BASEL II - OPERATIONAL RISKS Praxisnahe Lösungen Acrys Consult Operationelle Risiken Operationelle Risiken Inhalt i
Inhalt Management Summary 1 Praxisnahe Lösungen 3 Unser Leistungsangebot...3 Operational Risk Management System 6 Grundlage für das Management der Operational Risks...6 Kernprozesse des Risikomanagements...7 Neue Rollen und Verantwortlichkeiten...8 Instrumente zur Identifizierung und Messung der Operational Risks 9 Daten als Kernproblem...9 Überblick über die eingesetzten Instrumente...9 Zusammenwirken der Instrumente...10 Self Assessment 11 Ausprägung und Zielsetzung des Self Assessments...11 Die Herausforderung in der Praxis...12 Vorbereitete Fragebögen...12 Szenarioanalyse / Szenario Analysis 13 Ausprägung und Zielsetzung der Szenarioanalyse...13 Verlustdatenbank / Loss Data Base 14 Sammlung und Auswertung von Verlustvorfällen...14 Herausforderungen an die Verlustdatensammlung...16 Risikoindikatoren / Risk Indicators 19 Frühwarnfunktion...19 Herausforderungen bei der Festlegung...19 Integration der Operational Risks in den Kapitalsteuerungsprozess 21 Quantifizierung der Operational Risks 23 Modelle zur Quantifizierung von Operational Risks...23 Der Aktuaransatz als mögliche Alternative zur Kalkulation des Risikokapitals...24 Reporting der Operational Risks 26 Steuerung der Operational Risks 28 ORSA 30 Screenshots der Anwendung...30 Anhang 32 Basel II 32 Überblick...32 Säule 1: Methoden zur Ermittlung des regulatorischen Eigenkapitalbedarfs...34 Basisindikatoransatz (Basic Indicator Approach)...34 Standardansatz (Standardised Approach)...35 Ambitionierte Messansätze (AMA Advanced Measurement Approach)36 Generelle qualitative Kriterien für den Standardansatz und den AMA...39 Weitere qualitative Kriterien für den Standardansatz...39 Weitere qualitative Kriterien für die Verwendung eines AMA...40 Quantitative Kriterien für die Verwendung eines AMA...40 Säule 2: Aufsichtsrechtliches Überprüfungsverfahren...41 Säule 3: Zukünftige Berichtspflichten...42 Ihre Ansprechpartner 43 Operationelle Risiken Operationelle Risiken Inhalt ii
Abbildungsverzeichnis Abbildung 1: Projektphasen...3 Abbildung 2: ORMS...6 Abbildung 3: Kernprozesse des Risikomanagement...7 Abbildung 4: Rollen und Verantwortlichkeiten...8 Abbildung 5: Konsolidierte Betrachtung der Ergebnisse von Self Assessment, Indikatoren und Verlustdatenbank...10 Abbildung 6: Prozess der Verlustdatensammlung...17 Abbildung 7: Risikoindikatoren...20 Abbildung 8: Ermittlung des ökonomischen Kapitals für OR...21 Abbildung 9: Monte-Carlo-Simulation...25 Abbildung 10: Actuaransatz für die Ermittlung des Operational Value-at-Risk...25 Abbildung 11: Risikomatrix (= Risikoportfolio)...27 Abbildung 12: Abbau unkontrollierbarer Risiken mit ZIel beherrschbares Risiko und Wahrnehmung von Chancen...28 Abbildung 13: Basel II-Optionen zur Quantifizierung der Operational Risks...32 Abbildung 14: Beziehung der Eigenkapitalermittlungsmethoden zueinander...34 Abbildung 15: Beispiel für den Standardansatz...35 Abbildung 16: Kapitalfaktoren Standardansatz...35 Abbildung 17: Beispiel für Internen Bemessungsansatz...37 Abbildung 18: Unterschiede des Internen Bemessungsansatzes zum Verlustverteilungsansatz...38 Abbildung 19: Kernbereich der Operational Risk Sound Practices...41 Operationelle Risiken Operationelle Risiken Abbildungsverzeichnis iii
Management Summary Basel II fordert ab 2007 eine Eigenkapitalunterlegung für die operationellen Risiken (OR). Sie werden definiert, als die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten. Studien belegen, dass unvollständige, ungenaue oder veraltete Daten und ungenügendes Management der OR die Hauptgründe für hohe Verluste bei Finanzdienstleistern sind. Die OR sind auch Bestandteil der im Februar von der Bundesanstalt für Finanzaufsicht im Entwurf herausgegebenen Mindestanforderungen an das Risikomanagement (MaRisk). Wenngleich OR im separaten Modul innerhalb der MaRisk knapp behandelt werden, räumt die BaFin dem Umgang mit ihnen über alle Anforderungen des gesamten Entwurfs hinweg einen zentralen wenn nicht sogar überragenden Stellenwert ein. Durch zunehmende Globalisierung, fortschreitende Technologisierung, Aufnahme neuer Geschäftszweige oder Sourcing entstehen zudem weitere, neuartige OR, die es zu verstehen und zu managen gilt. Ein pro-aktives ORM bietet enormes Chancen-Nutzenpotenzial: Verbesserung der Cost-Income-Ratio Das Risikobewusstsein Ihrer Mitarbeiter erhöht sich. Die Folgen sind Schadensreduzierungen und Istkostensenkungen. Steigerung der Prozess- und IT-Effizienz Schwachstellen werden rechtzeitig aufgedeckt. Agieren statt teures Reagieren Rechtzeitige Identifizierung der OR lässt Platz für das Finden von Handlungsalternativen. Risikotragfähigkeitsüberlegungen werden Bestandteil des Entscheidungsprozesses Die Risiken sind transparenter und werden detaillierter berichtet. Die Opportunitätskosten für die Verzinsung der erforderlichen Eigenmittelunterlegung können reduziert werden. Bestandteil der Gesamtbanksteuerung Nur das Beschäftigen mit diesen Risiken ermöglicht die Einbettung in eine umfassende Gesamtbanksteuerung. Operationelle Risiken 1
Für die Nutzung dieser Chancen ist es notwendig, die Risikoverantwortlichen mit präzisen Informationen über ihre Risikolage zu versorgen, damit diese auch zielgerichtet steuern können: Was sind die Risikotreiber in den einzelnen Geschäftsbereichen? Welches sind die kritischsten OR? Wie hoch ist die Wahrscheinlichkeit des Eintritts? Welcher Schaden (in Geldeinheiten) kann bei Eintritt entstehen? Wie wirken sich geplante Maßnahmen auf die bestehende Risikosituation aus? Strenge Projektnebenbedingung Overload vermeiden Ein OR-Projekt muss Ihre institutsspezifischen Gegebenheiten wie Größe, Geschäftsfelder u.ä. berücksichtigen. Ein "Overload" - nicht nur wegen der damit verbundenen Kosten - muss vermieden werden. Es gilt, den besten für Sie geeigneten Ansatz zu finden. Wir unterstützen Sie, zielgerichtet und effizient ein ORM-System aufzubauen. Sprechen Sie mit uns. Wir sind Experten im Risk Management. Operationelle Risiken 2
Praxisnahe Lösungen Unser Leistungsangebot Wir begleiten Sie bei allen Projektphasen... Support/Maintenance Abnahme/Dokumentation/ Know-how Transfer Realisierung/Systemeinführung Systemkonzeption Fachkonzeption Management-/Machbarkeits- Studie Projektmanagement Projektmanagement Qualitätsmanagement Qualitätsmanagement / Qualitätssicherung /-sicherung Abbildung 1: Projektphasen... und lassen Sie nicht nach der Konzeption im Regen stehen. Die Leistungen im einzelnen umfassen zum Beispiel: Auf- /Ausbau Ihres Operational Risk Management Systems (ORMS) Fachliche und/oder technische Konzeption. Unterstützung bei der Umsetzung eines AMA: - Verlustverteilungsansatz, - Szenarioanalyse oder - Scorecard-Ansatz. Unterstützung bei dem Reengineering Ihrer Prozesse. Entwicklung von ORM-Strategien. Erstellung von prüffähigen Dokumentationen zum ORMS. Unterstützung bei der Erfassung Ihrer OR. Beistellung von methodisch-statistischem Know-how bei Bewertung (VaR) und Kapitalallokation. Einbettung in das Reporting/MIS. Operationelle Risiken Unser Leistungsangebot 3
Konzeption von Überwachungsinstrumenten und Integration in die Prozesse. Auswahl einer auf Ihre Anforderungen passenden Standardsoftware Ihr Vorteil: wir sind systemunabhängige Berater. Wir unterstützen Sie gerne bei: der Definition der fachlichen und technischen Anforderungen an eine Systemlösung (Masterkriterienkatalog wird eingebracht). der Auswahl und Analyse von Standardprodukten, damit Sie die wahre Leistungsfähigkeit und die tatsächlichen Schwächen einschätzen können. der Integration der ausgewählten Software in Ihre IT-Struktur und der Anbindung aller relevanten Input- und Output-Schnittstellen. Erfahrungen haben wir bereits mit dem Software-Produkt: ORC des Herstellers interexa AG. (Quick) Checks Beurteilung Ihrer stragischen OR-Strategie und/oder Ihrer ORM- Organisation. Beurteilung Ihrer OR-Berichterstattung (intern/extern). Datenmanagement Überprüfung der Datenqualität und Input-Parameter. Sie suchen eine einfache und kostengünstige Lösung für das Self Assessment? Auch hier helfen wir Ihnen weiter. ORSA (Operational Risk Self Assessment) basiert auf ACCESS (sowohl Version 97 als auch 2000) und unterstützt Sie bei der Durchführung und Auswertung von Self Assessments. Es werden ausschließlich qualitative Risikoeinschätzungen erhoben. Durch eine Export-Funktion können Sie die Self Assessments den jeweiligen Beantwortern zur Verfügung stellen. Nach der Fertigstellung werden die Self Assessments wieder in die Datenbank importiert. Screenshots der Anwendung finden Sie auf den Seiten 34 f. ORSA setzen wir auch zur Durchführung spezieller Risikoanalysen ein: IT-Risiken, Projektrisiken oder Risiken im Zusammenhang mit Outsourcing-Projekten. Basis-Fragebögen zu den o.g. Themenbereichen sind bereits vorhanden, die auf alle wesentlichen Risiken abdeckenden, kundenspezifisch anpassbaren Risikoprofilen aufbauen. Weiterführende Informationen zu IT-Risk Assessments finden Sie unter IT-Risk Assessment www.acrys.com/de/ac_documentation.htm. Operationelle Risiken Unser Leistungsangebot 4
Sie suchen Unterstützung bei der Implementierung eines OpVaR? Wir haben eine Software-Library für die Ermittlung eines OpVaR auf Basis des Actuar-Ansatzes entwickelt (siehe Seiten 24 f.), die wir in ein Projekt unentgeltlich als Teil unserer Beratungsleistungen einbringen. Durchführung von Schulungen und Workshops Praxisorientierter Know-how Transfer an Ihre Mitarbeiter. Unterstützung im operativen Risikomanagement Aufbau oder Quick-Check Ihrer Notfallplanung (Business Continuity Plan). Prozessmanagement Aufzeigen von Reduzierungspotenzial bei den Risikokosten: - Identifizierung von Reengineering-Bedarf. - Prozessoptimierung durch gezielte strukturelle und ablauforganisatorische Massnahmen. Projektmanagement und Projektcontrolling Übernahme oder Unterstützung bei diesen Aufgaben. Gerne erläutern wir Ihnen unsere bisherigen Projekte näher oder stehen Ihnen für ein unverbindliches, persönliches Gespräch in Ihrem Hause zur Verfügung. Operationelle Risiken Unser Leistungsangebot 5
Operational Risk Management System Grundlage für das Management der Operational Risks Mit dem Aufbau eines Operational Risk Management Systems (ORMS) stellen Sie sicher, eine bankweite Sichtweise der Operational Risks (OR) zu erlangen. Ferner sichert dies neben der Quantifizierung auch die Erfüllung der umfangreichen qualitativen Anforderungen zu. Nur so ist auch später die Planung und Durchführung sinnvoller Folgemaßnahmen gewährleistet. INTEGRIERTES OPERATIONAL RISK MANAGEMENT SYSTEM Zielvorstellung / Fokus und Risikoappetit Aufbauorganisation (Rollen und Verantwortlichkeiten) Information/ Kommunikation Ablauforganisation/ Dokumentationen Operational Risk Management Prozess regelmäßig, sich wiederholende Arbeitsschritte (Follow-up) Methoden (qualitativ/ quantitativ) Managementinformationssystem Identifizierung Bewertung Repoting Steuerung Überwachung IT-Infrastruktur Definition Operational Risk / Verfahren Ermittlung EK-Unterlegung RISIKOADJUSTIERTE GESAMTBANKSTEUERUNG Abbildung 2: ORMS Der Vorstand bzw. die Geschäftsführung gibt das strategische Ziel vor, genehmigt notwendige Definitionen sowie die generelle Vorgehensweise ( Spielregeln ) für die Ermittlung der Eigenkapitalunterlegung für die OR. Zentral für die Einführung und den langfristigen Erfolg eines ORMS ist das Risikobewusstsein Ihres Vorstands und das Backing durch ihn! Es entstehen neue Rollen und Verantwortlichkeiten in der Aufbauorganisation Ihres Institutes (siehe Seite 8), in der Ablauforganisation schlagen sich die umfangreichen Dokumentationspflichten aus Basel II nieder. Auswirkungen werden Sie auch auf die Infrastruktur haben, sei es durch weitere Schnittstellen an vorhandenen Systemen, die Implementierung neuer Systeme oder den Aufbau zusätzlicher Datenbanken. Operationelle Risiken Grundlage für das Management der Operational Risks 6
Die OR werden Bestandteil der Berichterstattungsprozesse. Die quantitativen und qualitativen Methoden und Verfahren für die Ermittlung der OR sind festzulegen. Die höchstmögliche Motivation, Akzeptanz und Risikosensibilisierung Ihrer Mitarbeiter erreichen Sie durch Information sowie intensive, regelmäßige Kommunikation. Binden Sie alle Mitarbeiter und Bereiche ein. Schaffen Sie eine Risikokultur. Unterschätzen Sie hierbei nicht die Notwendigkeit der Einrichtung eines Anreizsystems für die Umsetzung dieser Risikokultur. Die erfolgreiche Umsetzung der Softfacts und die Motivation Ihrer Mitarbeiter bestimmt den Erfolg des Gesamtprojekts. Der Aufbau des ORMS wirkt sich auf annähernd alle Bereiche Ihres Instituts aus. Denken Sie rechtzeitig an die Einbindung des Betriebsrates, des Datenschutzbeauftragten (falls personenbezogene Daten erhoben werden sollen) sowie der Revision. Beachten Sie in diesem Zusammenhang auch die Einhaltung sonstiger, bankinterner Regelungen. Um im Sinne und der Strategie des Managements das Ziel der Identifizierung, der Bewertung und der Steuerung der OR zu erreichen, bedarf es einer guten Planung und einem stringenten Projektmanagement. Kernprozesse des Risikomanagements Die Kernprozesse im Risikomanagement sind: RISIKOMANAGEMENT REVISION Identifizierung / Analyse Bewertung Reporting Steuerung Überwachung Festlegen Risikofelder Risikoinventur - Identifizierung der Risiken nach - Ursachen - Bereichen - Interdependenzen - wesentlichen Einflussfaktoren Risikoanalyse - Ursache/Wirkungsbeziehung - Interpretation - Risikokategorisierung Berücksichtigung von: - vorhandenen Kontrollen - bereits ergriffenen Massnahmen Erstellung Risikoinventar Bewertung der Risiken nach: - Qualität - Quantität - Wesentlichkeit - Eintrittswahrscheinlichkeit Ermittlung der Risikoverantwortlichen (Risk Owner) Priorisierung der Risiken Ermittlung Massnahmen/Empfehlungen Ermittlung Gesamtrisikolage Berichterstattung nach den Dimensionen: - Inhalt - Formale Darstellung - Zeit - Empfänger Darstellung Risikoentwicklung Massnahmen zur Risikosteuerung auswählen: - Risiko-Übernahme - Risiko-Milderung - Risiko-Kompensation - Risiko-Transfer - Risiko-Vermeidung Neutrale Überprüfung des Risiko- management- Prozesses und der Wirksamkeit der Steuerungsmaßnahmen Regelmäßiger, sich wiederholender Prozess Abbildung 3: Kernprozesse des Risikomanagement Es handelt sich um einen kontinuierlichen Prozess, der gfls. auch die regelmäßige Überarbeitung bzw. Anpassung der Risikostrategie zur Folge hat. Operationelle Risiken Kernprozesse des Risikomanagements 7
Neue Rollen und Verantwortlichkeiten Durch die Implementierung des ORMS entstehen neue Rollen und Verantwortlichkeiten innerhalb Ihres Institutes. Die Aufbauorganisation auf Basis der Berichtslinien könnte sich beispielsweise wie folgt darstellen: Gesamtverantwortung Neutrale Überwachung Aufsichtsrat, Beirat o.ä. Unternehmensleitung Interne Revision Risk Committee Zentrales Risikomanagement / Risikocontrolling Federführung, Koordination Stabsabteilungen Geschäftsfelder IT Geschäftsfeld 1 Risk Owner Finanzbuchhaltung Geschäftsfeld 2 Risk Owner Stabsabteilung n Geschäftsfeld n Abbildung 4: Rollen und Verantwortlichkeiten Das Operational Risk Committee ist als Steering Committee für die Implementierung und Durchsetzung des ORMS verantwortlich. genehmigt die Rahmenrichtlinie, angewandte Standards, Methoden und Instrumente sowie wesentliche OR Steuerungsmaßnahmen und Investitionen. Das zentrale Operational Risk Control koordiniert OR Aktivitäten und entwickelt Verfahren, Methoden und Instrumente in Zusammenarbeit mit den OR Managern. entwickelt Berichtsstandards und implementiert einen regelmäßigen, konsolidierten OR Report. Die dezentralen Operational Risk Manager identifizieren, berichten und steuern die OR ihres Bereiches. Operationelle Risiken Neue Rollen und Verantwortlichkeiten 8
Instrumente zur Identifizierung und Messung der Operational Risks Daten als Kernproblem Grundlage für Risikosteuerung, Maßnahmenplanung und anschließende Priorisierung der Investitionen bilden Daten. OR sind oft nicht direkt greifbzw. messbar und hängen in hohem Maße von subjektiven Einschätzungen ab. Beispiele hierfür sind die Ermittlung der Verlusthöhen und Eintrittswahrscheinlichkeiten bei der Szenarioanalyse. Sie haben hierfür keine Historie, auf die Sie Ihre Erfahrungen stützen können. Die Ermittlung von genauen und richtigen Daten bzw. Datenquellen sowie der Aufbau einer ausreichenden Historie sind daher die Kernprobleme. Überblick über die eingesetzten Instrumente Die in den Basler Papieren enthaltenen qualitativen und quantitativen Anforderungen führen zu einer Standardisierung der Instrumente für das Management der OR. In der Praxis häufig eingesetzt und als Best Practice Instrumente zu bezeichnen sind: das Self Assessment, die Szenarioanalyse, die Verlustdatenbank und die Risikoindikatoren. Die Analyse von Verlustereignissen ist gegenwarts- und vergangenheitsorientiert ( lessons learned ). Das Self Assessment, die Szenarioanalyse und die Risikoindikatoren sind gegenwarts- und zukunftsgerichtet. Zur weiteren Unterstützung des OR Management werden statistischmathematische Methoden eingesetzt, insbesondere auch zur späteren Einbettung der OR in eine umfassende Gesamtbanksteuerung. Operationelle Risiken Daten als Kernproblem 9
Zusammenwirken der Instrumente Keines der o.g. Instrumente für sich allein betrachtet erfüllt das Ziel, die gesamte Bandbreite möglicher OR zeitnah zu erfassen, zu messen und adäquate Informationen für die Steuerung zur Verfügung zu stellen. Zum Beispiel erhöhen statistische Auswertungen die Prognosekraft, sie suggerieren aber oft auch Scheinwahrscheinlichkeiten. Durch Verknüpfung mit Methoden zur qualitativen und quantitativen Ermittlung von Verlusteintrittswahrscheinlichkeiten und Verlusthöhen erhöht man die Aussagekraft. Auch unter Berücksichtigung der Aspekte Effizienz, Wahrscheinlichkeit der Datenrichtigkeit und daraus abgeleiteter Aussagen sowie Datenvollständigkeit ist ein Zusammenwirken anzustreben. Das Ziel muss daher lauten: effiziente Verknüpfung aller eingesetzten Instrumente zu einem ganzheitlichen und konsistenten, modular aufgebauten Steuerungsinstrumentarium. OR Reporting Konsolidierung / Berücksichtigung Korrelationen Risikomanagement Risikopriorisierung Gesamtbanksteuerung Ökonomisches/ Regulatorisches Kapital Audit Reports Validierung und Bewertung der OR Back und Stresstesting Externe Datenkonsortien Szenarioanalyse Self Assessment Verlustdatenbank Indikatoren Maßnahmen Identifizierung und Erfassung der OR Abbildung 5: Konsolidierte Betrachtung der Ergebnisse von Self Assessment, Indikatoren und Verlustdatenbank Diesem modulartigen Aufbau folgen in der Regel auch die Anbieter von Standardsoftware. Operationelle Risiken Zusammenwirken der Instrumente 10
Self Assessment Ausprägung und Zielsetzung des Self Assessments Das Self Assessment (SA) ist das am weitesten verbreitete Instrument, OR zu identifizieren. Beim SA handelt sich um die regelmäßig durchgeführte strukturierte, systematische Beurteilung von Prozess- und Kontrollqualitäten (qualitative Risikoeinschätzung). Ausprägungen: - generisches SA: allgemeingültige Fragestellungen für alle Geschäftsfelder, ein Vergleich der Geschäftsfelder zueinander ist möglich. - geschäftsfeld-/fachbereichsspezifisches SA: über die generischen Fragestellungen hinaus werden hier geschäftsfeld-/ fachbereichsspezifische Fragestellungen berücksichtigt. Das SA selbst kann unterschiedlich durchgeführt werden: Versenden von Fragenkatalogen, Durchführung von Workshops (auf Management-/Expertenebene) oder Durchführung von Interviews (mit Management/Experten). Zielsetzung Mit dem SA erhalten Sie Informationen über etwaige Schwachstellen im Prozess-, System- sowie Kontrollumfeld und Handlungsbedarf daraus. Es bildet ferner ein gute Grundlage für ein mögliches qualitatives Adjustment bei der Ermittlung des notwendigen Kapitalbedarfs (siehe Seite 21). Operationelle Risiken Ausprägung und Zielsetzung des Self Assessments 11
Die Herausforderung in der Praxis Oft begangener Fehler in der Praxis ist, dass eine Sammlung von Fragen in Form eines Audit Fragebogens als SA eingesetzt wird. Dies führt in der Regel nicht zum Ziel. Systematische SA s dagegen liefern i.d.r. Informationen, die für die Steuerung der OR unabdingbar sind. Im Anhang finden Sie eine Erläuterung, auf welche Aspekte wir u.a. bei der Erstellung, der Durchführung und der Auswertung eines SA achten. Vorbereitete Fragebögen Auf Basis unserer Erfahrungen haben wir bereits einen vorbereiteten, generisch aufgebauten Fragebogen (ca. 60 Fragen), den wir in ein Projekt unentgeltlich als Teil unserer Beratungsleistungen einbringen. Die Auswahl der letztendlich im SA eingesetzten Fragen richtet sich nach den spezifischen Gegebenheiten Ihres Instituts. Die Fragen orientieren sich nach Risikokategorien in Anlehnung an die Basel II Vorgaben - Interne Verfahren und Prozesse, Human Kapital, Externe Einflüsse und Systeme. Daneben haben wir detaillierte Fragebögen zu den Themen: IT-Risiken, Projektrisiken und Risiken in Outsourcing-Projekten. Siehe auch Fachbeitrag unter www.acrys.com/de/ac_documentation.htm Qualitätssicherung Self Assessment Ergebnisse. Operationelle Risiken Die Herausforderung in der Praxis 12
Szenarioanalyse / Szenario Analysis Ausprägung und Zielsetzung der Szenarioanalyse Hier erfolgt die Ermittlung potenzieller Verlusthöhen und Verlusteintrittswahrscheinlichkeiten durch Szenariendefinition über mögliche Risikoeintritte (quantitatives Exposure) durch ausgewählte Mitarbeiter (die sogenannten Experten ). Die Szenarioanalyse kann ebenfalls unterschiedlich ausgestaltet sein (Fragebogen, Workshops, Interviews). Wir präferieren die Ermittlung der Szenarien im Rahmen eines Workshops. Zielsetzung Die Szenarioanalyse unterstützt insbesondere die systematische Identifizierung und Analyse von OR, die durch einen hohen Verlust bei geringer Eintrittswahrscheinlichkeit ( low frequency high impact ) gekennzeichnet sind. Sie eignet sich auch zur Datenerhebung bei neuen Geschäftsfeldern, für die noch keine Datenhistorie vorliegt. Auf Grund der geringen Datenverfügbarkeit aus tatsächlich eingetretenen Schäden finden die Ergebnisse der Szenarioanalyse auch Berücksichtigung bei der OR-Quantifizierung. Dies erhöht die Anzahl der verfügbaren Datenpunkte. Operationelle Risiken Ausprägung und Zielsetzung der Szenarioanalyse 13
Verlustdatenbank / Loss Data Base Sammlung und Auswertung von Verlustvorfällen Dieses Instrument findet in der Praxis ebenfalls eine hohe Verbreitung: Die ORSP (siehe im Anhang Seite 41) bzw. MaRisk verlangen bereits bei Anwendung das Basisindikatoransatzes die Überwachung und das Reporting der wesentlichen Verlustpotenziale. Banken, die die Eigenkapitalunterlegung für OR nach dem Standardverfahren oder nach einem fortgeschritteneren Verfahren ermitteln wollen, müssen ihre OR-Verluste strukturiert in einer Verlustdatenbank erfassen. Ursache-Wirkungs-Analyse Der Auswertung historischer Verlustdaten mit Informationen über die Häufigkeit, Höhe und Ursache von aufgetretenen OR kommt bei dem Verstehen und zukünftigen Vermeiden von Schadensfällen eine große Bedeutung zu. Sie bilden eine gute Basis für die Entwicklung von Gegenund Präventivmaßnahmen. Basis für die Quantifizierung der OR Historische Verlustdaten (und oft auch Daten über potenzielle Verluste) bilden häufig die Basis für die Quantifizierung der OR und somit der Berechnung der Eigenkapitalunterlegung nach statistisch-mathematischen Verfahren. Verlustdaten erhält man durch: Sammlung interner historischer Verlustdaten, z.b. durch Meldungen der Bereiche, die den Verlust verursacht haben (aber beachte: um die Vollständigkeit sicherzustellen, ist eine starke Risikokultur notwendig). Auswertung von internen und externen Prüfungsberichten. Auswertung von Compliance-Berichten. Etc. Kauf oder Sammlung externer Verlustdaten. Neben der Quantifizierung werden diese als Basis für die Festlegung von Szenarien zur Ermittlung potenzieller Verlustquellen herangezogen. Operationelle Risiken Sammlung und Auswertung von Verlustvorfällen 14
Szenarioanalysen. Quantifizierbare Risikoindikatoren. Backtesting-Funktionalität Mit Hilfe der Verlustdatenbank erfolgt auch der von den Regulatoren geforderte Abgleich der tatsächlich eingetretenen Schäden mit den im SA erfassten Risiken (sowohl inhaltlich als auch von der Verlusthöhe her). Voraussetzung hierfür ist jedoch, dass die Aktualität der Verlustdaten regelmäßig und systematisch überprüft wird. Operationelle Risiken Sammlung und Auswertung von Verlustvorfällen 15
Herausforderungen an die Verlustdatensammlung Die Sammlung interner Verluste ist notwendige Voraussetzung für die aufsichtsrechtliche Anerkennung eines internen Modells im Rahmen des AMA. Die notwendige Datenhistorie beträgt 5 Jahre, für einen Übergangszeitraum akzeptiert die Aufsichtsbehörde 3 Jahre (siehe hierzu auch im Anhang Seiten 36 f.). Erfassung interner Verlustdaten Meist liegt bereits eine Sammlung von Verlustdaten in verschiedenster Form und in unterschiedlichen Abteilungen vor. Diese Verlustdaten dürfen aber nicht blind übernommen werden. Sie genügen den hinreichenden Kriterien zur Aufnahme in die zentrale Verlustdatenbank nur bedingt und beschränken sich in der Regel auf sogenannte high frequency, low impact Ereignisse (beispielsweise Abwicklungsfehler). Um sicherzustellen, dass die internen Verlustdaten auch wirklich die aktuelle Verlustrate reflektiert, müssen Sie die Daten entsprechend Ihrer Geschäftsaktivitäten (laufend) skalieren (z.b. Inflationsbereinigung, Qualitätsskalierung, etc.). In der Praxis ist dies aber oft nicht einfach (zum Beispiel: Klärung der Frage, welche Variable/ Methode für die Skalierung verwendet werden soll). Folglich dürfen vorhandene Verlustdaten nicht ohne vorherige Prüfung auf Verwertbarkeit benutzt werden. Eine große Anzahl an Verlustereignissen wirkt sich zwar günstig auf die mathematische Auswertung (Quantifizierung) aus, jedoch kann eine schlechte Datenqualität leicht zu einer fehlerhaften Beurteilung der Ergebnisse hinleiten. Verlustdaten sind nicht immer eindeutig im Buchhaltungssystem der Bank zu erkennen (beispielsweise auf speziellen GuV-Konten), geschweige denn, über eine Schnittstelle in die Verlustdatenbank überspielbar. Vielmehr handelt es sich um einen Meldeprozess, der durch manuelle Tätigkeiten geprägt ist. Sie müssen daher sicherstellen, dass Ihre Mitarbeiter über die Installierung eines Reporting-Prozesses zukünftig die internen Verlustdaten aus OR melden bzw. dezentral in der Verlustdatenbank erfassen. Zu diesem Prozess gehört auch eine OR-Schulung, um die Risikosensibilität und ein konsistentes Reporting zu gewährleisten. Diese (potenziellen) Verlustdaten können durch die Ergebnisse der Szenarioanalyse, harter quantifizierbarer Risikoindikatoren oder durch die Erfassung externer Daten ergänzt werden. Ergänzung um externe Verlustdaten und der Ergebnisse der Szenarioanalyse Eine hinreichend breite Wahrscheinlichkeitsverteilung für die korrekte Quantifizierung der OR erfordert insbesondere auch die Berücksichtigung von low frequency, high impact Ereignissen (beispielsweise Ausfall der zentralen EDV, Umweltkatastrophen). Diese können im Regelfall nicht über die verfügbaren internen Verlustdaten abgedeckt werden, da sie im Betrachtungszeitraum im eigenen Institut nicht eingetreten sind. Hier ergeben sich große Herausforderungen hinsichtlich der Skalierung der Daten auf die Größe und das Geschäft des eigenen Institutes sowie Operationelle Risiken Herausforderungen an die Verlustdatensammlung 16
der Berücksichtung des Vergleichs und der Güte von Kontrollsystemen. Am Markt haben sich mittlerweile etliche Datenkonsortien gebildet. Prozess der Verlustdatensammlung Externe Daten Externe Daten Interne Daten Auswahl relevanter Daten Loss Database Interne Daten Trendanalysen Statistische Daten für Berechnungen, Ermittlung EK Unterlegung Abbildung 6: Prozess der Verlustdatensammlung Weitere Aspekte Weitere Aspekte, die Sie beim Aufbau einer Verlustdatenbank in der Praxis adressieren müssen, sind: Sollen auch Ereignisse, die über die regulatorischen Anforderungen hinaus gehen, erfasst werden? - Eine Unterscheidung wäre dann z.b. durch einen entsprechenden Flag bei der Berichterstattung zu realisieren. - Die Aussagekraft der Datenanalyse aus der Verlustdatenbank und damit die Basis für die Risikosteuerung steigt, wenn Sie auch Ereignisse erfassen, die nicht von den Regulatoren gefordert werden (z.b. Erfassung von Gewinnen aus OR-Ereignissen). Exakte Bestimmung der Höhe des Ereignisses (brutto vs. netto, Umgang mit Kompensations- bzw. Versicherungszahlungen). Sicherstellung - der korrekten Risikokategorisierung (inhaltlich konsistente Erfassung zu den Baseler Vorgaben). - der Dokumentation der Einordnung von Geschäftsfeldern sowie Ereignissen nach objektiven, nachvollziehbaren Kriterien. - der richtigen Abgrenzung zu anderen Risikoarten (insbesondere Kredit- und Marktrisiken). - der möglichen Abstimmung mit der GuV (ggf. Prozessanpassungen vornehmen). - der Vollständigkeit der Ereigniserfassung. - Festlegung der genauen Inhalte für das interne und externe Reporting, um die Vollständigkeit der Erfassung sicherzustellen. Operationelle Risiken Herausforderungen an die Verlustdatensammlung 17
- Bestimmung der Wesentlichkeit für die Ereignisse (der geeignete Mindestbetrag wird allgemein mit 10 TEuro festgelegt, er ist jedoch abhängig von dem Geschäftsfeld und der Größe Ihres Unternehmens). - Umgang mit Tail Events : - Wie berücksichtigt eine Bank, die keine Erfahrung mit derartigen Ereignissen hat, die Wahrscheinlichkeit des Eintritts eines Großschadens? Externe Daten, Szenarioanalyse? - Wie geht eine Bank, die Erfahrung mit einem Großschaden hat, zukünftig mit dem Ereignis um? Wie lange soll es in der Datenbank verbleiben? Haben Kontrollverbesserungen einen Einfluss darauf? Eine große Schwierigkeit in der Praxis ist u.a. die Sicherstellung der Vollständigkeit der Datenerhebung und Richtigkeit der Betragshöhe. So werden Fehler in den Handelsbereichen oft in der P&L des Händlers verschleiert. sind Kosten oft nicht direkt mess- bzw. greifbar (z.b. indirekte Kosten) und basieren auf subjektiven Schätzungen (z.b. Kosten für einen Systemausfall). erweist es sich als äußerst schwierig, eine genaue Abgrenzung zu den anderen Risikoarten vorzunehmen. Z.B. werden Fehler im Kreditvergabeprozess oft erst Jahre später bekannt und als Bonitätsverschlechterungen des Kreditnehmers im Zeitablauf versteckt. Bei diesem Thema existiert auch das Problem der Doppelerfassungen - Kreditrisiko versus OR. Operationelle Risiken Herausforderungen an die Verlustdatensammlung 18
Risikoindikatoren / Risk Indicators Frühwarnfunktion Risikoindikatoren sind Kennzahlen, die Ihnen Aufschluss über Ihre Risikosituation geben können. Durch die Verknüpfung mit Eskalationstriggern nehmen Sie bei der Identifizierung und Steuerung von OR eine Frühwarnfunktion ein. Sofern die richtigen Indikatoren überwacht werden, tragen sie dazu bei, dass Verluste, potenzielle und Beinaheverluste erkannt werden, bevor diese tatsächlich eintreten und das Ergebnis schmälern oder im schlimmsten Fall zu einem Reputationsverlust führen. Indikatoren werden in den Prozessablauf integriert. Die Beobachtung der Indikatoren erfolgt zeitnah und kontinuierlich. Veränderungen im Zeitablauf liegen dem OR Manager in der Regel zeitnah vor. Auf dieser Basis können adäquate Maßnahmen eingeleitet werden, deren Effektivität sich unverzüglich in der Entwicklung der Indikatoren widerspiegelt. Herausforderungen bei der Festlegung In der Regel werden entsprechende Daten in den Banken schon heute gesammelt. Ob diese jedoch den Anforderungen eines OR Management genügen, ist zu überprüfen. So erfassen Indikatoren oft nicht das eigentliche Risiko, sind vergangenheitsorientiert oder nicht zielgerichtet in den Prozessablauf integriert. Folgende Fragestellungen müssen bei der Verwendung von Indikatoren für das ORM beachtet werden: Erhält man mit dem Indikator auch tatsächlich eine Aussage über das OR bzw. den Risikotreiber oder misst er beispielsweise stattdessen die Performance? Erfasst der Indikator auch wirklich zukunftsgerichtete Informationen oder bestätigt er nur die Entwicklung der Vergangenheit? Welche Indikatoren eignen sich am besten für die einzelnen Geschäftsbereiche, um deren Risikopotenzial zu erfassen? Gibt es Indikatoren, die bereichs- und/oder bankübergreifend eingesetzt werden können? Operationelle Risiken Frühwarnfunktion 19
Erfasst der Indikator ein spezifisches Risiko oder können Indikatoren zusammen betrachtet werden, um einen Bezug zu einem bestimmten Verlustereignis herzustellen? Ist der Indikator zum globalen Einsatz geeignet oder spiegelt er lokale Gegebenheiten wider? Bei Erreichung welchen Schwellenwertes soll eine Eskalation stattfinden? Sollen die Indikatoren mit Benchmarks versehen werden? Die Notwendigkeit einzelner Indikatoren sollte zur Sicherstellung des größtmöglichen Kosten-/Nutzeneffektes regelmäßig überprüft werden. Validieren Sie die Risikoindikatoren auch zu den Verlustereignissen. Als Stichworte sind hier Häufigkeit der Verlustereignisse versus Erfassungsschärfe der Risikoindikatoren zu nennen. Beispiele für Indikatoren Die Einstufung, ab wann ein Ergebnis als schwerwiegend (rot), kritisch (gelb) oder akzeptabel (grün) gilt, wird vom Management vorgenommen. Abbildung 7: Risikoindikatoren Durch Vernetzung einzelner Indikatoren kann man Fehlerquellen identifizieren, die durch eine Individualbeobachtung nicht erkennbar sind, wie z.b. Fehlerrate in den Back Office Prozessen in Bezug zu den Schulungsmaßnahmen. Sofern es sich um quantifizierbare Daten ( harte Daten) handelt, die einen direkten Bezug zu einem bestimmten Verlusttyp zulassen, kann der Indikator als Proxy für die Eintrittswahrscheinlichkeit und Verlusthöhe herangezogen werden. In unserer Darstellung sind dies beispielsweise die Fehlerquoten. Mit Indikatoren können aber auch Aussagen zum Risikoprofil eines Prozesses getroffen werden. Durch qualitativen oder auch statistisch unterlegten Nachweis stellt man einen Bezug zu einem potenziellen Verlustvorfall her. Bezogen auf unser Beispiel könnte dies die Mitarbeiteranzahl im Back Office sein, die noch nicht an dem neuen System geschult wurden. Operationelle Risiken Herausforderungen bei der Festlegung 20
Integration der Operational Risks in den Kapitalsteuerungsprozess Die OR müssen in den Management- und Kapitalsteuerungsprozess einfliessen. Hier ist zwischen der OR-Erfassung für die Ermittlung des regulatorischen Kapitals und des ökonomischen Kapitals zu unterscheiden. 1 Die Herausforderungen bei der Ermittlung des ökonomisch notwendigen Kapitalbedarfs sind insbesondere: Herstellung der Konsistenz mit den anderen Risikoarten, Sicherstellung, dass die Risk Owner nicht nur mit Kapital belastet werden, sondern auch die aktive OR-Verantwortung übernehmen, Berücksichtigung eines Incentive-Prozesses. Das OR Management sollte auch für Verbesserungen im Prozess belohnt werden. Der Kapitalallokationsprozess könnte wie folgt gestaltet sein: Intern gesammelte Daten über (potenzielle) Verluste Externe Verlustdaten Historische Verlustdaten Potenzielle Verluste auf Basis von Szenarioanalysen Quantifizierbare Daten aus Key Risk Indicators Zukauf externer Daten Regelmäßige Skalierung der Daten (Relevanz, Eignung, etc.). Ermittlung des Brutto-OpVaR auf Basis des Actuaransatzes. Ermittlung - Verlusthöhe - Verlusteintrittswahrscheinlichkeit Adjustment möglich für Datenqualität Adjustment möglich für Verbesserung im Kontrollumfeld bzw. im OR-Management Qualitätsanpassung entweder hier oder bereits bei der Datensammlung. Die erhobenen Verlustdaten sind vergangenheitsorientiert. Der Einfluss der Gegenwart bzw. Zukunft kann über ein Adjustment erfolgen, welches die qualitativen Ergebnisse aus dem Self Assessment und der Risikoindikatoren widerspiegelt. Analyse der Korrelationen / Diversifikationen Adjustment wegen Risikotransfer mittels Versicherungen Basis bildet das Versicherungsprogramm. Netto OpVaR Verifizierung mit Top-down ermitteltem OpVaR. Abbildung 8: Ermittlung des ökonomischen Kapitals für OR 1 Siehe hierzu auch unser Whitepaper Gesamtbanksteuerung unter www.acrys.com/de/ac_documentation.htm Operationelle Risiken 21
In dem Beispiel wird der OpVaR über einen Bottom-up Ansatz ermittelt. Die Daten hierfür sind aber von ihrem Umfang alles andere als ausreichend und fraglich ist, ob überhaupt jemals eine ausreichende Datenbasis erreicht werden kann. Einige Institute validieren daher ihre Bottomup ermittelten Ergebnisse mit einem Top-down ermittelten Kapitalbedarf 2. Hier erhält das Institut eine grobe Aussage über den notwendigen Kapitalbedarf für die OR. Liegen Bottom-up und Top-down Ergebnis in einem annähernd gleichen Wertebereich, geht man davon aus, dass das Ergebnis verwendet werden kann. 2 Top-down-Ansätze sind beispielsweise der CAPM-Ansatz (Capital Asset Pricing Model), Kosten- oder ertragsorientierte Ansätze sowie der Earnings-Volatility-Ansatz. Operationelle Risiken 22
Quantifizierung der Operational Risks Modelle zur Quantifizierung von Operational Risks Für die großen und einige mittleren Institute ist die Value-at-Risk (VaR) Berechnung das Ziel, um diese Risikoart in die Gesamtbanksteuerung zu integrieren. Die Entwicklung von Modellen zur Quantifizierung der OR befindet sich jedoch noch am Anfang. Bisher hat sich noch kein Industriestandard durchgesetzt. Chancen-/Nutzenargumente für eine Quantifizierung sind beispielsweise: Eröffnen von Einsparpotenzialen bei der Ermittlung der regulatorischen EK-Unterlegung. Basis für eine Kosten-Nutzen-Analyse bei Investitionsentscheidungen oder der Auswahl von Versicherungsprogrammen. Ursachengerechte Risikokapitalallokation. Weiterer Schritt in Richtung risikoadjustierte Performancesteuerung. Schaffung von Anreizen zur Risikominderung bei den Geschäftsbereichen. Im Rahmen der möglichen Verlustverteilungsansätze (Loss Distribution Approach), die die Untergrenze für Verfahren mit mathematisch statistischem Anspruch bilden, stellt der Aktuaransatz die einfachste Methode zu einer Quantifizierung der Operational Risks dar. Das zur Unterlegung notwendige Eigenkapital für die OR wird hier auf der Basis der in der Verlustdatenbank enthaltenen Daten ermittelt, und zwar durch die Simulation von: der Verlusthäufigkeit und der Verlusthöhe. Qualitative Verbesserungen im Kontrollumfeld können durch Adjustments berücksichtigt werden. Risikominderungstechniken wie beispielsweise Versicherungen fließen ebenfalls in das Modell ein. Operationelle Risiken Modelle zur Quantifizierung von Operational Risks 23
Der Aktuaransatz als mögliche Alternative zur Kalkulation des Risikokapitals 3 Wir haben eine Software Library für die OpVaR-Berechnung entwickelt, die auf dem Aktuaransatz basiert. Der Aktuaransatz ist ein im Versicherungsgeschäft weit verbreitetes Modell, das zur Berechnung potentieller Verluste eingesetzt wird. Die begonnene Übertragung dieser Methodik kann als erste Entwicklungsstufe auf dem Weg zu einer korrekten mathematischen Erfassung des OR angesehen werden. Im Rahmen des Aktuaransatzes setzt sich der Gesamtverlust aus der Verlustanzahl und den jeweiligen Einzelverlusthöhen zusammen. Die relevanten Größen Verlustanzahl und Einzelverlusthöhe werden als unabhängig angenommen und können daher getrennt voneinander erfasst werden. Zur Modellierung der Verlustanzahl wird eine Poisson- Verteilung zu Grunde gelegt. Die Einzelverlusthöhen werden zumeist als Log-normalverteilt angenommen. Die möglichen Verlustszenarien L k ergeben sich als stochastische Summe der Einzelverluste L i : N Lk = L i mit N ~ Po() und L i ~ LogN(µ; 2 ). i= 0 Dieser Zusammenhang verdeutlicht nochmals, dass in ein Verlustszenario L k zwei unabhängige stochastische Komponenten eingehen: einerseits die Anzahl der Einzelverluste (Anzahl der Summanden N) und andererseits die jeweiligen Höhen der Einzelverluste L i. Die Verteilungen von Verlustanzahl und Einzelverlusthöhe sind bestimmt durch die mittlere Verlustanzahl, die erwartete Höhe der Einzelverluste µ sowie die Einzelverlusthöhen-Standardabweichung. Hierbei ist zu beachten, dass diese drei Größen pro Geschäftsfeld und pro Risikokategorie anzugeben sind. Die gesamte Verlustverteilung, d. h. die Verteilung der L k, wird im allgemeinen aus einer Monte-Carlo-Simulation gewonnen. Hierbei werden sehr viele zufällige Verlustszenarien (10 4-10 7 ) erzeugt und anschließend bezüglich der Auftrittshäufigkeit ausgewertet. Die zentralen Elemente eines derartigen Simulationsverfahrens sind die verteilungsspezifischen Zufallszahlengeneratoren. Der Aktuar-Ansatz erfordert zwei unterschiedliche Zufallszahlengeneratoren, da die Verlusthäufigkeit und die Einzelverlusthöhe verschiedenen Häufigkeitsverteilungen gehorchen (Poissonbzw. Log-Normalverteilung). Ausgangspunkt für eine verteilungsspezifische Erzeugung von Zufallszahlen sind gleichverteilte Zufallszahlen. Um gleichverteilte Zufallszahlen auf Verteilungen zu transformieren, die gemäß einer anderen Wahrscheinlichkeitsdichte verteilt sind, wird die Rejection-Methode oder der Inversions-Ansatz verwendet (siehe Abbildung 8). Basierend auf der simulativ erzeugten Gesamtverlustverteilung kann der Operational Value-at-Risk (OpVaR) für ein vorgegebenes Konfidenzniveau berechnet werden. Unter der Vorraussetzung, dass die Anzahl der Monte-Carlo-Szenarien hinreichend groß gewählt wird, hängt die Zuverlässigkeit des OpVaR-Ergebnisses nur von der Qualität der Input- 3 Unter www.acrys.com, Rubrik Services&Competencies/Documentation/Risikomanagement/Controlling/Operational Value-at-Risk finden Sie weiterführende Informationen zu der von uns entwickelten Software-Library. Operationelle Risiken Der Aktuaransatz als mögliche Alternative zur Kalkulation des Risikokapitals 24
0,05 0,04 0, 03 0, 02 0,01 0 0 10 20 30 40 50 Parameter, µ und ab. Eine Bestimmung von aussagekräftigen Schätzwerten für, µ und ist in der Regel nur möglich, falls eine umfangreiche empirische Datenbasis zur Verfügung steht (Verlustdatenbank). Schritt 1: ziehe Poisson-verteilte Zufallszahl für vorgegebene mittlere Verlustanzahl Ergebnis: Zufallszahl N Schritt 2: ziehe N Lognormal-verteilte Zufallszahlen für vorgegebene mittlere Verlusthöhe µ und Standardabweichung Ergebnis: N Zufallszahlen L 1 bis L N Schritt 3: Bilde die Summe der Zufallszahlen L 1 bis L N Ergebnis: L = L + L + + L j 1 2 N Schritt 4: Speichere L j und gehe nach Schritt 1 Abbildung 9: Monte-Carlo-Simulation Gesamt verlust getrennte Modellierung Generierung einer zufälligen Verlustanzahl n 0,2 5 0,2 0,1 5 0,1 0,0 5 Poisson-verteilte Verlustanzahl 0 0 1 2 3 4 5 6 7 8 9 10 11 Generierung von n zufälligen Verlusthöhen L 1 bis L n Lognormal-verteilte Verlusthöhe Bildung eines Verlustszenarios n L j = L i i = 1 Loss DB Erzeugung eines neuen Monte Carlo Szenarios Erzeugung der Gesamtverlustvertei lung Expected Loss Unexpected Loss VaOR Ökonomisches Kapital Abbildung 10: Actuaransatz für die Ermittlung des Operational Value-at-Risk Die derart bestimmten OpVaR gelten pro Geschäftfeld und Risikokategorie. Eine Aggregierung auf höhere Ebenen erfolgt derzeit durch einfache Summation. Eine Weiterentwicklung unter Berücksichtigung von Korrelationen macht erst dann Sinn, wenn die Bestimmung der Parameter, µ und ein sehr hohes Maß an Zuverlässigkeit erreicht hat. Der Value-at-Risk alleine ist sicherlich nicht als Steuerungsgröße geeignet. Vielmehr sollte diese quantitativ ermittelte Größe mit qualitativ ermittelten Ergebnissen kombiniert werden. Operationelle Risiken Der Aktuaransatz als mögliche Alternative zur Kalkulation des Risikokapitals 25
Reporting der Operational Risks Risikokommunikation als Basis der Risikosteuerung Nur die Risikokommunikation ermöglicht die Risikosteuerung. Die OR müssen dem Management und den Risikoverantwortlichen transparent gemacht und kommuniziert werden, damit diese frühzeitig über unerwartete operationelle Risiken informiert werden und in der Lage sind, zeitnah Gegenmaßnahmen einzuleiten. Das Ziel ist, die richtigen Informationen (= qualitativ hochwertige und verifizierte Informationen) und Auswertungen an die richtigen Empfänger zur richtigen Zeit und in der richtigen Art und Weise (= flexibel und empfängerorientiert) zu berichten, damit diese in die Lage versetzt werden, unter Abwägung aller Chancen und Risiken fundierte Entscheidungen zu treffen. Um dies sicherzustellen, empfehlen wir nachdrücklich, die Rahmenbedingungen des Reporting im Projekt früh zu berücksichtigen. Wie bei allen Berichterstattungen ist auch bei den OR zu achten auf: die Aktualität der Input-Daten, deren Plausibilität und Objektivität sowie eine verständliche Darstellung. Zu adressierende Fragestellungen Inhaltliche Dimension: Welche Daten sind für die (tägliche) Steuerung notwendig? Reporting-Gegenstand Sicherstellung der qualitativen Hochwertigkeit der Daten Verdichtungsgrad Woher erhalten wir die Daten? Sicherstellung des Zugriffs nur auf verifizierte Daten Formale Dimension: Wie sollen die Ergebnisse dargestellt werden? Darstellungsart (grafisch, verbal) und Struktur Operationelle Risiken 26
Empfängerorientiert versus flexibel Übersichtlichkeit Zeitliche Dimension: Wann sollen die Reports versendet werden? Reporting-Zeitpunkt, Häufigkeit Reporting-Zeitraum Empfänger Dimension: Wer soll die Reports wie erhalten? Empfänger: Inhouse-Empfänger (Geschäftsführung, Operational Risk Committee, Risikomanager, etc.)., Aufsichtsrat, Aufsicht, Externe Prüfer, etc. Versendungsart Die Möglichkeit der Durchführung eines Ad-hoc Reporting versteht sich als selbstverständlich! Eine Möglichkeit der grafischen Auswertung stellt die Risikomatrix dar. Abbildung 11: Risikomatrix (= Risikoportfolio) Operationelle Risiken 27
Steuerung der Operational Risks Auf Basis der Risikoanalyse (Risikoidentifizierung und bewertung der Eintrittswahrscheinlichkeit und des potenziellen Schadensausmaßes) erfolgt die Risikosteuerung, auch Risikobewältigung genannt. Sie steht unter dem Leitsatz: Risiko - Chance Strategie. Alternativen zur Risikosteuerung Zur Steuerung stehen folgende Alternativen zur Verfügung: Wirkung von ursachenbezogene Massnahmen niedrig Verlusthöhe hoch Hoher Schaden, geringe Eintrittswahrscheinlichkeit Risiko-Transfer Geringes Risiko, geringe Eintrittswahrscheinlichkeit Risiko-Akzeptanz/ -Übernahme Wesentliches Risiko Risikovermeidung Geringes Risiko, hohe Wahrscheinlichkeit des Eintritts Risiko-Milderung Wirkung von auswirkungsbezogenen Massnahmen niedrig Verlusthäufigkeit hoch Abbildung 12: Abbau unkontrollierbarer Risiken mit ZIel beherrschbares Risiko und Wahrnehmung von Chancen Es gilt: Risiko-Übernahme - Erwartete Risikokosten < notwendige Investitionen. - Inkaufnahme des Risikos, - dann aber Kalkulation und Bepreisung bzw. Allokation eines entsprechenden EK-Anteils über eine Risikoprämie. Operationelle Risiken 28
Risiko-Milderung - Führt oft auch zu einer Investition. - Teilweise oder weitgehende Vermeidung der Eintrittswahrscheinlichkeit und/oder der Auswirkungen. - Nur bei signifikanter Reduzierung der Risiken. - Zum Beispiel durch: Verbesserung des IKS, Hedging, Verlagerung des Risikos auf Kunden/Lieferanten, Outsourcing, Risikostreuung, Vorfinanzierung eines als sehr wahrscheinlich werdenden Schadens,... Risiko-Transfer - Deckungsbeitragssatz > erwartete Risikokosten. - Zum Beispiel durch: Versicherungen oder Transfer von versicherungsfähigen Risiken in die Kapitalmärkte (z.b. Corporate Bonds, Joint Venture, Abschluss Finanz-Derivate),... Aber beachte: Eintausch gegen rechtliches Risiko? Risiko-Vermeidung - Zielt auf die Einstellung des Risikos. - Deckungsbeitragssatz < erwartete Risikokosten. - Zum Beispiel durch: Einsatz Treasury Management, Aufgabe des Produktfeldes, Ablehnung von Aufträgen, Ausstieg aus gefährlichem Geschäftsfeld, Abschluß von Finanz-Derivaten,... Maßnahmen und deren Verfolgung Die abgeleiteten Maßnahmen sind zu dokumentieren, deren Erledigung zu verfolgen und in die regelmäßige Berichterstattung miteinzubeziehen. Operationelle Risiken 29
ORSA Screenshots der Anwendung Aufbau und Bearbeitung des Risikoprofils Assessment: - Erfassung von Stammdaten - Zusammenstellung und - Ergebniserfassung Reports - Erfassung von Stammdaten - Zusammenstellung und - Ergebniserfassung Verwaltung von Bearbeitern und Berichtsempfängern der Assessments und Reports Im Risikoprofil erfolgt die Definition der Risikokategorien, Risikotypen, Items (= Fragen). Operationelle Risiken Screenshots der Anwendung 30
Eingabe der Assessments in die Datenbank über eine Eingabemaske. Die oberste Report-Ebene zeigt den Risikogehalt der Risikotypen. Die zweite Ebene erläutert den Risikogehalt der einzelnen Items. ORSA-Manager Steuert den Datenaustausch zwischen der PostgreSQL Datenbank und den stand-alone Access Datenbanken ORSA-Einzelplatz. Assessments können von einer zentralen Stelle an die Bearbeiter versendet werden und nach Beantwortung wieder in die Datenbank integriert werden. Kann folgende Aufgaben durchführen: o Aktualisieren des Risikoprofils von ORSA-Einzelplatz Datenbanken o Ausgliedern von Assessments in ORSA-Einzelplatz Datenbanken aus der PostgreSQL Datenbank o Einstellen von Assessments aus ORSA-Einzelplatz Datenbanken in die PostgreSQL Datenbank Operationelle Risiken Screenshots der Anwendung 31
Anhang Basel II Überblick Basel II enthält umfangreiche qualitative und quantitative Anforderungen an das OR-Management Basel II setzt für das OR-Management ähnlich hohe qualitative Anforderungen wie dies für Marktrisiken bereits der Fall ist. Die quantitative Eigenkapitalunterlegung wird mit qualitativen Vorgaben kombiniert. Für die OR-Quantifizierung erlaubt Basel II verschiedene, auch mathematisch-statistische Methoden. Steuerung über Interne Modelle möglich Anforderungen an das Management operationeller Risiken Basisindikatoransatz Eigenkapitalunterlegung auf Basis eines einzigen Indikators Keine Zulassungskriterien Keine gesonderten qualitativen Kriterien, aber Einhaltung der ORSP (Operational Sound Practices) Standardansatz Risikoindividuellere Betrachtung der Geschäftsfelder Vergabe von Standardwerten für Geschäftsfelder, Indikator und Kapitalanforderungen durch die Regulatoren Beginn Sammlung interner Verlustdaten Fortgeschrittenere Bemessungsansätze Basis: interne und externe Verlustdaten Risikomindernde Berücksichtigung von Versicherungen möglich Unterschiedliche Methoden Steigende Komplexität, aber auch Erhöhung Meßgenauigkeit und Risikosensitivität Steigende Eigenkapitalersparnis Steigende qualitative Anforderungen Steigende Präferenz der Regulatoren, aber auch Erhöhung Prüfgenauigkeit Abbildung 13: Basel II-Optionen zur Quantifizierung der Operational Risks Operationelle Risiken Überblick 32