Was und wie? Effektivität und Effizienz verschiedener OpRisk-Management-Alternativen
6
-
Upload
thomas-kaiser -
Category
Documents
-
view
212 -
download
0
Transcript of Was und wie? Effektivität und Effizienz verschiedener OpRisk-Management-Alternativen
23RISKNEWS 06/04
Autor
Dr. ThomasKaiser
ist als Senior Managerder KPMG Deutsche Treu-hand-Gesellschaft AG inFrankfurt für das ThemaOperationelle Risiken ver-antwortlich. Ferner ister Lehrbeauftragter fürOperationelle Risiken ander J.-W.-Goethe-Universität Frankfurt. Zuvorwar er im Risiko-Controllingdreier deutscher Groß-banken tätig. Kontakt:[email protected]
FACHBEITRAG
Maßnahmen zum OpRisk-Management sind inden seltensten Fällen neuartig, sondern gehörenzum etablierten Instrumentarium des zentralenoder dezentralen Linienmanagements. EineSchwierigkeit in der konkreten Umsetzung er-gibt sich jedoch daraus, dass OpRisk-Ereignisse
entlang einer Prozesskette auftreten und daherin verschiedenen Phasen verhindert oder in ihrerAuswirkung beschränkt werden können. DieVerantwortung für die einzelnen Phasen liegt oftin verschiedenen Händen, so dass aufgrund ei-ner unzureichenden Koordination die Auswahl
Was und wie?Effektivität und Effizienz verschiedenerOpRisk-Management-Alternativen
Ungeachtet der Wichtigkeit des Controllings Operationeller Risiken (OpRisk)sollte die Hauptzielsetzung analog zu den übrigen Risiko-Arten immer das Risi-komanagement im weiteren Sinne (dessen Bestandteil das Controlling darstellt)sein. Dabei geht es darum, unter Einsatz effektiver und unter Kostengesichts-punkten effizienter Maßnahmen das Risiko-Profil eines Bereiches oder derGesamtbank in Übereinstimmung mit der strategisch verankerten Risiko-Nei-gung zu bringen. Im Folgenden werden verschiedene Management-Alternativenbeschrieben, die in Abhängigkeit der Zielsetzung eingesetzt werden können.
Abb. 1: Möglichkeiten des Managements Operationeller Risiken
ExterneEinflüsse
Bank Drittpartei
Verminderung der Verlusthäufigkeit
Beeinflussungder Ursachen
Verminderung der Verlustauswirkung
Zeitlicher Verlauf
Ursache 2
Ursache 1
Ursache n
Effekt 1 Transfer 1
Effekt 2
Effekt m Transfer o
Ereignis
Beschränkungder Verlusthöhe
Risiko-transfer
Verhinderungdes Eintritts
24 RISKNEWS 06/04
der geeignetsten Maßnahme für ein bestimmtesRisiko nicht immer gewährleistet ist. Darüberhinaus existieren einzelne Maßnahmen (insbe-sondere Versicherungen) aus einer gewissenTradition heraus und werden häufig nicht syste-matisch auf ihre Eignung beziehungsweise ihrenAnpassungsbedarf hin untersucht. Teilweisewerden sie auch zentral auf der Basis von Erfah-rungswerten abgeschlossen, ohne dass sie undihr Abdeckungsbereich dem jeweiligen Manage-ment im Detail bekannt sind.
OpRisk-Verlustereignisse können eine oder meh-rere Ursachen oder Ursachenketten innerhalbund/oder außerhalb der Bank haben und zu meh-reren monetären Teilverlusten führen, die teil-weise an Dritte transferiert werden können. Wiein Abb. 1 dargestellt, kann grundsätzlich an jederStelle dieses auch in zeitlicher Hinsicht verteil-ten Entstehungsprozesses eines Verlusts durchgeeignete Maßnahmen Einfluss auf die Verlust-höhe genommen werden.
Verminderung der Verlusthäufigkeit
Risikomanagement-Maßnahmen können zu-nächst die Häufigkeit der Entstehung eines Ver-lustereignisses vermindern, wobei die Wirkungsowohl auf die Ursachen als auch auf das Ereig-nis selbst gerichtet sein kann.
Beeinflussung der Verlustursachen
Die Beeinflussung der Verlustursachen kann po-tenzielle Verluste grundsätzlich am effektivstenverhindern. Zudem wirken entsprechende Maß-nahmen nicht nur auf ein einzelnes Vorkommnis,sondern können ähnlich gelagerte Risiken syste-matisch und dauerhaft vermeiden. Möglich istdiese Vorgehensweise dort, wo relevante Ursa-chen für Verlustereignisse bekannt sind und die-se sich im Einflussbereich der Bank befinden.
Zu den möglichen Maßnahmen dieses Typs zäh-len die Verbesserung der Risiko-Kultur und desRisiko-Bewusstseins, die Optimierung von Pro-zessabläufen sowie die Schulung der Mitar-beiter.
Verhinderung des Eintrittseines Ereignisses
Die Verhinderung des Eintritts eines Ereignissesist der Beeinflussung der Verlustursachen nach-gelagert. Sie ist dort die einzige Möglichkeit zurVerminderung der Verlusthäufigkeit, wo sich dieUrsachen dem Einfluss der Bank entziehen odernicht ermittelt werden können. Dies ist insbe-
sondere bei externen Ereignissen wie Viren-attacken oder Kreditbetrug der Fall, kann aberauch für interne Mitarbeiter gelten, soweit diediesbezüglichen Ursachen nicht bankbezogensind. Ferner ist diese Möglichkeit zur Verminde-rung der Verlusthäufigkeit in den Fällen sinnvoll,wo eine Vielzahl an Ursachen zur Entstehungvon Ereignissen beitragen und/oder die Ursach-en nicht mit vertretbarem Aufwand abgestelltwerden können. Typische Maßnahmen, den Ein-tritt eines Ereignisses zu verhindern, sind ma-nuelle oder automatisierte Kontrollen (etwa dasVier-Augen-Prinzip) sowie physische oder EDV-technische Zutrittsbeschränkungen (Ausweis-kontrolle, Berechtigungsprofile).
Verminderung der Verlust-auswirkung
Die zweite grundsätzliche Möglichkeit des Ri-sikomanagements bezieht sich auf die Vermin-derung der Verlustauswirkung. In diesem Fallwird der Eintritt eines Ereignisses nicht verhin-dert, jedoch kann die Höhe des Verlusts noch be-einflusst werden.
Beschränkung der Verlusthöhe
Bankinterne Maßnahmen können im Falle desEintritts eines Ereignisses die Verlusthöhe be-schränken. Hierzu zählen Sprinkleranlagen, diedas Ausbreiten eines Feuers verhindern, sowieinsbesondere Notfallmaßnahmen, welche dieWeiterführung des Geschäftsbetriebs auch beigrößeren Verlustereignissen ermöglichen. Wich-tig im Zusammenhang mit der Beschränkungder Verlusthöhe ist die Schnelligkeit der Ent-deckung eines eingetretenen Ereignisses Opera-tioneller Risiken, da die Verlusthöhe oft im Zeit-ablauf steigt.
Risiko-Transfer
Risiko-Transfers verlagern die finanziellen Folgeneines Verlustereignisses ganz oder teilweise aufDritte. Das verbreitetste Instrument dieser Artist die Versicherung, welche im Fall der Überein-stimmung der Umstände des Verlustereignissesmit den Versicherungsbedingungen denjenigenTeil des Verlusts erstattet, welcher den Selbst-behalt übersteigt und im Rahmen der vereinbar-ten Deckungssumme liegt. Zu beachten ist, dassin Versicherungspolicen häufig die Existenz adä-quater, teilweise konkret spezifizierter Maßnah-men der vorstehend beschriebenen Risikoma-nagement-Maßnahmen erwartet wird (etwaVier-Augen-Prinzip oder Feuerschutzeinrichtun-gen). Im Falle einzelner spezieller Versicherun-
RISKNEWS 06/04 25
FACHBEITRAG
gen gegen Operationelle Risiken überprüft derVersicherer sogar selbst das Vorhandensein unddie Qualität entsprechender Prozesse und Me-thoden. Somit ist der Risiko-Transfer in vielenFällen nicht die einzige Komponente eines Risi-komanagement-Systems, sondern muss im Zu-sammenhang mit vorgelagerten Instrumentenbetrachtet werden.
Ergänzend zu den klassischen und innovativenProdukten der Versicherungsbranche wurdenbankinterne beziehungsweise auf Gegenseitig-keit beruhende Risiko-Transferformen (beispiels-weise Captives) sowie Kapitalmarktlösungen(etwa OpRisk-linked bonds) entwickelt. DieVerbreitung dieser Instrumente ist zurzeit ge-genüber entsprechenden Vorbildern (vor allemCat-bonds) gering, da es aufgrund der Heteroge-nität der Risiken noch keine standardisiertenHandelsprodukte gibt. Zudem befindet sich derMarkt für diese Instrumente erst im Entwick-lungsstadium. Erschwerend kommt hinzu, dassdie Modelle zur Bepreisung entsprechenderLösungen insbesondere aufgrund mangelnder
Datenverfügbarkeit schwer umsetzbar sind.Abb. 2 gibt einen beispielhaften Überblick überOpRisk-Ereignisse und deren mögliches Ma-nagement.
Risiko-Akzeptierung und -Vermeidung
Zuweilen ist die Sichtweise anzutreffen, dassOpRisk im Gegensatz zu Markt- und Kredit-Risiken nicht bewusst eingegangen werden.Diese Aussage hat zumindest nicht uneinge-schränkt Gültigkeit, da diese Risiken oft eineNebenbedingung des Durchführens von Bankge-schäften sind. Es ist zwar wichtig, einen mög-lichst vollständigen Überblick über bestehendeRisiken zu gewinnen, aus Wirtschaftlichkeits-überlegungen heraus sollten einzelne Risiken,insbesondere solche mit seltenem Auftreten undgeringen Auswirkungen, jedoch akzeptiert wer-den. Beispielsweise können menschliche Fehlerbei der Ausführung von Prozessen nie vollstän-dig eliminiert werden und zusätzliche Kontrollenüber ein optimales Maß hinaus können sogarrisiko-steigernde Wirkung entfalten.
Abb. 2: Beispiele für OpRisk-Ereignisse und Maßnahmen zu deren Management
Ursachen Ereignis Effekte
KategorisierungExterne kriminelleEnergie Virenattacke Zerstörung von Bankdaten
MaßnahmetypBeeinflussung derVerlustursachen
Verhinderung desEintritts desEreignisses
Beschränkung derVerlusthöhe Risikotransfer
Maßnahmebeispiel – VirenscannerBackup wichtigerDaten Versicherung
KategorisierungMangelndeQualifikation Fehleingabe
Kompensationszahlungen an Kunden,Zinsschaden
MaßnahmetypBeeinflussung derVerlustursachen
Verhinderung desEintritts desEreignisses
Beschränkung derVerlusthöhe Risikotransfer
MaßnahmebeispielMitarbeiter-schulung Vier-Augen-Prinzip
SystemmäßigeBetragsgrenzen Outsourcing
KategorisierungInterne kriminelleEnergie
Diebstahl durchMitarbeiter Verlust von Vermögenswerten
MaßnahmetypBeeinflussung derVerlustursachen
Verhinderung desEintritts desEreignisses
Beschränkung derVerlusthöhe Risikotransfer
Maßnahmebeispiel
VerbesserungMitarbeiter-selektion
Verwendung vonSicherheits-schlössern –
Leasing,Versicherung
26 RISKNEWS 06/04
Im Gegensatz dazu gibt es Risiken, die nichtoder nur mit unverhältnismäßig hohem Aufwandvermindert werden können, jedoch den Risiko-Appetit der Bank übersteigen. In solchen Fällenmuss eine Risiko-Vermeidungsstrategie gewähltwerden, die zur Aufgabe der betreffenden Ge-schäftsaktivitäten führt. Dabei ist grundsätzlichzu beachten, dass auch nach Einstellung einesGeschäftszweigs oder Produkts mehrere Jahrelang beispielsweise durch HaftungsregelungenRisiken für die Bank fortbestehen.
Ableitung von Managementmaßnahmenaus Controlling-Tools
Das in vielen Banken vornehmlich zu Control-ling-Zwecken eingesetzte beziehungsweise inder Entwicklung befindliche Instrumentariumsoll auch zur Unterstützung des ManagementsOperationeller Risiken im weiteren Sinne die-nen. Dabei kann – wie in Abb. 3 dargestellt –zwischen der Häufigkeit der aus den jeweiligenInstrumenten zu erwartenden Impulse, der Fris-tigkeit der Umsetzung sowie der hauptsächlichangesprochenen Maßnahmenart unterschiedenwerden.
Interne Verlustdaten
Interne Verlustdaten geben einen Überblick übereingetretene Ereignisse und deren Effekte. Sys-tematische Analysen von Ursachen sowie Aus-
wertungen von Häufigkeit und Auswirkungender einzelnen Verluste ermöglichen die Ablei-tung von Maßnahmen, die insbesondere auf dieVerminderung der Verlusthäufigkeit zielen. So-fern Maßnahmen aus in der Regel gravierendenEinzelereignissen abgeleitet werden sollen, istdies fortlaufend möglich und anzuraten. DieseForm der Maßnahmenableitung zielt meist aufkurzfristige Veränderungen ab, bei Verwendungvon statistischen Analysen (insbesondere hin-sichtlich der Häufung ähnlicher Vorkommnisseoder der Erkennung von Mustern), wird eine hin-reichende Historie an Verlusten benötigt und derZeithorizont ist somit eher mittelfristig. Dabeiist zu beachten, dass die Verlustdatensammlungein vorwiegend manueller Prozess ist, der dem-zufolge insbesondere während der Einführungs-phase zu unvollständigen und teilweise inkonsis-tenten Resultaten führen kann.
Externe Verlustdaten
Externe Verlustdaten zeigen Verlustpotenzialemittels Erfahrungen anderer auf. Es kann unter-sucht werden, ob die jeweilige Bank ähnlichenVerlustursachen ausgesetzt ist und diese kön-nen entsprechend analysiert und beeinflusstwerden. Sofern nicht zusätzlich interne Verlustedie Brisanz des entsprechenden Risikos unter-mauern, ist die Umsetzungsfristigkeit von Maß-nahmen basierend auf externen Daten eher mit-telfristig. Die Wiederholung entsprechender
Abb. 3: Möglichkeiten des Einsatzesvon Informationsquellen und Instrumenten
Häufigkeit der Impulsse
Umsetzungs-fristigkeit
Risikomanagement-Maßnahmen
Interne Verlustdaten
Ad-hoc bis quartals-weise
Kurz- bis mittel-fristitg
Beeinflussung der Ur-sachen Verhinderung des Ereig-nisses
Externe Verlustdaten Quartalsweise Mittelfristig
Beeinflussung derUrsachen
Self-Assessment Jährlich Mittelfristig Alle
Szenario-analyse Jährlich Mittel- bis langfristig Alle
Risiko-indikatoren Ad-hoc bis monatlich kurzfristig
Verhinderung des Ereig-nissesBeschränkung derVerlusthöhe
Ökonomisches Kapital Jährlich Mittel- bis langfristig Risikotransfer
RISKNEWS 06/04 27
FACHBEITRAG
Analysen ist aufgrund der üblichen Aktualisie-rungsfrequenzen externer Datenbanken sowiedem mit der Auswertung verbunden Aufwandhöchstens quartalsweise sinnvoll.
Self-Assessment
Self-Assessments zeigen Risiko-Potenziale undSchwachstellen in den bestehenden Maßnah-men zum Risikomanagement der Bank auf, diesich nicht notwendigerweise bereits in Ereignis-sen beziehungsweise Effekten manifestiert ha-ben. Üblicherweise werden Self-Assessmentsjährlich durchgeführt, somit ist nur die mittel-bis langfristige Einleitung von Maßnahmen be-absichtigt. Grundsätzlich können alle Arten vonMaßnahmen aus dem Self-Assessment abgelei-tet werden.
Szenarioanalyse
Die Szenarioanalyse ist ein Instrument zur Pro-gnose zukünftiger Entwicklungen. Durch Szena-rioanalysen können Situationen erkannt und be-urteilt werden, die eventuell zu Verlusten führen.Sie dienen damit zur Konkretisierung und Be-wertung von Risiko-Potenzialen. Da auch Sze-narioanalysen meist jährlich durchgeführt wer-den, liegt der Fokus ebenfalls auf mittel- bislangfristigen Maßnahmen. Üblicherweise wer-den im Rahmen von Szenarioanalysen Ursachenanalysiert, es können jedoch auch andere Maß-nahmentypen abgeleitet werden.
Risiko-Indikatoren
Risiko-Indikatoren sind Kennzahlen, die Auf-schluss über die gegenwärtige und zukünftigeRisiko-Situation eines Kreditinstituts geben. Die-se Indikatoren sind quantitative Größen, an de-nen sich eine Veränderung der bestehendenVerhältnisse im Unternehmen frühzeitig erken-nen lässt und die Hinweise auf wahrscheinlicheVerluste aus Operationellen Risiken geben. Da-her dienen Risiko-Indikatoren als Frühwarn-system, welches Konstellationen anzeigt, die ei-nes umgehenden Managements bedürfen, wobeieine Veranlassung von kurzfristig wirksamenMaßnahmen angestrebt wird. Die Hauptziel-setzung liegt in der Verhinderung von Ereig-nissen, im Einzelfall ist jedoch auch die Be-schränkung der Verlusthöhe möglich.
Ökonomisches Kapital
Das ökonomische Kapital wird üblicherweisejährlich für die Bank sowie deren Bereiche er-mittelt. Es zeigt das quantifizierte Verlustpo-
tenzial als Value-at-Risk, welches durch Eigenka-pital unterlegt werden muss. Da im Rahmen vonRisiko-Ertrags-basierten Steuerungsmechanis-men eine Verzinsung auf das Eigenkapital er-wartet wird, ist dieses Instrument vornehmlichdazu geeignet, den ökonomischen Nutzen vonVersicherungen zu ermitteln. Der direkte Ver-gleich zwischen möglichen Versicherungsprä-mien und der auf das alternativ hierfür zu unter-legende Eigenkapital zu erzielenden Renditekann zukünftig bei Vorliegen einer stabilen Er-mittlungsbasis zum Aufzeigen der relativenVorteilhaftigkeit der Wahlmöglichkeit genutztwerden. Dabei ist zu beachten, dass Risiko-Transfers nur in wenigen Fällen bereichsspezi-fisch abgeschlossen werden können. Somit istaufgrund der bankweiten Perspektive zumindesteine Koordination entsprechender dezentralerAktivitäten, idealerweise jedoch – im Gegensatzzu den übrigen OpRisk-Managementalternativen– ein zentrales Management auf Basis dezentra-ler Impulse zielführend.
Fazit
Die verschiedenen Risikomanagement-Instru-mente haben das Ziel, OpRisk-Ereignisse zuverhindern oder deren Auswirkungen zu vermin-dern. Aus Kosten-Nutzen-Aspekten sollte syste-matisch geprüft werden, welche Maßnahme fürein spezielles Risiko optimal ist. Bei der Ent-wicklung entsprechender Instrumente sollte da-rauf geachtet werden, dass sie relevante Infor-mationen zur Entscheidungsfindung in Bezugauf das Risikomanagement liefern.
Dabei ist insbesondere zu berücksichtigen, dassInstrumente wie Risiko-Indikatoren und InterneVerlustdaten eher auf high frequency/low seve-rity-Risiken abstellen, dafür aber kurzfristigeReaktionen ermöglichen, während die übrigenMethoden eher auf das Management von low fre-quency/high severity-Risiken gerichtet sind mitentsprechend mittel- bis langfristiger Orientie-rung. Somit ergänzen sich die verschiedenenInstrumente und sollten immer in Kombinationmiteinander zur Entscheidungsfindung heran-gezogen werden.
Aus Effizienzgesichtspunkten ist ferner der re-gelmäßige Austausch zwischen dezentralen undzentralen Stellen der Bank nötig, da nur dann dieobjektive Auswahl einer geeigneten Risikoma-nagement-Strategie gewährleistet werden kann.Dies trifft insbesondere auf solche Risiken zu,die entweder bankweite Bedeutung haben oderderen Ursachen und Ereignisse über mehrereBereiche hinweg verteilt sind.
