Analyse der operationellen Risiken durch den Einsatz individueller Datenverarbeitung in Kreditinstituten

Diplomarbeit von Fabian Kurz

Einleitung:

Vor dem Hintergrund der Terroranschläge auf das New Yorker Finanzzentrum am 11. September 2001 sind operationelle Risiken stärker in den Fokus der Risikoanalysten gerückt, da diese hohen negativen Einfluss auf die Liquidität des internationalen Bankensystems feststellten. Deutlich wurde dieses Risiko auch bei den Angriffen auf die Londoner Untergrundbahn am 07. Juli 2005. Operationelle Risiken sind erst jetzt zur zweitwichtigsten Risikokategorie nach dem Kreditrisiko avanciert, obwohl sie unmittelbar mit der Gründung von Kreditinstituten entstehen und noch vor Markt- oder Kreditrisiken existent sind. Sie fassen neben Risiken aus externen Ereignissen auch Prozess-, Personen- und Systemrisiken zusammen, denen auch aus Informationstechnologie (IT) hervorgehende Gefahren zuzuordnen sind. Die zunehmende Bedeutung der IT in Kreditinstituten erhöht gleichzeitig damit verbundene operationelle Risiken.

Da durch verstärkten Wettbewerbsdruck auch die Kreditinstitute gezwungen sind, schneller mit neuen Produkten an den Markt zu gehen, wird im Bereich von Finanzinnovationen – zeit- und kostenbedingt – verstärkt auf professionelle Softwareentwicklung zugunsten individueller Softwarelösungen verzichtet. Diese individuelle Datenverarbeitung (IDV) kann Schwächen der professionellen Variante ausgleichen und stellt eine wichtige Komponente für die Befriedigung individueller Informationsbedürfnisse dar. Stetig komplexer werdende Finanzstrukturen, zunehmende Volumina derivativer Finanzprodukte und die durch internationale Vernetzung der Finanzmärkte ansteigende Schwankung der Marktparameter (Volatilität) erfordern einen verantwortungsvollen und bewussten Risikoumgang. Da gerade in diesen Bereichen dem Einsatz von IDV eine besondere Bedeutung zukommt, sind die hieraus entstehenden operationellen Risiken speziell vor dem Hintergrund der Eigenkapitalanforderungen aus Basel II zu analysieren. Auch IT-Risiken müssen ab Inkrafttreten der Verordnungen des BASEL COMMITTEE OF BANKING SUPERVISION Ende des Jahres 2006 mit Eigenkapital unterlegt werden. Dies führt dazu, dass der Einsatz eines diesbezüglich gut funktionierenden Risikomanagements einen direkten Wettbewerbsvorteil darstellt.

Während die Aufmerksamkeit bereits auf die professionelle Softwareentwicklung gerichtet ist, die einen Teil der IT-Risiken darstellt, steht die Betrachtung der Risiken aus IDV gänzlich am Anfang und ist bisher literarisch nicht behandelt worden. Die Analyse dieser sensiblen Unternehmensdaten stellt demnach eine hohe Herausforderung vor aktuellem Hintergrund dar und verbindet sowohl technische als auch fachliche Aspekte. Risiken managen heißt auch gleichzeitig Chancen managen. Die Untersuchung positiver Effekte der IDV gegenüber professioneller Datenverarbeitung erfolgt in dieser Arbeit sekundär, sollte aber in weitere Überlegungen einbezogen werden.

Ziel der vorliegenden Arbeit ist es, einen Vorstoß in die komplexe und aktuelle Thematik der operationellen Risiken aus dem Einsatz von IDV zu wagen und durch Aufzeigen potentieller Gefahren das Risikobewusstsein der Mitarbeiter in den Fachbereichen, den EDV-Bereichen, der Revision und den Führungsebenen zu schaffen, um das aktive Managen dieser Risikoart zu ermöglichen. Es wird nicht der Anspruch auf eine allgemeingültige Bewertung und Eliminierung der operationellen Risiken aus dem Einsatz von IDV erhoben, die direkt in bereits vorhandene Überlegungen vor dem Hintergrund von Basel II übernommen werden können. Vielmehr sollen Wege zur Identifikation und Bewertung von IDV und abhängigen Risiken in Kreditinstituten eröffnet werden, die eine Grundlage für weitere hierauf ausgerichtete Untersuchungen und Maßnahmen darstellen.

Hierzu werden in Abschnitt 2 der Arbeit die Themenbereiche der operationellen Risiken, deren Einordnung in den Risikomanagementprozess und die Ableitung der Begrifflichkeiten für Kreditinstitute behandelt. Es erfolgt zunächst eine differenzierte Betrachtung operationeller Risiken durch die Aufspaltung in Prozess-, Personen- und Systemrisiken sowie in Risiken aus externen Ereignissen, die in einen Gesamtzusammenhang mit Markt- und Kreditrisiken gebracht werden. Anschließend werden mehrere theoretische und praktische Methoden zur Identifikation vorgestellt, die sich anhand ihrer Zielrichtung unterscheiden. Die darauf folgende Darstellung zur Quantifizierung operationeller Risiken beschäftigt sich schwerpunktmäßig mit mathematischen Modellen, die eine Trennung in Verlusthäufigkeit und Verlusthöhe vornehmen, um daraus den Value at Risk (VaR) zu berechnen.

Abschnitt 3 geht auf den Begriff der IDV ein und nimmt eine Abgrenzung von Softwareentwicklungen durch externe Dienstleister zu entsprechenden Entwicklungen durch den Fachbereich vor. Anschließend werden die Gründe für den Einsatz von IDV in Kreditinstituten ermittelt und durch Beispiele erläutert.

Die Erkenntnisse aus den beiden vorherigen Abschnitten werden in einer die IDV betreffenden Risikobetrachtung in Abschnitt 4 zusammengeführt. Zuerst erfolgt die Darstellung aus IDV entstehender Risiken, die sich sowohl an technischen als auch fachlichen Aspekten orientiert. Danach werden die in Abschnitt 2 vorgestellten Methoden zur Identifikation auf die IDV und ihre Risiken angewendet. Anschließend werden die aus den Risiken möglicherweise resultierenden Auswirkungen ermittelt und Instrumente einer quantitativen und qualitativen Analyse angewendet, die einen Weg zur Bewertung von Risiken aus IDV aufzeigen. Abschließend wird in diesem Abschnitt die Einordnung vorgestellter Methoden in den Managementprozess vorgenommen.

Abschnitt 5 fasst die gewonnenen Kenntnisse in einem abschließenden Fazit zusammen und skizziert mögliche Fragestellungen für die weitere Betrachtung des Themas um Risiken aus dem Einsatz von IDV in Kreditinstituten.

Inhaltsverzeichnis: