Immer neue Risikoeinschätzungen

Die verantwortlichen „Übeltäter“ für die Zunahme der zahlreichen Risikobetrachtungen sind verschiedene gesetzliche und aufsichtliche Anforderungen, die sich unter anderem aus dem KWG, den MaRisk oder den BAIT ergeben.

Betrachten wir ein brandaktuelles Thema, das durch RiMaGo abgebildet wird – die Risikoermittlung des Dienstleistungsbezugs. Verträge sollen durch einen standardisierten Fragenkatalog abgegrenzt werden, um diese einem Auslagerungstypen zuordnen zu können. In einer Risikobetrachtung sollen Auslagerungen oder sonstige Fremdbezüge gemäß ihren zugrundeliegenden Leistungen genauer betrachtet werden, um deren Wesentlichkeit zu beurteilen. In Abhängigkeit von diesem Ergebnis werden dann noch eine Szenarioanalyse und – sofern IT im Spiel ist – eine Bewertung von IT-Risiken notwendig.

Kurzum: Ein in vergangenen Zeiten simpler Vertragsabschluss auf Basis zweier übereinstimmender Willenserklärungen gestaltet sich deutlich aufwändiger durch verschiedene Risikobetrachtungen und deren Dokumentationen. Oftmals scheint dies unnötig und irrelevant, aber diese Vorgehensweise ist ein wesentlicher Bestandteil der Risikosteuerung.

In der Abbildung sind die abgedeckten Ursachenkategorien des operationellen Risikos dargestellt. Um die entsprechenden Risiken sachgerecht steuern zu können, bedarf es einer tieferen Analyse der zugrundeliegenden Objekte, wie beispielsweise der Verträge. Ziel ist es, die damit verbundenen Risiken zu identifizieren, zu steuern und zu überwachen, um sie auf einem akzeptablen Level zu halten sowie bei Eintritt eines Schadensfalls handlungsfähig zu bleiben. Ohne Umsetzung dieses Standardverfahrens würde kaum eine einheitliche und systematische Diskussion dieser Risiken erfolgen.

Betrachten wir nun eine Risikobewertung im Rahmen des PPS-IKS. Während die eben vorgestellten Anforderungen des AT 9 der MaRisk eher auf eine qualitative Analyse abzielen, verlangt die Auseinandersetzung mit dem prozessorientierten PPS-IKS eine Einwertung des realistischen Maximalverlusts und der Eintrittshäufigkeit. Prozessbezogen richtet sich der Blick auf die vier Risikokategorien „Unsachgemäße Beratung / Unautorisierte Handlung / Bearbeitungsfehler / Kriminelle Handlung“. Zunächst wird der Prozess ohne risikoreduzierende Maßnahmen betrachtet und eingestuft.

Dabei sind zwei Fragen von zentraler Bedeutung:

  1. Wie hoch ist ein realistischer Schaden durch das eintretende Risiko im schlimmsten Fall?
  2. Wie oft hat der Eintritt des Risikos tatsächlich zu einem Schaden geführt?

Die Einwertung dieser Parameter erfolgt auf Basis hausindividueller Bandbreiten, deren Festlegung als Maß des „Risikoappetits“ gesehen werden kann. Beginnen wesentliche Schäden bei der einen Sparkasse bei zehn Millionen Euro, wird diese Schwelle bei anderen Instituten bereits bei zwei Millionen Euro erreicht. Nun bleibt aber auch hier die Frage: Was nützt diese Einwertung? Im Ergebnis dieser Einwertung wird eine Risikoklasse des Prozesses ermittelt. Diese wiederum ist eine Orientierung für die Ableitung risikoreduzierender Maßnahmen, beispielsweise Art und Umfang von Kontrollhandlungen. Während Risiken der Klasse-A-Prozesse mit einer risikoreduzierenden Maßnahme unterlegt werden, sollte bei Prozessen der Klasse D durchaus auf risikoreduzierende Maßnahmen verzichtet werden.

Das sind nur zwei Beispiele aus dem Arbeitsalltag, die eine Einwertung operationeller Risiken vornehmen. Man bedenke, dass es darüber hinaus noch weitere Ansätze gibt: beispielsweise die aus dem Beauftragtenwesen kommende Szenariobetrachtung operationeller Risiken im Risikomanagement oder aber die Risikobetrachtung der Revision im Rahmen der Prüfungsplanung. An verschiedenen Stellen des Hauses werden ähnliche Analysehandlungen durchgeführt – oftmals nicht miteinander abgestimmt. Abgesehen von relativ hohen personellen Belastungen kann dies auch zu unterschiedlichen Ergebnissen führen, mitunter ohne, dass es jemand bemerkt.

Wie sieht es bei Ihnen aus? Sind die verschiedenen Ansätze zur Betrachtung operationeller Risiken miteinander verzahnt? Sind etwaige Parametrisierungen aufeinander abgestimmt? Erfolgt ein systematischer Austausch der Ergebnisse?

Neben der Sicherstellung einer einheitlich hohen Qualität sollte auch eine effiziente Umsetzung dieser Aufgaben im Fokus stehen. Bei Fragen zu einzelnen Instrumenten oder aber einer ganzheitlichen Optimierung unterstützen wir Sie gerne.

Sprechen Sie uns gerne an – wir freuen uns auf Sie!