Reduziert Outsourcing bei Banken die IT-Sicherheit?

von Artur P. Schmidt

- Sicherheitslücken aller Orten
Die unmittelbare Verantwortung für den sicheren Einsatz der EDV, für den früher in erster Linie sogenannte Service-Rechenzentren (vor allem im Genossenschaftsbereich) zuständig waren, wurde in den 90 er Jahren zunehmend in die Primärbanken hinein verlagert. Die Anpassung der EDV-Landschaften in den Banken an neue Technologien war notwendig, um den Anforderungen eines sich rasant entwickelnden Marktes der Informationstechnologie nachzukommen und somit langfristig wettbewerbsfähig zu bleiben. Durch Fusionen, Kostensenkungsdruck und Fokussierung auf Kernkompetenzen kehrt sich dieser Verlagerungstrend jedoch teilweise wieder um und es werden immer mehr Sicherheitsdienstleistungen outgesourct. Der Trend zum Outsourcing führt in Kombination mit der exponentielle Zunahme der Angriffe von Cyberkriminellen allerdings auch zu immer mehr Sicherheitslücken in den Netzwerken der Banken. Durch den Einsatz neuer IT-Technologien, insbesondere durch den zunehmenden Einsatz von Personalcomputern und deren Vernetzung, haben sich für die Banken neue Aufgaben ergeben wie z.B. das Home-Banking, der Webauftritt der Bank, der Zugang zum Internet für die Mitarbeiter oder der E-Mail-Verkehr über das Internet. Gleichzeitig sind die Risiken durch externe Hackerangriffe mit Trojanischen Pferden, den allzu sorglosen Umgang von Bankangestellten mit ihren persönlichen Kennwörtern oder die bewusste Datenmanipulation durch Angestellte eines ausgegliederten Rechenzentrums erheblich gestiegen.

- Frühwarnsysteme verbessern

Tip: Kostenlose Artikel und Präsentationen zum Thema Banken Kernbank IT und Sicherheit - klicken Sie hier

Es gilt im Rahmen der IT-Sicherheit der Unversehrtheit der Daten, der Vertraulichkeit der Daten, der Verfügbarkeit der Daten, der Authentizität der beteiligten Datentransferpartner und der Verbindlichkeit des Datenaustausches höchste Priorität einzuräumen. Wenn immer mehr "Netzwerke und Großrechner von Externen betreut werden, müssen mögliche Risiken frühzeitig erkannt und Sicherheitsstandards schneller als heute den Bedrohungspotentialen angepasst werden. Immer mehr Banken sourcen heute ihre IT-Abteilungen in Tochterfirmen aus, die zu allem Überfluss auch noch unter erheblichem Kostendruck stehen. Leider hat die
IT-Sicherheit im Führungs-Cockpit des Top-Managements keine Anzeigeinstrumente, weshalb die Risiken von Bank-Managern erst viel zu spät erkannt werden. So konnte vor kurzem eine große Retail-Bank wegen eines Systemausfalls für mehr als drei Stunden auf kein einziges Kundenkonto zugreifen. Zieht sich eine Lösung mehrere Tage hin, kann dies zu einem hohen Schaden bei den Kunden führen, die dann auch sehr schnell grössere Schadensersatzforderungen geltend machen können.

- Der Kostensenkungsdruck nimmt zu
Eine branchenunabhängige Umfrage der Meta-Group hat ergeben, dass in über 60% der Fälle das Outsourcing zu Einsparungen von über 10% der IT-Kosten führt. Neben den Kostenaspekten spielen jedoch vor allem Sicherheitsaspekte und die Verfügbarkeit der IT-Systeme eine besondere Rolle. Viele kleinere Banken stossen, vor allem durch die immer kürzer werdenden Innovationszkylen, an ihre finanziellen Grenzen, so dass diese an der Nutzung von professionell ausgerüsteten Housing- oder Hosting-Anbietern nicht vorbeikommen. Allerdings werden diese Massnahmen erst dann ergriffen, wenn ein Schadensereignis diese Notwendigkeit offenbart. Die EBK macht den Finanzinstituten mittlerweile nicht ohne Grund die Auflage, dass diese einen Business Continuity Plan erstellen, welcher zusammen mit den Schutzmassnahmen im Bereich der IT durch externe Controller periodisch zu beurteilen ist. Mittlerweile sind einige Banken dazu übergegangen für kleinere Banken Insourcing anzubieten, wie der renommierte schweizerische IT-Experte Walter Altherr betont: „Es gibt einige Banken, welche sich als Insourcer von IT-Dienstleistungen - oder als sogenannte Transaktionsbanken - im Markt positionieren. Es sind dies heute vor allem die Grossbanken, wie die UBS mit ihrer „Bank for Banks“-Dienstleistung, Märki Baumann & Co, Bank Wegelin, State Street und in etwas weiterer Zukunft wohl dann auch einmal die Bank Vontobel..“

Lesen Sie mehr zu:

• - Verantwortung kann nicht delegiert werden
• - Risiko lässt nicht nicht outsourcen
• - Ein billiger Anbieter kann die teuerste Lösung sein
• - IT-Risikomanagement ist eine Kernaufgabe
• - Outsourcing richtig begreifen
• - Fazit: Auf hohe Verfügbarkeit achten

Laden Sie hier den kompletten Artikel kostenlos herunter: Core Banking - Management der Kernbank IT

(c) Dr.-Ing. Artur P. Schmidt ist Publizist und Herausgeber des Wissensnavigators: http://www.wissensnavigator.com

Core Banking - Management der Kernbank IT

 

Berlin, 26.05.2011, Banken müssen ihre IT konsolidieren. Durch die Standardisierung der IT Infrastruktur und der Anwendungen können Banken allein in der IT rund 30 bis 35 Prozent der Kosten sparen, die Qualität steigern und den Kundenservice verbessern. Auf der Konferenz Core Banking - Management der Kernbank IT vom 6. - 8. September 2011, in Darmstadt, kommen Fachexperten zusammen, um sich zu den wichtigsten Themen der Branche auszutauschen.

Hauptthemen des ersten Konferenztages am 7. September sind die regulatorischen Anforderungen und ihre Implikationen für die IT-Komplexität sowie Strategien im Core Banking. Am 8. September stehen Kostenrelevanz in der Bank-IT, Enterprise Architecture Management (ERM) im Rahmen von IT-Komplexitätsmanagement und IT-Business-Alignment: Voraussetzung und Grundlage eines effizienten Kernbank-Systems im Mittelpunkt.

Sicherheitsanforderungen an die heutige Kernbank IT, um neuen Technologien, u.a. mobile banking und online banking, zu begegnen und das Outsourcing wesentlicher Prozesse werden ebenfalls diskutiert, sowie die Evaluierung neuer Kernbanklösungen im Rahmen der Geschäftsprozesse.

Teilnehmer erhalten Praxisberichte über den Wechsel hin zu einem neuen Kernbanksystem, um den Auswahl- und Entscheidungsprozess zu optimieren und Erfahrungen aus erster Hand zur Evaluierung neuer Kernbanklösungen.

Weitere Informationen und das ausführliche Konferenzprogramm finden Sie auf
www.core-banking-it.de

Informationssicherheit – sind die Banken noch sicher genug?

Eine Vorstellung von ABISec als Beispiel eines Informationssicherheitssystems für Finanzinstitute:

Informationssicherheit in der Situationsanalyse Studien und Marktumfragen

• Studien und Marktumfragen zeigen, dass das Thema Information Security in vielen Finanzinstituten noch immer wenig systematisch und vor allem nicht wirklich unternehmensübergreifend positioniert ist.
• Im Lichte der laufend zunehmenden Komplexität der Anforderungen greifen die heute angewendeten Information Security Ansätze zu kurz.

 

 

Was ist ABISec?
ABISec (Active Banking Information Security) ist ein modular aufgebauter Beratungsansatz, welcher folgende Elemente beinhaltet

• Unternehmensübergreifendes und -durchgängiges Assessment von Umfang, Qualität und Robustheit der Informationssicherheit eines Instituts
• Analyse von Schwachstellen/Handlungsfeldern
• Erarbeitung Optimierungsmassnahmen
• Umsetzungskonzeption
• Umsetzungsbegleitung 

 

Interessieren Sie sich für dieses Thema? Sie können auf folgenden Seiten kostenlose Artikel, Präsentationen und Whitepapers herunterladen:

• Risiko- und wertorientierte Banksteuerung
• Core Banking - Management der Kernbank IT

Toward Understanding Enterprise Architecture Management’s Role in Strategic Change: Antecedents, Processes, Outcomes

Toward Understanding Enterprise Architecture

Management’s Role in Strategic Change: Antecedents, Processes, Outcomes

Frank Radeke | EBS Business School | Institute of Research on Information Systems

Söhnleinstraße 8D, 65201 Wiesbaden, Germany | frank.radeke@ebs.edu

ABSTRACT
As organizations face accelerated economic dynamics, it is increasingly important to improve the capability of reacting agile to changes in the marketplace. This requires implementing and adapting internal structures in a timely manner and ensuring business-IT coordination throughout the process. Enterprise architecture management (EAM) is frequently proposed as a mean to arrive at organizational forms that allow for timely reconfiguration and to guide strategy-aligned change. This explorative study seeks to contribute to an overall understanding of EAM’s application in strategic change processes. It is based on an in-depth content analysis of existing research in the field. Specifically, it identifies common EAM practices that have been suggested for application throughout the planning and implementation of strategic change. Furthermore, it reveals antecedents and outcomes of this application. The article discusses these findings in detail and summarizes the results in a preliminary process model of applying EAM for agile strategic change. 

Keywords
Enterprise architecture, enterprise architecture management, strategic change, strategic agility, process theory

1. INTRODUCTION

“The discontinuous market and business environments where many private and public sector organizations now operate are changing rapidly, and in different ways” [6:155]. These increased dynamics are caused by accelerated competition, technology evolution, shorter product life-cycles, and customer needs individualization [6,64]. As a consequence strategy has become a moving target. This requires rethinking traditional strategy planning and implementation techniques in order to strengthen an organization’s competency of responding to such strategic changes in an agile manner [65,78]. This comprises: Achieving and maintaining flexible organizational forms: Instead of designing organizational structures that will be fixed for several years while the strategy is executed, these dynamics require “creating, re-creating, and sustaining organizational forms that will enable a process of strategic response” [64:148]. Prahalad and Krishnan add that a “[…] manager’s ability to respond rapidly to those challenges [of organizational dynamics] is predicated

upon having a sophisticated and facile organizational and technical infrastructure, and a degree of information technology flexibility that traditional approaches cannot provide” [56:24,emphasis added].

Effective adaptation of internal structures to a strategic positioning: Organizations need to increase their effectiveness in rearranging internal structures and processes so as to achieve a close match with the ever-changing strategic positioning of the organization in the marketplace [25,67]. Past strategic information technology (IT) planning techniques that merely focused on evaluating the contribution of IT initiatives in organizations in terms of their efficiency such as service availability and cost factors have been found rather inappropriate to provide such a strategic agility. Nowadays, it is considered more appropriate to judge the strategic value provided by the investments, in order attain an IT infrastructure aligned with the changing  strategic needs of the business and competitive industry [50]. The continuous coordination of the business and IT domain: Previous research has emphasized that a lack of coordination among the business and the IT domains may hinder the effective implementation of strategic change. Successful implementation requires managers from both domains to cooperate during the entire planning and implementation cycle [25,64,65]. 

Tip: Core Banking - Management der Kernbank IT

IT’s increased strategic relevance and its role as digital options generator and enabler of digital business strategies make this need even more critical [25,63]. Recent surveys show that the timely implementation of strategic change in terms of business agility and time to market as well as close coordination between the business and IT domains in the process are ongoing key concerns of IT managers [41,67]. Facing these challenges requires a holistic planning and steering approach that considers the entire organization and enables close and ongoing business-IT coordination. Enterprise architecture management (EAM) has been suggested as such an approach. Matthee et al. note: “Changes and transformation on all levels of the organisation are becoming imperative because of the growing uncertainty in the global business environment. EA is therefore growing in importance since it is seen as a tool to manage these changes” [45:15]. EAM is put forward as strategic change tool for several reasons; these include:

Guiding purposeful organizational evolution: Enterprise architectures (EAs) are used to describe the current state of an organization in terms of a as-is architecture and the intended strategic state, in terms of a target architecture. It is proposed that an EAM core concept is to guide the focused evolution toward the target state by providing systematic support for organizational changes [2,10], directing organizational transformation [3,5], and offering directions for the deployment and integration of future technological and managerial developments [20,74]. Enabling flexible organizational forms: EAM is proposed as a way to manage organizational complexity and to foster agile organizational forms that allow for more flexibly addressing  strategic change than it would be possible with rigid organizational structures [34,58,60].

Ensuring continuous alignment between the business and the IT domain: EAM is also put forward as mean for fostering business IT coordination and for synchronizing the strategic development paths of business and IT structures [23,33,36,60]. Ross motivates: “The objective is to get to the point where IT capabilities shape business strategy while business strategy shapes IT capabilities in response to changing market conditions and organizational realities. To do this the firm must develop an IT architecture competency to dynamically adjust strategies and technologies” [60:33].

These discussions suggest that EAM can provide the means to support improved handling of strategic change. However, this role of EAM is largely uninvestigated in past EAM research. It has not yet offered a holistic understanding of how EAM can be employed in the process of managing strategic change and how this in turn

helps to address the above-mentioned challenges. Instead, EAM research is considered fragmented as well as dominated by a multiplicity of prescriptive artifacts, such as EAM frameworks, methodologies, and tools [36,52]. Although EAM literature highlights potential benefits associated with EAM’s strategic application, such as strategic agility, improved strategic goal attainment, or alignment of business and IT objectives [33,62], this relationship has been rarely explained. Moreover, it is necessary to examine contextual factors that may influence such relationships [7,33,35,57]. Aier et al. (2008) as well as Bucher et al. (2006) emphasize that no overall understanding of EAM applications such as its employment in strategic governance processes has emerged. Moreover, situational factors’ impact on these applications is unclear. Asfaw et al. (2009) argue that fundamental questions remain on how organizations use EAM concepts to manage strategic change and transformation in organizations. They further add that there is limited understanding of the enablers and challenges of using EAM for this purpose. This explorative study seeks to help closing this gap. By taking a process theory perspective [44,49,73], it aims to gain a deeper understanding of how EAM can be employed in the process of managing strategic change. It further inquires about how such application contributes to the strategic change process’s outcomes and seeks to identify antecedents to the EAM application. In short, this article addresses the following overall research question: How can enterprise architecture management support organizations in the management of strategic change?

Section 2 lays the foundation for the remainder of this paper by clarifying basic terms. The article then describes the employed research design. This paper’s result section first discusses the identified EAM practices related to the strategic change process. It further illustrates the contribution of these practices to the process outcomes and outlines identified antecedents to effective application. Finally, the article summarizes the results in a preliminary process model and discusses future research avenues.

Download the full 11-page report for free:

Toward Understanding Enterprise Architecture

Enterprise architecture management (EAM) is frequently proposed as a mean to arrive at organizational forms that allow for timely reconfiguration and to guide strategy-aligned change. This explorative study seeks to contribute to an overall understanding of EAM’s application in strategic change processes. Download now.

Buchtipp: „Bankrisikomanagement“ von Dr Oliver Everling

Obwohl Risikopolitik in Kreditinstituten zu den wichtigsten Herausforderungen der Bankunternehmensführung gehört, ist das Buch mit dem Titel „Bankrisikomanagement“ erstaunlicherweise das erste deutschsprachige Buch über dieses Thema aktuell.Während zu denMaRisk(„Mindestanforderungen an das Risikomanagement“von BaFin)verschiedene, eher auf die Rechtsauslegung zielende Titel veröffentlicht wurden, geht es bei diesem Buch um die Gesamtheit aller Maßnahmen einer Bank, die darauf gerichtet sind, etwaige Gefahren einer Erfolgsminderung zu identifizieren, den Eintritt von Risiken zu verhindern oder die Auswirkungen evidenter Risiken abzuschwächen.

Aufgrund der besonderen branchenspezifischenRisiken müssen Banken eine ausgeprägte Sicherheits- bzw. Risikopolitikbetreiben, indem sie ursachen- und wirkungsbezogene Maßnahmen ihres risikopolitischenInstrumentariums kombinieren. Während erstere auf einer Erhöhung der Risikotransparenzund eine Minderung der Eintrittswahrscheinlichkeit. Zu den volkswirtschaftlichen Hauptfunktionen der Banken gehört die Transformationvon Risiken, Fristen und Losgrößen. Nicht nur in ihrer Funktion der Transformationvon Bonitäts- und sonstigen Risiken, sondern auch in ihren Funktionen der Fristen und Losgrößentransformationen sind Kreditinstitute gefordert, über Mindeststandards hinaus ein aktives Risikomanagement zu betreiben, um im Wettbewerb mit anderen Banken, aber zunehmend auch mit Nichtbanken, ihre Existenz zu sichern.

Im Rating von Banken müssen alle gewichtigen, beurteilungsrelevanten Faktoren erfasstund gegeneinander abgewogen werden, um ein Urteil über die wirtschaftlicheFähigkeit, rechtliche Bindung und Willigkeit eines Kreditinstituts zu bilden, seinenzwingend fälligen Zahlungsverpflichtungen stets vollständig und rechtzeitig nachzukommen. Um die Ausfallgefährdung eines Kreditinstituts zu beurteilen, muss— außer die Einhaltung der von der Bankenaufsicht gesetzten Mindestanforderungen andas Risikomanagement zu überprüfen—vielmehrdie Qualität der Ansprüche vonBankengläubigern vor dem Hintergrund der Einbindung in Institutsgruppen wie auchgesamtwirtschaftlicher Entwicklungen gesehen werden.

Das Buch versucht, die ganzheitliche Betrachtungsweise von Risiken im Bankmanagement
zu unterstreichen und die Perspektiven der unterschiedlichen „stakeholder“aufzuzeigen.Für die meisten Banken kann es kein sinnvolles Ziel sein, die Bestnoteim Rating, das AAA, anzustreben bzw. dauerhaft zu halten. Mit jeder unternehmerischenTätigkeit gehen Risiken einher, sodass auch für Banken eher ein Zielkorridor alsein Punktziel erstrebenswert erscheint. In diesem Buch werden verschiedene Aspekteauf dem Weg zu einem guten Rating für Kreditinstitute aufgezeigt.

Der Herausgeber des Buchs, Herr Dr.Oliver Everling, Diplom-Kaufmann, ist Geschäftsinhaber der Everling Advisory Services und Geschäftsführer der RATING EVIDENCE GmbH in Frankfurt am Main. Die Dienste umfassen Beratungsleistungen, Publikationen und Veranstaltungen zu Ratingfragen. Unternehmensmission ist es, den Nutzen von Ratings zu erschließen: "Mit Ratings gut beraten."

Kaufen Sie das Buch auf Amazon: 
Bankrisikomanagement: Mindestanforderungen, Instrumente und Strategien für Banken
Lesen Sie auch den Blog: www.everling.de

“Range of Practice“ zur Sicherstellung der Risikotragfähigkeit bei deutschen Kreditinstituten

Einführung / Stichprobenauswahl

Im Auftrag der BaFin führte die Deutsche Bundesbank Mitte 2009 zunächst eine Umfrage bei 50 Instituten durch. Ziel der Umfrage war es – neben der aufsichtlichen Beurteilung der Risikotragfähigkeit im Einzelfall –, einen aktuellen Überblick über die im Einsatz befindlichen Risikotragfähigkeitskonzepte zu erlangen. Aufgrund der den Instituten im Rahmen der Säule 2 eingeräumten Methodenfreiheit zeigte sich ein breites Spektrum im Einsatz befindlicher Risikomessverfahren und Methoden zur Ableitung des Risikodeckungspotenzials. Zur Verbesserung der aufsichtlichen Datenbasis und um statistisch valide Aussagen treffen zu können, wurde die Umfrage in einem zweiten Schritt um 100 Institute erweitert. Diese „zweite Welle“ der Untersuchung startete Ende des Jahres 2009 und wurde im Frühjahr 2010 beendet. 

Tip: kostenlose Whitepaper, Artikel und Präsentationen zum Thema Risiko- und Banksteuerung, hier klicken.

Im Rahmen der beiden durchgeführten Umfragen zur Risikotragfähigkeit wurden zahlreiche Detailinformationen zum jeweiligen Risikotragfähigkeitskonzept erhoben1, die im Folgenden einer eingehenden Analyse unterzogen werden. Die gewählte Stichprobe ist hinsichtlich der Auswahl nach Bankengruppen weitgehend repräsentativ. Dies gilt jedoch nicht hinsichtlich der Kriterien Systemrelevanz und Qualität des Instituts, da zu einem großen Teil Banken mit einer Risikoklassifizierung im unteren Bereich (C und D) betrachtet wurden. Gleichwohl bietet die Stichprobe einen guten Überblick über die Bandbreite der in der Praxis eingesetzten Verfahren. Nachfolgend wurde für die einbezogenen Institute eine Risikomatrix erstellt, welche die Auswahl verdeutlichen soll.

Die folgende Grafik soll verdeutlichen, dass die Umfrage alle Bankengruppen umfasst, wobei Kreditbanken und Spezialinstitute über- und Genossenschaftsbanken unterrepräsentiert sind.

Die folgende Analyse der einzelnen Teilbereiche von Risikotragfähigkeitskonzepten ist eine reine Darstellung der beobachteten Institutspraxis. Dem Charakter eines „Range of Practice“-Papiers entsprechend wird keine aufsichtliche Bewertung vorgenommen. Aufgrund der Stichprobenauswahl handelt es sich insbesondere nicht um eine Darstellung der „Best-Practice“. Vielmehr muss aufgrund der überdurchschnittlich vielen Institute in der Umfrage mit einer Klassifizierung von C oder D eher von einer gewissen Verzerrung ins Negative ausgegangen werden.

Die Darstellung einzelner Aspekte oder ganzer Konzepte im Rahmen dieses Range of Practice-Papiers bietet in keiner Weise eine Garantie für deren aufsichtliche Akzeptanz im Rahmen des aufsichtlichen Überprüfungsprozesses der Säule 2 (MaRisk). Dies gilt insbesondere für die Messung von Adressenausfallrisiken nur in Form des Expected Loss (oder durchschnittliche EWB-Bildung), für die Bestimmung von Diversifikationseffekten auf Basis von Benchmarkstudien und den Einsatz von Kreditportfoliomodellen ohne eine institutsindividuelle Parametrisierung.

Das Range of Practice-Papier hat vielmehr den Zweck, das Spektrum beobachtbarer Konzepte darzustellen und die Institute zu einer kritischen Reflexion ihrer eigenen Konzepte vor dem Hintergrund der am Markt beobachtbaren anzuregen.

Lesen Sie mehr:

• I Steuerungsverfahren
• II Risikodeckungspotenzial
• III Einbezogene Risiken
• IV Verwendete Risikomaße
• V Diversifikation
• VI Ausgestaltung von Stresstests

Laden Sie sich den 30-seitgen Artikel kostenlos hier herunter: Risiko- und wertorientierte Banksteuerung

Integrierte Risikosteuerung: Die Gesamtsituation richtig einschätzen

Unternehmen sind einer Vielzahl von Risiken ausgesetzt, etwa den Zins- und Liquiditätsrisiken, der Energie- und Rohstoffpreisentwicklung aber auch Wettbewerbs-, Technologie- oder Kostenrisiken. Deshalb sollte ein modernes integriertes Risikomanagement die Unternehmensleitung jederzeit in die Lage versetzen, rechtzeitig reagieren zu können. Vor allem muss auch kurzfristig einzuschätzen sein, wie sich Chancen und Risiken auf die Finanz-, Vermögens- und Ertragslage auswirken.

Vorteile einer integrierten Risikosteuerung:

• Qualitätssteigerung bei der Risikobewertung
• Transparente und realitätsnahe Bestimmung der Gesamtrisikosituation des Unternehmens oder einzelner Geschäftsbereiche/Geschäftsfelder
• Steigerung der Planungssicherheit (Plan-GuV und Liquiditätsplanung)
• Bessere Kenntnisse über mögliche Planabweichungen
• Messung des Wertbeitrags von Risikobewältigungsmaßnahmen
• Verbesserte Informationsbasis für risikoorientierte Entscheidungen
• Nachhaltige Optimierung der Risikotragfähigkeit und Kapitalausstattung

Die mittlerweile eingerichteten Risikomanagementsysteme in den Unternehmen werden aber oft nur als Pflichtübung zur Erfüllung der gesetzlichen Anforderungen verstanden. Nur teilweise nutzen Unternehmen die etablierte Aufbau- und Ablauforganisation des Risikomanagements als aktives Instrument der Unternehmenssteuerung. Auf den richtigen Zuschnitt der Instrumente kommt es an. Das Konzept einer integrierten Risikosteuerung baut auf bestehenden Risikomanagementsystemen auf. Diese innovative Weiterentwicklung betrachtet nicht mehr nur Einzelrisiken, sie rückt das Gesamtrisiko des Unternehmens in den Blickpunkt. Dabei werden potenzielle Chancen und Risiken über Datenerhebungen und Simulationen quantifiziert und auf die Unternehmensplanung projiziert. Ziel ist es, aus diesen Daten strategische und wertschaffende Entscheidungen abzuleiten. Das innovative Element eines weiterentwickelten Risikomanagementsystems ist die Integration der drei Elemente Risikoidentifikation, Planung und Entscheidung.

Risiko-Eintritte durch Simulationsdurchläufe ermitteln

Um die Gesamtrisikosituation des Unternehmens zu quantifizieren, müssen zunächst geeignete Risikodaten erhoben werden. Nach einer eingehenden Bestandsaufnahme der Risikolandschaft werden die Einzelrisiken und ihre möglichen Ausprägungen nach Schadensausmaß, Eintrittswahrscheinlichkeit sowie unter Berücksichtigung von Wechselwirkungen bewertet. Softwaregestützt lassen sich in kurzer Zeit tausende Szenarien des gesamten Risikoportfolios oder ausgewählter Teilaspekte unter Berücksichtigung gegenseitiger Abhängigkeiten zusammenstellen. An der gewonnenen Verteilungsfunktion lassen sich sowohl Ausmaße von Planabweichungen als auch die dazugehörigen Wahrscheinlichkeiten ablesen.

Von der Simulation zu strategischen Entscheidungen

Überträgt man die ermittelten Risikodaten auf die Plan-Gewinn- und-Verlustrechnung (Plan-GuV), lässt sich ein Risk-Return-Verhältnis bestimmen, das Risiko und Ergebnis ins Verhältnis zueinander setzt.
Anzustreben ist ein ausgewogenes Verhältnis von Risiko und erhofftem Gewinn - je höher das Risiko, desto höher sollte auch der Gewinn ausfallen. Das Risk-Return-Verhältnis lässt sich nicht nur auf Unternehmensebene, sondern auch für einzelne Geschäftsbereiche oder Projekte in einem Unternehmen ermitteln.

Abb. 1: Geschäftsbereiche (GB) innerhalb des Risk-Return-Verhältnisses

Geschäftsbereiche oberhalb des als noch angemessen festgelegten Risk-Return-Verhältnisses versprechen dem Unternehmen überproportionale Gewinne. Bereiche unterhalb zählen zu den Problembereichen. Um für sie ein gesundes Risk-Return-Verhältnis zu erreichen, müssen anhand von Informationen aus dem Risikomanagement strategische Optionen zur Portfolio-Optimierung sowie zu Investitionstätigkeiten erarbeitet werden.

Wie viel Risiko kann das Unternehmen tragen?

Begrenzt werden alle Überlegungen zum Verhältnis zwischen Risiko und erhofftem Gewinn durch die Grenzen der Tragfähigkeit des Unternehmens: Manche Aktivitäten sind mit derart hohen Risiken verbunden, dass diese auch durch noch so große Gewinnerwartungen nicht zu kompensieren sind.
Wie groß die Risikotragfähigkeit eines Unternehmens ist, hängt von dem für die Deckung von Risiken verfügbaren Kapital ab, den so genannten Risikodeckungsmassen. Hierbei wird unterteilt nach den Kriterien liquiditätsorientiertes Kapital und erfolgsrechnerisches Kapital.

Abb. 2: Beispiel für den Abgleich von simuliertem Risikopotenzial und Risikodeckungsmassen

Aus dem Abgleich des simulierten Risikopotenzials mit den Risikodeckungsmassen werden Deckungsgrade für Normal-, Krisen- und Worst-Case-Szenarien bestimmt. Abbildung zwei skizziert ein Beispiel, bei dem die simulierte Liquidität beziehungsweise der simulierte Vorsteuergewinn inklusive Chancen und Risiken mit 70-prozentiger Wahrscheinlichkeit (Bereich oberhalb der waagerechten Linie) positiv sind. Mit einer Wahrscheinlichkeit von 30 Prozent wird das Ergebnis negativ, und muss durch die verfügbaren Risikodeckungsmassen getragen werden.

MÖCHTEN SIE MEHR ÜBER DIESES THEMA ERFAHREN? Lernen Sie mehr zum Thema Risikosteuerung in der Finanzbranche: Hier können Sie kostenlose Artikel, Whitepaper und Präsentationen zum Thema Risiko- und Banksteuerung herunterladen:

Quelle: PWC

Entschädigung für Fondsanleger: Neue Verordnung der BaFin

Die Aufsichtsbehörde BaFin hat am 03.05.2011 einen Entwurf zur Regelung von Schäden in Fonds veröffentlicht, die sich aus fehlerhaften Anteilspreisberechnungen oder Verstößen gegen gesetzliche bzw. vertragliche Anlagegrenzen ergeben können. Es sind hier zwar Grenzen zur Wesentlichkeit der Differenzen definiert, dennoch sind im Falle von Verletzungen von Grenzen oder Abweichungen im Anteilspreis Simulationen und Berechnungen durchzuführen, um tatsächlichen und hypothetischen Anteilwert ermitteln zu können. Zur Umsetzung der Vorgaben ist also zumindest bei der preisermittelnden Stelle mit organisatorischem Mehraufwand zu rechnen. Die Gestaltung von Prüfprozessen sowie Umfang, Zeitpunkt und Dokumentation der Kontrollen haben diesen neuen Anforderungen Rechnung zu tragen. Ohne ausreichende Transparenz von Bewertungslogik und Prüfroutinen, die in oft komplexen IT-Strukturen hinterlegt und in vielen Jahren gewachsen sind, schlummern finanzielle Risiken für KAGen und Depotbanken, die aus den nun konkretisierten Entschädigungen für das Sondervermögen resultieren.      

„Die Verordnung beinhaltet zum einen den Entwurf der Anteilwertfehler- und Anlagegrenzverletzungsverordnung (AntAnlVerlV) sowie Änderungen in der Investment-Prüfungsberichtsverordnung sowie der Investment-Rechnungslegungs- und Bewertungsverordnung. Die Anteilwertfehler- und Anlagegrenzverletzungsverordnung dient der Konkretisierung des Entschädigungsverfahrens, das die Kapitalanlagegesellschaft im Falle einer fehlerhaften Berechnung von Anteilwerten sowie im Falle einer Verletzung von Anlagegrenzen vorzusehen hat. Die Ermächtigung zum Erlass der Rechtsverordnung wird durch das OGAW-IV-Umsetzungsgesetz in § 28 Absatz 3 des Investmentgesetzes eingefügt. 

 

Die Anteilwertfehler- und Anlagegrenzverletzungsverordnung sieht sowohl bei einer festgestellten fehlerhaften Berechnung des Anteilwertes als auch bei einer festgestellten Verletzung von Anlagegrenzen Informationspflichten gegenüber den Aufsichtsbehörden und den Anlegern vor. Zu den weiteren Maßnahmen, die in diesen Fällen von der Kapitalanlagegesellschaft zu treffen sind, gehören die Aufstellung und Einreichung eines Entschädigungsplans durch die Kapitalanlagegesellschaft bei der Bundesanstalt und die Durchführung eines Entschädigungsverfahrens durch Leistung einer Ausgleichszahlung in das Sondervermögen oder an ausgeschiedene Anleger. Durch diese Maßnahmen soll eine einheitliche Entschädigung der Anleger im Falle einer fehlerhaften Anteilwertberechnung sowie bei einer Anlagegrenzverletzung sichergestellt werden. 

 

Des Weiteren sollen durch die Verordnung Änderungen in die Investment-Prüfungsberichtsverordnung und die Investment-Rechnungslegungs- und Bewertungsverordnung eingefügt werden, die durch das Anlegerschutz- und Funktionsverbesserungsgesetz sowie das OGAW-IV-Umsetzungsgesetz erforderlich geworden sind.“ (Quelle: www.bafin.de; am 04.05.2011)

 

Entwurf der Verordnung zum download: Diskussionsentwurf zur AntAnlVerlV.pdf (2,09 mb)

Erläuterungen zur Verordnung zum download: Begründung zur Konsultation AntAnlVerlV.pdf (2,01 mb)

(c) Fundlounge

MÖCHTEN SIE MEHR ÜBER DIESES THEMA ERFAHREN? 4. Jahresforum Effiziente Fonds Services Verpassen Sie nicht das 4. Jahresforum Effiziente Fonds Services vom 23 - 25 Mai 2011 im Dorint Pallas Wiesbaden