OpRisk-Regulierung der Banken nach Basel III E-Book

1.1.1 Aktuelle Entwicklungen

Auch wenn zum Teil erwartet wurde, dass sowohl die Anzahl der Schadensfälle als auch die enormen Schadenssummen aus operationellen Risiken nach dem Anstieg im Zusammenhang der Finanzkrise tendenziell wieder zurückgehen, kommt dem operationellen Risiko (OpRisk) weiterhin unvermindert große Aufmerksamkeit zu. Dies liegt zum einen daran, dass sich die Erfahrungen aus der Finanzkrise nun in weitreichenden regulatorischen Änderungen mit direktem oder indirektem OpRisk-Bezug niederschlagen und zum anderen an den Rekordsummen, die weiterhin zur Beilegung von Rechtsstreitigkeiten gezahlt werden, sowie den ganz neuen Drohpotenzialen durch Cyberattacken.

Auch nach den epochalen »rogue trading« Aktivitäten von Nick Leeson, die bereits in den 1990er-Jahren zum Ruin der Barings Bank führten und den ähnlich katastrophalen (zumindest teilweise) unauthorisierten Eigenhandelsaktivitäten von Jérôme Kerviel bei der Société Générale in 2008 kam es immer wieder durch bankinterne Betrugsfälle in Verbindung mit Handelsaktivitäten, so z. B. bei der UBS in 20111 und bei JPMorgan2 in 2012, bei einzelnen Banken zu OpRisk-Schäden in Milliardenhöhe. Zuletzt traten Fälle von kollektiven Marktmanipulationen bei Referenzzinssätzen (insb. beim LIBOR) und im Währungsgeschäft an die Öffentlichkeit und führten zu hohen Strafzahlungen und neuen Herausforderungen bei der Bekämpfung dieser Art des Mitarbeiterfehlverhaltens, das stark an Preisabsprachen im Kartellrecht erinnert.3

Generell sind im Zuge der Finanzkrise insbesondere durch Strafzahlungen in den USA die OpRisk-Verluste der US-amerikanischen aber auch großer europäischer Institute [14]stark angestiegen. Solche Fälle werden nun unter dem Schlagwort »Conduct Risk« als eigener Teilbereich des operationellen Risikos zusammengefasst. Das Conduct Risk umfasst v.a. Strafzahlungen und Schadensersatzleistungen aufgrund des Vertriebs fehlerhafter Produkte, Marktmanipulation und Verstößen gegen die Antigeldwäscheregelwerke. Zur Beilegung von Strafverfahren in den USA mussten die Großbanken seit Beginn der Finanzkrise bereits bis März 2014 100 Mrd. USD aufwenden.4 Diese Entwicklung wurde sehr wohl vom Baseler Ausschuss zur Kenntnis genommen und floss auch bei den Überlegungen zur Überarbeitung des Basel-III-Rahmenwerks mit ein.

Auch beim aufsichtlichen Stresstesting wird das Conduct Risk seit der Finanzkrise besonders berücksichtigt: Bereits die Ergebnisse des vorletzten EBA-Stresstests aus dem Jahr 2016 zeigten die wachsende Bedeutung des Conduct Risk auch in der aufsichtlichen Sichtweise auf das operationelle Risiko der Banken in der Europäischen Union: Demnach hätten die betrachteten OpRisk-Szenarien die harte Kernkapitalquote der betrachteten 51 europäischen Banken im Drei-Jahres-Horizont von Ende 2015 bis Ende 2018 um 110 Basispunkte, bei einem Gesamtschaden von 105 Mrd. EUR, reduziert. Allein das »Conduct Risk« war dabei für 80 Basispunkte und einen Schaden von 71 Mrd. EUR verantwortlich, d. h. den überwiegenden Teil des gesamten operationellen Risikos.5 Die Methodik und die Ergebnisse des jüngsten EBA-Stresstests in Bezug auf das operationelle Risiko werden in Unterabschnitt 3.2.3 dieses Buches detailliert dargestellt.

Als sehr prominentes jüngeres Beispiel zum Conduct Risk nach der großen Finanzkrise können die betrügerischen Handlungen bei der US-Bank Wells Fargo in Form von Scheingeschäften seit 2011 genannt werden. Tausende Bankmitarbeiter haben dabei für Kunden ohne deren Wissen mehr als zwei Millionen Einlagen- und Kreditkartenkonten eröffnet, Gelder transferiert und entsprechende Gebühren ohne Auftrag oder sonstige Zustimmung der Kunden vereinnahmt. Abb. 1.1 stellt den Schadensfall in Kurzform dar. Bis Ende 2018 belief sich die geschätzte Schadenhöhe aus dem Fall auf rund 2 Mrd. EUR (eine Detailvorstellung des Schadensfalls und der aufsichtlichen Reaktion hierzu erfolgt in Unterabschnitt 5.3.4).

In der jüngsten Vergangenheit sind neben den »rogue trader-Fällen« und dem »Conduct Risk« auch »Cyber-Risiken« in den Fokus der Aufsicht gerückt. Exemplarisch für das Bedrohungsbild Cyber-Risiken ist der Fall der Zentralbank von Bangladesch. Durch einen Hackerangriff konnten über das Zahlungsverkehrssystem SWIFT Zentralbankgelder im Volumen von rund 100 Mio. USD auf Privatkonten in den Philippinen und Sri Lanka überwiesen werden. Abb. 1.2 fasst den Schaden zusammen (eine genauere Darstellung, [16]ebenfalls anhand der Informationen in der Verlustdatenbank ÖffSchOR erfolgt in Unterabschnitt 5.3.3). Dieser Angriff, der mit staatlichen Stellen in Nordkorea in Verbindung gebracht wird, verdeutlicht, dass IT-Risiken weltweit im Bankensektor potenziell neue besonders bedrohliche Ausprägungen und Dimensionen erreichen können.

Neben den Großschäden aus operationellen Risiken existieren jedoch auch Klassen von kleinen aber sehr häufig vorkommenden Schäden, deren Gesamtschadensumme ebenfalls gefährlich für ein Kreditinstitut werden kann. Beispielhaft soll hier das sogenannte »Phishing« genannt werden: Im aktuellen Lagebild des Bundeskriminalamtes wurden für das Jahr 2017 mehr als 85.000 Fälle von Cybercrime im engeren Sinne und mehr als 250.000 Fälle mit dem »Tatmittel Internet« erfasst, darunter allerdings lediglich 1.425 Fälle von Phishing im Online Banking mit einem durchschnittlichen Schadenvolumen von 4.000 EUR.7 In Abschnitt 5.2 erläutern wir die vorliegenden Informationen zum Cybercrime im Finanzsektor. Generell kann hier schon vorneweg festgehalten werden, dass die geschätzten Schäden durch Cybercrime für die gesamte deutsche Wirtschaft stark zunehmen bei gleichzeitig rasant wechselnden Angriffstechnologien.8

Den größten Bedarf zur Weiterentwicklung des Risikomanagements sieht die Aufsicht aktuell zweifellos hinsichtlich Cyber- und IT-Risiken. Diese Risikoarten fallen zwar unter den OpRisk-Begriff, werden allerdings zunehmend durch eigene Normen reguliert. Vorläufiger Höhepunkt dieser Entwicklung neuer Anforderungen zur Steuerung der IT-Risiken war die Veröffentlichung des Rundschreibens »Bankaufsichtliche Anforderungen an die IT (BAIT)« durch die BaFin am 03.11.2017.9 Darüber hinaus hat die Europäische Bankenaufsichtsbehörde EBA diverse Vorgaben zu IT-Risiken im Zuge der Präzisierung der SREP-Anforderungen bereits erlassen oder im Entwurf vorgelegt.10 Auf nationaler Ebene werden in Deutschland auch nach dem Inkrafttreten des IT-Sicherheitsgesetzes zusätzliche Maßnahmen zum Schutz gegen Hackerangriffe vehement gefordert, ebenso wie auf internationaler Ebene.

Die Entwicklung der Anforderungen an das Management operationeller Risiken behandelt Kapitel 3 gebündelt. Kapitel 4 geht dann auf die wesentlichen Teilrisiken Conduct Risk und IT-Risiko sowie Auslagerungen ein, die aktuell in Regulierung und Bankpraxis am meisten Aufmerksamkeit erfahren. So hat die EBA hat am 25.02.2019 ihre überarbei[17]teten Leitlinien zum Outsourcing veröffentlicht. Der 125-seitige »final Report« der EBA Revised Guidelines on Outsourcing Arrangements enthält dabei auch Vorgaben, die über das geltende deutsche Aufsichtsrecht hinausgehen.11

Generell ist in der Institutspraxis eine Fortentwicklung der bisher v.a. für das operationelle Risiko im engeren Sinne zuständigen Einheiten hinsichtlich einer Erweiterung und Zusammenlegung zu größeren Organisationseinheiten festzustellen. Diese sind dann im Regelfall für das sog. »Non-Financial Risk« zuständig. Dabei werden oftmals Themenbereiche wie IT-Sicherheit und Geschäftskontinuitätsplanung sowie Auslagerungsmanagement mit der OpRisk-Methodik- und Steuerungseinheit verbunden. Zum Teil umfassen diese Einheiten auch das Reputationsrisiko, das Berechtigungsmanagement, die Fortentwicklung des internen Kontrollsystems bis hin zu risikoartenübergreifenden Gesamtbanksteuerungsthemen wie die Durchführung von Risikoinventuren und Stresstests für alle Risikoarten außerhalb des Kredit- und Marktrisikos.

Im Folgenden werden nun zunächst zwei Änderungen in der ganzheitlichen OpRisk-Regulierung kurz vorgestellt, die über die einzelnen OpRisk-Unterarten hinausgehen. Diese Änderungen in der Regulierung von operationellen Risiken in den letzten beiden Jahren betreffen sowohl die quantitativen Vorschriften, d. h. die Eigenkapitalanforderungen, als auch die qualitativen Anforderungen zur Risikosteuerung in den Banken.

Die wichtigsten Detailvorgaben zur Risikosteuerung sind im deutschen Bankaufsichtsrecht in den sog. Mindestanforderungen an das Risikomanagement (MaRisk) enthalten. Im Zuge der jüngsten Überarbeitung dieser Rechtsnormen mit der fünften MaRisk-Novelle vom 27.10.2017 wurden auch die Vorgaben zur OpRisk-Steuerung angepasst:

[18]Dieser Kurzüberblick über die jüngsten MaRisk-Änderungen mit Bezug zum operationellen Risiko wird in Kapitel 3 mit einer umfassenden Darstellung der Risikosteuerungsanforderungen im deutschen und europäischen Aufsichtsrecht vertieft. Zunächst folgt nun eine Darstellung der Anforderungen an die Eigenkapitalunterlegung des operationellen Risikos, wie sie mit dem Basel-II-Regelwerk eingeführt wurde und nun mit der Neuen Baseler Rahmenvereinbarung vom Dezember 2017 fundamental geändert wird. Exemplarisch für die Detailtiefe dieser Regelungen und die generelle Komplexität der bisherigen Vorgaben an die Berechnung der Eigenkapitalanforderungen zur Abdeckung des operationellen Risikos ist die »Delegierte Verordnung 2018/959 zur AMA-Beurteilung«12 Die Verordnung legt Kriterien fest, welche die zuständigen Aufsichtsbehörden in der Europäischen Union bei ihren Nachschauprüfungen der zugelassenen fortgeschrittenen Messansätze (sog. AMA-Ansätze) beachten müssen, so lange diese Ansätze zur Festlegung des erforderlichen Bankkapitals zur Risikoabdeckung (sog. Eigenmittelanforderung) verwendet werden. Obwohl diese AMA-Ansätze mit Inkrafttreten der Baseler Rahmenvereinbarung vom Dezember 2017 (Basel III) außer Kraft gesetzt werden, müssen die Institute nun seit in Krafttreten dieser insgesamt 45-Seiten umfassenden Rechtsnorm im April 2018 umfangreiche neue Anforderungen erfüllen.13

Damit wurde eine zweite wesentliche neue Anforderung betreffend das operationelle Risiko der Banken kurz genannt, bevor nun mit dem folgenden Unterabschnitt eine grundlegende Einführung in die bankaufsichtliche Regelsetzung und die Entwicklung der OpRisk-Vorgaben beginnt.

1.1.2 Drei Säulen nach Basel II und Säule-I-Plus-Konzept

Seit der Einführung des sogenannten Basel-I-Regelwerks wird zwischen den Eigenkapitalmindestanforderungen nach »Säule I« und den (bankinternen) Eigenkapitalanforderungen im aufsichtlichen Überprüfungsverfahren nach »Säule II« unterschieden. Die Mindestanforderungen an die Kapitalausstattung umfassen in Säule I seit Basel II das [19]Kredit-, Markt- und operationelle Risiko. Die geforderte Mindestquote ist an den aufsichtsrechtlichen Kapitalbegriff, d. h. die regulatorischen Eigenmittel, geknüpft.14

Die Begrifflichkeiten Säule I, Säule II und Säule III wurden also mit Basel II geprägt, das zwischen 1999 und 2004 von den im Baseler Ausschuss für Bankenaufsicht vertretenen Bankaufsichtsbehörden der großen westlichen Industriestaaten ausgehandelt wurde. Abb. 1.3 zeigt, wie bereits 1999 das erste Konsultationspapier zur »Neuen Baseler Eigenkapitalvereinbarung« zwischen den drei Säulen Mindestkapitalanforderungen, aufsichtliches Überprüfungsverfahren und Marktdisziplin differenzierte.

Abb. 1.3 vermittelt eine einfache Abgrenzung zwischen den drei Säulen nach Basel II. Bereits mit dem Stresstesting, das z. B. über die bereits genannten regelmäßigen aufsichtlichen Stresstests von EBA, EZB und BaFin eine große Bedeutung erlangt hat, wird diese Trennung zwischen den drei Säulen durchbrochen. Das Stresstesting durch [20]Institute und Aufsicht fungiert stattdessen seit längerem als Bindeglied zwischen Säule I und II. Mit dem neuen Säule-I-Plus-Konzept (s. Abschnitt 3.1 und die nachfolgende Kurzerläuterung in diesem Unterabschnitt) hat die Bankenaufsicht in der EU und Deutschland zudem die drei Säulen mittlerweile stark modifiziert. Dennoch ist eine Kenntnis der ursprünglichen Definition nach Basel II weiterhin notwendig.

Die Eigenmittelregulierung wird gemeinhin als wichtigster Bereich der laufenden Bankenregulierung gewertet: Hier werden eindeutige quantitative Vorgaben an die Banken gestellt, deren Nichteinhaltung sofort harte Sanktionen bis hin zum Schließen eines Instituts nach sich ziehen. Während bisher das Kreditwesengesetz (KWG) bis zur Finanzkrise von 2007/2008 lediglich »einfache Eigenmittelvorschriften« als zentrale Risikobegrenzungsnorm enthielt, ist mit den Reformpaketen Basel III/«Basel IV« und dem Inkrafttreten der Capital Requirements Regulation (CRR)15 nun eine viel stärkere Auffächerung der Eigenmittelvorschriften vorgenommen worden. Seitdem bestehen nun folgende Instrumente der Eigenmittelregulierung im europäischen Aufsichtsrecht:

An die Höhe der Eigenkapitalausstattung in den genannten Dimensionen sind zahlreiche Sanktionsmechanismen geknüpft, darunter auch konkrete Vorgaben zur Verbesserung der bankinternen Risikosteuerung. Insofern besteht eine enge Verknüpfung zwischen den quantitativen Kenngrößen der Bankenaufsicht und den qualitativen Verhaltensvorschriften.

Das operationelle Risiko (in der Bankpraxis als »OpRisk« abgekürzt) wurde mit Basel II – nach Kreditrisiko und Marktrisiko – zur dritten Risikoart aufgewertet, die in Säule I mit Kapital unterlegt wird. Eingeführt wurden OpRisk-Kapitalanforderungen mit der Baseler Eigenkapitalvereinbarung vom Juni 2004 (= Basel II).

[21]Das Basel-II-Regelwerk wurde in der EU zunächst in Form einer Richtlinie umgesetzt, die ihrerseits wieder eine nationale Umsetzung erforderte. Dabei handelte es sich um die sogenannte Capital Requirements Directive (CRD)16, die rechtlich bindend in Deutschland mit der Solvabilitätsverordnung (SolvV) vom Dezember 2006 umgesetzt wurde. Die deutschen Institute mussten die OpRisk-Eigenkapitalanforderung erstmals zum 01.01.2008 erfüllen. Mittlerweile sind die OpRisk-Anforderungen in Teil 3 Titel III der CRR17 geregelt (s. Unterabschnitt 1.1.3).

Auslöser für die Einführung einer eigenständigen Kapitalanforderung für das operationelle Risiko waren vor allem die bereits genannten spektakulären Großschäden in Banken durch betrügerische Handelsaktivitäten (insbesondere der Fall Nick Leeson). Die nach der Finanzkrise gestartete Vielzahl der aufsichtsrechtlichen Reformprojekte hat letztlich zu einer wesentlich größeren Komplexität der Eigenkapitalregulierung geführt. Das Drei-Säulen-Modell ist heute nur noch teilweise erkennbar. Abb. 1.4 skizziert, wie sich die Kernelemente der Eigenkapitalregulierung heute darstellen.

Bisher waren für die Banken in Deutschland vor allem die Mindesteigenkapitalanforderungen in Säule I der begrenzende Faktor für die Geschäftstätigkeit. Zwar besaß die Ban[22]kenaufsicht bereits vor Basel II die Möglichkeit in Form negativer Sonderverhältnisse gemäß § 10 KWG Kapitalzuschläge zu erheben. Trotz formeller Einführung des aufsichtlichen Überprüfungsverfahrens mit Basel II wurden diese Zuschläge allerdings nicht häufiger erhoben. Mit der jüngsten Reform der Baseler Eigenkapitalvorgaben und vor allem der Vereinheitlichung der Bankenaufsicht in der EU sind nun ganz neue Beschränkungen für die Banken in der Praxis wirksam als noch vor der Finanzkrise: Mittlerweile wird im Einheitlichen Aufsichtsmechanismus (Single Supervisory Mechanism – SSM) für alle Institute in Säule II eine über Säule I hinausgehende Kapitalanforderung nach dem sog. Säule-I-Plus-Ansatz erhoben. Die Anforderung setzt auf der Säule-I-Kapitaldefinition auf. Sie beinhaltet die mit Basel III eingeführten Kapitalpuffer ebenso wie Zuschläge auf Basis von Stresstests, für Modellschwächen der Säule-I-Ansätze sowie für darin nicht berücksichtigte Risiken. Insbesondere für nicht in der Quantifizierung in Säule I angemessen erfasste operationelle Risiken können somit Kapitalzuschläge in Säule II verhängt werden.

1.1.3 Die drei OpRisk-Ansätze der Säule I in der CRR

Die Bankenverordnung (CRR) hat die Regelungen der Baseler Kapitalvereinbarung (Basel II) zur Berechnung der OpRisk-Eigenkapitalanforderung in Säule I im Wesentlichen unverändert übernommen. Art. 312–324 CRR in Teil 3 Titel III Kapitel 1 CRR legen die aktuell gültigen Eigenmittelanforderungen an die Risikoart operationelles Risiko fest. Art. 312 CRR regelt die grundsätzlich freie Wahlmöglichkeit zwischen den drei OpRisk-Ansätzen, dem Basisindikatoransatz (BIA), Standardansatz (STA) und einem fortgeschrittenen Messansatz (Advanced Measurement Approaches – AMA).

Während die Anforderungen im Rahmen von Säule II europarechtlich in der Bankenrichtlinie (CRD IV/CRD V) sowie diversen EBA-Leitlinien geregelt sind (vgl. hierzu Kapitel 3 im Detail), sind die Offenlegungsanforderungen der dritten Säule wiederum als Teil 8 in Art. 431–455 der CRR enthalten (vgl. Abschnitt 5.1). Art. 446 CRR verlangt bisher hinsichtlich des operationellen Risikos lediglich die Offenlegung des Ansatzes, für den sich das Institut qualifiziert hat, sowie zusätzlich folgende Angaben: bei Anwendung des AMA die Beschreibung der Messmethodik, insbesondere der relevanten internen und externen Einflussfaktoren, sowie bei Anwendung des sog. »Partial Use« die Beschreibung des Anwendungsbereichs und des Umfangs der genutzten Methoden.

Insgesamt ist vorneweg festzuhalten, dass auch für die »junge« Risikoart operationelles Risiko mittlerweile ein umfassendes Regelwerk entwickelt wurde, das weit über die Eigenmittelunterlegungsvorschriften der CRR hinausgeht. Die hohe Regelungsdichte entspricht mittlerweile den Risikoarten Kredit- und Marktrisiko, ist allerdings in vieler[23]lei Hinsicht prinzipienorientierter und erschließt sich oftmals nur im Vergleich zwischen den der Regelungssphären von Säule I und Säule II.

Der noch geltende CRR-Text macht die vom Basisindikatoransatz (BIA) über den Standardansatz (STA) zu den fortgeschrittenen Messansätzen (AMA) zunehmende Regelungsdichte in Säule I deutlich: Art. 315 CRR legt die Berechnungsmethodik im BIA fest und Art. 316 CRR definiert die für die Höhe des OpRisk-Anrechnungsbetrags im BIA und STA entscheidende Variable des maßgeblichen Indikators (auch Bruttoertrag oder relevanter Indikator genannt).

Der OpRisk-Standardansatz (STA) ist in Art. 317–320 CRR geregelt. Neben dem maßgeblichen Indikator gemäß Art. 316 CRR und der Berechnungslogik gemäß Art. 317 CRR ist für die Höhe der Eigenmittel im STA die sog. »Geschäftsfeldzuordnung« (business line mapping) entscheidend. Die Vorgaben hierzu enthält Art. 318 CRR. Art. 319 CRR regelt mit dem sog. alternativen Standardansatz (ASA) eine Untervariante des Standardansatzes, den ein Institut wählen darf, das die in diesem Artikel genannten Voraussetzungen erfüllt. Art. 320 CRR enthält abschließend die qualitativen Voraussetzungen, die alle Standardansatz-Institute (inkl. ASA-Institute) für die Anwendung dieses Ansatzes erfüllen müssen.

Die vier zum Teil recht ausführlichen Art. 321–324 CRR legen die Voraussetzungen und Berechnungsmodalitäten im AMA fest. Eine eigentliche Berechnungssystematik wird im Gegensatz zu den beiden einfachen OpRisk-Ansätzen nicht mehr vorgegeben. Stattdessen wird eine große Flexibilität bei der Berechnungsmethodik eingeräumt, sofern die qualitativen AMA-Zulassungsvoraussetzungen gemäß Art. 321 CRR und die quantitativen Zulassungsvoraussetzungen gemäß Art. 322 CRR erfüllt werden. Art. 323 CRR ergänzt den AMA-Teil der CRR hinsichtlich der Möglichkeit der risikomindernden Anrechnung von Versicherungen und anderen Risikoübertragungsmechanismen, während Art. 324 CRR den OpRisk-Teil der CRR beendet, indem er die in Art. 322 CRR genannten »Verlustereigniskategorien« mittels einer tabellarischen Auflistung darstellt (s. Unterabschnitt. 1.1.4).

Nach der Grundkonzeption von Basel II sollte eine im Durchschnitt beim Übergang von BIA zu STA und vor allem zum AMA sinkende Kapitalbelastung dabei den zentralen Anreiz darstellen, um die Institute zu bewegen, sich freiwillig höheren Anforderungen zu unterwerfen (s. hierzu Unterschnitt 1.2.1). Der Basel-II-Regeltext wies in diesem Zusammenhang darauf hin, dass die Bankenaufsicht die Eigenkapitalanforderungen, die eine Bank mit dem von ihr verwendeten OpRisk-Ansatz errechnet hat, auf ihre Plausibilität überprüft und, sofern die Plausibilität nicht gegeben ist, angemessene aufsichtliche Maßnahmen i. R. der Säule II in Erwägung zieht. Aus diesem Grund erläutert diese Gesamtdar[24]stellung nicht nur die neuen Säule-I-Vorgaben zum OpRisk ausführlich, sondern stellt auch ebenso ausführlich die Säule-II-Vorgaben zum operationellen Risiko in Kapitel 3 dieses Buches vor.

1.1.4 Definition der Risikoart operationelles Risiko

Art. 4 Abs. 1 Nr. 52 CRR definiert »operationelles Risiko« als »das Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen und Systemen oder durch externe Ereignisse verursacht werden, einschließlich Rechtsrisiken«. Demnach fallen insbesondere Betrugsrisiken (»Fraud Risk«) und Rechtsrisiken vor allem im Zusammenhang mit arbeitsrechtlichen Streitigkeiten oder Produkthaftung sowie Sachschäden und finanzielle Verluste durch Prozessfehler oder aufgrund menschlichen Versagens, IT-Problemen oder sonstigen außerordentlichen Umständen unter die OpRisk-Definition.

Der Begriff des operationellen Risikos wurde erst in den 1990er-Jahren durch den Baseler Ausschusses für Bankenaufsicht in die bankenaufsichtliche Literatur eingeführt: Der Baseler Ausschuss verlangte erstmals 1997 in seinen Core Principles for Effective Banking Supervision, dass die international tätigen Institute ihr »Operational Risk« geeignet steuern sollen.18 In der Institutspraxis und Wissenschaft wurde der englische Fachbegriff »operational risk« vor der rechtlichen Umsetzung von Basel II oftmals auch als »Betriebsrisiko« und »operationales Risiko« oder »operatives Risiko« übersetzt. Auch in der deutschen Übersetzung der Core Principles for Effective Banking Supervision durch die Deutsche Bundesbank aus dem Jahr 1997 wurde »Operational Risk« noch als »Betriebsrisiko« übersetzt.

Erst mit den Konsultationspapieren zu Basel II, im Zusammenhang mit den EU-Umsetzungsrichtlinien sowie der rechtlichen Umsetzung in Deutschland legte sich die deutsche Bankenaufsicht auf den Begriff operationelles Risiko fest.19 Die zu Beginn dieses Abschnitt angeführte OpRisk-Definition nach Basel II ist so allgemein gehalten, dass letztlich fast alle Risiken darunter eingruppiert werden können. Da eine weitere Schärfung der Definition weder in der CRR noch in der CRD, dem Kreditwesengesetz oder anderen europäischen und nationalen Rechtsnormen erfolgt, muss zur Verdeutlichung ihrer Inhalte vor allem auf die Publikationen des Baseler Ausschusses sowie auf die Erläuterungen, die im Fachgremium OpRisk in Zusammenarbeit zwischen [25]OpRisk-Experten der deutschen Aufsicht und der Bankpraxis entwickelt wurden, verwiesen werden.20

Als wesentliche weitere Detailregelung zur OpRisk-Definition muss daneben die bereits genannte delegierte Verordnung zur AMA-Beurteilung herangezogen werden (s. Unterabschnitt 1.2.7). Eine Klarstellung der OpRisk-Definition gibt die CRR indirekt über die sog. Verlustereigniskategorien21 gemäß Art. 324 CRR, die in Tab. 1.1 dargestellt sind.

Institute, die einen fortgeschrittenen Messansatz anwenden, müssen ihre Verluste gemäß Art. 322 Abs. 3 Buchst. b) CRR einordnen. Die in Art. 324 aufgelisteten Begriffsbestimmungen der sieben Verlustereigniskategorien verdeutlichen, welche konkreten Verlustereignisse unter die Risikoart operationelles Risiko gefasst werden. Demnach fallen Betrugsrisiken und Rechtsrisiken insbesondere im Zusammenhang mit arbeitsrechtlichen Streitigkeiten oder Produkthaftung sowie Sachschäden und finanzielle Verluste durch Prozessfehler oder aufgrund menschlichen Versagens, IT-Problemen oder sonstigen außerordentlichen Umständen unter die OpRisk-Definition.

Eine wesentliche Einschränkung der sehr weit gefassten OpRisk-Definition erfolgt durch eine gewisse Begrenzung der Risikomessung und Risikoschätzung auf »Verluste«. Grundsätzlich müssen dabei bei AMA-Modellen sowohl bankinterne Verluste als auch andere, bankexterne Verluste in die Modellierung einfließen. Vorgaben für die Sammlung von Verlusten bestehen allerdings gemäß MaRisk und den Meldeanforderungen der CRR für alle Institute. Dabei müssen allerdings auch Beinaheverluste und andere Ereignisse für die OpRisk-Steuerung bankintern erfasst werden, sodass tatsächlich keine Beschränkung der OpRisk-Erfassung auf »harte« Verluste, die zu entsprechenden Aufwandsbuchungen in der Bankbilanzierung führen, vorliegt.

Gemäß Art. 4 Abs. 1 Nr. 52 CRR schließt die OpRisk-Definition Rechtsrisiken ein. Die Abgrenzung zu anderen Risikoarten erfolgt allerdings ansonsten nicht in der CRR selbst, sondern vielmehr per Auslegung der deutschen Bankenaufsicht und der EBA bzw. aktuell auch über die delegierte Verordnung zur AMA-Bewertung. In der Baseler Rahmenvereinbarung ist zudem klar geregelt, dass die Risikoarten Reputationsrisiko und strategisches Risiko nicht Teil des operationellen Risikos sind22 Eine Erläuterung der aufsichtlichen Festlegungen zum Reputations- und strategischen Risiko [27]erfolgt in Abschnitt 4.1 sowie zum Rechtsrisiko und Conduct Risk in Abschnitt 4.2. Kapitel 4 stellt die besonderen Steuerungsverfahren zu diesen OpRisk-Unterrisikoarten vor.

1.1.5 Nutzung der OpRisk-Ansätze durch die Institute

Wie bereits erläutert ermöglicht Art. 312 CRR die grundsätzlich freie Wahl der beaufsichtigten Institute zwischen den drei OpRisk-Ansätzen, dem Basisindikatoransatz (BIA), Standardansatz (STA) und einem fortgeschrittenen Messansatz (advanced measurement approaches, AMA). Nach der Grundkonzeption von Basel II sollte eine im Durchschnitt beim Übergang von BIA zu STA und vor allem zum AMA sinkende Kapitalbelastung dabei den zentralen Anreiz darstellen, um die Institute zu bewegen, sich freiwillig höheren Anforderungen zu unterwerfen. Die einfachen Ansätze sind derart kalibriert, dass im Durchschnitt die OpRisk-Kapitalanforderung durch Anwendung eines fortgeschrittenen, risikosensitiveren Ansatzes sinken sollte.23

Der Baseler Ausschuss, die EU und die deutsche Aufsicht hatten sich im Zuge der Einführung von Basel II und auch später gescheut, Institute mit hohem OpRisk klar zur Anwendung eines fortgeschrittenen Messansatzes oder zumindest des Standardansatzes zu verpflichten, um die hiermit verbundene Anreizproblematik zu lindern.24