Operationelle Risiken gehören bei Finanzinstituten zu den wesentlichen Risiken neben den klassischen Finanzrisiken wie Kredit-, Marktpreis- und Liquiditätsrisiken. Im vergangenen Jahr wurden neue Rekordverluste durch interne Betrugsfälle von zirka fünf Milliarden Euro beziehungsweise kürzlich mutmaßlich sogar 50 Milliarden US-Dollar bekannt. Die Finanzmarktkrise hat ferner gezeigt, dass in einigen Fällen Bewertungsverfahren und Neuproduktprozesse versagt haben - somit waren operationelle Risiken in nicht unerheblichem Umfang im Spiel. In den letzten Jahren haben die meisten Finanzinstitute erhebliche Anstrengungen unternommen, Verfahren zur Identifikation, Bewertung und Steuerung operationeller Risiken zu implementieren. Diese wurden teilweise durch betriebswirtschaftliche Gründe, meist jedoch durch aufsichtsrechtliche Anforderungen motiviert.
Methoden und Prozesse
Die Methoden und Prozesse für das Management und Controlling operationeller Risiken umfassen üblicherweise die Durchführung von Self-Assessments und Szenarioanalysen, die Erhebung von Risikoindikatoren und Verlustdaten sowie teilweise die Quantifizierung mittels mathematischstatistischer Verfahren. Nur wenige Finanzinstitute erfüllen bislang die höchsten Anforderungen an den Entwicklungsstand der entsprechenden Verfahren und haben die Zulassung zum Ambitionierten Messansatz (AMA) für ihre Eigenkapitalunterlegung erhalten.
Die aktuelle Herausforderung besteht häufig in der Optimierung der bestehenden Methoden und Prozesse für das Management operationeller Risiken, insbesondere hinsichtlich der Ableitung von Steuerungsmaßnahmen auf Basis der gewonnenen Informationen aus den Identifikations- und Bewertungsverfahren. Auslöser ist oft die Erkenntnis, dass bei der Entwicklung der Verfahren betriebswirtschaftliche Nutzenaspekte zu wenig berücksichtigt wurden. Abbildung 1 illustriert die anzustrebende Entwicklungsrichtung, wobei zunächst die Informationen aus dem Reporting angereichert werden (insbesondere auch hinsichtlich der Verknüpfung verschiedener Datenquellen, um Schlussfolgerungen aus verschiedenen OpRisk- Instrumenten zu gewinnen) und darauf aufbauend fortschrittliche Steuerungsinstrumente etabliert werden, welche im Idealfall strategische Entscheidungen wie Zukäufe, Aufbau neuer Geschäftsfelder und Ähnliches unterstützen. Effektive Steuerungsmaßnahmen auf der eher operativen Ebene, durch die erst eine wahre Wertschöpfung in den Finanzinstituten erzielt werden kann, umfassen beispielsweise die gezielte Investition in Systemerneuerungen, Verbesserung von Kontrollen, Optimierung von Verantwortlichkeiten oder den Abschluss von Versicherungen.
Verknüpfung ist entscheidend
Die Optimierung des Rahmens für das Management operationeller Risiken entfaltet insbesondere dann ihre Wirkung, wenn sie mit den vermehrt auftretenden inhaltlichen Schnittstellen zu neuen Trends oder aufsichtsrechtlichen Anforderungen sowie bislang isolierten Aktivitäten mit verwandter Zielsetzung in der Branche verbunden wird. Bei einer erstmaligen Implementierung oder einer konzeptionellen Erweiterung eines entsprechenden Rahmens sollten diese Aspekte pro-aktiv bei der methodischen Ausgestaltung berücksichtigt werden. Zu diesen zählen insbesondere:
- die Auslagerung von Aktivitäten, die nicht zum Kerngeschäft gehören (Outsourcing im Sinne der MaRisk, das heißt Prüfung der Wesentlichkeit von Auslagerungen, Durchführung einer Risikoanalyse und entsprechende Ausgestaltung der Outsourcing-Prozesse und -Verträge),
- die verstärkte Überprüfung des Internen Kontrollsystems (IKS) nicht nur in Bezug auf die Rechnungslegung und Finanzberichterstattung (getrieben durch Anforderungen aus SOX, BilMoG und Ähnliche),
- die gezielte Vorsorge gegen interne und externe betrügerische Handlungen vor dem Hintergrund aktueller Verluste, beispielsweise in Bezug auf den Diebstahl vertraulicher Kundeninformationen oder Manipulationen im Handel,
- die Umsetzung von Vorkehrungen für Notfälle (Business Continuity Management),
- die Einführung von institutsweiten Verfahren zur Sicherstellung der Datenqualität vor allem von Steuerungsinformationen (Data Quality Management),
- die Optimierung von Prozessen.
Abbildung 2 zeigt typischerweise in Finanzinstitutionen vorhandene unternehmensweite Initiativen. Eine integrierte OpRisk-Steuerung erfordert eine enge Abstimmung des OpRisk-Managements mit diesen Initiativen. Die fehlende Integration artverwandter Themen in das OpRisk- Management birgt die Gefahr negativer Konsequenzen. Redundante Aufgaben und Analysen können zum ineffizienten Einsatz knapper Ressourcen bei inkonsistenten Ergebnissen und hoher Belastung der Geschäftsbereiche durch Mehrfachbefragungen führen.
Darüber hinaus bergen unklare Zuweisungen der Verantwortung die Gefahr mangelnder Überwachung wesentlicher Risiken sowie fehlender Koordination in Krisensituationen bei hoher Bindung von Ressourcen für Abstimmungsprozesse. Eine Nichtberücksichtigung der Abhängigkeiten zwischen den Initiativen beeinträchtigt die Möglichkeiten zur Risikosteuerung und die Vollständigkeit der Berichterstattung.
Integration mit dem bestehenden Management operationeller Risiken
Die Verbindung dieser Themen betrifft alle Bausteine des Rahmens für das Management operationeller Risiken. Dies beginnt mit einer zielorientierten Risikostrategie (insbesondere der Zielsetzung, Festlegung des Risikoappetits und Leitlinien zum Management operationeller Risiken) und setzt sich im organisatorischen Rahmen fort. Hierzu gehört die klare Definition von Verantwortlichkeiten, beispielsweise hinsichtlich der Abgrenzung oder Integration der Rollen eines dezentralen "Operational Risk Managers", eines "Prozessmanagers" oder eines "Datenqualitätsbeauftragten". Auch das Zusammenspiel des Risikocontrollings, diverser Komitees (Risikokomitees, Krisenstäbe und Ähnliche) und den Linien- und Stabsbereichen des Unternehmens bedarf einer Klärung.
Ein breites Optimierungsfeld besteht in den Verfahren zur Identifikation und Bewertung der operationellen Risiken. Hierbei werden oftmals Risikoprofile im Rahmen von Workshops oder Fragebögen erstellt, die jedoch nur auf Einzelaspekte fokussieren und somit zu Redundanzen führen können. Beispielsweise werden im Rahmen der Business-Continuity-Planung üblicherweise kritische Prozesse identifiziert und hierfür eine Business-Impact-Analyse durchgeführt. Zur aufsichtlichen Anmeldung eines Outsourcing-Vorhabens wiederum muss eine Risikoanalyse durchgeführt werden, welche die speziellen operationellen Risiken aus dieser Transaktion beleuchtet. Die Betrugsbekämpfung identifiziert Schwachstellen, um gezielte Maßnahmen einleiten zu können. Auch dies ist ein Ausschnitt aus dem übergreifenden OpRisk-Rahmen.
Bei all diesen und weiteren Aktivitäten geht es darum, Verfahren zur Identifikation und Bewertung zu benutzen, die entweder auf bereits vorhandenen Informationen aufbauen oder zumindest auf konsistenten Bewertungsschemata beruhen sowie Doppelansprachen von Mitarbeitern vermeiden. Schließlich ist es wichtig, die Reporting-Strukturen für operationelle Risiken zu optimieren. Hierbei geht es in erster Linie um die Integration der Risikoinformationen aus unterschiedlichen Quellen mit Ertrags- und Kostendaten zur Ermöglichung der Ableitung von Steuerungsmaßnahmen sowie zur besseren Entscheidungsfindung bei Geschäftsentscheidungen jeglicher Art.
Typische Wirkung von Risikosteuerungsmaßnahmen
Die größte Notwendigkeit zur Konsolidierung von Aktivitäten besteht in dem Bereich, der auch namensgebend für den Begriff "OpRisk-Management" ist, nämlich der Risikosteuerung. Abbildung 3 illustriert ausgewählte Risikosteuerungsmaßnahmen sowie deren typische Wirkung sowohl hinsichtlich der grundsätzlichen Steuerungsalternativen als auch bezüglich der damit zumindest teilweise abgedeckten Risikokategorien. Hierbei ist zu beachten, dass es einzelne, unter eigenständigem Namen anzutreffende Initiativen (wie BCM, Versicherung, Outsourcing) gibt, die jedoch durch eine Vielzahl von Einzelmaßnahmen wie Mitarbeiterschulungen, Arbeitsanweisungen und Virenscanner ergänzt werden.
Hier gilt es, die Großinitiativen (die üblicherweise zentral gesteuert werden) mit den Einzelmaßnahmen (die meist dezentral initiiert werden) sinnvoll zu vernetzen. Erforderlich ist somit die Integration unterschiedlichster Initiativen, die häufig getrennt voneinander aufgesetzt und gesteuert werden. Zudem muss die Akzeptanz des Managements operationeller Risiken ausgebaut und ein Bewusstsein für die Zusammenhänge geschaffen werden.
Der Nutzen der Optimierung des OpRisk-Management-Rahmens besteht vor allem in der Realisierung von Synergieeffekten. Mitarbeiterressourcen werden durch die Verwendung des bereits implementierten Instrumentariums beziehungsweise vorhandener Informationen zur Bewältigung inhaltlich artverwandter Herausforderungen weniger belastet.
Die führt zu einer Erhöhung der internen Akzeptanz der OpRisk-Informationen und -Maßnahmen aufgrund geringerer Redundanzen sowie konsistenterer Informationen. Sie ermöglicht eine gezieltere aktive Steuerung zur Vermeidung künftiger OpRisk-Verluste. Im Falle eines AMA-Instituts kann die Verankerung des OpRisk-Messsystems und -Berichtswesens in den laufenden Risikomanagementprozess (Usetest) besser unter Beweis gestellt werden. Schließlich führt ein optimierter OpRisk-Management-Rahmen zu einer Verbesserung der internen und externen Wahrnehmung, beispielsweise Ratingagenturen.
Abbildung 4 zeigt ausgewählte Schritte zur Vereinheitlichung und Beseitigung von Redundanzen der einzelnen Risikomanage-ment-Maßnahmen. Ausgangsbasis eines solchen Vorhabens sollte eine Aufnahme der existierenden Verfahren zur OpRisk-Identifikation und -Bewertung, der entsprechenden Reports, der Risikosteuerungs-initiativen/-maßnahmen und schließlich der Überwachungsfunktionen sein.
Hinsichtlich der Identifikation/Bewertung geht es vornehmlich darum, einheitliche Bewertungsmaßstäbe zu schaffen, die es zumindest ermöglichen, Ergebnisse ineinander zu überführen und somit vergleichbar zu machen. Ferner sollte die Durchführung entsprechender Analysen
und Erhebungen auf Möglichkeiten der Zusammenfassung geprüft werden. Neue Verfahren wie beispielsweise die Risikoanalyse im Kontext von Outsourcing- Vorhaben sollten sich eng an bestehende Methoden wie beispielsweise Self-Assessments anlehnen.
Hohe Bedeutung des Reportings
Bezüglich des Reportings ist es wichtig, thematisch verwandte Informationen zusammenzubringen. So können beispielsweise Erkenntnisse aus BCM- und IT-Secu-rity-Vorhaben in einen übergreifenden OpRisk-Report eingebracht werden. Wichtig ist die Konsistenz der Informationen, insbesondere wenn sie in mehreren Berichten aufgeführt werden. Umgekehrt ist es sehr nützlich, Risikoinformationen in bislang ertrags- und kostenorientierten Managementreports einzubringen, um eine Entscheidungsfindung basierend auf allen drei Säulen zu ermöglichen.
Hinsichtlich der Steuerung ist eine genaue Abgrenzung der zentralen und dezentralen Verantwortlichkeiten essenziell. Einerseits darf es nicht zu Kompetenzstreitigkeiten zwischen mehreren Bereichen kommen, andererseits muss ein Entscheidungsvakuum verhindert werden. In diesem Zusammenhang ist auch die Geschwindigkeit einer Entscheidungsfindung erwähnenswert. Ferner ist es wichtig, die OpRisk-Steuerung nicht ausschließlich aus einer Mikro-, sondern auch aus einer Makroperspektive zu betrachten, um eine mit der Risikostrategie kompatible und aus Gesamtunternehmenssicht optimale Mittelverwendung zu gewährleisten.
Stringente Erfolgskontrolle
Wie bereits im Zusammenhang mit Reporting erwähnt, geht es hierbei nicht ausschließlich um originäre Risikomanage-ment-Entscheidungen, sondern vielmehr auch um Geschäftsentscheidungen, bei denen Risikokomponenten eine Rolle spielen sollten. Hierzu zählen beispielsweise Übernahmen von anderen Unternehmen (mit Implikationen etwa bezüglich Daten-, System- und Prozessintegration), die Erschließung neuer Märkte (die beispielsweise mit neuen Rechts- und Compliancerisiken verbunden sein kann) sowie die Entscheidung, einen Prozess auszulagern (was zu externen Risiken im Verhältnis zum Insourcer führt).
Letztlich ist auch die Überwachung zu optimieren. Hier bietet es sich beispielsweise an, geplante Maßnahmen aus verschiedensten Quellen (Revisionsfeststellungen, Self-Assessment-Ergebnisse, Prozessoptimierungsvorhaben, Qualitätsmanagementinitiativen und andere) zentral nachzuhalten, um so die Abarbeitung der Punkte im vorgegebenen Budget und der veranschlagten Zeit besser verfolgen zu können.
Hinsichtlich dieser Maßnahmen ist eine stringente Erfolgskontrolle wichtig. Dies beinhaltet einerseits, zu überprüfen, inwieweit die projektierten Ziele tatsächlich erreicht wurden und somit das Risikoprofil sich in die gewünschte Richtung bewegt hat, andererseits die Kosteneffizienz der entsprechenden Maßnahmen. Schließlich ist die Revision nicht nur verpflichtet, die OpRisk-Methoden und -Prozesse einer regelmäßigen Prüfung zu unterziehen, sondern sollte die aus den OpRisk-Instrumenten gewonnenen Informationen auch dazu verwenden, ihre Prüfungsplanung risikoorientiert zu gestalten.
Betriebswirtschaftlicher Nutzen
Nach der mehr oder weniger vollständigen Erfüllung der aufsichtsrechtlichen Anforderungen sollten Finanzinstitute nun ihr Hauptaugenmerk auf die Steigerung des betriebswirtschaftlichen Nutzens aus dem OpRisk-Instrumentarium setzen.
Hierzu gehört insbesondere eine stärkere Vernetzung mit den bereits bestehenden unternehmensweiten Risikosteuerungsinitiativen. Das OpRisk-Management sollte hier eine koordinierende Rolle übernehmen und damit der Geschäftsleitung übergreifende, relevante Informationen für strategische und operative Entscheidungen jeglicher Art zur Verfügung stellen, um sich somit stärker in der Wertschöpfungskette des Unternehmens zu verankern.
Literaturhinweise
Kaiser, Th. (Hrsg.), Wettbewerbsvorteil Risikomanagement. Erfolgreiche Steuerung der Strategie-, Reputations- und operationellen Risiken, Berlin 2007.
Kaiser, Th., "Was und wie? Effektivität und Effizienz verschiedener OpRisk-Management-Alternativen" in: Risknews, Dezember 2004.
Kaiser, Th., M. Köhne, Operationelle Risiken in Finanzinstituten. Eine praxisorientierte Einführung, Wiesbaden 2007.
KPMG International, Managing Operational Risk - Beyond Basel II, Amsterdam 2007.