1. Einleitung
2. Grundlagen von Basel II
2.1 Definition des operationellen Risikos
2.1.1 Technische Risiken
2.1.2 Externe Risiken
2.1.3 Personelle Risiken
2.1.4 Weitere Risiken
2.2 Säulenkonzept
2.2.1 Marktdisziplin (3. Säule)
2.2.2 Bankenaufsicht (2. Säule)
2.2.3 Eigenkapitalanforderungen (1. Säule)
2.2.3.1 Basisindikatoransatz
2.2.3.2 Standardansatz
2.2.3.3 Ambitionierte Messansätze
2.2.3.3.1 Der interne Bemessungsansatz
2.2.3.3.2 Der Verlustverteilungsansatz
2.2.3.3.3 Der Scorecardansatz
2.3 Zusammenfassung
3. Das IT-Risikomanagement
3.1 Grundlagen des IT-Risikomanagements
3.1.1 Vertraulichkeit
3.1.2 Integrität
3.1.3 Verfügbarkeit
3.1.4 Identifikation
3.1.5 Authentizität
3.2 Einführung in das IT-Risikomanagement
3.3 Identifikation von IT-Risiken
3.3.1 Checklisten
3.3.2 Methode der kritischen Erfolgsfaktoren
3.3.3 Nutzwertanalyse
3.3.3 Früherkennungssystem
3.3.4 Fehlerbaum-Analyse
3.4 Analyse von IT-Risiken
3.4.1 Quantitative Analysemethoden
3.4.1.1 Einfache Schätzverfahren
3.4.1.2 Operational Value-at-Risk
3.4.1.3 Extremwert-Theorie
3.4.1.4 Fuzzy-Logic-Systeme
3.4.1.5 Kausal-Methoden
3.4.2 Qualitative Analysetechniken
3.4.2.1 Szenario-Technik
3.4.2.2 Delphi-Methode
3.5 Steuerung der IT-Risiken
3.5.1 Risikopolitische Instrumente
3.5.1.1 Risikovermeidung
3.5.1.2 Risikoverminderung
3.5.1.3 Risikoüberwälzung
3.5.1.4 Risikoselbsttragung
3.5.2 Risikopolitische Methoden
3.5.2.1 Kennzahlen und Kennzahlensysteme
3.5.2.2 Katastrophenmanagement
3.5.2.3 Balanced Scorecard
3.6 Überwachung von IT-Risiken
3.6.1 Berichtswesen
3.6.2 ABC-Analyse
3.6.3 GAP-Analyse
4. Zusammenfassung und Ausblick
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Kategorisierung von operationellen Risiken
Abbildung 2: Säulenmodell Basel II
Abbildung 3: EK-Unterlegung und Anforderungen an Systeme der Basel II-Ansätze
Abbildung 4: Verlustverteilung von Risiken
Abbildung 5: IT-Risikostrategie-Modell nach Krcmar
Abbildung 6: Risikoportfoliomatrix
Abbildung 7: Fehlerbaum-Analyse
Abbildung 8: Der VaR bei Normalverteilung
Abbildung 9: VaR-Portfolio
Abbildung 10: Szenario-Trichter
Abbildung 11: Steuerung der Reduzierung von Risiken
Abbildung 12: Implementierung eines Notfallplans für das Katastrophenmanagement
Abbildung 13: Risikomatrix eines Rechenzentrums
Abbildung 14: Balanced Scorecard
Abbildung 15: GAP-Analyse
Tabelle 1: Wirtschaftsfaktor IT-Sicherheitslösungen, weltweiter Markt (in Mio. USD)
Tabelle 2: Anteilige Bedeutung des operationellen Risikos der Geschäftsfelder
Tabelle 3: Gegenüberstellung der drei Ansätze
Tabelle 4: Unterstützungsmatrix der kritischen Erfolgsfaktoren
Tabelle 5: Nutzwertanalyse
Tabelle 6: Risikopolitisches Instrumentarium
Tabelle 7: Merkmale von Berichten
Tabelle 8: ABC-Analyse - Rangaufstellung
Tabelle 9: ABC-Analyse - Klasseneinteilung
Tabelle 10: Operationelle Risiken - Detaillierte Klassifikation von Verlustereignissen
Tabelle 11: Zuordnung der Geschäfsfelder beim Standardindikatoransatz
Tabelle 12: Risikotypenkategorien Interner Bemessungsansatz
Tabelle 13: Checkliste: Vergabe von Zutrittsberechtigungen
Tabelle 14: Entwicklungsgenerationen von Frühinformationssystemen
Tabelle 15: Ermittlung des Gesamtrisiko beim Value-at-Risk-Ansatz
Tabelle 16: Balanced Scorecard einer Private Banking Devision
Die Informationstechnologie (IT) ist heutzutage aus dem Geschäftsfeld der Kreditinstitute nicht mehr wegzudenken. Der Einsatz von IT als Unterstützungsprozess für die Kernprozesse einer Bank ist ein wesentlicher Bestandteiler der Wertschöpfungskette geworden. Der Einsatz der Technologie erleichtert im erheblichen Umfang die anfallenden Arbeiten. Zudem werden Dienstleistungen auf technischen Systemen angeboten und neue Tätigkeitsfelder erschlossen. Die Mitarbeiter stehen jedoch auch vor neuen Herausforderungen. Kaum ein anderer Bereich ist so schnelllebig wie die IT. Die Mitarbeiter und die etablierten Prozesse innerhalb eines Hauses müssen sich dauernd neuen Gegebenheiten anpassen. Zukünftige Entwicklungen las- sen sich kaum vorhersagen.
Kreditinstitute sind zunehmend abhängig von der Zuverlässigkeit, Sicherheit und Qualität der Informations- und Kommunikationstechnik (IKT). Diese Abhängigkeit stellt ein Risiko für ein funktionsfähiges Informationsmanagement dar.1 Das Auftreten von Managementfehlern und finanzieller Schadensereignisse bis hin zur Insolvenz einiger Unternehmen führten zu einer Überarbeitung der regulatorischen Eigenkapitalunterlegung auf internationaler Ebene für Kreditinstitute mit dem Namen Basel II. Die Diskussion über die Details der grundlegen- den Umänderung der Bankenlandschaft hält bis heute an. Zudem müssen die Vorschläge des Baseler Ausschusses in europäisches und nationales Recht umgewandelt werden.
Ein zentrales Thema von Basel II ist das Risikomanagement in den Kreditinstituten. Zukünftig wird die Bankenaufsicht verstärkt diesen Teil des Managements kontrollieren. Sofern ein Kreditinstitut ein umfassendes Risikomanagement innerhalb des Hauses installiert, können finanzielle Schäden präventiv verhindert oder in der Auswirkung zumindest gemindert werden. Die Unkosten für eine solche aufwendige Installation werden insofern reduziert, dass der Baseler Ausschuss eine Ersparnis in der Eigenkapitalunterlegung von operationellen Risiken in Höhe von bis zu 25% in Aussicht stellt.
Vor diesem Hintergrund muss in den Kreditinstituten über den Einsatz eines Risikomanage- mentsystems extra für IT-Risiken nachgedacht werden. Daher setzt sich diese vorliegende Arbeit das Ziel, auf der Basis bisheriger Informationen von Basel II Vorschläge zu unterbrei- ten, welche Bestandteile eines IT-Risikomanagementsystem speziell Kreditinstitute benötigen können. Da die Inhalte von Basel II noch diskutiert werden und Details der zukünftigen Anforderungen noch unbekannt sind, kann die Vorstellung des Systems in dieser Arbeit als Orientierungshilfe angesehen werden.
Das Kapitel 2 beinhaltet zunächst die Grundlagen von Basel II. Im ersten Abschnitt werden die operationellen Risiken gemäß der Ansicht des Baseler Ausschusses definiert und an- schließend kurz erläutert. Der zweite Abschnitt stellt das Säulenkonzept von Basel vor inklu- sive der verschiedenen Messansätze für operationelle Risiken. Gerade bei den Messarten wird in der Bankenwelt kontrovers diskutiert, so dass hier zukünftig Änderungen und Konkretisie- rungen zu erwarten sind.
Das Kapitel 3 stellt ein mögliches IT-Risikomanagementsystem vor. Zunächst werden die Risiken aus der Nutzung von Informationssystemen detailliert dargestellt. Im zweiten Ab- schnitt wird das System mit seinem groben Ablauf näher beschrieben. Die darauffolgenden Abschnitte behandeln detailliert das Risikomanagementsystem mit den einzelnen Schritten: Risikoidentifikation, Risikoanalyse, Risikosteuerung und Risikoüberwachung. Innerhalb der einzelnen Schritte werden verschiedene Möglichkeiten aufgezeigt, wie der jeweilige Prozess bestmöglich unterstützt werden kann. Zu beachten ist, dass für die verschiedenen existieren- den IT-Risiken auch verschiedene Methoden für die jeweiligen Prozessschritte bestehen. Die Methoden jeweils komplett darzustellen würde den Arbeitsumfang dieser Diplomarbeit sprengen. Daher werden sie jeweils übersichtlich kurz dargestellt inklusive möglicher Quer- verweise zu Diskussionspunkten innerhalb der Basel-Papiere. Das vierte Kapitel schließt die- se Arbeit mit einer Zusammenfassung und einem Ausblick ab.
Kreditinstitute werden mit einer Vielzahl von Risiken konfrontiert. Bereits bei Gründung eines Institutes muss über die operationellen Risiken nachgedacht werden, bevor überhaupt erste Kredit- und Marktrisiken entstehen. Dennoch stehen bisher nur Methoden zur Messung der Kredit- und Marktpreisrisiken im Fokus der betrieblichen Praxis.2
„Banks measure credit and market risks because they can, not because these are the biggest risks they face“3
Dieses Zitat verdeutlicht, warum die Banken bisher nur Kredit- und Marktpreisrisiken neben einer Vielzahl anderer bestehender Risiken gemessen haben.
Exemplarisch werden einige Beispiele für operationelle Risiken aufgeführt, denen eine Bank ausgesetzt sein kann4:
- 1985: Bank of New York Æ Ein Hauptrechner fiel für 28 Stunden aus. Die Federal Reserve Bank stellte Überziehungsfazilitäten in Höhe von 20 Mrd. US-Dollar bereit, um Wertpapiertransaktionen abwickeln zu können.
- 1990: Federal Reserve Bank in New York Æ Ein Stromausfall zwang die Bank, die sonst täglich für 3 Billionen US-Dollar Zahlungen abwickelt, für 6 Tage auf alternative Fazilitäten auszuweichen.
- 1995: Daiwa Bank New York Æ Hier wurden über eine längere Zeit nicht autorisierte Handelsgeschäfte durchgeführt, so dass Verluste in Höhe von 1,1 Mrd. US-Dollar ent- standen.
- 1995: Barnings Futures Singapore Æ Kompetenzüberschreitung und unautorisierte Handelsaktivitäten führten zu Verlusten in Höhe von 1,3 Mrd. US-Dollar, so dass die Bank schließlich Insolvenz anmelden musste.
- 1997: Morgan Grenfell Asset Management Æ Durch Verletzung der Anlagevorschrif- ten für Aktienfonds entstanden über 600 Mio. US-Dollar Verlust.
Sensibilisiert durch diese und viele weitere bekannt gewordene Verlustfälle reagierten die nationalen Aufsichtsgremien und der internationale Ausschuss für Bankenaufsicht mit Sitz in Basel auf diese Entwicklung mit verstärktem Risikobewusstsein.5 Der Baseler Ausschuss griff in den 90er Jahren diese Problematik auf und definierte die Risiken wie folgt:
„Operationelles Risiko ist die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken.“6
Die Thematik dieser Diplomarbeit ist die Problematik der operationellen IT-Risiken, welche explizit durch den Einsatz von Informationssystemen in Kreditinstituten entstehen. Gerade im Finanzsektor sind die Informations- und Kommunikationssysteme fester Bestandteil der Wertschöpfungskette. Die meisten Arbeitsplätze werden von den neuen Technologien unterstützt oder gar ersetzt, so dass die Technik mittlerweile einen zentralen, kritischen Erfolgsfaktor für die Kreditinstitute darstellt.
Neben der Informations- und Kommunikationstechnik spielt das Informationsmanagement mit den zahlreichen Analysemethoden und Steuerungsprozessen eine wichtige Rolle. Daher kann ein Finanzinstitut heute nicht mehr auf die Etablierung eines IT-Riskmanagements ver- zichten. Die Aufgabe eines Risikomanagements besteht darin, das Unternehmen möglichst sicher zu gestalten und für einen reibungslosen internen und externen Informationsfluss zu sorgen. In diesem Zusammenhang kann generell ausgeschlossen werden, die IKT in einem Kreditinstitut als absolut sicher zu bezeichnen, da eine Vielzahl von Gefahren bestehen und plötzlich eintretende Risiken die schon bestehenden Gefährdungspotentiale vergrößern.
Bedingt durch die Einführung eines umfassenden Risikomanagement-Systems entstehen Kosten für die Kreditinstitute, die mit dem Grad der zu erreichenden Sicherheitsstufe exponentiell steigen.7 In der unten aufgeführten Tabelle wird exemplarisch gezeigt, wie stark die Kosten für IT-Sicherheitslösungen innerhalb von drei Jahren gestiegen sind.
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 1: Wirtschaftsfaktor IT-Sicherheitslösungen, weltweiter Markt (in Mio. USD). Quelle: Eckert/Thielmann (2002), S. 8.
Um die operationellen Risiken im Detail besser untersuchen zu können, werden diese im folgenden Kontext kategorisiert und näher beschrieben. Unterschieden wird dabei zwischen technischen, personellen, externen und den sonstigen Risiken.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Kategorisierung von operationellen Risiken. Quelle: von Balduin/Junginger/Krcmar (2002).
Die Arbeit der Finanzinstitute wird heutzutage stark durch die Technik determiniert. Kein Marktmitarbeiter kommt heute ohne einen Computer aus. Infolge von härteren Konkurrenz- kämpfen und somit geringeren Margen ist der Einzug von Informationstechnologie nicht auf- zuhalten. Durch die Entwicklung und Implementierung komplizierter Informationssysteme (IS) und die Vernetzung von Rechnern intern (Intranet) oder extern (Internet) werden Finanz- institute mehr und mehr von den eingesetzten IT-Lösungen abhängig. Mit dieser Abhängig- keit wachsen jedoch auch die Risiken. Strom- und Systemausfälle, Virus und Hackerangriffe oder Datenmanipulation zeigen einen kleinen Ausschnitt dessen, was in einer Bank passieren kann. Innovative Produkte wie das heute bereits allseits praktizierte E-Commerce - z.B. das Online-Banking - fördern nicht nur die Effizienz, sie sind auch verstärkt von ausfallsicherer Technik abhängig. Das exponentielle Wachstum und das exponentielle Verlustpotential ste- hen in Abhängigkeit zueinander und führen unter Umständen zu enormen Verlusten.8 Die Auswirkungen der Innovationen sind nicht vorhersehbar oder kontrollierbar und zeigen die Grenzen der bisher bekannten Überwachungs- und Kontrollsysteme auf.9
Zusätzlich zu den oben genannten allgemeinen Risiken existieren anwendungsbezogene Risi- ken, welche die Qualität der gewonnenen Informationen beeinflussen. So können durch Soft- warefehler falsche Daten produziert werden, Daten gehen verloren oder werden mehrfach (redundant) abgelegt. In Reports können falsche Daten aufgenommen werden oder die Bereit- stellung erfolgt verzögert. Eine weitere Klassifizierung sind die anwenderbezogenen Risiken, die eng in Zusammenhang mit den personellen Risiken stehen. In diesem speziellen Segment sind vor allem die Risiken gemeint, die aus der Kommunikation Mensch-Maschine z.B. durch fehlerhafte Eingaben entstehen.10
Externe Risiken sind solche, die von außen auf das Finanzinstitut einwirken. So gibt es Rechtsrisiken, die durch Änderungen in der nationalen oder europäischen Gesetzeslage, z.B. die Regulierung der Bankenlandschaft (Basel II), beachtet werden müssen.11 Auch das Katastrophenrisiko, ausgelöst durch Feuer- oder Wassereinbruch, Naturkatastrophen, Unruhen oder Terrorattentate zählt zu diesen Risiken.12
Zu den externen Risiken zählen ebenfalls die aus den technischen Risiken bekannten Strom- ausfälle oder Hackerangriffe. Ein Hackerangriff betrifft zwar technische Einrichtungen eines Kreditinstitutes, wird jedoch von einer außenstehenden Person durchgeführt. Hier wird er- sichtlich, dass die Risiken nicht immer klar abgrenzbar sind. Die Nicht-Vorhersehbarkeit sol- cher Ereignisse führt zu der Einsicht, dass diese Verluste durch angemessenes Kapital abge- deckt werden sollten.
Personelle Risiken lassen sich noch in zwei weitere Kategorien unterteilen: bewusstes und unbewusstes Fehlverhalten.13 Unbewusstes Fehlverhalten kann durch Konzentrationsmangel oder Überarbeitung entstehen. Zudem kann es vorkommen, dass Mitarbeiter nicht ausreichen- de Kenntnisse besitzen und ihre Kompetenz dadurch überschreiten. In immer kürzeren Ab- ständen werden neue Produkttypen in Finanzinstituten entwickelt und vermarktet. Die Com- putersysteme ändern sich und die Mitarbeiter müssen mit neuen Programmen arbeiten. Der Arbeitgeber erwartet durch die neuen „Hilfen“ ständige Produktverbesserungen oder stetig wachsende Verkaufszahlen. Dies kann nur erreicht werden, wenn das Personal hochqualifi- ziert ist und regelmäßig geschult wird. Die Personalfluktuation in den Betrieben ist von Nach- teil, da gerade gut ausgebildeten Mitarbeiter die Häuser verlassen und neue Mitarbeiter erst angelernt werden müssen.14
Ein weiteres Risiko ist das bewusste Fehlverhalten von Mitarbeitern. Der Fall des Betrugs ist deshalb gefährlich, da für das Finanzinstitut in jedem Fall ein finanzieller Schaden eintritt. Zudem kann die Reputation eines Hauses und somit das Vertrauen der Anleger in das jeweili- ge Kreditinstitut geschädigt werden, wenn Betrugsfälle an die Öffentlichkeit gelangen. Ein Betrug ist oft dadurch möglich, dass Kontrollen fehlen, falsch angewendet oder vernachlässigt werden.15 Möglichkeiten von Betrug sind grundsätzlich dort möglich, wo Schwachstellen ge- funden und zu Ungunsten des Unternehmens genutzt werden. Weitere bewusste Risikofakto- ren sind das fehlende Verständnis von Teamwork, Umgehung von unternehmenspolitischen Vorschriften oder mangelnder Kundenfocus.16
Zu den zuvor vorgestellten Risiken werden weitere Risikoarten in der Fachliteratur diskutiert. Unter anderem gehören dazu die Modellrisiken, bei denen Fehler in mathematischen Model- len z.B. zur Berechnung des internen Zinsfußes zugrunde liegen. Transaktionsrisiken stellen hingegen Gefahren dar, die bei Geldtransaktionen entstehen können. Diese Risikoarten sind aber implizit in den oben genannten technischen, externen oder personellen Risiken enthalten, da die Ursachen dieser Risiken in diesen Bereichen zu finden sind und sich interdependent auf die weiteren Risiken auswirken.
Der Baseler Ausschuss nennt explizit in der Definition der operationellen Risiken die strategi- schen Risiken und Reputationsrisiken und schließt genau diese beiden Risikoarten dabei aus.17 Reputationsrisiken sind Verluste, die aus der Schädigung des Rufes eines Hauses ent- stehen. Die Kunden sind nicht weiter gewillt, bei einem Kreditinstitut Geschäfte abzuwickeln oder kündigen vorzeitig ihre Verträge. Im Gegensatz zu den zuvor genannten Risiken sind Reputationsrisiken indirekte Verluste von Banken (sog. Sekundäreffekte). Diese sind schwer zu quantifizieren, da sich weder die Höhe noch die Dauer des Verlustes bestimmen lassen.18
Strategische Risiken sind hingegen typische Unternehmerrisiken, die der Eigentümer automatisch übernimmt. Strategische Entscheidungen sind hoch aggregiert, bedeutsam und langfristig orientiert. Sie werden auf operationale Ziele subsummiert, so dass die globalen strategischen Risiken in den oben genannten Risiken wiederzufinden sind. Auf strategischer Ebene sich anbahnende Verluste können objektiv kaum quantifiziert werden. Diese Gründe führen dazu, dass die strategischen Risiken in Basel keine Berücksichtigung finden.19
Im Anhang 7 des aktuellen Baseler Konsultationspapiers befindet sich eine detaillierte Übersicht über die Risikoarten, so wie sie der Baseler Ausschuss definiert.20 Diese Anlage befindet sich in dieser Diplomarbeit im Anhang Nr. 1.
Eine risikoadäquate Eigenkapitalausstattung allein kann die Solvenz einer Bank und die Stabilität des Bankensystems in dieser zunehmend vernetzten Welt nicht länger gewährleisten. Die dauerhafte Finanzstabilität kann nur garantiert werden, wenn die Geschäftsleitung einer Bank eine bestimmte Risiko- und Ertragsstrategie einsetzt gepaart mit der Fähigkeit, die eingegangenen Risiken jederzeit steuern und tragen zu können. Aus diesem Grund sind die Entwicklung, der Einsatz und die aufsichtsrechtliche Prüfung adäquater Risikosteuerungssysteme der Banken und Sparkassen von essentieller Bedeutung.21
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Säulenmodell Basel II. Quelle: eigene Darstellung.
Um diese Ziele zu erreichen, verfolgt der Baseler Ausschuss eine sogenannte „Drei-Säulen- Strategie“ bestehend aus Mindestkapitalanforderungen (Säule 1), einem Überprüfungsverfah- ren durch die Aufsichtsbehörde (Säule 2) und den unter dem Stichwort „Marktdisziplin“ zu- sammengefassten Publizitätsanforderungen (Säule 3). Diese drei Säulen stehen grundsätzlich gleichberechtigt nebeneinander und sollen sich gegenseitig verstärken. Im folgenden Abschnitt werden die drei Pfeiler der neuen Baseler Richtlinie der Wichtigkeit für diese Diplomarbeit nach aufsteigend vorgestellt.
Die dritte Säule Marktdisziplin hat das Ziel, die zweite und die erste Säule in ihrem Wirken zu verstärken. Die Finanzinstitute haben zukünftig die Aufgabe, auf der Grundlage eines einheit- lichen Rahmens bankinterne Daten zu veröffentlichen. Die Marktteilnehmer können sich so über die Risikopositionen einer Bank informieren. Die Informationen werden zukünftig in einem konsistenten und verständlichen Schema dargestellt, wodurch die Vergleichbarkeit der Angaben verbessert wird.22 Die Informationen umfassen sowohl Auskünfte über die Höhe und Zusammensetzung des Eigenkapitals, die Art und den Umfang der eingegangenen Risiken sowie Strategien zur Begrenzung und zum Management dieser Risikopositionen.23
Die gegenwärtige auf rein quantitativen Aspekten basierende Bankenaufsicht kann den Anforderungen heutiger komplexer Systeme nicht mehr gerecht werden. Das Bundesamt für Finanzdienstleistungsaufsicht (BaFin) hat bisher kaum die Möglichkeit, sich durch Einsichtnahme vor Ort einen Überblick über die Geschäfte und das Risikoprofil eines jeden Institutes zu verschaffen. Bei der Beurteilung ist sie weitgehend auf Informationen aus dritter Hand von Wirtschaftsprüfern angewiesen.24
Das neue Prüfungsverfahren soll sicherstellen, dass Banken über ein angemessenes Eigenka- pital für alle ihre eingegangenen Risiken verfügen. Das Verfahren soll die Banken auch darin bestärken, bessere (IT-)Risikomanagementverfahren für die Überwachung und Steuerung ih- rer Risiken zu entwickeln und anzuwenden.25 Zudem soll durch die „Vor-Ort-Präsenz“ der Aufsicht ein zeitnaher Überblick über die wichtigen Geschäftsfelder und Risiken erzielt wer- den, um flexibler präventiv reagieren zu können. Dabei muss die Eigenmittelausstattung nicht nur den aufsichtrechtlichen Normen, sondern vor allem dem individuellen Risikoprofil einer Bank entsprechen.
Neben den Kreditrisiken und Marktpreisrisiken werden zukünftig auch die operationellen Risiken der Banken mit Eigenkapital unterlegt. Die künftigen Eigenkapitalanforderungen werden sich stärker an dem eigentlichen Risikogehalt der Bankgeschäfte orientieren. Die durchschnittliche Mindesteigenkapitalanforderung (MEKA) soll trotz der neuen Risikokategorien erhalten bleiben.26 Diese Aussage trifft für diejenigen Kreditinstitute zu, die standardisierte Risikomessmethoden zukünftig nutzen werden. Diejenigen Kreditinstitute, die fortgeschrittene Ansätze der Risikomessung für Kredit- und operationelle Risiken nutzen werden, erhalten den Anreiz einer geringeren Eigenkapitalunterlegung.
Die Mindesteigenkapitalanforderungen beruhen wie bisher auf einer Mindesteigenkapitalquo- te von acht Prozent bezogen auf die risikogewichteten Aktiva der Bank. Die risikogewichte- ten Aktiva sind dabei die Summe aller risikogewichteten Aktiva der Kreditrisiken und je das 12,5fache der Eigenkapitalanforderungen an die Marktpreisrisiken und operationellen Risi- ken.27 Eine anschauliche Interpretation dieser grundlegenden Relation ist auch wie folgt mög- lich:
0,08 * risikogewichtete Aktiva für das Kreditrisiko
+ Eigenkapitalanforderungen für das Marktpreisrisiko
+ Eigenkapitalanforderungen für das operationelle Risiko ≥ REK
Das Grundgerüst umfasst drei Methoden zur Berechnung der Kapitalanforderungen für opera- tionelle Risiken, welche sich durch zunehmende Komplexität und Risikosensitivität auszeich- nen:28
- der Basisindikatoransatz (BIA)
- der Standardansatz (STA)
- die ambitionierten Messansätze (AMA)
Die Banken werden aufgefordert, sich entlang dieser drei Ansätze zu orientieren, indem sie zunehmend fortgeschrittene Systeme und Verfahren zur Messung des operationellen Risikos entwickeln und anwenden.
Beim standardisierten Verfahren, dem Basisindikatoransatz, ist die Kapitalanforderung für operationelle Risiken als festgelegter Prozentsatz Alpha (α) des Bruttoertrags der letzten drei Jahre festgelegt. Der Bruttoertrag wird definiert als Zinsergebnis zuzüglich dem zinsunabhängigen Ertrag, wobei Wertberichtigungen und außerordentliche oder periodenfremde Erträge nicht berücksichtigt werden.29
Die Eigenkapitalbelastung kann wie folgt ausgedrückt werden:
Abbildung in dieser Leseprobe nicht enthalten
BIA
mit:
K BIA = Eigenkapitalanforderung nach dem Basisindikatoransatz
GI = durchschnittlicher jährlicher Bruttoertrag der vergangenen drei Jahre α = 15 %, wird durch den Ausschuss festgesetzt.
Um den BIA nutzen zu können, sind keine speziellen Zulassungskriterien erforderlich. Dieser Ansatz ist von jedem Kreditinstitut anwendbar. Es liegt aber keine echte Risikomessung vor. Der BIA soll lediglich eine pauschale Schätzung darstellen.30 Trotz der einfachen Anwend- barkeit obiger Formel sollen sich die Kreditinstitute an die Empfehlungen des Baseler Aus- schusses zur sachgerechten Steuerung (Sound Practices) der operationellen Risiken halten.31 Durch den Umgang mit diesen Arbeitspapieren erhofft sich der Ausschuss, dass Kreditinsti- tute bessere Risikomanagementtechniken entwickeln und entsprechend einsetzen werden.
Durch den Standardansatz werden die Tätigkeiten der Bank in acht Geschäftsfelder aufgeteilt, u.a. in das Privatkundengeschäft, den Zahlungsverkehr oder die Vermögensverwaltung. Eine detaillierte Übersicht befindet sich in Anlage Nr. 2. Innerhalb jedes Geschäftsfeldes dient der Bruttoertrag als allgemeiner Indikator zur Bestimmung des Geschäftsumfanges und damit verbunden der möglichen Gefährdung durch operationelle Risiken innerhalb jedes dieser Ge- schäftsfelder. Der für jedes Geschäftsfeld vorgegebene Indikator wird mit Werten von 12, 15 oder 18% multipliziert.32
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 2: Anteilige Bedeutung des operationellen Risikos der Geschäftsfelder. Quelle: Basel (2003), S. 143.
Die Gesamtkapitalanforderung kann wie folgt ausgedrückt werden:33
Abbildung in dieser Leseprobe nicht enthalten
mit:
KSTA = Kapitalanforderung im Standardansatz
GI1-8 = durchschnittlicher jährlicher Bruttoertrag der letzten drei Jahre, definiert wie im Basisindikatoransatz, für jedes der acht Geschäftsfelder
β1-8 = ein vom Ausschuss festgelegter Prozentsatz, der für jedes der acht Geschäftsfelder den Bruttoertrag im Verhältnis zum notwendigen Eigenkapital angibt.
Gegenüber dem BIA sieht der Baseler Ausschuss explizite Zulassungskriterien vor. Diese lassen sich untergliedern in Anforderungen an ein wirksames Risikomanagement sowie in Anforderungen an die Messung und Validierung.34 Der Ausschuss fordert, dass speziell für den Bereich der operationellen Risiken eine Bank über ein Managementsystem verfügt. Diese Einheit ist dafür verantwortlich, Strategien zur Identifikation, Bewertung, Überwachung und Steuerung zu entwickeln. Zudem muss eine Methodik evaluiert werden zur Bewertung der Risiken. Die Ergebnisse aus dem oben genannten Prozess müssen in ein zu entwickelndes Berichtssystem implementiert werden, über das die Geschäftsleitung regelmäßig informiert wird.35
Im Bereich der Messung und Validierung wird ein Risikomeldesystem gefordert, das hinrei- chend Daten liefert, um die Anforderungen an das Mindesteigenkapital zu berechnen. Diese Daten zeigen die geschäftsfeldbezogenen Verluste einer Bank. Diese Informationen werden in einer Datenbank gesammelt, die später bei einer Umsetzung des AMA als Berechnungsgrund- lage benötigt wird.36
Der letzte und weitaus komplexere Ansatz ist das ambitionierte Messverfahren.37 Es basiert auf bankindividuell entwickelten Risikomessmethoden unter Verwendung intern erhobener Daten. Die Finanzinstitute müssen beim AMA gegenüber dem STA weit aus strengere Zulassungsbedingungen erfüllen, um zukünftig mit dem AMA arbeiten zu dürfen.38
Damit eine Bank den AMA anwenden darf, müssen neben den bereits bekannten Kriterien des Standardansatzes weitere Kriterien erfüllt sein. Als allgemeines Kriterium gilt die Genehmi- gung des vom Institut entwickelten AMA durch die Aufsichtsbehörden.39 Darüber hinaus dif- ferenziert das Konsultationspapier zwischen qualitativen und quantitativen Kriterien. Die qua- litativen Merkmale fordern die Existenz eines unabhängigen Managements für die operatio- nellen Risiken, welche für die Entwicklung und Verarbeitung verantwortlich sind. Die Auf- sicht muss von dem angewendeten Risikomanagement-Konzept überzeugt sein. Regelmäßig sollen Szenarioanalysen und Stress-Tests entwickelt und durchgeführt werden. Sie decken unter anderem Schadensfälle mit großem Ausmaß ab, die selten vorkommen aber beträchtli- che finanzielle Risiken (low frequency - high impact) verursachen können. Die Reportings solcher Ansätze sind in das operative Tagesgeschäft und in die geschäftspolitischen Entschei- dungsprozesse einzubinden, so dass auch die höchsten Managementebenen in die Prozesse integriert werden.40
Die quantitativen Zulassungskriterien bestehen unter anderen in der Anwendung der Empfeh- lungen zur sachgerechten Steuerung (Sound Practices) des operationellen Risikos.41 Den Be- rechnungsmethoden muss ein mindestens einjähriger Zeithorizont mit einem Konfidenzniveau von mind. 99,9% zugrunde liegen. Für die Belegung dieser Daten muss eine umfassende Da- tenbank existieren, in die jegliche Verlustrisiken einer Bank eingetragen werden. Eine fünf- jährige Historie ist Grundvoraussetzung für den Wechsel von STA auf AMA. Für die anfäng- liche Anwendung ist ein dreijähriges Datenfenster akzeptabel. Korrelationen zwischen Ereig- nissen und Geschäftsbereichen dürfen berücksichtigt werden. Die Mindesteigenkapitalanfor- derungen des AMA dürfen nicht weniger als 75% der Mindesteigenkapitalanforderung des Standardansatzes betragen.42 Durch den Wechsel auf die AMA kann die regulatorische EK- Anforderung bestenfalls von 12% auf 9% sinken.
Der Baseler Ausschuss stellt den Kreditinstituten innerhalb des AMA drei Ansätze zur Aus- wahl:
- Interner Bemessungsansatz (Internal Measurement Approach, IMA)
- Verlustverteilungsansatz (Loss Distribution Approach, LDA)
- Scorecardansatz
Die nachfolgende Grafik verdeutlicht den Zusammenhang zwischen den Einsparpotentialen und den kostenintensiven Anforderungen an die Prozesse innerhalb eines Kreditinstitutes.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3: Eigenkapitalunterlegung und Anforderungen an Systeme der Basel II-Ansätze. Quelle: Faisst/Kovacs (2003), S. 345.
Aufgrund der angelegten Datenbank besteht eine Datenbasis über die Wahrscheinlichkeit vom Eintritt bestimmter Risiken. Beim internen Bemessungsansatz wird diese Datenbasis zugrun- de gelegt und gefolgert, dass die vergangenen Schadensfälle entsprechend in die Zukunft pro- jizierbar sind. Es bestehet somit ein Zusammenhang zwischen den Vergangenheitswerten und der zu erwartenden Schadensgrößen. Zudem besteht ein weiterer Bereich unerwarteter Verlus- te, für den vorgesorgt werden muss. Abbildung 4 zeigt schematisch den Zusammenhang der Verluste und der Eintrittswahrscheinlichkeit von Schadensereignisse in einem Kreditinstitut.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 4: Verlustverteilung von Risiken. Quelle: eigene Darstellung.
Dem IMA nach soll die Geschäftstätigkeit den gleichen Geschäftsfeldern zugeordnet werden wie beim STA. Zusätzlich werden sechs Risikotypen definiert, die auf alle Geschäftsfelder angewendet werden (siehe Anlage 3). Für die abgebildete Matrix bestehend aus Geschäftsfeld-Risikotyp-Kombinationen legt der Ausschuss einen Gefährdungsindikator (EI = Exposure Indicator) und einen Gamma-Wert als Maß für die Eigenkapitalunterlegung fest. Die Kreditinstitute legen demgegenüber die Wahrscheinlichkeit eines Schadenfalles (PE = Probability of Loss Event) und die prozentual eintretende Verlusthöhe (GE = Loss Given that Event) fest. Aus den oben genannten vier Werten lässt sich multiplikativ für jede GeschäftsfeldRisikotyp-Kombination der zu erwartende Verlust (EL = Expected Loss) errechnen.43 Die aus den vier Werten zu bildende Formel lautet:44 EI * PE * LGE = EL
Der Gamma-Faktor stellt einen Zusammenhang zwischen erwarteter und unerwarteter Ver- lusthöhe eines Kreditinstitutes dar und überführt den erwarteten Verlust in eine Mindestei- genkapitalanforderung, bei der die unerwarteten Verluste implizit enthalten sind. Die für das Kreditinstitut benötigte MEKA ergibt sich durch Addition der einzelnen Produkte der Mat- rix.45 Die nachfolgenden Tabelle verdeutlicht die Unterschiede der drei nun bekannten Ansät- ze.
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 3: Gegenüberstellung der drei Ansätze. Quelle: eigene Darstellung.
Beim Verlustverteilungsansatz (Loss Distribution Approach, LDA) setzt ein Kreditinstitut eigene Geschäftsfeld-Risikotyp-Kombinationen fest. Unter Verwendung interner Daten und mittels eigener Modelle schätzt die Bank zu jeder Kombination die Verlustverteilung über einen bestimmten Zeithorizont. Die Verlustverteilung legt Annahmen über die Auswirkungen eines einzelnen Ereignisses und dessen Häufigkeit zugrunde. Um entsprechende Verteilungen zu errechnen, werden bestimmter statistischer Modelle errechnet oder Szenarienanalysen und Monte-Carlo-Simulationen genutzt. Aufgrund der nun ermittelten Verlustverteilung wird durch Wahrscheinlichkeitsfunktionen der Value-at-Risk (VaR)46 für jede mögliche Kombina- tion ermittelt. Die Summe der VaR-Werte entspricht der Mindesteigenkapitalanforderung der Bank.47
Der Verlustverteilungsansatz bestimmt die Höhe des Verlustes demnach nicht über einen funktionalen Zusammenhang zwischen erwarteten und unerwarteten Verlusten, wie das beim internen Bemessungsansatz üblich ist. Der Verlust wird dabei direkt aus der Verlustverteilung gewonnen. Dadurch entfallen auch Multiplikatoren wie der Gamma-Faktor, der zuvor noch beim IMA benötigt wurde.48
Beim Scorecardansatz werden für einzelne Geschäftsfelder anfängliche Kapitalbedarfe für die operationellen Risiken festgelegt. Mit Hilfe von Scorecards wird der Bedarf im Laufe der Zeit modifiziert. Zukunftsgerichtete Informationen können direkt in die Kapitalberechnung einfließen. Die Berechnungsbasis bildet eine Vielzahl von Indikatoren, die einen Näherungswert für bestimmte Risikoarten innerhalb der Geschäftsfelder darstellen. Ebenso können in die Scorecards Informationen aus Interviews mit Beschäftigten einbezogen werden.49 Eine detaillierte Betrachtung der Balanced Scorecard bietet das Kapitel 3.5.2.3.
Der wesentliche Unterschied zwischen IMA, LDA und der Scorecard besteht darin, dass be- deutend weniger intensiv auf historische Daten zurückgegriffen wird. Vielmehr rücken quali- tative zukunftgerichtete Aspekte in den Vordergrund. Der Ausschuss fordert hingegen für die Zulassung des AMA eines Kreditinstitutes, dass der Ansatz auf einer soliden quantitativen Basis stehen muss und dass historische Verlustdaten benutzt werden müssen, um die verwen- deten Verfahren zu validieren. Dem Wunsch des Ausschusses kann aus heutiger Sicht nur entsprochen werden, wenn eine Kombination aus Scorecard und einem der beiden anderen Ansätze genutzt wird.50
Das wesentliche Element des Finanzgeschäftes ist das kalkulierte Eingehen von Risiken. Die Voraussetzung dafür ist ein funktionierendes Risikomanagementsystem zur Messung und Steuerung der Kredit-, Markt-, Liquiditäts-, operationellen und weiteren Risiken in einem Kreditinstitut. Diese Leistung ist ein wichtiger Eckpfeiler der Finanzintermediäre für die Volkswirtschaft. Diese Risiken dürfen aber nicht zu Instabilitäten im Finanzsektor führen.
[...]
1 Vgl. Krcmar (2003), S. 358.
2 Vgl. Stickelmann (2002), S. 4.
3 Vgl. Parsley (1996), S. 74 “Banken messen Kredit- und Marktrisiken, weil sie dazu in der Lage sind und nicht weil dies die größten Risiken sind, die ihnen gegenüberstehen.“.
4 vgl. Stickelmann (2002), S. 6 und Beeck/Kaiser (2002), S. 634.
5 vgl. Keck/Jovic (1999), S. 963.
6 vgl. Basel (2003), Absatz 607.
7 Vgl. Eckert/Thielmann (2002), S. 7 f.
8 vgl. Piaz (2001), S. 1231.
9 vgl. Amsler (2000), S. 1.
10 Vgl. Brink (2001), S. 9 ff.
11 vgl. Keck/Jovic (1999), S. 964.
12 Vgl. Geiger (1999), S. 714.
13 Vgl. Brink (2001), S. 4.
14 vgl. Keck/Jovic (1999), S. 965.
15 Vgl. Brink (2001), S. 6.
16 Vgl. Keck/Jovic (1999), S. 965.
17 Vgl. Basel (2003), Absatz 607.
18 Vgl. Beeck/Kaiser (2000), S. 638 und Brink (2002), S. 106.
19 Vgl. Gramlich/Gramlich (2002), S. 68 ff.
20 Vgl. Basel (2003), S. 229 ff.
21 Vgl. Heinke (2002), S. 3.
22 Vgl. Basel (2003), S. 229 ff.
23 Vgl. Heinke (2002), S. 8.
24 Vgl. Heinke (2002), S. 8.
25 Vgl. Basel (2003), S. 161.
26 Vgl. Beck/Lesko/Stückler (2002), S. 67.
27 Vgl. Wilkens/Entrop/Völker (2001), S. 37.
28 Vgl. Basel (2003), S. 140.
29 Vgl. Basel (2003), S. 141.
30 Vgl. Schulte-Mattler (2003), S. 392.
31 Vgl. Stickelmann (2002), S. 22.
32 Vgl. Schulte-Mattler (2003), S. 392.
33 Vgl. Basel (2003), S. 143.
34 Vgl. Stickelmann (2002), S. 28.
35 Vgl. Basel (2003), S. 145.
36 Vgl. Stickelmann (2002), S. 29.
37 Auch internes oder fortgeschrittenes Messverfahren genannt.
38 Vg. Jovic/Piaz (2001), S.928.
39 Vgl. Basel (2003), S. 143.
40 Vgl. Stickelmann (2002), S. 36 - 37.
41 Vgl. Basel (2001b), S. 16 ff. und Basel (2003), S. 147 ff.
42 Vgl. Stickelmann (2002), S. 30.
43 Vgl. Gramlich/Gramlich (2002), S. 77.
44 Beispiel: 10.000 € Wert * 1% Anzahl der Schadensfälle * 5% durchschnittliche Verlusthöhe = 5 € Verlust.
45 Vgl. Basel (2001a), S. 9.
46 Siehe zum VaR ausführlich Kapitel 3.4.1.2.
47 Vgl. Basel (2001a), S. 11+26.
48 Vgl. Gramlich/Gramlich (2002), S. 34.
49 Vgl. Basel (2001c), S. 34 ff.
50 Vg. Stickelmann (2002), S. 35.
