Implementierung eines Operational-Risk-Managements - "Projekterfahrungsbericht "

Transkript

1 Implementierung eines Operational-Risk-Managements - "Projekterfahrungsbericht " Die ReiseBank AG, Frankfurt, ist ein hochspezialisiertes Finanzinstitut innerhalb der DZ BANK-Gruppe. Als solches betreibt sie das Sorten-, Edelmetall- und Reisezahlungsmittelgeschäft sowie ein Netz von Geldautomaten. Ein weiteres wichtiges Geschäftsfeld ist der internationale Bargeldtransfer als Agent von Western Union sowie der Bargeldtransfer innerhalb Deutschlands mit einem bankeigenen IT- System. Sie ist damit keine klassische Bank mit Kredit- und Einlagengeschäft. Etwa 480 Mitarbeiter arbeiten in 88 Geschäftsstellen in Deutschland. Neben dem über die Geschäftsstellen vornehmlich betreuten Privatkundengeschäft baut die Bank derzeit ihr bestehendes Firmenkundengeschäft mit Volks- und Raiffeisenbanken hin zu einem Servicer für Unternehmen aus Industrie, Dienstleistung und Handel aus. Als einem Institut mit Teilbanklizenz gelten auch für die ReiseBank die neuen aufsichtsrechtlichen Regelungen zum Management von Operationellen Risiken (OpRisk) aus den Mindestanforderungen für Risikomanagement (MaRisk) sowie der Solvabilitätsverordnung. Das Management von OpRisk ist für die Bank nicht neu. Es existierten bereits Regelungen und Maßnahmen sowie ein Kontrollsystem, um Betrug möglichst zu verhindern und Fehler im Tagesgeschäft zu vermeiden bzw. zu verringern. Relativ neu sind jedoch umfassende und methodisch zielgerichtete Verfahren, die grundsätzlich wenn auch nicht immer formal mit dem Kredit- und Marktrisikomanagement vergleichbar sind. Dabei unterscheiden sich OpRisk von anderen Risiken insoweit, dass sie nicht direkt für einen erwarteten Ertrag eingegangen werden, sondern integraler Bestandteil des Tagesgeschäfts sind. Generell versteht die ReiseBank unter Risiken die Gefahr des Eintritts von unerwarteten Verlusten inkl. unerwarteter Erlösschmälerungen. Sie schließt sich damit der bestehenden Lehre von einem reinen Verlustmanagement an. Von besonderer Bedeutung sind unter Beachtung der spezifischen Geschäftsausrichtung der Bank in diesem Zusammenhang solche Risiken wie externer Betrug durch Ankauf von Falschgeld oder Risiken durch den Einsatz von Werttransportunternehmen. Deshalb war klar, dass OpRisk einer ebenso konsequenten Messung, Überwachung und Steuerung bedürfen, um mögliche Verluste zu vermeiden. Die ReiseBank vervollständigt durch konsequentes OpRisk-Management ferner ihren Ansatz, Prozesse kontinuierlich zu verbessern, Schwachstellen zu beseitigen und damit sowohl Kostenvorteile wie eine bessere Kundenorientierung zu erreichen. Die Einsparungen können für Investitionen und zugunsten der Kunden verwendet werden und optimieren damit die Wettbewerbsposition des Instituts. Erreicht werden ReiseBank AG: Ingrid Reichelt-Schölch 1 / / 09:42 h

2 soll dies durch die Integration der entsprechenden Anforderungen in die in einer speziellen IT-Anwendung erhobenen Geschäftsprozesse sowie in den Arbeitsanweisungen der sog. schriftlich fixierten Ordnung. Das Konzept, die Verfahren und die Maßnahmen für das Controlling, Management sowie die unabhängige Überwachung der OpRisk werden von der Philosophie eines permanenten Bewusstseins für OpRisk geleitet. Als logische Konsequenz ist in jeder Schulungsunterlage wie im Intranet BlueNet der Appell Jeder Mitarbeiter ist ein OpRisk-Manager! zu lesen. Zur Zielerreichung, Umsetzung der aufsichtsrechtlichen Vorgaben sowie wegen der ebenfalls zu berücksichtigenden Richtlinien der Muttergesellschaft DZ BANK hat die ReiseBank ein Projekt aufgesetzt, das Ende des dritten Quartals 2006 beendet sein wird. Das Projekt wird fachlich unterstützt durch die Unternehmensberatung, Frankfurt, die bereits das übergeordnete Risikohandbuch für das Institut mit entwickelt hat. Das Management der ReiseBank verspricht sich von der Einführung und konsequenten Umsetzung des Risikomanagements neben den bereits erwähnten Verbesserungen konkrete und nachhaltige Vorteile, insbesondere Steigerung der Prozess- und IT-Effizienz durch Behebung von Schwachstellen und Fehlervermeidung sowie Entwicklung von geeigneten Korrektur- und Vorbeugemaßnahmen Reporting von Details und Konsequenzen schafft Transparenz und verbessert die Entscheidungsgrundlage für den Umgang mit Risiken Rechtzeitige Identifizierung (Frühwarnsystem) lässt Raum für das Auffinden von Handlungsalternativen: Agieren statt reagieren! Kostensenkungen durch Schadensreduzierungen aufgrund des stärkeren, geschulten Risikobewusstseins der Mitarbeiter Verbesserung der Cost-Income-Ratio Neben den genannten Zielen gab es eine weitere Vorgabe des Vorstands für das Projektteam: Das Risikomanagement muss sowohl aufsichtsrechtlich konform wie auch der Institutsgröße angemessen sein. Es soll der Komplexität des eigenen Geschäfts gerecht werden und im Tagesgeschäft wirksam umsetzbar sein. Damit wurden hohe Maßstäbe für die zu konzipierenden Instrumente und die Implementierungskosten gesetzt. Ergänzend zu den Erfahrungen der Unternehmensberatung hat das Projektteam deshalb auch ein kleines Benchmarking innerhalb der DZ BANK-Gruppe durchgeführt. Anhand von ReiseBank AG: Ingrid Reichelt-Schölch 2 / / 09:42 h

3 Gesprächen und eines übersichtlichen Fragebogens wurden die Ansätze analysiert und auf ihre Übertragbarkeit in die eigene Konzeption geprüft. Schon früh hat sich die ReiseBank für den Einsatz einer marktgängigen Software und gegen die Möglichkeit eigener Excel- oder Access-Anwendungen entschieden, um von Anfang an über eine revisionssichere und langfristig tragfähige technische Lösung zu verfügen. In einem Software-Auswahl-Prozess mit umfassendem Kriterienkatalog wurden verschiedene Produkte untersucht und bewertet. Wichtig war neben einem attraktiven Kosten-Nutzen-Verhältnis und dem Einsatz einer zukunftsfähigen Technologie v.a. ein webbasierter Aufbau der Software, um deren Einsatz auch mit dezentral arbeitenden OpRisk-Managern zu ermöglichen. Den Zuschlag bekam der Anbieter interexa, weil er im deutschen Bankensektor Marktführer, im Mutterkonzern DZ Bank etabliert und sehr flexibel auf die speziellen Anforderungen des Instituts auszurichten ist. Aufbauorganisation des OpRisk-Managements Das gesamte Management der OpRisk und die zugehörige Reportingstruktur sind in der ReiseBank in die bestehende Aufbauorganisation eingebettet. Damit wird gewährleistet, dass OpRisk-Management-Aufgaben an bestehenden Funktionen festgemacht werden können, nicht zuletzt, um die Vorgabe nach einem angemessenen Risikomanagement zu erfüllen, d.h., administrative Tätigkeiten schlank zu halten. Die Aufbauorganisation stellt sich hinsichtlich der OpRisk-Funktionen wie folgt dar: ReiseBank AG: Ingrid Reichelt-Schölch 3 / / 09:42 h

4 Gesamtvorstand CRO *) Risikokomitee aktuell: KonTraG-Gremium Aufsichtsrat Risk- Management OpRisk-Manager Regionen OpRisk-Manager Zentrale Risikoeigner Geschäftsstellen Zentrale Einheiten *) CRO = Chief Risk Officer (der für Risikomanagement zuständige Vorstand) OpRisk-Controlling-Prozess Für das Management ihrer OpRisk wird die ReiseBank die drei klassischen Instrumente Verlustdatenbank, Risikobewertung und Risikoindikatoren einsetzen. Der vorgesehene Workflow der Softwaremodule orientiert sich an den Standardschritten des Risiko-Controlling-Prozesses: Identifikation, Erfassung und Bewertung, Steuerung, Überwachung und Reporting. Für die Darstellungen im Reporting werden zusätzliche Excel-Tools eingebunden. In einem strukturierten Verfahren erfasst die ReiseBank bankweit und zeitnah in elektronischer Form tatsächliche und potenzielle Verlustereignisse. Potenzielle bzw. Beinahe-Schäden gehen zwar nicht in die regulatorische Berichterstattung ein, sie liefern jedoch dem Risikomanagement wichtige Informationen für die Steuerung der OpRisk. Verlustereignisse können entweder GuV-wirksam oder beinahe GuV-wirksam geworden sein und erscheinen als Vermögensverlust, Kostenverursachung bzw. Erlösschmälerung. ReiseBank AG: Ingrid Reichelt-Schölch 4 / / 09:42 h

5 Die Auswertung der Verlustdaten erfolgt nach verschiedenen Kriterien und auf mehreren Ebenen. Ein Operational Value at Risk wird nicht berechnet, da die Ermittlung keinen Mehrwert für das Institut bringt. Risikoindikatoren sind integrierte Kennzahlen, die Aufschluss über die Risikosituation geben. Durch die Verknüpfung mit Eskalationstriggern nehmen sie bei der Identifizierung und Steuerung von OpRisk eine Frühwarnfunktion ein. Die regelmäßige Überwachung und Historisierung dieser Kennzahlen trägt dazu bei, dass potenzielle und Beinaheverluste erkannt werden, bevor sie tatsächlich eintreten. Die regelmäßige Erhebung und Erfassung der Risikoindikatoren erfolgt durch die OpRisk-Manager in den Geschäftsstellen und den zentralen Bereichen. Bei der Risikobewertung (Self Assessment) werden jährlich mittels Fragebogen und Workshops qualitative Profile zu den vier Risikokategorien Mitarbeiter, IT, externe Einflüsse und interne Verfahren & Prozesse erhoben, kategorisiert und bewertet. Damit erhält die ReiseBank einen Beitrag zum Metaprofil ihrer OpRisk. Bei der Konzeption der Risikoindikatoren und der Fragen für das Self Assessment konnte das Projektteam auf Unterlagen der externen Unternehmensberater von zurückgreifen. Die erstmalige Identifikation von für die ReiseBank typischen Risikotreibern wurde noch während des Projektes vorgenommen. Anschließend wurden gemeinsam mit den Risikoeignern, d.h. den Führungskräften der Bank, Kataloge an Indikatoren und Fragen konzipiert. Der Prozess der Risikoidentifikation ist als ständig wieder kehrend angelegt und ist auch Bestandteil des Neuproduktprozesses im Institut. Der gesamte Prozess der Erfassung wird durch die eingesetzte Software gesteuert. Zu festgelegten Terminen werden die Verantwortlichen aufgefordert, z. B. die Risikoindikatoren ihres Bereiches zu erheben. Zur Einhaltung des 4-Augen-Prinzips ist ein Freigabeprozess vorgesehen. Ein übergreifendes Verfahren zur Risikolimitierung hält die ReiseBank im Kontext OpRisk für nicht sinnvoll, da hier keine Risiken im Rahmen von Limiten aktiv eingegangen werden. Ein der Limitierung ähnliches Verfahren wird bei den Risikoindikatoren mit den Eskalationstriggern angewendet. Dabei werden mit Erreichen von definierten Schwellwerten nach dem Ampelverfahren (grün, gelb, rot) Kommentierungen bzw. konkrete Maßnahmen erforderlich. Die Risikosteuerung erfolgt durch die jeweiligen Risikoeigner, also z. B. einen Geschäftsstellenmanager oder einen Bereichsleiter. Auf Grundlage eigener Beobachtung im Verantwortungsbereich sowie von Informationen und Hinweisen der zuständigen OpRisk-Manager oder der Stabsstelle Risikomanagement greifen die ReiseBank AG: Ingrid Reichelt-Schölch 5 / / 09:42 h

6 Risikoeigner Risiko vermeidend bzw. reduzierend in die Prozessabläufe ein. Daneben kann auch das Risikokomitee im Rahmen seiner regelmäßigen Sitzungen Anweisungen an die Risikoeigner beschließen, um Maßnahmen zur Risikovermeidung oder reduktion zu treffen. Die Risikoüberwachung erfolgt durch regelmäßige Auswertungen des gesamten OpRisk-Profils anhand der im Self Assessment, aus den Risikoindikatoren und aus der Verlustdatensammlung gewonnenen Informationen. Das Reporting erfolgt in 2 Stufen: Die Verlustereignisse sowie weitere dezentral anfallende OpRisk- Informationen werden zeitnah an das Risikomanagement gemeldet. Auf Basis der Auswertungsinformationen aus den 3 Risikoinstrumenten erstellt das Risikomanagement regelmäßig OpRisk-Berichte für den Vorstand, die Interne Revision und die Risikoeigner / Prozesseigner. Die Verantwortlichkeiten innerhalb des Risiko-Controlling-Prozesses sind dabei unter Beachtung des Funktionstrennungsprinzips wie folgt verteilt: Verantwortung Vor- Risiko- Risiko- Interne OpRisk- Risiko- stand mgmt eigner Manager Revision komitee Gesamtverantwortung Vorgabe Risikostrategie und Rahmenbedingungen Umsetzung () OpRisk-Strategie Operative () Risikosteuerung Risikosituation & ad hoc-maßnahmen Risikomessung und -bewertung Risikoüberwachung Risikoreporting Prüfung OpRisk- Verfahren Informationsfluss und Verantwortlichkeiten ReiseBank AG: Ingrid Reichelt-Schölch 6 / / 09:42 h

7 Unter Zugrundelegung der beschriebenen OpRisk-Aufbauorganisation und der eingesetzten OpRisk-Software stellen sich die Verantwortlichkeiten im Prozess der Datensammlung, -aufbereitung und berichterstattung wie folgt dar: VS RM:Erstellung und Lieferung Gesamtreport RM:Erstellung und Lieferung dedizierter Reports RM Risikokomittee RM: Prüfung, Plausibilisierung, Ergänzung, Rückgabe, Freigabe ORC VS = Vorstand RM = Risikomanagement GS = Geschäftsstelle IT, PER = Bereiche der Zentrale GSM 1 GSM 2 IT PER P&H GS: Zumeldung Verlustereignisse per Formular GS 1.3 GS 2.5 OpRisk-Manager: Manuelle Erfassung Verluste, Indikatoren und Self Assessment Eigenkapitalunterlegung von OpRisk Die Solvabilitätsverordnung sieht auch für OpRisk die Unterlegung mit Eigenkapital vor. Dabei kann sich die ReiseBank zwischen dem Basisindikator- und dem Standardansatz entscheiden. Aus den seit einigen Monaten laufenden Testrechnungen ergibt sich eine Tendenz zum Standardansatz, da dieser in der Eigenkapitalhöhe günstiger erscheint. Das dafür notwendige Bruttoertragsmapping auf einzelne Geschäftsfelder hat das Projektteam so konzipiert bzw. umgesetzt, dass die notwendigen Daten zu jedem Monatsultimo zusammen mit den automatischen monatlichen Berichten vom zentralen Controlling berechnet und bereit gestellt werden. Das Institut wird die Entscheidung für den Ansatz zur Eigenkapitalunterlegung seiner OpRisk im Laufe des Septembers treffen. Dokumentation ReiseBank AG: Ingrid Reichelt-Schölch 7 / / 09:42 h

8 Im Rahmen des Projektes hat das Projektteam die konzipierten und umgesetzten Vorgehensweisen und Prozesse sorgfältig dokumentiert. Ergebnis sind eine umfassende Rahmenrichtlinie für das Management von OpRisk sowie eine Arbeitsanweisung für die OpRisk-Manager. Die Konzeption der Eigenkapitalunterlegung analog der Solvabiltätsverordnung wurde in einem separaten Dokument zur Risikotragfähigkeit im Projekt schriftlich fixiert. Sämtliche Dokumente wurden vom Gesamtvorstand der ReiseBank bereits in Kraft gesetzt. Kommunikation und Schulung In der letzten Phase des Projektes stehen noch wichtige Projektaktivitäten zur Sicherstellung eines ordnungsgemäßen und zielführenden operativen Live-Betriebs des OpRisk-Controlling-Prozesses an: Die institutsinterne Kommunikation des Vorgehens und die Schulung der eingebundenen Mitarbeiter. Zusammenfassung Das Projekt läuft seit Oktober 2005 und wird in Kürze planmäßig abgeschlossen werden. "Die ReiseBank ist mit den Projektergebnissen sowohl hinsichtlich ihrer eigenen Motivation beim Aufbau einer zukunftsfähigen Gesamtbanksteuerung wie der Erfüllung der aufsichtsrechtlichen und DZ BANK-seitigen Vorgaben sehr gut positioniert. Dies kommt nicht zuletzt auch den Mitarbeitern und Kunden der ReiseBank zugute", so Jörg Hübner, im Vorstand zuständig für das Risikomanagement. ReiseBank AG: Ingrid Reichelt-Schölch 8 / / 09:42 h

9 Die Autoren: Ingrid Reichelt-Schölch ist Leiterin Risikomanagement der ReiseBank AG und kam im Mai 2004 zum Institut. Zuvor war sie Geschäftsführerin einer Reiseorganisation in Berlin und in verschiedenen Führungspositionen, u.a. für Verkauf und Qualitätsmanagement des DER Deutschen Reisebüros (Rewe Group) sowie für den externen Vertrieb bei der Deutschen Bahn verantwortlich. Aus der Tätigkeit als Lead-Auditorin für Qualitätsmanagement und ihrem Know-How im Prozessmanagement entstand das Interesse, das Management der Operationellen Risiken für die ReiseBank zu entwickeln und professionell umzusetzen. Andreas Kullmann ist Mitgründer und Geschäftsführer von, einem mittelständischen Beratungspartner für Unternehmen der Finanzwirtschaft und Industrie mit Büros in Frankfurt, New York und Zug. Er verfügt über 15 Jahre Erfahrung im Banken- und Beratungssektor sowie 2 Jahre in der Industrie. Zu seinen beruflichen Stationen im Bankenbereich zählen die Deutsche Bank und die Dresdner Bank. ReiseBank AG: Ingrid Reichelt-Schölch 9 / / 09:43 h