3 Identifikation von operationellen Risiken

Die Risikoidentifikation bildet, wie im vorangegangenen Kapitel erläutert, die zweite Phase im Risikomanagementprozess. Das Erkennen von operationellen Risiken stellt sich aufgrund ihrer Komplexität schwierig dar. Verlustereignisse aus dieser Risikoart treten mitunter sehr unregelmäßig auf, obwohl sie ständig latent vorhanden sind. Der Eintritt eines Verlustereignisses kann sich dann aber auf die gesamte Unternehmung auswirken.[167]

Daher sollte Ziel und Zweck der Identifikation sein, alle Risiken für die Geschäftsbereiche und das gesamte Unternehmen zu erkennen.[168] Betrachtet werden eingetretene Verluste, aber auch Beinaheverluste und potentielle Risiken. Im weiteren Verlauf können Indikatoren und Abhängigkeiten aufgezeigt werden.[169]

Die Risikoidentifikation sollte nicht ausschließlich intuitiv, sondern systematisch durch Verwendung geeigneter Methoden stattfinden. Bei der Wahl der Methoden spielen institutsspezifische Besonderheiten, wie z. B. Größe, Mitarbeiterzahl, Geschäftsfelder, Risikoprofil etc. eine große Rolle. Aus diesem Grund existiert kein allgemeingültiges Verfahren zur Identifikation.[170]

Die Identifikation durch Schadensfalldatenbanken, Risikoinventur und qualitative Methoden haben sich in der Praxis bewährt und werden im Folgenden dargestellt.

3.1 Schadensfalldatenbanken

Es könnte davon ausgegangen werden, dass Verluste aus operationellen Risiken, die bereits aufwandswirksam verbucht wurden, Rückschlüsse auf Risikoereignisse zulassen und damit bei der Risikoidentifikation hilfreich sein könnten. In der Praxis ist es jedoch schwer, Buchungen herauszufiltern, die auf operationelle Risiken zurückzuführen sind. Infolgedessen ist es notwendig, Verlustdaten in Schadensfalldatenbanken systematisch zu sammeln und dabei interne und externe Quellen einzubeziehen.[171]

3.1.1 Interne Schadensfalldatenbanken

Schäden, die im eigenen Unternehmen auftreten, lassen sich in Schadensfalldatenbanken kategorisieren, speichern und detailliert auswerten.[172] Daten aus der Vergangenheit können so aggregiert und kontinuierlich durch aktuelle Ereignisse ergänzt werden.[173]

Schadensfalldatenbanken übernehmen eine Doppelfunktion. Sie dienen sowohl zur Identifikation als auch zur Quantifizierung von operationellen Risiken. Zudem sind sie ein ideales Instrument, um operationelle Risiken zu kommunizieren und somit das Bewusstsein für diese Risikoart zu stärken. Aus ihnen können geeignete Steuerungsmaßnahmen im Rahmen der vierten Phase des Risikomanagementprozesses abgeleitet werden.[174] Sie können ferner die Arbeit der Internen Revision unterstützen sowie im Rahmen des Controllings zur Bestimmung des Risikoergebnisses und der Überprüfung der Auslastung gegebener Limite dienen.[175] Im Rahmen der fortgeschrittenen Messansätze von Basel II gelten „internal loss data as the foundation of empirical risk estimates, as a means of validating the inputs and outputs of the bank’s risk measurement system, or as the link between loss experience and risk management and control decisions.”[176]

Schadensfalldatenbanken gestatten eine standardisierte Datenerhebung. Besonders bei einer dezentralen Erfassung der Verlustdaten ermöglichen uniforme Eingabemasken und klar definierte Risikofelder, dass Informationen auf Institutsebene einheitlich erfasst und exakt zugeordnet werden können. Durch eine zentrale Verwaltung der Datenbank wird eine wirtschaftliche Arbeitsweise realisiert, da die Verwaltung der Datenbank auf wenige Mitarbeiter beschränkt wird.[177] Intranetbasierte Plattformen steigern die Effizienz der Verlustdatensammlung abermals.[178]

Der Aufbau einer Schadensfalldatenbank erfolgt i. d. R. dreidimensional. Abb. 9 illustriert einen solchen Aufbau.

Abbildung 9: Dreidimensionaler Aufbau einer Schadensfalldatenbank[179]

Zuerst wird die Ereigniskategorie erfasst. Diesem Ereignis werden in einem zweiten Schritt die Ursache des Schadens und das entsprechende Geschäftsfeld, in dem der Schaden aufgetreten ist, zugeordnet. [180]

Im Vorfeld gilt es zu erörtern, welche Schäden erfasst werden sollen. Einerseits können finanzielle Verluste, anderseits auch potentielle Verluste[181] aufgenommen werden. Diese ziehen Primäreffekte, direkte Verluste, aber mitunter auch Sekundäreffekte, indirekte Verluste, nach sich. Sekundäreffekte ergeben sich beispielsweise durch Kundenabwanderung aufgrund von Reputationsschäden. Wie bereits im Kapitel 2.3 erörtert, ist die Bewertung dieser Schäden sehr schwierig.[182]

Zu den Verlustereignissen werden das Datum des Schadensereignisses, der Bruttoschaden sowie der Nettoschaden, der sich aus dem um Kompensations- oder Versicherungsleistungen reduzierten Bruttoschaden ergibt, sowie der verursachende Unternehmensbereich und eine genaue Beschreibung, die eine exakte Kategorisierung ermöglicht, festgehalten.[183] Zusätzlich lassen sich weitere monetäre Auswirkungen, wie beispielsweise Opportunitätsschäden,[184] erfassen. Es ist zwingend notwendig, dass der Aufbau der Schadensfalldatenbank strukturiert stattfindet und sich konform zu den zu Beginn des Risikomanagementprozesses festgelegten Definitionen und Abgrenzungen des operationellen Risikos im Allgemeinen sowie den Risikokategorien und deren Teilrisiken im Speziellen gestaltet.[185] Es empfiehlt sich, Datenfelder so auszurichten, dass diese auch aufsichtsrechtlichen Anforderungen genügen. Viele Institute legen unter Kosten-Nutzen-Aspekten Bagatellgrenzen[186] für die Erfassung von Verlustereignissen fest.[187]

Um eine gute Qualität der Datenbasis zu gewährleisten, sollten folgende Kriterien berücksichtigt werden:

 Alle Verluste ab einer bestimmten Schwelle, kleine und große Verluste gleichermaßen, müssen unverzerrt und vollständig erfasst werden und dem Verursacher sowie dem Geschädigten eindeutig zuordenbar sein.[188]

 Granularität sollte vermieden werden. Die Kategorisierung sollte stattdessen feingliedrig sein. Dies ermöglicht im Nachgang eine genaue Analyse und das Erkennen von Mustern und Trends beim Auftreten von Verlustereignissen.[189]

 Redundanzen müssen vermieden werden.[190]

 Das oberste Management muss Anreize schaffen, Verluste zu melden. Im Gegensatz zu Marktpreis- und Kreditrisiken, die i. d. R. nicht im Einflussbereich der Bank liegen, werden operationelle Risiken oftmals von Mitarbeitern verursacht. Das Bestreben, ein Fehlverhalten nicht zu melden, ist naturgemäß gegeben. Demnach sollte der Nutzen, einen Schaden mitzuteilen, größer sein als der Nutzen beim Unterlassen.[191]

 Dies betont die Wichtigkeit klar definierter Richtlinien für das Management operationeller Risiken.[192]

 Verlustdaten sollten inflationsbereinigt dargestellt werden. Aus diesem Grund sind vergangene Daten aufzuzinsen.[193]

Vielen Kreditinstituten stellt sich das Problem, dass sie in ihren Datenbanken vor allem high frequency low impact Schäden aufzeichnen. Erfahrungen aus extremen Ereignissen fehlen zumeist.[194] Um diesen Mangel zu beheben, kann auf Daten Dritter zurückgegriffen werden.

3.1.2 Externe Schadensfalldatenbanken

Externe Datenbanken eignen sich, um den eigenen Datenbestand durch seltene Verlustereignisse mit einem hohen Schadenspotential zu ergänzen. Ist zudem die Datenhistorie der im Institut gesammelten Schäden sehr kurz, können externe Datenbanken das Datenuniversum der high frequency low impact Schäden optimieren.[195] Kreditinstitute können dabei auf Data Sharing Initiativen oder auf externe öffentliche Daten zurückgreifen.

Data Sharing Initiativen führen die in den Kreditinstituten gesammelten Verlustdaten in einem Datenpool zusammen.[196] Das kann jedoch nur gelingen, wenn gewährleistet ist, dass die Daten absolut vertraulich und anonymisiert behandelt werden.[197] Zudem gilt es, eine gemeinsame Definition für das operationelle Risiko und dessen Risikokategorien zu finden. Externe Datenbanken verlangen eine genaue Strukturierung. Die Problematik ergibt sich vor allem aus der Transformation eigener Verlustdaten in die Struktur der Datenbank und vice versa. Dieser Prozess führt unweigerlich zu einem Informationsverlust. Bislang ist der Schwerpunkt des Datenaustausches uneinheitlich geregelt. Das reine Sammeln von quantitativen Informationen wie Datum, Höhe des Verlustes, Zuordnung zu Risikokategorie und Organisationseinheit ist vor allem für eine...