Operationelles Risikomanagement in Banken
Allein durch ihre unternehmerische Tätigkeit hat jede Bank operationelle Risiken, die sie identifizieren, bewerten und überwachen muss. Da diese Risiken überall im Kreditinstitut auftreten, sollten im Idealfall alle Mitarbeitenden aktiv in das operationelle Risikomanagement eingebunden sein, um auf Fehlentwicklungen, eingetretene Schäden und entstehende Risiken hinzuweisen. Operationelle Risiken können nach MaRisk bei Mitarbeitenden, bei Systemen, bei internen Abläufen und bei externen Ursachen auftreten.
Operationelle Risiken sind gemäß CRR (bzw. der Vorgaben des Ausschusses für Bankenaufsicht aus Basel) mit Eigenmitteln zu hinterlegen.
Hierbei kann das Kreditinstitut zwischen vier Ansätzen wählen: dem Basisindikatoransatz, dem Standardansatz, dem fortgeschrittenen Messansatz (AMA) sowie dem neuen Standardansatz, welcher auf dem Geschäftsindikator basiert. Voraussichtlich wird ab 2025 der neue Standardansatz die übrigen Ansätze zur Bestimmung der OpRisk-Eigenmittelanforderungen ersetzen und dann für alle Institute EU-weit gelten.
Schadensfallsammlung in der Verlustdatenbank
Die Basis für das operationelle Risikomanagement ist die Sammlung von eingetretenen Schäden – die Verlustdatenbank. Sie dient dem Aufbau historischer Verlustdatenbestände auf Institutsebene im Interesse einer optimierten Risikoabschätzung und Risikoidentifizierung. Bei der anschließenden Schadensanalyse sollte überprüft werden, ob die dahinter liegenden operationellen Risiken weiterhin bestehen. Falls dies der Fall ist, sollten diese direkt in das Management der operationellen Risiken mit einfließen, um sie zukünftig zu vermeiden.
Unternehmensrisiken effizient im Blick
Auch in der unternehmensweiten Risikosteuerung gilt: Risikomanagement sollte sich daran orientieren, den größtmöglichen Nutzen (Effektivität) bei möglichst geringen Kosten (Effizienz) zu erzielen. Neben der Umsetzung gesetzlicher Vorgaben muss ein modernes Risikomanagementsystem in der Lage sein, unternehmensinterne Anforderungen individuell umzusetzen. Viele Unternehmen managen ihre operationellen Risiken über Excel-Lösungen. Dennoch geraten Spreadsheets von Zeit zu Zeit ins Kreuzfeuer in punkto Arbeitsaufwand, Fehlerquote und Kooperationsmöglichkeiten.
Das Risikomanagement in Unternehmen orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG) und dem darauf basierenden IdW-Prüfungsstandard. Hierbei wird gefordert, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen. Eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs (Risikoaggregation) ist hier üblich, da oft gerade Kombinationen mehrerer Einzelrisiken bedrohend für das Unternehmen werden. Ziel (auch ökonomisch) ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz.