Methodologie für das Management operationeller Risiken

Transkript

1 Solution Overview Management operationaler Risiken Methodologie für das Management operationeller Risiken Solution Overview Management operationeller Risiken

2 Banken werden immer wieder mit Verlusten aus operationellen Risiken konfrontiert. So erschütterten erst vor Kurzem Handelsskandale die Finanzwelt und mehrere Banken waren in den Schlagzeilen, da sie auf Grund von Falschberatung auf Schadensersatz verklagt wurden. Durch derartige Ereignisse erleiden die betroffenen Institute innerhalb kürzester Zeit hohe Verluste. Ein aktives Management operationeller Risiken ist unerlässlich, um potentiellen Verlusten in diesem Bereich rechtzeitig gegensteuern zu können. Aufsichtsrechtlich sind operationelle Risiken definiert als die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken. Operationelle Risiken sind gemäß Basel II mit Eigenkapital zu unterlegen. Aber auch über die aufsichtsrechtlichen Anforderungen hinaus sollten sich Banken mit dem aktiven Management operationeller Risiken auseinandersetzen, um Wettbewerbsvorteile zu generieren. So lassen sich durch ein aktives Management operationeller Risiken Risikokosten sowie der Eigenkapitalbedarf und die Eigenkapitalkosten senken. Die Analyse der Risiken kann zu einem verbesserten Qualitätsmanagement und damit zu einer Verbesserung der Prozesse genutzt werden. Der Einbezug operationeller Risiken neben den anderen Risikoarten (allen voran Markt-, Kreditrisiken) führt zu einer Verbesserung der gesamten Risikosteuerung und des gesamten Risikomanagements der Bank. Zu den wesentlichen Aufgaben des OpRisk-Managements gehört der Aufbau eines angemessenen OpRisk-Managementumfeldes. Dazu ist eine konzernweite Gesamtkonzeption in Form eines Frameworks zu entwickeln, welches alle Managementschritte beinhaltet, inklusive eines Berichtssystems durch eine (unabhängige) Stelle mit klaren Verantwortlichkeiten. Zu den Aufgaben gehört ebenfalls die Etablierung und Verbreitung der Methoden, Verfahren, Prozesse und OpRisk-Tools. Dabei sind die einzelnen Geschäftsfelder und Legal Entities zu unterstützen. Eine konzernweite Kommunikation ist für eine einheitliche Durchführung eines korrekten und qualitativ guten OpRisk-Managements in den verschieden Bereichen des Unternehmens Voraussetzung. Die Sicherstellung der Einhaltung der Vorgaben und die ORM Kreislauf OpRisk Governance Struktur, Politik und Standards Risikoappetit / -tragfähigkeit Ökonomisches Kapital / Regulatorisches Kapital Messung und Bewertung von Risiken Implementierung von Kontrollmaßnahmen Risk Self Assessment Risk Control Self Assessements Risk Assessement Workshop OpRisk Verlustdaten Interne Verlustdaten Risikoindikatoren Risikoidentifikation Unternehmensspez. KRI Daten Externe Verlustdaten Öffentliche Verlustdaten Konsortialdaten Unternehmensspez. KRI Daten Szenarioanalyse Szenarioanalyse Monitoring und Reporting Reduktion operationeller Risiken Maßnahmenplanung Control Environment Assessment OpRisk Reporting und Analyse Andere Risikodaten EC/RC Berechnungen Reporting messbarer Ziele Abbildung 1: BearingPoint OpRisk Framework 2 Management operationeller Risiken Solution Overview

3 Phase I Strategie Phase II Design Phase III Entwicklung Phase IV Implementierung Phase V Anwendung Abbildung 2: BearingPoint Ansatz kontinuierliche Verbesserung des OpRisk- Management Frameworks ist eine weitere wesentliche Aufgabe. BearingPoint verfügt über mehrjährige OpRisk-Erfahrungen mit verschiedenen großen Kunden. Aufgrund der umfassenden Kenntnisse wurde eine Vorgehensweise (best practice) entwickelt. Dieses Framework zum Management operationeller Risiken besteht aus mehreren Komponenten (siehe Abbildung 1), die sich im Rahmen von Projekten einzeln oder in Summe umsetzen lassen. Das Management und die Steuerung operationeller Risiken umfassen die Identifikation von Risiken, die Bewertung und Messung von Risiken, die Konzeption und Einleitung von Steuerungsmaßnahmen und das Monitoring von Risiken einschließlich eines entsprechenden Reportings. Der Ansatz von BearingPoint sieht eine Umsetzung in fünf Phasen vor (siehe Abbildung 2). In der ersten Phase wird der Status Quo der Bank hinsichtlich des Managements operationeller Risiken aufgenommen. Gemeinsam mit den Verantwortlichen wird ein Anforderungsprofil für das künftige OpRisk Management entwickelt. Aufbauend auf der Ist- und Soll-Situation der Bank wird eine Gap Analyse durchgeführt, um Umsetzungslücken zu identifizieren. Die Ergebnisse der Gap Analyse fließen in die Erstellung einer Road Map ein. In der zweiten Phase werden die für die Umsetzung notwendigen technischen Anforderungen bestimmt. Nach Festlegen der künftigen technischen Gestaltung kann mit der Planung der Umsetzung begonnen werden. Die nächste Phase sieht die Programmentwicklung vor. Am Ende dieser Phase stehen der Bank entsprechende Piloten zur Verfügung. In der vierten Phase wird das neue OpRisk Management in Betrieb genommen. Hierfür werden das neue Risikoprogramm ausgerollt sowie die notwendigen Systeme installiert. Die Anwendung des neuen OpRisk Managements stellt schließlich die letzte Phase dar. Hier können bei Bedarf Verbesserungen an dem neuen Programm geplant werden. Mit diesen Umsetzungsschritten kann sowohl das komplette Framework innerhalb der gesamten Bank ausgerollt werden, als auch einzelne Komponenten. Im Folgenden werden die einzelnen Komponenten des BearingPoint OpRisk Frameworks genauer erläutert. OpRisk Strategie und Rahmenwerk Bevor operationelle Risiken gesteuert werden können, sind eine OpRisk Strategie sowie ein entsprechendes Rahmenwerk zu erarbeiten, in dem eine den Erfordernissen der Bank angepasste Aufbauorganisation für das Management operationeller Risiken zu erarbeiten und umzusetzen ist. Der organisatorische Überbau besteht aus der Governance Struktur und der Definition von Policies und Standards. Hier werden die zu den einzelnen OpRisk-Methoden zugehörigen Prozesse definiert und spezifiziert. Es geht etwa um die Vorgaben zur Risikoerfassung, z.b. die Spezifikation der einzubindenden Personen bei der Identifika- Management operationeller Risiken Solution Overview 3

4 tion und Erfassung von Risiken usw. Dabei sind auch die Rollen und Verantwortlichkeiten für das Management operationeller Risiken zu klären. Eine weitere grundlegende Fragestellung betrifft die Definition der Risikotoleranz der Bank und ihrer Bereiche. Der Risikoappetit zeigt auf, wie viel Risiko das Institut bereit ist zu tragen. Der Risikoappetit sollte in Abhängigkeit von der Ertragskraft der zu Grund liegenden Geschäfte definiert werden und bildet die Grundlage für eine risikoadjustierte Ergebnismessung. Weiterhin ist der Prozess, d. h. die Vorgehensweise zum Umgang mit operationellen Risiken, zu beschreiben. Dieses kann in einem sogenannten Risikohandbuch für operationelle Risiken festgehalten und so transparent und verbindlich kommuniziert werden. Ökonomisches und regulatorisches Kapital Gemäß den Eigenkapitalvorschriften nach Basel II sind neben Marktpreis- und Kreditrisiken auch operationelle Risiken mit Eigenkapital zu unterlegen. Hierzu existieren drei Ansätze: Basisindikatoransatz (BIA), Standardansatz (STA) und ambitionierter Messansatz (AMA). Bei dem Basisindikatoransatz (BIA) und dem Standardansatz (STA) wird die Eigenmittelunterlegung pauschal über den Bruttoertrag als Indikator berechnet. Der Eigenkapitalbedarf bei dem BIA wird durch Multiplikation des durchschnittlichen Bruttoertrags der letzten drei Jahre mit dem sogenannten Alpha- Faktor von 15% errechnet. Bei dem STA ist zunächst der durchschnittliche Bruttoertrag der vergangenen drei Jahre für acht von Basel II definierte Geschäftsfelder zu ermitteln. Der Bruttoertrag eines jeden Geschäftsfeldes wird mit dem sogenannten Beta-Faktor, der je nach Geschäftsfeld 12%, 15% oder 18% beträgt, multipliziert. Der Eigenkapitalbedarf bei dem STA ergibt sich schließlich durch Addition der zuvor ermittelten Ergebnisse. Sowohl der Basisindikatoransatz als auch der Standardansatz sind relativ einfach anzuwendende Messansätze, jedoch wird bei der Eigenmittelunterlegung ein nicht nachgewiesener kausaler Zusammenhang zwischen Bruttoertrag und den Verlusten aus operationellen Risiken unterstellt. Im Gegensatz zu den ersten beiden Ansätzen ist bei dem fortgeschrittenen Ansatz (AMA) eine risikosensitive Risikomessung möglich. Ein konkretes Modell zur Risikoberechnung und Eigenmittelunterlegung wurde nicht vorgegeben. Die Bank kann hier ein eigenes Modell entwickeln. Für die Berechnung des AMA müssen Daten aus internen und externen Verlusten und der Szenarioanalyse genutzt sowie interne Kontrollfaktoren und das Geschäftsumfeld berücksichtigt werden (siehe Abbildung 3). Ein häufig verwendeter Ansatz zur Berechnung des Risikokapitals ist der Verlustverteilungsansatz. Mit ihm kann der Value-at-Risk (VaR) für operationelle Risiken berechnet werden. Die Verteilung für die Anzahl und die Verteilung für die Höhe operationeller Schadensfälle werden getrennt voneinander modelliert. Mit einer Monte-Carlo-Simulation werden beide Verteilungen anschließend zu einer Gesamtverlustverteilung zusammengeführt. Gemäß den aufsichtsrechtlichen Bestimmungen muss die Bank in der Lage sein, das Risikokapital auf die einzelnen Geschäftsfelder aufzuteilen. Das Risikokapital ergibt sich als Summe aus erwartetem und unerwartetem Verlust auf Basis eines 99,9% VaR. Wenn die Bank nachweisen kann, dass sie den erwarteten Verlust explizit bepreist (Standardkosten), muss sie nur den unerwarteten Verlust vorhalten. 4 Management operationeller Risiken Solution Overview

5 Verlustdatensammlung Maßnahmen Interne Verluste Externe Verluste OpVar- Modell Monte-Carlo- Simulation Risikokapital Konsortialdaten Interne Kontrollfaktoren Szenarioanalyse Geschäftsumfeld. faktoren Abbildung 3: Wesentliche Elemente eines fortgeschrittenen Quantifizierungsansatzes Der ökonomische Kapitalbedarf der Bank ergibt sich durch die Quantifizierung und Aggregation sämtlicher für die Bank relevanter Risiken. Gemäß MaRisk zählen zu den relevanten Risiken auch operationelle Risiken. Hierfür muss die Bank im Verhältnis zu ihrem Risikoprofil angemessen mit internem Kapital ausgestattet sein. Ein übliches Maß für das Risiko und somit dem ökonomischen Kapitalbedarf ist auch hier der VaR. Das Konfidenzniveau kann mit dem von der Bank angestrebten externen Rating abgeleitet werden. BearingPoint hat für die Quantifizierung des VaR für operationelle Risiken das Tool AMASING entwickelt. Risikoidentifikation und -bewertung Nachdem mit der Strategie und dem Rahmenwerk das Fundament für das Management operationeller Risiken geschaffen wurde sowie die Prozesse und inhaltlichen Strukturen zur Erfassung von Verlustereignissen, Risiken und Risikoindikatoren festgelegt sind, kann mit der Identifikation und der Bewertung operationeller Risiken begonnen werden. Neben der Verlustdatensammlung sind dabei die Methoden Risk Control Self Assessments, Risikoindikatoren und Szenarioanalysen anzuwenden. Sammlung von Verlustdaten In eine Verlustdatenbank können sowohl die internen Verluste der Bank (also tatsächlich eingetretene Risiken) als auch externe Verlustdaten eingegeben werden. Das Ziel der Nutzung externer Verlustdaten ist, den Mangel an high severity low frequency Ereignissen in der internen Datenbank zu kompensieren. Externe Verlustdaten können entweder aus Konsortien stammen, aus öffentlich zugänglichen Quellen oder von externen Anbietern zugekauft werden. Dabei ist jedoch zu beachten, dass externe Verlustdaten den bankspezifischen Gegebenheiten anzupassen sind, da sie die individuellen Risiken der Bank ggf. nicht korrekt darstellen können. Die Verlustdaten sind in der Datenbank systematisch zu kategorisieren, um sie analysieren und für weitere Berechnungen nutzen zu können. Unter Berücksichtigung der Anforderungen von Basel II sind insbesondere die korrekten Zuordnungen zum Geschäftsfeld und zur Ereigniskategorie nach Basel II zu beachten. Risk Control Self Assessments Risk Control Self Assessment ist eine Methode, Risiken und dazugehörige Management operationeller Risiken Solution Overview 5

6 Kontrollmaßnahmen durch die Befragung von Experten zu identifizieren, zu analysieren und zu bewerten. Ziel der Risikoidentifikation ist, Risiken aufzudecken, die mit den Prozessen, Produkten, Systemen und Organisationseinheiten eines Unternehmens einhergehen. Durch eine anschließende Risikoanalyse werden die identifizierten Risiken nach Ereignis und Ursache kategorisiert. Die anschließende Risikobewertung schätzt unter Beachtung der möglichen Schadenshöhe und -häufigkeit das Verlustpotential, das sich durch die identifizierten Risiken ergibt. Im Zuge eines Risk Assessments werden sowohl die Wirksamkeit interner Kontrollen als auch der Mangel an Kontrollen hinsichtlich der identifizierten Risiken ermittelt und bewertet. Darauf aufbauend sind Pläne zu identifizieren, die darauf abzielen, Defizite hinsichtlich dieser Kontrollen zu beseitigen. Die Durchführung des Risk Assessments kann mit Hilfe von Fragebögen, Interviews, Workshops oder Software-Programmen stattfinden. Risikoindikatoren Ein Risikoindikator hat Frühwarnfunktion. Er zeigt die Veränderung des Risikoprofils auf, bevor ein Verlustereignis eintritt. Für ein effizientes Risikomanagement sollte sich eine Bank auf die Indikatoren fokussieren, durch die eine starke Reduzierung der Risiken möglich ist. Zur Erarbeitung dieser Risikoindikatoren eignen sich insbesondere Expertenworkshops. In einem ersten Schritt werden auf Basis von Verlustdaten, der Ergebnisse aus dem Risk Assessment sowie den Szenariodaten relevante Risikothemen identifiziert. Darauf aufbauend sind geeignete Risikoindikatoren zu erarbeiten, die sich auf Systeme, Prozesse, Mitarbeiter oder auch externe Faktoren beziehen können. Potentielle Indikatoren sind unter Berücksichtigung ausgewählter Kriterien einer eingehenden Analyse auf fachliche Eignung und systemtechnische Verfügbarkeit zu unterziehen. Wichtige Kriterien sind u. a. Frequenz, Risikosensitivität, Zeitnähe, Effizienz bei der Erhebung, Verständlichkeit und Trennschärfe. Das Ergebnis des Workshops sollte eine Liste mit sinnvollen und auch realisierbaren Risikoindikatoren sein. Als nächste Schritte sind die Indikatoren genauer zu spezifizieren und geeignete Bandbreiten festzulegen. Sobald dies geschehen ist, kann die konkrete Umsetzung des Risikoindikatoren-Systems geplant werden. Nach der Einführung eines solchen Systems sind die ausgewählten Indikatoren einem kontinuierlichen Backtesting mit der Verlustdatenbank zu unterziehen. Ungeeignete Indikatoren sind im Zeitablauf gegen aus fachlicher Sicht geeignetere Indikatoren auszutauschen. Die detaillierte Beschreibung der identifizierten und bewerteten Indikatoren unterstützt dabei die bedarfsgerechte Modifikation des Indikatoren-Sets. Szenarioanalyse Die Szenarioanalyse wird häufig für die Bereiche durchgeführt, in denen kaum Verlust- oder Risikodaten vorliegen. Szenarien behandeln unwahrscheinliche, aber dennoch plausible Verlustfälle (d.h. i.d.r. besonders schwerwiegende Risiken). Eine wichtige Grundlage für die Ableitung von Szenarien können externe Verlustfälle bilden. Bei der Szenarioanalyse ist eine Unterscheidung, z. B. von best case und worst case, möglich. Dabei werden Auswirkungen von Abweichungen der Korrelationsannahmen sowie mögliche Verluste aus mehreren gleichzeitig eintretenden Verlustereignissen bewertet. Durch die Veränderung der Parameter ergeben sich unterschiedliche Risikoverläufe. 6 Management operationeller Risiken Solution Overview

7 Risikominderung Nach der Identifikation und Bewertung der Risiken sind Maßnahmen zu ergreifen, um die Risiken zu verringern. Bei der Planung und Durchführung ist die Wirtschaftlichkeit der Maßnahme zu berücksichtigen, d.h., es ist zu prüfen, ob der Nutzen der Maßnahme höher ist als die entsprechenden Kosten. Werden bestimmte Maßnahmen umgesetzt, so sollte anschließend kontrolliert werden, inwieweit die Maßnahmen tatsächlich zur Verbesserung der Risikosituation führen. Reporting und Analyse operationeller Risiken Das Reporting dokumentiert die Risikoergebnisse. Die Ziele sind die Informationsversorgung, die Bereitstellung von Entscheidungsvorlagen, die Überwachung der Risikosituation sowie die Überwachung der Wirksamkeit des OpRisk-Managements. Im Reporting werden die einzelnen Informationen zu Verlustereignissen, Risiken und Indikatoren verarbeitet, dokumentiert und analysiert. Sinnvoll ist es, z. B. Schäden und Risiken sowohl nach Ereigniskategorien und Ursachen sowie nach Geschäftsfeldern darzustellen. Des Weiteren werden die Ergebnisse der Kalkulation des ökonomischen sowie des regulatorischen Kapitalbedarfs dargestellt. Die internen Adressaten sind der Konzernvorstand, das Senior Management, die Geschäftsführung der Tochterunternehmen, Risikomanager, das Risikocontrolling und die Revision. Externe Adressaten sind vor allem die Aufsicht, Wirtschaftsprüfer und Ratingagenturen. Um das Reporting je nach Adressat ansprechend zu gestalten, können mehrere Reportingmöglichkeiten implementiert werden. Des Weiteren kann das Reporting mit grafischen Elementen veranschaulicht werden. Potenzielle Vorteile des OpRisk Frameworks Die Implementierung des BearingPoint OpRisk Frameworks kann Ihnen diese Vorteile bringen: Reduktion von Verlusten aus operationellen Risiken Verminderung indirekter Kosten, die durch Verlustereignisse entstehen Steigerung der Effizienz im Bereich des OpRisk Managements Minimierung existenzbedrohender Risiken Schutz vor Reputationsverlust BearingPoint ist aufgrund eines hochmotivierten Teams mit exzellenten Skills im fachlichen und technischen Bereich, eigener, flexibler Lösungen und Produkte wie einem Quantifizierungsund Simulationstool, umfangreicher Projekterfahrungen von der Konzeption bis Implementierung von OpRisk Lösungen intensiver Zusammenarbeit mit renommierten Standardsoftware- Anbietern der ideale Partner, um gemeinsam durch zukunftsorientierte Lösungen erfolgreich Projekte zum Operational Risk Management durchzuführen. Management operationeller Risiken Solution Overview 7

8 To get there. Together. Wir helfen unseren Kunden, messbare und nachhaltige Ergebnisse zu erzielen BearingPoint berät Unternehmen und Organisationen aus den Bereichen Commercial Services, Financial Services und Public Services bei der Lösung ihrer dringendsten und wichtigsten Aufgaben. In enger partnerschaftlicher Zusammenarbeit mit dem Kunden definieren BearingPoint-Berater anspruchsvolle Ziele und entwickeln Lösungen, Prozesse und Systeme entlang der gesamten Wertschöpfungskette. Dies bildet die Grundlage für einen außerordentlichen Beitrag zum Geschäftserfolg und eine außergewöhnliche Kundenzufriedenheit. Seit der Übernahme durch seine Partner im Rahmen eines Management Buy-Out ist BearingPoint eine unabhängige Unternehmensberatung, die Unternehmertum sowie Management- und Technologiekompetenz auf einzigartige Weise vereint. Das Unternehmen beschäftigt rund Mitarbeiter in 15 Ländern. Das Unternehmen hat europäische Wurzeln, agiert aber global. Für weitere Informationen: BearingPoint. Management & Technology Consultants. Kontakt: Ralf Kehlenbeck Partner BearingPoint GmbH Speicherstraße Frankfurt am Main Deutschland BearingPoint GmbH, Frankfurt/Main. Alle Rechte vorbehalten. Gedruckt in der EU. Der Inhalt dieses Dokuments unterliegt dem Urheberrecht. Veränderungen, Kürzungen, Erweiterungen und Ergänzungen, jede Veröffentlichung, Übersetzung oder gewerbliche Nutzung zu Schulungszwecken durch Dritte bedarf der vorherigen schriftlichen Einwilligung durch BearingPoint GmbH, Frankfurt/Main. Jede Vervielfältigung ist zum persönlichen Gebrauch gestattet und nur unter der Bedingung, dass dieser Urheberrechtsvermerk beim Vervielfältigen auf dem Dokument selbst erhalten bleibt. SO 0304 DE