Aufsichtsrechtlich sind operationelle Risiken definiert als „die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken.“
Zu den wesentlichen Aufgaben des OpRisk-Managements gehört der Aufbau eines angemessenen OpRisk-Managementsystems. Grundlage ist, ein konzernweites Framework zu entwickeln inkl. eines Berichtswesens durch eine unabhängige Stelle mit klaren Verantwortlichkeiten. Es müssen Verfahren, Methoden, Prozesse erarbeitet und ein OpRisk-Tool eingesetzt werden.
Die Grundlage für das Handeln ist:
- Die OpRisk Governance Struktur, Politik und Standards
- Der Risikoappetit und die Risikotragfähigkeit
- Das ökonomische und regulatorische Kapital
Der OpRisk-Managementkreislauf beinhaltet:
- Risikoidentifikation, z.B. durch eine Risk Self Assessment (als Workshop)
- Messung und Bewertung von Risiken, durch eine Verlustdatenbank mit internen und externen Verlustdaten
- Implementierung von Kontrollmaßnahmen
- Monitoring und Reporting, in Form von Control Environment Assessment, EC & RC-Berechnungen, Reporting der messbaren Ziele
Eine wesentliche Herausforderung ist es, auf Basis der Risikoinformationen, -indikatoren (KRIs) und der Szenarioanalysen, Maßnahmen abzuleiten und deren Umsetzung sicherzustellen.