- 2 -

Inhaltsverzeichnis

Abk  ürzungsverzeichnis.  4

Abbildungsverzeichnis.   5

1  Einleitung  6

1.1  Motivation zur Prozessanalyse in Hinblick auf operationelle Risiken.  6

1.2  Aufbau der Arbeit.  6

1.3  Begriffsbestimmung  7

2  Geschäftsprozessrisiken und deren Analysemethoden  8

2.1  Kategorisierung von operationellen Risiken.  8

2.2  Einordnung der Analysemethoden für operationelle Prozessrisiken  9

3  Der Risikomanagementprozess  9

3.1  Kernprozesse identifizieren und relevante Prozesse darstellen  10

3.2  Kategorisierung und Identifikation der Risikoereignisse und -ursachen  11

3.3  Analyse der Risiken.  11

3.4  Maßnahmen zur Risikosteuerung.  11

3.5  Wirkungskontrolle und Risikoüberwachung  11

4  Prozessanalysemethoden.  12

4.1  Herkunft der Methoden  12

4.2  Funktionsweise und Einsatzgebiet der Methoden.  12

4.2.1  Fault Tree Analysis (FTA)  12

4.2.2  Failure Mode and Effect Analysis (FMEA)  13

4.2.3  Hazard and Operability Study (HAZOP)  14

4.2.4  Predictive Human Error Analysis (PHEA)  15

4.2.5  Softwaretools und Simulation  16

5  Organisatorische Maßnahmen  17

- 3 -

5.1  Rahmenmaßnahmen  17

5.1.1  Prozessreengineering und -optimierung.  17

5.1.2  Implementierung eines Supportprozesses.  18

5.2  Einzelmaßnahmen  18

5.2.1  Weisungen und Standards.  18

5.2.2  Funktionstrennung  19

5.2.3  Vieraugenprinzip  19

5.2.4  IT-Unterstützung von Genehmigungsprozessen  20

5.2.5  Zuordnung von Aufgaben, Kompetenzen und Verantwortlichkeiten  20

5.2.6  Abstimmungen  21

5.2.7  Outsourcing  21

6  Schlussfolgerungen  22

Anhangverzeichnis   23

Literaturverzeichnis   28

Abkürzungsverzeichnis ARIS Architektur integrierter Informationssysteme

EPK Ereignisgesteuerte Prozessketten

FMEA Failure Mode and Effect Analysis / Fehlermöglichkeits- und Einflussanalyse

FTA Fault Tree Analysis

HAZOP Hazard and Operability Study

PHEA Predictive Human Error Analysis

PN Petri-Netz

RPZ Risikoprioritätszahl

- 5 -

Abbildungsverzeichnis   

Abb.  1: Einordnung operationeller Prozessrisiken.  

Abb  2: Der Risikomanagementkreislauf  

1 Einleitung

1.1 Motivation zur Prozessanalyse in Hinblick auf operationelle Risiken

Operationelle Risiken sind mit jeder wirtschaftlichen Aktivität verbunden und finden in der

Industrie seit geraumer Zeit Beachtung. ¹ Umso verwunderlicher ist es, dass operationelle Risiken von Kreditinstituten lange Zeit gegenüber anderen Risiken, insbesondere Markt- und Kreditrisiken, vernachlässigt wurden. Der aktuelle Wandel im Banksektor hat mehrere Ursa-

chen: In den letzten Jahren wurden immer häufiger große Verlustfälle bekannt, ² die dieser Risikoart zugerechnet werden mussten. So ergaben sich zwischen 1995 und 1999 bei Kreditinstituten aus operationellen Risiken, wie z.B. fehlender funktionaler Trennung, Systemzu-sammenbrüche und Betrugsfälle, schätzungsweise Verluste von über 12 Mrd. USD. ³ Auch als Reaktion hierauf beschäftigt sich das Basle Committee on Banking Supervision seit einiger Zeit mit dem Thema operationelle Risiken. Im Ergebnis werden Kreditinstitute zukünftig diese Risiken in die Eigenmittelunterlegung mit einbeziehen müssen. ⁴ Zudem besteht seit 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, welches Maßnahmen zur

Erkennung operationeller Risiken fordert. ⁵ Daher sind Banken gezwungen, geeignete Analysemethoden zu entwickeln bzw. aus anderen Branchen zu adaptieren sowie Maßnahmen aus den Erkenntnissen abzuleiten. In bedeutendem Umfang resultieren dabei operationelle Risi-ken aus Prozessen einer Unternehmung. 6

1.2 Aufbau der Arbeit

Die Arbeit ist in sechs Teile gegliedert. Nach der Aufbauskizze werden die wichtigsten Begrifflichkeiten erläutert. In Kapitel Zwei erfolgt eine Einordnung der operationellen Prozessrisiken sowie Analysemethoden in den Gesamtkontext operationeller Risiken. Das dritte Kapitel beschäftigt sich mit den einzelnen Schritten einer Risikoanalyse. Den Kern stellen dabei die Analysemethoden dar, die in Kapitel Vier genau erläutert werden. Aufbauend auf der Risikoanalyse können adäquate Maßnahmen getroffen werden, die im fünften Kapitel anschließen. Im letzten Kapitel werden Schlussfolgerungen aus den geschaffenen Erkenntnissen gezogen.

¹ Vgl. Jovic, D. / Piaz, J.-M. (2001), S. 923.

² Z.B. Barings, Daiwa, Merrill Lynch.

³ Vgl. Münchbach, D. (2001), S. 1.

⁴ Vgl. Peter, A. / Vogt, H.-J. / Kraß, V. (2000), S. 656-657.

⁵ Vgl. ebenda.

⁶ Vgl. Münchbach, D. (2001), S. 32 und 56.

1.3 Begriffsbestimmung

Das Thema umfasst viele Begriffe, deren Bedeutungen häufig unterschiedlich genutzt werden. Daher soll nachfolgend erläutert werden, wie die Begriffe in dieser Arbeit verwendet werden.

Risiko soll als eine mögliche Differenz zwischen Ist- und Sollzustand (tatsächliche- und erwartete Entwicklung) verstanden werden. Es kann somit zu einer negativen (Ist < Soll à Gefahr) oder positiven Abweichung (Ist > Soll à Chance) kommen. Risiko setzt sich aus den Komponenten Eintrittswahrscheinlichkeit und Schadenspotential zusammen. Diese Dimensi-

onen sind zugleich Unterscheidungskriterien gegenüber Ungewissheit. 7

Operationelle Risiken (auch Betriebsrisiken genannt) stellen eine Art von Risiken dar. ⁸ Im folgenden wird auf die Definition der operationellen Risiken des Baseler Ausschusses zurückgegriffen: „the risk of direct or indirect loss resulting from inadequate or failed internal

processes, people and systems or from external events“. ⁹ Des Weiteren umfasst diese Definition Rechtsrisiken. Reputations- und Strategierisiken sind hingegen ausgeschlossen. ¹⁰ Aus theoretischen Gründen und Informationsmangel besteht häufig nicht die Möglichkeit der

Quantifizierung von Eintrittswahrscheinlichkeit und Schadenspotential, ¹¹ weshalb operationelle Risiken zudem mit Ungewissheit behaftet sind.

In dem Kontext des Prozessrisikos wird bewusst von Risikoanalyse und nicht von Risikomessung gesprochen. Messung umfasst eine tatsächliche Quantifizierung des Risikos, aber nicht die Risikoidentifikation. Analyse kann hingegen das Risiko auch qualitativ bestimmen und enthält die Risikoidentifikation sowie Bestimmung der Risikoursachen- Wirkungszusammen-hänge. 12

Risikovermeidung soll in dieser Arbeit als Risikominimierungsansatz verstanden werden. Es handelt sich dabei um eine Form der unternehmensinternen Risikobeeinflussung. Ziel ist eine möglichst weitgehende Risikoausschaltung, ohne jedoch die betroffenen Tätigkeiten aufzugeben. Als Gegenpol ist die Risikofinanzierung zu sehen. In diesem Fall erfolgt eine Selbst-finanzierung des Risikos oder ein Risikotransfer, ohne das Risiko selbst zu bearbeiten. 13

⁷ Vgl. Dombret, A. R. / Thiede, J. (2001), S. 1856.

⁸ Vgl. 2.1 für eine mögliche Einordnung in andere Risikokategorien.

⁹ Vgl. Basel Committee on Banking Supervision (2001), S. 2.

¹⁰ Vgl. Wagner, P. (2002), S. 161.

¹¹ Vgl. Schierenbeck, H. (2001), S. 337-338.

¹² Vgl. Münchbach, D. (2001), S. 119-120.

¹³ Vgl. ebenda, S. 231-233 i.V.m. Schierenbeck, H. (2001), S. 346-347.

Als (Geschäfts-)Prozess wird im folgenden eine strukturierte Menge von Aktivitäten über die Zeit bezeichnet, die einen Anfang, ein Ende und eindeutig identifizierbare In- und Outputs

haben. 14

2 Geschäftsprozessrisiken und deren Analysemethoden

2.1 Kategorisierung von operationellen Risiken

Gemäß der hier verwendeten Definition lassen sich die operationellen Risiken in mehrere Ursachen-Komponenten zerlegen.

Abb. 1: Einordnung operationeller Prozessrisiken

Auf erster Stufe wird zwischen internen und externen Risikoursachen unterschieden. Die internen Risikoursachen können in einem zweiten Schritt weiter in Personen-, System- und Pro-

zessrisiken unterteilt werden. ¹⁵ Allgemein können Prozesse zwei Risikoarten umfassen. Zum einen kann ein Prozess nicht richtig aufgesetzt sein, d.h. das durch eine Tätigkeit oder ein Produkt verursachte Risiko wird nicht richtig überwacht. Zum anderen kann es sein, dass ein Prozess nicht richtig ausgeführt wird oder fehlerhaft ist, wodurch er unwirksam ist und selbst

zum Risiko wird. ¹⁶ Exemplarisch sind für diese Risikoarten mangelhafte und unsachgemäße Kontrollen, unklar formulierte und kommunizierte Aufbauorganisation sowie unterbrochene

Geschäftsabläufe als Ursachen zu nennen. ¹⁷ Die Fehlerereignisse, d.h. Auswirkungen der Prozessfehlerursachen finden sich überwiegend in Transaktions- und Administrationsprozessen. ¹⁸ Dazu zählen z.B. Falscheingabe oder Mehrfacheingabe von Transaktionen sowie Verbuchungs- und Abstimmungsfehler. ¹⁹ Daneben können weitere Ereignisgruppen, wie rechtliche Risiken, Mitarbeiter, physische Schäden und Servicequalitätsmängel, bestehen. Es ist aller-

¹⁴ Vgl.Davenport, T. H. (1993), S. 5.

¹⁵ Vgl. Schierenbeck, H. (2001), S. 336-337.

¹⁶ Vgl. van den Brink, G. J. (2001), S. 10-11.

¹⁷ Vgl. Schierenbeck, H. (2001), S. 336-337 i.V.m. Münchbach, D. (2001), S. 32-33.

¹⁸ Vgl. Münchbach, D. (2001), S. 86-87.

¹⁹ Vgl. ebenda S. 64-66.