Henning Riediger, Prüfungsleiter im Referat Bankgeschäftliche Prüfungen, Deutsche Bundesbank, Hannover

Aktuelle Entwicklungen im Jahr 2020 fokussieren Operationelle Risiken[1]

Das Jahr 2020 geht dem Ende zu. Was für ein verrücktes Jahr! Es zeigte sich, dass die Organisation von Kreditinstituten erstaunlich anpassungsfähig an die teilweise widrigen Gegebenheiten ist. Andererseits haben aber auch gerade diese Entwicklungen und Maßnahmen die operationellen Risiken für 2020 in den Vordergrund geschoben. Die nächsten Jahre wird die Bankenwelt mit den Adressrisiken (leider) wieder verstärkt den alten Klassikern in Form der Adressrisiken begegnen. Bevor dies jedoch der Fall sein wird, werden wir heute einen Blick auf die Messung der operationellen Risiken werfen.

Im Falle der Operationellen Risiken handelt es sich um eine Risikoart, deren Messmethoden noch nicht das Maß an Standardisierung erreicht haben, wie es im Bereich der Adress- bzw. Marktpreisrisiken üblich ist. Beginnend mit der Festlegung eines Risikopuffers bis hin zu komplexen Berechnungsmodellen ergibt sich eine hinreichend große Bandbreite. Das Ergebnis ist eine Vielzahl von unterschiedlichen Verfahren in Kreditinstituten.

Ein häufig gewählter Weg ist die genannte Festlegung eines Risikopuffers für die Operationellen Risiken. Gemäß AT 4.1 Tz. 5 der MaRisk kann die Verwendung von Risikopuffern ein angemessenes Verfahren sein. Allerdings fordern die MaRisk in diesen Fällen eine angemessene Plausibilisierung. Dies kann durch geeignete Szenariobetrachtungen sichergestellt werden, so dass der gewählte Risikopuffer in seiner gewählten Dimension angemessen ausfällt. Wird in einem Risiko- bzw. in einem Stressszenario ein Puffer angesetzt, so sollte sich die unterschiedliche Dimension des gewählten Szenarios in der Höhe des Puffers entsprechend widerspiegeln, d. h. ein gleichhoher Pufferansatz in beiden Szenarien wird nicht akzeptiert.

Seminartipps

• OpRisk Spezial: IT-Risiken, 26.04.2021, Zoom.
• OpRisk: Neue MaRisk-Vorgaben & Neuer Standardansatz, 27.04.2021, Frankfurt/M.
• Risikoinventur: Krisenbedingte Neubewertung von (wesentlichen) Risiken, 14.04.2021, Frankfurt/M.
• Stresstests: Überarbeitung der Story Line im adversen/ Stress-Szenario, 15.04.2021, Frankfurt/M.

Ein ebenso häufig (und gern) gewählter Ansatz ist die Durchschnittsbetrachtung der Schadensfälle der letzten Jahre. Um den unerwarteten Verlust angemessen zu berücksichtigen, erfolgt ein Aufschlag auf diese Durchschnittsbetrachtung. Bei der Begründung der Höhe des Aufschlags sollte allerdings beachtet werden, dass operationelle Risiken für gewöhnlich nicht der Normalverteilungsannahme genügen und von daher Skalierungswerte der Normalverteilung, um verschiedene Konfidenzniveaus abzubilden, kein methodisch sinnvolles Maß darstellen können. Ebenso ist zu hinterfragen, inwieweit tatsächlich alle enthaltenen Operationellen Risiken in der Vergangenheit bereits schlagend geworden sind und somit in die Auswertung der Schadensfälle einfließen. Insbesondere für die Operationellen Risiken aus der Informationstechnologie ist dieser Punkt von besonderer Bedeutung. Von daher wird erwartet, dass die Auswertungen der historischen Schadensfälle um geeignete Szenariobetrachtungen ergänzt werden.

Klassische Schwächen bei der Messung der Operationellen Risiken

In Bezug auf die Messung der Operationellen Risiken fallen wiederholt folgende Kritikpunkte auf:

• Die Repräsentativität sowohl der externen als auch der internen (historischen) Daten sind zu überprüfen. Die internen Daten vor allem dann, wenn sich wesentliche Abweichungen im Geschäftsmodell ergeben haben. Umso wichtiger sind dann die aktuellen Self-Assessments.

• Beim Self-Assessment werden die Einschätzungen nicht nach der Schwere der Szenarien (z. B. Plan- und Risikoszenario sowie Stresstests) unterschieden. Zudem finden die Self-Assessments nicht auf Basis eines konsistenten Verfahrens statt und die Ausführungen und Expertenschätzungen sind nicht ausreichend nachvollziehbar und plausibel begründet.

• Basiert die Ableitung des Risikobetrags u. a. aus historischen Daten, muss eine ausreichend lange Datenhistorie einbezogen werden, um eine konsistente Anwendung der Berechnungslogik sicherzustellen. Die beispielhafte Ermittlung eines Risikobeitrags zum Konfidenzniveau von 95 % bei einem nicht annähernd 20-jährigen Beobachtungszeitraum dürfte tendenziell zu einer Unterschätzung des jeweiligen Risikobeitrags führen.

• Für die Betrachtung von Risikoszenarien sind Durchschnittswerte eher ungeeignet. Als Maß für den Erwarteten Verlust können sie gleichwohl herangezogen werden. Den Unerwarteten Verlust über eine Durchschnittsermittlung von x Jahren zu ermitteln, stellt keine angemessene Berechnungsvorschrift dar. Gerade im Zusammenhang mit dem vorgenannten Punkt der Beobachtungsdauer muss grundsätzlich sichergestellt sein, dass bei der beispielhaften Anwendung eines 95%igen Konfidenzniveaus und einer Beobachtungsdauer von 20 Jahren der Risikobeitrag eher beim Maximalwert als beim Durchschnitt liegen dürfte.

• Die Herausnahme von Schadensfällen aus der Schadensfalldatenbank ist entsprechend hinreichend zu begründen. Eine wiederholt auftretende Vorgehensweise ist, dass bestimmte Entschädigungszahlungen aus Verbraucherstreitfällen aus der Datenmenge herausgenommen werden, weil angeführt wird, dass „dieses“ Problem aus dem Sachverhalt nicht mehr auftreten kann. Dies schließt jedoch grundsätzlich weitere Entschädigungen aus Verbraucherschutzgründen nicht aus.

• Häufig verwechseln Institute die Anforderung des BTR 4 Tz. 2 der MaRisk, wonach mindestens jährlich die operationellen Risiken (i. S. einer Risikoinventur) zu bewerten sind, mit der Maßgabe der laufenden Risikoüberwachung gemäß AT 4.3.2 Tz. 3 der MaRisk mindestens vierteljährlich über die wesentlichen Risiken zu berichten. In diesen Fällen stellen dann die operationellen Risiken keine (angemessene) Komponente im mindestens vierteljährlichen Risikoberichtswesen dar. Selbstverständlich ändert sich das Risikouniversum der operationellen Risiken nicht täglich, aber eine entsprechende Informationsweitergabe mindestens im qualitativen Risikoberichtswesen ist erforderlich, um aktuelle Entwicklungen im Institut als auch beim Auslagerungspartner angemessen zu würdigen.

Filmtipp

• OpRisk.

Upps … zwei Seiten schon wieder rum? Habe ich ihr Interesse geweckt? … Die Aufzählung geht noch weiter! Den umfassenden Text gibt es ab Anfang 2021 im neuen Fachbuch „MaRisk: Prüfungserkenntnisse aus Praxisfällen“! 

PRAXISTIPPS

• Stellen Sie sicher, dass operationelle Risiken im Risikobericht enthalten sind.
• Wählen Sie konsistente Verfahren beim Self-Assessment.
• Binden Sie die Fachabteilungen ein und geben Sie vor, was geschätzt werden soll.
• Hinterfragen Sie kritisch, inwieweit IKS-Kontrollen die Eintrittswahrscheinlichkeit und die potenzielle Schadenshöhe beeinflussen.
• Achten Sie darauf, dass das adverse Szenario der Kapitalplanung bzw. normativen Sicht potenzielle Verluste aus operationellen Risiken enthält.