‍

Die Capital Regulatory Requirements (CRR III), eine Verordnung der europäischen Bankenregulatorik, definiert das operationelle Risiko als "das Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von in­ternen Verfahren, Menschen und Systemen oder durch externe Ereignisse verursacht werden, einschließlich Rechtsrisiken". Kurz gesagt handelt es sich also um das Risiko, dass aufgrund von Fehlern Schäden für die Bank entstehen - sei es, dass Menschen Fehler machen, IT ausfällt, Softwarefehler auftreten oder auch gesetzliche Vorgaben missachtet werden.

‍

Woraus können operationelle Risiken resultieren?
Auch hierfür werfen wir einen Blick in die bereits genannte Verordnung CRR III. Diese unterscheidet die folgenden Ereignisse, aus denen Verluste aus eingetretenen operationellen Risiken resultieren können:
‍

Interner und externer Betrug
Verluste aufgrund von  betrügerischen Handlungen, Veruntreuung von Eigentum oder der Umgehung von Verwaltungs-, Rechts- bzw. internen Vorschriften. Beispiel für externen Betrug: Ein Kredit wird auf Basis gefälschter eingereichter Unterlagen bewilligt. Beispiel für internen Betrug: Ein Mitarbeiter manipuliert Daten im System und leitet Zahlungen der Bank auf ein eigenes Konto um.
‍

Beschäftigungspraxis und Arbeitsplatzsicherheit
Verluste aus Verstößen gegen Beschäftigungs-, Gesundheits- oder Sicherheitsvorschriften bzw. -vereinbarungen sowie aus Schadenersatzansprüchen wegen Körperverletzung oder Diskriminierung (einschließlich sozialer und kultureller Verschiedenheit).
Beispiel: Ein defektes Stromkabel, das aufgrund missachteter Sicherheitsvorschriften nicht ausgetauscht wird, erzeugt einen Brand und verletzt Mitarbeiter.
‍

Kunden, Produkte und Geschäftsgepflogenheiten
Verluste aufgrund einer unbeabsichtigten oder fahrlässigen Nichterfüllung geschäftlicher Verpflichtungen.
Beispiel: Es werden versehentlich falsche Konditionen für ein angebotenes Darlehen veröffentlicht (zum Beispiel einen zu niedrigen Zinssatz für ein Darlehen). Die dadurch zu diesen zu günstigen Bedingungen abgeschlossenen Verträge führen zu einem Verlust.

‍
Sachschäden
Verluste aufgrund von Beschädigungen oder des Verlustes von Sachvermögen durch Naturkatastrophen oder andere Ereignisse.
Beispiel: Die Überflutung von Büroräumen führt zu Schäden in der Büroausstattung.

‍
Geschäftsunterbrechungen und Systemstörungen
Verluste aufgrund von Geschäftsunterbrechungen oder Systemstörungen.
Beispiel: Das zentrale IT-System der Bank fällt aus und führt dazu, dass die Bank nicht handlungsfähig ist.
‍

Ausführung, Lieferung und Prozessmanagement
Verluste aufgrund von Fehlern bei der Geschäftsabwicklung oder im Prozessmanagement, Verluste aus Beziehungen zu Geschäftspartnern und Lieferanten/Anbietern.
Beispiel: Eine Überweisung wird versehentlich auf ein falsches Konto durchgeführt.

Die Kategorien und die zugehörigen Beispiele zeigen, dass die praktische Relevanz der einzelnen Kategorien - auch je nach Bank - sehr unterschiedlich sein kann.

‍

Was sind Beispiele für Ursachen von operationellen Risiken?
Die Ursachen operationeller Risiken sind höchst unterschiedlich. Daher werden nachfolgend beispielhaft einige aufgezählt. Nicht selten haben sie ihren Ursprung in Schwächen im organisatorischen Aufbau oder in der IT. Beispielsweise können Prozessfehler oder Probleme in der internen Kommunikation dazu führen, dass Zahlungsaufträge doppelt ausgeführt, wichtige Daten falsch erfasst oder Zahlungen nicht rechtzeitig abgewickelt werden. Auch die Stabilität der eingesetzten IT-Systeme spielt eine wesentliche Rolle: Technische Ausfälle, Sicherheitslücken (Risiko von Cyberangriffen), veraltete Software oder unzureichend geschulte Mitarbeiter, ebenso wie "Kopfmonopole" (essenzielles Wissen auf einen oder wenige Mitarbeiter konzentriert) erhöhen das operationelle Risikopotenzial. Zu operationellen Risiken gehören aber auch falsche oder geänderte Einschätzungen rechtlicher Rahmenbedingungen. So kann ein höchstrichterliches Urteil eine bisher gängige Praxis für rechtswidrig erklären. Dies kann zu Rückerstattungen an Kunden und damit zu Verlusten aus operationellen Risiken führen. Ein Beispiel aus den vergangenen Jahren ist das Urteil zur unterstellten stillschweigenden Zustimmung bei der Erhöhung von Kontoführungsgebühren.

‍

Konkretes Beispiel: Volksbank Düsseldorf Neuss
Im Jahr 2023 hatte der Modekonzern Kiabi 100 Millionen Euro Firmen-Vermögen auf ein Konto der Volksbank Düsseldorf Neuss überwiesen. Die Finanzchefin des Konzerna soll kurz darauf die Volksbank Düsseldorf Neuss angewiesen haben, das Geld auf ein türkisches Konto zu überweisen. Seitdem fehlt von dem Geld jede Spur. Bei einer Bilanzsumme von 2 Mrd. EUR wäre der Verlust des Geldes vermutlich existenzgefährdend. Deshalb hat die Bank Ende 2024 nicht nur 30 Millionen Euro Rückstellungen gebildet, sondern auch eine Garantie über 70 Millionen Euro vom Bundesverband der Volks- und Raiffeisenbanken erhalten. Weiterhin hat die Bankenaufsicht BaFin Sonderbeauftragte für den Vorstand der Bank bestellt. Der Vorstandsvorsitzende ist mittlerweile zurückgetreten. Dieser Fall zeigt, welche weitreichenden Auswirkungen es haben kann, wenn operationelle Risiken sich materialisieren.

‍

Wie können operationelle Risiken gemessen werden?
Im Unterschied zu Marktpreis- oder Kreditrisiken ist die Quantifizierung operationeller Risiken schwieriger. Zur Messung des Risikos werden daher mehrere Instrumente genutzt. Die wesentlichsten werden nachfolgend beschrieben. So können  in der Vergangenheit eingetretene interne (innerhalb) und externe Schadensfälle herangezogen werden. Ebenso werden Experten aus den Bereichen der Bank befragt, die die für ihren Verantwortungsbereich bestehenden und potenziellen operationellen Risiken identifizieren und quantifizieren. Dies kann durch Szenarioanalysen (was können bei Eintreten definierter Szenarien für Schäden eintreten?) ergänzt werden. Zudem kann die Beobachtung von Risikoindikatoren dazu dienen, sich aufbauende Risiken frühzeitig zu erkennen. Ein Beispiel für einen Risikoindikator könnte die Personalfluktuation sein, deren Anstieg auf zukünftige  quantitativen und/oder qualitativen Probleme in der Durchführung wichtiger Prozesse und Tätigkeiten hindeuten könnte.

‍

Wie können operationelle Risiken reduziert werden?
Ebenso vielfältig wie die Ursachen operationeller Risiken sind auch die Möglichkeiten, diese zu reduzieren. Hierzu einige - bei weitem nicht vollständige und abschließende - Beispiele.

Verbesserung der Prozesse und Kontrollen
Standardisierung: Einheitliche Arbeitsabläufe reduzieren Fehlerquellen.
Automatisierung: Durch den Einsatz von Softwarelösungen lassen sich routinemäßige Tätigkeiten effizienter gestalten und menschliche Fehleingaben reduzieren.
Regelmäßige Prüfungen: Interne und externe Prüfungen helfen, Schwachstellen frühzeitig zu erkennen und abzustellen.

‍

Gezielte Schulungen und Sensibilisierung
Mitarbeiterschulungen erhöhen das Verständnis für Risiken, beispielsweise im Bereich der Informationssicherheit. Ebenso kann eine offene Kommunikation über Fehler und "Near-Miss-Vorfälle" (Vorfälle, die nur knapp nicht zu einem Schadensereignis geführt haben) helfen, struktureller Mängel zu identifizieren und größeren Schäden vorzubeugen.

‍

Einsatz moderner Technologie und Erhöhung der IT-Sicherheit
Sicherheitslösungen: Firewall-, Anti-Virus- und Verschlüsselungstechnologien reduzieren die Wahrscheinlichkeit von Datenverlusten und Cyberangriffen.
Regelmäßige Updates und Tests: Eine laufende Aktualisierung und Überprüfung der IT-Systeme (z. B. Penetrationstests) tragen zu einer erhöhten Stabilität und Resilienz dieser bei.
Notfallpläne: Funktionierende und getestete Backup-Systeme und Business-Continuity-Konzepte (Pläne, wie bspw. nach einem Systemausfall das System wieder hochgefahren wird) verkürzen Wiederanlaufzeiten nach einem Systemausfall.

‍

Fazit
Operationelle Risiken sind ein nicht unbedeutender - und nicht selten wenig beachteter - Bestandteil des Risikospektrums von Banken. Sie umfassen quasi alle Tätigkeiten der Bank und betrachten mögliche Schäden, die im Wesentlichen aufgrund von menschlichem oder technischem auftreten können. Im Extremfall kann das Eintreten eines operationellen Risikos für eine Bank existenzbedrohend sein. Es handelt sich daher um eine der vier wesentlichen Risikoarten einer Bank.

‍

Verwandte Artikel:

Die Risiken der Banken

‍