Die Aggregationsproblematik im Risikomanagement am Beispiel operationeller Risiken

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Symbolverzeichnis

1 Einleitung und Gang der Untersuchung

2 Grundlagen und Definitionen
2.1 Operationelle Risiken
2.1.1 Der allgemeine Risikobegriff
2.1.2 Definition operationeller Risiken
2.1.3 Risikosystematisierung auf Basis der Definition operationeller Risiken
2.1.4 Arten operationeller Risiken
2.2 Das Value-at-Risk-Konzept und der Operational Value-at-Risk
2.3 Risikoaggregation
2.3.1 Aufgabe und Zweck der Risikoaggregation
2.3.2 Einordnung der Risikoaggregation in den Risikomanagement- Prozess
2.3.3 Hindernisse bei der Aggregation von operationellen Risiken
2.3.3.1 Identifizierungs- und Entdeckungsprobleme im Vorfeld der Aggregation
2.3.3.2 Quantifizierungsprobleme der zu aggregierenden Risiken ..

3 Methoden zur Aggregation operationeller Risiken und deren Eignung
3.1 Problem der Auswahl eines geeigneten Verfahrens zur Aggregation
3.2 Allgemeine Methodenübersicht und Systematisierung
3.2.1 Arten von Vorgehensweisen und Datengrundlagen
3.2.2 Methodeneinordnung
3.3 Untersuchung und Vergleich der Eignung ausgewählter Verfahren zur Aggregation operationeller Risiken
3.3.1 Kriterien zur Beurteilung der Methoden
3.3.2 Untersuchung der Methoden
3.3.2.1 Einfache Indikator-Ansätze
3.3.2.1.1 Vorstellung der Ansätze
3.3.2.1.2 Beurteilung
3.3.2.2 Nutzwertanalyse auf Basis von Key Risk Indikatoren
3.3.2.2.1 Vorstellung des Ansatzes
3.3.2.2.2 Beurteilung
3.3.2.3 Baumanalyse auf Basis von Experteneinschätzungen
3.3.2.3.1 Vorstellung des Ansatzes
3.3.2.3.2 Beurteilung
3.3.2.4 Bestimmung des OVaR mit Hilfe der Monte-Carlo- Simulation
3.3.2.4.1 Allgemeine Vorbemerkungen zu Simulationsverfahren
3.3.2.4.2 Vorstellung des Ansatzes
3.3.2.4.3 Beurteilung
3.3.3 Abschließende Gegenüberstellung und Beurteilung der untersuchten Methoden unter Berücksichtigung der Ziele einer Risikoaggregation

4 Zusammenfassung und Ausblick

Literaturverzeichnis

Anhang

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abb. 2.1: Risiko und Ungewissheit

Abb. 2.2: Systematisierung der Unternehmensrisiken

Abb. 2.3: Arten operationeller Risiken eines Unternehmens

Abb. 2.4: Dichtefunktion der Normalverteilung bei 99%iger Konfidenz

Abb. 2.5: Verteilung der Verluste aus operationellen Risiken und Bestimmung des OVaR

Abb. 2.6: Der Risikomanagement-Prozess

Abb. 2.7: Risk Map und Risikobewältigungsstrategien

Abb. 2.8: Fehlerquellen in der Risikoidentifikation

Abb. 2.9: Titanic-Beispiel

Abb. 2.10: Folgewirkungen von Risikoereignissen (Risikoereigniskette)

Abb. 3.1: Übersicht und Systematisierung von Risikoaggregationsmethoden und Instrumenten

Abb. 3.2: Arten von Schnittstellenbeziehungen

Abb. 3.3: Beziehungsgefüge der Beurteilungskriterien

Abb. 3.4: Nutzwertanalyse-Schema für die Beurteilung von Key Risk Indikatoren

Abb. 3.5: Beispiel einer Risikobewertung anhand einer Störablaufanalyse

Abb. 3.6: Bestimmung der Bandbreiten

Abb. 3.7: Vorgehensweise der Monte-Carlo-Simulation

Tabellenverzeichnis

Tab. 2.1: Operationelle Risikokategorisierung

Tab. 3.1: Bestimmung des zu unterlegenden Eigenkapitals je Geschäftsfeld im Standardansatz

Tab. 3.2: Gegenüberstellung der untersuchten Methoden anhand der aufgestellten Beurteilungskriterien

Tab. 3.3: Eignung der untersuchten Verfahren für die Ziele der Risikoaggregation

Symbolverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung und Gang der Untersuchung

Das Betreiben eines Geschäftes oder einer Unternehmung ist untrennbar mit dem Eingehen von Risiken verbunden.¹ Unternehmerisches Risiko besteht darin, in dynamischen Märkten und in einer dynamischen Umwelt Entscheidungen auf Basis von unvollkommenen Informationen treffen zu müssen.² Derartige Risiken (z.B. das Misserfolgsrisiko bei der Entwicklung und Einführung eines neuen Pro- duktes) werden von einem Unternehmen in der Regel nach Abwägung von Risi- ken und Chancen bewusst eingegangen.³ Dabei ist aber auch zu berücksichtigen, dass ein Unternehmen im Sinne einer Bestandssicherung insgesamt nicht mehr Risiken eingehen darf, als es durch das ihm zur Verfügung stehende Kapital tra- gen kann.⁴ Insofern ist die Kenntnis der Gesamtrisikoposition als anzunehmender, bei ungünstiger Entwicklung auf ein Unternehmen zukommender monetärer Schaden von überaus großer Bedeutung. Die Bestimmung der Gesamtrisikoposi- tion ist im Rahmen des Risikomanagementprozesses Aufgabe der Risikoaggre- gation. In der Praxis stellt sich die Aggregation von Einzelrisiken zu einer Ge- samtposition jedoch als „methodisch relativ schwierig“⁵ dar. Dennoch wurden mittlerweile für viele Arten (bewusst von einem Unternehmen eingegangener) Risiken, wie z.B. den Marktpreisrisiken, geeignete Mess- und Aggregationsver- fahren entwickelt, die auch „in ihrer Anwendung bereits ein allgemeines Quali- tätsniveau erreicht [haben], das nur noch marginal verbessert werden kann“⁶.

Neben diesen mehr oder weniger bewusst eingegangen Risiken bestehen für ein Unternehmen aber auch zahlreiche andere, insbesondere operationelle Risiken. Operationelle Risiken betreffen ein Unternehmen schon unmittelbar nach seiner Gründung, bevor die normale Geschäftstätigkeit überhaupt aufgenommen wurde.⁷ Diesen operationellen Risiken kann man sich auch folglich (wenn man von der Liquidation des Unternehmens absieht) nicht vollständig durch ein bewusstes Da- für- oder Dagegen-Entscheiden entziehen. Viel mehr kann man ihnen nur entge- gentreten, indem man sich ihre Existenz bewusst macht und versucht, Ursachen aufzudecken, diese soweit wie möglich zu reduzieren und die Auswirkungen der Risiken für das Unternehmen zu begrenzen. Das Management operationeller Risi- ken ist aufgrund ihrer hohen Komplexität jedoch ungleich schwerer als das ande- rer Risiken, und wurde in der Vergangenheit insbesondere von Banken stark ver- nachlässigt.⁸ So schrieb PARSLEY: „ Banks measure credit and market risk because they can, not because these are the biggest risks they face. Operational risk is larger, more dangerous and no-one knows exactly what to do about it. ” ⁹

Spektakuläre Verlustfälle bekannter Unternehmen (z.B. der Zusammenbruch der Barings Bank und der Beinahe-Zusammenbruch der Metallgesellschaft)¹⁰ in der jüngeren Vergangenheit als Folge des Eintritts operationeller Risiken bestätigen diese Einschätzung. Ebenso wird daraus deutlich, dass die unzureichende Berück- sichtigung operationeller Risiken im Rahmen des Risikomanagements kein reines Bankenproblem ist. Daher müssen Unternehmen, nicht zuletzt auch wegen gesetz- licher und bankenaufsichtsrechtlicher Vorgaben (KonTraG, Basel II), ihre Bemü- hungen in diesem Bereich verstärken.

Dieses aktuelle betriebswirtschaftliche Problem stellt die Motivation der vorlie- genden Arbeit dar. Sie hat zum Ziel, die Hindernisse und Schwierigkeiten im Rahmen der Aggregation von Risiken, insbesondere operationeller Risiken, auf- zudecken und zu erläutern. Darüber hinaus soll ein geeignetes Verfahren identifi- ziert werden, mit dessen Hilfe eine Aggregation operationeller Risiken für Unter- nehmen ermöglicht wird. Dafür sind in Kapitel 2 ausgehend vom allgemeinen Risikobegriff zunächst operationelle Risiken zu definieren und aufgrund ihres Wesens von anderen Risikokategorien abzugrenzen (Abschnitt 2.1.2). Dabei soll auch die Einordnung der operationellen Risiken in eine Systematik verschiedener Unternehmensrisiken erfolgen (Abschnitt 2.1.3). Um ihre Komplexität und Viel- falt zu verdeutlichen, werden ebenso die Arten operationeller Risiken vorgestellt (Abschnitt 2.1.4). Daran anschließend erfolgt eine kurze Einführung in das Value- at-Risk-Konzept, welches sich schon als eine Art Industriestandard für die Mes- sung und Bewertung von Markt- und Kreditrisiken etabliert hat,¹¹ und dessen Ein- satz in der Literatur auch für operationelle Risiken diskutiert wird.¹² Dieses Kon- zept wird daher auch für die weitere Untersuchung im Rahmen dieser Arbeit von Bedeutung sein (Abschnitt 2.2). In einem weiteren Schritt ist dann die Risiko- aggregation selbst zu thematisieren (Abschnitt 2.3). Zuerst werden dabei Aufga- ben und Ziele der Risikoaggregation beschrieben (Abschnitt 2.3.1). Auf Basis dieser Aufgaben und Ziele erfolgt die Einordnung der Risikoaggregation in den Risikomanagementprozess (Abschnitt 2.3.2). Daran anschließend werden die Hindernisse, die für die Aggregation operationeller Risiken bestehen, erläutert (2.3.3).

Auf Basis dieser Informationen und Erkenntnisse soll dann in Kapitel 3 ein geeig- netes Verfahren für die Aggregation operationeller Risiken identifiziert werden. Dafür ist es in einem ersten Schritt notwendig, eine Übersicht über die in der Lite- ratur diskutierten Methoden¹³ zu verschaffen (Abschnitt 3.2). Die Methoden wer- den dazu kurz vorgestellt und anhand verschiedener Ansatz- und Vorgehenskrite- rien systematisiert. Aus der sich ergebenden Systematik werden dann einige Ver- fahren ausgewählt, die als Vertreter für verschiedene Ansatz- und Vorgehenswei- sen näher zu untersuchen sind. Für die Untersuchung werden in einem zweiten Schritt einige als relevant erachtete Kriterien aufgestellt, auf die bei der Beurtei- lung der Methoden einzugehen ist (Abschnitt 3.3.1). Im folgenden dritten Schritt werden dann die Vorgehensweisen der ausgewählten Verfahren ausführlicher er- läutert und anschließend anhand der aufgestellten Kriterien bezüglich ihrer grund- sätzlichen Eignung zur Aggregation operationeller Risiken beurteilt (3.3.2). Den vierten und letzten Schritt der Untersuchung stellt die Zusammenfassung dieser Ergebnisse dar, wobei eine Einschätzung erfolgt, in welchem Maße die näher be- leuchteten Verfahren zur Erreichung der Ziele und Zwecke einer Risikoaggregati- on beitragen können (Abschnitt 3.3.3). In einer Schlussbetrachtung (Kapitel 4) werden die im Laufe dieser Arbeit gewonnen Erkenntnisse noch einmal zusam- mengefasst und darüber hinaus ein Ausblick auf die weitere Entwicklung bei der Aggregation operationeller Risiken versucht.

2 Grundlagen und Definitionen

2.1 Operationelle Risiken

2.1.1 Der allgemeine Risikobegriff

Um operationelle Risiken für Unternehmen zu definieren und abzugrenzen, ist zunächst auf den allgemeinen Risikobegriff einzugehen. Das deutsche Wort „Ri- siko“ leitet sich über das italienische „Rischio“ (Gefahr, Wagnis) vom lateini- schen „riscare“, einem Begriff aus der Seefahrt für das „Umschiffen einer Klip- pe“, ab. Über die verschiedenen wissenschaftlichen Disziplinen und deren speziel- le Sichtweisen hinweg lassen sich eine Vielzahl von Definitionen zum Risikobeg- riff finden.¹⁴ Die Begriffsauffassungen in der Betriebswirtschaftslehre lassen sich dabei im Wesentlichen in ursachenbezogene und wirkungsbezogene Ansätze ein- teilen.¹⁵

Ursachenbezogene Ansätze beziehen sich insbesondere auf den Informationsstand betreffend zukünftiger Ereignisse oder Zustände in einer Entscheidungssituation.¹⁶ So wird in Abgrenzung von „Sicherheit“ über die Zukunft zwischen den Ausprä- gungen „Risiko“ und „Ungewissheit“ als Formen von Unsicherheit unterschie- den.¹⁷

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.1: Risiko und Ungewissheit¹⁸

Die „Unsicherheit“ bezeichnet dabei das umgangssprachliche Risiko im weiteren Sinne.¹⁹ Nach ADAM ist dieses Risiko jedoch nur (entscheidungs-)relevant, wenn man in einer Entscheidungssituation vor dem Problem steht, dass eine einmal gewählte Handlungsalternative nicht mehr oder nur verbunden mit Zusatzkosten revidiert werden kann (mangelnde Planelastizität).²⁰ „Risiko“ im engeren Sinne oder auch „Unsicherheit 1. Ordnung“ liegt vor, wenn sich einer künftigen Situation objektive oder subjektive Wahrscheinlichkeiten bezüglich des Eintritts verschiedener Ausprägungen zuordnen lassen. Dagegen spricht man von „Ungewissheit“ bzw. „Unsicherheit 2. Ordnung“, wenn für eine zukünftige Situation keine Eintrittswahrscheinlichkeiten zu bestimmen sind.²¹

Wirkungsbezogene Ansätze zur Risikodefinition beziehen sich auf die mögliche Abweichung von einem geplanten Ziel oder einer Erwartung.²² Im weiteren Sinne von Risiko kann diese Abweichung sowohl positiv als auch negativ sein.²³ Somit erfolgt aber noch keine Bewertung der Zieldivergenz. Die Folgen einer negativen Abweichung sind begrifflich als „Schäden“ aufzufassen und vom Risiko an sich zu trennen.²⁴ In einer engeren Risikodefinition wird daher nur die negative Ab- weichung betrachtet.²⁵ Eine positive Zielabweichung wird dagegen als „Chance“ bezeichnet.²⁶ Im weiteren Verlauf dieser Arbeit wird aufgrund des Wesens opera- tioneller Risiken der engeren Risikodefinition gefolgt. Dies trägt sowohl der deut- schen Gesetzgebung (KonTraG)²⁷ als auch den Entwürfen der Baseler Bankenauf- sicht (Basel II), einer Kommission der „Bank for International Settlements (BIS)“, Rechnung. Das KonTraG verpflichtet die Vorstände von Aktiengesellschaften²⁸, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzu- richten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“²⁹. Basel II fordert von Banken die Unterlegung operationeller Risiken mit Eigenkapital.³⁰ Dies impliziert das Ziel eines Schutzes vor bzw. der Verminderung der Folgen von negativen Ereignissen (Schäden). Somit wird hier Risiko definiert als „ ein Ausdruck für die Gefahr, dass das effektive Ergebnis vom gewünschten oder geplanten negativ abweicht “ ³¹. Erwartete negative Ergebnisabweichungen (erwartete Schäden) sind nach dieser Definition kein „Risiko“, da über sie mehr oder weniger gesicherte Informationen existieren und sie schon in Planungen miteinbezogen werden können.³²

2.1.2 Definition operationeller Risiken

Obwohl operationelle Risiken für Unternehmen nichts Neues sind³³, gibt es bisher keine einheitliche Definition. Besonders im Bankenbereich ist in den letzten Jah- ren eine Vielzahl von Definitionen mit den verschiedensten Ansatzpunkten ent- standen.³⁴ Diese Definitionen lassen sich grundsätzlich in indirekte und direkte Ansätze unterscheiden.³⁵ In einem weit verbreiteten indirekten Ansatz definiert z.B. PARSLEY operationelle Risiken als alle Risiken, die nicht Markt- oder Kredit- risiken sind.³⁶ KÜCHLE und MÜLLER definieren ähnlich: „Überall dort, wo Risiken nicht schon durch die bestehenden Systeme des Risikomanagements adäquat ab- gedeckt werden, können sie als operationelle Risiken schlagend werden.“³⁷ Diese indirekten Definitionsansätze sind zwar einfach, aber durchaus nicht unproblema- tisch. Zum einen sind sie direkt abhängig von den Definitionen der Markt- und Kreditrisiken und bleiben dabei sehr ungenau bezüglich der Vielfalt und Vielzahl der zu den operationellen Risiken gehörenden Einzelrisiken.³⁸ Zum anderen füh- ren im Betrieb evolutorisch immer enger definierte und quantifizierte Markt- und Kreditrisiken zu einem automatischen Anwachsen der auf diese Art als „sonstige Risiken“ dargestellten operationellen Risiken.³⁹ Als Folge der mangelnden Unter- teilung und Beschreibung werden diesen Risiken so kaum Verantwortungen und Kompetenzen zugeordnet.⁴⁰ Schließlich ist noch festzuhalten, dass nicht alle „sonstigen Risiken“ operationelle Risiken, sondern diese nur eine Teilmenge der sonstigen Risiken sind. Dies ist besonders für Banken in Hinblick auf die von Ba- sel II geforderte Eigenkapitalunterlegung der operationellen Risiken problema- tisch.⁴¹

Daher scheint eine direkte Definition nicht nur wünschenswert, sondern auch nö- tig. Ein Vergleich der direkten Definitionen verschiedener Aufsichtsbehörden, Banken und Beratungsunternehmen hat ergeben, dass die meisten Ansätze die Begriffe „Prozesse und Verfahren“, „Menschen und menschliche Fehler“, „interne Steuerung und Kontrolle“, „interne und externe Vorkommnisse“, „direkte und indirekte Verluste“, „Versagen“, „Technologie“ sowie „Systeme“ beinhalten.⁴² Die Other Risks Technical Working Group, Bestandteil des Baseler Komitees, stellte daher fest, dass aufgrund der sich abzeichnenden Annäherung die folgende Definition oder enge Varianten derselben bei einem großen Teil der Banken („Common industry definition“) zum Einsatz kommt: [Operationelles Risiko ist] „das Risiko eines direkten oder indirekten Verlustes als Folge der Unangemessen- heit oder des Versagens interner Prozesse, Menschen, und Systeme oder von ex- ternen Ereignissen.“⁴³ In der neuesten Fassung der Definition wurde jedoch der Passus „direkte oder indirekte [Verluste]“ gestrichen. Dies soll die Eindeutigkeit der Definition erhöhen⁴⁴, da ihre Auslegung rechtliche Risiken umfasst, strategi- sche und Reputationsrisiken jedoch explizit ausschließt.⁴⁵ Der Definition soll prin- zipiell auch im Rahmen dieser Arbeit gefolgt werden, da sie nach Meinung des Verfassers ebenso auf einen Großteil der Nichtbank-Unternehmen übertragbar ist.⁴⁶ Jedoch wird sie insofern ergänzt und spezifiziert, dass nur „unerwartete“ Verluste als Risiko angesehen werden, da erwartete Verluste den Charakter kalku- lierbarer Kosten haben.⁴⁷ Die Arbeitsdefinition lautet demnach:

„Operationelles Risiko wird definiert als das Risiko eines [unerwarteten] Verlustes als Folge der Unangemessenheit oder des Versagens interner Prozesse, Menschen und Systeme oder von externen Ereignissen.“⁴⁸

BEECK und KAISER weisen darauf hin, dass bei Gebrauch dieser Definition eine Unterscheidung von operationellen Risiken im weiteren und engeren Sinne zu berücksichtigen ist. Operationelles Risiko i.e.S. beinhaltet nicht das Geschäftsrisi- ko als negative Abweichung des Unternehmenswertes vom erwarteten Wert in Folge der Veränderung des Geschäftsvolumens oder von Margen.⁴⁹ Daher sei auch hier die Definition in ihrer engeren Auslegung verstanden.

2.1.3 Risikosystematisierung auf Basis der Definition operationeller Risi- ken

Ebenso wie die Definition operationeller Risiken fällt auch deren Kategorisierung und somit die Abgrenzung zu anderen Risikoarten schwer. Eine universal einsetz- bare Systematisierung gibt es nicht, sondern vielmehr ist jede Systematik jeweils im Kontext des Blickwinkels auf die Risikoarten zu verstehen.⁵⁰ Die Systematisie- rung der Unternehmensrisiken erfolgt daher hier vor dem Hintergrund der gewähl- ten Definition operationeller Risiken. Im Einzelnen werden strategische, Liquidi- täts- und Reputationsrisiken sowie Erfolgsrisiken in Form von Gegenpartei-, Markt- und operationellen Risiken unterschieden. Abbildung 2.2 stellt die Bezie- hungen der einzelnen Risikoarten dar:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.2: Systematisierung der Unternehmensrisiken⁵¹

Erfolgsrisiken sind Risiken, die im Eintrittsfall den Erfolg eines Unternehmens mindern oder sogar zu Verlusten führen.⁵² Gegenparteirisiken beschreiben die Gefahr wertmäßiger Verluste als Folge des Ausfalls oder der (negativen) boni- tätsmäßigen Veränderung von Gegenparteien oder Geschäftspartnern.⁵³ Sie wer- den daher oftmals auch als Kredit- oder Ausfallrisiken bezeichnet.⁵⁴ Sie können aber auch als Länderrisiken durch hoheitliche Maßnahmen ausländischer Staaten (Transferrisiken) schlagend werden.⁵⁵ Marktrisiken bestehen als Gefahr von für das Unternehmen negativen Veränderungen der Marktparameter, wie z.B. Rohstoffpreisen, Zinssätzen, Aktien- und Wechselkursen.⁵⁶ Operationelle Risiken als dritte Form der Erfolgsrisiken bestehen wie oben beschrieben als Verlustgefahr aus nicht angemessenen oder versagenden Prozessen, Systemen, menschlichem Verhalten und/oder externen Ereignissen. Als solche sind sie deutlich von Markt- und Kreditrisiken verschieden und oft deren Ursache.⁵⁷ Auf die einzelnen Arten wird in Abschnitt 2.1.4 noch näher eingegangen.

Liquiditätsrisiken sind nach SCHIERENBECK in Abgrenzung zu den Erfolgsrisiken in erster Linie Fristigkeitsrisiken. Sie bestehen als Gefahr, dass eine Bank (oder allg. Unternehmung) die nötige Liquidität aufgrund von zeitlich unausgeglichenen Zahlungsströmen nicht sichern kann. Liquiditätsrisiken können zum einen unmittelbare Folge von Erfolgsrisiken sein und zum anderen auch mittelbar als Liquiditätsanpassungs-, Termin- oder Abrufrisiken auftreten.⁵⁸

Strategische Risiken bestehen als Gefahr von Verlusten oder Unternehmenswert- minderungen in Folge von ungünstigen bzw. nachteiligen Management- Entscheidungen oder falscher bzw. nicht ordnungsgemäßer Umsetzung von Ent- scheidungen.⁵⁹ Ursache dafür kann sowohl die Veränderung der Bedingungen, unter denen eine Entscheidung getroffen wurde, als auch die Fehleinschätzung der Bedingungen sein.⁶⁰ Strategische Entscheidungen bilden den Rahmen und das Umfeld für das zukünftige operative Geschäft und daher kann solch eine falsche „Weichenstellung“ ebenfalls die Erfolgs- und Liquiditätsrisiken beeinflussen.

Das Reputationsrisiko leitet sich als indirekte Wirkung von Schadensfällen aus den vorhergehenden Risikokategorien ab.⁶¹ Es kann definiert werden als das Risi- ko eines Schadens, der zusätzlich zu einem direkt entstehenden Schaden als Folge der negativenöffentlichen Meinung auf das laufende Geschäft einwirkt.⁶² Die Schäden können in zwei Arten unterschieden werden: Kundenabgänge aufgrund von Fehlern des Unternehmens sowie der Verlust potenzieller Kunden, die wegen der schlechten Reputation des Unternehmens erst gar keine Geschäftsbeziehung mehr anstreben.⁶³

Die eindeutige und überschneidungsfreie Abgrenzung der einzelnen Risikokategorien wird jedoch insofern erschwert, als zuzuordnende Risikoereignisse gleichzeitig Anteile an mehreren Arten von Risiken haben können.⁶⁴ In solch einem Fall sind die einzelnen Anteile zu bestimmen und voneinander zu trennen.⁶⁵

2.1.4 Arten operationeller Risiken

Nach der in dieser Arbeit gewählten Definition ist eine Unternehmung operatio- nellen Risiken ausgesetzt, die ihre Ursachen in Prozessen, Systemen, Menschen und externen Ereignissen haben können.⁶⁶ Dabei werden hier die Risiken durch Menschen, die im Unternehmen beschäftigt sind, als „Risiken durch Personal“ bezeichnet. Risiken durch Andere werden den externen Risiken zugeordnet. Ab- bildung 2.3 stellt die einzelnen Risikoarten und ihre Wirkrichtung auf das Unter- nehmen dar.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.3: Arten operationeller Risiken eines Unternehmens

Prozessrisiken können z.B. durch eine unzweckmäßig gestaltete Ablauforganisa- tion entstehen.⁶⁷ Standardisierte Prozesse und Prozeduren werden mit dem Ziel der Optimierung (in Bezug auf Effektivität und Effizienz) von Handlungen und Ab- läufen in Unternehmen eingeführt.⁶⁸ Dies und dazugehörende Kontrollen sollen gerade auch Risiken vermeiden. Aber aus den Prozessen und Prozeduren selbst können Risiken erwachsen, wenn sie fehlerhaft gestaltet bzw. implementiert sind oder fehlerhaft ausgeführt werden.⁶⁹ So eine fehlerhaft durchgeführte Prozedur wäre z.B. die Installation eines passwortgeschützten Rechnersystems, wenn die zugehörigen Passwörter auf einem Notizzettel am Bildschirm haften würden oder auf andere Weise frei zugänglich wären.

Systemrisiken in Unternehmen sind in der heutigen Zeit vorwiegend Risiken des Informations- und Kommunikationssystems.⁷⁰ Sie können ihre Ursache in unan- gemessener oder versagender Hard- und Software, in mangelnder Datenqualität, in Fehlern zugrundeliegender Modelle und Fehlern in Anwendung bzw. Handha- bung derselben haben.⁷¹ BRINK unterteilt die Risiken im Zusammenhang mit In- formationssystemen in allgemeine, anwendungsbezogene und anwenderbezogene Risiken. Allgemeine Risiken bestehen z.B. als Gefahr eines unrechtmäßigen Zugriffs auf die Systeme eines Unternehmens durch Hacker. Ein anwendungsbe- zogenes Risiko ist dagegen beispielsweise der Verlust von Daten durch Speiche- rung auf defekten Datenträgern. Anwenderbezogene Risiken stehen in enger Be- ziehung zu den „Risiken durch Personal“, die weiter unten diskutiert werden. Als Beispiel wäre hier die inkonsistente oder falsche Eingabe von Daten in ein System zu nennen, die zu Fehlsteuerungen oder Fehlentscheidungen führt.⁷²

Risiken durch Personal haben ihre Ursache in quantitativen oder qualitativen Un- gleichgewichten beim Einsatz von Mitarbeitern.⁷³ Ein quantitatives Ungleichge- wicht liegt bei Über- oder Unterbesetzung vor und kann sich als Risikofaktor in demotivierenden Arbeitsanforderungen einerseits bzw. in Überforderung, Unge- nauigkeit und Stress andererseits konkretisieren.⁷⁴ Qualitative Ungleichgewichte liegen vor, wenn entweder „die fachliche Qualifikation oder die charakterliche Integrität eines Mitarbeiters nicht den notwendigen Anforderungen entspricht.“⁷⁵ Beispiel für ein Risiko als Folge von quantitativer Fehlbesetzung ist, dass eine für den Produktionsprozess wichtige Rohstoffbestellung nicht ausgeführt wird, weil sich bei einer Überbesetzung jeder Mitarbeiter auf das Tätigwerden eines anderen Mitarbeiters verlässt oder bei Unterbesetzung die Bestellung durch Überlastung vergessen wird. Ein berühmtes Beispiel für die Folgen einer qualitativen Fehlbe- setzung ist der Bankrott der Barings Bank im Jahr 1995. Ursachen waren zum einen das „waghalsige“ und kriminelle Verhalten des Händlers Nick Leeson, zum anderen die Unachtsamkeit, Ignoranz und fehlende Kenntnisse seitens der ihn zu kontrollierenden Stellen.⁷⁶

Externe Risiken sind Risiken, die sich (unvorhergesehen) aus der Umwelt einer Unternehmung ergeben und deren Ursachen kaum direkt steuerbar sind.⁷⁷ Dazu sind u.a. Umweltkatastrophen (z.B. Blitzeinschlag), vertragsinkonforme, fahrläs- sige und kriminelle Handlungen externer Verursacher (z.B. mangelhafte Qualität bezogener Rohstoffe/Dienstleistungen, Diebstahl), negative regulatorische und gesetzliche Änderungen (z.B. verschärfte Umweltauflagen) sowie politische Ein- flüsse (z.B. Handelsembargos) zu zählen. Beispiel für ein externes Risiko aus der jüngeren Vergangenheit ist der Anschlag von Terroristen auf das World Trade Center in New York am 11. September 2001.

Eine Übersicht der verschiedenen Arten operationeller Risiken und einiger ihnen zuzuordnender Risikotypen⁷⁸ und Subtypen⁷⁹ liefert Tabelle 2.1.

Abbildung in dieser Leseprobe nicht enthalten

Tab. 2.1: Operationelle Risikokategorisierung⁸⁰

Abschließend ist noch festzuhalten, dass Risikoereignisse, die unter die gewählte enumerative Definition operationeller Risiken fallen, oft nicht eindeutig einer Art zuzurechnen sind.⁸¹ So ist das unter den Prozessrisiken beschriebene Beispiel der leicht zugänglichen Passwörter auch als Fahrlässigkeit und somit als „Risiko durch Personal“ interpretierbar. Der Hackerangriff auf ein nicht ausreichend gesi- chertes System kann ebenso den externen Risiken zugeordnet werden. Sogar der Zusammenbruch der Barings Bank könnte teilweise den externen Risiken zuge- ordnet werden, da erst ein Erdbeben in Kobe (Japan) und der darauf folgende Kurssturz an der Börse die gewagten Spekulationen Leesons zur Katastrophe werden ließen.⁸²

2.2 Das Value-at-Risk-Konzept und der Operational Value-at-Risk

Nach Definition, Abgrenzung und Einordnung operationeller Risiken soll nun kurz das Grundkonzept des Value-at-Risk (VaR) vorgestellt werden, auf dem ei- nige in Kapitel 3 vorzustellende und zu untersuchende Methoden zur Aggregation operationeller Risiken basieren. Dies geschieht, um ein für den weiteren Verlauf der Arbeit wichtiges Grundverständnis des Konzeptes zu schaffen. Der auf das amerikanische Investmenthaus J. P. Morgan zurückgehende⁸³ VaR hat sich im Laufe der letzten Jahre in der Wirtschaft zu einer „Best Practice“ im Bereich der Risikomessung von Markt und Kreditrisiken entwickelt.⁸⁴ Er kann definiert wer- den als die

- in Geldeinheiten gemessene
- mit einer vorgegebenen Wahrscheinlichkeit (Konfidenzniveau)
- innerhalb eines bestimmten Zeitraums
- nicht überschrittene absolute (negative) Wertänderung
- einer risikobehafteten Vermögensposition.⁸⁵

Der VaR kann sowohl zur Messung des Risikos einzelner Positionen als auch von Portefeuilles eingesetzt werden.⁸⁶ Bei einer Betrachtung von Portefeuilles werden Risikoverbundeffekte automatisch berücksichtigt.⁸⁷ Von entscheidender Bedeu- tung für Berechnung und Interpretation des VaR sind das festgelegte Konfidenz- niveau und der betrachtete Zeitraum (Haltedauer).⁸⁸ Die Festlegung beider Werte hängt von der verfolgten Zielsetzung ab.⁸⁹ Für das Konfidenzniveau, das den Grad der Aussagesicherheit bestimmt, werden i.d.R. Werte zwischen 95% und 99% gewählt.⁹⁰ Basel II schreibt bei der Anwendung eine 99%ige Aussagesicherheit vor.⁹¹ Die Werte (Values) der zu untersuchenden Verteilungsfunktion liefern ent- weder reale Daten auf Basis von empirischen Datenbanken oder stochastische Modellannahmen.⁹² Beispielsweise sei (stark vereinfachend) unterstellt, dass die künftige Wertänderung einer Vermögensposition normalverteilt sei. Weiterhin sei angenommen, dass der Mittelwert 0 Geldeinheiten (GE) und die Standardabwei- chung 5 GE betrage. Bei einem Konfidenzniveau von 99% bedeutet dies, dass mit 99%iger Wahrscheinlichkeit innerhalb des betrachteten Zeitraums der Wert der Vermögensposition um nicht mehr als 12,44 GE⁹³, oder anders herum nur mit 1%iger Wahrscheinlichkeit um mehr als diesen Betrag fällt.

Abbildung 2.4 stellt das Ergebnis des Beispiels in einer Skizze dar.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.4: Dichtefunktion der Normalverteilung bei 99%iger Konfidenz⁹⁴

Übertragen auf operationelle Risiken sind die Datengrundlage der Verteilungsfunktion die innerhalb eines bestimmten Betrachtungszeitraums aufgetretenen Schäden durch operationelle Risiken.⁹⁵ Der Dateninput kann soweit möglich aus unternehmensinternen, aber auch aus externen Schadensfalldatenbanken beschafft werden.⁹⁶ Besonders bei äußerst selten auftretenden Risiken mit hohem möglichen Schaden (low frequency/high severity) ist der Einbezug externer Quellen nötig.⁹⁷ Für neue oder sich schnell ändernde Risiken sollten zusätzlich Szenario-Analysen durchgeführt werden.⁹⁸ Legt man der Verteilungsfunktion operationeller Schäden eine stochastische Annahme zugrunde, ist jedoch zu beachten, dass diese in keinem Fall durch eine Normalverteilung (wie z.B. bei Marktrisiken angenommen) beschrieben wird.⁹⁹ Vielmehr ist anzunehmen, dass operationelle Verlustfälle durch rechtsschiefe (bzw. asymmetrisch linkssteile) Verteilungen, wie z.B. der Weibull-Verteilung beschrieben werden können.¹⁰⁰ Das Konfidenzintervall (z.B. 99%) stellt dann die erwarteten Verluste durch Schadensfälle dar und erlaubt so die Ermittlung eines die Ermittlung eines „Operational Value-at-Risk“ (OVaR) im Sinne von unerwarteten Verlusten.¹⁰¹ Diese Überlegungen sind in Abbildung 2.5 dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.5: Verteilung der Verluste aus operationellen Risiken und Bestimmung des OVaR¹⁰²

Auf die Möglichkeiten und besonderen Anforderungen des VaR in Bezug auf operationelle Risiken soll jedoch erst in Kapitel 3 im Rahmen der Untersuchung verschiedener Aggregationsmethoden näher eingegangen werden.

2.3 Risikoaggregation

2.3.1 Aufgabe und Zweck der Risikoaggregation

Aufgabe der Risikoaggregation ist es, die Gesamtrisikoposition („Risk exposure“) einer Unternehmung sowie die relative Bedeutung der Einzelrisiken an dieser Ge- samtposition zu bestimmen.¹⁰³ Grund für die Quantifizierung von Risiken und die anschließende Aggregation sind sowohl aufsichtsrechtliche bzw. gesetzliche als auch unternehmensinterne Managementziele.¹⁰⁴ So ist für Banken die Kenntnis der Gesamtrisikoposition notwendig, um zu wissen, in welcher Höhe regulatorisches Eigenkapital aufgrund der Vereinbarungen von Basel II gehalten werden muss. Andersherum kann die Bank aus der Gesamtrisikoposition ersehen, in wie weit sie neue Risiken eingehen kann, ohne dass das benötigte regulatorische Kapital das vorhandene regulatorische Kapital übersteigt.¹⁰⁵ Für Unternehmen, die unter die Regelungen des KonTraG fallen, ist die Bestimmung der Gesamtrisikoposition notwendig, um überhaupt erkennen zu können, inwieweit „bestandsgefährdende“ Risiken bestehen.¹⁰⁶ Denn nicht nur große Einzelrisiken, sondern auch die Häu- fung vieler kleiner Risiken kann den Bestand eines Unternehmens gefährden.¹⁰⁷

Die Bestimmung der aggregierten Risikoposition ist aber auch im Rahmen inter- ner Managementziele wichtig für die Berechnung des Unternehmenswertes.¹⁰⁸ Geschäftsfelder oder Investitionen leisten nur dann positive Beiträge zum Unter- nehmenswert, wenn deren gesamte Rendite größer ist, als die dafür aufgewende- ten risikoabhängigen Kapitalkosten.¹⁰⁹ Dem liegt das Ziel eines integrierten Risi- komanagements im Sinne von Risikobewältigung¹¹⁰ zugrunde, das eine Optimie- rung der Risikopositionen eines Unternehmens anstrebt.¹¹¹ Als weitere interne Managementziele im Rahmen des RM in Banken¹¹² nennt BRINK die Verbesse- rung des Risikobewusstseins, das adäquate „Pricing“ von Produkten und die Ver- besserung von Organisationsabläufen. Die Kenntnis über das in Geldeinheiten ausgedrückte (aggregierte) Verlustpotential eines Unternehmens oder Unterneh- mensbereiches dürfte das Risikobewusstsein von Verantwortlichen mehr schärfen, als eine rein qualitative Einschätzung in Kategorien wie „hohes, mittleres, oder niedriges Risiko“. Um Produkte und Leistungen eines Unternehmens zielführend zu bepreisen, müssen ebenso die Risiken des erbringenden Bereiches berücksich- tigt werden. Auch wenn nicht die Kosten aller Risiken an Kunden weitergegeben werden können, erhöht das Wissen um die Gesamtrisikoposition wie schon oben beschrieben die Transparenz bezüglich der Profitabilität. Organisatorische Abläu- fe, die einen hohen relativen Anteil an der Risikoposition eines Bereiches haben, bieten Ansätze für die Analyse und eventuelle Aufdeckung von Ineffizienzen.¹¹³

2.3.2 Einordnung der Risikoaggregation in den Risikomanagement- Prozess

Auch wenn es zahlreiche verschiedene Konzepte zum Risikomanagementprozess gibt, so sind doch viele Ansätze sehr ähnlich und unterscheiden i.d.R. die folgen- den Phasen: Risikodefinition, -identifikation, -bewertung/-quantifizierung, -aggregation, -limitierung, -bewältigung, -steuerung und Risikomanagementsystem-Dokumentation.¹¹⁴ Vereinfachend kann man den RM-Prozess auch in Analyse-, Implementierungs- und Kontrollphase unterteilen¹¹⁵, der in Form eines Regelkreises kontinuierlich durchzuführen und zu verbessern ist.¹¹⁶ Allein die Ri sikodefinition ¹¹⁷ wird grundsätzlich nur einmal als vorgeschalteter Schritt durchgeführt.¹¹⁸ Abbildung 2.6 stellt diesen Prozess dar.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.6: Der Risikomanagement-Prozess¹¹⁹

Aufgabe der Risikoidentifikation ist die permanente, rechtzeitige, schnelle, vollständige und wirtschaftliche Erfassung aller relevanten bestehenden und potenziellen Einzelrisiken.¹²⁰ In dieser Phase wird praktisch erst das Aufgabenobjekt „geschaffen“, auf das sich alle weiteren Aktivitäten beziehen.¹²¹

In der Phase der Risikobewertung/-quantifizierung gilt es, das Ausmaß der zuvor identifizierten Einzelrisiken zu bestimmen.¹²² Durch ihre Bewertung¹²³ sollen Ein- schätzungen ermöglicht werden, in welchem Maße die einzelnen Risiken die Unternehmensziele gefährden können.¹²⁴

In der sich anschließenden Phase der Risikoaggregation ist nun aus den zahlreichen Einzelrisiken eine Gesamtrisikoposition zu bestimmen.¹²⁵ Dabei sind insbesondere Korrelationen¹²⁶ zwischen den einzelnen Risiken zu berücksichtigen, die z.B. eine einfache Addition der Schadenserwartungswerte aus den Einzelrisiken i.d.R. unmöglich machen.¹²⁷ Quantifizierungs- und Aggregationsphase werden von vielen Autoren zusammengefasst.¹²⁸ Da in dieser Arbeit aber explizit die Aggregationsproblematik im Vordergrund stehen soll, erfolgt hier eine getrennte Betrachtung der Phasen mit den oben beschriebenen Inhalten.

In der Phase der Risikolimitierung sind auf Basis von Eigenkapitalausstattung und Ertragskraft eines Unternehmens Verlustobergrenzen zu bestimmen, über die die Gesamtrisikoposition des Unternehmens im Sinne einer Risikotragfähigkeitsüber- legung nicht anwachsen darf.¹²⁹ Durch Vergabe von Risikolimiten für einzelne Unternehmensbereiche wird darüber hinaus eine dezentrale Risikosteuerung mög- lich, ohne dass die Gesamtrisikotragfähigkeit des Unternehmens gefährdet ist.¹³⁰ Unabdingliche Vorraussetzung dafür ist jedoch ein ständiger Soll-Ist-Vergleich der einzelnen Limite.¹³¹

Aufgaben der Risikobewältigung und Risikosteuerung sind nicht Minimierung sondern die Optimierung der Risikoposition einer Unternehmung.¹³² Es gilt, die Chancen und die damit verbundenen Risiken unternehmerischer Handlungen öko- nomisch abzuwägen.¹³³ Ökonomisch nicht zu rechtfertigende Risiken sind zu ver- meiden, entweder durch Veränderung oder notfalls durch Aufgabe wirtschaftli- cher Aktivitäten.¹³⁴

[...]

---

¹ Vgl. Gleißner, W./Meier, G./Lienhard, H., Risikobewältigung, 2000, S. 317.

² Vgl. Adam, D., Planung und Entscheidung, 1996, S. 39.

³ Ebenda.

⁴ Vgl. Gleißner, W., leistungsfähiges RM, 2002, S. 5.

⁵ Gleißner, W./Meier, G., Risikoaggregation, 1999, S. 926.

⁶ Buhr, R., Betriebsrisiken, 2000, S. 202; Vgl. auch Boos, K.-H./Schulte-Mattler, H., Basel II, 2001, S. 549.

⁷ Vgl. auch Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 790.

⁸ Vgl. Jovic, D./Piaz, J.-M., Erfolgsfaktor, 2001, S. 923.

⁹ Parsley, M., Final Frontier, 1996, S. 74.

¹⁰ Vgl. dazu u.a. Brandner, A./Bruckner, B./Kanneberger, C. et al., Finanzdienstleistung, 2002, S. 352-367.

¹¹ Vgl. u.a. Jorion, P., Value at Risk, 2001, Preface xxii-xxv; Schierenbeck, H., Bankmanagement, 1999, S. 16 f.

¹² Vgl. u.a. Buhr, R., Betriebsrisiken, 2000, S. 202 f.

¹³ Die Begriffe „Methode“ und „Verfahren“ werden im Rahmen dieser Arbeit synonym verwendet.

¹⁴ Für eine ausführliche Diskussion der verschiedenen Risikodefinitionen aus den einzelnen wis- senschaftlichen Disziplinen siehe z.B.: Peter, C. F., Unternehmerisches Risikomanagement, 2002, S.21-24 und Banse, G./Bechmann, G., Interdisziplinäre Risikoforschung, 1998, S. 29- 61.

¹⁵ Vgl. Fürer, G., Risk Management, 1990, S.42 f. und Piaz, J.-M., Operational Risk Management, 2002, S.12.

¹⁶ Vgl. Ueckermann, H., Risikopolitik, 1993, S. 23.

¹⁷ Vgl. Garz, H./Günther, S./Moriabadi, C., Portfolio-Management, 1998, S.22.

¹⁸ Quelle: In Anlehnung an Perridon, L./Steiner, M., Finanzwirtschaft, 1999, S. 98 und Piaz, J.-M., Operational Risk Management, 2002, S. 10 f.

¹⁹ Vgl. Perridon, L./Steiner, M., Finanzwirtschaft, 1999, S.98

²⁰ Vgl. Adam, D., Planung und Entscheidung, 1996, S. 215 f.

²¹ Vgl. Piaz, J.-M., Operational Risk Management, 2002, S.10 f.

²² Vgl. Fürer, G., Risk Management, 1990, S.42 f. und Piaz, J.-., Operational Risk Management, 2002, S.12.

²³ Vgl. Kromschröder, B./Lück, W., Unternehmensüberwachung, 1998, S. 1573.

²⁴ Vgl. Theil, M., Informationssysteme, 1995, S. 10 f.

²⁵ Vgl. Kromschröder, B./Lück, W., Unternehmensüberwachung, 1998, S. 1573.

²⁶ Vgl. Ackermann, K.-F., Personalbereich, 1999, S. 48.

²⁷ Vgl. dazu Kromschröder, B./Lück, W., Unternehmensüberwachung, 1998, S. 1573.

²⁸ Ebenso ist dies über die Sorgfaltspflicht von Geschäftsführern auch auf andere Unternehmens- formen übertragbar (z.B. § 43 I GmbHG). Vgl. dazu Krystek, Ulrich, Neue Gesetze, 1999, S. 146. Für eine, Übersicht in wie weit das KonTraG auf nichtbörsennotierte AGs und GmbHs übertragbar ist, siehe Saitz, B./Braun, F., KonTraG, 1999, S. 27-39.

²⁹ AktG § 91 Abs. 2

³⁰ Vgl. BIS, Operational Risk, 2001, S. 1.

³¹ Geiger, H., Risikopolitik 1, 1999, S. 556.

³² Vgl. Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 791.

³³ Vgl. Jovic, D./Piaz, J.-M., Erfolgsfaktor, 2001, S. 923.

³⁴ Vgl. King, J. L., Operational Risk, 2001, Preface und Geiger, H., Regulating and Supervising, 2000, S. 4.

³⁵ Vgl. Geiger, H., Regulating and Supervising, 2000, S. 4 f.

³⁶ „The pat definition of operational risk is simply any risk of earnings volatility that is not market or credit related“. Parsley, M., Final Frontier, 1996, S. 74.

³⁷ Küchle, O./Müller, C., Umsetzung, 2001, S. 54 f.

³⁸ Vgl. Beeck, H./Kaiser, T., Quantifizierung, 2000, S.637.

³⁹ Vgl. Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 792

⁴⁰ Ebenda

⁴¹ Vgl. Stickelmann, K., Abgrenzung, 2002, S. 10-15 und ISDA, Regulatory Approach, 2000, S.7.

⁴² Vgl. Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 792.

⁴³ BIS, Operational Risk, 2001, S. 18. Übersetzung durch den Verfasser.

⁴⁴ Vgl. Stickelmann, K., Abgrenzung, 2002, S. 16.

⁴⁵ Vgl. BIS, New Accord, 2003, S.120.

⁴⁶ Anders z.B. Schierenbeck, der operationelle Risiken als die Summe operativer und strategischer Risiken definiert: Vgl. Schierenbeck, H., Bankmanagement, 1999, S. 295.

⁴⁷ Vgl. Kuhn, L., Risikophasenmodell, 2002, S. 167 und Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 791 f.

⁴⁸ Ergänzte Definition nach BIS, New Accord, 2003, S. 120. Übersetzung durch den Verfasser. Ähnlich Geiger, H./Piaz, J.-M., Identifikation und Bewertung, 2001, S. 792.

⁴⁹ Vgl. Beeck, H./Kaiser, T., Quantifizierung, 2000, S.637-638.

⁵⁰ Vgl. u.a. Jovic, D., Eigenkapitalallokation, 1999, S. 30; Schierenbeck, H., Bankmanagement, 1999, S. 4-9; Piaz, J.-M., Operational Risk Management, 2002, S.14.

⁵¹ Quelle: Modifiziert und ergänzt entnommen aus Hofmann, M., Identifizierung, 2002, S. 13.

⁵² Vgl. Schierenbeck, H., Bankmanagement, 1999, S. 5.

⁵³ Vgl. Brasch, H.-J./Nonnenmacher, D. J. F., Credit Risk, 2000, S. 409 f.

⁵⁴ Vgl. Piaz, J.-M., Operational Risk Management, 2002, S.17.

⁵⁵ Vgl. Brasch, H.-J./Nonnenmacher, D. J. F., Credit Risk, 2000, S. 410.

⁵⁶ Vgl. Jorion, P., Value at Risk, 2001, S. 15 und Piaz, J.-M., Operational Risk Management, 2002, S.16.

⁵⁷ Vgl. Piaz, J.-M., E-Commerce, 2001, S. 1232.

⁵⁸ Vgl. Schierenbeck, H., Bankmanagement, 1999, S. 5-7. Siehe dort auch für eine nähere Defini- tion der einzelnen Liquiditätsrisiken. Insbesondere das Abrufrisiko ist vorwiegend banken- spezifisch.

⁵⁹ Vgl. Hussain, A., Operational Risk, 2000, S. 80.

⁶⁰ Vgl. Münchbach, D., Private Banking, 2001, S. 14.

⁶¹ Vgl. Cruz, M. G., Modeling, 2002, S. 287.

⁶² Vgl. Jorion, P., Value at Risk, 2001, S. 470 i.V.m. Hussain, A., Operational Risk, 2000, S. 88.

⁶³ Vgl. Brink, G. J. v. d., Betriebsrisiko, 2001, S. 4.

⁶⁴ Vgl. Beeck, H./Kaiser, T., Quantifizierung, 2000, S.638.

⁶⁵ Ebenda.

⁶⁶ Vgl. Abschnitt 2.1.2

⁶⁷ Vgl. Jovic, D., Eigenkapitalallokation, 1999, S. 39.

⁶⁸ Vgl. u.a. Adam, D., Produktion, 1998, S. 142.

⁶⁹ Vgl. Brink, G. J. v. d., Betriebsrisiko, 2001, S. 10 f.

⁷⁰ Daher wird in der Literatur häufig von Risiken durch Technologie und Systeme oder aber IT- System-Risiken gesprochen. Vgl. u.a. Hussain, A., Operational Risk, 2000, S. 83 f.; Münch- bach, D., Private Banking, 2001, S. 33 f. und Brink, G. J. v. d., Betriebsrisiko, 2001, S. 7-11.

⁷¹ Vgl. Piaz, J.-M., Operational Risk Management, 2002, S.57.

⁷² Vgl. Brink, G. J. v. d., Betriebsrisiko, 2001, S. 7.

⁷³ Vgl. Jovic, D., Eigenkapitalallokation, 1999, S. 39.

⁷⁴ Ebenda.

⁷⁵ Jovic, D., Eigenkapitalallokation, 1999, S. 39.

⁷⁶ Vgl. u.a. Brandner, A./Bruckner, B./Kanneberger, C. et al., Finanzdienstleistung, 2002, S. 406 und King, J. L., Operational Risk, 2001, S. 26.

⁷⁷ Vgl. Münchbach, D., Private Banking, 2001, S. 34 f.

⁷⁸ Die Risikotypen sind als Grundformen der Risikoarten zu verstehen, denen sie zugeordnet sind.

⁷⁹ Risikosubtypen haben hier aufgrund ihrer hohen Konkretion den Charakter von Beispielen für die Risikotypen, denen sie zugeordnet sind.

⁸⁰ Quelle: Modifiziert entnommen aus Piaz, J.-M., Operational Risk Management, 2002, S. 57.

⁸¹ Grund dafür sind u.a. Wechselwirkungen zwischen operationellen Risiken. Siehe dazu auch Abschnitt 2.3.3.2.

⁸² Vgl. Peachey, A., Finanzdesaster, 2002, S. 331.

⁸³ Vgl. Balduin, A. von, Operational VaR, 2003, S. 41.

⁸⁴ Vgl. Jovic, D., Eigenkapitalallokation, 1999, S. 79.

⁸⁵ Vgl. Uhlir, H./Aussenegg, W., VaR-Einführung, 1996, S. 832 i.V.m. Meyer, C., Value at Risk, 1999, S. 12.

⁸⁶ Vgl. Uhlir, H./Aussenegg, W., VaR-Einführung, 1996, S. 832.

⁸⁷ Ebenda.

⁸⁸ Vgl. Jovic, D., Eigenkapitalallokation, 1999, S. 82.

⁸⁹ Vgl. Uhlir, H./Aussenegg, W., VaR-Einführung, 1996, S. 832.

⁹⁰ Vgl. Jovic, D., Eigenkapitalallokation, 1999, S. 82.

⁹¹ Vgl. BIS, New Accord, 2003, S. 25 und 62.

⁹² Vgl. Balduin, A. von, Operational VaR, 2003, S. 41.

⁹³ Berechnung im Anhang.

⁹⁴ Quelle: Eigene Darstellung auf Basis des Beispiels in Anlehnung an Uhlir, H./Aussenegg, W., Value-at-Risk (VaR) - Einführung und Methodenüberblick, in: Österreichisches Bankarchiv, 44. Jg. (1996), S. 832.

⁹⁵ Vgl. Balduin, A. von, Operational VaR, 2003, S. 42.

⁹⁶ Ebenda.

⁹⁷ Vgl. Küchle, O./Müller, C., Umsetzung, 2001, S. 56.

⁹⁸ Vgl. Balduin, A. von, Operational VaR, 2003, S. 42.

⁹⁹ Vgl. Cruz, M. G., Modeling, 2002, S. 101.

¹⁰⁰ Vgl. Jovic, D./Piaz, J.-M., Erfolgsfaktor, 2001, S. 926 i.V.m. Böcker, U./Gröhn, P., RM- System, 2002, S. 378.

¹⁰¹ Vgl. Keck, W./Jovic, D., Management, 1999, S. 965. Anders z.B. Jörg, für die bereits Verluste, die den Mittelwert (µ) der Verteilung überschreiten unerwartete Verluste darstellen. Vgl. Jörg, M., Op-Risk, 2002, S. 78 f.

¹⁰² Quelle: In Anlehnung an Keck, W./Jovic, D., Management, 1999, S. 966 i.V.m. Jovic, D., Ei- genkapitalallokation, 1999, S. 123.

¹⁰³ Vgl. Gleißner, W., leistungsfähiges RM, 2002, S. 4.

¹⁰⁴ Vgl. Brink, G. J. v. d., Management-Zyklus, 2003, S. 27. ¹⁰⁵ Ebenda.

¹⁰⁶ Vgl. dazu auch Gleißner, W., leistungsfähiges RM, 2002, S. 5.

¹⁰⁷ Vgl. Gleißner, W./Meier, G., Risikoaggregation, 1999, S. 926.

¹⁰⁸ Vgl. Gleißner, W./Meier, G./Lienhard, H., Risikobewältigung, 2000, S. 316.

¹⁰⁹ Ebenda.

¹¹⁰ Strategien zur Risikobewältigung sind Risikovermeidung, -verminderung, -begrenzung, - transfer und das Selbsttragen von Risiken. Vgl. Gleißner, W./Meier, G./Lienhard, H., Risikobewältigung, 2000, S. 316. Siehe dazu auch Abschnitt 2.3.2.

¹¹¹ Vgl. Gleißner, W./Meier, G./Lienhard, H., Risikobewältigung, 2000, S. 316.

¹¹² Diese Ziele lassen sich nach Meinung des Verfassers auch auf andere Unternehmen übertragen.

¹¹³ Vgl. Brink, G. J. v. d., Management-Zyklus, 2003, S. 28 f. Inneffizienzen sind in diesem Zu- sammenhang als unnötig bestehende oder nicht angemessen bewältigte Risiken zu verstehen. Risiken bestehen unnötiger Weise, wenn sie zum einen vermeidbar sind und ihnen zum ande- ren keine oder nur unverhältnismäßig niedrige Gewinnchancen gegenüberstehen. Siehe dazu und zur Bewältigung von Risiken auch die Ausführungen in Abschnitt 2.3.2.

¹¹⁴ Vgl. Füser, K./Rödel, K./Kang, D., Operational Risk, 2002, S. 496.

¹¹⁵ Vgl. Piaz, J.-M., Operational Risk Management, 2002, S.25.

¹¹⁶ Vgl. Burger, A./Buchhart, A., Risiko-Controlling, 2002, S.31.

¹¹⁷ Vgl. dazu die Ausführungen in den Abschnitten 2.1.2, 2.1.3 und 2.1.4.

¹¹⁸ Vgl. Füser, K./Rödel, K./Kang, D., Operational Risk, 2002, S. 496.

¹¹⁹ Quelle: In Anlehnung an Füser, K./Rödel, K./Kang, D., Operational Risk, 2002, S. 496 und Piaz, J.-M., Operational Risk Management, 2002, S. 25.

¹²⁰ Vgl. Burger, A./Buchhart, A., Risiko-Controlling, 2002, S.31 f. Für eine nähe Betrachtung der Identifikationsphase und zu Methoden der Identifikation siehe z.B. Piaz, J.-., Operational Risk Management, 2002, S.75-98. Für Identifikationsprobleme siehe auch Abs. 2.3.3.1.

¹²¹ Vgl. Hölscher, R., Gestaltungsformen, 2000, S. 317

¹²² Vgl. Piaz, J.-M., Operational Risk Management, 2002, S. 101.Piaz nimmt jedoch keine Tren- nung der Bewertungs- und Aggregationsphase vor und bezieht sich daher nicht ausdrücklich auf Einzelrisiken.

¹²³ Zu den Schwierigkeiten und Problemen bei der Bewertung insbesondere von operationellen Risiken siehe Abschnitt 2.3.3.2.

¹²⁴ Vgl. Hölscher, R., Gestaltungsformen, 2000, S. 323.

¹²⁵ Siehe Abschnitt 2.3.1

¹²⁶ Korrelationen sind Beziehungen zwischen Risiken, über die diese sich (z.T. wechselseitig) bezüglich ihrer Eintrittswahrscheinlichkeit und Schadenshöhe beeinflussen. Zur Problematik von Korrelationen zwischen Risiken und deren Bestimmung siehe Abschnitt 2.3.3.2.

¹²⁷ Vgl. Gleißner, W., leistungsfähiges RM, 2002, S. 4 f.

¹²⁸ Vgl. z.B. Romeike, F., IT Risiken, 2000, S. 608 und Piaz, J.-M., Operational Risk Management, 2002, S.24 f.

¹²⁹ Vgl. Schierenbeck, H., Bankmanagement, 1999, S. 62 und S. 128.¹³⁰ Vgl. Schierenbeck, H., Bankmanagement, 1999, S. 62.

¹³¹ Vgl. Brink, G. J. v. d., Betriebsrisiko, 2001, S. 15.

¹³² Vgl. Gleißner, W./Meier, G./Lienhard, H., Risikobewältigung, 2000, S. 316 f.

¹³³ Ebenda.

¹³⁴ Vgl. Romeike, F., IT Risiken, 2000, S. 610.