Operationelles Risiko

Unter operationellem Risiko versteht man ein Verlustrisiko, das infolge eines Mangels oder Versagens von internen Prozessen, Menschen oder Systemen oder aufgrund externer Ereignisse entsteht. Diese können absichtlich oder zufällig herbeigeführt oder natürlichen Ursprungs sein. Dieses Risiko ist Bestandteil aller Aktivitäten von UBS. Operationelles Risiko entsteht nicht nur durch die Geschäfte, die wir als Finanzdienstleister tätigen, sondern auch durch die Tatsache, dass wir ein Unternehmen sind. Als solches sind wir Arbeitgeber, besitzen und nutzen Immobilien und halten Vermögenswerte, einschliesslich Informationen, für uns sowie für un­sere Kunden. Unsere Bewirtschaftung des operationellen ­Risikos ist nicht darauf ausgerichtet, das Risiko per se zu ­eliminieren. Vielmehr müssen wir gewährleisten, dass das operationelle Risiko die von der Unternehmensführung festgelegten Limiten nicht überschreitet und dass wir über die nötigen Daten verfügen, um fundierte Entscheidungen über zusätzliche Kontrollen, Änderungen von bestehenden Kontrollen oder über andere Risikomassnahmen zu treffen. Der Group Chief Risk Officer und der ihm unterstellte Group Head of Operational Risk sind für die Unabhängigkeit, Objektivität und Wirksamkeit unserer Grundsätze zur Bewirtschaftung des operationellen Risikos verantwortlich.

Grundsätze zur Bewirtschaftung des ­operationellen Risikos

Jede Funktion, sei sie nun im Front-, Kontroll- oder Logistikbereich angesiedelt, ist für die Bewirtschaftung der opera­tionellen Risiken, die im Rahmen ihrer eigenen Tätigkeit entstehen, verantwortlich. Weil diese Risiken nicht isoliert auftreten, das heisst, Probleme in einem Bereich möglicherweise Auswirkungen auf viele andere Bereiche haben, gründet unser Risikoansatz auf der gegenseitigen Kontrolle aller Funktionen. Jede Unternehmensgruppe hat deshalb als integralen Bestandteil ihrer Aufsichtsstruktur funktionsübergreifende Gremien geschaffen, um das operationelle Risiko aktiv zu bewirtschaften.

Um die Integrität der Entscheidungen im Risikomanagement zu gewährleisten, verfügt jede Unternehmensgruppe zudem über eine Operational-Risk-Control-Einheit, deren Leiter funktional dem Group Head of Operational Risk untersteht. Diese Einheiten sind in erster Linie dafür zuständig, die wirksame Umsetzung der Grundsätze zur Bewirtschaftung des operationellen Risikos in der Unternehmensgruppe zu bestätigen, eine transparente Beurteilung und Berichterstattung über die Risiken zuhanden der obersten Führungs­ebene sicher­zustellen sowie unternehmensgruppenübergreifende Fragen mit ihren Pendants in anderen Unternehmensgruppen und mit dem Group Head of Operational Risk zu koordinieren.

Die Grundsätze zur Bewirtschaftung des operationellen Risikos stützen sich auf die Definition der eigenen Rollen und Verantwortlichkeiten in sämtlichen Funktionen. Damit lässt sich sicherstellen, dass eine angemessene Aufgabenteilung, die vollständige Abdeckung sämtlicher operationeller Risiken und klare Zuständigkeiten gewährleistet sind. Aufgrund ­dieser Analyse entwickeln die Funktionen Kontrollziele und -standards, um die materiellen und immateriellen Ver­mögenswerte sowie die Interessen der Bank gegen die möglichen operationellen Risiken zu schützen, denen UBS im Verlauf ihrer Geschäftstätigkeit ausgesetzt ist. Diese Risiken reichen von alltäglichen Ereignissen wie Problemen bei der Kontoabstimmung bis hin zu potenziell schwerwiegenden Ereignissen wie Betrug. Es ist nicht möglich, alle Risiken zu eliminieren – weil Fehler und Unfälle immer passieren können –, und genauso ist es auch nicht immer kosteneffizient, dies zu tun, selbst wenn es möglich wäre. Unser internes Kontrollsystem unterscheidet mögliche Ereignisse nach der Wahrscheinlichkeit ihrer Häufigkeit und ihrer Auswirkungen. Unsere Bestrebungen zur Risikominderung und -vermeidung konzentrieren sich auf jene Bereiche, in denen wir schwerwiegenden Ereignissen am stärksten ausgesetzt zu sein glauben. Dies schliesst Ereignisse mit ein, die bis zu einem gewissen Grad vorhersehbar oder – wenn auch nicht vorhersehbar sind – so doch bis zu einem gewissen Grad als wahrscheinlich erachtet werden. Bei Risiken mit geringeren Auswirkungen legen wir den Schwerpunkt auf die Bewirtschaftung und die Überwachung.

Die Funktionen überwachen die Einhaltung ihrer Kontrollen und beurteilen deren Wirksamkeit auf verschiedene ­Weise, zum Beispiel mittels Selbstzertifizierung durch die Mitarbeiter und Evaluierung von deren Antworten durch das Management. Ferner überwachen sie eine Vielzahl von Messgrössen, die frühzeitig aufzeigen können, ob die Nichterreichung der Kontrollziele eine Risikoerhöhung bewirkt. Diese Kennzahlen geben Auskunft über die Anzahl und Art (unter anderem Bedeutungsgrad, Ausmass, Zeitdauer) beispielsweise von Kundenbeschwerden und -forderungen, Annullierungen und Berichtigungen von Transaktionen, nicht abgestimmten Positionen auf Kontokorrent- und Kundenkonten sowie Systemausfällen. Darüber hinaus evaluiert UBS die Folgen der Ergebnisse interner und externer Audits sowie weiterer relevanter Informationsquellen.

Wenn Ereignisse eintreten, die bedeutende operationelle Risiken nach sich ziehen, analysieren wir ihre Ursachen sowie die Implikationen auf unsere Kontrollgrundsätze – unabhängig davon, ob sie einen direkten finanziellen Verlust bewirken oder nicht. Berücksichtigt werden – sofern genügend Informationen veröffentlicht werden – auch Ereignisse, die Drittparteien betreffen, welche für unsere Geschäftsaktivitäten von Bedeutung sind. Es ist wichtig, dass wir sämtliche verfügbaren Informationen nutzen, um unsere Kontrollprozesse zu überprüfen. Auch wenn ein Ereignis nicht zwangsläufig zu einem direkten oder indirekten finanziellen Verlust führt, kann es einen Hinweis darauf liefern, dass unsere Standards nicht eingehalten werden.

Die funktional verantwortlichen Manager überprüfen die Gesamtheit dieser Informationen. Auf dieser Basis beurteilen sie, in welchem Ausmass operationelle Risiken bestehen und welche Massnahmen zur Lösung spezifischer Probleme zu treffen sind. Es wird regelmässig Bericht sowohl innerhalb der Unternehmensgruppe als auch zuhanden des Group Chief Risk Officer erstattet, damit sich das oberste Management ein genaues Bild des operationellen Risikos machen kann.

Messung des operationellen Risikos

Die spezifischen Risiken, die im Rahmen des operationellen Risikomanagements ermittelt und der obersten Führungs­ebene gemeldet werden, werden auf die potenzielle Häufigkeit ihres Auftretens und den voraussichtlichen Schweregrad der daraus entstehenden Folgen geprüft. Anschliessend bestätigen die Operational-Risk-Control-Funktionen innerhalb der Unternehmensgruppen diese Beurteilungen.

Wir führen eine Datenbank für finanzielle Ereignisse (Gewinne ebenso wie Verluste), die aus Störungen der Geschäftsabwicklung resultieren. Die Verlustdaten und die Szenarien, die mögliche künftige Verluste darstellen, nutzen wir als Inputgrössen für ein Modell, welches das operationelle Risiko von UBS quantifiziert. Das Ergebnis aus diesem Modell wird letztlich die Grundlage der regulatorisch erforderlichen Eigenkapitalunterlegung für die operationellen Risiken ­gemäss Basel II bilden. Diesbezüglich beabsichtigen wir die Anwendung eines Advanced Measurement Approach. Diese Quantifizierung ist hilfreich, genügt indes nicht. Ein einzelnes Ereignis kann für UBS auch andere finanzielle Folgen haben als direkte Kosten oder Verluste – beispielsweise Bussen, Entschädigungen an Kunden oder auch Abschreibungen auf Vermögenswerten. Denkbar sind zudem Ertragseinbussen wegen einer Unterbrechung der Geschäftstätigkeit oder Kosten im Zusammenhang mit einer Sanierung. Überdies können sich die Auswirkungen als schwerwiegender erweisen, als die unmittelbaren Kosten zunächst vermuten lassen. Eine öffentlich bekannt gegebene Busse der Aufsichtsbehörden etwa kann zu Kundenabgängen oder einem Verlust von Geschäften führen. Im Allgemeinen besteht kein direkter Zusammenhang zwischen der Höhe des Risikos und den effektiven finanziellen Verlusten oder der Häufigkeit ihres Auftretens. Diese liefern im besten Fall gewisse Anhaltspunkte.

Hinsichtlich der Bilanzierung der operationellen Risiken werden zahlreiche potenzielle Verluste identifiziert, bevor die Wahrscheinlichkeit, der Zeitpunkt oder der Betrag der künftigen Belastung mit Sicherheit bekannt ist. Gemäss IFRS bilden wir jedoch eine Rückstellung aufgrund der bestmöglichen Schätzung für eine Verpflichtung, wenn es wahrscheinlich ist, dass eine Zahlung zu leisten sein wird – selbst wenn der zu begleichende Betrag noch nicht mit Bestimmtheit feststeht. Dies erfordert ein ausgebildetes Urteilsver­mögen. Sobald wir in der Lage sind, ein potenzielles operationelles Risiko genauer zu quantifizieren, wird die entspre- chende Rückstellung nach oben oder unten korrigiert. Der Stand der ausstehenden Rückstellungen, der in Anmerkung 21 im Anhang zur Konzernrechnung aufgeführt ist, dient als bestmögliche Schätzung des aktuellen Verlusts bei der Quantifizierung des operationellen Risikos.

Entwicklung des operationellen Risikos

Die Grundsätze zur Bewirtschaftung des operationellen Risikos dienen als Basis für die Beurteilung der internen Kontrollen durch Spezialisten in Bereichen wie Recht, Compliance, Steuern und Personalwesen sowie als Hilfe zur Erfüllung internationaler regulatorischer Kontrollanforderungen wie Basel II und Section 404 des Sarbanes-Oxley 404 (SOX 404).

UBS musste die Anforderungen gemäss SOX 404 erstmals Ende 2006 einhalten. Das im letzten Jahr geschaffene Group SOX Office (GSO), das dem Group Chief Financial Officer untersteht, koordinierte eine Beurteilung der Wirksamkeit des internen Kontrollsystems für das finanzielle Berichtswesen durch Spezialisten. Ausgangspunkt bildeten dabei die Selbstbeurteilungen der Unternehmensgruppen. GSO analysierte diese Ergebnisse und gab Empfehlungen zuhanden des SOX 404 Assessment Committee und der Konzernleitung ab, die ihrerseits eine Beurteilung auf Stufe Konzern vornahm.

Aufbauend auf dem beschriebenen SOX-404-Ansatz haben wir das System zur Risikobewirtschaftung im vergangenen Jahr weiter so optimiert, dass es die Beurteilungen der Policy-Umsetzung, des aufsichtsrechtlichen Berichtswesens sowie der Governance für juristische Einheiten unterstützt. Ein Hauptschwerpunkt wird im kommenden Jahr darauf liegen, die Grundsätze mit einem konzernweiten Ansatz für die Aufrechterhaltung der Geschäftstätigkeit und das Krisenmanagement in Einklang zu bringen.

Schliesslich führte die anhaltende Geschäftsexpansion im Jahr 2006 auch zu Bestrebungen, die Richtlinien auf neue Bereiche auszudehnen wie das UBS Service Centre in Indien, einem gemeinsamen internen Dienstleistungszentrum für das Offshoring von Geschäftsprozessen, Dillon Read Capital Management, die auf alternative Anlagen spezialisierte neue Einheit von Global Asset Management, sowie die 2006 erworbene Banco Pactual, eine der ersten Adressen Brasiliens für Wealth Management, Investment Banking und Asset Management. Wir stellen sicher, dass unser System ausreichend skalierbar und flexibel bleibt, um seinen Anwendungsbereich auf neu geschaffene Aktivitäten und neu erworbene Geschäftsbereiche auszudehnen.