Schadensdatenbanken als Instrument zur Quantifizierung von Operational Risk in Kreditinstituten [1 ed.] 9783896442703, 9783896731524

Citation preview

Sven A. Röckle

Schadensdatenbanken als Instrument zur Quantifizierung von Operational Risk in Kreditinstituten

Metzner/Erndt

Die betrieblichen Risiken sind in der Bankwirtschaft lange vernachlässigt worden. Im Zuge der Beratungen über die neue internationale Eigenkapitalvereinbarung („Basel II“), die eine Unterlegung dieser Risiken mit Eigenkapital verlangen wird, ist dieses Thema Gegenstand vertiefter Auseinandersetzung sowohl in der Bankenpraxis als auch in der wissenschaftlichen Diskussion geworden. Um eine pauschal und unter Umständen unangemessene Unterlegung von Operational Risk mit Eigenmitteln zu vermeiden, liegt es nahe – analog zur Anwendung interner Modelle im Bereich von Markt- und Kreditrisiken – auch zu einer Quantifizierung und Kapitalunterlegung von Operational Risk eigene interne Modelle zu entwickeln. Dabei ist Grundlage einer treffenden und bankaufsichtlich anerkennungswürdigen Quantifizierung von Operational Risk die Sammlung und Analyse von historischen Daten über Verluste durch diese Risiken in Schadensdatenbanken. Der Verfasser hat sich daher zum Ziel gesetzt, hierfür ein Konzept zum Aufbau von Schadensdatenbanken zu entwickeln. Es soll im Hinblick auf die Zielsetzungen von Kreditinstituten und Bankenaufsicht eine effektive, zugleich aber auch betriebswirtschaftlich sinnvolle Datengewinnung und Datenaufbereitung ermöglichen. Hierbei werden die Auswirkungen verschiedener konzeptioneller Ansätze zur Quantifizierung von Operational Risk auf die Gestaltung von Schadensdatenbanken untersucht und das Vorgehen bei Risikoidentifikation und Datengewinnung dargestellt. Darauf aufbauend erörtert der Autor die Analyse und Aufbereitung von Schadensereignisdaten für interne und externe Adressaten. Zu diesem sehr aktuellen Thema ist bislang im deutschen Sprachraum nur wenig veröffentlicht worden. Daher liefert die Arbeit zahlreiche Anregungen für Wissenschaft und Praxis.

Moderne Instrumente des Immobiliencontrollings

34

Studienreihe der Stiftung Kreditwirtschaft Hrsg.: Prof. Dr. Joh. Heinr. v. Stein

Verlag Wissenschaft & Praxis

Schadensdatenbanken als Instrument zur Quantifizierung von Operational Risk in Kreditinstituten

Studienreihe der Stiftung Kreditwirtschaft an der Universität Hohenheim Herausgeber:

Prof. Dr. Joh. Heinr. v. Stein

Band 35

Sven A. Röckle

Schadensdatenbanken als Instrument zur Quantifizierung von Operational Risk in Kreditinstituten

Verlag Wissenschaft & Praxis

Die Deutsche Bibliothek - CIP-Einheitsaufnahme

Röckle, Sven A.: Schadensdatenbanken als Instrument zur Quantifizierung von Operational Risk in Kreditinstituten. / Sven A. Röckle. - Sternenfels : Verl. Wiss, und Praxis, 2002 (Studienreihe der Stiftung Kreditwirtschaft an der Universität Hohenheim ; Bd. 35) ISBN 3-89673-152-1 NE: Stiftung Kreditwirtschaft : Studienreihe der Stiftung ...

ISBN 3-89673-152-1 © Verlag Wissenschaft & Praxis Dr. Brauner GmbH 2002 D-75447 Sternenfels, Nußbaumweg 6 Tel. 07045/930093 Fax 07045/930094

Alle Rechte vorbehalten Das Werk einschließlich aller seiner Teile ist urheberrechtlich ge­ schützt. Jede Verwertung außerhalb der engen Grenzen des Urheber­ rechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und straf­ bar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mi­ kroverfilmungen und die Einspeicherung und Verarbeitung in elektro­ nischen Systemen.

Printed in Germany

Für Bettina

Mein Dank gilt der Stiftung Kreditwirtschaft an der Universität Hohenheim ftlr die Unterstützung dieser Veröffentlichung und Herm Dipl.-Ing. Michael Pauls ftlr den wertvollen technischen Beistand.

5

Vorwort des Herausgebers Mit der Studienreihe möchte die Stiftung Kreditwirtschaft wissenschaftliche Arbeiten, die an der Universität Hohenheim zu Themen der Bank- und Finanz­ wirtschaft entstanden sind, einem interessierten Fachpublikum zugänglich ma­ chen. Die veröffentlichten Schriften sollen Informationen und Anregungen geben und den Gedankenaustausch zwischen Universität und Praxis fördern.

Die betrieblichen Risiken sind in der Bankwirtschaft lange vernachlässigt wor­ den. Mit der Veränderung der Führungs-, Produktions- und Absatzprozesse in den Banken haben sie sehr an Aufmerksamkeit gewonnen. Im Zuge der Beratungen über die neue internationale Eigenkapitalvereinbarung („Basel II“), die eine Un­ terlegung von Operational Risk mit Eigenkapital verlangen wird, ist dieses The­ ma Gegenstand vertiefter Auseinandersetzung sowohl in der Bankenpraxis als auch in der wissenschaftlichen Diskussion geworden. Um eine pauschalierte und unter Umständen zu hohe Unterlegung von Operational Risk mit Eigenmitteln zu vermeiden, liegt es nahe - analog zur Anwendung interner Modelle im Bereich von Markt- und Kreditrisiken - auch zur Quantifizierung und Kapitalunterlegung von Operational Risk eigene interne Modelle zu entwickeln. Der Basler Aus­ schuss und nationale Bankenaufsichtsbehörden signalisieren im Konsultations­ prozess über die neue Basler Eigenkapitalvereinbarung die Bereitschaft, solche internen Modelle im Rahmen des „Advanced Measurement Approach“ auch bankaufsichtlich anzuerkennen.

Die Basis aller Instrumente zu einer treffenden, nachvollziehbaren und zukunfts­ gerichteten Quantifizierung von Operational Risk bildet die Sammlung und Ana­ lyse von historischen Daten über Verluste durch Operational Risk in Schadens­ datenbanken. Daher wird in der vorliegenden Arbeit ein Konzept für den Aufbau von Schadensdatenbanken für den Bereich Operational Risk in Kreditinstituten entwickelt. Es soll im Hinblick auf die Zielsetzungen von Kreditinstituten und Bankenaufsicht effektive, zugleich aber auch betriebswirtschaftlich sinnvolle Datengewinnung und Datenaufbereitung ermöglichen. Hierbei werden zum einen verschiedene konzeptionelle Ansätze zur Quantifizierung von Operational Risk beschrieben und deren Auswirkungen auf die Gestaltung von Schadensdatenban­ ken untersucht. Des Weiteren erfolgt eine detaillierte Analyse der Anforderungen an Schadensdatenbanken, des Vorgehens bei Risikoidentifikation und Datenge­ winnung sowie von möglichen Problemen beim Aufbau der Schadensdatenban7

ken. Hierauf aufbauend werden die Analyse und Aufbereitung von Schadenser­ eignisdaten für interne und externe Adressaten erörtert.

Zu diesem hochaktuellen Thema ist bislang im deutschen Sprachraum nur wenig veröffentlicht worden. Der vorliegende Band möchte hier eine Lücke schließen.

Ich wünsche dem 35. Band der Studienreihe ein reges Interesse.

Hohenheim, im Dezember 2001

Joh. Heinr. v. Stein

8

ABKÜRZUNGSVERZEICHNIS

12

ABBILDUNGSVERZEICHNIS

14

1.

Zielsetzung und Aufbau der Arbeit

15

2.

Begriffliche Abgrenzung und Definitionsversuche

19

2.1

Einordnung des Operational Risk in die bankbetriebliche Risikosystematik

2.2

Kategorien des Operational Risk

2.2.1

3.

19

Aktuelle Definition des Basler Ausschusses für Bankenaufsicht

22

23

2.2.2

Kategorisierung des Operational Risk i. e. S.

24

2.2.3

Bedeutung der Kategorisierung für die Risikoanalyse

29

2.3

Ableitung einer Arbeitsdefinition

2.4

Gründe für die gestiegene Bedeutung des Operational Risk Management

31

32

Ansätze zur Quantifizierung des Operational Risk und deren Auswirkungen auf die Gestaltung von Schadensdatenbanken 35 3.1 Notwendigkeit der Quantifizierungvon Operational Risk

35

3.2 Bottom-up-Ansatz

38

3.2.1

Vorgehensweise und Instrumente

38

3.2.2

Beurteilung

41

3.3 Top-down-Ansatz

3.3.1

Vorgehens weise und Instrumente

42

3.3.2

Beurteilung

45

3.4 Hybridansätze 4.

42

47

Konzeption von Schadensdatenbanken als Instrument des Operational Risk Management in Kreditinstituten 49 4.1 Einsatzfelder von Schadensdatenbanken innerhalbder Phasen des Risikomanagementprozesses

49

4.1.1

Darstellung des Phasenmodells

49

4.1.2

Einsatzmöglichkeiten von Schadensdatenbanken

51

4.1.3

Gründe für den Einsatz von Schadensdatenbanken

52

9

4.2

4.3

Anforderungen an den Aufbau von Schadensdatenbanken

55

4.2.1

Bezugsebenen der strukturellen Ausgestaltung

56

4.2.2

Grundlegende Komponenten der Schadensdatenbank

58

4.2.3

Kompatibilität mit bestehenden Systemen

62 65

Risikoidentifikation und Datengewinnung 4.3.1

Interne Datenquellen

65

4.3.2

Anforderungen an die Datenbasis

68

4.3.3

Interne Evaluierung von laufenden Schadensereignisdaten

71

4.3.3.1 Formen interner Schadensereignisdaten

72

4.3.3.2 Standardinformationsumfang für das Meldewesen

76

4.3.3.3 Szenarioanalysen als Instrument zur Generierung einer erweiterten Datenbasis 79 4.3.3.4 Einsatzmöglichkeiten marktgängiger Softwareprodukte 4.3.4

Integration externer Ereignisdaten in die Schadensdatenbank

4.3.4.1 Notwendigkeit branchenintemer Ereignisdatenpools

81

84 85

4.3.4.2 Anforderungen an die Datenaufbereitung innerhalb des Datenpools 88

4.3.4.3 Möglichkeiten zur Datenaustausches

technischen

Umsetzung

des 90

92

4.3.4.4 Grenzen des Datenaustausches

4.4Problembereiche beim Aufbau von Schadensdatenbanken 5.

Aufbereitung von Datenanalyse

5.1

10

Schadensereignisdaten im

Rahmen

93

der 97

Ermittlung der Ist-Risikosituation: Sammlung und Dokumentation von Schadensfällen

97

5.2

Kausalanalytische Untersuchung eines Schadensereignisses

99

5.3

Identifikation der Risikofaktoren

102

5.4

Quantifizierung des Operational Risk

105

5.4.1

Einfache Risikomodellierung durch Scoring-Modelle zur Ermittlung von Verlusterwartungswerten 106

5.4.2

Variation des Value-at-Risk-Ansatzes

107

5.4.3

Modellierung individueller stochastischer Verlustverteilungen

5.4.3.1 Erfassung von Schadensausmaßen

110

5.4.3.2 Erfassung von Schadenshäufigkeiten

113

5.4.3.3 Aggregierte Verlustverteilungen: ökonomischen Kapitals

5.4.4 5.5

6.

109

Ableitung

des

Beurteilung

Risikoreporting 5.5.1

Adressaten des Risikoreporting und deren Anforderungen an das Informations wesen 121

5.5.2

Ausgestaltungsformen des internen Risikoreporting

Schlussbetrachtung und Ausblick

115

119 120

123 125

ANHANG

129

LITERATURVERZEICHNIS

141

11

ABKÜRZUNGSVERZEICHNIS Abb.

Abbildung

AktG

Aktiengesetz

autom.

automatisch

BAKred

Bundesaufsichtsamt für das Keditwesen

bspw.

beispielsweise

bzgl.

bezüglich

bzw.

beziehungsweise

CAPM

Capital Asset Pricing Model

CpD

Conto pro Diverse

d. h.

das heißt

dies.

dieselben

DRSC

Deutsches Rechnungslegungsstandard Committee

ebd.

ebenda

EIS

Executive Information System

et al.

und andere

etc.

et cetera

evtl.

eventuell

HGB

Handelsgesetzbuch

i. d. R.

in der Regel

i. e. S.

im engeren Sinne

i. s.

im Sinne

i.w.S.

im weiteren Sinne

IAS

International Accounting Standarts

IT

Informationstechnologien

KonTraG

Gesetz zur Kontrolle und Transparenz im Untemehmensbereich

KWG

Kreditwesengesetz

12

MIS

Managementinformationssystem

o.S.

ohne Seitenangabe

o. V.

ohne Verfasserangabe

S.

Seite

S. 0.

siehe oben

s. u.

siehe unten

sog.

sogenannte

u. a.

unter anderem

u. U.

unter Umständen

US-GAAP

United States Generally Accepted Accounting Principles

usw.

und so weiter

Vgl.

vergleiche

vs.

versus

z. B.

zum Beispiel

13

ABBILDUNGSVERZEICHNIS Abbildung 1: Das bankbetriebliche Risikospektrum

21

Abbildung 2: Kategorien des Operational Risk im engeren Sinne

25

Abbildung 3: Ausgewählte Bottom-up-Ansätze

40

Abbildung 4: Grundschema von Hybridansätzen

48

Abbildung 5: Phasenschema des Operational-Risk-Managementprozesses

50

Abbildung 6: Bezugsebenen der strukturellen Schadensdatenbankgestaltung

57

Abbildung 7: Komponenten der Schadensdatenbank

59

Abbildung 8: Formen interner Schadensereignisse

73

Abbildung 9: Arten von Szenarioanalysen

80

Abbildung 10: Branchenintemes Datenkonsortium

87

Abbildung 11: Zeitliche Struktur eines Schadensereignisses

100

Abbildung 12: Ereignisbaumanalyse

101

Abbildung 13: Kategorisierung der Risikofaktoren

103

Abbildung 14: Exemplarische Darstellung einer Weibull-Verteilung

111

Abbildung 15: Modellierung einer Verlusthöhenverteilung

112

Abbildung 16: Häufigkeitsverteilung einer Poisson-Verteilung

114

Abbildung 17: Illustrative Gesamtverlustverteilung

117

14

1. Zielsetzung und Aufbau der Arbeit Krisen und Insolvenzen einzelner Bankhäuser durch Operational Risk haben in jüngster Zeit zu einer verstärkten Auseinandersetzung mit diesem Problembereich sowohl in der Bankenpraxis als auch in der wissenschaftlichen Diskussion ge­ führt. Im bekanntesten Fall der traditionsreichen Barings Bank wurden die Krise und letztlich die Insolvenz des Instituts mithervorgerufen durch das Versagen interner Kontrollsysteme und durch gravierende Mängel im Führungs- und Kon­ trollsystem der Bank. Operational Risk stellt jedoch keine neue Risikokategorie innerhalb des bankbetrieblichen Risikospektrums dar, wenngleich sich erst in jüngster Zeit der Fokus von Risikomanagementverantwortlichen und Bankvor­ ständen sowie von regulatorischer Seite verstärkt der Problematik von Operatio­ nal Risk im Kreditinstitutssektor zuwendet. Die Auswirkungen der Terroran­ schläge vom 11. September 2001 haben auf schockierende Weise die mögliche Dimension dieser Risikokategorie verdeutlicht. Operational Risk ist so alt wie die Finanzinstitute selbst1 und tritt in allen bankbetrieblichen Teilbereichen auf, in denen Menschen, Systeme, Arbeitsablaufprozeduren und deren Kombinationen eingesetzt werden. In den letzten Jahren konzentrierten sich die Risikomanage­ mentaktivitäten auf die Entwicklung und kontinuierliche Verbesserung von quan­ titativen Ansätzen und Techniken des Risikomanagements im Bereich der Marktund Kreditrisiken. Dem Problembereich Operational Risk wurde in quantitativer Sicht bislang mit gewisser Zurückhaltung begegnet, obwohl dem Bedrohungspo­ tenzial von Operational Risk auch zurückliegend eine hohe Bedeutung beigemes­ sen wurde2 und das Schadensausmaß von schlagend werdendem Operational Risk den Umfang von Verlusten aus Markt- und Kreditrisiken bei weitem übersteigen kann.3 Eine exakte begriffliche Abgrenzung von Operational Risk und der unter diesen Begriff zu subsumierenden Einzelrisiken gegenüber den vorgenannten Risikokategorien wird derzeit auf internationaler Ebene kontrovers diskutiert. Die sogenannte „Best Practice“ im Bereich der Quantifizierung von Operational Risk steht bis heute noch aus. Erste Quantifizierungsansätze und der Aufbau von Schadensdatenbanken befinden sich noch in einem, verglichen mit den Modellie­ rungsansätzen im Bereich der Markt- und Kreditrisiken, relativ frühen Entwick­ lungsstadium.

' Vgl. Janes (2000), S. 1. 2 Vgl. Terp (2000), o. S. 3 Vgl. Parsley (1996), S. 74.

15

Die Risikomanagementaktivitäten im Bereich von Operational Risk wurden zu­ rückliegend, in vielen Kreditinstituten auch heute noch, anlassbezogen betrieben. Beispiele für solche Anlässe sind nur einmalig auftretende Ereignisse wie die Einstellung der IT-Systeme auf die Euroeinführung und die Jahr-2000Problematik, aber auch Fusionen und die Einführung neuer Produkte. Im Rahmen des Risikomanagementprozesses für Operational Risk steht bislang die Risiko­ identifikation mit Hilfe qualitativer Instrumente im Vordergrund. Beispiele hier­ für sind Verfahren der Prozessrisikoanalyse oder Techniken des Self-Assessment auf Geschäftsbereichsebene. Auch die aktive Risikosteuerung beinhaltet bisher vorwiegend qualitative Steuerungsmaßnahmen, die sich primär auf die Verbesse­ rung interner Kontrollsysteme und die Geschäftsprozessoptimierung konzentrie­ ren. Eine gelebte bankbetriebliche Risikokultur fungiert dabei als passive Risiko­ steuerung. Diese qualitativen Elemente stehen in engem Zusammenhang mit qualitativen Bankaufsichtsnormen zur Begrenzung von „Betriebsrisiken“. Bei­ spielhaft seien an dieser Stelle die Vorschriften des § 25a KWG und deren Ergän­ zung durch die Mindestanforderungen an das Betreiben von Handelsgeschäften genannt.4 Zielsetzung der vorliegenden Arbeit ist die Entwicklung von grundlegenden kon­ zeptionellen Anforderungen an den Aufbau von Schadensdatenbanken im Rah­ men der Quantifizierung von Operational Risk in Kreditinstituten. Darüber hinaus soll die Verwendung der durch die Schadensdatenbanken zu generierenden Da­ tenbasis anhand eines Quantifizierungsansatzes auf Basis des Value-at-Risk ein­ führend dargestellt und mögliche Problembereiche im Zusammenhang mit der erforderlichen Datenerhebung, dem Aufbau von Schadensdatenbanken und deren Einsatz bei der Quantifizierung von Operational Risk identifiziert werden. Um den Rahmen der vorliegenden Arbeit nicht zu sprengen, kann die informations­ technische Umsetzung auf Ebene von Hard- und Software nicht behandelt wer­ den. Die aus dem Instrument Schadensdatenbank direkt oder durch die Quantifi­ zierung des Operational Risk ableitbaren Risikosteuerungsmaßnahmen werden nicht eigenständig thematisiert. Die vorliegende Arbeit ist in fünf Kapitel gegliedert. Für die Risikoidentifikation und die Risikoquantifizierung im Zuge der Risikoanalyse ist eine exakte begriffli­ che Abgrenzung und Kategorisierung der bankbetrieblichen Risiken eine ele­ mentare Voraussetzung. Im zweiten Kapitel wird daher eine begriffliche Abgren­ 4 Vgl. Hartmann-Wendels et al. (2000), S. 360ff.

16

zung im Rahmen der bankbetrieblichen Risikosystematik vorgenommen, mögli­ che Kategorien des Operational Risk ermittelt und die aktuelle Definition des Basler Ausschusses für Bankenaufsicht vorgestellt sowie eine Arbeitsdefmition abgeleitet. Dabei wird ein an den Risikoursachen ausgerichteter Definitionsansatz zu Grunde gelegt. Um eine Einordnung der Thematik zu ermöglichen, werden im dritten Kapitel die Notwendigkeit der Quantifizierung von Operational Risk herausgestellt und die Grundgedanken des Bottom-up-Ansatzes sowie des Topdown-Ansatzes als grundlegende Quantifizierungsansätze beschrieben und beur­ teilt. Des Weiteren erfolgt die Integration der Ansätze in Form von Hybridansät­ zen im Rahmen des Enterprise-Risk-Managements. Darauf aufbauend wird im vierten Kapitel eine grundlegende Konzeption von Schadensdatenbanken entwi­ ckelt. Zur Beschreibung der Aufgaben und Einsatzfelder von Schadensdatenban­ ken werden die Phasen des Risikomanagementprozesses dargestellt und grund­ sätzliche Anforderungen an den Aufbau bzw. die Struktur von Schadensdaten­ banken herausgearbeitet. Diese beziehen sich auf die erforderliche Dimensionie­ rung, die grundlegenden Komponenten und die Systemkompatabilität der Scha­ densdatenbank. Zur Beschaffung der in der Schadensdatenbank zu erfassenden Schadensereignisdaten stehen verschiedene interne und externe Quellen zur Ver­ fügung. Mögliche Quellen werden aufgezeigt und die ftlr Quantifizierungszwecke benötigten Schadensereignisdaten hinsichtlich ihrer Art, ihres Umfangs, ihrer Herkunft und der damit verbundenen Erhebungsproblematik behandelt.

Dabei werden ausgewählte Softwareprodukte zur Unterstützung der Datenerhe­ bung in knapper Form beschrieben. Begründet durch den von statistischen Quan­ tifizierungsmethoden benötigten hohen Datenumfang werden zur Erweiterung der internen Datenbasis einerseits Szenarioanalysen und andererseits die Notwendig­ keit branchenweiter Datenkonsortien vorgestellt und die Integrationsfähigkeit dieser aus Sicht des einzelnen Kreditinstituts externen Schadensereignisdaten beurteilt. Zur technischen Umsetzung des Datenaustausches über die Bildung von Datenkonsortien werden bereits am Markt befindliche Softwareprodukte in kurzer Form dargestellt. Kapitel vier schließt mit der Identifikation und einer kurzen Diskussion möglicher Problembereiche beim Aufbau von Schadensdatenbanken. In Kapitel fünf werden die Auswertungsmöglichkeiten von Schadensdatenbanken hinsichtlich der Quantifizierung des Operational Risk aufgezeigt. Zu diesem Zweck werden exemplarisch Scoring-Modelle als relativ einfache Form der Mo­ dellierung von Operational Risk behandelt. Der Schwerpunkt der Betrachtungen liegt anschließend auf einer einführenden, grundlegenden Beschreibung der Er­ mittlung von Verlustverteilungen und der Ableitung des ökonomischen Kapitals für Operational Risk auf Basis einer Value-at-Risk-Systematik. Die Risikoanaly­

17

seergebnisse aus der Schadensdatenbank und der Risikoquantifizierung werden am Ende von Kapitel fünf im Risikoreporting zusammengefuhrt. Im sechsten Kapitel erfolgen eine Schlussbetrachtung und ein Ausblick.

18

2. Begriffliche Abgrenzung und Defi­ nitionsversuche 2.1 Einordnung des Operational Risk in die bankbetriebliche Risikosystematik Im Rahmen der aktuellen Diskussion in der internationalen Bankenpraxis konnte sich bisher noch keine allgemein akzeptierte Definition für das Operational Risk durchsetzen. Das Zustandekommen eines definitorischen Konsens wird durch den Umstand erschwert, dass die Ursachen von Operational Risk in bankbetrieblichen Bereichen zu suchen sind, die letztlich die individuellen Charakteristika eines Kreditinstitutes bilden.5 An dieser Stelle sei beispielhaft auf sämtliche Bereiche hingewiesen, die der Aufrechterhaltung des operativen Geschäftsbetriebs dienen, wie die organisatorischen Maßnahmen, Führungssysteme, die Einsatzfaktoren Personal und die zum Einsatz kommenden technischen Systeme, um nur einige zu nennen. Darüber hinaus hat sich auch noch kein Systematisierungsansatz für das bankbetriebliche Risikospektrum in seiner Gesamtheit durchgesetzt. Je nach ge­ wähltem Systematisierungsansatz werden die abgegrenzten Begriffe von ver­ schiedenen Autoren mit unterschiedlichen Inhalten belegt und überschneiden sich häufig inhaltlich.6 Ein grundlegendes Problem im Bereich des Operational Risk Managements besteht derzeit folglich in einer trennscharfen und überschnei­ dungsfreien Abgrenzung des Operational Risk innerhalb des bankbetrieblichen Risikospektrums. Dies betrifft sowohl die wissenschaftliche Diskussion als auch den praktischen, anwendungsbezogenen Kontext. Auf eine Übersetzung des an­ gelsächsischen Terminus „Operational Risk“ in Form von „Operatives Risiko“, „Operationales Risiko“, „Operationelle Risiken“ oder „Betriebsrisiken“7 wird hier aus zwei Gründen verzichtet.8 Zum einen, in Anlehnung an Beeck/ Kaiser, um 3 Vgl. Pagett et al (2000a), S. 9. Theoretisch entspricht die Anzahl der Definitionen der Anzahl der Kreditinstitute. Einen Überblick zu möglichen Definitionen gibt Jameson (1998a), S. 38. 6 Vgl. Schulte (1998), S. 19. 7 Vgl. bspw. Wiedemeier/ Schwanitz (2001), S. 153 und Kreische (2001), S. 146ff. 8 Die Vielfalt der Übersetzungen des Begriffes „Operational Risk“ zeigt ein Blick in die Risikobe­ richte einiger großer deutscher Geschäftsbanken ftlr das Geschäftsjahr 2000, vgl. bspw. Dresdner Bank (2001), S. 85 („Operative Risiken“); Commerzbank (2001), S. 60 und Deutsche Bank (2001),

19

Verwechslungsmöglichkeiten zu vermeiden9 und zum anderen, wegen der durch­ gängigen Verwendung des Terminus in der internationalen Fachdiskussion.10 Bei einer Abgrenzung der einzelnen Risikoarten des bankbetrieblichen Risiko­ spektrums müssen möglichst alle auf Gesamtbankebene relevanten Risiken er­ fasst werden,11 unabhängig von der jeweils zugrundegelegten Definition. Deshalb ist es auf dieser Ebene sinnvoll, von einer weiten Fassung des Operational Risk auszugehen und dieses in einem ersten Schritt negativ von den Marktpreis- und Kreditrisiken abzugrenzen. Bedingung für eine sinnvolle Abgrenzung von Ope­ rational Risk ist jedoch nicht nur, sämtliche Risiken auf Gesamtbankebene zu erfassen, sondern ebenso sicherzustellen, dass die vorgenommene Kategorisie­ rung keine Überschneidungen zulässt und dadurch insbesondere Doppelerfassun­ gen vermieden werden.12 Um diese Anforderungen sicherzustellen, ist es notwen­ dig, eine an den Risikoursachen ansetzende Abgrenzung vorzunehmen.13 Publi­ zierte spektakuläre Vorfälle wie bspw. Barings, Sumitomo, Natwest oder die Schneider-Affäre zeigen, dass die Schadensfälle nicht den Marktpreis- und Kre­ ditrisiken zuzurechnen sind, sondern Faktoren wie z. B. das Versagen interner Kontrollsysteme oder andere dem Operational Risk zuzuordnende Faktoren für die Schadenseintritte verantwortlich waren.14 Ein folge- bzw. wirkungsbezogener Ansatz ermöglicht diese Zuordnung nicht. Somit lassen sich in einer ersten Ab­ grenzung folgende bankbetrieblichen Risikokategorien unterscheiden:15

Marktpreisrisiken (Market Risk) resultieren aus Marktpreisvolatilitäten. Hierzu zählen das Aktienkursrisiko, das Zinsänderungsrisiko, das Währungsrisiko, das Rohstoffpreisrisiko und das Immobilienrisiko.16

9

10

11 12 13 14 15

16

S. 137 („Operationales Risiko“); die Deutsche Bundesbank übersetzt mit „Operationelles Risiko“, vgl. Basler Ausschuss für Bankenaufsicht (2001a), S. 31. Vgl. Beeck/ Kaiser (2000), S. 636. Insbesondere besteht Verwechslungsgefahr zum Begriff „Ope­ rations Risk“, welcher die aus der Geschäftsabwicklung resultierenden Risiken beinhaltet und so­ mit nur einen Teilbereich des Operational Risk abdeckt. Ebenso besteht Verwechslungsgefahr, wenn in Bezug auf Planungsebenen kategorisiert wird, vgl. Schulte (1998), S. 23. Dies betrifft zumindest den Bedeutungsgehalt, wobei der Begriff jedoch inhaltlich nicht einheitlich belegt wird. Vgl. Rudolph/ Johanning (2000), S. 21. Vgl. Peter et al. (2000), S. 657. Vgl. van den Brink (2001), S. 40. Nachzuvollziehen bspw. bei Instefjord et al. (1998), S. 148ff. Hier wird der Klassifizierung von Kingsley et al. (1998), S. 3 und van Greuning/ Bratanovic (2000), S. 3ff. gefolgt. Vgl. Schierenbeck (1999), S. 6.

20

Kreditrisiken (Credit Risk)17 bestehen in der Hinsicht, dass ein Vertragspartner nicht seinen vertraglichen Pflichten nachkommt.18 Marktpreis- und Kreditrisiken können zur Kategorie Erfolgsrisiken zusammengefasst und von den Liquiditätsri­ siken19 abgegrenzt werden.20 Als dritte Risikokategorie in diesem Zusammenhang verbleiben die Operational Risk als Residualgröße und beinhalten das Geschäfts­ risiko, das Strategische Risiko und das Operational Risk i. e. S.. Die Kategorien des Operational Risk sind Gegenstand des nachfolgenden Abschnitts.

Bankbetriebliche Risiken

Abbildung 1: Das bankbetriebliche Risikospektrum21

Die hier vorgenommene ursachenbezogene Negativabgrenzung stellt keine Defi­ nition im wissenschaftstheoretischen Sinne dar.22 Vorteilhaft ist, dass auf diese Weise das bankbetriebliche Risikospektrum abgebildet wird, allerdings mit dem Nachteil, dass die Definition des Operational Risk von der Definition der anderen Risikokategorien abhängig ist und nur ein vager Eindruck vermittelt wird, was 17 Adressenausfallrisiken werden neuerdings Kreditrisiken genannt, vgl. Hartmann-Wendels et al. (2000), S. 351. 18 Dies gilt sowohl für Universalbanken, als auch ftlr Investment und Commercial Banks, vgl. Krumnow (2000), S. 687. 19 Zur Definition der Liquiditätsrisiken vgl. bspw. Büschgen (1998), S. 895f. Es wird allerdings diskutiert, ob die Liquiditätsrisiken separat ausgewiesen oder unter den Marktpreisrisiken abgebil­ det werden sollen, vgl. Peter et al. (2000), S. 657. 20 Vgl. Schierenbeck (1999), S. 5, der auch eine alternative Unterteilung in Finanzrisiken und Opera­ tioneile Risiken vorschlägt. Finanzrisiken beziehen sich hierbei unmittelbar auf die Finanzströme einer Bank. 21 Quelle: eigene Darstellung. 22 Vgl. Beeck/ Kaiser (2000), S. 637.

21

unter Operational Risk zu verstehen ist.23 Diese Systematisierung darf allerdings nicht über mögliche Interdependenzen zwischen den Risikokategorien hinweg­ täuschen. Darüber hinaus können die verschiedenen Risikokategorien ineinander überführt werden.24 Gestiegene Marktvolatilitäten und Handelsvolumina können bspw. direkt zu einer Erhöhung des Operational Risk im technischen Bereich der Handelsabwicklung im Back Office, in Form von stressbedingten Fehlern bei der Dateneingabe führen. Umgekehrt können Eingabefehler eine offene Marktrisiko­ position zur Folge haben.25 Bei der Securitisation von Krediten, bspw. in Form von Asset-Backed Securities Transaktionen, sinkt zwar das Kreditrisiko, dieses kann jedoch in ein Operational Risk in Form von Abwicklungsschwierigkeiten „überfuhrt“ werden.26

Ein weiterer Unterschied zwischen dem Markt- und Kreditrisiko einerseits und dem Operational Risk andererseits, liegt in der Art des jeweils zugrundeliegenden Risikos. Den Markt- und Kreditrisiken stehen auf der anderen Seite Ertragschan­ cen gegenüber (sog. „speculative risk“), während bei Operational Risk nur die Möglichkeiten Verlust oder kein Verlust besteht (sog. „pure risk“).27 Markt- und Kreditrisiken werden von Kreditinstituten bewusst eingegangen, während Opera­ tional Risk prinzipiell vermieden oder zumindest langfristig reduziert werden soll.

2.2 Kategorien des Operational Risk Das Operational Risk wurde im vorigen Abschnitt unterteilt in das Strategische Risiko, das Geschäftsrisiko und Operational Risk i. e. S. Das Strategische Risiko (Strategie Risk) beinhaltet die Gefahr des Verfolgens einer Strategie, die nicht die optimalen Renditen auf das eingesetzte Kapital generiert bzw. die Gefahr von Fehlentscheidungen hinsichtlich des Auf- und Abbaus von Geschäftsfeldem,28 sowie das sog. Event risk, d. h. Risiken durch externe Ereignisse in Form von Krisen des politischen Systems, Bankenkrisen, Terror, Seuchen etc.29 Das Ge­ 23 24 25 26

Vgl. Cooper (1998), S. 7 und Utelli (1998), S. 37. Vgl. Basie Committee on Banking Supervision (1998), S. 3. Vgl. Campbell (2000), S.23f. Vgl. Beeck/ Kaiser (2000), S. 638, zu den Wechselwirkungen zwischen Markt- und Kreditrisiken vgl. Krumnow (2000), S. 688. 27 Vgl. Rudolph/ Johanning (2000), S. 22. Dies gilt nicht ftlr Operational Risk i.w.S. 28 Vgl. Schierenbeck (1999), S. 295. 29 Vgl. van Greuning/ Bratanovic (2000), S. 4. Eine abweichende Abgrenzung des Event Risk findet sich bei Laycock (1998), S. 132.

22

schäftsrisiko (Business Risk) stellt das Risiko von unvorteilhaften Veränderungen des Marktumfelds in finanzpolitischer, ökonomischer, wettbewerblicher, rechtli­ cher, steuerrechtlicher und aufsichtsrechtlicher Hinsicht dar.30 Das Operational Risk i. e. S. lässt sich im Wesentlichen in die vier Hauptrisikokategorien perso­ nelle Risiken, organisatorische Risiken, technische Risiken und Katastrophenrisi­ ken unterteilen.31

2.2.1

Aktuelle Definition des Basler Ausschusses für Banken­ aufsicht

Die Mehrzahl der diskutierten Definitionen des Operational Risk ähnelt mehr oder weniger der hier vorgenommenen Klassifizierung. Die einzelnen Kompo­ nenten der jeweiligen Definitionen hängen größtenteils von den Geschäftsstruktu­ ren der Kreditinstitute ab und werden den individuellen Ansprüchen entsprechend angepasst. Eine transaktionsbezogene Direktbank wird bspw. die Technischen Risiken höher bewerten als eine betreuungsintensive Servicebank, da Direktban­ ken nach aktueller Rechtsauffassung für nicht oder zu spät ausgeftlhrte Kunden­ transaktionen haftbar sind.32 Stellvertretend für die vorgeschlagenen Definitionen sei hier die derzeitige Definition des Basler Ausschusses für Bankenaufsicht genannt, da sich diese mit einer Definition deckt, die als Ergebnis einer umfas­ senden Studie der British Bankers4 Association (BBA), International Swaps and Derivates Association (Isda) und Robert Morris Associates (RMA) unter der Leitung von PricewaterhouseCoopers (PwC) ermittelt wurde. Die Studie be­ schäftigte sich unter anderem mit der institutsintemen Definition von Operational Risk der befragten Kreditinstitute. Nach dieser Definition stellt Operational Risk die Gefahr eines direkten oder indirekten Verlustes dar, der aufgrund einer feh­ lerhaften Geschäftsabwicklung, eines Systemfehlers, eines menschlichen Fehl­ verhaltens oder externer Einflüsse entsteht.33 Die Studie zeigt auch, dass beinahe die Hälfte der befragten Kreditinstitute das Operational Risk intern klar definiert 30 31 32 33

Vgl. Kingsley et al. (1998), S. 3. Vgl. Utelli (1998), S. 37. Vgl. van den Brink (2001), S. If. Vgl. Basie Committee on Banking Supervision (2001), S. 2 und BBA et al. (1999), S. 8. Im Rah­ men der Studie wurden Finanzinstitute in Europa, Nordamerika und Asien untersucht. Bei der Analyse der Definitionen wurden gemeinsame Klassifizierungen berücksichtigt und sprachliche, kulturelle und organisationsspezifische Unterschiede eliminiert, vgl. Huber/ Mondello (2000), S. 50.

23

hat.34 Die aus dieser Umfrage resultierende Definition bezieht das Strategische Risiko und die Geschäftsrisiken nicht mit ein, da diesbezüglich starke Unstim­ migkeiten unter den Befragten bestanden.35 Der Basler Ausschusses orientiert sich in Bezug auf den Definitionsumfang im inhaltlichen Sinne nach der aktuellen Definition an Praktikabilitätsüberlegungen 36, um dem Anspruch nach minimalen Kapitalanforderungen im Zuge der ersten Säule des neuen Basler Kapitalakkords gerecht zu werden.37 Beabsichtigt ist allerdings, diese Definition während der zweiten Konsultationsphase zu präzisieren.38 Auf die Nichteinbeziehung des Strategischen Risikos wurde von Seiten der Banken Vertreter im Rahmen der Konsultationen mit der Begründung hingewirkt, es handele sich bei dieser Kom­ ponente um ein Problem des allgemeinen unternehmerischen Risikos einer Ge­ schäftsleitung.39

2.2.2

Kategorisierung des Operational Risk i. e. S.

Um im Rahmen des, an späterer Stelle noch zu behandelnden, Risikomanage­ mentprozesses die Risikowahmehmung zu erhöhen und eine möglichst vollstän­ dige Risikoidentifikation sowie Risikoquantifizierung im Bereich des Operational Risk zu gewährleisten, muss jede dieser Hauptkategorien weiter aufgefächert werden. In der vorliegenden Arbeit wird die Auffassung vertreten, dass sämtliche bankbetrieblichen Risiken gesteuert werden müssen, unabhängig von regulatori­ schen Erfordernissen. Deshalb wird von folgenden Hauptrisikokategorien ausge­ gangen: Strategisches Risiko, Geschäftsrisiko und Operational Risk i. e. S. mit den Kategorien personelle Risiken, organisatorische Risiken, technische Risiken und Katastrophenrisiken. Ziel der weiteren Auffächerung ist die umfassende und systematische Erfassung sämtlicher Komponenten des Operational Risk innerhalb der einzelnen Geschäftsbereiche und Wertschöpfungsstufen. Auch hier besteht die Problematik, dass die Komponenten des Operational Risk auf unterschiedli­ che Weise definiert werden können.40 Entsprechend der bisherigen Vorgehens­ Vgl. Huber/ Mondello (2000), S. 50. Vgl. BBA et al. (1999), S. 8. Diese beziehen sich auf die Quantifizierbarkeit des Operational Risk. Vgl. Basie Committee on Banking Supervision (2001), S. 2. Zu den Säulen II und III vgl. ders., S. 4. 38 Vgl. Baseler Ausschuss für Bankenaufsicht (2001a), S. 31. 39 Vgl. Fischer (2001), S. 19. 40 Denkbar sind bspw. Ursachen-, wirkungs- und ereignisbezogene oder an den Steuerungsinstrumenten orientierte Abgrenzungen, vgl. Pfennig (2000), S. 1310. 34 33 36 37

24

weise wird die ursachenbezogene Abgrenzung konsequent fortgesetzt. Diese Vorgehens weise unterstützt die Entwicklung von Risikomanagementinstrumen ­ ten, die Verfeinerung von Managementinformationssystemen und die Verbesse­ rung von Managemententscheidungen41 und ist deshalb für das Risikomanage­ ment, insbesondere für die Risikomessung dienlich.42 Die Darstellung der Sub­ kategorien wird im Folgenden auf das Operational Risk i. e. S. beschränkt (vgl. Abbildung 2).

Abbildung 2: Kategorien des Operational Risk im engeren Sinne43

(a) Personelle Risiken

Personelle Risiken beinhalten sämtliche, mit dem Verhalten des Einsatzfaktors Personal in Zusammenhang stehende Risikoursachen. Diese lassen sich danach unterteilen, ob ihnen ein bewusstes oder unbewusstes Fehlverhalten zugrunde liegt. Fehlverhalten bedeutet in diesem Zusammenhang ein nicht mit internen 41 Vgl. Laycock (1998), S. 132. 42 Diese Vorgehensweise deckt sich mit der vom Basler Ausschuss vertretenen Auffassung, vgl. Basie Committee on Banking Supervision (2001), S. 2. 43 Quelle: eigene Darstellung.

25

Führungs- bzw. Organisationsrichtlinien in Einklang stehendes Verhalten. Diese Eingrenzung ist notwendig, um eine ursachenbezogene Abgrenzung zu den Orga­ nisationsrisiken zu ermöglichen und dadurch Doppelzuordnungen zu vermeiden. Demzufolge werden Verhaltensrisiken, die vom einzelnen Mitarbeiter nicht zu vertreten sind, da sie ihre Ursache in einer anderen Risikokategorie haben, ihre Wirkung jedoch im Verhalten der Mitarbeiter entfalten, ursachenbezogen der entsprechenden Risikokategorie zugeordnet. Insbesondere bei Betrugsfällen, wie Diebstahl, Unterschlagung, Sachbeschädigung aber auch beim Mobbing oder bei der Verschleierung von eigenem Fehlverhalten (z. B. bei einer bewussten Über­ schreitung von vorgegebenen Handelslimiten eines Wertpapierhändlers) handelt es sich um bewusstes Fehlverhalten. Irrtum und Fahrlässigkeit können i. d. R. unbewusstem Fehlverhalten zugeordnet werden. Irrtum liegt vor, wenn die betrof­ fene Person innerhalb der sie betreffenden internen Richtlinien handelt, aber durch eine unbewusste falsche Einschätzung bzw. Bewertung eines Sachverhalts einen Schaden verursacht. Fahrlässigkeit beinhaltet sämtliche Fehlerquellen auf­ grund mangelnder Aufmerksamkeit (z. B. fehlende Motivation, Desinteresse oder Abgelenktsein).44 Weitere Kategorien sind nicht-situationsadäquates Führungs­ verhalten und das personelle Know-how-Risiko. Führungsfehlverhalten kann bei einer mehrdimensionalen Betrachtung der personellen Risiken dem allgemeinen (bewussten oder unbewussten) Fehl verhalten zugeordnet werden, je nachdem, welche Führungsebene betroffen ist. Personelle Know-how-Risiken beinhalten die nichtantizipierte Abwanderung von Schlüsselpersonal und dessen Know-how, sowie die Vorenthaltung von Wissen und die Schlechtleistung trotz hinreichender Qualifikation.45 Die beiden letztgenannten Faktoren können jedoch den Verhal­ tensrisiken zugeordnet werden.

(b) Organisationsrisiken Sämtliche Risiken aus ungeeigneten Organisationsstrukturen, fehlerhaften Pro­ zessen und unzureichenden Kontrollen stellen Organisationsrisiken dar.46 Unge­ eignete Organisationsstrukturen beinhalten in aufbauorganisatorischer Sicht ins­ besondere Unklarheiten in den Entscheidungs- und Kompetenzzuordnungen oder Kommunikationswegen und Schwachstellen im Informationssystem, sowie orga­ nisatorische Know-how-Risiken. Diese umfassen den Abfluss und die Nichtnut­ 44 Vgl. Utelli (1998), S. 36. 43 Vgl. Probst/ Knaese (1998), S. 28. 46 Vgl. Peter et al. (2000), S. 658.

26

zung von personenunabhängigem Wissen, das in Gestalt von Prozessen, Hand­ lungsabläufen und -programmen gespeichert ist. Auch eine Unterbrechung der organisationalen Wissensgenerierung47 ist darunter zu subsumieren. Abwick­ lungsrisiken enthalten alle Gefahren, die aus fehlerhaften Prozessen und Transak­ tionen entstehen können,48 die wiederum aus unzulänglichen Prozessdesigns resultieren.49 Unzureichende oder fehlerhafte Kontrollprozeduren stehen dabei in engem Zusammenhang mit den fehlerhaften Prozessabläufen. Einerseits stellen sie inhaltlich selbst einen Prozess dar, der nicht den idealisierten betrieblichen Kontrollanforderungen genügt, andererseits sind sie konzipiert, um Risiken in Prozessen zu erkennen. Die Organisationsrisiken werden wesentlich durch das Versagen oder falsche Einrichten von technischen oder organisatorischen Über­ wachungsmaßnahmen determiniert.50 Ein Beispiel stellt das Durchbrechen funk­ tionaler Trennungen dar. In Kreditinstituten wird die Eingabe von Transaktions­ daten und Stammdaten getrennt, um das Anlegen von „Phantomkunden“, und dadurch personelle Risiken in Form des Betrugs, zu verhindern.51 Eine unzurei­ chende oder fehlende Dokumentation der organisatorischen Maßnahmen und Prozessabläufe stellt eine weitere Gefahrenquelle dar. Prozessstörungen, die aus Mitarbeiter(fehl)verhalten resultieren, werden dagegen den (personellen) Verhal­ tensrisiken zugeordnet. Unzureichende Prozessdesigns beinhalten auch die Ge­ fahr eines Verlustes an Prozessqualität durch bspw. zu lange Durchlaufzeiten. Ursachen hierfür können bspw. die zu hohe Anzahl von Schnittstellen oder Dop­ pelarbeiten sein. Unter die Prozessrisiken können ebenfalls sog. Modellrisiken subsummiert werden. Modellrisiken entstehen durch die Verwendung von für den jeweiligen Modellierungszweck ungeeigneten oder fehlerhaften betriebswirt­ schaftlichen Modellen.52

(c) Technische Risiken Diese Risikokategorie umfasst sämtliche Risiken, die mit dem Einsatz von Infor­ mations- und Kommunikationstechnologien und anderen technischen Betriebs­ 47 Zum Begriff vgl. Macharzina (1999), S. 577ff. 48 Vgl. Schierenbeck (1999), S. 4. 49 Prozesse können auch durch falsche Ausführung zum Risiko werden. Im Gegensatz zu van den Brink (2001), S. 10 wird diese Risikoursache hier den Verhaltensrisiken verursachungsgerecht zu­ geordnet. 50 Zu den Gründen für das Versagen interner Kontrollsysteme vgl. Basie Committee on Banking Supervision (1998), S. 6ff und S.28ff. 51 Vgl. van den Brink (2001), S. 8, der allerdings eine andere Systematisierung vertritt. 52 Vgl. ausführlich Pierides/ Zenios (1998), S. 173ff.

27

mitteln in Zusammenhang stehen.53 Ursachen für technische Risiken sind insbe­ sondere Defekte und der Ausfall dieser Systeme und Sabotageakte. Nicht darun­ ter zu subsumieren sind Programmierfehler, da sie ursachenbezogen, i. d. R. den personellen Risiken, zuzuordnen sind und lediglich ihre Wirkung in fehlerhaften Programmabläufen sichtbar wird.54 Die gleiche Argumentation gilt für den un­ sachgemäßen Umgang mit den Betriebsmitteln. Bei unrechtmäßigem Zugriff muss die Frage gestellt werden, ob die Hard- und Softwareeinrichtung den Zugriff zum einen gestattet und zum anderen, ob sie ihn begünstigt. Da die Ursa­ che in diesen Fällen letztlich auf deren falsche Einrichtung zurückzuführen ist und nicht auf kriminell motivierte oder unaufmerksame Handlungen der Mitar­ beiter, ist die Einordnung in die Kategorie „Technische Risiken“ sinnvoll. Evi­ dent sind auch Probleme bei der internen und externen Vernetzung der Systeme oder Engpässe in den entsprechenden Systemkomponenten, die eine Versorgung abhängiger Organisationseinheiten mit notwendigen Informationen verhindern und andere Informationspathologien erzeugen können. Beispiele hierfür sind das Versagen von Frühwarnsystemen, die Nichterkennung eines Ausfalls von exter­ nen Informationsdiensten bzgl. der vom Wertpapierhandel benötigten Marktda­ ten, oder die fehlerhafte Abwicklung von Transaktionen innerhalb einer Daten­ bank. Eine weitere Risikokategorie stellt das Fehlen bzw. Versagen von BackupSystemen dar, die den Ablauf bei Ausfall eines Hauptsystems übernehmen. Da­ tensicherungsprobleme und Verletzungen von Datenschutzvorschriften stehen ebenfalls im Zusammenhang mit der Konzeption der Datenverarbeitungssysteme. Im Zuge des E-Commerce und des E-Banking sind die Systeme immer stärker mit der Außenwelt vernetzt, wodurch das Risiko eines Eindringens von Drittper­ sonen oder Computerviren in die internen Systeme deutlich zugenommen hat.55

(d) Katastrophenrisiken Die Katastrophenrisiken umfassen sämtliche Risiken, die durch Naturkatastro­ phen, wie Erdbeben oder Überschwemmungen, durch Brand, Krieg und terroristi­ sche Akte hervorgerufen werden. Die Bedeutung dieser Risikokategorie zeigen bspw. der Brand in der Zentrale der Banque Credit Lyonais in Paris, die Bomben53 Vgl. Fürer( 1990), S. 228ff. 54 Dies gilt nur bei selbstentwickelter Software. Programmierfehler von extern bezogener Software stellen dagegen kein personelles Risiko des anwendenden Kreditinstitutes dar, sondern gelten als technisches Risiko. Viele Autoren unterlassen eine solche Unterscheidung, vgl. Jameson (1999), S. 3, Box A. 33 Vgl. die Beispiele bei Webb (1999), S. 2f. und die Ausführungen von Wildhaber (1998), S. 40ff.

28

explosion im Londoner Bankenviertel und die Anschläge auf das World Trade Center, zumal Vorfälle dieser Art die vitalen Prozesse einer Bank ausschalten können.56

2.2.3

Bedeutung der Kategorisierung für die Risikoanalyse

Die hier vorgenommene Kategorisierung beinhaltet nur einige wichtige Beispiele zur Veranschaulichung der Begriffsinhalte und der Vorgehens weise einer ursa­ chenbezogenen Klassifizierung und kann im Rahmen der einzelnen Kategorien des Operational Risk i. e. S. sowohl horizontal als auch insbesondere vertikal weiter aufgefächert werden. Eine ursachenbezogene Einordnung von Sachver­ halten kann in einigen Fällen jedoch Schwierigkeiten bereiten. Die Problematik liegt in den Eigenschaften dieser Kategorien, wobei die Schwierigkeit, über­ schneidungsfreie Abgrenzungen vorzunehmen, mit zunehmender Klassifizie­ rungstiefe ebenfalls zunimmt. Kausale Ambiguitäten und Interdependenzen zwi­ schen den Risikokategorien erschweren oftmals eine exakte Zuordnung. Eine festgelegte Risikoursache kann evtl, bei einer tiefergehenden Analyse als Wir­ kung einer noch tieferliegenden Ursache identifiziert werden, die evtl, einer ande­ ren Risikokategorie zuzurechnen wäre.57 Dies zeigt, dass trotz der Notwendigkeit einer umfassenden, trennscharfen und überschneidungsfreien Kategorisierung auch Praktikabilitätsüberlegungen berücksichtigt werden müssen. Dessen ungeachtet ist eine gründliche Kategorisierung von immenser Bedeutung für das Management von Operational Risk hinsichtlich der Risikoidentifikation, der Risikowahmehmung und insbesondere der Auswahl von Instrumenten zur Analyse und Quantifizierung von Operational Risk.58 Damit diese zielgerichtet eingesetzt werden können, ist eine definitionsadäquate Entwicklung bzw. Aus­ wahl von Instrumenten des Risikomanagements entscheidend, da ansonsten die risikobezogenen Daten möglicherweise aus der falschen Blickrichtung angegan­ gen, analysiert, aufbereitet und aggregiert werden. Dadurch wird das potenzielle Risikoausmaß u. U. falsch eingeschätzt und abgebildet.59 Eine durchweg einheit­ 56 57 58 39

Vgl. van den Brink (2001), S. 9. Vgl. Parsley (1998), S. 79. Vgl. Financial Services Authority (2000), S. 17. Einige Risikomanagementverantwortlichen reduzieren Operational Risk sogar auf ein Problem der Informations-(verarbeitungs-)prozesse und des Informationsmanagements, vgl. bspw. Jameson (1998a), S. 41.

29

liehe Kategorisierung und deren Vorgabe an die Geschäftsbereiche bzw. Organi­ sationseinheiten ermöglicht eine dezentrale Risikoidentifikation und eine ge­ schäftsbereichsübergreifende Vergleichbarkeit i. S. eines internen Risikobench­ marking. Problematisch ist in diesem Zusammenhang eine mögliche Begrenzung der Wahrnehmung der Bereichsverantwortlichen (sog. framing-effect), wodurch das Erkennen neu auftretender Risiken eingeschränkt werden kann.60 Für regula­ torische Zwecke ist eine brancheneinheitliche Kategorisierung notwendig, um bei einer möglichen Eigenmittelunterlegungspflicht Wettbewerbsverzerrungen zu vermeiden. Die Schäden aus schlagend gewordenem Operational Risk wirken sich sowohl auf die Kosten- als auch auf die Ertragsseite aus, führen aber letztlich zu finan­ ziellen Verlusten. Zwischen der auslösenden Ursache und dem finanziellen Scha­ den steht jedoch eine Kette von Ereignissen mit in der Regel mehrstufigen Kau­ salzusammenhängen. Durch eine ursachenbezogene Kategorisierung können diese defmitorisch erfasst werden. Aus diesem Grund wird das Reputationsrisiko in der vorliegenden Arbeit nicht als eigenständige Kategorie von Operational Risk betrachtet, sondern stellt in diesem Zusammenhang lediglich eine Wirkung dar, die wiederum Ursache eines (somit indirekten und u. U. schwer bezifferba­ ren) finanziellen Verlustes ist.61 Es stellt sich die Frage, welcher Art die finan­ ziellen Verluste sind, die von einer Definition von Operational Risk erfasst wer­ den müssen. Insbesondere wird in der aktuellen Diskussion kontrovers diskutiert, ob neben direkten und indirekten finanziellen Verlusten auch Opportunitätskosten und Aufwendungen im Zusammenhang mit Maßnahmen zur Abwehr eines aku­ ten finanziellen Schadens oder bspw. der Korrektur, Einführung oder Verbesse­ rungen der internen Kontrollprozesse einbezogen werden sollen.62 Finanzielle Verluste können sich entweder in einer Erhöhung von monetären Aufwendungen oder einer Verminderung von monetären Erträgen zeigen. In Anlehnung an Levi­ ne/ Hoffman wird hier die Auffassung vertreten, sämtliche (direkten und indirek­ ten) Aufwandserhöhungen und Ertragsrückgänge, Opportunitätskosten63 und zusätzlich auch verhinderte finanzielle Schäden zu berücksichtigen. Dies ermög­ 60 Vgl. ausführlich Soane et al. (1998), S. 164. 61 Das Reputationsrisiko wird bei einem nicht ursachenbezogenen Kategori sierungs ans atz als eigen­ ständige Kategorie von Operational Risk betrachtet. Es beinhaltet die Gefahr eines Reputations­ verlustes mit wettbewerblichen und letztlich finanziellen Schäden, z. B. durch Kundenabwande­ rungen etc. Bei der hier vertretenen Vorgehensweise wird das Reputationsrisiko als Glied einer Kette von Ereignissen betrachtet. Es wird danach differenziert, ob die Ursachen interner oder ex­ terner Natur sind und danach der entsprechenden Risikokategorie zugeordnet. Sämtliche bankbe­ trieblichen Risiken können demnach zu Reputationsverlusten führen, vgl. hierzu auch Financial Services Authority (2000), S. 24ff. 62 Vgl. bspw. Pagett et al. (2000a), S. 10. 63 Vgl. Levine/ Hoffman (2000), S. 25.

30

licht bei der Konstruktion von Schadensdatenbanken eine umfassende Berück­ sichtigung aller denkbaren Schäden aus Operational Risk.64

2.3 Ableitung einer Arbeitsdefinition Anhand der oben erläuterten ursachenbezogenen Kategorisierung lässt sich fol­ gende Arbeitsdefinition ableiten:65

Operational Risk ist das Risiko des Eintretens unerwarteter direkter oder indirek­ ter finanzieller Verluste, Opportunitätskosten und Aufwendungen zu deren Ver­ meidung oder Begrenzung, hervorgerufen durch personelle Fehlbarkeit, organi­ satorische und technologische Unzulänglichkeiten, situationsinadäquate Unter­ nehmens- und Geschäftsstrategien, sowie nichtantizipierte Veränderungen des Marktumfeldes bzw. die vitalen Prozesse beeinträchtigende, interne und externe Ereignisse, sofern diese Kategorien nicht in das Management der Markt- und Kreditrisiken einbezogen sind. Für die Zwecke dieser Arbeitsdefmition gelten die oben aufgeführten Haupt- und Subkategorien und deren eventuelle weitere Auffächerung. Durch diese weit gefasste Definition von Operational Risk werden sämtliche bankbetrieblichen Risiken zuordenbar und dadurch ein umfassendes Risikomanagement ermöglicht. Ein weiterer Vorteil dieser weiten begrifflichen Fassung besteht darin, auch der Anforderung eines prospektiven Risikomanagements gerecht zu werden, da auch in Zukunft neu auftretende Risiken ursachenbezogen einer dieser Risikokatego­ rien zugeordnet werden können. Durch eine unterschiedliche Gewichtung der entsprechenden Kategorien ist diese Definition individuellen Bedürfnissen und situativen Gegebenheiten verschiedener Kreditinstitute anpassbar. Im Rahmen der dezentralen Risikoidentifikation müssen in den einzelnen Geschäftsbereichen und Organisationseinheiten die einzelnen Risikokategorien mit den spezifischen Risi­ 64 Nicht berücksichtigt werden Kosten von Verbesserungen der Kontrollprozesse, präventiven Maß­ nahmen, Qualitätssicherungsmaßnahmen, Investitionen in neue Systeme in Anlehnung an Basie Committee on Banking Supervision (2001), S. 1. 65 Dieser Definition liegt die Annahme zugrunde, dass letztendlich auch ein Reputationsschaden zu einem finanziellen Verlust führt. Dieser wird dann als indirekter, meistens nur subjektiv einschätz­ barer, Verlust bezeichnet. Das Reputationsrisiko entzieht sich nach Ansicht des Verfassers einer eigenständigen objektiven Quantifizierung. Es ist demnach nur schwer proaktiv steuerbar.

31

koursachen aufgefullt werden. Dieses Vorgehen fordert eine einheitliche Identifi­ kation von Operational Risk im gesamten Kreditinstitut und erleichtert anschlie­ ßend die Sammlung, Aufbereitung und Auswertung der Risikodaten unter dem Einsatz von Schadensdatenbanken.

2.4 Gründe für die gestiegene Bedeutung des Operational Risk Management Die steigende Bedeutung des Managements von Operational Risk hat verschiede­ ne Ursachen. Das Bewusstsein von Risikomanagementverantwortlichen wurde durch die Erkenntnis geschärft, dass viele Verluste und Bankinsolvenzen, wie oben ausgefuhrt, durch Operational Risk verursacht wurden und nicht durch Markt- oder Kreditrisiken.66 Durch eine fehlende Risikokultur, mangelnde Risi­ kotransparenz, unzureichende Kontrollsysteme und unscharfe Begriffe bei der definitorischen Abgrenzung wird das Operational Risk in Verbindung mit stei­ gendem Wettbewerbsdruck, höheren Produktkomplexitäten, Transaktionsvolumi­ na und Abwicklungsgeschwindigkeiten, noch verstärkt.67 In selbem Maße stellen die Knappheit an qualifiziertem Personal und die steigende Abhängigkeit von Schlüsselpersonal bedeutende Risikotreiber dar.

Jedoch nicht nur der betriebswirtschaftliche Druck lässt die Problematik evidenter werden, sondern auch Veränderungen im regulatorischen Umfeld der Kreditin­ stitute. Im Gleichschritt mit der Verfeinerung der regulatorischen Anforderungen für die Unterlegung von Kreditrisiken mit Eigenmitteln und der Überarbeitung des Kapitalakkords von 1988 des Basler Ausschusses für Bankenaufsicht wird eine eigenständige Kapitalunterlegung von Operational Risk gefordert. Operatio­ nal Risk wurde im Rahmen der bisherigen Vorschriften implizit abgedeckt.68 Das regulatorische Interesse des Basler Ausschusses in Bezug auf das Operational Risk zeigt sich durch das im Januar 2001 vorgelegte Begleitdokument zum Kon66 Vgl. Keck/ Jovic (1999), S. 963. 67 Vgl. Terp (2000), o. S. 68 Die Risikopositionen aus Marktpreis- und Adressenausfallrisiken sind im Rahmen der Vorschrif­ ten des Grundsatzes I BAKred mit 8% Eigenmitteln zu unterlegen, wodurch auch ein ausreichen­ des Polster zur Abdeckung der Operational Risk vorhanden sein soll. Allerdings werden nur dieje­ nigen Operational Risk abgedeckt werden, die in Verbindung mit den Marktpreis- und Adressen­ ausfallrisiken eingegangen werden, vgl. Brockmann et al. (2000), S. 924.

32

sultationspapier des neuen Kapitalakkords.69 Bereits in der Veröffentlichung „A new capital adequacy framework“ vom 4. Juni 1999 fordert der Basler Ausschuss für Bankenaufsicht die Quantifizierung des Operational Risk und dessen Einbe­ ziehung in die Regelungen zur Eigenmittelunterlegung risikobehafteter Geschäf­ te.70 Diese Veröffentlichung ist einerseits als Reaktion auf die o.g. Erkenntnis zu sehen, dass viele der bekannt gewordenen hohen Verluste aus Handelsgeschäften von Finanzdienstleistem der Vergangenheit auf Operational Risk zurückzuführen sind und andererseits auch als Reaktion auf eine vom Basler Ausschuss durchge­ führte Umfrage zum Thema Operational Risk bei ausgewählten internationalen Kreditinstituten zu betrachten.71

69 Vgl. Basel Committee on Banking Supervision (2001). 70 Vgl. Basel Committee on Banking Supervision (1999). 71 Vgl. Peter et al. (2000), S. 656 und Basel Committee on Banking Supervision (1998).

33

3. Ansätze zur Quantifizierung des Operational Risk und deren Aus­ wirkungen auf die Gestaltung von Schadensdatenbanken 3.1 Notwendigkeit der Quantifizierung von Operational Risk Eine Notwendigkeit zur Quantifizierung von Operational Risk resultiert aus der Bestrebung der Kreditinstitute, den möglicherweise pauschalisierten, vom Basler Ausschuss für Bankenaufsicht geforderten Eigenmittelunterlegungssätzen mit eigenen internen Modellen zur Kapitalunterlegung von Operational Risk, analog zur Anwendung interner Modelle im Bereich der Markt- und Kreditrisiken, be­ gegnen zu können. Der Basler Ausschuss schlägt drei Ansätze für die evolutorische Abbildung des individuellen Risikoprofils vor.72 Die Kreditinstitute werden dabei aufgefordert, sich im Laufe der Zeit innerhalb des Spektrums der Ansätze vorwärts zu bewegen.73 Dadurch wird in Aussicht gestellt, bei fortschreitender Entwicklung und Verbesserung der internen Modelle, in Zukunft diese auch zur Quantifizierung des Risikopotentials aus Operational Risk verwendet werden dürfen und die eigenen Bemühungen dadurch mit einer geringeren Kapitalunter­ legungsquote belohnt werden.74

Der Basisindikatoransatz75 (Basic Indicator Approach) verknüpft die Kapitalan­ forderungen pauschal mit einem Risikoindikator (z. B. den Bruttoerträgen) für das gesamte Kreditinstitut. Der Standardansatz (Standardised Approach) ist eine komplexere Variante des Basisindikatoransatzes und kombiniert finanzielle Indi­ katoren mit Geschäftsbereichen. Der interne Bemessungsansatz (Internal Measu72 73 74 75

Vgl. im Folgenden Basie Committee on Banking Supervision (2001), S. 6ff. Vgl. Basler Ausschuss für Bankenaufsicht (2001b), S. 103 und Anhang 9-11. Vgl. Sanio (2001), S. 6. Den Ausführungen liegen die Begriffsübersetzungen der Deutschen Bundesbank zu Grunde, vgl. Basler Ausschuss für Bankenaufsicht (2001b), S. 104ff.

35

rement Approach) bezieht die Schadenshistorie des einzelnen Kreditinstituts, innerhalb eines durch qualitative Anforderungen spezifizierten Rahmenwerks, mit ein. Das Rahmenwerk und die Methode zur Kalkulation des benötigten Unterle­ gungskapitals werden dabei von regulatorischer Seite vorgegeben. Einige Kre­ ditinstitute arbeiten derzeit an der Entwicklung eines Verlustverteilungsansatzes (Loss Distribution Approach). Nach diesem Ansatz ermittelt jedes beaufsichtigte Kreditinstitut seine individuelle statistische Verlustverteilung unter Verwendung interner Daten und spezifiziert eigene Geschäftsfelder und Risikotypen. Bislang ist jedoch international noch kein Kreditinstitut in der Lage, über alle Geschäfts­ bereiche und Regionen hinweg sein Operational Risk zu quantifizieren.76 Eine zweite Notwendigkeit ergibt sich im Zusammenhang mit der Gesamtbankri­ sikosteuerung. Risikokosten in Form von erwarteten Verlusten aus Operational Risk müssen, analog zu den Markt- und Kreditrisiken, im Rahmen von kalkulato­ rischen (Teil-)Erfolgsrechnungen in Bezug auf die einzelnen Bankleistungen berücksichtigt und letztlich am Markt verdient werden.77 Für unerwartete Ver­ luste aus Operational Risk ist das hierfür notwendige Risikodeckungspotential, im Rahmen des Risikotragfähigkeitskalküls,78 zu ermitteln und in Form des von der Bankleitung maximal zur Verfügung gestellten Kapitals den einzelnen Geschäfts­ bereichen zu übermitteln. Diese Limitfestsetzung für jede Risikoart bringt somit auch den „Risikoappetit“ der Geschäftsleitung zum Ausdruck. In diesem Zusam­ menhang kann argumentiert werden, dass ohne Quantifizierung eine angemessene Risikosteuerung ausgeschlossen ist.79 Im Rahmen des Risiko-Chancen-Kalküls wird unter der impliziten Prämisse, dass Risikokapital den zentralen Engpassfak­ tor darstellt, geprüft, ob die einzelnen bearbeiteten Geschäftsfelder lohnend sind, um Shareholder-Value zu generieren.80 Die Vergleichbarkeit von mit unter­ schiedlichen Risiken behafteten Geschäftsfelder wird durch die Verwendung risikoadjustierter Performancemaße hergestellt. Diese setzen eine Überschussgrö­ ße zu einer Risikogröße, z. B. dem ökonomischen Kapital, ins Verhältnis und verlangen somit die Quantifizierung der bankbetrieblichen Risiken. 76 Vgl. Fischer (2001), S. 19. 77 Auf die dabei auftretende Problematik der internen Leistungsverrechnung kann hier nicht näher eingegangen werden, vgl. hierzu bspw. Schierenbeck (1999a), S. 386ff. 78 Durch das Risikotragfähigkeitskalkül wird überprüft, ob ein Kreditinstitut durch schlagend wer­ dende Risiken in Krisensituationen geraten kann, wobei das Risikodeckungspotential Ausdruck der Risikotragfähigkeit eines Kreditinstitutes ist. Vgl. ausführlich Schierenbeck (1999b), S. 2ff. 79 Vgl. Ceske/ Hemändez (1999), S. 17. 80 Vgl. ausführlich Hartmann-Wen dels et al. (2000), S. 554fE, zur Gesamtbanksteuerung auf Basis des Shareholder-Value Ansatzes Schmittmann et. al (1996), 648fT.

36

Im Bereich der Einzelrisikosteuerung von Operational Risk im Speziellen, sind die einzelnen quantifizierten Kategorien des Operational Risk anhand ihrer Stel­ lung, im Vergleich untereinander und im Gesamtrisikoportfolio des Kreditinsti­ tuts, zu bewerten. Anschließend sind die Gegensteuerungsmaßnahmen an dieser Bewertung auszurichten, d. h. Risikokategorien mit weitreichender Bedeutung im Sinne von potenziell höheren Schadensausmaßen und Eintrittswahrscheinlich­ keiten sind primär und intensiver zu betrachten als Risikokategorien mit geringe­ rer potenzieller Schadensgefahr.81 Wie einleitend erwähnt, stellt Operational Risk keine neue Risikokategorie dar. Begegnet wurde dieser Risikokategorie mit der Risikokultur des Bankbetriebs und der Implementierung interner Kontrollen, zum einen den Geschäftsprozess begleitend und zum anderen in regelmäßigen Ab­ ständen durch die interne Revision. Die Aufgabe der Risikoeinschätzung und der Umgang mit Operational Risk lagen oftmals in der dezentralen Verantwortung der einzelnen Geschäftsbereiche. Eine genaue Quantifizierung setzt aber eine möglichst exakte Identifikation des Risikos und der dieses Risiko beeinflussenden Faktoren voraus. Durch die Identifikation und die darauf aufbauende Quantifizie­ rung wird eine verstärkte Analyse des Risikokomplexes Operational Risk in allen Geschäftsbereichen und über diese hinweg gefordert. Schwachstellen in den Pro­ zessabläufen können aufgedeckt werden. Gleichzeitig ist es möglich, das Risiko­ bewusstsein der Mitarbeiter auf allen Ebenen zu steigern, rechtzeitig risikomindemde Maßnahmen zu treffen und durch eine integrierte Risiko-RenditeSteuerung strategische Wettbewerbsvorteile aufzubauen. In der praktischen Auseinandersetzung werden von Seiten der Bankenbranche, Regulatoren und Untemehmensberatungsgesellschaften verschiedene Ansätze zum Management von Operational Risk diskutiert, die jeweils unterschiedliche Anforderungen an die zu verwendenden Methoden und Instrumente zur Identifi­ kation, Analyse und Quantifizierung stellen.82 Allerdings behandeln nicht alle Autoren die Systematik einheitlich. Die Ansätze unterscheiden sich nach einer Auffassung zumeist in der Vorgehensweise bzw. dem Prozess der Identifikation, Quantifizierung und Steuerung. Einer anderen Argumentation folgend können die Instrumente zur Identifikation und Quantifizierung von Operational Risk den Top-down- oder Bottom-up-Ansätzen danach zugeordnet werden, ob die Risiko­ wirkungen (dies entspräche einem Top-down-Ansatz) oder die Risikoursachen 81 Vgl. die analogen Ausführungen von Kohlhoff et al. (2000), S. 5. 82 Vgl. Peter et al. (2000), S. 658f., die diese Tatsache u. a. mit Schwierigkeiten bei der Quantifizie­ rung und uneinheitlichen Begriffsauffassungen begründen.

37

(Bottom-up-Ansatz) fokussiert werden.83 In der vorliegenden Arbeit wird der ersten Auffassung gefolgt und nach der entsprechenden Vorgehensweise bzw. den Prozessphasen bei der Identifikation, Quantifizierung und Steuerung des Operational Risk differenziert.

3.2 Bottom-up-Ansatz

3.2.1.1

Vorgehensweise und Instrumente

Bottom-up-Ansätze modellieren die kausale Beziehung zwischen den Ursachen für Operational Risk und den korrespondierenden Wirkungen (finanzielle Ver­ luste oder Reputationsverluste) auf Geschäftsbereichs- und Einzelprozessebene. Sie erfassen die spezifischen Charakteristika der Geschäftsbereiche und Prozesse hinsichtlich Operational Risk und die Qualität der auf diese ausgerichteten Kon­ trollumgebung. Von allen Ansätzen zur Quantifizierung und Management von Operational Risk besitzen sie den höchsten Spezialisierungsgrad.84 Die Basis bilden detaillierte Prozess- und Kausalanalysen. Darauf aufbauend erfolgt die Quantifizierung des identifizierten Operational Risk in den jeweiligen Geschäfts­ bereichen und für jede Risikokategorie in einem zweidimensionalen Analyseras­ ter. Nach Aggregation der prozess- bzw. bereichsindividuellen Risiken je Risiko­ kategorie, kann das zu unterlegende Risikokapital sowohl auf dezentraler Ge­ schäftsbereichsebene als auch auf zentraler Gesamtbankebene errechnet und je­ weils ein detailliertes Risikoprofil erstellt werden. Zu den Bottom-up-Ansätzen zählen kausale Netzwerke, Connectivity-Ansätze, prädiktive Modellierung und statistisch-versicherungsmathe-matische Ansätze. Qualitative Instrumente der Bottom-up-Ansätze sind die Techniken des Control-Self-Assessment bzw. der Prozessrisikoanalysen.

83 Ein Top-down-Ansatz tendiert demnach zur Fokussierung auf bekannte oder identifizierbare Schadensereignisse, während ein Bottom-up-Ansatz (ursachenorientiert) Operational Risk „von Grund auf1, d. h. von der Ursache bis zur Wirkung über Kausalitäten untersucht. Diese Auffassung vertreten bspw. Pagett et al. (2000a), S. 12. Der Hauptunterschied zur hier vertretenen Sichtweise besteht in der Zuordnung des im Folgenden ausführlich behandelten statistischversicherungsmathematischen Ansatzes (Parametrischer Ansatz/ Actuarial Approach), den Pagett et al., ihrer Argumentation folgend, als Top-down-Ansatz betrachten, vgl. dies., S. 16. 84 Vgl. Ceske et al. (2000b), S. 4.

38

Methoden der Prozessrisikoanalyse versuchen auf systematische Weise, Operati­ onal Risk in Prozessen vorausschauend zu identifizieren, zu bewerten und mittels Kreativitätstechniken Steuerungsimpulse abzuleiten. Sie sind dabei eng mit den anderen Instrumenten verknüpft, dienen bspw. den statistischversicherungsmathematischen Ansätzen als Grundlage und liefern wertvolle Da­ teninputs für die anderen Modelle.85 Sie stellen demnach die erste Phase eines effektiven Bottom-up-Ansatzes zum Management und Controlling von Operatio­ nal Risk dar, dessen Ziel die detaillierte Ermittlung und Dokumentation des Risi­ koprofils bankbetrieblicher Prozesse ist.86 Das Risikoprofil beinhaltet grundsätz­ lich eine Abschätzung des Schadensausmaßes und der Schadenseintrittswahr­ scheinlichkeit, sowie eine Bewertung der Kontrolleffektivität bzw. eine Quali­ tätsbeurteilung der bestehenden Kontrollstrukturen und Vorkehrungsmaßnahmen. Prozessrisikoanalysen können sowohl von einer unabhängigen organisatorischen Einheit als auch von den Prozess verantwortlichen selbst (= Control-SelfAssessment) durchgeführt werden. Durch die Selbstbewertung der einzelnen Geschäftseinheiten lassen sich enorme Ressourceneinsparungen realisieren, not­ wendig ist allerdings die Vorgabe von umfassenden Rahmenbedingungen. Im Rahmen der Prozessrisikoanalyse erfolgt eine Aufspaltung der bankbetrieblichen Abläufe und Prozeduren bis zu einzelnen Prozessschritten. Aufgrund des hohen Zeit- und Kostenaufwands wird jedoch eine Beschränkung auf fehleranfällige und erfolgskritische Prozesse als zulässig und sinnvoll erachtet.87 Die Ergebnisse der Prozessrisikoanalyse werden in das Risikoreporting eingebunden.

Beurteilung

Ansatz

Vorgehensweise

Kausale Netzwerke

•

Aufbauend auf Prozessanaly­ sen

•

Graphische Darstellung der kausalen Verknüpfungen • zwischen Risiken • Ermittlung der Eintrittswahr­ scheinlichkeiten anhand des bayesschen Theorems

•

Connectivity-Ansätze

•

•

Untersuchung der Fehlerfort­ • pflanzung innerhalb einzel­ ner Prozesse

Hohe Datenanforderungen hinsichtl. Schäden und de­ ren Ursachen Ex-post-Analyse

Strukturelle Änderungen werden nicht erfasst

Subjektiver Dateninput hinsichtlich der Korrelationslevel und des Umfangs

83 Vgl. Financial Services Authority (2000), S. 75. 86 Vgl. Peter et al. (2000), S. 662ff. 87 Vgl. Utelli (1998), S. 39.

39

Prädiktive Modellierung

Aufdeckung von Interdepen­ denzen

•

Identifizierung von voraus- • sagefühigen Faktoren zur Be­ stimmung der Wahrschein­ lichkeit und Schwere zu­ • künftiger Schäden

•

•

Statistischversicherungsmathematische-Ansätze

der simulierten Korrelatio­ nen

•

•

•

•

Verwendet statistische Me­ thoden wie Regressions- oder • Faktoranalysen

Berücksichtigt Korrelationen

Objektiver Ansatz

Hoher Analyselevel

•

Stellt hohe Datenanforde­ rungen

•

Zeit-und siv

•

Basiert auf heitsdaten

Ableitung einer Verlustverteilungsftinktion zur Ermitt­ • lung des Capital-at-Risk auf Prozess- und Geschäftsbe­ reichsebene

auf

Trial-and-Error-Prozess zur Identifikation der Prädiktoren

•

Verwenden versicherungs­ • mathematische Methoden zur Bildung von Häufigkeitsund Schadensausmaßvertei ­ • lungen

Aggregation bankebene

Wird als Endziel aller Bottom-up-Ansätze gese­ hen

ressourcen inten­

Vergangen­

Zeit- und Ressourceninten­ siv bei Risikoidentifikation und Datensammlung Begrenzte interne Daten­ basis

Erfordert hoch entwickelte Risikomessmethoden

Gesamt­

Abbildung 3: Ausgewählte Bottom-up-Ansätze88

88 Quelle: Eigene Darstellung, basierend auf den Ausführungen von Ceske et al. (2000b), S. 5, Jame­ son (1998b), S. 38ff. und Marshall (2001), S. 106ff.

40

322

Beurteilung

Vorteilhaft an Bottom-up-Ansätzen ist die transparente Verknüpfung des auf Gesamtbankebene aggregierten Operational Risk mit den Einzelrisiken je Ge­ schäftsbereich und Risikokategorie. Hierdurch wird eine risikoursachengerechte Quantifizierung von Operational Risk ermöglicht und darüber hinaus detaillierte Steuerungsmaßnahmen ableitbar. Durch die hohe Risikosensitivität werden eine hohe Mitarbeiterakzeptanz sichergestellt und die Mitarbeiter motiviert, erkannte Schwachstellen zu beheben und Verantwortung zu übernehmen.89 Daraus ergibt sich ein hoher Grad an Risikobewusstsein, der wiederum in einem fortlaufenden Prozess eine umfassende Risikoidentifikation ermöglicht. Über die Durchdrin­ gung der einzelnen Risikoursachen und der kausalen Zusammenhänge und Inter­ dependenzen nimmt das Verständnis für die Risikowirkungen zu, mit dem Ergeb­ nis fundierter und qualitativ hochwertiger entscheidungsrelevanter Informationen für das Management. Dadurch wird ein organisatorischer Lernprozess entfaltet, der zu einer Verbesserung sämtlicher erfolgskritischer Prozesse und deren Kon­ trollumgebung im Kreditinstitut führt. Der gewichtigste Nachteil der Bottom-up Ansätze besteht, insbesondere in der Risikoidentifikationsphase, in der ressourcenintensiven und dadurch bedingten kostenintensiven Entwicklung, Implementierung und Anwendung der Modelle. Kritisch kann auch die relativ stark ausgeprägte Prozessorientierung gesehen werden,90 da bspw. bewusstes Mitarbeiterfehlverhalten und Katastrophenrisiken u.U. außer Acht gelassen werden. Einen weiteren Nachteil stellen die quantitati­ ven und qualitativen Anforderungen an die Datenbasis dar, die Voraussetzung für statistisch zuverlässige Auswertungen und die Generierung von Verlustvertei­ lungsfunktionen sind. Um die umfassenden Auswertungsmöglichkeiten zu ge­ währleisten, bestehen besonders hohe Anforderungen an die Struktur und den Aufbau der Schadensdatenbanken. Diese können jedoch ihrerseits zu Ressourcenerspamissen fuhren, da sie die Datensammlung und -analyse standardisieren und direkt in das Informations- und Kommunikationssystem eingebunden sind. Darüber hinaus können Schadensdatenbanken verwendet werden, um die Pro­ zessrisikoanalyse bzw. das Control-Self-Assessment einem Backtesting-Prozess zu unterziehen.

” Kloman (1999), S. 5. ’° Vgl. die Ausführungen von van den Brink (2001), S. 42 im Kontext des Bottom-up Ansatzes. 91 Vgl. Garver (1999), S. 5.

41

3.3 Top-down-Ansatz

3.3.1

Vorgehensweise und Instrumente

Bei Top-down-Ansätzen wird das Operational Risk anhand von Daten der Ge­ samtbankebene oder branchenweiten Daten quantifiziert. In einer ersten Gruppe werden verschiedene Controlling-Kennzahlen auf deren historische Volatilität in Bezug auf Operational Risk analysiert. In Frage kommen bspw. Ertragsvolatili­ täten, Kostenvolatilitäten, Schwankungen des Betriebsergebnisses,92 der Cash­ flows, Vermögenswerte, sowie Zins-, Handels- und Provisionsspannen. In einer zweiten Gruppe von Ansätzen werden interne und externe Schadensdaten oder definierte Kennzahlen statistisch ausgewertet.93 Kennzeichnend für Top-downAnsätze ist, dass einzelne Kennzahlen zentral zur Quantifizierung von Operatio­ nal Risk kalkuliert werden. Ebenso wie bei Bottom-up-Ansätzen können statisti­ sche Verteilungen modelliert werden, um Verlusterwartungswerte (expected loss) als Mittelwert der Verteilung und unerwartete Verluste (unexpected loss) in Höhe der Standardabweichung zu ermitteln. Ergebnis dieser Kalkulation ist das öko­ nomische Eigenkapital. Durch bspw. eine Relativierung der Positionen in der Gewinn- und Verlustrechnung oder anderer Kennzahlen kann dieses allokiert werden.94 Beispiele fur Top-down-Ansätze sind der Eamings-volatility-Ansatz, Ansätze auf Basis des Capital Asset Pricing Model (CAPM) und die Top-downVarianten der statistisch-versicherungsmathematischen Ansätze, die im Folgen­ den skizziert werden.

(a) Der Earnings-volatility-Ansatz

Beim Eamings-volatility-Ansatz wird davon ausgegangen, dass schlagend ge­ wordene Risiken kostenerhöhend bzw. ertragsmindemd wirken, wodurch die Schwankungen um den Ertragsmittelwert95 als Risikomaß für Operational Risk interpretiert werden können, sofern sie nicht durch Markt- und/ oder Kreditrisiken 92 Vgl. Peter et al. (2000), S. 659, zu einer Abgrenzung zu Value-at-Risk Ansätzen vgl. Lister (1997), S. 34. 93 Vgl. Ceske et al. (2000b), S. 2ff. 94 Vgl. van den Brink (2001), S. 41. 95 Streng genommen müsste anstatt des Begriffs Ertragsvolatilität ein Nettobegriff verwendet werden. Vereinfachend steht der hier verwendete Begriff für eine saldierte Größe.

42

verursacht wurden.96 Bei der Umsetzung des Ansatzes muss ein Kreditinstitut die Informationsquellen berücksichtigen, die der Schätzung von Ertragsvolatilitäten dienen, um sicherzustellen, dass nur die Ertragsvolatilitäten aus Operational Risk modelliert werden, da sie auch Ursachen außerhalb dieser Risikokategorie auf­ weisen können. Die Ertragsvolatilitäten aus Markt- und Kreditrisiken müssen demzufolge eliminiert werden. Zu dieser Gruppe gehören auch unregelmäßige, außergewöhnliche Ereignisse. Zur Berechnung der Ertragsvolatilitäten liefern Zahlen des Rechnungswesens, insbesondere der Gewinn- und Verlustrechnung, eine relativ einfach zu erhebende Datenquelle. Begünstigt durch die für Kreditin­ stitute speziell geltende Gliederung der Gewinn- und Verlustrechnung in einzelne Ertrags- und Aufwandsarten, wird die Zurechnung zu den jeweiligen Risikokate­ gorien erleichtert.97 In Frage kommen weiterhin kalkulatorische Erfolgsrechnun­ gen unter Berücksichtigung der ex post vorgenommenen Abweichungsanalysen im Bereich des Marktergebnisses, Risikoergebnisses, Produktivitätsergebnisses und Zentralergebnisses.98 Um zu gewährleisten, dass der Ertragsmittelwert auf Grundlage des bankbetrieblichen Geschäfts kalkuliert wird, ist zudem die Finan­ zierungsstruktur zu vernachlässigen.99 Dem Eamings-volatility-Ansatz liegen somit folgende Schritte zu Grunde:100

•

Sammlung von Aufwands- und Ertragsdaten über mehrere Jahre hinweg.

Bereinigung der Aufwands- und Ertragsdaten um Kredit- und Marktrisikokosten.

Bereinigung um Eigenkapitalzinsen.

Bereinigung um außergewöhnliche interne und externe Ereignisse (sofern diese nicht aus operational Risk resultieren. Konjunktur- und Inflationsbereinigung der Zeitreihen.

Kalkulation des Mittelwertes und der Standardabweichung. 96 Vgl. Pagett et al. (2000a), S. 13ff. 97 Der Einblick in die verschiedenen Erfolgsquellen wird unterstützt durch die Gliederung nach Geschäftssparten, die Trennung von Betriebs- und Wertbereich, sowie betriebliche und betriebs­ fremde Komponenten, wobei die Gliederungskriterien nicht immer konsequent durchgehalten werden. 98 Die Markt-, Risiko- und Produktivitätsergebnisse werden in der kalkulatorischen Erfolgsrechnung zum Teilbetriebsergebnis aus dem Kundengeschäft aggregiert, vgl. bspw. Hartmann et al. (2000), S. 636ff. 99 Vgl. Pagett et al. (2000a), S. 14. 100 Vgl. Financial Services Authority (2000), S. 64f.

43

Wahrscheinlichkeitsgewichtung der Zeitreihe.

Der Eamings-volatility-Ansatz geht dabei von folgenden impliziten Prämissen aus:101 Unterstellt wird ein Zusammenhang zwischen den Leistungen in der Gewinn- und Verlustrechnung bzw. dem internen Rechnungswesen und dem ökonomischen Wert des Kreditinstituts.

Zahlen der Vergangenheit sind ein Prädiktor für die Zukunft. Die Zusammensetzung der Aktiva hat sich nicht wesentlich verändert.

•

Die Geschäftsstruktur hat sich nicht auf eine Weise verändert, die zu einem stark abweichenden Risikoprofil führte.

(b) Das Capital Asset Pricing Model (CAPM)

Die Verwendung des CAPM stellt eine besondere Variante der Volatilitätsanaly­ sen dar, die mit der Annahme operiert, dass in Investorenkreisen bekannt gewor­ dene Verluste aus Operational Risk sich in den Aktienkursen widerspiegeln,102 ebenso wie Verluste aus anderen Risikokategorien. Fokussiert wird im CAPM Operational Risk mit hohem Schadensausmaß. Ergebnis der hier nicht vertieften Vorgehensweise ist wiederum eine Risikokapitalgröße in Form von Risikokosten. 103

(c) Statistisch-versicherungsmathematische Ansätze

Die darunter zu subsumierenden Modelle verwenden statistischversicherungsmathematische Methoden zur Quantifizierung von Operational Risk auf Gesamtbankebene in Form eines gesamtbankweiten Capital-at-Risk. Diese Ansätze verwenden in erster Linie externe Schadensdaten und Szenarioanalysen zur Generierung von Verlustverteilungen104. Die Allokation des Risikokapitals 101 102 103 104

44

Vgl. van den Brink (2000), S. 41. Vgl. Peter et al. (2000), S. 660. Vgl. ausführlich Pagett et al. (2000a), S. 15f. Die bottom-up-orientierten statistisch-versicherungsmathematischen Ansätze verwenden primär interne Schadensreignisdaten, vgl. Ceske et al. (2000b), S. 4.

erfolgt anhand der durch andere Top-down-Verfahren ermittelten Proportionalisierungen (z. B. anhand der Indikatorschätzverfahren, s. u.).

(d) Weitere Modelle Weitere, unter den Top-down-Ansatz zu subsumierende Modelle sind der Bran­ chenvergleich (sog. „peer group comparison“), Benchmarking-Verfahren und Kennzahlen- bzw. Indikatorschätzverfahren.105 Beim Branchenvergleich werden die bei Konkurrenten angewandten Methoden oder kalkulierten Beträge für Risi­ ken aus Operational Risk mit den eigenen Methoden verglichen. Im Rahmen eines Bereichs- oder Untemehmensbenchmarking erfolgt, im Gegensatz zum Branchenvergleich, ein Vergleich mit dem „Klassenbesten“ der Benchmarking­ teilnehmer, der die am weitesten entwickelten Verfahren und vergleichsweise genauesten Schätzungen hinsichtlich dem ökonomischen Risikokapital für Ope­ rational Risk besitzt. Bei den Indikatorschätzverfahren wird das ökonomische Kapital für Operational Risk auf Gesamtbankebene mittels anderer Verfahren geschätzt und anschließend auf Basis von Finanzkennzahlen (z. B. Ausgaben für Weiterbildungsmaßnahmen etc.) oder qualitativen Faktoren (z. B. geschätzte Kontrolleffektivität, Mitarbeiterqualifikationsniveau etc.) proportional allokiert.

3.3.2

Beurteilung

Die Vorteile der Top-down-Ansätze der ersten Kategorie liegen in der ver­ gleichsweise hohen Verfügbarkeit der benötigten Daten und der dadurch beding­ ten schnellen Implementierbarkeit sowie der einfachen Konzeption. Sowohl beim Eamings-volatility-Ansatz als auch bei Verwendung des CAPM kann auf eine relativ breite Datenbasis zurückgegriffen werden, denn einerseits können Daten des externen und internen Rechnungswesens schnell evaluiert werden und ande­ rerseits liegen Aktienkursschwankungen in elektronischen Systemen sowohl in numerischer als auch illustrativer Form vor. Beide Ansätze sind schnell zu implementieren, da auf zeitintensive Prozessrisikoanalysen verzichtet werden kann. Vorteile im Bereich der Risikosteuerung zeigen sich in beiden Kategorien darin, dass mit vergleichsweise geringem Aufwand geschäftsbereichsspezifische Rückstellungen für Operational Risk gebildet werden können und den Geschäfts­ 105 Vgl. BBA et al. (1999), S. 87.

45

bereichen Risikokapital zur Abdeckung unerwarteter Verluste zugewiesen wer­ den kann. Durch die Kommunikation des Risikokapitals wird zumindest das Risi­ kobewusstsein in dezentralen Organisationsbereichen erhöht.

Die Nachteile der Verfahren des Top-down-Ansatzes liegen insbesondere in den zu Grunde liegenden Prämissen, der mangelnden Risikosensitivität und mögli­ chen kontraproduktiven Anreizwirkungen durch für die Geschäftsbereiche nicht nachvollziehbare Proportionalisierungsschlüssel, die zu Akzeptanzproblemen ftihren können. Für die statistisch-versicherungsmathematischen Methoden stellt sich zudem das Problem der Datenverfügbarkeit an externen und internen Ver­ lustdaten. Durch die mangelnde Risikosensitivität werden die einzelnen Risiko­ kategorien nicht separat betrachtet, Kausalitäten und Interdependenzen bleiben unberücksichtigt. Ebenso werden Kontrolleffizienzen nicht mit in die Risiko­ quantifizierung einbezogen. Diese Nachteile unterstützen demnach keine exakte Risikoanalyse und proaktive Quantifizierung. Dadurch lassen sich aus Top-downAnsätzen nur eingeschränkt Steuerungsimpulse ableiten. Eine reine Verwendung von Top-down-Ansätzen zur Quantifizierung von Opera­ tional Risk stellt geringere Anforderungen an die Gestaltung von Schadensdaten­ banken als die analyseintensiveren Bottom-up Ansätze. Die statistischversicherungsmathematischen Verfahren erfordern eine einfach strukturierte Datenbank, die eine Sammlung von Verlustdaten und deren statistische Auswer­ tung ermöglicht.

46

3.4 Hybridansätze Der kritische Vergleich der Top-down- und Bottom-up-Ansätze zeigt, dass die einzelnen Ansätze bzw. Vorgehens weisen für sich genommen nicht ausreichen, um ein umfassendes Management von Operational Risk zu etablieren. Eine reine „top-down Sichtweise“ schränkt möglicherweise die Fähigkeit der Organisation ein, die Risikotreiber zu identifizieren, deren Auswirkungen zu quantifizieren und proaktiv zu steuern. Eine reine „bottom-up Sichtweise“ birgt die Gefahr einer Risikowahmehmung und -Identifizierung auf sehr niedrigem organisatorischem Level und eine starke Prozessorientierung. Daraus potenziell resultierende Ver­ zerrungen der Risikowahmehmung (durch bspw. die Einengung des Blickfeldes der Analysten) können unvorteilhafte Effekte auf die strategische Gesamtbank­ planung entfalten, da die Interdependenzen zwischen den Bereichsrisiken und den an anderer Stelle oder organisatorischer Ebene auftretenden Kategorien von Ope­ rational Risk nicht durchschaut werden. Die Gefahr besteht demnach in einer Vernachlässigung der integrativen Gesamt­ sicht.106 Hybridansätze kombinieren Top-down- und Bottom-up-Ansätze durch eine parallele Verwendung bzw. Durchführung, um die Vorteile der beiden kom­ plementären Ansätze zu nutzen. Hybridansätze stehen in engem Zusammenhang mit der Diskussion zur Implementierung eines „Enterprise-wide risk manage­ ment“107. Dieses beinhaltet eine Integration der Risikomanagementprozesse, die eine Integration aller Risiken auf Gesamtbankebene ermöglicht. Hierzu ist es unter anderem erforderlich, für alle Risikokategorien dieselben Quantifizie­ rungsmethoden zu verwenden. Dadurch rückt die Verwendung von Hybridansät­ zen zur Quantifizierung von Operational Risk in den Vordergrund.108

106 Vgl. Crouhy et al. (2000), o. S. 107 Vgl. Cooper (1999), o. S., für eine umfassende Darstellung des Enterprise-wide risk management vgl. Holton (1998), S. 24ff. 108 Vgl. Crouhy et al. (2000), o. S.» Säubert/ Kearney (1999), S. 5, Roberts (2000), S. 3f„ ein prakti­ sches Beispiel zeigt McEachern (2000), o. S.

47

Eine integrierte Anwendung der Ansätze und Instrumente bietet folgende Vortei­ le:110

•

Mitarbeiterfokus - jedes Instrument bezieht sich auf verschiedene Mitarbei­ terebenen und involviert unterschiedlich viele Mitarbeiter.

•

Umfang - verschiedene Instrumente können die unterschiedlichen Aspekte von Operational Risk besser „einfangen“.

•

Outputdaten - die Instrumente bieten unterschiedliche Detaillierungsgrade.

•

Synergieeffekte - die Erfahrung mehrerer Mitarbeiter wird genutzt.

109 Quelle: eigene Darstellung. 1,0 Vgl. BBA et al. (1999), S. 74.

48

4. Konzeption von Schadensdaten­ banken als Instrument des Opera­ tional Risk Management in Kre­ ditinstituten 4.1 Einsatzfelder von Schadensdatenbanken innerhalb der Phasen des Risikomanage­ mentprozesses

4.1.1

Darstellung des Phasenmodells

Der Risikomanagementprozess in Kreditinstituten lässt sich gedanklich in die Prozessphasen Risikoanalyse, Risikosteuerung und Risikokontrolle, i. s. einer zeitlichen Abfolge eines systematischen Prozesses unterteilen,111 der mehrfach rückgekoppelt ist. Die Risikoanalyse kann weiter in die Phasen Risikobestim­ mung und Analyse im engeren Sinne untergliedert werden. Im Rahmen der Risi­ kobestimmung müssen die Quellen von Operational Risk identifiziert (Risiko­ identifikation) werden, d. h. es wird untersucht, ob bestimmte Prozesse oder Ge­ schäftsbereiche mit Operational Risk verbunden sind.112 Operational Risk muss demzufolge zuerst erkannt und wahrgenommen werden. Daran schließt sich eine ursachenbezogene Systematisierung und Klassifizierung an, bei der das identifi­ zierte Operational Risk kategorisiert und definitorisch eingegrenzt wird. Diese Systematisierung ist ein bedeutender Schritt in der ersten Prozessphase und bildet das Fundament für die weitere Behandlung von Operational Risk. Die Auswahl der Instrumente zur Quantifizierung und Steuerung von Operational Risk hängt grundlegend von dieser Systematisierung ab. Im Rahmen der Risikoanalyse im 111 Hinsichtlich des Detaillierungsgrads und den jeweiligen Bezeichnungszuordnungen hat sich noch keine einheitliche Begriffsbildung durchgesetzt, hier wird der Einteilung von Schulte (1997), S. 14 gefolgt. 112 Es kann auch von einer sog. Risikoinventur gesprochen werden, vgl. Lück (1998), S. 147.

49

engeren Sinne wird untersucht, welche Faktoren auf Operational Risk Einfluss nehmen,113 d. h. risikoerhöhend wirken (Identifikation der Risikotreiber). Diese Phase beinhaltet des Weiteren eine kontinuierliche Messung und Quantifizierung der Operational Risk. Zur Quantifizierung wird das Operational Risk in eine Intensitätsdimension (Ermittlung der Schadenswahrscheinlichkeit) und eine Quantitätsdimension (Schwere bzw. Höhe des Schadens) aufgeteilt.114 Bei der Ermittlung der Schadenswahrscheinlichkeit wird zusätzlich die Wahrscheinlich­ keit des Versagens von Kontrollmaßnahmen berücksichtigt und dadurch ein Risi­ koprofil erstellt.115 Anschließend werden die quantifizierten Risiken auf ag­ gregierter Ebene anhand der Risikotragfähigkeit beurteilt.116

Abbildung 5: Phasenschema des Operational-Risk-Managementprozesses117

1,3 1,4 1,3 1,6 117

50

Vgl. Scharpf( 1998), S. 184. Vgl. Lück (1998), S. 148f. Vgl. Peter et al. (2000), S. 663. Vgl. Schulte (1997), S. 15. Quelle: eigene Darstellung.

Auf Grund der Feststellungen im Rahmen der Risikoanalyse werden geeignete Steuerungsinstrumente im Rahmen der aktiven und passiven Risikosteuerung ausgewählt. Die Risikokontrolle beinhaltet die Überprüfung der Analysemetho­ den, der Steuerungsinstrumente, die organisatorische Umsetzung in Bezug auf ihre instrumentelle Eignung. Die Methoden der Risikosteuerung und -kontrolle sind jedoch nicht Gegenstand der vorliegenden Arbeit. Die Ergebnisse des Risikomanagementprozesses werden in einem kontinuierlichen, die einzelnen Prozessphasen begleitenden Risikoreporting zusammengefasst und an die Ent­ scheidungsträger kommuniziert. Dieses allgemeine Phasenschema kann konzep­ tionell sowohl auf die Bottom-up-, Top-down- oder Hybridansätze zum Manage­ ment von Operational Risk angewendet werden. Ein Unterschied ergibt sich le­ diglich hinsichtlich der in den einzelnen Prozessphasen Anwendung findenden Instrumente und der Betrachtungsebenen.

4.1.2

Einsatzmöglichkeiten von Schadensdatenbanken

Im Rahmen der Implementierung eines Bottom-up bzw. Hybrid-Ansatzes ist, wie bereits ausgeführt, insbesondere der Einsatz folgender Modelle bzw. Ansätze denkbar: kausale Netzwerke, Connectivity-Ansätze, statistisch-versicherungs­ mathematische Ansätze, Predictive-Modelling und deren Kombination. SelfAssessment-Techniken bzw. Prozessanalysen können als Grundlage dieser Mo­ delle betrachtet werden und fokussieren die Risikoidentifikation, wobei die kau­ sale Netzwerkanalyse als eine erweiterte Form der Prozessanalyse gesehen wer­ den kann. Im Zuge der Risikoidentifikation und Klassifizierung werden, abhängig von den verwendeten Verfahren, Daten unterschiedlichster Art generiert, die den Quantifizierungsansätzen und empirischen Analysen als Dateninput dienen. Für die Zwecke der Quantifizierung von Operational Risk werden die Daten in einem ersten Schritt institutsweit gesammelt und in einem zweiten Schritt gemäß den konkreten Modellanforderungen aufbereitet und systematisiert.

Zur Unterstützung sowohl der Risikoanalysephase als auch der Phase der Risiko­ quantifizierung bietet sich der Einsatz von Schadensdatenbanken an. Eine Scha­ densdatenbank verwaltet Informationen über die Schadens- bzw. Verlusthistorie (sog. „track record“) eines Kreditinstituts H8über sämtliche Organisationseinheiten 1,8 Vgl. Garver (1999), S. 5.

51

und Risikokategorien hinweg. In der Schadensdatenbank werden die Verlustbzw. Schadensdaten aus der Vergangenheit gesammelt und für die Auswertungen modifiziert. Die Datenbank wird fortlaufend um aktuelle Daten ergänzt. Die Schadensdatenbank besitzt somit eine Doppelfunktion. Einerseits kann sie als Instrument zur Unterstützung der Phasen Risikoidentifikation und Risikoquantifi­ zierung im Rahmen des Managementprozesses von Operational Risk eingesetzt werden, andererseits fungiert sie zwischen beiden Prozessphasen als systemisches Bindeglied mit den entsprechenden Applikationen hinsichtlich der Datenaufbe­ reitung. Ein weiteres Einsatzfeld von Schadensdatenbanken liegt in der Unterstützung des Risikoreporting. Indem die Daten systematisch und weitgehend standardisiert aufbereitet werden, können sie, den Informationsbedürfhissen der jeweiligen Adressaten der Risikoberichterstattung angepasst, dargestellt und kommuniziert werden. Die Erkenntnisse aus der Analyse des Operational Risk bilden einerseits die Entscheidungsgrundlage der Risikomanagementverantwortlichen zur Ablei­ tung geeigneter Steuerungsmaßnahmen und andererseits fließen sie wieder als Dateninput in die Risikoanalyse ein.

4.1.3

Gründe für den Einsatz von Schadensdatenbanken

Die Implementierung einer Schadensdatenbank als Instrument des Risikomana­ gementprozesses zur Unterstützung der Prozessphasen in oben dargestellter Wei­ se bietet die folgenden Vorteile:

•

Standardisierung der Datenerhebung Eine uniforme zentrale Verwaltung der Daten in Form einer Schadensdaten­ bank ermöglicht eine einfachere Standardisierung und Formalisierung der Datenerhebung. Durch einheitliche Eingabemasken (bei dezentraler Datener­ fassung) werden den Bereichs- bzw. Prozessverantwortlichen auf dezentraler Ebene Eingabefelder zur Erfassung und Spezifizierung der Schadensereignis­ se vorgegeben. Bei zentraler Datenerfassung durch Implementierung eines kontinuierlichen Reportingprozesses für Verluste aus Operational Risk wer­ den ebenfalls definierte Standards für die Datenerhebung vorgegeben.119 Auf

119 Vgl. Beeck/ Kaiser (2000), S. 647.

52

diese Weise erfolgt eine gesamtbankweit einheitliche Informationsaufnahme. Sie ist eine wesentliche Voraussetzung für eine unter Rationalisierungsge­ sichtspunkten wirtschaftliche, d. h. Arbeitszeit und Kosten sparende Daten­ verwaltung.120 Darüber hinaus kann zudem sichergestellt werden, dass Scha­ densereignisse bzw. -fälle den nach Schadensursachen gebildeten Risikoka­ tegorien exakt zugewiesen werden können. Dies ermöglicht eine redundanzfreie und vollständige Informationsaufhahme sowie eine Vermeidung von unklaren Schadensereignisbeschreibungen und schafft eine konsistente Da­ tenbasis für die Quantifizierung von Operational Risk. Die einheitliche Da­ ten- und Informationsaufnahme, einschließlich deren zielgerichtete Modifi­ zierung, erlaubt ebenfalls die Verknüpfung mit vielfältigen und vor allem mehrdimensionalen qualitativen Auswertungsapplikationen. •

Systemgerechte Einbindung in ein zentrales Risk-Data-Warehouse Durch die zentrale Sammlung, Speicherung, Umwandlung und Abrufbarkeit der Daten in einer Datenbank kann eine Einbindung in ein zentrales RiskData-Warehouse, wie es im Rahmen der Implementierung eines Enterprise Risk Management gefordert wird,121 erfolgen. Gleichzeitig ist die Einbindung spezifischer Operational-Risk-Informationen in das Managementinformati­ onssystem durch die Verknüpfung mit einer zentralen Datenbank, ein­ schließlich der hiermit im Zusammenhang stehenden Applikationen, einfach zu bewerkstelligen.

•

Nutzung der Eigenschaft eines selbstevolutorischen Instruments

Ein tiefergehendes Verständnis der dem Operational Risk zu Grunde liegen­ den Problematik beruht auf empirischen Daten und bildet darüber hinaus die Basis, von der aus die gesamte Datenevaluierung verbessert werden kann.122 Die Datenbank mit all ihren angeschlossenen Auswertungsapplikationen fungiert als Informationsfilter, dessen Ergebnisse (Output) nach einer Inter­ pretationsphase durch die Risikoanalyseverantwortlichen nach dem Prinzip eines Regelkreises wiederum einen in der Schadensdatenbank zu erfassenden Dateninput darstellen. Somit wird ein kontinuierlicher Lernprozess in Gang gehalten. Dieser trägt nicht nur dazu bei, erweiterte Erkenntnisse über die zu erhebenden Daten zu gewinnen, wodurch eventuell bisher unberücksichtigte Daten bzw. Informationen in die Datenbasis integriert werden, sondern be­ schleunigt gleichzeitig eine stetige Verbesserung der verwendeten Verfahren. 120 Vgl. Sparrow (2000), S. 2. 121 Vgl. Jones et al. (2000), S. 2. 122 Vgl. Sparrow (2000), S. 20.

53

•

Verminderung von Wissensverlusten Durch die Speicherung sowohl des personenabhängigen als auch des perso­ nenunabhängigen Wissens als Ergebnis der Risikoidentifikation und der Ri­ sikoanalyse i. e. S. wird einem Wissensverlust, bspw. durch das Ausscheiden von Schlüsselpersonal vorgebeugt.

•

Bereitstellung von direkten Auswertungsinformationen

Eine sorgfältig eingerichtete Datenbank ermöglicht schon vor der Verwen­ dung statistischer Auswertungen vielfältige Auswertungsmöglichkeiten und die Ableitung von Steuerungsimpulsen.123 Dies fördert eine frühzeitige Wei­ terentwicklung des Meldewesens und eine Sensibilisierung des Kontrollsys­ tems, da durch eine frühzeitige Überprüfung und Anpassung des Kontroll­ systems dieses zielgerichteter ausgestaltet werden kann. Denkbarist in die­ sem Zusammenhang eine Förderung der automatischen Weiterleitung von prozessbezogenen Operational Risk-Daten. Dadurch wird ebenfalls die Grundlage zur Implementierung eines Frühwarnsystems für Operational Risk geschaffen.124

•

Vertiefung der Risikoanalyse Eine Schadensdatenbank als zentrale Ressource ermöglicht eingehendere Ur­ sachenanalysen. Die (alternativ) in den einzelnen Geschäftsbereichen vor Ort durchgeführten Analysen können die Analyseergebnisse und Erkenntnisse aus anderen Bereichen mit geringem Zusatzaufwand berücksichtigen und in die eigene Risikoanalyse mit einbeziehen. Dadurch werden Risiken ver­ gleichbar gemacht, und die Geschäftsbereiche können einem internen Benchmarking -Prozess unterzogen werden. Die mit der zentralen Verwal­ tung der Schadensdatenbank betrauten Mitarbeiter verfügen über einen Ge­ samtüberblick hinsichtlich der Gesamtrisikosituation. Eine durch mögliche Spezialisierungseffekte kontinuierlich steigende Kompetenz und Erfahrung der Mitarbeiter unterstützt die Identifikation von Problembereichen, auf die im Rahmen des Operational Risk Managements besonderes Augenmerk zu richten ist. Dadurch kann die Einschätzung von Schadenswahrscheinlichkeiten an Präzision gewinnen und wertvolle Erkenntnisse für die Verfahren zur Risikomodellierung gewonnen werden.

123 Vgl. Financial Services Authority (2000), S. 78. 124 Der Gesetzgeber fordert durch den im Rahmen des Gesetzes zur Kontrolle und Transparenz im Untemehmensbereich (KonTraG) geänderten § 91 Abs. 2 AktG von Unternehmen in der Rechts­ form einer Aktiengesellschaft ein System zur frühzeitigen Identifikation und Steuerung von bestandsgefthrdeten Risiken, vgl. zur Kommentierung Lück (1998), S. 141.

54

Neben diesen Effizienzüberlegungen bei der Risikoanalyse ergibt sich eine regu­ latorische Notwendigkeit der Etablierung eines konsistenten Schadensdatenbank­ systems und des dazugehörigen Meldewesens für Schadensfälle aus Operational Risk. Im Zuge des evolutorischen Rahmenwerks zu den Ansätzen der regulatori­ schen Bemessung von Operational Risk, vom Baseler Ausschuss für Bankenauf­ sicht vorgeschlagen, werden qualifizierende Minimumstandards für die Verwen­ dung der einzelnen Ansätze festgelegt. Während der Standardansatz lediglich eine Segmentberichterstattung voraussetzt,125 da einzelne Geschäftsfelder der Berech­ nung des ökonomischen Kapitals zu Grunde liegen, sind die beim internen Be­ messungsansatz und beim Verlustverteilungsansatz vorausgesetzten qualitativen Standards weitergehend formuliert. Allerdings wird auch beim Standardansatz die Sammlung von Operational-Risk-Daten empfohlen bzw. angezeigt, da dies eine Grundvoraussetzung für den möglichen Wechsel zu einer Anwendung der weiter­ entwickelten Ansätze darstellt.126 Bereits bei der Verwendung des internen Be­ messungsansatzes (Internal Measurement Approach) wird eine angemessene Infrastruktur zur Identifizierung und umfassenden Sammlung von Schadensdaten zur Etablierung einer Schadensdatenbank vorausgesetzt und die Angemessenheit der internen und externen Schadensdaten hinsichtlich ihrer Qualität gefordert.127

4.2 Anforderungen an den Aufbau von Scha­ densdatenbanken Um die beschriebenen möglichen Vorteile realisieren zu können und gezielte Applikationen zu ermöglichen, müssen bestimmte Anforderungen definiert wer­ den, denen die zu implementierenden oder bereits betriebenen Schadensdaten­ banken in einem Kreditinstitut zu entsprechen haben. Diese Anforderungen be­ ziehen sich im Wesentlichen auf drei Problemfelder und werden institutsindivi­ duell festgelegt:

125 Neben einer mit den Standards konformen Geschäftsfeldabgrenzung müssen bei allen Ansätzen die noch nicht veröffentlichten „Operational Risk Sound Practices“ des Basler Ausschusses erfüllt werden, vgl. Basie Committee on Banking Supervision (2001), S. 12. 126 Vgl. Basie Committee on Banking Supervision (2001), S. 12. 127 Vgl. Basie Committee on Banking Supervision (2001), S. 13.

55

•

Strukturelle Ausgestaltung der Schadensdatenbank.

•

Art bzw. Eigenschaften der zu erhebenden und zu transformierenden Daten.

•

Auswertungsmöglichkeiten der Schadensdatenbank.

4.2.1

Bezugsebenen der strukturellen Ausgestaltung

Bei der Implementierung einer institutsübergreifenden Schadensdatenbank stellt sich die grundlegende Problematik der geeigneten Datenbankstruktur. Diese wird durch die geplanten Auswertungen und die Informationsbedürfnisse des Managements und der Operational Risk-Verantwortlichen determiniert.128 Um zielgerichtete Steuerungsmaßnahmen ableiten zu können, müssen die Verant­ wortlichen für das zentrale Operational Risk-Management die Komplexität und Vielschichtigkeit dieses Problembereiches analytisch und interpretativ durchdrin­ gen können. Ihr Informationsbedarf ist somit mehrdimensional. Dies bedingt einen mehrdimensionalen129 Aufbau der Schadensdatenbank mit mehreren Be­ zugsebenen. Die strukturelle Ausgestaltung muss sich insbesondere an den beiden Bezugsebenen Risikokategorie und Geschäftsbereich ausrichten,130 die jeweils weiter aufgefächert werden. Durch eine ursachenorientierte Auffächerung der Kategorien von Operational Risk können die erhobenen Schadensfälle explizit zugeordnet und unterschiedliche Schadenstypen getrennt modelliert werden. Die Bezugsebene Geschäftsbereiche bildet die Organisationsstruktur des Kreditinsti­ tuts ab, durch deren Auffächerung die Schadensfälle verursachergerecht zugewie­ sen werden können. Die nachfolgende Abbildung zeigt exemplarisch eine zwei­ dimensionale Auffächerung der Bezugsebenen.131 128 Vgl. AMS (2001), o.S. 129 Eine Dimension bildet modellhaft die Sicht auf einen bestimmten Sachverhalt als hierarchische Kombination von Elementen ab, die im Datenmodell orthogonal zu anderen Kombinationen von Elementen dargestellt werden kann, vgl. Gehrke (2000), S. 32. 130 Vgl. Peter et al. (2000), S. 668. 131 Die Umsetzung erfolgt bspw. über eine relationalen Datenbankstruktur. Zur logischen Datenorga­ nisation und Datenbankmodellen vgl. bspw. Schwarzer/ Krcmar (1996), S. 53ff.

56

\

Risiko\kategorien

Operational Risk Strategische Risiken

Geschäfts­ risiken

Operational Risk i.e.S.

। । iiii iiii

|

Investment Banking Trading and Sales | Corporate Finance

|

Personelle Organisati- Technische KatastrophGeschäfts^ onsrisiken Risiken enrisiken bereiche \ Risiken Mergers

i i

i ।

Acqui­ sitions Advisory'

iiii iiii iiii iiii iiii

i i i i i

Govern­ ment Finance

।

iiii iiii iiii iiii iiii iiii iiii iiii

। i i i i ii i i i । i 1 1 1 1 1 1 1

Sales

Market Making Treasury

।

।

।

■ । । । IIII IIII IIII IIII IIII IIII IIII

1i ________ J i

i i

i i

1

i i i__________ j

Abbildung 6: Bezugsebenen der strukturellen Schadensdatenbankgestaltung132

Die Bedeutung der Bezugsebenen Risikokategorie und Geschäftsbereich zeigt sich im Zusammenhang mit der Quantifizierung des Operational Risk. Diese erfolgt im Rahmen des Bottom-up-Ansatzes zuerst auf Einzelprozess- und Ge­ schäftsfeldebene und wird über die Risikokategorien und Geschäftsfelder aggre­ giert. Von Expertenseite wird zudem eine tiefstmögliche Auffächerung gefordert, um die Schadensdatenbanken mit geringem Aufwand an sich möglicherweise etablierende Branchenstandards oder regulatorische Standards anpassen zu können. 133 Die Berücksichtigung weiterer Dimensionen erscheint unter Steuerungsgesichts­ punkten sinnvoll. Im Rahmen der Gesamtbanksteuerung erfolgt zum einen die ex ante Ermittlung von Standardrisikokosten aus Operational Risk, die insbesondere 132 Quelle: eigene Darstellung. 133 Vgl. Jameson (2000), o. S.

57

in die Produktkalkulation und Kundenkalkulation, neben den Standardrisikokos­ ten aus Markt- und Kreditrisiken, einbezogen werden. Im Zusammenhang mit der Quantifizierung von Operational Risk erfolgt die Ermittlung eines Verlusterwar­ tungswertes (sog. „expected loss“) auf Produkt- und/ oder Kundenebene, der in die Prämienkalkulation einbezogen134 und vom Preis der Bankdienstleistungen „gedeckt“ wird. Aus diesem Grund sollten die Produktebene und Kundenebene in der Schadensdatenbank dimensioniert werden. Zum anderen erfolgt die Ermitt­ lung des ökonomischen Kapitals zur Deckung unerwarteter Verluste (sog. „unex­ pected loss“) in Form des Capital-at-Risk. Die unerwarteten Verluste stellen das eigentliche Risiko dar, dem mit entsprechenden Steuerungsmaßnahmen zu be­ gegnen ist.135 Neben den Anforderungen, die von den geplanten Applikationen gestellt werden, sind auch beim Aufbau einer Schadensdatenbank, wie beim Auf­ bau sämtlicher Risikomanagementsystemarchitekturen, die Restriktionen der technischen Umsetzungsmöglichkeiten wesentliche Einflussfaktoren der struktu­ rellen Ausgestaltung. Beispielhaft seien hier die am Markt verfügbaren Software­ pakete genannt, ebenso wie die Datenhaltungs- und Middlewaretechnologie.136 Diese bestimmen grundlegend die Umsetzbarkeit. Aus diesem Grund werden die grundlegenden Anforderungen an die strukturelle Ausgestaltung von Schadens­ datenbanken idealisiert betrachtet.

4.2.2

Grundlegende Komponenten der Schadensdatenbank

Neben einer zielgerechten Dimensionierung der Schadensdatenbank müssen deren grundlegende Komponenten festgelegt werden. Üblicherweise besteht eine Datenbank aus einer in Dateien gespeicherten Datenbasis und einem Datenbank­ verwaltungssystem, d. h. einem Programmsystem zum Aufbau, zur Kontrolle und zur Manipulation der Datenbank.137 Eine Schadensdatenbank im Speziellen stellt ein sog. Informationssystem dar138 und enthält somit eine Datenbank (zur Sammlung/ Speicherung organisierter Schadensdaten für die Schadensereignis­ analyse), eine Methodenbank (als Sammlung von programmierten Methoden in Form diverser Anwendungsprogramme, Algorithmen und statistischen Verfah­ 134 Vgl. Beeck/ Kaiser (2000), S. 645. 133 Einen Überblick zu möglichen Risikosteuerungsmaßnahmen gibt Wyss (2000), S. 179f. 136 Vgl. Godlein/ Wohlenberg (1999), S. 356f. Die Autoren stellen die Anforderungsgerechtigkeit der heutigen Technologie hinsichtlich der Risikomanagementsysteme grundsätzlich in Frage. 137 Vgl. Hansen (1998), S. 943. 138 Vgl. Straley et al. (1999), S. 40 und Hoffmann (1998), S. 39.

58

ren) und eine Modellbank (mit betriebswirtschaftlichen Analyse- und Entschei­ dungsmodellen Modellen).139 Vor diesem allgemeinen Hintergrund und unter Berücksichtigung der geplanten Applikationen, die sich aus den definierten Zie­ len des Operational-Risk-Managements ableiten, sind die benötigten Komponen­ ten einer Schadensdatenbank zu identifizieren.

-► Datenabfrage

-> Datenlieferung

OR = Operational Risk

Abbildung 7: Komponenten der Schadens datenbank!40

139 Vgl. Schwarzer/ Krcmar (1996), S. 12. 140 Quelle: eigene Darstellung.

59

Die Schadensereigniskomponente bildet den Kem der Schadensdatenbank. In ihr befinden sich sämtliche Informationen141 zu den gesammelten Schadensfällen, die nach den Bezugsebenen entsprechend kategorisiert sind. Neben den historischen Schadensdaten werden im Rahmen des Reportings von Schadensereignissen kontinuierlich auftretende Schadensinformationen eingepflegt. Die Schadenser­ eigniskomponente sollte zu diesem Zweck relationale Verknüpfungen enthalten, um alle mit dem Schadensereignis zusammenhängenden Informationen142 auf verschiedenen Darstellungsebenen aufnehmen zu können. Erfasst wird darüber hinaus die Struktur des Schadensereignisses, sofern bspw. die Fehlerfortpflan­ zung innerhalb eines untersuchten Prozesses nachvollzogen werden kann, ausge­ hend von der Fehlerursache über sämtliche Prozessschritte bis hin zur Auswir­ kung als direkter oder indirekter Schaden. Dabei wird auch untersucht, in welcher Risikokategorie die Fehlerursache zu finden ist und ob diese nachvollziehbare Auswirkungen auf andere Risikokategorien aufweist. An dieser Stelle ist anzu­ merken, dass die notwendigen Kausaldaten einerseits das Ergebnis einer Prozess­ analyse sein können und in die Schadensdatenbank ad hoc, d. h. ohne direkten Bezug zu einem konkreten Schadensereignis, eingepflegt werden. Andererseits können sie das Ergebnis einer Schadensereignisanalyse darstellen, die auf Basis der bis zu diesem Zeitpunkt verfügbaren Daten der Schadensdatenbank durchge­ führt wurde. Dies zeigt den oben beschriebenen Bindegliedcharakter der Scha­ densdatenbank zwischen den Prozessphasen Datenerfassung und Datenauswer­ tung, d. h. die Ergebnisse stellen wiederum einen Dateninput dar. Dadurch ent­ steht ein Regelkreis in der Analyse des Operational Risk.

Liegt ein Analyseschwerpunkt auf der Risikokapitalallokation, kann die Einrich­ tung einer statistischen Komponente angezeigt sein, die eine Korrelationsmatrix mit entsprechenden statistischen Applikationen enthält. In dieser werden die Korrelationen von internen und externen Risikofaktoren erfasst. Zu diesem Zweck werden die Daten der Schadensereigniskomponente laufend Kausalanaly­ sen und Korrelationsanalysen unterzogen und in der Korrelationskomponente festgehalten. Dadurch kann erreicht werden, dass die in der Schadensereignis­ komponente bereits erfassten Schadensereignisdaten statisch behandelt werden können und die Datenbasis nur durch neu hinzukommende Schadensereignisdaten erweitert wird, d. h. einmal erfasste Schadensereignisinformationen werden nicht mehr verändert und bilden eine stabile Datenbasis. Eine Voraussetzung ist in diesem Zusammenhang die korrekte Erhebung der Daten. Über einen entspre­ 141 Informationen stellen zweckorientiertes Wissen dar, vgl. Zimmermann (1999), S. 343. 142 Die zu erfassenden Schadensdaten werden in Abschnitt 4.3.4 ausführlich behandelt.

60

chend zu definierenden Datenimportprozess werden die Datenpunkte für die Auswertungskomponente und die dort vorgehaltenen Analysemodelle bereitge­ stellt und temporär redundant gehalten. Identifizierte Risikofaktoren können in der Schadensereigniskomponente oder alternativ in einer separaten Komponente erfasst werden. Weitere Komponenten eines Schadensdatenbanksystems sollten folgende Elemente beinhalten:

•

Eine Modellbank mit entsprechender Anwendungssoftware zur Analyse und Auswertung der Schadensinformationen. Diese enthält geeignete Prozeduren zur Risikomodellierung und Risikoaggregation. Der Modelloutput wird durch einen Datenimportprozess in die Reportingkomponente übertragen und durch diese initiiert.

•

Eingabemasken mit Scroll-down-Menüs bei der Schadensereignisbeschrei­ bung, die eine Vorauswahl an zu erfassenden Informationen bereitstellen (Pflichteingabefelder). Alternativ ist eine dialoggesteuerte Schadensereignis­ datenerfassung denkbar.

•

Reportingkomponente (Reportgenerator143), in der Schadens- und Analyse­ daten für das Management bedarfsgerecht aufbereitet und gespeichert wer­ den. Automatisierte Reportgeneratoren erzeugen in regelmäßigen Abständen Managementreports. Um einem ausgewählten Personenkreis die Erstellung von individuell gestalteten Reports zu erlauben, sollte eine für diese Zwecke geeignete, menügesteuerte Benutzeroberfläche geschaffen werden.

•

Data-Mining-Komponente, die individuelle Analysen auf Basis neuronaler Netze unterstützt.

•

Automatische Überwachungsprogramme, die den Verantwortlichen eine Veränderung der Datenbasis durch neue Analyseerkenntnisse anzeigen.

•

Einen Intranet-oder eventuell sogar Internet-Zugang zum Abruf von Daten oder Informationen zur Erstellung von Spezialberichten oder zur Durchfüh­ rung spezieller Analysen und Simulationen.

Anhand der hier vorgeschlagenen Komponenten und ihrer Zielsetzung lässt sich eine Schadensdatenbank als ein Informationssystem klassifizieren, das den 143 Zum Begriff vgl. Stubbings (1995), S. 59.

61

Merkmalen von Executive Information Systems (EIS) entspricht und entweder als solches betrachtet oder als Komponente eines EIS angesehen werden kann.144

4.23

Kompatibilität mit bestehenden Systemen

Die Systemarchitekturen der operativen Erfassungs- und Verarbeitungssysteme sind in jedem Kreditinstitut untemehmensspezifisch ausgestaltet.145 Banken ha­ ben in der Vergangenheit vor allem ihre volumenintensiven Prozesse automati­ siert. In aller Regel wurden dabei den verschiedensten Zielsetzungen gerecht werdende Systemlösungen konzipiert, die bislang einen als eher gering einzustu­ fenden Integrationsgrad aufweisen. Das Ergebnis waren vielerorts Insellösungen, die kaum miteinander kommunizieren können.146 Obwohl der Trend in Richtung Systemstandardisierung geht, ist eine vollständige Systemintegration nicht abseh­ bar.147 Schadensdatenbanken müssen in diesem Zusammenhang über geeignete Integrationskomponenten verfügen, die einerseits eine Kompatibilität mit den internen bankbetrieblichen IT-Systemen ermöglichen148 und andererseits mit den externen Systemen. Eine Schadensdatenbank als bankbetriebliches Informations­ system muss der Anforderung genügen, durch die Verknüpfung verschiedenster Datenquellen ein verbessertes Management des Operational Risk zu ermögli­ chen.149

Bei der Herstellung der Kompatibilität mit internen Systemen ist auf Geschäfts­ prozessebene eine Anpassung an die Workflow-Systeme150 zu generieren. Diese verfügen über vielfältige Schnittstellen zu bestehenden Anwendungen und Da­ tenbanken, in denen risikorelevante Informationen gespeichert sind, bspw. hin­ 144 Vgl. zur Darstellung von EIS und der begrifflichen Abgrenzung zu Managementinformations­ systemen (MIS) Stubbings (1995), S. 25ff. 145 Vgl. Nolte (2000), S. 153. 146 Besonders die verschiedenen Lebenszyklen der einzelnen Bankprodukte machen eine Systemin­ tegration beinahe unmöglich, vgl. van den Brink (2001), S. 22. 147 Die Computerindustrie hat diesbezüglich auf die Vemetzungsbedürfnisse mit sog. „offenen Systemen“ reagiert, eine vollkommene Kompatibilität und Flexibilität wurde allerdings noch nicht erreicht, vgl. Nolte (2000), S. 156. 148 Vgl. Kingsley et al. (1998), S. 11. 149 Zu den allgemeinen Anforderungen an ein bankbetriebliches Informationssystem vgl. Gysler (1995), S. 17. 150 „Workflow-Computing“ beinhaltet die informationstechnische Unterstützung von Geschäftspro­ zessen, vgl. Dube (1995), S. 115. Einen umfassenden Überblick über die Einsatzmöglichkeiten in Banken bietet Karagiannis (1999), S. 389ff.

62

sichtlich des Prozessbearbeitungsstatus, der Historie der abgelaufenen Prozess­ schritte und Störungen des Prozessablaufs, sowie deren Ergebnisse.151 Die Scha­ densdatenbank benötigt als Integrationskomponente eine Integrationsplattform für Daten aus unterschiedlichen Untemehmensbereichen. Die Integrationsplattform bildet die Schnittstelle zwischen der Schadensdatenbank und den operativen Systemen. Sie hat die Aufgabe, die gelieferten Daten aus den Quellsystemen zu normalisieren152, um ein einheitliches Datenformat zu schaffen. Jede Schnittstelle zu den operativen Quellsystemen benötigt eine Abstimmung, um die Integrität der Daten im Datenimportprozess sicherzustellen. Die Qualität einer Schnittstelle wird dabei maßgeblich durch die richtige Datendefinition bestimmt.153 Um die benötigten Daten aus den Zuliefersystemen extrahieren zu können, ist eine für diese Zwecke optimale Data-Mining-Software erforderlich. Sind die erforderli­ chen internen Fachabteilungen nicht in der Lage, entsprechende Software zu entwickeln, oder sprechen Wirtschaftlichkeitsgesichtspunkte gegen eine solche Lösung, kann diese Serviceleistung von am Markt agierenden Softwarefirmen und Untemehmensberatungsgesellschaften bezogen werden.154 Zusammenfassend kann festgehalten werden, dass die Systemkonfiguration auf eine Weise erfolgen sollte, dass für jede Risikokategorie von Operational Risk •

das Schadenspotenzial bezogen auf den aktuellen und geplanten Bankbetrieb bzw. auf die Geschäftsfelder bewertet werden kann.

•

die Eigenschaften der bankbetrieblichen Prozeduren hinsichtlich deren Wir­ kung auf die Eintrittswahrscheinlichkeiten identifiziert werden können.

•

die Ursachen und deren Wahrscheinlichkeit für das Versagen interner Kon­ trollsysteme bestimmt werden können.

•

die zu jeder Risikoursache gehörende Schadensereignishistorie identifiziert werden kann.

Neben der Kompatibilität mit den operativen bankbetrieblichen Systemen ist gleichfalls eine Anpassung an die Führungsinformationssystemen aus anderen bankbetrieblichen Teilbereichen erforderlich. Diese Integration ist zum einen aus 151 Vgl. Dube (1995), S. 115. 152 Zur näheren Begriffserläuterung vgl. Hansen (1998), S. 949. Im vorliegenden Kontext wird unter Normalisierung die Umstrukturierung der Schadensereignisdaten verstanden. Vgl. van den Brink (2001), S. 22. 154 Vgl. Financial Services Authority (2000), S. 77.

63

Datenbeschaffungssicht relevant, wie im folgenden Unterabschnitt 4.3 näher erläutert wird, zum anderen ergibt sich die Notwendigkeit zur Integration der Führungsinformationssysteme im Bereich der Markt- und Kreditrisiken, um den Verantwortlichen einen einheitlichen Analyse- und Informationsrahmen zur Ver­ fügung zu stellen. Die Integration kann dabei grundsätzlich auf zwei Arten erfol­ gen. Auf einer niedrigen Integrationsebene werden die Risikosysteme parallel betrieben und lediglich an der Benutzerschnittstelle eine einheitliche Oberfläche geschaffen.

Auf einer höheren Aggregationsebene, insbesondere im Rahmen eines Enterprise Risk Management, wird ein umfassendes Risk-Data-Warehouse geschaffen. Ein Data-Warehouse hat im Allgemeinen die Aufgabe, inhaltsorientiert, integriert und dauerhaft Daten zur Unterstützung von Entscheidern zu sammeln, zu transportie­ ren und zu verteilen, wobei den Entscheidern ein einheitlicher Zugriff auf die Daten ermöglicht werden soll.155 Die Herausforderung liegt hier in der Bewälti­ gung der technischen und organisatorischen Problemstellungen, die mit der Integ­ ration sämtlicher risikorelevanter Informationen in einen gemeinsamen Analyse­ rahmen verbunden sind.156 Die Schadensdatenbank als Risikomanagementsystem nutzt auch hier die vorgelagerten Systeme lediglich als Datenquelle für den Zu­ sammenzug der risikorelevanten Geschäftsbereichs- und Prozessdaten, wobei risikorelevante Informationen aus sämtlichen in Frage kommenden Verarbei­ tungs- und Informationssystemen zusammengeführt werden müssen.157 Für ein solches Risk-Data-Warehouse kommen allerdings nur hochentwickelte relationale Datenbanktechniken in Frage.158 Neben der Herstellung der Kompatabilität mit den internen bankbetrieblichen Systemen muss auch die Kompatabilität mit externen Informationsquellen sicher­ gestellt werden. Die wichtigste Datenquelle stellen dabei externe Schadensdaten­ banken dar, die von institutioneilen Anbietern verwaltet werden. Externe Scha­ densdatenbanken weisen je nach Anbieter individuelle Besonderheiten in der Ausgestaltung und im Aufbau auf, die bei der Schnittstellengestaltung berück­ sichtigt werden müssen. Der Informationsaustausch zwischen den Konsortiumsmitgliedem erfolgt dabei i. d. R. über das Internet.159 Die Integrationsplattform 155 136 157 158 139

64

Vgl. Gehrke (2000), S. 29. Vgl. Nolte (2000), S. 154. Vgl. Nolte (2000), S. 156. Für alternative Darstellungen vgl. Zimmermann (1999), S. 337. Vgl. die Ausführungen in Kapitel 4.3.3.5.

der internen Schadensdatenbank muss daher nicht nur eine Normalisierung der externen Daten gestatten, sondern auch die internen Daten für den Informations­ austausch in geeigneter Form bereitstellen können. Dabei ist auch festzulegen, ob der Informationsaustausch in automatisierter, periodischer Form stattfinden soll, oder manuell von den jeweils Verantwortlichen ad hoc durchgeführt wird. Hier­ aus ergeben sich unterschiedliche Anforderungen an die technische Schnittstel­ lengestaltung.

4.3 Risikoidentifikation und Datengewinnung Bei der bottom-up-orientierten Vorgehensweise oder der Verwendung von Hyb­ ridansätzen zum Management von Operational Risk nach der oben beschriebenen Phaseneinteilung des Risikomanagementprozesses kommt der gesamtbankweiten Verlustdatensammlung und deren Erfassung in Schadensdatenbanken eine grundlegende Bedeutung zu. Die Operational Risk-Verantwortlichen sind in der Phase der Datenbeschaffung und -auswertung mit einer Vielzahl von Problem­ stellungen konfrontiert. Neben der oben erläuterten notwendigen Datenstruktur und deren Auswirkung auf die Gestaltung der Schadensdatenbank stellt sich die Problematik der Identifikation möglicher Datenquellen, der Entscheidung über die Art der zu erfassenden Daten hinsichtlich ihres Informationsumfangs und der Implementierung eines effektiven und effizienten Schadensdatenerhebungs- und -reportingprozesses. Ein effektiver Prozess beinhaltet in diesem Zusammenhang die Erhebung und Weiterleitung relevanter Schadensdaten, während ein effizien­ ter Prozess die Prozessdurchführung nach Wirtschaftlichkeitskriterien zum Ge­ genstand hat. Die Schadensdatenbank dient in diesem Datenerhebungsprozess als strukturierte Sammelstelle für sämtliche Schadensdaten, von ihrer Struktur wird das Format der Daten bei der Erhebung und Sammlung determiniert, sowie die Qualität der Daten entscheidend beeinflusst.

4.3.1

Interne Datenquellen

Zur Analyse des Operational Risk ist die jeweilige Risikosituation des Kreditin­ stituts in der Vergangenheit und der Gegenwart einzuschätzen und zu beurteilen. Dabei kann davon ausgegangen werden, dass entsprechende Schadensdaten in der Vergangenheit nicht strukturiert aufgenommen und einer systematischen Analyse

65

unterzogen worden sind. Aus diesem Grund sind die benötigten internen Daten aus einer Vielzahl unterschiedlicher Datenquellen zu extrahieren, die i. d. R. über das gesamte Kreditinstitut verteilt sind.160 Dabei werden historische Verlustdaten einmalig evaluiert und ein kontinuierlicher Reportingprozess für Verluste aus Operational Risk nach definierten Standards aufgebaut.161 Geeignete Datenquel­ len lassen sich dabei in einer Vielzahl abteilungsbezogener Berichte, Analysen, Reportings, Performance- Berechnungen, Teilbilanzen und dergleichen finden. Bei der Identifizierung der potenziellen Datenquellen für historische Verlustdaten ist eine Systematisierung nach dem vorgesehenen Verwendungszweck sinnvoll. Die Datenquellen lassen sich ex ante danach einteilen, ob sie primär Informatio­ nen zur Schadenshäufigkeit oder zum Schadensausmaß liefern können.162 Beim Beginn der Sammlung historischer Schadensdaten bietet sich die Fokussie­ rung auf solche in der Vergangenheit eingetretenen Schadensfälle an, die sich in realisierten monetären Verlusten äußerten. Ertrags- und Aufwandsvolatilitäten können daraufhin untersucht werden, ob die Ursache der Schwankungen auf schlagend gewordene Risiken aus Operational Risk zurückgeführt werden kön­ nen. Datenquelle ist demzufolge die Gewinn- und Verlustrechnung. Auch die Veränderung von Bilanzaktiva, die sich in der Gewinn- und Verlustrechnung niederschlagen, wie bspw. Sonderabschreibungen auf Gebäude oder Betriebs­ mittel und Einzelwertberichtigungen auf Kredite, können Schäden aus Operatio­ nal Risk anzeigen. Revisionsberichte und Prüfungsunterlagen der Innenrevision können als Quelle für direkt bezifferte und dokumentierte Schadensfälle dienen und darüber hinaus auch eingehende Risikoanalysen aufweisen,163 die erste An­ haltspunkte hinsichtlich der Kausalstruktur eines Schadensereignisses liefern. In Frage kommen ebenfalls Berichte und Protokolle über die von der internen Revi­ sion vorgenommenen Prozessabnahmen164 und Analysen bei der Einführung von neuen Produkten bzw. beim Eindringen in neue Geschäftsfelder. Ein Abgleich mit EDV-Statistiken über Systemausfallzeiten, Warnings- und Reparaturkosten und -zyklen erscheint in diesem Zusammenhang sinnvoll. Übersichten von Er­ 160 Vgl. Peter et al. (2000), S. 668. 161 Vgl. Beeck/ Kaiser (2000), S. 647. 162 Vgl. Marshall (2001), S. 188ff. Schadensereignisreports bzw. Zwischenfallberichte dienen der Erfassung von diskreten Schadenshäufigkeiten, wobei Verluste nicht beziffert werden. Aus In­ formationen des Rechnungswesens lassen sich eher Daten zur Ableitung von Schadensausmaß­ verteilungen herausfiltem. 163 Der Prüfiingsschwerpunkt beinhaltet heutzutage nicht mehr nur Gesetzmäßigkeitsprüfungen, sondern insbesondere detaillierte Risikoanalysen. Die Revisionsberichte liefern vorrangig Infor­ mationen darüber, wie Prozesse aufgesetzt sind, vgl. van den Brink (2001), S. 25. 164 Vgl. van den Brink (2001), S.24.

66

gebnissen der Zwischenkontenabstimmungen zeigen mögliche Betrugsfälle, bei denen Betrugsdelikte, meist erst nach einiger Zeit und eher zufällig, aufgedeckt werden konnten. Betrugsfälle dieser Art wurden in der Öffentlichkeit immer wieder bekannt. Controlling-Unterlagen, einschließlich der Daten des internen Rechnungswesens, enthalten vielfältige Datenquellen. Ex-postAbweichungsanalysen bspw. im Bereich des Risikoergebnisses und des Produkti­ vitätsergebnisses165 können wertvolle Anhaltspunkte für Schäden aus Operational Risk liefern. Der Vergleich von ex ante kalkulierten Standardrisikokosten und den ex post tatsächlich realisierten Risikokosten im Bereich der Markt- und Kre­ ditrisiken, in Verbindung mit einer eingehenden Ursachenanalyse, kann realisierte Verluste aufdecken, die bei oberflächlicher Betrachtung diesen Risikokategorien zugeordnet werden, die jedoch ursachenbezogen Operational Risk zugerechnet werden müssen. Daten der Personalabteilung bzw. personalbezogene Daten in den Geschäftsbereichen, wie Überstundenübersichten, erlauben primär eine Ein­ schätzung der Risikosituation oder geben Hinweise auf mögliche Risikofaktoren, zeigen allerdings keine konkreten Schadensfälle auf. Hierfür sind in Personalak­ ten dokumentierte kriminelle Handlungen und statistische Geschäftsbereichsun­ terlagen wie Statistiken zu Limitüberschreitungen oder Kompetenzüberschreitun­ gen und dergleichen aussagekräftiger. Unterlagen der Rechtsabteilung geben Hinweise auf geleistete Strafzahlungen, Prozesskosten aufgrund von Verstößen gegen gesetzliche Vorschriften jeglicher Art, sowie an Kunden geleistete Kulanz­ zahlungen. Die hier vorgestellten Datenquellen sind exemplarisch zu verstehen und dienen eher illustrativen Zwecken. Im Rahmen der Analyse von Operational Risk im Zeitablauf und mit zunehmender Erfahrung auf interner und Branchenebene wer­ den die im Kreditinstitut ausgewerteten Datenquellen fortlaufend um neue er­ gänzt, und auch der Analysefokus wendet sich je nach Erkenntnisstand im Zeit­ ablauf unterschiedlichen Datenquellen verstärkt zu. Bei der Sammlung von insbe­ sondere historischen Schadensdaten, die monetär nicht beziffert sind tritt das Problem der Bewertung dieser Schäden auf. Systemausfallzeiten können bspw. in der Regel nicht exakt monetär bewertet, sondern das jeweilige Schadensausmaß muss kalkulatorisch abgeschätzt werden. Mögliche Verfahren sind Experten­ schätzungen oder die Übernahme von öffentlich bekannten, vergleichbaren Schätzungen der Konkurrenz, Aufsichtsbehörden oder Untemehmensberatungsgesellschaften. Ein weiterer Problembereich bei der Auswertung interner Daten­ 165 Zu den Begriffen vgl. Hartmann-Wendels et al. (2000), S. 649f.

67

quellen besteht in der Gefahr von Doppelerfassungen, da mehrere Datenquellen Auskunft über ein und denselben Schadensfall beinhalten können.

Bei der Datenerhebung für die laufende Analyse von Operational Risk werden neben den primär monetär quantifizierten Daten, analog zur Analyse der histori­ schen Daten, verstärkt Daten erhoben, die potenzielles Operational Risk darstel­ len und sich noch nicht direkt oder indirekt als Schaden äußerten. Die in Frage kommenden Datenquellen unterscheiden sich prinzipiell nicht von den Daten­ quellen bei der Ermittlung der Schadenshistorie.

4.3.2

Anforderungen an die Datenbasis

Die im Bereich der Risikoanalyse verwendeten Verfahren und Modelle stellen, wie erläutert, je nach Art und Entwicklungsstand, verschiedene Anforderungen an die Datenbasis und die Instrumente des Datenerhebungsprozesses. Ein entschei­ dender Faktor ist in diesem Zusammenhang die Qualität der zu analysierenden Daten.166 Als wichtige Kriterien für die Qualität der Datenbasis gelten insbeson­ dere folgende, im Rahmen der Datenerhebung sicherzustellende Eigenschaften der Daten:167

•

Vollständigkeit, d. h. prinzipiell sind sämtliche Schäden zu erfassen, jedoch wird aus Wirtschaftlichkeitsgesichtspunkten und Praktikabilitätsüberlegun­ gen eine institutsindividuelle Erfassungsschwelle168 festgelegt. Schadenser­ eignisse werden erst bei Überschreiten dieser vorgegebenen Verlusthöhe er­ fasst und in die Risikoanalyse einbezogen.

•

Unverzerrtheit, d. h. sowohl kleine als auch große Verluste, die über der Erfassungsschwelle liegen, werden konsequent erfasst, auch wenn es sich um politisch gesehen höchst sensitive Schadensereignisdaten handelt. Nur unter dieser Voraussetzung kann die Risikosituation annähernd richtig eingeschätzt werden.

166 Dabei gilt der Grundsatz, dass die Ergebnisse der Risikomodellierung, d. h. der Modelloutput direkt von der Qualität der Inputdaten abhängt. Mit einer unzureichenden Datenbasis können demzufolge nur bedenkliche Modellergebnisse generiert werden. 167 Hierbei handelt es sich um eine Übertragung allgemeiner Qualitätskriterien auf die vorliegende Thematik. Zu den allgemeinen Qualitätsanforderungen vgl. bspw. Hansen (1998), S. 942. 168 Die in der Praxis definierten Erfassungsschwellen werden im Zuge des nachfolgenden Abschnitts 4.3.3 behandelt.

68

•

Zuordenbarkeit, d. h. der verursachende Geschäftsbereich und die Risikoka­ tegorie müssen eindeutig bestimmt werden. Neben der ursachenbezogenen Kategorisierung müssen darüber hinaus auch die betroffenen Schadensberei­ che definiert sein,169 d. h. sowohl der betroffene Geschäftsbereich wie auch die Risikokategorie, in denen sich der Schaden letztlich entfaltet.

•

Genauigkeit bzw. Klarheit: die von den Operational Risk-Verantwortlichen definierten Informationsanforderungen müssen eingehalten werden, d. h. die Beschreibung eines Schadensfalles muss bei dessen Meldung in Überein­ stimmung mit diesen Anforderungen vorgenommen werden, um die exakte Zuordenbarkeit zu gewährleisten. Dies kann als Grundvoraussetzung für eine standardisierte Datenerhebung gesehen werden. Dadurch wird auch die Auf­ deckung möglicher Fehler im Meldewesen für Schadensereignisse unter­ stützt.

•

Ausreichende Historie170, d. h. bei Beginn der Datensammlung sollte die Datenerhebung soweit wie möglich in die Vergangenheit reichen; später können dann relevante Zeiträume definiert werden. Die Validität der statisti­ schen Aussagen steigt dabei mit zunehmender Datenbasis. Diese Annahme ist jedoch nicht unproblematisch.171

•

Redundanzfreiheit, d. h. eine Mehrfachspeicherung von Daten sollte vermie­ den werden und, wenn doch erforderlich, zumindest zweckmäßig erfolgen. Auf Aktualisierungen ist bei redundant gehaltenen Datenbeständen höchste Aufmerksamkeit zu verwenden.

•

Konsistenz, d. h. für redundante Daten müssen einheitliche Werte existieren. Dateninkonsistenz ist eine mögliche Form der Datenredundanz. Durch die Übermittlung der Datenpunkte aus der Schadensereigniskomponente in die verschiedenen Modellierungskomponenten der Schadensdatenbank ist eine gewisse temporäre Doppelspeicherung der Daten allerdings notwendig.

•

Kontextbezogenheit: bei der Schadensereignisbeschreibung sind die spezifi­ schen Begleitumstände zu berücksichtigen. Idealerweise werden dadurch tie-

169 Vgl. Industry Technical Working Group on Operational Risk (2000), S. 10. 170 Vgl. Beeck/ Kaiser (2000), S. 648. 171 Im Bereich der Risikoanalyse muss ständig die Kontextbezogenheit des Operational Risk beachtet werden. In diesem Zusammenhang ist grundsätzlich zu kritisieren, dass die in den Modellen un­ terstellte Annahme, die Vergangenheit sei ein stets guter Prädiktor ftlr die Zukunft, der evolutorischen Realität nicht gerecht wird. Selbst die aus dem Risikomanagementprozess abgeleiteten Ri­ sikosteuerungsmaßnahmen verändern die aktuelle Risikosituation.

69

fere Erkenntnisse hinsichtlich der Verfeinerung der für das Meldewesen vor­ gegebenen Mindestinformationen ermöglicht.

•

Vermeidung der Granularität von Datenaufzeichnungen bedeutet im Kontext von Operational Risk, dass die Kategorisierung nicht zu grob erfolgen sollte, sondern dass eine möglichst weite Auffächerung der Risikokategorien vor­ genommen wird und notwendige kontextbezogene Informationen auch tat­ sächlich berücksichtigt werden können. Dadurch wird eine feinere Risikoab­ stufung und eine Anpassung an eventuelle spätere Branchenstandards oder regulatorische Vorgaben möglich.172

Eine Möglichkeit, die Datenqualität sicherzustellen, ist die Orientierung des Be­ messungsprozesses an verschiedenen Leitprinzipien. Dadurch wird sichergestellt, dass die Datenaufhahme, Interpretation und Aufbereitung gesamtbankweit ein­ heitlich erfolgt. Die Entwicklung und Kommunikation solcher Leitprinzipien ist die Aufgabe des zentralen Operational Risk-Komitees. Als Leitlinien werden folgende Aspekte diskutiert: Objektivität, Konsistenz, Relevanz, Transparenz, Vollständigkeit und die gesamtbankweite Messung von Operational Risk.173 Ob­ jektivität beinhaltet die Sammlung und Kategorisierung der Operational Risk Daten174 nach objektiven homogenen Kriterien. Die Konsistenz der Bemessung erfordert, dass gleiche Risikoprofile in unterschiedlichen Geschäftsbereichen im Rahmen des Risikoreporting einheitlich behandelt werden. Relevanz bedeutet in diesem Zusammenhang das Reporting in der Weise vorzunehmen, die eine un­ komplizierte Ableitung von Steuerungsmaßnahmen erlaubt. Aufgrund der sich ständig verändernden Rahmenbedingungen ist die Art der erhobenen Daten fort­ laufend einem Überprüfungsprozess zu unterziehen. Transparenz bezeichnet ein Managementreporting, das die Risikosituation auf Geschäftsbereichsebene und gesamtbankweit für das Management durchschaubar macht. Dies gilt sowohl für das Management-Reporting wie auch für die Berichterstattung an die Operational Risk-Verantwortlichen. Das Prinzip der Vollständigkeit bezieht sich auf die Iden­ tifikation und Berücksichtigung aller wesentlichen Schadensereignisinformatio­ nen aus Operational Risk. Um eine Aggregation des Operational Risk zu ermögli­ chen, muss der Methodeneinsatz möglichst einheitlich erfolgen. 172 Vgl. Jameson (2000), o. S. 173 VgLCrouhyetal. (1998),S.51. 174 Bei der Ermittlung der Schadenshistorie erfolgt eine Erhebung und Kategorisierung von Scha­ densdaten. Für die Quantifizierung von Operational Risk und dessen Steuerung genügt allerdings eine reine Schadensfallfokussierung nicht, d. h. der Informationsbedarf übersteigt reine Scha­ densinformationen.

70

Um Anreizprobleme bei der Meldung von Schadensdaten zu vermindern, ist ein nachhaltiges Engagement von Seiten der obersten Managementebene unabding­ bar. Das oberste Management hat für die Festlegung von Verantwortlichkeiten und für die Ausstattung der Operational Risk-Einheiten zu sorgen, gemeinsam mit den zuständigen Einheiten die Verfahren und Regeln des Meldewesens abzu­ stimmen und die Einrichtung entsprechender Revisionsabläufe vorzunehmen.175 Ergebnis dieses Abstimmungsprozesses sind klar definierte Richtlinien für das Operational Risk-Management.176

4.3.3

Interne Evaluierung von laufenden Schadensereignis­ daten

Im Anschluss an die Implementierung einer Schadensdatenbank, parallel zu der Erhebung und Einpflegung historischer Schadensdaten, wird vom zentralen Operational-Risk-Komitee das Meldewesen für laufende Schadensereignisse aus Operational Risk initiiert. Dabei werden Art, Umfang, Frequenz und Kommuni­ kationsweg für die Datenerhebung und Datenweiterleitung determiniert und mit Unterstützung der Geschäftsleitungsebene an die Bereichs- und Prozessverant­ wortlichen im Sinne verbindlicher Vorgaben bzw. Richtlinien kommuniziert. Darüber hinaus werden entsprechende Kompetenzen und Verantwortlichkeiten für die Datenerhebung festgelegt. Die Art und Weise der Kompetenzzuordnung wird in der Regel individuell, den situativen Gegebenheiten entsprechend, erfol­ gen. Denkbar sind neben der Richtlinienvorgabe relativ starre Anpassungen der aufbau- und ablauforganisatorischen Instrumente wie bspw. die Modifizierung von Stellenbeschreibungen oder Organisationshandbüchem und Prozessablaufbe­ schreibungen. Im Gegensatz hierzu können ebenfalls flexible dispositive Einzel­ anweisungen auf Abteilungsleiter- oder Gruppenebene in die Überlegungen ein­ bezogen werden, um eine unaufwendige Anpassung bei Veränderungen der fest­ gelegten Standards und/ oder bei der Umsetzung von neuen Erkenntnissen im Zeitablauf zu ermöglichen.

175 Vgl. Mori et al. (2000), S. 7. 176 Aufgrund der Aktualität des Problembereiches und der diesbezüglich noch relativ jungen Ergeb­ nisse in der Bankenpraxis ist die Überarbeitungsfrequenz dieser Richtlinien sehr hoch.

71

Die Verantwortlichen in den operativen Einheiten müssen zu diesem Zweck in speziellen internen Schulungsmaßnahmen mit der Problematik, der Art und Wei­ se der Datenerfassung und Meldung, sowie den hier zum Einsatz kommenden Durchführungsformen vertraut gemacht werden. In diesem Bereich stellt sich allerdings die Problematik, dass vom Operational Risk-Komitee im Rahmen der Risikodefinition und Kategorisierung die Besonderheiten der einzelnen Ge­ schäftsbereiche beachtet werden müssen. Kein Geschäftsbereich ist den einzelnen Kategorien hinsichtlich Art und Umfang auf gleiche Weise ausgesetzt. Die Ge­ fahr bei der Entwicklung von Erhebungsmethoden besteht darin, dass viele Ge­ schäftsbereiche, bzw. die Verfahrensweisen in einzelnen Organisationseinheiten, bei oberflächlicher Betrachtung gleich oder zumindest ähnlich erscheinen.177 Der vom Operational Risk-Management zentral benötigte Informationsumfang kann daher nicht in einem ersten Schritt zentral mit einer gesamtbankweiten Gültigkeit festgelegt und vorgegeben werden. Die Herausforderung für die Operational Risk-Verantwortlichen liegt in der Etablierung eines Meldewesens für Schadens­ ereignisse aus Operational Risk, das in Anbetracht der Diversifiziertheit der Ge­ schäftsfelder178 und der jeweiligen Besonderheiten der organisatorischen Bereiche einerseits für die operativen Einheiten anwendbar ist und andererseits den nötigen Standardisierungsgrad aufweist, um die Qualität der erhobenen Daten gewähr­ leisten zu können.179

4.3.3.1

Formen interner Schadensereignisdaten

Im Rahmen des Operational Risk-Managements können je nach Untersuchungs­ bereich und gewählten Analyse- und Modellierungsverfahren unterschiedliche zu evaluierende Informationen notwendig sein. Die benötigten Daten bzw. Informa­ tionen sind deshalb für jeden Untersuchungsbereich exakt zu spezifizieren. In diesem Zusammenhang müssen Fragen hinsichtlich der Art der benötigten Daten, der Datenform und der benötigten Zusatzinformationen beantwortet und geeig­ nete Standards etabliert werden.

177 Vgl. Donahoe (1998), S. 103. 178 Bei Fidelity Investments sind bspw. vierzig Geschäftseinheiten zu betrachten und deren Beson­ derheiten zu erfassen, vgl. Lam/ Cameron (1998), S. 92. 179 Vgl. Lam/ Cameron (1998), S. 84.

72

Abbildung 8: Formen interner Schadensereignisse180

Eine grundsätzliche Entscheidung stellt sich bei der Frage, ob lediglich Scha­ densereignisse erfasst werden, die sich, historisch gesehen, in konkreten finan­ ziellen Verlusten niedergeschlagen haben (sog. „financial loss“), oder auch von solchen Schadensereignissen, denen lediglich ein Verlustpotenzial inhärent war (sog. „potential loss“181). Als Beispiel eines potential loss können rechtzeitig entdeckte Eingabefehler im Bereich der Wertpapierorderabwicklung genannt werden oder das Greifen eines internen Kontrollsystems, bevor ein potenzielles Verlustereignis, bspw. in Form eines Unterschlagungstatbestands, sich in einem finanziellen Verlust niederschlagen konnte. Voraussetzung ist allerdings, dass solche Ereignisse dokumentiert wurden. Bei aufgedeckten kriminellen Handlun­ gen durch Mitarbeiter wird dies eher der Fall sein als bei relativ häufig vorkom­ menden Fehlern aufgrund von Unkonzentriertheit und Stress. Nach dem hier vorgeschlagenen Konzept werden sämtliche Schadensereignisdaten berücksich­ tigt. Es kann auch argumentiert werden, dass sich letztlich jedes Schadensereignis in einem finanziellen Verlust niederschlägt, wenn man einen finanziellen Verlust über Kostenbegriffe definiert und Opportunitätskosten einbezieht. Durch das Operational Risk werden insbesondere zusätzliche Kosten verursacht die sich in Form von Ertragseinbußen in der Gewinn- und Verlustrechnung niederschlagen. Beispielsweise werden personelle Kapazitäten gebunden um entdeckte Fehler zu korrigieren, bevor sich diese in einem konkreten finanziellen Verlust in Form von Schadensersatzleistungen niederschlagen. Bei der Etablierung einer Schadensdatenbank werden zunächst ausgehend von finanziellen Verlustdaten, mit zunehmender Erfahrung bei der Analyse von Ope180 Quelle: eigene Darstellung. 181 Levine/ Hoffmann verwenden den Begriff „Incident“, vgl. dies. (2000), S. 27.

73

rational Risk, kontinuierlich die berücksichtigten Datenarten erweitert.182 Bei der Berücksichtigung sämtlicher Ereignisdaten wird wie bereits angesprochen auch die Frage evident, ob neben direkten und potenziellen Verlusten (sog. „Primäref­ fekte“) auch indirekte Verluste (sog. „Sekundäreffekte“) zu berücksichtigen sind. Ein Beispiel für Sekundäreffekte ist die Kundenabwanderung, die durch einen Reputationsschaden aufgrund von Qualitätsmängeln in Geschäftsprozessen verur­ sacht wurde. Sekundäreffekte bergen die Problematik einer äußerst schweren objektiven Quantifizierbarkeit, da häufig die Höhe der Auswirkungen und deren zeitlicher Verlauf nur subjektiv geschätzt werden können.183 Den obigen Ausfüh­ rungen zufolge sind Sekundäreffekte in Form indirekter Verluste sowohl bei Schadensereignissen mit direktem finanziellen Verlust zu berücksichtigen, wie auch bei der Quantifizierung von Schadensereignissen die lediglich ein poten­ zielles Verlustrisiko beinhalten. Die in Frage kommenden Kosten in Bezug auf ein einzelnes Schadensereignis können in vielen Bereichen entstehen. Es bietet sich daher an, vereinfacht das Gliederungsschema der Gewinn- und Verlustrech­ nung um weitere Kostenarten zu ergänzen und Opportunitätskosten einzubezie­ hen. Die Bewertung der entgangenen Erträge, zusätzlichen Aufwendungen und Vermögenswertänderungen sollten dabei in Geldeinheiten erfasst werden. Ab­ hängig von der Schadensart und dem betroffenen Geschäftsfeld sind detaillierte Informationen des internen Rechnungswesens notwendig. Das Spektrum reicht von der Ermittlung der Marktwerte bei Schäden an Vermögensgegenständen bis zur Ermittlung des Wertes eines Kunden (z.B. in Form der durchschnittlich er­ zielten Gewinne aus dieser Kundenverbindung184) für die Bank um dessen Ab­ wanderung aufgrund eines ihn betreffenden Schadens bewerten zu können. Um die in der Schadensdatenbank zu erfassenden Daten beschreiben zu können, werden die hiermit zusammenhängenden Begriffe vorab voneinander abgegrenzt. Ein Schadensereignis185 beinhaltet nach der hier vertretenen Auffassung eine auslösende Ursache in Form der definierten (Sub-)Kategorien von Operational Risk und entfaltet eine Wirkung. Die Wirkung kann sich sowohl in direkten und potenziellen Verlusten als auch in indirekten Wirkungen zeigen. Indirekte Wir­ 182 Dies wird durch den sich vertiefenden Einblick und die Komplexitätsreduktion begründet, vgl. Sparrow (2000), S. 20. 183 Vielversprechende Ansätze zum Umgang mit dieser Problematik sind derzeit kaum vorhanden, vgl. Beeck/ Kaiser (2000), S. 639. 184 Auf eine vertiefende Behandlung dieser Problematik kann im Rahmen der vorliegenden Arbeit nicht eingegangen werden. Von Bedeutung ist die möglichst exakte Bewertung der Kundenver­ bindung. 185 Der in der angelsächsischen Literatur verwendete Begriff „loss event“ wird hier mit „Schadenser­ eignis“ übersetzt.

74

kungen können finanzielle Verluste zur Folge haben oder andere Risikoursachen auslösen. Zu Analysezwecken ist deshalb ein Schadensereignis von der auslösen­ den Ursache über direkte und indirekte Kausalbeziehungen bis hin zur Schadens­ wirkung zu untersuchen. Die auslösende Ursache eines Schadensereignisses wird hier als Risikofaktor bezeichnet.186 Mangels einer einheitlichen Begriffsauffas­ sung in der Literatur187 werden die Begriffe Risikofaktor und Risikotreiber syn­ onym verstanden. Auslösende Ursache kann dabei ein einzelner Risikofaktor sein oder mehrere Risikofaktoren gleichzeitig. Bei der Betrachtung der Kausalkette eines Schadensereignisses tritt eine auslösende Risikoursache auf, die auf nächst­ höherem Niveau eine Wirkung entfaltet. Sie ist auf dieser Ebene wiederum eine Risikoursache, die von verschiedenen Risikofaktoren derselben Stufe beeinflusst werden kann. Risikofaktoren bzw. Risikotreiber erhöhen die Wahrscheinlichkeit des Auftretens von Schadensereignissen und beeinflussen ebenfalls die Scha­ denshöhe.188 Sie können teilweise in Form von Risikoindikatoren ausgedrückt und bspw. bei der Risikofrüherkennung beobachtet werden. Indikatoren stellen dabei Kennzahlen dar, die stellvertretend ein quantitativer Ausdruck der Risiko­ faktoren sind.

Die begriffliche Abgrenzung sei anhand des folgenden vereinfachten Beispiels aus der Hauptkategorie „Personelle Risiken“ verdeutlicht: Im Rahmen einer Stichprobenprüfung durch die interne Revision im Bereich des Wertpapierhandels wird bei der Untersuchung eines Verlustfalles ein Eingabefehler als Risikoursa­ che identifiziert. Dieses Schadensereignis sei exakt bezifferbar. Nach Rückspra­ che mit bspw. dem Bereichsverantwortlichen ist der Eingabefehler stressbedingt auf eine arbeitsmäßige Überlastung (= Risikofaktor) zurückzufuhren.189 Ein möglicher Risikoindikator könnte durch den erkennbaren Anstieg des Auslas­ 186 Diese Aussage gilt allerdings nur im hier vorliegenden Kontext. Wird dagegen „das“ Operational Risk betrachtet und die hier vorgenommene ursachenbezogene Kategorisierung vernachlässigt, können sämtliche Komponenten des Operational Risk, die hier als Risikoursachen bezeichnet werden, als Risikofaktoren für „das“ Operational Risk angesehen werden. Ein Beispiel ist der Ri­ sikofaktor „Personal“. Diese Systematisierung wird in der Fachliteratur häufig gewählt, vgl. bspw. Keck/Jovic (1999), S. 965, Abb. 1. 187 Dies gilt insbesondere für den Bereich von Operational Risk. Marktrisiken resultieren letztlich aus Marktpreisvolatilitäten, die als Risikofaktoren bezeichnet werden, vgl. Marshall (2001), S. 52. 188 Vgl. Geiger (1999), S. 717 und Industry Technical Working Group on Operational Risk (2000), S. 18. 189 Alternativ kann argumentiert werden, dass ein gestiegenes Transaktionsvolumen die auslösende Risikoursache ist. Hier stellt sich die Frage, in welchem Umfang Kausalanalysen betrieben wer­ den sollten. Nach Ansicht des Verfassers ist die auslösende Risikoursache auf derjenigen Ebene anzusiedeln, in der erste Risikosteuerungsmaßnahmen aufgesetzt werden können, im Beispiel also bei der Überlastung.

75

tungsgrades Anzahl der Mitarbeiter im Verhältnis zu der Anzahl der Transaktio­ nen in Bezug auf die Zeitperiode zwischen neun und zwölf Uhr ausgedrückt wer­ den.

4.3.3.2

Standardinformationsumfang für das Meldewesen

Für die Erfassung der Schadensereignisse in der Schadensereigniskomponente ist bei der Implementierung des hierfür erforderlichen Meldewesens der Informati­ onsumfang detailliert festzulegen. Als Erfassungsmöglichkeiten kommen dabei prinzipiell eine auf standardisierten Formularen basierende oder eine sofortige elektronische Erfassung über das Intranet oder das Internet als Lösungen in Frage. Die zur Erfassung von Schadensereignissen notwendigen Informationen können dabei folgenden Umfang aufweisen: •

Automatisierte Vergabe einer alphanumerischen Kodierung für jedes Scha­ densereignis, um einen schnellen Zugriff auf Schadensereignisinformationen zu ermöglichen.

•

Exakte Datierung des Schadensfalles. Diese sollte sich, sofern möglich, am Auftreten der Risikoursache orientieren, oder wenigstens an der Entdeckung der Schadenswirkung.

•

Benennung der identifizierten Risikoursache und beeinflussender Risikofak­ toren.

•

Eingrenzung des verursachenden Untemehmensbereichs und Angabe des Bereichsverantwortlichen um eventuelle Rückfragen zu erleichtern.

•

Angabe des betroffenen Prozessschritts, Untemehmensbereichs und/ oder der Produktgruppe. Dies erleichtert nachfolgende Kausalanalysen.

•

Aufführung des Umstands der Entdeckung bzw. Schadensvermeidung bei Entdeckung vor dem Eintreten eines finanziellen Verlustes oder Reputations­ schadens. Interessant ist dabei, ob das Schadensereignis eher zufällig oder durch Kontrollsysteme entdeckt wurde.

•

Benennung der auf höherer Ebene negativ beeinflussten Risikokategorien, Untemehmensbereiche und Prozessschritte und die zeitliche Wirkungsent-

76

faltung des Schadensereignisses. Dies dient ebenfalls der Erleichterung von Kausalanalysen. •

Erwähnung der ermittelten Abhängigkeitswahrscheinlichkeiten aus der Kor­ relationsmatrix innerhalb der statistischen Komponente der Schadensdaten­ bank, sofern diese nicht zentral durchgeführt werden.

•

Aufstellung der Kosten für eingeleitete Schadensbeseitigungsmaßnahmen.

•

Benennung der Höhe von schadensvermeidenden Aufwendungen. Sind diese nicht exakt bezifferbar, sollten Expertenschätzungen zu Grunde gelegt wer­ den.

•

Weitergehende Beschreibungen und Kommentare des Meldenden, die eine Kategorisierung erleichtern bzw. nachvollziehbar machen. Denkbar ist auch ein Hinweis auf die Veränderung von Risikoindikatoren vor dem Auftreten des Schadensereignisses.

•

Angabe des Namens des Meldenden.

Den Untemehmensbereichen und Organisationseinheiten werden je nach der zur Anwendung kommenden Erhebungsform im Rahmen des Meldewesens für Scha­ densereignisse unterschiedlich ausgestaltete Beschreibungsmöglichkeiten vorge­ geben. Werden Schadensereignisdaten in manueller Form zentral gesammelt und erfasst, müssen geeignete Reportingformulare entworfen werden. Pflichtangaben umfassen hier zumindest den Untemehmensbereich, in dem der Schaden auftritt, eine Beschreibung des Schadensereignisses, welche die oben genannten Informa­ tionen enthält und eine ursachenbezogene Kategorisierung ermöglicht. Bei An­ wendung von sog. Online-Entries können den Meldenden mit Hilfe von Scrolldown-Menüs die benötigten Informationen durch Beispielvorgaben mit kurzen Erläuterungen zur Verfügung gestellt werden.190 Um den Grad der Datenqualität zu erhöhen, erscheint bei beiden Verfahren die parallele Einrichtung einer ent­ sprechenden Kontrollfunktion zur Überprüfung der Datenqualität als notwendig. Bei der laufenden Schadensereignisevaluierung werden, zusätzlich zu den bei der Evaluierung von historischen Schadensdaten möglichen Datenquellen, verstärkt die Erkenntnisse aus Prozessanalysen, Self-Assessments und weitere synthetische Datenpunkte berücksichtigt, um eine erweiterte Datenbasis zu schaffen und aus­ sagekräftigere Risikoprofile abzubilden. 190 Die illustrative Darstellung eines solchen Online-Entries befindet sich in im Anhang 6.

77

Grundsätzlich ist dabei die Frage der Mindestschadenshöhe zu beantworten. In Absprache mit dem obersten Management hat das Operational-Risk-Komitee sowohl für die Erfassung von historischen Schadensdaten als auch für die Mel­ dung von aktuellen Schadensereignissen eine Mindestschadenshöhe bzw. einen Schwellenwert für die Meldung des Schadens und dessen Einpflegung in die Schadensdatenereigniskomponente der Schadensdatenbank festzulegen. Dies begründet sich durch die hohen Kosten der Schadensereignisuntersuchung, die in einigen Fällen die direkten finanziellen Verluste eines Schadensereignisses über­ steigen können, wenn der Schwellenwert zu niedrig angesetzt wurde. Bei der Höhe des Schwellenwertes muss entschieden werden, ob für jede Hauptrisikoka­ tegorie ein eigener Schwellenwert zu definieren ist. Die Schadensereignisse wer­ den in derzeitigen Expertendiskussionen in zwei Kategorien unterteilt: Häufig auftretende Ereignisse mit geringem Schadens- bzw. Verlustpotenzial werden von selten auftretenden Ereignissen mit sehr hohem Schadens- bzw. Verlustpotenzial abgegrenzt.191 Erstere werden von einigen Kreditinstituten als übliche Begleiter­ scheinungen von Betriebswirtschaften angesehen.192 Unter Wirtschaftlichkeitsge ­ sichtspunkten verbietet es sich demnach, bspw. jeden noch so geringen Diebstahl von Bürobedarf zu untersuchen und zu erfassen. Es besteht demzufolge ein allgemeiner Trade-off zwischen der Exaktheit der Risikoanalyse und den Kosten des Vorgehens. Bei der Ermittlung von Schwel­ lenwerten könnte mit Hilfe von Expertenurteilen die Häufigkeit des Auftretens und der kumulierten Schadenshöhe abgeschätzt und bspw. anhand der bestands­ gefährdenden Wirkung beurteilt werden. Im Rahmen geführter Experteninter­ views wurden verschiedene, vom jeweiligen Modellierungszweck abhängige, Schwellenwerte ermittelt. Diese werden in der Praxis auch abhängig vom jeweili­ gen Geschäftsbereich definiert. Für interne Risikomodellierungszwecke wurden Schwellenwerte zwischen 1.000 € und 2.500 € angegeben, für regulatorische Zwecke 10.000 €. Aussagen über bereichsspezifische Schwellenwerte wurden allerdings nicht getroffen. Die ermittelten Schwellenwerte bieten dadurch nur grobe Anhaltspunkte.

191 Vgl. die Ausführungen von Marshall (2001), S. 45f. 192 Vgl. Basel Committee on Banking Supervision (1998), S. 4.

78

4.3.3.3

Szenarioanalysen als Instrument zur Generierung einer erweiter­ ten Datenbasis

Neben der Erfassung von konkreten Schadensereignisdaten können zusätzlich synthetische Datenpunkte aus Expertenschätzungen bzw. Szenarioanalysen ver­ wendet werden.193 Die Zielsetzung von Szenarioanalysen im Bereich von Opera­ tional Risk besteht in erster Linie darin, das potenzielle Schadensausmaß eines im entsprechenden Szenario194 betrachteten Schadensereignisses zu determinieren.

Denkbar sind jedoch auch subjektive Expertenschätzungen für die Wahrschein­ lichkeit des Auftretens bestimmter Schadensereignisse. Szenarioanalysen eignen sich insbesondere zu Generierung von Daten bei einmalig auftretenden Ereignis­ sen, für die in der Regel keine Vergangenheitsdaten verfügbar sind. Beispiele in diesem Zusammenhang sind die Jahr-2000-Problematik bei der Umstellung der bankbetrieblichen Computersysteme, Neuprodukteinführungen etc. oder die Be­ urteilung von Bereinigungen der Wertschöpfungskette durch Ausgliederung von Organisationseinheiten oder Geschäftsbereichen.

Ilir Einsatzbereich ist idealer Weise die Modellierung von selten auftretenden Schadensereignissen mit hohem Schadenspotenzial, die üblicherweise den Rand von Schadensverteilungen determinieren (sog. „tail event risk“). Es können dem­ nach sämtliche Fälle betrachtet werden, für die keine interne Erfahrung in Bezug auf die Risikohaftigkeit besteht und deshalb keine Dokumentationen verftlgbar sind. In solchen Fällen müssen die verfügbaren Daten durch synthetische Daten­ punkte komplettiert werden. Szenarioanalysen können dabei in Zusammenarbeit mit den Geschäftseinheiten von zentraler Stelle entwickelt werden oder auf Prozessrisikoanalysen bzw. auf Self-Assessments basieren.195 Sie fokussieren die potenziellen Effekte von denk­ baren Schadensereignissen und repräsentieren die mögliche Vielfalt von Scha­ densereignissituationen. In diesem Zusammenhang ist es möglich, externe Ein­ flüsse auf deren Risikowirkung zu untersuchen. Denkbar sind die Risikoeffekte 193 Vgl. Beeck/ Kaiser (2000), S. 649. 194 Allgemein versteht man unter einem Szenario die Beschreibung der zukünftigen Entwicklung eines Projektionsgegenstandes bei alternativen Rahmenbedingungen, vgl. Bea/ Haas (1997), S. 264. 193 Vgl. Ceske/ Hernandez (1999), S. 18.

79

von makroökonomischen Entwicklungen oder Veränderungen des Wettbewerbs­ umfeldes.

Abbildung 9: Arten von Szenarioanalysen196

Der Vorteil von Szenarioanalysen besteht darin, neben quantitativen auch quali­ tative Dimensionen von möglichen Schadensereignisses zu erfassen.197 Sie bieten auch den Vorteil, verschiedene Überzeugungen, Einstellungen, Ansichten, Erfah­ rung und Wissen von Schlüsselpersonal zu berücksichtigen. Die Ergebnisse von Szenarioanalysen können in illustrativen Matrizen und Grafiken dargestellt wer­ den und bilden bei Bedarf eine eigenständige Komponente des Managementre­ portings. Die Darstellung erfolgt üblicherweise in Form von Schadensdiagram­ men, die Wahrscheinlichkeit und Ausmaß möglicher Schadensszenarien und deren Kombination veranschaulichen. Des Weiteren ist die Ableitung einer sub­ jektiven Verlustverteilung möglich. Ein weiterer Vorteil besteht darin, dass be­ 196 Quelle: eigene Darstellung anhand der Ausführungen von Ceske/ Hernandez (1999), S. 18f. 197 Vgl. Hoffmann (1998), S. 35.

80

stimmte, vom Management ins Auge gefasste Details hervorgehoben werden können.

Als Instrument der Szenarioanalysen kommen, insbesondere im Bereich von Operational Risk, Expertenbefragungen in Form der Delphi-Methode zum Ein­ satz.198 Durch die Kombination von synthetischen Datenpunkten mit empirischen Daten kann die Robustheit der Datenbasis gegenüber einer isolierten Betrachtung dieser Datenquellen verbessert werden. Der entscheidende Nachteil von Szena­ rioanalysen besteht aber letztlich in ihrer starken Subjektivität. Der ausschließli­ che Einsatz von Szenarioanalysen bei der Modellierung von Operational Risk generiert aufgrund der relativ ungenauen Bemessung möglicherweise irreführen­ de Steuerungsimpulse. Das gilt insbesondere für die längerfristig orientierte stra­ tegische Planung.

4.3.3.4

Einsatzmöglichkeiten marktgängiger Softwareprodukte

Im Rahmen der Etablierung von Ansätzen zum Management von Operational Risk und der damit verbundenen Modellierung der Risiken und der Evaluierung von entsprechenden Risikodaten bestehen grundsätzlich die Alternativen des Aufbaus eigener Ressourcen oder des Einsatzes marktgängiger Softwareprodukte. Diese Entscheidungsaltemativen können nur vor dem situativen Hintergrund des jeweiligen Kreditinstitutes bewertet werden. Entscheidungskriterien sind hierbei vor allem Effektivitäts- und Effizienzüberlegungen, Branchenstandards, regulato­ rische Erfordernisse und Kompatabilitätsüberlegungen spielen hierbei eine große Rolle. Als weitere Beurteilungskriterien zur Einschätzung von externen Soft­ wareprodukten können genannt werden:199 •

Stand-alone-Systeme vs. integrierte Systeme Der Vorteil von Stand-alone-Instrumenten besteht in der schnellen und leichten Installierbarkeit. Sie haben aber Nachteile in Form von Schnittstel­ lenproblemen und hohen Wartungskosten. Integrierte Systeme bieten die Vorteile hoher Kompatibilität, sowie des schnellen und automatischen Zugriffes auf die Daten der Zuliefersysteme. Nachteilig sind die hohen In­ stallationskosten und die Gefahr von Serverüberlastungen bzw. Systemab­ stürzen.

198 Vgl. Marshall (2001), S. 213. 199 Vgl. Pagett et al. (2000b), S. 44.

81

•

Auf Windows basierend vs. auf Intemettechnologien basierend („web­ based“) Auf Windows basierende Systeme erlauben die leichte und einheitliche Ges­ taltung von grafischen Benutzeroberflächen. Sie sind allerdings in verteilten PC-Umgebungen nur mit höherem Aufwand zu aktualisieren und bedürfen einer ständigen Wartung und häufigen Aktualisierungen. Systeme auf Basis des Internets eliminieren den Installationsaufwand, die Wartung und auto­ matisieren notwendige Aktualisierungen. Der Benutzer verwendet immer die aktuellen Systemversionen. Nachteilig ist die Voraussetzung einer angemes­ senen Web-Browser-Technologie. Aus Gründen der Datensicherheit und der Abschottung der internen Systeme vor unerlaubten externen Zugriffen, bei räumlich verteilten PC-Umgebungen, müssen deshalb geeignete Schutzmaß­ nahmen getroffen werden (z. B. in Form sog. „Firewalls“).

Ein entscheidendes Beurteilungskriterium ist die Definition von Operational Risk, die dem jeweiligen Produktdesign zu Grunde liegt. Hier können starke Diskre­ panzen auftreten, die bei der Entscheidung für ein System mitberücksichtigt und vorab mit der eigenen internen Definition abgestimmt werden müssen. Fällt die Entscheidung auf den Einsatz externer Lösungen und deren Implementierung, müssen sich die Entscheidungsträger einen Marktüberblick über erhältliche Soft­ wareprodukte verschaffen und diese den internen Bedürfnissen entsprechend bewerten. Dieses Anliegen kann unter Umständen einem zeitintensiven Puzzle­ spiel gleichkommen.200 Derzeit sind verschiedene Softwarelösungen erhältlich, die von ihrem Schwerpunkt her gesehen für unterschiedliche Einsatzmöglichkei­ ten konzipiert sind. Der nachfolgende Überblick fokussiert Instrumente im Zu­ sammenhang mit dem Bottom-up-Ansatz.201 Die aufgeführten Produkte stellen zudem lediglich eine exemplarische Auswahl dar.

(a) AlgoWatchDog Die WatchDog-Software der Firma Algorithmics Inc. ist als Rahmenwerk zur Überwachung und Modellierung von Operational Risk und Prozesseffizienzen konzipiert. Es wird als umfassendes Operational-Risk-System vermarktet.202 Das 200 Vgl. Jameson/ Walsh (2000), o. S. 201 Softwarelösungen die eine Integration externer Daten beinhalten werden in Abschnitt 4.3.4.4 behandelt. 202 Vgl. Jameson/ Walsh (2000), o. S.

82

System ermöglicht die quantitative Modellierung von Operational Risk und die Ermittlung des ökonomischen Kapitals für Zwecke der Kapitalallokation. Es ist einsetzbar für die Sammlung empirischer Schadensereignisdaten, die Integration synthetischer Datenpunkte über Szenario-, Kausal- und Korrelationsanalysen.203 WatchDog beinhaltet bisher keine externen Daten, die Firma Algorithmics unter­ stützt jedoch eine Initiative der British Bankers Association zur Schaffung eines Datenkonsortiums für Operational Risk mit dem Namen GOLD (Global Operati­ onal Loss Database).204 Das System ist als eigenständiges Produkt erhältlich, eine Integration in das Produkt Algo Suite ist jedoch geplant. Algo Suite ist einer der ersten Versuche, ein umfassendes Operational-Risk-System mit einem etablierten Markt- und Kreditrisikomanagement System zu verbinden.205 Der Schwachpunkt von WatchDog liegt in der starken Fokussierung der Geschäftsprozesse und der relativ engen Definition von Operational Risk.206

(b) Horizon Das System Horizon wurde von J.P. Morgan entwickelt und befindet sich im Lizenzvertrieb von Emst & Young Product Sales LLC. Es ist ein auf dem Internet basierendes, automatisiertes Control-Self-Assessment-System, das Geschäftsrisi­ ken fokussiert. Der Anwendungsschwerpunkt liegt auf der Identifikation von Schwachpunkten in den Kontrollprozessen. Es gestattet zentralen Risikomanage­ menteinheiten, relevante Risiken in räumlich entfernten Geschäftseinheiten zu identifizieren und zu überwachen. Darüber hinaus ermöglicht Horizon den An­ wendern mehrdimensionale grafische Darstellungen der Risikodaten und verfugt im Rahmen der Risikoüberwachung über sog. „Ampelfunktionalitäten“207. Hori­ zon beinhaltet drei Hauptkomponenten: eine Self-Assessment-Komponente, eine Performanceanalysekomponente und ein Reporting-Modul.208 Es ist nach Her­ stellerangaben mit vielen anderen Operational-Risk-Systemen kompatibel und relativ einfach zu installieren.209 Horizon gestattet allerdings keine Risikomodel­ 203 Vgl. Mehta (1999), o. S. und Marshall (2001), S. 565. 204 Vgl. Jameson/ Walsh (2000), o. S. und zur Schadensdatenbank der British Bankers Association vgl. BBA (2000), o. S. 205 Vgl. Jameson/ Walsh (2000), o. S. 206 Vgl. Mehta (1999), o.S. 207 Darunter werden sog. Signalberichte verstanden. Diese „warnen“ den Benutzer, wenn ex ante definierte Schwellenwerte über- oder unterschritten werden, vgl. ausführlich Hansen (1998), S. 265f. 208 Vgl. Marshall (2001), S. 566. 209 Vgl. Emst & Young (2000), o. S. und J.P. Morgan (1999), o. S.

83

lierungsapplikationen. Vergleichbar mit Horizon ist das System Callisto der Fir­ ma Arthur Andersen.210

(c) Operational Risk Assessor Suite (ORAS)211

Das System ORAS der Firma Amelia Financial Systems bietet umfassende Ana­ lyse- und Reporting-Anwendungen. Die Datenevaluierung basiert auf einem Control-Self-Assessment-Ansatz. Das System konsolidiert die Daten der einzel­ nen Geschäftsbereiche zentral, unterstützt das Management bei der Erstellung institutsweiter Risikoprofile und erlaubt Benchmarking. ORAS liefert die Infra­ struktur zur Anwendung verschiedener Risikomodellierungsansätze. Eine Erwei­ terung um externe Branchendaten ist geplant.

4.3.4

Integration externer Ereignisdaten in die Schadensda­ tenbank

Die bisher behandelten internen Quellen zur Evaluierung von Schadensereignis­ daten sind keinesfalls als exklusiv zu betrachten. In der Fachliteratur zu diesem Problembereich wird die Abgrenzung zwischen internen und externen Daten­ quellen bzw. Schadensereignisdaten nicht einheitlich vorgenommen.212 In der vorliegenden Arbeit erfolgt die Abgrenzung dergestalt, dass sich die Begriffe „intern“ und „extern“ in einer institutionellen Sichtweise auf das einzelne Kre­ ditinstitut beziehen. Wird in diesem Zusammenhang von externen Schadenser­ eignisdaten gesprochen, befindet sich die Datenquelle außerhalb des einzelnen Instituts. Brancheninteme Ereignisdaten werden von einigen Autoren zwar als interne Daten klassifiziert213, stellen jedoch nach der hier vertretenen Sichtweise externe Daten dar.214 210 Vgl. Jameson/ Walsh (2000), o. S. 2,1 Vgl. Jameson/ Walsh (2000), o. S. 212 Vgl. bspw. Ceske/ Hemändez (1999), S. 18, nach deren Auflassung externe Daten nur diejenigen aus öffentlich zugänglichen Quellen darstellen. 213 Vgl. Jameson (1998b), S. 39. 2,4 Diese Klassifizierung kann jedoch nicht auf die Institute des Genossenschaftlichen Verbundes oder des Sparkassensektors übertragen werden. Initiativen zur Analyse von Operational Risk und der damit verbundenen Datensammlung und -auswertung werden dort, begründet durch den ho­ hen Ressourcenaufwand, i. d. R. auf der Ebene der Spitzeninstitute durchgeftlhrt werden müssen.

84

Externe Schadensereignisdaten können analog den internen Schadensereignisda­ ten einer Mehrzahl von Quellen entnommen werden. Hierzu zählen vor allem •

Veröffentlichungen der allgemeinen Wirtschafts- und Fachpresse in jedweder Form

•

Publikationen von Untemehmensberatungsgesellschaften, bspw. in Form von Studien etc.

•

Von regulatorischer Seite publizierte Studien, insbesondere des Baseler Aus­ schusses für Bankenaufsicht

•

Untersuchungen von Branchen- oder Dachverbänden

•

Initiativen von Branchenvertretem in Form der Etablierung von branchenintemen Schadensereignisdatenpools

Diese externen Quellen liefern unterschiedliche Arten von Schadensereignisda­ ten. Insbesondere bei den in der Wirtschaftspresse veröffentlichten Schadenser­ eignissen handelt es sich bspw. um eher selten auftretende Fälle von schlagend gewordenem Operational Risk mit sehr hohem Schadensausmaß. Einerseits be­ steht aus wichtigen Gründen die Notwendigkeit der Integration externer Scha­ densereignisdaten, andererseits ist damit eine besondere, nachfolgend erörterte, Problematik verbunden, die bei einer Datenintegration in die Schadensdaten­ bankkomponenten zu berücksichtigen ist.

4

.3.4.1

Notwendigkeit brancheninterner Ereignisdatenpools

Die umfassendste Quelle für externe Schadensereignisdaten stellen Datenpools auf Branchenebene dar. In eine solche „externe Schadensdatenbank“ werden die internen Schadensereignisdaten der Mitglieder, eines eigens für die Zwecke des Austausches von Schadensereignisdaten gebildeten Datenkonsortiums einge­ pflegt, gesammelt und aufbereitet. Die nach festgelegten Kriterien, vor allem hinsichtlich der Kategorisierung, aufbereiteten und anonymisierten Daten werden Zur Abgrenzung der Datenquellen kann hier die Einzelinstitutsebene verlassen und von der Sichtweise des Verbundes ausgegangen werden.

85

wiederum den Mitgliedern des Datenkonsortiums ftlr eigene Analysezwecke zur Verfügung gestellt.215 Analog zur internen Schadensdatenbank kann der Daten­ pool über mehrere Komponenten, ausgestattet mit vielfältigen Applikationen, verfügen. Bei der Entscheidung für die Mitgliedschaft in einem oder mehreren Datenkonsortien ist die jeweilige Leistungsfähigkeit der Konsortien, hinsichtlich der Art und dem Umfang der Schadensereignisdaten, mit den internen Bedürfnis­ sen vom Operational-Risk-Management zu berücksichtigen und einem detaillier­ ten Abstimmungsprozess zu unterziehen. Die Etablierung von leistungsfähigen und umfassenden Schadensereignisdaten­ pools bzw. der Ausbau bereits bestehender Initiativen ist aus mehreren Gründen notwendig. Für das einzelne Kreditinstitut stellt sich bei einer isolierten Betrach­ tung der individuellen Situation das Problem der Verfügbarkeit interner Verlust­ daten, in einem für statistische Auswertungen hinreichenden Umfang und geeig­ neten Format, insbesondere im Bereich der Quantifizierung von Operational Risk und der Ableitung empirischer Verlustverteilungen216.

Intern verfügbare Daten sind vor allem dadurch gekennzeichnet, dass es sich um vergleichsweise geringe Schadensfälle handelt. Sie können zwar mit einer relativ starken Häufigkeit auftreten, beziehen sich aber zum Großteil auf die Risikokate­ gorien Prozessrisiken und Informationssystemrisiken.217 Interne Schadensereig­ nisdaten spiegeln zudem lediglich die eigene, häufig sehr eingeschränkte, Erfah­ rung des Kreditinstituts im Umgang mit Operational Risk wider.218 Daten über unerwartete Verluste (unexpected losses), die eher selten auftreten und ein hohes Schadenspotenzial besitzen, sind in den meisten Fällen intern kaum verfügbar,219 da sie entweder bislang nicht aufgetreten sind, oder zurückliegend nicht hinrei­ chend dokumentiert wurden.

2,5 Vgl. Ceske et al. (2000b), S. 8. 216 Die Arten der Verlustverteilungen und deren Modellierung sind Gegenstand von Abschnitt 5.4.3. 2,7 Vgl. Hoffmann (1998), S. 34. 218 Auch die Erfahrungen bspw. der Versicherungswirtschaft im Bereich des Datenaustauschs un­ terstreichen eine solche Notwendigkeit, vgl. Mudge (2001), o. S. Ein Kreditinstitut verfügt so lange nicht über alle benötigten Daten, bis das Wissen aus erster Hand es aus dem Marktprozess ausscheiden lässt, vgl. Mehta (1999), o. S. 219 Insbesondere zur Modellierung der Verteilungsenden von Verlustverteilungen ist eine Verwen­ dung externer Schadensereignisdaten angezeigt, da hierfür kaum interne Daten verfügbar sind.

86

Abbildung 10: Brancheninternes Datenkonsortium220

Im Zusammenhang mit Verlustverteilungen bilden die unerwarteten Verluste die Ränder der statistischen Verlustverteilungen (sog. „tails“). Es handelt sich dabei um seltene Verluste mit hohem Schadenspotenzial. Interne Schadensdatenbanken fokussieren sog. „high frequency“/ „low impact events“, da diese häufiger auf­ treten und dadurch eine ungleich höhere Datenverfiigbarkeit vorliegt. Selbst wenn ein Kreditinstitut alle relevanten und intern verfügbaren Schadensereignisdaten in einer internen Schadensdatenbank erfasst hat, besteht immer noch ein Mangel an den sog. „high-severity“-/ „low-probability“-Risiken. Diese fuhren unter Um­ ständen zu katastrophalen Schadensausmaßen.221 Durch eine Vergleichsmöglichkeit der internen Situation mit dem jeweiligen aktuellen Branchenstatus können darüber hinaus bspw. die eigenen internen Da­ ten oder Einschätzungen von Szenarioanalysen und deren Ergebnisse den exter­ nen Fakten innerhalb der Branche gegenübergestellt und einem Validierungspro­ zess unterzogen werden.222 Dies ermöglicht den Operational-Risk- und den Ge­ 220 Quelle: übernommen aus Ceske/ Swann (1999), o. S. 221 Vgl. Bhattacharyya (2000), S. 5. 222 Vgl. Hoffmann (1998), S. 33 und Austega Information Services (2000), o. S.

87

schäftsbereichsverantwortlichen einen tieferen Einblick in die individuelle Risi­ kosituation. Externe Daten eignen sich darüber hinaus, anhand von Szenarioana­ lysen indirekte Schadenseffekte zu bemessen.223 Die Erfahrungen und Ergebnisse anderer Institute im Bereich der Prozessrisikoanalysen können Hinweise auf risikosensitive Prozessschritte liefern, die eventuell im Rahmen eigener Analysen nachrangig betrachtet wurden oder deren Risikopotenzial bisher unterschätzt wurde. Dadurch können bankinteme Prozessrisikoanalysen bzw. das ControlSelf-Assessment ergänzt werden.224

Auch der Baseler Ausschuss für Bankenaufsicht vertritt die Auffassung, dass für die Festlegung angemessener Mindestkapitalanforderungen, aber vor allem für die Entwicklung fortgeschrittener Ansätze, eine koordinierte und branchenweite Datenerhebung von entscheidender Bedeutung ist, da sich der Ausschuss ansons­ ten gezwungen sehe, die Mindestkapitalanforderungen für Operational Risk an­ hand konservativer Annahmen festzusetzen.225 Der Ausschuss geht davon aus, dass in den nächsten Monaten zusätzliche Daten zur Verfügung stehen, und beab­ sichtigt dann, anhand von weiteren Untersuchungen festzustellen, wie die Min­ destkapitalanforderungen für Operational Risk am geeignetsten zu fixieren sind.226

4.3.4.1

Anforderungen an die Datenaufbereitung innerhalb des Daten­ pools

Neben den allgemeinen Anforderungen zur Sicherstellung der Datenqualität müs­ sen die in einem Datenpool gesammelten Daten weiteren Anforderungskriterien genügen, um als externer Dateninput für die einzelnen Mitgliedsinstitute des Datenkonsortiums verwendbar zu sein. In einen Datenpool werden die internen Schadensereignisdaten der Mitglieder des Datenkonsortiums nach festgelegten Kriterien eingepflegt, kategorisiert, skaliert und anonymisiert. Die aufbereiteten Daten selbst und darüber hinaus durchgeführte statistische Auswertung werden den Konsortiumsmitgliedem in einem entsprechenden Datenformat zur Verfü­ gung gestellt. Die Organisation des Datenpools wird von einer unabhängigen 223 Vgl. Mori et al. (2000), S. 7. 224 Vgl. Spahr (2000), S. 446. 225 Vgl. Baseler Ausschuss ftlr Bankenaufsicht (2001a), S. 31. Eine solche Methode ist zwar leicht implementierbar, kann aber negative Anreizeffekte bewirken, vgl. Ceske/ Swann (1999), o. S. 226 Vgl. Baseler Ausschuss ftlr Bankenaufsicht (2001a), S. 32, zu berücksichtigen ist allerdings, dass der Ausschuss eine abweichende Definition zu Grunde legt.

88

Drittpartei übernommen. Diese hat, in Zusammenarbeit mit den Konsortiumsmitgliedem, die Aufgabe,227 •

eine einheitliche Definition für Operational Risk samt einer einheitlichen Klassifizierung festzulegen.

•

einheitliche Datenstandards hinsichtlich Art und Umfang der zu meldenden Schadensereignisinformationen zu etablieren.

•

die Anonymität der Mitwirkenden sicherzustellen.

•

den Datenbestand und die Datenaufbereitung, evtl, in Form statistischer Analysen, der DatenfiIterung und Datenskalierung, zu verwalten.

•

von Research-Tätigkeiten nach öffentlich publizierten Schadensereignissen.

•

der Systempflege, Wartung und Betreuung der Konsortiumsmitglieder im systemtechnischen Bereich.

Durch diese organisatorische Regelung bzw. Aufgabentrennung wird die Grund­ lage geschaffen, anhand derer das einzelne Kreditinstitut eine seinen situativen Gegebenheiten entsprechende Relativierung der zu integrierenden externen Scha­ densereignisdaten vornehmen kann. Dies ermöglicht ebenfalls eine Überprüfung der Relevanz der externen Daten hinsichtlich deren Integrationsfähigkeit in den eigenen internen Datenbestand. Jedes im Datenkonsortium mitwirkende Kreditin­ stitut stellt dabei seine individuellen Schadensereignisdaten zur Verfügung, die dem letztlich einzigartigen Kontext des Kreditinstituts entsprechen. Externe Schadensereignisdaten dürfen demnach nicht unreflektiert in interne Datenbe­ stände integriert werden. Durch eine trennscharfe Klassifizierung wird erreicht, dass individuelle Unterschiede bspw. in der Art der Geschäftsfelder bzw. bear­ beiteten Marktsegmente berücksichtigt werden können. Unterschiedliche Ge­ schäftsprozesse, Systemabläufe, Softwareunterschiede, organisatorische Rege­ lungen, die Kontrollumgebung, Reifegrade und die Erfahrung mit bestimmten verwendeten Modellen und Bankdienstleistungen oder quantitative und qualitati­ ve Unterschiede in der Personalsituation bedingen unterschiedliches Operational Risk hinsichtlich der primären Risikokategorien und Kausalzusammenhänge. Eine reine Ansammlung bzw. ein „Pooling“ von Schadensereignisdaten zur Er­ mittlung von Schadenshäufigkeiten und Schadenswirkungen kann die Ansprüche, 227 Vgl. Ceske et al. (2000b), S. 8.

89

die sowohl von theoretischer als auch von praktischer Seite an ein Datenkonsorti­ um gestellt werden, nicht erfüllen. Diese erfordern eine Filterung und Skalierung der im Datenpool erfassten Schadensereignisdaten228. Die Relativierung externer Daten kann auf Basis diverser Skalierungsfaktoren erfolgen. Skalierungsfaktoren sind Informationen hinsichtlich des Geschäfts- bzw. Aktivitätsniveaus und der institutsspezifischen Charakteristika,229 anhand derer die Schadensereignisse eines Institutes, das die Schäden in den Datenpool einbringt, auf dessen individu­ elle Umstände bezogen werden können. Verwendung finden bspw. das Alter der Informationstechnologien, geschäftsbereichsbezogene Umsatzzahlen oder Kos­ ten.230 Darüber hinaus muss die Verwaltung des Datenpools eine Mehrfacherfas­ sung eines Schadensereignisses vermeiden.

4.3.43

Möglichkeiten zur technischen Umsetzung des Datenaustausches

In jüngster Zeit wurden mehrere Initiativen zur Bildung von Datenkonsortien etabliert und ad hoc Softwareprodukte zur technischen Umsetzung des Daten­ austausches entwickelt. Nachfolgend werden die derzeit bekanntesten Initiativen kurz vorgestellt.

(a) Multinational Operational Risk Exchange (MORE) Das MORE Konsortium231 wurde Anfang November 1999 auf Initiative der Glo­ bal Association of Risk Professionals (GARP) gegründet. Es entsprang den vor­ hergehenden Arbeiten des Operational Risk Komitees der GARP. Mittlerweile wurden die Schadensdatenbanken von NetRisk Inc. und der Risk Management Association (RMA) zusammengeftihrt. NetRisk fungiert als Managing-Agent auf der Basis von Service-Verträgen, und die RMA übernimmt die Aufgabe des Da­ tenmanagers. Die erklärten Ziele von MORE sind die Schaffung von sicheren Rahmenbedingungen für den Datenaustausch, das Angebot von Datenstrukturen 228 Vgl. Ceske et al. (2000b), S. 7. 229 Vgl. Ceske/ Hernandez (1999), S. 18. Berücksichtigt werden muss jedoch deren Interpretation. Skalierungsfaktoren auf zu hoher Aggregationsebene, wie bspw. Mitarbeiterzahlen oder Kosten­ größen, besitzen oftmals keinen klaren Bezug zu Operational Risk. Die Einrichtung einer Compliance Abteilung erhöht z. B. beide Faktoren, führt jedoch tendenziell zu einer Verminde­ rung von Operational Risk, vgl. BBA (2000b), S. 5. 230 Vgl. Ceske et al. (2000b), S. 8. 231 Zu den folgenden Ausführungen vgl. Saunderson (2000), S. 36ff, Marshall (2001), S. 567f, Mc Eachem (2000b) und dies. (2000a), o. S. Weitere Produktinformationen sind erhältlich von MO­ RE unter http://www.moreexchange.org und NetRisk unter http://www.netrisk.com.

90

zur Unterstützung der Quantifizierung von Operational Risk auf Basis des Capital-at-Risk, die Ermöglichung von Benchmarking, Integration von Daten zur Ableitung prädiktiver Faktoren und Einflussnahme auf regulatorische Entschei­ dungen in diesem Bereich. Die eingepflegten Schadensereignisdaten werden anhand des dem Baseler Ausschuss von der Industry Technical Group vorge­ schlagenen internen Bemessungsansatzes skaliert. Das von NetRisk entwickelte und vertriebene Softwareprodukt RiskOps bildet die Systemgrundlage und die Schadensdatenbank. Die mittlerweile erhältliche Versi­ on RiskOps 2.3 ist ein auf dem Internet basierendes System. Sie ermöglicht Capital-at-Risk-Kalkulationen anhand verschiedener Methoden, Programme zur Anwendung von Methoden der Extrem Werttheorie, zur Ableitung von Verlust­ verteilungen, Faktoranalysen und Trendanalysen. Darüber hinaus können kun­ denindividuelle Szenarien etabliert werden. Die Benutzeroberfläche gestattet Slice-and-dice und Drill-down. RiskOps ist ein offenes, in Java programmiertes System, d. h. bei der Verknüpfung mit internen Systemen kann die Systemkom­ patibilität nach Aussagen des Herstellers einfach bewerkstelligt werden. Bei der Gründung von MORE haben siebzehn nicht-veröffentlichte Finanzinstitute ent­ sprechende Absichtserklärungen zur Teilnahme unterzeichnet. Der Mitgliederfo­ kus von MORE ist international ausgerichtet.

(b) OpVaR

PricewaterhouseCoopers (PwC) beinhaltet in seiner Produktpalette zum Mana­ gement von Operational Risk die OpVaR Datenbank.232 Diese umfasst mehr als 5000 Schadensereignisse, von denen jedes einzelne ein Schadensausmaß von einer Million US Dollar übersteigt. Im Zusammenhang mit der Schadensdaten­ bank werden diverse Dienstleistungen und Softwareprodukte zum Thema Operational-Risk-Management einschließlich des Risk Assessment angeboten.233 Die Schadensereignisdaten wurden vorwiegend durch Branchenumfragen erhoben; ein laufender Datenaustausch im Sinne von MORE findet nicht statt.

232 Vgl. die Produktinformationen http://www.pwcglobal.com. 233 Vgl. Jameson/ Walsh (2000), o. S.

von

PricewaterhouseCoopers

auf

der

Homepage

91

(c) Compilation of Operational Risk Events (CORE loss database)234

CORE wird von der Firma Operational Risk Inc. vertrieben. Sie wurde auf Initia­ tive von Banker’s Trust gegründet. Die CORE Schadensdatenbank enthält mehr als 200 branchenübergreifende, kategorisierte Schadensereignisse. Auch CORE ist eine rein historische Datenbank. Sie unterstützt versicherungsmathematische Auswertungen zur Kalkulation von ökonomischem Kapital. Operational Risk Inc. vertreibt ergänzend das System ORCA (Operational Risk and Control Analysis), das die Erstellung von Risikoprofilen und Management Reporting ermöglicht sowie versicherungsmathematische und statistische Modellierungstechniken un­ terstützt.

4.3 .4.4

Grenzen des Datenaustausches

Ein wichtiges Kriterium für die Funktionsfähigkeit eines Datenkonsortiums ist das hierfür erforderliche Engagement der beteiligten Kreditinstitute. Es ergibt sich grundsätzlich das Problem, dass die Konsortiumsmitglieder eventuell nicht bereit sind, die u. U. höchst sensitiven Daten auszutauschen235 und den Verwal­ tungsaufwand im Rahmen der Aufbereitung und Meldung von Schadensereignis­ daten zu tragen. Aufgrund eines Problems von asymmetrisch verteilten Informa­ tionen kann der einzelne Beteiligte das Engagement seiner Partner zu keinem Zeitpunkt richtig einschätzen. Dies kann ein Trittbrettfahrerverhalten in der Form begünstigen, dass einzelne Konsortiumsmitglieder eigene Schadensereignisin­ formationen vorenthalten und in ungleichem Verhältnis von den Bemühungen der anderen Mitglieder profitieren.

Grundsätzlich wird von einigen Bankpraktikem und Autoren die Relevanz exter­ ner Schadensereignisdaten für das eigene Institut und die vorgeschlagene Relati­ vierung der Daten über Skalierungsfaktoren in Frage gestellt. Begründet wird dies mit der Individualität und der spezifischen Charakteristika der Konsortiumsmit­ glieder sowie mit der situativen Begleitumstände eines jeden Schadensereignis­ ses. Problematisch sind in diesem Zusammenhang politisch sensitive Daten aus 234 Zu den folgenden Ausführungen vgl. Marshall (2001), S. 567. 235 Insbesondere die Sicherstellung der Anonymität wird derzeit von einigen Bankpraktikem noch kritisch betrachtet. Es wird befürchtet, dass in einigen Fällen, trotz einer Anonymisierung der ge­ meldeten Daten, das meldende Kreditinstitut identifiziert werden kann. Andere Bankpraktiker ar­ gumentieren hingegen, die Anonymisierung hänge vom jeweiligen Konsortium ab und ist als eher unproblematisch einzustufen.

92

Sicht der Geschäftsleitung eines Konsortiumsmitglieds. Dies kann zur Folge haben, dass Schadensereignisse nicht weitergeleitet werden, da sie auch bankintem „heruntergespielt“ werden. Die größte praktische Schwierigkeit für Daten­ konsortien stellt nach Aussage einiger Bankpraktiker derzeit allerdings die Ska­ lierung von Schadensereignisdaten dar. In diesem Bereich besteht weiterer For­ schungsbedarf, um zuverlässige, die jeweiligen Charakteristika und situativen Gegebenheiten berücksichtigende Skalierungsfaktoren und deren Validierung durch die Entwicklung geeigneter Faktoranalysemethoden zu eruieren. Eine weitere Grenze des Datenaustausches und der Erweiterung interner durch externe Daten stellt der trotz eines Datenpooling weiter bestehende Mangel an historisch verfügbaren Daten für potenzielle Schadensereignisse dar, die bisher noch in keinem Kreditinstitut aufgetreten sind.236

4.4 Problembereiche beim Aufbau von Scha­ densdatenbanken Die bisherigen Ausführungen dieses Abschnitts haben gezeigt, dass auf dem derzeitigen Entwicklungsstand insbesondere des quantitativ orientierten Operati­ onal Risk-Management, die Etablierung einer geeigneten Datenbasis ein prakti­ sches Problem darstellt. Aus diesem Grund stellen Kritiker des Schadensdaten­ bankkonzeptes die Komplettierbarkeit von Schadensdatenbanken durch eine qualitativ hochwertige Datenbasis in Frage. In diesem Zusammenhang muss auch die Integrationsfähigkeit externer Schadensereignisdaten überprüft werden. Es kann allerdings argumentiert werden, dass die Entwicklung von Risikomanage­ mentinstrumenten stets ein evolutorischer Prozess ist. Vergleichbar mit der Ent­ wicklung im Bereich der Markt- und Kreditrisiken muss das Ziel der Bestrebun­ gen sein, die Instrumente und Modelle des Operational Risk-Management im Zeitablauf kontinuierlich weiterzuentwickeln und damit einen Lernprozess zu entfalten. Das nachhaltige Engagement der obersten Leitungsebenen innerhalb des Bankensektors und der Aufsichtsinstanzen ist hierfür die Grundvorausset­ zung.237 Eng verknüpft mit dieser Problematik sind Probleme der internen Ak236 Vor dem Zusammenbruch der Barings Bank konnte auch dieses Schadensereignis unter diese Kategorie subsummiert werden. 237 Einige Kreditinstitute legen bspw. ihren Schwerpunkt auf qualitative Verfahren zum Management von Operational Risk.

93

zeptanz des Instruments Schadensdatenbank. Wird das Konzept nicht von der obersten Leitungsebene des Kreditinstituts forciert und eine entsprechende Risi­ kokultur geschaffen, wird die generierte Datenbasis für Analysezwecke un­ brauchbar. Die Folge wären unzureichende oder sogar falsche Risikoinformatio­ nen. Auf deren Basis ist die Ableitung zielgerichteter Managemententscheidun­ gen undenkbar. Vielmehr entsteht dann ein „Operational Risk aus Operational Risk“ in Form des Modell- und strategischen Risikos. Um eine „Verunreinigung“ der Schadensdatenbank zu verhindern und die Akzeptanz unter den Mitarbeitern sicherzustellen muss eine Risikokultur etabliert und gepflegt werden. Zudem muss von Seiten der Risikomanagementverantwortlichen besonderes Augenmerk auf die Kontrolle und Überwachung des Meldewesens für Schadensereignisse gerichtet werden. Problematisch hinsichtlich der Akzeptanz von Seiten der Bank­ vorstände ist der hohe Investitionsaufwand238 in Verbindung mit der Entwicklung einer Schadensdatenbank, der Etablierung des Meldewesens und der Schulung der betroffenen Mitarbeiter.239 Insbesondere die Mitarbeiterschulung und deren Einbindung in den Entwicklungsprozess trägt zur Akzeptanz des Konzeptes bei. Um die Verfahren der Gesamtbanksteuerung um den Bereich Operational Risk zu vervollständigen sind die Investitionen zur Etablierung einer Schadensdatenbank unumgänglich.240 Die Beurteilung des Konzeptes muss daher im Spannungsfeld zwischen betriebswirtschaftlicher Notwendigkeit, dem Investitionsaufwand, den Vorteilen des Konzepts und den regulatorischen Erfordernissen getroffen werden. Eine große Herausforderung ist auch die technische Umsetzung des Konzepts. Dies betrifft in erster Linie die Entwicklung der genannten Integrationskompo­ nente der Schadensdatenbank und die hiermit verbundene Lösung der Schnitt­ stellenprobleme. Die beschriebenen hohen Anforderungen an eine Schadensda­ tenbank bergen die Gefahr, die Akzeptanz aller Beteiligten zu schwächen. Zum derzeitigen Entwicklungsstand der ersten in der Praxis implementierten Konzepte stellt sich zu dem die Frage, ob in der Schadensdatenbank sämtliche Kategorien des Operational Risk abgebildet werden können. Dies gilt insbesondere für Ge­ schäfts- und strategische Risiken, aber auch für einzelne Subkategorien des Ope­ rational Risk i. e. S. Zu denken ist in diesem Zusammenhang bspw. an die Quali­ tät des Bankmanagement oder an den Umweltkontext. Dies kann jedoch zum heutigen Zeitpunkt nicht abschließend beurteilt werden. Alternativ zu der hier 238 Vgl. Jameson (1998b), S. 40. 239 Es wird argumentiert, mit eigenem Ressourceneinsatz abzuwarten, bis der Basler Ausschuss entsprechende Leitlinien veröffentlicht, die eine sichere Planungsgrundlage hinsichtlich einer ex­ akten begrifflichen Abgrenzung und der genauen Vorgabe von Verfahren und Modellierungsan­ sätze liefern. Eine vorschnelle Entwicklung von später als falsch aufgesetzt zu bezeichnenden In­ strumenten kann einen immensen Ressourcenverlust zur Folge haben. 240 Vgl. Jovic (1999), S. 155. Dies wurde von der Mehrzahl der Befragten bestätigt.

94

vorgestellten Kategorisierung wäre zu prüfen, ob nicht die Geschäfts- und strate­ gischen Risiken und qualitative Elemente wie bspw. die Managementqualität als Risikofaktoren für Operational Risk i. e. S. angesehen und entsprechend model­ liert werden könnten.

95

5. Aufbereitung von Schadensereig­ nisdaten im Rahmen der Daten­ analyse Die Erfassung von Schadensereignisdaten und der Aufbau einer Schadensdaten­ bank ermöglichen dem Operational Risk-Management vielfältige Auswertungs­ möglichkeiten. Sie bilden die Grundlage für den Einsatz konkreter Risikomana­ gementaktivitäten zur Steuerung des Operational Risk. Grundlegend für die hier vorgestellten Methoden im Rahmen einer primär bottom up-orientierten Vorge­ hensweise ist eine genaue Analyse der einzelnen Schadensereignisse. Zu diesem Zweck sind die für das Schadensereignis verantwortlichen Risikofaktoren zu identifizieren und die Schadensereignisse einer eingehenden Kausalanalyse zu unterziehen. Darüber hinaus kann unter Zugrundelegung der Schadensereignis­ daten aus der Schadensdatenbank eine Methode zur Quantifizierung von Operati­ onal Risk, ähnlich der Value-at-Risk Berechnung bei Markt- und Kreditrisiken, initiiert werden. Die Schadensdatenbank dient somit als Instrument zur empiri­ schen Analyse, aber auch als Instrument zur Modellierung von Operational Risk.

5.1 Ermittlung der Ist-Risikosituation: Samm­ lung und Dokumentation von Schadensfäl­ len Durch die Sammlung und Dokumentation der Schadensereignisdaten wird die Voraussetzung zur Erstellung eines Risikoprofils geschaffen. Die Risikoprofilierung erfolgt dabei auf jeder gewünschten Aggregationsstufe. Das Risikoprofil der einzelnen Wertschöpfungsketten kann stufenweise zum Risikoprofil auf Gesamt­ bankebene aggregiert werden. Aus Praktikabilitätsgründen ist hierbei als Aus­ gangspunkt ein prozessorientierter Fokus sinnvoll, mit dem Ziel, die erfolgskriti­ schen Prozesse und deren Risikoprofil in Bezug auf Operational Risk zu identifi­ zieren. Bei der Pflege der Schadensdatenbankinformationen müssen die einge­ pflegten Schadensereignisdaten mit den Datenanforderungen und dem benötigten Informationsumfang abgeglichen und unvollständige Datensätze komplettiert

97

oder vollständig nacherhoben werden. In vielen Fällen ist die Erhebung der Schä­ den in finanzieller Form leichter zu bewerkstelligen als die der verantwortlichen Kausaldaten.241 Über bestimmte Auswertungsabfragen können detaillierte Be­ richte ftlr das Management, aber auch für die betroffenen Geschäftsbereiche er­ stellt werden. Entscheidend für ein gesamtbankweites Risikoverständnis ist hier­ bei die einheitliche Kategorisierung, die allerdings geschäftsbereichsspezifische Besonderheiten umfassen sollte. Dadurch ist es dem Top-Management möglich, sich entweder im Rahmen des periodischen Risikoreporting oder ad hoc ein Bild von der Ist-Risikosituation des Kreditinstituts zu verschaffen. Die Ist-Risikosituation bedeutet in diesem Zusammenhang eine retrospektive Betrachtung des bankbetrieblichen Risikoprofils anhand zurückliegender Scha­ densereignisse, aufbreitet nach den einzelnen Geschäftsbereichen und Risikoka­ tegorien. Die Ist-Risikosituation kann in Zusammenarbeit mit den Geschäftsbe­ reichsverantwortlichen analysiert werden. Aufschlussreich sind in diesem Zu­ sammenhang vor allem periodenbezogene Darstellungen der Schadenshäufigkei­ ten. Dadurch kann bspw. ein erster Eindruck über die Schadenssituation in den Perioden der strategischen Neuausrichtung und Reorganisationsmaßnahmen oder bei Veränderungen des bankbetrieblichen Marktumfeldes ermöglicht werden.

Durch eine laufende, in periodischen Abständen erfolgende Ermittlung der inter­ nen Ist-Risikosituation kann ebenfalls die Güte der zum Einsatz kommenden Quantifizierungsverfahren und die der daraus resultierenden periodischen Ergeb­ nisse (Soll-Risiko) durch ein Backtesting dieser Verfahren beurteilt werden. Die­ se periodenbezogenen Ergebnisse bilden die Grundlage für darauf aufbauende Abweichungsanalysen.

Hierbei wird ermittelt, in welchem Ausmaß die tatsächlich ex post eingetretenen Schadensereignisse von den ex ante prognostizierten abweichen. Zur Erhöhung der Transparenz der Schadensereignisinformationen kann die Situation des Kre­ ditinstituts relativ zu den Konkurrenten in der Branche durch einen Vergleich anhand der externen Schadensereignisdaten beurteilt werden.242 Von hoher Be­ deutung für die Durchdringung der Ist-Risikosituation sind darüber hinaus detail­ 241 Vgl. Crouhy et al. (2001), S. 499. 242 Dabei ist es sinnvoll, das Benchmarking auf der Ebene der Geschäftsbereiche durchzuftihren, da für unterschiedliche Geschäftsbereiche u. U. andere Konkurrenten betrachtet werden müssen.

98

lierte Informationen über die Ursache-Wirkung-Beziehungen innerhalb eines Schadensereignisses und über die für das Risiko verantwortlichen Risikotreiber.

5.2 Kausalanalytische Untersuchung Schadensereignisses

eines

Im Zuge der Kausalanalyse wird die zeitliche Struktur eines Schadensereignis­ ses243 untersucht. Zu diesem Zweck muss vom zentralen Operational RiskKomitee in Zusammenarbeit mit den Geschäftsbereichen festgelegt werden, in welchen Risikoanalyseabschnitten sinnvolle Kausalanalysen durchgefiihrt werden können.

Dabei muss entschieden werden, ob bspw. schon im Rahmen von Prozessanaly­ sen vor Ort in den einzelnen Geschäftsbereichen eine nachhaltige Analyse des Schadensereignisses durchgefiihrt werden soll oder sogar überhaupt durchgeführt werden kann und welche Instrumente und Datengrundlagen zu berücksichtigen sind.

Alternativ kann die exakte kausalanalytische Untersuchung eines Schadensereig­ nisses zentral von den Risikomanagementverantwortlichen auf Grundlage der Schadensdatenbank durchgefiihrt werden.244 Hieraus wird ersichtlich, dass ein nicht zu unterschätzender Abstimmungsaufwand besteht, um die Qualität der Schadensereignisdaten sicherzustellen.

243 In der angelsächsischen Fachliteratur wird zum Teil zwischen sog. „loss events“ und „loss inci­ dents“ unterschieden. Loss incidents bezeichnen loss events, die in ihrer Kausalstruktur sehr komplex sind, vgl. Marshall (2001), S. 61. In der vorliegenden Arbeit wird zwar bei allen Scha­ densereignissen eine komplexe Kausalstruktur angenommen, jedoch begrifflich nicht differen­ ziert. Der Terminus Schadensereignis wird universal verwendet. 244 Im Rahmen der Ermittlung von Skalierungsfaktoren und der Erfassung der situativen Besonder­ heiten bei der Integration externer Schadensereignisdaten kann bereits mit ersten kausalanalyti­ schen Untersuchungen begonnen werden, vgl. Ceske et al. (2000b), S. 7.

99

Vorgelagertes Schadenser­ eignis

Ursache des Schadens­ ereignisses

Wirkungsdauer

Auswirkung

■> Zeit Wahmclimungsvci ’Zögerung

___ ▲___

___ ▲___ • Vorgelager­ tes Schadens­ ereignis, Ver­ bundeffekt • A Risiko­ faktor

• Risikour­ sache • Kontrollen versagen

• Zeitspanne in der sich das Schadenscreignis über Kausalitäten fortpflanzt

• direkt • indirekt • Kontrollen

Abbildung 11: Zeitliche Struktur eines Schadensereignisses245

Ziel der Kausalanalysen ist erstens, die für ein Schadensereignis ursächlichen Risikofaktoren zu ermitteln, zweitens, die Kausalstruktur offen zu legen und drittens, die Kombination mehrerer Risikofaktoren und deren Einwirkung auf das einzelne Schadensereignis transparent zu machen. Die Kausalanalysen können hierbei grundsätzlich mit Korrelationsanalysen, z. B. auf Basis von mehrdimensi­ onalen Regressionsrechnungen, kombiniert werden.246

Zur kausalanalytischen Untersuchung von Schadensereignissen kommen insbe­ sondere Fehlerbaumanalysen, Ereignisbaumanalysen und neuronale Netze in Frage.247 Ereignisbaumanalysen (Event tree Analysis, ETA) untersuchen die Ent­ faltung eines Schadensereignisses bzw. von Schadensereigniskombinationen in der Zeit. Die Visualisierung erfolgt anhand von Baumdiagrammen. Die Baum245 Quelle: eigene Darstellung. 246 Von Korrelationen kann jedoch nicht auf Kausalitäten geschlossen werden, vgl. Bea/ Haas (1997), S. 111. 247 Einen Überblick gibt Marshall (2001), S. 25Iff.

100

Struktur kann mittels der booleschen Wahrscheinlichkeitslogik248 quantitativ untersucht werden.249

Abbildung 12: Ereignisbaumanalyse250

Mit Fehlerbaumanalysen werden mögliche Ursachen eines Schadensereignisses untersucht. Im Gegensatz zu Ereignisbaumanalysen liegt der Analysefokus nicht auf den Schadenswirkungen, sondern auf den Ursachen.251 Die Kausalstruktur des Schadensereignisses wird ebenfalls in Baumstrukturen anhand logischer UND bzw. ODER Verknüpfungen dargestellt und kann ebenfalls quantitativ zur Ab­ schätzung von Wahrscheinlichkeiten untersucht werden. Mit neuronalen Netzen wird die Umsetzung von menschlicher in künstliche Intelligenz angestrebt, indem versucht wird, die Funktionsweise von biologischen Nervenzellen in einem ma­ thematischen Modell einzufangen und computertechnisch zu simulieren.252 Das neuronale Netz muss anhand der gesammelten Schadensereignisdaten ein eigenes 248 249 250 251 232

Vgl. Schierenbeck (1999b), S. 11. Vgl. van den Brink (2001), S. 45 und Marshall (2001), S. 259. Quelle: eigene Darstellung nach den Ausführungen von Marshall (2001), S. 259. Nachzuvollziehen bei Marshall (2001), S. 253fT. Zur allgemeinen Darstellung von künstlich-neuronalen Netzen vgl. Vögtle (1997), S. 129ff.

101

Problemlösungsverhalten entwickeln.253 Derzeit tritt allerdings in neuronalen Netzen häufig das Problem auf, reale Kausalitäten von Scheinzusammenhängen (sog. „Noise“) zu trennen.254 Für weniger häufige Ereignisse ist die Kausalanaly­ se historischer Schadensereignisse allerdings nur bedingt geeignet. Die eventuell identifizierte Kausalkette muss nicht von vornherein bei vergleichbaren Scha­ densereignissen dieselben Ursachen und dieselbe Ereignisstruktur aufweisen.255 Ein Rückgriff auf sehr subjektive Verfahren wie bspw. Szenarioanalysen ist häu­ fig unumgänglich.

5.3 Identifikation der Risikofaktoren Eine Untersuchung der Risk-Management-Subgroup des Basler Ausschusses für Bankenaufsicht zum Thema Operational Risk ergab unter anderem, dass viele Banken ähnliche Risikofaktoren zur Bemessung von Operational Risk verwen­ den.256 Wie bereits erläutert besteht die Bedeutung der Risikofaktoren bzw. Risi­ kotreiber darin, dass sie insbesondere die Wahrscheinlichkeit des Auftretens eines Schadensereignisses erhöhen, wobei allerdings ein hohes Maß an Unsicherheit darüber besteht, welche Risikofaktoren bedeutsam sind, da in den meisten Fällen keine eindeutige Beziehung zwischen den Risikofaktoren und der Höhe bzw. Häufigkeit eines Schadensereignisses besteht.257 Das bedeutet, dass auf der bishe­ rigen Entwicklungsstufe des Operational Risk-Management in vielen Fällen le­ diglich ein vager Zusammenhang vermutet werden kann und noch erheblicher Forschungsbedarf besteht, zumal Operational Risk ein Multifaktorrisiko ist. Er­ schwerend kommt hinzu, dass die Risikofaktoren in dieser Risikokategorie so­ wohl quantitativer als auch qualitativer Natur sein können und sich sowohl exter­ ne wie auch interne Risikofaktoren identifizieren lassen. Beispiele für Risikofak­ toren aus der oben genannten Untersuchung sind Kennzahlen aus Internal AuditRatings, Control-Self-Assessments und aus anderen Formen der Beurteilung des internen Kontrollsystems sowie operative Schlüsselindikatoren in Form von Ge­ 253 Im Gegensatz zu Expertensystemen kommen neuronale Netze ohne „Wenn-Dann-Regeln“ unter Berücksichtigung sämtlicher Sonderfälle aus, vgl. Süchting/ Paul (1998), S. 274. 254 Vgl. Süchting/ Paul (1998), S. 274. 255 Generell ist zu konstatieren, dass der Verknüpfung von Ursache und dem dazugehörigen Schaden in vielen Fällen eine große Herausforderung für die Analysten darstellt, vgl. Jameson (1998b), S. 40. 256 Vgl. Basie Committee on Banking Supervision (1998), S. 2f. und Jovic (1999), S. 158. 237 Die Risikofaktoren beinhalten zumindest Anhaltspunkte für die Schadensereigniswahrscheinlichkcit, vgl. Basie Committee on Banking Supervision (1998), S. 4.

102

schäfts- oder Transaktionsvolumina, Fehlerraten, Systemausfallzeiten, Verluster­ fahrung und Ertragsvolatilität.258 Mögliche Risikofaktoren können in folgende Kategorien eingeteilt werden: Komplexität, Veränderung, Geschwindigkeit, Vo­ lumina, Überlastung, und finanzielle Faktoren259. Die Anzahl der denkbaren Risi­ kofaktoren ist dabei sehr hoch. Der Risikofaktor Selbstzufriedenheit birgt bspw. ein hohes Risikopotenzial in der Weise, dass die Verantwortlichen durch das Auftreten von häufigen, in ihrer Verlustwirkung jedoch geringen Schadensereig­ nissen zu einem falschen Sicherheitsdenken verleitet werden können.260 Abbil­ dung 13 zeigt eine mögliche Kategorisierung der Risikofaktoren.

Aus der Einteilung wird ersichtlich, dass ein enger Zusammenhang zwischen den Risikokategorien, die nach der hier vertretenen Kategorisierung die Risikoursa­ chen reflektieren, und den Risikofaktoren besteht und die Übergänge von den Risikofaktoren zu den Ursachen von Operational Risk fließend sein können.

Abbildung 13: Kategorisierung der Risikofaktoren261

So treten Schadensereignisse nicht selten als Kombination mehrerer interner und externer Risikofaktoren und -Ursachen auf. Die Identifikation der Risikofaktoren 258 259 260 261

Vgl. Jovic (1999), S. 158. Beispiele ftlr finanzielle Faktoren sind Umsatz oder Gewinnwachstumsraten. Vgl. Donahoe (1998), S. 99. Quelle: eigene Darstellung.

103

und deren Untersuchung sind in die Kausalanalysen in Bezug auf die Schadenser­ eignisse mit einzubeziehen.262 Die Analyseergebnisse bilden einen weiteren Da­ teninput für die Schadensdatenbank. Ein Ausgangspunkt zur Identifikation der Risikofaktoren ist die Auswertung der Schadensdatenbank hinsichtlich der Frage nach den Gemeinsamkeiten, die gleiche oder auch gleichartige historische Scha­ densereignisse aufweisen. Es ist in diesem Zusammenhang denkbar, dass das mehrmalige Auftreten derselben Art von Schadensereignis jeweils zur gleichen Tageszeit, in derselben Abteilung oder demselben DV-technischen System oder Mitarbeiter auffällt. Das kann oftmals als Indiz für eine bestimmte Risikofaktor­ kategorie angesehen werden. Die Gegenüberstellung der zeitlichen Entwicklung von identifizierten Risikofaktoren sowie den historischen und laufend auftreten­ den Schadensereignissen bietet weitere Ansatzpunkte für eingehende Analysen und ermöglicht darüber hinaus die Überprüfung der zu Grunde gelegten Zusam­ menhänge. Im Rahmen der kausalanalytischen Untersuchung eines Schadenser­ eignisses muss berücksichtigt werden, dass Risikofaktoren an mehreren Stellen der Kausalkette beeinflussend wirken können. Risikofaktoren können ein Scha­ densereignis direkt auslösen oder die Wirkungsrichtung der einzelnen betroffenen Ereignisse bestimmen.

Zur Beobachtung und Kontrolle der Risikofaktorenentwicklung können die mit den jeweiligen Risikofaktoren korrespondierenden Risikoindikatoren anhand ihrer Entwicklung im Zeitablauf beobachtet werden. Ein Vergleich der Trendge­ raden mit dem Auftreten bestimmter Schadensereignisse kann dabei wertvolle Erkenntnisse im Rahmen der Risikobeurteilung liefern. Risikoindikatoren sind in der Regel Verhältniszahlen, die im Rahmen von Frühwarnsystemen Gefahrenpo­ tenziale wie „Warnsignale“ anzeigen.263 Dabei muss (ebenfalls) analysiert wer­ den, wie die Indikatoren mit Schadensereignissen in der Vergangenheit korrelie­ ren.264 Der Risikofaktor Überlastung kann bspw. durch den Risikoindikator Mit­ arbeiterbelastung (= Anzahl der Mitarbeiter pro Anzahl der Transaktionen) oder Mitarbeiterfluktuation (= Anzahl der Kündigungen pro Anzahl der Mitarbeiter) ausgedrückt werden.265 Grundsätzlich kann auch in diesem Bereich auf die Bran­ chenerfahrung zurückgegriffen werden. Der Einsatz von Risikoindikatoren im Rahmen von Scoring-Modellen zur Quantifizierung von Operational Risk ist Gegenstand von Abschnitt 5.4.1. 262 263 264 263

Vgl. Jameson (1998b), S. 39. Vgl. Taylor/ Hoffman (1999), S. 13. Vgl. Peter et al. (2000), S. 669. Zur Klassifizierung der Risikoindikatoren vgl. Taylor/ Hoffman (1999), S. 13, einen tabellari­ schen Überblick geben BBA et al. (1999), S. 62.

104

Risikofaktoren mit hoher Korrelation zu bestimmten Schadensereignisursachen können auf einem hohen Entwicklungsstand des Operational Risk-Management auch im Rahmen der Quantifizierung eingesetzt werden.266 Durch die Modellie­ rung von Wahrscheinlichkeitsverteilungen ist es analog zu den Marktpreisrisiken denkbar, einen Value-at-Risk für Operational Risk je Risikofaktor auf der Basis von Faktorsensitivitäten abzuleiten. Hierbei müsste die Sensitivität einer Operati­ onal Risk Kategorie (bspw. in Form der Elastizität) auf die Veränderung eines Risikofaktors ermittelt werden. Die praktische Umsetzung dieser Verfahren steht allerdings noch aus und kann hier nicht thematisiert werden.

5.4 Quantifizierung des Operational Risk Eine umfassende und konsistente Quantifizierung des Operational Risk schafft die Voraussetzungen für die Integration des Operational Risk in die Gesamtbank­ steuerung, z. B. in Form risikoadjustierter Anreizsysteme (Performancemessung) wie dem Economic Value Added und dem Risk Adjusted Performance Measure­ ment (RAPM) über RAPM-Kennzahlen wie RORAC und RAROC267 und der Risikokapitalallokation (im Rahmen von Limitsystemen). Voraussetzung für diese Integration ist die Wahl eines einheitlichen gesamtbankweiten Quantifizie­ rungsverfahrens. Die nachfolgend dargestellten Verfahren stellen die derzeit am häufigsten diskutierten Verfahren dar. Ein Konsens über ein „Best practice“Verfahren existiert bislang noch nicht. Einige Autoren gehen sogar davon aus, dass eine umfassende Quantifizierung über alle Kategorien des Operational Risk hinweg nicht möglich ist.268

266 Vgl. Marshall (2001), S. 65. 267 Vgl. Ceske et al. (2000a), S. 35f. Zu einer allgemeinen Darstellung der RORAC- und RAROC Konzepte vgl. bspw. Hartmann-Wendels et al. (2000), S. 555. 268 Vgl. Jovic (1999), S. 157, der dies mit einer mangelnden Quantifizierbarkeit einiger Kategorien des Operational Risk begründet und darüber hinaus die sehr hohen Anforderungen an die Daten­ basis zur Schätzung einer Verlustverteilung betont.

105

5.4.1

Einfache Risikomodellierung durch Scoring-Modelle zur Ermittlung von Verlusterwartungswerten

Scoring-Modelle stellen eine relativ einfache Möglichkeit dar, Operational Risk in Form von Verlusterwartungs werten zu quantifizieren. Ermittelt werden dabei künftige Nettoverluste, d. h. die geplanten Steuerungsmaßnahmen und deren Auswirkungen werden berücksichtigt. Scoring-Modelle stellen eine Modifikation der allgemeinen Nutzwertanalyse269 auf die hier behandelte Problemstellung der Ermittlung zukünftiger erwarteter Verluste dar.270 Dabei sind verschiedene Aus­ gestaltungsformen denkbar. Eine verallgemeinerte mögliche Vorgehensweise wird im Folgenden skizziert.271 In jedem Geschäftsbereich werden den Haupt- und Subrisikokategorien die iden­ tifizierten Risikofaktoren zugeordnet, welche die Wahrscheinlichkeit eines Scha­ densereignisses beeinflussen, und nach ihrer Signifikanz und Bedeutung gewich­ tet. Jedes denkbare Schadensereignis wird danach anhand von sog. Kontroll­ punkten, darunter werden standardisierte Bewertungsfragen verstanden, beurteilt und in einer Ratingskala erfasst. Das Produkt aus Rating und Gewichtungsfaktor ergibt den jeweiligen Score für den spezifischen Kontrollpunkt. Mit Hilfe einer Score-Tabelle wird jedem Score eine Eintrittswahrscheinlichkeit zugeordnet.272

Die Score-Tabelle kann bspw. anhand von Expertenschätzungen etabliert wer­ den.273 Dabei werden bestimmten Score-Intervallen Wahrscheinlichkeitswerte zugeordnet (z. B. für einen Score zwischen fünf und zehn gilt die Wahrschein­ lichkeit von zwei Prozent usw.). Die Ermittlung der potenziellen Verlusthöhe kann aus der Schadensdatenbank oder wiederum über Expertenschätzungen er­ mittelt werden. Der erwartete Verlust ergibt sich anschließend als Produkt aus Eintrittswahrscheinlichkeit und potenzieller Verlusthöhe. 269 Vgl. zur allgemeinen Nutzwertanalyse im Rahmen der Bewertung von Entscheidungsalternativen: Troßmann (1998), S. 24ff. 270 Es handelt sich insbesondere um eine Übertragung der Scoring-Verfahren aus der Kreditrisiko­ analyse, vgl. die Ausführungen von Buhr (2000), S. 202ff. 271 Diese Vorgehensweise entspricht einer Verallgemeinerung der stark auf Prozessrisiken fokus­ sierten Vorgehensweise von Buhr (2000), S. 203f. 272 Vgl. Kingsley et al. (1998), S. 15. 273 Vgl. Buhr (2000), S. 204.

106

Alternativ zu dieser eher „qualitativen“ Vorgehensweise ist die Verwendung von Risikoindikatoren für jede Risikokategorie denkbar. Durch die in der Schadens­ datenbank nachvollziehbare prozentuale Veränderung der jeweiligen Risikoindi­ katoren im Vergleich zum Vorjahr und deren Multiplikation mit den o.g. Ge­ wichtungsfaktoren, kann für jede Risikokategorie ein Score in Form eines ge­ wichteten Durchschnitts ermittelt werden.274 Durch Multiplikation des gewichte­ ten Durchschnitts mit den im Vorjahr aufgetretenen Verlusten ergibt sich der erwartete Verlust je Risikokategorie im betrachteten Geschäftsbereich für das folgende Geschäftsjahr. Kritisch ist an Scoring-Modellen die Nichtberücksichti­ gung von bisher noch nicht aufgetretenen Schadensereignissen und der hohe Grad an Subjektivität bei der Auswahl der Risikoindikatoren zu sehen. Problematisch ist auch die nur schwere Abbildungsmöglichkeit möglicher Korrelationen zwi­ schen den Risikofaktoren untereinander. Trotz ihrer intuitiv plausiblen Vorge­ hensweise generieren sie nur sehr ungenaue Verlusterwartungswerte. Anhang 8 zeigt ein exemplarisches Scoring-Modell für die Kategorie personelle Risiken.

5.4.2

Variation des Value-at-Risk-Ansatzes

Grundlage der meisten Modelle zur Ermittlung des bankbetrieblichen Risikoka­ pitals ist der Value-at-Risk-Ansatz. Dieser kann prinzipiell auf alle bankbetriebli­ chen Risikokategorien, namentlich Marktrisiken, Kreditrisiken und Operational Risk, angewendet werden.275 Der VaR im Bereich des Operational Risk kann definiert werden als derjenige erwartete finanzielle Verlust, der mit hoher Wahr­ scheinlichkeit (Konfidenzniveau; häufig 95 oder 99 Prozent276) innerhalb einer bestimmten Zeitperiode (Haltedauer im Bereich der Marktrisiken) nicht über­ schritten wird.277 Der VaR ist ein marktwertorientierter Ansatz, d. h. er steht im Zusammenhang mit dem Marktwertverlust von Vermögensgegenständen (Assets) oder der Marktwerterhöhung von Verbindlichkeiten, in Abgrenzung zu den topdown-orientierten Eamings-at-Risk-Ansätzen, die auf Ertragsvolatilitäten fokus­ siert sind.278 Parametrische VaR-Modelle schätzen unter Annahme einer speziel­ 274 Vgl. Aulinger (2000), S. 39ff. 275 Vgl. Matten (2000), S. 149. 276 Dabei ist allerdings zu berücksichtigen, dass es sich um ein einseitiges Konfidenzintervall han­ delt. Bei einem einseitigen Konfidenzintervall von 5 % beträgt das Konfidenzniveau 95 %, bei ei­ nem zweiseitigen symmetrischen Konfidenzintervall von 5 % beträgt das Konfidenzniveau dage­ gen 90 %. Vgl. Bosch (1996), S. 349f. 277 Vgl. Marshall (2001), S. 77. 278 Vgl. Matten (2000), S. 149.

107

len zu Grunde liegenden Verteilung (i. d. R. wird eine Normalverteilung unter­ stellt) die extremen Perzentile dieser Verteilung und deren spezielle Momente (i. d. R. die Standardabweichung oder ein Mehrfaches davon).279 Problematisch bei den parametrischen VaR-Ansätzen ist allgemein, besonders jedoch im Bereich des Operational Risk, die Normalverteilungsannahme. Die aggregierte Verlustverteilung des Operational Risk weicht erheblich von der Normalverteilung ab. Normalverteilte Verluste schwanken gleichmäßig um ihren Erwartungswert und nehmen mit zunehmendem Abstand vom Mittelwert sym­ metrisch in ihrer Häufigkeit ab. Die Schiefe S einer Verteilung gibt an, wie stark die Verluste von dieser Annahme abweichen. Bei symmetrischen Dichten ist S = 0; gilt S < 0 (negative Schiefe), ist die Verteilung linksschief; bei S > 0 (positive Schiefe) rechtsschief.280 Aggregierte Verlustverteilungen für Operational Risk sind i. d. R. rechtsschief, d. h. sie weisen eine starke Asymmetrie zu großen Schadenshöhen auf und sind demnach höchst sensitiv gegenüber Schadensfällen mit geringer Eintrittwahrscheinlichkeit und hohem Verlustpotenzial.281 Darüber hinaus liegt die Vermutung nahe, die aggregierte Verlustverteilung habe „Fat Tails“282 („dicke Enden“), d. h. die Normalverteilung unterschätzt systematisch größere Abweichungen vom Verlustmittelwert und darüber hinaus „Long Tails“ („Lange Enden“). Im Gegensatz zu den parametrischen VaR-Modellen (z. B. der analytischen Varianz-Kovarianz-Methode), verzichten die auf Simulationen ba­ sierenden VaR-Modelle auf jegliche Verteilungsannahme.283

Das ökonomische Eigenkapital bzw. Risikokapital (Capital-at-Risk, im Folgen­ den CaR) ist das benötigte Kapital, um einen Risikopuffer gegen unerwartete Verluste zu bilden. Es handelt sich im Grunde um den VaR der Nettoverluste mit einem von der gewünschten Insolvenzwahrscheinlichkeit determinierten Schwel­ lenwert. Das Konfidenzniveau kann demzufolge durch die von einer Ratinga­ gentur ermittelte jährliche Insolvenzwahrscheinlichkeit (sog. „default probabili­ ty“) über das Rating, abgeleitet werden. Für die Haltedauer wird ein Zeitraum von einem Jahr vorgeschlagen.284 Zur Berechnung des CaR im Marktrisikobereich wird der VaR mit einem bankintemen Multiplikator multipliziert.285 Durch die im 279 280 281 282 283 284 283

Vgl. Marshall(2001),S. 77. Vgl. Bosch (1996), S. 266. Vgl. Peter et al. (2000), S. 671. Vgl. Ceske et al. (2000b), S. 8. Zur Begrifisherkunft „Fat Tails“ vgl. Crouhy et al. (2001), S. 193. Vgl. Marshall (2001), S. 77. Vgl. Peter et al. (2000), S. 671. Zur Begründung und Vorgehensweise vgl. Jovic (1999), S. 122f.

108

Bereich des Operational Risk unterstellte einjährige Haltedauer werden die Beg­ riffe VaR und CaR in der vorliegenden Arbeit, wenn nicht anders erwähnt, gleichgesetzt und das CaR primär in Abhängigkeit von der Insolvenzwahrschein­ lichkeit gesehen.286 Die VaR-Berechnung erfolgt im Bereich der Marktrisiken sowohl bei den para­ metrischen wie auch bei den nicht-parametrischen Verfahren auf der Basis von Marktrisikofaktorsensitivitäten.287 Eine Variation des VaR-Ansatzes im Bereich der Marktrisiken ergibt sich für die nachfolgend beschriebene Quantifizierung von Operational Risk insofern, als Daten nicht über Risikofaktorvolatilitäten und deren Verteilung modelliert werden sondern über Verlustverteilungen von Scha­ densereignissen. Eine Modellierung von Risikofaktoren über deren Verteilungen wird im Rahmen der Thematik von Operational Risk im Bereich des sog. „Predictive-Modeling“ behandelt.288

5.4.3

Modellierung individueller stochastischer Verlustver­ teilungen

Der statistisch-versicherungsmathematische Ansatz nimmt eine Zerlegung der Verlustverteilung in zwei Arten von Verteilungen vor: zum einen wird die Häu­ figkeitsverteilung (sog. „frequency distribution“) für Verluste aus Operational Risk modelliert, zum anderen eine Verlusthöhenverteilung.289 Argumente für die getrennte Erfassung der Schadenshäufigkeiten und der Schadensausmaße sind die grundsätzlich einfachere getrennte Modellierbarkeit und der Umstand, dass die Versicherungs Wirtschaft in der Modellierung von Schadensereignishäufigkeiten über einschlägige Erfahrungen verfügt.

286 Nach der Auffassung von Rudolph/ Johanning (2000), S, 34 soll mit dem Begriff CaR zum Ausdruck gebracht werden, dass nicht nur die Risiken des Handelsbereiches einer Kapitalunterle­ gung bedürfen, sondern sämtliche Bankrisiken mit Risikokapital unterlegt werden müssen. Beide Kennzahlen sind auch in sofern vergleichbar, dass unerwartete Verluste innerhalb einer be­ stimmten Zeitperiode bei einem bestimmten Konfidenznivau einen bestimmten Verlustschwel­ lenwert nicht übersteigen, vgl. Ceske et al. (2000a), S. 35. 287 Vgl. die Ausführungen von Crouhy et al. (2001), Kapitel 5, S. 177ff. 288 Vgl. Marshall (2001), S. 343ff. 289 Vgl. Beeck/ Kaiser (2000), S. 642f.

109

Für die Darstellung der Schadenshäufigkeit und das Schadensausmaß eignet sich eine Wahrscheinlichkeitsverteilung, da weder die Schadenshäufigkeit noch das Schadensausmaß auf einen Wert festgelegt sind. Die Wahrscheinlichkeitsvertei­ lung ordnet jedem möglichen Wert eine Eintrittswahrscheinlichkeit zu. Letztlich erleichtert diese Vorgehens weise eine direkte Ableitung von Steuerungsimpul­ sen.290 Für diese Modellierung bilden die in der Schadensdatenbank entsprechend aufbereiteten internen und externen Schadensereignisdaten die Datengrundlage.291 Vereinfachend wird hierbei davon ausgegangen, dass historische Schadensereig­ nisdaten in hinreichendem Umfang zur Verfügung stehen. Die Schadenshäufigkeits- und Schadenshöhenverteilungen werden als voneinander unabhängig ange­ nommen, d. h. die Höhe eines einzelnen Verlustes ist von der Anzahl der aufge­ tretenen Verluste unabhängig.292 Die Verteilungen werden dabei zunächst gemäß der bottom-up-Vorgehensweise je Risiko-/Geschäftsbereichsdimension model­ liert.

5.4.3.1

Erfassung von Schadensausmaßen

Die Modellierung von Verlusthöhenverteilungen kann auf verschiedene Arten, abhängig vom Umfang der zur Verfügung stehenden Schadensereignisdaten, modelliert werden. In einem ersten Schritt wird aus dem Datenmaterial ein Ver­ lusthöhenhistogramm gebildet. Ist ausreichendes Datenmaterial vorhanden kann die Verlusthöhenverteilung direkt über ihre empirische Verteilung modelliert werden. Ist die zur Verfügung stehende Datenbasis jedoch unzureichend, kann die Verlusthöhenverteilung durch stetige Modellverteilungen approximiert werden.

Bei der Verwendung von nicht-parametrischen Verfahren wird anhand der Form der zu Grunde liegenden empirischen Verlusthöhenverteilung oder der verfügba­ ren Daten in Form des Verlusthöhenhistogramms eine passende Modellverteilung abgeleitet.293 Dabei werden keinerlei Verteilungsannahmen getroffen, es erfolgt lediglich eine visuelle Formbetrachtung anhand des Histogramms (vergleiche 290 Vgl. Marshall (2001), S. 70. 291 Alternativ zur Verwendung historischer Schadensereignisdaten kann auf Basis von Experten­ schätzungen oder aufgrund von Abhängigkeiten von einer bekannten Verteilung auf die Vertei­ lung eines Schadensereignisses geschlossen werden. Die Wahrscheinlichkeitsverteilung auf der Basis von historischen Schadensdaten ermöglicht jedoch die objektivste Sichtweise, vgl. Marshall (2001), S. 188. 292 Vgl. Beeck/ Kaiser (2000), S. 643. 293 Vgl. Ceske et al. (2000b), S. 9.

110

Abb. 14). Eine zweite Gruppe der nicht-parametrischen Verfahren sind nicht­ parametrische Tests, wie z. B. Chi-Quadrat-Tests und Kolmogorow-SmimowTests.294

2.500

5.000

7.500

10.000

750.000

250.000

1.500.000 1.250.000

Verlusthöhe (Euro)

B

Exemplarische Weibullverteilung

I

Empirische Daten

Abbildung 14: Exemplarische Darstellung einer Weibull-Verteilung295

Bei den parametrischen Verfahren werden die Parameter einer angenommenen Modellverteilung anhand von Parameterschätzverfahren ermittelt.296 Die Proble­ matik für den Risikomanager besteht allerdings darin, die geeignete Modellver­ teilung auszuwählen und deren Parameter hinlänglich zu schätzen.297 Im Rahmen der parametrischen Verfahren wird ein Fit der Modellverteilung an die empirische Verlusthöhenverteilung vorgenommen, bzw. eine Modell Verteilung an ein Daten­ set angepasst.298 Bei unzureichender Datenbasis aufgrund seltener Schadenser294 Vgl. Sänchez/ Ceske (2000), o.S. und zur Beschreibung der Testverfahren vgl. Bosch (1996), S. 435ff. 295 Quelle: modifiziert übernommen aus Marshall (2001), S. 241. 296 Vgl. Mori et al. (2000), S. 5. 297 Vgl. Sänchez/ Ceske (2000), o.S. 298 Vgl. Marshall (2001), S. 224.

111

eignisse oder einer sehr kurzen Datenhistorie299 lässt sich nur eine lückenhafte empirische Verteilung erstellen. In diesem Fall können Ausreißer ein relativ star­ kes gewicht aufweisen. Durch die Anwendung parametrischer Funktionen wird die empirische Verteilung geglättet nachgebildet und dadurch Ausreißer elimi­ niert. Häufig verwendete Parameterschätzverfahren sind insbesondere die Maxi­ mum-Likelihood-Schätzung 300 oder neuerdings Extremwertverteilungen 301. Als stetige Modellverteilungen zur Erfassung der Schadenshöhen werden vor allem die Lognormalverteilung und die Weibull-Verteilung diskutiert.302

160 “1

Verlusthöhe in tausend Euro (logarithmische Skalierung)

t—,—i

Empirische Verteilung

-------- 1-------Modellverteilung

Extremwertverteilung

Abbildung 15: Modellierung einer Verlusthöhenverteilung303

Interne Schadensereignisdaten unterstützen die Bestimmung der Form (sog. „bo­ dy“) der Verlusthöhenverteilung.304 Diese reflektiert insbesondere die häufig 299 Gerade bei Beginn der Implementierung einer Schadensdatenbank ist die erfasste Schadensereig­ nishistorie sehr kurz. 300 Zur Maximum-Likelihood Schätzung vgl. ausführlich Bosch (1996), S. 335ff. 301 Zur Darstellung der Extremwerttheorie vgl. ausführlich bspw. Borkovec/ Klüppelberg (2000), S. 223 ff. 302 Vgl. Beeck/ Kaiser (2000), S. 643, die sich auf empirische Erkenntnisse beziehen und Laycock (1998), S.139. 303 Quelle: modifiziert übernommen aus Ceske et al. (2000b), S. 10. 304 Vgl. Ceske et al. (2000b), S. 7.

112

auftretenden Schadensereignisse mit relativ geringem Schadensausmaß. Das Anpassen (sog. „fitting“) der Verteilung an das Verteilungsende des Schadenshö­ henspektrums (relativ geringe Anzahl von Datenpunkten für hohe bzw. schwere Schäden) ist allerdings häufig nicht unproblematisch. Hier ist die Einbeziehung von externen Daten und synthetischen Datenpunkten sinnvoll. Diese bringen im ersten Fall die Einschätzungen von Experten zum Ausdruck und spiegeln im zweiten Fall die Branchenerfahrung wider. Zur Untersuchung des Verteilungsen­ des wird in jüngster Zeit versucht, die Extremwerttheorie auch auf die Problem­ stellung einiger Kategorien von Operational Risk anzuwenden.305 Dabei wird bspw. die Weibull-Verteilung ab einem bestimmten Schwellenwert gestutzt, und das Verteilungsende ab diesem Schwellenwert wird durch eine Extremwertver­ teilung (sog. „excess distribution“) untersucht.306 Ist hierzu simultan die verfügba­ re Datenmenge für verschiedene Bereiche der Verlusthöhenverteilung unter­ schiedlich, können diese Bereichejeweils mit anderen Methoden modelliert wer­ den (vergleiche Abbildung 15).307 Der Vorteil der Extremwerttheorie liegt darin, dass nur relativ wenig Datenpunkte zur Modellierung des Verteilungsendes be­ nötigt werden.

5.4.3.2

Erfassung von Schadenshäufigkeiten

Die Schadenshäufigkeitsverteilung kann prinzipiell auf gleiche Weise wie die Schadenshöhenverteilung modelliert werden. Die Modellierung kann bei ausrei­ chender Datenmenge über die empirische Schadenshäufigkeitsverteilung erfolgen oder durch die Schätzung der Parameter einer, jedoch im Gegensatz zur Scha­ denshöhenverteilung diskreten, Modellverteilung.308 Im Unterschied zur Scha­ denshöhenverteilung ist bei diesem Verfahren allerdings die primäre Verwendung institutsintemer Schadensereignisdaten von Bedeutung.

305 Vgl. Cruz et al. (1998), S. 64. 306 Vgl. Balestra (2000), S. 4. Zu Extremwertverteilungen vgl. bspw. Borkovec/ Klüppelberg (2000), S. 223ff. 307 Vgl. Ceske et al. (2000b), S. 10. 308 Vgl. Marshall (2001), S. 224.

113

Häufigkeit

Abbildung 16: Häufigkeitsverteilung einer Poisson-Verteilung309

Die Wahrscheinlichkeit des Auftretens eines Schadensereignisses hängt stark von den institutsspezifischen Risikofaktoren ab. Diese wiederum werden insbesondere von den Charakteristika des jeweiligen Kreditinstituts determiniert und sind nur bedingt branchenübergreifend vergleichbar. Beispiele sind die Besonderheiten der Kontrollprozesse, der Auslastungsgrad der Mitarbeiter und das Arbeitsklima. In der Praxis werden als Modellverteilungen häufig die Poisson-Verteilung und die negative Binomialverteilung verwendet.310 Die Schadenshäufigkeitsverteilung modelliert allgemein die Anzahl der Schäden aus Operational Risk über einem bestimmten Schwellenwert innerhalb eines zu Grunde gelegten Betrachtungszeit­ raums. Insbesondere das kanonische Modell der Versicherungsmathematik nimmt hierzu die Poisson-Verteilung an.311 Zu beachten sind allerdings die Eigenschaf­ ten der gewählten Modellverteilungen. Die Poisson-Verteilung bspw. eignet sich besonders zur Modellierung von IT-Systemrisiken, wenn diese eine konstante Fehlerrate im Verlauf der Zeit aufweisen.312 Die Poisson-Verteilung unterschätzt 309 310 3,1 3,2

Quelle: modifiziert übernommen aus Beeck/ Kaiser (2000), S. 643. Vgl. Ceske et al. (2000b), S. 9. Vgl. Beeck/ Kaiser (2000), S. 643. Vgl. Marshall (2001), S. 228.

114

darüber hinaus sehr häufig auftretende Schadensereignisse, da Operational Risk ein Multifaktorrisiko darstellt und viele Schadensereignisse nicht unabhängig sind.313 Stetige Verteilungen zur Modellierung der Schadenshäufigkeit sollten darüber hinaus nur verwendet werden, wenn hinlänglich viele Schadensereignisse in einer Betrachtungsperiode auftreten, oder wenn anstelle der Schadensereignis­ häufigkeit in der Betrachtungsperiode die Zeit zwischen dem Auftreten der Scha­ densereignisse modelliert werden soll.314

5.4.3.3

Aggregierte Verlustverteilungen: Ableitung des ökonomischen Kapitals

Die Modellierung der aggregierten Verlustverteilung kann auf verschiedene Arten erfolgen. Vernachlässigt man die oben erläuterten Vorteile einer getrennten Er­ fassung von Schadensausmaßen und deren Häufigkeiten, kann die aggregierte Verlustverteilung grundsätzlich direkt auf Basis der empirischen Schadensereig­ nisdaten modelliert werden. Wie bereits erwähnt, werden die Verlusthöhen und deren Häufigkeiten als voneinander unabhängig angenommen.

Die aus der Verlustshöhen- und der Verlusthäufigkeitsverteilung gebildete kom­ binierte Verlustverteilung315 kann formal bspw. wie folgt beschrieben werden:316

co i=0

(2) (3)

N ~ Po(X) Y^N^a2) mit Yi= In X™

Das Beispiel zeigt eine Gesamtverlustverteilung S als stochastische Summe aus unabhängig identisch lognormalverteilten Zufallsvariablen A j wobei die Anzahl der Summanden (Häufigkeit) N poisson-verteilt ist. 313 Vgl. Laycock (1998), S. 138. 314 Vgl. Marshall (2001), S. 244. 315 Diese kann auch als Capital-at-Risk-Verteilung bezeichnet werden, vgl. Ceske et al. (2000a), S. 36. 316 Vgl. Beeck/ Kaiser (2000), S. 644. 317 Vgl. Bosch (1996), S. 294.

115

Die Verlustverteilungen können anschließend fur jeden Fall auf dem jeweils angestrebten Aggregationsniveau kombiniert werden.318 In Frage kommen insbe­ sondere die Aggregation auf Geschäftsbereichsebene, pro Risikokategorie oder gesamtbankweit.319 Die Zusammensetzung der Verlusthäufigkeitsverteilungen und Verlusthöhenverteilungen kann über eine Monte-Carlo-Simulation320 oder durch Anwendung analytischer Methoden erfolgen.321 Zur Abbildung von Ver­ lustverteilungen, die zwei oder mehr Risikokategorien übergreifen, ist deren mul­ tivariate Verteilung zu ermitteln. Bei voneinander abhängigen Risiken kann dabei unter Zuhilfenahme der Korrelationsmatrix eine multivariate Verlustverteilung über die Monte-Carlo-Simulation determiniert werden.322

Der Mittelwert der Verlustverteilung wird in diesem Zusammenhang als expected loss bezeichnet. Wie erwähnt stellen expected losses kein Risiko im Sinne einer unerwarteten Abweichung von einem vorgegebenen Zielwert dar, sondern kön­ nen als Routinekosten der bankbetrieblichen Geschäftstätigkeit verstanden wer­ den.323 Schwankungen um den Verlustmittelwert der Verlustverteilung stellen das sog. unexpected loss dar, die mit ökonomischem Eigenkapital unterlegt werden. Darüber hinaus kann es zu extremen Verlusten (sog. „Exceptional Losses“ oder „Catastrophic Losses“) aufgrund sog. „Tail Events“, d. h. Ereignissen mit gerin­ ger Eintrittswahrscheinlichkeit und sehr hohem Verlustpotenzial kommen.324 Diese werden nur in bestimmter Höhe mit ökonomischem Eigenkapital unterlegt.

3,8 Vgl. O’Brien/ Smith (1999), S. 18. Und Ceske et al. (2000a), S. 35. 319 Vgl. ausführlich Ceske/ Hernandez (1999), S. 19f. 320 Inwiefern die Vorgehensweise der Monte-Carlo-Simulation im Bereich von Operational Risk analog zur Ermittlung des VaR von Marktrisiken eine Normal Verteilung unterstellt, vgl. bspw. die Ausführungen von Schierenbeck (1999b), S. 30, kann im Rahmen der vorliegenden Arbeit nicht untersucht werden. Es wird dafür die Ansicht von Hartmann-Wendels et al. (2000), S. 562 den Ausführungen zu Grunde gelegt und auf die hier behandelte Problematik übertragen, wonach das wesentliche Merkmal der Monte-Carlo-Simulation die freie Vorgabe von angenommenen Ver­ teilungen (dort der Marktrisikofaktoren) ist. 321 Vgl. Ceske/ Hernandez (1999), S. 18f. 322 Vgl. ausführlich Ceske et al. (2000b), S. lOf. 323 Vgl. Matten (2000), S. 151, 324 Vgl. bspw. Jovic (1999), S. 122.

116

Wahrscheinlichkeit

Abbildung 17: Illustrative Gesamtverlustverteilung325

Die Quantifizierung des Operational Risk, respektive die Ermittlung des VaR kann im Wesentlichen anhand zweier derzeit diskutierter Ansätze erfolgen. Beim Simulationsansatz326 wird durch eine zweistufige Monte-Carlo-Simulation in einem ersten Durchgang zunächst eine zufällige Anzahl von Verlusten (n) aus der Schadenhäufigkeitsverteilung gezogen. Im zweiten Durchgang wird n-mal zufällig eine korrespondierende Verlusthöhe aus der Verlusthöhenverteilung gezogen. Nach einer genügend hohen Anzahl von Wiederholungen werden die Ergebnisse der Größe nach sortiert. Die Anzahl der Wiederholungen sollte dabei so gewählt werden, dass die Konvergenz der Ergebnisse sichergestellt werden kann. Der VaR für Verluste aus Operational Risk mit dem gewünschten Konfi­ denzniveau ergibt sich durch den höchsten simulierten Verlust innerhalb des 323 Quelle: modifiziert übernommen aus Keck/ Jovic (1999), S. 966. 326 Zu den folgenden Ausführungen vgl. Peter et al. (2000), S. 671.

117

entsprechenden Quantils (bspw. dem 99%-Quantil bei einem Konfidenzniveau von 99% und einer unterstellten einjährigen Haltedauer). Zusätzlich zur VaR-Ermittlung sollten die über die statistische Wahrscheinlich­ keit hinausgehenden Verluste periodisch in verschiedenen Stress-Szenarien, z. B. in Form von Worst-Case-Szenarien simuliert und analysiert werden. Im Zeitab­ laufkann anhand der tatsächlich beobachteten Schadensereignisse in einer Perio­ de und deren Analyse ein Backtesting der Quantifizierungsverfahren vorgenom­ men werden. Der Quantifizierungsprozess selbst ist somit laufenden Kontrollen zu unterziehen.327 Andere Vertreter des versicherungsmathematischen Ansatzes argumentieren, dass der VaR für Operational Risk in hohem Maße durch den Rand der aggregierten Verlustverteilung, d. h. durch seltene, aber sehr hohe Verluste (sog. extreme events oder catastrophic losses328), determiniert wird und demnach eine stark rechtsschiefe, asymmetrische und leptokurtische Form aufweist.329 Über einem bestimmten Schwellenwert wird eine sog. Generalized-Extreme-Value-(GEV)Verteilung an das Verteilungsende der aggregierten Verlustverteilung angepasst und deren Parameter ermittelt. Daraus ergibt sich folgende formale Darstellung der GEV-Verteilung für eine unabhängig identisch verteilte Zufallsvariable Y - V .330 Al,n '

und z = (y —//)/ys

(1)

mit Z =

(2)

P(Y