Spätestens mit der neuen Baseler Eigenkapitalverordnung und deren Umsetzung in nationales Recht ist das Management operationeller Risiken verstärkt in das Blickfeld der Bankenaufsicht und damit in das Bewusstsein des Risikomanagements der Institute gerückt. Aber auch unabhängig von aufsichtsrechtlichen Regelungen macht die heutige Ausgestaltung der Geschäftsprozesse bei Banken mit einer hohen Komplexität, einer starken IT-Abhängigkeit und Flexibilität in verstärktem Maße eine regelmäßige Identifizierung, Bewertung und Steuerung von operationellen Risiken notwendig.
Es gilt dabei eine risikobewusste, und nicht per se risikoaverse Kultur in Bezug auf diese Risikokategorien zu etablieren und das Gesamtrisiko auf ein betriebswirtschaftlich sinnvolles Niveau zu reduzieren. Operationelle Risiken sind wie Kredit- und Marktpreisrisiken in die Risikostrategie und den Risikomanagementprozess einzubinden. Nur so lässt sich gewährleisten, dass die Gesamtheit der von der Bank eingegangenen Risiken ihre Risikotragfähigkeit nicht übersteigt. Ein bankweites, methodisch fundiertes und konsolidiertes Management operationeller Risiken wurde auch in der Daimler Chrysler Bank etabliert.
Ausgangssituation und Zielsetzungen
Bereits vor Basel II wurden operationelle Risiken beziehungsweise spezifische Teilaspekte durch verschiedene Gesetze und Regelungen adressiert. Als Beispiele seien die Mindestanforderungen an das Handels-1) und Kreditgeschäft2) (MaH und MaK) sowie das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich3) (Kon TraG) genannt. Folgerichtig war das Management operationeller Risiken für die Bank kein gänzlich neuer Themenbereich. Mit der neuen Baseler Eigenkapitalverordnung hat nun aber erstmals eine Unterlegung solcher Risiken mit aufsichtsrechtlichem Eigenkapital (Säule I) zu erfolgen. Weiterhin neu sind zusätzliche qualitative Anforderungen bei der organisatorischen und methodischen Ausgestaltung eines Managements operationeller Risiken (Säule 2) sowie Anforderungen an die Offenlegung relevanter Informationen gegenüber den Marktteilnehmern (Säule 3).
In der Gesamtbetrachtung fordert Basel II somit verstärkt eine ganzheitliche Betrachtung operationeller Risiken. Vor diesem Hintergrund, wie auch motiviert durch interne Anforderungen und Zielsetzungen, hat sich die Bank die Aufgabe gestellt, ein konsolidiertes Management operationeller Risiken auf bankweit einheitlicher und fundierter Methodengrundlage aufzubauen, um eine effektive Unterstützung der Risikosteuerung zu gewährleisten (Abbildung 1).
Umsetzung des Standardansatzes als Projektziel
So wurde im Rahmen der Umsetzung von Basel II ein eigenes Projekt "Operationelle Risiken" initiiert. Der Auftrag des Projektes umfasste in Bezug auf die Eigenkapitalunterlegung die Umsetzung des sogenannten Standardansatzes. Bei diesem orientiert sich die Berechnung des aufsichtsrechtlichen Eigenkapitals an dem durchschnittlichen Bruttoertrag der vergangenen drei Geschäftsjahre, wobei interne Geschäftstätigkeiten auf definierte regulatorische Geschäftsfelder zuzuordnen sind. Pro regulatorischem Geschäftsfeld wird ein individueller Multiplikator herangezogen.
Ein weiteres Projektziel bildete die Erarbeitung eines regulatorischen Rahmenwerkes, welches unter anderem die Themenbereiche der Risikodefinition, -kategorisierung und -organisation umfasst. Kernauftrag war zudem die Konzeption und Implementierung geeigneter und angemessener Methoden mit Blick auf die qualitativen Anforderungen, die an das Management operationeller Risiken gestellt werden. So sind Institute, die den Standardansatz für die aufsichtsrechtliche Eigenkapitalunterlegung verwenden, gemäß § 276 SolvV4) zum Aufbau einer Schadensfalldatenbank verpflichtet. Die Mindestanforderungen an das Risikomanagement5) (Ma Risk) fordern sogar unabhängig von der Ansatzwahl die systematische Katalogisierung von Verlusten.
Methoden für das Management operationeller Risiken
Die Einführung von Methoden für ein bankweites Management operationeller Risiken erfolgt in der Bank stufenweise. So stehen für die interne Risikosteuerung neben der Verlustereignissammlung zunächst qualitative Methoden wie das Op-Risk-Assessment im Vordergrund. Mittelfristig ist die Implementierung eines Key-Risk-Indi-katoren-Ansatzes geplant, um aus einer Ex-ante-Betrachtung heraus frühzeitig Änderungen im Risikoprofil identifizieren und angemessene Steuerungsmaßnahmen vor Realisation von Verlusten einleiten zu können.
Die über die Schadensfalldatenbank und die qualitativen Methoden gesammelten Daten bilden die Basis für den späteren Einsatz quantitativer Verfahren im Sinne einer mathematisch-statistisch fundierten Berechnung eines Op-Value-at-Risk (Op VaR). Quantitative Verfahren bedürfen zunächst des Aufbaus einer hinreichenden Datenhistorie und stellen für die Bank daher ein langfristiges Ziel dar (Abbildung 2).
Strukturierter Fragebogen
Das Op-Risk-Assessment der Daimler Chrysler Bank stellt eine systematische Bewertung operationeller Risiken auf der Grundlage von Expertenschätzungen dar und wird anhand eines strukturierten Fragebogens durchgeführt. Die Struktur des Fragebogens basiert auf einer internen Kategorisierung operationeller Risiken. Neben der Einschätzung des Risikopotenzials anhand der Parameter Eintrittswahrscheinlichkeit und Schadenspotenzial werden Fragen zur Bewertung des internen Kontrollgefüges gestellt, um so eine Beurteilung der Beherrschbarkeit der einzelnen Risikokategorien zu ermöglichen und in logischer Konsequenz den Entscheidungsprozess bei der Maßnahmenplanung zu unterstützen.
Die systematische Erfassung von internen Verlustdaten wird in der Bank als Op-Risk-Loss-Tracking bezeichnet. Das Op-Risk-Loss-Tracking ist ereignisbasiert aufgebaut, das heißt es wird zunächst auf das Verlustereignis abgestellt. Das Verlustereignis entspricht dem beobachteten Vorfall, der dazu führt, dass das Ergebnis eines operationellen Prozesses von dem erwarteten Ergebnis abweicht. Jedes Verlustereignis wird immer eindeutig einem Ereignistyp, das heißt einer Risikokategorie, zugeordnet und kann ein oder auch mehrere Effekte aufweisen.
Dezentrale Erfassung von Verlustereignissen
Die Effekte entsprechen den monetären wie nicht monetären Auswirkungen des Ereignisses. Sie werden jeweils separat erfasst und nach Effekttypen klassifiziert. Jeder Effekt ist genau einem Ereignis zugeordnet. Aus organisatorischer Sicht erfolgt die Verlustsammlung dezentral, das heißt, alle Organisationseinheiten der Bank sind für die Erfassung von Verlustereignissen in ihrem jeweiligen Zuständigkeitsbereich verantwortlich. Abweichend von diesem Grundsatz wurden für spezifische Subkategorien innerhalb der operationellen Risiken zentrale Verantwortliche sogenannte Central Risk Owner - identifiziert, über die eine zentrale Erfassung und Freigabe von Verlustereignissen und deren Effekten erfolgt.
Während die Daten des Op-Risk-Trackings vergangenheitsbezogen sind, da sie sich auf tatsächlich eingetretene Verlustereignisse beziehen, lassen sich die Bewertungen aus den Op-Risk-Assessments als gegenwarts- und zukunftsbezogen kennzeichnen.
Die Ex-ante-Sicht des Op-Risk-Assessments ergänzt die Ex-post-Perspektive des Op-Risk-Loss-Trackings. Sobald eine hinreichende Datenhistorie vorliegt, können die im Rahmen der Op-Risk-Assessments vorgenommenen Risikobewertungen den tatsächlich eingetretenen und im Op-Risk-Loss-Tracking gesammelten Verlustereignissen im Sinne eines Backtestings gegenübergestellt werden.
Der methodenübergreifende Ergebnisvergleich trägt zur Qualitätssicherung der erhobenen Daten bei. Um die gemäß der Risikoorganisation Verantwortlichen angemessen über die Risikosituation zu unterrichten, werden die über die Methoden Op-Risk-Assessment und Op-Risk-Loss-Tracking gesammelten Daten in aggregierter Form in einem Risikobericht für operationelle Risiken dargestellt. Das Op-Risk- Reporting wird quartalsweise erstellt und bildet die Grundlage für die Steuerung operationeller Risiken.
Zur Bedeutung einer angemessenen Softwareunterstützung
Eine erfolgreiche Umsetzung der beschriebenen Methoden erfordert eine adäquate Softwareunterstützung, denn operationelle Risiken weisen einige besondere Charakteristika auf, die es zu berücksichtigen gilt:
- Operationelle Risiken lassen sich definieren als die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren und Systemen, Menschen oder in Folge externer Ereignisse eintreten (vergleiche § 269 SolvV).6) Diese Begriffsfassung schließt damit auch so sensible Thematiken wie beispielsweise Bearbeitungsfehler und gesetzwidriges Verhalten von Mitarbeitern oder Betrugsversuche durch Kunden und Dritte ein. Aufgrund der Schutzwürdigkeit der Daten müssen Zugriffs- und Bearbeitungsrechte - insbesondere für die Schadensfalldatenbank - einem stark ausdifferenzierten Berechtigungskonzept folgen.
Softwarelösung mit flexibler Rechte- und Rollenstruktur
Dies wiederum erfordert den Einsatz einer Softwarelösung mit einer flexiblen Rechte- und Rollenstruktur. Rechte beziehungsweise Rollen müssen in Abhängigkeit von Organisationseinheiten wie auch Risikokategorien definiert werden können. Die Sensibilität der Daten erfordert zudem die Möglichkeit einer vollständigen Historisierung wie auch die Gewährleistung eines adäquaten Audit-Trail.
- Die für das Management operationeller Risiken benötigten Informationen können oft nicht zentral abgegriffen werden, sondern sind nur verteilt über die gesamte Unternehmung verfügbar. Die Lokalität und Dezentralität der für ein Management operationeller Risiken benötigten Daten legt den Einsatz einer serverbasierten Web-Applikation mit flexibler Workflow-Gestaltung nahe. Auf diese Weise lässt sich ein effizienter Datenerfassungs- und -freigabeprozess implementieren, welcher maßgeblich zur Praktikabilität und damit auch zur Akzeptanz des Managements operationeller Risiken in der Unternehmung beiträgt.
- Wie die oben vorgenommene Begriffspräzisierung gezeigt hat, umfassen operationelle Risiken einen breiten Definitionsbereich. Die für ein konsolidiertes Management operationeller Risiken zwingende Aggregation von Expertenschätzungen, realisierten Verlustereignissen und Frühwarnindikatoren erfordert in hohem Maße Datenintegrität und -konsistenz, das heißt die zentrale Vorgabe einheitlicher Erfassungsstrukturen übergreifend über alle Risikokategorien wie auch über die verschiedenen eingesetzten Methoden.
An dieser Stelle sei zum Beispiel auf das bereits erwähnte Backtesting zwischen den im Rahmen der Op-Risk-Assessments vorgenommenen Risikobewertungen und den im Op-Risk-Loss-Tracking gesammelten realisierten Verlustereignissen verwiesen. Eine vollständig integrierte Softwarelösung lanciert nicht nur die Verwendung kongruenter Erfassungsstrukturen, sondern darüber hinaus auch ein methodenübergreifendes Reporting.
Vor dem Hintergrund der Bedeutung einer adäquaten Softwareunterstützung für das Management operationeller Risiken hat das Projektteam "Op-Risk" der Bank einen detaillierten Bewertungs- und Auswahlprozess für eine entsprechende Standardsoftware durchgeführt. Am Ende des Auswahlprozesses wurde von der Bank die Entscheidung getroffen, die Standardsoftware RCS Op-Risk Suite der Risikomanagement Concepts Systems AG (Zürich) zu implementieren.
Kommunikation als wesentlicher Erfolgsfaktor
Ein zentraler Erfolgsfaktor für das Management operationeller Risiken ist die Schaffung eines in der gesamten Unternehmung verbreiteten Bewusstseins für die Notwendigkeit und den betriebswirtschaftlichen Nutzen derartiger Risikomessungen. Folgerichtig wurde in der Bank projektbegleitend ein Kommunikationsprogramm aufgesetzt, um in allen Unternehmensbereichen und verschiedenen Gremien die Thematik "Operationelle Risiken" transparent zu machen. Außerdem bilden Schulungen einen wichtigen Bestandteil des Op-Risk-Roll-outs.
So wird beispielsweise das erste Op-Risk-Assessment in jeder Abteilung im Rahmen eines durch das zentrale Risikomanagement moderierten Workshops durchgeführt. Im Mittelpunkt dieser Workshops steht neben der eigentlichen Expertenbewertung des jeweiligen Risikoprofils die Erarbeitung eines gemeinsamen Begriffsverständnisses für operationelle Risiken und deren Subkategorien anhand relevanter Beispiele.
Im Zuge des Rollouts finden zudem für alle Endanwender kontextspezifische Systemschulungen statt, um die User umfänglich auf das Arbeiten mit der neu eingeführten Standardsoftware vorzubereiten. Die Systemschulungen für die Endanwender werden ausschließlich durch das Op-Risk-Projektteam, das heißt ohne externe Unterstützung durchgeführt.
Offene Risikokultur
Unumstritten bedarf ein erfolgreiches Management operationeller Risiken zudem einer offenen Risikokultur. Der Terminus "Risikokultur" beschreibt das "generelle Selbstverständnis eines Unternehmens im Umgang mit seinen Risiken sowie dessen praktische Umsetzung und Anwendung im täglichen Geschäftsbetrieb".7) Methoden wie die Schadensfalldatenbank und das Self Assessment lassen sich nur dann tatsächlich in einer Unternehmung leben, wenn ehrlich, verantwortungsbewusst und lösungsorientiert mit potenziellen beziehungsweise realisierten Verlustereignissen umgegangen wird.
Eine offene Risikokultur muss auf breiter organisatorischer Basis, das heißt in allen Unternehmensbereichen und auf allen Hierarchieebenen verankert sein. In der Bank ist dies über gemeinsam mit der Muttergesellschaft erarbeitete unternehmerische Grundwerte gewährleistet, welche einen verbindlichen Orientierungsrahmen für alle Beschäftigte darstellen und die Entscheidungskultur sowie das Führungsverhalten prägen. Definierte Grundwerte wie Integrität und Respekt fördern in der Bank eine offene Risikokultur und tragen so zu einem bewussten Umgang mit operationellen Risiken bei.
Dezentrale Risikoorganisation
Wesentliche Basis für ein adäquates Risikobewusstsein bildet außerdem die bankweit definierte Risikoorganisation mit dezidierten Rollen und Verantwortlichkeiten. Um das Management operationeller Risiken in allen Bereichen der Unternehmung fest zu etablieren, wurde im Grundsatz eine dezentrale Risikoorganisation gewählt, das heißt, die Verantwortung für das Management operationeller Risiken verbleibt in den einzelnen Linienfunktionen. Die dezentrale Risikoorganisation wird durch zentrale Koordinationsfunktionen ergänzt.
So obliegt beispielsweise dem im Risikomanagement der Bank angesiedelten Op-Risk-Monitoring die zentrale Auswertung, konsolidierte Berichterstattung sowie Methodenentwicklung. Des Weiteren wurde für die abteilungsübergreifende Beurteilung operationeller Risiken auf Gesamtbankebene ein Op-Risk-Komitee implementiert. Dieses stellt die beratende und koordinierende Schnittstelle zwischen Vorstand und den operativen Einheiten dar. Ihm obliegt zudem die Initiierung übergeordneter Steuerungsentscheidungen und -maßnahmen.
Einbindung in die Gesamtbanksteuerung
Wenngleich die Quantifizierung operationeller Risiken ein eher langfristiges Ziel ist, gilt es bereits heute, operationelle Risiken in die Gesamtbanksteuerung, insbesondere in das Risikotragfähigkeitskonzept und die Allokation ökonomischen Kapitals einzubinden, denn gemäß AT 4.1 Ma Risk8) sind operationelle Risiken für die Bank als wesentliche Risikoart zu kennzeichnen. So wird gegenwärtig, in Anlehnung an den Standardansatz der aufsichtsrechtlichen Eigenkapitalunterlegung, ein bestimmter Teil des allokierbaren Risikokapitals für operationelle Risiken "reserviert", um das verbleibende ökonomische Kapital für die anderen Risikoarten, welche bereits zum heutigen Zeitpunkt einer differenzierten Limitsteuerung unterliegen, ermitteln zu können.
Sobald eine hinreichende Datenbasis für die Anwendung eines Quantifizierungsmodells für operationelle Risiken vorhanden ist, wird aus Sicht des internen Risikomanagements die Ablösung des wenig risikosensitiven Indikatoransatzes durch eine statistisch fundierte Op-VaR-Berechnung anhand einer geschätzten Verlustverteilung erfolgen, um die Integration operationeller Risiken in das Risikotragfähigkeitskonzept und die Gesamtbanksteuerung auszubauen. Die Motivation für eine Quantifizierung operationeller Risiken ist somit vor allem betriebswirtschaftlich getrieben und nicht von einer eventuellen Anwendung des AMA-Ansatzes zur Berechnung des aufsichtsrechtlichen Eigenkapitals abhängig.9)
Die Bank sieht die Ausgestaltung ihres Risikomanagements als wesentlich für die Wettbewerbspositionierung an. Nur wenn die Risikosteuerungs- und -controllingprozesse einer kontinuierlichen Weiterentwicklung unterliegen und sich am aktuellen wissenschaftlichen Kenntnisstand sowie Best Practice in der Umsetzung orientieren, können die strategischen Ziele der Bank erfolgreich umgesetzt und ein Mehrwert für den Konzern geschaffen werden.