Die DZ Bank AG betrachtet operationelle Risiken als eine eigenständige Risikoart, deren aktive Steuerung betriebswirtschaftlichen Nutzen stiftet. Für die zugehörige Institutsgruppe sind ferner die durch Basel II beziehungsweise die CRD und deren nationale Umsetzungen (etwa SolvV) definierten Anforderungen an das Controlling und Management operationeller Risiken zu erfüllen. Das Ziel bestand daher darin, zunächst für die AG und dann für die zur Gruppe gehörenden Unternehmen entsprechende Prozesse und Methoden zu entwickeln und zu implementieren und sich auf die Anzeige des Standardansatzes für operationelle Risiken (STA) vorzubereiten.
Rahmenwerk für alle Gruppen-Unternehmen
Parallel sollte das Rahmenwerk für operationelle Risiken für alle Gruppen-Unternehmen einschließlich einer Versicherung in ein gruppenweites Risikoüberwachungs- und Steuerungssystem eingebunden werden, das die gesetzlichen Anforderungen erfüllt und darüber hinaus auch den internen betriebswirtschaftlichen Erwartungen gerecht wird. In die Risikosteuerung der Gruppe sind alle Gesellschaften unter dem Gesichtspunkt der Wesentlichkeit integriert. Steuerungseinheiten sind auf Gruppenebene die wesentlichen Tochtergesellschaften und in der DZ Bank AG die Unternehmensbereiche.
Das Controlling der AG stimmt die gruppenweit anzuwendenden Risikomessmethoden mit den Controlling-Einheiten der Gruppengesellschaften ab und stellt die Risikosteuerung der Gruppe sicher. Im Controlling wird in Zusammenarbeit mit den Tochterunternehmen ein gruppenweites Risikoberichtswesen über alle wesentlichen Gesellschaften auf Basis von Mindeststandards/Richtlinien nach abgestimmten Methoden erstellt.
Konzeption des Managements und Controllings operationeller Risiken
Im Jahr 2003 wurde zunächst eine Vorstudie durchgeführt, um die bereits vorhandenen Instrumente für das Management und Controlling operationeller Risiken in der Bank und in den zur Gruppe gehörenden Unternehmen zu identifizieren und in die weitere Entwicklung einzubinden. Das Ergebnis hieraus war, dass einige vorhandene Instrumente weiter ausgebaut werden konnten, viele Bausteine jedoch neu entwickelt und implementiert werden mussten. Es ist beabsichtigt, zunächst den Standardansatz für operationelle Risiken (STA) umzusetzen.
Im Rahmen eines sich anschließenden Umsetzungsprojekts wurden zwei Pilotbereiche ausgewählt, die intensiv in die methodische Entwicklung und erstmalige Implementierung des "Op-Risk"-Rahmenwerks einbezogen waren und an den Ergebnissen partizipierten. Der Vorteil hierbei war insbesondere, dass spezifische Anpassungen aus Sicht der Geschäftsbereiche frühzeitig ihren Niederschlag fanden und die Methodik an Praktikabilität gewonnen hat (beispielsweise in Bezug auf Risikokategorien). Ein weiterer Vorteil dieses Vorgehens bestand in der verstärkten Identifikation der Geschäftsbereiche mit dem durch sie mitentwickelten Op-Risk-Rahmenwerk. Weiterhin wurden Repräsentanten der Tochtergesellschaften in die Abstimmung der Projektergebnisse einbezogen, um frühzeitig die grundsätzliche Eignung zum Einsatz in der Gruppe sicherzustellen.
Das Rahmenwerk für operationelle Risiken besteht aus acht Bausteinen, welche den typischen Risikomanagementprozess (Identifikation, Bewertung, Reporting, Management und Überwachung) unterstützen (Abbildung 1).
Definition und Kategorisierung des operationellen Risikos
In enger Anlehnung an die bankaufsichtsrechtliche Definition versteht die Bank unter operationellem Risiko die Gefahr eines unerwarteten Verlusts, der durch menschliches Verhalten, technologisches Versagen, Prozess- oder Projektmanagementschwächen oder durch externe Ereignisse hervorgerufen wird. Das Rechtsrisiko ist in dieser Definition eingeschlossen, strategische Risiken und Reputationsrisiken sind nicht enthalten. Die Risikokategorien sind unternehmensspezifisch ausgerichtet und mit Unterstützung der Pilotbereiche entstanden. Sie orientieren sich jedoch an den einschlägigen aufsichtsrechtlichen Vorschlägen.
Zentraler Anknüpfungspunkt für alle weiteren Instrumente ist das funktionale Organisationsmodell, das umfassend die Aufgaben und Verantwortlichkeiten der Prozessbeteiligten beschreibt. Die grundsätzliche Verantwortung für das Management operationeller Risiken liegt dezentral in den jeweiligen Geschäftsbereichen. Zentrale Risikomanagementfunktionen werden durch Spezialbereiche und -abteilungen, wie zum Beispiel Recht, Personalmanagement oder IT-Management, wahrgenommen. Mit der Entwicklung und Umsetzung der Methoden zum Controlling und Management operationeller Risiken sowie mit der unabhängigen Überwachung des Risikomanagements sind in den Gruppenunternehmen sowie in der Bank unabhängige Controlling-Einheiten betraut.
Eine Beschreibung des funktionalen Organisationsmodells sowie Aussagen zur grundsätzlichen Strategie im Zusammenhang mit operationellen Risiken sind im Handbuch operationelle Risiken (Horis) zusammengefasst und für sämtliche Mitarbeiter der Bank im Intranet zugänglich. Dieses zentrale Dokument enthält darüber hinaus Informationen zu allen Bausteinen des Op-Risk-Frameworks (Abbildung 2).
Verlustdatensammlung und Risiko-Self-Assessment
Mit der gruppenweiten Sammlung von Verlustdaten verfolgt die Bank das Ziel, Verlustereignisse zu identifizieren, zu analysieren und zu bewerten, um so Prozessschwächen zu identifizieren sowie Trends und Konzentrationen operationeller Risiken erkennen und anschließend geeignete Risikomanagementmaßnahmen einleiten zu können. Die Verlustdatensammlung wird zudem für den Aufbau einer Datenhistorie, die mit externen Verlustdaten angereichert wird, genutzt und liegt der weitergehenden Quantifizierung des operationellen Risikos zugrunde. Dabei kommen öffentliche externe Daten (Fitch First) und anonymisierte Daten aus dem Datenkonsortium des Bundesverbands Öffentlicher Banken Deutschlands, VÖB (Dakor) zur Anwendung.
Um alle potenziellen operationellen Risiken zu identifizieren, zu bewerten und eine größtmögliche Transparenz der Risikolage zu schaffen, wurden in weiten Teilen der Gruppe Risiko-Self-Assessment-Prozesse etabliert. Hierbei beurteilen Experten aller Geschäftsbereiche beziehungsweise Steuerungseinheiten das operationelle Risiko. Das Risiko-Self-Assessment gliedert sich in eine Risikopotenzialeinschätzung zur Identifikation der signifikanten Risiken, in Fragen zum Risikomanagementprozess sowie in Fragen zu spezifischen Einzelrisiken.
Risikoindikatoren und Ermittlung des regulatorischen, ökonomischen Kapitals
Als Ergänzung zur Verlustdatensammlung und zum Risiko-Self-Assessment erlauben Risikoindikatoren Aussagen zu Trends in der Risikoentwicklung im Sinne eines Frühwarnsystems. Auf Basis vorgegebener Schwellenwerte werden Risikosituationen bei Über- oder Unterschreitung der Schwellenwerte definierter Kennziffern mittels einer Ampelschaltung signalisiert. Risikoindikatoren werden innerhalb der Bank und der Gruppe in breitem Umfang systematisch und regelmäßig erhoben.
Für regulatorische Zwecke wurde zunächst die Berechnung des Standardansatz-Kapitals auf Einzelinstituts- und Gruppenebene umgesetzt. Darüber hinaus wurde ein versicherungsmathematisches Modell auf Basis interner und externer Verlustdaten, Szenarioanalysen und Geschäfts- und Kontrollumfeld-Faktoren entworfen und zunächst für die Pilotbereiche implementiert.
Regelmäßige Berichte über interne und externe Verlustdaten, Risiko-Self-Assessments, Risikoindikatoren sowie das regulatorische beziehungsweise ökonomische Kapital an das Management und den Vorstand erlauben eine zeitnahe Steuerung des operationellen Risikos. Wesentliche Bestandteile der Berichte sind dabei Periodenvergleiche sowie die Darstellung und Nachhaltung eingeleiteter Risikomanage-ment-Maßnahmen.
IT-Implementierung und Roll-out des Risikomanagementprozesses
Teile der beschriebenen Methoden wurden zunächst in Excel entworfen, um noch einfache Möglichkeiten zur Adjustierung zu haben. Anschließend wurden sie sukzessive mit Hilfe einer Standard-Software umgesetzt.
Nach Abschluss der Konzeption und Implementierung der Prozesse und Methoden zum Management und Controlling operationeller Risiken in der Bank wurde Ende 2005 im Rahmen eines Projekts der Umsetzungsstand hinsichtlich des Op-Risk-Rahmenwerks innerhalb der Gruppe überprüft. Dies geschah mittels eines Fragebogens, der sich an den regulatorischen Anforderungen aus Basel II und der SolvV orientierte.
Zielsetzung dieses Projekts war im Einzelnen:
- die Sicherstellung der Erfüllung der regulatorischen Anforderungen aus Basel II, der CRD sowie der Solvabilitätsverordnung in der Gruppe,
- die Vorbereitung der zur Gruppe gehörenden und unter KWG betrachteten Unternehmen auf den aufsichtsrechtlichen Anzeige- beziehungsweise Prüfungsprozess,
- die Entwicklung und Umsetzung einer Gruppenrichtlinie zum Op-Risk-Management und -Controlling operationeller Risiken sowie
- die Ermittlung des regulatorischen Kapitals für die DZ-Bank-Gruppe.
Die Aktivitäten in diesem Projekt fokussierten auf die Umsetzung des Standardansatzes gemäß Basel II/CRD und SolvV für operationelle Risiken. Ferner wurden die Anforderungen der Ma Risk und die Empfehlungen des Fachgremiums Op-Risk berücksichtigt. Zu Beginn des Projekts sah man sich zunächst bei der Erhebung und Analyse der in Betracht kommenden Unternehmen einer großen Zahl von Beteiligungen und Tochtergesellschaften konfrontiert, die es zu strukturieren galt. Vor diesem Hintergrund war es erforderlich, die zur Gruppe gehörenden Unternehmen, die nach §10a KWG zu konsolidieren sind, in verschiedene Gruppen einzuteilen.
Grundsatz der "doppelten Proportionalität"
Die Anforderungen an das Rahmenwerk eines Instituts für operationelle Risiken dürfen sich nach dem Grundsatz der "doppelten Proportionalität" an der Größe, dem Geschäftsvolumen und dem Risikogehalt orientieren. Demgemäß etablierte die Bank eine Struktur, die aus drei sogenannten Risikoklassen bestand, die zur Vereinfachung als große, mittlere und kleine Tochtergesellschaften bezeichnet wurden.
Darüber hinaus wurden Objektgesellschaften in eine vierte Risikoklasse der nicht näher betrachteten Gesellschaften einsortiert, da weder die Geschäftstätigkeit noch das Risikoprofil Anlass für den Aufbau eines Op-Risk-Rahmenwerks geboten hätte (Abbildung 3).
Für jede dieser Risikoklassen wurde ein Katalog der regulatorischen Anforderungen in Form eines standardisierten Fragebogens erstellt. Dieser Fragebogen wurde den Unternehmen zur Beantwortung übergeben und anschließend ausgewertet (siehe dazu Abbildung 4).
Die Antworten waren in einem Kommentarfeld bei vollständiger beziehungsweise teilweiser Erfüllung der regulatorischen Anforderung zu erläutern. Neben der Beantwortung des Fragenkatalogs, mit dem die regulatorischen Anforderungen gemäß Risikoklasseneinstufung abgefragt wurden, hatten die Gesellschaften noch eine Risikopotenzialeinschätzung ihres Unternehmens in den Risikoklassen Personen, Prozesse, Technologie und Externe Einflüsse vorzunehmen.
Risikopotenzialeinschätzung und Risikoprofil
Bei der Risikopotenzialeinschätzung wurden mögliche Auswirkungen und Eintrittswahrscheinlichkeiten von Risiken getrennt erhoben. Die Einschätzungen fokussierten jeweils auf die maximal zu erwartende Verluste und nicht auf einen durchschnittlich zu erwartenden Verlust. Somit erhielt man neben dem Status quo bezüglich der Op-Risk-Umsetzung der regulatorischen Anforderungen noch ein Risikoprofil des Unternehmens.
Da bei einzelnen Tochtergesellschaften noch Umsetzungsbedarf hinsichtlich eines angemessenen Systems zum Management und Controlling operationeller Risiken bestand, hat die DZ Bank für alle Tochtergesellschaften Anfang 2006 individuelle Handlungsempfehlungen sowie risikoklassenabhängige "Empfehlungen zur Konzeption des Rahmenwerks sowie der Methoden zum Controlling und Management operationeller Risiken" entwickelt und zur Verfügung gestellt. Diese Konzepte dienten als Orientierung für die Umsetzung eines aufsichtsrechtlich akzeptierten Op-Risk-Rahmenwerks.
Zur Gewährleistung einer konsistenten und dokumentierten Umsetzung der aufsichtsrechtlichen Anforderungen hinsichtlich operationeller Risiken auf Gruppenebene wurde eine "Richtlinie zum Management und Controlling operationeller Risiken" erstellt und Mitte 2006 vom Vorstand der Bank verabschiedet und allen Tochtergesellschaften übermittelt. Diese aus Gruppensteuerungs- und aufsichtsrechtlichen Vorgaben abgeleitete Gruppenrichtlinie ist im Sinne einer Mindestanforderung verbindlich einzuhalten (Abbildung 5).
Kontrolle der Umsetzung
Zur Kontrolle des Umsetzungsstands wurde im dritten Quartal 2006 eine erneute Befragung bei einigen Tochter- und Beteiligungsgesellschaften durchgeführt. Die interne Revision hat in der Bank eine institutsinterne Überprüfung gemäß § 272 Abs. Satz 2 SolvV zur Beurteilung der Ordnungsmäßigkeit und Zweckmäßigkeit der Erfüllung der für den Standardansatz geforderten qualifizierenden Anforderungen zur Bestimmung des Anrechnungsbetrages für das operationelle Risiko durchgeführt.
Die Bank sowie die anderen Unternehmen der Gruppe haben gemäß § 272 Abs. 1 SolvV der Ba Fin und der Deutschen Bundesbank ihre Absicht, für die Berechnung des Anrechnungsbetrags für das operationelle Risiko den Standardansatz zu nutzen, angezeigt. Seit dem 1. Januar 2007 wendet die Bank sowohl auf Einzelinstituts- als auch auf Gruppenebene den Standardansatz zur Ermittlung des Anrechnungsbetrages für operationelle Risiken an. Die Ermittlung des Standardansatz-Unterlegungskapitals erfolgt arbeitsteilig durch das Konzern-Rechnungswesen, das Finanzcontrolling und das Risikocontrolling unter Mitwirkung der relevanten Töchter und Beteiligungen.
Kontinuierliche Weiterentwicklung
Aus den Deckungsbeitragszahlen des Financial Controlling werden die Schlüssel für die Aufteilung des Bruttoertrags auf die regulatorischen Geschäftsfelder abgeleitet. Dabei liegt die Annahme zugrunde, dass jede Abteilung der Bank genau einem regulatorischen Geschäftsfeld (in Zweifelsfällen demjenigen mit dem höchsten Beta-Faktor) zugeordnet werden kann. Die Verteilungsschlüssel werden dann - zusammen mit den jeweiligen Beta-Faktoren - auf den im Rechnungswesen ermittelten Bruttoertrag angewendet. Für die Gruppenbetrachtung wird das Business Line Mapping (BLM) anhand der Angaben der wesentlichen TuB ermittelt. Diese werden - mit dem jeweiligen Bruttoertrag gewichtet - zu einem Gesamt-BLM aggregiert und auf den konsolidierten Bruttoertrag der Gruppe angewendet. Schließlich erfolgt die aufsichtliche Meldung (Abbildung 6).
Die Bank sowie die relevanten Gruppenunternehmen haben ein umfassendes, konsistentes Instrumentarium zur betriebswirtschaftlichen Steuerung sowie Erfüllung der aufsichtsrechtlichen Anforderungen gemäß Standardansatz entwickelt und umgesetzt und damit eine wesentliche Basis für eine gruppenweite Risikosteuerung gelegt. Wichtiger Erfolgsfaktor war hierbei die intensive, frühzeitige Einbindung von Pilotbereichen innerhalb der Bank sowie in der Gruppe.
Ferner war die Verteilung des Entwicklungs- und Implementierungsaufwandes auf einen realistischen Zeitraum - nicht zuletzt unter Berücksichtigung von Rahmenbedingungen wie Jahresabschlussarbeiten, Budgetierungsrunden und Urlaubsphasen - erfolgsrelevant. Frühzeitige und proaktive Vorstellungen der gewählten Vorgehensweise an die Bankenaufsicht haben positiv zur Akzeptanz beigetragen. Die Bank und die Gruppe entwickeln ihr Instrumentarium zum Management und Controlling operationeller Risiken kontinuierlich weiter, um noch stärkeren betriebswirtschaftlichen Nutzen daraus zu ziehen.
Literaturhinweise
Davis, E. (Hrsg.), Operational Risk. Practical Approaches to Implementation, London 2005
Haas, M./Th. Kaiser, "Prerequisites for op risk decisions and management" in, Operational Risk, April, London 2005
Kaiser, Th., "Was und wie? Effektivität und Effizienz verschiedener Op-Risk-Management-Alternativen" in: Risknews, Dezember 2004
Kaiser, Th. (Hrsg.), Wettbewerbsvorteil Risikomanagement. Erfolgreiche Steuerung der Strategie-, Reputations- und operationellen Risiken, Berlin 2007
Kaiser, Th./M. Köhne, operationelle Risiken in Finanzinstituten. Eine Einführung, Wiesbaden 2007
KPMG International, Basel II - A Closer Look: Managing Operational Risk, Amsterdam 2005