Operationelle Risiken in Kreditinstituten

Inhaltsverzeichnis

Darstellungsverzeichnis

Abkürzungsverzeichnis

Symbolverzeichnis

1 Einleitung
1.1 Hinführung zum Thema
1.2 Zielsetzung der Arbeit
1.3 Aufbau der Arbeit

2 Systematisierung und Abgrenzung operationeller Risiken
2.1 Risikobegriff
2.2 Risiken im Bankbetrieb
2.3 Definition operationeller Risiken
2.4 Kategorisierung operationeller Risiken
2.4.1 Personalrisiken
2.4.2 Struktur- und Prozessrisiken
2.4.3 Technologie- und Systemrisiken
2.4.4 Externe Risiken
2.5 Die Motivation der Kreditinstitute
2.5.1 Betriebswirtschaftliche Motive
2.5.2 Gesetzliche Rahmenbedingungen
2.5.3 Regulatorische Anforderungen
2.5.4 Operationelle Risiken im Kontext von Basel II
2.6 Risikomanagementprozess

3 Identifikation von operationellen Risiken
3.1 Schadensfalldatenbanken
3.1.1 Interne Schadensfalldatenbanken
3.1.2 Externe Schadensfalldatenbanken
3.2 Risikoinventur
3.2.1 Prinzip der Risikoinventur
3.2.2 Durchführung der Risikoinventur
3.2.3 Methoden der Datenerhebung
3.2.3.1 Kollektionsmethoden
3.2.3.2 Suchmethoden
3.2.3.3 Risikoindikatoren
3.2.4 Auswertung der Risikoinventur
3.3 Qualitative Methoden der Risikoidentifikation
3.3.1 Prozessrisikoanalyse
3.3.1.1 Baumanalysen
3.3.1.2 Fehlermöglichkeits- und Einflussanalyse (FMEA)
3.3.2 Simulationsansätze
3.3.2.1 Szenarioanalyse
3.3.2.2 Ursache- / Wirkungsdiagramm

4 Quantifizierung von operationellen Risiken
4.1 Quantifizierungsmodelle im Überblick
4.1.1 Top-Down-Ansätze
4.1.2 Bottom-Up-Ansätze
4.2 Zum Begriff Value at Risk
4.2.1 Definition Value at Risk
4.2.2 Erwarteter und unerwarteter Verlust
4.2.3 VaR-Berechnungsmethoden im Überblick
4.3 Statistisch-versicherungsmathematischer Ansatz
4.3.1 Datenbasis
4.3.2 Modellierung der Schadenshäufigkeitsverteilung
4.3.3 Modellierung der Schadenshöhenverteilung
4.3.4 Extremwerttheorie
4.3.5 Ermittlung der Gesamtverlustverteilung
4.3.6 Berechnung OpVaR

5 Fallstudie: Messung von operationellen Risiken
5.1 Aufgabenstellung
5.2 Ausgangslage
5.3 Modellieren der Schadenshäufigkeitsverteilung
5.4 Modellieren der Schadenshöhenverteilung
5.5 Ermittlung des OpVaR
5.6 Evaluierung der Ergebnisse

6 Kritische Würdigung und Ausblick

Anhang
Anhang 1: Der Fall Schneider
Anhang 2: Der Fall Barings Bank
Anhang 3: Der Fall Metallgesellschaft
Anhang 4: Auszug Studie Cap Gemini Ernst & Young (2002)
Anhang 5: Cholesky-Faktorisierung
Anhang 6: Häufigkeitstabelle der Urliste für RK 1
Anhang 7: Häufigkeitstabelle der Urliste für RK 2
Anhang 8: Häufigkeitstabelle der Urliste für RK 3
Anhang 9: Anpassungstest auf eine Normalverteilung
Anhang 10: Anpassungstest auf eine Poissonverteilung

Quellenverzeichnis

Darstellungsverzeichnis

Abbildung 1: Aufbau der Arbeit

Abbildung 2: Ursachenbezogene Interpretation des Risikobegriffs

Abbildung 3: Wirkungsbezogene Interpretation des Risikos

Abbildung 4: Risiken im Bankbetrieb

Abbildung 5: Ursachen operationeller Risiken

Abbildung 6: Operationelle Risikokategorien

Abbildung 7: Grundkonzept von Basel II

Abbildung 8: Risikomanagementprozess

Abbildung 9: Dreidimensionaler Aufbau einer Schadensfalldatenbank

Abbildung 10: Komponenten eines operationellen Risikos

Abbildung 11: Phasen der Risikoinventur

Abbildung 12: Grundschema einer Risk Map

Abbildung 13: Grundprinzip FTA und ETA

Abbildung 14: Verlauf möglicher Szenarien im Szenariotrichter

Abbildung 15: Grundprinzip eines Ursache- / Wirkungsdiagramms

Abbildung 16: Zusammenhang zwischen Messung, Reporting und Management

Abbildung 17: Top-Down-Ansätze und Bottom-Up-Ansätze im Vergleich

Abbildung 18: Erwarteter und unerwarteter Verlust

Abbildung 19: VaR-Berechnungsmethoden im Überblick

Abbildung 20: Ablauf der Quantifizierung

Abbildung 21: Poissonverteilung P~Po(2,4)

Abbildung 22: Empirische und modellierte Verteilung der Schadenshöhe

Abbildung 23: POT-Methode bei Verwendung einer Exponentialverteilung

Abbildung 24: Zweistufige Monte Carlo Simulation

Abbildung 25: Generierung von poissonverteilten Zufallszahlen

Abbildung 26: Generierung von normalverteilten Zufallszahlen

Abbildung 27: Anzahl Schäden nach Risikokategorie

Abbildung 28: Schadensvolumen nach Risikokategorie

Abbildung 29: Empirische Häufigkeitsverteilung Anzahl der Schäden

Abbildung 30: Empirische und parametrische Verteilungen der Zufallsvariablen

Abbildung 31: Konzentrationsanalyse der Schadenshöhe

Abbildung 32: Comparison Chart für RK 2

Abbildung 33: Ablauf der Monte Carlo Simulation

Abbildung 34: Wahrscheinlichkeitsverteilung Gesamtverlust (brutto und netto)

Tabelle 1: Strukturelle Unterschiede zwischen den Risikoarten

Tabelle 2: Datenbanken operationeller Verluste

Tabelle 3: Skalierung von Daten aus der Risikoinventur

Tabelle 4: Ergebnismatrix der OpVaR-Berechnung

Tabelle 5: Ergebnis der Monte Carlo Simulation

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Hinführung zum Thema

Es gehört zum Geschäft von Kreditinstituten, Risiken einzugehen und daraus Erträge zu generieren. Diese Tatsache ist für den Bereich der Kredit- und Marktpreisrisiken selbstverständlich. Für beide Risikoarten wurden in den vergangenen Jahrzehnten aufwendige Verfahren entwickelt, die ein aktives und proaktives Management ermöglichen. Auch wenn die Entwicklung der Methoden stetig voranschreitet, so besteht zumindest über grundlegende Definitions- und Abgrenzungsfragen sowie Quantifizierungsverfahren weitgehend Konsens.

Zunehmend rückt mit operationellen Risiken eine dritte wesentliche Risikoart in den Fokus der Bankhäuser. Zu dieser Entwicklung haben einige spektakuläre Verlustereignisse mit einem teilweise beachtlichen Ausmaß beigetragen. Es wurde eindrucksvoll bewiesen, dass operationelle Risiken auf keinen Fall zu unterschätzen sind und mitunter existenzgefährdenden Charakter annehmen können. Einige ausgewählte Fälle operationeller Verluste seien nachfolgend kurz genannt^[1]:

- 1993 wurde die Metallgesellschaft insolvent, nachdem ihr Tochterunternehmen MG Refining & Marketing (MGRM) durch Öl-Termingeschäfte einen Verlust von 1,5 Mrd. USD erlitt.^[2]
- Die Insolvenz Jürgen Schneiders, der sich mit gefälschten Unterlagen Kredite bei diversen Bankhäusern erschlich, hinterließ 1994 einen Schaden von 2,7 Mrd. EUR bei über 50 Banken.^[3]
- Durch unautorisierte Geschäfte verantwortete der Händler Nick Leeson 1995 einen Verlust von über 1,4 Mrd. USD und damit die Insolvenz der Barings Bank.^[4]
- Von der Flutkatastrophe 2002 in Deutschland waren allein 160 Genossenschaftsbanken^[5] mit einem Kreditvolumen von über 2 Mrd. EUR betroffen.^[6]

Risiken aktiv zu managen kann als Erfolgs- und Wettbewerbsfaktor aufgefasst werden. Das gilt umso mehr für operationelle Risiken, da diese i. d. R. eingegangen werden, ohne dass ihnen dafür ein adäquater Ertrag gegenüber steht.^[7] Ökonomische Gesichtspunkte mögen damit einen Treiber bilden, sich der Thematik operationeller Risiken anzunehmen. Das Bestreben der Bankenaufsicht, operationelle Risiken im Zuge von Basel II mit Eigenkapital zu unterlegen, hat die Problematik stärker in das Bewusstsein der Banken gerückt.

Über operationelle Risiken ist viel Literatur, gerade vor dem Hintergrund von BaselII, veröffentlicht worden. Es ist damit umso erstaunlicher, dass bisweilen keine einheitliche Definition und damit einhergehend keine klare Abgrenzung und Untergliederung von operationellen Risiken existiert.

Aufgrund ihrer Komplexität sind operationelle Risken weitaus schwieriger zu identifizieren als andere Risikoarten. So machten die Ereignisse des 11. September 2001, die zweifelsohne in diese Risikoart eingeordnet werden können, deutlich, dass unbekannte Risiken existieren, die enorme Konsequenzen nach sich ziehen.

Analog zu den Kredit- und Marktpreisrisiken wird versucht, auch für operationelle Risiken eine Risikokennzahl, beispielsweise den Value at Risk, zu ermitteln. Damit soll ein einheitliches Risikoreporting auf Gesamtbankebene erreicht und operationelle Risiken in den Risikomanagementprozess mit einbezogen werden. Die Messverfahren sind vielfältig, aber oft noch nicht ausgereift.

1.2 Zielsetzung der Arbeit

Ziel der Arbeit ist es einerseits, aktuelle Verfahren aufzuzeigen, die es ermöglichen, operationelle Risiken in Banken zu identifizieren, zu messen und daraus die Risikomesszahl Operational Value at Risk (OpVaR) abzuleiten. Die Methoden sollen dabei nicht nur dargestellt, sondern auch kritisch bezüglich ihrer Anwendbarkeit in der Praxis gewürdigt werden. In diesem Zusammenhang sollen operationelle Risiken zudem definiert, kategorisiert und von anderen Risikoarten abgegrenzt sowie die Notwendigkeit, sich dieser Problematik anzunehmen, erörtert und der Prozess des Managements operationeller Risiken charakterisiert werden.

Anderseits sollen die theoretischen Grundlagen mithilfe einer komplexen Fallstudie in die Praxis überführt und dadurch konzeptionelle Probleme, die sich bei der Risikoquantifizierung ergeben, aufgezeigt werden.

1.3 Aufbau der Arbeit

Die Arbeit gliedert sich in sechs Kapitel. Die nachfolgende Abbildung veranschaulicht den Gang der Untersuchung schematisch:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Aufbau der Arbeit

Das erste Kapitel befasst sich mit der Einführung in die Thematik der operationellen Risiken. Im Zweiten werden operationelle Risiken von anderen bankbetrieblichen Risiken abgegrenzt, definiert und kategorisiert. Zum besseren Verständnis wird der Risikobegriff zunächst erläutert und in Bezug zu operationellen Risiken gesetzt. Im Anschluss wird die Motivation der Kreditinstitute näher beleuchtet. Da hier vielfach regulatorische Anforderungen als Treiber wirken, erfolgt hierzu eine Einordnung dieser Risiken im Rahmen von Basel II. Mit der Beschreibung des Risikomanagementprozesses wird das zweite Kapitel abgeschlossen. Die Identifikation und die Quantifizierung als Bestandteile dieses Prozesses sind Gegenstand der Kapitel drei und vier.

Im Kern des dritten Kapitels werden Methoden zur Erkennung von operationellen Risiken behandelt. Es wird speziell auf Schadensfalldatenbanken sowie auf die Risikoinventur eingegangen. Ausgewählte qualitative Verfahren komplettieren die Methoden zur Identifikation operationeller Risiken.

Nachdem umfassend erörtert wurde, wie Risiken erkannt werden, sollen operationelle Risiken im vierten Abschnitt dieser Arbeit mit dem OpVaR gemessen werden. Wesentliche Quantifizierungsverfahren, nach Top-Down- und Bottom-Up-Ansätzen untergliedert, werden kurz dargestellt und der Value at Risk (VaR) wird definiert. Im Besonderen soll der statistisch-versicherungsmathematische Ansatz beschrieben werden.

Aufbauend auf den entwickelten Grundlagen der Kapitel drei und vier verbindet eine Fallstudie die Theorie mit der Praxis im fünften Teil. Die Messung der operationellen Risiken erfolgt in dieser Fallstudie mit dem statistisch-versicherungsmathematischen Ansatz.

Im abschließenden sechsten Kapitel werden die gewonnenen Ergebnisse zusammengefasst und gewürdigt. Ferner wird ein Ausblick auf zukünftige Entwicklungen im Bereich der Identifikation und Quantifizierung von operationellen Risiken gegeben.

2 Systematisierung und Abgrenzung operationeller Risiken

Bei der Behandlung operationeller Risiken ist es sinnvoll, zunächst zu erörtern, was unter Risiko zu verstehen ist. Im Anschluss können Risiken im Bankbetrieb herausgearbeitet und operationelle Risiken von anderen bankbetrieblichen Risiken abgegrenzt werden. Dies beinhaltet ferner die Frage nach der Definition und Unterteilung operationeller Risiken.

In diesem Zusammenhang muss der Nutzen für Banken erläutert werden, sich mit operationellen Risiken zu befassen sowie eine Beschreibung des Risikomanagementprozesses erfolgen.

2.1 Risikobegriff

Der Begriff des Risikos^[8] etablierte sich im europäischen Raum etwa im 16. Jahrhundert.^[9] Kaufleute bezeichneten mit Risiko die Gefahr, dass sich ein Handelsgeschäft entgegen den Erwartungen entwickelt und ihnen dadurch ein Schaden entsteht. Auch der Ausdruck Wagnis wurde mit dem Risikobegriff verbunden.^[10]

In der Betriebswirtschaftslehre ist der Begriff des Risikos weit verbreitet, wird jedoch mit unterschiedlichen Bedeutungen belegt. Zumeist wird ihm eine negative Eigenschaft zugesprochen. Risiko ist ein Zustand, der unerwünscht ist und den es zu meiden gilt.^[11]

In der Literatur wird häufig zwischen einer ursachenbezogenen und wirkungsbezogenen Betrachtungsweise des Risikos unterschieden.^[12]

Es wird unterstellt, dass die in einem Unternehmen zu treffenden Entscheidungen in die Zukunft gerichtet und mit Unsicherheit behaftet sind. Die in der Zukunft möglichen Realisationen können dabei mit einer bestimmten Wahrscheinlichkeit eintreten.^[13] Formal lässt sich das Risiko so durch eine Wahrscheinlichkeitsverteilung beschreiben.^[14]

Wie Abb. 2 verdeutlicht, wird eine Entscheidung durch den Informationsstand einerseits und durch die individuelle Risikotoleranz andererseits determiniert. Die individuelle Risikotoleranz bestimmt sich danach, ob der Entscheidungsträger risikoavers, risikoneutral oder risikofreudig ist.^[15]

Liegen Informationen nur unvollständig vor, erfolgt die Entscheidung unter Unsicherheit. In der Praxis werfen Entscheidungen unter absoluter Sicherheit i. d. R. keine Entscheidungsprobleme auf, weswegen diese kein Risiko darstellen.^[16]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Ursachenbezogene Interpretation des Risikobegriffs^[17]

Situationen der Unsicherheit sind ferner in Risikosituationen und Ungewissheitssituationen zu unterteilen.

Im ersten Fall lassen sich die Eintrittswahrscheinlichkeiten objektiv, resultierend auf historischen Daten bzw. durch das hinreichende Wiederholen eines Zufallsexperimentes oder subjektiv, durch die Intuition der Entscheidungsträger, messen.^[18] Dagegen sind Eintrittswahrscheinlichkeiten bei Ungewissheit unbekannt. Die Zuordnung zu Ungewissheit oder Risiko wird stark subjektiv bewertetet. Zwar können objektive Wahrscheinlichkeiten mithilfe statistischer Verfahren hergestellt werden, dennoch projizieren sie nur vergangenheitsbezogene Daten in die Zukunft und können die exakte Realisation der möglichen Ereignisse nicht mit Sicherheit vorhersagen. Letztendlich können jedoch immer subjektive Aussagen über die Verteilung der Wahrscheinlichkeiten getroffen werden, so dass der Zustand der Ungewissheit eigentlich nicht existiert.^[19]

Die wirkungsbezogene Betrachtungsweise rückt die Folgen einer Entscheidung in den Mittelpunkt. Risiko wird als die Gefahr verstanden, dass ein gewünschtes Ziel verfehlt wird bzw. dass Erwartungen nicht erfüllt werden. Zielverfehlungen können sowohl positiv als auch negativ sein.^[20] Positive Abweichungen charakterisieren eine Chance, negative Abweichungen das Risiko i. e. S.^[21] Dieser Zusammenhang wird in Abb. 3 deutlich. Die Betrachtung ausschließlich negativer Abweichungen wird in der Literatur als asymmetrisches, einseitiges Risiko bzw. Risiko i. e. S. bezeichnet. Werden positive und negative Abweichungen gleichermaßen analysiert, handelt es sich um zweitseitiges, symmetrisches Risiko bzw. Risiko i. w. S.^[22]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Wirkungsbezogene Interpretation des Risikos^[23]

Die Einteilung in einseitige und zweiseitige Risiken ist wiederum subjektiv. Prinzipiell können alle Risiken als symmetrische Risiken betrachtet werden.^[24] Operationelle Risiken können in Abhängigkeit der Zielformulierung sowohl in die eine als auch in die andere Kategorie eingeordnet werden. Besteht die Erwartung, dass kein Schaden eintritt, so stellt z. B. der Eintritt eines Schadens bereits eine Zielverfehlung dar. Folglich handelt es sich um asymmetrisches Risiko. Werden jedoch beispielsweise fünf Schäden pro Monat erwartet, erfolgt eine symmetrische Betrachtung des Risikos. Mehr als fünf Schäden stellen in diesem Fall das Risiko i.e. S., weniger als fünf Schäden die Chance dar.

Zusammenfassend lässt sich festhalten, dass Risiko als die Gefahr einer negativen Abweichung von einem erwarteten Ergebnis verstanden werden kann. Dieses Ergebnis ist das Resultat einer zuvor getroffenen Entscheidung. Der mangelhafte Informationsstand stellt den ursächlichen Teil des Risikos, die Bewertung der Zielverfehlung den wirkungsbezogenen Teil des Risikos dar.^[25]

Als Maß für das Risiko dienen die Eintrittswahrscheinlichkeit und die Tragweite des Risikos, repräsentiert durch die Höhe der negativen Abweichung.^[26] Liegt die Eintrittswahrscheinlichkeit^[27] bei 1 bzw. 0 herrscht kein Risiko, da keine Unsicherheit bezüglich des Eintritts bzw. Nichteintritts des Ereignisses besteht.^[28]

2.2 Risiken im Bankbetrieb

Für die Einteilung von Bankrisiken existieren unterschiedlichste Einteilungsmuster, deren Kriterien stark variieren.^[29] Denkbar ist die Abgrenzung durch die Bildung dichotomer Begriffspaare, wie sie nachfolgend aufgeführt sind:

- Finanzrisiken vs. operationelle Risiken
- Transaktionsrisiken vs. Positionsrisiken
- Erfolgsrisiken vs. Liquiditätsrisiken
- Gegenparteirisiken vs. Marktrisiken
- einzelgeschäftsbezogene Risiken vs. geschäftsstrukturbezogene Risiken
- unsystematisches vs. systematisches Risiko^[30]
- messbare vs. nicht messbare Risiken
- versicherbare vs. nicht versicherbare Risiken
- Einzelrisiken vs. aggregierte Risiken
- interne vs. externe Risiken^[31]

Diese Liste, die keinen Anspruch auf Vollständigkeit erhebt, scheint für die Einordnung von operationellen Risiken in die bankbetrieblichen Risiken nur bedingt geeignet. Es gilt eine Einteilung zu finden, der eine zielorientierte Betrachtungsweise zugrunde liegt und deren Begrifflichkeiten weitgehend akzeptiert und verstanden werden.^[32]

In der Literatur weit verbreitet ist die Kategorisierung der Bankrisiken in Adressenausfall-, Marktpreis- und operationelle Risiken.^[33] Besonders vor dem Hintergrund der eindeutigen Zuordnung von Ereignissen zu einer Risikoart empfiehlt sich eine differenzierte Unterteilung, wie sie exemplarisch in Abb. 4 zu sehen ist.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Risiken im Bankbetrieb^[34]

Finanzielle Erfolgsrisiken stehen bei Banken im Mittelpunkt der Betrachtung. Sie werden i. d. R. bewusst eingegangen und ihnen steht dafür ein adäquater Ertrag gegenüber. Da sie in direkter Verbindung mit der geschäftlichen Tätigkeit des Kreditinstituts stehen, werden sie auch als Geschäftsrisiken bezeichnet.^[35] Sie lassen sich in Kreditrisiken und Marktpreisrisiken unterteilen.

Kreditrisiken, früher als Adressenausfallrisiken bezeichnet, kennzeichnen die Gefahr, dass ein Vertragspartner seine vertraglichen Pflichten nicht erfüllen kann bzw. erfüllen will.^[36]

Damit eng verknüpft ist das Bonitätsrisiko, d.h. die Gefahr, dass sich die Bonität der Gegenpartei verschlechtert. In diesem Zusammenhang können unter Kreditrisiken auch Aktienkurs- und Zinsänderungsrisiken subsumiert werden. Die Bonität eines Kontrahenten hat direkten Einfluss auf Aktien- und Rentenkurse sowie auf Zinspositionen.^[37]

Marktpreisrisiken sind die Folge von Marktpreisvolatilitäten^[38] und stellen die Gefahr sich ändernder Preise auf Wertpapier-, Devisen-, Rohstoff- und Immobilienmärkten dar. Zu ihnen zählen das Aktienkurs-, Zinsänderungs-, Währungs-, Rohstoffpreis- und Immobilienpreisrisiko.^[39] Piaz erwähnt in diesem Zusammenhang zusätzlich das Korrelationsrisiko.^[40]

Die verbleibenden Risikoarten sind nur indirekt mit der Geschäftstätigkeit der Bank verbunden und daher vielmehr als eine Folge der Geschäftsrisiken zu verstehen.^[41]

Liquiditätsrisiken unterteilen sich in Anspannungs-, Termin- und Abrufrisiken.^[42] Anspannungsrisiken ergeben sich aufgrund von Liquiditätsengpässen auf Märkten und führen dazu, dass Verkäufe von Vermögen nicht durchgeführt werden können. Wird Kapital länger als geplant gebunden, weil z. B. ein Kreditnehmer nicht wie vereinbart Zahlungen leistet, handelt es sich um Terminrisiken. Abrufrisiken wiederum resultieren aus der Gefahr, dass Einlagen unerwartet abgerufen oder Kreditzusagen unerwartet erfüllt werden müssen.^[43],^[44]

Operationelle Risiken i. w. S. lassen sich in operationelle Risiken i. e. S.^[45] und strategische Risiken untergliedern. Strategische Risiken bergen die Gefahr, dass eine verfolgte Geschäftsstrategie nicht den gewünschten Erfolg in Bezug auf das eingesetzte Kapital erzielt.^[46] Operationelle Risiken i. e. S. bilden den Kern dieser Arbeit und werden in den folgenden Kapiteln genauer definiert und abgegrenzt. Der Begriff operationelles Risiko wird im Folgenden synonym für operationelle Risiken i.e. S. verwendet.

Alle bisher aufgeführten Risikoarten können Ursache für Reputationsrisiken sein.^[47] Sie entstehen durch einen Vertrauensverlust der Stakeholder in die geschäftlichen Aktivitäten der Unternehmung. Eine Schädigung des Rufs hat in der Regel weit reichende finanzielle Folgen und kann nur mit erheblichem Aufwand wiederhergesellt werden. Dies betrifft auch Rufschädigungen, die ungerechtfertigt sind.^[48]

2.3 Definition operationeller Risiken

Um ein besseres Verständnis für den Begriff der operationellen Risiken zu erlangen, ist es hilfreich, sich über die Ursachen dieser Risiken bewusst zu werden. Wie in Abb. 5 ersichtlich, existieren für das Zustandekommen operationeller Risiken unterschiedliche Ursachen, die sowohl auf interne als auch auf externe Einflüsse zurückgehen.

Auf diesen Ursachen aufbauend, kann eine Definition für operationeller Risiken abgeleitet werden. Diese ist Grundvoraussetzung für die Identifikation, Quantifizierung und Steuerung operationeller Risiken.^[49]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Ursachen operationeller Risiken^[50]

Operationelle Risiken werden allgemein als Betriebsrisiken bezeichnet, d. h. sie können zwangsläufig in jedem Unternehmen auftreten.^[51] Sie zählen zusammen mit den Kreditrisiken zu den ältesten Risiken bei Banken.^[52] Synonym werden operationelle Risiken auch als operational risk oder operative Risiken bezeichnet.^[53]

In der Literatur gibt es bisweilen keine allgemein gültige Definition. Im Vergleich zur Residualdefinition, operationelle Risiken als diejenigen Risiken zu bezeichnen, die weder Kredit- noch Marktpreisrisiken sind, tendieren viele Kreditinstitute zu einer Positivdefinition. Dabei wird genau definiert, welche Kriterien operationelle Risiken erfüllen müssen. Damit können Doppelerfassungen vermieden werden. Zudem führt es bei Entscheidungsträgern zu einem verbesserten Verständnis von operationellen Risiken.^[54] Die Verwendung der Residualdefinition birgt die Gefahr, dass zum einen Kredit- und Marktrisiken zunehmend enger definiert und damit der Anteil operationeller Risiken erhöht wird. Zum anderen erfolgt keine Motivation, operationelle Risiken aktiv zu analysieren und systematisch zu steuern.^[55]

Für die korrekte Zuordnung von Verlustereignissen ist eine klare Abgrenzung operationeller Risiken von den anderen Risikoarten zwingend notwenig. Dies wird besonders deutlich, wenn es zu Überschneidungen kommen kann. Der Ausfall eines Kredites rechtfertigt auf den ersten Blick die Zuordnung in die Kategorie Kreditrisiko. Traten jedoch bei der Verwahrung der Sicherheiten Mängel auf, sollte das Schadensereignis in die Risikoart operationelle Risiken aufgenommen werden.^[56]

Ähnlich kann eine Zuordnung von Verlusten aus Wertpapiergeschäften erfolgen, für die ein Händler keine Autorisierung hatte. Ein etwaig realisierter Kursverlust kann Marktpreisrisiken zugeschrieben werden. Sinnvoller ist jedoch, das Fehlverhalten des Händlers als operationelles Risiko zu erfassen.^[57]

Operationelle Risiken führen nicht nur zu Verlusten aus operationellen Risiken, sondern wirken auf alle anderen Risikoarten. Es kommt hier regelmäßig zu Überlappungen.^[58] Im Vergleich zu den Kredit- und Marktpreisrisiken zeigen operationelle Risiken entscheidende Unterschiede auf:^[59]

- Es existiert kein Zusammenhang zwischen Risiko und Ertrag. Das Eingehen von operationellen Risiken führt nicht zu einer Steigerung des Ertrages.^[60]
- Das Vorhandensein von operationellen Risiken wird oft aus Gründen des Wettbewerbs nicht an Dritte kommuniziert.
- Operationelle Risiken differieren je nach Geschäftstätigkeit, internen Abläufen etc. der Kreditinstitute.
- Die Erfassung operationeller Risiken ist schwieriger. Bei Kredit- und Marktpreisrisiken sind die Risikofaktoren bereits identifiziert.
- Existenzbedrohende Schäden sind äußerst selten. Gerade die Kenntnis dieser ist für das Risikomanagement besonders interessant.

Weitere Abgrenzungskriterien werden in Tabelle 1 ersichtlich. Auffällig ist, dass sich der maximale Gesamtverlust bei operationellen Risiken auf die Höhe des Liquidationswertes des Kreditinstitutes beläuft. Bei den beiden anderen Risikoarten existiert zumindest eine Obergrenze in Höhe des Kreditvolumens bzw. Marktwertes.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Strukturelle Unterschiede zwischen den Risikoarten^[61]

Viele Kreditinstitute stützen sich bei der Definition von operationellen Risiken auf die vom Baseler Ausschuss^[62] vorgeschlagene Definition:

„Operational risk is defined as the risk of loss resulting from inadequate or failed

internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk.“^[63]

Die Ausnahme von strategischen und Reputationsrisiken wird in der Literatur kritisch betrachtet. Halten sich Banken nur an die Vorgaben von Basel II, kann es zu einer Vernachlässigung dieser Risiken kommen.^[64] Reputationsrisiken in der Definition operationeller Risiken nicht zu erfassen, wird zumeist damit begründet, dass es sich hierbei um allgemeine unternehmerische Risiken handelt, die nur sehr schwer zu quantifizieren sind. Vor allem drängen sich Fragen nach der Genauigkeit und der Abgrenzbarkeit dieser Risikoart auf. Im Zuge der vollständigen Erfassung aller Risiken sollten Reputationsrisiken jedoch mit erfasst werden.^[65]

Für die vorliegende Arbeit wird die Definition des Baseler Ausschusses übernommen, d. h. Reputationsrisiken und strategische Risiken sind nicht Gegenstand der Betrachtung.

Mithilfe der Definition können Verlustereignisse in die Risikoart operationelles Risiko eingeordnet werden. Im nächsten Schritt erfolgt eine Untergliederung in einzelne Risikokategorien.

2.4 Kategorisierung operationeller Risiken

In Bezug auf die Definition operationeller Risiken herrscht bei den Banken weitestgehende Übereinstimmung. Jedoch mangelt es derzeit an einer einheitlichen Kategorisierung von operationellen Risiken.^[66]

Abb. 6 zeigt eine mögliche Unterteilung in interne und externe Risiken auf. Interne Risiken werden dabei auf Auslöser innerhalb der Bank, externe auf Ereignisse außerhalb zurückgeführt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Operationelle Risikokategorien^[67]

Die Untergliederung der Einzelrisiken muss institutspezifisch separat festgelegt werden.^[68] Dabei spielen die Geschäftsfelder, sowie die individuellen Rahmendaten des Kreditinstitutes eine entscheidende Rolle.

Die in Abb. 6 genannten Risikokategorien werden in den nachfolgenden Kapiteln näher charakterisiert.

2.4.1 Personalrisiken

Dem Mitarbeiter wird in Banken eine zentrale Bedeutung zugesprochen, denn er beeinflusst maßgeblich den Erfolg des Unternehmens und ist zudem in fast allen Punkten des Geschäftsprozesses involviert. Demnach stellt er oft auch die Ursache der Risiken dar.^[69] Personalrisiken beziehen sich auf alle mit den Angestellten eines Kreditinstitutes in Verbindung stehenden Risiken.^[70] Insbesondere das Fehlverhalten des Einzelfaktors Personal steht hier im Mittelpunkt.

Fehlverhalten wird als eines den Führungs- und Organisationsrichtlinien entgegenstehendes Verhalten definiert. Dieses kann bewusst oder unbewusst ausgeübt werden.^[71] Während der menschliche Irrtum i. d. R. auf Fahrlässigkeit zurückzuführen ist, stellt Betrug eine Form bewussten Fehlverhaltens dar. Die Motive dafür sind vielfältig. Neben finanziellen Problemen der Mitarbeiter kann auch Spaß als Motiv gesehen werden.^[72] Die Überschreitung von Kompetenzen stellt ein weiteres Risiko dar. Zu Kompetenzüberschreitungen kann es aufgrund Unwissenheit des Mitarbeiters oder durch bewusstes Handeln kommen.^[73]

Mangelnde Fachkompetenz sowie eine zunehmende Überlastung^[74] der Mitarbeiter im Zuge immer komplexerer Produkte zählen ebenso zu den Personalrisiken wie Probleme, die sich durch die Fluktuation von Mitarbeitern ergeben. In diesem Zusammenhang sei die Gefahr eines Know-how-Transfers bzw. Know-how-Verlustes genannt.^[75] Risiken entstehen ferner im Rahmen der Personalauswahl. Hier stellt sich die Frage nach der qualitativen und quantitativen Verfügbarkeit von Personal.^[76] Ist diese gegeben, können sich Risiken daraus ergeben, dass trotz vorhandenen Auswahlprozesses ungeeignetes Personal eingestellt wurde.^[77] Risiken resultieren auch aus Arbeitsschutz- und Sicherheitsvorschriften.

2.4.2 Struktur- und Prozessrisiken

In dieser Risikokategorie werden einerseits die Prozesse und andererseits die Organisation selbst betrachtet.

Prozesse bergen Risiken, wenn diese nicht richtig aufgestellt oder nicht korrekt ausgeführt werden bzw. komplett fehlen. Ein Beispiel dafür ist die funktionale Trennung bei der Eingabe von Stammdaten und Transaktionsdaten. Banken wollen damit vermeiden, dass Phantomkunden angelegt werden und so Verluste durch Betrug entstehen. Fehlen derartige Prozesse oder sind diese fehlerhaft, birgt das Gefahren, wie das Beispiel Barings Bank eindrucksvoll gezeigt hat.^[78] Daneben dient das so genannte Vier-Augen-Prinzip ebenfalls als Kontrollmechanismus. Festzustellen bleibt, dass die Kontrolle selbst einen Prozess darstellt, der fehlerbehaftet und folglich Ursache für operationelle Risiken sein kann.^[79]

Mit der Auslagerung von Prozessen entstehen völlig neue Risiken, wenn diese Fehler aufweisen. Teilweise können diese Risiken auch den externen Risiken zugeordnet werden.^[80] Gefahren aus der Organisation ergeben sich, wenn Entscheidungs- und Kompetenzordnungen unsauber definiert sind oder Schwachstellen im Informations- und Kommunikationssystem existieren. Auch der Verlust von Know-how kann Gründe in der Struktur der Organisation haben.^[81]

Die Unternehmenskultur selbst kann Ursache für Risiken sein, denn fehlende Sorgfalt, mangelndes Risikomanagement, unlautere Geschäftspraktiken, fehlende Geschäftsethik oder eine zu lockere Betriebsdisziplin führen nicht nur zu direkten Verlusten, sondern können auch Reputationsschäden nach sich ziehen.^[82]

Im Zusammenhang mit externen Ereignissen seien noch fehlende oder mangelnde Notfallpläne erwähnt.^[83] Die Ereignisse des 11. September 2001 haben gezeigt, dass Risiken teilweise eklatant unterschätzt wurden.^[84]

2.4.3 Technologie- und Systemrisiken

Mit einer steigenden Automatisierung von Prozessen werden Personalrisiken zunehmend reduziert, wobei die technologische Abhängigkeit stärker wird.^[85] Unter Technologie- und Systemrisiken werden alle mit dem Einsatz von Informations- und Kommunikationstechnologie in Verbindung stehenden Risiken verstanden.^[86] Risiken können aus Softwarefehlern beispielsweise in Form von Programmierfehlern, aus fehlerhafter Hardware, Kapazitätsengpässen bei der Datenspeicherung, bei Datenbanken oder im internen und externen Netzwerk resultieren.^[87] Vielfach stellt die Implementierung neuer Programme ein Problem und damit Gefahren aufgrund mangelnder Kompatibilität sowie fehlerhafter Schnittstellen dar.^[88] Zum Beispiel wurden zur Jahrtausendwende Programme mit viel Aufwand umgeschrieben, um falsche Kalkulationen und Programmabbrüche zu verhindern.^[89]

Risiken ergeben sich, wenn Mitarbeiter physikalischen Zugang zu Hardware haben bzw. sich Zugang als Systemadministrator verschaffen. Dies kann zu einer Behinderung von Systemabläufen oder gar der Abschaltung des gesamten Systems führen.^[90] Im Kontext der Wirtschaftsspionage existieren erhebliche Gefahren, wenn Daten extern zur Verfügung gestellt werden. Da Speichermedien zunehmend kleiner und deren Kapazität stetig zunimmt, muss verhindert werden, dass solche Medien an Firmencomputer angeschlossen werden. Mit steigenden Übertragungsraten birgt das Internet die Gefahr, dass Daten ungehindert aus dem Unternehmen geschleust werden können. Das Internet ermöglicht es mitunter Dritten, sich in Systeme der Kreditinstitute einzuloggen.^[91] Mit dem Ausfall von Systemen werden Prozesse unterbrochen. Daraus können beispielsweise Regressforderungen durch Kunden abgeleitet werden. Ferner kann Technik zu Verlusten führen, wenn Daten falsch kalkuliert werden^[92] oder Informationen zu spät geliefert werden.^[93]

2.4.4 Externe Risiken

Risiken, deren Ursachen nicht intern im Unternehmen verursacht werden, sind externe Risiken. Diese Risiken liegen i. d. R. außerhalb des Einflussbereiches der Bank und lassen sich demnach nicht direkt steuern. Wesentliche Beispiele sind Naturkatastrophen wie Erdbeben, Überschwemmungen, Stürme und Feuer, aber auch terroristische Akte und Kriege. Diese Ereignisse sind zwar selten, sollten jedoch aufgrund ihres möglichen Ausmaßes Beachtung im Management operationeller Risiken finden.^[94]

Zu den externen Risiken können auch Kunden zählen, die vorsätzlich oder unbeabsichtigt Schäden verursachen. Kriminelle Handlungen jeglicher Art, d. h. Betrug, Einbruch und Bankraub werden bei externen Risiken erfasst. Unklarheiten im Steuerrecht oder geänderte regulatorische Anforderungen ziehen Konsequenzen nach sich, die Risiken für die Kreditinstitute bergen.^[95]

Rechtliche Risiken können ebenfalls unter externen Risiken subsumiert werden. Darunter wird verstanden, dass Ansprüche rechtlich nicht durchsetzbar oder nicht ausreichend dokumentiert sind. Sie ergeben sich durch hoheitliche Sanktionen oder durch Beeinträchtigungen jeglicher Art, die aufgrund geänderten Rechts zustande kommen.^[96],^[97]

2.5 Die Motivation der Kreditinstitute

In den vorangegangenen Kapiteln konnten operationelle Risiken von anderen Risikoarten abgegrenzt, eine Definition und eine Untergliederung gefunden werden. Im Folgenden sollen die Beweggründe, operationelles Risikomanagement zu forcieren, betrachtet werden.

Hierzu können betriebswirtschaftliche Aspekte, gesetzliche Rahmenbedingungen und regulatorische Anforderungen sowie in diesem Zusammenhang Basel II als Treiber unterschieden werden.

2.5.1 Betriebswirtschaftliche Motive

Schäden durch operationelle Risiken erreichen jedes Jahr die Milliardengrenze.^[98] In Zeiten sinkender Margen und zunehmenden Wettbewerbsdrucks ist es wichtig, Risiken zu erkennen und sie den Verursachern entsprechend zuzuordnen.^[99] In einer Studie der Boston Consulting Group (BCG) gaben 60% der Teilnehmer^[100] Wettbewerbsdruck als Haupttreiber für das Management von operationellen Risiken an.^[101]

Durch den zunehmenden Einzug der Technik in den Bankbetrieb entstehen Abhängigkeiten und Gefahren aus dem Einsatz von Technologie.^[102] Ferner ergeben sich Risiken^[103] im Zusammenhang mit der Globalisierung der Wirtschaft. Finanzprodukte gewinnen an Innovation und Komplexität.^[104] Die Mitabeiterloyalität nimmt ab, was wiederum Know-how-Risiken zur Folge haben kann.^[105] Alle diese Fakten unterstreichen die Notwendigkeit der Fokussierung operationeller Risiken.^[106]

Dabei bieten operationelle Risiken die Möglichkeit der direkten Einflussnahme. Dies ist beispielsweise bei Kreditrisiken nicht der Fall.^[107] Zwar ist dieses Potential im Bereich der Katastrophenrisiken begrenzt, jedoch verbleibt es den Banken, das Schadensausmaß, vorausgesetzt die potentiellen Gefahren sind ihnen bekannt, durch Versicherungen zu begrenzen.^[108]

Die gezielte Analyse operationeller Risiken führt zu einer bewussten Wahrnehmung und schafft somit die Grundlage zur Etablierung einer Risikokultur.^[109] Dies geschieht vor allem dann, wenn die Konsequenzen, die sich aus dem Risiko ergeben, in Geldeinheiten quantifiziert werden. Nur wenn Risiken bekannt sind, können deren Kosten in die Konditions- und Preisgestaltung der Bankprodukte einfließen.^[110]

Ferner werden Geschäftsprozessen durch genaue Ablaufanalysen zum Teil verbessert und somit die Produktivität und Qualität gesteigert.^[111] Die Verbesserung von Prozessen und die Reduktion von Gefahren wirken nach außen und stärken die Reputation des Unternehmens. Somit wird das Vertrauen der Kapitalgeber erhöht,^[112] was sich mitunter auch in einem verbesserten Rating und damit einhergehend in niedrigeren Refinanzierungskosten widerspiegelt.^[113] Geringere Risiken gehen sowohl mit Einsparung als auch verminderten Eigenkapitalkosten^[114] einher und stellen wiederum einen Wettbewerbsvorteil dar.^[115] Gleichzeitig wird so der Unternehmenswert im Sinne des Shareholder-Value-Konzeptes gesteigert.^[116]

Die Notwendigkeit des Managements operationeller Risiken leitet sich auch durch die Portfolio Selection Theory von Markowitz^[117] ab. Nach dieser handeln Wirtschaftssubjekte rational, wenn für die Übernahme von mehr Risiko auch ein höherer Erwartungswert^[118] resultiert bzw. dieser Erwartungswert nicht mit geringerem Risiko zu erreichen ist.^[119] Wenn das Eingehen operationeller Risiken nicht entlohnt wird,^[120] gehen Kreditinstitute höhere Risiken ein, wenngleich sich der erwartete Ertrag nicht zwangsläufig erhöht. Daraus lässt sich schlussfolgern, dass sich Unternehmen, die sich nicht mit operationellen Risiken beschäftigen, irrational verhalten.^[121]

2.5.2 Gesetzliche Rahmenbedingungen

Während bei größeren Kreditinstituten operationelle Risiken große Beachtung finden, spielen sie bei kleinen bis mittelgroßen Banken nur eine untergeordnete Rolle. Die Erfüllung gesetzlicher Anforderungen ist hier die Hauptmotivation.^[122] Während in der Studie der BCG internationale Banken Wettbewerbsdruck als Haupttreiber angaben, zeigt eine Studie von Cap Gemini Ernst & Young bei deutschen und österreichischen Kreditinstituten, dass hier vor allem gesetzliche Anforderungen motivieren.^[123]

Mit Inkrafttreten des Gesetzes zur Kontrolle und Transparenz (KonTraG) im Mai 1998 wurde die Leitungsaufgabe des Vorstands einer AG deutlich formuliert.^[124] Das Gesetz hatte vor allem Änderungen im Aktienrecht, im HGB, im Publizitätsgesetz sowie im Genossenschaftsgesetz zur Folge.^[125] Der § 91 Abs. 2 AktG fordert die Einrichtung eines Überwachungs- sowie Frühwarnsystems, um existenzgefährdende Risiken zu erkennen. Vorstandsmitglieder haben nach §93Abs. 1 AktG die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Dies impliziert, dass grundsätzlich alle Risiken eines Unternehmens betrachtet werden sollen.^[126] Für Verletzungen der Sorgfaltspflicht haften Vorstände der Gesellschaft persönlich.^[127] Zwar gelten diese Regelungen explizit nur für Aktiengesellschaften, es wird jedoch davon ausgegangen, dass diese auf andere Gesellschaften, insbesondere auf die GmbH, abfärben.^[128]

Im Lagebericht müssen Unternehmen nach § 289 Abs. 1 HGB und Konzerne nach §315 Abs. 1 HGB auf die zukünftige Entwicklung des Unternehmens sowie die damit verbundenen Chancen und Risiken eingehen. Abschlussprüfer sind nach §322 Abs.2 HGB aufgefordert, in einem gesonderten Bericht Risiken mitzuteilen, die den Fortbestand des Unternehmens oder eines seiner Konzernunternehmen gefährden. Der Gesetzgeber bezieht sich bei seinen Formulierungen bewusst nur auf das asymmetrische Risiko. Damit will dem Unternehmen die Verantwortung, seine persönliche Risikotoleranz festzulegen, nicht abnehmen.^[129]

2.5.3 Regulatorische Anforderungen

Als die ersten Banken sich vor zehn Jahren mit dem Thema operationelle Risiken befassten, war ihr Handeln vor allem ökonomisch motiviert. Die Mehrheit der Banken nahm sich mit dem Baseler Konsultationspapier 1999^[130] dieser Thematik an. Dies ist auch zwingend notwendig, denn ein Nichterfüllen der gesetzlichen Regelungen führt zu einer Erhöhung des regulatorischen Eigenkapitals und damit zu erhöhten Eigenkapitalkosten. Im schlechtesten Fall wird das Kreditinstitut zur Schließung des Geschäftsbetriebes gezwungen.^[131] Gleichzeitig begrenzt die Bankenaufsicht so die Risiken. Kapital, das für operationelle Risiken verwendet wird, steht anderen Risikoarten und damit für Investitionen nicht zur Verfügung.^[132] Eine Minimierung der Eigenkapitalunterlegung stellt somit einen Wettbewerbsfaktor und damit eine betriebswirtschaftliche Komponente dar.^[133]

Mit dem § 25a KWG werden Kreditinstituten^[134] besondere Pflichten auferlegt, um eine ordnungsgemäße Geschäftsorganisation zu gewährleisten. Dazu gehört eine angemessene Strategie, die Risiken und Eigenmittel des Instituts berücksichtigt. Zudem muss das Kreditinstitut über angemessene interne Kontrollverfahren zur Steuerung und Überwachung der Risiken verfügen. Dies gilt ferner für ausgelagerte Bereiche.^[135]

Die Anforderungen des § 25a KWG an eine ordnungsgemäße Geschäftsorganisation werden am 01. Januar 2007 mit Inkrafttreten der Mindestanforderungen an das Risikomanagement (MaRisk)^[136] weiter konkretisiert. Ferner werden in den MaRisk Aspekte aus der zweiten Säule von Basel II in nationales Recht umgewandelt.^[137]

Aufgrund der Aktualität dieser Thematik werden nachfolgend die Eckdaten für operationelle Risiken im Kontext von Basel II dargestellt.

2.5.4 Operationelle Risiken im Kontext von Basel II

Mit der neuen Baseler Eigenkapitalvereinbarung^[138] müssen nun erstmals auch operationelle Risiken mit Eigenkapital unterlegt werden.

Basel II baut auf drei Säulen auf:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Grundkonzept von Basel II^[139]

Die erste Säule regelt die Mindestkapitalanforderungen. Die Mindesteigenkapitalquote bleibt im Vergleich zu Basel I unverändert bei 8%. Das bedeutet, dass die gewichteten Risikoaktiva aus dem Kreditrisiko zuzüglich der Anrechnungsbeträge aus Marktrisiko und operationellem Risiko maximal das 12,5-fache des Eigenkapitals betragen dürfen.^[140]

Die Eigenkapitalanforderungen für operationelle Risiken können nach dem Basisindikatoransatz (BI), dem Standardansatz (STA) und nach fortgeschrittenen Messansätzen (AMA) berechnet werden.^[141]

Die beiden erstgenannten Verfahren basieren auf finanzwirtschaftlichen Kennziffern, beispielsweise dem Bruttoertrag, und kombinieren diese mit vorgegebenen Kapitalfaktoren.^[142],^[143] Den fortgeschrittenen Messansätzen liegen Risikokennzahlen aus dem internen Risikomesssystem für operationelle Risiken zugrunde.^[144] An diese internen Verfahren werden hohe Anforderungen gestellt und sie unterliegen einer genauen Prüfung durch die Bankenaufsicht.^[145] Diese erwartet, dass STA und AMA vor allem von international tätigen Banken und von Kreditinstituten, die erheblichen operationellen Risiken ausgesetzt sind, verwendet werden. Der BI ist für kleinere Institute konzipiert, was vor allem unter Kostengesichtspunkten sinnvoll erscheint.^[146]

Das aufsichtliche Überprüfungsverfahren, der Supervisory Review Process, bildet die zweite Säule. Ziel ist es, sicherzustellen, dass Banken ausreichend Eigenkapital zur Abdeckung ihrer Risiken vorhalten. Zudem sollen sie motiviert werden, ihre Risikomanagement-Verfahren sowie ihre internen Kontrollprozesse stetig zu verbessern.^[147]

Die Bankenaufsicht überwacht Risiken und Faktoren, die in Säule 1 nur unvollständig oder nicht betrachtet werden. Sie geht auf externe Einflüsse wie z. B. Auswirkungen des Konjunkturzyklus ein und überprüft, ob Mindeststandards und Anforderungen an die Offenlegung bei fortgeschrittenen Messansätzen eingehalten werden.^[148]

Die dritte Säule von Basel II hat die erweiterte Offenlegungspflicht und damit eine Verstärkung der Marktdisziplin zum Gegenstand. Marktteilnehmern wird es so ermöglicht, einen besseren Einblick in die Risikosituation und die Angemessenheit der Eigenmittel zu erlangen.^[149]

Die Unterlegung operationeller Risiken mit Eigenkapital ist ein wesentlicher Aspekt von Basel II unter aufsichtsrechtlichen Gesichtspunkten. Betriebswirtschaftlich steht jedoch das Management im Vordergrund. Aus diesem Grund soll im Folgenden der Risikomanagementprozess näher erläutert werden.

2.6 Risikomanagementprozess

Der Risikomanagementprozess untergliedert sich, wie aus Abb. 8 ersichtlich ist, in beispielsweise sieben Phasen. In der ersten Phase werden die Rahmenbedingungen, die Organisation^[150] sowie die Konzeption des Risikomanagementprozesses festgelegt. Wichtige Elemente, wie z. B. die exakte Abgrenzung und Definition der Risiken und des Risikobegriffs, Methoden und Instrumente zur Identifikation und Bewertung sowie Kontrollprozesse werden dadurch erörtert.^[151] Die Determinierung der Risikopolitik erfolgt aufbauend und im Einklang mit der Vision und der Strategie des Unternehmens.^[152]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Risikomanagementprozess^[153]

Die weiteren Phasen bilden einen Regelkreis, der in bestimmten Zeitabständen wiederholt wird. Die einzelnen Phasen sind dabei nicht isoliert voneinander zu betrachten. Es kann immer wieder zu Rückkoppelungen kommen, so dass Arbeitsschritte erneut ausgeführt werden müssen.^[154]

[...]

---

^[1] Die Fälle Schneider, Barings Bank und Metallgesellschaft sind im Anhang 1-3 ausführlich dargestellt.

^[2] Für die Banken resultierte der Schaden aus ausgefallenen Krediten. Die Zuordnung erfolgt nicht zu Kreditrisiken, sondern zu operationellen Risiken. Vgl. dazu Anhang 3.

^[3] Vgl. Utz, E. R. (2002), S. 105 f.

^[4] Vgl. Rünger, P. / Walther U. (2004), S. 3.

^[5] Vgl. BVR (2002).

^[6] Vgl. o. V. (2002), S. 24.

^[7] Vgl. Einhaus, C. (2002), S. 488.

^[8] Risiko wird vom lateinischen riscare abgeleitet und kann mit Klippe übersetzt werden. Schiffer, die für kürzere Wege den Klippen zu Nahe kamen, gingen ein Risiko ein. Vgl. Hager, P. (2004), S. 9.

^[9] Zuvor wurde Risiko als Angst oder Abenteuer (ab dem 12. Jahrhundert) betrachtet. Vgl. Keller, H. E. (2004), S. 62.

^[10] In der Alltagssprache setzte sich der Risikobegriff erst im 19. Jahrhundert im Zusammenhang mit

den Gefahren der Seefahrt durch. Vgl. Keller, H. E. (2004), S. 62 f.

^[11] Vgl. Piaz, J.-M. (2002), S. 10.

^[12] Vgl. Kaninke, M. (2004), S. 3.

^[13] Vgl. Kremers, M. (2002), S. 35.

^[14] Vgl. Büschgen, H. E. (1998), S. 865 f.

^[15] Vgl. Piaz, J.-M. (2002), S. 10.

^[16] Vgl. Kaninke, M. (2004), S. 3 f.

^[17] Quelle: eigene Darstellung i. A. an Kaninke, M. (2004), S. 4 und Piaz, J.-M. (2002), S. 13.

^[18] Vgl. Piaz, J.-M. (2002), S. 10 f.; Büschgen, H. E. (1998), S. 865 f.

^[19] Vgl. Kaninke, M. (2004) S. 6.

^[20] Vgl. Kremers, M. (2002), S. 36.

^[21] Vgl. Büschgen, H. E. (1998), S. 865 f.

^[22] Vgl. Kaninke, M. (2004), S. 7 f.

^[23] Quelle: eigene Darstellung i. A. an Kaninke, M. (2004), S. 10 und Piaz, J.-M. (2002), S. 13.

^[24] Vgl. Kaninke, M. (2004) S. 9.

^[25] Vgl. Kremers, M. (2002), S. 36.

^[26] Vgl. Piaz, J.-M. (2002) S. 13 f.

^[27] Die Eintrittswahrscheinlichkeit ist als reelle Zahl im Intervall [0..1] definiert. Eine Wahrscheinlichkeit von 1 entspricht einem sicheren Ereignis, das in 100% der Fälle eintreten wird.

^[28] Vgl. Kremers, M. (2002), S. 40.

^[29] Vgl. Piaz, J.-M. (2002) S. 14.

^[30] Vgl. Schierenbeck, H. (2001), S. 4 f.

^[31] Vgl. Kremers, M. (2002), S. 45-47.

^[32] Vgl. Piaz, J.-M. (2002), S. 14.

^[33] Vgl. Münchbach (2001), S. 13 f.

^[34] Quelle: eigene Darstellung i. A. an Röckle, S. A. (2002), S. 21; Romeike, F. (2003a), S. 169 sowie Schierenbeck, H. (2001), S. 6 ff. und Kaiser T. / Köhne M. F. (2004), S. 28.

^[35] Vgl. Piaz, J.-M. (2002), S. 15.

^[36] Vgl. Röckle, S. A. (2002), S. 21.

^[37] Vgl. Schierenbeck, H. (2001), S. 6.

^[38] Vgl. Röckle, S. A. (2002), S. 20.

^[39] Vgl. Schierenbeck, H. (2001), S. 6.

^[40] Vgl. Piaz, J.-M. (2002), S. 16.

^[41] Vgl. Piaz, J.-M. (2002), S. 15.

^[42] Vgl. Becker, H. P. / Peppmeier, A. (2006), S. 390. Diese Unterteilung ist auch bei Schierenbeck, H. (2001), S. 8 zu finden.

^[43] Vgl. Schierenbeck, H. (2001), S. 7.

^[44] Nach Schierenbeck, H. (2001) resultieren Abruf- und Terminrisiken aus Gegenparteirisiken. Marktrisiken beeinflussen wiederum Anspannungsrisiken als auch Terminrisiken.

^[45] Romeike, F. (2003a) verwendet hiefür den Begriff operative Risiken.

^[46] Vgl. Romeike, F. (2003a), S. 169.

^[47] Vgl. Kaiser T. / Köhne M. F. (2004), S. 26 ff.

^[48] Vgl. Piaz, J.-M. (2002), S. 19.

^[49] Vgl. Hoffmann, D. G. (2002), S. 30.

^[50] Quelle: Wiedemann, A. (2004), S. 232.

^[51] Vgl. Einhaus, C. (2002), S. 488.

^[52] Vgl. van den Brink, G. J. (2004), S. 19.

^[53] Vgl. Minz, K.-A. (2004), S. 13.

^[54] Vgl. Jörg, M. (2003), S. 5.

^[55] Vgl. Rünger, P. / Walther, U. (2004), S. 9.

^[56] Vgl. Beeck, H / Kaiser, T. (2000), S. 638.

^[57] Vgl. Kaiser T. / Köhne M. F. (2004), S. 26.

^[58] Vgl. Kaiser T. / Köhne M. F. (2004), S. 26.

^[59] Vgl. Österreichische Nationalbank (2005), S. 12.

^[60] Vgl. dazu auch Einhaus, C. (2002), S. 488.

^[61] Quelle: KPMG (2003), S. 6.

^[62] Auf Basel II wird im Abschnitt 2.5.4 näher eingegangen.

^[63] BIS (2005), S. 140.

^[64] Vgl. Hoffmann, D. G. (2002), S. 30.

^[65] Vgl. Wiedemann, A. (2004), S. 233.

^[66] Vgl. Wiedemann, A. (2004), S. 233.

^[67] Quelle: eigene Darstellung i. A. an Schierenbeck, H. (2001), S. 337 und Romeike, F. (2003a), S. 326.

^[68] Vgl. Wiedemann, A. (2004), S. 231.

^[69] Vgl. Münchbach, D. (2001), S. 32.

^[70] Vgl. Hoffmann, D. G. (2002), S. 41.

^[71] Vgl. Röckle, S. A. (2002), S. 25.

^[72] Vgl. van den Brink, G. J. (2001), S. 4 f.

^[73] Vgl. Jörg, M. (2003), S. 21-23.

^[74] Vgl. van den Brink, G. J. (2001), S. 4 f.

^[75] Vgl. Röckle, S. A. (2002), S. 25.

^[76] Vgl. Jörg, M. (2003), S. 21-23.

^[77] Vgl. KPMG (2003), S. 3. und Hoffmann, D. G. (2002), S. 41.

^[78] Vgl. van den Brink, G. J. (2001), S. 7 ff.

^[79] Vgl. Röckle, S. A. (2002), S. 26 f.

^[80] Vgl. Jörg, M. (2003), S 11.

^[81] Vgl. Röckle, S. A. (2002), S. 26 f.

^[82] Vgl. Jörg, M. (2003), S. 9 f.

^[83] Vgl. Münchbach, D. (2001), S. 32.

^[84] Die Investmentbank Merrill Lynch besaß zwar einen Notfallplan, der den Umzug in ein Ersatzgebäude vorsah. Da sich dieses zu nahe am World Trade Center befand, musste die Handelsabteilung in ein anderes Gebäude ziehen, so dass es hier zu erheblichen Verzögerungen kam. Vgl. Peachey, A. (2002), S. 333.

^[85] Vgl. Münchbach, D. (2001), S. 33.

^[86] Vgl. Röckle, S. A. (2002), S. 27 f.

^[87] Vgl. Münchbach, D. (2001), S. 33.

^[88] Im Rahmen des Change-Managements sollen Fehler dieser Art vermieden werden.

^[89] Viele Bankanwendungen wurden teilweise in den 70er Jahren programmiert. Um Speicherplatz zu sparen, wurde auf die ersten zwei Ziffern der Jahreszahl verzichtet. Zum Millennium wurde genau dies zum Problem. Schwierig gestaltete sich zudem die Suche nach Programmierern, die in der Lage waren, diese alten Programmcodes zu verändern.

^[90] Vgl. van den Brink, G. J. (2001), S. 7 f.

^[91] Hier wird auch vom sog. hacken gesprochen. Der Reputationsschaden, der sich aus solch einem Angriff ergibt, lässt sich kaum quantifizieren.

^[92] Denkbar wäre eine falsche Deckungsbeitragskalkulation, auf Basis derer ein Kredit herausgelegt wird.

^[93] Vgl. van den Brink, G. J. (2001), S. 7 f.

^[94] Vgl. Münchbach, D. (2001), S. 34.

^[95] Vgl. Münchbach, D. (2001), S. 34.

^[96] Vgl. Jörg, M. (2003), S. 8.

^[97] Nach Münchbach gehören Veränderungen der allgemeinen Rechtslage nicht zu den externen Risiken.

^[98] Vgl. Schulz, R. A. (2002), S. 20-22.

^[99] Vgl. Voigt, J. / Köhler, K. (2004), S. 11.

^[100] Befragt wurden 60 führende Banken und Hersteller von Risk Management Software.

^[101] Vgl. BCG (2001), S. 8.

^[102] Z. B. durch das Internet, Computerviren, Anwendungsfehler etc.

^[103] Z. B. Rechtsrisiken, Kulturrisiken.

^[104] Vgl. Kremers, M. (2002), S. 28-32.

^[105] Vgl. Piaz, J.-M. (2002), S. 44.

^[106] Vgl. Kremers, M. (2002), S. 28-32.

^[107] Vgl. o. V. (2004), S. 38.

^[108] Vgl. Stögbauer, C. (2002), S. 180.

^[109] Vgl. o. V. (2004), S. 38.

^[110] In diesem Zusammenhang sei das so genannte risk adjustet pricing erwähnt. Die Konditionen sollen derart gestaltet sein, dass Standardrisikokosten (Risikokosten, die erwartet werden) abgedeckt sind.

^[111] Vgl. van den Brink, G. J. (2003), S. 28.

^[112] Vgl. o. V. (2004), S. 38.

^[113] Vgl. Kaiser T. / Köhne M. F. (2004), S. 3.

^[114] Zu den regulatorischen Anforderungen vgl. Abschnitt 2.5.3 f.

^[115] Vgl. Stögbauer, C. (2002), S. 181.

^[116] Vgl. Kaninke, M. (2004), S. 31.

^[117] Harry M. Markowitz veröffentlichte 1952 „Portfolio Selection“: The Journal of Finance, Vol. 7, Nr. 1, S. 77-91.

^[118] Z. B. in Form von Gewinn, Eigenkapitalrendite etc.

^[119] Vgl. Kaiser T. / Köhne M. F. (2004), S. 3.

^[120] Siehe dazu auch Abschnitt 2.3.

^[121] Vgl. Kaiser T. / Köhne M. F. (2004), S. 3.

^[122] Vgl. o. V. (2004), S. 38.

^[123] Vgl. Cap Gemini Ernst & Young (2002), S. 10. Die Studie ist im Anhang 4 auszugsweise abgebildet.

^[124] Vgl. Kaninke, M. (2004), S. 34.

^[125] Vgl. Jörg, M. (2003), S. 40.

^[126] Vgl. Kaninke, M. (2004), S. 35.

^[127] Nach herrschender Meinung haften Vorstände nur insoweit, dass eine grobe Pflichtverletzung vorliegt. Das ist der Fall, wenn der Vorstand die entsprechenden Konsequenzen seiner Entscheidung bzw. seines Handelns kannte respektive hätte kennen müssen.

^[128] Vgl. Kaninke, M. (2004), S. 34 f.

^[129] Vgl. Kaninke, M. (2004), S. 34 f.

^[130] Darauf aufbauend entwickelte sich der Grundsatz I im KWG.

^[131] Vgl. Kaiser T. / Köhne M. F. (2004), S. 3.

^[132] Vgl. Heinicke, F. (2004), S. 18 und van den Brink, G. J. (2003), S. 27 f.

^[133] Vgl. van den Brink, G. J. (2003), S. 27 f.

^[134] Damit sind i. w. S. alle Unternehmen gemeint, für die das KWG nach § 1 KWG zutrifft.

^[135] Bestimmte Bereiche dürfen nicht ausgelagert werden. Outsourcing-Maßnahmen sind der BaFin und der Deutschen Bundesbank anzuzeigen, § 25a KWG Abs. 2.

^[136] In der MaRisk werden MaK, MaH, MaIR zusammengefasst.

^[137] Vgl. Nemet, M. / Althoff, F. (2006), S. 53.

^[138] Das Inkrafttreten ist für Ende 2006 geplant.

^[139] Quelle: Deutsche Bundesbank.

^[140] Vgl. BIS (2005), S. 12.

^[141] Vgl. BIS (2005), S. 140.

^[142] Vgl. Stögbauer, C. (2002), S. 182.

^[143] Eine detaillierte Beschreibung der einzelnen Ansätze soll im Rahmen dieser Arbeit nicht erfolgen.

^[144] Vgl. BIS (2005), S. 143.

^[145] Vgl. BIS (2005), S. 145 f.

^[146] Vgl. BIS (2005), S. 140.

^[147] Vgl. BIS (2005), S. 162 ff.

^[148] Vgl. BIS (2005), S. 162 ff.

^[149] Vgl. BIS (2005), S. 184 ff.

^[150] Z. B. Funktionen, Verantwortlichkeiten.

^[151] Vgl. Schwarz, M. u. a. (2003), S. 33 und Romeike, F. (2003b), S. 151 ff.

^[152] Vgl. Kuhn, L. (2002), S. 158.

^[153] Quelle: eigene Darstellung i. A. an Kuhn, L. (2002), S. 158 ff.

^[154] Vgl. Kremers, M. (2002), S. 76.