Gesamtbanksteuerung und Bankenaufsicht haben in den letzten Jahren operationelle Risiken verstärkt in den Fokus genommen. Dazu beigetragen hat unter anderem die Einsicht, dass eine rein quantitative Betrachtung der Kredit- und Marktpreisrisiken wesentliche Risikopotenziale vernachlässigt. Die verschiedenen Risikoarten bewegen sich nicht immer auf gleicher Ebene, sondern stehen häufig in einer Ursache-Wirkung-Beziehung: Ursachen für Verluste sind oft ganz oder teilweise operationelle Risikoträger (Menschen, Prozesse, Systeme, externe Ereignisse); die Folgen sind Bonitäts- und Marktwertänderungen oder (operationelle) Mehrkosten oder Mindererlöse. Ein Kreditausfall durch eine unerwartete Bonitätsverschlechterung beruht in vielen Fällen auf unvollständigen Informationen über den Kreditnehmer oder einer fehlerhaften Bonitätseinschätzung des Kreditsachbearbeiters. In diesen Fällen entsteht der Kreditausfall somit durch ein Fehlverhalten von Personen und nichtfunktionierenden Prozesse.
Die quantitative und qualitative Dimension der Adressrisiko-Steuerung
Auch eine methodische Analyse der Sonderprüfungen nach § 44 KWG bestätigt, dass ein erheblicher Teil der handelsrechtlich erfassten Kreditrisiken auf operationelle Risiken zurückzuführen ist. Kreditausfälle entstehen demnach in vielen Fällen primär durch:
- Mängel in der Aufbau- und Ablauforganisation des Kreditgeschäfts, zum Beispiel fehlende Strategie, kein Vier-Augen-Prinzip, unzureichende risikoorientierte Kalkulation oder
- eine fehlende beziehungsweise unzureichende Portfoliosteuerung, zum Beispiel, wenn eine Klumpung von Größenklassen, Branchen oder Regionen nicht richtig ausgesteuert oder hohe Korrelationen zwischen den Risikofaktoren nicht hinreichend beachtet werden.
In ähnlicher Weise zeigen die Analysen von Sanierungsfällen von Banken, dass Fehlleistungen handelnder Personen oder das Versagen interner Sicherungsmaßnahmen deutlich häufiger der Hauptgrund für die Sanierung sind als unerwartete Wertverluste des Kreditportfolios. Diese über viele Jahre gewonnenen Erkenntnisse haben letztlich maßgeblich zur Entwicklung der MaK/MaRisk beigetragen.1)
Vor diesem Hintergrund unterscheidet die moderne Adressrisiko-Steuerung zwei Dimensionen:2)
1. Die quantitative Dimension ist auf die adäquate Messung der Adressrisiken ausgerichtet;
2. die qualitative Dimension betrachtet die Strukturen und Prozesse im Kreditgeschäft, um die dem Kreditgeschäft inhärenten operationellen Risiken zu optimieren. In den letzten Jahren unternahmen die Kreditinstitute große Anstrengungen zur betriebswirtschaftlichen Neuausrichtung der Adressrisiko-Messung und -Steuerung. Im Mittelpunkt stand und steht hierbei die Einführung geeigneter Steuerungsmethoden und -systeme. Parallel mussten die Institute mit der Umsetzung der MaK beziehungsweise MaRisk die Strukturen und Prozesse im Kreditgeschäft neu ausrichten. Im Kontext dieser Projekte machten die Banken die Erfahrung, dass mit der Neuausrichtung der quantitativen Adressrisiko-Steuerung auch die Frage zu beantworten ist, wie Ausfallrisiken und operationelle Risiken auf geeignete Weise abzugrenzen sind.
Schwierigkeiten der Ursachenanalyse
Die Betrachtung des Adressrisikos findet handelsrechtlich über die Bildung von Einzelwertberichtigungen und Abschreibungen statt. In der Gesamtbanksteuerung wird dies auf Einzelengagement- wie auf der Portfolioebene ergänzt durch die Ermittlung von Wertänderungen der Kreditposition, die durch Bonitätsmigrationen entstehen; ihnen liegen Veränderungen von Ausfallraten zugrunde, die auf Basis historischer Einzelwertberichtigungen ermittelt und über das Rating zugeordnet werden. In beiden Fällen werden Kreditereignisse somit nicht nach Ursachen unterschieden (Bonitätsrisiko oder operationelles Risiko). Wenn aber operationelle Risiken zu Wertberichtigungen beitragen, schlagen sie sich in der laufenden Periode im handelsrechtlichen Adressrisikoergebnis nieder und fließen ebenso in die Ermittlung der Ausfallraten und Risikoprämien sowie der barwertigen Adressrisikoergebnisse künftiger Perioden ein wie die durch das Bonitätsrisiko ausgelösten Effekte.
Nutzen einer gut definierten Schnittstelle
Die integrierte Gesamtbanksteuerung basiert auf der Prämisse, dass die einzelnen Risikoarten separat betrachtet und gemessen werden können. Doch in der Praxis stellt die Ursachenanalyse von Kreditausfällen die Institute vor große Herausforderungen: Der Kreditausfall-Betrag muss zerlegt werden in die Anteile, die auf dem Bonitätsrisiko beruhen beziehungsweise auf den operationellen Risiken des Kreditprozesses.
Diese Zerlegung verursacht in der Regel einen hohen Aufwand, ohne dass damit eine Verlustaufteilung gewährleistet werden kann, die von allen Beteiligten akzeptiert wird. Erschwert wird dies insbesondere dadurch, dass Bonitätsänderungen und die Folgen operationeller Schäden erst Jahre nach der Kreditgewährung auftreten können. Das Aufsichtsrecht schließt deshalb die mit dem Kreditgeschäft verbundenen operationellen Risiken in die Kapitalunterlegung von Kreditrisiken ein.3) Zwar lassen die auf dieser Basis ermittelten Risiken grundsätzlich eine Kapitalallokation zu. Diese ist aber wirkungsbezogen ausgerichtet und damit als Basis für eine ökonomische Kapitalallokation und -steuerung ungeeignet. Je nach Verfahren zur Risikobemessung kann es dabei vorkommen, dass operationelle Risiken doppelt berücksichtigt werden.4)
Trotz der Schwierigkeiten sollten sich die Kreditinstitute mit der Definition und Gestaltung der Schnittstelle zwischen dem Kreditrisiko- und dem OpRisk-Management systematisch auseinandersetzen. Der Nutzen einer sauber definierten Schnittstelle wird schnell deutlich, wenn man die unterschiedlichen Steuerungsmaßnahmen betrachtet, die aus den tatsächlichen Ursachen abzuleiten sind: Beruht eine steigende Quote an Wertberichtigungen auf Risikoklumpungen im Kreditportfolio, sind Maßnahmen zur Risikodiversifikation erforderlich; steigt die Quote dagegen wegen des Fehlverhaltens von Mitarbeitern, sind Schulungen oder eine Reorganisation des Kreditprozesses notwendig.
Werden Schadensursachen nicht hinreichend zugeordnet, dienen Steuerungsmaßnahmen lediglich der Symptombehebung und nicht der Ursachenbeseitigung. Darüber hinaus werden die wesentlichen Steuerungsinstrumente - also Ratings, Vorkalkulation im Kreditgeschäft und Kreditportfoliomodelle - auf Basis der Ausfall-risiko-Datenbestände kalibriert, die heute durch operationelle Verluste verzerrt sind. Es lassen sich leicht Beispiele finden, wie die Steuerungsparameter Ausfallrate (PD), ausstehendes Volumen im Ausfallzeitpunkt (EAD) und Verlustquote (LGD) durch operationelle Risiken beeinflusst werden: zum Beispiel durch die Zuordnung einer falschen Ratingnote, durch die Nichteinhaltung interner Limite oder falsche Sicherheitenbewertung.5)
Die saubere Abgrenzung der Risikoarten setzt ein ganzheitliches Risikomanage-ment-System voraus, das die Entwicklung eines konsistenten Risikobewusstseins unterstützt. Der Wandel der Finanzwirtschaft erzeugt zahlreiche neue Risiken durch eine fortschreitende Deregulierung der Kapitalmärkte, rasanten technischen Fortschritt (insbesondere in den Informations- und Kommunikationstechnologien) und die damit verbundene Globalisierung. Die Risikoidentifikation und -messung sollte der Dynamik des Geschäftsmodells Rechnung tragen, indem die zu messenden Indikatoren regelmäßig fortentwickelt werden.
Entscheidung zur Methodik
Ausgehend von einer mit der Geschäftsstrategie konsistenten Risikostrategie muss das Kreditinstitut daher eine Entscheidung treffen zur Methodik (quantitativ/qualitativ) und den Identifikationsansätzen (zum Beispiel interne/externe Datenbank, Self Assessment, Key Risk Indicators); diese Verfahren sind kontinuierlich zu hinterfragen und zu optimieren.
In diesem Kontext muss auch eine Entscheidung zur Betrachtungsrichtung des Bewertungsmodells getroffen werden. Eine Top-Down-Betrachtung6) hat den Vorteil, dass sie auf eine relativ hohe (interne und externe) Datenverfügbarkeit zurückgreifen kann und relativ leicht zu implementieren ist, da keine Risikoanalyse der internen Prozesse notwendig ist.7) Allerdings kann durch diese globale Betrachtung die Risikokultur kaum weiterentwickelt werden. Wählt das Institut dagegen ein Bottom-Up-Verfahren, müssen die verschiedenen Geschäftseinheiten und Verlustereignisse definiert werden,8) um die Daten auf höherer Ebene aggregieren zu können.
Für alle Geschäftseinheiten und Verlustereignisse sind Aggregationspfade festzulegen und in der Datenbank zu hinterlegen. Die sehr heterogenen Bottom-Up-Verfahren9) weisen eine hohe Komplexität auf und binden viele Ressourcen.10) Doch die Vorteile einer risikosensitiven Bottom- Up-Steuerung überwiegen diese Nachteile.
Um die operationellen Risiken von den Adressrisiken quantitativ abzuspalten, erscheint deshalb die verlustdatenbasierte Herangehensweise sinnvoll. Unter Berücksichtigung der Problematik trunkierter Daten11)müssen Führungskräfte und Mitarbeiter bei dieser Vorgehensweise jedoch jeweils beurteilen können, wann ein operationeller Verlust als eingetreten gilt und wann er zu erfassen ist.12)
Institutionalisierte Überprüfung der Ausfallursachen
Auf dieser Basis sind fehlentwickelte Kre-dit-Engagements systematisch zu untersuchen. Die Überprüfung der Ausfallursachen muss dazu institutionalisiert werden. In der Praxis hat sich die Einbindung einer sachkundigen Stelle bewährt, die nicht in den normalen Kreditproduktions-Prozess eingebunden ist (zum Beispiel Kreditüberwachung).
Ziel ist dabei ein systematisches Assessment notleidender Engagements, um jenen Teil des entstandenen Risikos zu isolieren, der auf operationelle Ursachen zurückzuführen ist (Abbildung 1); dieser wird in einer Schadensfall-Datenbank dokumentiert.
Bis auf Weiteres sollte eine solche Erfassung parallel erfolgen, das heißt gleichzeitig sollte der gesamte Ausfallbetrag in der Kreditrisiko-Datenbank erfasst werden und der operationelle Ausfallteilbetrag in der Schadensfall-Datenbank. Diese vorübergehende Lösung generiert wichtige Impulse für die Ableitung ursachenbezogener Steuerungsmaßnahmen. Eine vollständige Separierung der Datenbanken sollte erst dann erfolgen, wenn alle relevanten Kontroll- und Steuerungssysteme auf eine differenzierte Betrachtung von Kreditausfällen umgestellt werden. Nur dadurch ist es möglich, die Konsistenz der Datenbasis für die Ermittlung von Steuerungsparametern zu gewährleisten, die für Steuerungszwecke notwendig und von Basel II gefordert ist.
Neben der quantitativen Risikoanalyse mit einer Schadensfall-Datenbank sollte das OpRisk-Management auch eine qualitative Selbsteinschätzung (Self Assessment) umfassen. Dies kann insbesondere Frühindikatoren liefern für die quantitativ messbaren Schadensereignisse. Im genossenschaftlichen Bankensektor ist dies durch den modularen Aufbau des OpRisk-Managements (ORM) in VR-Control bereits realisiert: Ein Einstiegsmodul bietet die Möglichkeit, zunächst nur die Schadensfall-Datenbank zu nutzen; Zusatzmodule unterstützen Self Assessment, Risikobewertung und die Simulation zur aufsichtsrechtlichen Eigenkapitalunterlegung.
Die Schadensfall-Datenbank führt nach den Kriterien von Basel II anonymisiert Schadensfälle zusammen, sowohl innerhalb des Instituts als auch in einer bundesweiten Schadensfall-Datenbank; die Zusatzmodule unterstützen die betriebswirtschaftliche Steuerung operationeller Risiken. Werden die Risiken zum Beispiel quartalsweise bewertet, sollte im gleichen Turnus auch ihre Häufigkeit untersucht werden. Durch die Überleitung der historisch erfassten Schadensfälle in die gemeinsame Schadensfall-Datenbank sind die Genossenschaftsbanken künftig in der Lage, ihren Operational Value at Risk anhand einer Monte-Carlo-Simulation über ORM zu simulieren (Abbildung 2). Hiermit ist dann eine konsistente Einbindung operationeller Risiken in die Steuerung des ökonomischen Kapitals auf Gesamtbankebene möglich.
Offene und ganzheitliche Risikokultur erforderlich
Eine offene und ganzheitliche Risikokultur ist zentrale Voraussetzung für eine hinreichende Separierung operationeller Risiken. Die besondere Problematik liegt hierbei in der wirkungsbezogenen Messlogik des Adressrisikos und den darauf aufbauenden Führungskräfte- und Mitarbeiter- Entlohnungssystemen. Die vorherrschenden periodischen und barwertigen Steuerungssysteme vernachlässigen beim OpRisk- Management regelmäßig den kulturellen Reifegrad einer Organisation; der kulturelle Veränderungsprozess wird bei der Einführung von Steuerungsinstrumenten für operationelle Risiken meist nicht berücksichtigt. Es ist deshalb eine besondere Anforderung an das OpRisk-Management, die Entwicklung einer Risikokultur zu fördern und zu unterstützen. Zentrales Moment eines solchen Systems ist dabei Vertrauen; es geht nicht darum "Schuldige" zu finden, sondern Problemlösungen. Nur auf dieser Basis können sich Mitarbeiter vom "Risk Taker" zum "Risk Manager" entwickeln.
Gelingt diese kulturelle Veränderung nicht, besteht die Gefahr einer dauerhaften Kultur der Risikoverdrängung:13) Dann tendieren Mitarbeiter dazu, Risiken im Kreditgeschäft den Adressrisiken zuzuordnen, ohne den tatsächlichen Ursachen auf den Grund zu gehen. Dieses Vorgehen ist gelebte Praxis und vermeidet aufwendige Analysen. Bei Führungskräften spielt dann auch die Sorge vor disziplinarischen Handlungszwängen eine Rolle, da sie als Meldeverantwortliche operationelle Risiken dem zentralen Risikocontrolling anzeigen müssen.
Einer solchen Verdrängungskultur muss die Unternehmensleitung aktiv entgegen steuern. Wie alle kulturellen Veränderungsprozesse erfordert ein Wandel der Risikokultur glaubwürdiges und nachhaltiges Vorgehen. Führungskräfte sind hier als Vorbilder, Förderer und Überwacher des Prozesses gefordert.14) Um den kulturellen Entwicklungsstand der Organisation und damit den Handlungsbedarf festzustellen, empfiehlt sich ein systematisches Monitoring der kulturellen Entwicklung mit Kulturindikatoren.15) Je nach Entwicklungsstand kann das Monitoring in den Self-Assessment-Prozess integriert werden oder zunächst separat und anonym erfolgen. Die Indikatoren sollten dabei jeweils die konsistente Anwendung der Instrumente (der Adress- und der OpRisk-Steuerung) beschreiben und den risikokulturellen Reifegrad der Organisation abbilden.
Entwicklung einer "reifen" Risikokultur
Damit lässt sich beschreiben, wie weit sich die betreffende Geschäftseinheit mit den Zielen und dem Nutzen des OpRisk- Managements identifiziert. Im Idealfall erlauben die Indikatoren auch Rückschlüsse auf die Bereitschaft, Eingangsparameter für die Adressrisiko-Steuerung (PD, EAD, LGD) zu beeinflussen und die Schadensfall-Datenbanken ordnungsgemäß zu speisen. Erst wenn die Kulturindikatoren eine nachhaltige Entwicklung der Risikokultur anzeigen, ist die Schnittstelle zwischen Kreditrisiko- und OpRisk-Management so klar definiert, dass eine ursachengerechte Risikoanalyse möglich wird. Die Entwicklung einer "reifen" Risikokultur ist somit zentrale Grundlage, um die Gesamtbanksteuerung im Sinne einer effizienten Kapitalallokation und -steuerung über alle Risikoarten und Geschäftseinheiten hinweg zu optimieren.