Nachlese: OpRisk Forum 2016

-
11. Mai 2016
-
Von Stefan Hirschmann

„Das menschliche Risiko ist der Kern des operationellen Risikomanagements“, sagt John Thirlwell (Foto) vom Institute of Operational Risk (IOR). Dieser Humanfaktor macht die Kategorisierung sowie die Definition von Risikokennzahlen im professionellen OpRisk zu einer besonderen Herausforderung. Risikomanager tun sich deshalb mit einer stark datenbasierten Herangehensweise der internationalen Regulatoren schwer, die durch einen standardisierten Ansatz (Standardised Measurement Approach im Rahmen von BCBS d355) Anreize für bankspezifische Verlustdaten mit einer zehnjährigen Historie schaffen wollen, ohne jedoch die Güte des Gesamtrisikomanagements zu intensivieren. „Die Notwendigkeit, Risikomodelle international vergleichbar zu machen und eine gewisse Konsistenz herzustellen, ist aus Sicht der Aufseher absolut nachvollziehbar“, so Thirlwell im Rahmen der Fachkonferenz "OpRisk-Forum 2016" in Köln. Die Prinzipien des Baseler Ausschusses für Bankenaufsicht seien jedoch zu wenig zukunftsorientiert und die Kalibrierungen zu undurchschaubar. Zudem kritisiert das IOR, dass Versicherungen – im Gegensatz zum bisherigen fortgeschrittenen Messansatz AMA – künftig nicht mehr angerechnet werden sollen. Gleiches gilt für operationelle Risiken im Produktpricing oder Ereignisrisiken wie Cybercrime-Events, FinTechs bzw. Digitalisierungsrisiken oder die Sensibilität im Hinblick auf wirtschaftliche Zyklen und Blasen in den Finanzmärkten.
Insbesondere Cyberrisiken erachten die OpRisk-Manager als das bedeutendste Zukunftsrisiko. Gemäß einer Analyse der Risikomanagementberatung Dr. Peter & Company belegte das Cyber Risk und die daraus resultierenden Herausforderungen sowohl 2015 als auch 2016 unter den Risikomanagern im Top-10-Ranking den ersten Platz. Weltweit steigen die durch Internetkriminalität verursachten Kosten Schätzungen zufolge im Jahr 2019 auf 2 Bio. US-$. „Innerhalb dieser Risikokategorie haben wir es mit einer Vielzahl unterschiedlicher Akteure mit ganz unterschiedlichen Interessen und Motiven zu tun“, sagt Dr. Johannes Wernz, OpRisk-Manager bei der Zurich Versicherung. Zu nennen seien hier Unternehmen, Staaten und organisierte kriminelle Vereinigungen ebenso wie sog. Script Kiddies, oder Hacktivisten. Für das IT-Risikomanagement sei es deshalb wichtig, gemeinsam mit der Geschäftsleitung die Risikotoleranz und den Risikoappetit zu definieren, Verantwortlichkeiten festzulegen (Risk Ownership), IT-Systeme zu aktualisieren und Monitoring-Prozesse zu optimieren. Letztlich tritt aber auch hier wieder das menschliche Risiko in Erscheinung, denn das beste IT-System schützt nicht vor Schadenfällen, wenn die dahinterliegenden Kommunikationsprozesse und Zuständigkeiten für die handelnden Personen nicht definiert und transparent gestaltet sind.

 

Foto: Bernd Schaller (Bank-Verlag)