Michael Cluse, Director, Deloitte Risk Advisory 

Dr. Suren Pakhchanyan, Manager, Deloitte Risk Advisory

Neue regulatorische Vorgaben für das Management operationeller Risiken

Die aufsichtsrechtlichen Anforderungen an operationelle Risiken sind im Wesentlichen in § 25a (1) KWG definiert und in den fünften MaRisk (Allgemeiner Teil und insb. BTR 4) spezifiziert. Vor kurzem sind jedoch einige wichtige regulatorische Initiativen gestartet worden, die die Bewertung und Steuerung von operationellen Risiken signifikant beeinflussen werden.

Am 06.08.2020 hat der Basler Ausschuss Konsultationsdokumente zur Überarbeitung der Grundsätze für das Management operationeller Risiken („Principles for the sound management of operational risk“ (PSMOR)) und operationelle Resilienz („Principles for operational resilience“ (POR)) veröffentlicht. Ziele der PSMOR-Überarbeitung sind (i) Anpassung der PSMOR an den neuen Standardised Measurement Approach (SMA) nach Basel III (ii) Aktualisierung der Leitlinien in den Bereichen Change Management und Informations- und Kommunikationstechnologien (IKT) und (iii) Verbesserung der allgemeinen Klarheit des Grundsatzdokuments. Die neuen POR zielen auf eine Erhöhung der Widerstandsfähigkeit der Banken ab, um Schocks durch operationelle Risiken, wie z. B. durch Pandemien, Cybervorfälle, Technologieversagen oder Naturkatastrophen, aufzufangen. Der Basler Ausschuss bat im Rahmen einer dreimonatigen Konsultationsphase um Stellungnahme bis zum 06.11.2020. Die Regelungen werden erst nach Übernahme durch die nationalen Behörden das Management von operationellen Risiken bei Finanzinstituten betreffen. Derzeit sind sie noch nicht direkt auf die Institute anwendbar, können aber Denkanstöße für die Weiterentwicklung des OpRisk-Managements geben.

Die neuen MaRisk hingegen werden zeitnah relevant werden. Am 26.10.2020 hat die BaFin die Konsultation zur 6. Novelle der MaRisk gestartet. Die finale Fassung wird für das Frühjahr 2021 erwartet. Die Schwerpunkte der Anpassungen liegen unter anderem auf den Auslagerungsvereinbarungen („Outsourcing“) und dem IT- und Notfallmanagement. Neben den genannten Schwerpunktthemen enthält die Novelle auch weitere Vorgaben in Bezug auf operationelle Risiken sowie kleinere Anpassungen wie Definitionen oder Klarstellungen. 

Bereits Ende 2017 hat der Basler Ausschuss für Bankenaufsicht (BCBS) seinen Standard „Basel III: Finalising post-crisis reforms“ (BCBS 424) finalisiert. Das Rahmenwerk sieht u. a. vor, alle bisherigen Verfahren zur Bestimmung der Eigenmittelanforderungen für operationelle Risiken durch einen neuen Standardmessansatz (SMA) zu ersetzen. Die Regelungen werden, nach Übernahme in die CRR, für alle Institute relevant. Ein entsprechender Entwurf der EU-Kommission soll spätestens Mitte 2021 erscheinen. Derzeit sind die neuen Anforderungen somit noch nicht direkt auf die Institute anwendbar, jedoch sollen die Institute im Rahmen des ICAAP und der Kapitalbedarfsplanung nach MaRisk die zukünftigen Anforderungen betrachten.  

Seminartipps

• Auf-/Ausbau hauseigener Verwertungsdatenbanken & Erlösquotensammlungen, 07.06.2021, Zoom.
• OpRisk: Neue MaRisk-Vorgaben & Neuer Standardansatz, 27.04.2021, Zoom.

Methodik des neuen Ansatzes

Mit der Ablösung aller bisherigen Ansätze durch den SMA sollen die bekannten Mängel behoben werden. Hierzu zählen die fehlende Risikosensitivität bei den Standardansätzen und der fehlende Best Practice bezüglich der AMA. Darüber hinaus soll ebenfalls die Vergleichbarkeit der Kapitalanforderungen zwischen den einzelnen Banken verbessert werden. Der neue SMA verbindet zukünftig GuV-Größen in Form des Business Indicators (BI) mit institutsspezifischen Verlustdaten (Internal Loss Multiplier, ILM).

Anforderungen an die Verlustdaten

Wesentliche Anforderungen an die internen Verlustdaten sind:

• Verlustdatenhistorie zehn Jahre (Möglichkeit der Verwendung einer auf fünf Jahre reduzierten Datenhistorie),
• Dokumentierte Verfahren und Prozesse für die Identifizierung, Sammlung und Behandlung von internen Verlustdaten (diese Prozesse müssen validiert und regelmäßig von der internen und/oder externen Revision unabhängig überprüft werden),
• Die Erfassungsschwelle für Schadensfälle liegt bei 20.000 € (Möglichkeit zu Erhöhung auf 100.000 €, wenn BI > 1 Mrd. €),
• Erfassung des Zeitpunkts (i) des Auftretens, (ii) des Erkennens, (iii) des Buchungsdatums, sowie (iv) des Bruttoverlust und (v) der Rückzahlungen,
• Identifizierung und Nicht-Berücksichtigung von Verlustereignissen im Zusammenhang mit Kreditrisiken im ILM,
• Identifizierung und Berücksichtigung von Verlustereignissen im Zusammenhang mit Marktpreisrisiken im ILM,
• Keine Berücksichtigung der (i) Kosten für allgemeine Wartungsverträge, (ii) internen oder externen Ausgaben zur Verbesserung von Geschäftsprozessen, (iii) Versicherungsprämien in der Bruttoverlustberechnung,
• Möglichkeit zur Nichtberücksichtigung von Verlustereignissen im ILM, wenn diese für das Risikoprofil der Bank nicht mehr relevant sind (offenlegungspflichtig) 
• Aufnahme von Verlusten aufgrund von M&A-Aktivitäten.

Abschätzung der Auswirkungen

Es gibt zwei umfangreiche Studien zu den Auswirkungen des neuen SMA auf die Eigenmittelunterlegung von operationellen Risiken. Die beiden Studien kommen zu höchst unterschiedlichen Ergebnissen. Während die Studie der ORX (siehe ORX response: The Standardised Measurement Approach[1]) eine 75%ige Erhöhung der Bemessungsgrundlage bei den betrachteten Instituten erwartet, zeigen die Ergebnisse der Basler QIS-Studie (siehe Basel III Monitoring Report zum Stichtag Dezember 2017[2]) eine eher sinkende Tendenz. Insbesondere zeigen die Ergebnisse der ersten Studie eine Erhöhung des Kapitalbedarfs bei den größeren Banken und Reduzierung bei kleineren Banken, währende die Auswertung der Ergebnisse der zweiten Studie auf das Gegenteil hindeuten.  

In der EU sollen die neuen Anforderungen über die CRR III umgesetzt werden. Ein erster Entwurf wird Mitte 2021 erwartet. Dann wird sich auch zeigen, inwieweit die europäischen Vorschriften vom Basler Standard abweichen und ob hierdurch die Eigenmittelanforderungen günstiger ausfallen.

PRAXISTIPPS

Mit den nunmehr vereinbarten Neuregelungen des Baseler Rahmenwerks (BCBS 424) werden die Vorgaben zur Berechnung der unterlegungspflichtigen operationellen Risiken geändert. Mit der Überarbeitung soll die Risikosensitivität des Ansatzes zur Ermittlung des regulatorischen Eigenmittelbedarfs erhöht werden. Zudem sollen die Anpassungen die Spielräume jener Banken einschränken, die eigene Verfahren zur Risikoquantifizierung verwenden. Die Implementierung eines OpRisk-Managements, basierend rein auf quantitativen regulatorischen Anforderungen, ist jedoch nicht ausreichend. Für die Optimierung des Risikomanagements von operationellen Risiken sind folgende Praxistipps zu beachten:

• Festlegung der Kriterien für die Aufnahme der Verluste: Bei der Erhebung der Risiken ist darauf zu achten, dass nur Verluste mit vollständigen Informationen (z. B. mit Erkennungs- und Buchungsdatum) gesammelt werden, die auch festgelegte Kriterien (z. B. Erfassungsschwelle) erfüllen. 
• Implementierung von angemessenen Verfahren und Prozessen für eine einheitliche und korrekte Erfassung von OpRisk-Schadensfällen: Zudem wird die Verwendung von Machine Learning für die Automatisierung des Prozesses der Schadensfallerfassung und -kategorisierung empfohlen.
• Festlegung der klaren Verantwortlichkeiten innerhalb der 1^st und 2^nd LoD: Häufig werden Verluste nicht oder nur unvollständig gemeldet, da die Geschäftsbereiche möglicherweise nicht wissen, was sie melden sollen, wie sie das Meldesystem nutzen können oder wen sie anrufen und um Hilfe bitten können. Auch wenn die Mitarbeiter in den meisten Fällen darin geschult sind, wie man operationelle Schadensfälle meldet, ist die korrekte Zuordnung von operationellen Schadensfällen zu Basel- Ereignistypen eine Herausforderung für die Mitarbeiter in der 1^st LoD.
• Festlegung der IT-Berechtigungen: Es ist zu definieren, dokumentieren und kommunizieren, welche Mitarbeiter welche Berechtigungen besitzen und welche Zugriffe in der Verlustdatenbank jeweils erlaubt sind und welche nicht (Berechtigungskonzept).  
• Implementierung eines Kontrollrahmenwerks: Die Kontrollen und Kontrollkonzepte sollen vollständig und transparent im Anweisungswesen dokumentiert werden. Kontrollverantwortliche sollen festgelegt und Kontrolldurchführungen angemessen dokumentiert werden. 
• Implementierung einer „passenden“ IT-Infrastruktur und Software: Durch eine „passende“ IT-Infrastruktur und Software sollten operationelle Risiken einfach erfasst, bewertet und analysiert werden. Anwender sollten darin institutsweit Verlustereignisse melden, bearbeiten, quantifizieren und abrufen können.