OpRisk-Management und -berichterstattung bei Outsourcing

Die aufsichtsrechtlichen Anforderungen an das Risikomanagement von Kreditinstituten wachsen kontinuierlich. In der Folge steigen die Kosten der Umsetzung und des laufenden Betriebs.

Als Marktführer im Transaction Banking bündelt die dwpbank die Wertpapierabwicklung für eine Vielzahl deutscher Kreditinstitute – auch im Hinblick auf die Umsetzung aufsichtsrechtlicher Anforderungen, denen die dwpbank selbst ebenfalls genügen muss.

Im Gegensatz zu Universalbanken stehen für das Risikomanagement der dwpbank Messung und Management operationeller Risiken im Vordergrund. Dies war die wesentliche Motivation einen Advanced Measurement Approach – kurz AMA – zu entwickeln und bei der Aufsicht zu beantragen. Die Zulassung erfolgte im Rahmen einer § 44 KWG-Prüfung Mitte 2009.

Die Entwicklung und der Einsatz eines AMA ist zwar aufwendig, aber auch mit vielen Vorteilen verbunden. Methodisch stehen insbesondere die positiven Eigenschaften der Verwendung des Risikomaßes Value at Risk im Vordergrund. Es erweitert die im OpRisk-Management verbreitete beschränkte Sicht auf Erwartungsgrößen um die Beachtung sehr seltener, aber vergleichsweise hoher Schäden. Mit dem Risikomaß ist eine widerspruchsfreie Priorisierung des Ressourceneinsatzes im Rahmen des Risikomanagements möglich.

Auch der laufende Betrieb des Modells bindet Ressourcen. Dazu gehören etwa jährliche Szenarioanalysen, eine quartalsweise Risikoquantifizierung mit komplexen Simulationsverfahren und die jährliche interne Modellvalidierung. Weitere Stichworte sind resultierendes Maßnahmenmanagement, Model Change Policy und regelmäßige interne und externe Prüfungen.

Lohnt sich die Mühe? Ja! Die dwpbank und ihre Kunden können nicht nur auf die quantitativen Ergebnisse des AMA-Modells vertrauen, auch das gesamte Risikomanagementsystem profitiert von der gelebten Sorgfalt und Genauigkeit. Die resultierende –  gegenüber einfachen Ansätzen reduzierte – aufsichtsrechtliche Eigenmittelanforderung für operationelle Risiken reflektiert das wahre Risikoprofil der Bank. Der AMA als Gütesiegel gibt den Kunden der dwpbank Gewissheit, auch im Hinblick auf das Risikomanagement an ein führendes Kreditinstitut ausgelagert zu haben.

Dennoch gilt nicht: Aus den Augen aus dem Sinn. Während vor dem Outsourcing das auslagernde Institut selbst dem operationellen Risiko ausgesetzt war, hat es dieses durch die Auslagerung an die dwpbank weitgehend transferiert. Die Wirkung dieser Form von Risikotransfer steigt mit der Güte des Risikomanagements der dwpbank. Die Effizienz der dwpbank als Abwicklungsspezialist sowie deren Haftung reduziert bei Auslagerung das Risiko ihrer Kunden auf ein verbleibendes Restrisiko. Das auslagernde Institut ist dabei nach der Begrifflichkeit der MaRisk einer neuen Form von Risiko ausgesetzt, das aus der Outsourcing-Beziehung erwächst: dem Outsourcing-Risiko, das vom Kunden zu berücksichtigen ist. Das Gesamtrisiko setzt sich demnach aus dem verbliebenen Restrisiko und dem neu hinzugekommenen Outsourcing-Risiko zusammen, es ist für den Outsourcer insgesamt gesunken. Aufgabe des Outsourcers ist die Steuerung, Überwachung und Kontrolle des Outsourcing-Risikos. Gemäß den Vorgaben der Mindestanforderungen an das Risikomanagement müssen die Risikosteuerungs- und Controllingprozesse des Outsourcers gewährleisten, dass die wesentlichen Risiken – auch aus ausgelagerten Aktivitäten und Prozessen – frühzeitig erkannt, vollständig erfasst und in angemessener Weise dargestellt werden können. Diesem Zweck dient die etablierte Outsourcing- und Risikoberichterstattung.

Das zentralen Risikomanagement der dwpbank vereint die Expertise beider Aspekte – das Management operationeller Risiken und die Risikoberichterstattung in Auslagerungsketten.

Vor dem Hintergrund steigender Kosten von Umsetzung und Betrieb aufsichtsrechtlicher Anforderungen ist auch bei der Risikoberichterstattung in Auslagerungsketten ökonomisches Augenmaß gefragt. Der Grundsatz „viel hilft viel“ gilt nicht. Wichtig ist zu erkennen, ob und wie Informationen tatsächlich im Risikomanagement sinnvoll eingesetzt werden können. Angestrebt ist eine standardisierte Konzentration auf wesentliche nutzbare Informationstypen. Die dwpbank unterstützt ihre Kunden durch ein standardisiertes umfassendes unterjähriges Informations- und Berichtswesen, welches zusätzlich einmal jährlich in einem Outsourcing- und Risikobericht gebündelt und ergänzt wird. Ziel ist es, allen Kunden der dwpbank eine Integration dieser Informationen in ihre institutsspezifisch ausgestalteten Risikomanagementsysteme zu ermöglichen.

Die Veröffentlichung des nächsten Outsourcing- und Risikoberichts ist bis Mai 2015 vorgesehen und geht Ihnen entweder als Broschüre zu oder Sie finden ihn elektronisch im WPInformer (Kategorie 06506 Outsourcing- und Risikobericht).