Im Rahmen der umzusetzenden Basel II Vorschriften müssen Finanzdienstleister abhängig vom gewählten Ansatz (Basis, Standard oder AMA) entsprechende Risikomanagement-Systeme etablieren. Eine adäquate technische Unterstützung ist für die Implementierung eines solchen operationellen Risikomanagement-Systems unverzichtbar. Dabei variieren die Anforderungen an die Systeme entsprechend der Wahl des Ansatzes nach Basel II und hängen darüber hinaus sehr stark von institutsspezifischen Parametern ab.
Der Zeitplan für die Umsetzung des neuen Basler Eigenkapitalakkords steht bereits weitgehend fest. Für das Jahr 2006 ist ein Parallel-Lauf von aktuellem und neuem Akkord vorgesehen. Bei Wahl des fortgeschrittenen Ansatzes ist eine Historie bei den Verlustdaten von fünf Jahren (Übergangsfrist drei Jahre) erforderlich. Vor diesem Hintergrund sind viele Institute in der Planung ihres Ansatzes und in dessen organisatorischer Umsetzung weit fortgeschritten.
Auch wenn sich eine Bank für den Basis-Ansatz entscheidet, sollte dennoch der Umstieg auf den fortgeschrittenen Ansatz möglich sein. Eine falsche Entscheidung kann sonst zu unnötigen Kosten bei einer später notwendig werdenden Umstellung führen. Gleichzeitig muss der CIO die Sicherheit haben, dass die Lösung auch die aufsichtsrechtlichen Kriterien und Richtlinien entsprechend abbildet.
Die Studie analysiert sieben Systeme in ihren aktuellsten Versionen im Umfeld der Abdeckung Operational Risk für Basel II: "Algo OpRisk" von der Firma Algorithmics, "ORC" von der Interexa AG, "ORTOS" von Capco (ehemals Götzfried AG / Dresdner Bank), "TSA" von RCS AG, "Ifb-OKULAR(R) ORM" von der Firma ifb AG, "SAS OpRisk Management" von der Firma SAS und "zeb/operational.risk-manager" von der Firma zeb/information.technology.
Basisindikatorenansatz (BIA)
In diesem Ansatz ergibt sich die Höhe des zu unterlegenden Eigenkapitals aus einem festgelegten Prozentsatz (zurzeit 15 Prozent) des durchschnittlichen jährlichen Bruttoertrages der vergangenen drei Jahre. Der Bruttoertrag ist dabei definiert als Zinsergebnis plus zinsunabhängiges Ergebnis.
Alle Anwendungen genügen den Anforderungen dieses Ansatzes. Insbesondere unterstützen alle Tools die Zuweisung von Risiken zu Produkten, Prozessen und Geschäftseinheiten. ORTOS und RCS ermöglichen diese Zuweisung einheitlich über ein eigenes Administrationsmodul. Kritisch ist hier nur SAS einzuschätzen, dessen Frühwarnsystem zum Zeitpunkt der Studie überarbeitet wurde.
Standardansatz
Im Standardansatz werden die Aktivitäten der Banken in insgesamt acht Geschäftsfelder aufgeteilt. Die Höhe des zu unterlegenden Kapitals ergibt sich hier aus der Summe der Kapitalanforderungen je Geschäftsgebiet. Auch der Standardansatz kann von allen Tools umgesetzt werden. Alle Anwendungen ermöglichen die Definition von Geschäftsfeldern und die Zuweisung von Risiken. Kritischer Faktor ist hier allerdings, in wie weit ein Tool auch das Mapping zwischen institutsspezifischen Geschäftsfeldern mit den Business Lines von Basel II unterstützt. Hier sind insbesondere SAS, ORTOS, ORC und RCS zu erwähnen. ORTOS, SAS und RCS ermöglichen diesen Mapping zentral für alle Module, ORC bietet ein automatisches Business Line Mapping.
Die fortgeschrittenen Ansätze (AMA)
Im Rahmen der AMA entspringt die Risikokennzahl nicht den aufsichtsrechtlichen Vorgaben, sondern den bankinternen Messsystemen. Allerdings müssen die Banken hier den Nachweis erbringen, dass ihr eigenes Messverfahren, auch schwerwiegende Risiken erfassen kann.
Alle Anbieter verfügen über eine Verlustdatenbank, die die Anforderungen eines fortgeschrittenen Ansatzes erfüllt. Auch die Zuweisung zu den Verlusttypen nach Basel II ist bei allen möglich. Unterschiede zeigen sich allerdings im Quantifizierungsmodul. zeb/operational.risk-manager bietet als Komplettlösung kein entsprechendes Modul, alle anderen Anbieter liefern eine entsprechende Lösung und sind mit dem Verlustverteilungsansatz nach derzeitigen Stand aufsichtskonform.
Wenig ausgeprägt ist bei allen Tools der Bereich Risikosteuerung. Die Funktionen zu Risikosimulationsverfahren und Szenarioanalysen sind durchaus noch ausbaufähig. Zudem gibt es noch keine Möglichkeiten um die Effektivität von Maßnahmen zur Risikovermeidung zu überwachen.
Weitere Meldungen:
Nachsitzen
IT-Strategie der Banken erweist sich als Desaster
Corporate compliance: Pulling it all together