Operational Risk in Banken

Der wesentliche Einfluss der Informationstechnologie (IT) auf Kreditinstitute ist in der Literatur unumstritten.¹ Viel diskutiert ist der Einsatz der IT vor allem im Zusammenhang mit Rentabilität und strategischen Wettbewerbsvorteilen.² Ein sehr wesentlicher Gesichtspunkt für Banken ist aber auch das Risiko, das aus dem Einsatz von IT resultiert. Es kann davon ausgegangen werden, dass ein Ausfall wesentlicher IT-Systeme über einen längeren Zeitraum zu hohen Schäden und im Extremfall sogar zur Insolvenz einer Bank führen kann.³

Schon in der Umgangssprache finden sich vielfältige Bedeutungen für den Begriff „Risiko”.³⁹ Auch in der betriebswirtschaftlichen Literatur gibt es eine Vielzahl unterschiedlicher Definitionen.⁴⁰ Die vorhandenen Risikodefinitionen lassen sich bspw. in drei Gruppen einteilen⁴¹, wobei eine Unterscheidung nach Ursache und Wirkung des Risikos vorgenommen wird: Die erste Gruppe zielt dabei auf die ökonomische Wirkung des Risikos ab und definiert Risiko „…als Möglichkeit der Planverfehlung, als Gefahr einer Fehlentscheidung, als Verlustgefahr und als Gefahr einer Zielabweichung.”

Im ersten Teil dieses Kapitels (Kap. 3.1) erfolgt ein Überblick über Ansätze zur Messung von IT-Risiken. Aufbauend auf einer Einteilung der Ansätze in vier Klassen werden bereits hier die aus der weiteren Betrachtung auszuschlie\enden Ansätze kurz erläutert und ihr Ausschluss begründet. Anschlie\end werden in Kap. 3.2 methodenkritische Kriterien erarbeitet, welche die Basis für die Beurteilung der in Kap. 4 ausführlich dargestellten Ansätze bilden. Abschlie\end wird in Kap. 3.3 auf die Problematik der Daten als Ausgangspunkt aller Messansätze eingegangen.

Indikatoren können im Zusammenhang mit Operational Risk prinzipiell sowohl zur Messung, als auch zur Steuerung des Operational Risk herangezogen werden.⁴⁷⁶ Sie stellen ein wesentliches Instrument zum Management von Operational Risk dar. In einer Studie von Cap Gemini Ernst & Young 2002 gaben 36 von 60 Kreditinstituten an, dass sie bereits mit Risikoindikatoren arbeiten oder dies in nächster Zeit planen.⁴⁷⁷ Dabei variierte die Anzahl der eingesetzten Indikatoren bei den 16 Banken, die bereits Risikoindikatoren verwendeten, zwischen 5 und 100.⁴⁷⁸ Die meisten Indikatoren wurden dabei im Bereich „Technologie” und „interne Verfahren” eingesetzt, was darauf hindeutet, dass Indikatoren gerade im Management von IT-Risiken sinnvoll einsetzbar sind.

Bei einer ausführlichen Beschäftigung mit den IT-Risiken und möglichen Ansätze zu deren Messung, fallen immer wieder Gemeinsamkeiten und Unterschieden zu den Marktpreis- und den Kreditrisiken auf. Ende der 80er Jahre waren ähnliche Diskussionen, die nun im Bereich der Operational Risk stattfinden, bzgl. der Marktpreisrisiken in Gang.⁷⁹⁷ Hier hat sich mittlerweile eine Best Practice mit dem Value-at-Risk als Risikoma\ herausgebildet. Weitere Entwicklungen, bspw. in Richtung Lower Partial Moments⁷⁹⁸, sind zu beobachten. Bei den Kreditrisiken sind die Messmethoden auf Einzelrisikoebene schon weit gediehen. Allerdings gibt es erst seit ca. Ende der 90er Jahre Bestrebungen, Kreditrisiken im Portfoliozusammenhang zu messen. Diese Entwicklung ist ebenfalls noch mit einigen Schwierigkeiten konfrontiert.⁷⁹⁹

Wenn Basel II in Europäisches Recht umgesetzt wird und voraussichtlich Ende 2006 in Kraft tritt, werden wohl die meisten Banken zunächst auf den Basisindikatorbzw. den Standardansatz zugreifen. Wie in dieser Arbeit gezeigt wurde sind diese Ansätze aber völlig unzureichend für eine Messung des Operational Risk. Deshalb sollte es im Bestreben aller Banken liegen, langfristig auf fortgeschrittene Ansätze überzugehen. Hierzu müssen erst einmal die Grundlagen gelegt werden, indem alle Banken eine Identifikation und Strukturierung, bspw. auch konkretisiert nach IT-, Mitarbeiter-, Prozess- und externe Risiken vornehmen. Eine mögliche Definition und Strukturierung der IT-Risiken wurde in dieser Arbeit vorgenommen. In Kap. 2.2.2 wurden kurz Methoden zur Identifikation aufgezeigt, die jeweils andere Stärken aufweisen, sodass eine Kombination mehrerer Verfahren unerlässlich ist. Bei der Identifikation spielen neben den eingesetzten Verfahren besonders die Personen, die diese Identifikation durchführen, eine wesentliche Rolle. Deshalb müssen nicht nur leistungsfähige Verfahren, sondern auch die geeigneten Personen ausgewählt werden.