MEGA Deutschland, Österreich und Schweiz

Zu mega.com

HOME > News > In der Presse

Besseres Risikomanagement

Datenbank zeigt operationelle Risiken auf

 

Geldinstitute 5/2007 - Der Zusammenbruch des amerikanischen Immobilienmarktes war hierzulande besonders stark zu spüren. Um derartige Risiken zu vermeiden und gleichzeitig gesetzlichen Vorgaben wie Basel II, SOX oder MiFID zu entsprechen, bietet sich ein softwaregestütztes GRC-System (Governance Risk Compliance) an. Wie das funktioniert, zeigen die Autoren.

Weltweit kämpfen Kreditinstitute in einem konsolidierten Markt verbissen um jeden Kunden. Dabei haben die deutschen Banken in den letzten Jahren international an Bedeutung verloren. Die Kosten sind zu hoch, die Renditen zu zering und die Fähigkeit, neue innovative Finanzprodukte zu entwickeln, wird von Fachleuten als eher durchschnittlich beurteilt. Gerade im Firmen Kundengeschäft, auf das das sich die Banken vor einigen Jahren konzentriert haben, mangelt es an Einkommensquellen für die Banken.

Die deutschen Unternehmen sind überwiegend gesund und können ihre Investitionen aus eigener Kraft bewältigen. Das Geschäft mit privaten Anlegern stagniert seit 2003. Um dennoch die erwarteten Renditen zu erzielen, steigen viele Institute in riskante Markte ein. Gleichzeitig ist das Risikomanagement oft weniger stark ausgeprägt als bei vergleichbaren internationalen Instituten.

"Selbstverständlich verfügt jede Bank uber ein Risikomanagement. Mit Sicherheit gibt es auch Fachleute, die sich mit den jeweiligen Regularien befassen", sagt Rolf Irion, Managing Director Deutschland des Software- und Beratungsunternehmens MEGA International, das dieses Jahr eine umfassende GRC-Suite auf den Markt gebracht hat. "Das Problem sind die ,Silo-StruktUren in den meisten Kreditinstituten. Das Risikomanagement wird meist losgelöst von Compliancethemen behandelt und die verschiedenen regulativen Vorgaben wie BaseI II und SOX werden ihrerseits in unterschiedlichen Bereichen nach eigenen Methodikenbearbeitet. So kann GRC weder effektiv und vor allem nicht effizient sein. Unsere Aufgabe ist es diese "Silos" zu einem gutfunktionierenden Ganzen zusammenzuführen. Das bietet den Vorteil, dass Audits risikoorientiert entwickelt werden können, was die Kosten enorm senkt."

Ein Problem, das durch dramatische Fehlspekulationen immer wieder in den Vordergund tritt, ist die Tatsache, dass Geldinstitute zwar die finanziellen Risiken verschiedener Anlageformen sehr genau analysieren,operative Risiken jedoch in vielen Fällen - trotz Basel II - immer noch unberücksichtigt bleiben. Hier kann eine klassische Geschäftsprozessanalyse hilfreich sein. Dabei müssen alle Ebenen des Unternehmens berücksichtigt werden - vom Vorstandsvorsitzenden bis zu den Kundenberatem in den Filialen. Von der praktischen Umsetzung her ist dieses so genannte Business Process Modeling (BPM) unabhängig von den GRC-Aktivitäten.


Beide Projekte ergänzen sich jedoch hervorragend. Gerade grosse Institute sind oft noch in starren Konzernstrukturen verhaftet, die es ihnen erschweren, so schnell und flexibel auf Marktrisiken zu reagieren, wie es heute norwendig wäre. Eine gründliche Analyse der Geschaftsprozesse kann zum Beispiel die erwähnten "Silo-Strukturen sichtbar machen. Sie können dann im Laufe des BPM-Prozesses zusammengeführt und effizienter gestaltet werden. Wird die Prozessanalyse um die modellhafte Abbildung der gesamten Unternehmensarchitektur erweitert, können die operationellen Risiken als Teil der Unternehmensarchitektur dargestellt werden. So ist es einfacher, sie im Zusammenspiel mit Prozessen, Organisation um IT im Auge zu behalten.


"Bei der Prozessmodellierung können wir heute auf Methoden und Erfahrungenzurückgreifen, die über Jahrzehnte für die Industrie entwickelt wurden und dort berereits erfolgreich umgesetzt werden. Natürlich gibt es Unterschiede zwischen Industrie- und Dienstleistungssektor, aber die verschwimmen immer mehr" erklärt Thomas Kugel, Berater bei MEGA International. "Die IT einer Bank lässt sich zum Beispiel durchaus mit den Maschinenparks und Produktionsstrassen der Industrie vergleichen. Flexibilisierung, Ausweitung von Normen, höhere Anforderungen, striktere staatliche Kontrolle, zunehmende Komplexität der Produkte und sich verkünzende Produktenlebenszyklen sind Themen, die nahezu alle Branchen betreffen".

Im Rahmen eines GRC-Projekts ist die technische Implementierung meist der geringste Aufwand. Professionnell arbeitenden Anbieter konzentrieren sich schwerpunktmässig auf die Beratung im Vorfeld sowie auf die Schulung der Anwender, die letztendlich mit den neuen Tools arbeiten müssen. Bei der GRC-Suite von MEGA zum Beispiel können die Beschreibungen der einzelnen Risiken und Regularien individuell an die Systematik des Kunden angepasst werden. Bei grossen Konzernen werden häufig in ausgewählten AbteilungenPilotprojekte abgewickelt. Die Erfahrungen daraus werden dann im weiteren Roll-out berücksichtigt. Eine vollständige GRC-Lösung besteht aus mehreren Modulen, die sich gegenseitig beeinflussen:

  • Mapping: Mit diesem Modul werden Risiko- und Kontrollkataloge erstellt sowie Regularien modelliert. Die einzelnen Beschreibungen können mit den bestehenden oder noch zu erstellenden BPM- oder Unternehmensarchitektur-Systemen abgeglichen werden.
  • Assessment beinhaltet alles, was zur Planung und operativen Steuerung von Audits, Fragebogenaktionen, Test und Self-Assessments nötig ist, über die Risiken und Kontrolle bewertet werden.
  • Action Plans helfen, alle (Verbesserungs-)-Massnahmen nachzuhalten, zu dokumentieren und deren Umsetzung zu monitoren.
  • LDC (Loss Data Collection) hilft Risikofälle und aufgetretene Verluste zu identifizieren und sie nach Betragshöhe, Ursache und Ownership zu bewerten.
  • Quantitative Analysis errechnet Capital at Risk auf der grundlage von Monte-Carlo-Simulationen, Verlustdatenbanken und Standard-Marktdatenbanken.

"Eine GRC-Lösung bedeutet natürlich nicht, dass in Zukunft, der Computer alle Risiken von selbst vermeidet", warnt Irion. "Sie hilft nur, Fehlerquellen aufzuspüren und die richtigen Massnahmen zu ergreifen, um operationelle Risiken zu minimieren. Die Abstimmung auf staatliche Vorgaben oder Entwicklung von neuen Finanzprodukten und ihre Vermarktung sind weiterhin Sache der Compliance-Spezialisten, Manager und Kundenberater".

Autoren:

Rolf Irion, Managing Director Deutschland des Software- und Beratungsunternehmen MEGA International

Thomas Kugel, Berater bei MEGA International

Lesen Sie den Artikel auf Geldinstitute.de

 

Zurück

Print