Spektakuläre Verluste in den letzten Jahren haben nicht nur in der Finanzbranche zu der Erkenntnis geführt, dass neben Kredit- und Marktrisiken auch operationelle Risiken substanzieller Art sein können und der Kontrolle bedürfen.
Im Gegensatz zu Kredit- oder Marktrisiken treten operationelle Risiken in allen Bereichen der Bankorganisation auf. Sie entstehen zudem aufgrund unterschiedlichster Ursachen, nach denen oft eine Kategorisierung zur weiteren Analyse erfolgt (Prozesse: fehlerhafte Geschäftsprozesse oder unzureichendes Berichtswesen, Personen: Irrtum, mangelnde Qualifikation, kriminelle Energie, Systeme: fehlende Zugriffsberechtigung, veraltete Systeme, fehlerhafte Software). Bei Eintreten führen operationelle Risiken zu verschiedensten Verlustereignissen (wie Systemausfälle und Geschäftsunterbrechungen, Sachschäden). Manche operationellen Risiken sind ein direktes Resultat der unzureichenden Qualität des internen Kontroll- und Sicherheitssystems (IKS), während andere außerhalb der Einflussmöglichkeit einer Bank liegen (externe Einflüsse wie Naturkatastrophen oder Terroranschläge).
Versicherungen zur Abdeckung möglicher Verluste
Durch die neuen aufsichtsrechtlichen Anforderungen der zwischenzeitlich in nationales Recht (Solvabilitätsverordnung) transformierten Basler Eigenkapitalübereinkunft (Basel II) müssen Banken erstmals Eigenkapital für operationelle Risiken explizit vorhalten. Versicherungen können dabei bei fortgeschrittenen Messansätzen die Eigenkapitalunterlegung um maximal zehn bis 25 Prozent reduzieren, wenn sie konservativ und nachvollziehbar in die Quantifizierungsmethode integriert werden. Sie müssen dabei bestimmte Zulassungskriterien erfüllen. Insbesondere aus zwei Gründen bieten Versicherungen eine effiziente Absicherung operationeller Risiken.
Die Bündelung von verschiedenen Versicherungspolicen in Versicherungsunternehmen bewirkt, dass genügend Liquidität in dem Versicherungspool vorhanden ist, um Schadensereignisse von Versicherungsnehmern abzudecken. Der (zufällige) Schaden eines Einzelnen wird folglich durch die (sichere) Prämienzahlungen von vielen getragen. Die Versicherungsprämie orientiert sich an dem zu erwartenden Schadenswert. Ohne Versicherung müsste eine Bank selbst ausreichende Reserven bilden, um alle möglichen Verluste aus dem Eintreten operationeller Risiken abzudecken.
Der Versicherer hat ferner Expertenwissen im Bereich Risikomanagement aufgebaut und beschäftigt hochspezialisierte Mitarbeiter. Diese Erfahrungen (zum Beispiel beim Management bestimmter Verlustfälle), Fähigkeiten und Größenvorteile können Banken nur schwer intern reproduzieren. In der Regel können nur größere Banken eine ähnliche Expertise aufweisen und dies oft auch nur durch ihre Versicherungstochtergesellschaften.
Art und Eignung unterschiedlicher Versicherungsprodukte
Banken können zwischen verschiedenen Produkten wählen, um operationelle Risiken zu reduzieren. Einzelne Versicherer haben bereits spezielle Produkte auf den Markt gebracht.
Traditionelle Versicherungen sind gegenwärtig am weitesten verbreitet und sichern Banken gegenüber einem zuvor genau definierten Schadensfall ab. Die Problematik bei diesem Versicherungsprodukt besteht in der schwierigen Integration in Quantifizierungsmodellen. Die Verlustverteilung, die für die Quantifizierung der operationalen Risiken ermittelt wird, existiert nämlich üblicherweise auf einer höheren Aggregationsebene als der zuvor definierte Schadensfall für die Versicherung. Da traditionelle Versicherungen verschiedene operationelle Risiken einzeln abdecken, ist es schwierig zu bestimmen, wie stark das Verlustpotenzial insgesamt reduziert wird. Ein weiteres Problem besteht in der Aggregation der Risiken. Bei traditionellen Versicherungen muss die Bank die Diversifikationseffekte selbst bestimmen. Hier können andere Versicherungslösungen einen Vorteil bieten.
"Multiline-/Multiyear"-Versicherungen decken verschiedene Schadensereignisse über einen zu bestimmenden Zeitraum bis zu einem vordefinierten aggregierten Gesamtlimit ab. Die Versicherungssumme bezieht sich somit gemeinsam auf verschiedene operationelle Risiken. Wenn eine entsprechende Versicherung operationelle Risiken auf der Aggregationsebene abdeckt, auf der die Verlustverteilung bestimmt wird, dann kann diese Versicherung einfacher in die Eigenkapitalberechnung integriert werden. Die Versicherung hat bei der Festlegung der Versicherungsprämie die Diversifikationseffekte analysiert. Diese Analyse kann nun von der Bank bei der Quantifizierung genutzt werden.
"Insurance-linked Securities (ILS)"-Produkte sind Beispiele des "Alternative Risk Transfer"; sie verbriefen das operationelle Risiko von Banken und transferieren das Risiko auf den Kapitalmarkt. Bis heute sind ILS auf sogenannte "Katastrophen-Bonds" (Cat-Bonds) beschränkt, in denen das Risiko einer Naturkatastrophe und somit eines externen Ereignisses auf den Kapitalmarkt übertragen wird. Aus Sicht einer Bank kann ein ILS besonders in Zeiten nach größeren Verlustfällen, in denen die Deckung im Versicherungsmarkt knapp ist, hohe Versicherungssummen bieten. Da die meisten ILS als Anleihen an Investoren verkauft werden, besteht für die Bank im Gegensatz zu einer Versicherungsgesellschaft kein Kreditrisiko, da das eingezahlte Kapital in einem sogenannten Special Purpose Vehicle (SPV) vorgehalten wird.
Die Problematik für Banken liegt in der beschränkten Einsetzbarkeit dieses Produktes und somit in der Integration in die Risikomessmethodik. Um operationelle Risiken abzudecken, die durch bankinterne Faktoren beeinflusst werden (Prozesse, Personen, Systeme) müsste die Bank dem Kapitalmarkt zudem weitreichende interne Informationen offenlegen. Darüber hinaus haben Investoren genau wie Versicherer Bedenken hinsichtlich einer negativen Anreizwirkung (Moral Hazard) sowie der bewussten Bündelung schlechter Risiken (Adverse Selection), besitzen aber nicht die gleichen Einfluss- beziehungsweise Kontrollmöglichkeiten wie letztere. Daher wurden bislang keine über Cat-Bonds hinausgehenden Produkte dieser Art am Markt angeboten.
Integriertes Management operationeller Risiken
Für einen optimalen Versicherungseinsatz ist ein integriertes Management operationeller Risiken unverzichtbar. Alle operationellen Risiken müssen gegenüber anderen Risikoarten abgegrenzt und in einem fortlaufenden Prozess identifiziert, bewertet, berichtet und gesteuert werden. Ohne eine vollständige Analyse des Risikoprofils kann ein optimaler Transfer durch Versicherungen kaum erfolgen.
In einem integrierten Risikomanagementprozess müssen die qualitativen (zum Beispiel Self-Assessment, Szenarioanalysen, Risikoindikatoren) und quantitativen Methoden (Quantifizierungsmodelle) optimal zusammenspielen. In einigen Banken wird ein mathematisch-statistisches Verfahren eingesetzt, um das Verlustpotenzial zu quantifizieren, während qualitative Methoden (zum Beispiel Self-Assessment) genutzt werden, um durch eine fortlaufende Bewertung der Qualität des Internen Kontroll- und Sicherheitssystems (IKS) Anreize für die Unternehmensbereiche zu schaffen, operationelle Risiken gezielt zu steuern.
Die Entscheidung zum gezielten Risikotransfer durch Versicherungsprodukte sollte sich primär auf die Quantifizierung des operationellen Risikos stützen. Dabei werden Häufigkeiten und Auswirkungen potenzieller Verluste untersucht und entsprechende Handlungsmaßnahmen abgeleitet (siehe Abbildung). Wenn die Risikoquantifizierung nicht das tatsächliche Risikoprofil der Bank abbildet, besteht die Gefahr einer suboptimalen Versicherungslösung. Da das Risikoprofil einer Bank stark von der Qualität des IKS abhängt, kann das Verlustpotenzial durch verbesserte oder zusätzliche Kontrollen reduziert werden. Durch die eingehende Analyse eingetretener Verluste ist fortlaufend zu prüfen, ob die bestehenden Kontrollmechanismen ausreichend sind.
Versicherungen für die primären Verlustereignisse
Die Reduzierung operationeller Risiken durch Versicherungen stabilisiert das Finanzsystem insgesamt. Banken werden verstärkt "Multiline-/Multiyear"-Versicherungen, welche idealerweise kompatibel zu der aufsichtsrechtlichen Risikokategorisierung gestaltet sind, nachfragen. Somit werden Versicherungen für die primären Verlustereignisse entstehen, zum Beispiel für Betrug, Sachschäden, Geschäftsunterbrechungen und Systemausfälle, Abwicklung, Vertrieb und Prozessmanagement. Diese Art von Versicherungen lässt sich optimal in Risikoquantifizierungsmethoden integrieren und kann daher das Verlustpotenzial ohne größere Sicherheitsabschläge reduzieren.
Zusätzlich werden Banken versuchen, sich in Zukunft vermehrt gegen Verlustfälle
mit geringer Eintrittswahrscheinlichkeit, jedoch hohen Auswirkungen, am Kapitalmarkt Risikodeckung zu verschaffen. Der Kapitalmarkt kann eine hohe Deckung der Risiken bieten, welche die Kapazitäten der Versicherungsindustrie übersteigt, besonders wenn die Versicherungsindustrie große Verluste finanzieren musste. Solche Ereignisse, wie die Terroranschläge des 11. September 2001, können zu einer Verknappung des Eigenkapitals in der Versicherungsbranche mit höheren Versicherungsprämien als Folge führen.
In einer solchen Marktlage werden Banken alternative Produkte zur Reduzierung von operationellen Risiken nachfragen. Die Struktur derartiger Verbriefungen von operationellen Risiken wird in dem Spannungsverhältnis zwischen einer eingeschränkten Offenlegung interner Informationen und der Befriedigung der Transparenzbedürfnisse von Investoren entwickelt werden.
Enge Partnerschaften zwischen Banken und Versicherungen
Für eine optimale Risikoreduzierung müssen Banken und Versicherungen enge Partnerschaften eingehen. Versicherungen müssen die internen Prozesse und Kontrollen der Banken eingehend beurteilen können, um sachgerechte Versicherungsprämien zu ermitteln. Eine enge Zusammenarbeit ist auch für die Bank wichtig, da die Bank von dem Wissen und den Erfahrungen des Versicherers im Bereich des Risikomanagements profitieren kann. Die Analyse der Diversifikationseffekte des Versicherers kann die Bank bei der Quantifizierung des operationellen Risikos unterstützen.
Eine enge Zusammenarbeit zwischen Banken und Versicherungen auf diesem Gebiet beinhaltet aber auch Herausforderungen, insbesondere bei zunehmender Realisierung des sogenannten Allfinanz-Konzeptes. Hier sind Banken und Versicherungen sowohl Geschäftspartner als auch Wettbewerber und werden sich deswegen gegebenenfalls sachverständiger Drittparteien bei der Beurteilung des operationellen Risikoprofils bedienen.
Klare Verantwortlichkeiten und Berichtswege
Nur in wenigen Banken arbeitet der Versicherungseinkauf eng mit dem Risikomanagement beziehungsweise der unabhängigen Risikoüberwachung zusammen. Ein integriertes Risikomanagement setzt klar definierte Schnittstellen zwischen diesen Funktionen voraus. Kreditinstitute, die sich für fortgeschrittene Risikomanagementverfahren bei Nutzung des risikoreduzierenden Effektes von Versicherungen entscheiden, werden daher klare Rollen- und Verantwortlichkeitsabgrenzungen sowie Informations- und Berichtswege zwischen den relevanten organisatorischen Einheiten festlegen, um die jeweilige Kernkompetenz der einzelnen Bereiche optimal zu nutzen.
Im Rahmen von Self-Assessements sowie der Verlustdatensammlung hat sich darüber hinaus gezeigt, dass in vielen Banken teilweise gewollt - nur eine geringe Transparenz auf der Ebene der Fach- und Führungskräfte hinsichtlich des bestehenden Versicherungsschutzes besteht. Obgleich sicherlich zur Vermeidung von Moral Ha-zard-Problemen eine Einschränkung der diesbezüglichen Information sinnvoll sein kann, muss sichergestellt sein, dass der Nutzen aus bestehenden Versicherungspolicen auch tatsächlich realisiert wird. Eine Voraussetzung für die methodische Reduzierung operationeller Risiken ist die Kenntnis der Art und des Umfangs des bestehenden Versicherungsportfolios. Die Versicherungen sind, soweit sie die Anforderungen für eine bankenaufsichtsrechtliche Anerkennung als risikomindernd erfüllen, den einzelnen Verlustereignissen im Rahmen der Quantifizierungsmodelle zuzuordnen. Dieser Prozess wird in größeren Banken nur mit geeigneter Systemunterstützung funktionieren.
Aufbau zentraler Datenbanken
Die Datenverfügbarkeit für die Umsetzung anspruchsvoller Risikomessverfahren ist weiterhin eine der größten Herausforderungen. Der Aufbau zentraler Datenbanken für Versicherungen kann dabei eine ähnlich wichtige Rolle spielen wie die zunehmend maschinelle Bereitstellung von Vertragsinformationen bei der kreditrisikoreduzierenden Anwendung der Aufrechnung von Forderungen und Verbindlichkeiten bei Geschäften mit Derivaten (Netting).
Literaturhinweise: Bank for International Settlements, International Convergence of Capital Measurement and Capital Standards: A Revised Framework, Basel 2004
Bundesministerium der Finanzen [BMF 2006], Verordnung über die angemessene Eigenmittelausstattung (Solvabilität) von Instituten - Solvabilitätsverordnung (SolvV), Entwurf vom 31. März 2006, Berlin 2006
Kaiser, Th., "Was und wie? Effektivität und Effizienz verschiedener Op Risk-Management-Alternativen" in: Risknews, Dezember 2004
Kaiser, Th., M. Köhne, Operationelle Risiken in Finanzinstituten. Wege zur Umsetzung von Basel II und CAD 3, Wiesbaden 2004
Kaufmann, M./G. Dröse, "Operational Risk Management: Risikotransfer durch Versicherung" in: Die Bank, Heft 11, Köln 2000
Mothmann, W., "Operational Risk: Effektive Risikominderung durch Versicherungen" in: Die Bank, Heft 3, Köln 2003