Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichte mit dem Rundschreiben 18/2005 vom 20. Dezember 2005 die Endfassung der MaRisk. Diese umfassen zum einen in überarbeiteter Form die bereits existierenden Mindestanforderungen der BaFin.1) Zum anderen sind die Kreditinstitute gefordert, sowohl eine Geschäfts- als auch eine darauf abgestimmte Risikostrategie zu entwickeln, wobei diese alle wesentlichen Risiken beinhalten muss. Explizit aufgeführt werden in diesem Zusammenhang auch die operationellen Risiken, die bisher in den Mindestanforderungen nur indirekt über ihre Verbindungen zum Kredit- beziehungsweise Marktpreisrisiko enthalten2) und ansonsten wenig konkret über § 91 Abs. 2 AktG und § 25a KWG zu erfassen waren.
Die MaRisk stellen einen Vorgriff auf die nationale Umsetzung des "Supervisory Review Process", der zweiten Säule von Basel II,3) und hierbei speziell des Capital Adequacy Assessment Process (CAAP) dar, der sich auf europäischer Ebene im Internal Capital Adequacy Assessment Process (ICAAP) der Kodifizierten Bankenrichtlinie (Capital Requirement Directive - CRD) und der modifizierten Kapitaladäquanzrichtlinie (Capital Adequacy Directive - CAD)4) niedergeschlagen hat. Die Säule 1 von Basel II wird hingegen maßgeblich durch die Solvabilitätsverordnung (SolvV) in das deutsche Recht umgesetzt.5)
Operationelle Risiken in den MaRisk
Die operationellen Risiken werden in den MaRisk gleichrangig neben Adressenaus-fall-, Marktpreis- und Liquiditätsrisiken als wesentliche Risiken von Kreditinstituten aufgeführt (AT 2.2 Tz. 1). Die konkreten Regelungen zu den operationellen Risiken, die sich insbesondere im BTR 4 befinden, sind recht kurz gehalten. Die BaFin intendiert damit, den Instituten ein individuell zugeschnittenes Risikomanagement zu ermöglichen. Dennoch hat aufgrund ihres übergreifenden Charakters die Integration der operationellen Risiken in das Risikomanagement eines jeden Kreditinstituts für die Aufsicht eine sehr große Bedeutung.6)
Abgesehen von der Abgrenzung zu anderen Risiken findet sich in den MaRisk (und auch im KWG) keine Begriffsdefinition für "operationelle Risiken". Daher ist es notwendig, auf die CRD zurückzugreifen, die das operationelle Risiko als Risiko "... von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen und Systemen oder durch externe Ereignisse verursacht werden, einschließlich Rechtsrisiken ..."7) definiert. Grundlage dieser Definition ist das Rahmenwerk von Basel II,8) das bezüglich des operationellen Risikos auf die Sound Practices for the Management and Supervision of Operational Risk vom Februar 2003 verweist.9)
Die Definitionen der SolvV, CRD und Basel II sind dabei weitgehend identisch. Es wird als Ursachen der operationellen Risiken auf Verfahren (Prozesse), Menschen, Systeme und auf externe Ereignisse, wie beispielsweise Terroranschläge und Naturkatastrophen, abgestellt. Die Rechtsrisiken werden ausdrücklich mit in das operationelle Risiko einbezogen.10)
Die CRD schließt das strategische Risiko und das Reputationsrisiko nicht ausdrücklich aus, sondern betont, dass die Kreditinstitute für die Festlegung des Begriffs der operationellen Risiken eigenständig verantwortlich sind.11) Sie haben dafür Sorge zu tragen, dass alle wesentlichen Risikobereiche durch das Risikomanagement abgedeckt sind. Daher ist es für Kreditinstitute grundsätzlich möglich, auch die strategischen Risiken beziehungsweise die Reputationsrisiken in die eigene Definition mit einzubeziehen, sofern dies sinnvoll erscheint.
Anforderungen an die Risikoidentifikation und -beurteilung
Die MaRisk fordern im BTR 4 Tz. 2, dass wesentliche operationelle Risiken mindestens einmal jährlich identifiziert und bewertet werden müssen, wobei unternehmensinterne und -externe Einflüsse zu berücksichtigen sind. Dabei bleibt den Instituten grundsätzlich überlassen, wie die Identifikation erfolgt. Die eingesetzten Verfahren müssen jedoch geeignet sein und ausreichend dokumentiert werden.12) Sinnvoll ist beispielsweise der regelmäßige Einsatz von strukturierten Fragebögen zur Selbstdiagnose im Rahmen eines Self-Assessment sowie von Risiko-Workshops.
Grundlage einer umfassenden Identifikation und Analyse der operationellen Risiken sowie der Zuweisung der Verantwortlichkeit ist eine angemessene Kategorisierung der operationellen Risiken. Eine Möglichkeit zur Erfassung der Risiken ist die Aufteilung nach der Ursache (Prozesse, Menschen, Systeme oder externe Ereignisse).13) Da durchaus mehrere Ursachen für den Risikoeintritt möglich sein können, kommt als Alternative die Erfassung nach dem Risikoereignis (zum Beispiel fehlerhafte Transaktionen, fehlerhafte operationelle Kontrollen oder Systemausfälle) in Betracht, wenngleich diese Systematisierung stark von der aufsichtlichen Definition abweicht.
Gemäß BTR 4 Tz. 3 sind bedeutende Schadensfälle unverzüglich hinsichtlich ihrer Ursache zu analysieren, wobei gegebenenfalls Fachleute hinzuzuziehen sind. Diese Prüfung sollte anhand eines standardisierten Formulars erfolgen und durch einen unabhängigen Bereich, zum Beispiel das Risikocontrolling, überwacht werden. Obwohl kein Bestandteil der MaRisk, ist es zweckmäßig, die Daten der Ursachenanalyse für den Aufbau einer Verlustdatenbank14) zu nutzen, da die systematische Sammlung und Analyse der Schäden aus den operationellen Risiken den Ausgangspunkt für Maßnahmen zu deren Vermeidung darstellt.
Etablierung eines Früherkennungssystems
Notwendige Voraussetzung für die Analyse ist eine geeignete Definition des Begriffs "Schaden": Wird hierunter der Eintritt eines operationellen Risikos verstanden, so hat dies den Vorteil, dass damit nicht zwingend auch ein messbarer Verlust verbunden sein muss. Ereignisse, wie zum Beispiel eine durch das fahrlässige Fehlverhalten eines Mitarbeiters ausgelöste Fehlbuchung zugunsten des Instituts oder der Zugang unbefugter Personen zu risikosensitiven Bereichen, sollten berücksichtigt werden. Diese Ereignisse deuten ebenfalls auf operationelle Risiken hin und sind gegebenenfalls durch geeignete Maßnahmen, wie verstärkte interne Kontrollen, abzustellen.15) Anforderungen zur Risikofrüherkennung finden sich in den MaRisk explizit nur im BTO 1 zum Kreditgeschäft in Bezug auf das Adressenausfallrisiko. Außerdem müssen die Prozesse des Risikocontrollings und der Risikosteuerung gewährleisten, dass wesentliche Risiken frühzeitig erkannt werden (AT 4.3.2 Tz. 2). Insofern lässt sich über die notwendige Identifikation der operationellen Risiken hinaus eine Pflicht zur Integration einer Risikofrüherkennung ableiten, was auch durch die Verpflichtung der Geschäftsleitung zur Einrichtung aller wesentlichen Elemente des Risikomanagements bekräftigt wird (AT 4.1 Tz. 1 und AT 3).
Wesentlicher Bestandteil eines Früherkennungssystems sind Indikatoren, die einen Anstieg des Risikos möglichst frühzeitig und vor Eintritt eines Schadens anzeigen sollen, damit präventive Maßnahmen ergriffen werden können.16) Aufgrund der heterogenen Zusammensetzung der operationellen Risiken sind verschiedene Indikatoren zu integrieren. Mögliche unmittelbare Indikatoren sind beispielsweise Stornoquoten bei Back-Office-Prozessen, Reklamationen von Kunden und Personalfluktuationen. Oftmals lassen sich sinnvolle Schlüsse erst durch die gemeinsame Betrachtung zweier oder mehrerer Kennzahlen, wie beispielsweise der Stornoquote zu ungeschultem Personal, sowie durch Hinzuziehung externer Verlustdaten ziehen.17)
Darüber hinaus können unter Beteiligung von Experten für die Indikatoren Schwellenwerte festgelegt werden, die dann als Ampelwerte (grün = kein besonderer Handlungsbedarf, gelb = Warnbereich, rot = Alarmbereich) den Handlungsbedarf widerspiegeln.18)
Für alle in die Risikotragfähigkeit mit einbezogenen Risiken sind regelmäßige Szenariobetrachtungen beziehungsweise Stresstests anzustellen (AT 4.3.2 Tz. 3). Zielsetzung von Szenariobetrachtungen ist es vor allem, die Low-Frequency-/High-Im-pact-Ereignisse hinsichtlich ihres Verlustpotenzials und der Auswirkungen auf den Geschäftsbetrieb zu simulieren. Gerade für diese seltenen Ereignisse sowie auch für neuartige oder sich stark verändernde Risiken reicht der Umfang an internen historischen Daten oftmals nicht aus, um die Risiken frühzeitig identifizieren, beurteilen und steuern zu können.19) Bei operationellen Risiken stehen dabei vor allem die Worst-Case-Szenarien im Mittelpunkt der Betrachtungen. Grundlage einer Szenariobetrachtung können ein Brainstorming, eine Auswertung der bisher eingetretenen Beinaheverluste oder externe Daten sein, die eine Liste vermutlich bedeutender und weiter zu verifizierender Risiken zum Ergebnis haben, die dann in den Szenarien weiter zu präzisieren sind.20)
Die Bewertung der einzelnen Szenarien hinsichtlich der potenziellen Schadenshöhe und der weiteren Auswirkungen erfolgt möglichst unabhängig durch einzelne Experten oder Expertenrunden. Daneben können Szenariobetrachtungen auch zur Ableitung von Korrelationsannahmen zwischen operationellen und anderen Risikoarten dienen, die nach AT 4.3.2 Tz. 2 berücksichtigt werden sollten. Diese Beurteilung kann durch mathematisch-stochastische Verfahren, wie Value-at-Risk (VaR), unterstützt und weiter objektiviert werden.
Quantitative und qualitative Verfahren zur Risikobeurteilung
Die Kreditinstitute haben eigenständig die Methoden zur Beurteilung der operationellen Risiken zu wählen. Die Annahmen, die den Methoden zugrunde liegen, sind zu begründen und die Angemessenheit der Methoden ist mindestens jährlich zu überprüfen (AT 4.1 Tz. 4). Die Beurteilung umfasst vor allem die Ermittlung der potenziellen Verlusthöhe und der Eintrittswahrscheinlichkeit der Risiken und die sich daran orientierende institutsinterne Einstufung als bestandsgefährdend, wesentlich oder unwesentlich. Da sich bisher kein allgemeiner Branchenstandard für die Quantifizierung operationeller Risiken herausgebildet hat,21) ist es erforderlich, die quantitativen Daten durch qualitative Daten zu ergänzen, die als Zu- beziehungsweise Abschläge in die Gesamtbewertung integriert werden.22)
Die Beurteilung des Verlustpotenzials sollte möglichst nicht in ordinalen Abstufungen (niedrig, mittel, hoch), sondern in Euro erfolgen, da dies zum einen die nächsten Schritte der Aggregation, der Überprüfung der Risikotragfähigkeit und die Limitierung der operationellen Risiken, erleichtert. Zum anderen ist gerade bei Einschätzungen von Experten beispielsweise im Rahmen eines Risk-Assessment mit Abweichungen zwischen den einzelnen Risikobewertungen zu rechnen, so dass eine Schätzung in Euro eher das reale Verlustpotenzial widerspiegelt als zum Beispiel die grobe Beurteilung "hoch".23) Überdies liefern die Abweichungen in den Schätzungen erste Indizien über die Streuung der tatsächlichen Verlustpotenziale.
Grundlegend werden die Methoden zur Bewertung operationeller Risiken neben der Kategorisierung zwischen qualitativen und quantitativen Verfahren auch hinsichtlich der Integration der Methoden in die Betriebs- und Geschäftsprozesse in Top-down- und Bottom-up-Methoden unterschieden (vergleiche Abbildung 1).
Die Top-down-Methoden setzen auf Ebene der Gesamtbank an und versuchen mittels geeigneter Indikatoren auf das Gesamtrisiko zu schließen. Diese Verfahren können erste Anhaltspunkte für bestandsgefährdende Risiken liefern und sind darüber hinaus einfacher als Bottom-up-Methoden anzuwenden.25) Da sie jedoch eine geringe Risikosensitivität aufweisen und somit Fehlsteuerungen nicht verhindern beziehungsweise risikoorientiertes Verhalten nicht honorieren, sind sie im Hinblick auf die Risikosteuerung vielfach ungeeignet.26) Die Bottom-up-Methoden27) versuchen, das Gesamtrisiko durch Messung der einzelnen Schadensereignisse und anschließende Aggregation zu ermitteln. Dieses Vorgehen ist oftmals umfangreich und kostenintensiv, so dass in Abwägung der Kosten-Nutzen-Relation und in Abhängigkeit von der Ausgestaltung des Risikomanagements ein optimaler Mix zwischen den Bottom-up- und Top-down-Methoden gefunden werden sollte.28)
Ermittlung der Risikotragfähigkeit
Im nächsten Schritt ist es erforderlich, die Risiken innerhalb der operationellen Risiken zu aggregieren29) und dann diesen Wert mit den anderen wesentlichen Risiken zu einem Gesamtrisikoprofil zusammenzufassen, wobei jeweils die Korrelationen der Risiken untereinander zu berücksichtigen sind. Das Gesamtrisikopotenzial wird dann dem vorhandenen, unternehmensintern definierten Eigenkapital (Risikodeckungspotenzial) gegenübergestellt. Die Risikotragfähigkeit ist gegeben, wenn das Risikodeckungspotenzial mindestens so hoch ist wie die Risiken (AT 4.1 Tz. 1).
Für die Berechnung des Gesamtrisikopotenzials auf einen Zeithorizont von einem Jahr sind neben dem Einsatz von VaR-Methoden, die verschiedene Korrelationen simulieren können, auch der Einsatz von Monte-Carlo-Simulationen denkbar.30) Das Ergebnis ist eine Verteilung des Verlustpotenzials (vergleiche Abbildung 2).
Steuerung operationeller Risiken
Die Höhe des notwendigen Risikokapitals (gegebenenfalls abzüglich der erwarteten Verluste) wird durch den Quantilswert widergespiegelt, wobei dieser abhängig ist von der Wahl des Konfidenzintervalls, das als Fläche unter der Kurve (Dichtefunktion) die Wahrscheinlichkeit der Abdeckung der erwarteten und unerwarteten Verluste wiedergibt.
Die MaRisk enthalten keine Vorgaben für den Umfang des Konfidenzintervalls.32) Zu beachten bleibt aber, dass bei niedrigeren Werten des Konfidenzintervalls zwar einerseits das erforderliche Eigenkapital und somit die Kosten sinken, andererseits jedoch die Gefahr des Eintretens unerwarteter und nicht abgedeckter Verluste steigt. Daher ist seitens der Aufsicht im Einzelfall noch zu klären, welcher Wert für das Konfidenzintervall akzeptabel erscheint.
Gemäß BTR 4 Tz. 1 hat jedes Institut durch angemessene Maßnahmen den operationellen Risiken Rechnung zu tragen und die Risiken somit zu steuern. Darüber hinaus ist auf Basis der Berichterstattung zu bedeutenden Schadensfällen und wesentlichen operationellen Risiken zu entscheiden, ob und welche Maßnahmen ergriffen werden (BTR 4 Tz. 1 und 5). Langfristiges Ziel der Entwicklungen zum Management operationeller Risiken ist die integrierte Steuerung mit den anderen Risikoarten. Dabei können Konzepte wie Return on Risk Adjusted Capital (RoRAC) als Komponente einer Ertrags- und Risikosteuerung im Sinne eines Chancen- und Risikomanagements nach AT 4.3.2 Tz. 1 in der Unternehmenssteuerung angesehen werden.33)
Ableitung der Risikostrategie und Limitierung
Als spezielle Vorschriften zur Verringerung der operationellen Risiken dienen die umfangreichen, verglichen mit den bisherigen Mindestanforderungen weitgehend unveränderten Regelungen zu den Funktionstrennungen (AT 4.3.1 Tz. 1, BTO 1.1 und BTO 2.1), zur Internen Revision (BT 2.2.2 Tz. 1) und zu den Anforderungen an die Ausgestaltung von Prozessen des Kredit- und Handelsgeschäftes (BTO 1.2 und BTO 2.2) sowie zu den Systemrisiken der IT (AT 7.2). Auf eine Bündelung in einem eigenständigen Modul wurde hierbei zugunsten des Wiedererkennungseffektes an den ursprünglichen Stellen verzichtet.34)
Die Strategie zu den operationellen Risiken soll die Konsistenz der ergriffenen Maßnahmen hinsichtlich der Geschäftsstrategie und die Schlüssigkeit der Maßnahmen untereinander auch für einen längerfristigen Zeithorizont sicherstellen. In die Strategie gehen vor allem die geschäftspolitische Ausgangssituation, die Risikotragfähigkeit, die Personalkapazitäten und die technischorganisatorische Ausstattung ein.
Die Risikotragfähigkeit kann durch ein System von Risikolimiten gewährleistet werden, wobei sich die Differenzierung des Limitsystems unter anderem am Risikoprofil, an den Geschäftsfeldern und der Größe des Instituts orientieren sollte. Es bietet sich an, dass das Management auf Gesamtbankebene im ersten Schritt des Budgetprozesses die Ziele vorgibt, die dann mit den im Rahmen von Bottom-up-Planungen der einzelnen Abteilungen und Projekte gewonnenen Erkenntnisse abzustimmen sind. Der dritte Schritt umfasst die Überwachung der Abteilungen hinsichtlich ihrer Zielerreichung und Einhaltung der Risikolimite, wofür Kennzahlen wie die Capital Adequacy Ratio (Verhältnis von vorhandenem Kapital zum Kapitalbedarf der einzelnen Abteilungen) zum Einsatz kommen könnte.
Die in AT 7.3 Tz. 1 vorgeschriebenen regelmäßigen Notfalltests müssen Kommunikationswege, Geschäftsfortführungspläne und Wiederanlaufpläne enthalten und können darüber hinaus weitere Informationen für die Identifikation und Bewertung operationeller Risiken liefern. So sind neben der praktischen Durchführung von Notfalltests, also zum Beispiel dem Abschalten bestimmter Systeme, auch Szenariobetrachtungen, insbesondere bei praktisch nur schwer durchführbaren Tests, wie dem Ausfall ganzer Geschäftsstellen oder besonders bedeutender Systeme, sowie technische Tests von Back-up-Systemen und Sicherheitseinrichtungen denkbar. Ferner gehören zu den Notfalltests ein entsprechendes Sicherheitsbewusstsein bei allen Mitarbeitern und regelmäßige Benutzerübung, wie zum Beispiel Brandschutzübungen.
Risikoüberwachung und -berichterstattung
Im BTR 4 Tz. 4 wird von den Kreditinstituten eine mindestens jährliche Berichterstattung über bedeutende Schadensfälle und die wesentlichen operationellen Risiken an die Geschäftsleitung gefordert. Außerdem ist die Interne Revision über bedeutende Schadensfälle und bei einem konkreten Verdacht auf Unregelmäßigkeiten zu unterrichten (AT 4.3.2 Tz. 5 und Erläuterungen zu Tz. 5). Ferner ist die Umsetzung der auf Basis dieser Berichterstattung getroffenen Maßnahmen (Follow-up) zu überwachen (BTR 4 Tz. 4 und 5). Die Risikoüberwachung und -berichterstattung soll die Effektivität der vorangegangenen Prozesse überprüfen und beurteilen. Gleichzeitig ist dieser Soll-Ist-Abgleich auch Ausgangspunkt für einen neuen Zyklus des Risikomanagements.35)
Generell fordern die MaRisk nicht die Einrichtung eines völlig neuen internen Risikomanagements, sondern dass die vorhandenen internen Verfahren, soweit sie den Mindestanforderungen nicht entsprechen, angepasst und ergänzt werden. Die Umsetzung der MaRisk in Bezug auf operationelle Risiken wird dadurch erschwert, dass die in den bisherigen Mindestanforderungen bestehenden Regelungen weitgehend unverändert übernommen wurden und sich daher Steuerungsmaßnahmen zu den operationellen Risiken in diversen Abschnitten wiederfinden.
Probleme dürfte auch die geforderte Risikosteuerung der ausdrücklich in der Definition der operationellen Risiken enthaltenen, jedoch nur begrenzt steuerbaren externen Risiken und Rechtsrisiken bereiten. Letztendlich bleibt es allerdings jedem Kreditinstitut überlassen, eine Definition zu finden, die der Identifikation, Beurteilung, Steuerung und Kontrolle im eigenen Risikomanagement gerecht wird.
Problem fehlender Standards
Operationelle Risiken sind überaus vielfältig in Bezug auf ihre Ursache sowie ihr Eintreten36) und sind bisher kaum auf Basis einer breiten Datensammlung erforscht worden. Entsprechend hat sich bisher auch kein Verfahren zur Identifikation und zur Beurteilung als einheitlicher Standard durchgesetzt.37) Neben der Vielzahl möglicher Risikoindikatoren des Früherkennungssystems ist die große Zahl der möglichen Szenarioanalysen problematisch. Hierzu sind die Betrachtungen innerhalb des Instituts grundsätzlich auf die Bereiche zu beschränken, in denen die operationellen Risiken, wie bei den Systemrisiken im IT-Bereich, besonders ausgeprägt sind.38)
Die Integration eines Chancen- und Risikomanagements, basierend auf Konzepten wie RoRAC, erfordert von den Kreditinstituten umfangreiche Entwicklungsarbeiten speziell im IT-Bereich und den Einsatz zusätzlicher Personalkapazitäten im Controlling. Ob die Steuerung im Rahmen einer Gesamtbanksteuerung oder basierend auf einer abgestimmten Risikostrategie mittels einzelner Maßnahmen erfolgt, ist somit nicht zuletzt von den Ressourcen und dem Wissensstand sowie der Abwägung zwischen den Kosten und dem Nutzen abhängig.
Schwierigkeiten bei der Implementierung der MaRisk können auch dadurch entstehen, dass die in Säule 1 von Basel II enthaltenen Verfahren zur Bestimmung der Eigenkapitalunterlegung für operationelle Risiken mit qualitativen Vorgaben verknüpft sind,39) die zum Teil über die MaRisk hinausgehen.40) Während die Institute bei Verwendung des Basisindikatoransatzes lediglich unverbindlich aufgefordert werden, die Sound Practices als Leitlinien zu befolgen, besteht bereits bei Anwendung des Standardansatzes beziehungsweise des alternativen Standardansatzes die Notwendigkeit, eine Verlustdatenbank einzurichten sowie die operationellen Risiken innerhalb des Risikomanagements regelmäßig zu bewerten und zu überwachen.
Ferner ist ein Berichtswesen einzurichten, das das Ergreifen von angemessenen Maßnahmen ermöglicht.41) Sehr weitreichende Anforderungen sind mit dem Einsatz der Ambitionierten Messansätze verbunden. Wesentliche Basis hierfür sind interne Verlustdaten, für die eine ausreichende Historie nachgewiesen werden muss. Ferner ist die Anwendung von Verfahren zur Identifikation und Beurteilung zwingend vorgeschrieben. Für die Beurteilung der Risikotragfähigkeit ist auf ein Konfidenzintervall von mindestens 99,9 Prozent auf ein Jahr abzustellen. Zusätzlich ist unter anderem der Aufbau einer unabhängigen Einheit zur Steuerung der operationellen Risiken erforderlich.
Die explizite Aufnahme der operationellen Risiken als wesentliches Risiko in die MaRisk ist als Meilenstein der Bankenbeaufsichtigung in Deutschland zu werten. Schließlich enthielten die bisherigen Mindestanforderungen lediglich Einzelmaßnahmen und die bestehende Berücksichtigung im Aktiengesetz und in § 25a KWG hat keine ausgeprägte praktische Bedeutung erlangt. Charakteristisch für den Gesamtansatz der MaRisk ist, dass den Instituten sehr weitreichende Umsetzungsspielräume eingeräumt werden. Dies äußert sich bereits darin, dass keine konkrete Definition für operationelle Risiken vorgegeben wird, stattdessen ist es den Instituten überlassen, eine für ihre Zwecke geeignete Definition der operationellen Risiken zu formulieren, was speziell in Bezug auf Risiken aus externen Ereignissen und die Rechtsrisiken problembehaftet ist.
Das durch die MaRisk eingeforderte Risikomanagement für operationelle Risiken setzt sich aus den Prozessen zur Identifikation, Beurteilung, Steuerung und Kontrolle zusammen, wobei die Wahl der Verfahren den Kreditinstituten ebenfalls grundsätzlich freigestellt ist. Hervorzuheben ist das neue Konzept der Risikotragfähigkeit, das die Quantifizierung aller wesentlichen Risiken und ihre Steuerung im Rahmen einer Risikostrategie fordert. Gerade kleinere Institute mit geringen Personalkapazitäten im Risikocontrolling werden hier vor schwierige Aufgaben gestellt, die teilweise nur mit Unterstützung der Bankenverbände zu lösen sind.
