Risikomanagement

OpRisk: EBA lässt nicht mit sich spaßen

Das operationelle Risiko rückt immer stärker ins Auge der Aufsicht. Worauf müssen sich die Institute einstellen? Wo liegen die Herausforderungen? Welche IT-Prozesse müssen optimiert werden? Fragen, auf die wir eine Antwort geben.

OpRisk: EBA lässt nicht mit sich spaßen

OpRisk: Im Auge der Aufsicht.
Wer nicht wagt, der nicht gewinnt. Doch wer zu viel wagt, kann auch viel verlieren. Wie die globale Finanzkrise hinreichend gezeigt hat. Seitdem versucht die Europäische Bankenaufsicht (EBA), zu großer Risikofreude einen Riegel vorzuschieben. Das operationelle Risiko (OpRisk) ist dabei in den vergangenen Jahren mehr und mehr in den Fokus gerückt. Das zeigt sich vor allem an der stetigen Überarbeitung der Berechnungsmethoden („Säule 1“/quantitative Anforderungen) sowie durch die zunehmenden Überprüfungsmaßnahmen durch die Bankenaufsicht („Säule 2“/qualitative Anforderungen). Wir zeigen Ihnen, wie sich die operationellen Risiken einschätzen und reduzieren lassen.
 
Was sind operationelle Risiken?
Der Basler Ausschuss für Bankenaufsicht definiert operationelle Risiken als Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen und Systemen oder durch externe Ereignisse verursacht werden, einschließlich der Rechtsrisiken.
 

Die regulatorische Entwicklung

Säule 1: Mit der Einführung von Basel II im Jahre 2007 galten die Anforderungen an das Eigenkapital nicht nur für Markt- und Kreditrisiken, sondern auch für operationelle Risiken. In der Säule 1 wurden die Möglichkeiten zur Berechnung von OpRisk vorgegeben: der einfache Basisindikatoransatz (BIA), der ebenfalls einfache Standardansatz (STA) sowie der fortschrittliche Advanced Measurement Approach (AMA).
Die Überarbeitung der Säule 1 durch BCBS 291 ergibt einen neuen Ansatz zur Berechnung von OpRisk. Der BIA wird abgeschafft, der STA überarbeitet. Letztendlich führt dies zu höheren regulatorischen Anforderungen an das Eigenkapital für OpRisk.

Säule 2: Mit Basel II mussten für den bankenaufsichtlichen Überprüfungsprozess (Säule 2) zwei Fragen beantwortet werden: Verfügen Banken über angemessene Verfahren, um abschätzen zu können, ob die Eigenkapitalausstattung im Verhältnis zum Risikoprofil ausreichend ist? Und welche Anforderungen ergeben sich für die Aufsicht? Die Vorgaben von Basel II wurden durch MaRisk ins deutsche Recht übertragen.
Die Überarbeitung der Säule 2 im aktuellen „Supervisory Review and Evaluation Process“ (SREP) führt zu einem ganzheitlichen Ansatz. Überprüft werden die Tragfähigkeit und Nachhaltigkeit des Geschäftsmodells sowie die strategischen Risiken - zusätzlich zu den Governance- und Kontrollprozessen, der Kapitalisierung und der Liquiditätsrisiken.
 
Institute werden eingestuft nach ihrer Systemrelevanz, und entsprechend der Einstufung variieren die zeitlichen Abstände zwischen den Prüfungen. Jede Komponente wird mit einem Scoring-System bewertetet. Die Scores reichen dabei von 1 (kein erkennbares Risiko) bis 4 (hohes Risiko). Das Ziel: Indikation der Überlebensfähigkeit, Notwendigkeit von Aufsichtsmaßnahmen oder Frühinterventionsmaßnahmen.
 
OpRisk wird im Vergleich zu MaRisk konkretisiert - auf Grund expliziter Berücksichtigung von Reputationsrisiken, Verhaltensrisiken sowie IT- und Modellrisiken. So beziehen sich Teilscores auf die Beurteilung des operationellen Risikos. Sie bestehen aus zwei Komponenten: Beurteilung des inhärenten Risikogehalts (Identifikation von potenziellen Risiken anhand von Informationen etwa über Compliance-Verstöße, zur Realisierbarkeit von Geschäftsplanungen und der Komplexität der IT-Landschaft) und Würdigung der Steuerungs-, Bewertungs- und Kontrollverfahren (Risikoidentifikation, -bewertung, -überwachung, -berichterstattung).

Anforderungen an die Institute
Mit SREP verändern sich die regulatorischen Anforderungen. Es werden mehr Meldeinhalte verlangt - die Menge der einzureichenden Daten nimmt also zu. Statt Gesamtdaten werden Einzeldaten verlangt, so dass die Aggregation nicht mehr innerhalb der Institute, sondern mehr und mehr durch die Aufsicht erfolgt. Außerdem muss die Umsetzung regulatorischer Anforderungen innerhalb kürzester Zeit erfolgen, das heißt, der Zeitraum von der Ankündigung einer regulatorischen Vorgabe bis hin zur erforderlichen Umsetzung wird stetig kürzer.
 
Um ein flexibles, fehlerfreies und zeitnahes Reporting zu gewährleisten, steht die IT vor neuen Herausforderungen. Auch in Anbetracht der zukünftig mehr und mehr automatisierten Fehlerüberprüfung seitens der Aufsicht, wodurch Institute entweder fehlerfreie Reports liefern oder aber in der Lage sein sollten, diese schnell ausfindig zu machen.
 
Die IT-Anforderungen im Detail

  • IT-Infrastruktur: Risikotransparenz über die IT-Systemlandschaft, zentrale IT-Strategie mit entsprechenden Anwendungen und Systemen
  • System- und Datensicherheit: Schutz gegen Verlust (Verfügbarkeit), unberechtigte Veränderung (Integrität), unberechtigte Kenntnisnahme (Vertraulichkeit), Einführung von Sicherheits- und Kontrollmechanismen, Implementierung von Prozessen zur Kontrolle des Rollenmodells, effiziente Benutzerverwaltung 


Was bietet CGI?

  • Ermittlung der aktuellen und zukünftig relevanten regulatorischen Anforderungen
  • GAP-Analyse: Was muss gemacht werden, um auch in Zukunft compliant zu sein?
  • Unterstützung bei der Umsetzung der Anforderungen – sowohl auf fachlicher als auch auf technischer Ebene
  • Optimierung der IT-Prozesse, um ein fehlerfreies und pünktliches Reporting zu garantieren
  • Erfüllung der regulatorischen Auflagen und Reduzierung des operationellen Risikos

Artikel empfehlen:

01.10.2015
Kategorien:
Ausgabe 13 - 2015
Risk & Compliance

Schlüsselwörter
Risikomanagement

Aktuelles von Experten für Experten