SREP Serie (Teil 6): Beurteilung der operationellen Risiken

Die Aufsichtsbehörden werden im Zuge von SREP auch den Themenkomplex operationelle Risiken als Teil der Beurteilung der Risiken in die Betrachtung aufnehmen. Besonders betont werden in diesem Kontext Reputations- Modell- und Conductrisiken sowie Risiken im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologie (ICT-Risiken).

Wichtig ist eine stringente Ableitung des Risikoprofils über die operationelle Risikostrategie bzw. den Risikoappetit. Ferner ist den Instituten eine Ableitung von KPIs, die Definition von klaren Eskalations- und Kommunikationswegen sowie – soweit möglich – ein Peer Group-Vergleich zu empfehlen. Eine fachliche Auseinandersetzung mit den verschiedenen Ausprägungen von operationellen Risiken sollte ebenfalls erfolgen.

Bestimmung des inhärenten operationellen Risikos

Zur Bestimmung der wesentlichen Charakteristika des operationellen Risikos bei den beaufsichtigten Instituten sieht es die europäische Bankenaufsicht als sinnvoll an, dass sich Aufsichtsbehörden im Rahmen eines Preliminary Assessments einen ersten Eindruck verschaffen. Die an die Aufsichtsbehörden adressierten Vorgaben umfassen u.a. eine Durchsicht der operationellen Risikostrategie und des Risikoappetits, die Abgrenzung des Geschäftsumfelds, eine Erhebung der Kapitalanforderungen, eine Bestimmung der Komplexität von Prozessen und Verfahren sowie ein Verständnis der Anreizsysteme und der Geschäftsplanung.

Nach der Bestimmung der wesentlichen Charakteristika werden die Aufsichtsbehörden dazu angehalten, sich einen Überblick über Art, Umfang und Wesentlichkeit des operationellen Risikos zu verschaffen. Zur Erhebung von Art und Umfang sind durch die Aufsichtsbehörden sowohl Verluste aus Schäden von geringem Ausmaß mit hoher Eintrittswahrscheinlichkeit sowie Schäden von hohen Ausmaß mit geringer Eintrittswahrscheinlichkeit abzugrenzen und Risikopotentiale und -verluste aus den identifizierten Risikotreibern zukunftsgerichtet zu schätzen. Die Wesentlichkeit von operationellen Risiken für das jeweilige Institut sollte gemäß der SREP-Richtlinie vorzugsweise unter Nutzung von Informationen aus der Schadensfalldatenbank oder anderweitiger fortgeschrittener Messverfahren erfolgen. Ergänzend werden auch Peer Group Vergleiche angeführt.

Darüber hinaus sind durch die Aufsichtsbehörden weitere besondere Unterkategorien operationeller Risiken zu untersuchen, wie die Conduct-Risiken (Verhaltensrisiken), Risiken im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologie (ICT-Risiken) sowie Modellrisiken[1].

Reputationsrisiken als Sonderausprägung operationeller Risiken

Die Überprüfung umfasst neben dem inhärenten operationellen Risiko auch Reputationsrisiken auf Basis qualitativer Indikatoren, u.a.

  • Anzahl der Sanktionen von Aufsichtsbehörden,
  • Medienkampagnen und Kundeninitiativen gegenüber dem jeweiligen Institut mit Auswirkungen auf das öffentliche Bild bzw. die öffentliche Meinung,
  • Negative Ereignisse bei relevanten Peers mit möglichem Effekt auf das jeweilige Institut.

Operationelles Risikomanagement

Bestandteil der aufsichtsrechtlichen Überprüfung werden letztlich auch die implementierten Prozesse zur Steuerung des operationellen Risikos sein.

Nach Vorgaben der europäischen Bankenaufsicht ist bei der Niederlegung der Risikostrategie und des Risikoappetits auf eine klare, übersichtliche und zukunftsgerichtete Darstellung zu achten. Rahmenwerke zu operationellen Risiken sollten strukturiert und vollständig (unter Berücksichtigung aller Aktivitäten, Prozesse und Systeme des Institutes) sein, klare Verantwortlichkeiten benennen und einer unabhängigen Überwachung unterliegen. Alle Elemente des Risikomanagements, insbesondere die Darstellung von Zusammenhängen sowie genutzter Methoden und Techniken, sollten über Richtlinien und Anweisungen nachvollziehbar dokumentiert sein. Der etablierte Risikomanagementkreislauf aus Identifizierung, Messung, Steuerung, Überwachung und Reporting sollte neben prozessualen Vorgaben die Bestimmung von externen und internen Kapitalbedarfen, Stresstests und definierte KPIs zur Risikoüberwachung umfassen. Die Mitarbeiter sollten zudem ein Verständnis der den Modellen und Methoden zugrundeliegenden Annahmen besitzen und sich möglicher Modellrisiken bewusst sein. Dabei werden Modellrisiken gemäß der SREP-Richtlinie einerseits als das Verlustrisiko aus der unsachgemäßen Bedienung oder Implementierung sowie andererseits als das Risiko der Risikounterschätzung verstanden.

Für mögliche operationelle Notfälle hat das Institut entsprechende Notfallpläne sowie -prozesse und ein internes Kontrollrahmenwerk zur Vermeidung oder Verminderung operationeller Risiken zu definieren.

Zum Management von Sonderformen des operationellen Risikos, in Form von Reputationsrisiken, adressiert die SREP-Richtlinie ebenfalls eine klare Erwartungshaltung: Je nach Art und Umfang der Reputationsrisiken sollten Institute hierzu Richtlinien und Anweisungen besitzen sowie Kommunikationswege festlegen. Möglicherweise kann es sogar erforderlich sein, für Reputationsrisiken Risikokapital zu reservieren oder Stresstests bzw.
-szenarien zur Beurteilung nachgelagerter Effekte auf die Ertrags- und Liquiditäts- bzw. Refinanzierungssituation durchzuführen.

Die Anforderungen an das OpRisk-Management von Instituten sind auch in den „Mindestanforderungen an das Risikomanagement“ (MaRisk 2012)[2] adressiert sowie durch internationale Veröffentlichungen[3] ergänzt. Über die SREP-Richtlinie erfolgt zum einen die Konkretisierung des Umfangs sowie expliziter Inhalte der Beurteilung des OpRisk-Managements; u.a. werden die Anforderungen an das Business Continuity Management übergreifend dargestellt, die Definition von Kommunikationswegen wird mehrfach betont und die Erwartungshaltung an das Risikomanagement von Reputationsrisiken wird benannt. Ferner ist die spezifische Adressierung besonderer Ausprägungen von operationellen Risiken in Form von Conduct-, ICT-, Modell- und Reputationsrisiken hervorzuheben.

Eine stringente Ableitung des Risikoprofils kann zu einer zeitlichen und finanziellen Entlastung der Institute im Rahmen einer späteren (aufsichtsrechtlichen) Prüfung führen.

Im Rahmen der Beurteilung der operationellen Risiken von Instituten werden über die SREP-Richtlinie klare Anforderungen an Aufsichtsbehörden gestellt. Insbesondere dem Preliminary Assessment bzw. der Beurteilung von Art, Umfang und Wesentlichkeit operationeller Risiken sollten die Institute eine besondere Aufmerksamkeit widmen. Institute, die bereits im Vorfeld die Unwesentlichkeit bestimmter operationeller Risikoausprägungen bzw. die unter Risikogesichtspunkten bestehende Angemessenheit der angewendeten Verfahren und Methoden stringent und strukturiert darlegen können, ersparen sich ggf. umfangreiche Diskussionen oder Datenerhebungen. In diesem Sinne empfiehlt es sich eine operationelle Risikostrategie sowie den operationellen Risikoappetit des Instituts klar und konsistent unter Berücksichtigung der angewandten Risikominderungstechniken sowie der ökonomischen und betriebswirtschaftlichen Zusammenhängen herzuleiten. Zusätzlich sollten Institute in diesem Kontext auch KPIs zur Steuerung und Überwachung der operationellen Risiken ableiten, eindeutige Eskalations- und Kommunikationswege definieren sowie ggf. Peer Group Vergleiche vornehmen. Insgesamt können Institute über diesen Weg eine Transparenz gegenüber den Aufsichtsbehörden schaffen sowie die Reaktionsfähigkeit des operationellen Risikomanagements erhöhen.

Den Instituten ist des Weiteren zu empfehlen, die durch die SREP Richtlinie adressierten Risiken und die explizit angesprochenen Assessment-Bestandteile für sich durchzugehen und deren Relevanz für das eigene Institut darzulegen. Zudem wird auch die Allokation von Risikokapital sowie die Durchführung von Stresstests für Reputationsrisiken die Branche vor weitere Herausforderungen stellen.

SREP - operationelle Risiken

[1] CRR – Regulation (EU) 575/2013 on prudential requirements for credit institutions and investment firms (Veröffentlichung: 26. Juni 2013)

[2] BTR 4 Operationelle Risiken; AT 7.3 Notfallkonzept; AT 9 Outsourcing

[3] Basel Committee on Banking Supervision “Principles for the Sound Management of Operational Risk”, Juni 2011 sowie auch “Regulatory Technical Standards on assessment methodologies for the use of AMAs for operational risk”, June 2015

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */