Operationelles Risiko

Als operationelles Risiko gilt das Risiko eines Verlusts infolge eines Mangels oder Versagens von internen Prozessen, Menschen und Systemen oder aufgrund von externen Ereignissen, ob absichtlich oder zufällig herbeigeführt oder natürlichen Ursprungs. Dieses Risiko ist Bestandteil aller Aktivitäten von UBS. Operationelles Risiko entsteht nicht nur durch die Geschäfte, die wir als Finanzdienstleister tätigen, sondern auch durch die Tatsache, dass wir ein Unternehmen und Arbeitgeber sind, Immobilien besitzen und nutzen und für uns sowie für unsere Kunden Vermögenswerte, einschliesslich Informationen, halten. Unsere Bewirtschaftung des operationellen Risikos ist nicht darauf ausgerichtet, das Risiko per se zu eliminieren. Vielmehr müssen wir gewährleisten, dass das operationelle Risiko die von der Unternehmensführung festgelegten Limiten nicht überschreitet und dass wir über die nötigen Daten verfügen, um fundierte Entscheidungen über zusätzliche Kontrollen, Änderungen von bestehenden Kontrollen oder über andere Risikomassnahmen zu treffen. Der Group Chief Risk Officer und der ihm unterstellte Head of Operational Risk sind für die Unabhängigkeit, Objektivität und Wirksamkeit unserer Grundsätze zur Bewirtschaftung des operationellen Risikos verantwortlich.

Grundsätze zur Bewirtschaftung des operationellen Risikos

Jede Funktion, sei sie nun im Front-, Kontroll- oder Logistikbereich angesiedelt, ist für die Bewirtschaftung der operationellen Risiken, die im Rahmen ihrer eigenen Tätigkeit entstehen, verantwortlich. Weil operationelle Risiken nicht isoliert auftreten, das heisst, Probleme in einem Bereich möglicherweise Auswirkungen auf viele andere Bereiche haben, gründet unser Risikoansatz auf der gegenseitigen Kontrolle aller Funktionen. Jede Unternehmensgruppe hat deshalb als integralen Bestandteil ihrer Aufsichtsstruktur funktionsübergreifende Gremien geschaffen, um das operationelle Risiko aktiv zu bewirtschaften.

Um die Integrität der Risikomanagemententscheidungen zu gewährleisten, verfügt jede Unternehmensgruppe zudem über eine Operational-Risk-Control-Einheit, deren Leiter funktional dem Group Head of Operational Risk untersteht. Diese Einheiten sind in erster Linie dafür zuständig, die wirksame Umsetzung der Grundsätze zur Bewirtschaftung des operationellen Risikos in der Unternehmensgruppe zu bestätigen sowie eine transparente Beurteilung und Berichterstattung über die operationellen Risiken zuhanden der obersten Führungsebene sicherzustellen.

Die Grundsätze zur Bewirtschaftung des operationellen Risikos stützen sich auf die Definition der eigenen Rollen und Verantwortlichkeiten durch sämtliche Funktionen. Damit lassen sich anschliessend gemeinsam eine angemessene Aufgabenteilung, die vollständige Abdeckung sämtlicher operationeller Risiken und klare Zuständigkeiten regeln. Aufgrund dieser Analyse entwickeln die Funktionen Kontrollziele und -standards, um die materiellen und immateriellen Vermögenswerte sowie die Interessen der Bank gegen die möglichen operationellen Risiken zu schützen, denen UBS im Verlauf ihrer Geschäftstätigkeit ausgesetzt ist. Diese Risiken reichen von alltäglichen Ereignissen wie Problemen bei der Kontoabstimmung bis hin zu potenziell schwerwiegenden Ereignissen wie Betrug. Wir erkennen, dass es nicht möglich ist, alle Risiken zu eliminieren – weil Fehler und Unfälle immer passieren können –, und dass es auch nicht immer kosteneffizient ist, dies zu tun, selbst wenn es möglich wäre. Aus diesem Grund fusst die Gestaltung und Umsetzung unserer internen Kontrollstrukturen auf einem risikobasierten Ansatz.

Die Funktionen überwachen die Einhaltung ihrer Kontrollen und beurteilen deren Wirksamkeit auf verschiedene Weise, zum Beispiel mittels Selbstzertifizierung durch die Mitarbeiter und Evaluierung von deren Antworten durch das Management. Ferner überwachen sie eine Vielzahl von Messgrössen, die frühzeitig aufzeigen können, ob die Nichterreichung der Kontrollziele eine Risikoerhöhung bewirkt. Diese Kennzahlen geben Auskunft über die Anzahl und Art (unter anderem Bedeutungsgrad, Ausmass, Zeitdauer) beispielsweise von Kundenbeschwerden und -forderungen, Annullierungen und Berichtigungen von Transaktionen, nicht abgestimmten Positionen auf Kontokorrent- und Kundenkonten sowie Systemausfällen. Darüber hinaus evaluiert UBS die Folgen der Ergebnisse interner und externer Audits sowie weiterer relevanter Informationsquellen.

Wenn Ereignisse eintreten, die bedeutende operationelle Risiken nach sich ziehen, analysieren wir ihre Ursachen sowie die Implikationen auf unsere Kontrollgrundsätze – unabhängig davon, ob sie einen direkten finanziellen Verlust bewirken oder nicht. Berücksichtigt werden – sofern genügend Informationen veröffentlicht werden – auch Ereignisse, die Drittparteien betreffen, welche für unsere Geschäftsaktivitäten von Bedeutung sind. Es ist wichtig, dass wir sämtliche verfügbaren Informationen nutzen, um unsere Kontrollprozesse zu überprüfen. Auch wenn ein Ereignis nicht zwangsläu?g zu einem direkten oder indirekten finanziellen Verlust führt, kann es einen Hinweis darauf liefern, dass unsere Standards nicht eingehalten werden.

Die funktional verantwortlichen Manager überprüfen die Gesamtheit dieser Informationen. Auf dieser Basis beurteilen sie, in welchem Ausmass operationelle Risiken bestehen und welche Massnahmen zur Lösung spezifischer Probleme zu treffen sind. Es werden regelmässig Berichte sowohl innerhalb der Unternehmensgruppe als auch zuhanden des Group Chief Risk Officer erstattet, damit sich das oberste Management ein genaues Bild des operationellen Risikos machen kann.

Messung des operationellen Risikos

Die spezifischen Risiken, die im Rahmen des operationellen Risikomanagements ermittelt und der obersten Führungsebene gemeldet werden, werden auf die potenzielle Häufigkeit ihres Auftretens und den Schweregrad der daraus entstehenden Folgen geprüft. Anschliessend bestätigen die Operational-Risk-Control-Funktionen innerhalb der Unternehmensgruppen diese Beurteilungen.

Wir führen eine Datenbank für finanzielle Ereignisse (Gewinne ebenso wie Verluste) und deren Ursachen. Überdies entwickeln wir zurzeit ein Modell für die Quantifizierung des operationellen Risikos. Dies wird letztlich die Grundlage der regulatorisch erforderlichen Eigenkapitalunterlegung für die operationellen Risiken gemäss Basel II bilden. Diesbezüglich beabsichtigen wir die Anwendung eines Advanced Measurement Approach. Diese Quantifizierung ist hilfreich, genügt indes nicht. Ein einzelnes Ereignis kann für UBS auch andere finanzielle Folgen haben als direkte Kosten oder Verluste – beispielsweise Bussen, Entschädigungen an Kunden oder auch Abschreibungen auf Vermögenswerten. Denkbar sind zudem Ertragseinbussen wegen einer Unterbrechung der Geschäftstätigkeit oder Kosten im Zusammenhang mit einer Sanierung. Überdies können sich die Auswirkungen als schwer wiegender erweisen, als die unmittelbaren Kosten zunächst vermuten lassen. Eine öffentlich bekannt gegebene Busse der Aufsichtsbehörden kann etwa zu Kundenabgängen oder einem Verlust von Geschäften führen. Insgesamt besteht kein direkter Zusammenhang zwischen der Höhe des Risikos und den effektiven finanziellen Verlusten oder der Häufigkeit ihres Auftretens. Diese liefern im besten Fall gewisse Anhaltspunkte.

Hinsichtlich der Bilanzierung der operationellen Risiken werden zahlreiche potenzielle Verluste identifiziert, bevor die Wahrscheinlichkeit, der Zeitpunkt oder der Betrag der künftigen Belastung mit Sicherheit bekannt ist. Gemäss IFRS bilden wir jedoch eine Rückstellung aufgrund der bestmöglichen Schätzung für eine Verpflichtung, wenn es wahrscheinlich ist, dass eine Zahlung zu leisten sein wird – selbst wenn der zu begleichende Betrag noch nicht mit Bestimmtheit feststeht. Diese Unsicherheit setzt eine Beurteilung voraus. Sobald wir in der Lage sind, ein potenzielles operationelles Risiko genauer zu quantifizieren, wird die entsprechende Rückstellung nach oben oder unten korrigiert.

Entwicklung des operationellen Risikos

Die Einhaltung der aufsichtsbehördlichen Vorschriften ist Voraussetzung für eine effektive Bewirtschaftung und Kontrolle des operationellen Risikos. Besonders wichtig sind in diesem Zusammenhang Basel II, Section 404 des Sarbanes-Oxley Act (SOX 404) sowie weitere diesbezügliche Vorschriften (zum Beispiel der US-amerikanische «Federal Deposit Insurance Corporation Improvement Act»). Die Grundsätze zur Bewirtschaftung des operationellen Risikos dienen weit gehend als Basis für die internen Kontrollanforderungen der Bank. Daher bilden sie eine wichtige Komponente für das ab Ende 2006 geltende Erfordernis zur Einhaltung von SOX 404. Da es sich bei dieser Evaluation um eine spezialisierte Form der Risikobeurteilung handelt, wurde unter dem Group CFO ein spezielles SOX Office geschaffen. Es arbeitet eng mit den Operational Risk Controllers auf Stufe Konzern und Unternehmensgruppe zusammen, um einen effizienten Informationsaustausch zu gewährleisten.

Die Grundsätze zur Bewirtschaftung des operationellen Risikos bieten Informationen, die sich für spezialisierte Risikoevaluationen verwenden lassen. Die Einschätzungen des operationellen Risikos durch die Unternehmensgruppen können beispielsweise wertvolle Informationen zur Unterstützung von Risikobeurteilungen im Bereich Legal & Compliance liefern. UBS entwickelt dieses Konzept weiter, damit es auch in anderen spezialisierten Gebieten wie Human Resources und Steuerwesen zum Einsatz kommen kann. So stellen wir sicher, dass die Grundsätze zur Bewirtschaftung des operationellen Risikos weiterhin zu einer einwandfreien Bewirtschaftung und Kontrolle des operationellen Risikos beitragen.