Strategic Advisory

Operational Risk Management

Dank Operational Resilience im Aufwind – Neuer Standardansatz kommt näher


Durch die Corona-Pandemie hat das Thema Operational Risk schmerzlich in den Alltag der Menschen Einzug gehalten. Aus Sicht der OpRisk-Methoden wurde das Szenario „Pandemie“ zu einem gelebten Verlustereignis. Die BIS hat dies zum Anlass genommen, unter der Überschrift Operational Resilience eine Verzahnung der NFR-involvierten Einheiten einer Bank zu beschleunigen und zu formalisieren. Flankiert wird dies durch neue ‚Sound Principles‘ und einen Joint Report der Aufsichtsbehörden EBA / ESMA und EIOPA. 

„Operational Resilience beschreibt die Fähigkeit, wichtige Geschäftsabläufe trotz signifikanter Unterbrechungen aufrechtzuerhalten.“

Diese Fähigkeit versetzt eine Bank in die Lage, Bedrohungen und potenzielle Ausfälle zu erkennen, sich davor zu schützen, auf störende Ereignisse zu reagieren und sich darauf einzustellen sowie sich von ihnen zu erholen und daraus zu lernen. Dies alles erfolgt zu dem Zweck, die Auswirkungen auf die Durchführung unternehmenskritischer Geschäftsprozesse durch Bedrohungen zu minimieren.
Was bereits in Großbritannien Realität ist, wird in Deutschland mit hoher Wahrscheinlichkeit in naher Zukunft ebenso umgesetzt werden. So ist von den Behörden in Großbritannien eine verbindliche Umsetzung von OpResilience bis zur zweiten Jahreshälfte 2021 vorgesehen.

Die Prinzipien von Operational Resilience

Operational Resilience beschreibt einen Top-Down Ansatz, welcher mit Hilfe von konventionellen Risikomanagement-Methoden eingeführt wird und der das Ziel verfolgt, die Widerstandsfähigkeit eines Instituts zu stärken. 

Das Prinzip "Governance" fokussiert sich besonders auf die Definition, die Einführung sowie das Monitoring von Operational Resilience durch das Board of Management sowie das Senior Management.

"OpRisk-Management" macht deutlich, dass ein effizientes Risikomanagement fundamental für die Einführung von Operational Resilience ist. Dieses Prinzip beschreibt u.a. die bereichsübergreifende Zusammenarbeit, ein verbessertes Change-Management sowie die Erkennung von Gefahren und Schwachstellen.

Das Prinzip "Business Continuity – Planning & Testing" enthält weitaus mehr, als man anfangs vermuten mag. So sollte ein Notfall-Plan beispielsweise eine ‚Recovery-Strategie‘, einen Kommunikationsplan, einen Krisenplan aber auch ein ausgearbeitetes ‚Disaster Recovery Framework‘ enthalten.

"Mapping von Verflechtungen & Abhängigkeiten" hebt besonders die Signifikanz einer granularen Identifikation von Abhängigkeiten und Verflechtungen hervor, damit diese auch möglichst realitätstreu eingearbeitet werden können. Besonders die Fähigkeit im vorgegebenen Risikotoleranzbereich zu bleiben, ist von einer akkuraten Identifikation abhängig.

Ein weiteres Prinzip beschreibt die "Abhängigkeit zu Dritten". Hier wird insbesondere das Outsourcing thematisiert. Dieses Prinzip unterstreicht die Bedeutsamkeit eines durchdachten ‚Business Contingency & Continuity – Plans‘, einer Ausstiegsstrategie aber auch der Analyse der Gegenpartei in Bezug auf Notfallpläne.

"Störungsmanagement" beschreibt fundamentale Schritte zum effizienten Umgang mit Störfällen. So sind unter anderem die Identifikation und Klassifizierung von Störungen, aber auch der Aufbau eines Inventars an Antworten wichtig, um Störungen effektiv bekämpfen zu können.

Das Prinzip der "IT-Sicherheit" gewinnt immer mehr an Bedeutung. Eine Cyber-Risk Strategie ist heutzutage von essenzieller Bedeutung. Auch muss eine Identifizierung von kritischen Prozessen stattfinden und der Sicherheit der Remote-Zugriffe vermehrt Beachtung geschenkt werden.

 

Mehr Sicherheit – Weniger Risiko

 

Die SKS-Gruppe unterstützt Sie bei der Implementierung der Prinzipien mit Hilfe von Best-Practice-Methoden und leistet so den effizienten Aufbau eines Operational Resilience-Rahmenwerkes, um die Widerstandsfähigkeit Ihres Instituts für zukünftige Ereignisse deutlich zu erhöhen. 

 

 

Etablierung eines Operational Risk Rahmenwerkes

 

Unabhängig vom neuen Standardansatz im Operational Risk gilt auch weiterhin, dass die bewährten Methoden des OpRisk-Managements im Sinne einer Best Practice – unter Berücksichtigung des Proportionalitätsprinzips – in einem Institut Anwendung finden sollten. 

Das bedeutet, dass insbesondere die folgenden Instrumente eingesetzt werden sollten:

  • Implementierung einer effizienten Three-Lines-of-Defence Aufbauorganisation mit einer lebenden Operational Risk Kultur inklusive umfangreicher Schulungsmaßnahmen
  • Auf dieser Basis Aufbau einer vollumfänglichen und konsistenten Verlustdatensammlung
  • Durchführung regelmäßiger Risk Assessments 
  • Einführung funktionierender Frühwarnindikatoren 
  • Einführung von Szenarioanalysen und Berücksichtigung externer Verlustereignisse 

Dies sichert eine revisionssichere Umsetzung für die Bank und hilft mittelfristig durch ein effizientes OpRisk-Management Verluste zu vermeiden und damit Kosten zu reduzieren. 
Im Rahmen eines Best Practice OpRisk-Managements empfiehlt SKS die Analyse externer Verlustdaten. Hierfür könnten z.B. das Datenkonsortium Dakor in Verbindung mit dem Datendienst ÖffSchor der VÖB-Service GmbH genutzt werden.

 

Vollumfänglicher Lösungsansatz durch Softwareimplementierung

 

Die SKS Gruppe besitzt mit ihrer Tochter interexa AG sowohl das fachliche Know-how als auch mit der Software Operational Risk Center (ORC) die entsprechende Software-Lösung für alle wesentlichen OpRisk-Methoden.

Die Anforderungen an den Aufbau einer Verlustdatensammlung werden durch den neuen Standardansatz tendenziell – insbesondere für kleine / mittlere Banken – steigen. Es ist somit wichtig, dass Institute frühzeitig anfangen eine Datenhistorie mit hohen Qualitätsstandards aufzubauen, auch wenn bei geringerer Datenverfügbarkeit in den ersten Jahren ein kürzerer Zeitraum als 10 Jahre in Betracht gezogen werden darf. Zu beachten ist, dass an die Verlustdaten hohe qualitative Anforderungen (z.B. Buchungslogik) formuliert wurden, die auch bereits von Instituten im Bucket 2 einzuhalten sind. 

SKS hat bereits einige Banken (insbesondere AMA-Institute, aber auch in Kooperation mit der interexa AG) erfolgreich bei der Implementierung eines OpRisk-Rahmenwerks unterstützt bzw. dieses gemäß dem aktuellen Stand der Regulatorik und dem Geschäftsmodell der jeweiligen Bank weiterentwickelt.

 

Key Facts:

 

  • Ausrichtung des ORM (Operational Risk Management) Zyklus an der Geschäftsstrategie 
  • Implementierung der Szenarioanalyse auf Basis der Ergebnisse der Risk Self Assessments
  • Fortlaufende Initiativen, um die Qualität der Verlustdatensammlung zu erhöhen
  • Jährlicher Zeitplan (Beispiel):
    • Self Assessment - Q1
    • Szenarioanalyse - Q2
    • Frühwarnindikatoren - Q3
    • OpRisk Strategie - Q3/Q4
    • Maßnahmenumsetzung: laufend

Ansprechpartner

Dr. Volker Gehrmann

Senior Manager Strategic Advisory

Dr. Volker Gehrmann verfügt über 15 Jahre Berufserfahrung in der Risikofunktion bei Kreditinstituten. Zu seinen Schwerpunkten gehören u.a. die Themen Operational Risk / NFR, IKS, Ökonomisches Kapital inkl. Risikotragfähigkeit und Kreditderivate. Weitere Tätigkeiten umfassten die Weiterentwicklung der Ausgestaltung einer MaRisk-Compliance-Funktion inkl. der Etablierung eines Legal Inventory, eines Verfahrens für die Wesentlichkeitsprüfung und Anwendungsfälle der Methodik der Künstlichen Intelligenz. Herr Dr. Gehrmann ist Autor von Fachbeiträgen zu Kreditderivaten, Verbriefungen, Ökonomischem Kapital, der Kreditrisikolimitierung und der MaRisk-Compliance.

Kontaktformular