Erfolgsfaktoren bei der Konzeption von Risikomanagementsystemen für Banken

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung und Zielsetzung
1.2 Gang der Untersuchung

2 Definitorische Grundlagen und Vorgehensweise
2.1 Risikomanagement
2.1.1 Risikoarten
2.1.2 Risikomanagementprozess
2.1.3 Risikomanagementinformationssysteme
2.1.4 Risikomanagement und Risikocontrolling
2.2 Vorgehensweise zur Identifikation kritischer Erfolgfaktoren
2.2.1 Kritische Erfolgsfaktoren
2.2.2 Konzeptionelles Vorgehen zur Analyse kritischer Erfolgsfaktoren

3 Modell und Zielkriterien zur Erfolgsfaktoranalyse
3.1 Allgemeines Analysemodell zur Informationssystemkonzeption
3.2 Anwendung des Modells auf Kreditrisikomanagementsysteme
3.2.1 Umwelt eines Kreditrisikomanagementsystem
3.2.1.1 Individuelle Rahmenbedingungen
3.2.1.2 Organisatorische Rahmenbedingungen
3.2.1.3 Gesetzliche und aufsichtliche Rahmenbedingungen
3.2.1.4 Technologische Rahmenbedingungen
3.2.2 Konzeption von Kreditrisikomanagementsystemen
3.2.2.1 Komponenten eines Kreditrisikomanagementsystems
3.2.2.2 Berechnung der Eigenkapitalunterlegung im Kreditrisikomanagementsystem nach Basel II
3.2.3 Wissensbasis von Kreditrisikomanagementsystemen
3.3 Ableitung von Zielkriterien aus dem Analysemodell

4 Identifikation und Analyse der Erfolgsfaktoren für Kreditrisikomanagementsysteme
4.1 Erfolgsfaktoren für die Informationssystemkonzeption
4.1.1 Methodik der Erfolgsfaktoridentifikation
4.1.2 Erfolgsfaktoren der vier Schlüsselbereiche
4.1.2.1 Erfolgsfaktoren des Schlüsselbereichs Service
4.1.2.2 Erfolgsfaktoren des Schlüsselbereichs Kommunikation
4.1.2.3 Erfolgsfaktoren des Schlüsselbereichs Personal
4.1.2.4 Erfolgsfaktoren des Schlüsselbereichs Positionierung
4.1.3 Erfolgsfaktoren des Projektmanagements
4.2 Analyse der Erfolgsfaktoren für Kreditrisikomanagementsysteme
4.2.1 Analyse von Erfolgsfaktoren
4.2.2 Unterscheidung in kritische und nicht-kritische Erfolgsfaktoren

5 Zusammenfassung und Ausblick
5.1 Zusammenfassung der Ergebnisse und Ausblick
5.2 Aktuelle Entwicklung der Erfolgsfaktorenforschung
5.3 Kritische Würdigung und Weiterer Forschungsbedarf

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Erfolgsrisiken

Abbildung 2: Stufen des Risikomanagementprozesses

Abbildung 3: Klassifikation von Informationssystemen

Abbildung 4: Analysemodell für die Informationssystemkonzeption

Abbildung 5: Die drei Säulen von Basel II

Abbildung 6: Komponenten eines Kreditrisikomanagementsystems

Abbildung 7: Mögliche Erfolgsfaktoren für die Informationssystemkonzeption

Abbildung 8: Erfolgsfaktoren für die Konzeption von KRMS

Abbildung 9: Erfolgsfaktorkategorien für die Konzeption von KRMS

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung und Zielsetzung

Neue gesetzliche und regulatorische Auflagen zwingen die Banken, ihr bisheriges Risikomanagement grundlegend zu überarbeiten und neue Risikomanagementsysteme zu implementieren. Insbesondere die neue Baseler Eigenkapitalvereinbarung (Basel II), aber auch andere gesetzliche Neuerungen, führen dazu, dass neue Risikomanagementsysteme für Banken benötigt werden. Über die Höhe der erwarteten Investitionen besteht hierbei große Unsicherheit.^[1] Der Markt für Risikomanagementlösungen wächst daher stetig und deren Anbieter arbeiten mit Hochdruck an der Entwicklung neuer Systeme, die den aktuellen Anforderungen gerecht werden. Gerade der Bereich des Kreditrisikomanagements hat in den letzten Jahren stark an Bedeutung gewonnen. Aus diesem Grund ist, im Gegensatz zu Marktrisikomanagementsystemen, die Entwicklung von Kreditrisikomanagementsystemen noch nicht so weit fortgeschritten, obwohl diese

ebenso bedeutend sind.^[2]

Neben der Erfüllung der aufsichtsrechtlichen Anforderungen haben auch die Banken ein verstärktes Interesse an der Verbesserung ihrer Risikomanagementsysteme und Risikomanagementinfrastruktur.^[3] Während in der Vergangenheit Kreditausfälle als ein immanentes Risiko des Bankgeschäfts angesehen wurden, welche durch die Erträge des Kreditgeschäfts aufgefangen wurden, hat sich diese Sichtweise in den letzten Jahren stark abgewandelt. Die wirtschaftliche Entwicklung der vergangenen Jahre hat in Deutschland Schwachstellen der Kreditversorgung aufgezeigt.^[4] Die Risikovorsorge und die Quersubventionierung des Kreditgeschäfts durch andere, profitablere Geschäftsbereiche nahmen bisher ungekannte Ausmaße an. Der Wegfall dieser Geschäftsbereiche erhöhte den Handlungsdruck deutscher Banken im Bereich des Kreditrisikomanagements noch weiter.^[5] Infolgedessen haben die Banken ihre Kreditvergabepraxis geändert und in den letzten Jahren deutlich weniger Kredit vergeben. Dennoch erzielen deutsche Banken bis heute keine positiven Erträge im Kreditgeschäft.^[6] Daraus ergibt sich für die Kreditinstitute das Ziel die Kredite in Zukunft effizient zu bepreisen und handelbar zu machen. Die Grundlage dafür bieten verbesserte, effiziente Kreditrisikomanagementsysteme.^[7]

Aufgrund der zentralen Bedeutung von Kreditrisikomanagementsystemen bedarf es somit der Identifikation der für den Erfolg der Konzeption maßgeblichen Faktoren. Diese Erfolgsfaktoren bilden die Basis für eine zielorientierte und anforderungskonforme Konzeption. Deshalb ist es das Ziel der vorliegenden Arbeit, die kritischen Erfolgsfaktoren bei der Konzeption von DV-gestützten Kreditrisikomanagementsystemen für deutsche Banken zu analysieren.

1.2 Gang der Untersuchung

Zur Analyse der kritischen Erfolgsfaktoren bei der Konzeption von DV-gestützten Kreditrisikomanagementsystemen erfolgt im Anschluss an die thematische Einführung im zweiten Kapitel eine definitorische Abgrenzung des Risikomanagements und der dafür zentralen Elemente und Begriffe (2.1). Zudem werden kritische Erfolgsfaktoren definiert und ein konzeptionelles Vorgehensmodell zur Identifikation von Erfolgsfaktoren vorgestellt (2.2).

Für die Analyse der Erfolgsfaktoren werden im dritten Kapitel ein Analysemodell und Zielkriterien für die Konzeption von Kreditrisikomanagementsystemen hergeleitet (3.1). Dazu wird zunächst ein allgemeines Analysemodell für die Konzeption von Informationssystemen vorgestellt. Anschließend werden durch dieses Modell die Rahmenbedingungen und der Konzeptionsprozess analysiert (3.2). Basierend darauf werden dann die Zielkriterien für die Konzeption von Kreditrisikomanagementsystemen abgeleitet, mit deren Hilfe die Bedeutung der einzelnen Erfolgsfaktoren erörtert werden kann (3.3).

Im vierten Kapitel wird, ausgehend von der relevanten Literatur, zunächst ein Pool von möglichen Erfolgsfaktoren für Informationssysteme erarbeitet. Es werden die möglichen Erfolgsfaktoren für die Konzeption von Kreditrisikomanagementsystemen erläutert (4.1). Im Anschluss daran werden daraus die Erfolgsfaktoren für die Konzeption von Kreditrisikomanagementsystemen unter Einbeziehung des Analysemodells herausgefiltert. Davon ausgehend werden anhand der identifizierten Zielkriterien die kritischen Erfolgsfaktoren analysiert (4.2).

Das fünften Kapitel fasst die zentralen Ergebnisse der Arbeit zusammen und gibt einen Ausblick für die Bedeutung der identifizierten Erfolgsfaktoren (5.1). Darauf folgt ein Überblick über die aktuelle Diskussion um die Erfolgsfaktorenforschung (5.2). Abschließend findet eine kritische Betrachtung der angewandten Vorgehensweise sowie ein Ausblick für den weiteren Forschungsbedarf, der ausgehend von dieser Arbeit festgestellt werden konnte, statt (5.3).

2 Definitorische Grundlagen und Vorgehensweise

2.1 Risikomanagement

2.1.1 Risikoarten

Die einschlägige Literatur weist eine Vielzahl von Definitionen für Risiko auf.^[8] Diese variieren in der Regel in Abhängigkeit vom Schwerpunkt der jeweiligen Arbeit. Allgemein kann allerdings festgestellt werden, dass ein Risiko darin besteht, dass die verfolgten Ziele durch ein eintretendes Ereignis beeinflusst werden. Die Höhe des Risikos kann anhand der Kombination aus der Wahrscheinlichkeit einer Verlustentstehung und der Verlusthöhe bestimmt werden.^[9] Allerdings stellen Risiken gleichzeitig auch immer Chancen dar. Deshalb gilt Risikobereitschaft als notwendige Grundlage des unternehmerischen Handelns.^[10]

Grundsätzlich existieren unterschiedliche Möglichkeiten, Risiken zu klassifizieren.^[11] Bei Betrachtung der Risiken in der Bankenbranche ist es dabei sinnvoll, zunächst zwischen Finanzrisiken und operationellen Risiken zu unterscheiden. Dabei beziehen sich die finanzwirtschaftlichen Risiken auf Finanzströme und umfassen somit den gesamten Werbebereich. Die operationellen Risiken sind hingegen Risiken, welche sich auf den Betriebsbereich beziehen.^[12]

Operationelle Risiken werden weiter in operative und strategische Risiken unterteilt. Die operativen Risiken gliedern sich nochmals in Technikrisiken und Verhaltensrisiken. Technikrisiken bestehen darin, dass Probleme in der Kommunikations- oder Informationstechnologie auftreten können. Verhaltensrisiken bestehen dagegen darin, dass dem Unternehmen durch Handlungen von Mitarbeitern oder fremden Dritten ein Verlust entsteht. Die strategischen Risiken umschließen Investitionsrisiken und Ereignisrisiken. Investitionsrisiken bestehen beispielsweise in einem fehlerhaften Auf- oder Abbau von Produkten oder Geschäftsfeldern, während Ereignisrisiken rechtliche und regulatorische Aspekte berücksichtigen.^[13]

Finanzwirtschaftliche Risiken entstehen durch die Aktivitäten der Unternehmen auf den Finanzmärkten und können zu finanziellen Verbindlichkeiten führen. Sie sind in Erfolgsrisiken und Liquiditätsrisiken zu unterscheiden. Erfolgsrisiken sind dabei solche Risiken, die den Geschäftserfolg beeinflussen, während Liquiditätsrisiken sich liquiditätsmindernd auswirken können. Die Erfolgsrisiken sind, wie in Abbildung 1 gezeigt, die Marktrisiken und Kreditrisiken.^[14]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Erfolgsrisiken

In Anlehnung an: Ott (2001), S. 10.

Marktrisiken sind auf allgemeine Marktbewegungen zurückzuführen und begründen somit die Gefahr eines Verlusts aus Marktpreisschwankungen. Das Kreditrisiko ist in das spezifische Aktienkurs- und Zinsänderungsrisiko sowie in das Ausfallrisiko zu unterscheiden. Das spezifische Aktienkurs- und Zinsänderungsrisiko beruht zwar auf individuellen Marktpreisänderungen, wird jedoch aufgrund seines spezifischen Charakters dem Kreditrisiko zugerechnet.^[15] Rechtlich gesehen werden diese Risiken, da sie auf Marktpreisschwankungen beruhen, zum Handelsbuch und somit zu den Marktpreisrisikopositionen gezählt.^[16] Das Ausfallrisiko zeichnet sich dadurch aus, dass die Gegenpartei die vereinbarten Zahlungsverpflichtungen gar nicht oder nur teilweise erfüllt.^[17] Im Gegensatz zum spezifischen Aktienkurs- und Zinsänderungsrisiko wird das Ausfallrisiko zum Anlagebuch gezählt und bildet die Risikoaktiva des Kreditinstituts.^[18]

2.1.2 Risikomanagementprozess

Erfolgreiches Risikomanagement ist in jedem Unternehmen eine Grundvoraussetzung für dessen Fortbestand. Risikomanagement ist die systematische Anwendung von Managementpolitik, -methoden und -praktiken durch Identifikation, Analyse, Bewertung und Risikosteuerung. Dieser in Abbildung 2 dargestellte Prozess wird durch eine ständige Überwachung und Überprüfung begleitet und basiert auf der Einbeziehung und Kommunikation aller Beteiligten.^[19]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Stufen des Risikomanagementprozesses

In Anlehnung an: Standards Association of Australia (1999), S. 8.

Der Australian Standard/New Zealand Standard 4360:1999 – Risk Management, ein gesetzlicher Standard für das Risikomanagement, verlangt im ersten Schritt zusätzlich die Definition eines Risikomanagementkontextes. Dieser Kontext legt somit den Rahmen für das Risikomanagement fest.^[20] Dadurch soll sichergestellt werden, dass der Risikomanagementprozess auf die Risikostrategie und Risikopolitik des Unternehmens abgestimmt ist und entsprechende Zielvorgaben zur Risikobewertung und Risikosteuerung bestimmt wurden.^[21]

Das ermöglicht dann im nächsten Schritt eine strukturierte Identifizierung von Risiken. Dieser Schritt ist im Risikomanagement als kritisch anzusehen, da nur zuvor identifizierte Risiken erfolgreich kontrolliert und gesteuert werden können.^[22]

Darauf folgen Analyse und Bewertung der Risiken. Im Management von finanzwirtschaftlichen Risiken, wie z. B. dem Kreditrisiko, geschieht dies unter Anwendung von Risikomodellen, die verfügbare relevante Daten auswerten.^[23] Ein solches Modell stellt beispielsweise der 1993 eingeführte Value-at-Risk (VaR) dar, der sich inzwischen als Standard zur Bewertung von Marktrisiken durchgesetzt hat.^[24] Zur aufsichtlichen Berechnung der Eigenkapitalunterlegung der Kreditrisiken stehen den Banken nach Basel II nun auch auf internen Ratings basierte Ansätze (IRB-Ansätze) zur Verfügung. Dadurch soll ein Anreiz für die Verbesserung der Kreditrisikomanagementsysteme geschaffen somit eine Stabilisierung des Bankensektors erreicht werden.^[25]

Die letzte Stufe im Risikomanagementprozess besteht in der Risikokontrolle und Risikosteuerung. Dadurch wird, im Rahmen einer wertorientierten Gesamtbanksteuerung, eine adäquate Steuerung des Gesamtrisikos der Bank und der Teilrisiken der einzelnen Bereiche in Einklang mit der Risikopolitik und Risikostrategie erreicht. Dies führt letztendlich zu einer effizienten Kapitalallokation und folglich einer besseren Wettbewerbsfähigkeit der Bank.^[26]

Dazu kommen über alle Stufen des Risikomanagementprozesses hinweg zwei Begleitprozesse. Zum einen ist dies die angemessene Kommunikation und Beratung mit internen und externen Stakeholdern auf jeder Stufe des Risikomanagementprozesses, die in Bezug auf den Gesamtprozess für die notwendige Transparenz und Akzeptanz des Risikomanagements sorgt. Zum anderen stellt eine standardisierte Überwachung und Überprüfung notwendige Anpassungen und Veränderungen des Prozesses sicher und garantiert somit die langfristige Performance des Risikomanagementprozesses.^[27]

2.1.3 Risikomanagementinformationssysteme

Betriebliche Informationssysteme umfassen die zur Informationsversorgung von Entscheidungsträgern notwendigen informationellen und kommunikativen Prozesse.^[28] Dabei werden Betriebliche Informationssysteme, wie in Abbildung 3 gezeigt, in Administrations- und Dispositionssysteme (ADS) und Entscheidungsunterstützungssysteme (EUS) unterschieden. Diese Klassifizierung orientiert sich an der Unternehmenshierarchie. So werden ADS vor allem im operativen Bereich zur Abwicklung der laufenden Geschäfte eingesetzt. EUS dienen zur Entscheidungsvorbereitung von Entscheidungsträgern der oberen Hierarchieebenen und basieren auf der Verwendung von Daten, Methoden und Modellen.^[29]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Klassifikation von Informationssystemen

Quelle: Hemmersmeier/Romeike (2001), S. 3.

Risikomanagementinformationssysteme sind rechnergestüzte, daten-, methoden- und modellorientierte EUS. Sie unterstützen das Risikomanagement und die Unternehmensführung bei strategischen und operativen Entscheidungen. Um die einzelnen Stufen des Risikomanagementprozesses unterstützen zu können, ist es notwendig, dass die richtigen Informationen zum richtigen Zeitpunkt am richtigen Ort und in angemessener Weise verfügbar sind. Hierbei ist es notwendig, vergangene und aktuelle Daten zu speichern, Risikoanalysen durchzuführen, Handlungsalternativen zu beurteilen, Auswirkungen geplanter Maßnahmen abzuschätzen und den Erfolg durch Soll-Ist-Vergleiche zu überprüfen. Diese Erfassung, Speicherung, Verarbeitung und Bereitstellung von Daten und Informationen wird von der verwendeten Informationstechnologie (IT) unterstützt und ist zum Teil automatisiert.^[30]

Risikomanagementinformationssysteme sind in der Regel modular aufgebaut und enthalten Datenbanken Methodenbanken sowie Modellbanken, die von den jeweiligen Aufgaben abhängig sind. Somit umfassen Risikomanagementinformationssysteme die Erfassung von Daten in Datenbanken bzw. einem Datawarehouse, deren Verarbeitung durch Simulationen, Methoden und Modelle sowie einer Bereitstellung von Berichten und Informationen zur Entscheidungsunterstützung.^[31] Der genaue Aufbau von Kreditrisikomanagementsystemen wird in Kapitel 3 dargestellt und erläutert. Daran anknüpfend werden mögliche Erfolgsfaktoren identifiziert und auf ihre Bedeutung hin analysiert.

2.1.4 Risikomanagement und Risikocontrolling

Eine einheitliche organisatorische Abgrenzung von Risikomanagement und Risikocontrolling existiert in der einschlägigen Literatur nicht. So wird einerseits das Risikomanagement als Teil des Controllings angesehen und andererseits existieren Ansätze, die das Risikocontrolling dem Risikomanagement unterordnen. Deshalb erscheint an dieser Stelle eine funktionale Abgrenzung der beiden Begriffe sinnvoll.^[32]

Das Risikomanagement stellt einen Teil der Unternehmensführung dar. In dieser Funktion besteht seine Aufgabe in der Absicherung der Überschüsse aus der Leistungserstellung und der Leistungsverwertung gegen Risiken. Das Ziel besteht darin, das Unternehmen risikooptimal zu positionieren. Dies bedeutet, dass das Risiko-Exposure des Unternehmens mit der Risikopolitik und Risikostrategie, die von den Präferenzen der Entscheidungsträger abhängen, in Einklang gebracht werden muss. Als Bestandteil der wertorientierten Unternehmensführung ist es die strategische Aufgabe des Risikomanagements, Risiken zu begrenzen und gleichzeitig den Ertrag zu optimieren.^[33]

Im Gegensatz dazu besteht die Aufgabe des Controllings im Allgemeinen in der Entscheidungsunterstützung.^[34] Die Aufgabe des Risikocontrollings besteht folglich in der methodischen, instrumentellen und informatorischen Unterstützung des Risikomanagements. Dadurch soll die Unternehmensführung ein Bild des Ist-Zustandes erhalten und bei der Risikoplanung, Risikosteuerung und Risikokontrolle unterstützt werden.^[35] Außerdem soll durch eine kontinuierliche und systematische Überwachung der Risikoposition des Unternehmens die frühzeitige Erkennung von Gefahrenpotenzialen ermöglicht werden. So können Handlungsspielräume geschaffen werden, so dass die Erreichung der Unternehmensziele nicht gefährdet wird.^[36]

Neben der Führungsunterstützung gehören außerdem noch die Koordinationsfunktion sowie die Innovations- und Anpassungsfunktion zu den Aufgaben des Risikocontrollings. Dabei besteht die Koordinationsfunktion in der Bildung und Kopplung von Führungsteilsystemen, die eine Erfassung, Bewertung und Steuerung von Risiken ermöglichen. Die Innovations- und Anpassungsfunktion besteht in der Identifikation neuer Risiken, der daraus resultierenden Anpassung und der Weiterentwicklung der Führungsteilsysteme.^[37]

Nach dieser Auffassung stellt das Risikocontrolling selbst keine Führungsaufgabe dar. Es hat allerdings die Aufgabe, die Unternehmensführung durch die Bereitstellung von Informationen und ein adäquates Reporting bei deren Entscheidungen zu unterstützen. Deshalb kann davon ausgegangen werden, dass für das Risikocontrolling, als verantwortliche Instanz der EUS im Risikomanagement, die Erfolgsfaktoren bei der Konzeption von Kreditrisikomanagementsystemen besonders relevant sind.^[38] Dies geht allerdings über eine reine Entscheidungsunterstützungsfunktion des Risikocontrollings hinaus und zeigt die Bedeutung der Rationalitätssicherung der Führung als zentrale Aufgabe des Controllings auch im Bereich des Risikomanagements.^[39]

2.2 Vorgehensweise zur Identifikation kritischer Erfolgfaktoren

2.2.1 Kritische Erfolgsfaktoren

Der Begriff „Erfolgsfaktor“ geht auf eine Arbeit über die Managementinformationskrise aus dem Jahr 1961 zurück.^[40] Anschließend wurde dieser Ansatz vom Massachusetts Institute of Technology (MIT) zur Methode der kritischen Erfolgsfaktoren weiterentwickelt. Die zugrunde liegende Definition für kritische Erfolgsfaktoren lautet: „Critical success factors thus are, for any business, the limited number of areas in which results, if they are satisfactory, will ensure successful competitive performance for the organization. They are the few key areas where things must go right for the business to flourish. (…) As a result, the critical success factors are areas of activity that should receive constant and careful attention from the management.”^[41] Daran lehnt sich auch die deutschsprachige Definition Rehkuglers an, der Erfolgsfaktoren als „Einflussgrößen und Bedingungen, die für Erfolg und Misserfolg unternehmerischen Handelns bestimmend sind“,^[42] versteht.

Die Ursachen des Erfolgs oder Misserfolgs eines Systems sind jedoch in aller Regel mehrdimensional und multikausal. Die daraus resultierende Komplexität ist folglich schwer beherrschbar und der Erfolg auf dieser Basis nicht steuerbar. Deshalb versucht die Erfolgsfaktorenforschung, diese Komplexität zu reduzieren. Dies geschieht durch die Identifikation einiger weniger Faktoren, die zentral für den Gesamterfolg bzw.

-misserfolg maßgeblich sind.^[43]

Da die Erfolgsfaktoren situativ geprägt sein können, kommt der Ermittlung und Analyse der Rahmenbedingungen eine hohe Bedeutung zu.^[44] Zudem können Erfolgsfaktoren grundsätzlich in kritische und nicht-kritische Erfolgsfaktoren unterschieden werden. Unter kritischen Erfolgsfaktoren sind solche Wirkungsbereiche zu verstehen, die für den Gesamterfolg des Unternehmens bzw. Systems primär von Bedeutung sind.^[45] Erfolgsfaktoren können sich gegenseitig sowohl positiv als auch negativ beeinflussen und sind somit nicht disjunkt. Die identifizierten Erfolgsfaktoren können dann in Abhängigkeit davon, ob es sich um Erfolgs- oder Misserfolgsfaktoren handelt, beeinflusst werden, so dass wirtschaftliche und unternehmerische Entscheidungen mit einer höheren Wahrscheinlichkeit zu dem gewünschten Ergebnis führen.^[46]

2.2.2 Konzeptionelles Vorgehen zur Analyse kritischer Erfolgsfaktoren

Das konzeptionelle Vorgehen zur Analyse der kritischen Erfolgsfaktoren basiert auf dem umfassenden Ansatz Bahlmanns.^[47] Dessen Konzept für die Ermittlung und die

Analyse von Rahmenbedingungen zur Bestimmung kritischer Erfolgsfaktoren berücksichtigt eine Vielzahl unterschiedlicher Methodiken und wurde selbst bereits mehrfach als Grundlage zur Entwicklung methodischer Ansätze verwendet.^[48] Deshalb wird die Vorgehensweise Bahlmanns für die Analyse kritischer Erfolgsfaktoren in diesem Abschnitt vorgestellt und dient auch dieser Arbeit als Grundlage.

Dazu wird das Kreditrisikomanagementsystem in Kapitel 3 zunächst anhand eines Modells analysiert und spezifiziert. Davon ausgehend werden im Anschluss die Anforderungen und Ziele des Kreditrisikomanagementsystems ermittelt.^[49]

Daran schließt die Herleitung von möglichen Erfolgsfaktoren für die Konzeption von Informationssystemen aus der Literatur an. Dadurch sollen die weitreichenden informationstechnologischen Ausprägungen der Managementinformationssysteme sowie der Projektcharakter der Konzeption angemessen berücksichtigt werden.^[50] Diese Ansammlung von Erfolgsfaktoren wird in einem Pool systematisiert dargestellt und anschließend in nicht-kritische Erfolgsfaktoren und kritische Erfolgsfaktoren des Kreditrisikomanagementsystems unterschieden.^[51]

Zunächst wird daher betrachtet, welche Erfolgsfaktoren überhaupt für die Konzeption eines Kreditrisikomanagementsystems kritisch sein können und die übrigen Erfolgsfaktoren werden ausgeschlossen. Dabei werden insbesondere die in Abschnitt 3.2.1 identifizierten Anforderungen und Determinanten für Kreditrisikomanagementsysteme berücksichtigt. Hierauf erfolgt der Ausschluss der Erfolgsfaktoren, die unter Einbeziehung der durch das Analysemodell aufgezeigten Wirkungszusammenhänge nur unzureichend zur Erreichung der in Abschnitt 3.3 abgeleiteten Zielkriterien für Kreditrisikomanagementsysteme beitragen. Zuletzt erfolgt dann eine Analyse der kritischen Erfolgsfaktoren unter Berücksichtigung ihres Einflusses auf die Zielerreichung sowie möglicher Wechselwirkungen und Zielkonflikte.^[52]

3 Modell und Zielkriterien zur Erfolgsfaktoranalyse

3.1 Allgemeines Analysemodell zur Informationssystemkonzeption

Die Bedeutung der Konzeption von Informationssystemen ist in der einschlägigen Literatur unumstritten.^[53] Deshalb ist die Relevanz der Informationssystemforschung unmittelbar davon abhängig, inwiefern deren Erkenntnisse auf die Konzeption von Informationssystemen übertragen werden können.^[54] Zudem bedarf es nach Hevner et al. der zusätzlichen Einbeziehung der Verhaltensforschung.^[55] Dadurch können die grundlegenden Probleme bei der Anwendung von Informationstechnologie bewältigt werden. Darum sind Technologie und Verhalten in Informationssystemen als untrennbar anzusehen und dürfen in der Informationssystemforschung nicht getrennt betrachtet werden.^[56] Dies bildet die Basis des Analysemodells nach Hevner et al., das die Paradigmen aus Konzeptionsforschung und Verhaltensforschung berücksichtigt. So ermöglicht dieses in Abbildung 4 dargestellte Modell Verständnis, Durchführung und Bewertung der Informationssystemkonzeption.^[57]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Analysemodell für die Informationssystemkonzeption

In Anlehnung an: Hevner et al. (2004), S. 80.

Das Modell unterscheidet dabei zwischen den drei Dimensionen „Umwelt“, „Informationssystemforschung“ und „Wissensbasis“. Die Umwelt beinhaltet die Ziele, Aufgaben, Probleme und Chancen des Informationssystems und steckt damit den relevanten Rahmen des Informationssystems ab. Die Umwelt wird dabei von den Mitarbeitern, der Organisation und der Technologie bestimmt. So nehmen die Mitarbeiter unter anderem durch ihre Rollen, ihre Fähigkeiten und ihre Charakteristika Einfluss auf die Rahmbedingungen des Informationssystems. Die Organisation gibt vor allem durch ihre Strategie, ihre Struktur, ihre Kultur und ihre Prozesse weitere Rahmenbedingungen vor. Außerdem sind noch gesetzliche Rahmenbedingungen zu berücksichtigen, die unkontrollierbare Umweltfaktoren für die Organisation darstellen.^[58] Da die gesetzlichen und aufsichtlichen Rahmenbedingungen für Risikomanagementsysteme, wie einleitend in Kapitel 1 beschrieben, allerdings der Hauptgrund für die grundlegenden Neuerungen des Risikomanagements für Banken sind und über übliche gesetzliche Rahmenbedingungen wie Datenschutzbestimmungen oder Rechnungslegungsvorschriften weit hinausgehen, stellen diese hier einen weiteren wesentlichen Umweltfaktor dar. Hinzu kommt die Technologie, die beispielsweise durch bestehende Infrastruktur, Anwendungen, Kommunikationsarchitektur und technologische Entwicklungsmöglichkeiten die Rahmenbedingungen mitgestaltet. Zusammengefasst ergeben diese Umweltfaktoren des Informationssystems schließlich die relevanten Rahmenbedingungen für das Informationssystem.^[59]

Die Wissensbasis bietet die Grundbausteine für die Informationssysteme. Diese sind nun stringent in das Informationssystem einzubringen. Die Wissensbasis besteht aus Grundlagen und Methodiken. Grundlagen von Risikomanagementinformationssystemen bilden beispielsweise Modelle, Methoden und Daten.^[60] Die Methodiken setzen sich unter anderem aus Datenanalysen, Techniken, Formalismen und Validierungskriterien zusammen. Die Wissensbasis definiert somit das im Informationssystem anwendbare Wissen der Organisation.^[61]

Im Rahmen der Informationssystemforschung soll unter Berücksichtigung der Konzeptionsforschung einerseits und der Verhaltensforschung andererseits ein Managementinformationssystem konstruiert und entwickelt werden. Ziel der Verhaltensforschung ist es, Theorien zu entwickeln und zu begründen, die in Abhängigkeit von den Rahmenbedingungen Phänomene erklären oder vorhersagen können. Die Konzeptionsforschung hat das Ziel, Nutzen zu schaffen. Dies geschieht durch die Konstruktion und Bewertung von Artefakten, die die Anforderungen erfüllen.^[62]

Artefakte sind nach Hevner et al. Lösungen für bedeutende Problemstellungen der Organisation. Dazu müssen diese in dem entsprechenden Bereich der Organisation implementierbar und anwendbar sein. Die Entwicklung und Verwendung eines IT-Artefakts basiert auf Beschreibungen, Konstrukten, Methoden und Modellen. Menschen oder Elemente der Organisation gehören dagegen nicht zum Artefakt. Zwar sind die Artefakte nicht unabhängig von Menschen, der Organisation und dem sozialen Umfeld, in dem sie eingesetzt werden, allerdings liegt der Schwerpunkt der Konzeptionsforschung auf den Einsatzmöglichkeiten und der Entwicklung von Methoden und Modellen. Zwar soll eine grundsätzliche Implementierbarkeit des Artefakts gegeben sein, jedoch wirft dies zusätzliche Probleme auf, welche bei der Konzeption nicht immer ausreichend berücksichtigt werden können.^[63] Da die vorliegende Arbeit aber nur die kritischen Erfolgsfaktoren der Konzeption von Kreditrisikomanagementsystemen analysiert, werden Implementierungserfolgsfaktoren beim weiteren Vorgehen nicht berücksichtigt

Die Erkenntnisse aus der Konzeptionsforschung und der Verhaltensforschung beeinflussen sich gegenseitig und sind dadurch voneinander abhängig. So kann, ausgehend von einem nützlichen Artefakt, eine Theorie entwickelt werden oder eine Theorie die Grundlage zur Konzeption eines Artefakts bilden. In beiden Fällen werden durch den Schritt der Begründung bzw. Bewertung Schwächen des Artefakts und der Theorien entdeckt. Diese Begründung oder Bewertung kann entweder durch analytisches oder empirisches Vorgehen, z. B. anhand von Simulationen oder Studien, geschehen. Daraufhin erfolgen eine Verfeinerung und eine erneute Bewertung. Dies führt schließlich zu einer verbesserten Anforderungserfüllung durch Artefakte sowie zu einer durch Theorien verbesserten Wissensbasis.^[64]

Dieses Modell bildet einen allgemeinen Rahmen zur Konzeption von IT-Artefakten. Da ein Kreditrisikomanagementsystem zum Ziel hat, Nutzen durch eine Verbesserung des Kreditrisikomanagements der Kreditinstitute zu schaffen, stellt es ein Artefakt im Sinne dieses Modells dar. Um jedoch anhand dieses Modells kritische Erfolgsfaktoren für Kreditrisikomanagementsysteme ableiten zu können, ist es notwendig, im Folgenden die vorgegebenen Dimensionen auf Kreditrisikomanagementsysteme zu übertragen und deren spezifischen Charakteristika zu erfassen.

3.2 Anwendung des Modells auf Kreditrisikomanagementsysteme

3.2.1 Umwelt eines Kreditrisikomanagementsystem

3.2.1.1 Individuelle Rahmenbedingungen

Die von den Mitarbeitern vorgegebenen Rahmenbedingungen werden im Allgemeinen durch deren Rolle innerhalb der Organisation bestimmt.^[65] Dazu sind zunächst die unterschiedlichen Interessensgruppen innerhalb der Organisation zu identifizieren, die Anforderungen an das Kreditrisikomanagementsystem stellen. Zunächst können hierbei die Gesamtbankebene, die Geschäftseinheitsebene und die Händlerebene differenziert werden.^[66]

Auf Gesamtbankebene bildet die durch die Geschäftsleitung vorgegebene Strategie die Grundlage der wertorientierten Gesamtbanksteuerung. Die Verantwortlichkeit für die adäquate Umsetzung des in Abschnitt 2.1.2 beschriebenen Risikomanagementprozesses teilen sich das Risikomanagement^[67] und das Risikocontrolling (wie in Abschnitt 2.1.4 erläutert). Die Berichte für die oberste Managementebene müssen somit die organisationsweiten Gesamtrisiken betrachten. Dazu sollten sie Kennzahlen wie Volatilitäten des Gesamtergebnisses, Risikokonzentrationen über Geschäftseinheiten hinweg sowie Überprüfungen des Risikomanagementsystems umfassen. Zusätzlich zu den Kennzahlen sind ergänzende schriftliche Kommentare zu den täglichen Berichten von Nutzen.^[68]

Auf Geschäftsbereichsebene wollen die Bereichsverantwortlichen einen aggregierten Bericht über ihre Handelsbereiche erhalten. Dieser soll insbesondere risikoreiche Ausreißer, hohe Risiko-Exposures sowie Informationen über die Renditen der einzelnen Bereiche enthalten, um das Risiko effizient steuern zu können. Die Händler benötigen dagegen eher detaillierte Risikoberichte über einzelne Positionen.^[69] Abschließend bleibt zu erwähnen, dass die IT-Abteilung der Organisation zusätzliche Anforderungen stellt, die aus den Rahmenbedingungen der IT-Infrastruktur entstehen. Allerdings sind bei der Konzeption von Kreditrisikomanagementsystemen vor allem die schnelle fachliche, organisatorische und aufsichtlich korrekte Umsetzung der Anforderungen von herausragender Bedeutung. Die IT-Infrastruktur wird aufgrund des technologischen Fortschritts immer leistungsfähiger und unterliegt somit einem stetigen Wandel.^[70]

3.2.1.2 Organisatorische Rahmenbedingungen

Für die Organisation stellen sich neben gesetzlichen und aufsichtlichen Rahmenbedingungen, die in Abschnitt 3.2.1.3 erläutert werden, zusätzliche interne Rahmenbedingungen. Strategie, Struktur, Kultur und bestehende Prozesse der Organisation bilden einen Rahmen, anhand dessen die geschäftlichen Anforderungen bewertet werden.^[71]

Auf Grundlage der wertorientierten Gesamtbanksteuerung wird von den Kreditinstituten das Ziel verfolgt, durch neue Risikomanagementsysteme die Unternehmensziele und den künftigen Erfolg zu sichern, sowie die Risikokosten zu senken.^[72] Dadurch bestimmt sich auch die Risikostrategie der Organisation, die von der Geschäftsleitung festzulegen und zu vertreten ist.^[73] Um diese Strategie umsetzen zu können, ist es notwendig, die Kreditrisiken steuern und kontrollieren zu können. Dies kann unter anderem durch die angemessene Berücksichtigung aller Kosten und Ertragskomponenten bei der Preiskalkulation von Finanzprodukten geschehen.^[74] Außerdem kann so den Kreditausfällen der Vergangenheit Sorge getragen und eine Renditeverbesserung des Kreditgeschäfts bewirkt werden.^[75]

Deshalb soll ein neuer Risikomanagementprozess geschaffen und in der Organisationskultur und Organisationsstruktur verankert werden, der effiziente Risikokontrolle, Risikosteuerung und Entscheidungsunterstützung auf Basis eines neuen Kreditrisikomanagementsystems ermöglicht. Dieses System soll beispielsweise durch eine erweiterte Datenbasis und eine integere Systemstruktur eine genauere Berechnung der Risiko-Exposures ermöglichen.^[76] Da Risiken auf der Händlerebene entstehen, ist es notwendig, dass das Kreditrisikomanagementsystem die Daten auf beliebigen Aggregationsebenen verdichtet und bereitstellt. Damit haben die verschiedenen internen Interessensgruppen die Möglichkeit, jederzeit auf aktuelle und nach ihren Bedürfnissen^[77] gestaltete Daten und Berichte zugreifen zu können.^[78]

3.2.1.3 Gesetzliche und aufsichtliche Rahmenbedingungen

Der wohl größte Einfluss auf die Neugestaltung des Risikomanagements von Banken geht von der neuen Baseler Eigenkapitalvereinbarung (Basel II) aus. So wurde der Baseler Akkord von 1988 (Basel I) in den letzten Jahren verstärkt kritisiert, da die Abbildung ökonomischer Risiken der Banken durch seine standardisierte Berechnung der Kreditrisiken zu grob und ungenau ist. Außerdem ist zur Bewertung des Gesamtrisikoprofils einer Bank neben Markt- und Kreditrisiko auch das operationelle Risiko zu berücksichtigen.^[79]

Der neue Kapitalakkord soll nun die bankenaufsichtlichen Schwächen des alten Akkords weitestgehend beseitigen und sich deshalb den Risikosteuerungsmethoden der Banken annähern. Basel II basiert dabei auf den drei Säulen „Mindestkapitalanforderungen“, „bankenaufsichtlicher Überprüfungsprozess“ und „erweiterte Offenlegung“.^[80]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Die drei Säulen von Basel II

Quelle: Deutsche Bundesbank (2001), S. 17.

Die erste Säule legt die Verfahren zur Bestimmung der Mindestkapitalanforderungen für Banken fest. Im Vergleich zu Basel I wurde hier in erster Linie die Formel zur Berechnung des Kreditrisikokapitals angepasst. Nach Basel II existiert nun neben einem neuen standardisierten Ansatz mit vordefinierten Gewichtungen für Kreditengagements auch die Möglichkeit zur Anwendung eines auf internen Ratings basierenden Ansatzes (IRB-Ansatz).^[81] Dieser gliedert sich in die Bereiche der relevanten Risikokomponenten, der Berechnung der risikogewichteten Aktiva und der von den Banken zu erfüllenden Mindestanforderungen zur Qualifikation für den IRB-Ansatz. Außerdem bietet er, um möglichst vielen Banken die Anwendung zu ermöglichen, einen Basisansatz (Foundation Approach), aber auch einen fortgeschrittenen Ansatz (Advanced Approach). Die Risikokomponenten von Krediten an Unternehmen, Banken und Staaten basieren dabei auf der gängigen Praxis der Kreditrisikomessung und des Kreditrisikomanagements.^[82]

Die zweite Säule besteht in der Schaffung einer qualitativen Bankenaufsicht. Ziel ist es, die Banken dazu zu motivieren, die institutsspezifischen Verfahren zur Beurteilung ihrer Risikosituation und ihrer Kapitalausstattung sowie ihre Risikomanagementmethodiken anzupassen und weiterzuentwickeln. Die Bankenaufsicht soll somit die Fähigkeit der Banken beurteilen, ihre Risiken zu identifizieren, zu messen, zu steuern und zu

überwachen. Durch die Überprüfungsverfahren sollen zudem externe Faktoren und solche Risikobereiche abgedeckt werden, die nicht oder nicht ausreichend berücksichtigt wurden. Dadurch soll der Dialog zwischen Banken und Aufsicht gefördert werden.^[83]

Die dritte Säule besteht aus einer erweiterten Offenlegungspflicht für Banken. Diese soll dazu führen, dass gut informierte Marktteilnehmer eine risikobewusste Geschäftsführung mit einem wirksamen Risikomanagement entsprechend belohnen bzw. ein risikoreicheres Verhalten entsprechend sanktionieren können. Daraus resultieren dann zusätzliche Anreize für die Banken, ihre Risiken zu kontrollieren und zu steuern.^[84]

Zunächst richtete sich der Baseler Akkord nur an international tätige Banken, doch mittlerweile findet dieser Standard in über 100 Ländern Anwendung. Innerhalb der Europäischen Union (EU) schafft die Capital Adequacy Directive (CAD) auch die gesetzliche Grundlage zur Umsetzung von Basel II.^[85] Des Weiteren verlangt die EU für alle börsennotierten Unternehmen ab 2005 die Rechnungslegung nach den International Accounting Standards/International Financial Reporting Standards (IAS/IFRS), die eigene Vorschriften an das Risikomanagement stellen.^[86] So verlangt IAS 39 von Finanzdienstleistern, dass diese klar die Wirksamkeit ihrer Hedging-Strategien zeigen.

In Deutschland bestimmen darüber hinaus das Kreditwesengesetz (KWG), das Wertpapierhandelsgesetz (WpHG) und weitere Gesetze^[87] sowie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Wesentlichen den gesetzlichen Rahmen für Kreditinstitute. So mussten die im BaFin-Rundschreiben 34/2002 formulierten Mindestanforderungen an das Kreditgeschäft der Kreditinstitute (MaK) bis zum 30.06.2004 umgesetzt werden. Diese verlangen von den Banken auf Grundlage von § 25a Abs. 1 KWG^[88] von der Geschäftsleitung, unter Berücksichtigung der Risikotragfähigkeit der Bank, die Festlegung und jährliche Prüfung ihrer Kreditrisikostrategie. Dadurch sollen zukünftig Krisenanzeichen für Kreditengagements frühzeitig erkannt und Kriterien festgelegt werden, anhand derer eine Identifikation von gekündigten Kreditengagements, die am Sekundärmarkt verkauft werden können, ermöglicht wird.^[89]

Die genannten Vorschriften gehen somit über die Anforderungen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)^[90] hinaus. Dieses verlangt lediglich die Einrichtung eines Frühwarnsystems durch den Vorstand, was zwar die Identifikation und Bewertung von Risiken, jedoch nicht zwangsläufig ihre Steuerung und Überwachung umfasst. Die Kontrolle und Steuerung werden allerdings durch Basel II und die MaK zusätzlich gefordert.^[91]

Außerdem schränkt der deutsche Gesetzgeber die Möglichkeiten der Kreditinstitute bei der Umsetzung der neuen Regelungen durch besondere Vorschriften für das Outsourcing durch Banken auf Grundlage des §25a Abs. 2 KWG ein. Diese Vorschriften betreffen alle wesentlichen Funktionen einer Bank, zu denen auch das Risikomanagement zählt. Eine Auslagerung ist nur dann zulässig, wenn sie nicht die Ordnungsmäßigkeit der Bankgeschäfte oder der Finanzdienstleistungen beeinträchtigt. Außerdem muss die Geschäftsleitung alle Steuerungs- und Kontrollbefugnisse behalten und die BaFin muss ihren Kontrollaufgaben gerecht werden können. Dabei ist es irrelevant, ob der Auslagerungsnehmer ein konzerneigenes oder konzernfremdes Unternehmen ist. Nicht zulässig ist somit also das Outsourcing zentraler Leitungsfunktionen. Weiterhin kann die Zusage von Groß- und Organkrediten nicht ausgelagert werden, da sie einen einstimmigen Beschluss der Geschäftsleitung benötigen. Die Vergabe von standardisierten Klein- und Massenkrediten ist dagegen zulässig und es existieren auch einige Ausnahmen bezüglich Auslagerungen innerhalb der Institutsgruppe. Allerdings haben Kreditinstitute im Falle einer Auslagerung eine erweiterte Anzeigepflicht und müssen bereits die Absicht der BaFin und der Landeszentralbank melden. Zusätzlich hat die BaFin noch eine große Anzahl von Punkten festgelegt, die vertraglich zwischen Auslagerungsgeber und Auslagerungsnehmer zu regeln sind.^[92]

Internationale Großbanken, die zur Rechnungslegung nach US-Standards verpflichtet sind, müssen zudem auch die Auflagen durch US GAAP und die neuen Auflagen durch den Sarbanes-Oxley-Act erfüllen. Ähnlich wie IAS 39 verlangt auch der Financial Accounting Standard 133 von Kreditinstituten den Nachweis der Effektivität ihrer Hedging-Strategien. Zudem müssen die Unternehmen nach Sarbanes-Oxley-Act über die Effektivität ihrer internen Kontroll- und Steuerungsprozesse berichten.

Jedoch sind in der Praxis die Auswirkungen von IAS/IFRS und Sarbanes-Oxley-Act auf das Kreditrisikomanagement noch nicht vollständig klar. Daher dominiert die Umsetzung der Anforderungen von Basel II die derzeitige Arbeit. Auch die wissenschaftliche Literatur widmet sich vorwiegend den Kriterien von Basel II. Da Basel II im Bereich Risikomanagement für Banken damit das beherrschende Thema ist, liegt auch der Fokus der vorliegenden Diplomarbeit auf diesen Anforderungen.

3.2.1.4 Technologische Rahmenbedingungen

Traditionell verfügen zumindest die internationalen Großbanken über proprietäre Risikomanagementsysteme. Kleinere Kreditinstitute dagegen verzichteten ganz auf Risikomanagementsysteme. Allerdings steigt die Zahl der Kreditinstitute, die die Entwicklung ihrer Risikomanagementsysteme outsourcen, indem sie Standardlösungen einkaufen, stetig. Durch die Implementierung von Standardsystemen sollen unter anderem kostspielige Fehler bei der Entwicklung eigener Systeme vermieden werden. Zudem sind die Konzeption und die Implementierung eines neuen Kreditrisikomanagementsystems mit hohen Investitionen verbunden und das neu geschaffene System soll daher langfristig einsetzbar sein, weswegen auch der Geschäftserfolg langfristig davon beeinflusst wird.^[93] Deshalb ist es notwendig, dass bei der Konzeption, unabhängig vom Einsatz von Eigensoftware oder Standardsoftware, derzeitige und zukünftige Anforderungen an das Kreditrisikomanagementsystem beachtet werden.^[94]

Da das Kreditrisikomanagementsystem nicht nur die aktuellen Anforderungen erfüllen soll, sondern auch in Zukunft organisationsweit alle Produkte unterstützen und an neue Rahmenbedingungen anpassbar sein soll, ist Flexibilität eine der wichtigsten technologischen Anforderungen. Dazu bedarf es einer offenen, webbasierten Architektur sowie der Unterstützung verschiedener Schnittstellen. Dadurch soll außerdem der Einsatz von Standardsoftware und Eigenentwicklungen im Kreditrisikomanagementsystem ermöglicht werden. Die Flexibilität muss auch dahingehend gewährleistet sein, dass sich das Kreditrisikomanagementsystem an neue gesetzliche oder aufsichtliche Rahmenbedingungen anpassen lässt. Außerdem muss das System Expansionen, Verkleinerungen, Unternehmenszusammenschlüsse und Unternehmensübernahmen sowie die daraus resultierenden Veränderungen der Produktpalette unterstützen.^[95]

Zur Konzeption eines Risikomanagementsystems bedarf es zudem eines Datenmodells. Dieses beinhaltet für Kreditrisikomanagementsysteme in der Regel vier unterschiedliche Datenarten, welche wiederum aus unterschiedlichen internen und externen Datenquellen gewonnen werden können. Zum einen sind dies Transaktionsdaten über jede finanzielle Transaktion, die für eine genaue Risikobewertung durch moderne Techniken von entscheidender Bedeutung sind. Zudem werden Bewertungsinformationen benötigt, um die Risiko-Exposures zu berechnen. Statische Daten sind nicht transaktionsbezogen und ändern sich daher nicht ständig. Beispiele hierfür sind Informationen über Gegenparteien, Sicherheiten oder Limits. Informationen über die Kreditwürdigkeit einer Gegenpartei können unter anderem aus internen und externen Ratings^[96], (Geschäfts-)

Beziehungen der Gegenpartei, Kreditkorrelationen, Ausfallwahrscheinlichkeiten und historischen Daten bestehen. Abschließend werden Verlustdaten benötigt, die die tatsächlichen internen Verluste von Kreditausfällen aufzeigen.^[97]

Darüber hinaus benötigt ein Kreditrisikomanagementsystem eine globale Echtzeit-Infrastruktur. Diese ist von großer Bedeutung, da Intraday-Kreditrisiko-Exposures nur dann erfolgreich gesteuert und kontrolliert werden können, wenn sie auf Echtzeitbasis aktualisiert werden. Zusätzlich ist der Aufbau eines System- und Benutzersupports für das Kreditrisikomanagementsystem notwendig. Viele Organisationen möchten außerdem von überall auf die Risikoinformationen zugreifen können. Dies spricht für eine webbasierte Architektur, bei der keine spezielle Software auf den Arbeitsplatzrechnern installiert werden muss, um auf das Kreditrisikomanagementsystem zugreifen zu können.^[98]

Wie bereits in den Abschnitten 3.2.1.1 und 3.2.1.2 aufgezeigt, muss ein Risikomanagementsystem sowohl individuelle Abfragen zulassen, wie auch Standardberichte auf unterschiedlichen Aggregationsebenen zur Verfügung stellen. Zusätzlich zu den internen Berichten müssen weiterhin Berichte gemäß der in Abschnitt 3.2.1.3 erläuterten aufsichtlichen Anforderungen erstellt werden. Die Berichte bestehen dabei in der Regel aus Schaubildern, Text und Zahlen. Außerdem sollte ein Export in gängige Tabellenkalkulationen oder Datenbanken möglich sein.^[99]

Die Performance und Zuverlässigkeit des Kreditrisikomanagementsystems muss gewährleistet sein, da Kreditinformationen in der Regel vor der Abwicklung einer Transaktion überprüft werden. Hierdurch soll sichergestellt werden, dass die Transaktion zum korrekten Marktpreis getätigt wird und keine Limitüberschreitung erfolgt. Auch ist es wichtig, dass das Kreditrisikomanagementsystem die Technologiestandards wie Datensicherheit und Datenschutz erfüllt. So sind beispielsweise die Kreditrisikodaten und Kreditrisikoinformationen einer Organisation besonders vertraulich zu behandeln. Denn wenn diese nach außen gelangen würden, könnte der Organisation ein erheblicher Schaden entstehen. Zudem können auch Methoden und Vorgehensweisen zur Berechnung des Risiko-Exposures von besonderer Wichtigkeit und daher zu schützen sein. Diese Aspekte sollten neben den Kosten auch bei der Entscheidung, ob ein Application-Service-Provider mit der Verwaltung des Kreditrisikomanagementsystems beauftragt wird oder ob eine In-House-Lösung zu bevorzugen ist, in Betracht gezogen werden.^[100]

3.2.2 Konzeption von Kreditrisikomanagementsystemen

3.2.2.1 Komponenten eines Kreditrisikomanagementsystems

Bei einem Kreditrisikomanagementsystem handelt es sich wie in Abschnitt 2.1.3 beschrieben um ein daten-, methoden- und modellorientiertes Entscheidungsunterstützungssystem.^[101] Ein solches Entscheidungsunterstützungssystem basiert auf den Datenbanken bzw. einem Data-Warehouse den Methodenbanken und den Modellbanken der in Abschnitt 3.2.3 beschriebenen Wissensbasis. Darauf setzt eine Kalkulationsengine auf, die die Daten unter Anwendung der Methoden und Modelle verarbeitet. Das Berichtssystem stellt schließlich ein Risikoinventar, Risikokennzahlen und grafische Darstellungen bereit.^[102]

Zur Konstruktion eines Kreditrisikomanagementsystems muss folglich eine Kalkulationsengine entwickelt werden, die anhand der Daten, der Modelle und der Methoden eine Kreditrisikoberechnung durchführt. Berechnet werden Kreditrisikokomponenten und Kreditrisikokennzahlen, die eine Steuerung und Kontrolle des Kreditrisikos ermöglichen. Sind die benötigten Daten zur Anwendung der gängigen Methoden und Modelle nicht oder nicht in ausreichendem Maße verfügbar, kann das Kreditrisiko anhand von Simulationen bestimmt werden.^[103]

Die berechneten Komponenten dienen als Basis für die Anwendung der Methodiken aus der Wissensbasis. Basierend auf diesen Berechnungen werden dann Kreditentscheidungen unter Berücksichtigung des gesamten Kreditportfolios getroffen und dem verantwortlichen Händler mitgeteilt. Die berechneten Kreditrisikokennzahlen dienen den Bereichsverantwortlichen oder der Geschäftsleitung zur Steuerung und Kontrolle des Kreditrisikos im Hinblick auf die Kreditrisikostrategie.^[104]

Diese Informationen werden den Entscheidungsträgern innerhalb der Organisation durch das Berichtssystem bereitgestellt. Dies geschieht durch Anfertigung standardisierter Berichte, die relevante Kennzahlen, grafische Darstellungen und schriftliche Kommentare enthalten können. Außerdem soll das Berichtssystem individuelle Abfragen durch die Entscheidungsträger ermöglichen. Dabei muss sich das Berichtssystem nach den in Abschnitt 3.2.1.1 ausgeführten Anforderungen der verschiedenen Interessensgruppen gestaltet sein.^[105]

Zudem existieren für Banken neben den internen, wie bereits in Abschnitt 3.2.1.3 dargestellt, auch aufsichtliche Rahmenbedingungen. Auch die aufsichtlich geforderten Berechnungen müssen in der Kalkulationsengine des Kreditrisikomanagementsystems auf Basis der Daten, Modelle und Methoden der Wissensbasis sowie der ermittelten Komponenten bzw. der von Seiten der Aufsicht vorgegebenen Größen durchgeführt werden.^[106] Im Rahmen des externen Reportings müssen die aufsichtlich relevanten Kennzahlen, wie beispielsweise die Eigenkapitalunterlegung des Kreditrisikos, dann der Aufsicht gemeldet werden.^[107]

Um dessen Effizienz kontrollieren zu können, bedarf es außerdem einer ständigen Bewertung und Begründung des Kreditrisikomanagementsystems. So schreibt die Aufsicht für externe Zwecke beispielsweise Kalibrierung und Überprüfung der verwendeten Systeme vor.^[108] Kann das Kreditrisikomanagementsystem auf diese Weise nicht validiert werden, so bedarf es einer Verfeinerung innerhalb der Kalkulationsengine. Anschließend erfolgt dann eine erneute Kalibrierung mit anschließender Bewertung des Systems.^[109]

Bei der Konzeption von Kreditrisikomanagementsystemen sind vor allem die schnelle, fachliche, organisatorische und aufsichtlich korrekte Umsetzung der Anforderungen von herausragender Bedeutung. Aber auch die Berücksichtigung der IT-Infrastruktur spielt dagegen eine wichtige Rolle, da Funktionalität alleine keinen Erfolg bringt. Daher müssen auch die technologischen Anforderungen, die sich aus den in Abschnitt 3.2.1.4 genannten ergeben, bei der Konzeption berücksichtigt werden. Allerdings werden die Rechensysteme aufgrund des technologischen Fortschritts immer leistungsfähiger und können auch nachträglich noch aufgerüstet werden.^[110]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Komponenten eines Kreditrisikomanagementsystems

In Anlehnung an: RiskMetrics Group (1999), S. 51; Hemmersmeier/Romeike (2001), S. 7.

3.2.2.2 Berechnung der Eigenkapitalunterlegung im Kreditrisikomanagementsystem nach Basel II

Der Basel II Standardansatz zur Berechnung der aufsichtlichen Eigenkapitalunterlegung der Kreditrisiken stellt zwar eine Verbesserung des bisherigen Standardansatzes dar, wird aber in der Zukunft nur von geringer Bedeutung sein, da die meisten Großbanken einen der IRB-Ansätze anwenden werden.^[111]

[...]

---

^[1] So haben nach einer Studie von Balgheim et al. 31% der Kreditinstitute noch keine Kosten für die Umsetzung von Basel II geschätzt. 90% der mittelgroßen Banken gehen von Kosten unter 50 Millionen Euro aus, ca. zwei Drittel der Großbanken erwarten Kosten zwischen 50 und 100 Millionen Euro und 20% schätzen die Kosten auf über 100 Millionen Euro. Vgl. Balgheim et al. (2004), S. 1248.

^[2] Vgl. Ott (2003), S. 137. Davidson (2003), S. 56; Cebenoyan/Strahan (2004), S. 20.

^[3] Vgl. Tschemernjak (2004), S. 38.

^[4] Insbesondere der deutsche Mittelstand gilt als unterkapitalisiert. Wambach/Rödel (2001), S. 66f.; Hofmann/Walter (2004), S. 1567.

^[5] Insbesondere der Einbruch des Investmentbankings führte zum Wegfall von Erträgen. Vgl. Hofmann/Walter (2004), S. 1567.

^[6] Die vier größten deutschen Kreditinstitute haben in den Jahren 2001-2003 durchschnittlich 25% weniger Kredite vergeben. Ihr durchschnittlicher Return on Equity (ROE) für diesen Zeitraum beträgt allerdings –5%. Vgl. Hofmann/Walter (2004), S. 1567.

^[7] Vgl. Hofmann/Walter (2004), S. 1567.

^[8] So gibt das International Risk Management Lexicon 14 Definitionen für Risiko. Vgl. International Federation of Risk and Insurance Management Associations (2001), S. 58.

^[9] Vgl. International Federation of Risk and Insurance Management Associations (2001), S. 58; Rejda (2003), S. 3. Dieser betriebswirtschafltiche Ansatz stellt eine Synthese aus dem ursachenbezogenen und dem wirkungsbezogenen Risikoansatz dar. Vgl. hierzu Grof (2002), S. 19f.

^[10] Vgl. Weber (2002), S. 416f.; Schöne (2003), S. 91.

^[11] Vgl. hierzu weiterführend Rejda (2003), S. 3-10.

^[12] Vgl. Schierenbeck (2003), S. 4.

^[13] Vgl. Schierenbeck (2003), S. 4.

^[14] Vgl. Ott (2003), S. 138-140.

^[15] Beispiele für das spezifische Aktienkurs- und Zinsänderungsrisiko sind Herabstufungen im Rating, die zu niedrigeren Marktpreisen führen, oder Fusionsangebote, die den Marktpreis in der Regel erhöhen. Vgl. Ott (2003), S. 138.

^[16] Vgl. Ott (2001), S. 36.

^[17] Vgl. Ott (2001), S. 8.

^[18] Vgl. Ott (2001), S. 36.

^[19] Vgl. Standards Association of Australia (1999), S. 8; International Federation of Risk and Insurance Management Associations (2001), S. 61; Rejda (2003), S. 38-51.

^[20] Vgl. Standards Association of Australia (1999), S. 9-12.

^[21] Vgl. Weber (2002), S. 417-423; PricewaterhouseCoopers (2004), S. 9.

^[22] Vgl. Standards Association of Australia (1999), S. 12; Weber (2002), S. 423-425.

^[23] Vgl. Standards Association of Australia (1999), S. 12-16; Weber (2002), S. 425-428.

^[24] Vgl. Jorion (2000), S. 11.

^[25] Vgl. Daníelsson et al. (2002), S. 1407-1410; Tschemernjak (2004), S. 37.

^[26] Mögliche Optionen zur Risikosteuerung sind Risikovermeidung, Risikoverminderung, Risikostreuung, Risikoüberwälzung und Risikoübernahme. Vgl. Standards Association of Australia (1999), S. 16-20; Weber (2002), S. 431-434; Beinert (2003), S. 28.

^[27] Vgl. Standards Association of Australia (1999), S. 20.

^[28] Vgl. Hemmersmeier/Romeike (2001), S. 3.

^[29] Vgl. Hemmersmeier/Romeike (2001), S. 3f.

^[30] Vgl. Bansal et al. (1993), S. 269; Hemmersmeier/Romeike (2001), S. 3-7.

^[31] Vgl. Bansal et al. (1993), S. 269; Hemmersmeier/Romeike (2001), S. 7; Chowdhury/Chan (2005), S. 172.

^[32] Vgl. Burger/Burchhart (2002), S. 9f.

^[33] Vgl. Braun (1984), S.26, 45 zitiert nach Burger/Burchhart (2002), S. 10f.; Hornung et al. (1999), S. 314.

^[34] Vgl. Rudolph/Johanning (2000b), S. 17.

^[35] Vgl. Burger/Burchhart (2002), S. 13.

^[36] Vgl. Pollanz (1999), S. 398; Wittmann (2000), S. 470.

^[37] Vgl. Braun (1984), S. 61ff. zitiert nach Burger/Burchhart (2002), S. 13; Horváth (2003), S. 116-127.

^[38] Vgl. Burger/Burchhart (2002), S. 15-17.

^[39] Vgl. Weber (2004), S. 44-49.

^[40] Vgl. Daniel (1961), S. 116.

^[41] Rockart (1979), S.85.

^[42] Rehkugler (1989), S. 631.

^[43] Vgl. Kube (1991), S. 2f.

^[44] Vgl. Bahlmann (1982), S. 182.

^[45] Vgl. Dömer (1998), S. 103.

^[46] Vgl. Daniel (1961), S. 116; Rehkugler (1989), S. 631.

^[47] Vgl. Bahlmann (1982), S. 179-182.

^[48] Vgl. Kube (1991), S. 4-7.

^[49] Dies entspricht den ersten beiden Schritten nach Bahlmann. Vgl. Bahlmann (1982), S. 179-181.

^[50] Die Analyse der Literatur zur Identifikation möglicher Erfolgsfaktoren dient als Alternative zu einer empirischen Erhebung. Die Literaturanalyse geschieht in Anlehnung an Riemenschneider (2001), S. 70.

^[51] Vgl. Bahlmann (1982), S. 179f.; Heinrich (2002), S. 382.

^[52] Vgl. Bahlmann (1982), S. 179-182.

^[53] Vgl. Glass (1999), S. 103f.; Winograd (1998), S.

^[54] Vgl. Benbasat/Zmud (1999), S. 5.

^[55] Mit Verhalten bezeichnen Hevner et al. allerdings nicht das Verhalten der Mitarbeiter oder Organisation, welches bei der Implementierung von großer Bedeutung ist, sondern das Verhalten der Modelle und Methoden, die in dem Informationssystem eingesetzt werden. Vgl. hierzu Hevner et al. (2004), S. 79.

^[56] Vgl. Hevner et al. (2004), S. 77.

^[57] Vgl. Hevner et al. (2004), S. 79.

^[58] Vgl. Hevner et al. (2004), S. 88.

^[59] Vgl. Hevner et al. (2004), S. 79.

^[60] Vgl. Hemmersmeier/Romeike (2001), S. 4.

^[61] Vgl. Hevner et al. (2004), S. 80f.

^[62] Vgl. Hevner et al. (2004), S. 79f.

^[63] Vgl. Hevner et al. (2004), S. 82f.

^[64] Vgl. Hevner et al. (2004), S. 80.

^[65] Die individuellen Fähigkeiten oder Charakteristika der Mitarbeiter sind zu spezifisch um, diese hier allgemein erfassen zu können. Vgl. Hevner et al. (2004), S. 79.

^[66] Vgl. RiskMetrics Group (1999), S. 49.

^[67] Auf Geschäftsleitungsebene wird das Risikomanagement in aller Regel durch den Chief Risk Officer repräsentiert, der dem Risikomanagementkomitee der Organisation vorsteht. Dieses beobachtet kontinuierlich aggregierte Gesamtrisiken und globale Trends, vergleicht die Risikoperformance der Organisation mit den Märkten und Wettbewerbern und erstattet regelmäßig der Geschäftsleitung Bericht. Vgl. RiskMetrics Group (1999), S. 49f.

^[68] Vgl. RiskMetrics Group (1999), S. 49.

^[69] Damit besteht auch schon für die Händler die Möglichkeit die Risiken zu steuern. Allerdings ist ausgehend von der Prinzipal-Agenten-Theorie davon auszugehen, dass die Händler eher zu einer risikoaversen Strategie neigen, sofern sie nicht kontrolliert werden. Vgl. hierzu Daníelsson et al. (2002), S. 1410.

^[70] Vgl. Romeike (2001), S. 13.

^[71] Vgl. Hevner et al. (2004), S. 79.

^[72] Vgl. Romeike (2001), S. 13.

^[73] Vgl. Greuning/Bratanovic (2003), S. 40f.

^[74] Vgl. Wiesmayr (1999), S. 283-287; Wehrspohn (2003), S. 11.

^[75] Vgl. Hofmann/Walter (2004), S. 1567.

^[76] Vgl. Levine (2004), S. 31.

^[77] Die Anforderungen der unterschiedlichen Unternehmensebenen sind in Abschnitt 3.2.1.2 erläutert.

^[78] Vgl. RiskMetrics Group (1999), S. 49; Hemmersmeier/Romeike (2001), S. 6.

^[79] Vgl. Deutsche Bundesbank (2001), S. 16.

^[80] Vgl. Deutsche Bundesbank (2001), S. 17; Tschemernjak (2004), S. 37.

^[81] Vgl. Deutsche Bundesbank (2001), S. 18; Wilkens et al. (2001), S. 187-192.

^[82] Vgl. Deutsche Bundesbank (2001), S. 23-29; Wilkens et al. (2001), S. 187-192; Schulte-Mattler/von Kenne (2004), S. 38f.

^[83] Vgl. Deutsche Bundesbank (2001), S. 31f.; Wilkens et al. (2001), S. 192; Schulte-Mattler/von Kenne (2004), S. 39.

^[84] Vgl. Deutsche Bundesbank (2001), S. 31-33; Wilkens et al. (2001), S. 192; Schulte-Mattler/von Kenne (2004), S. 39f.

^[85] Vgl. Deutsche Bundesbank (2001), S. 17; Balgheim et al. (2004), S. 1248.

^[86] Vgl. Schneider (2002), S. 14.

^[87] So gelten unter anderem auch rechtsformspezifische Vorschriften wie das AktG oder das GmbHG. Außerdem unterliegen die Banken zusätzlich besonderen Anzeigepflichten, Sicherheits-, Datenschutzbestimmungen und dem Bankgeheimnis. Vgl. Hanisch (2004), S. 21f.; Hofmann/Walter (2004), S. 1570f.; Theewen (2004), S. 111.

^[88] § 25a Abs. 1 KWG erfordert eine ordnungsgemäße Geschäftsorganisation, angemessene interne Kontrollverfahren sowie geeignete Regelungen zur Steuerung, Überwachung und Kontrolle von Risiken. Vgl. Hofmann/Walter (2004), S. 1567; Theewen (2004), S. 105.

^[89] Vgl. Hofmann/Walter (2004), S. 1567; Theewen (2004), S. 105f.

^[90] Einen Überblick über das KonTraG gibt Romeike (2000).

^[91] Reichling (2003b), S. 112f.

^[92] Vgl. Hanisch (2004), S. 20-23; Theewen (2004), S. 111. Ein Controls-Report kann zum Nachweis einer ordnungsmäßigen Auslagerung dienen. Vgl. hierzu Ley (2004).

^[93] Vgl. Balgheim et al. (2004), S. 1246-1248; Tschemernjak (2004), S. 38.

^[94] Vgl. RiskMetrics Group (1999), S. 51.

^[95] Vgl. Levine (2004), S. 33f.

^[96] Crouhy et al. beschreiben die Ratingsysteme der zwei führenden Ratingagenturen „Standard & Poor’s“ und „Moody’s“ sowie ein bankinternes Ratingsystem. Vgl. Crouhy et al. (2001), S. 50-62. Auch Treacy/Carey widmen sich den bankinternen Ratingsystemen und untersuchten dazu die 50 größten Banken der Vereinigten Staaten. Vgl. Treacy/Carey (2000). Zudem haben Krahnen/Weber Grundsätze für interne Ratingsysteme entwickelt. Vgl. Krahnen/Weber (2001).

^[97] Vgl. Levine (2004), S. 34f.

^[98] Vgl. Levine (2004), S. 35.

^[99] Vgl. Levine (2004), S. 35.

^[100] Vgl. Levine (2004), S. 35.

^[101] Vgl. Hemmersmeier/Romeike (2001), S. 3.

^[102] Vgl. Hemmersmeier/Romeike (2001), S. 5-7; Chowdhury/Chan (2005), S. 172.

^[103] Vgl. Hemmersmeier/Romeike (2001), S. 7.

^[104] Vgl. Abschnitt 3.2.1.1.

^[105] Vgl. Hemmersmeier/Romeike (2001), S. 6f.; Levine (2004), S. 35.

^[106] Die Parameter, die die Kreditinstitute auf Basis interner Daten berechnen dürfen hängen von dem gewählten Ansatz ab. Vgl. Schöne (2003), S. 97-104.

^[107] Vgl. Deutsche Bundesbank (1998), S. 76; Levine (2004), S. 35.

^[108] Vgl. Goebel (2004), S. 538.

^[109] Vgl. Eine solche Verfeinerung kann beispielsweise durch organisationsspezifische Erweiterungen eines gängigen Modells erfolgen. Vgl. hierzu ausführlicher Kurth et al. (2002).

^[110] Vgl. Davidson (2004), S. 26f.

^[111] Vgl. Tschemernjak (2004), S. 37. Zum Standardansatz vgl. ausführlicher Wilkens et al. (2001), S. 187f.