Fokusthema: Regulatorik

OPERATIONELLE RISIKEN: ERFOLG DURCH GANZHEITLICHES MANAGEMENT

Operationelle Risiken (OpRisk) haben in den letzten Jahren an Bedeutung gewonnen. Durch das Bekanntwerden einiger spektakulärer Verlustfälle, aber auch durch den technischen Fortschritt, die wachsende IT-Abhängigkeit sowie die zunehmende Automatisierung und höhere Komplexität der Geschäftsprozesse, rücken OpRisk stärker denn je in den Fokus der Unternehmen.

OpRisk können definiert werden als „die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder infolge externer Ereignisse eintreten“.

Um diese im Geschäftsbetrieb und -umfeld inhärenten Gefahren entsprechend steuern und kontrollieren sowie gegenwärtige Entwicklungen rechtzeitig erkennen zu können, ist ein ganzheitliches und stringentes OpRisk-Management notwendig. Dies erfordert den Einsatz geeigneter qualitativer und quantitativer Instrumente.

Qualitative Instrumente im OpRisk-Management

Die qualitative Betrachtung im OpRisk-Management basiert meist auf Experteneinschätzungen wie z. B. Self-Assessments, Scoringverfahren oder bestimmten Kennzahlenanalysen. Diese Einschätzungen werden dann entsprechend klassifiziert, um eine Differenzierung der Gefährdungspotenziale vornehmen zu können. Zu den Instrumenten des qualitativen OpRisk-Managements zählen u.a.:

  • Geschäftsprozessanalyse
  • OpRisk-Inventur

  • Frühwarnsystem mittels KRIs

  • Internes Kontrollsystem (IKS)

Geschäftsprozessanalyse

Die Geschäftsprozessanalyse untersucht und optimiert Geschäftsprozesse im Unternehmen. Klassische Geschäftsprozessanalysen vergleichen dabei den Ist-Zustand mit dem Soll-Zustand eines Prozesses, z. B. in Form von Benchmarking-, Referenz- oder Schwachstellenanalysen. Als Ausgangspunkt für Geschäftsprozessanalysen dienen Prozesslandkarten und vorhandene Prozessdokumentationen. Diese sollten prozessinhärente OpRisk und Kontrolltätigkeiten entsprechend abbilden. Aus OpRisk-Sicht entscheidend ist die Zusammenhängende Betrachtung von Prozess, Risiko und Kontrolle. Prozessinhärente OpRisk weisen in erster Linie auf mögliche Gefahren und Fehlerpotenzial in den Prozessen hin. Funktionierende Kontrollen reduzieren diese (Brutto-) OpRisk auf ein akzeptables Netto-Maß.

OpRisk-Inventur

Die OpRisk-Inventur analysiert und bewertet die in den Geschäftsprozessen identifizierten OpRisk. Die Risikobewertung erfolgt gewöhnlich in Form von Self-Assessments der Fachbereiche und trägt dazu bei, dass oft ähnliche OpRisk aus mehreren Bereichen aus verschiedenen Perspektiven bewertet werden. Die Risikobewertung führt zur Identifizierung der wesentlichen OpRisk und dazugehöriger Kontrollen (Schlüsselkontrollen). Dies setzt die Definition geeigneter quantitativer und qualitativer Wesentlichkeitskriterien voraus. Die identifizierten wesentlichen OpRisk werden im Frühwarnsystem und IKS entsprechend gesteuert und überwacht. Schlüsselkontrollen werden im IKS näher spezifiziert und bewertet.

Frühwarnsystem mittels KRIs

Key Risk Indicators (KRIs) messen und signalisieren mit einem zeitlichen Vorlauf die Entwicklung eines wesentlichen OpRisk und fördern so die ganzheitliche Risikosicht. Sie beantworten die Fragen des Ist-Zustandes und Trends der OpRisk und bilden damit ein Frühwarnsystem. KRIs in einem Frühwarnsystem können sowohl monetär (z. B. Risikokapital, Forderungsausfall) als auch nicht-monetär (z. B. Aktienquote, Krankenstandstage) sein. Die Überwachung der KRIs erfolgt durch geeignete Limit- und Schwellenwerte. Die Reaktionszeit zwischen der Überschreitung eines Limit- oder Schwellenwerts und dem tatsächlichen Eintreten des Risikos muss so gesetzt sein, dass genügend Zeit für einzuleitende (Gegen-)Maßnahmen bleibt.

Internes Kontrollsystem (IKS)

Die im Rahmen der Geschäftsprozessanalyse und OpRisk-Inventur identifizierten wesentlichen OpRisk und Schlüsselkontrollen werden im IKS systematisch und nach einheitlicher Methodik näher spezifiziert und bewertet. Durch die risikomindernde Wirkung der Kontrollen stellt das IKS seinen systematischen Ansatz zur OpRisk-Reduzierung dar. Die Bewertung der Schlüsselkontrollen sollte die Ausgestaltung (Soll) und Effektivität (Ist) der Schlüsselkontrollen berücksichtigten. Eine unternehmensweit konsistente Bewertungsmethodik unterstützt die systematische Identifizierung und Behebung von Kontrollschwächen. Ein jährlicher IKS Regelkreis mit klar definierten Verantwortlichkeiten bildet den systematischen Rahmen im IKS. Der IKS-Regelkreis umfasst:

  • OpRisk-Inventur: Prozessbezogene Identifikation der OpRisk und Kontrollen

  • IKS-Assessments: Spezifikation und Bewertung der wesentlichen OpRisk und Schlüsselkontrollen

  • IKS-Bericht: Berichterstattung der Ergebnisse der IKS-Assessments

Die Ergebnisse der IKS-Assessments können auf Schwachstellen in den Geschäftsprozessen hinweisen und damit die Basis für eine erneute Geschäftsprozessanalyse und -optimierung sein.

Quantitative Instrumente im OpRisk-Management

Neben der beschriebenen qualitativen Betrachtung bedarf es einer quantitativen Betrachtung der OpRisk, um geeignete Risikokenngrößen auf OpRisk übertragen zu können. Da bei OpRisk – wie bei allen anderen Risikokategorien auch – Zeitpunkt und Höhe des Schadenereignisses ungewiss sind, sollte man auch eine stochastische Modellierung verwenden. Zu den Instrumenten des quantitativen OpRisk-Managements zählen u.a.:

  • Verlustdatenbank

  • Stochastische Modelle

  • Szenarioanalysen

Verlustdatenbank

Grundlage jeder stochastischen Modellierung sind Daten über die zugrundeliegenden Schadenereignisse und -merkmale, die mit Hilfe geeignet strukturierter Verlustdatenbanken erfasst werden können. Geeignet erscheinen zu diesem Zweck u.a. die Größen Schadenhöhe, -kategorie, -beschreibung, -ursache, zugrundeliegende Kontrollen, Konsequenz und Einfluss von Risikominderungstechniken auf die Schadenhöhe. Elementar für die erfolgreiche Erfassung von OpRisk erscheint darüber hinaus die Einbeziehung von Beinahe-Schäden. Dabei handelt es sich um de facto eingetretene Risiken, die aber nicht zum Verlust wurden, weil noch eine nachgelagerte Kontrollhandlung gegriffen hat. Aus Risikosicht sind diese aber trotzdem zu modellieren, da eine Nicht-Erfassung letztlich eine unvollständige Datenlage nach sich zöge.

Stochastische Modelle

Basierend auf Verlustdatenbanken lassen sich dann wie für alle anderen Risikoklassen stochastische Modelle in Form von Verteilungen für die Schadenhäufigkeiten und Schadenhöhen von OpRisk ableiten. Wie in der Versicherungstechnik ist es hierbei empfehlenswert, die verschiedenen OpRisk Kategorien unterschiedlich zu modellieren und ggf. eine separate Modellierung von Großschäden vorzunehmen. Darüber hinaus erlauben Verteilungen aber auch die Ableitung von Risikomaßen wie dem Value-at-Risk (VaR) oder dem Expected Shortfall (ES). Dabei handelt es sich um denjenigen Verlust, der mit einer vorgegebenen Wahrscheinlichkeit x nicht überschritten wird (VaR) bzw. den mittleren Verlust in all den Fällen, wo diese Schwelle doch überschritten wird (ES). Die Bestimmung solcher Risikomaße ist erstrebenswert, da es sich um Maße handelt, die auch in den übrigen Risikoarten üblich sind und auf diese Weise Vergleichbarkeit geschaffen wird. Darüber hinaus liegen diese Risikomaße auch verschiedenen Aufsichtsregimen zugrunde.

Szenarioanalysen

Eine weitere wichtige Technik zur Quantifizierung sind Szenarioanalysen. Hierbei versteht man unter einem Risikoereignis ein konkretes potenzielles Ereignis, dessen Verlust quantifizierbar und dessen Eintritt zufallsabhängig ist. Im Rahmen von Szenarioanalysen werden verschiedene Realisierungen der ungewissen Größen (Schadenzeitpunkt, Schadenhöhe) beispielsweise mit einer Monte-Carlo-Simulation bestimmt. Mit Hilfe dieser verschiedenen Realisierungsmöglichkeiten lässt sich dann die Auswirkung des Risikoereignisses analysieren. Dies kann u.a. geschehen mit Blick auf die Abhängigkeiten zu anderen Risikoereignissen, den Konsequenzen bestimmter Schadenhöhen oder aber die Wirksamkeit bestimmter Risikominderungstechniken. Der Fokus von Szenarioanalysen sind daher oftmals komplexe Risiken und Worst-Case-Untersuchungen. In der Unternehmenspraxis handelt es sich bei Szenarioanalysen in der Regel aber nicht um einmalige Überlegungen, sondern um regelmäßig wiederkehrende Untersuchungen. Daher sollten Szenarioanalysen in einen strukturierten Prozess eingebettet sein, der neben den Durchführungsschritten Qualitätssicherungen und Validierungen sowie Updates der zugrundeliegenden Parameter beinhaltet.

Optimale Verlinkung der qualitativen und quantitativen Instrumente

Die quantitativen und qualitativen Instrumente des OpRisk-Managements sollten keinesfalls isoliert voneinander betrachtet werden. Ein effektives und effizientes OpRisk-Management zeichnet sich in der Praxis vor allem durch die optimale Verlinkung der eingesetzten quantitativen und qualitativen Instrumente aus. Beispielsweise können die Ergebnisse der OpRisk-Inventur als Validierung für die Verlustdatenbank dienen. Umgekehrt kann auf Basis von vergangenen Verlustdaten ein künftiges, noch nicht eingetretenes Risiko, identifiziert und in der OpRisk-Inventur bewertet werden. Die Verlustdatenbank sollte auch eng mit den KRIs des Frühwarnsystems verknüpft sein. Bei einer Limitüberschreitung eines KRIs kann dann die entsprechende Schadenfallkategorie, welche in Bezug mit dem KRI steht, analysiert und auf Basis von Verlustdaten neue KRIs inkl. Limit- und Schwellenwerte abgeleitet werden. Zudem kann überprüft werden, ob ein Anstieg von Schadenfällen auch mit einem Anstieg des jeweiligen KRIs verbunden ist. Die Ergebnisse des IKS und der OpRisk-Inventur sollten dazu verwendet werden, Schwachstellen in den Geschäftsprozessen zu identifizieren und diese zu optimieren. Einzelne Prozessoptimierungen können wiederum zu umfassenden Geschäftsprozessanalysen und Szenario-Analysen führen. Als Input für Szenario-Analysen dienen Daten der Verlustdatenbank, Ergebnisse der OpRisk-Inventur, aktuelle Entwicklungen der KRIs sowie ggf. externe Verlustdaten. Die Ergebnisse der Szenario-Analysen fließen wiederum in stochastische Modelle ein. Als weitere Input-Daten für stochastische Modelle dienen z. B. Daten der Verlustdatenbank und ggf. externe Verlustdaten sowie Daten zu der Entwicklung der KRIs.

Nutzenpotenziale und Lösungsansätze von Q_PERIOR

Ein gezielter Einsatz und eine optimale Verlinkung der eingesetzten qualitativen und quantitativen Instrumente unter Berücksichtigung konsistenter und stringenter Methoden unterstützt dabei, Transparenz über das eigene OpRisk-Profil zu schaffen und die Risikokultur im Unternehmen zu fördern. Ein effektives und effizientes OpRisk-Management bietet zudem die Möglichkeit, Risikokapital und Fehlerkosten zu senken sowie die Reputation des Unternehmens zu schützen. Gerne unterstützen wir Sie bei der individuellen Ausgestaltung Ihres OpRisk-Managements. Unsere Experten begleiten Sie in allen Phasen der Umsetzung mit methodischem und technischem Know-how. Unser bewährtes Vorgehensmodell umfasst dabei u.a.:

  • Ist-Analyse des OpRisk-Managements inkl. vorhandener Instrumente

  • Konzeption und Spezifikation der künftigen OpRisk-Methodik und Instrumente

  • Implementierung der neu-definierten OpRisk-Methodik und Instrumente

  • Ggf. systemtechnische Implementierung der OpRisk-Methodik und Instrumente

  • Coaching und Unterstützung im Regelbetrieb des OpRisk-Managements.

Bei der Umsetzung eines ganzheitlichen OpRisk-Managements setzen wir auf unsere funktionale Kompetenz und technische Expertise. Neben unserer langjährigen Erfahrung aus diversen Projekten zu OpRisk bieten wir auch software-gestützte Umsetzungsmöglichkeiten mit unserem Risikomanagement- und Kontrollsystem „Q_Riskmanager“. Für weitere Informationen kommen Sie gerne auf uns zu.

Weitere Fokusthemen

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!

19. Juni 2017|