Operationelle Risiken
BTR 1 Operationelle Risiken
| 1 Das Institut hat den operationellen Risiken durch ein angemessenes Risikomanagement Rechnung zu tragen. Für diese Zwecke ist eine institutsintern einheitliche Festlegung und Abgrenzung der operationellen Risiken vorzunehmen und an die Mitarbeiter zu kommunizieren. | Definition von operationellen Risiken Die Festlegung sollte auch eine möglichst klare Abgrenzung zu anderen vom Institut betrachteten Risiken enthalten. Umgang mit nicht eindeutig zuordenbaren Schadensfällen oder Beinahe-Verlusten Die Prozesse zum Management operationeller Risiken sollten auch den Umgang mit nicht eindeutig zuordenbaren Schadensfällen(„boundary events“), Beinahe-Verlusten und zusammenhängenden Ereignissen umfassen. Als sog. „boundary events“ können Verluste eingestuft werden, die zwar einem anderen Risiko zugerechnet werden oder bereits wurden (z.B. Kreditverluste), die aber ihren Ursprung in Ereignissen wie z.B. mangelhaften Prozessen und Kontrollen haben oder hatten. Als „Beinahe-Verluste“ können durch Fehler oder Mängel ausgelöste Ereignisse bezeichnet werden, die zu keinem Verlust geführt haben. |
| 2 Es muss gewährleistet sein, dass wesentliche operationelle Risiken zumindest jährlich identifiziert und beurteilt werden. Dabei sind die Auswirkungen von ESG-Risiken angemessen zu betrachten. | |
| 3 Das Institut hat eine angemessene Erfassung von Schadensfällen sicherzustellen. Bedeutende Schadensfälle sind unverzüglich hinsichtlich ihrer Ursachen zu analysieren. | Erfassung von Schadensfällen Abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivität haben Institute hierfür eine Ereignisdatenbank für Schadensfälle einzurichten, bei welcher die vollständige Erfassung aller Schadensereignisse oberhalb angemessener Schwellenwerte sichergestellt ist. Sammelschäden Einzeln erfasste Schadensfälle, die dem gleichen Ereignis zugeordnet werden können, müssen aggregiert weiterverarbeitet werden. |
| 4 Die Verfahren zur Beurteilung der operationellen Risiken müssen die wesentlichen Ausprägungen operationeller Risiken erfassen. | Wesentliche Ausprägungen Bei der Beurteilung der wesentlichen Ausprägungen sind historische Erkenntnisse (insbesondere Schadensfälle) und potenzielle Ereignisse zu berücksichtigen. Zur Identifikation und Beurteilung relevanter potenzieller Ereignisse sind auch Erkenntnisse zu aktuellen Schwachstellen, insbesondere aus der Internen Revision, dem Informationssicherheitsmanage- ment, der Compliance-Funktion, den Anpassungsprozessen sowie dem Notfall- und Auslagerungsmanagement, heranzuziehen. |
| 5 Auf Basis der identifizierten operationellen Risiken ist zu entscheiden, ob und welche Maßnahmen zur Beseitigung der Ursachen zu treffen oder welche Risikosteuerungsmaßnahmen zu ergreifen sind. Die Umsetzung der zu treffenden Maßnahmen ist zu überwachen. | Risikosteuerungsmaßnahmen Zu den Risikosteuerungsmaßnahmen zählen z. B. Versicherungen, Ersatzverfahren, Neuausrichtung von Geschäftsaktivitäten und Maß- nahmen des Notfallmanagements. |