Prüfung des Managements der OpRisk

• Holger Wagner
• Gerhard Löhr

Mit Konkretisierung des § 25 a Abs. 1 und 2 KWG ist die Verantwortung der Geschäftsleitung für eine ordnungsgemäße Geschäftsorganisation festgeschrieben worden. Eine ordnungsgemäße Geschäftsorganisation verlangt angemessene interne Kontrollverfahren, die aus einem Internen Kontrollsystem und einer Internen Revision bestehen. Als Bestandteil des Internen Kontrollsystems werden insbesondere geeignete Regelungen zur Steuerung und Überwachung der Risiken hervorgehoben. Somit rückt auch das Management von operationellen Risiken mehr und mehr in das Blickfeld der Geschäftsleitung.

Die Geschäftsleitung ist nach § 25 a Abs. 1 KWG gehalten, den operationellen Risiken durch angemessene Maßnahmen Rechnung zu tragen. Hierbei ist zu gewährleisten, dass die operationellen Risiken mindestens jährlich identifiziert und beurteilt werden. In diesem Zusammenhang ist die Geschäftsleitung mindestens einmal jährlich über wesentliche operationelle Risiken zu unterrichten.

Für die Interne Revision als Instrument der Geschäftsleitung ist daher von besonderer Bedeutung, dass sie das Risikomanagementsystem in Gänze, insbesondere die Techniken zur Quantifizierung von operationellen Risiken sowie die Steuerungsansätze kennt und nachvollziehen kann. Daneben ist es wichtig, dass sie Kenntnis über die Ausprägungen des operationellen Risikos und dessen Beurteilung hat und ihr Wissen in ihre Prüfungshandlungen angemessen einfließen lässt.

Die Anforderungen an das Management operationeller Risiken haben in der jüngeren Vergangenheit fühlbar zugenommen. So gibt es konkrete Anforderungen an die Behandlung von operationellen Risiken in den rechtlichen Rahmenbedingungen der Solvabilitätsverordnung (SolvV) und den MaRisk. Vor nationaler Umsetzung der Basel II-Anforderungen gab es auf europäischer Ebene die „Sound Practices for the Management and Supervision of Operational Risk“, die auch heute noch als Grundregelwerk zumindest für internationale Kreditinstitute empfehlenden Charakter haben. Dabei ist die Normierung zum einen aus den Aufgaben der staatlichen Aufsicht, z. B. der Bankenaufsicht getrieben, wird aber auch aus den bekannten Krisenfällen der Vergangenheit motiviert. Der hohen Vernetzung und Komplexität der Steuerung von Kreditinstituten trägt der Gesetzgeber dabei zum einen mit Mindestanforderungen an ein Risikomanagementsystem der Banken (Ma-Risk) und zum anderen mit detaillierten Anforderungen an die Quantifizierung von Risiken (SolvV) Rechnung, wobei das Prinzip der „Proportionalität“ in den Vordergrund rückt.

Die Ausgestaltung des Risikomanagementsystems hat sich an Größe, Komplexität und Risikoprofil der Geschäftsfelder einer Bank auszurichten. Dementsprechend gibt es verschiedene Ansätze der Quantifizierung von operationellen Risiken vom Basisindikatoransatz über den Standardansatz zum Fortgeschrittenen Messansatz (AMA). Je höherwertiger der Ansatz, desto höher sind auch an die Anforderungen an die Prozesse und Steuerungssysteme, was aber auch grundsätzlich zu einer geringeren Eigenkapitalunterlegung führen sollte. Auch die Prüfungsanforderungen an die Interne Revision steigen mit den fortgeschritteneren Verfahren.

Seiten 260 - 267