Operatives Risikomanagement in Finanzinstituten
Operationelles Risiko ist ein Oberbegriff, der 1991 offiziell von COSO geprägt wurde. In den ersten Tagen seiner Entstehung war er einfach eine schwer zu definierende Kategorie für Restrisiken, die nicht zu den Markt- und Kreditrisiken in Finanzinstituten gehörten. Diese neue Bezeichnung umfasste eine Reihe von Risiken, die z. B. durch Cyber- oder Informationstechnologie (IT), Betriebsunterbrechungen, rechtliche Haftung, menschliche Motivation, Betrug und sogar Infrastruktur entstehen. Einige Banken verwenden den Begriff des operationellen Risikos synonym mit dem nichtfinanziellen Risiko. Heute hat es sich zu einem großen Schwerpunktbereich für interne Risikofunktionen und Aufsichtsbehörden entwickelt, was zu einer verstärkten Prüfung der für das operationelle Risiko gehaltenen Kapitalreserven führt. Das operationelle Risiko steht ganz oben auf der Managementagenda (sowohl innerhalb als auch außerhalb der Finanzinstitute), und Bezeichnungen wie "Manager für operationelle Risiken" sind heute gang und gäbe. Wachsende Cyber-Risiken, die Abhängigkeit von Anbietern und die fortschreitende Digitalisierung von Prozessen sind weitere wichtige Faktoren, die dazu beitragen, dass das Management operationeller Risiken in den Mittelpunkt rückt.
Obwohl Basel II bereits 2004 veröffentlicht wurde, wurde es in den meisten großen Volkswirtschaften erst nach der Finanzkrise von 2008 umgesetzt. Ziel von Basel II war es, die internationalen Bankenstandards durch die Festlegung von Kapitalmanagementanforderungen zu verbessern, die sicherstellen, dass eine Bank über angemessenes Kapital verfügt, um vor den Risiken geschützt zu sein, denen sie ausgesetzt ist. Basel II verwendet ein Konzept mit drei Säulen:
- Mindestkapitalanforderungen (Risikoberücksichtigung)
- Aufsichtliche Überprüfung
- Marktdisziplin
Wir werden diese Themen im nächsten Artikel dieser Reihe näher beleuchten. Basel II reformierte die Bankenaufsicht und legte den Schwerpunkt auf die politische Wirksamkeit des operationellen Risikos sowie auf seine Umsetzung. Damals und vielleicht auch heute noch werden Fragen zu den Definitionen, der Datenerhebung und den Grenzen der Quantifizierung heftig diskutiert.
Die Herausforderung besteht darin, dass das operationelle Risikomanagement in vielen Unternehmen nach wie vor auf eine Vielzahl von Instrumenten verteilt ist, wobei viele noch immer auf manuelle Prozesse zur Ermittlung, Quantifizierung und Verwaltung dieser Risiken angewiesen sind. Sowohl die Unternehmen als auch die Aufsichtsbehörden erkennen, dass die derzeit etablierten manuellen Prozesse für das Management dieser neuen Risikoebene nicht mehr ausreichen und auch nicht wirtschaftlich sind. Ein weiterer wichtiger Faktor, der zu langwierigen operativen Risikoprozessen beiträgt, ist die Fragmentierung der Risikomanagement-Tools einer Organisation:
- Verschiedene interne Programme und Projekte verwenden wahrscheinlich ihre eigenen, auf Tabellenkalkulationen basierenden Risikoregister.
- Die Geschäftsbereiche könnten nur in ihrem vierteljährlichen Bericht über die Kernrisiken berichten.
- Risikomanager der zweiten Reihe können ein separates GRC-Tool verwenden.
- Das Prüfungsteam verfolgt seine Risiken wahrscheinlich in einem Prüfungsmanagement-Tool.
- Dieser Ansatz der Risikoverwaltung macht die Gewinnung von Erkenntnissen über Risiken in Echtzeit nahezu unmöglich. Ein weiterer Schwachpunkt ist der fehlende Zusammenhang zwischen den ermittelten Risiken und den bestehenden Kontrollen sowie den einschlägigen rechtlichen und regulatorischen Anforderungen, was die Einhaltung der Vorschriften weiter erschwert.
Operatives Risikomanagement in Echtzeit
Beim Wachstum vieler Unternehmen gibt es einen Wendepunkt, an dem die Notwendigkeit eines formelleren Risikomanagements entsteht - entweder durch organisatorisches Wachstum, regulatorischen Druck oder anspruchsvollere Kunden. Angesichts komplexerer Technologien, strengerer Vorschriften und projektbasierterer Arbeit können Tabellenkalkulationen eine Option sein und eine Zeit lang Bestand haben, aber es gibt oft einen Wendepunkt, an dem sie nicht mehr praktikabel sind. Es gibt einige Indikatoren, an denen Sie erkennen können, wann es Zeit für einen Wechsel ist:
- Bei jeder Frage zur aktuellen Risikobelastung müssen Sie auf eine manuelle Konsolidierung der Daten warten, um eine Antwort zu erhalten.
- Ihre Risikokalkulationstabellen befinden sich auf einem Netzlaufwerk mit mehreren Versionen im selben Ordner.
- Es gibt verschiedene Formate und Vorlagen für die Erfassung von Risiken in Ihrem Unternehmen.
- Risikokontroll-Selbstbeurteilungen stellen jedes Mal, wenn sie fällig sind, eine erhebliche Belastung für das Unternehmen dar.
Zu den Symptomen für ineffiziente operative Risikomanagementprozesse gehören häufig Teams, die die definierten Tools oder Tabellenkalkulationen nicht verwenden und versuchen, Risiko- und Compliance-Prozesse zu umgehen. Ein Risikosystem, das nicht flexibel genug ist, um sich an organisatorische Veränderungen anzupassen, führt ebenfalls zu einer weiteren Umgehung von Prozessen und oft zu zusätzlichem manuellen Aufwand. Und schließlich, wenn Ihr Risikoregister von dem Interessenvertreter gefüllt wird, der in einer Sitzung am lautesten schreit, wissen Sie, dass Sie unvoreingenommene Risiken nicht ausreichend identifizieren.
Ein erfolgreiches operationelles Risikomanagement ermöglicht den Beteiligten und dem Risikomanagementteam Einblicke in die Risiken in Echtzeit. Ein strukturierter Ansatz zur Risikoermittlung ist unerlässlich, statt sich auf das Bauchgefühl zu verlassen. Insgesamt sollten Sie Prozesse einrichten, die:
- Zeit sparen
- Schlankes Risikomanagement
- Konzentration auf Kerngeschäftsziele
- Förderung einer Kultur des Risikobewusstseins in der gesamten Organisation
- Integriertes Risikomanagement
Traditionell ist das Risikomanagement ein Top-Down-Ansatz, der zu Aktivitätssilos und Entscheidungen in Elfenbeintürmen führt. Der Begriff "integriertes Risikomanagement" verdeutlicht, wie wichtig es ist, das Risikomanagement in den Mittelpunkt der Unternehmensführung zu stellen. Es konzentriert sich darauf, dass jeder Zugang zu den richtigen Informationen für seine Funktion hat, und legt Wert darauf, dass jede Geschäftseinheit für das Risikomanagement im gesamten Unternehmen verantwortlich ist. Eine Lösung für das operationelle Risikomanagement sollte einfach und unterhaltsam zu bedienen sein, um die Beteiligten kontinuierlich einzubinden. Sie muss einen Ton von oben vermitteln, der eine aktive Risikokultur innerhalb der Organisation unter Verwendung agiler Interaktionsmethoden hervorhebt und ermutigt.
Darüber hinaus muss die Lösung in der Lage sein, einen methodischen Ansatz zur Quantifizierung des operationellen Risikos und der Risikobereitschaft zu bieten, ohne dabei zu starr zu sein. Bei der Ermittlung des operationellen Risikos muss die Lösung eine skalierbare Bewertungsfunktion unterstützen, anstatt sich auf manuelle, stichprobenartige Ansätze zu verlassen. Richtig ausgeführt, ermöglicht ein integriertes Risikomanagement den Unternehmen, ihre Ausgaben auf die Risikominderung statt auf die Risikoermittlung und -verwaltung zu konzentrieren.
