Entwicklung von Systemen zum Management operationeller Risiken

Systeme zum Management operationeller Risiken (ORM Systeme) sind auf vielerlei Arten in Organisationen aufgesetzt worden. In einigen Fällen werden jedoch noch keine optimalen Ergebnisse erzielt, sei es, weil zunächst nur das Ziel verfolgt wurde, regulatorischen Anforderungen möglichst schnell formell zu genügen, sei es, weil die verwendeten Instrumente nicht vollständig sind oder nicht ausreichend gut in bestehende Prozesse oder das Corporate-Governance-System integriert wurden oder die Notwendigkeit und der Nutzen der Aktivitäten zum Management operationeller Risiken noch nicht ausreichend im Unternehmen beworben wurden. Andere Unternehmen planen die vollständige Neuinstallation oder Überholung eines Systems zum Management operationeller Risiken.

Als erster Schritt zur Entwicklung oder Überarbeitung des ORM Systems einer Institution müssen die Grundlagen festgelegt werden.

  • Eine klare Definition, was das Unternehmen als operationelles Risiko ansieht. Diese Definition richtet sich üblicherweise an der im Basel-II-Regelwerk vorgeschlagenen Definition aus, sollte aber auch die Besonderheiten des Unternehmens nicht außer acht lassen.
  • Eine genaue Beschreibung der in der Institution vorliegenden operationellen Risiken, das heißt ein Überblick über die relevanten Ursachen der Risiken und ihrer spezifischen Gewichte. Diese Bechreibung kann zum großen Teil den Ergebnissen eines Risiko-Assessments entnommen werden.
  • Die Klarstellung der Zielsetzungen des ORM Systems – wie soll das ORM System helfen, die operationellen Risiken der Institution zu reduzieren oder einzudämmen? Im Optimalfall können die hier festgelegten Messgrößen mit den im Produktbereich verwendeten Größen zur Erfolgs- oder Kostenmessung verknüpft werden und sowohl zentral als auch regional verwendet werden. Relevante regulatorische Anforderungen sollten in den Zielsetzungen ebenso reflektiert werden.
  • Eine lückenlose Integration in das Corporate Governance-System des Unternehmens, womit Verantwortung, Berichtslinien und grundlegende Strategien für das Management operationeller Risiken festgelegt werden.

Nach Festlegung dieser grundsätzlichen Komponenten können die einzelnen operativen Elemente des ORM Systems entwickelt werden, die sodann unternehmensweit implementiert werden. Die Funktionsweise dieser Elemente zur Identifizierung, Bewertung, Kontrolle, Eindämmung, Überwachung und Dokumentation sowie Kommunikation operationeller Risiken wird in speziellen Policies, Prozessbeschreibungen und Arbeitsplatzbeschreibungen dokumentiert. Es finden sich dort Details zu

  1. Risiko-Assessments operationeller Risiken
  2. Genehmigung neuer Instrumente / Produkte / Märkte
  3. Schlüsselindikatoren zu wesentlichen operationellen Risiken
  4. Prozess zum Umgang mit Risikoereignissen unter Einsatz einer Ereignisdatenbank
  5. Ermittlung und Überwachung des Kapitalbedarfs zur Abdeckung operationeller Risiken
  6. Berichtswesen zu operationellen Risiken
  7. Trainingsmaßnahmen bezüglich operationeller Risiken.

Die höchste Priorität des ORM Systems liegt bei der Effizienz und Effektivität der Maßnahmen, und die Erfüllung aller relevanten regulatorischen Anforderungen. Die zu erwartenden positiven Resultate eines gut implementierten ORM Systems sind

  • Vollständige und unverzügliche Informationsbereitstellung zu operationellen Risiken als Entscheidungsgrundlage,
  • Erhöhte Aufmerksamkeit und verbessertes Bewusstsein in Bezug auf operationelle Risiken,
  • Erhöhte Sicherheit bezüglich der Einhaltung von regulatorischen Anforderungen,
  • Weitgehend garantierte Anwendung von Risikomanagementprozessen, die dem Stand der Technik und den hauseigenen Standards entsprechenden,
  • Minimiertes Reputationsrisiko,
  • Erhöhte Zufriedenheit bei Kunden, Anteilseignern, Überwachungsorganen und Mitarbeitern,
  • Reduzierte Verluste aus Risikoereignissen und Kapitaleinsparungen.

Abb.: Grundstruktur des Operationellen Risiko-Management (ORM) Systems