Lade Inhalt...

Analyse der operationellen Risiken durch den Einsatz individueller Datenverarbeitung in Kreditinstituten

©2005 Diplomarbeit 93 Seiten

Zusammenfassung

Inhaltsangabe:Einleitung:
Vor dem Hintergrund der Terroranschläge auf das New Yorker Finanzzentrum am 11. September 2001 sind operationelle Risiken stärker in den Fokus der Risikoanalysten gerückt, da diese hohen negativen Einfluss auf die Liquidität des internationalen Bankensystems feststellten. Deutlich wurde dieses Risiko auch bei den Angriffen auf die Londoner Untergrundbahn am 07. Juli 2005. Operationelle Risiken sind erst jetzt zur zweitwichtigsten Risikokategorie nach dem Kreditrisiko avanciert, obwohl sie unmittelbar mit der Gründung von Kreditinstituten entstehen und noch vor Markt- oder Kreditrisiken existent sind. Sie fassen neben Risiken aus externen Ereignissen auch Prozess-, Personen- und Systemrisiken zusammen, denen auch aus Informationstechnologie (IT) hervorgehende Gefahren zuzuordnen sind. Die zunehmende Bedeutung der IT in Kreditinstituten erhöht gleichzeitig damit verbundene operationelle Risiken.
Da durch verstärkten Wettbewerbsdruck auch die Kreditinstitute gezwungen sind, schneller mit neuen Produkten an den Markt zu gehen, wird im Bereich von Finanzinnovationen – zeit- und kostenbedingt – verstärkt auf professionelle Softwareentwicklung zugunsten individueller Softwarelösungen verzichtet. Diese individuelle Datenverarbeitung (IDV) kann Schwächen der professionellen Variante ausgleichen und stellt eine wichtige Komponente für die Befriedigung individueller Informationsbedürfnisse dar. Stetig komplexer werdende Finanzstrukturen, zunehmende Volumina derivativer Finanzprodukte und die durch internationale Vernetzung der Finanzmärkte ansteigende Schwankung der Marktparameter (Volatilität) erfordern einen verantwortungsvollen und bewussten Risikoumgang. Da gerade in diesen Bereichen dem Einsatz von IDV eine besondere Bedeutung zukommt, sind die hieraus entstehenden operationellen Risiken speziell vor dem Hintergrund der Eigenkapitalanforderungen aus Basel II zu analysieren. Auch IT-Risiken müssen ab Inkrafttreten der Verordnungen des BASEL COMMITTEE OF BANKING SUPERVISION Ende des Jahres 2006 mit Eigenkapital unterlegt werden. Dies führt dazu, dass der Einsatz eines diesbezüglich gut funktionierenden Risikomanagements einen direkten Wettbewerbsvorteil darstellt.
Während die Aufmerksamkeit bereits auf die professionelle Softwareentwicklung gerichtet ist, die einen Teil der IT-Risiken darstellt, steht die Betrachtung der Risiken aus IDV gänzlich am Anfang und ist bisher literarisch nicht behandelt worden. Die Analyse dieser […]

Leseprobe

Inhaltsverzeichnis



- I -
Inhaltsverzeichnis
Seite
Abkürzungsverzeichnis ... III
Abbildungsverzeichnis ... IV
Tabellenverzeichnis ... V
Formelverzeichnis... V
1
Einleitung... 1
1.1
Einführung in die Thematik... 1
1.2
Ziel und Struktur der Arbeit ... 2
2
Operationelle Risiken ... 4
2.1
Definition und Einordnung des Risikobegriffs in das Risikomanagement... 4
2.1.1
Risikobegriff... 4
2.1.2
Risikomanagement... 6
2.2
Definition und Begriffserklärung operationeller Risiken ... 9
2.2.1
Operationelle Risiken ... 9
2.2.2
Operationelle Risiken in Kreditinstituten ... 14
2.2.3
Abgrenzung zu weiteren Risikoarten in Kreditinstituten... 17
2.3
Identifikation operationeller Risiken... 20
2.3.1
Aspekte der Risikoidentifikation... 20
2.3.2
Kollektionsmethoden ... 22
2.3.3
Suchmethoden ... 24
2.3.4
Derivative Analysemethoden ... 26
2.4
Quantifizierung operationeller Risiken... 27
3
Individuelle Datenverarbeitung... 32
3.1
Definition individueller Datenverarbeitung ... 32
3.1.1
Entwicklung durch Dienstleister... 32
3.1.2
Entwicklung durch Fachbereiche... 33
3.2
Gründe zur Erstellung individueller Datenverarbeitung ... 36
3.3
Anwendungsbereiche... 38
3.3.1
Allgemein... 38
3.3.2
Anwendungsgebiete in Kreditinstituten... 40

- II -
4
Risikobetrachtung individueller Datenverarbeitung in Kreditinstituten ... 42
4.1
Risiken aus individueller Datenverarbeitung in Kreditinstituten ... 42
4.1.1
Risiken unter Betrachtung von Aspekten zur Datensicherheit ... 42
4.1.2
Risiken unter Betrachtung externer Vorschriften ... 44
4.1.3
Risiken unter Betrachtung von Kostengesichtspunkten... 45
4.2
Identifikation ... 47
4.2.1
Identifikation individueller Datenverarbeitung ... 47
4.2.2
Identifikation des Risikos aus individueller Datenverarbeitung ... 49
4.3
Messbarkeit operationeller Risiken aus individueller Datenverarbeitung.. 54
4.3.1
Messgegenstand ... 54
4.3.2
Quantitative Analyse... 56
4.3.3
Qualitative Analyse ... 59
4.4
Management operationeller Risiken aus individueller Datenverarbeitung 60
5
Fazit... 64
Literaturverzeichnis ... 66
Anhangsverzeichnis ... 71
Eidesstattliche Erklärung ... 86

- III -
Abkürzungsverzeichnis
BaFin
Bundesanstalt für Finanzdienstleistungsaufsicht
DV
Datenverarbeitung
EDV
elektronische Datenverarbeitung
GoBS
Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
IDV
individuelle Datenverarbeitung
IT
Informationstechnologie
KWG
Kreditwesengesetz
LDCE
Loss Database Collection Exercise
MaH
Mindestanforderungen an das Betreiben von Handelsgeschäften der
Kreditinstitute
ORC
Operational Risk Counter
OTC
Over-the-Counter
VaR
Value at Risk
VBA
Visual Basic for Applications
WpHG
Wertpapierhandelsgesetz

- IV -
Abbildungsverzeichnis
Seite
Abbildung 1:
Ursache-Wirkungs-Profil des Risikobegriffs... 5
Abbildung 2:
Phasen des Risikomanagements ... 7
Abbildung 3:
Operationelle Risiken... 10
Abbildung 4:
Risikostruktur in Kreditinstituten... 18
Abbildung 5:
Beispiel einer Poissonverteilung ... 29
Abbildung 6:
Beispiel einer logarithmischen Normalverteilung ... 30
Abbildung 7:
Anteil IDV-Anwendungen (schematische Darstellung) ... 39
Abbildung 8:
Entscheidungsbaum zur Kategorisierung von IDV... 48

- V -
Tabellenverzeichnis
Seite
Tabelle 1:
Methoden zur Identifikation operationeller Risiken ... 21
Tabelle 2:
Risikokalkulator zur Bewertung von Risiken aus IDV ... 59
Formelverzeichnis
Seite
Formel 1:
Poissonverteilung ... 29
Formel 2:
Logarithmische Normalverteilung ... 30
Formel 3:
Erwarteter
Verlust
auf
Basis
durchschnittlicher
Verzögerungszeiten und Handelsvolumen je Handelssystem ... 58

- 1 -
1
Einleitung
1.1
Einführung in die Thematik
Vor dem Hintergrund der Terroranschläge auf das New Yorker Finanzzentrum am
11. September 2001 sind operationelle Risiken stärker in den Fokus der Risikoana-
lysten gerückt, da diese hohen negativen Einfluss auf die Liquidität des internationa-
len Bankensystems feststellten.
1
Deutlich wurde dieses Risiko auch bei den Angriffen
auf die Londoner Untergrundbahn am 07. Juli 2005. Operationelle Risiken sind erst
jetzt zur zweitwichtigsten Risikokategorie nach dem Kreditrisiko avanciert, obwohl sie
unmittelbar mit der Gründung von Kreditinstituten entstehen und noch vor Markt-
oder Kreditrisiken existent sind.
2
Sie fassen neben Risiken aus externen Ereignissen
auch Prozess-, Personen- und Systemrisiken zusammen, denen auch aus Informati-
onstechnologie (IT) hervorgehende Gefahren zuzuordnen sind. Die zunehmende
Bedeutung der IT in Kreditinstituten erhöht gleichzeitig damit verbundene operatio-
nelle Risiken.
3
Da durch verstärkten Wettbewerbsdruck auch die Kreditinstitute gezwungen sind,
schneller mit neuen Produkten an den Markt zu gehen, wird im Bereich von Finanz-
innovationen ­ zeit- und kostenbedingt ­ verstärkt auf professionelle Softwareent-
wicklung zugunsten individueller Softwarelösungen verzichtet. Diese individuelle
Datenverarbeitung (IDV) kann Schwächen der professionellen Variante ausgleichen
und stellt eine wichtige Komponente für die Befriedigung individueller Informations-
bedürfnisse dar.
4
Stetig komplexer werdende Finanzstrukturen, zunehmende Volu-
mina derivativer
5
Finanzprodukte und die durch internationale Vernetzung der
Finanzmärkte ansteigende Schwankung der Marktparameter (Volatilität) erfordern
einen verantwortungsvollen und bewussten Risikoumgang.
6
Da gerade in diesen
Bereichen dem Einsatz von IDV eine besondere Bedeutung zukommt, sind die hier-
aus entstehenden operationellen Risiken speziell vor dem Hintergrund der Eigenka-
pitalanforderungen aus Basel II zu analysieren. Auch IT-Risiken müssen ab Inkraft-
1
Vgl.: B
RÖSEL
,
G.
(2004),
S.
186.
2
Vgl.: S
TICKELMANN
,
K.
(2002),
S.
4.
3
Vgl.: B
RÖSEL
,
G.
(2004),
S.
188.
4
Vgl.: H
ERKNER
,
T.
(1991), S. 3.
5
Derivate Finanzprodukte sind aus den klassischen Basisinstrumenten des Zins- und Kreditge-
schäfts abgeleitete Produkte, wie Futures, Optionen oder Swaps.
6
Vgl.: B
IERMANN
,
B.
(2002),
S.
104.

- 2 -
treten der Verordnungen des B
ASEL
C
OMMITTEE OF
B
ANKING
S
UPERVISION
Ende des
Jahres 2006 mit Eigenkapital unterlegt werden. Dies führt dazu, dass der Einsatz
eines diesbezüglich gut funktionierenden Risikomanagements einen direkten Wettbe-
werbsvorteil darstellt.
7
Während die Aufmerksamkeit bereits auf die professionelle Softwareentwicklung ge-
richtet ist, die einen Teil der IT-Risiken darstellt, steht die Betrachtung der Risiken
aus IDV gänzlich am Anfang und ist bisher literarisch nicht behandelt worden. Die
Analyse dieser sensiblen Unternehmensdaten stellt demnach eine hohe Herausfor-
derung vor aktuellem Hintergrund dar und verbindet sowohl technische als auch
fachliche Aspekte. Risiken managen heißt auch gleichzeitig Chancen managen.
8
Die
Untersuchung positiver Effekte der IDV gegenüber professioneller Datenverarbeitung
erfolgt in dieser Arbeit sekundär, sollte aber in weitere Überlegungen einbezogen
werden.
1.2
Ziel und Struktur der Arbeit
Ziel der vorliegenden Arbeit ist es, einen Vorstoß in die komplexe und aktuelle The-
matik der operationellen Risiken aus dem Einsatz von IDV zu wagen und durch Auf-
zeigen potentieller Gefahren das Risikobewusstsein der Mitarbeiter in den Fachbe-
reichen, den EDV-Bereichen, der Revision und den Führungsebenen zu schaffen,
um das aktive Managen dieser Risikoart zu ermöglichen. Es wird nicht der Anspruch
auf eine allgemeingültige Bewertung und Eliminierung der operationellen Risiken aus
dem Einsatz von IDV erhoben, die direkt in bereits vorhandene Überlegungen vor
dem Hintergrund von Basel II übernommen werden können. Vielmehr sollen Wege
zur Identifikation und Bewertung von IDV und abhängigen Risiken in Kreditinstituten
eröffnet werden, die eine Grundlage für weitere hierauf ausgerichtete Untersuchun-
gen und Maßnahmen darstellen.
Hierzu werden in Abschnitt 2 der Arbeit die Themenbereiche der operationellen
Risiken, deren Einordnung in den Risikomanagementprozess und die Ableitung der
Begrifflichkeiten für Kreditinstitute behandelt. Es erfolgt zunächst eine differenzierte
Betrachtung operationeller Risiken durch die Aufspaltung in Prozess-, Personen- und
7
Vgl.: S
CHÄFFTER
,
M.
(2004),
http://www.geldinstitute.de/download/DL_00000051.pdf, S. 1.
8
Vgl.: R
OMEIKE
,
F.
(2005),
S. 17.

- 3 -
Systemrisiken sowie in Risiken aus externen Ereignissen, die in einen Gesamtzu-
sammenhang mit Markt- und Kreditrisiken gebracht werden. Anschließend werden
mehrere theoretische und praktische Methoden zur Identifikation vorgestellt, die sich
anhand ihrer Zielrichtung unterscheiden. Die darauf folgende Darstellung zur Quanti-
fizierung operationeller Risiken beschäftigt sich schwerpunktmäßig mit mathemati-
schen Modellen, die eine Trennung in Verlusthäufigkeit und Verlusthöhe vornehmen,
um daraus den Value at Risk (VaR) zu berechnen.
Abschnitt 3 geht auf den Begriff der IDV ein und nimmt eine Abgrenzung von Soft-
wareentwicklungen durch externe Dienstleister zu entsprechenden Entwicklungen
durch den Fachbereich vor. Anschließend werden die Gründe für den Einsatz von
IDV in Kreditinstituten ermittelt und durch Beispiele erläutert.
Die Erkenntnisse aus den beiden vorherigen Abschnitten werden in einer die IDV
betreffenden Risikobetrachtung in Abschnitt 4 zusammengeführt. Zuerst erfolgt die
Darstellung aus IDV entstehender Risiken, die sich sowohl an technischen als auch
fachlichen Aspekten orientiert. Danach werden die in Abschnitt 2 vorgestellten Me-
thoden zur Identifikation auf die IDV und ihre Risiken angewendet. Anschließend
werden die aus den Risiken möglicherweise resultierenden Auswirkungen ermittelt
und Instrumente einer quantitativen und qualitativen Analyse angewendet, die einen
Weg zur Bewertung von Risiken aus IDV aufzeigen. Abschließend wird in diesem
Abschnitt die Einordnung vorgestellter Methoden in den Managementprozess vorge-
nommen.
Abschnitt 5 fasst die gewonnenen Kenntnisse in einem abschließenden Fazit zu-
sammen und skizziert mögliche Fragestellungen für die weitere Betrachtung des
Themas um Risiken aus dem Einsatz von IDV in Kreditinstituten.

- 4 -
2
Operationelle Risiken
2.1
Definition und Einordnung des Risikobegriffs in das Risikomana-
gement
2.1.1
Risikobegriff
Der Begriff Risiko kann durch seine Vielschichtigkeit nicht eindeutig definiert werden
und findet in der Literatur uneinheitlich Verwendung. Erst eine grundsätzliche Diffe-
renzierung des Risikobegriffs in eine ursachenorientierte und wirkungsorientierte De-
finition macht eine umfassende Betrachtung möglich.
Risiko ist ursachenorientiert als Folge einer vorangegangenen Entscheidung, die ei-
nerseits vom Informationsstand und andererseits von der Risikotoleranz des Han-
delnden abhängt.
9
Die auftretenden Effekte können sowohl positive als auch bei sich
nachträglich herausstellender Fehlentscheidung negative Ausprägungen aufweisen.
Ursachen sind unvollständig zur Verfügung stehende Informationen, die zur Ent-
scheidungsfindung herangezogen werden.
10
Mathematisch-betriebswirtschaftlich ist
Risiko nach der Eintrittswahrscheinlichkeit eines Zustandes klassifiziert und lässt sich
in unterschiedliche Erwartungstypen unterteilen.
11
Der zuverlässige Eintritt eines
Ereignisses oder Zustands wird als Sicherheit, der unsichere Eintritt hingegen als
Risiko charakterisiert. Ist die Ermittlung einer Eintrittswahrscheinlichkeit möglich, so
wird dies als Unsicherheit erster Ordnung bezeichnet. Kann einer künftigen Situation
keine Wahrscheinlichkeit zugeordnet werden, so handelt es sich um Unsicherheit
zweiter Ordnung.
12
Wirkungsorientiert wird Risiko als Streuung um einen Erwartungswert
13
differenziert,
dem unterschiedliche Zielvorstellungen zugrunde liegen.
14
Statistisch wird dies als
die Gefahr der zufälligen Abweichung eines tatsächlich realisierten Ergebnisses vom
erwarteten Ergebnis definiert.
15
Die auftretenden Effekte können damit sowohl posi-
9
Vgl.: D
ÖHRING
,
J.
(1996),
S.
7.
10
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
12.
11
Vgl.: B
IERMANN
,
B.
(2002),
S.
105.
12
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
10-11.
13
Vgl.: R
OMEIKE
,
F.
(2005),
S. 18.
14
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
12.
15
Vgl.: B
RÖSEL
,
G.
(2004),
S.
186.

- 5 -
tive als auch negative Ausprägungen annehmen.
16
Risiko ist in dieser allgemeinen
Aussage deshalb nicht zwangsläufig negativ anzusehen.
17
Differenziert betrachtet,
werden die positiven bzw. günstigeren Diskrepanzen als Chance, die negativen bzw.
ungünstigeren als Risiko bezeichnet.
18
Die Ursache-Wirkungs-Zusammenhänge wer-
den in Abbildung 1 veranschaulicht, wo die zu einem Zeitpunkt getroffene Entschei-
dung durch die zur Verfügung stehenden Informationen und die persönliche Risiko-
toleranz beeinflusst wird. Das Ergebnis kann dann positive oder negative Abwei-
chungen vom ursprünglich anvisierten Ziel annehmen.
Abbildung 1: Ursache-Wirkungs-Profil des Risikobegriffs
Quelle:
Eigene Darstellung in Anlehnung an P
IAZ
,
J.-M.
(2001),
S.
13.
Für die Arbeitsdefinition beschränkt sich Risiko auf die Gefahr einer negativen Ab-
weichung des tatsächlich eingetretenen oder des möglicherweise eintretenden Zu-
stands vom gewünschten oder geplanten Ergebnis.
16
Vgl.: R
OMEIKE
,
F.
(2005),
S. 18.
17
Vgl.: B
IERMANN
,
B.
(2002),
S.
104.
18
Vgl.: B
RÖSEL
,
G.
(2004),
S.
186.

- 6 -
2.1.2
Risikomanagement
Risiko stellt einen nicht wünschenswerten Zustand dar
19
und ist durch geeignetes
Management organisatorisch und technisch auf ein Minimum zu reduzieren bzw. in
ein optimales Verhältnis zum Ertrag zu bewegen. Banken übernehmen durch ihre
Geschäftstätigkeit zwangsläufig viele verschiedene Risiken.
20
Das Risikomanage-
ment gehört zu den Kernkompetenzen einer Bank
21
und bedeutet, die Risiken wie
auch Chancen systematisch zu identifizieren, ihre Eintrittswahrscheinlichkeiten zu
ermitteln und die Auswirkungen auf das Unternehmen bzw. den Unternehmenswert
festzustellen. Anschließend werden geeignete Strategien bzw. Maßnahmen ergrif-
fen
22
, so dass die Ziele Existenzsicherung, Sicherung und Erhöhung des Unterneh-
menserfolgs, Senkung der Risikokosten und eine angemessene Eigenkapitalaus-
stattung erfolgreich verfolgt werden können.
23
Der rationale Umgang mit der
Risikosituation ist im Finanzdienstleistungssektor gegenüber anderen Branchen
wesentlich weiter entwickelt.
24
Auf der einen Seite werden die eingegangenen Risi-
ken durch das Risikomanagement kontrolliert, gesteuert und limitiert,
25
auf der ande-
ren Seite können durch das ,,wohlüberlegte und bewusste Eingehen von Risiken im
spekulativen Handel"
26
überproportionale Erträge generiert werden.
Abbildung 2 zeigt, dass Risikomanagement als Regelkreis zu verstehen ist, der sich
in vier Phasen unterteilen lässt. Die Unternehmensziele und die Ziele des Risikoma-
nagements finden sich in der strategischen Risikopolitik wieder und stellen Rahmen-
richtlinien für weitere Schritte dar.
19
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
10.
20
Vgl.: B
IERMANN
,
B.
(2002),
S.
104.
21
Vgl.: S
CHÄFFTER
,
M.
(2004),
http://www.geldinstitute.de/download/DL_00000051.pdf, S. 1.
22
Vgl.: R
OMEIKE
,
F.
(2005),
S. 17-18.
23
Vgl.: R
OMEIKE
,
F.
(2005),
S. 23.
24
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
12.
25
Vgl.: B
IERMANN
,
B.
(2002),
S.
105.
26
B
IERMANN
,
B.
(2002),
S.
104.

- 7 -
Abbildung 2: Phasen des Risikomanagements
Quelle:
Eigene Darstellung in Anlehnung an R
OMEIKE
,
F.
(2005),
S.
26-27.
In der sich anschließenden Prozessphase der Identifikation sollen möglichst alle
Gefahrenquellen, Störpotentiale und Schadenursachen vollständig und kontinuierlich
erfasst werden. In die Betrachtung sind sämtliche betriebliche Prozesse und Funkti-
onsbereiche einbezogen.
27
Die Identifikation kann beispielsweise auf der Ebene der
Risikoarten, der Prozesse, der Geschäftsfelder, der Applikationen sowie der IT-Infra-
struktur erfolgen. Grundsätzlich sind sowohl eine Top-down-Strategie
28
, die eine
schnelle, meist strategischorientierte Erfassung ermöglicht, als auch ein Bottom-up-
Verfahren
29
, bei dem sämtliche Geschäftsbereiche und mögliche Korrelationen zwi-
schen Einzelrisiken erfasst werden, denkbar. In der Praxis finden Kollektionsmetho-
den sowie kreative und analytische Suchmethoden Anwendung.
30
Erstere eignen
sich vorwiegend für die Ermittlung bestehender und offensichtlicher, letztere eher für
27
Vgl.: R
OMEIKE
,
F.
(2005),
S. 18.
28
Die Top-down-Strategie ist im Fall der Risikoidentifikation als ein Verfahren zu bezeichnen, bei
dem aus globaler Unternehmenssicht Gefahrenpotentiale ,,von oben nach unten" auf einzelne Ge-
schäftsbereiche aufgeteilt werden.
29
Bei der Bottom-up-Strategie erfolgt im Fall einer Risikoidentifikation die Erfassung einzelner Risiko-
potentiale ,,von unten nach oben", die zur Bestimmung der gesamten Risikoposition auf oberster
Ebene zusammengefasst werden.
30
Für eine detaillierte Auseinandersetzung mit Methoden zur Identifikation von operationellen Risiken
siehe Abschnitt 2.3.

- 8 -
die Identifikation künftiger und bisher unbekannter Risiken bzw. Risikopotentiale.
31
Ein Instrument der Risikoidentifikation sind Frühwarnsysteme, die interne und ex-
terne Faktoren analysieren, um Risiken möglichst rechtzeitig zu signalisieren.
32
Nach erfolgter Identifikation kann nun in der Phase der Risikobewertung eine Quanti-
fizierung erfolgen. Der Erwartungswert wird hierbei durch die Multiplikation der Ein-
trittswahrscheinlichkeit mit dem Schadenmaß ermittelt. Vorraussetzung hierfür ist
eine mathematisch skalierbare Größe der Risikofaktoren und keine Klasseneintei-
lung.
33
Ziel der Risikobewertung ist die Ermittlung der Höhe des Gefährdungspotenti-
als und eine Priorisierung durch Rangfolgebildung. Hierbei kommen sowohl quantita-
tive
34
als auch qualitative
35
Analysemethoden zum Einsatz.
36
Eine bedeutende Rolle im Risikomanagement obliegt der Risikoidentifikation und
-bewertung, da sie die Informationsgrundlage für alle folgenden risikopolitischen Ent-
scheidungen darstellt.
37
Eine objektive Quantifizierung ist allerdings nicht immer
möglich, da beispielsweise die Bewertung von Imageverlusten stark auf subjektiver
Einschätzung beruht. Die Anwendung mathematisch-statistischer Modelle bei opera-
tionellen Risiken ist oftmals ebenso problematisch, da keine sinnvolle Datenbasis
vorliegt. Erschwerend kommt hinzu, dass zur Analyse des Gesamtrisikos sowohl po-
sitive als auch negative Ergebnisse zu berücksichtigen und zu kumulieren sind.
38
In
einem wohldiversifizierten Portfolio kann das Gesamtrisiko wesentlich geringer als
die Summe der Einzelrisiken sein.
39
Nach Identifikation und Quantifizierung der vorhandenen und potentiellen Risiken
sind im Prozess der Risikosteuerung und -kontrolle alle Maßnahmen zu treffen, um
die Eintrittswahrscheinlichkeit oder das Schadensausmaß zu verringern und damit
positiv auf die Risikolage des Unternehmens einzuwirken. Durch Aufgeben oder Än-
derung wirtschaftlicher Aktivitäten können Risiken vermieden werden. Organisatori-
31
Vgl.: R
OMEIKE
,
F.
(2005),
S. 26-27.
32
Vgl.: R
OMEIKE
,
F.
(2005),
S. 19.
33
Vgl.: V
AN DEN
B
RINK
,
G.
J.
(2005),
S.
257.
34
Zu den quantitativen Analysemethoden zählen unter anderem Value at Risk (VaR),
Sensivitätsanalysen und der Ausgaben-/Gewinn-Ansatz.
35
Zu den qualitativen Analysemethoden zählen unter anderem die Nutzwertanalyse, die
Szenariotechnik und die Analyse anhand von Risikoindikatoren.
36
Vgl.: R
OMEIKE
,
F.
(2005),
S. 27.
37
Vgl.: R
OMEIKE
,
F.
(2005),
S. 19.
38
Vgl.: R
OMEIKE
,
F.
(2005),
S. 29.
39
Vgl.: B
IERMANN
,
B.
(2002),
S.
104.

- 9 -
sche und technische Maßnahmen dienen hingegen zur Risikoverminderung, wäh-
rend beispielsweise Versicherungen den Transfer zu Dritten ermöglichen.
40
Diese Ergebnisse fließen wieder in die strategische Betrachtung ein und führen zu
einer Neudefinition der Ziele des Risikomanagements, wodurch sich der Regelkreis
schließt. Für eine effiziente Ausgestaltung und Umsetzung in einen kontinuierlichen
Vorgang ist eine Integration in die Unternehmensprozesse notwendig.
41
Das
Risikomanagement umfasst eine Vielzahl von möglichen Risiken. Der Schwerpunkt
der folgenden Auseinandersetzung beschränkt sich auf operationelle Risiken als ei-
nen Teilbereich des Risikomanagements.
2.2
Definition und Begriffserklärung operationeller Risiken
2.2.1
Operationelle Risiken
Operationelle Risiken werden in der Literatur oftmals sehr unterschiedlich definiert
und bezeichnet. Dies macht ein einheitliches Verständnis und einen zielgerichteten
Umgang schwierig. So sind Unstimmigkeiten zwischen den Begriffen operationelle
Risiken, operationale Risiken und operative Risken zu verzeichnen. Hinzu kommt die
vor allem durch englischsprachige Literatur geprägte, aber zunehmend auch in
deutschsprachiger Literatur verwendete Bezeichnung Operational Risk. Operationale
Risiken sind zwangsläufig mit der Ausübung wirtschaftlicher Tätigkeiten verbunden.
42
Operationelles Risiko ist die Gefahr von Verlusten, die in Folge der Unangemessen-
heit oder des Versagens von internen Prozessen, Menschen und Systemen oder in
Folge von externen Ereignissen eintreten. Diese Definition schließt Rechtsrisiken ein,
beinhaltet aber nicht strategische Risiken und Reputationsrisiken.
43
Eine generelle
synonyme Verwendung der unterschiedlichen Begriffe ist allerdings nicht sinnvoll, da
operative Risiken nur einen Teil der operationellen Risiken ausmachen. Operative
Risiken haben rein innerbetrieblichen Charakter und vereinen ausschließlich die als
Prozessrisiko, Systemrisiko und Personenrisiko bezeichneten Bereiche.
44
In der
vorliegenden Arbeit wird ausschließlich der Begriff der operationellen Risiken ver-
wendet, da unter ihm alle zu betrachtenden Facetten subsumiert werden können. In
40
Vgl.: R
OMEIKE
,
F.
(2005),
S. 29-30.
41
Vgl.: R
OMEIKE
,
F.
(2005),
S. 25.
42
Vgl.: G
ULDIMANN
,
T.
(1999),
S.
54.
43
Vgl.: B
ASEL
C
OMMITTEE ON
B
ANKING
S
UPERVISION
(Hrsg.)
(2003b),
S.
120.
44
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
3.

- 10 -
Abbildung 3 sind die aufgeführten vier Hauptbereiche und die Zusammenhänge der
operationellen Risiken veranschaulichend dargestellt.
Abbildung 3: Operationelle Risiken
Quelle:
Eigene Darstellung in Anlehnung an B
RÖSEL
,
G.
(2004),
S.
188.
Unter den internen Faktoren subsumieren sich Abwicklungsrisiken und Faktorrisiken.
Abwicklungsrisiken können direkt den als ablaufstrukturellen Risiken bezeichneten
internen Prozessen zugeordnet werden.
45
Des Weiteren ist zudem allerdings eine
parallele Betrachtung neben den operationellen Risiken zu finden.
46
Diese fokussiert
das zeitliche Auseinanderfallen von Geschäftsabschluss und -abwicklung. Das Aus-
einanderfallen von Lieferung und Zahlung sind ebenso Quellen für die Entstehung
eines solchen möglichen Risikos.
47
Faktorrisiken beziehen sich auf Risiken persönli-
cher Art und sachlich-technischer Art, die sich üblicherweise kostensteigernd auswir-
ken und somit zu den Erfolgsrisiken zählen. Sie begründen sich zum einen in dem
Unterschied zwischen in der Planung veranschlagten und den tatsächlich eingetrete-
nen Kosten und zum anderen in zu gering vorgehaltenen Faktormengen, die sowohl
zu zusätzlichen Kosten bei der Beschaffung als auch zu Opportunitätskosten durch
entgangene Geschäfte führen können. Zu viel vorgehaltene Kapazitäten hingegen
führen zu Leerkosten.
48
45
Vgl.: B
RÖSEL
,
G.
(2004),
S.
188.
46
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
15.
47
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
20.
48
Vgl.: B
RÖSEL
,
G.
(2004),
S.
188.

- 11 -
Die hier aufgeführten Risiken treten meist in unterschiedlichen Kombinationen auf, so
dass nur schwer auf das einzelne Risiko geschlossen werden kann. Die Kenntnis ist
allerdings von hoher Bedeutung, da sonst keine effektive Absicherung einer Risiko-
position erfolgen kann.
49
Die Gefahr des Versagens interner Prozesse entsteht durch nicht richtig aufgestellte
oder nicht richtig ausgeführte Prozesse. Das Auftreten dieser Prozessrisiken ist ur-
sächlich durch mangelndes Management begründet. Diese werden insbesondere
durch unklare Verantwortlichkeiten in Matrix-Organisationen begünstigt.
50
Weitere
Ursachen für nicht ordnungsgemäße Ausführung richtig implementierter Prozesse
sind auf Fehleingaben oder Kommunikationsfehler zurückzuführen.
51
Auch bei
ausgelagerten Prozessen muss nicht zwangläufig eine gleichzeitige Risikominderung
eintreten. Hierbei erfolgt vielmehr eine Risikoverschiebung. Technische Verflechtun-
gen und einhergehende Know-how-Verluste in dem eigenen Unternehmen erhöhen
die Abhängigkeit vom Partner oder Dienstleister.
52
Bei der Einordnung der Abwicklungsrisiken herrscht Uneinigkeit. Sie können entste-
hen, wenn ein Geschäft abgeschlossen wird, jedoch weder die technische Voraus-
setzung für eine ordnungsgemäße Abwicklung noch das entsprechende Know-how
vorhanden ist.
53
B
RÖSEL
versteht hingegen unter Abwicklungsrisiken die
Zusammenfassung von
Organisationsrisiken,
Haftungsrisiken und
Vertragsrisiken.
Organisationsrisiken ergeben sich aus der aufbau- und ablauforganisatorischen und
damit arbeitsteiligen Gliederung. Haftungsrisiken resultieren aus Verpflichtungen bei-
spielsweise nach dem Wertpapierhandelsgesetz (WpHG)
54
und der Prospekthaf-
49
Vgl.: B
IERMANN
,
B.
(2002),
S.
108.
50
Vgl.: J
ÖRG
,
M.
(2002),
S.
11.
51
Vgl.: J
ÖRG
,
M.
(2002),
S.
12.
52
Vgl.: J
ÖRG
,
M.
(2002),
S.
13.
53
Vgl.: B
IERMANN
,
B.
(2002),
S.
107.
54
Das WpHG bildet die rechtlichen Grundlagen für den Wertpapierhandel an der Börse und ordnet
damit das Wertpapiergeschäft, welches der Überwachung durch die BaFin unterliegt. Hieraus kön-
nen Schadensersatzansprüche aus der Verletzung der Pflicht zur Information oder aufgrund feh-
lerhafter Beratung entstehen.

- 12 -
tung
55
, wohingegen die Gefahr von Vertragsrisiken aus fehlerhaft oder missverständ-
lich formulierten Verträgen hervorgeht.
56
Da eine sehr enge Berührung mit internen
Prozessen stattfindet, werden Abwicklungsrisiken künftig auch diesem Bereich zuge-
ordnet.
Die sich aus der Ressource Mensch ergebenden Personenrisiken lassen sich in
qualitative und quantitative Personalverfügbarkeit und
interne rechtswidrige und nicht autorisierte Handlungen
unterteilen. Mängel in der Aufgabenerfüllung können durch mangelhafte Qualifikation
aufgrund fehlender Sachkenntnis und unzureichender Berufserfahrung sowie durch
Überlastung oder Unterforderung bedingt sein. Eine nicht optimale Arbeitsauslastung
führt zu hohen Fluktuationsquoten, die einen Verlust des intellektuellen Kapitals zur
Folge haben.
57
Zu dieser Risikokategorie werden Kompetenzüberschreitungen, ille-
gale Transaktionen, unautorisiertes Handeln und rechtswidrige interne Aktivitäten
gezählt. Illegale Transaktionen, bei denen geltende Geschäftsbedingungen, Gesetze
oder andere Richtlinien verletzt werden, können operationelle Schäden in Form von
Sanktionszahlungen nach sich ziehen. Diese Risikokategorie lässt sich durch Betrug,
Unterschlagung, Veruntreuung und Diebstahl ergänzen.
58
Vor dem Hintergrund der Entwicklungen in den Bereichen eCommerce und hoch-
technisierter IT-Systeme bekommen Systemrisiken, die in Verbindung mit Informa-
tions- und Kommunikationstechnologie betrachtet werden, eine ganz neue Dimen-
sion. Bei den operationellen Risiken in diesem Segment ergibt sich eine grundsätzli-
che Unterscheidung in
Risiken aus der Nutzung von IT-Systemen und in
Risiken, die durch die veränderte elektronische Kommunikation entstehen.
59
Zu Risiken aus dem Umgang mit bzw. der Nutzung von IT-Systemen werden Hard-
und Softwarefehler gezählt. Während Hardwarefehler sich in Form von Systemunter-
55
Die Prospekthaftung regelt die Haftung der Emittenten und der Konsortialbanken für die Richtigkeit
der Angaben in Verkaufsprospekten. Bei nachweislich falschen Angaben hat der Käufer Anspruch
auf Rückerstattung des Kaufpreises, entstandener Transaktionskosten und durch Veräußerung
entstandener Verluste.
56
Vgl.: B
RÖSEL
,
G.
(2004),
S.
188.
57
Vgl.: J
ÖRG
,
M.
(2002),
S.
21.
58
Vgl.: J
ÖRG
,
M.
(2002),
S.
22-23.
59
Vgl.: J
ÖRG
,
M.
(2002),
S.
16.

- 13 -
brechungen durch technische Schwächen in der Datenübertragung
60
oder als Exis-
tenz bedrohende Zusammenbrüche ganzer Netzwerke darstellen, werden unter
Software-Risiken fehlerhaft programmierte Softwaresysteme aufgefasst, die anfal-
lende Bedürfnisse nicht ordnungsgemäß abdecken können.
61
Heutzutage werden hohe Anforderungen an die Zuverlässigkeit und die Sicherheit
bei der Nutzung, Übermittlung und Speicherung von Informationen gestellt. Das In-
ternet und die damit verbundenen Möglichkeiten der Interaktion mit global verfügba-
ren Kunden stellen ein enormes Wertschöpfungspotential dar. Erhöhte Markttranspa-
renz führt zu spürbar ansteigendem Wettbewerbsdruck, der immer kürzere Entwick-
lungszeiten bedingt. Dieser auch als ,,time-to-market" bekannte Prozess führt dazu,
dass ,,die Anforderungen an neue Produkte zu ungenau von den Fachbereichen an
die IT-Entwicklungsabteilungen kommuniziert werden und im Nachhinein immense
Kosten bei der Nachbesserung entstehen."
62
Durch das Internet als Schnittstelle für
die Kommunikation mit Kunden und Lieferanten steigt zudem auch die Anzahl poten-
tieller Angriffe aus dem Netz, die beispielsweise durch Manipulation eingesetzte
Systeme negativ beeinträchtigen können.
63
Des Weiteren können operationelle Risi-
ken auch aus dem unsachgemäßen Umgang mit IT-Systemen entstehen, welcher
beispielsweise auf Fehler in Benutzerhandbüchern und mangelnder Expertise und
Training der Mitarbeiter zurückzuführen sein kann. Die unzureichende Qualifikation
wird allerdings den Personenrisiken zugeordnet.
64
Risiken, die durch externe Ereignisse hervorgerufen werden, können in die drei
Kategorien
Risiken doloser Art,
Risiken rechtlicher Art und
Risiken übriger Art
unterteilt werden. Externe Kriminalität und betrügerische Handlungen werden unter
Risiken doloser Art zusammengefasst. Hierunter sind sowohl Banküberfälle als auch
Computer- und Internet-Kriminalität zu zählen. Risiken rechtlicher Art beziehen sich
60
Vgl.: J
ABUREK
, W. J. (1990), S. 63.
61
Vgl.: J
ÖRG
,
M.
(2002),
S.
19-20.
62
J
ÖRG
,
M.
(2002),
S.
17.
63
Vgl.: J
ÖRG
,
M.
(2002),
S.
13.
64
Vgl.: J
ÖRG
,
M.
(2002),
S.
20-21.

- 14 -
auf relevante Veränderungen in der Gesetzgebung und der Rechtsprechung. Unter
den übrigen Risiken subsumieren sich sowohl Gefahren physischer Einflüsse wie
etwa Feuer, Stromausfälle, Wasserrohrbrüche und Unfälle als auch höherer Ge-
walt.
65
Hierunter werden Kriegsereignisse, Epidemien, politische Unruhen, Streiks,
Fluten, Erdrutsche, Blitzeinschläge, Stürme, Tornados und Erdbeben verstanden.
66
Diese Risiken sind in der Regel direkt liquiditäts- bzw. ertragswirksam und gleichzei-
tig nicht oder nur schwer mess- und kalkulierbar. Zugesagte, aber nicht bereitge-
stellte Güter und Dienstleistungen durch inadäquate Absicherungs- und Ausweich-
maßnahmen können den Betriebsablauf erheblich stören.
67
Rechtliche Risiken treten dann auf, wenn Uneinigkeit und Missverständnis über die in
einzelnen Ländern variierende Gesetzgebung herrschen. Diese können dazu führen,
dass trotz fehlender rechtlicher Autorität und unvollständiger rechtsgültiger Unterla-
gen Verträge abgeschossen werden, die beiden Parteien die Möglichkeit der An-
fechtung bieten.
68
Für ein zivilrechtliches Geschäft ist jedoch grundsätzlich keine
rechtliche Autorität notwendig. Des Weiteren werden das Solvenzrisiko und das
Vollstreckungsrisiko im Ausland nicht berücksichtigt. Hieraus folgt als Definition für
rechtliche Risiken die Gefahr, dass rechtliche Ansprüche nicht durchsetzbar sind
oder nicht ausreichend dokumentiert sind. J
ÖRG
ergänzt dies um die Gefahren ho-
heitlicher Sanktionen und Beeinträchtigungen.
69
2.2.2
Operationelle Risiken in Kreditinstituten
Das operationelle Risiko hat neben dem Markt- und Kreditrisiko in der Finanzdienst-
leistungsbranche erheblich an Bedeutung gewonnen, wobei sich die Quantifizierung
dieser Risikokategorie schwierig gestaltet. Hier steht bei dem Begriff Risiko im Ge-
gensatz zur allgemeinen Betrachtungsweise das Verlustpotential im Vordergrund.
70
,,Banks measure credit and market risk because they can, not because these are the
biggest risks they face. Operational risk is larger, more dangerous and no-one knows
exactly what to do about it."
71
Die sich vom betrieblichen Geschehen ableitenden
65
Vgl.: B
RÖSEL
,
G.
(2004),
S.
188.
66
Vgl.: J
ABUREK
, W. J. (1990), S. 63. und J
ÖRG
,
M.
(2002),
S.
24-25.
67
Vgl.: J
ÖRG
,
M.
(2002),
S.
24-25.
68
Vgl.: P
IAZ
,
J.-M.
(2001),
S.
18-19.
69
Vgl.: J
ÖRG
,
M.
(2002),
S.
8.
70
Vgl.: B
IERMANN
,
B.
(2002),
S.
105.
71
P
ARSLEY
,
M.
(1996),
S.
74.

Details

Seiten
Erscheinungsform
Originalausgabe
Jahr
2005
ISBN (eBook)
9783956360534
ISBN (Paperback)
9783832497064
Dateigröße
1.8 MB
Sprache
Deutsch
Institution / Hochschule
Private Fachhochschule für Wirtschaft und Technik Vechta-Diepholz-Oldenburg; Abt. Vechta – Studiengang Wirtschaftsinformatik
Erscheinungsdatum
2006 (Juli)
Note
1,6
Schlagworte
operational risk basel schadenfall derivate
Zurück

Titel: Analyse der operationellen Risiken durch den Einsatz individueller Datenverarbeitung in Kreditinstituten
book preview page numper 1
book preview page numper 2
book preview page numper 3
book preview page numper 4
book preview page numper 5
book preview page numper 6
book preview page numper 7
book preview page numper 8
book preview page numper 9
book preview page numper 10
book preview page numper 11
book preview page numper 12
book preview page numper 13
book preview page numper 14
book preview page numper 15
book preview page numper 16
book preview page numper 17
book preview page numper 18
book preview page numper 19
book preview page numper 20
93 Seiten
Cookie-Einstellungen