die bank 10 // 2020

REGULIERUNG TRENDS UND

REGULIERUNG TRENDS UND ENTWICKLUNGEN Operationelle Risiken in Zeiten von Corona-Maßnahmen Bis vor kurzem waren operationelle Risiken vor allem auf Schwachstellen zurückzuführen, die aus der raschen Entwicklung und der zunehmenden Abhängigkeit von technologischer Infrastruktur zur Bereitstellung der Bankdienstleistungen resultieren. Infolge der Corona- Pandemie hat sich das typische operationelle Risikoprofil einer Bank verschoben und verschärft. Gleichzeitig sind die wirtschaftlichen und geschäftlichen Unsicherheiten gewachsen. Welche Trends sind erkennbar, und wie können Banken darauf reagieren? Die Corona-Maßnahmen der Regierungen wirken sich belastend auf Mitarbeiter, Informationssysteme, betriebliche Einrichtungen sowie die Beziehungen zu Drittanbietern und Kunden aus. Aus interner Sicht haben operationelle Risiken durch ausgefallene Prozesse und Systeme aufgrund der stärkeren Abhängigkeit von virtuellen Medien und Fernarbeit zugenommen. Hinzu kommen erhöhte externe Bedrohungen wie Cyber-Risiken. Eine effektive Reaktion auf diese Risiken hat in der Wahrnehmung vieler Bankmanager zwar eine hohe Priorität. Die Konzeption und Umsetzung von konkreten und wirksamen Maßnahmen stehen den meisten Instituten jedoch noch bevor. Das Baseler Komitee hat auf diese Entwicklungen bereits im August mit einer Aktualisierung seiner Leitlinien für das Management operationeller Risiken reagiert. Zusätzlich wurden Prinzipien für die Operational Resilience als zusätzlicher separater Standard formuliert, womit die regulatorischen Rahmenbedingungen eine wesentliche zusätzliche Dimension erhalten. Beide Dokumente standen bis zum 6. November zur Konsultation. Während die IT- und Cyber-Risiken bereits im Jahr 2020 Aufsichtsprioritäten der EZB darstellen – in Deutschland gerade auch vor dem Hintergrund der bankaufsichtlichen Anforderungen an die IT (BAIT) – ist ein verstärkter Fokus auf die Operational Resilience im Jahr 2021 absehbar. Im Zuge der Novellierung der Kapitaladäquanzverordnung (CRR) ist voraussichtlich ab Anfang des Jahres 2023 ein neuer Standardansatz zur Bestimmung der aufsichtsrechtlichen Eigenmittelanforderungen für operationelle Risiken anzuwenden. Im Folgenden betrachten wir die Situation mit Fokus auf die Regionalbanken. Ausgangssituation bei deutschen Regionalbanken Innerhalb der operationellen Risiken haben Rechtsrisiken als übergreifende Querschnittsrisiken für Regionalbanken erfahrungsgemäß die höchste Relevanz, gefolgt von Systemrisiken (mangelhafte oder fehlende Infrastruktur, inkl. IT und Cyber), Prozess- und Verfahrensrisiken (mangelhafte Ablauforganisation) und externen Risiken (Naturgewalt, Krieg, Politik). Die niedrigste Relevanz haben Personenrisiken (menschliches Fehlverhalten, sei es fahrlässig oder kriminell). Die Corona-Krise hat besonders System-, Prozess- und Verfahrensrisiken sowie externe Risiken verschärft. Die realisierten operationellen Schadensfälle bei deutschen Regionalbanken belaufen sich auf schätzungsweise 450 Mio. € pro Jahr (basierend auf einer empirischen Analyse von Prof. Andreas Höfer, Hochschule der Deutschen Bundesbank), also etwa zwei Basispunkte der kumulierten Bilanzsummen. Angesichts eines durchschnittlichen Betriebsergebnisses vor Bewertung von rund 75 Basispunkten im Jahr 2019 haben operationelle Schäden somit nur eine geringe Auswirkung auf die Ertragssituation (laut den Bilanzzahlen der Sparkassen-Finanzgruppe bzw. der Ertragsentwicklung der Genossenschaften). Die relative Bedeutung solcher Risiken nimmt allerdings tendenziell deutlich zu, und zwar sowohl durch externe Entwicklungen wie Corona als auch durch die anhaltende Ertragserosion im Nullzinsumfeld. Regulatorische Eigenmittelanforderungen werden von Sparkassen und Genossenschaftsbanken bislang mit dem Basisindikatoransatz (in seltenen Fällen mit dem derzeitigen Standardansatz) bestimmt. Diese Anforderungen betragen im Durchschnitt etwa 30 Basispunkte der Bilanzsumme, also ein Vielfaches der realisierten Schäden. Mit dieser sehr konservativen Kalibrierung ihrer Ansätze trägt die Aufsicht der Tatsache Rechnung, dass operationelle Schäden sich empirisch sehr ungleich auf die Institute verteilen; es handelt sich um ausgesprochene Tail-Risiken. Diese Ungleichverteilung und die wachsende relative Relevanz machen es für Regionalbanken zunehmend interessant, zumindest 64 10 // 2020

REGULIERUNG punktuell auf Versicherungslösungen zurückzugreifen, um Planungssicherheit und Stabilität im Krisenfall zu verbessern. Bei einzelnen Risiken sind Versicherungen bereits als weitgehend branchenüblich anzusehen – etwa bei Sprengungen von Geldautomaten. Für operationelle Risiken im Allgemeinen gilt dies allerdings noch lange nicht. Aktualisierung der Prinzipien für das Management operationeller Risiken Der regulatorische Rahmen für operationelle Risiken wurde vom Baseler Komitee ursprünglich im Jahr 2003 formuliert. 2011 erfolgte eine Aktualisierung, um Entwicklungen und Erkenntnisse aus der Finanzmarktkrise zu berücksichtigen, und 2014 folgte eine großflächige Untersuchung zum Umsetzungsstand der Anforderungen in den Banken und zur Vollständigkeit und Angemessenheit der Prinzipien. Die Untersuchung zeigte nach Einschätzung des Komitees teilweise erhebliche Schwächen bei der Umsetzung seitens der Banken, insbesondere bei der Einrichtung von drei Verteidigungslinien, den Mechanismen zur Risikoerkennung und -bewertung und der Management-Verantwortung für das Risikomanagement. Zudem zeigte die Untersuchung punktuelle Lücken in den Anforderungen selbst auf, besonders hinsichtlich ITund Cyber-Risiken. Mit der aktuellen neuerlichen Überarbeitung und Ergänzung der Vorgaben reagiert das Baseler Komitee nun auf die Auswirkungen der Corona-Krise. Die Überarbeitung schärft einzelne Vorgaben und betont zusätzlich den übergreifenden Kontext der Stabilität des Finanzsystems. Abgesehen von redaktionellen Schärfungen und zusätzlichen Erläuterungen sind folgende Änderungen wesentlich: Das erste Prinzip für das operationelle Risikomanagement (Operational Risk Cul- 10 // 2020 65