Hunderte Milliarden Euro wegen Fehlverhaltens haben allein 20 weltweit tätige Großbanken binnen zehn Jahren gezahlt. Um solche Risiken indes abzubilden, mangelt es an Daten und an aussagekräftigen Modellen, wie der Deloitte-Forensiker Matthias Rode sagt. Auch die Regulierer sehen Nachbesserungsbedarf.Von Tobias Fischer, FrankfurtOperationelle Risiken, wie sie etwa aus menschlichen Fehlern, IT-Ausfällen, Schäden durch Naturereignisse oder Betrug resultieren können, sind nicht erst seit Bekanntwerden des Wirecard-Skandals und dem Aufkommen der Nachhaltigkeitsdebatte stärker in den Fokus der Banken gerückt. Allein wegen Fehlverhaltens haben 20 Großbanken weltweit im Zeitraum 2008 bis 2018 umgerechnet 415 Mrd. Euro für Strafen und aufsichtliche Auflagen gezahlt, wie das Centre for Banking Research (CBR) der Business School City, University of London, errechnet hat.Es hat dabei sämtliche Kosten eingerechnet, die den Banken durch Fehlverhalten entstanden (Conduct Costs), darunter Geldstrafen und Vergleichszahlungen sowie Aufwendungen für aufsichtliche Auflagen. Auf US-Banken entfiel demnach mit 203 Mrd. Pfund mehr als die Hälfte der Kosten. Für die Jahre 2014 bis 2018 weist die Studie Zahlen auf Institutsebene aus. Von den in dieser Periode angefallenen Fehlverhaltenskosten von 188 Mrd. Pfund zahlte die Deutsche Bank knapp 14 Mrd. Pfund (s. Tabelle).Regulierer wie der Baseler Ausschuss für Bankenaufsicht und die europäische Bankenaufsicht schauen sich operationelle Risiken nicht zuletzt auch wegen der Coronakrise verstärkt an und feilen an Methoden, um weniger berücksichtigte Risiken einzubinden und sicherzustellen, dass diese neben Kredit- und Marktrisiken mit ausreichend Kapital unterlegt sind. Experten für Wirtschaftskriminalität wie Matthias Rode, Partner und Leiter der Service Line Forensic von Deloitte in Frankfurt, halten das Modell der operationellen Risiken für wenig hilfreich. Er ist überzeugt, dass die Bank für Internationalen Zahlungsausgleich (BIZ) als internationaler Regulierer schon an einem Vorschlag zu einer neuen, erweiterten Definition arbeitet, mit deren Einführung mittelfristig, also in fünf bis sieben Jahren, zu rechnen sei. Komplexität unterschätztEine solche Kategorie der nichtfinanziellen Risiken (NFR) sei Folge der Erkenntnis aus der Finanzkrise, dass das Konzept der operationellen Risiken zu kurz greife. “Man hat festgestellt, dass die simple Vorgehensweise, ein paar Daten in einer Operationelle-Risiken-Datenbank zu erfassen und mit Kapital zu unterlegen, viele Banken an ihre Grenzen gebracht hat, wenn sie Strafen zahlen und die Kosten für die Umsetzung aufsichtlicher Forderungen stemmen mussten”, sagt Rode. Die Komplexität sei in der Vergangenheit unterschätzt worden. “Auch den Aufsehern ist klar, dass bei operationellen Risiken viel zu wenig hingeschaut wurde. Das ist eher eventgetrieben. Die eigentliche Idee des präventiven Ansatzes ist auf dieser Seite nie passiert.”Der Baseler Ausschuss hat Nachbesserungsbedarf erkannt und im August zwei Papiere bis zum 6. November zur Konsultation gestellt, um bestehende Veröffentlichungen zu operationellen Risiken aus den vergangenen Jahren zu straffen, wie es heißt, und weitere Risiken und Erkenntnisse aus der Coronakrise einfließen zu lassen (vgl. BZ vom 7. August). Weitere Arbeit sei allerdings nötig, heißt es, um die Fähigkeit der Banken zu stärken, Ereignisse im Zusammenhang mit operationellen Risiken wie Pandemien, Cybervorfällen, Technologieversagen oder Naturkatastrophen aufzufangen. “Pandemiebedingte Störungen haben sich auf Informationssysteme, Personal, Einrichtungen und Beziehungen zu externen Dienstleistern und Kunden ausgewirkt”, schreibt der Ausschuss.Das Gremium definiert operationelle Risiken dabei, so wie auch in der Capital Requirements Regulation (CRR) angegeben, als das Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen, Systemen oder durch externe Ereignisse verursacht werden. Eingeschlossen seien Rechtsrisiken, nicht aber strategische und Reputationsrisiken. Strategische Risiken sind solche, die sich auf die Geschäftsstrategie oder die strategischen Ziele eines Instituts auswirken. Einheitliche Definition fehlt Operationelle Risiken seien demzufolge lediglich eine Teilmenge von NFR, sagt Rode. Anders als für operationelle Risiken gibt es ihm zufolge keine offizielle, einheitliche Definition für NFR. Er beschreibt sie als all jene Risiken, die nicht unter Markt-, Liquiditäts- und Kreditrisiko fallen. Verhaltensrisiken von Mitarbeitern, zu denen Schäden durch Fehler, Irrtümer und auch kriminelle Energie zählen, gehörten demnach ebenso dazu wie beispielsweise Cyberrisiken, Betrug, Rechts- und regulatorische Risiken, Klimarisiken und Reputationsrisiken.Sind bisher für die Berechnung der regulatorischen Eigenmittelanforderung für operationelle Risiken noch drei mögliche Methoden vorgesehen, so darf ab 1. Januar 2023 nur noch eine einzige Anwendung finden, der neue Standardansatz für operationelle Risiken. So war es Ende 2017 im Zuge des Basel-III-Reformpakets beschlossen worden. Ein einheitlicher Ansatz statt der bisherigen beiden Standardansätze sowie des Basisindikatoransatzes verbessere die Vergleichbarkeit, begrüßt Rode den Vorstoß, “da Banken in den vergangenen Jahren mit ihren Inhouse-Ansätzen teilweise sehr kreativ waren”. Interne Modelle stehen bekanntlich im Ruf, es Banken zu ermöglichen, Risiken und damit die Kapitalunterlegung kleinzurechnen. Professionalisierung vonnötenZwischen 400 Mrd. und 700 Mrd. Dollar haben Finanzinstitute ja nach Studie seit 2008 weltweit für NFR-bezogene Strafen und Schäden berappt. Seien Banken bei der Modellierung von finanziellen Risiken sehr gut aufgestellt und hätten sie diese weitgehend unter Kontrolle, so sehe das auf nichtfinanzieller Seite anders aus, sagt Deloitte-Experte Rode. “Die Frage ist, wie man eine Professionalisierung der NFR in der Art und Weise hinbekommt, wie es bei Markt-, Liquiditäts- und Kreditrisiken seit Jahren gang und gäbe ist. Da ist zu wenig passiert.”Auch die EZB tue sich schwer damit, wenngleich sie Aspekte wie Verhaltens- und IT-Risiken im aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) zu berücksichtigen versuche, sagt Rode. So zeigte sich die EZB-Bankenaufsicht bei der Vorstellung des jüngsten SREP-Berichts (vgl. BZ vom 29. Januar) zwar im Großen und Ganzen zufrieden mit der Kapitalausstattung der bedeutenden Banken Europas, nicht aber mit Blick auf deren operationelle Risiken – und damit zusammenhängend der Governance. “Die meisten operativen Risiken entstammen Verhaltensrisiken, die wiederum häufig auf Governance-Probleme zurückgeführt werden können”, erklärte der Chef der EZB-Bankenaufsicht, Andrea Enria, und kündigte an, den Blick künftig noch genauer auf interne Governance und operative Risiken richten zu wollen.Habe der SREP bis 2018 sehr stark auf finanzielle Risiken abgestellt, so sei seitdem eine stärkere Betrachtung von NFR zu beobachten, berichtet Rode. Die Bankenaufsicht fordere von den Banken Informationen ein, wie sie es mit NFR hielten. “Die EZB ist auf Factfinding-Mission und versucht, zu NFR schon mal Informationen aus verschiedenen großen Häusern zusammenzutragen.” Als Problem erweise sich aber die Datenlage. “Es stehen überhaupt nicht genügend Daten zur Verfügung.” Anders als etwa bei Kreditrisiken, für deren Modellierung Banken auf einen “fantastischen Datenpool” zurückgreifen könnten, der viele Jahrzehnte zurückreiche, bestünden für NFR lediglich einfach gestrickte Standardmodelle.Da sich die Quantifizierung von NFR als wesentlich schwieriger erweise als die von finanziellen Risiken, deren Modellierung sehr stark von Zahlen getrieben sei, müsse dabei auch auf Scoring-Verfahren zur Nutzung qualitativer Faktoren zurückgegriffen werden. “Was ich nicht messen kann, kann ich nicht steuern und managen. Ich kann von Banken nicht verlangen, zum Beispiel Rechtsrisiken zu bewältigen, wenn ich sie nicht einschätzen kann”, sagt Rode mit Blick auf die aufsichtlichen Erwartungen.Werde eine erweiterte Risikokategorie eingeführt, müssten Banken zumindest kurzfristig mit Mehrkosten rechnen. Langfristig dürften sie auf Erleichterungen hoffen, weil NFR helfen könnten, Risiken transparenter darzustellen und stärker zu standardisieren.