Operationelle Risiken: Offener Umgang von zentraler Bedeutung

Thomas Niessen, Beratung und Prozessmanagement, parcIT GmbH	Alexander Tiebing, Methoden- und Produktmanagement, parcIT GmbH

I.            Regulatorik

Das Management operationeller Risken rückt aufgrund von aufgetretenen Schadensfällen mit teilweise hohen Verlusten immer weiter in den Fokus der Institute. Entsprechend erwartet auch die Aufsicht ein solides Management der operationellen Risiken und hat diesbezüglich Anforderungen formuliert.

Diese finden sich in verschiedenen Gesetzen und Regelwerken wieder. Die Mindestanforderungen an das Risikomanagement (MaRisk)[1] fordern beispielsweise von Finanzinstituten, ein angemessenes Risikomanagement für operationelle Risiken zu etablieren und implementieren. Dazu gehören unter anderem

• die Identifikation und Bewertung von operationellen Risiken,
• die Implementierung von Kontrollmechanismen zur Risikominderung,
• die Überwachung und Überprüfung der Risikomanagement-Systeme,
• die Dokumentation und Berichterstattung von Risikomanagement-Prozessen.

Des Weiteren fordert das Kreditwesengesetz (KWG) von den Instituten, ihre Geschäftstätigkeit so zu organisieren, dass das Risiko einer Beeinträchtigung ihrer Fortführbarkeit möglichst gering ist.

Auf europäischer Ebene hat der Basler Ausschuss für Bankenaufsicht im Rahmen der Capital Requirements Regulation (CRR)[2] Vorgaben zur angemessenen Eigenkapitalunterlegung von operationellen Risiken der Institute formuliert. Die EU-Bankenaufsicht (EBA) fordert ebenfalls ein effektives Risikomanagement, einschließlich des operationellen Risikos.

All diese Regelungen legen fest, dass die Institute ein systematisches und integriertes Risikomanagement aufbauen müssen, das alle relevanten operationellen Risiken erfasst und überwacht.

II.            Was sind operationelle Risiken?

Die aufsichtsrechtlichen Vorgaben definieren in Art. 4 Nr. 52 der CRR die operationellen Risiken als Risiken, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen, Systemen oder durch externe Ereignisse verursacht werden. Reputationsrisiken und strategische Risiken sind von dieser aufsichtsrechtlichen Definition explizit ausgeschlossen. Jedes Institut – unabhängig von der Institutsgröße oder vom Geschäftsmodell – ist von operationellen Risiken betroffen, da diese inhärent mit dem Geschäftsbetrieb einhergehen und nur bei Einstellung des Geschäftsbetriebs vermieden werden können. So sind diese Risiken in nahezu allen Prozessen und folglich allen Unternehmensbereichen vorhanden.

Über operationelle Risiken wurde in der jüngsten Vergangenheit teilweise medienwirksam berichtet, weswegen sie immer stärker in den Fokus der Aufsicht gerückt sind. Beispiele dafür sind:

• Geldautomatensprengung durch Externe aufgrund von Betrugsabsichten oder
• Externe Cyberangriffe und Einschleusen von Schadsoftware aufgrund unzureichender IT-Sicherheitsvorkehrungen.

Doch auch weniger spektakuläre Vorfälle, wie beispielsweise menschliches Versagen im Zusammenhang mit Fehlbuchungen, können erhebliche Schäden nach sich ziehen.

III.          Abgrenzung zu Non-Financial Risks

Oftmals werden die Termini operationelle Risiken und Non-Financial Risks (NFR) synonym verwendet. Hier ist jedoch eine Abgrenzung erforderlich: Die NFR umfassen, im Unterschied zu den im Aufsichtsrecht definierten operationellen Risiken, auch die im Aufsichtsrecht ausgeschlossenen Risiken. Darunter fallen z. B. das Reputationsrisiko oder auch das strategische Risiko.

Abbildung 1: Übersicht Finanzielle Risiken vs. Non-Financial Risks

In der im Juli 2014 erstmals veröffentlichten und im Jahr 2019 überarbeiteten Leitlinie zum aufsichtlichen Überprüfungs- und Überwachungsprozess (Supervisory Review and Evaluation Process (SREP)) der European Banking Authority (EBA) wird neben der Betrachtung der operationellen Risiken eine besondere Berücksichtigung der Reputationsrisiken sowie der Unterrisikoklassen Verhaltensrisiken, IT- und Modellrisiken gefordert. Die EBA hat in den Leitlinien zur internen Governance die Non-Financial Risks als wesentlichen Bestandteil eines Risikomanagements definiert. Ziel ist dabei, die wesentlichen Unterrisikoarten der Non-Financial Risks explizit im Risikomanagement aufzunehmen und zu berücksichtigen, um Erkenntnisse aus den derzeit dezentralen und silohaft betrachteten Methoden miteinander zu verzahnen.

Auch wenn die NFR keine unmittelbaren Auswirkungen auf die Ertragslage des Instituts haben, können diese langfristig gesehen ein erhebliches Schadenspotenzial entfalten. Bezogen auf das Reputationsrisiko ist beispielsweise davon auszugehen, dass der Eintritt eines solchen Risikos erheblichen Einfluss auf das Kundenneugeschäft hat und dem Unternehmenserfolg damit langfristig schadet.

IV.          Risikomanagementprozess im Institut

Für ein umfassendes Management der operationellen Risiken werden eine Reihe von Instrumenten entlang des Risikomanagementzyklus mit den Phasen Identifizierung, Bewertung, Steuerung, Überwachung und Berichterstattung eingesetzt. Aufgrund des prozess- und organisationseinheitenübergreifenden Charakters der operationellen Risiken sind Informationen aus vorgelagerten Prozessen für das Management der operationellen Risiken heranzuziehen.

Abbildung 2: Instrumente des operationellen Risikomanagements

Beispiele für solche vorgelagerten Prozesse sind eine MaRisk-Compliance-Analyse als Teil des Compliance-Managements, wodurch Compliance-Risiken aufgedeckt werden können, oder ein internes Kontrollsystem, das Prozessrisiken identifizieren kann. Eine sinnvolle Verzahnung dieser Prozesse mit dem operationellen Risikomanagement ist demnach unerlässlich.

Die beiden wesentlichen Instrumente, die ein Institut zur Identifizierung und Bewertung operationeller Risiken einsetzt und die aufsichtsrechtlich gefordert sind, sind eine Schadensfalldatensammlung sowie ein Self-Assessment. Zudem können hierfür externe Daten hinzugezogen werden, die beispielsweise im Rahmen eines Schadensfallpoolings gesammelt worden sind. Im Folgenden werden diese Aspekte des Risikomanagementprozesses näher betrachtet.

V.           Schadensfalldatensammlung

1.            Grundlegendes zum strukturierten Prozess

Die Verpflichtung zur strukturierten, konzernweiten Erfassung, Sammlung und Auswertung von intern tatsächlich eingetretenen operationellen Risiken (Schadensfällen) ergibt sich aus

• der Notwendigkeit zur Schaffung von Transparenz über die finanziellen Folgen operationeller Risiken,
• der Ableitung von Steuerungsmaßnahmen zur Vermeidung von Unternehmensverlusten,
• der Notwendigkeit zur Überprüfung des Systems zur Überwachung und Früherkennung und der eingesetzten Risikosysteme (Revisionsforderung),
• den aufsichtsrechtlichen Anforderungen (z. B. den Regelungen der CRR und MaRisk) sowie
• der Verwendung zur Quantifizierung operationeller Risiken im Rahmen der Risikotragfähigkeitsrechnung.

Die hierbei gesammelten Schadensfälle werden analysiert, sodass Maßnahmen abgeleitet werden können, um zukünftige operationelle Risiken zu vermeiden. Ein weiteres Ziel einer solchen Schadensfallsammlung ist das Aufdecken von Schwachstellen, die in der Vergangenheit zum Eintritt des Schadensfalls geführt haben. Somit bietet die Sammlung einen konkreten Anhaltspunkt für Verbesserungsmaßnahmen. Außerdem können die Schadensfälle zur Inspiration sowie als Grundlage zur Bewertung der operationellen Risiken im Rahmen des Risikomanagements verwendet werden.

Um die eben dargestellten Ziele der internen Schadensfalldatensammlung zu erfüllen, ist im Institut ein strukturierter Prozess zur Identifizierung von intern eingetretenen Schadensfällen aufzusetzen. Dieser Prozess lässt sich in die vier Schritte „Erkennung und Analyse“, „Qualitätssicherung“, „Steuerung“ und „Berichterstattung“ unterteilen. Doch bevor diese Prozessschritte im Institut durchlaufen werden, sollten die Verantwortlichkeiten abgestimmt sein.

Die Verantwortung für die Meldung und Erfassung der Schadensfälle liegt bei den dezentralen OpRisk-Managern. Sie bilden die erste Verteidigungslinie im Institut und fungieren als Koordinator innerhalb der ihnen zugeordneten Organisationseinheit. Das zentrale Risikocontrolling für operationelle Risiken ist verantwortlich für die übrigen Prozessschritte sowie für die Definition und Ausgestaltung des Prozesses selbst. Als zweite Verteidigungslinie stellen die zentralen Risikomanager zudem sicher, dass alle relevanten aufsichtsrechtlichen Anforderungen eingehalten werden und die verwendeten Methoden stets weiterentwickelt werden. Prinzipiell sollten jedoch alle beteiligten Personen wie beispielsweise Vorstände oder auch Bereichsleiter in den Prozess des operationellen Risikomanagements eingebunden sein. Die Risikokultur muss demnach im gesamten Unternehmen gelebt werden. Nur so kann erreicht werden, dass aufgetretene Schadensfälle auch tatsächlich dem zentralen Risikocontrolling für operationelle Risiken gemeldet und ausgewertet werden können.

2.            Erkennung und Analyse

Zu Beginn der Phase „Erkennung und Analyse von Schadensfällen“ muss das Institut zunächst für sich definieren, was ein Schadensfall ist, wie Schäden ermittelt werden und ab welcher Bagatellgrenze Schäden erfasst werden. Diese Grenze ist institutsindividuell angemessen zu definieren und dient auch der Begrenzung des Aufwands für die interne Schadensfalldatensammlung. Für die potenzielle, spätere Teilnahme an einem Datenpooling sollte sie sich an der von diesem Pooling vorgegebenen Grenze orientieren und sie nicht überschreiten. Anschließend werden die Schadensfälle erfasst sowie bereits erfasste Schadensfälle analysiert und aktualisiert, sofern sich hier nachträglich Neuerungen ergeben. Die erfassten Schadensfälle sollten auch hinsichtlich Ereigniskategorie, Ursachenkategorie etc. korrekt kategorisiert werden, damit sie in einem späteren Prozessschritt ausgewertet und aggregiert werden können. Besondere Schadensfallarten wie beispielsweise Beinaheschadensfälle, die zu keinem finanziellen Schaden geführt haben, sollten korrekt als solche gekennzeichnet werden.

3.            Qualitätssicherung

Im zweiten Schritt muss regelmäßig die Qualität der erfassten Daten sichergestellt werden. Dies beinhaltet sowohl eine Prüfung auf Vollständigkeit als auch auf Richtigkeit. Zum einen werden also die Schadenshöhen und die Kategorisierungen, beispielsweise die Zuordnung zu einer Ereigniskategorie, plausibilisiert. Zum anderen sollten die erfassten Schadensfälle mit GuV-Buchungen sowie etwaigen anderen Datenquellen abgeglichen werden. Darüber hinaus sollten in diesem oder bereits im vorherigen Prozessschritt die Sammelschäden, also diejenigen Schäden, welche auf das gleiche Ereignis zurückzuführen sind, identifiziert werden. Ein Backtesting mit Schadensfällen aus vergangenen Jahren oder mit Risiken aus dem Self-Assessment kann ebenfalls eine geeignete Qualitätssicherungsmaßnahme sein.

4.            Steuerung

Im nächsten Schritt sind Maßnahmen mindestens für bedeutende Schadensfälle abzuleiten. Dabei sollte für jede Maßnahme vorab die entsprechende Strategie festgelegt werden: Sollen Schadensfälle reduziert, vermieden oder möglicherweise durch eine geeignete Versicherung transferiert werden? Weiterhin lassen sich die Steuerungsmaßnahmen zwischen reaktiven und proaktiven Maßnahmen unterscheiden. Dabei führen reaktive Maßnahmen zur Reduktion eines eingetretenen Schadens und proaktive Maßnahmen helfen bei der Vermeidung zukünftiger Schäden. Die Überprüfung der Wirksamkeit der Maßnahmen ist regelmäßig durch das zentrale Risikocontrolling durchzuführen.

5.            Berichterstattung

Am Ende des Prozesses der internen Schadensfallerfassung werden sowohl der Vorstand des Instituts als auch die betroffenen Geschäftseinheiten über die Ergebnisse unterrichtet. Die Berichterstattung ist gemäß MaRisk mindestens jährlich durchzuführen und wird in den meisten Fällen im Rahmen des jährlichen Risikoberichts vorgenommen. Dabei sollten neben den bedeutendsten Schadensfällen auch weniger bedeutende enthalten sein und in verschiedenen Auswertungen grafisch dargestellt werden.

6.            Hinzunahme externer Daten

Die in der internen Schadensfallsammlung des Instituts gesammelten Schadensfälle bieten dem Einzelinstitut eine Inspiration für die Risikobewertung im Self-Assessment. Jedoch ist in vielen, vor allem kleineren Instituten bisher nur eine geringe Anzahl an internen Schadensfällen aufgetreten. Die geringe interne Datenbasis kann durch die Hinzunahme von externen Daten vergrößert werden. Diese können daher einen essenziellen Bestandteil des operationellen Risikomanagementprozesses darstellen, wie in der Abbildung 2 erkennbar ist.

Grundsätzlich existieren drei Arten von externen Daten für operationelle Risiken am Markt:

• Externer Schadenspool
• Öffentlicher Datenpool
• Initiativen durch Verbände

All diese Datenquellen unterstützen die Institute bei der Identifikation und insbesondere bei der Bewertung der operationellen Risiken bei der Durchführung des Risikomanagementkreislaufs. Gewonnene Erkenntnisse, insbesondere aus öffentlichen Daten, die eine Beschreibung der Schadensfälle beinhalten, können in das institutsindividuelle Self-Assessment einfließen oder auch zur Verbreiterung der Datenbasis zur Berechnung eines Value at Risk herangezogen werden. Darüber hinaus bietet ein Schadensfallpooling, also eine zentrale Ansammlung der intern gesammelten Schadensfälle mehrerer Institute, durch diverse Auswertungen der Schadensfälle hilfreiche Informationen zum Vergleich und zur Analyse der Schadensfallerfahrung im eigenen Institut. Außerdem können die Daten eines Poolings für ein Benchmarking, zum Ableiten von Maßnahmen oder zur Qualitätssicherung der eigenen Schadensdaten herangezogen werden. Im Vorhinein ist sicherzustellen, dass ein verbindlicher Datenstandard eingehalten wird und dass es sich bei den übrigen Poolteilnehmern um vergleichbare Institute handelt. Beispielsweise plant die parcIT die Einführung eines Schadensfallpools für Institute im genossenschaftlichen Umfeld.

VI.          Self-Assessment

1.            Ziele

Als eine vom Institut individuell vorgenommene Selbsteinschätzung des operationellen Risikoprofils stellt das Self-Assessment ein wesentliches Instrument zur strukturierten Identifizierung und Bewertung von operationellen Risiken dar. Die Ergebnisse des Self-Assessments ergänzen die vergangenheitsorientierte Schadensfalldatensammlung, um eine zukunftsorientierte Identifizierung und Bewertung von operationellen Risiken zu gewährleisten.

Abbildung 3: Gesamtprofil der operationellen Risiken

Das Self-Assessment dient der Erfüllung folgender Ziele:

• Ableitung eines gesamtheitlichen operationellen Risikoprofils auf einer qualitativen und/oder quantitativen Art und Weise mit Fokus auf mögliche operationelle Risiken in dem gesamten Institut.
• Identifikation von Schwachstellen sowie von vorhandenen Kontrollen unter Risikogesichtspunkten.
• Schaffung einer verbesserten Informationsgrundlage zur frühzeitigen Ableitung von Risikosteuerungs- und Managementmaßnahmen (vor Eintritt eines Schadensfalls).
• Erhöhung der institutsweiten Risikotransparenz durch Sensibilisierung der Mitarbeiter/-innen.
• Erfüllung gesetzlicher und aufsichtsrechtlicher Anforderungen, insbesondere der MaRisk.

Der Prozess des Self-Assessments lässt sich aufteilen in die fünf Phasen „Vorbereitung“, „Durchführung“, „Qualitätssicherung“, „Steuerung & Überwachung“ sowie „Berichterstattung“ und ist somit sehr ähnlich zum Prozess der internen Schadensfallerfassung aufgebaut. Vor dem Durchlaufen dieses Prozesses sollten wieder die entsprechenden Verantwortlichkeiten innerhalb des Instituts geklärt werden.

Für die Identifizierung, Bewertung, Steuerung und Überwachung der operationellen Risiken in ihrem Verantwortungsbereich sind die dezentralen OpRisk-Manager aus dem jeweiligen Fachbereich verantwortlich. Das zentrale, operationelle Risikocontrolling ist hingegen zuständig für die Weiterentwicklung der Methodik, die Qualitätssicherung sowie die Berichterstattung über die Ergebnisse des Self-Assessments. Die Verantwortung für die Definition des Prozesses zum Self-Assessment selbst liegt ebenfalls beim zentralen Risikomanagement. Prinzipiell entfaltet auch hier eine im gesamten Institut durchgängig gelebte Risikokultur ihre Wirkung, indem sich alle Beteiligten gegenseitig unterstützen.

2.            Vorbereitung

Zur Vorbereitung sind relevante Informationen aufzubereiten, wobei folgende Datenquellen analysiert werden sollten:

• Vorjahresergebnisse des Self-Assessments,
• interne und ggf. vorhandene externe Schadensfälle,
• Erkenntnisse aus der Entwicklung am Markt inkl. erkennbarer Trends sowie neuer operationeller Risiken.
• Entwicklung der Frühwarnindikatoren,
• Operationelle Risiken aus vorgelagerten Prozessen.

Basierend auf den gesammelten Daten sollten anschließend Risiken abgeleitet werden, die von den dezentralen Risikomanagern im Hinblick auf Anwendbarkeit für die eigene Organisationseinheit analysiert werden. Die identifizierten Risiken werden gemäß den vordefinierten Kategorien klassifiziert, um eine spätere Aggregation und Auswertung zu ermöglichen.

3.            Durchführung

In der Phase der Durchführung werden die zuvor identifizierten operationellen Risiken bewertet. Zunächst ist die Methodik, die zur Bewertung verwendet werden soll, vom zentralen Risikocontrolling festzulegen. Anschließend wird jedes potenzielle operationelle Risiko unter Zuhilfenahme der Informationen aus der Vorbereitung im Rahmen von Workshops/Interviews oder mittels Self-Assessment-Templates durch die dezentralen OpRisk-Manager bewertet. Die Bewertung erfolgt grundsätzlich anhand der beiden Parameter Eintrittshäufigkeit und Schadenshöhe unter Hinzunahme interner und externer historischer Daten, wobei sowohl eine qualitative als auch eine quantitative Bewertung denkbar ist. Die Kombination aus Eintrittshäufigkeit und Schadenshöhe kann in einer Risikomatrix abgebildet werden. In der Praxis wird hier häufig eine 5x5-Matrix verwendet, die fünf Kategorien für die Eintrittshäufigkeit und fünf Kategorien für die Schadenshöhe enthält.

Abbildung 4: Risikomatrix

Anhand einer solchen Risikomatrix lassen sich auf einfachem Wege diejenigen Risiken identifizieren, die mit Maßnahmen zu steuern und zu überwachen sind.

4.            Qualitätssicherung

Im Anschluss an die Durchführung findet die Qualitätssicherung statt. Hierbei werden die Risiken mitsamt ihrer Bewertung plausibilisiert. Dies wird beispielsweise mit Hilfe eines Backtestings mit den erfassten Schadensfällen oder durch einen Abgleich mit den in der ersten Phase gesammelten Informationen erreicht.

5.            Steuerung

In der darauffolgenden Phase der Steuerung werden wieder Maßnahmen abgeleitet, um die identifizierten operationellen Risiken zu reduzieren oder ganz zu vermeiden. Ähnlich zum Steuerungsschritt im Prozess der internen Schadensfallerfassung können die Maßnahmen proaktiven oder reaktiven Charakter haben. Für jedes Risiko ist vom zuständigen OpRisk-Manager zu entscheiden, welche der genannten Strategien unter Zuhilfenahme der Maßnahmen verfolgt werden soll. Beispiele für Steuerungsmaßnahmen können die Durchführung von Schulungsmaßnahmen zur Verringerung von prozessualen Fehlern, die Umstellung von manuellen auf automatische Prozesse oder die Einführung von Kontrollen sein. Nach der erfolgreichen Umsetzung der Maßnahmen sollte sich die Nettorisikobewertung der betreffenden operationellen Risiken im Self-Assessment reduzieren.

6.            Berichterstattung

Im letzten Schritt „Berichterstattung“ wird das Management des Instituts über die Entwicklung des operationellen Risikoprofils informiert. Gemäß BT 3.2 Tz. 7 MaRisk muss dies quartalsweise erfolgen. Da das Self-Assessment mindestens einmal jährlich durchgeführt wird, erfolgt die Berichterstattung über die Ergebnisse des Self-Assessments ggf. nur in einem der vier Quartalsberichte über das operationelle Risikoprofil. Hierfür kann beispielsweise wieder die Risikomatrix herangezogen werden; es sollten jedoch auch Auswertungen anhand der diversen Kategorisierungen durchgeführt werden, die für jedes Risiko erfasst wurden. Veränderungen und Entwicklungen lassen sich mit Hilfe eines Vergleichs zu den Vorjahresergebnissen ableiten.

Die Ergebnisse des Self-Assessments dienen als Datenbasis zur Berechnung eines Value at Risk für die ökonomische Perspektive der Risikotragfähigkeitsrechnung. Zudem können auch die eingetretenen Schadensfälle im Rahmen der Berechnung einbezogen werden. Hierbei wird neben dem ungestressten auch das gestresste Risikomaß betrachtet. Die Ergebnisse der Berechnung sollten in der Berichterstattung ebenfalls berücksichtigt werden.

Gemäß MaRisk ist das Self-Assessment mindestens jährlich durchzuführen. Sofern sich die Risikosituation unterjährig wesentlich verändert, sollte geprüft werden, ob eine anlassbezogene Aktualisierung des Self-Assessments notwendig ist.

PRAXISTIPPS

• Operationelle Risiken rücken immer stärker in den Fokus der Aufsicht.
• Eine interne Schadensfalldatensammlung schafft Transparenz über die Folgen operationeller Risiken.
• Ein Schadensfallpooling liefert hilfreiche Informationen für ein Benchmarking oder zur Qualitätssicherung der eigenen Schadensdaten.
• Beim Self-Assessment werden operationelle Risiken identifiziert und qualitativ bzw. quantitativ bewertet.
• Von zentraler Bedeutung für den gesamten Risikomanagementprozess ist eine Unternehmenskultur, in welcher ein offener Umgang mit operationellen Risiken und Schadensfällen gelebt und gefördert wird.