Im Fokus: OpRisk bei Versicherungen

Versicherer betrachten und bewerten seit jeher die Risiken, die sie im Rahmen der Deckungszusage eingehen. Eher neu für die Versicherer ist die Betrachtung der Risiken, die das Unternehmen selbst betreffen – operationelle Risiken.

Von der Wahl zur Pflicht wurde die Beachtung und Bewertung der operationalen Risiken erst mit Einführung von MaRisk im Jahr 2009 durch die Aufsichtsbehörde, noch weiter intensiviert unter Solvency II. Auch wenn der OpRisk Anteil relativ gering im Rahmen der Gesamtbetrachtung aller Risiken ausfällt, stellt diese Risikoart aufgrund mangelnder Verfügbarkeit und Qualität der erforderlichen Daten eine besondere methodische Herausforderung dar.

Vor einer Implementierung von systematischen Erhebungsmethoden sind OpRisk Daten meist nur unvollständig und inkonsistent vorhanden – zumal diese weitgehend unternehmensspezifisch sind und nicht in großen Mengen extern bezogen werden können. Somit muss eine Mischung aus Ex-post, Ex-ante und Status quo Daten zum Einsatz kommen. Gerne werden operative Risiken wenig beachtet, klar sein muss hierbei allerdings, dass der eigentliche Schaden sich auch in anderen Risikoarten wiederfinden kann. Ein Beispiel: Ein Mitarbeiter trifft eine falsche Entscheidung (mangelnde Schulung) bei einer Kapitalanlage, was wiederum zu großen Verlusten führt (Kapitalrisiko). Das eigentliche, operative Risiko liegt also in der mangelnden Schulung.

In der Praxis hat sich der Aufbau einer Schadenbank bewährt. Im Rahmen dieser bottom up Systematik werden Schadenfälle beschrieben, das Datum des Eintretens, auszahlungswirksame Kosten, schadenmindernde Maßnahmen und Schadenskategorisierung festgehalten. Auf Basis dessen setzt das Risikomanagement ein Reporting auf um Informationen für zukünftige Kapitalunterlegungsmaßnahmen zu nutzen. Ein häufiges Problem ist die Tatsache, dass es relativ wenige operationale Risiken am Anfang eines Datenbankaufbaus gibt. Es dauert eine gewisse Zeit, bis sich die Systematik in den operativen Bereichen gefestigt hat auch Vorgänge zu melden, die auf den ersten Blick vielleicht kein Risiko darstellen. Das Feingefühl muss hier geschärft werden. Eine monatliche Abfrage aller Bereiche auf Besonderheiten kann hier hilfreich sein um eine unternehmensweite Risikokultur für die erfolgreiche Einführung eines ganzheitlichen Systems zur Aufnahme, Messung und Regelung von operationellen Risiken zu schaffen.

Auch ein Zukauf von Daten ist möglich. So stehen den Versicherern entsprechende Datenbanken zur Verfügung. OREC ist im angelsächsischen Raum hierfür ein gutes Beispiel. Es handelt sich um ein Konsortium zur Pflege einer OpRisk Datenbank. Eine breite Datenbasis mit validen Daten wird dadurch geschaffen. Für eine entsprechende Modellierung sind gerade Daten über Risiken von großer Bedeutung, die zwar selten vorkommen, aber wenn sie vorkommen einen großen Schaden nach sich ziehen.

Da die Risikoprofile der Versicherer aufgrund unterschiedlicher Prozesse sehr differenziert ausfallen, ist unsere Empfehlung eine spezifische Risikoinventur durchzuführen. Dies zieht eine Schätzung von Eintrittswahrscheinlichkeiten und der potentiellen Schadenhöhe nach sich. In der Ex Post Betrachtung ist es dann möglich festzustellen, wie oft ein Risiko prognostiziert wurde und wie oft es letztendlich eingetreten ist. Zukunftsprognosen sind dann in der Zeitfolge immer einfacher zu erstellen. Im Rahmen von Workshops werden Szenario Analysen durchgeführt. Ziel ist es insbesondere übergreifende Risiken festzustellen, die mehrere operative Bereiche einer Gesellschaft betreffen – etwa der Ausfall von Ressourcen (Business Continuity Management). Auch werden Risikoindikatoren in Form von Kennzahlen eingesetzt, deren Veränderung die entsprechende Entwicklung anzeigen. Dies geht mit der Implementierung eines Ampelsystems einher um schnell Entwicklungen zu erkennen und identifizierte Risiken mit risikomindernden Maßnahmen zu versorgen und somit das Risiko zu steuern. Der gesamte Risikomanagementprozess ist dann ein Kreislauf: relevante Risiken werden identifiziert und bewertet, hieraus wird ein Reporting erstellt, welches wiederum die Entscheidungsgrundlage für die Risikosteuerung bildet. Die Umsetzung der Maßnahmen wird überwacht und das Ergebnis wieder bewertet.

RFC Professionals geht gerne mit Ihnen in den Dialog hinsichtlich einer unternehmensindividuellen und insbesondere unter Proportionalitätsgesichtspunkten entsprechenden Unterstützung im Rahmen eines Datenaufbaus für operationelle Risiken und deren Dokumentation, seien intern Quellen oder auch externe Quellen besser geeignet. Insbesondere bei zu treffenden Zukunftsannahmen und zu erwartenden Auswirkungen von Maßnahmen stehen wir Ihnen sehr gerne beratend zur Seite.

Alexander Wolf

Ihr Ansprechpartner:

Alexander Wolf

Mail