Integriertes Operational

Transkript

1 Integriertes Operational Risk Management IOR OpRisk Forum Mai 2012 Köln Prof. Dr. Thomas Kaiser

2 OpRisk-Management und verbundene Initiativen Eine integrierte OpRisk-Steuerung erfordert eine enge Abstimmung des OpRisk-Managements mit den bereits vorhandenen artverwandten Initiativen. Internes Kontrollsystem (IKS) SOX Betrugs Betrugsvorbeugung Notfallmanagement (BCM) Neue ProdukteProzess ITSecurity Outsourcing OpRisk-Management Compliance / Geldwäschebekämpfung 1

3 Parallel existierende Methoden (Auszug) In Abhängigkeit des jeweiligen Kontexts werden heute vielfach ähnliche Methoden parallel angewandt bzw. Informationen isoliert voneinander erhoben und berichtet. Identifikation / Bewertung Reporting Steuerung OpRisk Self- Risikoindikatoren Vierteljährlicher OpRisk- Assessment Bericht Szenarioanalyse Ad-hoc Berichte BCM Business Impact Analysis Jährlicher Statusbericht über Notfalltests Outsourcing- Controlling Ex-ante Risikoanalyse Laufende Analyse Performance -indikatoren Monatlicher Bericht über Volumen IT-Security Performance -indikatoren Monatlicher Bericht über IT-Verfügbarkeit und Stillstandzeiten 2

4 Derzeitige Ineffizienzen aufgrund mangelnder Integration Die oftmals fehlende Abstimmung der existierenden Initiativen verursacht hohe Ineffizienzen und bindet im hohen Maße Ressourcen in allen Bereichen der Bank. Risikomanagement-Informationen Intern Extern Informations- Anteils- Wirtschafts- Aufsichtsrat t Vorstand Risikokomitee ik k it Aufsicht empfänger eigner prüfer Rating Agenturen Berichterstat- tung und Offenlegung Bankweite Initiativen OpRisk Management Compliance Internal Audit Business Continuity Management Legal Department Ineffiz zienzen Versiche- rungen Datensammlung und - analyse Unternehmensbereiche Firmen- kunden Pi Privatkunden Investment Banking Handel Aufgaben und Analysen sind teilweise redundant, Verantwortlichkeiten zur Steuerung unklar. Dies führt zu inkonsistenten Ergebnissen bei hohem Ressourceneinsatz. 3

5 Konsequenz aktueller Defizite Die fehlende Integration artverwandter Themen in das OpRisk-Management führt zu einer Reihe ungewollter und negativer Konsequenzen: Redundante Aufgaben und Analysen Ineffizienter Einsatz knapper Ressourcen Inkonsistente Ergebnisse Hohe Belastung der Geschäftsbereiche durch Mehrfachbefragungen Unklare Zuweisung der Verantwortung Gefahr mangelnder Überwachung wesentlicher Risiken Bindung von Ressourcen für Abstimmungsprozesse Gefahr fehlender Koordination in Krisensituationen Keine Berücksichtigung der Anhängigkeiten it zwischen den Initiativen Möglichkeiten zur Risikosteuerung werden nicht vollständig ausgeschöpft Berichterstattung gibt unvollständiges Bild 4

6 Mögliche Effizienzsteigerung im OpRisk-Managementprozess Die Vereinfachung und Vereinheitlichung bislang nebeneinander existierender Initiativen setzt Ressourcen frei und erhöht die Aussagekraft der erhobenen und berichteten Informationen. Wirtschaftsprüfer Informationsempfänger Berichterstattung und Offenlegung Bankweite Initiativen Datensammlung und -analyse Versicherungen Unternehmensbereiche Aufsichtsrat OpRisk Management Intern Vorstand Compliance Risikomanagement-Informationen Risikokomitee Internal Audit Business Continuity Management Extern Anteilseigner Aufsicht Vereinfachte und vereinheitlichte OpRisk-Managementprozesse Privatkunden Investment Banking Handel Rating Agenturen Legal Department Firmenkunden!!Effizienzg!!gewinn 5

7 Vorteile des integrierten Ansatzes Durch die Integration bislang nebeneinander existierender Initiativen werden mehrere Ziele erreicht: Ausnutzung von Synergieeffekten entlastet die vorhandenen Ressourcen Erhöhung der internen Akzeptanz von OpRisk-Informationen und -Maßnahmen aufgrund geringerer Redundanzen en und Doppelarbeiten Steigerung der Aussagekraft der Informationen/Vermeidung von Inkonsistenzen Aktive Steuerungsmaßnahmen zur Vermeidung künftiger OpRisk-Schadensfälle Klare Demonstration der Verankerung des OpRisk-Messsystems und -Berichtswesens in den laufenden Risikomanagementprozess ( Use-test für AMA-Institute) Verbesserung der Wahrnehmung bei internen und externen Dritten, inkl. Ratingagenturen 6

8 Lösungsansatz zum integrierten OpRisk-Management Jeder Schritt des OpRisk-Managementprozess bietet Möglichkeiten zur Integration der artverwandten Themen. Identifikation / Bewertung Abbau von Redundanzen (z. B. Zusammenführung Self-Assessment und Business Impact Analysis) Übertragung erprobter Methoden auf andere Einsatzfelder (z. B. Outsourcing) Erhöhung der Konsistenz der Information (z. B. einheitlicher Bewertungsmaßstab) Reporting Einheitliches Reporting (Layout, evtl. Risiko- controlling als zentraler Koordinator) Bündelung der Berichte für gleiche Empfänger Inhaltliche Konsistenz der Berichte Gegenüberstellung von Risiko-, Ertrags- und Kostenzahlen Überwachung Zentrales Maßnahmentracking (Revisionsfindings, Self-Assessment-Maßnahmen, Qualitäts- management etc.) Stringente Erfolgskontrolle (Kosten/Nutzen) Konsistente Einbeziehung in den Audit-Plan bzw. Themenkatalog (Gesamtsicht statt Partikularsicht) Steuerung Klare Definition von Verantwortung Konsistente Steuerung, Berücksichtigung von Wechselwirkungen der Themen Zeitnähe der Entscheidung Verbindung zu Performancezahlen 7

9 Beispiel für Methodenintegration: Risikoanalyse einer Auslagerung gemäß MaRisk Gemäß MaRisk ist eine Risikoanalyse für Outsourcing-Beziehungen durchzuführen. Hierzu kann das bestehende OpRisk-Methodenset erweitert werden. Hoch rad llierungsg Detai Gering Auswirkung Auslagerung möglicherweise wesentlich Quick Check Strukturierte Untersuchung zur Wesentlichkeit der Auslagerung gemäß ausgewählter Kriterien Wahrscheinlichkeit Relevante Risiken Risikokategorisierung Ergänzung um auslage- rungsspezifische Risiken und Identifizierung der relevanten Risiken Risiken im roten Bereich Risikopotentialanalyse Qualitative Bewertung Szenarioanalyse Detaillierte Untersuchung der Risiken aus rotem Bereich Relevante Risiken auch im gelben Bereich der relevanten Risiken ik Alle relevanten Risiken im anhand geeigneter grünen Bereich Methoden Keine relevanten Risiken Wesentlichkeit der Auslagerung eindeutig ausgeschlossen MaRisk-Anforderungen an Auslagerungsprozess Erforderlich als Teil des Risikomanagements Zeit Auslag gerung wesen ntlich Einbind dung in Risikoman nagement wesentlich e Analyse rung nicht w keine weiter notwendig Auslager Vorerst 8

10 Betriebswirtschaftliche Motive für OpRisk-Management Die Einführung des OpRisk-Managements war bislang in weiten Teilen durch regulatorische Anforderungen getrieben. Betriebswirtschaftlicher Nutzen wird erst allmählich erzielt. Implementierung aus regulatorischen Gesichtspunkten Verantwortung des Vorstands Hauptkomponenten Geschäfts- und Risikostrategie Risikoprofil Risikotragfähigkeit ik k it Integrierte Banksteuerung Identifikation / Bewertung Reporting Integrierte OpRisk- Steuerung IT-Security Vermeidung Betrugsbekämpfung/ IKS / SOX Compliance R I S I K O - S T R A T E G I E O R G A N I S A T I O N S - S T R U K T U R R E P O R T I N G Definitionen Verlust- Risiko- und Strukturen daten bewertung B U I L D I N G B L O C K S Risiko- Quantifi- Management indikatoren zierung z y x w Risk map Versicherungen / ART Transfer Outsourcing I N F O R M A T I O N S T E C H N O L O G I E Instrumente und Methoden, IT-Tools Tools und Organisation Verlustdaten, KRI, Self Assessment, Quantifizierung Akzeptanz Verminderung Notfallplanung / BCM Monitoring Erweiterung des OpRisk-Frameworks um betriebswirtschaftliche Vorteile 9

11 Herausforderungen im Integrierten OpRisk-Management Obgleich der Nutzen eines Integrierten OpRisk-Managements hoch ist, müssen einige Hürden überwunden werden: OpRisk Management und verwandte Themengebiete sind meist in unterschiedlichen Vorstandsressorts mit spezifischen Prioritäten angesiedelt (CEO, CRO, CFO, CIO u. ä.) Führungskräfte und Mitarbeiter der einzelnen Bereiche/Abteilungen haben oft unterschiedliche Hintergründe und Sichtweisen (Rechtsanwälte, prozessual ausgerichtete Betriebswirte, quantitativ ausgerichtete Betriebswirte, Informatiker, Naturwissenschaftler/Mathematiker) Etablierte Methoden und Prozesse sind im Zeitablauf gewachsen und haben sich in der spezifischen Anwendung bewährt. Oft basieren sie auch auf eigenständigen IT-Systemen, welche zusammengeführt werden müssten Vereinheitlichte Methoden, Prozesse und Reports führen zu hohem Schulungsaufwand sowohl bei den zentralen Funktionen als auch bei den Anwendern in den Geschäftsbereichen Die Einführung eines Integrierten OpRisk-Managements ist somit mit Einmalaufwänden verbunden, welche sich durch hohe Synergieeffekte sowie Qualitätssteigerung der Ergebnisse schnell amortisieren. 10

12 Aktuelle Marktsituation Das Integrierte OpRisk-Management nimmt langsam Fahrt auf. Nutzung bestehender Risikoassessments (z. B. Compliance, IT Security) als Bestandteil des übergreifenden OpRisk Self-Assessments in einzelnen Banken Organisatorische Zusammenlegung von OpRisk-Management mit einzelnen anderen Bereichen (insbesondere Business Continuity Management, Internes Konrollsystem, Compliance), jedoch bislang keine umfassende Gesamtlösung Interesse der Aufsicht an übergreifenden Stress Tests, Risikokonzentrationen und Enterprise Risk Management verstärkt Handlungsdruck Zunehmend stärkere Verankerung des OpRisk-Managements in geschäftspolitischen Entscheidungen (Neuproduktprozess, Outsourcing, Konzernentwicklung) Zunehmende Etablierung des RepRisk-Managements führt zu weiteren Schnittstellen zum OpRisk-Management 11

13 Ansprechpartner ABCD Prof. Dr. Thomas Kaiser Director, Advisory THE SQUAIRE T D Frankfurt F ThomasKaiser@kpmg.com M