Operationelle Risiken im Bankensektor

Inhaltsverzeichnis

1 Einleitung

2 Zur Relevanz von operationellen Risiken

3 Management von operationellen Risiken

4 Vergleich des Risikomanagements operationeller Risiken am Beispiel dreier Banken

5 Schlussbemerkung

1 Einleitung

Bisher konzentrierte sich das Risikomanagement der Banken auf die Markt- und Kreditrisiken, da angenommen wurde, dass hiervon die größten Verluste ausgehen. Dies änderte sich im Zuge gravierender Verlustfälle, vor allem ausgelöst durch Fehlverhalten von Mitarbeitern, so dass das Interesse an operationellen Risiken in letzter Zeit sehr gewachsen ist. Die operationellen Risiken sind nicht neu, sie zählen zu den ältesten Risiken überhaupt. Trotzdem wurde den operationellen Risiken lange Zeit keine Beachtung bezüglich eines eigenen Managements geschenkt.

In dieser Seminararbeit wird auf die Frage eingegangen, warum operationellen Risiken ein eigenes Risikomanagement zustehen sollte. Im 2.Kapitel werden die verschiedenen Kategorien und Verluste diskutiert, um dann im 3.Kapitel auf das Management operationeller Risiken und den damit verbundenen Kosten einzugehen und den Nutzen der Eigenkapitalhinterlegung zu besprechen. Im 4.Kapitel, dem innovativen Teil dieser Seminararbeit, werden drei Großbanken bezüglich ihres Managements der operationellen Risiken vorgestellt und kommentiert. Zum Schluss werde ich mich einer kritischen Schlussbemerkung widmen.

2 Zur Relevanz von operationellen Risiken

Eine allgemeine Definition für operationelle Risiken gibt es derzeit nicht. Der Baseler Ausschuss für Bankenaufsicht definiert das operationelle Risiko als „ die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge von externen Ereignissen eintreten“. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken.^[1] Um zu verdeutlichen, wie häufig operationelle Risiken im Bankalltag auftauchen, wird im Folgenden auf einzelne Kategorien der operationellen Risiken eingegangen. Die operationellen Risiken können von internen oder externen Faktoren verursacht werden. Wie der o.g. Definition zu entnehmen ist, lassen sich operationelle Risiken in folgende Risikokategorien einteilen: Personelle Risiken, technische Risiken, Prozesse und externe Risiken. Die personellen Risiken enthalten alle Ursachen, die mit den Mitarbeitern des Unternehmens zusammenhängen, wobei die Verluste durch bewusstes und unbewusstes Fehlverhalten der Mitarbeiter entstehen. Dies kann beispielsweise die Umgehung von unternehmenspolitischen Gesetzen, die Verwendung von Insiderwissen, fehlerhafte Spekulationen, mangelnde Qualifikation oder mangelnde Motivation beinhalten.^[2] Einer der aufsehenerregendsten Fälle bezüglich Mitarbeiterbetrugs, waren die gigantischen Fehlspekulationen des ehemaligen Börsenmaklers Nick Leeson. Er arbeitete für die älteste Bank Großbritanniens, der Barings Bank, die mehr als 230 Jahre existierte. Sie wurde von Nick Leeson durch fehlerhafte Spekulationen und durch die Gier nach Geld in den Ruin getrieben wurde. Leeson konnte die sich vermehrenden Verluste zunächst Jahre lang geheim halten, bis 1 Milliarde Verlust einfach zu viel für die Barings Bank waren und Insolvenz anmeldete.^[3] Hauptursache des Zusammenbruchs war zum Einen das fehlende Trennungsprinzip. Leeson war in seiner Position sowohl für die Kontrolle der Wertpapiergeschäfte als auch für deren interne Abwicklung und Verbuchung verantwortlich. Kommen die fehlerhaften Verhaltensweisen der Mitarbeiter ans Licht, sind die entstandenen Schäden als operationelle Risiken einzuteilen. Die technischen Risiken entstehen durch den Ausfall oder die Fehlfunktion von Informations- und Kommunikationssystemen. Datenmanipulation, Viren-Probleme und Systemausfälle sind in der heutigen digitalen Welt nicht selten und kommen immer häufiger vor.^[4] Neben den allgemeinen Risiken der Technik existieren auch anwenderbezogene Risiken, die in enger Beziehung zu den personellen Risiken stehen. Risiken in der Kundenbeziehung entstehen durch unerwartete Probleme bei der Abwicklung des Bankgeschäfts. Weist beispielsweise das Online-Banking Sicherheitslücken auf und entstehen Kundenschäden, hat dies im Allgemeinen hohe Schadensersatzforderungen der Kunden zur Folge. Diese Risiken beinhalten ebenfalls die Verletzung des Bankgeheimnisses und allgemeine Kundenbeschwerden aufgrund unerwarteter Probleme bei der Abwicklung des Bankgeschäfts.^[5] Prozessrisiken ergeben sich aus ungeeigneten Organisationsstrukturen, fehlerhaften Prozessen, fehlerhaften Arbeitsanweisungen und mangelhaften internen Kontrollen. Die Kategorie externe Risiken betrifft Verluste durch Naturkatastrophen, Terroranschläge, politische und militärische Ereignisse, aber auch (steuer-) rechtliche Veränderungen der Rahmenbedingungen. Dazu gehören Katastrophenrisiken wie Brand, Stromausfall, Folgen von Unwetter z. B. Wirbelstürme oder Erdbeben, aber auch externen Betrug.^[6] Ereignisse wie der Anschlag auf das World Trade Center am 11.September 2001 haben die Relevanz externer Risiken verdeutlicht. Externe Risiken sind Verluste, die nicht direkt auf das Unternehmen zurückzuführen sind, deshalb ist es fast unmöglich, die Auswirkungen externer Ereignisse abzuschätzen und bereits im Vorfeld darauf zu reagieren.

Wie relevant operationelle Risiken sind und wie hoch die entstehenden Verluste sein können, wird anhand der folgenden Grafik sichtbar:

^[7]

Abbildung in dieser Leseprobe nicht enthalten

Der Abbildung ist zu entnehmen, dass externe Risiken die größten Verluste verursachen, allerdings sind die Werte der personellen und technischen Verluste mit über 50 Mio. $ ebenfalls als bedrohlich einzuschätzen.

Somit wird deutlich, dass in jedem dieser operationellen Risikoarten schwerwiegende, bis hin zu existenzbedrohlichen Gefahren liegen können. Es ist wichtig, dass die Banken sich auf das Regulieren der operationellen Risiken einstellen und entsprechendes Management betreiben.

3 Management von operationellen Risiken

Operationelle Risiken können nur schwer verhindert werden und es bedarf eines eigenen Risikomanagements. Es ist unmöglich Naturkatastrophen zu verhindern oder bei Anstellung der Mitarbeiter zu wissen, ob sie in Zukunft Fehler bezüglich der Geschäftsabläufe machen werden oder eventuell sogar vorsätzlich, betrügerische Geschäfte abschließen. In Kapitel 2 ist deutlich geworden, dass operationelle Risiken erhebliche Schäden anrichten können und sogar zum Bankrott der Banken führen. Umso wichtiger ist das Einsetzen eines effektiven Risikomanagements, um die Unternehmensexistenz zu sichern. Das Risikomanagement besteht üblicherweise aus folgenden Phasen: Risikoidentifikation, Risikobewertung, Risikosteuerung und Risikokontrolle.^[8] Um die Probleme operationeller Risiken zu handhaben, muss zunächst eine Risikoidentifikation (Auflistung, Aufbereitung und Systematisierung der Risiken zu einem Risikokatalog) durchgeführt werden. Wichtig hierbei ist, dass das Risikomanagement im Einklang mit der Unternehmensstrategie handelt, dass die Risiken klassifiziert werden können und dass der Zugang der entsprechenden Informationen intern und extern gegeben ist. Verschiedene Instrumente wie z.B. Befragung, Brainstorming und Baumanalysen können zur Identifikation genutzt werden.^[9] Als Ergebnis der Identifikation erhält man die Erkenntnis, wo und warum operationelle Risiken auftreten. Die Identifikation ist die Basis für die Bewertung der operationellen Risiken.

Die Risikobewertung gibt Auskunft darüber, in welchem Grad die operationellen Risiken die Ziele des Kreditinstituts gefährden können. Die Ergebnisse der Bewertung verschafft dem Risikomanagement die Möglichkeit, entsprechende Entscheidungen zu den gesammelten Risiken zu treffen. Damit das Risikomanagement nicht nur die Höhe des Grades, sondern auch erkenntlich wird, wie viel Kapital zur Deckung hinterlegt werden muss, schlägt der Baseler Ausschuss verschiedene Ansätze zur Messung des operationellen Risikos vor.

Zur Berechnung der Eigenmittel für das operationelle Risiko wurden vom Baseler Ausschuss drei Ansätze vorgesehen: Basisindikatoransatz, Standardansatz und ambitionierte Bemessungsansätze.^[10] Beim Basisindikatoransatz (Basic Indicator Approach), dem Einstiegsverfahren zur Berechnung der Eigenkapitalhinterlegung, muss ein Betrag hinterlegt werden, dessen Höhe dem Drei-Jahres-Durchschnitt von 15% des positiven jährlichen Bruttoertrages entspricht. Die Anwendbarkeit des Ansatzes soll bei allen Banken gewährleistet sein, so dass keine Mindestanforderungen bestehen.^[11] Allerdings ist fraglich, ob es sinnvoll ist, dass der Bruttoertrag zur Berechnung in Betracht gezogen wird, da ein positiver Ertrag der Bank eine höhere Eigenkapitalhinterlegung zur Folge hat und ein schlechtes Ergebnis zu einer Verringerung der Eigenkapitalhinterlegung führt. Somit wäre die Kapitalhinterlegung von Jahr zu Jahr unterschiedlich. Der Zusammenhang zwischen Bruttoertrag und operationellen Risiken ist bis heute nicht nachgewiesen und erscheint hinsichtlich der Berechnung nicht sinnvoll.^[12] Von international tätigen Banken erwartet der Baseler Ausschuss mindestens die Anwendung des sog. Standardansatzes. Beim Standardansatz (Standardized Approach) werden die verschiedenen Tätigkeiten der Banken in acht Geschäftsfelder (Unternehmensfinanzierung, Handel, Privatkundengeschäft, Firmenkundengeschäft, Zahlungsverkehr, Treuhandgeschäfte, Vermögensverwaltung und Wertpapierprovisionsgeschäfte) eingeteilt. Wie beim Basisindikator wird einheitlich der Bruttoertrag als Risikoindikator gewählt. Für jedes der acht Geschäftsfelder wird dafür der jeweilige durchschnittliche jährliche Bruttoertrag der letzten drei Jahre ermittelt.^[13] Innerhalb dieser Geschäftsfelder wird die Eigenkapitalunterlegung jeweils durch Multiplikation des Indikators mit einem festen Prozentsatz (Betafaktor) errechnet. Der Betafaktor ist vom Baseler Ausschuss definiert als (2004), S.160: „Näherungswert für das Verhältnis zwischen branchenweiten operationellen Verlusten und den branchenweite aggregierten Bruttoerträgen für das jeweilige Geschäftsfeld“. Die Summer aller Ergebnisse stellt somit die Gesamteigenkapitalunterlegung dar. Die Zulassungskriterien für den Standardansatz beinhalten eine unabhängige Risikokontroll- und Prüfungsfunktion. Diese Funktionen müssen die Unternehmenspolitik sowie die Vorgehensweise zur Minderung operationeller Risiken berücksichtigen. Das Management der operationellen Risiken muss laut Baseler Ausschuss (2004), S.162 dafür Sorge tragen, „dass Strategien zur Identifikation, Bewertung, Überwachung und Steuerung operationeller Risiken entwickelt werden“. Außerdem muss zudem die bankeigene interne Revision des Managements und die damit in Verbindung stehenden Messmethoden auf ihre Richtigkeit geprüft werden.^[14] Banken müssen über Risikomeldesysteme verfügen, die es ihnen ermöglichen, die zur Berechnung der Eigenkapitalhinterlegung notwendigen Daten zu generieren. Anhand dieser Daten wird ein Bericht für das Management erstellt und somit Informationen über die Gefährdung operationeller Risiken gewonnen. Die Aufteilung in die Geschäftsfelder soll der Übersichtlichkeit und der besseren Vergleichbarkeit dienen. Es wird auf die Berücksichtigung von unternehmensspezifischen Verlustdaten verzichtet, so dass die Methode zur genauen Messung nicht geeignet ist.^[15] Die ambitionierten Bemessungsansätze (AMA) basieren auf individuellen Risikomessmethoden unter Verwendung intern erhobener Daten. Die Banken können zwischen dem internen Bemessungsansatz (IMA), dem Verlustverteilungsansatz (LDA) und dem Scorecardansatz wählen. Beim internen Bemessungsansatz wird die Eigenkapitalanforderung durch Schätzung erwarteter Verluste je nach Verlustereignis und Geschäftsfeld bestimmt. Der interne Bemessungsansatz lässt eine genaue Quantifizierung des operationellen Risikos zu, jedoch existieren Probleme hinsichtlich der Wahl der Indikatoren. Beim Verlustverteilungsansatz müssen die Banken die unerwarteten Verluste anhand interner Modelle schätzen. Der Vorteil hierbei ist der Zugriff auf historische Zusammenhänge.^[16] Beim Scorecardansatz wird die Eigenkapitalanforderung

[...]

^[1] Vgl. hierzu John C. Hull, 2007, S. 323.

^[2] Vgl. hierzu John C. Hull, 2007, S.326.

^[3] Vgl. hierzu http://www.stern.de/wirtschaft/arbeit-karriere/:Nick-Leeson-Im-Alleingang-Barings-Bank/536821.html, Datum: 2.September 2008, Uhrzeit: 13:19.

^[4] Vgl. hierzu John C. Hull, 2007, S.326.

^[5] Vgl. hierzu John C. Hull, 2007, S.326.

^[6] Vgl. hierzu John C. Hull, 2007, S.326.

^[7] Vgl. hierzu http://www.risksys.com/files/public/vorteile_oprisk_management.pdf, Datum: 12.September 2008, Uhrzeit: 12:53.

^[8] Vgl. hierzu http://www.competence-site.de/controlling.nsf/E094424A06A1F205C1256FEA003B483C/$File/risikomanagement_ca.pdf, Datum: 20.September 2008, Uhrzeit: 17:43.

^[9] Vgl. hierzu http://www.competence-site.de/controlling.nsf/E094424A06A1F205C1256FEA003B483C/$File/risikomanagement_ca.pdf, Datum: 20.September 2008, Uhrzeit: 20:22.

^[10] Vgl. hierzu Baseler Ausschuss für Bankenaufsicht, Juni 2004, S.157.

^[11] Vgl. hierzu John C. Hull, 2007, S.324

^[12] Vgl. hierzu http://www.tu-freiberg.de/~wwwfak6/files/paper/walther_14_2004.pdf?PHPSESSID=a228d59eddee967dca7a65fab9de8458, 20.September 2008, Uhrzeit: 13:34.

^[13] Vgl. hierzu Baseler Ausschuss für Bankenaufsicht, Juni 2004, S.160.

^[14] Vgl. hierzu Baseler Ausschuss für Bankenaufsicht, Juni 2004, S.163.

^[15] Vgl. hierzu http://www.tu-freiberg.de/~wwwfak6/files/paper/walther_14_2004.pdf?PHPSESSID=a228d59eddee967dca7a65fab9de8458, 20.September 2008, Uhrzeit: 15:45.

^[16] Vgl. hierzu http://www.tu-freiberg.de/~wwwfak6/files/paper/walther_14_2004.pdf?PHPSESSID=a228d59eddee967dca7a65fab9de8458, 21.September 2008, Uhrzeit: 22:38.