Ingo Schäl Management von operationellen Risiken
GABLER RESEARCH
Ingo Schäl
Management von operationellen Risiken ...
72 downloads
791 Views
1MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Ingo Schäl Management von operationellen Risiken
GABLER RESEARCH
Ingo Schäl
Management von operationellen Risiken Kategorisierung – Bewertung – Steuerung Mit einem Geleitwort von Prof. Dr. Karl-Heinz Waldmann
RESEARCH
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.
Dissertation Karlsruher Institut für Technologie (KIT), 2010
1. Auflage 2011 Alle Rechte vorbehalten © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011 Lektorat: Stefanie Brich | Sabine Schöller Gabler Verlag ist eine Marke von Springer Fachmedien. Springer Fachmedien ist Teil der Fachverlagsgruppe Springer Science+Business Media. www.gabler.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: KünkelLopka Medienentwicklung, Heidelberg Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in the Netherlands ISBN 978-3-8349-2877-1
Geleitwort Die gegenwärtigen Diskussionen im Zusammenhang mit Basel III zeigen, dass das Management operationeller Risiken nach wie vor ein hochaktuelles Thema darstellt, das nicht nur im Fokus von Aufsichtsbehören, sondern auch von Ratingagenturen und Wirtschaftsprüfern steht. Ingo Schäl greift in der vorliegenden Arbeit dieses hochaktuelle Thema auf und verbindet in vorbildlicher Weise theoretisches Wissen mit praktischen Erfahrungen. Insbesondere werden Lösungen zur Kategorisierung, Bewertung und Steuerung operationeller Risiken entwickelt. Darüber hinaus wird der hierfür relevante aufsichtsrechtliche Rahmen dargestellt und explizit berücksichtigt. Der neu entwickelte Kategorisierungsansatz ist so ausgestaltet, dass er für alle wichtigen Typen von Kreditinstituten herangezogen werden kann. Die in Verbindung mit einem Ambitionierten Messansatz (AMA) für die regulatorische Eigenkapitalunterlegung notwendige Überleitung in den aufsichtsrechtlichen Rahmen wird im Detail angegeben. Anschließend werden verschiedene Bewertungsverfahren für operationelle Risiken auf Anwendbarkeit auf den neuen Kategorisierungsansatz geprüft. Auf der Grundlage der diskutierten Quantifizierungsverfahren wird dann die Höhe des zu unterlegenden ökonomischen Eigenkapitals abgeleitet. Steuerungsansätze für operationelle Risiken runden den ganzheitlichen Ansatz ab. Mit der vorliegenden Arbeit ist eine umfassende Diskussion des Managements von operationellen Risiken gelungen. Die detaillierte Behandlung von Kategorisierungsansätzen, Bewertungsverfahren und Steuerungsmöglichkeiten liefert neben wissenschaftlichen Denkanstößen einen Leitfaden für den praktischen Umgang mit operationellen Risiken, der in wesentlichen Teilen nicht nur für Bankinstitute von beachtlichem Wert ist. Vor diesem Hintergrund wünsche ich dieser Arbeit angemessene Beachtung bei den entsprechenden Adressaten.
Karlsruhe, im Februar 2011
Karl-Heinz Waldmann
Inhaltsverzeichnis Einleitung Erster Teil:
1 Kategorisierung und Abgrenzung von operationellen Risiken
A. Definition und Abgrenzung von operationellen Risiken I.
11
Definition und Begriffseinordnung
11
1.
Der Risikobegriff
11
2.
Definition operationeller Risiken
14
3.
Wirkungskette Risiko – Ereignis – Schadenseffekt
16
II. Das Risikoprofil eines Kreditinstituts
19
1.
Erfolgsrisiken
20
2.
Liquiditätsrisiken
22
3.
Allgemeine Unternehmensrisiken
23
III. Abgrenzung von Kredit- und operationellen Risiken
27
1.
Betriebswirtschaftliche und regulatorische Anforderungen
28
2.
Fehlsteuerung durch verzerrte Kreditrisiko-Steuerungsparameter
31
3.
Ansätze zur ursachenbezogenen Abgrenzung
34
B. Kategorisierung operationeller Risiken I.
9
36
Bewertung des Umsetzungsstandes in der Kreditwirtschaft
36
1.
Ausgangslage
36
2.
Bewertung der Ausgangslage
37
3.
Ein Strukturschema für die Kategorisierung operationeller Risiken
II. Bestehende Kategorisierungsansätze 1.
39 40
Der Kategorisierungsansatz der Bankenaufsicht
40
2.
Kategorisierungsansätze von Kreditinstituten
46
3.
Kategorisierungsansätze von Bankenverbänden
53
III. Ein neuer Kategorisierungsansatz für Kreditinstitute
62
1.
Anforderungen an einen neuen Kategorisierungsansatz
62
2.
Definition und Kategorisierung von Risiko- und Ereigniskategorien der MEKAneu
64
Basel-II-Überleitung der MEKAneu-Kategorien
75
3.
VIII
Inhaltsverzeichnis
Zweiter Teil:
Bewertung von operationellen Risiken
A. Herangehensweisen an die Bewertung operationeller Risiken und Risk-Mapping I.
Anforderungen an Quantifizierungsverfahren im Rahmen der Gesamtbanksteuerung
81 81
1.
Integration der operationellen Risiken in die Gesamtbanksteuerung
81
2.
Betriebswirtschaftliche Anforderungen
83
3.
Regulatorische Anforderungen für AMA Ansätze
83
II. Herangehensweisen an die Bewertung operationeller Risiken
90
1.
Analyseobjekte
90
2.
Top-down- vs. Bottom-up-Verfahren
93
3.
Qualitative vs. quantitative Bewertung
96
III. Risk-Mapping von operationellen Risiken
97
1.
Grobbewertung der Kategorien der MAKABasel_II gemäß LDCE 2009 und Anhaltspunkte für die statistische Modellierung
2.
Riskmapping der Risiko-Kategorien der MEKAneu
108
3.
Wechselwirkungen zwischen Ereignissen verschiedener Risiko-Kategorien
122
B. Quantifizierungsverfahren für operationelle Risiken I.
79
99
125
Bewertung betrieblicher Abläufe
129
1.
Indikatorenansätze
130
2.
Self-Assessment
135
3.
Szenario-Analysen
144
II. Verlustverteilungsansätze
147
1.
Modellierung der Anzahl von Ereignissen
148
2.
Modellierung der individuellen Schadenshöhen
158
3.
Modellierung der Gesamtverlustverteilung
164
III. Extremwerttheorie
172
1.
Die verallgemeinerte Pareto-Verteilung
174
2.
Limit Theorem
174
3.
Modellierung des Tails
175
IV. Wahl des Quantifizierungsverfahrens und Bewertung aggregierter Risiken
177
IX
Inhaltsverzeichnis
1.
Auswahl eines Quantifizierungsverfahrens je Geschäftsfeld und Risiko-Kategorie
177
2.
Auswahl der Risiko-Kennzahl
181
3.
Aggregation von Risiken über Geschäftsfelder und RisikoKategorien
185
Dritter Teil:
Steuerung von operationellen Risiken
191
A.
Ökonomische Kapitalsteuerung
193
I.
Ökonomische Kapitalsteuerung für operationelle Risiken
193
1.
Ableitung der Eigenkapitalgröße
193
2.
Adjustierung mit Hilfe qualitativer Quantifizierungsverfahren
196
3.
Verteilung von ökonomischem Eigenkapital
198
II. Abgrenzung von Kredit- und operationellen Risiken im Rahmen der Gesamtbanksteuerung 1.
Abgrenzung von Kredit- und operationellen Risiken im Rahmen der regulatorischen und ökonomischen Eigenkapitalsteuerung
201
2.
Ein Näherungsverfahren zur Bestimmung des operationellen Anteils am ausgewiesenen Kreditrisiko
203
3. B
201
Reallokation des ökonomischen Eigenkapitals
206
Steuerungsansätze im Rahmen der Gesamtbanksteuerung
209
I.
Risikoorientierte Steuerungsansätze
209
1.
Risikovermeidung und -minderung
213
2.
Risikotransfer
214
3.
Reaktive Steuerung
221
II. Verzahnung der Steuerung operationeller Risiken mit der Gesamtbanksteuerung 1.
Konsistente Steuerung des gesamten Risikoprofils
223 223
2.
Exzellenz in der Produktion und im (Kredit-) Risikomanagement
224
3.
Management von Reputationsrisiken
228
Schlussbetrachtung und Ausblick
233
Anhang
235
Anhang 1
Geschäftsfelder gemäß Basel II
235
Anhang 2
Verteilung der Schadensereignisse gemäß LDCE 2003
237
Literaturverzeichnis
239
X
Abbildungsverzeichnis
Abbildungsverzeichnis Abbildung 1
Triebfedern für das Management von operationellen Risiken
4
Abbildung 2
Methodischer Aufbau dieser Arbeit
Abbildung 3:
Exemplarische Wahrscheinlichkeitsverteilung zukünftiger Verluste 13
Abbildung 4
Darstellung der Wirkungskette Risiko – Ereignis-Schadenseffekt
17
Abbildung 5:
Wirkungsbezogene Darstellung der Risikoarten eines Kreditinstituts
26
10
Abbildung 6
Abgrenzung der Risikotreiber für Kredit- und operationelle Risiken 33
Abbildung 7
Logik zur Trennung von Kreditrisiken und operationellen
35
Abbildung 8:
Einheitliche Hierarchisierung für Kategorisierungsansätze
40
Abbildung 9:
Kategorisierungsstufen 1A und 1 der MAKABasel_II
44
Abbildung 10:
Kategorisierungsstufen der MEKAneu im Vergleich
76
Abbildung 11
Methodischer Aufbau dieser Arbeit
80
Abbildung 12
Regulatorische Anforderungen an Quantifizierungsverfahren
87
Abbildung 13
Mögliche Analyseobjekte für Quantifizierungsverfahren
91
Abbildung 14
Beispielhafte Schwachstellen im Antragsprozess Baufinanzierung 92
Abbildung 15:
Vergleichende Darstellung von Bewertungsverfahren
95
Abbildung 16:
Vergleichende Darstellung von Bewertungsverfahren
96
Abbildung 17:
Prozentualer Anteil der Geschäftsfelder und Stufe-1A-Kategorien der MAKABasel_II an der Gesamtschadenshöhe 101
Abbildung 18:
Prozentualer Anteil der Geschäftsfelder und Stufe-1A-Kategorien 102 der MAKABasel_II an der Gesamtschadenshöhe
Abbildung 19:
Prozentualer Anteil der Geschäftsfelder und Stufe-1-A-Kategorien 104 der MAKABasel_II an der Anzahl der Schadensereignisse
Abbildung 20:
Empirische Häufigkeiten verschiedener Bruttoverluste
107
Abbildung 21:
Riskmapping der Stufe-1-Kategorien der MAKABasel_II
109
Abbildung 22:
Riskmapping der Stufe-1-Kategorien der MEKAneu
113
Abbildung 23:
Riskmapping der Stufe-1-Risiko-Kategorien der MEKAneu
115
Abbildung 24
Risiko-Kategorien und Geschäftsfelder als Analyseobjekte für die Quantifizierung
127
Exemplarische Darstellung von Risikoindikatoren zu EreignisKategorien der MEKAneu
134
Abbildung 25
Abbildungsverzeichnis
XI
Abbildung 26
Vorschlag für die Durchführung eines Self-Assessment
138
Abbildung 27
Abgrenzung verschiedener Fragetypen
141
Abbildung 28
Beispielhafte Darstellung des Ergebnis eines Self-Assessment für die Kategorie t „Systemqualitätsmängel“
143
Exemplarische Darstellung von eingetretenen operationellen Ereignissen im Zeitablauf
149
Sinnvolle Verteilungen für die Modellierung der Anzahl von operationellen Ereignissen
155
Sinnvolle Verteilungen für die Modellierung der individuellen Verlusthöhen
162
Methodische Vorgehensweise zur Modellierung der Gesamtverlustverteilung
166
Abbildung 33
Zusammengesetzte Gesamtverlustverteilung
173
Abbildung 34:
Aggregation von Risikokennziffern (z. B. Value-at-Risk) auf Gesamtbankebene
179
Mögliche Quantifizierungsverfahren für verschiedene RisikoKategorien
180
Abbildung 36
Methodischer Aufbau dieser Arbeit
192
Abbildung 37
Ermittlung des Risikopotenzials (Operational Value-at-Risk)
195
Abbildung 38
Schematische Darstellung der Ableitung des ökonomischen Eigenkapitalbedarfs
197
Abbildung 39
Ableitung von additiven, ökonomischen Eigenkapitalgrößen
199
Abbildung 40
Scoringverfahren zur Ermittlung des Verhältnisses von operationellen Risiken zu Kreditrisiken
206
Abbildung 41
Ursachenbezogene Aufspaltung des Value-at-Risk VaR12
209
Abbildung 42
Steuerungsansätze für operationelle Risiken
211
Abbildung 43
Proaktive Steuerungsansätze ausgehend von einer Riskmap
212
Abbildung 44
Beispielhafte Zuständigkeiten eines Operational-Risk-Management
222
Abbildung 29 Abbildung 30 Abbildung 31 Abbildung 32
Abbildung 35
Abbildung 45
Auswirkungen von Produktions- und Risikomanagementexzellenz auf das Kundengeschäftsergebnis 225
Abbildung 46
Instrumente zur Umsetzung einer Produktions- und Kreditrisikomanagement-Exzellenz im Kreditgeschäft
227
XII Abbildung 47:
Abbildungsverzeichnis
Prozentualer Anteil der Geschäftsfelder und Stufe-1-A-Kategorien 237 der MAKABasel_II an der Anzahl der Schadensereignisse
Tabellenverzeichnis Tabelle 1:
Definition der verschiedenen Risikoarten des Risikoprofils eines Kreditinstituts
20
Stufe-1A-Kategorieren der MAKABasel_II samt Definitionen, ergänzt um die Stufe 0
45
Tabelle 3:
Kategorien der MIKABremen
49
Tabelle 4:
Kategorien der MEKABBA
58
Tabelle 5:
Kategorisierung von Risiken resultierend aus menschlichem Versagen
65
Tabelle 6:
Detail-Darstellung der MEKAneu: Prozessrisiken (PRO)
70
Tabelle 7:
Detail-Darstellung der MEKAneu: Personenrisiken (PER)
72
Tabelle 8:
Detail-Darstellung der MEKAneu: Systemrisiken (SYS)
73
Tabelle 9:
Detail-Darstellung der MEKAneu: Externe Risiken (EXT)
75
Tabelle 2:
Tabelle 10: Stufe-1A-Kategorien der MAKABasel_II, ergänzt um die Stufe 0
99
Tabelle 11: Baseler Geschäftsfelder (Ebene 1)
100
Tabelle 12
Riskmapping der Stufe-1-Kategorien der MAKABasel_II
110
Tabelle 13
Konventionen bzgl. der Gruppierung von Wertebereichen bei Schadenshöhen
112
Konventionen bzgl. der Gruppierung von Wertebereichen bei Häufigkeiten
112
Konventionen bzgl. der Gruppierung von Wertebereichen der Stufe-2-Ereignis-Kategorien bei Häufigkeiten und Schadenshöhen
116
Tabelle 16
Grobbewertung der Ereignis-Kategorien der MEKAneu
119
Tabelle 17
Grobbewertung der Ereignis-Kategorien der MEKAneu
120
Tabelle 18
Grobbewertung der Ereignis-Kategorien der MEKAneu
121
Tabelle 19
Grobbewertung der Ereignis-Kategorien der MEKAneu
122
Tabelle 14 Tabelle 15
Tabelle 20: Korrelationstabelle
124
Tabelle 21: Überblick über Bewertungsverfahren für betriebliche Abläufe
130
Tabelle 22
Asymptotisches Verhalten der Dichten, geordnet nach aufsteigender Masse im Tail
164
Tabelle 23: Rekursive Berechnung von P[N=k] im Rahmen der Panjer-Klasse
168
Tabelle 24
184
Eigenschaften ausgewählter Risiko-Kennzahlen
XIV Tabelle 25 Tabelle 26 Tabelle 27
Tabellenverzeichnis
Versicherungsarten mit möglichen abgesicherten Risiko-Kategorien gemäß MEKAneu
217
Empirischer Versicherungsschutz bei operationellen Ereignissen gemäß LDCE 2009
219
Mögliche Effektkategorien für Reputationsrisiken gemäß BBA
230
Tabelle 28: Definition der Baseler Geschäftsfelder
236
Abkürzungsverzeichnis AMA
Ambitionierter Messansatz/Ambitionierte Messansätze
beob. betriebl. bzgl.
beobachtet betrieblich bezüglich
CAD 3 d.
Kapitaladäquanzrichtlinie der Europäischen Union des; durch
EAD E(X) EK EL etc. EUR EVT EXT exempl.
Exposure at default Erwartungswert der Zufallsvariablen X Eigenkapital Erwarteter Verlust / Expected Loss et cetera Euro Extreme Value Theorie Externe Risiken exemplarisch
ggf.
gegebenenfalls
HFHS HFLS HFMS
High Frequency High Severity High Frequency Low Severity High Frequency Middle Severity
i. d. R. i. e. S. i.i.d. insbes. int. IT i. w. S.
in der Regel im engeren Sinn unabhängig und identisch verteilt insbesondere Intern Informationstechnologie im weiteren Sinn
Kat. KWG KYC
Kategorie Gesetz über das Kreditwesen know your customer
XVI LDCE LFHS LFLS LFMS LGD MaK MAKA BII
Abkürzungsverzeichnis
Operational Risk Loss Data Collection Exercise; vgl. Basel Committee on Banking Supervision: (Loss Data Collection) Low Frequency High Severity Low Frequency Low Severity Low Frequency Middle Severity Loss Given Default Mindestanforderungen an das Kreditgeschäft der Kreditinstitute Makro-Kategorisierung der Basel-II-Rahmenvereinbarung Makro-Kategorisierung der Basel-II-Rahmenvereinbarung
MAKABasel_II mathem. MEKA MFHS MFLS MFMS MIKA Mio. Mrd.
mathematisch Meso-Kategorisierung Middle Frequency High Severity Middle Frequency Low Severity Middle Frequency Middle Severity Mikro-Kategorisierung Millionen Milliarden
ökon. OpRisk operat. o. V.
ökonomisch Operational Risk, operationelle Risiken operationelle ohne Verfasser
PD PER PRO
Probability of Default Personenrisiken Prozessrisiken
Reelle Zahlen (f; f)
Reelle Zahlen [f; f]
red. regulator. Ris. risikored.
reduzierend regulatorisch Risiko risikoreduzierend
spezif. Sachbearb. St. s. u. SYS
spezifisch Sachbearbeitung Stufe siehe unten Systemrisiken
TEUR
Tausend Euro
Abkürzungsverzeichnis
UEL
Unerwarteter Verlust / Unexpected Loss
V(X) vors.
Varianz der Zufallsvariablen X vorsätzlich
z. B. z. T.
zum Beispiel zum Teil
XVII
Einleitung Es war ein Arbeitstag wie jeder andere. Ich hatte die Gelegenheit, in der Nähe von Münster ein Seminar für Bankcontroller durchzuführen. Das Thema: Operationelle Risiken in Kreditinstituten. Und wie jeder Referent, der die Aufmerksamkeit des Auditoriums sucht, wies auch ich darauf hin, dass das behandelte Thema, also das Management operationeller Risiken, eines der wichtigsten und spannendsten Themen der Banksteuerung sei. Außerdem bemühte ich den häufig zitierten Ausspruch: „Wenn mich jemand fragt, wie ich am besten meine Erfahrungen aus 40 Jahren auf hoher See beschreiben würde, so könnte ich diese Frage lediglich mit ‚unspektakulär‘ beantworten. Natürlich gab es schwere Stürme, Gewitter und Nebel, jedoch war ich nie in einen Unfall jeglicher Art verwickelt, der es wert wäre, über ihn zu berichten. Ich habe während dieser Zeit kaum ein Schiff in Seenot erlebt“1 – E. J. Smith, 1907, Kapitän der RMS Titanic. In Anlehnung daran wies ich darauf hin, dass auch wenn in den meisten Instituten die Steuerung operationeller Risiken bislang ‚unspektakulär’ verlaufen sei, möglicherweise ein größeres Schadensereignis bevorstehen könne. Keiner ahnte zu dem Zeitpunkt, dass die aktuellen Ereignisse eine derartige Rhetorik gerade überflüssig gemacht hatten: Es wurde kein Arbeitstag wie jeder andere. Es war der 11. September 2001. Seit vielen Jahren begleite ich Kreditinstitute bei der Weiterentwicklung ihres Risikomanagement. In diese Zeit fallen tragische Ereignisse wie der 11. September 2001 sowie auch der Skandal um einen einzelnen betrügerischen Händler bei der Société Générale, der bis Anfang 2008 einen Gesamtverlust von fast 5 Milliarden Euro kumulierte, ohne dass sein Fehlverhalten zunächst bemerkt wurde.2 Dieser Betrugsfall stellte eine akute Existenzbedrohung für die Bank dar. Dabei war die Kreditwirtschaft 1995 bereits einmal durch die Insolvenz der Barings Bank, ebenfalls verursacht durch einen betrügenden Händler, wachgerüttelt worden.3 Aber auch ganz kleine, operative Prozessfehler führten zu großen Schäden. So erzeugten an der Tokioter Börse mehrmals einfache Tippfehler, nämlich ein Verwechseln von Preis und Stückzahl, dreistelle Millionen Euro Verluste. Einer der bekanntesten Vorfälle war der irrtümliche Verkauf einer großen Menge von J-Com-Aktien zu einem falsch eingegebenen Preis im Dezember 2005.4
1 2 3 4
zitiert nach Beeck, H./Kaiser T.: (Quantifizierung) S. 634. Vgl. o.V./Reuters: (SocGen deckt Händlerbetrug auf). Vgl. Auer, M.: (Operationelles Risikomanagement) S. 16-17; Chernobai, A. S./Rachev, S. T./Fabozzi, F. J. (Operational Risk) S.5-7; Stickelmann, K.: (Operationelles Risiko – Abgrenzung und Definition) S. 6. Vgl. o.V./FAZ: (Der teuerste Tippfehler der Welt); o.V./Süddeutsche Zeitung: (Der 190-Millionen-EuroTippfehler).
I. Schäl, Management von operationellen Risiken, DOI 10.1007/978-3-8349-6548-6_1, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
2
Einleitung
Bei Bekanntwerden derartiger Ereignisse habe ich mir überlegt, wie solche Schadensfälle hätten vermieden werden können und wie das Risiko des Auftretens solcher Schäden bewertet werden kann. So ist auch die Idee entstanden, das Management operationeller Risiken praxisbegleitend im wissenschaftlichen Kontext zu beleuchten und weiterzuentwickeln. Kreditinstitute sehen sich der Entwicklung ausgesetzt, dass das Risikopotenzial in Bezug auf operationelle Risiken stetig zunimmt. Die Bankenaufsicht sieht hierfür u.a. folgende Gründe:1 o Die zunehmende Globalisierung macht das Finanzdienstleistungsgeschäft weniger überschaubar und resultiert in neuen Risikoexpositionen (z.B. zusätzliche Rechtsrisiken). o Die Weiterentwicklung von IT-Lösungen für Kreditinstitute erhöht die Anforderungen an Wartung und Anwendung und generiert Abstimmungsschwierigkeiten an Schnittstellen. Zwar können Risiken aus manuellen Prozessen mit Hilfe von IT reduziert werden, jedoch erhöhen sich gleichzeitig Systemrisiken und die Abhängigkeit von IT-Systemen. o Der zunehmende E-Commerce führt zu Datensicherheitsproblemen und erhöht die Exposition gegenüber Betrugsfällen. o Fusionen und Restrukturierungen von Instituten führen zu neu geschaffenen Organisationseinheiten, in denen Prozesse und IT-Systeme zunächst störanfällig sein können und in denen sich Mitarbeiter erst neu orientieren müssen. o Der zunehmende Trend zur Auslagerung (Outsourcing) von bankbetrieblichen Prozessen an externe Parteien erhöht das Risiko, nicht die eingeforderte Qualität geliefert zu bekommen und schafft neue Schnittstellenprobleme. o Die Produkte von Kreditinstituten werden zunehmend komplexer und es besteht die Gefahr, dass Mitarbeiter nicht richtig mit ihnen umgehen. o Durch die zunehmende Anwendung von Instrumenten für einen Transfer von Kredit- und Marktpreisrisiken (Kreditderivate, Verbriefungs-Transaktionen, Netting-Vereinbarungen) entstehen neue Risiken wie z.B. Rechtsrisiken. Zudem treten operationelle Schadensereignisse auch gemeinsam
1
Vgl. Basel Committee on Banking Supervision: (Sound Practices) S. 1-2; Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 7-8; vgl. auch Chernobai, A. S./Rachev, S. T./Fabozzi, F. J. (Operational Risk) S. 2-4.
Einleitung
3 mit Ausfällen resultierend aus Kredit- und Marktpreisrisiken auf bzw. bedingen sich zum Teil gegenseitig.1 o Im Zuge der Finanzkrise in den Jahren 2008 bis 2010 dürften, so vermuten Forensiker, weitere große Betrugsfälle sichtbar werden. Investoren ziehen Vermögen ab und entlarven so Kapitalanlagebetrüger, die ihr betrügerisches System dann nicht mehr aufrechterhalten können. Der Fall um den Finanz- und Börsenmakler Bernard L. Madoff, welcher ca. 45 Milliarden EUR veruntreute, war hier möglicherweise erst der Anfang.2
Kreditinstitute müssen sich auf diese Entwicklungen einstellen. Für sie gibt es mindestens vier Triebfedern, das Management operationeller Risiken weiterzuentwickeln. Diese Triebfedern sind die konsistente Einbindung aller Risiken in die Gesamtbanksteuerung, die Verbesserung von bankbetrieblichen Geschäftsprozessen, die Erfüllung regulatorischer Anforderungen sowie eine verbesserte Positionierung am relevanten Markt (vgl. Abbildung 1 3). Im Rahmen der Gesamtbanksteuerung müssen sämtliche Risikoarten eingebunden und richtig voneinander abgegrenzt werden. Die Allokation von ausreichendem ökonomischem Eigenkapital gewährleistet den dauerhaften Fortbestand eines Kreditinstituts. Grundvoraussetzung hierfür ist jedoch eine möglichst exakte Bewertung, insbesondere auch der operationellen Risiken. Diese schafft die Voraussetzung für eine ursachengerechte Steuerung von Risikopotenzialen.4 Prozessrisiken sind eine wesentliche Risikokategorie der operationellen Risiken. Es ist daher wenig verwunderlich, dass die Qualität von bankbetrieblichen Prozessen eng verknüpft ist mit einem effektiven Management operationeller Risiken. Dieses beinhaltet Methoden wie ein Self-Assessment und ein Monitoring von Risikoindikatoren. Mit diesen Bewertungsmethoden werden bankbetriebliche Prozesse durchleuchtet und Schwachstellen sichtbar gemacht. Sie liefern Ansätze für eine aktive Verlustvermeidungsstrategie. Wie so häufig, so sind auch im Umgang mit operationellen Risiken wichtige Impulse von der Bankenaufsicht gekommen. Durch die Unterlegungspflicht von operationellen Risiken mit regulatorischem Eigenkapital gemäß Basel II bzw. der deutschen Solvabilitätsverordung und durch die Formulierung von Mindestanforderungen an das Manage-
1 2 3 4
Vgl. Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 278-281; Schäl, I.: (Kreditderivate). Vgl. Shinde, S.: (Finanzkrise lässt Betrüger auffliegen); Benders, R./ Slodczyk, K./ Riecke, T.: (Bernard Madoff). Quelle: Modifzierte Abbildung nach Lüders, U./Schäl, I.: (Umsetzung eines Operational-Risk-Management) S. 32. Vgl. Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 279.
4
Einleitung
ment operationeller Risiken hat das Risikomanagement eine deutlich höhere Verbindlichkeit erfahren.1 Rechtsnormen wie die 2009 überarbeiteten Mindestanforderungen an das Risikomanagement (MaRisk) helfen zudem, operationelle Risiken im Geschäftsbetrieb zu vermeiden und Risiken effektiv zu steuern.2 Einbindung in die Gesamtbanksteuerung
Effiziente Geschäftsprozesse
• Tragfähigkeit des Risikopotenzials
• Optimierung der Geschäftsprozesse
• Genaue OpRisk-Bewertung
• Self-Assessment auf der Grundlage von Prozessen
• Optimierung der ökonomischen Eigenkapital-Allokation • Einbindung in den Gesamtsteuerungsrahmen
Regulatorische Anforderungen • Umsetzung von Basel II/ Solvabilitätsverordnung • Eigenkapitalunterlegung • Sound Practices for the Management of Operational Risk • MaRisk und KonTraG
Abbildung 1
Triebfedern für das Management operationeller Risiken
• Aktive Verlustvermeidungsstrategien und Maßnahmenplanung
Positionierung am Markt • Verbesserung der Außenwirkung bei Kunden und Partnern • Positive Beeinflussung der Beurteilung durch Fremd- und Eigenkapitalgeber sowie durch Ratingagenturen
Triebfedern für das Management von operationellen Risiken
Nicht zuletzt für die Außenwirkung ist es entscheidend, signalisieren zu können, dass ein funktionierendes Management operationeller Risiken in einem Kreditinstitut installiert ist. Ratingagenturen betonen, dass sie ein besonderes Augenmerk auf das Manage-
1 2
Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 644-683; Bundesministerium der Finanzen/Deutsche Bundesbank (Solvabilitätsverordnung) §269-293. Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk); Die Anforderungen der Sound Practices for the Management and Supervision of Operational Risk, vgl. Basel Committee on Banking Supervision: (Sound Practices), sind sinngemäß in die MaRisk aufgenommen worden. Vgl. auch Deutscher Bundestag: (KonTraG).
Einleitung
5
ment dieser Risiken legen.1 In letzter Konsequenz beeinflusst das Risikomanagement die Bonität und damit die Refinanzierungskosten eines Kreditinstituts. Eine ganze Zeit lang wurde operationellen Risiken in der Banksteuerung verhältnismäßig wenig Beachtung geschenkt. Operationelle Risiken wurden im Spektrum der Risikoarten eines Kreditinstituts häufig nur indirekt über die Residualmenge „other risks“ gesteuert. Dieser Steuerungsansatz blieb wenig konkret und wenig wirksam. Die Ursachen operationeller Risiken werden über eine Residualbetrachtung nicht hinreichend adressiert.2 Die Bewertung und Steuerung operationeller Risiken wurden in der Wissenschaft manchmal als „Saure-Gurken-Glas“ angesehen mit der Begründung, dass operationelle Risiken derart heterogen und institutsspezifisch seien, dass sie nur äußerst schwer darzustellen seien. Spektakuläre Verlustfälle, die auf operationelle Ereignisse zurückzuführen waren, und die aufsichtliche Diskussion um die Einführung von Basel II haben das Management operationeller Risiken jedoch weiter in den Fokus der Betrachtung gerückt. Mittlerweile haben operationelle Risiken den Status einer eigenständigen Risikoart erhalten. Gemäß Basel II sind sie separat mit regulatorischem Eigenkapital zu unterlegen und separat zu steuern.3 Zudem ist im wissenschaftlichen Kontext eine Reihe von fortgeschrittenen Beiträgen zur Bewertung und Steuerung operationeller Risiken erschienen. Den Status eines „Marmeladen-Glases“ haben operationelle Risiken jedoch noch lange nicht. Den Weg dahin möchte diese Arbeit unterstützen. Im Lichte der obigen Betrachtungen gliedert sich die vorliegende Dissertation in drei Hauptteile. In diesen werden Lösungen zur Kategorisierung, zur Bewertung und zur Steuerung von operationellen Risiken dargestellt. Dabei steht das Risikomanagement von Kreditinstituten im Fokus. Viele Ansätze sind jedoch auch auf andere Finanzdienstleister und allgemein auf Unternehmen und Dienstleister übertragbar. Es wird ein in sich geschlossener Ansatz für das bankbetriebliche Management von operationellen Risiken dargestellt. Zudem wird dort, wo es hilfreich ist, dargestellt, in welchem regulatorischen Rahmen (z.B. Basel II) sich Kreditinstitute bewegen müssen. Im ersten Hauptteil dieser Arbeit werden operationelle Risiken definiert, kategorisiert und gegenüber anderen Risikoarten abgegrenzt. Zum einen wird damit ein Standard
1 2 3
Vgl. Young, B.: (Moody’s Analytical Framework). Vgl. Beeck, H./Kaiser T.: (Quantifizierung) S. 636-639; Stickelmann, K.: (Operationelles Risiko – Abgrenzung und Definition) S. 13-15. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 644-683; Bundesministerium der Finanzen/Deutsche Bundesbank (Solvabilitätsverordnung) §269-293.
6
Einleitung
geschaffen, der als Basis für den zweiten Hauptteil (Bewertung) und dritten Haupteil (Steuerung) dieser Arbeit dient. Zum anderen soll die Grundlagen-Diskussion von Wissenschaftlern, Bankpraktikern sowie Aufsichtsbehörden weiter angeregt werden. Im Gegensatz zu anderen Risikoarten sind operationelle Risiken ein sehr weit gefächertes, heterogenes Risikofeld. Neben einer exakten Definition ist daher eine detaillierte und möglichst konsistente Kategorisierung notwendig.1 Die derzeit bereits vorhandenen Kategorisierungsansätze für operationelle Risiken sind teilweise sehr unterschiedlich aufgebaut und weisen teilweise Optimierungsbedarf auf.2 Daher wird im ersten Hauptteil ein Kategorisierungsansatz für operationelle Risiken neu entwickelt. Dieser ist für alle wichtigen Geschäftstypen von Kreditinstituten adaptierbar. Für Kreditinstitute, die einen Ambitionierten Messansatz gemäß Basel II für die regulatorische Eigenkapitalunterlegung verwenden wollen, wird die dafür benötigte Überleitungsfunktion in den aufsichtrechtlichen Rahmen explizit hergeleitet. Im zweiten Hauptteil wird ein Beitrag dazu geleistet, Bewertungsansätze für operationelle Risiken weiter zu systematisieren. In 2003 und 2009 veröffentlichte Datenerhebungen durch den Baseler Ausschuss für Bankenaufsicht werden zunächst ausgewertet und dazu verwendet, die Risiko-Kategorien des im ersten Hauptteil neu entwickelten Kategorisierungsansatzes einem Risk-Mapping zu unterziehen. Anschließend werden verschiedene Quantifizierungsverfahren für operationelle Risiken dargestellt und jeweils bezüglich der Anwendbarkeit auf den neuen Kategorisierungsansatz geprüft. Dabei wird unterschieden zwischen der Bewertung betrieblicher Abläufe (Indikatorenansätze, Self-Assessment und Szenario-Analysen), Verlustverteilungsansätzen und Ansätzen der Extremwerttheorie. Im Rahmen der Verlustverteilungsansätze wird insbesondere auf die Modellierung der individuellen Schadenshöhen und der Schadenseintrittsanzahl eingegangen. Zudem wird eine Systematik der methodischen Vorgehensweisen zur Modellierung der Gesamtverlustverteilung gezeigt. Es werden Hinweise darauf gegeben, wo Wechselwirkungen zwischen operationellen Risiken bestehen und wie diese bei der Aggregation von Risiken berücksichtigt werden können. Auf diese Weise wird ein Modellierungsrahmen geschaffen, der zukünftige Weiterentwicklungen von Quantifizierungsmodellen erleichtert. Im dritten Hauptteil wird zunächst dargestellt, wie die Höhe des zu unterlegenden ökonomischen Eigenkapitals für operationelle Risiken grundsätzlich aus den Ergebnissen
1 2
Vgl. Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 786-792. Vgl. Auer, M.: (Operationelles Risikomanagement) S. 24-28; Basel Committee on Banking Supervision: (QIS 2 – Loss Data Collection – Einführung); Minz, K.-A.: (Operationelle Risiken in Kreditinstituten) S. 16.
Einleitung
7
der diskutierten Quantifizierungsverfahren abgeleitet werden kann. Am Beispiel der Kreditrisiken wird gezeigt, dass herkömmliche Allokationsverfahren für ökonomisches Eigenkapital Schwächen aufweisen und Risiken nicht hinreichend genau darstellen. Kreditrisikodatenbanken und Schadensfalldatenbanken für operationelle Schadensfälle sind derzeit in Kreditinstituten typischerweise nicht ausreichend separiert, sodass insbesondere empirisch ermittelte Kreditirisikosteuerungsparameter verzerrt sein können. Dadurch kann es zur systematischen Fehlsteuerung kommen.1 Bis diese Schwachstellen behoben sind, werden Übergangslösungen benötigt. In dieser Arbeit wird für Kreditinstitute für diese Übergangszeit ein pragmatisches Verfahren entwickelt, das dabei unterstützt, ökonomisches Eigenkapital stärker risikoursachenbezogen zu allozieren. Es versucht, den Effekt der ungenügend getrennten Datenbanken ein Stück weit auszugleichen. Zum Abschluss werden verschiedene Steuerungsansätze für die Kategorien des im ersten Hauptteil dieser Arbeit entwickelten Kategorisierungsansatzes für operationelle Risiken dargestellt. Mein besonderer Dank gilt meinem Doktorvater Herrn Prof. Dr. Karl-Heinz Waldmann, an dessen Lehrstuhl diese Arbeit entstand. Er hat diese Arbeit mit Denkanstößen befruchtet, Leitplanken wissenschaftlichen Arbeitens gesetzt sowie aktiv dazu beigetragen, dass diese Arbeit eine Brücke zwischen Wissenschaft und Praxis baut. Zur Stabilität dieser Brücke hat zudem Herr Prof. Dr. Wolfgang Stummer von der Universität Erlangen-Nürnberg beigetragen, dem ich nicht nur eine enge wissenschaftliche Betreuung meiner Diplomarbeit verdanke, sondern der auch die vorliegende Arbeit mit vielen unterstützenden Anregungen und fruchtbaren Diskussionen begleitet hat.
1
Vgl. Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 278-279.
Erster Teil:
Kategorisierung und Abgrenzung von operationellen Risiken
Im ersten Hauptteil dieser Arbeit werden operationelle Risiken definiert, kategorisiert und gegenüber anderen Risikoarten abgegrenzt. Bankbetriebliche Risiken werden heute nicht einheitlich definiert. Bestehene Definitionen müssen im Zuge der intensiveren Auseinandersetzung mit Risikoarten, die neu in den Fokus gerückt sind wie operationelle Risiken, Liquiditäts- oder Reputationsrisiken, zum Teil überarbeitet und besser abgegrenzt werden. Die in dieser Arbeit gewählten Definitionen für Erfolgsrisiken, Liquiditätsrisiken und allgemeine Unternehmensrisiken sind so gewählt, dass sie eine einheitliche Struktur aufweisen, die momentane aufsichtliche Diskussion widerspiegeln sowie die Wirkungskette Risiko – Ereignis – Schadenseffekt berücksichtigen. Es zeigt sich, dass sich Wirkungsweisen von Risiken (z. B. Einzelwertberichtigungen) häufig gleichen und die ursächlichen Risiken daher schwer zu separieren sind. Auf daraus resultierende Gefahren der fehlgeleiteten Steuerung soll explizit eingegangen werden. Die für die Gesamtbanksteuerung besonders relevante Abgrenzung von Kreditund operationellen Risiken wird näher beleuchtet. Zudem werden Ansätze zur ursachenbezogenen Abgrenzung vorgestellt. Im Gegensatz zu anderen Risikoarten sind operationelle Risiken ein sehr weit gefächertes, heterogenes Risikofeld. Sie reichen von fehlerhaften, institutsintern verwendeten Steuerungs-Modellen bis hin zum Mitarbeiterstreik. Für die Quantifizierung und ursachenbezogene Steuerung ist eine detaillierte, möglichst konsistente und überschneidungsfreie Kategorisierung unerlässlich und von essentieller Hilfe. In der Praxis zeigt sich, dass es bei zunehmendem Umfang einer Kategorisierung schwieriger wird, die darin zu erfassenden operationellen Risiken eindeutig und überschneidungsfrei zu definieren. Die derzeit bereits vorhandenen Kategorisierungsansätze für operationelle Risiken sind teilweise sehr unterschiedlich aufgebaut und daher meist wenig miteinander vergleichbar sowie schwer ineinander überführbar; einen Industriestandard gibt es noch nicht.1
1
Vgl. Auer, M.: (Operationelles Risikomanagement) S. 24-28; Basel Committee on Banking Supervision: (QIS 2 – Loss Data Collection – Einführung).
I. Schäl, Management von operationellen Risiken, DOI 10.1007/978-3-8349-6548-6_2, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
10
Erster Teil
Abgrenzung zu anderen Risiken O pe ra tio nel le R is i ken
K red itrisi ken
• Pro zessris iken
• A u sfallrisi ko
• Perso n enrisik en
• B on itäts ris iko
M ark tpre isri si ke n
Li quid itä tsr isike n
• Z in sän d erun gs ris iken • W äh run gs ris iken
• Sy stem risik en
• A k tien k urs ris iken
• E xt ern e Ris ike n
Kategorisierung operat. Risiken Prozessrisiken (PRO)
Personenrisiken (PER)
Systemrisiken (SYS)
Externe Risiken (EXT)
MEKAneu und Basel-II-Überleitung 4 R is i k o - O b e r k a te g o r ie n
4 R i s i k o - O b e rk a t e g o r i e n
P RO , PE R, S Y S , E X T
P R O , P E R , SY S, E X T
7 K a t e g o ri e n
• Li qu id itätsans pan n un gs ri sik en • T erm in risik en
Risiko-Kategorie Nr. t
Risiko-Kategorie Nr. u
Risiko-Kategorie Nr. v
Ereignis-Kat. t.1 Ereignis-Kat. t.2 Ereignis-Kat. t.3
Ereignis-Kat. u.1
Ereignis-Kat. v.1 Ereignis-Kat. v.2 Ereignis-Kat. v.3
I -V I I
2 0 K a te g or ie n
2 6 R i s i k o -K a t e g o r i e n
a -t
• A bru fris ik en
• R oh sto f fp reisrisi ken
a- z
f (x )
1 0 0 E r e i g n i s -K a t e g o r i e n a .1 -a . 5 , . .. , z . 1 - z .7
Ereignis-Kat. t.6
Erster Teil
IV PER
V
8
VI
SYS
0,02
0 89
85
81
77
73
0
VII
65 69
6
7
1
61
III
2
53 57
II PRO
3
49
I
4
1
0,0
5
45
2,0
41
4,0
17
6,0
0,04
1
25
8,0
21
10,0
0,06
2
37
12,0
3
29 33
14,0
Empirische Häufigkeit der Ereignisanzahlen
16,0
5
18,0
Zähldichte der Poissonverteilung mit O=47
20,0
Parameterschätzer
9 13
Grobbewertung RisikoKategorien MEKAneu
Mögliche Anzahl operationeller Ereignisse je Quartal
EXT
Auswahl Quantifizierungsverfahren
Quantifizierungsverfahren 0, 16
Self-Assessment, Indikatorenansatz, Verlustverteilungsansatz g, h, w, x
0, 14 0, 12 0, 10
Self-Assessment, Indikatorenansatz, Verlust verteilungsansatz a, k, o, t
0, 08 0, 06 0, 04
Self-Assessment, Verlustverteilungsansatz b, i, l, m, p, q, r,s, u
Risikoabgrenzung und Adjustierung
o p e ra t i o ne l l e r V e rl u st
4 .3 5 0
Szenarioanalyse, Extremwerttheorie
1
PRO b
PRO c
...
2,1
0,5
4,9
...
2,0
3,5
21,0
H an del
13,5
1,8
17,4
...
12,0
21,4
105,5
7,3
25,0
...
EXT y
24,2
4
5
6
7
8
9 1 0 11 12 13 14 1 5 1 6 1 7 18 19 20 21
E XT z
52,4
P riv atk un de nge sc häft
32,9
256,9
re i n e r K re d i t ve r lus t
F irm en ku n den ge sc häft
39,8
8,0
32,4
...
29,3
51,3
310,8
1 3 .2 0 0
Zah lu ng sverk e hr/ A b w icklun g
0,7
0,1
0,9
...
2,0
3,5
D ep o t- u nd T reuh and g esc hä fte
2,4
0,5
3,1
...
3,1
V e rm ö gen sve rw altun g
3,0
0,6
3,2
...
2,2
3,9
23,7
W ertp apierpr ov isio nsgesch äft
6,9
2,8
18,0
...
12,4
21,8
132,0
V a R 12
1 5 .0 0 0
92,1
19,6
95,4
78,0
146,3
809,0
...
1,7
E xem plarisc he R isiko-K ennza hlen in M io. E U R (z. B . V alue -at-R isk)
21,5 18,5
G esam tbank
tel
t uel Schadenshöhe
Schadenshäufigkeit
Schadenshäufigkeit
Risikoorientierte Steuerung
Abbildung 2
2 3
R isiko-K ategorien de r M IK A ne u PR O a
U ntern eh m e nsfin anzier un g
B asel-IIG esch äftsfeld er
V aR 2
+
0, 02 0, 00
c, y, z
Ökonomische Kapitalsteuerung
V a R 12 E r ge b n i s d e s K re d it p o rt f ol i o m o d e l ls V aR 1
Self-Assessment, Indikatorenansatz, Verlust verteilungsansatz d, e, f, j, n, v
t el
Verzahnung mit der Banksteuerung
Produktionsexzellenz tuel Schadenshöhe
Methodischer Aufbau dieser Arbeit
Exzellenz im Risikomanagement
Kategorisierung operationeller Risiken
11
In diesem Hauptteil werden konkrete Kategorisierungen von Bankenverbänden und Kreditinstituten diskutiert, mit einem neuen Strukturschema verglichen und Stärken und Optimierungsbedarfe dargestellt. Zudem wird der Kategorisierungsansatz der Bankenaufsicht als regulatorischer Rahmen eingeführt und Implikationen für Kreditinstitute besprochen. Zum Abschluss wird ein Kategorisierungsansatz für operationelle Risiken neu entwickelt. Dieser wird hier als Meso-Kategorisierung „MEKAneu“ bezeichnet. Diese Kategorisierung besteht aus verschiedenen Kategorisierungsstufen und differenziert zwischen Risiken und Ereignissen. Zudem ist sie umfassend, aber gleichzeitig überschneidungsfrei sowie für alle wichtigen Geschäftstypen von Kreditinstituten adaptierbar. Für Kreditinstitute, die einen Ambitionierten Messansatz gemäß Basel II für die regulatorische Eigenkapitalunterlegung verwenden wollen, wird die dafür benötigte Überleitungsfunktion in den aufsichtrechtlichen Rahmen explizit hergeleitet. Den methodischen Aufbau dieses Hauptteils verdeutlicht Abbildung 21.
A.
Definition und Abgrenzung von operationellen Risiken
I.
Definition und Begriffseinordnung
1.
Der Risikobegriff
Bankbetriebliche Abläufe vollziehen sich in einem unsicheren Umfeld: Der Markt und die geschäftlichen Rahmenbedingungen können sich ungünstig entwickeln. Zudem besteht die Gefahr, dass sich Kunden, Kontrahenten oder Geschäftspartner nicht an die vereinbarten Leistungsverpflichtungen halten. Innerbetrieblich können Prozesse und Systeme versagen und Mitarbeiter Fehler begehen. Vor diesem Hintergrund müssen Kreditinstitute Strategien und Arbeitsabläufe festlegen und unter Unsicherheit Entscheidungen treffen. Unsichere zukünftige (in der Regel reelle) Größen werden in der Wahrscheinlichkeitstheorie mit Hilfe von Zufallsvariablen beschrieben. Diese können verschiedene mögliche Realisierungen annehmen. Jeder Realisierung versucht man im Sinne einer Messbarmachung, eine Eintrittswahrscheinlichkeit zuzuweisen. Damit dies gelingt, müssen nach Heilmann2 drei Voraussetzungen gegeben sein:
1 2
Quelle: eigene Darstellung. Vgl. Heilmann, W.-R.: (Risikotheorie) S. 8.
12
Erster Teil
o Die Menge aller möglichen Realisierungen muss bekannt sein (z. B. Menge aller möglichen Schäden). o Die Menge aller zu quantifizierender Ereignisse muss festgesetzt sein (mögliche Szenarien zuzüglich zusammengesetzter Szenarien (Ereignisse) wie ‚die Gesamtschadenshöhe liegt oberhalb der Risikotragfähigkeit des Kreditinstituts’). o Es muss eine Messfunktion geben, die jedem Szenario eine Wahrscheinlichkeit zuordnet.
Die Anzahl möglicher Schadensereignisse kann mit diskreten Zufallsvariablen dargestellt werden, während die mögliche Schadenshöhe in der Regel mit Hilfe kontinuierlicher Zufallsvariablen dargestellt wird.1 Zufallsvariablen, die etwa Schadenshöhen oder die Anzahl von Schadensfällen beschreiben, werden in der Mathematik als Risiko bezeichnet.2 Abbildung 33 zeigt für eine mögliche (Gesamt-)Verlustverteilung exemplarisch eine Wahrscheinlichkeitsdichte. Wesentliche Charakteristika einer Verteilung sind der Erwartungswert und die Varianz, die die Streuung der Zufallsvariablen (z.B. die möglichen Verluste) um den Erwartungswert wiedergibt. Typischerweise sind Verlustverteilungen bei der Betrachtung von Kredit- und operationellen Risiken rechtsschief. Das bedeutet, dass es auch noch für große, z. T. existenzbedrohende Schäden signifikante Eintrittswahrscheinlichkeiten gibt. Ein beträchtlicher Teil der Masse der Dichte der Verlustverteilung liegt dann bei großen Schäden.
1 2 3
Vgl. Winston, W. L. (Operations Research) S. 622-629. Vgl. Heilmann, W.-R.: (Risikotheorie) S. 10. Quelle: Ergänzte Darstellung nach Schäl, I.: (Operational Risk) S. 14.
13
Kategorisierung operationeller Risiken
Risiko (i.w.S.) Wahrscheinlichkeitsdichtefunktion für potenzieller Verluste
Chance
Risiko i.e.S.
Standardabweichung 0
Erwartungswert
Potenzielle (Gesamt-)Verluste in EUR
Abbildung 3: Exemplarische Wahrscheinlichkeitsverteilung zukünftiger Verluste In der Bankpraxis wird häufig jeder mögliche Verlust als Risiko aufgefasst.1 Diese Interpretation des Risikos soll hier als ‚Risiko im weiteren Sinn’ (Risiko i.w. S.) bezeichnet werden (vgl. Abbildung 32). Der versicherungsmathematische Begriff des Risikos geht also grundsätzlich konform mit dem Risikobegriff der Kreditwirtschaft bzw. formalisiert diesen über die Beschreibung durch eine Zufallsvariable und deren Verteilung. In der betriebswirtschaftlichen Literatur wird der Begriff des Risikos jedoch nicht einheitlich verwendet. Zum Teil können sich verschiedene Definitionen widersprechen.3 Häufig wird unter Risiko „die Gefahr verstanden, dass ein tatsächlich realisiertes Ergebnis vom erwarteten Ergebnis negativ abweicht.“4 Büschgen bezeichnet dies als Risiko im engeren Sinn (Risiko i.e.S. – man spricht auch von einem Downside Risk). Entsprechend wird die positive Abweichung vom erwarteten Ergebnis als Chance bezeichnet (vgl. Abbildung 3).5 Dahinter steht eine banksteuerungsbezogene Sichtweise,
1 2 3 4 5
Vgl. Büschgen, H. E.: (Bankbetriebslehre) S. 867. Quelle: Ergänzte Darstellung nach Schäl, I.: (Operational Risk) S. 14. Vgl. Hartmann-Wendels, T./Pfingsten, A./Weber, M.: (Bankbetriebslehre) S. 540; Piaz, J.-M.: (Operational Risk) S. 10; Simon, W.: (Erfassung und Bewertung operationeller Risiken) S. 126. Büschgen, H. E.: (Bankbetriebslehre) S. 865; vgl. auch Moser, H./Quast, W.: (Organisation des Risikomanagements) S. 665. Vgl. Büschgen, H. E.: (Bankbetriebslehre) S. 865; vgl. auch Geiger, H./Piaz, J.-M.: (Bewertung operationeller Risiken) S. 791; Hartmann-Wendels, T./Pfingsten, A./Weber, M.: (Bankbetriebslehre) S. 541; Moser, H./Quast, W.: (Organisation des Risikomanagements) S. 665; Mühlhaupt, L.: (Betriebswirtschaftlehre der Banken) S. 188; Piaz, J.-M.: (Operational Risk) S. 12 f.; Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 626; Schuster, L.: (Risiko-Management in Banken) S. 206.
14
Erster Teil
die am besten anhand der Kreditrisikosteuerung erläutert wird: Jede Kreditvergabe ist für ein Kreditinstitut mit einem erwarteten Verlust verbunden. Dieser sollte durch sogenannte Standardrisikokosten abgegolten werden, die als Bestandteil der Kreditkondition als Zinsertrag vereinnahmt werden. Die Summe der vereinnahmten Standardrisikokosten (auch Risikoprämien genannt) bildet eine Rücklage für zukünftige Kreditverluste. Somit bilden die Fälle, in denen die Kreditverluste den erwarteten Verlust nicht übersteigen, kein Risiko aus Steuerungssicht. Voraussetzung ist jedoch, dass die Standardrisikokosten tatsächlich den erwarteten Verlust widerspiegeln und im Kreditgeschäft vereinnahmt werden.1 „Dieses Risikoverständnis impliziert, dass eine Bank für die verschiedenen Risikobereiche Vorstellungen über erwartete Ausfälle besitzt“2 und diese auch in der Kalkulation bzw. generell in ihren Geschäftspraktiken berücksichtigt3. Bei der Steuerung von operationellen Risiken kann derzeit jedoch nicht davon ausgegangen werden, dass Kreditinstitute ihre erwarteten Verluste hinreichend quantifizieren können. Daher ist die ausschließliche Betrachtung von operationellen Risiken im engeren Sinn problematisch. Vor diesem Hintergrund wird ein Risiko in dieser Arbeit als die Gefahr von Verlusten definiert, d. h. es wird der weitere Risikobegriff (Risiko i.w.S.) verwendet. Im folgenden Kapitel wird sich zeigen, dass diese Konvention insbesondere konform ist mit der Definition operationeller Risiken im Sinne der Bankenaufsicht.
2.
Definition operationeller Risiken
“Die operationellen Risiken einer Bank stellen die ursprünglichen Risiken der Geschäftstätigkeit einer Bank dar. Sie ergeben sich [...] aus der Schaffung der Voraussetzungen zum bankbetrieblichen Handeln sowie aus den laufenden Geschäftsprozessen eines Kreditinstituts selbst.“4 D.h. operationelle Risiken werden typischerweise nicht eingegangen, um einen zusätzlichen Ertrag zu erwirtschaften. Vielmehr müssen sie eingegangen werden, um Grundvoraussetzungen für die Geschäftstätigkeit eines Kreditinstituts zu schaffen. Operationelle Risiken nehmen jedoch durchaus zu durch zusätzliche Geschäftstätigkeiten. Der Risikomanagementprozess muss dies entsprechend berücksichtigen.5
1 2 3 4 5
Vgl. Büschgen, H. E.: (Bankbetriebslehre) S. 866-867; Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 1) S. 309-320s. Geiger, H./Piaz, J.-M.: (Bewertung operationeller Risiken) S. 791. Vgl. Basel Committee on Banking Supervision: (Framework) S. 165. Waschbusch, G./Lesch, S.: (Operationelle Risiken und Mitarbeiterkompetenzen) S. 47. Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 10.
Kategorisierung operationeller Risiken
15
Wie auch für einige andere Risikoarten so gibt es auch für operationelle Risiken keine einheitliche Definition. Eine Studie1 hat gezeigt, dass noch 1999 kaum 50% aller Kreditinstitute eine einheitliche, institutsweit gültige Definition für operationelle Risiken verwendeten. Eine institutsweit einheitliche Definition ist jedoch unabdingbar für einen Steuerungsrahmen für operationelle Risiken.2 In der Vergangenheit gab es gewisse Bestrebungen, operationelle Risiken im Spektrum der Risikoarten eines Kreditinstituts neben Kredit- und Marktpreisrisiken unter „other risks“ zu subsumieren. Dieser Ansatz hat den einzigen Vorteil, auf diese Weise das gesamte Risikospektrum eines Kreditinstituts vollumfänglich abzudecken. Er bleibt jedoch wenig konkret. Eine genauere Kategorisierung wird erschwert. Zudem widerspricht er dem hier favorisierten Steuerungsansatz, der auf die Ursachen von Risiken bzw. Schadensereignissen abzielt. Die Ursachen operationeller Risiken werden über eine Risidualbetrachtung nicht hinreichend adressiert.3 Die Bankenaufsicht definiert ein operationelles Risiko als „die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten“4; dabei werden Rechtsrisiken miteinbezogen, aber keine strategischen Risiken oder Reputationsrisiken5. Der Zusatz „unmittelbare oder mittelbare“ Verluste taucht seit dem im September 2001 veröffentlichten Working Paper on the Regulatory Treatment of Operational Risk nicht mehr auf. Es ist nicht Absicht der Bankenaufsicht, sämtliche indirekten Verluste sowie Opportunitätskosten mit regulatorischem Eigenkapital zu unterlegen.6 Diese Definition soll auch im Rahmen dieser Arbeit verwendet werden. Sie hat durch die Aufnahme in das Baseler Rahmenwerk zur Standardisierung der Definition operationeller Risiken beigetragen. Sie trennt impliziterweise den Begriff des Risikos als „Gefahr von Verlusten“ vom Begriff des (potentiell auftretenden bzw. konkret aufgetretenen) Ereignisses, das diese Verluste/Schäden auslösen kann. Es lässt sich die folgende, detaillierte Unterscheidung der Ereignisse ableiten:7
1 2
3 4 5 6
7
Vgl. RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 30. Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 5; Haubenstock, M.: (Operational Risk Framework) S. 243; King, J. L.: (Modelling Operational Risk) S. xi; RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 29-38. Vgl. Beeck, H./Kaiser T.: (Quantifizierung) S. 636-639; Stickelmann, K.: (Operationelles Risiko – Abgrenzung und Definition) S. 13-15. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Ziffer 644. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Ziffer 644. Vgl. Basel Committee on Banking Supervision: (Working Paper Operational Risk), S. 2; British Bankers’ Association (BBA)/London Investment Banking Association: (Response to Basel Accord) S. 53-54; Haubenstock, M.: (Operational Risk Framework) S. 243. Vgl. Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 787-788.
16
Erster Teil
(ER1) Ereignisse, die durch die Unangemessenheit oder das Versagen von internen Verfahren (Betriebsabläufe, Prozesse) entstehen; (ER2) Ereignisse, die durch das Versagen von internen Personen entstehen; (ER3) Ereignisse, die durch die Unangemessenheit oder das Versagen von internen Systemen (z. B. Computer-, Kommunikations-, und Versorgungssystemen) entstehen; (ER4) Ereignisse, die extern entstehen. Es wird sich später herausstellen, dass diese Unterscheidung für die kritische Würdigung bestehender Kategorisierungsansätze (Kapitel B.II) sowie die Ableitung eines neuen Kategorisierungsansatzes (Kapitel B.III) von zentraler Bedeutung ist. Der Bankenaufseher gestattet, dass für die interne Steuerung institutsspezifische Adaptionen dieser Definition vorgenommen werden, um dem Risikoprofil, welches auch aus der spezifischen Geschäftstätigkeit eines Kreditinstituts resultiert, voll gerecht zu werden. Es ist jedoch wichtig, dass mit einer institutsweit gültigen Definition ein gemeinsames Verständnis erzeugt wird, auf dessen Grundlage in das Management operationeller Risiken eingetreten werden kann. Für die regulatorische Eigenkapitalbindung für operationelle Risiken ist zwingend die Baseler Definition zu verwenden, sodass über alle Kreditinstitute hinweg dieselben Risiken unterlegt werden.1 Während die institutsweite Verwendung einer einheitlichen Definition für operationelle Risiken ein wichtiger Schritt ist, zeigt sich doch, dass diese Risikoart derart heterogen ist, dass erst ein umfassender Kategorisierungsansatz mit Risiko- und Ereigniskategorien eine hinreichende Basis bildet, um die Vielfalt dieser Risikoart definitiorisch voll abzudecken.2 So kann der in Kapitel B.III dargestellte neue Kategorisierungsansatz für operationelle Risiken als Bestandteil einer möglichen Definition operationeller Risiken gesehen werden.
3.
Wirkungskette Risiko – Ereignis – Schadenseffekt
Die Bankenaufsicht trennt impliziterweise den Begriff des Risikos als „Gefahr von Verlusten“ vom Begriff des (potentiell) auftretenden Ereignisses, das wiederum Verluste bzw. Schäden auslösen kann.3 Operationelle Risiken bei konkreten Ereignissen ursächlich auszumachen, wird häufig dadurch erschwert, dass dieselben Schadenseffekte
1 2 3
Basel Committee on Banking Supervision: (Sound Practices) Absatz 5. Vgl. Haubenstock, M.: (Operational Risk Framework) S. 243-244. Vgl. Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 787-788.
17
Kategorisierung operationeller Risiken
auch aus anderen Risikoarten resultieren. Zudem treten Schadenseffekte mitunter zeitlich auch deutlich nach einem operationellen Ereignis auf und sind einem konkreten Ereignisse unter Umständen nicht eindeutig zuzuordnen (vgl. Abbildung 41).
Risiko
Ereignis
Versagen von Kontrollen
Abbildung 4
Schadenseffekt
Versagen von Kontrollen
Darstellung der Wirkungskette Risiko – Ereignis-Schadenseffekt
Betrachtet man diese Wirkungskette, muss für ein effizientes Risikomanagement also offenbar bei den Ursachen angesetzt werden.2 Als Ursachen werden in dieser Arbeit Risiken verstanden, die später weiter spezifiziert werden. Risiken lassen sich zunächst unterteilen in Prozess-, Personen-, System- und externe Risiken. Diese Unterscheidung ergibt sich aus der Definition operationeller Risiken, wie sie im letzten Kapitel festgelegt wurde. Diese Risiko-Kategorien werden in Kapitel B weiter detailliert; so wird beispielsweise in dem in dieser Arbeit vorgestellten, neu entwickelten Kategorisierungsansatz die „mangelhafte Beratungsqualität“ als eine wichtige Risiko-Kategorie unter den Prozessrisiken gesehen. Aus Risiken können Ereignisse resultieren, die „eine Abweichung vom normalen Geschäftsprozess“3 darstellen. Aus mangelhafter Beratungsqualität können etwa im Kundengespräch konkrete Ereignisse resultieren wie „unangemessene Performancevorhersagen“ z. B. in Bezug auf Rendite- und Risikoentwicklung von Anlagen. Tritt ein Ereignis ein, so ist zunächst noch nicht zwingend ein Schaden für ein Kreditinstitut eingetreten. Ein Schaden könnte beispielsweise eintreten, wenn eine Kundenbeschwerde nach einer aus Kundensicht negativen Performance erfolgt. Mögliche Schadenseffekte können für ein Kreditinstitut sein:4
1 2 3 4
Quelle: eigene Darstellung. Vgl. Auer, M.: (Operationelles Risikomanagement) S. 24-26, Cruz, M. G.: (Modeling Operational Risk) S. 11-13, Moser, H./Quast, W.: (Organisation des Risikomanagements) S. 666. Auer, M.: (Operationelles Risikomanagement) S. 25; vgl. auch Schmitting, W./Siemes, A.: (Risikomanagementmodell – Begriffsrahmen) S. 533 – 540. Quelle: Auer, M.: (Operationelles Risikomanagement) S. 99.
18
Erster Teil
o Schadensersatzzahlungen o Vergleichszahlungen o Kulanzzahlungen o Geldstrafen o Rechnungen, Honorare zur Schadensbehebung o Gerichts- und Anwaltskosten o Zinsaufwände bei fehlerhafte Valutierung o Kassen- oder Bestandsdifferenzen o Ersatzbeschaffung von Werpapieren oder Devisen o Abschreibungen o Ausbuchungen von Forderungen o entgangene Erträge o Wiederherstellungskosten (beispielsweise für die Wiederherstellung des Geschäftsbetriebes)
Für Kreditinstitute ist es sinnvoll, sich mit Nachdruck mit Schadenseffekten auseinanderzusetzen, die nach einem entdeckten Ereignis noch zusätzlich auftreten können. Zudem sollten sich Kreditinstitute auch mit Beinahe-Schadenseffekte auseinandersetzen, um Schlussfolgerungen für deren zukünftige Vermeidung zu ziehen. In Einzelfällen können auch Gewinne aus operationellen Ereignissen entstehen.1 Das interne Kontrollsystem eines Kreditinstituts ist ein wesentlicher Erfolgsfaktor für eine friktionslose Ablauforganisation. Interne Kontrollen reduzieren Risiken, machen das Eintreten von Ereignissen weniger wahrscheinlich und reduzieren die Schadenseffekte (vgl. Abbildung 4). Das Versagen von Kontrollen ist jedoch nicht, wie manchmal dargestellt2, die eigentliche Ursache eines Ereignisses. Daher werden sie in dieser Arbeit nicht als (ursächliches) Risiko oder Ereignis gesehen.
1 2
Vgl. Auer, M.: (Operationelles Risikomanagement) S. 28. Vgl. Auer, M.: (Operationelles Risikomanagement) S. 24-25 und Kategorisierung operationeller Risiken der Sparkasse Bremen wie in Kapitel B.II.2 des ersten Hauptteils diskutiert.
19
Kategorisierung operationeller Risiken
II.
Das Risikoprofil eines Kreditinstituts
Die Kategorisierung bankbetrieblicher Risiken ist in der betriebswirtschaftlichen Literatur nicht einheitlich.1 Als Grundlage für diese Arbeit soll daher an dieser Stelle definiert werden, welcher Risikosystematik hier gefolgt wird. Im Rahmen dieser Arbeit wird auf eine stark ursachenbezogene Sichtweise auf bankbetriebliche Risiken abgestellt. Der hier verwendete Kategorisierungsansatz bezieht zudem relevante Ergebnisse aus dem Baseler Rahmenwerk mit ein. Die folgenden Einzel-Definitionen wurden so gewählt, dass sie eine einheitliche Struktur aufweisen. Risikoarten Erfolgsrisiken Kreditrisiken
Marktpreisrisiken Liquiditätsrisiken Allgemeine Unternehmensrisiken Operationelle Risiken
Geschäftsrisiken
1
2 3 4 5 6
Definition Gefahr, dass ein Kreditnehmer bzw. ein Kontrahent seinen Zahlungsverpflichtungen nicht zu den vereinbar2 ten Bedingungen nachkommt. Gefahr von Verlusten, die aus der Veränderung der 3 Marktpreise von Handelsobjekten resultieren. Gefahr, dass ein Kreditinstitut fällig werdenden Zah4 lungsverpflichtungen nicht nachkommen kann. Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten.5 Gefahr des Einbruches von Geschäftsvolumen und/oder Margen von Bankprodukten und –dienstleistungen durch veränderte Rahmenbedingungen 6 am Markt.
Vgl. z. B. Berger, K.-H.: (Erfassung von Risiken) S. 256-262; Büschgen, H. E.: (Bankbetriebslehre) S. 868-870; Hagenmüller, K. F./Jacob, A.-F.: (Der Bankbetrieb 3) S. 239-275; Hartmann-Wendels, T./Pfingsten, A./Weber, M.: (Bankbetriebslehre) S. 541 f.; Moser, H./Quast, W.: (Organisation des Risikomanagements) S. 665-668; Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 626-632; Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 4-9; Schuster, L.: (Risiko-Management in Banken) S. 208 f. Vgl. Basel Committee on Banking Supervision: (Principles for Credit Risk Management) S. 1. Vgl. Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 628. Vgl. Decker, P. A.: (Liquidity Risk) S. 5. Vgl. Basel Committee on Banking Supervision: (Framework) Ziffer 644. Unter operationellen Risiken werden demnach auch Rechtsrisiken, nicht aber strategische Risiken oder Reputationsrisiken verstanden. Vgl. Bayerische Hypo- und Vereinsbank: (Finanzbericht 2003) S. 39; Deutsche Bank: (Finanzbericht 2003) S. 139; Dresdner Bank: (Finanzbericht 2003) S. 33, Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 627.
20
Erster Teil
Risikoarten Strategische Risiken Reputationsrisiken
Tabelle 1:
1.
Definition Gefahr, „dass die verfolgte Geschäftsstrategie nicht den 1 optimalen Ertrag auf das eingesetzte Kapital erzielt“ . Gefahr von Verlusten, die in Folge einer Verschlechte2 rung der Reputation des Kreditinstituts eintreten.
Definition der verschiedenen Risikoarten des Risikoprofils eines Kreditinstituts
Erfolgsrisiken
Während Liquiditätsrisiken und allgemeine Unternehmensrisiken Risikoarten darstellen, denen jedes Unternehmen, also auch Nicht-Kreditinsitute, ausgesetzt ist, stellen Erfolgsrisiken i.d.R. bankspezifische Risiken dar. Unter Erfolgsrisiken werden Kredit- und Marktpreisrisiken subsumiert. Diese werden von Kreditinstituten in der Regel bewusst eingegangen, um ihre angestrebte Risiko/Ertrags-Relation zu erreichen. Kreditrisiken bezeichnen die Gefahr, dass ein Kreditnehmer bzw. ein Kontrahent seinen Zahlungsverpflichtungen nicht zu den vereinbarten Bedingungen nachkommt.3 Obwohl Kreditexpositionen den Hauptanteil der Kreditrisiken tragen, sind Kreditrisiken auch mit anderen Anlageformen wie Anleihen, Aktien und Derivate verbunden.4
Kreditrisiken im engeren Sinn sind Ausfallrisiken. Ausfallrisiken bezeichnen die Gefahr, dass in Bezug auf einen Kreditnehmer (Schuldner) ein definiertes Ausfallereignis eintritt. Nach den neuen regulatorischen Anforderungen in Zusammenhang mit Basel II gilt ein Kreditnehmer als ausgefallen, wenn eines der beiden folgenden Ausfallereignisse eingetreten ist: „Die Bank geht davon aus, dass der Schuldner seinen Kreditverpflichtungen gegenüber der Bankengruppe mit hoher Wahrscheinlichkeit nicht in voller Höhe nachkommen wird“5. „Eine wesentliche Verbindlichkeit des Schuldners gegenüber der Bankengruppe ist mehr als 90 Tage überfällig.“6
1 2 3 4 5 6
Vgl. Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 627. Vgl. Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 106; Rayner, J.: (Reputational Risk) S. 20 f. Vgl. Basel Committee on Banking Supervision: (Principles for Credit Risk Management) S. 1. Vgl. Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 627-632. Basel Committee on Banking Supervision: (Framework) Absatz 452. Vgl. auch Absatz 453, in dem Indikatoren wie Wertberichtigungen oder Abschreibungen für einen Kreditausfall angegeben werden. Basel Committee on Banking Supervision: (Framework) Absatz 452. Vgl. auch Schäl, I.: (Internal Ratings) S. 211.
Kategorisierung operationeller Risiken
21
Zu den Kreditrisiken im weiteren, vermögensorientierten Sinn sind zusätzlich Bonitätsrisiken zu zählen. Diese berücksichtigen die Tatsache, dass sich der Wert des institutseigenen Kreditportfolios nicht nur durch Kreditausfälle, sondern auch durch eine Verschlechterung der durchschnittlichen Kreditnehmerbonität vermindert. Bonitätsrisiken bezeichnen die Gefahr, dass ein Kreditnehmer in einen Bonitätszustand (gemessen anhand eines Ratings/Scorings) migriert, der mit einer höheren Ausfallwahrscheinlichkeit als der aktuellen verbunden ist.1 Die Ausfallwahrscheinlichkeit eines Kreditnehmers gibt hierbei die Wahrscheinlichkeit an, dass innerhalb eines festgesetzten Zeitraumes (in der Regel 12 Monate) eines der beiden obigen Ausfallereignisse eintritt. Bonitätsrisiken finden insbesondere in der modernen Kreditrisikosteuerung eine besondere Berücksichtigung, da sie dank eines mittlerweile breiten Einsatzes von Rating- und Scoringverfahren periodisch gemessen werden können.2 Sowohl Ausfallrisiken als auch Bonitätsrisiken sind die wesentlichen Erfolgsrisiken im Kreditgeschäft. Treten zusätzlich operationelle Risiken auf, können sowohl Kreditausfälle wahrscheinlicher als auch (Netto-) Kreditverluste bei Schadenseintritt größer werden. Im Rahmen des Gesamtbank-Risikomanagements ist daher besonders die Abgrenzung und Korrelation zwischen Kredit- und operationellen Risiken zu adressieren. Hierauf wird ausführlich in Kapitel A.III eingegangen. Marktpreisrisiken werden definiert als die Gefahr von Verlusten, die aus der Veränderung der Marktpreise von Handelsobjekten resultieren. Diese können weiter gemäß der den Marktpreis determinierenden Faktoren untergliedert werden in Zinsänderungsrisiken Währungsrisiken Aktienkursrisiken Rohstoffpreisrisiken.
Die Gefahr einer Wertminderung von Aktiv- oder Passivgeschäften durch eine negative Zinsentwicklung wird als Zinsänderungsrisiken und durch eine negative Währungsparitätsänderung als Währungsrisiken bezeichnet. Aktienkursrisiken bezeichnen die Gefahr von Wertminderungen von Aktienportfolios durch nichtbonitätsbedingte Angebots- und Nachfrageverschiebungen am Markt. Rohstoffpreisrisiken resultieren aus einer negativen Entwicklung der Rohstoff- und Edelmetallpreise.3 Risiken aus derivativen Finanzinstrumenten (auch Optionsrisiken genannt) werden manchmal als eigenständige Unterkategorie innerhalb der Marktpreisrisiken neben die
1 2 3
Vgl. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 1) S. 309-312. Vgl. Schäl, I.: (Internal Ratings) S. 207-211, S. 225-228. Vgl. Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 628-631; Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 6 f.
22
Erster Teil
Zinsänderungs-, Währungs-, Aktienkurs- und Rohstoffrisiken gestellt. Ein Grund hierfür ist, dass sich das Risikoprofil dieser Instrumente aufgrund von Optionsrechten nicht immer symmetrisch zu dem Profil des Underlyings verhält. Im Rahmen der hier gewählten Systematisierung von Marktpreisrisiken soll jedoch ausschließlich auf das Kategorisierungskriterium der preisdeterminierenden Faktoren nicht aber auf die Struktur der einzelnen Titel abgestellt werden. Möchte man zusätzlich nach der Struktur der einzelnen Titel differenzieren, ist es sinnvoll, eine neue Klassifizierungsdimension einzurichten, in der dann nach bilanzwirksamen und derivativen Geschäften differenziert wird. Diese zusätzliche Klassifizierungsdimension hat den Vorteil, dass sie nicht nur für Marktpreis-, sondern ebenso für Kredit- und Liquiditätsrisiken gültig ist.1 Risiken aus derivativen Geschäften fallen in dieser Arbeit unter die spezifischen Risikoarten des zugehörigen Underlyings.2 Operationelle Risiken sind i. d. R. schwer von Marktpreisrisiken abzugrenzen. Schlagen sich operationelle Schadensfälle, wie sie z. B. aus Prozessrisiken resultieren können, in der Profit & Loss Rechnung nieder, sind sie häufig schwierig als solche zu identifizieren. Unregelmäßigkeiten bei der Ausführung von Handelsgeschäften können beispielsweise zu Handelsverlusten führen, werden aber in aller Regel nicht in operationellen Schadensfalldatenbanken geführt.
2.
Liquiditätsrisiken
Liquiditätsrisiken werden als die Gefahr definiert, dass ein Kreditinstitut fällig werdenden Zahlungsverpflichtungen nicht nachkommen kann.3 Um Liquiditätsengpässe zu vermeiden, ist es notwendig, für verschiedene Fristigkeiten (sog. Laufzeitbänder) ausreichend Zahlungsmittel für die entsprechenden Zahlungsverpflichtungen vorzuhalten.4 Liquiditätsrisiken lassen sich unterteilen in die drei Kategorien Liquiditätsanspannungsrisiken, Terminrisiken und Abrufrisiken.5 Liquiditätsanspannungsrisiken bezeichnen die Gefahr, dass Vermögensgegenstände mangels Marktliquidität nicht oder nur zu ungünstigen Bedingungen veräußert werden können. Zu den Liquiditätsanspannungsrisiken zählt ebenso die Gefahr, dass Refinanzierungen nicht oder nur zu ungünstigen Bedingungen getätigt werden können. Unvor-
1 2 3 4
5
Vgl. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 6-8. Vgl. Lumby, S.: (Investment Appraisal) S. 303-338; Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 628; Uhlir, H./Steiner, P.: (Wertpapieranalyse) S. 212-223. Vgl. Decker, P. A.: (Liquidity Risk) S. 5. Die aufsichtsrechtlichen Regelungen zur Liquiditätsüberwachung regelt die Liquiditätsverordnung, vgl. Bundesministerium der Finanzen/Deutsche Bundesbank (Liquiditätsverordnung); bis zum 31. Dezember 2006 galt der sogenannte Grundsatz II, vgl. Deutsche Bundesbank: (Grundsatz II). Vgl. Decker, P. A.: (Liquidity Risk) S. 3-13; Ensberg, P./Früh, B.: (Liquiditätsrisiko) S. 238-242.
Kategorisierung operationeller Risiken
23
hergesehne Verlängerungen der Kapitalbindungsdauer von Aktivgeschäften stellen Terminrisiken dar. Diese können durch den Kreditnehmer, aber auch durch den Markt bedingt sein. Abrufrisiken entstehen, wenn der Kontrahent die Option besitzt, Kreditlinien in Anspruch zu nehmen bzw. seine Einlagen abzurufen. Das Risiko besteht in der Gefahr unerwarteter Liquiditätsabflüsse.1 Operationelle Schadensfälle können Auswirkungen auf die Liquidität eines Kreditinstituts haben. So können unerwartete Ereignisse mit erheblichen finanzwirksamen Konsequenzen wie Mehrkosten oder Geldbußen zu Liquiditätsengpässen führen. In diesen Fällen sind Liquiditätsrisiken als ein den operationellen Risiken nachgelagertes Risiko anzusehen.2 Es ist auch vorstellbar, dass sich operationelle Risiken und Liquiditätsrisiken gegenseitig verstärken: Speziell im Kreditgeschäft treten Terminrisiken und Abrufrisiken auf. Abrufrisiken können dadurch verstärkt werden, dass (Blanko-) Kreditzusagen in einer Höhe ausgesprochen wurden, die deutlich über den Limiten der institutseigenen Kreditrisikostrategie liegt. Gründe hierfür können Störungen in den Kreditprozessen (Prozessrisiken) oder Mutwilligkeit (Personenrisiken) sein. Terminrisiken, die durch Störungen im Markt bedingt sind, können etwa mit (externen) operationellen Risiken korreliert sein.
3.
Allgemeine Unternehmensrisiken
Operationelle Risiken sind Teilmenge der allgemeinen Unternehmensrisiken. Wie der Begriff allgemeine Unternehmensrisiken bereits suggeriert, handelt es sich um Risiken, denen grundsätzlich jedes Unternehmen ausgesetzt ist. Lediglich die Ausprägungen dieser Risiken sind bankspezifisch. Unterkategorien sind neben den operationellen Risiken strategische Risiken, Geschäftsrisiken sowie Reputationsrisiken.3 Operationelle Risiken wurden bereits in Kapitel A.I.1 definiert. Sie umfassen die 4 Risiko-Oberkategorien Prozessrisiken, Personenrisiken, Systemrisiken und externe Risiken. Die Bankenaufsicht grenzt operationelle Risiken explizit von strategischen und Reputationsrisiken ab.4 Während Rechtsrisiken in der Literatur manchmal als eigenständige Risikoart aufgeführt sind, werden sie hier im Sinne der Bankenaufsicht unter operationellen Risiken subsumiert.5
1 2 3 4 5
Vgl. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 7 f. Analog können Liquiditätsrisiken ein den Erfolgsrisiken nachgelagertes Risiko darstellen, Vgl. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 7. Vgl. Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 627. Vgl. Basel Committee on Banking Supervision: (Framework) Absatz 644. Vgl. Basel Committee on Banking Supervision: (Framework) Absatz 644; Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 106 f.
24
Erster Teil
Strategische Risiken bezeichnen die Gefahr, „dass die verfolgte Geschäftsstrategie nicht den optimalen Ertrag auf das eingesetzte Kapital erzielt“1. Die strategische Ausrichtung eines Kreditinstituts manifestiert sich in der Geschäftsstrategie, die der Vorstand eines Kreditinstituts jährlich überprüft und gegebenenfalls anpasst. Die Formulierung, Umsetzung und jährliche Überprüfung der Geschäftsstrategie ist für deutsche Kreditinstitute durch die Mindestanforderungen an das Risikomanagement (MaRisk) durch die deutsche Bankenaufsicht vorgeschrieben.2
Strategische Risiken haben eine starke Auswirkung auf Erfolgsrisiken und damit auch auf Liquiditätsrisiken. Strategische Risiken beeinflussen auch operationelle Risiken. So zieht beispielsweise die strategische Entscheidung, Unternehmensbereiche auszugliedern, operationelle Prozessrisiken in Verbindung mit Outsourcingpartnern nach sich. In manchen Kreditinstituten werden strategische Risiken nicht als eigenständige Risikoart behandelt, sondern unter Geschäftsrisiken subsumiert.3 Interessanterweise ist die betriebswirtschaftliche Literatur bei der Definition von Geschäftsrisiken am weitesten davon entfernt, einen einheitlichen Standard erkennen zu lassen.4 Nach einem Abgleich mit in verschiedenen Kreditinstituten verwendeten Definitionen soll unter Geschäftsrisiken im Folgenden die Gefahr des Einbruches von Geschäftsvolumen und/oder Margen von Bankprodukten und –dienstleistungen durch veränderte Rahmenbedingungen am Markt verstanden werden. Wesentliche Treiber von Geschäftsrisiken sind die Wettbewerbssituation, das Kundenverhalten und der wissenschaftliche wie technische Fortschritt.5 Diese beeinflussen auch operationelle Risiken, Erfolgsrisiken sowie Liquiditätsrisiken. So geht der technische Fortschritt, der ein Online-Banking erst ermöglichte, einher mit einer höheren Anfälligkeit gegenüber HackerAktivitäten, also einem externen operationellen Risiko.6 Abbildung 57 zeigt eine wirkungsbezogene Darstellung der in Tabelle 1 definierten Risikoarten. Dargestellt ist die Wirkung von strategischen Risiken und Geschäftsrisiken
1 2 3 4 5
6 7
Vgl. Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 627. Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) AT 4.2. Vgl. z. B. Julius Bär (Finanzbericht 2000) S. 18. Vgl. z. B. Schuster, L.: (Risiko-Management in Banken) S. 208, der eine allgemeinere Definition von Geschäftsrisiken verwendet, die u. a. auch Liquiditäts- und Reputationsrisiken beinhaltet. Vgl. Bayerische Hypo- und Vereinsbank: (Finanzbericht 2003) S. 39; Beeck, H./Kaiser T.: (Quantifizierung) S. 637, Deutsche Bank: (Finanzbericht 2003) S. 139; Dresdner Bank: (Finanzbericht 2003) S. 33; Hartmann-Wendels, T./Pfingsten, A./Weber, M.: (Bankbetriebslehre) S. 541; Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 627. Vgl. Hagelüken, A. (Schutz bei Online-Käufen); o. V./Handelsblatt: (Online-Banking). Quellen: Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. S. 623-668; Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 7; Darstellungsweise modifiziert nach Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 107; Hofmann, M.: (Operationelle Risiken in Kreditinstituten) S. 13.
Kategorisierung operationeller Risiken
25
auf operationelle Risiken, Erfolgsrisiken und Liquiditätsrisiken. In dieser Arbeit wird auf ein ursachenbezogenes identifizieren, quantifizieren und managen von operationellen Risiken abgestellt. Dabei werden die strategischen Entscheidungen der Geschäftsführung sowie die Rahmenbedingungen des Marktes als gegeben angesehen. D. h. operationelle Risiken werden nicht explizit in einen funktionalen Zusammenhang zu strategischen Entscheidungen oder Marktgegebenheiten gestellt. Die Komplexität dieser Zusammenhänge lässt eine systematische Aufbereitung nicht zu. Gleichwohl muss die Geschäftsführung eines Kreditinstituts bei bedeutenden strategischen Entscheidungen (z. B. Outsourcing) abwägen, in welchem Umfang sich das Risikoprofil des Instituts und insbesondere das der operationellen Risiken bei verschiedenen Handlungsalternativen verändern würde. Die in Abbildung 5 dargestellten Reputationsrisiken werden häufig nicht mit in die Systematisierung der Risikoarten eines Kreditinstituts aufgenommen.1 In dieser Arbeit werden sie als Teil der allgemeinen Unternehmensrisiken gesehen. In Zusammenhang mit der Behandlung von operationellen Risiken ist es wichtig, auf diese Risikoart einzugehen.
1
Vgl. z. B. Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 628.
26
Erster Teil
Strategische Risiken
Kreditrisiken
• Prozessrisiken
• Ausfallrisiko
• Personenrisiken
• Bonitätsrisiko
• Systemrisiken • Externe Risiken
Marktpreisrisiken • Zinsänderungsrisiken • Währungsrisiken • Aktienkursrisiken
Liquiditätsrisiken • Liquiditätsanspannungsrisiken • Terminrisiken • Abrufrisiken
Reputationsrisiken
Operationelle Risiken
• Rohstoffpreisrisiken
Geschäftsrisiken
Abbildung 5: Wirkungsbezogene Darstellung der Risikoarten eines Kreditinstituts Reputationsrisiken werden definiert als die Gefahr von Verlusten, die in Folge einer Verschlechterung der Reputation des Kreditinstituts eintreten.1 Sie werden auch als nachgelagertes Risiko bezeichnet. Die bereits definierten Risikoarten (strategische Risiken, Geschäftsrisiken, operationelle Risiken, Kredit- und Marktpreisrisiken, Liquiditätsrisiken) können, müssen Reputationsrisiken aber nicht verursachen. Beispielsweise können strategische Fehlentscheidungen oder signifikante Kreditausfälle nur dann Reputationsrisiken nach sich ziehen, wenn sie außerhalb des Kreditinstituts z. B. bei Kunden, Anteilseignern oder Geschäftspartnern bekannt werden. Im Umkehrschluss sind Reputationsrisiken häufig Folge einer anderen Risikoart2 (vgl. auch Abbildung 5): Strategische Risiken und Geschäftsrisiken beeinflussen Reputationsrisiken: So sehen sich beispielsweise viele Kreditinstitute in Zusammenhang mit der Einführung von Basel II und damit einer risikodifferenzierten Kreditbepreisung dem Vorwurf ausgesetzt, dass sie sich aus dem Kreditgeschäft mit mittelständischen Unternehmen zurück-
1 2
Vgl. Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 106; Rayner, J.: (Reputational Risk) S. 20 f. Vgl. Schierenbeck, H./Grüter, M. D./Kunz, M. J.: (Reputationsrisiken) S. 8 f.
Kategorisierung operationeller Risiken
27
ziehen.1 Erfolgsrisiken haben Einfluss auf die Reputation eines Kreditinstituts, da signifikante Verluste aus schlagend gewordenen Erfolgsrisiken nach außen bekannt werden können. Das gleiche gilt für sich am Finanzmarkt verbreitende Nachrichten über Liquiditätsengpässe eines Kreditinstituts. Operationelle Risiken ziehen häufig Reputationsrisiken nach sich. Wird z. B. bekannt, dass sich Hacker Zugang zu Kunden- und Kontendaten des Online-Banking eines Kreditinstituts verschaffen konnten, verursacht dies in aller Regel Reputationsschäden. Reputationsschäden sind allerdings schwer messbar, denn sie äußern sich häufig in Kundenabwanderungen bzw. einer Reduktion des Geschäftsvolumens. Die Schäden liegen also in der entgangenen Opportunität. Reputationsrisiken grenzt die Bankenaufsicht explizit von operationellen Risiken ab.2 Konsequenterweise wurde die noch im 2. Konsultationspapier vom Baseler Ausschuss gewählte Formulierung, dass auch mittelbare Verluste aus Prozess-, Personen-, System- und externen Risiken den operationellen Risiken zuzurechnen seien, gestrichen.3 Dennoch werden Schäden aus Reputationsrisiken, die einen mittelbaren Verlust aus einem operationellen Risiko darstellen, von einigen Banken als Schadenseffekt erhoben und in Schadensfalldatenbanken gespeichert. Dies erscheint vor dem Hintergrund, dass kleine operationelle Schäden durchaus große Reputationsschäden nach sich führen können, durchaus sinnvoll. Um auch eine Basel-II-konforme Sichtweise auf erlittene Schäden aus operationellen Risiken zu unterstützen, sollten Kreditinstitute aber zwingend Schadenseffekte aus Reputationsrisiken als solche kennzeichnen, um diese im Reporting/aufsichtsrechtlichen Meldewesen alternativ auch herausfiltern zu können.
III. Abgrenzung von Kredit- und operationellen Risiken Kreditinstitute sehen sich in hohem Maße Kreditrisiken und operationellen Risiken ausgesetzt. Zudem ereignet sich ein Großteil der operationellen Schadensfälle im Kreditgeschäft selbst. In diesem Unterkapitel soll daher nochmals besonders beleuchtet werden, wie Kreditrisiken und operationelle Risiken voneinander abgegrenzt werden können. Dazu wird zunächst dargestellt, welche betriebswirtschaftlichen und regulatorischen Triebfedern und Anforderungen zur Separierung von Kredit- und operationellen Risiken
1 2 3
Vgl. Everling, O.: (Ratings für den Mittelstand); Hamer, E.: (Mittelstand); o. V./FAZ: (Streit um “Basel II”); Reitz, U.: (Pleitewelle droht). Vgl. Basel Committee on Banking Supervision: (Framework) Absatz 644. Vgl. Basel Committee on Banking Supervision: (2. Konsultationspapier) Absatz 547; Basel Committee on Banking Supervision: (Framework) Absatz 644; Stickelmann, K.: (Operationelles Risiko – Abgrenzung und Definition) S. 15 f.
28
Erster Teil
bestehen. Dann wird auf Gefahren der fehlgeleiteten Steuerung hingewiesen, die entstehen, wenn Risiken im Kreditgeschäft keiner ursachenbezogenen Betrachtung unterzogen werden. Anhand von Beispielen wird aufgezeigt, welche operationellen Schäden im Kreditgeschäft auftreten können und wie diese die Kreditrisiko-Datenbanken und die darauf kalibrierten Steuerungsparameter verzerren können. Zuletzt wird gezeigt, wie eine Logik zur ursachenbezogenen Abgrenzung von Kredit- und operationellen Risiken aussehen kann.1
1.
Betriebswirtschaftliche und regulatorische Anforderungen
Im Rahmen der Gesamtbanksteuerung wird versucht, alle Risikoarten adäquat zu messen und zu steuern. Dabei sollen auf der einen Seite möglichst alle Risiken erfasst, auf der anderen Seite aber Doppelzuordnungen vermieden werden. Zwangsläufig ergibt sich die Frage, wie operationelle Risiken von Kredit- und Marktpreisrisiken abzugrenzen sind.2 Die Wechselwirkungen zwischen operationellen Risiken und Kreditrisiken sind dabei von besonders hoher Relevanz. Die QIS Studien der Bankenaufsicht haben gezeigt, dass etwa 60 % aller operationellen Schäden eines Kreditinstituts im Firmen- und Privatkundengeschäft auftreten3. Da ein Großteil dieser Schäden im Aktivgeschäft auftritt, sind Kredit- und operationellen Risiken eng verknüpft. Erfahrungswerte in verschiedenen Kreditinstituten zeigen, dass bis zu 35 % aller Wertberichtigungen und Abschreibungen im Kreditgeschäft ursprünglich auf operationelle Risiken zurückzuführen sind.4 Für die Abgrenzung von Kredit- und operationellen Risiken gibt es für Kreditinstitute drei wesentliche Triebfedern: Zum einen die betriebswirtschaftliche Anforderung der Risikoaufspaltung im Rahmen der Gesamtbanksteuerung, dann die Umsetzung der aufsichtsrechtlichen Vorgaben und nicht zuletzt die Erfüllung der Anforderungen externer Ratingagenturen. Im Rahmen der Gesamtbanksteuerung müssen sämtliche Risikoarten geplant, limitiert und einem Soll-Ist-Vergleich unterzogen werden. Im Rahmen des Allokationsprozesses wird jede Risikoart möglichst adäquat mit ökonomischem Eigenkapital unterlegt. Voraussetzung hierfür ist die Quantifizierung und damit die Abgrenzung aller Risikoarten. Diese erleichtert zudem ein adressatenspezifisches Reporting sowie eine risikoadjustier-
1
2 3 4
Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt. Vgl. Geiger, H./Piaz, J.-M. (Bewertung operationeller Risiken) S. 793 f; Schäl, I.: (Operational Risk) S. 3. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 7. Vgl. Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 278.
Kategorisierung operationeller Risiken
29
te Performancemessung. Erst die Trennung von Kreditrisiken und operationellen Risiken ermöglicht das aktive Management operationeller Risiken im Lebenszyklus eines Kredits. In der betriebswirtschaftlichen Literatur stand bislang die wirkungsbezogene Betrachtung von Risiken im Vordergrund.1 So findet sich beispielsweise folgende Definition von Kreditrisiken in Hartmann-Wendels, T./Pfingsten, A./Weber, M.: (Bankbetriebslehre, S. 541): „Kreditnehmer oder Wertpapieremittenten leisten vereinbarte Zahlungen nicht; Vertragspartner im Derivativgeschäft erfüllen ihre Liefer- oder Zahlungsverpflichtungen nicht – weil sie nicht wollen, wegen ihrer wirtschaftlichen Lage nicht können oder aus rechtlichen Gründen nicht dürfen.“ Diese Definition ist nur teilweise konform mit der in dieser Arbeit verwendeten (vgl. Kapitel A.I.2). Im Rahmen dieser Arbeit wird deutlicher differenziert zwischen den Ursachen von Risiken. Auch Geiger, Piaz und van den Brink weisen daraufhin, dass die Abgrenzung von Risiken nur ursachenbezogen möglich ist.2 Fehlender Zahlungswille (im Sinne eines externen Betrugs) bzw. Rechtsrisiken werden hier abweichend zu der zitierten Definition als operationelle Risiken angesehen und nicht als Kreditrisiken. Die Abgrenzung von Risiken wird schwieriger, wenn die Ursachen von Ereignisen nicht klar abgegrenzt werden können, oder aber wenn Ereignisse miteinander korreliert sind.3 Eine fehlerhafte Kredit- oder Kreditsicherheitenbearbeitung, also ein operationelles Ereignis, wird häufig erst dann verlustrelvant, wenn zusätzlich ein Kreditnehmerausfall eintritt.4 Die Bankenaufsicht belegt den Aufbau eines Operational-Risk-Management durch dessen prominente Platzierung im Rahmen der Basel-II-Umsetzung mit hoher Priorität. Hierbei werden nicht nur quantitative Anforderungen an die Umsetzung der drei regulatorischen Eigenkapital-Unterlegungsansätze5 gestellt, sondern auch explizit qualitative Anforderungen an den Risikomanagementprozess gestellt. Hierzu gehören die sogenannten „Sound Practices for the Management and Supervision of Operational Risk“6. Die Formulierung der in 2009 überarbeiteten „Mindestanforderungen an das Risikomanagement“ (MaRisk)7 erfolgte auch vor dem Hintergrund einer gewünschten Reduzie-
1 2 3 4 5
6 7
Vgl. Moser, H./Quast, W.: (Organisation des Risikomanagements) S. 666. Vgl. Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 105; Geiger, H./Piaz, J.-M.: (Bewertung operationeller Risiken) S. 7. Vgl. Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 105; Cruz. M. G.: (Modeling Operational Risk) S. 23-25. Walzak, B.: (Credit Processes and Operational Risk) enthält eine ausführliche Darstellung der Zusammenhänge zwischen der Kreditportfolioqualität und der Kreditprozessqualität. Diese drei Ansätze sind: Der Basisindikatoransatz (vgl. Kapitel A.I.3, Zweiter Hauptteil), der Standardansatz (vgl. Kapitel A.I.3, Zweiter Hauptteil) und die Ambitionierten Messansätze (vgl. Kapitel B.II und B.III, Zweiter Hauptteil), wobei unter letzterem eine Klasse von Ansätzen zu verstehen ist. Vgl. auch Basel Committee on Banking Supervision: (Überarbeitetes Framework) S. 163-167. Vgl. Basel Committee on Banking Supervision: (Sound Practices). Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk).
30
Erster Teil
rung operationeller Risiken. In diese sind die „Mindestanforderungen an das Kreditgeschäft“ (MaK)1 aus 2002 eingeflossen. Als Management-Information und für Steuerungszwecke regt die Bankenaufsicht die ursachenbezogene Aufspaltung von Schäden im Kreditgeschäft ausdrücklich an. Alle Schäden, die aus operationellen Risiken resultieren, einschließlich derer, die im herkömmlichen Sinne den Kreditrisiken zugeordnet werden, sollen in Schadensfalldatenbanken historisiert werden. In Kapitel A.III.3 wird ein Ansatz für eine Logik vorgeschlagen, mit Hilfe derer sich Ereignisse ursachenbezogen den Kredit- oder operationellen Risiken zuordnen lassen. Für die Entwicklung institutsinterner ambitionierter Messansätze (AMA) für die Bestimmung der regulatorischen Eigenkapitalunterlegung operationeller Risiken, wo die institutseigene Schadenshistorie ausdrücklich berücksichtigt wird, sollen Schäden im Kreditgeschäft jedoch weiterhin den Kreditrisiken zugerechnet werden.2 „Verluste aufgrund von operationellen Risiken, die im Zusammenhang mit Kreditrisiken stehen und in der Vergangenheit in die Kreditrisiko-Datenbank eingeflossen sind (z.B. Fehler bei der Sicherheitenverwaltung), werden für die Berechnung der Mindesteigenkapitalanforderung nach dieser Rahmenvereinbarung weiterhin als Kreditrisiken behandelt.“3 Dies ist zunächst im Rahmen der Konsultationsphasen zum Baseler Rahmenwerk auch Wunsch einer Reihe von Kreditinstituten gewesen.4 Hintergrund ist, dass eine komplette Neuentwicklung von aufsichtlich relevanten Steuerungsparametern für Kreditrisiken (insbes. PD und LGD, vgl. Kapitel A.III.2) auf der Grundlage bereinigter KreditrisikoDatenbanken einen immens hohen Aufwand bedeutet hätte.5 Eine Ex-post-Bereinigung der Kreditrisiko-Datenbank um operationelle Schäden würde bedeuten, dass je ausgefallenem Kredit nachvollzogen werden müsste, wer wann welchen Fehler begangen hat und wie hoch der jeweils resultierende Schaden gewesen ist. Diese Herangehensweise würde ein monatelanges Studium von (i.d.R. nicht elektronisch verfügbaren) Kreditakten bedeuten. Für die Praxis ist dies zunächst nachträglich schwer umsetzbar: Die vollständige Ex-Post-Untersuchung jedes einzelnen Kredites auf mögliche, bisher eingetretene operationelle Schadensfälle bedeutet einen immensen Aufwand an Ressourcen, sowohl für die Geschäftsbereiche als auch für das operationelle Risikomanagement.
1 2
3 4 5
Bundesaufsichtsamt für das Kreditwesen: (MaK). Vgl. Basel Committee on Banking Supervision (Überarbeitetes Framework) Absatz 673; Commission of the European Communities (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Part 3, Absatz 14. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 673. Vgl. Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 106. British Bankers’ Association (BBA)/London Investment Banking Association: (Response to Basel Accord) S. 54-55.
Kategorisierung operationeller Risiken
31
Nichts desto trotz muss sich ein Kreditinstitut darüber Klarheit verschaffen, inwieweit Verzerrungen in der Steuerung bestehen. Im Rahmen der Gesamtbanksteuerung hat ein Kreditinstitut somit ein starkes Interesse, ökonomisches Eigenkapital risikoursachenbezogen zu allozieren. Risiken sollten in ihrer tatsächlichen Höhe gemessen, geplant, limitiert und einem laufenden Soll-Ist-Vergleich unterzogen werden. Ein Ignorieren der Erkenntnis, dass ausgewiesene Kreditrisiken einen Anteil operationeller Risiken beinhalten, würde jedoch zur systematischen Fehlsteuerung führen. Daher müssen pragmatische Herangehensweisen gewählt werden. Hierauf wird im dritten Hauptteil dieser Arbeit nochmals Bezug genommen (vgl. Kapitel A.II des dritten Hauptteils). Ratingagenturen haben angekündigt, dass sie bei der Prüfung von Kreditinstituten zukünftig ein besonderes Augenmerk auf das institutsinterne Operational-RiskManagement legen werden. Dabei soll auch die Frage erörtert werden, wie Risiken voneinander abgegrenzt werden, bzw. wie mit Doppelzuordnungen von Risiken und Schäden institutsintern umgegangen wird.1
2.
Fehlsteuerung durch verzerrte Kreditrisiko-Steuerungsparameter
Die Risikoarten Kreditrisiken und operationelle Risiken lassen sich definitorisch zunächst einfach voneinander abgrenzen (vgl. Kapitel A.I und A.II). Schaut man sich die Wirkungsweisen beider Risikoarten an, so fällt eine Abgrenzung deutlich schwerer. Im Kreditgeschäft bestehen wesentliche Schadenseffekte aus Einzelwertberichtigungen und Abschreibungen, aber auch aus zusätzlichen Prozess- und Eigenkapitalkosten. Einzelwertberichtigungen und Abschreibungen werden gebildet, wenn der Kreditnehmer bzw. Kontrahent seinen Zahlungsverpflichtungen (wahrscheinlich) nicht nachkommt. Verschlechtert sich die Bonität, so ist zusätzliches ökonomisches Eigenkapital vorzuhalten; es entstehen höhere Eigenkapitalkosten. Zusätzliche Kosten können dadurch entstehen, dass eine höhere Kreditbetreuung notwendig ist (z. B. Übergabe an die Intensivbetreuung oder Sanierungsabteilung). Das herkömmliche Risikomanagement ist geprägt von einer stark wirkungsbezogenen Betrachtungsweise: Zumindest Abschreibungen und Einzelwertberichtigungen werden grundsätzlich dem Kreditrisiko(-manager) zugerechnet. Operationelle Schäden im Kreditgeschäft werden nicht direkt über Schadensfallkonten erfasst. Nach Schadensursachen wird in der Regel nicht differenziert. Tatsächlich sollte geprüft werden, ob die Ursache tatsächlich ein Kreditrisiko gewesen ist, oder ob die Gründe vielmehr in opera-
1
Vgl. Young, B./Theodore, S.: (Moody’s Analytical Framework).
32
Erster Teil
tionellen Ereignissen begründet lagen? Möglicherweise sind sogar beide Risiken schlagend geworden.1 Ein Beispiel mag die Komplexität der Risikozuordnung verdeutlichen: Bei der Vergabe eines Hypothekarkredits in Höhe von TEUR 300 (endfälliges Darlehen) wird versäumt, sich das Recht am Grundstück im Grundbuch zu sichern. Die mit TEUR 200 veranschlagte Sicherheit ist somit nicht verwertbar. Die restlichen TEUR 100 seien ebenfalls nicht besichert. Der von der Bank im (Kredit-) Verlustfall erwartete Schaden beträgt TEUR 100. Tatsächlich würde sich der Gesamtverlust auf TEUR 300 belaufen, da sich die Sicherheit im Ausfallzeitpunkt als nicht durchsetzbar herausstellt. Es tritt ein zusätzlicher (operationeller) Schadenseffekt von TEUR 200 auf. In der bisherigen wirkungsbezogenen Sichtweise würde der mögliche Gesamtschaden von TEUR 300 fälschlicherweise gänzlich dem Kreditrisiko zugeordnet werden. Die ursachenbezogene Zuordnung von Schadensfällen im Kreditgeschäft ist nicht trivial und wird dadurch erschwert, dass sowohl Kreditausfälle als auch operationelle Schäden erst Jahre nach der Kreditgewährung auftreten können. Die ungenügende Trennung von Kreditrisiko- und Schadensfalldatenbanken hat Auswirkungen auf die gesamte Kreditrisikosteuerung. Hier werden Steuerungsinstrumente wie bankinterne Ratingverfahren, Einzelgeschäftskalkulatoren und Portfoliomodelle verwendet, die mit Hilfe der verzerrten Kreditrisiko-Datenbanken kalibriert werden. Für diese Instrumente sind neben den Cashflows der Einzelgeschäfte drei Steuerungsparameter entscheidend (vgl. Abbildung 62): o Die Ausfallrate (PD = Probability of Default) o Die Exposition (EAD = Exposure at Default) o Die Verlustquote (LGD = Loss Given Default)
Die Ausfallrate (PD) gibt die Wahrscheinlichkeit an, dass ein Kreditnehmer innerhalb eines definierten Zeitraums (z. B. 12 Monate) definierte Kreditausfallereignisse (z. B. Zahlungsverzug von 90 Tagen) erfüllt.3 Diese wird ratingklassenabhängig anhand der institutsspezifischen Ausfallhistorie bestimmt. In aller Regel wird bei der Kalibrierung von Ausfallraten auf das Datum der Einzelwertberichtigungen als Ausfallzeitpunkt abgestellt, weil nur dieses für den gesamten historischen Kreditbestand abrufbar ist. Traten in der Vergangenheit jedoch Kreditausfälle in Folge operationeller Risiken auf, so erhöhen diese die statistisch ermittelten Ausfallraten, die jedoch nur die Bonität eines 1 2
3
Vgl. Geiger, H./Piaz, J.-M. (Bewertung operationeller Risiken) S. 793-796; Schäl, I.: (Operational Risk) S. 6. Quelle: Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 280; Die Darstellung der Risikotreiber in Bezug auf Kreditrisiken ist eine gängige Darstellung und findet sich z. B. in Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) S. 647. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 452 f.
33
Kategorisierung operationeller Risiken
Kreditnehmers widerspiegeln sollen. Ex post kann nicht oder nur mit sehr großem Aufwand erkannt werden, ob die jeweilige Einzelwertberichtigung den Kredit- oder operationellen Risiken zuzurechen ist. Zudem kann die Anzahl der beobachteten Ausfälle je Ratingklasse statistisch verzerrt sein, weil irrtümlich oder mutwillig falsche Ratingnoten vergeben worden waren (operationelles Prozess- oder Personenrisiko; vgl. Abbildung 6).1
Risikotreiber Kreditrisiko
- Bonität des Kreditnehmers - Migrationsbewegungen - Restlaufzeit
- Im Ausfallzeitpunkt noch ausstehende Zahlungen - Inanspruchnahme der Linie
- Verkehrswerte der Sicherheiten - Rangstellung
EL
PD
EAD
LGD
Expected Loss
Probability of Default
Exposure at Default
Loss given Default
- Nichteinhaltung der internen Limite - Fehlerhafter Kreditlinienausweis - Nicht rechtzeitige Sperrung der Kreditlinie
- Fehlerhafte Sicherheitenverwaltung (Ausweis, Verteilung, versäumte Grundbucheintragung) - Fehlerhafte/falsche Sicherheitenbewertung
Risikotreiber OpRisk
Abbildung 6
- Modellfehler - Falsche Anwendung von Rating- und Scoringsystemen - Interner oder externer Betrug - Zahlungsverzug durch interne Fehlbuchungen
Abgrenzung der Risikotreiber für Kredit- und operationelle Risiken
Die Exposition (EAD) gibt die erwartete Höhe des ausstehenden Kreditvolumens im Ausfallszeitpunkt an. Während die Ermittlung der Restschuld bei vertraglich festgelegten Cashflows zu jedem Zeitpunkt möglich ist, müssen bei variablen Produkten (z. B. Kontokorrentkrediten) die Linien-Inanspruchnahmen vor etwaigen Kreditausfällen empirisch geschätzt werden.2 Bedingt durch operationelle Risiken kann die Exposition im Ausfallszeitpunkt höher sein, als wenn ausschließlich Kreditrisiken schlagend werden. Werden beispielsweise die internen Limite bzw. Kompetenzen gemäß Kreditrisikostrategie überschritten, so erleidet ein Kreditinstitut einen höheren Ausfall als bei Einhaltung der internen Richtlinien. Bei vorgesehenen, aber nicht erfolgten Liniensperrungen bei sich abzeichnender Insolvenz erhöht sich der operationelle Schaden zusätzlich. Die Verlustquote (LGD) gibt an, welcher Teil der Exposition im Ausfallszeitpunkt nicht durch Sicherheitenverwertung und Beitreibungsmaßnahmen gedeckt werden kann. Sie wird mit Hilfe historischer Verwertungsfälle geschätzt. Gerade bei der Sicherheitenverwertung zeigt die Empirie, dass im Vorfeld eine Reihe von operationellen Schadenser-
1 2
Vgl. Schäl, I.: (Internal Ratings) S. 211, S. 225-229. Erfahrungsgemäß steigt die Linien-Inanspruchnahme deutlich vor der Insolvenz.
34
Erster Teil
eignissen eingetreten sein kann. Hierzu gehören der fehlerhafte Sicherheitenausweis, die unangemessene Sicherheitenverteilung innerhalb des Engagements und mangelhafte Sicherheitenpflege sowie die Nicht-Gewährleistung der Verwertbarkeit (z. B. Grundbucheintragung) oder der periodische Neubewertung. Ergebnis eines intern durchgeführten Ratings ist die Ausfallrate (PD). Durch die multiplikative Verknüpfung der drei Steuerungsparameter (PD, EAD, LGD) ergibt sich der (periodische) erwartete Verlust je Einzelgeschäft (EL = Expected Loss), der als Standardrisikokostenbeitrag in die Einzelgeschäftskalkulation einfließt. Alle drei Parameter sind neben der Kreditportfoliostruktur und den Korrelationen zwischen den Kreditnehmern auch wesentliche Eingangsparameter für die Bestimmung der Gesamtverlustverteilung des Kreditportfolios. Somit bestimmen PD, EAD und LGD nicht nur erwartete Verluste, sondern ebenso unerwartete Verluste auf Portfolioebene. Da alle Steuerungsgrößen des Kreditrisikomanagements z. T. erheblich durch operationelle Schäden beeinflusst werden, müssen Kreditinstitute abschätzen können, welcher Anteil des ausgewiesenen Kreditrisikos tatsächlich ein operationelles Risiko darstellt. Erst dann kann ein aktives Kreditportfoliomanagement wie auch die Steuerung aller Risikoarten im Rahmen der Gesamtbanksteuerung zielführend vorgenommen werden.1
3.
Ansätze zur ursachenbezogenen Abgrenzung
Erst die Trennung von Kreditrisiko-Datenbanken und operationellen Schadensfalldatenbanken ermöglicht die separate Analyse beider Risikoarten. Die Steuerungsparameter PD, EAD und LGD können dann statistisch valide mit Hilfe der bereinigten Kreditrisiko-Datenbank geschätzt werden. Zudem ermöglicht das getrennte Führen von Schadensfallkonten innerhalb der Schadensfalldatenbank ein aktives Management der operationellen Risiken im Kreditgeschäft. Investitionen in System- und Prozessqualität oder in Mitarbeiterfortbildung können dann gezielter gelenkt werden.2 Für den zukünftigen Aufbau ihrer Datenbanken benötigen Kreditinstitute eine Logik, nach der Schäden im Kreditgeschäft ursachenbezogen der Kreditrisiko-Datenbank oder der Schadensfalldatenbank zugeordnet werden können. Doppelerfassungen sollten vermieden werden.3 Treten sie auf, so müssen sie als solche gekennzeichnet werden.
1 2 3
Vgl. Young, B./Theodore, S.: (Moody’s Analytical Framework) S. 11. Vgl. Schäl, I.: (Operational Risk) S. 11. Vgl. British Bankers’ Association (BBA)/London Investment Banking Association: (Response to Basel Accord) S. 54-55.
35
Kategorisierung operationeller Risiken
Abbildung 71 zeigt für die Kontrollpunkte Kreditantrag und Kreditbewilligung die vereinfachte Darstellung einer solchen Logik. Die Kategorisierung von operationellen Risiken wird in dieser Darstellung reduziert auf die vier Kategorien Personen-, Prozess-, System- und externe Risiken, wobei Systemrisiken in diesem vereinfachten Beispiel ausgeblendet werden. Kreditantrag durch Kunden
Nein
Betrügerische Absicht?
Ja
Bewilligung des Kreditantrags
Arbeitsanweisungen befolgt? Ja
Kreditrisiko
Kreditrisiken
Abbildung 7
Bewilligung des Kreditantrags
Nein
Nein
Ja
Mutwillig?
Personenrisiko
Nein
Prozessrisiko
Arbeitsanweisungen befolgt? Ja
Externes Risiko
Operationelle Risiken
Logik zur Trennung von Kreditrisiken und operationellen
In obigem Beispiel stellt die vergessene Grundbucheintragung ein operationelles Prozessrisiko dar. Die entsprechende Arbeitsanweisung wurde versehentlich nicht befolgt. Erfolgt eine Kreditvergabe bei mutwilliger Missachtung der internen Arbeitsanweisungen, z. B. aus persönlicher Gefälligkeit, so liegt ein operationelles Personenrisiko vor (vgl. Abbildung 7). Operationelle externe Risiken liegen vor, wenn der Kreditantrag des Kunden aus betrügerischer Absicht gestellt wird, z. B. mit manipulierten Unterlagen. Die Fälle, in denen ein reines Kreditrisiko vorliegt, sind ausschließlich bonitätsbedingte
1
Quelle: Quelle: Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 281.
36
Erster Teil
Zahlungsverzugsrisiken, die bei einwandfreier interner Kreditbearbeitung ohne jeglichen externen Betrug entstehen. Für die dezentrale Schadenserfassung müssen Logiken gemäß obigem Beispiel entwickelt und den Anwendern als Kategorisierungs- und Erfassungshilfe zur Verfügung gestellt werden. So wird der Aufbau und die Strukturierung von Kreditrisiko-Datenbanken und Schadensfalldatenbanken deutlich erleichtert.
B.
Kategorisierung operationeller Risiken
Wesentliche Grundvoraussetzung für das Management operationeller Risiken ist deren möglichst konsistente Kategorisierung. Diese wird sowohl für die Quantifizierung (zweiter Haupteil dieser Arbeit) sowie die Steuerung (dritter Hauptteil) benötigt. Nach einem generellen Überblick über den Umsetzungsstand von Kategorisierungen in der Kreditwirtschaft werden konkrete Kategorisierungen von Bankenverbänden und Kreditinstituten diskutiert und deren Stärken und Optimierungsbedarfe dargestellt. Zudem wird der Kategorisierungsansatz der Bankenaufsicht als regulatorischer Rahmen eingeführt und Implikationen für Kreditinstitute besprochen. In Kapitel III wird dann ein Kategorisierungsansatz für operationelle Risiken neu entwickelt sowie eine Überleitung in den Kategorisierungsansatz der Bankenaufsicht abgeleitet.1
I.
Bewertung des Umsetzungsstandes in der Kreditwirtschaft
1.
Ausgangslage
In der Bankpraxis gibt es bereits einige – teilweise sehr unterschiedliche – Kategorisierungsansätze für operationelle Risiken und zugehörige (Schadens-)Ereignisse. Diese lassen sich gemäß der Zielsetzung ihrer Verwendung und ihrer Detaillierung unterteilen in Makro-Kategorisierungen (kurz: MAKA), Meso-Kategorisierungen (MEKA) und Mikro-Kategorisierungen (MIKA). Diese sollen in diesem Kapitel näher beschrieben und mit Beispielkategorisierungen veranschaulicht werden. Im Rahmen von Basel II hat die Bankenaufsicht einen Kategorisierungsansatz2 erarbeitet, der bei zukünftiger Anwendung des Advanced Measurement Approach (AMA)3 zur
1 2 3
Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt. Vgl. Basel Committee on Banking Supervision: (Framework) Anhänge 6 und 7. Für Kreditinstitute bestehen drei verschiedene, regulatorische Eigenkapitel-Unterlegungsansätze: Der Basisindikatoransatz (vgl. Kapitel A.I.3, Zweiter Hauptteil), der Standardansatz (vgl. Kapitel A.I.3, Zwei-
Kategorisierung operationeller Risiken
37
Bemessung des regulatorischen Eigenkapitals für operationelle Risiken verbindlich sein wird. Dieses allumfassende, für alle Kreditinstitute1 gültige Rahmenwerk ist entsprechend grobgliedrig konzipiert, und kann demgemäß als bankaufsichtliche MakroKategorisierung (kurz: MAKABasel_II) bezeichnet werden. Zu Beginn der Verwendung des AMA-Ansatzes für operationelle Risiken müssen institutseigene Schadensfälle über einen Zeitraum von mindestens 3 Jahren kategorisiert und historisiert worden sein. Der Historisierungszeitraum muss dann umgehend auf 5 Jahre ausgebaut werden.2 Zudem erstellen Kreditinstitute ihre eigenen Kategorisierungsansätze, die möglichst das gesamte operationelle Risikoprofil des Instituts abdecken sollen und daher in der Regel sehr feingliedrig sind. Ein Beispiel für eine solche Mikro-Kategorisierung, wie sie in der Sparkasse Bremen verwendet wird, findet man bei Wiedemann, A./Minz, K.A./Niemeyer, F.3 Um ihre angeschlossenen Kreditinstitute bei dem individuellen Kategorisieren von operationellen Risiken und Ereignissen zu unterstützen, entwickeln Bankenverbände „mittelfein“-gliedrige Muster-Kategorisierungen, hier Meso-Kategorisierungen genannt. Diese dienen außerdem als Katalysator für eine umfassende Standardisierung wie sie unabdingbar etwa für ein institutsübergreifendes Pooling von Schadensfalldaten ist. Als konkrete Beispiele seien hier die Kategorisierungen der British Bankers’ Association4 sowie des Bundesverbandes öffentlicher Banken Deutschlands5 erwähnt.
2.
Bewertung der Ausgangslage
„In order to take action to prevent or mitigate similar losses in the future, losses must be attributed to a cause“.6 Hierfür bedarf es der genauen, möglichst überschneidungsfreien
1
2
3 4 5 6
ter Hauptteil) und die Ambitionierten Messansätze (AMA) (vgl. Kapitel B.II und B.III, Zweiter Hauptteil), wobei unter letzterem eine Klasse von Ansätzen zu verstehen ist. Vgl. auch Basel Committee on Banking Supervision: (Überarbeitetes Framework) S. 163-167. Kreditinstitute, die unter die Absätze 20 bis 39 von Basel Committee on Banking Supervision: (Überarbeitetes Framework) bzw. § 1 von Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung) fallen. Vgl. Basel Committee on Banking Supervision: (Framework) Absätze 672 f.; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 3, Nr. 13. Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 114-128. British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation). Bundesverband Öffentlicher Banken Deutschlands (Verbandsbericht 2000/2001) S. 127-129. King, J. L.: (Modelling Operational Risk) S. 21.
38
Erster Teil
Definition aller relevanten Risiken sowie einer Zusammenfassung gleichartiger Risiken zu Risikogruppen.1 Die derzeit bereits vorhandenen Kategorisierungsansätze sind teilweise sehr unterschiedlich aufgebaut und daher meist wenig miteinander vergleichbar sowie schwer ineinander überführbar2; einen Industriestandard gibt es noch nicht3. Diese große Unterschiedlichkeit entsteht aus den bereits oben angeführten verschiedenartigen Zielsetzungen bzgl. der Umsetzung, sowie aus den folgenden Gründen: o Operationelle Risiken sind ein sehr weit gefächertes, heterogenes Risikofeld. Sie reichen von fehlerhaften, institutsintern verwendeten SteuerungsModellen bis hin zum Mitarbeiterstreik.4 Bei zunehmendem Umfang einer Kategorisierung wird es daher oft schwieriger, die darin zu erfassenden operationellen Risiken eindeutig und überschneidungsfrei zu definieren. o Jedes Kreditinstitut ist – je nach Struktur und Kerngeschäft – unterschiedlichen Formen von operationellen Risiken ausgesetzt. o Kategorisierer haben zum Teil ein unterschiedliches Risikoverständnis bzw. Risikobewusstsein. o Je nach Anwendung sollten (i) latent vorherrschende Risiken und/oder (ii) konkret eingetretene Ereignisse (d. h. schlagend gewordene Risiken) zugeordnet werden können. So schreibt beispielsweise die Bankenaufsicht die Kategorisierung von (ii) vor, währenddessen Kreditinstitute für Risikoeinschätzungen (etwa im Rahmen eines Self-Assessment) meist zusätzlich eine Kategorisierung von (i) benötigen. Sinnvollerweise sollten aber sowohl Ex-Ante- als auch Ex-Post-Bewertungen von operationellen Risiken auf demselben Kategorisierungsansatz basieren, um beide Sichtweisen zu standardisieren und vergleichbar zu machen. Die Unterschiedlichkeit der Ansätze darf aber für Kreditinstitute, die zukünftig den Advanced Measurement Approach verwenden wollen, nicht zu groß sein, da es gemäß Basel II notwendig sein wird, eine eindeutige Überleitungsfunktion von der institutsin-
1 2
3 4
Vgl. Stickelmann, K.: (Operationelles Risiko – Abgrenzung und Definition) S. 11 f. Einen Überblick über verschiedene Ansätze zur Kategorisierung von operationellen Risiken gibt Minz, K.-A.: (Operationelle Risiken in Kreditinstituten) S. 16-25. Eine Charakterisierung verschiedener RisikoKategorien findet sich bei Simon, W.: (Erfassung und Bewertung operationeller Risiken) S. 129-133. Vgl. Basel Committee on Banking Supervision: (QIS 2 – Loss Data Collection – Einführung); Minz, K.A.: (Operationelle Risiken in Kreditinstituten) S. 16. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 13, Tabelle 9.
Kategorisierung operationeller Risiken
39
ternen Mikro-Kategorisierung (MIKA) zur bankaufsichtlichen Makro-Kategorisierung (MAKABasel_II) herzuleiten.1 Die Konstruktion einer solchen Überleitungsfunktion ist auch für diejenigen Kreditinstitute empfehlenswert, die nicht den AMA-Ansatz sondern den Basisindikator- oder Standardansatz zur Bemessung des regulatorischen Eigenkapitals für operationelle Risiken verwenden wollen, da grundsätzliche alle Institute von der Bankenaufsicht angehalten werden, Ereignisse mit größeren Schäden zu historisieren2. Die konkrete Konstruktion einer Überleitungsfunktion in die MAKABasel_II gestaltet sich, vor allem bei zunehmendem Kategorisierungsumfang der MIKA bzw. MEKA, in der Regel als schwierig. De facto mangelt es an veröffentlichten Überleitungsfunktionen.
3.
Ein Strukturschema für die Kategorisierung operationeller Risiken
Zur besseren Darstellung der verschiedenen Kategorisierungsansätze soll zunächst das nachfolgende allgemeine, hierarchisch aufgebaute Strukturschema mit drei Kategorisierungsstufen eingeführt werden; alle später aufgeführten Makro-, Meso-, und MikroKategorisierungen lassen sich als Spezialfälle dieses Strukturschemas auffassen und sind somit besser beschreibbar sowie miteinander vergleichbar. Unter der (Kategorisierungs-)Stufe 0 werden die folgenden vier „Risiko-Oberkategorien“ subsumiert: o (Interne) Prozessrisiken (PRO), o (Interne) Personenrisiken (PER), o (Interne) Systemrisiken (SYS), o Externe Risiken (EXT).
Dabei umfasst (im Wesentlichen) PRO die in Kapitel A.I.2 angeführten Ereignisse (ER1), PER die Ereignisse (ER2), SYS die Ereignisse (ER3), sowie EXT die Ereignisse (ER4). Jeder dieser vier Risiko-Kategorien der Stufe 0 werden in der Stufe 1 detailliertere Kategorien untergeordnet, die jeweils mit einem Kleinbuchstaben (z. B. t) indiziert sind. Jede dieser ca. 20-26 Kategorien der Stufe 1 wird in der Stufe 2 in noch detailliertere Kategorien unterteilt, die jeweils mit dem entsprechenden Kleinbuchstaben und
1
2
Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 670-673; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 3, Kapitel 1.2.2. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 663 (b); Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 2, Nr. 17 (a); Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung), §276, §286-§287; Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) BTR 4.3.
40
Erster Teil
Stufe 2
Stufe 1
Stufe 0
einer fortlaufenden Nummer (z. B. t.3) indiziert sind (vgl. Abbildung 81). Die Anzahl der Kategorien der Stufe 2 beträgt dabei ca. 80-120. Aus dem Blickwinkel der Bankensteuerung sollten idealerweise in jeder Stufe einheitlich entweder ausschließlich Risikobeschreibende Kategorien (kurz: Risiko-Kategorien) oder Ereignis-beschreibende Kategorien (Ereignis-Kategorien) vorkommen. Prozessrisiken (PRO)
Personenrisiken (PER)
Systemrisiken (SYS)
Externe Risiken (EXT)
Risiko-Kategorie Nr. t
Risiko-Kategorie Nr. u
Risiko-Kategorie Nr. v
Ereignis-Kat. t.1 Ereignis-Kat. t.2 Ereignis-Kat. t.3
Ereignis-Kat. u.1
Ereignis-Kat. v.1 Ereignis-Kat. v.2 Ereignis-Kat. v.3
Ereignis-Kat. t.6
Abbildung 8: Einheitliche Hierarchisierung für Kategorisierungsansätze In den folgenden Kapiteln werden die MAKABasel_II (Kapitel 1) sowie Mikro- (Kapitel 2) und Meso-Kategorisierungen (Kapitel 3) besprochen und Beispielkategorisierungen vorgestellt.
II.
Bestehende Kategorisierungsansätze
1.
Der Kategorisierungsansatz der Bankenaufsicht
Die von der Bankenaufsicht vorgeschlagene Definition operationeller Risiken trennt impliziterweise den Begriff des Risikos als „Gefahr von Verlusten“ vom Begriff des (potentiell auftretenden bzw. konkret aufgetretenen) Ereignisses2, das diese Verluste/Schäden auslösen kann.3 Für die detaillierte Unterteilung von operationellen Ereignissen liefert die Bankenaufsicht in der Basel-II-Rahmenvereinbarung (Überarbeitetes Framework)4
1 2 3 4
Quelle: Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 788. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Ziffer 644. Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt. Basel Committee on Banking Supervision: (Überarbeitetes Framework).
Kategorisierung operationeller Risiken
41
konkrete Richtlinien; dabei wird unter anderem auch spezifiziert, welche operationellen Risiken unterlegungspflichtig sind. Die darin vorgestellte zugehörige (Makro-) Kategorisierung (kurz: MAKABasel_II) ist sinnvollerweise grobgliedrig gestaltet, da sie für verschiedene Geschäftstypen von Kreditinstituten verwendbar sein muss. Die Bankenaufsicht befürwortet jedoch ausdrücklich, dass Kreditinstitute für die Identifizierung, Quantifizierung und Steuerung ihrer spezifischen operationellen Risiken institutsinterne Kategorisierungen verwenden1. Diese sind naturgemäß feingliedriger als die MAKABasel_II aufgebaut. Für die Gestaltung solcher „Mikro-Kategorisierungen“ (kurz MIKA) fungiert die MAKABasel_II somit als gute Orientierungshilfe. Darüber hinaus müssen all diejenigen Kreditinstitute, die für die regulatorische Eigenkapitalunterlegung gemäß Basel II den Advanced Measurement Approach (AMA) verwenden wollen, verbindlich zu Beginn der Verwendung des Ansatzes die Ereignisse einer dreijährigen (später fünfjährigen) Schadenshistorie in die MAKABasel_II einordnen können2. Das bedeutet, dass sie eine eindeutige und für die Bankenaufsicht nachvollziehbare Überleitungsfunktion von ihrer MIKA in die MAKABasel_II benötigen. Zudem muss ein Institut angeben können, in welchem Geschäftsfeld ein Ereignis vorgefallen ist3. Zur besseren Nachvollziehbarkeit und Vergleichbarkeit mit anderen Instituten gibt die Bankenaufsicht hierfür acht verschiedene standardisierte Geschäftsfelder vor. Diese acht Geschäftsfelder sind Unternehmensfinanzierung/-beratung, Handel, Privatkundengeschäft, Firmenkundengeschäft, Zahlungsverkehr und Abwicklung, Depot- und Treuhandgeschäfte, Vermögensverwaltung sowie Wertpapierprovisionsgeschäft (vgl. Anhang 1).4 Auch hier bietet es sich an, operationelle Risiken und Ereignisse nach den institutsspezifischen Geschäftsfeldern zu ordnen, damit interne Steuerungsmechanismen unmittelbar abgeleitet werden können. Eine Überleitung in die von der Bankenaufsicht vorgegebenen Geschäftsfelder ist aber bei (zukünftiger) Anwendung des AMAAnsatzes für den Aufbau einer institutseigenen Schadenshistorie zwingend notwendig.5 All diejenigen Kreditinstitute, die für die regulatorische Eigenkapitalunterlegung gemäß Basel II keinen AMA-Ansatz verwenden wollen, werden zumindest Ereignisse mit
1 2
3
4
5
Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 673. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 672; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 3, Nr. 13. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 663, 670-673; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 3, Nr. 14. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Anhang 8; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 2, Tabelle 2. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 663, 670-673; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 3, Nr. 14.
42
Erster Teil
größeren Schäden systematisch erfassen müssen1. Auch in diesem Fall empfiehlt sich die Verwendung einer MEKA oder MIKA, die sich eindeutig in die MAKABasel_II überleiten lässt, um eine etwaige spätere Umstellung auf den AMA-Ansatz zu vereinfachen. Entsprechendes gilt für die Überleitung in die von der Bankenaufsicht vorgegebenen Geschäftsfelder.
Die MAKABasel_II besteht aus 20 Kategorien a bis t (z. B. l „Unbefugte Handlungen“, r „Diebstahl und Betrug“), die nochmals zu einer „Kategorien-Zwischenstufe“ von insgesamt 7 Kategorien I-VII (z. B. III „Interne betrügerische Handlungen“, VI „externe betrügeriche Handlungen“) zusammengefasst sind (vgl. Abbildung 92). Diese 7 Kategorien der Stufe 1A und 20 Kategorien der Stufe 1 sind als Ereignis-Kategorien gedacht3, da die MAKABasel_II primär vor dem Hintergrund der Kategorisierung von bereits eingetretenen Ereignissen und weniger für die Kategorisierung von latenten Risiken, beispielsweise zur Unterstützung eines Self-Assessment konzipiert wurde. Im Sinne der hier verwendeten Bezeichnungsweise ist die bankaufsichtliche Kategorisierung MAKABasel_II eine Vorgabe für die Kategorisierungsstufe 1A.4 Da hier für Vergleichs- und Überleitungszwecke primär die detaillierteren Kategorien der Stufe 1 und nicht die der Stufe 1A verwendet werden, wird der Stufe 1A keine getrennte „volle“ Hierarchiestufe zugeordnet, um nicht unnötigerweise ein allgemeines vierstufiges Modell einführen zu müssen. Zur Unterstützung einer besseren Unterscheidbarkeit mit den später angeführten MEKAs und MIKAs werden im Nachfolgenden die Kategorien der Stufe 1 nicht nur mit den Kleinbuchstaben a bis t bezeichnet, sondern zusätzlich mit der entsprechenden, vorangestellten römischen Ziffer der zugehörigen übergeordneten Kategorie der Stufe 1A (d. h. I.a bis I.e, …, VII.t). Die oben angeführte Kategorisierungsstufe 0 wird von der Bankenaufsicht in der MAKABasel_II obwohl Teil der aufsichtlich vorgegebenen Definition nicht eingebunden. Zudem wird eine detaillierende Kategorisierungsstufe 2 in der MAKABasel_II nicht unterstützt, da es sich bei der MAKABasel_II um eine institutsübergreifende Norm handelt, in die institutsspezifische Ereignisse übergeleitet werden müssen. Gemäß der deutschen Solvabilitätsverordnung ist für den AMA-Ansatz ebenfalls lediglich eine Überleitung der institutseigenen Ereignisse in die Kategorisierungsstufe 1A notwendig. Allein diese ist auch nur in der Solvabilitätsverordnung übernommen. Die Stufe 1 wird dort nicht
1
2 3 4
Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 663 (b); Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 2, Nr. 17 (a); Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung), §276, §286-§287; Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) BTR 4.3. Quelle: Basel Committee on Banking Supervision: (Überarbeitetes Framework) Anhang 9. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Anhang 7. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 673.
Kategorisierung operationeller Risiken
43
veröffentlicht.1 Grundsätzlich müssen Kreditinstitute, die einen AMA-Ansatz anwenden, auf Anfrage der Bankenaufsicht ihre Schadenshistorie lediglich auf die sieben Kategorien der Kategorisierungsstufe 1A verteilen können. Für eine sinnvolle Zuordnung von Schadensfällen zu diesen sieben Kategorien können die zugehörigen veröffentlichten Definitionen herangezogen werden.2 Im Sinne einer konsistenten Zuordnung wird hier jedoch empfohlen, die institutsinterne Schadenshistorie besser auf die detailliertere Kategorisierungsstufe 1 überzuleiten, so wie sie in der Basel-II-Rahmenvereinbarung veröffentlicht ist. Dieser Ansatz wird auch in dieser Arbeit verfolgt (vgl. Kapitel III.3). Als zusätzliche Orientierungshilfe können hierbei die vom Baseler Ausschuss veröffentlichten Beispiele dienen.3 Durch dieses Vorgehen wird am ehesten gewährleistet, dass die Überleitung im Sinne der Bankenaufsicht vorgenommen wird. Zudem kann der Bankenaufsicht besser dokumentiert werden, wie die Überleitung in die Stufe 1A in konkreten Fällen vorgenommen wurde – nämlich mit Hilfe der Stufe 1. Die Anwendung der bankaufsichtlichen Kategorisierung MAKABasel_II gestaltet sich manchmal als schwierig, da gewisse Ereignisse nicht eindeutig in eine einzige Kategorie der Stufe 1 eingeordnet werden können. „In der Praxis zeigt sich jedoch, dass die Einteilung von Verlustereignissen in die Risikokategorien [der MAKABasel_II] häufig schwierig ist, da die Kategorisierung nicht eindeutig und teilweise unvollständig ist. Gerade bei großen und komplexen Verlustereignissen ist es manchmal schwierig zwischen Ursachen und Effekt zu unterscheiden.“4
1 Vgl. Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung), §276, §286-§287, Anlage 1 Tabelle 30; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 3, Nr. 14 und Teil 5. 2 Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Anhang 9; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Teil 5. 3 Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Anhang 9. 4 Auer, M.: (Operationelles Risikomanagement) S. 27.
44
Erster Teil
I. Kunden, Produkte u. Geschäfts-
II. Abwicklung, Lieferung u. Pro-
gepflogenheiten
zessmanagement
Handlungen
und Systemausfälle
a. Angemessenheit,
f. Erfassung,
l. Unbefugte
q.Systeme
Offenlegung und treuhänderische Pflichten b. Unzulässige Geschäfts- oder Marktpraktiken c. Produktfehler d. Kundenauswahl, Kreditbetreuung und Kreditumfang e. Beratungstätigkeiten
Abwicklung und Betreuung von Transaktionen g.Überwachung und Meldung h.Kundenaufnahme und -dokumentation i. Kundenkontoführung j. Geschäftspartner im Handel k.Lieferanten und
Handlungen m.Diebstahl und Betrug
Anbieter
III. Interne betrügerische
V. Geschäftsunterbrechungen
IV. Beschäftigungs-
VI. Externe
praxis und Arbeitsplatzsicherheit
betrügerische Handlungen
n.Ereignisse in Verbindung mit
r. Diebstahl und Betrug
Arbeitnehmern o.Sicherheit des Arbeitsumfeldes p.Soziale und
s. Systemsicherheit
kulturelle Verschiedenheit/ Diskriminierung
VII. Sachschäden t. Katastrophen und andere Ereignisse
Abbildung 9: Kategorisierungsstufen 1A und 1 der MAKABasel_II Als Beispiel kann hier das Ereignis „Geldwäsche“ dienen, das mindestens drei verschiedene Formen annehmen kann: (GW1) Die Geschäftsleitung nutzt das Kreditinstitut, um evtl. mit Hilfe weiterer Mitarbeiter Geldwäsche in organisierter Form zu betreiben. (GW2) Es liegt Betrug eines einzelnen Mitarbeiters vor, der seine eigene Position zur Geldwäsche ausnutzt. (GW3) Ohne das Wissen von Geschäftsleitung und Mitarbeitern benutzen Externe das Kreditinstitut, um in organisierter Form Geldwäsche zu betreiben. Im Fall (GW1) ist die Kategorisierung in I.b „Unzulässige Geschäfts- oder Marktpraktiken“ richtig. Im Baseler Rahmenwerk wird auch ausschließlich (GW1) als Beispiel für Geldwäsche genannt.1 Im Fall (GW2) liegt ein Betrug eines einzelnen Mitarbeiters vor,
1
Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Anhang 9.
45
Kategorisierung operationeller Risiken
der unter III.m „Diebstahl und Betrug“ subsumiert werden sollte. Analog ist der Fall (GW3) als externer Betrug zu VI.r „Diebstahl und Betrug“ zuzuordnen. Aufgrund dieser in der Praxis auftretenden Eindeutigkeitsprobleme erscheint es daher als Hilfestellung zur Kategorisierung konkreter Schadensereignisse zweckdienlich, an dieser Stelle die Kategorien der MAKABasel_II zusätzlich um die vier oben angeführten Risiko-Kategorien „Prozessrisiken (PRO)“, „Personenrisiken (PER)“, „Systemrisiken (SYS)“, „Externe Risiken (EXT)“ der Kategorisierungsstufe 0 zu erweitern. Da es gängige Praxis ist, in der institutsspezifischen MIKA diese Stufe 0 miteinzubeziehen, wird somit zusätzlich eine bessere Vergleichbarkeit der verschiedenen Kategorisierungsansätze erreicht. Tabelle 21 zeigt einen Vorschlag, in welcher Weise die MAKABasel_II um die Stufe 0 ergänzt werden kann. Dabei werden die Kategorien I-VII der Kategorisierungsstufe 1A in Anlehnung2 an die Basel-II-Rahmenvereinbarung3 definiert und jeweils einer Kategorie der Stufe 0 zugeordnet; die Einbettung der Kategorisierungsstufe 1 (d. h. der Kategorien I.a-VII.t) erfolgt dann in kanonischer Weise. Kategorien der Stufe 0 Prozessrisiken
Kategorien der Stufe 1A I. Kunden, Produkte und Geschäftsgepflogenheiten
Definition
Unbeabsichtigte Nichterfüllung geschäftlicher Verpflichtungen gegenüber Kunden und Produktfehler II.Abwicklung, Lieferung Fehlerhafte Geschäftsabwicklung, –pflege und und Prozessmanagement –überwachung; Unstimmigkeiten mit Geschäftspartnern, Lieferanten und Anbietern Personenrisiken III.Interne betrügerische Vorsätzliches oder betrügerisches Umgehen Handlungen von internen Bestimmungen oder Gesetzen durch Mitarbeiter IV.Beschäftigungspraxis und Handlungen, die gegen die Beschäftigungs-, Arbeitsplatzsicherheit Gesundheits- oder Sicherheitsvorschriften bzw. –abkommen verstoßen Systemrisiken V.Geschäftsunterbrechungen Qualitätsmängel der Systemlandschaft sowie und Systemausfälle Versorgungsengpässe Externe Risiken VI.Externe betrügerische Vorsätzliches oder betrügerisches Umgehen Handlungen von Gesetzen durch Externe VII. Sachschäden Katastrophen
Tabelle 2:
1
2 3
Stufe-1A-Kategorieren der MAKABasel_II samt Definitionen, ergänzt um die Stufe 0
Quelle: Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 790; Die Risiko-Kategorien der Stufe 1A sind aus der Quelle Basel Committee on Banking Supervision: (Überarbeitetes Framework) Anhang 9 entnommen. Die Zuordnung zu den vier Risikofeldern Prozess-, Personen-, System- und externe Risiken wurde hier ergänzt. Modifizierte und z. T. gekürzte Definitionen, die unabhängig von dem tatsächlichen Auftreten des Ereignisses formuliert wurden. Basel Committee on Banking Supervision: (Überarbeitetes Framework).
46
Erster Teil
Zur Erläuterung seien an dieser Stelle einige Anwendungssituationen angeführt. So stellt beispielsweise die Gefahr, dass Mitarbeiter eines Kreditinstituts vorsätzlich oder wider besseren Wissens Fehler begehen, ein Personenrisiko (III oder IV) dar. Werden jedoch Fehler wegen Überlastung oder Unkenntnis begangen, werden diese Vorfälle in dieser Arbeit den Ereignissen resultierend aus Prozessrisiken (I oder II) zugeordnet. Gehen Fehler auf externe Betrügereien zurück, so ist ein externes Risiko (VI) schlagend geworden. Als weiteres Praxis-Beispiel sei das Ereignis erwähnt, dass die eingebrachte Sicherheit eines Firmenkunden vor Kreditabschluss zu hoch bewertet wird. Wiederum können mindestens drei Herkunftsfälle unterschieden werden: (FK1) Der Firmenkundenbetreuer hat eine negative Information übersehen oder falsch eingeschätzt und bewertet die Sicherheit daher unabsichtlich zu hoch. Dies beschreibt ein Ereignis aus der Kategorie I.d „Kundenauswahl, Kreditbetreuung und Kreditumfang“, das zugehörige Risiko ist somit ein Prozessrisiko. (FK2) Hat ein Firmenkundenbetreuer die Sicherheit vorsätzlich zu hoch bewertet, z. B. um die gemäß interner Richtlinien geforderte Mindestbesicherungsquote zu erlangen, handelt es sich um ein Ereignis aus der Kategorie III.l „Unbefugte Handlungen“. Das zugehörige Risiko ist also ein Personenrisiko. (FK3) Liegen dem Kreditinstitut gefälschte Unterlagen vor oder wurden bewusst Informationen vom Antragsteller zurückgehalten, so handelt es sich klarerweise um externe Betrugsfälle der Kategorie VI.r „Diebstahl und Betrug“. Das zugehörige Risiko ist daher ein Externes Risiko. 2.
Kategorisierungsansätze von Kreditinstituten
Kreditinstitute benötigen in der Regel individuelle, sehr feingliedrig gestaltete Kategorisierungen – also Mikro-Kategorisierungen (kurz: MIKA), die auf die eigene Firmenstruktur und Geschäftstätigkeit zugeschnitten sind.1 Solch eine MIKA sollte sowohl für die Strukturierung einer Schadensfalldatenbank als auch für die Durchführung einer Risikoinventur (Self-Assessment) verwendbar sein2; folglich sollten in einer MIKA sowohl sämtliche konkret eingetretenen Ereignisse (schlagend gewordene Risiken) strukturiert historisiert werden können, als auch sämtliche potentiell in der Zukunft auftretenden institutsspezifischen Ereignisse strukturiert katalogisiert und (mittels geschätzter Eintrittswahrscheinlichkeiten und Schadenshöhen) bewertet werden können. Somit ergibt sich insbesondere im Rahmen eines Backtesting eine gute Vergleichsmög-
1 2
Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt. Vgl. King, J. L.: (Modelling Operational Risk) S.23.
Kategorisierung operationeller Risiken
47
lichkeit (z. B. zur Erkennung von signifikant großen, „alarmierenden“ Unterschieden) zwischen erwarteten und konkret aufgetretenen (Schadens-)Ereignissen. In Folge dessen können gezielte risikomindernde Investitionen getätigt und eine Qualitätsverbesserung für das Self-Assessment abgeleitet werden. Primär für die Durchführung eines solchen Self-Assessment ist beispielsweise die Mikro-Kategorisierung der Sparkasse Bremen (kurz: MIKABremen) entwickelt worden1. Dieser Ansatz unterstützt in der Kategorisierungsstufe 0 die Risiko-Kategorien PRO, PER, SYS, EXT, die hier mit „Organisationsrisiken“ (PRO), „Verhaltens-/ Personalrisiken“ (PER), „Technologierisiken“ (SYS) und „Katastrophenrisiken“ (EXT) bezeichnet werden und sich im Detail von den Definitionen der Risiko-Kategorien gemäß Tabelle 2 unterscheiden.2 In der Stufe 2 werden insgesamt 71 Ereignis-Kategorien angeführt. Es ist keine zugehörige gröbere Stufe 1 veröffentlicht, die die Stufe 2 in ca. 20 gleichartige Gruppen zusammenfasst. Dies führt zu einer geringeren Übersichtlichkeit sowie zu Schwierigkeiten in der aggregierenden Bewertung des in der jeweiligen RisikoKategorie der Stufe 0 (z. B. in PER) vorhandenen Gesamtrisikos3. Solch eine aggregierende Bewertung ist jedoch in vielen Anwendungssituationen, zum Beispiel beim Reporting der Ergebnisse eines Self-Assessment, wünschenswert. Die Überleitung der MIKABremen zur bankaufsichtlichen Kategorisierung MAKABasel_II kann so lediglich auf Basis der Kategorien der Stufe 2 erfolgen; eine entsprechende Überleitungsfunktion ist nicht veröffentlicht. In diesem Fall – bzw. generell beim Fehlen einer übergeordneten gröberen Kategorisierungsstufe 1 – kann überlegt werden, ob die Kategorien der Stufe 1 der MAKABasel_II direkt als zusätzliche Kategorisierungsebene übernommen werden können. Die folgende Tabelle zeigt die 71 Kategorien der in der Sparkasse Bremen verwendeten MIKABremen.4 RisikoNr. EreignisKategorie Kategorie Stufe 0 Stufe 2 PRO a.1 Überreglementierung a.2 Nicht ordnungsgemäß / zeitgerechte Prozessabläufe a.3 Fehlende / fehlerhafte Dokumentation der Prozesse
1 2 3 4
Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S.64 f., S. 114-128. Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 115-128. Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 64. Quelle: Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 115128. Die Bezeichnungen der Risiko-Kategoriestufe 0 sowie die laufenden Nummern der Stufe 2 wurden den in dieser Arbeit verwendeten Notations-Konventionen angepasst.
48
Erster Teil
RisikoNr. EreignisKategorie Kategorie Stufe 0 Stufe 2 a.4 Fehlende Kontrolle der Prozesse a.5 Mängel in der Aufbauorganisation a.6 Informations- / Kommunikationsrisiken a.7 Unerwünschter Projektverlauf aufgrund externer / interner Einflussfaktoren a.8 Schwächen bei der Vorstudie / Projektkonzeption a.9 Copyright- / Patentverletzungen a.10 Fehlerhaftes Produkt / Dienstleistung a.11 Abhängigkeit von Geschäftspartnern a.12 Fehlerhaftes Modell a.13 Bonität, Seriosität, Kompetenz der Fremdfirmen bei Outsourcing a.14 Abhängigkeit von Fremdfirmen bei Outsourcing a.15 Fusionen / Übernahmen / Beteiligungen PER b.1 Personalbeschaffung: Probleme in angespannten Teil-Arbeitsmärkten b.2 Personalbetreuung / Personalfluktuation b.3 Personalentwicklung b.4 Unvorhergesehene Ausfälle z. B. durch Krankheiten b.5 Qualitative Mängel b.6 Nicht adäquate Behandlung von Mitarbeitern b.7 Streik der Angestellten b.8 Fehlerhafte Dateneingabe b.9 Fehlinterpretation b.10 Mangelhafte Verkaufspraktiken / Verheimlichung wesentlicher Tatsachen b.11 Unautorisierte Handlungen b.12 Benachteiligung / Übervorteilung von Einzelkunden b.13 Unterschlagung / Veruntreuung b.14 Insiderhandel b.15 Front-Running b.16 Steuer- / Abgabenhinterziehung b.17 Sonstige gesetzwidrige / betrügerische Handlungen b.18 Bestechung / Korruption b.19 Geldwäsche / Compliance / Aufsicht b.20 Fälschung von Aufträgen / Unterlagen durch Dritte b.21 Diebstahl b.22 Fälschung von Kreditunterlagen / Kreditbetrug durch Kunden b.23 Delikte gegen das Leben und die körperliche Unversehrtheit b.24 Vermögensdelikte unter Gewaltanwendung b.25 Sachbeschädigung b.26 Scheck- / Wechselreiterei b.27 Industriespionage
Kategorisierung operationeller Risiken
49
RisikoNr. EreignisKategorie Kategorie Stufe 0 Stufe 2 b.28 Verwendung von unternehmensinternem Know-how durch Externe SYS c.1 Ausfall von Softwarekomponenten / Softwarefehler c.2 Ausfall von Hardwarekomponenten / Hardwarefehler (Host / Server) c.3 Veraltete Software c.4 Veraltete Hardware c.5 Einführung neuer Softwareprodukte c.6 Unvermögen / mangelnde Ausbildung eigener / externer Mitarbeiter c.7 Kriminelle Energie eigener Mitarbeiter / externer Mitarbeiter / Besucher c.8 Konkurs oder vertragswidrige Arbeitseinstellung eines Fredunternehmens c.9 Zusammenbruch der zentralen Stromversorgung c.10 Gebäudesicherheit eingeschränkt c.11 Ausfall der Telekommunikationsanlagen c.12 Totalausfall des Rechenzentrums c.13 Ausfall von Brand- /Einbruchmeldern c.14 Ausfall der Haustechnik / Anlagen c.15 Rohrbruch c.16 Verwendbarkeit von Betriebsmitteln eingeschränkt c.17 Verfügbarkeit von Betriebsmitteln eingeschränkt c.18 Gefährdung durch Betriebsmittel c.19 Nicht vereinbarungsgemäße Erstellung von Gebäuden c.20 Unzureichende Zugangskontrollen c.21 Nicht ausreichender vorbeugender Brandschutz EXT d.1 Naturgewalten d.2 Feuer d.3 Explosion d.4 Verseuchung / Verstrahlung d.5 Havarien d.6 Ungezieferbefall d.7 Vergiftungen
Tabelle 3:
Kategorien der MIKABremen
Risiko- und Ereignis-Kategorien werden nicht durchgängig klar voneinander abgegrenzt. Während beispielsweise c.3 „Veraltete Software“ eher als Risiko-Kategorie aufgefasst werden kann, bezeichnet c.1 „Ausfall von Softwarekomponenten / Softwarefehler“ eine Ereignis-Kategorie. Daraus resultieren Schwierigkeiten bei der Zuordnung konkreter Ereignisse: Tritt beispielsweise ein Ausfall in Zusammenhang mit dem Versagen von Software auf, so liegt die Zuordnung zu c.1 nahe. Ist dieser Ausfall allerdings auf überholte Software zurückzuführen, ist die Zuordnung nicht mehr intuitiv. c.1 könnte dann als Ereignis-Kategorie zu der Risiko-Kategorie c.3 aufgefasst werden. Zur
50
Erster Teil
besseren Abgrenzung sind gemäß Richtlinie der Sparkasse Bremen zu c.1 (i. d. R. kontenwirksame) Ereignisse wie Ausfälle bzw. Fehlfunktionen der Software zuzuordnen. Unter c.3 werden hingegen kostenverursachende Ineffizienzen durch den Gebrauch veralteter Software subsumiert, die (noch) nicht zu konkreten Ausfällen führten.1 Kosten aus Ineffizienzen sollten jedoch nicht als operationelle Schäden gesehen werden. Dies entspricht auch der Sichtweise des Baseler Frameworks, in dem den Systemrisiken lediglich „Verluste aufgrund von Geschäftsunterbrechungen oder Systemausfällen“2 zugeordnet werden. Die Risiko-Kategorien „Organisationsrisiken“ (PRO), „Verhaltens-/ Personalrisiken“ (PER), „Technologierisiken“ (SYS) und „Katastrophenrisiken“ (EXT) der MIKABremen unterscheiden sich im Detail von den Stufe-0-Kategorien PRO, PER, SYS und EXT so wie sie in dieser Arbeit aus den Stufe-1A-Kategorien der MAKABasel_II abgeleitet wurden (vgl. Tabelle 2). Diese vier Risiko-Kategorien samt zugehörigen Unterkategorien werden im Folgenden näher betrachtet und analysiert: Unter der Risiko-Kategorie PRO werden 15 Unterkategorien subsumiert. Die Kategorie a.4 „Fehlende Kontrolle der Prozesse“ unterstreicht die Bedeutung eines internen Kontrollsystems als einen wesentlichen Erfolgsfaktor einer friktionslosen Ablauforganisation. Dennoch ist zu überlegen, ob mangelhafte oder fehlende Kontrollen als eigenständige Kategorie in einem Kategorisierungsansatz für operationelle Risiken berücksichtigt werden sollten. Grundsätzlich kann fast jede Störung in der Ablauforganisation auf fehlende Kontrollen zurückgeführt werden. Entsprechendes gilt für Ereignisse im Bereich Personen- und Systemrisiken. Im Rahmen dieser Arbeit werden fehlende Kontrollen grundsätzlich nicht als eigene Risiko-Kategorie gesehen, da sich dies i. d. R. nicht mit der hier verfolgten ursachenbezogenen Betrachtungsweise in Einklang bringen lässt: Das Versagen von Kontrollen ist in der Regel nicht die Ursache eines Ereignisses. Vielmehr können Kontrollen Eintrittswahrscheinlichkeiten bzw. mögliche Schadenshöhen von Ereignissen vermindern. Daher kann eine Bewertung des internen Kontrollsystems im Rahmen eines Self-Assessment sinnvollerweise entlang der EreignisKategorien der detaillierten Stufe 2 einer MIKA vorgenommen werden (vgl. Kapitel B.I.2 des zweiten Hauptteils). Dem internen Kontrollsystem sollte aber keine eigene Kategorie im Rahmen eines Kategorisierungsansatzes zugewiesen werden. In der Praxis unterscheiden sich die Kategorisierungsansätze von Kreditinstituten häufig in der Berücksichtigung von nicht vorsätzlichem Versagen von Mitarbeitern. Es ist grundsätzlich möglich, sie sowohl den Personenrisiken als auch den Prozessrisiken
1
2
Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 115 f. Die Bezeichnungen der Risiko-Kategoriestufe 0 wurden den in dieser Arbeit verwendeten Konventionen angepasst. Basel Committee on Banking Supervision: (Framework) Anhang 7.
Kategorisierung operationeller Risiken
51
zuzuordnen. Waschbusch/Lesch bezeichnen menschliches Fehlverhalten als Schlüsselrisiko, welches alle übrigen operationellen Risiken beeinflusst.1 Daraus könnte abgeleitet werden, dass die Risiko-Kategorie PER weit gefasst wird, d. h. auch nicht vorsätzliches Versagen wie Fehler wegen Überlastung, Übersehen, mangelnder Qualifikation oder Information beinhaltet. So wird es auch in der MIKABremen gehandhabt: Unter den 28 Kategorien von PER etwa b.8 „Fehlerhafte Dateneingabe“ (Beschreibung: „Verluste durch Fehler bei der Dateneingabe wegen Übersehen/ falscher Kalkulation/ Überlastung“2) und b.9 „Fehlinterpretation“ (Beschreibung: „Verluste durch falsche Auslegung rechtlicher Bedingungen/ Kundenziele“3). Zu der Kategorie b.5 „Qualitative Mängel“ werden in der MIKABremen explizit vorsätzliche und nicht-vorsätzliche Ereignisse zugewiesen (Beschreibung: „Fehlende Motivation/ Fähigkeiten, unbeabsichtigte Fehlleistungen/ vorsätzliche Missachtung von Arbeitsanweisungen“4). Für die Ableitung von (Gegen-)Steuerungsmaßnahmen ist die fehlende Unterscheidung zwischen vorsätzlichen und nicht-vorsätzlichen Fehlern suboptimal: Begehen Mitarbeiter beispielsweise häufig unbeabsichtigt Fehler, so sind möglicherweise Schulungsmaßnahmen, eine Reduzierung der Arbeitsbelastung oder eine Prozessoptimierung sinnvolle risikoreduzierende Maßnahmen. Auf vorsätzliche Fehler würde eher mit Anreiz- bzw. Sanktionsmaßnahmen reagiert. Da unterschiedliche Ereignisursachen unterschiedliche Maßnahmen erfordern, sollte daher besser eine Unterscheidung nach Vorsätzlichkeit bzw. Nicht-Vorsätzlichkeit vorgenommen werden. In dem im Kapitel B.III neu entwickelten Kategorisierungsansatz soll daher explizit nach der Art des menschlichen Versagens differenziert werden: Vorsätzliche Fehler von Mitarbeitern sollen einheitlich dem Personenrisiko zugeordnet werden. Sie werden gemäß (ER2)5 als Ereignisse gesehen, die durch das Versagen interner Personen entstehen. Nicht-vorsätzliche Fehler werden gemäß (ER1)6 als Ereignisse, die durch die Unangemessenheit oder das Versagen von internen Verfahren (Betriebsabläufe, Prozesse) entstehen, gesehen und sollen damit dem Prozessrisiko zugeordnet werden. Unter PER subsumiert die Sparkasse Bremen ebenfalls Diebstähle und Betrugsfälle durch Externe (b.20 bis b.22, b.26 bis b.28). Eine Begründung, sie unter den Personenrisiken anstelle den Externen Risiken einzugliedern, ist, dass sie auch auf menschliches Fehlverhalten zurückzuführen sind. Auch an diesem Beispiel zeigt sich, dass durch eine zusätzliche Kategorisierungsstufe 1 eine verbesserte Übersichtlichkeit erzielt würde: Zusammen mit b.23 bis b.25 (Gewaltanwendung und Sachbeschädigung durch Externe)
1 2 3 4 5 6
Vgl. Waschbusch, G./Lesch, S.: (Operationelle Risiken und Mitarbeiterkompetenzen) S.48. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 124. Ebenda. Ebenda. Vgl. Kapitel A.I.2 Vgl. Kapitel A.I.2
52
Erster Teil
könnten die genannten Kategorien mit Hilfe einer Risiko-Kategorie der Stufe 1 als Risiken durch externes menschliches Fehlverhalten von der übrigen durch internes Fehlverhalten bedingten Personenrisiken abgegrenzt werden. Wie bereits dargestellt wird EXT bei der Sparkasse Bremen sehr eng gefasst und beschränkt sich auf (Natur-) Katastrophen. Hier finden sich 7 Kategorien. In dieser Arbeit wird vorgeschlagen, auch Diebstähle und Betrugsfälle durch Externe unter EXT zu führen. Dasselbe gilt für Gewaltanwendung und Sachbeschädigung durch Externe. Weil sie extern bedingt sind, sind sie anders als interne Delikte – nämlich primär über Abwehrmechanismen – zu steuern. Ein weiterer Grund, sie bei den Externen Risiken zu führen ist der, dass die Bankenaufsicht zumindest die Gewaltanwendung und Sachbeschädigung durch Externe (b.23 bis b.25) nahe bei der Kategorie Naturkatastrophen sieht: Sowohl Naturkatastrophen als auch „Personenschäden aufgrund von externen Ereignissen“1 werden unter der Kategorie EXT.VII „Sachschäden“ zusammengefasst (vgl. Tabelle 3). Der Kategorie SYS werden insgesamt 21 Kategorien zugeordnet. Unter SYS werden in der Sparkasse Bremen Risiken aus Technologien wie „IT, Systeme, Haustechnik/Gebäude/Anlagen“2 verstanden. Bei einer ursachenbezogenen Kategorisierung sollten gemäß (ER3)3 c.6 „Unvermögen/ mangelnde Ausbildung eigener/ externer Mitarbeiter“ und c.7 „Kriminelle Energie eigener Mitarbeiter/ externer Mitarbeiter/ Besucher“ nicht unter SYS eingegliedert werden. Sie werden zwar auf die Systemlandschaft bezogen (fehlerhafte IT-Anwendungen, Einschleusung von Viren, Datenmanipulation), dennoch besteht die Schadensursache im menschlichen Fehlverhalten. Die Kategorie c.6 sollte, da hier nicht von Vorsätzlichkeit ausgegangen wird, als Prozessrisiko dargestellt werden. Eine Aufspaltung der Kategorie einmal bezogen auf eigene Mitarbeiter und zum anderen auf externe Mitarbeiter wäre sinnvoll. Auch c.7 sollte einmal auf eigene Mitarbeiter (zu PER), einmal auf externe Mitarbeiter (zu EXT) und einmal auf (externe) Besucher (zu EXT) bezogen werden. Die Kategorie c.8 „Konkurs oder vertragswidrige Arbeitseinstellung eines Fremdunternehmens“ ist nicht hinreichend von a.13 „Bonität, Seriosität, Kompetenz der Fremdfirmen bei Outsourcing“ und a.14 „Abhängigkeit von Fremdfirmen bei Outsourcing“ abgegrenzt, da Arbeitsübertragung auf Fremdunternehmen ebenfalls als Outsourcing verstanden werden kann. Die Analyse der MIKABremen mag verdeutlichen, welche komplexe Aufgabe es darstellt, einen in sich konsistenten Kategorisierungsansatz zu erstellen. Insbesondere bei der
1 2 3
Basel Committee on Banking Supervision: (Framework) Anhang 7. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 115. Vgl. Kapitel A.I.2
Kategorisierung operationeller Risiken
53
Einordnung konkreter Praxisfälle können sich Zuordnungs- und Abgrenzungsprobleme zeigen. Die Erstellung von MIKAs unterliegt häufig institutsinternen Besonderheiten abhängig von Firmenstruktur und Geschäftstätigkeit. Zudem ist das Management und Controlling von operationellen Risiken historisch bedingt bei einigen Häusern federführend nicht im Controlling sondern beispielsweise bei den Unternehmensbereichen Revision oder Datenverarbeitung aufgehängt. Dadurch entstehen andere Betrachtungsweisen, die eigene Schwerpunkte setzen.
3.
Kategorisierungsansätze von Bankenverbänden
Einige Bankenverbände entwickeln Muster-Kategorisierungen, mit deren Hilfe jedes angeschlossene Kreditinstitut ihre eigene MIKA aufbauen bzw. eine bereits bestehende MIKA weiterentwickeln kann.1 Solche Muster-Kategorisierungen, im Folgenden MesoKategorisierungen (kurz: MEKA) genannt, sind in der Regel feingliedriger als die bankaufsichtliche Makro-Kategorisierung MAKABasel_II und grobgliedriger als eine konkrete institutsspezifische Mikro-Kategorisierung (MIKA) aufgebaut, da eine Anwendbarkeit für alle angeschlossene Kreditinstitute – die zum Teil über unterschiedliche Geschäftsschwerpunkte und Aufbauorganisationen verfügen – gewährleistet sein soll. Als konkretes Beispiel für eine deutschsprachige Meso-Kategorisierung sei etwa die dreistufige Kategorisierung des Bundesverbandes öffentlicher Banken Deutschlands2 (kurz: MEKAVÖB) angeführt. Dort werden die vier Risiko-Kategorien der Kategorisierungsstufe 0 (dort „Primärebene“ genannt) mit „Mensch“, „Technologie“, „Prozesse und Projektmanagement“, sowie „Externe Einflüsse“ bezeichnet. Die Stufe 1 der MEKAVÖB („Sekundärebene“) besteht aus 19 Risiko-Kategorien. Die im vorigen Kapitel angeführte MIKA der Sparkasse Bremen beispielsweise ist eine Adaption der MEKAVÖB3. Für die MEKAVÖB wurde bislang die zugehörige, feiner unterteilte Stufe 2 (ca. 90 Kategorien4) sowie eine entsprechende Überleitungsfunktion zur MAKABasel_II nicht veröffentlicht. Ein prominentes Beispiel einer englischsprachigen Meso-Kategorisierung ist die Kategorisierung der Britisch Bankers’ Association (kurz: MEKABBA)5, die häufig als Grundlage für die Entwicklung anderer MEKAs (z. B. die MEKAVÖB6) und anderer MIKAs 1 2 3 4 5 6
Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt. Vgl. Bundesverband Öffentlicher Banken Deutschlands (Verbandsbericht 2000/2001) S. 127-129, Aichholz, S.: (Controlling operationeller Risiken) S. 259 f. Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 65 Fußnote 162. Lt. persönlicher Mitteilung. British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation). Vgl. Bundesverband Öffentlicher Banken Deutschlands (Verbandsbericht 2000/2001) S. 127.
54
Erster Teil
dient. Auch bei der MEKABBA wird von der (Kategorisierungs-) Stufe 0 mit den RisikoKategorien PER, SYS, PRO, EXT ausgegangen. Die Stufe 1 besteht aus 24 Kategorien, z. B. a „Zahlungs-/Settlementrisiko“ (zu PRO) oder o „Systemkapazitäten“ (zu SYS).1 Die Stufe 2 setzt sich aus insgesamt 114 Kategorien zusammen, wie z. B. a.2 „Verluste durch fehlerhafte Kontenabstimmung“ (zu a) oder o.1 „Fehlerhafte Kapazitätsplanung“ (zu o). Zusätzlich enthält jede der 24 Kategorien der Stufe 1 die Stufe-2-Kategorie „Weitere“2; damit wurde von der BBA der Tatsache entsprochen, dass sich der Aufbau von MIKAs in Kreditinstituten noch in einem frühen Stadium befindet, und dass bei Weiterentwicklungen der MEKABBA möglicherweise noch weitere Stufe-2-Kategorien hinzukommen werden3. Die folgende Tabelle 44 zeigt die 24 Kategorien der 1. Stufe sowie die 114 Kategorien der 2. Stufe der MEKABBA. Ris.- Nr. Kat. St. 0 PRO a
RisikoKategorie Stufe 1 Zahlungs-/ Settlementrisiko
a.1
Fehlerhafter bzw. unangemessener interner Zahlungsoder Settlement-Vorgang Verluste durch fehlerhafte Kontenabstimmung Wertpapier Abwicklungsfehler Limitüberschreitungen Unzureichende DV-technische oder personelle Kapazität zur Handhabung des Geschäftsvolumens
a.2 a.3 a.4 a.5 b b.1 b.2 b.3 b.4 b.5 c c.1
1 2 3 4
EreignisKategorie Stufe 2
Dokumentations- und Vertragsrisiko Nicht ausreichend ausgefüllte Dokumente Unzulängliche Bestimmungen oder Vertragsklauseln Ungeeignete Vertragsklauseln Unangemessene Verkaufsunterlagen Vernachlässigung der Sorgfaltspflicht Bewertung/ Bepreisung Modellrisiko
Vgl. British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation) eigene Übersetzung. Die Kategorien „Weitere“ werden in den folgenden Darstellungen nicht mehr berücksichtigt. Vgl. British Bankers’ Association (BBA)/London Investment Banking Association: (Response to Basel Accord) S. 56 f. Quelle: British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation) eigene Übersetzung. Die Bezeichnungen der Risiko-Kategoriestufe 0 sowie die laufenden Nummern wurden den in dieser Arbeit verwendeten Konventionen angepasst.
55
Kategorisierung operationeller Risiken
Ris.- Nr. Kat. St. 0 c.2 d
RisikoKategorie Stufe 1 Internes und externes Reporting
d.1
Unangemessenes Reporting von Limitüberschreitungen Fehler in Rechnungswesen/ Buchhaltung, unangemessene Daten Unangemessenes Risikomanagement-Reporting Unangemessenes Meldewesen Unangemessene Finanzberichterstattung Unangemessenes steuerliches Reporting Unangemessenes Reporting für Börsen-/ Wertpapiergeschäfte Verletzung des Datenschutzes
d.2 d.3 d.4 d.5 d.6 d.7 d.8 e e.1 e.2 e.3 f
Compliance Nicht-Beachtung interner Compliance-Bestimmungen Nicht-Beachtung externer Compliance-Bestimmungen Bruch von eingerichteten Informationsbarrieren (Chinese Walls) Projektrisiken / Change Management
f.1 f.2
PER
f.3 g g.1 g.2 g.3 h h.1 h.2 h.3 h.4 h.5 h.6 h.7 i
EreignisKategorie Stufe 2 Eingabefehler
Unangemessene Projektvorschläge und -pläne Unzulänglichkeiten bei der Handhabung neuer Produkte Projektüberziehungen Verkaufsrisiken Unangemessene Produktauswahl Komplexität der Produkte Schlechte Beratung (inkl. Wertpapiergeschäfte) Interner Betrug/ kriminelle Handlungen Betrügerische Absprachen Unterschlagung, Veruntreuung Absichtliche Schädigung der Reputation der Bank Geldwäsche Physischer Diebstahl Diebstahl geistigen Eigentums Manipulation des bankinternen Netzes Unbefugte Handlungen / Fahrlässige Verkaufspraktiken
56
Erster Teil
Ris.- Nr. Kat. St. 0 i.1 i.2 i.3 i.4 i.5 i.6 i.7 i.8 i.9 i.10 i.11 j j.1 j.2 j.3 j.4 j.5 k k.1 l
SYS
l.1 l.2 m
RisikoKategorie Stufe 1
Arbeitsrecht Unrechtmäßige Kündigung Diskriminierung Belästigung /Mobbing Nicht-Beachtung von europäischem Arbeitsrecht Nicht-Beachtung von Gesundheits- und SicherheitsBestimmungen Arbeitsunterbrechung Arbeitskampf Personalbeschaffung und -fluktuation Fehlen geeigneter Arbeitskräfte Verlust von geeigneten Arbeitskräften TechnologieInvestitionsrisiko
m.1 m.2
Unangemessene IT-Architektur Strategische Risiken (Technische Plattform, Lieferanten) Unangemessene Formulierung der Anforderungen an die IT Mangelhafte Kompatibilität mit bestehenden Systemen Veraltete Hardware Veraltete Software
m.3 m.4 m.5 m.6 n n.1 n.2 n.3
EreignisKategorie Stufe 2 Missbrauch vertraulicher Informationen Spesenreiterei Marktmanipulation Absichtliche Fehlbepreisung Geschäftstätigkeit mit nicht autorisierter Gegenpartei Geschäftstätigkeit mit nicht autorisierten Produkten Limitüberschreitungen Fehlerhafte Modelle (vorsätzlich) Missachtung der Marktregeln Illegale und aggressive Verkaufspraktiken Vorsätzliches Umgehen von Arbeitsanweisungen
Systementwicklung und -implementierung Unangemessenes Projektmanagement Budget-/ Zeitüberschreitungen Fehlerhafte Programmierung (intern/extern)
57
Kategorisierung operationeller Risiken
Ris.- Nr. Kat. St. 0 n.4
RisikoKategorie Stufe 1
n.5 o o.1 o.2 p p.1 p.2 p.3 p.4 p.5 p.6 q q.1 q.2 q.3
EreignisKategorie Stufe 2 Fehler bei der Integration bzw. Migration bestehender Systeme Mangelnde Abdeckung der gestellten Anforderungen an die IT
Systemkapazitäten Fehlerhafte Kapazitätsplanung Unangemessene Software Systemausfälle Netzwerkausfall Fehlerhafte Wechselbeziehungen zwischen Systemen Ausfälle der Schnittstellen Ausfall von Hardwarekomponenten Ausfall von Softwarekomponenten Ausfall von internen Kommunikationsanlagen Systemsicherheit
q.4 EXT r (Gesetzliche-) Haftpflicht r.1 r.2 r.3 r.4 s Kriminelle Aktivitäten s.1 s.2 s.3 s.4 s.5 s.6 s.7 s.8 s.9 s.10 t Outsourcing-/ Lieferantenrisiko t.1
Externe Systemsicherheit Interne Systemsicherheit Fehlprogrammierung durch kriminelle Energie Externer Viren Verursachte Umweltschäden Verletzung der eigenen Fürsorgepflicht Unterschiedliche Gesetzesinterpretationen Falschdarstellungen Betrug durch Externe/ Scheckbetrug/ Fälschung Kontoeröffnung mit betrügerischer Absicht Maskerade Erpressung Banküberfälle und Diebstahl Geldwäsche Terrorismus, Bombenanschläge Geschäftsunterbrechung Vandalismus Brandstiftung
Konkurs eines Lieferanten
58
Erster Teil
Ris.- Nr. Kat. St. 0 t.2 t.3 t.4 t.5 t.6 u u.1 v v.1 v.2 v.3 v.4 v.5 v.6 v.7 v.8 v.9 w w.1 x x.1 x.2 x.3 x.4 x.5
Tabelle 4:
RisikoKategorie Stufe 1
EreignisKategorie Stufe 2 Datenmissbrauch Unangemessener Vertrag Lieferung in verminderter Qualität Lieferfehler/nicht erfolgte Lieferung Fehlerhaftes Management von Lieferanten und Dienstleistern
Insourcingrisiko Fehlerhaftes Insourcing Katastrophen/ Ausfall von Betriebsmitteln Feuerschäden Wasserschäden Andere geologische Schäden/Wetterschäden Zivile Katastrophen Transportausfälle Unterbrechung der Energiezufuhr Ausfall von externen Telekommunikationsanlagen Unterbrechung der Wasserversorgung Nichtnutzbarkeit der Geschäftsräume Regulatorisches Risiko Regulatorische Änderungen in der Branche/dem Land Politische Risiken Krieg Enteignung Geschäftsunterbrechung Änderungen in der Steuergesetzgebung Weitere Änderungen in der Gesetzgebung
Kategorien der MEKABBA
Genaue Kategorien–Beschreibungen bzw. –Definitionen werden in der MEKABBA nicht angegeben, und folglich bleibt auch eine genaue Abgrenzung zwischen einigen Kategorien manchmal unklar. Des Weiteren wurde bislang auch keine Überleitungsfunktion von der MEKABBA in die bankaufsichtliche Kategorisierung MAKABasel_II veröffentlicht. Solch eine Überleitung erscheint teilweise als schwierig konstruierbar; so ist es beispielsweise nicht sofort ersichtlich, in welche MAKABasel_II-Kategorie die
Kategorisierung operationeller Risiken
59
MEKABBA-Stufe-2-Kategorie n.3 „Fehlerhafte Programmierung (intern/extern)“1 übergeleitet werden müsste. Bei der Erstellung einer institutsspezifischen MIKA ist es jedoch empfehlenswert bzw. essentiell notwendig (beim AMA-Ansatz), eine Überleitungsfunktion in die MAKABasel_II zu konstruieren. Da idealerweise eine MEKA als Grundgerüst für die Erstellung einer MIKA bzw. für deren Verfeinerungen dient, sollte eine MEKA bereits eine explizite Überleitungsfunktion beinhalten. Solch eine Meso-Kategorisierung mit möglichst überschneidungsfreien, bequem zuordenbaren Kategorien – wie sie beispielsweise in Kapitel B.III vorgestellt wird – stellt daher einen deutlichen Mehrwert für Kreditinstitute dar. Im Folgenden sollen die Unterkategorien der vier Stufe-0-Kategorien PRO, PER, SYS und EXT der MEKABBA detailliert analysiert werden. Aus den Analysen sollen dann bereits erste Verbesserungspotenziale bzw. Mindestanforderungen für die Konstruktion eines neuen Kategorisierungsansatzes, wie er in Kapitel B.III entwickelt wird, abgeleitet werden. Unter PRO werden Zahlungs-/ Settlementrisiken über unangemessenes Reporting bis hin zu Verkaufsrisiken verstanden. Insgesamt umfasst PRO 29 Kategorien der Stufe 2. Dies sind Ereignisse, die aus unzulänglichen, fehlerhaften bzw. unangemessenen Prozessen resultieren. Vorsätzliche Fehler werden hier nachvollziehbarerweise nicht betrachtet. Unter a „Zahlungs-/ Settlementrisiko“ wird die Kategorie a.5 „Unzureichende DVtechnische oder personelle Kapazität zur Handhabung des Geschäftsvolumens“ subsumiert. Als Begründung wird angemerkt, dass bei dieser Kategorie unerwartete Geschäftsvolumina als ursächlicher Risikotreiber angesehen werden.2 Dem ist entgegenzuhalten, dass ein Schwanken der Geschäftsvolumina als Geschäftsrisiko also nicht als operationelles Risiko angesehen werden sollte (vgl. Kapitel A.II.3). Ursächlich sind hier unzureichende Systemkapazitäten bzw. das Fehlen von geeigneten Arbeitskräften zu sehen. Im ersten Fall sollten Ereignisse besser der MEKABBA Kategorie SYS.o.1 „Fehlerhafte Kapazitätsplanung“ und im zweiten Fall der Kategorie PER.l.1 „Fehlen geeigneter Arbeitskräfte“ zugewiesen werden. 26 Kategorien der Stufe 2 werden zu Personenrisiken (PER) zusammengefasst. Hierunter fallen vorsätzliches menschliches Versagen, Verstöße gegen das Arbeitsrecht sowie das Fehlen/ Fernbleiben geeigneter Arbeitskräfte. Bei vorsätzlichem menschlichen
1 2
British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation) eigene Übersetzung. Vgl. British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation).
60
Erster Teil
Versagen wird nicht zwischen dem Versagen von Arbeitgeber/Vorstand bzw. dem Versagen von Mitarbeitern unterschieden. Das Versagen vom Arbeitgeber, hier sind vor allem Eigenbereicherungsdelikte hervorzuheben, kann nur schwierig unter PER eingeordnet werden, da diese Delikte nicht von Mitarbeitern zu verschulden sind. Daher wird in dieser Arbeit vorgeschlagen, sie eigenständig auszuweisen. In Kapitel B.III werden sie den Prozessrisiken zugerechnet werden. Bei den 23 Stufe-2-Kategorien unter SYS fällt auf, dass eine starke Vermischung von Risiko- und Ereigniskategorien erfolgt. Wie in der MIKABremen finden sich auch hier die (Risiko-)Kategorie m.6 „Veraltete Software“ sowie die (Ereignis-)Kategorie p.5 Ausfall von Softwarekomponenten. Daraus resultieren Schwierigkeiten bei der Zuordnung konkreter Ereignisse. Die Kategorie q.1 „Externe Systemsicherheit“ kann ebenfalls als Risiko-Kategorie und nicht als Ereignis-Kategorie aufgefasst werden (ebenso q.2 „Interne Systemsicherheit“). Es ist zunächst unklar, welche Ereignisse hier zuzuordnen sind. Als einziges Beispiel wird von der BBA das Durchbrechen der institutseigenen Firewall genannt.1 Dieses Ereignis wäre allerdings als kriminelle Aktivität von Externen zu bewerten und somit besser unter EXT.s „Kriminelle Aktivitäten“ einzuordnen. Entsprechend sollte das Übergehen von Zugriffsrechten auf die institutseigenen Systeme von Mitarbeitern nicht unter q.2 sondern als interner Betrugsfall unter PER.h „Interner Betrug/ kriminelle Handlungen“ subsumiert werden. Die Kategorie q.3 „Fehlprogrammierung durch kriminelle Energie Externer“ wiederum sollte besser als externes Risiko und nicht als Systemrisiko gesehen werden. Daher kann abschließend gesagt werden, dass alle Ereignisse, die in der MEKABBA der Stufe-1-Kategorie q „Systemsicherheit“ zugeordnet werden, sofern sie auf internes Fehlverhalten zurückzuführen sind als Personenrisiko und sofern sie auf externes Fehlverhalten zurückzuführen sind besser als Externes Risiko geführt werden sollten. Eine fehlende Trennung zwischen internen und externen Ereignisursachen führt unweigerlich zu Schwierigkeiten bei der Zuordnung von Unterkategorien in die vier Kategorien der Stufe 0. Dies zeigt sich etwas bei der Kategorie n.3 „Fehlerhafte Programmierung (intern/ extern)“. Während vorsätzlich fehlerhafte Programmierung durch Mitarbeiter als Personenrisiko gesehen werden sollte, ist die nicht vorsätzlich fehlerhafte Programmierung ein Prozessrisiko. Auf der anderen Seite ist die Programmierung, sofern sie als externe Dienstleistung in Anspruch genommen wird, nichts anderes als eine Auslagerung interner Prozesse. Daher ist hier die Abgrenzung zu EXT.t „Outsourcing-/ Lieferantenrisiko“ unklar.
1
Vgl. British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation).
Kategorisierung operationeller Risiken
61
Unter EXT fallen in der MEKABBA 36 Stufe-2-Kategorien. Abgrenzungsprobleme können bei r „(Gesetzliche-) Haftpflicht“ auftreten. Die allgemeine Haftpflicht nennt die Bankenaufsicht als Beispiel zu PER.IV.o, also einem Personenrisiko1. Daher ist bei allen Sub-Kategorien von r zu prüfen, ob sie nicht besser als Personen- oder ggf. als Prozessrisiko zu interpretieren sind. So ist etwa r.2 „Verletzung der eigenen Fürsorgepflicht“ schwer abgrenzbar gegenüber PRO.b.5 „Vernachlässigung der Sorgfaltspflicht“. Die Kategorie r.2 sollte auch eher als Prozessrisiko gesehen werden, da sie inhaltlich nahe bei dem Ereignis „Verstoß gegen treuhänderische Pflichten“ (fällt unter das Prozessrisiko MAKABasel_II PRO.I.a) liegt. Die Kategorie r.1 „Verursachte Umweltschäden“ (BBA Beispiel: Asbestverseuchung2) liegt nahe bei MAKABasel_II PER.IV.o „Sicherheit des Arbeitsumfeldes“ und sollte daher eher als Personenrisiko aufgefasst werden. Ereignisse in Zusammenhang mit Outsourcingpartnern und Lieferanten subsumiert die Bankenaufsicht unter PRO.II.k „Lieferanten und Anbieter“, also einem Prozessrisiko.3 Ein Grund, sie als (internes) Prozessrisiko zu sehen ist sicher der, dass man Risiken verbunden mit Outsourcingpartnern bzw. Lieferanten durch ein aktives institutsinternes Management entgegenwirken kann (z. B. durch strengere Auflagen oder Wechsel des Anbieters und eine enge Überwachung der Outsourcingpartner). Im Sinne einer einfacheren Basel-II-Überleitung sollte daher auch t „Outsourcing-/ Lieferantenrisiko“ der MEKABBA unter PRO eingegliedert werden. Entsprechendes gilt für u „Insourcingrisiko“. Ist jedoch t.2 „Datenmissbrauch“ auf Mutwilligkeit seitens des Outsourcingpartners oder Lieferanten zurückzuführen, so ist diese Kategorie richtigerweise als externes Risiko anzusehen. Eine MEKA kann auch als Fundament zum Aufbau eines innerhalb einer Bankengruppe einheitlich verwendeten Kategorisierungsstandards dienen, mit Hilfe dessen dann ein Pooling operationeller Schadensereignisse betrieben werden kann. Dabei werden an zentraler Stelle (z. B. bei der Rechenzentrale eines Bankenverbandes) alle operationellen Schadens-Ereignis-Daten der angeschlossenen Kreditinstitute in anonymisierter Form gesammelt und gespeichert. Da die Daten dann allen teilnehmenden Instituten zur Verfügung gestellt werden, können diese aus den Schadensfällen anderer lernen bzw. Lücken in der eigenen Schadenshistorie füllen. Diese Vorgehensweise ist konform mit der von der Bankaufsicht geäußerten Anregung, aussagekräftige externe Daten im Risikomanagement zu nutzen4. Ein auf der Struktur einer MEKA aufgebauter großer Datensatz kann außerdem die Entwicklung von statistischen Verfahren zur Quantifizierung von operationeller Risiken unterstützen.
1 2 3 4
Vgl Basel Committee on Banking Supervision: (Framework) Anhang 7. Vgl. British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation). Vgl Basel Committee on Banking Supervision: (Framework) Anhang 7. Vgl. Basel Committee on Banking Supervision: (Framework) Absatz 674.
62
Erster Teil
Zwei große externe Schadensfalldatenbanken, in denen ein Pooling operationeller Schadensfälle betrieben wird, sind die Datenbank GOLD (Global Operational Loss Data), die federführend von einem Bankenkonsortium in Verbindung mit der BBA verwaltet wird, sowie die Datenbank ORX1 der ORX Association, die ebenfalls ein Bankenkonsortium darstellt.2 Die externe Schadensfalldatenbank GOLD gibt es seit 2000. In diese melden die angeschlosenen Kreditinstitute quartärlich anonymisiert ihre operationellen Ereignisse. Die Datenbank GOLD beruht nicht auf der MEKABBA. Vielmehr übernimmt die zugrundeliegende Meso-Kategorisierung seit ihrer Überarbeitung in 2005 die Stufen 1A und 1 der MAKABasel_II und entwirft auf der Stufe 2 eine eigene Kategorisierungsstufe mit 37 Kategorien.3 In die externe Schadensfalldatenbank ORX melden die angeschlossenen Kreditinstitute seit 2002 Schadensereignisse. Die verwendete Meso-Kategorisierung beruht auf einer leichten Adaption der Stufe 1A der MAKABasel_II. Zudem wird eine Stufe 1 mit 23 Kategorien verwendet, die ebenfalls verwandt ist mit der Stufe 1 der MAKABasel_II.4
III. Ein neuer Kategorisierungsansatz für Kreditinstitute In diesem Kapitel soll Kreditinstituten eine neue Meso-Kategorisierung an die Hand gegeben werden, mit deren Hilfe sie eine eigene institutsspezifische MikroKategorisierung aufbauen oder aber eine bestehende Mikro-Kategorisierung weiterentwickeln können. Zudem wird eine eindeutige Überleitung in die MAKABasel_II konstruiert.5 1.
Anforderungen an einen neuen Kategorisierungsansatz
In Kapitel B.II wurde eine Reihe von Verbesserungspotenzialen und Mindestanforderungen aus der Analyse bestehender Kategorisierungsansätze abgeleitet. Als Weiterentwicklung soll nun eine neue Meso-Kategorisierung (kurz: MEKAneu) entwickelt werden, die den folgenden Ansprüchen genügt:
1 2 3 4 5
ORX steht für Operational Risk Exchange. Vgl. Auer, M.: (Operationelles Risikomanagement) S. 105-106. Vgl. British Bankers’ Association (BBA): (GOLD). Vgl. ORX (Operational Risk Report) und ORX (Loss Reporting). Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt.
Kategorisierung operationeller Risiken
63
1. Sie besteht aus drei Kategorisierungsstufen, sodass eine effiziente aggregierende Bewertung des Gesamtrisikos und ein entsprechendes Risikoreporting unterstützt werden. 2. Risiko- und Ereignis-Kategorien sind möglichst eindeutig definiert und klar voneinander abgegrenzt; dies vermindert die Gefahr von Fehl- und Doppelzuordnungen von (Schadens-)Ereignissen.1 3. Die Risiko-Kategorien befinden sich innerhalb der (Kategorisierungs-) Stufen 0 und 1, die Ereignis-Kategorien in der Stufe 2. Jede Ereignis-Kategorie der Stufe 2 ist eindeutig einer Risiko-Kategorie der Stufe 1 zugeordnet, die ihrerseits in eindeutiger Weise einer Risiko-Kategorie der Stufe 0 zugehört. Dabei besteht die Stufe 0 aus den Kategorien Prozess-, Personen-, System- und externe Risiken. 4. Das gewählte Kategorienspektrum ist sehr umfassend. Eine etwaige (spätere) Erweiterung um Risiken und Ereignisse, die zum jetzigen Zeitpunkt entweder nicht bekannt oder aber noch von untergeordneter Bedeutung sind, kann durchgeführt werden. 5. Die Kategorien sind einfach und in eindeutiger Weise in die (Kategorisierungs-) Stufe 1 der bankaufsichtlichen Kategorisierung MAKABasel_II überleitbar. Die zugehörige Überleitungsfunktion wird explizit angegeben. 6. Die MEKAneu kann von Kreditinstituten für die Konstruktion einer individuellen MIKA von allen wichtigen Geschäftstypen eingesetzt werden. 7. Sie ist sowohl für die Durchführung einer Risikoinventur (Self-Assessment) als auch für den konsistenten Aufbau bzw. die Neustrukturierung einer Schadensfalldatenbank verwendbar. Um eine solche Kategorisierung zu erhalten, wurde eine Reihe von Kategorien aus der MAKABasel_II2, der MIKABremen3, der MEKAVÖB4 sowie der MEKABBA5 selektiert und gemäß den formulierten Ansprüchen 1-7 überarbeitet. Hierbei wurden die in Kapitel B.II dargestellten Ergebnisse der detaillierten Analysen dieser Kategorisierungsansätze explizit berücksichtigt. Aufgezeigte Inkonsistenzen und Widersprüche wurden versucht aufzulösen. Zudem wurden ganz neue Kategorien formuliert. Für eine höhere Anwenderfreundlichkeit wurde jede Kategorie mit einer möglichst eindeutigen Definition versehen. Referenzdefinitionen standen für die Ableitung neuer Definitionen nur für die 71 Kategorien der MIKABremen zur Verfügung.6 Für die MA-
1 2 3 4 5 6
Vgl. Beeck, H./Kaiser T.: (Quantifizierung) S. 646. Vgl. Basel Committee on Banking Supervision: (Framework) Anhang 7. Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 115-128. Vgl. Bundesverband Öffentlicher Banken Deutschlands (Verbandsbericht 2000/2001) S. 127-129; Aichholz, S.: (Controlling operationeller Risiken) S. 259 f. Vgl. British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation). Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 115-128.
64
Erster Teil
KABasel_II und die MEKABBA sind zudem Beispiel-Ereignisse zu einzelnen Kategorien veröffentlicht.1 Gemäß der in dieser Arbeit entwickelten Kategorisierungslogik wurden die Einzelkategorien zu der Kategorisierung MEKAneu vereint. Dabei wurde bereits beachtet, dass diese Logik in die MAKABasel_II überleitbar bleibt. In einem letzten Schritt wurden die Kategorien der MEKAneu eindeutig in die bankaufsichtliche Kategorisierung MAKABasel_II übergeleitet. Auf die Herleitung der entsprechenden Überleitungsfunktion wird in Kaptitel B.III.3 detaillierter eingegangen. Zunächst sollen die Kategorien der MEKAneu dargestellt werden.
2.
Definition und Kategorisierung von Risiko- und Ereigniskategorien der MEKAneu
Im Nachfolgenden werden die wesentlichen Grundzüge der MEKAneu dargestellt und diskutiert. Die MEKAneu weist 26 Risiko-Kategorien der Stufe 1 auf, die mit den Buchstaben a-z nummeriert und jeweils genau einer der vier Kategorien Prozess-, Personen-, System- und externe Risiken der Stufe 0 zugeordnet sind. Wie bereits dargestellt erleichtert letzteres auch das Konstruieren der Ereignis-Kategorien der Stufe 2 sowie deren eindeutige Zuordnung zu jeweils einer Risiko-Kategorie der Stufe 1. Die insgesamt 100, mit den Buchstaben-Zahlen-Kombinationen a.1-a.5, ..., z.1-z.7 durchnummerierten Ereignis-Kategorien der Stufe 2 wurden dabei derart konzipiert, dass sie dem wünschenswerten Kompromiss aus den miteinander konkurrierenden Ansprüchen2 genügen, einerseits möglichst umfassend aber andererseits möglichst überschneidungsfrei zu kategorisieren. Bei der konkreten Ausgestaltung der einzelnen Kategorien der MEKAneu werden die generellen Unterscheidungsrichtlinien (ER1) bis (ER4)3 und die zugehörigen RisikoOberkategorien PRO, PER, SYS, EXT zugrundegelegt. Dabei sind für jede Anwendungssituation die darin vorkommenden Begriffe „intern“ und „extern“ genau voneinander abzugrenzen. In Kapitel B.II wurde anhand verschiedener Einzelkategorien dargestellt, welche Schwierigkeiten sich in der Praxis hinter einer konsistenten Zuordnung von Risiken und Ereignissen im Zusammenhang mit menschlichem Versagen verbergen. Hier spielt insbesondere das Kriterium der Vorsätzlichkeit eine wichtige Rolle. So werden für eine möglichst überschneidungsfreie Zuordnung von Risiken und Ereignis-
1 2 3
Vgl. Basel Committee on Banking Supervision: (Framework) Anhang 7; British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation). Vgl. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 19 f. Vgl. Kapitel A.I.2
65
Kategorisierung operationeller Risiken
sen im Zusammenhang mit menschlichem Versagen hier die folgenden Konventionen verwendet: Art des menschlichen Versagens vorsätzlich vorsätzlich vorsätzlich vorsätzlich nicht vorsätzlich nicht vorsätzlich nicht vorsätzlich
Tabelle 5:
Ausübender Arbeitgeber Mitarbeiter Kooperationspartner1 sonstige externe Personen (z. B. Kunden, „Außenstehende“) Arbeitgeber Mitarbeiter Kooperationspartner
2
Zugehörige RisikoOberkategorie PRO PER EXT EXT PRO PRO PRO
Kategorisierung von Risiken resultierend aus menschlichem Versagen
Nicht-vorsätzliches Versagen von Personen, die unmittelbar am Leistungserstellungsprozess beteiligt sind (Arbeitgeber, Mitarbeiter, Kooperationspartner), wurden einheitlich als Prozessrisiko eingeordnet. Einige Anwendungsfälle wären grundsätzlich auch als Personenrisiko oder externes Risiko interpretierbar. So wurde in Kapitel B.II.2 anhand der MIKABremen erläutert, dass bei verschiedenen Kategorisierungsansätzen von Kreditinstituten nicht vorsätzliches Versagen von Mitarbeitern manchmal als Personenmanchmal als Prozessrisiko gesehen wird. Risiken verbunden mit Kooperationspartnern, die nicht auf Vorsätzlichkeit beruhen, könnten gleichwertigerweise auch als externes Risiko angesehen werden, so wird es z. B. in der MEKABBA gehandhabt (Kategorie EXT.t „Outsourcing-/ Lieferantenrisiko“ der MEKABBA). Es zeigt sich jedoch, wie auch anhand dieser Kategorie in Kapitel B.II.3 besprochen, dass die Überleitung in die MAKABasel_II anhand der in Tabelle 53 dargestellten Konvention besser konstruierbar ist. In den Tabellen 6 bis 9 ist die MEKAneu im Detail dargestellt. Tabelle 6 zeigt die Risiko-Kategorie PRO, Tabelle 7 die Kategorie PER, Tabelle 8 die Kategorie SYS und Tabelle 9 die Kategorie EXT. Die Darstellungsweise soll hier kurz anhand der Stufe-1-Risiko-Kategorie e dargestellt werden: Bei dieser Kategorie namens „Richtlinienmissachtende Kreditvergabe“ handelt es sich um ein Prozessrisiko; e ist also der Stufe-0-Risiko-Kategorie PRO zugeordnet
1 2 3
im zu betrachtenden Risiko bzw. Ereignisfall; man beachte hier, dass z. B. ein Kooperationspartner in einem Geschäftsfall gleichzeitig auch Kunde in einem anderen Geschäftsfall sein kann. im zu betrachtenden Risiko bzw. Ereignisfall Quelle: Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 793.
66
Erster Teil
(vgl. Tabelle 6). Die Stufe-1-Risiko-Kategorie e wiederum umfasst zwei Stufe-2Ereignis-Kategorien, die Ereignis-Kategorie e.1 namens „Fehlerhafte Kreditprüfung“ und die Ereignis-Kategorie e.2 namens „Überschreitung von institutsinternen Kreditlimiten“. Die Risiko-Kategorie e und somit alle untergeordneten Ereignis-Kategorien e.1 bis e.2 werden in die Stufe-1-Kategorie I.d „Kundenauswahl, Kreditleihe und Kreditausmaß“ der bankaufsichtlichen Kategorisierung MAKABasel_II übergeleitet. Auf diese Überleitungsfunktion wird im folgenden Kapitel B.III.3 näher eingegangen. Die folgende Tabelle zeigt für die MEKAneu die 43 Ereignis-Kategorien der Stufe-0Risiko-Kategorie PRO:1 Risiko-Kategorie Stufe 0: Prozessrisiken (PRO) Nr. MA RisikoKA Kategorie B II Stufe 1
a
I.a
Marktunüblicher oder rechtswidriger Umgang mit Kunden/Kontrahenten
a.1
a.3
a.4
a.5 I.e
b.1
1
Definition
Gefahr von Verlusten, die aufgrund von Verstößen gegen Marktgepflogenheiten oder Gesetzen bzgl. des Umgangs mit Kunden/Kontrahenten entstehen Aggressive Verkaufspraktiken
a.2
b
EreignisKategorie Stufe 2
Mangelhafte Beratungsqualität
Aggressive Verkaufspraktiken gegenüber Kunden/Kontrahenten, wie z. B. Provisionsschneiderei oder überhöhte Preisbildung (auf Rechnung des Arbeitgebers) SorgfaltspflichtNicht ausreichende Identifikation von KunVerletzungen den/Kontrahenten (exklusive Vorsätzlichkeit durch Mitarbeiter), d. h. Verstöße gegen "Knowyour-Customer-Regelungen" FürsorgepflichtVerletzungen von gesetzlich vorgeschriebenen Verletzungen bzw. marktüblichen Informationspflichten bzgl. Produkt-, Abwicklungs- und Risikospezifika gegenüber Kunden/Kontrahenten; Verstöße gegen treuhänderische Pflichten; (exklusive Vorsätzlichkeit durch Mitarbeiter) Verletzungen der Unerlaubtes oder nicht für den Geschäftsabschluss Privatsphäre von erforderliches Eindringen in die Privatsphäre von Kunden/ Kontrahen- Kunden/Kontrahenten (exklusive Datenschutzten Verletzungen und Vorsätzlichkeit durch Mitarbeiter) DatenschutzMissbrauch vertraulicher Informationen über Verletzungen Kunden/Kontrahenten (exklusive Vorsätzlichkeit durch Mitarbeiter) Gefahr von Verlusten durch Beratungsleistungen, die nicht den Qualitätsansprüchen von Kunden/Kontrahenten genügen Unangemessene Nichterfüllung der Performanceerwartung von Performancevorher- Kunden/Kontrahenten aufgrund von suboptimaler sagen Beratungsleistung seitens des Instituts (z. B. bzgl. Rendite- oder Risikoentwicklung)
Quelle: Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 794-796.
67
Kategorisierung operationeller Risiken
Risiko-Kategorie Stufe 0: Prozessrisiken (PRO) Nr. MA RisikoKA Kategorie B II Stufe 1 c
I.b
Eigenbereicherungsdelikte durch Arbeitgeber
c.1
KartellrechtsVerstöße Copyright-/PatentVerletzungen
c.2
c.3
Vorsätzlich unkonzessionierte Geschäftstätigkeit durch Arbeitgeber Steuer- und Abgabenhinterziehung durch Arbeitgeber Bewertungsmanipulationen durch Arbeitgeber Limitüberschreitungen durch Arbeitgeber Marktmanipulation durch Arbeitgeber
c.4 c.5 c.6 c.7 c.8 c.9 c.10 c.11 c.12 c.13 d d.1 d.2
EreignisKategorie Stufe 2
I.c
Produkt- und Modellmängel im Institut
Definition
Gefahr von Verlusten durch Verstöße gegen Gesetze oder Marktgepflogenheiten durch eigene Geschäftstätigkeit, bei denen die unmittelbare persönliche bzw. institutsbezogene Bereicherung des Arbeitgebers im Vordergrund steht Verstöße gegen kartellrechtliche Bestimmungen im In- und Ausland Unautorisierte Verwendung/Veränderung/Nachahmung von institutsfremden Produkten/Dienstleistungen und sonstigem geistigen Eigentum für institutseigene Geschäftstätigkeiten Vorsätzlich nicht konzessionierte Geschäftstätigkeit mit Kunden/Kontrahenten, mit Produkten oder in Märkten und Ländern Vorsätzliches Umgehen von Steuern und Abgaben Vorsätzlich falsch durchgeführte Bewertungen von Erträgen, Risiken und Kosten
Überschreitung von gesetzlichen und aufsichtsrechtlichen Limiten (z. B. Grundsatz II/ Liquiditätsverordnung, MaH-Limite) Illegale Absprachen; Benachteiligung/Übervorteilung von Einzelkunden bei der Geschäftsanbahnung/Kundenauswahl Insiderhandel durch Insidergeschäfte (auf Rechnung des Arbeitgebers) Arbeitgeber Unterschlagung und Betrügerische Unterschlagung bzw. Veruntreuung Veruntreuung durch von institutseigenen Vermögenswerten Arbeitgeber VermögenswertVorsätzliche Vernichtung institutseigener VermöVernichtung durch genswerte Arbeitgeber Front-Running durch Ausnutzung von Kundenaufträgen zwecks eigener Arbeitgeber Wertpapierspekulation Bestechung und Bestechung und Erpressung von Mitarbeitern, Erpressung durch Kooperationspartnern und Kunden Arbeitgeber Geldwäsche durch Geldwäsche auf Rechnung des Arbeitgebers Arbeitgeber Gefahr von Verlusten durch fehlerhafte institutseigene Produkte oder die Verwendung fehlerhafter institutsinterner Modelle Mangelhafte Produk- Produkte/Dienstleistungen des Instituts, die nicht te und Dienstleistun- die externen bzw. internen Qualitätsansprüche gen des Instituts abdecken Fehler in institutsin- Fehler in Modellen, die institutsintern verwendet ternen Modellen werden
68
Erster Teil
Risiko-Kategorie Stufe 0: Prozessrisiken (PRO) Nr. MA RisikoKA Kategorie B II Stufe 1
e
I.d
e.1
e.2 f
II.f
f.1 f.2 f.3 f.4 f.5 g
II.f
g.1 g.2 h
II.f
h.1 h.2 i
II.g
Richtlinienmissachtende Kreditvergabe
EreignisKategorie Stufe 2
Definition
Gefahr von Verlusten durch Verstöße gegen (gesetzesergänzende) institutsinterne Richtlinien bei der Kreditvergabe Fehlerhafte Kredit- Verstoß bei der Kreditprüfung gegen institutsinprüfung terne Richtlinien und Arbeitsanweisungen (z. B. im Zusammenhang mit Bonitäts- und Sicherheitenprüfungen) Überschreitung von Nicht-vorsätzliche Kreditlimitüberschreitungen (z. institutsinternen B. von Portfolio-, Branchen-, Engagement- oder Kreditlimiten Einzelkundenlimiten) Mangelhafte BearGefahr von Verlusten durch die nicht-vorsätzliche beitung von TransakNichterfüllung von internen oder externen Anfortionen derungen bzgl. Qualität und Termintreue bei der Erfassung, Abwicklung und Betreuung von Transaktionen TransaktionsverNicht-termingerechte oder unterlassene Ausfühsäumnisse rung von Transaktionen (exklusive Vorsätzlichkeit durch Mitarbeiter) Fehlerhafte interne Nicht-vorsätzliche Fehler bei der internen VerbuZahlungs- oder chung/Zuordnung von Zahlungs- oder SettlementSettlement-Vorgänge Vorgängen Mangelhafte Bear- Fehler bei der Dateneingabe, -pflege oder beitung von Daten- -speicherung banken Fehlerhafte SiNicht-vorsätzliche Fehler bei dem Ausweis und cherheitenverwalder Geschäftszuschlüsselung von Besicherungsintung strumenten Mangelhafter Nicht-vorsätzlich unzulänglicher Gebrauch von Gebrauch von transaktionsrelevanten Modellen, z. B. bei der Modellen Sicherheitenbewertung Mangelhafte instiGefahr von Verlusten, die aufgrund einer nicht tutsinterne Kommuausreichenden bzw. ineffizienten institutsinternen nikation Kommunikation entstehen Institutsinterne Nicht-vorsätzlich unvollständige, unrichtige, Kommunikationsstö- verspätete oder falsch kanalisierte institutsinterne rungen Informationsweitergabe (ohne Reporting) Unangemessenes Nicht-vorsätzlich unvollständiges, unrichtiges, Reporting verspätetes oder falsch kanalisiertes institutsinternes Reporting Projektrisiken Gefahr von Verlusten durch unangemessene Durchführung von institutsinternen Projekten (z. B. in Zusammenhang mit Fusionen, Übernahmen, Beteiligungen und Insourcing) Unzulängliche Mangelnde Bedarfsermittlung und -deckung/ Projektplanung unzulängliche Kosten-Nutzen-Analyse Unzulängliches Unangemessene Projektorganisation und Projektmanagement -durchführung Mangelhafte BeGefahr von Verlusten, die aufgrund einer nicht richterstattung nach ausreichenden bzw. rechtswidrigen Berichterstataußen tung nach außen entstehen
69
Kategorisierung operationeller Risiken
Risiko-Kategorie Stufe 0: Prozessrisiken (PRO) Nr. MA RisikoKA Kategorie B II Stufe 1
EreignisKategorie Stufe 2
Definition
i.1
Unzulängliche Berichterstattung an die Aufsichtsbehörden Unzulängliche Berichterstattung an die Zentralbank Unzulängliche Berichterstattung an die Steuerbehörde Unzulängliche Berichterstattung an die Wirtschaftsprüfer/ Öffentlichkeit/ Anteilseigner/ Gläubiger
Lücken- oder fehlerhafte Berichterstattung an die Aufsichtsbehörden, z. B. im Rahmen des bankaufsichtlichen Meldewesens oder der Berichterstattung von Börsen-/ Wertpapiergeschäften Lücken- oder fehlerhafte Berichterstattung an die Zentralbank, z. B. im Rahmen der Meldung der Mindestreserve Lücken- oder fehlerhafte Berichterstattung an die Steuerbehörde, z. B. im Rahmen der Steuerbilanz
i.2 i.3 i.4
j
II.h Juristisch fehlerhafte Geschäftsanbahnung
Lücken- oder fehlerhafte Berichterstattung an Wirtschaftsprüfer (bzw. Verbände)/ Öffentlichkeit/ Anteilseigner/ Gläubiger, z. B. im Rahmen der Handelsbilanz, der GuV oder der Offenlegung gemäß Basel II
Gefahr von Verlusten durch institutsinterne juristische Mängel bei der Geschäftsanbahnung j.1 Juristisch unvollUnvollständige Beschaffung von Kundendaten ständige Kundenda- und Geschäftsunterlagen (einschl. Rechtsdokuten und Geschäftsun- mente) für den Geschäftsabschluss terlagen k II.i Mangelhafte KunGefahr von Verlusten durch fehlerhafte Verwaldenkontoführung tung von Kundenkonten (ohne Transaktionsbu(ohne Transaktionschungen) buchungen) k.1 Fehlerhafte Kunden- Fehlerhafte Kundendaten und Geschäftsunterlagen daten und Ge(einschl. Rechtsdokumente) schäftsunterlagen k.2 Fehlverschlüsselun- Fehlerhafte Zuordnung von Geschäften, Sicherheigen ten und Kunden l II.k Unstimmigkeiten mit Gefahr von Verlusten durch Unstimmigkeiten mit Zulieferern Zulieferern von Waren oder Dienstleistungen (einschließlich Outsourcingpartner) l.1 Geschäftserfüllungs- Nicht-Erfüllung oder fehlerhafte Erfüllung vereinprobleme von barter Leistungen durch Zulieferer (nichtZulieferern vorsätzlich) l.2 Sonstige UnstimSonstige Unstimmigkeiten mit Zulieferern, die migkeiten mit nicht im Zusammenhang mit vereinbarten LeisZulieferern tungen stehen m II.j Unstimmigkeiten mit Gefahr von Verlusten durch Unstimmigkeiten mit sonstigen Kooperatisonstigen Kooperationspartnern, die keine Zuliefeonspartnern rer von Waren oder Dienstleistungen sind (z. B. Konsortialpartner) m.1 Geschäftserfüllungs- Nicht-Erfüllung oder fehlerhafte Erfüllung vereinprobleme von barter Leistungen durch Kooperationspartner sonstigen Kooperati- (nicht-vorsätzlich) onspartnern
70
Erster Teil
Risiko-Kategorie Stufe 0: Prozessrisiken (PRO) Nr. MA RisikoKA Kategorie B II Stufe 1
EreignisKategorie Stufe 2
Definition
m.2
Sonstige Unstimmigkeiten mit sonstigen Kooperationspartnern
Sonstige Unstimmigkeiten mit Kooperationspartnern, die nicht im Zusammenhang mit vereinbarten Leistungen stehen (z. B. Rechtsstreit bzgl. der gegenseitigen Geschäftsabgrenzung)
Tabelle 6:
Detail-Darstellung der MEKAneu: Prozessrisiken (PRO)
Die folgende Tabelle zeigt für die MEKAneu die 26 Ereignis-Kategorien der Stufe-0Risiko-Kategorie PER:1 Risiko-Kategorie Stufe 0: Personenrisiken (PER) Nr.
MA RisikoKA Kategorie B II Stufe 1
EreignisKategorie Stufe 2
n
III.l Vorsätzliche, schädigende Geschäftspraktiken von Mitarbeitern
Gefahr von Verlusten durch vorsätzliches Umgehen von Gesetzen, Geschäftsregeln und Arbeitsanweisungen durch Mitarbeiter, bei denen nicht die unmittelbare persönliche Bereicherung im Vordergrund steht (z. B. zur vermeintlichen Verbesserung der eigenen Performance) Vorsätzlich unkonzes- Nicht konzessionierte Geschäftstätigkeit sionierte Geschäftstä- mit Kunden/Kontrahenten, Produkten oder tigkeit durch Mitarbei- in Märkten und Ländern ter Bewertungsmanipulati- Vorsätzlich falsch durchgeführte Beweronen durch Mitarbeiter tungen von Erträgen, Risiken und Kosten Vorsätzliche LimitÜberschreitung von Steuerungslimiten (z. oder Kompetenzüber- B. von Portfolio-, Branchen- oder Engageschreitungen durch mentlimiten) oder Mitarbeiterkompetenzen Mitarbeiter Vorsätzliche interne Unterlassen der internen Anzeige von Anzeigepflichtsverlet- Geschäftstätigkeiten (z. B. von getätigten zungen durch Mitarbei- Transaktionen) ter Vorsätzliche Sorgfalts- Nicht ausreichende Identifikation von pflicht-Verletzungen Kunden/Kontrahenten, d. h. Verstöße gegen durch Mitarbeiter "Know-your-Customer-Regelungen" Vorsätzliche Fürsorge- Verletzungen von gesetzlich vorgeschriepflicht-Verletzungen benen bzw. marktüblichen Informationsdurch Mitarbeiter pflichten bzgl. Produkt-, Abwicklungs- und Risikospezifika gegenüber Kunden/Kontrahenten; Verstöße gegen treuhänderische Pflichten
n.1
n.2 n.3
n.4
n.5 n.6
1
Definition
Quelle: Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 796-797.
71
Kategorisierung operationeller Risiken
Risiko-Kategorie Stufe 0: Personenrisiken (PER) Nr.
n.7
n.8 n.9
MA RisikoKA Kategorie B II Stufe 1
EreignisKategorie Stufe 2
Definition
Vorsätzliche Verletzungen der Privatsphäre von Kunden/Kontrahenten durch Mitarbeiter Vorsätzliche Datenschutz-Verletzungen durch Mitarbeiter Marktmanipulation durch Mitarbeiter
Unerlaubtes oder nicht für den Geschäftsabschluss erforderliches Eindringen in die Privatsphäre von Kunden/Kontrahenten (exklusive Datenschutz-Verletzungen) Missbrauch vertraulicher Informationen über Kunden/Kontrahenten
Illegale Absprachen; Benachteiligung/Übervorteilung von Einzelkunden bei der Geschäftsanbahnung/Kundenauswahl n.10 Vorsätzliche Reputati- Vorsätzlich öffentliche Verbreitung von onsschädigung durch Falschinformationen oder Informationen Mitarbeiter durch Mitarbeiter, die der Reputation des Instituts schaden können o III.m EigenbereicherungsdeGefahr von Verlusten durch vorsätzliches likte durch Mitarbeiter Umgehen von Gesetzen, Geschäftsregeln und Arbeitsanweisungen durch Mitarbeiter, bei denen die unmittelbare persönliche Bereicherung im Vordergrund steht o.1 Diebstahl und Verun- Diebstahl, betrügerische Unterschlagung treuung durch Mitarbei- oder Veruntreuung von institutseigenen ter Vermögenswerten o.2 Verletzungen des Verwendung/Veränderung/Nachahmung institutsinternen geisti- von institutseigenen Produkgen Eigentums durch ten/Dienstleistungen und sonstigem geistiMitarbeiter gen Eigentum für private Geschäftstätigkeiten bzw. die Weiterleitung an Dritte (Industriespionage) o.3 Vernichtung von Zerstörung/ Beschädigung/ UnbrauchbarInstitutsvermögen machung oder Beseitigung von institutseidurch Mitarbeiter genen Vermögenswerten (außer Modelle und DV-Systeme) o.4 Front-Running durch Ausnutzung von Kundenaufträgen zwecks Mitarbeiter eigener Wertpapierspekulation o.5 Insiderhandel durch Insidergeschäfte (nicht auf Rechnung des Mitarbeiter Arbeitgebers) o.6 Bestechung und ErBestechung und Erpressung von Arbeitgepressung durch Mitar- bern, Kollegen, Kooperationspartnern und beiter Kunden o.7 Geldwäsche durch Vorsätzliche Geldwäsche, die nicht auf Mitarbeiter Rechnung des Arbeitgebers geschieht o.8 Manipulation von Vorsätzliche destruktive Manipulation von Modellen und DVinstitutsintern verwendeten Modellen und Systemen durch Mitar- EDV-Systemen, wie z. B. die Installation beiter von Computerviren oder die Löschung/Veränderung von institutsinternen Daten p IV.n Probleme in der BeGefahr von Verlusten durch arbeitsrechtlischäftigungspraxis che Vorfälle p.1 Arbeitsrechts- und Verstöße gegen in- oder (relevante/s) Arbeitspraxisverstöße ausländische(s) Arbeitsrecht/Arbeitspraxis
72
Erster Teil
Risiko-Kategorie Stufe 0: Personenrisiken (PER) Nr.
MA RisikoKA Kategorie B II Stufe 1
p.2
Arbeitskampf und Störung des Betriebsablaufes durch ArGewerkschaftsaktivitä- beitskampf und Gewerkschaftsaktivitäten ten IV.n PersonalverfügbarGefahr von Verlusten durch das Fehlen von keitsprobleme geeigneten Mitarbeitern Genereller Mangel an Fehlen geeigneter Nachwuchskräfte für Managern oder Spezia- Management-Positionen und Spezialistenlisten Tätigkeiten des Instituts Genereller Mangel an Fehlen geeigneter Mitarbeiter, die nicht zur sonstigen Mitarbeitern Gruppe der Manager oder Spezialisten gehören Phasen-spezifischer Engpässe im Betriebsablauf durch personelMitarbeitermangel le Engpässe bei unerwartet hohen Geschäftsvolumina Mitarbeiter-Ausfälle Vorübergehender/dauerhafter Ausfall von Personal z. B. durch Krankheit IV.o Gesundheitsgefährdung Gefahr von Verlusten durch ein gesundheitsbeeinträchtigendes Arbeitsumfeld Verstöße gegen GePersonenschäden oder gesundheitliche sundheits- und SiBeeinträchtigungen von Mitarbeitern/ cherheitsKunden/ Geschäftspartnern/ Lieferanten Bestimmungen und Anbietern durch Nicht-Beachtung von Gesundheits- und Sicherheitsbestimmungen IV.p Mitarbeiterkonflikte Gefahr von Verlusten durch ungerechtfertige Handlungen gegen Mitarbeiter Diskriminierung Ungerechtfertige Handlungen gegen andere Mitarbeiter (z. B. Mobbing, Diffamierung, unerlaubtes Eindringen in die Privatssphäre, sexuelle Belästigung)
q q.1 q.2 q.3 q.4 r r.1
s s.1
Tabelle 7:
EreignisKategorie Stufe 2
Definition
Detail-Darstellung der MEKAneu: Personenrisiken (PER)
Die folgende Tabelle zeigt für die MEKAneu die zehn Ereignis-Kategorien der Stufe-0Risiko-Kategorie SYS:1 Risiko-Kategorie Stufe 0: Systemrisiken (SYS) Nr.
MA RisikoKA Kategorie B II Stufe 1
t
V.q Systemqualitätsmängel
t.1
1
EreignisKategorie Stufe 2
DV-Netzwerkausfall
Definition
Gefahr von Verlusten durch institutsinterne, unangemessene/veraltete/störanfällige Systemlandschaften Systemintern bedingter Ausfall von DVNetzwerkverbindungen des Instituts
Quelle: Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 797.
73
Kategorisierung operationeller Risiken
Risiko-Kategorie Stufe 0: Systemrisiken (SYS) Nr.
MA RisikoKA Kategorie B II Stufe 1
t.2
Ausfall von Hardware- Systemintern bedingter Ausfall von bereits komponenten vorhandenen Hardwarekomponenten (einschl. Hardware des Rechenzentrums) Ausfall von Software- Systemintern bedingter Ausfall von bereits komponenten vorhandenen Softwarekomponenten (einschl. Software des Rechenzentrums) DV-SystemSystemintern bedingte Ausfälle durch Integrations- und Probleme bei der Integration bzw. Migrati-Migrationsprobleme on von bestehenden DV-Systemen (Softund Hardware) einschl. der Erweiterung und des Aufbaus von Softwareschnittstellen Ausfall der Haustech- Systemintern bedingter Ausfall der Hausnik technik z. B. durch Kurzschluss (außer DVNetzwerk) Interne Systemsicher- Fehlerhafte Verwaltung von internen heitsmängel Systemzugriffsrechten V.q SystemkapazitätsmänGefahr von Verlusten durch unzureichende gel institutsinterne Systemkapazitäten Unzureichende DVUngenügende Systemkapazitäten bzw. technische Kapazität Flexibilitäten, um die erforderlichen Datenmengen und Rechenschritte zur Handhabung des Geschäftsvolumens zu bewältigen V.q Interne VersorgungsGefahr von Verlusten durch institutsinterne engpässe Versorgungsunterbrechungen Interne Transportaus- (Teilweise) Unterbrechung der institutsinfälle ternen Transportwege Interne Energieversor- (Teilweise) Unterbrechung der institutsingungsstörungen ternen Energieversorgung Interne technische (Teilweiser) Ausfall von institutsinternen Kommunikationsstö- Kommunikationsanlagen außer DVrungen Netzwerk)
t.3 t.4
t.5 t.6 u u.1
v v.1 v.2 v.3
Tabelle 8:
EreignisKategorie Stufe 2
Definition
Detail-Darstellung der MEKAneu: Systemrisiken (SYS)
Die folgende Tabelle zeigt für die MEKAneu die 21 Ereignis-Kategorien der Stufe-0Risiko-Kategorie EXT:1
1
Quelle: Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) S. 797-798.
74
Erster Teil
Risiko-Kategorie Stufe 0: Externe Risiken (EXT) Nr.
MA RisikoKA Kategorie B II Stufe 1
w
VI.r Schädigung des Institutsvermögens durch Externe mit Bereicherungsabsicht
w.1 w.2 w.3 w.4
w.5
w.6 w.7 w.8 x
x.1
x.2
y y.1
EreignisKategorie Stufe 2
Definition
Gefahr von Verlusten durch (direkte oder indirekte) Schädigung des Institutsvermögens, in die ausschließlich Externe (Außenstehende, Kooperationspartner und Kunden) mit Bereicherungsabsicht involviert sind (außer DV-Systemattacken) Fälschung von extern Fälschung von Aufträgen, Anträgen und eingebrachten Geergänzenden Unterlagen zur Geschäftsanschäftsunterlagen bahnung und -abwicklung Scheckbetrug durch Ungedeckte Schecks/Wechsel; ScheckExterne /Wechselreiterei Diebstahl und Verun- Diebstahl, betrügerische Unterschlagung treuung durch Externe oder Veruntreuung von institutseigenen Vermögenswerten, z. B. Banküberfälle Verletzungen des Verwendung/Veränderung/Nachahmung geistigen Eigentums von institutsinternen Produkdurch Externe ten/Dienstleistungen/Daten und sonstigem geistigen Eigentum für eigene Geschäftstätigkeiten bzw. die Weiterleitung an Dritte (Industriespionage) Vernichtung von Zerstörung/ Beschädigung/ UnbrauchbarInstitutsvermögen machung oder Beseitigung von institutseidurch Externe genen Vermögenswerten (außer DVSysteme) Bestechung und ErBestechung oder Erpressung von Arbeitgepressung durch Externe bern oder Mitarbeitern des Instituts Geldwäsche durch Unwissentliche Ausnutzung des Instituts Externe zur Geldwäsche Vorsätzliche Reputati- Öffentliche Verbreitung von Falschinforonsschädigung durch mationen oder Informationen, die der Externe Reputation des Instituts schaden können VI.s Attacken auf institutsGefahr der destruktiven Veränderung oder interne DV-Systeme Zerstörung von institutsinternen Daten, durch Externe Informationen und Systemen durch Externe (Außenstehende, Kooperationspartner und Kunden) Hackeraktivitäten Vorsätzliche, destruktive Manipulation von EDV-Systemen des Instituts, wie z. B. das Einschleusen von Computerviren oder die Löschung/Veränderung von Daten des Instituts Erwerb von manipuVorsätzliche, destruktive Manipulation von lierter Software von EDV-Systemen des Instituts durch Externe Externen mittels Weitergabe fehlprogrammierter Software VII.t Anschläge und UnruGefahr von Verlusten durch externe Anhen schläge und Unruhen Vandalismus durch Personenschäden, Störung des BetriebsabExterne laufes und Zerstörung von Vermögenswerten des Instituts durch Vandalismus
75
Kategorisierung operationeller Risiken
Risiko-Kategorie Stufe 0: Externe Risiken (EXT) Nr.
MA RisikoKA Kategorie B II Stufe 1
y.2
y.4
VII.t Katastrophen und externe Versorgungsengpässe
z.1
Personenschäden, Störung des Betriebsablaufes und Zerstörung von Vermögenswerten des Instituts durch vorsätzlich gelegtes Feuer PersonengruppenPersonenschäden, Störung des Betriebsabgesteuerte Beeinträch- laufes und Zerstörung von Vermögenswerte tigungen des öffentli- des Instituts durch Terrorismus, Bombenanchen Lebens schläge oder Amokläufe PersonenmassenPersonenschäden, Störung des Betriebsabgesteuerte Beeinträch- laufes und Zerstörung von Vermögenswertigungen des öffentli- ten des Instituts durch zivilen Ungehorsam, chen Lebens Proteste, Demonstrationen (nicht Gewerkschaftsaktivitäten), Aufruhr oder (Bürger-) Krieg Gefahr von Verlusten durch Katastrophen Störungen auf Verkehrswegen
(Nicht-vorsätzliche) Beeinträchtigung von Verkehrswegen (z. B. wegen Umbaumaßnahmen) Störungen der externen (Teilweise) Unterbrechung der extern Energiezufuhr gelieferten Energieversorgung des Instituts Externe technische (Teilweiser) Ausfall von externen KommuKommunikationsstö- nikationsanlagen rungen Wasserversorgungs(Teilweise) Unterbrechung der externen engpässe Wasserversorgung Feuerschäden Personenschäden, Störung des Betriebsablaufes und Vernichtung von Vermögenswerten des Instituts durch nicht-vorsätzlich gelegtes Feuer Geologische Schäden/ Personenschäden, Störung des BetriebsabWetterschäden laufes und Zerstörung von Vermögenswerten des Instituts durch Erdbeben, Überschwemmungen, Hagel, Vulkanausbrüche, Stürme und Hurricane Umweltschäden Personenschäden, Störung des Betriebsablaufes und Zerstörung von Vermögenswerten des Instituts durch Umweltschäden wie z. B. verschmutzte/verseuchte/verstrahlte Grundstücke und Geschäftsräume oder Krankheitserreger
z.2 z.3 z.4 z.5
z.6
z.7
Tabelle 9:
3.
Definition
Brandstiftung durch Externe
y.3
z
EreignisKategorie Stufe 2
Detail-Darstellung der MEKAneu: Externe Risiken (EXT)
Basel-II-Überleitung der MEKAneu-Kategorien
Da die MEKAneu als Grundgerüst für die Erstellung/Verfeinerung einer MIKA dienen soll, wird in diesem Kapitel auch die Konstruktion der Überleitungsfunktion in die
76
Erster Teil
bankaufsichtliche Kategorisierung MAKABasel_II konstruiert und dargestellt. Durch Anpassung dieser hier vorgestellten Funktion kann ein Kreditinstitut eine Überleitungsfunktion aus der institutseigenen MIKA in die MAKABasel_II eigenständig ableiten. Wie bereits dargestellt sieht die aufsichtsrechtliche Anforderung an die institutsinterne Kategorisierung lediglich eine Überleitungsfunktion in die sieben Kategorien der Kategorisierungsstufe 1A vor. Die Kategorisierungsstufe 1A der MAKABasel_II ist gröber als eine Kategorisierungsstufe 1. Sie ist jedoch feiner als eine Kategorisierungsstufe 0. Eine derartige Stufe 0 wird von der Bankenaufsicht nicht explizit dargestellt. Die MAKABasel_II kann jedoch um eine Kategorisierungsstufe 0 ergänzt werden. Hierfür wurde in Tabelle 2 (Kapitel B.II.1) ein Vorschlag dargestellt. Dies erleichtert die Anwendung und Vergleichbarkeit der MAKABasel_II und reduziert Eindeutigkeitsprobleme.
Stufe 0
Abbildung 10 verdeutlicht, wie sich die Kategorisierungsstufen der MEKAneu in die Struktur der um die Stufe 0 erweiterten MAKABasel_II einordnen lassen; die zu konstruierende Überleitungsfunktion wird dabei abkürzend mit f(x) bezeichnet. Des Weiteren wurden zu Vergleichszwecken auch die Kategorisierungsebenen der MEKABBA eingezeichnet. Für die MEKABBA ist keine Überleitungsfunktion veröffentlicht.
Erweiterte MAKABasel_II
MEKAneu
MEKABBA
4 Risiko-Oberkategorien
4 Risiko-Oberkategorien
4 Risiko-Oberkategorien
PRO, PER, SYS, EXT
PRO, PER, SYS, EXT
PRO, PER, SYS, EXT
26 Risiko-Kategorien
24 Risiko-Kategorien
Stufe 1
7 Kategorien I-VII
20 Kategorien
Stufe 2
a-t
a-z
f (x)
100 Ereignis-Kategorien
a-x
114 Ereignis-Kategorien
a.1-a.5, ..., z.1-z.7
a.1-a.5, ..., x.1-x.6
?
Abbildung 10: Kategorisierungsstufen der MEKAneu im Vergleich Die hier dargestellte Überleitungsfunktion f(x) bildet in die Kategorisierungsstufe 1 der MAKABasel_II ab. Vier wesentliche Gründe sprechen dafür, die MEKAneu somit in die Kategorisierungsstufe 1 und nicht (nur) in die Stufe 1A überzuleiten:
Kategorisierung operationeller Risiken
77
o Häufig wird eine Stufe 1A weder in MIKA- noch in MEKAKategorisierungen unterstützt. Es fehlt also ein Pendant zur Stufe 1A. o Durch die Überleitung in die Stufe 1 wird am ehesten gewährleistet, dass diese im Sinne der Bankenaufsicht vorgenommen wurde. So kann der Bankenaufsicht besser dokumentiert werden, wie die Überleitung in die Stufe 1A in konkreten Fällen vorgenommen wurde – nämlich mit Hilfe der Stufe 1. o Die MEKAneu soll als Grundgerüst für die Erstellung/ Verfeinerung einer MIKA dienen. Dasselbe gilt für die Überleitungsfunktion der jeweiligen MIKA in die MEKABasel_II. Durch die hier dargestellte detaillierte Überleitung in die Kategorisierungsstufe 1 ist die Überleitungslogik besser nachvollziehbar und damit leichter übertragbar. o Durch eine konstruierte Überleitungsfunktion f(x) in die Stufe 1 ergibt sich automatisch eine Überleitungsfunktion in die Stufe 1A. Die Überleitungsfunktion in die Stufe 1A stellt dann lediglich eine Vergröberung von f(x) dar.
Gemäß den vorherigen Ausführungen wurde eine Überleitungsfunktion in die bankaufsichtliche Kategorisierung MAKABasel_II wie folgt in tabellarischer Form konstruiert: Jede der Stufe-1-Risiko-Kategorien a bis z der MEKAneu ist genau einer der Stufe-1Kategorien der MAKABasel_II zugeordnet. Da seinerseits jede der Stufe-2-EreignisKategorien der MEKAneu genau einer Stufe-1-Risiko-Kategorie der MEKAneu zugeordnet ist, ergibt sich daraus direkt die regulatorisch geforderte Überleitungsfunktion von den Stufe-2-Ereignis-Kategorien der MEKAneu zu den Stufe-1-Kategorien der MAKABasel_II. Leitet man eine institutsspezifische MIKA aus der Stufe-2-Ereignis-Kategorien der MEKAneu ab, so kann die hier entwickelte Überleitungsfunktion in die MAKABasel_II direkt übernommen werden. In Bezug auf die in Kapitel B.II.1 angeführten Kategorien-Zuordnungsprobleme bzgl. Geldwäsche ergibt sich mit Hilfe der MEKAneu und der hier konstruierten Überleitungsfunktion f(x) folgende Erleichterung: Das Ereignis (GW1)1 wird der Kategorie c.13 (und nach der Überleitung folglich der MAKABasel_II-Kategorie I.b), (GW2) der Kategorie o.7 (und folglich der MAKABasel_II-Kategorie III.m), und (GW3) der Kategorie w.7 (und folglich der MAKABasel_II-Kategorie VI.r) zugeordnet. Im Beispiel des Firmenkunden-Kreditabschlusses wird das Ereignis (FK1) in die Kategorie e.1 (und somit in die MAKABasel_II-Kategorie I.d), (FK2) in die Kategorie n.2 (und somit in die MAKABasel_II-
1
Vgl. Kapitel B.II.1.
78
Erster Teil
Kategorie III.l) und (FK3) in die Kategorie w.1 (und somit in die MAKABasel_IIKategorie VI.r) eingeordnet. Mit den Ausführungen dieses Kapitels soll Kreditinstituten eine deutschsprachige Meso-Kategorisierung an die Hand gegeben werden, mit deren Hilfe sie eine neue institutsspezifische Mikro-Kategorisierung aufbauen oder aber eine bestehende MikroKategorisierung weiterentwickeln können. Zudem können Kreditinstitute die dargestellte Überleitungsfunktion f(x) als Hilfestellung für das Erfüllen der Basel-IIAnforderungen bzgl. der Kategorisierung von Ereignissen und den damit verbundenen Schäden in Schadensfalldatenbanken verwenden.
Zweiter Teil: Bewertung von operationellen Risiken Mitte der 90er Jahre starteten Kreditinstitute mit der Entwicklung von Quantifizierungsverfahren für operationelle Risiken.1 Der Umsetzungsstand ist heute immer noch sehr unterschiedlich. Dies liegt zum einem an der Komplexität und der Heterogenität von operationellen Risiken. Zudem sind die institutsindividuell gepflegten Schadensfallhistorien häufig lückenhaft, sei es weil gewisse Ereignisse nicht ausreichend dokumentiert wurden oder sei es, weil bestimmte Schäden in der Historie nicht aufgetreten sind. In diesem Hauptteil wird ein Beitrag dazu geleistet, Quantifzierungsansätze in folgendem Sinn weiter zu systematisieren: Auf der Grundlage der feingliedrigen MEKAneu und eines Risk-Mapping ihrer Risiko-Kategorien wird ein Modellierungsrahmen dargestellt, der zukünftige Weiterentwicklungen von Quantifizierungsmodellen erleichtert. Die im ersten Hauptteil neu entwickelte Kategorisierung MEKAneu ist eine gute Grundlage für die Weiterentwicklung von Quantifizierungsverfahren, zumal die Kategorisierung MAKABasel_II gemäß Basel II zu grobliedrig ist, um ein ausreichendes Gerüst zur Quantifizierung operationeller Risiken zu liefern. Nachdem in Kapitel A zunächst betriebswirtschaftliche wie auch regulatorische Anforderungen an die Quantifizierung operationeller Risiken systematisch dargestellt werden, werden dann grundsätzliche Herangehensweisen an die Quantifizierung operationeller Risiken vorgestellt. Es wird diskutiert, welche Analyseobjekte grundsätzlich gewählt werden können, sowie unterschieden zwischen Top-down vs. Bottom-up-Verfahren und qualitativen vs. quantitativen Bewertungen. Im Folgenden werden die systematischen Datenerhebungen von Risiko- und Verlustdaten durch den Baseler Ausschuss basierend auf der MAKABasel_II ausgewertet. Zum einen wird die in 2002 durchgeführte Datenerhebung2 bei 89 Kreditinstituten und die in 2009 veröffentlichte Studie3 über 119 Kreditinstituten analysiert. Auf Basis dieser Analysen werden 20 Kern-Aussagen abgeleitet, die bei der weiteren statistischen Modellierung als Anhaltspunkte dienen können. Diese Aussagen beziehen sich auf die Verteilung von Schadenshöhen, die Verteilung von Schadensereignissen und die Wechselwirkungen zwischen operationellen Ereignissen. Die Ergebnisse, die sich aus diesen beiden Studien ableiten lassen können, werden dann übertragen auf die im Ersten Teil entwickelte MEKAneu. Mit Hilfe der ebenfalls im Ersten Teil entwickelten Überleitungsfunktion von der MEKAneu in die MAKABasel_II wird so eine erste Grobbewertung für alle Risiko-Kategorien der MEKAneu erreicht. 1 2 3
Vgl. Beeck, H./Kaiser T.: (Quantifizierung) S. 634. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection). Vgl. Basel Committee on Banking Supervision: (Loss Data Collection 2009).
I. Schäl, Management von operationellen Risiken, DOI 10.1007/978-3-8349-6548-6_3, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
80
Zweiter Teil
Abgrenzung zu anderen Risiken O pe ra tio nel le R is i ken
K red itrisi ken
• Pro zessris iken
• A u sfallrisi ko
• Perso n enrisik en
• B on itäts ris iko
M ark tpre isri si ke n
Li quid itä tsr isike n
• Z in sän d erun gs ris iken • W äh run gs ris iken
• Sy stem risik en
• A k tien k urs ris iken
• E xt ern e Ris ike n
Kategorisierung operat. Risiken Prozessrisiken (PRO)
Personenrisiken (PER)
Systemrisiken (SYS)
Externe Risiken (EXT)
MEKAneu und Basel-II-Überleitung 4 R is i k o - O b e r k a te g o r ie n
4 R i s i k o - O b e rk a t e g o r i e n
P RO , PE R, S Y S , E X T
P R O , P E R , SY S, E X T
7 K a t e g o ri e n
• Li qu id itätsans pan n un gs ri sik en • T erm in risik en
Risiko-Kategorie Nr. t
Risiko-Kategorie Nr. u
Risiko-Kategorie Nr. v
Ereignis-Kat. t.1 Ereignis-Kat. t.2 Ereignis-Kat. t.3
Ereignis-Kat. u.1
Ereignis-Kat. v.1 Ereignis-Kat. v.2 Ereignis-Kat. v.3
I -V I I
2 0 K a te g or ie n
2 6 R i s i k o -K a t e g o r i e n
a -t
• A bru fris ik en
• R oh sto f fp reisrisi ken
a- z
f (x )
1 0 0 E r e i g n i s -K a t e g o r i e n a .1 -a . 5 , . .. , z . 1 - z .7
Ereignis-Kat. t.6
IV PER
V
8
VI
SYS
1
0,02
0 89
85
81
77
0
VII
61
1
57
2
69 73
7
3
65
III
4
53
II PRO
5
49
I
6
1
0,0
45
2,0
41
4,0
37
6,0
33
8,0
0,04
17
10,0
29
12,0
0,06
2
25
14,0
3
21
16,0
Empirische Häufigkeit der Ereignisanzahlen
18,0
Zähldichte der Poissonverteilung mit O=47
20,0
Parameterschätzer
5
Grobbewertung RisikoKategorien MEKAneu
9 13
Zweiter Teil
Mögliche Anzahl operationeller Ereignisse je Quartal
EXT
Auswahl Quantifizierungsverfahren
Quantifizierungsverfahren 0, 16
Self-Assessment, Indikatorenansatz, Verlustverteilungsansatz g, h, w, x
0, 14 0, 12 0, 10
Self-Assessment, Indikatorenansatz, Verlust verteilungsansatz a, k, o, t
0, 08 0, 06 0, 04
Self-Assessment, Verlustverteilungsansatz b, i, l, m, p, q, r,s, u
Risikoabgrenzung und Adjustierung
4 .3 5 0
+
0, 02 0, 00 1
c, y, z
2 3
4
5
6
7
8
9 1 0 11 12 13 14 1 5 1 6 1 7 18 19 20 21
Ökonomische Kapitalsteuerung
V a R 12 E r ge b n i s d e s K re d it p o rt f ol i o m o d e l ls V aR 1 o p e ra t i o ne l l e r V e rl u st
Szenarioanalyse, Extremwerttheorie
Self-Assessment, Indikatorenansatz, Verlust verteilungsansatz d, e, f, j, n, v
R isiko-K ategorien de r M IK A ne u PRO c
...
2,1
0,5
4,9
...
2,0
3,5
21,0
H an del
13,5
1,8
17,4
...
12,0
21,4
105,5
V aR 2 re i n e r K re d i t ve r lus t
P riv atk un de nge sc häft
32,9
7,3
25,0
...
24,2
52,4
256,9
F irm en ku n den ge sc häft
39,8
8,0
32,4
...
29,3
51,3
310,8
1 3 .2 0 0
Zah lu ng sverk e hr/ A b w icklun g
0,7
0,1
0,9
...
2,0
3,5
D ep o t- u nd T reuh and g esc hä fte
2,4
0,5
3,1
...
3,1
V e rm ö gen sve rw altun g
3,0
0,6
3,2
...
2,2
3,9
23,7
W ertp apierpr ov isio nsgesch äft
6,9
2,8
18,0
...
12,4
21,8
132,0
...
809,0
B asel-IIG esch äftsfeld er U ntern eh m e nsfin anzier un g
V a R 12 1 5 .0 0 0
PR O a
PRO b
EXT y
1,7
E XT z
92,1
19,6
95,4
78,0
146,3
E xem plarisc he R isiko-K ennza hlen in M io. E U R (z. B . V alue -at-R isk)
21,5 18,5
G esam tbank
tel
t uel Schadenshöhe
Schadenshäufigkeit
Schadenshäufigkeit
Risikoorientierte Steuerung
t el
Verzahnung mit der Banksteuerung
Produktionsexzellenz tuel Schadenshöhe
Abbildung 11 Methodischer Aufbau dieser Arbeit
Exzellenz im Risikomanagement
Bewertung von operationeller Risiken
81
In Kapitel B werden verschiedene Quantifizierungsverfahren für operationelle Risiken dargestellt und jeweils bezüglich der Anwendbarkeit auf die MEKAneu geprüft. Hierfür wird das zuvor vorgenommene Risk-Mapping für die Risiko-Kategorien der MEKAneu hinzugezogen. Es wird unterschieden zwischen der Bewertung betrieblicher Abläufe (Indikatorenansätze, Self-Assessment und Szenario-Analysen), Verlustverteilungsansätzen und Ansätzen der Extremwerttheorie. Im Rahmen der Verlustverteilungsansätze wird auf die Modellierung von individuellen Schadenshöhen und Eintrittsanzahlen eingegangen. Zudem wird eine Systematik der methodischen Vorgehensweisen zur Modellierung der Gesamtverlustverteilung gezeigt. Sowohl für die Verlustverteilungsansätze wie auch für die Ansätze der Extremwerttheorie werden jeweils die Tails der Verteilungen diskutiert, da operationelle Ereignisse mit niederiger Eintrittswahrscheinlichkeit aber hoher Schadenshöhe eine wichtige Rolle bei der Quantifizierung spielen. Zudem werden Ansätze zur Parameterschätzung mit Hilfe von Schadenshistorien gezeigt. Das Kapitel B endet mit einem Überblick, wie Risiken mit Hilfe von linearen Korrelationen und Copulas aggregiert werden können. Den methodischen Aufbau dieses Hauptteils verdeutlicht Abbildung 111.
A.
Herangehensweisen an die Bewertung operationeller Risiken und Risk-Mapping
Zunächst werden Anforderungen an Quantifizierungsverfahren formuliert und grundsätzliche Herangehensweisen an die Quantifizierung operationeller Risiken besprochen. Dann wird als Vorbereitung der Auswahl konkreter Quantifizierungsverfahren eine Grobbewertung der Risiko-Kategorien der MEKAneu auf der Grundlage von systematischen Datenerhebungen des Baseler Ausschusses vorgenommen.
I.
Anforderungen an Quantifizierungsverfahren im Rahmen der Gesamtbanksteuerung
1.
Integration der operationellen Risiken in die Gesamtbanksteuerung
Zur Gesamtbanksteuerung gehört eine institutsweite, einheitliche Sicht auf alle Risiken. Darauf aufbauend erfolgt die Ertragssteuerung in Relation zu den jeweils einzugehenden/eingegangen Risiken: Erträge werden ins Verhältnis zu den dazu einzugehenden Risiken gesetzt und die Performance einzelner Portfolios oder Geschäftsbereiche (Profitcenter) wird vor dem Hintergrund des hierfür notwendigen, gebundenen Eigenkapitals 1
Quelle: Eigene Darstellung.
82
Zweiter Teil
(Eigenkapitalkosten) bewertet. Gängige Performance-Kennzahlen sind der Return on Risk Adjusted Capital (RoRAC) und der Economic Value Added (EVA). In beiden Kennzahlen ist das für operationelle Risiken vorgehaltene ökonomische Eigenkapital zu berücksichtigen.1 Derzeit werden in Kreditinstituten operationelle Risken jedoch häufig nur per Überschlagskalkulation berücksichtigt. De facto mangelt es am Einsatz von sophistizierten Quantifizierungsverfahren, die für die Einbeziehung von operationellen Risiken in eine risiko- und ertragsorientierte Gesamtbanksteuerung notwendig sind. Diese Verfahren müssen anhand von Risiko-Kennzahlen mit anderen Risikoarten wie Kredit- und Marktpreisrisiken vergleichbar gemacht werden. Lüders/Schäl weisen darauf hin, dass es zu Fehlsteuerungen kommen kann, wenn operationelle Risiken nicht in die Gesamtbanksteuerung einbezogen werden: „Während etwa der Zahlungsverkehr oder die Kundenberatung im Anlagegeschäft frei von Kredit- und Marktrisiken sind, sind diese Geschäftsfelder für ein Institut trotzdem mit Risiken verbunden. Werden Überweisungen aufgrund von technischen Störungen zu spät ausgeführt oder Kunden aufgrund von Wissensdefiziten der Mitarbeiter fehlerhaft beraten, drohen Schadenersatzansprüche.“2 Daher sollten operationelle Risiken zwingend berücksichtigt werden. Zu dem Regelkreislauf der Gesamtbanksteuerung, bestehend aus Planung, Vorsteuerung und Soll-/Ist-Vergleich bzgl. aller Risiken, gehört demnach auch eine explizite Berücksichtigung der operationellen Risiken: Diese müssen geplant und ausgehend vom vorhandenen Risiodeckungspotenzial limitiert werden. Mit Hilfe von Quantifizierungsverfahren können dann ein kontinuierlicher Soll-/Ist-Vergleich bzw. ein Reporting aufgesetzt werden. Erst auf der Basis des quantifizierten operationellen Risikos können dann adäquate Steuerungsmaßnahmen eingeleitet werden.3
1
2 3
Vgl. Aichholz, S.: (Controlling operationeller Risiken) S. 278, Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 113, Faisst, U./Kovacs, M.: (Methodenvergleich Quantifizierung) S. 345, Hofmann, M.: (Operationelle Risiken in Kreditinstituten) S. 103-109, RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 87, Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 1) S. 296, S. 484-485, Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 544-582. Lüders, U./Schäl, I.: (Umsetzung eines Operational-Risk-Management) S. 33. Vgl. Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (Weissbuch) S. 65-97; Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) S. 672-673; Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 278-280.
Bewertung von operationeller Risiken
2.
83
Betriebswirtschaftliche Anforderungen
Analog zur Quantifizierung von Kredit- und Marktpreisrisiken wird auch für operationelle Risiken versucht, nicht ausschließlich auf Gesamtbankebene Risiken zu messen, sondern zusätzlich auf kleineren (Steuerungs-) Einheiten. Im Kreditrisiko-Controlling beispielsweise werden Risiko-Kennzahlen (z. B. Value-at-Risk) für verschiedene Kundengruppen (Privatkunden, Firmenkunden, etc.), Portfolios oder Geschäftsbereiche (z. B. Tochtergesellschaften, Geschäftsfelder, etc.) berechnet. Auf diese Weise werden Ansatzpunkte zur Steuerung der jeweiligen Risikoart geschaffen. Konzentrationsrisiken können somit früher erkannt und abgebaut werden. Gerade für operationelle Risiken ist die Quantifizierung auch auf der Basis kleinerer Einheiten sinnvoll, da diese Risikoart weitaus heterogener ist als beispielsweise Kreditoder Marktpreisrisiken und in jedem einzelnen Geschäftsfeld eines Kreditinstituts auftritt.1 Allein auf der Stufe 2 der MEKAneu müssen 100 Ereignis-Kategorien betrachtet werden. Im Rahmen von Basel II können unter Einhaltung der regulatorischen Mindestanforderungen interne Modelle zur Quantifizierung der regulatorischen Eigenkapitalanforderungen in den Einsatz kommen. Daher besteht im Gegensatz zum Kreditrisiko, für das unter Basel II Kreditportfoliomodelle noch nicht verwendet werden dürfen, eine gewisse Konvergenz von betriebswirtschaftlichen und regulatorischen Anforderungen an die Quantifizierung operationeller Risiken. Diese Anforderungen sollen im folgenden Kapitel diskutiert werden.
3.
Regulatorische Anforderungen für AMA Ansätze
Im Zuge der neuen regulatorischen Anforderungen gemäß Basel II gibt es erstmals explizite Unterlegungsvorschriften für operationelle Risiken. Gemäß Basel I2 bzw. dem deutschen Grundsatz 13 musste noch kein Kapital explizit für operationelle Risiken vorgehalten werden. Die Unterlegungsvorschriften gemäß Basel I sind wenig risikosensitiv. Nur implizit finden in dem Kapital, das für andere Risikoarten (z. B. für Kreditrisiken) vorzuhalten ist, operationelle Risiken Berücksichtigung.
1 2 3
Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 31, Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 504f. Vgl. Basel Committee on Banking Supervision: (Basel I). Vgl. Deutsche Bundesbank: (Grundsatz I).
84
Zweiter Teil
Durch die zunehmende Risikosensitivität, insbesondere der Eigenmittelvorschriften für Kreditrisiken gemäß Basel II, entfällt dieser Puffer, sodass die explizite Unterlegung von operationellen Risiken notwendig wird.1 Die Bankenaufsicht lässt drei verschiedene Unterlegungsansätze für operationelle Risiken zu: Den Basisindikatoransatz (s.u.), den Standardansatz (s.u.) und die Ambitionierten Messansätze (vgl. Kapitel B.II und B.III), wobei unter letzterem eine Klasse von Ansätzen zu verstehen ist.2 Während der Basisindikatoransatz und der Standardansatz im Laufe der Konsultationsphasen zu Basel II wenig verändert wurden, haben die Ambitionierten Messansätze (AMA) deutliche Änderungen im Konsultationsprozess erfahren. Das gemäß Basisindikatoransatz für operationelle Risiken vorzuhaltende (regulatorische) Eigenkapital K BIA bestimmt sich gemäß: K BIA
D N1~
¦ max[GI ;0] ; i
D 15%, N 3
i 1,..., N
~ GI i ist der Bruttoertrag (engl. Gross Income) des Jahres i . Die Zahl N bezeichnet die
Anzahl der Jahre innerhalb der letzten drei Jahre, in denen der Bruttoertrag der gesam~ ten Bank größer als null gewesen ist, daher N d 3 .3 Der Standardansatz stellt dahingehend eine geringfügige Weiterentwicklung dar, als dass der Bruttoertrag eines Jahres auf einzelne Geschäftsfelder heruntergebrochen wird und das D aus dem Basisindikatoransatz zu geschäftsfeldspezifischen Ej gewandelt wird mit 1 d j d 8 . Die acht Geschäftsfelder sind vom Regulator vorgeben (vgl. Anhang 1). Von einem Kreditinstitut ist dann GI i ursachenbezogen auf die acht Geschäftsfelder zu verteilen. Es ergibt sich GI i , j für das Geschäftsfeld j und das Jahr i , wobei
¦ GI
1d j d8
i, j
GI i für alle Jahre i. Die regulatorische Eigenkapitalanforderung ergibt sich
dann gemäß K TSA
1 N i
1 2
3
ª º max «0; ¦ E j GI i , j » ; N 1,... N ¬ 1d j d8 ¼
¦
3
Vgl. Stickelmann, K.: (Operationelles Risiko – Abgrenzung und Definition) S. 18, Lui, B.: (Operationelle Risiken und Informationstechnologie) S. 213. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 649-659, Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung) §269-293. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 649-651.
Bewertung von operationeller Risiken
85
Die Werte für E j sind aufsichtlich vorgegeben und reichen von 12% (z. B. Wertpapierprovisionsgeschäft) bis 18% (z. B. Handel) je nach Geschäftsfeld.1 Eine detailliertere Diskussion der beiden Ansätze findet sich in Potthast, D.: (Operationales Risiko) S. 1517. Unter den AMA2 wurde im 2. Konsultationspapier (01/2001) ausschließlich der Interne Bemessungsansatz (vgl. Kapitel B.I.1 ‚Indikatorenansätze’) verstanden.3 Im Baseler Working Paper von 09/2001 hingegen wird unter AMA neben dem Internen Bemessungsansatz zusätzlich der Verlustverteilungsansatz (analog Kapitel B.II) und ein Scorecard-Ansatz (vgl. Kapitel B.I.1) subsumiert.4 Es soll bereits hier ausdrücklich darauf hingewiesen werden, dass die Bankenaufsicht auch andere Ansätze neben den erwähnten zulässt.5 Im Baseler Framework (06/2006) unterbreitet die Bankenaufsicht nun überhaupt keine Vorschläge mehr, mit welchem Quantifizierungsverfahren ein AMA Ansatz dargestellt werden soll. Entsprechendes gilt für die EU-Kapitaladäquanzrichtlinie (CAD 3) und die neue, deutsche Solvabilitätsverordnung: Jedes institutsinterne Verfahren zur Messung operationeller Risiken kann von der Bankenaufsicht zur regulatorischen Eigenmittelbemessung zugelassen werden, sofern detaillierte qualitative wie quantitative Mindestanforderungen erfüllt sind.6 Dass Kreditinstitute für die Ableitung des regulatorischen Eigenkapitals für operationelle Risiken institutsinterne Verfahren verwenden dürfen, für die Ermittlung des Eigenkapitals für Kreditrisiken jedoch nicht, erstaunt zunächst. Schließlich sind die internen Modelle für Kreditrisiken in der Kreditwirtschaft deutlich weiter entwickelt und vom Datenvolumen deutlich überschaubarer und nachvollziehbarer. Die Zulassung institutsinterner Verfahren ist auch vor dem Hintergrund zu sehen, dass es noch keinen Marktstandard für die Quantifizierung operationeller Risiken gibt, und dass die Risikoexposition bei operationellen Risiken deutlich instituts- und geschäftsspezifischer ist als bei anderen Risikoarten. Welches sind nun die regulatorischen Anforderungen an Quantifizierungsverfahren für operationelle Risiken, sofern sie sich denn für die Bestimmung des regulatorischen Eigenkapitals qualifizieren sollen? Zunächst dürfen Kreditinstitute –wie dargestellt– nur
1 2 3 4 5 6
Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 652-654 Der Begriff “Ambitionierte Messansätze” taucht im 2. Konsulationspapier noch nicht auf. Vgl. Basel Committee on Banking Supervision: (2. Konsultationspapier) S. 105. Vgl. Basel Committee on Banking Supervision: (2. Konsultationspapier) S. 105, Basel Committee on Banking Supervision: (2. Konsultationspapier – Operational Risk) S. 8-12. Vgl. Basel Committee on Banking Supervision: (Working Paper Operational Risk) Annex 4. Vgl. Basel Committee on Banking Supervision: (Working Paper Operational Risk) S. 33. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) S. 163-176; Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Part 3; Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung) §278-§293.
86
Zweiter Teil
bei der Wahl eines AMA-Ansatzes ein institutsinternes Modell zur Quantifizierung operationeller Risiken verwenden. Die regulatorischen Anforderungen an die Entwicklung von Quantifizierungsverfahren beschränken sich also auf die Anforderungen an die AMA Ansätze. Es muss jedoch explizit darauf hingewiesen werden, dass alle Kreditinstitute – unabhängig von dem gewählten Eigenkapital-Unterlegungsansatz– angehalten werden, bestimmte (insbesondere qualitative) Mindestanforderungen an das Management operationeller Risiken zu erfüllen. Eine Reihe von Anforderungen sind in den ‚Sound Practices for the Management and Supervision of Operational Risk’1 niedergelegt, die teilweise in die deutschen MaRisk2 eingeflossen sind. Zudem gibt es zusätzliche, quantitative wie qualitative Mindestanforderungen an die Verwendung des Standardansatzes, dessen Quantifizierungsmethodik fest von der Bankenaufsicht vorgegeben ist. Hierzu gehören auch die Analyse relevanter, eingetretener operationeller Ereignisse sowie eine periodische Validierung der Quantifizierungsergebnisse.3 Die Mindestanforderungen an die Verwendung eines Ambitionierten Messansatzes (AMA) werden vom Baseler Ausschuss untergliedert in o Generelle Anforderungen o Qualitative Anforderungen o Quantitative Anforderungen o Risikominderung.4
Kristallisiert man hieraus die Mindestanforderungen an die Entwicklung von Quantifizierungsverfahren, so lassen sich diese in folgende vier Gruppen neu unterteilen: o Einbindung in die Gesamtbanksteuerung o Abbildung des gesamten Risikoprofils o Bewertungsgrundlagen o Statistische Modellierung.
1 2 3 4
Basel Committee on Banking Supervision: (Sound Practices). Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk). Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) S. 167-169. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) S. 169-175.
87
Bewertung von operationeller Risiken
Darüber hinaus gibt es Anforderungen an die Validierung von Quantifizierungsverfahren. Abbildung 121 gibt einen Überblick über diese vier Gruppen von Anforderungen:
Bewertungsgrundlage • Interne Verlustdaten
Gesamtbanksteuerung • Verknüpfung mit Eigenkapital-Allokation
• Externe Verlustdaten
• Schaffung von Anreizen zur Risikoreduzierung
• Szenario-Analysen • Geschäftsumfeld und interne Kontrollfaktoren
Abbildung Risikoprofil • Abbildung der MAKABasel_II
Regulatorische Anforderungen an die Entwicklung von Quantifizierungsverfahren
• Versicherungen
Statistische Modellierung • Ausweis EL und UEL
• Ausreichend feingliedrig
• einjährige Halteperiode
• Abbildung aller Risikotypen (HFLS, LFHS, usw.)
• 99,9%-Konfidenzniveau • Valide Korrelationsannahmen • Szenario-Analysen
Abbildung 12 Regulatorische Anforderungen an Quantifizierungsverfahren Im Rahmen der Gesamtbanksteuerung sollen die regulatorisch anerkannten AMA Ansätze zur Allokation von regulatorischem Eigenkapital dienen. Zusätzlich sollen sie aber auch die Verteilung von (ökonomischem) Kapital auf Geschäfsfelder und ggf. Risiko-Kategorien unterstützen. Im gleichen Zuge fordert die Bankenaufsicht die Schaffung von bankinternen Anreizmechanismen zur verbesserten Steuerung operationeller Risiken.2 Die Bankenaufsicht fordert von den Kreditinstituten die Abbildung des gesamten Risikoprofils bzgl. operationeller Risiken. So muss die in dem jeweiligen Kreditinstitut verwendete Definition operationeller Risiken mit der regulatorischen Definition (vgl.
1 2
Quelle: eigene Darstellung nach Basel Committee on Banking Supervision: (Framework) S. 163-170. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 664 und 666; Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung) §281.
88
Zweiter Teil
Kapitel A.I.2 im ersten Hauptteil) kompatibel sein. Zudem muss die verwendete MIKA inhaltlich mit der MAKABasel_II übereinstimmen, bzw. in diese überleitbar sein.1 Vom Baseler Ausschuss koordinierte, systematische Datenerhebungen von Risiko- und Verlustdaten (vgl. Kapitel A.III) haben gezeigt, dass operationelle Ereignisse mit sehr unterschiedlicher Frequenz und sehr unterschiedlichen Schadenshöhen auftreten. Häufig auftretenden Ereignissen mit niedrigen, durchschnittlichen Schadenshöhen (HFLS – High Frequency Low Severity oder MFLS – Middle Frequency Low Severity) stehen extreme Ereignisse gegenüber, die selten eintreten (LFHS – Low Frequency High Severity oder LFMS – Low Frequency Middle Severity). Auf diese Studien wird in Kapitel A.III detaillierter eingegangen. Die Bankenaufsicht fordert, dass ein Quantifizierungsverfahren ausreichend feingliedrig ist, d. h. wesentliche Risikotreiber erkennt und insbesondere auch HFLS- als auch LFHS-Ereignisse berücksichtigt.2 Als entscheidende Bewertungsgrundlage wird von der Bankenaufsicht die interne Schadensfallhistorie angesehen. Historisierte Ereignisse sollen zur Kalibrierung und Validierung von Quantifizierungsverfahren verwendet werden. Die Datenhistorie muss über fünf Jahre reichen – bei erstmaliger Anwendung eines AMA reicht eine dreijährige Historie, die dann umgehend auf fünf Jahre ausgebaut werden muss. Darüber hinaus sollen von Kreditinstituten relevante externe Daten genutzt werden, die beispielsweise über ein Datenpooling mit anderen Kreditinstituten gewonnen werden können. Externe Daten sind insbesondere dann relevant, wenn sie zusätzlichen Aufschluss über LFHSEreignisse liefern können.3 Da umfangreiche Erfahrungen mit LFHS-Ereignissen in gesunden Kreditinstituten in aller Regel fehlen, sollen diese in der Quantifizierung zusätzlich über SzenarioAnalysen bewertet werden. Diese beruhen auf i. d. R. qualitativen Einschätzungen von Experten eines Instituts (vgl. Kapitel B.I.3). Szenario-Analysen dürfen auch als Ergänzung der Schadensfalldatenbank um mögliche (als hypothetisch gekennzeichnete) Ereignisse („Szenarien“) verwendet werden.4 Ein Quantifizierungsverfahren für operationelle Risiken muss zusätzlich Art und Umfang der Geschäftstätigkeit, die Entwicklung des Geschäftsumfeldes und das interne Kontrollsystem berücksichtigen. Während sich eine Verbesserung der internen Kontrollen risikomindernd auswirken dürfte, wachsen Risiken, wenn sich Umfang und/oder Komplexität der Geschäftstätigkeit ausdehnen. Mit Hilfe von Risikoindikatoren können
1 2 3 4
Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 669 a. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 667, 669 c und 669 f. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 670 bis 674. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 675 und 676.
Bewertung von operationeller Risiken
89
das Geschäftsumfeld, die Geschäftstätigkeit bzw. die internen Kontrollfaktoren z. B. gut abgebildet werden (vgl. Kapitel B.I.1).1 Die AMA Ansätze für die regulatorische Eigenkapitalunterlegung sind die einzige Möglichkeit für Kreditinstitute, bestehende Versicherungen eigenkapitalmindernd geltend zu machen. Wie auch bei der Anerkennung von Sicherheiten bei der Unterlegung von Kreditrisiken, fordert die Bankenaufsicht auch bei Versicherungen gegen operationelle Risiken (z. B. Feuerversicherung als Versicherung gegen das Ereignis z.5 „Feuerschäden“ gemäß MEKAneu) Werthaltigkeit bzw. Durchsetzbarkeit. Für die Reduzierung der Eigenkapitalunterlegung gibt es jedoch eine Beschränkung. Selbst bei einer theoretisch vollständigen Absicherung gegen operationelle Risiken muss die Mindestunterlegung auf Gesamtbankebene bei mindestens 80% der Brutto-Eigenkapitalunterlegung (vor der Berücksichtigung von Versicherungen) liegen.2 Wie oben dargestellt schreibt die Bankenaufsicht für die Verwendung eines AMA Ansatzes kein explizites Quantifizierungsverfahren vor, d. h. Verteilungsannahmen werden nicht getroffen. Für die statistische Modellierung sind jedoch gewisse Mindestanforderungen zu erfüllen: Zunächst muss ein Kreditinstitut basierend auf einer einjährigen Halteperiode erwartete und unerwartete Verluste ausweisen können. Das impliziert nicht zwingend, dass eine komplette Verlustverteilung(skurve) dargestellt werden muss, wenngleich dies natürlich wünschenswert ist. Unerwartete Verluste müssen vergleichbar sein mit einem 99,9%Konfidenzintervall.3 Kommen verschiedene Quantifizierungsverfahren für verschiedene Risiko-Kategorien bzw. Geschäftsfelder in den Einsatz, sind die resultierenden Eigenmittel zu addieren. Dies gilt solange, bis ein Kreditinstitut nachweislich validierte Korrelationsannahmen verwendet.4 Szenario-Analysen (vgl. Kapitel B.I.3) dürfen zusätzlich zur Schätzung von Parametern einer statistischen Verlustverteilung verwendet werden.5
1 2 3 4 5
Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 676. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 677 bis 679. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 667 bis 669. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 669 d. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 675 und 676.
90
Zweiter Teil
Die vom Baseler Ausschuss formulierten Anforderungen an die Entwicklung von Quantifizierungsverfahren sind in allen wesentlichen Teilen in die EU-Kapitaladäquanzrichtlinie (CAD 3) und die neue, deutsche Solvabilitätsverordnung eingegangen.1
II.
Herangehensweisen an die Bewertung operationeller Risiken
Im Folgenden sollen einige grundsätzliche Herangehensweisen an die Quantifizierung operationeller Risiken diskutiert werden. Top-down-Verfahren werden von Bottom-upVerfahren und qualitative Verfahren von quantitativen Verfahren abgegrenzt. Die Praxis zeigt jedoch, dass diese Verfahren durchaus nebeneinander verwendet werden. So können qualitative Verfahren beispielsweise die Ergebnisse von quantitiven Verfahren weiter verfeinern.
1.
Analyseobjekte
Die Quantifizierung operationeller Risiken kann auf verschiedenen Einheiten vorgenommen werden, die hier Analyseobjekte genannt werden sollen. Diese sollten möglichst genau definiert sein (wie beispielsweise die Risiko-Kategorien der MEKAneu), disjunkt zueinander sein und in der aggregierten Betrachtung wieder die Gesamtbank darstellen (z. B. bei Geschäftsfeldern). Zudem sollten für die Quantifizierung Analyseobjekte gewählt werden, die auch steuerungsrelevant sind.2 Mögliche Analyseobjekte sind Geschäftsfelder/Geschäftsbereiche, die Risiko-/ Ereigniskategorien einer MIKA, bankbetriebliche Prozesse und die Produkte eines Kreditinstituts (vgl. Abbildung 133).4 Sie können jeweils selbst in unterschiedlichen Detaillierungsgraden dargestellt werden (z. B. unterschiedliche Ebenen einer MIKA oder Hauptund Subprozesse).
1
2 3 4
Vgl. Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Part 2, Part 3, Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung) §278-§293. Vgl. Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 93. Quelle: Eigene Darstellung; Die Analyseobjekte sind modifiziert Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 90-93 entnommen. Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 90-93.
91
Bewertung von operationeller Risiken
Geschäftsfelder/Geschäftsbereiche
Analyseobjekte
Risiko- und Ereigniskategorien einer MIKA Bankbetriebliche Prozesse Produkte
Abbildung 13 Mögliche Analyseobjekte für Quantifizierungsverfahren Die Analyseobjekte „Geschäftsfelder/Geschäftsbereiche“ und „Kategorien der MIKA“ stellen die (Mindest-) Dimensionen dar, in denen operationelle Risiken quantifiziert werden sollten. Die Objekte „Bankbetriebliche Prozesse“ und „Produkte“ stellen eine weitere Verfeinerung der Analyse operationeller Risiken dar. Die Verknüpfung von Risiken mit Prozessen und Kontrollen ist aus der Analyse von Geschäftsprozessen bekannt. Sie unterstützt eine risikoorientierte Pozessoptimierung.1 Unterschieden werden können o Operative Prozesse (z. B. Kreditvergabe) o Unterstützende Prozesse (z. B. Personalentwicklung) und o Managementprozesse (z. B. Portfoliomanagement).
“Modeling by process can be quite frustrating, as large financial institutions have several thousands processes and modeling each and every one may be almost impossible to achieve.”2 Bevor Prozesse analysiert werden, sollte daher überlegt werden, in welcher Detaillierungsebene dies vorgenommen werden soll. Häufig ist es sinnvoll, die Quantifizierung auf wenige Kernprozesse zu beschränken. Zudem zeigt sich, dass häufig nur eine kleinere Anzahl an Prozessen risikobehaftet ist, sodass diese identifiziert und schwerpunktmäßig analysiert werden sollten.3
1 2 3
Vgl. Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 32. Cruz. M. G.: (Modeling Operational Risk) S. 10. Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S. 246.
92
Zweiter Teil
Abbildung 141 zeigt exemplarisch die Darstellung eines typischen Baufinanzierungsantragsprozesses mit möglichen Schwachstellen gemäß MEKAneu.
Abbildung 14 Beispielhafte Schwachstellen im Antragsprozess Baufinanzierung In Abbildung 142 wird bereits die Verknüpfung möglicher Schwachpunkte im Baufinanzierungsprozess mit den Ereignis-Kategorien der MEKAneu dargestellt. Durch derartige Verknüpfungen werden direkte Optimierungsvorschläge generiert, wie Prozesse risikoorientiert verbessert werden können und damit effizienter werden. Solche Ver-
1 2
Quelle: modifziert nach Schäl, I.: (Operational Risk) S. 10. Quelle: modifziert nach Schäl, I.: (Operational Risk) S. 10.
Bewertung von operationeller Risiken
93
knüpfungen zwischen Prozessen und Risiko- bzw. Ereigniskategorien können im Rahmen von Self-Assessments (vgl. Kapitel B.I.2) vorgenommen werden. Operationelle Risiken können zusätzlich mit dem Analyseobjekt Produkte verknüpft werden. Auf diese Weise kann dargestellt werden, welche Produkte eines Kreditinstituts besonders risikosensitiv sind. Somit können Risikokosten auf Produktebene besser ermittelt werden.1 Häufig können Prozesse bereits produktspezifisch dargestellt werden, sodass diese Verknüpfung intuitiv ist. Im Beispiel der Abbildung 14 etwa kann der Standardprozess Baufinanzierung mit Hypothekarkrediten verknüpft werden. Welche Analyseobjekte ein Kreditinstitut letztendlich berücksichtigt, hängt wesentlich davon ob, ob eine Quantifizierung top down oder bottom up durchgeführt wird. Wie das folgende Kapitel zeigt, bestehen beide Möglichkeiten.2
2.
Top-down- vs. Bottom-up-Verfahren
Quantifizierungsverfahren können grundsätzlich unterschieden werden nach Top-downund Bottom-up-Verfahren. Beide haben einen unterschiedlichen Focus: Top-downVerfahren betrachten zunächst das Gesamtrisiko eines Kreditinstituts respektive einzelner Geschäftsfelder. Die Höhe der Risiken wird aus wenigen Controlling-Kennzahlen geschätzt, ohne diese abgesehen von einfachen Skalierungen detailliert weiter herunterbrechen zu können. Als Basis dienen beispielsweise Erträge, Kosten, das Betriebsergebnis oder der Aktienkurs. Das Gesamtrisiko wird dann in einem weiteren Schritt auf Einzelrisiken heruntergebrochen, wobei ein Herunterbrechen bis auf die Stufe 2 einer MIKA aufgrund der geringen verwendeten Datengrundlage i. d. R. nicht mehr möglich ist. Bottom-up-Verfahren hingegen orientieren sich an den detaillierten Stufen einer MIKA, also den Stufen 1 und 2. Hier werden die Ereignis-Kategorien bzw. Risiko-Kategorien einzeln bewertet und dann zu einer Gesamtrisikoziffer sukzessive aggregiert. Zudem kann eine genaue Analyse der bankbetrieblichen Prozesse und Produkte gemäß oben analysierter Analyseobjekte erfolgen. Hierfür ist es notwendig, dass die Prozess- und Produktlandschaft eines Kreditinstituts systematisch aufgenommen werden.3
1 2
3
Vgl. Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 91-93. Vgl. Deutsche Bank: (Finanzbericht 2003) S. 176; Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) S. 661-662; RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 58. Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S. 162 f, Faisst, U./Kovacs, M.: (Methodenvergleich Quantifizierung) S. 343 f. und Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) S. 659-662.
94
Zweiter Teil
Mit Hilfe von Top-down-Verfahren wurden operationelle Risiken traditionell in der Gesamtbanksteuerung berücksichtigt. Es wird eine Risikokennziffer für operationelle Risiken berechnet, die neben das quantifizierte Kredit- und Marktpreisrisiko gestellt wird, um so eine Abschätzung für das Gesamtbankrisiko zu erhalten. Beispielsweise kann die Volatilität von Kosten aus schlagend gewordenen Risiken geschätzt werden, die keine Kredit- oder Marktpreisrisiken sind. Hieraus kann dann das benötigte Eigenkapital abgeschätzt werden, wobei historisch angefallene Kosten Berücksichtigung finden sollten. Als Datengrundlage können institutsspezifische Daten oder Branchendaten verwendet werden.1 Der Vorteil von Top-down-Verfahren ist, dass sie verhältnismäßig einfach umzusetzen sind. Eine Einzelbewertung von bankbetrieblichen Prozessen und Einzelrisiken ist nicht erforderlich. Auf der anderen Seite sind Top-down-Verfahren wenig risikosensitiv. Ursache-Wirkungs-Zusammenhänge werden nur ungenügend betrachtet. Konkrete Anhaltspunkte für risikoreduzierende Maßnahmen werden nicht generiert.2 Mit Hilfe von Bottom-up-Verfahren stehen risikosensitive Verfahren zur Risikoquantifizierung zur Verfügung. Diese können Ursache-Wirkungszusammenhänge direkt darstellen. Risikoreduzierende Maßnahmen wie beispielsweise Versicherungen können zudem adäquat berücksichtigt werden. Abbildung 153 zeigt eine vergleichende Bewertung von Top-down- und Bottom-upVerfahren.
1 2 3
Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S. 162-165 und Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 39-42. Vgl. Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) S. 659-662. Eigene Darstellung nach Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) S. 659-662 und Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S.46.
95
Bewertung von operationeller Risiken
Vorteile
Nachteile
Top down
+ Detaillierte Analyse von Risiko-Kategorien, Prozessen und Produkten + Ursache-WirkungsZusammenhänge werden direkt miteinander verknüpft + Risikosensitives Verfahren, das auf hohe Akzeptanz stößt + Berücksichtigung des Kontrollapparates + Ansätze zur Risikosteuerung sind sofort ableitbar
- aufwändig - kostenintensiv
Bottom up
+ Benötigte Datenbasis ist gering und i.d.R. verfügbar + Eine Bewertung von Einzelrisiken und Prozessen ist nicht erforderlich - Ursache-WirkungsZusammenhänge werden nicht aufgezeigt - Weniger risikosensitiv - Keine Berücksichtigung des Kontrollapparates - Ansätze zur Risikosteuerung werden nicht geliefert - Keine Anreize zur Risikoreduzierung
Abbildung 15: Vergleichende Darstellung von Bewertungsverfahren Bei vordergründiger Betrachtung der Abbildung 15 scheinen die Vorteile von Bottomup-Verfahren und gleichzeitig die Nachteile von Top-down-Verfahren zu überwiegen. Eine deutliche Umsetzungshürde stellen jedoch die Nachteile der Bottom-up-Verfahren dar: Sie sind in der Umsetzung aufwändig und teuer. In der Regel basieren Bottom-upVerfahren auf Schadensfalldatenbanken, die zunächst aufgebaut werden müssen. Top-down-Verfahren sind daher für Kreditinstitute häufig Verfahren, die als Einstieg in die Quantifizierung ihrer operationellen Risiken verwendet werden, bevor (zusätzlich) Bottom-up-Verfahren in den Einsatz gebracht werden. Fortgeschrittene Anwender verwenden Top-down- und Bottom-up-Verfahren nebeneinander.1 Für die regulatorische Eigenkapitalunterlegung sieht Basel II alternativ sowohl Top-down-Verfahren (Basisindikator- und Standardansatz) sowie Bottom-up-Verfahren (ambitionierte Messansätze) vor (vgl. Kapitel B). Top-down-Ansätze lassen sich auch mit Hilfe von Bottom-up-Anpassungen weiterentwickeln. So können z. B. operationelle Risiken je Geschäftsfeld top down mit Hilfe von Kosten- oder Ertragsgrößen geschätzt werden. In einem nächsten Schritt kann dann beispielsweise der Kontrollapparat für operationelle Risiken je Geschäftsfeld bewertet werden und die zunächst ermittelten Risikogrößen je nach Güte der internen Kontrollen mit geschäftsfeldspezifischen Risikoauf– oder –abschlägen belegt werden.
1
Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S. 162 f.
96 3.
Zweiter Teil
Qualitative vs. quantitative Bewertung
Bewertungsverfahren können weiter nach quantitativen und qualitativen Verfahren unterschieden werden (vgl. Abbildung 161). Die quantitative Bewertung beruht auf Datenpunkten, die objektiv ermittelbar und vergleichbar sind. Dazu gehört im Wesentlichen die Schadensfalldatenbank, aber auch weitere Kennzahlen wie Risikoindikatoren. Quantitative Bewertungsverfahren sind vergleichsweise einfach mit etablierten Verfahren der Kredit- und Marktpreisrisikomessung verknüpfbar. Allerdings gibt es dahingehend eine gewisse Verzerrung, als dass quantiative Bewertungen für einen großen Teil auf Datenpunkten beruhen, die allesamt historisch ermittelt wurden und somit für das Risikoprofil der Vergangenheit stehen.
Qualitative Bewertung Vorteile
Nachteile
+ Transparenz über bankbetriebliche Prozesse + Fokussierung auf Risikoursachen + Ansätze zur Risikosteuerung sind sofort ableitbar + zukunftsbezogen + Schaffung eines breiten Risikobewusstseins + Erfüllung der regulatorischen Anforderung einer ständigen Risikoüberwachung - unterliegt subjektiver Bewertung - aufwändig - kostenintensiv
Quantitative Bewertung + Basiert auf institutsspezifischen Verlustdaten und/oder Kennzahlen + Objektive Bewertung + Vergleichsweise einfache Durchführung + Leichte Verknüpfbarkeit mit Quantifizierungsverfahren für Kredit- und Marktpreisrisiken - vergangenheitsbezogen - Fokussierung auf Risikowirkung - Prognosekraft für Risiken abhängig von der Güte des gewählten Modells - Hohe Rüstkosten (Aufbau Datenbanken, mathem. Know-How, etc.)
Abbildung 16: Vergleichende Darstellung von Bewertungsverfahren Qualitative Bewertungsverfahren bringen demgegenüber eine stärker zukunftsbezogene Sichtweise in die Quantifizierung und setzen sich insbesondere mit der Fragestellung auseinander, welchen latenten ein Kreditinstitut (noch) ausgesetzt ist, ohne entsprechende Ausfälle ggf. bereits erlitten zu haben. Qualitative Bewertungsverfahren orien-
1
Eigene Darstellung nach Basel Committee on Banking Supervision: (Sound Practices) Absätze 23-26, Hofmann, M.: (Operationelle Risiken in Kreditinstituten) S. 47-51, Minz, K.-A.: (Operationelle Risiken in Kreditinstituten) S. 87-99.
Bewertung von operationeller Risiken
97
tieren sich stärker an den Ursachen für Risiken und nicht an den Effekten von Ereignissen wie dies bei der Auswertung von Schadensfalldatenbanken der Fall ist. Daher sind nach Cruz1 qualitative Bewertungsverfahren keinesfalls eine Behelfslösung sondern eine wichtige Facette im Spektrum der Quantifizierungsverfahren etwa zur Bewertung des internen Kontrollsystems. Die manchmal vertretene Aussage2, dass qualitative Verfahren nur dann in den Einsatz kommen sollen, wenn keine Schadensfalldaten und damit quantiative Verfahren vorliegen, wird hier nicht geteilt.
III. Risk-Mapping von operationellen Risiken In 2002 wurde vom Baseler Ausschuss eine erste systematische Datenerhebung von Risiko- und Verlustdaten bei 89 Kreditinstituten aus 19 Ländern auf Basis der MAKABasel_II durchgeführt. Diese in 2003 veröffentlichte so genannte “Operational Risk Loss Data Collection Exercise (LDCE 2003)”3 hat institutsinterne Verlustdaten aus dem Jahr 2001 erhoben. Diese Datenerhebung ist eine große, öffentlich zugängliche Datenerhebung bzgl. operationeller Verlustdaten.4 Einzeldatensätze sind jedoch nicht frei zugänglich. Auf noch breiterer Basis steht die Folgestudie, die der Baseler Ausschuss 2009 veröffentlicht hat (LDCE 2009).5 Hier haben 119 Banken aus insgesamt 17 Ländern zugeliefert, diesmal jeweils eine komplette Schadensfallhistorie von mindestens drei Jahren. So konnten beispielsweise Folgeschäden dem ursprünglichen, auslösenden Ereignis zugeordnet werden, da eine mehrjährige Historie betrachtet wurde. Da die letzten historisierten Ereignisse aus dem März 2008 stammen, sind noch keine wesentlichen Wechselwirkungen mit der sich dann anbahnenden Finanzmarktkrise zu verzeichnen.6 Es können einige sehr interessante Aussagen aus den beiden Erhebungen LDCE 2003 und LDCE 2009 abgeleitet werden. Dies ist Gegenstand der folgenden drei Unterkapitel. Zudem werden die Ergebnisse der auf der MAKABasel_II beruhenden Datenerhebungen übertragen auf die MEKAneu: Anhand von Praxiserfahrungen und der in Kapitel B.III.3 des ersten Hauptteils entwickelten Überleitungsfunktion von der MEKAneu in die MAKABasel_II wird ein Riskmapping der Stufe-1-Risiko-Kategorien der MEKAneu vorgenommen.
1 2 3 4 5 6
Vgl. Cruz, M. G.: (Modeling) S. 31. Vgl. Faisst, U./Kovacs, M.: (Methodenvergleich Quantifizierung) S. 346. Basel Committee on Banking Supervision: (Loss Data Collection). Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 1-3. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection 2009). Vgl. Basel Committee on Banking Supervision: (Loss Data Collection 2009) S. 1-4.
98
Zweiter Teil
Obwohl insgesamt 47.269 Verlustereignisse in der LDCE 2003 dokumentiert wurden, müssen die Ergebnisse dieser Studie mit Vorsicht interpretiert werden. Dafür sprechen folgende Gründe: o Verfahren zur Verlustdatenerhebung befinden sich noch im Aufbau und sind in Kreditinstituten unterschiedlich weit entwickelt. Daher ist die erhobene Datenmenge in einigen Geschäftsfeldern und/oder RisikoKategorien möglicherweise noch unterrepräsentiert. Von den 89 teilnehmenden Instituten geben zwar 32 Institute an, dass ihre Verlustdaten umfassend1 aufbereitet sind, 46 Institute –also mehr als die Hälfte– konstatieren jedoch, dass die übermittelte Schadenshistorie für 2001 lückenhaft sei. o Die Verlustdatenerfassung über ein Kalenderjahr entspricht eher einer Momentaufnahme. Folgeschäden, die erst nach 2001 auftraten, deren auslösendes Ereignis jedoch in 2001 registriert wurden, konnten nicht berücksichtigt werden. o Insbesondere für die Sammlung von Erfahrungswerten bei Extremverlusten ist eine einjährige Datenerhebung zu knapp. Das gilt auch dann, wenn wie in dieser Studie ein Extremverlust (11. September 2001) in die Beobachtungsperiode fällt.2
Diese genannten Einschränkungen bzgl. der Aussagekraft wurden mit der LDCE 2009 ein Stück weit aufgehoben. Hier wurden vergleichsweise lückenlose Datenhistorien erhoben. Die teilnehmenden Kreditinstitute waren in der LDCE 2003 angehalten, sämtliche Schadensereignisse ab einer Mindestschadenshöhe von 10 TEUR zu erheben. Zum Vergleich: Typischerweise wird bei Kreditinstituten –in Abhängigkeit von der Institutsgröße und den Tätigkeitsschwerpunkten– eine interne Schadensfalldatenbank mit Schadensfällen ab einer Bagatellgrenze von ca. 500 bis 2.000 EUR befüllt.3 Diese Mindestgrenze von 10 TEUR ließ sich in der LDCE 2009 nicht einheitlich durchhalten, sodass hier eine Untergrenze von 20 TEUR eingeführt werden musste.4 Gerade für die Analyse von HFLS-Risiken ist es daher unbedingt sinnvoll, sich auch intensiver mit der (älteren) LDCE 2003 auseinanderzusetzen.
1 2 3 4
Ab der in der 2003 LDCE festgelegten Mindestschadenshöhe von TEUR 10. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 1-6. Die Praxiserfahrungen des Autors zeigen, dass häufig eine Bagatellgrenze von EUR 1.000 verwendet wird; vgl. auch Beekmann, F./Stemper, P.: (Quantifizierung operationeller Risiken) S. 86. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection 2009) S. 9-10.
Bewertung von operationeller Risiken
99
In der LDCE 2003 konnten nicht alle der 89 teilnehmenden Kreditinstitute eine systematische Umsetzung einer Schadensfallerfassung ab einer Mindestschadenshöhe von 10 TEUR umsetzen. 14 Kreditinstitute verwendeten eine höhere Mindestschadenshöhe, andere Kreditinstitute auch eine Mindestschadenshöhe unter 10 TEUR. Um Verzerrungen bei den folgenden Analysen bzgl. der Schadenshöhen- und Schadenshäufigkeitsverteilung zu vermeiden, wurden die 14 Kreditinstitute mit den Mindestschadenshöhen über 10 TEUR hier aus der Untersuchung ausgeschlossen. Ausgeschlossen wurden weitere 12 Kreditinstitute, die ihre Schadensereignisse nicht den 8 Baseler Geschäftsfeldern (vgl. Anhang 1) zugeordnet hatten. Von den verbleibenden 63 Instituten der LDCE 2003, die allesamt eine Mindestschadenshöhe von 10 TEUR (oder weniger) verwendeten, wurden einheitlich nur Schadensfälle ab einer Schadenshöhe von 10 TEUR berücksichtigt.1
1.
Grobbewertung der Kategorien der MAKABasel_II gemäß LDCE 2009 und Anhaltspunkte für die statistische Modellierung
Zunächst soll die Verteilung der Verlusthöhen und Ereignishäufigkeiten entlang der sieben Stufe-1A-Kategorien der MAKABasel_II und der acht Baseler Geschäftsfelder untersucht werden. Kategorien der Stufe 0 PRO Prozessrisiken PER
Personenrisiken
SYS EXT
Systemrisiken Externe Risiken
Tabelle 10:
Kategorien der Stufe 1A I Kunden, Produkte & Geschäftsgepflogenheiten II Abwicklung, Vertrieb und Prozessmanagement III Interner Betrug IV Beschäftigungspraxis und Arbeitsplatzsicherheit V Geschäftsunterbrechungen und Systemausfälle VI Externer Betrug VII Sachschäden
Stufe-1A-Kategorien der MAKABasel_II, ergänzt um die Stufe 0
Tabelle 10 gibt nochmals einen Überblick über die sieben Stufe-1A-Kategorien der MAKABasel_II . Die zugehörigen Definitionen finden sich Tabelle 2 im ersten Hauptteil der Arbeit. Tabelle 11 zeigt die acht Baseler Geschäftsfelder, deren Abgrenzungen zueinander im Anhang 1 zu finden sind. Die folgenden Statistiken zeigen Auswertungen für die 7x8-Matrix mit den Dimensionen Stufe-1A-Kategorien und Geschäftsfelder.
1
Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 3-10. Tatsächlich stellt sich heraus, dass die folgenden Analysen durchgeführt auf der Basis der reduzierten Anzahl von 63 Instituten von den Werten und daraus folgenden Aussagen wenig von den Analysen auf der Basis aller 89 Institute abweicht.
100 Nr. 1 2 3 4 5 6 7 8
Zweiter Teil
Ebene 1 Unternehmensfinanzierung/-beratung (Corporate Finance) Handel (Trading & Sales) Privatkundengeschäft (Retail Banking) Firmenkundengeschäft (Commercial Banking) Zahlungsverkehr und Abwicklung (Payment & Settlement) Depot- und Treuhandgeschäfte (Agency Services) Vermögensverwaltung (Asset Management) Wertpapierprovisionsgeschäft (Retail Brokerage)
Tabelle 11:
Baseler Geschäftsfelder (Ebene 1)
Zunächst wird die prozentuale Verteilung des betrachteten Gesamtschadens über der 7x8-Matrix auf der Grundlage der LDCE 2003 analysiert. Die hier betrachteten 63 Banken haben in 2001 insgesamt 36.717 Schadensereignisse historisiert, für die sowohl der Ort des Auftretens (Geschäftsfeld gemäß Basel II) als auch die betroffene RisikoKategorie (Stufe-1A-Kategorien der MAKABasel_II) bekannt gewesen sind. Diese 36.717 Schadensereignisse aggregieren sich zu einer Gesamtschadenshöhe von 5,8 Mrd. EUR, deren prozentuale Verteilung über die einzelnen Matrixfelder in der Abbildung 171 dargestellt wird.
1
Eigene Darstellung. Datenquelle: Basel Committee on Banking Supervision: (Loss Data Collection) S. 12. Analysiert wurden 63 Banken, die für 2001 ihre Schadensereignisse ausgewertet haben. Alle 63 Banken haben jeweils Schadensfälle ab 10.000 EUR erhoben. Ereignisse mit einem Schaden kleiner 10.000 EUR wurden in dieser Auswertung nicht berücksichtigt. Für diese Abbildung wurden 36.717 Datensätze selektiert, die sowohl über die Information „Geschäftsfeld gemäß Anhang 1“, als auch über die Information „Stufe-1A-Kategorie der MAKABasel_II“ verfügen.
101
Bewertung von operationeller Risiken
Jahr: 2001; 63 Banken
Prozentualer Anteil an der Gesamtschadenshöhe
20,0 18,0 16,0 14,0 12,0 10,0 8,0 6,0 4,0 2,0 0,0 I
II PRO
III
IV PER
V
VI
SYS
Stufe-1A-Kategorien der MAKABasel_II
8 VII
EXT
7
6
5
4
3
2
1 Geschäftsfelder 1-Unternehmensfinanzierung 2-Handel 3-Privatkundengeschäft 4-Firmenkundengeschäft 5-Zahlungsverkehr/Abwicklung 6-Depot- u. Treuhandgeschäfte 7-Vermögensverwaltung 8-Wertpapierprovisionsgeschäft
Abbildung 17: Prozentualer Anteil der Geschäftsfelder und Stufe-1A-Kategorien der MAKABasel_II an der Gesamtschadenshöhe In der Betrachtung der Schadenshöhen gibt es eine Reihe von Unterschieden im Vergleich zur LDCE 2009. Hier standen insgesamt 10 Millionen Datensätze zur Verfügung mit einem Gesamtschadensvolumen von 59,6 Milliarden Euro. Hieraus wurde vom Basel Committee eine Teilmenge zur Verfügung gestellt, die je Institut diejenigen (zusammenhängenden) Zeitperioden herausfiltert, in der die Anzahl der Schadensfälle vergleichsweise über die Perioden konstant gewesen ist. So konnten gewisse Anlaufphasen in der Schadensfallerhebung herausgefiltert werden, in denen Kreditinstitute typischerweise eine hohe Volatitlität in der Ereignis-Häufigkeit aufweisen, weil erst gewisse Lernprozesse durchlaufen werden müssen.1
1
Vgl. Basel Committee on Banking Supervision: (Loss Data Collection 2009) S. 9-11. In den folgenden Auswertungen zur 2009 LDCE wurden Datensätze entfernt, in denen Ereignisse entweder keinem Geschäftsfeld oder keiner Stufe-1A-Kategorien der MAKABasel_II zugeordnet werden konnten.
102
Zweiter Teil
Jahr: 2008; 119 Banken
Prozentualer Anteil an der Gesamtschadenshöhe
30,0 25,0 20,0 15,0 10,0 5,0 0,0 I
II
PRO
III
IV
PER
V
VI
SYS
Stufe-1A-Kategorien der MAKABasel_II
8 VII
EXT
7
6
5
4
3
2
1
Geschäftsfelder 1-Unternehmensfinanzierung 2-Handel 3-Privatkundengeschäft 4-Firmenkundengeschäft 5-Zahlungsverkehr/Abwicklung 6-Depot- u. Treuhandgeschäfte 7-Vermögensverwaltung 8-Wertpapierprovisionsgeschäft
Abbildung 18: Prozentualer Anteil der Geschäftsfelder und Stufe-1A-Kategorien der MAKABasel_II an der Gesamtschadenshöhe Aus den Abbildungen 17 (LDCE 2003) und 18 (LDCE 2009) lassen sich folgende Kernaussagen ableiten: Aussage 1 Im Geschäftsfeld Privatkundengeschäft entsteht mit 34% (LDCE 2009) der größte Teil am Gesamtschadens. In der LDCE 2009 folgt an zweiter Stelle Unternehmensfinanzierung/-beratung mit 30%, wo seit 2001 eine Reihe von größeren Verlusten zu verzeichnen war. In der LDCE 2003 hatte das Geschäftsfeld Firmenkundengeschäft den größten Anteil (35%). Aussage 2 Prozessrisiken, unter denen in dieser Arbeit die Risiko-Kategorien I und II subsumiert werden, haben als einzige Stufe-0-Kategorie eine hohe Relevanz für sämtliche Geschäftsfelder. Diese Aussage hat sich in der LDCE 2009 mehr als bestätigt. Während in der LDCE 2003 die Risiko-Kategorien I und II 41% des Gesamtschadens ausmachten, waren es in der LDCE 2009 sogar 79%. Aussage 3 Schäden in der Kategorie ‚Kunden, Produkte & Geschäftsgepflogenheiten’ (Risiko-Kategorie I) treten am häufigsten auf (LDCE 2009: 54%) und dies insbesondere im Geschäftsfeld Unternehmensfinanzierung/-beratung (LDCE 2009: 28%) sowie im Geschäftsfeld Privatkundengeschäft (LDCE 2009: 14%).
Bewertung von operationeller Risiken
103
Aussage 4 Externer Betrug (Risiko-Kategorie VI) erzeugt die höchsten Schäden im Privatkundengeschäft (7 % von der Gesamtschadenshöhe). Aussage 5 Der Anteil der Sachschäden (Risiko-Kategorie VII) ist im Vergleich zur LDCE 2003 (29%) auf 1% zurückgegangen. Neben qualitativ besseren Datenerhebungsprozessen in den Kreditinstituten ist hier als weitere Erklärung die Verzerrung der LDCE 2003 durch die Folgen des 11. September 2001 anzuführen. Aussage 6 Systemrisiken (SYS) spielen mit 1 % am Gesamtschaden eine eher untergeordnete Rolle.1 Aussage 7 Nicht alle Ereignis-Kategorien verursachen in allen Geschäftsfeldern signifikante Schäden. In Abbildung 18 (LDCE 2009) sind für 322 von 56 Matrixfeldern (Stufe-1A-Kategorien der MAKABasel_II und Geschäftsfelder) der prozentuale Anteil an der Gesamtschadenshöhe auf 0 % gerundet3 worden. Den Verlusthöhen werden im nächsten Schritt die Ereignishäufigkeiten gegenübergestellt. Die Darstellung der Abbildung 194, in der die Verteilung der Schadensereignisse über der 7x8-Matrix abgetragen ist, beruht auf denselben Datensätzen wie die Abbildung 18 (LDCE 2009):
1 2 3 4
Übereinstimmend in der 2003 LDCE und in der 2009 LDCE. Diese 32 Matrixfelder sind I 5; III 1,5-7; IV 1,2,4-8; V 1,2,4-8; V 1,2,4-8; VI 1,2,5-8; VII 1-5,7,8; Bezeichnungen wie in Abbildung 18. Der Anteil am Gesamtschaden liegt also unter 0,05 %. Eigene Darstellung. Datenquelle: Basel Committee on Banking Supervision: (Loss Data Collection 2009) Annex E S. 6. Analysiert wurden Schadensfälle ab einer Schadenshöhe von TEUR 20. Für diese Abbildung wurden nur Datensätze selektiert, die sowohl über die Information „Geschäftsfeld (Ebene 1)“, als auch über die Information „Stufe-1A-Kategorie der MAKABasel_II“ verfügen.
104
Zweiter Teil
Jahr: 2008; 119 Banken
Prozentualer Anteil an der Anzahl der Schadensereignisse
25%
20%
15%
10%
5%
0% I
II
PRO
III
IV
PER
V
VI
SYS
Stufe-1A-Kategorien der MAKABasel_II
8 VII
EXT
7
6
5
4
3
2
1
Geschäftsfelder 1-Unternehmensfinanzierung 2-Handel 3-Privatkundengeschäft 4-Firmenkundengeschäft 5-Zahlungsverkehr/Abwicklung 6-Depot- u. Treuhandgeschäfte 7-Vermögensverwaltung 8-Wertpapierprovisionsgeschäft
Abbildung 19: Prozentualer Anteil der Geschäftsfelder und Stufe-1-A-Kategorien der MAKABasel_II an der Anzahl der Schadensereignisse Die Auswertung auf dem Datensample von der LDCE 2003 fällt sehr ähnlich aus. Sie findet sich im Anhang 2. Aus Abbildung 19 (LDCE 2009) lassen sich folgende Kernaussagen ableiten: Aussage 8 72% aller Ereignisse sind im Geschäft mit Privatkunden aufgetreten, nämlich im Privatkundengeschäft (61%) und im Wertpapierprovisionsgeschäft (11%).1 Aussage 9 Prozessrisiken (I und II) haben auch bei Betrachtung der Ereignisanzahlen als einzige Stufe-0-Kategorie eine hohe Relevanz für alle Geschäftsfelder. Am häufigsten treten Prozessrisiken im Privatkundengeschäft (21 % der Gesamtereignisse), im Wertpapierprovisionsgeschäft (10%) und im Handel (9 %) auf. Das Management operationeller Risiken ist daher eng verbunden mit dem Management bankinterner Prozesse.
1
Vgl. Basel Committee on Banking Supervision: (Loss Data Collection 2009) S. 11-12.
Bewertung von operationeller Risiken
105
Aussage 10 Ganz besonders sticht ein Matrixfeld in Abbildung 19 hervor: Externer Betrug im Privatkundengeschäft. 24 % aller Schadensfälle sind hier beobachtet worden, in der LDCE 2003 waren es sogar 39%.1 Zudem soll noch eine Aussage zu in Abbildung 19 ausgeschlossenen Datensätzen getroffen werden: Aussage 11 Die Stufe-1A-Kategorien der MAKABasel_II IV „Beschäftigungspraxis und Arbeitsplatzsicherheit“ sowie VII „Sachschäden“ lassen sich in der Praxis schwer konkreten Geschäftsfeldern zuordnen.2 Von den Ereignissen, die IV zuzurechnen sind, wurden für die Abbildung 19 36% ausgeschlossen, da sie keinem Geschäftsfeld direkt zugeordnet werden konnten, für VII waren es 16%. In Hinblick auf die Quantifizierung operationeller Risiken sollen nun die Aussagen, die aus den Abbildungen 17 bis 19 resultieren, weiter interpretiert werden: Die vorangegangenen Auswertungen haben gezeigt, dass Schadenshöhen und Schadenshäufigkeiten zum Teil deutlich bei verschiedenen Matrixfeldern variieren. Aussage 12 Operationelle Schadensereignisse sind keine homogenen stochastischen Größen. Je nach Risiko-Kategorie und Geschäftsfeld treten sie z. T. mit deutlich unterschiedlichen Schadenshöhen und Ereignishäufigkeiten auf. Aussage 13 Während im Privatkundengeschäft sehr viele Schadensereignisse mit vergleichsweise kleinen Schadenshöhen auftreten, ist das Firmenkundengeschäft gekennzeichnet von deutlich weniger Schadensereignissen mit deutlich höheren Schäden.3 Die durchschnittliche Schadenshöhe im Firmenkundengeschäft abgeleitet aus der LDCE 2003 beträgt 804 TEUR4, der durchschnittliche Anteil an den Schadensereignissen 6,8 %. Im Privatkundengeschäft beträgt die durchschnittliche Schadenshöhe nur 71
1 2 3 4
Vgl. Basel Committee on Banking Supervision: (Loss Data Collection 2009) S. 11-12. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection 2009) S. 11-12. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 8. Untersuchter Gesamtschaden: 5.778 Mio. EUR; davon Anteil Firmenkundengeschäft: 34,9 %; Anzahl der im Firmenkundengeschäft aufgetretenen Schadensereignisse: 2509. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 11 f.
106
Zweiter Teil
TEUR1, während der durchschnittliche Anteil an den Schadensereignissen bei 64,0 % liegt. An dieser Stelle sei nochmals darauf hingewiesen, dass es sich bei den aus der LDCE 2003 selektierten Datensätzen um Schadensereignisse mit einem aufgetretenen Mindestschaden von 10 TEUR handelt. Der durchschnittliche Schaden über alle aufgetretenen Schadensereignisse dürfte daher deutlich niedriger liegen. Da in der LDCE 2009 Daten mit einer sogar doppelt so hohen Mindestschadenshöhe (Bagatellgrenze) von EUR 20 erhoben wurden, wird für die folgenden Auswertungen auf die LDCE 2003 zurückgegriffen, um auch kleinere Schadensfälle für die statistische Modellierung betrachten zu können. Dieser Ansatz wird nochmals bestärkt durch die folgenden Abbildung 20, aus der ersichtlich wird, dass der Großteil der Schadensereignisse eine Schadenshöhe von kleiner 50 TEUR aufweist. Die unterschiedlichen Charakteristika von Schadensereignissen im Firmen- und Privatkundengeschäft lassen sich nachvollziehen. Während das Privatkundengeschäft –und hier insbesondere das Massengeschäft– von kleinen Volumina geprägt ist, überwiegen im Firmenkundengeschäft deutlich höhere Einzelvolumina. Prozesse werden daher im Privatkundengeschäft aufgrund der hohen Stückzahl deutlich häufiger durchlaufen und demzufolge treten in der Summe auch deutlich häufiger Fehler in der Prozesskette auf. Operationelle Ereignisse haben im Privatkundengeschäft aber eine deutlich geringere Auswirkung als im Firmenkundengeschäft, in dem hohe Volumina größere Schadenshöhen implizieren. In diesem Zusammenhang soll untersucht werden, mit welchen Schadenshöhen operationelle Ereignisse verbunden sein können. Abbildung 202 zeigt die Häufigkeitsverteilung von operationellen Ereignissen über sechs Bruttoverlustkategorien ohne Berücksichtigung von Versicherungsleistungen. Die Kleinste umfasst Schadensfälle von 10-50 TEUR und die Größte Schadensfälle über 10 Mio. EUR. Schadensereignisse unter 10 TEUR konnten in der LDCE 2003 nicht festgestellt werden, da die Mindestschadenshöhe für eingemeldete Schadensereignisse auf 10 TEUR festgelegt wurde.
1
2
Untersuchter Gesamtschaden: 5.778 Mio. EUR; davon Anteil Privatkundengeschäft: 28,9 %; Anzahl der im Privatkundengeschäft aufgetretenen Schadensereignisse: 23.503. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 11 f. Eigene Darstellung. Datenquelle: Basel Committee on Banking Supervision: (Loss Data Collection) S. 10. Analysiert wurden 63 Banken, die für 2001 ihre Schadensereignisse ausgewertet haben. Alle 63 Banken haben jeweils Schadensfälle ab 10.000 EUR erhoben. Ereignisse mit einem Schaden kleiner 10.000 EUR werden in dieser Auswertung nicht berücksichtigt.
107
Bewertung von operationeller Risiken
niedrig
mittel
hoch
Anzahl beobachteter Ereignisse
35.000 30.000 25.000 20.000 15.000 10.000 5.000 0
10-50
50-100
100-500
500-1.000
Anzahl
29.355
3.611
3.057
417
417
65
entspricht
79,5%
9,8%
8,3%
1,1%
1,1%
0,2%
Jahr: 2001 63 Banken 36.922 Datensätze Gesamtschaden: 5,84 Mrd. EUR
1.000-10.000 über 10.000
Bruttoverlustkategorien in TEUR
Abbildung 20: Empirische Häufigkeiten verschiedener Bruttoverluste Auch berücksichtigend, dass die Intervalle der Bruttoverlustkategorien in Abbildung 20 hin zu den Extremverlusten größer werden, lässt sich bereits folgende Aussage ableiten: Aussage 14 Die Häufigkeitsverteilung operationeller Risiken ist rechtsschief. 29.355 der untersuchten 36.922 Schadensereignisse der LDCE 2003 liegen zwischen 10 TEUR und 50 TEUR. Es ist davon auszugehen, dass Schadensereignisse mit Abstand am häufigsten eine Schadenshöhe unter 10 TEUR nach sich ziehen. Diese wurden jedoch im Rahmen der LDCE 2003 vernachlässigt. Jeweils knapp 10 % der Schadensereignisse liegen in den Bruttoverlustkategorien 50100 TEUR sowie 100-500 TEUR. Eine Reihe von Schadensereignissen werden jenseits einer halben Millionen EUR Bruttoverlust beobachtet. Bei den 65 beobachteten Schadensereignissen mit einer Schadenshöhe über 10 Mio. EUR kann bereits in Abhängigkeit von der Größe des Kreditinstituts von existenzbedrohenden Schadensereignissen gesprochen werden. Die Herausforderung der Quantifizierung von operationellen Risiken liegt in der hohen Anzahl und Heterogenität der Einzelrisiken. Zusätzliche Herausforderungen bestehen in
108
Zweiter Teil
der Abbildung der rechtsschiefen Verlusthäufigkeitsverteilung und in der Modellierung der so genannten „fat tails“, also der Abbildung der Wahrscheinlichkeiten von Extremverlusten.
2.
Riskmapping der Risiko-Kategorien der MEKAneu
Um die heterogene Struktur von operationellen Risken noch detaillierter darzustellen, sollen im Folgenden die Schadenshöhen und Ereignishäufigkeiten aller 20 Stufe-1Kategorien der MAKABasel_II dargestellt werden. Auch hierfür soll auf Datensätze der LDCE 2003 zurückgegriffen werden, um auch kleinere Schadensfälle unter 20 TEUR zu inkludieren. Gleichzeitig enhalten sie mit dem 11. September 2001 ein LFHSEreignis. Nicht alle der 63 an der LDCE 2003 teilnehmenden Kreditinstitute haben sämtliche ihrer historisierten Schadensereignisse in dieser Detaillierungstiefe beschrieben. Für nur 32.754 der 36.717 in den vorherigen Kapiteln untersuchten Datensätze liegt eine Kategorisierung gemäß Kategorisierungsstufe 1 vor. Dies entspricht einem beobachteten Gesamtschaden von 5,1 Mrd. EUR (statt 5,8 Mrd. EUR).1 Abbildung 212 zeigt die durchschnittlichen Schadenshöhen und Ereignishäufigkeiten der Stufe-1-Kategorien der MAKABasel_II. Für diese Abbildung wird die durchschnittliche Schadenshäufigkeit als Prozentzahl der beobachteten Ereignisse an der betrachteten Gesamtereignisanzahl (32.754) dargestellt. Die durchschnittliche Schadenshöhe wird hier errechnet aus dem Quotient vom beobachteten Gesamtschaden und der beobachteten Schadensanzahl jeweils bezogen auf die jeweilige Stufe-1-Kategorie. Zur Berechnung der durchschnittlichen Schadenshöhe sei angemerkt, dass hier nur Schadensereignisse mit einem eingetretenen Schaden über 10 TEUR betrachtet werden. Demzufolge liegt die errechnete, durchschnittliche Schadenshöhe auch deutlich über 10 TEUR. Würden alle Schadensereignisse unabhängig von dem Schwellenwert 10 TEUR berücksichtigt, würde sich die durchschnittliche Schadenshöhe deutlich geringer darstellen.
1 2
Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 13 sowie die Statistiken der letzten Unterkapitel. Eigene Darstellung. Datenquelle: Basel Committee on Banking Supervision: (Loss Data Collection) S. 11-13. Analysiert wurden 63 Banken, die für 2001 ihre Schadensereignisse ausgewertet haben. Alle 63 Banken haben jeweils Schadensfälle ab 10.000 EUR erhoben. Ereignisse mit einem Schaden kleiner 10.000 EUR wurden in dieser Auswertung nicht berücksichtigt. Für diese Abbildung wurden 32.754 Datensätze selektiert, die sowohl über die Information „Schadenshöhe“, als auch über die Information „Stufe-1-Kategorie der MAKABasel_II“ verfügten.
109
Bewertung von operationeller Risiken
60%
Häufigkeiten der Schadensereignisse in Prozent der Gesamtschadensanzahl
50%
VI.r Diebstahl und Betrug
40% 30% II.f Erfassung, Abwicklung & Betreuung von Transaktionen
20% 10%
VII.t Katastrophen und andere Ereignisse 0% 0
1.000
2.000
3.000
4.000
5.000
6.000
7.000
10% 8% 6% IV.n Ereignisse in Verbindung mit Arbeitnehmern 4% 2%
0% Jahr: 2001 0 63 Banken 32.754 Datensätze Gesamtschaden: 5,10 Mrd. EUR
III.l Unbefugte Handlungen 250
500
750
1.000
Durchschnittliche Höhe der Schäden über 10 TEUR (Angaben in TEUR)
Abbildung 21: Riskmapping der Stufe-1-Kategorien der MAKABasel_II Abbildung 21 zeigt deutliche Extremwerte: Aussage 15 Das mit Abstand häufigste Schadensereignis (49 %) stellt das Ereignis VI.r „Diebstahl und Betrug“ dar. Hierbei handelt es sich um ein externes Risiko. Aussage 16 Weitere 25 % entfallen auf II.f „Erfassung, Abwicklung & Betreuung von Transaktionen“, ein Prozessrisiko.
110
Zweiter Teil
Bei VI.r und II.f handelt es sich um die häufigsten Schadensereignisse eines Kreditinstituts, die jedoch eine verhältnismäßig geringe Schadenshöhe nach sich ziehen (54 TEUR bzw. 156 TEUR). Ein Extremwert bzgl. der Schadenshöhe stellt die Risiko-Kategorie VII.t dar: Aussage 17 Die weitaus größten Schadenshöhen ziehen Ereignisse der Risiko-Kategorie VII.t „Katastrophen und andere Ereignisse“ nach sich. Hier liegt die durchschnittliche Schadenshöhe bei 5,9 Mio. EUR. Es überrascht nicht, dass ausgerechnet Katastrophen die größten Schadenshöhen nach sich ziehen. Sie treten jedoch sehr selten ein (1 % aller beobachteten Schadensereignisse über 10 TEUR). Die übrigen Risiko-Kategorien sind in Abbildung 21 dicht beieinander gruppiert. Eine Ausschnittsvergrößerung (vgl. Abbildung 21 unten) setzt die einzelnen Datensätze besser voneinander ab. Die Ereignisse der anderen Risiko-Kategorien haben eine durchschnittliche Häufigkeit von 5 % (IV.n Ereignisse in Verbindung mit Arbeitnehmern) oder darunter bzw. eine durchschnittliche Schadenshöhe von 558 TEUR (III.l Unbefugte Handlungen) oder darunter. In Tabelle 12 werden die Stufe-1-Kategorien der MAKABasel_II in gleichartigen Gruppen dargestellt: Häufigkeiten Durchschnittliche Höhe der Schäden über 10 TEUR (in TEUR) Schadens10-50 50-100 100-500 500-1.000 über 1.000 ereignisse1 VI.r II.f über 10% 2%-10% II.i; IV.o I.a; I.b; III.m; IV.n 0%-2% I.e; II.h; I.c; I.d; II.g; III.l VII.t IV.p II.j; II.k; V.q; VI.s
Tabelle 12
Riskmapping der Stufe-1-Kategorien der MAKABasel_II
Deutlich abgegrenzt sind die Extremwerte von II.f und VI.r (hohe Häufigkeiten) und VII.t und III.l (hohe Schadenshöhe). Die anderen Risiko-Kategorien befinden sich in Feldern mit niedrigeren Häufigkeiten und Schadenshöhen.
1
in Prozent der Gesamtschadensanzahl.
Bewertung von operationeller Risiken
111
Sieben Felder sind in Tabelle 12 leer geblieben: Zum einen sind dies Risiko-Kategorien mit einer durchschnittlichen Schadenshöhe von unter 50.000 EUR. Das bedeutet nicht, dass diese nicht existieren. Vielmehr ist hier zu berücksichtigen, dass hier Durchschnitte von Schadenshöhen betrachtet werden, die jeweils über einer Mindestschadenshöhe von 10.000 EUR liegen. Würden Ereignisse mit aufgenommen, die Schadenshöhen von unter 10.000 EUR nach sich zögen, dürften deutlich mehr Ereignisse ermittelbar sein, die den durchschnittlichen Schaden deutlich nach unten ziehen würden. Die LDCE 2003 hat keine Risiko-Kategorien identifiziert, die über 2 % der untersuchten Ereignisse ausmachten und die gleichzeitig eine durchschnittliche Schadenshöhe von über 500.000 EUR nach sich zogen. Gäbe es sie, würde dies möglicherweise eine Existenzbedrohung für ein Kreditinstitut bedeuten. Mit der Zielsetzung, für verschiedene Risiko-Kategorien der MIKAneu geeignete Quantifizierungsverfahren und Steuerungsmethoden zu finden, bietet es sich an, auch die Risiko-Kategorien der MEKAneu in gleichartigen Kategorien zu gruppieren. Hierfür wird hier die Darstellungsweise über eine Riskmap gewählt. Die Abbildungen 21 bzw. die Tabelle 12 bilden bereits Beispiele für eine Riskmap. Unter einer Riskmap wird bei der Darstellung operationeller Risiken typischerweise eine Darstellung in zwei Dimensionen verstanden: Die eine Dimension ist die mögliche Schadenshöhe und die andere die entsprechende Eintrittswahrscheinlichkeit. Die Skalierungen können unterschiedlich gewählt sein: kontinuierlich oder mit vorgegebenen Intervallen.1 Bevor in einer Riskmap Eintragungen vorgenommen werden, muss klar definiert sein, welche Arten von Risiken dargestellt werden sollen. Häufig bewegt man sich bei der Verwendung von Riskmaps auf der Ebene von erwarteten Verlusten. In diesem Fall werden erwartete bzw. durchschnittliche Schadenshöhen angegeben und dazugehörige erwartete bzw. durchschnittliche Eintrittswahrscheinlichkeiten von operationellen Ereignissen. Es ist auch möglich, Extremschäden bzw. maximale Schäden darzustellen. Die Eintrittswahrscheinlichkeiten der zugehörigen Ereignisse müssen dann hierzu konsistent sein. Die Achsenbeschriftungen werden in der Fachliteratur nicht konsistent verwendet. Im Folgenden soll auf der x-Achse die Schadenshöhe und auf der y-Achse die zugehörige Eintrittswahrscheinlichkeit dargestellt werden. Dies entspricht auch der mathematischen
1
Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 25.
112
Zweiter Teil
Darstellung von Häufigkeitsverteilungen. In der Literatur werden die Achsen gelegentlich auch anders herum beschriftet.1 Mit Hilfe von Riskmaps bekommt man einen schnellen und intuitiven Überblick über die dargestellten operationellen Risiken. Einzelrisiken lassen sich dann gut in Beziehung zueinander setzen und risikoreduzierende Maßnahmen können dann entsprechend priorisiert werden. Es handelt sich jedoch um eine reduzierte Darstellung. Verteilungen von Schadenshöhen und Häufigkeiten von operationellen Ereignissen werden zunächst nicht betrachtet.2 In dieser Arbeit sollen folgende Konventionen getroffen werden: Durchschnittliche Schadenshöhen einer Risiko-Kategorie, die über 1 Mio. EUR liegen, sollen als „hoch“ kategorisiert werden, Schadenshöhen zwischen 100 TEUR und 1 Mio. EUR als „mittel (hoch)“. Demzufolge werden durchschnittliche Schadenshöhen unter EUR 100.000 als niedrig angesehen (vgl. Tabelle 13).
niedrig mittel hoch
Tabelle 13
Schadenshöhe (je Ereignis) unter 100.000 EUR 100.000 EUR bis 1 Mio. EUR über 1 Mio. EUR
Konventionen bzgl. der Gruppierung von Wertebereichen bei Schadenshöhen
Demgegenüber sollen Ereignishäufigkeiten von Risiko-Kategorien, deren Ereignisse 13 mal im Jahr (13 p. a.) oder häufiger auftreten, als hoch bezeichnet werden. RisikoKategorien, deren Ereignisse maximal monatlich auftreten (3 bis 12 p. a.) sollen das Attribut mittlere Häufigkeit bekommen und Häufigkeiten mit maximal zwei Ereignisse im Jahr (2 p. a. oder seltener) als selten bezeichnet werden (vgl. Tabelle 14).
niedrig mittel hoch
Tabelle 14
1 2
Häufigkeiten von operationellen Ereignissen 2 p. a. oder seltener (halbjährlich oder seltener) 3 bis 12 p. a. (maximal monatlich) häufiger als 12 p. a. (häufiger als monatlich)
Konventionen bzgl. der Gruppierung von Wertebereichen bei Häufigkeiten
Vgl. Brink, G. J. v. d.: (Operational Risk) S. 59, Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 67, Wiedemeier, I.: (Analyse operationeller Risiken) S. 253. Vgl. Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 1116.
113
Bewertung von operationeller Risiken
Es ist anzumerken, dass derartige Konventionen und Bandbreiten natürlich institutsspezifisch festgelegt werden müssen. So hängen Schadenshöhen und Ereignishäufigkeiten auch von der Institutsgröße und den Geschäftsschwerpunkten ab.
MEKAneu
Erweiterte MAKABasel_II
4 Risiko-Oberkategorien
4 Risiko-Oberkategorien
PRO, PER, SYS, EXT
PRO, PER, SYS, EXT
Stufe 1
7 Kategorien I-VII
26 Risiko-Kategorien
20 Kategorien
a-z
Riskmap
Schadenshäufigkeit
Stufe 0
Mit Hilfe der in Kapitel B.III.3 des ersten Hauptteils hergeleiteten Basel-IIÜberleitungsfunktion f(x) von der MEKAneu in die MAKABasel_II lassen sich die Analysen auf der Grundlage der LDCE-Datenbasen auf die 26 Risiko-Kategorien der Stufe 1 der MEKAneu übertragen. Den Überleitungsmechanismus erläutert Abbildung 22.
Schadenshöhe
a-t
f (x)
Mapping
f m(x)
Abbildung 22: Riskmapping der Stufe-1-Kategorien der MEKAneu In Tabelle 12 wurden die 20 Stufe-1-Kategorien der MAKABasel_II in eine Riskmap eingeordnet. Mit Hilfe der Basel-II-Überleitungsfunktion f(x) wiederum lassen sich die 26 Stufe-1-Kategorien der MEKAneu in die 20 Stufe-1-Kategorien der MAKABasel_II überleiten. Somit erhält man durch ein Hintereinanderschalten der Funktion f(x) und des Mappings gemäß Tabelle 12 eine Funktion fm(x), die die Risiko-Kategorien der MEKAneu in eine Riskmap einordnet. Dabei muss beachtet werden, dass für das Riskmapping der Risiko-Kategorien der MEKAneu auf eine etwas andere Skalierung zurückgegriffen wird als in Tabelle 12: Da hier nur auf drei verschieden Schadenshöhenklassen gemappt werden soll, wurde Tabelle 12 entsprechend vergröbert.
114
Zweiter Teil
Zudem soll jetzt auf durchschnittliche Schadenshöhen abgestellt werden. Bislang wurden Durchschnitte betrachtet, die sich auf Schadens-Ereignisse oberhalb einer Schadenshöhe von 10.000 EUR bezogen. Darum wird hier davon ausgegangen, dass deutlich mehr durchschnittliche Schadenshöhen unter 100.000 EUR liegen als in Tabelle 12 dargestellt. Konkret wurde das folgende Mapping unter der Prämisse erstellt, dass es keine Risiko-Kategorie gibt, bei der sowohl Schadenshöhe als auch –häufigkeit im Schnitt mindestens mittelgroß sind (gemäß der Bezeichnungen in Tabellen 13 und 14). In Anlehnung an King, nach dem operationelle Schadensereignisse unterteilt werden können in häufige Ereignisse mit geringen Schäden und seltene Extremverluste, soll daher folgende Aussage getroffen werden:1 Aussage 18 Operationelle Ereignisse können unterteilt werden in Ereignisse mit niedriger Eintrittswahrscheinlichkeit und Ereignisse mit niedriger Schadenshöhe. Risiko-Kategorien, bei denen sowohl Eintrittswahrscheinlichkeit als auch Schadenshöhe (mittel) hoch sind, treten in aller Regel nicht auf. Treten sie auf, so sind sie für ein Kreditinstitut existenzbedrohend. In Zahlen ausgedrückt bedeutet dies, dass ein Kreditinstitut in der Regel nicht erwartet, dass es Risiko-Kategorien gibt, die mindestens dreimal im Jahr schlagend werden, wobei jedes Mal mit einer durchschnittlichen Schadenshöhe von EUR 100.000 gerechnet wird. Kreditinstitute, die das folgende Mapping adaptiert übernehmen möchten, müssen diese Prämisse unter Zuhilfenahme z. B. der Institutsgröße und der Geschäftsschwerpunkte zunächst überprüfen. Aus dem oben beschriebenen Vorgehen ergibt sich in Abbildung 232 eine Grobbewertung der Stufe-1-Risiko-Kategorien der MEKAneu.
1 2
Vgl. King, J. L.: (Modelling Operational Risk) S.12, S. 15; Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) S. 39. Quelle: Eigene Darstellung.
115
Bewertung von operationeller Risiken
hoch
g
Mangelhafte institutsinterne Kommunikation h Projektrisiken w Schädigung des Institutsvermögens durch Externe x Attacken auf institutsinterne DV-Systeme durch Externe
mittel
k o t
Marktunüblicher Umgang mit Kunden Mangelhafte Kundenkontoführung Eigenbereicherungsdelikte durch Mitarbeiter Systemqualitätsmängel
b
niedrig
Schadenseintrittswahrscheinlichkeit
a
Gewünschte Risikoentwicklung
Mangelhafte Beratungsqualität i Mangelhafte Berichterstattung nach außen l Unstimmigkeiten mit Zulieferern m Unstimmigkeiten mit Kooperationspartnern p Probleme in der Beschäftigungspraxis q Personalverfügbarkeit r Gesundheitsgefährdung s Mitarbeiterkonflikte u Systemkapazitätsmängel
niedrig
Gewünschte Risikoentwicklung d Produktund Modellmängel im Institut e Richtlinienmissachtende Kreditvergabe f Mangelhafte Bearbeitung von Transaktionen j Juristisch fehlerhafte Geschäftsanbahnung n Schädigende Geschäftspraktiken von Mitarbeitern v Interne Versorgungsengpässe
c
Eigenbereicherungsdelikte durch Arbeitgeber y Anschläge und Unruhen z Katastrophen und externe Versorgungsengpässe
mittel
hoch
Schadenshöhe
Abbildung 23: Riskmapping der Stufe-1-Risiko-Kategorien der MEKAneu Für eine Bottom-Up-Quantifizierung ist es wünschenswert, ebenfalls für die EreignisKategorien der Stufe 2 ein Riskmapping vorzunehmen. Leider fehlt derzeit noch eine ausreichende Schadensfallhistorie, um ein entsprechendes Riskmapping aus Echtzahlen deduktiv herzuleiten. Trotzdem soll hier der Versuch unternommen werden, ein ent-
116
Zweiter Teil
sprechendes Riskmapping aus der Praxiserfahrung heraus zumindest indikativ vorzunehmen. Um keine Scheingenauigkeit zu suggerieren, werden zwar in Bezug auf die Gruppierung von Wertebereichen der Stufe-2-Ereignis-Kategorien der MEKAneu wieder sinngemäß die Konventionen der Tabellen 13 und 14 verwendet. Es wird jedoch nur noch von „eher niedrig (Ļ)“, „eher mittel (ĺ)“ und „eher hoch (Ĺ)“ gesprochen (vgl. Tabelle 15).
Ļ ĺ Ĺ
Tabelle 15
Häufigkeiten und Schadenshöhen von operationellen Ereignissen eher niedrig bzw. low (L) eher mittel bzw. middle (M) eher hoch bzw. high (H)
Konventionen bzgl. der Gruppierung von Wertebereichen der Stufe-2Ereignis-Kategorien bei Häufigkeiten und Schadenshöhen
Die Heterogenität der operationellen Risiken zeigt sich auch bei der Betrachtung der Ereignis-Kategorien der Stufe 2 (vgl. die folgenden Tabellen 16 bis 19).
117
Bewertung von operationeller Risiken
Risiko-Kategorie Stufe 0: Prozessrisiken (PRO) Nr. a
Risiko-Kategorie
Ereignis-Kategorie
Stufe 1
Stufe 2
Marktunüblicher oder rechtswidriger Umgang mit Kunden/Kontrahenten
Häufigkeit
SchadensHöhe
M
L
a.1
Aggressive Verkaufspraktiken
ĺ
Ļ
a.2
Sorgfaltspflicht-Verletzungen
ĺ
Ļ
a.3
Fürsorgepflicht-Verletzungen
ĺ
ĺ
a.4
Verletzungen der Privatsphäre von Kunden/Kontrahenten
Ļ
Ļ
Datenschutz-Verletzungen
Ļ
Ļ
L
L
a.5 b
Mangelhafte Beratungsqualität
b.1 c
Unangemessene Performancevorhersagen Eigenbereicherungsdelikte durch Arbeitgeber
Ļ
Ļ
L
H
c.1
Kartellrechts-Verstöße
Ļ
ĺ
c.2
Copyright-/Patent-Verletzungen
Ļ
ĺ
c.3
Vorsätzlich unkonzessionierte Geschäftstätigkeit durch Arbeitgeber
Ļ
ĺ
c.4
Steuer- und Abgabenhinterziehung durch Arbeitgeber
Ļ
Ĺ
c.5
Bewertungsmanipulationen durch Arbeitgeber
Ļ
ĺ
c.6
Limitüberschreitungen durch Arbeitgeber
Ļ
ĺ
c.7
Marktmanipulation durch Arbeitgeber
Ļ
ĺ
c.8
Insiderhandel durch Arbeitgeber
Ļ
Ĺ
c.9
Unterschlagung und Veruntreuung durch Arbeitgeber
Ļ
ĺ
c.10
Vermögenswert-Vernichtung durch Arbeitgeber
Ļ
ĺ
c.11
Front-Running durch Arbeitgeber
Ļ
Ĺ
c.12
Bestechung und Erpressung durch Arbeitgeber
Ļ
Ĺ
Geldwäsche durch Arbeitgeber
Ļ
Ĺ
L
M
Ļ
ĺ
c.13 d
Produkt- und Modellmängel im Institut
d.1
Mangelhafte Produkte und Dienstleistungen des Instituts
d.2 e
Fehler in institutsinternen Modellen Richtlinienmissachtende Kreditvergabe
Ļ
ĺ
L
M
e.1
Fehlerhafte Kreditprüfung
Ļ
ĺ
e.2
Überschreitung von institutsinternen Kreditlimiten
Ļ
ĺ
118
Zweiter Teil
Risiko-Kategorie Stufe 0: Prozessrisiken (PRO) Nr. f
Risiko-Kategorie
Ereignis-Kategorie
Stufe 1
Stufe 2
Mangelhafte Bearbeitung von Transaktionen
Häufigkeit
SchadensHöhe
L
M
f.1
Transaktionsversäumnisse
Ļ
ĺ
f.2
Fehlerhafte interne Zahlungs- oder Settlement-Vorgänge
Ĺ
Ļ
f.3
Mangelhafte Bearbeitung von Datenbanken
Ļ
ĺ
f.4
Fehlerhafte Sicherheitenverwaltung
Ļ
ĺ
f.5
Mangelhafter Gebrauch von Modellen
Ļ
ĺ
H
L
Institutsinterne Kommunikationsstörungen
Ĺ
Ļ
Unangemessenes Reporting
ĺ
Ļ
H
L
g
Mangelhafte institutsinterne Kommunikation
g.1 g.2 h
Projektrisiken
h.1
Unzulängliche Projektplanung
ĺ
Ļ
h.2
Unzulängliches Projektmanagement
Ĺ
Ļ
L
L
i
Mangelhafte Berichterstattung nach außen
i.1
Unzulängliche Berichterstattung an die Aufsichtsbehörden
Ļ
Ļ
i.2
Unzulängliche Berichterstattung an die Zentralbank
Ļ
Ļ
i.3
Unzulängliche Berichterstattung an die Steuerbehörde
Ļ
Ļ
i.4
Unzulängliche Berichterstattung an die Wirtschaftsprüfer/ Öffentlichkeit/ Anteilseigner/ Gläubiger
Ļ
ĺ
L
M
Ļ
ĺ
M
L
Fehlerhafte Kundendaten und Geschäftsunterlagen
ĺ
Ļ
Fehlverschlüsselungen
ĺ
Ļ
L
L
j
Juristisch fehlerhafte Geschäftsanbahnung
j.1 k
Juristisch unvollständige Kundendaten und Geschäftsunterlagen Mangelhafte Kundenkontoführung (ohne Transaktionsbuchungen)
k.1 k.2 l
Unstimmigkeiten mit Zulieferern
l.1
Geschäftserfüllungsprobleme von Zulieferern
Ļ
Ļ
l.2
Sonstige Unstimmigkeiten mit Zulieferern
Ļ
Ļ
119
Bewertung von operationeller Risiken
Risiko-Kategorie Stufe 0: Prozessrisiken (PRO) Nr. m
Risiko-Kategorie
Ereignis-Kategorie
Stufe 1
Stufe 2
Unstimmigkeiten mit sonstigen Kooperationspartnern
Häufigkeit
SchadensHöhe
L
L
m.1
Geschäftserfüllungsprobleme von sonstigen Kooperationspartnern
Ļ
Ļ
m.2
Sonstige Unstimmigkeiten mit sonstigen Kooperationspartnern
Ļ
Ļ
Tabelle 16
Grobbewertung der Ereignis-Kategorien der MEKAneu
Risiko-Kategorie Stufe 0: Personenrisiken (PER) Nr. n
Risiko-Kategorie Stufe 1 Vorsätzliche, schädigende Geschäftspraktiken von Mitarbeitern
Ereignis-Kategorie Stufe 2
Häufigkeit
SchadensHöhe
L
M
n.1
Vorsätzlich unkonzessionierte Geschäftstätigkeit durch Mitarbeiter
Ļ
Ļ
n.2
Bewertungsmanipulationen durch Mitarbeiter
Ļ
ĺ
n.3
Vorsätzliche Limit- oder Kompetenzüberschreitungen durch Mitarbeiter
Ļ
ĺ
n.4
Vorsätzliche interne Anzeigepflichtsverletzungen durch Mitarbeiter
Ļ
ĺ
n.5
Vorsätzliche SorgfaltspflichtVerletzungen durch Mitarbeiter
Ļ
ĺ
n.6
Vorsätzliche FürsorgepflichtVerletzungen durch Mitarbeiter
Ļ
ĺ
n.7
Vorsätzliche Verletzungen der Privatsphäre von Kunden/Kontrahenten durch Mitarbeiter
Ļ
Ļ
n.8
Vorsätzliche Datenschutz-Verletzungen durch Mitarbeiter
Ļ
ĺ
n.9
Marktmanipulation durch Mitarbeiter
Ļ
ĺ
n.10
Vorsätzliche Reputationsschädigung durch Mitarbeiter
Ļ
ĺ
o
Eigenbereicherungsdelikte durch Mitarbeiter
M
L
120
Zweiter Teil
Risiko-Kategorie Stufe 0: Personenrisiken (PER) Nr.
Ereignis-Kategorie Stufe 2
Häufigkeit
SchadensHöhe
o.1
Diebstahl und Veruntreuung durch Mitarbeiter
ĺ
Ļ
o.2
Verletzungen des institutsinternen geistigen Eigentums durch Mitarbeiter
Ļ
ĺ
o.3
Vernichtung von Institutsvermögen durch Mitarbeiter
ĺ
Ļ
o.4
Front-Running durch Mitarbeiter
Ļ
ĺ
o.5
Insiderhandel durch Mitarbeiter
Ļ
ĺ
o.6
Bestechung und Erpressung durch Mitarbeiter
Ļ
ĺ
o.7
Geldwäsche durch Mitarbeiter
Ļ
ĺ
o.8
Manipulation von Modellen und DVSystemen durch Mitarbeiter
Ļ
ĺ
p
Risiko-Kategorie Stufe 1
Probleme in der Beschäftigungspraxis
L
L
p.1
Arbeitsrechts- und Arbeitspraxisverstöße
Ļ
Ļ
p.2
Arbeitskampf und Gewerkschaftsaktivitäten
Ļ
ĺ
q
Personalverfügbarkeitsprobleme
L
L
q.1
Genereller Mangel an Managern oder Spezialisten
Ļ
ĺ
q.2
Genereller Mangel an sonstigen Mitarbeitern
Ļ
Ļ
q.3
Phasen-spezifischer Mitarbeitermangel
ĺ
Ļ
q.4 r r.1
Mitarbeiter-Ausfälle
Ļ
s s.1
Gesundheitsgefährdung
Verstöße gegen Gesundheits- und Sicherheits-Bestimmungen
Ļ
Diskriminierung
Ļ
Mitarbeiterkonflikte
Tabelle 17
Ļ L
L
Ļ L
L
Ļ
Grobbewertung der Ereignis-Kategorien der MEKAneu
Risiko-Kategorie Stufe 0: Personenrisiken (SYS) Nr. t
Risiko-Kategorie Stufe 1 Systemqualitätsmängel
Ereignis-Kategorie Stufe 2
Häufigkeit
SchadensHöhe
M
L
121
Bewertung von operationeller Risiken
Risiko-Kategorie Stufe 0: Personenrisiken (SYS) Nr.
Risiko-Kategorie Stufe 1
Ereignis-Kategorie Stufe 2
Häufigkeit
SchadensHöhe
t.1
DV-Netzwerkausfall
Ĺ
Ļ
t.2
Ausfall von Hardwarekomponenten
ĺ
Ļ
t.3
Ausfall von Softwarekomponenten
ĺ
Ļ
t.4
DV-System-Integrations- und -Migrationsprobleme
ĺ
Ļ
t.5
Ausfall der Haustechnik
Ļ
Ļ
t.6
Interne Systemsicherheitsmängel
ĺ
Ļ
L Ļ
L Ļ
L
M
u u.1
Systemkapazitätsmängel
v
Interne Versorgungsengpässe
Unzureichende DV-technische Kapazität
v.1
Interne Transportausfälle
Ļ
Ļ
v.2
Interne Energieversorgungsstörungen
Ļ
ĺ
v.3
Interne technische Kommunikationsstörungen
Ļ
ĺ
Tabelle 18
Grobbewertung der Ereignis-Kategorien der MEKAneu
Risiko-Kategorie Stufe 0: Personenrisiken (EXT) Nr. w
Risiko-Kategorie Stufe 1 Schädigung des Institutsvermögens durch Externe mit Bereicherungsabsicht
Ereignis-Kategorie Stufe 2
Häufigkeit
SchadensHöhe
H
L
w.1
Fälschung von extern eingebrachten Geschäftsunterlagen
Ĺ
Ļ
w.2
Scheckbetrug durch Externe
ĺ
Ļ
w.3
Diebstahl und Veruntreuung durch Externe
Ļ
ĺ
w.4
Verletzungen des geistigen Eigentums durch Externe
Ļ
ĺ
w.5
Vernichtung von Institutsvermögen durch Externe
Ļ
Ļ
w.6
Bestechung und Erpressung durch Externe
Ļ
ĺ
w.7
Geldwäsche durch Externe
Ļ
ĺ
w.8
Vorsätzliche Reputationsschädigung durch Externe
Ļ
ĺ
H
L
x
Attacken auf institutsinterne DV-Systeme durch Externe
122
Zweiter Teil
Risiko-Kategorie Stufe 0: Personenrisiken (EXT) Nr.
Ereignis-Kategorie Stufe 2
Häufigkeit
SchadensHöhe
x.1
Hackeraktivitäten
Ĺ
Ļ
x.2
Erwerb von manipulierter Software von Externen
Ļ
ĺ
Vandalismus durch Externe
L Ļ
H ĺ
y.2
Brandstiftung durch Externe
Ļ
Ĺ
y.3
Personengruppen-gesteuerte Beeinträchtigungen des öffentlichen Lebens
Ļ
Ĺ
y.4
Personenmassen-gesteuerte Beeinträchtigungen des öffentlichen Lebens
Ļ
Ĺ
L
H
y y.1
z
Risiko-Kategorie Stufe 1
Anschläge und Unruhen
Katastrophen und externe Versorgungsengpässe
z.1
Störungen auf Verkehrswegen
Ļ
Ļ
z.2
Störungen der externen Energiezufuhr
Ļ
Ĺ
z.3
Externe technische Kommunikationsstörungen
Ļ
ĺ
z.4
Wasserversorgungsengpässe
Ļ
ĺ
z.5
Feuerschäden
Ļ
Ĺ
z.6
Geologische Schäden/ Wetterschäden
Ļ
Ĺ
z.7
Umweltschäden
Ļ
Ĺ
Tabelle 19
Grobbewertung der Ereignis-Kategorien der MEKAneu
Für die einzelnen Felder der Riskmap gemäß Abbildung 23 sollen in Kapitel B unterschiedliche Quantifizierungsverfahren vorgestellt und deren Anwendbarkeit überprüft werden.
3.
Wechselwirkungen zwischen Ereignissen verschiedener Risiko-Kategorien
Korrelationen können zwischen Schadensereignissen verschiedener Geschäftsfelder und verschiedener Risiko-Kategorien beobachtet werden. In der LDCE 2003 wurden Verbundereignisse erhoben, also Ereignisse, die entweder verschiedene Geschäftsfelder oder aber verschiedene Risiko-Kategorien betrafen. Auswertungsgrundlage sind hier Ereignisse gewesen, für die eine Klassifizierung nach den sieben Stufe-1-A-Kategorien der MAKABasel_II oder den acht Baseler Geschäftsfelder vorgenommen werden konnte. Von den 89 an der LDCE 2003 teilnehmenden Banken haben 22 Banken Informationen über Verbundereignisse bereitstellen können. Dokumentiert wurden insgesamt 568 Ereignisse, die entweder in verschiedenen Geschäftsfeldern auftraten oder aber verschiedene Risiko-Kategorien betrafen.
Bewertung von operationeller Risiken
123
Die Datenmenge ist somit insbesondere in Hinblick auf die quantitative Modellierung von Korrelationseffekten leider noch sehr gering. In der LDCE 2003 wurden durchschnittlich je Bank lediglich 26 Verbundereignisse dokumentiert. Insbesondere bei Worst-Case-Szenario-Betrachtungen sollten aber bereits heute (zumindest durch Experten geschätzte) mögliche Korrelationseffekte mit berücksichtigt werden. So hat die Studie gezeigt, dass bei sieben der 22 Kreditinstitute der größte Schadensfall aller Risiko-Kategorien und Geschäftsfelder in 2002 ein Verbundereignis gewesen ist. Bei der Analyse dieser Stichprobe lassen sich bereits einige für die Steuerung wichtige Aussagen treffen. Diese werden in diesem Kapitel abgeleitet. Von den 568 Verbundereignissen traten 515 Ereignisse in verschiedenen Basel-IIGeschäftsfeldern auf. Davon betrafen 98 % zwei oder drei verschiedene Geschäftsfelder. Es wurden sogar zwei Schadensfälle gemeldet, die alle acht Geschäftsfelder, also die gesamte Bank betrafen. Verbundereignisse über mehrere Geschäftsfelder traten am häufigsten (68 %) in der Kombination Firmen- und Privatkundengeschäft auf.1 257 von 568 dokumentierten Verbundereignissen betrafen zwei oder drei Stufe-1-AKategorien der MAKABasel_II. Verbundereignisse, die vier oder mehr Risiko-Kategorien betrafen, wurden nicht beobachtet.2 Um Grundmuster im Korrelationsverhalten von Schadensereignissen zwischen RisikoKategorien zu erkennen, wird hier folgende Bewertung der Häufigkeiten von Verbundereignissen getroffen: Betreffen 8 % oder mehr der beobachteten Schadensereignisse zwei Risiko-Kategorien, so wird diese kombinierte Häufigkeit mit hoch „++“ bewertet. Wird eine positive Häufigkeit unter 8 % festgestellt, wird diese Häufigkeit mit mittel „+“ bewertet. Bei der Auswertung der LCDE 2002 wurde für die Darstellung in der Tabelle 20 ein Schadensereignis, das in genau zwei Risiko-Kategorien auftrat, einfach gewertet, ein Schadensereignis, das in genau drei Risiko-Kategorien auftrat, paarweise einfach (also insgesamt zweimal). Dieses Vorgehen berücksichtigt 271 Tupel bei 257 beobachteten Verbundereignissen. Das Ergebnis zeigt die folgende Tabelle3:
1 2 3
Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 16-20. Vgl. Basel Committee on Banking Supervision: (Loss Data Collection) S. 16-20. Eigene Darstellung. Datenquelle: Basel Committee on Banking Supervision: (Loss Data Collection) S. 19. Analysiert wurden 22 Kreditinstiute, die für 2001 ihre Verbundereignisse ausgewertet haben. Für diese Abbildung wurden 257 Datensätze selektiert.
124
Zweiter Teil
PRO I II III IV V VI VII
I (++) ++ + + ++
PER II ++ (++) ++ + + ++
III ++ (++)
IV + +
SYS V + +
(++) +
+
(++) +
EXT VI ++ ++ + + + (++) +
VII
+ (++)
Legende ++ Mindestens 8 % der beobachteten Verbundereignisse (++) Es ist davon auszugehen, dass Ereignisse derselben Risiko-Kategorie der Stufe 1A positiv korreliert sind (kein Ergebnis der Studie). + Es wurden Verbundereignisse beobachtet, jedoch weniger als 8 %. [leer] Es wurden keine Verbundereignisse beobachtet.
Tabelle 20:
Korrelationstabelle
In Abhängigkeit des verwendeten Kategorisierungsansatzes werden unter jeder Stufe-1A-Kategorien der MAKABasel_II eine Reihe von Ereigniskategorien subsumiert. So werden in der MEKAneu beispielsweise 23 Ereigniskategorien der Kategorie I „Kunden, Produkte & Geschäftsgepflogenheiten“ zugeordnet. Es ist davon auszugehen, dass Ereigniskategorien derselben Stufe-1-A-Kategorie eine besonders hohe Korrelation untereinander aufweisen. Diese wird in Tabelle 20 mit „(++)“ angedeutet. Dies ist jedoch kein Ergebnis der LDCE 2003. Dafür fehlt in der MAKABasel_II auch eine umfassende Zusammenstellung von Ereigniskategorien der Kategorisierungsstufe 2. Aber auch für die Feststellung von Korrelationen zwischen den 20 Stufe-1-Kategorien der MAKABasel_II ist die Datenbasis der LDCE 2003 noch nicht ausreichend. Bislang wurden grundsätzlich positive Korrelationen unterstellt. Negative Korrelationen sind (noch) schwieriger festzustellen. Es ist auch die Frage zu stellen, ob negative Korrelationen von Schadensereignissen betriebswirtschaftlich begründbar sind. Grundsätzlich verstärken sich Schadensereignisse tendenziell. Gibt es daher Schadensereignisse, bei deren Auftritt andere weniger oder gar nicht auftreten? Hier lassen sich sicherlich Sonderfälle konstruieren: Treten beispielsweise Katastrophen auf und kommt der Bankbetrieb zum erliegen, treten natürlich auch weniger mit dem alltäglichen Tagesgeschäft verbundene Schadensereignisse auf. In diesem Fall würde allerdings das existenzbedrohende Schadensereignis in seiner Bedeutung für die Banksteuerung überwiegen. In aller Regel ist von einer nichtnegativen Korrelation von Schadensereignissen auszugehen. Analysiert man die so fest gesetzte Korrelationseinstufungen in Tabelle 20, können zwei für die Banksteuerung zentrale Aussagen abgeleitet werden:
Bewertung von operationeller Risiken
125
Aussage 19 Die meisten Risiko-Kategorien (III, IV, V, VI) sind signifikant korreliert mit Prozessrisiken (I und/oder II). Daraus lässt sich schlussfolgern, dass Schadensereignisse häufiger dann auftreten, wenn gleichzeitig Schwachstellen in der institutsinternen Prozessqualität vorliegen. Die Qualität der Prozesse scheint daher ein wichtiger Stellhebel für das operationelle Risikoniveau zu sein. Aussage 20 Externer Betrug (VI) tritt häufig dann auf, wenn gleichzeitig Schwächen in den institutsinternen Prozessen (I und/oder II) und Systemen (V) vorliegen oder Mitarbeiter Fehler begehen. Für die Abwendung von externem Betrug ist offenbar wieder die Prozessqualität, aber auch die Qualität und Sicherheit der Systemlandschaft sowie ein geringes Personenrisiko von wichtiger Bedeutung. Die Kategorie VII „Sachschäden“ ist als einzige Risiko-Kategorie kaum mit anderen korreliert. Hier ist nur eine geringe Korrelation mit der Kategorie VI „Externer Betrug“ festzustellen. Die Datenbasis der LDCE 2003 reicht nicht aus, um statistisch signifikante Schlüsse zu ziehen. Dennoch gehen die oben getroffenen Aussagen mit den Erfahrungen der Bankpraxis einher.
B.
Quantifizierungsverfahren für operationelle Risiken
Bei dem Risk-Mapping operationeller Risken in Kapitel A.III ist ein Ergebnis gewesen, dass operationelle Risiken eine große Gruppe von heterogenen Einzelrisiken darstellen, die jeweils unterschiedlichen Verlustverteilungen folgen. Es gibt Risiken, die besonders häufig aber mit niedriger Schadenshöhe (HFLS-Risiken) schlagend werden und Risiken, aus denen selten aber sehr hohe Schäden resultieren (LFHS). Darüber hinaus ist die Datenverfügbarkeit –insbesondere die dokumentierten Schadensfälle einer Schadensfalldatenbank– häufig noch verbesserungswürdig. So müssen die (wenigen) verfügbaren Datenpunkte sinnvoll zur Modellierung genutzt werden. Qualitative Bewertungsverfahren ergänzen quantitative Bewertungsverfahren oder stellen einen ersten Ausgangspunkt zur Bewertung dar, wenn noch nicht genügend Daten vorliegen.1 Die Bankenaufsicht beschreibt die laufende Entwicklung in der Bankenpraxis wie folgt: “Some firms have begun to quantify their exposure to operational risk using a variety of approaches. For example, data on a bank’s historical loss experience could provide meaningful information for assessing the bank’s exposure to operational risk and deve-
1
Vgl. Auer, M.: (Operationelles Risikomanagement) S. 168f.
126
Zweiter Teil
loping a policy to mitigate/control the risk. An effective way of making good use of this information is to establish a framework for systematically tracking and recording the frequency, severity and other relevant information on individual loss events. Some firms have also combined internal loss data with external loss data, scenario analyses, and risk assessment factors.1 Auch wenn sich die Verfahren zur Bewertung operationeller Risiken sukzessive weiterentwickeln, bleiben sie doch eine institutsspezifische Übung, da es gilt, die institutseigenen Risiko-Spezifika, möglichst gut abzubilden.2 Hierfür werden in diesem Kapitel ausgehend von der MEKAneu und des Risk-Mapping ihrer Risiko-Kategorien verschiedene Verfahren dargestellt. Trotz der Heterogenität der Einzelrisiken ist es für die Bewertung und insbesondere für die statistische Modellierung wichtig, die Einzelrisiken in möglichst homogene Einheiten zu gliedern. Für diese kann dann jeweils eine Bewertung vorgenommen werden. Dabei ist der grundsätzliche Konflikt zu lösen, einerseits möglichst viele Einheiten anzustreben, da sich Risiken dann innerhalb einer Einheit homogener darstellen lassen. Auf der anderen Seite werden möglichst viele empirische Datenpunkte für die Modellierung oder als Ansatzpunkt für die qualitative Bewertung benötigt. Dies wird nur erreicht, wenn sich die vorhandenen Datenpunkte auf nicht zu viele Einheiten verteilen.3 Für die Bildung dieser Einheiten wird auf die Analyseobjekte zurückgegriffen, wie sie in Kapitel A.II.1 vorgestellt wurden. Für die Bewertung werden in aller Regel mindestens die Dimensionen Geschäftsfelder und Risiko-Kategorien einer institutsspezifischen MIKA verwendet. Abbildung 24 zeigt exemplarisch die Dimensionen Basel-IIGeschäftsfelder und Risiko-Kategorien der Stufe 1 der MEKAneu. Diese können weiter detailliert werden, etwa um die Ereignis-Kategorien der Stufe 2 oder um Untereinheiten für die Geschäftsfelder. Zudem können weitere Dimensionen eingefügt werden, wie etwa die Analyseobjekte bankbetriebliche Prozesse oder Produkte (vgl. Kapitel A.II.1).
1 2 3
Basel Committee on Banking Supervision: (Sound Practices) Absatz 25. Vgl. Auer, M.:(Operationelles Risikomanagement) S. 168f; Simon, W.: (Erfassung und Bewertung operationeller Risiken) S. 132. Vgl. Auer, M.: (Operationelles Risikomanagement) S. 165-168.
127
Bewertung von operationeller Risiken
Risiko-Kategorien der MEKAneu Basel-IIGeschäftsfelder
PRO a
PRO b
PRO c
...
EXT y
EXT z
Unternehmensfinanzierung
2,1
0,5
4,9
...
2,0
3,5
Handel
13,5
1,8
17,4
...
12,0
21,4
Privatkundengeschäft
32,9
7,3
25,0
...
24,2
52,4
Firmenkundengeschäft
39,8
8,0
32,4
...
29,3
51,3
Analyseobjekt Geschäftsfeld
Zahlungsverkehr/ Abwicklung
0,7
0,1
0,9
...
2,0
3,5
Depot- und Treuhandgeschäfte
2,4
0,5
3,1
...
1,7
3,1
Vermögensverwaltung
3,0
0,6
3,2
...
2,2
3,9
Wertpapierprovisionsgeschäft
6,9
2,8
18,0
...
12,4
21,8
92,1 Analyseobjekt Risiko-Kategorie
256,9
...
12,4
Analyseobjekt RisikoKategorie eines Geschäftsfeldes
Exemplarische Risiko-Kennzahlen in Mio. EUR (z. B. Value-at-Risk)
Abbildung 24 Risiko-Kategorien und Geschäftsfelder als Analyseobjekte für die Quantifizierung Soll entlang der Dimensionen Geschäftsfelder und Risiko-Kategorien bewertet werden, so sind hier die geeigneten Einheiten festzusetzen. Im detailliertesten Fall würde dann im Beispiel der Abbildung 24 jedes einzelne Feld der 8x26-Matrix bewertet werden. Möglicherweise sollten (institutsspezifisch) Vergröberungen gewählt werden. Dies zum einen, weil in einem einzelnen Feld nicht ausreichend Datenpunkte bzw. Erfahrungswerte vorliegen. Zum anderen weil die Bewertung einer bestimmten Zielsetzung folgen
128
Zweiter Teil
soll. Sollen Geschäftsfelder gesteuert werden, so sind Risikobewertungen für das Analyseobjekt Geschäftsfeld zielführend, sollen Ansatzpunkte für eine geschäftsfeldübergreifende, ursachenbezogene Risikosteuerung gefunden werden, ist eine Bewertung für das Analyseobjekt Risiko-Kategorie sinnvoll. Ohne Einschränkung der Allgemeinheit soll im Folgenden davon ausgegangen werden, dass für jedes Feld der in Abbildung 24 dargestellten Matrix eine Bewertung vorgenommen werden soll. In Kapitel B.IV.3 wird dann die Aggregation über diese Felder diskutiert. Verschiedene Möglichkeiten der Ausgestaltung der Modellierung einer (Gesamt-) Verlustverteilung je Risiko-Kategorie eines Geschäftsfeldes werden in Kapitel B.II vorgestellt. Während mit den dort vorgestellten Verfahren bereits ein breites Spektrum an Risiken bewertet werden kann, zeigt sich, dass für LFHS-Risiken, also den Tail einer Gesamtverlustverteilung, mit Hilfe der Extremwerttheorie häufig noch bessere Ergebnisse erzielt werden können. So macht es für ein Kreditinstitut ggf. Sinn, für den Tail einer Verteilung die Verfahren des Kapitels B.III ‚Extremwerttheorie’ zu verwenden. Sowohl für die Verlustverteilungsansätze wie auch für die Ansätze der Extremwerttheorie werden jeweils die Tails der Verteilungen diskutiert. Zudem werden Ansätze zur Parameterschätzung mit Hilfe von Schadenshistorien gezeigt. Die Bottom-up-Bewertung betrieblicher Abläufe ergänzt diese Bewertung. Sie soll als Erstes diskutiert werden, da sie für die meisten Banken den ersten Schritt in die Quantifizierung operationeller Risiken darstellt. Im Folgenden soll einheitlich folgende Notation verwendet werden: Der mögliche Gesamtverlust eines Kreditinstituts innerhalb eines festgesetzten Zeitraums setzt sich zusammen aus der Anzahl der eintretenden Schadensereignisse und der jeweiligen Verlusthöhe eines Ereignisses. Die jeweiligen Verlusthöhen sollen hier mit der Zufallsvariablen Yt i, k, j dargestellt werden. Dabei indiziert i die Risiko-Kategorie, j das Geschäftsfeld und t die zeitliche Periode. k stellt dann einen laufenden Index für die Schäden der jeweiligen Periode dar. Nach T Zeitperioden können folgende Schäden eintreten1:
^Y
i, j t ,k
: i 1,..., s,
j 1,..., g , t 1,..., T , und k 1,..., Nti , j
`
Dabei bezeichnet s die Anzahl der definierten Risiko-Kategorien und g die Anzahl der Geschäftsfelder des Kreditinstituts. Bei Verwendung der MEKAneu werden operationelle Ereignisse 26 verschiedenen Risiko-Kategorien für operationelle Risiken zugeordnet, sodass in diesem Fall gilt s 26 . Bei Verwendung der acht Baseler Geschäftsfelder gilt g 8.
1
Vgl. Embrechts, P./ Kaufmann, R./Samorodnitsky, G.: (Models for Operational Risk) S. 7 f.
129
Bewertung von operationeller Risiken
N ti , j bezeichnet eine Zufallsvariable, nämlich die Anzahl der Schadensreignisse der Risiko-Kategorie i im Geschäftsfeld j in Periode t. Der Gesamtverlust eines Kreditinstituts für die Periode t Lt ergibt sich somit aus1 Lt
s
g N ti , j
¦¦ ¦ Y
i, j t,k
t 1,..., T .
i 1 j 1 k 1
I.
Bewertung betrieblicher Abläufe
Unter der Bewertung betrieblicher Abläufe werden hier drei Gruppen von Bewertungsverfahren subsumiert. Dies sind: o Indikatorenansätze o Self-Assessments o Szenario-Analysen
Diese Bewertungsverfahren sind vornehmlich qualitativ geprägt und stellen eine notwendige und zum Teil in der Basel-II-Rahmenvereinbarung geforderte Ergänzung zur quantitativen, mathematische Modellierung dar.2 Darüber hinaus kann unter ihrer Zuhilfenahme eine ordnungsgemäße Aufbau- und Ablauforganisation mit einem funktionierenden internen Kontrollsystem sichergestellt werden, wie es in §25a KWG gefordert wird.3 Einen Überblick über diese Bewertungsgruppen gibt die folgende Tabelle4: Indikatorenansätze Zielsetzung
Vorgehensweise
1 2 3 4
Zukunftsbezogene Betrachtung operationeller Risiken; Frühwarnung
Self-Assessments
Zukunftsbezogene Betrachtung operationeller Risiken unter Einbezug von Experteneinschätzungen top down und bottom up top down und bottom up
Szenarioanalysen Zukunftsbezogene Betrachtung operationeller Risiken mit Schwerpunkt auf Extremverluste top down und bottom up
Vgl. Embrechts, P./ Kaufmann, R./Samorodnitsky, G.: (Models for Operational Risk) S. 7 f. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) S. 167-175. Vgl. Deutsche Bundesbank (KWG) § 25a; Hofmann, M.: (Operationelle Risiken in Kreditinstituten) S. 18-24. Eigene Darstellung; Für einen vergleichenden Überblick über qualitative Bewertungsverfahren vgl. Minz, K.-A.: (Operationelle Risiken in Kreditinstituten) S. 106-107. Vgl. zu dieser Tabelle auch RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 55, S. 71.
130
Zweiter Teil
Indikatorenansätze Analyseobjekte
Qualitative vs. Quantitative Bewertung Risikotypen
Tabelle 21:
Self-Assessments
Besonderer Fokus auf bankbetriebliche Prozesse in der bottom-upSichtweise
Szenarioanalysen
Geschäftsfelder/ Geschäftsbereiche Risiko- und Ereigniskategorien Bankbetriebliche Prozesse Produkte Quantitative Bewertung Qualitative Bewertung
Geschäftsfelder/ Geschäftsbereiche Risiko- und Ereigniskategorien Bankbetriebliche Prozesse Produkte Qualitative Bewertung
bottom up: HFLS, MFLS top down: pauschal für alle
alle, insbesondere LFHS-Risiken
alle
Überblick über Bewertungsverfahren für betriebliche Abläufe
Diese Gruppen von Bewertungsverfahren werden im Folgenden detaillierter diskutiert.
1.
Indikatorenansätze
Indikatoren sind Kenngrößen, die frühzeitig auf erhöhte Risiken in einer bestimmten Risiko-Kategorie in bankbetrieblichen Prozessschritten hinweisen. Dafür müssen sie regelmäßig aktualisiert werden. Risiko-Indikatoren werden häufig dort eingesetzt, wo der gleiche bankbetriebliche Prozess sehr häufig durchlaufen wird und an bestimmten Stellen fehleranfällig ist. Risiko-Indikatoren eignen sich daher für die Quantifizierung von HFLS- bzw. MFLS-Risiken, insbesondere für h „Projektrisiken“, x „Attacken auf instistutsinterne DV-Systeme durch Externe“, k „Mangelhafte Kundenkontoführung“, t „Systemqualitätsmängel“, b „Mangelhafte Beratungsqualität“, e „Richtlinienmissachtende Kreditvergabe“ und f „Mangelhafte Bearbeitung von Transaktionen“. Risiko-Indikatoren werden häufig in ein Frühwarnsystem integriert, um frühzeitig erhöhte Risiko-Potenziale zu erkennen und so noch rechtzeitig risikoreduzierende Maßnahmen einleiten zu können. In diesem Fall werden Schwellenwerte (Trigger) definiert, die sich aus der Risikosensibilität des jeweiligen Kreditinstitutes ableiten lassen sollten. In dem zugehörigen Reporting wird häufig mit Ampeln gearbeitet, deren Farben „rot“, „gelb“ und „grün“ das Ausmaß des jeweiligen Risiko-Potenzials suggerieren soll.1 So soll eine Verbindung von der Quantifizierung operationeller Risiken zum (pro-) aktiven
1
Vgl. Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 35 f.
Bewertung von operationeller Risiken
131
Risikomanagement geschaffen werden. Daher empfiehlt auch der Baseler Ausschuss für Bankenaufsicht die Verwendung von Risikoindikatoren.1 Neben der Quantifizierung operationeller Risiken gibt es weitere Ziele, die zusätzlich mit Hilfe von Indikatoren verfolgt werden können: o Unterstützung der Ableitung des ökonomischen/regulatorischen Eigenkapitalbedarfs o Identifizierung von Schwachstellen in bankbetrieblichen Prozessen o Erfüllung regulatorischer Anforderungen insbesondere gemäß §91 KonTraG, wonach ein Überwachungssystem einzurichten ist, damit Entwicklungen, die den Fortbestand eines Kreditinstituts gefährden, frühzeitig erkannt werden2 o Durchführung interner Kontrollen bzw. Prüfung des internen Kontrollsystems.
Eine stark zukunftsbezogene Sichtweise kann in die Quantifizierung operationeller Risiken gebracht werden, wenn Indikatoren eingesetzt werden, die eine Frühwarnfunktion übernehmen. Indikatoren wie „Anzahl an Kundenbeschwerden“ lassen wenig Spielraum, um noch auf erhöhte Risikopotenziale rechtzeitig zu reagieren, da sie bereits Wirkungen von Schadensereignisse messen. Die Basel-II-Rahmenvereinbarung (Überarbeitetes Framework)3 erlaubt Kreditinstituten, zwei verschiedene Indikatoren-Ansätze für die Bestimmung des regulatorischen Eigenkapitals zu verwenden.4 Dies sind der Basisindikatoransatz und der Standardansatz. Sie stellen einfache Top-Down-Ansätze dar. Im Rahmen des aufsichtlichen Konsultationsprozesses wurde zwischenzeitlich (vgl. 2. Konsultationspapier5) ein so genannter Interner Bemessungsansatz diskutiert, der seit dem 3. Konsultationspapier6 so nicht mehr explizit im Baseler Rahmenwerk erwähnt wird und nur noch eine von mehren Möglichkeiten darstellt, einen Advanced Measurement Approach für ein Kreditinstitut auszugestalten.
1 2 3 4 5 6
Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 27 Vgl. Deutscher Bundestag: (KonTraG) §91; Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 104f Basel Committee on Banking Supervision: (Überarbeitetes Framework). Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 649-654. Vgl. Basel Committee on Banking Supervision: (2. Konsultationspapier) Absätze 556-558. Vgl. Basel Committee on Banking Supervision: (3. Konsultationspapier) Absätze 626-641.
132
Zweiter Teil
K IMA
s
g
¦¦ J i 1 j 1
EI i , j PEi , j LGEi , j Erwartete Verluste i, j
Unerwartete Verluste
Für jedes regulatorisch (identisch zum Standardansatz) vorgegebene Geschäftsfeld j und jeden ebenfalls vorgegebenen Verlusttyp i wird vom Regulator ein Indikator EI i , j (Exposure Indicator) vorgegeben. Dieser soll als Indikator für die Höhe des Risikopotenzials gelten. Vorgesehen sind hier beispielsweise (in Abhängigkeit von Geschäftsfeld und Verlusttyp) o Neugeschäftsvolumen o Transaktionsvolumen o Assets under Management o Volumen der Handelsgeschäfte o Anzahl der Transaktionen1
Als Verlusttyp (der Regulator spricht von Risikotyp), also als mögliche Schäden, gelten u.a. o Abschreibungen o Entschädigung/Ersatzanspruch o Rückerstattung o Gesetzliche Haftpflicht o Verlust von Vermögenswerten2
Institutsspezifisch mit Hilfe der eigenen Ausfallhistorie geschätzt werden müssen die Wahrscheinlichkeit eines Schadensfalls (Probability of Loss Event PEi , j ) und der im Schadensfall entstehende Verlust (Loss given that Event LGE i , j ). Das Produkt
EI i , j PEi , j LGEi , j schätzt den erwarteten Verlust für das jeweilige Geschäftsfeld und den jeweiligen Verlusttyp. Dieses Produkt ist dann noch mit dem Gamma-Faktor J i, j zu multiplizieren, der eine Art Eigenkapitalmultiplikator darstellt, wie man ihn beispiels-
1 2
Vgl. Basel Committee on Banking Supervision: (2. Konsultationspapier – Operational Risk) Annex 4. Vgl. Basel Committee on Banking Supervision: (2. Konsultationspapier – Operational Risk) Annex 4; Simon, W.: (Erfassung und Bewertung operationeller Risiken) S. 144-146; Basel Committee on Banking Supervision: (Working Paper Operational Risk) Annex 4.
Bewertung von operationeller Risiken
133
weise ähnlich von der Vorkalkulation von Krediten kennt. Er soll (annähernd) den erwarteten Verlust durch Multiplikation auf das Niveau eines unerwarteten Verlustes heben und beziffert so die Höhe des mindestens vorzuhaltenden regulatorischen Eigenkapitals. Es war angedacht, den Gamma-Faktor aufsichtlich vorzugeben. Die Eigenkapitalkennziffer für die Gesamtbank ergibt sich aus der Summation über alle Geschäftsfelder und Verlusttypen.1 Indikatoren können so im Rahmen einer (einfachen) Top-Down-Quantifizierung zur Ableitung von Eigenkapitalgrößen herangezogen werden. Im Rahmen einer Bottom-UpQuantifizierung können Risikoindikatoren zudem Bestandteil einer Scorecard sein, mit der Risikopotenziale bestimmt werden bzw. notwendiges ökonomisches oder auch regulatorisches Eigenkapitel bestimmt wird. Die Bankenaufsicht hat im Working Paper von 09/2001 einen derartigen Vorschlag der Verwendung von Scorecards unterbreitet.2 In der Bottom-Up-Quantifizierung kommt Risikoindikatoren sehr viel stärker als in der Top-Down-Sichtweise eine Frühwarnfunktion zu, die das rechtzeitige Einleiten von risikoreduzierenden Maßnahmen erleichtert.3
1 2
3
Vgl. Basel Committee on Banking Supervision: (2. Konsultationspapier) Absätze 556-558; Basel Committee on Banking Supervision: (Working Paper Operational Risk) S.34. Im Baseler Framework (06/2006) (Basel Committee on Banking Supervision: (Überarbeitetes Framework)) unterbreitet die Bankenaufsicht überhaupt keine Vorschläge mehr, mit welchem Quantifizierungsverfahren ein AMA Ansatz dargestellt werden soll. Entsprechendes gilt für die EUKapitaladäquanzrichtlinie (Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Part 3) und die neue, deutsche Solvabilitätsverordnung (Bundesministerium der Finanzen/Bundesbank (Solvabilitätsverordnung) §278-§292); siehe dazu auch Kapitel A.I.3. Vgl. Faisst, U./Kovacs, M.: (Methodenvergleich Quantifizierung) S. 343.
134
Zweiter Teil
EreignisKategorie gemäß MEKAneu
Bezeichung der EreignisKategorie
Möglicher Risikoindikator
SYS t.2
Ausfall von Hardwarekomponenten
Häufigkeit des Ausfalls von Hardwarekomponenten
Transaktionsversäumnisse
Anzahl Transaktionen
Phasenspezifischer Mitarbeitermangel
Anzahl Überstunden (je Geschäftsfeld)
…
…
PRO f.1
PER q.3
…
Schwellenwerte und Ist-Wert
grün
grün
gelb
rot
gelb rot
gelb grün gelb rot
…
Abbildung 25 Exemplarische Darstellung von Risikoindikatoren zu EreignisKategorien der MEKAneu Abbildung 251 zeigt exemplarisch anhand von Beispielkategorien der MEKAneu, wie Risiko- bzw. Ereigniskategorien Risikoindikatoren zugeordnet werden können. Der kausale Zusammenhang zwischen einem Risikoindikator und einer Ereignis-Kategorie ist im Einzelfall zunächst über eine Expertenschätzung, dann über einen statistischen Nachweis zu dokumentieren.2 Kaiser/Köhne weisen darauf hin, dass die Verknüpfung verschiedener Indikatoren oftmals eine höhere Risikosensitivität erzeugen kann, als ein einfacher Indikator. Als Beispiel wird mangelnde Personalverfügbarkeit genannt, die nur dann ein operationelles Risiko darstellt, wenn sie mit einem hohen Geschäftsvolumen einhergeht.3 Über entsprechende Quotientenbildungen können beide Indikatoren ins Verhältnis gesetzt werden.
1 2 3
Quelle: Eigene Darstellung Vgl. Beeck, H./Kaiser T.: (Quantifizierung) S. 641. Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 105.
Bewertung von operationeller Risiken
135
Eine Auflistung von Risikoindikatoren findet sich in Hofmann, M.: (Operationelle Risiken in Kreditinstituten) und Movshyn, L.: (Key Risk Indicators).1 Für Reportingzwecke ist je Indikator zu definieren, welcher Wertebereich als kritisch für ein Kreditinstitut gesehen wird (vgl. Abbildungg 25). Zudem ist für ein aussagekräftiges Reporting eine sinnvolle Aggregation vorzusehen. Die Praxis zeigt, dass die Beschränkung auf wenige, aussagekräftige Risikoindikatoren zielführender sein kann, als das Reporting ganzer Indikatorenbibliotheken.2
2.
Self-Assessment
Die Einführung eines (periodischen) Self-Assessment ist typischerweise einer der ersten Schritte eines Instituts in Richtung einer Quantifizierung und anschließenden Steuerung operationeller Risiken. Ein Self-Assessment ist ein qualitatives Bewertungsverfahren für operationelle Risiken, das einer subjektiven Expertenbewertung unterliegt, im Resultat aber durchaus quantitative Werte für potenzielle Schäden und Ereigniseintrittswahrscheinlichkeiten oder auch ein Qualitätsscoring liefern kann. Neben der Quantifizierung operationeller Risiken gibt es weitere Ziele, die zusätzlich verfolgt werden können: o Unterstützung der Ableitung des ökonomischen Eigenkapitalbedarfs o Unterstützung der Ableitung des regulatorischen Eigenkapitalsbedarfs im Rahmen eines AMA-Ansatzes o Adjustierung der Ergebnisse eines quantitativen Bewertungsverfahrens durch eine zukunftsbezogene Betrachtungsweise o Adjustierung der Ergebnisse eines quantitativen Bewertungsverfahrens durch eine schärfere Abgrenzung zu anderen Risikoarten (z. B. Kreditrisiken) o Identifizierung von Schwachstellen in bankbetrieblichen Prozessen o Durchführung interner Kontrollen bzw. Prüfung des internen Kontrollsystems
1 2
Vgl. Aichholz, S.: (Controlling operationeller Risiken) S. 280; Hofmann, M.: (Operationelle Risiken in Kreditinstituten) S. 30; Movshyn, L.: (Key Risk Indicators), Anhang 1, S. 147-156. Vgl. Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) S. 36; Wiedemann, A./Minz, K.A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) S. 53-59, S. 79-101.
136
Zweiter Teil
o Erfüllung regulatorischer Anforderungen gemäß Basel II, MaRisk, KonTraG, KWG, etc.1
Fehlt einem Kreditinstitut eine aussagekräftige Schadensfalldatenbank und können dadurch quantitative Bewertungsverfahren noch nicht in den Einsatz kommen, ist ein Self-Assessment ein guter Start, das operationelle Risikoprofil des Instituts näher zu beleuchten.2 Selbst bei Vorliegen einer gut gepflegten Schadensfalldatenbank bringt ein Self-Assessment einen wichtigen Aspekt in die Quantifizierung operationeller Risiken: Die Auseinandersetzung mit latenten Risiken, die bis zum Betrachtungszeitpunkt möglicherweise noch nicht schlagend geworden sind. Während in der Schadensfalldatenbank in der Regel Schadenereignisse historisiert werden, die typischerweise in einem Kreditinstitut vorkommen, können im Rahmen eines Self-Assessment zusätzlich auch untypische bzw. unerwartete Schäden diskutiert werden. Grundsätzlich ist ein SelfAssessment dazu geeignet, sowohl LFHS- als auch HFLS-Risiken zu beleuchten. Ein Self-Assessment ist also keinesfalls eine Hilfsmethode. Es bringt eine zukunftsbezogene Sichtweise in die Quantifizierung operationeller Risiken, kann die Ergebnisse quantitativer Verfahren weiter verfeinern und selbst für die regulatorische und ökonomische Eigenkapitalunterlegung verwendet werden. Ein Self-Assessment kann top down oder auch bottom up durchgeführt werden. Entsprechend sind die relevanten Analyseobjekte auszuwählen (vgl. Kapitel A.II). Da sich ein Self-Assessment an den bankbetrieblichen Prozessen orientiert, wird es in der Praxis häufig als Bottom-Up-Quantifizierungsverfahren eingesetzt.3 Für eine Top-down-Sichtweise sind lediglich die Analyseobjekte Geschäftsfelder und die Kategorien einer MIKA sinnvoll. Die Objekte Prozesse und Produkte werden aufgrund ihrer Detaillierungstiefe in der gröberen Top-down-Sicht eher ausgeklammert. Zudem wird eine quantitative Bewertung i. d. R. nicht detaillierter als auf der Kategorisierungsstufe 1 einer MIKA (ca. 26 Kategorien, vgl. MEKAneu) durchgeführt.
1
2 3
Vgl. Basel Committee on Banking Supervision: (Working Paper Operational Risk) S. 34-35; Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) BTR 4 Abs. 2; Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 87; King, J. L.: (Modelling Operational Risk) S. 36; Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 278-284; RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 58; Stögbauer, C.: (Quantitative Operational-Risk-Modellierung) S. 182. Cruz, M. G.: (Modeling Operational Risk) S. 33-35. Vgl. Deutsche Bank: (Finanzbericht 2003) S. 176; Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) S. 661-662; RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 58.
Bewertung von operationeller Risiken
137
In der Bottom-Up-Sichtweise werden operationelle Risiken weitaus detaillierter betrachtet, sodass dies sinnvollerweise auch auf der Grundlage der Kategorisierungsstufe 2 einer MIKA erfolgen sollte. Diese (ca. 100) Einzelrisiken werden verknüpft mit den bankbetrieblichen Prozessen. Um ein Self-Assessment nicht zu komplex zu gestalten, sollten die bankbetrieblichen Prozesse jedoch nur auf der Basis von wesentlichen Kernprozessen dargestellt werden. Grundsätzlich kann ein Self-Assessment bereits ohne festgelegte Strukturen durchgeführt werden. Dazu müssen Experten, die über einen tieferen Einblick in Teile der Risikostruktur eines Kreditinstituts verfügen, über ihre Meinung zu vorliegenden Risikopotenzialen befragt werden. Zur Erreichung einer besseren Vergleichbarkeit der operationellen Risiken im zeitlichen Ablauf, in verschiedenen Geschäftsfeldern, in verschiedenen Kreditinstituten und zu anderen Risikoarten als Element der Gesamtbanksteuerung ist jedoch eine gewisse Mindeststruktur sinnvoll.1 Im Folgenden wird ein eigener Vorschlag für ein dreistufiges Verfahren zur Durchführung eines Self-Assessment dargestellt. Dieses stellt eine allgemeine Architektur zur Durchführung eines Self-Assessments dar und hat sich bei der Erprobung in der Bankpraxis aus Sicht des Autors bewährt. Die Ausgestaltung der Stufen ist jeweils bankindividuell vorzunehmen. Einen allgemeingültigen Standard gibt es nicht.2 Die drei hier vorgestellten Stufen umfassen (vgl. Abbildung 263): o Stufe 1: Die Bewertung von Risikopotenzialen o Stufe 2: Die Ergänzung der Risikopotenzialbewertungen um ergänzende Informationen, die mit Hilfe von Einzelfragen gewonnen werden o Stufe 3: Die Bewertung von risikoreduzierenden Maßnahmen.
1 2 3
Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 93. Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 86-88. Eigene Darstellung.
138
Zweiter Teil
Stufe 1 Bewertung von Risikopotenzialen
Stufe 2 Ergänzende Fragestellungen
Analyseobjekte
Einzelfragen
Geschäftsfelder
?? ?
MIKA Prozesse Produkte
• Abschätzung von Risikopotenzialen
• Differenzierung der Risikopotenziale
Stufe 3 Bewertung der Nettorisiken Risikored. Maßnahmen Int. Kontrollen Versicherungen
• Int. Kontrollen • Absicherungen • Reaktionen
Abbildung 26 Vorschlag für die Durchführung eines Self-Assessment Ein Self-Assessment sollte sich an den Analyseobjekten, wie sie in Kapitel A.II.1 dargestellt wurden, orientieren. Dabei sollte ein Self-Assessment mindestens entlang der Analyseobjekte „Geschäftsfelder/Geschäftsbereiche“ und der institutsspezifischen MIKA durchgeführt werden. Entlang einer Matrix mit diesen beiden Dimensionen sollte auch ökonomisches Eigenkapital alloziert werden. Da aber gerade mit qualitativen Verfahren Transparenz über bankbetrieblichen Prozessen inhärente Schwachstellen erlangt werden soll, ist eingehend zu prüfen, ob zusätzlich bankbetriebliche Prozesse als Bewertungsobjekte hinzugezogen werden sollten. Eine Zuordnung von operationellen Risiken zu den Produkten eines Kreditinstituts erleichtert zudem eine produktbezogene Vor- und Nachkalkulation, die operationelle Risiken ursachenbezogen mit berücksichtigt. In Stufe 1 werden mit Hilfe eines Riskmapping Risikopotenziale ermittelt (vgl. auch Kapitel A.III.2). Dafür werden die gewählten Analyseobjekte direkt mit Risikopotenzialen verknüpft. Da es sich bei einem Self-Assessment um ein qualitatives Bewertungsverfahren basierend auf Expertenschätzungen handelt, können zunächst keine vollständigen Verlustverteilungen abgeleitet werden. Vielmehr muss man sich auf einzelne Punkte bzw. Eigenschaften einer Verteilung beschränken. Es bietet sich an, bei SelfAssessments auf erwartete Verluste oder auch unerwartete Verluste (Quantilswerte) abzustellen. Eine Möglichkeit besteht darin, erwartete Verluste E ( Lt ) zu schätzen. Hier steht die Frage im Vordergrund, welche typischen Verluste in einem Institut eintreten. Der erwartete Verlust soll zunächst mit Hilfe der bereits verwendeten Notationen dargestellt werden. Demnach kann der erwartete Verlust der Summe Lt aller in der Periode t aufgetretenen Verlusthöhen auf Gesamtbankebene wie folgt dargestellt werden:
139
Bewertung von operationeller Risiken
§ s g Nt · E ¨ ¦¦ ¦ Yt i, k, j ¸ ¨i 1 j 1k 1 ¸ © ¹ i, j
E ( Lt )
· § ¸ ¨ N ti , j E ¨ ¦ Yt i, k, j ¸ t 1,..., T . ¦¦ ¸ ¨k 1 i 1 j 1 ¸ ¨ i , j L : t ¹ © s
g
Wie bereits vorher werden in dieser Darstellung die Analyseobjekte Geschäftsfelder j 1,..., g und Risiko-Kategorien i 1,..., s betrachtet. Die Darstellungsweise kann weiter detailliert werden, indem für zusätzliche Analyseobjekte (z. B. Prozesse und Produkte) weitere Unter-Summen eingeführt werden. Für die Bestimmung der erwarteten Schadenshöhe E (Yt i,k, j ) eines einzelnen Ereignisses sind Brutto- und Nettoverluste zu unterscheiden. In Stufe 1 soll zunächst von risikoreduzierenden Maßnahmen abgesehen werden, d. h. sie werden erst in Stufe 3 des SelfAssessment betrachtet. Somit werden zunächst Bruttorisiken bestimmt. Sind die (Zähl-) Dichten von N ti , j und Yt i,k, j nicht bekannt oder zu aufwändig zu modellieren, kann E ( Lt ) mit Hilfe ihrer Erwartungswerte in erster Näherung wie folgt bestimmt werden: s
g
E ( Lt ) | ¦¦ E N ti , j E Yt i,1, j
t 1,..., T .
i 1 j 1
Die strikte Gleichheit gilt, wenn N ti , j unabhängig ist von {Yt i,k, j , k t 1} für alle t , i, j . Dies stellt für die Bankpraxis zunächst eine anschauliche Größe dar, die in Workshops diskutiert werden kann: Zur Näherung des erwarteten Verlustes wird zum einen gefragt, welcher typische Schaden im jeweiligen Geschäftsfeld und der jeweiligen RisikoKategorie eintritt bzw. eintreten könnte. Dann wird versucht zu ermitteln, wie häufig ein derartiger Schaden eintreten kann. Aus dem Summenprodukt erhält man dann eine erste Größenordnung für den erwarteten Verlust, der dann möglichst noch weiter angenähert werden sollte. Hier stehen dann beispielsweise Fragen im Vordergrund, welche Sondereffekte den erwarteten Verlust beeinflussen können. Eine weitere Herangehensweise besteht darin, unerwartete Verluste (Quantilswerte) zu schätzen. Dabei steht die Frage im Vordergrund, welchen Risiken ein Kreditinstitut ausgesetzt ist, ohne mit entsprechenden Verlustfällen u. U. bereits Erfahrung gesammelt zu haben. Es wird also auf existenzbedrohende Risiken abgestellt, um durch deren Vermeidung den Fortbestand des Kreditinstitutes dauerhaft zu gewährleisten. Unerwartete Verluste sollten grundsätzlich immer berücksichtigt werden. So empfehlen die Oesterreichi-
140
Zweiter Teil
sche Nationalbank und die österreichische Finanzmarktaufsicht: „Besonderes Augenmerk sollte dabei der Identifizierung Bestand gefährdender Risiken gewidmet werden.“1 Bei der Analyse unerwarteter Risiken ergibt sich das Problem der Quantifizierung wie auch der Aggregation von Risiken. Intervalle helfen dabei, Risikopotenziale einzugrenzen (beispielsweise: Kann ein möglicher Extrem-Schaden über 1 Mio. EUR betragen? Kann er über 10 Mio. EUR betragen? usw.). Dabei sollte in Workshops oder in EinzelInterviews in folgender Reihenfolge gefragt werden: Zunächst wird nach dem maximal vorstellbaren Verlust einer Risiko-Kategorie gefragt. Im zweiten Schritt wird die Wahrscheinlichkeit, dass dieser Verlust eintreten kann, abgeschätzt. Auch hier sollte auf Bandbreiten abgestellt werden. Nachdem diese Übung für alle relevanten Risiko-Kategorien vorgenommen wurde, ergibt sich das Problem der Aggregation. Eine einfache Summenbildung wie bei erwarteten Verlusten wie oben dargestellt ist nicht möglich. Soll das Risikoprofil eines gesamten Geschäftsfeldes dargestellt werden, können beispielsweise die größten ermittelten unerwarteten Risiken aufgeführt werden, im Gesamtbankreporting etwa das höchste ermittelte Risiko je Bereich. Auch unerwartete Verluste können in Riskmaps mit den Dimensionen mögliche Schadenshöhe und Schadenseintrittswahrscheinlichkeit dargestellt werden. Stufe 2 Einzelfragen zum Risikoprofil eines Geschäftsfeldes bzw. einer Risiko-Kategorie ergänzen die Gesamteinschätzung. Hier kann etwa nach der Qualität des internen Kontrollsystems, nach der Häufigkeit von Schulungsmaßnahmen oder der Existenz von Business-Continuity-Plänen gefragt werden. Derartige Fragen unterstützen den Assessoren, also denjenigen, der ein Self-Assessment durchführt, zusätzlich in der quantitativen Abschätzung von Risikopotenzialen.2 Die hierfür verwendbaren Fragetypen lassen sich etwa wie folgt unterscheiden und sind in Abbildung 273 überblicksweise dargestellt: o Fragen für Unternehmensbereiche versus Fragen für Zentralbereiche o Generische Fragen versus spezifische Fragen o Zahlenbasierte Fragen versus scorebasierte Fragen
1 2 3
Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 27. Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 25. Quelle: eigene Darstellung.
141
Bewertung von operationeller Risiken
Erfahrungsgemäß unterscheiden sich die Fragenkataloge für Unternehmensbereiche und Zentralbereiche. Unter Unternehmensbereichen werden hier Bereiche eines Kreditinstituts verstanden, die direkt wertschöpfend sind und i. d. R. direkten Kundenkontakt haben, also marktnah sind. Die Unternehmensbereiche auf der anderen Seite zeichnen sich aus durch unterstützende Tätigkeiten (z. B. IT, Personalabteilung, etc.). Dementsprechend unterschiedlich sind die relevanten Risiko-/ und Ereigniskategorien bzw. die zugehörigen Risikoprofile. Während die Risiko-Kategorie a „Marktunüblicher oder rechtswidriger Umgang mit Kunden/Kontrahenten“ der MIKAneu eher von den Unternehmensbereichen verantwortet werden, werden v „Interne Versorgungsengpässe“ von Zentralbereichen behoben.
Fragen für Unternehmensbereiche
Fragen für Zentralbereiche
• Analyse besonderer Risiken, die aus dem direkten oder indirekten Kundenkontakt erstehen
• Analyse besonderer Risiken, die aus unterstützenden Funktionen (z. B. Backoffice) entstehen
Generische Fragen
Spezifische Fragen
• Standardisierte Fragen, die sich in allen Bereichen wiederholen, sofern sie denn sinnvoll bzw. relevant sind
• Bereichsspezifische Fragen, die Eigenheiten der Bereiche und deren individuelles Risikoprofil berücksichtigen
Zahlenbasierte Fragen
Scorebasierte Fragen
• Fragen nach Volumina, Anzahl an durchlaufenen Prozessen oder Anzahl wiederkehrender Ereignisse (wie Schulungen)
• Bewertung mit Hilfe eines Scores/einer Note oder Ja/NeinFragen • häufig ergänzende Fragen
Abbildung 27 Abgrenzung verschiedener Fragetypen Innerhalb der Fragekataloge für Unternehmensbereiche bzw. Zentralbereiche sollte jedoch versucht werden, ein Höchstmaß an generischen Fragen zu stellen, d. h. Fragen, die gleich lautend in jedem Bereich gestellt werden. Dies erhöht die Transparenz über das durchgeführte Self-Assessment über die Gesamtbank hinweg und stellt eine gute Basis für die Vergleich- und Aggregierbarkeit von Antworten dar. Mit Hilfe von spezifischen Fragestellungen besteht die Möglichkeit, Risiko- bzw. Ereigniskategorien zu adressieren, die mit bereichsspezifischen Teilprozessen zusammenhängen.
142
Zweiter Teil
Nicht zuletzt durch zahlen- oder scorebasierte Fragen werden weitere Eigenschaften einer Verlustverteilung abgerufen und unterstützen die Ableitung von quantitativen Werten für Risikopotenziale. Hier ist auch die Verwendung von Risikoindikatoren denkbar (vgl. Kapitel B.I.1). Hofmann1 stellt ein Verfahren vor, in welchem Fragebögen mit einem Qualitätsscoring verknüpft werden und der resultierende Scorewert so ebenfalls für die Risikobewertung verwendet werden kann. Auch wenn in der Finanzindustrie häufiger die Tendenz zu umfangreichen Fragekatalogen erkennbar ist, sollten vor dem Erstellen entsprechender Kataloge Punkte wie Aussagekraft, kausaler Zusammenhang zum operationellen Risiko, Vergleichbarkeit und Erhebungsaufwand abgewogen werden. Es sollten eher weniger, aussagekräftige Fragen gestellt werden, als umfängliche Fragen, die nicht direkt im kausalen Zusammenhang mit dem Risikoprofil des Instituts stehen. Lange Fragekataloge können auch zu Akzeptanzproblemen in Finanzinstituten führen. Stufe 3 Häufig ist ein Kreditinstitut nicht dem gesamten (Brutto-) Risiko ausgesetzt. Risikoreduzierende Maßnahmen reduzieren die Eintrittswahrscheinlichkeiten (z. B. interne Kontrollen) oder aber die potenzielle Schadenshöhe (z. B. Versicherungen). So wird hier unter einem Nettorisiko das inhärente Risiko abzüglich risikoreduzierender Maßnahmen verstanden.2 Beispielhaft kann das Ergebnis eines Self-Assessment für die Kategorie t „Systemqualitätsmängel“ gemäß MIKAneu wie folgt aussehen:
1 2
Vgl. Hofmann, M.: (Operationelle Risiken in Kreditinstituten) S. 35-40. Vgl. Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 2728.
143
Bewertung von operationeller Risiken
tel
tuel
Riskmap nach risikoreduzierenden Maßnahmen
Schadenshäufigkeit
Schadenshäufigkeit
Riskmap vor risikoreduzierenden Maßnahmen
tel tuel
Schadenshöhe
Schadenshöhe
Ergebnis nach Stufe 1
Ergebnis nach Stufe 3
tel Geschätzter erwarteter Verlust aus t Systemqualitätsmängeln (gem. MIKAneu) tuel Geschätzter unerwarteter Verlust aus Systemqualitätsmängeln (gem. MIKAneu)
Abbildung 28 Beispielhafte Darstellung des Ergebnis eines Self-Assessment für die Kategorie t „Systemqualitätsmängel“ Im Riskmapping der Risiko-Kategorien der MEKAneu wurde den durchschnittlichen Verlusten aus der Risiko-Kategorie „t Systemqualitätsmängel“ eine mittlere Schadenshäufigkeit und eine geringe Schadenshöhe zugeordnet, weil Systemausfälle sehr häufig vorkommen und –wenn schnell behoben– zu geringen Schäden führen. In der linken Riskmap der Abbildung 28 wird der entsprechende Eintrag mit tel gekennzeichnet. Auf der anderen Seite würde ein tagelanger Systemausfall zu einer schwerwiegenden Existenzbedrohung eines Kreditinstituts führen, sodass unerwartete Verluste durchaus eine sehr hohe Schadenshöhe haben können, dementsprechend aber seltener auftreten. In der linken Riskmap der Abbildung 28 wird der entsprechende Eintrag mit tuel gekennzeichnet. Bei der Diskussion risikoreduzierender Maßnahmen mag ein Kreditinstitut vielleicht zu der Erkenntnis kommen, dass auch bei weitergehenden Maßnahmen, wie der Implementierung einer neuen Systemlandschaft, die Eintrittswahrscheinlichkeit von Systemqualitätsmängel nicht in den niedrigen Bereich (hier: 2 p. a. oder seltener; vgl. Kapitel A.III.2) gebracht werden können. Möglicherweise hilft aber –wie in diesem Beispiel angenommen– eine Elektronikversicherung, den unerwarteten Verlust nicht in den Millionenbereich hineinkommen zu lassen. So wird dieser in Stufe 3 in diesem Beispiel nur noch mit „mittel“ bewertet.
144
Zweiter Teil
Zum Ableiten solcher Ergebnisse können folgende Hilfsmittel dienen: o Einzel-Interviews o Befragungen über institutsinterne Kommunikationskanäle wie Postweg, Email oder Intranet o Workshops1
Die Auswahl eines Hilfsmittels oder einer Kombination von mehreren wird wesentlich von folgenden Gesichtspunkten abhängen: o Gewünschte Genauigkeit der Ergebnisse o Zeitaufwand o Kosten der Durchführung o Gewährleistung der Vertraulichkeit o Auswert- und Archivierbarkeit o Art der Förderung des Risikobewusstseins der Mitarbeiter o Unternehmenskultur in Bezug auf die offene Diskussion von Risiken
3.
Szenario-Analysen
Ebenso wie Self-Assessments bezeichnen Szenario-Analysen eine Gruppe von Bewertungsverfahren, deren Ausgestaltung sehr unterschiedlich sein kann. Je nach Ausgestaltung gibt es eine enge Verwandtschaft zu Self-Assessment-Verfahren. Der Komplexitätsgrad ist bei Szenario-Analysen jedoch deutlich höher.2 Auch Szenarioanalysen sind qualitative Bewertungsverfahren für operationelle Risiken, die zunächst einer subjektiven Expertenbewertung unterliegen, im Resultat aber quantitative Werte für operationelle Risiken liefern können.3 Im Allgemeinen lässt sich sagen, dass Szenario-Analysen im Ergebnis Verlustverteilungen für operationelle Risiken zu liefern oder zumindest näher zu beschreiben versuchen, als dies mit Bewertungen auf der Basis von Self-Assessments möglich ist. 1 2 3
Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 25; RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 56-58. Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 85-86. Vgl. Basel Committee on Banking Supervision: (Framework) Absatz 675; Peccia, A..: (Operational Risk Models) S. 275-276.
Bewertung von operationeller Risiken
145
Szenarioanalysen können top down als auch bottom up durchgeführt werden. Entsprechend sind die relevanten Analyseobjekte auszuwählen (vgl. Kapitel A.II.1). Während bei einer Top-Down-Betrachtung operationelle Risiken auf grober Ebene analysiert werden, als Analyseobjekte also beispielsweise Geschäftsfelder gewählt werden, können in einer Bottom-Up-Betrachtung auch Einzelprozesse oder Produkte betrachtet werden, deren identifizierte Einzelrisiken dann weiter aggregiert werden.1 Der österreichische Regulator stellt fest, dass es keine verbindliche Definition für den Begriff Szenario gibt.2 Demzufolge gibt es auch keinen Standard für SzenarioAnalysen. Es lassen sich beispielsweise Best-Case-, Likely-Case- und Worst-CaseSzenarien unterscheiden. Letztere werden im Zusammenhang mit Szenarioanalysen häufiger untersucht und focussieren LFHS-Risiken.3 Diese lassen sich durch Was-wärewenn-Fragen näher spezifizieren.4 Dabei sollten betrachtet werden: o allgemeiner Rahmen des betrachteten Szenarios (z. B. mangelhafte Bearbeitung von Transaktionen, Ausfall von Handelsapplikationen, etc.5) o Dauer des Szenarios o Eintrittswahrscheinlichkeit des Szenarios o betroffene Geschäftsfelder o Betroffene Risiko- und Ereigniskategorien o ggf. weitere betroffene Analyseobjekte (z. B. bankbetriebliche Prozesse und Produkte; vgl. Kapitel A.II.1) o möglicher Schaden o mögliche Auswirkung auf die Reputation
Es ist hilfreich, zwei verschiedene Zielsetzungen von Szenario-Analysen bzgl. der Quantifizierung von operationellen Risken zu unterscheiden:
1 2 3 4 5
Vgl. Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 33; Reynolds, D./Syer, D.: (General Simulation Framework) S. 197. Vgl. Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 33; Peccia, A..: (Operational Risk Models) S. 275-276. Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 85-86. Vgl. Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 3334. Für weitere beispielhafte Szenarien vgl. Aichholz, S.: (Controlling operationeller Risiken) S. 271-272.
146
Zweiter Teil
o Die eine Zielsetzung ist, eine Verlustverteilung umfänglich darstellen zu können, d.h. das gesamte Spektrum operationeller Risiken eines Kreditinstituts, eines Geschäftsfeldes oder einer Risiko-Kategorie quantitativ zu beschreiben. o Eine andere Zielsetzung ist, ein bestehendes Quantifizierungsverfahren, das quantitativ geprägt ist und auf einer Schadensfalldatenbank fußt, mit Hilfe von Expertenmeinungen zu verfeinern.
Letztere ist eine Zielsetzung, die auch vom Regulator aufgegriffen wurde. So sind Szenarioanalysen verpflichtender Bestandteil eines AMA-Modells. Mit Hilfe von Szenarioanalysen soll getestet werden, inwieweit ein Kreditinstitut LFHS-Risiken ausgesetzt ist, also solchen Risiken, die mit niedriger Eintrittswahrscheinlichkeit aber hohem möglichen Schaden auftreten (z. B. c „Eigenbereicherungsdelikte durch den Arbeitgeber“, y „Anschläge durch Unruhen“, z „Katastrophen und externe Versorgungsengpässe“ gemäß MEKAneu). Entsprechende Expertenschätzungen sollen insbesondere auch auf externen Daten fußen und durch Vertreter des Managements sowie durch Risikomanager vorgenommen werden.1 Der Regulator nennt als eine mögliche Anwendung von Szenarioanalysen das Schätzen oder Validieren von Parametern einer Verlustverteilung, die man als Annahme einem Quantifizierungsmodell zu Grunde gelegt hat.2 Mit Hilfe von Szenarioanalysen können beispielsweise Wechselwirkungen geschätzt werden, die dann in Korrelationsannahmen für die Quantifizierung münden können.3 Da Szenarioanalysen häufig Worst-CaseBetrachtungen beinhalten, sind sie zudem eine nützliche Ergänzung zu StresstestingVerfahren, in denen die Performance eines Quantifizierungsverfahrens unter verschiedenen Umweltkonstellationen geprüft wird.4 Mögliche Stresstesting-Szenarien finden sich in Haubenstock, M./Hardin, L.: (Loss Distribution Approach) S. 187-188. Gerade Institute, die noch nicht über die notwendige Datenbasis verfügen, um mathematische Verlustverteilungen (vgl. Kapitel B.II) daraus abzuleiten, verfolgen häufig die Zielsetzung, mit Hilfe von Szenarioanalysen die gesuchte Verlustverteilung vollum-
1 2 3 4
Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S. 168; Nguyen, M.-T./Ottmann, M.: (Loss-Distribution-Approach) S. 45. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz. 675; Basel Committee on Banking Supervision: (Sound Practices) Absatz 25. Vgl. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) S. 86. Vgl. Haubenstock, M./Hardin, L.: (Loss Distribution Approach) S. 178; Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) S. 33-34.
Bewertung von operationeller Risiken
147
fänglich darzustellen. Bereits dann sollten jedoch bereits sämtliche verfügbaren internen wie externen Schadensfalldaten ausgewertet werden.1 Wichtige Grundvoraussetzung für die Ableitung verschiedener Senarien ist eine institutseigene MIKA. Ist diese analog der MEKAneu aufgebaut, verfügt sie also über verschiedene Kategorisierungsstufen, so eignet sich eine Stufe analog der Stufe 1 der MEKAneu zur Verwendung als Hauptszenarien und eine Stufe analog der Stufe 2 der MEKAneu zur Ableitung von Unterszenarien.2 Haupt- und Unterszenarien sollten zunächst sinnvoll gemäß Relevanz und Bedeutung für das Institut priorisiert werden. Für eine Auswahl an Szenarien mit höherer Relevanz werden mit Hilfe von Expertenschätzungen mögliche Schadenshöhen und deren Eintrittswahrscheinlichkeiten geschätzt. Hierbei werden durchaus mehrere mögliche Schadenshöhen samt zugehöriger Eintrittswahrscheinlichkeiten betrachtet, um auf diese Weise möglichst aussagekräftige Datenpunkte zu generieren.3 Mit Hilfe dieser Datenpunkte wird versucht, eine geeignete Verteilung für die Ereigniseintrittswahrscheinlichkeit und für die Schadenshöhe auszuwählen. Mögliche Verteilungen werden in Kapitel B.II diskutiert. Mit Hilfe dieser wird im nächsten Schritt die Gesamtverlustverteilung ermittelt. Mögliche Verfahren werden hierzu werden in Kapitel B.II.3 diskutiert. Häufig wird eine Monte-Carlo-Simulation verwendet. Zuletzt ist noch zu beachten, dass diese Form der Gesamtverlustverteilung nur auf einer ausgewählten Menge an relevanten Szenarien (Risiko-Kategorien) erfolgt. Eine geeignete Skalierung ist zu bestimmen, um das Gesamtrisiko voll abzubilden.4
II.
Verlustverteilungsansätze
Der mögliche Gesamtverlust eines Kreditinstituts je Risiko-Kategorie eines Geschäftsfelds setzt sich zusammen aus der Anzahl der eintretenden Schadensereignisse und der jeweiligen Verlusthöhe. Um diesen Gesamtverlust zu modellieren, wird in den folgenden Kapiteln zunächst auf die Modellierung der Anzahl von Ereignissen und der individuellen Schadenshöhen eingegangen. Zudem wird eine Systematik der methodischen Vorgehensweisen zur Modellierung der Gesamtverlustverteilung dargestellt. Die hier dargestellten Ansätze kommen für die Umsetzung eines AMA-Ansatzes in Frage.
1 2 3 4
Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 25; Peccia, A..: (Operational Risk Models) S. 275-276. Vgl. Lim, G./Kriele, M.: (Szenarioanalysen) S. 36-37. Vgl. Lim, G./Kriele, M.: (Szenarioanalysen) S. 36-39. Vgl. Blunden, T.: (Scorecard approaches) S. 239-240; Lim, G./Kriele, M.: (Szenarioanalysen) S. 36-39.
148
Zweiter Teil
In diesem Kapitel werden zunächst Ereignisse betrachtet, die häufig (High Frequency) oder mittelhäufig (Middle Frequency) auftreten. In Kapitel B.III werden dann mit Hilfe der Extremwerttheorie ergänzend LFHS Ereignisse (Low Frequency High Severity) betrachtet, also Ereignisse, die mit einer niedrigen Eintrittswahrscheinlichkeit eintreten, aber mit einer hohen erwarteten Schadenshöhe verbunden sein können. N ti , j bezeichnet wieder die Anzahl der Ereignisse der Risiko-Kategorie i im Geschäftsfeld j in Periode t. Für diese diskrete Zufallsvariable gilt es nun, passende Verteilungs-
annahmen zu treffen.
1.
Modellierung der Anzahl von Ereignissen
Die Anzahl möglicher operationeller Ereignisse in einer vorgegebenen Zeitperiode ist eine stochastische Größe. Grundlage der Modellierung der Anzahl der eintretenden Ereignisse bildet die interne Schadensfalldatenbank, gegebenenfalls ergänzt um externe Datensätze. Die Bankenaufsicht legt für die Zulassung eines Quantifizierungsverfahrens als AMA-Ansatz eine auszuwertende Schadenshistorie von mindestens fünf Jahren fest (vgl. Kapitel A.I.3). Bevor mit der Modellierung begonnen wird, sollte eine intensive Auseinandersetzung mit der vorhandenen Schadenshistorie stattfinden. Abbildung 291 zeigt eine exemplarische Darstellung möglicher Sondereffekte, die in Bezug auf die Schadensereignisanzahlen im Zeitablauf auftreten könnten.
1
Quelle: Eigene Darstellung; Idee nach Haubenstock, M./Hardin, L.: (Loss Distribution Approach) S. 184.
149
Bewertung von operationeller Risiken
90
Anzahl operationeller Ereignisse
80 70 60 50 40 30 20 10 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
Zeitachse (Quartale)
Abbildung 29 Exemplarische Darstellung von eingetretenen operationellen Ereignissen im Zeitablauf In dieser exemplarischen Darstellung ist ein Anstieg der Anzahl operationeller Ereignisse in den letzten beiden Quartalen dargestellt. Bei der Analyse von Schadensfalldatenbanken kann sich eine zeitweise Tendenz zeigen, dass die Anzahl der (eingemeldeten) Schadensereignisse je Zeit- und Erfassungseinheit zunimmt, bzw. zuzunehmen scheint. Tatsächlich ist dies häufig die natürliche Konsequenz einer sukzessiv sich verbessernden, bankinternen Umsetzung der Schadensfallerhebung, sodass die Anzahl der eingepflegten Ereignisse stetig zunimmt.1 Darüber hinaus könnten zyklische Effekte auftreten, wie in Abbildung 29 angedeutet. Während diese bei einigen wenigen RisikoKategorien denkbar wäre (z.B. z „Katastrophen und externe Versorgungsengpässe“ gemäß MEKAneu in Zusammenhang mit der Witterung), so könnte dies jedoch auch ein Resultat des weiter zu optimierenden, internen Schadensfallerhebungsprozesses sein. Beispielsweise könnte es periodisch vor institutsintern festgesetzten Fristen zu Nachmeldungen von Schadensfällen kommen. Für die folgenden Betrachtungen wird jedoch vorausgesetzt, dass notwendige Schadensfalldatenbanken hinreichend entwickelt sind, sich der Schadenserhebungsprozess in einem Kreditinstitut etabliert hat und es keine prozessual bedingten Verzerrungen gibt.
1
Vgl. Nguyen, M.-T./Ottmann, M.: (Loss-Distribution-Approach) S. 44.
150
Zweiter Teil
Im Folgenden wird vorausgesetzt, dass N ti , j die Anzahl der Schadensereignisse in der Periode t, für eine gegebene Risikokategorie i und ein gegebenes Geschäftsfeld j ist. Die Zufallsgrößen seien für alle t unabhängig und identisch verteilt. Insbesondere sind dann N ti, 1j und N ti , j unabhängig. Die Zeitperioden, die mit t 1,2,3,... indiziert werden, sind alle gleich lang. N ti , j kann mit Hilfe von ein- oder mehrparametrigen Verteilungen modelliert werden.
Zweiparametrige Verteilungen sind grundsätzlich einer einparametrigen Verteilung vorzuziehen, da mit Hilfe des zusätzlichen zweiten Parameters eine Feinjustierung der Verteilungen vorgenommen werden kann. Auf der anderen Seite jedoch wird für die Kalibrierung von zwei Parametern eine größere Datenbasis benötigt als für einen einzelnen Parameter, sodass im Einzelfall zu prüfen ist, ob die vorhandene Schadensfalldatenbank für eine zweiparametrige Modellierung ausreichend ist. Eine häufig verwendete einparametrige Verteilung für die Anzahl der Schadensereignisse ist die Poissonverteilung. Sie wird auch als mögliche Verteilungsannahme zur Verwendung in einem Verlustverteilungsansatz vom Regulator vorgeschlagen.1 Als zweiparametrige Verteilung wird häufig eine Binomial- oder negative Binomialverteilung gewählt.2 Die Verteilung einer poissonverteilten Zufallsvariablen ist in Abbildung 303 dargestellt. Der einzige Parameter O stellt zugleich den Erwartungswert und die Varianz der Poissonverteilung dar; es gilt E ( X ) V ( X ) O . Für O können verschiedene Schätzer verwendet werden. Während das zunächst dargestellte Verfahren über arithmetische Mittelungen ein vergleichsweise einfaches Verfahren ist, wird im Anschluss ein sophistizierteres Bayes-Schätzverfahren vorgestellt. Für O kann folgender Maximum-Likelihood-Schätzer verwendet werden:
O
¦ kn
k
k
¦ nk
:
¦ kn k
n
k
(arithmetisches Mittel)
k
Hier stellt die zufallsabhängige Größe nk die empirische Häufigkeit der in den betrachte
ten Perioden der vorliegenden Datenhistorie aufgetretenen Ereignisanzahl k dar.4 O
1 2 3 4
Vgl. Basel Committee on Banking Supervision: (Working Paper Operational Risk) Annex 4; Waldmann, K.-H./Stocker U. M. (Stochastische Modelle) S. 61-75. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 87-91; Haubenstock, M./Hardin, L.: (Loss Distribution Approach) S. 177; Nguyen, M.-T./Ottmann, M.: (Loss-Distribution-Approach) S. 44. Quelle: eigene Darstellung; Rinne, H.: (Statistik) S. 278-283. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 87-91; Haubenstock, M./Hardin, L.: (Loss Distribution Approach) S. 177; Henze, N.: (Stochastik) S. 192-194.
151
Bewertung von operationeller Risiken
entspricht der durchschnittlich beobachteten Anzahl an Schadensereignissen je betrachteter Zeitperiode. Für diese Größe ist in Kreditinstituten i. d. R. eine gute Anschauung vorhanden. Somit kann beispielsweise im Rahmen eines qualitativen Self-Assessment diese Größe validiert bzw. adjustiert werden.1 Am Beispiel der Poissonverteilung soll hier auch auf Bayes-Schätzer eingegangen werden: Ein Bayes-Schätzverfahren eignet sich insbesondere für die Quantifizierung operationeller Risiken, da hier Vorbewertungen, wie beispielsweise qualitative Expertenmeinungen eines Finanzinstituts, stufenweise auf der Grundlage von sich aufbauenden Schadenshistorien angepasst werden können. Es wird wieder vorausgesetzt, dass N t ~ N t 1 ~ PoO für alle t ! 0 gilt; N t bezeichne wieder die Anzahl der Ereignisse in der Periode t . Der Parameter O ist nicht bekannt, er wird im Bayes-Modell als Zufallsvariable gesehen. Zunächst werde eine Verteilung des Parameters O der Poissonverteilung von Experten festgelegt oder beispielsweise anhand einer externen Schadensfalldatenbank, die möglicherweise Unterschiede zur institutseigenen Historie aufweist, abgeleitet. Diese Vorbewertung werde nun mit Hilfe einer Dichte S priori (O ) auf ] 0, f [ dargestellt.
Man spricht auch von einer A-Priori-Dichte. Bei hoher Unkenntnis bzgl. der Größenordnung des Parameters könnte beispielsweise eine Gleichverteilung über den in Frage kommenden Wertebereich gewählt werden, falls dieser beschränkt ist.2 Gemäß dieser Vorbewertung ergibt sich, dass die Anzahl N t der operationellen Ereignisse der betrachteten Periode nach dieser Vorbewertung folgender Verteilung folgt: P[ N t
k]
³S
priori
(O ) PoO ({k})dO , k
0,1, 2, 3, ...
Im nächsten Schritt wird die A-Priori-Dichte mit weiteren aktuelleren, statistischen Daten einer Schadensfalldatenbank kombiniert, beispielsweise nach einer verstrichenen gleichlangen Periode. Aus der A-Priori-Dichte wird die sogenannte A-Posteriori-Dichte für O wie folgt abgeleitet:
S posteriori x (O )
1 2
S priori (O ) PoO ({x})
³ S priori (J ) PoJ ({x})dJ
: const S priori (O ) PoO ({x})
Vgl. Beekmann, F./Stemper, P.: (Quantifizierung operationeller Risiken) S. 84-87. Vgl. Georgii, H.-O.: (Stochastik 4. Auflage) S. 220-223; Georgii, H.-O.: (Stochastik) S. 206-210.
152
Zweiter Teil
Die A-Posteriori-Dichte S posteriori x (O ) ist also ein Vielfaches der A-Priori-Dichte
S priori (O ) und eines ganz konkreten Wertes PoO ({x}) der Poisson Zähldichte einer beobachteten Realisation x . Als Bayes-Schätzer für den Parameter O ergibt sich:1
Oˆ Oˆ ( x)
³ O S
posteriori x
(O )dO .
Der Bayes-Schätzer ist somit der Erwartungswert des Parameters O unter der APosteriori-Verteilung bezogen auf eine Realisation.2 Dieser Schätzer kann iterativ angepasst werden – etwa bei Vorliegen neuer Einträge in der Schadensfalldatenbank nach einer verstrichenen, gleichlangen Periode. Dies geschieht, indem die ermittelte APosteriori-Verteilung nach t 1 Perioden als neue A-Priori-Dichte gewählt wird und bei Vorliegen der neuen Stichprobe aus der Periode t die A-Posteriori-Verteilung neu ermittelt wird. Mit deren Hilfe lässt sich ein neuer Bayes-Schätzer berechnen. Bleibt man beim Beispiel der Poissonverteilung und wählt als A-Priori-Dichte beispielsweise die Gammaverteilung mit den Parametern D und r , so gilt
S priori (O )
1 D r O r 1e DO : J D ,r (O ) , mit D , r , O ! 0. *(r )
Durch Einsetzen in die obige Formel für P[ N t
k ] zeigt sich, dass N t gerade einer
negativen Binomialverteilung folgt. Die negative Binomialverteilung kann somit als Verallgemeinerung der Poisson Verteilung angesehen werden, bei welcher der Parameter O als unbekannt angesetzt wird und mit einer Gammaverteilung als A-Priori-Dichte belegt wird. Für die A-Posteri-Dichte folgt dann wiederum
S posteriori k (O ) J D 1,r k (O ) . Also ist die A-posteriori-Dichte wieder eine Dichte einer Gammaverteilung. Man sagt in einer solchen Situation, die Familie der Gammaverteilungen sei zu der Familie der Poissonverteilungen konjugiert.
1 2
Vgl. Georgii, H.-O.: (Stochastik 4. Auflage) S. 220-223; Georgii, H.-O.: (Stochastik) S. 206-210. Weitere Anwendungen von Bayes-Schätzern in Zusammenhang mit operationellen Risiken finden sich in Alexander, C.: (Statistical Models) S. 137-142.
153
Bewertung von operationeller Risiken
Hat man nacheinander die Realisationen x ( x1 ,..., xn ) unter iid-Bedingungen erhalten und wählt man als A-priori-Verteilung die Gamma-Verteilung mit Dichte J D ,r aus, so ist also die A-posteriori-Verteilung eine Gammaverteilung mit Dichte
S posteriori x (O ) J D n,r x ... x (O ) . Dies folgt aus der iterativen Berechnung der A1
n
posteriori-Verteilung. Dann ist der Bayes-Schätzer
Oˆ Oˆ ( x)
³ O S
posteriori x
(O )dO gerade der Erwartungswert zu einer Gammaver-
teilung mit den Parametern D n und r x1 ... xn , also der Wert
Oˆ ( x)
1
D n
(r x1 ... xn ) . Dieser Schätzwert ergibt sich gerade aus dem
durch die Parameter D und r der A-priori-Verteilung modifizierten, bekannten Mittelwertschätzer. Die Poissonverteilung hat eine weitere nützliche Eigenschaft: Sind N t ,i1 , j1 und N t ,i2 , j 2 die stochastische Anzahl der Ereignisse der Risiko-Kategorie i1 im Geschäftsfeld j1 (bzw. Risiko-Kategorie i2 im Geschäftsfeld j2) jeweils in Periode t und sind beide
unabhängige Zufallsvariablen mit N t ,i1 , j1 ~ Po(O ) und N t ,i2 , j2 ~ Po( P ) , so gilt: N t ,i1 , j1 N t ,i2 , j2 ~ Po(O P ) .1 Dieser Zusammenhang erleichtert die Aggregation über Risiko-Kategorien und Geschäftsfelder. Kann die Anzahl möglicher Ereignisse N t ,i1 , j1 einer Risiko-Kategorie i1 und eines Geschäftfeldes j1 mit Hilfe einer Poissonverteilung Po(O ) angenähert werden, so ist es durchaus möglich, dass ein Fit mit einer Poissonverteilung Po( P ) auch für dieselbe Risiko-Kategorie i1 eines anderen Geschäftsfeldes j2 eine gute Wahl darstellt. Sollen Ereignisse –z. B. im Rahmen der Gesamtbanksteuerung– aggregiert über ein Geschäftsfeld dargestellt werden, ist die Aggregation poissonverteilten Ereignisanzahlen besonders leicht.2 Eine weitere mögliche Verteilung für die Modellierung der Anzahl an Schadensereignissen ist die geometrische Verteilung auf ^0,1,2, ...` . Sie ist in Abbildung 303 dargestellt. Folgt eine Zufallsvariable einer geometrischen Verteilung X ~ G ( E ) , so gilt E ( X ) E und V ( X ) E (1 E ) .4 Für E kann analog der Poissonverteilung folgender Maximum-Likelihood-Schätzer verwendet werden:
1 2 3 4
Ein Beweis findet sich z.B. in Henze, N.: (Stochastik) S. 193-194. Vgl. Ceske, R./Hernández, J.: (Modelling operational risk) S. 20; Cruz, M. G.: (Modeling Operational Risk) S. 87. Quelle: eigene Darstellung. Vgl. Henze, N.: (Stochastik) S. 184.
154
Zweiter Teil
f
f
E
¦ kn
k
k 1 f
¦n
¦ kn k 1
n
k
(arithmetisches Mittel), wobei die zufallsabhängige Größe
k
k 0
nk die empirische Häufigkeit der Ereignisanzahl k darstellt.1 E entspricht somit auch
hier der durchschnittlich beobachteten Anzahl an Schadensereignissen je betrachteter Zeitperiode.2
1 2
Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 87-91; Haubenstock, M./Hardin, L.: (Loss Distribution Approach) S. 177; Henze, N.: (Stochastik) S. 192-194. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 91-92.
155
Bewertung von operationeller Risiken
Poissonverteilung 0,20
Binomialverteilung 0,20
O 8
0,18
m 20; q 0,4
0,18
0,16
0,16
0,14
0,14
0,12
0,12
0,10
0,10
0,08
0,08
0,06
0,06
0,04
0,04
0,02
0,02
0,00
0,00 0
1
2
3
4
5
6
7
8
9 10 11 12 13 14 15 16 17 18 19 20
0
e O k! 0,1,2, ...; O ! 0
p( X k
k)
1
2
3
4
5
6
7
8
9 10 11 12 13 14 15 16 17 18 19 20
§ m· p( X k ) ¨¨ ¸¸ q k (1 q) m k ©k¹ k 0,1,2, ..., m; 0 q 1
O
k
Geometrische Verteilung
Negative Binomialverteilung E 8
0,20 0,18
r 392, E
0,20 0,18
0,16
0,16
0,14
0,14
0,12
0,12
0,10
0,10
0,08
0,08
0,06
0,06
0,04
0,04
0,02
0,02
0,02
0,00
0,00
0
1
2
3
4
5
6
7
8
9 10 11 12 13 14 15 16 17 18 19 20
E (1 E ) k 1
0
k
p( X
k)
: (1 p) k p mit k
p( X p:
1
2
3
4
5
6
7
8
9 10 11 12 13 14 15 16 17 18 19 20
§ k r 1· § 1 ¸¸ ¨¨ k ) ¨¨ © k ¹ ©1 E
· ¸¸ ¹
r
§ E ¨¨ ©1 E
· ¸¸ ¹
1 1 E
0,1,2, ...; E ! 0
k
einparametrige Verteilungen
0,1,2, ...; E , r ! 0
zweiparametrige Verteilungen
Erwartungswert jeweils E[ X ] 8
Abbildung 30 Sinnvolle Verteilungen für die Modellierung der Anzahl von operationellen Ereignissen
k
156
Zweiter Teil
Eine häufig verwendete zweiparametrige Verteilung für die Anzahl der Ereignisse ist die Binomialverteilung.1 Die Binomialverteilung ist in Abbildung 302 dargestellt. Folgt eine Zufallsvariable einer Binomialverteilung X ~ Bi(m, q) , so gilt E ( X ) mq und V ( X ) mq(1 q) .3 Wie bereits in Abbildung 30 suggeriert bietet sich für einen statisti-
schen Fit eine Binomialverteilung an, wenn die Varianz kleiner als der Erwartungswert sein soll.4 Im Vergleich dazu sind bei der Poissonverteilung Erwartungswert und Varianz gleich groß. Der Parameter m kann (auch) über eine qualitative Schätzung, beispielsweise über eine Szenarioanalyse, gewonnen werden. Er gibt die maximale Anzahl aller möglichen Schadensereignisse an (entspricht der Anzahl der Versuche im statistischen Sinn). Die Parameterermittlung kann z. B. unter Zuhilfenahme von Mengengerüsten wie der Anzahl aller betroffenen bankbetrieblichen Prozessschritte, Produkte, Personen etc. vorgenommen werden. Soll beispielsweise die maximale Anzahl aller Ereignisse aus d „Produkt- und Modellmängel im Institut“ gemäß MEKAneu für die betrachtete Zeitperiode geschätzt werden, kann dies über den Umfang eines Produktkatalogs geschehen. Für q kann dann folgender Maxium-Likelihood-Schätzer verwendet werden: m
qˆ
kn 1¦ m
m
k
k 0 m
¦n k 0
k
1 m
¦ kn
k
k 0
n
, wobei nk wie oben.5
arithmetisches Mittel
Die negative Binomialverteilung ist in Abbildung 306 dargestellt. Sie stellt eine Verallgemeinerung der geometrischen Verteilung dar (setze r 1 ). Folgt eine Zufallsvariable einer negativen Binomialverteilung X ~ Nb(r , E ) , so gilt E ( X ) rE und V ( X ) rE (1 E ) .7 Eine negative Binomialverteilung eignet sich für die statistische Modellierung, wenn die Varianz größer als der Erwartungswert sein soll. Die Maximum-Likelihood-Schätzer als zufallsabhängige Größen sind die Lösungen Eˆ
und rˆ der beiden folgenden Gleichungen, wobei wieder gilt n :
f
¦n
k
und nk wie
k 0
oben:8
1 2 3 4 5 6 7 8
Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 89-90; Haubenstock, M./Hardin, L.: (Loss Distribution Approach) S. 177; Nguyen, M.-T./Ottmann, M.: (Loss-Distribution-Approach) S. 44. Quelle: eigene Darstellung. Vgl. Henze, N.: (Stochastik) S. 142-143, S. 166. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 91. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 91. Quelle: eigene Darstellung. Vgl. Henze, N.: (Stochastik) S. 186; Krengel, U.: (Wahrscheinlichkeitstheorie) S. 31-32. Vgl. Rinne, H.: (Statistik) S. 257-262.
157
Bewertung von operationeller Risiken
f
¦ kn
Eˆ rˆ
k
und ln(1 Eˆ )
k 1
n
n 1 f ¦¦ k . n j 1 k t j (rˆ j 1)
arithmetisches Mittel
Hierfür gibt es keine geschlossene Lösung. Es bietet sich an, bei Vorliegen einer Realisation ein iteratives numerisches Verfahren wie die Newton-Raphson-Methode1 zu wählen, etwa mit dem folgenden Momentenschätzwert als Startpunkt: Momenten-Schätzer für die beiden Parameter r und E sind die explizit bestimmbaren Lösungen rˆ und Eˆ der folgenden beiden Gleichungen: 2 f
¦ kn
rE
f
k
und rE (1 E )
k 0
n
arithmetisches Mittel
¦k n 2
k
k 0
n
§ f ¨ ¦ knk ¨ k 0 ¨ n ¨ ©
2
· ¸ ¸ . ¸ ¸ ¹
Manchmal ist es wünschenswert, die für den statistischen Fit gewählte Verteilungsdichte über die Kalibrierung der Parameter hinaus weiter zu modifizieren. Z. B. bei hohen erwarteten Häufigkeiten von Schadensereignissen oder langen betrachteten Zeitperioden kann gegebenenfalls das Eintreten von keinem einzigen Ereignis bzw. allgemeiner das Eintreten von (nur) 0 bis n* Ereignissen ausgeschlossen werden. In diesem Fall ist die Zähldichte, mit der modelliert werden soll, „links abzuschneiden“ (truncated bzw. zerotruncated). Es kann auch wünschenswert sein, den ersten n* Ereignisanzahlen andere Eintrittswahrscheinlichkeiten zuzuweisen (modified bzw. zero-modified), als es die originäre Zähldichte vorsieht.3 In jedem Fall ist dann die Zähldichte neu zu normieren. Dies soll kurz am Beispiel der geometrischen Verteilung demonstriert werden. Werden die Eintrittswahrscheinlichkeiten über alle möglichen Werte für k mit Ausnahme der 0 summiert, erhält man: f
¦p
G
k 1
(X
k)
E 1 E
.
Soll dem Auftreten von keinen Ereignissen in der betrachteten Zeitperiode die Wahrscheinlichkeit 0 zugewiesen werden, so sind die übrigen pG der geometrischen Verteilung für k ! 0 durch diesen Wert zu dividieren, um die „abgeschnittene“ (zerotruncated) Zähldichte zu bekommen: 1 2 3
Vgl. Hubbard J. H./Schleicher D./Sutherland, S.: (Newton-Raphson-Methode) S. 1-33. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 90. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 87, S. 92.
158
Zweiter Teil
pGzero _ truncated ( X
k)
pG ( X
0 für k 0 ° k | X ! 0) ® E k 1 für k 1,2,... °¯ (1 E ) k
In diesem Fall ist die bei 0 abgeschnittene Zähldichte also die ursprüngliche geometrische Verteilung – verschoben um eine Stelle nach rechts. Anders formuliert handelt es sich um eine bedingte geometrischen Verteilung gegeben, dass X ! 0 .
2.
Modellierung der individuellen Schadenshöhen
Neben der Anzahl operationeller Ereignisse, die im vorangehenden Kapitel betrachtet wurde, ist die individuelle Schadenshöhe je Ereignis zu modellieren. Die jeweilige Verlusthöhe wird wieder mit der Zufallsvariablen Yt i, k, j dargestellt. Für diese diskrete oder stetige Zufallsvariable gilt es nun, passende Verteilungsannahmen zu treffen. Dabei wird üblicherweise davon ausgegangen, dass die Schadenshöhe Yt i, k, j und die Anzahl von Ereignissen N ti , j unabhängig voneinander sind. Dabei sollte man sich bewusst sein, dass im Allgemeinen eine Abhängigkeit festzustellen ist: So treten LFHS Ereignisse mit großen Schadenshöhen selten ein, während HFLS Ereignisse mit hohen Eintrittswahrscheinlichkeiten in der Regel kleine Schäden nach sich ziehen. HFHS Ereignisse gibt es kaum (vgl. Abbildung 23). Wird die statistische Modellierung getrennt nach Risiko-Kategorien und Geschäftsfeldern vorgenommen, werden also möglicherweise verschiedene Verteilungen für die Schadenshöhe und die Anzahl von Schadensereignissen gewählt, ist die Annahme der Unabhängigkeit möglicherweise eher zu halten.1 Zur vereinfachten Darstellung und ohne Einschränkung der Allgemeinheit wird im Folgenden eine einzige Risiko-Kategorie ( s 1 ), ein einziges Geschäftsfeld ( g 1 ) und eine einzige Zeitperiode ( T 1 ) angenommen. Die Modellierung des Gesamtverlustes für andere Geschäftsfelder und Risiko-Kategorien wird dann analog vorgenommen. Zur Modellierung der Schadenshöhe können wichtige Rückschlüsse aus der Schadensfalldatenbank gezogen werden. Die im Folgenden diskutierten Verfahren eignen sich insbesondere dazu, Schadensereignisse zu modellieren, die im Bereich High Frequency und Middle Frequency und zudem in einem für ein Institut typischen Wertespektrum liegen. Für diese Ereignisse liegen in einer Schadensfalldatenbank in aller Regel auch genügend Datenpunkte vor. Für Extremverluste (LFHS) werden in Kapitel B.III ergänzend LFHS Ereignisse betrachtet, also Ereignisse, die mit einer niedrigen Eintrittswahrscheinlichkeit eintreten, aber mit einer hohen Schadenshöhe verbunden sind.
1
Vgl. Alexander, C.: (Statistical Models) S. 144-146; Cruz, M. G.: (Modeling Operational Risk) S. 52..
159
Bewertung von operationeller Risiken
An dieser Stelle sollen nun vier Schadenshöhenverteilungen diskutiert werden, die häufig zur Modellierung der Schadenshöhe verwendet werden. Dies sind die Exponential-, Weibull-, Lognormal- und Pareto Verteilung. Es handelt sich jeweils um stetige Verteilungen. Zur Quantifizierung operationeller Risiken wird häufig die (verschobene) Exponentialverteilung hinzugezogen. Dies ist eine Verteilung mit den beiden Parametern O und T . Die Dichte ist gegeben durch f ( x)
1
O
e
1 ( x T )
O
, x tT, O ! 0. 1
Alternativ kann die Exponentialverteilung mit O* :
O
dargestellt werden.
Typischerweise wird die Exponentialverteilung als einparametrige Verteilung verwendet ( T 0 ). Dieser Fall ist auch samt zugehöriger Grafik in Abbildung 31 dargestellt. Der Parameter O stellt dann bei T 0 auch gleichzeitig den Erwartungswert einer exponentialverteilten Zufallsvariablen dar ( E ( X ) O ).1 Somit ergibt sich die durchschnittliche Schadenshöhe als Maximum-Likelihood-Schätzer2:
Oˆ
1 n ¦ Yk , n k1
wobei Yk die n auftretenden Schäden darstellen. Eine stochastische Variable folgt einer Weibull Verteilung, wenn ihre Dichte durch folgende Funktion dargestellt wird:3 § x ·D
f ( x)
D D 1 ¨¨© E ¸¸¹ x e , x t 0, D ! 0, E ! 0 . ED
Für den Spezialfall D 1 erhält man die Exponentialverteilung. Der Erwartungswert der f 1 1 Weibull Verteilung ist gegeben durch E ( X ) E ³ y D e y dy E * ( 1) . Die Vertei0
lungsfunktion ist gegeben durch F ( x) 1 e
1 2 3
§x ¨¨ ©E
·D ¸¸ ¹
Vgl. Freund, J. E.: (Mathematical Statistics) S. 225-228. Vgl. Rinne, H.: (Statistik) S. 283-286. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 52-53.
.
D
160
Zweiter Teil
Die Maximum-Likelihood-Schätzer für D und E sind die Lösungen1 von 1
Eˆ
Dˆ ª1 n Dˆ º « n ¦ (Yi ) » und Dˆ ¼ ¬ i1
n §1· ¨ ¸ ¨ Eˆ ¸ © ¹
Dˆ
n
¦ (Y )
Dˆ
i
i 1
n
.
ln(Yi ) ¦ ln(Yi ) i 1
Die Lösungen werden für die jeweils vorliegende Realisation ermittelt und ergeben dann die zugehörigen Schätzwerte. Eine geschlossene Lösung lässt sich nicht darstellen. Eine weitere Möglichkeit, die Parameter D und E der Weibull Verteilung zu schätzen, basiert auf Konfidenzschätzungen unter Zuhilfenahme der empirischen Verteilungsfunktion. Beschreiben Yk die n Schäden, so wird die empirische Verteilungsfunktion wie folgt dargestellt: Fˆn ( x)
1 n ¦ I ^Y d x`, x . nk1 k
Die Werte a und b seien die 25%- bzw. 75%-Quantile der Weibull Verteilung, d. h. 1 3 F (a) und F (b) . Dann gilt 4 4
D
4 ln ln ln ln 4 3 ln a ln b
und damit erhält man E
D
b . ln 4
Da die genaue Parametrisierung der Weibull Verteilung unbekannt ist, a und b also gesucht werden, können diese mit Hilfe der empirischen Verteilungsfunktion Fˆn über die folgende Beziehung geschätzt werden:2 Fˆn (aˆ )
1 und Fˆn (bˆ) 4
3 . 4
Abbildung 31 zeigt die Dichte einer Weibull Verteilung. Die Lognormal Verteilung wird als mögliche Verteilungsannahme zur Verwendung in einem Verlustverteilungsansatz vom Regulator vorgeschlagen.1 Eine Zufallsvariable Y
1 2
Vgl. Rinne, H.: (Statistik) S. 290-293. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 52-53.
161
Bewertung von operationeller Risiken
folgt einer Lognormal Verteilung, wenn der Logarithmus dieser Zufallsvariable normalverteilt ist. Die Dichte ist gegeben durch2 f ( x)
1
1 2V 2 ln x P e , x ! 0, P ! 0, V ! 0 . 2 x 2SV 1
2
Der Erwartungswert ist E (Y )
Sind Yk
e
P
V2 2
.
e Z k i.i.d. lognormalverteilt ( Yk ~ LN ( P , V 2 ) ), so ist Z k ~ N ( P , V 2 ) i.i.d.
normalverteilt. Aus diesem Zusammenhang ergeben sich die Maximum-LikelihoodParameterschätzer3 n
Pˆ
Zk
1 2 3
Z und Vˆ
¦ (Z
k
Z )2
k 1
n
ln Yk ; k 1,..., n und Z
mit 1 n ¦ Zk . nk1
Vgl. Basel Committee on Banking Supervision: (Working Paper Operational Risk) Annex 4. Vgl. Hipp, C.: (Risikotheorie) S. 139. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 51.
162
Zweiter Teil
Exponentialverteilung 0,0009 0,0016
Weibull Verteilung 1.250
0,0008 0,0014 0,0007 0,0012 0,0006 0,001 0,0005 0,0008 0,0004
0,0016
0,5; 625
0,0014 0,0012 0,0010 0,0008
0,0006 0,0003
0,0006
0,0004 0,0002
0,0004
0,0001 0,0002
0,0002
0 0
0 0
500 500
f ( x)
1.000 1.500 1.500 1.000
1
2.000 2.000
2.500 2.500
3.000 3.000
3.500 3.500
4.000 4.000
0,0000 0
500
1.000
x
e , x 0
f ( x)
Lognormal Verteilung 0,0016
2.000
x 1
x e
2.500
3.000
3.500
4.000
,x0
Pareto (Lomax) Verteilung
6,63; 1
0,0014
1.500
0,0016
0,0012
0,0010
0,0010
0,0008
0,0008
0,0006
0,0006
0,0004
0,0004
0,0002
0,0002
0,0000
3; 2.500
0,0014
0,0012
0,0000 0
500
f ( x)
1.000
1.500
2.000
2.500
3.000
3.500
4.000
1
1 2 2 ln x 2 e ,x0 2 x 1
2
0
500
f ( x)
1.000
1.500
2.000
2.500
3.000
3.500
4.000
, x ( x ) 1
Erwartungswert jeweils E[ X ] 1.250 EUR
Abbildung 31 Sinnvolle Verteilungen für die Modellierung der individuellen Verlusthöhen Die Pareto Verteilung ist eine zweiparametrige, stetige Verteilung auf der positiven Halbachse. Eine Dichte kann wie folgt aussehen:1 f ( x)
, x 0, 0, 0 . ( x ) 1
Diese Variante wird manchmal auch als Pareto-Verteilung 2. Art oder LomaxVerteilung bezeichnet. Diese Verteilung eignet sich für die Modellierung von LFMSund LFHS-Risiken wie etwa y „Anschläge und Unruhen“ und z „Katastrophen und
1
Vgl. Hipp, C.: (Risikotheorie) S. 145.
163
Bewertung von operationeller Risiken
externe Versorgungsengpässe“ gemäß MEKAneu. Der Parameter D steuert die Masse im Tail. Je kleiner D desto mehr Masse liegt im Tail, desto wahrscheinlicher werden also große Schadensfälle.1 Der Erwartungswert der Pareto Verteilung ist gegeben durch E ( X )
T , falls D ! 1 . D 1
Die Maximum-Likelihood-Schätzer für D und T lauten2
Tˆ min Yi und Dˆ 1di d n
1
n Y½ n®¦ ln i ¾ . ¯ i 1 Tˆ ¿
Die Größenordnungen der Tails der Schadensverteilungen, die hier vorgestellt wurden, sind in Tabelle 223 dargestellt. Die Dichten sind hier nach der Masse im Tail sortiert, d. h. je ausgeprägter der Tail, desto weiter unten findet sich die Funktion. Die Betrachtung des Tails ist deswegen von besonderer Wichtigkeit, da bei größerem Tail Risiken, beispielsweise gemessen am Value-at-Risk oder der Standardabweichung, größer sind. Für diese Reihung der Dichten muss eine Fallunterscheidung bei der Weibull Verteilung vorgenommen werden. Verteilung
Dichte § x ·D
Weibull
f ( x) Exponential
f ( x)
f ( x)
1 2 3
D
e x , betrachte D ! 1
D D 1 ¨¨© E ¸¸¹ x e ED 1
O
e
ex
x
O
§ x ·D
Weibull
Lognormal
Größenordnung des Tails
f ( x)
D
e x , betrachte 0 D 1
D D 1 ¨¨© E ¸¸¹ x e ED 1 2SV 2
1
1 2V 2 ln x P e x
Vgl. Hipp, C.: (Risikotheorie) S. 21. Vgl. Rinne, H.: (Statistik) S. 356-358. Modifiziert nach Cruz, M. G.: (Modeling Operational Risk) S. 46.
2
e (ln x )
2
164
Zweiter Teil
Verteilung
Dichte
Pareto
f ( x)
Tabelle 22
Größenordnung des Tails
D T D ( x T )D 1
x (D 1) e (D 1)ln x , mit D ! 0
Asymptotisches Verhalten der Dichten, geordnet nach aufsteigender Masse im Tail
Aus Tabelle 22 sind Rückschlüsse auf die Eignung verschiedener Funktionen für die Modellierung bestimmter Risikotypen möglich. Die Weibullverteilung für eine Parametrisierung mit einem D t 1 ist geeignet für die Modellierung von Ereignis-Kategorien mit einer Low oder Middle Severity. Dabei entspricht D 1 der Exponential Verteilung. In der Versicherungswirtschaft wird die Exponentialverteilung zur Modellierung von kleineren Sachschäden verwendet.1 Ist D 1 , kann die Weibull Verteilung für die Modellierung von Middle und High Severity Schäden eingesetzt werden. In der Versicherungswirtschaft wird die Funktion beispielsweise für die Modellierung von Großschäden im Rückversicherungsbereich verwendet. Selbiges gilt für die Lognormal Verteilung.2 Die Pareto Verteilung kann aufgrund der hohen Masse im Tail für die Modellierung von High Severity Schäden verwendet werden. Im Versicherungsbereich werden hiermit etwa Industrie-Feuer modelliert (vgl. auch Risiko-Kategorie z „Katastrophen und externe Versorgungsengpässe“). In Kapitel B.III (Extremwerttheorie) wird die verallgemeinerte Pareto Verteilung noch eine wesentliche Rolle bei der Modellierung von LFHS Ereignissen in Zusammenhang mit der Extremwerttheorie einnehmen.3
3.
Modellierung der Gesamtverlustverteilung
Der Gesamtverlust Lit, j eines Kreditinstituts je Risiko-Kategorie i eines Geschäftsfelds j und je Periode t ergibt sich aus4 Lit, j
N ti , j
¦Y
i, j t ,k
t 1,..., T .
k 1
1 2 3 4
Vgl. Hipp, C.: (Risikotheorie) S. 134-145. Vgl. Beekmann, F./Stemper, P.: (Quantifizierung operationeller Risiken) S. 84-87. Vgl. Hipp, C.: (Risikotheorie) S. 134-145. Vgl. Embrechts, P./ Kaufmann, R./Samorodnitsky, G.: (Models for Operational Risk) S. 7 f.
165
Bewertung von operationeller Risiken
Für die Modellierung des Gesamtverlustes sollen hier vier verschiedene Verfahren vorgestellt werden. Ohne Einschränkung der Allgemeinheit wird angenommen, dass T 1 (eine einzige Zeitperiode). Zudem werden nur eine Risikokategorie sowie ein Geschäftsfeld betrachtet. Somit ist die Gesamtverlustverteilung P[ L d x] zu L
N
¦Y
k
k 1
gesucht. Die methodische Vorgehensweise zur Ermittlung bzw. Annäherung der Gesamtverlustverteilung visualisiert Abbildung 321. Vier verschiedene Verfahren zur Bestimmung der Gesamtverlustverteilung sollen hier vorgestellt werden: o eine exakte analytische Lösung, o eine exakte rekursiv bestimmte Lösung o ein mögliches Approximationsverfahren sowie o eine Simulation.
1
Quelle: Eigene Darstellung.
166
Zweiter Teil
Modellierung der Anzahl von Ereignissen
Modellierung der Verteilung der individuellen Schadenshöhen
0,16
0,0016
0,14
0,0014
0,12
0,0012
0,10
0,0010
0,08
0,0008
0,06
0,0006
0,04
0,0004 0,0002
0,02
0,0000
0,00 1
2
3
4
5
6
7
8
0
9 10 11 12 13 14 15 16 17 18 19 20 21
analytisch
rekursiv
500
1.000
1.500
approximativ
2.000
2.500
3.000
3.500
4.000
simulativ
Wahrscheinlichkeitsdichte bzw. Häufigkeitsverteilung potenzieller Verluste
Modellierung der Gesamtverlustverteilung je Risiko-Kategorie eines Geschäftsfelds
Standardabweichung 0
Potenzielle (Gesamt-)Verluste in EUR
Erwartungswert
Abbildung 32 Methodische Vorgehensweise zur Modellierung der Gesamtverlustverteilung Für die Ableitung einer exakten analytischen Lösung ist eine Lösung für folgenden Ausdruck zu finden: P[ L d x] P[ N
f
0] ¦ P[ N
n] P[Y1 ... Yn d x] für alle x t 0.
n 1
Häufig lässt sich für diesen Ausdruck keine geschlossene analytische Lösung finden.1 Eine geschlossene Lösung erhält man jedoch, wenn man für die Modellierung der Anzahl der Ereignisse etwa eine Geometrische Verteilung wählt (vgl. Kapitel B.II.1) und
1
Vgl. Mikosch, T.: (Insurance Mathematics) S. 126.
167
Bewertung von operationeller Risiken
für die Modellierung der individuellen Schadenshöhe eine Exponentialverteilung (vgl. B.II.2). Seien also Yi i.i.d. exponentialverteilt mit demselben Parameter (Erwartungswert) O ! 0 und unabhängig von der Häufigkeit N des Auftretens der Ereignisse. Dann gilt
P[ N x
P[Y1 ... Yn d x]
En (1 E ) n1
n]
und
u
1 u n1e O du , da die Summe aus n i.i.d. exponentialverteilO ( n 1 )! 0
³
u
n 0,1,2,...
mit
n
ten Zufallsvariablen einer Erlang-Verteilung folgt. Durch Umformungen erhält man f En 1 1 ¦ u n -1e O du n 1 ³ n 1 E n 1 (1 E ) ]0; x ] O ( n 1)! u
P[ L d x]
E 1 1 E O (1 E ) 2
n 1
· 1 §1 E u ¸¸ e O du ¨¨ ¦ ³ n 1 ( n 1)! © O 1 E ]0; x ] ¹ f
e
O
E
1 E
u
für alle x t 0
u
· § u ¸ ¨ E ¨ 1 1 O (1 E ) ³ e du ¸. ¸ O (1 E ) 1 E 1 E ¨ ]0; x ] ¸ ¨ Exponentia lverteilung mit Parameter O (1 E ) ¹ ©
Dies entspricht einer Mischung aus einer Einpunktverteilung im Nullpunkt und einer Exponentialverteilung mit dem Parameter (Erwartungswert) O* : O (1 E ) . Somit ist eine exakte Gesamtverlustverteilung gefunden. Wird sowohl für die Modellierung der Anzahl der Ereignisse als auch für die Modellierung der Schadenshöhe eine diskrete Verteilung unterstellt, lässt sich P[ L d x] unter bestimmten Voraussetzungen mit einer exakten, rekursiv bestimmten Lösung berechnen.1 Diese wird auch häufiger in der Versicherungsmathematik verwendet. Gesucht ist also wieder die Verteilung für L
N
¦Y
k
mit Yk i. i. d. und unabhängig von N.
k 1
Zwei wichtige Voraussetzungen müssen nun für das hier dargestellte Verfahren erfüllt sein: Die erste Voraussetzung ist, dass die individuellen Schadenshöhen diskrete Werte annehmen. Da Gesamtschäden in diskreten, monetären Beträgen (EUR) angegeben werden, ist dies zunächst keine wesentliche Einschränkung. Zudem können stetige Verteilungen durch diskrete Verteilungen angenähert werden.2
1 2
Vgl. Waldmann, K.-H. (Modified Recursions for Compound Distributions) S. 213-224. Vgl. Mikosch, T.: (Insurance Mathematics) S. 127.
168
Zweiter Teil
Die zweite Voraussetzung ist, dass die Zähldichte der operationellen Ereignisse einem bestimmten Bildungsgesetz gehorchen muss, nämlich P[ N
b· § n] ¨ a ¸ P[ N n¹ ©
n 1]; n 1,2,...; a, b .1
Tatsächlich gibt es nur 3 verschiedene (nicht degenerierte) Verteilungen, die auf {0,1,2,3, …} vom so genannten (a,b)-Typ mit den reellen Zahlen a und b sind. Dies sind die Poissonverteilung, die Binomialverteilung und die Negative Binomialverteilung.2 Die Geometrische Verteilung als Spezialfall einer Negativen Bionomialverteilung fällt auch darunter. Für diese vier in Abbildung 30 bereits dargestellten Verteilungen können a und b gemäß Tabelle 233 angegeben werden.
p( N
Verteilung Poissonverteilung
e O
Ok
Negative Binomialverteilung
b
0
O
E
0
1 E
§m· k ¨¨ ¸¸q (1 q ) mk ©k¹
Binomialverteilung
a
k!
Ek (1 E ) k 1
Geometrische Verteilung
Tabelle 23:
k)
§ k r 1·§ 1 ¨¨ ¸¸¨¨ © k ¹© 1 E
· ¸¸ ¹
r
§ E · ¨¨ ¸¸ ©1 E ¹
q 1 q
E
k
1 E
(m 1)
q (1 q)
(r 1) E (1 E )
Rekursive Berechnung von P[N=k] im Rahmen der Panjer-Klasse
Mit Hilfe der Panjer Rekursion4 erhält man für x ^1,2,3,...` 5 P[ L
1 2 3 4 5
x]
1 1 aP[Y
x i· § ¦ ¨ a b ¸ P[Y 0] i 1 © x¹
i]P[ L
x i] .
Vgl. Waldmann, K.-H. (Modified Recursions for Compound Distributions) S. 213. Vgl. Mikosch, T.: (Insurance Mathematics) S. 127, S. 145-146. Quelle: Eigene Darstellung. Vgl. Asmussen, S.: (Ruin Probabilities) S. 320-323; Mikosch, T.: (Insurance Mathematics) S. 128-130. Die Darstellung kann leicht verallgemeinert werden auf x {d ,2d ,3d , ...} mit d ! 0 ; vgl. Mikosch, T.: (Insurance Mathematics).
169
Bewertung von operationeller Risiken
Y beschreibt die in entsprechend kleinen Einheiten (z.B. Cent) gemessene, stochastische individuelle Schadenshöhe. Startpunkt der Rekursion ist P[ L 0] P[ N 0] .1 Durch Summation ergibt sich entsprechend P[ L d x] . Ein drittes mögliches Verfahren zur Bestimmung der Gesamtverlustverteilung liefert die Normal Power (NP) Approximation als eine approximative Lösung. Yi müssen wieder i. i. d. verteilt und unabhängig von der Häufigkeit des Auftretens der Ereignisse N sein, können aber grundsätzlich sowohl diskret als auch stetig sein. Die Vermutung liegt nahe, dass bei Ereignissen mit hoher Frequenz und kleiner Schadenshöhe, also beispielsweise bei Prozessrisiken (z. B. g „Mangelhafte institutsinterne Kommunikation“ oder h „Projektrisiken“ gemäß MEKAneu), die mit häufig durchlaufenen bankbetrieblichen Prozessen verbunden sind (HFLS, MFLS), die Gesamtverlustverteilung näherungsweise einer Normalverteilung folgt. Diese Vermutung basiert letztlich auf der Gesetzmäßigkeit des Zentralen Grenzwertsatzes.2 Wird für die Häufigkeit der Ereignisse eine Poissonverteilung unterstellt, so gilt für den Gesamtverlust E ( L) O PY und Var ( L) O PY( 2) , wobei O der Parameter der Poissonverteilung und PY
E(Yi ) und P Y( 2 )
E(Yi 2 ) das erste bzw. zweite Moment der für
die Schadenshöhen angenommenen diskreten oder stetigen Verteilung.3 Es wird nun angenommen, dass die erwartete Anzahl der Ereignisse sehr groß ist. Für die Poissonverteilung bedeutet dies, dass angenommen wird, dass der Parameter O – man spricht auch von der Intensität– groß wird, also O o f . ( L OP Y ) /(OP Y( 2 ) )1 / 2 nähert sich dann gemäß zentralem Grenzwertsatz einer Standardnormalverteilung. Für den Gesamtverlust L folgt dann: § x OP Y P[ L d x] | )¨ ¨ OP ( 2 ) Y ©
· ¸ mit ) (x) Verteilungsfunktion der Standardnormalverteilung.4 ¸ ¹
Interessant für die Banksteuerung ist die Bestimmung des (1 H )-Quantils a1H , das als Lösung der Gleichung P[ L d a1H ] 1 H definiert ist. Für die Verwendung eines AMA Ansatzes ist a.999 zu bestimmen, das auch als Value-at-Risk bezeichnet wird. Ist P[ L d x] nicht stetig, muss zur Bestimmung von a1H auf die verallgemeinerte Inverse zurückgegriffen werden. Während in dieser Arbeit die in der Banksteuerung übliche
1 2 3 4
Vgl. Waldmann, K.-H. (Modified Recursions for Compound Distributions) S. 213-224. Vgl. Henze, N.: (Stochastik) S 198-201. Vgl. Asmussen, S.: (Ruin Probabilities) S. 316-319. Vgl. Asmussen, S.: (Ruin Probabilities) S. 316-319.
170
Zweiter Teil
Definition des Value-at-Risk als a.999 E ( L ) verwendet wird, sei an dieser Stelle darauf hingewiesen, dass insbesondere in der Fachliteratur über Stochastik die Definition des Value-at-Risk als a.999 vorgenommen wird. Das ( 1 H )-Quantil a.999 gibt den Verlust an, der in 1000 Zeitperioden (Jahren) im Mittel nur einmal überschritten werden sollte. Die NP Approximation liefert a1H | E[ L ] z1H Var ( L ) , bei poissonverteilten Häufigkeiten ist dann E ( L ) O PY
und Var( L) O PY( 2) . Die Größe z1H beschreibt das ( 1 H )-Quantil der Standardnormalverteilung.1 Somit lässt sich das ( 1 H )-Quantil von dem Gesamtverlust L in diesem Fall einfach annähern über die Momente der Poissonverteilung und der Schadenshöhenverteilung. Eine Verfeinerung dieses Verfahrens ist unter Zuhilfenahme der Edgeworth Entwicklung2 möglich. Diese kann unter bestimmten Voraussetzungen, die an die charakteristische Funktion der Zufallsvariablen L geknüpft sind, angewendet werden. Für poissonverteilte Häufigkeiten sind diese erfüllt, falls O hinreichend groß ist.3 Dann gilt a1H | E ( L) z1H Var ( L) 16 ( z12H 1)
E ( L E ( L)) 3 Var ( L)
bzw. für poissonverteilte Häufigkeiten a1H | OPY z1H OPY( 2) 16 ( z12H 1)
PY(3) , mit PY( 3) PY( 2)
E(Yi 3 ) .4
Die NP Approximation ist gut geeignet, um die Verteilung des Gesamtverlustes L in der Mitte der Verteilung anzunähern. Sie ist jedoch (mit und ohne Edgeworth Entwicklung) weniger geeignet, um die Wahrscheinlichkeiten von sehr hohen Verlusten anzunähern (Extremverluste). Darum ist die NP Approximation insbesondere für HFLS- und MFLS-Risiken in Erwägung zu ziehen. Eine häufig gewählte Methode zur Zusammenführung der Verteilungen von Schadenshöhen und –häufigkeiten besteht in der Verwendung einer Monte-Carlo-Simulation. Sowohl für die Schadenshöhen als auch deren Häufigkeiten werden Pseudozufallszahlen generiert. Hierbei werden stets zwei Prozesse durchlaufen: Zunächst wird eine Schadenshäufigkeit zu einer gegebenen Betrachtungszeitspanne als Zufallszahl generiert. Dies geschieht mit Hilfe der getroffenen Verteilungsannahme für die Verlusthäu-
1 2 3 4
Vgl. Asmussen, S.: (Ruin Probabilities) S. 316-319. Vgl. Asmussen, S.: (Ruin Probabilities) S. 318-319. Vgl. Vgl. Asmussen, S.: (Ruin Probabilities) S. 318-320. Vgl. Vgl. Asmussen, S.: (Ruin Probabilities) S. 318-320.
Bewertung von operationeller Risiken
171
figkeit und den zugehörigen Parametern, die empirisch geschätzt wurden (vgl. Kapitel B.II.1). Wird in diesem ersten Schritt die Zahl N1 generiert, so werden im zweiten Schritt N1 Zufallszahlen für die Schadenshöhen erzeugt. Auch dies geschieht mit Hilfe der getroffenen Verteilungsannahme, diesmal für die Schadenshöhen. Die Summe L1
N1
¦Y
1, k
der generierten Pseudo-Schadenshöhen ist das Ergebnis der ersten Simula-
k 1
tion. Dieser Prozess wird sehr häufig wiederholt und es entsteht eine Zeitreihe mit M simulierten Gesamtschäden {Lt ; t 1, ..., M } . Es ergibt sich eine empirische Verteilungsfunktion, die wie folgt dargestellt werden kann: FˆM ( x)
1 M
M
¦ I^ t 1
Lt d x `
, x .
Durch eine Vergrößerung von M , d. h. einer Erhöhung der Anzahl an Simulationen, nähert sich FˆM ( x) der gesuchten Gesamtverlustverteilungsfunktion F (x) weiter an.1 Die Güte einer Monte-Carlo-Simulation ist offensichtlich von zwei Faktoren getrieben: Zum einen von der Güte der Näherung und zum zweiten von der Schnelligkeit der Näherung. Gerade für LFHS-Risiken kann eine klassiche Monte-Carlo-Simulation suboptimale Ergebnisse liefern.2 Varianzreduzierende Verfahren können hier die Monte-Carlo-Simulation verbessern. Für die Quantifizierung operationeller Risiken werden insbesondere Importance-Sampling-Verfahren verwendet, die auch Verfahren der wesentlichen Stichprobe genannt werden. Sie sind ein varianzreduzierendes Verfahren und deswegen besonders für die Quantifizierungs operationeller Risiken geeignet, weil sie gute Ergebnisse insbesondere auch für LFHS-Risiken liefern können. Bei den Importance-Sampling-Verfahren wird ein höheres Gewicht auf die Bereiche der Verteilung gelegt, die im besonderen Fokus liegen, hier also LFHS-Risiken. Für diesen Bereich werden mehr Zufallszahlen erzeugt. Ein Korrekturfaktor (Likelihood-Quotient) wird so bestimmt, dass das Simulationsergebnis nicht verzerrt wird.3 Anwendungsbeispiele im Zusammenhang mit operationellen Risiken finden sich bei Bee.4
1 2 3 4
Vgl. Reynolds, D./Syer, D.: (General Simulation Framework) S. 200-201; Stögbauer, C.: (Quantitative Operational-Risk-Modellierung) S. 192-194. Vgl. Bee, M. (Importance Sampling and Applications to Operational Risk) S. 2-3. Vgl. Kohlas, J.: (Stochastische Methoden) S.170-177; Korn, R./Korn, E./Kroisandt, G.: (Monte Carlo Methods) S. 55-97; Sandmann, W.: (Importance Sampling) S. 50-80. Vgl. Bee, M. (Importance Sampling and Applications to Operational Risk).
172
Zweiter Teil
III. Extremwerttheorie Die Modellierung der Verlustverteilung für eine Risikokategorie eines Geschäftsfelds mit Hilfe der Extremwerttheorie ist wie die Verfahren, die in den vorangegangen Kapiteln vorgestellt wurden, ebenfalls eine quantitative Bottom-Up-Bewertung. Bislang wurden Verfahren diskutiert, die sich insbesondere für die Modellierung von Risiko-Kategorien im High-Frequency- bzw. im Middle-Frequency-Bereich eignen. Mit Hilfe von Verlustverteilungsansätzen wurde die Verlustverteilung für einzelne Risikokategorien ggf. in Verbindung mit einem Geschäftsfeld modelliert. Die Ableitung eines Value-at-Risk und damit die Bestimmung des ökonomischen Eigenkapitals werden jedoch wesentlich von LFHS-Risiken geprägt. Für solche Ausreißer (Peaks) gibt es in aller Regel in einem einzelnen Kreditinstitut nur eingeschränktes Datenmaterial. Es liegt nahe, gerade für die Modellierung von LFHS-Risiken zusätzlich auf externe Datenbanken zurückzugreifen.1 Auch die Bankenaufsicht weist darauf hin, dass zur umfänglichen Abbildung des Risikoprofils eines Kreditinstitutes zwingend eine Auseinandersetzung mit LFHS Ereignissen bei der Modellierung gehört.2 Die Extremwerttheorie ist besonders geeignet, mit Hilfe verhältnismäßig weniger Datensätze den Tail einer Verlustverteilung für eine Risiko-Kategorie in Verbindung mit einem Geschäftsfeld so abzubilden, dass besonders hohen, nicht vernachlässigbaren Schadensereignissen oberhalb eines zu definierenden Schwellenwertes u noch hinreichend hohe, positive Eintrittswahrscheinlichkeiten zugewiesen werden.3 Gemäß MEKAneu eignet sich die Extremwerttheorie insbesondere für die Modellierung der RisikoKategorien c „Eigenbereicherungsdelikte durch Arbeitgeber“, y „Anschläge und Unruhen“ sowie z „Katastrophen und externe Versorgungsengpässe“. Wie in den folgenden Kapiteln dargestellt macht sich die Extremwerttheorie die Konvergenz einer großen Gruppe von Verteilungsfunktionen gegen eine verallgemeinerte Pareto-Verteilung über einem gewissen Schwellenwert u zu Nutze. Nach Festsetzung des Schwellenwerts u und der Schätzung der beiden Parameter [ und E lässt sich eine Dichtefunktion f high severity f [ , E ableiten, die für LFHS-Risiken, d.h. ab dem Schwellenwert u aussagekräftige Werte liefert. Wie Embrechts/Furrer/Kaufmann betonen, ist es nicht als Nachteil zu werten, dass die Extremwerttheorie keine Verteilung für mögliche Schäden unterhalb von u liefert. Da für diesen Bereich in aller Regel hinreichend
1 2 3
Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 25 S.9; Nguyen, M.T./Ottmann, M.: (Loss-Distribution-Approach) S. 44-45. Vgl. Basel Committee on Banking Supervision: (Framework) Absatz 667. Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S. 161; McNeil, A. J./Frey, R.: (Estimation of tail-related measures) S. 287.
173
Bewertung von operationeller Risiken
viele Datensätze vorliegen, werden sinnvollerweise andere Dichten f low and middle severity für den möglichen Gesamtverlust einer Risiko-Kategorie eines Geschäftsfelds gewählt, wie sie mit Hilfe von Verlustverteilungsansätzen ermittelt werden können.1 Grundsätzlich bestehen verschiedene Möglichkeiten, f low and middle severity und f high severity , falls sie existieren, zusammenzusetzen. Zwei Möglichkeiten sind die Folgenden: Zum einen kann man sie stückweise zusammensetzen, d.h. unterhalb von u gilt f low and middle severity und oberhalb von u gilt f high severity . Hierfür ist ggf. eine Reskalierung notwendig, damit die resultierende Funktion die Eigenschaften einer Dichtefunktion erfüllt. Zum anderen kann man beide Funktionen überlagern wie es in Abbildung 332 exemplarisch dargestellt wird. f low and middle severity wird mit Z und f high severity mit (1 Z ) gewichtet, wobei 0 Z 1 .3 Die resultierende Funktion erfüllt die Eigenschaften einer Dichte, wenn die einzelnen Funktionen Dichten darstellen. Ein Vorteil liegt darin, dass eine solche Funktion einfacher mit Verteilungen anderer Risiko-Kategorien überlagert werden kann. Nachteilig ist, dass für Werte unterhalb von u mit einem gewissen Gewicht die Funktion f high severity verwendet wird, für die nur gesagt werden kann, dass sie
Wahrscheinlichkeitsdichte bzw. Häufigkeitsverteilung potenzieller Verluste
oberhalb des Schwellenwerts u aussagekräftige Werte liefert.
f
Z f low and middle severity (1 Z ) f high severity
Low and Middle Severity: Gewicht Ȧ
0
High Severity: Gewicht 1-Ȧ
Schwellenwert u
Potenzielle (Gesamt-) Verluste in EUR
Abbildung 33 Zusammengesetzte Gesamtverlustverteilung
1 2 3
Vgl. Embrechts, P./Furrer, H. J./Kaufmann, R.: (Quantifying Regulatory Capital) S. 8. Abbildung modifziert nach Nguyen, M.-T./Ottmann, M.: (Loss-Distribution-Approach) S. 45. Vgl. Nguyen, M.-T./Ottmann, M.: (Loss-Distribution-Approach) S. 43-46.
174
1.
Zweiter Teil
Die verallgemeinerte Pareto-Verteilung
In der Extremwerttheorie spielt die verallgemeinerte Pareto-Verteilung eine wichtige Rolle und soll daher zunächst diskutiert werden: Es wird angenommen, dass die Gesamtverluste Lt der einzelnen Perioden t identisch verteilt und unabhängig sind. Deren Verteilungsfunktion F (x ) ist definiert als F ( x) P[ Lt d x] . Die genaue Verteilung sei nicht bekannt. Die verallgemeinerte Pareto-Verteilung wird von den beiden Parametern E und [ bestimmt. Der Definitionsbereich für x bei [ t 0 ist x t 0 und bei [ 0 ist er 0 d x d E / [ . Deren Verteilungsfunktion ist definiert als:
x 1 / [ falls [ z 0 °1 (1 [ ) G[ ,E ( x) ® . E °¯ 1 e ( x / E ) falls [ 0 Dabei ist E ! 0 . Für [
0 erhält man die Exponentialverteilung. Für [ ! 0 erhält man eine reparametri-
sierte Form der Pareto Verteilung, die einen großen Tail hat, d. h. die hohe operationelle Verluste mit einer verhältnismäßig großen Wahrscheinlichkeit belegt. Daher wird sie auch häufig in den Aktuarwissenschaften verwendet.1
2.
Limit Theorem
Die (bedingte) Verteilung des Verlustes, der einen (hohen) Schwellenwert u überschreitet, ist gegeben durch: Fu ( y )
P[ L u d y | L ! u ] , wobei 0 d y l0 u und l0 d f .
Die Verteilungsfunktion Fu ( y ) stellt die Wahrscheinlichkeit dar, dass der Gesamtverlust den Schwellenwert u um höchstens y überschreitet – gegeben, dass der Schwellenwert überhaupt überschritten wird. l0 ist dabei eine obere Grenze des Wertebereiches von L – sozusagen der Maximalverlust. Ohne Einschränkung der Allgemeinheit kann von l0 f ausgegangen werden.
1
Vgl. Embrechts, P./Klüppelberg, C./Mikotsch, T.: (Modelling Extremal Events) S. 162-168; Këllezi, E./Gilli, M.: (Extreme Value Theory) S. 4-11; McNeil, A. J.: (EVT for Risk Managers) S. 3-6; McNeil, A. J./Frey, R.: (Estimation of tail-related measures) S. 280-284; Medova, E.: (Extreme Values) S. 20-21.
Bewertung von operationeller Risiken
175
Während sich ein (endlicher) Maximalverlust bei der Kreditrisikomessung ableiten lässt aus der Gesamtkreditexposition eines Kreditinstituts1 – und zwar vor der Berücksichtigung von Sicherheiten, können Schadensersatzklagen aus operationellen Schadensfällen kaum als beschränkt angenommen werden. Insofern lässt es sich verargumentieren, bei der Quantifizierung operationeller Risiken von einem unbeschränkten Maximalverlust auszugehen, also l 0 f .2 Die Verteilungsfunktion Fu ( y ) kann auch mit Hilfe von F ( y ) dargestellt werden, wobei F ( x) P[ Lt d x] :3 Fu ( y )
F ( y u ) F (u ) , mit y t 0. 1 F (u )
Die wesentliche Aussage der Extremwerttheorie ist nun, dass für eine große Gruppe von Verteilungsfunktionen F ( y ) bei steigendem Schwellenwert u Fu ( y ) gegen die verallgemeinerte Pareto-Verteilung konvergiert. In diese Gruppe von Verteilungsfunktionen fallen alle bekannten stetigen Verteilungen der Aktuarwissenschaften und der Risikotheorie, wie Normal-, Lognormal-, F 2 -, t-, F-, Gamma-, Exponential-, Gleich- und Beta-Verteilung, etc. Genauer kann für diese Gruppe von Verteilungsfunktionen ein Parameter [ und eine Funktion E (u ) vom Schwellenwert u gefunden werden, sodass gilt:
lim sup | Fu ( y ) G[ ,E (u ) ( y ) | 0
u of y t 0
Mit diesem Ergebnis können Verteilungsfunktionen von L oberhalb eines ausreichend hohen Schwellenwertes hinreichend gut angenähert werden.4
3.
Modellierung des Tails
Für die Modellierung des Tails von L ist ein sinnvoller Schwellenwert u festzusetzen. Zusätzlich sind zwei Parameter zu schätzen: [ und E . Bei der Auswahl des Schwellenwertes u sind zwei miteinander konkurrierende Zielsetzungen zu verfolgen: Auf der einen Seite sollte u möglichst hoch gewählt werden,
1 2 3 4
einschließlich (noch) nicht genutzter Kreditlinien und erwarteter Zinseingänge. Vgl. McNeil, A. J.: (EVT for Risk Managers) S. 3-7. Vgl. Hull, J.: (Risk Management and Financial Institutions) S. 224-227. Vgl. Embrechts, P.: (Extreme Value Theory) S. 19-20; Embrechts, P./Klüppelberg, C./Mikotsch, T.: (Modelling Extremal Events) S. 352-356; McNeil, A. J.: (EVT for Risk Managers) S. 3-7; McNeil, A. J./Frey, R.: (Estimation of tail-related measures) S. 280-284.
176
Zweiter Teil
damit man sich das Limit Theorem zu Nutze machen kann und eine hinreichend gute Näherung für L gefunden werden kann. Auf der anderen Seite sollte u möglichst klein gewählt werden, um für die Schätzungen für [ und E noch über genügend Datenpunkte zu verfügen. Liegt in einer einzelnen Zeitperiode eine Datenhistorie Lt mit t 1, 2, ..., N vor, so können Schätzer [ und E für [ und E beispielsweise mit Hilfe der MaximumLikelihood-Methode gewonnen werden. Aus den N Datenpunkten können dabei die Werte genommen werden, die den festgelegten Schwellenwert u überschreiten. Ihre Anzahl soll hier mit N u definiert werden. Man spricht auch von den sogenannten Peaks Over Threshold und benennt das hier vorgestellte Verfahren Peaks-Over-ThresholdMethode.1 In einem letzten Schritt muss die Funktion F ( y ) mit Hilfe der Funktion Fu ( y ) ausgedrückt werden, da F ( y ) die unbekannte Verteilungsfunktion ist, die angenähert werden soll. Wird x definiert als x u y, y t 0 , kann gemäß Limit Theorem für alle x in guter Näherung angenommen werden, dass Fu ( x ) | G[ ,E ( x ) . Aus dem Ausdruck Fu ( y )
F ( y u ) F (u ) erhält man dann:2 1 F (u ) F ( x) | (1 F (u )) G[ ,E ( x u ) F (u ) für x t u .
Somit ist eine Näherungsfunktion für den Tail ( x t u ) der Verteilungsfunktion F ( x ) gefunden, die die Größe F (u ) enthält. Als Schätzer für F (u ) kann F (u ) ( N N u ) / N verwendet werden. In Anwendungen kann F (u ) vorgegeben werden (z. B. 95%) und die Beziehung F (u ) ( N N u ) / N zur Bestimmung von u genutzt werden. Somit erhält man mit z.B. über die Maximum-Likelihood-Methode geschätzten Parametern3 [ˆ und Eˆ N F ( x) 1 u N
1 2 3
1
§ x u ·[ ¨¨1 [ ¸¸ für x t u . E ¹ ©
Vgl. Borkovec, M./Klüppelberg, C.: (Extremwerttheorie für Finanzzeitreihen) S. 225-228; Embrechts, P./Klüppelberg, C./Mikotsch, T.: (Modelling Extremal Events) S. 352-370. Vgl. McNeil, A. J.: (EVT for Risk Managers) S. 3-8. Hull, J.: (Risk Management and Financial Institutions) S. 224-227.
Bewertung von operationeller Risiken
177
Diese Näherungsfunktion hat den zusätzlichen Charme, dass mit ihr auf einfache Weise Quantilswerte berechnet werden können. So lässt sich F 1 (q ) für eine gegebene Wahrscheinlichkeit q ! F (u ) annähern mit: [ º 1 · E ª«§ N (1 q ) ¸¸ 1» F ( q ) u ¨¨ [ «© N u » ¹ ¬ ¼
Zur Bestimmung eines Value-at-Risk sollte F (u ) so bestimmt sein, dass diese Größe
kleiner als das angestrebte Konfidenzniveau q ist. Wird etwa eine Value-at-RiskBetrachtung auf einem Konfidenzniveau von 99,9% angestrebt, kann beispielsweise ein Wert von F (u ) 95% gewählt werden. Dies sollte bei der Wahl von u zusätzlich beachtet werden. Somit ist dann eine einfache Möglichkeit zur Value-at-Risk-Bestimmung gegeben.1
IV. Wahl des Quantifizierungsverfahrens und Bewertung aggregierter Risiken Die Quantifizierung von operationellen Risiken auf Gesamtbankebene lässt sich zunächst herunterbrechen auf die Quantifizierung auf der Ebene einzelner RisikoKategorien und Geschäftsfelder. Hierfür wurden in Kapitel B verschiedene mögliche Ansätze diskutiert. Mit Hilfe des Risk-Mapping operationeller Risiken aus Kapitel A.III werden in Unterkapitel B.IV.1 die Bewertung betrieblicher Abläufe, Verlustverteilungsansätze sowie die Extremwerttheorie als mögliche Quantifizierungsverfahren verschiedenen Risiko-Kategorien zugeordnet. In Unterkapitel B.IV.2 werden eine Reihe von Risiko-Kennzahlen bzw. Risikomaßen, ihre statistischen Eigenschaften sowie Interpretationsansätze vorgestellt. Für die Ableitung des Gesamtrisikos bedarf es dann einer aggregierten Sichtweise über Risiko-Kategorien und Geschäftsfelder hinweg. Hierfür müssen Wechselwirkungen bzw. Korrelationen betrachtet werden, was in Unterkapitel B.IV.3 erfolgt.
1.
Auswahl eines Quantifizierungsverfahrens je Geschäftsfeld und RisikoKategorie
Eine gute Basis für die Darstellung von Risiko-Kennzahlen für operationelle Risiken auf Gesamtbankebene bildet eine Matrix mit den Dimensionen ‚Risiko-Kategorien’ und 1
Vgl. Borkovec, M./Klüppelberg, C.: (Extremwerttheorie für Finanzzeitreihen) S. 228-229; Embrechts, P./Furrer, H. J./Kaufmann, R.: (Quantifying Regulatory Capital) S. 3-4; McNeil, A. J.: (EVT for Risk Managers) S. 3-18; Hull, J.: (Risk Management and Financial Institutions) S. 224-227; Stögbauer, C.: (Quantitative Operational-Risk-Modellierung) S. 199-200.
178
Zweiter Teil
‚Geschäftsfelder’. Dahinter steht die Fragestellung, wo welches Ereignis eintreten kann, bzw. wo welches Risikopotenzial vorliegt. Die Dimensionen der Matrix gliedern sich dann in die individuellen Geschäftsfelder des Kreditinstituts sowie in die RisikoKategorien der jeweils verwendeten MIKA. In Abbildung 341 werden exemplarisch die im Baseler Rahmenwerk genannten Geschäftsfelder2 sowie die 26 Stufe-1-Kategorien der MEKAneu zu Grunde gelegt.3 Zunächst ist zu prüfen, ob jede Kombination aus Risiko-Kategorie und Geschäftsfeld eine praktische Relevanz hat. Möglicherweise kann nicht jedes Risiko in jedem Geschäftsfeld auftreten. Mit Hilfe einer Auswertung auf der institutseigenen Schadensfalldatenbank (und ggf. unter Berücksichtigung externer Datensätze) kann überprüft werden, wie viele Ereignisse in welcher Periode in welchem Matrixfeld aufgetreten sind. Sind für ein Feld der Matrix keine Ereignisse in der Schadensfalldatenbank historisiert, heißt dies jedoch noch nicht, dass für die Zukunft vergleichbare Ereignisse grundsätzlich ausgeschlossen werden können. Für jedes (relevante) Feld ist eine Risikoquantifizierung vorzunehmen. In der exemplarischen Abbildung 34 sind 8 Geschäftsfelder und 26 Stufe-1-Kategorien dargestellt, wodurch sich eine Matrix mit 208 Feldern ergibt. Selbst nach Ausblendung nicht relevanter Felder kann sich eine Matrix mit dieser hohen Anzahl an Feldern angesichts einer möglicherweise lückenhaften Schadensfalldatenbank als schwierig für die Quantifizierung erweisen. Möglicherweise ist die Matrix weiter zu vergröbern. Denkbar ist das Zusammenlegen von Feldern oder auch die Einführung einer (Risiko-) Kategorisierungszwischenstufe 1A analog der MAKABasel_II. Zur Vergleichbarkeit und insbesondere zur Sicherstellung einer Aggregierbarkeit sollten für alle Felder gleiche Bewertungsstandards gelten. Dazu gehört die Wahl von gleichen (bzw. ineinander überführbaren) Konfidenzniveaus und Halteperioden.4 Die RisikoKennzahlen je Matrixfeld müssen sowohl über die Risiko-Kategorien als auch über die Geschäftsfelder hinweg aggregierbar sein.
1 2 3 4
Erweiterte Darstellung nach Stögbauer, C.: (Quantitative Operational-Risk-Modellierung) S. 186. Vgl. Basel Committee on Banking Supervision: (Framework) Anhang 6; siehe auch Anhang 1 dieser Arbeit. Vgl. Cruz, M. G.: (Modeling Operational Risk) S. 31, Stögbauer, C.: (Quantitative Operational-RiskModellierung) S. 185-186. Vgl. Beeck, H./Kaiser T.: (Quantifizierung) S. 649, Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) S. 672.
179
Bewertung von operationeller Risiken
Risiko-Kategorien der MEKAneu Basel-IIGeschäftsfelder
PRO a
PRO b
PRO c
...
EXT y
EXT z
Unternehmensfinanzierung
2,1
0,5
4,9
...
2,0
3,5
21,0
Handel
13,5
1,8
17,4
...
12,0
21,4
105,5
Privatkundengeschäft
32,9
7,3
25,0
...
24,2
52,4
256,9
Firmenkundengeschäft
39,8
8,0
32,4
...
29,3
51,3
310,8
Zahlungsverkehr/ Abwicklung
0,7
0,1
0,9
...
2,0
3,5
21,5
Depot- und Treuhandgeschäfte
2,4
0,5
3,1
...
1,7
3,1
18,5
Vermögensverwaltung
3,0
0,6
3,2
...
2,2
3,9
23,7
Wertpapierprovisionsgeschäft
6,9
2,8
18,0
...
12,4
21,8
132,0
92,1
19,6
95,4
78,0
146,3
...
Exemplarische Risiko-Kennzahlen in Mio. EUR (z. B. Value-at-Risk)
809,0
Gesamtbank
Abbildung 34: Aggregation von Risikokennziffern (z. B. Value-at-Risk) auf Gesamtbankebene Wie können nun geeignete Quantifizierungsverfahren ausgewählt werden? Ausgehend von der institutseigenen MIKA ist für jede Risiko-Kategorie und jedes Geschäftsfeld analog der Matrix von Abbildung 34 ein Quantifizierungsverfahren zu bestimmen, wobei im Einzelfall ein Quantifizierungsverfahren für eine Gruppe von Matrixfeldern in Frage kommt. Das Risk-Mapping aus Kapitel A.III hilft, statistische Eigenschaften verschiedener Risiko-Kategorien zu erkennen, um daraus geeignete Quantifizierungsverfahren abzuleiten. Für die Stufe-1-Risiko-Kategorien der MEKAneu wurde in Kapitel A.III.2 (Abbildung 23) ein Riskmapping vorgenommen. Eine zusammengefasste Dar-
180
Zweiter Teil
stellung findet sich in der folgenden Abbildung1 über den laufenden Buchstaben der jeweiligen Stufe-1-Risiko-Kategorie der MEKAneu. Es wurde diskutiert, dass operationelle Ereignisse mit sehr unterschiedlicher Frequenz und sehr unterschiedlichen Schadenshöhen auftreten. Häufig auftretenden Ereignissen mit niedrigen, durchschnittlichen Schadenshöhen (HFLS – High Frequency Low Severity) stehen extreme Ereignisse gegenüber, die selten eintreten (LFHS – Low Frequency High Severity).
high
HF LS MF LS
Self-Assessment, Indikatorenansatz, Verlustverteilungsansatz g, h, w, x
low
Self-Assessment, Indikatorenansatz, Verlust verteilungsansatz a, k, o, t
LF LS
Self-Assessment, Verlustverteilungsansatz b, i, l, m, p, q, r, s, u low
HF MS MF MS LF MS
Self-Assessment, Indikatorenansatz, Verlustverteilungsansatz d, e, f, j, n, v
Schadenshöhe
HF HS MF HS LF HS
Szenarioanalyse, Extremwerttheorie
Risiko-Kategorie
Eintrittswahrscheinlichkeit
In Kapitel B wurden hierzu bereits mehrere Herangehensweisen und –verfahren für die Quantifizierung operationeller Risiken mitsamt ihrer Anwendbarkeit auf verschiedene Risikotypen diskutiert. Dazu gehören die Bewertung betrieblicher Abläufe, Verlustverteilungsansätze sowie die Extremwerttheorie. Aus diesen Überlegungen zu einem Riskmapping und der Diskussion der Quantifizierungsverfahren heraus, lässt sich der in der folgenden Abbildung2 dargestellte Leitfaden für die Verwendung von Quantifierungsverfahren ableiten.3
c, y, z
high
Abbildung 35 Mögliche Quantifizierungsverfahren für verschiedene Risiko-Kategorien
1 2 3
Quelle: modifiziert nach Schäl, I./Stummer, W.: (Mapping of operational risks) S. 111. Quelle: modifiziert nach Schäl, I./Stummer, W.: (Mapping of operational risks) S. 111. Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S.158-161, Schäl, I./Stummer, W.: (Mapping of operational risks) S. 109-111.
Bewertung von operationeller Risiken
181
Indikatorenansätze (vgl. Kapitel B.I.1) können dort eingesetzt werden, wo der gleiche bankbetriebliche Prozess sehr häufig durchlaufen wird und an bestimmten Stellen fehleranfällig ist. Risiko-Indikatoren eigenen sich daher für die Quantifizierung von HFLSRisiken (High Frequency Low Severity) bzw. MFLS-Risiken (Middle Frequency Low Severity). Im Rahmen eines Self-Assessment (vgl. Kapitel B.I.2) können zusätzlich auch untypische bzw. unerwartete Risiken diskutiert werden. Grundsätzlich ist ein Self-Assessment dazu geeignet, sowohl Low-Frequency- als auch Low-Severity-Risiken zu beleuchten. Unter Verwendung von Worst-Case-Szenarien können mit Szenarioanalysen (vgl. Kapitel B.I.3) für LFHS-Risiken bessere Ergebnisse als mit einem Self-Assessment generiert werden. Für die Modellierung von Risiko-Kategorien im High-Frequency- bzw. im MiddleFrequency-Bereich eignen sich Verlustverteilungsansätze, wie sie in Kapitel B.II diskutiert werden. Je nach statistischer Eigenschaft können für verschiedene Risiko-Kategorien unterschiedliche Verteilungsannahmen für die Ereigniseintrittswahrscheinlichkeit (vgl. Kapitel B.II.1) und für die individuellen Schadenshöhen (vgl. Kapitel B.II.2) gewählt werden. Die Ableitung des ökonomischen Eigenkapitals wird jedoch wesentlich von LFHSRisiken geprägt. Für solche Risiken empfiehlt sich eine ergänzende Modellierung mit Hilfe der Extremwerttheorie (vgl. Kapitel B.III). 2.
Auswahl der Risiko-Kennzahl
Nach Auswahl eines Quantifizierungsverfahrens für operationelle Risiken je RisikoKategorie eines Geschäftsfelds muss eine damit einhergehende Risiko-Kennzahl gefunden werden, mit der in die Banksteuerung eingetreten werden kann. Eine derartige RisikoKennzahl kann reichen von einer Darstellung von Risiken innerhalb gewisser Bandbreiten, etwa im Rahmen eines Self-Assessment, bis hin zu mathematischen Maßen, wie sie auf Grundlage von stochastischen Verlustverteilungen verwendet werden können. Welche Mindestanforderung muss die verwendete Risiko-Kennzahl erfüllen? Zunächst sollte sie ein risikosensitives Maß für tatsächlich vorliegende Risiken sein. RisikoKennzahlen werden insbesondere für folgende Zielsetzungen benötigt: o für die Steuerung/das Controlling operationeller Risiken o für die (ökonomische/regulatorische) Eigenkapitalunterlegung und o für eine risikoadjustierte Ergebnismessung1.
1
Vgl. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 504.
182
Zweiter Teil
Für diese Zielsetzungen gelten unterschiedliche Ansprüche an Risiko-Kennzahlen. Für die (Gesamtbank-) Steuerung bzw. das Controlling sind Risiko-Kennzahlen analog der im Kredit- bzw. Marktpreisrisikomanagement verwendeten Value-at-Risk-Kennzahlen wünschenswert. Aufgrund von Portfolioeffekten sind diese in der Regel nicht additiv. Für die Allokation von ökonomischem Eigenkapital jedoch werden Risiko-Kennzahlen benötigt, die additiv sind. Die Eigenkapitalunterlegung auf Gesamtbankebene muss der Summe der Unterlegung auf Einzelgeschäftsfeld- bzw. Einzelrisiko-Kategorie-Ebene entsprechen. Den Geschäftsfeldern können kaum höhere Eigenkapitalkosten (kalkulatorisch) in Rechnung gestellt werden als auf Gesamtbankebene in der Summe tatsächlich anfallen (vgl. die Ausführungen zu subadditiven Risikomaßen weiter unten). Wird daher die ökonomische Eigenkapitalunterlegung mit Hilfe von Verlustverteilungen je Geschäftsfeld und Risiko-Kategorie ermittelt, muss den Geschäftsfeldern die Eigenkapitalerleichterung resultierend aus Portfolioeffekten wieder gutgeschrieben werden (unerwarteter Verlust auf Gesamtbankebene ist kleiner der Summe der unerwarteten Verluste auf Geschäftsfeldebene). In Kapitel A.I des dritten Hauptteils wird hierzu ausführlicher dargestellt, wie Risiko-Kennzahlen dahingehend adjustiert werden können, dass sie auch für die Eigenkapitalunterlegung verwendet werden können. Zunächst soll auf Risiko-Kennzahlen eingegangen werden, wie sie für die Steuerung bzw. das Controlling verwendet werden können. Im Rahmen einer mathematischen Quantifizierung wird von Risikomaßen statt von Risiko-Kennzahlen gesprochen. Zuerst soll wieder die Zufallsvariable L betrachtet werden – der mögliche, eintretende Verlust. L nimmt reelle Werte für verschiedene (Schadens-) Szenarien an. Nach Auswahl einer geeigneten Verteilungsfunktion für L wird mit Hilfe von stochastischen Momenten bzw. Quantilen versucht, Risiken zu quantifizieren. Die klassische Betrachtung von Standardabweichungen bzw. Varianzen reicht bei der Quantifizierung von operationellen Risiken typischerweise nicht aus, da sich die zugehörigen Verlustverteilungsfunktionen asymetrisch darstellen und das Down-Side-Risk gemessen werden soll.1 Für die Definition eines Risikomaßes wird zunächst ein Raum : benötigt, der verschiedenste Szenarien repräsentiert. Der mögliche finanzielle Verlust kann gemäß L : : o dargestellt werden ( Menge der reellen Zahlen). L(Z ) stellt die Höhe des Verlustes am Ende einer Periode dar, gegeben dass das Szenario Z : eingetreten ist. Auf einem linearen Raum & von beschränkten Funktionen auf : (Zufallsvariablen) kann ein Risikomaß wie folgt definiert werden: Eine Funktion U : & o wird (monetäres) Risikomaß genannt, wenn für alle L1 , L2 & folgende Eigenschaften erfüllt sind:
1
Vgl. Föllmer, H./Schied A.: (Stochastic Finance) S. 152 f.
183
Bewertung von operationeller Risiken
Monotonie: Wenn L1 t L2 , dann gilt U ( L1 ) t U ( L2 ) . Translationsinvarianz: Ist m , dann gilt U ( L1 m)
U ( L1 ) m .1
Die Monotonieeigenschaft lässt sich direkt betriebswirtschaftlich nachvollziehen: Sie beinhaltet, dass mit einem höheren (möglichen) Verlust auch ein höheres Risiko verbunden ist. Die Translationsinvarianz lässt sich damit begründen, dass eine wesentliche Verwendung eines Risikomaßes in der Ableitung einer Eigenkapitalanforderung liegt. Interpretiert man U ( L1 ) als ökonomisch oder regulatorisch notwendiges Eigenkapital für ein Risiko verbunden mit dem Verlust L1 , so würde sich die Eigenkapitalunterlegung um m erhöhen, wenn man den stochastischen Verlust L1 um die deterministische Größe m erhöht.2 Würde man umgekehrt den Betrag U ( L2 ) als Eigenkapital für einen stochastischen Verlust L2 binden, ergibt sich für den angepassten Verlust ~ ~ L L2 U ( L2 ) konsequenterweise U ( L ) U ( L2 ) U ( L2 ) 0 . Somit bedarf es in diesem Fall keiner weiteren Eigenkapitalunterlegung.3 Betrachtet man statt –wie bei der Betrachtung von operationellen Risiken üblich– den möglichen Verlusten die möglichen Werte einer (finanziellen) Position4, gibt es bei der Diskussion von Eigenschaften eines (monetären) Risikomaßes einzelne Vorzeichenwechsel (z. B. bei der Betrachtung der Translationsinvarianz). Ein (monetäres) Risikomaß wird positiv homogen genannt, wenn für jedes L1 & und O t 0 folgende Eigenschaften erfüllt ist: U (O L1 ) OU ( L1 ) . Man spricht von einem subadditiven Risikomaß, wenn folgende Eigenschaft erfüllt ist:
U ( L1 L2 ) d U ( L1 ) U ( L2 ) für alle L1, L2 & . Vollständigkeitshalber soll erwähnt werden, dass bei positiver Homogenität die Begriffe konvexes Risikomaß (vgl. Definition von Föllmer, H./Schied A.: (Stochastic Finance) S. 154) und subadditives Risikomaß synomym verwendet werden können.5 Die Subadditivität spiegelt einen klassischen Grundgedanken der Portfoliotheorie wider – den der Diversifizierung: Fasst man zwei Portfolios zusammen, so ist das Gesamtrisiko bei Subadditivität kleiner als die Summe der Risiken der Teilportfolios. Dann müs-
1 2 3 4 5
Vgl. Föllmer, H./Schied A.: (Stochastic Finance) S. 153 f; Hull, J.: (Risk Management and Financial Institutions) S. 199-201. Vgl. Föllmer, H./Schied A.: (Stochastic Finance) S. 153 f. Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 239. Vgl. z. B. Föllmer, H./Schied A.: (Stochastic Finance) S. 152-160. Vgl. Föllmer, H./Schied A.: (Stochastic Finance) S. 154 f; Hull, J.: (Risk Management and Financial Institutions) S. 199-201.
184
Zweiter Teil
sen für die Steuerung operationeller Risiken Limite für die Gesamtbank enger gefasst werden als die Summe der Einzellimite. Würden Aufsichtsbehörden keine subadditiven Risikomaße zur Ableitung des regulatorischen Eigenkapitalbedarfs verwenden, hätten Kreditinstitute einen Anreiz, sich in diverse Tochterunternehmen zu untergliedern.1 Tatsächlich wird gerade die umgekehrte Entwicklung gefördert. So gestattet der deutsche Regulator mit der so genannten Waiver-Regelung (§ 2a KWG2), dass Mutter- oder Tochterinstitute eines Konzerns unter bestimmten Anforderungen an die Transferierbarkeit von Eigenkapital innerhalb des Konzerns und an das konzernweite Risikomanagement auf die Meldung des Eigenkapitalbedarfs gemäß § 10 KWG3 auf Einzelinstitutsebene verzichten können.4 Stattdessen erfolgt dann die Messung des notwendigen Eigenkapitals auf Konzernebene. Subadditivität liegt bei Risikomaßen nicht immer vor. So ist der Value-at-Risk beispielsweise im Allgemeinen nicht subadditiv. Die Aggregation von Risiken muss sich auch nicht zwingend subadditiv verhalten. So können sich Risiken einzelner RisikoKategorien durchaus auch gegenseitig verstärken. So können sich etwa Prozessrisiken und externer Betrug gegenseitig verstärken, sodass das gemessene Gesamtrisiko im Einzelfall größer sein kann als die Teilrisiken (vgl. Kapitel A.III.3 empirische Wechselwirkungen). Die folgende Abbildung zeigt exemplarisch die Risikomaße Standardabweichung, Varianz und Value-at-Risk sowie ihre Eigenschaften. Risikomaß
Monotonie
Standardabweichung Varianz Value-at-Risk
Tabelle 24
nein
Translationsinvarianz ja
Pos. Homogeni- Subadditivität tät ja ja
nein ja
ja ja
nein ja
nein nein
Eigenschaften ausgewählter Risiko-Kennzahlen
Von den in Tabelle 245 dargestellten Risiko-Kennzahlen ist offensichtlich nur der Value-at-Risk ein monotones Risikomaß. Der Value-at-Risk VaR O ( L) von einem möglichen Verlust L wird definiert als kleinstes m mit P[m L ] d O :
1 2 3 4 5
Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 240. Vgl. Deutsche Bundesbank (KWG) § 2a. Vgl. Deutsche Bundesbank (KWG) § 10. Gleiches gilt für die Vorschriften gemäß §§ 13/13a KWG (Groß- und Millionenkredite) und § 25a Abs. 1 Satz 3 Nr. 1 (angemessenes Risikomanagement), vgl. Deutsche Bundesbank (KWG). Darstellung nach Heilmann, W.-R.: (Risikotheorie) S. 136.
Bewertung von operationeller Risiken
185
VaR O ( L) inf{m; P[m L] d O} .1 Anders ausgedrückt ist der Value-at-Risk das (1 O ) -Quantil der Verlustverteilung F von L , also VaR O ( L)
F m (1 O ) . Dabei bezeichnet F m die Inverse F 1 von F
bzw. falls nicht existent die verallgemeinerte Inverse, d.h. die Quantilsfunktion. Ein typischer bzw. aufsichtlich für AMA-Quantifizierungsmodelle vorgeschriebener Wert ist O 0,01 .2 Der VaR ist also ein Quantilswert einer Verlustverteilung. Anschaulich interpretiert ist er die Verlustobergrenze, die nur mit einer Wahrscheinlichkeit von O überschritten wird. Abschätzungen von Verlustobergrenzen sind für die Bankpraxis wünschenswert. Im Allgemeinen ist der Value-at-Risk als monetäres Risikomaß nicht subadditiv. In Spezialfällen verhält sich der VaR jedoch subadditiv, etwa wenn für zwei normalverteilte L1 , L2 & auch gilt, dass jede Linearkombination normalverteilt ist. Dies ist der Fall, §L · wenn der Vektor ¨¨ 1 ¸¸ eine zweidimensionale Normalverteilung hat.3 © L2 ¹
In der Banksteuerung ist es gebräuchlicher, stattdessen VaR O ( L) zu verwenden, der wie folgt definiert werden soll: VaR O ( L)
VaR O ( L) E[ L ] .
Er ergibt sich aus VaR O ( L) durch einfache Subtraktion des Erwartungswertes von L . Dahinter steht die Annahme, dass der erwartete Verlust bereits in der Kalkulation berücksichtigt wird und er so nicht mehr als eigentliches Risiko angesehen wird.
3.
Aggregation von Risiken über Geschäftsfelder und Risiko-Kategorien
Eine wesentliche Herausforderung bei der Quantifizierung der Gesamtbankrisiken liegt in der Aggregation von Risikomaßen, etwa über Geschäftsfelder und Risiko-Kategorien hinweg. Bei der Diskussion konkreter Quantifizierungsverfahren wurde die Sichtweise bislang auf lediglich eine Zufallsvariable Lt für eine Risikokategorie i und ein Geschäftsfeld j beschränkt, also jeweils nur eine Risiko-Kategorie in einem einzelnen Geschäftsfeld.
1 2 3
Vgl. Föllmer, H./Schied A.: (Stochastic Finance) S. 158 f; Heilmann, W.-R.: (Risikotheorie) S. -123-137. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absatz 667. Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 242.
186
Zweiter Teil
N ti , j bezeichnet die Anzahl der Ereignisse der Risiko-Kategorie i im Geschäftsfeld j
in Periode t. Der Gesamtverlust eines Kreditinstituts für die Periode t Lt ergibt sich aus1 Lt
s
g
¦ ¦ Lijt
mit Lijt :
i 1 j 1
Ntij
¦Y
ij tk
und t 1,..., T .
k 1
Wenn für jede Risikokategorie i ( i 1,..., s ) eines Geschäftsfelds j ( j 1,..., g ) eine Verteilungsfunktionen Fij der Lijt für ausgewählt wurde, müssen für eine aggregierte Betrachtung Wechselwirkungen der Einzelrisiken berücksichtigt werden. In Kapitel A.III.3 wurde bereits diskutiert, dass Wechselwirkungen zwischen Lijt für (i 1,..., s und j 1,..., g ) nicht oder nur sehr eingeschränkt empirisch über eingetretene Schadensfälle zu beobachten sind. Umso schwerer fällt es, Wechselwirkungen quantitativ darzustellen. Klassischerweise werden Abhängigkeiten über lineare Korrelationen dargestellt. Lineare Korrelationen werden etwa verwendet, wenn als Risikomaß U die Standardabweichung V verwendet wird. Für Verluste Lt Lit1 j1 Lit2 j 2 zweier verschiedener Risiko-Kategorien ( i1 bzw. i2 ) in verschiedenen Geschäftsfeldern ( j1 bzw. j 2 ) gilt 2 V Gesamt : V i2 j V i2 j 2 Cov(i1 j1 , i2 j2 ) V i2 j V i2 j 2 Cor (i1 j1 , i2 j2 ) V i j V i 1 1
2 2
1 1
2 2
1 1
2 j2
oder mit einer anderen Notation ausgedrückt V ( Lt ) V ( Lit1 j1 ) V ( Lit2 j2 ) 2Cov ( Lit1 j1 , Lit2 j2 ) .
Dabei bezeichnet V Gesamt die Standardabweichung der Gesamtverluste aus den RisikoKategorien i1 und i2 der Geschäftsfelder j1 bzw. j 2 und V ( Lt ) die zugehörige Varianz. Cov stellt die Kovarianz und Cor den Korrelationskoeffizienten dar. Es folgt für die Standardabweichung
V Gesamt d V i j V i 1 1
2 j2
(Subadditivität).
Entsprechend kann das Gesamtbankrisiko V Gesamtbank über alle s Risiko-Kategorien und g Geschäftsfelder wie folgt abgeschätzt werden:
V Gesamtbank d
1
¦V
ij i 1,..., s ; j 1,..., g
(folgt mit vollständiger Induktion).
Vgl. Embrechts, P./ Kaufmann, R./Samorodnitsky, G.: (Models for Operational Risk) S. 7 f.
187
Bewertung von operationeller Risiken
Bei allen Schwierigkeiten, lineare Korrelationen empirisch abzuleiten, kann mit dieser Ungleichung zumindest eine Obergrenze für das Gesamtbankrisiko (bzw. das aggregierte Risiko mehrerer Risiko-Kategorien und Geschäftsfelder) angegeben werden. Eine modernere Möglichkeit, Abhängigkeiten darzustellen, besteht in der Verwendung von Copulas. Sie beinhalten mehr Informationen über Abhängigkeiten als lineare Korrelationen und vereinfachen eine schrittweise Ableitung der Gesamtverlustverteilung. Eine d-dimensionale Copula C ( L)
C (l1 , ... , l d ) mit C : [0;1] d o [0;1] ist eine Vertei-
lungsfunktion auf [0;1] d bei der die Randverteilungen gleichverteilt sind auf [0,1] . Nach dem Satz von Sklar existiert für jede mehrdimensionale Verteilungsfunktion F mit den Randverteilungsfunktionen F1 , ... , Fd eine Copula C : [0;1] d o [0;1] , sodass für alle erweitert reellen Zahlen x1 , ... , x d aus F ( x1 ,..., x d )
[f, f] gilt
C ( F1 ( x1 ),..., Fd ( x d )) .
In der hier gewählten Anwendung ist d
s g , also das Produkt aus der Anzahl der
Geschäftsfelder und der Anzahl der Risiko-Kategorien. Sind die Randverteilungen F1 , ... , Fd stetig, dann ist die Copula C sogar eindeutig definiert.1 Das bedeutet, dass jede mehrdimensionale Verteilungsfunktion eines Zufallsvektors (hier streng genommen einer ‚ s x g ’-Zufallsmatrix) zwei wesentliche Informationen enthält: Die Randverteilungen für die einzelnen Komponenten des Vektors und eine funktionale Beschreibung ihrer Abhängigkeitsstrukturen. Für die aggregierende Quantifizierung operationeller Risiken wird die Verteilungsfunktion von Lt
s
g
¦¦ L
ij t
mit t 1,..., T gesucht. Als Risikomaß soll jetzt wieder der Va-
i 1 j 1
lue-at-Risk VaR O ( Lt ) Verwendung finden. Für diesen kann bereits eine obere Schranke abgeleitet werden.2 Mit der Definition
VaRO , max :
inf
u[ 0 ,1] d , C ( u ) O
m
( F11 (u11 ) ... Fsgm (usg )) ,
wobei die Copula in die Infimumsbildung eingeht, gilt folgende Schranke:3
1 2 3
Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 184-187. Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 248-253. Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 252-253.
188
Zweiter Teil
VaRO ( Lt ) d VaRO , max .
Dabei 11 t
F11, ..., F1g , ..., Fs1, ..., Fsg
sind 1g t
s1 t
m ij
sg t
L , ..., L , ..., L , ..., L . F
die
Verteilungsfunktionen
von
bzeichnet wieder die Inverse von Fij bzw. falls nicht
existent die verallgemeinerte Inverse, d.h. die Quantilsfunktion. C (genauer: Ct ) ist eine Copula zu der Verteilung des Zufallsvektors ( Lijt ; i 1,..., s; j 1,..., g ) . Für die Steuerung ist es sehr vorteilhaft, das Gesamtrisiko mit einer oberen Schranke abzuschätzen. Leider ist die hier dargestellte obere Schranke VaRO ,max nicht immer hinreichend klein.1 Die Verwendung von Copulas erlaubt eine zweistufige Herangehensweise an die Ableitung von Gesamtverlustverteilungen: Zunächst werden die Verlustverteilungen jeweils für die einzelnen Risiko-Kategorien i und Geschäftsfelder j bestimmt. Hierfür können die Erkenntnisse aus Kapitel B.II, insbesondere auch bzgl. der Parameterschätzung verwendet werden. Im nächsten Schritt wird dann eine Copula gesucht, die die Wechselwirkungen der Einzelrisiken am besten darstellt. Hier sind ebenfalls Verteilungsannahmen bzgl. des statistischen Verfahrens nötig. Über F ( x1 ,..., x d ) C ( F1 ( x1 ),..., Fd ( x d )) mit d s g kann dann eine Gesamtverlustverteilung ermittelt werden. Eine vergleichsweise einfache Ableitung einer oberen Schranke für den Value-at-Risk ergibt sich aus dem oben dargestellten Verfahren. Hierfür ist die Kenntnis eines analytisch geschlossenen Ausdrucks für die Gesamtverlustverteilung F ( x1 ,..., xd ) noch nicht notwendig. Im Folgenden sollen noch beispielhaft einige Copulas vorgestellt werden, die als Verteilungsannahmen eines statistischen Verfahrens verwendet werden können. Die Independence Copula wird wie folgt definiert: (u1 ,..., u d ) :
d
u
i
i 1
Aus dem Satz von Sklar folgt, dass Zufallsvariablen genau dann unabhängig sind, wenn sich ihre Abhängigkeitsstruktur über eine Independence Copula darstellen lässt.2 Die Comonotonicity Copula hingegen verkörpert vollständige Abhängigkeit, d. h. sie stellt die Verteilungsfunktion eines Zufallsvektors mit identischen Komponenten dar. Sie ist gegeben durch:
1 2
Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 186-190. Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 248-250.
Bewertung von operationeller Risiken
189
M (u1 , ..., ud ) : min{u1 , ..., ud } Eine weitere (bivariate) Copula ist die Gumbel Copula. Sie weist folgende geschlossene Form auf: CTGu (u1 , u 2 ) exp{(( ln u1 )T ( ln u 2 )T )1 / T } , mit 1 d T f .
Die Independence Copula ergibt sich aus der Gumbel Copula als Spezialfall für T 1 . Für T o f hingegen ergibt sich die zweidimensionale Comonotonicity Copula. Die Gumbel Copula bewegt sich also zwischen vollständiger Abhängigkeit und vollständiger Unabhängigkeit. Ihr Parameter T kann daher auch als Abhängigkeitsgrad angesehen werden.1 Der Vollständigkeit halber soll noch erwähnt werden, dass Copulas nicht immer über einen geschlossenen Ausdruck angegeben werden können. Die sehr häufig verwendeten Gauss Copulas etwa haben keine geschlossene Form, können aber als Integral über Dichten von normalverteilten Zufallsvariablen angegeben werden.2
1 2
Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 191-192. Vgl. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) S. 190 ff.
Dritter Teil:
Steuerung von operationellen Risiken
Steuerungsansätze hat es bereits früher etwa in Form von Betrugsprävention, internen Kontrollsystemen oder Mindestanforderungen an Kreditprozesse gegeben.1 Mittlerweile versuchen Kreditinstitute jedoch nicht nur punktuell sondern mit einem umfassenden Steuerungsansatz mit operationellen Risiken umzugehen. Zudem wird die Steuerung von operationellen Risiken gleichwertig zur Steuerung von Marktpreis- oder Kreditrisiken gesehen und ist als solche auch konsistent in der Gesamtbanksteuerung zu berücksichtigen.2 Die Bankenaufsicht fordert zwar ein aktives Management von operationellen Risiken ein, lässt aber Details der Ausgestaltung offen.3 In diesem Hauptteil wird zunächst dargestellt, wie die Höhe des zu unterlegenden ökonomischen Eigenkapitals für operationelle Risiken aus den Ergebnissen der im zweiten Hauptteil diskutierten Quantifizierungsverfahren abgeleitet werden kann. Am Beispiel der Kreditrisiken wird gezeigt, dass herkömmliche Allokationsverfahren für ökonomisches Eigenkapital Schwächen aufweisen und Risiken nicht hinreichend genau darstellen. Kreditrisikodatenbanken und Schadensfalldatenbanken für operationelle Schadensfälle sind derzeit in Kreditinstituten typischerweise nicht ausreichend separiert, sodass insbesondere empirisch ermittelte Kreditirisikosteuerungsparameter verzerrt sein können. Dadurch kann es zur systematischen Fehlsteuerung kommen.4 Bis diese Schwachstellen behoben sind, werden Übergangslösungen benötigt. In dieser Arbeit wird für Kreditinstitute für diese Übergangszeit ein pragmatisches Verfahren entwickelt, das dabei unterstützt, ökonomisches Eigenkapital stärker risikoursachenbezogen zu allozieren. Es versucht, den Effekt der ungenügend getrennten Datenbanken ein Stück weit auszugleichen. Das Riskmapping der Risiko-Kategorien der MEKAneu im zweiten Hauptteil hat gezeigt, dass die Einzelkategorien sehr heterogen sind. Für das gesamte Spektrum an Kategorien werden in diesem Hauptteil unterschiedliche Steuerungsansätze dargestellt. Zunächst werden Ansätze zur Risikovermeidung und –minderung besprochen und dann Herausforderungen bei dem Transfer von Risiken, etwa durch Outsourcing oder Versicherungen, diskutiert. Zuletzt wird auf die reaktive Steuerung eingegangen.
1 2 3
4
Vgl. Bundesaufsichtsamt für das Kreditwesen: (MaK); Bodensohn, K./Kreische, K.: (Kontrollsystem gemäß MaK) S. 175-205. Vgl. Basel Committee on Banking Supervision: (Sound Practices) Absatz 7. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 660-679; Basel Committee on Banking Supervision: (Sound Practices); Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) BTR 4; Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) S. 36. Vgl. Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 278-279.
I. Schäl, Management von operationellen Risiken, DOI 10.1007/978-3-8349-6548-6_4, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
192
Dritter Teil
Abgrenzung zu anderen Risiken O pe ra tio nel le R is i ken
K red itrisi ken
• Pro zessris iken
• A u sfallrisi ko
• Perso n enrisik en
• B on itäts ris iko
M ark tpre isri si ke n
Li quid itä tsr isike n
• Z in sän d erun gs ris iken • W äh run gs ris iken
• Sy stem risik en
• A k tien k urs ris iken
• E xt ern e Ris ike n
Kategorisierung operat. Risiken Prozessrisiken (PRO)
Personenrisiken (PER)
Systemrisiken (SYS)
Externe Risiken (EXT)
MEKAneu und Basel-II-Überleitung 4 R is i k o - O b e r k a te g o r ie n
4 R i s i k o - O b e rk a t e g o r i e n
P RO , PE R, S Y S , E X T
P R O , P E R , SY S, E X T
7 K a t e g o ri e n
• Li qu id itätsans pan n un gs ri sik en • T erm in risik en
Risiko-Kategorie Nr. t
Risiko-Kategorie Nr. u
Risiko-Kategorie Nr. v
Ereignis-Kat. t.1 Ereignis-Kat. t.2 Ereignis-Kat. t.3
Ereignis-Kat. u.1
Ereignis-Kat. v.1 Ereignis-Kat. v.2 Ereignis-Kat. v.3
I -V I I
2 0 K a te g or ie n
2 6 R i s i k o -K a t e g o r i e n
a -t
• A bru fris ik en
• R oh sto f fp reisrisi ken
a- z
f (x )
1 0 0 E r e i g n i s -K a t e g o r i e n a .1 -a . 5 , . .. , z . 1 - z .7
Ereignis-Kat. t.6
IV PER
V
8
VI
SYS
0,02
0 89
85
81
77
73
0
VII
65 69
6
7
1
61
III
2
53 57
II PRO
3
49
I
4
1
0,0
5
45
2,0
41
4,0
17
6,0
0,04
1
25
8,0
21
10,0
0,06
2
37
12,0
3
29 33
14,0
Empirische Häufigkeit der Ereignisanzahlen
16,0
5
18,0
Zähldichte der Poissonverteilung mit O=47
20,0
Parameterschätzer
9 13
Grobbewertung RisikoKategorien MEKAneu
Mögliche Anzahl operationeller Ereignisse je Quartal
EXT
Auswahl Quantifizierungsverfahren
Quantifizierungsverfahren 0, 16
Self-Assessment, Indikatorenansatz, Verlustverteilungsansatz g, h, w, x
0, 14 0, 12 0, 10
Self-Assessment, Indikatorenansatz, Verlust verteilungsansatz a, k, o, t
0, 08 0, 06 0, 04
Self-Assessment, Verlustverteilungsansatz b, i, l, m, p, q, r,s, u
Risikoabgrenzung und Adjustierung
4 .3 5 0
+
0, 02 0, 00 1
c, y, z
2 3
4
5
6
7
8
9 1 0 11 12 13 14 1 5 1 6 1 7 18 19 20 21
R isiko-K ategorien de r M IK A ne u PR O a
PRO b
U ntern eh me nsfin anzier un g
B asel-IIG esch äftsfeld er
V aR 2
re i n e r K re d i t ve r lus t
1 3 .2 0 0
PRO c
...
E XT y
E XT z
2,1
0,5
4,9
...
2,0
3,5
21,0
H an del
13,5
1,8
17,4
...
12,0
21,4
105,5
P riv atk un de nge sc häft
32,9
7,3
25,0
...
24,2
52,4
256,9
F irm en ku n den ge sc häft
39,8
8,0
32,4
...
29,3
51,3
310,8
Zah lu ng sverk e hr/ A b w icklun g
0,7
0,1
0,9
...
3,5
D ep o t- u nd T reuh and g esc hä fte
2,4
0,5
3,1
...
3,1
2,0 1,7
21,5 18,5
V e rm ö gen sve rw altun g
3,0
0,6
3,2
...
2,2
3,9
23,7
W ertp apierpr ov isio nsgesch äft
6,9
2,8
18,0
...
12,4
21,8
132,0
V a R 12
1 5 .0 0 0
92,1
19,6
95,4
78,0
146,3
809,0
...
E xem plarisc he R isiko-K ennza hlen in M io. E U R (z. B . V alue -at-R isk)
G esam tbank
Risikoorientierte Steuerung Schadenshäufigkeit Schadenshäufigkeit
Dritter Teil
tel
t uel Schadenshöhe Schadenshöhe
Schadenshäufigkeit Schadenshäufigkeit
o p e ra t i o ne l l e r V e rl u st
Szenarioanalyse, Extremwerttheorie
Ökonomische Kapitalsteuerung
V a R 12 E r ge b n i s d e s K re d it p o rt f ol i o m o d e l ls V aR 1
Self-Assessment, Indikatorenansatz, Verlust verteilungsansatz d, e, f, j, n, v
t el
Verzahnung mit der Banksteuerung
Produktionsexzellenz tuel Schadenshöhe Schadenshöhe
Abbildung 36 Methodischer Aufbau dieser Arbeit
Exzellenz im Risikomanagement
Steuerung von operationeller Risiken
193
Abschließend werden wichtige managementrelevante Punkte für die Gesamtbanksteuerung aufgegriffen. Es wird dargestellt, wie eng eine hohe Produktivität mit einem exzellenten Risikomanagement verknüpft ist. Mit der aktiven Steuerung operationeller Risiken kann u.a. das Kundengeschäftsergebnis nachhaltig verbessert werden. Als Ausblick wird auf das Management von Reputationsrisiken eingegangen aus der Motiviation heraus, dass Reputationsschäden in Folge von operationellen Ereignissen den Gesamtverlust für ein Kreditinstitut nochmals signifikant erhöhen können. Den methodischen Aufbau dieses Hauptteils verdeutlicht Abbildung 361.
A.
Ökonomische Kapitalsteuerung
I.
Ökonomische Kapitalsteuerung für operationelle Risiken
In diesem Kapitel soll dargestellt werden, wie die Höhe des zu unterlegenden ökonomischen Eigenkapitals für operationelle Risiken grundsätzlich aus den Ergebnissen von Quantifizierungsverfahren abgeleitet werden kann. 1.
Ableitung der Eigenkapitalgröße
Im Rahmen der Gesamtbanksteuerung bestehen zwei wesentliche Aufgaben: Zum einen die möglichst genaue Quantifizierung operationeller Risiken und zum anderen die daraus abgeleitete angemessene Unterlegung mit ökonomischem Eigenkapital.2 Nachdem im zweiten Hauptteil eine Reihe von Quantifizierungsverfahren vorgestellt wurde, soll nun die angemessene Eigenkapitalunterlegung abgeleitet werden. „Als ökonomisches Kapital bezeichnet man die Gesamtheit der Risikodeckungspotentiale, die mindestens vorgehalten werden muss, um selbst dann, wenn die vorab definierte Maximalbelastungssituation eintreten sollte, solvent zu bleiben.“3 Das ökonomiche Eigenkapital ist gedanklich zu trennen vom regulatorischen Eigenkapital, für das insbesondere für operationelle Risiken im Rahmen von Basel II neue Ansätze formuliert wurden. Bei der herkömmlichen Allokation von ökonomischem Eigenkapital wurden operationelle Risiken bislang entweder top-down per Überschlagsrechnung oder aber nur implizit über grobe Eigenkapitalunterlegungsverfahren für Kredit- und Marktpreisrisiken, die einen ausreichenden Kapitalpuffer für operationelle Risiken ließen, berücksichtigt. Jetzt
1 2 3
Quelle: eigene Darstellung. Vgl. Minz, K.-A.: (Operationelle Risiken in Kreditinstituten) S. 155. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 23.
194
Dritter Teil
wo sich verschiedene Modelle zur Quantifizierung operationeller Risiken weiterentwickeln, besteht auch die Möglichkeit, operationelle Risiken bottom-up, d. h. ausgehend von Geschäftsfeldern und Risiko-Kategorien wesentlich risikosensitiver bei der Eigenkapitalallokation zu berücksichtigen.1 Frühe Studien aus dem Jahr 1999 belegen, dass eine Mehrzahl derjenigen Kreditinstitute, die über eine Methode zur Allokation von ökonomischem Eigenkapital verfügt, auch eine Eigenkapitalallokation nach Geschäftsfeldern vornimmt.2 Für die Ableitung der ökonomischen Eigenkapitalunterlegung können quantitative wie qualitative Verfahren verwendet werden. Typischerweise werden in einem ersten Schritt quantitative Verfahren verwendet, deren Ergebnisse dann mit Hilfe von qualitativen Verfahren verfeinert werden. Die verwendeten (quantitativen) Verfahren weisen idealerweise eine Häufigkeitsverteilung potenzieller Verluste mit erwartetem Verlust und unerwartetem Verlust (bzw. Value-at-Risk) aus. Hierfür muss Konsens bezüglich der verwendeten statistischen Parameter herrschen: Parameter wie Halteperiode, Konfidenzintervall und mögliche Szenarien sind im Vorfeld festzulegen. Während die Bankenaufsicht ein regulatorisches Eigenkapital vergleichbar mit einem Konfidenzintervall von 99,9% vorgibt (vgl. Kapitel A.I.3), hängt das Konfidenzintervall für die Ermittlung des ökonomischen Eigenkapitals wesentlich von der Risikoaffinität des Vorstandes ab. Bei der Festlegung des Konfidenzniveaus ist auch die Berücksichtigung des angestrebten Instituts-Ratings nicht unerheblich.3 Stögbauer weist darauf hin, dass bei der Modellierung operationeller Risiken aus einem kleinen Anstieg des Konfidenzniveaus eine signifikante Erhöhung des Value-at-Risk und damit der Eigenkapitalunterlegung resultieren kann. Je größer der Tail einer Verteilung, umso stärker tritt dieser Effekt auf. Besonders ab einem Konfidenzniveau von 99,0 % kann der Value-at-Risk bei steigendem Konfidenzniveau deutlich steigen. Darum ist der von der Bankenaufsicht gesetzte Wert von 99,9 % auch als sehr konservativ einzuschätzen.4
1 2 3 4
Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S. 163 Tabelle 5.2; RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 87-98. Vgl. RMA (Association)/British Bankers’ Association (BBA)/ISDA/PricewaterhouseCoopers: (Operational Risk) S. 87-89. Vgl. Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 284. Vgl. Stögbauer, C.: (Quantitative Operational-Risk-Modellierung) S. 199-200.
195
Steuerung von operationeller Risiken
Auf der Grundlage der festgelegten statistischen Parameter lassen sich nun der erwartete Verlust (Erwartungswert) wie auch der unerwartete Verlust als die Differenz zwischen dem Quantilswert und dem erwarteten Verlust darstellen1 (vgl. Abbildung 37 2):
Erwarteter Verlust
Unerwartete Verluste (Operational Value-at-Risk)
Wahrscheinlichkeitsdichte
13,0 Mio. EUR
99,9 %-Quantil der Verlusthöhe
Verbleibendes Verlustpotenzial 0,1 % Standardabweichung 0
5,0 Mio. EUR Abdeckung durch StandardBetriebskosten
Abdeckung durch Eigenkapitalunterlegung (Ökonomisches Eigenkapital)
18,0 Mio. EUR
Potenzielle (Gesamt-) Verluste in EUR
Zusätzliches EK oder externe Versicherungen
Abbildung 37 Ermittlung des Risikopotenzials (Operational Value-at-Risk) Aus der Theorie der Kreditrisikosteuerung ist bekannt, dass erwartete Verluste über Standardrisikokosten abgedeckt werden und für unerwartete Verluste ökonomisches Eigenkapital vorzuhalten ist.3 Diese gilt es auf die Operational-Risk-Steuerung zu übertragen: Erwartete Verluste aus operationellen Risiken sollten über Standard-Betriebskosten abgedeckt werden und für unerwartete Verluste ist ökonomisches Eigenkapital zu binden.4 Da Quantifizierungsverfahren für operationelle Risiken per heute in vielen Kreditinstituten noch wenig ausgeprägt sind, fällt es diesen schwer, erwartete oder gar unerwartete Verluste zu bestimmen oder diese in der Gesamtbanksteuerung zu berücksichtigen. Dies erfolgt häufig nur in impliziter Form. So werden beispielsweise eine Reihe von Kostenblöcken in den Standard-Betriebskosten berücksichtigt, ohne explizit auszuweisen, welche in Verbindung mit operationellen Risiken stehen. Darum fordert auch die Bankenaufsicht, einen angemessenen Teil des erwarteten Verlustes mit (regulatorischem) Eigenkapital zu unterlegen, solange der erwartete Verlust nicht valide gemessen und seine Höhe entsprechend bei der Reservenbildung berücksichtigt wird.5
1 2 3
4 5
Vgl. Bröker, F.: (Quantifizierung von Kreditportfoliorisiken) S. 318-319. Quelle: Modifiziert nach Schäl, I.: (Operational Risk) S. 14. Vgl. Bröker, F.: (Quantifizierung von Kreditportfoliorisiken) S. 322-323; Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (Weissbuch) S. 14-29, S. 58-61; Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 1) S.304-333. Vgl. Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 113; Schäl, I.: (Operational Risk) S. 14-15. Vgl. Basel Committee on Banking Supervision: (Framework) Absatz 669 (b).
196
Dritter Teil
Dies gilt analog für die ökonomische Eigenkapitalunterlegung. Vorsorge gegen Schäden, die über den Quantilswert (die Summe von erwarteten und unerwarteten Verlusten) hinausgehen, wird getroffen, indem zusätzliche Versicherungen mit Drittparteien abgeschlossen werden (vgl. Kapitel B.I.2) bzw. zusätzliches Eigenkapital vorgehalten wird.1 2.
Adjustierung mit Hilfe qualitativer Quantifizierungsverfahren
Quantitative Verfahren, die i. d. R. auf der Verlusthistorie eines Kreditinstituts kalibriert wurden, haben den Nachteil, dass sie stark vergangenheitsbezogen sind. Die Eigenkapitalunterlegung muss jedoch auch eine zukunftsbezogene Komponente haben, da sie eine Absicherung gegenüber zukünftig eintretenden Verlusten darstellen soll. Hier haben qualitative Verfahren den Vorteil, dass sie eine höhere Transparenz über bankbetriebliche Prozesse mit sich bringen, Risikoursachen fokussieren und insgesamt eine stark zukunftsbezogene Sichtweise haben. Die Wirkungsweisen von schadensmindernden Maßnahmen können mit qualitativen Quantifizierungsverfahren antizipiert werden und eine Veränderung im Risikoprofil z. B. durch eine Verlagerung der Geschäftsschwerpunkte oder eine Ausweitung von Outsourcingaktivitäten vorausgesagt werden. Zudem kann mit qualitativen Bewertungsverfahren das interne Kontrollsystem bei der Bewertung –wie auch von der Bankenaufsicht vorgeschlagen2– berücksichtigt werden. Daher soll hier der Vorschlag von Jörg aufgegriffen werden, die aus den quantitativen Bewertungsverfahren abgeleitete Eigenkapitalunterlegung mit Hilfe von qualitativen Verfahren mit Zu- bzw. Abschlägen zu versehen3 (vgl. Abbildung 38). Adjustierungsfaktoren können beispielsweise aus einer Scorecard im Rahmen eines Self-Assessment abgeleitet werden. Ein Beispiel findet sich bei Jörg.4 Derartige Zu- bzw. Abschläge mit Hilfe einer Scorecard, die im Rahmen eines Self-Assessment verwendet wird, werden auch von der Bankenaufsicht vorgeschlagen.5
1 2
3 4 5
Vgl. Schäl, I.: (Operational Risk) S. 14-15. Die Bankenaufsicht fordert bei der Verwendung von AMA-Ansätzen für die regulatorische Eigenkapitalunterlegung die Berücksichtigung des internen Kontrollsystems. Vgl. Basel Committee on Banking Supervision: (Framework) Absatz 669 (e) sowie Kapitel A.I.3. Vgl. Jörg, M.: (Operational Risk) S. 79-80. Vgl. Jörg, M.: (Operational Risk) S. 79-80. Vgl. Basel Committee on Banking Supervision: (Working Paper Operational Risk) S. 34-35.
197
Steuerung von operationeller Risiken
Qualitative Bewertung
Quantitative Bewertung
Festlegung der Vorgehensweisen und Bewertungsbandbreiten • Bewertungsdimensionen • Bewertungsskalen
• • • •
Festlegung der statistischen Modellierungsparameter
Szenarien Maßnahmen Anreizsysteme etc.
• Halteperiode • Konfidenzintervall
Qualitative Adjustierung der quantitativen Bewertung
• Korrelationsannahmen • etc.
Ausweis von erwarteten und unerwarteten Verlusten
• Auf- bzw. Abschläge aufgrund der Ergebnisse der qualitativen Bewertung • Grundlage: z. B. Scorings, Ampeln (Risikoindikatoren) bzw. betriebliche Anreize
Wahrscheinlichkeitsdichte
Wahrscheinlichkeitsdichte bzw. Häufigkeitsverteilung potenzieller Verluste
+/-
Standardabweichung 0
Erwartungswert
Potenzielle (Gesamt-)Verluste in EUR
Eigenkapital-Allokation auf Gesamtbankebene R isiko-K ategorien der IK A neu Risiko-Kategorien derMMEKA neu B asel-IIG esch äftsfelder
PRO a
PRO b
PRO c
...
EXT y
U nterneh m e nsfinanzierun g
2,1
0,5
4,9
...
2,0
EXT z 3,5
21,0
H a nd el
13,5
1,8
17,4
...
12,0
21,4
105,5
P rivatku nd en geschä ft
32,9
7,3
25,0
...
24,2
52,4
256,9
F irm e nku nd en geschä ft
39,8
8,0
32,4
...
29,3
51,3
310,8
Z ahlun gsv erk ehr/ A b w ic klu ng
0,7
0,1
0,9
...
2,0
3,5
21,5
D ep o t- und T reuhand g esch ä fte
2,4
0,5
3,1
...
1,7
3,1
18,5
V erm ö ge nsverw altung
3,0
0,6
3,2
...
2,2
3,9
23,7
W ertp apierpro visio nsgesch äft
6,9
2,8
18,0
...
12,4
21,8
132,0
...
78,0
146,3
809,0
92,1
19,6
95,4
E xem plarische R isiko-K ennzahlen in M io. E U R (z. B . V alue-at-R isk)
G esam tbank
Abbildung 38 Schematische Darstellung der Ableitung des ökonomischen Eigenkapitalbedarfs
198
Dritter Teil
Diese Vorgehensweise hat zudem den Vorteil, dass über Adjustierungsfaktoren auch betriebliche Anreize dargestellt werden können: Geschäftsbereichen mit einem hohen Umsetzungsgrad bezüglich ihres Operational-Risk-Management kann beispielsweise eine Eigenkapitalerleichterung in Aussicht gestellt werden. Derartige Anreizmechanismen sind von der Bankenaufsicht ohnehin für die Anwendung eines AMA Ansatzes gefordert und kommen bei Kreditinstituten mit fortgeschrittenen Mess- und Steuerungsmethoden bereits in den Einsatz.1 Ein derartiges Verfahren beschreibt Kuhn. Er schlägt vor, sowohl die Entwicklung des institutseigenen Risikomanagements, als auch dessen Abstand von intern festgesetzten Zielvorstellungen (Benchmarks) mit Hilfe von zukunftsbezogenen Indikatoren zu beurteilen, die mit Hilfe qualitativer Einschätzungen abgeleitet werden. Unabhängig von dem gewählten quantitativen Verfahren zur Ableitung eines Operational Value-at-Risk gibt Kuhn eine Methode an, mit Hilfe derer Zu- oder Abschläge vom Operational Value-at-Risk kalkuliert werden können. Von einem Kreditinstitut sind für die Anwendung dieser Formel –neben der Ausgestaltung der Indikatoren zur Bewertung des eigenen Risikomanagements– die für die Anwendung der Formel notwendigen Kalibrierungsfaktoren zu ermitteln, die die Höhe der möglichen Zu- bzw. Abschläge bestimmen.2
3.
Verteilung von ökonomischem Eigenkapital
Zum Abschluss dieses Kapitels soll nochmals das Problem aufgegriffen werden, dass für die Allokation von ökonomischem Eigenkapital Risiko-Kennzahlen benötigt werden, die additiv sind. In Abbildung 38 (unten) wird eine Matrix aufgespannt, für die je Einzelfeld eine Risiko-Kennzahl abzuleiten ist. Im zweiten Hauptteil wurden hierfür verschiedene Quantifizierungsverfahren für unterschiedliche Risiko-Kategorien vorgestellt. Zur Vereinfachung der weiteren Ausführungen (und aller vorherigen Ausführungen zum trotz) soll im Folgenden angenommen werden, dass das zu unterlegende Eigenkapital mit dem Value-at-Risk des jeweils gewählten Quantifizierungsverfahren identisch ist. Im Kern geht es hier um Portfolioeffekte. Dieser Begriff ist in diesem Zusammenhang treffender als Diversifizierungseffekte. Mit Letzterem wird der Abbau von Konzentrationsrisiken assoziiert, was hier zunächst nicht angesprochen wird. Es soll davon ausgegangen werden, dass für jedes Feld der Matrix ein Quantifizierungsverfahren entwickelt und angewendet wurde, das jeweils einen Value-at-Risk als Risiko-Kennzahl ermittelt. Schierenbeck prägt den Begriff des Stand-alone-Value-at-Risk,
1 2
Vgl. Deutsche Bank: (Finanzbericht 2003) S. 176; Basel Committee on Banking Supervision: (Framework) Absatz 666 (b). Vgl. Kuhn, L.: (Gesamtbanksteuerung) S. 604-611.
199
Steuerung von operationeller Risiken
Geschäftsfelder
Unternehmensfinanzierung
Handel
Privatkundengeschäft
Firmenkundengeschäft
Zahlungsverkehr/ Abwicklung
Depot- und Treuhandgeschäfte
Vermögensverwaltung
Wertpapierprovisionsgeschäft
der hier mit VaRStal bezeichnet werden soll.1 Der Stand-alone-VaR wird ohne Berücksichtigung der Risiken anderer Matrixfelder bestimmt. In Abbildung 392 wird das Zahlenbeispiel aus Abbildung 34 fortgeführt. Aus Vereinfachungsgründen ist die Matrix hier reduziert worden auf die Dimension Geschäftsfelder. Die Vorgehensweise ist aber übertragbar auf eine zweidimensionale Matrix mit der zusätzlichen Dimension „RisikoKategorien“.
Stand-alone-VaR VaRStal
21,0
105,5
256,9
310,8
21,5
18,5
23,7
132,0
¦
¦VaR
Stal i
¦ = 889,9
Geschäftsfelder i
90,9% VaRGesamtbank
¦VaR
Stal i
VaRGesamtbank
Geschäftsfelder i
809,0
80,9
Depot- und Treuhandgeschäfte
Vermögensverwaltung
Wertpapierprovisionsgeschäft
21,5 120,0
Firmenkundengeschäft
16,8
Privatkundengeschäft
95,9 233,6 282,6 19,5
Handel
Adjustierter VaR VaRa
Unternehmensfinanzierung
19,1
Zahlungsverkehr/ Abwicklung
Rückvergütung
Abbildung 39 Ableitung von additiven, ökonomischen Eigenkapitalgrößen
1 2
Vgl. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 513-518. Quelle: eigene Darstellung. Das dargestellte Verfahren entstammt Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 513-518.
200
Dritter Teil
Wird nun zusätzlich der Value-at-Risk auf Gesamtbankebene VaRGesamtbank bestimmt, ergibt sich ein Wert, der in aller Regel niedriger ist. Dies ist wegen der eintretenden Portfolioeffekte plausibel, da in aller Regel nicht alle Risiken zur gleichen Zeit schlagend werden. Im betrachteten Zahlenbeispiel beträgt VaRGesamtbank 90,9 % der Summe aller VaRStal: Beispiel: 90,9%
¦VaR
Stal i
VaRGesamtbank
Geschäftsfelder i
Die Summe des allozierten ökonomischen Eigenkapitals je Geschäftsfeld (und RisikoKategorie) muss jedoch dem Eigenkapital auf Gesamtbankebene entsprechen. Daher sind die VaRStal anzupassen. Schierenbeck stellt hierfür verschiedene Verfahren vor.1 Die einfachste Variante ist, den jeweiligen VaRStal durch Multiplikation mit einem Adjustierungsfaktor O anzupassen. Dabei entspricht O in diesem Rechenbeispiel genau den 90,9 %, d. h. also
O
VaRGesamtbank . ¦VaRiStal
Geschäftsfelder i
Die so genannten adjustierten VaR-Größen VaRa ergeben sich dann je Geschäftsfeld durch einfache Multiplikation2: VaRia
O VaRiStal , wobei wiederum
¦VaR
a i
VaRGesamtbank . Dies ist genau die Anforderung, die an die adjustierten VaR-
Geschäftsfelder i
Größen gestellt war. Gemäß der Matrix in Abbildung 39 wird hier zusätzlich vorgeschlagen, innerhalb der Geschäftsfelder ökonomisches Eigenkapital den einzelnen Risiko-Kategorien (a bis z gemäß MEKAneu) zuzuordnen. Für ein weiteres Herunterbrechen von ökonomischem Eigenkapital wird ebenfalls auf Schierenbeck verwiesen. Das hier dargestellte Verfahren lässt sich weiter verfeinern, indem eine stufenweise Adjustierung vorgenommen wird, für die auch unterschiedliche Adjustierungsfaktoren verwendet werden können. Diese berücksichtigen die spezifischen Portfolioeffekte.3
1 2 3
Vgl. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 513-522. Vgl. Beekmann, F./Stemper, P.: (Quantifizierung operationeller Risiken) S. 87, Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 513-518. Vgl. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 513-518.
Steuerung von operationeller Risiken
II.
201
Abgrenzung von Kredit- und operationellen Risiken im Rahmen der Gesamtbanksteuerung
In diesem Kapitel soll dargestellt werden, wie die in der Bankpraxis erfolgte Abgrenzung von Risikoarten überprüft und die ökonomische Kapitalsteuerung verbessert werden kann. In Kapitel A.III.2 des ersten Hauptteils wurde bereits aufgezeigt, dass es im Rahmen der Gesamtbanksteuerung zu falschen Impulsen kommen kann, wenn insbesondere Kredit- und operationelle Risiken nicht ursachenbezogen getrennt werden. Bei verzerrten Kreditrisiko-Datenbanken wird in der Gesamtbanksteuerung tendenziell das Kreditrisiko über- und das operationelle Risiko unterschätzt. Diese fehlerhafte Quantifizierung zieht sich hin bis zur Allokation des ökonomischen Eigenkapitals. Bis Kreditinstitute ihre Datenbanken bereinigt haben, wird hier ein Verfahren vorgestellt, das den Anteil des (vom verwendeten Kreditportfoliomodell) ausgewiesenen Kreditrisikos, der auf operationelle Risiken zurückzuführen ist, herausrechnet. Somit kann dann ökonomisches Eigenkapital ursachenbezogen realloziert werden.
1.
Abgrenzung von Kredit- und operationellen Risiken im Rahmen der regulatorischen und ökonomischen Eigenkapitalsteuerung
Ist auf Gesamtbankebene das notwendige ökonomische Eigenkapital für alle Risikoarten bestimmt worden, ist zu prüfen, ob die Ergebnisse valide oder aber verzerrt sind. Die Allokation von ökonomischem Eigenkapital muss nach Anders folgende wichtige Bedingungen erfüllen:1 o Das ökonomische Eigenkapital muss dem Risikoprofil des Kreditinstituts entsprechen. o Die Verteilung des ökonomischen Eigenkapitals für operationelle Risiken auf Geschäftsfelder und Risiko-Kategorien muss nachvollziehbar sein. o Die Höhe des unterlegten Kapitals ist vergleichbar mit Kreditinstituten, die ähnlich groß sind, ähnlich aufgestellt sind und vergleichbare Geschäftsschwerpunkte setzen. o Das Verhältnis des ökonomischen Eigenkapitals für operationelle Risiken muss in einem sinnvollen Verhältnis zu Markt- und Kreditrisiken stehen.2
In Kapitel A.III.2 des ersten Hauptteils wurde gezeigt, dass die ursachenbezogene Abgrenzung von Kredit- und operationellen Risiken besonders schwer fällt. Es soll daher anhand des für Kredit- und operationelle Risiken kalkulierten ökonomischen Eigenkapi-
1 2
Vgl. Anders, U.: (Economic Capital) S. 215-217. Vgl. Anders, U.: (Economic Capital) S. 225.
202
Dritter Teil
tals überprüft werden, ob die Zuordnung des Eigenkapitals zu den beiden Risikoarten richtig vorgenommen wurde. Zudem wird ein Verfahren zur Korrektur der ermittelten Eigenkapitalgrößen vorgeschlagen. Die Bestimmung des erwarteten und unerwarteten Verlustes aus Kreditrisiken erfolgt i. d. R. mit Hilfe einer verzerrten Kreditrisiko-Datenbank (vgl. Kapitel A.III.2 des ersten Hauptteils). Damit ist auch die Allokation von ökonomischem Eigenkapital verzerrt: Kreditrisiken werden überschätzt, das ökonomische Eigenkapital für operationelle Risiken zu niedrig angesetzt.1 Als Management-Information und für Steuerungszwecke regt die Bankenaufsicht die ursachenbezogene Aufspaltung von Schäden im Kreditgeschäft ausdrücklich an. Alle Schäden, die aus operationellen Risiken resultieren, einschließlich derer, die im herkömmlichen Sinne den Kreditrisiken zugeordnet werden, sollen in Schadensfalldatenbanken historisiert werden. In Kapitel A.III.3 des ersten Hauptteils wurde eine Logik vorgeschlagen, mit Hilfe derer sich Ereignisse ursachenbezogen den Kredit- oder operationellen Risiken zuordnen lassen. Für die regulatorische Eigenkapitalunterlegung operationeller Risiken mit ambitionierten Messansätzen (AMA), den einzigen Ansätzen, die die institutseigene Schadenshistorie berücksichtigen, sollen Schäden im Kreditgeschäft jedoch weiterhin den Kreditrisiken zugerechnet werden.2 „Verluste aufgrund von operationellen Risiken, die im Zusammenhang mit Kreditrisiken stehen und in der Vergangenheit in die KreditrisikoDatenbank eingeflossen sind (z. B. Fehler bei der Sicherheitenverwaltung), werden für die Berechnung der Mindesteigenkapitalanforderung nach dieser Rahmenvereinbarung weiterhin als Kreditrisiken behandelt.“3 Die Bankenaufsicht unterbindet somit ein Unterlegungswahlrecht für Risiken im Kreditgeschäft: Ein Kreditinstitut darf seine Risiken im Kreditgeschäft nicht eigenständig den Kredit- und operationellen Risiken zuteilen. Regulatorische Eigenkapitalarbitrage wird somit ausgeschlossen. Im Rahmen der Gesamtbanksteuerung hat ein Kreditinstitut jedoch ein starkes Interesse, ökonomisches Eigenkapital risikoursachenbezogen zu allozieren. Risiken sollten in ihrer tatsächlichen Höhe gemessen, geplant, limitiert und einem laufenden Soll-Ist-Vergleich unterzogen werden.
1
2
3
Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt. Vgl. Basel Committee on Banking Supervision (Überarbeitetes Framework) Absatz 673; Commission of the European Communities (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Annex X, Part 3, Absatz 14. Basel Committee on Banking Supervision (Überarbeitetes Framwork) Absatz 673.
Steuerung von operationeller Risiken
203
Eine Ex-post-Bereinigung der Kreditrisiko-Datenbank um operationelle Schäden wäre der Idealfall. Je ausgefallenem Kredit müsste nachvollzogen werden, wer wann welchen Fehler begangen hat und wie hoch der jeweils resultierende Schaden gewesen ist. Diese Herangehensweise würde ein intensives Studium von (i. d. R. nicht elektronisch verfügbaren) Kreditakten bedeuten. Für die Praxis ist dies zunächst nachträglich kaum umsetzbar: Die vollständige Ex-Post-Untersuchung jedes einzelnen Kredites auf mögliche, bisher eingetretene operationelle Schadensfälle bedeutet einen immensen Aufwand an Ressourcen, sowohl für die Geschäftsbereiche als auch für das operationelle Risikomanagement. Ein Ignorieren der Erkenntnis, dass ausgewiesene Kreditrisiken einen Anteil operationeller Risiken beinhalten, würde jedoch zur systematischen Fehlsteuerung führen. Daher müssen pragmatische Herangehensweisen gewählt werden. Schnell umsetzbar sind Befragungen im Rahmen eines Self-Assessment (vgl. Kapitel B.I.2 des zweiten Hauptteils), bei denen Experten aus den jeweiligen Geschäfts- und Kreditrisikomanagementbereichen befragt werden, wie groß sich der operationelle Risikoanteil am ausgewiesenen Kreditrisiko nach ihrer Einschätzung darstellt. Erfahrungswerte zeigen aber, dass solche Einschätzungen zum Teil erheblich differieren. Dies kann mehrere Ursachen haben: Auf der einen Seite kann der Anteil des operationellen Risikos tatsächlich in verschiedenen Geschäftsbereichen unterschiedlich groß sein. Dies kann von der Komplexität der einzelnen Kredite, der Qualität der Systeme und Prozesse, den vorhandenen Ressourcen, aber auch von den in den jeweiligen Bereichen eingesetzten Mitarbeitern abhängen. Auf der anderen Seite können unterschiedliche Ergebnisse auch aus der unterschiedlichen Risikoeinschätzung der befragten Experten resultieren. Diese verfügen unter Umständen über ein unterschiedlich hohes Risikobewusstsein, von der die Einschätzung der Gefahr von operationellen Verlusten wesentlich abhängt. Auch die unterschiedliche Erfahrung der Befragten im Kreditgeschäft, insbesondere im Umgang mit operationellen Risiken, führt zu unterschiedlichen Einschätzungen von Risikopotenzialen und damit zu unterschiedlichen Ergebnissen. Bei der qualitativen Messung von operationellen Risiken ergibt sich zusätzlich das Problem, dass die Befragten befürchten, bei der Untersuchung selbst nach ihren eigenen Fehlern beurteilt zu werden, und daher unter Umständen dazu tendieren, gewisse Risiken, deren Vermeidung oder Reduzierung in ihrem Verantwortungsbereich liegt, geringer darzustellen, als sie tatsächlich sind.
2.
Ein Näherungsverfahren zur Bestimmung des operationellen Anteils am ausgewiesenen Kreditrisiko
Um Vorteile beider Methoden –die Genauigkeit einer umfassenden Analyse und die Effizienz einer Expertenbefragung im Rahmen eines Self-Assessment– zu kombinieren, kann ein Näherungsverfahren verwendet werden, das den operationellen Anteil aus dem vom Kreditportfoliomodell ausgewiesenen unerwarteten Verlust (Value-at-Risk) ex post
204
Dritter Teil
herausrechnet. Dieses von Reif/Schäl/Weingessel vorgestellte Verfahren beruht auf einem Scoringverfahren im Rahmen eines Self-Assessment. Es kann solange im Einsatz sein, bis die Kreditrisiko-Datenbank und die Schadensfalldatenbank vollständig bereinigt sind.1 Zielsetzung dieses Näherungsverfahrens ist die Aufspaltung des vom Kreditportfoliomodell ausgewiesenen Value-at-Risk VaR12. Dann kann eine ursachenbezogene Allokation von ökonomischem Eigenkapital vorgenommen werden. Gesucht werden also s1 und s 2 mit VaR1=s1*VaR12 sowie VaR2=s2*VaR12. Hierbei bezeichnet VaR1 den Anteil an VaR12, der ausschließlich auf operationelle Risiken zurückzuführen ist, und VaR2 den Anteil, der auf das reine Kreditrisiko zurückgeht. Beide addieren sich aus portfoliotheoretischen Überlegungen nicht additiv zu VaR12. Als Risikomaß wird die Standardabweichung verwendet. Es wird sich zeigen, dass s1 und s 2 unter der Normalverteilungsannahme zugleich die Aufteilung der vom Kreditportfoliomodell ausgewiesenen Standardabweichung darstellen. Für die Durchführung des Näherungsverfahrens wird das Verhältnis von s1 zu s2 benötigt. Dieses liefert das im Folgenden dargestellte Scoring. Zunächst wird eine Stichprobe von Krediten als Untersuchungsgegenstand gewählt. Bei der Kreditauswahl muss beachtet werden, dass möglichst alle Kriterien, die den Anteil des operationellen Risikos beeinflussen können, repräsentativ berücksichtigt werden. Dies beinhaltet den Geschäftsbereich, der den Kredit vergeben hat, die Produktklasse, die Kundenklasse, die Branche, das Land, das Rating, die Laufzeit, ausgefallene und nicht wertberichtigte Kredite, usw. Die so ausgewählten Kredite stehen nun repräsentativ für das Kreditportfolio des Kreditinstituts. Zur Beurteilung der Kredite müssen in einem nächsten Schritt möglichst objektive Kriterien festgelegt werden, an Hand derer der Anteil des operationellen Risikos am ausgewiesenen Kreditrisiko beurteilt werden kann. Dies erfolgt in Abstimmung von operationellem Risikomanagement, Kreditrisikomanagement, Geschäftsbereichen und interner Revision. Als Basis für die Festlegung der Kriterien werden die internen Richtlinien für die Kreditvergabe sowie die regulatorischen Vorschriften (insbesondere Basel II und MaRisk) herangezogen. Diese Kriterien sollten sowohl die Antragsphase als auch die Kreditüberwachung sowie eventuelle Tätigkeiten der Sanierungsabteilungen umfassen. Folgende Kernfragen werden insbesondere beantwortet: 1
Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt.
Steuerung von operationeller Risiken
205
o Wurde das Kundenprofil (z. B. Zuordnung zu einer Branche) richtig erhoben? o Kam es beim Kundenrating zu Auffälligkeiten (unplausible Einstufung, Verwendung eines falschen Systems)? o Wurde das Kompetenzsystem eingehalten? o Entspricht die Bewertung der Sicherheiten den internen Richtlinien? o Wurde die Bonität des Kreditnehmers regelmäßig überprüft? Wurde auf ein drohendes Ausfallsereignis (z. B. Zahlungsverzug) rechtzeitig und richtig reagiert?
Die Antwortmöglichkeiten werden möglichst standardisiert und somit der freie Interpretationsspielraum weiter reduziert (wenig offene Fragen, Auswahl zwischen wenigen, vorgegebenen Antworten, etc.). Jedes der verwendeten Kriterien wird mit einer Punktzahl (Score) bewertet (vgl. Abbildung 401). Die Punkteskala sollte nicht zu fein gewählt werden, um keine Schein-Genauigkeit zu suggerieren. So kann beispielsweise eine vierstufige Skala verwendet werden. In Abbildung 40 bedeuten null Punkte, dass in der betreffenden Kategorie kaum ein operationelles Risiko ausgemacht wurde. Die Höchstzahl von drei Punkten bedeutet hingegen einen besonders hohen operationellen Risikoanteil. Die Bedingungen, wann welche Punktanzahl zu vergeben ist, sollten a priori festgelegt und so präzisiert werden, dass verschiedene Personen auf annähernd die gleichen Ergebnisse kommen. Zudem müssen Gewichte festgelegt werden, mit denen durch eine gewichtete Durchschnittsbildung der einzelnen Scores ein Gesamtscore ermittelt werden kann. Dieser dient dann als Schätzwert für den operationellen Anteil an historischen Schadensfällen im Kreditgeschäft. Um dieses Verfahren möglichst anschaulich darzustellen, wird in den folgenden Beispielrechnungen davon ausgegangen, dass das Scoring ein Verhältnis des „als Kreditrisiko ausgewiesenen operationellen Risikos“ zum „tatsächlichen Kreditrisiko“ von 1:3 ergeben hat.
1
Quelle: Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 282.
206
Dritter Teil
Checkliste Kreditprozess
-
Kundenprofil
Kundenname Industriesegment Neu/Bestehend seit
Claudia Albergo Gastgewerbe 06. Apr 99 -
Origination
Filiale/Distanz Zentrale
Wien N07 0
Finanzierungsantrag (FA)
Entschiedener Vorantrag Obligoaufstellung Bilanzauswertung Bonitätsklassenblatt Aktualisierte Kundendaten
Ja Ja Ja Ja Ja 2
Bonität
Umstufung Datum Von welcher Klasse Zu welcher Klasse Durch welchen Kompetenzträger?
Unstimmigkeiten zwischen Account Manager und Risk Manager bzgl. Bonität 03. Mrz 05 5 7 Account Manager 1
Sonstiges
EDV Dokumentation generell
OpRisk Scoring
Sicherheiten sind nicht in der EDV erfasst, sind aber vorhanden.
...
Gesamtscore Verhältnis Operationelle Risiken : Kreditrisiken
1 1:3
Abbildung 40 Scoringverfahren zur Ermittlung des Verhältnisses von operationellen Risiken zu Kreditrisiken Dieses Näherungsverfahren zur Bestimmung des operationellen Anteils am ausgewiesenen Kreditrisiko ist nicht nur auf Gesamtbankebene anwendbar, sondern ebenso für verschiedene Geschäftsfelder, Produktklassen, etc. (vgl. Kapitel A.II.1 Analyseobjekte im zweiten Hauptteil). Voraussetzung für eine weitere Detaillierung der Analyse ist, dass je auszuwertender Klasse eine hinreichend große Stichprobe gewählt wird.
3.
Reallokation des ökonomischen Eigenkapitals
Zielsetzung ist es nun, s1 und s 2 zu bestimmen, wobei das Verhältnis s1 : s2 von dem oben dargestellten Scoring näherungsweise geliefert wird. Im Beispiel stellt sich das
207
Steuerung von operationeller Risiken
Verhältnis wie s1 : s2
1 : 3 dar. Die genauen Größen von s1 und s2 sind zunächst noch
1
unbekannt.
Der auf Gesamtbankebene ausgewiesene Value-at-Risk soll nach der Aufteilung des vom Kreditportfoliomodell ausgewiesenen Value-at-Risk VaR12 nicht höher aber auch nicht geringer werden. Unter der Annahme, dass sich Kredit- und operationelle Risiken gegenseitig verstärken und nicht vermindern, gilt U ! 0 , wobei U die Korrelation zwischen dem tatsächlichen Kreditrisiko und dem (als Kreditrisiko ausgewiesenen) operationellen Risiko darstellt. Für die Darstellung von Portfolioeffekten wird die aus der Statistik bekannte Wurzelformel
V 12
V 12 V 22 2 UV 1V 2
verwendet. Zunächst ist nur V 12 bekannt, das gesamte ausgewiesene Kreditrisiko (Standaradabweichung). Dieses Risiko muss mit einem Kreditportfoliomodell, das die Ausfallswahrscheinlichkeiten und möglichen Verlusthöhen aller Kredite berücksichtigt, berechnet werden. V 1 stellt das „als Kreditrisiko ausgewiesene operationelle Risiko“ (Standardabweichung), V 2 das tatsächliche Kreditrisiko (Standardabweichung) und U die Korrelation zwischen beiden Risiken dar. Werden Risiken (hier: operationelle Risiken und Kreditrisiken) unter Normalverteilungsannahme aggregiert bzw. aufgespalten, lässt sich der jeweilige Value-at-Risk linear abhängig von der zugehörigen Standardabweichung darstellen. Folgt ein Verlust X einer N(P,V2)-Verteilung mit dem p-Quantil D X , so gilt X P V Z mit dem Quantil
D X P
VaR
X
D
X
DV Z P
V DZ ,
wobei
D X P folgt somit VaR
Z X
einer V D
Z
N(0,1)-Verteilung V VaR
Z
mit VaR Z
genügt. VaR
Z
Für
DZ .
Somit gilt auch V 1 s1V 12 und V 2 s2V 12 . Die beiden Einzelrisiken V 1 und V 2 werden nun so ermittelt, dass sich das Gesamtrisiko V 12 nicht verändert. Dafür ist U , die Korrelation zwischen diesen beiden Risiken, zu berücksichtigen. Zunächst gilt es, einen Wert für die Korrelation U zu ermitteln. Hierzu wird die vereinfachende Annahme getroffen, dass die Korrelationen zwischen Verlusten, seien es Kredit- und/oder operationelle Verluste, gleich sind. Eine solche mittlere Korrelation U
1
Die Ausführungen dieses Kapitels entstammen (teilweise wörtlich) Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) und sind hier in einer anderen Struktur und teilweise detaillierter dargestellt.
208
Dritter Teil
wird hier also als konstant angenommen, egal, ob es sich bei den Verlusten um zwei Kreditverluste, zwei operationelle Verluste oder einen Kredit- und einen operationellen Verlust handelt. Sie kann mit Hilfe von Auswertungen des von einem Kreditinstitut verwendeten Kreditportfoliomodells wie folgt bestimmt werden: Teilt man das Kreditportfolio in zwei Teilportfolios mit ähnlicher Kunden-, Größenklassen-, Bonitäts- und Branchenstruktur, kann anhand der mit dem verwendeten Kreditportfoliomodell jeweils errechneten Standardabweichungen des Gesamtportfolios V 12 und der beiden Teilportfolios die Korrelation ebenfalls mit obiger Wurzelformel ermittelt werden. Zur Validierung von U sollte die Berechnung mit unterschiedlichen Teilportfolios möglichst auch auf der Basis unterschiedlicher, historischer Bestände wiederholt werden. Bei diesem Verfahren handelt es sich nicht um ein Näherungsverfahren im statistischen Sinne. Es baut vielmehr auf den statistischen Schätzverfahren auf, die für die Parametrisierung des Kreditportfoliomodells verwendet werden. Somit fließen auch die Datenhistorien und Portfoliospezifika des Kreditinstitutes ein. In diesem Beispiel ergebe die Auswertung U 0,28 . Dieser Korrelations-Wert wird nun für die Isolierung des operationellen Risikos verwendet. Man erhält durch Einsetzen in die Wurzelformel:
V 12
( s1V 12 ) 2 ( s 2V 12 ) 2 2 U ( s1V 12 )(s 2V 12 )
Man erkennt, dass der Ausdruck immer noch die beiden Unbekannten s1 und s2 enthält. Um diese auf eine zu reduzieren, verwendet man die mit Hilfe des Scorings ermittelte Beziehung, dass sich die beiden Risiken (in diesem Beispiel) wie s1 : s 2 1 : 3 s 2 3s1 . verhalten, also Mit dieser Gleichung erhält man 1
2
s1 (3s1 ) 2 2 * 0,28 * s1 * 3s1 , woraus sich für s1 ein Wert von 29% ergibt und für
s 2 ein Wert von 88%. Diese Werte stellen bereits die Aufteilung des vom Kreditportfo-
liomodell ausgewiesenen Value-at-Risk VaR12 dar. Abbildung 411 verdeutlicht die Rechenschritte und den Portfolioeffekt anhand eines Beispiels: Dort hat das gesamte Kreditportfolio einen ausgewiesenen Value-at-Risk VaR12 von 15Mio. Dieser ist noch um operationelle Risiken verzerrt. Die oben dargestellte Aufteilung ergibt einen Value-at-Risk resultierend aus operationellen Risiken VaR1 von 29%*15Mio = 4,35Mio und einen Value-at-Risk resultierend aus dem tatsächlichen Kreditrisiko VaR2 von 88%*15Mio = 13,2Mio. Die Summe dieser beiden Werte ist mit 17,55Mio höher als der Gesamt-Value-at-Risk VaR12. Wird allerdings der Portfolioeffekt bei einer Korrelation von U 0,28 berücksichtigt, erhält man unter der Normalverteilungsannahme wieder den Wert von 15Mio.
1
Quelle: Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) S. 283.
209
Steuerung von operationeller Risiken
AbgrenzungVaRKreditrisiko/OpRisk (20) 12 Ergebnis des Kreditportfoliomodells
s1=29%
VaR1 operationeller Verlust 4.350
+
s2=88%
VaR2 reiner Kreditverlust 13.200
=
unkorrelierte Summe 17.550
Korrelation 0,28
VaR12 15.000 [Angaben in TEUR]
Abbildung 41 Ursachenbezogene Aufspaltung des Value-at-Risk VaR12 Da der Value-at-Risk mit ökonomischem Eigenkapital zu unterlegen ist (vgl. Kapitel A.I), kann auf der Grundlage dieser Ergebnisse nun auch die ökonomische Eigenkapitalunterlegung für Kredit- und operationelle Risiken adjustiert werden.
B
Steuerungsansätze im Rahmen der Gesamtbanksteuerung
I.
Risikoorientierte Steuerungsansätze
In Bezug auf die Steuerung operationeller Risiken verfolgen Kreditinstitute mehrere Zielsetzungen; dazu gehören:1 o Vermeidung von Verlusten o Steigerung der Effizienz im Betriebsablauf o Effektive Verwendung von ökonomischem und regualtorischem Eigenkapital o Positive Wahrnehmung bei Kunden, Anteilseignern, Aufsichtsbehörden, Ratingagenturen u.a. o Compliance mit regulatorischen Anforderungen (MaRisk, Basel II, etc.) o Dauerhafter Fortbestand des Kreditinstituts.
1
Nach King, J. L.: (Modelling Operational Risk) S. 8.
210
Dritter Teil
Dabei gibt es zwei wesentliche Triebfedern: Die Steigerung der Produktivität eines Kreditinstituts und die Wahrung der Risikotragfähigkeit. Die konkrete Ausgestaltung der Steuerung operationeller Risiken ist wesentlich abhängig von der Risikoaffinität eines Kreditinstitutes wie sie sich in der Risikostrategie manifestiert.1 Zudem gehen mit unterschiedlichen Geschäftsfeldern bzw. Geschäftsschwerpunkten auch unterschiedliche Risikoprofile einher. Das Privatkundengeschäft ist beispielsweise deutlich risikoreicher in Bezug auf operationelle Risiken als die Vermögensverwaltung (vgl. Kapitel A.III.1 des zweiten Hauptteils). Daher vollzieht sich die Steuerung operationeller Risiken in verschiedenen Geschäftsfeldern in Bezug auf ein ganz unterschiedliches Risikoninveau. Im ersten Hauptteil dieser Arbeit wurde auf die Notwendigkeit der expliziten Trennung von Risiken, Ereignissen und Schadenskategorien eingegangen. Diese wurden im Rahmen einer Wirkungskette dargestellt.2 Mit Hilfe dieser Wirkungskette soll nun auch dargelegt werden, wo die Ansatzpunkte für eine Steuerung operationeller Risiken liegen. Grundsätzliche Ansätze zur aktiven Steuerung operationeller Risiken sind:3 o Risikovermeidung und -minderung (proaktive Steuerung) o Risikotransfer (proaktive Steuerung) o Reaktive Steuerung
Dabei umfasst eine proaktive Steuerung Maßnahmen, die bereits vor Eintreten eines operationellen Ereignisses eingeleitet werden. Die reaktive Steuerung auf der anderen Seite wird erst dann initiiert, wenn ein operationelles Ereignis bereits eingetreten ist. Das Aufstellen von Feuerlöschern oder der Abschluss einer Brandschutzversicherung sind beispielsweise proaktive Maßnahmen, ebenso wie das Erstellen eines Notfallplans für den Fall eines Brandes. Die Verständigung der Feuerwehr würde eine rein reaktive Maßnahme darstellen. Diese wird erst nach Eintritt eines Ereignisses initiiert. Grundsätzlich gibt es immer die Alternative der Risikoakzeptanz. Hier wird das bestehende Risikoprofil als angemessen erachtet ohne weitere risikoreduzierende Maßnahmen einzuleiten. Risikoakzeptanz darf aber nicht mit Risikoignoranz verwechselt werden.4 Wesentliche Grundvoraussetzung für die Akzeptanz von Risiken ist die ursachenbezogene Gruppierung/Kategorisierung und Quantifizierung. Nach einem institutsweiten SelfAssessment mag ein Institut etwa zu dem Schluss kommen, für Risiken wie q „Personal-
1 2 3 4
Vgl. Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) S. 37. Vgl. Erster Hauptteil, Kapitel A.I.3. Vgl. Beeck, H./Kaiser T.: (Quantifizierung) S. 649-651; Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) S. 37-40. Vgl. Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) S. 38.
211
Steuerung von operationeller Risiken
verfügbarkeit“, r „Gesundheitsgefährung“ oder s „Mitarbeiterkonflikte“ gemäß MEKAneu keine zusätzlichen risikoreduzierenden Maßnahmen einleiten zu wollen, da diese Risiken ggf. nicht als materiell angesehen werden. Der Fokus soll hier jedoch auf die aktive Steuerung gelegt werden. Die möglichen Steuerungsansätze können mit der in Abbildung 421 dargestellten Wirkungskette verdeutlicht werden. Risikovermeidung/ Risikominderung
Risikotransfer (Outsourcing)
Risikotransfer (Versicherungen)
Risiko
Ereignis
Schadenseffekt
Versagen von Kontrollen
Versagen von Kontrollen
Risikominderung
Reaktive Steuerung
Abbildung 42 Steuerungsansätze für operationelle Risiken Zunächst sollte es im Sinne eines jeden Kreditinstituts sein, ein proaktives Risikomanagement im Sinne einer Risikominderung bzw. einer Risikovermeidung zu betreiben, also ein Management, das bereits ansetzt, bevor ein operationelles Ereignis eingetreten ist. Ein aktives Risikomanagement zur Erhöhung der Produktivität setzt an den Ursachen einer Wirkungskette an, typischerweise bei HF-Risiken (High Frequency) und versucht, häufig auftretende Schadensereignisse in bankbetrieblichen Prozessen zu reduzieren. Die Vermeidung oder zumindest die Minderung von Risiken reduziert das Auftreten von Ereignissen oder die Höhe der Schadenseffekte. Ein internes Kontrollsystem hilft zusätzlich, das Auftreten von Ereignissen zu reduzieren. In einigen Fällen können mit Hilfe interner Kontrollen auch mögliche Schadenseffekte reduziert werden (z. B. mit der Ausgestaltung eines internen Limitsystems für Risiken).2
1 2
Quelle: eigene Darstellung. Vgl. Basel Committee on Banking Supervision: (Internal Control Systems).
212
Dritter Teil
Mit der Zielsetzung der Wahrung der Risikotragfähigkeit muss sich ein Kreditinstitut sehr intensiv mit seinen LFHS-Risiken auseinandersetzen, etwa im Rahmen der Erarbeitung von Notfallplänen. Dabei wird ermittelt, welche schadensreduzierenden Maßnahmen nach Ereigniseintritt eingeleitet werden können, insbesondere wenn ein größeres Verlustpotenzial droht. Auch ein Transfer von Risiken wird typischerweise für LFHS-Risiken vorgenommen. Er kann an unterschiedlichen Punkten der Wirkungskette ansetzen. Eine Strategie besteht darin, operationelle Ereignisse und damit die zugehörigen Schadenseffekte ganz auf eine Drittpartei zu übertragen. Dies kann beispielsweise über OutsourcingMechanismen erreicht werden. Darüber hinaus gibt es einen Risikotransfer in Bezug auf den möglichen Schadenseffekt, ohne die zugehörigen (möglichen) operationellen Ereignisse auszulagern: Dies geschieht typischerweise über Versicherungen.
HF LS
Risikovermeidung
LF LS
Risikotransfer/ Risikominderung
Risikominderung Erhöhung der Produktivität
Risikoakzeptanz
Sicherstellung der Risikotragfähigkeit
HF HS LF HS
Risiko-Kategorie
Eintrittswahrscheinlichkeit
Ansatzpunkte für eine proaktive Steuerung zeigt Abbildung 43 anhand einer Riskmap.1
Schadenshöhe Abbildung 43 Proaktive Steuerungsansätze ausgehend von einer Riskmap Eine reaktive Steuerung setzt an, wenn ein Ereignis bereits eingetreten ist. In diesem Fall sollte versucht werden, Schadenseffekte resultierend aus dem eingetretenen Ereignis auf ein tragbares Maß zu reduzieren. Interne Kontrollen helfen dabei, zunächst ein
1
Nach Beeck, H./Kaiser T.: (Quantifizierung) S. 6651; Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) S. 38.
Steuerung von operationeller Risiken
213
Ereignis frühzeitig zu erkennen und dann auch die Wirksamkeit von reaktiven Maßnahmen zu überwachen.1 Auf die Steuerungsansätze Risikovermeidung/–minderung, Risikotransfer und die reaktive Steuerung soll im Folgenden näher eingegangen werden.
1.
Risikovermeidung und -minderung
Bestandteile der proaktiven Steuerung sind die Risikovermeidung und die Risikominderung. Grundsätzlich wird versucht, Risiken zu vermeiden, wenn o sie nicht zur Ausübung der Geschäftstätigkeit eingegangen werden müssen, o sie mit vertretbarem Aufwand abgestellt werden können und o sie die Existenz eines Kreditinstituts bedrohen.
Der Steuerungsansatz „Risikovermeidung“ ist für HFHS-Risiken (High Frequency High Severity) überaus wichtig. In Kapitel A.III.2 des zweiten Hauptteils ist davon ausgegangen worden, dass Kreditinstitute in aller Regel keinen HFHS-Risiken ausgesetzt sind. Zeichnet sich ab, dass eine Risiko-Kategorie in diesen Bereich zu migrieren zu droht, ist es für ein Kreditinsitut überlebensnotwendig, diese Risiken zu eleminieren bzw. auf ein tragbares Maß zu reduzieren. Die Risikominderung bezieht sich auf die Reduzierung von Ereignis-Eintrittswahrscheinlichkeiten und/oder die Reduzierung der möglichen Schadenshöhen. Der Steuerungsansatz der Risikominderung eignet sich insbesondere für HFLS-Risiken (High Frequency Low Severity). Die mögliche Schadenshöhe ist bei diesen Risiken bereits gering. Die Wirkungskette wird bei dem ursächlichen Risiko gesteuert, indem die Häufigkeit des Eintretens von Ereignissen reduziert wird.2 Risikominderung bietet sich insbesondere für Prozessrisiken (z. B. a „marktunüblicher Umgang mit Kunden“, g „mangelhafte institutsinterne Kommunikation“, h „Projektrisiken“, k „mangelhafte Kundenkontoführung“ gemäß MEKAneu), Personenrisiken (o „Eigenbereicherungdelikte durch Mitarbeiter“)3 und Systemrisiken (t „Systemqualitätsmängel) an. Maßnahmen der Risikominderung sind für Prozessrisiken etwa die Verbes-
1 2
3
Vgl. Brösel, G./Rothe, C.: (Operationelle Risiken im Bankbetrieb) S. 376-396. Vgl. Auer, M.: (Operationelles Risikomanagement) S. 137; Operational Risk Research Forum (Insurance as a mitigant for operational risk) S. 10-20; Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) S. 39; Basel Committee on Banking Supervision: (Operational Risk Transfer) S. 11-12. Vgl. Waschbusch, G./Lesch, S.: (Operationelle Risiken und Mitarbeiterkompetenzen).
214
Dritter Teil
serung von Arbeitsabläufen und die Verbesserung des internen Kontrollsytems1, für Personenrisiken Mitarbeiterschulungen und die Einführungen von Leitlinien (Policies) und für Systemrisiken die Verbesserung der DV-Infrastruktur.2 Notfallpläne sind eine weitere Form der proaktiven Steuerung. Sie werden bereits vor dem Eintreten von operationellen Ereignissen ausgearbeitet. Notfallkonzepte sollten für alle LFHS-Risiken in Form von Wiederanlauf- und Geschäftsfortführungsplänen vorliegen. Gemäß MaRisk ist ein Business-Continuity-Management für alle zeitkritischen Aktivitäten und Prozesse einzurichten.3 Insbesondere für relevante System- und externe Risiken ist hier Vorsorge zu treffen.4 Notfallkonzepte sind dazu ausgelegt, nach eingetretenem operationellen Ereignis die Schadenseffekte auf ein kleinstmögliches Maß zu reduzieren. Wirksamkeit und Angemessenheit von Notfallplänen sind gemäß MaRisk periodisch zu prüfen.5
2.
Risikotransfer
Der Transfer von operationellen Risiken ist ein proaktiver Steuerungsansatz. Er beinhaltet Maßnahmen, die die Eintrittsanzahl eines Ereignisses oder die mögliche Schadenshöhe reduzieren. Die wichtigsten Ansätze für ein Kreditinstitut bestehen im Abschluss von Versicherungen und im Outsourcing. Auf diese beiden Ansätze soll hier detaillierter eingegangen werden. Derivate Instrumente, wie sie etwa für Marktpreis- und Kreditrisiken bestehen,6 gibt es für operationelle Risiken kaum.7 Beispielhaft können jedoch Katastrophenanleihen genannt werden.8 Mit Hilfe des Abschlusses von Versicherungen lassen sich mögliche Schadenshöhen reduzieren. Auf die Eintritte von Schadensfällen haben Versicherungen hingegen keinen Einfluss. Gerade für existenzbedrohende LFHS-Risiken macht es für Kreditinstitute Sinn, sich entsprechend mit Versicherungen abzusichern. Typische Versicherungsarten gegen operationelle Risiken zeigt Tabelle 259. Mit Hilfe von Self-Assessments, Szenarioanalysen und mit Hilfe von Quantifizierungsverfahren wie etwa der Extremwerttheorie sollte vor Abschluss einer Versicherung jedoch analysiert werden, wie hoch beste-
1 2 3 4 5 6 7 8 9
Vgl. Bergmann, M.: (Qualitätsmanagement in Kreditinstituten); Ulrich, T.: (Qualitätsmanagement). Vgl. auch Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) S. 347. Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) Absätze AT 7.3. Vgl. Kropf, R./Knäbchen, A.: (Notfallplanung für Banken) S. 67-69. Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) Absätze AT 7.3. Vgl. Schäl, I.: (Kreditderivate). Vgl. Deutsche Bundesbank/ Bundesanstalt für Finanzdienstleistungsaufsicht (AMA Bericht) S. 39. Vgl. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) S. 190-195; Auer, M.: (Operationelles Risikomanagement) S. 141; Deistler, D./Ehrlicher, S./Heidorn, T.: (Cat-Bonds), S. 1119-1122. Quelle: erweiterte Darstellung nach Auer, M.: (Operationelles Risikomanagement) S. 149-151.
Steuerung von operationeller Risiken
215
hende Risikopotenziale sind und welche Auswirkungen der Abschluss einer Versicherung auf das Risikoprofil hat. Zudem muss analysiert werden, wie hoch die Kosten für einen Versicherungsschutz in Form von Prämienzahlungen sind.1 Bei der Analyse der positiven Auswirkung von Versicherungen auf das Risikoprofil sind Versicherungsspezifika wie der Selbstbehalt und das Deckungslimit zu berücksichtigen. Je höher der Selbstbehalt, desto eher ist ein Kreditinstitut bereit, Low-Severityund Middle-Severity-Risiken selber zu tragen. In der Praxis zeigt sich, dass existenzbedrohende Risiken auch nach Abschluss von Versicherungen noch den Fortbestand eines Kreditinstituts gefährden können. In Tabelle 252 werden diejenigen Risiko-Kategorien der MEKAneu dargestellt, die je nach Ausgestaltung des Versicherungsvertrages typischerweise mit Versicherungen abgedeckt werden könnten.
1 2
Vgl. Auer, M.: (Operationelles Risikomanagement) S. 147-154; Kaufmann, M./Dröse, G.: (Operational Risk Management) S. 789-790; Leddy, T. M.: (Operational Risk and Insurance) S. 101-126. Quelle: erweiterte Darstellung nach Auer, M.: (Operationelles Risikomanagement) S. 149-151.
216
Dritter Teil
Versicherungsart
Beschreibung
Elementarschadenversicherung
Versicherung von Überschwemmungen, Erdbeben und andere Naturkatastrophen Versicherung von Brand, Blitzschlag und Explosionen Versicherung von Einbruch, Diebstahl und Raub
Feuerversicherung Diebstahlversicherung
Betriebsunterbrechungsversicherung
Directors & Officers Versicherung (D&O)
Versicherung von Ertragsausfällen bei durch Sachschaden verursachte Unterbrechung des Bankbetriebs Organ- oder Managerhaftung bei Nicht-Vorsätzlichkeit
Error & Omission Versicherung (E&O)
Versicherung gegen vom Kreditinstitut am Kunden verursachte Vermögensschäden
Employers Practice Liability Versicherung (EPL)
Versicherung gegen Missbrauch von Arbeitnehmerrechten
Mögliche abgesicherte RisikoKategorien gem. MEKAneu z „Katastrophen und externe Versorgungsengpässe“
z.5 „Feuerschäden“ w „Schädigung des Institutsvermögens durch Externe mit Bereicherungsabsicht“ z „Katastrophen und externe Versorgungsengpässe“
d „Produkt- und Modellmängel im Institut“ h „Projektrisiken“ i „Mangelhafte Berichterstattung nach außen“ l „Unstimmigkeiten mit Zulieferern“ m „Unstimmigkeiten mit sonstigen Kooperationspartnern“ a „marktunüblicher oder rechtswidriger Umgang mit Kunden/ Kontrahenten“ b „mangelhafte Beratungsqualität“ d „Produkt- und Modellmängel im Institut“ f „mangelhafte Bearbeitung von Transaktionen“ j.1 „juristisch unvollständige Kundendaten und Geschäftsunterlagen“ k „mangelhafte Kundenkontoführung“ p „Probleme in der Beschäftigungspraxis“ r „Gesundheitsgefährdung“ s „Mitarbeiterkonflikte“
217
Steuerung von operationeller Risiken
Bankers Blanket Bond
Versicherung gegen Veruntreuung durch Mitarbeiter
Automatenversicherung
Versicherung gegen Ausfall von Bankautomaten Versicherung gegen Verluste bei Werttransporten Versicherung gegen Beschädigung von institutseigenen Fahrzeugen
Transportversicherungen KfZ-Versicherung
Tabelle 25
n „vorsätzliche, schädigende Geschäftspraktiken von Mitarbeitern“ o „Eigenbereicherungsdelikte durch Mitarbeiter“ t „Systemqualitätsmängel“ v.1 „Interne Transportausfälle“ z.1 „Störungen auf Verkehrswegen“
Versicherungsarten mit möglichen abgesicherten Risiko-Kategorien gemäß MEKAneu
Tabelle 25 suggeriert zunächst eine klare Zuordnung von Versicherungen zu RisikoKategorien. Tatsächlich helfen die in Kapitel B.III des ersten Hauptteils dieser Arbeit formulierten Konventionen und Kategorisierungsrichtlinien (z.B. die Unterscheidung von Vorsätzlichkeit und Nicht-Vorsätzlichkeit) bei der Zuordnung von Versicherungen zu Risiko-Kategorien. Tabelle 25 sollte aber kreditinstitutsspezisch bis auf die EreignisKategorien der 2. Kategorisierungsstufe heruntergebrochen und mit den einzelnen Klauseln der jeweiligen Versicherungsverträge abgeglichen werden. In der Praxis stellt sich dieser Prozess aber als besonders schwierig heraus.1 Risikocontroller und Experten für den Abschluss von Versicherungen (z.B. die Rechtsabteilung) sprechen häufig nicht dieselbe „Sprache“. Das bedeutet, dass in der Versicherungsbranche verwendete Begrifflichkeiten häufig nur sehr schwierig auf die institutsspezifische MIKA angewendet werden können. Zudem werden Versicherungen nicht notwendigerweise von einer zentralen Stelle in einem Kreditinstitut verwaltet. Hier besteht weiterer Entwicklungsbedarf für Kreditinstitute und auch für die Versicherungsbranche. Versicherungen dürfen in Bezug auf das regulatorische Eigenkapital nur bei Verwendung eines AMA Ansatzes geltend gemacht werden. Der Regulator begrenzt die Eigenkapital-Erleichterung auf 20% des regulatorischen Eigenkapitals, das gemäß verwendetem AMA-Ansatz ohne Versicherungsschutz vorzuhalten wäre. Zudem stellt der Regulator Mindestanforderungen an zur Anrechnung gebrachte Versicherungen. Wie auch bei der Verwendung von Kreditsicherheiten legen Aufsichtsbehörden großen Wert auf das exakte Hedging von Risiken und auf die rechtliche Durchsetzbarkeit des Schutzes. Wesentliche Anforderungen sind:2
1 2
Vgl. Mathmann, W.: (Risikominderung durch Versicherungen) S. 164-167. Vgl. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Absätze 677-678; Basel Committee on Banking Supervision: (Operational Risk Transfer) S. 12-16.
218
Dritter Teil
o Die Bonität des Versicherungsgebers wird mit einem Rating von mindestens A oder einer vergleichbaren Bonitätsstufe bewertet. o Der Versicherungsschutz muss von einem Versicherungsgeber außerhalb der Konzernstruktur, in welche ein Kreditinstitut ggf. eingebunden ist, gewährleistet werden. o Die Mindestrestlaufzeit des Versicherungsschutzes muss ein Jahr betragen. Ansonsten sind Abschläge in Bezug auf die Verwendung als EigenkapitalMinderung vorzunehmen. o Die Kündigungsfrist für die Versicherungspolice beträgt mindestens 90 Tage. o Die Wirkungskette Risiko – Ereignis – Schadenseffekt, wie sie in Kapitel A.I.3 des ersten Hauptteils dargestellt wurde, ist bei der Modellierung des Versicherungsschutzes in dem verwendeten AMA-Modell angemessen zu berücksichtigen.
Ein Ergebnis der LDCE 2009 ist gewesen, dass im Mittel1 nur etwa 2% aller aufgetretenen operationellen Ereignisse (teilweise) mit Versicherungen abgesichert war. Bei Verlusten von mindestens 20 TEUR waren bereits 4% der Ereignisse teilweise mit Versicherungen abgesichert (vgl. Tabelle 262). Dies bestätigt nochmals, dass Kreditinstitute eher im LFHS-Bereich Risiken mit Hilfe von Versicherungen transferieren. Die Recovery Rate durch Versicherungen je abgesichertem Ereignis lag bei 75% bzw. bei 71% bei Ereignissen mit einem Bruttoverlust von über 20 TEUR. Im Mittel wurden 3% der Gesamtschäden (einschließlich der Ereignisse, für die kein Versicherungsschutz bestand) durch Versicherungen reduziert.
1 2
Analysiert wurde der Median. Basel Committee on Banking Supervision: (Observed practice in Advanced Measurement Approaches) S. 74.
219
Steuerung von operationeller Risiken
Erhebungsjahr: 2008
Anzahl an Ereignissen mit Versicherungsschutz1
Alle Ereignisse Ereignisse > 20 TEUR
Tabelle 26
2,1%
Recovery Rate für Ereignisse mit Versicherungsschutz2 74,6%
3,1%
4,2%
70,5%
3,0%
Versicherte Anteil am Gesamtschaden3
Empirischer Versicherungsschutz bei operationellen Ereignissen gemäß LDCE 2009
Für die Berücksichtigung von Versicherungen im Rahmen der Quantifizierung erscheint es zunächst naheliegend, diese bei der Modellierung der individuellen Schadenshöhen zu berücksichtigen. Dies kann etwa bei einer Monte-Carlo-Simulation erfolgen. Dort werden sowohl für die Schadenshöhen als auch deren Häufigkeiten Pseudozufallszahlen generiert (vgl. Kapitel B.II.3 des zweiten Hauptteils). Im ersten Schritt wird die Zahl N1 für die Schadensanzahl unter einer gewissen Verteilungsannahme generiert und im zweiten Schritt werden N1 Zufallszahlen für die Schadenshöhen erzeugt. Dies geschieht mit Hilfe der getroffenen Verteilungsannahme für die Schadenshöhen. An dieser Stelle können etwaige Versicherungsleistungen berücksichtigt weren. Es ist bei jedem Durchlauf zu entscheiden, ob die jeweilige Schadenshöhe durch eine Versicherung teilweise gedeckt wäre. Entsprechend ist dann die simulierte Versicherungsleistung anzurechnen. Selbstbehalte und Deckungslimite sind notwendigerweise zu berücksichtigen.4 Diese Simulationsschritte müssen dann im Rahmen der Simulation sehr häufig wiederholt werden. Der Regulator stellt 2009 jedoch fest, dass eine einfache Adjustierung der Schadenshöhe zu kurz greifen kann. Stattdessen sind Versicherungen schon früher in der Modellierung zu berücksichtigen, etwa bei der Modellierung von verbundenen Ereignissen. Treten Ereignisse im Verbund auf, so kann dies zusätzliche Auswirkungen auf den Versicherungsschutz haben.5 Zwei Beispiele mögen dies erläutern: o Im Zuge der Terrorattacken vom 11. September 2001 in New York gab es juristische Auseinandersetzungen darüber, ob die Attacken als ein oder
1 2 3 4 5
Anzahl Schadensereignisse mit Versicherungsschutz / Anzahl Schadensereignisse Realisierter Versicherungsschutz bezogen auf das aufgetretene Schadensgesamtvolumen bei Ereignissen mit bestehendem Versicherungsschutz Realisierter Versicherungsschutz bezogen auf das aufgetretene Schadensgesamtvolumen bei allen aufgetretenen Ereignissen Vgl. Auer, M.: (Operationelles Risikomanagement) S. 215; Haubenstock, M./Hardin, L.: (Loss Distribution Approach) S. 186-187. Vgl. Basel Committee on Banking Supervision: (Observed practice in Advanced Measurement Approaches) S. 73-74.
220
Dritter Teil
zwei Angriffe zu werten seien. An dieser Einstufung hingen Versicherungsleistungen in beträchlichem Umfang.1 o Bei Abschluss eines Versicherungsvertrages wird häufig Vorsätzlichkeit ausgeschlossen. Treten daher operationelle Ereignisse mit einem Ereignis der Kategorie c „Eigenbereicherungsdelikte durch Arbeitgeber“, n „vorsätzliche, schädigende Geschäftspraktiken von Mitarbeitern“ oder o „Eigenbereicherungsdelikte durch Mitarbeiter“ gemäß MEKAneu auf, so vermindert dies unter Umständen die Versicherungsleistung oder schließt diese aus.
Insgesamt konstatiert die Bankenaufsicht 2009, dass die Modellierung von Versicherungsleistungen im Rahmen der Quantifizierung von operationellen Risiken in vielen Kreditinstituten noch wenig entwickelt ist. Eine weitere Variante des Risikotransfers besteht in der Auslagerung bankbetrieblicher Prozesse (Outsourcing) an Drittparteien. Durch Auslagerung können das Auftreten einer Reihe prozessinhärenter möglicher operationeller Ereignisse samt ihrer Schadenseffekte an eine Drittpartei ausgelagert werden. Damit gehören sie nicht mehr zum Risikoprofil des auslagernden Instituts. Ist das insourcende Unternehmen jedoch auf eine gewisse Leistungserbringung spezialisiert, ist es möglich, dass gewisse operationelle Risikopotenziale dort nur in reduziertem Umfang bestehen. Der Regulator erläutert dazu 2008: „Verluste, die innerhalb eines Dienstleistungsanbieters auftreten, mit dem ein Vertrag über die Auslagerung von Tätigkeiten abgeschlossen wurde, stellen kein operationelles Risiko dar, sofern sich die Verluste nicht auf das Institut auswirken.2“ Tritt also beispielsweise ein Prozessrisiko innerhalb des insourcenden Instituts auf, so ist dies nicht Bestandteil des Risikoprofils des auslagernden Instituts. Diese Konvention wurde auch bei der Konzeption der MEKAneu berücksichtigt. Hier wurden Risiken im Zusammenhang mit Outsourcing definiert als die Gefahr von Verlusten durch Unstimmigkeiten mit Zulieferern von Waren oder Dienstleistungen (einschließlich Outsourcingpartner) und sonstigen Kooperationspartnern (Risiko-Kategorien l und m gemäß MEKAneu). Diese Gefahr wurde bezogen auf die Nicht- oder fehlerhafte Erfüllung vereinbarter Leistungen und sonstige Unstimmigkeiten (vgl. Kapitel B.III.2 des ersten Hauptteils).
1 2
Vgl. Auer, M.: (Operationelles Risikomanagement) S. 153-154. Bundesanstalt für Finanzdienstleistungsaufsicht/Bundesbank (Outsourcing).
Steuerung von operationeller Risiken
221
Ein Kreditinstitut muss gemäß MaRisk eigenverantwortlich und auf jährlicher Basis bestimmen, welche Auslagerungen es für wesentlich und welche für unwesentlich hält.1 Hierfür sind institutsspezifische Kriterienkataloge festzulegen. Für wesentliche Auslagerungen sind Service-Level-Agreements abzuschließen, die den Leistungsumfang des insourcenden Unternehmens in Bezug auf Qualität und Quantität festlegen. Risiken, die mit der Auslagerung wesentlicher Prozesse entstehen, etwas neu entstehende Rechtsrisiken oder mögliche Qualitätsmängel von Dienstleistern –in diesen Fällen neu auftretende operationelle Risiken– sind vom auslagernden Institut mit in das institutseigene Risikomanagement zu integrieren. Risiken aus Auslagerungen können beispielsweise über Risikoindikatoren überwacht werden (vgl. Kapitel B.I.1 des zweiten Hauptteils).2
3.
Reaktive Steuerung
Sind operationelle Ereignisse mit hohem Schadenspotential eingetreten, besteht hoher Handlungsdruck für ein Kreditinstitut, die Schadenseffekte sowie die negativen Folgen für die eigene Reputation zu mindern. Wichtige Grundvoraussetzung hierfür ist zunächst, dass Ereignisse überhaupt erkannt werden. Viele interne Betrugsfälle können beispielsweise in ihrem Ausmaß eingeschränkt werden, wenn sie rechtzeitig entdeckt werden. Hierfür ist ein funktionierendes internes Kontrollsystem notwendig. Zudem müssen entdeckte operationelle Ereignisse, wenn sie ein größeres Verlustpotenzial mit sich bringen, unverzüglich zur institutsinternen Meldung gebracht werden. Hierzu sollte grundsätzlich jeder Mitarbeiter eines Kreditinstituts verpflichtet werden. Da operationelle Ereignisse in allen Bereichen eines Kreditinstituts vorkommen können, muss auch eine dezentrale Steuerung von operationellen Risiken vorgesehen werden. Je Unternehmensbereich bzw. Zentralbereich sollte ein Risikobeauftragter benannt werden, der laufend einen Überblick über die operationellen Risiken seines Bereiches hat, der ein periodisches Self-Assessment in seinem Bereich initiiert und der auch erster Ansprechpartner für die Schadensfallmeldung ist, wenn dieser Schadensfall in seinem Zuständigkeitsbereich auftritt. Beispielhafte Zuständigkeiten im Rahmen eines Operational-Risk-Management zeigt Abbildung 443.
1 2 3
Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) Absätze AT9. Vgl. Deutsche Bundesbank/ Bundesanstalt für Finanzdienstleistungsaufsicht (AMA Bericht) S. 39. Quelle: Lüders, U./Schäl, I.: (Umsetzung eines Operational-Risk-Management) S. 36.
222
Dritter Teil
• Strategiefestlegung • Verabschiedung von Maßnahmen
Vorstand • Zentrale Steuerung • Reporting und Vorschlag von Maßnahmen • Qualitätssicherung
Risikobeauftragter
Risikobeauftragter
Risikobeauftragter
Unternehmensbereich (Mitarbeiter)
Zentralbereich (Mitarbeiter)
Zentralbereich (Mitarbeiter)
Risikobeauftragter
Revision (Mitarbeiter)
Risikobeauftragter
Unternehmensbereich (Mitarbeiter)
• Durchführung der an den jeweiligen Mitarbeiter delegierten OpRiskProzesse (Einpflegen von Schadensfällen, Durchführung des SelfAssessment, Einpflegen von Risikoindikatoren) • Verpflichtung zur Schadensfallmeldung
Risikobeauftragter
Unternehmensbereich (Mitarbeiter)
• Dezentrale Steuerung • Durchführung/Anstoß der OpRisk-Prozesse
Operational-Risk-Controlling
• Überwachung der OpRisk-Prozesse • Reportingempfänger
Abbildung 44 Beispielhafte Zuständigkeiten eines Operational-Risk-Management Die Einheit „zentrales Operational-Risk-Controlling“ ist im Risikocontrolling aufgehängt und koordiniert die Tätigkeiten der dezentralen Risikobeauftragten. Das Operational-Risk-Controlling qualitätssichert die Steuerung und aggregiert die dezentrale Bewertung von operationellen Risiken, wie sie etwa im Rahmen von Self-Assessments oder Szenarioanalysen vorgenommen wird.1 Treten konkrete operationelle Ereignisse auf, die schadensreduzierende Maßnahmen erforderlich machen, nimmt der dezentrale Risikobeauftragte Rücksprache mit dem Operational-Risk-Controlling. Dieses koordiniert auch reaktive, schadensreduzierende Maßnahmen, die mehrere Unternehmensbereiche betreffen. So kann ein Ereignis etwa in einem Bereich auftreten, während sich die Schadenseffekte ausschließlich auf einen anderen Bereich auswirken. Erfolgsentscheidend für reaktive Maßnahmen sind neben effektiven, internen Kontrollsystemen eine hohe Risikosensibilität in den Bereichen eines Kreditinstituts sowie ein offener Umgang mit Risiken und Schadensereignissen.2
1 2
Vgl. Aichholz, S.: (Controlling operationeller Risiken) S. 261. Vgl. Lüders, U./Schäl, I.: (Umsetzung eines Operational-Risk-Management) S. 32-36.
Steuerung von operationeller Risiken
II.
Verzahnung der Steuerung operationeller Risiken mit der Gesamtbanksteuerung
1.
Konsistente Steuerung des gesamten Risikoprofils
223
Im Rahmen der Gesamtbanksteuerung müssen sämtliche Risikoarten geplant, limitiert und einem Soll-Ist-Vergleich unterzogen werden. Im Rahmen des Allokationsprozesses wird jede Risikoart möglichst adäquat mit ökonomischem Eigenkapital unterlegt. Voraussetzung hierfür ist die Quantifizierung und damit die klare Abgrenzung aller Risikoarten. Hierfür muss der Steuerung operationeller Risiken ein ebenso hoher Stellenwert eingeräumt werden, wie etwa der Steuerung von Kredit-, Marktpreis- oder Liquiditätsrisiken. Aus historischen Gründen ist das Management operationeller Risiken in einigen Kreditinstituten organisatorisch im Bereich IT oder bei der Internen Revision aufgehängt. Spätestens seit operationelle Risiken mit der Einführung von Basel II mit regulatorischem Eigenkapital zu unterlegen sind, ist aber klar, dass die Steuerung dieser Risikoart klarerweise auch zentral aus dem Risikocontrolling eines Kreditinstitutes vorgenommen werden muss. Im zentralen Risikocontrolling kann auch eine risikoartenübergreifende Steuerung aller bankbetrieblichen Risiken vorgenommen werden. Dies dokumentiert die Bankenaufsicht als ein ihr wichtiges Anliegen, etwa in der überarbeiteten Version der MaRisk aus 2009. So sind dort risikoartenübergreifende Szenariobetrachtungen bzw. ein risikoartenübergreifendes Stresstesting mit aufgenommen worden.1 Zudem zeigt sich, dass Risikoarten ineinander überführt werden können bzw. neue Risiken entstehen, wenn anderen Risiken aktiv gegengesteuert wird. Beispiele sind: o Operationelle Risiken können sich grundsätzlich immer ausweiten, wenn neue Geschäftsfelder erschlossen oder bestehende Geschäftsfelder weiter ausgebaut werden. o Bei Tätigkeiten mit derivativen Instrumenten (z.B. für Marktpreis- und Kreditrisiken) entstehen zusätzliche operationelle Risiken. So verstehen Mitarbeiter möglicherweise die Strukturen nicht im Detail (Personenrisiken) oder es bestehen zusätzliche Rechtsrisiken.2 o Durch Auslagerung (Outsourcing) können Risiken mitigiert werden; es entstehen jedoch neue Risiken wie Unstimmigkeiten mit Zulieferern und sonstigen Kooperationspartnern.
1 2
Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) AT 4.3.2. Vgl. Basel Committee on Banking Supervision: (Sound Practices) S. 1.
224
Dritter Teil
Zum einen möchte die Bankenaufsicht daher, dass alle, die für das Management operationeller Risiken verantwortlich sind, sich in einem engen Austausch befinden, z.B. über funktionierende Reportingwege. Verantwortlich ist letztendlich jeder Mitarbeiter, insbesondere aber die dezentralen Risikobeauftragen, das zentrale Operational-RiskControlling, der Vorstand, aber auch Einheiten mit Sonderaufgaben, wie die interne Revision, der mit dem Abschluss von Versicherungen betraute Bereich wie auch der Auslagerungsbeauftragte. Zum anderen möchte die Bankenaufsicht, dass sich die Risikomanager für die Risikohauptarten wie Kredit-, Marktpreis-, Liquiditäts- und operationelle Risiken eng abstimmen, z.B. in einem gemeinsamen Risikokomitee.1 Zur Vergleichbarkeit und insbesondere zur Sicherstellung einer Aggregierbarkeit sollten für alle Risikoarten gleiche Bewertungsstandards gelten.2
2.
Exzellenz in der Produktion und im (Kredit-) Risikomanagement
Das Management operationeller Risiken ist deutlich mehr als eine regulatorisch getriebene Pflichtübung. Mit Hilfe eines Operational-Risk-Management kann die Effektivität im Betriebsablauf erhöht werden, was sich nachhaltig auf das Kundengeschäftsergebnis auswirkt. Über das Management operationeller Risiken wird die Produktion wie auch das Risikoprofil gleichermaßen gesteuert. Im Rahmen dieser Arbeit wurde an verschiedenen Stellen diskutiert, dass das Management von Kredit- und operationellen Risiken abgestimmt sein muss auf das ursächliche Risiko. Gleichzeitig müssen beide Risikomanagement-Ansätze eng aufeinander abgestimmt sein, insbesondere um die Qualität von Kreditprozessen zu erhöhen. Kreditprozesse leisten einen entscheidenden Wertbeitrag für ein Kreditinstitut, bergen aber auch ein hohes Risikopotenzial.3 Ein Hebel für die Steigerung des Kundengeschäftsergebnisses ist die optimierte Abstimmung von Produktion und Risikomanagement (vgl. Abbildung 45 4). Jansen/Schäl sprechen von Produktions- und Risikomanagementexzellenz.5
1 2 3 4 5
Basel Committee on Banking Supervision: (Sound Practices) Absatz 20. Vgl. Beeck, H./Kaiser T.: (Quantifizierung) S. 649, Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) S. 672. Vgl. Walzak, B.: (Credit Processes and Operational Risk) S. 1-6. Quelle: eigene Darstellung. Die Komponenten des Kundengeschäftsergebnis sind Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 1) S. 376 entnommen. Vgl. Jansen, S./Schäl, I.: (Retail-Kreditgeschäft) S. 34-37.
225
Steuerung von operationeller Risiken
reduziert Fehlentscheidungen und fehlerhafte Kreditpflege
Exzellenz im Kreditrisikomanagement
Produktionsexzellenz
führt zu
reduziert arbeitsaufwändige Prozesse und verbessert Entscheidungswege
optimiertes Profil bzgl. operationeller Risiken reduziert Betriebkosten
führt zu
optimiertes Profil bzgl. Kreditrisiken
Kundengeschäftsergebnis
=
reduziert RisikoKosten
Marktergebnis + Risikoergebnis + Produktivitätsergebnis
Abbildung 45 Auswirkungen von Produktions- und Risikomanagementexzellenz auf das Kundengeschäftsergebnis Risikosensitive Instrumente für die Steuerung von Kreditrisiken finden sich in Schäl, I.: (Internal Ratings)1 und Jansen, S./Schäl, I.: (Retail-Kreditgeschäft)2. Dazu gehören der Einsatz von Rating- und Scoringverfahren, Frühwarnsysteme, risikodifferenzierte Bepreisung sowie Kreditportfoliomodelle. Besonders das Retail-Geschäft ist ein Geschäftsfeld, in dem es besonders erfolgsentscheidend ist, funktionierende Prozesse in Verbindung mit einem hohen Automatisierungsgrad zu schaffen. Jansen, S./Schäl, I. stellen anhand des Retail-Geschäftes dar, dass durch den richtigen Einsatz von Kreditrisikosteuerungsinstrumenten auch Kreditprozesse effizienter werden:
1 2
Vgl. Schäl, I.: (Internal Ratings) S. 207-212. Vgl. Jansen, S./Schäl, I.: (Retail-Kreditgeschäft) S. 36-37.
226
Dritter Teil
„Bearbeitungs- und Kreditentscheidungssysteme können erfahrungsgemäß erheblich optimiert werden. Bei den Best-Practice-Banken ist mit Hilfe ausgefeilter Kreditentscheidungssysteme heute eine automatisierte Kreditentscheidung innerhalb von 30 Sekunden möglich. Auf der Basis von Kunden- und Geschäftsdaten weden eindeutige und objektive Kreditentscheidungen getroffen, die die Vertriebs- und Risikostrategie der Bank konsequent umsetzen. Zweifelsfälle („gelb“), die manuell nachbearbeitet werden müssen, gibt es hier nicht mehr. In der Bestandsphase erfolgt eine frühzeitige Identifikation von Kreditnehmern mit abnehmender Kreditwürdigkeit und möglicherweise auftretenden Zahlungsstörungen. Die laufenden Kreditgeschäfte werden in der Bestandsphase regelmäßig standardisiert überwacht. Mit Hilfe eines automatisierten Frühwarnsystems werden Zahlungsverhalten, Kontoenwicklung sowie die aktuellen Schufa- bzw. Auskunftei-Merkmale des Kreditnehmers monatlich geprüft und im Verhaltens-Scoring bewertet. So können Bonitätsverschlechterungen im Idealfall noch vor einem Zahlungsausfall erkannt und Gegenmaßnahmen wie das Fordern zusätzlicher Sicherheiten eingeleitet werden. […] Für die Verwertungsphase (Kreditabwicklung) wird ein effektives Mahnverfahren und ein kosteneffizientes Verfahren zur Kündigung und Sicherheitenverwertung implementiert. Bei Zahlungsverzug wird umgehend das Mahnverfahren eingeleitet. Bleiben Zahlungen weiterhin aus, steuert ein Entscheidungssystem die Art, Intensität und Zeitdauer von Beitreibungsmaßnahmen“1 (vgl. Abbildung 46 2). So überträgt sich die Exzellenz im Kreditrisikomanagement auf die Produktivität und Effizienz eines Kreditinstituts.
1 2
Quelle: Jansen, S./Schäl, I.: (Retail-Kreditgeschäft) S. 36. Quelle: Modifzierte Darstellung nach Jansen, S./Schäl, I.: (Retail-Kreditgeschäft) S. 35.
Steuerung von operationeller Risiken
227
Abbildung 46 Instrumente zur Umsetzung einer Produktions- und Kreditrisikomanagement-Exzellenz im Kreditgeschäft Zu einer Produktionsexzellenz gehören klar strukturierte, weitestgehend standardisierte, wenig störanfällige und -wo sinnvoll- automatisierte Prozesse. Dazu kann ein Management operationeller Risiken einen entscheidenden Beitrag leisten, beispielsweise mit einem Management von Prozessrisiken.1 Dazu gehören o die Verbesserung der Beratungsqualität, o die Qualitätssicherung von Produkten und Modellen, o das Aufsetzen von Richtlinien und erläuternden Dokumentationen, o die Verbesserung der Bearbeitung von Transaktionen, o das Aufsetzen von internen Kontrollen, o die Verbesserung der institutsinternen Kommunikation, o die Reduktion von Projektrisiken, o die juristisch einwandfreie Geschäftsanbahnung, o die Optimierung der Kundenkontoführung,
1
Rachlin, C.: (Operational Risk in Retail Banking) S. 113-127.
228
Dritter Teil
o klare Service-Level-Agreements mit Zulieferern und Kooperationspartnern und o die Umsetzung der prozessualen Anforderungen der MaRisk1.
Diese sollten ergänzt werden um Anti-Fraud-Mechanismen und Maßnahmen zur Sicherung von IT- und Datenqualität. Eine Produktionsexzellenz reduziert nicht nur Betriebskosten, sondern verringert Fehlentscheidungen in bankbetrieblichen Prozessen und vermeidet Fehler in der Bearbeitung von Transaktionen und Krediten. Somit werden auch Risikopotenziale weiter reduziert, sodass sich Risikokosten signifikant reduzieren können (vgl. Abbildung 45).2 Nachdem diskutiert wurde, wie sich ein Kreditinstitut intern in Bezug auf Produktion und Risikomanagement verbessern kann, soll nun eingangen werden auf die Wahrnehmung eines Kreditinstituts durch die Öffentlichkeit.
3.
Management von Reputationsrisiken
Reputationsrisiken wurden in Kapitel A.II.3 des ersten Hauptteils definiert als die Gefahr von Verlusten, die in Folge einer Verschlechterung der Reputation des Kreditinstituts eintreten.3 Andere Risikoarten (strategische Risiken, Geschäftsrisiken, operationelle Risiken, Kredit- und Marktpreisrisiken, Liquiditätsrisiken) können Reputationsrisiken und damit Reputationsschäden nach sich ziehen. Die Steuerung von Reputationsrisiken ist im Rahmen der Finanzkrise in 2009 und 2010 weiter in den Fokus der Banksteuerung gerückt. Reputationsrisiken sind während der Finanzkrise mehrfach schlagend geworden:4 o Bei Kunden und Investoren waren Vertrauenseinbrüche in Bezug auf Kreditinstitute zu verzeichnen. o Das Vertrauen unterhalb der Kreditinstitute hatte sich verschlechtert, sodass höhere Refinanzierungsaufwände zu verzeichnen waren.
1 2 3 4
Insbesondere geregelt in BTO und BTR gemäß Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk). Vgl. Jansen, S./Schäl, I.: (Retail-Kreditgeschäft) S. 34-37. Vgl. Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) S. 106; Rayner, J.: (Reputational Risk) S. 20 f. Vgl. Basel Committee on Banking Supervision: (Enhancements to the Basel II framework) Absätze 4757; Bonn, J. K.: (Bankenkrisen); Zentraler Kreditausschuss (Stellungnahme zum zweiten Entwurf der MaRisk) S. 3-4.
Steuerung von operationeller Risiken
229
o Im Rahmen von strukturierten Produkten ist es zu Vertrauenseinbrüchen bei Investoren gekommen, sodass Kreditinstitute Special Purpose Vehicles gestützt haben, ohne hierfür rechtlich verpflichtet gewesen zu sein.
Mit der Überarbeitung der MaRisk in 2009 werden Reputationsrisiken explizit addressiert. In AT 2.2 wird darauf hingewiesen, dass eine Bank ihr Exposure gegenüber Reputationsrisiken nach institutsinterner Prüfung ggf. als „wesentlich“ einstufen muss.1 Die Einstufung einer Risikoart als „wesentlich“ hat eine entscheidende Konsequenz für Kreditinstitute: Für jede als wesentlich eingestufte Risikoart sind gemäß MaRisk angemessene Risikosteuerungsprozesse einzurichten, die eine Identifizierung, Bewertung, Steuerung und Überwachung beinhalten.2 Im Rahmen der Überarbeitung von Basel II wird ein stärkerer Schwerpunkt auf die Analyse und Steuerung von Reputationsrisiken gelegt werden. Operationelle Risiken ziehen häufig Reputationsrisiken nach sich. Reputationsschäden sind allerdings schwer messbar, denn sie äußern sich häufig in Kundenabwanderungen, geringer werdenden Margen, einer Reduktion des Geschäftsvolumens oder höheren Refinanzierungskosten. Schäden aus Reputationsrisiken, die einen mittelbaren Verlust aus einem operationellen Risiko darstellen, werden von einigen Banken als Schadenseffekt erhoben und in Schadensfalldatenbanken gespeichert. Dies erscheint sinnvoll vor dem Hintergrund, dass operationelle Schäden durchaus Reputationsschäden nach sich führen können, die die operationellen Schäden nochmals übersteigen. Für die Schadensfallmeldung in die externe Schadensfalldatenbank GOLD (Global Operational Loss Data)3 sieht die BBA auch die Historisierung von zugehörigen Reputationsschäden vor. Die dort verwendeten Effektkategorien zeigt Tabelle 274.
1 2 3 4
Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) AT 2.2. Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) AT 4.3.2. Vgl. British Bankers’ Association (BBA): (GOLD). Quelle: British Bankers’ Association (BBA): (GOLD) S. 4, eigene Übersetzung.
230
0 1 2
3
4
5
Dritter Teil
Effektkategorien für Reputationsrisiken Keine externen Effekte Keine Berichterstattung in den Medien, Zunahme von Kundenreklamationen Eingeschränkte Berichterstattung in lokalen oder fachspezifischen Medien, Zunahme von Kundenreklamationen, einzelne Kontenauflösungen durch Kunden, keine negative Auswirkung auf den Aktienkurs Eingeschränkte Berichterstattung in nationalen Medien, Verstärkte Kundenreklamationen, erste Kundenabwanderungen, formlose Anfragen der Bankenaufsicht, ggf. negative Auswirkungen auf den Aktienkurs, ggf. Einbindung des Senior Management Anhaltende nationale und eingeschränkte internationale Berichterstattung in den Medien, erhebliche Kundenabwanderungen, formelle Anfragen der Bankenaufsicht bzw. Sonderprüfungen, negative Auswirkungen auf den Aktienkurs, Einbindung des Senior Management Anhaltend negative Berichterstattung in nationalen und internationalen Medien, erhebliche Kundenabwanderungen, Sonderprüfungen und regulatorische Strafen, erhebliche Auswirkungen auf den Aktienkurs, direkte Einbindung des Senior Management/des Vorstandes
Tabelle 27
Mögliche Effektkategorien für Reputationsrisiken gemäß BBA
Diese Effektkategorien eignen sich grundsätzlich für die Grobbewertung aller Reputationsschäden, nicht nur solcher, die ursächlich aus operationellen Risiken resultieren. Wünschenswert ist jedoch, diese Kategorien für eine institutsinterne Verwendung mit monetären Schadensbandbreiten zu versehen. Die in Kapitel B.I des zweiten Hauptteils dieser Arbeit verwendeten Bewertungsverfahren sind direkt auf Reputationsrisiken übertragbar: Mit Hilfe von quantitativen und qualitativen Risikoindikatoren aber auch mit Scorecards werden Risikoprofile ausgearbeitet und Frühwarnindikatoren, z.B. in Bezug auf Vertriebsleistungen, Beschwerdemanagement und Kundenwanderungen konstruiert. Die Verwendung von Self-Assessments bzw. von Szenarioanalysen ist sehr gut geeignet, Risikoprofile zum Beispiel unter Zuhilfenahme von Riskmaps darzustellen. Tabelle 27 kann für die Konstruktion von einer Riskmap dafür als Anhaltspunkt dienen.1 In Bezug auf die Steuerung von Reputationsrisiken lässt sich zwischen einer proaktiven und reaktiven Steuerung unterscheiden. Traditionell ist das Reputationsrisikomanagement stark reaktiv ausgerichtet, man spricht auch von einem „Issue Management“. Reputationsrelevante Vorgänge (z.B. negative Presse) werden systematisch aufbereitet und Gegenmaßnahmen eingeleitet. Wichtig ist jedoch, über ein Issue Management hinaus Reputationsrisiken proakiv zu steuern. Über Medienanalysen und Risikoindikatoren kann die Reputation eines Kreditinstituts laufend überwacht werden. Zudem las-
1
Vgl. Böing, C./Kaiser, T./Schäl, I.: (Methoden zum Management von Reputationsrisiken) S. 229-241.
Steuerung von operationeller Risiken
231
sen sich so konkrete Steuerungsmöglichkeiten ableiten, bevor konkrete Reputationsschäden eintreten.1 Die mathematische Bewertung von Reputationsrisiken steckt noch in den Kinderschuhen. Da die Datengrundlage weitaus reduzierter und diffuser ist als bei operationellen Risiken, wird sie wohl auch nicht den gleichen Entwicklungsstand erreichen können.
1
Vgl. Böing, C./Kaiser, T./Schäl, I.: (Methoden zum Management von Reputationsrisiken) S. 229-241; Einhaus, C.: (Management von Reputationsrisiken) S. 277-290; Rayner, J.: (Reputational Risk) S. 47222; Schierenbeck, H./Grüter, M. D./Kunz, M. J.: (Reputationsrisiken) S. 24-30.
Schlussbetrachtung und Ausblick Das Management operationeller Risiken stellt ein äußerst komplexes Themengebiet dar. Diese Arbeit hat das Management dieser Risikoart in einem umfassenden Ansatz in Bezug auf die Kategorisierung, Bewertung und Steuerung beleuchtet. Sowohl im wissenschaftlichen Kontext als auch in der Bankpraxis hat sich die Auseinandersetzung mit dem Management operationeller Risiken auf ein deutlich höheres Niveau begeben. Obwohl interne Modelle für die Quantifizierung auf einem weniger entwickelten Stand sind als etwa bei Markt- und Kreditrisiken, können diese Modelle unter Einhaltung bestimmter Mindestanforderungen bereits jetzt als AMA Modell für die regulatorische Eigenkapitalunterlegung operationeller Risiken genutzt werden. Durch diese regulatorisch getriebene Auseinandersetzung mit operationellen Risiken hat sich das Thema schnell entwickelt. Dabei wurden jedoch viele Fragestellungen noch nicht ausreichend fundiert ausgearbeitet. Daher wurde es im Rahmen dieser Arbeit für notwendig erachtet, zunächst einmal inne zu halten und zu überlegen, ob das Fundament für die Risikosteuerung ausreichend belastbar ist. Die einfach erscheinende Fragestellung, wie operationelle Risiken definitorisch von anderen Risikoarten abzugrenzen sind und wie sich operationelle Risiken auf 100 Einzelkategorien herunterbrechen lassen, diente als Grundlagenarbeit und führte zu einem neuen Kategorisierungsansatz. Die Auswertung der systematischen Datenerhebung durch den Baseler Ausschuss basierend auf der Loss Data Collection Exercise 2003 und 2009 zeigte, dass es absolut notwendig ist, operationelle Risiken definitorisch im Rahmen einer Kategorisierung detailliert zu kategorisieren, da sich die einzelnen Risiko- bzw. Ereignis-Kategorien sehr heterogen verhalten. Auf der Grundlage einer Grobbewertung der Einzelkategorien des hier entwickelten Kategorisierungsansatzes wurde ein Bewertungsrahmen vorgestellt, der der Heterogenität von operationellen Risiken gerecht wird. Für die einzelnen operationellen Risikokategorien wurden risikoorientierte Steuerungsansätze vorgestellt. Sie verfolgen die Zielsetzung einer Gewährleistung der Risikotragfähigkeit und die der Erhöhung der Produktivität. Zudem stellte sich heraus, dass die Risikosteuerung häufig nicht risikoursachenbezogen ist und die ökonomische Kapitalsteuerung daher häufig verzerrt ist und der ursächlichen Risikoart (Kreditrisiken, Marktpreisrisiken, operationelle Risiken) nicht gerecht wird. Hierfür wurden Korrekturmechanismen vorgestellt, die diese Fehlsteuerungen korrigieren. Für eine aktive Steuerung operationeller Risiken fehlen heute noch einige Instrumente, wie sie in ähnlicher Form für die Steuerung von Kredit- oder Marktpreisrisiken bereits verwendet werden. Dies wurde beispielsweise bei der Beleuchtung des Risikotransfers von operationellen Risiken mit Hilfe von Versicherungen deutlich. Zudem ist die BeI. Schäl, Management von operationellen Risiken, DOI 10.1007/978-3-8349-6548-6_5, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
234
Schlussbetrachtung und Ausblick
trachtung von operationellen Risiken noch nicht ausreichend in die aktiven Entscheidungsprozesse eines Kreditinstituts eingebunden. Erst wenn es gelingt, Risikomanagementexzellenz mit Produktionsexzellenz zu verbinden, ist ein nachhaltiger Hebel für eine effiziente Risiko-/Ertragssteuerung eines Kreditinstituts mit einer ursachenbezogenen Adressierung und Separierung von Risikoarten geschaffen. Viele der hier dargestellten Methoden sind auch auf andere Finanzdienstleister und allgemein auf Unternehmen und Dienstleister übertragbar. Die nächste Herausforderung wird sein, im Rahmen der Solvency-II-Umsetzung1 (das Pendant zu Basel II für Erstund Rückversicherer) ein vergleichbares Rahmenwerk zu schaffen. Viele der hier dargestellten Ansätze werden dabei in modifizierter Form anwendbar sein.
1
Vgl. Europäisches Parlament und Rat (Richtlinie Solvabilität II).
Anhang Anhang 1 Geschäftsfelder gemäß Basel II
I. Schäl, Management von operationellen Risiken, DOI 10.1007/978-3-8349-6548-6, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
236
Anhang
Nr. Ebene 1 1 Unternehmensfinanzierung/ -beratung (Corporate Finance)
2
Handel (Trading & Sales)
3
Privatkundengeschäft (Retail Banking)
Ebene 2 Unternehmensfinanzierung/ -beratung Öffentliche Haushalte Handelsfinanzierungen Beratungsgeschäft Kundengeschäfte Market Making Eigenhandel Treasury Massengeschäft
Private Banking
Kartenservices 4
Firmenkundengeschäft (Commercial Banking)
Firmenkundengeschäft
5
Zahlungsverkehr und Abwicklung
Externe Kunden, Dritte
6
Depot- und Treu- Depot, Verwahrung handgeschäfte (Agency Services) Treuhändergeschäft Stiftungen VermögensverGebundene waltung Vermögensverwaltung (Asset Freie Management) Vermögensverwaltung WertpapierAusführung von provisionsgeschäft Wertpapieraufträgen (Retail Brokerage)
7
8
Tabelle 28:
Aktivitäten Unternehmenszusammenschlüsse, Emissions- und Platzierungsgeschäft, Privatisierung, Verbriefung, Research, Kredite (Regierungen, High Yield), Beteiligungen, Syndizierungen, Börsengang, Privatplatzierungen, weitere Unternehmensberatungsdienstleistungen Anleihen, Aktien, Devisengeschäfte, Warenhandel, Derivate, Mittelanlage, Mittelaufnahme, Eigenhandel, Wertpapierleihe und Repos, Brokerage (Orderausführung und Service für professionelle Investoren), prime brokerage Für Privatkunden: Einlagen- und Kreditgeschäft (ggf. auch Immobilien), Serviceleistungen, Treuhändergeschäft, Anlageberatung Für Vermögendere: private Finanzierungen und Geldanlagen, Serviceleistungen, Treuhändergeschäft, Vermögens- und Anlageberatung Handels-/Gewerbe-/Unternehmenskarten, individuelle Karten und Massengeschäft Projektfinanzierung, Immobilienfinanzierung, Exportfinanzierung, Handelsfinanzierung, Factoring, Leasing, Kreditgewährungen, Bürgschaften und Garantien, Wechselgeschäft für Firmenkunden Zahlungsverkehr, Geldtransfergeschäft, Clearing und Wertpapierabwicklung für Dritte Treuhandverwahrung, Depotgeschäft, Custody, Wertpapierleihe (für Kunden); weiterer Service für Unternehmen Emissions- und Zahlstellenfunktionen Pool, einzeln, privat, institutionell, geschlossen, offen, „Private Equity“ Pool, einzeln, privat, institutionell, geschlossen, offen Ausführungen von Orders, Verwaltungsgeschäft für Privatkunden
Definition der Baseler Geschäftsfelder
Quelle: Basel Committee on Banking Supervision: (Überarbeitetes Framework) Anhang 8.
237
Anhang
Anhang 2 Verteilung der Schadensereignisse gemäß LDCE 2003
Prozentualer Anteil an der Anzahl der Schadensereignisse
Jahr: 2001; 63 Banken
40% 35% 30% 25% 20% 15% 10% 5% 0% I
II PRO
III
IV PER
V
VI
SYS
Stufe-1A-Kategorien der MAKABasel_II
VII
EXT
8
7
6
5
4
3
2
1
Geschäftsfelder 1-Unternehmensfinanzierung 2-Handel 3-Privatkundengeschäft 4-Firmenkundengeschäft 5-Zahlungsverkehr/Abwicklung 6-Depot- u. Treuhandgeschäfte 7-Vermögensverwaltung 8-Wertpapierprovisionsgeschäft
Abbildung 47: Prozentualer Anteil der Geschäftsfelder und Stufe-1-A-Kategorien der MAKABasel_II an der Anzahl der Schadensereignisse Quelle: Eigene Darstellung. Datenquelle: Basel Committee on Banking Supervision: (Loss Data Collection) S. 11. Analysiert wurden 63 Banken, die für 2001 ihre Schadensereignisse ausgewertet haben. Alle 63 Banken haben jeweils Schadensfälle ab 10.000 EUR erhoben. Ereignisse mit einem Schaden kleiner 10.000 EUR wurden in dieser Auswertung nicht berücksichtigt. Für diese Abbildung wurden 36.717 Datensätze selektiert, die sowohl über die Information „Geschäftsfeld (Ebene 1)“, als auch über die Information „Stufe-1A-Kategorie der MAKABasel_II“ verfügen.
I. Schäl, Management von operationellen Risiken, DOI 10.1007/978-3-8349-6548-6, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
Literaturverzeichnis Aichholz, S.: (Controlling operationeller Risiken) Controlling Operationeller Risiken in der Landesbank Baden-Württemberg – ein Umsetzungskonzept, in: Eller, R./Gruber, W./Reif, M.: Handbuch Operationelle Risiken – Aufsichtsrechtliche Anforderungen, Quantifizierung und Management, Praxisbeispiele, Schäffer-Poeschel, Stuttgart 2002, S. 257-282. Alexander, C.: (Statistical Models) Statistical models of operational loss, in: Alexander, C. (Hrsg.): Operational Risk – Regulation, Analysis and Management, Prentice Hall Financial Times, Harlow 2003, S. 129-170. Allen, L./Boudoukh, J./Saunders, A.: (Value-at-Risk-Approach) Understanding Market, Credit, and Operational Risk – The Value at Risk Approach, Blackwell Publishing, Malden, Oxford, Carlton 2004. Anders, U.: (Economic Capital) The path to operational risk economic capital, in: Alexander, C. (Hrsg.): Operational Risk – Regulation, Analysis and Management, Prentice Hall Financial Times, Harlow 2003, S. 215-226. Asmussen, S.: (Ruin Probabilities) Ruin Probabilities, World Scientific, Singapur 2000. Auer, M.: (Operationelles Risikomanagement) Operationelles Risikomanagement bei Finanzinstituten, Wiley, Weinheim 2008. Basel Committee on Banking Supervision: (Enhancements to the Basel II framework) Enhancements to the Basel II framework, Basel 7/2009. Basel Committee on Banking Supervision: (Loss Data Collection 2009) Results from the 2008 Loss Data Collection Exercise for Operational Risk, Basel 07/2009.
I. Schäl, Management von operationellen Risiken, DOI 10.1007/978-3-8349-6548-6, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
240
Literaturverzeichnis
Basel Committee on Banking Supervision: (Observed practice in Advanced Measurement Approaches) Observed range of practice in key elements of Advanced Measurement Approaches (AMA), Basel 7/2009. Basel Committee on Banking Supervision: (Überarbeitetes Framework) Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderungen, überarbeitete Rahmenvereinbarung, umfassende Version, Basel 6/2006. Basel Committee on Banking Supervision: (Framework) Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderungen, überarbeitete Rahmenvereinbarung, Basel 6/2004. Basel Committee on Banking Supervision: (Operational Risk Transfer) Operational Risk Transfer across financial Sectors, Basel 8/2003. Basel Committee on Banking Supervision: (3. Konsultationspapier) Die Neue Basler Eigenkapitalvereinbarung, Konsultationspapier, Übersetzung der Deutschen Bundesbank, Basel 4/2003. Basel Committee on Banking Supervision: (Loss Data Collection) The 2002 Loss Data Collection Exercise for Operational Risk: Summary of the Data Collected, Basel 3/2003. Basel Committee on Banking Supervision: (Sound Practices) Sound Practices for the Management and Supervision of Operational Risk, Basel 2/2003. Basel Committee on Banking Supervision: (QIS 2 – Loss Data Collection – Einführung) Begleitschreiben zum Dokument “QIS 2 – Operational Risk Loss Data” vom 4. Mai 2001 (Basel), http://www.bis.org/bcbs/qis/qisoprisk.htm, 26.01.2004. Basel Committee on Banking Supervision: (Working Paper Operational Risk) Working Paper on the Regulatory Treatment of Operational Risk, Basel 9/2001.
Literaturverzeichnis
241
Basel Committee on Banking Supervision: (QIS 2 – Loss Data Collection) QIS 2 – Operational Risk Loss Data, Basel 5/2001. Basel Committee on Banking Supervision: (2. Konsultationspapier) Die Neue Basler Eigenkapitalvereinbarung, Konsultationspapier, Übersetzung der Deutschen Bundesbank, Basel 1/2001. Basel Committee on Banking Supervision: (2. Konsultationspapier – Operational Risk) Operational Risk, Supporting Document to the New Basel Capital Accord, Consultative Document, Basel 1/2001. Basel Committee on Banking Supervision: (Principles for Credit Risk Management) Principles for the Management of Credit Risk, Basel 9/2000. Basel Committee on Banking Supervision: (1. Konsultationspapier) A new Capital Adequacy Framework, Basel 6/1999. Basel Committee on Banking Supervision: (Basel I) International Convergence of Capital Measurement and Capital standard, Basel 7/1988. Basel Committee on Banking Supervision: (Internal Control Systems) Framework for the evaluation of internal control systems, Basel 1/1998. Bayerische Hypo- und Vereinsbank: (Finanzbericht 2003) Finanzbericht 2003, München 2004. Bee, M. (Importance Sampling and Applications to Operational Risk) Importance Sampling for Sums of Lognormal Distributions, with Applications to Operational Risk, Working Paper, Nr. 28, 2007, http://www-econo.economia.unitn. it/new/pubblicazioni/papers/28_07_bee.pdf, 22.05.2010. Beeck, H./Kaiser T.: (Quantifizierung) Quantifizierung von Operational Risk mit Value-at-Risk, in: Johanning, L./ Ru-
242
Literaturverzeichnis
dolph, B. (Hrsg.), Handbuch Risikomanagement, Band 1, Uhlenbruch, Bad Soden 2000, S. 633-654. Beekmann, F./Stemper, P.: (Quantifizierung operationeller Risiken) Ein Modell zur Quantifizierung operationeller Risiken in Banken, in: Gesellschaft für Operations Research e.V. (Hrsg.), OR News, Sonderausgabe 2006, S. 81-87. Benders, R./ Slodczyk, K./ Riecke, T.: (Bernard Madoff) Bernard Madoff – die große Lüge und die Gier, 15.12.2008, http://www.handelsblatt.com/unternehmen/koepfe/bernard-madoff-die-grosse-luege-und-die-gier;210 9455, 19.12.2010. Berger, K.-H.: (Erfassung von Risiken) Möglichkeiten der Erfassung von Risiken im Bankbetrieb, in: Krumnow, J./Metz, M. (Hrsg.), Rechnungswesen im Dienste der Bankpolitik, Poeschel, Stuttgart 1987, S. 251-265. Bergmann, M.: (Qualitätsmanagement in Kreditinstituten) Qualitätsmanagement in Kreditinstituten – Verfahren zur Messung und Steuerung der Dienstleistungs-Qualität und deren Implementierung, Schriftenreihe des Zentrums für Ertragsorientiertes Bankmanagement, Band 6, Fritz Knapp, Frankfurt am Main 1996. Blunden, T.: (Scorecard approaches) Scorecard approaches, in: Alexander, C. (Hrsg.): Operational Risk – Regulation, Analysis and Management, Prentice Hall Financial Times, Harlow 2003, S. 229240. Bodensohn, K./Kreische, K.: (Kontrollsystem gemäß MaK) Anforderungen an die Funktionstrennung und das Interne Kontrollsystem im Kontext der MaK, in: Becker, A./Gruber, W./Wohlert, D. (Hrsg.): Handbuch Bankenaufsichtliche Entwicklungen – MaH, Grundsatz I, MaK, MaIR, Basel II, Schäffer-Poeschel, Stuttgart 2004, S. 175-205.
Literaturverzeichnis
243
Böing, C./Kaiser, T./Schäl, I.: (Methoden zum Management von Reputationsrisiken) Methoden zum Management von Reputationsrisiken, in: Kaiser, T. (Hrsg.): Wettbewerbsvorteil Risikomanagement – Erfolgreiche Steuerung der Strategie-, Reputations- und operationellen Risiken, Erich Schmid, Berlin 2007, S. 229-241. Bonn, J. K.: (Bankenkrisen) Bankenkrisen und Bankenregulierung, Schriftenreihe des Instituts für Kredit- und Finanzwirtschaft, Band 24, Gabler, Wiesbaden 1998. Borkovec, M./Klüppelberg, C.: (Extremwerttheorie für Finanzzeitreihen) Extremwerttheorie für Finanzzeitreihen – ein unverzichtbares Werkzeug im Risikomanagement, in: Johanning, L./Rudolph, B. (Hrsg.): Handbuch Risikomanagement, Band 1, Uhlenbruch Verlag, Bad Soden 2000, S. 219-244. Brink, G. J. v. d.: (Eigenkapitalunterlegung und Risikomanagement) Die Bedeutung operativer Risiken für Eigenkapitalunterlegung und Risikomanagement, in: Tietmeyer, H./ Rolfes, B. (Hrsg.): Basel II – Das neue Aufsichtsrecht und seine Folgen, Beiträge zum Duisburger Banken-Symposium, Gabler, Wiesbaden 2002, S. 103-121. Brink, G. J. v. d.: (Operational Risk) Operational Risk – The new challenge for banks, Palgrave, New York 2002. British Bankers’ Association (BBA): (GOLD) Global Operational Loss Database, Working Paper, Dezember 2005. British Bankers’ Association (BBA): (Operational Risk Database Loss Categorisation) BBA Operational Risk Database Loss Categorisation, London, http://www.bba.org.uk/excel/45716.xls, 31.12.2003. British Bankers’ Association (BBA): (Operational Risk Database Standard Data Fields) BBA Operational Risk Database Standard Data Fields, London, http://www.bba.org.uk/pdf/45714.pdf, 31.12.2003.
244
Literaturverzeichnis
British Bankers’ Association (BBA)/London Investment Banking Association: (Response to Basel Accord) Response to the Basel Committee’s Second Consultation on a new Basel Accord, London 05/2001, http://www.bis.org/bcbs/ca/bribanass.pdf, 05.01.2004. Bröker, F.: (Quantifizierung von Kreditportfoliorisiken) Quantifizierung von Kreditportfoliorisiken – Eine Untersuchung zu Modellalternativen und Anwendungsfeldern, Fritz Knapp Verlag, Frankfurt a. M. 2000. Brösel, G./Rothe, C.: (Operationelle Risiken im Bankbetrieb) Zum Management operationeller Risiken im Bankbetrieb, in: Betriebswirtschaftliche Forschung und Praxis, Nr. 03/2003, S. 376-396. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): (MaRisk) Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 15/2009, 14.08.2009. Bundesanstalt für Finanzdienstleistungsaufsicht/Bundesbank (Outsourcing) Empfehlung des Fachgremiums OpR zur OpR-Definition, 5.03.2008, http://www.bundesbank.de/download/bankenaufsicht/pdf/empfehlung_definition. pdf, 26.01.2010. Bundesaufsichtsamt für das Kreditwesen: (MaK) Mindestanforderungen an das Kreditgeschäft der Kreditinstitute, Rundschreiben 34/2002 (BA), Bonn 12/2002. Bundesministerium der Finanzen/Deutsche Bundesbank (Liquiditätsverordnung) Verordnung über die Liquidität der Institute, 14.12.2006. Bundesministerium der Finanzen/Deutsche Bundesbank (Solvabilitätsverordnung) Verordnung über die angemessene Eigenmittelausstattung von Instituten, Institutsgruppen und Finanzholding-Gruppen, 14.12.2006. Bundesministerium der Finanzen/Deutsche Bundesbank (Solvabilitätsverordnung – 1. Entwurf)
Literaturverzeichnis
245
Verordnung über die Solvabilität der Institute, Erster Diskussionsentwurf vom 17.05.2005. Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (Weissbuch) Weissbuch der Banksteuerung, 2. Auflage, Bonn 2002. Bundesverband Öffentlicher Banken Deutschlands (Verbandsbericht 2000/2001) Verbandsbericht 2000/2001, Berlin 2001. Büschgen, H. E.: (Bankbetriebslehre) Bankbetriebslehre – Bankgeschäfte und Bankmanagement, 5. Auflage, Gabler, Wiesbaden 1998. Ceske, R./Hernández, J.: (Modelling operational risk) Where theory meets practice, in: Operational Risk – A Risk Special Report, Risk, Nr. 11/1999, S. 17-20. Chernobai, A. S./Rachev, S. T./Fabozzi, F. J. (Operational Risk) Operational Risk – A Guide to Basel II Capital Requirements, Models, and Analysis, Wiley, Hoboken 2007. Commission of the European Communities: (Capital Adequacy of Credit Institutions – Dokument 1) Re-casting Directive 2000/12/EC of the European Parliament and of the Council of 20 March 2000 relating to the taking up and pursuit of the business of credit institutions and Council Directive 93/6/EEC of 15 March 1993 on the capital adequacy of investment firms and credit institutions, Proposal for Directives of the European Parliament and of the Council, Dokument 1, Brüssel 7/2004. Commission of the European Communities: (Capital Adequacy of Credit Institutions – Dokument 2) Re-casting Directive 2000/12/EC of the European Parliament and of the Council of 20 March 2000 relating to the taking up and pursuit of the business of credit institutions and Council Directive 93/6/EEC of 15 March 1993 on the capital ade-
246
Literaturverzeichnis
quacy of investment firms and credit institutions, Proposal for Directives of the European Parliament and of the Council, Dokument 2, Brüssel 7/2004. Commission of the European Communities: (Capital Adequacy of Credit Institutions – Explanatory Memorandum) Re-casting Directive 2000/12/EC of the European Parliament and of the Council of 20 March 2000 relating to the taking up and pursuit of the business of credit institutions and Council Directive 93/6/EEC of 15 March 1993 on the capital adequacy of investment firms and credit institutions, Proposal for Directives of the European Parliament and of the Council, Explanatory Memorandum, Brüssel 7/2004. Cruz, M. G.: (Modeling Operational Risk) Modeling, Measuring and Hedging Operational Risk, Wiley, Chichester 2002. Decker, P. A.: (Liquidity Risk) The Changing Character of Liquidity and Liquidity Risk Management: A Regulator’s Perspective, Emerging Issues Series, Supervision and Regulation Department, Federal Reserve Bank of Chicago, April 2000, http://www.chicagofed.org/publications/publicpolicystudies/emergingissues/pdf/S &R-2000-5.pdf, 27.07.04. Deistler, D./Ehrlicher, S./Heidorn, T.: (Cat-Bonds) Cat-Bonds – Möglichkeiten der Verbriefung von Katastrophenrisiken, in: Zeitschrift für das gesamte Kreditwesen, 52. Jg., Nr. 20/99, S. 1119-1122. Deutsche Bank: (Finanzbericht 2003) Finanzbericht 2003, Frankfurt a. M. 2004. Deutsche Bundesbank (KWG) Gesetz über das Kreditwesen – KWG, Überarbeitete Lesefassung, 04/2009. Deutsche Bundesbank: (Grundsatz I) Grundsatz I über die Eigenmittel der Institute, Frankfurt a. M. 1/2001.
Literaturverzeichnis
247
Deutsche Bundesbank: (Grundsatz II) Grundsatz II über die Liquidität der Institute, Frankfurt a. M. 8/1999. Deutscher Bundestag: (KonTraG) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), 5. März 1998. Deutsche Bundesbank/ Bundesanstalt für Finanzdienstleistungsaufsicht (AMA Bericht) Bericht über die Industrieaktion AMA operationelles Risiko 2005, Bonn und Frankfurt September 2005. Dresdner Bank: (Finanzbericht 2003) Finanzbericht des Dresdner-Bank-Konzerns zum 31. Dezember 2003, Frankfurt a. M. 2004. Einhaus, C.: (Management von Reputationsrisiken) Das Management von Reputationsrisiken in der Finanzwirtschaft, in: Kaiser, T. (Hrsg.): Wettbewerbsvorteil Risikomanagement – Erfolgreiche Steuerung der Strategie-, Reputations- und operationellen Risiken, Erich Schmid, Berlin 2007, S. 277-290. Embrechts, P.: (Extreme Value Theory) The end of the curve, in Insurance Risk – A Risk Special Report, Risk, Nr. 07/1999, S. 19-20. Embrechts, P./Furrer, H. J./Kaufmann, R.: (Quantifying Regulatory Capital) Quantifying regulatory capital for operational risk, http://www.math.ethz.ch/~kaufmann/papers/OPRiskBIS.pdf, 09.02.04 (erschienen in Derivatives Use, Trading and Regulation, Vol. 9, Nr. 3, S. 217-233). Embrechts, P./Kaufmann, R./Samorodnitsky, G.: (Models for Operational Risk) Ruin theory revisited: stochastic models for operational risk, 12/2002, http://www.math.ethz.ch/~kaufmann/papers/OpRisk.pdf, 09.02.04.
248
Literaturverzeichnis
Embrechts, P./Klüppelberg, C./Mikotsch, T.: (Modelling Extremal Events) Modelling Extremal Events for Insurance and Finance, Springer, Berlin 1997. Ensberg, P./Früh, B.: (Liquiditätsrisiko) Liquiditätsrisiko – ein Ansatz zur Bewertung im Rahmen einer integrierten Risikoerfassung, in: Zeitschrift für das gesamte Kreditwesen, 53. Jg., Nr. 05/2000, S. 238-242. Europäisches Parlament und Rat (Richtlinie Solvabilität II) Richtlinie 2009/138/EG des europäischen Parlaments und des Rates betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit (Solvabilität II) – Neufassung, 25.11.2009. Everling, O.: (Ratings für den Mittelstand) Wenn der Computer über die Existenz entscheidet – So planen Sparkassen künftig ihr Rating, in: Financial Times Deutschland, 9.7.2001. Faisst, U./Kovacs, M.: (Methodenvergleich Quantifizierung) Quantifizierung operationeller Risiken – ein Methodenvergleich, in: Die Bank, o. Jg., Nr. 05/2003, S. 342-349. Föllmer, H./Schied A.: (Stochastic Finance) Stochastic Finance – An Introduction in Discrete Time, de Gruyter Studies in Mathematics, Band 27, 2nd Edition, Herausgeber: Kenig, C./Ranicki, A./Röckner, M., Walter de Gruyter, Berlin 2004. Freund, J. E.: (Mathematical Statistics) Mathematical Statistics, 5. Auflage, Prentice Hall, Englewood Cliffs 1992 Geiger, H./Piaz, J.-M.: (Bewertung operationeller Risiken) Identifikation und Bewertung operationeller Risiken, in: Schierenbeck, H./Rolfes, B./Schüller, S. (Hrsg.), Handbuch Bankcontrolling, 2. Auflage, Gabler, Wiesbaden 2001, S. 789-802.
Literaturverzeichnis
249
Georgii, H.-O.: (Stochastik 4. Auflage) Einführung in die Wahrscheinlichkeitstheorie und Statistik, 4. Auflage, de Gruyter, Berlin 2009. Georgii, H.-O.: (Stochastik) Einführung in die Wahrscheinlichkeitstheorie und Statistik, de Gruyter, Berlin 2002. Hagelüken, A. (Schutz bei Online-Käufen) Interner EU-Vorschlag – Bankkunden soll es besser gehen, in: Süddeutsche Zeitung, 7.11.2003. Hagenmüller, K. F./Jacob, A.-F.: (Der Bankbetrieb 3) Der Bankbetrieb, Band III – Rechnungswesen Bankpolitik, 5. Auflage, Gabler, Wiesbaden 1988. Hamer, E.: (Mittelstand) Die unterschätzte Gefahr für den Mittelstand, in: Frankfurter Allgemeine Zeitung, 23.10.2001. Hartmann-Wendels, T./Pfingsten, A./Weber, M.: (Bankbetriebslehre) Bankbetriebslehre, 2. Auflage, Springer, Berlin Heidelberg 2000. Haubenstock, M.: (Operational Risk Framework) The operational risk management framework, in: Alexander, C. (Hrsg.): Operational Risk – Regulation, Analysis and Management, Prentice Hall Financial Times, Harlow 2003, S. 241-261. Haubenstock, M./Hardin, L.: (Loss Distribution Approach) The Loss Distribution Approach, in: Alexander, C. (Hrsg.): Operational Risk – Regulation, Analysis and Management, Prentice Hall Financial Times, Harlow 2003, S. 171-192. Heilmann, W.-R.: (Risikotheorie) Grundbegriffe der Risikotheorie, Verlag Versicherungswirtschaft, Karlsruhe 1987.
250
Literaturverzeichnis
Henze, N.: (Stochastik) Stochastik für Einsteiger, Vieweg, Wiesbaden 1997. Hipp, C.: (Risikotheorie) Risikotheorie 1, Vorlesungsskript SS 1999, 09/2001, http://www.quantlet.de/scripts/riskt/pdf/rt1pdf.pdf, 27.08.2006. Hofmann, M.: (Operationelle Risiken in Kreditinstituten) Identifizierung, Quantifizierung und Steuerung operationeller Risiken in Kreditinstituten, Bankakademie Verlag, Frankfurt a. M. 2002. Hubbard J. H./Schleicher D./Sutherland, S.: (Newton-Raphson-Methode) How to Find All Roots of Complex Polynomials by Newton’s Method, in: Inventiones Mathematicae, 36. Jg., Volume 146, Nr. 1/2001, S. 1-33. Hull, J.: (Risk Management and Financial Institutions) Risk Management and Financial Institutions, Prenctice Hall, Upper Saddle River 2007. Jansen, S./Schäl, I.: (Retail-Kreditgeschäft) Die Schlüssel zum Erfolg – Best Practice im Retail-Kreditgeschäft, in: Die Bank, o. Jg., Nr. 03/2005, S. 34-37. Jörg, M.: (Operational Risk) Operational Risk – Herausforderungen bei der Implementierung von Basel II, 2. Auflage, Bankakademie Verlag, Frankfurt a. M. 2003. Julius Bär (Finanzbericht 2000) Geschäftsbericht 2000 der Julius Bär Holding AG – Finanzbericht, Zürich 2001. Kaiser, T./Köhne, M. F.: (Operationelle Risiken in Finanzinstituten) Operationelle Risiken in Finanzinstituten – Wege zur Umsetzung von Basel II und CAD 3, Gabler, Wiesbaden 2004.
Literaturverzeichnis
251
Kaufmann, M./Dröse, G.: (Operational Risk Management) Operational Risk Management: Risikotransfer durch Versicherung, in: Die Bank, o. Jg., Nr. 11/00, S. 788-791. Këllezi, E./Gilli, M.: (Extreme Value Theory) Extreme Value Theory for Tail-Related Risk Measures, Working Paper, Oktober 2000, http://www.bankingemba.com/rp18.pdf, 8.12.2009. King, J. L.: (Modelling Operational Risk) Operational Risk – Measurement and Modelling, Wiley, Chichester 2001. Kohlas, J.: (Stochastische Methoden) Stochastische Methoden des Operations Research, Teubner, Stuttgart 1977. Korn, R./Korn, E./Kroisandt, G.: (Monte Carlo Methods) Monte Carlo Methods and Models in Finance and Insurance, Chapman & Hall, London 2010. Krengel, U.: (Wahrscheinlichkeitstheorie) Einführung in die Wahrscheinlichkeitstheorie und Statistik, 3. Auflage, Vieweg, Wiesbaden 1991. Kropf, R./Knäbchen, A.: (Notfallplanung für Banken) Notfallplanung für Banken – Schutz der IT-Systeme, in: Die Bank, o. Jg., Nr. 08/04, S. 67-69. Kuhn, L.: (Gesamtbanksteuerung) Risikophasenmodell für operationelle Risiken im Kontext mit der Gesamtbanksteuerung, in: Betriebswirtschaftliche Blätter, 52. Jg., Nr. 12/03, S. 604-611. Leddy, T. M.: (Operational Risk and Insurance) Operational Risk and Insurance, in: Alexander, C. (Hrsg.): Operational Risk – Regulation, Analysis and Management, Prentice Hall Financial Times, Harlow 2003, S. 101-126.
252
Literaturverzeichnis
Lim, G./Kriele, M.: (Szenarioanalysen) Mit Szenarioanalysen das operationelle Risikokapital bestimmen, in: Versicherungswirtschaft, o. Jg., Nr. 01/2006, S. 36-39. Lüders, U./Schäl, I.: (Umsetzung eines Operational-Risk-Management) Ursachenforschung
–
Pragmatische
Umsetzung
eines
Operational-Risk-
Managements, in: Bankinformation, 32. Jg., Nr. 12/2005, S. 32-36. Lui, B.: (Operationelle Risiken und Informationstechnologie) Implikationen des operationellen Risikos nach Basel II für die Informationstechnologie, in: Becker, A./Gaulke, M./Wolf, M.: Praktiker-Handbuch Basel II – Kreditrisiko, operationelles Risiko, Überwachung, Offenlegung, Schäffer-Poeschel, Stuttgart 2005, S. 211-248. Lumby, S.: (Investment Appraisal) Investment Appraisal and Financial Decisions, 5. Auflage, Chapman & Hall, London 1994. Mathmann, W.: (Risikominderung durch Versicherungen) Operational Risk: Effektive Risikominderung durch Versicherungen, in: Die Bank, o. Jg., Nr. 03/03, S. 164-167. McNeil, A. J.: (EVT for Risk Managers) Extreme Value Theory for Risk Managers, Extremes and Integrated Risk Management, 2000, Risk Books, S. 3-18. McNeil, A. J./Frey, R.: (Estimation of tail-related measures) Estimation of tail-related risk measures for heteroscedastic financial time series: an extreme value approach, in: Journal of Empirical Finance, 7. Jg., Volume 7, Nr. 3-4/2000, S. 271-300. McNeil, A. J./Frey, R./Embrechts, P: (Quantitative Risk Management) Quantitative Risk Management – Concepts – Techniques – Tools, Princeton University Press, Princeton 2005.
Literaturverzeichnis
253
Medova, E.: (Extreme Values) Measuring risk by extreme values, in: Risk, Nr. 11/2000, S. 20-26. Mikosch, T.: (Insurance Mathematics) Non-Life Insurance Mathematics, Springer, Berlin Heidelberg 2004. Minz, K.-A.: (Operationelle Risiken in Kreditinstituten) Operationelle Risiken in Kreditinstituten, Herausgeber: Wiedemann, A., Bankakademie Verlag, Frankfurt a. M. 2004. Moser, H./Quast, W.: (Organisation des Risikomanagements) Organisation des Risikomanagements in einem Bankkonzern, in: Schierenbeck, H./Moser, H. (Hrsg.), Handbuch Bankcontrolling, Gabler, Wiesbaden 1994, S. 665-686. Movshyn, L.: (Key Risk Indicators) Key Risk Indicators im Management operationeller Risiken, Bankakademie, Schriftenreihe Banking & Finance aktuell, Band 22, Bankakademie Verlag, Frankfurt am Main 2005. Mühlhaupt, L.: (Betriebswirtschaftlehre der Banken) Einführung in die Betriebswirtschaftslehre der Banken: Struktur und Grundprobleme des Bankbetriebs und des Bankwesens in der Bundesrepublik Deutschland, 3. überarbeitete Auflage, Gabler, Wiesbaden 1980. Nguyen, M.-T./Ottmann, M.: (Loss-Distribution-Approach) in: RiskNews, 6. Jg., Nr. 04/2005, S. 43-46. Oesterreichische Nationalbank/Finanzmarktaufsicht (Management des operationellen Risikos) Management des operationellen Risikos, Leitfadenreihe, Wien 2005, http://www.oenb.at/de/img/lf_operationelles_risiko_tcm14-36314.pdf, 19.01.2010. Operational Risk Research Forum (Insurance as a mitigant for operational risk) Insurance as a mitigant for operational risk: a report submitted to the Basel Com-
254
Literaturverzeichnis
mittee on Banking Supervision, 31.05.2001, http://www.bis.org/bcbs/ca/ oprirefo.pdf, 8.08.2001. ORX (Operational Risk Report) ORX Operational Risk Report, ORX Association, Mai 2007. ORX (Loss Reporting) An ORX member’s guide to operational risk event/loss reporting, Version 2.5, Working Paper, ORX Association, 2006. o.V./FAZ: (Der teuerste Tippfehler der Welt) Der vermutlich teuerste Tippfehler der Welt, in: Frankfurter Allgemeine Zeitung, 12.08.2006, Nr. 186, S. 19. o. V./FAZ: (Streit um “Basel II”) Schärfere Töne im Streit um „Basel II“ – Deutsche Bank widerspricht Schröder – Mittelstand: „Ernste Bedrohung“, in: Frankfurter Allgemeine Zeitung, 12.11.01. o.V./Handelsblatt: (Online-Banking) Kriminelle attackieren das Online-Banking – BKA warnt vor Datenklau mit Hilfe elektronischer Post, in: Handelsblatt, Seite 1, Ausgabe 145, 29.07.2004. o.V./Reuters: (SocGen deckt Händlerbetrug auf) SocGen deckt Händlerbetrug auf – 4,9 Mrd Belastung, 24.01.2008, http://de.reuters.com/article/companiesNews/idDEBUC42968320080124, 18.01.2010. o.V./Süddeutsche Zeitung: (Der 190-Millionen-Euro-Tippfehler) Der 190-Millionen-Euro-Tippfehler, Süddeutsche Zeitung, 10.12.2005. Peccia, A..: (Operational Risk Models) Using operational risk models to manage operational risk, in: Alexander, C. (Hrsg.): Operational Risk – Regulation, Analysis and Management, Prentice Hall Financial Times, Harlow 2003, S. 262-284.
Literaturverzeichnis
255
Peter, A./Vogt, H.-J./Kraß, V.: (Management operationeller Risiken) Management operationeller Risiken bei Finanzdienstleistern, in: Johanning, L./ Rudolph, B. (Hrsg.), Handbuch Risikomanagement, Band 1, Uhlenbruch Bad Soden 2000, S. 655-677 Piaz, J.-M.: (Operational Risk) Operational Risk Management bei Banken, Versus Verlag, Zürich 2002 Potthast, D.: (Operationales Risiko) Basel II: Operationales Risiko, Versus Verlag, Karlsruhe 2003 Rachlin, C.: (Operational Risk in Retail Banking) Operational Risk in Retail Banking – Promoting and Embedding Risk Awareness Across Diverse Banking Groups, in: Arthur Andersen (Hrsg.), Operational Risk and Financial Institutions, Risk Books, London 1998, S. 113-127. Rayner, J.: (Reputational Risk) Managing Reputational Risk: Curbing Threats, Leveraging Opportunities, Wiley, West Sussex 2003. Reif, F./Schäl, I./Weingessel, A.: (Abgrenzung von Kredit- und operationellen Risiken) Abgrenzung von Kreditrisiken und operationellen Risiken im Rahmen der Gesamtbanksteuerung, in: Bankarchiv, 54. Jahrgang, 04/2006, S. 278-284. Reitz, U.: (Pleitewelle droht) Pleitewelle droht – Die Kredite fließen immer spärlicher, dem Mittelstand geht das Kapital aus – Gerade kleinen Firmen droht 2002 das Ende, in: Welt am Sonntag, 3.02.2002. Reynolds, D./Syer, D.: (General Simulation Framework) A general simulation framework for operational loss distributions, in: Alexander, C. (Hrsg.): Operational Risk – Regulation, Analysis and Management, Prentice Hall Financial Times, Harlow 2003, S. 193-214.
256
Literaturverzeichnis
Rinne, H.: (Statistik) Taschenbuch der Statistik, 3. Auflage, Harri Deutsch, Frankfurt am Main 2003. RMA (Association)/British Bankers’ Association (BBA)/ISDA/ PricewaterhouseCoopers: (Operational Risk) Operational Risk – The next Frontier, Philadelphia 1999. Rolfes, B./Kirmße, S.: (Risikomanagement in Banken) Risikomanagement in Banken, in: Dörner, D./Horváth, P./Kagermann, H. (Hrsg.): Praxis des Risikomanagements – Grundlagen, Kategorien, branchenspezifische und strukturelle Aspekte, Schäffer Poeschel, Stuttgart 2000, S. 623-668. Sandmann, W.: (Importance Sampling) Simulation seltener Ereignisse mittels Importance Sampling unter besonderer Berücksichtigung Markovscher Modelle, Dissertation, Universität Bonn, 2004. Schäl, I.: (Operational Risk) Die Quantifizierung und Steuerung von operationellen Risiken – eine Einführung, 12/2003, http://www4.wiwi.uni-karlsruhe.de/MITARBEITER/ SCHAEL/OperationelleRisiken.pdf, 02.12.2003. Schäl, I.: (Internal Ratings) Internal Ratings for Corporate Clients, in: Bol, G./Nakhaeizadeh, G./Rachev, S. T./Ridder, T./Vollmer, K.-H. (Hrsg.), Credit Risk: Measurement, Evaluation and Management, Physica Verlag, Heidelberg 2003, S. 207-230. Schäl, I.: (Kreditderivate) Kreditderivate, ifa-Schriftenreihe, Ulm 1999 Schäl, I./Stummer, W.: (Mapping of operational risks) Basel II compliant mapping of operational risks, in: Journal of Operational Risk, 2. Jg., Nr. 1, 2007, S. 93-114.
Literaturverzeichnis
257
Schäl, I./Stummer, W.: (Kategorisierung operationeller Risiken) Kategorisierung operationeller Risiken im Umfeld von Basel II, in: Finanz Betrieb, 7. Jg., Nr. 12/2005, S. 786-798. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 1) Ertragsorientiertes Bankmanagement (1), 7. Auflage, Gabler, Wiesbaden 2001. Schierenbeck, H.: (Ertragsorientiertes Bankmanagement 2) Ertragsorientiertes Bankmanagement (2), 7. Auflage, Gabler, Wiesbaden 2001. Schierenbeck, H./Grüter, M. D./Kunz, M. J.: (Reputationsrisiken) Management von Reputationsrisiken in Banken, WWZ Discussion Paper, Basel 06/2004, http://www.wwz.unibas.ch/forum/discussion/volltext/0402.pdf, 29.07.20004. Schiller, B./Bitz, C.: (Steuerung operationeller Risiken) Ansatz zur Steuerung operationeller Risiken in Kreditinstituten, in: Betriebswirtschaftliche Blätter, 52. Jg., Nr. 01/2003, S.36-40. Schmitting, W./Siemes, A.: (Risikomanagementmodell – Begriffsrahmen) Konzeption eines Risikomanagementmodells – Begriffsrahmen und IT-Umsetzung, in: Controller Magazin, Jg. 28, Nr. 6, 2003, S. 533-540. Schuster, L.: (Risiko-Management in Banken) Neuere Entwicklung im Risiko-Management der Banken, in: Die Unternehmung, Jg. 43, Nr. 3, 1989, S. 204-215. Shinde, S.: (Finanzkrise lässt Betrüger auffliegen) Schneeballsysteme – Finanzkrise lässt Betrüger auffliegen, 11.01.2010, http://www.handelsblatt.com/finanzen/fondsnachrichten/schneeballsystemefinanzkrise-laesst-betrueger-auffliegen;2510356, 19.01.2010. Simon, W.: (Erfassung und Bewertung operationeller Risiken) Systematische Identifikation, Erfassung und Bewertung Operationeller Risiken – eine neue Herausforderung für Banken, in: Eller, R./Gruber, W./Reif, M.: Hand-
258
Literaturverzeichnis
buch Operationelle Risiken – Aufsichtsrechtliche Anforderungen, Quantifizierung und Management, Praxisbeispiele, Schäffer-Poeschel Verlag, Stuttgart 2002, S. 126-152. Stickelmann, K.: (Operationelles Risiko – Abgrenzung und Definition) Operationelles Risiko – Abgrenzung, Definition und Anforderungen gemäß Basel II, in: Eller, R./Gruber, W./Reif, M.: Handbuch Operationelle Risiken – Aufsichtsrechtliche Anforderungen, Quantifizierung und Management, Praxisbeispiele, Schäffer-Poeschel Verlag, Stuttgart 2002, S. 3-41. Stögbauer, C.: (Quantitative Operational-Risk-Modellierung) Miss es oder vergiss es! – Quantitative Operational-Risk-Modellierung, in: Eller, R./Gruber, W./Reif, M.: Handbuch Operationelle Risiken – Aufsichtsrechtliche Anforderungen, Quantifizierung und Management, Praxisbeispiele, SchäfferPoeschel Verlag, Stuttgart 2002, S. 179-203. Uhlir, H./Steiner, P.: (Wertpapieranalyse) Wertpapieranalyse, 3. Auflage, Physica-Verlag, Heidelberg 1994. Ulrich, T.: (Qualitätsmanagement) Qualitätsmanagement – Eine aktuelle Standortbestimmung unter besonderer Berücksichtigung der Anwendung in der Bank, Schulthess Juristische Medien, Zürich 1996. Waldmann, K.-H. (Modified Recursions for Compound Distributions) Modified recursions for a class of compound distributions, in: Astin Bulletin, Volume 26, Nr. 2, 1996, S. 213-224. Waldmann, K.-H./Stocker U. M. (Stochastische Modelle) Stochastische Modelle – Eine anwendungsorientierte Einführung, Springer, Berlin 2004. Walzak, B.: (Credit Processes and Operational Risk) Bank credit processes and operational risk, 11/2001,
Literaturverzeichnis
259
http://www.erisk.com/ResourceCenter/Features/news_feature2001-11-07.pdf, 04.04.2004. Waschbusch, G./Lesch, S.: (Operationelle Risiken und Mitarbeiterkompetenzen) Operationelle Risiken und Mitarbeiterkompetenzen – Personalmanagement als Schlüssel zur Quantifizierung und Steuerung, Deutscher Genossenschafts-Verlag, Wiesbaden 2004. Wiedemann, A./Minz, K.-A./Niemeyer, F.: (Operationelle Risiken – Handlungsfelder) Operationelle Risiken – Handlungsfelder für Kreditinstitute, Deutscher Sparkassen Verlag, Stuttgart 2003. Wiedemeier, I.: (Analyse operationeller Risiken) Identifikation und Analyse Operationeller Risiken in Banken und Sparkassen unter Berücksichtigung aufsichtsrechtlicher Anforderungen, in: Eller, R./Gruber, W./Reif, M.: Handbuch Operationelle Risiken – Aufsichtsrechtliche Anforderungen, Quantifizierung und Management, Praxisbeispiele, Schäffer-Poeschel Verlag, Stuttgart 2002, S. 236-256. Winston, W. L. (Operations Research) Operations Research – Applications and Algorithms, 3. Auflage, Duxbury Press, Belmont 1994. Young, B.: (Moody’s Analytical Framework) Moody’s Analytical Framework for Operational Risk Management of Banks, London 01/03, http://www.math.ethz.ch/~kaufmann/RM/moodys.pdf, 09.02.04. Zentraler Kreditausschuss (Stellungnahme zum zweiten Entwurf der MaRisk) Stellungnahme zum zweiten Entwurf einer Neufassung der Mindestanforderungen an das Risikomanagement (MaRisk) vom 24. Juni 2009 – Konsultation 03/2009, 15.07.2009, Stellungnahme für die Bundesanstalt für Finanzdienstleistungsaufsicht und die Deutsche Bundesbank, http://www.bundesbank.de/download/ bankenaufsicht/pdf/marisk/090715_marisk_stellungnahme_zka.pdf, 26.01.2010.