten von Basel II und die parallele Umsetzung der entsprechenden EU-Richtlinie in deutsches Recht wird voraussichtlich zum 01.01.2007 erwartet.[11]

2.1 Säule 1: Eigenkapitalunterlegung

Ausgangspunkt der Säule 1 bleiben die quantitativen Unterlegungsvorschriften der Basler Vereinbarung von 1988 mit der entsprechenden Eigenkapitaldefinition und einem Solvabilitätskoeffizienten[12] von durchschnittlich 8 %.

Neu ist, dass eine Reihe von einfachen und fortgeschrittenen Ansätzen zur Bemessung des Kreditrisikos zu Verfügung stehen. Erstmals ist auch eine regulatorische Eigenkapitalunterlegung für operationelle Risiken vorgesehen. Die Höhe der Eigenkapitalunterlegung für operationelle Risiken ist eine zu beachtende Größe. Auf Basis interner Berechnungen beziffert bspw. die Deutsche Bank AG in ihrem Jahresabschluss 2001 das ökonomische Kapital für operationelle Risiken auf ca. 2,5 Mrd. Euro.[13]

Im Sinne eines evolutionären Ansatzes sind jeweils sowohl standardisierte Risikomessmethoden als auch fortgeschrittene Verfahren vorgesehen, die durch moderate Verminderung der Eigenkapitalanforderungen „belohnt“ werden. Damit besteht für die Banken ein Anreiz, sich innerhalb der verschiedenen Risikokategorien in der internen Steuerung methodisch weiter zu entwickeln.

Der Basler Ausschuss hat - analog zur Eigenmittelunterlegung für Kreditrisiken - drei Verfahren zur Ermittlung der operationellen Risiken vorgesehen. Auf diese Bemessungsansätze wird in Kapitel 5.2 ausführlich eingegangen.

Zinsänderungsrisiken müssen, entgegen der ursprünglichen Absicht, nicht direkt mit Eigenkapital unterlegt werden, sondern finden über die Säule 2 Berücksichtigung.

Mit Blick auf die Stabilität des internationalen Finanzsystems ist die Frage der Kalibrierung der Risikogewichte von entscheidender Bedeutung. Dabei geht es sowohl um die „richtige“ Höhe des von Banken vorzuhaltenden Eigenkapitals als auch um die relative Gewichtung der einzelnen Risiken.[14]

Nach Auffassung des Basler Ausschusses soll die durchschnittliche Höhe der Eigenmittelunterlegung im wesentlichen unverändert bleiben. Abhängig von der individuellen Risikosituation wird dies bei einigen Banken zu einer Erhöhung, bei anderen zu einer Senkung des Eigenkapitalbedarfs führen. Erste empirische Untersuchungen zeigen, dass das Verhältnis zwischen Kreditrisiko und operationellem Risiko im Bankensektor etwa 4:1 beträgt. Um das Ziel einer unveränderten Eigenmittelunterlegung von durchschnittlich 8% (bezogen auf die bisher standardisiert risikogewichteten Kreditpositionen einer Bank) zu erreichen, wird das Kreditrisiko auf 6,4% und das operationelle Risiko auf 1,6% kalibriert.[15]

2.2 Säule 2: Aufsichtsrechtliches Überprüfungsverfahren

Das aufsichtsrechtliche Überprüfungsverfahren stellt eine wesentliche Neuerung dar und betont die Notwendigkeit einer qualitativen Bankenaufsicht, deren wesentliche Ziele wie folgt zusammengefasst werden können[16]:

- Die Banken sollen ihre internen Verfahren zur Beurteilung der Risikosituation kontinuierlich verbessern. Gleiches gilt für die Anpassung und Weiterentwicklung neuer Methoden des Risikomanagementprozesses.
- Institutseigene Verfahren werden stärker als bisher zum Maßstab der aufsichtlichen Beurteilung. Letztlich bewertet die Aufsicht die Fähigkeit der Banken, ihre Risiken zu identifizieren, zu messen, zu steuern und zu überwachen.
- Externe Faktoren und Risikobereiche, die bei der Berechnung der Mindesteigenkapitalanforderungen nicht vollständig berücksichtigt wurden, (z.B. Unsicherheiten bei der Bemessung operationeller Risiken) werden dabei abgedeckt.

In einem ständigen Nachprüfungsprozess vor Ort ist die Aufsicht berechtigt, Maßnahmen zu ergreifen, die über die Mindestkapitalanforderungen hinausgehen. Die Auswahl der jeweiligen Maßnahme, z.B. verstärkte Überwachung der Bank oder Forderung einer höheren Eigenkapitalunterlegung als sie sich nach den objektiven Regeln ergibt, wird hierbei in das Ermessen der Aufsicht gestellt.[17] Dies wird als größte Herausforderung für das deutsche Aufsichtssystem angesehen, da es einen grundlegenden Wandel von der reinen Überwachung der Einhaltung quantitativer Aufsichtsvorgaben hin zur Prüfung hochkomplexer Sachverhalte darstellt.[18] Ein Problem zeigt sich in der derzeit noch fehlenden Objektivierung, da die Vorgaben vergleichsweise allgemein gehalten sind.[19]

Die fortgeschrittenen Verfahren zur Berechnung des aufsichtlichen Mindesteigenkapitals beim Kredit- sowie beim operationellen Risiko müssen von der Aufsicht vor der erstmaligen Anwendung genehmigt werden. Zur Anerkennung müssen die Banken das Risikomanagement für operationelle Risiken ebenso wie das der Kredit- und Marktpreisrisiken als eigenständige Disziplin in ihrer Organisation etablieren, d.h. es sind eigene Strukturen, Prozesse, Richtlinien und Instrumente zu entwickeln.[20]

Für operationelle Risiken wurden hierzu Grundsätze zum Aufbau eines integrierten Risikomanagementsystems durch die im Februar 2003 veröffentlichten „Sound Practices“ festgeschrieben.[21] Das Papier beinhaltet die Schaffung einer angemessenen Risikomanagementumgebung, den Aufbau eines Risikomanagementprozesses sowie aufsichtsrechtliche Überwachungs- und Offenlegungsempfehlungen.[22]

2.3 Säule 3: Offenlegung der Risiken gegenüber dem Markt

Durch die neuen Offenlegungsvorschriften stehen die internen Risikomanagementverfahren im Licht der Öffentlichkeit – neben den Aufsichtsbehörden erhalten auch Anteilseigner, Kunden und Wettbewerber Einblick in die Systeme.[23] Auf diese Weise soll die Disziplinierung der Banken gestärkt werden. Man erwartet, dass wohlinformierte Marktteilnehmer die Ziele der Aufsicht, dass Institute ihre Geschäfte auf solide Weise und im Einklang mit ihren erklärten Geschäftszielen führen, unterstützen.

Die Offenlegung soll Marktteilnehmern eine Einschätzung der Risikopositionen und des Risikomanagements einer Bank ermöglichen. Sie umfasst vier wesentliche Bankrisiken: Kreditrisiko, Marktrisiko, operationelles Risiko und Zinsänderungsrisiko im Anlagebuch. Dem aktuellen Risikoprofil werden im Sinne einer Ex-ante-Risikoeinschätzung (im vorhinein) die tatsächlich eingetretenen Risiken im Berichtszeitraum in einer Ex-post-Betrachtung (im nachhinein) gegenübergestellt, um einen Eindruck über die Zuverlässigkeit und Wirksamkeit der gewählten Risikosteuerungsverfahren zu vermitteln. Um die Belastung der Institute möglichst gering zu halten wird angestrebt, nur Daten zu verwenden, die für Zwecke der Risikosteuerung oder des externen Rechnungswesens ohnehin aufbereitet werden. Der Basler Ausschuss bemüht sich im Rahmen seiner Kontakte zum International Accounting Standards Committee (IASC) um eine möglichst weitgehende Übereinstimmung zwischen den bankaufsichtlichen Offenlegungen und den Offenlegungen im Rahmen des externen Rechnungswesens.[24]

Die Veröffentlichungspflichten sind jedoch gemessen an der heutigen Praxis der Rechnungslegung nach deutschem Handelsgesetzbuch (HGB) sehr weitgehend.[25]

Speziell für operationelle Risiken sieht der Ausschuss im „Working Paper on the Regulatory Treatment of Operational Risk“ qualitative (z.B. Offenlegung des Ansatzes und Beschreibung bei fortgeschrittenen Ansätzen, Offenlegung der Risikomanagementziele und -strategien) und quantitative Offenlegungsvorschriften (z.B. Eigenkapitalverbrauch für operationelle Risiken je Geschäftsfeld) vor.[26]

3 Definition und Abgrenzung operationeller Risiken

Ein umfassender Risikobegriff zielt sowohl auf die Ursachen als auch auf die Wirkungen des Risikos ab.[27] Im allgemeinen Sprachgebrauch wird Risiko wirkungsbezogen häufig als Gefahr der Zielverfehlung, d.h. der negativen Abweichung vom Erwartungswert bezeichnet. Ursachenbezogen resultiert die Gefahr aus dem Muss, Entscheidungen zu treffen, die sich im nachhinein aufgrund eines unzureichenden Informationsstandes (Unsicherheit oder Ungewissheit) als Fehlentscheidungen herausstellen könnten.[28] Eine positive Veränderung von Plangrößen wird hingegen nicht als Bedrohung (Risiko), sondern vielmehr als Chance bezeichnet.[29] Die Chance einer positiven Ergebniserzielung sollte bei der Übernahme von Gefährdungspotenzial grundsätzlich bestehen.[30]

Der allgemeine betriebswirtschaftliche Risikobegriff wird iwS als Gefährdung der Unternehmensziele und ieS als Zwang zur Unternehmensaufgabe aufgrund von Verlusten verstanden.[31] Dadurch, dass Bankgeschäfte grundsätzlich durch eine Übernahme eines Risikos gekennzeichnet sind und die Verbesserung der Ertragslage immer eine Risikoübernahme voraussetzt, kann eine völlige Risikovermeidung nicht das Ziel sein.[32] Der Erfolg bei der Teilnahme am Wirtschaftsleben resultiert aus der Fähigkeit, Risiken in Kauf zu nehmen und diese auf ein vertretbares Maß zu begrenzen. Entscheidend ist es in diesem Zusammenhang, bestehende Risiken kontrollierbar und kalkulierbar zu machen.[33]

3.1 Definition und Analyse der Definition

Für das operationelle Risiko herrscht in der Praxis eine große Begriffsvielfalt: Betriebsrisiken, operatives Risiko, Operational Risk, Abwicklungsrisiko, technisch-organisatorisches und operationales Risiko werden oft synonym verwendet. Diese Arbeit verwendet den Begriff „operationelle Risiken" (nachfolgend auch abgekürzt als „OpR“).

Grundlage für das Management von operationellen Risiken ist eine konzernweite einheitliche Definition der Elemente für OpR. Dabei ist die Definition aus dem Working Paper 09/2001 zu bestätigen.[34]

Operationelle Risiken (OpR) werden definiert als: „die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder infolge externer Einflüsse eintreten.“[35] Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken und Reputationsrisiken.

Im Folgenden sollen die Zusammenhänge der Definition genauer analysiert werden:

(1) Verlustdaten iSv „Gefahr von Verlusten“

Unter Verlustdaten ieS versteht man die historischen operationellen Schadensfälle eines Instituts. Die Erfassung von Verlustdaten ieS spiegelt jedoch nicht die Risikosituation eines Instituts wider, da sie nur die Vergangenheit abbilden. OpR werden jedoch als „die Gefahr von Verlusten“ definiert – also als ein Verlustpotenzial oder Verlustrisiko. Um diese Gefahr zu identifizieren, müssen auch latente Verluste gesammelt werden.[36]

Aus diesem Grund beschäftigt sich diese Arbeit mit Verlustdaten iwS. Auch potenzielle Verluste künftiger Entwicklungen (= Risikodaten) werden im Folgenden unter dem Begriff Verlustdaten subsumiert. Die Ergebnisse aus bankeigenen Risikoeinschätzungen werden in die Definition von Verlustdaten iwS mit einbezogen.

Für die Risikosteuerung sind sowohl finanzielle Verluste (monetäre Verluste = GuV wirksam), als auch Beinaheverluste („near misses“ wie z.B. rechtzeitig entdeckte Fehler, aus OpR resultierende aber nicht schlagend gewordene Markt- oder Kreditrisiken) relevant. Deshalb sollten beide Arten erfasst werden. Da für die Eigenkapitalanforderungen im Rahmen von Basel II nur monetäre Verluste relevant sind, ist es sinnvoll diese explizit zu kennzeichnen und separat auswertbar zu machen.

Ferner resultieren aus Risikoereignissen oft neben direkten finanziellen Verlusten (sog. Primäreffekte einer konkreten Risikoart), deren Höhe und zeitlicher Anfall idR genau ermittelt werden können (z.B. Händlerbetrug), auch indirekte Verluste. Diese sog. Sekundäreffekte (= indirekte Wirkungen anderer Risikoarten wie z.B. des Reputationsrisikos: Kundenrückgang nach schlechter Presse infolge von Kreditausfällen oder Steuerfahndungen) sind schwer zu quantifizieren, da sich idR weder die Höhe der Auswirkungen noch deren zeitliche Dauer genau bestimmen lassen.[37] Indirekte Verluste waren in der ursprünglichen Definition des OpR[38] noch enthalten, während die derzeitige Definition des OpR[39] ausschließlich direkte Verluste beinhaltet. D.h. indirekte Verluste oder Opportunitätskosten sind nicht mit Eigenkapital zu unterlegen.

Insbesondere der Aufbau einer exakten Verlustdatenbasis – die für die Kalibrierung der Bewertungsverfahren unabdingbar ist – verlangt eine eindeutige Definition der OpR, die frei von großen Ermessensspielräumen ist.[40] Auch deshalb ist eine Beschränkung auf direkte finanzielle Verluste zu empfehlen.

(2) Zusammenhang von Risiko und Risikokapital

Unter Berücksichtigung der Risikotragfähigkeit eines Instituts kann das Risikokapital für operationelle Risiken institutsintern definiert werden. Eine mögliche Definition für das Risikokapital könnte sein:

Das den Unternehmensbereichen, Töchtern und Finanzbeteiligungen zugeteilte und zu verzinsende Kapital zur Deckung der dem Geschäft innewohnenden Risiken für den Zeitraum eines Jahres. Das Risikokapital basiert auf den errechneten einjährigen Risikomaßen (bei 99,9 % Konfidenzniveau), den Unternehmensplanungen sowie den strategischen und steuerungsorientierten Überlegungen. Diese Risikokapital soll die unerwarteten Risiken abdecken.[41]

Unerwartete Risiken werden als Abweichungen vom Erwartungswert (Varianz, Volatilität) kalkuliert und bilden in Form des Risikokapitals die Bezugsgröße für den Verzinsungsanspruch. Erwartete Risiken werden statistisch als Durchschnittswerte (Erwartungswerte) kalkuliert und gehen als Standardrisikokosten in die Preiskalkulation ein.

(3) Risikofaktoren des operationellen Risikos

Die Risikofaktoren des OpR basieren hauptsächlich auf[42]:

- Internen Verfahren (Prozesse): z.B. durch unzulängliche interne Kontrollen (Mängel in der Aufbau- und Ablauforganisation, fehlende funktionale Trennung, mangelhafte Dokumentation der Arbeitsrichtlinien und -anweisungen, unzureichendes Reporting),
- Menschen: z.B. durch menschliches Versagen (mangelnde Qualifikation, deliktische Handlungen wie Betrug oder Veruntreuung, arbeitsrechtliche Verstöße),
- Systemen: z.B. durch Systemversagen oder mangelnde Systemsicherheit (unzureichende Systeme, mangelhafte Datensicherung, fehlende Notfallplanung).

Bei OpR stehen interne Aspekte im Vordergrund: Kernpunkte sind oft menschliches Fehlverhalten, falsche Modelle und Prozesse oder die falsche bzw. unvorsichtige Handhabung technischer Faktoren. Der Mensch stellt dabei wohl eines der größten und komplexesten Risikopotenziale dar, da alle anderen Risikofaktoren auf ihn zurückzuführen sind.[43]

Externe Einflüsse werden durch Basel II mit in die Definition einbezogen. Bei externen Vorfällen geht es meist um politische, naturgebundene Vorfälle oder um Veränderungen im rechtlichen, regulatorischen oder steuerlichen Umfeld.

Zunehmend rückt auch die Krisenanfälligkeit des internationalen Bankensystems in den Vordergrund. Darunter ist jenes Risiko zu verstehen, das entsteht, wenn durch die Insolvenz einer Bank, eines Unternehmens oder eines ganzen Landes andere, insbesondere gesunde Banken, Unternehmen oder Länder in erhebliche finanzielle Schwierigkeiten geraten. Banken sind durch die Kreditvergabe in besonderem Maße von der wirtschaftlichen Entwicklung ihrer Kreditkunden und durch das Wertpapier- und Devisengeschäft von der Entwicklung der Kapitalmärkte abhängig.[44]

Rechtliche Risiken werden nicht als selbständige Risikokategorie dargestellt, sondern sind vielmehr in allen Risikokategorien implizit zu berücksichtigen.[45] Sie umfassen Verluste aus rechtlich nicht durchsetzbaren Vertragsansprüchen[46] (z.B. aufgrund rechtlicher Besonderheiten in den Staaten, fehlender Berechtigung des Geschäftspartners zum Geschäftsabschluss, vertraglicher Mängel oder einer unvollständigen, nicht eindeutigen Dokumentation der Geschäfte)[47] oder aus der Nichteinhaltung rechtlicher Vorschriften (z.B. im Arbeitsrecht: ungerechtfertigte Kündigung, Diskriminierung / Chancenungleichheit, Belästigung, Nichteinhaltung von Arbeitsgesetzen, Verstoß gegen Gesundheits- und Sicherheitsvorschriften).

Auch der Insolvenzfähigkeit vertraglicher Vereinbarungen ist besondere Aufmerksamkeit zu widmen.[48] Zudem können sich rechtliche Rahmenbedingungen während der Vertragslaufzeit ändern. Oftmals handelt es sich dabei um "administrativ" bedingte Änderungen der Rahmenbedingungen, wie bspw. eine veränderte Steuergesetzgebung.[49]

3.2 Abgrenzung der operationellen Risiken

Die Definition OpR nach Basel II enthält keine Abgrenzungskriterien zu anderen Risikoarten. Neben der eigentlichen Definition ist die konkrete Abgrenzung zu anderen Risikoarten jedoch ein essentieller Schritt für die sachgerechte Identifikation und Messung von Risiken. Ziel ist es, eine sowohl vollständige als auch überschneidungsfreie Erfassung aller potenziell auftretenden Risiken zu gewährleisten. Dies ist insbesondere dann besonders schwierig, wenn Ereignisse Anteile an mehreren Risikoarten haben können.[50]

Die Trennung zwischen OpR und Markt-, Kredit- sowie anderen Risiken ist schwer und teilweise ungelöst. Deshalb ist es von wesentlicher Bedeutung, dass die Begriffe im Unternehmen einheitlich belegt und kommuniziert werden, um Transparenz zu schaffen und gleichartige Risiken verschiedener Bereiche miteinander vergleichbar zu machen.[51]

3.2.1 Abgrenzung zu Markt- und Kreditrisiken

Häufig werden OpR abgegrenzt als: alle Risiken, die nicht Markt- oder Kreditrisiken sind. Im Gegensatz zu produktspezifischen Risiken (z.B. Markt- oder Kreditrisiken) werden OpR aus den Prozessen des betrieblichen Geschehens abgeleitet (= Prozessrisiken). Die Produktrisiken und die Prozessrisiken sind nicht ohne weiteres von einander trennbar.[52]

Einer der wesentlichen Unterschiede zwischen Markt-/Kreditrisiken und OpR besteht in ihrem Entstehungspunkt: 1) Kredit- und Marktrisiken entstehen unternehmensextern und können nur bedingt beeinflusst werden. 2) OpR entstehen idR innerhalb der Bank und können durch ein gezieltes Risikomanagement wesentlich minimiert werden.[53]

Zur Vermeidung von Fehlzuordnungen, ist eine ursachengerechte Abgrenzung vorzunehmen (z.B. kann ein Kreditausfall durch mangelnde Sorgfalt bei der Sicherheitenverwaltung zu einem größeren Gesamtverlust führen, als es durch das reine Bonitätsrisiko begründet wäre). Häufig werden diese operationell bedingten Risiken bzw. Verluste unter Wertberichtigungen dem Kreditrisiko zugeordnet. Hier gilt es, die dem OpR und dem Kreditrisiko zuzurechnenden Anteile zu bestimmen und zu trennen.[54]

Weiterhin ist bei der Überführung einzelner Risikoarten in andere Risikoarten die Veränderung der OpR zu analysieren. Wird bspw. durch Verbriefung (Securitization)[55] von Krediten das Kreditrisiko vermindert, steigen idR bei der Geltendmachung vertraglicher Ansprüche die Abwicklungs- und Rechtsrisiken. Bei einer Nichtberücksichtigung von OpR würde dies fälschlicherweise als risikofreie bzw. risikoarme Transaktion angesehen werden.[56]

3.2.2 Abgrenzung zu strategischen Risiken und Reputationsrisiken

Strategische Risiken und Reputationsrisiken wurden in der Basler Definition explizit ausgeschlossen. Aus diesen Gründen ist eine institutsinterne Abgrenzung unerlässlich.

(1) Strategische Risiken

Das strategische Risiko beschreibt die Gefahr, dass die Erfolgspotenziale eines Unternehmens aufgrund von fehlerhaften, unvorbereiteten oder falsch eingeschätzten strategischen Entscheidungen beeinträchtigt, gestört oder zerstört bzw. keine neuen mehr aufgebaut werden.[57] Werden Erfolgspotenziale (wie Problemlösungen, Know-how, Produkte, Serviceleistungen) nicht kontinuierlich weiterentwickelt, ausgebaut und genutzt, gehen idR Wettbewerbsvorteile gegenüber der Konkurrenz verloren. In weiterer Folge führt dieser Verlust an bspw. technischen Innovations-, Preis- und Kostenführerschaften zu einer Erfolgskrise, welche sich zu einer Unternehmensgefährdung entwickeln kann. Hier sind insbesondere Gefährdungen aus der Produkt- und Marktstrategie eines Unternehmens zu nennen.[58]

Strategische Risiken aus Produkt- und Marktstrategien resultieren aus Grundsatzentscheidungen des Managements zur Positionierung der Bank. Sie ergeben sich vor dem Hintergrund veränderbarer Umfeldbedingungen (Marktumfeld, Volatilität der Marktentwicklung, Kundenverhalten und technologische Entwicklungen). Diese Gefahr kann in Kosten-, Produkt- und Investitionsrisiko aufgeteilt werden[59]:

- Kostenrisiken als die Gefahr, dass sich die Gemeinkosten im Verhältnis zum Ergebnisbeitrag überproportional entwickeln und den Unternehmenserfolg gefährden,
- Produktrisiken als die Gefahr, das Produktinnovationen/-modifikationen bzw. die angebotene Produktpalette vom Markt nicht bzw. nicht mehr akzeptiert werden,
- Investitionsrisiken als Verlustpotenzial, indem Investitionen, z.B. in neuen Märkten, das Unternehmen weder qualitativ (z.B. Image, Innovationskraft) noch quantitativ (z.B. Gewinnsteigerung, höhere Vertragszahlen) plangemäß verbessern.

(2) Reputationsrisiken

Das Image eines Unternehmens beeinflusst immer mehr den Erfolg. Das Reputationsrisiko ist in diesem Kontext als Gefahr der negativen Abweichung des erwarteten zukünftigen Ergebnisses bedingt durch negative Imageentwicklungen zu definieren.[60]

Gefahren für Imageschäden können u.a. in folgenden Punkten entstehen:

- durch mangelhafte Qualität von Produkten und Dienstleistungen (auch bei reiner Vermittlungstätigkeit),
- aufgrund einer mangelhaften Qualität in der Beratung und Service,
- im Unternehmensauftritt, der Auswahl von Marketingstrategien usw.

Reputationsrisiken werden, solange sie nicht separat gemessen werden können, den Geschäftsrisiken zugeordnet (Wirkung auf Volumen und Margen). In Abgrenzung zum OpR beschreibt das Geschäftsrisiko „die negative Abweichung des Wertes eines Unternehmens vom Erwartungswert aufgrund von Veränderungen des Geschäftsvolumens oder der Margen. Diese Abweichung wird von Märkten, in denen die Bank tätig ist, verursacht.“[61] So sind z.B. externe Einflüsse wie Gesetzesänderungen im OpR enthalten, während Aktionen von Mitbewerbern, die sich in den Margen niederschlagen, dem Geschäftsrisiko zuzuordnen sind.[62]

4 Management operationeller Risiken

4.1 Erfüllung gesetzlicher Anforderungen

Immer weitergehende Reglementierungen des Bankenaufsichtsrechts verdeutlichen die wachsende Bedeutung der Risikokontrolle und des -managements für die Banken.[63] Die wichtigsten fünf seien hier aufgeführt:

(1) § 25 a Abs. 1 Kreditwesengesetz (KWG)

Im Rahmen der 6. KWG-Novelle im Jahr 1997 wurde ein § 25 a KWG eingefügt, der besondere organisatorische Vorkehrungen zur Risikoüberwachung von allen Kredit- und Finanzdienstleistungsinstituten verlangt. Unter anderem muss ein Institut „über eine ordnungsgemäße Geschäftsorganisation, über ein angemessenes internes Kontrollverfahren sowie über angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung verfügen“[64]. Explizit werden geeignete Maßnahmen zur Steuerung, Überwachung und Kontrolle der Risiken sowie Regelungen gefordert, anhand derer sich die finanzielle Lage des Unternehmens jederzeit mit hinreichender Genauigkeit feststellen lässt. Das interne Kontrollsystem (IKS)[65] beeinflusst dabei maßgeblich die operationellen Risiken.

(2) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

Eine aus Bankensicht erhebliche Veränderung für die Handhabung operationeller Risiken beinhaltet die Änderung des § 91 AktG.[66] Das "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) trat am 01.05.98 in Kraft und fordert: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden."[67] Das Artikelgesetz schreibt erstmals gesetzlich vor, ein Risikokontroll- und Frühwarnsystem einzurichten und bezieht damit auch operationelle Risiken mit ein. Zwar unterliegen die Kreditinstitute bereits der Solvenzaufsicht durch das BaFin und gewährleisten über die bestehenden Meldepflichten ein hohes Maß an Risikokontrolle. Die geforderten Frühwarn- und -aufklärsysteme sind aber meist noch nicht in die interne Risikoüberwachung integriert.[68] Die erweiterte Prüfungspflicht der Abschlussprüfer rückt verstärkt das Risikomanagement[69] und besonders die Funktionsfähigkeit des Überwachungssystems in den Vordergrund.[70]

(3) Deutscher Rechnungslegungsstandard Nr. 5 – 10

Der Deutsche Rechnungslegungsstandard (DRS) Nr. 5 – 10 regelt für Kredit- und Finanzdienstleistungsinstitute im Sinne von § 1 Abs. 1 bzw. 1a KWG die Darstellung von Risiken der künftigen Entwicklung des Konzern im Konzernlagebericht.[71]

Den Adressaten sollen im Zuge der Offenlegung geschlossene und umfassende Informationen zur Verfügung gestellt werden, die es ermöglichen, sich ein eigenes Bild über die Gesamtrisiken des Konzerns zu machen. Dazu sollen die Risikolage, die Steuerungs- und Überwachungssysteme sowie die verwendeten Risikomessmethoden dargestellt werden.[72]

Der DRS zählt operationelle Risiken zu den wesentlichen Risikokategorien von Kreditinstituten.[73]

(4) Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH)

Die Ursache für den Untergang der traditionsreichen englischen Bank „Barings“ im Jahre 1995, war nicht allein die Fehlspekulation mit Nikkei-Futures und Optionen. Finanzderivate waren nur die Instrumente. Die Ursachen lagen in einem unbeherrschten operationellen Risiko: eine Person war gleichzeitig für Handel und Abwicklung zuständig, Kontrollen haben versagt, die Bank hatte eine aggressive und spekulative Strategie, hinzu kamen Größenwahn und Spielsucht eines Mitarbeiters (durch Erhöhen des Einsatzes wurde versucht, Verluste wettzumachen).

Hohe Verluste aus Handelsgeschäften beruhen insbesondere auf unzureichenden Kontrollen in Geschäftsprozessen, fehlender funktionaler und organisatorischer Trennung sowie auf bewusstem und unbewusstem Fehlverhalten von Mitarbeitern.[74]

Der Basler Ausschuss und der IOSCO-Ausschuss haben jeweils Richtlinien für ein solides Risikomanagement im Derivatgeschäft verabschiedet. Das BAKred hat daraufhin im Oktober 1995 mit den „Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute“ (MaH) ein umfassendes, sehr detailliertes Regelwerk geschaffen, in dem bisherige Regelungen zusammengefasst, fortgeschrieben und erweitert wurden. Die MaH sollen eine ordnungsgemäße Aufbau- und Ablauforganisation bei Handelsgeschäften sowie ein wirkungsvolles Risikomanagement und –controlling gewährleisten.[75]

(5) Mindestanforderungen an das Kreditgeschäft (MaK)

Auf der Grundlage des § 25a Abs. 1 KWG wurden die „Mindestanforderungen an das Kreditgeschäft der Kreditinstitute“ (MaK) als nationale Regelungen im Kreditrisikomanagement formuliert. Die MaK betreffen insbesondere die Aufbauorganisation der Institute und den Prozess der Kreditgewährung.

Sie umfassen bankübliche Standards für die Prozesse der Kreditbearbeitung, Kreditbearbeitungskontrolle, Intensivbetreuung, Problemkreditbearbeitung sowie Risikovorsorge. Darüber hinaus gibt es einen Rahmen für die Ausgestaltung des Systems zur Identifizierung, Steuerung und Überwachung der Risiken aus dem Kreditgeschäft vor. Insofern stellt es vor allem Anforderungen an das interne Kontrollsystem. Vor dem Hintergrund der sich abzeichnenden neuen internationalen Eigenkapitalregelungen sind die Anforderungen des Rundschreibens insofern neutral konzipiert, als dass sie unabhängig von der Methode der Eigenmittelberechnung umgesetzt werden können.[76]

4.2 Betriebswirtschaftliche Gründe

Neben der Erfüllung gesetzlicher Anforderungen sprechen zahlreiche betriebswirtschaftliche Argumente dafür, operationelle Risiken ihrer Bedeutung entsprechend zu managen und zu überwachen.

Nach einer Einschätzung führender Finanzinstitute zur Wichtigkeit des Themas sind etwa 70% der Banken der Meinung, dass operationelle Risiken mindestens so signifikant sind wie diejenigen aus Marktpreis- und Kreditrisiken. Fast ein Drittel verzeichnete derartige Verluste von mehr als 1 Mio. Pfund.[77]

Ausschlaggebend für die zunehmende Bedeutung von OpR sind u.a. die wachsende IT-Abhängigkeit bei der Abwicklung von Bankgeschäften („electronic banking“), der Trend zum verstärkten Outsourcing[78] sowie die zunehmende Komplexität der Geschäftstätigkeit, die durch den anhaltenden Konzentrationsprozess in der Kreditwirtschaft verstärkt wird. Banken stufen OpR nach den Kreditrisiken als zweitwichtigste Risikokategorie ein und allozieren hierfür etwa ein Fünftel ihres ökonomischen Eigenkapitals. Dennoch befinden sich die Steuerungstechniken, insbesondere Verfahren zur Abgrenzung und Quantifizierung des operationellen Risikos, noch in einem Frühstadium der Entwicklung, d.h. es hat sich bisher noch kein allgemein akzeptierter Standard herausgebildet.[79]

Hauptsächlich große Finanzinstitute begannen - bedingt durch die Häufung außergewöhnlich hoher Verluste aus Vorfällen, die weder dem Kredit- noch dem Marktpreisrisiko zugeordnet werden konnten - Mitte der 90er Jahre mit der Entwicklung von Modellen zur Erfassung von OpR.[80] Trotz der nachfolgend aufgeführten betriebswirtschaftlichen Vorteile (1) bis (3) befindet sich das Risikomanagement der OpR bezogen auf die getätigten Investitionen und den Stand der Messmethoden heute in einer anfänglichen Situation wie die Marktpreis- und Kreditrisiken Ende der 80er Jahre.[81]

(1) Stärkung des Risikobewusstseins und Prozessoptimierung

Eine systematische Verlustdatensammlung operationeller Risiken bietet die Grundlage zur Schaffung eines verstärkten Risikobewusstseins bei Mitarbeitern und Managern und dient der unternehmensweiten Risikokommunikation auf Basis einer einheitlichen, monetären Messgröße.

Als Seiteneffekt von fortgeschrittenen Risikomanagementansätzen können neben der Identifikation und monetären Bewertung von Risiken auch potentielle Risikoquellen aufgedeckt werden.[82] Durch deren Analyse lassen sich entsprechende Maßnahmen zur Abschaffung dieser Schwachstellen initiieren, um Schäden zu mindern und Verluste zu minimieren.[83]

Durch Prozessoptimierungen können Effizienzvorteile im Geschäftsbetrieb erzielt werden, indem vor allem Ereignisse mit hoher Häufigkeit und niedriger Schadenshöhe vermieden werden. Die Möglichkeit, Risiken entsprechend ihrer Höhe priorisieren zu können, bietet einen verbesserten Ressourceneinsatz bei der Risikominimierung. Auch eine Kosten-/Nutzenanalyse von Prozessen und Versicherungen kann Einsparpotenzial identifizieren. Neben der Kostensenkungs- oder Qualitätssteigerungsabsicht (Reduzierung der Schadenskosten, Qualitätsverbesserung in der Leistungserstellung und damit indirekt verbessertes Service-Angebot) können Maßnahmen der Prozessoptimierung auch für die Wettbewerbs- und Innovationsfähigkeit genutzt werden.[84] Durch Erfahrungsanalysen bei der Erschließung neuer Märkte und Produkte kann Verbesserungspotenzial für Vorhaben der Zukunft herausgearbeitet werden: die Beherrschung von OpR bietet also auch strategische Chancen.

(2) Verbesserte Steuerungsmöglichkeiten

Eine höhere Transparenz der Risiken erweitert die Informationsbasis über Trends und Problemfelder und verbessert die Entscheidungsbasis (z.B. durch Szenarioanalysen bei der Erweiterung der Geschäftstätigkeit) für das Management.

Erwartete Verluste können als Kostenbestandteil identifiziert werden und direkt den Prozessen bzw. Produkten zugerechnet werden (Deckungsbeitragsrechnung). Ursachen für unerwartete Verluste müssen analysiert werden, um sie so weit wie möglich zu vermeiden. Führende Banken haben Berichtssysteme implementiert, um beide Arten von Verlustfällen zurückverfolgen zu können. Die Schätzung der unerwarteten Verluste ist primär Fokus der Aufsichtsbehörden und des Kapitalallokationsprozesses. Deshalb sollten Standards für die Sammlung, Strukturierung, Datenintegrität und –komplexität von OpR geschaffen werden.[85] Zudem kann bei der Qualifizierung für einen fortgeschrittenen Ansatz nach Basel II die Eigenkapitalunterlegungspflicht reduziert werden.

Neben der Erfüllung aufsichtsrechtlicher Anforderungen fordert auch die zunehmende Verwendung risikoadjustierter Performance- und Steuerungsmaße eine Quantifizierungsmöglichkeit von OpR. Eine Nichtberücksichtigung bedeutet eine Verzerrung der Profitabilitäts- und Risikosicht der einzelnen Geschäftsbereiche und könnte zu einer Fehlsteuerung bezüglich der Kapitalallokation führen.[86]

Für die interne Kapitalbewertung und –zuweisung wird eine risikosensitive Berechnung des Kapitalbedarfs benötigt. Dabei ist möglichst ein gemeinsames Modell für regulatorisches und ökonomisches Kapital zu finden, welches eine Integration von OpR mit Markt- und Kreditrisiken ermöglicht. Es macht keinen Sinn, Markt- und Kreditrisiken auf Cent genau zu berechnen und OpR pauschal anzusetzen. Werden Entscheidungen nicht ganzheitlich, sondern lediglich auf der Basis von Kredit- und Marktpreisrisiken getroffen, kommt es zu einer falschen Profitabilitäts- und Risikoeinschätzung und einer suboptimalen Kapitalallokation.[87]

Anders gesagt: wird bei einer Bank das operationelle Risiko nicht adäquat gemessen, kann eine Risikovermeidung von Kredit- und Marktpreisrisiken zu einer unentdeckten Erhöhung von OpR führen. Die Bewertung und Zuweisung des ökonomischen Kapitals für OpR dienen daher der Bestimmung der Profitabilität einzelner Geschäfte, der Vermeidung von Fehlsteuerung bzgl. Markt- und Kreditrisiken, der Schaffung ausreichender Transparenz bei der Berechnung des ökonomischen Kapitals für interne und externe Zwecke sowie der Beurteilung des Risikoprofils der Bank.[88]

Für die Übergangszeit bis zur Berechnung der Kapitalbedarfs für OpR sollte die Schätzung auf transparenten, fundierten Annahmen basieren.[89]

(3) Verbesserung des öffentliches Standings

An die Öffentlichkeit geratene Fälle wie Baring, Daiwa oder Merill Lynch sind in der Presse hinreichend diskutiert worden.[90] Das Management von OpR dient auch der Abwehr von Folgeschäden, die meist aus Reputationsschäden resultieren. Nicht zuletzt dient die Verbesserung der Finanzbedingungen (durch Prozessoptimierungen und funktionsfähige Steuerungsmethoden) und der damit verbundene Imagestand auch der Beziehungspflege zu externen Parteien wie Versicherungen, Kunden, Geschäftspartnern, Investoren sowie Rating-Agenturen. Im Gegensatz dazu wird ein schlechtes Rating aufgrund eines unzureichenden OpR-Managements unmittelbare Auswirkungen auf das Standing und die Geschäftsmöglichkeiten des Instituts haben.

Auch die zunehmende Bedeutung des Shareholder Values übt steigenden Druck auf die Unternehmensleitungen aus. Dies führt oft zu einer Bereitschaft des Managements, größere Risiken in Kauf zu nehmen.[91] Wollen die Unternehmen den Shareholder Value durch lukrative, aber risikoreichere Geschäfte maximieren, müssen Sie die Prozesse durch einen umfassenden Risikomanagementprozess absichern.[92]

4.3 Risikomanagementprozess für operationelle Risiken

Das Risikomanagement ist die notwendige Unterstützung der Führungsaufgabe unter dem bewussten Aspekt des Risikos[93] und unterliegt unmittelbar der Verantwortung der Geschäftsleitung. Es sollte Bestandteil eines integrierten Managementsystems auf Gesamtbankebene sein.[94] Dabei muss das Institut besondere organisatorische Pflichten in der Aufbau- und Ablauforganisation wahrnehmen.[95] Ein solides OpR-Management braucht eine klare Aufbau- und Ablauforganisation.

(1) Aufbauorganisation

Die institutionelle[96] Risikomanagement-Organisation schafft den aufbauorganisatorischen Rahmen, d.h. die entsprechenden Strukturen, und unterstützt bzw. ermöglicht erst die zeitnahe, risikoadäquate Kommunikation und Reaktionen der Entscheidungsträger.[97]

Dabei sind in erster Linie Managementstrukturen und Verantwortlichkeiten festzulegen. Insbesondere für größere Institute gibt Tabelle 1 folgende aufbauorganisatorische Empfehlungen[98]:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Empfehlungen zur Aufbauorganisation im Rahmen operationeller Risiken

(2) Ablauforganisation

Das Risikomanagement aus funktionaler Sicht kann als Prozess verstanden werden, dessen Aufgabe darin besteht, Risiken zu erkennen und zu bewerten sowie mit Hilfe risikopolitischer Instrumente so zu beherrschen, dass der Fortbestand eines Unternehmens (going concern) jederzeit gesichert ist.[99] Die Informationsanforderungen der Kreditinstitute an das Risikomanagement sind aufgrund der zunehmenden Wettbewerbsintensität und Komplexität der zu übernehmenden Risiken gestiegen. Ihnen kann nur mit dem Einsatz eines effizienten Risikomanagementsystems, das sowohl Informations-, Steuerungs- als auch Überwachungsfunktionen erfüllt, begegnet werden.[100]

Der Prozess des Risikomanagements (Abb. 2) kann allgemein in vier Stufen systematisiert werden. Die darin verwendeten Begriffe werden in der Literatur[101] nicht einheitlich genutzt; zum Teil werden auch einzelne Teilprozesse anders abgegrenzt. So gehen die Identifikation und Analyse der genannten Risiken häufig zeitgleich mit der Messung und Bewertung einher.[102]

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Risikomanagement- und Überwachungsprozess für operationelle Risiken

Ausgangspunkt eines effizienten Risikomanagementprozesses sind die eindeutige Vorgabe und Dokumentation der geschäftspolitischen Zielsetzung und der risikostrategischen Ausrichtung. Basierend auf dem Grundgerüst zur Bestimmung des OpR hat die Bank ihre Risikoneigung in Bezug auf OpR zu definieren, weiterzuentwickeln und einheitlich innerhalb der Bank zu kommunizieren.[103] Der bewusste Umgang mit OpR hat sich dabei an der Tragfähigkeit und Risikobereitschaft des Instituts auszurichten.[104]

Ein effizientes Risikomanagementsystem zeichnet sich zudem durch seine eng verzahnte Informations- und Verhaltenssteuerungsfunktion aus.[105] Das Resultat sind Entscheidungen, ob und welche Maßnahmen zur Bewältigung bzw. Steuerung der Gefährdungspotenziale einzuleiten sind.[106] Innerhalb der Kontrollfunktion muss eine ständige Überprüfung der übernommenen Risiken und Steuerungsmaßnahmen vorgenommen werden. Sie basiert auf einem geschlossenen Regelkreis aus Planung, Steuerung und Kontrolle.[107]

Überwachung bedeutet Wiederanschauen von vollzogenen betrieblichen Sachverhalten, entweder ex post (rückblickend) oder ex ante (begleitend).[108] Ziel der Überwachung des OpR-Managementprozesses ist die zukunftsorientierte Beurteilung der Angemessenheit und Effizienz, insbesondere unter dem Gesichtspunkt der Schnittstellenproblematik und der Kontroll- und Regelungsstrukturen.[109]

4.3.1 Risikoidentifikation und – analyse

Ein funktionierendes Risikosteuerungssystem setzt die Identifikation und Analyse der zu steuernden bzw. zu begrenzenden Größen, d.h. der Chancen und Risiken, voraus. Die Risikoanalyse ist eine dauernde prozessbegleitende Aufgabe, die auch eine Neuausrichtung der Risikostrategie erzwingen kann.[110]

Instrumentarium der Risikoidentifikation und -analyse für OpR ist die Erfassung von Verlustdaten aus operationellen Risiken.

Als anerkannte Methoden (insbesondere im Zusammenhang mit Basel II) haben sich zur Risikoidentifikation und -analyse zum einen die Sammlung historischer Verluste in einer Schadensfalldatenbank, zum anderen diverse qualitative Methoden zur Identifikation und Erfassung potenzieller Verlustdaten (= Risikodaten) etabliert. Das Risk Mapping, die Durchführung von Self- bzw. Risk Assessments, die Etablierung von Key Risk Indikatoren oder der Scorecard-Ansatz sind anerkannte qualitative Methoden der Risikoidentifikation und -analyse für operationelle Risiken. Die Erfassung dieser Risikodaten in einer gemeinsamen Datenbank mit den historischen Verlustdaten setzt eine gesonderten Kennzeichnung und Auswertungsmöglichkeit voraus.

Eine risikosensitive Ausgestaltung der Methoden wurde in der Praxis bislang in erster Linie von einer unzureichenden Datenverfügbarkeit beeinträchtigt.[111]

Die Sammlung bankspezifischer Verlustdaten ist damit eine wesentliche Voraussetzung für die Entwicklung und das Funktionieren eines zuverlässigen Messsystems für OpR. Entscheidend dabei ist die Verknüpfung bankeigener Risikoeinschätzungen mit der tatsächlichen Verlusterfahrung des Instituts.[112]

4.3.2 Risikomessung und –bewertung

Um OpR steuern zu können, müssen sie quantifiziert bzw. bewertet, d.h. gemessen oder skaliert werden. Bis heute gehören operationelle Risiken zu den schwer quantifizierbaren Risiken. Analytische Verfahren zur Quantifizierung von OpR befinden sich in einem frühen Entwicklungsstadium.[113]

Ziel der Risikomessung und –bewertung ist es, die Einschätzungen aus den verschiedenen quantitativen und qualitativen Identifikations- und Analysemethoden zu einer gemeinsamen Einschätzung des Verlustrisikos auf einer monetären Bewertungsbasis zu bringen.

Für Markt- und Kreditrisiken hat sich der Value-at-Risk-Ansatz (VaR) als Messmethode weitgehend durchgesetzt. Da eine Voraussetzung für die Integration von Markt-, Kredit- und operationellen Risiken die Einheitlichkeit des herangezogenen Risikomaßes ist, lässt sich das angestrebte Ziel am ehesten durch die Berechnung eines VaR auch für operationelle Risiken (OpVaR) erreichen. Zur Ermittlung des OpVaR werden im Wesentlichen zwei Ansätze diskutiert: der Simulationsansatz und der versicherungsmathematische Ansatz (siehe auch Kapitel 5.2.3).[114]

Neben der Genauigkeit und Zweckmäßigkeit der Berechnungsmethoden sind allerdings auch die Kosten-Nutzen-Relation und die Praktikabilität zu berücksichtigen. Aus diesem Grunde und wegen der heute noch mangelhaften Datenbasis an Verlusten wird von der Mehrzahl der Institute das operationelle Risiko vorzugsweise aus Expertenwissen mit Hilfe qualitativen Methoden bewertet.

4.3.3 Risikosteuerung und -bewältigung

Aufgabe der Risikosteuerung bzw. -bewältigung ist es, die anerkannten und bewerteten Risiken im Einklang mit der definierten Risikostrategie sowie unter Berücksichtigung der bestehenden Maßnahmen und Limite zu vermeiden, minimieren, lediglich zu reduzieren, zu tragen oder aber zu versichern. Dabei ist zu beachten, dass der Risikomanagementprozess ein integrierter Prozess ist, in dem die Feststellung und Beurteilung getroffener Maßnahmen die Grundlage für neue Entscheidungsprozesse bilden.[115]

Analog zum Risikobegriff (vgl. Kapitel 3) können ursachenbezogene und wirkungsbezogene Maßnahmen unterschieden werden (Tabelle 2):

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Systematik risikobegrenzender Maßnahmen [116]

Operationelle Risiken können durch ein gut funktionierendes internes Kontrollsystem, dessen Eckpfeiler z.B. in den MaH oder MaK fixiert sind, begrenzt werden.

Sinnvoll ist es, die Kosten und den Nutzen einer alternativen Risiko-Beschränkung oder einer Kontrollstrategie zu bewerten.[117] Die Verhinderung von Fehlleistungen ist eine unerlässliche aber defensive Seite des Risikomanagements. Interessanter wird es, wenn das geschärfte Risikobewusstsein neue strategische Optionen für den Geschäftserfolg bringt.[118]

[...]


[1] vgl. Bonn, Joachim K.: Zu den Ursachen von Bankenkrisen – das Beispiel Japans, in: Kreditwesen 7/98, S. 10-18, hier S. 10 sowie KPMG (Hrsg.): Integriertes Risikomanagement, Berlin 1998, S. 8

[2] vgl. Pricewaterhouse Coopers (Hrsg.): Operational Risk Management in Finanzdienstleistungssektor, unter http://www.pwcglobal.com/ch/ger/ins-sol/publ/risk/operational.pdf am 13.12.02, S. 4

[3] vgl. Finalix AG: Management von Operationellen Risiken bei Finanzinstituten, unter: http://www.finalix.com/dokumente/Whitepaper%20ORM.pdf am 13.12.02, S. 4

[4] vgl. Basel Committee on Banking Supervision: Working Paper on the Regulatory Treatment of Operational Risk, September 2001, S. 2 f. (im Folgenden abgekürzt als “Working Paper II”)

[5] vgl. Pricewaterhouse Coopers (Hrsg.), a.a.O., S. 4

[6] Durch Validierung wird der Wert einer wissenschaftlichen Methode für einen bestimmten Zweck bestimmt.

[7] Der Basler Ausschuss für Bankenaufsicht wurde 1975 von den Präsidenten der Zentralbanken der Länder der Zehnergruppe (G10-Staaten) gegründet. Er setzt sich zusammen aus hochrangigen Vertretern der Zentralbanken und der Bankenaufsichtsbehörden von Belgien, Deutschland, Frankreich, Italien, Japan, Kanada, Luxemburg, den Niederlanden, Schweden, der Schweiz, Spanien, den USA und dem Vereinigten Königreich. Er tritt idR alle drei Monate bei der Bank für Internationalen Zahlungsausgleich (BIZ) in Basel zusammen, wo sich auch sein ständiges Sekretariat befindet.

[8] vgl. Deutsche Bundesbank: Die neue Basler Eigenkapitalvereinbarung (Basel II), Monatsbericht April 2001, S. 1

[9] Basler Ausschuss für Bankenaufsicht: Erläuternde Angaben zur Neuen Basler Eigenkapitalvereinbarung, Deutsche Übersetzung der Deutschen Bundesbank, 2001, S. 2

[10] vgl. Meister, Edgar, Mitglied des Vorstandes der Deutschen Bundesbank: Auswirkungen von Basel II auf die Finanzierungsmöglichkeiten des Mittelstandes, Gesprächsrunde zum Thema Basel II und Mittelstandsfinanzierung in München am 21.10.02 unter: http://text.stmwvt.bayern.de/pdf/wirtschaft/Mittelstandsfinanzierung_Basel-II_Dokumentation.pdf am 20.02.2003, S. 11

[11] vgl. Der Bankenverband informiert: Informationen und Meinungen, I/2002, Nr. 21, Punkt 3: Reform der Basler Eigenkapitalübereinkunft (Basel II), Mindestanforderungen an das Kreditgeschäft (MaK); Bankinterne Umsetzung der neuen aufsichtlichen Anforderungen, S. 982

[12] Mit dem Solvabilitätskoeffizienten wurde aufgrund der EG-Solvabilitätsrichtlinie eine Messgröße festgesetzt, die besagt, dass das haftende Eigenkapital eines Instituts mindestens 8% der nach ihrem Risiko gewichteten Aktiva (Risikoaktiva = Bilanzaktiva + traditionelle und neue außerbilanzielle Geschäfte) betragen muss.

[13] vgl. Faisst, Ullrich; Huther, Andreas; Schneider, Karen: Management operationeller Risiken – Status, Systemanforderungen und Perspektiven (Teil II) in: Kredit & Rating Praxis 4/2002, S. 22 –24, hier: S. 22

[14] vgl. Deutsche Bundesbank, a.a.O., S. 28 ff.

[15] ebenda, S. 28 ff.

[16] ebenda, S. 30 f.

[17] vgl. Deutsche Bundesbank, a.a.O., S. 30 f.

[18] vgl. BAKred: Die Basler Eigenkapitalübereinkunft – die geplante Neufassung, in: Jahresbericht 2000, Kap. II.1, S. 9

[19] vgl. Becker, Gernot M.: Reform überfällig – Die Änderungen durch Basel II, in Kreditpraxis Heft 2/2001, S. 6-11, hier: S. 7

[20] vgl. Fischer, Thomas R.: Operationale Risiken im neuen Basler Kapitalakkord, in: Kreditwesen 12/2001, S. 662 – 665, hier: S. 664

[21] Das erste Konsultationspapier aus 12/2001 („Sound Practices I“) gliederte sich in zehn allgemeine Grundsätze und in aufsichtrechtliche Empfehlungen für Banken mit komplexer Geschäftsstruktur und signifikantem Verlustpotenzial bzw. für von der nationalen Aufsicht benannte Institute. Das zweite Konsultationspapier aus 07/2002 („Sound Practices II“) hatte für alle Institute einheitlich Gültigkeit.

[22] vgl. Risk Management Group of the Basel Committee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk, February 2003, S. 4 f. (im Folgenden abgekürzt als “Sound Practices III”)

[23] vgl. Loch, Friedemann; Thelen-Pischke, Hiltrud: Basel II – Herausforderungen für die Geschäftsleitung der Institute, in: Kreditwesen 13/2001, S. 736 –739, hier: S. 736

[24] vgl. Boos, Karl-Heinz: Basel II: Marktdisziplin durch erweiterte Offenlegung, in: Die Bank 11/2001, S. 795 – 799, hier S. 798 und vgl. Deutsche Bundesbank, a.a.O., S. 31 ff.

[25] vgl. Becker, Gernot M., a.a.O, S. 10

[26] vgl. Basel Committee on Banking Supervision, Working Paper II, a.a.O., S. 13

[27] vgl. Hölscher, Reinhold: Risikokosten-Management in Kreditinstituten: Ein integratives Modell zur Messung und ertragsorientierten Steuerung der bankbetrieblichen Erfolgsrisiken, Frankfurt am Main 1987, S. S. 4-6 u. 10 sowie Büschgen, Hans E.: Das kleine Banklexikon, Düsseldorf 1992, S. 1334. Zu weiteren Risikodefinitionen vgl. Rodewald, Bernd: Das Risikomanagement, in: Bank Information 10/96, S. 2 oder auch Degenhart, Heinrich: Zweck und Zweckmäßigkeit bankaufsichtlicher Eigenkapitalnormen, Berlin 1987, S. 101

[28] Ungewissheit beschreibt dabei den Zustand der Nichtbeschreibbarkeit, wobei bei Unsicherheit zumindest Wahrscheinlichkeiten zugrunde liegen, vgl. dazu Bruns, Christoph; Meyer-Bullerdiek, Frieder: Professionelles Portfoliomanagement: Aufbau, Umsetzung und Erfolgskontrolle strukturierter Anlagestrategien, Stuttgart 1996, S. 6 sowie Neubürger, Klaus W.: Risikobeurteilung bei strategischen Unternehmensentscheidungen: Grundlagen des Einsatzes eines Risiko-Chancen-Kalküls, Stuttgart 1980, S. 37 f.

[29] vgl. Schulte, Michael: Bank-Controlling II: Risikopolitik in Kreditinstituten, hrsg. v. Bankakademie e.V., Frankfurt am Main 1996, S. 11sowie Neubürger, Klaus W., a.a.O., S. 38

[30] vgl. Schierenbeck, Henner: Ertragsorientiertes Bankmanagement, Bd. 2: Risiko-Controlling und Bilanzstruktur-Management, 5. Aufl., Wiesbaden 1997, S. 2

[31] vgl. Bergmann, Joseph: Früherkennung von Bankrisiken, in: BI/GF 10/96, S. 30-36, hier S. 31

[32] vgl. Akmann, Michael: Ergebnissteuerung in Kreditinstituten, Frankfurt am Main 1994, S. 30

[33] vgl. Scharpf, Paul: Risikomanagement- und Überwachungssystem im Treasury, Darstellung der Anforderungen nach KonTraG, hrsg. v. Schitag Ernst & Young, Stuttgart 1998, S.11

[34] vgl. Risk Management Group of the Basel Committee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk, December 2001, Part 2, III., S. 14 (im Folgenden abgekürzt als „Sound Practices I“)

[35] Basel Committee on Banking Supervision, Working II, a.a.O., S. 2

[36] Institute müssen einen Prozess zur Erkennung der maßgeblichen operationellen Risikodaten haben, inklusive wesentlicher Verlustdaten. Dabei sollen auch die potenziellen Auswirkungen der operationellen Risiken beurteilt werden. Vgl. dazu European Commission, Internal Market DG: Working Document of the Commission Services on Capital Requirements for Credit Institutions and Investment Firms, 18. November 2002, Annex H-3, Punkt 3, S. 7 (im Folgenden abgekürzt als “EU-Arbeitspapier”)

[37] vgl. Beek, Helmut; Kaiser, Thomas: Quantifizierung von Operational Risk mit dem Value-at-Risk, in: Johanning, Lutz; Rudolph, Bernd: Handbuch Risikomanagement, Band 1, Bad Soden 2000, S. 634-653, hier: S. 638

[38] vgl. Basler Ausschuss für Bankenaufsicht: Die Neue Basler Eigenkapitalvereinbarung, Konsultationspapier aus Januar 2001, Übersetzung der Deutschen Bundesbank , S. 103 (im Folgenden abgekürzt als „Konsultationspapier“)

[39] vgl. Basel Committee on Banking Supervision, Working Paper II, a.a.O., S. 2

[40] vgl. Wagner, Peter: Basel II. Grundlegende Neuerungen zur bankaufsichtlichen Behandlung operationaler Risiken, in: Kreditwesen 3-4/2002, S. 160 –164, hier: S. 164 Die Kosten für eine Umstrukturierung eines Geschäftsprozesses lassen sich nicht punktgenau berechnen und können sowohl auf der Basis einer Voll- oder Teilkostenrechnung angegeben werden.

[41] Die HypoVereinsbank hat sich für diese Definition von Risikokapital entschieden. Vgl. Dr. Auer, Michael: Integration von Operational Risk in die Gesamtrisikokapitalermittlung, Ueberreuter Managerakademie, unveröffentlichte Seminarunterlagen „Verlustdatenbanken und die Quantifizierung operationeller Risiken“ vom 16. / 17.10.2002, S. 5

[42] vgl. Burkhardt, Frank Uwe; Hüttmann, Stephan; Terp, Christian: Organisatorische und technische Anforderungen an ein Risikomanagementsystem, in: Bank und Markt 10/98, S. 12-15, hier S. 14 f.

[43] vgl. Finalix AG, a.a.O., S. 2 und vgl. Pricewaterhouse Coopers (Hrsg.), a.a.O., S. 4

[44] Beispiele eines solchen Dominoeffekts sind insbesondere die Lateinamerika-, Ostasien- oder Russlandkrise. Aber auch Industrieländer kann diese Risiko treffen wie die Immobilienkrise in den USA, Skandinavien und Japan Anfang der 90er Jahre beweisen. Vgl. Becker, Gernot: Krisenvorbeugung durch aufsichtliche Überwachung, in Bankmagazin 9/01, S. 14 – 16, hier S. 14

[45] vgl. Basel Committee on Banking Supervision, Working Paper II, a.a.O., S. 2

[46] vgl. Ruwisch, Helmut: Risiken derivativer Finanzprodukte, in: BI/GF 10/96, S. 13-16, hier S. 16

[47] vgl. C&L Deutsche Revision (Hrsg.): Anforderungen an den Einsatz von Finanzinstrumenten bei Industrieunternehmen - Sinngemäße Anwendung der Mindestanforderungen des BAK für Handelsgeschäfte der Kreditinstitute, Frankfurt am Main 1996, S. 103 f.

[48] vgl. Scharpf, Paul, a.a.O., S. 33

[49] vgl. Daube, Carl Heinz: Neue Regeln für ein modernes Risikomanagement, in: B-Bl. 2/97, S. 79-82, S. 80

[50] vgl. Beek, Helmut; Kaiser, Thomas, a.a.O., S. 638

[51] vgl. Peter, Andreas; Vogt, Hans-Jürgen; Kraus, Volker: Management operationeller Risiken bei Finanzdienstleistern, in: Johanning, Lutz; Rudolph, Bernd: Handbuch Risikomanagement, Band 1, Bad Soden 2000, S. 656-677, hier: S. 658

[52] vgl. Spahr, Roland: Steuerung operationaler Risiken im Electronic und Investment Banking, in: Die Bank 09/2001, S. 660 – 663, hier S. 660 Um diese methodisch klar trennen zu können, ist es erforderlich das Ziel der Messung zu definieren. Vgl. dazu S. 661 - 663

[53] vgl. Finalix AG, a.a.O., S. 2

[54] vgl. Beek, Helmut; Kaiser, Thomas, a.a.O., S. 638

[55] Durch Verbriefung in Wertpapiere werden Aktiva z.B. mit Asset Back Securities (ABS, übersetzt: mit Vermögensgegenständen unterlegte Wertpapiere) handelbar gemacht.

[56] vgl. Beek, Helmut; Kaiser, Thomas, a.a.O., S. 638

[57] vgl. http://www.oprisk-management.de/definitions.html am 21.10.2002

[58] vgl. Holst, Jonny: Risikomanagement im Finanzbereich, Institut für betriebswirtschaftliche Geldwirtschaft der Universität Göttingen, Göttingen 2001, S. 34 f.

[59] vgl. Risikohandbuch der Volkswagen Financial Services AG (o.V.), unveröffentlichte Quelle, S. 26 f.

[60] vgl. http://www.oprisk-management.de/definitions.html am 21.10.2002

[61] Beek, Helmut; Kaiser, Thomas, a.a.O., S. 634

[62] ebenda

[63] vgl. Schiller, Bettina; Wiedemeier, Ingo: Chronologie der Bankenaufsicht, in: Kreditwesen 13/98, S. 757-758, hier S. 758 sowie Quandt, Kathrin: Ökonomen sehen Defizite bei Bankenaufsicht, in: Handelsblatt vom 19.01.99

[64] § 25 a Abs. 1 Nr. 2 KWG

[65] Das IKS umfasst dabei gemäß BaKred „alle Formen von Überwachungsmaßnahmen, die unmittelbar oder mittelbar in die zu überwachenden Arbeitsabläufe integriert sind (prozessabhängige Überwachung).“

[66] vgl. Müller, Michael; Schander, Albert A.: KonTraG - Auflagen und Chancen für Kreditinstitute, in: Bank Magazin 11/98, S. 38 ff.

[67] Wortlaut des § 91 Abs. 2 AktG

[68] vgl. Müller, Michael; Schander, Albert A., a.a.O., S. 38

[69] vgl. Giese, Rolf: Die Prüfung des Risikomanagementsystems einer Unternehmung durch den Abschlußprüfer gemäß KonTraG, in: Die Wirtschaftsprüfung 10/98, S. 451-458, hier S. 451

[70] vgl. dazu auch KPMG (Hrsg.): Reformen im Zeichen von Internationalität, Transparenz und Kontrolle, Berlin 1998, S. 25 f.

[71] vgl. § 315 Abs. 1, 2. Halbsatz HGB

[72] vgl. DRS 5-10, Ziffer 2

[73] Der DRS definiert OpR als Risiko „in betrieblichen Systemen oder Prozessen, insbesondere in Form von a) betrieblichen Risiken, die durch menschliches oder technisches Versagen bzw. externe Einflussfaktoren entstehen, oder b) rechtliche Risiken, die aus vertraglichen Vereinbarungen oder rechtlichen Rahmenbedingungen resultieren“. Vgl. DRS 5-10, Ziffer 9

[74] vgl. Peter, Andreas; Vogt, Hans-Jürgen; Kraus, Volker, a.a.O., S. 656

[75] vgl. C&L Deutsche Revision (Hrsg.), a.a.O., S. 17 f.

[76] vgl. BAFin: Rundschreiben 34/2002 (BA), Mindestanforderungen an das Kreditgeschäft der Kreditinstitute, Geschäftszeichen I4-44-5/2001, Bonn 20.12.2002, Tz. 1 - 4

[77] vgl. Beek, Helmut; Kaiser, Thomas, a.a.O., S. 634

[78] Unter „Outsourcing“ versteht man die Auslagerung von Tätigkeiten und Funktionen auf externe Dienstleistungsunternehmen.

[79] vgl. Deutsche Bundesbank, a.a.O., S. 28

[80] vgl. Beek, Helmut; Kaiser, Thomas, a.a.O., hier: S. 634 f.

[81] ebenda, S. 636

[82] vgl. Faisst, Ullrich; Huther, Andreas; Schneider, Karen, a.a.O., S. 22

[83] vgl. Anders, Ulrich: Qualitative Anforderungen an das Management operativer Risiken, in: Die Bank 6/2001, S. 442 – 446, hier: S. 444

[84] vgl. Pricewaterhouse Coopers (Hrsg.), a.a.O., S. 7

[85] vgl. Risk Management Group, Sound Practices I, a.a.O., Part 2, IV., S. 15 f.

[86] vgl. Beek, Helmut; Kaiser, Thomas, a.a.O., S. 636

[87] vgl. Stocker, Georg; Naumann, Mathias; Buhr, Reinhard; Kind, Ralf; Schwertl, Markus: Qualitatives und quantitatives Controlling und Management von Operational Risk – Eine Entwicklung eines Betriebsrisikocontrollings in der Bayrischen Landesbank, in Kreditwesen 12/2001, S. 677 – 687, hier S. 677

[88] vgl. Risk Management Group, Sound Practices I, a.a.O., Part 2, V., S. 16

[89] vgl. Risk Management Group, Sound Practices I, a.a.O., Part 2, V., S. 17

[90] vgl. Stocker, Georg; Naumann, Mathias; Buhr, Reinhard; Kind, Ralf; Schwertl, Markus, a.a.O., S. 677

[91] vgl. Pricewaterhouse Coopers (Hrsg.), a.a.O., S. 4

[92] ebenda, S. 5

[93] vgl. Schuy, Axel: Risiko-Management: Eine theoretische Analyse zum Risiko und Risikowirkungsprozeß als Grundlage für ein risikoorientiertes Management unter besonderer Berücksichtigung des Marketing, Frankfurt am Main 1989, S. 33

[94] vgl. Schierenbeck, Henner: Integriertes Risiko-Controlling, in: BI/GF 10/96, S. 3-7, hier S. 3 (im Folgenden abgekürzt als „Risiko-Controlling“)

[95] vgl. § 25 a KWG

[96] Unter institutioneller Sicht sind alle Personen und Organisationseinheiten zu verstehen, die Aufgaben innerhalb des Risikomanagements erfüllen.

[97] vgl. KPMG (Hrsg.), Risikomanagement, a.a.O., S. 8

[98] vgl. Risk Management Group, Sound Practices I, a.a.O., Part 2, II., S.13 f.

[99] vgl. Scharpf, Paul, a.a.O., S. 13

[100] vgl. Hartschuh, Thomas: Portfolioorientiertes Management mit Preisrisiken in Kreditinstituten, Frankfurt am Main 1996, S. 23

[101] vgl. Eller, Roland: Phasenkonzept als Controlling-Baustein, in: B.Bl. 1/98, S. 30-34, hier S. 31; vgl. Scharpf, Paul, a.a.O., S. 13; vgl. Hartschuh, Thomas, a.a.O., S. 32; vgl. KPMG (Hrsg.), Risikomanagement, a.a.O., S. 16, 26

[102] vgl. z.B. Peter, Andreas; Vogt, Hans-Jürgen; Kraus, Volker, a.a.O., S. 663

[103] vgl. Basler Ausschuss für Bankenaufsicht: Quantitative Auswirkungsstudie 3, Technische Anleitung, Übersetzung der Deutschen Bundesbank, Oktober 2002, S. 136 (im Folgenden abgekürzt als „QIS 3“)

[104] vgl. z.B. Peter, Andreas; Vogt, Hans-Jürgen; Kraus, Volker, a.a.O., S. 676

[105] vgl. Hartschuh, Thomas, a.a.O., S. 24 f.

[106] vgl. Scharpf, Paul, a.a.O., S. 28

[107] vgl. Hartschuh, Thomas, a.a.O., S. 24 f.

[108] vgl. Coenenberg, Adolf G.; von Wysocki, Claus (Hrsg.): Handwörterbuch der Revision, 2. Aufl., Stuttgart 1992, S.858

[109] vgl. KPMG (Hrsg.), Risikomanagement, a.a.O., S. 26

[110] vgl. Scharpf, Paul, a.a.O., S. 24

[111] vgl. Boos, Karl-Heinz; Schulte-Mattler: Basel II – Methoden zur Quantifizierung operationeller Risiken, in: Die Bank 8/2001, S. 549 – 553, hier S. 549

[112] vgl. Basler Ausschuss für Bankenaufsicht, QIS 3, a.a.O., S. 139

[113] vgl. Boos, Karl-Heinz; Schulte-Mattler, a.a.O., S. 553

[114] vgl. Peter, Andreas; Vogt, Hans-Jürgen; Kraus, Volker, a.a.O., S. 70 f.

[115] vgl. Scharpf, Paul, a.a.O., S. 54

[116] vgl. Schierenbeck, Henner, Risiko-Controlling, a.a.O., S. 2 f.

[117] vgl. Risk Management Group of the Basel Committee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk, July 2002 (im Folgenden abgekürzt als „Sound Practices II“)

[118] vgl. Pricewaterhouse Coopers (Hrsg.), a.a.O., S. 2

Details

Seiten
103
Erscheinungsform
Originalausgabe
Jahr
2003
ISBN (eBook)
9783832471705
ISBN (Buch)
9783838671703
Dateigröße
1.7 MB
Sprache
Deutsch
Katalognummer
v222475
Institution / Hochschule
Hochschule Harz - Hochschule für angewandte Wissenschaften (FH) – Wirtschaftswissenschaften
Note
1,0
Schlagworte
kontrag schadenfalldatenbank self assessment risk mapping risikoindikatoren

Autor

Teilen

Zurück

Titel: Die Verlustdatensammlung für operationelle Risiken bei Banken als Bestandteil des Risikomanagementprozesses im Rahmen der "Neuen Basler Eigenkapitalvereinbarung"