content hub

Operationelle Risiken (1) – Bedeutung und Einordnung

19/10/2024

Operationelle Risiken rücken seit Jahren immer mehr in den Fokus von Instituten und Aufsichtsbehörden. Dies ist unter anderem auf Schadensfälle in der Vergangenheit zurückzuführen, die teils zu erheblichen finanziellen Verlusten führten. Infolgedessen haben Aufsichtsbehörden klare Anforderungen an das Management von operationellen Risiken formuliert, die in verschiedenen Gesetzen und Regelwerken wie CRR, MaRisk oder ZAG-MaRisk verankert sind und die ein angemessenes und integriertes Risikomanagement fordern. Die Missachtung dieser Anforderungen kann zu hohen Strafzahlungen in Millionen oder sogar Milliardenhöhe führen. 

Doch was versteht man genau unter operationellen Risiken und wie können diese von anderen Risiken abgegrenzt werden?

Nach der derzeit gültigen CRR-Verordnung (Capital Requirements Regulation) versteht man unter operationellen Risiken die Gefahr von Verlusten, die aus der Unangemessenheit oder dem Versagen von internen ProzessenMenschen und Systemen oder aus externen Ereignissen resultieren. Dies schließt auch Rechtsrisiken ein, jedoch keine strategischen oder Reputationsrisiken. Ab dem 1. Januar 2025 tritt die überarbeitete CRR III in Kraft, in der zudem auch Modellrisiken und IKT-Risiken (Informations- und Kommunikationstechnologierisiken) explizit in die Definition von operationellen Risiken eingeschlossen werden.

Die BaFin greift das Thema operationelle Risiken in den Mindestanforderungen an das Risikomanagement (MaRisk) auf und stuft operationelle Risiken neben Kredit-, Marktpreis- und Liquiditätsrisiken grundsätzlich als wesentlich ein. Auch nach den Mindestanforderungen an das Risikomanagement von ZAG-Instituten (ZAG-MaRisk) sind zumindest operationelle Risiken als wesentlich einzustufen. Die Wesentlichkeitseinstufung hat zur Folge, dass Institute besondere Maßnahmen und Anforderungen erfüllen müssen, um diese Risiken zu kontrollieren und zu überwachen. Dies zeigt, welche Bedeutung die Finanzaufsicht den operationellen Risiken beimisst.

Die Kategorisierung der operationellen Risiken ist komplex und hängt stark von den spezifischen Gegebenheiten eines jeden Instituts ab, aber enthält typischerweise die folgenden Kategorien: 

Prozess- und Verfahrensrisiken: Diese Risiken entstehen aus dem Fehlen notwendiger Prozesse oder Verfahren bzw. deren Unzulänglichkeiten oder Ineffizienzen. Beispiele hierfür sind unzureichende Maßnahmen zur Geldwäscheprävention oder fehlende Notfallpläne für interne Prozesse, Systeme und Ereignisse. 

Auslagerungsrisiken: Auslagerungsrisiken ergeben sich zum Beispiel durch mangelhafte Leistungserbringung oder die Nichteinhaltung von gesetzlichen Vorgaben durch externe Dienstleister.  

Modellrisiken: Diese Risiken ergeben sich aus Fehlern in der Konzeption, Ausgestaltung, Parameterschätzung, Implementierung, Verwendung und Überwachung eingesetzter interner Modelle. Mögliche Beispiele sind Modelle zur Risikobewertung oder im Transaktions-Monitoring. 

Verhaltensrisiken: Verhaltensrisiken beziehen sich auf das bewusste oder unbewusste Fehlverhalten von Mitarbeitern. Dazu gehören beispielsweise die fehlerhafte Bedienung technischer Systeme, falsche Dateneingaben oder betrügerische Handlungen. 

Externe Risiken: Externe Risiken entstehen durch unvorhersehbare externe Ereignisse, wie Naturkatastrophen, Pandemien, regulatorische Änderungen, politische Instabilität oder betrügerische Aktivitäten. 

Rechts- und Compliance-Risiken: Diese Risiken resultieren aus der Nichteinhaltung regulatorischer Anforderungen oder gesetzlicher Vorschriften, was zu rechtlichen Auseinandersetzungen und Geldstrafen führen kann. Ein typisches Beispiel ist die Missachtung von Datenschutzbestimmungen, die hohe Strafzahlungen und Reputationsverluste nach sich ziehen kann.

IKT-Risiken: Zu den typischen Risiken im Bereich der Informations- und Kommunikationstechnologie gehören Cyberangriffe, Datenlecks sowie der Ausfall oder die Veralterung von IT-Systemen. Auch Risiken, die aus dem Einsatz moderner Technologien wie künstliche Intelligenz (AI) resultieren, können in dieser Kategorie berücksichtigt werden.

ESG-Risiken: Zudem sind die Auswirkungen von ESG-Risiken angemessen und explizit einzubeziehen. Nach MaRisk werden darunter Ereignisse oder Bedingungen aus den Bereichen Umwelt, Soziales oder Unternehmensführung verstanden, deren Eintreten potenziell negative Auswirkungen auf die Vermögens-, Finanz- oder Ertragslage haben kann. Diese Risiken wirken als Risikotreiber und können sich auf alle Risikoarten auswirken. 

Quellen

  • [1] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Rundschreiben zu den Mindestanforderungen an das Risikomanagement – MaRisk in der Fassung vom 29.05.2024.
  • [2] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Rundschreiben zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten – ZAG-MaRisk in der Fassung vom 07/2024.
  • [3] Verordnung (EU) Nr. 2024/1623 des Europäischen Parlaments und des Rates vom 31.05.2024. 
  • [4]  T. Kaiser (2023): Praxis des Non-Financial Risk Managements im Finanzsektor: In 25 Jahren von „Other Risks“ zu Compliance, Conduct, Cyber & Co. Springer Fachmedien GmbH. Wiesbaden.

Tags:

Nelli Siebert

Verfügt über umfassende Erfahrungen im Projektmanagement sowie der Gestaltung von B2B-Marktplatz- und Paymentsprozessen. Darüber hinaus besitzt sie fundierte Kenntnisse in regulatorischen Anforderungen, insbesondere im Zahlungsdiensteaufsichtsgesetz und im Geldwäschegesetz. Ihre Leidenschaft ist es, komplexe regulatorische Anforderungen in effiziente und praxisnahe Prozesse zu transformieren.

www.consalty.com

More Knowledge Drops

Regulatorische Themen und Fristen 2025 im Überblick

06/02/2025 read article

Das neue EU AML-Paket (3) —Auslösetatbestände

09/02/2025 read article

Neue Auslegungs- und Anwendungshinweise zum Geldwäschegesetz

20/12/2024 read article

Key Facts about DORA – The Digital Operational Resilience Act

28/05/2024 read article