Operationelle Risiken bei Kreditinstituten - Versicherungsmagazin

Global Financial Services
Operationelle Risiken bei Kreditinstituten
Trends & Best Practice
November 2002

Inhaltsverzeichnis
1 Management Summary 4
2 Informationen zur Studie 7
3 Auswertung 9
3.1 Nutzen und Motivation beim
Management operationeller Risiken 10
3.2 Umsetzung aufsichtsrechtlicher
Anforderungen 11
3.3 Organisation und Prozesse beim
Management operationeller Risiken 14
3.4 Methoden zur Identifikation und
Messung operationeller Risiken 18
4 Kernaussagen und Schlussfolgerungen 27
5 Glossar 30
6 Über Cap Gemini Ernst & Young 33

1.
Management Summary

Operationelle Risiken sind als Thema bei Kreditinstituten
in den letzten Jahren zunehmend in
den Mittelpunkt des Bewusstseins gerückt. Die
Gründe dafür liegen, neben den verstärkten
aufsichtsrechtlichen Anforderungen aus Basel II,
vor allem in dem Bestreben der Institute, durch
ein besseres Management und Controlling
operationeller Risiken (OR-Managementprozess)
den eigenen Unternehmenswert zu steigern.
Aufgrund des ständigen Fortschritts in dem
noch jungen Thema ist Transparenz über den
Status Quo des Entwicklungsstands bei den
Kreditinstituten für alle Marktteilnehmer hilfreich
und sinnvoll. Um den Instituten einen
Überblick über den Stand der Entwicklungen
und die aktuellen Trends im Thema zu verschaffen,
wurde die vorliegende Studie „Operationelle
Risiken bei Kreditinstituten – Trends und Best
Practice“ von Cap Gemini Ernst & Young in
Zusammenarbeit mit dem Seminar für Kapitalmarktforschung
und Finanzierung der
Ludwig-Maximilians-Universität München
(Prof. Dr. Bernd Rudolph) durchgeführt. Die
Studie basiert auf einer schriftlichen Befragung
bei 60 teilnehmenden Kreditinstituten aus
Deutschland, Österreich und der Schweiz. Die
Datenerhebung erfolgte von Mai 2002 bis
September 2002 anhand von mehr als 100 Fragen
je Teilnehmer.
Ziele der Studie
Die Studie gibt einen umfassenden Überblick
über den Status Quo des OR-Managementprozesses
bei führenden Banken in Deutschland, Österreich
und der Schweiz. Der Schwerpunkt der
Untersuchung lag dabei in der konkreten Ausgestaltung
des OR-Managementprozesses und
den Erfahrungen, die die Teilnehmer mit den
verwendeten Methoden gesammelt haben.
Aufgrund der erfreulich hohen Teilnehmerzahl
bietet die Studie ein umfassendes Bild der Standards
und Trends, die sich am Markt derzeit
herausgebildet haben bzw. derzeit abzeichnen.
Wesentliche Ergebnisse der Studie
Während der Leser in Kapitel 3 eine detaillierte
Auswertung der einzelnen Fragen erhält, werden
hier zunächst die wesentlichen Ergebnisse zusammengefasst
und die daraus erkennbaren
Trends benannt.
„Weiche Faktoren“ wie die in einem Institut
vorherrschende Risikokultur und der
Support der Führungsebene sind für einen
erfolgreichen OR-Managementprozess die
wichtigsten Erfolgsfaktoren.
Nach Einschätzung der Teilnehmer sind es vor
allem die „weichen Faktoren“, wie die Unterstützung
des vorgesehenen OR-Managementprozesses
durch die Geschäftsführung und die Etablierung
einer offenen Risikokultur, die den Erfolg
der eingesetzten OR-Methoden sicherstellen.
Der Ausstattung des OR-Controllings (zentral
und dezentral) mit Mitarbeitern und finanziellen
Ressourcen wurde dabei eine weitaus geringere
Bedeutung für den Erfolg beigemessen. Zu
erklären ist dieses Ergebnis unter anderem
damit, dass die von den Teilnehmern der Studie
überwiegend eingesetzten OR-Methoden
(z. B. Self Assessment, Schadensfalldatenbank)
nur in einer offenen Risikokultur sinnvoll
eingesetzt werden können. Das Fehlen dieser
wichtigen Rahmenbedingung kann nicht durch
einen erhöhten Personal- oder Ressourceneinsatz
kompensiert werden.
Hinsichtlich der Wahl des
Eigenkapitalansatzes (Basel II) herrscht in
vielen Instituten noch Unsicherheit.
Die drei den Instituten zur Verfügung stehenden
Eigenkapitalansätze (Basisindikatoransatz,
Standardansatz und AMA – Advanced Measurement
Approaches) haben im Rahmen der Konsultationsphasen
hinsichtlich ihrer Ausgestaltung,
aber auch hinsichtlich der Anwendbarkeit,
zahlreiche Änderungen erfahren. Hier wird von
Management Summary Operationelle Risiken bei Kreditinstituten
den Studienteilnehmern mehrheitlich Handlungsbedarf
seitens der Risk Management
Group (RMG) des Baseler Komitees gesehen.
Als wichtigste Punkte werden die konkrete
Ausgestaltung der Eigenkapitalansätze, die
Auswahl der Exposure Indikatoren sowie die
Kriterien für die Anrechenbarkeit von Versicherungen
genannt. Die abschließende Klärung
dieser Punkte ist für viele Institute eine wichtige
Voraussetzung, um die Entscheidung für einen
der Eigenkapitalansätze treffen zu können.
Das OR-Controlling liegt bei vielen
Instituten in der Verantwortung einer
zentralen Organisationseinheit.
Entsprechend der anderen Risikoarten (Kreditund
Marktpreisrisiken) ist mittlerweile eine
zentrale Organisationseinheit, die das OR-
Controlling verantwortet, weit verbreitet. Diese
Einheit wiederum ist in den meisten Unternehmen
im Bereich Risikocontrolling angesiedelt.
Die vor einigen Jahren, insbesondere in kleineren
Instituten, noch übliche Praxis, die Verantwortung
für operationelle Risiken im Bereich
der internen Revision anzusiedeln, ist heute
kaum noch zu beobachten. Dies entspricht auch
den mittlerweile klaren Vorgaben der RMG
(Sound Practices Juli 2002), die eine unabhängige,
den OR-Prozess prüfende Revision fordern.
Die wesentlichen Aufgaben des zentralen OR-
Controllings liegen in der Auswahl geeigneter
OR-Management- und Controllingmethoden, der
Konzentration des methodischen Fachwissens
(Methodenhoheit), der Entwicklung eines OR-
Rahmenwerks sowie der zentralen Sammlung
von OR-Daten, die dem Management in Form
von Reports zugänglich gemacht werden.
5

Operationelle Risiken bei Kreditinstituten Management Summary
Self Assessment und Schadensfalldatenbank
haben sich als Methoden zum Marktstandard
entwickelt. Die Nutzung von Risikoindikatoren
wird von vielen Instituten angestrebt, diese
liefern jedoch nur selten zufriedenstellende
Ergebnisse.
Schadensfalldatenbank
Vor dem Hintergrund der aufsichtsrechtlichen
Anforderungen, die eine strukturierte Erfassung
von Schadensfällen als Voraussetzung bereits für
den Standardansatz fordern, ist der große Anteil
von Instituten, die entweder eine Schadensfalldatenbank
implementiert haben oder dies für
die Zukunft planen, nicht überraschend. Darüber
hinaus bieten die Daten der Schadensfalldatenbank
den Instituten die Möglichkeit, die Ergebnisse
anderer OR-Methoden (Risikoindikatoren,
Self Assessment, Szenarioanalyse) zu verifizieren
und somit Erkenntnisse über Validität und
Qualität der eingesetzten OR-Methoden zu
bekommen. Größtes Problem bei der Schadensfalldatenbank
scheint die Qualität der Datensammlung
zu sein. Dies ist möglicherweise auch
auf fehlende Anreize für die Meldung von Schadensfällen
in den meisten Instituten zurückzuführen.
Die im eigenen Institut gesetzten Anreize
werden nur von einer Minderheit der Teilnehmer
als „geeignet“ oder „sehr geeignet“ angesehen.
Self Assessment
Neben der Schadensfalldatenbank ist das Self
Assessment die am weitesten verbreitete Methode.
Über 75% der Institute setzen diese Methode
bereits ein oder planen ihren Einsatz. Die Ausgestaltung
des Self Assessments variiert dabei
stark. Die Mehrheit der Teilnehmer vertraut
dem Einsatz standardisierter Fragebögen, in
Einzelfällen werden allerdings auch aufwendigere
Self Assessments betrieben, die persönliche Interviews
oder Workshops vorsehen. Die Präferenz
der meisten Institute für eine einfachere Lösung
zeigt, dass in den Instituten an dieser Stelle
„Pragmatismus vor Komplexität“ gesetzt wird.
Der damit teilweise verbundeneVerlust an Aussagefähigkeit
und Analysemöglichkeiten wird dabei
von den Teilnehmern in Kauf genommen.
Risikoindikatoren
Die Funktion eines „Frühwarnsystems“, wie im
jüngsten Sound Practices Papier von der RMG
gefordert, soll in vielen Instituten durch Risikoindikatoren
wahrgenommen werden. Während
bislang nur 20% der teilnehmenden Institute
6
Risikoindikatoren implementiert haben, erklärten
weitere 40% der Institute, dass der Einsatz von
Risikoindikatoren zukünftig angestrebt wird.
Auffällig ist jedoch, dass eine Mehrheit der
Institute, die Risikoindikatoren bereits verwenden,
sich mit diesen weniger zufrieden zeigt. Dies steht
im Gegensatz zu den Methoden Schadensfalldatenbank
und Self Assessment, mit denen die
Mehrheit der Institute zufrieden ist.
Nutzen der Studie
Die Auswertung der Studiendaten ermöglicht
den Teilnehmern, einen Überblick über „Trends
& Best Practice“ im Management und Controlling
operationeller Risiken zu gewinnen. Da die mit
diesem jungen Thema verbundenen Aufgabenstellungen
vielfach neu sind und sich die Probleme
und ihre Lösungen häufig erst in der konkreten
Umsetzung ergeben, ist der Austausch von
Informationen für alle Beteiligten wichtig und
hilfreich.
Die Studie soll in diesem Zusammenhang einen
Beitrag leisten, den Informationsaustausch zu
fördern und den Teilnehmern somit die Möglichkeit
geben, die Situation des eigenen Instituts
im Kontext des Marktes zu sehen und aus
den Erfahrungen anderer Institute lernen zu
können.

2.
Informationen zur Studie

Operationelle Risiken bei Kreditinstituten Informationen zur Studie
Zielsetzung
Um den Marktteilnehmern einen Überblick
über den Stand der Entwicklungen und die
aktuellen Trends im Thema OR zu verschaffen,
hat Cap Gemini Ernst & Young in Deutschland,
Österreich und der Schweiz die Studie „Operationelle
Risiken bei Kreditinstituten - Trends &
Best Practice“ durchgeführt. Die Studie wurde
vom Seminar für Kapitalmarktforschung und
Finanzierung der Ludwig-Maximilians-Universität
München (Prof. Dr. Bernd Rudolph) im Rahmen
einer wissenschaftlichen Arbeit begleitet.
Teilnehmer
Die Studie basiert auf einer Befragung von Kreditinstituten
aus Deutschland, Österreich und der
Schweiz. Angeschrieben wurden die Top
100-Institute nach Bilanzsumme in Deutschland
und jeweils die Top 15-Institute nach Bilanzsumme
in Österreich und in der Schweiz, wobei
die Bilanzsummenspannweite von 64 Mio. € bis
929 Mrd. € reichte. Der zugrunde liegende
Fragebogen wurde im April 2002 an 129 Kreditinstitute
gesendet, von denen sich 60 aktiv an
der Studie beteiligten. Dies entspricht einer
Beteiligungsquote von 47% und gestattet die
Ableitung fundierter Aussagen auf der Basis des
vorliegenden Datenmaterials. An dieser Stelle
sei den Teilnehmern der Studie herzlich gedankt.
Die Sorgfalt bei der Beantwortung der Fragen
sowie die rege Nutzung der Kommentarbereiche
haben entscheidend zur Vielfalt der abgeleiteten
Zusammenhänge beigetragen. Zu den häufigsten
Gründen für eine Nicht-Teilnahme zählten
Umstrukturierungsmaßnahmen im Hause,
mangelnde Kapazitäten für das Ausfüllen des
umfangreichen Fragebogens oder eine bislang
zu geringe Auseinandersetzung mit dem Thema
Operationelle Risiken.
Aus Gründen der besseren Vergleichbarkeit
werden einige Ergebnisse Peer Group-spezifisch
dargestellt, um so der Bilanzsummenspannweite
in der Stichprobe Rechnung zu tragen. Dabei
wurden folgende vier Peer Groups gebildet:
• Peer Group 1 (PG 1) - Banken mit einer
Bilanzsumme x ≥ 250 Mrd. € (8 Institute)
• Peer Group 2 (PG 2) - Banken mit einer
Bilanzsumme 250 Mrd. € > x ≥ 25 Mrd. €
(14 Institute)
8
• Peer Group 3 (PG 3) - Banken mit einer
Bilanzsumme 25 Mrd. € > x ≥ 10 Mrd. €
(12 Institute)
• Peer Group 4 (PG 4) - Banken mit einer
Bilanzsumme x < 10 Mrd. € (26 Institute)
Aufbau
Die Studie ist in zwei wesentliche inhaltliche
Abschnitte gegliedert. Kapitel 3 konzentriert
sich auf die Auswertung des zugrunde liegenden
Fragebogens. Die Analyse bezieht die Antworten
jeder Frage ein, verzichtet jedoch auf die
strikte Einhaltung der Reihenfolge im Fragebogen
und stellt zudem wichtige Zusammenhänge
zwischen verwandten Themengebieten her. Das
Vorgehen folgt der Gliederung
• Nutzen und Motivation beim Management
operationeller Risiken
• Umsetzung aufsichtsrechtlicher Anforderungen
• Organisation und Prozesse beim Management
operationeller Risiken
• Methoden zur Identifikation und Messung
operationeller Risiken
Kapitel 4 beschäftigt sich mit der Untersuchung
ausgewählter Kernaussagen, die sich über die
einzelnen Fragenblöcke hinweg identifizieren
lassen. Die Analyse erarbeitet wichtige Muster und
logische Querverbindungen, die bei der Fokussierung
auf einzelne Fragen weniger zum Vorschein
treten. In Kapitel 5 erhält der Leser einen Überblick
über wesentliche Definitionen der aktuellen Terminologie
im Thema Operationelle Risiken.
Erklärung
Die Durchführung der Studie erfolgte mit äußerster
Sorgfalt. Es ist jedoch nicht auszuschließen,
dass einige Antworten infolge unterschiedlich
verwendeter Begriffe nicht direkt vergleichbar
sind. Bei der Erfassung der Daten wurde großer
Wert auf die Erkennung und Vermeidung von
Inkonsistenzen gelegt. Dennoch kann es vorkommen,
dass die Ergebnisse im Einzelfall die
Erfahrungen eines Teilnehmers nicht widerspiegeln.
Im Interesse einer kompakten Darstellung enthält
die Analyse zudem nur die als wesentlich
eingestuften Resultate.
Autoren
Markus Quick
Markus.Quick@cgey.com
Lars Kruse
Lars.Kruse@cgey.com
Andreas Duldinger
adulding@cip.bwl.uni-muenchen.de
Kontakt
Für Rückfragen und weitere ausführliche
Informationen wenden Sie sich bitte an:
Markus Quick
Am Limespark 2
D-65843 Sulzbach/Taunus
Tel: + 49 (0) 6196/999-0
Mobil: + 49 (0) 160/5 83 41 41
Markus.Quick@cgey.com
Dr. Ulrich von Zanthier
Karl-Hammerschmidt-Str. 32
D-85609 Dornach bei München
Tel: + 49 (0) 89/94 00-0
Mobil: + 49 (0) 160/5 83 40 57
Ulrich.Zanthier@cgey.com

3.
Auswertung

Operationelle Risiken bei Kreditinstituten 3.1 Nutzen und Motivation beim Management operationeller Risiken
3.1 Nutzen und Motivation beim
Management operationeller Risiken
Gerade in letzter Zeit aufgetretene Verlustfälle,
die auf operationelle Risiken (OR) zurückzuführen
waren, zeigen, dass das Management dieser
Risiken nicht nur aufgrund der regulatorischen
Vorgaben aus Basel betrieben werden sollte,
sondern dass das Thema per se zu einer erhöhten
Sensibilität in der Finanzdienstleistungsindustrie
führen muss. Die Antworten der Institute
auf die Frage, welche Motivation zum Aufbau
eines OR-Controllings im Rahmen des OR-
Managementprozesses geführt habe, bestätigen
diese Einschätzung. Dazu sollten die Studienteilnehmer
für eine Reihe von vorgegebenen
Motivationen einen Wert von 1 (höchste
Gewichtung) bis 9 (niedrigste Gewichtung)
vergeben.
Welche Motivation führte in Ihrem Institut
zum Aufbau eines OR-Controllings?
Abb.1: Motivation zum Aufbau eines OR-Controllings
regulatorische Anforderungen
betriebswirtschaftlicher Nutzen
Umsetzung im Rahmen der Risikostrategie
Senior Management Vorgabe
Anforderungen des Marktes
interne Verlustereignisse
externe Verlustereignisse
Thought Leadership im Bereich OR
Sonstige
Wie aus Abbildung1hervorgeht, sehen sich die
befragten Banken zwar hauptsächlich durch die
regulatorischen Vorgaben dazu veranlasst, dem
OR-Managementprozess mehr Bedeutung in ihrem
Unternehmen beizumessen, jedoch kommt bereits
an zweiter Stelle der Motivationsgründe für die meisten
Institute der betriebswirtschaftliche Nutzen.
Auch die im Rahmen einer integrierten Risikostrategie
erforderliche Umsetzung eines OR-
Managementprozesses oder die Vorgabe durch das
Senior Management sind wichtige Gründe für
die Umsetzung von OR-Managementprojekten.
1 Spearman-Rho = 0,226. Die Korrelation ist auf 95%-Niveau signifikant.
2 Spearman-Rho = 0,226. Die Korrelation ist auf 95%-Niveau signifikant.
10
Vor dem Hintergrund der oft bedeutsamen
Auswirkungen operationeller Verlustfälle ist
davon auszugehen, dass etwaige „Nachteile“ aus
dem Management operationeller Risiken, die
beispielsweise aus den Kosten für Aufbau und
Unterhalt eines OR-Managementsystems resultieren,
durch das Erzielen entsprechender
Vorteile kompensiert werden können.
Welchen kurz- und langfristigen Nutzen
identifizieren Sie für Ihr Unternehmen
durch das Management und Controlling
operationeller Risiken?
Abbildung 2 schlüsselt den von den Banken
genannten Nutzen bzw. die Vorteile nach Häufigkeit
der Nennung auf.
Zentrale Erkenntnis ist, dass fast alle Institute
den Hauptvorteil des Managements und Controllings
operationeller Risiken in weichen
Faktoren, wie Schaffung von Bewusstsein für
operationelle Risiken (93%), Etablierung
443
349
324
311
258
232
211
189
30
60 120 180 240 300 360 420 480 540
Punkte (1 = 9 Punkte, 2 = 8 Punkte etc.; Maximalzahl = 540 Punkte)
einer Risikokultur (85%) oder Verbesserung
der Prozessqualität (85%) sehen. Erst an vierter
Stelle kommt mit 81% die konkrete Reduktion
von Verlusten durch operationelles Risikomanagement.
Da die Vorteile aus „weichen“ Faktoren
meist nur langfristig generiert werden
können, sehen auch nur 41% der befragten
Banken Möglichkeiten, sehr kurzfristigen Nutzen
durch den OR-Managementprozess zu erzielen.
Dabei bejahen Banken, die auf die Frage nach
dem Nutzen des OR-Managementprozesses
die Verlustreduktion – einen also durchaus schon
kurzfristiger zu erzielenden Vorteil – angeben,
tendenziell auch die Frage, ob sie Potenziale für
sehr kurzfristige Gewinne sehen 1 . Zudem lässt
sich zeigen, dass größere Institute (gemessen an
der Bilanzsumme) dazu tendieren, sehr kurzfristige
Gewinne durch den OR-Managementprozess als
realisierbar zu erachten 2 . Dies kann bereits als
ein Indiz dafür gewertet werden, dass größere
Institute im OR-Controlling tendenziell fortgeschrittener
sind und sich das höhere Entwicklungsniveau
bereits in ersten Erfolgen niederschlägt.
Konkrete finanzielle Erfolge lassen sich
allerdings bisher nur sehr schwer dem Management
operationeller Risiken zurechnen. Daher
stimmen auch 93% der befragten Banken überein,
keine monetären Ziele für Kosteneinsparungen
durch den OR-Managementprozess zu definieren.
Welches sind für Sie die kritischen
Erfolgsfaktoren bei der Implementierung
des OR-Managementprozesses?
In den vergangenen Jahren konnten im OR-
Controlling viele neue Erkenntnisse gewonnen
und deutliche Fortschritte gemacht werden.
Abb. 2: Kurz- und langfristiger Nutzen des Managements und Controllings
operationeller Risiken
Schaffung von Bewusstsein für OR
Etablierung einer Risikokultur
verbesserte Prozessqualität
Verlustreduktion
Risikosteuerungsinstrument
Unterstützung der Managementfunktion
Reputation im Markt
Steigerung des Unternehmenswertes
Sonstige
(Mehrfachantworten waren möglich)
20% 40% 60% 80% 100%

Abb. 3: Kritische Erfolgsfaktoren bei der Implementierung des
OR-Managementprozesses
Etablierung einer offenen Risikokultur
Akzeptanz durchden Vorstand/die Geschäftsführung
Kommunikation des Themas im Unternehmen
Einbezug aller Einheiten im Unternehmen
ausreichende Ressourcen
Qualifikation des Personals
Buy-in der Bereichs-/Abteilungsleitungen
zentrales OR-Controlling/OR-Management
klares Kosten-Nutzen-Verhältnis
Sonstige
Dennoch ist die Entwicklung auf diesem Gebiet
nicht beendet. Einige zentrale Punkte bedürfen
nach wie vor der Klärung. So sehen sich die
Banken verschiedenen Schwierigkeiten gegenüber,
die im Rahmen eines gegenseitigen Erfahrungsaustausches
zu lösen sind.
Die größten Schwierigkeiten sehen die Studienteilnehmer
auf folgenden Gebieten:
• Akzeptanz des OR-Controllings seitens des
Vorstandes und der Mitarbeiter
• Etablierung einer Risikokultur
• Unvollständige Datenbasis und daraus
folgende Probleme bei der Quantifizierung
operationeller Risiken
• Reifegrad der Methoden zur Identifizierung
und Messung von OR
• Anreizproblematik bei der Meldung von
Schäden
• Abgrenzung operationeller Risiken
Obige Ergebnisse spiegeln sich auch in den
Antworten auf die Frage nach den kritischen
Erfolgsfaktoren bei der Implementierung eines
OR-Managementprozesses wider. Abbildung 3
illustriert, dass mit jeweils 82% der Antworten
die Etablierung einer offenen Risikokultur und
die Akzeptanz des Themas OR seitens Vorstand
und Geschäftsführung die zentralen Erfolgsfaktoren
beim Aufbau und bei der Etablierung
eines OR-Managementprozesses sind. Erst mit
deutlichem Abstand folgen weitere Faktoren wie
Kommunikation des Themas im Unternehmen,
der Einbezug aller Einheiten im Unternehmen
oder ausreichende personelle Ressourcen. Da die
3 Die Säule I des Baseler Konsultationspapiers beschreibt die
Eigenkapitalunterlegung operationeller Risiken. Dazu stehen drei
Ansätze zur Wahl: der Basisindikatoransatz, der Standardansatz und
die Advanced Measurement Approaches (AMA).
3.2 Umsetzung aufsichtsrechtlicher Anforderungen Operationelle Risiken bei Kreditinstituten
(Mehrfachantworten waren möglich)
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Studienteilnehmer die beiden am häufigsten
genannten Faktoren auch zugleich als die zentralen
Schwierigkeiten im OR-Managementprozess
ansehen, gilt es hier im Besonderen, entsprechende
Verbesserungsmaßnahmen einzuleiten. Einen
interessanten Blickwinkel verschafft die Frage
nach Trends, die sich von den Ansprechpartnern
der befragten Banken im OR-Bereich identifizieren
lassen. 23 Studienteilnehmer äußerten sich
über zukünftige Entwicklungen und Problemfelder,
die sie in diesem Bereich erkennen. Die
meisten Institute stimmen überein, dass besonders
aufgrund der regulatorischen Vorgaben das
Thema OR generell an Bedeutung gewinnen
wird. Allerdings erkennt ein Großteil der Banken
die Notwendigkeit, OR-Controlling unter
Beachtung einer ausgewogenen Kosten-Nutzen-
Relation zu betreiben. „Pragmatismus“ sollte vor
„Komplexität“ kommen, auf „100%-Lösungen“
sollte verzichtet werden. Dies spiegelt sich auch
Abb. 4: Geplante Verwendung von Basel-II-Ansätzen
100%
80%
60%
40%
20%
in der Meinung wider, dass pragmatische
qualitative Methoden den oft komplexeren
quantitativen Ansätzen vorzuziehen seien.
3.2 Umsetzung aufsichtsrechtlicher
Anforderungen
3.2.1 Wahl des Eigenkapitalansatzes
Die Konsultationspapiere, das Working Paper
und die Sound Practices des Baseler Ausschusses
geben bisher nur teilweise detaillierte Vorgaben
in Bezug auf die Eigenkapitalunterlegung und
die qualitativen Voraussetzungen des Managements
operationeller Risiken. Dabei stehen den
Banken im Rahmen der Säule I des Baseler
Konsultationspapiers drei Ansätze zur Ermittlung
der Eigenkapitalunterlegung zur Wahl 3 .
Zudem ist ein so genannter Partial Use, das heißt
die Verwendung eines Advanced Measurement
Approaches (AMA) zusammen mit einem anderen
Ansatz, erlaubt.
Welchen Basel II-Ansatz planen Sie
zu verwenden?
Abbildung 4 stellt die Häufigkeiten der von den
Studienteilnehmern geplanten Ansätze gesamt
und aufgeteilt in vier Peer Groups dar.
Das Ergebnis liegt im Rahmen der Erwartung:
Große Banken werden tendenziell einen der
AMA-Ansätze verwenden, wohingegen kleinere
Institute beabsichtigen, den Standardansatz
oder den Basisindikatoransatz zu wählen. Fast
14% der Banken haben sich bis zum jetzigen
Zeitpunkt noch nicht für einen der Ansätze
Basisindikatoransatz
Standardansatz AMA Partial Use offen
= Peer Group 1 0,0 25,0 62,5 12,5 0,0
= Peer Group 2 0,0 61,5 38,5 0,0 0,0
= Peer Group 3 0,0 41,7 41,7 0,0 16,6
= Peer Group 4 28,0 36,0 12,0 0,0 24,0
= Gesamt 12,1 41,4 31,0 1,7 13,8
11

Operationelle Risiken bei Kreditinstituten 3.2 Umsetzung aufsichtsrechtlicher Anforderungen
entschieden. Meist beabsichtigen letztere, diesbezüglich
weitere Vorgaben und Details seitens
des Baseler Komitees abzuwarten.
Im Rahmen der Verwendung des Standardansatzes
oder eines Partial Use verlangt Basel II von den
Banken, ihre realen Geschäftsfelder auf die von
Basel vorgegebenen abzubilden (zu „mappen“).
Die Studie zeigt, dass bisher nur 50% der befragten
Institute, die mindestens den Standardansatz
zu verwenden beabsichtigen, ihre Geschäftsfelder
auf die vom Baseler Komitee vorgegebenen
gemappt haben.
3.2.2 Zufriedenheit mit den
Konsultationspapieren
Bereits die Quantitative Impact Studies (QIS)
haben gezeigt, dass die Vorgaben aus den Baseler
Konsultationspapieren in vielen Punkten konkretisiert
werden müssen und weitere Diskussionen
vor allem mit Vertretern aus der Industrie
notwendig sind. Ein ähnliches Bild ergeben
auch die Antworten der Banken auf die Frage,
wie zufrieden sie mit den bisherigen Konsultationspapieren
seien.
Auf einer Skala von 1 (unzufrieden) bis 4 (sehr
zufrieden) geben 66% der befragten Institute
den Wert 2 (teilweise zufrieden) an. Nur rund
5% der Studienteilnehmer sind mit den Baseler
Papieren zufrieden (Wert 3), wohingegen 29%
antworten, dass sie damit unzufrieden seien. Im
Mittel liegt der Zufriedenheitsgrad der Studienteilnehmer
bei einem Wert von 1,77. Dabei
zeigen die Ergebnisse, dass die Zufriedenheit
mit den Baseler Papieren mit der Verwendung
von fortgeschritteneren Ansätzen positiv korreliert
4 . Das heißt, dass Institute, die beabsichtigen,
einen fortgeschritteneren Ansatz zu verwenden,
dazu tendieren, mit den Baseler
Konsultationspapieren zufriedener zu sein.
Bei welchen Themen sehen Sie
weiteren Handlungsbedarf seitens der
Aufsichtsbehörden?
Abbildung 5 stellt die von den Studienteilnehmern
am häufigsten genannten Themen dar, bei
denen weiterer Handlungsbedarf seitens der
4 Spearman-Rho = 0,339. Die Korrelation ist auf 99%-Niveau signifikant.
5 Spearman-Rho = 0,480. Die Korrelation ist auf 99%-Niveau signifikant.
6 Ohne diejenigen Banken, die keine Definition eingeführt haben.
7 Unter „Sonstige Definition“ wurden die ursprünglich im Fragebogen
vorgegebenen Antwortalternativen „eigen entwickelte Definition“ und
„sonstige Definition“ subsumiert.
12
Abb. 5: Handlungsbedarf seitens der Aufsichtsbehörden nach Themen
Ausgestaltung der Eigenkapitalunterlegungsansätze
Auswahl der Exposure-Indikatoren
Kriterien zur Anerkennung von Versicherungen
Risikokategorisierung
Sound Practices
Definition Bruttoertrag
Risikodefinition
Sonstige
Aufsichtsbehörden besteht. Nur einer der 60
Studienteilnehmer sieht keinen Handlungsbedarf.
Zentrale Punkte sind die weitere Ausgestaltung
der Eigenkapitalunterlegungsansätze, die Auswahl
der Exposure-Indikatoren für die verschiedenen
Ansätze und genauere Kriterien zur Anerkennung
von Versicherungen im Rahmen der
Risk-Mitigation. Auch auf dem Gebiet der
Risikokategorisierung sehen viele Banken weiteren
Handlungsbedarf. Unter sonstigem Handlungsbedarf
werden vor allem die Richtlinien beim Mapping,
die Ausgestaltung des Partial Use und die
Abgrenzung von Markt-, Kredit- und operationellen
Risiken als Problemfelder hervorgehoben.
3.2.3 Definition und Kategorisierung
operationeller Risiken
Ein großer Schritt nach vorne wurde in den
letzten Jahren bei der Definition operationeller
Risiken gemacht. Mit 71,7% stellen diejenigen
Studienteilnehmer, die bereits eine Definition in
ihrem Unternehmen haben, die deutliche Mehrheit.
Weitere fast 21,6% planen, in nächster Zeit
eine Definition einzuführen. Vier Institute
(6,7%) haben keine Definition operationeller
Risiken in ihrem Unternehmen festgelegt und
planen auch nicht, diese zu einem späteren
Zeitpunkt zu implementieren. Nur ein Studienteilnehmer
verwendet, wie vor einigen Jahren
durchaus noch üblich, eine negative Definition
operationeller Risiken. Dabei lässt sich ein
positiver Zusammenhang zwischen der Verwendung
einer OR-Definition im Unternehmen und
der Größe (gemessen an der Bilanzsumme) der
Bank feststellen: Größere Institute sind tendenziell
auf diesem Gebiet fortgeschrittener und verwenden
bereits eine Definition 5 .
Besteht in Ihrem Unternehmen eine
Definition für operationelle Risiken?
Wenn ja, welche?
Abbildung 6 verschafft einen Überblick über die
Arten an Definitionen, welche die Banken verwenden
bzw. planen. Rund 52% aller Studienteilnehmer
6 verwenden die Definition nach
Basel II oder planen diese zu verwenden. Untersucht
man die beiden Gruppen – Definition
wird bereits verwendet/Definition ist geplant – ,
so stellt man fest, dass vor allem in der Gruppe
der Banken, die bereits eine Definition eingeführt
haben, ein hoher Anteil (46,5%) eine
sonstige Definition 7 nutzt. Meist handelt es sich
Abb. 6: Anteil der Kreditinstitute mit einer Definition operationeller Risiken
100%
80%
60%
40%
20%
53,5
46,2
51,8
46,5
(Mehrfachantworten waren möglich)
20% 40% 60% 80% 100%
Basel-II-Definition
= ja = geplant = gesamt
Sonstige Definition offen
23,1
41,1
0,0
30,7
7,1

Abb. 7: Verwendung einer OR-Kategorisierung
100%
80%
60%
40%
20%
71,4
57,5
50 50
7,5
2,5
17,9
8,9
1,8
ja geplant nein Entscheidung offen (E.o.)
= total = davon Basel II: verwendet = davon Basel II: geplant = davon Basel II: E.o.
dabei entweder um die Definition des Bundesverbandes
Öffentlicher Banken (VÖB) oder um
eine modifizierte Variante der Basel-II-Definition.
Betrachtet man die Gruppe der Institute mit
sonstiger Definition genauer, so stellt man fest,
dass 87% der Institute analog zu Basel II Rechtsrisiken
mit einschließen. 52% dieser Institute
beziehen allerdings auch Reputationsrisiken, die
in Basel II klar ausgeschlossen werden, in ihre
Definition mit ein. Überraschend ist allerdings,
dass einige Institute, die angeben, die
Basel-II-Definition zu verwenden, Rechtsrisiken
darin ausschließen (4 Banken) bzw. Reputationsrisiken
mit einbeziehen (6 Banken). Beim Einbezug
von Reputationsrisiken in die OR-Definition
lässt sich ein überraschender Zusammenhang
zur Bilanzsumme der Institute erkennen: So
beziehen kleinere Institute tendenziell Reputationsrisiken
in ihre Definition operationeller
Risiken mit ein 8 .
Ein weiterer Punkt, der bei der Erfassung von
operationellen Risiken von zentraler Bedeutung
ist, ist die Abgrenzung dieser Risikoart zu
Kreditrisiken. Nur rund 53% der Banken, die
eine Definition verwenden oder planen, haben
diese Abgrenzung bisher getätigt. Ein Ergebnis,
Abb. 8: Arten der OR-Kategorisierung in den Kreditinstituten
ursachenbasiert (cause)
cause, effect & event
ereignisbasiert (event)
noch offen
cause & event
cause & effect
effect & event
auswirkungsbasiert (effect)
3.2 Umsetzung aufsichtsrechtlicher Anforderungen Operationelle Risiken bei Kreditinstituten
das die Tatsache unterstreicht, dass die Studienteilnehmer
auf diesem Gebiet weiteren Handlungsbedarf
seitens der Aufsichtsbehörden sehen.
Ist in Ihrem Unternehmen eine
OR-Kategorisierung vorhanden? Verwenden
Sie dabei die Kategorisierung nach Basel II?
Neben der Definition operationeller Risiken gibt
Basel OR-Kategorien vor, auf die die etwaig
abweichenden Kategorisierungen im Unternehmen
gemappt werden müssen. Aus Abbildung 7 geht
hervor, dass lediglich 5 Studienteilnehmer (8,9%),
die eine Definition operationeller Risiken einsetzen
oder planen, noch keine OR-Kategorisierung
haben. 71,4% der befragten Banken mit bestehender
oder geplanter OR-Definition haben eine
Kategorisierung festgelegt. In dieser Gruppe
folgen 57,5% den Vorgaben aus Basel, 7,5%
planen in nächster Zeit, ihre bestehende Kategorisierung
auf die Baseler Vorgaben umzustellen.
In der Gruppe der Banken, die eine Kategorisierung
plant (17,9%), wollen 50% gemäß Basel II
vorgehen. Bei weiteren 50% steht eine Entscheidung
noch aus. Analog dem Zusammenhang
zwischen Existenz einer OR-Definition und der
10% 20% 30% 40% 50%
Größe der Bank lässt sich die Aussage treffen,
dass kleinere Banken tendenziell noch keine
OR-Kategorisierung festgelegt haben 9 . Banken,
die sich diesbezüglich nicht nach Basel richten,
müssen die von ihnen gewählte Kategorisierung
auf die von Basel mappen. Auf einer Skala von 1
(nicht problematisch) bis 4 (sehr problematisch)
stufen die Institute das Mapping im Mittel
mit teilweise problematisch (Wert 2) ein 10 .
Wie nehmen Sie Ihre OR-Kategorisierung vor?
Abbildung 8 zeigt, wie die Studienteilnehmer
ihre OR-Kategorisierung vornehmen bzw. planen.
Rund 36% gehen dabei allein ursachenbasiert
vor. 19% verwenden alle drei Arten der Risikokategorisierung.
17% hingegen verwenden eine
rein ereignisbasierte Kategorisierung.
3.2.4 OR-Rahmenwerk und Strategie
Die im Baseler Konsultationspapier verankerte
Säule II 11 fordert von den Banken unter anderem
die Einrichtung eines Systems zur Identifizierung,
Bewertung, Überwachung, Steuerung und
Minderung operationeller Risiken. Ein OR-
Rahmenwerk, mit OR-Definition und OR-
Kategorisierung, soll dabei die Etablierung einer
unternehmenseinheitlichen „OR-Sprache“
unterstützen.
Abb. 9: Tatsächlicher und geplanter
Einsatz eines OR-Rahmenwerks
6,7%
38,1%
15,0%
40,2%
= ja = geplant = Entscheidung offen = nein
8 Spearman-Rho = 0,403. Die Korrelation ist auf 99%-Niveau signifikant.
9 Spearman-Rho = 0,480. Die Korrelation ist auf 99%-Niveau signifikant.
10 Standardabweichung = 0,620.
11 Die Säule II der Baseler Konsultationspapiere beschreibt Anforderungen
im Rahmen des aufsichtsrechtlichen Überprüfungsverfahrens.
Darin werden von den Banken Maßnahmen im Umgang mit Risiken
gefordert, wie z. B. die Implementierung eines Risikomanagementsystems.
13

Operationelle Risiken bei Kreditinstituten 3.3 Organisation und Prozesse beim Management operationeller Risiken
Ist in Ihrem Unternehmen ein Rahmenwerk/
eine Richtlinie für OR vorhanden?
Abbildung 9 verdeutlicht den Verwendungsgrad
eines OR-Rahmenwerks unter den befragten
Banken. Eine deutliche Mehrheit der Institute
hat bereits ein Rahmenwerk für operationelle
Risiken im Unternehmen etabliert (40,2%) bzw.
plant, derartige Richtlinien auszuarbeiten
(38,1%). Dabei besteht in größeren Banken
tendenziell eher ein OR-Rahmenwerk als in
kleineren Instituten 12 . Dies lässt einerseits den
Schluss zu, dass größere Banken mit meist
komplexeren Organisationsformen zur unternehmenseinheitlichen
Vorgehensweise im Thema
OR klare Richtlinien benötigen. Da größere
Banken auf dem Gebiet der operationellen Risiken
tendenziell fortgeschrittener sind – was die
Ergebnisse dieser Studie bestätigen –, kann man
andererseits daraus schließen, dass einem OR-
Rahmenwerk eine wichtige Rolle im OR-
Managementprozess zukommt. Dies unterstreicht
auch das Ergebnis der Analyse des
Bedeutungsgrades, den die Studienteilnehmer
einem OR-Rahmenwerk beimessen. Auf einer
Skala von 1 (keine Priorität) bis 4 (hohe Priorität)
erhält ein OR-Rahmenwerk im Mittel den
Wert 3,47 13 . Dabei messen gut 59% der Studienteilnehmer
einem Rahmenwerk eine hohe
Bedeutung bei. Bei genauerer Untersuchung
dieses Ergebnisses lässt sich analog zum vorhergehenden
Zusammenhang beobachten, dass
größere Banken ein OR-Rahmenwerk tendenziell
für dringender erachten als kleinere Institute 14 .
Existiert in Ihrem Unternehmen eine
OR-Strategie?
Die Implementierung einer OR-Strategie ist ein
weiterer Baustein des Managements operationeller
Risiken, der gemäß der Sound Practices
vom Dezember 2001 ebenso wie das Rahmenwerk
innerhalb der Säule II von Basel gefordert
wurde. In der Veröffentlichung der Sound
Practices vom Juli 2002 wird die Bedeutung des
Aufbaus eines Rahmenwerks weiterhin hervorgehoben,
die Entwicklung einer OR-Strategie
wird jedoch nicht mehr explizit verlangt.
Abbildung 10 verschafft einen Überblick über
den Verwendungsgrad einer OR-Strategie bei
den Teilnehmern der Studie. Lediglich knapp
ein Drittel der Banken verwendet bereits eine
14
Abb. 10: Vorhandensein einer
OR-Strategie
5,0%
20,0%
43,3%
31,7%
= ja = geplant = Entscheidung offen = nein
OR-Strategie. Immerhin ist bei rund 43% der
befragten Institute selbige bereits in Planung.
Lediglich vier Studienteilnehmer haben im
Rahmen dieser OR-Strategie einen Risikotoleranzlevel
zur Eingrenzung des „Risikoappetits“ des
Unternehmens definiert. Weitere 14 Institute
planen die Implementierung eines entsprechenden
Limits.
3.3 Organisation und Prozesse beim
Management operationeller Risiken
Dass dem Thema operationelle Risiken mehr
und mehr Bedeutung zukommt und das
Management operationeller Risiken neben dem
Management von Markt- und Kreditrisiken als
eigenständige Disziplin mit eigener organisatorischer
Struktur verstanden wird, äußert sich
deutlich darin, dass bereits fast 52% der befragten
Banken eine eigenständige OR-Aufbauorganisation
mit entsprechender Festlegung von
Rollen und Verantwortlichkeiten im OR-
Managementprozess etabliert haben. Weitere
gut 26% der Studienteilnehmer beabsichtigen
derartige Strukturen in ihrem Unternehmen
einzurichten.
Besteht eine zentrale OR-Controllingeinheit?
Das Management operationeller Risiken findet
auf verschiedenen Ebenen statt. Neben dem
originären Management operationeller Risiken
auf Abteilungs- oder Bereichsebene durch das
jeweils verantwortliche Management haben die
meisten Banken, analog zu anderen Risikoarten,
eine zentrale OR-Controllingeinheit, welche die
Abteilungen in Fragen operationeller Risiken
Abb. 11: Vorhandensein einer zentralen
OR-Controllingeinheit
13,3%
8,3%
13,4%
65,0%
= ja = geplant = Entscheidung offen = nein
unterstützt. Abbildung 11 zeigt die Bedeutung
der zentralen OR-Controllingeinheit.
65% der befragten Banken haben eine zentrale
Einheit etabliert, die meist als Teileinheit des
Risikocontrollings zentrale OR-Funktionen
übernimmt und in fast 65% der Fälle von einem
verantwortlichen Leiter, dem Head of Operational
Risk (HoOR), geführt wird. 8,3% der Institute
beabsichtigen, eine zentrale OR-Controllingeinheit
einzurichten. Über die verbleibenden acht
Studienteilnehmer, die weder eine zentrale OR-
Controllingeinheit haben noch planen, lassen
sich folgende Aussagen machen:
• Bei einem Institut übernimmt das Risikocontrolling
der Konzernmutter die originären
Aufgaben einer zentralen OR-Controllingeinheit.
• Zwei Banken betrauen damit ein spezielles
OR-Komitee.
• Vier Banken machen dazu keine näheren
Angaben.
• Nur eine Bank hat bisher kein zentrales
OR-Controlling.
Aus den obigen Ergebnissen lässt sich klar
erkennen, dass die zentrale OR-Controllingeinheit
für die Mehrzahl der Banken ein wichtiger Baustein
im Management operationeller Risiken ist.
Wie viele Mitarbeiter-Kapazitäten sind in der
zentralen OR-Controllingeinheit beschäftigt?
Abbildung 12 veranschaulicht, jeweils unterteilt
in vier Peer Groups, die durchschnittliche
Anzahl, das Minimum und das Maximum an
12 Spearman-Rho = 0,407. Die Korrelation ist auf 99%-Niveau signifikant.
13 Standardabweichung = 0,728.
14 Spearman-Rho = 0,324. Die Korrelation Bilanzsumme und
Bedeutungsgrad ist auf 99%-Niveau signifikant.

Mitarbeiterkapazitäten (MAK), die in der zentralen
OR-Controllingeinheit mit operationellem
Risikomanagement beschäftigt sind. Das Minimum
von null MAK in Peer Group 3 wurde von
der betreffenden Bank damit begründet, dass ihr
OR-Controlling derzeit kaum Aufwand verursache
und daher kaum zusätzliche MAK gebunden
werden.
Wie viele Mitarbeiter-Kapazitäten sind in der
zentralen OR-Controllingeinheit für die
nächsten drei bis fünf Jahre geplant (gesamt)?
Die Ergebnisse aus Abbildung 13 bestätigen,
dass die Entwicklung des zentralen Controllings
operationeller Risiken keineswegs abgeschlossen
ist, sondern dieser Bereich in Zukunft weiter
an Bedeutung gewinnen wird. Bemerkenswert
ist, dass in allen vier Vergleichsgruppen
über 50% der befragten Banken mit zentraler
OR-Controllingeinheit beabsichtigen, in den
nächsten drei bis fünf Jahren weitere MAK für
das zentrale OR-Controlling bereitzustellen.
Welche Aufgaben werden durch das
OR-Controlling/den Head of Operational
Risk wahrgenommen?
Werden operationelle Risiken zentral gemanagt,
so hat die zentrale OR-Controllingeinheit gemäß
den Ergebnissen unserer Umfrage hauptsächlich
drei Kompetenzbereiche (vgl. Abbildung 14).
Einerseits treibt das zentrale OR-Controlling die
Entwicklung im OR-Bereich voran, das heißt, es
entwickelt OR-Managementmethoden, wie zum
Beispiel Self Assessments oder Risikoindikatoren
sowie OR-Definitionen, OR-Rahmenwerk oder
3.3 Organisation und Prozesse beim Management operationeller Risiken Operationelle Risiken bei Kreditinstituten
Abb. 12: Anzahl MAK in den zentralen OR-Controllingeinheiten nach Peer Groups
MAK
16
14
12
10
8
6
4
2
0
5,9
1,9
0,8 0,7
2,0
0,3 0,0 0,1
Mittelwert Minimum Maximum
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4
14,0
6,0
2,0 2,0
OR-Richtlinien. Andererseits liegen die
Schwerpunkte der Tätigkeiten in der zentralen
Sammlung und Auswertung von meist aus den
dezentralen Einheiten zugelieferten Daten und
OR-relevanten Informationen. Zudem hat das
zentrale OR-Controlling die Aufgabe, für ein
unternehmenseinheitliches Vorgehen in Sachen
OR zu sorgen und die Verantwortlichen des
dezentralen OR-Managements bei wichtigen
Fragen und Problemen zu beraten und zu
unterstützen. Neben den oben genannten Aufgaben
ist der Einbezug der Unternehmensführung
in die OR-spezifischen Vorgänge im Unternehmen
ein weiterer wichtiger Baustein innerhalb
Abb.13: Geplanter Ausbau der MAK in den zentralen OR-Controllingeinheiten
100%
80%
60%
40%
20%
69,2
50,1
54,5
62,4
30,8 31,3
37,4
36,4
12,5
9,1
0,0
Ja Nein Unklar
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4
Abb. 14: Hauptaufgaben der zentralen OR-Controllingeinheit
Entwicklung von OR-Managementmethoden
Auswertung von Daten und Informationen
Sammlung von Daten und Informationen
Erstellung von Reports
Entwicklung des OR-Rahmenwerks
Entwicklung von Definitionen
Methodenhoheit: Sicherstellung eines
unternehmenseinheitlichen Vorgehens
Beratende und unterstützende Tätigkeit
gegenüber den Abteilungen
Entwicklung von OR-Richtlinien
Entwicklung von Quantifizierungsmethoden
Entwicklung/Bereitstellung von technischen
Lösungen, z. B. Software
Verbindung zu Markt- & Kreditrisiken herstellen
Überwachung des unternehmensübergreifenden
OR-Managements
OR-Management-Training,
Schulung von Mitarbeitern im Thema OR
Roll-out von OR-Managementmethoden
Backtesting von OR-Managementmethoden
Risikokapitalbudgetierung
Bewertung von Kosten und Erträgen des
OR-Managements
Sonstige
(nächste 3-5 Jahre)
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
6,3
(Mehrfachantworten waren möglich)
15

Operationelle Risiken bei Kreditinstituten 3.3 Organisation und Prozesse beim Management operationeller Risiken
der Arbeit der zentralen OR-Controllingeinheit.
Um diesem Erfordernis zu entsprechen, ist eine
weitere Kernaufgabe des zentralen OR-
Controllings, von ihm erarbeitete wichtige
Ergebnisse an die entsprechenden Stellen zu
berichten. Sofern das zentrale OR-Controlling
von einer separaten Einheit wahrgenommen
wird, sind die Hauptempfänger der OR-Reports
der Vorstand bzw. die Geschäftsführung der
jeweiligen Bank (78,8% der Antworten) und der
Leiter der Risikocontrollingabteilung (66,7%).
Insbesondere Reports an Vorstand und Geschäftsführung
haben die wichtige Funktion, diese
Gremien aktiv in den OR-Managementprozess
einzubeziehen. Dies ist die Voraussetzung für
eine erfolgreiche Umsetzung des Themas im
Institut.
Die vorliegende Studie zeigt, dass 80% der
befragten Banken neben einer zentralen OR-
Controllingeinheit weiteres Personal auf Bereichsbzw.
Abteilungsebene für das dezentrale Management
operationeller Risiken einsetzen. Weitere
5% planen entsprechende Projekte zur Implementierung
dezentraler OR-Managementstrukturen.
Nur 15% der befragten Institute haben kein
Personal für den OR-Managementprozess auf
Bereichs-/Abteilungsebene bereitgestellt. Das
Ergebnis zeigt, dass der OR-Managementprozess
nicht nur zentral gesteuert wird, sondern dass
entsprechendes OR-Personal dezentral in den Bereichen
bzw. Abteilungen für die unternehmenseinheitliche
Umsetzung der Aktivitäten sorgen muss.
Wie viele Mitarbeiter-Kapazitäten sind in den
Abteilungen dezentral für OR in den nächsten
drei bis fünf Jahren geplant (gesamt)?
Wie aus Abbildung 15 ersichtlich wird, zielen
50% der Banken, die operationelle Risiken
16
Abb. 16: Hauptaufgaben des dezentralen OR-Managements
Sammlung von Daten und Informationen
Anwendung von OR-Methoden in den Abteilungen
(z.B. Self / Risk Assessment)
Beratung bei der Durchführung risikomindernder
Maßnahmen in den Abteilungen
Erstellung von Abteilungs-/Bereichsreports
Schulung von Mitarbeitern im Thema OR
Bewertung von Kosten und Erträgen des
OR-Managements
Erstellung von bankweiten (Vorstands-) Reports
Sonstige
bereits dezentral steuern, auf eine Ausweitung
ihrer Mitarbeiterkapazitäten. Rund 78% dieser
Institute beabsichtigen sogar, ihre Kapazitäten
um mehr als 50% aufzustocken. In Peer Group
4 liegt der Anteil derer, die in den nächsten
drei bis fünf Jahren ihre dezentralen OR-
Managementkapazitäten ausweiten wollen,
immerhin bei 63%. Dies deutet an, dass sich
gerade bei kleineren Instituten das Management
operationeller Risiken noch im Anfangsstadium
befindet und dementsprechend weitere MAK
aufgebaut werden müssen. Insgesamt beabsichtigen,
nur 27% der Banken auf diesem Gebiet
nicht zu expandieren.
Diese Entwicklung trägt sicherlich der ab 2007
in Kraft tretenden Eigenkapitalvereinbarung des
Baseler Ausschusses und den darin geforderten
qualitativen Voraussetzungen für ein Risikomanagementsystem
Rechnung, die nur mit
entsprechendem Ausbau von OR-Ressourcen zu
erfüllen sind. Die Zusammenarbeit des OR-
Managements auf Abteilungsebene mit der
zentralen OR-Controllingeinheit bedarf eines
funktionierenden Schnittstellenmanagements.
Abb. 15: Geplanter Ausbau der MAK im dezentralen OR-Management
100%
80%
60%
40%
20%
(nächste 3-5 Jahre)
63
50
44
50
50
33
25
25 25 26 27
25 22
11
Ja Nein Unklar
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt
23
(Mehrfachantworten waren möglich)
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Dazu haben 64% der an der Umfrage beteiligten
Banken mit dezentralem OR-Management die
Funktion eines OR-Beauftragten geschaffen oder
geplant. Der OR-Beauftragte fungiert als zentraler
Ansprechpartner für die Abteilungs- /
Bereichsmitarbeiter und für die zentrale OR-
Controllingeinheit.
Welche Aufgaben nehmen das OR-Personal
in den Abteilungen bzw. der OR-Beauftragte
wahr?
Abbildung 16 verdeutlicht die Hauptaufgaben
eines dezentralen OR-Managements. Dabei wird
deutlich, dass das dezentrale OR-Personal vorwiegend
die Aufgabe hat, OR-relevante Daten
und Informationen zu sammeln und die in der
zentralen OR-Controllingeinheit ausgearbeiteten
OR-Methoden, wie zum Beispiel das Self
Assessment, auf Abteilungs- bzw. Bereichsebene
umzusetzen. Auch eine beratende Tätigkeit
bei der Durchführung der auf die Identifikation
von OR-sensitiven Bereichen folgenden risikomindernden
Maßnahmen sehen gut 55% der
Banken mit dezentraler OR-Managementstruktur
als eine der Kompetenzen des OR-Personals.
Im Rahmen des Reportings der Ergebnisse aus
dem dezentralen OR-Management melden 64%
aller Institute die erhobenen Daten mittels
Abteilungs-/Bereichsreports an die Abteilungs-/
Bereichsleitung. Des Weiteren melden fast 76%
der Banken, die sowohl dezentrales als auch
zentrales OR-Controlling etabliert haben, ihre
dezentral erhobenen OR-Daten an die zentrale
OR-Controllingeinheit (OR-Controlling und/oder
HoOR und/oder Leiter Risikocontrolling).
Bemerkenswert ist, dass nur gut 48% der Institute,

die oben erwähnter Gruppe angehören, sowohl
an die Abteilungs-/Bereichsleitung als auch an
die zentrale OR-Controllingeinheit melden.
Welche weiteren Einheiten des Unternehmens
werden in den OR-Managementprozess mit
einbezogen?
Neben den bereits angesprochenen OR-Einheiten
sind oftmals weitere Gremien in den OR-
Managementprozess eingebunden. 45% aller
befragten Banken haben oder planen derartige
Einheiten. Überwiegend handelt es sich dabei
entweder um allgemeine Risikokomitees, die sich
mit mehreren Risikoarten befassen, oder aber um
spezielle OR-Komitees, deren Aufgabenspektrum
von beratenden und unterstützenden Tätigkeiten
bis zur Übernahme der Aufgaben einer zentralen
OR-Controllingeinheit reicht. Meist fungiert
das OR-Komitee jedoch als Lenkungsausschuss,
der zentrale Punkte des OR-Managementprozesses
vorantreibt und ein unternehmensweit einheitliches
Vorgehen sicherstellen soll.
Überdies beziehen die Studienteilnehmer weitere
Einheiten im Unternehmen in den OR-
Managementprozess mit ein (vgl. Abb. 17). Von
allen befragten Banken involvieren nur zwei
Institute keine weiteren Unternehmenseinheiten
in diesen Prozess.
Am häufigsten werden die Kenntnisse der
Revision (90,9%), Rechtsabteilung (72,7%)
und IT-Abteilung (69,1%) in diesem Zusammenhang
genutzt. Das Ergebnis dürfte kaum überraschen,
da die Auditfunktion zentrale Bedeutung
bei der Überprüfung des Risikomanagementprozesses
hat, Definitionen und Auswirkungen
3.3 Organisation und Prozesse beim Management operationeller Risiken Operationelle Risiken bei Kreditinstituten
operationeller Risiken stark rechtlich getrieben
sind sowie Instrumente und Methoden des
operationellen Risikomanagements mit Hilfe
der entsprechenden Umsetzung in IT-Strukturen
angewandt werden. Meist haben diese Einheiten
ausschließlich beratende oder unterstützende
Funktionen.
Welche Rolle spielt die Revision im
OR-Managementprozess?
Aus Abbildung 18 ist ersichtlich, wie die Studienteilnehmer
auf einer Skala von 1 (unabhängiges
Prüfungsorgan) bis 5 (Revision übernimmt den
OR-Managementprozess) die Funktion der
Revision in ihrem Haus einordnen. In 83% aller
Abb. 17: Weitere in den OR-Managementprozess einbezogene Einheiten
Revision
Rechtsabteilung
IT-Abteilung
Organisationsabteilung
Personalabteilung
Sonstige
Betriebsrat
15 Standardabweichung = 0,88.
16 Mehrfachantworten waren möglich.
17 Mehrfachantworten waren möglich.
(Mehrfachantworten waren möglich)
20% 40% 60% 80% 100%
Fälle wird der Revision eine eher prüfende
Funktion zugebilligt, das heißt, die Rolle der
Revision wird mit 1 oder 2 bewertet. Im Mittel
liegt die Bewertung bei 1,81 15 , was die These
bestätigt, dass auch der Revision tendenziell
eher beratende oder bestenfalls unterstützende
Aufgaben im OR-Managementprozess zukommen.
Die Aufschlüsselung nach Peer Groups
zeigt, dass eine aktivere Rolle der Revision
(Bewertung 3 oder 4) nur bei Instituten aus
Peer Group 3 oder 4 anzutreffen ist.
Abb. 18: Rolle der Revision im OR-Managementprozess
100%
80%
Diese Ergebnisse sind ein weiteres Indiz dafür,
dass die organisatorische Umsetzung des OR-
Managementprozesses in größeren Instituten
tendenziell weiter entwickelt ist, so dass sich bei
diesen Instituten die Revision vollständig auf ihre
originäre Prüfungsaufgabe konzentrieren kann.
Eine große Bedeutung für die Etablierung und
das „Leben“ einer Risikokultur seitens der Mitarbeiter
hat die Informationspolitik über OR im
Unternehmen. 90% aller befragten Banken sind
sich darüber einig, dass ein aktiver Einbezug
des Personals durch entsprechende Informationspolitik
Mitarbeiter feinfühliger in Bezug auf
operationelle Risiken machen kann. Zentrale
Maßnahmen sind die Durchführung von OR-
Workshops (57,4%), die Information der Mitarbeiter
durch Vorgesetzte (53,7%) sowie regelmäßige
Informationen über das Thema OR mittels
Infobriefen oder E-Mail (48,1%) 16 . Dabei fungiert
das OR-Personal auf Abteilungs-/Bereichsebene
oftmals als Multiplikator.
Nach Identifikation OR-sensitiver Bereiche
müssen geeignete Maßnahmen zur Risikominderung
umgesetzt werden. Über 90% der befragten
Institute sehen die Entscheidungskompetenz
hierfür bei Vorstand bzw. Geschäftsführung 17 .
73% der Studienteilnehmer sehen in dieser
Hinsicht die Abteilungs- bzw. Bereichsleitung
als Entscheidungsträger. Fast 68% der Banken
legen die Entscheidungsbefugnis für risikomindernde
Maßnahmen in die Hand beider Leitungsorgane.
Sofern Studienteilnehmer ein Gremium
(zum Beispiel Risiko- oder OR-Komitee) in den
OR-Managementprozess einbeziehen, hat dieses
Gremium bei 61,1% der Institute die Kompetenz,
über risikomindernde Maßnahmen zu
entscheiden.
Eine risikomindernde Handlungsmöglichkeit,
die zudem unter bestimmten Voraussetzungen
60%
40%
20%
46
37
1 (Prüfungsorgan) 2 3 4 5 (OR-Management)
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt
50
39 42
63
54
33 31
41
0 0 17 15
10 0 0 0
15
7 0 0 0 0 0
17

Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken
Abb. 19: Durchschnittliche Bedeutung einer integrierten Steuerung
Gesamt
Verwendung „ja” oder „geplant“
Verwendung „nein“
Peer Group 1
Peer Group 2
Peer Group 3
Peer Group 4
zu einer verminderten Eigenkapitalunterlegung
führen kann, stellt das Überwälzen von operationellen
Risiken auf Versicherungen dar.
Bereits 58% der Studienteilnehmer beziehen
Versicherungen für den Transfer operationeller
Risiken in den OR-Managementprozess ein oder
planen einen entsprechenden Einbezug. Nur
rund 16% der Institute nutzen keine Versicherungen
für den Transfer operationeller Risiken.
Verwenden Sie die Ergebnisse aus dem
OR-Managementprozess zur integrierten
risikoadjustierten Steuerung?
Ein weiterführender Schritt im Management
operationeller Risiken ist die Verwendung der
Ergebnisse aus dem OR-Controlling zur integrierten
risikoadjustierten Steuerung, das heißt
zur internen Eigenkapitalallokation u. a. in
Verbindung mit Markt- und Kreditrisiken.
Bisher verwenden nur wenige Institute (13,6%)
Ergebnisse aus ihrem OR-Managementprozess
zur internen Eigenkapitalallokation. Abbildung
19 illustriert jedoch, dass die Studienteilnehmer
trotz des niedrigen Nutzungsgrades der Verwendung
von OR-Daten zur integrierten risikoadjustierten
Steuerung durchschnittlich
diesen eine mittlere Bedeutung beimessen.
Institute, die OR-Daten zur integrierten Steuerung
verwenden, erachten diese tendenziell
für dringender. 18 Jedoch messen selbst Institute,
18 Spearman-Rho = 0,449. Die Korrelation ist auf 99%-Niveau signifikant.
19 Korrelation Verwendung von OR-Daten zur internen
Eigenkapitalallokation und Bilanzsumme: Spearman-Rho = 0,335 auf
95%-Niveau signifikant. Korrelation Bedeutungsgrad und
Bilanzsumme: Spearman-Rho = 0,300 auf 95%-Niveau signifikant.
20 Vgl. dazu das folgende Kapitel.
21 Für genauere Erläuterungen zu den einzelnen Methoden siehe Kap. 3.4.2
22 In diesem Zusammenhang werden als best practice Methoden
bezeichnet, die der Mehrheit der befragten Institute als zentrale
Verfahren zur Identifizierung und Messung operationeller Risiken
dienen.
23 Sonstige Ansätze bzw. sonstige Methoden wurden, sofern sie im
Fragebogen als verwendet oder geplant angegeben wurden, von der
Mehrheit der Banken nicht näher spezifiziert.
18
2,884
3,164
3,334
3,294
3,454
3,634
3,754
1,0 2,0 3,0 4,0
Bewertung auf einer Skala von 1 (keine Bedeutung) bis 4 (hohe Bedeutung).
die keine Verwendung planen, dem Einbezug
von OR-Daten durchschnittlich eine mittlere
Bedeutung bei.
In diesem Zusammenhang ist auch der Bedeutungsgrad
in den einzelnen Peer Groups von
Interesse. In Peer Group 1, in der 75% der
Institute OR-Daten zur risikoadjustierten Steuerung
heranziehen, liegt der durchschnittliche
Bedeutungsgrad deutlich über dem Mittel aller
Studienteilnehmer und dem Mittel der übrigen
Peer Groups.
Zusammenfassend kann festgestellt werden,
dass größere Institute OR-Daten zur internen
Eigenkapitalallokation heranziehen und dies
tendenziell für dringender erachten. Dies wird
durch die entsprechenden Korrelationen
untermauert. 19
Der Zusammenhang überrascht nicht, da diese
Institute tendenziell fortgeschrittener in der
Quantifizierung operationeller Risiken sind, 20
was eine notwendige Bedingung für den Einbezug
der OR-Ergebnisse in die interne Eigenkapitalallokation
darstellt.
= ja = geplant = nein = Entscheidung offen
3.4 Methoden zur Identifikation und
Messung operationeller Risiken
3.4.1 Überblick über verwendete Methoden
Welche OR-Managementmethoden kommen
in Ihrem Unternehmen zum Einsatz?
Zur Identifikation und Messung operationeller
Risiken wurden und werden seitens Theorie
und Praxis verschiedene qualitative und
quantitative Ansätze entwickelt. Abbildung 20
verschafft einen Überblick über den Verwendungsgrad
der in der Studie abgefragten OR-
Managementmethoden. 21 Die Darstellung
zeigt, welche Methoden sich bereits zum heutigen
Zeitpunkt als Best Practice 22 identifizieren
lassen bzw. welche Ansätze sich auf dem Weg zu
einem Standardverfahren befinden. Am häufigsten
verwenden die befragten Banken das
Self /Risk Assessment (48%) und die Schadensfalldatenbank
(43%) im Rahmen ihres OR-
Managementprozesses. Zudem gewinnen diese
Verfahren weiterhin an Bedeutung: Unter den
Studienteilnehmern planen weitere rund 33%, eine
Schadensfalldatenbank und weitere 30%, ein Self
Assessment in nächster Zeit zu implementieren.
Eine Methode, die bisher weniger verbreitet ist
und aufgrund des hohen Planungsgrades jedoch
mehr und mehr an Bedeutung gewinnen wird,
sind Risikoindikatoren. Bisher von nur 18% der
befragten Institute genutzt, planen fast 42%
dieses Instrument zur Risikoidentifikation in
ihrem OR-Managementprozess zukünftig einzusetzen.
Dagegen sind Methoden wie Risikolandkarte,
Szenarioanalysen oder sonstige Ansätze 23
Verfahren, die nur von einer Minderheit der
Banken eingesetzt oder geplant werden.
Abb. 20: Verwendungsgrad einzelner OR-Managementmethoden
Self Assessment
Schadensfalldatenbank
Risikolandkarte
Risikoindikatoren
Quantitative Methoden
Szenarioanalyse
Sonstige Methoden
48 30 14 8
43 33 17 7
20 17 56 7
18 42 17 23
17 22 41 20
10 12 51 27
5 5 63 27
20% 40% 60% 80% 100%

Auch quantitative Methoden wenden die
Studienteilnehmer seltener an: Nur wenig mehr
als ein Drittel der Institute verwendet oder plant
diesen Ansatz. Allerdings hält sich noch ein
relativ großer Teil der Banken die Entscheidung
bezüglich einer Verwendung dieser Verfahren
offen. Betrachtet man die verwendeten und geplanten
Verfahren, segmentiert nach den vier Peer
Groups, so ergibt sich ein differenzierteres Bild.
Abbildung 21 zeigt, dass der aggregierte Verwendungs-
und Planungsgrad 24 der meisten
Methoden mit der Bilanzsumme der Institute
positiv korreliert. So werden quantitative Methoden
signifikant häufiger genutzt, je größer (gemessen
an der Bilanzsumme) das Institut ist. 25 Nicht
überraschen dürfte auch die Erkenntnis, dass
einerseits ein signifikant positiver Zusammenhang
zwischen der Verwendung einer Schadensfalldatenbank
und der Verwendung quantitativer
Methoden existiert 26 und andererseits der
Einsatz einer Schadensfalldatenbank mit der
Größe einer Bank positiv korreliert. 27 So unterstreichen
die Ergebnisse die These, dass größere
Banken tendenziell fortgeschrittenere Strukturen
beim Management operationeller Risiken
nutzen und daher auch komplexere, quantitative
Methoden verwenden, die zudem die Existenz
einer Schadensfalldatenbank voraussetzen.
Auch die Verwendung von Risikoindikatoren 28
und Szenarioanalyse 29 , ebenfalls eher komplexere
Methoden, korreliert signifikant positiv mit der
Bilanzsumme. Bemerkenswert ist jedoch das
Ergebnis, dass ein signifikant positiver
Zusammenhang zwischen der Anwendung des
Self Assessments und der Bilanzsumme besteht 30 .
Da diese Methode je nach Ausgestaltung ein
relativ einfach zu handhabendes Verfahren sein
kann, würde sich eine intensivere Verwendung
gerade bei kleineren Banken anbieten.
Für fast alle Studienteilnehmer gilt die Feststellung,
dass eine Validierung (Backtesting) angewandter
Verfahren, das heißt zum Beispiel beim
Self Assessment der Vergleich der Ergebnisse mit
tatsächlich eingetretenen Schadensfällen, noch
kaum betrieben wird. Nur 5 Studienteilnehmer
führen ein Backtesting durch, weitere 21 planen
eine Anwendung. Da eine Validierung erst nach
einem gewissen Entwicklungsstand der angewandten
Methode sinnvoll ist, verwundert es
nicht, dass größere Institute auch auf diesem
Feld tendenziell weiter fortgeschritten sind. 31
3.4 Methoden zur Identifikation und Messung operationeller Risiken Operationelle Risiken bei Kreditinstituten
Abb. 21: Verwendete und geplante OR-Managementmethoden klassifiziert nach
Peer Groups
100%
80%
60%
40%
20%
Peer Group 1 Peer Group 2 Peer Group 3 Peer Group 4
= RL 37,5 35,7 25,0 42,3
= SA 100,0 100,0 75,0 61,5
= RI 100,0 71,4 41,6 50,0
= SFDB 100,0 92,8 83,3 57,7
= SzA 87,5 14,2 8,3 11,5
= QM 75,0 50,0 45,5 19,2
= SM 37,5 0,0 8,3 7,6
RL=Risikolandkarte SA=Self Assessment RI=Risikoindikatoren SFDB=Schadensfalldatenbank SzA=Szenarioanalyse
QM=Quantitative Methoden SM=Sonstige Methoden
Zusammenfassend lassen sich aus Abbildung 21
folgende Aussagen ableiten:
• Banken aus Peer Group1 greifen mehrheitlich
auf ein ausgefeilteres System von mehreren
OR-Managementmethoden zurück und
tendieren dazu, auch komplexere Methoden
einzusetzen. In dieser Gruppe kann man das
Self Assessment, die Verwendung von
Risikoindikatoren und Szenarioanalyse, die
Implementierung einer Schadensfalldatenbank
und die Nutzung quantitativer Methoden
als Best Practice bezeichnen.
• Banken aus Peer Group 2 verwenden oder
planen alle das Self Assessment und verwenden
häufig Risikoindikatoren. Auch eine
Schadensfalldatenbank wird bei fast allen
Instituten dieser Gruppe verwendet oder
geplant. Quantitative Methoden hingegen
haben nur bei der Hälfte dieser Gruppe
Bedeutung.
• Auch in Banken aus Peer Group 3 kann die
Verwendung oder Planung eines Self
Assessments und einer Schadensfalldatenbank
als Best Practice bezeichnet werden.
Risikoindikatoren und quantitative Methoden
verlieren im Vergleich zu Peer Group 1 und 2
an Bedeutung.
• In Banken aus Peer Group 4 kann nur noch
das Self Assessment und die Schadensfalldatenbank
zu den Best Practice-Methoden
gezählt werden. Alle anderen Verfahren sind
vergleichsweise unbedeutend.
• Peer Group-übergreifend zeigt sich, dass die
Risikolandkarte und sonstige Methoden
relativ wenig Bedeutung haben. Die Szenarioanalyse,
die in Peer Group 1 als Best Practice-
Methode angesehen werden kann, verliert in
den übrigen Peer Groups völlig an Bedeutung.
Obige Ausführungen bestätigen erneut die
Hypothese, dass der Entwicklungsgrad des
OR-Controllings mit der Größe der Bank steigt.
Dies dürfte nicht nur auf aufsichtsrechtliche
Vorgaben, welche die fortgeschrittenen OR-
Methoden und daher hauptsächlich größere
Banken betreffen, sondern auch der Tatsache
entsprechen, dass sich kleinere Banken bisher
tendenziell weniger mit dem Thema operationelle
Risiken beschäftigt haben.
Im folgenden Kapitel soll nun auf die konkrete
Ausgestaltung der einzelnen Instrumente eingegangen
werden. Methodenübergreifende
Ergebnisse wie Reportingstrukturen, technische
Lösungen der einzelnen Instrumente und
Zufriedenheit, Akzeptanz und Bedeutung
werden in den darauf folgenden Kapiteln erörtert.
24 Im Folgenden werden die Antworten „ja“ und „geplant“ zu einer
Gruppe aggregiert.
25 Spearman-Rho = 0,345. Die Korrelation ist auf 99%-Niveau signifikant.
26 Spearman-Rho = 0,435. Die Korrelation ist auf 99%-Niveau signifikant.
27 Spearman-Rho = 0,341. Die Korrelation ist auf 99%-Niveau signifikant.
28 Spearman-Rho = 0,326. Die Korrelation ist auf 99%-Niveau signifikant.
29 Spearman-Rho = 0,398. Die Korrelation ist auf 99%-Niveau signifikant.
30 Spearman-Rho = 0,405. Die Korrelation ist auf 99%-Niveau signifikant.
31 Spearman-Rho = 0,284. Die Korrelation ist auf 95%-Niveau signifikant.
19

Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken
3.4.2 Ausgestaltung ausgewählter
Methoden in der Praxis
3.4.2.1 Risikolandkarte
20% der Studienteilnehmer setzen zur Identifikation
operationeller Risiken eine Risikolandkarte
ein. Die Risikolandkarte ist ein relativ einfaches
Modell, das eine erste Übersicht über die im
Institut vorliegenden operationellen Risiken
bietet. Dabei werden die operationellen Risiken
des Unternehmens typischerweise in einem Top
Down-Ansatz grob identifiziert und bewertet.
Die Ergebnisse können dann in einer grafischen
Darstellung (Landkarte) für das gesamte Unternehmen
zusammengefasst werden.
Wie häufig werden Daten anhand der
Methode Risikolandkarte erhoben?
Die Datenerhebung anhand einer Risikolandkarte
kann in verschiedenen zeitlichen Abständen
erfolgen. Abbildung 22 zeigt, dass über
43% der Institute, die eine Risikolandkarte
nutzen oder planen, die Daten jährlich erheben.
Allerdings hat sich ein Großteil der Studienteilnehmer
(30,4%) noch nicht auf eine konkrete
Erhebungsfrequenz festgelegt.
Vier der befragten Banken erheben Daten
anhand der Risikolandkarte unter anderem
kontinuierlich oder aber in zweijährigem Abstand
(„sonstige Frequenz“). Eine halbjährliche
Datenerhebung wird in keinem der befragten
Institute durchgeführt.
Abb. 22: Datenerhebungsfrequenz
mit Hilfe einer Risikolandkarte
30,4%
17,4%
8,7%
= quartalsweise = jährlich
= sonstige Frequenz = Frequenz noch offen
43,5%
32 Mehrfachantworten waren möglich.
33 Bei 13% war die konkrete Datenerhebungstechnik noch offen.
34 Im Folgenden waren Mehrfachantworten möglich.
35 Ohne die Studienteilnehmer, die ein Self Assessment einsetzen oder
planen, dessen Ausgestaltung aber noch offen ist.
36 Mehrfachantworten waren möglich.
20
Abb. 23: Verwendete/geplante Arten an Self Assessments
7,2%
26,2%
7,2%
= nur fachbereichspezifisch
= fachbereich-/prozessspezifisch
= generisch/fachbereichspezifisch
= generisch/fachbereich-/prozessspezifisch
Bei Auswertung der Frage, wie die Studienteilnehmer
Informationen mit Hilfe einer Risikolandkarte
erheben, kristallisierte sich die Durchführung
von Risikoworkshops als die maßgebliche
Vorgehensweise heraus. 32 Gut 52% der
Studienteilnehmer 33 , die eine Risikolandkarte
einsetzen oder dies planen, nutzen Risikoworkshops.
Je rund 41% aus dieser Gruppe führen
Risikoworkshops allein bzw. in Kombination
mit Fragebögen und Einzelgesprächen in den
Abteilungen/Geschäftseinheiten durch. Unter
Beteiligung unterschiedlicher Hierarchiestufen
und Ausnutzung gruppendynamischer Prozesse
werden mit Hilfe derartiger Workshops im
Unternehmen bestehende operationelle Risiken
identifiziert. Die personelle Zusammensetzung
innerhalb der Workshops variiert von Bank zu
Bank. 34 83% der Banken beziehen den Head of
Operational Risk in Risikoworkshops ein, sofern
diese Position in ihrem Unternehmen auch
installiert wurde. 70% der Institute mit einer
OR-Controllingabteilung beziehen Vertreter
dieser Einheit mit ein. Ebenso nehmen mehrheitlich
Abteilungs-/Bereichsleitungen (75%) und
Zentralabteilungen wie die Personal- oder
Rechtsabteilung (67%) an Risikoworkshops teil.
Überraschend ist, dass nur die Hälfte der Studienteilnehmer,
die Risikoworkshops im Rahmen
einer Risikolandkarte durchführen, die Mitarbeiter
der Bereiche bzw. der Fachabteilungen oder die
Revision in die Workshops einbeziehen.
3.4.2.2 Self/Risk Assessment
59,4%
Das Self oder Risk Assessment ist eine Selbsteinschätzung
in Bezug auf bestehende operationelle
Risiken und dient zu deren Identifikation und
35,6%
2,4%
4,8%
7,1%
9,5%
= nur generisch (35,6%)
= nur prozessspezifisch (9,5%)
= generisch/prozessspezifisch (7,1%)
= generisch/ fachbereich-/prozessspezifisch (4,8%)
= sonstige (2,4%)
Bewertung. Self Assessments werden von den
Abteilungen bzw. Geschäftsbereichen selbst
durchgeführt. Unterstützend wird häufig auch
die zentrale OR-Controllingeinheit (z. B. OR-
Beauftragte) mit einbezogen.
Auf welche Art wird das
Self/Risk Assessment durchgeführt?
Das Self Assessment kann sehr verschiedene
Formen annehmen. Das generische Self
Assessment deckt alle Bereiche des Instituts mit
einem standardisierten übergreifenden Fragebogen
ab. Der Umfang der Checkliste ist meist geringer
als beim fachbereichs- oder prozessspezifischen
Self Assessment. Letztere gehen spezifisch auf
die operationellen Risiken der Bereiche oder
Abteilungen ein. Abbildung 23 zeigt, dass das
generische Self Assessment unter den Studienteilnehmern
dominiert.
Gut 59% der Studienteilnehmer, die ein Self
Assessment durchführen oder planen 35 , verwenden
diese Art entweder allein oder in Kombination
mit der fachbereichsspezifischen bzw.
prozessspezifischen Variante. Das fachbereichsspezifische
Self Assessment wird von der Hälfte
der Institute allein oder in Kombination angewandt.
Analog zur Risikolandkarte werden
Informationen aus dem Self Assessment auf
unterschiedliche Weise generiert. Studienteilnehmer,
die ein Self Assessment nutzen oder
dies planen und bereits konkrete Angaben
darüber machen können, erheben Daten im
Rahmen dieser Methode hauptsächlich über
Fragebögen oder in Kombination mit Einzelgesprächen
und/oder Risikoworkshops. 36

Nur 12% der Institute aus dieser Gruppe verwenden
keine Fragebögen im Rahmen des Self
Assessments.
Das Ergebnis eines Self Assessments ist eine
umfassende Analyse der operationellen Risiken.
Die Resultate werden anhand von Qualitätskennziffern
dargestellt, die eine qualitative
Einschätzung der Systeme, Abläufe etc. unter
Risikogesichtspunkten enthalten und eine Aussage
über die Qualität der untersuchten Kontrollpunkte
ermöglichen. Alternativ bzw. ergänzend
werden Verlustpotenziale abgebildet, die eine
quantitative Abschätzung der Eintrittswahrscheinlichkeit
und Schadenshöhe von operationellen
Schadensfällen gestatten. Mehr als die
Hälfte der befragten Banken (58,5%), die ein
Self Assessment durchführen oder planen und
bereits konkrete Angaben darüber machen
können, bilden die Ergebnisse durch eine Kombination
aus Qualitätskennziffern und Verlustpotenzialen
ab. Weitere 22% stellen die Resultate
allein über Verlustpotenziale dar. Nur gut
14% der Institute aus obiger Gruppe verwenden
dazu allein Qualitätskennziffern.
Wie häufig erheben Sie Daten mit Hilfe
eines Self/Risk Assessments?
Abbildung 24 veranschaulicht, dass in allen
Peer Groups der Großteil der Institute Self
Assessments jährlich durchführt. Einige Studienteilnehmer
führen diese Methode in fixen Zeitabständen
durch, planen allerdings aperiodische
Assessments ein, sofern sich bestimmte Rahmenbedingungen
in den jeweiligen Erhebungseinheiten
geändert haben.
3.4.2.3 Schadensfalldatenbank
Gemäß derzeitigem Stand der aufsichtsrechtlichen
Diskussion muss die Mehrheit der Kreditinstitute
zukünftig Daten über Verlustvorfälle
sammeln und archivieren. Die Sammlung von
Verlustdaten dient dabei nicht nur als Datenbasis
für eine spätere Berechnung der Eigenkapitalunterlegung
nach einem AMA-Ansatz, sondern
stellt auch eine der qualitativen Anforderungen
an das Management und Controlling operationeller
Risken bei der Verwendung des
37 Hier und im Folgenden sind diejenigen Institute gemeint, die eine
Schadensfalldatenbank verwenden oder planen.
3.4 Methoden zur Identifikation und Messung operationeller Risiken Operationelle Risiken bei Kreditinstituten
Abb. 24: Häufigkeit der Datenerhebung im Rahmen eines Self Assessments
100%
80%
60%
40%
20%
= monatlich 0,0 0,0 11,1 0,0 2,1
= quartalsweise 0,0 28,6 0,0 17,6 14,6
= halbjährlich 12,5 14,3 0,0 5,9 8,3
= jährlich
= sonstige
37,5 28,6 66,7 35,3 39,6
Frequenz 25,0 0,0 0,0 11,8 8,3
= noch offen 25,0 28,5 22,2 29,4 27,1
Standardansatzes dar. Folgen dieser Anforderungen
sind nicht nur der hohe Verwendungsgrad
einer Schadensfalldatenbank, sondern auch die
große Zahl an Instituten, die beabsichtigen,
diese Methode zu implementieren (siehe Abbildung
21).
Welche Komponenten sind in der
Schadenshöhe enthalten?
Bei der Sammlung der Schadensfälle fließen
unterschiedliche Komponenten in die Schadenshöhe
ein. In Abbildung 25 wird dargestellt, welche
Schadenskomponenten am häufigsten von
den Studienteilnehmern 37 in die Definition eines
Schadensfalles einbezogen werden. Es dominieren
eindeutig Auszahlungen und Sachschäden.
Nur 15% der Studienteilnehmer verwenden die
Definition eines Schadensfalles, welche Auszahlungen,
Sachschäden, Wertberichtigungen und
zahlungswirksame interne Aufwände einbezieht.
Bei der Mehrheit der Institute beinhaltet
ein Schadensfall weniger Komponenten als in
den Konsultationspapieren vorgesehen. Nicht
zahlungswirksame Schäden, wie beispielsweise
entgangene Erträge oder Reputationsverluste,
werden nur von 30% der Studienteilnehmer
erfasst. Dies lässt darauf schließen, dass ein
Großteil der befragten Institute eine monetäre
Bewertung dieser Schadenskomponenten als
schwierig ansieht, auch da dies mit einem erheblichen
Aufwand verbunden ist. Tabelle1 gibt
einen Überblick über die Mindesthöhe, ab der,
gestaffelt nach Peer Groups, Schadensfälle in die
Datenbank aufgenommen werden.
Fast ein Viertel der Studienteilnehmer erfasst
alle Schadensfälle unabhängig von deren Höhe.
Bei immerhin 75% der Institute liegt die Erfassungsgrenze
unter 5.000 Euro.
Gerade bei der Verwendung quantitativer Methoden
ist eine unzureichende Verfügbarkeit von
Schadensdaten als problematisch anzusehen.
Auch in dieser Studie stufen die betroffenen
Institute die Datenverfügbarkeit im Durchschnitt
Abb. 25: Welche Komponenten sind in der Schadenshöhe enhalten?
Auszahlungen
Sachschaden
Wertberichtigungen
zahlungswirksame interne Aufwände
entgangene Erträge
nicht zahlungswirksame interne Aufwände
Reputationsverlust
Sonstige
Peer Group 1 Peer Group 2 Peer Group 3 Peer Group 4 Gesamt
(Mehrfachantworten waren möglich)
20% 40% 60% 80% 100%
21

Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken
Tabelle 1: Mindesthöhe in Euro, ab der Schadensfälle in die Datenbank
aufgenommen werden, und Datenhistorie in Jahren
Peer Group Minimum Maximum Mittel
1 € 0,00 30.000,00 8.214,00
Jahre 0,50 5,50 2,75
2 € 0,00 20.000,00 4.777,00
Jahre 0,00 5,00 0,92
3 € 0,00 25.000,00 4.706,00
Jahre 0,00 3,50 1,68
4 € 0,00 10.000,00 1.160,00
Jahre 0,00 10,00 1,70
als mittelmäßig ein. 38 Dabei ordnen größere
Institute die Datenverfügbarkeit tendenziell
besser ein als kleinere Banken. 39 Eng verbunden
mit der Problematik nur unzureichend verfügbarer
Daten ist die Historie einer entsprechenden
Schadensfallsammlung. Die Tatsache, dass
75% der Studienteilnehmer Verlustdaten haben,
die nur maximal zweieinhalb Jahre in die Vergangenheit
zurückreichen, und gut 32% der
Institute bisher noch keine Daten gesammelt
haben, dokumentiert den meist noch frühen
Entwicklungsstand einer Schadensfallsammlung
im Bankenbereich. 40 Aus Tabelle 1 lassen sich
die jeweiligen Durchschnittswerte der einzelnen
Peer Groups entnehmen.
Bestehen geeignete Anreize für Mitarbeiter,
Verlustdaten in die Schadensfalldatenbank
aufzunehmen?
Um die Verfügbarkeit der internen Verlustdaten
zu erhöhen und damit eine solide Voraussetzung
für die Anwendung quantitativer Methoden zu
schaffen, ist es notwendig, geeignete Regelungen
oder Anreize zu implementieren, die das Personal
in den Abteilungen /Geschäftseinheiten dazu
anhalten, Schadensfalldaten in die Datenbank
aufzunehmen.
Abbildung 26 zeigt, wie die Studienteilnehmer
ihre dazu im Unternehmen vorhandenen Anreizstrukturen
einschätzen.
38 Das Mittel liegt auf einer Skala von 1 (= sehr gering) bis 5 (= sehr hoch)
bei 2,98 (3 = mittelmäßig) bei einer Standardabweichung von 0,768.
39 Spearman-Rho = 0,231. Die Korrelation ist auf 90%-Niveau signifikant.
40 Das 75%-Quantil liegt bei 2,5 Jahren.
41 Mittelwert = 2,79; Standardabweichung = 0,871.
42 Spearman-Rho = 0,454. Die Korrelation ist auf 99%-Niveau signifikant.
43 Spearman-Rho = 0,293. Die Korrelation ist auf 95%-Niveau signifikant.
44 Spearman-Rho = 0,365. Die Korrelation ist auf 99%-Niveau signifikant.
45 Spearman-Rho = 0,382. Die Korrelation ist auf 99%-Niveau signifikant.
22
Auf einer Skala von 1 („entgegengesetzte Anreize“)
bis 5 („sehr geeignete Anreize“) bewerten die
Studienteilnehmer ihre Anreizlösungen zwischen
2 („keine Anreize“) und 3 („wenig geeignete
Anreize“). 41 Die meisten Institute versuchen,
die Anreizproblematik über Arbeitsanweisungen
zu lösen. Häufig sind aber keine speziellen Regelungen
vorhanden oder man verlässt sich auf die
Wirkung einer entsprechenden „Risikokultur“.
Nur ein Studienteilnehmer hat bisher ein Incentive
Scheme implementiert, das über die Allokation
ökonomischen Kapitals die variable Vergütung
der Geschäftsbereiche beeinflusst.
Analysiert man obige Ergebnisse zur Beurteilung
bestehender Anreize genauer, ergibt sich einerseits
ein positiver Zusammenhang zwischen der Einschätzung
der Anreizsysteme und der beurteilten
Datenverfügbarkeit 42 und andererseits zwischen
der Einschätzung der Anreizsysteme und der
Datenhistorie in der Schadensfalldatenbank 43 .
So schätzen Institute, die ihre Anreizsysteme als
geeignet ansehen, nicht nur die Verfügbarkeit
dieser Daten tendenziell höher ein, sondern sie
können auch meist auf eine längere Datenhistorie
zurückgreifen.
Nimmt Ihr Unternehmen an externen
Konsortien teil?
Zur Verbesserung der Datenlage, gerade was
seltenere, aber dafür hohe Verlustfälle betrifft,
bietet sich den Instituten die Möglichkeit, an
externen Konsortien teilzunehmen. Dazu
müssen sich die Daten der eigenen Datenbank
in die des externen Konsortiums überführen
lassen. Bei nur 6,5% der Studienteilnehmer
besteht diese Möglichkeit. Weitere 17,4% planen,
ihre Schadensfalldatenbank zu externen
Konsortien kompatibel zu gestalten. Auch auf
Abb. 26: Vorhandensein von geeigneten Anreizen für Mitarbeiter,
Verlustdaten in die Schadensfalldatenbank aufzunehmen
100%
80%
60%
40%
20%
0 0 0
14
5
13 20
50
36
31
1 2 3 4 5
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt
63
80
50
40
29
diesem Gebiet sind größere Banken tendenziell
fortgeschrittener als kleinere, die meist noch
keine Überführbarkeit der Daten sichergestellt
haben. 44 Aus Abbildung 27 geht hervor, dass
Studienteilnehmer, die an externen Konsortien
teilnehmen oder dies planen, in der Minderheit
sind. Zugleich lässt sich auch hier wieder ein
signifikant positiver Zusammenhang zwischen
der Bilanzsumme des Instituts und der Teilnahme
an externen Konsortien feststellen. 45 Die Zahlen
Abb.27: Teilnahme der Kreditinstitute
an externen Konsortien
32,6%
13
17,4%
0
10 14 10
6,5%
43,5%
= ja = nein = geplant = Entscheidung offen
12
0 0
7
4

elegen, dass auf diesem Gebiet vor allem für
die Institute Nachholbedarf besteht, die beabsichtigen,
quantitative Methoden anzuwenden
und dazu eine ausreichende interne und externe
Datenbasis benötigen.
Ein Mittel, um eingesetzte OR-Methoden auf
Basis tatsächlich eingetretener Schadensfälle im
Zeitablauf auf Validität zu überprüfen, ist der
Einsatz von Korrelationsanalysen. Nur zwei
Studienteilnehmer setzen dieses Instrument
bereits ein, weitere 16 planen eine Verwendung.
Dabei wird dieses Instrument vorwiegend von
größeren Banken angewandt oder geplant, die
ihre Verfügbarkeit von Schadensfalldaten tendenziell
höher einschätzen. 46 Der niedrige Verwendungsgrad
dürfte darauf zurückzuführen
sein, dass sich diese Methode aufgrund der
oben angesprochenen mittelmäßig eingeschätzten
Datenverfügbarkeit noch in einem frühen
Entwicklungsstadium befindet.
3.4.2.4 Risikoindikatoren
Risikoindikatoren für operationelle Risiken sind
Kennziffern, die Aufschluss über die gegenwärtige
und zukünftige Risikosituation der Bank geben
sollen. Diese quantitativen Größen, wie zum Beispiel
Häufigkeit von Systemausfällen oder Anzahl
von Fehlbuchungen, werden jeweils für die einzelnen
Risikokategorien erhoben. Fast die Hälfte der
Banken (47,2%), die Risikoindikatoren verwenden
oder planen, befinden sich auf diesem Gebiet noch
in einem sehr frühen Stadium und können daher
noch keine genauen Angaben über die Zahl ihrer
verwendeten Risikoindikatoren machen.
Tabelle 2 stellt, jeweils aufgeschlüsselt nach Peer
Groups, die Anzahl der Indikatoren dar, die von
den übrigen 16 Banken verwendet werden.
Betrachtet man die Anzahl der Indikatoren in den
Risikokategorien Technologie, Personal, interne
Verfahren und externe Einflüsse, so zeigt sich, dass
die Studienteilnehmer im Mittel die meisten Indikatoren
in den Kategorien interne Verfahren und
Technologie nutzen. 47 Nur eine Bank wendet keine
Risikoindikatoren in der Kategorie Technologie an,
wohingegen sechs von 15 Instituten keine Indikatoren
in der Kategorie externe Einflüsse erheben.
46 Spearman-Rho = 0,462. Die Korrelation ist auf 99%-Niveau signifikant.
47 Einbezogen sind nur die Banken, die Risikoindikatoren verwenden oder
planen und bereits konkrete Angaben darüber machen können.
48 Mehrfachantworten waren möglich.
49 Mehrfachantworten waren möglich.
50 Auf einer Skala von 1 (= gering) bis 4 (= sehr hoch) liegt der
Mittelwert bei 2,22, (2 = mittelmäßig; 3 = hoch).
Standardabweichung = 0,647.
3.4 Methoden zur Identifikation und Messung operationeller Risiken Operationelle Risiken bei Kreditinstituten
Tabelle 2: Anzahl Risikoindikatoren (gesamt)
Minimum Maximum Mittel
Peer Group 1 50 80 65,0
Peer Group 2 6 20 11,8
Peer Group 3 10 50 30,0
Peer Group 4 5 100 38,4
3.4.2.5 Szenarioanalyse
Die Szenarioanalyse ist ein Instrument zur
Abschätzung operationeller Risiken mit Hilfe
von Szenarien, die stark auf subjektiven Einschätzungen
beruhen. Besonders geeignet sind
Szenarioanalysen, um das Risiko für extreme
Schäden abzuschätzen, die entweder nicht im
eigenen Haus oder noch überhaupt nicht schlagend
geworden sind. Bei den meisten Studienteilnehmern
ist diese Methode noch in der Entwicklungsphase.
Sechs der 13 Institute, die eine
Szenarioanalyse planen, können noch keine
genaueren Angaben zu deren Ausgestaltung
machen. Diejenigen Banken, die bereits Details
angeben können, führen Szenarioanalysen meist
jährlich durch.
Um operationelle Risiken mit Hilfe von Szenarioanalysen
abzuschätzen, setzen die befragten
Institute verschiedene Methoden zur Ermittlung
von Szenarien ein. Studienteilnehmer, die bereits
konkretere Angaben zu ihrer Szenarioanalyse
machen können, verwenden dazu hauptsächlich
Interviews mit Mitarbeitern in den
einzelnen Abteilungen/Geschäftsbereichen. 48
Zudem setzen die Institute Risikoworkshops
ein, in die vor allem Mitarbeiter der OR-
Controllingeinheit, OR-Beauftragte und Mitarbeiter
der Abteilungen/Geschäftsbereiche sowie
teilweise die Abteilungs- und Geschäftsbereichsleitungen
einbezogen werden. 49 Szenarien
werden in diesen Workshops meist unter Anwendung
eines gemeinsamen „Brainstormings“
entwickelt.
3.4.2.6 Quantitative Methoden
Abb. 28: Verwendung und Planung quantitativer Methoden
Anzahl der Nennungen
10
8
6
4
2
0
5 4
2
IMA versicherungsmathematische
Modellierung
= geplant = verwendet
3
3
2
Scorecard kausale
Modellierung
Wie bereits in Kapitel 3.4.1 festgestellt, wenden
tendenziell größere Banken quantitative Methoden
an. Nur 23 Studienteilnehmer verwenden oder
planen diese Instrumente. Abbildung 28 verschafft
einen Überblick über die am häufigsten verwendeten
und geplanten quantitativen Methoden.
Welche quantitative Methode wird
verwendet/ist geplant?
Unter denjenigen Studienteilnehmern, die sich
für die Verwendung quantitativer Methoden
entschieden haben, planen gut 65% die Berechnung
eines Operational Value at Risk (OpVaR)
oder führen diese bereits durch. Dabei beurteilen
die Institute die Qualität der Ergebnisse des
OpVaR im Durchschnitt mit mittelmäßig. 50
Im Rahmen quantitativer Methoden werden zur
Messung operationeller Risiken Verlustfälle aus
der Schadensfalldatenbank herangezogen.
2
1
1 1 0
Extremwerttheorie
neuronale
Netze
0
4
Sonstige
23

Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken
Neben internen Daten, die vor allem Schäden
aus dem High Frequency-/Low Severity-Bereich
abdecken, werden dafür auch externe Daten
eingesetzt. Diese ermöglichen es, potenzielle
Risiken einzubeziehen, die selten schlagend
werden, aber durch ein hohes Schadensausmaß
gekennzeichnet sind (sogenannte Low
Frequency-/High Severity-Verluste). Die Studie
zeigt auf, dass über die Hälfte der Institute, die
quantitative Methoden verwenden oder planen,
sowohl interne als auch externe Daten zur
Berechnung heranziehen.
Wie bereits in Kapitel 3.4.2.3 erwähnt, ist die
oftmals unzureichende Datenbasis eines der
größten Probleme bei der Quantifizierung operationeller
Risiken. Auf einer Skala von 1 (sehr
schlecht) bis 5 (sehr gut) beurteilen die Studienteilnehmer
die Datenlage im Mittel mit schlecht
bis mittelmäßig. 51
3.4.2.7 Technische Lösungen und Reporting
ausgewählter Methoden
Dieses Kapitel gibt einen Überblick über technische
Lösungen und Strukturen im Reporting
von nur einigen der im vorhergehenden Kapitel
dargestellten Methoden.
Die Art der technischen Umsetzung der OR-
Methoden beeinflusst maßgeblich die Erfassung
und das Reporting operationeller Risiken.
Unterschiedliche Softwarelösungen stehen zur
Implementierung zur Verfügung. So kann zum
Beispiel zur Erfassung von operationellen
Schadensfällen eine bloße Excel-Lösung herangezogen
werden, was relativ wenig Aufwand
verursacht, aber eine effektive und effiziente
Erfassung von Schäden tendenziell erschwert.
Dagegen hilft zum Beispiel eine integrierte
technische Lösung, die sämtliche im Unternehmen
angewandten OR-Methoden beinhaltet
und auf Client-Server-Basis aufgebaut ist,
Doppelerfassungen operationeller Risiken zu
vermeiden. Diese Lösung verursacht jedoch
einen ungleich höheren Aufwand bei der
Umsetzung. Der Markt für Standardsoftware
hält auf diesem Gebiet bisher noch keine
Lösung bereit, die eine integrierte technische
51 Mittelwert = 2,75 (2 = schlecht; 3 = mittelmäßig).
Standardabweichung = 0,851.
52 Einbezogen in die Auswertung sind nur diejenigen Studienteilnehmer,
die die jeweilige Methode verwenden oder planen. Bei den
Ergebnissen zu OR-Beauftragter, Head of OR und OR-Komitee wurde
die Auswertung zusätzlich auf diejenigen Institute beschränkt, die die
jeweilige Funktion implementiert haben.
24
Umsetzung aller gewünschten bzw. angewandten
Methoden beinhaltet. Der Kauf von relativ
teuren, individuell zugeschnittenen Softwaremodulen
lässt sich daher oft nicht vermeiden.
Welche technischen Lösungen von
OR-Methoden kommen zum Einsatz?
Abbildung 29 verschafft einen Überblick über
die von den Studienteilnehmern verwendeten
technischen Lösungen der einzelnen OR-
Methoden.
Bei allen drei abgefragten Methoden dominiert
die Standalone-Lösung aus zum Beispiel Microsoft
Excel oder Access. Client-Server-Lösungen,
die es beispielsweise ermöglichen, auf zentral
auf dem Server hinterlegte Anwendungen
zuzugreifen, werden vorwiegend intranetbasiert
umgesetzt. Die Studienteilnehmer verwenden
diese Art der technischen Umsetzung
zumindest bei der Schadensfalldatenbank
häufiger, da dadurch z. B. eine mehrfache
Erfassung desselben Schadensfalls vermieden
werden kann. Dennoch dominiert selbst hier
die Standalone-Lösung meist auf Basis von
Microsoft Excel. Lediglich zwei Studienteilnehmer
verwenden komplett intranetbasierte
Systeme zum Management operationeller
Risiken, die die technische Umsetzung aller
im Unternehmen angewandten OR-Methoden
beinhalten.
Nach Identifikation und Quantifizierung
operationeller Risiken mit Hilfe der im vorhergehenden
Kapitel dargestellten Methoden
werden Ergebnisse und Befunde in Form von
Reports, die automatisch oder manuell erstellt
werden, an verschiedene Aufgabenträger und
Verantwortliche im Unternehmen gemeldet.
Abb. 29: Technische Lösungen von OR-Methoden
100,0%
80,0%
60,0%
40,0%
20,0%
0,0%
Wer sind die Reportempfänger
der Ergebnisse aus den OR-Methoden?
In Abbildung 30 wird dargestellt, welche Empfänger
am häufigsten Reports über Resultate
aus den bereits aufgeführten Methoden
erhalten. 52
Methodenübergreifend lässt sich feststellen,
dass der Hauptempfängerkreis der einzelnen
Reports nicht sehr stark variiert. Im Mittel
über alle Methoden sind die Hauptadressaten
eines OR-Reportings die dezentrale und zentrale
OR-Managementfunktion, der Vorstand/die
Geschäftsführung, das Senior Management auf
Abteilungs-/Geschäftsbereichsebene und die
Revision. Dabei haben die erstellten Reports
unterschiedliche Funktionen. Das zentrale OR-
Controlling nutzt die Reports, um die Ergebnisse
von ihm entwickelter und im Unternehmen
angewandter Methoden zu verifizieren und
daraus methodenübergreifende, bankweite
Vorstandsreports zu erstellen. Die Abteilungs-/
Geschäftsbereichsleitung erhält einen Überblick
über inhärente operationelle Risiken und
kann auf Grundlage der ihr zur Verfügung
gestellten Reports Steuerungsmaßnahmen
einleiten. Die Unternehmensführung bekommt
durch die ihr gelieferten Berichte einen Überblick
über die OR-Gesamtsituation, wohingegen
die Revision Anhaltspunkte für die Planung
von Audits in den Bereichen erhält, die einer
intensiveren Überprüfung bedürfen.
Ein weiterführender Schritt ist die Integration
des OR-Reportings in entsprechende Reportingstrukturen
von Markt- und Kreditrisiken. Fast
27% der Studienteilnehmer verwenden bereits
ein integriertes Reporting aller drei Risikoarten.
Weitere 30% beabsichtigen, derartige
61,0
52,7
54,1
45,9
36,8
29,2
9,8
10,5
SA RI SFDB
= Standalone-Lösung = Client-Server-Lösung = keine technische Lösung
0,0

Reportingstrukturen zu implementieren. Auch
hier bestätigt sich die Vermutung, dass größere
Banken tendenziell fortgeschrittener sind, das
heißt, es lässt sich ein leicht positiver Zusammenhang
zwischen der Anwendung eines
integrierten Reportings und der Größe der
Bank feststellen. 53
3.4.2.8 Zufriedenheit, Akzeptanz und
Bedeutung ausgewählter OR-Methoden
Ein weiterer interessanter Aspekt ist sowohl
die Frage nach der Zufriedenheit der Studienteilnehmer
mit den in den vorhergehenden
Kapiteln dargestellten Methoden als auch die
Frage nach der Akzeptanz der Methoden im
Unternehmen und nach der Bedeutung, die
die Institute den einzelnen Methoden
beimessen.
3.4 Methoden zur Identifikation und Messung operationeller Risiken Operationelle Risiken bei Kreditinstituten
Abb. 30: Reportempfänger der Ergebnisse aus den OR-Methoden
100
80
60
40
20
OR-Beauftragter
Head of OR Vorstand/
Geschäftsführung
Abt.- /
Bereichsleiter
= Mittel = RL = SA = RI = SFDB = SzA
Leiter
Revision
Risikocontrolling
OR-Komitee Querschnittsverantw.
Wie zufrieden sind Sie mit den einzelnen
OR-Methoden, wie akzeptiert sind die
Methoden in Ihrem Unternehmen, welche
Priorität bzw. Bedeutung geben Sie den
Methoden?
Studienteilnehmer mit Erfahrungswerten in
den in Abbildung 31 aufgeführten OR-
Managementmethoden wurden aufgefordert,
ihre Zufriedenheit und die Akzeptanz der
jeweiligen Methode im Unternehmen auf einer
Skala von 1 bis 4 einzuordnen. 54 Außerdem
sollten alle an der Studie teilnehmenden Institute
den jeweiligen Methoden auf einer Skala
von 1 bis 4 einen Bedeutungsgrad beimessen. 55
Der in Abbildung 31 aufgezeigte durchschnittliche
Bedeutungsgrad bestätigt die Ergebnisse
aus Kapitel 3.4.1. Vor allem dem Self
Abb. 31: Zufriedenheit, Akzeptanz und Bedeutung einzelner OR-Methoden
(Durchschnittswerte)
4,0
3,0
2,0
1,0
3,1
2,7 2,9
3,1 2,8
3,8
2,8
2,6
Risikolandkarte Self Assessment Risikoindikatoren Schadensfalldatenbank
= Zufriedenheit = Akzeptanz = Bedeutung
3,3
3,0 3,0
3,7
3,1
2,4 2,6
2,8 2,8 2,8
Szenarioanalyse Quantitative
Methoden
Wirtschaftsprüfer
Leiter
Controlling
(Mehrfachantworten waren möglich)
Leiter
Finanzen
Leiter Rechnungswesen
Sonstige
Assessment und der Schadensfalldatenbank –
Methoden, die auch am häufigsten verwendet
und geplant werden – messen die Studienteilnehmer
im Mittel eine hohe Bedeutung bei. In
Bezug auf die Schadensfalldatenbank ist dies
sicher auch auf die aufsichtsrechtlichen Anforderungen
zurückzuführen. Bemerkenswert
ist der Bedeutungsgrad des Self Assessments. Im
Mittel liegt dieser bei 3,8, was zum einen auf
die je nach Ausgestaltung relativ einfache
Handhabung und zum anderen auf die aus
dieser Methode resultierenden meist guten
Ergebnisse zurückzuführen sein dürfte.
Im Durchschnitt sind die Studienteilnehmer
mit allen Methoden zufrieden und sehen diese
als im Unternehmen akzeptiert an. Einzige
Ausnahmen bilden die Szenarioanalyse und
die Risikoindikatoren, deren Akzeptanz bzw.
Zufriedenheitsgrad etwas niedriger eingeschätzt
wird. Bei den Risikoindikatoren könnte dies
auf den niedrigen Umsetzungsstand zurückzuführen
sein, wobei hier weiteres Entwicklungspotenzial
vermutet werden kann. Der niedrige
Akzeptanzgrad der Szenarioanalyse könnte
darin begründet sein, dass sie zu den abstrakteren
Methoden zählt und daher im Unternehmen
schwerer zu vermitteln ist. Zumindest aber
sollte dies nicht an einer mangelnden Zufriedenheit
liegen, deren Wert im Mittel zu den
höchsten zählt.
53 Spearman-Rho = 0,19. Die Korrelation ist auf 90%-Niveau signifikant.
54 1= unzufrieden bzw. nicht akzeptiert, 4 = sehr zufrieden bzw. sehr
akzeptiert.
55 1= keine Priorität, 4 = hohe Priorität.
25

Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken
Analysiert man obige Ergebnisse genauer, lassen
sich abschließend folgende Feststellungen treffen:
• Mit Ausnahme der OR-Managementmethoden
Risikolandkarte und Szenarioanalyse besteht
bei allen Methoden ein signifikant positiver
Zusammenhang zwischen der Zufriedenheit
mit der jeweiligen Methode und deren
Akzeptanz im Unternehmen. Methoden,
deren Ergebnisse den Studienteilnehmern
zufriedenstellender erscheinen, werden auch
als akzeptierter erachtet.
• Bei der Schadensfalldatenbank und den
quantitativen Methoden besteht ein
signifikant positiver Zusammenhang
zwischen der Bedeutung, die der Methode
beigemessen wird, und der Größe des
Instituts. Wie in Kapitel 3.4.1 bereits
festgestellt, überrascht dies nicht, da
aufgrund der Anforderungen aus den Baseler
Konsultationspapieren tendenziell größere
Banken diese Methoden anwenden. Bei der
Risikolandkarte lässt sich ein signifikant
negativer Zusammenhang zwischen
beigemessener Bedeutung und Bilanzsumme
feststellen. Aufgrund der relativ einfachen
Handhabung und des schnellen Überblicks,
den dieses Instrument erlaubt, bietet es sich
besonders für kleinere Institute an, die sich
tendenziell erst im Aufbau von OR-
Managementstrukturen befinden.
• Signifikant positive Zusammenhänge
bestehen sowohl zwischen der Zufriedenheit
mit dem Self Assessment und der Bilanzsumme
als auch zwischen der Akzeptanz dieser
Methode und der Bilanzsumme. Größere
Banken haben meist schon früher mit der
Entwicklung von OR-Managementmethoden
begonnen, das heißt also auch mit der
Entwicklung des Self Assessments. Diese
Institute sind daher tendenziell weiter
vorangeschritten, was zu einer erhöhten
Zufriedenheit und Akzeptanz führen dürfte.
26

4.
Kernaussagen
und Schlussfolgerungen

Operationelle Risiken bei Kreditinstituten Kernaussagen und Schlussfolgerungen
Das Untersuchungsziel und die entsprechenden
Ergebnisse der vorliegenden Studie, die Identifizierung
und das Aufzeigen der Trends und Best
Practices im Thema Operationelle Risiken im
deutschsprachigen Bankenmarkt, wurden für
die einzelnen Themengebiete und Aufgaben in
Kapitel 3 detailliert vorgestellt. Jedes Themengebiet
für sich bietet interessante Analysen und
Auswertungen. Darüber hinaus lassen sich aus
den Studienergebnissen einige themenübergreifende
Kernaussagen und Schlussfolgerungen
ableiten. Diese sind im Folgenden aufgeführt:
1. „Weiche Faktoren“ wie Risikokultur und
Support bzw. Commitment der
Führungsebene sind die wichtigsten
Erfolgsfaktoren bei der Umsetzung des
Themas.
Die Etablierung einer offenen Risikokultur im
Institut und die Unterstützung und Akzeptanz
des Themas durch den Vorstand bzw. die Geschäftsführung
werden von einer überwiegenden
Mehrheit der teilnehmenden Institute als
die kritischen Erfolgsfaktoren bei der Implementierung
eines OR-Managementprozesses
gesehen. Andere Faktoren wie Qualität und
Quantität des mit dem OR-Controllings betrauten
Personals haben eine weit geringere Bedeutung.
Nach Einschätzung der Teilnehmer sind es
jedoch auch die „weichen Faktoren“, deren
Umsetzung in der Praxis mit den größten
Schwierigkeiten verbunden ist und für das
zentrale OR-Controlling die größte Herausforderung
darstellt. Auf Ebene der eingesetzten
Methoden ist die offene Kultur insbesondere für
die Schadensfalldatenbank und das Self Assessment
von besonderer Bedeutung. Aufgrund der
noch verbessungswürdigen Anreizsysteme bei
der dezentralen Erfassung eingetretener Schadensfälle
und eingeschränkt auch bei der Selbsteinschätzung
im Rahmen des Self Assessments gilt
es hier, den offenen Umgang über eine entsprechende
Risikokultur zu erreichen. Die Unterstützung
durch die Führungsebene und
z. B. die Aufforderung an die Mitarbeiter, eingetretene
und latente Risiken offen zu benennen,
sind für den erfolgreichen Einsatz dieser Methoden
derzeit unumgänglich.
28
Fazit:
Das Vorleben einer offenen Risikokultur
seitens Vorstand und Geschäftsführung und
der Aufbau einer solchen Kultur im gesamten
Unternehmen muss bei der Implementierung
eines OR-Managementprozesses im Mittelpunkt
stehen.
2. Hinsichtlich der Wahl des
Eigenkapitalansatzes herrscht in vielen
Instituten noch Unsicherheit.
Die aufsichtsrechtlichen Vorgaben für das Thema
Operationelle Risiken sind der zentrale Beweggrund
für die Institute, sich mit dieser Risikoart
zu beschäftigen. Neben den qualitativen Anforderungen
ist die ab 2007 geplante Unterlegung
dieser Risiken mit Eigenkapital die wesentliche
Vorgabe für die Institute. Die drei den Instituten
zur Verfügung stehenden Ansätze zur Berechnung
der Eigenkapitalbelastung haben im
Rahmen der Konsultationsphasen wesentliche
Änderungen erfahren. Der einfachste Ansatz,
der Basisindikatoransatz, wird für viele Institute
nicht anzuwenden sein, wobei auch hier bisher
eine klare Regelung vermisst wird. Sobald nach
derzeitiger Vorgabe ein Institut „international
aktiv“ ist, stehen noch der Standardansatz und
die sogenannten AMA-Ansätze zur Verfügung.
Nach der ursprünglichen Aussage der RMG
sollte der Weg von einem rein durch die Entwicklung
des Bruttoertrags bestimmten Standardansatzes
hin zu einem die tatsächlichen Risiken
des Institutes abbildenden AMA-Ansatzes durch
eine Eigenkapitalersparnis „belohnt“ werden.
Proberechnungen haben diesen Effekt in der
Praxis jedoch bisher selten beobachten können.
Dies führt insbesondere in der Gruppe der
Institute, denen grundsätzlich alle Ansätze offen
stehen, zu Unsicherheiten. Viele dieser Institute
haben sich derzeit noch nicht auf einen Ansatz
zur Berechnung des Eigenkapitals festgelegt.
Auch die größeren Institute der Peer Groups 1
und 2 zögern bisher noch bei der Entscheidung
über den Einsatz quantitativer Methoden (derzeit
haben 17% aller teilnehmenden Institute
quantitative Methoden entwickelt, rund 20%
der Institute planen den Einsatz). Die mit den
quantitativen Methoden verbundenen
Initialisierungs- und Folgekosten lassen sich
heute auf Grundlage der zur Verfügung stehenden
Daten und Informationen kaum gegen die
Eigenkapitalersparnis gegenrechnen.
Diese Unsicherheit mündet auch in der breiten
Forderung der Studienteilnehmer an die RMG,
die Ausgestaltung der Eigenkapitalunterlegungsansätze
weiter zu konkretisieren.
Fazit:
In vielen Instituten herrscht noch Unklarheit,
welcher Ansatz zur Berechnung des
Eigenkapitalbedarfs ab 2007 gewählt wird.
Dies gilt auch für größere Institute, für die
der Basisindikatoransatz nicht zur Verfügung
steht. Die Erhöhung der Datenverfügbarkeit
ist eine zentrale Voraussetzung für valide
Proberechnungen zur zukünftigen Eigenkapitalunterlegung
für operationelle Risiken. Viele
Institute werden die Entscheidung hinsichtlich
des Ansatzes u. a. mit der wachsenden
Datenbasis erst mittelfristig treffen. Die
Bankenpraxis sieht seitens der RMG weiteren
Handlungsbedarf hinsichtlich der Konkretisierung
der Eigenkapitalunterlegungsansätze.
3. In vielen Instituten wird die Entwicklung
und Begleitung des Themas
Operationelle Risiken durch eine zentrale
Organisationseinheit verantwortet.
Entsprechend den anderen Risikoarten, insbesondere
Kredit- und Marktpreisrisiken, ist
mittlerweile eine zentrale Organisationseinheit
für operationelle Risiken in der Bankenpraxis
weit verbreitet. Diese Einheit wiederum ist in
den meisten Unternehmen im Bereich Risikocontrolling
angesiedelt. Die vor einigen Jahren,
insbesondere in kleineren Instituten, noch
übliche Praxis, die Verantwortung der operationellen
Risiken im Bereich der internen Revision
anzusiedeln, ist heute kaum noch zu beobachten.
Dies entspricht auch den mittlerweile klaren
Vorgaben der RMG (Sound Practices Juli 2002),
die eine unabhängige, den OR-Prozess prüfende
Revision fordern. Darüber hinaus wird auch
seitens der Aufsicht eine zentrale Verantwortlichkeit
für das Management und Controlling der
operationellen Risiken empfohlen.

Die zentrale Einheit für die Durchführung eines
OR-Controllings arbeitet derzeit in den teilnehmenden
Instituten, entsprechend der Peer
Group, mit durchschnittlich zwischen 0,7 und
5,9 Mitarbeiterkapazitäten. Als klarer Trend
zeichnet sich unabhängig von der Peer Group
ab, dass 50% der Institute kurz- bis mittelfristig
einen weiteren Ausbau dieser Kapazitäten planen.
Fazit:
Die zentrale Verantwortlichkeit für das OR-
Controlling ist in den teilnehmenden Instituten
heute Best Practice. Der weitere Ausbau
der Mitarbeiterkapazitäten, unabhängig von
der Größe des Instituts, ist ein klar zu beobachtender
Trend.
4. Self Assessment und Schadensfalldatenbank
haben sich als zentrale
Methoden für das Management und
Controlling operationeller Risiken etabliert
und werden auf breiter Ebene in den
Instituten eingesetzt. Risikoindikatoren
werden zukünftig verstärkt zum Einsatz
kommen.
Fast 80% der teilnehmenden Institute setzen
schon die Methode Schadensfalldatenbank ein
bzw. planen dies. Vor dem Hintergrund der
aufsichtsrechtlichen Anforderungen, die eine
strukturierte Erfassung der eingetretenen
Schadensfälle als Voraussetzung bereits für den
Einsatz des Standardansatzes fordern, ist die
weite Verbreitung der Methode Schadensfalldatenbank
nicht überraschend. Für solche
Institute, die einen fortgeschrittenen Ansatz
anstreben, ist die Schadensfalldatenbank - mit
einer entsprechenden Historie - ebenfalls eine
notwendige Voraussetzung. Bei der Implementierung
und dem Betreiben der Schadensfalldatenbank
stellt sich in der Praxis insbesondere
die Frage der Anreizsystematik. Dahinter verbirgt
sich die Problematik, sicherzustellen, dass
alle eingetretenen Schadensfälle strukturiert
und vollständig von den Mitarbeitern bzw.
Organisationseinheiten gemeldet und erfasst
werden. Die Entwicklung praktikabler Lösungen
hierfür ist kurz- bis mittelfristig eine wichtige
Aufgabe für die Institute.
Kernaussagen und Schlussfolgerungen Operationelle Risiken bei Kreditinstituten
Bei der Sammlung der Schadensfalldaten beziehen
die teilnehmenden Banken derzeit in erster
Linie pagatorische, d. h. auszahlungswirksame,
Komponenten der Schadenshöhe mit ein. Schwer
quantifizierbare Komponenten, wie z. B. Kosten
durch Reputationsrisiken, werden in nur wenigen
Instituten berücksichtigt.
In fast der Hälfte aller teilnehmenden Institute
wird bereits die Methode Self Assessment, d. h.
die Selbsteinschätzung der Organisationseinheiten
in Bezug auf bestehende operationelle
Risiken, eingesetzt; weitere 30% planen den
Einsatz dieser Methode. Damit ist das Self
Assessment neben der Schadensfalldatenbank
die am weitesten verbreitete Methode im OR-
Controlling. Die Ausgestaltung des Self
Assessments in den Instituten kann dabei stark
variieren. Sehr verbreitet ist das sogenannte
generische Self Assessment, das mittels einheitlicher
Erhebungen in den verschiedenen Organisationseinheiten
der Bank durchgeführt wird.
Dies zeigt, dass in den Instituten an dieser Stelle
„Pragmatismus vor Komplexität“ gesetzt wird.
Der damit teilweise verbundene Verlust an Aussagefähigkeit
und Analysemöglichkeiten wird
dabei oftmals in Kauf genommen.
Die Methode Risikoindikatoren, also der Einsatz
von Kennzahlen, die Aufschluss über die gegenwärtige
und zukünftige Risikosituation des
Instituts geben können, zeichnet sich als dritte
zentrale Methode zum OR-Controlling ab. Die
RMG empfiehlt in den Sound Practices vom Juli
2002 ausdrücklich den Einsatz von Risikoindikatoren
als Management-Frühwarnsystem. Von
den teilnehmenden Instituten planen über 40%
die Implementierung von Risikoindikatoren, bei
fast 20% werden diese bereits verwendet. Diese
Institute zeigen sich jedoch noch weitgehend
unzufrieden mit der Umsetzung der Methode.
Die in der Theorie plausible und naheliegende
Methode Risikoindikatoren scheint somit in der
praktischen Umsetzung größere Probleme für
die Banken aufzuwerfen.
Fazit:
Schadensfalldatenbank und Self
Assessment haben sich als Methoden zum
Management und Controlling operationeller
Risiken etabliert. Für beide Methoden gilt,
dass die Praktikabilität bei der Umsetzung in
der Praxis eine wesentliche Rolle spielt.
Nach Ansicht vieler Institute sollten
80/20-Lösungen bei der Implementierung
dieser Methoden im Vordergrund stehen. Als
dritte Methode zum Management und
Controlling von operationellen Risiken haben
sich Risikoindikatoren herauskristallisiert,
die lediglich von einer Minderheit der
Institute bereits erfolgreich implementiert
wurden, deren Einsatz aber in vielen Instituten
geplant ist.
29

5.
Glossar

Im Rahmen der Studie verwendete
Definitionen im Thema Operationelle
Risiken (OR)
Externes Konsortium
Konsortium zum Teilen von nicht-öffentlichen
Informationen über operationelle Schadensfälle
unter Beibehaltung der Eigentümerschaft der
Daten seitens der Mitglieder. Mit der Teilnahme
sind für das jeweilige Institut Rechte und Pflichten
verbunden. Vorteil einer Mitgliedschaft an
einem externen Konsortium ist, dass sich die
Verfügbarkeit von Daten für die teilnehmenden
Institute erhöht.
Interner Aufwand (zahlungswirksam/nicht
zahlungswirksam)
Beispiel für einen zahlungswirksamen internen
Aufwand:
Ein Mitarbeiter muss aufgrund des Ausfalls
eines DV-Systems Überstunden machen, die
ihm entsprechend vergütet werden. Der zahlungswirksame
interne Aufwand aus der Vergütung
des Arbeitnehmers steigt für das Unternehmen
entsprechend der Anzahl der Überstunden.
Beispiel für einen nicht zahlungswirksamen
internen Aufwand:
Ein Mitarbeiter muss aufgrund des Ausfalls
eines DV-Systems Überstunden machen, die
ihm nicht vergütet werden. Es entsteht kein
zusätzlicher, zahlungswirksamer interner Aufwand
aus der Vergütung des Arbeitnehmers, da
die zusätzliche Arbeitszeit nicht monetär entgolten
wird.
Korrelationsanalysen
Korrelationsanalysen dienen der Validierung
von OR-Methoden im Zeitablauf auf Basis tatsächlich
eingetretener Schadensfälle aus der
Schadensfalldatenbank.
Mapping
Da Basel II im Rahmen der Ansätze zur Eigenkapitalunterlegung
feste Vorgaben bzgl. Kategorisierung
von OR und Einteilung der Geschäftsfelder
bei der Eigenkapitalunterlegung macht, müssen
abweichende Kategorien und Geschäftsfelder in
den jeweiligen Instituten auf die Vorgaben von
Basel II abgebildet („gemappt“) werden können.
OR-Beauftragter
Zentraler OR-Ansprechpartner für das Risikocontrolling
und die Mitarbeiter in jeder Abteilung.
OR-Komitee
OR-Gremium, das meist aus Vertretern verschiedener
Bereiche des Unternehmens besteht,
die sich mit dem Thema OR auseinandersetzen,
und im OR-Managementprozess Beratungs- oder
Entscheidungsfunktionen übernehmen kann.
OR-Strategie
Bestandteil der gesamten Risikostrategie (inkl.
Markt- und Kreditrisiken), welcher strategische
Vorgaben für den Umgang mit operationellen
Risiken durch die Unternehmensleitung beinhaltet.
Durch die OR-Strategie wird festgelegt,
welche operationellen Risiken eingegangen
werden sollen, welches Verhältnis zwischen
Risiken und Chancen in den einzelnen Unternehmensbereichen
einzuhalten ist (Risikoappetit)
und ab welcher Schadenshöhe Maßnahmen zur
Steuerung eingeleitet werden. Die OR-Strategie
kann Komponente des Rahmenwerks sein und
formuliert die unternehmensweit einheitlichen
Zielsetzungen und die Terminologie in Bezug
auf operationelle Risiken.
Qualitätskennziffern
In Reports aus dem Self Assessment enthaltene
Kennziffern, die eine qualitative Einschätzung
der Systeme, Abläufe etc. unter Risikogesichtspunkten
enthalten und eine Aussage über die
Qualität der untersuchten Kontrollpunkte
ermöglichen.
Quantitative Impact Studies (QIS)
Im Jahre 2001 führte die Risk Management
Group des Baseler Komitees zwei statistische
Datenerhebungen durch, deren Ziel es war, u.a.
Informationen über bankinterne Zahlen zur
Glossar Operationelle Risiken bei Kreditinstituten
Kapitalallokation und über Erfahrungen der
Banken mit Verlusten aus operationellen Risiken
zu erheben. Eine dritte statistische Erhebung (QIS
III) ist Anfang Oktober 2002 initiiert worden.
Quantitative Methoden
Methoden zur Quantifizierung operationeller
Risiken. Quantitative Methoden werden zur
Berechnung der Eigenkapitalunterlegung, aber
auch für die interne Steuerung verwendet.
Voraussetzung ist die ausreichende Verfügbarkeit
von Daten.
Rahmenwerk
Säule 2 aus Basel II fordert von den Banken u. a.
„...die Einrichtung eines Systems zur Identifizierung,
Messung, Steuerung, Überwachung und
Minderung der Risiken ...“.
Ein Rahmenwerk soll diesen Anforderungen
Rechnung tragen. U. a. kann ein unternehmensweit
abgestimmtes Rahmenwerk folgende Punkte
beinhalten:
– Einheitliche Begriffe und Definitionen
(insbesondere Definition und Kategorisierung
von OR)
– Zielsetzungen des OR-Managementprozesses
– Reporting-Strukturen
– Methoden beim Management operationeller
Risiken
– Rollen und Verantwortlichkeiten im OR-
Managementprozess (mit Aufbau- und
Ablauforganisation)
– Richtlinien für den OR-Managementprozess
– Prozessschritte des Risikomanagements
Risikoindikatoren
Risikoindikatoren für operationelle Risiken sind
Kennziffern, die Aufschluss über die gegenwärtige
und zukünftige Risikosituation der Bank
geben. Mittels der Festlegung von Benchmarks
bzw. Grenzwerten (sog. „Escalation Triggers“)
eignen sich Risikoindikatoren als Management-
Frühwarnsystem.
31

Operationelle Risiken bei Kreditinstituten Glossar
Die Indikatoren müssen u. a. folgenden Anforderungen
genügen:
– Vermutete Korrelation zwischen Indikator
und später auftretenden Schadensfällen
(Validität)
– Reliabilität der Indikatoren und der zu
definierenden Schwellenwerte (Indikatoren
sollten sich aus einer ausreichend großen
Anzahl von Datenpunkten errechnen)
Risikolandkarte
Die Risikolandkarte ist ein relativ einfaches
Modell, das eine erste Übersicht über die im
Institut vorliegenden operationellen Risiken
bietet. Dabei werden die operationellen Risiken
des Unternehmens typischerweise in einem
Top-Down Ansatz grob identifiziert und bewertet.
Die Ergebnisse können dann in einer grafischen
Darstellung (Landkarte) für das gesamte Unternehmen
zusammengefasst werden. So lässt
sich der Handlungsbedarf „auf einen Blick“
erkennen.
Risikoworkshops
Methode zur Erhebung von Informationen im
Rahmen von z. B. Self/Risk Assessments. Unter
Beteiligung unterschiedlicher Hierarchiestufen
und Ausnutzung gruppendynamischer Prozesse
werden im Rahmen von Workshops operationelle
Risiken identifiziert. Durch abteilungsübergreifende
Workshops können insbesondere
Schnittstellen-Risiken erkannt werden.
Schadensfalldatenbank
Gemäß derzeitigem Stand der aufsichtsrechtlichen
Diskussion müssen Kreditinstitute zukünftig
Daten über Verlustvorfälle aufgrund
32
schlagend gewordener operationeller Risiken
sammeln und archivieren.
Die Sammlung von Verlustdaten dient dabei
nicht nur als Datenbasis für eine spätere Berechnung
der Eigenkapitalunterlegung nach einem
AMA-Ansatz, sondern stellt auch eine der qualitativen
Anforderungen an das Management und
Controlling operationeller Risken (Sound Practices,
Grundsatz 5) dar.
Self/Risk Assessment
Das Self/Risk Assessment ist eine Selbsteinschätzung
in Bezug auf bestehende, operationelle
Risiken und dient der Identifikation und
Bewertung von OR. Es wird verwendet, um
– Risiken zu identifizieren und deren
Veränderung nachzuvollziehen,
– vorhandene Kontrollen zu bewerten und ggf.
Verbesserungsmaßnahmen einzuleiten,
– „weiche“ (Kultur, Mitarbeiter) und „harte“
(Kontrollen) Faktoren zu adressieren,
– eine konsistente Risikobewertung über
Unternehmensbereiche hinweg zu ermöglichen,
– die dezentrale Verantwortung für die
Steuerung operationeller Risiken zu unter-
streichen.
Die „Sound Practices“ der RMG vom Juli 2002
empfehlen neben der Erfassung der Risiken im
Rahmen eines Self/Risk Assessments (Grundsatz
4) auch eine Abschätzung der Eintrittswahrscheinlichkeit
und Schadenshöhe im Rahmen der
Anwendung dieser Methode (Grundsatz 5).
Man unterscheidet generisches Self/Risk
Assessment und fachbereichs-, prozessspezifisches
Self/Risk Assessment.
Das generische Self/Risk Assessment deckt alle
Bereiche des Instituts mit einer standardisierten,
übergreifenden Checkliste ab. Der Umfang der
Checkliste ist meist geringer als beim fachbereichs-,
prozessspezifischen Self Assessment. Letztere
gehen spezifisch auf die operationellen Risiken
der Bereiche oder Abteilungen ein.
Das Ergebnis eines Self/Risk Assessments ist
eine umfassende Analyse der operationellen
Risiken und wird über Reports an verschiedene
Empfänger weitergegeben.
Szenarioanalysen
Methode zur Abschätzung von operationellen
Risiken mit Hilfe von Szenarien, die auf weitestgehend
subjektiven Einschätzungen beruhen.
Besonders geeignet sind Szenarioanalysen, um
das Risiko für extreme Schäden, die entweder
nicht im eigenen Haus oder noch überhaupt
nicht schlagend geworden sind, abzuschätzen.
Validierung
Um die Qualität des OR-Managementprozesses
sicherzustellen, ist die regelmäßige Überprüfung
der eingesetzten Methoden und Verfahren
sowie der Modellannahmen erforderlich. Durch
laufendes Backtesting, d. h. Vergleich zwischen
den berechneten Risiken und den tatsächlichen
Gewinnen/Verlusten werden die Methoden
hinsichlich ihrer Validität getestet.
Verlustpotenziale
Im Vergleich zum Reporting von Qualitätskennziffern,
die nur eine qualitative Einschätzung
der Risikosituation enthalten, findet bei der
Ermittlung von Verlustpotentialen eine quantitative
Abschätzung der Eintrittswahrscheinlichkeit
und Schadenshöhe von operationellen
Schadensfällen statt.

6.
Über Cap Gemini Ernst & Young

Operationelle Risiken bei Kreditinstituten Über Cap Gemini Ernst & Young
Allgemeine Informationen
Cap Gemini Ernst & Young
Die Cap Gemini Ernst & Young Gruppe ist eine
der weltweit größten Gesellschaften für
Management- und IT-Beratung sowie die größte
Unternehmensberatung europäischen Ursprungs.
In Deutschland steht das Unternehmen auf
Platz zwei. Cap Gemini Ernst & Young bietet
Management- und IT-Beratung, Systemintegration,
Technologieentwicklung, Organisationsdesign
und Outsourcing auf globaler Ebene und hilft
ihren Kunden bei der Umsetzung von Wachstumsstrategien
und dem effektiven Einsatz von Technologien.
Die Organisation beschäftigt weltweit
etwa 55.000 Mitarbeiter und erzielte 2001 einen
globalen Umsatz von über 8,4 Milliarden Euro.
Mehr Informationen zu Cap Gemini Ernst&Young,
den Dienstleistungen und Pressemitteilungen
finden Sie unter www.de.cgey.com.
34
Service Offerings im
Risk Management & Controlling
Cap Gemini Ernst & Young unterstützt führende
Banken und andere Finanzinstitute bei der
Optimierung ihres Risikomanagements- und
controllings und verfügt über langjährige Erfahrungen,
hervorragende Referenzen sowie exzellente
Marktkenntnisse. Unsere Leistungen erstrecken
sich von der Entwicklung von Strategien über die
Modellierung und Konzeption kundenspezifischer
Lösungen bis hin zur Umsetzung der angebotenen
Lösungen und decken die Risikoarten „Marktrisiko“,
„Adressrisiko“ und „Operationelles
Risiko“ ab.
Die Beratung im Thema Management und
Controlling operationeller Risiken umfasst im
Einzelnen folgende Leistungen:
• Konzeption und Implementierung eines
integrierten Systems zum Management und
Controlling operationeller Risiken (Gap-
Analyse, Rahmenwerk, Risikolandkarte, Self
Assessment, Reporting, Schadensfalldatenbank,
Risikoindikatoren, Quantifizierung).
• Entwicklung einer bankweiten Risikopolitik
für operationelle Risiken und Einführung
eines Management-Frühwarnsystems.
Darüber hinaus verfügen wir über umfangreiche
Erfahrungen in Projekten zur Umsetzung
bankenaufsichtsrechtlicher Anforderungen.
(z. B. Basel II, Grundsatz I, MaH) bei einer
Vielzahl deutscher Banken.
Für das Management und Controlling operationeller
Risiken bietet Cap Gemini Ernst & Young
einen ganzheitlichen, modularen Ansatz, der die
Ziele von Finanzdienstleistern umfassend berücksichtigt.
Ausgehend von den Kundenanforderungen
verfolgt Cap Gemini Ernst & Young
individuelle Lösungsansätze in Form von „Projektmodulen“,
die frei wähl- und kombinierbar sind.
Es wird zwischen zwei Klassen von Projektmodulen
unterschieden, die nachfolgend kurz
skizziert werden:
•Allgemeine Module (Gap-Analyse,
Rahmenwerk, Schadensfalldatenbank,
Softwareauswahl)
• Spezielle Module zur Erhebung und
Identifizierung operationeller Risiken
(Risikolandkarte, generisches und
fachbereichs-/prozessspezifisches
Self Assessment, Risikoindikatoren).
Zur Unterstützung der Projektmodule stellt
Cap Gemini Ernst & Young praxiserprobte,
einfach zu nutzende Tools und Methoden zur
Verfügung, die eine hohe Akzeptanz bei den
Mitarbeitern auf Kundenseite fördern. Ziel der
Cap Gemini Ernst & Young Lösungsansätze ist
die Erreichung erster Projektergebnisse innerhalb
eines kurzen Zeitraums nach Projektstart
sowie die transparente Projektdurchführung in
kurzen, abgrenzbaren Aktivitätenblöcken.

Deutschland
Berlin
Tel. +49-(0)30/88 70 30
Dresden
Tel. +49-(0)3 51/47 8130
Düsseldorf
Tel. +49-(0)2 11/47 06 80
Essen
Tel. +49-(0)2 01/8 24 30 00
Frankfurt/Sulzbach
Tel. +49-(0)6196/99 90
Frankfurt
Tel. +49-(0)69/152 08 02
Hamburg
Tel. +49-(0)40/25 31 80
Hannover
Tel. +49-(0)511/678 20
Heilbronn
Tel. +49-(0)71 31/93 92 10
Köln
Tel. +49-(0)2 21/912 64 40
München
Tel. +49-(0)89/940 00
Rüsselsheim
Tel. +49-(0)6142/603 40
Stuttgart
Tel. +49-(0)7 11/50 50 50
Walldorf
Tel. +49-(0)62 27/73 39 00
www.de.cgey.com
Polen
Warschau
Tel. +48-(0)22/528 75 00
www.pl.cgey.com
Österreich
Graz
Tel. +43-(0)316/468 22 36
Wien
Tel. +43-(0)1/2116 30
www.at.cgey.com
www.cgey.com
Schweiz
Basel
Tel. +41-(0)61/685 27 27
Lausanne
Tel. +41-(0)21/620 71 00
Zürich
Tel. +41-(0)1/560 24 00
www.ch.cgey.com
Slowakei
Bratislawa
Tel. +421-(0)2/444 556 78
Cap Gemini Ernst & Young
Region: Central Europe
Neues Kranzler Eck
Kurfürstendamm 21
D-10719 Berlin
Tel. +49-(0)30/88703-0
Fax +49-(0)30/88703-111
© Cap Gemini Ernst & Young 02-0086