2         Definitorische Grundlagen und Vorgehensweise

2.1       Risikomanagement

2.1.1        Risikoarten

Die einschlägige Literatur weist eine Vielzahl von Definitionen für Risiko auf.[8] Diese variieren in der Regel in Abhängigkeit vom Schwerpunkt der jeweiligen Arbeit. Allgemein kann allerdings festgestellt werden, dass ein Risiko darin besteht, dass die verfolgten Ziele durch ein eintretendes Ereignis beeinflusst werden. Die Höhe des Risikos kann anhand der Kombination aus der Wahrscheinlichkeit einer Verlustentstehung und der Verlusthöhe bestimmt werden.[9] Allerdings stellen Risiken gleichzeitig auch immer Chancen dar. Deshalb gilt Risikobereitschaft als notwendige Grundlage des unternehmerischen Handelns.[10]

Grundsätzlich existieren unterschiedliche Möglichkeiten, Risiken zu klassifizieren.[11] Bei Betrachtung der Risiken in der Bankenbranche ist es dabei sinnvoll, zunächst zwischen Finanzrisiken und operationellen Risiken zu unterscheiden. Dabei beziehen sich die finanzwirtschaftlichen Risiken auf Finanzströme und umfassen somit den gesamten Werbebereich. Die operationellen Risiken sind hingegen Risiken, welche sich auf den Betriebsbereich beziehen.[12]

Operationelle Risiken werden weiter in operative und strategische Risiken unterteilt. Die operativen Risiken gliedern sich nochmals in Technikrisiken und Verhaltensrisiken. Technikrisiken bestehen darin, dass Probleme in der Kommunikations- oder Informationstechnologie auftreten können. Verhaltensrisiken bestehen dagegen darin, dass dem Unternehmen durch Handlungen von Mitarbeitern oder fremden Dritten ein Verlust entsteht. Die strategischen Risiken umschließen Investitionsrisiken und Ereignisrisiken. Investitionsrisiken bestehen beispielsweise in einem fehlerhaften Auf- oder Abbau von Produkten oder Geschäftsfeldern, während Ereignisrisiken rechtliche und regulatorische Aspekte berücksichtigen.[13]

Finanzwirtschaftliche Risiken entstehen durch die Aktivitäten der Unternehmen auf den Finanzmärkten und können zu finanziellen Verbindlichkeiten führen. Sie sind in Erfolgsrisiken und Liquiditätsrisiken zu unterscheiden. Erfolgsrisiken sind dabei solche Risiken, die den Geschäftserfolg beeinflussen, während Liquiditätsrisiken sich liquiditätsmindernd auswirken können. Die Erfolgsrisiken sind, wie in Abbildung 1 gezeigt, die Marktrisiken und Kreditrisiken.[14]

Abbildung 1: Erfolgsrisiken

In Anlehnung an: Ott (2001), S. 10.

Marktrisiken sind auf allgemeine Marktbewegungen zurückzuführen und begründen somit die Gefahr eines Verlusts aus Marktpreisschwankungen. Das Kreditrisiko ist in das spezifische Aktienkurs- und Zinsänderungsrisiko sowie in das Ausfallrisiko zu unterscheiden. Das spezifische Aktienkurs- und Zinsänderungsrisiko beruht zwar auf individuellen Marktpreisänderungen, wird jedoch aufgrund seines spezifischen Charakters dem Kreditrisiko zugerechnet.[15] Rechtlich gesehen werden diese Risiken, da sie auf Marktpreisschwankungen beruhen, zum Handelsbuch und somit zu den Marktpreisrisikopositionen gezählt.[16] Das Ausfallrisiko zeichnet sich dadurch aus, dass die Gegenpartei die vereinbarten Zahlungsverpflichtungen gar nicht oder nur teilweise erfüllt.[17] Im Gegensatz zum spezifischen Aktienkurs- und Zinsänderungsrisiko wird das Ausfallrisiko zum Anlagebuch gezählt und bildet die Risikoaktiva des Kreditinstituts.[18]

2.1.2        Risikomanagementprozess

Erfolgreiches Risikomanagement ist in jedem Unternehmen eine Grundvoraussetzung für dessen Fortbestand. Risikomanagement ist die systematische Anwendung von Managementpolitik, -methoden und -praktiken durch Identifikation, Analyse, Bewertung und Risikosteuerung. Dieser in Abbildung 2 dargestellte Prozess wird durch eine ständige Überwachung und Überprüfung begleitet und basiert auf der Einbeziehung und Kommunikation aller Beteiligten.[19]

Abbildung 2: Stufen des Risikomanagementprozesses

In Anlehnung an: Standards Association of Australia (1999), S. 8.

Der Australian Standard/New Zealand Standard 4360:1999 – Risk Management, ein gesetzlicher Standard für das Risikomanagement, verlangt im ersten Schritt zusätzlich die Definition eines Risikomanagementkontextes. Dieser Kontext legt somit den Rahmen für das Risikomanagement fest.[20] Dadurch soll sichergestellt werden, dass der Risikomanagementprozess auf die Risikostrategie und Risikopolitik des Unternehmens abgestimmt ist und entsprechende Zielvorgaben zur Risikobewertung und Risikosteuerung bestimmt wurden.[21]

Das ermöglicht dann im nächsten Schritt eine strukturierte Identifizierung von Risiken. Dieser Schritt ist im Risikomanagement als kritisch anzusehen, da nur zuvor identifizierte Risiken erfolgreich kontrolliert und gesteuert werden können.[22]

Darauf folgen Analyse und Bewertung der Risiken. Im Management von finanzwirtschaftlichen Risiken, wie z. B. dem Kreditrisiko, geschieht dies unter Anwendung von Risikomodellen, die verfügbare relevante Daten auswerten.[23] Ein solches Modell stellt beispielsweise der 1993 eingeführte Value-at-Risk (VaR) dar, der sich inzwischen als Standard zur Bewertung von Marktrisiken durchgesetzt hat.[24] Zur aufsichtlichen Berechnung der Eigenkapitalunterlegung der Kreditrisiken stehen den Banken nach Basel II nun auch auf internen Ratings basierte Ansätze (IRB-Ansätze) zur Verfügung. Dadurch soll ein Anreiz für die Verbesserung der Kreditrisikomanagementsysteme geschaffen somit eine Stabilisierung des Bankensektors erreicht werden.[25]

Die letzte Stufe im Risikomanagementprozess besteht in der Risikokontrolle und Risikosteuerung. Dadurch wird, im Rahmen einer wertorientierten Gesamtbanksteuerung, eine adäquate Steuerung des Gesamtrisikos der Bank und der Teilrisiken der einzelnen Bereiche in Einklang mit der Risikopolitik und Risikostrategie erreicht. Dies führt letztendlich zu einer effizienten Kapitalallokation und folglich einer besseren Wettbewerbsfähigkeit der Bank.[26]

Dazu kommen über alle Stufen des Risikomanagementprozesses hinweg zwei Begleitprozesse. Zum einen ist dies die angemessene Kommunikation und Beratung mit internen und externen Stakeholdern auf jeder Stufe des Risikomanagementprozesses, die in Bezug auf den Gesamtprozess für die notwendige Transparenz und Akzeptanz des Risikomanagements sorgt. Zum anderen stellt eine standardisierte Überwachung und Überprüfung notwendige Anpassungen und Veränderungen des Prozesses sicher und garantiert somit die langfristige Performance des Risikomanagementprozesses.[27]

2.1.3        Risikomanagementinformationssysteme

Betriebliche Informationssysteme umfassen die zur Informationsversorgung von Entscheidungsträgern notwendigen informationellen und kommunikativen Prozesse.[28] Dabei werden Betriebliche Informationssysteme, wie in Abbildung 3 gezeigt, in Administrations- und Dispositionssysteme (ADS) und Entscheidungsunterstützungssysteme (EUS) unterschieden. Diese Klassifizierung orientiert sich an der Unternehmenshierarchie. So werden ADS vor allem im operativen Bereich zur Abwicklung der laufenden Geschäfte eingesetzt. EUS dienen zur Entscheidungsvorbereitung von Entscheidungsträgern der oberen Hierarchieebenen und basieren auf der Verwendung von Daten, Methoden und Modellen.[29]

Abbildung 3: Klassifikation von Informationssystemen

Quelle: Hemmersmeier/Romeike (2001), S. 3.

Risikomanagementinformationssysteme sind rechnergestüzte, daten-, methoden- und modellorientierte EUS. Sie unterstützen das Risikomanagement und die Unternehmensführung bei strategischen und operativen Entscheidungen. Um die einzelnen Stufen des Risikomanagementprozesses unterstützen zu können, ist es notwendig, dass die richtigen Informationen zum richtigen Zeitpunkt am richtigen Ort und in angemessener Weise verfügbar sind. Hierbei ist es notwendig, vergangene und aktuelle Daten zu speichern, Risikoanalysen durchzuführen, Handlungsalternativen zu beurteilen, Auswirkungen geplanter Maßnahmen abzuschätzen und den...