Operationelle Risiken bei Kreditinstituten - Versicherungsmagazin

versicherungsmagazin.de

Operationelle Risiken bei Kreditinstituten - Versicherungsmagazin

Global Financial Services

Operationelle Risiken bei Kreditinstituten

Trends & Best Practice

November 2002


Inhaltsverzeichnis

1 Management Summary 4

2 Informationen zur Studie 7

3 Auswertung 9

3.1 Nutzen und Motivation beim

Management operationeller Risiken 10

3.2 Umsetzung aufsichtsrechtlicher

Anforderungen 11

3.3 Organisation und Prozesse beim

Management operationeller Risiken 14

3.4 Methoden zur Identifikation und

Messung operationeller Risiken 18

4 Kernaussagen und Schlussfolgerungen 27

5 Glossar 30

6 Über Cap Gemini Ernst & Young 33


1.

Management Summary


Operationelle Risiken sind als Thema bei Kreditinstituten

in den letzten Jahren zunehmend in

den Mittelpunkt des Bewusstseins gerückt. Die

Gründe dafür liegen, neben den verstärkten

aufsichtsrechtlichen Anforderungen aus Basel II,

vor allem in dem Bestreben der Institute, durch

ein besseres Management und Controlling

operationeller Risiken (OR-Managementprozess)

den eigenen Unternehmenswert zu steigern.

Aufgrund des ständigen Fortschritts in dem

noch jungen Thema ist Transparenz über den

Status Quo des Entwicklungsstands bei den

Kreditinstituten für alle Marktteilnehmer hilfreich

und sinnvoll. Um den Instituten einen

Überblick über den Stand der Entwicklungen

und die aktuellen Trends im Thema zu verschaffen,

wurde die vorliegende Studie „Operationelle

Risiken bei Kreditinstituten – Trends und Best

Practice“ von Cap Gemini Ernst & Young in

Zusammenarbeit mit dem Seminar für Kapitalmarktforschung

und Finanzierung der

Ludwig-Maximilians-Universität München

(Prof. Dr. Bernd Rudolph) durchgeführt. Die

Studie basiert auf einer schriftlichen Befragung

bei 60 teilnehmenden Kreditinstituten aus

Deutschland, Österreich und der Schweiz. Die

Datenerhebung erfolgte von Mai 2002 bis

September 2002 anhand von mehr als 100 Fragen

je Teilnehmer.

Ziele der Studie

Die Studie gibt einen umfassenden Überblick

über den Status Quo des OR-Managementprozesses

bei führenden Banken in Deutschland, Österreich

und der Schweiz. Der Schwerpunkt der

Untersuchung lag dabei in der konkreten Ausgestaltung

des OR-Managementprozesses und

den Erfahrungen, die die Teilnehmer mit den

verwendeten Methoden gesammelt haben.

Aufgrund der erfreulich hohen Teilnehmerzahl

bietet die Studie ein umfassendes Bild der Standards

und Trends, die sich am Markt derzeit

herausgebildet haben bzw. derzeit abzeichnen.

Wesentliche Ergebnisse der Studie

Während der Leser in Kapitel 3 eine detaillierte

Auswertung der einzelnen Fragen erhält, werden

hier zunächst die wesentlichen Ergebnisse zusammengefasst

und die daraus erkennbaren

Trends benannt.

„Weiche Faktoren“ wie die in einem Institut

vorherrschende Risikokultur und der

Support der Führungsebene sind für einen

erfolgreichen OR-Managementprozess die

wichtigsten Erfolgsfaktoren.

Nach Einschätzung der Teilnehmer sind es vor

allem die „weichen Faktoren“, wie die Unterstützung

des vorgesehenen OR-Managementprozesses

durch die Geschäftsführung und die Etablierung

einer offenen Risikokultur, die den Erfolg

der eingesetzten OR-Methoden sicherstellen.

Der Ausstattung des OR-Controllings (zentral

und dezentral) mit Mitarbeitern und finanziellen

Ressourcen wurde dabei eine weitaus geringere

Bedeutung für den Erfolg beigemessen. Zu

erklären ist dieses Ergebnis unter anderem

damit, dass die von den Teilnehmern der Studie

überwiegend eingesetzten OR-Methoden

(z. B. Self Assessment, Schadensfalldatenbank)

nur in einer offenen Risikokultur sinnvoll

eingesetzt werden können. Das Fehlen dieser

wichtigen Rahmenbedingung kann nicht durch

einen erhöhten Personal- oder Ressourceneinsatz

kompensiert werden.

Hinsichtlich der Wahl des

Eigenkapitalansatzes (Basel II) herrscht in

vielen Instituten noch Unsicherheit.

Die drei den Instituten zur Verfügung stehenden

Eigenkapitalansätze (Basisindikatoransatz,

Standardansatz und AMA – Advanced Measurement

Approaches) haben im Rahmen der Konsultationsphasen

hinsichtlich ihrer Ausgestaltung,

aber auch hinsichtlich der Anwendbarkeit,

zahlreiche Änderungen erfahren. Hier wird von

Management Summary Operationelle Risiken bei Kreditinstituten

den Studienteilnehmern mehrheitlich Handlungsbedarf

seitens der Risk Management

Group (RMG) des Baseler Komitees gesehen.

Als wichtigste Punkte werden die konkrete

Ausgestaltung der Eigenkapitalansätze, die

Auswahl der Exposure Indikatoren sowie die

Kriterien für die Anrechenbarkeit von Versicherungen

genannt. Die abschließende Klärung

dieser Punkte ist für viele Institute eine wichtige

Voraussetzung, um die Entscheidung für einen

der Eigenkapitalansätze treffen zu können.

Das OR-Controlling liegt bei vielen

Instituten in der Verantwortung einer

zentralen Organisationseinheit.

Entsprechend der anderen Risikoarten (Kreditund

Marktpreisrisiken) ist mittlerweile eine

zentrale Organisationseinheit, die das OR-

Controlling verantwortet, weit verbreitet. Diese

Einheit wiederum ist in den meisten Unternehmen

im Bereich Risikocontrolling angesiedelt.

Die vor einigen Jahren, insbesondere in kleineren

Instituten, noch übliche Praxis, die Verantwortung

für operationelle Risiken im Bereich

der internen Revision anzusiedeln, ist heute

kaum noch zu beobachten. Dies entspricht auch

den mittlerweile klaren Vorgaben der RMG

(Sound Practices Juli 2002), die eine unabhängige,

den OR-Prozess prüfende Revision fordern.

Die wesentlichen Aufgaben des zentralen OR-

Controllings liegen in der Auswahl geeigneter

OR-Management- und Controllingmethoden, der

Konzentration des methodischen Fachwissens

(Methodenhoheit), der Entwicklung eines OR-

Rahmenwerks sowie der zentralen Sammlung

von OR-Daten, die dem Management in Form

von Reports zugänglich gemacht werden.

5


Operationelle Risiken bei Kreditinstituten Management Summary

Self Assessment und Schadensfalldatenbank

haben sich als Methoden zum Marktstandard

entwickelt. Die Nutzung von Risikoindikatoren

wird von vielen Instituten angestrebt, diese

liefern jedoch nur selten zufriedenstellende

Ergebnisse.

Schadensfalldatenbank

Vor dem Hintergrund der aufsichtsrechtlichen

Anforderungen, die eine strukturierte Erfassung

von Schadensfällen als Voraussetzung bereits für

den Standardansatz fordern, ist der große Anteil

von Instituten, die entweder eine Schadensfalldatenbank

implementiert haben oder dies für

die Zukunft planen, nicht überraschend. Darüber

hinaus bieten die Daten der Schadensfalldatenbank

den Instituten die Möglichkeit, die Ergebnisse

anderer OR-Methoden (Risikoindikatoren,

Self Assessment, Szenarioanalyse) zu verifizieren

und somit Erkenntnisse über Validität und

Qualität der eingesetzten OR-Methoden zu

bekommen. Größtes Problem bei der Schadensfalldatenbank

scheint die Qualität der Datensammlung

zu sein. Dies ist möglicherweise auch

auf fehlende Anreize für die Meldung von Schadensfällen

in den meisten Instituten zurückzuführen.

Die im eigenen Institut gesetzten Anreize

werden nur von einer Minderheit der Teilnehmer

als „geeignet“ oder „sehr geeignet“ angesehen.

Self Assessment

Neben der Schadensfalldatenbank ist das Self

Assessment die am weitesten verbreitete Methode.

Über 75% der Institute setzen diese Methode

bereits ein oder planen ihren Einsatz. Die Ausgestaltung

des Self Assessments variiert dabei

stark. Die Mehrheit der Teilnehmer vertraut

dem Einsatz standardisierter Fragebögen, in

Einzelfällen werden allerdings auch aufwendigere

Self Assessments betrieben, die persönliche Interviews

oder Workshops vorsehen. Die Präferenz

der meisten Institute für eine einfachere Lösung

zeigt, dass in den Instituten an dieser Stelle

„Pragmatismus vor Komplexität“ gesetzt wird.

Der damit teilweise verbundeneVerlust an Aussagefähigkeit

und Analysemöglichkeiten wird dabei

von den Teilnehmern in Kauf genommen.

Risikoindikatoren

Die Funktion eines „Frühwarnsystems“, wie im

jüngsten Sound Practices Papier von der RMG

gefordert, soll in vielen Instituten durch Risikoindikatoren

wahrgenommen werden. Während

bislang nur 20% der teilnehmenden Institute

6

Risikoindikatoren implementiert haben, erklärten

weitere 40% der Institute, dass der Einsatz von

Risikoindikatoren zukünftig angestrebt wird.

Auffällig ist jedoch, dass eine Mehrheit der

Institute, die Risikoindikatoren bereits verwenden,

sich mit diesen weniger zufrieden zeigt. Dies steht

im Gegensatz zu den Methoden Schadensfalldatenbank

und Self Assessment, mit denen die

Mehrheit der Institute zufrieden ist.

Nutzen der Studie

Die Auswertung der Studiendaten ermöglicht

den Teilnehmern, einen Überblick über „Trends

& Best Practice“ im Management und Controlling

operationeller Risiken zu gewinnen. Da die mit

diesem jungen Thema verbundenen Aufgabenstellungen

vielfach neu sind und sich die Probleme

und ihre Lösungen häufig erst in der konkreten

Umsetzung ergeben, ist der Austausch von

Informationen für alle Beteiligten wichtig und

hilfreich.

Die Studie soll in diesem Zusammenhang einen

Beitrag leisten, den Informationsaustausch zu

fördern und den Teilnehmern somit die Möglichkeit

geben, die Situation des eigenen Instituts

im Kontext des Marktes zu sehen und aus

den Erfahrungen anderer Institute lernen zu

können.


2.

Informationen zur Studie


Operationelle Risiken bei Kreditinstituten Informationen zur Studie

Zielsetzung

Um den Marktteilnehmern einen Überblick

über den Stand der Entwicklungen und die

aktuellen Trends im Thema OR zu verschaffen,

hat Cap Gemini Ernst & Young in Deutschland,

Österreich und der Schweiz die Studie „Operationelle

Risiken bei Kreditinstituten - Trends &

Best Practice“ durchgeführt. Die Studie wurde

vom Seminar für Kapitalmarktforschung und

Finanzierung der Ludwig-Maximilians-Universität

München (Prof. Dr. Bernd Rudolph) im Rahmen

einer wissenschaftlichen Arbeit begleitet.

Teilnehmer

Die Studie basiert auf einer Befragung von Kreditinstituten

aus Deutschland, Österreich und der

Schweiz. Angeschrieben wurden die Top

100-Institute nach Bilanzsumme in Deutschland

und jeweils die Top 15-Institute nach Bilanzsumme

in Österreich und in der Schweiz, wobei

die Bilanzsummenspannweite von 64 Mio. € bis

929 Mrd. € reichte. Der zugrunde liegende

Fragebogen wurde im April 2002 an 129 Kreditinstitute

gesendet, von denen sich 60 aktiv an

der Studie beteiligten. Dies entspricht einer

Beteiligungsquote von 47% und gestattet die

Ableitung fundierter Aussagen auf der Basis des

vorliegenden Datenmaterials. An dieser Stelle

sei den Teilnehmern der Studie herzlich gedankt.

Die Sorgfalt bei der Beantwortung der Fragen

sowie die rege Nutzung der Kommentarbereiche

haben entscheidend zur Vielfalt der abgeleiteten

Zusammenhänge beigetragen. Zu den häufigsten

Gründen für eine Nicht-Teilnahme zählten

Umstrukturierungsmaßnahmen im Hause,

mangelnde Kapazitäten für das Ausfüllen des

umfangreichen Fragebogens oder eine bislang

zu geringe Auseinandersetzung mit dem Thema

Operationelle Risiken.

Aus Gründen der besseren Vergleichbarkeit

werden einige Ergebnisse Peer Group-spezifisch

dargestellt, um so der Bilanzsummenspannweite

in der Stichprobe Rechnung zu tragen. Dabei

wurden folgende vier Peer Groups gebildet:

• Peer Group 1 (PG 1) - Banken mit einer

Bilanzsumme x ≥ 250 Mrd. € (8 Institute)

• Peer Group 2 (PG 2) - Banken mit einer

Bilanzsumme 250 Mrd. € > x ≥ 25 Mrd. €

(14 Institute)

8

• Peer Group 3 (PG 3) - Banken mit einer

Bilanzsumme 25 Mrd. € > x ≥ 10 Mrd. €

(12 Institute)

• Peer Group 4 (PG 4) - Banken mit einer

Bilanzsumme x < 10 Mrd. € (26 Institute)

Aufbau

Die Studie ist in zwei wesentliche inhaltliche

Abschnitte gegliedert. Kapitel 3 konzentriert

sich auf die Auswertung des zugrunde liegenden

Fragebogens. Die Analyse bezieht die Antworten

jeder Frage ein, verzichtet jedoch auf die

strikte Einhaltung der Reihenfolge im Fragebogen

und stellt zudem wichtige Zusammenhänge

zwischen verwandten Themengebieten her. Das

Vorgehen folgt der Gliederung

• Nutzen und Motivation beim Management

operationeller Risiken

• Umsetzung aufsichtsrechtlicher Anforderungen

• Organisation und Prozesse beim Management

operationeller Risiken

• Methoden zur Identifikation und Messung

operationeller Risiken

Kapitel 4 beschäftigt sich mit der Untersuchung

ausgewählter Kernaussagen, die sich über die

einzelnen Fragenblöcke hinweg identifizieren

lassen. Die Analyse erarbeitet wichtige Muster und

logische Querverbindungen, die bei der Fokussierung

auf einzelne Fragen weniger zum Vorschein

treten. In Kapitel 5 erhält der Leser einen Überblick

über wesentliche Definitionen der aktuellen Terminologie

im Thema Operationelle Risiken.

Erklärung

Die Durchführung der Studie erfolgte mit äußerster

Sorgfalt. Es ist jedoch nicht auszuschließen,

dass einige Antworten infolge unterschiedlich

verwendeter Begriffe nicht direkt vergleichbar

sind. Bei der Erfassung der Daten wurde großer

Wert auf die Erkennung und Vermeidung von

Inkonsistenzen gelegt. Dennoch kann es vorkommen,

dass die Ergebnisse im Einzelfall die

Erfahrungen eines Teilnehmers nicht widerspiegeln.

Im Interesse einer kompakten Darstellung enthält

die Analyse zudem nur die als wesentlich

eingestuften Resultate.

Autoren

Markus Quick

Markus.Quick@cgey.com

Lars Kruse

Lars.Kruse@cgey.com

Andreas Duldinger

adulding@cip.bwl.uni-muenchen.de

Kontakt

Für Rückfragen und weitere ausführliche

Informationen wenden Sie sich bitte an:

Markus Quick

Am Limespark 2

D-65843 Sulzbach/Taunus

Tel: + 49 (0) 6196/999-0

Mobil: + 49 (0) 160/5 83 41 41

Markus.Quick@cgey.com

Dr. Ulrich von Zanthier

Karl-Hammerschmidt-Str. 32

D-85609 Dornach bei München

Tel: + 49 (0) 89/94 00-0

Mobil: + 49 (0) 160/5 83 40 57

Ulrich.Zanthier@cgey.com


3.

Auswertung


Operationelle Risiken bei Kreditinstituten 3.1 Nutzen und Motivation beim Management operationeller Risiken

3.1 Nutzen und Motivation beim

Management operationeller Risiken

Gerade in letzter Zeit aufgetretene Verlustfälle,

die auf operationelle Risiken (OR) zurückzuführen

waren, zeigen, dass das Management dieser

Risiken nicht nur aufgrund der regulatorischen

Vorgaben aus Basel betrieben werden sollte,

sondern dass das Thema per se zu einer erhöhten

Sensibilität in der Finanzdienstleistungsindustrie

führen muss. Die Antworten der Institute

auf die Frage, welche Motivation zum Aufbau

eines OR-Controllings im Rahmen des OR-

Managementprozesses geführt habe, bestätigen

diese Einschätzung. Dazu sollten die Studienteilnehmer

für eine Reihe von vorgegebenen

Motivationen einen Wert von 1 (höchste

Gewichtung) bis 9 (niedrigste Gewichtung)

vergeben.

Welche Motivation führte in Ihrem Institut

zum Aufbau eines OR-Controllings?

Abb.1: Motivation zum Aufbau eines OR-Controllings

regulatorische Anforderungen

betriebswirtschaftlicher Nutzen

Umsetzung im Rahmen der Risikostrategie

Senior Management Vorgabe

Anforderungen des Marktes

interne Verlustereignisse

externe Verlustereignisse

Thought Leadership im Bereich OR

Sonstige

Wie aus Abbildung1hervorgeht, sehen sich die

befragten Banken zwar hauptsächlich durch die

regulatorischen Vorgaben dazu veranlasst, dem

OR-Managementprozess mehr Bedeutung in ihrem

Unternehmen beizumessen, jedoch kommt bereits

an zweiter Stelle der Motivationsgründe für die meisten

Institute der betriebswirtschaftliche Nutzen.

Auch die im Rahmen einer integrierten Risikostrategie

erforderliche Umsetzung eines OR-

Managementprozesses oder die Vorgabe durch das

Senior Management sind wichtige Gründe für

die Umsetzung von OR-Managementprojekten.

1 Spearman-Rho = 0,226. Die Korrelation ist auf 95%-Niveau signifikant.

2 Spearman-Rho = 0,226. Die Korrelation ist auf 95%-Niveau signifikant.

10

Vor dem Hintergrund der oft bedeutsamen

Auswirkungen operationeller Verlustfälle ist

davon auszugehen, dass etwaige „Nachteile“ aus

dem Management operationeller Risiken, die

beispielsweise aus den Kosten für Aufbau und

Unterhalt eines OR-Managementsystems resultieren,

durch das Erzielen entsprechender

Vorteile kompensiert werden können.

Welchen kurz- und langfristigen Nutzen

identifizieren Sie für Ihr Unternehmen

durch das Management und Controlling

operationeller Risiken?

Abbildung 2 schlüsselt den von den Banken

genannten Nutzen bzw. die Vorteile nach Häufigkeit

der Nennung auf.

Zentrale Erkenntnis ist, dass fast alle Institute

den Hauptvorteil des Managements und Controllings

operationeller Risiken in weichen

Faktoren, wie Schaffung von Bewusstsein für

operationelle Risiken (93%), Etablierung

443

349

324

311

258

232

211

189

30

60 120 180 240 300 360 420 480 540

Punkte (1 = 9 Punkte, 2 = 8 Punkte etc.; Maximalzahl = 540 Punkte)

einer Risikokultur (85%) oder Verbesserung

der Prozessqualität (85%) sehen. Erst an vierter

Stelle kommt mit 81% die konkrete Reduktion

von Verlusten durch operationelles Risikomanagement.

Da die Vorteile aus „weichen“ Faktoren

meist nur langfristig generiert werden

können, sehen auch nur 41% der befragten

Banken Möglichkeiten, sehr kurzfristigen Nutzen

durch den OR-Managementprozess zu erzielen.

Dabei bejahen Banken, die auf die Frage nach

dem Nutzen des OR-Managementprozesses

die Verlustreduktion – einen also durchaus schon

kurzfristiger zu erzielenden Vorteil – angeben,

tendenziell auch die Frage, ob sie Potenziale für

sehr kurzfristige Gewinne sehen 1 . Zudem lässt

sich zeigen, dass größere Institute (gemessen an

der Bilanzsumme) dazu tendieren, sehr kurzfristige

Gewinne durch den OR-Managementprozess als

realisierbar zu erachten 2 . Dies kann bereits als

ein Indiz dafür gewertet werden, dass größere

Institute im OR-Controlling tendenziell fortgeschrittener

sind und sich das höhere Entwicklungsniveau

bereits in ersten Erfolgen niederschlägt.

Konkrete finanzielle Erfolge lassen sich

allerdings bisher nur sehr schwer dem Management

operationeller Risiken zurechnen. Daher

stimmen auch 93% der befragten Banken überein,

keine monetären Ziele für Kosteneinsparungen

durch den OR-Managementprozess zu definieren.

Welches sind für Sie die kritischen

Erfolgsfaktoren bei der Implementierung

des OR-Managementprozesses?

In den vergangenen Jahren konnten im OR-

Controlling viele neue Erkenntnisse gewonnen

und deutliche Fortschritte gemacht werden.

Abb. 2: Kurz- und langfristiger Nutzen des Managements und Controllings

operationeller Risiken

Schaffung von Bewusstsein für OR

Etablierung einer Risikokultur

verbesserte Prozessqualität

Verlustreduktion

Risikosteuerungsinstrument

Unterstützung der Managementfunktion

Reputation im Markt

Steigerung des Unternehmenswertes

Sonstige

(Mehrfachantworten waren möglich)

20% 40% 60% 80% 100%


Abb. 3: Kritische Erfolgsfaktoren bei der Implementierung des

OR-Managementprozesses

Etablierung einer offenen Risikokultur

Akzeptanz durchden Vorstand/die Geschäftsführung

Kommunikation des Themas im Unternehmen

Einbezug aller Einheiten im Unternehmen

ausreichende Ressourcen

Qualifikation des Personals

Buy-in der Bereichs-/Abteilungsleitungen

zentrales OR-Controlling/OR-Management

klares Kosten-Nutzen-Verhältnis

Sonstige

Dennoch ist die Entwicklung auf diesem Gebiet

nicht beendet. Einige zentrale Punkte bedürfen

nach wie vor der Klärung. So sehen sich die

Banken verschiedenen Schwierigkeiten gegenüber,

die im Rahmen eines gegenseitigen Erfahrungsaustausches

zu lösen sind.

Die größten Schwierigkeiten sehen die Studienteilnehmer

auf folgenden Gebieten:

• Akzeptanz des OR-Controllings seitens des

Vorstandes und der Mitarbeiter

• Etablierung einer Risikokultur

• Unvollständige Datenbasis und daraus

folgende Probleme bei der Quantifizierung

operationeller Risiken

• Reifegrad der Methoden zur Identifizierung

und Messung von OR

• Anreizproblematik bei der Meldung von

Schäden

• Abgrenzung operationeller Risiken

Obige Ergebnisse spiegeln sich auch in den

Antworten auf die Frage nach den kritischen

Erfolgsfaktoren bei der Implementierung eines

OR-Managementprozesses wider. Abbildung 3

illustriert, dass mit jeweils 82% der Antworten

die Etablierung einer offenen Risikokultur und

die Akzeptanz des Themas OR seitens Vorstand

und Geschäftsführung die zentralen Erfolgsfaktoren

beim Aufbau und bei der Etablierung

eines OR-Managementprozesses sind. Erst mit

deutlichem Abstand folgen weitere Faktoren wie

Kommunikation des Themas im Unternehmen,

der Einbezug aller Einheiten im Unternehmen

oder ausreichende personelle Ressourcen. Da die

3 Die Säule I des Baseler Konsultationspapiers beschreibt die

Eigenkapitalunterlegung operationeller Risiken. Dazu stehen drei

Ansätze zur Wahl: der Basisindikatoransatz, der Standardansatz und

die Advanced Measurement Approaches (AMA).

3.2 Umsetzung aufsichtsrechtlicher Anforderungen Operationelle Risiken bei Kreditinstituten

(Mehrfachantworten waren möglich)

10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Studienteilnehmer die beiden am häufigsten

genannten Faktoren auch zugleich als die zentralen

Schwierigkeiten im OR-Managementprozess

ansehen, gilt es hier im Besonderen, entsprechende

Verbesserungsmaßnahmen einzuleiten. Einen

interessanten Blickwinkel verschafft die Frage

nach Trends, die sich von den Ansprechpartnern

der befragten Banken im OR-Bereich identifizieren

lassen. 23 Studienteilnehmer äußerten sich

über zukünftige Entwicklungen und Problemfelder,

die sie in diesem Bereich erkennen. Die

meisten Institute stimmen überein, dass besonders

aufgrund der regulatorischen Vorgaben das

Thema OR generell an Bedeutung gewinnen

wird. Allerdings erkennt ein Großteil der Banken

die Notwendigkeit, OR-Controlling unter

Beachtung einer ausgewogenen Kosten-Nutzen-

Relation zu betreiben. „Pragmatismus“ sollte vor

„Komplexität“ kommen, auf „100%-Lösungen“

sollte verzichtet werden. Dies spiegelt sich auch

Abb. 4: Geplante Verwendung von Basel-II-Ansätzen

100%

80%

60%

40%

20%

in der Meinung wider, dass pragmatische

qualitative Methoden den oft komplexeren

quantitativen Ansätzen vorzuziehen seien.

3.2 Umsetzung aufsichtsrechtlicher

Anforderungen

3.2.1 Wahl des Eigenkapitalansatzes

Die Konsultationspapiere, das Working Paper

und die Sound Practices des Baseler Ausschusses

geben bisher nur teilweise detaillierte Vorgaben

in Bezug auf die Eigenkapitalunterlegung und

die qualitativen Voraussetzungen des Managements

operationeller Risiken. Dabei stehen den

Banken im Rahmen der Säule I des Baseler

Konsultationspapiers drei Ansätze zur Ermittlung

der Eigenkapitalunterlegung zur Wahl 3 .

Zudem ist ein so genannter Partial Use, das heißt

die Verwendung eines Advanced Measurement

Approaches (AMA) zusammen mit einem anderen

Ansatz, erlaubt.

Welchen Basel II-Ansatz planen Sie

zu verwenden?

Abbildung 4 stellt die Häufigkeiten der von den

Studienteilnehmern geplanten Ansätze gesamt

und aufgeteilt in vier Peer Groups dar.

Das Ergebnis liegt im Rahmen der Erwartung:

Große Banken werden tendenziell einen der

AMA-Ansätze verwenden, wohingegen kleinere

Institute beabsichtigen, den Standardansatz

oder den Basisindikatoransatz zu wählen. Fast

14% der Banken haben sich bis zum jetzigen

Zeitpunkt noch nicht für einen der Ansätze

Basisindikatoransatz

Standardansatz AMA Partial Use offen

= Peer Group 1 0,0 25,0 62,5 12,5 0,0

= Peer Group 2 0,0 61,5 38,5 0,0 0,0

= Peer Group 3 0,0 41,7 41,7 0,0 16,6

= Peer Group 4 28,0 36,0 12,0 0,0 24,0

= Gesamt 12,1 41,4 31,0 1,7 13,8

11


Operationelle Risiken bei Kreditinstituten 3.2 Umsetzung aufsichtsrechtlicher Anforderungen

entschieden. Meist beabsichtigen letztere, diesbezüglich

weitere Vorgaben und Details seitens

des Baseler Komitees abzuwarten.

Im Rahmen der Verwendung des Standardansatzes

oder eines Partial Use verlangt Basel II von den

Banken, ihre realen Geschäftsfelder auf die von

Basel vorgegebenen abzubilden (zu „mappen“).

Die Studie zeigt, dass bisher nur 50% der befragten

Institute, die mindestens den Standardansatz

zu verwenden beabsichtigen, ihre Geschäftsfelder

auf die vom Baseler Komitee vorgegebenen

gemappt haben.

3.2.2 Zufriedenheit mit den

Konsultationspapieren

Bereits die Quantitative Impact Studies (QIS)

haben gezeigt, dass die Vorgaben aus den Baseler

Konsultationspapieren in vielen Punkten konkretisiert

werden müssen und weitere Diskussionen

vor allem mit Vertretern aus der Industrie

notwendig sind. Ein ähnliches Bild ergeben

auch die Antworten der Banken auf die Frage,

wie zufrieden sie mit den bisherigen Konsultationspapieren

seien.

Auf einer Skala von 1 (unzufrieden) bis 4 (sehr

zufrieden) geben 66% der befragten Institute

den Wert 2 (teilweise zufrieden) an. Nur rund

5% der Studienteilnehmer sind mit den Baseler

Papieren zufrieden (Wert 3), wohingegen 29%

antworten, dass sie damit unzufrieden seien. Im

Mittel liegt der Zufriedenheitsgrad der Studienteilnehmer

bei einem Wert von 1,77. Dabei

zeigen die Ergebnisse, dass die Zufriedenheit

mit den Baseler Papieren mit der Verwendung

von fortgeschritteneren Ansätzen positiv korreliert

4 . Das heißt, dass Institute, die beabsichtigen,

einen fortgeschritteneren Ansatz zu verwenden,

dazu tendieren, mit den Baseler

Konsultationspapieren zufriedener zu sein.

Bei welchen Themen sehen Sie

weiteren Handlungsbedarf seitens der

Aufsichtsbehörden?

Abbildung 5 stellt die von den Studienteilnehmern

am häufigsten genannten Themen dar, bei

denen weiterer Handlungsbedarf seitens der

4 Spearman-Rho = 0,339. Die Korrelation ist auf 99%-Niveau signifikant.

5 Spearman-Rho = 0,480. Die Korrelation ist auf 99%-Niveau signifikant.

6 Ohne diejenigen Banken, die keine Definition eingeführt haben.

7 Unter „Sonstige Definition“ wurden die ursprünglich im Fragebogen

vorgegebenen Antwortalternativen „eigen entwickelte Definition“ und

„sonstige Definition“ subsumiert.

12

Abb. 5: Handlungsbedarf seitens der Aufsichtsbehörden nach Themen

Ausgestaltung der Eigenkapitalunterlegungsansätze

Auswahl der Exposure-Indikatoren

Kriterien zur Anerkennung von Versicherungen

Risikokategorisierung

Sound Practices

Definition Bruttoertrag

Risikodefinition

Sonstige

Aufsichtsbehörden besteht. Nur einer der 60

Studienteilnehmer sieht keinen Handlungsbedarf.

Zentrale Punkte sind die weitere Ausgestaltung

der Eigenkapitalunterlegungsansätze, die Auswahl

der Exposure-Indikatoren für die verschiedenen

Ansätze und genauere Kriterien zur Anerkennung

von Versicherungen im Rahmen der

Risk-Mitigation. Auch auf dem Gebiet der

Risikokategorisierung sehen viele Banken weiteren

Handlungsbedarf. Unter sonstigem Handlungsbedarf

werden vor allem die Richtlinien beim Mapping,

die Ausgestaltung des Partial Use und die

Abgrenzung von Markt-, Kredit- und operationellen

Risiken als Problemfelder hervorgehoben.

3.2.3 Definition und Kategorisierung

operationeller Risiken

Ein großer Schritt nach vorne wurde in den

letzten Jahren bei der Definition operationeller

Risiken gemacht. Mit 71,7% stellen diejenigen

Studienteilnehmer, die bereits eine Definition in

ihrem Unternehmen haben, die deutliche Mehrheit.

Weitere fast 21,6% planen, in nächster Zeit

eine Definition einzuführen. Vier Institute

(6,7%) haben keine Definition operationeller

Risiken in ihrem Unternehmen festgelegt und

planen auch nicht, diese zu einem späteren

Zeitpunkt zu implementieren. Nur ein Studienteilnehmer

verwendet, wie vor einigen Jahren

durchaus noch üblich, eine negative Definition

operationeller Risiken. Dabei lässt sich ein

positiver Zusammenhang zwischen der Verwendung

einer OR-Definition im Unternehmen und

der Größe (gemessen an der Bilanzsumme) der

Bank feststellen: Größere Institute sind tendenziell

auf diesem Gebiet fortgeschrittener und verwenden

bereits eine Definition 5 .

Besteht in Ihrem Unternehmen eine

Definition für operationelle Risiken?

Wenn ja, welche?

Abbildung 6 verschafft einen Überblick über die

Arten an Definitionen, welche die Banken verwenden

bzw. planen. Rund 52% aller Studienteilnehmer

6 verwenden die Definition nach

Basel II oder planen diese zu verwenden. Untersucht

man die beiden Gruppen – Definition

wird bereits verwendet/Definition ist geplant – ,

so stellt man fest, dass vor allem in der Gruppe

der Banken, die bereits eine Definition eingeführt

haben, ein hoher Anteil (46,5%) eine

sonstige Definition 7 nutzt. Meist handelt es sich

Abb. 6: Anteil der Kreditinstitute mit einer Definition operationeller Risiken

100%

80%

60%

40%

20%

53,5

46,2

51,8

46,5

(Mehrfachantworten waren möglich)

20% 40% 60% 80% 100%

Basel-II-Definition

= ja = geplant = gesamt

Sonstige Definition offen

23,1

41,1

0,0

30,7

7,1


Abb. 7: Verwendung einer OR-Kategorisierung

100%

80%

60%

40%

20%

71,4

57,5

50 50

7,5

2,5

17,9

8,9

1,8

ja geplant nein Entscheidung offen (E.o.)

= total = davon Basel II: verwendet = davon Basel II: geplant = davon Basel II: E.o.

dabei entweder um die Definition des Bundesverbandes

Öffentlicher Banken (VÖB) oder um

eine modifizierte Variante der Basel-II-Definition.

Betrachtet man die Gruppe der Institute mit

sonstiger Definition genauer, so stellt man fest,

dass 87% der Institute analog zu Basel II Rechtsrisiken

mit einschließen. 52% dieser Institute

beziehen allerdings auch Reputationsrisiken, die

in Basel II klar ausgeschlossen werden, in ihre

Definition mit ein. Überraschend ist allerdings,

dass einige Institute, die angeben, die

Basel-II-Definition zu verwenden, Rechtsrisiken

darin ausschließen (4 Banken) bzw. Reputationsrisiken

mit einbeziehen (6 Banken). Beim Einbezug

von Reputationsrisiken in die OR-Definition

lässt sich ein überraschender Zusammenhang

zur Bilanzsumme der Institute erkennen: So

beziehen kleinere Institute tendenziell Reputationsrisiken

in ihre Definition operationeller

Risiken mit ein 8 .

Ein weiterer Punkt, der bei der Erfassung von

operationellen Risiken von zentraler Bedeutung

ist, ist die Abgrenzung dieser Risikoart zu

Kreditrisiken. Nur rund 53% der Banken, die

eine Definition verwenden oder planen, haben

diese Abgrenzung bisher getätigt. Ein Ergebnis,

Abb. 8: Arten der OR-Kategorisierung in den Kreditinstituten

ursachenbasiert (cause)

cause, effect & event

ereignisbasiert (event)

noch offen

cause & event

cause & effect

effect & event

auswirkungsbasiert (effect)

3.2 Umsetzung aufsichtsrechtlicher Anforderungen Operationelle Risiken bei Kreditinstituten

das die Tatsache unterstreicht, dass die Studienteilnehmer

auf diesem Gebiet weiteren Handlungsbedarf

seitens der Aufsichtsbehörden sehen.

Ist in Ihrem Unternehmen eine

OR-Kategorisierung vorhanden? Verwenden

Sie dabei die Kategorisierung nach Basel II?

Neben der Definition operationeller Risiken gibt

Basel OR-Kategorien vor, auf die die etwaig

abweichenden Kategorisierungen im Unternehmen

gemappt werden müssen. Aus Abbildung 7 geht

hervor, dass lediglich 5 Studienteilnehmer (8,9%),

die eine Definition operationeller Risiken einsetzen

oder planen, noch keine OR-Kategorisierung

haben. 71,4% der befragten Banken mit bestehender

oder geplanter OR-Definition haben eine

Kategorisierung festgelegt. In dieser Gruppe

folgen 57,5% den Vorgaben aus Basel, 7,5%

planen in nächster Zeit, ihre bestehende Kategorisierung

auf die Baseler Vorgaben umzustellen.

In der Gruppe der Banken, die eine Kategorisierung

plant (17,9%), wollen 50% gemäß Basel II

vorgehen. Bei weiteren 50% steht eine Entscheidung

noch aus. Analog dem Zusammenhang

zwischen Existenz einer OR-Definition und der

10% 20% 30% 40% 50%

Größe der Bank lässt sich die Aussage treffen,

dass kleinere Banken tendenziell noch keine

OR-Kategorisierung festgelegt haben 9 . Banken,

die sich diesbezüglich nicht nach Basel richten,

müssen die von ihnen gewählte Kategorisierung

auf die von Basel mappen. Auf einer Skala von 1

(nicht problematisch) bis 4 (sehr problematisch)

stufen die Institute das Mapping im Mittel

mit teilweise problematisch (Wert 2) ein 10 .

Wie nehmen Sie Ihre OR-Kategorisierung vor?

Abbildung 8 zeigt, wie die Studienteilnehmer

ihre OR-Kategorisierung vornehmen bzw. planen.

Rund 36% gehen dabei allein ursachenbasiert

vor. 19% verwenden alle drei Arten der Risikokategorisierung.

17% hingegen verwenden eine

rein ereignisbasierte Kategorisierung.

3.2.4 OR-Rahmenwerk und Strategie

Die im Baseler Konsultationspapier verankerte

Säule II 11 fordert von den Banken unter anderem

die Einrichtung eines Systems zur Identifizierung,

Bewertung, Überwachung, Steuerung und

Minderung operationeller Risiken. Ein OR-

Rahmenwerk, mit OR-Definition und OR-

Kategorisierung, soll dabei die Etablierung einer

unternehmenseinheitlichen „OR-Sprache“

unterstützen.

Abb. 9: Tatsächlicher und geplanter

Einsatz eines OR-Rahmenwerks

6,7%

38,1%

15,0%

40,2%

= ja = geplant = Entscheidung offen = nein

8 Spearman-Rho = 0,403. Die Korrelation ist auf 99%-Niveau signifikant.

9 Spearman-Rho = 0,480. Die Korrelation ist auf 99%-Niveau signifikant.

10 Standardabweichung = 0,620.

11 Die Säule II der Baseler Konsultationspapiere beschreibt Anforderungen

im Rahmen des aufsichtsrechtlichen Überprüfungsverfahrens.

Darin werden von den Banken Maßnahmen im Umgang mit Risiken

gefordert, wie z. B. die Implementierung eines Risikomanagementsystems.

13


Operationelle Risiken bei Kreditinstituten 3.3 Organisation und Prozesse beim Management operationeller Risiken

Ist in Ihrem Unternehmen ein Rahmenwerk/

eine Richtlinie für OR vorhanden?

Abbildung 9 verdeutlicht den Verwendungsgrad

eines OR-Rahmenwerks unter den befragten

Banken. Eine deutliche Mehrheit der Institute

hat bereits ein Rahmenwerk für operationelle

Risiken im Unternehmen etabliert (40,2%) bzw.

plant, derartige Richtlinien auszuarbeiten

(38,1%). Dabei besteht in größeren Banken

tendenziell eher ein OR-Rahmenwerk als in

kleineren Instituten 12 . Dies lässt einerseits den

Schluss zu, dass größere Banken mit meist

komplexeren Organisationsformen zur unternehmenseinheitlichen

Vorgehensweise im Thema

OR klare Richtlinien benötigen. Da größere

Banken auf dem Gebiet der operationellen Risiken

tendenziell fortgeschrittener sind – was die

Ergebnisse dieser Studie bestätigen –, kann man

andererseits daraus schließen, dass einem OR-

Rahmenwerk eine wichtige Rolle im OR-

Managementprozess zukommt. Dies unterstreicht

auch das Ergebnis der Analyse des

Bedeutungsgrades, den die Studienteilnehmer

einem OR-Rahmenwerk beimessen. Auf einer

Skala von 1 (keine Priorität) bis 4 (hohe Priorität)

erhält ein OR-Rahmenwerk im Mittel den

Wert 3,47 13 . Dabei messen gut 59% der Studienteilnehmer

einem Rahmenwerk eine hohe

Bedeutung bei. Bei genauerer Untersuchung

dieses Ergebnisses lässt sich analog zum vorhergehenden

Zusammenhang beobachten, dass

größere Banken ein OR-Rahmenwerk tendenziell

für dringender erachten als kleinere Institute 14 .

Existiert in Ihrem Unternehmen eine

OR-Strategie?

Die Implementierung einer OR-Strategie ist ein

weiterer Baustein des Managements operationeller

Risiken, der gemäß der Sound Practices

vom Dezember 2001 ebenso wie das Rahmenwerk

innerhalb der Säule II von Basel gefordert

wurde. In der Veröffentlichung der Sound

Practices vom Juli 2002 wird die Bedeutung des

Aufbaus eines Rahmenwerks weiterhin hervorgehoben,

die Entwicklung einer OR-Strategie

wird jedoch nicht mehr explizit verlangt.

Abbildung 10 verschafft einen Überblick über

den Verwendungsgrad einer OR-Strategie bei

den Teilnehmern der Studie. Lediglich knapp

ein Drittel der Banken verwendet bereits eine

14

Abb. 10: Vorhandensein einer

OR-Strategie

5,0%

20,0%

43,3%

31,7%

= ja = geplant = Entscheidung offen = nein

OR-Strategie. Immerhin ist bei rund 43% der

befragten Institute selbige bereits in Planung.

Lediglich vier Studienteilnehmer haben im

Rahmen dieser OR-Strategie einen Risikotoleranzlevel

zur Eingrenzung des „Risikoappetits“ des

Unternehmens definiert. Weitere 14 Institute

planen die Implementierung eines entsprechenden

Limits.

3.3 Organisation und Prozesse beim

Management operationeller Risiken

Dass dem Thema operationelle Risiken mehr

und mehr Bedeutung zukommt und das

Management operationeller Risiken neben dem

Management von Markt- und Kreditrisiken als

eigenständige Disziplin mit eigener organisatorischer

Struktur verstanden wird, äußert sich

deutlich darin, dass bereits fast 52% der befragten

Banken eine eigenständige OR-Aufbauorganisation

mit entsprechender Festlegung von

Rollen und Verantwortlichkeiten im OR-

Managementprozess etabliert haben. Weitere

gut 26% der Studienteilnehmer beabsichtigen

derartige Strukturen in ihrem Unternehmen

einzurichten.

Besteht eine zentrale OR-Controllingeinheit?

Das Management operationeller Risiken findet

auf verschiedenen Ebenen statt. Neben dem

originären Management operationeller Risiken

auf Abteilungs- oder Bereichsebene durch das

jeweils verantwortliche Management haben die

meisten Banken, analog zu anderen Risikoarten,

eine zentrale OR-Controllingeinheit, welche die

Abteilungen in Fragen operationeller Risiken

Abb. 11: Vorhandensein einer zentralen

OR-Controllingeinheit

13,3%

8,3%

13,4%

65,0%

= ja = geplant = Entscheidung offen = nein

unterstützt. Abbildung 11 zeigt die Bedeutung

der zentralen OR-Controllingeinheit.

65% der befragten Banken haben eine zentrale

Einheit etabliert, die meist als Teileinheit des

Risikocontrollings zentrale OR-Funktionen

übernimmt und in fast 65% der Fälle von einem

verantwortlichen Leiter, dem Head of Operational

Risk (HoOR), geführt wird. 8,3% der Institute

beabsichtigen, eine zentrale OR-Controllingeinheit

einzurichten. Über die verbleibenden acht

Studienteilnehmer, die weder eine zentrale OR-

Controllingeinheit haben noch planen, lassen

sich folgende Aussagen machen:

• Bei einem Institut übernimmt das Risikocontrolling

der Konzernmutter die originären

Aufgaben einer zentralen OR-Controllingeinheit.

• Zwei Banken betrauen damit ein spezielles

OR-Komitee.

• Vier Banken machen dazu keine näheren

Angaben.

• Nur eine Bank hat bisher kein zentrales

OR-Controlling.

Aus den obigen Ergebnissen lässt sich klar

erkennen, dass die zentrale OR-Controllingeinheit

für die Mehrzahl der Banken ein wichtiger Baustein

im Management operationeller Risiken ist.

Wie viele Mitarbeiter-Kapazitäten sind in der

zentralen OR-Controllingeinheit beschäftigt?

Abbildung 12 veranschaulicht, jeweils unterteilt

in vier Peer Groups, die durchschnittliche

Anzahl, das Minimum und das Maximum an

12 Spearman-Rho = 0,407. Die Korrelation ist auf 99%-Niveau signifikant.

13 Standardabweichung = 0,728.

14 Spearman-Rho = 0,324. Die Korrelation Bilanzsumme und

Bedeutungsgrad ist auf 99%-Niveau signifikant.


Mitarbeiterkapazitäten (MAK), die in der zentralen

OR-Controllingeinheit mit operationellem

Risikomanagement beschäftigt sind. Das Minimum

von null MAK in Peer Group 3 wurde von

der betreffenden Bank damit begründet, dass ihr

OR-Controlling derzeit kaum Aufwand verursache

und daher kaum zusätzliche MAK gebunden

werden.

Wie viele Mitarbeiter-Kapazitäten sind in der

zentralen OR-Controllingeinheit für die

nächsten drei bis fünf Jahre geplant (gesamt)?

Die Ergebnisse aus Abbildung 13 bestätigen,

dass die Entwicklung des zentralen Controllings

operationeller Risiken keineswegs abgeschlossen

ist, sondern dieser Bereich in Zukunft weiter

an Bedeutung gewinnen wird. Bemerkenswert

ist, dass in allen vier Vergleichsgruppen

über 50% der befragten Banken mit zentraler

OR-Controllingeinheit beabsichtigen, in den

nächsten drei bis fünf Jahren weitere MAK für

das zentrale OR-Controlling bereitzustellen.

Welche Aufgaben werden durch das

OR-Controlling/den Head of Operational

Risk wahrgenommen?

Werden operationelle Risiken zentral gemanagt,

so hat die zentrale OR-Controllingeinheit gemäß

den Ergebnissen unserer Umfrage hauptsächlich

drei Kompetenzbereiche (vgl. Abbildung 14).

Einerseits treibt das zentrale OR-Controlling die

Entwicklung im OR-Bereich voran, das heißt, es

entwickelt OR-Managementmethoden, wie zum

Beispiel Self Assessments oder Risikoindikatoren

sowie OR-Definitionen, OR-Rahmenwerk oder

3.3 Organisation und Prozesse beim Management operationeller Risiken Operationelle Risiken bei Kreditinstituten

Abb. 12: Anzahl MAK in den zentralen OR-Controllingeinheiten nach Peer Groups

MAK

16

14

12

10

8

6

4

2

0

5,9

1,9

0,8 0,7

2,0

0,3 0,0 0,1

Mittelwert Minimum Maximum

= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4

14,0

6,0

2,0 2,0

OR-Richtlinien. Andererseits liegen die

Schwerpunkte der Tätigkeiten in der zentralen

Sammlung und Auswertung von meist aus den

dezentralen Einheiten zugelieferten Daten und

OR-relevanten Informationen. Zudem hat das

zentrale OR-Controlling die Aufgabe, für ein

unternehmenseinheitliches Vorgehen in Sachen

OR zu sorgen und die Verantwortlichen des

dezentralen OR-Managements bei wichtigen

Fragen und Problemen zu beraten und zu

unterstützen. Neben den oben genannten Aufgaben

ist der Einbezug der Unternehmensführung

in die OR-spezifischen Vorgänge im Unternehmen

ein weiterer wichtiger Baustein innerhalb

Abb.13: Geplanter Ausbau der MAK in den zentralen OR-Controllingeinheiten

100%

80%

60%

40%

20%

69,2

50,1

54,5

62,4

30,8 31,3

37,4

36,4

12,5

9,1

0,0

Ja Nein Unklar

= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4

Abb. 14: Hauptaufgaben der zentralen OR-Controllingeinheit

Entwicklung von OR-Managementmethoden

Auswertung von Daten und Informationen

Sammlung von Daten und Informationen

Erstellung von Reports

Entwicklung des OR-Rahmenwerks

Entwicklung von Definitionen

Methodenhoheit: Sicherstellung eines

unternehmenseinheitlichen Vorgehens

Beratende und unterstützende Tätigkeit

gegenüber den Abteilungen

Entwicklung von OR-Richtlinien

Entwicklung von Quantifizierungsmethoden

Entwicklung/Bereitstellung von technischen

Lösungen, z. B. Software

Verbindung zu Markt- & Kreditrisiken herstellen

Überwachung des unternehmensübergreifenden

OR-Managements

OR-Management-Training,

Schulung von Mitarbeitern im Thema OR

Roll-out von OR-Managementmethoden

Backtesting von OR-Managementmethoden

Risikokapitalbudgetierung

Bewertung von Kosten und Erträgen des

OR-Managements

Sonstige

(nächste 3-5 Jahre)

10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

6,3

(Mehrfachantworten waren möglich)

15


Operationelle Risiken bei Kreditinstituten 3.3 Organisation und Prozesse beim Management operationeller Risiken

der Arbeit der zentralen OR-Controllingeinheit.

Um diesem Erfordernis zu entsprechen, ist eine

weitere Kernaufgabe des zentralen OR-

Controllings, von ihm erarbeitete wichtige

Ergebnisse an die entsprechenden Stellen zu

berichten. Sofern das zentrale OR-Controlling

von einer separaten Einheit wahrgenommen

wird, sind die Hauptempfänger der OR-Reports

der Vorstand bzw. die Geschäftsführung der

jeweiligen Bank (78,8% der Antworten) und der

Leiter der Risikocontrollingabteilung (66,7%).

Insbesondere Reports an Vorstand und Geschäftsführung

haben die wichtige Funktion, diese

Gremien aktiv in den OR-Managementprozess

einzubeziehen. Dies ist die Voraussetzung für

eine erfolgreiche Umsetzung des Themas im

Institut.

Die vorliegende Studie zeigt, dass 80% der

befragten Banken neben einer zentralen OR-

Controllingeinheit weiteres Personal auf Bereichsbzw.

Abteilungsebene für das dezentrale Management

operationeller Risiken einsetzen. Weitere

5% planen entsprechende Projekte zur Implementierung

dezentraler OR-Managementstrukturen.

Nur 15% der befragten Institute haben kein

Personal für den OR-Managementprozess auf

Bereichs-/Abteilungsebene bereitgestellt. Das

Ergebnis zeigt, dass der OR-Managementprozess

nicht nur zentral gesteuert wird, sondern dass

entsprechendes OR-Personal dezentral in den Bereichen

bzw. Abteilungen für die unternehmenseinheitliche

Umsetzung der Aktivitäten sorgen muss.

Wie viele Mitarbeiter-Kapazitäten sind in den

Abteilungen dezentral für OR in den nächsten

drei bis fünf Jahren geplant (gesamt)?

Wie aus Abbildung 15 ersichtlich wird, zielen

50% der Banken, die operationelle Risiken

16

Abb. 16: Hauptaufgaben des dezentralen OR-Managements

Sammlung von Daten und Informationen

Anwendung von OR-Methoden in den Abteilungen

(z.B. Self / Risk Assessment)

Beratung bei der Durchführung risikomindernder

Maßnahmen in den Abteilungen

Erstellung von Abteilungs-/Bereichsreports

Schulung von Mitarbeitern im Thema OR

Bewertung von Kosten und Erträgen des

OR-Managements

Erstellung von bankweiten (Vorstands-) Reports

Sonstige

bereits dezentral steuern, auf eine Ausweitung

ihrer Mitarbeiterkapazitäten. Rund 78% dieser

Institute beabsichtigen sogar, ihre Kapazitäten

um mehr als 50% aufzustocken. In Peer Group

4 liegt der Anteil derer, die in den nächsten

drei bis fünf Jahren ihre dezentralen OR-

Managementkapazitäten ausweiten wollen,

immerhin bei 63%. Dies deutet an, dass sich

gerade bei kleineren Instituten das Management

operationeller Risiken noch im Anfangsstadium

befindet und dementsprechend weitere MAK

aufgebaut werden müssen. Insgesamt beabsichtigen,

nur 27% der Banken auf diesem Gebiet

nicht zu expandieren.

Diese Entwicklung trägt sicherlich der ab 2007

in Kraft tretenden Eigenkapitalvereinbarung des

Baseler Ausschusses und den darin geforderten

qualitativen Voraussetzungen für ein Risikomanagementsystem

Rechnung, die nur mit

entsprechendem Ausbau von OR-Ressourcen zu

erfüllen sind. Die Zusammenarbeit des OR-

Managements auf Abteilungsebene mit der

zentralen OR-Controllingeinheit bedarf eines

funktionierenden Schnittstellenmanagements.

Abb. 15: Geplanter Ausbau der MAK im dezentralen OR-Management

100%

80%

60%

40%

20%

(nächste 3-5 Jahre)

63

50

44

50

50

33

25

25 25 26 27

25 22

11

Ja Nein Unklar

= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt

23

(Mehrfachantworten waren möglich)

10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Dazu haben 64% der an der Umfrage beteiligten

Banken mit dezentralem OR-Management die

Funktion eines OR-Beauftragten geschaffen oder

geplant. Der OR-Beauftragte fungiert als zentraler

Ansprechpartner für die Abteilungs- /

Bereichsmitarbeiter und für die zentrale OR-

Controllingeinheit.

Welche Aufgaben nehmen das OR-Personal

in den Abteilungen bzw. der OR-Beauftragte

wahr?

Abbildung 16 verdeutlicht die Hauptaufgaben

eines dezentralen OR-Managements. Dabei wird

deutlich, dass das dezentrale OR-Personal vorwiegend

die Aufgabe hat, OR-relevante Daten

und Informationen zu sammeln und die in der

zentralen OR-Controllingeinheit ausgearbeiteten

OR-Methoden, wie zum Beispiel das Self

Assessment, auf Abteilungs- bzw. Bereichsebene

umzusetzen. Auch eine beratende Tätigkeit

bei der Durchführung der auf die Identifikation

von OR-sensitiven Bereichen folgenden risikomindernden

Maßnahmen sehen gut 55% der

Banken mit dezentraler OR-Managementstruktur

als eine der Kompetenzen des OR-Personals.

Im Rahmen des Reportings der Ergebnisse aus

dem dezentralen OR-Management melden 64%

aller Institute die erhobenen Daten mittels

Abteilungs-/Bereichsreports an die Abteilungs-/

Bereichsleitung. Des Weiteren melden fast 76%

der Banken, die sowohl dezentrales als auch

zentrales OR-Controlling etabliert haben, ihre

dezentral erhobenen OR-Daten an die zentrale

OR-Controllingeinheit (OR-Controlling und/oder

HoOR und/oder Leiter Risikocontrolling).

Bemerkenswert ist, dass nur gut 48% der Institute,


die oben erwähnter Gruppe angehören, sowohl

an die Abteilungs-/Bereichsleitung als auch an

die zentrale OR-Controllingeinheit melden.

Welche weiteren Einheiten des Unternehmens

werden in den OR-Managementprozess mit

einbezogen?

Neben den bereits angesprochenen OR-Einheiten

sind oftmals weitere Gremien in den OR-

Managementprozess eingebunden. 45% aller

befragten Banken haben oder planen derartige

Einheiten. Überwiegend handelt es sich dabei

entweder um allgemeine Risikokomitees, die sich

mit mehreren Risikoarten befassen, oder aber um

spezielle OR-Komitees, deren Aufgabenspektrum

von beratenden und unterstützenden Tätigkeiten

bis zur Übernahme der Aufgaben einer zentralen

OR-Controllingeinheit reicht. Meist fungiert

das OR-Komitee jedoch als Lenkungsausschuss,

der zentrale Punkte des OR-Managementprozesses

vorantreibt und ein unternehmensweit einheitliches

Vorgehen sicherstellen soll.

Überdies beziehen die Studienteilnehmer weitere

Einheiten im Unternehmen in den OR-

Managementprozess mit ein (vgl. Abb. 17). Von

allen befragten Banken involvieren nur zwei

Institute keine weiteren Unternehmenseinheiten

in diesen Prozess.

Am häufigsten werden die Kenntnisse der

Revision (90,9%), Rechtsabteilung (72,7%)

und IT-Abteilung (69,1%) in diesem Zusammenhang

genutzt. Das Ergebnis dürfte kaum überraschen,

da die Auditfunktion zentrale Bedeutung

bei der Überprüfung des Risikomanagementprozesses

hat, Definitionen und Auswirkungen

3.3 Organisation und Prozesse beim Management operationeller Risiken Operationelle Risiken bei Kreditinstituten

operationeller Risiken stark rechtlich getrieben

sind sowie Instrumente und Methoden des

operationellen Risikomanagements mit Hilfe

der entsprechenden Umsetzung in IT-Strukturen

angewandt werden. Meist haben diese Einheiten

ausschließlich beratende oder unterstützende

Funktionen.

Welche Rolle spielt die Revision im

OR-Managementprozess?

Aus Abbildung 18 ist ersichtlich, wie die Studienteilnehmer

auf einer Skala von 1 (unabhängiges

Prüfungsorgan) bis 5 (Revision übernimmt den

OR-Managementprozess) die Funktion der

Revision in ihrem Haus einordnen. In 83% aller

Abb. 17: Weitere in den OR-Managementprozess einbezogene Einheiten

Revision

Rechtsabteilung

IT-Abteilung

Organisationsabteilung

Personalabteilung

Sonstige

Betriebsrat

15 Standardabweichung = 0,88.

16 Mehrfachantworten waren möglich.

17 Mehrfachantworten waren möglich.

(Mehrfachantworten waren möglich)

20% 40% 60% 80% 100%

Fälle wird der Revision eine eher prüfende

Funktion zugebilligt, das heißt, die Rolle der

Revision wird mit 1 oder 2 bewertet. Im Mittel

liegt die Bewertung bei 1,81 15 , was die These

bestätigt, dass auch der Revision tendenziell

eher beratende oder bestenfalls unterstützende

Aufgaben im OR-Managementprozess zukommen.

Die Aufschlüsselung nach Peer Groups

zeigt, dass eine aktivere Rolle der Revision

(Bewertung 3 oder 4) nur bei Instituten aus

Peer Group 3 oder 4 anzutreffen ist.

Abb. 18: Rolle der Revision im OR-Managementprozess

100%

80%

Diese Ergebnisse sind ein weiteres Indiz dafür,

dass die organisatorische Umsetzung des OR-

Managementprozesses in größeren Instituten

tendenziell weiter entwickelt ist, so dass sich bei

diesen Instituten die Revision vollständig auf ihre

originäre Prüfungsaufgabe konzentrieren kann.

Eine große Bedeutung für die Etablierung und

das „Leben“ einer Risikokultur seitens der Mitarbeiter

hat die Informationspolitik über OR im

Unternehmen. 90% aller befragten Banken sind

sich darüber einig, dass ein aktiver Einbezug

des Personals durch entsprechende Informationspolitik

Mitarbeiter feinfühliger in Bezug auf

operationelle Risiken machen kann. Zentrale

Maßnahmen sind die Durchführung von OR-

Workshops (57,4%), die Information der Mitarbeiter

durch Vorgesetzte (53,7%) sowie regelmäßige

Informationen über das Thema OR mittels

Infobriefen oder E-Mail (48,1%) 16 . Dabei fungiert

das OR-Personal auf Abteilungs-/Bereichsebene

oftmals als Multiplikator.

Nach Identifikation OR-sensitiver Bereiche

müssen geeignete Maßnahmen zur Risikominderung

umgesetzt werden. Über 90% der befragten

Institute sehen die Entscheidungskompetenz

hierfür bei Vorstand bzw. Geschäftsführung 17 .

73% der Studienteilnehmer sehen in dieser

Hinsicht die Abteilungs- bzw. Bereichsleitung

als Entscheidungsträger. Fast 68% der Banken

legen die Entscheidungsbefugnis für risikomindernde

Maßnahmen in die Hand beider Leitungsorgane.

Sofern Studienteilnehmer ein Gremium

(zum Beispiel Risiko- oder OR-Komitee) in den

OR-Managementprozess einbeziehen, hat dieses

Gremium bei 61,1% der Institute die Kompetenz,

über risikomindernde Maßnahmen zu

entscheiden.

Eine risikomindernde Handlungsmöglichkeit,

die zudem unter bestimmten Voraussetzungen

60%

40%

20%

46

37

1 (Prüfungsorgan) 2 3 4 5 (OR-Management)

= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt

50

39 42

63

54

33 31

41

0 0 17 15

10 0 0 0

15

7 0 0 0 0 0

17


Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken

Abb. 19: Durchschnittliche Bedeutung einer integrierten Steuerung

Gesamt

Verwendung „ja” oder „geplant“

Verwendung „nein“

Peer Group 1

Peer Group 2

Peer Group 3

Peer Group 4

zu einer verminderten Eigenkapitalunterlegung

führen kann, stellt das Überwälzen von operationellen

Risiken auf Versicherungen dar.

Bereits 58% der Studienteilnehmer beziehen

Versicherungen für den Transfer operationeller

Risiken in den OR-Managementprozess ein oder

planen einen entsprechenden Einbezug. Nur

rund 16% der Institute nutzen keine Versicherungen

für den Transfer operationeller Risiken.

Verwenden Sie die Ergebnisse aus dem

OR-Managementprozess zur integrierten

risikoadjustierten Steuerung?

Ein weiterführender Schritt im Management

operationeller Risiken ist die Verwendung der

Ergebnisse aus dem OR-Controlling zur integrierten

risikoadjustierten Steuerung, das heißt

zur internen Eigenkapitalallokation u. a. in

Verbindung mit Markt- und Kreditrisiken.

Bisher verwenden nur wenige Institute (13,6%)

Ergebnisse aus ihrem OR-Managementprozess

zur internen Eigenkapitalallokation. Abbildung

19 illustriert jedoch, dass die Studienteilnehmer

trotz des niedrigen Nutzungsgrades der Verwendung

von OR-Daten zur integrierten risikoadjustierten

Steuerung durchschnittlich

diesen eine mittlere Bedeutung beimessen.

Institute, die OR-Daten zur integrierten Steuerung

verwenden, erachten diese tendenziell

für dringender. 18 Jedoch messen selbst Institute,

18 Spearman-Rho = 0,449. Die Korrelation ist auf 99%-Niveau signifikant.

19 Korrelation Verwendung von OR-Daten zur internen

Eigenkapitalallokation und Bilanzsumme: Spearman-Rho = 0,335 auf

95%-Niveau signifikant. Korrelation Bedeutungsgrad und

Bilanzsumme: Spearman-Rho = 0,300 auf 95%-Niveau signifikant.

20 Vgl. dazu das folgende Kapitel.

21 Für genauere Erläuterungen zu den einzelnen Methoden siehe Kap. 3.4.2

22 In diesem Zusammenhang werden als best practice Methoden

bezeichnet, die der Mehrheit der befragten Institute als zentrale

Verfahren zur Identifizierung und Messung operationeller Risiken

dienen.

23 Sonstige Ansätze bzw. sonstige Methoden wurden, sofern sie im

Fragebogen als verwendet oder geplant angegeben wurden, von der

Mehrheit der Banken nicht näher spezifiziert.

18

2,884

3,164

3,334

3,294

3,454

3,634

3,754

1,0 2,0 3,0 4,0

Bewertung auf einer Skala von 1 (keine Bedeutung) bis 4 (hohe Bedeutung).

die keine Verwendung planen, dem Einbezug

von OR-Daten durchschnittlich eine mittlere

Bedeutung bei.

In diesem Zusammenhang ist auch der Bedeutungsgrad

in den einzelnen Peer Groups von

Interesse. In Peer Group 1, in der 75% der

Institute OR-Daten zur risikoadjustierten Steuerung

heranziehen, liegt der durchschnittliche

Bedeutungsgrad deutlich über dem Mittel aller

Studienteilnehmer und dem Mittel der übrigen

Peer Groups.

Zusammenfassend kann festgestellt werden,

dass größere Institute OR-Daten zur internen

Eigenkapitalallokation heranziehen und dies

tendenziell für dringender erachten. Dies wird

durch die entsprechenden Korrelationen

untermauert. 19

Der Zusammenhang überrascht nicht, da diese

Institute tendenziell fortgeschrittener in der

Quantifizierung operationeller Risiken sind, 20

was eine notwendige Bedingung für den Einbezug

der OR-Ergebnisse in die interne Eigenkapitalallokation

darstellt.

= ja = geplant = nein = Entscheidung offen

3.4 Methoden zur Identifikation und

Messung operationeller Risiken

3.4.1 Überblick über verwendete Methoden

Welche OR-Managementmethoden kommen

in Ihrem Unternehmen zum Einsatz?

Zur Identifikation und Messung operationeller

Risiken wurden und werden seitens Theorie

und Praxis verschiedene qualitative und

quantitative Ansätze entwickelt. Abbildung 20

verschafft einen Überblick über den Verwendungsgrad

der in der Studie abgefragten OR-

Managementmethoden. 21 Die Darstellung

zeigt, welche Methoden sich bereits zum heutigen

Zeitpunkt als Best Practice 22 identifizieren

lassen bzw. welche Ansätze sich auf dem Weg zu

einem Standardverfahren befinden. Am häufigsten

verwenden die befragten Banken das

Self /Risk Assessment (48%) und die Schadensfalldatenbank

(43%) im Rahmen ihres OR-

Managementprozesses. Zudem gewinnen diese

Verfahren weiterhin an Bedeutung: Unter den

Studienteilnehmern planen weitere rund 33%, eine

Schadensfalldatenbank und weitere 30%, ein Self

Assessment in nächster Zeit zu implementieren.

Eine Methode, die bisher weniger verbreitet ist

und aufgrund des hohen Planungsgrades jedoch

mehr und mehr an Bedeutung gewinnen wird,

sind Risikoindikatoren. Bisher von nur 18% der

befragten Institute genutzt, planen fast 42%

dieses Instrument zur Risikoidentifikation in

ihrem OR-Managementprozess zukünftig einzusetzen.

Dagegen sind Methoden wie Risikolandkarte,

Szenarioanalysen oder sonstige Ansätze 23

Verfahren, die nur von einer Minderheit der

Banken eingesetzt oder geplant werden.

Abb. 20: Verwendungsgrad einzelner OR-Managementmethoden

Self Assessment

Schadensfalldatenbank

Risikolandkarte

Risikoindikatoren

Quantitative Methoden

Szenarioanalyse

Sonstige Methoden

48 30 14 8

43 33 17 7

20 17 56 7

18 42 17 23

17 22 41 20

10 12 51 27

5 5 63 27

20% 40% 60% 80% 100%


Auch quantitative Methoden wenden die

Studienteilnehmer seltener an: Nur wenig mehr

als ein Drittel der Institute verwendet oder plant

diesen Ansatz. Allerdings hält sich noch ein

relativ großer Teil der Banken die Entscheidung

bezüglich einer Verwendung dieser Verfahren

offen. Betrachtet man die verwendeten und geplanten

Verfahren, segmentiert nach den vier Peer

Groups, so ergibt sich ein differenzierteres Bild.

Abbildung 21 zeigt, dass der aggregierte Verwendungs-

und Planungsgrad 24 der meisten

Methoden mit der Bilanzsumme der Institute

positiv korreliert. So werden quantitative Methoden

signifikant häufiger genutzt, je größer (gemessen

an der Bilanzsumme) das Institut ist. 25 Nicht

überraschen dürfte auch die Erkenntnis, dass

einerseits ein signifikant positiver Zusammenhang

zwischen der Verwendung einer Schadensfalldatenbank

und der Verwendung quantitativer

Methoden existiert 26 und andererseits der

Einsatz einer Schadensfalldatenbank mit der

Größe einer Bank positiv korreliert. 27 So unterstreichen

die Ergebnisse die These, dass größere

Banken tendenziell fortgeschrittenere Strukturen

beim Management operationeller Risiken

nutzen und daher auch komplexere, quantitative

Methoden verwenden, die zudem die Existenz

einer Schadensfalldatenbank voraussetzen.

Auch die Verwendung von Risikoindikatoren 28

und Szenarioanalyse 29 , ebenfalls eher komplexere

Methoden, korreliert signifikant positiv mit der

Bilanzsumme. Bemerkenswert ist jedoch das

Ergebnis, dass ein signifikant positiver

Zusammenhang zwischen der Anwendung des

Self Assessments und der Bilanzsumme besteht 30 .

Da diese Methode je nach Ausgestaltung ein

relativ einfach zu handhabendes Verfahren sein

kann, würde sich eine intensivere Verwendung

gerade bei kleineren Banken anbieten.

Für fast alle Studienteilnehmer gilt die Feststellung,

dass eine Validierung (Backtesting) angewandter

Verfahren, das heißt zum Beispiel beim

Self Assessment der Vergleich der Ergebnisse mit

tatsächlich eingetretenen Schadensfällen, noch

kaum betrieben wird. Nur 5 Studienteilnehmer

führen ein Backtesting durch, weitere 21 planen

eine Anwendung. Da eine Validierung erst nach

einem gewissen Entwicklungsstand der angewandten

Methode sinnvoll ist, verwundert es

nicht, dass größere Institute auch auf diesem

Feld tendenziell weiter fortgeschritten sind. 31

3.4 Methoden zur Identifikation und Messung operationeller Risiken Operationelle Risiken bei Kreditinstituten

Abb. 21: Verwendete und geplante OR-Managementmethoden klassifiziert nach

Peer Groups

100%

80%

60%

40%

20%

Peer Group 1 Peer Group 2 Peer Group 3 Peer Group 4

= RL 37,5 35,7 25,0 42,3

= SA 100,0 100,0 75,0 61,5

= RI 100,0 71,4 41,6 50,0

= SFDB 100,0 92,8 83,3 57,7

= SzA 87,5 14,2 8,3 11,5

= QM 75,0 50,0 45,5 19,2

= SM 37,5 0,0 8,3 7,6

RL=Risikolandkarte SA=Self Assessment RI=Risikoindikatoren SFDB=Schadensfalldatenbank SzA=Szenarioanalyse

QM=Quantitative Methoden SM=Sonstige Methoden

Zusammenfassend lassen sich aus Abbildung 21

folgende Aussagen ableiten:

• Banken aus Peer Group1 greifen mehrheitlich

auf ein ausgefeilteres System von mehreren

OR-Managementmethoden zurück und

tendieren dazu, auch komplexere Methoden

einzusetzen. In dieser Gruppe kann man das

Self Assessment, die Verwendung von

Risikoindikatoren und Szenarioanalyse, die

Implementierung einer Schadensfalldatenbank

und die Nutzung quantitativer Methoden

als Best Practice bezeichnen.

• Banken aus Peer Group 2 verwenden oder

planen alle das Self Assessment und verwenden

häufig Risikoindikatoren. Auch eine

Schadensfalldatenbank wird bei fast allen

Instituten dieser Gruppe verwendet oder

geplant. Quantitative Methoden hingegen

haben nur bei der Hälfte dieser Gruppe

Bedeutung.

• Auch in Banken aus Peer Group 3 kann die

Verwendung oder Planung eines Self

Assessments und einer Schadensfalldatenbank

als Best Practice bezeichnet werden.

Risikoindikatoren und quantitative Methoden

verlieren im Vergleich zu Peer Group 1 und 2

an Bedeutung.

• In Banken aus Peer Group 4 kann nur noch

das Self Assessment und die Schadensfalldatenbank

zu den Best Practice-Methoden

gezählt werden. Alle anderen Verfahren sind

vergleichsweise unbedeutend.

• Peer Group-übergreifend zeigt sich, dass die

Risikolandkarte und sonstige Methoden

relativ wenig Bedeutung haben. Die Szenarioanalyse,

die in Peer Group 1 als Best Practice-

Methode angesehen werden kann, verliert in

den übrigen Peer Groups völlig an Bedeutung.

Obige Ausführungen bestätigen erneut die

Hypothese, dass der Entwicklungsgrad des

OR-Controllings mit der Größe der Bank steigt.

Dies dürfte nicht nur auf aufsichtsrechtliche

Vorgaben, welche die fortgeschrittenen OR-

Methoden und daher hauptsächlich größere

Banken betreffen, sondern auch der Tatsache

entsprechen, dass sich kleinere Banken bisher

tendenziell weniger mit dem Thema operationelle

Risiken beschäftigt haben.

Im folgenden Kapitel soll nun auf die konkrete

Ausgestaltung der einzelnen Instrumente eingegangen

werden. Methodenübergreifende

Ergebnisse wie Reportingstrukturen, technische

Lösungen der einzelnen Instrumente und

Zufriedenheit, Akzeptanz und Bedeutung

werden in den darauf folgenden Kapiteln erörtert.

24 Im Folgenden werden die Antworten „ja“ und „geplant“ zu einer

Gruppe aggregiert.

25 Spearman-Rho = 0,345. Die Korrelation ist auf 99%-Niveau signifikant.

26 Spearman-Rho = 0,435. Die Korrelation ist auf 99%-Niveau signifikant.

27 Spearman-Rho = 0,341. Die Korrelation ist auf 99%-Niveau signifikant.

28 Spearman-Rho = 0,326. Die Korrelation ist auf 99%-Niveau signifikant.

29 Spearman-Rho = 0,398. Die Korrelation ist auf 99%-Niveau signifikant.

30 Spearman-Rho = 0,405. Die Korrelation ist auf 99%-Niveau signifikant.

31 Spearman-Rho = 0,284. Die Korrelation ist auf 95%-Niveau signifikant.

19


Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken

3.4.2 Ausgestaltung ausgewählter

Methoden in der Praxis

3.4.2.1 Risikolandkarte

20% der Studienteilnehmer setzen zur Identifikation

operationeller Risiken eine Risikolandkarte

ein. Die Risikolandkarte ist ein relativ einfaches

Modell, das eine erste Übersicht über die im

Institut vorliegenden operationellen Risiken

bietet. Dabei werden die operationellen Risiken

des Unternehmens typischerweise in einem Top

Down-Ansatz grob identifiziert und bewertet.

Die Ergebnisse können dann in einer grafischen

Darstellung (Landkarte) für das gesamte Unternehmen

zusammengefasst werden.

Wie häufig werden Daten anhand der

Methode Risikolandkarte erhoben?

Die Datenerhebung anhand einer Risikolandkarte

kann in verschiedenen zeitlichen Abständen

erfolgen. Abbildung 22 zeigt, dass über

43% der Institute, die eine Risikolandkarte

nutzen oder planen, die Daten jährlich erheben.

Allerdings hat sich ein Großteil der Studienteilnehmer

(30,4%) noch nicht auf eine konkrete

Erhebungsfrequenz festgelegt.

Vier der befragten Banken erheben Daten

anhand der Risikolandkarte unter anderem

kontinuierlich oder aber in zweijährigem Abstand

(„sonstige Frequenz“). Eine halbjährliche

Datenerhebung wird in keinem der befragten

Institute durchgeführt.

Abb. 22: Datenerhebungsfrequenz

mit Hilfe einer Risikolandkarte

30,4%

17,4%

8,7%

= quartalsweise = jährlich

= sonstige Frequenz = Frequenz noch offen

43,5%

32 Mehrfachantworten waren möglich.

33 Bei 13% war die konkrete Datenerhebungstechnik noch offen.

34 Im Folgenden waren Mehrfachantworten möglich.

35 Ohne die Studienteilnehmer, die ein Self Assessment einsetzen oder

planen, dessen Ausgestaltung aber noch offen ist.

36 Mehrfachantworten waren möglich.

20

Abb. 23: Verwendete/geplante Arten an Self Assessments

7,2%

26,2%

7,2%

= nur fachbereichspezifisch

= fachbereich-/prozessspezifisch

= generisch/fachbereichspezifisch

= generisch/fachbereich-/prozessspezifisch

Bei Auswertung der Frage, wie die Studienteilnehmer

Informationen mit Hilfe einer Risikolandkarte

erheben, kristallisierte sich die Durchführung

von Risikoworkshops als die maßgebliche

Vorgehensweise heraus. 32 Gut 52% der

Studienteilnehmer 33 , die eine Risikolandkarte

einsetzen oder dies planen, nutzen Risikoworkshops.

Je rund 41% aus dieser Gruppe führen

Risikoworkshops allein bzw. in Kombination

mit Fragebögen und Einzelgesprächen in den

Abteilungen/Geschäftseinheiten durch. Unter

Beteiligung unterschiedlicher Hierarchiestufen

und Ausnutzung gruppendynamischer Prozesse

werden mit Hilfe derartiger Workshops im

Unternehmen bestehende operationelle Risiken

identifiziert. Die personelle Zusammensetzung

innerhalb der Workshops variiert von Bank zu

Bank. 34 83% der Banken beziehen den Head of

Operational Risk in Risikoworkshops ein, sofern

diese Position in ihrem Unternehmen auch

installiert wurde. 70% der Institute mit einer

OR-Controllingabteilung beziehen Vertreter

dieser Einheit mit ein. Ebenso nehmen mehrheitlich

Abteilungs-/Bereichsleitungen (75%) und

Zentralabteilungen wie die Personal- oder

Rechtsabteilung (67%) an Risikoworkshops teil.

Überraschend ist, dass nur die Hälfte der Studienteilnehmer,

die Risikoworkshops im Rahmen

einer Risikolandkarte durchführen, die Mitarbeiter

der Bereiche bzw. der Fachabteilungen oder die

Revision in die Workshops einbeziehen.

3.4.2.2 Self/Risk Assessment

59,4%

Das Self oder Risk Assessment ist eine Selbsteinschätzung

in Bezug auf bestehende operationelle

Risiken und dient zu deren Identifikation und

35,6%

2,4%

4,8%

7,1%

9,5%

= nur generisch (35,6%)

= nur prozessspezifisch (9,5%)

= generisch/prozessspezifisch (7,1%)

= generisch/ fachbereich-/prozessspezifisch (4,8%)

= sonstige (2,4%)

Bewertung. Self Assessments werden von den

Abteilungen bzw. Geschäftsbereichen selbst

durchgeführt. Unterstützend wird häufig auch

die zentrale OR-Controllingeinheit (z. B. OR-

Beauftragte) mit einbezogen.

Auf welche Art wird das

Self/Risk Assessment durchgeführt?

Das Self Assessment kann sehr verschiedene

Formen annehmen. Das generische Self

Assessment deckt alle Bereiche des Instituts mit

einem standardisierten übergreifenden Fragebogen

ab. Der Umfang der Checkliste ist meist geringer

als beim fachbereichs- oder prozessspezifischen

Self Assessment. Letztere gehen spezifisch auf

die operationellen Risiken der Bereiche oder

Abteilungen ein. Abbildung 23 zeigt, dass das

generische Self Assessment unter den Studienteilnehmern

dominiert.

Gut 59% der Studienteilnehmer, die ein Self

Assessment durchführen oder planen 35 , verwenden

diese Art entweder allein oder in Kombination

mit der fachbereichsspezifischen bzw.

prozessspezifischen Variante. Das fachbereichsspezifische

Self Assessment wird von der Hälfte

der Institute allein oder in Kombination angewandt.

Analog zur Risikolandkarte werden

Informationen aus dem Self Assessment auf

unterschiedliche Weise generiert. Studienteilnehmer,

die ein Self Assessment nutzen oder

dies planen und bereits konkrete Angaben

darüber machen können, erheben Daten im

Rahmen dieser Methode hauptsächlich über

Fragebögen oder in Kombination mit Einzelgesprächen

und/oder Risikoworkshops. 36


Nur 12% der Institute aus dieser Gruppe verwenden

keine Fragebögen im Rahmen des Self

Assessments.

Das Ergebnis eines Self Assessments ist eine

umfassende Analyse der operationellen Risiken.

Die Resultate werden anhand von Qualitätskennziffern

dargestellt, die eine qualitative

Einschätzung der Systeme, Abläufe etc. unter

Risikogesichtspunkten enthalten und eine Aussage

über die Qualität der untersuchten Kontrollpunkte

ermöglichen. Alternativ bzw. ergänzend

werden Verlustpotenziale abgebildet, die eine

quantitative Abschätzung der Eintrittswahrscheinlichkeit

und Schadenshöhe von operationellen

Schadensfällen gestatten. Mehr als die

Hälfte der befragten Banken (58,5%), die ein

Self Assessment durchführen oder planen und

bereits konkrete Angaben darüber machen

können, bilden die Ergebnisse durch eine Kombination

aus Qualitätskennziffern und Verlustpotenzialen

ab. Weitere 22% stellen die Resultate

allein über Verlustpotenziale dar. Nur gut

14% der Institute aus obiger Gruppe verwenden

dazu allein Qualitätskennziffern.

Wie häufig erheben Sie Daten mit Hilfe

eines Self/Risk Assessments?

Abbildung 24 veranschaulicht, dass in allen

Peer Groups der Großteil der Institute Self

Assessments jährlich durchführt. Einige Studienteilnehmer

führen diese Methode in fixen Zeitabständen

durch, planen allerdings aperiodische

Assessments ein, sofern sich bestimmte Rahmenbedingungen

in den jeweiligen Erhebungseinheiten

geändert haben.

3.4.2.3 Schadensfalldatenbank

Gemäß derzeitigem Stand der aufsichtsrechtlichen

Diskussion muss die Mehrheit der Kreditinstitute

zukünftig Daten über Verlustvorfälle

sammeln und archivieren. Die Sammlung von

Verlustdaten dient dabei nicht nur als Datenbasis

für eine spätere Berechnung der Eigenkapitalunterlegung

nach einem AMA-Ansatz, sondern

stellt auch eine der qualitativen Anforderungen

an das Management und Controlling operationeller

Risken bei der Verwendung des

37 Hier und im Folgenden sind diejenigen Institute gemeint, die eine

Schadensfalldatenbank verwenden oder planen.

3.4 Methoden zur Identifikation und Messung operationeller Risiken Operationelle Risiken bei Kreditinstituten

Abb. 24: Häufigkeit der Datenerhebung im Rahmen eines Self Assessments

100%

80%

60%

40%

20%

= monatlich 0,0 0,0 11,1 0,0 2,1

= quartalsweise 0,0 28,6 0,0 17,6 14,6

= halbjährlich 12,5 14,3 0,0 5,9 8,3

= jährlich

= sonstige

37,5 28,6 66,7 35,3 39,6

Frequenz 25,0 0,0 0,0 11,8 8,3

= noch offen 25,0 28,5 22,2 29,4 27,1

Standardansatzes dar. Folgen dieser Anforderungen

sind nicht nur der hohe Verwendungsgrad

einer Schadensfalldatenbank, sondern auch die

große Zahl an Instituten, die beabsichtigen,

diese Methode zu implementieren (siehe Abbildung

21).

Welche Komponenten sind in der

Schadenshöhe enthalten?

Bei der Sammlung der Schadensfälle fließen

unterschiedliche Komponenten in die Schadenshöhe

ein. In Abbildung 25 wird dargestellt, welche

Schadenskomponenten am häufigsten von

den Studienteilnehmern 37 in die Definition eines

Schadensfalles einbezogen werden. Es dominieren

eindeutig Auszahlungen und Sachschäden.

Nur 15% der Studienteilnehmer verwenden die

Definition eines Schadensfalles, welche Auszahlungen,

Sachschäden, Wertberichtigungen und

zahlungswirksame interne Aufwände einbezieht.

Bei der Mehrheit der Institute beinhaltet

ein Schadensfall weniger Komponenten als in

den Konsultationspapieren vorgesehen. Nicht

zahlungswirksame Schäden, wie beispielsweise

entgangene Erträge oder Reputationsverluste,

werden nur von 30% der Studienteilnehmer

erfasst. Dies lässt darauf schließen, dass ein

Großteil der befragten Institute eine monetäre

Bewertung dieser Schadenskomponenten als

schwierig ansieht, auch da dies mit einem erheblichen

Aufwand verbunden ist. Tabelle1 gibt

einen Überblick über die Mindesthöhe, ab der,

gestaffelt nach Peer Groups, Schadensfälle in die

Datenbank aufgenommen werden.

Fast ein Viertel der Studienteilnehmer erfasst

alle Schadensfälle unabhängig von deren Höhe.

Bei immerhin 75% der Institute liegt die Erfassungsgrenze

unter 5.000 Euro.

Gerade bei der Verwendung quantitativer Methoden

ist eine unzureichende Verfügbarkeit von

Schadensdaten als problematisch anzusehen.

Auch in dieser Studie stufen die betroffenen

Institute die Datenverfügbarkeit im Durchschnitt

Abb. 25: Welche Komponenten sind in der Schadenshöhe enhalten?

Auszahlungen

Sachschaden

Wertberichtigungen

zahlungswirksame interne Aufwände

entgangene Erträge

nicht zahlungswirksame interne Aufwände

Reputationsverlust

Sonstige

Peer Group 1 Peer Group 2 Peer Group 3 Peer Group 4 Gesamt

(Mehrfachantworten waren möglich)

20% 40% 60% 80% 100%

21


Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken

Tabelle 1: Mindesthöhe in Euro, ab der Schadensfälle in die Datenbank

aufgenommen werden, und Datenhistorie in Jahren

Peer Group Minimum Maximum Mittel

1 € 0,00 30.000,00 8.214,00

Jahre 0,50 5,50 2,75

2 € 0,00 20.000,00 4.777,00

Jahre 0,00 5,00 0,92

3 € 0,00 25.000,00 4.706,00

Jahre 0,00 3,50 1,68

4 € 0,00 10.000,00 1.160,00

Jahre 0,00 10,00 1,70

als mittelmäßig ein. 38 Dabei ordnen größere

Institute die Datenverfügbarkeit tendenziell

besser ein als kleinere Banken. 39 Eng verbunden

mit der Problematik nur unzureichend verfügbarer

Daten ist die Historie einer entsprechenden

Schadensfallsammlung. Die Tatsache, dass

75% der Studienteilnehmer Verlustdaten haben,

die nur maximal zweieinhalb Jahre in die Vergangenheit

zurückreichen, und gut 32% der

Institute bisher noch keine Daten gesammelt

haben, dokumentiert den meist noch frühen

Entwicklungsstand einer Schadensfallsammlung

im Bankenbereich. 40 Aus Tabelle 1 lassen sich

die jeweiligen Durchschnittswerte der einzelnen

Peer Groups entnehmen.

Bestehen geeignete Anreize für Mitarbeiter,

Verlustdaten in die Schadensfalldatenbank

aufzunehmen?

Um die Verfügbarkeit der internen Verlustdaten

zu erhöhen und damit eine solide Voraussetzung

für die Anwendung quantitativer Methoden zu

schaffen, ist es notwendig, geeignete Regelungen

oder Anreize zu implementieren, die das Personal

in den Abteilungen /Geschäftseinheiten dazu

anhalten, Schadensfalldaten in die Datenbank

aufzunehmen.

Abbildung 26 zeigt, wie die Studienteilnehmer

ihre dazu im Unternehmen vorhandenen Anreizstrukturen

einschätzen.

38 Das Mittel liegt auf einer Skala von 1 (= sehr gering) bis 5 (= sehr hoch)

bei 2,98 (3 = mittelmäßig) bei einer Standardabweichung von 0,768.

39 Spearman-Rho = 0,231. Die Korrelation ist auf 90%-Niveau signifikant.

40 Das 75%-Quantil liegt bei 2,5 Jahren.

41 Mittelwert = 2,79; Standardabweichung = 0,871.

42 Spearman-Rho = 0,454. Die Korrelation ist auf 99%-Niveau signifikant.

43 Spearman-Rho = 0,293. Die Korrelation ist auf 95%-Niveau signifikant.

44 Spearman-Rho = 0,365. Die Korrelation ist auf 99%-Niveau signifikant.

45 Spearman-Rho = 0,382. Die Korrelation ist auf 99%-Niveau signifikant.

22

Auf einer Skala von 1 („entgegengesetzte Anreize“)

bis 5 („sehr geeignete Anreize“) bewerten die

Studienteilnehmer ihre Anreizlösungen zwischen

2 („keine Anreize“) und 3 („wenig geeignete

Anreize“). 41 Die meisten Institute versuchen,

die Anreizproblematik über Arbeitsanweisungen

zu lösen. Häufig sind aber keine speziellen Regelungen

vorhanden oder man verlässt sich auf die

Wirkung einer entsprechenden „Risikokultur“.

Nur ein Studienteilnehmer hat bisher ein Incentive

Scheme implementiert, das über die Allokation

ökonomischen Kapitals die variable Vergütung

der Geschäftsbereiche beeinflusst.

Analysiert man obige Ergebnisse zur Beurteilung

bestehender Anreize genauer, ergibt sich einerseits

ein positiver Zusammenhang zwischen der Einschätzung

der Anreizsysteme und der beurteilten

Datenverfügbarkeit 42 und andererseits zwischen

der Einschätzung der Anreizsysteme und der

Datenhistorie in der Schadensfalldatenbank 43 .

So schätzen Institute, die ihre Anreizsysteme als

geeignet ansehen, nicht nur die Verfügbarkeit

dieser Daten tendenziell höher ein, sondern sie

können auch meist auf eine längere Datenhistorie

zurückgreifen.

Nimmt Ihr Unternehmen an externen

Konsortien teil?

Zur Verbesserung der Datenlage, gerade was

seltenere, aber dafür hohe Verlustfälle betrifft,

bietet sich den Instituten die Möglichkeit, an

externen Konsortien teilzunehmen. Dazu

müssen sich die Daten der eigenen Datenbank

in die des externen Konsortiums überführen

lassen. Bei nur 6,5% der Studienteilnehmer

besteht diese Möglichkeit. Weitere 17,4% planen,

ihre Schadensfalldatenbank zu externen

Konsortien kompatibel zu gestalten. Auch auf

Abb. 26: Vorhandensein von geeigneten Anreizen für Mitarbeiter,

Verlustdaten in die Schadensfalldatenbank aufzunehmen

100%

80%

60%

40%

20%

0 0 0

14

5

13 20

50

36

31

1 2 3 4 5

= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt

63

80

50

40

29

diesem Gebiet sind größere Banken tendenziell

fortgeschrittener als kleinere, die meist noch

keine Überführbarkeit der Daten sichergestellt

haben. 44 Aus Abbildung 27 geht hervor, dass

Studienteilnehmer, die an externen Konsortien

teilnehmen oder dies planen, in der Minderheit

sind. Zugleich lässt sich auch hier wieder ein

signifikant positiver Zusammenhang zwischen

der Bilanzsumme des Instituts und der Teilnahme

an externen Konsortien feststellen. 45 Die Zahlen

Abb.27: Teilnahme der Kreditinstitute

an externen Konsortien

32,6%

13

17,4%

0

10 14 10

6,5%

43,5%

= ja = nein = geplant = Entscheidung offen

12

0 0

7

4


elegen, dass auf diesem Gebiet vor allem für

die Institute Nachholbedarf besteht, die beabsichtigen,

quantitative Methoden anzuwenden

und dazu eine ausreichende interne und externe

Datenbasis benötigen.

Ein Mittel, um eingesetzte OR-Methoden auf

Basis tatsächlich eingetretener Schadensfälle im

Zeitablauf auf Validität zu überprüfen, ist der

Einsatz von Korrelationsanalysen. Nur zwei

Studienteilnehmer setzen dieses Instrument

bereits ein, weitere 16 planen eine Verwendung.

Dabei wird dieses Instrument vorwiegend von

größeren Banken angewandt oder geplant, die

ihre Verfügbarkeit von Schadensfalldaten tendenziell

höher einschätzen. 46 Der niedrige Verwendungsgrad

dürfte darauf zurückzuführen

sein, dass sich diese Methode aufgrund der

oben angesprochenen mittelmäßig eingeschätzten

Datenverfügbarkeit noch in einem frühen

Entwicklungsstadium befindet.

3.4.2.4 Risikoindikatoren

Risikoindikatoren für operationelle Risiken sind

Kennziffern, die Aufschluss über die gegenwärtige

und zukünftige Risikosituation der Bank geben

sollen. Diese quantitativen Größen, wie zum Beispiel

Häufigkeit von Systemausfällen oder Anzahl

von Fehlbuchungen, werden jeweils für die einzelnen

Risikokategorien erhoben. Fast die Hälfte der

Banken (47,2%), die Risikoindikatoren verwenden

oder planen, befinden sich auf diesem Gebiet noch

in einem sehr frühen Stadium und können daher

noch keine genauen Angaben über die Zahl ihrer

verwendeten Risikoindikatoren machen.

Tabelle 2 stellt, jeweils aufgeschlüsselt nach Peer

Groups, die Anzahl der Indikatoren dar, die von

den übrigen 16 Banken verwendet werden.

Betrachtet man die Anzahl der Indikatoren in den

Risikokategorien Technologie, Personal, interne

Verfahren und externe Einflüsse, so zeigt sich, dass

die Studienteilnehmer im Mittel die meisten Indikatoren

in den Kategorien interne Verfahren und

Technologie nutzen. 47 Nur eine Bank wendet keine

Risikoindikatoren in der Kategorie Technologie an,

wohingegen sechs von 15 Instituten keine Indikatoren

in der Kategorie externe Einflüsse erheben.

46 Spearman-Rho = 0,462. Die Korrelation ist auf 99%-Niveau signifikant.

47 Einbezogen sind nur die Banken, die Risikoindikatoren verwenden oder

planen und bereits konkrete Angaben darüber machen können.

48 Mehrfachantworten waren möglich.

49 Mehrfachantworten waren möglich.

50 Auf einer Skala von 1 (= gering) bis 4 (= sehr hoch) liegt der

Mittelwert bei 2,22, (2 = mittelmäßig; 3 = hoch).

Standardabweichung = 0,647.

3.4 Methoden zur Identifikation und Messung operationeller Risiken Operationelle Risiken bei Kreditinstituten

Tabelle 2: Anzahl Risikoindikatoren (gesamt)

Minimum Maximum Mittel

Peer Group 1 50 80 65,0

Peer Group 2 6 20 11,8

Peer Group 3 10 50 30,0

Peer Group 4 5 100 38,4

3.4.2.5 Szenarioanalyse

Die Szenarioanalyse ist ein Instrument zur

Abschätzung operationeller Risiken mit Hilfe

von Szenarien, die stark auf subjektiven Einschätzungen

beruhen. Besonders geeignet sind

Szenarioanalysen, um das Risiko für extreme

Schäden abzuschätzen, die entweder nicht im

eigenen Haus oder noch überhaupt nicht schlagend

geworden sind. Bei den meisten Studienteilnehmern

ist diese Methode noch in der Entwicklungsphase.

Sechs der 13 Institute, die eine

Szenarioanalyse planen, können noch keine

genaueren Angaben zu deren Ausgestaltung

machen. Diejenigen Banken, die bereits Details

angeben können, führen Szenarioanalysen meist

jährlich durch.

Um operationelle Risiken mit Hilfe von Szenarioanalysen

abzuschätzen, setzen die befragten

Institute verschiedene Methoden zur Ermittlung

von Szenarien ein. Studienteilnehmer, die bereits

konkretere Angaben zu ihrer Szenarioanalyse

machen können, verwenden dazu hauptsächlich

Interviews mit Mitarbeitern in den

einzelnen Abteilungen/Geschäftsbereichen. 48

Zudem setzen die Institute Risikoworkshops

ein, in die vor allem Mitarbeiter der OR-

Controllingeinheit, OR-Beauftragte und Mitarbeiter

der Abteilungen/Geschäftsbereiche sowie

teilweise die Abteilungs- und Geschäftsbereichsleitungen

einbezogen werden. 49 Szenarien

werden in diesen Workshops meist unter Anwendung

eines gemeinsamen „Brainstormings“

entwickelt.

3.4.2.6 Quantitative Methoden

Abb. 28: Verwendung und Planung quantitativer Methoden

Anzahl der Nennungen

10

8

6

4

2

0

5 4

2

IMA versicherungsmathematische

Modellierung

= geplant = verwendet

3

3

2

Scorecard kausale

Modellierung

Wie bereits in Kapitel 3.4.1 festgestellt, wenden

tendenziell größere Banken quantitative Methoden

an. Nur 23 Studienteilnehmer verwenden oder

planen diese Instrumente. Abbildung 28 verschafft

einen Überblick über die am häufigsten verwendeten

und geplanten quantitativen Methoden.

Welche quantitative Methode wird

verwendet/ist geplant?

Unter denjenigen Studienteilnehmern, die sich

für die Verwendung quantitativer Methoden

entschieden haben, planen gut 65% die Berechnung

eines Operational Value at Risk (OpVaR)

oder führen diese bereits durch. Dabei beurteilen

die Institute die Qualität der Ergebnisse des

OpVaR im Durchschnitt mit mittelmäßig. 50

Im Rahmen quantitativer Methoden werden zur

Messung operationeller Risiken Verlustfälle aus

der Schadensfalldatenbank herangezogen.

2

1

1 1 0

Extremwerttheorie

neuronale

Netze

0

4

Sonstige

23


Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken

Neben internen Daten, die vor allem Schäden

aus dem High Frequency-/Low Severity-Bereich

abdecken, werden dafür auch externe Daten

eingesetzt. Diese ermöglichen es, potenzielle

Risiken einzubeziehen, die selten schlagend

werden, aber durch ein hohes Schadensausmaß

gekennzeichnet sind (sogenannte Low

Frequency-/High Severity-Verluste). Die Studie

zeigt auf, dass über die Hälfte der Institute, die

quantitative Methoden verwenden oder planen,

sowohl interne als auch externe Daten zur

Berechnung heranziehen.

Wie bereits in Kapitel 3.4.2.3 erwähnt, ist die

oftmals unzureichende Datenbasis eines der

größten Probleme bei der Quantifizierung operationeller

Risiken. Auf einer Skala von 1 (sehr

schlecht) bis 5 (sehr gut) beurteilen die Studienteilnehmer

die Datenlage im Mittel mit schlecht

bis mittelmäßig. 51

3.4.2.7 Technische Lösungen und Reporting

ausgewählter Methoden

Dieses Kapitel gibt einen Überblick über technische

Lösungen und Strukturen im Reporting

von nur einigen der im vorhergehenden Kapitel

dargestellten Methoden.

Die Art der technischen Umsetzung der OR-

Methoden beeinflusst maßgeblich die Erfassung

und das Reporting operationeller Risiken.

Unterschiedliche Softwarelösungen stehen zur

Implementierung zur Verfügung. So kann zum

Beispiel zur Erfassung von operationellen

Schadensfällen eine bloße Excel-Lösung herangezogen

werden, was relativ wenig Aufwand

verursacht, aber eine effektive und effiziente

Erfassung von Schäden tendenziell erschwert.

Dagegen hilft zum Beispiel eine integrierte

technische Lösung, die sämtliche im Unternehmen

angewandten OR-Methoden beinhaltet

und auf Client-Server-Basis aufgebaut ist,

Doppelerfassungen operationeller Risiken zu

vermeiden. Diese Lösung verursacht jedoch

einen ungleich höheren Aufwand bei der

Umsetzung. Der Markt für Standardsoftware

hält auf diesem Gebiet bisher noch keine

Lösung bereit, die eine integrierte technische

51 Mittelwert = 2,75 (2 = schlecht; 3 = mittelmäßig).

Standardabweichung = 0,851.

52 Einbezogen in die Auswertung sind nur diejenigen Studienteilnehmer,

die die jeweilige Methode verwenden oder planen. Bei den

Ergebnissen zu OR-Beauftragter, Head of OR und OR-Komitee wurde

die Auswertung zusätzlich auf diejenigen Institute beschränkt, die die

jeweilige Funktion implementiert haben.

24

Umsetzung aller gewünschten bzw. angewandten

Methoden beinhaltet. Der Kauf von relativ

teuren, individuell zugeschnittenen Softwaremodulen

lässt sich daher oft nicht vermeiden.

Welche technischen Lösungen von

OR-Methoden kommen zum Einsatz?

Abbildung 29 verschafft einen Überblick über

die von den Studienteilnehmern verwendeten

technischen Lösungen der einzelnen OR-

Methoden.

Bei allen drei abgefragten Methoden dominiert

die Standalone-Lösung aus zum Beispiel Microsoft

Excel oder Access. Client-Server-Lösungen,

die es beispielsweise ermöglichen, auf zentral

auf dem Server hinterlegte Anwendungen

zuzugreifen, werden vorwiegend intranetbasiert

umgesetzt. Die Studienteilnehmer verwenden

diese Art der technischen Umsetzung

zumindest bei der Schadensfalldatenbank

häufiger, da dadurch z. B. eine mehrfache

Erfassung desselben Schadensfalls vermieden

werden kann. Dennoch dominiert selbst hier

die Standalone-Lösung meist auf Basis von

Microsoft Excel. Lediglich zwei Studienteilnehmer

verwenden komplett intranetbasierte

Systeme zum Management operationeller

Risiken, die die technische Umsetzung aller

im Unternehmen angewandten OR-Methoden

beinhalten.

Nach Identifikation und Quantifizierung

operationeller Risiken mit Hilfe der im vorhergehenden

Kapitel dargestellten Methoden

werden Ergebnisse und Befunde in Form von

Reports, die automatisch oder manuell erstellt

werden, an verschiedene Aufgabenträger und

Verantwortliche im Unternehmen gemeldet.

Abb. 29: Technische Lösungen von OR-Methoden

100,0%

80,0%

60,0%

40,0%

20,0%

0,0%

Wer sind die Reportempfänger

der Ergebnisse aus den OR-Methoden?

In Abbildung 30 wird dargestellt, welche Empfänger

am häufigsten Reports über Resultate

aus den bereits aufgeführten Methoden

erhalten. 52

Methodenübergreifend lässt sich feststellen,

dass der Hauptempfängerkreis der einzelnen

Reports nicht sehr stark variiert. Im Mittel

über alle Methoden sind die Hauptadressaten

eines OR-Reportings die dezentrale und zentrale

OR-Managementfunktion, der Vorstand/die

Geschäftsführung, das Senior Management auf

Abteilungs-/Geschäftsbereichsebene und die

Revision. Dabei haben die erstellten Reports

unterschiedliche Funktionen. Das zentrale OR-

Controlling nutzt die Reports, um die Ergebnisse

von ihm entwickelter und im Unternehmen

angewandter Methoden zu verifizieren und

daraus methodenübergreifende, bankweite

Vorstandsreports zu erstellen. Die Abteilungs-/

Geschäftsbereichsleitung erhält einen Überblick

über inhärente operationelle Risiken und

kann auf Grundlage der ihr zur Verfügung

gestellten Reports Steuerungsmaßnahmen

einleiten. Die Unternehmensführung bekommt

durch die ihr gelieferten Berichte einen Überblick

über die OR-Gesamtsituation, wohingegen

die Revision Anhaltspunkte für die Planung

von Audits in den Bereichen erhält, die einer

intensiveren Überprüfung bedürfen.

Ein weiterführender Schritt ist die Integration

des OR-Reportings in entsprechende Reportingstrukturen

von Markt- und Kreditrisiken. Fast

27% der Studienteilnehmer verwenden bereits

ein integriertes Reporting aller drei Risikoarten.

Weitere 30% beabsichtigen, derartige

61,0

52,7

54,1

45,9

36,8

29,2

9,8

10,5

SA RI SFDB

= Standalone-Lösung = Client-Server-Lösung = keine technische Lösung

0,0


Reportingstrukturen zu implementieren. Auch

hier bestätigt sich die Vermutung, dass größere

Banken tendenziell fortgeschrittener sind, das

heißt, es lässt sich ein leicht positiver Zusammenhang

zwischen der Anwendung eines

integrierten Reportings und der Größe der

Bank feststellen. 53

3.4.2.8 Zufriedenheit, Akzeptanz und

Bedeutung ausgewählter OR-Methoden

Ein weiterer interessanter Aspekt ist sowohl

die Frage nach der Zufriedenheit der Studienteilnehmer

mit den in den vorhergehenden

Kapiteln dargestellten Methoden als auch die

Frage nach der Akzeptanz der Methoden im

Unternehmen und nach der Bedeutung, die

die Institute den einzelnen Methoden

beimessen.

3.4 Methoden zur Identifikation und Messung operationeller Risiken Operationelle Risiken bei Kreditinstituten

Abb. 30: Reportempfänger der Ergebnisse aus den OR-Methoden

100

80

60

40

20

OR-Beauftragter

Head of OR Vorstand/

Geschäftsführung

Abt.- /

Bereichsleiter

= Mittel = RL = SA = RI = SFDB = SzA

Leiter

Revision

Risikocontrolling

OR-Komitee Querschnittsverantw.

Wie zufrieden sind Sie mit den einzelnen

OR-Methoden, wie akzeptiert sind die

Methoden in Ihrem Unternehmen, welche

Priorität bzw. Bedeutung geben Sie den

Methoden?

Studienteilnehmer mit Erfahrungswerten in

den in Abbildung 31 aufgeführten OR-

Managementmethoden wurden aufgefordert,

ihre Zufriedenheit und die Akzeptanz der

jeweiligen Methode im Unternehmen auf einer

Skala von 1 bis 4 einzuordnen. 54 Außerdem

sollten alle an der Studie teilnehmenden Institute

den jeweiligen Methoden auf einer Skala

von 1 bis 4 einen Bedeutungsgrad beimessen. 55

Der in Abbildung 31 aufgezeigte durchschnittliche

Bedeutungsgrad bestätigt die Ergebnisse

aus Kapitel 3.4.1. Vor allem dem Self

Abb. 31: Zufriedenheit, Akzeptanz und Bedeutung einzelner OR-Methoden

(Durchschnittswerte)

4,0

3,0

2,0

1,0

3,1

2,7 2,9

3,1 2,8

3,8

2,8

2,6

Risikolandkarte Self Assessment Risikoindikatoren Schadensfalldatenbank

= Zufriedenheit = Akzeptanz = Bedeutung

3,3

3,0 3,0

3,7

3,1

2,4 2,6

2,8 2,8 2,8

Szenarioanalyse Quantitative

Methoden

Wirtschaftsprüfer

Leiter

Controlling

(Mehrfachantworten waren möglich)

Leiter

Finanzen

Leiter Rechnungswesen

Sonstige

Assessment und der Schadensfalldatenbank –

Methoden, die auch am häufigsten verwendet

und geplant werden – messen die Studienteilnehmer

im Mittel eine hohe Bedeutung bei. In

Bezug auf die Schadensfalldatenbank ist dies

sicher auch auf die aufsichtsrechtlichen Anforderungen

zurückzuführen. Bemerkenswert

ist der Bedeutungsgrad des Self Assessments. Im

Mittel liegt dieser bei 3,8, was zum einen auf

die je nach Ausgestaltung relativ einfache

Handhabung und zum anderen auf die aus

dieser Methode resultierenden meist guten

Ergebnisse zurückzuführen sein dürfte.

Im Durchschnitt sind die Studienteilnehmer

mit allen Methoden zufrieden und sehen diese

als im Unternehmen akzeptiert an. Einzige

Ausnahmen bilden die Szenarioanalyse und

die Risikoindikatoren, deren Akzeptanz bzw.

Zufriedenheitsgrad etwas niedriger eingeschätzt

wird. Bei den Risikoindikatoren könnte dies

auf den niedrigen Umsetzungsstand zurückzuführen

sein, wobei hier weiteres Entwicklungspotenzial

vermutet werden kann. Der niedrige

Akzeptanzgrad der Szenarioanalyse könnte

darin begründet sein, dass sie zu den abstrakteren

Methoden zählt und daher im Unternehmen

schwerer zu vermitteln ist. Zumindest aber

sollte dies nicht an einer mangelnden Zufriedenheit

liegen, deren Wert im Mittel zu den

höchsten zählt.

53 Spearman-Rho = 0,19. Die Korrelation ist auf 90%-Niveau signifikant.

54 1= unzufrieden bzw. nicht akzeptiert, 4 = sehr zufrieden bzw. sehr

akzeptiert.

55 1= keine Priorität, 4 = hohe Priorität.

25


Operationelle Risiken bei Kreditinstituten 3.4 Methoden zur Identifikation und Messung operationeller Risiken

Analysiert man obige Ergebnisse genauer, lassen

sich abschließend folgende Feststellungen treffen:

• Mit Ausnahme der OR-Managementmethoden

Risikolandkarte und Szenarioanalyse besteht

bei allen Methoden ein signifikant positiver

Zusammenhang zwischen der Zufriedenheit

mit der jeweiligen Methode und deren

Akzeptanz im Unternehmen. Methoden,

deren Ergebnisse den Studienteilnehmern

zufriedenstellender erscheinen, werden auch

als akzeptierter erachtet.

• Bei der Schadensfalldatenbank und den

quantitativen Methoden besteht ein

signifikant positiver Zusammenhang

zwischen der Bedeutung, die der Methode

beigemessen wird, und der Größe des

Instituts. Wie in Kapitel 3.4.1 bereits

festgestellt, überrascht dies nicht, da

aufgrund der Anforderungen aus den Baseler

Konsultationspapieren tendenziell größere

Banken diese Methoden anwenden. Bei der

Risikolandkarte lässt sich ein signifikant

negativer Zusammenhang zwischen

beigemessener Bedeutung und Bilanzsumme

feststellen. Aufgrund der relativ einfachen

Handhabung und des schnellen Überblicks,

den dieses Instrument erlaubt, bietet es sich

besonders für kleinere Institute an, die sich

tendenziell erst im Aufbau von OR-

Managementstrukturen befinden.

• Signifikant positive Zusammenhänge

bestehen sowohl zwischen der Zufriedenheit

mit dem Self Assessment und der Bilanzsumme

als auch zwischen der Akzeptanz dieser

Methode und der Bilanzsumme. Größere

Banken haben meist schon früher mit der

Entwicklung von OR-Managementmethoden

begonnen, das heißt also auch mit der

Entwicklung des Self Assessments. Diese

Institute sind daher tendenziell weiter

vorangeschritten, was zu einer erhöhten

Zufriedenheit und Akzeptanz führen dürfte.

26


4.

Kernaussagen

und Schlussfolgerungen


Operationelle Risiken bei Kreditinstituten Kernaussagen und Schlussfolgerungen

Das Untersuchungsziel und die entsprechenden

Ergebnisse der vorliegenden Studie, die Identifizierung

und das Aufzeigen der Trends und Best

Practices im Thema Operationelle Risiken im

deutschsprachigen Bankenmarkt, wurden für

die einzelnen Themengebiete und Aufgaben in

Kapitel 3 detailliert vorgestellt. Jedes Themengebiet

für sich bietet interessante Analysen und

Auswertungen. Darüber hinaus lassen sich aus

den Studienergebnissen einige themenübergreifende

Kernaussagen und Schlussfolgerungen

ableiten. Diese sind im Folgenden aufgeführt:

1. „Weiche Faktoren“ wie Risikokultur und

Support bzw. Commitment der

Führungsebene sind die wichtigsten

Erfolgsfaktoren bei der Umsetzung des

Themas.

Die Etablierung einer offenen Risikokultur im

Institut und die Unterstützung und Akzeptanz

des Themas durch den Vorstand bzw. die Geschäftsführung

werden von einer überwiegenden

Mehrheit der teilnehmenden Institute als

die kritischen Erfolgsfaktoren bei der Implementierung

eines OR-Managementprozesses

gesehen. Andere Faktoren wie Qualität und

Quantität des mit dem OR-Controllings betrauten

Personals haben eine weit geringere Bedeutung.

Nach Einschätzung der Teilnehmer sind es

jedoch auch die „weichen Faktoren“, deren

Umsetzung in der Praxis mit den größten

Schwierigkeiten verbunden ist und für das

zentrale OR-Controlling die größte Herausforderung

darstellt. Auf Ebene der eingesetzten

Methoden ist die offene Kultur insbesondere für

die Schadensfalldatenbank und das Self Assessment

von besonderer Bedeutung. Aufgrund der

noch verbessungswürdigen Anreizsysteme bei

der dezentralen Erfassung eingetretener Schadensfälle

und eingeschränkt auch bei der Selbsteinschätzung

im Rahmen des Self Assessments gilt

es hier, den offenen Umgang über eine entsprechende

Risikokultur zu erreichen. Die Unterstützung

durch die Führungsebene und

z. B. die Aufforderung an die Mitarbeiter, eingetretene

und latente Risiken offen zu benennen,

sind für den erfolgreichen Einsatz dieser Methoden

derzeit unumgänglich.

28

Fazit:

Das Vorleben einer offenen Risikokultur

seitens Vorstand und Geschäftsführung und

der Aufbau einer solchen Kultur im gesamten

Unternehmen muss bei der Implementierung

eines OR-Managementprozesses im Mittelpunkt

stehen.

2. Hinsichtlich der Wahl des

Eigenkapitalansatzes herrscht in vielen

Instituten noch Unsicherheit.

Die aufsichtsrechtlichen Vorgaben für das Thema

Operationelle Risiken sind der zentrale Beweggrund

für die Institute, sich mit dieser Risikoart

zu beschäftigen. Neben den qualitativen Anforderungen

ist die ab 2007 geplante Unterlegung

dieser Risiken mit Eigenkapital die wesentliche

Vorgabe für die Institute. Die drei den Instituten

zur Verfügung stehenden Ansätze zur Berechnung

der Eigenkapitalbelastung haben im

Rahmen der Konsultationsphasen wesentliche

Änderungen erfahren. Der einfachste Ansatz,

der Basisindikatoransatz, wird für viele Institute

nicht anzuwenden sein, wobei auch hier bisher

eine klare Regelung vermisst wird. Sobald nach

derzeitiger Vorgabe ein Institut „international

aktiv“ ist, stehen noch der Standardansatz und

die sogenannten AMA-Ansätze zur Verfügung.

Nach der ursprünglichen Aussage der RMG

sollte der Weg von einem rein durch die Entwicklung

des Bruttoertrags bestimmten Standardansatzes

hin zu einem die tatsächlichen Risiken

des Institutes abbildenden AMA-Ansatzes durch

eine Eigenkapitalersparnis „belohnt“ werden.

Proberechnungen haben diesen Effekt in der

Praxis jedoch bisher selten beobachten können.

Dies führt insbesondere in der Gruppe der

Institute, denen grundsätzlich alle Ansätze offen

stehen, zu Unsicherheiten. Viele dieser Institute

haben sich derzeit noch nicht auf einen Ansatz

zur Berechnung des Eigenkapitals festgelegt.

Auch die größeren Institute der Peer Groups 1

und 2 zögern bisher noch bei der Entscheidung

über den Einsatz quantitativer Methoden (derzeit

haben 17% aller teilnehmenden Institute

quantitative Methoden entwickelt, rund 20%

der Institute planen den Einsatz). Die mit den

quantitativen Methoden verbundenen

Initialisierungs- und Folgekosten lassen sich

heute auf Grundlage der zur Verfügung stehenden

Daten und Informationen kaum gegen die

Eigenkapitalersparnis gegenrechnen.

Diese Unsicherheit mündet auch in der breiten

Forderung der Studienteilnehmer an die RMG,

die Ausgestaltung der Eigenkapitalunterlegungsansätze

weiter zu konkretisieren.

Fazit:

In vielen Instituten herrscht noch Unklarheit,

welcher Ansatz zur Berechnung des

Eigenkapitalbedarfs ab 2007 gewählt wird.

Dies gilt auch für größere Institute, für die

der Basisindikatoransatz nicht zur Verfügung

steht. Die Erhöhung der Datenverfügbarkeit

ist eine zentrale Voraussetzung für valide

Proberechnungen zur zukünftigen Eigenkapitalunterlegung

für operationelle Risiken. Viele

Institute werden die Entscheidung hinsichtlich

des Ansatzes u. a. mit der wachsenden

Datenbasis erst mittelfristig treffen. Die

Bankenpraxis sieht seitens der RMG weiteren

Handlungsbedarf hinsichtlich der Konkretisierung

der Eigenkapitalunterlegungsansätze.

3. In vielen Instituten wird die Entwicklung

und Begleitung des Themas

Operationelle Risiken durch eine zentrale

Organisationseinheit verantwortet.

Entsprechend den anderen Risikoarten, insbesondere

Kredit- und Marktpreisrisiken, ist

mittlerweile eine zentrale Organisationseinheit

für operationelle Risiken in der Bankenpraxis

weit verbreitet. Diese Einheit wiederum ist in

den meisten Unternehmen im Bereich Risikocontrolling

angesiedelt. Die vor einigen Jahren,

insbesondere in kleineren Instituten, noch

übliche Praxis, die Verantwortung der operationellen

Risiken im Bereich der internen Revision

anzusiedeln, ist heute kaum noch zu beobachten.

Dies entspricht auch den mittlerweile klaren

Vorgaben der RMG (Sound Practices Juli 2002),

die eine unabhängige, den OR-Prozess prüfende

Revision fordern. Darüber hinaus wird auch

seitens der Aufsicht eine zentrale Verantwortlichkeit

für das Management und Controlling der

operationellen Risiken empfohlen.


Die zentrale Einheit für die Durchführung eines

OR-Controllings arbeitet derzeit in den teilnehmenden

Instituten, entsprechend der Peer

Group, mit durchschnittlich zwischen 0,7 und

5,9 Mitarbeiterkapazitäten. Als klarer Trend

zeichnet sich unabhängig von der Peer Group

ab, dass 50% der Institute kurz- bis mittelfristig

einen weiteren Ausbau dieser Kapazitäten planen.

Fazit:

Die zentrale Verantwortlichkeit für das OR-

Controlling ist in den teilnehmenden Instituten

heute Best Practice. Der weitere Ausbau

der Mitarbeiterkapazitäten, unabhängig von

der Größe des Instituts, ist ein klar zu beobachtender

Trend.

4. Self Assessment und Schadensfalldatenbank

haben sich als zentrale

Methoden für das Management und

Controlling operationeller Risiken etabliert

und werden auf breiter Ebene in den

Instituten eingesetzt. Risikoindikatoren

werden zukünftig verstärkt zum Einsatz

kommen.

Fast 80% der teilnehmenden Institute setzen

schon die Methode Schadensfalldatenbank ein

bzw. planen dies. Vor dem Hintergrund der

aufsichtsrechtlichen Anforderungen, die eine

strukturierte Erfassung der eingetretenen

Schadensfälle als Voraussetzung bereits für den

Einsatz des Standardansatzes fordern, ist die

weite Verbreitung der Methode Schadensfalldatenbank

nicht überraschend. Für solche

Institute, die einen fortgeschrittenen Ansatz

anstreben, ist die Schadensfalldatenbank - mit

einer entsprechenden Historie - ebenfalls eine

notwendige Voraussetzung. Bei der Implementierung

und dem Betreiben der Schadensfalldatenbank

stellt sich in der Praxis insbesondere

die Frage der Anreizsystematik. Dahinter verbirgt

sich die Problematik, sicherzustellen, dass

alle eingetretenen Schadensfälle strukturiert

und vollständig von den Mitarbeitern bzw.

Organisationseinheiten gemeldet und erfasst

werden. Die Entwicklung praktikabler Lösungen

hierfür ist kurz- bis mittelfristig eine wichtige

Aufgabe für die Institute.

Kernaussagen und Schlussfolgerungen Operationelle Risiken bei Kreditinstituten

Bei der Sammlung der Schadensfalldaten beziehen

die teilnehmenden Banken derzeit in erster

Linie pagatorische, d. h. auszahlungswirksame,

Komponenten der Schadenshöhe mit ein. Schwer

quantifizierbare Komponenten, wie z. B. Kosten

durch Reputationsrisiken, werden in nur wenigen

Instituten berücksichtigt.

In fast der Hälfte aller teilnehmenden Institute

wird bereits die Methode Self Assessment, d. h.

die Selbsteinschätzung der Organisationseinheiten

in Bezug auf bestehende operationelle

Risiken, eingesetzt; weitere 30% planen den

Einsatz dieser Methode. Damit ist das Self

Assessment neben der Schadensfalldatenbank

die am weitesten verbreitete Methode im OR-

Controlling. Die Ausgestaltung des Self

Assessments in den Instituten kann dabei stark

variieren. Sehr verbreitet ist das sogenannte

generische Self Assessment, das mittels einheitlicher

Erhebungen in den verschiedenen Organisationseinheiten

der Bank durchgeführt wird.

Dies zeigt, dass in den Instituten an dieser Stelle

„Pragmatismus vor Komplexität“ gesetzt wird.

Der damit teilweise verbundene Verlust an Aussagefähigkeit

und Analysemöglichkeiten wird

dabei oftmals in Kauf genommen.

Die Methode Risikoindikatoren, also der Einsatz

von Kennzahlen, die Aufschluss über die gegenwärtige

und zukünftige Risikosituation des

Instituts geben können, zeichnet sich als dritte

zentrale Methode zum OR-Controlling ab. Die

RMG empfiehlt in den Sound Practices vom Juli

2002 ausdrücklich den Einsatz von Risikoindikatoren

als Management-Frühwarnsystem. Von

den teilnehmenden Instituten planen über 40%

die Implementierung von Risikoindikatoren, bei

fast 20% werden diese bereits verwendet. Diese

Institute zeigen sich jedoch noch weitgehend

unzufrieden mit der Umsetzung der Methode.

Die in der Theorie plausible und naheliegende

Methode Risikoindikatoren scheint somit in der

praktischen Umsetzung größere Probleme für

die Banken aufzuwerfen.

Fazit:

Schadensfalldatenbank und Self

Assessment haben sich als Methoden zum

Management und Controlling operationeller

Risiken etabliert. Für beide Methoden gilt,

dass die Praktikabilität bei der Umsetzung in

der Praxis eine wesentliche Rolle spielt.

Nach Ansicht vieler Institute sollten

80/20-Lösungen bei der Implementierung

dieser Methoden im Vordergrund stehen. Als

dritte Methode zum Management und

Controlling von operationellen Risiken haben

sich Risikoindikatoren herauskristallisiert,

die lediglich von einer Minderheit der

Institute bereits erfolgreich implementiert

wurden, deren Einsatz aber in vielen Instituten

geplant ist.

29


5.

Glossar


Im Rahmen der Studie verwendete

Definitionen im Thema Operationelle

Risiken (OR)

Externes Konsortium

Konsortium zum Teilen von nicht-öffentlichen

Informationen über operationelle Schadensfälle

unter Beibehaltung der Eigentümerschaft der

Daten seitens der Mitglieder. Mit der Teilnahme

sind für das jeweilige Institut Rechte und Pflichten

verbunden. Vorteil einer Mitgliedschaft an

einem externen Konsortium ist, dass sich die

Verfügbarkeit von Daten für die teilnehmenden

Institute erhöht.

Interner Aufwand (zahlungswirksam/nicht

zahlungswirksam)

Beispiel für einen zahlungswirksamen internen

Aufwand:

Ein Mitarbeiter muss aufgrund des Ausfalls

eines DV-Systems Überstunden machen, die

ihm entsprechend vergütet werden. Der zahlungswirksame

interne Aufwand aus der Vergütung

des Arbeitnehmers steigt für das Unternehmen

entsprechend der Anzahl der Überstunden.

Beispiel für einen nicht zahlungswirksamen

internen Aufwand:

Ein Mitarbeiter muss aufgrund des Ausfalls

eines DV-Systems Überstunden machen, die

ihm nicht vergütet werden. Es entsteht kein

zusätzlicher, zahlungswirksamer interner Aufwand

aus der Vergütung des Arbeitnehmers, da

die zusätzliche Arbeitszeit nicht monetär entgolten

wird.

Korrelationsanalysen

Korrelationsanalysen dienen der Validierung

von OR-Methoden im Zeitablauf auf Basis tatsächlich

eingetretener Schadensfälle aus der

Schadensfalldatenbank.

Mapping

Da Basel II im Rahmen der Ansätze zur Eigenkapitalunterlegung

feste Vorgaben bzgl. Kategorisierung

von OR und Einteilung der Geschäftsfelder

bei der Eigenkapitalunterlegung macht, müssen

abweichende Kategorien und Geschäftsfelder in

den jeweiligen Instituten auf die Vorgaben von

Basel II abgebildet („gemappt“) werden können.

OR-Beauftragter

Zentraler OR-Ansprechpartner für das Risikocontrolling

und die Mitarbeiter in jeder Abteilung.

OR-Komitee

OR-Gremium, das meist aus Vertretern verschiedener

Bereiche des Unternehmens besteht,

die sich mit dem Thema OR auseinandersetzen,

und im OR-Managementprozess Beratungs- oder

Entscheidungsfunktionen übernehmen kann.

OR-Strategie

Bestandteil der gesamten Risikostrategie (inkl.

Markt- und Kreditrisiken), welcher strategische

Vorgaben für den Umgang mit operationellen

Risiken durch die Unternehmensleitung beinhaltet.

Durch die OR-Strategie wird festgelegt,

welche operationellen Risiken eingegangen

werden sollen, welches Verhältnis zwischen

Risiken und Chancen in den einzelnen Unternehmensbereichen

einzuhalten ist (Risikoappetit)

und ab welcher Schadenshöhe Maßnahmen zur

Steuerung eingeleitet werden. Die OR-Strategie

kann Komponente des Rahmenwerks sein und

formuliert die unternehmensweit einheitlichen

Zielsetzungen und die Terminologie in Bezug

auf operationelle Risiken.

Qualitätskennziffern

In Reports aus dem Self Assessment enthaltene

Kennziffern, die eine qualitative Einschätzung

der Systeme, Abläufe etc. unter Risikogesichtspunkten

enthalten und eine Aussage über die

Qualität der untersuchten Kontrollpunkte

ermöglichen.

Quantitative Impact Studies (QIS)

Im Jahre 2001 führte die Risk Management

Group des Baseler Komitees zwei statistische

Datenerhebungen durch, deren Ziel es war, u.a.

Informationen über bankinterne Zahlen zur

Glossar Operationelle Risiken bei Kreditinstituten

Kapitalallokation und über Erfahrungen der

Banken mit Verlusten aus operationellen Risiken

zu erheben. Eine dritte statistische Erhebung (QIS

III) ist Anfang Oktober 2002 initiiert worden.

Quantitative Methoden

Methoden zur Quantifizierung operationeller

Risiken. Quantitative Methoden werden zur

Berechnung der Eigenkapitalunterlegung, aber

auch für die interne Steuerung verwendet.

Voraussetzung ist die ausreichende Verfügbarkeit

von Daten.

Rahmenwerk

Säule 2 aus Basel II fordert von den Banken u. a.

„...die Einrichtung eines Systems zur Identifizierung,

Messung, Steuerung, Überwachung und

Minderung der Risiken ...“.

Ein Rahmenwerk soll diesen Anforderungen

Rechnung tragen. U. a. kann ein unternehmensweit

abgestimmtes Rahmenwerk folgende Punkte

beinhalten:

– Einheitliche Begriffe und Definitionen

(insbesondere Definition und Kategorisierung

von OR)

– Zielsetzungen des OR-Managementprozesses

– Reporting-Strukturen

– Methoden beim Management operationeller

Risiken

– Rollen und Verantwortlichkeiten im OR-

Managementprozess (mit Aufbau- und

Ablauforganisation)

– Richtlinien für den OR-Managementprozess

– Prozessschritte des Risikomanagements

Risikoindikatoren

Risikoindikatoren für operationelle Risiken sind

Kennziffern, die Aufschluss über die gegenwärtige

und zukünftige Risikosituation der Bank

geben. Mittels der Festlegung von Benchmarks

bzw. Grenzwerten (sog. „Escalation Triggers“)

eignen sich Risikoindikatoren als Management-

Frühwarnsystem.

31


Operationelle Risiken bei Kreditinstituten Glossar

Die Indikatoren müssen u. a. folgenden Anforderungen

genügen:

– Vermutete Korrelation zwischen Indikator

und später auftretenden Schadensfällen

(Validität)

– Reliabilität der Indikatoren und der zu

definierenden Schwellenwerte (Indikatoren

sollten sich aus einer ausreichend großen

Anzahl von Datenpunkten errechnen)

Risikolandkarte

Die Risikolandkarte ist ein relativ einfaches

Modell, das eine erste Übersicht über die im

Institut vorliegenden operationellen Risiken

bietet. Dabei werden die operationellen Risiken

des Unternehmens typischerweise in einem

Top-Down Ansatz grob identifiziert und bewertet.

Die Ergebnisse können dann in einer grafischen

Darstellung (Landkarte) für das gesamte Unternehmen

zusammengefasst werden. So lässt

sich der Handlungsbedarf „auf einen Blick“

erkennen.

Risikoworkshops

Methode zur Erhebung von Informationen im

Rahmen von z. B. Self/Risk Assessments. Unter

Beteiligung unterschiedlicher Hierarchiestufen

und Ausnutzung gruppendynamischer Prozesse

werden im Rahmen von Workshops operationelle

Risiken identifiziert. Durch abteilungsübergreifende

Workshops können insbesondere

Schnittstellen-Risiken erkannt werden.

Schadensfalldatenbank

Gemäß derzeitigem Stand der aufsichtsrechtlichen

Diskussion müssen Kreditinstitute zukünftig

Daten über Verlustvorfälle aufgrund

32

schlagend gewordener operationeller Risiken

sammeln und archivieren.

Die Sammlung von Verlustdaten dient dabei

nicht nur als Datenbasis für eine spätere Berechnung

der Eigenkapitalunterlegung nach einem

AMA-Ansatz, sondern stellt auch eine der qualitativen

Anforderungen an das Management und

Controlling operationeller Risken (Sound Practices,

Grundsatz 5) dar.

Self/Risk Assessment

Das Self/Risk Assessment ist eine Selbsteinschätzung

in Bezug auf bestehende, operationelle

Risiken und dient der Identifikation und

Bewertung von OR. Es wird verwendet, um

Risiken zu identifizieren und deren

Veränderung nachzuvollziehen,

– vorhandene Kontrollen zu bewerten und ggf.

Verbesserungsmaßnahmen einzuleiten,

– „weiche“ (Kultur, Mitarbeiter) und „harte“

(Kontrollen) Faktoren zu adressieren,

– eine konsistente Risikobewertung über

Unternehmensbereiche hinweg zu ermöglichen,

– die dezentrale Verantwortung für die

Steuerung operationeller Risiken zu unter-

streichen.

Die „Sound Practices“ der RMG vom Juli 2002

empfehlen neben der Erfassung der Risiken im

Rahmen eines Self/Risk Assessments (Grundsatz

4) auch eine Abschätzung der Eintrittswahrscheinlichkeit

und Schadenshöhe im Rahmen der

Anwendung dieser Methode (Grundsatz 5).

Man unterscheidet generisches Self/Risk

Assessment und fachbereichs-, prozessspezifisches

Self/Risk Assessment.

Das generische Self/Risk Assessment deckt alle

Bereiche des Instituts mit einer standardisierten,

übergreifenden Checkliste ab. Der Umfang der

Checkliste ist meist geringer als beim fachbereichs-,

prozessspezifischen Self Assessment. Letztere

gehen spezifisch auf die operationellen Risiken

der Bereiche oder Abteilungen ein.

Das Ergebnis eines Self/Risk Assessments ist

eine umfassende Analyse der operationellen

Risiken und wird über Reports an verschiedene

Empfänger weitergegeben.

Szenarioanalysen

Methode zur Abschätzung von operationellen

Risiken mit Hilfe von Szenarien, die auf weitestgehend

subjektiven Einschätzungen beruhen.

Besonders geeignet sind Szenarioanalysen, um

das Risiko für extreme Schäden, die entweder

nicht im eigenen Haus oder noch überhaupt

nicht schlagend geworden sind, abzuschätzen.

Validierung

Um die Qualität des OR-Managementprozesses

sicherzustellen, ist die regelmäßige Überprüfung

der eingesetzten Methoden und Verfahren

sowie der Modellannahmen erforderlich. Durch

laufendes Backtesting, d. h. Vergleich zwischen

den berechneten Risiken und den tatsächlichen

Gewinnen/Verlusten werden die Methoden

hinsichlich ihrer Validität getestet.

Verlustpotenziale

Im Vergleich zum Reporting von Qualitätskennziffern,

die nur eine qualitative Einschätzung

der Risikosituation enthalten, findet bei der

Ermittlung von Verlustpotentialen eine quantitative

Abschätzung der Eintrittswahrscheinlichkeit

und Schadenshöhe von operationellen

Schadensfällen statt.


6.

Über Cap Gemini Ernst & Young


Operationelle Risiken bei Kreditinstituten Über Cap Gemini Ernst & Young

Allgemeine Informationen

Cap Gemini Ernst & Young

Die Cap Gemini Ernst & Young Gruppe ist eine

der weltweit größten Gesellschaften für

Management- und IT-Beratung sowie die größte

Unternehmensberatung europäischen Ursprungs.

In Deutschland steht das Unternehmen auf

Platz zwei. Cap Gemini Ernst & Young bietet

Management- und IT-Beratung, Systemintegration,

Technologieentwicklung, Organisationsdesign

und Outsourcing auf globaler Ebene und hilft

ihren Kunden bei der Umsetzung von Wachstumsstrategien

und dem effektiven Einsatz von Technologien.

Die Organisation beschäftigt weltweit

etwa 55.000 Mitarbeiter und erzielte 2001 einen

globalen Umsatz von über 8,4 Milliarden Euro.

Mehr Informationen zu Cap Gemini Ernst&Young,

den Dienstleistungen und Pressemitteilungen

finden Sie unter www.de.cgey.com.

34

Service Offerings im

Risk Management & Controlling

Cap Gemini Ernst & Young unterstützt führende

Banken und andere Finanzinstitute bei der

Optimierung ihres Risikomanagements- und

controllings und verfügt über langjährige Erfahrungen,

hervorragende Referenzen sowie exzellente

Marktkenntnisse. Unsere Leistungen erstrecken

sich von der Entwicklung von Strategien über die

Modellierung und Konzeption kundenspezifischer

Lösungen bis hin zur Umsetzung der angebotenen

Lösungen und decken die Risikoarten „Marktrisiko“,

„Adressrisiko“ und „Operationelles

Risiko“ ab.

Die Beratung im Thema Management und

Controlling operationeller Risiken umfasst im

Einzelnen folgende Leistungen:

• Konzeption und Implementierung eines

integrierten Systems zum Management und

Controlling operationeller Risiken (Gap-

Analyse, Rahmenwerk, Risikolandkarte, Self

Assessment, Reporting, Schadensfalldatenbank,

Risikoindikatoren, Quantifizierung).

• Entwicklung einer bankweiten Risikopolitik

für operationelle Risiken und Einführung

eines Management-Frühwarnsystems.

Darüber hinaus verfügen wir über umfangreiche

Erfahrungen in Projekten zur Umsetzung

bankenaufsichtsrechtlicher Anforderungen.

(z. B. Basel II, Grundsatz I, MaH) bei einer

Vielzahl deutscher Banken.

Für das Management und Controlling operationeller

Risiken bietet Cap Gemini Ernst & Young

einen ganzheitlichen, modularen Ansatz, der die

Ziele von Finanzdienstleistern umfassend berücksichtigt.

Ausgehend von den Kundenanforderungen

verfolgt Cap Gemini Ernst & Young

individuelle Lösungsansätze in Form von „Projektmodulen“,

die frei wähl- und kombinierbar sind.

Es wird zwischen zwei Klassen von Projektmodulen

unterschieden, die nachfolgend kurz

skizziert werden:

•Allgemeine Module (Gap-Analyse,

Rahmenwerk, Schadensfalldatenbank,

Softwareauswahl)

• Spezielle Module zur Erhebung und

Identifizierung operationeller Risiken

(Risikolandkarte, generisches und

fachbereichs-/prozessspezifisches

Self Assessment, Risikoindikatoren).

Zur Unterstützung der Projektmodule stellt

Cap Gemini Ernst & Young praxiserprobte,

einfach zu nutzende Tools und Methoden zur

Verfügung, die eine hohe Akzeptanz bei den

Mitarbeitern auf Kundenseite fördern. Ziel der

Cap Gemini Ernst & Young Lösungsansätze ist

die Erreichung erster Projektergebnisse innerhalb

eines kurzen Zeitraums nach Projektstart

sowie die transparente Projektdurchführung in

kurzen, abgrenzbaren Aktivitätenblöcken.


Deutschland

Berlin

Tel. +49-(0)30/88 70 30

Dresden

Tel. +49-(0)3 51/47 8130

Düsseldorf

Tel. +49-(0)2 11/47 06 80

Essen

Tel. +49-(0)2 01/8 24 30 00

Frankfurt/Sulzbach

Tel. +49-(0)6196/99 90

Frankfurt

Tel. +49-(0)69/152 08 02

Hamburg

Tel. +49-(0)40/25 31 80

Hannover

Tel. +49-(0)511/678 20

Heilbronn

Tel. +49-(0)71 31/93 92 10

Köln

Tel. +49-(0)2 21/912 64 40

München

Tel. +49-(0)89/940 00

Rüsselsheim

Tel. +49-(0)6142/603 40

Stuttgart

Tel. +49-(0)7 11/50 50 50

Walldorf

Tel. +49-(0)62 27/73 39 00

www.de.cgey.com

Polen

Warschau

Tel. +48-(0)22/528 75 00

www.pl.cgey.com

Österreich

Graz

Tel. +43-(0)316/468 22 36

Wien

Tel. +43-(0)1/2116 30

www.at.cgey.com

www.cgey.com

Schweiz

Basel

Tel. +41-(0)61/685 27 27

Lausanne

Tel. +41-(0)21/620 71 00

Zürich

Tel. +41-(0)1/560 24 00

www.ch.cgey.com

Slowakei

Bratislawa

Tel. +421-(0)2/444 556 78

Cap Gemini Ernst & Young

Region: Central Europe

Neues Kranzler Eck

Kurfürstendamm 21

D-10719 Berlin

Tel. +49-(0)30/88703-0

Fax +49-(0)30/88703-111

© Cap Gemini Ernst & Young 02-0086

Weitere Magazine dieses Users
Ähnliche Magazine