Aufrufe
vor 6 Jahren

RISIKO MANAGER 07.2016

  • Text
  • Institute
  • Unternehmen
  • Banken
  • Risiko
  • Risiken
  • Valuation
  • Modelle
  • Prudent
  • Insbesondere
  • Standardansatz
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

20

20 RISIKO MANAGER 07|2016 Interview mit Marion Bürgers Risikokultur fängt in der Führungsebene an Interview mit Marion Bürgers, Leiterin Operational Risk bei HSBC Deutschland, über neue Risikokategorien, bankaufsichtliche Anforderungen und unternehmenskulturelle Aspekte im Risikomanagement. RISIKO MANAGER: Frau Bürgers, das Operational Risk Management (OpRisk) ist in den vergangenen großen Regulierungsinitiativen vergleichsweise glimpflich davon gekommen. Jetzt ist allerdings auf Betreiben des Baseler Ausschusses für Bankenaufsicht (BCBS) eine Lawine in Gang gekommen, die bisherige etablierte Ansätze, wie den fortgeschrittenen Messansatz AMA, unter sich begraben wird. Wie bewerten Sie diese Entwicklung? Bürgers: Dies kann sowohl positive als auch negative Implikationen haben. Einerseits haben Banken in den vergangen Jahren viel Know-how für die Entwicklung von Modellen zur Messung des Risikokapitals aufgebaut und erweitert. Sie haben viel Geld und Zeit in Methoden, Systeme und Personal investiert, um die Modelle aufrecht zu erhalten und an sich ändernde Bedingungen und Geschäftsmodelle anzupassen. Einige Institute haben sicherlich ihre operationellen Risiken in vielen Instituten primär über Kapitalkennzahlen gesteuert. Dabei sind die qualitative Betrachtung von Schadensfällen, Risk Self Assessments, die Bewertung des Kontrollumfelds und die Key- Risk-Indikatoren vielleicht zu sehr in den Hintergrund geraten. Sie dienten mehr dazu, die Modelle zu füttern. Die jüngste Entwicklung ist deshalb andererseits eine Chance, diesen bislang häufig vernachlässigten, aber sehr wichtigen Faktoren mehr Bedeutung einzuräumen. RISIKO MANAGER: Wo liegen aus Ihrer Sicht die Vor- und Nachteile der neuen Baseler Prinzipien zum OpRisk-Management (BCBS d355), und was erwarten Sie vom neuen standardisierten Ansatz (Standardised Measurement Approach)? Bürgers: Durch die Abschaffung des AMA könnte das eigentliche Management operationeller Risiken wieder stärker in den Vordergrund rücken und zu Bewusstsein und Verankerung in den Instituten, also zu mehr „Awareness“ und „Embeddedness“, führen. Dies muss jedoch sowohl durch die Aufsicht als auch durch das Management über die Risikokultur der Institute gewollt und gelebt werden. Geschieht dies nicht, wird es schwierig sein, Akzeptanz für Rahmenwerke, Methoden, Analysen und Berichte zu gewinnen und den eigentlichen Nutzen des Managements operationeller Risiken zu erwirken, der zur Reduzierung operationeller Risiken führen soll und kann. RISIKO MANAGER: Rechtsrisiken und Verhaltensrisiken (Conduct Risk) rücken mehr und mehr in den Fokus der Aufsicht, aber auch der Öffentlichkeit, da hohe Strafzahlungen größere Aufmerksamkeit erregen. Betrifft dieses Phänomen nur global agierende Großbanken oder die gesamte Kreditwirtschaft gleichermaßen? Bürgers: Bisher kannten wir in Deutschland hohe Strafzahlungen hauptsächlich durch global agierende Großbanken, insbesondere, wenn diese auf dem US-amerikanischen Markt durch Verstöße auffällig geworden sind. Eine Vielzahl der Strafzahlungen wurde wegen Verstößen gegen Sanktionen oder Geldwäschegesetze- und -vorschriften verhängt. Häufig waren aber auch Rechtsstreitigkeiten die Ursache, die durch Fehlverhalten, also Conduct Risk, entstanden. Ich glaube aber, dass insbesondere das Thema Conduct Risk nicht nur die großen und globalen Banken betrifft, sondern alle. Haben Sie nicht auch schon einmal in der Familie oder im Bekanntenkreis Erzählungen von den Erfahrungen mit „bösen Bankern“ gehört? Und das waren bestimmt nicht nur Kunden einer Großbank. Finanzprodukte sind teilweise so komplex, dass sie nicht für jeden Privatkunden, aber auch nicht für jedes Unternehmen geeignet oder verständlich sind. Finanzinstitute sind daher verpflichtet, auf die Bedürfnisse und die Gegebenheiten der Kunden zu reagieren, um das Conduct-Risiko und damit auch Rechtsrisiken zu reduzieren. Dies betrifft übrigens meines Erachtens nicht nur Banken, sondern gilt zum Beispiel genauso auch für Versicherungen. RISIKO MANAGER: Der ureigene Beritt eines OpRisk-Managers sind Personalrisiken. Lässt sich der Risikofaktor Mensch überhaupt beherrschen?

Marktrisiko 21 Bürgers: Ja und nein. Der Mensch ist der größte Risikofaktor, nicht nur in der Finanzbranche. Es bedarf vertrauenswürdiger und kompetenter Mitarbeiter und eines hohen Vertrauens in sie, das durch gute Systeme, Prozesse und Kontrollen, aber auch durch eine positive und fördernde Unternehmens- und Risikokultur begleitet werden sollte. Dabei ist zwischen dem menschlichen Versagen und dem vorsätzlichen Handeln zu differenzieren. Wichtig ist, dass Prozesse und Systeme so gestaltet sind, dass die Mitarbeiter vertrauensvoll mit ihnen umgehen können. Die Vorgaben sollten einen angemessenen Freiheitsgrad bzw. Gestaltungsspielraum haben, und das Risiko menschlichen Versagens sollte auf ein Minimum eingegrenzt werden können, sodass Schadensfälle, wenn sie die Ursache „Mensch“ haben, nachvollziehbar einmalig sind. Ausschließen kann man diese Fälle nie, denn wo Menschen arbeiten, passieren Fehler und die wird man nie auf null reduzieren können. Auch vorsätzliches Handeln kann man leider nie ganz ausschließen, denn wer die Kontrollen kennt, weiß auch, wie er sie umgehen kann. Je schwieriger es wird, Vorsichtsmaßnahmen zu umgehen, desto geringer wird auch das Risiko. Wie sagt man so schön: Vertrauen ist gut, Kontrolle ist besser. Ich glaube, dass Finanzinstitute aus der Vergangenheit und durch Schadensfälle wie die des Rogue Tradings bei der Société Générale oder der UBS schon einiges gelernt haben. Sie haben sich und ihr Kontrollumfeld nicht nur wegen der verschärften Regulatorik verbessert. RISIKO MANAGER: Insbesondere Cyberrisiken erachten viele OpRisk-Manager als das bedeutendste Zukunftsrisiko. Welchen Stellenwert messen Sie dem Cyber Risk bei? Bürgers: Sicherlich ist es eines der größten operationellen Risiken der heutigen Zeit; wir lesen regelmäßig und immer häufiger in der Presse von Hacker-Angriffen auf große Unternehmen. Aber man darf darüber nicht den Blick auf die anderen Risikoarten verlieren. Das Spektrum operationeller Risiken ist so umfangreich und vielfältig, mir fallen da auf Anhieb viele ein: Da sind zum Beispiel noch das Geldwäsche- und Sanktionsrisiko, aber auch das Vendor Risk oder System- bzw. Informations-Risiko – zu dem man ja das Cyber Risk zählen kann. Viele Unternehmen, und ich spreche dabei nicht nur von Banken oder Finanzinstituten, haben in den letzten Jahren in hohem Maße Outsourcing betrieben und operieren seit Jahren mit den gleichen IT-Systemen oder zumindest Basissystemen. Jedes Institut sollte in Abhängigkeit von seinem Geschäftsmodell, seiner regionalen Präsenz, Größe und Struktur für sich selbst die wichtigsten Risiken bewerten und priorisieren. Ja, Cyber-Risiken sind wichtig und werden momentan vielleicht auch vom Management unterschätzt – sie sind aber nicht die einzigen Risiken, die betrachtet werden sollten. RISIKO MANAGER: Innerhalb dieser Risikokategorie haben wir es mit einer Vielzahl unterschiedlicher Akteure mit ganz verschiedenen Interessen und Motiven zu tun. Zu nennen wären hier Unternehmen, Staaten und organisierte kriminelle Vereinigungen ebenso wie sog. Script Kiddies oder Hacktivisten. Wie bekommen Sie diese Heterogenität im OpRisk-Management unter einen Hut? Bürgers: Letztendlich ist es unerheblich, welcher Akteur mich mit welchem Motiv angreift. Die Wahrscheinlichkeit eines Angriffs steigt mit der Größe und dem Bekanntheitsgrad des Unternehmens. Und auch die Auswirkungen haben keine direk-

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.