Operationelle Risiken bei Kreditinstituten - Versicherungsmagazin
Operationelle Risiken bei Kreditinstituten - Versicherungsmagazin
Operationelle Risiken bei Kreditinstituten - Versicherungsmagazin
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Global Financial Services<br />
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
Trends & Best Practice<br />
November 2002
Inhaltsverzeichnis<br />
1 Management Summary 4<br />
2 Informationen zur Studie 7<br />
3 Auswertung 9<br />
3.1 Nutzen und Motivation <strong>bei</strong>m<br />
Management operationeller <strong>Risiken</strong> 10<br />
3.2 Umsetzung aufsichtsrechtlicher<br />
Anforderungen 11<br />
3.3 Organisation und Prozesse <strong>bei</strong>m<br />
Management operationeller <strong>Risiken</strong> 14<br />
3.4 Methoden zur Identifikation und<br />
Messung operationeller <strong>Risiken</strong> 18<br />
4 Kernaussagen und Schlussfolgerungen 27<br />
5 Glossar 30<br />
6 Über Cap Gemini Ernst & Young 33
1.<br />
Management Summary
<strong>Operationelle</strong> <strong>Risiken</strong> sind als Thema <strong>bei</strong> <strong>Kreditinstituten</strong><br />
in den letzten Jahren zunehmend in<br />
den Mittelpunkt des Bewusstseins gerückt. Die<br />
Gründe dafür liegen, neben den verstärkten<br />
aufsichtsrechtlichen Anforderungen aus Basel II,<br />
vor allem in dem Bestreben der Institute, durch<br />
ein besseres Management und Controlling<br />
operationeller <strong>Risiken</strong> (OR-Managementprozess)<br />
den eigenen Unternehmenswert zu steigern.<br />
Aufgrund des ständigen Fortschritts in dem<br />
noch jungen Thema ist Transparenz über den<br />
Status Quo des Entwicklungsstands <strong>bei</strong> den<br />
<strong>Kreditinstituten</strong> für alle Marktteilnehmer hilfreich<br />
und sinnvoll. Um den Instituten einen<br />
Überblick über den Stand der Entwicklungen<br />
und die aktuellen Trends im Thema zu verschaffen,<br />
wurde die vorliegende Studie „<strong>Operationelle</strong><br />
<strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> – Trends und Best<br />
Practice“ von Cap Gemini Ernst & Young in<br />
Zusammenar<strong>bei</strong>t mit dem Seminar für Kapitalmarktforschung<br />
und Finanzierung der<br />
Ludwig-Maximilians-Universität München<br />
(Prof. Dr. Bernd Rudolph) durchgeführt. Die<br />
Studie basiert auf einer schriftlichen Befragung<br />
<strong>bei</strong> 60 teilnehmenden <strong>Kreditinstituten</strong> aus<br />
Deutschland, Österreich und der Schweiz. Die<br />
Datenerhebung erfolgte von Mai 2002 bis<br />
September 2002 anhand von mehr als 100 Fragen<br />
je Teilnehmer.<br />
Ziele der Studie<br />
Die Studie gibt einen umfassenden Überblick<br />
über den Status Quo des OR-Managementprozesses<br />
<strong>bei</strong> führenden Banken in Deutschland, Österreich<br />
und der Schweiz. Der Schwerpunkt der<br />
Untersuchung lag da<strong>bei</strong> in der konkreten Ausgestaltung<br />
des OR-Managementprozesses und<br />
den Erfahrungen, die die Teilnehmer mit den<br />
verwendeten Methoden gesammelt haben.<br />
Aufgrund der erfreulich hohen Teilnehmerzahl<br />
bietet die Studie ein umfassendes Bild der Standards<br />
und Trends, die sich am Markt derzeit<br />
herausgebildet haben bzw. derzeit abzeichnen.<br />
Wesentliche Ergebnisse der Studie<br />
Während der Leser in Kapitel 3 eine detaillierte<br />
Auswertung der einzelnen Fragen erhält, werden<br />
hier zunächst die wesentlichen Ergebnisse zusammengefasst<br />
und die daraus erkennbaren<br />
Trends benannt.<br />
„Weiche Faktoren“ wie die in einem Institut<br />
vorherrschende Risikokultur und der<br />
Support der Führungsebene sind für einen<br />
erfolgreichen OR-Managementprozess die<br />
wichtigsten Erfolgsfaktoren.<br />
Nach Einschätzung der Teilnehmer sind es vor<br />
allem die „weichen Faktoren“, wie die Unterstützung<br />
des vorgesehenen OR-Managementprozesses<br />
durch die Geschäftsführung und die Etablierung<br />
einer offenen Risikokultur, die den Erfolg<br />
der eingesetzten OR-Methoden sicherstellen.<br />
Der Ausstattung des OR-Controllings (zentral<br />
und dezentral) mit Mitar<strong>bei</strong>tern und finanziellen<br />
Ressourcen wurde da<strong>bei</strong> eine weitaus geringere<br />
Bedeutung für den Erfolg <strong>bei</strong>gemessen. Zu<br />
erklären ist dieses Ergebnis unter anderem<br />
damit, dass die von den Teilnehmern der Studie<br />
überwiegend eingesetzten OR-Methoden<br />
(z. B. Self Assessment, Schadensfalldatenbank)<br />
nur in einer offenen Risikokultur sinnvoll<br />
eingesetzt werden können. Das Fehlen dieser<br />
wichtigen Rahmenbedingung kann nicht durch<br />
einen erhöhten Personal- oder Ressourceneinsatz<br />
kompensiert werden.<br />
Hinsichtlich der Wahl des<br />
Eigenkapitalansatzes (Basel II) herrscht in<br />
vielen Instituten noch Unsicherheit.<br />
Die drei den Instituten zur Verfügung stehenden<br />
Eigenkapitalansätze (Basisindikatoransatz,<br />
Standardansatz und AMA – Advanced Measurement<br />
Approaches) haben im Rahmen der Konsultationsphasen<br />
hinsichtlich ihrer Ausgestaltung,<br />
aber auch hinsichtlich der Anwendbarkeit,<br />
zahlreiche Änderungen erfahren. Hier wird von<br />
Management Summary <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
den Studienteilnehmern mehrheitlich Handlungsbedarf<br />
seitens der Risk Management<br />
Group (RMG) des Baseler Komitees gesehen.<br />
Als wichtigste Punkte werden die konkrete<br />
Ausgestaltung der Eigenkapitalansätze, die<br />
Auswahl der Exposure Indikatoren sowie die<br />
Kriterien für die Anrechenbarkeit von Versicherungen<br />
genannt. Die abschließende Klärung<br />
dieser Punkte ist für viele Institute eine wichtige<br />
Voraussetzung, um die Entscheidung für einen<br />
der Eigenkapitalansätze treffen zu können.<br />
Das OR-Controlling liegt <strong>bei</strong> vielen<br />
Instituten in der Verantwortung einer<br />
zentralen Organisationseinheit.<br />
Entsprechend der anderen Risikoarten (Kreditund<br />
Marktpreisrisiken) ist mittlerweile eine<br />
zentrale Organisationseinheit, die das OR-<br />
Controlling verantwortet, weit verbreitet. Diese<br />
Einheit wiederum ist in den meisten Unternehmen<br />
im Bereich Risikocontrolling angesiedelt.<br />
Die vor einigen Jahren, insbesondere in kleineren<br />
Instituten, noch übliche Praxis, die Verantwortung<br />
für operationelle <strong>Risiken</strong> im Bereich<br />
der internen Revision anzusiedeln, ist heute<br />
kaum noch zu beobachten. Dies entspricht auch<br />
den mittlerweile klaren Vorgaben der RMG<br />
(Sound Practices Juli 2002), die eine unabhängige,<br />
den OR-Prozess prüfende Revision fordern.<br />
Die wesentlichen Aufgaben des zentralen OR-<br />
Controllings liegen in der Auswahl geeigneter<br />
OR-Management- und Controllingmethoden, der<br />
Konzentration des methodischen Fachwissens<br />
(Methodenhoheit), der Entwicklung eines OR-<br />
Rahmenwerks sowie der zentralen Sammlung<br />
von OR-Daten, die dem Management in Form<br />
von Reports zugänglich gemacht werden.<br />
5
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> Management Summary<br />
Self Assessment und Schadensfalldatenbank<br />
haben sich als Methoden zum Marktstandard<br />
entwickelt. Die Nutzung von Risikoindikatoren<br />
wird von vielen Instituten angestrebt, diese<br />
liefern jedoch nur selten zufriedenstellende<br />
Ergebnisse.<br />
Schadensfalldatenbank<br />
Vor dem Hintergrund der aufsichtsrechtlichen<br />
Anforderungen, die eine strukturierte Erfassung<br />
von Schadensfällen als Voraussetzung bereits für<br />
den Standardansatz fordern, ist der große Anteil<br />
von Instituten, die entweder eine Schadensfalldatenbank<br />
implementiert haben oder dies für<br />
die Zukunft planen, nicht überraschend. Darüber<br />
hinaus bieten die Daten der Schadensfalldatenbank<br />
den Instituten die Möglichkeit, die Ergebnisse<br />
anderer OR-Methoden (Risikoindikatoren,<br />
Self Assessment, Szenarioanalyse) zu verifizieren<br />
und somit Erkenntnisse über Validität und<br />
Qualität der eingesetzten OR-Methoden zu<br />
bekommen. Größtes Problem <strong>bei</strong> der Schadensfalldatenbank<br />
scheint die Qualität der Datensammlung<br />
zu sein. Dies ist möglicherweise auch<br />
auf fehlende Anreize für die Meldung von Schadensfällen<br />
in den meisten Instituten zurückzuführen.<br />
Die im eigenen Institut gesetzten Anreize<br />
werden nur von einer Minderheit der Teilnehmer<br />
als „geeignet“ oder „sehr geeignet“ angesehen.<br />
Self Assessment<br />
Neben der Schadensfalldatenbank ist das Self<br />
Assessment die am weitesten verbreitete Methode.<br />
Über 75% der Institute setzen diese Methode<br />
bereits ein oder planen ihren Einsatz. Die Ausgestaltung<br />
des Self Assessments variiert da<strong>bei</strong><br />
stark. Die Mehrheit der Teilnehmer vertraut<br />
dem Einsatz standardisierter Fragebögen, in<br />
Einzelfällen werden allerdings auch aufwendigere<br />
Self Assessments betrieben, die persönliche Interviews<br />
oder Workshops vorsehen. Die Präferenz<br />
der meisten Institute für eine einfachere Lösung<br />
zeigt, dass in den Instituten an dieser Stelle<br />
„Pragmatismus vor Komplexität“ gesetzt wird.<br />
Der damit teilweise verbundeneVerlust an Aussagefähigkeit<br />
und Analysemöglichkeiten wird da<strong>bei</strong><br />
von den Teilnehmern in Kauf genommen.<br />
Risikoindikatoren<br />
Die Funktion eines „Frühwarnsystems“, wie im<br />
jüngsten Sound Practices Papier von der RMG<br />
gefordert, soll in vielen Instituten durch Risikoindikatoren<br />
wahrgenommen werden. Während<br />
bislang nur 20% der teilnehmenden Institute<br />
6<br />
Risikoindikatoren implementiert haben, erklärten<br />
weitere 40% der Institute, dass der Einsatz von<br />
Risikoindikatoren zukünftig angestrebt wird.<br />
Auffällig ist jedoch, dass eine Mehrheit der<br />
Institute, die Risikoindikatoren bereits verwenden,<br />
sich mit diesen weniger zufrieden zeigt. Dies steht<br />
im Gegensatz zu den Methoden Schadensfalldatenbank<br />
und Self Assessment, mit denen die<br />
Mehrheit der Institute zufrieden ist.<br />
Nutzen der Studie<br />
Die Auswertung der Studiendaten ermöglicht<br />
den Teilnehmern, einen Überblick über „Trends<br />
& Best Practice“ im Management und Controlling<br />
operationeller <strong>Risiken</strong> zu gewinnen. Da die mit<br />
diesem jungen Thema verbundenen Aufgabenstellungen<br />
vielfach neu sind und sich die Probleme<br />
und ihre Lösungen häufig erst in der konkreten<br />
Umsetzung ergeben, ist der Austausch von<br />
Informationen für alle Beteiligten wichtig und<br />
hilfreich.<br />
Die Studie soll in diesem Zusammenhang einen<br />
Beitrag leisten, den Informationsaustausch zu<br />
fördern und den Teilnehmern somit die Möglichkeit<br />
geben, die Situation des eigenen Instituts<br />
im Kontext des Marktes zu sehen und aus<br />
den Erfahrungen anderer Institute lernen zu<br />
können.
2.<br />
Informationen zur Studie
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> Informationen zur Studie<br />
Zielsetzung<br />
Um den Marktteilnehmern einen Überblick<br />
über den Stand der Entwicklungen und die<br />
aktuellen Trends im Thema OR zu verschaffen,<br />
hat Cap Gemini Ernst & Young in Deutschland,<br />
Österreich und der Schweiz die Studie „<strong>Operationelle</strong><br />
<strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> - Trends &<br />
Best Practice“ durchgeführt. Die Studie wurde<br />
vom Seminar für Kapitalmarktforschung und<br />
Finanzierung der Ludwig-Maximilians-Universität<br />
München (Prof. Dr. Bernd Rudolph) im Rahmen<br />
einer wissenschaftlichen Ar<strong>bei</strong>t begleitet.<br />
Teilnehmer<br />
Die Studie basiert auf einer Befragung von <strong>Kreditinstituten</strong><br />
aus Deutschland, Österreich und der<br />
Schweiz. Angeschrieben wurden die Top<br />
100-Institute nach Bilanzsumme in Deutschland<br />
und jeweils die Top 15-Institute nach Bilanzsumme<br />
in Österreich und in der Schweiz, wo<strong>bei</strong><br />
die Bilanzsummenspannweite von 64 Mio. € bis<br />
929 Mrd. € reichte. Der zugrunde liegende<br />
Fragebogen wurde im April 2002 an 129 Kreditinstitute<br />
gesendet, von denen sich 60 aktiv an<br />
der Studie beteiligten. Dies entspricht einer<br />
Beteiligungsquote von 47% und gestattet die<br />
Ableitung fundierter Aussagen auf der Basis des<br />
vorliegenden Datenmaterials. An dieser Stelle<br />
sei den Teilnehmern der Studie herzlich gedankt.<br />
Die Sorgfalt <strong>bei</strong> der Beantwortung der Fragen<br />
sowie die rege Nutzung der Kommentarbereiche<br />
haben entscheidend zur Vielfalt der abgeleiteten<br />
Zusammenhänge <strong>bei</strong>getragen. Zu den häufigsten<br />
Gründen für eine Nicht-Teilnahme zählten<br />
Umstrukturierungsmaßnahmen im Hause,<br />
mangelnde Kapazitäten für das Ausfüllen des<br />
umfangreichen Fragebogens oder eine bislang<br />
zu geringe Auseinandersetzung mit dem Thema<br />
<strong>Operationelle</strong> <strong>Risiken</strong>.<br />
Aus Gründen der besseren Vergleichbarkeit<br />
werden einige Ergebnisse Peer Group-spezifisch<br />
dargestellt, um so der Bilanzsummenspannweite<br />
in der Stichprobe Rechnung zu tragen. Da<strong>bei</strong><br />
wurden folgende vier Peer Groups gebildet:<br />
• Peer Group 1 (PG 1) - Banken mit einer<br />
Bilanzsumme x ≥ 250 Mrd. € (8 Institute)<br />
• Peer Group 2 (PG 2) - Banken mit einer<br />
Bilanzsumme 250 Mrd. € > x ≥ 25 Mrd. €<br />
(14 Institute)<br />
8<br />
• Peer Group 3 (PG 3) - Banken mit einer<br />
Bilanzsumme 25 Mrd. € > x ≥ 10 Mrd. €<br />
(12 Institute)<br />
• Peer Group 4 (PG 4) - Banken mit einer<br />
Bilanzsumme x < 10 Mrd. € (26 Institute)<br />
Aufbau<br />
Die Studie ist in zwei wesentliche inhaltliche<br />
Abschnitte gegliedert. Kapitel 3 konzentriert<br />
sich auf die Auswertung des zugrunde liegenden<br />
Fragebogens. Die Analyse bezieht die Antworten<br />
jeder Frage ein, verzichtet jedoch auf die<br />
strikte Einhaltung der Reihenfolge im Fragebogen<br />
und stellt zudem wichtige Zusammenhänge<br />
zwischen verwandten Themengebieten her. Das<br />
Vorgehen folgt der Gliederung<br />
• Nutzen und Motivation <strong>bei</strong>m Management<br />
operationeller <strong>Risiken</strong><br />
• Umsetzung aufsichtsrechtlicher Anforderungen<br />
• Organisation und Prozesse <strong>bei</strong>m Management<br />
operationeller <strong>Risiken</strong><br />
• Methoden zur Identifikation und Messung<br />
operationeller <strong>Risiken</strong><br />
Kapitel 4 beschäftigt sich mit der Untersuchung<br />
ausgewählter Kernaussagen, die sich über die<br />
einzelnen Fragenblöcke hinweg identifizieren<br />
lassen. Die Analyse erar<strong>bei</strong>tet wichtige Muster und<br />
logische Querverbindungen, die <strong>bei</strong> der Fokussierung<br />
auf einzelne Fragen weniger zum Vorschein<br />
treten. In Kapitel 5 erhält der Leser einen Überblick<br />
über wesentliche Definitionen der aktuellen Terminologie<br />
im Thema <strong>Operationelle</strong> <strong>Risiken</strong>.<br />
Erklärung<br />
Die Durchführung der Studie erfolgte mit äußerster<br />
Sorgfalt. Es ist jedoch nicht auszuschließen,<br />
dass einige Antworten infolge unterschiedlich<br />
verwendeter Begriffe nicht direkt vergleichbar<br />
sind. Bei der Erfassung der Daten wurde großer<br />
Wert auf die Erkennung und Vermeidung von<br />
Inkonsistenzen gelegt. Dennoch kann es vorkommen,<br />
dass die Ergebnisse im Einzelfall die<br />
Erfahrungen eines Teilnehmers nicht widerspiegeln.<br />
Im Interesse einer kompakten Darstellung enthält<br />
die Analyse zudem nur die als wesentlich<br />
eingestuften Resultate.<br />
Autoren<br />
Markus Quick<br />
Markus.Quick@cgey.com<br />
Lars Kruse<br />
Lars.Kruse@cgey.com<br />
Andreas Duldinger<br />
adulding@cip.bwl.uni-muenchen.de<br />
Kontakt<br />
Für Rückfragen und weitere ausführliche<br />
Informationen wenden Sie sich bitte an:<br />
Markus Quick<br />
Am Limespark 2<br />
D-65843 Sulzbach/Taunus<br />
Tel: + 49 (0) 6196/999-0<br />
Mobil: + 49 (0) 160/5 83 41 41<br />
Markus.Quick@cgey.com<br />
Dr. Ulrich von Zanthier<br />
Karl-Hammerschmidt-Str. 32<br />
D-85609 Dornach <strong>bei</strong> München<br />
Tel: + 49 (0) 89/94 00-0<br />
Mobil: + 49 (0) 160/5 83 40 57<br />
Ulrich.Zanthier@cgey.com
3.<br />
Auswertung
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.1 Nutzen und Motivation <strong>bei</strong>m Management operationeller <strong>Risiken</strong><br />
3.1 Nutzen und Motivation <strong>bei</strong>m<br />
Management operationeller <strong>Risiken</strong><br />
Gerade in letzter Zeit aufgetretene Verlustfälle,<br />
die auf operationelle <strong>Risiken</strong> (OR) zurückzuführen<br />
waren, zeigen, dass das Management dieser<br />
<strong>Risiken</strong> nicht nur aufgrund der regulatorischen<br />
Vorgaben aus Basel betrieben werden sollte,<br />
sondern dass das Thema per se zu einer erhöhten<br />
Sensibilität in der Finanzdienstleistungsindustrie<br />
führen muss. Die Antworten der Institute<br />
auf die Frage, welche Motivation zum Aufbau<br />
eines OR-Controllings im Rahmen des OR-<br />
Managementprozesses geführt habe, bestätigen<br />
diese Einschätzung. Dazu sollten die Studienteilnehmer<br />
für eine Reihe von vorgegebenen<br />
Motivationen einen Wert von 1 (höchste<br />
Gewichtung) bis 9 (niedrigste Gewichtung)<br />
vergeben.<br />
Welche Motivation führte in Ihrem Institut<br />
zum Aufbau eines OR-Controllings?<br />
Abb.1: Motivation zum Aufbau eines OR-Controllings<br />
regulatorische Anforderungen<br />
betriebswirtschaftlicher Nutzen<br />
Umsetzung im Rahmen der Risikostrategie<br />
Senior Management Vorgabe<br />
Anforderungen des Marktes<br />
interne Verlustereignisse<br />
externe Verlustereignisse<br />
Thought Leadership im Bereich OR<br />
Sonstige<br />
Wie aus Abbildung1hervorgeht, sehen sich die<br />
befragten Banken zwar hauptsächlich durch die<br />
regulatorischen Vorgaben dazu veranlasst, dem<br />
OR-Managementprozess mehr Bedeutung in ihrem<br />
Unternehmen <strong>bei</strong>zumessen, jedoch kommt bereits<br />
an zweiter Stelle der Motivationsgründe für die meisten<br />
Institute der betriebswirtschaftliche Nutzen.<br />
Auch die im Rahmen einer integrierten Risikostrategie<br />
erforderliche Umsetzung eines OR-<br />
Managementprozesses oder die Vorgabe durch das<br />
Senior Management sind wichtige Gründe für<br />
die Umsetzung von OR-Managementprojekten.<br />
1 Spearman-Rho = 0,226. Die Korrelation ist auf 95%-Niveau signifikant.<br />
2 Spearman-Rho = 0,226. Die Korrelation ist auf 95%-Niveau signifikant.<br />
10<br />
Vor dem Hintergrund der oft bedeutsamen<br />
Auswirkungen operationeller Verlustfälle ist<br />
davon auszugehen, dass etwaige „Nachteile“ aus<br />
dem Management operationeller <strong>Risiken</strong>, die<br />
<strong>bei</strong>spielsweise aus den Kosten für Aufbau und<br />
Unterhalt eines OR-Managementsystems resultieren,<br />
durch das Erzielen entsprechender<br />
Vorteile kompensiert werden können.<br />
Welchen kurz- und langfristigen Nutzen<br />
identifizieren Sie für Ihr Unternehmen<br />
durch das Management und Controlling<br />
operationeller <strong>Risiken</strong>?<br />
Abbildung 2 schlüsselt den von den Banken<br />
genannten Nutzen bzw. die Vorteile nach Häufigkeit<br />
der Nennung auf.<br />
Zentrale Erkenntnis ist, dass fast alle Institute<br />
den Hauptvorteil des Managements und Controllings<br />
operationeller <strong>Risiken</strong> in weichen<br />
Faktoren, wie Schaffung von Bewusstsein für<br />
operationelle <strong>Risiken</strong> (93%), Etablierung<br />
443<br />
349<br />
324<br />
311<br />
258<br />
232<br />
211<br />
189<br />
30<br />
60 120 180 240 300 360 420 480 540<br />
Punkte (1 = 9 Punkte, 2 = 8 Punkte etc.; Maximalzahl = 540 Punkte)<br />
einer Risikokultur (85%) oder Verbesserung<br />
der Prozessqualität (85%) sehen. Erst an vierter<br />
Stelle kommt mit 81% die konkrete Reduktion<br />
von Verlusten durch operationelles Risikomanagement.<br />
Da die Vorteile aus „weichen“ Faktoren<br />
meist nur langfristig generiert werden<br />
können, sehen auch nur 41% der befragten<br />
Banken Möglichkeiten, sehr kurzfristigen Nutzen<br />
durch den OR-Managementprozess zu erzielen.<br />
Da<strong>bei</strong> bejahen Banken, die auf die Frage nach<br />
dem Nutzen des OR-Managementprozesses<br />
die Verlustreduktion – einen also durchaus schon<br />
kurzfristiger zu erzielenden Vorteil – angeben,<br />
tendenziell auch die Frage, ob sie Potenziale für<br />
sehr kurzfristige Gewinne sehen 1 . Zudem lässt<br />
sich zeigen, dass größere Institute (gemessen an<br />
der Bilanzsumme) dazu tendieren, sehr kurzfristige<br />
Gewinne durch den OR-Managementprozess als<br />
realisierbar zu erachten 2 . Dies kann bereits als<br />
ein Indiz dafür gewertet werden, dass größere<br />
Institute im OR-Controlling tendenziell fortgeschrittener<br />
sind und sich das höhere Entwicklungsniveau<br />
bereits in ersten Erfolgen niederschlägt.<br />
Konkrete finanzielle Erfolge lassen sich<br />
allerdings bisher nur sehr schwer dem Management<br />
operationeller <strong>Risiken</strong> zurechnen. Daher<br />
stimmen auch 93% der befragten Banken überein,<br />
keine monetären Ziele für Kosteneinsparungen<br />
durch den OR-Managementprozess zu definieren.<br />
Welches sind für Sie die kritischen<br />
Erfolgsfaktoren <strong>bei</strong> der Implementierung<br />
des OR-Managementprozesses?<br />
In den vergangenen Jahren konnten im OR-<br />
Controlling viele neue Erkenntnisse gewonnen<br />
und deutliche Fortschritte gemacht werden.<br />
Abb. 2: Kurz- und langfristiger Nutzen des Managements und Controllings<br />
operationeller <strong>Risiken</strong><br />
Schaffung von Bewusstsein für OR<br />
Etablierung einer Risikokultur<br />
verbesserte Prozessqualität<br />
Verlustreduktion<br />
Risikosteuerungsinstrument<br />
Unterstützung der Managementfunktion<br />
Reputation im Markt<br />
Steigerung des Unternehmenswertes<br />
Sonstige<br />
(Mehrfachantworten waren möglich)<br />
20% 40% 60% 80% 100%
Abb. 3: Kritische Erfolgsfaktoren <strong>bei</strong> der Implementierung des<br />
OR-Managementprozesses<br />
Etablierung einer offenen Risikokultur<br />
Akzeptanz durchden Vorstand/die Geschäftsführung<br />
Kommunikation des Themas im Unternehmen<br />
Einbezug aller Einheiten im Unternehmen<br />
ausreichende Ressourcen<br />
Qualifikation des Personals<br />
Buy-in der Bereichs-/Abteilungsleitungen<br />
zentrales OR-Controlling/OR-Management<br />
klares Kosten-Nutzen-Verhältnis<br />
Sonstige<br />
Dennoch ist die Entwicklung auf diesem Gebiet<br />
nicht beendet. Einige zentrale Punkte bedürfen<br />
nach wie vor der Klärung. So sehen sich die<br />
Banken verschiedenen Schwierigkeiten gegenüber,<br />
die im Rahmen eines gegenseitigen Erfahrungsaustausches<br />
zu lösen sind.<br />
Die größten Schwierigkeiten sehen die Studienteilnehmer<br />
auf folgenden Gebieten:<br />
• Akzeptanz des OR-Controllings seitens des<br />
Vorstandes und der Mitar<strong>bei</strong>ter<br />
• Etablierung einer Risikokultur<br />
• Unvollständige Datenbasis und daraus<br />
folgende Probleme <strong>bei</strong> der Quantifizierung<br />
operationeller <strong>Risiken</strong><br />
• Reifegrad der Methoden zur Identifizierung<br />
und Messung von OR<br />
• Anreizproblematik <strong>bei</strong> der Meldung von<br />
Schäden<br />
• Abgrenzung operationeller <strong>Risiken</strong><br />
Obige Ergebnisse spiegeln sich auch in den<br />
Antworten auf die Frage nach den kritischen<br />
Erfolgsfaktoren <strong>bei</strong> der Implementierung eines<br />
OR-Managementprozesses wider. Abbildung 3<br />
illustriert, dass mit jeweils 82% der Antworten<br />
die Etablierung einer offenen Risikokultur und<br />
die Akzeptanz des Themas OR seitens Vorstand<br />
und Geschäftsführung die zentralen Erfolgsfaktoren<br />
<strong>bei</strong>m Aufbau und <strong>bei</strong> der Etablierung<br />
eines OR-Managementprozesses sind. Erst mit<br />
deutlichem Abstand folgen weitere Faktoren wie<br />
Kommunikation des Themas im Unternehmen,<br />
der Einbezug aller Einheiten im Unternehmen<br />
oder ausreichende personelle Ressourcen. Da die<br />
3 Die Säule I des Baseler Konsultationspapiers beschreibt die<br />
Eigenkapitalunterlegung operationeller <strong>Risiken</strong>. Dazu stehen drei<br />
Ansätze zur Wahl: der Basisindikatoransatz, der Standardansatz und<br />
die Advanced Measurement Approaches (AMA).<br />
3.2 Umsetzung aufsichtsrechtlicher Anforderungen <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
(Mehrfachantworten waren möglich)<br />
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%<br />
Studienteilnehmer die <strong>bei</strong>den am häufigsten<br />
genannten Faktoren auch zugleich als die zentralen<br />
Schwierigkeiten im OR-Managementprozess<br />
ansehen, gilt es hier im Besonderen, entsprechende<br />
Verbesserungsmaßnahmen einzuleiten. Einen<br />
interessanten Blickwinkel verschafft die Frage<br />
nach Trends, die sich von den Ansprechpartnern<br />
der befragten Banken im OR-Bereich identifizieren<br />
lassen. 23 Studienteilnehmer äußerten sich<br />
über zukünftige Entwicklungen und Problemfelder,<br />
die sie in diesem Bereich erkennen. Die<br />
meisten Institute stimmen überein, dass besonders<br />
aufgrund der regulatorischen Vorgaben das<br />
Thema OR generell an Bedeutung gewinnen<br />
wird. Allerdings erkennt ein Großteil der Banken<br />
die Notwendigkeit, OR-Controlling unter<br />
Beachtung einer ausgewogenen Kosten-Nutzen-<br />
Relation zu betreiben. „Pragmatismus“ sollte vor<br />
„Komplexität“ kommen, auf „100%-Lösungen“<br />
sollte verzichtet werden. Dies spiegelt sich auch<br />
Abb. 4: Geplante Verwendung von Basel-II-Ansätzen<br />
100%<br />
80%<br />
60%<br />
40%<br />
20%<br />
in der Meinung wider, dass pragmatische<br />
qualitative Methoden den oft komplexeren<br />
quantitativen Ansätzen vorzuziehen seien.<br />
3.2 Umsetzung aufsichtsrechtlicher<br />
Anforderungen<br />
3.2.1 Wahl des Eigenkapitalansatzes<br />
Die Konsultationspapiere, das Working Paper<br />
und die Sound Practices des Baseler Ausschusses<br />
geben bisher nur teilweise detaillierte Vorgaben<br />
in Bezug auf die Eigenkapitalunterlegung und<br />
die qualitativen Voraussetzungen des Managements<br />
operationeller <strong>Risiken</strong>. Da<strong>bei</strong> stehen den<br />
Banken im Rahmen der Säule I des Baseler<br />
Konsultationspapiers drei Ansätze zur Ermittlung<br />
der Eigenkapitalunterlegung zur Wahl 3 .<br />
Zudem ist ein so genannter Partial Use, das heißt<br />
die Verwendung eines Advanced Measurement<br />
Approaches (AMA) zusammen mit einem anderen<br />
Ansatz, erlaubt.<br />
Welchen Basel II-Ansatz planen Sie<br />
zu verwenden?<br />
Abbildung 4 stellt die Häufigkeiten der von den<br />
Studienteilnehmern geplanten Ansätze gesamt<br />
und aufgeteilt in vier Peer Groups dar.<br />
Das Ergebnis liegt im Rahmen der Erwartung:<br />
Große Banken werden tendenziell einen der<br />
AMA-Ansätze verwenden, wohingegen kleinere<br />
Institute beabsichtigen, den Standardansatz<br />
oder den Basisindikatoransatz zu wählen. Fast<br />
14% der Banken haben sich bis zum jetzigen<br />
Zeitpunkt noch nicht für einen der Ansätze<br />
Basisindikatoransatz<br />
Standardansatz AMA Partial Use offen<br />
= Peer Group 1 0,0 25,0 62,5 12,5 0,0<br />
= Peer Group 2 0,0 61,5 38,5 0,0 0,0<br />
= Peer Group 3 0,0 41,7 41,7 0,0 16,6<br />
= Peer Group 4 28,0 36,0 12,0 0,0 24,0<br />
= Gesamt 12,1 41,4 31,0 1,7 13,8<br />
11
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.2 Umsetzung aufsichtsrechtlicher Anforderungen<br />
entschieden. Meist beabsichtigen letztere, diesbezüglich<br />
weitere Vorgaben und Details seitens<br />
des Baseler Komitees abzuwarten.<br />
Im Rahmen der Verwendung des Standardansatzes<br />
oder eines Partial Use verlangt Basel II von den<br />
Banken, ihre realen Geschäftsfelder auf die von<br />
Basel vorgegebenen abzubilden (zu „mappen“).<br />
Die Studie zeigt, dass bisher nur 50% der befragten<br />
Institute, die mindestens den Standardansatz<br />
zu verwenden beabsichtigen, ihre Geschäftsfelder<br />
auf die vom Baseler Komitee vorgegebenen<br />
gemappt haben.<br />
3.2.2 Zufriedenheit mit den<br />
Konsultationspapieren<br />
Bereits die Quantitative Impact Studies (QIS)<br />
haben gezeigt, dass die Vorgaben aus den Baseler<br />
Konsultationspapieren in vielen Punkten konkretisiert<br />
werden müssen und weitere Diskussionen<br />
vor allem mit Vertretern aus der Industrie<br />
notwendig sind. Ein ähnliches Bild ergeben<br />
auch die Antworten der Banken auf die Frage,<br />
wie zufrieden sie mit den bisherigen Konsultationspapieren<br />
seien.<br />
Auf einer Skala von 1 (unzufrieden) bis 4 (sehr<br />
zufrieden) geben 66% der befragten Institute<br />
den Wert 2 (teilweise zufrieden) an. Nur rund<br />
5% der Studienteilnehmer sind mit den Baseler<br />
Papieren zufrieden (Wert 3), wohingegen 29%<br />
antworten, dass sie damit unzufrieden seien. Im<br />
Mittel liegt der Zufriedenheitsgrad der Studienteilnehmer<br />
<strong>bei</strong> einem Wert von 1,77. Da<strong>bei</strong><br />
zeigen die Ergebnisse, dass die Zufriedenheit<br />
mit den Baseler Papieren mit der Verwendung<br />
von fortgeschritteneren Ansätzen positiv korreliert<br />
4 . Das heißt, dass Institute, die beabsichtigen,<br />
einen fortgeschritteneren Ansatz zu verwenden,<br />
dazu tendieren, mit den Baseler<br />
Konsultationspapieren zufriedener zu sein.<br />
Bei welchen Themen sehen Sie<br />
weiteren Handlungsbedarf seitens der<br />
Aufsichtsbehörden?<br />
Abbildung 5 stellt die von den Studienteilnehmern<br />
am häufigsten genannten Themen dar, <strong>bei</strong><br />
denen weiterer Handlungsbedarf seitens der<br />
4 Spearman-Rho = 0,339. Die Korrelation ist auf 99%-Niveau signifikant.<br />
5 Spearman-Rho = 0,480. Die Korrelation ist auf 99%-Niveau signifikant.<br />
6 Ohne diejenigen Banken, die keine Definition eingeführt haben.<br />
7 Unter „Sonstige Definition“ wurden die ursprünglich im Fragebogen<br />
vorgegebenen Antwortalternativen „eigen entwickelte Definition“ und<br />
„sonstige Definition“ subsumiert.<br />
12<br />
Abb. 5: Handlungsbedarf seitens der Aufsichtsbehörden nach Themen<br />
Ausgestaltung der Eigenkapitalunterlegungsansätze<br />
Auswahl der Exposure-Indikatoren<br />
Kriterien zur Anerkennung von Versicherungen<br />
Risikokategorisierung<br />
Sound Practices<br />
Definition Bruttoertrag<br />
Risikodefinition<br />
Sonstige<br />
Aufsichtsbehörden besteht. Nur einer der 60<br />
Studienteilnehmer sieht keinen Handlungsbedarf.<br />
Zentrale Punkte sind die weitere Ausgestaltung<br />
der Eigenkapitalunterlegungsansätze, die Auswahl<br />
der Exposure-Indikatoren für die verschiedenen<br />
Ansätze und genauere Kriterien zur Anerkennung<br />
von Versicherungen im Rahmen der<br />
Risk-Mitigation. Auch auf dem Gebiet der<br />
Risikokategorisierung sehen viele Banken weiteren<br />
Handlungsbedarf. Unter sonstigem Handlungsbedarf<br />
werden vor allem die Richtlinien <strong>bei</strong>m Mapping,<br />
die Ausgestaltung des Partial Use und die<br />
Abgrenzung von Markt-, Kredit- und operationellen<br />
<strong>Risiken</strong> als Problemfelder hervorgehoben.<br />
3.2.3 Definition und Kategorisierung<br />
operationeller <strong>Risiken</strong><br />
Ein großer Schritt nach vorne wurde in den<br />
letzten Jahren <strong>bei</strong> der Definition operationeller<br />
<strong>Risiken</strong> gemacht. Mit 71,7% stellen diejenigen<br />
Studienteilnehmer, die bereits eine Definition in<br />
ihrem Unternehmen haben, die deutliche Mehrheit.<br />
Weitere fast 21,6% planen, in nächster Zeit<br />
eine Definition einzuführen. Vier Institute<br />
(6,7%) haben keine Definition operationeller<br />
<strong>Risiken</strong> in ihrem Unternehmen festgelegt und<br />
planen auch nicht, diese zu einem späteren<br />
Zeitpunkt zu implementieren. Nur ein Studienteilnehmer<br />
verwendet, wie vor einigen Jahren<br />
durchaus noch üblich, eine negative Definition<br />
operationeller <strong>Risiken</strong>. Da<strong>bei</strong> lässt sich ein<br />
positiver Zusammenhang zwischen der Verwendung<br />
einer OR-Definition im Unternehmen und<br />
der Größe (gemessen an der Bilanzsumme) der<br />
Bank feststellen: Größere Institute sind tendenziell<br />
auf diesem Gebiet fortgeschrittener und verwenden<br />
bereits eine Definition 5 .<br />
Besteht in Ihrem Unternehmen eine<br />
Definition für operationelle <strong>Risiken</strong>?<br />
Wenn ja, welche?<br />
Abbildung 6 verschafft einen Überblick über die<br />
Arten an Definitionen, welche die Banken verwenden<br />
bzw. planen. Rund 52% aller Studienteilnehmer<br />
6 verwenden die Definition nach<br />
Basel II oder planen diese zu verwenden. Untersucht<br />
man die <strong>bei</strong>den Gruppen – Definition<br />
wird bereits verwendet/Definition ist geplant – ,<br />
so stellt man fest, dass vor allem in der Gruppe<br />
der Banken, die bereits eine Definition eingeführt<br />
haben, ein hoher Anteil (46,5%) eine<br />
sonstige Definition 7 nutzt. Meist handelt es sich<br />
Abb. 6: Anteil der Kreditinstitute mit einer Definition operationeller <strong>Risiken</strong><br />
100%<br />
80%<br />
60%<br />
40%<br />
20%<br />
53,5<br />
46,2<br />
51,8<br />
46,5<br />
(Mehrfachantworten waren möglich)<br />
20% 40% 60% 80% 100%<br />
Basel-II-Definition<br />
= ja = geplant = gesamt<br />
Sonstige Definition offen<br />
23,1<br />
41,1<br />
0,0<br />
30,7<br />
7,1
Abb. 7: Verwendung einer OR-Kategorisierung<br />
100%<br />
80%<br />
60%<br />
40%<br />
20%<br />
71,4<br />
57,5<br />
50 50<br />
7,5<br />
2,5<br />
17,9<br />
8,9<br />
1,8<br />
ja geplant nein Entscheidung offen (E.o.)<br />
= total = davon Basel II: verwendet = davon Basel II: geplant = davon Basel II: E.o.<br />
da<strong>bei</strong> entweder um die Definition des Bundesverbandes<br />
Öffentlicher Banken (VÖB) oder um<br />
eine modifizierte Variante der Basel-II-Definition.<br />
Betrachtet man die Gruppe der Institute mit<br />
sonstiger Definition genauer, so stellt man fest,<br />
dass 87% der Institute analog zu Basel II Rechtsrisiken<br />
mit einschließen. 52% dieser Institute<br />
beziehen allerdings auch Reputationsrisiken, die<br />
in Basel II klar ausgeschlossen werden, in ihre<br />
Definition mit ein. Überraschend ist allerdings,<br />
dass einige Institute, die angeben, die<br />
Basel-II-Definition zu verwenden, Rechtsrisiken<br />
darin ausschließen (4 Banken) bzw. Reputationsrisiken<br />
mit einbeziehen (6 Banken). Beim Einbezug<br />
von Reputationsrisiken in die OR-Definition<br />
lässt sich ein überraschender Zusammenhang<br />
zur Bilanzsumme der Institute erkennen: So<br />
beziehen kleinere Institute tendenziell Reputationsrisiken<br />
in ihre Definition operationeller<br />
<strong>Risiken</strong> mit ein 8 .<br />
Ein weiterer Punkt, der <strong>bei</strong> der Erfassung von<br />
operationellen <strong>Risiken</strong> von zentraler Bedeutung<br />
ist, ist die Abgrenzung dieser Risikoart zu<br />
Kreditrisiken. Nur rund 53% der Banken, die<br />
eine Definition verwenden oder planen, haben<br />
diese Abgrenzung bisher getätigt. Ein Ergebnis,<br />
Abb. 8: Arten der OR-Kategorisierung in den <strong>Kreditinstituten</strong><br />
ursachenbasiert (cause)<br />
cause, effect & event<br />
ereignisbasiert (event)<br />
noch offen<br />
cause & event<br />
cause & effect<br />
effect & event<br />
auswirkungsbasiert (effect)<br />
3.2 Umsetzung aufsichtsrechtlicher Anforderungen <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
das die Tatsache unterstreicht, dass die Studienteilnehmer<br />
auf diesem Gebiet weiteren Handlungsbedarf<br />
seitens der Aufsichtsbehörden sehen.<br />
Ist in Ihrem Unternehmen eine<br />
OR-Kategorisierung vorhanden? Verwenden<br />
Sie da<strong>bei</strong> die Kategorisierung nach Basel II?<br />
Neben der Definition operationeller <strong>Risiken</strong> gibt<br />
Basel OR-Kategorien vor, auf die die etwaig<br />
abweichenden Kategorisierungen im Unternehmen<br />
gemappt werden müssen. Aus Abbildung 7 geht<br />
hervor, dass lediglich 5 Studienteilnehmer (8,9%),<br />
die eine Definition operationeller <strong>Risiken</strong> einsetzen<br />
oder planen, noch keine OR-Kategorisierung<br />
haben. 71,4% der befragten Banken mit bestehender<br />
oder geplanter OR-Definition haben eine<br />
Kategorisierung festgelegt. In dieser Gruppe<br />
folgen 57,5% den Vorgaben aus Basel, 7,5%<br />
planen in nächster Zeit, ihre bestehende Kategorisierung<br />
auf die Baseler Vorgaben umzustellen.<br />
In der Gruppe der Banken, die eine Kategorisierung<br />
plant (17,9%), wollen 50% gemäß Basel II<br />
vorgehen. Bei weiteren 50% steht eine Entscheidung<br />
noch aus. Analog dem Zusammenhang<br />
zwischen Existenz einer OR-Definition und der<br />
10% 20% 30% 40% 50%<br />
Größe der Bank lässt sich die Aussage treffen,<br />
dass kleinere Banken tendenziell noch keine<br />
OR-Kategorisierung festgelegt haben 9 . Banken,<br />
die sich diesbezüglich nicht nach Basel richten,<br />
müssen die von ihnen gewählte Kategorisierung<br />
auf die von Basel mappen. Auf einer Skala von 1<br />
(nicht problematisch) bis 4 (sehr problematisch)<br />
stufen die Institute das Mapping im Mittel<br />
mit teilweise problematisch (Wert 2) ein 10 .<br />
Wie nehmen Sie Ihre OR-Kategorisierung vor?<br />
Abbildung 8 zeigt, wie die Studienteilnehmer<br />
ihre OR-Kategorisierung vornehmen bzw. planen.<br />
Rund 36% gehen da<strong>bei</strong> allein ursachenbasiert<br />
vor. 19% verwenden alle drei Arten der Risikokategorisierung.<br />
17% hingegen verwenden eine<br />
rein ereignisbasierte Kategorisierung.<br />
3.2.4 OR-Rahmenwerk und Strategie<br />
Die im Baseler Konsultationspapier verankerte<br />
Säule II 11 fordert von den Banken unter anderem<br />
die Einrichtung eines Systems zur Identifizierung,<br />
Bewertung, Überwachung, Steuerung und<br />
Minderung operationeller <strong>Risiken</strong>. Ein OR-<br />
Rahmenwerk, mit OR-Definition und OR-<br />
Kategorisierung, soll da<strong>bei</strong> die Etablierung einer<br />
unternehmenseinheitlichen „OR-Sprache“<br />
unterstützen.<br />
Abb. 9: Tatsächlicher und geplanter<br />
Einsatz eines OR-Rahmenwerks<br />
6,7%<br />
38,1%<br />
15,0%<br />
40,2%<br />
= ja = geplant = Entscheidung offen = nein<br />
8 Spearman-Rho = 0,403. Die Korrelation ist auf 99%-Niveau signifikant.<br />
9 Spearman-Rho = 0,480. Die Korrelation ist auf 99%-Niveau signifikant.<br />
10 Standardabweichung = 0,620.<br />
11 Die Säule II der Baseler Konsultationspapiere beschreibt Anforderungen<br />
im Rahmen des aufsichtsrechtlichen Überprüfungsverfahrens.<br />
Darin werden von den Banken Maßnahmen im Umgang mit <strong>Risiken</strong><br />
gefordert, wie z. B. die Implementierung eines Risikomanagementsystems.<br />
13
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.3 Organisation und Prozesse <strong>bei</strong>m Management operationeller <strong>Risiken</strong><br />
Ist in Ihrem Unternehmen ein Rahmenwerk/<br />
eine Richtlinie für OR vorhanden?<br />
Abbildung 9 verdeutlicht den Verwendungsgrad<br />
eines OR-Rahmenwerks unter den befragten<br />
Banken. Eine deutliche Mehrheit der Institute<br />
hat bereits ein Rahmenwerk für operationelle<br />
<strong>Risiken</strong> im Unternehmen etabliert (40,2%) bzw.<br />
plant, derartige Richtlinien auszuar<strong>bei</strong>ten<br />
(38,1%). Da<strong>bei</strong> besteht in größeren Banken<br />
tendenziell eher ein OR-Rahmenwerk als in<br />
kleineren Instituten 12 . Dies lässt einerseits den<br />
Schluss zu, dass größere Banken mit meist<br />
komplexeren Organisationsformen zur unternehmenseinheitlichen<br />
Vorgehensweise im Thema<br />
OR klare Richtlinien benötigen. Da größere<br />
Banken auf dem Gebiet der operationellen <strong>Risiken</strong><br />
tendenziell fortgeschrittener sind – was die<br />
Ergebnisse dieser Studie bestätigen –, kann man<br />
andererseits daraus schließen, dass einem OR-<br />
Rahmenwerk eine wichtige Rolle im OR-<br />
Managementprozess zukommt. Dies unterstreicht<br />
auch das Ergebnis der Analyse des<br />
Bedeutungsgrades, den die Studienteilnehmer<br />
einem OR-Rahmenwerk <strong>bei</strong>messen. Auf einer<br />
Skala von 1 (keine Priorität) bis 4 (hohe Priorität)<br />
erhält ein OR-Rahmenwerk im Mittel den<br />
Wert 3,47 13 . Da<strong>bei</strong> messen gut 59% der Studienteilnehmer<br />
einem Rahmenwerk eine hohe<br />
Bedeutung <strong>bei</strong>. Bei genauerer Untersuchung<br />
dieses Ergebnisses lässt sich analog zum vorhergehenden<br />
Zusammenhang beobachten, dass<br />
größere Banken ein OR-Rahmenwerk tendenziell<br />
für dringender erachten als kleinere Institute 14 .<br />
Existiert in Ihrem Unternehmen eine<br />
OR-Strategie?<br />
Die Implementierung einer OR-Strategie ist ein<br />
weiterer Baustein des Managements operationeller<br />
<strong>Risiken</strong>, der gemäß der Sound Practices<br />
vom Dezember 2001 ebenso wie das Rahmenwerk<br />
innerhalb der Säule II von Basel gefordert<br />
wurde. In der Veröffentlichung der Sound<br />
Practices vom Juli 2002 wird die Bedeutung des<br />
Aufbaus eines Rahmenwerks weiterhin hervorgehoben,<br />
die Entwicklung einer OR-Strategie<br />
wird jedoch nicht mehr explizit verlangt.<br />
Abbildung 10 verschafft einen Überblick über<br />
den Verwendungsgrad einer OR-Strategie <strong>bei</strong><br />
den Teilnehmern der Studie. Lediglich knapp<br />
ein Drittel der Banken verwendet bereits eine<br />
14<br />
Abb. 10: Vorhandensein einer<br />
OR-Strategie<br />
5,0%<br />
20,0%<br />
43,3%<br />
31,7%<br />
= ja = geplant = Entscheidung offen = nein<br />
OR-Strategie. Immerhin ist <strong>bei</strong> rund 43% der<br />
befragten Institute selbige bereits in Planung.<br />
Lediglich vier Studienteilnehmer haben im<br />
Rahmen dieser OR-Strategie einen Risikotoleranzlevel<br />
zur Eingrenzung des „Risikoappetits“ des<br />
Unternehmens definiert. Weitere 14 Institute<br />
planen die Implementierung eines entsprechenden<br />
Limits.<br />
3.3 Organisation und Prozesse <strong>bei</strong>m<br />
Management operationeller <strong>Risiken</strong><br />
Dass dem Thema operationelle <strong>Risiken</strong> mehr<br />
und mehr Bedeutung zukommt und das<br />
Management operationeller <strong>Risiken</strong> neben dem<br />
Management von Markt- und Kreditrisiken als<br />
eigenständige Disziplin mit eigener organisatorischer<br />
Struktur verstanden wird, äußert sich<br />
deutlich darin, dass bereits fast 52% der befragten<br />
Banken eine eigenständige OR-Aufbauorganisation<br />
mit entsprechender Festlegung von<br />
Rollen und Verantwortlichkeiten im OR-<br />
Managementprozess etabliert haben. Weitere<br />
gut 26% der Studienteilnehmer beabsichtigen<br />
derartige Strukturen in ihrem Unternehmen<br />
einzurichten.<br />
Besteht eine zentrale OR-Controllingeinheit?<br />
Das Management operationeller <strong>Risiken</strong> findet<br />
auf verschiedenen Ebenen statt. Neben dem<br />
originären Management operationeller <strong>Risiken</strong><br />
auf Abteilungs- oder Bereichsebene durch das<br />
jeweils verantwortliche Management haben die<br />
meisten Banken, analog zu anderen Risikoarten,<br />
eine zentrale OR-Controllingeinheit, welche die<br />
Abteilungen in Fragen operationeller <strong>Risiken</strong><br />
Abb. 11: Vorhandensein einer zentralen<br />
OR-Controllingeinheit<br />
13,3%<br />
8,3%<br />
13,4%<br />
65,0%<br />
= ja = geplant = Entscheidung offen = nein<br />
unterstützt. Abbildung 11 zeigt die Bedeutung<br />
der zentralen OR-Controllingeinheit.<br />
65% der befragten Banken haben eine zentrale<br />
Einheit etabliert, die meist als Teileinheit des<br />
Risikocontrollings zentrale OR-Funktionen<br />
übernimmt und in fast 65% der Fälle von einem<br />
verantwortlichen Leiter, dem Head of Operational<br />
Risk (HoOR), geführt wird. 8,3% der Institute<br />
beabsichtigen, eine zentrale OR-Controllingeinheit<br />
einzurichten. Über die verbleibenden acht<br />
Studienteilnehmer, die weder eine zentrale OR-<br />
Controllingeinheit haben noch planen, lassen<br />
sich folgende Aussagen machen:<br />
• Bei einem Institut übernimmt das Risikocontrolling<br />
der Konzernmutter die originären<br />
Aufgaben einer zentralen OR-Controllingeinheit.<br />
• Zwei Banken betrauen damit ein spezielles<br />
OR-Komitee.<br />
• Vier Banken machen dazu keine näheren<br />
Angaben.<br />
• Nur eine Bank hat bisher kein zentrales<br />
OR-Controlling.<br />
Aus den obigen Ergebnissen lässt sich klar<br />
erkennen, dass die zentrale OR-Controllingeinheit<br />
für die Mehrzahl der Banken ein wichtiger Baustein<br />
im Management operationeller <strong>Risiken</strong> ist.<br />
Wie viele Mitar<strong>bei</strong>ter-Kapazitäten sind in der<br />
zentralen OR-Controllingeinheit beschäftigt?<br />
Abbildung 12 veranschaulicht, jeweils unterteilt<br />
in vier Peer Groups, die durchschnittliche<br />
Anzahl, das Minimum und das Maximum an<br />
12 Spearman-Rho = 0,407. Die Korrelation ist auf 99%-Niveau signifikant.<br />
13 Standardabweichung = 0,728.<br />
14 Spearman-Rho = 0,324. Die Korrelation Bilanzsumme und<br />
Bedeutungsgrad ist auf 99%-Niveau signifikant.
Mitar<strong>bei</strong>terkapazitäten (MAK), die in der zentralen<br />
OR-Controllingeinheit mit operationellem<br />
Risikomanagement beschäftigt sind. Das Minimum<br />
von null MAK in Peer Group 3 wurde von<br />
der betreffenden Bank damit begründet, dass ihr<br />
OR-Controlling derzeit kaum Aufwand verursache<br />
und daher kaum zusätzliche MAK gebunden<br />
werden.<br />
Wie viele Mitar<strong>bei</strong>ter-Kapazitäten sind in der<br />
zentralen OR-Controllingeinheit für die<br />
nächsten drei bis fünf Jahre geplant (gesamt)?<br />
Die Ergebnisse aus Abbildung 13 bestätigen,<br />
dass die Entwicklung des zentralen Controllings<br />
operationeller <strong>Risiken</strong> keineswegs abgeschlossen<br />
ist, sondern dieser Bereich in Zukunft weiter<br />
an Bedeutung gewinnen wird. Bemerkenswert<br />
ist, dass in allen vier Vergleichsgruppen<br />
über 50% der befragten Banken mit zentraler<br />
OR-Controllingeinheit beabsichtigen, in den<br />
nächsten drei bis fünf Jahren weitere MAK für<br />
das zentrale OR-Controlling bereitzustellen.<br />
Welche Aufgaben werden durch das<br />
OR-Controlling/den Head of Operational<br />
Risk wahrgenommen?<br />
Werden operationelle <strong>Risiken</strong> zentral gemanagt,<br />
so hat die zentrale OR-Controllingeinheit gemäß<br />
den Ergebnissen unserer Umfrage hauptsächlich<br />
drei Kompetenzbereiche (vgl. Abbildung 14).<br />
Einerseits treibt das zentrale OR-Controlling die<br />
Entwicklung im OR-Bereich voran, das heißt, es<br />
entwickelt OR-Managementmethoden, wie zum<br />
Beispiel Self Assessments oder Risikoindikatoren<br />
sowie OR-Definitionen, OR-Rahmenwerk oder<br />
3.3 Organisation und Prozesse <strong>bei</strong>m Management operationeller <strong>Risiken</strong> <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
Abb. 12: Anzahl MAK in den zentralen OR-Controllingeinheiten nach Peer Groups<br />
MAK<br />
16<br />
14<br />
12<br />
10<br />
8<br />
6<br />
4<br />
2<br />
0<br />
5,9<br />
1,9<br />
0,8 0,7<br />
2,0<br />
0,3 0,0 0,1<br />
Mittelwert Minimum Maximum<br />
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4<br />
14,0<br />
6,0<br />
2,0 2,0<br />
OR-Richtlinien. Andererseits liegen die<br />
Schwerpunkte der Tätigkeiten in der zentralen<br />
Sammlung und Auswertung von meist aus den<br />
dezentralen Einheiten zugelieferten Daten und<br />
OR-relevanten Informationen. Zudem hat das<br />
zentrale OR-Controlling die Aufgabe, für ein<br />
unternehmenseinheitliches Vorgehen in Sachen<br />
OR zu sorgen und die Verantwortlichen des<br />
dezentralen OR-Managements <strong>bei</strong> wichtigen<br />
Fragen und Problemen zu beraten und zu<br />
unterstützen. Neben den oben genannten Aufgaben<br />
ist der Einbezug der Unternehmensführung<br />
in die OR-spezifischen Vorgänge im Unternehmen<br />
ein weiterer wichtiger Baustein innerhalb<br />
Abb.13: Geplanter Ausbau der MAK in den zentralen OR-Controllingeinheiten<br />
100%<br />
80%<br />
60%<br />
40%<br />
20%<br />
69,2<br />
50,1<br />
54,5<br />
62,4<br />
30,8 31,3<br />
37,4<br />
36,4<br />
12,5<br />
9,1<br />
0,0<br />
Ja Nein Unklar<br />
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4<br />
Abb. 14: Hauptaufgaben der zentralen OR-Controllingeinheit<br />
Entwicklung von OR-Managementmethoden<br />
Auswertung von Daten und Informationen<br />
Sammlung von Daten und Informationen<br />
Erstellung von Reports<br />
Entwicklung des OR-Rahmenwerks<br />
Entwicklung von Definitionen<br />
Methodenhoheit: Sicherstellung eines<br />
unternehmenseinheitlichen Vorgehens<br />
Beratende und unterstützende Tätigkeit<br />
gegenüber den Abteilungen<br />
Entwicklung von OR-Richtlinien<br />
Entwicklung von Quantifizierungsmethoden<br />
Entwicklung/Bereitstellung von technischen<br />
Lösungen, z. B. Software<br />
Verbindung zu Markt- & Kreditrisiken herstellen<br />
Überwachung des unternehmensübergreifenden<br />
OR-Managements<br />
OR-Management-Training,<br />
Schulung von Mitar<strong>bei</strong>tern im Thema OR<br />
Roll-out von OR-Managementmethoden<br />
Backtesting von OR-Managementmethoden<br />
Risikokapitalbudgetierung<br />
Bewertung von Kosten und Erträgen des<br />
OR-Managements<br />
Sonstige<br />
(nächste 3-5 Jahre)<br />
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%<br />
6,3<br />
(Mehrfachantworten waren möglich)<br />
15
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.3 Organisation und Prozesse <strong>bei</strong>m Management operationeller <strong>Risiken</strong><br />
der Ar<strong>bei</strong>t der zentralen OR-Controllingeinheit.<br />
Um diesem Erfordernis zu entsprechen, ist eine<br />
weitere Kernaufgabe des zentralen OR-<br />
Controllings, von ihm erar<strong>bei</strong>tete wichtige<br />
Ergebnisse an die entsprechenden Stellen zu<br />
berichten. Sofern das zentrale OR-Controlling<br />
von einer separaten Einheit wahrgenommen<br />
wird, sind die Hauptempfänger der OR-Reports<br />
der Vorstand bzw. die Geschäftsführung der<br />
jeweiligen Bank (78,8% der Antworten) und der<br />
Leiter der Risikocontrollingabteilung (66,7%).<br />
Insbesondere Reports an Vorstand und Geschäftsführung<br />
haben die wichtige Funktion, diese<br />
Gremien aktiv in den OR-Managementprozess<br />
einzubeziehen. Dies ist die Voraussetzung für<br />
eine erfolgreiche Umsetzung des Themas im<br />
Institut.<br />
Die vorliegende Studie zeigt, dass 80% der<br />
befragten Banken neben einer zentralen OR-<br />
Controllingeinheit weiteres Personal auf Bereichsbzw.<br />
Abteilungsebene für das dezentrale Management<br />
operationeller <strong>Risiken</strong> einsetzen. Weitere<br />
5% planen entsprechende Projekte zur Implementierung<br />
dezentraler OR-Managementstrukturen.<br />
Nur 15% der befragten Institute haben kein<br />
Personal für den OR-Managementprozess auf<br />
Bereichs-/Abteilungsebene bereitgestellt. Das<br />
Ergebnis zeigt, dass der OR-Managementprozess<br />
nicht nur zentral gesteuert wird, sondern dass<br />
entsprechendes OR-Personal dezentral in den Bereichen<br />
bzw. Abteilungen für die unternehmenseinheitliche<br />
Umsetzung der Aktivitäten sorgen muss.<br />
Wie viele Mitar<strong>bei</strong>ter-Kapazitäten sind in den<br />
Abteilungen dezentral für OR in den nächsten<br />
drei bis fünf Jahren geplant (gesamt)?<br />
Wie aus Abbildung 15 ersichtlich wird, zielen<br />
50% der Banken, die operationelle <strong>Risiken</strong><br />
16<br />
Abb. 16: Hauptaufgaben des dezentralen OR-Managements<br />
Sammlung von Daten und Informationen<br />
Anwendung von OR-Methoden in den Abteilungen<br />
(z.B. Self / Risk Assessment)<br />
Beratung <strong>bei</strong> der Durchführung risikomindernder<br />
Maßnahmen in den Abteilungen<br />
Erstellung von Abteilungs-/Bereichsreports<br />
Schulung von Mitar<strong>bei</strong>tern im Thema OR<br />
Bewertung von Kosten und Erträgen des<br />
OR-Managements<br />
Erstellung von bankweiten (Vorstands-) Reports<br />
Sonstige<br />
bereits dezentral steuern, auf eine Ausweitung<br />
ihrer Mitar<strong>bei</strong>terkapazitäten. Rund 78% dieser<br />
Institute beabsichtigen sogar, ihre Kapazitäten<br />
um mehr als 50% aufzustocken. In Peer Group<br />
4 liegt der Anteil derer, die in den nächsten<br />
drei bis fünf Jahren ihre dezentralen OR-<br />
Managementkapazitäten ausweiten wollen,<br />
immerhin <strong>bei</strong> 63%. Dies deutet an, dass sich<br />
gerade <strong>bei</strong> kleineren Instituten das Management<br />
operationeller <strong>Risiken</strong> noch im Anfangsstadium<br />
befindet und dementsprechend weitere MAK<br />
aufgebaut werden müssen. Insgesamt beabsichtigen,<br />
nur 27% der Banken auf diesem Gebiet<br />
nicht zu expandieren.<br />
Diese Entwicklung trägt sicherlich der ab 2007<br />
in Kraft tretenden Eigenkapitalvereinbarung des<br />
Baseler Ausschusses und den darin geforderten<br />
qualitativen Voraussetzungen für ein Risikomanagementsystem<br />
Rechnung, die nur mit<br />
entsprechendem Ausbau von OR-Ressourcen zu<br />
erfüllen sind. Die Zusammenar<strong>bei</strong>t des OR-<br />
Managements auf Abteilungsebene mit der<br />
zentralen OR-Controllingeinheit bedarf eines<br />
funktionierenden Schnittstellenmanagements.<br />
Abb. 15: Geplanter Ausbau der MAK im dezentralen OR-Management<br />
100%<br />
80%<br />
60%<br />
40%<br />
20%<br />
(nächste 3-5 Jahre)<br />
63<br />
50<br />
44<br />
50<br />
50<br />
33<br />
25<br />
25 25 26 27<br />
25 22<br />
11<br />
Ja Nein Unklar<br />
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt<br />
23<br />
(Mehrfachantworten waren möglich)<br />
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%<br />
Dazu haben 64% der an der Umfrage beteiligten<br />
Banken mit dezentralem OR-Management die<br />
Funktion eines OR-Beauftragten geschaffen oder<br />
geplant. Der OR-Beauftragte fungiert als zentraler<br />
Ansprechpartner für die Abteilungs- /<br />
Bereichsmitar<strong>bei</strong>ter und für die zentrale OR-<br />
Controllingeinheit.<br />
Welche Aufgaben nehmen das OR-Personal<br />
in den Abteilungen bzw. der OR-Beauftragte<br />
wahr?<br />
Abbildung 16 verdeutlicht die Hauptaufgaben<br />
eines dezentralen OR-Managements. Da<strong>bei</strong> wird<br />
deutlich, dass das dezentrale OR-Personal vorwiegend<br />
die Aufgabe hat, OR-relevante Daten<br />
und Informationen zu sammeln und die in der<br />
zentralen OR-Controllingeinheit ausgear<strong>bei</strong>teten<br />
OR-Methoden, wie zum Beispiel das Self<br />
Assessment, auf Abteilungs- bzw. Bereichsebene<br />
umzusetzen. Auch eine beratende Tätigkeit<br />
<strong>bei</strong> der Durchführung der auf die Identifikation<br />
von OR-sensitiven Bereichen folgenden risikomindernden<br />
Maßnahmen sehen gut 55% der<br />
Banken mit dezentraler OR-Managementstruktur<br />
als eine der Kompetenzen des OR-Personals.<br />
Im Rahmen des Reportings der Ergebnisse aus<br />
dem dezentralen OR-Management melden 64%<br />
aller Institute die erhobenen Daten mittels<br />
Abteilungs-/Bereichsreports an die Abteilungs-/<br />
Bereichsleitung. Des Weiteren melden fast 76%<br />
der Banken, die sowohl dezentrales als auch<br />
zentrales OR-Controlling etabliert haben, ihre<br />
dezentral erhobenen OR-Daten an die zentrale<br />
OR-Controllingeinheit (OR-Controlling und/oder<br />
HoOR und/oder Leiter Risikocontrolling).<br />
Bemerkenswert ist, dass nur gut 48% der Institute,
die oben erwähnter Gruppe angehören, sowohl<br />
an die Abteilungs-/Bereichsleitung als auch an<br />
die zentrale OR-Controllingeinheit melden.<br />
Welche weiteren Einheiten des Unternehmens<br />
werden in den OR-Managementprozess mit<br />
einbezogen?<br />
Neben den bereits angesprochenen OR-Einheiten<br />
sind oftmals weitere Gremien in den OR-<br />
Managementprozess eingebunden. 45% aller<br />
befragten Banken haben oder planen derartige<br />
Einheiten. Überwiegend handelt es sich da<strong>bei</strong><br />
entweder um allgemeine Risikokomitees, die sich<br />
mit mehreren Risikoarten befassen, oder aber um<br />
spezielle OR-Komitees, deren Aufgabenspektrum<br />
von beratenden und unterstützenden Tätigkeiten<br />
bis zur Übernahme der Aufgaben einer zentralen<br />
OR-Controllingeinheit reicht. Meist fungiert<br />
das OR-Komitee jedoch als Lenkungsausschuss,<br />
der zentrale Punkte des OR-Managementprozesses<br />
vorantreibt und ein unternehmensweit einheitliches<br />
Vorgehen sicherstellen soll.<br />
Überdies beziehen die Studienteilnehmer weitere<br />
Einheiten im Unternehmen in den OR-<br />
Managementprozess mit ein (vgl. Abb. 17). Von<br />
allen befragten Banken involvieren nur zwei<br />
Institute keine weiteren Unternehmenseinheiten<br />
in diesen Prozess.<br />
Am häufigsten werden die Kenntnisse der<br />
Revision (90,9%), Rechtsabteilung (72,7%)<br />
und IT-Abteilung (69,1%) in diesem Zusammenhang<br />
genutzt. Das Ergebnis dürfte kaum überraschen,<br />
da die Auditfunktion zentrale Bedeutung<br />
<strong>bei</strong> der Überprüfung des Risikomanagementprozesses<br />
hat, Definitionen und Auswirkungen<br />
3.3 Organisation und Prozesse <strong>bei</strong>m Management operationeller <strong>Risiken</strong> <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
operationeller <strong>Risiken</strong> stark rechtlich getrieben<br />
sind sowie Instrumente und Methoden des<br />
operationellen Risikomanagements mit Hilfe<br />
der entsprechenden Umsetzung in IT-Strukturen<br />
angewandt werden. Meist haben diese Einheiten<br />
ausschließlich beratende oder unterstützende<br />
Funktionen.<br />
Welche Rolle spielt die Revision im<br />
OR-Managementprozess?<br />
Aus Abbildung 18 ist ersichtlich, wie die Studienteilnehmer<br />
auf einer Skala von 1 (unabhängiges<br />
Prüfungsorgan) bis 5 (Revision übernimmt den<br />
OR-Managementprozess) die Funktion der<br />
Revision in ihrem Haus einordnen. In 83% aller<br />
Abb. 17: Weitere in den OR-Managementprozess einbezogene Einheiten<br />
Revision<br />
Rechtsabteilung<br />
IT-Abteilung<br />
Organisationsabteilung<br />
Personalabteilung<br />
Sonstige<br />
Betriebsrat<br />
15 Standardabweichung = 0,88.<br />
16 Mehrfachantworten waren möglich.<br />
17 Mehrfachantworten waren möglich.<br />
(Mehrfachantworten waren möglich)<br />
20% 40% 60% 80% 100%<br />
Fälle wird der Revision eine eher prüfende<br />
Funktion zugebilligt, das heißt, die Rolle der<br />
Revision wird mit 1 oder 2 bewertet. Im Mittel<br />
liegt die Bewertung <strong>bei</strong> 1,81 15 , was die These<br />
bestätigt, dass auch der Revision tendenziell<br />
eher beratende oder bestenfalls unterstützende<br />
Aufgaben im OR-Managementprozess zukommen.<br />
Die Aufschlüsselung nach Peer Groups<br />
zeigt, dass eine aktivere Rolle der Revision<br />
(Bewertung 3 oder 4) nur <strong>bei</strong> Instituten aus<br />
Peer Group 3 oder 4 anzutreffen ist.<br />
Abb. 18: Rolle der Revision im OR-Managementprozess<br />
100%<br />
80%<br />
Diese Ergebnisse sind ein weiteres Indiz dafür,<br />
dass die organisatorische Umsetzung des OR-<br />
Managementprozesses in größeren Instituten<br />
tendenziell weiter entwickelt ist, so dass sich <strong>bei</strong><br />
diesen Instituten die Revision vollständig auf ihre<br />
originäre Prüfungsaufgabe konzentrieren kann.<br />
Eine große Bedeutung für die Etablierung und<br />
das „Leben“ einer Risikokultur seitens der Mitar<strong>bei</strong>ter<br />
hat die Informationspolitik über OR im<br />
Unternehmen. 90% aller befragten Banken sind<br />
sich darüber einig, dass ein aktiver Einbezug<br />
des Personals durch entsprechende Informationspolitik<br />
Mitar<strong>bei</strong>ter feinfühliger in Bezug auf<br />
operationelle <strong>Risiken</strong> machen kann. Zentrale<br />
Maßnahmen sind die Durchführung von OR-<br />
Workshops (57,4%), die Information der Mitar<strong>bei</strong>ter<br />
durch Vorgesetzte (53,7%) sowie regelmäßige<br />
Informationen über das Thema OR mittels<br />
Infobriefen oder E-Mail (48,1%) 16 . Da<strong>bei</strong> fungiert<br />
das OR-Personal auf Abteilungs-/Bereichsebene<br />
oftmals als Multiplikator.<br />
Nach Identifikation OR-sensitiver Bereiche<br />
müssen geeignete Maßnahmen zur Risikominderung<br />
umgesetzt werden. Über 90% der befragten<br />
Institute sehen die Entscheidungskompetenz<br />
hierfür <strong>bei</strong> Vorstand bzw. Geschäftsführung 17 .<br />
73% der Studienteilnehmer sehen in dieser<br />
Hinsicht die Abteilungs- bzw. Bereichsleitung<br />
als Entscheidungsträger. Fast 68% der Banken<br />
legen die Entscheidungsbefugnis für risikomindernde<br />
Maßnahmen in die Hand <strong>bei</strong>der Leitungsorgane.<br />
Sofern Studienteilnehmer ein Gremium<br />
(zum Beispiel Risiko- oder OR-Komitee) in den<br />
OR-Managementprozess einbeziehen, hat dieses<br />
Gremium <strong>bei</strong> 61,1% der Institute die Kompetenz,<br />
über risikomindernde Maßnahmen zu<br />
entscheiden.<br />
Eine risikomindernde Handlungsmöglichkeit,<br />
die zudem unter bestimmten Voraussetzungen<br />
60%<br />
40%<br />
20%<br />
46<br />
37<br />
1 (Prüfungsorgan) 2 3 4 5 (OR-Management)<br />
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt<br />
50<br />
39 42<br />
63<br />
54<br />
33 31<br />
41<br />
0 0 17 15<br />
10 0 0 0<br />
15<br />
7 0 0 0 0 0<br />
17
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong><br />
Abb. 19: Durchschnittliche Bedeutung einer integrierten Steuerung<br />
Gesamt<br />
Verwendung „ja” oder „geplant“<br />
Verwendung „nein“<br />
Peer Group 1<br />
Peer Group 2<br />
Peer Group 3<br />
Peer Group 4<br />
zu einer verminderten Eigenkapitalunterlegung<br />
führen kann, stellt das Überwälzen von operationellen<br />
<strong>Risiken</strong> auf Versicherungen dar.<br />
Bereits 58% der Studienteilnehmer beziehen<br />
Versicherungen für den Transfer operationeller<br />
<strong>Risiken</strong> in den OR-Managementprozess ein oder<br />
planen einen entsprechenden Einbezug. Nur<br />
rund 16% der Institute nutzen keine Versicherungen<br />
für den Transfer operationeller <strong>Risiken</strong>.<br />
Verwenden Sie die Ergebnisse aus dem<br />
OR-Managementprozess zur integrierten<br />
risikoadjustierten Steuerung?<br />
Ein weiterführender Schritt im Management<br />
operationeller <strong>Risiken</strong> ist die Verwendung der<br />
Ergebnisse aus dem OR-Controlling zur integrierten<br />
risikoadjustierten Steuerung, das heißt<br />
zur internen Eigenkapitalallokation u. a. in<br />
Verbindung mit Markt- und Kreditrisiken.<br />
Bisher verwenden nur wenige Institute (13,6%)<br />
Ergebnisse aus ihrem OR-Managementprozess<br />
zur internen Eigenkapitalallokation. Abbildung<br />
19 illustriert jedoch, dass die Studienteilnehmer<br />
trotz des niedrigen Nutzungsgrades der Verwendung<br />
von OR-Daten zur integrierten risikoadjustierten<br />
Steuerung durchschnittlich<br />
diesen eine mittlere Bedeutung <strong>bei</strong>messen.<br />
Institute, die OR-Daten zur integrierten Steuerung<br />
verwenden, erachten diese tendenziell<br />
für dringender. 18 Jedoch messen selbst Institute,<br />
18 Spearman-Rho = 0,449. Die Korrelation ist auf 99%-Niveau signifikant.<br />
19 Korrelation Verwendung von OR-Daten zur internen<br />
Eigenkapitalallokation und Bilanzsumme: Spearman-Rho = 0,335 auf<br />
95%-Niveau signifikant. Korrelation Bedeutungsgrad und<br />
Bilanzsumme: Spearman-Rho = 0,300 auf 95%-Niveau signifikant.<br />
20 Vgl. dazu das folgende Kapitel.<br />
21 Für genauere Erläuterungen zu den einzelnen Methoden siehe Kap. 3.4.2<br />
22 In diesem Zusammenhang werden als best practice Methoden<br />
bezeichnet, die der Mehrheit der befragten Institute als zentrale<br />
Verfahren zur Identifizierung und Messung operationeller <strong>Risiken</strong><br />
dienen.<br />
23 Sonstige Ansätze bzw. sonstige Methoden wurden, sofern sie im<br />
Fragebogen als verwendet oder geplant angegeben wurden, von der<br />
Mehrheit der Banken nicht näher spezifiziert.<br />
18<br />
2,884<br />
3,164<br />
3,334<br />
3,294<br />
3,454<br />
3,634<br />
3,754<br />
1,0 2,0 3,0 4,0<br />
Bewertung auf einer Skala von 1 (keine Bedeutung) bis 4 (hohe Bedeutung).<br />
die keine Verwendung planen, dem Einbezug<br />
von OR-Daten durchschnittlich eine mittlere<br />
Bedeutung <strong>bei</strong>.<br />
In diesem Zusammenhang ist auch der Bedeutungsgrad<br />
in den einzelnen Peer Groups von<br />
Interesse. In Peer Group 1, in der 75% der<br />
Institute OR-Daten zur risikoadjustierten Steuerung<br />
heranziehen, liegt der durchschnittliche<br />
Bedeutungsgrad deutlich über dem Mittel aller<br />
Studienteilnehmer und dem Mittel der übrigen<br />
Peer Groups.<br />
Zusammenfassend kann festgestellt werden,<br />
dass größere Institute OR-Daten zur internen<br />
Eigenkapitalallokation heranziehen und dies<br />
tendenziell für dringender erachten. Dies wird<br />
durch die entsprechenden Korrelationen<br />
untermauert. 19<br />
Der Zusammenhang überrascht nicht, da diese<br />
Institute tendenziell fortgeschrittener in der<br />
Quantifizierung operationeller <strong>Risiken</strong> sind, 20<br />
was eine notwendige Bedingung für den Einbezug<br />
der OR-Ergebnisse in die interne Eigenkapitalallokation<br />
darstellt.<br />
= ja = geplant = nein = Entscheidung offen<br />
3.4 Methoden zur Identifikation und<br />
Messung operationeller <strong>Risiken</strong><br />
3.4.1 Überblick über verwendete Methoden<br />
Welche OR-Managementmethoden kommen<br />
in Ihrem Unternehmen zum Einsatz?<br />
Zur Identifikation und Messung operationeller<br />
<strong>Risiken</strong> wurden und werden seitens Theorie<br />
und Praxis verschiedene qualitative und<br />
quantitative Ansätze entwickelt. Abbildung 20<br />
verschafft einen Überblick über den Verwendungsgrad<br />
der in der Studie abgefragten OR-<br />
Managementmethoden. 21 Die Darstellung<br />
zeigt, welche Methoden sich bereits zum heutigen<br />
Zeitpunkt als Best Practice 22 identifizieren<br />
lassen bzw. welche Ansätze sich auf dem Weg zu<br />
einem Standardverfahren befinden. Am häufigsten<br />
verwenden die befragten Banken das<br />
Self /Risk Assessment (48%) und die Schadensfalldatenbank<br />
(43%) im Rahmen ihres OR-<br />
Managementprozesses. Zudem gewinnen diese<br />
Verfahren weiterhin an Bedeutung: Unter den<br />
Studienteilnehmern planen weitere rund 33%, eine<br />
Schadensfalldatenbank und weitere 30%, ein Self<br />
Assessment in nächster Zeit zu implementieren.<br />
Eine Methode, die bisher weniger verbreitet ist<br />
und aufgrund des hohen Planungsgrades jedoch<br />
mehr und mehr an Bedeutung gewinnen wird,<br />
sind Risikoindikatoren. Bisher von nur 18% der<br />
befragten Institute genutzt, planen fast 42%<br />
dieses Instrument zur Risikoidentifikation in<br />
ihrem OR-Managementprozess zukünftig einzusetzen.<br />
Dagegen sind Methoden wie Risikolandkarte,<br />
Szenarioanalysen oder sonstige Ansätze 23<br />
Verfahren, die nur von einer Minderheit der<br />
Banken eingesetzt oder geplant werden.<br />
Abb. 20: Verwendungsgrad einzelner OR-Managementmethoden<br />
Self Assessment<br />
Schadensfalldatenbank<br />
Risikolandkarte<br />
Risikoindikatoren<br />
Quantitative Methoden<br />
Szenarioanalyse<br />
Sonstige Methoden<br />
48 30 14 8<br />
43 33 17 7<br />
20 17 56 7<br />
18 42 17 23<br />
17 22 41 20<br />
10 12 51 27<br />
5 5 63 27<br />
20% 40% 60% 80% 100%
Auch quantitative Methoden wenden die<br />
Studienteilnehmer seltener an: Nur wenig mehr<br />
als ein Drittel der Institute verwendet oder plant<br />
diesen Ansatz. Allerdings hält sich noch ein<br />
relativ großer Teil der Banken die Entscheidung<br />
bezüglich einer Verwendung dieser Verfahren<br />
offen. Betrachtet man die verwendeten und geplanten<br />
Verfahren, segmentiert nach den vier Peer<br />
Groups, so ergibt sich ein differenzierteres Bild.<br />
Abbildung 21 zeigt, dass der aggregierte Verwendungs-<br />
und Planungsgrad 24 der meisten<br />
Methoden mit der Bilanzsumme der Institute<br />
positiv korreliert. So werden quantitative Methoden<br />
signifikant häufiger genutzt, je größer (gemessen<br />
an der Bilanzsumme) das Institut ist. 25 Nicht<br />
überraschen dürfte auch die Erkenntnis, dass<br />
einerseits ein signifikant positiver Zusammenhang<br />
zwischen der Verwendung einer Schadensfalldatenbank<br />
und der Verwendung quantitativer<br />
Methoden existiert 26 und andererseits der<br />
Einsatz einer Schadensfalldatenbank mit der<br />
Größe einer Bank positiv korreliert. 27 So unterstreichen<br />
die Ergebnisse die These, dass größere<br />
Banken tendenziell fortgeschrittenere Strukturen<br />
<strong>bei</strong>m Management operationeller <strong>Risiken</strong><br />
nutzen und daher auch komplexere, quantitative<br />
Methoden verwenden, die zudem die Existenz<br />
einer Schadensfalldatenbank voraussetzen.<br />
Auch die Verwendung von Risikoindikatoren 28<br />
und Szenarioanalyse 29 , ebenfalls eher komplexere<br />
Methoden, korreliert signifikant positiv mit der<br />
Bilanzsumme. Bemerkenswert ist jedoch das<br />
Ergebnis, dass ein signifikant positiver<br />
Zusammenhang zwischen der Anwendung des<br />
Self Assessments und der Bilanzsumme besteht 30 .<br />
Da diese Methode je nach Ausgestaltung ein<br />
relativ einfach zu handhabendes Verfahren sein<br />
kann, würde sich eine intensivere Verwendung<br />
gerade <strong>bei</strong> kleineren Banken anbieten.<br />
Für fast alle Studienteilnehmer gilt die Feststellung,<br />
dass eine Validierung (Backtesting) angewandter<br />
Verfahren, das heißt zum Beispiel <strong>bei</strong>m<br />
Self Assessment der Vergleich der Ergebnisse mit<br />
tatsächlich eingetretenen Schadensfällen, noch<br />
kaum betrieben wird. Nur 5 Studienteilnehmer<br />
führen ein Backtesting durch, weitere 21 planen<br />
eine Anwendung. Da eine Validierung erst nach<br />
einem gewissen Entwicklungsstand der angewandten<br />
Methode sinnvoll ist, verwundert es<br />
nicht, dass größere Institute auch auf diesem<br />
Feld tendenziell weiter fortgeschritten sind. 31<br />
3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong> <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
Abb. 21: Verwendete und geplante OR-Managementmethoden klassifiziert nach<br />
Peer Groups<br />
100%<br />
80%<br />
60%<br />
40%<br />
20%<br />
Peer Group 1 Peer Group 2 Peer Group 3 Peer Group 4<br />
= RL 37,5 35,7 25,0 42,3<br />
= SA 100,0 100,0 75,0 61,5<br />
= RI 100,0 71,4 41,6 50,0<br />
= SFDB 100,0 92,8 83,3 57,7<br />
= SzA 87,5 14,2 8,3 11,5<br />
= QM 75,0 50,0 45,5 19,2<br />
= SM 37,5 0,0 8,3 7,6<br />
RL=Risikolandkarte SA=Self Assessment RI=Risikoindikatoren SFDB=Schadensfalldatenbank SzA=Szenarioanalyse<br />
QM=Quantitative Methoden SM=Sonstige Methoden<br />
Zusammenfassend lassen sich aus Abbildung 21<br />
folgende Aussagen ableiten:<br />
• Banken aus Peer Group1 greifen mehrheitlich<br />
auf ein ausgefeilteres System von mehreren<br />
OR-Managementmethoden zurück und<br />
tendieren dazu, auch komplexere Methoden<br />
einzusetzen. In dieser Gruppe kann man das<br />
Self Assessment, die Verwendung von<br />
Risikoindikatoren und Szenarioanalyse, die<br />
Implementierung einer Schadensfalldatenbank<br />
und die Nutzung quantitativer Methoden<br />
als Best Practice bezeichnen.<br />
• Banken aus Peer Group 2 verwenden oder<br />
planen alle das Self Assessment und verwenden<br />
häufig Risikoindikatoren. Auch eine<br />
Schadensfalldatenbank wird <strong>bei</strong> fast allen<br />
Instituten dieser Gruppe verwendet oder<br />
geplant. Quantitative Methoden hingegen<br />
haben nur <strong>bei</strong> der Hälfte dieser Gruppe<br />
Bedeutung.<br />
• Auch in Banken aus Peer Group 3 kann die<br />
Verwendung oder Planung eines Self<br />
Assessments und einer Schadensfalldatenbank<br />
als Best Practice bezeichnet werden.<br />
Risikoindikatoren und quantitative Methoden<br />
verlieren im Vergleich zu Peer Group 1 und 2<br />
an Bedeutung.<br />
• In Banken aus Peer Group 4 kann nur noch<br />
das Self Assessment und die Schadensfalldatenbank<br />
zu den Best Practice-Methoden<br />
gezählt werden. Alle anderen Verfahren sind<br />
vergleichsweise unbedeutend.<br />
• Peer Group-übergreifend zeigt sich, dass die<br />
Risikolandkarte und sonstige Methoden<br />
relativ wenig Bedeutung haben. Die Szenarioanalyse,<br />
die in Peer Group 1 als Best Practice-<br />
Methode angesehen werden kann, verliert in<br />
den übrigen Peer Groups völlig an Bedeutung.<br />
Obige Ausführungen bestätigen erneut die<br />
Hypothese, dass der Entwicklungsgrad des<br />
OR-Controllings mit der Größe der Bank steigt.<br />
Dies dürfte nicht nur auf aufsichtsrechtliche<br />
Vorgaben, welche die fortgeschrittenen OR-<br />
Methoden und daher hauptsächlich größere<br />
Banken betreffen, sondern auch der Tatsache<br />
entsprechen, dass sich kleinere Banken bisher<br />
tendenziell weniger mit dem Thema operationelle<br />
<strong>Risiken</strong> beschäftigt haben.<br />
Im folgenden Kapitel soll nun auf die konkrete<br />
Ausgestaltung der einzelnen Instrumente eingegangen<br />
werden. Methodenübergreifende<br />
Ergebnisse wie Reportingstrukturen, technische<br />
Lösungen der einzelnen Instrumente und<br />
Zufriedenheit, Akzeptanz und Bedeutung<br />
werden in den darauf folgenden Kapiteln erörtert.<br />
24 Im Folgenden werden die Antworten „ja“ und „geplant“ zu einer<br />
Gruppe aggregiert.<br />
25 Spearman-Rho = 0,345. Die Korrelation ist auf 99%-Niveau signifikant.<br />
26 Spearman-Rho = 0,435. Die Korrelation ist auf 99%-Niveau signifikant.<br />
27 Spearman-Rho = 0,341. Die Korrelation ist auf 99%-Niveau signifikant.<br />
28 Spearman-Rho = 0,326. Die Korrelation ist auf 99%-Niveau signifikant.<br />
29 Spearman-Rho = 0,398. Die Korrelation ist auf 99%-Niveau signifikant.<br />
30 Spearman-Rho = 0,405. Die Korrelation ist auf 99%-Niveau signifikant.<br />
31 Spearman-Rho = 0,284. Die Korrelation ist auf 95%-Niveau signifikant.<br />
19
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong><br />
3.4.2 Ausgestaltung ausgewählter<br />
Methoden in der Praxis<br />
3.4.2.1 Risikolandkarte<br />
20% der Studienteilnehmer setzen zur Identifikation<br />
operationeller <strong>Risiken</strong> eine Risikolandkarte<br />
ein. Die Risikolandkarte ist ein relativ einfaches<br />
Modell, das eine erste Übersicht über die im<br />
Institut vorliegenden operationellen <strong>Risiken</strong><br />
bietet. Da<strong>bei</strong> werden die operationellen <strong>Risiken</strong><br />
des Unternehmens typischerweise in einem Top<br />
Down-Ansatz grob identifiziert und bewertet.<br />
Die Ergebnisse können dann in einer grafischen<br />
Darstellung (Landkarte) für das gesamte Unternehmen<br />
zusammengefasst werden.<br />
Wie häufig werden Daten anhand der<br />
Methode Risikolandkarte erhoben?<br />
Die Datenerhebung anhand einer Risikolandkarte<br />
kann in verschiedenen zeitlichen Abständen<br />
erfolgen. Abbildung 22 zeigt, dass über<br />
43% der Institute, die eine Risikolandkarte<br />
nutzen oder planen, die Daten jährlich erheben.<br />
Allerdings hat sich ein Großteil der Studienteilnehmer<br />
(30,4%) noch nicht auf eine konkrete<br />
Erhebungsfrequenz festgelegt.<br />
Vier der befragten Banken erheben Daten<br />
anhand der Risikolandkarte unter anderem<br />
kontinuierlich oder aber in zweijährigem Abstand<br />
(„sonstige Frequenz“). Eine halbjährliche<br />
Datenerhebung wird in keinem der befragten<br />
Institute durchgeführt.<br />
Abb. 22: Datenerhebungsfrequenz<br />
mit Hilfe einer Risikolandkarte<br />
30,4%<br />
17,4%<br />
8,7%<br />
= quartalsweise = jährlich<br />
= sonstige Frequenz = Frequenz noch offen<br />
43,5%<br />
32 Mehrfachantworten waren möglich.<br />
33 Bei 13% war die konkrete Datenerhebungstechnik noch offen.<br />
34 Im Folgenden waren Mehrfachantworten möglich.<br />
35 Ohne die Studienteilnehmer, die ein Self Assessment einsetzen oder<br />
planen, dessen Ausgestaltung aber noch offen ist.<br />
36 Mehrfachantworten waren möglich.<br />
20<br />
Abb. 23: Verwendete/geplante Arten an Self Assessments<br />
7,2%<br />
26,2%<br />
7,2%<br />
= nur fachbereichspezifisch<br />
= fachbereich-/prozessspezifisch<br />
= generisch/fachbereichspezifisch<br />
= generisch/fachbereich-/prozessspezifisch<br />
Bei Auswertung der Frage, wie die Studienteilnehmer<br />
Informationen mit Hilfe einer Risikolandkarte<br />
erheben, kristallisierte sich die Durchführung<br />
von Risikoworkshops als die maßgebliche<br />
Vorgehensweise heraus. 32 Gut 52% der<br />
Studienteilnehmer 33 , die eine Risikolandkarte<br />
einsetzen oder dies planen, nutzen Risikoworkshops.<br />
Je rund 41% aus dieser Gruppe führen<br />
Risikoworkshops allein bzw. in Kombination<br />
mit Fragebögen und Einzelgesprächen in den<br />
Abteilungen/Geschäftseinheiten durch. Unter<br />
Beteiligung unterschiedlicher Hierarchiestufen<br />
und Ausnutzung gruppendynamischer Prozesse<br />
werden mit Hilfe derartiger Workshops im<br />
Unternehmen bestehende operationelle <strong>Risiken</strong><br />
identifiziert. Die personelle Zusammensetzung<br />
innerhalb der Workshops variiert von Bank zu<br />
Bank. 34 83% der Banken beziehen den Head of<br />
Operational Risk in Risikoworkshops ein, sofern<br />
diese Position in ihrem Unternehmen auch<br />
installiert wurde. 70% der Institute mit einer<br />
OR-Controllingabteilung beziehen Vertreter<br />
dieser Einheit mit ein. Ebenso nehmen mehrheitlich<br />
Abteilungs-/Bereichsleitungen (75%) und<br />
Zentralabteilungen wie die Personal- oder<br />
Rechtsabteilung (67%) an Risikoworkshops teil.<br />
Überraschend ist, dass nur die Hälfte der Studienteilnehmer,<br />
die Risikoworkshops im Rahmen<br />
einer Risikolandkarte durchführen, die Mitar<strong>bei</strong>ter<br />
der Bereiche bzw. der Fachabteilungen oder die<br />
Revision in die Workshops einbeziehen.<br />
3.4.2.2 Self/Risk Assessment<br />
59,4%<br />
Das Self oder Risk Assessment ist eine Selbsteinschätzung<br />
in Bezug auf bestehende operationelle<br />
<strong>Risiken</strong> und dient zu deren Identifikation und<br />
35,6%<br />
2,4%<br />
4,8%<br />
7,1%<br />
9,5%<br />
= nur generisch (35,6%)<br />
= nur prozessspezifisch (9,5%)<br />
= generisch/prozessspezifisch (7,1%)<br />
= generisch/ fachbereich-/prozessspezifisch (4,8%)<br />
= sonstige (2,4%)<br />
Bewertung. Self Assessments werden von den<br />
Abteilungen bzw. Geschäftsbereichen selbst<br />
durchgeführt. Unterstützend wird häufig auch<br />
die zentrale OR-Controllingeinheit (z. B. OR-<br />
Beauftragte) mit einbezogen.<br />
Auf welche Art wird das<br />
Self/Risk Assessment durchgeführt?<br />
Das Self Assessment kann sehr verschiedene<br />
Formen annehmen. Das generische Self<br />
Assessment deckt alle Bereiche des Instituts mit<br />
einem standardisierten übergreifenden Fragebogen<br />
ab. Der Umfang der Checkliste ist meist geringer<br />
als <strong>bei</strong>m fachbereichs- oder prozessspezifischen<br />
Self Assessment. Letztere gehen spezifisch auf<br />
die operationellen <strong>Risiken</strong> der Bereiche oder<br />
Abteilungen ein. Abbildung 23 zeigt, dass das<br />
generische Self Assessment unter den Studienteilnehmern<br />
dominiert.<br />
Gut 59% der Studienteilnehmer, die ein Self<br />
Assessment durchführen oder planen 35 , verwenden<br />
diese Art entweder allein oder in Kombination<br />
mit der fachbereichsspezifischen bzw.<br />
prozessspezifischen Variante. Das fachbereichsspezifische<br />
Self Assessment wird von der Hälfte<br />
der Institute allein oder in Kombination angewandt.<br />
Analog zur Risikolandkarte werden<br />
Informationen aus dem Self Assessment auf<br />
unterschiedliche Weise generiert. Studienteilnehmer,<br />
die ein Self Assessment nutzen oder<br />
dies planen und bereits konkrete Angaben<br />
darüber machen können, erheben Daten im<br />
Rahmen dieser Methode hauptsächlich über<br />
Fragebögen oder in Kombination mit Einzelgesprächen<br />
und/oder Risikoworkshops. 36
Nur 12% der Institute aus dieser Gruppe verwenden<br />
keine Fragebögen im Rahmen des Self<br />
Assessments.<br />
Das Ergebnis eines Self Assessments ist eine<br />
umfassende Analyse der operationellen <strong>Risiken</strong>.<br />
Die Resultate werden anhand von Qualitätskennziffern<br />
dargestellt, die eine qualitative<br />
Einschätzung der Systeme, Abläufe etc. unter<br />
Risikogesichtspunkten enthalten und eine Aussage<br />
über die Qualität der untersuchten Kontrollpunkte<br />
ermöglichen. Alternativ bzw. ergänzend<br />
werden Verlustpotenziale abgebildet, die eine<br />
quantitative Abschätzung der Eintrittswahrscheinlichkeit<br />
und Schadenshöhe von operationellen<br />
Schadensfällen gestatten. Mehr als die<br />
Hälfte der befragten Banken (58,5%), die ein<br />
Self Assessment durchführen oder planen und<br />
bereits konkrete Angaben darüber machen<br />
können, bilden die Ergebnisse durch eine Kombination<br />
aus Qualitätskennziffern und Verlustpotenzialen<br />
ab. Weitere 22% stellen die Resultate<br />
allein über Verlustpotenziale dar. Nur gut<br />
14% der Institute aus obiger Gruppe verwenden<br />
dazu allein Qualitätskennziffern.<br />
Wie häufig erheben Sie Daten mit Hilfe<br />
eines Self/Risk Assessments?<br />
Abbildung 24 veranschaulicht, dass in allen<br />
Peer Groups der Großteil der Institute Self<br />
Assessments jährlich durchführt. Einige Studienteilnehmer<br />
führen diese Methode in fixen Zeitabständen<br />
durch, planen allerdings aperiodische<br />
Assessments ein, sofern sich bestimmte Rahmenbedingungen<br />
in den jeweiligen Erhebungseinheiten<br />
geändert haben.<br />
3.4.2.3 Schadensfalldatenbank<br />
Gemäß derzeitigem Stand der aufsichtsrechtlichen<br />
Diskussion muss die Mehrheit der Kreditinstitute<br />
zukünftig Daten über Verlustvorfälle<br />
sammeln und archivieren. Die Sammlung von<br />
Verlustdaten dient da<strong>bei</strong> nicht nur als Datenbasis<br />
für eine spätere Berechnung der Eigenkapitalunterlegung<br />
nach einem AMA-Ansatz, sondern<br />
stellt auch eine der qualitativen Anforderungen<br />
an das Management und Controlling operationeller<br />
Risken <strong>bei</strong> der Verwendung des<br />
37 Hier und im Folgenden sind diejenigen Institute gemeint, die eine<br />
Schadensfalldatenbank verwenden oder planen.<br />
3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong> <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
Abb. 24: Häufigkeit der Datenerhebung im Rahmen eines Self Assessments<br />
100%<br />
80%<br />
60%<br />
40%<br />
20%<br />
= monatlich 0,0 0,0 11,1 0,0 2,1<br />
= quartalsweise 0,0 28,6 0,0 17,6 14,6<br />
= halbjährlich 12,5 14,3 0,0 5,9 8,3<br />
= jährlich<br />
= sonstige<br />
37,5 28,6 66,7 35,3 39,6<br />
Frequenz 25,0 0,0 0,0 11,8 8,3<br />
= noch offen 25,0 28,5 22,2 29,4 27,1<br />
Standardansatzes dar. Folgen dieser Anforderungen<br />
sind nicht nur der hohe Verwendungsgrad<br />
einer Schadensfalldatenbank, sondern auch die<br />
große Zahl an Instituten, die beabsichtigen,<br />
diese Methode zu implementieren (siehe Abbildung<br />
21).<br />
Welche Komponenten sind in der<br />
Schadenshöhe enthalten?<br />
Bei der Sammlung der Schadensfälle fließen<br />
unterschiedliche Komponenten in die Schadenshöhe<br />
ein. In Abbildung 25 wird dargestellt, welche<br />
Schadenskomponenten am häufigsten von<br />
den Studienteilnehmern 37 in die Definition eines<br />
Schadensfalles einbezogen werden. Es dominieren<br />
eindeutig Auszahlungen und Sachschäden.<br />
Nur 15% der Studienteilnehmer verwenden die<br />
Definition eines Schadensfalles, welche Auszahlungen,<br />
Sachschäden, Wertberichtigungen und<br />
zahlungswirksame interne Aufwände einbezieht.<br />
Bei der Mehrheit der Institute <strong>bei</strong>nhaltet<br />
ein Schadensfall weniger Komponenten als in<br />
den Konsultationspapieren vorgesehen. Nicht<br />
zahlungswirksame Schäden, wie <strong>bei</strong>spielsweise<br />
entgangene Erträge oder Reputationsverluste,<br />
werden nur von 30% der Studienteilnehmer<br />
erfasst. Dies lässt darauf schließen, dass ein<br />
Großteil der befragten Institute eine monetäre<br />
Bewertung dieser Schadenskomponenten als<br />
schwierig ansieht, auch da dies mit einem erheblichen<br />
Aufwand verbunden ist. Tabelle1 gibt<br />
einen Überblick über die Mindesthöhe, ab der,<br />
gestaffelt nach Peer Groups, Schadensfälle in die<br />
Datenbank aufgenommen werden.<br />
Fast ein Viertel der Studienteilnehmer erfasst<br />
alle Schadensfälle unabhängig von deren Höhe.<br />
Bei immerhin 75% der Institute liegt die Erfassungsgrenze<br />
unter 5.000 Euro.<br />
Gerade <strong>bei</strong> der Verwendung quantitativer Methoden<br />
ist eine unzureichende Verfügbarkeit von<br />
Schadensdaten als problematisch anzusehen.<br />
Auch in dieser Studie stufen die betroffenen<br />
Institute die Datenverfügbarkeit im Durchschnitt<br />
Abb. 25: Welche Komponenten sind in der Schadenshöhe enhalten?<br />
Auszahlungen<br />
Sachschaden<br />
Wertberichtigungen<br />
zahlungswirksame interne Aufwände<br />
entgangene Erträge<br />
nicht zahlungswirksame interne Aufwände<br />
Reputationsverlust<br />
Sonstige<br />
Peer Group 1 Peer Group 2 Peer Group 3 Peer Group 4 Gesamt<br />
(Mehrfachantworten waren möglich)<br />
20% 40% 60% 80% 100%<br />
21
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong><br />
Tabelle 1: Mindesthöhe in Euro, ab der Schadensfälle in die Datenbank<br />
aufgenommen werden, und Datenhistorie in Jahren<br />
Peer Group Minimum Maximum Mittel<br />
1 € 0,00 30.000,00 8.214,00<br />
Jahre 0,50 5,50 2,75<br />
2 € 0,00 20.000,00 4.777,00<br />
Jahre 0,00 5,00 0,92<br />
3 € 0,00 25.000,00 4.706,00<br />
Jahre 0,00 3,50 1,68<br />
4 € 0,00 10.000,00 1.160,00<br />
Jahre 0,00 10,00 1,70<br />
als mittelmäßig ein. 38 Da<strong>bei</strong> ordnen größere<br />
Institute die Datenverfügbarkeit tendenziell<br />
besser ein als kleinere Banken. 39 Eng verbunden<br />
mit der Problematik nur unzureichend verfügbarer<br />
Daten ist die Historie einer entsprechenden<br />
Schadensfallsammlung. Die Tatsache, dass<br />
75% der Studienteilnehmer Verlustdaten haben,<br />
die nur maximal zweieinhalb Jahre in die Vergangenheit<br />
zurückreichen, und gut 32% der<br />
Institute bisher noch keine Daten gesammelt<br />
haben, dokumentiert den meist noch frühen<br />
Entwicklungsstand einer Schadensfallsammlung<br />
im Bankenbereich. 40 Aus Tabelle 1 lassen sich<br />
die jeweiligen Durchschnittswerte der einzelnen<br />
Peer Groups entnehmen.<br />
Bestehen geeignete Anreize für Mitar<strong>bei</strong>ter,<br />
Verlustdaten in die Schadensfalldatenbank<br />
aufzunehmen?<br />
Um die Verfügbarkeit der internen Verlustdaten<br />
zu erhöhen und damit eine solide Voraussetzung<br />
für die Anwendung quantitativer Methoden zu<br />
schaffen, ist es notwendig, geeignete Regelungen<br />
oder Anreize zu implementieren, die das Personal<br />
in den Abteilungen /Geschäftseinheiten dazu<br />
anhalten, Schadensfalldaten in die Datenbank<br />
aufzunehmen.<br />
Abbildung 26 zeigt, wie die Studienteilnehmer<br />
ihre dazu im Unternehmen vorhandenen Anreizstrukturen<br />
einschätzen.<br />
38 Das Mittel liegt auf einer Skala von 1 (= sehr gering) bis 5 (= sehr hoch)<br />
<strong>bei</strong> 2,98 (3 = mittelmäßig) <strong>bei</strong> einer Standardabweichung von 0,768.<br />
39 Spearman-Rho = 0,231. Die Korrelation ist auf 90%-Niveau signifikant.<br />
40 Das 75%-Quantil liegt <strong>bei</strong> 2,5 Jahren.<br />
41 Mittelwert = 2,79; Standardabweichung = 0,871.<br />
42 Spearman-Rho = 0,454. Die Korrelation ist auf 99%-Niveau signifikant.<br />
43 Spearman-Rho = 0,293. Die Korrelation ist auf 95%-Niveau signifikant.<br />
44 Spearman-Rho = 0,365. Die Korrelation ist auf 99%-Niveau signifikant.<br />
45 Spearman-Rho = 0,382. Die Korrelation ist auf 99%-Niveau signifikant.<br />
22<br />
Auf einer Skala von 1 („entgegengesetzte Anreize“)<br />
bis 5 („sehr geeignete Anreize“) bewerten die<br />
Studienteilnehmer ihre Anreizlösungen zwischen<br />
2 („keine Anreize“) und 3 („wenig geeignete<br />
Anreize“). 41 Die meisten Institute versuchen,<br />
die Anreizproblematik über Ar<strong>bei</strong>tsanweisungen<br />
zu lösen. Häufig sind aber keine speziellen Regelungen<br />
vorhanden oder man verlässt sich auf die<br />
Wirkung einer entsprechenden „Risikokultur“.<br />
Nur ein Studienteilnehmer hat bisher ein Incentive<br />
Scheme implementiert, das über die Allokation<br />
ökonomischen Kapitals die variable Vergütung<br />
der Geschäftsbereiche beeinflusst.<br />
Analysiert man obige Ergebnisse zur Beurteilung<br />
bestehender Anreize genauer, ergibt sich einerseits<br />
ein positiver Zusammenhang zwischen der Einschätzung<br />
der Anreizsysteme und der beurteilten<br />
Datenverfügbarkeit 42 und andererseits zwischen<br />
der Einschätzung der Anreizsysteme und der<br />
Datenhistorie in der Schadensfalldatenbank 43 .<br />
So schätzen Institute, die ihre Anreizsysteme als<br />
geeignet ansehen, nicht nur die Verfügbarkeit<br />
dieser Daten tendenziell höher ein, sondern sie<br />
können auch meist auf eine längere Datenhistorie<br />
zurückgreifen.<br />
Nimmt Ihr Unternehmen an externen<br />
Konsortien teil?<br />
Zur Verbesserung der Datenlage, gerade was<br />
seltenere, aber dafür hohe Verlustfälle betrifft,<br />
bietet sich den Instituten die Möglichkeit, an<br />
externen Konsortien teilzunehmen. Dazu<br />
müssen sich die Daten der eigenen Datenbank<br />
in die des externen Konsortiums überführen<br />
lassen. Bei nur 6,5% der Studienteilnehmer<br />
besteht diese Möglichkeit. Weitere 17,4% planen,<br />
ihre Schadensfalldatenbank zu externen<br />
Konsortien kompatibel zu gestalten. Auch auf<br />
Abb. 26: Vorhandensein von geeigneten Anreizen für Mitar<strong>bei</strong>ter,<br />
Verlustdaten in die Schadensfalldatenbank aufzunehmen<br />
100%<br />
80%<br />
60%<br />
40%<br />
20%<br />
0 0 0<br />
14<br />
5<br />
13 20<br />
50<br />
36<br />
31<br />
1 2 3 4 5<br />
= Peer Group 1 = Peer Group 2 = Peer Group 3 = Peer Group 4 = Gesamt<br />
63<br />
80<br />
50<br />
40<br />
29<br />
diesem Gebiet sind größere Banken tendenziell<br />
fortgeschrittener als kleinere, die meist noch<br />
keine Überführbarkeit der Daten sichergestellt<br />
haben. 44 Aus Abbildung 27 geht hervor, dass<br />
Studienteilnehmer, die an externen Konsortien<br />
teilnehmen oder dies planen, in der Minderheit<br />
sind. Zugleich lässt sich auch hier wieder ein<br />
signifikant positiver Zusammenhang zwischen<br />
der Bilanzsumme des Instituts und der Teilnahme<br />
an externen Konsortien feststellen. 45 Die Zahlen<br />
Abb.27: Teilnahme der Kreditinstitute<br />
an externen Konsortien<br />
32,6%<br />
13<br />
17,4%<br />
0<br />
10 14 10<br />
6,5%<br />
43,5%<br />
= ja = nein = geplant = Entscheidung offen<br />
12<br />
0 0<br />
7<br />
4
elegen, dass auf diesem Gebiet vor allem für<br />
die Institute Nachholbedarf besteht, die beabsichtigen,<br />
quantitative Methoden anzuwenden<br />
und dazu eine ausreichende interne und externe<br />
Datenbasis benötigen.<br />
Ein Mittel, um eingesetzte OR-Methoden auf<br />
Basis tatsächlich eingetretener Schadensfälle im<br />
Zeitablauf auf Validität zu überprüfen, ist der<br />
Einsatz von Korrelationsanalysen. Nur zwei<br />
Studienteilnehmer setzen dieses Instrument<br />
bereits ein, weitere 16 planen eine Verwendung.<br />
Da<strong>bei</strong> wird dieses Instrument vorwiegend von<br />
größeren Banken angewandt oder geplant, die<br />
ihre Verfügbarkeit von Schadensfalldaten tendenziell<br />
höher einschätzen. 46 Der niedrige Verwendungsgrad<br />
dürfte darauf zurückzuführen<br />
sein, dass sich diese Methode aufgrund der<br />
oben angesprochenen mittelmäßig eingeschätzten<br />
Datenverfügbarkeit noch in einem frühen<br />
Entwicklungsstadium befindet.<br />
3.4.2.4 Risikoindikatoren<br />
Risikoindikatoren für operationelle <strong>Risiken</strong> sind<br />
Kennziffern, die Aufschluss über die gegenwärtige<br />
und zukünftige Risikosituation der Bank geben<br />
sollen. Diese quantitativen Größen, wie zum Beispiel<br />
Häufigkeit von Systemausfällen oder Anzahl<br />
von Fehlbuchungen, werden jeweils für die einzelnen<br />
Risikokategorien erhoben. Fast die Hälfte der<br />
Banken (47,2%), die Risikoindikatoren verwenden<br />
oder planen, befinden sich auf diesem Gebiet noch<br />
in einem sehr frühen Stadium und können daher<br />
noch keine genauen Angaben über die Zahl ihrer<br />
verwendeten Risikoindikatoren machen.<br />
Tabelle 2 stellt, jeweils aufgeschlüsselt nach Peer<br />
Groups, die Anzahl der Indikatoren dar, die von<br />
den übrigen 16 Banken verwendet werden.<br />
Betrachtet man die Anzahl der Indikatoren in den<br />
Risikokategorien Technologie, Personal, interne<br />
Verfahren und externe Einflüsse, so zeigt sich, dass<br />
die Studienteilnehmer im Mittel die meisten Indikatoren<br />
in den Kategorien interne Verfahren und<br />
Technologie nutzen. 47 Nur eine Bank wendet keine<br />
Risikoindikatoren in der Kategorie Technologie an,<br />
wohingegen sechs von 15 Instituten keine Indikatoren<br />
in der Kategorie externe Einflüsse erheben.<br />
46 Spearman-Rho = 0,462. Die Korrelation ist auf 99%-Niveau signifikant.<br />
47 Einbezogen sind nur die Banken, die Risikoindikatoren verwenden oder<br />
planen und bereits konkrete Angaben darüber machen können.<br />
48 Mehrfachantworten waren möglich.<br />
49 Mehrfachantworten waren möglich.<br />
50 Auf einer Skala von 1 (= gering) bis 4 (= sehr hoch) liegt der<br />
Mittelwert <strong>bei</strong> 2,22, (2 = mittelmäßig; 3 = hoch).<br />
Standardabweichung = 0,647.<br />
3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong> <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
Tabelle 2: Anzahl Risikoindikatoren (gesamt)<br />
Minimum Maximum Mittel<br />
Peer Group 1 50 80 65,0<br />
Peer Group 2 6 20 11,8<br />
Peer Group 3 10 50 30,0<br />
Peer Group 4 5 100 38,4<br />
3.4.2.5 Szenarioanalyse<br />
Die Szenarioanalyse ist ein Instrument zur<br />
Abschätzung operationeller <strong>Risiken</strong> mit Hilfe<br />
von Szenarien, die stark auf subjektiven Einschätzungen<br />
beruhen. Besonders geeignet sind<br />
Szenarioanalysen, um das Risiko für extreme<br />
Schäden abzuschätzen, die entweder nicht im<br />
eigenen Haus oder noch überhaupt nicht schlagend<br />
geworden sind. Bei den meisten Studienteilnehmern<br />
ist diese Methode noch in der Entwicklungsphase.<br />
Sechs der 13 Institute, die eine<br />
Szenarioanalyse planen, können noch keine<br />
genaueren Angaben zu deren Ausgestaltung<br />
machen. Diejenigen Banken, die bereits Details<br />
angeben können, führen Szenarioanalysen meist<br />
jährlich durch.<br />
Um operationelle <strong>Risiken</strong> mit Hilfe von Szenarioanalysen<br />
abzuschätzen, setzen die befragten<br />
Institute verschiedene Methoden zur Ermittlung<br />
von Szenarien ein. Studienteilnehmer, die bereits<br />
konkretere Angaben zu ihrer Szenarioanalyse<br />
machen können, verwenden dazu hauptsächlich<br />
Interviews mit Mitar<strong>bei</strong>tern in den<br />
einzelnen Abteilungen/Geschäftsbereichen. 48<br />
Zudem setzen die Institute Risikoworkshops<br />
ein, in die vor allem Mitar<strong>bei</strong>ter der OR-<br />
Controllingeinheit, OR-Beauftragte und Mitar<strong>bei</strong>ter<br />
der Abteilungen/Geschäftsbereiche sowie<br />
teilweise die Abteilungs- und Geschäftsbereichsleitungen<br />
einbezogen werden. 49 Szenarien<br />
werden in diesen Workshops meist unter Anwendung<br />
eines gemeinsamen „Brainstormings“<br />
entwickelt.<br />
3.4.2.6 Quantitative Methoden<br />
Abb. 28: Verwendung und Planung quantitativer Methoden<br />
Anzahl der Nennungen<br />
10<br />
8<br />
6<br />
4<br />
2<br />
0<br />
5 4<br />
2<br />
IMA versicherungsmathematische<br />
Modellierung<br />
= geplant = verwendet<br />
3<br />
3<br />
2<br />
Scorecard kausale<br />
Modellierung<br />
Wie bereits in Kapitel 3.4.1 festgestellt, wenden<br />
tendenziell größere Banken quantitative Methoden<br />
an. Nur 23 Studienteilnehmer verwenden oder<br />
planen diese Instrumente. Abbildung 28 verschafft<br />
einen Überblick über die am häufigsten verwendeten<br />
und geplanten quantitativen Methoden.<br />
Welche quantitative Methode wird<br />
verwendet/ist geplant?<br />
Unter denjenigen Studienteilnehmern, die sich<br />
für die Verwendung quantitativer Methoden<br />
entschieden haben, planen gut 65% die Berechnung<br />
eines Operational Value at Risk (OpVaR)<br />
oder führen diese bereits durch. Da<strong>bei</strong> beurteilen<br />
die Institute die Qualität der Ergebnisse des<br />
OpVaR im Durchschnitt mit mittelmäßig. 50<br />
Im Rahmen quantitativer Methoden werden zur<br />
Messung operationeller <strong>Risiken</strong> Verlustfälle aus<br />
der Schadensfalldatenbank herangezogen.<br />
2<br />
1<br />
1 1 0<br />
Extremwerttheorie<br />
neuronale<br />
Netze<br />
0<br />
4<br />
Sonstige<br />
23
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong><br />
Neben internen Daten, die vor allem Schäden<br />
aus dem High Frequency-/Low Severity-Bereich<br />
abdecken, werden dafür auch externe Daten<br />
eingesetzt. Diese ermöglichen es, potenzielle<br />
<strong>Risiken</strong> einzubeziehen, die selten schlagend<br />
werden, aber durch ein hohes Schadensausmaß<br />
gekennzeichnet sind (sogenannte Low<br />
Frequency-/High Severity-Verluste). Die Studie<br />
zeigt auf, dass über die Hälfte der Institute, die<br />
quantitative Methoden verwenden oder planen,<br />
sowohl interne als auch externe Daten zur<br />
Berechnung heranziehen.<br />
Wie bereits in Kapitel 3.4.2.3 erwähnt, ist die<br />
oftmals unzureichende Datenbasis eines der<br />
größten Probleme <strong>bei</strong> der Quantifizierung operationeller<br />
<strong>Risiken</strong>. Auf einer Skala von 1 (sehr<br />
schlecht) bis 5 (sehr gut) beurteilen die Studienteilnehmer<br />
die Datenlage im Mittel mit schlecht<br />
bis mittelmäßig. 51<br />
3.4.2.7 Technische Lösungen und Reporting<br />
ausgewählter Methoden<br />
Dieses Kapitel gibt einen Überblick über technische<br />
Lösungen und Strukturen im Reporting<br />
von nur einigen der im vorhergehenden Kapitel<br />
dargestellten Methoden.<br />
Die Art der technischen Umsetzung der OR-<br />
Methoden beeinflusst maßgeblich die Erfassung<br />
und das Reporting operationeller <strong>Risiken</strong>.<br />
Unterschiedliche Softwarelösungen stehen zur<br />
Implementierung zur Verfügung. So kann zum<br />
Beispiel zur Erfassung von operationellen<br />
Schadensfällen eine bloße Excel-Lösung herangezogen<br />
werden, was relativ wenig Aufwand<br />
verursacht, aber eine effektive und effiziente<br />
Erfassung von Schäden tendenziell erschwert.<br />
Dagegen hilft zum Beispiel eine integrierte<br />
technische Lösung, die sämtliche im Unternehmen<br />
angewandten OR-Methoden <strong>bei</strong>nhaltet<br />
und auf Client-Server-Basis aufgebaut ist,<br />
Doppelerfassungen operationeller <strong>Risiken</strong> zu<br />
vermeiden. Diese Lösung verursacht jedoch<br />
einen ungleich höheren Aufwand <strong>bei</strong> der<br />
Umsetzung. Der Markt für Standardsoftware<br />
hält auf diesem Gebiet bisher noch keine<br />
Lösung bereit, die eine integrierte technische<br />
51 Mittelwert = 2,75 (2 = schlecht; 3 = mittelmäßig).<br />
Standardabweichung = 0,851.<br />
52 Einbezogen in die Auswertung sind nur diejenigen Studienteilnehmer,<br />
die die jeweilige Methode verwenden oder planen. Bei den<br />
Ergebnissen zu OR-Beauftragter, Head of OR und OR-Komitee wurde<br />
die Auswertung zusätzlich auf diejenigen Institute beschränkt, die die<br />
jeweilige Funktion implementiert haben.<br />
24<br />
Umsetzung aller gewünschten bzw. angewandten<br />
Methoden <strong>bei</strong>nhaltet. Der Kauf von relativ<br />
teuren, individuell zugeschnittenen Softwaremodulen<br />
lässt sich daher oft nicht vermeiden.<br />
Welche technischen Lösungen von<br />
OR-Methoden kommen zum Einsatz?<br />
Abbildung 29 verschafft einen Überblick über<br />
die von den Studienteilnehmern verwendeten<br />
technischen Lösungen der einzelnen OR-<br />
Methoden.<br />
Bei allen drei abgefragten Methoden dominiert<br />
die Standalone-Lösung aus zum Beispiel Microsoft<br />
Excel oder Access. Client-Server-Lösungen,<br />
die es <strong>bei</strong>spielsweise ermöglichen, auf zentral<br />
auf dem Server hinterlegte Anwendungen<br />
zuzugreifen, werden vorwiegend intranetbasiert<br />
umgesetzt. Die Studienteilnehmer verwenden<br />
diese Art der technischen Umsetzung<br />
zumindest <strong>bei</strong> der Schadensfalldatenbank<br />
häufiger, da dadurch z. B. eine mehrfache<br />
Erfassung desselben Schadensfalls vermieden<br />
werden kann. Dennoch dominiert selbst hier<br />
die Standalone-Lösung meist auf Basis von<br />
Microsoft Excel. Lediglich zwei Studienteilnehmer<br />
verwenden komplett intranetbasierte<br />
Systeme zum Management operationeller<br />
<strong>Risiken</strong>, die die technische Umsetzung aller<br />
im Unternehmen angewandten OR-Methoden<br />
<strong>bei</strong>nhalten.<br />
Nach Identifikation und Quantifizierung<br />
operationeller <strong>Risiken</strong> mit Hilfe der im vorhergehenden<br />
Kapitel dargestellten Methoden<br />
werden Ergebnisse und Befunde in Form von<br />
Reports, die automatisch oder manuell erstellt<br />
werden, an verschiedene Aufgabenträger und<br />
Verantwortliche im Unternehmen gemeldet.<br />
Abb. 29: Technische Lösungen von OR-Methoden<br />
100,0%<br />
80,0%<br />
60,0%<br />
40,0%<br />
20,0%<br />
0,0%<br />
Wer sind die Reportempfänger<br />
der Ergebnisse aus den OR-Methoden?<br />
In Abbildung 30 wird dargestellt, welche Empfänger<br />
am häufigsten Reports über Resultate<br />
aus den bereits aufgeführten Methoden<br />
erhalten. 52<br />
Methodenübergreifend lässt sich feststellen,<br />
dass der Hauptempfängerkreis der einzelnen<br />
Reports nicht sehr stark variiert. Im Mittel<br />
über alle Methoden sind die Hauptadressaten<br />
eines OR-Reportings die dezentrale und zentrale<br />
OR-Managementfunktion, der Vorstand/die<br />
Geschäftsführung, das Senior Management auf<br />
Abteilungs-/Geschäftsbereichsebene und die<br />
Revision. Da<strong>bei</strong> haben die erstellten Reports<br />
unterschiedliche Funktionen. Das zentrale OR-<br />
Controlling nutzt die Reports, um die Ergebnisse<br />
von ihm entwickelter und im Unternehmen<br />
angewandter Methoden zu verifizieren und<br />
daraus methodenübergreifende, bankweite<br />
Vorstandsreports zu erstellen. Die Abteilungs-/<br />
Geschäftsbereichsleitung erhält einen Überblick<br />
über inhärente operationelle <strong>Risiken</strong> und<br />
kann auf Grundlage der ihr zur Verfügung<br />
gestellten Reports Steuerungsmaßnahmen<br />
einleiten. Die Unternehmensführung bekommt<br />
durch die ihr gelieferten Berichte einen Überblick<br />
über die OR-Gesamtsituation, wohingegen<br />
die Revision Anhaltspunkte für die Planung<br />
von Audits in den Bereichen erhält, die einer<br />
intensiveren Überprüfung bedürfen.<br />
Ein weiterführender Schritt ist die Integration<br />
des OR-Reportings in entsprechende Reportingstrukturen<br />
von Markt- und Kreditrisiken. Fast<br />
27% der Studienteilnehmer verwenden bereits<br />
ein integriertes Reporting aller drei Risikoarten.<br />
Weitere 30% beabsichtigen, derartige<br />
61,0<br />
52,7<br />
54,1<br />
45,9<br />
36,8<br />
29,2<br />
9,8<br />
10,5<br />
SA RI SFDB<br />
= Standalone-Lösung = Client-Server-Lösung = keine technische Lösung<br />
0,0
Reportingstrukturen zu implementieren. Auch<br />
hier bestätigt sich die Vermutung, dass größere<br />
Banken tendenziell fortgeschrittener sind, das<br />
heißt, es lässt sich ein leicht positiver Zusammenhang<br />
zwischen der Anwendung eines<br />
integrierten Reportings und der Größe der<br />
Bank feststellen. 53<br />
3.4.2.8 Zufriedenheit, Akzeptanz und<br />
Bedeutung ausgewählter OR-Methoden<br />
Ein weiterer interessanter Aspekt ist sowohl<br />
die Frage nach der Zufriedenheit der Studienteilnehmer<br />
mit den in den vorhergehenden<br />
Kapiteln dargestellten Methoden als auch die<br />
Frage nach der Akzeptanz der Methoden im<br />
Unternehmen und nach der Bedeutung, die<br />
die Institute den einzelnen Methoden<br />
<strong>bei</strong>messen.<br />
3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong> <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
Abb. 30: Reportempfänger der Ergebnisse aus den OR-Methoden<br />
100<br />
80<br />
60<br />
40<br />
20<br />
OR-Beauftragter<br />
Head of OR Vorstand/<br />
Geschäftsführung<br />
Abt.- /<br />
Bereichsleiter<br />
= Mittel = RL = SA = RI = SFDB = SzA<br />
Leiter<br />
Revision<br />
Risikocontrolling<br />
OR-Komitee Querschnittsverantw.<br />
Wie zufrieden sind Sie mit den einzelnen<br />
OR-Methoden, wie akzeptiert sind die<br />
Methoden in Ihrem Unternehmen, welche<br />
Priorität bzw. Bedeutung geben Sie den<br />
Methoden?<br />
Studienteilnehmer mit Erfahrungswerten in<br />
den in Abbildung 31 aufgeführten OR-<br />
Managementmethoden wurden aufgefordert,<br />
ihre Zufriedenheit und die Akzeptanz der<br />
jeweiligen Methode im Unternehmen auf einer<br />
Skala von 1 bis 4 einzuordnen. 54 Außerdem<br />
sollten alle an der Studie teilnehmenden Institute<br />
den jeweiligen Methoden auf einer Skala<br />
von 1 bis 4 einen Bedeutungsgrad <strong>bei</strong>messen. 55<br />
Der in Abbildung 31 aufgezeigte durchschnittliche<br />
Bedeutungsgrad bestätigt die Ergebnisse<br />
aus Kapitel 3.4.1. Vor allem dem Self<br />
Abb. 31: Zufriedenheit, Akzeptanz und Bedeutung einzelner OR-Methoden<br />
(Durchschnittswerte)<br />
4,0<br />
3,0<br />
2,0<br />
1,0<br />
3,1<br />
2,7 2,9<br />
3,1 2,8<br />
3,8<br />
2,8<br />
2,6<br />
Risikolandkarte Self Assessment Risikoindikatoren Schadensfalldatenbank<br />
= Zufriedenheit = Akzeptanz = Bedeutung<br />
3,3<br />
3,0 3,0<br />
3,7<br />
3,1<br />
2,4 2,6<br />
2,8 2,8 2,8<br />
Szenarioanalyse Quantitative<br />
Methoden<br />
Wirtschaftsprüfer<br />
Leiter<br />
Controlling<br />
(Mehrfachantworten waren möglich)<br />
Leiter<br />
Finanzen<br />
Leiter Rechnungswesen<br />
Sonstige<br />
Assessment und der Schadensfalldatenbank –<br />
Methoden, die auch am häufigsten verwendet<br />
und geplant werden – messen die Studienteilnehmer<br />
im Mittel eine hohe Bedeutung <strong>bei</strong>. In<br />
Bezug auf die Schadensfalldatenbank ist dies<br />
sicher auch auf die aufsichtsrechtlichen Anforderungen<br />
zurückzuführen. Bemerkenswert<br />
ist der Bedeutungsgrad des Self Assessments. Im<br />
Mittel liegt dieser <strong>bei</strong> 3,8, was zum einen auf<br />
die je nach Ausgestaltung relativ einfache<br />
Handhabung und zum anderen auf die aus<br />
dieser Methode resultierenden meist guten<br />
Ergebnisse zurückzuführen sein dürfte.<br />
Im Durchschnitt sind die Studienteilnehmer<br />
mit allen Methoden zufrieden und sehen diese<br />
als im Unternehmen akzeptiert an. Einzige<br />
Ausnahmen bilden die Szenarioanalyse und<br />
die Risikoindikatoren, deren Akzeptanz bzw.<br />
Zufriedenheitsgrad etwas niedriger eingeschätzt<br />
wird. Bei den Risikoindikatoren könnte dies<br />
auf den niedrigen Umsetzungsstand zurückzuführen<br />
sein, wo<strong>bei</strong> hier weiteres Entwicklungspotenzial<br />
vermutet werden kann. Der niedrige<br />
Akzeptanzgrad der Szenarioanalyse könnte<br />
darin begründet sein, dass sie zu den abstrakteren<br />
Methoden zählt und daher im Unternehmen<br />
schwerer zu vermitteln ist. Zumindest aber<br />
sollte dies nicht an einer mangelnden Zufriedenheit<br />
liegen, deren Wert im Mittel zu den<br />
höchsten zählt.<br />
53 Spearman-Rho = 0,19. Die Korrelation ist auf 90%-Niveau signifikant.<br />
54 1= unzufrieden bzw. nicht akzeptiert, 4 = sehr zufrieden bzw. sehr<br />
akzeptiert.<br />
55 1= keine Priorität, 4 = hohe Priorität.<br />
25
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> 3.4 Methoden zur Identifikation und Messung operationeller <strong>Risiken</strong><br />
Analysiert man obige Ergebnisse genauer, lassen<br />
sich abschließend folgende Feststellungen treffen:<br />
• Mit Ausnahme der OR-Managementmethoden<br />
Risikolandkarte und Szenarioanalyse besteht<br />
<strong>bei</strong> allen Methoden ein signifikant positiver<br />
Zusammenhang zwischen der Zufriedenheit<br />
mit der jeweiligen Methode und deren<br />
Akzeptanz im Unternehmen. Methoden,<br />
deren Ergebnisse den Studienteilnehmern<br />
zufriedenstellender erscheinen, werden auch<br />
als akzeptierter erachtet.<br />
• Bei der Schadensfalldatenbank und den<br />
quantitativen Methoden besteht ein<br />
signifikant positiver Zusammenhang<br />
zwischen der Bedeutung, die der Methode<br />
<strong>bei</strong>gemessen wird, und der Größe des<br />
Instituts. Wie in Kapitel 3.4.1 bereits<br />
festgestellt, überrascht dies nicht, da<br />
aufgrund der Anforderungen aus den Baseler<br />
Konsultationspapieren tendenziell größere<br />
Banken diese Methoden anwenden. Bei der<br />
Risikolandkarte lässt sich ein signifikant<br />
negativer Zusammenhang zwischen<br />
<strong>bei</strong>gemessener Bedeutung und Bilanzsumme<br />
feststellen. Aufgrund der relativ einfachen<br />
Handhabung und des schnellen Überblicks,<br />
den dieses Instrument erlaubt, bietet es sich<br />
besonders für kleinere Institute an, die sich<br />
tendenziell erst im Aufbau von OR-<br />
Managementstrukturen befinden.<br />
• Signifikant positive Zusammenhänge<br />
bestehen sowohl zwischen der Zufriedenheit<br />
mit dem Self Assessment und der Bilanzsumme<br />
als auch zwischen der Akzeptanz dieser<br />
Methode und der Bilanzsumme. Größere<br />
Banken haben meist schon früher mit der<br />
Entwicklung von OR-Managementmethoden<br />
begonnen, das heißt also auch mit der<br />
Entwicklung des Self Assessments. Diese<br />
Institute sind daher tendenziell weiter<br />
vorangeschritten, was zu einer erhöhten<br />
Zufriedenheit und Akzeptanz führen dürfte.<br />
26
4.<br />
Kernaussagen<br />
und Schlussfolgerungen
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> Kernaussagen und Schlussfolgerungen<br />
Das Untersuchungsziel und die entsprechenden<br />
Ergebnisse der vorliegenden Studie, die Identifizierung<br />
und das Aufzeigen der Trends und Best<br />
Practices im Thema <strong>Operationelle</strong> <strong>Risiken</strong> im<br />
deutschsprachigen Bankenmarkt, wurden für<br />
die einzelnen Themengebiete und Aufgaben in<br />
Kapitel 3 detailliert vorgestellt. Jedes Themengebiet<br />
für sich bietet interessante Analysen und<br />
Auswertungen. Darüber hinaus lassen sich aus<br />
den Studienergebnissen einige themenübergreifende<br />
Kernaussagen und Schlussfolgerungen<br />
ableiten. Diese sind im Folgenden aufgeführt:<br />
1. „Weiche Faktoren“ wie Risikokultur und<br />
Support bzw. Commitment der<br />
Führungsebene sind die wichtigsten<br />
Erfolgsfaktoren <strong>bei</strong> der Umsetzung des<br />
Themas.<br />
Die Etablierung einer offenen Risikokultur im<br />
Institut und die Unterstützung und Akzeptanz<br />
des Themas durch den Vorstand bzw. die Geschäftsführung<br />
werden von einer überwiegenden<br />
Mehrheit der teilnehmenden Institute als<br />
die kritischen Erfolgsfaktoren <strong>bei</strong> der Implementierung<br />
eines OR-Managementprozesses<br />
gesehen. Andere Faktoren wie Qualität und<br />
Quantität des mit dem OR-Controllings betrauten<br />
Personals haben eine weit geringere Bedeutung.<br />
Nach Einschätzung der Teilnehmer sind es<br />
jedoch auch die „weichen Faktoren“, deren<br />
Umsetzung in der Praxis mit den größten<br />
Schwierigkeiten verbunden ist und für das<br />
zentrale OR-Controlling die größte Herausforderung<br />
darstellt. Auf Ebene der eingesetzten<br />
Methoden ist die offene Kultur insbesondere für<br />
die Schadensfalldatenbank und das Self Assessment<br />
von besonderer Bedeutung. Aufgrund der<br />
noch verbessungswürdigen Anreizsysteme <strong>bei</strong><br />
der dezentralen Erfassung eingetretener Schadensfälle<br />
und eingeschränkt auch <strong>bei</strong> der Selbsteinschätzung<br />
im Rahmen des Self Assessments gilt<br />
es hier, den offenen Umgang über eine entsprechende<br />
Risikokultur zu erreichen. Die Unterstützung<br />
durch die Führungsebene und<br />
z. B. die Aufforderung an die Mitar<strong>bei</strong>ter, eingetretene<br />
und latente <strong>Risiken</strong> offen zu benennen,<br />
sind für den erfolgreichen Einsatz dieser Methoden<br />
derzeit unumgänglich.<br />
28<br />
Fazit:<br />
Das Vorleben einer offenen Risikokultur<br />
seitens Vorstand und Geschäftsführung und<br />
der Aufbau einer solchen Kultur im gesamten<br />
Unternehmen muss <strong>bei</strong> der Implementierung<br />
eines OR-Managementprozesses im Mittelpunkt<br />
stehen.<br />
2. Hinsichtlich der Wahl des<br />
Eigenkapitalansatzes herrscht in vielen<br />
Instituten noch Unsicherheit.<br />
Die aufsichtsrechtlichen Vorgaben für das Thema<br />
<strong>Operationelle</strong> <strong>Risiken</strong> sind der zentrale Beweggrund<br />
für die Institute, sich mit dieser Risikoart<br />
zu beschäftigen. Neben den qualitativen Anforderungen<br />
ist die ab 2007 geplante Unterlegung<br />
dieser <strong>Risiken</strong> mit Eigenkapital die wesentliche<br />
Vorgabe für die Institute. Die drei den Instituten<br />
zur Verfügung stehenden Ansätze zur Berechnung<br />
der Eigenkapitalbelastung haben im<br />
Rahmen der Konsultationsphasen wesentliche<br />
Änderungen erfahren. Der einfachste Ansatz,<br />
der Basisindikatoransatz, wird für viele Institute<br />
nicht anzuwenden sein, wo<strong>bei</strong> auch hier bisher<br />
eine klare Regelung vermisst wird. Sobald nach<br />
derzeitiger Vorgabe ein Institut „international<br />
aktiv“ ist, stehen noch der Standardansatz und<br />
die sogenannten AMA-Ansätze zur Verfügung.<br />
Nach der ursprünglichen Aussage der RMG<br />
sollte der Weg von einem rein durch die Entwicklung<br />
des Bruttoertrags bestimmten Standardansatzes<br />
hin zu einem die tatsächlichen <strong>Risiken</strong><br />
des Institutes abbildenden AMA-Ansatzes durch<br />
eine Eigenkapitalersparnis „belohnt“ werden.<br />
Proberechnungen haben diesen Effekt in der<br />
Praxis jedoch bisher selten beobachten können.<br />
Dies führt insbesondere in der Gruppe der<br />
Institute, denen grundsätzlich alle Ansätze offen<br />
stehen, zu Unsicherheiten. Viele dieser Institute<br />
haben sich derzeit noch nicht auf einen Ansatz<br />
zur Berechnung des Eigenkapitals festgelegt.<br />
Auch die größeren Institute der Peer Groups 1<br />
und 2 zögern bisher noch <strong>bei</strong> der Entscheidung<br />
über den Einsatz quantitativer Methoden (derzeit<br />
haben 17% aller teilnehmenden Institute<br />
quantitative Methoden entwickelt, rund 20%<br />
der Institute planen den Einsatz). Die mit den<br />
quantitativen Methoden verbundenen<br />
Initialisierungs- und Folgekosten lassen sich<br />
heute auf Grundlage der zur Verfügung stehenden<br />
Daten und Informationen kaum gegen die<br />
Eigenkapitalersparnis gegenrechnen.<br />
Diese Unsicherheit mündet auch in der breiten<br />
Forderung der Studienteilnehmer an die RMG,<br />
die Ausgestaltung der Eigenkapitalunterlegungsansätze<br />
weiter zu konkretisieren.<br />
Fazit:<br />
In vielen Instituten herrscht noch Unklarheit,<br />
welcher Ansatz zur Berechnung des<br />
Eigenkapitalbedarfs ab 2007 gewählt wird.<br />
Dies gilt auch für größere Institute, für die<br />
der Basisindikatoransatz nicht zur Verfügung<br />
steht. Die Erhöhung der Datenverfügbarkeit<br />
ist eine zentrale Voraussetzung für valide<br />
Proberechnungen zur zukünftigen Eigenkapitalunterlegung<br />
für operationelle <strong>Risiken</strong>. Viele<br />
Institute werden die Entscheidung hinsichtlich<br />
des Ansatzes u. a. mit der wachsenden<br />
Datenbasis erst mittelfristig treffen. Die<br />
Bankenpraxis sieht seitens der RMG weiteren<br />
Handlungsbedarf hinsichtlich der Konkretisierung<br />
der Eigenkapitalunterlegungsansätze.<br />
3. In vielen Instituten wird die Entwicklung<br />
und Begleitung des Themas<br />
<strong>Operationelle</strong> <strong>Risiken</strong> durch eine zentrale<br />
Organisationseinheit verantwortet.<br />
Entsprechend den anderen Risikoarten, insbesondere<br />
Kredit- und Marktpreisrisiken, ist<br />
mittlerweile eine zentrale Organisationseinheit<br />
für operationelle <strong>Risiken</strong> in der Bankenpraxis<br />
weit verbreitet. Diese Einheit wiederum ist in<br />
den meisten Unternehmen im Bereich Risikocontrolling<br />
angesiedelt. Die vor einigen Jahren,<br />
insbesondere in kleineren Instituten, noch<br />
übliche Praxis, die Verantwortung der operationellen<br />
<strong>Risiken</strong> im Bereich der internen Revision<br />
anzusiedeln, ist heute kaum noch zu beobachten.<br />
Dies entspricht auch den mittlerweile klaren<br />
Vorgaben der RMG (Sound Practices Juli 2002),<br />
die eine unabhängige, den OR-Prozess prüfende<br />
Revision fordern. Darüber hinaus wird auch<br />
seitens der Aufsicht eine zentrale Verantwortlichkeit<br />
für das Management und Controlling der<br />
operationellen <strong>Risiken</strong> empfohlen.
Die zentrale Einheit für die Durchführung eines<br />
OR-Controllings ar<strong>bei</strong>tet derzeit in den teilnehmenden<br />
Instituten, entsprechend der Peer<br />
Group, mit durchschnittlich zwischen 0,7 und<br />
5,9 Mitar<strong>bei</strong>terkapazitäten. Als klarer Trend<br />
zeichnet sich unabhängig von der Peer Group<br />
ab, dass 50% der Institute kurz- bis mittelfristig<br />
einen weiteren Ausbau dieser Kapazitäten planen.<br />
Fazit:<br />
Die zentrale Verantwortlichkeit für das OR-<br />
Controlling ist in den teilnehmenden Instituten<br />
heute Best Practice. Der weitere Ausbau<br />
der Mitar<strong>bei</strong>terkapazitäten, unabhängig von<br />
der Größe des Instituts, ist ein klar zu beobachtender<br />
Trend.<br />
4. Self Assessment und Schadensfalldatenbank<br />
haben sich als zentrale<br />
Methoden für das Management und<br />
Controlling operationeller <strong>Risiken</strong> etabliert<br />
und werden auf breiter Ebene in den<br />
Instituten eingesetzt. Risikoindikatoren<br />
werden zukünftig verstärkt zum Einsatz<br />
kommen.<br />
Fast 80% der teilnehmenden Institute setzen<br />
schon die Methode Schadensfalldatenbank ein<br />
bzw. planen dies. Vor dem Hintergrund der<br />
aufsichtsrechtlichen Anforderungen, die eine<br />
strukturierte Erfassung der eingetretenen<br />
Schadensfälle als Voraussetzung bereits für den<br />
Einsatz des Standardansatzes fordern, ist die<br />
weite Verbreitung der Methode Schadensfalldatenbank<br />
nicht überraschend. Für solche<br />
Institute, die einen fortgeschrittenen Ansatz<br />
anstreben, ist die Schadensfalldatenbank - mit<br />
einer entsprechenden Historie - ebenfalls eine<br />
notwendige Voraussetzung. Bei der Implementierung<br />
und dem Betreiben der Schadensfalldatenbank<br />
stellt sich in der Praxis insbesondere<br />
die Frage der Anreizsystematik. Dahinter verbirgt<br />
sich die Problematik, sicherzustellen, dass<br />
alle eingetretenen Schadensfälle strukturiert<br />
und vollständig von den Mitar<strong>bei</strong>tern bzw.<br />
Organisationseinheiten gemeldet und erfasst<br />
werden. Die Entwicklung praktikabler Lösungen<br />
hierfür ist kurz- bis mittelfristig eine wichtige<br />
Aufgabe für die Institute.<br />
Kernaussagen und Schlussfolgerungen <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
Bei der Sammlung der Schadensfalldaten beziehen<br />
die teilnehmenden Banken derzeit in erster<br />
Linie pagatorische, d. h. auszahlungswirksame,<br />
Komponenten der Schadenshöhe mit ein. Schwer<br />
quantifizierbare Komponenten, wie z. B. Kosten<br />
durch Reputationsrisiken, werden in nur wenigen<br />
Instituten berücksichtigt.<br />
In fast der Hälfte aller teilnehmenden Institute<br />
wird bereits die Methode Self Assessment, d. h.<br />
die Selbsteinschätzung der Organisationseinheiten<br />
in Bezug auf bestehende operationelle<br />
<strong>Risiken</strong>, eingesetzt; weitere 30% planen den<br />
Einsatz dieser Methode. Damit ist das Self<br />
Assessment neben der Schadensfalldatenbank<br />
die am weitesten verbreitete Methode im OR-<br />
Controlling. Die Ausgestaltung des Self<br />
Assessments in den Instituten kann da<strong>bei</strong> stark<br />
variieren. Sehr verbreitet ist das sogenannte<br />
generische Self Assessment, das mittels einheitlicher<br />
Erhebungen in den verschiedenen Organisationseinheiten<br />
der Bank durchgeführt wird.<br />
Dies zeigt, dass in den Instituten an dieser Stelle<br />
„Pragmatismus vor Komplexität“ gesetzt wird.<br />
Der damit teilweise verbundene Verlust an Aussagefähigkeit<br />
und Analysemöglichkeiten wird<br />
da<strong>bei</strong> oftmals in Kauf genommen.<br />
Die Methode Risikoindikatoren, also der Einsatz<br />
von Kennzahlen, die Aufschluss über die gegenwärtige<br />
und zukünftige Risikosituation des<br />
Instituts geben können, zeichnet sich als dritte<br />
zentrale Methode zum OR-Controlling ab. Die<br />
RMG empfiehlt in den Sound Practices vom Juli<br />
2002 ausdrücklich den Einsatz von Risikoindikatoren<br />
als Management-Frühwarnsystem. Von<br />
den teilnehmenden Instituten planen über 40%<br />
die Implementierung von Risikoindikatoren, <strong>bei</strong><br />
fast 20% werden diese bereits verwendet. Diese<br />
Institute zeigen sich jedoch noch weitgehend<br />
unzufrieden mit der Umsetzung der Methode.<br />
Die in der Theorie plausible und naheliegende<br />
Methode Risikoindikatoren scheint somit in der<br />
praktischen Umsetzung größere Probleme für<br />
die Banken aufzuwerfen.<br />
Fazit:<br />
Schadensfalldatenbank und Self<br />
Assessment haben sich als Methoden zum<br />
Management und Controlling operationeller<br />
<strong>Risiken</strong> etabliert. Für <strong>bei</strong>de Methoden gilt,<br />
dass die Praktikabilität <strong>bei</strong> der Umsetzung in<br />
der Praxis eine wesentliche Rolle spielt.<br />
Nach Ansicht vieler Institute sollten<br />
80/20-Lösungen <strong>bei</strong> der Implementierung<br />
dieser Methoden im Vordergrund stehen. Als<br />
dritte Methode zum Management und<br />
Controlling von operationellen <strong>Risiken</strong> haben<br />
sich Risikoindikatoren herauskristallisiert,<br />
die lediglich von einer Minderheit der<br />
Institute bereits erfolgreich implementiert<br />
wurden, deren Einsatz aber in vielen Instituten<br />
geplant ist.<br />
29
5.<br />
Glossar
Im Rahmen der Studie verwendete<br />
Definitionen im Thema <strong>Operationelle</strong><br />
<strong>Risiken</strong> (OR)<br />
Externes Konsortium<br />
Konsortium zum Teilen von nicht-öffentlichen<br />
Informationen über operationelle Schadensfälle<br />
unter Beibehaltung der Eigentümerschaft der<br />
Daten seitens der Mitglieder. Mit der Teilnahme<br />
sind für das jeweilige Institut Rechte und Pflichten<br />
verbunden. Vorteil einer Mitgliedschaft an<br />
einem externen Konsortium ist, dass sich die<br />
Verfügbarkeit von Daten für die teilnehmenden<br />
Institute erhöht.<br />
Interner Aufwand (zahlungswirksam/nicht<br />
zahlungswirksam)<br />
Beispiel für einen zahlungswirksamen internen<br />
Aufwand:<br />
Ein Mitar<strong>bei</strong>ter muss aufgrund des Ausfalls<br />
eines DV-Systems Überstunden machen, die<br />
ihm entsprechend vergütet werden. Der zahlungswirksame<br />
interne Aufwand aus der Vergütung<br />
des Ar<strong>bei</strong>tnehmers steigt für das Unternehmen<br />
entsprechend der Anzahl der Überstunden.<br />
Beispiel für einen nicht zahlungswirksamen<br />
internen Aufwand:<br />
Ein Mitar<strong>bei</strong>ter muss aufgrund des Ausfalls<br />
eines DV-Systems Überstunden machen, die<br />
ihm nicht vergütet werden. Es entsteht kein<br />
zusätzlicher, zahlungswirksamer interner Aufwand<br />
aus der Vergütung des Ar<strong>bei</strong>tnehmers, da<br />
die zusätzliche Ar<strong>bei</strong>tszeit nicht monetär entgolten<br />
wird.<br />
Korrelationsanalysen<br />
Korrelationsanalysen dienen der Validierung<br />
von OR-Methoden im Zeitablauf auf Basis tatsächlich<br />
eingetretener Schadensfälle aus der<br />
Schadensfalldatenbank.<br />
Mapping<br />
Da Basel II im Rahmen der Ansätze zur Eigenkapitalunterlegung<br />
feste Vorgaben bzgl. Kategorisierung<br />
von OR und Einteilung der Geschäftsfelder<br />
<strong>bei</strong> der Eigenkapitalunterlegung macht, müssen<br />
abweichende Kategorien und Geschäftsfelder in<br />
den jeweiligen Instituten auf die Vorgaben von<br />
Basel II abgebildet („gemappt“) werden können.<br />
OR-Beauftragter<br />
Zentraler OR-Ansprechpartner für das Risikocontrolling<br />
und die Mitar<strong>bei</strong>ter in jeder Abteilung.<br />
OR-Komitee<br />
OR-Gremium, das meist aus Vertretern verschiedener<br />
Bereiche des Unternehmens besteht,<br />
die sich mit dem Thema OR auseinandersetzen,<br />
und im OR-Managementprozess Beratungs- oder<br />
Entscheidungsfunktionen übernehmen kann.<br />
OR-Strategie<br />
Bestandteil der gesamten Risikostrategie (inkl.<br />
Markt- und Kreditrisiken), welcher strategische<br />
Vorgaben für den Umgang mit operationellen<br />
<strong>Risiken</strong> durch die Unternehmensleitung <strong>bei</strong>nhaltet.<br />
Durch die OR-Strategie wird festgelegt,<br />
welche operationellen <strong>Risiken</strong> eingegangen<br />
werden sollen, welches Verhältnis zwischen<br />
<strong>Risiken</strong> und Chancen in den einzelnen Unternehmensbereichen<br />
einzuhalten ist (Risikoappetit)<br />
und ab welcher Schadenshöhe Maßnahmen zur<br />
Steuerung eingeleitet werden. Die OR-Strategie<br />
kann Komponente des Rahmenwerks sein und<br />
formuliert die unternehmensweit einheitlichen<br />
Zielsetzungen und die Terminologie in Bezug<br />
auf operationelle <strong>Risiken</strong>.<br />
Qualitätskennziffern<br />
In Reports aus dem Self Assessment enthaltene<br />
Kennziffern, die eine qualitative Einschätzung<br />
der Systeme, Abläufe etc. unter Risikogesichtspunkten<br />
enthalten und eine Aussage über die<br />
Qualität der untersuchten Kontrollpunkte<br />
ermöglichen.<br />
Quantitative Impact Studies (QIS)<br />
Im Jahre 2001 führte die Risk Management<br />
Group des Baseler Komitees zwei statistische<br />
Datenerhebungen durch, deren Ziel es war, u.a.<br />
Informationen über bankinterne Zahlen zur<br />
Glossar <strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong><br />
Kapitalallokation und über Erfahrungen der<br />
Banken mit Verlusten aus operationellen <strong>Risiken</strong><br />
zu erheben. Eine dritte statistische Erhebung (QIS<br />
III) ist Anfang Oktober 2002 initiiert worden.<br />
Quantitative Methoden<br />
Methoden zur Quantifizierung operationeller<br />
<strong>Risiken</strong>. Quantitative Methoden werden zur<br />
Berechnung der Eigenkapitalunterlegung, aber<br />
auch für die interne Steuerung verwendet.<br />
Voraussetzung ist die ausreichende Verfügbarkeit<br />
von Daten.<br />
Rahmenwerk<br />
Säule 2 aus Basel II fordert von den Banken u. a.<br />
„...die Einrichtung eines Systems zur Identifizierung,<br />
Messung, Steuerung, Überwachung und<br />
Minderung der <strong>Risiken</strong> ...“.<br />
Ein Rahmenwerk soll diesen Anforderungen<br />
Rechnung tragen. U. a. kann ein unternehmensweit<br />
abgestimmtes Rahmenwerk folgende Punkte<br />
<strong>bei</strong>nhalten:<br />
– Einheitliche Begriffe und Definitionen<br />
(insbesondere Definition und Kategorisierung<br />
von OR)<br />
– Zielsetzungen des OR-Managementprozesses<br />
– Reporting-Strukturen<br />
– Methoden <strong>bei</strong>m Management operationeller<br />
<strong>Risiken</strong><br />
– Rollen und Verantwortlichkeiten im OR-<br />
Managementprozess (mit Aufbau- und<br />
Ablauforganisation)<br />
– Richtlinien für den OR-Managementprozess<br />
– Prozessschritte des Risikomanagements<br />
Risikoindikatoren<br />
Risikoindikatoren für operationelle <strong>Risiken</strong> sind<br />
Kennziffern, die Aufschluss über die gegenwärtige<br />
und zukünftige Risikosituation der Bank<br />
geben. Mittels der Festlegung von Benchmarks<br />
bzw. Grenzwerten (sog. „Escalation Triggers“)<br />
eignen sich Risikoindikatoren als Management-<br />
Frühwarnsystem.<br />
31
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> Glossar<br />
Die Indikatoren müssen u. a. folgenden Anforderungen<br />
genügen:<br />
– Vermutete Korrelation zwischen Indikator<br />
und später auftretenden Schadensfällen<br />
(Validität)<br />
– Reliabilität der Indikatoren und der zu<br />
definierenden Schwellenwerte (Indikatoren<br />
sollten sich aus einer ausreichend großen<br />
Anzahl von Datenpunkten errechnen)<br />
Risikolandkarte<br />
Die Risikolandkarte ist ein relativ einfaches<br />
Modell, das eine erste Übersicht über die im<br />
Institut vorliegenden operationellen <strong>Risiken</strong><br />
bietet. Da<strong>bei</strong> werden die operationellen <strong>Risiken</strong><br />
des Unternehmens typischerweise in einem<br />
Top-Down Ansatz grob identifiziert und bewertet.<br />
Die Ergebnisse können dann in einer grafischen<br />
Darstellung (Landkarte) für das gesamte Unternehmen<br />
zusammengefasst werden. So lässt<br />
sich der Handlungsbedarf „auf einen Blick“<br />
erkennen.<br />
Risikoworkshops<br />
Methode zur Erhebung von Informationen im<br />
Rahmen von z. B. Self/Risk Assessments. Unter<br />
Beteiligung unterschiedlicher Hierarchiestufen<br />
und Ausnutzung gruppendynamischer Prozesse<br />
werden im Rahmen von Workshops operationelle<br />
<strong>Risiken</strong> identifiziert. Durch abteilungsübergreifende<br />
Workshops können insbesondere<br />
Schnittstellen-<strong>Risiken</strong> erkannt werden.<br />
Schadensfalldatenbank<br />
Gemäß derzeitigem Stand der aufsichtsrechtlichen<br />
Diskussion müssen Kreditinstitute zukünftig<br />
Daten über Verlustvorfälle aufgrund<br />
32<br />
schlagend gewordener operationeller <strong>Risiken</strong><br />
sammeln und archivieren.<br />
Die Sammlung von Verlustdaten dient da<strong>bei</strong><br />
nicht nur als Datenbasis für eine spätere Berechnung<br />
der Eigenkapitalunterlegung nach einem<br />
AMA-Ansatz, sondern stellt auch eine der qualitativen<br />
Anforderungen an das Management und<br />
Controlling operationeller Risken (Sound Practices,<br />
Grundsatz 5) dar.<br />
Self/Risk Assessment<br />
Das Self/Risk Assessment ist eine Selbsteinschätzung<br />
in Bezug auf bestehende, operationelle<br />
<strong>Risiken</strong> und dient der Identifikation und<br />
Bewertung von OR. Es wird verwendet, um<br />
– <strong>Risiken</strong> zu identifizieren und deren<br />
Veränderung nachzuvollziehen,<br />
– vorhandene Kontrollen zu bewerten und ggf.<br />
Verbesserungsmaßnahmen einzuleiten,<br />
– „weiche“ (Kultur, Mitar<strong>bei</strong>ter) und „harte“<br />
(Kontrollen) Faktoren zu adressieren,<br />
– eine konsistente Risikobewertung über<br />
Unternehmensbereiche hinweg zu ermöglichen,<br />
– die dezentrale Verantwortung für die<br />
Steuerung operationeller <strong>Risiken</strong> zu unter-<br />
streichen.<br />
Die „Sound Practices“ der RMG vom Juli 2002<br />
empfehlen neben der Erfassung der <strong>Risiken</strong> im<br />
Rahmen eines Self/Risk Assessments (Grundsatz<br />
4) auch eine Abschätzung der Eintrittswahrscheinlichkeit<br />
und Schadenshöhe im Rahmen der<br />
Anwendung dieser Methode (Grundsatz 5).<br />
Man unterscheidet generisches Self/Risk<br />
Assessment und fachbereichs-, prozessspezifisches<br />
Self/Risk Assessment.<br />
Das generische Self/Risk Assessment deckt alle<br />
Bereiche des Instituts mit einer standardisierten,<br />
übergreifenden Checkliste ab. Der Umfang der<br />
Checkliste ist meist geringer als <strong>bei</strong>m fachbereichs-,<br />
prozessspezifischen Self Assessment. Letztere<br />
gehen spezifisch auf die operationellen <strong>Risiken</strong><br />
der Bereiche oder Abteilungen ein.<br />
Das Ergebnis eines Self/Risk Assessments ist<br />
eine umfassende Analyse der operationellen<br />
<strong>Risiken</strong> und wird über Reports an verschiedene<br />
Empfänger weitergegeben.<br />
Szenarioanalysen<br />
Methode zur Abschätzung von operationellen<br />
<strong>Risiken</strong> mit Hilfe von Szenarien, die auf weitestgehend<br />
subjektiven Einschätzungen beruhen.<br />
Besonders geeignet sind Szenarioanalysen, um<br />
das Risiko für extreme Schäden, die entweder<br />
nicht im eigenen Haus oder noch überhaupt<br />
nicht schlagend geworden sind, abzuschätzen.<br />
Validierung<br />
Um die Qualität des OR-Managementprozesses<br />
sicherzustellen, ist die regelmäßige Überprüfung<br />
der eingesetzten Methoden und Verfahren<br />
sowie der Modellannahmen erforderlich. Durch<br />
laufendes Backtesting, d. h. Vergleich zwischen<br />
den berechneten <strong>Risiken</strong> und den tatsächlichen<br />
Gewinnen/Verlusten werden die Methoden<br />
hinsichlich ihrer Validität getestet.<br />
Verlustpotenziale<br />
Im Vergleich zum Reporting von Qualitätskennziffern,<br />
die nur eine qualitative Einschätzung<br />
der Risikosituation enthalten, findet <strong>bei</strong> der<br />
Ermittlung von Verlustpotentialen eine quantitative<br />
Abschätzung der Eintrittswahrscheinlichkeit<br />
und Schadenshöhe von operationellen<br />
Schadensfällen statt.
6.<br />
Über Cap Gemini Ernst & Young
<strong>Operationelle</strong> <strong>Risiken</strong> <strong>bei</strong> <strong>Kreditinstituten</strong> Über Cap Gemini Ernst & Young<br />
Allgemeine Informationen<br />
Cap Gemini Ernst & Young<br />
Die Cap Gemini Ernst & Young Gruppe ist eine<br />
der weltweit größten Gesellschaften für<br />
Management- und IT-Beratung sowie die größte<br />
Unternehmensberatung europäischen Ursprungs.<br />
In Deutschland steht das Unternehmen auf<br />
Platz zwei. Cap Gemini Ernst & Young bietet<br />
Management- und IT-Beratung, Systemintegration,<br />
Technologieentwicklung, Organisationsdesign<br />
und Outsourcing auf globaler Ebene und hilft<br />
ihren Kunden <strong>bei</strong> der Umsetzung von Wachstumsstrategien<br />
und dem effektiven Einsatz von Technologien.<br />
Die Organisation beschäftigt weltweit<br />
etwa 55.000 Mitar<strong>bei</strong>ter und erzielte 2001 einen<br />
globalen Umsatz von über 8,4 Milliarden Euro.<br />
Mehr Informationen zu Cap Gemini Ernst&Young,<br />
den Dienstleistungen und Pressemitteilungen<br />
finden Sie unter www.de.cgey.com.<br />
34<br />
Service Offerings im<br />
Risk Management & Controlling<br />
Cap Gemini Ernst & Young unterstützt führende<br />
Banken und andere Finanzinstitute <strong>bei</strong> der<br />
Optimierung ihres Risikomanagements- und<br />
controllings und verfügt über langjährige Erfahrungen,<br />
hervorragende Referenzen sowie exzellente<br />
Marktkenntnisse. Unsere Leistungen erstrecken<br />
sich von der Entwicklung von Strategien über die<br />
Modellierung und Konzeption kundenspezifischer<br />
Lösungen bis hin zur Umsetzung der angebotenen<br />
Lösungen und decken die Risikoarten „Marktrisiko“,<br />
„Adressrisiko“ und „<strong>Operationelle</strong>s<br />
Risiko“ ab.<br />
Die Beratung im Thema Management und<br />
Controlling operationeller <strong>Risiken</strong> umfasst im<br />
Einzelnen folgende Leistungen:<br />
• Konzeption und Implementierung eines<br />
integrierten Systems zum Management und<br />
Controlling operationeller <strong>Risiken</strong> (Gap-<br />
Analyse, Rahmenwerk, Risikolandkarte, Self<br />
Assessment, Reporting, Schadensfalldatenbank,<br />
Risikoindikatoren, Quantifizierung).<br />
• Entwicklung einer bankweiten Risikopolitik<br />
für operationelle <strong>Risiken</strong> und Einführung<br />
eines Management-Frühwarnsystems.<br />
Darüber hinaus verfügen wir über umfangreiche<br />
Erfahrungen in Projekten zur Umsetzung<br />
bankenaufsichtsrechtlicher Anforderungen.<br />
(z. B. Basel II, Grundsatz I, MaH) <strong>bei</strong> einer<br />
Vielzahl deutscher Banken.<br />
Für das Management und Controlling operationeller<br />
<strong>Risiken</strong> bietet Cap Gemini Ernst & Young<br />
einen ganzheitlichen, modularen Ansatz, der die<br />
Ziele von Finanzdienstleistern umfassend berücksichtigt.<br />
Ausgehend von den Kundenanforderungen<br />
verfolgt Cap Gemini Ernst & Young<br />
individuelle Lösungsansätze in Form von „Projektmodulen“,<br />
die frei wähl- und kombinierbar sind.<br />
Es wird zwischen zwei Klassen von Projektmodulen<br />
unterschieden, die nachfolgend kurz<br />
skizziert werden:<br />
•Allgemeine Module (Gap-Analyse,<br />
Rahmenwerk, Schadensfalldatenbank,<br />
Softwareauswahl)<br />
• Spezielle Module zur Erhebung und<br />
Identifizierung operationeller <strong>Risiken</strong><br />
(Risikolandkarte, generisches und<br />
fachbereichs-/prozessspezifisches<br />
Self Assessment, Risikoindikatoren).<br />
Zur Unterstützung der Projektmodule stellt<br />
Cap Gemini Ernst & Young praxiserprobte,<br />
einfach zu nutzende Tools und Methoden zur<br />
Verfügung, die eine hohe Akzeptanz <strong>bei</strong> den<br />
Mitar<strong>bei</strong>tern auf Kundenseite fördern. Ziel der<br />
Cap Gemini Ernst & Young Lösungsansätze ist<br />
die Erreichung erster Projektergebnisse innerhalb<br />
eines kurzen Zeitraums nach Projektstart<br />
sowie die transparente Projektdurchführung in<br />
kurzen, abgrenzbaren Aktivitätenblöcken.
Deutschland<br />
Berlin<br />
Tel. +49-(0)30/88 70 30<br />
Dresden<br />
Tel. +49-(0)3 51/47 8130<br />
Düsseldorf<br />
Tel. +49-(0)2 11/47 06 80<br />
Essen<br />
Tel. +49-(0)2 01/8 24 30 00<br />
Frankfurt/Sulzbach<br />
Tel. +49-(0)6196/99 90<br />
Frankfurt<br />
Tel. +49-(0)69/152 08 02<br />
Hamburg<br />
Tel. +49-(0)40/25 31 80<br />
Hannover<br />
Tel. +49-(0)511/678 20<br />
Heilbronn<br />
Tel. +49-(0)71 31/93 92 10<br />
Köln<br />
Tel. +49-(0)2 21/912 64 40<br />
München<br />
Tel. +49-(0)89/940 00<br />
Rüsselsheim<br />
Tel. +49-(0)6142/603 40<br />
Stuttgart<br />
Tel. +49-(0)7 11/50 50 50<br />
Walldorf<br />
Tel. +49-(0)62 27/73 39 00<br />
www.de.cgey.com<br />
Polen<br />
Warschau<br />
Tel. +48-(0)22/528 75 00<br />
www.pl.cgey.com<br />
Österreich<br />
Graz<br />
Tel. +43-(0)316/468 22 36<br />
Wien<br />
Tel. +43-(0)1/2116 30<br />
www.at.cgey.com<br />
www.cgey.com<br />
Schweiz<br />
Basel<br />
Tel. +41-(0)61/685 27 27<br />
Lausanne<br />
Tel. +41-(0)21/620 71 00<br />
Zürich<br />
Tel. +41-(0)1/560 24 00<br />
www.ch.cgey.com<br />
Slowakei<br />
Bratislawa<br />
Tel. +421-(0)2/444 556 78<br />
Cap Gemini Ernst & Young<br />
Region: Central Europe<br />
Neues Kranzler Eck<br />
Kurfürstendamm 21<br />
D-10719 Berlin<br />
Tel. +49-(0)30/88703-0<br />
Fax +49-(0)30/88703-111<br />
© Cap Gemini Ernst & Young 02-0086