Risikomanagement ist eine Kernkompetenz der Banken, welche stetig weiterentwickelt und verfeinert wird. Bei Markt- und Kreditrisiken ist der Anreiz zur Perfektionierung der Konzepte durch den Druck des Marktes sowie regulatorische Auflagen (Basel II) zwangsläufig gegeben. Das Eingehen von Markt- und Kreditrisiken ist unmittelbar mit dem Geschäft und damit mit der Einschätzung der zukünftigen Marktsituation verbunden. Je besser dies gelingt, desto grösser sind die Erfolgsaussichten.
IT-Systeme, welche Markt- oder Kreditrisiken adäquat bewirtschaften können, sind deshalb für jede Bank unverzichtbar, ihr Mehrwert ist somit unbestritten. Die grosse Herausforderung für die Banken besteht jedoch darin, die sich permanent ändernde Marktsituation und die zunehmende Komplexität der Produktlandschaft im IT-Risikosystem zu modellieren. Für die Bank entsteht ein zusätzlicher Mehrwert, wenn es ihr gelingt, die Markt- und Produktentwicklung im IT-System realistischer abzubilden, als die Konkurrenz das kann.
Modell mit Restrisiko
Die aktuelle Situation am Kreditmarkt führt eindrücklich vor Augen, wie schwierig es ist, die Gegebenheiten am Markt in einem IT-System zu modellieren. Unabhängig davon, wie viel in ein solches System investiert wird –, kann die Zukunft nur mit einer gewissen Wahrscheinlichkeit eingeschätzt werden, d.h. ein Restrisiko bleibt stets. Kritisch ist auch der Umstand, dass die Abhängigkeit von einem IT-Risikosystem zunimmt und oftmals zu grosses Vertrauen in das System gesetzt wird. Seine Voraussagekraft wird tendenziell überschätzt, denn es basiert ja auf einem Modell mit zahlreichen, fest vorgegebenen Grundparametern. Es besteht also immer ein Modellrisiko.
Bei operationellen Risiken ist der Anreiz für eine umfassende Bewirtschaftung wesentlich geringer, da sie in den allermeisten Fällen Verluste bzw. Mindererträge generieren. Ihnen fehlt der unmittelbare Zusammenhang zwischen Risiko und Ertrag, d.h. ein Mehr an operationellen Risiken bedeutet in der Regel kein Mehr an Ertragschancen. Den Anstoss zur systematischen Bewirtschaftung solcher Risiken geben oftmals signifikante Verlustereignisse oder regulatorische Auflagen. Die Bewirtschaftungsstrategie konzentriert sich meist auf eine Verminderung der operationellen Risiken und greift auf altbekannte Methoden zurück wie Qualitätsmanagement, Limitensysteme und Sicherheitsvorkehrungen.
Ein IT-System, das operationelle Risiken bewirtschaftet, muss sehr vielseitig sein. Grundsätzlich umfasst es alle Bereiche einer Bank und trägt die relevanten Risikoinformationen systematisch zusammen. Zu einem umfassenden System gehören Verlustdatensammlung, Risiko-Assessment, Indikatorenanalyse sowie Massnahmenüberwachung. Diese werden oft durch einen Workflow und ein Quantifizierungsmodell ergänzt.
Der Mehrwert eines solchen Systems liegt vor allem darin, dass die Bank ihre operationellen Risiken systematisch einschätzt und ihre betrieblichen Schwächen aufdecken kann. Denn nach wie vor haben die wenigsten Banken eine klare Vorstellung von der effektiven Höhe ihrer operationellen Risiken. Ein operationelles Risikosystem schafft hier Transparenz. Ferner kann die Bank gezielt Massnahmen zur Risikoverminderung und -optimierung ergreifen, indem Prozessabläufe und Kontrollmechanismen im System integriert werden. Ein weiterer Pluspunkt ist die Tatsache, dass das Bewusstsein der Mitarbeiter für operationelle Risiken signifikant steigt. Dies ist vor allem bei der Umsetzung von risikomindernden Massnahmen förderlich und verhilft oft zu einer Optimierung der Arbeitsabläufe.
Verschmelzung von Initiativen
In jüngster Zeit zeichnet sich ein Trend zur Integration von verschiedenen Initiativen wie z.B. Internes Kontrollsystem (IKS), IT-Risk, Compliance und Business Continuity Management (BCM) ab. Dabei soll eine Verschmelzung dieser Initiativen – allen voran die Kombination operationelles Risikomanagement plus Internes Kontrollsystem – zur Vermeidung von Doppelspurigkeiten und mehr Effizienz führen. Auch hier generiert ein operationelles Risikosystem einen Mehrwert: Es erlaubt nämlich eine systematische Erfassung der Kontrollen, welche dann in eine direkte Beziehung zu den operationellen Risiken und entsprechenden Massnahmen gestellt werden können.
Pflegeaufwand
Nachteilig wirkt sich indes der umfassende Pflegeaufwand eines solchen IT-Systems aus, welcher vorwiegend in der Aktualisierung der Strukturen und Prozesse begründet ist. Ferner ist die Einschätzung einer künftigen operationellen Risikosituation durch Subjektivität geprägt, und auch in einem operationellen Risikosystem sind Modellrisiken vorhanden.
Was also ist das Fazit aus Sicht einer Bank? Risikospezifische IT-Systeme sind essentiell. Zwar sind sie kosten- und pflegeintensiv, generieren aber nachweislich einen Mehrwert. Dieser ist umso grösser, je mehr sich die Bank in Bezug auf ihre Modellierung von der Konkurrenz abheben kann. Im Trend liegen Standard- und Best-Practice-Lösungen, welche für jede Bank individuell angepasst werden können. Unabhängig vom Investitionsvolumen in Risikosysteme – ein Modellrisiko bleibt stets bestehen.
Risikomanagement ist eine Kernkompetenz der Banken, welche stetig weiterentwickelt und verfeinert wird. Bei Markt- und Kreditrisiken ist der Anreiz zur Perfektionierung der Konzepte durch den Druck des Marktes sowie regulatorische Auflagen (Basel II) zwangsläufig gegeben. Das Eingehen von Markt- und Kreditrisiken ist unmittelbar mit dem Geschäft und damit mit der Einschätzung der zukünftigen Marktsituation verbunden. Je besser dies gelingt, desto grösser sind die Erfolgsaussichten.
IT-Systeme, welche Markt- oder Kreditrisiken adäquat bewirtschaften können, sind deshalb für jede Bank unverzichtbar, ihr Mehrwert ist somit unbestritten. Die grosse Herausforderung für die Banken besteht jedoch darin, die sich permanent ändernde Marktsituation und die zunehmende Komplexität der Produktlandschaft im IT-Risikosystem zu modellieren. Für die Bank entsteht ein zusätzlicher Mehrwert, wenn es ihr gelingt, die Markt- und Produktentwicklung im IT-System realistischer abzubilden, als die Konkurrenz das kann.
Modell mit Restrisiko
Die aktuelle Situation am Kreditmarkt führt eindrücklich vor Augen, wie schwierig es ist, die Gegebenheiten am Markt in einem IT-System zu modellieren. Unabhängig davon, wie viel in ein solches System investiert wird – die Zukunft kann nur mit einer gewissen Wahrscheinlichkeit eingeschätzt werden, d.h. ein Restrisiko bleibt stets. Kritisch ist auch der Umstand, dass die Abhängigkeit von einem IT-Risikosystem zunimmt und oftmals zu grosses Vertrauen in das System gesetzt wird. Seine Voraussagekraft wird tendenziell überschätzt, denn es basiert ja auf einem Modell mit zahlreichen, fest vorgegebenen Grundparametern. Es besteht also immer ein Modellrisiko.
Bei operationellen Risiken ist der Anreiz für eine umfassende Bewirtschaftung wesentlich geringer, da sie in den allermeisten Fällen Verluste bzw. Mindererträge generieren. Ihnen fehlt der unmittelbare Zusammenhang zwischen Risiko und Ertrag, d.h. ein Mehr an operationellen Risiken bedeutet in der Regel kein Mehr an Ertragschancen. Den Anstoss zur systematischen Bewirtschaftung solcher Risiken geben oftmals signifikante Verlustereignisse oder regulatorische Auflagen. Die Bewirtschaftungsstrategie konzentriert sich meist auf eine Verminderung der operationellen Risiken und greift auf altbekannte Methoden zurück wie Qualitätsmanagement, Limitensysteme und Sicherheitsvorkehrungen.
Ein IT-System, das operationelle Risiken bewirtschaftet, muss sehr vielseitig sein. Grundsätzlich umfasst es alle Bereiche einer Bank und trägt die relevanten Risikoinformationen systematisch zusammen. Zu einem umfassenden System gehören Verlustdatensammlung, Risiko-Assessment, Indikatorenanalyse sowie Massnahmenüberwachung. Diese werden oft durch einen Workflow und ein Quantifizierungsmodell ergänzt.
Der Mehrwert eines solchen Systems liegt vor allem darin, dass die Bank ihre operationellen Risiken systematisch einschätzt und ihre betrieblichen Schwächen aufdecken kann. Denn nach wie vor haben die wenigsten Banken eine klare Vorstellung von der effektiven Höhe ihrer operationellen Risiken. Ein operationelles Risikosystem schafft hier Transparenz. Ferner kann die Bank gezielt Massnahmen zur Risikoverminderung und -optimierung ergreifen, indem Prozessabläufe und Kontrollmechanismen im System integriert werden. Ein weiterer Pluspunkt ist die Tatsache, dass das Bewusstsein der Mitarbeiter für operationelle Risiken signifikant steigt. Dies ist vor allem bei der Umsetzung von risikomindernden Massnahmen förderlich und verhilft oft zu einer Optimierung der Arbeitsabläufe.
Verschmelzung von Initiativen
In jüngster Zeit zeichnet sich ein Trend zur Integration von verschiedenen Initiativen wie z.B. Internes Kontrollsystem (IKS), IT-Risk, Compliance und Business Continuity Management (BCM) ab. Dabei soll eine Verschmelzung dieser Initiativen – allen voran die Kombination operationelles Risikomanagement plus Internes Kontrollsystem – zur Vermeidung von Doppelspurigkeiten und mehr Effizienz führen. Auch hier generiert ein operationelles Risikosystem einen Mehrwert: Es erlaubt nämlich eine systematische Erfassung der Kontrollen, welche dann in eine direkte Beziehung zu den operationellen Risiken und entsprechenden Massnahmen gestellt werden können.
Nachteilig wirkt sich indes der umfassende Pflegeaufwand eines solchen IT-Systems aus, welcher vorwiegend in der Aktualisierung der Strukturen und Prozesse begründet ist. Ferner ist die Einschätzung einer künftigen operationellen Risikosituation durch Subjektivität geprägt, und auch in einem operationellen Risikosystem sind Modellrisiken vorhanden.
Was also ist das Fazit aus Sicht einer Bank? Risikospezifische IT-Systeme sind essentiell. Zwar sind sie kosten- und pflegeintensiv, generieren aber nachweislich einen Mehrwert. Dieser ist umso grösser, je mehr sich die Bank in Bezug auf ihre Modellierung von der Konkurrenz abheben kann. Im Trend liegen Standard- und Best-Practice-Lösungen, welche für jede Bank individuell angepasst werden können. Unabhängig vom Investitionsvolumen in Risikosysteme – ein Modellrisiko bleibt stets bestehen.
------
Jean Marc Piaz, Dr. oec. publ.,Manager Operational Risk, Comit AG, Zürich