die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
ó BETRIEBSWIRTSCHAFT 1
ó BETRIEBSWIRTSCHAFT 1 Mögliche Veränderungen des OpRisk-Rahmenwerks Quelle: KPMG. Definitionen und Strukturen Key Risk Indicators Reporting Informationstechnologie Stärkung der Steuerung operationeller Risiken: Konkretisierung Risikokultur und -strategie Schärfung des „3 Lines of Defense“- Ansatzes, v. a. der Steuerung in der ersten Verteidigungslinie und der Challenge aus der zweiten Verteidigungslinie Anpassungen bei der Verlustdatensammlung Für Institute, deren Geschäftsindikator für die SMA-Berechnung 1 Mrd. € übersteigt, werden vom Baseler Ausschuss explizite Anforderungen an die interne Verlustdatensammlung gestellt. Zur Ermittlung der Verlustkomponente ist eine Datenhistorie erforderlich, welche zehn Jahre (übergangsweise in Ausnahmefällen fünf Jahre, denkbar für BIA Institute) umfasst. Im Fall in zeitlicher und / oder qua- Risikostrategie Organisationsstruktur Verlustdaten Bausteine Risikobewertung Risikominderung Risikomodellierung Verbesserung der internen Verlustdatensammlung Ggf. Entfall/Reduktion der Verwendung externer Verlustdaten Weiterentwicklung der Methoden zur qualitativen Risikobewertung und -überwachung Anpassung der quantitativen Risikomodelle Weiterentwicklung/Ausbau Verschlankung/Abbau eröffnet, weitgehend unabhängig von Kapitaloptimierungsüberlegungen das Op- Risk-Profil der Bank zu schärfen. Die Geschäftsindikator-Komponente des SMA lässt sich aus Risikogesichtspunkten kaum steuern, da sie sich weitgehend aus der geschäftspolitischen Ausrichtung des Instituts ergibt. Der wesentliche Hebel zur aktiven Steuerung des zukünftigen regulatorischen Kapitals liegt somit im Verlustdatenfaktor. Daraus ergeben sich zusätzliche Anreize, die Verlustsummen durch geeignete Risikosteuerungsmaßnahmen zu reduzieren. Dies gilt – aufgrund ihres höheren Gewichts in der Berechnung des Verlustdatenfaktors – insbesondere für Großverluste (größer 10 Mio. € oder gar 100 Mio. €). Dabei sollten aufgrund der langfristigen Wirkung durch den Zehn-Jahres-Durchschnitt entsprechende Erwartungen an die Geschwindigkeit der Kapitalwirkung jedoch gebremst werden. Wesentliche Handlungsfelder bei der Stärkung der Steuerung operationeller Risiken ergeben sich in der Praxis vor allem bei einer Konkretisierung des Risikoappetits und der Weiterentwicklung der Governance entlang des „3 Lines of Defense“-Konzepts. Das Rahmenwerk zum Risikoappetit für OpRisk sollte berücksichtigen, dass eine Limitierung über eine Value-at-Risk- Größe im Gegensatz zu finanziellen Risiken nur teilweise möglich ist. Daher bietet sich eine Kombination aus eher quantitativen (Kenngrößen aus dem ökonomischen Kapitalmodell sowie Verlustdaten) und eher qualitativen Komponenten (basierend auf Szenarioanalysen, Self-Assessment und Risikoindikatoren) an. Für die Risikomanagement-Governance hat sich spätestens seit Veröffentlichung der Guideline „Corporate Governance Principles for Banks“ im Juli 2015 das Konzept der „3 Lines of Defense“ als Standard etabliert. Dies gilt auch und gerade für das Management operationeller Risiken. Kern des Konzepts ist die klare, funktionale und organisatorische Trennung der Risikosteuerung (erste Verteidigungslinie), der Überwachung der Risikosteuerung (zweite Verteidigungslinie) und der unabhängigen Prüfung (dritte Verteidigungslinie). In der Praxis gilt es insbesondere für operationelle und andere nicht-finanzielle Risiken bzw. Teilrisiken, die Rollen der ersten und zweiten Verteidigungslinie zu schärfen. Dies umfasst in erster Linie: ó Klare funktionelle Trennung für alle Teilrisiken ó Ausbau der Risikosteuerungsverantwortung in der ersten Verteidigungslinie, inkl. der Verantwortung und Kompetenz für die Risikoidentifikation und -mitigation ó Stärkung der Fähigkeiten der zweiten Verteidigungslinie, über ein reines Reporting hinaus die Aktivitäten der ersten Verteidigungslinie zu analysieren und zu hinterfragen ó Verzahnung der Vorgehensmodelle der verschiedenen Bereiche der zweiten Verteidigungslinie – von der zentralen OpRisk-Funktion über Spezialisten für einzelne Teilrisikoarten (Compliance, Rechtsabteilung, IT-Sicherheit) bis zur „IKS-Zentrale“. Wesentlicher Erfolgsfaktor für ein gutes OpRisk-Management ist darüber hinaus die Transparenz für eingetretene Verluste sowie qualitative und quantitative Instrumente zur Risikobeurteilung, auf die im Folgenden separat eingegangen wird. 60 diebank08.2016
BETRIEBSWIRTSCHAFT ó litativer Hinsicht nicht ausreichender Verlustdatenhistorien wird die Verlustkomponente nicht berücksichtigt (impliziter Verlustdatenfaktor von 1) oder sogar aufsichtlich ein Verlustdatenfaktor größer 1 festgesetzt. Da insbesondere mittelgroße Institute mit einer Entlastung durch die Verlustkomponente rechnen können, ist somit ein Anreiz für diese gegeben, in entsprechende Methoden und Prozesse zu investieren. Als qualitative Mindestanforderungen an die Verlustdatensammlung nennt die Konsultation eine Reihe von Kriterien, welche im Wesentlichen den bestehenden Anforderungen an AMA-Institute entsprechen. Demgegenüber ist die Zukunft externer Verlustdaten unklar. Einerseits fällt diese Datenquelle als bisherige Pflichtkomponente von AMA-Modellen in Säule I weg. Andererseits bleibt abzuwarten, inwieweit Aufsichtsbehörden die Verwendung externer Verlustdaten weiterhin erwarten. Mutmaßlich verschiebt sich zumindest die Bedeutung weg von den quantitativen hin zu qualitativen Informationen (Beschreibungen der Ursache-Wirkungs- Zusammenhänge, Kontrollschwächen etc.), welche bei der Konstruktion von (Stress-)Szenarien nützlich sein können. Modifikation der qualitativen Methoden des OpRisk-Rahmenwerks Neben den Prozessen zur Sammlung interner Verluste werden eher qualitative Bewertungsmethoden weiterhin benötigt, um potenzielle Ereignisse abzuschätzen, die in dieser Form bzw. Ausprägung bislang nicht im Institut aufgetreten sind. In letzter Zeit hat sich der Fokus in den meisten Banken von COSOähnlichen Self-Assessments zu Szenarioanalysen verschoben, da diese mehr steuerungsrelevante Impulse generieren und zudem qualitativ höherwertig sind. Aus Risikosteuerungsgesichtspunkten haben Szenarioanalysen auch nach Wegfall von deren Einbindung in AMA-Modelle eine Existenzberechtigung. Self- Assessments können ggf. mit der Risikoinventur (insbesondere für Non-Financial Risks) sowie weiteren qualitativen Risikobewertungsverfahren (bspw. im Compliance- und IT-Sicherheitsumfeld) kombiniert werden. Risikoindikatoren waren bislang in den meisten Geschäfts- und Kontrollumfeldfaktoren von AMA-Modellen enthalten. Im Sinn eines Frühwarnsystems sind sie für die Risikosteuerung grundsätzlich nützlich. In der Praxis hat sich in vielen Banken allerdings gezeigt, dass insbesondere in Geschäftseinheiten mit wenig standardisierten Prozessen die Einsatzmöglichkeiten von Risikoindikatoren beschränkt sind. Hier ist eine Beschränkung auf Bereiche und Risikokategorien, die primären High-Frequency- / Low-Severity-Verlusten ausgesetzt sind, vorstellbar. Anpassung der quantitativen Risikomodelle Der perspektivische Entfall des AMA für Säule I kann insbesondere bei AMA-Instituten Auslöser für eine Neuausrichtung ökonomischer Risikomodelle für operationelle Risiken sein. Der Wegfall der Bezugnahme auf AMA-Modelle und die daraus resultierenden größeren Freiheiten können beispielsweise dazu genutzt werden, Modelle mit höherem Erklärungsgehalt der Ursache-Wirkungs- Beziehungen zu entwickeln und durch ihren Einsatz die Steuerungswirkung zu erhöhen. Mögliche Ansatzpunkte dafür könnten beispielsweise Neuronale Netze oder Bayes-Netze sein, z. B. im Kontext der Betrugsprävention. Das gilt auch bei größeren und komplexen Instituten, die heute nicht den AMA anwenden, da davon ausgehen ist, dass die EZB als europäische Aufsicht weiterhin risikosensitive Modelle für OpRisk in der Säule-II-Betrachtung erwarten und somit die reine Übernahme des neuen SMA von Säule I in Säule II dafür nicht ausreichen wird. Dies gilt umso mehr, als der SMA als Risikomaß für die Steuerung weitgehend ungeeignet ist, da Steuerungsmaßnahmen – wenn überhaupt – nur mit starkem zeitlichem Verzug Niederschlag finden. Insgesamt sollten demzufolge ökonomische Risikomodelle als Möglichkeit gesehen werden, die Vielzahl an eher qualitativen Informationen zu aggregieren und zu Steuerungszwecken in einen sachlogischen Zusammenhang zu bringen. Hierbei spielt weniger die absolute Höhe des Risikos – und ggf. der daraus resultierenden Kapitalanforderung in der Säule II – als vielmehr dessen Zusammensetzung (Haupttreiber in Bezug auf Risikokategorien und Bereiche) als auch dessen Veränderung im zeitlichen Ablauf eine Rolle. Fazit Ein steuerungswirksames OpRisk-Rahmenwerk – gegebenenfalls im weiteren Kontext eines Non-Financial-Risk-Rahmenwerks – bleibt auch in Zukunft essenziell für die Bankenbranche. Die vereinfachte Berechnungsmethodik des SMA als Einladung zum Abbau von Risikomanagement-Kapazitäten zu verstehen, wäre dagegen aufgrund des nach wie vor in vielen Banken hohen Exposures in dieser Risikoart fatal. Vielmehr sollten die neugewonnenen Freiheiten genutzt werden, das OpRisk-Rahmenwerk gezielt weiterzuentwickeln und so Mehrwert für das Unternehmen zu schaffen. ó Autoren: Prof. Dr. Thomas Kaiser ist Director der KPMG im Bereich Financial Services und Honorarprofessor für Risikomanagement an der Goethe Universität Frankfurt. Dr. Holger Spielberg ist Partner der KPMG im Bereich Financial Services. Siehe dazu auch: Kaiser, Thomas: „Management von Non-Financial Risks – ein neues Schwerpunktthema für Aufsichtsräte und Vorstände“ in „diebank“, Ausgabe 12.2015. 08.2016diebank 61
