Die Entwicklung eines Controlling-Konzeptes zur effizienten Steuerung von Operationellen Risiken im Risikomanagement nach Basel II

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1. Einleitung

2. Operationelle Risiken
2.1 Unterteilung der Operationellen Risiken
2.1.1 Personenrisiken
2.1.2 Systemrisiken
2.1.3 Prozessrisiken
2.1.4 Externe Risiken
2.2 Säule 1
2.3 Säule 2
2.4 Säule 3

3. Risikocontrolling als Teilbereich des Risikomanagement
3.1 Gesetzliche Anforderungen
3.2 Aufgaben des Risikocontrollings
3.2.1 Risikoidentifikation
3.2.2 Risikobewertung
3.2.3 Risikosteuerung
3.2.4 Risikoreporting
3.3 Vorbereitungsstand der Banken auf Operationelle Risiken

4. Controlling- Konzept für Operationelle Risiken
4.1 Identifikation von Personenrisiken
4.1.1 Indikatoren für Personenrisiken
4.1.2 Steuerung von Personenrisiken
4.2 Identifikation von Systemrisiken
4.2.1 Indikatoren für Systemrisiken
4.2.2 Steuerung von Systemrisiken
4.3 Identifikation von Prozessrisiken
4.3.1 Indikatoren für Prozessrisiken
4.3.2 Steuerung von Prozessrisiken
4.4 Reporting von Operationellen Risiken

5. Fazit

Literaturverzeichnis

Internetverzeichnis

Anhang

III Abbildungsverzeichnis

Abbildung 1: Das Prinzip des Risikocontrollings als Prozess

Abbildung 2: Funktionsweise der Baumanalyse

Abbildung 3: Risikosteuerungsmaßnahmen gemäß Risikomatrix

Abbildung 4: Ursache-Wirkungs-Zusammenhang von Personenrisiken S. 23/

Abbildung 5: Ursache-Wirkungs-Zusammenhang von Systemrisiken S. 30/

Abbildung 6: Ursache-Wirkungszusammenhang von Prozessrisiken S. 38/

Abbildung 7: Entwicklung des Gehaltsniveaus zu anderen Banken zwischen 1999-

Abbildung 8: Anzahl der Mitarbeitermeldungen im Vergleich zum Vorjahr

IV Tabellenverzeichnis

Tabelle 1: Überblick über die Offenlegungsanforderungen der operationellen Risiken gemäß Säule

Tabelle 2: Überblick über die im Reporting verwendeten Werte

Tabelle 3: Mögliche Darstellung der Personenrisiken im Reporting

Tabelle 4: Mögliche Darstellung der Maßnahmenvorschläge für Personenrisiken

Tabelle 5: Mögliche Darstellung der Systemrisiken im Reporting

Tabelle 6: Mögliche Darstellung der Maßnahmenvorschläge für Systemrisiken

Tabelle 7: Mögliche Darstellung der Prozessrisiken im Reporting

Tabelle 8: Mögliche Darstellung der Maßnahmenvorschläge für Prozessrisiken

1. Einleitung

Zu den ältesten Bankenrisiken überhaupt zählen die operationellen Risiken.^[1] Sie können in allen Teilbereichen einer Bank auftreten. Diese Risiken gehen im Gegensatz zu den bisher abgegrenzten Risikokategorien aus bankinternen Faktoren hervor.^[2] Die Wahrscheinlichkeit eines Eintritts solch eines Risikos ist höher als die der Kredit- und Marktrisiken. Daher ist es erstaunlich, dass den operationellen Risiken bislang wenig Beachtung geschenkt wurde. Die Konsequenzen aus diesen Risiken können fatal für eine Bank sein.^[3] Erst durch das Auftreten zahlreicher Verluste von Banken in jüngster Vergangenheit wurde ihnen eine größere Bedeutung zugemessen. Eines der spektakulärsten Fälle ist die Insolvenz der britischen Barings- Bank im Februar 1995.^[4] Die Ursache des Untergangs ist auf operationelle Risiken in Form eines inadäquaten Kontrollsystems und schwerwiegender Führungs- und Aufsichtsmängel zurückzuführen. Nick Leeson, der Händler und zugleich Kontrollorgan dieser Bank war, soll durch riskante Spekulationen mit offenen Index- Futurekontrakten den Zusammenbruch der Barings- Bank verursacht haben. Leesons unautorisierten Geschäfte und kriminellen Transaktionen verursachten einen Verlust von mehr als 1,3 Mrd. Dollar.

Dieser Fall verdeutlicht die Auswirkung operationeller Risiken auf das Bankengeschäft. Nicht zuletzt deswegen beschäftigen sich zurzeit die Aufsichtsbehörden im Rahmen der neuen Eigenkapitalvereinbarung des Basler Ausschusses mit diesen Risiken. Neu an der Regulierung ist, dass nun- neben den Kredit- und Marktrisiken- auch operationelle Risiken mit Eigenkapital unterlegt werden sollen. Dabei muss sich das Risikomanagement jeder einzelnen Bank auf operationelle Risiken ausweiten. Die Mitglieder des Basler Ausschusses für Bankenaufsicht haben hierzu in einem Rahmenkonzept Grundsätze verfasst, an die sich die nationalen Aufsichtsbehörden bei der Beurteilung des internen Kontrollsystems der Banken halten sollen.^[5] Eines der bedeutenden Aufgaben kommt daher dem Risikocontrolling zu, dessen Funktionsfähigkeit Voraussetzung ist für einen soliden Bankbetrieb und für das Erreichen langfristig angestrebter Rentabilität.^[6] Die Banken stehen derzeit vor der großen Herausforderung, die operationellen Risiken in ein Risikomanagementsystem zu integrieren, um den Anforderungen nach Basel II gerecht zu werden. Gelingt es den Banken ein wirksames Risikomanagementsystem zu etablieren, müssen die Banken weniger Kapital für operationelle Risiken vorhalten und können sich so mehr auf andere Risikopositionen konzentrieren.

Unterschiedliche Auffassungen von der Bedeutung dieser Risiken erschweren eine einheitliche Auslegung des Begriffs.^[7] Da in dieser Arbeit die Veröffentlichungen von Basel II als Referenztexte hinzugezogen werden, erscheint es sinnvoll, sich an die Begriffsbestimmung des Basler Ausschusses anzulehnen. Operationelle Risiken sind demnach Verluste “resulting from inadequate or failed internal processes, people and systems or from external events.”^[8]

Ziel dieser Arbeit ist, ausgehend von der Definition des Basler Ausschusses für Bankenaufsicht, für operationelle Risiken ein Controlling- Konzept für ein erfolgsorientiertes Risikomanagement der Banken zu entwickeln und eine Möglichkeit aufzuzeigen, wie diese Risiken anhand von Indikatoren aussagekräftig abgebildet und effizient gesteuert werden können. Zum besseren Verständnis wird der Begriff des operationellen Risikos in dieser Arbeit vorab näher bestimmt. Nach einer Erläuterung des Zusammenhangs zwischen der Struktur der Neuen Basler Eigenkapitalvereinbarung und der operationellen Risiken werden die Aufgaben und rechtlichen Rahmenbedingungen des Risikocontrollings durchleuchtet. Ein kurzer Einblick in die aktuellen Bestrebungen der Banken im Hinblick auf operationelle Risiken soll verdeutlichen, inwieweit sich die Banken schon mit diesem Thema beschäftigt haben. Die Schwerpunkte dieser Arbeit bilden die Identifikation und Steuerung von geeigneten Risikoindikatoren anhand von Baumanalysen. Dabei werden aus den Risikoindikatoren Vorschläge für Maßnahmen abgeleitet. Anschließend wird aufgezeigt, wie die Ergebnisse im Reporting aufbereitet werden können.

2. Operationelle Risiken

Zunächst erfolgt eine detaillierte Definition operationeller Risiken nach Basel II, auf die bei der Entwicklung des Controlling- Konzeptes im späteren Abschnitt dieser Arbeit nochmals zurückgegriffen wird. Darauf aufbauend wird die Basler Drei- Säulen- Struktur im Hinblick dieser Risiken kurz untersucht, um das wesentliche Novum der neuen Basler Eigenkapitalvereinbarung, die Erfordernis der Eigenkapitalunterlegung von operationellen Risiken, hervorzuheben.

2.1 Unterteilung der Operationellen Risiken

Verluste, die durch diese Risiken entstehen, können verursacht werden durch die Unangemessenheit oder das Versagen von Prozessen, Personen und Systemen oder durch externen Einfluss. Unter dem Begriff des operationellen Risikos ist in erster Linie Betriebsrisiken zu verstehen, die sich aus unzureichenden oder fehlerhaften internen Kontrollsystemen oder aus außergewöhnlichen externen Ereignissen ergeben. Da diese vier Faktoren in nahezu jeder Abteilung einer Bank anzufinden sind bzw. jedes Kreditinstitut externen Einflüssen ausgesetzt ist, ist es nur verständlich, dass operationelle Risiken, wie bereits in der Einleitung erwähnt, in allen Geschäftssegmenten einer Bank auftreten können. Die in den Sound Practices des Basler Ausschusses genannten Risikoereignisse werden hier kurz erläutert. Risikoereignisse sind die Risiken, die einen Kausalzusammenhang zwischen Risikoursache und –auswirkung in der Baumanalyse herleiten. Diese werden anschließend näher betrachtet, um ein klares Bild des Einflusses operationeller Risiken auf Banken zu erhalten. Die vier Hauptrisikokategorien liegen sehr eng beieinander und sind in einem Zusammenhang zu sehen. Dies bedeutet, dass Prozessrisiken auch beispielsweise durch menschliches Fehlverhalten, also aufgrund von Personenrisiken, auftreten können. Eine vollständige Aufzählung aller Risikoereignisse in den jeweiligen Risikokategorien erscheint in dieser Arbeit aufgrund deren Vielzahl in der Realität unmöglich. Betrachtet werden daher nur die Risikoereignisse, deren Zusammenhänge leicht nachzuvollziehen sind und am häufigsten auftreten.

2.1.1 Personenrisiken

Ein Faktor, der nicht unterschätzt werden sollte, sind die Mitarbeiter einer Bank. Die folgende Auflistung zeigt, dass hinter den Personenrisiken vor allem qualitative Gesichtspunkte stehen.^[9] Diese beinhalten zum einen Risiken, die mit dem Verhalten des Personals im Zusammenhang stehen. Das Verhalten kann in bewusstes und unbewusstes Fehlverhalten untergliedert werden.^[10] Bewusstes Fehlverhalten macht sich folgendermaßen bemerkbar: Mitarbeiter umgehen unternehmenspolitische Vorschriften und begehen dabei Betrugsfälle, wie Diebstahl, Unterschlagung, Sachbeschädigung, Verwendung von Insiderwissen, Kompetenzüberschreitungen oder Mobbing und Diskrimination.^[11] Unter unbewusstem Fehlverhalten sind in der Regel Irrtum, Fahrlässigkeit und Unfälle zu verstehen.^[12] Ein Irrtum liegt vor, wenn das Personal zwar gemäß den internen Richtlinien handelt, allerdings durch eine falsche Einschätzung oder Bewertung einer Situation einen Schaden verursacht.^[13] Fahrlässigkeit entsteht durch mangelnde Aufmerksamkeit hervorgerufen durch Konzentrations- und Motivationsmängel, Überarbeitung und Krankheit.^[14]

Zum anderen sind Managementrisiken (Führungsfehlverhalten), Kulturrisiken (Personalfluktuation- bedingt durch mangelnde Integrität der Mitarbeiter, fehlendes Verständnis von Teamwork, ständiger Mitarbeiterwechsel, Arbeitsplatzunsicherheit- und der damit verbundene Verlust von Know- How) und Qualitätsrisiken (falsche Beratung) weitere wesentliche Personenrisiken.^[15] Grund für eine falsche Beratung kann mangelnde Kenntnis eines Produktes sein, unzureichende Erfahrung oder Ausbildung und ungenügende Kundenorientierung.^[16] Ferner besteht die nicht unrealistische Möglichkeit, dass eigene Mitarbeiter Sabotageakte durchführen.^[17] Dies kann beispielsweise der Fall sein, wenn ein Mitarbeiter kurz vor seiner Entlassung wichtige Daten aus dem EDV- System löscht.

Die entsprechenden Maßnahmen zur Verringerung der Personenrisiken müssen sorgfältig bedacht werden, da menschliche Fehler täglich und in allen Bereichen, in denen Menschen arbeiten, in Erscheinung treten können und somit das größte Risiko der operationellen Risiken darstellen.^[18]

2.1.2 Systemrisiken

Kein Unternehmen kann heutzutage ohne EDV- Ausrüstung auskommen. Die voranschreitende Globalisierung und die damit einhergehende komplizierte Entwicklung von Informationssystemen machen deutlich, dass Banken immer stärker von der modernsten Technik abhängig sind. Zudem werden Menschen als Arbeitsfaktor zunehmend durch die Technologie ersetzt. Von einer automatisierten Verarbeitung geographisch verteilter und durch unterschiedliche Betriebssysteme verwalteter Datenbestände ist nicht mehr wegzudenken.^[19] Die Wichtigkeit von der technischen Ausstattung ist daher so sehr gestiegen, dass die mit diesem Faktor verbundenen Risiken nicht ignoriert werden dürfen. Im Zusammenhang mit Systemrisiken wird insbesondere der Technologiebereich zugrunde gelegt.^[20] Dazu zählen insbesondere Hardwarerisiken, Softwarerisiken, Daten- und Modellrisiken.^[21]

Unter Hardware-Risiken sind Ausfälle, Abstürze und Defekte zu verstehen, die das Lesen von Daten unmöglich machen.^[22] Unzureichende Kapazitäten verhindern das Speichern von einer Vielzahl von Daten, die als Folge den Verlust von Informationen haben können.^[23] Die Software beinhaltet vor allem Kompatibilitätsrisiken, das heißt, dass installierte Programme nicht einwandfrei mit der Hardware arbeiten. Mit den Datenrisiken sind die größten Risiken in dieser Kategorie verbunden. Die Integration der Banken in den internationalen Finanzmärkten erfordert einen raschen Datenaustausch. Dies geschieht über das Internet oder telefonisch. Damit einhergehend ist eine Überlastung des Netzwerks äußerst riskant, da eine rechtzeitige Versorgung sowohl abhängiger Organisationseinheiten als auch internationaler Finanzpartner mit notwendigen Informationen verhindert wird.^[24] Diese Instabilität zeichnet sich dadurch aus, dass Verbindungen unterbrochen werden oder gar nicht zustande kommen. Daneben steht der Sicherheitsgedanke, der gerade im weltweiten Netz eine große Rolle spielt. Durch unbefugten Systemzutritt in die Netzwerke von außerhalb durch Dritte ist der Schutz vor Datenmanipulationen zunehmend nicht mehr gewährleistet.^[25] Auch bleiben die Daten vor Virenangriffen nicht verschont. Die bestehenden Schutzmaßnahmen können meist nicht mehr den erhöhten Hackerangriffen und den neuesten Virenattacken standhalten. Physische Sicherheit von Anlagen und Gebäuden kann zumindest durch Brandschutzeinrichtungen oder Alarmanlagen gewährleistet sein. Unter Modellrisiken sind Fehlerrisiken in Modellen und deren Anwendung zu verstehen.^[26]

2.1.3 Prozessrisiken

Prozesse beinhalten Risiken, die mit der wirtschaftlichen Leistungserstellung im direkten Zusammenhang stehen.^[27] In allen Bankenbereichen finden zahlreiche Prozesse statt: im Zahlungsverkehr, im Wertpapierhandel, im Kreditgeschäft, im Marketing, um nur einige zu nennen. Mängel an Prozessen führen dazu, dass Aufgaben nicht richtig durchgeführt werden und bestimmte Handlungen unterbleiben.^[28] Dazu gehören Produktionsrisiken, Sicherheitsrisiken und Steuerungsrisiken.

Ein bedeutsames Produktionsrisiko ist der Qualitätsverlust, der dadurch entsteht, dass erforderliche Transaktionen bzw. Abläufe lange Durchlaufzeiten benötigen.^[29] Grund ist die hohe Anzahl an Schnittstellen, die den Prozess ineffizienter machen.^[30] Unter den Sicherheitsrisiken ist der unbefugte Zugang oder Zutritt von Mitarbeitern in bestimmten Prozessen zu verstehen. In dieser Beziehung steht auch die Gefahr der mangelhaften Funktionstrennung.^[31] Entscheidungsträger, Kompetenzen, Aufgaben und Verantwortlichkeiten werden oftmals unzureichend definiert.^[32] Steuerungsrisiken können in vielerlei Hinsicht auftreten. Eine falsche Erstellung des Reporting (falscher Inhalt), eine falsche Einrichtung von technischen und organisatorischen Überwachungsmaßnahmen oder fehlende Notfallpläne für Prozessabläufe können Fehler in der Steuerung bewirken.^[33]

Durch den ständigen Wandel des Umfelds ist es schwer, Prozesse zu kontrollieren, da die Dynamisierung eine hohe Flexibilität erfordert und so Standardabläufe in den Prozessen abnehmen.^[34] Mitarbeiter sehen sich höheren Anforderungen ausgesetzt, da sie sich ständig auf wechselnde Abläufe einstellen müssen.

2.1.4 Externe Risiken

Externe Risiken sind unvorhersehbar und somit unkontrollierbar.^[35] Darunter fallen Umweltrisiken, die durch Brände oder Altlasten verursacht werden.^[36] Unwetter, Erdbeben und Krieg zählen zu den Katastrophenrisiken.^[37] Auch terroristische Akte sind Katastrophen und seit dem elften September 2001 nicht mehr ganz abwegig. Eine weitere Kategorie sind Drittparteirisiken, zu denen das Eindringen in Bankgebäuden, Bankraub und Geldfälschung gehören.^[38] Regulatorische Risiken, die durch die Politik beeinflusst werden, wie z. B. Steueränderungen, wirken sich auch negativ auf das Bankengeschäft aus.^[39]

Der Eintritt eines externen Risikos ist zwar im Vergleich zu den internen Risiken eher unwahrscheinlich, dafür haben sie aber umso verheerende Auswirkungen.

Der nächste Abschnitt beschäftigt sich mit der Basler Drei- Säulen- Struktur.

2.2 Säule 1

Die erste Säule ist der Hauptbestandteil der neuen Eigenkapitalvereinbarung. In ihr sind die Regeln zur Festlegung der Mindestkapitalanforderungen für Banken formuliert. Zur Berechnung der Eigenkapitalunterlegung für operationelle Risiken können die Banken zwischen drei Bemessungsansätzen wählen. Diese drei Ansätze (Basisindikatoransatz, Standardansatz, Interner Bemessungsansatz) unterscheiden sich hinsichtlich der qualitativen und quantitativen Anforderungen.

Der Basisindikatoransatz ist der einfachste Ansatz. Die Kapitalbelastung errechnet sich aus dem Durchschnittsbruttoertrag der letzten drei Jahre einer Bank multipliziert mit einem festen Prozentsatz.^[40] Der Bruttoertrag stellt stellvertretend das Gesamtrisiko einer Bank dar und ergibt sich aus der Summe von Zinsüberschuss, Provisionsüberschuss, Handelsergebnis, Finanzanlageergebnis und sonstige ordentliche betriebliche Erträge.^[41]

Der Standardansatz unterscheidet acht verschiedene Geschäftsfelder (Corporate Finance, Trading and Sales, Retail Banking, Commercial Banking, Payment and Settlement, Agency Services, Asset Management, Retail Brokerage).^[42] Dadurch wird eine höhere Risikosensitivität durch Berücksichtigung unterschiedlicher Risikoprofile in den Geschäftsfeldern erreicht. Die Eigenkapitalunterlegung für die Bank ergibt sich aus der Summe der Produkte aus einem Risikoindikator und einem festen Prozentsatz, die pro Geschäftsfeld unterschiedlich hoch sein kann.^[43]

Eine Schwäche dieser beiden betrachteten Ansätze ist, dass bislang kein Zusammenhang zwischen den Indikatoren und den tatsächlichen Verlusten aus operativen Geschäften besteht.^[44] Für eine exaktere Risikomessung ist daher der interne Bemessungsansatz anzuwenden. Der Standardansatz wird hier weiter differenziert und um interne Indikatoren ergänzt: es werden die Wahrscheinlichkeiten für Schadensfälle und die Höhe der damit einhergehenden Verluste ermittelt, auf die ein fester Prozentsatz erhoben wird.^[45] Das Produkt dieser Werte macht die Eigenkapitalunterlegung aus. Dieses Verfahren ist an strengere aufsichtsrechtliche Voraussetzungen geknüpft.^[46]

Wird durch die Verwendung der ersten beiden Verfahren zu wenig Eigenkapital hinterlegt, kann das Eintreten operationeller Risiken zur Insolvenz führen. Umgekehrt wird es durch eine zu hohe Eigenkapitalhinterlegung für die Bank schwieriger, wirtschaftlich effizient zu handeln. Für Kreditinstitute ist daher die Anwendung des internen Bemessungsansatzes trotz strenger aufsichtsrechtlicher Vorgaben vorteilhafter, da hier eine genauere Risikomessung erfolgt.

Die aufsichtliche Überprüfung ist Bestandteil der zweiten Säule.

2.3 Säule 2

Diese Säule beinhaltet das aufsichtliche Überprüfungsverfahren, bei dem die Bankenaufsicht die Kapitalallokationsmethoden, die Angemessenheit der Eigenkapitalausstattung der Banken, sowie die Einhaltung der maßgeblichen Anforderungen regelmäßig überwachen und bewerten muss, um bei Fehlsteuerungen frühzeitig Maßnahmen zu ergreifen. Hierzu hat der Basler Ausschuss in einem Rahmenkonzept, die Sound Practices for the Management and Supervision of Operational Risk, zehn Grundsätze zur Beurteilung von Banken bezüglich der Ermittlung, Bewertung, Überwachung und Limitierung operationeller Risiken definiert. Für das in dieser Arbeit angestrebte Controlling- Konzept zur effizienten Steuerung von operationellen Risiken ist die besondere Beachtung einiger Grundsätze zweckmäßig. Die wichtigsten Grundsätze für Kreditinstitute werden hier zusammenfassend dargestellt:

- Grundsatz 3: die Geschäftsleitung muss die vom obersten Verwaltungsorgan genehmigten Strategien für das Risikomanagement operationeller Risiken umsetzen. Sie muss ein Verfahren zur Erkennung, Messung, Überwachung und Begrenzung von der Bank eingegangenen Risiken entwickeln und klare Verantwortungsbereiche der Mitarbeiter und Befugnisse zuordnen. Die Wirksamkeit interner Kontrollmaßnahmen soll ständig überwacht werden. Das oberste Verwaltungsorgan und die Geschäftsleitung haben dafür Sorge zu tragen, dass das Personal auf allen Ebenen voll in den Kontrollprozess integriert und sich seiner Verantwortung für das Management der operationellen Risiken bewusst wird,
- Grundsatz 4: die Sicherstellung der Wirksamkeit des internen Kontrollsystems muss durch die fortlaufende Neubewertung von Risiken erfolgen, mit denen eine Bank konfrontiert werden kann,
- Grundsatz 5: ein Prozess zur regelmäßigen Überwachung von Risikoindikatoren muss implementiert werden und ein reguläres Reporting an die Geschäftsleitung erfolgen,
- Grundsatz 6: zur Kontrolle von operationellen Risiken müssen angemessene Regelungen, Verfahren und Vorgehensweisen verfügbar sein. Unter Berücksichtigung des Gesamtrisikoprofils sollte eine Bewertung der Machbarkeit alternativer Risikobegrenzungs- und Risikocontrollingstrategien durchgeführt und unter Anwendung geeigneter Methoden die operationellen Risiken angepasst werden.^[47]

Diese Anforderungen erfordern eine enge Zusammenarbeit zwischen Banken und Bankenaufsicht.^[48]

Die entwickelten Instrumente und Prozesse für ein effektives Risikomanagement müssen gemäß der dritten Säule offen gelegt werden.

2.4 Säule 3

Diese Säule soll die Transparenz über die Risikopositionen von Banken erhöhen, indem die Ziele, Abläufe und Politik im Management operationeller Risiken offen gelegt werden. Die Regelungen sehen zu vier Bereichen (Anwendungsbereich, Eigenkapitalstruktur, eingegangene Risiken und Eigenkapitalausstattung) eine Offenlegung vor. Es wird zwischen Kerninformationen und ergänzende Informationen unterschieden. Kerninformationen sind für das Funktionieren der Marktdisziplin von großer Bedeutung. Das Fehlen dieser Informationen kann zu einer falschen Darstellung und somit zu einer falschen Einschätzung des Kreditinstitutes führen.^[49] Die Notwendigkeit der ergänzenden Informationen ist abhängig von der Art der eingegangenen Risiken, der Eigenkapitalausstattung und der Berechnungsmethoden.^[50] Die Tabelle im Anhang stellt die geforderten Offenlegungsinformationen der operationellen Risiken im Detail dar.

Die Implementierung neuer Verfahren zum effizienten Management operationeller Risiken unter Beachtung der drei Säulen der neuen Basler Eigenkapitalvereinbarung fällt in den Bereich des Risikocontrollings.

3. Risikocontrolling als Teilbereich des Risikomanagement

Risikocontrolling als Teilbereich des Risikomanagement ist eine laufende Unternehmensaufgabe.^[51] Das Ziel des Risikomanagements ist darin zu sehen, die Risikosituation eines Unternehmens ständig zu verbessern, um die Unternehmensziele nicht zu gefährden. Die Geschäftsleitung eines Kreditinstitutes definiert auf der Grundlage der geschäftspolitischen Ziele risikopolitische Grundsätze und leitet daraus eine Risikostrategie ab. Um diese Risikostrategie einhalten bzw. an die aktuelle Risikosituation und das Unternehmensumfeld anpassen zu können, muss das Risikomanagement alle Faktoren kennen und beachten, die die Geschäftstätigkeit eines Unternehmens beeinflussen können.^[52] Hierzu bedarf es der Hilfe des Risikocontrollings. Der Zweck des Controllings liegt darin, das Management zu unterstützen, indem es die Verfolgung der vom Management vorgegebenen Zielgrößen gewährleistet.^[53] Eine der wichtigsten Funktionen besteht in der Früherkennung von Chancen und Risiken.^[54] Vier wesentliche Aufgaben kommen dabei dem Controlling zu: Risikoidentifikation, Risikobewertung, Risikosteuerung und Risikoreporting.

In den folgenden Abschnitten werden die rechtlichen Rahmenbedingungen des Risikomanagements dargestellt und die einzelnen Aufgaben des Risikocontrollings erläutert. Hierbei wird außerdem das Verfahren der Baumanalyse charakterisiert, welches im weiteren Verlauf der Arbeit für die Erstellung des Controlling- Konzeptes im Hinblick auf operationelle Risiken dienlich sein wird. Anhand der Auswertungen einer Studie wird außerdem dargelegt, inwieweit sich die Banken schon auf das Management operationeller Risiken vorbereitet haben.

3.1 Gesetzliche Anforderungen

Aufgrund der steigenden Anzahl der Unternehmensinsolvenzen ist die Notwendigkeit eines Risikomanagements auch in Deutschland zunehmend diskutiert worden.^[55] Die Ursache solcher Unternehmenszusammenbrüche liegt häufig an der mangelhaften Kontrolle in den einzelnen Unternehmen.^[56] Um dem entgegenzuwirken, hat der deutsche Gesetzgeber das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verabschiedet, welches am 1. Mai 1998 in Kraft getreten ist. Dieses ist kein eigenständiges Gesetz, sondern vielmehr eine Konstruktion, das aus Änderungen und Ergänzungen anderer Gesetze, insbesondere das Aktiengesetz und das Handelsgesetzbuch, besteht und sich auf das Risikomanagement auswirkt.^[57] Eines der wesentlichen Vorschriften stellt § 91 Abs. 2 AktG dar. Gemäß diesem Abschnitt hat der Vorstand einer AG (analog dazu der Geschäftsführer einer GmbH) „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Zur Erfüllung dieser gesetzlichen Vorschrift bedarf es der Implementierung eines zielgerechten Risikomanagements mit einem entsprechenden Risiko-Früherkennungssystem im Unternehmen.

Für Kreditinstitute gilt neben den Sound Practices, die speziell zu den operationellen Risiken ein effizientes Risikomanagement und -controllingsystem erfordern, die Berücksichtigung des Kreditwesengesetzes. § 25a Abs. 1 Nr. 1 KWG besagt, dass Kreditinstitute geeignete Methoden zur Steuerung, Überwachung und Kontrolle der Risiken anwenden müssen. Eine ordnungsgemäße Geschäftsorganisation (klare Aufgabentrennung und Zuständigkeitsbereiche) und ein angemessenes internes Kontrollverfahren (Risiko-Frühwarnsystem und -limitierung) wird zudem in § 25a Abs. 1 Nr. 2 KWG verlangt. Diese Gesetze verpflichten die Unternehmen zu einem effektiven Risikomanagement und -controllingsystem. Die Funktion, die dabei dem Risikocontrolling zufällt, wird im Folgenden erläutert.

3.2 Aufgaben des Risikocontrollings

Wie bereits erwähnt, ist die Funktion des Risikocontrollings als permanente Unternehmensaufgabe zu sehen. Daher werden die Aufgaben des Risikocontrollings als Prozess verstanden. Folgendes Schaubild stellt diese vier Aufgaben zusammenhängend dar:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Das Prinzip des Risikocontrollings als Prozess

Quelle: In Anlehnung an Röckle, S. A. (2002), S. 50.

Die Risikoidentifikation ist Voraussetzung für die Bewertung. Letzteres wiederum ermöglicht konkrete Entscheidungen zu den umzusetzenden Maßnahmen. Diese drei Schritte werden im Reporting festgehalten. Nach bestimmten periodischen Abständen fängt der Ablauf schließlich von vorne an. Dieser Prozess wird nun in den folgenden Kapiteln erläutert. Dabei wird auf die einzelnen Schritte genauer eingegangen.

3.2.1 Risikoidentifikation

Bei der Risikoidentifikation wird der Frage nachgegangen, welche Risiken in einem Unternehmen auftreten können. „It is hard to manage a risk if you do not know that it is there.“^[58] Dieses Zitat verdeutlicht, dass das Erkennen von Risiken die wichtigste Voraussetzung für das Risikomanagement ist. Ohne Identifikation können keine Maßnahmen getroffen werden, um die Risikosituation zu beeinflussen und die Unternehmensziele zu erreichen.

Es ist von Vorteil, die operationellen Risiken in Kategorien einzuteilen.^[59] Dabei ist es sinnvoll, nicht nur nach den anfangs beschriebenen Kategorien der Veröffentlichungen von Basel II zu unterscheiden, sondern auch nach Unternehmensbereichen bzw. Abteilungen, um eine klare Zuordnung der Risiken zu ermöglichen. Dadurch wird es einfacher, die Folgen in den einzelnen Abteilungen auszumachen und dann die entsprechenden Maßnahmen einzuleiten. Für die Risikoidentifikation an späteren Zeitpunkten kann somit gut nachvollzogen werden, wo welche Risiken existieren oder hinzugekommen sind. Eine frühzeitige Identifizierung von Risiken ermöglicht auch eine frühzeitige Ergreifung von Maßnahmen.^[60] Bereits schwache Warnsignale sind ernst zu nehmen, da sonst eine verspätete Reaktion auf das aufkommende Risiko zu einem erheblichen Verlust führen kann. Daher sollte dieser Schritt im Risikocontrolling in regelmäßigen zeitnahen Abständen erfolgen.

Für die entsprechende Datengewinnung zur Identifikation muss der Zugriff auf unterschiedliche Quellen für relevante Informationen gewährleistet sein. Hierbei ist zu bedenken, dass es schwierig ist, alle Risiken vollständig zu erfassen, da im Laufe der Zeit neue Risiken hinzukommen können.^[61] Ein weiteres Problem stellt die Doppelerfassung durch bereichsübergreifende Risiken dar. Beide Fälle sind zu berücksichtigen. Sie führen sonst zu Verlusten und zur Ineffizienz des Risikomanagementsystems. Als interne Datenquellen können Mitarbeiter, abteilungsbezogene Berichte, Analysen, Reportings, Berechnungen, Teilbilanzen und interne Rechnungswesen-Daten herangezogen werden.^[62] Diese müssen ausgewertet und fortlaufend, bei jeder Neuidentifikation, ergänzt werden. Für eine angemessene Identifikation empfiehlt es sich, nicht nur die Risikosituation der Gegenwart einzuschätzen, sondern auch die der Vergangenheit, da die vergangenen Risiken durchaus wieder auftauchen können.^[63] Da in der Vergangenheit das Risikobewusstsein hinsichtlich des operationellen Risikos nicht so stark ausgeprägt war wie heute, existieren in den meisten Unternehmen wenige Risikodaten, die entsprechend dokumentiert wurden.^[64] Qualitative Vergangenheitsrisiken sind nur schwer aufzufinden. Risiken, die sich monetär ausdrücken, können allerdings teilweise durch Gewinn- und Verlustrechnungen aus den letzten Jahren ausfindig gemacht werden, wobei hier Sonderabschreibungen auf Gebäude oder Einzelwertberichtigungen auf Kredite von Bedeutung sind.^[65] Auch externe Daten sind für die Risikoidentifikation wesentlich. Schadensereignisse vergleichbarer Banken können auf das eigene Institut bezogen werden. Informationsquellen sind beispielsweise Pressemeldungen.^[66]

[...]

---

^[1] Vgl. Piaz, J.-M. (2002), S. 3.

^[2] Vgl. Adam, K. G. (2000), S. 212.

^[3] Vgl. Bessis, J. (1998), S. 5.

^[4] Vgl. Tschoegl, A. E. (2000), S. 107.

^[5] Vgl. Van den Brink, G. J. (2001), S. 119.

^[6] Vgl. ebenda, S. 118.

^[7] Vgl. Münchbach, D. (2001), S. 13 f.

^[8] BIS (2001a), S. 2.

^[9] Vgl. Münchbach, D. (2001), S. 31.

^[10] Vgl. Röckle, S. A. (2002), S. 25.

^[11] Vgl. ebenda, S. 26.

^[12] Vgl. Piaz, J.-M. (2002), S. 57.

^[13] Vgl. Röckle, S. A. (2002), S. 26.

^[14] Vgl. Münchbach, D. (2001), S. 31.

^[15] Vgl. Piaz, J.-M. (2002), S. 57.

^[16] Vgl. Münchbach, D. (2001), S. 31.

^[17] Vgl. Röckle, S. A. (2002), S. 28.

^[18] Vgl. Piaz, J.-M. (2002), S. 58.

^[19] Vgl. Nolte, M. (2000), S. 149.

^[20] Vgl. Piaz, J.-M. (2002), S. 58.

^[21] Vgl. ebenda, S. 57.

^[22] Vgl. Röckle, S. A. (2002), S. 28.

^[23] Vgl. Münchbach, D. (2001), S. 33.

^[24] Vgl. Röckle, S. A. (2002), S. 28.

^[25] Vgl. Keitsch, D. (2000), S. 32.

^[26] Vgl. Piaz, J.-M. (2002), S. 57.

^[27] Vgl. ebenda, S. 58.

^[28] Vgl. Münchbach, D. (2001), S. 32.

^[29] Vgl. Röckle, S. A. (2002), S. 27.

^[30] Vgl. ebenda, S. 27.

^[31] Beispielhaft für die mangelhafte Funktionstrennung ist der Verlustfall der Barings- Bank.

^[32] Vgl. BIS (2002a), S. 2.

^[33] Vgl. Röckle, S. A. (2002), S. 27.

^[34] Vgl. Münchbach, D. (2001), S. 33.

^[35] Vgl. Piaz, J.-M. (2002), S. 57.

^[36] Vgl. ebenda, S. 57.

^[37] Vgl. Münchbach, D. (2001), S. 34.

^[38] Vgl. BIS (2002a), S. 3.

^[39] Vgl. Piaz, J.-M. (2002), S. 57.

^[40] Vgl. BIS (2002b), S. 40.

^[41] Vgl. Kaiser, T. (2001), S. 142.

^[42] Vgl. BIS (2002b), S. 41ff.

^[43] Vgl. BIS (2001b), S. 28.

^[44] Vgl. Gaulke, M. (2003a), 3. Absatz.

^[45] Vgl. Wilkens, M. et al. (2001), S. 192.

^[46] Vgl. BIS (2001b), S. 28.

^[47] Vgl. BIS (2002a), S. 5.

^[48] Vgl. Boos, K. H./ Schulte-Mattler, H. (2001), S. 646.

^[49] Vgl. Paul, S. (2001), S. 14.

^[50] Vgl. ebenda, S. 14.

^[51] Vgl. Münchbach, D. (2001), S. 15.

^[52] Vgl. Münchbach, D. (2001), S. 15.

^[53] Vgl. Walker, V. (1997), S. 26.

^[54] Vgl. Urbatsch, R.-C. (1999/2002), S. 3.

^[55] Vgl. Statistisches Bundesamt Deutschland (2002), Tabelle.

^[56] Vgl. Uldall, G. (2000), S. 88.

^[57] Vgl. Keitsch, D. (2000), S. 14.

^[58] Borge, D. (2001), S. 65.

^[59] Vgl. ebenda, S. 67.

^[60] Vgl. Piaz, J.-M. (2002), S. 76.

^[61] Vgl. ebenda, S. 76.

^[62] Vgl. Röckle, S. A. (2002), S. 66.

^[63] Vgl. ebenda, S. 65.

^[64] Vgl. Münchbach, D. (2001), S. 128.

^[65] Vgl. Röckle, S. A. (2002), S. 66.

^[66] Vgl. Münchbach, D. (2001), S. 134.