Aufsichtsrechtliche Behandlung von Operationellen Risiken im Fokus (Teil 2): Erfolgreiche Einführung des Non-Financial Risk Managements und des neuen OpRisk-Standardansatzes

In Teil 1 unserer Beitragsserie zur aufsichtsrechtlichen Behandlung von Operationellen Risiken haben wir dargestellt, dass die aus dem neuen Standardansatz für OpRisk resultierenden Eigenmittelanforderungen einmal mehr die Notwendigkeit eines umfassenden NFR-Managements erhöhen (vgl. Regulatory Blog-Beitrag: „Aufsichtsrechtliche Behandlung von Operationellen Risiken im Fokus (Teil 1): Höchste Zeit für ein umfassendes NFR-Management“ vom 19. Juni 2019). Das Ziel sollte sein, die zukünftigen Eigenmittel- und Risikomanagement-Anforderungen umfassend zu erfüllen und gleichzeitig die bestehenden Effizienzpotentiale zu heben.

Die Komplexität regulatorische Anforderungen nimmt unvermindert zu. Eine der wesentlichen Einflüsse ist, dass man – nicht nur im Bereich OpRisk – die Eigenmittelvorschriften aus der Säule I nicht länger losgelöst von den Risikomanagementvorschriften der Säule II betrachten kann. Die Aufsicht verfolgt das klare Ziel einer Verzahnung der beiden Aufsichtsperspektiven.

Vor diesem Hintergrund stehen die Institute aktuell vor strategischen Entscheidungen, mit denen sie sich auf die neuen Vorschriften vorbereiten. Reicht eine Anpassung der bestehenden Umsetzungen oder müssen doch umfangreichere strukturelle und prozessuale Anpassungen vorgenommen werden? Es zeigt sich im Markt, dass Institute, die zunächst höhere Investitions- und Projektkosten für umfangreichere Prozessverbesserungen in Kauf nehmen, langfristig stark davon profitieren können.

One-Size-Fits-All-Ansatz zur Abschätzung des Operationellen Risikos

Nach umfangreicher Kritik der Aufsicht an den bestehenden Ansätzen zur Quantifizierung des Operationellen Risikos und zur Ermittlung der einschlägigen Eigenmittelanforderung, wird im Rahmen von Basel IV Abstand von allen bisher bekannten Ansätzen genommen (BIA, SA und AMA). Der neue und für alle Institute einheitliche Standardansatz soll dahingehend eine ausreichende Risikosensitivität sowie Flexibilität für alle Institute bieten und darüber hinaus das Operationelle Risiko für Zwecke der Eigenmittelunterlegung besser abschätzen.

Auf Basis der im ersten Teil der Beitragsserie vorgestellten Berechnungslogik, umfasst der neue Standardansatz zwei Stellschrauben an denen die Prozesse der Bank überprüft und gegebenenfalls neu ausgerichtet werden müssen: Die Business-Indikator-Komponente und der Interne Verluste Multiplikator. Institute sollten die den Stellschrauben zugrundeliegenden Anforderungen genauestens analysieren, mit ihren derzeitigen Umsetzungen abgleichen und gegebenenfalls anpassen. Im Bereich der Business-Indikator-Komponente ist hierbei vor allem ein Abgleich mit der Bilanzierung von identifizierten Kapitaltreibern notwendig. Die Aufsicht macht im Rahmen der OpRisk-Vorgaben klare Aussagen zur genauen Definition der einzelnen Bilanz- und GuV-Größen. Sollten diese möglicherweise restriktiver ausfallen als die bisher genutzten bankinternen Definitionen, können durch die Aussteuerung der entsprechenden Erträge und Aufwände positive Effekte in Bezug auf die OpRisk-Eigenmittelanforderung erzielt werden.

In Bezug auf die zweite Stellschraube, dem Internen Verluste Multiplikator, stellt die Aufsicht eine Reihe von qualitativen Anforderungen, deren Einhaltung von den Instituten sichergestellt werden muss. Dabei müssen die Institute gewährleisten, dass eine mit dem Geschäftsmodell klar verknüpfte Verlustdatensammlung über einen Mindestzeitraum von 10 Jahren vorliegt. Bei unzureichender Datenbasis und Zustimmung der Aufsicht kann gegebenenfalls auch ein kürzerer Zeithorizont gewählt werden.

Die Qualität dieser Verlustdatenbank hat einen direkten Einfluss auf die Eigenmittelanforderung für OpRisk. Schon heute ist daher – aufgrund der im neuen Standardansatz genutzten Verlusthistorie – der richtige Zeitpunkt die aktuelle Umsetzung und die bestehenden Prozesse zu evaluieren. Ein umfassendes Non-Financial Risk-Management kann dabei helfen, Verluste nachhaltig zu vermeiden und dadurch einen direkten positiven Effekt auf die zukünftige OpRisk-Eigenmittelanforderung der Bank zu nehmen.

Management von Non Financial Risks mit Hilfe des PwC Frameworks

Das PwC NFR-Framework unterstützt bei der wirksamen Umsetzung eines effektiven NFR Managements. Das Framework setzt sich aus mehreren Komponenten zusammen, die eng miteinander verknüpft sind und das mit einheitlichen Methoden auf die Etablierung eines effektiven NFR-Managements abzielt. Im Folgenden werden die einzelnen Komponenten des Rahmenwerkes im Detail vorgestellt:

  • Risikoappetit:

Zunächst gilt es den Risikoappetit der Bank zu definieren, der an der Risikostrategie der Bank ausgerichtet ist. Für den Risikoappetit werden weiche und harte Schwellenwerte und NFR Metriken festgelegt, die übergreifend für alle Prozesse klar kommuniziert werden. Für diesen strategischen Entscheidungsprozess hat PwC ein Risikoappetit-Dashboard entwickelt, welches die Bank Schritt für Schritt an diese Entscheidung heranführt.

  • Risikotaxonomie:

Für ein ganzheitliches NFR-Management bildet eine konsistente, vollständige, überschneidungsfreie und kommunizierte Risikotaxonomie die Basis. Innerhalb der Risikotaxonomie werden die einzelnen Non Financial Risks verschiedenen Risikokategorien zugeordnet, z.B. Compliance-, Verhaltens-, IT-, Rechts-, Auslagerungs-, Modell- und Operationelle Risiken, nachdem die institutsindividuellen Risiken identifiziert und einheitlich erhoben wurden. Dies stellt viele Banken vor eine Herausforderung, zum einen aufgrund fehlender Erfahrungswerte und zum anderen aufgrund fehlender einheitlicher Prozesse über alle Bereiche hinweg.

  • Risikoidentifikation:

Das NFR Management basiert auf einer ganzheitlichen Risikoidentifikation, welche mittels einheitlicher Erhebungsprozesse entlang der definierten Risikotaxonomie über alle Bereiche hinweg eine vollumfängliche Risikoinventur ermöglicht. Werden in diesem Prozess sowohl die Risikoerhebung verschlankt als auch Überschneidungen bei der Risikoidentifikation vermieden, folgen Effizienzgewinne in der 1st LoD und 2nd LoD sowie schließlich eine Reduktion der operationellen Risiken und einhergehenden Verluste. Auch hier fällt es den Banken derzeit aufgrund fehlender Erfahrungswerte schwer, die Risiken vollumfänglich zu identifizieren und zu erheben.

  • Risikobewertung:

Innerhalb der Risikobewertung sind einheitliche Risikomessgrößen sowie Risikolimite für jede Risikokategorie und über alle Geschäftsbereiche hinweg zu definieren und zu kalibrieren. Anhand dieser Limits kann daraufhin die Risikobewertung mit Hilfe einer Risikomatrix erfolgen. Ziel ist es, operative Indikatoren zu vereinheitlichen bzw. eine einheitliche Risikokennzahl zu schaffen, um eine periodische und risikoorientierte Vergleichbarkeit zu gewährleisten. Weiterhin wird beabsichtigt, auf quantitativer und qualitativer Basis, die Bewertungsmethodiken zu vereinheitlichen. Nur mittels einheitlicher Methoden kann eine effiziente Risikosteuerung und ein transparentes NFR-Management geschaffen werden.

  • Risikosteuerung:

Um eine bessere Risikokommunikation und Risikosteuerung zu erreichen, müssen die dezentral definierten operativen Indikatoren der Risikosteuerung vereinheitlicht und somit vergleichbar gemacht werden. Zur Gewinnung von Transparenz über gleichgerichtete Risikocluster ist ebenfalls eine risikoartenspezifische Messung und Limitierung durchzuführen. Um NFR effektiv zu managen, müssen außerdem Eskalationsprozesse und klare Verantwortlichkeiten für alle vorliegenden NFR-Kategorien festgelegt werden. Schließlich können im Rahmen einer fundierten Ursachenanalyse zielgerichtet Maßnahmen ergriffen werden, um NFR optimal zu steuern.

  • Risikoreporting:

Zur periodischen und zielgerichteten Überwachung sowie Steuerung der NFR ist abschließend ein detailliertes, transparentes und adressatengerechtes Risikoreporting erforderlich. Hierbei ist es besonders wichtig, eine kurzfristige Verfügbarkeit sowie eine hohe Datengranularität der NFR-Risikodaten sicherzustellen, um NFR effektiv kommunizieren zu können. Schließlich wird durch dieses Vorgehen ebenfalls Transparenz über die einzelnen NFR-Risikokategorien geschaffen, was die Managemententscheidung zur Risikoreduzierung schließlich optimiert.

Die dargestellten Komponenten helfen dabei sicherzustellen, dass alle für die Institute relevante Risiken identifiziert und gesteuert werden können. Die Implementierung des NFR-Frameworks führt grundsätzlich zu weitreichenden prozessualen und systemischen Herausforderungen, die man im Rahmen eines Umsetzungsprojektes lösen muss. Aufgrund der hohen Komplexität zeigen vergleichbare Projekte, dass die Implementierung modular erfolgen sollte.

Analysieren Sie die Herausforderungen für Ihr Institut

Lesen Sie im nächsten Blogbeitrag, worauf es bei der Implementierung eines effektiven NFR Managements wirklich ankommt. In diesem Rahmen gehen wir auf die drei zentralen Erfolgsfaktoren für ein ganzheitliches NFR Management ein, welche auch die Schaffung einer gesamtheitlichen Risikokultur und Governance sowie die Verwendung fortschrittlicher Technologien umfassen. Darüber hinaus stellen wir unser bewährtes NFR-Projektvorgehen vor, um Ihnen eine mögliche Umsetzungsinitiative aufzuzeigen.

Sie haben Fragen zum Thema ? Sprechen Sie uns gerne an!

 

Ullrich Hartmann

Telefon:+49 69 9585 2115

ullrich.hartmann@pwc.com

Martin Neisen

Telefon:+49 69 9585 3328

martin.neisen@pwc.com

Marius Schulte-Mattler

Telefon: +49 69 9585 3197

marius.schulte-mattler@pwc.com

Saadia Ahmad

Telefon: +49 69 9585 3965

saadia.ahmad@pwc.com

 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */