Operationelles Risiko
Unter einem operationellen Risiko versteht man bei einem Unternehmen Risiken, die außerhalb der typischen unternehmerischen Risiken auftreten und einen Schaden verursachen können. Insbesondere im Bankwesen (seit Januar 2007) und bei Versicherungen (seit Januar 2009) gibt es Regelungen, die vorschreiben, wie mit operationellen Risiken zu verfahren ist.
Allgemeines
Unternehmerische Tätigkeit ist einer Vielzahl von Risiken ausgesetzt, die sich in unternehmerische und operationelle Risiken aufteilen lassen. Zu den unternehmerischen Risiken gehören etwa das Risiko der Fehlproduktion, der Produkthaftung oder das Debitorenrisiko (siehe auch: Risikobericht). Darüber hinaus gibt es jedoch noch Risiken, die ebenfalls zu Schäden führen können wie etwa aus organisatorischen oder kommunikativen Schwachstellen. Das sind die so genannten operationellen Risiken. Da sie häufig bei Kreditinstituten zu beobachten waren und dort zu teilweise existenzbedrohenden Schäden geführt hatten, hielt man eine gesetzliche Regelung für notwendig. Zur gleichen Zeit wurden auch im Versicherungswesen operationelle Risiken diskutiert.[1]
Operationelle Risiken im Bankwesen
Die hohen Schäden im Bankwesen aus nicht banktypischen Risiken waren der Auslöser für gesetzgeberische Maßnahmen. Im Bankwesen wurde nicht bedacht, dass operationelle Risiken sich asymmetrisch verhalten, so dass ihr Vorhandensein nicht zwangsläufig zu höheren Ertragschancen führt.
Geschichte
Zwischen 1994 und 1999 sind Kreditinstituten Verluste von schätzungsweise 12 Milliarden US-Dollar[2] allein aufgrund interner Fehler entstanden. Der Anteil der operationellen Risiken am Gesamtrisiko von Banken wird allgemein zwischen 25 % und 35 % geschätzt,[3][4] deutsche Großbanken gingen in ihren Geschäftsberichten für das Jahr 2005 zwischen 10 % (WestLB AG) und 18,5 % (Deutsche Bank) aus.[5]
Einige medienwirksame, spektakuläre Fälle sind den operationellen Risiken zuzuordnen:[6]
- Jürgen Schneider: Ab April 1994 wurde öffentlich, dass seine Hausbank Deutsche Bank und andere Institute im Rahmen der Immobilienfinanzierung (teilweise gefälschte) Kreditunterlagen einer unzureichenden Kreditwürdigkeitsprüfung unterzogen hatten, wodurch den Banken Schäden in Höhe von 5,3 Milliarden DM (davon allein 1,3 Milliarden DM bei der Deutschen Bank) entstanden (Kreditbetrug).
- FlowTex: Der Horizontalbohrmaschinenhersteller betrog etwa 120 Banken und Leasinggesellschaften ab Oktober 1994 in Höhe von 2,9 Milliarden DM im Rahmen des Sale-Lease-Back durch gefälschte Rechnungen über – in Wirklichkeit nicht verkaufte – Bohrmaschinen.
- Barings Bank: Die Verluste der Bank im Februar 1995 in Höhe von 1,4 Milliarden GBP könnten vordergründig als Marktrisiko eingestuft werden, da die Zins- und Indexspekulationen ihres Traders Nick Leeson auf der falschen Einschätzung von Marktentwicklungen beruhten. Doch Leeson hatte seine Aktivitäten in betrügerischer Absicht verschleiert und die Kontrollmechanismen der Bank ausgeschaltet, was als menschliches und Versagen von internen Verfahren einzustufen ist.[7]
- Société Générale: Im Januar 2008 gab die Bank einen Verlust von 4,8 Milliarden Euro durch nicht genehmigte, betrügerische Spekulationsgeschäfte ihres Traders Jérôme Kerviel bekannt, der gegen bankinterne Vorschriften verstoßen und Kontrollsysteme umgangen hatte.
Die Entwicklungen bei Herstatt-Bank, Barings Bank und Société Générale haben gezeigt, dass Verluste im Eigenhandel durch unerwartete, negative Marktbewegungen hervorgerufen wurden, die von den verantwortlichen Tradern nicht den zuständigen Organen der Bank berichtet, sondern kaschiert wurden. Das ist im Kern menschliches Versagen durch Fehlverhalten, weil Arbeitsanweisungen die Eskalation von bedeutenden Informationen an übergeordnete Hierarchieebenen verlangen. Zudem lag in diesen Fällen auch Kompetenzüberschreitung vor, weil vorhandene Händlerlimite nicht eingehalten wurden.
Gesetzliche Regelung
Basel II griff diese operationellen Risiken erstmals im Februar 2003 auf[8] und sorgte weltweit in beteiligten Ländern für eine gesetzliche Umsetzung. Diese erfolgte in Deutschland im Januar 2007 zunächst durch § 269 Abs. 1 SolvV a. F. Da seit Januar 2014 die Kapitaladäquanzverordnung (CRR) diese regulatorischen Vorschriften übernommen hat, gibt es nunmehr die Legaldefinition des operationellen Risikos in Art. 4 Abs. 1 Nr. 52 CRR. Operationelles Risiko ist demnach das „Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen und Systemen oder durch externe Ereignisse verursacht werden, einschließlich Rechtsrisiken“.
Der synoptische Vergleich zur ehemaligen SolvV zeigt, dass beide Vorschriften nicht vollständig übereinstimmen. In der Kapitaladäquanzverordnung werden gegenüber der SolvV die strategischen und Reputationsrisiken nicht mehr erwähnt.
- Strategisches Risiko ist die Gefahr, dass langfristige Erfolgspotenziale falsch eingeschätzt, nicht weiterentwickelt oder nicht neu erschlossen werden.[9] Hierzu gehören das Know-how oder die Motivation der Mitarbeiter, IT-Kompetenz, Problemlösungen oder Produktentwicklungen, aber auch etwa der Verlust ertragbringender Bankkunden oder der Verstoß gegen das Kartellrecht. Strategische Risiken sind mit einer hohen Unsicherheit behaftet und nur schwer quantifizierbar.[9] Das war der Grund für ihre Weglassung.
- Aus allen Risikoarten können Reputationsrisiken entstehen. Unter einem Reputationsrisiko versteht man die Gefahr, dass eine Bank ihre Reputation infolge einer negativen Wahrnehmung in der Öffentlichkeit beschädigt.[10] So kann ein bedeutender Kreditausfall, der zu den banktypischen Kreditrisiken gehört (beispielsweise die Großkredite der SMH-Bank an die IBH-Holding), auch den Ruf der Bank schädigen. Auch Reputationsrisiken sind wegen ihrer Zeitferne schwer quantifizierbar und wurden durch die Kapitaladäquanzverordnung nicht mehr ins operationelle Risiko übernommen.
Der Basler Ausschuss für Bankenaufsicht gibt die eher allgemeine Forderung vor:
„Die Bankenaufsichtsbehörden müssen sich überzeugen, dass die Banken über interne Kontrollen verfügen, die der Art und Umfang ihres Geschäfts angemessen sind. Dazu gehören genaue Regelungen für das Delegieren von Befugnissen und Zuständigkeiten, die Trennung der Funktionen, die das Eingehen von Verpflichtungen für die Bank, das Verfügen über Gelder und die Rechenschaftslegung über ihre Aktiva und Passiva betreffen, die Abstimmung dieser Funktionen, die Sicherung der Aktiva sowie angemessene unabhängige interne und externe Revisions- und Compliance- Funktionen zur Prüfung dieser Vorschriften….“
Spezieller wird diese Vorgabe in dem Satz gefasst: „Die Aufsichtsbehörden sollten darauf achten, dass die Geschäftsleitung für wirksame interne Kontroll- und Revisionsverfahren sorgt. Außerdem sollten geschäftspolitische Grundsätze für die Handhabung oder Minderung des Betriebsrisikos aufgestellt werden. Die Bankenaufsichtsbehörden sollten sich vergewissern, dass die Banken über adäquate und wohlerprobte Pläne für die Wiederaufnahme des Betriebs aller wichtigen EDV-Systeme verfügen, mit Ausweichmöglichkeiten an einem anderen Ort, um gegen Betriebsstörungen gewappnet zu sein.“
Inhalt
Aus der Legaldefinition lassen sich die operationellen Teilrisiken wie folgt systematisieren:
- Bankintern: Personalrisiken, Prozess- und Strukturrisiken sowie System- und Technologierisiken. Zu den Personalrisiken gehören fehlerhafte Verhaltensweisen des Bankpersonals durch fahrlässige oder vorsätzliche Nichtbeachtung interner und/oder externer Vorschriften (arglistige Täuschung, Urkundenfälschung, Betrug, Unterschlagung, Untreue). Verluste, welche von Mitarbeitern nicht vorsätzlich zugefügt werden, sind der Kategorie „interne Verfahren“ (auch „Prozesse“ genannt) zugeordnet. Hierzu gehören Transaktionsfehler und Fehler verursacht durch Missverständnisse. Auch eine zu große Arbeitsverdichtung kann ein Personalrisiko sein. Die übrigen Risiken entstehen durch unangemessene oder nicht funktionierende Prozesse oder Systeme und Infrastrukturen.[11] Das technische Risiko bezieht sich auf mögliche Verluste, die auf Probleme mit technischen Anlagen zurückzuführen sind (Ausfall der EDV oder der Telefonanlage). Das Organisationsrisiko besteht in der Gefahr, dass unerwartete Verluste aufgrund der betrieblichen Ablauf- und Aufbauorganisation entstehen können.[12]
- externe Ereignisse: Diese müssen sich auf die Bank auswirken und dort zu schädigenden Störungen des betrieblichen Ablaufs führen. Die Ereignisarten reichen vom Stromausfall über Bankraub und Geiselnahme, Terroranschläge bis zu Naturkatastrophen.
- Rechtsrisiken: Rechtsrisiken haben zwar in der Regel interne Ursachen (Prozess-Risiken), Schäden werden aber ausgelöst durch externe Ereignisse (Widersprüche, Klagen). Sie können entstehen durch fehlerhafte oder unpräzise Anlageberatung, anfechtbare oder nichtige Vertragsgestaltung oder fehlendem oder fehlerhaftem Haftungsausschluss. Diese Rechtsmängel müssen sich durch Rechtsstreit mit den betroffenen Vertragspartnern durch Schäden materialisieren.
Abgrenzung zum Kreditrisiko
Die Abgrenzung zu anderen Risikoarten kann im Einzelfall Schwierigkeiten bereiten. Die am häufigsten vorkommende Überschneidung betrifft operationelle Risiken innerhalb des Kreditrisikos. Das bedeutet, dass ein Kreditausfall nicht durch das eigentliche Kreditrisiko, sondern vielmehr durch ein operationelles Risiko entstanden ist. Dieses kann auf interne oder externe Ursachen zurückzuführen sein.
Beispiele:
- Mitarbeiterfehler: etwa bei der Dokumentation, Kompetenzüberschreitungen, Vergabe von Krediten an nicht existente Kunden zum eigenen Vorteil;
- Systemfehler: Unausgereifte oder unvollständige Tools zur Überwachung von Risiken oder Verwaltung von Sicherheiten;
- interne Abläufe: mangelhafte Schnittstellen im Kreditvergabeprozess;
- externe Ursachen: Vorlage von gefälschten Kreditwürdigkeitsunterlagen (Gehaltsabrechnungen/Bilanzen)
In der Praxis lässt sich letztlich das operationelle Risiko mit Kreditbezug vom klassischen Kreditrisiko dadurch abgrenzen, ob man den Kreditausfall auf eine Bonitätsverschlechterung zurückführen kann (Kreditrisiko) oder nicht (operationelles Risiko).
Messansätze im Bereich operationeller Risiken
Operationelle Risiken sind bei Kreditinstituten wie das Kreditportfolio durch Eigenmittel zu unterlegen. Sie können bei der Berechnung des Eigenmittelbedarfs für operationelle Risiken auf drei Ansätze zurückgreifen. Die verschiedenen Messansätze für das operationelle Risiko steigen in ihrer Fortschrittlichkeit und Komplexität in Nennreihenfolge an: Basisindikatoransatz, Standardansatz und fortgeschrittener Messansatz (englisch advanced measurement approach, kurz AMA: Interner Bemessungsansatz, Verlustverteilungsansatz, Scorecardansatz). Während für den Basisindikatoransatz eine Zahl für den Gesamtkonzern bestimmt wird, lässt sich bei dem Standardansatz immerhin schon nach verschiedenen Geschäftsbereichen und entsprechend angepassten Risikogewichten unterscheiden. Für beide Ansätze sind in der Basler Eigenkapitalvereinbarung bereits Berechnungsformeln vorgegeben. Der AMA hingegen lässt den Kreditinstituten einen großen Spielraum, ihre operationellen Risiken anhand eigener Messverfahren zu ermitteln. Weiterhin ist es möglich, den Standardansatz mit dem AMA zu kombinieren. Sowohl für den Standardansatz als auch für den AMA gibt es aufgrund der Flexibilität beider Messansätze jeweils einen Anforderungskatalog, dessen Anforderungen mindestens umgesetzt werden müssen, um den jeweiligen Messansatz verwenden zu dürfen.
Generell gilt, dass bei den ambitionierteren Ansätzen zwar die Komplexität und die Risikosensitivität steigt und die quantitativen und qualitativen Anforderungen höher sind. Auf der anderen Seite mindern diese Ansätze die Höhe der Eigenkapitalunterlegungspflicht gegenüber den einfachen Ansätzen.
Ein großes Problem bei der praktischen Umsetzung von ambitionierten Ansätzen stellt die Datenbasis dar. In nahezu keiner Bank ist eine ausreichend lange Datenhistorie vorhanden, die es erlauben würde, allein damit eine Messung operationeller Risiken durchzuführen. Basel II fordert daher von Banken explizit, auf externe Daten zurückzugreifen. Solche externen Datenbanken können einerseits von kommerziellen Anbietern gekauft werden, die Daten professionell aus Presseberichten etc. sammeln. Zum anderen schließen sich Institute zu Datenkonsortien zusammen, in denen sie Schadenfalldaten miteinander austauschen.
Die Anforderungen hierfür geben die Verordnung (EU) Nr. 575/2013 (Kapitaladäquanzverordnung) (Teil 3, Titel III) und die Richtlinie 2013/36/EU (Eigenkapitalrichtlinie) vor; erstere ist gemeinsam mit dem Kreditwesengesetz in Deutschland unmittelbar geltendes Recht.
- Die beiden Standardansätze greifen auf Positionen der Gewinn- und Verlustrechnung zurück. Dabei ist der einfache Standardansatz nur anzeigepflichtig, während der alternative Standardansatz zustimmungspflichtig ist.
- Der fortgeschrittene Messansatz bedarf der Zulassung durch die BaFin.
Mit Basel III wird für Banken ab 2023 – wegen der Corona-Krise wurde das Datum von 2022 verschoben (BIS press release März 2020) – der Standardized Measurement Approach (SMA) obligatorisch. Im Standardized Measurement Approach wird die eigene Verlust-Historie (letzte 10 Jahre) stark gewichtet.
Operationelle Risiken bei Versicherungen
Die typischen Versicherungsrisiken lassen sich in Kapitalanlagerisiken, versicherungstechnische Risiken und operative Risiken einteilen.[13] Eine Marktstudie von KPMG aus dem Jahre 2007 sah bei den operativen Risiken in Versicherungen „erhebliche Verbesserungspotenziale“.[13] Der Bedarf an Risikokapital für operationelle Risiken bei Versicherungen wird der Studie zufolge mit lediglich 4,1 % veranschlagt.[14] Deshalb hat die BaFin mit Rundschreiben vom Januar 2009 in Konkretisierung der Bestimmungen der §§ 64a und 104a VAG sich auch mit dem operationellen Risiko bei Versicherungen befasst. § 64a VAG wurde 2014 entsprechend angepasst. „Das operationelle Risiko bezeichnet das Risiko von Verlusten aufgrund von unzulänglichen oder fehlgeschlagenen internen Prozessen oder aus mitarbeiter- und systembedingten oder aber externen Vorfällen. Das operationelle Risiko umfasst auch Rechtsrisiken, jedoch nicht strategische Risiken und Reputationsrisiken.“[15] Auch bei Versicherungen wurden die strategischen und Reputationsrisiken aus dem operationellen Risiko ausgeklammert. Alle übrigen Inhalte entsprechen materiell der Legaldefinition operationeller Risiken bei Banken.
Nach § 25a Abs. 1 KWG müssen Kreditinstitute über eine ordnungsgemäße Geschäftsorganisation verfügen, „die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet.“ Eine ähnliche Vorschrift ist für Versicherungen in § 23 VAG enthalten.[16] Normzweck beider Vorschriften ist die Gesetzeskonformität in diesen volkswirtschaftlich bedeutsamen Sektoren.
Management der operationellen Risiken
Die geltende Rechtslage zwingt Kreditinstitute und Versicherungen zur Überwachung operationeller Risiken durch Institutionalisierung im Management. Banken und Versicherungen können einige operationelle Teilrisiken auf Versicherungen abwälzen,[17] was jedoch höhere Versicherungsprämien – und damit Gewinnschmälerungen – mit sich bringt (hier wird jeweils abgewogen: Prämie vs. Reduktion der Kapitalkosten). Versicherungen sind ein wichtiges Instrument zum aktiven Management von operationellen Risiken durch den teilweisen oder vollständigen Ausgleich von Schäden.[18] Dabei können folgende operationellen Risiken versichert werden:
- Betriebsunterbrechungsversicherung
- Fidelity/Bankers Blanket Bond (Betriebstreuhandversicherung)
- Electronic Computer Crime
- Professional Indemnity (Berufshaftpflichtversicherung)
- Employment Practices Liability
- Unauthorized Trading
Wollen Banken und Versicherungen diese Risiken ganz oder teilweise im Wege der Nichtversicherung selbst tragen, müssen sie ihre operationellen Risiken zunächst identifizieren und organisatorische Vorkehrungen treffen (durch Verbesserung interner Arbeitsanweisungen, Personalfortbildung, Redundanzsysteme), um Schäden hieraus zu vermeiden. Dennoch aufgetretene Schäden sind aufzuzeichnen und belasten – unversichert – als außerordentlicher Aufwand die Gewinn- und Verlustrechnung. Eine Schadensanalyse sorgt anschließend für die Untersuchung der Schadensursachen und für ihre künftige Vermeidung. Die Nichtversicherung trägt auch zur Vermeidung des moralischen Risikos bei, weil auftretende Schäden aus operationellem Risiko selbst zu tragen sind.
Einzelnachweise
- Annette Dölker, Das operationelle Risiko in Versicherungsunternehmen, 2006, S. 1 ff.
- Jean-Marc Piaz, Operational Risk Management bei Banken, 2002, S. 31
- Anna Chernobai/Christian Menn/Stefan Trück/Svetlozar T. Rachev, A note on the estimation and severity distribution of operational risk, in: Mathematical Scientist 30, 2005, S. 2.
- Marcelo G. Cruz, Modeling, Measuring and Hedging Operational Risk, 2002, S. 1.
- Carsten Steinhoff, Quantifizierung operationeller Risiken in Kreditinstituten, 2008, S. 3 (FN 15)
- Carsten Steinhoff, Quantifizierung operationeller Risiken in Kreditinstituten, 2008, S. 1.
- John Holl, Risikomanagement Banken, Versicherungen und andere Finanzinstitutionen, 2011, S. 438 ff.
- Grundsätze und Empfehlungen zum Management operationeller Risiken, BIZ, 2003, S. 3–13
- Jan Roland Günter, Bankenrating, 2009, S. 66.
- PWC, Mindestanforderungen an das Risikomanagement bei Versicherungen (MaRisk VA), Newsletter 4, Januar 2009, S. 3.
- Ingmar Dransfeld, Operationelle Risiken und Basel II, 2014, S. 11.
- Thomas Dittmar, Interne Märkte in Banken, 2001, S. 26.
- KPMG, Risikomanagement und Solvency II bei Versicherungsunternehmen, 2007, S. 10 ff.
- KPMG, Risikomanagement und Solvency II bei Versicherungsunternehmen, 2007, S. 18.
- Aufsichtsrechtliche Mindestanforderungen an das Risikomanagement (MaRisk VA), BaFin-Rundschreiben 3/2009 (VA)vom 22. Januar 2009, Ziffer 5: Risiken
- Martin Schaaf, Risikomanagement und Compliance in Versicherungsunternehmen, 2010, S. 127.
- Versicherungen wälzen diese Risiken im Rahmen der Erstversicherung teilweise auf andere, konzernfremde Versicherungen ab
- Thomas Kaiser, Marc Felix Köhne, Operationelle Risiken in Finanzinstituten, 2007, S. 127 f.
Literatur
- Johannes Wernz: Bank Management and Control. Springer Nature, 2020, ISBN 978-3-030-42866-2
- Andreas Peter, Johannes Wernz: Operationelle Risiken, in: RisikoManager, Heft 23/2012, Seiten 11–18.
- Basler Ausschuss für Bankenaufsicht: Sound Practices for the Management and Supervision of Operational Risk (dt.: Management operationeller Risiken – Praxisempfehlungen für Banken und Bankenaufsicht) 2003
- Christian Einhaus: Operationelle Risiken – Grundlagen der aktuellen Diskussion, in: Die Sparkasse, 119 Jg., Heft 11, November 2002, S. 488–490.
- Marc D. Grüter: Management des Operationallen Risikos in Banken, Schriftenreihe des Zentrums für Ertragsorientiertes Bankmanagement, 2006, ISBN 3-8314-0790-8
- Oesterreichische Nationalbank/Finanzmarktaufsicht (2005): Management des operationellen Risikos
- Norbert Hofman, Bernd Malakowski: Ansätze zur praxisorientierten Identifikation und Bewertung Operationeller Risiken, in: RisikoManager, Heft 21/2007, Seite 12–17.
- Hans Hinterhuber, Elmar Sauerwein, Christine Fohler-Norek: Betriebliches Risikomanagement, Wien, 1998
Weblinks
- Fachblog zu Operationellen Risiken in der Versicherungsbranche
- Management von operationellen Risiken im Groß- und Einzelhandel der Konsumgüterbranche
- Zur abweichenden Definition im europäischen Bankenbereich siehe PDF