Management operationaler Risiken

von Dr. Roland Spahr

Überblick

Das Risiko aus betrieblichen Aktivitäten, das operationale Risiko, ist so alt wie das betriebswirtschaftliche Handeln. Dennoch erfreut sich dieses Thema derzeit wachsenden Interesses, das den allgemeinen Wunsch widerspiegelt, die neben den Markt- und Kreditrisiken bestehenden Gefahren des betrieblichen Ablaufs einschätzen und managen zu können. Für das Handling operationaler Risiken sind inzwischen erste Lösungsansätze entwickelt worden, die in nächster Zukunft Potentiale zur Kostenreduzierung eröffnen können. Für Sparkassen hätte dabei ein zentrales Wissensmanagement erhebliche Vorteile.

Ausgangssituation

Das Barings-Bank-Desaster im Jahr 1995 zeigte der Weltöffentlichkeit, welche Schäden aus operationalen Risiken erwachsen können. Das Ereignis rief eine Vielzahl an Initiativen hervor, die alle das Ziel hatten, operationale Risiken aufzuspüren, sie kalkulierbar zu machen und sie, wenn möglich, zu reduzieren. Diese Bestrebungen werden von aufsichtsrechtlichen Entwicklungen begleitet. Damit ist auch der Weg für ein umfassendes Risikomanagement gewiesen worden, das neben dem Markt- und dem Kreditrisiko den dritten Pfeiler des operationalen Risikos umfaßt. Nach einer Definition des Baseler Komitees für Bankenaufsicht beschreibt diese dritte Risikokategorie solche Risiken, bei den Mängel interner Informationssysteme und Kontrollen zu unerwarteten Verlusten führen. Sie umfassen menschliche Fehler, Systemausfälle sowie effiziente Abläufe und Kontrollen.

Hohe Kosten entstehen, wenn beispielsweise Fehlproduktionen oder Ausfälle von Computersystemen auftreten. Auch bergen betriebliche Prozesse und Organisationsstrukturen Gefahrenpotentiale. Fehlende Kontrollen, die den Anreiz auf betrügerisches Handeln erhöhen oder fehlerhafte Abstimmungs- und Fehler verursachende Kommunikationsprozesse können das Betriebsergebnis signifikant verschlechtern. Das Wissen um die Existenz solcher Risiken zwingt dazu, sie durch geeignetes Management abzubauen.

Der wichtigste Aspekt für das Management operationaler Risiken ist deren Erkennung. Wird eine Entscheidung für den Einsatz eines bestimmten Verfahrens getroffen, wachsen die Chancen, Risiken einzugrenzen und geeignete Gegenmaßnahmen einzuleiten. Die Methoden zur Identifizierung operationaler Risiken sind derzeit vor allem die Risikoinventur und die Ereignisanalyse. Diese Ansätze weisen im Detail unterschiedliche Stärken und Schwächen auf.

Risikoinventur

Im Rahmen der Aktivitäten einer Risikoinventur werden Prozesse und Arbeitsschritte eines betrachteten Produktionsbereichs festgelegt. Die Prozesse lassen sich auf Basis zu definierender Risiken durch Experten danach beurteilen, wie wahrscheinlich der Eintritt eines Ereignisses ist und welches Ausmaß der Schaden im Falle des Eintritts vermutlich annehmen wird. Diese Bewertung erfolgt mittels zweier Skalen. Die Wahrscheinlichkeit wird von "sehr gering" bis "sehr hoch", der Umfang der Auswirkungen von "vernachlässigbar" bis "existenzbedrohend" oder "katastrophal" eingestuft.

Abbildung 1: Transformation von Wahrscheinlichkeit und Ausmaß in die Risikorelevanz

Diese Bewertungen beschreiben die Relevanz des Risikos. Mit der Inventur der Risiken lassen sich die Schwachstellen im Gesamtprozess ermitteln und entsprechende Gegenmaßnahmen wie die Verbesserung von Kontrollen und Abstimmungsprozessen gezielt einleiten, um die Gefahr manifester Verluste aus erkannten Risiken zu verringern.

Das Management operationaler Risiken wird mit der Institutionalisierung der erforderlichen Arbeitsschritte für eine regelmäßig wiederkehrende Risikoinventur im Unternehmen etabliert. Dieser qualitative Analyseansatz wird derzeit vor allem in der Kreditwirtschaft präferiert. Sowohl der Erfolg als auch der Nutzen einer Risikoinventur sind dabei von der Kenntnis der Risiken abhängig. Nur wenn die Gefahr bekannt ist, kann der Prozess nach seiner Eintrittswahrscheinlichkeit und dem Umfang eines möglichen Schadens aus dem operationalen Risiko untersucht werden. Neben der Risikoinventur ist daher ein Verfahren erforderlich, mit dem permanent neue Risiken erkannt und so einer Risikoanalyse unterzogen werden können. Dazu eignet sich die Ereignisanalyse.

Ereignisanalyse

Bei der Ereignisanalyse werden solche historischen Schadensfälle gesammelt und thematisch geordnet, die dem Themenkomplex der operationalen Risiken zugeordnet werden können. Durch das Zusammentragen dieser Informationen entsteht eine Datenbank, die als Basis für das Wissensmanagement operationaler Risiken dient. Der Einsatz der Ereignisanalyse eröffnet auch im Sparkassensektor neue Kosteneinsparungspotentiale.

Die Sparkassen stellen eine homogene Gruppe von Unternehmen dar. Da in ihren Häusern ähnliche oder gleichartige Geschäftstätigkeiten anfallen, kann davon ausgegangen werden, daß auch die operationalen Risiken ähnlich sind. Somit ist das Wissen um einen bestimmten Schadensfall Z, wie er in einer beliebigen Sparkasse X kürzlich aufgetreten ist, auch für die Sparkasse Y relevant. Die Sparkasse Y ist mit dem Wissen um den Schadensfall Z nun in die Lage, das Risiko zu erkennen und ihre eigenen Prozesse auf die Möglichkeit des Schadeneintritts hin zu überprüfen. Die Sparkasse Y kann also aus dem Schaden der Sparkasse X lernen und Maßnahmen für die Beseitigung des Risikos ergreifen.

Diese Situation läßt sich auf allgemeine Fälle erweitern. Eine Sparkasse kann also aus den Fehlern aller anderen Sparkassen ebenso lernen wie alle Sparkassen aus dem Fehler einer anderen Sparkasse. Eine solche Vorgehensweise hilft, Schadensfälle zu reduzieren und führt zu Kosteneinsparungen. Eine Schlüsselkomponente ist dabei die Operationalisierung der Informationen. Um das Wissen über solche Schäden zugänglich zu machen, ist es erforderlich, einen Informationspool aufzubauen, in dem die Schadensfälle zentral verwaltet werden. Neben dem Wissensaspekt sorgt eine zentrale Verwaltung auch dafür, daß die sensiblen Informationen nur anonymisiert weitergegeben werden.

Kombinierter Ansatz für das Risikomanagement

Eine zentrale Sammlung von Informationen über operationale Schadensfälle ist ein Instrument, neue operationale Risiken zu erkennen. Aus diesem Tatbestand lassen sich Fragen zur Überprüfung bankspezifischer Prozesse formulieren. Die Ereignisanalyse ergänzt somit die bankinterne Prozeßanalyse, deren Schwierigkeit gerade in der Identifizierung relevanter operationaler Risiken besteht.

Die qualitative Analyse operationaler Risiken steht und fällt daher mit der Engmaschigkeit des Rasters zuvor erkannter Risiken. Mit der Sammlung und Verwaltung von Schadensfällen in einer zentralen Datenbank wächst damit die Chance, künftige Schadensfälle zu vermeiden. Die Gemeinschaft der an den Datenpool angeschlossenen Sparkassen kann aus den Erfahrungen anderer rechtzeitig lernen. Verlustreiche Wege müssen nicht mehrfach gegangen werden. Mit dem Aufbau einer Risikoinventur, kombiniert mit einer zentralen Ereignisanalyse, können daher Potentiale zur Einsparung von Risikokosten erschlossen werden. Abbildung 2 verdeutlicht die Prozessschritte für eine wissensbasierte Identifizierung operationaler Risiken.

Abbildung 2: Zentrales Wissensmanagement operationaler Risiken

Voraussetzung für den Erfolg des kombinierten Ansatzes wäre, daß die an einem solchen Pool angeschlossenen Sparkassen für das Thema der operationalen Risiken sensibilisiert sind. Sie müßten dazu in der Lage sein, Schadensfälle zu erkennen und sie dem Problemfeld der operationalen Risiken zuzuordnen.

Der Eintritt eines bestimmten Ereignisses, etwa eines relativ komplexen Betrugsfalls durch zwei Mitarbeiter, wird im Falle des Bekanntwerdens über ein Web basiertes Kommunikationsinstrument unter Angabe ausführlicher Details in die Ereignisdatenbank eingestellt. Ein solches institutionalisiertes Wissensmanagement bearbeitet den Schadensfall dahingehend, daß es ihm einen Risikostatus verleiht.

In unserem Beispiel könnte es das Risiko wegen "fehlender Kontrollen an der Stelle S" sein. Anhand der Identifizierung des Risikos läßt sich nun ein Fragenkatalog entwickeln, der allen angeschlossenen Sparkassen zur Verfügung gestellt werden könnte, die ihrerseits das Risiko an der Prozessstelle S ermitteln und gegebenenfalls zusätzliche Kontrollen einführen. Mit der Erstellung des Fragenkataloges wird somit ein Prozess der Risikoanalyse in den einzelnen Sparkassen angestoßen. Jede Sparkasse kann dabei selbst entscheiden, inwieweit sie den angebotenen Fragenkatalog für Analysezwecke verwenden möchte.

Die zentrale Verwaltung der Schadensfälle führt jedoch dazu, daß drohende Risiken effizient offengelegt und zudem auch Benchmarks für Risiken ermittelt werden. Die Ereignisdatenbank kann ferner um externe, nicht aus den angeschlossenen Sparkassen stammende Schadensfälle ergänzt werden. Das entscheidende Kriterium für die Aufnahme ist die Relevanz, die dem externen Ereignis als potentielles Risiko für den Sparkassensektor beigemessen wird.

Das Informationssystem wird um so leistungsfähiger und aussagekräftiger, je mehr Sparkassen daran angeschlossen sind und je häufiger sie sich an der Weitergabe von Schadensfalldaten beteiligen. Dennoch kann ein Unternehmen die Kosten aus der Weitergabe der Informationen höher als den Nutzen aus den zugänglichen Fragenkatalogen taxieren. Dieser Fall tritt insbesondere in Fällen hoher Konkurrenz ein. Da die Sparkassen jedoch untereinander nur bedingt in Konkurrenz stehen, entfällt die Sorge um den Verlust möglicher Wettbewerbsvorteile durch die Weitergabe von Ereignisdaten.

Mit der Etablierung einer zentralen Datenbank historischer Ereignisse und der Ermittlung entsprechender Risiken wurde auch eine Basis für die Quantifizierung operationaler Risiken geschaffen. Diese Option sollte im Hinblick auf künftige regulatorische Entwicklungen als strategischer Aspekt nicht aus dem Auge verloren werden. Mit dem Aufbau des kombinierten Ansatzes wurde eine einheitliche Basis für die Quantifizierung des operationalen Risikos den individuellen Gegebenheiten jeder Sparkasse entsprechend geschaffen.

Welche Argumente sprechen für den Ansatz?

Für den Einsatz des kombinierten Ansatzes zum Management operationaler Risiken im Sparkassensektor sprechen die folgenden Argumente. Der Ansatz

• systematisiert die Analyse neuer Risiken, 
  ermöglicht die Überprüfung bestehender Risikostrukturen mittels

• Benchmarks aus der Schadensfalldatenbank,

• führt zur Minimierung von Risiken durch rechtzeitiges Erkennen und damit Einsparung operationaler Risikokosten und auch realisierter Verluste,

• begünstigt synergetische Lerneffekte aus dem Wissensmanagement operationaler Risiken,

• schafft eine kostenminimale Basis für die Erfüllung zukünftiger regulatorischer Anforderungen durch eine zentralisierte Lösung,

• stellt eine Basis für die Quantifizierung operationaler Risiken dar

• bringt Image-Effekte mit sich, wenn auf dem Gebiet operationaler Risiken Pionierleistung vollbracht wird.

Der Erfolg eines kombinierten Ansatzes hängt von der Akzeptanz und der Beteiligung der angeschlossenen Sparkassen ab. Das System kann nur so gut sein, wie dessen Mitglieder bereit sind, Informationen über Schadensfälle in anonymisierter Form mit anderen Sparkassen zu teilen. Die Errichtung geeigneter Anreizsysteme zur aktiven Mitarbeit an diesem Informationssystem ("Knowledge-Sharing") erscheint daher notwendig, um sich rechtzeitig Wettbewerbsvorteile zu sichern.

Anmerkungen

Auf die Basler Studie "Operational Risk Management", Basle Committee on Banking Supervision, Basel September 1998, folgte ebenfalls aus Basel das "New Capital Adequacy Framework" im Juni 1999 mit Ausführungen zu den operativen Risiken im Kapitel "Other Risks", Nr. 82 bis 87. Im November 1999 wurde die Sonderbeilage "Operational Risk - a Special Risk Report" der Zeitschrift Risk herausgegeben. Im Dezember 1999 erschien das Consultation Document der European Commission "A Review of Regulatory Capital Requirements for EU Credit Institutions and Investment Firms". Neben umfangreichen Darstellungen auf den Web-Seiten der British Bankers Association (www.bba.org.uk) zum Thema operationale Risiken und den Ausführungen der Softwarehersteller Algorithmics, NetRisk, Operational Risk und MethodWare, erschien am 8. Januar 2000 ein Artikel in der Börsenzeitung "Gegen eine zusätzliche Kapitalanforderung" mit Anmerkungen zu Möglichkeiten und Grenzen neuer Regularien.

Quelle

Dieser Beitrag wurde - mit freundlicher Genehmigung der Redaktion - der folgenden Publikation entnommen:

Über den Autor

Dr. Roland Spahr ist Senior-Consultant im Bereich "Risikomanagement" bei der KPMG Consulting GmbH in Frankfurt am Main.

Autor

Erstveröffentlichung im Krisennavigator (ISSN 1619-2389):
3. Jahrgang (2000), Ausgabe 12 (Dezember)